1.
CORBA 标准,用于分布计算技术,分三层,由下到上是:
a) 对象请求代理;
b) 公共对象服务;
c) 公共设施(与业务挂钩);
d) 再上面是应用接口、领域接口;
2. 中间件是位于硬件、操作系统等平台和应用之间的通用服务;
3. 软件质量:分 内部质量、外部质量、和使用质量;
4. 软件质量管理过程中的评审与审计过程包括:管理评审、技术评审、检查、
走查、审计等;
5. 软件质量管理过程包括:质量保证过程、验证过程、确认过程、评审过程、
审计过程;等;
6. 软件质量特性:功能性、可靠性、易用性、效率、维护性和可移植性;
7. 使用质量四个特性:有效性、生产率、安全性和满意度;
8. 软件使用质量的度量点:
a) 有效性:软件产品在指定的使用环境下,使用户能达到与准确性和完备
性相关的规定目标的能力;
b) 生产率:软件产品在指定的使用环境下,使用户为达到有效性而消耗适
当数量的资源能力;
c) 安全性:软件产品在指定的使用环境下,达到对人类、业务、软件、财
产或环境造成损害的可接受的风险级别的能力。
d) 满意度:软件产品在指定的使用环境下,使用户满意的能力;
9. 面向对象的分析的步骤如下:
a) 发现角色/参与者;
b) 发现用例;
c) 建立用例模型;(用例模型描述全部的系统功能行为)
d) 进行领域分析;
e) 建立对象-关系模型;(静态模型,包括类图和对象图)
f) 建立对象-行为模型;(动态模型)
g) 建立功能模型;
10. 推进企业信息化发展过程中原则:
a) 效益原则;
b) “一把手”原则;
c) 中长期与短期建设相结合原则;
d) 规范化和标准化原则;
e) 以人为本的原则;
11. 十二金工程:金宏、办公业务资源;金财、金税、金卡、金审和金关;金盾、
金保;金农、金水、金质(质监局);
12. 电子政务建设指导原则:统一规划,加强领导;需求主导,突出重点;整合
资源,拉动产业;统一标准,保障安全;
13. 电子政务,四种:G2G 政府对政府、G2B 政府对企业、G2C 政府对公众(Citizen)、
G2E 政府对公务员;
14. 电子商务,四种:企业与企业 B2B,企业与消费者 B2C,消费者与消费者 C2C,
政府与企业 G2B;
15. 企业信息化结构包括:产品(服务)层、作业层、管理层、决策层;
16. 客户数据,包括 描述性、促销性 、交易性数据;
17. 供应链包括 3 个类型:企业供应链、产品供应链和基于供应链契约的供应链;
18. 供应链系统设计的原则:
a) 自顶向下和自底向上相结合;
b) 简洁性原则;(供应商少而精)
c) 取长补短;(强强联合)
d) 动态性原则;
e) 合作性原则;
f) 战略性原则;
19. 企业应用集成,从易到难有:数据集成、应用系统集成、业务流程集成;
20. 电子商务安全要求:
a) 数据传输的安全性;
b) 数据的完整性;
c) 身份验证;
d) 交易的不可抵赖性;
21. 信息的安全属性:保密性、可用性、完整性、不可抵赖性(不可否认性);
22. 四流:商流、物流、资金流和信息流;商流是交易活动过程,是因是前提;
后面三个是果。
23. Oracle11g 是甲骨文(Oracle)公司的;DB2 是 IBM 公司的数据库管理系统;
Ms SQL Server 是微软公司的;
24. 数据仓库的特点:
a) 面向主题;
b) 集成的;
c) 相对稳定的;(主要是查询,只有少量修改和删除)
d) 反应历史变化;
25. J2EE 采用多层分布式应用程序模型;
26. 工作流包括:
a) 实体;
b) 参与者;
c) 流程定义;
d) 工作流引擎;(动态、核心)
27. 数据链路层:IEEE 802 系列规范,FDDI,ATM。帧是数据链路层的传送单位;
28. 速率达到或超过 100Mb/s 的以太网称为高速以太网。
