免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2008年上半年 信息系统项目管理师 上午试卷 综合知识
  第24题      
  知识点:   软件质量保证及质量评价   3G   ISO   安全管理   国际标准   信息安全   信息安全管理
  关键词:   3G   ITU   IT服务   国际标准   信息安全管理   安全   安全管理   信息安全        章/节:   信息系统及其技术和开发方法       

 
2005年12月,ISO正式发布了①作为IT服务管理的国际标准;2007年10月,ITU接纳②为3G标准;2005年10月,ISO正式发布了③作为信息安全管理国际标准。①、②和③分别是(24)。
 
 
  A.  ①ISO27000②IEEE802.16③ISO20000
 
  B.  ①ISO27000②ISO20000③IEEE802.16
 
  C.  ①ISO20000②IEEE802.16③ISO27000
 
  D.  ①IEEE802.16②ISO20000③ISO27000
 
 
 

 
  第49题    2009年上半年  
   47%
软件质量强调三个方面的内容:(48)是测试软件质量的基础;(49)定义了一组用于指导软件开发方式的准则;(50)间接定义了用户..
  第50题    2009年上半年  
   60%
软件质量强调三个方面的内容:(48)是测试软件质量的基础;(49)定义了一组用于指导软件开发方式的准则;(50)间接定义了用户..
  第6题    2008年上半年  
   54%
在软件质量模型中,比较有代表性的有 McCall提出的软件质量模型。在这个质量模型中,软件的质量特性被分成了三组,即产品转移、产..
   知识点讲解    
   · 软件质量保证及质量评价    · 3G    · ISO    · 安全管理    · 国际标准    · 信息安全    · 信息安全管理
 
       软件质量保证及质量评价
        软件质量定义
        软件“产品质量”国际标准ISO 9126定义的软件质量包括“内部质量”、“外部质量”和“使用质量”三部分。此质量模型中又将内部质量和外部质量分成6个质量特性,分别为功能性、可靠性、易用性、效率、可维护性和可移植性;将使用质量分成4个质量属性,分别为有效性、生产性、安全性、满意度。
        McCall质量模型是1979年由McCall等人提出的软件质量模型。它将软件质量的概念建立在11个质量特性之上,而这些质量特性分别是面向软件产品的运行、修正和转移的,如下图所示。
        
        McCall质量模型
        软件质量管理过程包括质量保证过程、验证过程、确认过程、评审过程、审计过程等。
        软件质量保证
        软件质量保证是指为保证软件系统或软件产品充分满足用户要求的质量而进行的有计划、有组织的一组活动。
        验证与确认
        验证是确定软件开发过程中的一个给定阶段的产品是否达到前面阶段确立的需求的过程。
        确认是指在软件开发过程结束时对软件进行评价,以确认它和需求是否相一致的过程。
        评审与审计
        评审与审计过程包括管理评审、技术评审、检查、走查、审计等。
        管理评审的目的是监控进展,决定计划和进度的状态,确认需求及其系统分配,或评价用于达到目标的管理方法的有效性。
        技术评审的目的是评价软件产品,识别其和规格说明及标准的差异,并向管理提供证据,以表明产品是否满足规格说明并遵从标准。
        检查的目的是检测和识别软件产品的异常。一次检查通常针对产品的一个相对小的部分。发现的任何异常都要记录到文档中,并提交。
        走查类似于检查,但通常不那么正式,走查主要由同事评审其工作,以作为一种保障技术。
        软件审计的目的是提供软件产品和过程对于可应用的规则、标准、指南、计划和流程的遵从性的独立评价。审计是正式组织的活动,识别违例情况,并产生报告,采取更正性行动。
 
