一、项目整体绩效评估
1、三E审计是什么的合称?(记)P524
答:绩效审计(三E审计)是经济审计、效率审计和效果审计的合称,因为三者的第一个英文字母均为E,故称三E审计。
2、霍尔三维结构是从哪三个方面考察系统工程的工作过程的?P528
答:从逻辑、时间、知识三方面考查系统工程的工作过程。
3、投资回收期的公式?(记,并理解)
答:投资回收期公式为:(累计净现金流量开始出现正值的年份数)-1+(上年累计净现金流量的绝对值/当前净现金流量)。
二、信息安全相关知识
1、在三安系统三维空间示意图中,X,Y,Z轴分别代表什么意思?(记)同时,X、Y、Z上分别有哪些要素?P539
答:X轴是“安全机制”,Y轴是OSI网络参考模型,Z轴是“安全服务”。达到具有认证、权限、完整、加密和不可否认五大要素,也叫做“安全空间”的五大“属性”。
2、MIS+S、S-MIS、S2-MIS的名字叫什么?(记)同时,它们的特点分别是什么?P544
答:MIS+S系统为“初级信息安全保障系统”或“基本信息安全保障系统”。
(1)业务应用系统基本不变。
(2)硬件和系统软件通用。
(3)安全设置基本不带密码。
S-MIS系统为“标准信息安全保障系统”
(1)硬件和系统软件通用。
(2)PKI/CA安全保障系统必须带密码。
(3)主要的通用的硬件、软件也要通过PKI/CA认证。
S2-MIS系统为“超安全的信息安全保障系统”
(1)硬件和系统软件都专用。
(2)PKI/CA安全基础设施必须带密码。
(3)业务应用系统必须根本改变。
(4)主要的硬件和系统软件需要PKI/CA认证。
3、安全威胁的对象是一个单位中的有形资产和无形资产,主要是什么?
答:有行资产。
4、请描述威胁、脆弱性、影响之间的关系?P562
答:威胁、脆弱性、影响之间存在着一定的对应关系,威胁可看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。而脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。影响可以看作是威胁与脆弱性的特殊组合。
5、假设威胁不存在,系统本身的脆弱性仍会带来一定的风险,请举2个例子。(记)
答:如数据管理中的数据不同步导致完整性遭到破坏;存储设备硬件故障使大量数据丢失。
6、安全策略的核心内容是七定,哪七定?P569这七定中,首先是解决什么?其次是什么?P575
答:定方案、定岗、定位、定员、定目标、定制度、定工作流程。系统安全策略首先要解决“定方案”,其实就是“定岗”。
7、5个安全保护等级分别是什么?每级适用于什么内容?(重点记5个名字,同时重点记第3、4级的适用)P571
答:第1级为用户自主保护级,该级使用与普通内联网用户。
第2级为系统审计保护级,该级使用与通过内联网或国际网进行商务活动,需要保密的非重要单位。
第3级为安全标记保护级,该级使用与地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
第4级为结构化保护级,该级使用与中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
第5级为访问验证保护级,该级使用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
8、确定信息系统安全方案,主要包括哪些内容?P574
答:(1)确定mis+s s-mis s2-mis 体系架构。
(2)确定业务和数据存储方案。
(3)网络拓扑结构
(4)基础安全设施和主要安全设备的选型。
(5)业务应用信息系统安全级别的确定
(6)系统资金和人员投入的档次
9、什么技术是信息安全的根本?是建立安全空间5大要素的基石?P577
答:密码技术是信息安全的根本,是建立“安全空间”“认证、权限、完整、加密和不可否认”5大要素所不可缺少的“基石”。
10、安全空间五大要素是什么?
答:认证、权限、完整、加密和不可否认。
11、常见的对称密钥算法有哪些?P578(记)对称密钥算法的优缺点是什么?
答:常见的对称秘钥算法有:SDBI(国家密码办公室批准的国内算法,仅硬件中存在)、IDEA、RC4、DES、3DES等。
优点:(1)加/解密速度快
(2)密钥管理简单
(3)事宜一对一的信息加密传输过程。
缺点:(1)加密算法简单,密钥长度有限(56bit/128bit),加密强度不高.
