2022软件水平考试-中级信息系统管理工程师考试全真模拟卷3（附答案带详解）

2022软件水平考试-中级信息系统管理工程师考试全真模拟卷（附答案带详解）1. 填空题：The purpose of a programming system is to make a computer easy to use.To do this,it furnishes languages and various facilities that are in fact programs invoked and controlled by language features.But these facilities are bought at a price:the external description of a programming system is ten to twenty times as large as the external description of the computer system itself.The user finds it far easier to specify any particular function,but there are far more to choose from,and far more options and formats to remember.Ease of use is enhanced only if the time gained in functional specification exceeds the time lost in learning,remembering,and searching manuals.With modern programming systems this gain does exceed the cost,but in recent years the ratio of fain to cost seems to have fallen as more and more complex（）have been added.Because ease of use is the purpose,this radio of function to conceptual complexity is the ultimate test of system design.Neither function alone nor simplicity alone（）a good design.This point is widely misunderstood.Function,and not simplicity,has always been the measure of excellence for its designers.As soon as ease of use is held up as the criterion,each of these is seen to be（）,reaching for only half of the true goal.For a given level of function,however,that system is best in which one can specify things with the most simplicity and straightforwardness.（）is not enough.Mooers TRAC language and Algol 68 achieve simplicity as measured by the number of distinct elementary concepts.They are not,however,straightforward.The expression of the things one wants to do often requires involuted(复杂的）and unexpected combinations of the basic facilities.It is not enough to learn the elements and rules of combination;one must also learn the idiomatic usage,a whole lore of how the elements are combined in practice.Simplicity and straightforwardness proceed from conceptual（）.Every part must reflect the same philosophies and the same balancing of desiderata.Every part must use the same techniques in syntax and the analogous notions in semantics.Ease of use,then,dictates unity of design,conceptual integrity.