发表更新备忘录2 小时读完 (大约17560个字)

信息系统管理工程师主观题考点

信息系统管理工程师主观题考点

信息系统开发基础

信息系统

1. 信息系统组成部分?

  • 计算机硬件系统;
  • 计算机软件系统、
  • 数据及其存储介质、
  • 通信系统、
  • 非计算机的信息收集和处理设备;
  • 规章制度;
  • 工作人员。

2. 信息系统主要类型?

  • 面向作业处理的系统;
  • 面向管理控制的系统;
  • 面向决策计划的系统;

3. 信息系统对企业的影响?

  • 促使组织机构扁平化;
  • 组织机构更加灵活有效;
  • 虚拟办公室;
  • 增加企业流程重组的成功率;

4. 信息系统有哪些开发阶段?

  • 系统规划阶段: 可行性研究,制定初步任务计划。输出可行性分析报告和项目计划书。
  • 系统分析阶段: 解决做什么的问题。分析用户需求,再将用户需求转换为逻辑模型。输出需求规格说明书、逻辑模型。
  • 系统设计阶段: 解决这么做的问题。分概要设计、详细设计,将逻辑模型转换为物理模型形成系统设计说明书,作为系统实施的依据。输出设计文档、物理模型。
  • 系统实施阶段: 把物理模型转换为可实际运行的系统。内容为物理系统的实施、程序设计、系统调试、人员培训、系统切换。输出可运行的系统。
  • 系统运行和维护: 系统运行、系统运行管理、系统维护。是信息系统生命周期中花钱最多、延续时间最长的阶段。

项目管理

1. 战略管理和项目管理的区别和联系?

  • 区别:

    • 战略管理立足于长远和宏观,考虑的是企业的核心竞争力,以及围绕核心竞争力的企业流程再造、业务外包和供应链管理等问题;
    • 项目管理则立足于一定的时期,相对微观,主要考虑有限的目标、学习型组织和团队合作等问题

  • 联系:

    • 战略管理指导项目管理,项目管理支持战略管理,没有项目管理,公司的战略目标就无法顺利实现

2. 项目的定义?

  • 基本概念: 在既定资源和要求的约束下,为实现某种目的而相互联系的一次性工作任务,包含如下三个层次:

    • 一定的资源约束:时间、经费、人力等资源;
    • 一定的目标;
    • 一次性任务;

  • 基本特征: 明确的目标、独特的性质、有限的生命周期、特定的委托人、实施的一次性、组织的临时性和开放性、不确定性和风险性、结果的不可逆性。

3. 信息系统项目?

  • 信息系统项目 是智力密集、劳动密集型项目,受人力资源影响最大、项目团队的结构、责任心和稳定性对项目的质量和是否成功有决定性的影响。

  • 特点:

    • 目标不明确,任务边界模糊,质量要求主要有项目团队定义;
    • 开发过程中,客户需求易变化,导致项目计划的不断变更;
    • 客户的需求不断被激发、不断被进一步明确;
    • 客户需求随项目进展而变化;
    • 项目的进度、费用等计划会不断更改;

4. 项目管理

  • 项目管理9大体系:

    • 项目范围管理;
    • 项目进度管理;
    • 项目质量管理;
    • 项目成本管理;
    • 项目人力资源管理;
    • 项目沟通管理;
    • 项目采购管理;
    • 项目风险管理;
    • 项目综合管理;

  • 基本特点:

    • 项目管理是一项复杂的工作;
    • 项目管理具有创造性;
    • 项目管理需要集权领导并建立专门的项目组织;
    • 项目负责人在项目管理中起着非常重要的作用;

系统分析

系统分析阶段是信息系统开发最重要的阶段。

1.系统分析的任务?

  • 主要任务: 理解和表达用户对系统的应用需求。

    • 了解用户需求。
    • 确定系统逻辑模型。
    • 完成系统分析报告。为系统设计提供依据。

2. 系统分析的步骤?

