2016年4月26日做業

1、項目總體績效評估

 

1、三E審計是什麼的合稱？（記）

三E審計是經濟審計、效率審計和效果審計的合稱。

2、霍爾三維結構是從哪三個方面考察系統工程的工做過程的？

從邏輯、時間和知識三方面考察系統的工做過程。

3、投資回收期的公式？（記，並理解）

投資回收期pt=（累計淨現金流量開始出現正值的年份數）－１＋（上年累計淨現金流量的絕對值／當前淨現金流量）

上年累計淨現金流量是到上年底爲止，還沒有被彌補的初始投資額，要在本年被彌補的金額。因爲其爲負，故取絕對值，該絕對值佔本年淨現金流量的比值就是在本年均勻彌補時所需用的時間。

如：初始投資1 000 000元，第一年回收200 000元，第二年回收400 000元，第三年回收300 000元，第四年回收400 000元，則：

第三年累計淨現金流量：-1 000000+200 000+400 000+300 000=-100 000元，

第四年累計淨現金流量：-1 000000+200 000+400 000+300 000+400 000=300 000元，

在第四年累計淨現金流量開始出現正值。

投資回收期=4-1+|-100 000|/400000=3+0.25=3.25年

2、信息安全相關知識

1、在三安系統三維空間示意圖中，X，Y，Z軸分別表明什麼意思？（記）同時，X、Y、X上分別有哪些要素？

X軸：「安全機制」（基礎設施安全、平臺安全、數據安全、通訊安全、應用安全、運行安全、管理安全、受權和審計安全、安全防範體系）

Y軸：「OSI網絡參考模型「（物理層、鏈路層、網絡層、傳輸層、會話層、表示層、應用層）

Z軸：「安全服務」（對等實體認證服務、訪問控制服務、數據保密服務、數據完整性服務、數據源點認證服務、禁止否定服務、犯罪證據提供服務）

 

2、MIS+S、S-MIS、S2-MIS的名字叫什麼？（記）同時，它們的特色分別是什麼？

MIS+S==management information system + security 「初級信息安全系統」或「基本信息安全保障系統。」

特色：應用基本不變；硬件和系統軟件通用；安全設備基本不帶密碼。

 

S-MIS：security-management information system「標準信息安全保障系統」

特色：硬件和系統軟件通用；PKI/CA安全保障系統必須帶密碼；應用系統必須根本改變。

 

S2-MIS：super security management informationsystem 「超安全的信息安全保障系統」

特色：硬件和系統軟件都專用；PKI/CA安全保障系統必須帶密碼；應用系統必須根本改變；主要的硬件和系統軟件須要PKI/CA認證。

3、安全威脅的對象是一個單位中的有形資產和無形資產，主要是什麼？

有形資產。

4、請描述威脅、脆弱性、影響之間的關係？

威脅可當作從系統外部對系統產生的做用，而致使系統功能及目標受阻的全部現象。

脆弱性則能夠當作是系統內部的薄弱點。脆弱性是客觀存在的，脆弱性自己沒有實際的傷害，但威脅能夠利用脆弱性發揮做用。但若是威脅不存在，系統自己的脆弱仍然帶來必定的風險。

