错题笔记汇总3

dipp

DIPP是用来描述项目资源利用率，其计算公式为：DIPP=EMV/ETC

询价过程

询价过程从潜在的卖方处获取如何满足项目需求的答复，如投标书和建议书。通常在这个过程中由潜在的卖方完成大部分实际工作，项目或买方无需支付直接费用。

控制采购

控制采购的定义：管理采购关系、监督合同执行情况，并根据需要实施变更和采取纠正措施的过程。

目前你的团队正根据合同审查和记录卖方当前的绩效和截至目前的绩效水平，属于监督合同执行情况的范畴。

结束采购

结束采购包括产品验收和管理收尾。

外包管理流程

外包管理流程的正确步骤：开发方式决策、选择承包商、签订外包合同、监控外包开发过程、成果验收。

干系人管理矩阵

• 权利/利益方格：根据干系人的职权大小和对项目结果的关注(利益)程度进行分类。
• 权利/影响方格：干系人的职权大小以及主动参与(影响)项目的程度进行分类。
• 影响/作用方格：干系人主动参与(影响)项目的程度及改变项目计划或执行的能力进行分类。
• 凸显模型：根据干系人的权力(施加自己意愿的能力)、紧迫程度和合法性对干系人进行分类。

项目干系人管理

项目干系人管理是指对项目干系人需要、希望和期望的识别，并通过沟通上的管理来满足其需要、解决其问题的过程。项目干系人管理将会赢得更多人的支持，从而能够确保项目取得成功。

项目干系人管理的主要目的是避免项目干系人在项目管理中出现严重分歧 ，平衡各相关干系人的利益。

网络分级设计模型

• 核心层：提供最优的区间传输，尽快地转发分组。提供优化的、可靠的数据传输功能。
• 汇聚层：提供基于策略的连接，通过访问控制列表或其它的过滤机制进入核心层的流量，定义了网络的边界和访问策略
• 接入层：为多业务应用和其他的网络应用提供用户到网络的接入，负责用户设备的接入，防止非法用户进入网络。

沟通管理计划

沟通管理计划包括干系人的沟通需求，还需针对沟通信息的描述，包括格式、内容、详尽程度等。

沟通管理计划内容

沟通管理计划包括哪些人需要什么信息，什么时候需要，用什么方式传递，用什么表现形式，发送的频度是多少。

详细来说包括沟通内容及结果的处理、收集、分发、保存的程序和方式，以及报告、数据、技术资料等信息的流向。以上工作都是计划阶段完成的。

干系人所需的信息提供是在项目执行过程中才能完成。

讨论和叙述的控制程度

参与程度最高的是讨论，控制程度最高的是叙述。

沟通和书面沟通

沟通是为了一个设定的目标，把信息、思想和情感，在个人或群体间传递，并且达成共同协议的过程。书面沟通最有可能帮助解决复杂问题。

提高沟通的原则

为了提高沟通的效率和效果，需要把握如下一些基本原则：

1. 沟通内外有别。团队同一性和纪律性是对项目团队的基本要求。团队作为一个整体对外意见要一致，一个团队要用一种声音说话。在客户面前出现项目组人员表现出对项目信心不足、意见不统一、争吵等都是比较忌讳的情况。
2. 非正式的沟通有助于关系的融洽。在需求获取阶段，常常需要采用非正式沟通的方式以与客户拉近距离。在私下的场合，人们的语言风格往往是非正规和随意的，反而能获得更多的信息。
3. 采用对方能接受的沟通风格。注意肢体语言、语态给对方的感受。沟通中需要传递一种合作和双赢的态度，使双方无论在问题的解决上还是在气氛上都达到“双赢”。
4. 沟通的升级原则。需要合理把握横向沟通和纵向沟通关系，以有利于项目问题的解决。
   “沟通四步骤”反映了沟通的升级原则：第一步，与对方沟通；第二步，与对方的上级沟通：第三步，与自己的上级沟通；第四步，自己的上级和对方的上级沟通。
5. 扫除沟通的障碍。职责定义不清、目标不明确、文档制度不健全、过多使用行话等都是沟通的障碍。必须进行良好的沟通管理，逐步消除这些障碍。

沟通中询问的类型

在实际沟通中，询问不同类型的问题可以取得不同的效果。问题的类型有：

• (1)封闭式问题：用来确认信息的正确性。常用于确认信息。
• (2)开放式问题：鼓励应征者详细回答，表达情绪。用于发散收集更多信息；
• (3)探询式问题：用来澄清之前谈过的主题与信息。适合于探索性的内容；
• (4)假设式问题：用来了解解决问题的方式。一般会强迫对方思考；

系统级安全

1、某企业应用系统为保证运行安全，只允许操作人员在规定的工作时间段内登录该系统进行业务操作，这种安全策略属于( )层次。
A．数据域安全
B．功能性安全
C．资源访问安全D．系统级安全

企业应用越来越复杂，因此制定得力的系统级安全策略才是从根本上解决问题的基础IP通过对现行安全技术的分析，制定系统级安全策略，策略包括敏感系统的隔离、访问IP地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等，系统级安全是应用系统的第一级防护大门。

质量控制新老七工具

新七种包括亲和图、过程决策程序图、关联图、树形图、优先矩阵、活动网络图、矩阵图。
老七种包括因果图、流程图、核查表、帕累托图、直方图、控制图和散点图。

过程决策图用于理解一个目标与达成此目标的步骤之间的关系，关联图是关系图的变种，有助于包括相互交互逻辑关系的中等复杂情形中创新性地解决问题，因果图即鱼骨图，通过分析现象的合理可能性最终发现可行动的根本原因，流程图也称过程图，用来显示在一个或多个输入转化成一个或多个输出的过程中，所需要的步骤顺序的可能分支。

项目质量控制

项目质量控制就是项目团队的管理人员采取有效措施，监督项目的具体实施结果，判断它们是否符合项目有关的质量标准，并确定消除产生不良结果的途径。
也就是说进行项目质量控制是确保项目质量计划和目标得以圆满实现的过程。

质量控制过程包括选择控制对象；为控制对象确定标准或目标；制定实施计划，确定保证措施；计划执行；对项目实施情况进行跟踪监测、检查，并将监测的结果与计划或标准相比较；发现偏差并分析偏差；根据偏差采取相应对策等。

质量控制的输出包括项目质量的改进；对于项目质量的接受；返工；完成检查表，也是质量控制工作的一种结果；项目调整和变更，项目调整和变更时项目质量控制的一种阶段性和整体性的结果。

项目质量保证是预防性、提高性和保障性的质量管理活动。

质量保证

质量保证通过用规划过程预防缺陷，或者在执行阶段对正在进行的工作检查出缺陷，来保证质量的确定性。

质量管理

质量管理确保组织、产品或服务是一致的。

质量管理是指确定质量方针、目标和职责，并通过质量体系中的质量规划、质量保证和质量控制以及质量改进来使其实现所有管理职能的全部活动，质量管理是指为了实现质量目标而进行的所有质量性质的活动。

质量保证的主要职责

软件质量保证的主要职责是：

• 检查开发和管理活动是否与已定的过程策略、标准和流程一致；
• 检查工作产品是否遵循模板规定的内容和格式**。

质量保证的定义

质量保证关注项目执行过程中的质量。质量保证是审计质量要求和质量控制测量结果，确保采用合理的质量标准和操作性定义的过程。

质量保证指为使人们确信某一产品、过程或服务的质量所必须的全部有计划有组织的活动。也可以说是为了提供信任表明实体能够满足质量要求，而在质量体系中实施并根据需要进行证实的全部有计划和有系统的活动。不可能制定一项质量计划就可确保实际交付高质量的产品和服务。

