軟考中高項學員:2016年4月4日作業
一、變更管理
1、變更管理的原則是首先?
首先建立項目基準、變更流程和變更控制委員會
2、國內較多的配置工具有哪些?(3個)
Rational ClearCase、Visual SourceSafe 和 Concurrent Versions System
3、CCB是決策機構還是作業機構?
決策機構
4、項目經理在變更中的作用是什麼?
響應變更提出者的要求,評估變更對項目的影響及應對方案,將要求由技術要求轉化爲資源要求,供決策人決策;並根據評審結果實施即調整項目基準,確保項目基準反映項目實施情況
5、變更的工作程序?(記)
1)提出與接收變更申請
2)對變更的初審
3)變更方案論證
4)項目變更控制委員會審查
5)發出變更通知並開始實施
6)變更實施的監控
7)變更效果的評估
8)判斷髮生變更後的項目是否已納入正常軌道。
6、變更初審的目的是什麼?(記)
1)對變更提出方施加影響,確認變更的必要性,確保變更是有價值的。
2)格式校驗,完整性校驗,確保評估所需信息準備充分
3)在干係人間就提出供評估的變更信息達成共識
4)變更初審的常見方式爲變更申請文檔的審覈流轉
7、變更效果的評估從哪幾個方面進行?
1)首要的評估依據,是項目基準
2)還需結合變更的初衷來看,變更所要達到的目的是否已達成
3)評估變更方案中的技術論證、經濟論證內容與實施過程的差距並推進解決。
8、針對變更,何時可以使用分批處理、分優先級的方式,以提高效率?
在項目整體壓力較大
9、項目規模小、與其它項目關聯度小時,高精尖更應簡便高效,需注意哪三點?
1)對變更產生的因素施加影響
2)對變更的確認應當正式化
3)變更的操作過程應當規範化
10、對進度變更的控制,應包括哪些主題?(記)
1)判斷項目進度當前的狀態
2)對造成進度變更的因素施加影響
3)查明進度是否已經改變
4)在實際變更出現時對其進行管理
11、對成本變更的控制,包括哪些主題?
1)對造成成本基準變更的因素施加影響
2)確保變更請求獲得同意
3)當變更發生時,管理這些實際的變更
4)保證潛在的費用超支不超過授權的項目階段資金和總體資金
5)監督費用績效,找出與成本基準的偏差
6)準確記錄所有與成本基線的偏差
7)防止錯誤的、不恰當的或未批准的變更被納入到費用或資源使用報告中
8)就審定的變更,通知利害關係者
9)採取措施,將預期的費用超支範圍控制在可接受的範圍內。
12、請簡述變更管理與配置管理的區別?
如果把項目整體的可交付視作項目的配置項,配置管理可視爲對項目完整性管理的一套系統,當用作項目基準調整時,變更管理可視爲其一部分。
也可視變更管理與配置管理爲相關聯的兩套機制,變更管理由項目交付或基準配置的調整時,由配置管理系統調用;變更管理最終將對項目的調整結果反饋給配置管理系統,以確保項目執行與對項目的賬目相一致。
二、安全管理
1、信息安全三元組是什麼?
保密性、可用性、完整性
2、數據的保密性一般通過哪些來實現?
網絡安全協議、網絡認證服務、數據加密服務
3、確保數據完整性的技術包括哪些?
消息源的不可抵賴、防火牆系統、通信安全、***檢測系統
4、確保可用性的技術包括哪些?
磁盤和系統的容錯及備份
可接受的登陸及進程性能
可靠的功能性的安全進程和機制
5、在ISO/IEC27001中,信息安全管理的內容被概括爲哪11個方面?
1)信息安全方針與策略
2)組織信息安全
3)資產管理
4)人力資源安全
5)物理和環境安全
6)通信和操作安全
7)訪問控制
8)信息系統的獲取、開發和保持
9)信息安全時間管理
10) 業務持續性管理
11) 符合性
6、什麼是業務持續性管理?
防止業務活動的中斷,保護關鍵業務流程不會受到重大的信息系統失效或災難的影響並確保它們的及時恢復。
7、應用系統常用的保密技術有哪些?
1)最小授權原則
2)防暴露
3)信息加密
4)物理保護
8、影響信息完整性的主要因素有哪些?
設備故障、誤碼、人爲***和計算機病毒
9、保障應用系統完整性的主要方法有哪些?
協議、糾錯編碼方法、密碼校驗和方法、數字簽名、公證。
10、哪個性質一般用系統正常使用時間和整個工作時間之比來度量?
可用性。
11、在安全管理體系中,不同安全等級的安全管理機構應按哪種順序逐步建立自己的信息安全組織機構管理體系?
