2022软件水平考试-中级信息系统管理工程师考试全真模拟卷32（附答案带详解）

《2022软件水平考试-中级信息系统管理工程师考试全真模拟卷32（附答案带详解）》由会员分享，可在线阅读，更多相关《2022软件水平考试-中级信息系统管理工程师考试全真模拟卷32（附答案带详解）（18页珍藏版）》请在装配图网上搜索。

1、2022软件水平考试-中级信息系统管理工程师考试全真模拟卷（附答案带详解）1. 问答题：阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】企业信息化是企业以业务流程的优化和重构为基础，利用计算机技术、网络技术和数据库技术，集成化管理企业生产经营活动中的各种信息，实现企业内外部信息的共享和有效利用，以提高企业的经济效益和市场竞争力的一项建设工作，它涉及到对企业管理理念的创新，管理流程的优化，管理团队的重组和管理手段的创新。企业信息化涉及面广，就制造型企业而言，企业信息化包括了生产过程控制的信息化、企业管理的信息化、企业供应链管理的信息化等内容。企业信息化建设要应用计算机辅助设

2、计（CAD)、计算机辅助制造（CAM)、复杂工程结构设计（CAE)、辅助工艺设计（CAPP)、集散型控制系统（DCS)、计算机集成制造系统（CIMS)、计算机集成生产系统（CIPS)、事务处理系统（TPS)、管理信息系统（MIS)、决策支持系统（DSS)、 智能决策支持系统(IDSS)、企业资源计划（ERP)、产品数据管理（PDM)、安全防范系统（PPS)、办公自动化（0A)等软件工具以及企业网站的建设等。而事实上，企业信息化建设的主要工作之一就是选择各种适宜的软件以应用于企业的各项工作，从而提高企业各项工作的现代化管理水平。【问题1】（4分）结合实际工作对企业信息化的了解，你认为应该从哪些方

3、面正确理解企业信息化?【问题2】（4分）企业信息化是一项系统工程，涉及面广，请根据你对企业信息化的认知，用箭线标出下列左右各项的单一对应关系。企业信息化的基础计算机技术企业信息化的实现手段企业的管理和运行模式企业建设信息化的关键点人机合一的有层次的系统工程企业信息化建设的突出特征信息的集成和共享【问题3】（7分）企业信息化建设包括了生产过程控制的信息化、企业管理的信息化等内容，不同的建设内容应用的软件工具不完全相同，请根据【说明】指出哪些软件常用于生产过程控制的信息化建设（指出3项）？哪些软件常用于企业管理信息化建设（指出4项）？答案： 本题解析：【问题1】（1）企业信息化是国家信息化、行业信

4、息化等整个信息化建设的一项重要内容；（2）企业信息化必须利用计算机技术、网络技术和数据库技术等电子信息技术（3）企业信息化是企业业务流程的优化或重构（4）集成化管理企业生产经营活动中的各种信息，实现信息共享和有效利用（5）企业管理理念的创新，管理流程的优化，管理团队的重组和管理手段的创新（6）企业信息化是信息化建设中数据的集成和人的集成【问题2】企业信息化的基础-企业的管理和运行模式企业信息化的实现手段-计算机技术企业建设信息化的关键点-信息的集成和共享程企业信息化建设的突出特征-人机合一的有层次的系统工【问题3】应用于生产过程控制信息化建设的软件工具包括：计算机辅助设计（CAD）、计算机辅助

5、制造（CAM）、复杂工程结构设计（CAF）、辅助工艺设计（CAPP）、集散型控制系统（DCS）、计算机集成制造系统（CIMS）、事务处理系统（TPS）、以及计算机集成生产系统（CIPS）等应用于企业管理信息化建设的软件工具包括：管理信息系统（MIS）、决策支持系统（DSS）、智能决策支持系统（IDSS）、企业资源计划（ERP）、产品数据管理（PDM）、安全防范系统（PPS）、办公自动化（OA）等1项3分；2项4分，每答对一项1分2. 问答题：信息系统是一个复杂的人机系统，系统内外环境以及各种人为的、机器的因素都在不断地变化。为了使系统能够适应这种变化，充分发挥软件的作用，产生良好的社会效益和经

6、济效益，就要进行系统的维护工作。在软件生命周期中，软件维护占整个软件生命周期的60%-80%.项目建成后，如果后期维护工作跟不上，信息化项目顺利运行就得不到保证。所以，在企业中必须要强化系统维护工作的重要性，以充分发挥系统的作用。【问题1】(4分）系统维护的一项重要任务就是要有计划、有组织地对系统进行必要的改动，以保证系统中的各个要素随着环境的变化始终处于最新的、正确的工作状态。请指出信息系统维护的五个方面的具体内容。【问题2】（4分）系统的维护对于延长系统的生命具有决定意义，请列出系统开发中能够提高系统可维护性的要求。【问题3】（7分）（1）根据系统运行的不同阶段，可以实施不同级别的系统维护

