信息与信息化系统
46、可用性是系统能够正常运行的时间比例。经常用两次故障之间的时间长度或在出现故障时系统能够恢复正常的速度来表示。(掌握)
47、可靠性是软件系统在应用或系统错误面前,在意外或错误使用的情况下维持软件系统的功能特性的基本能力。(掌握)注意和可用性的区别
48、计算机系统的可用性用平均无故障时间(MTTF) 来度量, 即计算机系统平均能够正常运行多长时间,才发生一次故障。系统的可用性越高,平均无故障时间越长。可维护性用平均维修时间(MTTR) 来度量, 即系统发生故障后维修和重新恢复正常运行平均花费的时间。系统的可维护性越好, 平均维修时间越短。计算机系统的可用性定义为:MTTF/(MTTFMTTR) *100%。由此可见,计算机系统的可用性定义为系统保持正常运行时间的百分比。所以,想要提高一个系统的可用性,要么提升系统的单次正常工作的时长,要么减少故障修复时间。常见的可用性战术如下:(了解)
(1)错误检测:用于错误检测的战术包括命令/响应、心跳和异常。
(2)错误恢复:用于错误恢复的战术包括表决、主动冗余、被动冗余。
(3)错误预防:用于错误预防的战术包括把可能出错的组件从服务中删除、引入进程监视器。
49、需求是多层次的,包括业务需求、用户需求和系统需求。(掌握)
注意区分
(1)业务需求。业务需求是指反映企业或客户对系统高层次的目标要求,通常来自项目投资人、购买产品的客户、客户单位的管理人员、市场营销部门或产品策划部门等。
(2)用户需求。用户需求描述的是用户的具体目标,或用户要求系统必须能完成的任务。也就是说,用户需求描述了用户能使用系统来做些什么。通常采取用户访谈和问卷调查等方式,对用户使用的场景(scenarios) 进行整理, 从而建立用户需求。
(3)系统需求。系统需求是从系统的角度来说明软件的需求,包括功能需求、非功能需求和设计约束等。
50、质量功能部署(QFD) 是一种将用户要求转化成软件需求的技术, 其目的是最大限度地提升软件工程过程中用户的满意度。QFD将软件需求分为三类, 分别是常规需求、期望需求和意外需求。(掌握)注意区分
(1)常规需求。用户认为系统应该做到的功能或性能,实现越多用户会越满意。
(2)期望需求。用户想当然认为系统应具备的功能或性能,但并不能正确描述自己想要得到的这些功能或性能需求。如果期望需求没有得到实现,会让用户感到不满意。
(3)意外需求。意外需求也称为兴奋需求,是用户要求范围外的功能或性能(但通常是软件开发人员很乐意赋予系统的技术特性实现这些需求用户会更高兴,但不实现也不影响其购买的决策。意外需求是控制在开发人员手中的,开发人员可以选择实现更多的意外需求,以便得到高满意、高忠诚度的用户,也可以(出于成本或项目周期的考虑)选择不实现任何意外需求。
51、常见的需求获取方法包括用户访谈、问卷调查、采样、情节串联板、联合需求计划等。(了解)
52、一个好的需求应该具有无二义性、完整性、一致性、可测试性、确定性、可跟踪性、正确性、必要性等特性,因此,需要分析人员把杂乱无章的用户要求和期望转化为用户需求,这就是需求分析的工作。(了解)
使用SA方法进行需求分析,其建立的模型的核心是数据字典。在实际工作中,一般使用实体联系图(E-R图) 表示数据模型, 用数据流图(DFD) 表示功能模型, 用状态转换图(STD) 表示行为模型。E-R图主要描述实体、属性, 以及实体之间的关系; DFD从数据传递和加工的角度,利用图形符号通过逐层细分描述系统内各个部件的功能和数据在它们之间传递的情况,来说明系统所完成的功能; STD通过描述系统的状态和引起系统状态转换的事件, 来表示系统的行为,指出作为特定事件的结果将执行哪些动作(例如,处理数据等)。
53、软件需求规格说明书(SRS) 是需求开发活动的产物, 其中规定SRS应该包括以下内容(掌握)
(1)范围(2)引用文件(3)需求(4)合格性规定(5)需求可追踪性(6)尚未解决的问题
(7)注解(8)附录注意哪些不包含,在标准里的内容里讲了。
54、需求验证也称为需求确认,其活动是为了确定以下几个方面的内容。(了解)
(1) SRS正确地描述了预期的、满足项目干系人需求的系统行为和特征。
(2) SRS中的软件需求是从系统需求、业务规格和其他来源中正确推导而来的。
(3)需求是完整的和高质量的。
(4)需求的表示在所有地方都是一致的。
(5)需求为继续进行系统设计、实现和测试提供了足够的基础。
在实际工作中,一般通过需求评寅和需求测试工作来对需求进行验证。需求评审就是对行技术评审。
55、从总体上来看, UML的结构包括构造块、规则和公共机制三个部分。(了解)
56、UML用关系把事物结合在一起, 主要有下列四种关系:(掌握)注意区分
(1)依赖:依赖是两个事物之间的语义关系,其中一个事物发生变化会影响另一个事物的语义。
(2)关联:关联描述一组对象之间连接的结构关系。
(3)泛化:泛化是一般化和特殊化的关系,描述特殊元素的对象可替换一般元素的对象。
(4)实现:实现是类之间的语义关系,其中的一个类指定了由另一个类保证执行的契约。
57、UML 2.0包括14种图, 分别列举如下:(掌握)注意区分
(1)类图:类图描述一组类、接口、协作和它们之间的关系。类图给出了系统的静态设计视图,活动类的类图给出了系统的静态进程视图。
(2)对象图:对象图描述一组对象及它们之间的关系。
(3)构件图:构件图描述一个封装的类和它的接口、端口,以及由内嵌的构件和连接件构成的内部结构。
(4)组合结构图:组合结构图描述结构化类(例如,构件或类)的内部结构,包括结构化类与系统其余部分的交互点。
(5)用例图:用例图描述一组用例、参与者及它们之间的关系。