1)配置安全管理人員
2)建立安全職能部門
3)成立安全領導小組
4)主要負責人出任領導
5)建立信息安全保密管理部門
12、在信息系統安全管理要素一覽表中,“風險管理”類,包括哪些族?“業務持續性管理”類包括哪些族?
風險管理類:風險管理要求和策略、風險分析和評估、風險控制、基於風險的決策、風險評估的管理。
業務持續性管理:備份與恢復、安全事件處理、應急處理、
13、GB/T20271-2006中,信息系統安全技術體系是如何描述的?(只答一級標題)
物理安全、運行安全、數據安全
14、對於電源,什麼叫緊急供電?穩壓供電?電源保護?不間斷供電?
緊急供電:配置抗電壓不足的基本設備、改進設備或更強設備,如UPS
穩壓供電:採用線路穩壓器,防止電壓波動對計算機系統的影響
電源保護:設置電源保護裝置,防止/減少電源發生故障
不間斷供電:採用不間斷供電電源。
15、人員進出機房和操作權限範圍控制包括哪些?
應明確機房安全管理的責任人,機房出入應有指定人員負責,未經允許的人員不準進入機房;獲准進入機房的人員,其活動範圍應受限制,並有接待人員陪同;機房的鑰匙由專人管理,未經批准,不準任何人私自複製機房鑰匙或服務器開機鑰匙;沒有指定管理人員的明確准許,任何記錄介質、文件材料及各種被保護品均不準帶出機房,與工作無關的物品均不準帶入機房;機房內嚴禁吸菸及帶入火源和水源
應要求所有來訪人員經過正式批准,登記記錄應妥善保存以備查;獲准進入機房的人員,一般應禁止攜帶個人計算機等電子設備進入機房,其活動範圍和操作行爲應受到限制,並有機房指定人員陪同和負責。
16、針對電磁兼容,計算機設備防泄露包括哪些內容?
對需要防止電磁泄漏的計算機設備應配備電磁干擾設備,在被保護的計算機設備工作時電磁干擾設備不準關機;必要時可以採用屏蔽機房。屏蔽機房應隨時關閉屏蔽門;不得在屏蔽牆上打定鑽孔,不得在波管道以外或不經過過濾器對屏蔽機房內外連接任何線纜;應經常測試屏蔽機房的泄漏情況並進行必要的維護。
17、對哪些關鍵崗位人員進行統一管理,允許一人多崗,但業務應用操作人員不能由其它關鍵崗位人員兼任?
對安全管理員、系統管理員、數據庫管理員、網絡管理員、重要業務開發人員、系統維護人員和重要業務應用操作人員等關鍵崗位人員進行統一管理
18、業務開發人員和系統維護人員不能兼任或擔任哪些崗位?
不能兼任或擔任安全管理員、系統管理員、數據庫管理員、網絡管理員、重要業務應用操作人員。
19、應用系統運行中涉及四個層次的安全,按粒度從粗到細的排序是什麼?(記)
系統級安全、資源訪問安全、功能性安全、數據域安全
20、哪些是系統級安全?
敏感系統的隔離、訪問IP地址段的限制、登陸時間段的限制、會話時間的限制、連接數的限制、特定時間內登陸次數的限制及遠程訪問控制
22、什麼是資源訪問安全?
在客戶端上,爲用戶提供和其權限相關的用戶界面,僅出現和其權限相符的菜單和操作按鈕;在服務端則對URL程序資源和業務服務類方法的調用進行控制
23、什麼是功能性安全?
用戶在操作業務記錄時,是否需要審覈,上傳附件不能超過指定大小等。
24、什麼是數據域安全?
行級數據域安全:即用戶可以訪問哪些業務記錄
字段級數據域安全:即用戶可以訪問業務記錄的哪些字段
25、系統運行安全檢查和記錄的範圍有哪些?(並敘述每個的內容)
1)應用系統的訪問控制檢查:包括物理和邏輯訪問控制
2)應用系統的日誌檢查:包括數據庫日誌、系統訪問日誌、系統處理日誌、錯誤日誌等
3)應用系統可用性檢查:包括系統中斷時間、系統正常服務時間和系統恢復時間等
4)應用系統能力檢查:包括系統資源消耗情況、系統交易速度和系統吞吐量等
5)應用系統的安全操作檢查:用戶對應用系統的使用是否按照信息安全的相關策略和程序進行訪問和使用
6)應用系統維護檢查:維護性問題是否在規定的時間內解決,是否正確的解決問題,解決問題的過程是否有效等;
7)應用系統的配置檢查:檢查應用系統的配置是否合理和恰當,
8)惡意代碼的檢查:是否存在惡意代碼
9)
26、保密等級按有關規定劃分爲:絕密、機密和?
祕密
27、可靠性等級分爲哪三級?
A、B、C三級,A最高