       3G
        3G全称第三代移动通信技术,相对1995年问世的第一代模拟制式手机(1G)和1996—1997年出现的第二代GSM、CDMA等数字手机(2G),第三代手机一般是指将无线通信与国际互联网等多媒体通信结合的新一代移动通信系统。
        第三代手机能够处理图像、音乐、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。为了提供这种服务,无线网络必须能够支持不同的数据传输速度,也就是说,在室内、室外和行车的环境中能够分别支持至少2MB/s、384KB/s以及144KB/s的传输速度。
        国际上3G手机有三种制式标准:欧洲的WCDMA标准、美国的CDMA2000标准和由中国科学家提出的TD-SCDMA标准。
               WCDMA
               WCDMA,全称为Wideband CDMA,也称为CDMA Direct Spread,意为宽频分码多重存取,这是基于GSM网发展出来的3G技术规范,是欧洲提出的宽带CDMA技术,它与日本提出的宽带CDMA技术基本相同,目前正在进一步融合。WCDMA的支持者主要是以GSM系统为主的欧洲厂商,包括欧美的爱立信、阿尔卡特、诺基亚、朗讯、北电,以及日本的NTT、富士通、夏普等厂商。该标准提出了GSM(2G)-GPRS-EDGE-WCDMA(3G)的演进策略。这套系统能够架设在现有的GSM网络上,对于系统提供商而言可以较轻易地过渡。因此WCDMA具有先天的市场优势。WCDMA已是当前世界上采用的国家及地区最广泛的,终端种类最丰富的一种3G标准,占据全球80%以上市场份额。
               CDMA2000
               CDMA2000是由窄带CDMA(CDMA IS95)技术发展而来的宽带CDMA技术,也称为CDMA Multi-Carrier,它是由美国高通北美公司为主导提出,摩托罗拉、Lucent和后来加入的韩国三星都有参与,韩国成为该标准的主导者。这套系统是从窄频CDMAOne数字标准衍生出来的,可以从原有的CDMAOne结构直接升级到3G,建设成本低廉。但使用CDMA的地区只有日、韩和北美,所以CDMA2000的支持者不如W-CDMA多。不过CDMA2000的研发技术却是目前各标准中进度最快的,许多3G手机已经率先面世。该标准提出了从CDMAIS95(2G)-CDMA20001x-CDMA20003x(3G)的演进策略。CDMA20001x被称为2.5代移动通信技术。CDMA20003x与CDMA20001x的主要区别在于应用了多路载波技术,通过采用三载波使带宽提高。中国电信正在采用这一方案向3G过渡,并已建成了CDMAIS95网络。
               TD-SCDMA
               全称为Time Division-Synchronous CDMA(时分同步CDMA),该标准是由中国大陆独自制定的3G标准,1999年6月29日,中国原邮电部电信科学技术研究院(大唐电信)向ITU提出,但技术发明始于西门子公司,TD-SCDMA具有辐射低的特点,被誉为绿色3G。该标准将智能无线、同步CDMA和软件无线电等当今国际领先技术融于其中,在频谱利用率、对业务支持具有灵活性、频率灵活性及成本等方面的独特优势。另外,由于中国内地庞大的市场,该标准受到各大主要电信设备厂商的重视,全球一半以上的设备厂商都宣布可以支持TD-SCDMA标准。该标准提出不经过2.5代的中间环节,直接向3G过渡,非常适用于GSM系统向3G升级。军用通信网也是TD-SCDMA的核心任务。相对于另两个主要3G标准CDMA2000和WCDMA,它的起步较晚,技术不够成熟。
 
       ISO
        国际标准化组织(International Standardization Organization, ISO)成立于1947年,是世界上最庞大的国际标准化专门机构,也是联合国的甲级咨询机构。ISO每个标准的制定过程要经历下面的5个步骤。
        (1)每个技术委员会根据其工作范围拟定相应的工作计划,并报理事会下属的计划委员会批准。
        (2)相应的分技术委员会的工作组根据计划编写原始工作文件,称为工作草案。
        (3)分技术委员会或工作组再把工作草案提交技术委员会或分技术委员会作为待讨论的标准建议,称委员会草案(Committee Draft, CD),而ISO则要给每个CD分配一个唯一的编号,相应的文件被标记为ISO CD××××。委员会草案CD之间的文件叫作建议草案(Draft Proposal, DP)。
        (4)技术委员会将委员会草案发给其成员征求意见。若CD得到大多数成员的同意,则委员会草案(CD)就成为国际标准草案(Draft International Standard, DIS),其编号不变。
        (5)ISO的中央秘书处将DIS分别送给ISO的所有成员国投票表决。有75%的成员国赞成则通过。经ISO的理事会批准以后就成为正式的国际标准(International Standard, IS),其编号不变,标记为ISO××××。
 
