软考中高项学员：2016年4月4日作业

Posted 2020-07-05

一、变更管理
1、变更管理的原则是首先？

答：首先建立项目基准、变更流程和变更控制委员会（也叫作变更管理委员会）。

2、国内较多的配置工具有哪些？（3个）

答：Rational ClearCase、Visual SourceSafe和Concurrent Version System。

3、CCB是决策机构还是作业机构？

答：CCB是决策机构，不是作业机构。

4、项目经理在变更中的作用是什么？

答：响应变更提出者的要求，评估变更对项目的影响及应对方案，将要求由技术要求转化为资源需求，供授权人决策；并根据评审结果实施即调整项目基准，确保项目基准反应项目实施情况。

5、变更的工作程序？（记）

答：

（1）提出与接收变更申请。

（2）对变更的初审。

（3）变更方案论证。

（4）项目变更控制委员会审查。

（5）发出变更通知并开始实施。

（6）变更实施的监控。

（7）变更效果的评估。

（8）判断发生变更后的项目是否已纳入正常轨道。

6、变更初审的目的是什么？（记）

答：

（1）对变更提出方施加影响，确认变更的必要性，确保变更是更有价值的。

（2）格式校验，完整性校验，确保评估所需信息准备充分。

（3）在干系人间就提出供评估的变更信息达成共识。

（4）变更初审的常见方式为变更申请文档的审核流转。

7、变更效果的评估从哪几个方面进行？

答：

（1）首要的评估依据，是项目基准。

（2）还需结合变更的初衷来看，变更所要达到的目的是否已达成。

（3）评估变更方案中的技术论证、经济论证内容与实施过程的差距并推进解决。

8、针对变更，何时可以使用分批处理、分优先级的方式，以提高效率？

答：在项目整体压力较大的情况下，更需强调变更的提出，处理应当规范化。

9、项目规模小、与其它项目关联度小时，高精尖更应简便高效，需注意哪三点？

答：

（1）对变更产生的因素施加影响。

（2）对变更的确认应当正式化。

（3）变更的操作过程应当规范化。

10、对进度变更的控制，应包括哪些主题？（记）

答：

（1）判断项目进度的当前状态。

（2）对造成进度变更的因素施加影响。

（3）查明进度是否已经改变。

（4）在实际变更出现时对其进行管理。

11、对成本变更的控制，包括哪些主题？

答：

（1）对造成成本基准变更的因素施加影响。

（2）确保变更请求获得同意。

（3）当变更发生时，管理这些实际的变更。

（4）确保潜在的费用超支不超过授权的项目阶段资金总体资金。

（5）监督费用绩效，找出与成本基准的偏差。

（6）准确记录所有与成本基准的偏差。

（7）防止错误的、不恰当的或未批准的变更被纳入费用或资源使用报告中。

（8）就审定的变更，通知利害关系者。

（9）采取措施，将预期的费用超支控制在可接受的范围内。

12、请简述变更管理与配置管理的区别？

答：

（1）如果把项目整体的交付物是做项目的配置项，配置管理可视为对项目完整性管理的一套系统，可用于项目基准调整时，变更管理科视为其一部分。

（2）亦可视变更管理与配置管理为相关联的两套机制，变更管理由项目交付或基准配置调整时，由配置管理系统调用；变更管理最终应将对项目的调整结果反馈给配置管理系统，以确保项目执行与对项目的账目相一致。

二、安全管理
1、信息安全三元组是什么？

答：数据的保密性、完整性和可用性。

2、数据的保密性一般通过哪些来实现？

答：网络安全协议、网络认证服务以及数据加密服务。

3、确保数据完整性的技术包括哪些？

答：消息源的不可抵赖、防火墙系统、通信安全以及入侵检测系统。

4、确保可用性的技术包括哪些？

答：

（1）磁盘和系统的容错及备份。

（2）可接受的登录及进程性能。

（3）可靠的功能性的安全进程和机制。

5、在ISO/IEC27001中，信息安全管理的内容被概括为哪11个方面？

答：

（1）信息安全方针与策略。

（2）组织信息安全。

（3）资产管理。

（4）人力资源安全。

（5）物理和环境安全。

（6）通信和操作安全。

（7）访问控制。

（8）信息系统的获取、开发和保持。

（9）信息安全时间管理。

（10）业务持续性管理。

（11）符合性。

6、什么是业务持续性管理？

答：防止业务活动的中断，保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保他们的及时恢复。

7、应用系统常用的保密技术有哪些？

答：

（1）最小授权原则。

（2）防暴露。

（3）信息加密。

（4）物理加密。

8、影响信息完整性的主要因素有哪些？

答：设备故障、误码（传输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源造成的误码）、人为攻击和计算机病毒等。

