绩效评估和安全

标签：绩效评估和安全

1. 项目整体绩效评估
   1、三E审计是什么的合称？（记）

   三Ｅ审计，即绩效审计。是经济审计、效率审计、和效果审计的合称，因为3本的第一个英文字母均为Ｅ，故，称为，知识三方面三Ｅ审计。
   2、霍尔三维结构是从哪三个方面考察系统工程的工作过程的？

   霍尔三维结构是由霍尔提出的关于系统方法论的结构，他从逻辑，时间，知识三方面考查系统工程的工作过程。

   3、投资回收期的公式？（记，并理解）

   投资回收期公式：（累计净现金流量开始出现正值的年份数）－１＋（上年累计净现金流量的绝对值／当前净现金流量）
   

2. 信息安全相关知识
   1、在三安系统三维空间示意图中，X，Y，Z轴分别代表什么意思？（记）同时，X、Y、X上分别有哪些要素？

   X轴代表安全机制。包括的要素有：基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系。

   Y轴代表OSI网络参数模型。包括的要素有：物理层，链路层，网络层，传输层，会话题，表示层，应用层。

   Z轴代表安全服务。包括的要素有：对的实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪证据提供服务。
   2、MIS+S、S-MIS、S2-MIS的名字叫什么？（记）同时，它们的特点分别是什么？

   MIS+S初级（基本）信息安全保障系统。特点：业务应用系统基本不变，硬件和系统软件通用，安全设备基本不带密码。

   S-MIS标准信息安全保障系统。特别：硬件和系统软件通用，PKI/CA安全保障系统必须带密码，业务应用系统必须根本改变，主要的、通用的硬件、软件也要通过PKI/C认证。

   S2-MIS超安全的信息安全保障系统。特点：硬件和系统软件都专用，PKI/C安全基础设施必须带密码，业务应用系统必须根本改变，主要的硬件和系统软件需要PKI/C认证。

3. 安全威胁的对象是一个单位中的有形资产和无形资产，主要是什么？

   安全威胁的对象就是一个单位中的有形资产和无形资产，而且，主要是有形资产。
   4、请描述威胁、脆弱性、影响之间的关系？

   威胁、脆弱性、影响之间存在一定的对应关系，威胁可看成从系统外部对系统的作用，而导致系统功能及目标受阻的所有现象。而脆弱性可以看成是系统内部的薄弱点。脆弱性是客观存在的，脆弱性本身没有实际的伤害，但威胁可以利用脆弱性发挥作用。影响可以看作是威胁和脆弱性的特殊。

4. 假设威胁不存在，系统本身的脆弱性仍会带来一定的风险，请举2个例子。（记）

   如数据管理中的数据不同步导致完整性遭到破坏；存储设备硬件故障使大量数据丢。
   6、安全策略的核心内容是七定，哪七定？这七定中，首先是解决什么？其次是什么？

   安全策略的核心内容就是七定：定方案、定岗、定位、定员、定目标、定制度、定工作流程。
   7、5个安全保护等级分别是什么？每级适用于什么内容？（重点记5个名字，同时重点记第3、4级的适用）