7、，一般来说系统维护的级别主要有哪四种？（2）系统的维护不仅范围广，而且影响因素多。在设计系统维护计划之前，通常要考虑哪三方面的因素？答案： 本题解析：【问题1】（4分）信息系统维护的内容可分为五类：（1）系统应用程序维护；（2）应用数据维护；（3）系统代码维护；（4）硬件设备维护；（5）文档维护。考生答对4条即给满分，不足4条每条1分。表达基本相同，意思正确，即可给满分。【问题2】（4分）提高系统可维护性的要求包括五方面：（1）建立明确的软件质量目标和优先级；（2）使用提高软件质量的技术和工具；（3）进行明确的质量保证审查；（4）选择可维护的程序设计语言；（5）系统的文档。考生答对4条即给满分

8、，不足4条每条1分。【问题3】（7分）（1）（4分）根据系统运行的不同阶段可以实施4种不同级别的维护。一级维护：最完美支持，配备足够数量工作人员，他们在接到请求时，能及时对服务请求进行响应的速度，并针对系统运转的情况提出前瞻性的建议。二级维护：提供快速的响应，工作人员在接到请求时，能在24小时内对请求进行响应的速度。三级维护：提供较快的响应，工作人员在接到请求时，能在72小时内对请求进行响应的速度。四级维护：提供一般性的响应，工作人员在接到请求时，能在10日内对请求进行响应的速度。如果只答出以及维护、二级维护、三级维护、四级维护，可给2分；每次维护后面只要有解释，意思接近，可酌情给分。（2）（

9、3分）要考虑的三方面因素是：（1）维护背景。系统的当前情况、维护的对象、维护工作的复杂性与规模。（1分）（2）维护工作的影响。对新系统目标的影响、对当前工作进度的影响、对本系统其他部分的影响、对其他系统的影响。（1分）（3）资源要求。对维护提出的时间要求、维护所需费用、所需工作人员。（1分）只答出维护背景、工作影响、资源要求，可给1.5分；后面只要有解释，意思接近，可酌情给分。本题考查的是系统维护的基本知识。【问题1】系统维护的任务就是要有计划、有组织地对系统进行必要的改动，以保证系统中的各个要素随着环境的变化始终处于最新的、正确的工作状态。信息系统维护的内容可分为5类：（1）系统应用程序维护

10、。系统的业务处理过程是通过程序的运行而实现的，一旦程序发生问题或业务发生变化，就必然引起程序的修改和调整，因此系统维护的主要活动是对程序进行维护。（2）数据维护。业务处理对数据的需求是不断发生变化的，除了系统中主题业务数据的定期更新外，还有许多数据需要进行不定期的更新，或者随环境、业务的变化而进行调整，数据内容的增加、数据结构的调整、数据备份与恢复等，都是数据维护的工作内容。（3）系统代码维护。当系统应用范围扩大和应用环境变化时，系统中的各种代码需要进行一定程度的增加、修改、删除以及设计新的代码。（4）硬件设备维护。主要是指对于主机及外设的日常管理和维护，都应由专人负责，定期进行，以保证系统正

11、常有效地运行。（5）文档维护。根据应用系统、数据、代码及其他维护的变化，对相应文档进行修改，并对所进行的维护进行记载。【问题2】系统的可维护性对于延长系统的生命周期具有决定意义，因此必须考虑如何才能提高系统的可维护性。（1）建立明确的软件质量目标和优先级，可维护的程序应是可理解的，可靠的，可测试的，可更改的，可移植的，高效率的，可使用的。（2）使用提高软件质量的技术和工具，模块化是系统开发过程中提高软件质量、降低成本的有效方法之一。（3）进行明确的质量保证审查，质量保证审查是获得和维持系统各阶段的质量的重要措施。（4）选择可维护的程序设计语言，程序是维护的对象，要做到程序代码本身正确无误，同时

12、要充分重视代码和文档资料的易读性和易理解性。（5）系统的文档是对程序总目标、程序各组成部分之间的关系、程序设计策略、程序实现过程的历史数据等的说明和补偿。【问题3】（1）根据系统运行的不同阶段可以实施4种不同级别的维护。一级维护：最完美支持，配备足够数量工作人员，他们在接到请求时，能及时对服务请求进行响应，并针对系统运转的情况提出前瞻性的建议。二级维护：提供快速的响应，工作人员在接到请求时，能在24小时内对请求进行响应。三级维护：提供较快的响应，工作人员在接到请求时，能在72小时内对请求进行响应。四级维护：提供一般性的响应，工作人员在接到请求时，能在10日内对请求进行响应。（2）系统维护不仅范

