2022软件水平考试-中级信息系统管理工程师考前拔高名师测验卷14（附答案解析）

2022软件水平考试-中级信息系统管理工程师考前拔高名师测验卷（附答案解析）1. 问答题：在信息系统管理中，访问控制是保障信息安全的主要措施，通过访问控制可以防止对计算机及计算机系统进行非授权的访问和存取，避免因越权操作导致泄密事件的发生。审计日志是信息安全事件追查的依据和线索，企业如果发生信息系统安全事件，通过审计日志可以排查责任，降低安全事件造成的损失。前不久，某企业由于系统维护需要，在一段时间内有多家技术支持厂商在同一台计算机上进行了系统维护操作，由于该企业没有设置适当的权限并忽视了审计环节，也没有及时对该计算机日志进行维护，致使该计算机上的一份重要文件泄露，因缺少证据和线索，无法对该事件进行追查。请结合上述案例，从系统维护、权限管理以及信息安全防范的角度回答下列问题。【问题1】（6分）根据上述说明，对访问和使用该计算机的人员应采取哪些安全措施？【问题2】（6分）针对本案例，为避免再次发生无从追责的情况，应如何进行权限管理和日志审计？【问题3】（3分）运行管理是实现动态安全的关键环节，请简要说明运行管理的主要内容。答案： 本题解析：【问题1】（6分）要为不同用户设置账户；为每个账户设置相关权限；启用安全审计；当用户完成工作后，应禁用或删除对应的账户；实行监控，如派人员陪同，安装监控软件等；进行备份和重要文件的隔离等。【问题2】（6分）为每个用户设置对应的账户，并依据所需的工作合理配置对应的权限；对重要的资源进行隔离。新版章节练习，考前压卷，完整优质题库+考生笔记分享，实时更新，软件，对每次维护后的安全审计日志进行收集、存档，系统管理员分析安全日志中相关事件的发生的时间、地点、引发的用户、事件的类型，事件成功与否。【问题3】（3分）运行管理包括：出入管理、终端管理、信息管理。2. 问答题：M公司是以开发、设计、制造与销售机电设备为主的企业，其产品不仅在国内市场销售，且已进入国际市场。随着激烈的市场竞争以及企业发展，公司领导层清楚地认识到信息是企业发展的重要基础，决定投资建设管理信息系统，以满足管理工作三个层面的管理需求，即操作层的数据处理（原始数据）、战术层的数据管理（管理需求数据），以及战略层的宏观调控（宏观调控和辅助决策需求数据）。在组织完成了公司信息化建设规划后，M公司通过招标方式，确定了由L软件公司作为信息系统的开发商。L软件公司在尚不十分明确M公司需求的情况下，快速建立了一个系统模型，并不断与相关人员沟通，完善该系统模型。L软件公司开发完成了信息系统所有的功能模块，建立了与实际应用一致的系统测试环境，测试工作由各开发人员负责，每个开发人员只负责测试自己开发的模块，测试工作基本没有发现问题，之后就提交M公司使用。【问题1】（5分）操作层的数据处理、战术层的数据管理分别主要包括哪些基本内容？【问题2】（5分）L软件公司采用的信息系统开发方法是哪一种方法？该方法主要有哪些优点？【问题3】（5分）软件测试通常可分为单元测试、集成测试和系统测试，L软件公司实施的测试工作属于哪一种？集成测试的主要目标是发现什么问题？系统测试是确定哪两个方面是否符合要求？答案： 本题解析：【问题1】（5分）（1）操作层的数据处理：原始数据的采集、加工、整理。（2）战术层的数据管理：管理需求数据的汇总、分析。【问题2】（5分）（1）原型化方法。（2）便于系统分析人员与用户沟通；减少了分析过程的误解，适应需求的变更；在与用户交互中求精完善，保障了开发质量；将系统调查、系统分析、系统设计三个阶段融为一体提高了开发效率等。【问题3】（5分）（1）单元测试。（2）发现模块间的接口和通信问题；（3）确定系统的功能和性能是否符合要求。【问题1】信息系统从概念上来看是由信息源、信息处理器、信息用户和信息管理者等四大部分组成，信息源是信息的产生地，包括组织内部和外界环境中的信息，这些信息通过信息处理器的传输、加工、存储，为各类管理人员即信息用户提供信息服务，而整个的信息处理活动由信息管理者进行管理和控制，信息管理者与信息用户一起依据管理决策的需求收集信息，并负责进行数据的组织与管理，信息的加工、传输等一系列信息系统的分析、设计与实现。操作层的数据处理（原始数据）：对原始数据主要进行采集、加工、整理。战术层的数据管理（管理需求数据）：管理需求，就需要把数据变成信息。需要对其进行加工：如汇总，分析。【问题2】信息系统开发方法包括结构化开发和设计方法、面向对象的开发方法及原型方法。