(6)顺序图(也称序列图):顺序图是一种交互图,交互图展现了一种交互,它由一组对象或参与者以及它们之间可能发送的消息构成。交互图专注于系统的动态视图。顺序图是强调消息的时间次序的交互图。
(7)通信图:通信图也是一种交互图,它强调收发消息的对象或参与者的结构组织。顺序图强调的是时序,通信图强调的是对象之间的组织结构(关系)。
(8)定时图(也称计时图):定时图也是一种交互图,它强调消息跨越不同对象或参与者的实际时间,而不仅仅只是关心消息的相对顺序。17年11月第26考题
(9)状态图:状态图描述一个状态机,它由状态、转移、事件和活动组成。状态图给出了对象的动态视图。
(10)活动图:活动图将进程或其他计算结构展示为计算内部一步步的控制流和数据流。活动图专注于系统的动态视图。它强调对象间的控制流程。
(11)部署图:部署图描述对运行时的处理节点及在其中生存的构件的配置。部署图给出了架构的静态部署视图,通常一个节点包含一个或多个部署图。
(12)制品图::制品图描述计算机中一个系统的物理结构。制品包括文件、数据库和类似的物理比特集合。制品图通常与部署图一起使用。制品也给出了它们实现的类和构件。
(13)包图:包图描述由模型本身分解而成的组织单元,以及它们之间的依赖关系。
(14)交互概览图:交互概览图是活动图和顺序图的混合物。
58、UML视图:5个系统视图:(了解)
(1)逻辑视图:逻辑视图也称为设计视图,它表示了设计模型中在架构方面具有重要意义的部分,即类、子系统、包和用例实现的子集。17年11月第27考题
(2)进程视图:进程视图是可执行线程和进程作为活动类的建模,它是逻辑视图的一次执行实例,描述了并发与同步结构。
(3)实现视图:实现视图对组成基于系统的物理代码的文件和构件进行建模。
(4)部署视图:部署视图把构件部署到一组物理节点上,表示软件到硬件的映射和分布结构。
(5)用例视图:用例视图是最基本的需求分析模型。
59、00A模型独立于具体实现,即不考虑与系统具体实现有关的因素,这也是00A和00D的区别之所在。00A的任务是“做什么00D的任务是“怎么做”。面向对象分析阶段的核心工作是建立系统的用例模型与分析模型。
60、SA(结构化分析)方法采用功能分解的方式来描述系统功能,在这种表达方式中,系统功能被分解到各个功能模块中,通过描述细分的系统模块的功能来达到描述整个系统功能的目的。(了解)
61、类之间的主要关系有关联、依赖、泛化、聚合、组合和实现等(掌握)注意区分
(1)共享聚集。共享聚集关系通常简称为聚合关系,它表示类之间的整体与部分的关系,其含义是“部分”可能同时属于多个“整体”,“部分”与“整体”的生命周期可以不相同。。
(2)组合聚集。组合聚集关系通常简称为组合关系,它也是表示类之间的整体与部分卜的关系。与聚合关系的区别在于,组合关系中的“部分”只能属于一个“整体”,“部分”与“整整体”的生命周期相同,“部分”随着“整体M的创建而创建,也随着“整体”的消亡而消亡。
62、解决好软件的复用、质量和维护问题,是研究软件架构的根本目的。软件架构设计的一个核心问题是能否达到架构级的软件复用。在这一活动中,评估人员关注的是系统的质量属性。
63、敏感点是一个或多个构件(和/或构件之间的关系)的特性,权衡点是影响多个质量属性的特性,是多个质量属性的敏感点。(了解)
64、从目前已有的软件架构评估技术来看,可以归纳为三类主要的评估方式,分别是基于调查问卷(或检查表)的方式、基于场景的方式和基于度量的方式。这三种评估方式中,基于场景的评估方式最为常用。(了解)
65、基于场景的方式主要包括:架构权衡分析法(AT AM) 、软件架构分析法(SAAM) 和成本效益分析法(CB AM) 中。在架构评估中, 一般采用刺激、环境和响应三方面来对场景进行描述。刺激是场景中解释或描述项目干系人怎样引发与系统的交互部分,环境描述的是刺激发生时的情况,响应是指系统是如何通过架构对刺激作出反应的。(了解)
66、基于场景的方式分析软件架构对场景的支持程度,从而判断该架构对这一场景所代表的质量需求的满足程度。这一评估方式考虑到了所有与系统相关的人员对质量的要求,涉及的基本活动包括确定应用领域的功能和软件架构之间的映射,设计用于体现待评估质量属性的场景,以及分析软件架构对场景的支持程度。(了解)
67、软件设计分为结构化设计与面向对象设计。(了解)
68、结构化设计SD是一种面向数据流的方法, 它以SRS和SA阶段所产生的DFD和数据字典等文档为基础,是一个自顶向下、逐步求精和模块化的过程。SD分为概要设计和详细设计两个阶段(了解)
69、在SD中,需要遵循一个基本的原则:高内聚,低耦合,模块间低耦合,模块内高内聚(掌握)
70、面向对象设计00D是00A方法的延续,其基本思想包括抽象、封装和可扩展性,其中可扩展性主要通过继承和多态来实现。(了解)
71、设计模式是前人经验的总结,它使人们可以方便地复用成功的软件设计。根据处理范围不同,设计模式可分为类模式和对象模式。根据目的和用途不同,设计模式可分为创建型模式、结构型模式和行为型模式三种。创建型模式主要用于创建对象;结构型模式主要用于处理类或对象的组合;行为型模式主要用于描述类或对象的交互以及职责的分配。(了解)
72、阶段式模型(了解)
成熟度等级
可管理级:需求管理、项目计划、配置管理、项目监督与控制、供应商合同管理、度量和分析、过程和产品质量保证
已定义级:需求开发、技术解决方案、产品集成、验证、确认、组织级过程焦点、组织级过程定义、组织级培训、集成项目管理、风险管理、集成化的团队、决策分析和解决方案、组织级集成环境
量化管理级:组织级过程性能、定量项目管理
优化管理级:组织级改革与实施、因果分析和解决方案
73、连续式模型(了解)
