软考信息系统监理师：2016年4月1日作业

一、合同管理
1、合同按照信息系统工程范围划分哪几类？

（1）        总承包合同

（2）        单项项目承包合同

（3）        分包合同

2、签订分包合同，应具备的2个条件是什么？

（1）        总承建单位只能将自己承包的部分项目分包给具有相应资质条件的分承包单位

（2）        分包项目必须经过建设单位的同意

3、分包的禁止性规定有哪些？

（1）        禁止转包；

（2）        禁止将项目分包给不具备具有相应资质条件的单位；

（3）        禁止再次转包；

（4）        禁止分包主体结构。

4、合同按项目付款方式为哪几类？

（1）        总价合同；

（2）        单价合同；

（3）        成本加酬金合同。

5、总价合同的适用前提是什么？

总价合同的适用前提是项目工作量不大且能精确计算、工期较短、技术不太复杂、风险不大的项目。

6、信息系统工程合同的内容是什么？

（1）        甲乙双方的权利与义务是合同的基本内容；

（2）        建设单位提交有关基础资料的期限；

（3）        项目的质量要求；

（4）        承建单位提交各阶段项目成果的期限；

（5）        项目费用和项目款的交付方式；

（6）        项目变更的约定；

（7）        双方的其他协作条件；

（8）        违约责任。

7、信息系统工程合同签订的注意事项有哪些？

（1）        质量验收标准；

（2）        验收时间；

（3）        技术支持服务；

（4）        损害赔偿；

（5）        保密约定；

（6）        软件的合法性

（7）        技术标准及工程依据

（8）        合同附件

（9）        签约资格

8、监理工作在合同管理中的主要内容由哪三部分组成？（记）

（1）        合同的签订管理；

（2）        合同的档案管理

（3）        合同的履行管理

9、判断：信息系统工程合同只能采用书面形式。

正确

10、合同履行管理的依据、方式、保证、重点，分别是什么？

（1）        履行合同管理的依据---合同分析；

（2）        履行合同管理的方式---合同控制；

（3）        履行合同管理的保证---合同监督；

（4）        履行合同管理的重点---项目索赔管理。

11、合同什么管理是合同管理的基础？

合同的档案管理，也即合同文件管理，是整个合同管理的基础。

12、合同档的管理包括甲乙方合同管理，甲方与监理方合同的管理，同时适用于这2类合同的档案管理方法是什么？

（1）        建立监理工作的合同档案管理体系；

（2）        制定监理工作的合同档案管理制度。

13、监理工作的合同档案管理制度有哪些？

（1）        合同的审查批准制度；

（2）        印章管理制度；

（3）        合同的统计考察制度；

（4）        合同的信息管理制度。

14、合同档案管理的具体工作有哪些？

（1）        收集、整理、统计、保管监理工作在各项活动中形成的全部档案，清点库存。

（2）        按照有关规定做好档案留存与销毁的鉴定工作。

（3）        对拟销毁的档案建立销毁清册，经监理单位负责人和企业资产清算机构负责人审核，建设单位主管部门批准，方可销毁。

（4）        按照档案的去向分别编制移交和寄存档案的目录。

15、合同管理的原则是什么？（记）

（1）        事前预控原则

（2）        实施纠偏原则

（3）        充分协商原则

（4）        公正处理原则

16、索赔的程序？

（1）        质量索赔发生的28天内，向建设单位和监理单位发出索赔意向通知；

（2）        发出索赔意向通知后28天内，向建设单位和监理单位提供延长工期和（或）补偿经济损失的索赔报告及有关资料。

（3）        监理单位在收到承建单位送交的索赔报告及有关资料后，于约定时间内给予答复，或要求承建单位进一步补充索赔理由和证据。

（4）        监理单位在收到承建单位送交的索赔报告和有关资料后约定时间内未予答复或未对承建单位作进一步要求，视为该索赔已经认可。

（5）        当该索赔事件持续进行时，承建单位应当阶段性向监理单位发出索赔意向，在索赔事件终了约定时间内，向监理单位送交索赔的有关资料和最终索赔报告。索赔答复程序与上述（3）、（4）规定相同，建设单位的反索赔的时限与上述规定相同。