质量保证

质量保证是在质量系统内实施的所有有计划的系统性活动，是保证质量管理计划得以实施的一组过程及步骤，旨在证明项目满足相关的质量标准。

从本质上来讲，质量保证是对质量规划和质量控制过程的质量控制，可以分为：内部质量控制(向项目管理组和执行机构的管理层提供质量保证)和外部质量控制(向客户或不参与项目工作的人员提供质量保证)。

6σ管理法

6σ管理法是一种统计评估法，核心是追求零缺陷生产，防范产品责任风险，降低成本，提高生产率和市场占有率，提高顾客满意度和忠诚度。6σ管理既着眼于产品、服务质量，又关注过程的改进。“σ”是希腊文的一个字母，在统计学上用来表示标准偏差值，用以描述总体中的个体离均值的偏离程度，测量出的σ表征着诸如单位缺陷、百万缺陷或错误的概率性，σ值越大，缺陷或错误就越少。6σ是一个目标，这个质量水平意味的是所有的过程和结果中，99.99966% 是无缺陷的，也就是说，做100万件事情，其中只有3.4件是有缺陷的，这几乎趋近到人类能够达到的最为完美的境界。6σ管理关注过程，特别是企业为市场和顾客提供价值的核心过程。因为过程能力用σ来度量后，σ越大，过程的波动越小，过程以最低的成本损失、最短的时间周期、满足顾客要求的能力就越强。6σ理论认为，大多数企业在3σ～4σ间运转，也就是说每百万次操作失误在6210～66800之间，这些缺陷要求经营者以销售额在15%～30%的资金进行事后的弥补或修正，而如果做到6σ，事后弥补的资金将降低到约为销售额的5%。

质量控制活动

为了有效地实施质量控制活动，人们使用工具：直方图、控制图、因果图、帕累托图、散点图、核对表和趋势分析等，此外在项目质量管理中，还用到检查、统计分析等方法。

在IT项目中，常用的质量控制的工具与技术有检查、测试和评审。

• 查找造成质量问题原因的两个主要工具是因果图和流程图。
• 找出造成质量问题主要原因的两个工具是帕雷托图和直方图。
• 分析质量问题趋势的主要技术是趋势分析。
• 监控过程质量的工具是控制图。

质量保证是一项管理职能，包括所有的有计划的系统地为保证项目能够满足相关的质量标准而建立的活动，质量保证应该贯穿于整个项目生命期。质量保证一般由质量保证部门或者类似的相关部门完成。

质量审计是对其他质量管理活动的结构性的审查，是决定一个项目质量活动是否符合组织政策、过程和程序的独立的评估。项目质量审计是实施项目质量保证的一种常见方法。

质量保证

质量保证旨在建立对未来输出或正在进行的工作在完工时满足特定的需求和期望的信心。

质量保证属于一致性成本

质量保证属于成本框架中的一致性成本。

直接成本

直接成本包括需求开发费用、设计费用、实施费用、验收费用。

成本基准

成本基准包括成本+应急储备，但是不包括管理储备。成本预算=成本基准+管理储备

应急储备的特点：
(1)用来处理预期但不确定的事件(已知的未知)；
(2)是成本绩效基准的一部分；
(3)项目经理可以自由使用；
(4)作为预算分配；
(5)是挣值计算的一部分。

管理储备的特点：
(1)用来处理非预期且不确定的事件(未知的未知)；
(2)不属于成本绩效基准；
(3)动用之前一般需要获得批准；
(4)不作为预算分配；
(5)不是挣值计算的一部分。

计划评审技术(PERT)

计划评审技术(PERT)就是工程项目当作一种系统，用网络图或者表格或者矩阵来表示各项具体工作的先后顺序和相互关系，以时间为中心，找出从开工到完工所需要时间的最长路线，并围绕关键路线对系统进行统筹规划，合理安排以及对各项工作的完成进度进行严密的控制，以达到用最少的时间和资源消耗来完成系统预定目标的一种计划与控制方法。
PERT具有风险评价的更能。其他几个工具都没有此功能。

关键路径法是利用进度模型时使用的一种进度网络分析技术。项目进度网络图是展示项目各计划活动及逻辑关系(依赖关系)的图形。关键链法(Critical Chain Method)是另一种进度网络分析技术，可以根据有限的资源对项目进度表进行调整。
只有计划评审技术 PERT具有风险评价的功能。

风险管理计划

PMBOK第五版：风险管理计划中的时间安排。确定在项目生命周期中实施项目风险管理过程的时间和频率，确定风险管理活动并将其纳入项目进度计划。

进度控制步骤

一般情况下，进度控制的步骤如下：
(1)分析实际进度与计划进度。
(2)如果进度落后，找出落后的原因。
(3)针对进度落后原因，制订并选择纠正措施。
(4)执行纠正措施。

如果是原进度计划的原因，则：
(1)提出进度变更申请，以修改进度计划。
(2)重新计算进度，估计计划采取的纠正措施的效果。

需求跟踪

需求跟踪是指跟踪一个需求使用期限的全过程，需求跟踪包括编制每个需求同系统元素之间的联系文档，这些元素包括其他类型的需求，体系结构，其他设计部件，源代码模块，测试，帮助文件等。

需求跟踪为我们提供了由需求到产品实现整个过程范围的明确查阅的能力。

详细可行性研究的内容

详细可行性研究所涉及的内容很多，每一方面都有其处理问题的方法，软件项目详细可行性研究的内容，一般可以归纳为：

(1)概述：提出项目开发的背景、必要性和经济意义，研究项目工作的依据和范围，产品交付的形式、种类、数量。
(2)需求确定：调查研究国内外客户的需求情况，对国内外的技术趋势进行分析，确定项目的规模、目标、产品、方案和发展方向。
(3)现有资源、设施情况分析：调查现有的资源(包括硬件设备、软件系统、数据、规章制度等种类与数量，以及这些资源的使用情况和可能的更新情况)。
(4)设计(初步)技术方案：确定项目的总体和详细目标、范围，总体的结构和组成，核心技术和关键问题、产品的功能与性能。
(5)项目实施进度计划建议。
(6)投资估算和资金筹措计划。
(7)项目组织、人力资源、技术培训计划：包括现有的人员规模、组织结构、人员层次、个人技术能力、人员技术培训计划等。
(8)经济和社会效益分析(效果评价)。
(9)合作／协作方式。

可行性研究的需求确定

需求确定：调查研究国内外客户的需求情况，对国内外的技术趋势进行分析，确定项目的规模、目标、产品、方案和发展方向。

需求确定属于详细可行性研究的内容。

需求跟踪

需求跟踪提供了一个表明与合同或说明一致的方法。更进一步，需求跟踪可以改善产品质量，降低维护成本，而且很容易实现重用。

物料清单

• 物料清单(Bill of Materials，简称BOM)是描述企业产品组成的技术文件。在加工资本式行业，它表明了产品的总装件、分装件、组件、部件、零件、直到原材料之间的结构关系，以及所需的数量。
• 资源计划矩阵也称资源矩阵，它是项目工作分解结构的直接产品，即根据具体工作分解结构情况来对资源进行分析、汇总。资源计划矩阵能够清晰表示WBS的结果，解决WBS中无法解决的问题。
• 活动清单是包括全部项目的计划活动。

