软考信息系统监理师：2016年4月1日作业

一、合同管理
1、合同按照信息系统工程范围划分哪几类？

答：1）总承包合同；2）单项项目承包合同；3）分包合同

2、签订分包合同，应具备的2个条件是什么？

答：1）总承建单位只能将自己承包的部分项目分包给具有相应资质条件的分承建单位

2）分包项目必须经过建设单位同意

3、分包的禁止性规定有哪些？

答：1）禁止转包；2）禁止将项目分包给不具备相应资质条件的单位；3）禁止再分包；4）禁止分包主体结构

4、合同按项目付款方式为哪几类？

答：1）总价合同；2）单价合同；3）成本加酬金合同

5、总价合同的适用前提是什么？

答：总价合同仅适用于项目工作量不大且能精确计算、工期较短、技术不太复杂，风险不大的项目。

6、信息系统工程合同的内容是什么？

答：

1）甲、乙双方的权力与义务是合同的基本内容

2）建设单位提交有关基础资料的期限

3）项目的质量要求

4）承建单位提交各阶段项目成果的期限

5）项目费用和项目款的交付方式

6）项目变更的约定

7）双方的其他协作条件

8）违约责任

7、信息系统工程合同签订的注意事项有哪些？

答：1）质量验收标准；2）验收时间；3）技术支持服务；4）损害赔偿；5）保密约定；6）软件的合法性；7）技术标准及工程依据；8）合同附件；9）签约资格；10）法律公证。