13、围广，而且影响因素多。通常，在涉及系统维护计划之前，要考虑以下3方面的因素：维护背景。系统的当前情况、维护的对象、维护工作的复杂性与规模。维护工作的影响。对新系统目标的影响、对当前工作进度的影响、对本系统其他部分的影响、对其他系统的影响。资源要求。对维护提出的时间要求、维护所需费用（并与不进行维护所造成的损失）、所需工作人员。3. 填空题：Today,its hard to imagine any industry or business that has not been affected by computer-based information system and computer a

14、pplications.Most experts agree on the fundamental difference between data and information.Data are raw facts about the organization and its business transactions.Most data items have little meaning and use by themselves.Information is data that has been（）and organized by processing and purposeful in

15、telligence.The latter,purposeful intelligence,is crucial to the definitionPeople provide the purpose and the intelligence that produces true（）.In other words,data are a by-product of doing business.Information is a resource created from the data to serve the management and decision-making needs of b

16、usiness.Information technology(IT)is a contemporary term that describes the combination of computer technology(hardware and software)with telecommunications technology(data,image,and voice networks).Information technology has created a data and information（）in virtually all businesses.The ability of

17、 businesses to harness(利用)and manage this data and information has become a critical success factor in most businesses.An information system is an arrangement of people,data,processes,information presentation,and information technology that interact to support and improve day-to-day operations in a

18、business,as well as support the problem-solving and decision making needs of management and users.Stated simply,information systems（）data into useful information.An information system exists with or without a computer.But when information technology is used,it significantly（）the power and potential

19、of most information systems.问题1选项A.formedB.cleanedC.refinedD.resigned问题2选项A.informationB.dataC.intelligenceD.purpose问题3选项A.exposureB.slumpC.exclusionD.explosion问题4选项A.modifyB.cleanC.transformD.transfer问题5选项A.influenceB.expandsC.changeD.develop答案：CADCB 本题解析：暂无解析4. 问答题：信息管理系统设计主要包括概要设计和详细设计。详细设计的主要任务是

20、对每个模块完成的功能进行具体描述，并将功能描述转变为精确的、结构化的过程描述。详细设计一般包括代码设计、数据库设计、输入/输出设计、处理过程设计和用户界面设计等。其中，数据库设计分为4个主要阶段，在对应用对象的功能、性能和限制等要求进行分析后，进入对应用对象进行抽象和概括阶段，完成企业信息模型；处理过程设计是用一种合适的表达方法来描述每个模块的执行过程，并可由此表示方法直接导出用编程语言表示的程序。【问题1】（4分）请指出数据库设计过程主要包括哪4个阶段。【问题2】（4分）概念结构设计最常用的方法是什么？请简要说明其设计过程主要包括哪些步骤。【问题3】（7分）请指出处理过程设计常用的描述方式是

21、哪3种，常用的图形表示方法是哪2种图。答案： 本题解析：【问题1】（4分）需求分析、概念结构设计、逻辑结构设计、物理结构设计【问题2】（4分）实体-联系或E-R（1分）选择局部应用、逐一设计分E-R图、E-R合并、修改重构、消除冗余。（答对3项得3分）【问题3】（7分）图形、语言和表格（3分）流程图（程序框图）、盒图（或NS图）（4分）【问题1】：数据库的设计质量对整个系统的功能和效率有很大的影响。数据库设计的核心问题是：从系统的观点出发，根据系统分析和系统设计的要求，结合选用的数据库管理系统，建立一个数据库模式。数据库的设计过程可以分为4个阶段，即用户需求分析、概念结构设计、逻辑结构设计和物

22、理结构设计。 用户需求分析是对现实世界的调查和分析 概念结构设计是从现实世界向信息世界的转换。根据用户需求来进行数据库建模，也称为概念模型，常用实体关系模型表示 逻辑结构设计是从信息世界向数据世界的转化。将概念模型转化为某种数据库管理系统所支持的数据模型 物理结构设计是为数据模型选择合适的存储结构和存储方法 【问题2】：实体联系图（E-R图）用于描述数据流图中数据存储及其之间的关系，是数据库概念设计常用的方法；E-R图的设计要依据对现实事物抽象的方法（分类、聚集和概括），对需求分析阶段所得到的数据进行分类、聚集和概括，确定实体、属性和联系，具体步骤如下：选择局部应用逐一设计分E-R图E-R图合