结构化系统分析与设计方法其基本思想是：用系统的思想，系统工程的方法，按用户至上的原则，结构化、模块化、自顶向下对信息系统进行分析与设计。具体来说，就是先将整个信息系统开发过程划分出若干个相对独立的阶段，如系统规划、系统分析、系统设计、系统实施等。在前三个阶段坚持自顶向下地对系统进行结构划分。在系统调查或理顺管理业务时，应从最顶层的管理业务入手，逐步深入到最基层。在系统分析，提出新系统方案和系统设计时，先考虑系统整体的优化。然后再考虑局部的优化问题。在系统实施阶段，则应坚持自底向上的逐步实施。原型法基本思想是凭借着系统分析人员对用户要求的理解，在强有力的软件环境支持下，快速地给出一个实实在在的模型（或称为原型、雏形），然后与用户反复协商修改，最终形成实际系统，这个模型大致体现了系统分析人员对用户当前要求的理解和用户想要实现的形式。优点：便于系统分析人员与用户沟通；减少了分析过程的误解，适应需求的变更；在与用户交互中求精完善，保障了开发质量；将系统调查、系统分析、系统设计三个阶段融为一体提高了开发效率等。面向对象方法的出发点和基本原则是尽可能模拟人类习惯的思维方式，使开发软件的方法与过程尽可能接近人类认识世界、解决问题的方法与过程。由于客观世界的问题都是由客观世界中的实体及实体相互间的关系构成的。因此把客观世界中的实体抽象为对象。【问题3】软件测试实际上分成4步：单元测试、组装测试、确认测试和系统测试，他们将按顺序进行。单元测试，对源程序中的每一个程序单元进行测试，验证每个模块是否满足系统设计说明书的要求。组装测试是将已测试过的模块组合成子系统，重点测试各模块之间的接口和联系。确认测试时对整个软件进行验收，根据系统分析说明书来考察软件是否满足要求。系统测试是将软件、硬件、网络等系统的各个部分连接起来，对整个系统进行总的功能、性能等方面的测试。3. 问答题：某企业的IT部门为了细化工作分工，理顺管理流程，安排工程师小张负责本企业的网络硬件及相关设施管理。小张在明确了工作范围后，对工作内容做了初步规划，列出了以下三项主要工作：1对网络硬件设备进行统计，登记各部门的设备并检查设备管理情况。2通过对比企业网络配置连接图，对网络设备的配置进行梳理，对用户的访问权限进行确认。3对网络运行涉及的相关设施的安全和运行情况进行检查。请结合自己的工作实际，回答以下问题。【问题1】（6分）简要说明硬件设备管理应遵循的基本要求。【问题2】（5分）从ISO网络管理模型的角度，简要说明网络管理包括哪些方面。【问题3】（4分）简要说明与网络相关的设施管理包括哪些内容。答案： 本题解析：【问题1】（6分）所有硬件设备必须由专人负责管理：管理员必须定期对各种办公设备进行清理检查，确保设备处于正常使用状态；用电设备要按时进行线路检查，防止漏电、打火现象、确保设备、库房的安全，对故障设备应随时登记，并及时向上级回报后妥善处理所有硬件设备应严格遵循部门制定的硬件管理条例。例如一律不得擅自外借或挪作非工作事务之用；非本部门人员未经许可不得擅自使用本部门设备及软件；严禁擅自对计算机中的任何数据、程序进行删改等硬件设备在平时应定期进行清点和检测，发现问题的应该及时进行处理。硬件系统应定期进行备份，备份的硬盘要妥善保管、做好标签，以防止数据丢失。经常使用的硬件设备应得到清洁和维护。各种设备使用说明、保修卡、用户手册等相关文字材料也应该由管理员统一收集管理后立卷归档【问题2】（5分）ISO建立的网络管理模型：性能管理、配置管理、计费管理、故障管理、安全管理。其中使用最为广泛的是故障管理单元。【问题3】（4分）与网络相关的设施管理包括：电源设备管理；空调设备管理；通信应急设备管理；防护设备的管理4. 问答题：项目是一件事情或一项独一无二的任务，是在一定的时间和一定的预算内所要达到的预期目的。项目侧重于过程，它是一个动态的概念，例如，可以把一条高速公路的建设过程视为项目，但不可以把高速公路本身称为项目。项目是一个广义的概念，安排一场演出活动、开发和介绍一种新产品、策划一场婚礼、设计和实施一个计算机软件系统、进行工厂的某生产线的技术改造、主持一次会议等等，这些在日常生活中经常可以遇到的事情都可以称为项目。简单地说，项目就是为达到特定的目的，使用一定资源，在确定的时期内，为特定发起人提供独特的产品、服务或成果所进行的一次性工作任务。信息系统的建设也是一类项目。因为信息系统的建设符合项目的定义，它同样具有一般项目在完成时间、项目周期、项目成本或费用、项目技术特征及内在质量等方面的共性要求但同时也具有在项目目标、任务边界、项目质量、开发过程的客户需求、项目进度、费用计划等方面的自身的要求。