一、项目整体绩效评估
1、三E审计是什么的合称?(记)
绩效审计(三E审计)是经济审计、效率审计和效果审计的合称。
2、霍尔三维结构是从哪三个方面考察系统工程的工作过程的?
霍尔三维结构是由霍尔提出的关于系统方法论的结构,它从逻辑维、时间维、知识维三方面考察系统工程的工作过程。
3、投资回收期的公式?(记,并理解)(公开课中讲过)
- 静态投资回收期=(累积净现金流量开始出现正值年份数-1)+(上年累积净现金流量的绝对值/当年净现金流量)
- 投资利润率=年均净利润/投资总额
- 动态投资回收期=(累积净现值开始出现正值年份数-1)+(上年累积净现值的绝对值/当年净现值)
- 二、信息安全相关知识
1、在三安系统三维空间示意图中,X,Y,Z轴分别代表什么意思?(记)同时,X、Y、X上分别有哪些要素?
X轴是安全机制,Y轴是OSI网络参考模型,Z轴是安全服务。
X轴的要素:基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、安全规范体系。
Y轴的要素:物理层、链路层、网络层、传输层、会话层、表示层、应用层。
Z轴的要素:对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否则服务、犯罪证据提供服务。
2、MIS+S、S-MIS、S2-MIS的名字叫什么?(记)同时,它们的特点分别是什么?
MIS+S叫初级信息安全保障系统,特点:业务应用系统基本不变、硬件和系统软件通用、安全设备基本不带密码。
S-MIS叫标准信息安全保障系统,特点:硬件和系统软件通用、PKI/CA安全保障系统必须带密码、业务应用系统必须根本改变、主要的通用的硬件、软件也要通过PKI/CA认证。
S2-MIS叫超安全的信息安全保障系统。特点:硬件和系统软件专用、PKI/CA安全基础设施必须带密码、业务应用系统必须根本改变、主要的硬件和系统软件需要PKI/CA认证。
3、安全威胁的对象是一个单位中的有形资产和无形资产,主要是什么?
安全威胁的对象是一个单位中的有形资产和无形资产,主要是有形资产。
4、请描述威胁、脆弱性、影响之间的关系?
威胁、脆弱性、影响之间存在着一定的对应关系,威胁可看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。而脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。实际上,系统的风险可以看作是威胁利用了脆弱性而引起的。如果系统不存在脆弱性,那么威胁也不存在,风险也就没有了。但实际上没有脆弱性的系统是没有的,因此系统也要受到各种各样的威胁。
5、假设威胁不存在,系统本身的脆弱性仍会带来一定的风险,请举2个例子。(记)
假设威胁不存在,系统本身的脆弱性仍会带来一定的风险。如:数据管理中的数据不同步导致完整性遭到破坏;存储设备硬件故障使大量数据丢失。这些都是系统本身的脆弱性导致的损失,并且与威胁无关。
6、安全策略的核心内容是七定,哪七定?这七定中,首先是解决什么?其次是什么?
安全策略的核心内容是七定:定方案、定岗、定位、定员、定目标、定制度、定工作流程。
按照系统安全策略七定要求,系统安全策略首先要解决定方案,其次就是定岗。
7、5个安全保护等级分别是什么?每级适用于什么内容?(重点记5个名字,同时重点记第3、4级的适用)
第1级为用户自主保护级,该级适用于普通内联网用户。
第2级为系统审计保护级,该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
第3级为安全标记保护级,该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
第4级为结构化保护级,该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
第5级为访问验证保护级,该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
8、确定信息系统安全方案,主要包括哪些内容?
- 首先确定采用MIS+S、S-MIS或S2-MIS体系架构。
- 确定业务和数据存储的方案。
- 网络拓扑结构。
- 基础安全设施和主要安全设备的选型。
- 业务应用信息系统的安全级别的确定。
- 系统资金和人员投入的档次。
9、什么技术是信息安全的根本?是建立安全空间5大要素的基石?
密码技术是信息安全的根本,是建立安全空间5大要素的基石。
10、安全空间五大要素是什么?
安全空间五大要素是认证、权限、完整、加密和不可否认。
11、常见的对称密钥算法有哪些?(记)对称密钥算法的优缺点是什么?