5. 第1级为用户自主保护级。

6. 第2级为系统审计保护级。

7. 第3级为安全标记保护级。适用：地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。

8. 第4级为结构化保护级。适用：中央国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。

9. 第5级为访问验证保护级。、

1. 确定信息系统安全方案，主要包括哪些内容？

2. 首先确定采用MIS+S、S-MIS或S2-MIS体系架构

3. 确定业务和数据存储的方案

4. 网络拓扑结构

5. 基础安全设施和主要安全设备的选型

6. 业务应用信息系统的安全级别的确定

7. 系统资金和人员投入的档次

1. 什么技术是信息安全的根本？是建立安全空间5大要素的基石？

   密码技术是信息安全的根本，是建立安全空间认证、权限、完整、加密可不可否认五大要素所不可缺少的技术。
   10、安全空间五大要素是什么？

   安全空间五大要素是：认证，权限，完整，加密和不可否认。
   11、常见的对称密钥算法有哪些？（记）对称密钥算法的优缺点是什么？

   常见的对称密钥算法有：SDBI、IDEA、DES（56）、3DES（112）、IDEA（128）

   优点：

   加/解密速度快

   密钥管理简单

   适宜一对一的信息加密传输过程

   缺点：

   加密算法简单，密钥长度有限，加密强度不高

   密钥分发困难，不适宜一对多的加密信息传输

2. 哈希算法在数字签名中，可以解决什么问题？常见的哈希算法有哪些？

   哈希算法算法在数字签名中可以解决验证签名和用户身份验证、不可抵赖性的问题。常见的哈希算法有：SDH、SHA、MD5。

3. 我国实行密码分级制度，密码等级及适用范围是什么？（记）

1. 商用密码——国内企业、事业单位

2. 普用密码——政府、党政机关

3. 绝密密码——中央和机要部门

4. 军用密码——军队

5. WLAN的安全机制中，WEP、WEP2、WPA，哪个加密效果最好？

   LAN的安全机制中，WEP、WEP2、WPA，WPA加密效果最好

6. PKI的体系架构，概括为两大部分，即信息服务体系和什么？

   PKI的体系架构，概括为两大部分，即信息服务体系和密钥管理中心。

7. PKI与PMI的区别是什么？（记）

   PMI主要进行授权管理,证明这个用户有什么权限,能干什么,J即“你能做什么？”。

   PKI主要进行身份鉴别，证明用户身份，即“你是谁？”                                                                                                                                                                                                                                            17、概括地讲，安全审计是采用什么和什么技术？实现在不同网络环境中终端对终端的监控与管理，在必要时可以做什么？

   安全审计是采用数据挖掘和数据仓库技术，实现在不同网络环境中终端对终端的监控管理，在必要时通过多种途径向管理员发出警告我自动采取排错措施，能对历史数据进行分析、处理和追踪。
   18、安全教育培训的知识分为哪四级？

   安全教育培训的知识分为：知识级的培训、政策级的培训、实施级的培训和执行级的培训。

1. ISSE-CMM模型中，最重要的术语是什么？

   过程、过程区、工作产品、过程能力。
   21、ISSE是SSE、SE和SA在信息系统安全方面的具体体现，请分别阐述英文的中文意思。

   SSE系统安全工程

   SE系统工程

   SA系统获取

    

   三、信息工程监理知识

   1、信息系统工程监理的什么是四控三管一协调？四控三管一协调是什么？（记）

   信息系统工程监理活动的主要内容是四控三管一协调。

   四控是：质量控制，进度控制，投资控制和变更控制。

   三管是：合同管理，信息管理，安全管理。

   一协调是：沟通协调。

2. 《信息系统工程监理》，总监不得将哪些工作委托总监代表？（记）

1. 主持编写工程监理规划，审批工程监理细则。

2. 协调建设单位与承建单位的合同争议，参与索赔的处理，审批工程延期。

3. 根据工程项目的进程情况进行监理人员的调配，调换不称职的监理人员。

4. 审核签认承建单位的付款申请，付款证书和竣工结算。

5. 监理大纲、监理规划、监理细则这三种方件的区别？

   监理大纲，是由技术总监编写的，为监理单位的经营目标服务的，记者承接监理任务的作用。

   监理规划，是由监理总监编写的，是指导监理工作的纲领性文件。

   监理细则，是由专业监理工程师编写，具有实施性和可操作性的业务性文件。

6. 总监、总监代表、监理工程师、监理员，这四个角色中，可以缺少谁？

   总监、总监代表、监理工程师、监理员，这四个角色中，可以缺少总监代表。

7. 关于工程暂停令，有哪些知识点？（记）

1. 工程暂停令必须由建立总监签发。

2. 签发工程暂停令的条件

3. 当承建单位要求工程暂停，且工程需要暂停时。

4. 承建方违反了强制性标准且不遵从监理提出的整改。

5. 发现重大质量隐患，继续施工将导致重大质量事故时。 

   6、判断：信息系统工程监理是对项目的乙方进行全方位、全过程的监督管理？错。

   7、目前，信息系统监理资质是由哪儿颁发？资质分为哪四级？

   中国电子企业协会监理分会。甲级、乙级、丙级和临时资质。

绩效评估和安全

标签：绩效评估和安全

原文地址：http://hy8388.blog.51cto.com/3087983/1768154