软件需求

能确认需求、能验证需求的实现属于对需求描述的精确性要求。

软件需求的一个基本特征就是可验证性。需求可验证性的目标，就是尽可能发现存在的错误，以减少因为需求错误而带来的返工等问题。

需求工程

需求获取：通过与用户的交流，对现有系统的观察及对任务进行分析，从而开发、捕获和修订用户的需求；需求建模：为最终用户所看到的系统建立一个概念模型，作为对需求的抽象描述，并尽可能捕获现实世界的语义；形成需求规格：生成需求模型构件的精确的形式化的描述，作为用户和开发者之间的一个协约；需求验证：以需求规格说明作为输入，通过符号执行、模拟或快速原型等途径，分析需求规格的正确性和可行性，包含有效性检查，一致性检查，可行性检查和确认可验证性；需求管理：支持系统的需求演进，如需求变化和可跟踪性问题。

需求分析

需求分析的方法主要有三种：结构化分析方法、面向对象分析方法和面向问题域的分析方法。
而结构化分析方法的实质是着眼于数据流，自顶向下，逐层分解，建立系统的处理流程，以数据流图和数据字典为主要工具，建立系统的逻辑模型。所以面向数据流分析方法属于结构化分析方法的范畴。

需求管理

需求管理是记录，分析，跟踪，确定优先级，就需求达成一致的过程，然后控制变更和与相关的干系人进行沟通的过程。它是一个贯穿整个项目的连续过程。

编制需求分析阶段的文档

编制需求分析阶段的文档包括：软件需求说明书、数据要求说明书、初步的用户手册，以及修改、完善与确定软件开发实施计划。

控制范围

控制范围(Control Scope)是监督项目和产品的范围状态、管理范围基准变更的过程，其主要作用是在整个项目期间保持对范围基准的维护。对项目范围进行控制，就必须确保所有请求的变更、推荐的纠正措施或预防措施都经过实施整体变更控制过程的处理。

在变更实际发生时，也要采用控制范围过程来管理这些变更。

控制范围关注的问题

控制范围关注的焦点问题是：

• 对造成范围变更的因素施加影响，以确保这些变更得到一致的认可；
• 确定范围变更是否已经发生；
• 当范围变更发生时，对实际的变更进行管理由此可知。
• 如果项目绩效偏离设定的范围基准，则有可能引发变更。

范围变更控制过程

范围变更控制过程影响引起范围变更的因素，控制范围应与其他控制过程完全结合，确保所有被请求的变更按照项目整体变更控制处理，范围变更发生时管理实际的变更。未控制的变更经常被看作范围溢出。变更应当被视作不可避免的，因此要颁布一些类型的变更控制过程。

在项目范围管理计划文档中描述的范围变更控制方法是定义项目范围变更的有关流程。它包括必要的书面文件(如变更申请单)、跟踪系统和授权变更的批准等级。变更控制系统与其他系统相结合，如配置管理系统，控制项目范围。当项目受合同约束时，变更控制系统应当符合所有相关合同条款。

范围变更控制的工作

范围变更控制的工作，在整个项月周期内，项目范围发生变化，则要进行范围变更控制，范围变更控制的主要工作如下：

• (l)影响导致范围变更的因素，并尽量使这些因素向有利的方面发展。
• (2)判断范围变更是否已经发生。
• (3)范围变更发生时管理实际的变更，确保所有被请求的变更按照项目整体变更控制过程处理。

定义范围

定义范围是制定项目和产品详细描述的过程。本过程的主要作用是，明确所收集的需求哪些将包括在项目范围内，哪些将排除在项目范围外，从而明确项目、服务或输出的边界。所以制定项目范围说明书工作用来对项目进行定义，该工作用来明确“项目需要做什么”。

项目范围与产品范围

项目范围是为了完成具有所规定特征和功能的产品、服务或结果，而必须完成的工作。产品范围描述了项目承诺交付的产品、服务或结果的特征。这种描述随着项目的开展，其产品特征会逐渐细化。
产品特征的改进必须在适当的范围定义下进行，特别是对有合同约束的项目。项目范围一旦定义好后就应该保持稳定，即使产品的特征在不断地改进。

赫茨伯格的双因素理论

激励因素-保健因素理论，是美国的行为科学家弗雷德里克•赫茨伯格(Fredrick Herzberg)提出来的，又称双因素理论。双因素理论认为有两种完全不同的因素影响着人们的工作行为。

第一类是保健因素(Hygiene Factor)，这些因素是与工作环境或条件有关的，能防止人们产生不满意感的一类因素，包括工作环境、工资薪水、公司政策、个人生活、管理监督、人际关系等。当保健因素不健全时，人们就会产生不满意感。但即使保健因素很好时，也仅仅可以消除工作中的不满意，却无法增加人们对工作的满意感，所以这些因素是无法起到激励作用的。

第二类是激励因素(Motivator)，这些因素是与员工的工作本身或工作内容有关的、能促使人们产生工作满意感的一类因素，是高层次的需要，包括成就、承认、工作本身、责任、发展机会等。当激励因素缺乏时，人们就会缺乏进取心，对工作无所谓，但一旦具备了激励因素，员工则会感觉到强大的激励力量而产生对工作的满意感，所以只有这类因素才能真正激励员工。

项目整体管理

项目整体管理是项目管理中一项综合性和全局性的管理工作。
项目整体管理知识域包括保证项目各要素相互协调所需要的过程。具体地，项目整体管理知识域包括标识、定义、整合、统一和协调项目管理过程组中不同过程和活动所需要的过程和活动。因此，项目整体管理中各个管理过程并不是独立的。A项说法错误。
项目整体管理并不是一个线性的过程，而是一个迭代的过程。B选项说法错误。
而成本估算过程也是项目管理中的一项过程，因此也属于项目整体管理需涉及的内容。D选项错误。

投资回报率

投资回报率(ROI)= (税前年利润/投资总额)*100%

项目建议书

项目建议书应该包括的核心内容如下：

• 项目的必要性；
• 项目的市场预测；
• 产品方案或服务的市场预测；
• 项目建设必需的条件。

项目立项管理

项目立项管理包括机会研究、初步可行性研究、详细可行性研究、项目论证和项目评估。

可行性研究

信息系统项目的可行性研究就是从技术、经济、社会和人员等方面的条件和情况进行调查研究，对可能的技术方案进行论证，以最终确定整个项目是否可行。信息系统项目进行可行性研究包括很多方面的内容，可以归纳成以下几个方面：技术可行性分析、经济可行性分析、运行环境可行性分析以及其他方面的可行性分析等。

要约和要约邀请

根据《中华人民共和国合同法》的第一章“一般规定”中的第十四条和第十五条规定：
第十四条要约是希望和他人订立合同的意思表示，该意思表示应当符合下列规定：
(一)内容具体确定；
(二)表明经受要约人承诺，要约人即受该意思表示约束。
第十五条要约邀请是希望他人向自己发出要约的意思表示。寄送的价目表、拍卖公告、招标公告、招股说明书、商业广告等为要约邀请。

