计算机软件资格考试高级信息系统项目管理师题库四

计算机软件资格考试高级信息系统项目管理师 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 库四第十五章知识管理1[单选题]知识管理的目标（江南博哥）包括()。①知识发布，以使一个组织内的所有成员都能应用知识②推进新知识的有效开发③支持从内部获取知识④确保知识在需要时是可得的⑤确保知识、新知识在组织内的扩散⑥确保组织内部的人知道所需的知识在何处A.①②③④⑤⑥B.①②③④⑤C.①③⑤⑥D.①②④⑤⑥正确答案：D参考解析：知识管理的目标包括以下6个方面：①知识发布，以使一个组织内的所有成员都能应用知识；②确保知识在需要时是可得的；③推进新知识的有效开发；④支持从外部获取知识；⑤确保知识、新知识在组织内的扩散；⑥确保组织内部的人知道所需的知识在何处。2[单选题]要使知识管理成为成功地改造组织行为的有效理论，组织必须具备()条件以保证知识管理的实施。①领导重视并亲自参与②制定合理的知识管理发展战略③建立一个来自相同职能部门的人员组成的知识管理部门④为知识管理的开展提供项目支持，建立一套能够支持知识管理过程的基础设施⑤培养知识共享与使用的文化A.①②③④B.①③④⑤C.①②⑤D.①②④正确答案：C参考解析：要使知识管理成为成功地改造组织行为的有效理论，组织必须具备下列条件以保证知识管理的实施：①领导重视并亲自参与；②制定合理的知识管理发展战略；③建立一个来自不同职能部门的人员组成的知识管理部门；④为知识管理的开展提供资金支持，建立一套能够支持知识管理过程的基础设施；⑤培养知识共享与使用的文化。3[单选题]做好信息系统集成项目中的知识管理，主要是要构建项目知识管理的 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 平台。有关项目组织制度平台建设的描述，不正确的是()。A.创造更多的团队成员之间的交流机会B.建立隐性知识索引C.组织高层的参与和支持D.与绩效评估体系的结合正确答案：B参考解析：建立显性知识索引。由于显性知识的载体可分为显性知识文本、显性知识的持有人、显性知识所在的过程三种，所以其索引也有三种，分别是显性知识文本导向的显性知识索引、显性知识的持有人导向的显性知识索引、显性知识所在的过程导向的显性知识索引。4[单选题]有关计算机软件著作权的叙述，正确的是．()．。A.软件著作权属于软件开发者，软件著作权自软件出版之日起生效B.国家知识产权局颁布实施了《计算机软件保护条例》，用来保护软件著作权人的权益C.用户购买了具有版权的软件，则具有对该软件的使用权和复制权D.非法进行拷贝、发布或更改软件的人被称为软件盗版者正确答案：D参考解析：计算机软件著作权是自软件开发注册之日起生效。对于非法进行拷贝、发布或更改软件的人被称为软件盗版者。5[单选题]现代企业信息系统的一个明显特点是，企业从依靠信息进行管理向（）转化。A.知识管理B.管理信息C.管理数据D.决策管理正确答案：A参考解析：现代企业信息系统的一个明显特点是，企业从依靠信息进行管理向知识管理。6[单选题]根据我国著作权法，作者的署名权、修改权、保护作品完整权是著作权的一部分，他们的保护期限为（）。A.50年B.20年C.15年D.不受限制正确答案：D参考解析：著作权分为人身权和财产权。财产权有期限，期限为50年。署名权是人身权，人身权是无期限，长期保护7[单选题]根据著作权法和实施条例的规定，著作权人对作品享有的权利不包括（）。A.发表权B.署名权C.隐私权D.修改权正确答案：C参考解析：根据著作权法及实施条例的规定，著作权人对作品享有发表权、署名权、修改权、保护作品完整权、复制权等多项权利。其中:(1)发表权，即决定作品是否公之于众的权利;(2)署名权，即表明作者身份，在作品上署名的权利;(3)修改权,即修改或授权他人修改作品的权利；著作权属于公民的，公民死亡后，著作权法规定的权利在保护期内可以依照继承法规定转移，而不是著作权人享有继承权。第十六章项目变更管理1[单选题]某大型项目的变更策略规定：把变更分为重大、紧急、一般和 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 变更，并规定了不同级别的审批权限，比如重大变更由CCB审批，并规定标准变更属于预授权变更，可不用再走审批流程。此项目变更策略()。A.可行B.不可行，主要是变更不能分级别，应统一管理C.不可行，分四级可以，但审批都应由CCB批准D.不可行，标准变更规定有问题正确答案：A参考解析：项目变更的分类，可按照变更性质划分为重大变更、重要变更和一般变更。通过不同审批权限控制。可按照变更迫切性划分为紧急变更和非紧急变更。通过不同变更处理流程进行。所以结合以上情形，此项目的变更策略是可行的。2[单选题]某产业互联网公司在即将发布新版本时发现系统存在漏洞，为了确保每次版本发布风险的可防可控，特准备以下回退方案。此方案正确的的顺序是()。①回退后进行相关测试，保证回退系统能够正常运行，如进行SHAKEDOWN测试②通知相关用户系统开始回退③通知各关联系统进行版本回退④通知用户回退完成⑤配置数据回退⑥回退存储过程等数据对象⑦应用程序、接口程序、工作流等版本回退⑧回退完成通知各周边关联系统A.