中项笔记(九)

——2016年4月4日
一、变更管理
1、变更管理的原则是首先?
 
变更管理的原则是首先建立项目基准、变更流程和变更控制委员会。

2、国内较多的配置工具有哪些?(3个)
  Rational C1earCase、VisualSvurceSafe、ConcurrentVersions Systemp

3、CCB是决策机构还是作业机构?
  决策机构

4、项目经理在变更中的作用是什么?
  项目经理在变更中的作用是:响应变更提出者的要求,评估变更对项目的影响及应对方案,将要求由技术要求转化为资源需求,供授权人决策;并据评审结果实施即调整项目基准,确保项目基准反映项目实施情况。

5、变更的工作程序?(记)
  提出与接受变更申请、对变更的初审、变更方案论证、项目变更委员会审查、发出变更通知并开始实施、变更实施监控、变更效果评估、判断发生变更后的项目是否已纳入正轨。

6、变更初审的目的是什么?(记)
(1)对变更提出方施加影响,确认变更的必要性,确保变更是有价值的。
(2)格式校验,完整性较验,确保评估所需信息准备充分。
(3)在干系人间就提出供评估的变更信息达成共识。
(4)变更初审的常见方式为变更申请文档的审核流转。

7、变更效果的评估从哪几个方面进行?
(1)首要的评估依据,是项目荃准。
(2)还需结合变更的初衷来看,变更所要达到的目的是否已达成。
(3)评估变更方案中的技术论证、经济论证内容与实施过程的差距并推进解决。

8、针对变更,何时可以使用分批处理、分优先级的方式,以提高效率?
  在项目整体压力较大的情况下,更需强调变更的提出、处理应当规范化,可以使用分批处理、分优先级等方式提高效率。

9、项目规模小、与其它项目关联度小时,高精尖更应简便高效,需注意哪三点?
(1)对变更产生的因素施加影响。防止不必要的变更,减少无谓的评估,提高必要变更的通过效率。
(2)对变更的确认应当正式化。
(3)变更的操作过程应当规范化。

10、对进度变更的控制,应包括哪些主题?(记)
(1)判断项目进度的当前状态。
(2)对造成进度变更的因素施加影响。
(3)查明进度是否已经改变。
(4)在实际变更出现时对其进行管理。

11、对成本变更的控制,包括哪些主题?
(1)对造成成本基准变更的因素施加影响。
(2)确保变更请求获得同意。
(3)当变更发生时,管理这些实际的变更。
(4)保证潜在的费用超支不超过授权的项目阶段资金和总体资金。
(5)监督费用绩效,找出与成本基准的偏差。
(6)准确记录所有与成本基准的偏差。
(7)防止错误的、不恰当的或未批准的变更被纳入费用或资源使用报告中。
(8)就审定的变更,通知利害关系者。
(9)采取措施,将预期的费用超支控制在可接受的范围内。

12、请简述变更管理与配置管理的区别?
  如果把项目整体的交付物视作项目的配置项,配置管理可视为对项目完整性管理的一套系统,当用于项目基准调整时,变更管理可视为其一部分。亦可视变更管理与配置管理为相关联的两套机制,变更管理由项目交付或基准配置调整时,由配置管理系统调用:变更管理最终应将对项目的调整结果反馈给配置管理系统,以确保项目执行与对项目的账目相一致。

二、安全管理
1、信息安全三元组是什么?
  保密性、完整性、可用性。

2、数据的保密性一般通过哪些来实现?
  网络安全协议、认证服务、加密服务。

3、确保数据完整性的技术包括哪些?
  消息源的不可抵赖、防火墙系统、通信安全、入侵检测系统。

4、确保可用性的技术包括哪些?
  磁盘和系统的容错及备份、可接受的登录及进程性能、可靠的功能性的安全进程和机制。

5、在ISO/IEC27001中,信息安全管理的内容被概括为哪11个方面?
  信息安全方针与策略;组织信息安全;资产管理;人力资源安全;物理和环境安全;通信和操作安全;访问控制;信息系统的获取、开发和保持;信息安全事件管理;业务持续性管理;符合性。

6、什么是业务持续性管理?
  应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。应实施业务持续性管理过程以减少对组织的影响,并通过预防和恢复控制措施的结合将信息资产的损失恢复到可接受的程度。这个过程需要识别关键的业务过程,并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。灾难、安全失效服务丢失和服务可用性的后果应取决于业务影响分析。应建立和实施业务持续性计划,以确保基本运营能及时恢复。信息安全应该是整体业务持续性过程和组织内其他管理过程的一个不可或缺的一个部分。除了通用的风险评估过程外,业务连续性管理应包括识别和减少风险的控制措施、限制有害事件的影响以及确保业务过程需要的信息能够随时得到。

7、应用系统常用的保密技术有哪些?
  最小授权原则;防暴露;信息加密;物理保密。

8、影响信息完整性的主要因素有哪些?
  影响信息完整性的主要因素有设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码)、人为攻击和计算机病毒等。

9、保障应用系统完整性的主要方法有哪些?
  协议;纠错编码方法;密码校验和方法;数字签名;公证。

10、哪个性质一般用系统正常使用时间和整个工作时间之比来度量?
  可用性一般用系统正常使用时间和整个工作时间之比来度量。

11、在安全管理体系中,不同安全等级的安全管理机构应按哪种顺序逐步建立自己的信息安全组织机构管理体系?
 