23、并（E-R合并具体可以从：实体类型的合并；冗余属性的消除；冗余联系的消除等几个方面进行）。【问题3】：系统的处理过程设计是系统模块设计的展开和具体化，要确定各个模块的实现算法和处理过程，并精确地表达这种算法，所以其内容更为详细，通过这样的设计，为编写程序做好准备，并制定出一个周密的计划。日常用的描述方式有图形、语言和表格三类；常用的图有：1，程序流程图（程序框图），是指通过对输入输出数据和处理过程的详细分析，将计算机的主要步骤和内容用框图表示出来。程序流程图是进行程序设计的基本依据，因此它的质量直接关系到程序设计的质量。2，N-S图（盒图）是一种符合结构化设计原则的图形描述工具，在N-S图中，

24、每个处理步骤用一个盒子表示。盒子可以嵌套。盒子只能从上面进入，从下面走出。5. 问答题：随着互联网的发展，黑客攻击、计算机病毒的破坏以及企业对信息管理、使用不当造成信息泄露问题普遍受到关注。尤其是信息泄露问题，使得相关企业承担很大的舆论压力和侵权责任，面临严重的信任危机及经济损失。为了规范信息在采集、使用、保存、分发的安全管理，企业在信息系统的规划、建设、运行维护、管理等方面都应采取一定的措施。请结合信息泄露产生的原因和特点，以及信息在保存、使用中应遵循的原则回答下面的问题。【问题1】（6分）简要回答企业避免信息泄露可以采取的安全措施有哪些？【问题2】（6分）（1）为什么说重视软件的完整性可以

25、有效遏制黑客和病毒的泛滥。（2）采用何种技术方法来保证软件的完整性，请对该方法的工作原理简要说明。【问题3】（3分）（1）我国哪一部新修订的法律明确禁止经营者泄露消费者信息的行为？（2）经营者在收集使用消费者的个人信息时应当注意哪些问题？答案： 本题解析：【问题1】措施一：严控计算机外设端口，监控、审计所有计算机的操作行为，封锁信息外泄途径。措施二：所有重要信息集中存储，终端不留密，信息使用权限细分。措施三：通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用，划分介质使用范围与责任人。措施四：监控本地上网行为，监控员工的上网行为，避免信息从本地被转移。措施五：建立基于硬件级别的

26、防护体系，避免众多安全防护产品基于操作系统的脆弱性。措施六：制定合适的制度，对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度，从头脑中杜绝信息泄漏。主动控制风险而不是被动地响应事件，以提高整个信息安全系统的有效性和可管理性。以上仅供参考，不同的人对信息系统安全的理解会不相同，只要从信息系统如下四个方面作答，即可：（1）风险识别、评估、控制（2）法规、机构、人员安全管理（3）技术管理（4）网络及场地管理【问题2】黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接，当用户安装该软件时，同时也就安装了木马和病毒或者访问存在安全威胁的网站。可以采用PKI中数字签名的方式1：密钥

27、成对出现，分为：公钥和私钥，公钥对外公开，私钥只有持有者拥有。2：私钥加密必须用公钥解密。3：软件发布者用自己的私钥加密，然后将软件发布，用户可以用过其公开的公钥来验证软件的完整性，由于私钥只有持有者拥有，其签名是无法伪造的。【问题3】新修订的消费者权益保护法收集、使用信息必须合法、必要公开相关收集使用规定，收集、使用信息及发送商业信息必须取得消费者同意不得泄露、出售或非法向他人提供消费者个人信息保障个人信息安全、受损时及时采取补救措施【问题1】信息安全的风险管理首先是信息安全的风险识别、评估，进而采取有效的整改措施。对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些

28、信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。在具体实施中要进一步明确信息安全管理机构职能，完善信息安全制度。同时要加强信息安全的培训工作，提高管理人员职业道德水平和技术素质。落实信息系统的日志管理，采用入侵检测、数据加密、数据备份、网络安全审计、隔离等技术手段确保重要数据的安全管理。建立标准化机房，实施重点区域的人员进出登记制度等方面。从信息系统如下四个方面作答，即可：（1）风险识别、评估、控制（2）法规、机构、人员安全管理（3）技术管理（4）网络及场地管理措施一：严控计算机外设端口，监控、审计所有

29、计算机的操作行为，封锁信息外泄途径。措施二：所有重要信息集中存储，终端不留密，信息使用权限细分。措施三：通过移动介质泄密往往是信息泄漏的主要方式。需要严格控制移动介质使用，划分介质使用范围与责任人。措施四：监控本地上网行为，监控员工的上网行为，避免信息从本地被转移。措施五：建立基于硬件级别的防护体系，避免众多安全防护产品基于操作系统的脆弱性。措施六：制定合适的制度，对违反企业规定的行为进行奖惩。对员工进行教育并严格执行制度，从头脑中杜绝信息泄漏。主动控制风险而不是被动地响应事件，以提高整个信息安全系统的有效性和可管理性。【问题2】黑客可以通过在软件程序中增加木马和病毒程序或者潜在威胁的网站链接