①②③④⑤⑥⑦⑧B.①③②④⑤⑥⑦⑧C.②①③⑤⑥⑦⑧④D.②③⑥⑤⑦⑧①④正确答案：D参考解析：一般的回退过程：①通知相关用户系统开始回退；②通知各关联系统进行版本回退；⑧回退存储过程等数据对象；④配置数据回退；⑤应用程序、接口程序、工作流等版本回退；⑦回退完成通知各周边关联系统；⑧回退后进行相关测试，保证回退系统能够正常运行，如进行SHAKEDOWN测试；⑧通知用户回退完成。3[单选题]在进行项目整体变更控制过程中，首先要受理变更申请，接下来()。A.接受或拒绝变更B.执行变更C.进行变更结果追踪与审核D.进行变更的整体影响分析正确答案：D参考解析：在进行项目整体变更控制过程中，首先要受理变更申请，接下来要分析变更的整体影响。4[单选题]关于变更管理工作程序，正确的步骤是()。①变更实施监控与效果评估；②发出变更通知并组织实施；③提出与接受变更申请；④对变更的初审和方案论证；⑤CCB审查。A.③①②④⑤B.④③⑤②①C.③④⑤②①D.④⑤③②①正确答案：C参考解析：本题考查的是变更管理的工作程序步骤。变更管理的一般工作程序如下：(1)提出与接受变更申请。(2)对变更的初审。(3)变更方案论证。(4)项目管理委员会审查。(5)发出变更通知并组织实施。(6)变更实施的监控。(7)变更效果的评估。(8)判断发生变更后的项目是否已纳入正常轨道。5[单选题]变更管理的原则是项目基准化、更管理过程规范化。包括以下那几个内容()。①基准管理②变更控制流程化③明确组织分工④评估变更的可能影响⑤妥善保存变更生的相关文档A.①②③④⑤B.①③④⑤C.②①③④D.②③④⑤正确答案：A参考解析：更管理的原则是项目基准化、变更管理过程规范化。包括基准管理、变更控制流程化、评估变更的可能影响、明确组织分工、妥善保存变更产生的相关文档。6[单选题]在项目执行的过程中，一名干系人确定了一个新需求，该需求对项目是否成功起到关键的作用，项目经理接下来应该()。A.为该需求建立变更请求，提交给变更控制委员会审批B.评估重要性，以确定是否执行变更流程C.寻求项目发起人对变更的批准D.考虑该需求比较关键，安排相关人员进行修改正确答案：B参考解析：项目的任何干系人都可以提出变更请求。尽管可以口头提出，但所有变更请求都必须以书面形式记录，并纳入变更管理以及配置管理系统中。变更控制流程如下:(1)提出与接受变更申请;(2)对变更的初审;(3)变更方案论证;(4)项目管理委员会审查(5)发出变更通知并组织实施;(6)变更实施的监控;(7)变更效果的评估;(8)判断发生变更后的项目是否已纳入正常轨道。第十七章战略管理1[单选题]()主要致力于发现和发掘新产品、新技术和新市场可能为组织提供的发展机会，组织的核心技能是市场能力和研发能力，它可以拥有较多的技术类型和较长的产品线，同时也可能会面临较大的风险。A.防御者战略B.反应者战略C.分析者战略D.探索者战略正确答案：D参考解析：探索者(Prospector)战略主要致力于发现和发掘新产品、新技术和新市场可能为组织提供的发展机会，组织的核心技能是市场能力和研发能力，它可以拥有较多的技术类型和较长的产品线，同时也可能会面临较大的风险。采取该类战略的组织由于注重创新，能够发现其他组织没有发现，或者不敢去尝试的机会，因此通常会成为该产业内其他组织的战略标杆。2[单选题]关于组织战略的描述，不正确的是()。A.战略目标根据特定时期的战略形式和组织的利益需要确定B.战略方针在分析当前组织面临战略形势和外部竞争等诸多因素基础上制定，具有较强的针对性，在不同的环境下应采取不同的战略方针C.战略实施能力根据组织战略目标和战略方针要求，确定战略规模、发展和重点，是组织自身拥有的，无法通过外部获得D.战略措施是组织决策机构根据战略实施的需要，在组织架构、权利分配、监督机制、授权环境等方面的安排正确答案：C参考解析：考查的是战略管理的相关知识。选项C说法太绝对，战略实施能力可以通过外部获得。3[单选题]战略管理包含3个层次，(  )不属于战略管理的层次。A.目标层B.规划层C.方针层D.行为层正确答案：B参考解析：本题考查的是组织战略的3个层次。组织战略层次包括目标层、方针层和行为层。(1)目标层主要介绍和说明组织的战略目标，确定目标的主要依据，对战略目标的高层分解等内容。(2)方针层主要说明了在组织目标达成过程中，组织应该坚持的主要原则和方针等，是对组织战略行动的具体指导。(3)行为层是在具体的执行层面，为了落实组织的战略目标和方针所采取的行动，如对组织战略全面性的规划和计划等。第十八章组织级项目管理1[单选题]在PMI的OPM3三维模型中，项目基本过程不包括(  )。A.计划编制过程B.执行过程C.收尾过程D.验收过程正确答案：D参考解析：项目管理的5个基本过程是指启动过程(InitiatingProcesses)、计划编制过程(PlanningProcesses)、执行过程(ExecutingProcesses)、控制过程(ControllingProcesses)和收尾过程。2[单选题]下列关于组织级项目管理对项目组合、项目集与项目的要求，描述正确的是()。A.以项目组合的目标为中心，项目集、项目必要时调整其目标B.