配备安全管理人员;建立安全职能部门;成立安全领导小组;主要负责人出任领导;建立信息安全保密管理部门。

12、在信息系统安全管理要素一览表中,“风险管理”类,包括哪些族?“业务持续性管理”类包括哪些族?
  风险管理包括的族:风险管理要求和策略;风险分析和评估;风险控制;基于风险的决策;风险评估的管理。业务持续性管理”类包括的族:备份与恢复;安全事件处理。

13、GB/T20271-2006中,信息系统安全技术体系是如何描述的?(只答一级标题)
  物理安全、运行安全、数据安全

14、对于电源,什么叫紧急供电?稳压供电?电源保护?不间断供电?
  紧急供电:配置抗电压不足的基本设备、改进设备或更强设备,如基本UPS,改进的UPS、多级UPS和应急电源(发电机组)等。
  稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响。
  电源保护:设置电源保护装置,如金属氧化物可变电阻、二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器等,防止/减少电源发生故障。
  不间断供电:采用不间断供电电源,防止电压波动、电器干扰和断电等对计算机系统的不良影响。

15、人员进出机房和操作权限范围控制包括哪些?
  应明确机房安全管理的责任人,机房出入应有指定人员负责,未经允许的人员不准进入机房:获准进入机房的来访人员,其活动范围应受限制,并有接待人员陪同;机房钥匙由专人管理,未经批准,不准任何人私自复制机房钥匙或服务器开机钥匙;没有指定管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出机房,与工作无关的物品均不准带入机房;机房内严禁吸烟及带入火种和水源。应要求所有来访人员经过正式批准,登记记录应妥善保存以备查;获准进入机房的人员,一般应禁止携带个人计算机等电子设备进入机房,其活动范围和操作行为应受到限制,并有机房接待人员负责和陪同。

16、针对电磁兼容,计算机设备防泄露包括哪些内容?
  对需要防止电磁泄露的计算机设备应配备电磁干扰设备,在被保护的计算机设备工作时电磁干扰设备不准关机;必要时可以采用屏蔽机房。屏蔽机房应随时关闭屏蔽门;不得在屏蔽墙上打钉钻孔,不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆;应经常测试屏蔽机房的泄露情况并进行必要的维护。

17、对哪些关键岗位人员进行统一管理,允许一人多岗,但业务应用操作人员不能由其它关键岗位人员兼任?
  对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理;允许一人多岗,但业务应用操作人员不能由其他关键岗位人员兼任。

18、业务开发人员和系统维护人员不能兼任或担任哪些岗位?
  业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作。

19、应用系统运行中涉及四个层次的安全,按粒度从粗到细的排序是什么?(记)
 
系统级安全、资源访问安全、功能性安全、数据域安全。

20、哪些是系统级安全?
  敏感系统的隔离、访问IP地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等,系统级安全是应用系统的第一道防护大门。

21、什么是资源访问安全?
  对程序资源的访问进行安全控制,在客户端上,为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;在服务端则对URL程序资源和业务服务类方法的调用进行访问控制。

22、什么是功能性安全?
  功能性安全会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。

23、什么是数据域安全?
  数据域安全包括两个层次,其一是行级数据域安全,即用户可以访问哪些业务记录,其二是字段级数据域安全,即用户可以访问业务记录的哪些字段。

24、系统运行安全检查和记录的范围有哪些?(并叙述每个的内容)
(1)应用系统的访问控制检查。包括物理和逻辑访问控制,是否按照规定的策略和程序进行访问权限的增加、变更和取消,用户权限的分配是否遵循“最小特权”原则。
 (2)应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。
(3)应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统恢复时间等。
(4)应用系统能力检查。包括系统资源消耗情况、系统交易速度和系统吞吐量等。
(5)应用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。
(6)应用系统维护检查。维护性问题是否在规定的时间内解决,是否正确地解决问题,解决问题的过程是否有效等;
(7)应用系统的配置检查。检查应用系统的配置是否合理和适当,各配置组件是否发挥其应有的功能。
(8)恶意代码的检查。是否存在恶意代码,如病毒、木马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。

25、保密等级按有关规定划分为:绝密、机密和?
  绝密、机密和秘密。

26、可靠性等级分为哪三级?
  对可靠性要求最高的为A级,系统运行所要求的最低限度可靠性为C级,介于中间的为B级

时间: 2024-10-14 18:21:26

中项笔记(九)的相关文章

老男孩培训视频听课笔记九(在51cto上听的)--5.8 64bit 基础优化

定时清理clientmqueue目录垃圾文件防止占满磁盘空间: /var/spool/clientmqueue  --这个目录会自动创建很多的文件,可以用下面的命令来清理 find /var/spool/clientmqueue/ –type  f | xargs rm –fr mkdir /server/scripts –p vim del.sh: find /var/spool/clientmqueue/ –type  f | xargs rm –fr crontab -e */5 * *