【问题1】（5分）请根据简要指出项目定义的三个要点，并列出为完成项目所涉及的“资源”。【问题2】（5分）信息系统项目作为项目的一种，它除了具有项目的一般特征之外，还具有自己的特点，根据你的理解，这些特点主要有哪些？【问题3】（5分）项目作为一个整体，要使各方面的资源能够协调一致，就要特别熟悉项目三角形的概念。信息系统项目管理中的项目三角形描述了三个要素之间相互影响的关系，请指出该三要素，并简要分析它们之间的关系。答案： 本题解析：【问题1】（5分）（1）三个要点如下：一定的资源约束；一定的目标；一次性工作任务。（2）项目定义中的“资源”包括：时间资源、经费资源、人力资源、空间资源、物资资源等。【问题2】（5分）信息系统项目的特点有：信息系统项目的目标不精确；信息系统项目的任务边界模糊；信息系统项目的质量要求主要由项目团队定义；在信息系统项目的开发过程中，客户的需求不断被激发、不断地被进一步明确；在信息系统项目的开发过程中，客户需求随项目进展而变化；在信息系统项目的开发过程中，项目的进度、费用等计划会不断更改；信息系统项目是智力密集、劳动密集型项目，受人力资源影响最大；信息系统项目的项目成员的结构、责任心、能力和稳定性对信息系统项目的质量以及是否成功有决定性影响。【问题3】（5分）（1）三要素为：范围、时间、成本（2）关系：三要素相互影响。为了缩短项目时间，就需要增加项目成本（资源）或减少项目范围：为了节约项目成本（资源），可以减少项目范围或延长项目时间；如果需求变化导致增加项目范围，就需要增加项目成本（资源）或延长项目时间。因此，他们相互影响，一个因素变化就会影响其他因素，就需要同时考虑这些影响。（2分）【问题1】所谓项目，简单地说，就是在既定的资源和要求的约束下，为实现某种目的而相互联系的一次性工作任务。这个定义包括三层意思：一定的资源约束、一定的目标、一次性任务。这里的资源包括时间资源、经费资源、人力资源等。对于这个项目涉及的资源主要有时间资源、经费资源、人力资源、空间资源、物资资源等。【问题2】信息系统除了具有项目特征之外，还具有自己的特点：1、信息系统项目的目标不精确、任务边界模糊、质量要求主要由项目团队定义：在信息系统开发初期，项目团队调研时，客户只能提出一些初步的功能要求，提不出确切的需求。信息系统项目的任务范围在很大程度上取决于项目组所做的系统规划和需求分析。另外，因为大部分客户方都不是从事信息技术的人员，对信息技术的各种性能指标并不熟悉。所以，信息系统项目所应达到的质量要求也更多地由项目组定义，客户则尽可能地进行审查。2、在信息系统项目开发过程中，客户的需求不断被激发，不断地被进一步明确，或者客户需求随项目进展而变化，从而导致项目进度、费用等计划的不断更改：尽管已经做好了系统规划、可行性研究，签订了较明确的技术合同，然后随着项目的进展，客户的需求不断地被激发，被进一步明确，导致程序、界面以及相关文档需要经常被修改。而且在修改过程中又可能产生新的问题，这些问题很可能经过相当长的时间后才会被发现。3、信息系统项目是智力密集、劳动密集型项目，受人力资源影响最大，项目成员的结构、责任心、能力和稳定性对信息系统项目的质量以及是否成功有决定性的影响：信息系统项目工作技术性很强，需要大量高强度的脑力劳动。尽管近年来信息系统辅助开发工具的应用越来越多，但是项目各阶段还是渗透了大量的手工劳动。这些劳动十分细致、复杂和容易出错，因而信息系统项目既是智力密集型项目，又是劳动密集型项目。并且，由于信息系统开发的核心成果应用软件是不可见的逻辑实体，如果人员发生流动，对于没有深入掌握软件知识或缺乏信息系统开发实践经验的人来说，很难在短时间里做到无缝地承接信息系统的后续开发工作。另外，信息系统的开发是项目团队整体的工作，为了高质量的完成项目，要充分发掘项目成员的才能和创新精神，不仅要求他们具有一定的技术水平和工作经验，还要求他们具有良好的心理素质和责任心，尤其要具有团队合作精神。项目经理在项目开发过程中，也应该注重项目成员之间的沟通协调，要将人力放到与进度和成本一样高的地位来看待。【问题3】项目作为一个整体，要使各方面的资源能够协调一致，就要特别熟悉项目三角形的概念。所谓项目三角形，是指项目管理中范围、时间、成本三个因素之间的互相影响关系。项目三角形中的范围，除了要考虑对项目直接成果的要求，还要考虑与之相关的在人力资源管理、质量管理、沟通管理、风险管理等方面的工作要求。项目三角形中的成本，主要来自于所需资源的成本，自然也包括人力资源的成本，这些资源可通过不同的方式获得，可以对应不同的成本，对资源的需求与工作范围和工作时间都有直接的联系。