项目组合、项目集与项目各司其职，以各自目标为中心C.项目组合、项目集与项目与组织战略方向保持一致D.以项目集的目标为中心，项目组合、项目必要时调整其目标正确答案：C参考解析：在组织级项目管理中，一方面要求项目组合、项目集与项目与组织的战略方向保持一致；另一方面，三者为实现战略目标所做出的贡献又各有不同。3[单选题](  )是指在组织战略的指导下，具体落实组织的战略行动，从业务管理、组织架构、人员配置等多个方面对组织进行项目化的管理。A.组织级项目战略B.组织级项目C.组织级项目治理D.组织级项目管理正确答案：D参考解析：组织级项目管理是指在组织战略的指导下，具体落实组织的战略行动，从业务管理、组织架构、人员配置等多个方面对组织进行项目化的管理。4[单选题]()可用于评估组织内项目组合管理成熟度，用于识别组织目前的最佳实践能力和结果。A.TQMB.EFQMC.OPM3D.PMBOK正确答案：C参考解析：本题考查的是0PM3的概念。OPM3的定义是：评估组织通过管理单个项目和项目组合来实施自己战略目标的能力的方法，还是帮助组织提高市场竞争力的方法。TQM是全面质量管理；EFQM是业务卓越模型；PMBOK是项目管理知识体系。第十九章流程管理1[单选题]在敏捷项目中，定性风险分析通常在()进行。A.每次迭代开始前B.每次迭代完成后C.每日站会上进行D.在评审会议上进行正确答案：A参考解析：常识题，考查敏捷项目风险管理。2[单选题]下列关于业务流程持续优化的内容中，描述不正确的是()。A.不断改善基础条件B.不断提高认识水平C.不断优化质量管理D.不断发展工具方法正确答案：C参考解析：业务流程持续优化包括三个方面：不断改善基础条件、不断提高认识水平和不断发展工具方法。3[单选题]（）不属于评估业务流程实施效果的关键指标。A.产品和服务质量B.产品坏品率C.成本和工作效率D.销售增长率正确答案：B参考解析：企业业务流程实施的成果必然体现在经营管理的绩效上，衡量业务流程实施效果的关键指标主要有：产品和服务质量、顾客满意度、销售增长率、成本、员工工作效率等。同时，业务流程实施取得显著效果的一个标志是带来企业文化，特别是员工价值观的变化。第二十章项目集管理1[单选题]项目集愿景和计划过程的输入不包括(  )。A.项目集商业论证B.项目集事业环境因素C.合作协议D.项目集整体计划和各子计划正确答案：D参考解析：项目集愿景和计划过程的输入包括项目集商业论证及其评审意见、项目集事业环境因素、组织战略、重要干系人需求、相关合同、合作协议、前期项目集文件、项目集的资源储储备、国家政策和市场变化、相关标准与规范、相关历史信息。项目集整体计划和各子计划是项目集愿景和计划过程的输出。2[单选题]项目集过程除了可以根据时间顺序划分为启动、计划、执行、控制和收尾这五个阶段之外，还可以根据项目集收益的实现情况将项目集生命周期划分为项目集定义阶段、()和项目集收尾阶段三个过程。A.项目集分析与实施阶段B.项目集监督控制阶段C.项目集收益交付阶段D.项目集绩效跟踪阶段正确答案：C参考解析：项目集过程可根据时间顺序划分为启动、计划、执行、控制和收尾这五个阶段，还可以根据项目集收益的实现情况将项目集生命周期划分为项目集定义阶段、项目集收益交付阶段和项目集收尾阶段三个过程。3[单选题]项目集指导委员会的主要职责包括(  )、项目集批准和启动。A.项目审计B.保证项目集与组织愿景和目标的一致性C.协调项目集与项目组合的公共资源D.任命项目经理正确答案：B参考解析：本题考查的是项目集指导委员会的职责。项目集指导委员会的主要责任是保证项目集能够按照计划实现组织的战略目标，围绕这一基本职能就要求项目集指导委员会承担在组织范围内对项目集的成功识别、启动和实现起到具有关键作用的职责。这些职责主要可以概括如下：(1)保证项目集与组织愿景和目标的一致性。项目集指导委员会的首要职责是确保项目集在其授权范围内定义项目集的愿景和目标，并保证项目集的愿景和目标与组织的愿景和目标保持一致。因为对于大多数项目集来说，组织的愿景和目标是驱动项目集启动和执行的基础，所以项目集必须有效支持组织的愿景和目标。(2)项目集批准和启动。项目集指导委员会作为项目集的决策机构，需要批准每个项目集为实现预期目标所采取的方法和计划，授权项目集对组织资源的使用，以及对寻求组织外资源的方法。另外项目集指导委员会还负责批准项目集 章程 公司章程范本下载项目章程下载公司章程下载公司章程下载公司章程下载 和项目集商业论证。 4[简答题]阅读下列说明，回答问题1至问题4，将解答或相应的编号填入答题纸(答题纸略)的对应栏内。【说明】A公司准备研发一款手机无线充电器，项目启动时间为2018年1月，项目整体交付时间为2018年6月。按照资源配置和专业分工，公司将项目初步拆分为7个项目，其中，项目A～c负责产品主体研发和生产，项目E和F关注产品规格和外观设计，项目D负责技术攻关，项目G关注功能性附件。2018年2月，核心芯片采购遇到困难，为了不影响整体进度，又单独成立了H组负责研究可替代芯片的选型和采购。同时公司专门成立了副总经理牵头的协调小组负责管理这8个启动时间不一、关键节点不一却又内部项目关联的项目。【问题1】(1)请简述项目管理、项目集管理和项目组合管理的概念。