29. MPEG 协议工作在表示层,EBCDIC,ASCII 也在表示层;
30. SPX(序列分组交换协议)也是在传输层,与 TCP 实现同种功能;IPX 把接
收到的数据包给 SPX 处理;
31. 非屏蔽双绞线 UTP:Unshielded Twisted Pair ;屏蔽双绞线 STP:Shielded
Twisted Pair;
32. SMTP 是发送邮件的,pop3 是接受邮件的,离线;IMAP4 是接收邮件的,在
线;
33. IP 地址被分为 A、B、C、D、E 这五类;商业应用中只要到 ABC 三类;
34. 网络管理分为:配置管理、性能管理、故障管理、安全管理、计费管理;
35. 网络规划,三个原则:实用性原则、开放性原则、先进性原则;
36. 网络方案实施原则:
a) 可靠性原则;
b) 安全性原则;
c) 高效性原则;
d) 可扩展性原则;
37. 层次式网络设计中,三个层次:核心层、汇聚层和接入层;
38. ADSL(非对称数字用户环路)是频分复用技术,把电话线分为电话、上行、
下行三个独立信道。
39. RAID 相关:
a)
b)
c)
d)
e)
f)
RAID0 是存储性能最高的;没有数据冗余,没有数据校验,一块坏全部
坏,不能用在关键领域;
RAID1 是镜像;使用率 50%,用一份备份一份;
RAID2,有海明码(或汉明码)校验,太复杂,商业少用。(海明码可以
不仅可以发现错误,还可以纠正错误。也是利用奇偶校验。)
RAID3,与 2 类似,奇偶校验,N+1 中有 N 个存数据,1 个存校验信息;
RAID4,与 3 类似,3 是按位访问,4 是按数据块访问;
RAID5,性能安全性成本兼顾,使用较多;是 0 和 1 的折中;不对数据
备份;有奇偶校验;
40. 存储的三个模式:
a) 直接连接存储 DAS(Direct Attached Storage);SCSI 接口是(Small
Computer System Interface,SCSI)小型计算机系统接口;相关产品包
括磁盘、磁带库、光存储;
b) 网络连接存储 NAS(Network Attached Storage);产品包括磁盘阵列、
磁带库;
c) 存储区域网络 SAN(Storage Area Network);采用高速光纤通道做传
输介质,采用高端的 RAID 阵列;独立区别于 TCP/IP 网络。
41. 1000Base 的传输介质标准中:
a)
b)
c)
1000BASE-LX,1000BASE-SX(多模光纤),1000BASE-FX,1000BASE-ZX 使
用的是光纤;
1000BASE-T 使用的是双绞线;
1000BASE-CX 使用的是铜缆;
42. 单模双模的区别:
a) 单模光纤的纤芯相应较细,传输频带宽、容量大、传输距离
长,但需激光源,成本较高,通常在建筑物之间或地域分散的环境中使
用;
b) 多模光纤的芯线粗,传输速率低、距离短,整体的传输性能差,但成本
低,一般用于建筑物内或地理位置相邻的环境中。
43. 交换机堆栈用于扩展交换端口,不是扩展距离;
44. 交换方式:电路交换、报文交换、分组交换、ATM 交换;(电路交换适合语
音业务,分组交换有延迟,ATM 速度快、技术复杂、设备昂贵)
45. 一般无线设备(无线网卡、无线 AP)在没有隔离物,开放空间所能覆盖的
最大距离通常为 300 米;
46. 令牌环标准是 IEEE802.5;以太网是 IEEE802.3;无线局域网是 IEEE802.11;
城域网使用 IEEE802.16;个人无线局域网 IEEE802.15;
47. 无线个人局域网技术包括:蓝牙、ZigBee、超频波段(UWB)、IrDA,HomeRF
等;蓝牙最广泛;
