軟考高項學員:2016年4月26日作業
一、項目整體績效評估
1、三E審計是什麼的合稱?(記)
答:經濟審計,效率審計和效果審計
2、霍爾三維結構是從哪三個方面考察系統工程的工作過程的?
答:邏輯,時間和知識
3、投資回收期的公式?(記,並理解)
答:n=-log(1-pio/a)/log(1+io) n投資回收期,p投資的現值,io基準收益率,A年等額經營成本
二、信息安全相關知識
1、在三安系統三維空間示意圖中,X,Y,Z軸分別代表什麼意思?(記)同時,X、Y、X上分別有哪些要素?
答:x表示安全機制即平臺安全包括操作系統,數據庫,應用開發運營的安全平吧,y是iso網絡參考模型,z, 是安全服務,對等體認服務,
訪問控制服務,數據保密服務等。
2、MIS+S、S-MIS、S2-MIS的名字叫什麼?(記)它們的特點分別是什麼?
答MIS+S、初級安信息安全保障系統,特點:業務應用系統基本不變,硬件和系統軟件通用,安全設備基本不帶密碼,
S-MIS標準安全保障系統、特點:硬件和系統軟件通用,pki/ca安全保障系統必須根本改變,主要的通用硬件軟件也要通過pki
S2-MIS超安全保障系統 特點:軟件硬件專用,pki /ca安全基礎設施必須帶密碼,業務應用系統必須根本改變,主要硬件和紗統軟件
需要PKI/ca 認證。
3、安全威脅的對象是一個單位中的有形資產和無形資產,主要是什麼?答主要是有形資產
4、請描述威脅、脆弱性、影響之間的關係?
威脅來自外部施加的,脆弱性是來自自身的,影響是產生後果的。
脆弱性是客觀存的,脆弱性本身沒有實際傷害,但威脅利用脆弱性發揮作——如果沒有脆弱性,也就沒有威脅了,
5、假設威脅不存在,系統本身的脆弱性仍會帶來一定的風險,請舉2個例子。(記)
但威脅如果不存在,系統脆弱性一樣有風險,是數據管理中的數據不同步導致完整性遭到破壞,存儲設備硬件故障使大量數據丟失。
6、安全策略的核心內容是七定,哪七定?這七定中,首先是解決什麼?其次是什麼?
答:定方案,定崗,定位,定人員、定製度,定目標,定工作流程 首先解決定方案,其次是定崗
7、5個安全保護等級分別是什麼?每級適用於什麼內容?(重點記5個名字,同時重點記第3、4級的適用)
1,用戶自主保護級,適用普能內聯網用戶。
2、系統審計保護級,內聯網或國際網進行商務活動,需要保密的非重要單位。
3、安全標記保護級,地方國家機關,金融單位機構,郵電通信,能源與水源供給部門,交通運輸,大型工商與信息技術企業,重點工程建
設等單位
4、結構化保護級中適用於,中央級國家機關,廣播電視部門,重要物資儲備單位,社會應急服務部門,尖端科技企業集團,國家重點科研
單位和國防建設等部門
5、訪問驗證級保護級。 國家家關鍵部門和依法需要對計算機信息系統實施物殊隔離的單位。
8、確定信息系統安全方案,主要包括哪些內容?
答:1、確定mis+s s-mis s2-mis 體系架構。
2、確定業務和數據存儲方案。
3、網絡拓撲結構
4、基礎安全設施和主要安全設備的選型。
5、業務應用信息系統安全級別的確定
6、系統資金和人員投入的檔次
9、什麼技術是信息安全的根本?是建立安全空間5大要素的基石?
密碼技術是信息安全的根本,認證,權限,不可否認,完整,加密5大要素是基石。
10、安全空間五大要素是什麼?
認證,權限,完整,加密和不可否認五大要素。
11、常見的對稱密鑰算法有哪些?(記)對稱密鑰算法的優缺點是什麼?
sdbi ,idea,rc4,des,3des,速度快 密碼管理簡單,一對一信息加密傳輸
12、哈希算法在數字簽名中,可以解決什麼問題?常見的哈希算法有哪些?
驗證簽名和用戶身份驗證,不可抵賴性的問題,sha,md5
13、我國實行密碼分級制度,密碼等級及適用範圍是什麼?(記)
答:商用密碼 企業,事業單位
普通密碼 政府,黨政機關
絕密密碼 中央和機要部門
軍用密碼
14、WLAN的安全機制中,WEP、WEP2、WPA,哪個加密效果最好?wpa
15、PKI的體系架構,概括爲兩大部分,即信息服務體系和什麼?信息服務認證中心
16、PMI與PkI的區別是什麼?(記)
pmi是授權是證明用戶有什麼權限,能幹什麼。
pki是身份鑑別,證明你是誰。
17、概括地講,安全審計是採用什麼和什麼技術?實現在不同網絡環境中終端對終端的監控與管理,在必要時可以做什麼?
概括地講安全審計是採用數據挖掘和數據倉庫技術實現在不同網絡環境中終端對終羰的監控與管理,在必要時可以通過多種途徑向管理員
發出警告或自動採取排錯措施,能對歷史數據進行 分析,處理和追蹤。
18、安全教育培訓的知識分爲哪四級?
知識級,政策級,實施級和執行級的培訓
19、ISO/IEC17799標準涉及10個領域,是哪10個?哪一個是防止商業活動的中斷和防止商業過程免受重大失誤或災難的影響?
信息安全政策,安全級織,資產分類與管理,個人信息安全守則,設備及使用環境的信息安全管理,溝通和操作管理,系統訪問控制,系
弘開發和維護,業務持續計劃,合規性。
20、ISSE-CMM模型中,最重要的術語是什麼?
21、ISSE是SSE、SE和SA在信息系統安全方面的具體體現,請分別闡述英文的中文意思。
isse 信息安全系統工程
sse 系統安全工程
se 系統工程
sa 系統獲取
isse 是sse,se,sa的具體體現
三、信息工程監理知識
1、信息系統工程監理的什麼是四控三管一協調?四控三管一協調是什麼?(記)
四控:質量控制、變更控制、投資控制和進度控制。
三管:信息管理、安全管理、合同管理。
協調:協調有關單位及人員間之間的關係
2、《信息系統工程監理》,總監不得將哪些工作委託總監代表?(記)和錢有關的,開停工令,人事權、驗收
3、監理大綱、監理規劃、監理細則這三種方件的區別?
投標的要有監理大綱,是由公司來做,是爲什麼要這麼做的。
監理規劃,是總監做,是做什麼的
監理細則,是臨理做,怎麼做。
4、總監、總監代表、監理工程師、監理員,這四個角色中,可以缺少誰?總監代表
5、關於工程暫停令,有哪些知識點?(記)
項目部分暫停令應滿足,應承建單位要求,項目需要暫停實施時,由於項目質量部題必須進行停工處理時,發生必須暫停實施的緊急事件
時。
6、判斷:信息系統工程監理是對項目的乙方進行全方位、全過程的監督管理?
不是,只管進度,成本,變更,質量
7、目前,信息系統監理資質是由哪兒頒發?資質分爲哪四級?
中國電子企業協會監理分會,甲乙丙臨時