项目立项管理中项目论证的步骤

项目论证是一个连续的过程，它包括问题的提出、制定目标、拟定方案、分析评价最后从多种可行的方案中选出一张比较理想的最佳方案，供投资者。

项目立项管理中项目论证的步骤依次为：

(1)明确项目范围和业主(建设单位)目标
(2)收集并分析相关资料
(3)拟定多种可行的能够相互替代的实施方案
(4)多方案分析、比较
(5)选择最优方案进一步详细全面地论证
(6) 编制项目论证报告、环境影响报告书和采购方式审批报告
(7) 编制资金筹措计划和项目实施进度计划

项目立项管理详细内容

• 机会研究的内容为寻求投资机会，鉴别投资方向；
• 初步可行性研究阶段要研究项目是否有生命力，能否盈利；
• 详细可行性研究是要在多方案比较的基础上选择出最优方案：
• 项目论证是确定项目是否实施的前提。

系统论方法论是研究一切系统的一般模式、原则和规律的理论体系。研究一切系统的基本观点(原理)：

原理一、整体性——“盲人摸象”的教训；
原理二、相关性——牵一发而动全身；
原理三、层次性——等级森严的结构整体；
原理四、有序性——系统功能发挥的源泉；
原理五、动态性——发展变化的理论；
原理六、调控性——系统的自组织；
原理七、最优化——如何追求完美。

绩效审计

绩效审计按审计时间分类可以分为事前绩效审计、事中绩效审计和事后绩效审计。

事前绩效审计包括计划预算建设项目的可行性研究、成本预测等内容。通过事前审计可以防患于未然。对于计划预算以及投资项目实施可能出现的问题和不利因素能在事前及时纠正和剔除，避免因预测不准或计划不周而造成经济损失或效益不高。

事中审计是把项目实施情况与实施前的预测预算计划和标准等进行分析比较，从中找出差距和存在的问题，及时采取有效措施，加以纠正并根据实际情况的变化调整和修改计划预算，使之更加符合客观实际、更加合理。它是一种动态审计 。

事后审计是一种总结性审计。主要是对以完成的活动的经济效益效果效率进行分析与评价，找出问题的原因发掘进一步提高的途径。

一致性成本

审计成本：用于审计工作所花的成本。
沉没成本：在过去己经花的钱。
直接成本：直接可以归属于项目工作的成本。
间接成本：一般管理费用科目或几个项目共同分担的成本。
在以上成本中，项目经理可以控制的只有直接成本。

质量成本

质量成本(COQ)：指一致性工作和非一致性工作的总成本。

• 一致性成本指防止失败的费用(如：测试)；
• 非一致性成本用于处理失败的费用(如：返工)。

软技能

软技能包括人际关系管理。软技能包括以下内容：

• 有效的沟通：信息交流。
• 影响一个组织：“让事情办成”的能力。
• 领导能力：形成一个前景和战略并组织人员达到它。
• 激励：激励人员达到高水平的生产率并克服变革的阻力。
• 谈判和冲突管理：与其他人谈判或达成协议。
• 问题解决：问题定义和做出决策的结合。
• 后勤和供应链不在其列。

项目经理的权力有5种来源

(1)职位权力(Legitimate Power)，来源于管理者在组织中的职位和职权。在高级管理层对项目经理的正式授权的基础上，项目经理让员工进行工作的权力。

(2)惩罚权力(Coercive Power)，使用降取、扣薪、惩罚、批评、威胁等负面手段的能力。惩罚权力很有力，但会对团队气氛造成破坏。滥用惩罚权力会导致项目失败，应谨慎使用。

(3)奖励权力(Reward Power)，给予下属奖励的能力。奖励包括加薪、升职、福利、休假、礼物、口头表扬、认可度、特殊的任务以及其他的奖励员工满意行为的手段。优秀的管理者擅长使用奖励权力激励员工高水平完成工作。

(4)专家权力(Expert Power)，来源于个人的专业技能。如果项目经理让员工感到他是某些领域的专业权威，那么员工就会在这些领域内遵从项目经理的意见。来自一线的中层管理者经常具有很大的专家权力。

(5)参照权力(Referent Power)，由于成为别人学习参照榜样所拥有的力量。参照权力是由于他人对你的认可和敬佩从而愿意模仿和服从你以及希望自己成为你那样的人而产生的，这是一种个人魅力。具有优秀品质的领导者的参照权力会很大。这些优秀品质包括诚实、正直、自信、自律、坚毅、刚强、宽容和专注等。领导者要想拥有参照权力，就要加强这些品质的修炼。

团队管理和团队监控

项目团队管理过程跟踪个人和团队的执行情况，提供反馈和协调变更，以此来提高项目的绩效，保证项目的进度。

项目管理团队监控团队的行为、管理冲突、解决问题和评估团队成员的绩效、员工管理计划的更新、变更请求的提交、问题的解决作为项目管理的最终结果被视为组织绩效评估的输入，同时其经验教训也被加入组织的数据库。

对团队成员的绩效评估由项目经理来进行，而不是项目经理去收集绩效评估。

项目管理的目的

项目管理的目的就是计划、组织和控制项目的活动来达到最终的目的。

项目管理方法的核心

对于项目来说，风险无处不在，无论是技术还是质量还是投资等各个方面，都会存在风险事件，因此项目管理方法的核心是目标管理与风险管理相结合。

项目整体评估

把项目看成一个整体，权衡各种要素之间的关系的评估称为项目整体评估，其主要特征可以概括为：整体性(综合集成经济、技术运行、环境、风险)、目标性、相关性(时间、知识、逻辑三维结构)、动态性(项目生命周期)。

计算机软件质量保证计划规范的基本文档

根据《GB/T 12504—90 计算机软件质量保证计划规范》的规定，为了确保软件的实现满足需求，至少需要下列基本文档：

• 软件需求规格说明书
• 软件设计说明书
• 软件验证与确认计划
• 件验证和确认报告
• 用户文档

软件系统的有效性

某软件系统投入运行10天，计划运行时间为每早8点至晚6点。第2天上午发生一次失效，故障恢复用了1小时。第4天上午发生一次失效，故障恢复用了4小时。第9天上午发生一次失效，故障恢复用了1小时。根据《软件工程产品质量GB/T16260-2006》，该软件系统的有效性(或可用性，availability)为( )。
答案：使用(100-6)/100

软件质量模型

在McCall提出的软件质量模型中，软件的质量特性被分成产品转移、产品修改和产品运行三组。

产品转移特性包括可移植性、可复用性和共运行性(互连性)。产品修改特性包括可维护性、灵活性和可测试性。产品运行特性包括正确性、可靠性、效率、完整性和可使用性。

项目立项管理详细内容2

根据《信息系统项目管理师教程(第2版)》可知：机会研究、初步可行性研究、详细可行性研究、评估与决策(项目论证)是投资前的四个阶段。

在实际工作中，依据项目的规模和繁简程度可把前两个阶段省略或合二为一，但详细可行性研究是不可缺少的。升级改造项目只做初步和详细研究，小项目一般只进行详细可行性研究。

定性风险分析

定性风险分析利用风险发生概率、风险一旦发生对项目产生的影响以及其他因素(如时间框架和项目制约条件，即成本、进度、范围、质量的风险承受度水平)，对已识别风险进行优先级的评估。
选项A是定量风险分析，选项B是定性风险分析，选项C是企业环境因素，选项D是风险管理计划。故B是正确的。

