20151026作业

20121026作业

一、变更管理

1、变更的工作程序；

答：(1)提出与接受变更申请。

   (2)对变更的初审。

   (3)变更方案论证。

   (4)项目变更控制委员会审查。

   (5)发出变更通知并开始实施。

   (6)变更实施的监控。

(7)变更效果的评估。

   (8)判断发生变更后的项目是否已纳入正常轨道。

2、变更初审的4条内容；

答：①对变更提出方施加影响，确认变更的必要性，确保变更是有价值的。

         ②格式校验，完整性较验，确保评估所需信息准备充分。

         ③在干系人间就提出供评估的变更信息达成共识。

   ④变更初审的常见方式为变更申请文档的审核流转。

3、对进度变更控制，包括哪些主题。

答：(1)判断项目进度的当前状态。

(2)对造成进度变更的因素施加影响。

(3)查明进度是否已经改变。

(4)在实际变更出现时对其进行管理。

二、安全管理

1、哪些技术来实现信息的保密性；

答：·网绺安全协议。’

    ·网络认证服务。

    ·数据加密服务。

2、哪些技术来实现信息的完整性；

答：·消息源的不可抵赖。

    ·防火墙系统。

    ·通信安全。

    ·入侵检测系统

3、哪些技术来实现信息的可用性；

答：磁盘和系统的容错及备份。

    ·可接受的登录及进程性能。

    ·可靠的功能性的安全进程和机制。

4、可靠性的定义，及度量方法。

答：可靠性是指系统在规定的时间和给定的条件下，无故障完成规定功能的概率，通常用平均故障间隔时间(Mean Time Between Failure，MTBF)来度量。

5、应用系统常用保密技术有哪些？

答：应用系统常用的保密技术如下。

    ①最小授权原则：对信息的访问权限仅授权给需要从事业务的用户使用。

    ②防暴露：防止有用信息以各种途径暴露或传播出去。

    ③信息加密：用加密算法对信息进行加密处理，非法用户无法对信息进行解密从而

无法读懂有效信息。

  ④物理保密：利用各种物理方法，如限制、隔离、掩蔽和控制等措施，保护信息不

被泄露。

6、保障应用系统完整性的方法有哪些？

答：保障应用系统完整性的主要方法如下。

    ①协议：通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效

的字段和被修改的字段。

    ②纠错编码方法：由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶

校验法。

    ③密码校验和方法：它是抗篡改和传输失败的重要手段。

    ④数字签名：保障信息的真实性。

    ⑤公证：请求系统管理或中介机构证明信息的真实性。

7、机房供配电分为哪8种；

答：机房供、配电分为如下8种。

    ①分开供电：

    ②紧急供电：

    ③备周供电：

    ④稳压供电：

    ⑤电源保护：

    ⑥不间断供电：

    ⑦电器噪声防护：

    ⑧突然事件防护：

8、紧急供电、稳压供电的内容；

答：紧急供电：配置抗电压不足的基本设备、改进设备或更强设备，如基本UPS、

改进的UPS、多级UPS和应急电源（发电机组）等。

   稳压供电：采用线路稳压器，防止电压波动对计算机系统的影响。

9、应用系统运行中，涉及4个层次的安全，这4个层次的安全，按粒度从粗到细进行排列；

答：应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性安

  全和数据域安全。这4个层次的安全，按粒度从粗到细的排序是：系统级安全、资源访

 问安全、功能性安全、数据域安全。

10、哪些属于系统级安全；

答：包括敏感系统  的隔离、访问m地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、 特定时间段内登录次数的限制以及远程访问控制等。

11、哪些属于资源访问安全；

答：就是对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户界

  面，仅出现和其权限相符的菜单和操作按钮：在服务端则对URL程序资源和业务服务

  类方法的调用进行访问控制。

12、哪些属于功能性安全；

答：功能性安全会对程序流程产生影响，如用户在操作业务记录时，是否需要审核，上

  传附件不能超过指定大小等。这些安全限制已经不是入口级的限制，而是程序流程内的

  限制，在一定程度上影响程序流程的运行。

13、数据域安全包括哪2个层次；

答：包括两个层次，一是行级数据域安全，二是字段级数据域安全。

14、应用系统的访问控制检查包括哪些；

答：应用系统的访问控制检查。包括物理和逻辑访问控制，是否按照规定的策略和程

序进行访问权限的增加、变更和取消，用户权限的分配是否遵循“最小特权”原则。

15、应用系统的日志检查包括哪些；

答：应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日

志及异常日志。

16、应用系统的可用性检查包括哪些；

答：包括系统中断时间、系统正常服务时间和系统恢复时

间等。

17、应用系统的维护检查包括哪些；

答：维护性问题是否在规定的时间内解决，是否正确地解决问

题，解决问题的过程是否有效等

18、安全等级分为哪2种；各分为哪几级；

答：安全等级可分为保密等级和可靠性等级两种。

保密等级应按有关规定划为绝密、机密和秘密。

可靠性等级可分为三级，对可靠性要求屈高的为A级，系统运行所要求的最低限度可靠性为C级，介于中间的为B级。

三、风险管理

1、风险管理的过程包括哪六步；

答：风险管理规划、风险识别、定性风险分析、定量风险分析、应对计划编制、风险监控。

2、风险事故，与风险因素的区别；

答：风险事帮是直接原因，风险因素是造成损失的间接原因。

3、风险识别的方法有哪些；

答：（1）尔菲技术、（2）头脑风暴法（集思广益）、（3）SWOT分析方法（内在，外部）、（4）检查表、（5）图解技术。

4、风险定性分析的方法有哪些；

答：风险概率与影响评估，概率和影响矩阵。

5、风险定性分析中，根据概率和影响矩阵，高风险的措施是什么；低风险的措施是什么；

答：高风险深灰色区域，采取重点措施，并用积对应对的策略；低风险中度灰色区域，放入待观察清单或分配应急储备额外，不需要采取其他立即的管理措施。

6、风险定量分析的方法有哪些；

答：（1）期望货币值EMV，（2）计算分析因子，（3）计划评审技术PERT，（4）蒙特卡罗建模分析。

7、消极风险的应对策略有哪3个，并各举一例说明；

答：规避，如延长进度或减少范围：

转移，如买保险、担保书、风险共担

减轻，采用不太复杂工艺、实施更多的测试、或者选用更稳定可靠的卖方。或设计时在子系统中设置冗余组件有可能减轻原有组件故障所造成的影响。

8、积极风险的应对策略有哪3个，并各举一例说明；

答：开拓，为项目分配更多的有能力的资源，以提升进度与提高质量。

分享，建立分享合作关系，将风险分担给最能给项目利益获取机会的第三方。

提高，扣高积极风险的概率与影响，识别并最大程度发近积极风险的驱动因素，提高机会发生的成因与触发与发生概率。

9、同时适用于消极风险与积极的策略是什么，并举例。

答：接受，主动或被动，主动接受风险方式即建立应急储备，已知的未知，做好准备，被动刚不采取任何行动，待出现时再解决。

10、风险审计的定义

答：风险审计在于检查并记录风险应对策略处理已识别风险及其根源的效力以及风险管理过程的效力。