48. 射频识别技术(RFID,Radio Frequency Identification),可以读写。不
需要建立机械或光学接触。可同时处理多个标签;
49. 云计算包括三个层次:
a) 基础设施即服务(IaaS,Infrastructure-as-a-Service)
b) 平台即服务(PaaS)
c) 软件即服务(SaaS)
50. 《大楼通信布线系统》D/T926 的使用范围是跨越距离不超过 3000 米,建筑
总面积不超过 100 万平方米,区域内人员为 50 人~5 万人;
51. 根据 EIA/TIA-568A 标准,综合布线系统分为 6 个子系统:建筑群子系统、
设备间子系统、垂直干线子系统、管理子系统、水平子系统和工作区子系统。
设备间子系统:主机房;
管理子系统:楼层配线间;机柜、配线架、网络设备;
垂直子系统:连接设备间和管理间;
水平子系统:一般是星型拓扑;
52. 从楼层配线架到各通信引出端属于水平布线子系统。该子系统包括通信引出
端、水平电缆、水平光缆、机器在楼层配线架上的机械终端、接插软线和跳
线;水平子系统中工作区电缆、工作区光缆、设备电缆、设备光缆和接插软
线或跳线的总长度小于等于 10 米,水平电缆最大长度为 90 米,线缆总长度
不超过 100 米。
53. 综合布线系统分三个设计等级:基本型、增强型、综合型。对于每个工作区
信息插座的数量分别为:基本型 1 个,增强型 2 个,综合型 1 个以上。
a) 综合型引入了光缆,适用配置标准较高的场合,使用光缆和铜芯双绞线;
信息插座 1 个以上;
b) 增强型适合中等配置的场合,使用钢芯双绞线,每个工作区有两个信息
插座;
c) 基本型配置标准较低,使用铜芯双绞线,每个工作区有一个信息插座;
54. RJ45 头需求量的计算方法是 m=n*4+n*4*15%; n 是信息点的个数;
55. 机房分级:分 ABC 三级;
a)
A 级:电子信息系统运行中断将造成重大的经济损失,造成公共场所秩
序严重混乱;
B 级:将造成较大的经济损失、造成公共场所秩序混乱;
b)
c) 不属于 AB 级的就是 C 级机房;
56. 主机房内和设备间的距离应符合:
a) 用于搬运设备的通道净宽不应小于 1.5 米;
b) 面对面布置的机柜或机架正面之间的距离不应小于 1.2 米;
c) 背对背布置的机柜或机架背面之间的距离不应小于 1 米;
d) 当需要在机柜侧面维修测试时,机柜与机柜、机柜与墙之间的距离不应
小于 1.2 米;
e) 成行排列的机柜、其长度超过 6 米时,两端应设有出口通道;当两个出
口通道之间的距离超过 15 米时,在两个出口通道之间还应增加出口通
道,出口通道的宽度不应小于 1 米,局部可为 0.8 米;
f) 电子信息系统机房内通道的宽度及门的尺寸应满足设备和材料运输要
求,建筑的入口至主机房应设通道,通道净宽不应小于 1.5 米;
57. 保护性接地:包括:
a) 防雷接地;
b) 防电击接地;
c) 防静电接地;
d) 屏蔽接地;
58. 功能性接地,包括:
a) 交流工作接地;
b) 直流工作接地;
c) 信号接地;
59. A 级机房举例:国家气象台;国家级信息中心、计算中心;重要的军事指挥
部门;大中城市的机场、广播电台、电视台、应急指挥中心;银行总行;国
家和区域电力调度中心等的电子信息系统机房和重要的控制室;
60. B 级机房距离:科研院所;高等院校;三级医院;大中城市的气象台、大中
城市信息中心、大中城市的疾病预防与控制中心、大中城市的电力调度中心、
交通(铁路、公路、水运)指挥调度中心;国际会议中心;大型博物馆、档
案馆、会展中心、国际体育比赛场馆;省部级以上政府办公楼;大型工矿企
业等的电子信息系统机房和重要的控制室。
DOS(Denial of Service)拒绝服务攻击;
1.