8、监理工作在合同管理中的主要内容由哪三部分组成？（记）

答：监理工作在合同管理中的主要内容由三部分组成：合同的签订管理、合同的档案管理和合同的履行管理。

9、判断：信息系统工程合同只能采用书面形式。

答：正确。

10、合同履行管理的依据、方式、保证、重点，分别是什么？

答：1）履约管理的依据是合同分析

2）履约管理的方式是合同控制

3）履约管理的保证是合同监督

4）履约管理的重点是项目索赔管理

11、合同什么管理是合同管理的基础？

答：合同档案的管理，也叫合同文件管理，是整个合同管理的基础。

12、合同档的管理包括甲乙方合同管理，甲方与监理方合同的管理，同时适用于这2类合同的档案管理方法是什么？

答：1）建立监理工作的合同档案管理体系

2）制定监理工作的合同档案管理制度

13、监理工作的合同档案管理制度有哪些？

答：1）合同的审查批准制度；2）印章管理制度；3）合同的统计考察制度；4）合同的信息管理制度。

14、合同档案管理的具体工作有哪些？

答：1）收集、整理、统计、保管监理工作在各项活动中形成的全部档案，清点库存。

2）按有关规定做好档案留存于销毁的鉴定工作。

3）对拟销毁的档案监理销毁清册，经监理单位负责人和企业资产清算机构负责人审核，建设单位主管部门批准，方可销毁。

4）按照档案的去向分别编制移交和寄存档案的目录。

15、合同管理的原则是什么？（记）

答：1）事前预控原则；2）实时纠偏原则；3）充分协商原则；4）公正处理原则。

16、索赔的程序？

答：1）索赔事件发生约定时间内（28天内），向建设单位和监理单位发出索赔意向通知。

2）发出索赔意向通知后约定时间内，向建设单位和监理单位提出延长工期和（或）补偿经济损失的索赔报告及有关资料。

3）监理单位在收到承建单位送交的索赔报告及有关资料呕，于约定时间内给予答复，或要求承建单位进一步补充索赔理由和证据。

4）监理单位在收到承建单位送交的索赔报告和有关资料后约定时间内未予答复或未对承建单位作出进一步要求，视为该项索赔已经认可。

5）当该索赔事件持续进行时，承建单位应当阶段性向监理单位发出索赔意向，在索赔事件终了约定时间内，向监理单位送交索赔的有关资料好最终索赔报告。

17、一个完整的索赔报告包括哪四部分？

答：1）总论部分；2）根据部分；3）计算部分；4）证据部分。

18、针对索赔意向通知书，监理审查的重点有哪些？

答：1）费用索赔申请报告的程序、时限符合合同要求

2）费用索赔申请报告的格式和内容符合规定

3）费用索赔申请的资料必须真实、齐全、手续完备；

4）申请索赔的合同依据、理由必须正确、充分；

5）索赔金额的计算原则与方法必须合理、合法。

19、索赔事件处理的原则？

答：1）预防为主；2）以合同为依据；3）公平合理；4）协商原则；5）授权的原则；

6）必须注意资料的积累；7）及时、合理地处理索赔。

20、合同争议有2种解决方式，分别是什么？

答：1）根据合同的约定向约定的仲裁委员会申请仲裁

2）向有管辖权的人民法院起诉

21、由于承建单位违约导致实施合同终止后，监理单位应按何种程序处理？

答：1）指示承建单位将其为履行合同而签订的任何协议的利益（如软、硬件及各种配套设施的供应服务提供等）转让给建设单位；

2）认真调查并充分考虑建设单位因此受到的直接和间接的费用影响后，办理并签发部分或全部中止合同的支付证明。

22、因不可抗力事件，导致的费用及延误的工期，双方如何承担？

答：1）项目本身的损害、因项目损害导致第三方人员伤亡和财产损失以及运至实施场地用于实施的材料和待安装的设备的损害，由建设单位承担。

2）建设单位、承建单位人员伤亡由其所在单位负责，并承担相应费用。

3）承建单位设备损坏及停工损失，由其承建单位承担。

4）停工期间，承建单位应监理单位要求留在实施场地的必要的管理人员及保卫人员的费用由发包人承担；

5）项目所需清理、修复费用，由建设单位承担；

6）延误的工期应相应顺延。

23、《计算机软件保护条例》规定，计算机软件包括什么？

答：《计算机软件保护条例》规定：计算机软件是指计算机程序及其相关文档。

24、某政府单位花500万委托软件公司开发一套软件，若合同未约定知识产权，则产权属于谁？

答：属于软件开发公司（乙方）

二、信息安全管理
1、信息系统安全属性分为哪三个方面？各自的定义？

答：可用性、保密性和完整性。

1）可用性是信息系统工程能够在规定条件下和规定的时间内完成规定的功能的特性。

2）保密性是信息不被泄露给非授权的用户、实体或过程，信息只为授权用户使用的特性

3）完整性定义为保护信息及其处理方法的准确性和完整性。一方面是指信息在利用、传输、存储等过程中不被删除、修改、伪造、乱序、重放、插入等，另一方面是只信息处理的方法的正确性。