问题1选项A.systemsB.functionsC.programsD.manuals问题2选项A.definesB.can beC.constructsD.costs问题3选项A.stabilizeB.equalizedC.unbalancedD.balanced问题4选项A.FunctionB.SystemC.StraightforwardnessD.Simplicity问题5选项A.integrityB.isolationC.durabilityD.consistency答案：BACDA 本题解析：暂无解析2. 问答题：M公司是以开发、设计、制造与销售机电设备为主的企业，其产品不仅在国内市场销售，且已进入国际市场。随着激烈的市场竞争以及企业发展，公司领导层清楚地认识到信息是企业发展的重要基础，决定投资建设管理信息系统，以满足管理工作三个层面的管理需求，即操作层的数据处理（原始数据）、战术层的数据管理（管理需求数据），以及战略层的宏观调控（宏观调控和辅助决策需求数据）。在组织完成了公司信息化建设规划后，M公司通过招标方式，确定了由L软件公司作为信息系统的开发商。L软件公司在尚不十分明确M公司需求的情况下，快速建立了一个系统模型，并不断与相关人员沟通，完善该系统模型。L软件公司开发完成了信息系统所有的功能模块，建立了与实际应用一致的系统测试环境，测试工作由各开发人员负责，每个开发人员只负责测试自己开发的模块，测试工作基本没有发现问题，之后就提交M公司使用。【问题1】（5分）操作层的数据处理、战术层的数据管理分别主要包括哪些基本内容？【问题2】（5分）L软件公司采用的信息系统开发方法是哪一种方法？该方法主要有哪些优点？【问题3】（5分）软件测试通常可分为单元测试、集成测试和系统测试，L软件公司实施的测试工作属于哪一种？集成测试的主要目标是发现什么问题？系统测试是确定哪两个方面是否符合要求？答案： 本题解析：【问题1】（5分）（1）操作层的数据处理：原始数据的采集、加工、整理。（2）战术层的数据管理：管理需求数据的汇总、分析。【问题2】（5分）（1）原型化方法。（2）便于系统分析人员与用户沟通；减少了分析过程的误解，适应需求的变更；在与用户交互中求精完善，保障了开发质量；将系统调查、系统分析、系统设计三个阶段融为一体提高了开发效率等。【问题3】（5分）（1）单元测试。（2）发现模块间的接口和通信问题；（3）确定系统的功能和性能是否符合要求。【问题1】信息系统从概念上来看是由信息源、信息处理器、信息用户和信息管理者等四大部分组成，信息源是信息的产生地，包括组织内部和外界环境中的信息，这些信息通过信息处理器的传输、加工、存储，为各类管理人员即信息用户提供信息服务，而整个的信息处理活动由信息管理者进行管理和控制，信息管理者与信息用户一起依据管理决策的需求收集信息，并负责进行数据的组织与管理，信息的加工、传输等一系列信息系统的分析、设计与实现。操作层的数据处理（原始数据）：对原始数据主要进行采集、加工、整理。战术层的数据管理（管理需求数据）：管理需求，就需要把数据变成信息。需要对其进行加工：如汇总，分析。【问题2】信息系统开发方法包括结构化开发和设计方法、面向对象的开发方法及原型方法。结构化系统分析与设计方法其基本思想是：用系统的思想，系统工程的方法，按用户至上的原则，结构化、模块化、自顶向下对信息系统进行分析与设计。具体来说，就是先将整个信息系统开发过程划分出若干个相对独立的阶段，如系统规划、系统分析、系统设计、系统实施等。在前三个阶段坚持自顶向下地对系统进行结构划分。在系统调查或理顺管理业务时，应从最顶层的管理业务入手，逐步深入到最基层。在系统分析，提出新系统方案和系统设计时，先考虑系统整体的优化。然后再考虑局部的优化问题。在系统实施阶段，则应坚持自底向上的逐步实施。原型法基本思想是凭借着系统分析人员对用户要求的理解，在强有力的软件环境支持下，快速地给出一个实实在在的模型（或称为原型、雏形），然后与用户反复协商修改，最终形成实际系统，这个模型大致体现了系统分析人员对用户当前要求的理解和用户想要实现的形式。优点：便于系统分析人员与用户沟通；减少了分析过程的误解，适应需求的变更；在与用户交互中求精完善，保障了开发质量；将系统调查、系统分析、系统设计三个阶段融为一体提高了开发效率等。面向对象方法的出发点和基本原则是尽可能模拟人类习惯的思维方式，使开发软件的方法与过程尽可能接近人类认识世界、解决问题的方法与过程。由于客观世界的问题都是由客观世界中的实体及实体相互间的关系构成的。因此把客观世界中的实体抽象为对象。【问题3】软件测试实际上分成4步：单元测试、组装测试、确认测试和系统测试，他们将按顺序进行。单元测试，对源程序中的每一个程序单元进行测试，验证每个模块是否满足系统设计说明书的要求。组装测试是将已测试过的模块组合成子系统，重点测试各模块之间的接口和联系。确认测试时对整个软件进行验收，根据系统分析说明书来考察软件是否满足要求。系统测试是将软件、硬件、网络等系统的各个部分连接起来，对整个系统进行总的功能、性能等方面的测试。3. 问答题：阅读以下说明，回答问题 1 至问题 3，将解答填入答题纸的对应栏内。