质量处于项目三角形的中心，质量会影响三角形的每条边，对三条边中的任何一条所做的更改都会影响质量。质量不是三角形的要素；它是时间、费用和范围协调的结果。项目三角形强调的就是这三方面的这种相互影响的紧密关系。为了缩短项目时间，就需要增加项目成本（资源）或减少项目范围；为了节约项目成本（资源），可以减少项目范围或延长项目时间；如果需求变化导致增加项目范围，就需要增加项目成本（资源）或延长项目时间。因此，项目计划的制定过程是一个多次反复的过程，根据各方面的不同要求，不断调整计划来协调它们之间的关系。在项目执行过程中，当项目的某一因素发生变更时，往往会直接影响到其他因素，需要同时考虑一项变更给其他因素造成的影响，项目的控制过程就是要保证项目各方面的因素从整体上能够相互协调。5. 问答题：IT外包是指企业将其IT部门的职能全部或部分外包给专业的第三方管理，集中精力发展企业的核心业务。选择IT外包服务能够为企业带来诸多的好处，如将计算机系统维护工作外包可解决人员不足（或没有）的问题；将应用系统和业务流程外包，可使企业用较低的投入获得较高的信息化建设和应用水平。依据某研究数据，选择IT外包服务能够为企业节省65%以上的人员开支，并减少人力资源管理成本，使企业更专注于自己的核心业务，并且可以获得更为专业、更为全面的热情服务。因此，外包服务以其有效减低成本、增强企业核心竞争力等特性成了越来越多企业采取的一项重要的商业措施。IT外包成功的关键因素之一就是选择具有良好社会形象和信誉、相关行业经验丰富、能够引领或紧跟信息技术发展的外包商作为战略合作伙伴。因此，对外包商的资格审查应从技术能力、经营管理能力和发展能力等方面着手。具体而言，应包括外包商提供信息技术产品的创新性、安全性和兼容性；外包商在信息技术方面取得的资格认证如软件厂商证书；外包商的领导层结构、员工素质、客户数量、社会评价；外包商的项目管理水平；外包商所具有的良好运营管理能力的成功案例；员工间团队的合作精神；外包商客户的满意度；外包商财务指标和盈利能力；外包商的技术费用支出合理等等。IT外包有着各种各样的利弊。在IT外包日益普遍的形势下，企业应该发挥自身的作用，应该重视外包商选择中的约束机制，应该随时洞察技术的发展变化，应该不断汲取新的知识，倡导企业内良好的IT学习氛围等，从而最大程度地保证企业IT项目的成功实施。【问题1】（4分）IT外包已成为未来发展趋势之一，那么IT外包对企业有何好处？【问题2】（4分）外包成功的关键因素之一就是选择外包商，那么你认为选择外包商的标准有哪些？【问题3】（4分）外包商资格审查的内容之一就是其经营管理能力，请简要说明外包商的经营管理能力具体应包括哪些方面？【问题4】（3分）企业的IT外包也会面临一定的风险，应采取哪些措施来控制外包风险？答案： 本题解析：【问题1】（4分）（1）可以扬长避短，集中精力发展企业的核心业务（2）可以为企业节省人员开支（3）可以减少企业的人力资源管理成本（4）可使企业获得更为专业，更为全面的热情服务【问题2】（4分）（1）良好的社会形象和信誉（2）相关行业经验丰富（3）能够引领或紧跟信息技术发展（4）具有良好的技术能力、经营管理能力和发展能力（5）加强战术和战略优势，建立长期战略关系（6）聚焦于战略思维，流程再造和管理的贸易伙伴关系答对1条1分【问题3】（4分）（1）外包商的领导层结构、员工素质、客户数量、社会评价（2）外包商的项目管理水平（3）外包商所具有的良好运营管理能力的成功案例（4）员工间团队的合作精神（5）外包商客户的满意度答对1条得1分【问题4】（3分）（1）加强对外包合同的管理（2）对整个项目体系进行科学的规划（3）对新技术要敏感（4）要不断学习，倡导良好的IT学习氛围答对1条1分【问题1】：可以扬长避短，集中精力发展企业的核心业务；可以为企业节省人员开支；可以减少企业的人力资源管理成本；可使企业获得更为专业，更为全面的热情服务。【问题2】：外包成功的关键因素之一是选择具有良好社会形象和信誉、相关行业经验丰富、能够引领或紧跟信息技术发展的外包商作为战略合作伙伴。因此对外包商的资格审查应从技术能力、经营管理能力、发展能力这三个方面着手。1、技术能力：外包商提供的信息技术产品是否具备创新性、开发性、安全性、兼容性，是否拥有较高的市场占有率，能否实现信息数据的共享；外包商是否具有信息技术方面的资格认证，如信息产业部颁发的系统集成商证书、认定的软件厂商证书等；外包商是否了解行业特点，能够拿出真正适合本企业业务的解决方案；信息系统的设计方案中是否应用了稳定、成熟的信息技术，是否符合行业发展的要求，是否充分体现了以客户为中心的服务理念；是否具备对大型设备的运行、维护、管理经验和多系统整合能力；是否拥有对高新技术深入理解的技术专家和项目管理人员。