常见的对称密钥算法有:SDBI,IDEA,RC4,DES,3DES等。
对称密钥算法的优点:
加/解密速度快、密钥管理简单、适宜一对一的信息加密传输过程。
对称密钥算法的缺点:
加密算法简单,密钥长度有限,加密强度不高。
密钥分发困难,不适宜一对多的加密信息传输。
12、哈希算法在数字签名中,可以解决什么问题?常见的哈希算法有哪些?
哈希算法在数字签名中,可以解决验证签名和用户身份验证、不可抵赖性的问题。
常见的HASH算法有:SDH、SHA、MD5等。
13、我国实行密码分级制度,密码等级及适用范围是什么?(记)
- 商用密码-国内企业、事业单位
- 普用密码-政府、党政部门
- 绝密密码-中央和机要部门
- 军用密码-军队
14、WLAN的安全机制中,WEP、WEP2、WPA,哪个加密效果最好?
WPA加密效果最好。
15、PKI的体系架构,概括为两大部分,即信任服务体系和什么?
PKI的体系架构,概括为两大部分,即信任服务体系和密钥管理中心。
16、PMI与PKI的区别是什么?(记)
PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即你能做什么。
PKI主要进行身份鉴别,证明用户身份,即你是谁。
它们之间的关系类似于护照和签证的关系。护照是身份证明,唯一标识个人信息,只有持有护照才能证明你是一个合法的人。签证具有属性类别,持有哪一类别的签证才能在该国家进行哪一类的活动。
17、概括地讲,安全审计是采用什么和什么技术?实现在不同网络环境中终端对终端的监控与管理,在必要时可以做什么?
概括地讲,安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,在必要时通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。
18、安全教育培训的知识分为哪四级?
知识级、政策级、实施级、执行级。
19、ISO/IEC17799标准涉及10个领域,是哪10个?哪一个是防止商业活动的中断和防止商业过程免受重大失误或灾难的影响?
ISO/IEC17799标准涉及10个领域:信息安全策略、安全组织、资产分类与管理、个人信息安全守则、设备及使用环境的信息安全管理、沟通和操作管理、系统访问控制、系统开发和维护、业务持续经营计划、合规性。
业务持续经营计划的制定和实施,是防止商业活动的中断和防止关键商业过程免受重大失误或灾难的影响。
20、ISSE-CMM模型中,最重要的术语是什么?
ISSE-CMM模型中,最重要的术语是过程、过程区、工作产品、过程能力。
21、ISSE是SSE、SE和SA在信息系统安全方面的具体体现,请分别阐述英文的中文意思。
信息安全系统工程(ISSE)是系统安全工程(SSE)、系统工程(SE)和系统获取(SA)在信息系统安全方面的具体体现。
三、信息工程监理知识
1、信息系统工程监理的什么是四控三管一协调?四控三管一协调是什么?(记)
信息系统工程监理的主要内容是四控三管一协调。
四控:质量控制、进度控制、投资控制、变更控制
三管:合同管理、信息管理、安全管理
一协调:协调有关单位及人员间的工作管理
2、《信息系统工程监理》,总监不得将哪些工作委托总监代表?(记)
总监理工程师不得将跟钱有关的事情、开工令、停工令、人事权、工程验收等重大事情委托总监代表。
3、监理大纲、监理规划、监理细则这三种方件的区别?
监理大纲是投标时写的,由公司的总监理工程师主持编写,目的是为什么这么做,是投标文件的基础部分;
监理规划是由项目总监主持编写,内容是做什么,监理规划具有合同效力,经业主方确认后生效;
监理细则是由专业监理工程师主持编写,内容是怎么做。
4、总监、总监代表、监理工程师、监理员,这四个角色中,可以缺少谁?
可以缺少总监代表。
一个项目,总监必须只有一名,总监代表可以设置N个。
5、关于工程暂停令,有哪些知识点?(记)
工程暂停令必须由项目总监签发。
暂停令的前提条件:
当承建单位要求暂停,且工程需要暂停时;
发现乙方违反强制性标准,先让乙方整改,不听再发;
发生重大工程质量,且继续施工;
6、判断:信息系统工程监理是对项目的乙方进行全方位、全过程的监督管理?
错,监理只做4控3管1协调。
7、目前,信息系统监理资质是由哪儿颁发?资质分为哪四级?
目前,信息系统监理资质是由中国电子企业协会。
资质分为甲级、乙级、丙级、临时资质。