17、一个完整的索赔报告包括哪四部分？

（1）        总论部分；

（2）        根据部分；

（3）        计算部分；

（4）        证据部分。

18、针对索赔意向通知书，监理审查的重点有哪些？

（1）        费用索赔申请报告的程序、时限符合合同要求；

（2）        费用索赔申请报告的格式和内容符合规定；

（3）        费用索赔申请的资料必须真实、齐全、手续完备；

（4）        申请索赔的合同依据、理由必须正确、充分；

（5）        索赔金额的计算原则与方法必须合理、合法。

19、索赔事件处理的原则？

（1）        预防为主；

（2）        必须以合同为依据；

（3）        公平合理原则

（4）        协商原则

（5）        授权原则

（6）        必须注意资料的积累

（7）        及时、合理地处理索赔。

20、合同争议有2种解决方式，分别是什么？

（1）        根据合同约定向约定的仲裁委员会申请仲裁；

（2）        向有管辖权的人民法院起诉。

21、由于承建单位违约导致实施合同终止后，监理单位应按何种程序处理？

（1）        实施合同终止时，清理承建的单位已按实施合同规定实际完成的工作所应得的款项和已经得到支付的款项；

（2）        实施现场余留的材料、软硬件设备及临时项目的价值

（3）        对已完成项目进行检查和验收、移交项目资料、该部分项目的清理、质量缺陷修复等所需的费用；

（4）        实施合同规定的承建单位应支付的违约金。

22、因不可抗力事件，导致的费用及延误的工期，双方如何承担？

（1）        项目本身的损害、因项目损害导致第三方人员伤亡和财产损失以及运至实施场地用于实施的材料和待安装的设备的损害，由建设单位承担；

（2）        建设单位、承建单位人员伤亡由其所在单位负责，并承担相应费用；

（3）        承建的单位设备损坏及停工损失，由其承建单位承担；

（4）        停工期间，承建单位应监理单位要求留在实施场地的必要的管理人员及保卫人员的费用由发包人承担；

（5）        项目所需清理、修复费用，由建设单位承担；

（6）        延误的工期相应顺延。

23、《计算机软件保护条例》规定，计算机软件包括什么？

（1）        计算机程序

（2）        文档

24、某政府单位花500万委托软件公司开发一套软件，若合同未约定知识产权，则产权属于谁？

软件公司

 

二、信息安全管理
1、信息系统安全属性分为哪三个方面？各自的定义？

（1）        可用性

（2）        保密性

（3）        完整性

2、国家秘密分为秘密、机密和什么三个等级？

国家秘密分为秘密、机密、绝密三个等级

3、常用的保密技术有哪些？

（1）        防侦测

（2）        防辐射

（3）        信息加密

（4）        物理保密

4、保障信息网络系统完整性的主要方法有哪些？

（1）        协议

（2）        纠错编码方法

（3）        密码校验和方法

（4）        数字签名

（5）        公正

5、技术体系是全面提供信息系统安全保护的技术保障系统，它由物理安全技术和系统安全技术组成，各包括哪些内容？

物理安全技术

（1）        机房安全

（2）        设施安全

系统安全技术

（1）        平台安全

（2）        数据安全

（3）        通信安全

（4）        应用安全

（5）        运行安全

6、组织机构体系是信息系统的组织保障系统，由哪三个模块构成？

组织机构体系是信息系统的组织保障系统，由机构、岗位和人事三个模块组成

7、管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和什么共3部分组成？

管理是信息系统安全的灵魂，信息系统安全的管理体系由法律管理、制度管理和培训管理三部分组成

8、监理在信息系统安全管理的作用有哪些？

（1）        保证建设单位在信息系统工程项目建设过程中，保证信息系统的安全在可用性、保密性、完整性与信息系统工程的可维护性技术环节上没有冲突；

（2）        在成本控制的前提下，确保信息系统安全设计上没有漏洞；

（3）        督促建设单位的信息系统工程应用人员在安全管理制度和安全规范下严格执行安全操作和管理，建立安全意识；

（4）        监督承建单位按照技术标准和建设方案施工，检查承建单位是否存在设计过程中的非安全隐患行为或现象等，确保整个项目建设过程中的安全建设和安全应用。

