軟考信息系統監理師，2016年4月1日作業

第八章：合同管理

1、合同按照信息系統工程範圍劃分哪幾類？

(1) 總承包合同

(2) 單項項目承包合同

(3) 分包合同
2、簽訂分包合同，應具備的2個條件是什麼？

(1) 總承建單位只能將自己承包的部分項目分包給具有相應資質條件的分承建單位

(2) 分包項目必須經過建設單位同意
3、分包的禁止性規定有哪些？

(1) 禁止轉包

(2) 禁止將項目分包給不具備相應資質條件的單位

(3) 禁止再分包

(4) 禁止分包主體結構
4、合同按項目付款方式爲哪幾類？

(1) 總價合同:固定價格合同    -->需求比較明確

(2) 單價合同:分項項目費用合同

(3) 成本加酬金合同:實際成本+止付酬金
5、總價合同的適用前提是什麼？

總價合同僅適用於項目工作量不大且能精確計算,工期較短,技術不太複雜,風險不大的項目
6、信息系統工程合同的內容是什麼？

(1) 甲乙雙方的權利與義務是合同的基本內容

(2) 建設單位提交有關基礎資料的期限

(3) 項目的質量要求

(4) 承建單位提交各階段項目成果的期限

(5) 項目費用和項目款的交互方式

(6) 項目變更的約定

(7) 雙方的其他協作條件

(8) 違約責任

7、信息系統工程合同簽訂的注意事項有哪些？

(1) 質量驗收標準

(2) 驗收時間

(3) 技術支持服務

(4) 損害賠償

(5) 保密約定

(6) 軟件的合法性

(7) 技術標準及工程依據

(8) 合同附件

(9) 簽約資格

(10) 法律公證

8、監理工作在合同管理中的主要內容由哪三部分組成？（記）

監理工作在合同管理中的主要內容由合同的簽訂管理,合同的檔案管理,合同的履行管理三部分組成.
9、判斷：信息系統工程合同只能採用書面形式。

對.根據<<合同法>>的規定,信息系統工程合同應該屬於要式合同,只能採用書面形式.
10、合同履行管理的依據、方式、保證、重點，分別是什麼？

(1) 履約管理的依據-->合同分析

(2) 履約管理的方式-->合同控制

(3) 履約管理的保證-->合同監督

(4) 履約管理的重點-->項目索賠管理
11、合同什麼管理是合同管理的基礎？

合同檔案的管理,也即合同文件管理,是整個合同管理的基礎.
12、合同檔案的管理包括甲乙方合同管理，甲方與監理方合同的管理，同時適用於這2類合同的檔案管理方法是什麼？

(1) 監理監理工作的合同檔案管理體系

(2) 制定監理工作的合同檔案管理制度

(3) 監理工程師必須掌握合同管理的知識

(4) 合同檔案管理的具體工作
13、監理工作的合同檔案管理制度有哪些？

(1) 合同的審查批准制度

(2) 印章管理制度

(3) 合同的統計考察制度

(4) 合同的信息管理制度

14、合同檔案管理的具體工作有哪些？

(1) 收集,整理,統計,保管監理工作在各項活動中形成的全部檔案,清點庫存

(2) 按有關規定做好檔案留存與銷燬的鑑定工作

(3) 對擬銷燬的檔案監理銷燬清冊,經監理單位負責人和企業資產清算機構負責人審覈,建設和單位主管部門批准,方可銷燬.銷燬檔案須二人以上監督銷燬,並在銷燬清冊上簽字.銷燬清冊永久保存.即銷燬清冊-->監督銷燬-->永久保存