【说明】某企业的 IT 部门为了细化工作分工，理顺管理流程，安排工程师小张负责本企业的网络硬件及相关设施管理。小张在明确了工作范围后，对工作内容做了初步规划，列出了以下三项主要工作：1对网络硬件设备进行统计，登记各部门的设备并检査设备管理情况。2通过对比企业网络配置连接图，对网络设备的配置进行梳理，对用户的访问权限进行确认。3对网络运行涉及的相关设施的安全和运行情况进行检查。请结合自己的工作实际，回答以下问题。【问题 1】 （6 分）简要说明硬件设备管理应遵循的基本要求。【问题 2】 （5 分）从 ISO 网络管理模型的角度，简要说明网络管理包括哪些方面。【问题 3】（4 分）简要说明与网络相关的设施管理包括哪些内容答案： 本题解析：【问题1】所有硬件设备必须由专人负责管理： 管理员必须定期对各种办公设备进行清理检查， 确保设备处于正常使用状态； 用电设备要按时进行线路检查， 防止漏电、 打火现象、 确保设备、 库房的安全， 对故障设备应随时登记， 并及时向上级回报后妥善处理所有硬件设备应严格遵循部门制定的硬件管理条例。例如一律不得擅自外借或挪作非工作事务之用； 非本部门人员未经许可不得擅自使用本部门设备及软件； 严禁擅自对计算机中的任何数据、 程序进行删改等 硬件设备在平时应定期进行清点和检测， 发现问题的应该及时进行处理。 硬件系统应定期进行备份， 备份的硬盘要妥善保管、 做好标签，以防止数据丢失。 经常使用的硬件设备应得到清洁和维护。 各种设备使用说明、 保修卡、 用户手册等相关文字材料也应该由管理员统一收集管理后立卷归档【问题2】ISO 建立的网络管理模型： 性能管理、 配置管理、 计费管理、 故障管理、 安全管理。 其中使用最为广泛的是故障管理单元。【问题3】与网络相关的设施管理包括： 电源设备管理； 空调设备管理； 通信应急设备管理； 防护设备的管理4. 问答题：某集团公司（行业大型企业）已成功构建了面向整个集团公司的信息系统，并投入使用多年。后来，针对集团公司业务发展又投资构建了新的信息系统。现在需要进行系统转换，即以新系统替换旧系统。系统转换工作是在现有系统软件、硬件、操作系统、配置设备、网络环境等条件下，使用新系统，并进行系统转换测试和试运行。直接转换方式和逐步转换方式是两种比较重要的系统转换方式。直接转换方式是指在确定新系统运行准确无误后，用新系统直接替换旧系统，中间没有过渡阶段，这种方式适用于规模较小的系统；逐步转换方式（分段转换方式）是指分期分批地进行转换。在实施系统转换过程中必须进行转换测试和试运行。转换测试的目的主要是全面测试系统所有方面的功能和性能，保证系统所有功能模块都能正确运行；转换到新系统后的试运行，目的是测试系统转换后的运行情况，并确认采用新系统后的效果。请结合说明回答以下问题。【问题1】（5分）针对该集团公司的信息系统转换你认为应该采取上述哪种转换方式？为什么？【问题2】（2分）系统转换工作的主体是实施系统转换。实施系统转换前应做哪项工作？实施系统转换后应做哪项工作？【问题3】（3分）确定转换工具和转换过程、对新系统的性能进行监测、建立系统使用文档三项工作分别属于系统转换工作哪个方面（计划、实施、评估）的工作？【问题4】（5分）在系统实施转换后，概括地说，进行系统测试应注重哪两个方面的测试？试运行主要包括哪两个方面的工作？答案： 本题解析：【问题1】（5分）逐步转换方式。直接转换方式这种方式简单，节省人员和设备费用，但风险大，一旦新系统运行起来，就会给工作造成混乱，一般只在系统规模较小或没有时间要求或不重要的情况下采用。逐步转换方式是一种混合方式，可靠性高，费用相对较低，它既避免了直接转换方式的风险性，又避免了并行转换方式转换费用高的问题，较适于规模较大的系统。【问题2】（2分）制定转换计划或制定计划转换评估或转换评价【问题3】（3分，各1分）制定计划、转换评估、实施转换。【问题4】（5分）功能测试、性能测试。测试、评价。本题主要考查系统转换的基础知识【问题1】目前常见的系统转换方式主要有4种，其分别是直接转换、试点后直接转换、逐步转换和并行转换。直接转换是在确定新的管理信息系统运行准确无误时，在某一时刻终止现行系统，启用新的管理信息系统，从旧到新系统中间没有过渡阶段。这种转换方式最简单、最节省人员和设备费用，但风险大。因此这种方式适合于处理过程不太复杂的小型简单系统或不重要的系统。试点后直接转换。某些系统有一些相同部分，例如系统中包括多个销售点、多个仓库等。转换时选择一个销售点或仓库作为试点，试点成功后，其他部分可同时进行直接转换。并行转换是指新的管理信息系统和现行系统并行工作一段时间，在新的管理信息系统运行准确无误时，替代现行系统。这种转换方式的优点是可以进行两系统的对比，发现和改正新系统中的问题，风险小、安全可靠，但缺点是费用高。这种方式适合于处理过程复杂、数据重要的系统。逐步转换是直接转换和并行转换的结合，分阶段地将新的管理信息系统的各个子系统替代旧系统。这种转换方式既避免了直接转换的高风险，又避免了并行转换的高费用问题，但这种方式的最大问题是表现在接口的增加上。由于系统的各部分之间往往相互联系，当旧系统的某些部分转换给新系统去执行时，其余部分任由旧系统来完成，于是在已转换部分和未转换部分就出现如何衔接的问题。