9、人员安全管理要遵循哪些原则？

（1）        授权最小化。

（2）        授权分散化。

（3）        授权规范化。

10、请写出任意8种信息系统安全管理制度。

（1）        计算机信息网络系统出入管理制度

（2）        计算机信息网络系统各工作岗位的工作职责、操作规程；

（3）        计算机信息网络系统升级、维护制度；

（4）        计算机信息网络系统工作人员人事管理制度；

（5）        计算机信息网络系统安全检查制度；

（6）        计算机信息网络系统应急制度；

（7）        计算机信息网络系统信息资料处理制度；

（8）        计算机信息网络系统工作人员安全教育、培训制度；

（9）        计算机信息网络系统循环任职、强制休假制度。

11、物理访问的安全管理中，监理安全管理注意事项有哪四条？（记）

（1）        硬件设施在合理范围内是否能防止强制入侵；

（2）        计算机设备的钥匙是否有良好的控制以降低未授权者进入的危险；

（3）        智能终端是否上锁或有安全保护，以防止短路板、芯片或计算机被搬移；

（4）        计算机设备在搬移时是否需要设备授权通行的证明。

12、逻辑访问的安全管理中，监理在逻辑访问风险分析与安全管理上，主要的原则有哪五条？（记）

（1）        了解信息处理的整体环境并评估其安全需求，可通过审查相关数据，询问有关人员，个人观察及风险评估；

（2）        通过对一些可能进入系统访问路径进行记录及复核，评价这些控制点的正确性、有效性。这种记录及复核包括审核系统软、硬件的安全管理，以确认其控制弱点或重要点；

（3）        通过相关测试数据访问控制点，评论安全系统的功能和有效性；

（4）        分析测试结果和其他审核结论，评价访问控制的环境并判断是否达到控制目标；

（5）        审核书面策略，观察实际操作和流程，与一般公认的信息安全标准相比较，评价组织环境的安全性及其适当性等。

13、什么是特洛伊木马、去尾法、色粒米技术、计算机蠕虫、逻辑炸弹、网络窃听、DOS？

特洛伊木马：是指将一些带有恶意的、欺诈性的代码置于已授权的计算机程序中，当程序启动时这些代码也会启动。

去尾法：将交易发生后计算出的余额（如利息）中小数点后的余额（如分）删除并转入某个未经授权的账户，因为金额微小而往往不被注意；

色丽米技术：这是一种类似去尾法的舞弊行为，不同的是将余额切分成更小的金额，再转入未授权的账户；

计算机蠕虫：蠕虫是一种破坏性程序，可以破坏计算机内数据或是适用大量计算机及通信资源，但不像计算机病毒那样能自行复制；

逻辑炸弹：是在满足特定的逻辑条件时按某种不同的方式运行，对目标系统实施破坏的计算机程序；

网络窃听：不进行直接的网络攻击，但借助网络窃听器的软件或硬件，掌握对方的重要信息，如账号、密码等，它意味着高级别的泄密，对网络安全造成极大的威胁。

DOS:DOS攻击行为表现在使服务器充斥大量要求响应的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷，以至于瘫痪而停止提供正常的网络服务，是目前最为常见的网络攻击方法。

14、来自互联网上的安全问题主要分成两大类，主动式攻击和被动式攻击，试解释之。

主动攻击：是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据等以达到其非法目的。主动式攻击可以归纳为中断、篡改、伪造三种；

被动式攻击：一般采用网络分析和窃听来收集信息。

15、什么是对称密钥加密？不对称密钥加密？

对称密匙加密：是指发件人和收件人使用其共同拥有的单个密匙。这种密匙既用于加密，也用于解密，叫做机密秘钥。

不对称秘钥加密：另一类加密方法叫做公钥加密，或者叫不对称加密。这类加密方法需要用到两个密钥――一个公钥和一个私钥，这两个密钥在数学上是相关的。

16、什么是数字签名和证书？

数字签名：信息是由签名者发送的；信息自签发到收到为止未曾做过任何修改。这样数字签名就可用来防止电子信息因易被修改而被人伪造，或冒用别人名义发送信息，或发出（收到）信件后又加以否认等情况发生。

证书：公钥证书通常简称为证书，用于互联网、外联网和内联网上进行身份验证并确保数据交换的安全。

17、什么是网闸？

网闸，即安全隔离与信息交换系统，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。

18、什么是防火墙？

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。防火墙在物理上基本上是一台具有网关或路由功能的计算机或服务器。在逻辑上防火墙完成了网络通信的限制、分离和分析功能，有效地监控了内部网和Internet之间的任何活动，保证了内部网络安全。