(4) 按照檔案的去向分別編制移交和寄存檔案的目錄.
15、合同管理的原則是什麼？（記）

(1) 事前預控原則

(2) 實時糾偏原則

(3) 充分協商原則

(4) 公證處理原則
16、索賠的程序？

(1) 索賠事件發生約定時間內,向建設單位和監督單位發出索賠意向通知

(2) 發出索賠意向通知後約定時間內,想建設單位和監理單位提出延長工期和(或)補償緊急損失的索賠報告及有關資料

(3) 監理單位在收到承建單位送交的索賠報告及有關資料後,於約定時間內給予答覆,或要求承建單位進一步補充索賠理由和證據

(4) 監理單位在收到承建單位送交的索賠報告和有關資料後約定時間內未給予答覆或衛隊承建單位作進一步要求,視爲該項索賠已經認可

(5) 當該索賠時間持續進行時,承建單位應當階段性向監理單位發出索賠意向,在索賠事件終了約定時間內,向監理單位送交索賠的有關資料和最終索賠報告.索賠答覆程序與上述(3),(4)規定相同,建設單位的反索賠的時限與上述規定相同.

17、一個完整的索賠報告包括哪四部分？

(1) 總論部分

(2) 根據部分

(3) 計算部分

(4) 證據部分
18、針對索賠意向通知書，監理審查的重點有哪些？

監理工程師審覈承建單位的索賠申請.接到承建單位的索賠意向通知後,監理工程師應建立自己的索賠檔案,密切關注事件的影響,檢查承建單位的同期記錄,隨時就記錄內容提出他的不同意見或他希望應予以增加的記錄項目.監理工程師審覈與評估的關注點包括

(1) 費用索賠申請報告的程式,時限符合合同要求

(2) 費用索賠申請報告的格式和內容符合規定

(3) 費用索賠申請的資料必須真實,齊全,手續完備

(4) 申請索賠的合同依據,理由必須正確,充分

(5) 索賠金額的計算原則與方法必須合理,合法
19、索賠事件處理的原則？

(1) 預防爲主的原則

(2) 必須以合同爲依據

(3) 公平合理原則

(4) 協商原則

(5) 授權的原則

(6) 必須注意資料的積累

(7) 及時,合理的處理索賠
20、合同爭議有2種解決方式，分別是什麼？

當發生合同爭議時,雙方可以協商解決或通過合同中約定的方式來解決.
21、由於承建單位違約導致實施合同終止後，監理單位應按何種程序處理？

(1) 指示承建單位將其旅行合同而簽訂的任何協議的利益(如軟,硬件及各種配套設施的供應服務提供等)轉讓給建設單位.

(2) 認證調查並充分考慮建設單位因此受到的直接和間接的費用影響後,辦理並簽發部分或全部中止合同的支付證明
22、因不可抗力事件，導致的費用及延誤的工期，雙方如何承擔？

(1) 項目本身的損害,因項目損害導致第三方人員 傷亡和財產損失以及運至實施場地用於實施的材料和待安裝的設備的損害,由建設單位承擔

(2) 建設單位,承建單位人員傷亡由其所在單位負責,並承擔相應費用

(3) 承建單位設備損壞及停工損失,由其承建單位承擔

(4) 停工期間,承建單位應監理單位要求留在實施場地的必要的管理人員及保衛人員的費用由發包人承擔

(5) 項目所需清理,修復費用,由建設單位承擔

(6) 延誤的工期相應順延.
23、《計算機軟件保護條例》規定，計算機軟件包括什麼？

(1) 計算機程序

(2) 文檔
24、某政府單位花500萬委託軟件公司開發一套軟件，若合同未約定知識產權，則產權屬於誰？

(1) 合同未約定只是產權,誰開發誰受益即產權歸委託的軟件公司所有,政府單位只有使用權,沒有買賣權利

(2) 若合同中有約定,則按合同約定的來處理

第九章：信息安全管理
1、信息系統安全屬性分爲哪三個方面？各自的定義？

信息系統安全屬性分爲三個方面:可用性,保密性和完整性

(1) 可用性:能夠在規定條件下和規定的時間內完成規定的功能的特性.