       安全管理
        安全管理的目标是将信息资源和信息安全资源管理好。安全管理是信息系统安全能动性的组成部分。大多数事故的发生,与其说是技术原因,还不如说是由管理不善导致的。安全管理要贯穿于信息系统规划、设计、建设、运行和维护各阶段。
               安全管理政策法规
               信息安全管理政策法规包括国家法律和政府政策法规和机构和部门的安全管理原则。信息系统法律的主要内容有:信息网络的规划与建设、信息系统的管理与经营、信息系统的安全、信息系统的知识产权保护、个人数据保护、电子商务、计算机犯罪、计算机证据与诉讼。信息安全管理涉及的方面有:人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理、审计管理。
               信息安全管理的总原则有:规范化、系统化、综合保障、以人为本、主要负责人负责、预防、风险评估、动态发展、注重实效、均衡防护。安全管理的具体原则有:分权制衡、最小特权、标准化、选用成熟的先进技术、失效保护、普遍参与、职责分离、审计独立、控制社会影响、保护资源和效率。
               我国的信息安全管理的基本方针是:兴利除弊,集中监控,分级管理,保障国家安全。
               安全机构和人员管理
               国家信息安全机构是国家最上层安全机构的组成部分。国家信息安全强调的是国家整体上的信息安全性,而不仅是某一个部门或地区的信息安全。而各部门、各地区又确实存在个体差异,对于不同行业领域来说,信息安全具有不同的涵义和特征,国家的信息安全保障体系的战略性必须涵盖部门和地区信息安全保障体系的相关内容。
               为保证信息系统的安全,各信息系统使用单位也应建立信息系统安全管理机构。建立信息系统安全管理机构的第一步是确定系统安全管理员的角色,并组成安全管理小组。安全管理小组制定出符合本单位需要的信息安全管理策略,具体包括:安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估原则等内容。并尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
               信息系统的运行是依靠各级机构的工作人员来具体实施的,安全人员既是信息系统安全的主体,也是系统安全管理的对象。要加强人员管理,才能增强人们的安全意识,增强他们对安全管理重视的程度和执行的力度。首先要加强人员的审查、培训和考核工作,并与安全人员签订保密合同,调离不合格的人员,并做好人员调离的后续工作,承诺调离后的保密任务,收回其权限、钥匙、证件、相关资料等。安全人员管理的原则有:从不单独一个人、限制使用期限、责任分散、最小权限。
               技术安全管理
               技术安全管理包括如下内容。
               (1)软件管理:包括对操作系统、应用软件、数据库、安全软件和工具软件的采购、安装、使用、更新、维护和防病毒的管理等。
               (2)设备管理:对设备的全方位管理是保证信息系统建设的重要条件。设备管理包括设备的购置、使用、维修和存储管理。
               (3)介质管理:介质在信息系统安全中对系统的恢复、信息的保密和防止病毒方面起着关键作用。介质管理包括将介质分类、介质库的管理、介质登记和借用、介质的复制和销毁以及涉密介质的管理。
               (4)涉密信息管理:包括涉密信息等级的划分、密钥管理和密码管理。
               (5)技术文档管理:包括技术文档的密级管理和使用管理。
               (6)传输线路管理:包括传输线路管理和网路互连管理。传输线路上传送敏感信息时,必须按敏感信息的密级进行加密处理。重要单位的计算机网络于其他网络的连接与计算机的互连需要经过国家有关单位的批准。
               (7)安全审计跟踪:为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
               (8)公共网络连接管理:是指对单位或部门通过公共网络向公众发布信息和提供有关服务的管理,和对单位或部门从网上获得有用信息的管理。
               (9)灾难恢复:灾难恢复是对偶然事故的预防计划,包括制定灾难恢复策略和计划和灾难恢复计划的测试与维护。
               网络管理
               网络管理是指通过某种规程和技术对网络进行管理,从而实现:①协调和组织网络资源以使网络的资源得到更有效的利用;②维护网络正常运行;③帮助网络管理人员完成网络规划和通信活动的组织。网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化组织(ISO)在相关标准和建议中定义了网络管理的五种功能,即:
               (1)故障管理:对计算机网络中的问题或故障进行定位,主要的活动是检测故障、诊断故障和修复故障。
               (2)配置管理:对网络的各种配置参数进行确定、设置、修改、存储和统计,以增强网络管理者对网络配置的控制。
               (3)安全管理:网络安全包括信息数据安全和网络通信安全。安全管理可以控制对计算机网络中的信息的访问。
               (4)性能管理:性能管理可以测量网络中硬件、软件和媒体的性能,包括整体吞吐量、利用率、错误率和响应时间,帮助管理者了解网络的性能现状。
               (5)计费管理:跟踪每个个人和团体用户对网络资源的使用情况,并收取合理的费用。
               场地设施安全管理
               信息系统的场地与设施安全管理要满足机房场地的选择、防火、火灾报警及消防措施、防水、防静电、防雷击、防辐射、防盗窃、防鼠害,以及对内部装修、供配电系统等的技术要求。并完成出入控制、电磁辐射防护和磁辐射防护工作。
 
       国际标准
        1946年成立的国际标准化组织负责制定各种国际标准,ISO有89个成员国家,85个其他成员。ISO的任务是促进全球范围内的标准化及其有关活动,以利于国际间产品与服务的交流,以及在知识、科学、技术和经济活动中发展国际间的相互合作。例如,ISO开发了开放式系统互连网络结构模型,模型定义了用于网络结构的7个数据处理层。
        其他标准化组织如下:
        (1)ANSI:美国国家标准研究所,ISO的美国代表。ANSI设计了ASCII代码组,它是一种广泛使用的数据通信标准代码。
        (2)NIST:美国国家标准和技术研究所,美国商业部的标准化机构。
        (3)IEEE:电气和电子工程师协会(Institute of Electrical and Electronics Engineers)。IEEE设置了电子工业标准,分成一些标准委员会(或工作组),每个工作组负责标准的一个领域,工作组802设置了网络上的设备如何彼此通信的标准,即IEEE 802标准委员会划分成的工作组有:802.1工作组,协调低档与高档OSI模型;802.2工作组,涉及逻辑数据链路标准;802.3工作组,有关CSMA/CD标准在以太网的应用;802.4工作组,令牌总线标准在LAN中的应用;802.5工作组,设置有关令牌环网络的标准。
        (4)EIA:电子工业协会(Electronic Industries Association)。最为人熟悉的EIA标准之一是RS-232C接口,这一通信接口允许数据在设备之间交换。
        值得注意的是,ITU-T和ISO之间有很好的合作和协调。
 
       信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁
 
       信息安全管理
               信息安全含义及目标
               国际标准《ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求》中对信息安全的定义为:“保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性。”
               根据定义,信息安全的属性包括:
               .保密性(confidentiality):指“信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。”数据的保密性可以通过网络安全协议、身份认证服务、数据加密技术来实现。
               .完整性(integrity):指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的数据就是发送的数据。确保数据完整性的技术包括CA认证、数字签名、防火墙系统、传输安全(通信安全)和入侵检测系统。
               .可用性(availability):指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。确保可用性的技术有磁盘和系统的容错、可接受的登录及进程性能、可靠的功能性的安全进程和机制、数据冗余及备份。
               .其他属性及目标:真实性一般指对信息的来源进行判断,能对伪造来源的信息予以鉴别;可核查性指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性;不可抵赖性指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的;可靠性指系统在规定的时间和给定的条件下,无故障地完成规定功能的概率,通常用平均故障间隔时间(Mean Time Between Failure, MTBF)来度量。
               信息安全管理的内容
               ISO/IEC 27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准,它包括《ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求》《ISO/IEC 27002信息技术-安全技术-信息安全管理体系-实践准则》等系列标准。
               ISO/IEC 27000系列标准将信息安全管理的内容主要概括为如下14个方面:
               .信息安全方针与策略:为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。
               .组织信息安全:要建立管理框架,以启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的安全不应由于引入外部各方的产品或服务而降低。信息安全应整合到组织的项目管理方法中,以确保识别并处理了信息安全风险。应确保在使用移动计算和远程工作设施时的信息安全。
               .人力资源安全:要确保员工、合同方和第三方用户了解他们的责任并适合其岗位,从而减少盗窃、滥用或设施误用的风险。组织应确保所有的员工、合同方和第三方用户了解信息安全威胁和关注点,以及他们的责任和义务,并能够在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。要确保员工、合同方和第三方用户以一种有序的方式离开组织或变更工作。
               .资产管理:要对组织资产实现并维持适当的保护。所有资产均应有人负责,并有指定的所有者;要确保信息可以得到适当程度的保护;应对信息进行分类,以便在信息处理时指明保护的需求、优先级和期望程度。
               .访问控制:对信息、信息处理设施和业务过程的访问应基于业务和安全需求进行控制。访问控制规则应考虑到信息分发和授权的策略。
               .密码:应通过加密手段来保护信息的保密性、真实性或完整性。组织应制定使用密码的策略;应有密钥管理以支持密码技术的使用。
               .物理和环境安全:应防止对组织办公场所和信息的非授权物理访问、破坏和干扰。组织应防止资产的丢失、损坏、被盗和破坏,以及对组织业务活动的中断;应保护设备免受物理和环境的威胁;要对设备(包括非公司现场的设备和迁出的设备)进行保护以减少未授权访问信息的风险并防止丢失或损坏,同时要考虑设备的安置和处置。
               .运行安全:确保信息处理设施的正确和安全操作,应建立所有信息处理设施的管理和操作的职责与程序。组织应最小化系统失效的风险;应保护软件和信息的完整性;应保持信息和信息处理设施的完整性和可用性;应探测未经授权的信息处理活动;应维护应用系统软件和信息的安全;应减少由利用已发布的技术漏洞带来的风险。涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化业务过程的中断。
               .通信安全:应确保网络中的信息和支持性基础设施得到保护;应防止对资产的未授权泄露、修改、移动或损坏,及对业务活动的中断;应维持组织内部或组织与外部组织之间交换信息和软件的安全。
               .信息系统的获取、开发和保持:应确保安全成为信息系统的一部分;应防止应用系统中信息的错误、丢失、未授权的修改或误用。组织应为系统开发全生命周期的开发和集成活动建立安全开发环境,并予以适当保护;应保护在公共网络上应用服务传输的信息,以防止遭受欺诈、合同纠纷以及未经授权的泄露和修改;应确保电子商务的安全及其安全使用。
               .供应商关系:为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件。供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求。应按照第三方服务交付协议的要求实施并保持信息安全和服务交付的适宜水平。组织应检查协议的实施,监视协议执行的一致性,并管理变更,以确保交付的服务满足与第三方商定的所有要求。
               .信息安全事件管理:确保与信息系统有关的安全事件和弱点以一种能够及时采取纠正措施的方式进行沟通;应确保使用一致、有效的方法管理信息安全事件;应建立职责和程序以有效地处理报告的信息安全事件和弱点。对信息安全事件的响应、监视、评估和总体管理应进行持续改进。需要证据时,证据的收集应符合法律的要求。
               .业务持续性管理:应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。这个过程需要识别关键的业务过程,并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。除了通用的风险评估过程外,业务连续性管理应包括识别和减少风险的控制措施、降低有害事件的影响以及确保业务过程需要的信息能够随时得到。
               .符合性:应避免违反法律、法规、规章、合同要求和其他的安全要求;确保系统符合组织安全策略和标准;应最大化信息系统审核的有效性,并最小化来自信息系统审核带来的干扰。
               除以上14个方面的主要内容外,信息安全风险管理也是信息安全管理的重要基础,不管对于哪个方面控制措施的选择和评价,都应基于风险评价的结果进行。随着多学科的应用和相互融合,信息安全管理的内容也更加广泛和深入。
   题号导航      2008年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第24题    在手机中做本题