所以，需要很好地处理新旧系统之间的接口。对于处理过程复杂、数据重要的大型复杂系统，一般多采用这种方式进行系统转换。【问题2】在实施系统转换前应制订相应的系统转换计划，该计划的内容主要包括：确定转换项目、起草作业运行规则、确定转换方法、确定转换工具和转换过程、制订转换工作执行计划等。在实施系统转换后要对转换进行评估，而评估的内容主要是系统的性能。【问题3】确定转换工具和转换过程是系统转换计划方面的内容，而对新系统的性能进行监测属于系统转换评估方面的内容，建立系统使用文档属于系统转换实施方面的工作。【问题4】在系统实施转换后，对系统进行的测试应注重功能测试和性能测试，检测新系统是否具备了相应的功能和性能。试运行主要的工作是测试和评价。5. 问答题：目前我国有一部分企业的IT管理还处在IT技术及运作管理层，即主要侧重于对IT基础设施本身的技术性管理工作。为了提升IT管理工作水平，必须协助企业在实现有效IT技术及运作管理的基础之上，通过进行IT系统管理的规划、设计和建立完成IT战略规划，真正实现IT与企业业务目标的融合。为了完成上述转变，要求企业相应地改变IT部门在组织架构中的定位，同时把IT部门从仅为业务部门提供IT支持的辅助部门改造成一个成本中心，甚至利润中心。一方面以先进的管理理念和方法、标准来为业务部门提供高质量、低成本、高效率的IT支持服务，同时依照约定的服务级别协议、监控IT服务并评价最终结果；另一方面也使IT部门所提供的服务透明化，不仅让业务部门，更让企业高层管理者清楚地知道IT部门提供了什么服务。通过将企业战略目标与信息系统整体部署，从不同层次和角度的结合来，促进企业信息化建设工作。【问题1】（5分）企业在“IT系统”上巨大的投资没有达到所期望的效果，业界称之为“信息悖论”现象，请说明企业可以采取哪些管理手段，引入哪些措施来避免“信息悖论”，提高投资效益。【问题2】（6分）请简要叙述，为了使IT部门组织架构及职责充分支持IT战略规划并使IT与业务目标趋于一致，IT部门进行组织及职责设计时应该注重哪些原则。【问题3】（4分）如果将IT部门定位为成本中心或利润中心，使IT部门从IT支持角色转变为IT服务角色。请针对成本中心与利润中心分析二者的管理有何不同。答案： 本题解析：【问题1】通过IT财务管理流程对IT服务项目的规划、实施和运作进行量化管理是一种有效的手段；IT部门的角色转换，将IT部门从一个技术支持部门转变成一个责任中心。【问题2】IT部门首先应该设立清晰的远景和目标。根据IT部门的服务内容重新思考和划分部门职能，进行组织机构调整，清晰部门职责。建立目标管理制度、项目管理制度、使整个组织的目标能够落实和分解，建立有利于组织生产的项目管理体制。作为组织机构调整、目标管理制度和项目管理体制的配套工程，建立科学的现代人力资源管理体系，特别是薪酬和考核体系。通过薪酬和考核体系的建立，促进信息中心的绩效得以提高。IT组织的柔性化，能够较好地适应企业对IT服务的需求变更及技术发展。【问题3】成本中心和利润中心均属于责任会计的范畴。成本中心是成本发生单位，一般没有收入、或仅有无规律的少量收入，其责任人可以对成本的发生进行控制；与之相对应，利润中心是既能控制成本，又能控制收入的责任单位，不但要对成本和收入负责，也要对收入和成本的差额即利润负责。成本中心，当IT部门被确立为一个成本中心时，对其IT支持和产出（服务）要进行全面核算，并从客户收费中收取补偿。这种政策要求核算所有的付现和非付现成本，确认IT服务运作的所有经济成本。利润中心，作为利润中心来运作的IT部门相当于一个独立的营利性组织，一般拥有完整的会计核算体系。在这种政策下，IT部门的管理者通常可以像一个独立运营的经济实体一样，有足够的自主权去管理IT部门，但其目标必须由组织确定。IT部门从成本中心向利润中心的转变需要清晰地界定服务模式，与业务部门进行充分的内部沟通，定义好关键性的服务等级协议，充分展现IT价值的透明度和可信度。【问题1】要改变非理性IT投资方式，就必须对IT项目的投资过程进行理性管理、研究IT项目投资的必要性和可行性、准确计量IT项目投资的成本和效益，并在此基础上进行投资评价和责任追究。IT财务管理作为重要的IT系统管理流程，可以解决IT投资预算、IT成本、效益核算和投资评价等问题，从而为高层管理提供决策支持。因此，企业要走出“信息悖论”的沼泽，通过IT财务管理流程对IT服务项目的规划、实施和运作进行量化管理是一种有效的手段。在传统的IT组织架构设计中，IT部门仅作为辅助部门，为业务部门提供IT支持。这种职能定位使得IT部门成为业务部门的“后勤部门”，再加上IT部门自身的技术壁垒，使得企业对IT项目的决策、IT项目的预算与成本等失去控制，IT部门成为名副其实的“IT黑洞”。为了改变此状况，企业要求相应地改变IT部门在组织架构中的定位，即将IT部门从一个技术支持中心改造为一个成本中心，甚至利润中心。【问题2】IT部门组织架构及职责应能充分支持IT战略规划并足以使IT与业务目标趋于一致、并且应该有明确的职责设计。因此在进行IT组织及职责设计中应注重以下原则：IT部门首先应该设立清晰的远景和目标，一个简洁清晰的远景是IT管理框架的原动力，其描述了IT部门在企业中的位置和贡献。