工作流技术的作用

随着经营业务的展开，虽然企业的物理位置可能逐渐分散，但部门间的协作却日益频繁，对决策过程的分散性也日益明显，企业日常业务活动详细信息的需求也日益提高。因此，企业要求信息系统必须具有分布性、异构性、自治性。

在这种大规模的分布式应用环境下高效地运转相关的任务，并且对执行的任务进行密切监控已成为一种发展趋势。工作流技术由此应运而生。一般来讲工作流技术具有如下作用：

①整合所有的专门业务应用系统，使用工作流系统构建一个灵活、自动化的EAI平台。
②协助涉及多人完成的任务提高生产效率。
③提高固化软件的重用性，方便业务流程改进。
④方便开发，减少需求转化为设计的工作量，简化维护，降低开发风险。
⑤实现的集中统一的控制，业务流程不再是散落在各种各样的系统中。
⑥提高对客户响应的顶见性，用户可根据变化的业务进行方便的二次开发。

沟通和书面沟通2

沟通是为了一个设定的目标，把信息、思想和情感，在个人或群体间传递，并且达成共同协议的过程。书面沟通最有可能帮助解决复杂问题。

创建WBS

一般而言项目的主要组成部分是项目的主要可交付物，包括项目管理方面的可交付物和合同所要求的可交付物。在具体项目创建WBS时，项目主要交付成果是可以根据项目的实际管理情况而定义的。

可以按照项目生命周期的各个阶段划分第一层，为完成阶段交付成果需要的工作表示为第一层；也可以按照产品的结构划分，项目总的交付成果作为第一层，将项目管理的各个阶段表示为第二层；分解时要考虑执行组织的层次结构，以便把工作包与执行组织单元联系起来。

大型及复杂项目亦同样适用，即可以按照项目的组织结构、产品结构、生命周期三个角度制定分解结构。

合同

合同一经成立即具有法律效力，在双方当事人之间就发生了权利、义务关系；或者使原有的民事法律关系发生变更或消灭。当事人一方或双方未按合同履行义务，就要依照合同或法律承担违约责任。

根据《合同法》的有关规定，可知合同的法律性质有：

1．合同是一种民事法律行为。
2．合同是两方或多方当事人意思表示一致的民事法律行为。
3．合同是以设立、变更、终止民事权利义务关系为目的的民事法律行为。

开放系统互连OSI和会话层

OSI(Open System Interconnection，开放系统互连)七层网络模型包括：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。

其中会话层的主要功能是：负责在网络中的两节点之间建立、维持和终止通信。

会话层的功能包括：建立通信链接，保持会话过程通信链接的畅通，同步两个节点之间的对话，决定通信是否被中断以及通信中断时决定从何处重新发送。

桌面检查和代码审计

桌面检查 desk checking 一种静态分析技术，在此技术中，可视地检查代码清单、测试结果或其他文档，通常，这样的核对由产生它们的人员进行，以标识错误、对标准的违反或其他问题．代码审计：由某人、某小组或借助某种工具对源代码进行的独立的审査，以验证其是否符合软件设计文件和程序设计标准。还可能对正确性和有效性进行估计。

测试阶段的划分

根据《软件工程术语GB/T 11457-2006》可知：验收测试为使客户能确认是否接受系统的正式测试。

单元测试：集中对用源代码实现的每一个程序单元进行测试，检查各个程序模块是否正确地实现了规定的功能。集成测试：把已测试过的模块组装起来，主要对与设计相关的软件体系结构的构造进行测试。确认测试：则是要检查已实现的软件是否满足了需求规格说明中确定了的各种需求，以及软件配置是否完全、正确。系统测试：把已经经过确认的软件纳入实际运行环境中，与其它系统成份组合在一起进行测试。验收测试：系统开发生命周期方法论的一个阶段，这时相关的用户和／或独立测试人员根据测试计划和结果对系统进行测试和接收。它让系统用户决定是否接收系统。它是一项确定产品是否能够满足合同或用户所规定需求的测试。这是管理性和防御性控制。

计算机机房接地方式

根据《建筑物防雷设计规范》GB50057和《建筑物电子信息系统防雷技术规范》GB50343的有关规定，计算机机房应采用如下四种接地方式：

• 交流工作接地时电阻不应大于4Ω
• 安全工作接地时电阻不应大于4Ω
• 直流工作接地时电阻不应大于1Ω
• 防雷接地时电阻不应大于10Ω

验证

验证是指确定在软件开发周期中的一个给定阶段的产品是否达到在上一阶段确立的需求的过程。

确认是指在软件开发过程结束时对软件进行评价以确定它是否和软件需求相一致的过程。

需求验证主要是为了确定以下几方面的内容：软件需求规格说明正确描述了预期的系统行为和特征；需求是完整的和高质量的；需求为继续进行产品设计、构造和测试提供了足够的基础。为保证系统的设计满足需求规格说明书可以理解为属于需求验证的范畴。

需求的具体内容

《计算机软件需求说明编制指南》GB/T9385中定义了需求的具体内容，包括：

(1)功能需求：指描述软件产品的输入怎样变换成输出即软件必须完成的基本动作。对于每一类功能或者有时对于每一个功能需要具体描述其输入、加工和输出的需求。
(2)性能需求：从整体来说本条应具体说明软件或人与软件交互的静态或动态数值需求。

①静态数值需求可能包括：
·支持的终端数
·支付并行操作的用户数
·处理的文卷和记录数
·表和文卷的大小

②动态数值需求
可包括欲处理的事务和任务的数量，以及在正常情况下和峰值工作条件下一定时间周期中处理的数据总量。所有这些需求都必须用可以度量的术语来叙述。例如，95%的事务必须在小于1s时间内处理完，不然操作员将不等待处理的完成。
(3)设计约束：设计约束受其他标准、硬件限制等方面的影响。
(4)属性：在软件的需求之中有若干个属性如可移植性、正确性、可维护性及安全性等。
(5)外部接口需求：包括用户接口、硬件接口、软件接口、通信接口。
(6)其他需求：根据软件和用户组织的特性等某些需求放在数据库、用户要求的常规的和特殊的操作、场合适应性需求中描述。

由此可知：

①对特定范围内修改所需的时间不超过3秒——性能需求。
②按照订单及原材料情况自动安排生产排序——功能需求。
③系统能够同时支持1000个独立站点的并发访问——性能需求。
④系统可实现对多字符集的支持，包括GBK， BIG5和UTF-8等——设计约束。
⑤定期生成销售分析报表——功能需求
⑥系统实行同城异地双机备份，保障数据安全——设计约束。

质量特性

一、功能性：一组功能及其指定的性质有关的一组属性。适合性、准确性、互用性/互操作性、依从性、安全性。二、可靠性：在规定的一段时间和条件下，软件维持其性能水平有关的一组软件属性。成熟性、容错性、易恢复性。三、可用性：与使用的难易程度及规定或隐含用户对使用方式所做的评价有关的软件属性。易理解性、易学性、易操作性。四、效率：在规定条件下，软件的性能水平和所用资源之间的关系有关的一组软件属性。时间特性、资源特性。五、可维护性：与进行指定的修改所需的努力有关的一组软件属性。易分析性、可修改性、稳定性、可测试性。六、可移植性：与软件可从某一环境转移到另一环境的能力有关的一组软件属性。适应性、易安装性、一致性(遵循性)、可替换性。