  • 现行系统的详细调查
  • 进行需求分析
  • 提出新系统的逻辑模型
  • 编写需求规格说明书。

3. 系统说明书

系统说明书是系统分析阶段工作的全面总结,是这一阶段的主要成果。系统说明书应达到的基本要求是:全面、系统、准确、详实、清晰第表达系统开发的目标、任务和系统功能。

4. 系统分析报告作用

  • 描述了目标系统的逻辑模型,可作为开发人员进行系统设计和实施的基础;
  • 作为用户和开发人员之间的协议或合同,为双方的交流和监督提供基础。
  • 作为目标系统验收和评价的依据。

系统设计

1. 系统设计的目标?

  • 系统的可靠性
  • 较高的系统运行效率
  • 可变更性
  • 经济性

2. 系统设计的原则?

  • 系统性原则
  • 简单性原则
  • 开放性原则
  • 管理可接受原则
  • 其他原则

3. 系统设计的内容?

  • 总体设计: 也叫概要设计

    • 总体布局设计(网络拓扑结构设计、资源配置设计);
    • 模块化结构设计(划分功能模块、模块功能和职责、模块间的调用关系、模块间的信息传递)。

  • 详细设计:

    • 代码设计
    • 数据库设计
    • 输入输出设计
    • 用户界面设计
    • 处理过程设计

4. 系统的处理过程设计的描述方式?

  • 图形:

    • 系统流程图
    • IPO图
    • HIPO图
    • 控制结构图
    • 数据流程图
    • 模块结构图
    • 程序框图

5. 模块结构设计原则?

  • 高聚合低耦合
  • 系统分解有层次
  • 适宜的深度和宽度比例
  • 模块大小适中
  • 适度控制模块的扇入扇出
  • 较小的数据冗余

系统实施

系统实施

  • 目标: 实现系统设计阶段提出的物理模型,按实施方案完成一个可以实际运行的信息系统,并交付用户使用

  • 主要活动: 根据系统设计所提供的控制结构图、数据库设计、系统配置方案及详细设计资料,编制和调试程序,调试系统、进行系统切换等工作,将技术设计转化为物理实际系统。

  • 实施内容:

    • 硬件配置
    • 软件编码
    • 人员培训
    • 数据准备

  • 注意事项:

    • 尽可能选择成熟的软件产品
    • 选择好信息系统的开发工具

  • 关键因素:

    • 进度安排(进度计划是实施的基本保证)
    • 人员组织(程序编码是实施阶段的主要任务)
    • 任务分解
    • 开发环境构建

系统测试

1. 系统测试的目标

  • 为了发现错误而执行程序的过程。
  • 好的测试方案能够发现迄今为止尚未发现的错误
  • 成功的测试将发现至今尚未发现的错误。

2. 测试过程

  • 拟定测试计划
  • 编制测试大纲
  • 设计和生成测试用例
  • 实施测试
  • 生成测试报告

3. 测试原则

  • 所有测试有应追溯到用户需求;
  • 尽早的不断的测试;
  • 避免开发人员人员来承担,除开单元测试;
  • 在设计测试方案时,不仅要确定输入数据而且要确定输出结果;
  • 在设计测试用例时,不仅要包括合理有效的输入条件,也要包括不合理无效的输入条件;
  • 测试程序时,既要测试程序是否做了该做的事,也要测试是否做了不该做的事;
  • 充分重视测试中的群集现场;
  • 严格按照测试计划进行测试,避免测试的的随意性;
  • 妥善保存测试计划、用例

4. 什么是动态测试

动态测试也称为动态分析。

  • 主要特征: 是计算机必须真正运行被测试的程序,通过输入测试用例,对其运行情况进行分析,判断期望结果和实际结果是否一致。

  • 包括:

    • 功能确认
    • 接口测试
    • 覆盖率分析
    • 性能分析
    • 内存分析

  • 压力测试: 在动态分析中,通过最大资源条件进行系统压力测试,以判断系统的实际承受能力,尤其是在通讯比较复杂的系统中尤为重要。

  • 黑盒测试法: 功能性测试,不了解软件代码结构,根据功能设计用例,测试软件功能。

  • 白盒测试法: 结构性测试,明确代码流程,根据代码逻辑设计用例,进行用例覆盖。

  • 灰盒测试法: 既有黑盒,也有白盒。

5. 静态测试

  • 主要特征: 是在用计算机测试源程序时,计算机并不真正运行被测试的程序。

  • 包括:

    • 代码检查
    • 静态结构分析
    • 代码质量度量等

  • 方式: 可以由人工进行,也可以借助软件工具自动进行。

  • 桌前检查: 程序员检查自己编写的程序,在程序编译后,单元测试前。

  • 代码审查: 由若干个程序员和测试人员组成评审小组,通过召开程序评审会来进行审查。

  • 代码走查: 也是采用开会来对代码进行审查,但并非简单的检查代码,而是由测试人员提供测试用例,让程序员扮演计算机的角色,手动运行测试用例,检查代码逻辑。

6. 测试中可能发现的错误

  • 功能错误
  • 系统错误
  • 过程错误
  • 数据错误
  • 编程错误

7. 硬件测试

在进行信息系统开发中,通常需要根据项目的情况选购硬件设备。在设备到货后,应在各个相关厂商配合下进行初验测试,初验通过后将硬件与软件、网络等一起进行系统测试。初验测试所做的工作主要如下:

  • 配置检测:
  • 硬件设备的外观检查:
  • 硬件测试:

8. 网络测试

如果信息系统不是单机,需要在局域网或广域网运行,按合同会选购网络设备。在网络设备到货,应在各个相关厂商配合下进行初验测试。初验通过后网络将与软件、硬件等一起进行系统测试。初验测试所做的工作如下:

  • 网络设备的外观检查:
  • 硬件测试:
  • 网络连通测试:

9. 软件测试

软件测试实际上分为四步,按下面顺序进行:

  • 单元测试:对源程序每一个程序单元进行测试,验证每个模块是否满足系统设计说明书的要求;
  • 组装测试:将已测试过的模块组合成子系统,重点测试各模块之间的接口和联系;
  • 确认测试:对整个软件进行验收,根据系统分析说明书来考察软件是否满足要求;
  • 系统测试:将软件、硬件、网络等系统等各个部分连接起来,对整个系统进行总的功能、性能等方面的测试。

10. 白盒测试用例设计

  • 语句覆盖SC:
  • 判定覆盖DC:
  • 条件覆盖CC:
  • 条件判定组合覆盖CDC:
  • 多条件覆盖MCC:
  • 修正判定条件覆盖MCDC:
  • 路径覆盖:所有可行路径都覆盖了,覆盖层级最高。

信息化

1. 国家信息化

在国家统一规划和组织下,在农业、工业、科学技术、国防和社会生活各个方面应用现场信息技术,深入开发,广泛利用信息资源,发展信息产业,加速实现国家现代化进程。

2. 国家信息化建设的信息化政策法规体系

  • 信息技术发展政策:
  • 信息产业发展政策:
  • 电子政务发展政策:
  • 信息化法规建设:

3. 国家信息化的4层含义

  • 一是实现四个现代化离不开信息化,信息化要服务于现代化;
  • 二是国家统一规划,统一组织;
  • 三是各个领域要广泛应用现代信息技术,开发利用信息资源;
  • 四是信息化是一个不断发展的过程。

4. 国家信息化体系六要素

  • 信息技术应用:
  • 信息资源的开发利用:
  • 信息网络
  • 信息技术和产业
  • 信息化人才
  • 信息化政策法规和标准化规范

5. 企业信息化

  • 定义: 指挖掘先进的管理理念,应用先进的计算机网络技术去整合企业现有的生产、经营、设计、制造、管理,及时的为企业的“三层决策”提供准确有效的数据信息,以便对需求做出迅速的反应,奇本质是加强企业的“核心竞争力”。

  • 根本目的: 就是实现企业战略目标与信息系统整体部署的有机结合,这种结合当然是可以从不同的层次或者角度出发来考虑,但这种不同层次和角度的结合能够给企业带来的最终效益是不一样的。IT战略有助于确保IT活动支持总体经营战略,使该组织实现其经营的目标和目的。

  • 企业信息管理系统不是把资源整合起来就可以了,而是需要一个有效的信息资源管理体系,其中最为关键的是从事信息资源管理的人才队伍建设。

  • 其次是架构的问题,在信息资源建设阶段,规划是以建设进程为主线,在信息资源管理阶段,规划应是以架构为主线,主要涉及的是这个信息化运营体系的架构,这个架构要消除以往分散建设所导致的信息孤岛,实现大范围内的信息共享、交换和使用,提升系统效率,达到信息资源的最大增值。