根据IT部门的服务内容重新思考和划分部门职能，进行组织机构调整，清晰部门职责。做到重点业务突出，核心业务专人负责。建立目标管理制度、项目管理制度、使整个组织的目标能够落实和分解，建立有利于组织生产的项目管理体制。作为组织机构调整、目标管理制度和项目管理体制的配套工程，建立科学的现代人力资源管理体系，特别是薪酬和考核体系。通过薪酬和考核体系的建立，促进信息中心的绩效得以提高。IT组织的柔性化，能够较好地适应企业对IT服务的需求变更及技术发展。【问题3】成本中心和利润中心均属于责任会计的范畴。成本中心是成本发生单位，一般没有收入、或仅有无规律的少量收入，其责任人可以对成本的发生进行控制；与之相对应，利润中心是既能控制成本，又能控制收入的责任单位，不但要对成本和收入负责，也要对收入和成本的差额即利润负责。成本中心，当IT部门被确立为一个成本中心时，对其IT支持和产出（服务）要进行全面核算，并从客户收费中收取补偿。这种政策要求核算所有的付现和非付现成本，确认IT服务运作的所有经济成本。利润中心，作为利润中心来运作的IT部门相当于一个独立的营利性组织，一般拥有完整的会计核算体系。在这种政策下，IT部门的管理者通常可以像一个独立运营的经济实体一样，有足够的自主权去管理IT部门，但其目标必须由组织确定。IT部门从成本中心向利润中心的转变需要清晰地界定服务模式，与业务部门进行充分的内部沟通，定义好关键性的服务等级协议，充分展现IT价值的透明度和可信度。在实际应用中，将IT部门定位为成本中心或利润中心取决于组织业务的规模和对IT的依赖程度。一般来说，对于那些组织业务规模较大且对IT依赖程度较高的组织，可将其IT部门设立为利润中心，以真正的商业化模式进行运作。而对于那些业务量较小且对IT依赖程度不高的组织而言，将IT部门作为成本中心运作就可以达到成本控制的目的了。6. 问答题：阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】企业在应付全球化的市场变化中，战略管理和项目管理将起到关键性的作用。战略管理立足于长远和宏观，考虑的是企业的核心竞争力，以及围绕核心竞争力的企业流程再造、业务外包和供应链管理等问题；项目管理则立足于一定的时期，相对微观，主要考虑有限的目标、学习型组织和团队合作等问题。项目管理是项目管理者在有限的资源约束下，运用系统的观点、方法和理论，对项目涉及的全部工作进行有效的管理，即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价，以实现项目的目标。在领导方式上，它强调个人责任，实行项目经理负责制；在管理机构上，它釆用临时性动态组织形式，即项目小组；在管理目标上，它坚持效益最优原则下的目标管理；在管理手段上，它有比较完整的技术方法。因此，项目管理是一项复杂的工作，具有创造性，需要集权领导并建立专门的项目组织，项目负责人在项目管理中起着非常重要的作用。目前比较流行的项目管理知识体系（PMBOK)把项目管理划分为九大知识领域， 包括项目范围管理、项目进度管理、项目人力资源管理、项目沟通管理、项目采购管理等。信息系统中的项目管理同样包括此九个方面的知识领域，只不过是具体的管理对象不同而已，其基本原理是共性的。【问题1】（6分）就一家公司而言，公司的战略管理和公司所实行的项目管理，两者有何联系与区别？【问题2】（5分）公司的项目管理具有什么特点？【问题3】（4分）按照项目管理知识体系（PMBOK)对项目管理九大知识领域的划分，除了项目范围管理、项目进度管理、项目人力资源管理、项目沟通管理、项目釆购管理五个方面外，还包括哪四个方面？答案： 本题解析：【问题1】联系：两者有机联系，战略管理指导项目管理（1分），项目管理支持战略管理，没有项目管理，公司的战略目标就无法顺利实现（1分）区别：战略管理立足于长远和宏观（1分），考虑的是企业的核心竞争力，以及围绕核心竞争力的企业流程再造、业务外包和供应链管理等问题；（1分）项目管理则立足于一定的时期和相对微观（1分），考虑的是有限的目标、学习型组织和团队合作等问题（1分）【问题2】（1）管理对象是特定的软件，而不是其它对象（2）管理机构或组织具有动态性和临时性（3）需要集权领导并建立专门的项目组织（4）项目经理所起作用的重要性（5）有比较完整的技术方法（6）坚持效益最优原则下的目标管理（7）工作复杂、管理方式需科学答对一条得1分，答对5条得5分【问题3】项目成本管理、项目质量管理、项目风险管理、项目综合管理7. 问答题：教育针对通信手段的进步，需要将原有的业务系统扩展到互联网上。运行维护部门需要针对此需求制定相应的技术安全措施，来保证系统和数据的安全。【问题1】（4分）当业务扩展到互联网上后，系统管理在安全方面应该注意哪两方面？应该采取的安全测试有哪些？【问题2】（6分）由于系统与互联网相连，除了考虑病毒防治和防火墙之外，还需要专门的入侵检测系统。请简要说明入侵检测系统的功能。【问题3】（5分）数据安全中的访问控制包含两种方式，用户标识与验证和存取控制。请简要说明用户标识与验证常用的三种方法和存取控制中的两种方法。答案： 本题解析：【问题1】应注意系统管理过程规定安全性和系统管理如何协同工作。