功能检查/物理检查/综合检查

根据《计算机软件质量保证计划规范(GB/T12504-1990)》

4.5.5功能检查 functional audit
在软件释放前，要对软件进行物理检查，以验证程序和文档已经满足在软件需求说明书中规定的所有需求。

4.5.6物理检查 physical audit
在验收软件前，要对软件进行物理检查，以确保程序和文档已经一致并已做好了交付的准备。

4.5.7综合检查 comprehensive audit
在软件验收时，要允许用户或用户所委托的专家对所要验收的软件进行设计抽样的综合检查，以验证代码和设计文档的一致性。

用户手册

GB/Tl2504-1990计算机软件质量保证计划规范“4.3.1.5 用户手册”指出:

用户文档(例如手册、指南等)必须指明成功运行该软件所需要的数据、控制命令以及运行条件等；必须指明所有的出错信息、含义及其修改方法，还必须描述将用户发现的错误或问题通知项目承办单位(或软件开发单位)或项目委托单位的方法。

用户文档的详细格式按 GB8567。

综合检查

《计算机软件质量保证计划规范GB/T12504-1990》的4.5.7条款，综合检查是指在软件验收时，要允许用户或用户所委托的专家对所要验收的软件进行设计抽样的综合检查，以验证代码和设计文档的一致性、接口规格说明之间的一致性(硬件和软件)、设计实现和功能需求的一致性、功能需求和测试描述的一致性。

基本文档

4.3.1基本文档

为了确保软件的实现满足需求，至少需要下列基本文档：

4.3.1.1软件需求规格说明书 software requirements specification

软件需求规格说明书必须清楚、准确地描述软件的每一个基本需求(功能、性能、设计约束和属性)和外部界面。必须把每一个需求规定成能够通过预先定义的方法(例如检查、分析、演示或测试等)被客观地验证与确认的形式。

软件需求规格说明书的详细格式按GB 8567。

4.3.1.2软件设计说明书 software design description

软件设计说明书应该包括软件概要设计说明和软件详细设计说明两部分。
其概要设计部分必须描述所设计的总体结构、外部接口、各个主要部件的功能与数据结构以及各主要部件之间的接口；必要时还必须对主要部件的每一个部件进行描述。
其详细设计部分必须给出每一个基本部件的功能、算法和过程描述。

软件设计说明书的详细格式按GB8567。

4.3.1.3软件验证与确认计划 software verification and validation plan

软件验证与确认计划必须描述所采用的验证和确认方法(例如评审、检查、分析、演示或测试等)，以用来验证软件需求规格说明书中的需求是否已由软件设计说明书描述的设计实现；软件设计说明书表达的设计是否已由编码实现。软件验证与确认计划还可用来确认编码的执行是否与软件需求规格说明书中所规定的需求相一致。

软件验证与确认计划的详细格式按GB 8567 中的测试计划的格式。

4.3.1.4软件验证和确认报告 software verification and validation report

软件验证与确认报告必须描述软件验证与确认计划的执行结果。这里必须包括软件质量保证计划所需要的所有评审、检查和测试的结果。

软件验证与确认报告的详细格式按GB 8567 中的测试报告的格式。

4.3.1.5用户文档 user documentation

用户文档(例如手册、指南等到)必须指明成功运行该软件所需要的数据、控制命令以及运行条件等；必须指明所有的出错信息、含义及其修改方法；还必须描述将用户发现的错误或问题通知项目承办单位(或软件开发单)或项目委托单位的方法。

用户文档的详细格式按GB 8567。

4.3.2 其他文档

除基本文档以外，还应包括下列文档：

a. 项目实施计划(其中可包括软件配置管理计划，但在必要时也可单独制订该计划)：其详细格式按GB 8567。b. 项目进展报表：其详细格式可参考本规范附录B(参考件)中有关《项目进展报表》的各项规定。c. 项目开发各阶段的评审报表：其详细格式可参考本规范附录C(参考件)中有关《项目阶段评审表》的各项规定。d. 项目开发总结：其详细格式按GB 8567。

软件生存周期过程

软件生存周期过程的国际标准ISO/IEC 12207将软件过程分为基本过程组、支持过程组和组织过程组三类。

基本过程组包括获取过程、供应过程、开发过程、运行过程和维护过程。支持过程组包括文档编制过程、配置管理过程、质量保证过程、验证过程、确认过程、联合评审过程、审计过程以及问题解决过程。组织过程组包括管理过程、基础设施过程、改进过程和培训过程。

ANSI

以ANSI(American National Standard Institute，美国国家标准学会)冠名的标准属于美国国家标准。

机房分级

根据《电子信息系统机房设计规范GB 50174-2008》：

3.1机房分级

3.1.1电子信息系统机房划分为A、B、C三级。设计时应根据机房的使用性质、管理要求及其在经济和社会中的重要性确定所属级别。

3.1.2符合下列情况之一的电子信息系统机房应为A级：

1. 电子信息系统运行中断将造成重大的经济损失；
2. 电子信息系统运行中断将造成公共场所秩序严重混乱。

3.1.3符合下列情况之一的电子信息系统机房应为B级：

1. 电子信息系统运行中断将造成较大的经济损失；
2. 电子信息系统运行中断将造成公共场所秩序混乱。

3.1.4不属于A级或B级的电子信息系统机房为C级。

信息系统的安全

信息系统的安全贯穿于系统的全生命周期，为了其安全，必须从物理安全、技术安全和安全管理三方面入手，只有这三种安全一起实施，才能做到对信息系统的安全保护。其中的物理安全又包括环境安全、设施和设备安全以及介质安全。

DDOS攻击

DoS(Denial of Service)是一种利用合理的服务请求占用过多的服务资源，从而使合法用户无法得到服务响应的网络攻击行为。通俗地讲，Dos攻击就是拒绝服务的意思，会导致网络系统不可用。

数字签名可以确保电子文档的真实性并可以进行身份验证，以确认其内容是否被篡改后伪造。数字签名是确保电子文档真实性的技术手段。

信息安全保障系统级别

MIS+S(初级信息安全保障系统)、S-MIS(标准信息安全保证系统)和S2-MIS(超安全的信息安全保障系统)。
S2-MIS是建立在“绝对的”安全的信息安全保障系统，它不仅使用全世界都公认的PKI/CA标准，同时硬件和系统软件都使用“专用的安全”产品。可以说，这样的系统是集当今所有安全、密码产品之大成。

这种系统的特点如下：

(1)硬件和系统软件都专用。
(2)PKI/CA安全保障系统必须带密码。
(3)应用系统必须根本改变(实施过程中有重大变化)。
(4)主要的硬件和系统软件需要PKI/CA认证。

WEB防篡改技术

参考 《信息系统项目管理师教程》 第三版 P80，Web威胁防护技术，WEB防篡改技术包括时间轮询技术、核心内嵌技术、文件过滤驱动、事件触发等。

1、Web面临的主要威胁包括：可信任站点的漏洞；浏览器和浏览器插件的漏 洞；终端用户的安全策略不健全；携带恶意软件的移动存储设备；网络钓鱼；僵尸网络； 带有键盘记录程序的木马等。(A选项)
2、WEB网页防篡改技术包括时间轮询技术、核心内嵌技术、事件触发技术、文件过滤驱动 技术等。(B选项)
3、WEB内容安全管理分为电子邮件过滤、网页过滤、反间谍软件三项技术，这三项技术不仅对内容安全市场发展起到决定性推动作用，而且对于互联网的安全起到至关重要的保 障作用。(C选项)
4、WEB访问控制是Web站点安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法访问者访问。访问Web站点要进行用户名、用户口令的识别与验证、用户账号的 缺省限制检查。只要其中任何一关未过，该用户便不能进入某站点进行访问。Web服务器一般提供了：通过IP地址、子网或域名；通过用户名/口令；通过公钥 加密体系PKI (CA认证)等访问控制方法。(D选项)