2、经营管理能力：了解外包商的领导层结构、员工素质、客户数量、社会评价；项目管理水平，如软件工程工具、质量保证体系、成本控制、配置管理方法、管理和技术人员的老化率和流动率；是否具备能够证明其良好运营管理能力的成功案例；员工间是否具备团队合作精神；外包商客户的满意程度。3、发展能力：分析外包服务商已审计的财务报告、年度报告和其他各项财务指标，了解其盈利能力；考察外包企业从事外包业务的时间、市场份额以及波动因素；评价外包服务商的技术费用支出以及在信息技术领域内的产品创新，确定他们在技术方面的投资水平是否能够支持企业的外包项目。【问题3】：1、外包商的领导层结构、员工素质、客户数量、社会评价；2、外包商的项目管理水平；3、外包商所具有的良好运营管理能力的成功案例；4、员工间团队的合作精神；5、外包商客户的满意度。【问题4】：IT外包有着各种各样的利弊，在IT外包日益普遍的浪潮中，企业应该发挥自身的作用、降低组织IT外包的风险，以最大程度地保证组织IT项目的成功实施。具体可以从以下几点入手： 加强对外包合同的管理。对于企业IT管理者而言，在签署外包合同之前应该谨慎而细致地考虑外包合同的方方面面，在项目实施过程中也要能够积极制定计划和处理随时出现的问题。 对整个项目体系的规划。企业必须对组织自身需要什么、问题在何处非常清楚，从而能够协调好与外包商之间长期的合作关系。同时IT部门也要让手下的员工积极地参与到外包项目中去。 对新技术敏感。企业IT部门应该注意供应商的技术简介、参加高技术研讨会并了解组织现在采用新技术的情况。不断评估组织的软硬件方案，并弄清市场上同类产品及其发展潜力。 不断学习。企业IT部门应该在组织内部倡导良好的IT学习氛围，以加快用户对持续变化的IT环境的适应速度。 6. 问答题：随着互联网的发展，黑客攻击、计算机病毒的破坏以及企业对信息管理、使用不当造成信息泄露问题普遍受到关注。尤其是信息泄露问题，使得相关企业承担很大的舆论压力和侵权责任，面临严重的信任危机及经济损失。为了规范信息在采集、使用、保存、分发的安全管理，企业在信息系统的规划、建设、运行维护、管理等方面都应采取一定的措施。请结合信息泄露产生的原因和特点，以及信息在保存、使用中应遵循的原则回答下面的问题。【问题1】（6分）简要回答企业避免信息泄露可以采取的安全措施有哪些？【问题2】（6分）（1）为什么说重视软件的完整性可以有效遏制黑客和病毒的泛滥。（2）采用何种技术方法来保证软件的完整性，请对该方法的工作原理简要说明。【问题3】（3分）（1）我国哪一部新修订的法律明确禁止经营者泄露消费者信息的行为？（2）经营者在收集使用消费者的个人信息时应当注意哪些问题？答案： 本题解析：【问题1】措施一：严控计算机外设端口，监控、审计所有计算机的操作行为，封锁信息外泄途径。措施二：所有重要信息集中存储，终端不留密，信息使用权限细分。措施三：通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用，划分介质使用范围与责任人。措施四：监控本地上网行为，监控员工的上网行为，避免信息从本地被转移。措施五：建立基于硬件级别的防护体系，避免众多安全防护产品基于操作系统的脆弱性。措施六：制定合适的制度，对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度，从头脑中杜绝信息泄漏。主动控制风险而不是被动地响应事件，以提高整个信息安全系统的有效性和可管理性。以上仅供参考，不同的人对信息系统安全的理解会不相同，只要从信息系统如下四个方面作答，即可：（1）风险识别、评估、控制（2）法规、机构、人员安全管理（3）技术管理（4）网络及场地管理【问题2】黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接，当用户安装该软件时，同时也就安装了木马和病毒或者访问存在安全威胁的网站。可以采用PKI中数字签名的方式1：密钥成对出现，分为：公钥和私钥，公钥对外公开，私钥只有持有者拥有。2：私钥加密必须用公钥解密。3：软件发布者用自己的私钥加密，然后将软件发布，用户可以用过其公开的公钥来验证软件的完整性，由于私钥只有持有者拥有，其签名是无法伪造的。