影響能夠看做是威脅與脆弱性的特殊組合。受時間、地域、行業、性質的影響，系統面臨的威脅也不同，風險發生的頻率、機率都不盡相同，所以影響程序也很難肯定。

5、假設威脅不存在，系統自己的脆弱性仍會帶來必定的風險，請舉2個例子。（記）

如數據管理中的數據不一樣步致使完整性遭到破壞；存儲設備硬件故障使大量數據丟失。

6、安全策略的核心內容是七定，哪七定？這七定中，首先是解決什麼？其次是什麼？

定方案、定崗、定位、定員、定目標、定製度、定工做流程。

首先是解決定方案，其次是定崗。

7、5個安全保護等級分別是什麼？每級適用於什麼內容？（重點記5個名字，同時重點記第3、4級的適用）

第一級爲用戶自主保護級，適用於普通內聯網用戶；

第二級爲系統審計保護級，適用於經過內聯網或國際網進行商務活動、要保密的非重要單位；

第三級爲安全標記保護級，適用於地主各級國家機關、金融單位機構、郵電通訊、能源與水源供給部門、交通運輸、大型工商與信息技術企業、重點工程建設等單位；

第四級爲結構化保護級，適用於中央級國家機關、廣播電視部門、重要物資儲備單位、社會應急服務部門、尖端科技企業集團、國家重點科研單位機構和國防建設等部門。

第五級爲訪問驗證保護級，適用於國防關鍵部門和依法須要對計算機信息系統實施特殊隔離的單位。

8、肯定信息系統安全方案，主要包括哪些內容？

1)      首先肯定採用MIS+S、S-MIS或S2-MIS系統架構。

2)      肯定業務和數據存儲方案。

3)      網絡拓撲結構。

4)      基礎安全設施和主要安全設備的選型。

5)      信息應用系統的安全級別的肯定。

6)      系統資金和人員投入的檔次。

9、什麼技術是信息安全的根本？是創建安全空間5大要素的基石？

密碼技術是信息安全的根本，是創建安全空間認證、權限、完整、加密、不能否認五大要素所不可缺乏的技術。

10、安全空間五大要素是什麼？

認證、權限、完整、加密、不能否認。

11、常見的對稱密鑰算法有哪些？（記）對稱密鑰算法的優缺點是什麼？

SDBI（國家密碼辦公室批准的國內算法，僅硬件中存在）、IDEA、RC四、DES、3DES等。

優勢：加/解密速度快；密鑰管理簡單；適宜一對一的信息加密傳輸。

缺點：加密算法簡單，密鑰長度有限，加密強度不高；密鑰分發困難，不適宜一對多的加密信息傳輸。

12、哈希算法在數字簽名中，能夠解決什麼問題？常見的哈希算法有哪些？

能夠解決驗證簽名和用戶身份驗證、不可抵賴性的問題。

常見的哈希算法有SDH（國家密碼辦公室批准的HASH算法）、SHA、MD5等。

13、我國實行密碼分級制度，密碼等級及適用範圍是什麼？（記）

商用密碼—國內企業、事業單位。

普用密碼—政府、黨政部門

絕密密碼—中央和機要部門

軍用密碼—軍隊

14、WLAN的安全機制中，WEP、WEP2、WPA，哪一個加密效果最好？

WPA。

15、PKI的體系架構，歸納爲兩大部分，即信任服務體系和什麼？

信任服務體系和密鑰管理中心。

16、PMI與PKI的區別是什麼？（記）

PMI主要進行受權管理，證實這個用戶有什麼權限，能幹什麼，即「你能作什麼」。

PKI主要進行身份鑑別，證實用戶身份，即「你是誰」。

17、歸納地講，安全審計是採用什麼和什麼技術？實如今不一樣網絡環境中終端對終端的監控與管理，在必要時能夠作什麼？

歸納地講，安全審計是採用數據挖掘和數據倉庫技術，實如今不一樣網絡環境中終端對終端的監控和管理 ，在必要時經過多種途徑向管理員發出警告或自動採起排錯措施，能對歷史數據進行分析、處理和追蹤。

18、安全教育培訓的知識分爲哪四級？

知識級培訓、政策級培訓、實施級培訓和執行級培訓。

19、ISO/IEC17799標準涉及10個領域，是哪10個？哪個是防止商業活動的中斷和防止商業過程免受重大失誤或災難的影響？

1)      信息安全政策。

2)      安全組織。

3)      資產分類與管理。

4)      我的信息安全守則。

5)      設備及使用環境的信息安全管理。

6)      溝通和操做管理。

7)      系統訪問控制。

8)      系統開發和維護。

9)      業務持續經營計劃。

10)   合規性。

業務持續經營計劃的制定和實施，是防止商業活動的中斷和防止關鍵商業過程免受重大失誤或災難的影響。

20、ISSE-CMM模型中，最重要的術語是什麼？

過程、過程區、工做產品、過程能力

21、ISSE是SSE、SE和SA在信息系統安全方面的具體體現，請分別闡述英文的中文意思。

ISSE:information system security engineering ,信息安全系統工程

SSE:system security engineering,系統安全工程

SE:system engineering ,系統工程

SA:system acquisition ，系統獲取

3、信息工程監理知識

 

1、信息系統工程監理的什麼是四控三管一協調？四控三管一協調是什麼？（記）

信息系統工程質量控制

信息系統工程進度控制

信息系統工程成本控制

信息系統工程變動控制

 

信息系統工程合同管理

信息系統工程信息管理

信息系統工程安全管理

 

在信息系統工程實施過程當中協調有關單位及人員間的工做關係。

2、《信息系統工程監理》，總監不得將哪些工做委託總監表明？（記）

1)      主持編寫工程監理規劃，審批工程監理細則。

2)      協調建設單位和承建單位的合同爭議，參與索賠的處理，審批工程延期。

3)      根據工程項目的進展狀況進行監理人員的調配，調換不稱職的監理人員。

4)      審覈籤認承建單位的付款申請、付款證書和竣工結算。

3、監理大綱、監理規劃、監理細則這三種方件的區別？

監理大綱是在建設單位選擇合適的監理單位時，監理單位爲了得到監理任務，在項目監理招標階段項目監理單位案性文件。監理大綱的做用，是爲監理單位的經營目標服務的，起着承接監理任務的做用。

監理規劃是在監理委託合同簽定後，由監理單位制定的指導監理工做開展的綱領性文件。在內容和深度方面比監理委託合同更加具體化，更加具備指導監理工做的實際價值。

監理實施細則是在監理規劃指導下，監理項目部已創建，各項專業監理工做責任制已經落實，配備的專業監理工程師已經上崗，再由專業監理工程師根據專業特色及本專業技術要求編制的、具備實施性和可操做性的業務性文件。細則由各專業監理工程師主持編制，並報送項目總監理工程師承認批准執行。

4、總監、總監表明、監理工程師、監理員，這四個角色中，能夠缺乏誰？

總監表明。

5、關於工程暫停令，有哪些知識點？（記）

1)      工程暫停令必須由總監簽發

2)      當承建單位要求暫停，且工程須要暫停時

3)      施工單位未經批准擅自施工或拒絕項目監理機構管理。

4)      施工單位未按照審查經過的工程設計文件施工；

5)      施工單位違反工程建設強制性標準的；

6)      施工單位存在重大質量、安全事故隱患或發生質量、安全事故的。

6、判斷：信息系統工程監理是對項目的乙方進行全方位、全過程的監督管理？

錯。

7、目前，信息系統監理資質是由哪兒頒發？資質分爲哪四級？

由中國電子企業協會監理分會頒發。資質分爲甲級（25個）、乙級（12個）、丙級（5個）、臨時級（2個）