2011软考信息系统监理师重点辅导(6)
信息安全管理 信息系统安全的定义:信息系统安全是指确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的保密性、完整性和可用性,以及与人、网络、环境有关的技术安全、结构安全和管理安全的综合。总的来说,信息系统安全就是要保证信息系统的用户在允许的时间内、从允许的地点、通过允许的方法,对允许范围内的信息进行所允许的处理。信息系统安全属性分为三个方面:可用性、保密性和完整性。
完整地构建信息系统的安全体系框架,信息系统安全体系应当由技术体系、组织结构体系和管理体系共同构建。
安全管理制度:1、计算机信息网络系统出入管理制度;2、计算机信息网络系统各工作岗位的工作职责、操作规程;3、计算机信息网络系统的升级、维护制度;4、计算机信息网络系统工作人员人事管理制度;5、计算机信息网络系统安全检查制度;6、计算机信息网络系统应急制度;7、计算机信息网络系统信息资料处理制度;8、计算机信息网络系统工作人员安全教育、培训制度;9、计算机信息网络系统工作人员循环任职、强制休假制度。
物理访问管理注意事项:1、硬件设施在合理范围内是否能防止强制入侵;2、计算机设备的钥匙是否有良好的控制以降低未授权者进入的风险;3、职能终端是否上锁或有安全保护,以防止电路板、芯片或计算机被搬移;4、计算机设备在搬动时是否需要设备授权通行的证明。
应用环境的安全管理,监理安全管理策略:火灾的控制;水灾探测器的安置;计算机机房;
逻辑访问的安全管理,监理的主要原则:1、了解信息处理的整体环境并评估其安全需求,2、通过对一些可能进入系统访问路径进行记录复核,3、通过相关测试数据访问控制点,评价安全系统的功能和有效性,4、分析测试结果和其他审核结论,评价访问控制的环境并判断是否达到控制目标,5、审核书面策略,观察实际操作和流程,与一般公认的信息安全标准相比较,评价组织环境的安全性及适当性等。
架构安全的住处网络系统:局域网的安全VLAN;C /S架构安全;互联网的威胁和安全;采用加密技术;网闸,即安全隔离与信息交换系统;防火墙技术;入侵检测系统;安全漏洞扫描;病毒防范;
数据备份的策略和方式:备份策略的选择:1备份策略包括:全备份、差分备份、增量备份和备份介质轮换。2数据备份与恢复技术涉及到的几个方面(存储设备:存储优化:存储保护:存储管理:备份与恢复技术。)
备份方式的选择:硬件备份:软件备份;人工备份;
2011软考信息系统监理师重点辅导(6)
灾难恢复的策略:1全自动恢复系统;2手动恢复系统;3数据备份系统;4监理单位法:(建议建设单位制定灾难恢复计划;灾难恢复计划的监理工作:) 1、获得领导层的支持;2、召开解决方案研讨会;3、选定负责人;4、进行业务影响分析;5、评定保持业务持续性的战略;6、组织全体人员熟悉此项计划;7、提供全面的备份中心设施;8、灾难恢复计划以文档形式在工作人员之间共享;9、在系统上装载和运行必需的工具来衡量恢复解决方案的要求;10、保证解决方案中的所有硬件、软件和网络部件的可用性;11、提供可扩展的容量来满足组织的预期工作负荷。12、进行恢复功能测试和灾难恢复模拟。信息系统工程信息是对参与各方主体从事信息系统工程项目管理(或监理)提供决策支持的一种载体,如项目建议书、可行性研究报告、设计说明书、售后服务协议以及实施标准等。
信息系统工程信息具有的特点:1、现实性:是信息系统工程信息的最基本性质;2、适时性:反映了信息系统工程信息具有突出的时间性的特点;3、复杂性:4共用性和增值性
信息系统工程信息资料的划分:按照工程建设信息的性质划分:引导信息;辨识信息。用途:投资控制、进度、质量、合同、组织、其他
文档管理过程中应该注意的事项:文档的格式应该统一;文档版本要统一;文档的存档标准要统一规定。
监理在信息管理中的主要文档:1、总控类文档:指承检合同、总体方案、项目组织实施方案、技术方案、项目进度计划、质量保证计划、资金分解计划、采购计划、监理规划及实施细则等文档;2、监理实施类文档:工程项目变更监理文档、工程进度监理文档、工程质量监理文档、工程监理日报、工程监理月报、工程验收监理报告、工程监理总结报告;(了解每一种报告包含的主要内容)3监理回复(批复)类文件:总体监理意见、系统集成监理意见、软件开发监理意见、培训监理意见、专题监理意见、其它监理意见、提交资料回复单等。4监理日志及内部文件。
日报:针对近期的工程进度、工程质量、合同管理及其他事项进行综合、分析,提出必要的意见
月报:工程概况;监理工作统计;工程质量控制;工程进度控制;管理协调;监理总评价;下月监理计划
验收报告:工程竣工准备工作概述;验收测试方案与规范;测试结果与分析;验收测试结论
总结报告:工程概况;监理工作统计;工程质量概述;管理协调概述;监理总评价
组织协调的基本原则:公平、公正、独立的原则:即“一碗水端平”;守法原则;诚信原则;科学原则。