(2) 保密性:信息不被泄露給非授權的用戶,實體或過程,信息只爲授權用戶使用的特性

(3) 完整性:保護信息及其處理方法的準確性和完整性.
2、國家祕密分爲祕密、機密和什麼三個等級？

國家祕密分爲祕密,機密和絕密三個等級.
3、常用的保密技術有哪些？

(1) 防偵測

(2) 防輻射

(3) 信息加密

(4) 物理保密
4、保障信息網絡系統完整性的主要方法有哪些？

(1) 協議

(2) 糾錯編碼方法

(3) 密碼教研和方法

(4) 數字簽名

(5) 公證
5、技術體系是全面提供信息系統安全保護的技術保障系統，它由物理安全技術和系統安全技術組成，各包括哪些內容？

(1) 物理安全技術,包括機房安全和設施安全 

(2)系統安全技術,包括平臺安全,數據安全,通行安全,應用安全和運行安全.

6、組織機構體系是信息系統的組織保障系統，由哪三個模塊構成？

組織機構體系是信息系統的組織保障系統,由機構,崗位和人事三個模塊構成.
7、管理是信息系統安全的靈魂。信息系統安全的管理體系由法律管理、制度管理和什麼共3部分組成？

管理是信息系統安全的靈魂.信息系統安全的管理體系由法律管理,制度管理和培訓管理三部分組成.
8、監理在信息系統安全管理的作用有哪些？

(1) 保證建設單位在信息系統工程項目建設過程中,保證信息系統的安全在可用性,保密性,完整性與信息系統工程的可維護性技術環節上沒有衝突

(2) 在成本控制的前提下,確保信息系統安全設計上沒有漏洞

(3) 督促建設單位的信息系統工程應用人員在安全管理制度和安全規範下嚴格執行安全操作和管理,建立安全意識

(4) 監督承建單位按照技術標準和建設方案施工,檢查承建單位是否存在設計過程中的非安全隱患行爲或現象等,確保整個項目建設過程中的安全建設和安全引用.
9、人員安全管理要遵循哪些原則？

在制度建立過程中,建立工程師要建議建設單位遵循以下原則

(1) 授權最小化

(2) 授權分散化

(3) 授權規範化
10、請寫出任意8種信息系統安全管理制度。

(1) 計算機信息網絡系統出入管理制度

(2) 計算機信息網絡系統各工作崗位的工作職責,操作規程

(3) 計算機信息網絡系統升級,維護制度

(4) 計算機信息網絡系統工作人員人事管理制度

(5) 計算機信息網絡系統安全檢查制度

(6) 計算機信息網絡系統應急制度

(7) 計算機信息網絡系統信息資料處理制度

(8) 計算機信息網絡系統工作人員安全教育,培訓制度

(9) 計算機信息網絡系統工作人員循環任職,強制休假制度等.
11、物理訪問的安全管理中，監理安全管理注意事項有哪四條？（記）

物理訪問控制的風險大多可能來自那些惡意或犯罪傾向的行爲,在安全監理中值得注意的問題如下:

(1) 硬件設施在合理範圍內是否能防止強制***

(2) 計算機設備的鑰匙是否有良好的控制以降低未授權者進入的危險

(3) 智能終端是否上鎖或有安全保護,以防止電路板,芯片或計算機被搬移

(4) 計算機設備在搬動時是否需要設備授權通行的證明
12、邏輯訪問的安全管理中，監理在邏輯訪問風險分析與安全管理上，主要的原則有哪五條？（記）

監理在邏輯訪問風險分析與安全管理上,主要的原則有

(1) 瞭解信息處理的整體環境並評估其安全需求,可通過審查相關數據,詢問有關人員,個人觀察及風險評估等

(2) 通過對一些可能進入系統訪問路徑進行記錄及複覈,評價這些控制點的正確性,有效性.這種記錄及複覈包括審覈系統軟,硬件的安全管理,以確認其控制弱點或重要點

(3) 通過相關測試數據訪問控制點,評價安全系統的功能和有效性

(4) 分析測試結果和其他審覈結論,評價訪問控制的環境並判斷是否達到控制目標

(5) 審覈書面策略,觀察實際操作和流程,與一般工人的信息安全標準相比較,評價組織環境的安全性及其適當性等.