2. 攻击分为主动式攻击和被动式攻击两类:
第四章 信息安全
a) 主动式攻击,攻击者访问他所需信息的故意行为,包含拒绝服务攻击、
信息篡改、资源使用、欺骗等攻击方法;
b) 被动式攻击,主要是收集信息而不是访问:包括嗅探、信息收集、窃听
等攻击方法;
3. 应用系统运行中涉及的安全和保密层次,按粒度从细到粗排序是:数据域安
全、功能性安全、资源访问安全、系统级安全;
a) 系统级安全包括:敏感系统的隔离、访问 IP 地址段的限制、登录时间
段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的
限制和远程访问控制等;是应用系统第一道防护大门;
b) 资源访问安全:对程序资源的访问进行安全控制,在客户端上,为用户
提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;
在服务端则对 URL 程序资源和业务服务类方法的调用进行访问控制;
c) 功能性安全。功能性安全会对程序流程产生影响,如用户在操作业务记
录时,是否需要审核,上传附件不能超过指定大小等。这些安全限制已
经不是入口级的限制,而是程序流程内的限制,在一定程度上影响程序
流程的运行。
d) 数据安全有 2 个层次,分行级、字段级数据域安全;
4. 保障系统完整性的方法:
a) 安全协议:各种安全协议可检测出被删除失效修改的字段;
b) 纠错编码方法:常用的是奇偶校验法;(海明码,还可以纠错。也利用
奇偶校验)
c) 密码校验和方法:是抗篡改和传输失败的重要手段;
d) 数字签名:保障信息的真实性;发送者信息确认;
e) 认证:请求系统管理或中介机构证明信息的真实性;
5. 用户的入网访问控制分为三个步骤:用户名的识别与验证、用户口令的识别
与验证、用户账号的默认限制检查;
6. 入侵检测系统分两类:
a) 基于主机的入侵检测,使用操作系统的审计跟踪日志作为输入;
b) 基于网络的入侵检测,监听网络流量;
7. 建立组织机构管理体系:
a) 配备安全管理人员;
b) 建立安全职能部门;
c) 成立安全领导小组;
d) 主要负责人出任领导;
e) 建立信息安全保密管理部门;
8. 对计算机机房的安全保护包括机房场地选择、机房防火、机房空调、降温、
机房防水与防潮、机房防静电、机房接地与防雷击、机房电磁防护等;
9. 进出电磁屏蔽室的网络线宜采用光缆或屏蔽缆线,光缆不应带有金属加强芯;
10. 交流工作接地时电阻不应大于 4 欧,安全工作接地时电阻不应大于 4 欧,直
流工作接地时电阻不应大于 1 欧,防雷接地时电阻不应大于 10 欧;
11. 交流工作接地、安全工作接地、直流工作接地三种接地必须单独与大地连接,
互相的间距不能小于 15m;
12. 安全等级分为保密等级和可靠性等级两种,系统的保密等级与可靠性等级可
以不同。保密等级应按有关规定化为绝密、机密和秘密。可靠性等级可分为
三级,对可靠性要求最高的为 A 级,系统运行所要求的最低限度可靠性为 C
级,介于中间的为 B 级;
13. 对信息系统岗位人员的管理,应根据其关键程度建立相应的管理要求:
a) 对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开
发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人
员进行统一管理;允许一人多岗,但业务应用操作人员不能由其他关键
岗位人员兼任;关键岗位人员应定期接受安全培训,加强安全意识和风
险防范意识。
b) 兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管
理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人
员等岗位或工作,必要时关键岗位人员应采取定期轮岗制度;
c) 权限分散要求:在上述基础上,应坚持关键岗位“权限分散、不得交叉
覆盖”的原则,系统管理员、数据库管理员、网络管理员不能相互兼任
岗位或工作;
d) 多人共管要求:在上述基础上,关键岗位人员处理重要事务或操作时,
应保持二人同时在场,关键事务应多人共管;
e) 全面控制要求:在上述基础上,应采取对内部人员全面控制的安全保证
措施,对所有岗位工作人员实施全面安全管理。
14. 对人员离岗的管理,可以根据离岗人员的关键程度,采取下列控制措施。
a) 基本要求:立即中止被解雇的、退休的、辞职的或其他原因离开的人员
的所有访问权限;收回所有相关证件、徽章、秘钥和访问控制标记等;
收回机构提供的设备等。
b) 调离后的保密要求:在上述基础上,管理层和信息系统关键岗位人员调
离岗位,必须经单位人事部门严格办理调离手续,承诺其调离后的保密
要求;
c) 离岗的审计要求:在上述基础上,涉及组织机构管理层和信息系统关键
岗位的人员调离单位,必须进行离岗安全审查,在规定的脱密期限后,