软件生命周期

软件生命周期中时间最长的阶段是(B)阶段。
A．需求分析B．软件维护
C．软件设计
D．软件开发

安全审计功能

《信息系统项目管理师教程》第三版 第22章信息系统安全管理-P661—安全审计功能。

CC标准将安全审计功能分为6个部分：

• 安全审计自动响应功能(定义在被测事件指示出一个潜在的安全攻击时做出的响应)；
• 安全审计自动生成功能(记录与安全相关的事件的出现，包括鉴别审计层次、列举可被审计的事件类型)；
• 安全审计分析功能(定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作)；
• 安全审计浏览功能(授权用户有效地地浏览审计数据)；
• 安全审计事件选择功能(维护、检查或修改审计事件)；
• 安全审计事件存储功能(防止资源不可用丢失审计数据)。

安全保护等级

根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。该级适用于普通内联网用户。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。该级适用于通过内联网或国际网进行商务活动，需要保密的非重要单位。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设单位。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离单位。

安全策略核心内容“七定”

安全策略的核心内容就是七定，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。安全策略首先要解决定方案。

入侵检测系统和入侵防御系统*

入侵检测系统(intrusion detection system，简称“IDS”)，是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。而IDS在应对对自身的攻击时，对其他传输的检测也会被抑制。数据分析是IDS核心。

入侵防御系统(IPS),属于网络交换机的一个子项目，为有过滤攻击功能的特种交换机。一般布于防火墙和外来网络的设备之间，依靠对数据包的检测进行防御。

切断、截取、篡改、伪造

篡改，这是对完整性的攻击。未经授权的用户不仅获得了对某资源的访问，而且进行篡改，如修改数据文件中的值，修改网络中正在传送的消息内容。

切断，是对可用性的威胁；
截取，是对机密性的威胁；
篡改，是对完整性的威胁；
伪造，是对合法性的威胁。

访问控制

访问控制是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法范围内使用，访问控制机制决定用户及代表一定用户利益的程序能做什么，及做到什么程度。访问控制是信息安全保障机制的核心内容，是实现数据保密性和完整性机制的主要手段。

访问控制可分为以下两种：

(1)强制访问控制(MAC)：系统独立于用户行为强制执行访问控制，用户不能改变他们的安全级别或对象的安全属性，通常对数据和用户安全等级划分标签，访问控制机制通过比较安全标签来确定接受还是拒绝用户对资源的访问；所以选B

(2)自主访问控制(DAC)：允许对象的属主来制定针对该对象的保护策略，通常DAC通过授权列表来限定主体对客体可以执行什么操作。每个主体拥有一个用户名并属于一个组或具有一个角色，每个客体拥有一个限定主体对其访问权限的访问控制列表。

信息系统安全的基础知识

本考题考查的知识点为信息系统安全的基础知识，根据GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》

应用安全

(1)身份鉴别(S2)
a) 应提供专用的登录控制模块对登录用户进行身份标识和鉴别；
b) 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用；
c) 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；
d) 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

(2)访问控制(S2)
a) 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问； 所以此题选C
b) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；
c) 应由授权主体配置访问控制策略，并严格限制默认账户的访问权限；
d) 应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

(3)安全审计(G2)
a) 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；
b) 应保证无法删除、修改或覆盖审计记录；
c) 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等

(4)入侵防范(G3)
a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；
b) 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事 件时应提供报警。

安全策略、防火墙、安全管理体系、系统安全

安全策略：是指在某个安全区域内(一个安全区域，通常是指属于某个组织的一系列处理和通信资源)，用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的，并由安全控制机构来描述、实施或实现的。

防火墙(Firewall)，也称防护墙，是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

安全管理体系，顾名思义就是基于安全管理的一整套体系，体系包括硬件软件方面。软件方面涉及到思想，制度，教育，组织，管理；硬件包括安全投入，设备，设备技术，运行维护等等。构建安全管理体系的最终目的就是实现企业安全、高效运行。

系统安全(System Safety)是指在系统生命周期内应用系统安全工程和系统安全管理方法，辨识系统中的隐患，并采取有效的控制措施使其危险性最小，从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度。系统安全是人们为解决复杂系统的安全性问题而开发、研究出来的安全理论、方法体系，是系统工程与安全工程结合的完美体现。

基于角色的访问控制(RBAC)

基于角色的访问控制(RBAC)：角色由应用系统的管理员定义，角色成员的增减只能由应用系统的管理员来执行，授权规定是强加给用户的，用户只能被动接受，不能自主决定，也不能自主地将访问权限传给他人。

RBAC与DAC的区别是用户不能自主地将访问权限授给别的用户。

S-MIS

S-MIS(Security-Management Information System)系统为“标准信息安全保障系统”。顾名思义，这样的系统是建立在全世界都公认的PKI/CA标准的信息安全保障系统。这种系统的特点如下：
·硬件和系统软件通用。
·PKI/CA安全保障系统必须带密码。
·应用系统必须根本改变。

106. 106. 入侵检测系统IDS

入侵检测系统IDS是一种主动保护自已免受攻击的网络安全技术。入侵检测系统能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。随着IDS技术的逐渐成熟，在整个安全部署中的重要作用正在被广大用户所认可和接受。为了确保网络安全，必须建立一整套的安全防护体系，进行多层次、多手段的检测和防护。IDS就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警。

IDS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。

IDS就是自动执行这种监视和分析过程的安全系统。

107. 107. VPN/SSH/SSL

VPN( Virtual Private Network )：通过对网络数据的封包和加密传输，在公网上传输私有数据、达到私有网络的安全级别。采用VPN技术的目的是为了在不安全的信道上实现安全信息传输，保证企业内部信息在Internet上传输时的机密性和完整性，同时使用鉴别对通过Internet进行的数据传输进行确认。

SSH ( Secure Shell )：通过使用SSH，把所有传输的数据进行加密。“中间人”这种攻击方式就不可能实现了。能够防止DNS和IP欺骗。传输的数据经过压缩，可以加快传输的速度。可以代替telnet，可以为ftp、 PoP、甚至PPP提供一个安全的“通道”。

SSL：是由Netscape开发出来的一种在持有证书的浏览器软件(如Internet Explorer，Netscape Navigator)和WWW服务器(如Netscape的Netscape Enterprise Server等)之间构造的安全通道中传输数据的协议。

108. 108. 数字签名

在信息安全技术体系中，数字签名技术用于防止信息抵赖，加密技术用于防止信息被窃取，完整性技术用于防止信息被篡改，认证技术用于防止信息被假冒。

109. 109. 安全审计的作用

安全审计的作用如下：

(1)检测对系统的入侵，对潜在的攻击者起到震慑或警告作用。
(2)发现计算机的滥用情况，对于已经发生的系统破坏行为提供有效的追纠证据。
(3)为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。
(4)为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。

而为了保护高安全度网络环境而产生的、可以确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成网间信息的安全交换的技术属于安全隔离技术。