【问题3】新修订的消费者权益保护法收集、使用信息必须合法、必要公开相关收集使用规定，收集、使用信息及发送商业信息必须取得消费者同意不得泄露、出售或非法向他人提供消费者个人信息保障个人信息安全、受损时及时采取补救措施【问题1】信息安全的风险管理首先是信息安全的风险识别、评估，进而采取有效的整改措施。对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。在具体实施中要进一步明确信息安全管理机构职能，完善信息安全制度。同时要加强信息安全的培训工作，提高管理人员职业道德水平和技术素质。落实信息系统的日志管理，采用入侵检测、数据加密、数据备份、网络安全审计、隔离等技术手段确保重要数据的安全管理。建立标准化机房，实施重点区域的人员进出登记制度等方面。从信息系统如下四个方面作答，即可：（1）风险识别、评估、控制（2）法规、机构、人员安全管理（3）技术管理（4）网络及场地管理措施一：严控计算机外设端口，监控、审计所有计算机的操作行为，封锁信息外泄途径。措施二：所有重要信息集中存储，终端不留密，信息使用权限细分。措施三：通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用，划分介质使用范围与责任人。措施四：监控本地上网行为，监控员工的上网行为，避免信息从本地被转移。措施五：建立基于硬件级别的防护体系，避免众多安全防护产品基于操作系统的脆弱性。措施六：制定合适的制度，对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度，从头脑中杜绝信息泄漏。主动控制风险而不是被动地响应事件，以提高整个信息安全系统的有效性和可管理性。【问题2】黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接，当用户安装该软件时，同时也就安装了木马和病毒或者访问存在安全威胁的网站。可以采用PKI中数字签名的方式1：密钥成对出现，分为：公钥和私钥，公钥对外公开，私钥只有持有者拥有。2：私钥加密必须用公钥解密。3：软件发布者用自己的私钥加密，然后将软件发布，用户可以用过其公开的公钥来验证软件的完整性，由于私钥只有持有者拥有，其签名是无法伪造的。【问题3】新修订的消费者权益保护法根据修改后的消费者权益保护法第二十九条：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。“经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。“经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。”7. 问答题：阅读以下说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】随着互联网的发展，黑客攻击、计算机病毒的破坏以及企业对信息管理、使用不当造成信息泄露问题普遍受到关注。尤其是信息泄露问题，使得相关企业承担很大的舆论压力和侵权责任，面临严重的信任危机及经济损失。为了规范信息在采集、使用、保存、分发的安全管理，企业在信息系统的规划、建设、运行维护、管理等方面都应采取一定的措施。请结合信息泄露产生的原因和特点，以及信息在保存、使用中应遵循的原则回答下面的问题。【问题1】 （6分) 简要回答企业避免信息泄露可以采取的安全措施有哪些？【问题2】（6分）（1）为什么说重视软件的完整性可以有效遏制黑客和病毒的泛滥。（2）采用何种技术方法来保证软件的完整性，请对该方法的工作原理简要说明。【问题3】（3分）（1）我国哪一部新修订的法律明确禁止经营者泄露消费者信息的行为？（2）经营者在收集使用消费者的个人信息时应当注意哪些问题？答案： 本题解析：【问题1】措施一：严控计算机外设端口，监控、审计所有计算机的操作行为，封锁信息外泄途径。措施二：所有重要信息集中存储，终端不留密，信息使用权限细分措施三：通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用，划分介质使用范围与责任人。措施四：监控本地上网行为，监控员工的上网行为，避免信息从本地被转移。措施五：建立基于硬件级别的防护体系，避免众多安全防护产品基于操作系统的脆弱性。