30、，当用户安装该软件时，同时也就安装了木马和病毒或者访问存在安全威胁的网站。可以采用PKI中数字签名的方式1：密钥成对出现，分为：公钥和私钥，公钥对外公开，私钥只有持有者拥有。2：私钥加密必须用公钥解密。3：软件发布者用自己的私钥加密，然后将软件发布，用户可以用过其公开的公钥来验证软件的完整性，由于私钥只有持有者拥有，其签名是无法伪造的。【问题3】新修订的消费者权益保护法根据修改后的消费者权益保护法第二十九条：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法

31、律、法规的规定和双方的约定收集、使用信息。“经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。“经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。”6. 问答题：某集团公司（行业大型企业）已成功构建了面向整个集团公司的信息系统，并投入使用多年。后来，针对集团公司业务发展又投资构建了新的信息系统。现在需要进行系统转换，即以新系统替换旧系统。系统转换工作是在现有系统软件、硬件、操作系统、

32、配置设备、网络环境等条件下，使用新系统，并进行系统转换测试和试运行。直接转换方式和逐步转换方式是两种比较重要的系统转换方式。直接转换方式是指在确定新系统运行准确无误后，用新系统直接替换旧系统，中间没有过渡阶段，这种方式适用于规模较小的系统；逐步转换方式（分段转换方式）是指分期分批地进行转换。在实施系统转换过程中必须进行转换测试和试运行。转换测试的目的主要是全面测试系统所有方面的功能和性能，保证系统所有功能模块都能正确运行；转换到新系统后的试运行，目的是测试系统转换后的运行情况，并确认采用新系统后的效果。请结合说明回答以下问题。【问题1】（5分）针对该集团公司的信息系统转换你认为应该采取上述哪种

33、转换方式？为什么？【问题2】（2分）系统转换工作的主体是实施系统转换。实施系统转换前应做哪项工作？实施系统转换后应做哪项工作？【问题3】（3分）确定转换工具和转换过程、对新系统的性能进行监测、建立系统使用文档三项工作分别属于系统转换工作哪个方面（计划、实施、评估）的工作？【问题4】（5分）在系统实施转换后，概括地说，进行系统测试应注重哪两个方面的测试？试运行主要包括哪两个方面的工作？答案： 本题解析：【问题1】（5分）逐步转换方式。直接转换方式这种方式简单，节省人员和设备费用，但风险大，一旦新系统运行起来，就会给工作造成混乱，一般只在系统规模较小或没有时间要求或不重要的情况下采用。逐步转换方式

34、是一种混合方式，可靠性高，费用相对较低，它既避免了直接转换方式的风险性，又避免了并行转换方式转换费用高的问题，较适于规模较大的系统。【问题2】（2分）制定转换计划或制定计划转换评估或转换评价【问题3】（3分，各1分）制定计划、转换评估、实施转换。【问题4】（5分）功能测试、性能测试。测试、评价。本题主要考查系统转换的基础知识【问题1】目前常见的系统转换方式主要有4种，其分别是直接转换、试点后直接转换、逐步转换和并行转换。直接转换是在确定新的管理信息系统运行准确无误时，在某一时刻终止现行系统，启用新的管理信息系统，从旧到新系统中间没有过渡阶段。这种转换方式最简单、最节省人员和设备费用，但风险大。

35、因此这种方式适合于处理过程不太复杂的小型简单系统或不重要的系统。试点后直接转换。某些系统有一些相同部分，例如系统中包括多个销售点、多个仓库等。转换时选择一个销售点或仓库作为试点，试点成功后，其他部分可同时进行直接转换。并行转换是指新的管理信息系统和现行系统并行工作一段时间，在新的管理信息系统运行准确无误时，替代现行系统。这种转换方式的优点是可以进行两系统的对比，发现和改正新系统中的问题，风险小、安全可靠，但缺点是费用高。这种方式适合于处理过程复杂、数据重要的系统。逐步转换是直接转换和并行转换的结合，分阶段地将新的管理信息系统的各个子系统替代旧系统。这种转换方式既避免了直接转换的高风险，又避免了

36、并行转换的高费用问题，但这种方式的最大问题是表现在接口的增加上。由于系统的各部分之间往往相互联系，当旧系统的某些部分转换给新系统去执行时，其余部分任由旧系统来完成，于是在已转换部分和未转换部分就出现如何衔接的问题。所以，需要很好地处理新旧系统之间的接口。对于处理过程复杂、数据重要的大型复杂系统，一般多采用这种方式进行系统转换。【问题2】在实施系统转换前应制订相应的系统转换计划，该计划的内容主要包括：确定转换项目、起草作业运行规则、确定转换方法、确定转换工具和转换过程、制订转换工作执行计划等。在实施系统转换后要对转换进行评估，而评估的内容主要是系统的性能。【问题3】确定转换工具和转换过程是系统转