连续式分组
过程管理:组织级过程焦点、组织级过程定义、组织级培训、组织级过程性能、组织级改革与实施
项目管理:项目计划、项目监督与控制、供应商合同管理、集成项目管理、风险管理、集成化的团队、定量项目管理
工程:需求管理、需求开发、技术解决方案、产品集成、验证、确认
支持:配置管理、度量和分析、过程和产品质量保证、决策分析和解决方案、组织级集成环境、因果分析和解决方案
14、每个测试用例应包括名称和标识、测试追踪、用例说明、测试的初始化要求、测试的输入、期望的测试结果、评价测试结果的准则、操作过程、前提和约束、测试终止条件。(了解)
75、软件测试方法可分为静态测试和动态测试。静态测试是指被测试程序不在机器上运行,而采用人工检测和计算机辅助静态分析的手段对程序进行检测。静态测试包括对文档的静态测试和对代码的静态测试。对文档的静态测试主要以检查单的形式进行,而对代码的静态测试一般采用桌前检查、代码走查和代码审查。(掌握)
75、软件测试方法可分为静态测试和动态测试。静态测试是指被测试程序不在机器上运行,而采用人工检测和计算机辅助静态分析的手段对程序进行检测。静态测试包括对文档的静态测试和对代码的静态测试。对文档的静态测试主要以检查单的形式进行,而对代码的静态测试一般采用桌前检查、代码走查和代码审查。(掌握)
76、动态测试是指在计算机上实际运行程序进行软件测试,一般采用白盒测试和黑盒测试方法。白盒测试也称为结构测试,主要用于软件单元测试中。它的主要思想是,将程序看作是一个透明的白盒,测试人员完全清楚程序的结构和处理算法,按照程序内部逻辑结构设计测试试用例。白盒测试方法主要有控制流测试、数据流测试和程序变异测试等。另外,使用静态测试的方法也可以实现白盒测试。例如,使用人工检查代码的方法来检查代码的逻辑问题,也属于白白盒测试的范畴。白盒测试方法中,最常用的技术是逻辑覆盖,即使用测试数据运行被测程序,考穿察对程序逻辑的覆盖程度。主要的覆盖标准有语句覆盖、判定覆盖、条件覆盖、条件/判定覆盖、条件组合覆盖、修正的条件/判定覆盖和路径覆盖等。(掌握)
77、黑盒测试也称为功能测试,主要用于集成测试、确认测试和系统测试中。黑盒测试将程序看作是一个不透明的黑盒,完全不考虑(或不了解)程序的内部结构和处理算法。一般包括等价类划分、边界值分析、判定表、因果图、状态图、随机测试、猜错法和正交试验法等。(掌握)
78、软件测试可分为单元测试、集成测试、确认测试、系统测试、配置项测试和回归测试等类别。(掌握)
(1)单元测试。单元测试也称为模块测试。
(2)集成测试。集成测试的目的是检查模块之间,以及模块和已集成的软件之间的接口关系。
(3)确认测试。确认测试主要用于验证软件的功能、性能和其他特性是否与用户需求一致。根据用户的参与程度,通常包括以下类型。
内部确认测试。内部确认测试主要由软件开发组织内部按照SRS进行测试。
Alpha测试和Beta测试。对于通用产品型的软件开发而言, Alpha测试是指由用户在开发环境下进行测试, 通过Alpha测试以后的产品通常称为Alpha版; Beta测试是指由用户在实际使用环境下进行测试, 通过Beta测试的产品通常称为Beta版。一般在通过Beta测试后, 才能把产品发布或交付给用户。
验收测试。验收测试是指针对SRS, 在交付前以用户为主进行的测试。其测试对象为完整的、集成的计算机系统。
(4)系统测试。系统测试的对象是完整的、集成的计算机系统,系统测试的目的是在真实系统工作环境下,验证完整的软件配置项能否和系统正确连接,并满足系统/子系统设计文档和软件开发合同规定的要求。
(5)配置项测试。配置项测试的对象是软件配置项,配置项测试的目的是检验软件配置项与SRS的一致性。
(6)回归测试。回归测试的目的是测试软件变更之后,变更部分的正确性和对变更需求的符合性,以及软件原有的、正确的功能、性能和其他规定的要求的不损害性。回归测试的对象主要包括以下四个方面。
1)未通过软件单元测试的软件,在变更之后,应对其进行单元测试。
2)未通过配置项测试的软件,在变更之后,首先应对变更的软件单元进行测试,然后再进行相关的集成测试和配置项测试。
3)未通过系统测试的软件,在变更之后,首先应对变更的软件单元进行测试,然后再进行相关的集成测试、配置项测试和系统测试。
4)因其他原因进行变更之后的软件单元,也首先应对变更的软件单元进行测试,然后再进行相关的软件测试。
79、与传统的结构化系统相比,00系统具有三个明显特征,即封装性、.继承性与多态性。正是由于这三个特征,给00系统的测试带来了一系列的困难。(了解)
80、常用的软件调试策略可以分为蛮力法、回溯法和原因排除法三类。软件调试与测试的区别主要体现在以下几个方面。(了解)
(1)测试的目的是找出存在的错误,而调试的目的是定位错误并修改程序以修正错误。
(2)调试是测试之后的活动,测试和调试在目标、方法和思路上都有所不同。
(3)测试从一个已知的条件开始,使用预先定义的过程,有预知的结果;调试从一个未知的条件开始,结束的过程不可预计。
(4)测试过程可以事先设计,进度可以事先确定;调试不能描述过程或持续时间。
81、软件测试的管理包括过程管理、配置管理和评审工作。(了解)
(1)过程管理。过程管理包括测试活动管理和测试资源管理。软件测试应由相对独立的人员进行。软件测试人员应包括测试项目负责人、测试分析员、测试设计员、测试程序员、测试员、测试系统管理员和配置管理员等。
(2)配置管理。应按照软件配置管理的要求,将测试过程中产生的各种工作产品纳入配置管理。
由开发组织实施的软件测试,应将测试工作产品纳入软件项目的配置管理;由独立测试组织实施的软件测试,应建立配置管理库,将被测试对象和测试工作产品纳入配置管理。