110. 110. 网络空间

信息安全从社会层面的角度来看，反映网络空间的舆论文化、社会行为、技术环境三个方面。

(1)舆论文化：互联网的高度开放性，使得网络信息得以迅速而广泛的传播，且难以控制，使得传统的国家舆论管制的平衡被轻易打破，进而冲击着国家安全。境内外敌对势力、民族分裂组织利用信息网络，不断散布谣言、制造混乱，推行与我国传统道德相违背的价值观。有害信息的失控会在意识形态、道德文化等方面造成严重后果，导致民族凝聚力下降和社会混乱，直接影响到国家现行制度和国家政权的稳固。

(2)社会行为：有意识或针对信息及信息系统进行违法犯罪的行为，包括网络窃密、泄密、散播病毒、信息诈骗、为信息系统设置后门、攻击各种信息系统等违法犯罪行为；控制或致瘫基础信息网络和重要信息系统的网络恐怖行为；国家间的对抗行为——网络信息战。

(3)技术环境：由于信息系统自身存在的安全隐患，而难以承受所面临的网络攻击，或不能在异常状态万运行。主要包括系统自身固有的技术脆弱性和安全功能不足；构成系统的技术核心、关键装备缺乏自主可控制；对系统的宏观与微观管理的技术能力薄弱等。

密码等级管理制度

我国实行密码等级管理制度，密码等级及适用范围如下：

(1)商用密码——国内企业、事业单位
(2)普用密码——政府、党政部门
(3)绝密密码——中央和机要部门
(4)军用密码——军队

数据安全的目的

数据安全的目的是实现数据的机密性、完整性、不可否认性。

机密性，是指个人或团体的信息不为其他不应获得者获得。在电脑中，许多软件包括邮件软件、网络浏览器等，都有保密性相关的设定，用以维护用户资讯的保密性，另外间谍档案或黑客有可能会造成保密性的问题。

完整性，是指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。

不可否认性，是指在由收发双方所组成的系统中，确保任何一方无法抵赖自己曾经作过的操作，从而防止中途欺骗的特性。

OSI协议

信息系统项目管理师教程第3版OSI协议考点

国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)联合制定的开放系统互连参考模型( Open System Interconnect，OSI)，其目的是为异种计算机互连提供一个共同的基础和标准框架，并为保持相关标准的一致性和兼容性提供共同的参考。OSI采用了分层的结构化技术，从下到上共分七层：

(1)物理层：该层包括物理连网媒介，如电缆连线连接器。该层的协议产生并检测电压以便发送和接收携带数据的信号。具体标准有RS232、V．35、RJ-45、FDDI。

(2)数据链路层：它控制网络层与物理层之间的通信。它的主要功能是将从网络层接收到的数据分割成特定的可被物理层传输的帧。常见的协议有IEEE 802.3/.2、HDLC、PPP、ATM。

(3)网络层：其主要功能是将网络地址(例如，IP地址)翻译成对应的物理地址(例如，网卡地址)，并决定如何将数据从发送方路由到接收方。在TCP/IP协议中，网络层具体协议有IP、ICMP、IGMP、IPX、ARP等。

(4)传输层：主要负责确保数据可靠、顺序、无错地从A点传输到B点。如提供建立、维护相拆除传送连接的功能；选择网络层提供最合适的服务；在系统之间提供可靠的透明的数据传送，提供端到端的错误恢复和流量控制。在TCP/IP协议中，具体协议有TCP、UDP、SPX。

(5)会话层：负责在网络中的两节点之间建立和维持通信，以及提供交互会话的管理功能，如三种数据流方向的控制，即一路交互、两路交替和两路同时会话模式。常见的协议有RPC、SQL、NFS。

(6)表示层：如同应用程序和网络之间的翻译官，在表示层，数据将按照网络能理解的方案进行格式化；这种格式化也因所使用网络的类型不同而不同。表示层管理数据的解密加密、数据转换、格式化和文本压缩。常见的协议有JPEG、ASCII、GIF.DES、MPEG。

(7)应用层：负责对软件提供接口以使程序能使用网络服务，如事务处理程序、文件传送协议和网络管理等。在TCP/IP协议中，常见的协议有HTTP、Telnet、FTP、SMTP。

SaaS

SaaS是Software-as-a-Service(软件即服务)的简称，是随着互联网技术的发展和应用软件的成熟，而在21世纪开始兴起的一种完全创新的软件应用模式。它与“on-demand software”(按需软件)，the application service provider(ASP，应用服务提供商)，hosted software(托管软件)所具有相似的含义。它是一种通过Internet提供软件的模式，厂商将应用软件统一部署在自己的服务器上，客户可以根据自己实际需求，通过互联网向厂商定购所需的应用软件服务，按定购的服务多少和时间长短向厂商支付费用，并通过互联网获得厂商提供的服务。用户不用再购买软件，而改用向提供商租用基于Web的软件，来管理企业经营活动，且无需对软件进行维护，服务提供商会全权管理和维护软件，软件厂商在向客户提供互联网应用的同时，也提供软件的离线操作和本地数据存储，让用户随时随地都可以使用其定购的软件和服务。对于许多小型企业来说，SaaS是采用先进技术的最好途径，它消除了企业购买、构建和维护基础设施和应用程序的需要。

工作流

工作流要解决的主要问题是：为实现某个业务目标，在多个参与者之间，利用计算机，按某种预定规则自动传递文档、信息或者任务。简单地说，工作流就是一系列相互衔接、自动进行的任务。我们可以将整个业务过程看作是一条河，其中流过的河水就是待审核的表单。
工作流属于计算机支持的协同工作(Computer Supported Cooperative Work，CSCW)的一部分。后者是普遍地研究一个群体如何在计算机的帮助下实现协同工作的。

信息系统

信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。 信息系统是一种以处理信息为目的的专门的系统类型。信息系统可以是手工的，也可以是计算机化的，本书中讨论的信息系统是计算机化的信息系统。信息系统的组成部件包括硬件、软件、数据库、网络、存储设备、感知设备、外设、人员以及把数据处理成信息的规程等。

大型信息系统特点

大型信息系统是指以信息技术和通信技术为支撑，规模庞大、分布广阔，采用多级网络结构，跨越多个安全域，处理海量的，复杂且形式多样的数据，提供多种类型应用的大系统。

信息技术发展趋势和新技术应用

信息技术发展趋势和新技术应用主要包括以下几个方面：

1. 高速度大容量
2. 集成化和平台化
3. 智能化
4. 虚拟计算
5. 通信技术
6. 遥感和传感技术
7. 移动智能终端
8. 以人为本
9. 信息安全

信息资源管理标准化

信息资源管理标准化的指导原则和基本方法是什么？

原则：效益原则、系统原则、动态原则、优化原则、协商原则。
方法：简化、统一、组合、综合。

信息系统的过程

信息系统是为了支持组织决策和管理而进行信息收集、处理。储存和传递的一组相互关联的部件组成的系统，包括三项活动：

(1)输入活动：从组织或外部环境中获取或收集原始数据。
(2)处理活动：将输入的原始数据转换为更有意义的形式。
(3)输出活动：将处理后形成的信息传递给人或需要此信息的活动。

由此可以看出，信息的输入和信息的处理是各自相对独立的活动，不构成包含关系，而信息的删除、修改、统计都属于信息的处理。