一、項目整體績效評估
1、三E審計是什麼的合稱?(記)
是經濟審計、效率審計和效果審計的合稱。
2、霍爾三維結構是從哪三個方面考察系統工程的工作過程的?
從邏輯、時間、知識等三個方面考察系統工程的工作過程。
3、投資回收期的公式?(記,並理解)
(累計淨現金流量開始出現正值的年份數-1)+(上年累計淨現金流量的絕對值/當前的淨現金流量)
二、信息安全相關知識
1、在三安系統三維空間示意圖中,X,Y,Z軸分別代表什麼意思?(記)同時,X、Y、Z上分別有哪些要素?
X軸(橫軸):安全機制(基礎設施安全、平臺安全、數據安全、通信安全、應用安全、運行安全、管理安全、授權和審計安全、安全防範體系)
Y軸:OSI網絡參考模型(物理層、鏈路層、網絡層、傳輸層、會話層、表示層、應用層)
Z軸:安全服務(對等實體認證服務、訪問控制服務、數據保密服務、數據完整性服務、數據源點認證服務、禁止否認服務、犯罪證據提供服務)
2、MIS+S、S-MIS、S2-MIS的名字叫什麼?(記)同時,它們的特點分別是什麼?
MIS+S爲“初級信息安全保障系統”,特點:業務應用系統基本不變;硬件和系統軟件通用;安全設備基本不帶密碼。
S-MIS爲“標準信息安全保障系統”,特點:硬件和系統軟件通用;業務應用系統必須根本改變;主要的通用的硬件、軟件也要通過PKI/CA認證。
S2-MIS爲“超安全的信息安全保障系統”,特點:硬件和系統軟件都專用;PKI/CA安全基礎設施必須帶密碼;業務應用系統必須根本改變;主要的硬件和系統軟件需要PKI/CA認證。
3、安全威脅的對象是一個單位中的有形資產和無形資產,主要是什麼?
主要是有形資產。
4、請描述威脅、脆弱性、影響之間的關係?
威脅可看成從系統外部對系統產生的作用,而導致系統功能及目標受阻的所有現象。脆弱性則可以看成是系統內部的薄弱點。脆弱性是客觀存在的,脆弱性本身沒有實際的傷害,但威脅可以利用脆弱性發揮作用。但如果威脅不存在,系統本身的脆弱仍然帶來一定的風險。影響可以看作是威脅與脆弱性的特殊組合。
5、假設威脅不存在,系統本身的脆弱性仍會帶來一定的風險,請舉2個例子。(記)
如數據管理中的數據不同步導致完整性遭到破壞;存儲設備硬件故障使大量數據丟失。
6、安全策略的核心內容是七定,哪七定?這七定中,首先是解決什麼?其次是什麼?
“七定”:定方案、定崗、定位、定員、定目標、定製度、定工作流程。首先要解決“定方案”,其次就是“定崗”。
7、5個安全保護等級分別是什麼?每級適用於什麼內容?(重點記5個名字,同時重點記第3、4級的適用)
第1級用戶自主保護級:適用於普通內聯網用戶。
第2級系統審計保護級:適用於通過內聯網或國際網進行商務活動,需要保密的非重要單位。
第3級安全標記保護級:適用於地方各級國家機關、金融單位機構、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術企業、重點工程建設等單位。
第4級結構化保護級:適用於中央級國家機關、廣播電視部門、重要物資儲備單位、社會應急服務部門、尖端特技企業集團、國家重點科研單位機構和國防建設等部門。
第5級訪問驗證保護級:適用於國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位。
8、確定信息系統安全方案,主要包括哪些內容?
首先確定採用MIS+S、S-MIS或S2-MIS體系架構;確定業務和數據存儲的方案;網絡拓撲結構;基礎安全設施和主要安全設備的選型;業務應用信息系統的安全級別的確定;系統資金和人員投入的檔次。
9、什麼技術是信息安全的根本?是建立安全空間5大要素的基石?
密碼技術是信息安全的根本,是建立“安全空間”“認證、權限、完整、加密和不可否認”5大要素所不可缺少的“基石”。
10、安全空間五大要素是什麼?
安全空間五大要素:認證、權限、完整、加密和不可否認。
11、常見的對稱密鑰算法有哪些?(記)對稱密鑰算法的優缺點是什麼?
常見的對稱密鑰算法:SDBI(國家密碼辦公室批准的國內算法,權硬件中存在)、IDEA、RC4、DES(64比特)、3DES(128比特)等。
優點:加/解密速度快;密鑰管理簡單;適宜一對一的信息加密傳輸過程。
缺點:加密算法簡單,密鑰長度有限,加密強度不高;密鑰分發困難,不適宜一對多的加密信息傳輸。
12、哈希算法在數字簽名中,可以解決什麼問題?常見的哈希算法有哪些?