2、国家秘密分为秘密、机密和什么三个等级？

答：国家秘密分为秘密、机密和绝密三个等级。

3、常用的保密技术有哪些？

答：1）防侦测，使对手侦测不到有用的信息；

2）防辐射，防止有用信息以各种途径辐射出去；

3）信息加密，在密钥的控制下，用加密算法对信息进行加密处理；

4）物理保密，利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露。

4、保障信息网络系统完整性的主要方法有哪些？

答：1）协议，通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。

2）纠错编码方法，由此完成检错和纠错功能。

3）密码校验和方法，抗篡改和传输失败的重要手段。

4）数字签名，保障信息的真实性

5）公证，请求网络管理或中介机构证明信息的真实性。

5、技术体系是全面提供信息系统安全保护的技术保障系统，它由物理安全技术和系统安全技术组成，各包括哪些内容？

答：1）物理安全技术包括机房安全和设施安全

2）系统安全技术包括平台安全、数据安全、通信安全、应用安全和运行安全。

6、组织机构体系是信息系统的组织保障系统，由哪三个模块构成？

答：由机构、岗位和人事三个模块构成。

7、管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和什么共3部分组成？

答：管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和培训管理三部分组成。

8、监理在信息系统安全管理的作用有哪些？

答：1）保证建设单位在信息系统工程项目建设过程中，保证信息系统的安全在可用性、保密性、完整性欲信息系统工程的可维护性技术环节上没有冲突。

2）在成本控制的前提下，确保信息系统安全设计上没有漏洞。

3）督促建设单位的信息系统工程应用人员在安全管理制度和安全规范下严格执行安全操作和管理，建立安全意识。

4）监督承建单位按照技术标准和建设方案施工，检查承建单位是否存在设计过程中的非安全隐患行为或现象等确保整个项目建设过程中的安全建设和安全应用。

9、人员安全管理要遵循哪些原则？

答：1）授权最小化；2）授权分散化；3）授权规范化。

10、请写出任意8种信息系统安全管理制度。

答：1）计算机信息网络系统出入管理制度；

2）计算机信息网络系统各工作岗位的工作职责、操作规程；

3）计算机信息网络系统升级、维护制度；

4）计算机信息网络系统工作人员人事管理制度；

5）计算机信息网络系统安全检查制度；

6）计算机信息网络系统应急制度

7）计算机信息网络系统信息资料处理制度

8）计算机信息网络系统工作人员安全教育、培训制度

9）计算机信息网络系统工作人员循环任职、强制休假制度等。

11、物理访问的安全管理中，监理安全管理注意事项有哪四条？（记）

答：1）硬件设施在合理范围内是否能防止强制***；

2）计算机设备的钥匙是否有良好的控制以降低未授权者进入的危险；

3）智能终端是否上锁或有安全保护，以防止电路板、芯片或计算机被搬移；

4）计算机设备在搬动时是否需要设备授权通行的证明。

12、逻辑访问的安全管理中，监理在逻辑访问风险分析与安全管理上，主要的原则有哪五条？（记）

答：1）了解信息处理的整体环境并评估其安全需求，可通过审查相关数据，询问有关人员，个人观察及风险评估等；

2）通过对一些可能进入系统访问路径进行记录及复核，评价这些控制点的正确性、有效性。这种记录及复核包括审核系统软、硬件的安全管理，以确认其控制弱点或重点。

3）通过相关测试数据访问控制点，评价安全系统的功能和有效性；

4）分析测试结果和其他审核结论，评价访问控制的环境并判断是否达到控制目标。

5）审核书面策略，观察实际操作和流程，与一般公认的信息安全标准相比较，评价组织环境的安全性及其适当性等。

13、什么是特洛伊***、去尾法、色粒米技术、计算机蠕虫、逻辑×××、网络窃听、DOS？

答：1）特洛伊***是指将一些带有恶意的、欺诈性的代码置于已授权的计算机程序中，当程序启动时这些代码也会启动。

2）去尾法将交易发生后计算出的金额（如利息）中小数点后的余额（如分）删除并转入某个未经授权的账户，因为金额微小而往往不被注意。

3）色粒米技术是一种类似去尾法的舞弊行为，不同的是将余额切分成更小的金额，再转入未授权账户。

4）计算机蠕虫是一种破坏性程序，可以破坏计算机内数据或是使用大量计算机及通信资源，但不像计算机病毒那样能自行复制。

5）逻辑×××是在满足特定的逻辑条件时按某种不同的方式运行，对目标系统实施破坏的计算机程序。

6）网络窃听不直接进行网络***，但借助网络窃听器的软件或硬件，掌握对方的重要信息，如账号、密码等，它以为着高级别的泄密，对网络安全造成极大的威胁。

7）DOS***行为表现在服务器充斥大量要求相应的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷，以至于瘫痪而停止提供正常的网络服务，是目前最为常见的网络***方法。

14、来自互联网上的安全问题主要分成两大类，主动式***和被动式***，试解释之。

答：主动式***是指***者通过有选择的修改、删除、延迟、乱序、复制、插入数据等已达到非法目的。

被动式***一般采用网络分析和窃听来收集信息。

15、什么是对称密钥加密？不对称密钥加密？

答：对称密钥加密是指发件人和收件人使用其共同拥有的单个密钥。

不对称密钥加密需要用到两个密钥—一个公钥和一个私钥，这两个密钥在数学上是相关的。

16、什么是数字签名和证书？

答：数字签名与书面文件签名有相同之处，采用数字签名，也能确认两：信息是由签名者发送的；信息自签发到收到为止未曾做过任何修改。公钥证书简称证书，用于在互联网、外联网和内联网上进行身份验证并确保数据交换的安全。证书的颁发者和签署者就是众所周知的证书颁发机构CA。

17、什么是网闸？

答：网闸，即安全隔离与信息交换系统，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗公里能力大大增加而且有效地防范了信息外泄事件的发生。

18、什么是防火墙？

答：防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。防火墙在物理上基本上是一台具有网关或路由功能的计算机或服务器。在逻辑上，防火墙完成了网络通信的限制、分离和分析功能，有效地监控了内部网和互联网之间的任何活动，保证了内部网络的安全。

19、什么是***检测系统？

答：***检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被***的迹象。进行***检测的软件与硬件的组合就是***检测系统。

20、什么是全备份、差分备份、增量备份？（记）

答：全备份，将系统中所有的数据信息全部备份；

差分备份，只备份上次备份后系统中变化过的数据信息；

增量备份，只备份上次完全备份后系统中变化过的数据信息。

21、请大家在百度百科搜索：RAID0、1、2、3、4、5，并写成作业。

答：1）RAID 0：RAID 0是最早出现的RAID模式，即DataStripping数据分条技术。RAID 0是组建磁盘阵列中最简单的一种形式，只需要2块以上的硬盘即可，成本低，可以提高整个磁盘的性能和吞吐量。RAID 0没有提供冗余或错误修复能力，但实现成本是最低的。