(2)结合案例，分析该项目适合用那种方式进行管理，并简述理由。【问题2】结合案例，从变更、计划、监控三个属性上阐述项目组A的项目经理与协调小组职责的差异。【问题3】项目组合治理管理包括：制订项目组合管理计划、(1)、(2)、(3)和执行项目监督5个子过程。A．定义项目组合B．分配项目组合资源C．优化项目组合D．批准项目组合E．制定项目组合预算【问题4】请判断以下描述是否正确。(1)项目集内的所有项目通过共同的目标相关联，该目标对发起组织而言具有非常重要的战略意义。(2)项目集目标可以是短期的，也可以是长期的，可以是定性的，也可以是定量可管理的。(3)为了获得有效资源，组织应该为每一个项目集提前分配好固定的资源池。()(4)可以根据项目集收益的实现情况将项目集生命周期划分为项目集定义阶段、项目集收益交付阶段和项目集收尾阶段三个过程。()(5)项目集管理过程中，增加了绩效域这一个新概念，重点关注项目集的战略、构建和治理等方面。()参考解析：【问题1】(1)项目管理综合应用知识、过程、技能、工具以及技术来对项目活动进行管理，以便满足项目需求。项目集管理综合应用知识、过程、技能工具以及技术来对其所包含的项目进行管理，以便满足项目集的需求，并能获取采用单一项目管理方式所达不到的收益和控制。项目组合管理是对一组或者多组项目组合进行管理，以达成组织的战略目标。(2)适合采用项目集管理方式。原因：因为项目集是经过协调管理以获取单独管理所无法取得的收益的一组相关联的项目、子项目集活动，本项目内各子项目通过共同的目标相关联，并且该目标对组织而言具有非常重要的战略意义，适合采用项目集管理。【问题2】变更：项目组A的项目经理应该尽量让变更最小化，协调小组要预测并控制变更。计划：项目组A的项目经理为交付物提供详细的项目计划，协调小组为详细的项目计划提供高层指导。监控：项目组A的项目经理监控产生项目交付物的任务和工作，协调小组在整体框架下，监控项目工作。【问题3】(1)A(2)C(3)D【问题4】(1)√(2)×(3)×(4)√(5)√第二十一章项目组合管理1[单选题]项目组合根据项目组合管理中的组合定义、()以及组合优化等管理过程，对项目组合组件进行管理和监督。A.组合规划B.组合批准C.组合审计D.组合授权正确答案：B参考解析：项目组合根据项目组合管理中的组合定义、组合批准以及组合优化等管理过程，对项目组合组件进行管理和监督。2[单选题]项目组合管理过程改进计划定义了从项目组合管理及指导、()和优先安排改进活动出发，有望实现的目标。A.衡量B.审计C.评价D.滚动式规划正确答案：A参考解析：项目组合管理过程改进计划定义了从项目组合管理及指导、衡量和优先安排改进活动出发，有望实现的目标。3[单选题]真正有效的项目组合管理必须是一个()、反复、交互的系统。A.静态B.动态C.分治D.线性正确答案：B参考解析：真正有效的项目组合管理必须是一个动态、反复、交互的系统。4[单选题]下列不属于调整过程组的是()。A.管理战略变更B.管理供应与需求C.规定项目组合监督D.管理项目组合价值正确答案：C参考解析：规定项目组合监督属于授权与控制过程组。5[单选题]项目组合管理是指为了实现特定的战略业务目标，对一个或多个项目组合进行集中管理，包括识别、排序、授权、管理和控制项目，项目集和其他有关工作。以下关于项目组合管理的叙述中(  )是不正确的。A.项目组合管理主要采用的是自下而上的管理方式B.项目组合管理过程一般是进行组织决策的过程C.项目组合管理要确保与组织战略协调一致D.通过审核项目和项目集来确定资源分配的优先顺序正确答案：A参考解析：本题考查的是项目组合管理的相关内容。项目组合管理的方式是自上而下，即先确定组织的战略目标，优先选择符合组织战略目标的项目，在组织的资金和资源能力范围内有效地执行项目。6[单选题]项目组合管理中，“实施项目组合管理过程”的步骤包括()。①为项目组合管理过程的实施定义角色和职责；②沟通项目组合管理实施计划；③定义和部署详细的项目组合管理过程；④为参与人员和干系人提供培训；⑤执行项目组合管理监督，以确保其余组织战略目标一致。A.①②③④B.①③④⑤C.①②④⑤D.②③④⑤正确答案：A参考解析：本题考查的是实施项目组合管理过程的关键步骤。实施项目组合管理过程的关键步骤的定义可以参照 口诀 小学生乘法口诀表下载关于乘法口诀表的题目党史口诀下载一建市政口诀下载健身气功八段锦功法口诀下载 “为沟定为”进行记忆，理解为主。第二十二章信息系统安全管理1[单选题]在PKI／CA架构中，最重要的标准是(  )。A.TLSB.SSLC.X.509D.PKCS#12正确答案：C参考解析：在PKI／CA架构中，最重要的标准是X.509。2[单选题]下列()不属于属性证书的特点。A.分立的发行机构B.基于属性，而不是基于身份进行访问控制C.时效长D.属性证书与身份证书的相互关联正确答案：C参考解析：属性证书的特点包括：①分立的发行机构；②基于属性，而不是基于身份进行访问控制；③时效短；④属性证书与身份证书的相互关联。3[单选题]访问控制包括认证和()两个过程。A.鉴别B.授权C.审计D.验证正确答案：B参考解析：访问控制包括认证和授权两个过程。4[单选题]PMI应用结构逻辑要素包括访问者、策略、()和策略实施。A.策略分析B.