(3)评审。测试过程中的评审包括测试就绪评审和测试评审。测试就绪评审是指在测试执行前对测试计划和测试说明等进行评审,评审测试计划的合理性和测试用例的正确性、完整性和覆盖充分性,以及测试组织、测试环境和设备、工具是否齐全并符合技术要求等;测试评审是指在测试完成后,评审测试过程和测试结果的有效性,确定是否达到测试目的,主要对测试记录和测试报告进行评审。
82、企业应用集成EAI包括表示集成、数据集成、控制集成和业务流程集成等多个层次和方面。当然,也可以在多个企业之间进行应用集成。(了解)
(1)表示集成也称为界面集成,是黑盒集成,无须了解程序与数据库的内部构造。常用的集成技术主要有屏幕截取和输入模拟技术。
(2)数据集成是白盒集成
(3)控制集成也称为功能集成或应用集成,是在业务逻辑层上对应用系统进行集成的。集成处可能只需简单使用公开的API(应用程序编程接口) 就可以访问, 当然也可能需要添加附加的代码来实现。控制集成是黑盒集成。控制集成与表示集成、数据集成相比,灵活性更高。表示集成和数据集成适用的环境下,都适用于控制集成。但是,由于控制集成是在业务逻辑层进行的,其复杂度更高一些。17年11月第11考题
(4)业务流程集成:业务流程集成也称为过程集成,这种集成超越了数据和系统,它由一系列基于标准的、统一数据格式的工作流组成。当进行业务流程集成时,企业必须对各种业务信息的交换进行定义、授权和管理,以便改进操作、减少成本、提高响应速度。
(5) 企业之间的应用集成:EAI技术可以适用于大多数要实施电子商务的企业, 以及企业之间的应用集成。EAI使得应用集成架构里的客户和业务伙伴都可以通过集成供应链内的所有应用和数据库实现信息共享。能够使企业充分利用外部资源。
83、物联网是指通过信息传感设备,按约定的协议,将任何物品与互联网相连接,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网主要解决物品与物品、人与物品、人与人之间的互连。在物联网应用中有两项关键技术,分别是传感器技术和嵌入式技术。(掌握)17年11月第1考题
84、RFID(射频识别) 是物联网中使用的一种传感器技术, 可通过无线电信号识别特定目标并读写相关数据,而无需识别系统与特定目标之间建立机械或光学接触。(掌握)
85、嵌入式技术是综合了计算机软硬件、传感器技术、集成电路技术、电子应用技术为一体的复杂技术。(了解)
86、物联网架构可分为三层,分别是感知层、网络层和应用层。感知层由各种传感器构成,包括温湿度传感器、二维码标签、RFID标签和读写器、摄像头、GPS等感知终端。感知层是物联网识别物体、采集信息的来源;网络层由各种网络,包括互联网、广电网、网络管理系统和云计算平台等组成,是整个物联网的中枢,负责传递和处理感知层获取的信息;应用层是物联网和用户的接口,它与行业需求结合,实现物联网的智能应用。(掌握)
87、物联网在城市管理中综合应用就是所谓的智慧城市。智慧城市建设主要包括以下几部分:
①通过传感器或信息采集设备全方位地获取城市系统数据.②通过网络将城市数据关联、融合、处理、分析为信息。③通过充分共享、智能挖掘将信息变成知识。④结合信息技术,把知识应用到各行各业形成智慧。(掌握)
88、功能层(了解)
(1)物联感知层:提供对城市环境的智能感知能力,通过各种信息采集设备、各类传感器、监控摄像机、GPS终端等实现对城市范围内的基础设施、大气环境、交通、公共安全等方面信息采集、识别和监测。
(2)通信网络层:广泛互联,以互联网、电信网、广播电视网以及传输介质为光纤的城市专用网作为骨干传输网络, 以覆盖全城的无线网络(如WiFi) 、移动4G为主要接入网》组成网络通信基础设施。
(3)计算与存储层:包括软件资源、计算资源和存储资源,为智慧城市提供数据存储和计算,保障上层对于数据汇聚的相关需求。
(4) 数据及服务支撑层:利用SO A(面向服务的体系架构) 、云计算、大数据等技术, 通过数据和服务的融合,支撑承载智慧应用层中的相关应用,提供应用所需的各种服务和共享资源。
(5)智慧应用层:各种基于行业或领域的智慧应用及应用整合,如智慧交通、智慧家政、智慧园区、智慧社区、智慧政务、智慧旅游、智慧环保等,为社会公众、企业、城市管理者等提供整体的信息化应用和服务。
89、支撑体系(了解)
(1)安全保障体系:为智慧城市建设构建统一的安全平台,实现统一入口、统一认证、统一授权、日志记录服务。
(2)建设和运营管理体系:为智慧城市建设提供整体的运维管理机制,确保智慧城市整体建设管理和可持续运行。
(3)标准规范体系:标准规范体系用于指导和支撑我国各地城市信息化用户、各行业智慧应用信息系统的总体规划和工程建设,同时规范和引导我国智慧城市相关IT产业的发展,为智慧城市建设、管理和运行维护提供统一规范,便于互联、共享、互操作和扩展。
101、<信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级:(掌握)注意区分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
以按照实际需求迅速获取或释放资源,并可以根据需求对资源进行动态扩展。(掌握)
92、按照云计算服务提供的资源层次, 可以分为la aS、Pa aS和Saas三种服务类型。(掌握) 注意区分
(1) la as(基础设施即服务) , 向用户提供计算机能力、存储空间等基础设施方面的服务。这种服务模式需要较大的基础设施投入和长期运营管理经验。
(2) Pa as(平台即服务) , 向用户提供虚拟的操作系统、数据库管理系统、Web应用等平台化的服务。Pa as服务的重点不在于直接的经济效益, 而更注重构建和形成紧密的产业生态。