37、换计划方面的内容，而对新系统的性能进行监测属于系统转换评估方面的内容，建立系统使用文档属于系统转换实施方面的工作。【问题4】在系统实施转换后，对系统进行的测试应注重功能测试和性能测试，检测新系统是否具备了相应的功能和性能。试运行主要的工作是测试和评价。7. 问答题：阅读下列说明和图，回答问题1至问题3，将解答填入答题纸的对应栏内。?【说明】研究密码编码的科学称为密码编码学，研究密码破译的科学称为密码分析学，密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。? ? ?试题1：【问题1】（6分）密码学的安全目标至少包括哪三个方面？具体内涵是什么？【问

38、题2】（6分）对下列违规安全事件，指出各个事件分别违反了安全目标中的哪些项？(1)小明抄袭了小丽的家庭作业。(2)小明私自修改了自己的成绩。(3)小李窃取了小刘的学位证号码、登陆口令信息，并通过学位信息系统更改了小刘的学位信息记录和登陆口令，将系统中小刘的学位信息用一份伪造的信息替代，造成小刘无法访问学位信息系统。【问题3】（3分）现代密码体制的安全性通常取决于密钥的安全，为了保证密钥的安全，密钥管理包括哪些技术问题？答案： 本题解析：【问题1】解析：1、保密性保密性是确保信息仅被合法用户访问，而不被地露给非授权的用户、实体或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授

39、权用户使用的特性。这里的访问是指不仅可以读，还能浏览、打印或简单了解一些特殊资源是否存在。常用的保密技术包括:防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、数据加密(在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)、物理保密(利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被地露)等。2、完整性完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向

40、信患的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输。完整性与保密性不同，保密性要求信息不被泄露给未授权的人，而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有:设备故障、误码(传输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源造成的误码、人为攻击、计算机病毒等。3、可用性可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是信息系统面向用户的安全性能。信息系统最基本的

41、功能是向用户提供服务，而用户的需求是随机的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制(对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问)。【问题2】解析：(1)小明抄袭了小丽的家庭作业，违反了保密性。保密性是确保信息仅被合法用户访问，而不被地露给非授权的用户、实体或过程，或供其利用的特性。(2)小明私自修改了自己的成绩，违反了完整性。完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。(3)小李窃取了小刘的学位证号码、登陆口令信息，并通过学

42、位信息系统更改了小刘的学位信息记录和登陆口令，将系统中小刘的学位信息用一份伪造的信息替代，造成小刘无法访问学位信息系统。违反了保密性、完整性、可用性。可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。【问题3】解析：密码体制的安全应当只取决于密钥的安全，而不取决于对密码算法的保密。密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。每个密钥都有其生命周期，要对密钥的整个生命周期的各个阶段进行全面管理。密码体制不同，密钥的管理方法也不间。密钥管理是一个很困难的问题，历史表明，从密钥管理的途径窃取秘密要比单纯从破译密码算法窃取秘

43、密所花的代价小得多。因此，首先要了解密钥管理的一些基本原则:区分密钥管理的策略和机制:全程安全原则:最小权利原则:责任分离原则:密钥分级原则:密铝更换原则:密钥应当选择长度足够，随机等。8. 填空题：在Windows系统中，采用（）程序可以合并卷上的可用空间，使每个文件和文件夹占用卷上连续的磁盘空间，这样可以便系统（）。问题1选项A.任务计划B.资源监视器C.碎片整理D.性能监视器问题2选项A.改变空闲区文件管理方案B.提高对文件和文件夹的访问效率C.提高对文件的访问效率，而对文件夹的访问效率保持不变D.提高对文件夹的访问效率，而对文件的访问效率保持不变答案：CB 本题解析：暂无解析9. 问答

44、题：某IT部门的小张在撰写本企业的信息化管理报告时，提到企业信息安全的管理所存在的问题时有如下表述（下面方框内）。企业销售系统数据库没有配置安全审计策略，数据安全没有保障。网上销售系统采用的HTTP协议，需要升级成HTTPS协议，确保在传输过程中的数据安全。企业各部门人员进出数据机房存在记录日志不规范的现象，有些记录缺少人员出入的时间、运维内容、维护结果的登记。企业仅有一条百兆网络出口线路，当网络线路出现故障时不能保障业务的连续性。请分析小张提出的企业信息安全问题，并结合信息安全管理的相关知识回答下列问题。【问题1】（6分）请简要说明安全审计对数据安全保障的作用。【问题2】（4分）（1）HTT