策略规划C.策略决策D.策略审计正确答案：C参考解析：PMI应用结构逻辑要素包括访问者、策略、策略决策和策略实施。5[单选题]鉴别审计层次、列举可被审计的事件类型，以及鉴别由各种审计记录类型提供的相关审计信息的最小集合，属于CC(即CommonCriteriaISO／IEC17859)标准将安全审计功能中的(  )。A.安全审计自动响应功能B.安全审计浏览功能C.安全审计自动生成功能D.安全审计事件存储功能正确答案：C参考解析：安全审计自动生成功能要求记录与安全相关的事件的出现，包括鉴别审计层次、列举可被审计的事件类型，以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。6[单选题]建设安全审计系统的主体方案，一般包括基于网络安全入侵监测预警系统实现网络与()。A.数据库检测审计B.集成信息系统审计C.重要应用系统运行情况审计D.基于防火墙日志监测系统正确答案：C参考解析：建设安全审计系统的主体方案一般包括基于网络安全入侵监测预警系统实现网络与重要应用系统运行情况审计。7[单选题]()在军事和安全部门中应用最多。A.自主访问控制方式(DAC)B.强制访问控制方式(MAC)C.访问控制列表方式(ACL)D.基于角色的访问控制方式(RBAC)正确答案：B参考解析：本题考查的是访问控制。MAC强制访问控制方式，该模型在军事和安全部门中应用较多，目标具有一个包含等级的安全标签(如：不保密、限制、秘密、机密、绝密)；访问者拥有包含等级列表的许可，其中定义了可以访问哪个级别的目标，例如，允许访问秘密级信息，这时，秘密级、限制级和不保密级的信息是允许访问的，但机密和绝密级信息不允许访问。选项A，自主访问控制(DAC)：该模式针对每个用户指明能够访问的资源，对于不在指定的资源列表中的对象不允许访问。选项C，访问控制列表方式(ACL)：该模式是目前应用最多的方式，如果某个用户不在访问控制列表中，则不允许用户访问这个资源。选项D，基于角色的访问控制方式(RBAC)：该模式首先定义一些组织内的角色，再根据管理规定给这些角色分配相应的权限，最后对组织内的每个人根据具体业务和职位分配一个或多个角色。8[单选题](  )的目标是防止内部机密或敏感信息非法泄露和资产的流失。A.数字证书B.安全审计C.入侵检测D.访问控制正确答案：B参考解析：本题考查的是安全审计。安全审计具体包括两方面的内容：(1)采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，及时响应(如报警)并进行阻断。(2)对信息内容和业务流程进行审计，可以防止内部机密或敏感信息的非法泄露和单位资产的流失。所以和题干对应的是选项B安全审计。选项A，数字证书是公开密钥体制的一种密钥管理媒介，它是一种权威的电子文档，形同网络计算环境中的身份认证。选项C，入侵检测是通过监视网络或系统资源，寻找违反安全策略的行为和攻击迹象。选项D，访问控制是信息安全保障机制的核心内容之一，是实现数据保密性和完整性的主要手段之一。9[单选题]CC(即CommonCritoriaISO／IECl7859)标准将安全审计功能分为6个部分．其中(  )要求审计系统提供控制措施．以防止由于资源的不可用丢失审计数据。A.安全审计数据生成功能B.安全审计浏览功能C.安全审计事件选择功能D.安全审计事件存储功能正确答案：D参考解析：本题考查的是安全审计功能。安全审计事件存储功能要求审计系统提供控制措施，以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹，并保护其不被修改、非授权访问或破坏。审计数据将受到保护直至授权用户对它进行访问。它可保证某个制定量度的审计记录被维护，并不受以下事件的影响：(1)审计存储空间用尽。(2)审计存储故障。(3)非法攻击。(4)其他任何非预期事件。审计系统能够在审计存储发生故障时采取相应的动作，能够在审计存储即将用尽时采取相应的动作。 10[单选题]信息安全系统的体系架构三维空间图，其中Z轴是（）。A.安全机制B.安全服务C.OSI网络参考模型D.法律法规正确答案：B参考解析：X轴是"安全机制"。安全机制可以理解为提供某些安全服务,利用各种安全技术和技巧，所形成的一个较为完善的结构体系。如"平台安全"机制，实际上就是指的安全操作系统、安全数据库、应用开发运营的安全平台以及网络安全管理监控系统等。Y轴"OSI网络参考模型”。信息安全系统的许多技术、技巧都是在网络的各个层面上实施的，离开网络,信息系统的安全也就失去意义。Z轴是"安全服务"。安全服务就是从网络中的各个层次提供给信息应用系统所需要的安全服务支持。如对等实体认证服务访问控制服务、数据保密服务等。由X、Y、Z三个轴形成的信息安全系统三维空间就是信息系统的"安全空间"。随着网络逐层扩展，这个空间不仅范围逐步加大,安全的内涵也就更丰富，达到具有认证、权限、完整、加密和不可否认五大要素，也叫作"安全空间"的五大属性。11[简答题]阅读下列说明，回答问题1至问题5，将解答或相应的编号填入答题纸的对应栏内。【说明】任何漏洞的影响都有可能是巨大的，需要及时处置，包括第一时间更新系统版本、升级防火墙、IDS等安全设备的防护规则等，并建立一套信息安全保障系统。