19、什么是入侵检测系统？

进行入侵检测的软件与硬件的组合就是入侵检测系统。

入侵检测一般分为三个步骤：信息收集、信息分析和响应

数据分析是入侵检测的核心

20、什么是全备份、差分备份、增量备份？（记）

全备份：将系统中所有的数据信息全部备份；

差分备份：只备份上次备份后系统中变化过的数据信息；

增量备份：只备份上次完全备份后系统中变化过的数据信息；

21、请大家在百度百科搜索：RAID0、1、2、3、4、5，并写成作业。

RAID 0 （无冗余和无校验的数据分块）：具有最高的I/O性能和最高的磁盘空间利用率，易管理，但系统的故障率高，属于非冗余系统。它主要是应用于那些关注性能、容量和价格而不是可靠性的应用程序。

百度百科解释：

RAID 0并不是真正的RAID结构，没有数据冗余，没有数据校验的磁盘陈列。实现RAID 0至少需要两块以上的硬盘，它将两块以上的硬盘合并成一块，数据连续地分割在每块盘上。 因为带宽加倍，所以读/写速度加倍， 但RAID 0在提高性能的同时，并没有提供数据保护功能，只要任何一块硬盘损坏就会丢失所有数据。因此RAID 0 不可应用于需要数据高可用性的关键领域。

RAID 1（磁盘镜像阵列）：由磁盘对组成，每一个工作盘都有其对应的镜像盘，上面保存着与工作盘完全相同的数据拷贝，具有最高的安全性，但空间磁盘利用率只有50% 。RAID 1主要用于存放系统软件、数据及其他重要文件。它提供了数据的实时备份，一旦发生故障，所有的关键数据即刻就可重新使用。

百度百科解释：

RAID 1：通过磁盘数据镜像实现数据冗余，在成对的独立磁盘上产生互 为备份的数据。当原始数据繁忙时，可直接从镜像拷贝中读取数据，因此RAID 1可以提高读取性能。RAID 1是磁盘阵列中单位成本最高的，但提供了很高的数据安全性和可用性。当一个磁盘失效时，系统可以自动切换到镜像磁盘上读写，而不需要重组失效的数据。

RAID 2（采用纠偏海明码的磁盘阵列）：采用了海明码纠错技术，用户需增加校验盘来提供单纠错和双验错功能。对数据的访问涉及阵列中的每一个盘。大量数据传输时I/O性能较高，但不利于小批量数据传输，因此实际应用中很少使用。

百度百科解释：

RAID 2是RAID 0的改良版，以汉明码（Hamming Code）的方式将数据进行编码后分割为独立的位元，并将数据分别写入硬盘中。因为在数据中加入了错误修正码（ECC，Error Correction Code），所以数据整体的容量会比原始数据大一些。

RAID 3级和RAID 4级（采用奇偶校验码的磁盘阵列）：把奇偶校验码存放在一个独立的校验盘上。如果有一个盘失败，其上的数据可以通过对其他盘上的数据进行异或运算得到。读数据很快，但因为写入数据时要计算校验码，因此速度很慢。

百度百科解释：

RAID 3是把数据分成多个“块”，按照一定的容错算法，存放在N+1个硬盘上，实际数据占用的有效空间为N个硬盘的空间总和，而第N+1个硬盘上存储的数据是校验容错信息，当这N+1个硬盘中的其中一个硬盘出现故障时，从其它N个硬盘中的数据也可以恢复原始数据，这样，仅使用这N个硬盘也可以带伤继续工作（如采集和回放素材），当更换一个新硬盘后，系统可以重新恢复完整的校验容错信息。由于在一个硬盘阵列中，多于一个硬盘同时出现故障率的几率很小，所以一般情况下，使用RAID3，安全性是可以得到保障的。

RAID4和RAID3很象，数据都是依次存储在多个硬盘之上，奇偶校验码存放在独立的奇偶校验盘上，唯一不同的是，在数据分割上RAID3对数据的访问是按位进行的，RAID4是以数据块为单位。即RAID 4是按数据块为单位存储的，那么数据块应该怎么理解呢？简单的话，一个数据块是一个完整的数据集合，比如一个文件就是一个典型的数据块。当然，对于硬盘的读取，一个数据块并不是一个文件，而是由操作系统所决定的，这就是我们熟悉的簇（Cluster）。RAID 4这样按块存储可以保证块的完整，不受因分条带存储在其他硬盘上而可能产生的不利影响（比如当其他多个硬盘损坏时，数据就完了）。

RAID 5（无独立校验盘的奇偶校验码磁盘阵列）：与RAID 4类似，但没有独立的校验盘，校验信息分布在组内所有盘上，对于大批量和小批量的数据的读写性能都很好。RAID 4级和RAID 5级使用了独立存取技术，阵列中每一个磁盘都相互独立地操作，所以I/O请求可以并行处理。因此，该技术非常适合于I/O请求率高的应用，而不太适应于要求高数据传输率的应用。与其他方案类似，RAID 4和RAID 5也应用了数据分块技术，但块的尺寸相对大一些。

