全部科目 > 信息系统监理师 >
2011年下半年 上午试卷 综合知识
第 67 题
知识点 风险管理   风险评估   评估   信息安全  
关键词 安全风险   风险评估   信息安全   安全   风险  
章/节 信息系统工程监理概念  
 
 
信息安全风险评估(67)。
 
  A.  只需要实施一次就可以
 
  B.  应该根据变化了的情况定期或不定期地适时进行
 
  C.  不需要形成文件化评估结果报告
 
  D.  仅对网络做定期的扫描就行
 
 




 
 
相关试题     项目管理知识体系 

  第36题    2012年上半年  
项目质量管理由(36)、质量控制和质量保证三方面构成。

  第37题    2011年上半年  
项目质量管理由质量计划编制、质量控制和(36)三方面构成。(37)是为使项目能够满足相关的质量标准而建立的有计划的、系统的活动。

  第37题    2017年上半年  
信息系统项目管理的14要素中立项管理和( )是由建设单位重点实施的。

 
知识点讲解
· 风险管理
· 风险评估
· 评估
· 信息安全
 
        风险管理
        风险是指对无法达到预定目标的可能性和结果的一种测评,是可能给项目的成功带来威胁或损害的可能性。“风险”一词包含着“不确定性”。对于某个既定事件而言,风险包含两个要素:一是某事件发生的可能性;二是该事件发生所带来的影响。
        风险管理就是要在风险成为影响项目成功的威胁之前,识别、着手处理并消除风险的源头。项目风险管理就是项目管理者通过风险识别、风险估计和风险评价,并以此为基础合理地使用多种管理方法、技术和手段对项目活动涉及的风险实行有效的控制,采取主动行动、创建条件、可靠地实现项目的总体目标。项目风险管理是一种综合性的管理活动,其理论和实践涉及自然科学、社会科学、工程技术、系统科学、管理科学等多种学科。项目风险管理就是对项目寿命周期中可能遇到的风险进行预测、识别、评估、分析,并在此基础上有效地处置风险,以最低成本实现最大的安全保障。其中多数过程在整个项目期间都需要更新。项目风险管理的目标在于增加积极事件的概率和影响,降低消极事件的概率和影响。项目风险管理过程包括:
        (1)风险管理规划。决定如何进行、规划和实施项目风险管理活动。
        (2)风险识别。判断哪些风险会影响项目,并以书面形式记录其特点。
        (3)定性风险分析。对风险概率和影响进行评估和汇总,进而对风险进行排序,以便于随后的进一步分析或行动。
        (4)定量风险分析。就识别的风险对项目总体目标的影响进行定量分析。
        (5)应对计划编制。针对项目目标制订提高机会、降低威胁的方案和行动。
        (6)风险监控。在整个项目生命周期中,跟踪已识别的风险、监测残余风险、识别新风险,实施风险应对计划,并对其有效性进行评估。
 
        风险评估
        一种对风险评估很有用的技术就是定义风险参照水准。对于大多数软件项目来说,成本、进度和性能就是三种典型的风险参照水准。也就是说,对于成本超支、进度延期、性能降低(或它们的某种组合),有一个表明导致项目终止的水准。
        在进行风险评估时,需要建立(rilixi)形式的三元组。其中,ri表示风险,li表示风险发生的概率,xi则表示风险产生的影响。在风险评估过程中,需要执行以下4个步骤:
        (1)定义项目的风险参考水平值。
        (2)建立每一组(rilixi)与每一个参考水平值之间的关系。
        (3)预测一组临界点以定义项目终止区域,该区域由一条曲线或不确定区域所界定。
        (4)预测什么样的风险组合会影响参考水平值。
 