某集团公司互联网出口处的防火墙CPU利用率持续保持在80％上下，防火墙的高负载工作导致服务器业务访问缓慢。由于该服务器上承载着大量的公司核心业务，因此对集团业务已经造成了严重影响。前期在该集团核心交换机上部署了某公司的基于网络旁路监控的审计系统，因此完整记录并保存了该事件的所有网络通信数据，为进一步进行事件分析提供了充足的数据支撑及安全审计。【问题l】信息安全保障系统是客观的，可用“宏观”三维信息安全控件反映信息安全的体系架构及组成，请简述信息安全控件的安全服务及涉及的五大要素。【问题2】请简述安全审计的作用。【问题3】信息安全系统的三重架构体系分别是(1)系统、(2)系统、(3)系统，其中硬件和软件都专用的是(4)系统架构。【问题4】请简述信息安全等级保护分为哪5个安全保护等级。【问题5】请简述基于网络旁路监控的审计方式优点有哪些。参考解析：【问题1】我们用一个“宏观”三维模型来反映信息安全系统的体系架构及其组成，如下图所示。x轴是“安全机制”。安全机制可以理解为为了提供某些安全服务，利用各种安全技术和技巧所形成的一个较为完善的结构体系。如“平台安全”机制，实际上就是指的安全操作系统、安全数据库、应用开发运营的安全平台以及网络安全管理监控系统等。y轴是“OSI网络参考模型”。信息安全系统的许多技术、技巧都是在网络的各个层面上实施的，离开网络，信息系统的安全也就失去意义。z轴是“安全服务”。安全服务就是从网络中的各个层次提供给信息应用系统所需要的安全服务支持。如对等实体认证服务、访问控制服务、数据保密服务等。由工y、z三个轴形成的信息安全系统三维空间就是信息系统的“安全空间”，随着网络逐层扩展，这个空间不仅范围逐步加大，安全的内涵也就更丰富，直至具有认证、权限、完整、加密和不可否认这五大属性，也叫作“安全空间”的五大要素。参考答案安全服务：对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪证据提供服务。五大要素：认证、权限、完整、加密和不可否认。【问题2】安全审计(SecurityAudit)是记录、审查主体对客体进行访问和使用的情况，保证安全规则被正确执行，并帮助分析安全事故产生的原因。安全审计产品主要包括主机类、网络类、数据库类和业务应用系统级的审计产品。安全审计的主要作用有：①对潜在的攻击者起到震慑和警告作用；②对已经发生的系统破坏行为提供纠正数据；③提供有价值的系统使用日志；④提供系统运行的统计日志。【问题3】信息安全系统大体划分为三种架构体系：MIS+S系统、S-MIS系统和S2．MIS系统。MIS+S系统是初等的、简单的信息安全保障系统，特点有应用基本不变、硬件和系统软件通用、安全设备基本不带密码。S-MIS系统是建立在PKI／CA标准上的信息安全保障系统，特点有硬件和系统软件通用、PK／／CA安全保障系统必须带密码、应用系统必须根本改变。s2．MIS系统是“绝对”安全的信息安全保障系统，它不仅使用世界公认的PKJ．／CA标准，同时硬件和系统软件都使用“专用的安全”产品，特点有硬件和系统软件都专用、PKI／CA安全保障系统必须带密码、应用系统必须根本改变、主要的硬件和系统软件需要PKI／CA。参考答案(1)MIS+S(2)S．MIS(3)S2．MIS(4)S2．MIS【问题4】《计算机信息安全保护等级划分准则》是建立安全等级保护制度、实施安全等级管理的重要基础性标准，它将计算机信息系统分为以下五个安全保护等级：①第l级，用户自主保护级，适用于普通内联网用户；②第2级，系统审计保护级，适用于通过内联网或国际网进行商务活动，需要保密的非重要单位；③第3级，安全标记保护级，适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位；④第4级，结构化保护级，适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门单位；⑤第5级，访问验证保护级，适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。参考答案：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。【问题5】基于网络旁路监控的审计方式的优点有：①可以选择性记录任何通过网络对应用系统进行的操作，并对其进行实时与事后分析和处理；②可以记录完整的信息；④不对应用系统本身的正常运行产生任何影响；④可以对审计数据进行安全的保存，保证记录不被非法删除和篡改。12[简答题]阅读下列说明，回答问题1至问题6，将解答或相应的编号填入答题纸的对应栏内。【说明】我国是有“世界工厂”之称的制造大国，但却不是制造强国。生产率较低、创新不足、科研水平低等仍然是制约我国生产力发展的几大因素。随着“互联网+”等新型信息技术在数字工厂的不断深入应用，中国迎来第四次工业革命的历史机遇。“中国制造2025”需要利用新一代信息技术来提高工业制造率，降低建设和运营成本。云计算可以最大限度地共享数据资源、节约建设运行成本、提高平台的负载能力、降低维护难度，提高中国制造的核心竞争力。