13、什麼是特洛伊***、去尾法、色粒米技術、計算機蠕蟲、邏輯炸彈、網絡竊聽、DOS？

(1) 特洛伊***:指將一些帶有惡意的,欺詐性的代碼置於已授權的計算機程序中,當程序啓動時這些代碼也會啓動.

(2) 去尾法:將交易發生後計算出的金額(如利息)中小數點後的餘額(如分)刪除並轉入某個未經授權的賬戶,因爲金額微小而往往不被注意

(3) 色粒米技術:這是一種類似去尾法的舞弊行爲,不同的是將餘額切分成更小金額,再轉入未授權賬戶.-->尾數去除或進位

(4) 計算機蠕蟲:一種破壞性程序,可以破壞計算機內數據或是使用大量計算機及通信資源,但不想計算及病毒那樣能自行復制.

(5) 邏輯炸彈:在滿足特定的邏輯條件下按某種不同的方式運行,對目標系統實施破壞性的計算機程序.

(6) 網絡竊聽:不進行直接的網絡***,但藉助網絡竊聽器的軟件或硬件,掌握對方的重要信息,如賬號,密碼等,它意味着高級別的泄密,對網絡安全造成極大的威脅

(7) 拒絕服務***(DOS):使服務器充斥大量要求相應的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷,以至於癱瘓而停止提供正常的網絡服務,是目前最爲常見的網絡***方法.

14、來自互聯網上的安全問題主要分成兩大類，主動式***和被動式***，試解釋之。

(1) 主動式***:指***者通過有選擇的修改,刪除,延遲,亂序,複製,插入數據等以達到其非法目的.一般爲中斷,篡改,僞造三種

(2) 被動式***:指***者監聽網絡上傳遞的信息流,從而獲取信息的內容,或僅僅希望得到信息流的長度,傳輸頻率等數據.一般採用網絡分析和竊聽來收集信息.

被動式***往往很難檢測出來但很容易預防

主動式***很難預防但卻很容易檢測出來

所以***者***時一般同事採用兩種現相互結合的方式.
15、什麼是對稱密鑰加密？不對稱密鑰加密？

(1) 對稱祕鑰加密:指發件人和收件人試用期共同擁有的單個祕鑰

(2) 不對稱祕鑰加密:需要用到兩個祕鑰,一個公鑰和一個私鑰,這兩個祕鑰在數學上是相關的.
16、什麼是數字簽名和證書？

(1) 數字簽名:與書面文件簽名有相同,確認信息是由簽名者發送的,信息自簽發到收到爲止未曾做過任何修改.用來防止電子信息因易被修改而被人僞造或冒用別人名義發送信息,或發出(收到)信件後又加以否認等情況發生.

(2) 證書:用戶在互聯網,外聯網和內聯網上進行身份驗證並確保數據交換的安全.證書的頒發者和簽署者就是衆所周知的證書頒發機構CA.頒發證書的實體是證書的主體
17、什麼是網閘？

網閘,即安全隔離與信息交換系統,是新一代高安全度的企業級信息安全防護設備,它依託安全隔離技術爲信息網絡提供了更高層次的安全防護能力,不僅使得信息網絡的抗***能力大大增強,而且有效地防範了信息外泄時間的發生.
18、什麼是防火牆？

防火牆是指設置在不同網絡或網絡安全域之間的一系列不見的組合,在物理上基本上是一臺具有網關或路由功能的計算機或服務器;在邏輯上防火牆完成了網絡通信的限制,分離和分析功能,有效的監控了內部網和互聯網之間的任何活動,保證了內部網絡的安全.
19、什麼是***檢測系統？