措施六：制定合适的制度，对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度，从头脑中杜绝信息泄漏主动控制风险而不是被动地响应事件，以提高整个信息安全系统的有效性和可管理性以上仅供参考，不同的人对信息系统安全理解肯会不相同，只要从信息系统如下四个方面作答，即可：（1）风险识别、评估、控制（2）法规、机构、人员安全管理（3）技术管理（4）网络及场地管理【问题2】黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接，当用户安装该软件时，同时也就安装了木马和病毒或者访问存在安全威胁的网站。可以采用PKI 中数字签名的方式1：密钥成对出现，分为：公钥和私钥，公钥对外公开，私有只有持有者拥有2：私钥加密必须用公钥解密3：软件发布者用自己的私钥加密，然后将软件发布，用户可以用过其公开的公钥来验证软件的完整性，由于私钥只有持有者拥有，其签名是无法伪造的。【问题3】解析：新修订的消费者权益保护法收集、使用信息必须合法、必要公开相关收集使用规定，收集、使用信息及发送商业信息必须取得消费者同意不得泄露、出售或非法向他人提供消费者个人信息保障个人信息安全、受损时及时采取补救措施8. 问答题：【说明】某高技与家通信企业台作，对本校的一卡通系统进行升级改造，其合作的主要内容如下（1）企业承担一卡通系统升级的建设成本。（2）对一卡通系统性能进行优化，并在系统中新增手机刷卡的功能。（3）扩充门禁信息点，实现考勤工作在高校所有区域和部门的全覆盖。通过这项台作，高校在提升信息化管理水平的同时节省了信息化建设的资金投入；企业通过手机刷卡、一卡通账号绑定等方式、充值缴费等业务增加产品在学生和教职工中的占有率。高校IT部门负责该项目的组织和实施。IT部门认为原系统和新系统是同一家企业的产品，故没有安排新系统上线前的测试工作，只是对系统转换制定了计划。【问题1】（ 4分）（1）请问在该案例中，新系统上线前的测试环节是否必要？（2）简要说明测试环节是否必要的理由。【问题2】（7分） 该高校IT部门制定的系统转化计划应该包括哪些内容。【问题3】（4分） 在系统转换过程中需制定周密的风险管理计划，请指出该计划主要包括哪些方面？答案： 本题解析：【问题1】有必要系统转换测试是转换工作的排练，是为了系统转换而进行的程序功能检查。新系统没有使用过的时候，是没有真正负担实际工作的，因此在转换时可能会出现预想不到的问题【问题2】确定转换项目确定作业运行规则确定转换方法确定转换工具和转换过程转化工作执行计划风险管理计划系统转换人员计划【问题3】风险管理计划内容：（1）系统环境转换：保证所有的应用指向了新的应用系统（2）数据迁移：数据迁移的质量是新系统成功上线的重要前提，也是新系统以后稳定运行的有力保证（3）业务操作的转换：由于新旧系统业务操作方面变化大，需要进行培训和防止业务操作可能导致的问题（4）防范意外风险：要具备一套能够应对各种风险的报告、决策机制9. 问答题：某学校原购买的OA系统具有协同办公、公文管理、内部邮件、计划管理、信息发布、会议管理、车辆管理等基本功能模块，主要用于学校内部上下级单位、部门之间的公文流转、信息发布、日常事务管理等。系统的用户主要分为学校领导和部门领导，普通教职工没有使用OA系统的权限。部门内部工作部署与信息沟通主要通过传统的直接交流、文件传阅、会议讨论等方式进行。随着学校信息化建设的深入开展，学校要求全部教职工使用OA系统，以便规范管理程序，提高工作效率，促进学校管理效益的提升。考虑到原购买的OA系统在总体技术水平、功能覆盖范围等方面已经不能满足现有需求，学校从多家公司提供的产品中选定了B公司的OA系统（新系统）替换原有OA系统。该校信息化管理办公室将系统转换的计划工作安排给工程师小张来完成，并采取其他相应的措施来保证系统建设工作顺利实施。【问题1】（5分）请简述什么是管理效益，你认为新系统的全面实施应该从哪些方面对学校管理效益的提升起到促进作用？【问题2】（5分）请说明该学校要将原有OA系统转换成新系统，工程师小张做的系统转换计划应该包括哪些内容？【问题3】（5分）请结合实际项目经验说明B公司提供系统用户支持的前提是什么，新系统的用户支持方案中应该包含哪些内容？答案： 本题解析：【问题1】管理效益即社会效益，是间接的经济效益，是通过改进组织结构及运作方式、提高人员素质等途径，促使成本下降、利润增加而逐渐地间接获得的效益。