（1分）主要的测试有：软件升级、薄弱点扫描、策略检查、日志检查和定期监视。（每点1分，答出3点即可给满分3分）答案意思相同，即可酌情给分【问题2】（6分，每点1分）入侵检测系统的功能主要有：（1）实时监视网络上的数据流并进行分析，反映内外网络的连接状态；（2）内置已知网络攻击模式数据库，根据通信数据流查询网络事件并进行相应的响应；（3）根据所发生的网络时间，启用配置好的报警方式，例如E-mail等；（4）提供网络数据流量统计功能；（5）默认项设了很多的网络安全事件，保障客户基本的安全需要；（6）提供全面的内容回复，支持多种常用协议。答案意思相同，即可酌情给分【问题3】（5分）用户表示与验证常用的三种方法是：（3分，每点1分）（1）要求用户输入一些保密信息，例如用户名称和密码；（2）采用物理识别设备，例如访问卡，钥匙或令牌；（3）采用生物统计学系统，基于某种特殊的物理特征对人进行唯一性识别，例如签名、指纹、人脸和语音等。存取控制包括两种基本方法：隔离技术法限制权限法。（2分，每点1分）答案意思相同，即可酌情给分【问题1】技术安全是指通过技术方面的手段对系统进行安全保护，使计算机系统具有很高的性能，能够容忍内部错误和抵抗外来共计，主要包括系统安全和数据安全。系统安全过程规定安全性和系统管理如何协同工作，以保护机构的系统。系统管理的安全测试有薄弱点扫描、策略检查、日志检查和定期监视。【问题2】当公司业务扩展到互联网后，仅仅使用防火墙和病毒防治是远远不够的，因为入侵者可以寻找防火墙背后的后面，入侵者还可能就在防火墙内。而入侵检测系统可以提供实时的入侵检测，通过对网络行为的监视来识别网络入侵行为，并采取相应的防护手段。入侵检测系统的主要功能有：（1）实时监视网络上的数据流并进行分析，反映内外网络的连接状态；（2）内置已知网络攻击模式数据库，根据通信数据流查询网络事件并进行相应的响应；（3）根据所发生的网络时间，启用配置好的报警方式，例如E-mail等；（4）提供网络数据流量统计功能；（5）默认项设了很多的网络安全事件，保障客户基本的安全需要；（6）提供全面的内容回复，支持多种常用协议。【问题3】数据安全中的访问控制是防止对计算机及计算机系统进行非授权访问和存取，主要采用两种方式：用户标识与验证，是限制访问系统的人员；存取控制，是限制进入系统的用户所能做的操作。用户标识与验证是访问控制的基础，是对用户身份的合法性验证。3钟最常用的方法是：（1）要求用户输入一些保密信息，如用户名称和密码；（2）采用物理识别设备，例如访问卡、钥匙和令牌；（3）采用生物统计学系统，基于某种特殊的物理特征对人进行唯一性识别，例如签名、指纹、人脸和语音等。存取控制是对所有的直接存取活动通过授权进行控制，以保证计算机系统安全保密机制，是对处理状态下的信息进行保护，一般有两种方法：（1）隔离技术法。即在电子数据处理成分的周围建立屏障，以便在该环境中实施存取规则；（2）限制权限法。就是限制特权以便有效地控制进入系统的用户所进行的操作。8. 问答题：GD公司成立于1986年，是一家为客户提供各类软件解决方案的IT供应商。为了规范IT系统管理并提高管理效率，公司对各类管理流程进行了优化，除了优化组织结构、进一步明确职责外，还在日常作业调度、系统备份及恢复、输出管理和性能监控、安全管理和IT财务管理、IT服务计费及成本核算等方面制定了相应的规章制度。GD公司的IT系统管理涉及到公司诸多方面的工作，公司为集中资源做精核心业务，因而拓展了相关的外包工作。外包成功的关键因素之一是选择具有良好社会形象和信誉、相关行业经验丰富、经营管理水平高、有发展潜力、能够引领或紧跟信息技术发展的外包商作为战略合作伙伴。IT外包有着各种各样的利弊。利在于GD公司能够发挥其核心技术，集中资源做精核心业务；弊在于公司会面临一定的外包风险。为了最大程度地保证公司IT项目的成功实施，就必须在外包合同、项目规划、市场技术变化、风险识别等方面采取措施以控制外包风险。【问题1】（5分）GD公司在IT系统管理方面，应该制定哪些方面的运作管理规章制度，以使公司的IT系统管理工作更加规范化？【问题2】（5分）GD公司对外包商进行资格审查时，应重点关注外包商的哪三种能力？请对这三种能力作简要解释。【问题3】（5分）为了最大程度地保证公司IT项目的成功实施，就必须采取措施控制外包风险，那么控制外包风险的措施有哪些？答案： 本题解析：【问题1】（5分）制度如下：日常作业调度手册；系统备份及恢复手册；输出管理和性能监控及优化手册；常见故障处理方法：终端用户计算机使用制度；安全管理制度；IT财务管理制度；IT服务计费及成本核算的规范化管理流程；新系统转换流程：IT资源及配置管理等。【问题2】（5分）（1）三方面能力：技术能力（1分）、经营管理能力（1分）、发展能力（1分）。（2）解释内容（2分）技未能力：外包商提供的信息技术产品的创新性、开放性、安全性、兼容性等；信息技术方面的资格认证；对大型设备的运维和多系统整合能力等。经营管理能力：外包商的领导结构、员工素质、客户数量、社会评价和项目管理水平，有良好运营管理能力的成功案例；团队合作精神；客户满意度等。发展能力：分析财务报告、年度报告、财务指标情况，了解其盈利能力；从事外包。