但在应用安全方面，采用基于密码技术的PKI／CA来保证身份认证、授权管理以及访问控制等是保障信息系统安全的主要策略，其主要任务都是保证系统资源不被非法使用和非常规访问等。【问题1】(1)安全策略的“七定”包含哪些内容?(2)系统安全策略首先要解决_______，其次是_______。【问题2】PKI是以不对称密钥加密技术为基础的，一个网络的PKI包括哪些基本构件?【问题3】针对信息系统的访问控制包含哪三个基本要素?访问控制分为强制访问控制(MAC)和自主访问控制(DAC)，请你分别简述其特点。【问题4】申请和颁发一个证书的过程随着CA及其策略的变化而变化，但是总的来说这个过程可以划分哪些步骤?【问题5】“互联网+技术”是两化融合的升级版，请你简述两化融合的含义。【问题6】此题为多选题，请从下列选项中选出3个正确选项。云计算体系结构中的安全管理包括()。A．身份认证B．访问授权C．安全审计D．监视统计参考解析：【问题1】全策略的核心内容就是“七定”，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。“七定”的结果就是确定了该单位组织的计算机业务应用信息系统的安全如何具体地实现和保证。安全策略一定要具有科学性、严肃性、非二义性和可操作性。按照系统安全策略“七定”要求，系统安全策略首先要解决定方案，其次就是定岗。参考答案：(1)定方案、定岗、定位、定员、定目标、定制度、定工作流程。(2)定方案、定岗。【问题2】公钥基础设施PKI(PublicKeyInfrastructure)是以不对称密钥加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵赖为安全目的，来实施和提供安全服务的具有普适性的安全基础设施。一个网络的PKI包括以下基本构件：①数字证书，它是由认证机构经过数字签名后发给网上交易主体(企业或个人、设备或程序)的一段电子文档，它提供了PKI的基础；②认证中心(CA)，它是PKI的核心，是第三方网上认证机构，负责使用数字证书的签发、撤销、生命周期管理，密钥管理服务和证书在线查询等服务；⑧数字证书审批机构(RA)，是CA数字证书发放、管理的延伸，它是PKI不可缺少的部分；④数字签名，是利用发信者的私钥和密码算法对信息或电子摘要进行加密处理的过程和结果；⑤密钥和证书管理工具，管理和审计数字证书的工具；⑥双证书体系，PK采用双证书体系，非对称算法和对称算法；⑦PKI的体系架构，包括信任服务体系和密钥管理中心两部分。信任服务体系提供基于PKI数字证书认证机制的实体身份鉴别服务；密钥管理体系提供密钥管理服务，向授权管理部门提供应急情况下的特殊密钥回复功能。参考答案：数字证书；认证中心(CA)；数字证书审批机构(RA)；数字签名；密钥和证书管理工具，管理和审计数字证书的工具；双证书体系，PK采用双证书体系，非对称算法和对称算法；信任服务体系和密钥管理中心。【问题3】信息系统的访问控制包含的基本要素有主体、客体和控制策略。强制访问控制的特点：系统独立于用户行为强制执行访问控制(MAC)，用户不能改变他们的安全级别或对象的安全属性。这样的访问控制规则通常对数据和用户按照安全等级划分标签，访问控制机制通过比较安全标签来确定授予还是拒绝用户对资源的访问。在强制访问控制系统中，所有主体(用户，进程)和客体(文件，数据)都被分配了安全标签，安全标签标识一个安全等级。即主体被分配一个安全等级，客体也被分配一个安全等级。自主访问控制的特点：自主访问控制(DAC)机制允许对象的属主来制定针对该对象的保护策略。通常DAC通过授权列表(或访问控制列表)来限定哪些主体针对哪些客体可以执行什么操作。这样可以非常灵活地对策略进行调整。自主访问控制中，用户可以针对被保护对象制定自己的保护策略。每个主体拥有一个用户名并属于一个组或具有一个角色。每个客体都拥有一个限定主体对其访问权限的访问控制列表(ACL)，每次访问发生时都会基于访问控审JJYU表检查用户标志以实现对其访问权限的控制。参考答案：主体、客体和控制策略。强制访问控制的特点：系统独立于用户行为强制执行访问控制(MAC)，用户不能改变他们的安全级别或对象的安全属性。自主访问控制的特点：自主访问控制(DAC)机制允许对象的属主来制定针对该对象的保护策略。【问题4】申请和颁发一个证书的过程随着CA及其策略的变化而变化，但是总的来说这个过程可以划分为以下步骤。(1)生成一个密钥对。申请人制定一个公开和私有密钥对，或者由单位给申请人分配一个密钥对。(2)收集登记信息。申请人给CA提供颁发证书所需要的信息。例如，这些信息可能包括用户的名字和电子邮件地址，或者包括一个出生证、指纹、公证文档，或者CA需要确认申请人身份的其他任何信息。(3)申请证书。申请人发送一个证书申请，它包括用户的公开密钥和另外所需要的信息。(4)用CA的公开密钥对申请进行加密，然后把加密的申请发送给CA。(5)验证信息。CA使用它所需要的任何策略规则，来确定是否给申请人颁发证书。正如身份验证请求一样，CA的验证策略和程序影响了证书生成的可信度，这些证书是由CA颁发的。(6)创建证书。CA创建和签署一个数字文档，此文档包含申请人的公开密钥和其他适当的信息。CA的签署使主体名字和主体公开密钥的结合生效。签署过的文档就是证书。(7)发送或邮寄证书。