45、PS协议在传输过程中如何确保数据的安全。（2）访问HTTPS网站与访问HTTP网站的区别是什么。【问题3】（3分）简要叙述对信息化人员的安全管理包括哪些方面。【问题4】（2分）为了保障业务的连续性，拟配置两条百兆网络出口线路，请简要说明应该如何配置策略路由。答案： 本题解析：【问题1】（6分）安全审计的作用如下：（1）检测对系统的入侵，对潜在的攻击者起到震慑或警告作用。（2）发现计算机的滥用情况，对于已经发生的系统破坏行为提供有效的追纠证据。（3）为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。（4）为系统安全管理员提供系统运行的统计日志，

46、使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。【问题2】（4分）HTTPS通过：内容加密：建立一个信息安全通道，来保证数据传输的安全身份认证：确认网站的真实性数据完整性：防止内容被第三方冒充或者篡改来确保数据的安全HTTPS和HTTP的区别https协议需要到CA申请证书。http是超文本传输协议，信息是明文传输；https则是具有安全性的ssl加密传输协议。http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议

47、安全。【问题3】（3分）对信息化人员的安全管理遵从多人负责、任期有限、职责分离和最小权限原则，包含以下内容：1、加强人员的审查、培训和考核工作。2、做好人员的权限控制，并签订保密合同，承诺调离后的保密任务。3、调离不合格人员，对调离人员要求做好交接工作（交接日志记录），并收回调离人员的权限、账号、钥匙、证件等相关资料。【问题4】（2分）使用双主干策略路由，配置策略路由步骤为：定义路由策略定义每个路由策略的匹配规则或条件定义每个规则或条件匹配后的行为将策略应用到指定的端口上【问题1】安全审计的作用如下：（1）检测对系统的入侵，对潜在的攻击者起到震慑或警告作用。（2）发现计算机的滥用情况，对于已经

48、发生的系统破坏行为提供有效的追纠证据。（3）为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。（4）为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。【问题2】HTTPS通过：内容加密：建立一个信息安全通道，来保证数据传输的安全身份认证：确认网站的真实性数据完整性：防止内容被第三方冒充或者篡改来确保数据的安全HTTPS和HTTP的区别https协议需要到CA申请证书。http是超文本传输协议，信息是明文传输；https则是具有安全性的ssl加密传输协议。http和https使用的是完全不同

49、的连接方式，用的端口也不一样，前者是80，后者是443。http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。【问题3】对信息化人员的安全管理遵从多人负责、任期有限、职责分离和最小权限原则，包含以下内容：1、加强人员的审查、培训和考核工作。2、做好人员的权限控制，并签订保密合同，承诺调离后的保密任务。3、调离不合格人员，对调离人员要求做好交接工作（交接日志记录），并收回调离人员的权限、账号、钥匙、证件等相关资料。【问题4】使用双主干策略路由，配置策略路由步骤为：定义路由策略定义每个路由策略的匹配规则或条件定义每个规

50、则或条件匹配后的行为将策略应用到指定的端口上10. 问答题：IT外包是指企业将其IT部门的职能全部或部分外包给专业的第三方管理，集中精力发展企业的核心业务。选择IT外包服务能够为企业带来诸多的好处，如将计算机系统维护工作外包可解决人员不足（或没有）的问题；将应用系统和业务流程外包，可使企业用较低的投入获得较高的信息化建设和应用水平。依据某研究数据，选择IT外包服务能够为企业节省65%以上的人员开支，并减少人力资源管理成本，使企业更专注于自己的核心业务，并且可以获得更为专业、更为全面的热情服务。因此，外包服务以其有效减低成本、增强企业核心竞争力等特性成了越来越多企业采取的一项重要的商业措施。IT

51、外包成功的关键因素之一就是选择具有良好社会形象和信誉、相关行业经验丰富、能够引领或紧跟信息技术发展的外包商作为战略合作伙伴。因此，对外包商的资格审查应从技术能力、经营管理能力和发展能力等方面着手。具体而言，应包括外包商提供信息技术产品的创新性、安全性和兼容性；外包商在信息技术方面取得的资格认证如软件厂商证书；外包商的领导层结构、员工素质、客户数量、社会评价；外包商的项目管理水平；外包商所具有的良好运营管理能力的成功案例；员工间团队的合作精神；外包商客户的满意度；外包商财务指标和盈利能力；外包商的技术费用支出合理等等。IT外包有着各种各样的利弊。在IT外包日益普遍的形势下，企业应该发挥自身的作用