业务的时间和市场份额；技术费用支出情况等。【问题3】（5分）控制风险的措施主要有：加强对外包合同的管理；对整个项目体系进行科学规划；要具有新技术的敏感性；要不断地学习；要学会能够随时识别风险；要能够对风险进行科学评估；要具有风险意识。【问题1】从IT管理部门而言，包括IT战略制定及应用系统规划、网络及基础设施管理、系统日常运行管理、人员管理、成本计费管理、资产管理、故障管理、性能/能力管理、维护管理、安全管理等方面。系统日常操作管理：对于确保计算机系统满足业务的需要，并完整、及时地处理有效的操作是必不可少的。操作管理包括对服务器等设备定期维护、定期评价性能报告、备份系统及数据、建立紧急情况处理流程、定期检查系统日志和其他审核跟踪记录，以便发现非正常操作或未经授权的访问、合理安排系统资源满足IT需求。另外操作管理还有一项重要制度就是将操作流程制成文件并予以归档，并定期测试、修改。IT人员管理：人员管理的首要目的是IT部门内部职责的有效划分、让职员理解自身的职责。其他相关的目的还包括定期的职员业绩评定、与职业发展相关的员工培训计划。IT财务管理：使管理人员能够进行IT成本收益分析，并证明IT的价值。包括制订正式的IT预算、各企业单位的IT成本的测量和评估、按照IT组织和各企业单位之间的SLA，进行IT服务计费、比照预算，对实际IT成本进行监控，包括差异分析、IT资产和服务的标准采购程序。故障管理：其目的就是在出现故障的时候，依据事先约定的事故处理优先级别尽可能快地恢复服务的正常运作，避免业务中断，以确保最佳的服务可用性级别。所谓故障是指任何不符合标准操作且已经引起或可能引起服务中断和服务质量下降的事件。性能/能力：能力管理不仅要考虑企业计算性能对IT服务可用性和稳定性，还要综合考虑各IT组件及相互配合关系对整体服务能力的影响，以及为达到一定级别的服务能力所需花费的成本。资源管理：IT资源管理主要是摸清企业的各类IT资源，并对其进行跟踪，记录IT资产的需求、配置、调换、分级以及最终报废的历史情况，提供IT资产的生命周期管理，为成本管理提供完整的IT资产数据。在此基础上整合、优化利用企业整个IT资源。安全管理：主要包括安全制度和组织的设定、物理和系统安全管理、外部通信的安全等方面的内容。安全管理确保以下事情：只向授权职员提供访问权；经常评估访问级别和安全违反情况；及时从系统中删除被解雇职员的信息。进行用户账号的设置、修改和及时删除的程序。应用软件的功能限制在与雇员的工作职责相当的程度范围之内。【问题2】外包成功的关键因素之一是选择具有良好社会形象和信誉、相关行业经验丰富、能够引领或紧跟信息技术发展的外包商作为战略合作伙伴。因此对外包商的资格审查应从技术能力、经营管理能力、发展能力这三个方面着手。1、技术能力：外包商提供的信息技术产品是否具备创新性、开发性、安全性、兼容性，是否拥有较高的市场占有率，能否实现信息数据的共享；外包商是否具有信息技术方面的资格认证，如信息产业部颁发的系统集成商证书、认定的软件厂商证书等；外包商是否了解行业特点，能够拿出真正适合本企业业务的解决方案；信息系统的设计方案中是否应用了稳定、成熟的信息技术，是否符合行业发展的要求，是否充分体现了以客户为中心的服务理念；是否具备对大型设备的运行、维护、管理经验和多系统整合能力；是否拥有对高新技术深入理解的技术专家和项目管理人员。2、经营管理能力：了解外包商的领导层结构、员工素质、客户数量、社会评价；项目管理水平，如软件工程工具、质量保证体系、成本控制、配置管理方法、管理和技术人员的老化率和流动率；是否具备能够证明其良好运营管理能力的成功案例；员工间是否具备团队合作精神；外包商客户的满意程度。3、发展能力：分析外包服务商已审计的财务报告、年度报告和其他各项财务指标，了解其盈利能力；考察外包企业从事外包业务的时间、市场份额以及波动因素；评价外包服务商的技术费用支出以及在信息技术领域内的产品创新，确定他们在技术方面的投资水平是否能够支持企业的外包项目。【问题3】外包有着各种各样的利弊。在IT外包日益普遍的浪潮中，企业应该发挥自身的作用、降低组织IT外包的风险，以最大程度地保证组织IT项目的成功实施。具体而言，可从以下几点入手：1、加强对外包合同的管理。对于企业IT管理者而言，在签署外包合同之前应该谨慎而细致地考虑到外包合同的方方面面，在项目实施过程中也要能够积极制定计划和处理随时出现的问题。使得外包合同能够不断适用变化，以实现一个双赢的局面。2、对整个项目体系的规划。企业必须对组织自身需要什么、问题在何处非常清楚，从而能够协调好与外包商之间长期的合作关系。同时IT部门也要让手下的员工积极地参与到外包项目中去。比如：网络标准、软硬件协议以及数据库的操作性能等问题都需要客户方积极地参与规划。企业应该委派代表去参与完成这些工作，而不是仅仅在合同中提出我们需要哪些。3、对新技术敏感。要想在技术飞速发展的全球浪潮中获得优势，组织必须尽快掌握出现的新技术并了解其潜在的应用。企业IT部门应该注意供应商的技术简介、参加搞技术研讨会并了解组织现在采用新技术的情况。不断评估组织的软硬件方案，并弄清市场上同类产品及其发展潜力。这些工作必须由企业IT部门负责，而不是依赖于第三方。4、不断学习。