9、保障应用系统完整性的主要方法有哪些？

答：

（1）协议。

（2）纠错编码方法。

（3）密码校验和方法。

（4）数字签名。

（5）公证。

10、哪个性质一般用系统正常使用时间和整个工作时间之比来度量？

答：可用性。

11、在安全管理体系中，不同安全等级的安全管理机构应按哪种顺序逐步建立自己的信息安全组织机构管理体系？

答：①配备安全管理人员→②建立安全职责部门→③成立安全领导小组→④主要负责人出任领导→⑤建立信息安全保密管理部门。

12、在信息系统安全管理要素一览表中，“风险管理”类，包括哪些族？“业务持续性管理”类包括哪些族？

答：

（1）风险管理包括的族有：风险管理要求和策略、风险分析和评估、风险控制、基于风险的决策以及风险评估的管理。

（2）业务持续性管理包括的族有：备份与恢复、安全事件处理和应急处理。

13、GB/T20271-2006中，信息系统安全技术体系是如何描述的？（只答一级标题）

答：

（1）物理安全。

（2）运行安全。

（3）数据安全。

14、对于电源，什么叫紧急供电？稳压供电？电源保护？不间断供电？

答：

（1）紧急供电：配置抗电压不足的基本设备，改进设备或更强设备，如基本UPS、改进的UPS、多级UPS和应急电源（发电机）组等。

（2）稳压供电：采用线路稳压器，防止电压波动对计算机系统的影响。

（3）电源保护：设置电源保护装置，如金属氧化物可变电阻、二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器等，防止/减少电源发生故障。。

（4）不间断供电：采用不间断供电电源，防止电压波动、电器干扰和断电等对计算机系统的不良影响。

15、人员进出机房和操作权限范围控制包括哪些？

答：

（1）应明确机房安全管理的责任人，机房出入应有制定人员负责，未经允许的人员不准进入机房。

（2）获准进入机房的来访人员，其活动范围应受限制，并有接待人员陪同。

（3）机房钥匙由专人管理，未经批准，不准任何人私自复制机房钥匙或服务器开机钥匙。

（4）没有指定管理人员的明确允许，任何记录介质、文件材料以及各种被保护品均不准带出机房，与工作无关的物品均不准带入机房。

（5）机房内严禁吸烟及带入火种和水源。

（6）应要求所有来访人员经过正式批准，登记记录应妥善保存以备查。

（7）获准进入机房的人员，一般应禁止携带个人计算机等电子设备进入机房，其活动范围和操作行为应受到限制，并有机房接待人员负责陪同。

16、针对电磁兼容，计算机设备防泄露包括哪些内容？

答：

（1）对需要防止电磁泄露的计算机设备应配备电磁干扰设备，在被保护的计算机设备工作时，电磁干扰设备不准关机。必要时可以采用屏蔽机房。

（2）屏蔽机房应随时关闭屏蔽门，不得在屏蔽墙上打钉钻孔，不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆。

（3）应经常测试屏蔽机房的泄露情况，并进行必要的维护。

17、对哪些关键岗位人员进行统一管理，允许一人多岗，但业务应用操作人员不能由其它关键岗位人员兼任？

答：安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用功能操作人员。

18、业务开发人员和系统维护人员不能兼任或担任哪些岗位？

答：安全管理员、系统管理员、数据库管理员、网络管理员、重要业务应用功能操作人员。

19、应用系统运行中涉及四个层次的安全，按粒度从粗到细的排序是什么？（记）

答：系统级安全、资源访问安全、功能性安全以及数据域安全。

20、哪些是系统级安全？

答：敏感系统的隔离、访问IP地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等。

22、什么是资源访问安全？

答：对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单和操作按钮。在服务器则对URL程序资源和业务服务类方法的调用进行访问控制。

23、什么是功能性安全？

答：功能性安全会对程序流程产生影响，如用户在操作业务记录时，是否需要审核，上传附件时，是否不能超过指定大小等。这些安全限制已经不是入口级的限制，而是程序流程内的限制，在一定程度上影响程序流程的运行。

24、什么是数据域安全？

答：分为两个层次，其一是行级数据域安全，即用户可以访问哪些业务记录，一般以用户所在单位为条件进行过滤；其二是字段级数据域安全，即用户可以访问业务记录的那些字段。

25、系统运行安全检查和记录的范围有哪些？（并叙述每个的内容）

答：

（1）应用系统的访问控制检查。包括物理和逻辑访问控制，是否按照规定的策略和程序进行访问权限的增加、变更和取消，用户权限的分配是否遵循“最小特权”原则。

（2）应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。

（3）应用系统可用性检查。包括系统中断时间、系统正常服务时间和系统恢复时间等。

（4）应用系统能力检查。包括系统资源消耗情况、系统交易速度和系统吞吐量等。

（5）应用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。

（6）应用系统维护检查。维护性问题是否在规定的时间内解决，是否正确地解决问题，解决问题的过程是否有效等。

（7）应用系统的配置检查。检查应用系统的配置是否合理和适当，各配置组件是否发挥其应有的功能。

（8）恶意代码的排查。是否存在恶意代码，如病毒、木马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。

26、保密等级按有关规定划分为：绝密、机密和？

答：秘密。

27、可靠性等级分为哪三级？

答：从高到低依次为A、B、C三级。

本文出自 “11233637” 博客，谢绝转载！