(2)密钥分发困难,不适宜一对多的加密信息传输。
12、哈希算法在数字签名中,可以解决什么问题?常见的哈希算法有哪些?P580
答:哈希算法在数字签名中,可以解决验证签名和用户身份验证、不可抵赖性的问题。
常见的HASH算法有:SDH(国家密码办公室批准的HASH算法)、SHA、MD5(MD便是信息摘要)等。
13、我国实行密码分级制度,密码等级及适用范围是什么?(记)P583
答:(1)商用密码--国家企业、事业单位
(2)普用密码—政府、党政部门
(3)绝密密码—中央和机要部门
(4)军用密码—军队
14、WLAN的安全机制中,WEP、WEP2、WPA,哪个加密效果最好?P588
答:WPA加密效果做好。
15、PKI的体系架构,概括为两大部分,即信息服务体系和什么?P591
答:密钥管理中心。
16、PMI与PKI的区别是什么?(记)P617
答:PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么”。PKI主要进行身份鉴别,证明用户身份,即“你是谁”。
17、概括地讲,安全审计是采用什么和什么技术?实现在不同网络环境中终端对终端的监控与管理,在必要时可以做什么?P628
答:安全审计是采用数据挖掘和数据仓库技术,实现在不用网络环境中撞断对中断的监控和管理,在必要时用过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和跟踪。
18、安全教育培训的知识分为哪四级?P646
答:知识级的培训、政策级的培训、实施级的培训和执行级的培训。
19、ISO/IEC17799标准涉及10个领域,是哪10个?P650哪一个是防止商业活动的中断和防止商业过程免受重大失误或灾难的影响?
答:(1)信息安全策略
(2)安全组织
(3)资产分类与管理
(4)个人信息安全守则
(5)设备及使用环境的信息安全管理
(6)沟通和操作管理
(7)系统访问控制
(8)系统开发和维护
(9)业务维持经营计划
(10)合规性
业务持续经营计划的制定和实施,是防止商业活动的中断和防止关键商业过程免受重大失误或灾难的影响。
20、ISSE-CMM模型中,最重要的术语是什么?P664
答:(1)过程(2)过程区(3)工作产品(4)过程能力
21、ISSE是SSE、SE和SA在信息系统安全方面的具体体现,请分别阐述英文的中文意思。P665
答:信息安全系统工程(ISSE)是系统安全工程(Systems SecurityEngineering,SSE)、系统工程(System Engineering,SE)和系统获取(System Acquisition,SA)在信息系统安全方面具体体现。
三、信息工程监理知识
1、信息系统工程监理的什么是四控三管一协调?四控三管一协调是什么?(记)
答:监理活动的主要内容被概括为“四控三管一协调”。其中“四控制”是信息系统工程质量控制、信息系统工程进度控制、信息系统工程投资控制、信息系统工程变更控制;“三管理”是信息系统工程合同管理、信息系统工程信息管理
信息西永工程安全管理;“一协调”是指在信息系统工程实施过程中协调有关单位及人员间的工作关系。
2、《信息系统工程监理》,总监不得将哪些工作委托总监代表?(记)
答:1)主持编写工程监理规划,审批工程监理细则;
2)协调建设单位和承建单位的合同争议,参与索赔的处理,审批工程延期;
3)根据工程项目的进展情况进行监理人员的调配,调换不称职的监理人员;
4)审核签认承建单位的付款申请、付款证书和竣工结算。
3、监理大纲、监理规划、监理细则这三种方件的区别?
答:监理大纲:由监理公司技术总监编制,用于监理招投标阶段,目的是为了赢得监理项目;
监理规划:是在赢得监理项目后由总监理工程师编写,是监理工作的纲领性文件;
监理细则:是由专业监理工程师编写的,用来指导监理工作的实施细则。
4、总监、总监代表、监理工程师、监理员,这四个角色中,可以缺少谁?
答:总监代表
5、关于工程暂停令,有哪些知识点?(记)
答:1)实施、开始中出现质量异常情况,经提出后承建单位仍不采取改进措施者;或者采取的改进措施不力,还未使质量状况发生好转趋势者;
2)隐蔽作业未经现场监理人员查验自行封闭、掩盖者;
3)对已发生的质量事故未进行处理和提出有效的改进措施就继续进行者;
4)擅自变更设计及开发方案自行实施、开发者;
5)使用没有技术合格证的工程材料、没有授权证书的软件,或者擅自替换、变更工程材料及使用盗版软件者。
6)未经技术资质审查的人员进入现场实施、开发者。
7)工程暂停令必须由总监签发
8)当承建单位要求暂停,且工程需要暂停时
6、判断:信息系统工程监理是对项目的乙方进行全方位、全过程的监督管理?
答:错。监理只做四控三管一协调。如人力资源管理等是不参与管理的。
7、目前,信息系统监理资质是由哪儿颁发?资质分为哪四级?
答:中国电子企业协会监理分会颁发,资质分为甲级(25个)、乙级(12个)、丙级(5个)、丙级临时级(2个)。