企业IT部门应该在组织内部倡导良好的IT学习氛围，以加快用户对持续变化的IT环境的适用速度。外包并不意味着企业内部IT部门的事情就少了，整个组织更应该加强学习，因为外包的目的并不是把一个IT项目包出去，而是为了让这个项目能够更好地为组织的日常运作服务。9. 问答题：阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。 【说明】 某学校原购买的OA系统具有协同办公、公文管理、内部邮件、计划管理、信息发布、会议管理、车辆管理等基本功能模块，主要用于学校内部上下级单位、部门之间的公文流转、信息发布、日常事务管理等。系统的用户主要分为学校领导和部门领导，普通教职工没有使用OA系统的权限。部门内部工作部署与信息沟通主要通过传统的直接交流、文件传阅、会议讨论等方式进行。 随着学校信息化建设的深入开展，学校要求全部教职工使用OA系统，以便规范管理程序，提高工作效率，促进学校管理效益的提升。考虑到原购买的OA系统在总体技术水平、功能覆盖范围等方面已经不能满足现有需求，学校从多家公司提供的产品中选定了B公司的OA系统（新系统）替换原有OA系统。该校信息化管理办公室将系统转换的计划工作安排给工程师小张来完成，并采取其它相应的措施来保证系统建设工作顺利实施。 【问题1】（5分）请简述什么是管理效益你认为新系统的全面实施应该从哪些方面对学校管理效益的提升起到促进作用？【问题2】（5分）请说明该学校要将原有OA系统转换成新系统，工程师小张做的系统转换计划应该包括哪些内容？【问题3】（5分）请结合实际项目经验说明B公司提供系统用户支持的前提是什么，新系统的用户支持方案中应该包含哪些内容？答案： 本题解析：【问题1】管理效益即社会效益，是间接的经济效益，是通过改进组织结构及运作方式、提高人员素质等途径，促使成本下降、利润增加而逐渐地间接获得的效益。对组织为适应环境所做的结构、管理制度与管理模式等的变革所起的作用系统帮助改善学校形象、对外提高客户对学校的信任度，对内增强员工的自信心和自豪感的程度使管理人员获得许多新知识、新技术与新方法和提高技能素质的作用对实现系统信息共享的共享，对提高员工写作精神及企业的凝聚力的作用系统提高企业的基础管理效率，为其他管理工作提供有利条件的作用【问题2】系统转换项目、系统转换负责人、系统转换工具、系统转换方法、系统转换时间表、系统转换费用预算、系统转换方案、用户培训、突发事件/后备处理计划等。【问题3】从用户的角度需要看清什么问题，确定用户能看到的内容的范围，针对性地提出相应的支持有明确的支持内容，如提供软件升级服务、帮助台、提供现场指导、电话支持、用户咨询服务等对用户培训10. 问答题：某日，数据机房管理员记录了三项与IT系统安全相关的工作日志，内容分别是：1.管理员更换了数据机房服务器A的某块损坏的硬盘后，数据自动从该服务器其他硬盘恢复。2.管理员发现数据机房设备供电来自UPS系统，并了解到机房恢复正常供电（市电）在短时间内不能确定。通过电话告知相关业务系统主管后关闭了服务器。3.用户李某反映自己误操作删除了服务器B中的某个重要文件，要求管理员恢复。管理员从备份服务器进行了恢复并将该事项记录为意外失误。请从IT系统安全管理的角度对日志内容进行分析，并回答下列问题。【问题1】（4分）本案例中服务器硬盘数据恢复采用的是（）技术，该项技术中安全性最高级别是（）。（1）A.RAID?B.ACID C.RollBack D.Undo（2）A.Read committed B.RAID5?C.Serializable D.RAID1【问题2】（7分）（1）机房供电（市电）中断后，管理员的操作是否恰当？其依据是什么。（2）UPS系统属于环境安全的范畴，说出还有哪些与环境安全相关的保障机制。【问题3】（4分）你认为能否通过设置访问控制来避免用户误操作删除文件这样的安全事件发生，并简要说明理由。答案： 本题解析：【问题1】（1）A（2）D【问题2】正确由于数据机房是UPS供电，而市电短时间内不能确定恢复，为了避免由于UPS电池耗尽而导致数据中心掉电，应该在UPS电池耗尽前，关闭相关服务器。防火系统、温度控制系统、湿度控制系统、防静电地板、隐蔽线路敷设、电磁防护等。【问题3】不能完全避免，误操作是用户在有权限的前提下进行的操作，访问控制只能限制用户是否能访问该文件，限制具备的权限等。在用户不需要具备删除权限时可以实现，当用户工作需要有删除权限时则不能实现，本题中这种只能通过备份还原方式来恢复。【问题1】依据题干1的描述，应该是采用磁盘冗余技术：RAID，RAID 1的数据安全性在所有的RAID级别上来说是最好的。但是其磁盘的利用率却只有50%，是所有RAID级别中最低的。【问题2】由于数据机房是UPS供电，而市电短时间内不能确定恢复，为了避免由于UPS电池耗尽而导致数据中心掉电，应该在UPS电池耗尽前，关闭相关服务器。防火系统、温度控制系统、湿度控制系统、防静电地板、隐蔽线路敷设、电磁防护等。【问题3】不能完全避免，误操作是用户在有权限的前提下进行的操作，访问控制只能限制用户是否能访问该文件，限制具备的权限等。在用户不需要具备删除权限时可以实现，当用户工作需要有删除权限时则不能实现，本题中这种只能通过备份还原方式来恢复。