方可调离。
d) 关键部位人员的离岗要求:在上述基础上,关键部位的信息系统安全管
理人员离岗,应按照机要人员管理办法办理。
15. 安全保护等级划分如下:
a) 用户自主保护级:适用于普通内联网用户;
b) 系统审计保护级:适用于通过内联网或国际网进行商务活动,需要保密
的非重要单位;
c) 安全标记保护级:适用于地方各级国家机关、金融机构、邮电通信、能
源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建
设单位;
d) 结构化保护级:适用于中央级国家机关、广播电视部门、重要物资储备
单位、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国
防建设等部门;
e) 访问验证保护级:适用于国防关键部门和依法需要对计算机信息系统实
施特殊隔离的单位;
16. 对称加密:分分组密码和序列密码,主要有 RC-5、DES、IDEA、3DES。
17. 非对称加密:RSA;
18. X.509 证书包含:版本、序列号、签名算法标识符、签发人信息(CA)、有
效期、主体信息、主体公钥信息,发布者的数字签名;
19. 防火墙中的 DMZ(非军事区)是从企业内部网络中划分的一个小区域;安全
等级比内网低;(三宿主 DMZ 区)
20. 背靠背 DMZ 区:内网-防火墙-DMZ 区-防火墙-互联网;
21. 系统运行安全检查和记录的范围如下:
a) 应用系统的访问控制检查;包括物理和逻辑访问控制,是否按照规定的
策略和程序进行访问权限的增加、变更和取消,用户权限的分配是否遵
循“最小特权”原则;
b) 应用系统的日志检查:包括数据库日志、系统访问日志、系统处理日志、
错误日志及异常日志;
c) 应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统恢
复时间等;
d) 应用系统能力检查:包括系统资源消耗情况、系统交易速度和系统吞吐
量等;
e) 应用系统的安全操作检查:用户对应用系统的使用是否按照信息安全的
相关策略和程序进行访问和使用;
f) 应用系统维护检查:维护性问题是否在规定的时间内解决,是否正确地
解决问题,解决问题的过程是否有效等;
g) 应用系统配置检查:检查应用系统的配置是否合理和适当,各配置组件
是否发挥其应用的功能;
h) 恶意代码的检查:是否存在恶意代码:如病毒、木马、隐蔽通道导致应
用系统数据的丢失、损坏、非法修改、信息泄露等;
22. 机房的防水措施应考虑如下:
a) 与主机房无关的给排水管道不得穿过主机房;
b) 主机房内如有地漏,地漏下应加设水封装置,并有防止水封破坏的措施;
c) 机房内的设备需要用水时,其给排水干管应暗敷,引入支管宜暗装。管
道穿过主机房墙壁和楼板处,应设置套管,管道与套管之间应采取可靠
的密封措施;
d) 机房不宜设置在用水设备的下层;
e) 机房房顶和吊顶应有防渗水措施;
f) 安装排水地漏处的楼地面应低于机房内的其他楼地面;
第五章 知识产权与标准
1. 著作权自作品创作完成之日起产生;
2. 自然人的软件著作权,保护期为自然人终生及其死亡后 50 年,截止于自然
人死亡后第 50 年的 12 月 31 日。
3. 软件是合作开发的,截止于最后死亡的自然人死亡后第 50 年的 12 月 31 日。
4. 法人或组织的软件著作权,保护期为 50 年,截止于软件首次发表后第 50
年的 12 月 31 日,但软件自开发完成之日起 50 年内未发表的,本条例不再
保护。
5. 著作权三个要素:
a) 主体—作者;
b) 内容—著作人身权和著作财产权;
c) 客体—作品和作品的传播形式;
6. 职务作品:一是作者和所在单位存在劳动关系;二是作品的创作属于作者的
职责范围;
7. 著作人身权:指作者享有的与其作品有关的以人格利益为内容的权利。包括
发表权、署名权、修改权和保护作品完整权;
8. 计算机软件是指计算机程序及其有关文档,同一计算机程序的源程序和目标
程序为同一作品。对软件著作权的保护不延及开发软件所用的思想、处理过
程、操作方法或者数学概念等;
9. 专利法:两个以上单位或者个人合作完成的发明创造、一个单位或者个人接
受其他单位或者个人委托所完成的发明创造,除另有协议的以外,申请专利
的权利属于完成或者共同完成的单位或者个人;申请被批准后,申请的单位
或者个人为专利权人。
10. 有以下侵权行为的,应当根据情况,承担停止侵害、消除影响、赔礼道歉、
赔偿损失等民事责任:
a) 未经软件著作权人许可,发表或者登记其软件的;
b) 将他人软件作为自己的软件发表或者登记的;
c) 未经合作者许可,将与他人合作开发的软件作为自己单独完成的软
件发表或者登记的;
d) 在他人软件上署名或者更改他人软件上的署名的;
e) 未经软件著作权人许可,修改、翻译其软件的;
f) 其他侵犯软件著作权的行为;
11. 有下列行为之一的,均属侵犯注册商标专用权: