软考高项考试总结精华点背诵,推荐文档

《软考高项考试总结精华点背诵,推荐文档》由会员分享，可在线阅读，更多相关《软考高项考试总结精华点背诵,推荐文档（8页珍藏版）》请在装配图网上搜索。

1、问题软件成熟度模型范围管理尤其是范围确认软件著作权也是按50年商标10年实用专利技术20年Tcp/ip对应TCP:FTPHTTPTELNETPOP3SMTPUDP:DHCPDNSSNMPTFTP数据拥塞控制在传输层网络层链路层都可以实现数据可靠性校验只能在链路层内部质量外部质量说的是6大21小功能靠用小护翼使用质量说的是有效性安全性满意度说明开发小组职责定义的是管理文档而描述开发小组职责的是开发文档开发文档详细技术描述可行可研需求开发计划小组职责说明管理文档纯管理上的职责定义进度质量说明产品文档是说明产品怎么用的围绕产品培训手册用户手册信息广告产品手册软件成熟度模型中过程和产品质量保证目的是使

2、工作人员和管理者能够客观了解过程和相关工作产品质量保证确保多有必须的过程要满足项目干系人的期望基准分析就是和其他类似的项目进行比较CMMI强调了需求的分析过程改进目标为产品质量进度控制最低的成本（花少钱，省时间，搞进度质量）CMMI阶段式（初重定管优）描述的是组织能力.重点是组织能力.连续式描述的是过程管理项目管理工程支持过程决策图法定计划的时候对目标进行分析，估计到可能出现的问题，并设想权变措施， 保持灵活性帕累托图利用缺陷分布评估行为抽样统计省钱6西格码百万次内3,4次误差6西格码改进步骤DMAIC定义define衡量measure分析analyze改善improve控制control技术

3、规范是客户满意的基础，也是质量管理的依据，需和客户确认质量体系是为了组织而建立的，质量计划是为了具体的产品项目服务准备的实验设计是一种统计分析技术产品各阶段进行评审才能提高质量任命QC也是质量控制的一过程质量规划先要明确质量标准才能生成出质量度量标准质量保证是一个过程不是单一的活动质量保证是预防性的质量控制是纠正性的质量计划输入有项目章程范围确认使项目干系人正式接受已完成项目范围的过程,范围确认需要审查可交付物和工作成果，保证所有工作都被完成，比如说培训，不光是交付物人力资源管理人力资源计划内容角色职责组织结构图人员配备管理计划人员配备管理计划内容人员获取需求时间表人员释放标准培训需求奖励绩效

4、报告主要是进度和状态报告以及预测每当项目阶段完成后，项目经理都需要将文档信息给各相关干系人封闭式的问题用来确认信息的正确性开放式的问题鼓励干系人详细回答，表达情绪探询式的问题用来澄清之前谈过的主题与信息假设性的问题用来解决问题的方式绩效报告内容：项目进展和调整情况、项目完成情况、项目总投资，资金到位情况、项目资金支持情况、主要收益情况、财务执行情况、团队的绩效、项目执行中存在的问题及改进措施、预测、变更请求变更还包括最后信息归档记录变更项目经理在变更中主要是确定变更的影响，其次才是将技术资源转换成所需资源供ccb决策项目经理为了获得更加明确的采购需求，应该使用供应商意见书投标人会议不是开标会，

5、是在准备建议书之前与潜在供应商碰头，确认需求采购中质量保证能力和绩效评估没有关系需求获取生成用户需求说明书，捕捉用户的需求需求分析对需求信息进行描述分析建立模型需求定义生成需求规格说明书进一步定义准确的需求信息需求验证用户开发方一同对需求文档进行评审，作出承诺需求管理的流程制定需求管理计划（软硬件资源、需求跟踪矩阵、需请求变更请求表）求得对需求的理解求得对需求的承诺维护需求双向跟踪识别项目工作与需求之间的不一致要约是希望和别人订合同，又称发盘与报价，是当事人所做的、邀请订立合同的意思表示。要约邀请希望他人向自己发送要约寄送价目表拍卖公告商业广告。承诺是受要约人同意要约的意思表示只要当事人履行了

6、义务，合同就算没有签订也算是成立了间接管理需要有管理制度来支撑项目范围是否文成以项目管理计划范书WBSWBS字典作为衡量标准大型复杂项目与一般项目管理相比原理方法工具过程都一样普通计划关注活动计划大项目关注过程计划企业战略的特点全局性长远性抗争性纲领性全员抗刚战略管理活动战略制定战略执行战略评估行业集中度分析时主要关注规模最大的前几位的企业， 不是全部大多数企业公司战略最高层说明企业目标业务战略是说明企业某项业务的目标也称之为竞争战略职能战略是针对部门或专项具体工作的战略，解决企业资源利用业务流程的核心以客户为中心也员工为中心以效率利益为中心流程管理的核心规范流程优化流程再造流程信息系统规划的

7、步骤战略规划流程规划数据规划功能规划系统实施阶段业务流程重组步骤启动变革计划成立团队设计目标流程并实施持续改进重新开始BPM业务流程管理规范化的业务流程为核心，持续提高组织业务绩效为中心，已持续提高组织业绩为目的的系统化方法（基本上是针对现有流程，针对现有流程重新设计优化之类的）管理流程分为管理流程企业整体战略流程操作流程满足外部顾客的流程支持流程为操作流程提供满足Pdca设计流程执行流程评估流程流程改进流程设计是流程管理最重要的流程执行中需要重点关注效率和效果流程评估关注遵循性评估有效性评估绩效评估业务流程分析设计方法：价值链分析法活动的价值是否能给企业带来竞争力ABC分析法基于活动成本的计

8、算法，通过对作业成本分析消除不赚钱的，改进赚钱的，减少损失、提高决策业务建模仿真通过计算机软件来对企业业务流程进行分析提出解决方案基于UML建模法标杆分析法业务活动图法业务流程重组（BPR）（对现有流程全部推翻，彻底取消，重新搞，以达到成本质量服务等关键性能上的提高）BPR引起的变化企业文化业务流程组织与管理BPR实施层次：观念重建改变文化流程重建是核心对流程进行改变PEST政治经济社会文化技术战略制定包含战略分析战略梳理战略选择战略评估战略匹配战略执行过程建立组织配资源定政策实施领导创造企业文化防御性战略组织开拓性战略组织分析性战略组织反应性战略组织波特五力分析之间的竞争通过高质量产品防止竞

9、争者出现，从而保持自己的稳定保持创新获得高利最展找到折衷点开创新创新，该防御防御外界怎么样就怎么变潜在进入者代替品竞争最差讨价还价能力供应商讨价还价能力现有竞争者正在开发的产品和组织的整体战略之间通过产品描述联系在一起组织重建管理组织上的变化将传统的面向功能转化为面向流程价值活动从事与客户有关的物质技术活动基本活动：后勤生产外包后勤销售服务（直接面向生产的）辅助活动：基础设施人力资源技术开发采购（保障生产的）BAM业务活动图示描述业务流程的工具提供模型表述业务活动提供业务细节业务流程重组层次观念重建流程重建组织城建组织适应新环境而改变其行为称之为组织学习业务流程层次战略战略调整流程设计用知计划

10、资源能力计划预算用erp运作指定执行流程管理mes生产流程设备和工艺现场控制知识产权原则国民待遇原则最惠国原则透明度原则独立保护原则自动保护原则优先权原则发明专利20年实用专利10年外观设计10年，都是从申请日起开始计算商标10年续注前6月6月宽限10年有延续知识管理扁平化现代企业特点依靠信息管理转向知识管理绩效评估的过程主要是制定绩效评估计划确定绩效评估项组织队伍收集数据定量评价定性评价归纳分析写报告绩效评估要通过定性定量的分析绩效审计3E审计经济效率效果绩效审计中事中审计是一种动态的管理信息系统遵循原则完整安全可伸缩可用可管理互操作适应易开发经济数据分布易用对投资结果进行的评价方法静态和动

11、态分析法静态分析法：投资收益法投资回收期法追加投资回收法最小费用法动态回收期法也叫贴现法净现值法内部收益法（IRR）投资回收期法经济可行性评估也称之为成本效益投资回收分析投资回报率和净现值成本效益分析法适用于适用于成本效益都能准确计量的绩效评价， 一定期内之处与效益进行对比分析已评价绩效目标的实现程度绩效报告技术偏差分析趋势分析挣值分析项目评估的主要特征整体性（综合经济技术运行环境风险）目标性（目标功效）相关性（时间知识逻辑）动态性（项目生命周期）有序性最优化项目经理来收集信息并评估经济计量模型工作步骤设定模型估计参数检验模型应用模型贴现率需要大概准确的数据进行计算，比较模糊的过程比如开发产品

12、开拓市场之类不好量化的不适用项目投资回收期一般从建设开始算起识管理决策知识系统信息安全空间5大属性认证权限完整加密不可否认保密性不泄露给别人使用最小授权防爆路信息加密物理保密完整性数据发送不会被改使用协议纠错编码密码校验数字签名公证可用性通过一些策略和方法使系统可以使用路由选择控制审计跟踪，防ddos都是提高信息系统的可用性不可抵赖性防止用户否认使用数字签名信息系统安全技术体系物理安全、运行安全、数据安全安全机构建立体系1配备安全管理人员管理层中应有一人分管信息系统安全2建立安全职能部门3.成立安全领导小组，在基层至少有一位专职安全管理人员负责信息系统安全工作4.主要负责人出任领导，应由组织机

13、构主要负责人出任信息系统小组负责人5.建立信息安全保密管理部门信息系统安全威胁分类安风险性质按风险结果按风险源系统安全保密层级系统级安全资源访问安全功能性安全数据域安全系统级安全连接数限制会花时间限制访问系统限制资源访问安全能够访问的资源，客户端上只出现相应的界面服务器端对业务服务访问控制功能性安全在操作业务上那些功能可以控制数据域安全行级数据域用户可以访问那些数据字段级数据域用户可以操作哪些数据记录安全等级保密等级和可靠性等级保密等级绝密机密秘密可靠性等级abc最高为A级威胁截获中断篡改伪造截获属于被动攻击中断篡改伪造属于主动攻击用户入网访问控制步骤用户名识别用户口令识别账户默认限制检查安全

14、服务对等实体认证数据保密服务数据完整性服务数据源点认证服务禁止否认服务犯罪证据提供服务安全技术有加密技术数字签名访问控制数据完整技术忍者数据挖掘Mis+s业务系统不变软硬件通用不带密码一般用户s-mis软硬件通用业务变带密码一般电子商务s2-mis软硬件专用业务变带密码重点金融保密单位这3个都不涉及应用系统安全七定定方案定岗定位定员定目标定制度丁工作流程中国信息安全保护等级自系安结访普商国央军自主保护普通系统审计商务安全防护国家地方机关金融单位结构化中央单位重点单位访问验证军队对称密码使用大量数据传输对称一对一快idea128des563des112非对称一对多慢rsaeccM代表明文空间C代

15、表密文空间K代表密钥空间E加密算法D解密算法C=E(M)加密M=D(C)解密M=D(E(M)加密的为公钥解密为私钥(加公解私假公济私)反着也可以甲用乙的公钥加密数据乙用自己的私钥来解数据数字签名用甲的私钥进行签名乙用甲的公钥进行解密验证签名是不是正确的数字时间戳在签名时加一个时间Hash算法SDHSHAMD5数字签名(数字指纹)解决验证签名和用户身份验证、不可抵赖的问题反正大多数人用的就是公约一个人的就是私钥密码等级商用企业普用政府绝密中央或机要军用军队Vpn在网络上建立一个临时的虚拟的链接有ipsecvpn和mplsvpnmplsvpn更牛支持qospptpipsec也可实现Vlan虚拟局域

16、网划分成一个一个网段控制网络风暴中国无线标准wapi无线密码安全强度wepwep2wpa网卡和ap关系未授权无连接授权无连接授权链接客户端必须授权链接才能使用无线局域网应该尽量传播距离短接入设备要有802.1x认证传输使用128位wep加密访问控制是信息安全核心内容，是实现数据保密性和完整性的重要手段双证书双密钥X.509证书标准pki/ca架构内的标准将密钥公钥等I西宁西帮到一个机构上Pmi主要做授权PKI是身份验证数字证书是公开密钥的管理媒介，证明身份和公开密钥的合法性，数字证书中包含主题的公钥访问控制DAC自主访问控制论坛不同人看不同的内容针对人来分Acl访问控制列表针对资源建个表说明哪

17、些资源谁能看Mac强制访问控制军队中制定访问级别可以向下兼容Rbac基于角色访问控制系统管理员定义角色通过过角色来取得权限美国国防部信息安全标准7级从彳氐至U高DC1C2C3B12BB3A1安全审计是指主体访问和使用情况的记录和审查，识别与防止计算机网络系统内的攻击行为泄密行为采用网络监控和入侵防范，识别网络各种违规操作和攻击行为，及时响应并阻断,对信息内容和业务流程审计，包括事故发生的原因。但是作用不包括可信网络内部信息不外泄主要有主机类网络类和数据库类有针对网络通信数据的检测是入侵检测，要不然就是安全审计数据分析是入侵检测的核心入侵检测系统可独立使用，没有流量经过也可以使用入侵检测系统不能

18、使别人不攻击内部用户安全审计主要内容1检车系统入侵震慑警告2发现计算机滥用，为破坏行为提供证据3为管理员提供使用日志4为管理员提供运行日志安全审计流程1.记录信息，产生审计数据2.对数据进行分析找原因3生成报告4评估系统安全提出意见安全审计系统组成审计中心审计控制台审计Agent审计中心对审计数据进行管理和存储数据库审计控制台对审计数据进行查阅报警操作程序审计Agent同网络链接的部件传感器一样，不同的实现不同功能将数据传给审计中心审计Agent类型网络监听型放在网络上监听系统嵌入型放在各主机上监听主动信息获取型放在路由器交换机上收集信息入侵检测监视网络上的数据,主动保护自己免收攻击的网络安全

19、技术，帮助对抗网络上的攻击，扩展安全管理能力，辅助安全审计入侵检测监视网络上的数据通信，捕获问题，报警，生成日志，不光检测外部，还检测内部未授权活动，数据分析是入侵检测核心利用密码进入系统属于假冒数字签名用来防止抵赖加密防止信息窃取完整防止信息被篡改认证防止被假冒病毒自我复制的代码传染木马隐藏在正常程序的中的程序破坏蠕虫自我复制的程序数字证书证明人的身份或密钥公钥的合法性，要有机构来证明合法性CA发证书管理证书的机构PKI的核心PKI认证中心实施安全服务的基础设施PKI包含信任服务体系密钥管理中心（针对密钥的）X.509提供标准crl信息为1版本号2序列号3签名算法4认证机构5有效期6主题7认

20、证机构数字签名8公钥信息注意没有私钥信息防火墙区域内部网络可信区域网络内部的外部网络外部因特网主机和设备防火墙的额DMZ（非军事化区）内部网络中用于公众服务的外部服务器web服务器邮件服务器，针对外面客户的，但是在防火墙内代理防火墙外部网络和内部网络不直接相连评估响应防护再评估安全套接层ssl传输层的协议,实现对传输过程中的数据加密Ipsec网络层的协议Pptp链路层的协议Tcp传输层协议保证传输可靠不能加密数据链路层网络层传输层都能数据加密SSH把所有传输数据加密，中间人攻击不能实现防止dns和ip欺骗，能够加快传输速度,代替telnte信息安全保护等级一级信息破坏后对人损害不危害其他二级信息破坏后对人严重损害损害公共利益不损国家三级信息破坏后对公共利益严重损害对国家损害四级信息破坏后对公共特别严重损害对国家严重损害五级信息破坏后对国家特别严重损害主机监控拓扑结构外部网络路由防火墙集线福父换机王动agent欺入agent网络agent