(3) SaaS(软件即服务) 向用户提供应用软件(如CRM、办公软件等) 、组件、工作流等虚拟化软件的服务
93、大数据(big data) , 指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。(掌握)
94、业界通常用5个V--Volume(大量) 、Variety(多样) 、Value(价值) 、Velocity(高速)和Veracity(真实性) 来概括大数据的特征。(掌握)
95、大数据是具有体量大、结构多样、时效性强等特征的数据,处理大数据需要采用新型计算架构和智能算法等新技术。大数据丛数据源经过分析挖掘到最终获得价值一般需要经过5个主要环节,包括数据准备、数据存储与管理、计算处理、数据分析和知识展现。(掌握)
96、移动互联网的核心是互联网,因此一般认为移动互联网是桌面互联网的补充和延伸,应用和内容仍是移动互联网的根本。(掌握)17年11月第21考题
97、移动互联网有以下特点。(掌握)
(1)终端移动性:移动互联网业务使得用户可以在移动状态下接入和使用互联网服务,移动的终端便于用户随身携带和随时使用。
(2)业务使用的私密性:在使用移动互联网业务时,所使用的内容和服务更私密,如手机支付业务等。
(3)终端和网络的局限性
(4)业务与终端、网络的强关联性:由于移动互联网业务受到了网络及终端能力的限制,因此,其业务内容和形式也需要适合特定的网络技术规格和终端类型。
98、安全属性,主要包括以下内容。(掌握)注意区分
(1)秘密性:信息不被未授权者知晓的属性。
(2)完整性:信息是正确的、真实的、未被篡改的、完整无缺的属性。
(3)可用性:信息可以随时正常使用的属性。
99、安全可以划分为以下四个层次:设备安全、数据安全、内容安全、行为安全。
(1)设备安全包括三个方面:设备稳定性、设备的可靠性、设备的可用性。
(2)数据安全包括秘密性、完整性和可用性。
(3)行为安全:数据安全本质上是一种静态的安全,而行为安全是一种动态安全。
行为的秘密性:行为的过程和结果不能危害数据的秘密性。必要时,行为的过程和结果也应是秘密的。
行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的。
行为的可控性:当行为的过程出现偏离预期时,能够发现、控制或纠正。
100、保障信息安全的技术包括:硬件系统安全技术、操作系统安全技术、数据库安全技术、软件安全技术、网络安全技术、密码技术、恶意软件防治技术、信息隐藏技术、信息设备可靠性技术等。其中,硬件系统安全和操作系统安全是信息系统安全的基础,密码和网咯安全等是关键技术。网络安全技术主要包括防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计、网络隔离等。
101、<信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级:(掌握)
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
102、计算机系统安全保护能力的五个等级,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。(掌握)
103、人员管理首先要求加强人员审查。人员审查必须根据信息系统所规定的安全等级确定审查标准。所有人员应明确其在安全系统中的职责和权限。所有人员的工作、活动范围应当被限制在完成其任务的最小范围内。对于人员管理的人事安全审查,要求对某人是否适合参与信息安全保障和接触敏感信息进行审查以判断是否值得信任。(了解)
104、信息安全教育对象,应当包括与信息安全相关的所有人员.如领导和管理人员,信息系统的工程技术人员,一般用户等。(了解)
105、加密技术包括两个元素:算法和密钥。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密) 。对称加密以数据加密标准(DES) 算法为典型代表, 非对称加密通常以RSA算法为代表。对称加密的加密密钥和解密密钥相同, 而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。(掌握)
106、对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,对称加密算法使用起来简单快捷,密钥较短,破译相对容易。除了数据加密标准(DES) , 另一个对称密钥加密系统是国际数据加密算法(IDEA) , 它比DES的加密性好, 另外, 还有数据加密标准算法AES, 其中DES密钥长度56位, 3DES是112位, IDEA是
128位, AES密钥长度则可以是128, 192或256比特(掌握)
107、非对称加密技术:公开密钥密码的基本思想是将传统密码的密钥K一分为二,分为加密钥Ke和解密钥Kd, 用加密钥Ke控制加密, 用解密钥Kd控制解密。RSA密码, 既可用于加密,又可用干数字签名, 安全、易懂, 因此RSA密码已成为目前应用最广泛的公开密钥密码。(掌握)
108、Hash函数将任意长的报文M映射为定长的Has li码h, Hash函数可提供保密性、报文认证以及数字签名功能。(掌握)
签名是证明当事者的身份和数据真实性的一种信息。完善的数字签名体系应满足以下3个条件:
(1)签名者事后不能抵赖自己的签名。
(2)任何其他人不能伪造签名。
(3)如果当事的双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认其真伪。