52、，应该重视外包商选择中的约束机制，应该随时洞察技术的发展变化，应该不断汲取新的知识，倡导企业内良好的IT学习氛围等，从而最大程度地保证企业IT项目的成功实施。【问题1】（4分）IT外包已成为未来发展趋势之一，那么IT外包对企业有何好处？【问题2】（4分）外包成功的关键因素之一就是选择外包商，那么你认为选择外包商的标准有哪些？【问题3】（4分）外包商资格审查的内容之一就是其经营管理能力，请简要说明外包商的经营管理能力具体应包括哪些方面？【问题4】（3分）企业的IT外包也会面临一定的风险，应采取哪些措施来控制外包风险？答案： 本题解析：【问题1】（4分）（1）可以扬长避短，集中精力发展企业的核心业

53、务（2）可以为企业节省人员开支（3）可以减少企业的人力资源管理成本（4）可使企业获得更为专业，更为全面的热情服务【问题2】（4分）（1）良好的社会形象和信誉（2）相关行业经验丰富（3）能够引领或紧跟信息技术发展（4）具有良好的技术能力、经营管理能力和发展能力（5）加强战术和战略优势，建立长期战略关系（6）聚焦于战略思维，流程再造和管理的贸易伙伴关系答对1条1分【问题3】（4分）（1）外包商的领导层结构、员工素质、客户数量、社会评价（2）外包商的项目管理水平（3）外包商所具有的良好运营管理能力的成功案例（4）员工间团队的合作精神（5）外包商客户的满意度答对1条得1分【问题4】（3分）（1）加强对

54、外包合同的管理（2）对整个项目体系进行科学的规划（3）对新技术要敏感（4）要不断学习，倡导良好的IT学习氛围答对1条1分【问题1】：可以扬长避短，集中精力发展企业的核心业务；可以为企业节省人员开支；可以减少企业的人力资源管理成本；可使企业获得更为专业，更为全面的热情服务。【问题2】：外包成功的关键因素之一是选择具有良好社会形象和信誉、相关行业经验丰富、能够引领或紧跟信息技术发展的外包商作为战略合作伙伴。因此对外包商的资格审查应从技术能力、经营管理能力、发展能力这三个方面着手。1、技术能力：外包商提供的信息技术产品是否具备创新性、开发性、安全性、兼容性，是否拥有较高的市场占有率，能否实现信息数据

55、的共享；外包商是否具有信息技术方面的资格认证，如信息产业部颁发的系统集成商证书、认定的软件厂商证书等；外包商是否了解行业特点，能够拿出真正适合本企业业务的解决方案；信息系统的设计方案中是否应用了稳定、成熟的信息技术，是否符合行业发展的要求，是否充分体现了以客户为中心的服务理念；是否具备对大型设备的运行、维护、管理经验和多系统整合能力；是否拥有对高新技术深入理解的技术专家和项目管理人员。2、经营管理能力：了解外包商的领导层结构、员工素质、客户数量、社会评价；项目管理水平，如软件工程工具、质量保证体系、成本控制、配置管理方法、管理和技术人员的老化率和流动率；是否具备能够证明其良好运营管理能力的成功

56、案例；员工间是否具备团队合作精神；外包商客户的满意程度。3、发展能力：分析外包服务商已审计的财务报告、年度报告和其他各项财务指标，了解其盈利能力；考察外包企业从事外包业务的时间、市场份额以及波动因素；评价外包服务商的技术费用支出以及在信息技术领域内的产品创新，确定他们在技术方面的投资水平是否能够支持企业的外包项目。【问题3】：1、外包商的领导层结构、员工素质、客户数量、社会评价；2、外包商的项目管理水平；3、外包商所具有的良好运营管理能力的成功案例；4、员工间团队的合作精神；5、外包商客户的满意度。【问题4】：IT外包有着各种各样的利弊，在IT外包日益普遍的浪潮中，企业应该发挥自身的作用、降低

57、组织IT外包的风险，以最大程度地保证组织IT项目的成功实施。具体可以从以下几点入手： 加强对外包合同的管理。对于企业IT管理者而言，在签署外包合同之前应该谨慎而细致地考虑外包合同的方方面面，在项目实施过程中也要能够积极制定计划和处理随时出现的问题。 对整个项目体系的规划。企业必须对组织自身需要什么、问题在何处非常清楚，从而能够协调好与外包商之间长期的合作关系。同时IT部门也要让手下的员工积极地参与到外包项目中去。 对新技术敏感。企业IT部门应该注意供应商的技术简介、参加高技术研讨会并了解组织现在采用新技术的情况。不断评估组织的软硬件方案，并弄清市场上同类产品及其发展潜力。 不断学习。企业IT部门应该在组织内部倡导良好的IT学习氛围，以加快用户对持续变化的IT环境的适应速度。