哈希算法在數字簽名中,可以解決驗證簽名和用戶身份驗證、不可抵賴性的問題。常見HASH算法有:SDH、SHA、MD5。
13、我國實行密碼分級制度,密碼等級及適用範圍是什麼?(記)
商用密碼——國內企業、事業單位
普用密碼——政府、黨政部門
絕密密碼——中央和機要部門
軍用密碼——軍隊
14、WLAN的安全機制中,WEP、WEP2、WPA,哪個加密效果最好?
WPA
15、PKI的體系架構,概括爲兩大部分,即信息服務體系和什麼?
信息服務體系和密鑰管理中心
16、PMI與PKI的區別是什麼?(記)
PMI主要進行授權管理,證明這個用戶有什麼權限,能幹什麼,即“你能做什麼”。
PKI主要進行身份鑑別,證明用戶身份,即“你是誰”。
17、概括地講,安全審計是採用什麼和什麼技術?實現在不同網絡環境中終端對終端的監控與管理,在必要時可以做什麼?
安全審計是採用數據挖掘和數據倉庫技術,實現在不同網絡環境中終端對終端的監控和管理,在必要時通過多種途徑向管理員發出警告或自動採取排錯措施,能對歷史數據進行分析、處理和追蹤。
18、安全教育培訓的知識分爲哪四級?
知識級培訓、政策級培訓、實施級培訓、執行級培訓
19、ISO/IEC17799標準涉及10個領域,是哪10個?哪一個是防止商業活動的中斷和防止商業過程免受重大失誤或災難的影響?
信息安全政策、安全組織、資產分類和管理、個人信息安全守則、設備及使用環境的信息安全管理、溝通和操作管理、系統訪問控制、系統開發和維護、業務持續經營計劃、合規性。
業務持續經營計劃是防止商業活動的中斷和防止商業過程免受重大失誤或災難的影響。
20、ISSE-CMM模型中,最重要的術語是什麼?
過程、過程區、工作產品、過程能力。
21、ISSE是SSE、SE和SA在信息系統安全方面的具體體現,請分別闡述英文的中文意思。
SSE系統安全工程(SystemsSecurity Engineering)、SE系統工程(System Engineering)、SA系統獲取(System Acquisition)
三、信息工程監理知識
1、信息系統工程監理的什麼是四控三管一協調?四控三管一協調是什麼?(記)
信息系統工程監理的主要內容是四控三管一協調。四控:質量控制、進度控制、投資控制、變更控制;三管:合同管理、信息管理、安全管理;協調:溝通協調。
2、《信息系統工程監理》,總監不得將哪些工作委託總監代表?(記)
1)主持編寫工程監理規劃,審批工程監理細則;2)協調建設單位和承建單位的合同爭議,參與索賠的處理,審批工程延期;3)根據工程項目的進展情況進行監理人員的調配,調換不稱職的監理人員;4)審覈籤認承建單位的付款申請、付款證書和竣工結算。
3、監理大綱、監理規劃、監理細則這三種方件的區別?
監理大綱:由監理公司技術總監編制,用於監理招投標階段,目的是爲了贏得監理項目;
監理規劃:是在贏得監理項目後由總監理工程師編寫,是監理工作的綱領性文件;
監理細則:是由專業監理工程師編寫的,用來指導監理工作的實施細則。
4、總監、總監代表、監理工程師、監理員,這四個角色中,可以缺少誰?
可以缺少總監代表。
5、關於工程暫停令,有哪些知識點?(記)
1)實施、開始中出現質量異常情況,經提出後承建單位仍不採取改進措施者;或者採取的改進措施不力,還未使質量狀況發生好轉趨勢者;
2)隱蔽作業未經現場監理人員查驗自行封閉、掩蓋者;
3)對已發生的質量事故未進行處理和提出有效的改進措施就繼續進行者;
4)擅自變更設計及開發方案自行實施、開發者;
5)使用沒有技術合格證的工程材料、沒有授權證書的軟件,或者擅自替換、變更工程材料及使用盜版軟件者。
6)未經技術資質審查的人員進入現場實施、開發者。
7)工程暫停令必須由總監簽發
8)當承建單位要求暫停,且工程需要暫停時
6、判斷:信息系統工程監理是對項目的乙方進行全方位、全過程的監督管理?
錯。監理只做四控三管一協調。如人力資源管理等是不參與管理的。
7、目前,信息系統監理資質是由哪兒頒發?資質分爲哪四級?
由中國電子企業協會頒發。資質分爲甲級(25個)、乙級(12個)、丙級(5個)、丙級臨時級(2個)