進行***檢測的軟件和硬件的組合就是***檢測系統
20、什麼是全備份、差分備份、增量備份？（記）

(1) 全備份:將系統中所有的數據信息全部備份

(2) 差分備份:只備份上次備份後系統中變化過的數據信息

(3) 增量備份:只備份上次完全別分後系統中變化過的數據信息
21、請大家在百度百科搜索：RAID0、1、2、3、4、5，並寫成作業。

RAID 0:RAID 0又稱爲Stripe或Striping，它代表了所有RAID級別中最高的存儲性能。RAID 0提高存儲性能的原理是把連續的數據分散到多個磁盤上存取，這樣，系統有數據請求就可以被多個磁盤並行的執行，每個磁盤執行屬於它自己的那部分數據請求。這種數據上的並行操作可以充分利用總線的帶寬，顯著提高磁盤整體存取性能。

RAID 1:RAID 1又稱爲Mirror或Mirroring（鏡像），它的宗旨是最大限度的保證用戶數據的可用性和可修復性。 RAID 1的操作方式是把用戶寫入硬盤的數據百分之百地自動複製到另外一個硬盤上。

RAID 2:RAID 2是RAID 0的改良版，以漢明碼（Hamming Code）的方式將數據進行編碼後分割爲獨立的位元，並將數據分別寫入硬盤中。因爲在數據中加入了錯誤修正碼（ECC，Error Correction Code），所以數據整體的容量會比原始數據大一些。

RAID 3:RAID 3是把數據分成多個“塊”，按照一定的容錯算法，存放在N+1個硬盤上，實際數據佔用的有效空間爲N個硬盤的空間總和，而第N+1個硬盤上存儲的數據是校驗容錯信息，當這N+1個硬盤中的其中一個硬盤出現故障時，從其它N個硬盤中的數據也可以恢復原始數據，這樣，僅使用這N個硬盤也可以帶傷繼續工作（如採集和回放素材），當更換一個新硬盤後，系統可以重新恢復完整的校驗容錯信息。由於在一個硬盤陣列中，多於一個硬盤同時出現故障率的機率很小，所以一般情況下，使用RAID3，安全性是可以得到保障的。

RAID 4:RAID4和RAID3很象，數據都是依次存儲在多個硬盤之上，奇偶校驗碼存放在獨立的奇偶校驗盤上，唯一不同的是，在數據分割上RAID3對數據的訪問是按位進行的，RAID4是以數據塊爲單位。即RAID 4是按數據塊爲單位存儲的，那麼數據塊應該怎麼理解呢？簡單的話，一個數據塊是一個完整的數據集合，比如一個文件就是一個典型的數據塊。當然，對於硬盤的讀取，一個數據塊並不是一個文件，而是由操作系統所決定的，這就是我們熟悉的簇（Cluster）。RAID 4這樣按塊存儲可以保證塊的完整，不受因分條帶存儲在其他硬盤上而可能產生的不利影響（比如當其他多個硬盤損壞時，數據就完了）。

RAID 5:RAID 5 是一種存儲性能、數據安全和存儲成本兼顧的存儲解決方案。 RAID 5可以理解爲是RAID 0和RAID 1的折中方案。RAID 5可以爲系統提供數據安全保障，但保障程度要比Mirror低而磁盤空間利用率要比Mirror高。RAID 5具有和RAID 0相近似的數據讀取速度，只是多了一個奇偶校驗信息，寫入數據的速度比對單個磁盤進行寫入操作稍慢。同時由於多個數據對應一個奇偶校驗信息，RAID 5的磁盤空間利用率要比RAID 1高，存儲成本相對較低，是目前運用較多的一種解決方案。

