软考高项学员:2016年4月26日作业
一、项目整体绩效评估
1、三E审计是什么的合称?(记)
答:经济审计,效率审计和效果审计
2、霍尔三维结构是从哪三个方面考察系统工程的工作过程的?
答:逻辑,时间和知识
3、投资回收期的公式?(记,并理解)
答:n=-log(1-pio/a)/log(1+io) n投资回收期,p投资的现值,io基准收益率,A年等额经营成本
二、信息安全相关知识
1、在三安系统三维空间示意图中,X,Y,Z轴分别代表什么意思?(记)同时,X、Y、X上分别有哪些要素?
答:x表示安全机制即平台安全包括操作系统,数据库,应用开发运营的安全平吧,y是iso网络参考模型,z, 是安全服务,对等体认服务,
访问控制服务,数据保密服务等。
2、MIS+S、S-MIS、S2-MIS的名字叫什么?(记)它们的特点分别是什么?
答MIS+S、初级安信息安全保障系统,特点:业务应用系统基本不变,硬件和系统软件通用,安全设备基本不带密码,
S-MIS标准安全保障系统、特点:硬件和系统软件通用,pki/ca安全保障系统必须根本改变,主要的通用硬件软件也要通过pki
S2-MIS超安全保障系统 特点:软件硬件专用,pki /ca安全基础设施必须带密码,业务应用系统必须根本改变,主要硬件和纱统软件
需要PKI/ca 认证。
3、安全威胁的对象是一个单位中的有形资产和无形资产,主要是什么?答主要是有形资产
4、请描述威胁、脆弱性、影响之间的关系?
威胁来自外部施加的,脆弱性是来自自身的,影响是产生后果的。
脆弱性是客观存的,脆弱性本身没有实际伤害,但威胁利用脆弱性发挥作——如果没有脆弱性,也就没有威胁了,
5、假设威胁不存在,系统本身的脆弱性仍会带来一定的风险,请举2个例子。(记)
但威胁如果不存在,系统脆弱性一样有风险,是数据管理中的数据不同步导致完整性遭到破坏,存储设备硬件故障使大量数据丢失。
6、安全策略的核心内容是七定,哪七定?这七定中,首先是解决什么?其次是什么?
答:定方案,定岗,定位,定人员、定制度,定目标,定工作流程 首先解决定方案,其次是定岗
7、5个安全保护等级分别是什么?每级适用于什么内容?(重点记5个名字,同时重点记第3、4级的适用)
1,用户自主保护级,适用普能内联网用户。
2、系统审计保护级,内联网或国际网进行商务活动,需要保密的非重要单位。
3、安全标记保护级,地方国家机关,金融单位机构,邮电通信,能源与水源供给部门,交通运输,大型工商与信息技术企业,重点工程建
设等单位
4、结构化保护级中适用于,中央级国家机关,广播电视部门,重要物资储备单位,社会应急服务部门,尖端科技企业集团,国家重点科研
单位和国防建设等部门
5、访问验证级保护级。 国家家关键部门和依法需要对计算机信息系统实施物殊隔离的单位。
8、确定信息系统安全方案,主要包括哪些内容?
答:1、确定mis+s s-mis s2-mis 体系架构。
2、确定业务和数据存储方案。
3、网络拓扑结构
4、基础安全设施和主要安全设备的选型。
5、业务应用信息系统安全级别的确定
6、系统资金和人员投入的档次
9、什么技术是信息安全的根本?是建立安全空间5大要素的基石?
密码技术是信息安全的根本,认证,权限,不可否认,完整,加密5大要素是基石。
10、安全空间五大要素是什么?
认证,权限,完整,加密和不可否认五大要素。
11、常见的对称密钥算法有哪些?(记)对称密钥算法的优缺点是什么?
sdbi ,idea,rc4,des,3des,速度快 密码管理简单,一对一信息加密传输
12、哈希算法在数字签名中,可以解决什么问题?常见的哈希算法有哪些?
验证签名和用户身份验证,不可抵赖性的问题,sha,md5
13、我国实行密码分级制度,密码等级及适用范围是什么?(记)
答:商用密码 企业,事业单位
普通密码 政府,党政机关
绝密密码 中央和机要部门
军用密码
14、WLAN的安全机制中,WEP、WEP2、WPA,哪个加密效果最好?wpa
15、PKI的体系架构,概括为两大部分,即信息服务体系和什么?信息服务认证中心
16、PMI与PkI的区别是什么?(记)
pmi是授权是证明用户有什么权限,能干什么。
pki是身份鉴别,证明你是谁。
17、概括地讲,安全审计是采用什么和什么技术?实现在不同网络环境中终端对终端的监控与管理,在必要时可以做什么?
概括地讲安全审计是采用数据挖掘和数据仓库技术实现在不同网络环境中终端对终羰的监控与管理,在必要时可以通过多种途径向管理员
发出警告或自动采取排错措施,能对历史数据进行 分析,处理和追踪。
18、安全教育培训的知识分为哪四级?
知识级,政策级,实施级和执行级的培训
19、ISO/IEC17799标准涉及10个领域,是哪10个?哪一个是防止商业活动的中断和防止商业过程免受重大失误或灾难的影响?
信息安全政策,安全级织,资产分类与管理,个人信息安全守则,设备及使用环境的信息安全管理,沟通和操作管理,系统访问控制,系
弘开发和维护,业务持续计划,合规性。
20、ISSE-CMM模型中,最重要的术语是什么?
21、ISSE是SSE、SE和SA在信息系统安全方面的具体体现,请分别阐述英文的中文意思。
isse 信息安全系统工程
sse 系统安全工程
se 系统工程
sa 系统获取
isse 是sse,se,sa的具体体现
三、信息工程监理知识
1、信息系统工程监理的什么是四控三管一协调?四控三管一协调是什么?(记)
四控:质量控制、变更控制、投资控制和进度控制。
三管:信息管理、安全管理、合同管理。
协调:协调有关单位及人员间之间的关系
2、《信息系统工程监理》,总监不得将哪些工作委托总监代表?(记)和钱有关的,开停工令,人事权、验收
3、监理大纲、监理规划、监理细则这三种方件的区别?
投标的要有监理大纲,是由公司来做,是为什么要这么做的。
监理规划,是总监做,是做什么的
监理细则,是临理做,怎么做。
4、总监、总监代表、监理工程师、监理员,这四个角色中,可以缺少谁?总监代表
5、关于工程暂停令,有哪些知识点?(记)
项目部分暂停令应满足,应承建单位要求,项目需要暂停实施时,由于项目质量部题必须进行停工处理时,发生必须暂停实施的紧急事件
时。
6、判断:信息系统工程监理是对项目的乙方进行全方位、全过程的监督管理?
不是,只管进度,成本,变更,质量
7、目前,信息系统监理资质是由哪儿颁发?资质分为哪四级?
中国电子企业协会监理分会,甲乙丙临时