2）RAID 1称为磁盘镜像，原理是把一个磁盘的数据镜像到另一个磁盘上，也就是说数据在写入一块磁盘的同时，会在另一块闲置的磁盘上生成镜像文件，在不影响性能情况下最大限度的保证系统的可靠性和可修复性上，只要系统中任何一对镜像盘中至少有一块磁盘可以使用，甚至可以在一半数量的硬盘出现问题时系统都可以正常运行,当一块硬盘失效时，系统会忽略该硬盘，转而使用剩余的镜像盘读写数据，具备很好的磁盘冗余能力。虽然这样对数据来讲绝对安全，但是成本也会明显增加，磁盘利用率为50%

3）RAID2：带海明码校验，从概念上讲，RAID2 同RAID 3类似， 两者都是将数据条块化分布于不同的硬盘上， 条块单位为位或字节。然而RAID 2 使用一定的编码技术来提供错误检查及恢复

4）RAID3：带奇偶校验码的并行传送，这种校验码与RAID2不同，只能查错不能纠错。

5）RAID4：带奇偶校验码的独立磁盘结构，RAID4和RAID3很象，不同的是，它对数据的访问是按数据块进行的，也就是按磁盘进行的，每次是一个盘

6）RAID5：分布式奇偶校验的独立磁盘结构以看到，它的奇偶校验码存在于所有磁盘上，其中的p0代表第0带区的奇偶校验值，其它的意思也相同。RAID5的读出效率很高，写入效率一般，块式的集体访问效率不错。因为奇偶校验码在不同的磁盘上，所以提高了可靠性。但是它对数据传输的并行性解决不好，而且控制器的设计也相当困难。RAID 3 与RAID 5相比，重要的区别在于RAID 3每进行一次数据传输，需涉及到所有的阵列盘。而对于RAID 5来说，大部分数据传输只对一块磁盘操作，可进行并行操作。在RAID 5中有“写损失”，即每一次写操作，将产生四个实际的读/写操作，其中两次读旧的数据及奇偶信息，两次写新的数据及奇偶信息

三、信息管理
1、按工程建设信息的性质划分哪几类？

答：1）引导信息；2）辨识信息。

2、按工程建设信息的用途划分哪几类？

答：1）投资控制信息；2）进度控制信息；3）质量控制信息；4）合同管理信息；5）组织协调信息；6）其他用途的信息。

3、为什么说高效的文档管理，是监理单位自身的需要？

答：1）为了成功对工程进行监理，必须有一套严谨的文档分类管理办法，这样工程的详细情况才可能被监理项目组准确掌握，从而也为建设单位所准确掌握。

2）监理单位需要对监理人员的工作情况进行考核，以决定人员的报酬和职位进行奖惩升降，而这些最主要的依据，则是监理的文档。

3）监理文档本身就是监理工作经验最好的总结，是监理工作最好的培训资料，从培养人员的角度上来说，一套完善的文档管理体制非常必要。

4、监理工程师在归集监理资料时的注意事项有哪些？

答：1）监理资料应及时整理、真实完整、分类有序；

2）监理资料的管理应由总监理工程师负责，并指定专人具体实施。

3）监理资料应在各阶段监理工作结束后及时整理归档。

4）监理档案的编制及保存应按有关规定执行。

5、总控类文档包括哪些？（记）

答：包括：承建合同、总体方案、项目组织实施方案、技术方案、项目进度计划、质量保证计划、资金分解计划、采购计划、监理规划及实施细则等文档。

6、监理实施类文档包括哪些？（记）

答：主要包括：项目变更文档、进度监理文档、质量监理文档、质量回归监理文档、监理日报、监理月报、专题监理报告、验收报告、总结报告等。

7、工程验收监理报告必须包括哪些要素？（记）

答： 1）工程竣工准备工作综述；2）验收测试方案与规范；3）测试结果与分析；4）验收测试结论。

8、工程监理总结报告包括哪些方面？（记）

答：1）工程概况；2）监理工作统计；3）工程质量综述；4）工程进度综述；5）管理协调综述；6）监理总评价。

9、P273页表12-5，掌握各阶段产出哪些文档？哪些文档在哪个阶段开始做？请分别回答：
开发计划、测试计划、用户手册、操作手册、开发总结这些文档的开始阶段、产出阶段。（记）

答：开发计划在计划阶段开始，需求分析阶段产出

测试计划在需求分析阶段开始，设计阶段产出

用户手册在需求分析阶段开始，编码阶段产出

操作手册在设计阶段开始，编码阶段产出

开发总结在测试阶段开始，测试阶段产出