组织协调的监理单位常用方法:监理会议:项目监理例会;监理专题会议;监理报告:定期的监理周报、月报;不定期的监理报告;监理通知与回复;日常的监理文件;监理作业文件;应掌握的沟通原则:1、排除第一印象干扰;2、把握人际关系认知的规律;3、创造良好的人际交往条件:(外表问题;态度的类似性;需求的互补性、时空上的接近性。)
信息网络系统的体系框架:网络基础平台、网络服务平台、网络安全平台、网络管理平台、环境平台
网络监理方法:评估、网络仿真、现场旁站、抽查测试、网络性能测试
信息网络系统的验收:设备的验收和系统的验收
了解信息网络系统建设准备阶段的过程划分:立项、工程准备、招标等。
立项评审的基本原则:简单性、灵活性、完整性、可靠性、经济性等。
开标过程:招标、投标、开标、评标、决标、授予合同
立项阶段监理应协助业主做的工作(任务):了解业主现有的人力物力情况;为新系统的建设确定项目组织和人员配备;编制立项申请报告,并提交给上级主管部门;撰写项目可行性报告。
可行性分析的四个主要方面:经济可行性、技术可行性、系统生存环境可行性、各种可选方案。
可行性分析研究的内容:系统建设的必要性;系统实施计划;系统建设的经济效益。
招标阶段监理的重要工作:评估投标单位总体技术方案;审查承建方的实力;把好工程投资关。
监理方在设计阶段的主要工作是进行方案评审,包括:设计组织人员与职责的评审、需求分析符合程度的评审、风险分析、技术经济分析、设计进度的检查、系统边界清晰和完整性评审、系统安全性评审、知识产权保护建议等。
2011软考信息系统监理师重点辅导(6)
设计阶段的监理工作主要包括以下内容:1、结合信息工程项目特点,收集设计所需的技术经济资料。2、配合设计单位对方案设计进行技术经济分析,优化设计。3、协助业主进行设计文件的评审。4、参与主要设备、材料的选型工作。5、审核方案中主要设备、材料清单。6、审核系统设计方案及其他详细设计文件。7、组织设计文件的报批。8、对方案设计内容进行知识产权保护监督。9、审核技术放案中信息安全保障措施。10、协助业主对工程建设周期总目标进行分析讨论。11、审核承建方编制的工程项目总进度计划,并在项目实施过程中控制其执行。12、如果与合同有冲突,应督促承建方调整工程进度计划。审核承建方编制的各分项工程阶段进度计划,根据实际环境的变化,督促承建方及时调整进度计划。13审核工程设计和承建方的设备/材料清单和采购计划,并检查、敦促其执行。 设计方案评审的基本原则:1、标准化原则;2、先进性和实用性原则;3、可靠性和稳定性原则;可扩展性原则;4、安全性原则;5、可管理性原则;6、对原有设备、7、资源合理整合的原则;8、经济和效益性原则。网络基础平台方案重点:网络整体规划、网络设备选型、服务器和操作系统选型、存储备份系统选型
网络服务平台方案重点:Internet网络服务系统规划和选型、多媒体业务网络规划和选型、数字证书系统规划和选型
网络安全和管理平台方案重点:防火墙系统;入侵监测和漏洞扫描系统;其他网络安全系统;网络管理系统
环境平台方案的评审:机房建设、综合布线系统
网络安全系统监理方应重视以下几方面的内容:1、风险分析的有效性、准确性。2、确保符合国家法令、法规的要求。3、保证有关评审是在相关职能部门的主持下完成的。4、从技术、市场、工程组织实施、售后服务等各个环节对网络系统的安全性进行整体和分项评估,避免出现任何技术和管理漏洞。
本阶段监理重点归纳:严把方案设计关。统筹规划、充分论证:技术路线、策略和容量配置。细化需求分析工作。跟踪最新行业标准。加强量化测试的重要性
信息网络系统建设实施阶段的监理:实施阶段的监理工作的重点就是“三控两管一协调”。主要监理内容包括:开工前的监理、实施准备阶段的监理、实施阶段的监理(网络集成与测试阶段)。
开工前:审核实施方案、进度计划、实施组织计划、承建单位及个人相关资质。
准备阶段:了解实施的各种活动准备情况。
实施阶段:1组织布线、网络和安全系统方案评审;2对现场布线施工情况等进行检查;3评审项目验收大纲并对各子系统进行测试验收;4移交相应文档并组织相应最终测试验收。
设备采购的监理主要职责:审核承建方的采购计划和采购清单;设备质量、到货时间的审核;订货、进货确认;组织到货验收;设备移交审核;外购硬件和软件的监理。
设备采购监理的重点:设备是否与工程量清单、合同规定的规格相符;设备说明书等证明文件是否齐全;到货是否及时;配套软件是否成熟。
监理流程:承建商提前三天通知设备到货地点、时间,提交清单;协助业主方做好到货验收准备,进行设备验收,发现缺损由承建商负责更换;提交验收报告。
机房工程的监理重点:审查好施工组织方案,重点检查是否有保证工程质量的措施;控制好施工人员资质;严格贯彻《建筑智能化系统工程实施及验收规范》;深入现场落实随装随测的要求。
综合布线的监理综合布线工程包括综合布线设备安装、布放线缆、缆线端接三个环节。综合布线的监理内容主要有两项:按照国家相关标准审查承建方人员施工是否规范;到场设备的验收。
隐蔽工程的监理金属线槽安装:吊架按照相关标准安装;线槽按照规范安装;线槽内配线按照要求安装,线缆不得扭绞,两端贴标签等。
页:
[1]