第十章：信息管理
1、按工程建設信息的性質劃分哪幾類？

(1) 引導信息

(2) 辨識信息
2、按工程建設信息的用途劃分哪幾類？

(1) 投資控制信息

(2) 進度控制信息

(3) 質量控制信息

(4) 合同管理信息

(5) 組織協調信息

(6) 其他用途的信息
3、爲什麼說高效的文檔管理，是監理單位自身的需要？

(1) 爲了成功對工程進行監理,必須有一套眼睛的文檔分類管理辦法,這樣,工程的詳細情況纔可能被監理項目組準確掌握,從而也爲建設單位說準確掌握

(2) 監理單位需要對監理人員的工作情況進行考覈,以決定人員的報酬和職位進行獎懲升降而這些最主要的依據,則是監理的文檔

(3) 監理文檔本身就是監理工作經驗最好的總結,是監理工作最好的培訓資料,從培養人員的角度上來說,一套完善的文檔管理體制非常必要
4、監理工程師在歸集監理資料時的注意事項有哪些？

(1) 監理資料應及時整理,真實完整,分類有序

(2) 監理資料的管理應由總監理工程師負責,並指定專人具體實施'

(3) 監理資料應在各階段監理工作結束後及時整理歸檔

(4) 監理檔案的編制及保存應按有關規定執行
5、總控類文檔包括哪些？（記）

(1) 承建合同

(2) 總體方案

(3) 項目組織實施方案

(4) 技術方案

(5) 項目進度計劃

(6) 質量保證計劃

(7) 資料分解計劃

(8) 採購計劃

(9) 監理規劃

(10) 監理實施細則
6、監理實施類文檔包括哪些？（記）

(1) 項目變更文檔

(2) 進度監理文檔

(3) 質量監理文檔

(4) 質量回歸監理文檔

(5) 監理日報

(6) 監理月報

(7) 專題監理報告

(8) 驗收報告

(9) 總結報告

7、工程驗收監理報告必須包括哪些要素？（記）、

(1) 工程竣工準備工作綜述

(2) 驗收測試方案與規範

(3) 測試結果與分析

(4) 驗收測試結論
8、工程監理總結報告包括哪些方面？（記）

(1) 工程概況

(2) 監理工作統計

(3) 工程質量綜述

(4) 工程進度綜述

(5) 管理協調綜述

(6) 監理總評價
9、P273頁表12-5，掌握各階段產出哪些文檔？哪些文檔在哪個階段開始做？請分別回答：
開發計劃、測試計劃、用戶手冊、操作手冊、開發總結這些文檔的開始階段、產出階段。（記）

(1) 各階段文檔的產出

計劃:可行性研究報告,項目開發計劃,開發進度月報

需求分析:項目開發計劃,軟件需求規格說明,數據需求規格說明,測試計劃,用戶手冊,開發進度月報

設計:測試計劃,概要設計說明,詳細設計說明,數據庫設計說明,用戶手冊,操作手冊,開發進度月報

編碼:模塊開發卷宗,用戶手冊,操作手冊,開發進度月報

測試:模塊開發卷宗,測試分析報告,開發進度月報,項目開發總結

(2) 哪些文檔在哪個階段開始做

可行性研究報告:在計劃階段開始做,本階段結束

項目開發計劃:計劃階段開始做,需求分析階段結束

軟件需求規格說明:需求分析階段開始做,本階段結束

數據需求規格說明:需求分析階段開始做,本階段結束

計測試劃:需求分析階段開始做,設計階段結束

概要設計說明:設計階段開始做,本階段結束

詳細設計說明:設計階段開始做,本階段結束

數據庫設計說明:設計階段開始做,本階段結束

模塊開發卷宗:編碼階段開始做,測試階段結束

用戶手冊:需求分析階段開始做,編碼階段結束

操作手冊:設計階段開始做,編碼階段結束

測試分析報告:測試階段開始做,本階段結束

開發進度月報:計劃階段開始做,測試階段結束

項目開發總結:測試階段開始做,本階段結束