利用RSA密码可以同时实现数字签名和数据加密。
109、认证又称鉴别、确认,它是证实某事是否名副其实或是否有效的一个过程。(掌握)
110、认证和加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,如截取、窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。
(掌握)
111、抗否认性。抗否认性是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为的特性。一般通过数字签名来提供抗否认服务。(掌握)
112、可审计性。利用审计方法,可以对计算机信息系统的工作过程进行详尽的审计跟踪,同时保存审计记录和审计日志,从中可以发现问题。(掌握)
113、物理安全主要包括:场地安全(环境安全);
是指系统所在环境的安全,主要是场地与机房。设备安全:主要指设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。(掌握)
114、设备安全包括设备的防盗和防毁,防止电磁信息泄漏,防止线路截获、抗电磁干扰以及电源的保护。(掌握)
115、存储介质安全是指介质本身和介质上存储数据的安全。存储介质本身的安全包括介质的防盗;介质的防毁,如防霉和防砸等。(掌握)
116、计算机的可靠性工作,一般采用容错系统实现。容错主要依靠冗余设计来实现,以增加资源换取可靠性。(掌握)
117、防火墙是阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁。主要用于逻辑隔离外部网络与受保护的内部网络。防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,所以是一种静态安全技术。防火墙的安全策略由安全规则表示。(掌握)
118、入侵检测与防护的技术主要有两种:入侵检测系统(IDS) 和入侵防护系统(IPS) 。(掌握)
入侵检测系统(IDS) 注重的是网络安全状况的监管, 通过监视网络或系统资源, 寻找违反安全策略的行为或攻击迹象, 并发出报警。因此绝大多数IDS系统都是被动的。
入侵防护系统(IPS) 则倾向于提供主动防护, 注重对入侵行为的控制。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。
119、VPN(虚拟专用网络) 可以认为是加密和认证技术在网络传输中的应用。是使用称之为“隧道”的技术作为传输介质,这个隧道是建立在公共网络或专用网络基础之上的。常见的隧道技术包括:点对点隧道协议(PPTP) 、第2层隧道协议(L2TP) 和IP安全协议(IPSec) 。另外,
DDN是数字专线, 成本很高(掌握)
120、安全扫描包括漏洞扫描、端口扫描、密码类扫描(发现弱口令密码)等。安全扫描可以应用被称为扫描器的软件来完成,扫描器是最有效的网络安全检测工具之一,它可以自动检测远程或本地主机、网络系统的安全弱点以及所存在可能被利用的系统漏洞。(掌握)
121、网络蜜罐技术是一种主动防御技术,是入侵检测技术的一个重要发展方向。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。攻击者往往在蜜罐上浪费时间,延缓对真正目标的攻击。由于蜜罐技术的特性和原理,使得它可以对入侵的取证提供重要的信息和有用的线索,便于研究入侵者的攻击行为。(掌握)
122、常见的无线网络安全技术包括:无线公开密钥基础设施(W PKI) 、有线对等加密协议(WEP) 、Wi-Fi网络安全接入(WPA/WPA 2) 、无线局域网鉴别与保密体系(WAPI) 、802.lli(802.11工作组为新一代WLAN制定的安全标准) 等。(掌握)
123、针对操作系统的安全威胁按照行为方式划分,通常有下面四种:(掌握)注意区分
(1)切断,这是对可用性的威胁。系统的资源被破坏或变得不可用或不能用,如破坏硬盘、切断通信线路或使文件管理失效。
(2)截取,这是对机密性的威胁。未经授权的用户、程序或计算机系统获得了对某资源的访问,如在网络中窃取数据及非法拷贝文件和程序。
(3)篡改,这是对完整性的攻击。未经授权的用户不仅获得了对某资源的访问,而且进行篡改,如修改数据文件中的值,修改网络中正在传送的消息内容。17年11月第18考题
(4)伪造,这是对合法性的威胁。未经授权的用户将伪造的对象插入到系统中,如非法用户把伪造的消息加到网络中或向当前文件加入记录。
124、按照安全威胁的表现形式来分,操作系统面临的安全威胁有以下几种:(了解)
(1)计算机病毒。(2)逻辑炸弹。(3)特洛伊木马。
(4)后门。后门指的是嵌在操作系统中的一段非法代码,渗透者可以利用这段代码侵入系统。
安装后门就是为了渗透。
(5)隐蔽通道。隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略、非公开的信息
泄露路径。
125、操作系统安全性的主要目标是标识系统中的用户,对用户身份进行认证,对用户的操作进行控制,防止恶意用户对计算机资源进行窃取、篡改、破坏等非法存取,防止正当用户操作不当而危害系统安全,从而既保证系统运行的安全性,又保证系统自身的安全性。具体包括如下几个方面。(掌握)
(1)身份认证机制:实施强认证方法,比如口令、数字证书等。
(2)访问控制机制:实施细粒度的用户访问控制,细化访问权限等。
(3)数据保密性:对关键信息,数据要严加保密。
(4)数据完整性:防止数据系统被恶意代码破坏,对关键信息进行数字签名技术保护。
(5)系统的可用性:操作系统要加强应对攻击的能力,比如防病毒,防缓冲区溢出攻击等。