对组织为适应环境所做的结构、管理制度与管理模式等的变革所起的作用系统帮助改善学校形象、对外提高客户对学校的信任度，对内增强员工的自信心和自豪感的程度使管理人员获得许多新知识、新技术与新方法和提高技能素质的作用对实现系统信息共享的共享，对提高员工写作精神及企业的凝聚力的作用系统提高企业的基础管理效率，为其他管理工作提供有利条件的作用【问题2】系统转换项目、系统转换负责人、系统转换工具、系统转换方法、系统转换时间表、系统转换费用预算、系统转换方案、用户培训、突发事件/后备处理计划等。【问题3】从用户的角度需要看清什么问题，确定用户能看到的内容的范围，针对性地提出相应的支持有明确的支持内容，如提供软件升级服务、帮助台、提供现场指导、电话支持、用户咨询服务等对用户培训【问题1】管理效益即社会效益，是间接的经济效益，是通过改进组织结构及运作方式、提高人员素质等途径，促使成本下降、利润增加而逐渐地间接获得的效益。对组织为适应环境所做的结构、管理制度与管理模式等的变革所起的作用。系统帮助改善学校形象、对外提高客户对学校的信任度，对内增强员工的自信心和自豪感的程度。使管理人员获得许多新知识、新技术与新方法和提高技能素质的作用。对实现系统信息共享的共享，对提高员工写作精神及企业的凝聚力的作用。系统提高学校的基础管理效率，为其他管理工作提供有利条件的作用。【问题2】新旧系统的转换必然带来许多问题，如旧系统的处理、新系统的选择及对日常工作的冲击等。为使新版本的系统有计划、有步骤地投入系统转换应用状态，应充分了解新系统的特点和新旧系统的差别，包括：对新旧系统的功能，数据、输入处理方式等等的比较，文件或数据的转换，业务规章的调整，等等。在进行新旧系统转换时，制定系统转换计划包括的内容有：系统转换项目、系统转换负责人、系统转换工具、系统转换方法、系统转换时间表（包括预计系统转换测试开始时间和预计系统转换开始时间）、系统转换费用预算、系统转换方案、用户培训、突发事件/后备处理计划等。【问题3】要提供用户支持，必须弄清企业对用户支持的范围是什么，通过哪些方式进行用户支持，即明确项目范围、清晰界定用户的需求。用户支持包括如下内容：软件升级服务。在服务期限内客户可根据自己的需要免费升级到新的版本和移植到新的平台。软件技术支持服务。提供基于Internet的电子化支持，提供58小时及724小时（仅限严重程度的问题）远程电话支持服务等。远程热线支持服务。提供基于Internet的电子化支持，724小时远程电话支持服务等。全面维持支持服务。提供基于Internet的电子化支持，724小时远程电话支持服务，提供客户现场技术服务。用户教育培训服务。对于软件的使用用户提供软件的使用培训，制定相应的教育培训计划，提供相关人员进行实施。提供帮助服务台，解决客户的一些常见问题。10. 问答题：阅读以下说明，回答问题 1 至问题 3，将解答填入答题纸的对应栏内。【说明】某企业的 IT 部门为了细化工作分工，理顺管理流程，安排工程师小张负责本企业的网络硬件及相关设施管理。小张在明确了工作范围后，对工作内容做了初步规划，列出了以下三项主要工作：1对网络硬件设备进行统计，登记各部门的设备并检査设备管理情况。2通过对比企业网络配置连接图，对网络设备的配置进行梳理，对用户的访问权限进行确认。3对网络运行涉及的相关设施的安全和运行情况进行检查。请结合自己的工作实际，回答以下问题。【问题 1】 （6 分）简要说明硬件设备管理应遵循的基本要求。【问题 2】 （5 分）从 ISO 网络管理模型的角度，简要说明网络管理包括哪些方面。【问题 3】（4 分）简要说明与网络相关的设施管理包括哪些内容答案： 本题解析：【问题1】所有硬件设备必须由专人负责管理： 管理员必须定期对各种办公设备进行清理检查， 确保设备处于正常使用状态； 用电设备要按时进行线路检查， 防止漏电、 打火现象、 确保设备、 库房的安全， 对故障设备应随时登记， 并及时向上级回报后妥善处理所有硬件设备应严格遵循部门制定的硬件管理条例。例如一律不得擅自外借或挪作非工作事务之用； 非本部门人员未经许可不得擅自使用本部门设备及软件； 严禁擅自对计算机中的任何数据、 程序进行删改等 硬件设备在平时应定期进行清点和检测， 发现问题的应该及时进行处理。 硬件系统应定期进行备份， 备份的硬盘要妥善保管、 做好标签，以防止数据丢失。 经常使用的硬件设备应得到清洁和维护。 各种设备使用说明、 保修卡、 用户手册等相关文字材料也应该由管理员统一收集管理后立卷归档【问题2】ISO 建立的网络管理模型： 性能管理、 配置管理、 计费管理、 故障管理、 安全管理。 其中使用最为广泛的是故障管理单元。【问题3】与网络相关的设施管理包括： 电源设备管理； 空调设备管理； 通信应急设备管理； 防护设备的管理