APUE 学习笔记(九) 高级I/O

1. 非阻塞I/O 低速系统调用时可能会使进程永远阻塞的一类系统调用,包括以下调用: (1)某些文件类型你(网络socket套接字.终端设备.管道)暂无可使用数据,则读操作可能会使调用者永远阻塞 (2)如果数据不能立即被(1)中文件类型接受,则写操作会使调用者永远阻塞 (3)某些进程间通信函数 非阻塞I/O使我们可以调用open.read.write这样的I/O操作,并使这些操作不会永远阻塞,如果这种操作不能完成,则调用立即出错返回 对于一个给定的文件有两种方法对其指定非阻塞I/O: (1)调用

python学习笔记九——文件与目录

1.python进行文件读写的函数是open或file类 mode:r  只读 r+   读写 w  写入,先删除原文件,再重新写入,如果文件没有则创建 w+  读写,先删除原文件,再重新写入,如果文件没有则创建(可写入和输出) a  写入,在文件末尾追加新的内容,文件不存在则创建 a+  读写,在文件末尾追加新的内容,文件不存在则创建 b  打开二进制文件,可与r,w,a,+结合使用 U  支持所有的换行符号,"\r","\n","\r\n"

angular学习笔记(九)-css类和样式3

再来看一个选择li列表的例子: 点击li中的任意项,被点击的li高亮显示: <!DOCTYPE html> <html ng-app> <head> <title>6.3css类和样式</title> <meta charset="utf-8"> <script src="../angular.js"></script> <script src="scri

angular学习笔记(九)-css类和样式2

在上一个例子中,元素的类名使用拼接的方法,这样,类名中就不得不带有true或false,并且不易维护,所以,angular使用ng-class属性来控制元素的类名: 我们来看一个小例子,点击error按钮,顶部提示错误框,点击warning按钮,顶部提示警告框. 错误框的类名是.err,警告框的类名是.warn: <!DOCTYPE html> <html ng-app> <head> <title>6.2css类和样式</title> <

jQuery整理笔记九----功能性表格开发

示例中用到的一些图片.插件.样式文件等下载地址:点我进入下载 过去在开发过程中关于table方面的jquery应用仅仅是局限于使用jquery操作table增加一行.删除一列等等操作.今天整理的跟过去用的不一样. 1.uiTableFilter uiTableFilter是一款表格数据行过滤插件,使用很简单,具体用法如下: $.uiTableFilter(table,phrase)  该函数包含两个参数,其中第一个参数为jQuery对象,即为jQuery方法匹配的表格,或者也可以是jQuery匹

Linux System Programming 学习笔记(九) 内存管理

1. 进程地址空间 Linux中,进程并不是直接操作物理内存地址,而是每个进程关联一个虚拟地址空间 内存页是memory management unit (MMU) 可以管理的最小地址单元 机器的体系结构决定了内存页大小,32位系统通常是 4KB, 64位系统通常是 8KB 内存页分为 valid or invalid: A valid page is associated with an actual page of data,例如RAM或者磁盘上的文件 An invalid page is

Elasticsearch笔记九之优化

Elasticsearch笔记九之优化 优化从索引片段,内存设置,副本,分片,日志等方面入手.1:索引片段Es运行时会生成很多索引片段,执行查询时会打开这些索引片断.系统会限制打开索引片断的个数一旦超过这个个数限制就无法打开索引片断.我们可以通过命令来查看更改索引片断的限制数量.索引片断位置/usr/local/elasticsearch-1.4.4/data/elasticsearch/nodes/0/indices/shb01/0/index ulimit –a 查看索引片断数量,默认是10

虚拟机VMWare学习笔记九 - 物理机上的文件挂载到虚拟机上

物理机上的文件夹或盘符直接挂载到虚拟机上使用. VM -- Settings Options -- Shared Folders -- 勾选Always enabled , 勾选Map as a network drive in Windows guests 在点击下面的添加来添加共享的文件夹 选择路径 可以看到虚拟机中的共享文件夹已经出现在Windows 中了 虚拟机VMWare学习笔记九 - 物理机上的文件挂载到虚拟机上

初探swift语言的学习笔记九(OC与Swift混编)

swift 语言出来后,可能新的项目直接使用swift来开发,但可能在过程中会遇到一些情况,某些已用OC写好的类或封装好的模块,不想再在swift 中再写一次,哪就使用混编.这个在IOS8中是允许的. 先中简单的入手,先研究在同一个工程目录下混合使用的情况. 为了演示.先准备两个类 第一个是swift语言写的类,文件名为 act.swift import Foundation class Act : NSObject { func hasAct(tag:Int) -> String { swit