(6)审计:审计是一种有效的保护措施,它可以在一定程度上阻止对计算机系统的威胁,并对系统检测,故障恢复方面发挥重要作用。
126、数据库安全主要指数据库管理系统安全,其安全问题可以认为是用于存储而非传输的数据的安全问题。数据库安全在技术上采取了一系列的方法,具体包括:数据库访问控制技术、数
据库加密技术、多级安全数据库技术、数据库的推理控制问题和数据库的备份与恢复等。(了解)
127、应用系统安全是以计算机设备安全、网络安全和数据库安全为基础的。(了解)
128、Web威胁防护技术主要包括:(1) Web访问控制技术(2) 单点登录(SSO) 技术(3) 网页防篡改技术(4) Web内容安全(了解)
129、虚拟计算,是一种以虚拟化、网络、云计算等技术的融合为核心的一种计算平台、存储平台和应用系统的共享管理技术。(掌握)
130、我国信息化发展的主要任务和发展重点(了解)
(1)促进工业领域信息化深度应用(2)加快推进服务业信息化(3)积极提高中小企业信息化应用水平(4)协力推进农业农村信息化(5)全面深化电子政务应用(6)稳步提高社会事业信息化水平(7)统筹城镇化与信息化互动发展(8)加强信息资源开发利用(9)构建下一代国家综合信息基础设施(10)促进重要领域基础设施智能化改造升级(11)着力提高国民信息能力
131、电子政务根据其服务的对象不同,基本上可以分为以下四种模式:(掌握)注意和电子商务分
(1)政府对政府(G2G)(2)政府对企业(G2B)(3)政府对公众(G2C)(4)政府对公务员(G2E)
132、按照交易对象,电子商务模式包括:企业与企业之间的电子商务(B2B)、商业企业与与消费者之间的电子商务(B2C)、消费者与消费者之间的电子商务(C2C)。还要加个G2B或B2A(掌握)
133、电子商务与线下实体店有机结合向消费者提供商品和服务,称为020模式。(掌握)
134、电子商务的基础设施包括四个,即网络基础设施、多媒体内容和网络出版的基础设施、报文和信息传播的基础设施、商业服务的基础设施。此外,技术标准,政策、法律等是电子商务系统的重要保障和应用环境。(掌握)
135、实施“中国制造2025”促进两化深度融合,加快从制造大国转向制造强国,需要电子信息产业有力支撑,大力发展新一代信息技术,加快发展智能制造和工业互联网;制订“互联网”行动计划,推动移动互联网、云计算、大数据、物联网等应用,需要产业密切跟踪信息技术变革趋势,探索新技术、新模式、新业态,构建以互联网为基础的产业新生态体系。实施国家信息安全战略.需要尽快突破芯片、整机、操作系统等核心技术,大力加强网络信息安全技术能力体系建设,在信息对抗中争取主动权。(了解)17年11月第20考题
136、工业化与信息化“两化融合”的含义:信息化发展战略与工业化发展战略要协调一致,信息化发展模式与工业化发展模式要高度匹配(掌握)2个是好基友,一起做
137、智慧城市是利用新一代信息技术来感知、监测、分析、整合城市资源,对各种需求做出迅速、灵活、准确反应,为公众创造绿色、和谐环境,提供泛在、便捷、高效服务的城市形态。新一代信息技术包括云计算、大数据、物联网、地理信息、人工智能、移动计算等,是“互联网”在现代城市管理的综合应用,是“数字城市”发展的必然和全面跃升。(了解)
138、智慧城市建设主要包括以下几部分:首先,通过传感器或信息采集设备全方位地获取城市系统数据;其次,通过网络将城市数据关联、融合、处理、分析为信息;第三,通过充分共享、智能挖掘将信息变成知识;最后,结合信息技术,把知识应用到各行各业形成智慧。(掌握)
139、典型的信息系统项目有如下特点。(了解)
(1)项目初期目标往往不太明确。
(2)需求变化频繁。
(3)智力密集型。
(4)系统分析和设计所需人员层次髙,专业化强。
(5)涉及的软硬件厂商和承包商多,联系、协调复杂。
(6)软件和硬件常常需要个性化定制。
(7)项目生命期通常较短。
(8)通常要采用大量的新技术。
(9)使用与维护的要求高。
(10)项目绩效难以评估和量化。
140、普遍存在的主要问题如下。(了解)
(1)系统质量不能完全满足应用的基本需求。
(2)工程进度拖后,延期。
(3)项目资金使用不合理或严重超出预算。
(4)项目文档不全甚至严重缺失。
(5)在项目实施过程中系统业务需求一变再变。
(6)项目绩效难以量化评估。
(7)系统存在着安全漏洞和隐患等。
(8)重硬件轻软件,重开发轻维护,重建设轻应用。
(9)信息系统服务企业缺乏规范的流程和能力管理。
(10)信息系统建设普遍存在产品化与个性化需求的矛盾。
(11)开放性要求高,而标准和规范更新快。
141、中国特色的信息系统集成及服务管理体系,主要内容如下。(了解)
(1)信息系统集成、运维服务和信息系统监理及其管理。
(2)项目管理、运维服务和信息系统监理人员的水平评价。
(3)国家计划(投资)部门对规范的、具备信息系统项目管理能力的企业和人员的建议性要求。
(4)信息系统用户对规范的、具备信息系统项目管理能力的企业和人员市场性需求。
142、信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位(以下简称为“监理单位”),受业主单位(建设单位)委托,依据国家有关法律法规、技术标准和信息系统工程
监理合同,对信息系统工程项目实施的监督管理。(掌握)
143、信息系统工程监理工作的主要内容可以概括为“四控、三管、一协调”,即投资控制、进度控制、质量控制、变更控制、合同管理、信息管理、安全管理和沟通协调。(掌握)
(1)投资控制。信息系统工程的投资由软硬件设备购置投资、项目配套工程投资、项目集成费用和工程建设其他投资组成,主要包括设计阶段的投资控制和实施阶段的投资控制。