百度百科解释：

RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案。 RAID 5可以理解为是RAID 0和RAID1的折中方案。RAID 5可以为系统提供数据安全保障，但保障程度要比Mirror低而磁盘空间利用率要比Mirror高。RAID 5具有和RAID 0相近似的数据读取速度，只是多了一个奇偶校验信息，写入数据的速度比对单个磁盘进行写入操作稍慢。同时由于多个数据对应一个奇偶校验信息，RAID 5的磁盘空间利用率要比RAID 1高，存储成本相对较低，是目前运用较多的一种解决方案。

 

三、信息管理
1、按工程建设信息的性质划分哪几类？

（1）        引导信息

（2）        辨识信息

2、按工程建设信息的用途划分哪几类？

（1）        投资控制信息

（2）        进度控制信息

（3）        质量控制信息

（4）        合同管理信息

（5）        组织协调信息

（6）        其他用途信息

3、为什么说高效的文档管理，是监理单位自身的需要？

（1）        为了成功对工程进行监理，必须有一套严谨的文档分类管理办法，这样，工程的详细情况才可能被监理项目组准确掌握，从而也为建设单位所准确掌握

（2）        监理单位需要对监理人员的工作情况进行考核，以决定人员的报酬和职位进行奖惩升降。

（3）        监理文档本身就是监理工作经验最好的总结，是监理工作最好的培训资料，从培养人员的角度上来说，一套完善的文档管理体制非常必要。

4、监理工程师在归集监理资料时的注意事项有哪些？

（1）        监理资料应及时整理、真实完整、分类有序；

（2）        监理资料的管理应由总监理工程师负责，并指定专人具体实施；

（3）        监理资料应在各阶段监理工作结束后及时整理归档；

（4）        监理档案的编制及保存应按有关规定执行。

5、总控类文档包括哪些？（记）

（1）        承建合同

（2）        总体方案

（3）        项目组织实施方案

（4）        技术方案

（5）        项目进度计划

（6）        质量保证计划

（7）        资金分解计划

（8）        采购计划

（9）        监理规划及实施细则

6、监理实施类文档包括哪些？（记）

（1）        项目变更文档

（2）        进度监理文档

（3）        质量监理文档

（4）        质量回归监理文档

（5）        监理日报

（6）        监理月报

（7）        专题监理报告

（8）        验收报告

（9）        总结报告

7、工程验收监理报告必须包括哪些要素？（记）、

（1）        工程竣工准备工作综述

（2）        验收测试方案与规范

（3）        测试结果与分析

（4）        验收测试结论

8、工程监理总结报告包括哪些方面？（记）

（1）        工程概况

（2）        监理工作统计

（3）        工程质量综述

（4）        工程进度综述

（5）        管理协调综述

（6）        监理总评价

9、P273页表12-5，掌握各阶段产出哪些文档？哪些文档在哪个阶段开始做？请分别回答：
开发计划、测试计划、用户手册、操作手册、开发总结这些文档的开始阶段、产出阶段。（记）

各阶段产出的文档：

计划阶段：可行性研究报告

需求分析阶段：项目开发计划、软件需求规格说明书、数据需求规格说明书

设计阶段：测试计划、概要设计说明、详细设计说明、数据库设计说明；

编码阶段：用户手册、操作手册

测试阶段：模块开发卷宗、测试分析报告、开发进度月报、项目开发总结。

哪些文档在哪个阶段开始做：

计划阶段开始做的文档有：可行性研究报告、项目开发计划、开发进度月报；

需求分析阶段开始做的文档有：软件需求规格说明书、数据需求规格说明书、测试计划、用户手册

设计阶段开始做的文档有：概要设计说明、详细设计说明、数据库设计说明、操作手册

编码阶段开始做的文档有：模块开发卷宗

测试阶段开始做的文档有：测试分析报告、项目开发总结。

以下文档开始阶段和产出阶段：

开发计划：开始于计划阶段，产出与需求分析阶段

测试计划：开始于需求分析阶段，产出于设计阶段

用户手册：开始于需求分析阶段，产出于编码阶段

操作手册：开始于设计阶段，产出于编码阶段

项目开发总结：开始于测试阶段，产出于测试阶段