        评估
        评估测试不只针对物理设备,更重要的是要评估、比较各种网络技术。通常使用模拟测试配置和模拟负载进行子系统(如路由器)和网络技术(如ATM或FDDI等)的评估。评估测试不适用于全局网络,因为全局网络拓扑负载、网络设备太多,不好准确定位引起问题的原因和位置,不能进行有效的比较。多数评估测试在专用的子网测试环境中进行。
        很多公司都有其固定合作的网络设备供应商,如路由器、集线器或交换机的供应商,通常很少再做设备比较测试,但网络技术的比较测试需要经常进行。企业经常面对选择哪种技术以及怎样比较不同技术的问题,所以技术评估是评估测试中很重要的一项。
        在比较设备与技术时,除了使用专用于待测设备或技术的工程负载外,有经验的程序员也使用真实负载,使用真实负载可以了解待测设备或技术在特定环境下的运行性能。通过两种负载模式检测结果的比较,可以获知待测设备还有多少多余容量。
        评估测试与设备或技术的功能/特征测试一样,用于比较待测设备或技术的性能、稳定性、特性、易用性配置和管理等方面的功能。
        评估测试实质是衰减测试的基础,评估测试中对几种设备或技术进行比较;衰减测试中对同一设备的不同版本进行比较。测试中选择设备的标准也完全可作为验证升级版本工作正常与否的标准。尽可能多地集成在计划/设计阶段进行测试是非常好的方法,最初的产品评估测试可以被开发阶段的可接受性测试和升级阶段的衰减性测试所借鉴。
        评估测试是最常进行的测试,在设备选型、技术选型,以及网络系统升级过程中都要进行或多或少的评估测试。
        用于评估测试的负载模式和测试脚本要能有效覆盖被检测的设备和技术。常使用最好情形(工程负载)和真实负载模式进行测试,两种方式都提供了唯一的、重要的检测结果,测试人员要能够理解、解释测试结果间的不同。
        工程检测结果是被测设备和技术在最理想的情形下测试得到的结果,因此不能在真实运行环境里显示它们的运行性能;真实检测结果能很好地显示待测设备或技术在运行网络环境中的性能,但无法预测设备的总容量。如果时间允许,两种测试都要做。通常测试人员只有时间进行一种测试,一般进行最好情形的测试。许多公开发行的测试报告都是基于最好情形(工程负载)下的测试结果。
        所有的测试配置都是模拟的。用于设备比较的测试配置不一定要代表运行网络的典型配置,任何有效、公正的测试配置都能对被测产品进行很好的比较。然而,测试配置和负载越接近运行网络的配置和负载,测试的结果越能反映被测设备在运行网络中的运行情况。
        在安装和配置测试网络时必须注意:要确保配置中所有测试组件都是最新版本,使测试尽可能地公正和统一,以取得最好的测试结果。在测试非正式版时一定要小心,因为发布日期经常有错误。测试配置中安装了非正式版后,它还可能会变,所以非正式版的测试结果和正式版的测试结果经常不一致,分析非正式版的设备经常会延误项目的进行。
        进行评估测试时,除了被测设备,测试配置中的所有网络组件都要保持不变。这一点非常重要,只有这样才能保证被测设备可以进行公平比较。对于子网,这一点很容易做到(一个网络设备很容易被另一个设备所替代)。
        网络技术评估要比较各种网络技术,因而测试配置中的几个网络组件都需要更换。重要的是不要改变源或目标配置。在配置中不仅通信线路需要更换,路由器也需要更换。传输负载和端点的配置要保持不变。
        需要评估测试计划中的各个测试任务,逐步完成测试、数据收集和数据解释。在评估测试中,各测试进行的先后次序没有关系,因为它们不是线性关系,而是多次重复进行的。当在测试中发现了新的信息时,以前所做的测试可能要重新进行以确定它的测试结果,或要对以前的测试稍作改变以检验网络运行的其他方面。此外,在评估期间设备提供商经常发布新的版本或非正式的版本,所以各种基于这种设备的测试都要重新进行。
        制定网络设备、技术比较或取舍标准时,不仅要参考评估测试所得的测试结果数据,还要综合考虑其他一些信息,如各设备的性能价格比,但由于没有运行网络的持续和峰值负载要求,所以缺少比较基准,往往将产品评估测试引入歧途。
        最后要根据评估测试所得的数据和图表对网络系统作出总结性评估,并撰写网络系统评估报告。
 
        信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有