一、項目整體績效評估
1、三E審計是什麼的合稱?(記)
績效審計(三E審計)是經濟審計、效率審計和效果審計的合稱.
2、霍爾三維結構是從哪三個方面考察系統工程的工作過程的?
邏輯維、時間維、知識維
3、投資回收期的公式?(記,並理解)
靜態投資回收期=(累計淨現金流量出現正值的年數—1)+上一年累計淨現金流量的絕對值/當前現金流量
二、信息安全相關知識
1、在三安系統三維空間示意圖中,X,Y,Z軸分別代表什麼意思?(記)同時,X、Y、X上分別有哪些要素?
Y代表OSI網絡參考模型:物理層、鏈路層、網絡層、傳輸層、會話層、表示層。
X代表安全機制:基礎設施安全、文件安全、數據安全、通信安全、應用安全、運行安全、管理安全等
Z代表安全服務:對等實體認證服務、訪問控制服務、數據保密服務、數據完整性服務、犯罪證據提供服務等。
2、MIS+S、S-MIS、S2-MIS的名字叫什麼?(記)同時,它們的特點分別是什麼?
MIS+S:初級信息安全保障系統;硬軟件通用,安全設備不帶密碼;
S-MIS:標準信息安全保障系統;硬軟件通用,帶密碼;
S2-MIS:超安全的信息安全保障系統。硬軟件專用,帶密碼;
3、安全威脅的對象是一個單位中的有形資產和無形資產,主要是什麼?
主要是有形資產
4、請描述威脅、脆弱性、影響之間的關係?
威脅可看成從系統外部對系統產生的作用。而脆弱性可以看成是系統內部的薄弱點。影響可以看作是威脅與脆弱性的特殊組合。
5、假設威脅不存在,系統本身的脆弱性仍會帶來一定的風險,請舉2個例子。(記)
如數據管理中的數據不同步導致完整性遭到破壞;存儲設備硬件故障使大量數據丟失。
6、安全策略的核心內容是七定,哪七定?這七定中,首先是解決什麼?其次是什麼?
定方案、定崗、定位、定員、定目標、定製度、定工作流程。首先解決定方案,其次解決定崗。
7、5個安全保護等級分別是什麼?每級適用於什麼內容?(重點記5個名字,同時重點記第3、4級的適用)
第一級爲用戶自主保護級,適用於普通內聯網用戶;
第二級爲系統審計保護級,適用於通過內聯網或國際網進行商務活動,需保密的非重要單位;
第三級爲安全標記保護級:適用於地方各國際機關、金融單位、郵電通信、能源與水源供給、交通運輸、大型工商與信息技術企業、重點工程建設等單位;
第四級爲結構化保護級:中央級國家機關、廣播電視部門、重要物資儲備單位、社會應急部門、尖端科技企業集團、國家重點科研單位機構和過分建設等單位;
第五級爲訪問驗證保護級:國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位。
8、確定信息系統安全方案,主要包括哪些內容?
1)首先確定採用MIS+S、S-MIS或S2-MIS體系架構;
2)確定業務和數據存儲方案;
3)網絡拓撲結構;
4)基礎安全設施和主要安全設備選型;
5)業務應用信息系統的安全級別的確定;
6)系統資金和人員投入檔次。
9、什麼技術是信息安全的根本?是建立安全空間5大要素的基石?
密碼技術是信息安全的根本,認證、權限、完整、加密、不可否認是建立安全空間的5大要素的基石。
10、安全空間五大要素是什麼?
認證、權限、完整、加密、不可否認是建立安全空間的5大要素。
11、常見的對稱密鑰算法有哪些?(記)對稱密鑰算法的優缺點是什麼?
常見的對稱密鑰算法有:SDBI、IDEA、RC4、DES、3DES
對稱密鑰的優點:
1)加解密速度快
2)密鑰管理簡單
3)適宜一對一的信息加密傳輸過程
缺點
1)加密算法簡單,密鑰長度有限;
2)密鑰分發困難,不適宜一對多的加密信息傳輸。
12、哈希算法在數字簽名中,可以解決什麼問題?常見的哈希算法有哪些?
哈希算法在數字簽名中可以解決驗證簽名和用戶身份驗證、不可抵賴性的問題。常見的哈希算法有SDH、SHA、MD5。
13、我國實行密碼分級制度,密碼等級及適用範圍是什麼?(記)
商用密碼::國內企業、事業單位
普用密碼:政府、黨政部門
絕密密碼:中央和機要部門
軍用密碼:軍隊
14、WLAN的安全機制中,WEP、WEP2、WPA,哪個加密效果最好?
WPA
15、PKI的體系架構,概括爲兩大部分,即信息服務體系和什麼?
密鑰管理中心
16、PMI與PMI的區別是什麼?(記)
PMI主要進行授權管理(簽證),你能做什麼;
PKI主要進行身份鑑別(護照),你是誰。
17、概括地講,安全審計是採用什麼和什麼技術?實現在不同網絡環境中終端對終端的監控與管理,在必要時可以做什麼?
概括地講,安全審計是採用數據挖掘和數據倉庫技術。實現在不同網絡環境中終端對終端的監控與管理,在必要時通過多種途徑向管理員發出警告或自動採取排錯措施,能對歷史數據進行分析、處理和追蹤。
18、安全教育培訓的知識分爲哪四級?
知識及培訓、政策級培訓、實施及培訓、執行級培訓
19、ISO/IEC17799標準涉及10個領域,是哪10個?哪一個是防止商業活動的中斷和防止商業過程免受重大失誤或災難的影響?
1)信息安全政策;
2)安全組織;
3)資產分類與管理;
4)個人信息安全守則;
5)設備及使用環境的信息安全管理;
6)溝通和操作管理;
7)系統訪問控制;
8)系統開發和維護;
9)業務持續經營計劃;
10)合規性
業務持續經營計劃是防止商業活動的中斷和防止商業過程免受重大失誤或災難的影響
20、ISSE-CMM模型中,最重要的術語是什麼?
過程、過城區、工作產品、過程能力;
21、ISSE是SSE、SE和SA在信息系統安全方面的具體體現,請分別闡述英文的中文意思。
SSE是系統安全工程、SE系統工程、SA系統獲取
三、信息工程監理知識
1、信息系統工程監理的什麼是四控三管一協調?四控三管一協調是什麼?(記)
四控:進度控制、成本控制、質量控制、變更控制。
三管:合同管理、文檔管理、安全管理。
一協調:溝通與協調業主、承建方、設備和材料供貨商之間的關係。
2、《信息系統工程監理》,總監不得將哪些工作委託總監代表?(記)
和錢有關,工程款支付證書,開工令、停工令、人事權、工程驗收。
3、監理大綱、監理規劃、監理細則這三種方件的區別?
監理大綱是投標時寫的,由公司的總監理工程師編寫,爲什麼;監理規劃是項目總監編寫,做什麼;監理細則由監理工程師編寫,怎麼做
4、總監、總監代表、監理工程師、監理員,這四個角色中,可以缺少誰?
總監代表
5、關於工程暫停令,有哪些知識點?(記)
1)暫停令必須由項目總監簽發;
2)條件:當承建單位要求暫停,且項目需要暫停時;
3)條件:乙方違反強制性標準先整改,不改就發暫停令;
6、判斷:信息系統工程監理是對項目的乙方進行全方位、全過程的監督管理?
錯
7、目前,信息系統監理資質是由哪兒頒發?資質分爲哪四級?
中國電子企業協會
甲級25個軟考監理證、乙級12個軟考監理證、丙級5個軟考監理證、臨時2個軟考監理證