CA发送证书给申请人，或者邮寄证书给申请人。【问题5】“两化融合”的含义：一是指信息化与工业化发展战略的融合；二是指信息资源与材料、能源等工业资源的融合；三是指虚拟经济与工业实体经济融合；四是指信息技术与工业技术、IT设备与工业装备的融合。【问题6】网络安全技术主要包括防火墙、vPN、DS、防病毒、身份认证、数据加密、安全审计、网络隔离等。参考答案：A、B、C第二十三章信息系统综合测试与管理1[单选题]下列不是静态测试方法的是()。A.黑盒测试B.桌前检查C.代码走查D.代码审查正确答案：A参考解析：黑盒测试是动态测试方法。2[单选题]下列属于白盒测试的是()。A.小张将系统新增的导出报表功能交付给测试工程师小李进行系统测试B.小张完成导出报表功能的模块A后，自己进行了单元测试C.小张将系统新增的导出报表功能提交给用户评测D.小张完成导出报表功能后，交付给运维工程师进行系统部署测试正确答案：B参考解析：白盒测试关注系统内部构造与逻辑流程，对模块进行单元测试符合这一特征，需要关注程序的结构以及关联的逻辑交互流程。 3[单选题]测试过程中可能发生的风险，某些缺陷偶发，难以重现，容易被遗漏。这属于（）。A.需求风险B.缺陷风险C.代码质量风险D.测试用例风险正确答案：B参考解析：在测试工作中，主要的风险表现为以下几个方面。(1)需求风险。对软件需求理解不准确，导致测试范围存在误差，遗漏部分需求或者执行了错误的测试方式；另外需求变更导致测试用例变更，同步时存在误差。(2)测试用例风险。测试用例设计不完整,忽视了边界条件、异常处理等情况，用例没有完全覆盖需求;测试用例没有得到全部执行，有些用例被有意或者无意的遗漏。(3)缺陷风险。某些缺陷偶发，难以重现，容易被遗漏。(4)代码质量风险。软件代码质量差，导致缺陷较多,容易出现测试的遗漏。(5)测试环境风险。有些情况下测试环境与生产环境不能完全一致，导致测试结果存在误差。(6)测试技术风险。某些项目存在技术难度，测试能力和水平导致测试进展缓慢,项目延期。(7)回归测试风险。回归测试一般不运行全部测试用例，可能存在测试不完全。(8)沟通协调风险。测试过程中涉及的角色较多,存在不同人员、角色之间的沟通、协作，难免存在误解、沟通不畅的情况，导致项目延期。(9)其他不可预计风险。一些突发状况、不可抗力等也构成风险因素，且难以预估和避免。以上是测试过程中可能发生的风险，其中有的风险是难以避免的，如缺陷风险等。有的风险从理论上可以避免，但实际操作过程中出于时间和成本的考虑，也难以完全回避，如回归测试风险等。对于难以避免的风险，我们的目标是将风险降到最低水平。第二十四章项目管理成熟度模型1[单选题]项目集管理过程域包括项目集管理绩效域和()。A.项目集管理供应与需求过程B.项目集管理支持过程C.项目集管理战略变更过程D.项目集监督控制过程正确答案：B参考解析：项目集管理过程域包括项目集管理绩效域和项目集管理支持过程。2[单选题]下列关于x模型的优点，描述不正确的是()。A.强调单元测试及集成测试的重要性B.x模型是对H模型的改进C.引入探索性测试，使测试模型与现实更接近D.缺陷修复时不受项目组内部人员限制正确答案：B参考解析：x模型是对V模型的改进。3[单选题]下列关于项目管理成熟度模型的描述，不正确的是()。A.项目管理成熟度模型作为一种全新的理念，为企业项目管理水平的提高提供了一个评估与改进的框架B.严格地讲，项目管理成熟度应该指的是项目管理过程的成熟度C.项目管理成熟度模型的要素包括质量体系和绩效跟踪D.项目管理成熟度模型在基于项目管理过程的基础上把企业项目管理水平从混乱到规范再到优化的进化过程分成有序的多个等级正确答案：C参考解析：项目管理成熟度模型的要素包括改进的内容和改进的步骤。 4[单选题]OPM3运作周期包括()。A.准备评估、实施评估、制订改进计划、实施改进B.准备评估、实施评估、制订改进计划、实施改进、重复此过程C.准备评估、制订改进计划、实施评估、实施改进、优化过程D.准备评估、制订改进计划、实施评估、实施改进、重复此过程正确答案：B参考解析：OPM3运作周期包括准备评估、实施评估、制订改进计划、实施改进、重复此过程。5[单选题]在CMMI过程域分类中，组织级绩效管理属于()过程。A.战略管理类B.过程管理类C.工程类D.支持类正确答案：B参考解析：过程管理类过程包括组织级过程定义、组织级过程关注、组织级绩效管理、组织级过程性能和组织级培训。6[单选题]需求管理(REQM)属于CMMI的()过程域。A.项目管理类B.过程管理类C.工程类D.支持类正确答案：A参考解析：本题考查的是CMMI的过程域。项目管理类过程域见表l—24—1，分为四类．由表格可知，需求管理属于项目管理类。7[单选题]关于软件过程管理的描述，不正确的是()。A.在软件过程管理方面，最著名的是能力成熟度模型集成(CMMI)B.CMMI成熟度级别3级与4级的关键区别在于对过程性能的可预测性C.连续式模型将24个过程域按照功能划分为过程管理、项目管理、工程和支持4个过程组D.对同一组织采用阶段模型和连续式模型分别进行CMMI评估，得到的结论不同正确答案：D参考解析：本题考查的是CMMI的表示法与级别。对同一组采用阶段模型和连续式模型分别进行CMMI评估，得到的结论是相同的。