(2)进度控制。在工程实施过程中,监理工程师严格按照招标文件、合同和进度计划的要求,对工程进度进行跟进,确保整体施工有序进行。
(3)质量控制。在监理工作的各个阶段必须严格依照承建合同的要求,审查关键性过程和阶段性结果,检查其是否符合预定的质量要求,而且整个监理工作中应强调对工程质量的事前控制、事中监管和事后评估。
(5)合同管理。有效解决建设单位和承建单位在项目执行过程中的合同争议,保障各方的正当
权益。
(6)信息管理。科学地记录工程建设过程,/保证工程文档的完整性和时效性,为工程建设过程
的检查和系统后期维护提供文档保障。
(7)安全管理。完善安全生产管理体制,建立健全第安全生产管理制度、安全生产管理机构和
安全生产责任制是安全生产管理的重要内容,也是实现安全生产目标管理的组织保证。
(8)沟通协调。在项目执行过程中,有效协调建设单位、承建单位,以及各相关单位的关系,
为项目的顺利实施提供组织上的保证。
144、下列信息系统工程应当实施监理。(了解)
(1)国家级、省部级、地市级的信息系统工程。
(2)使用国家政策性银行或者国有商业银行贷款,规定需要实施监理的信息系统工程。
(3)使用国家财政性资金的信息系统工程。
(4)涉及国家安全、生产安全的信息系统工程。
(5)国家法律、法规规定的应当实施监理的其他信息系统工程。
145、运行维护是信息系统生命周期中最重要,也是最长的一个阶段(了解)
146、IT服务管理(ITS M) 是一套帮助组织对IT系统的规划、研发、实施和运营进行有效管理
的方法, 是一套方法论。ITS M是一套通过服务级别协议(SLA) 来保证IT服务质量的协同流程,
它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等
许多流程的理论和实践。(掌握)
147、ITS M的核心思想是:IT组织不管是组织内部的还是外部的, 都是IT服务提供者, 其主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需从IT服务的客户(购买IT服务)方和用户(使用IT服务)方加以判断。(掌握)
148、ITS M是一种IT管理, 与传统的IT管理不同, 它是一种以服务为中心的I管理。(掌握)
149、IT服务标准体系ITS S包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准。(掌握)
150、ITS S体系框架内容如下所述。(了解)
(1)基础标准阐述IT服务分类、服务原理、从业人员能力规范等。
(2)服务管控标准阐述服务管理的通用要求/实施指南以及技术要求;阐述治理的通用要求、实施指南、绩效评价、审计以及对数据的治理;阐述信息技术服务监理规范等。
(3)服务业务标准按业务类型分为面向IT的服务标准(咨询设计,集成实施和运行维护)和IT驱动的服务标准(云服务运营、数据服务、互联网服务)。分为通用要求、服务规范和实施指南等,其中通用要求是对各业务类型基本能力要素的要求,服务规范是对服务内容和行为的规
范,实施指南是对服务的落地指导。
(4)服务外包标准是信息技术服务采用外包方式时的通用要求及规范。
(5)服务安全标准确保服务安全可控。
(6)服务对象按照对象类型分为数据中心和终端,,
(7)行业应用标准包含各行业应用的实施指南和结合行业特点的相关标准。
151、信息系统规划(也称为信息系统战略规划)是一个组织有关信息系统建设与应用的全局性谋划,主要包括战略目标、策略和部署等内容。(了解)
152、信息化规划是企业信息化建设的纲领和指南,是信息系统建设的前提和依据。(了解)
153、信息系统(战略)规划关注的是如何通过信息系统来支撑业务流程的运作,进而实现企业的关键业务目标,其重点在于对信息系统远景、组成架构、各部分逻辑关系进行规划。(了解)
154、大型信息系统的特点:(1)规模庞大(2)跨地域性(3)网络结构复杂(4)业务种类多
(5)数据量大(6)用户多(掌握)
155、信息系统规划原则(了解)
(1)规划要支持企业的战略目标。
(2)规划整体上着眼于高层管理,兼顾各管理层、各业务层的要求。
(3)规划中涉及的各信息系统结构要有好的整体性和一致性。
(4)信息系统应该适应企业组织结构和管理体制的改变,弱化信息系统对组织机构的依从性,提高信息系统的应变能力。组织机构可以有变动,但最基本的活动和决策大体上是不变的。
(5)便于实施。
156、企业实施信息系统规划主要包括以下步骤。(了解)
(1)分析企业信息化现状。
(2)制定企业信息化战略。
(3)信息系统规划方案拟定和总体构架设计。包括技术路线、实施方案、运行维护方案等。
157、ISP方法经历了三个主要阶段。第一个阶段主要以数据处理为核心, 围绕职能部门需求的信息系统规划,主要的方法包括企业系统规划法、关键成功因素法和战略集合转化法;第二个阶段主要以企业内部管理信息系统为核心,围绕企业整体需求进行的信息系统规划,主要的方
法包括战略数据规划法、信息工程法和战略栅格法;第三个阶段的方法在综合考虑企业内外环境的情况下,以集成为核心,围绕企业战略需求进行的信息系统规划,主要的方法包括价值链分析法和战略一致性模型。(了解)
158、企业系统规划(BSP) 方法主要用于大型信息系统的开发。(了解)
159、从cio的职责角度来看, 需要cio是“三个专家”, 即企业业务专家、IT专家和管理专家。(了解)
160、CIO的主要职责:(了解)
(1)提供信息,帮助企业决策
(2)帮助企业制定中长期发展战略-
(3)有效管理IT部门
(4)制定信息系统发展规划
(5)建立积极的IT文化