  • 三层体系:

    • 战术层
    • 战略层
    • 决策层

6. 主流的企业信息化系统

  • 企业资源计划(ERP):
  • 客户关系管理(CRM):
  • 供应链管理(SCM):
  • 知识管理系统(ABC):
  • 企业业务流程重组(BPR):

7. U/C矩阵

U/C矩阵是一张表格,用来表达过程与数据两者之间的关系。U代表Use,表示过程对数据类的使用。C代表Create,表示过程对数据类的产生。

8. 电子商务(EC)

是指对整个贸易活动实现电子化。即交易各方通过计算机和通讯网络进行信息的发布、传递、存储、统计,以电子交易方式而不是通过纸介质信息交换或直接面谈方式进行商业交易。

参与电子商务的实体有四类:顾客、商户、银行、认证中心

分为下面三种模式:

  • 企业对消费者B2C(网上商城);
  • 企业对企业B2B(1688);
  • 消费者对消费者C2C(咸鱼);

9. 信息资源管理

  • 定义: 为了确保信息资源的有效利用,以现代信息技术为手段,对信息资源实施计划、预算、组织、指挥、控制、协调的人类管理活动。

  • 主要内容:

    • 信息系统的管理:包括信息系统开发项目、信息系统运行与维护的管理、信息系统评价等。
    • 信息资源开发、利用的标准、规范、法律制度的制定与实施
    • 信息产品与服务的管理
    • 信息资源的安全管理
    • 信息资源管理中的人力资源管理

系统管理综述

1. 企业IT管理的三个层次

  • 战略层:IT战略规划。IT战略制定,IT治理,IT投资管理。
  • 战术层:IT系统管理。IT管理流程,组织设计,管理制度,管理工具。
  • 运作层:IT技术及运作管理。IT技术管理,服务支持,日常维护等。

2. 企业IT战略规划

  1. IT战略规划目标的制定要具有战略性;
  2. IT战略规划要体现企业核心竞争力要求;
  3. IT战略规划目标的制定要具有较强的业务结合性;
  4. IT战略规划对信息技术的规划必须具有策略性;
  5. IT战略规划对成本的投资分析要有战术性;
  6. IT战略规划要对资源的分配和切入时机进行充分的可行性评估。

3. 企业IT系统管理

  • 定义: IT的高效运作和管理,而不是IT战略规划。

  • 核心目标: 管理客户(业务部门)的IT需求;如何有效地利用IT资源恰当地满足业务部门的需求。

  • 基本目标:

    1. 全面掌握企业IT环境,方便管理异构网络,从而实现对企业业务的全面管理。
    2. 确保企业IT环境的整体可靠性和安全性,及时处理各种异常信息,在出现问题时及时进行修复,保证企业IT环境的整体性能。
    3. 确保企业IT环境的整体可靠性和安全性,对涉及安全操作的用户进行全面跟踪和管理;提供 一种客观的手段来评估组织在使用IT方面面临的风险,并确定这些风险释放得到了有效控制。
    4. 提高服务水平,加强服务的可管理性并及时产生各类情况报告,及时、可靠的维护各类服务数据。

  • 要求:

    1. 企业系统管理应可以让企业实现对所有IT资源统一监控和管理的愿望,应采用一致性的管理模式来推动企业现代化跨平台体系机构的建立;
    2. 企业IT系统管理应适合于企业大型、复杂、分布式的环境,不但控制了所有技术资源,而且直接可以从 业务角度出发管理整个企业,管理能力可以延伸到关键的非信息设备。企业可以随时部署应用监控系统,用来规划企业商务目标、维持企业高水平服务,提高业务系统商务响应能力;
    3. 企业IT系统管理应可以将整个企业基础结构以一个真实世界化的视图呈现给我们,让不同经验的人理解,让企业集中精力面对自己的业务而非平台之间的差异,这有助于大大提高企业的工作效率;
    4. 企业IT系统管理应是全集成的解决方案,覆盖网络资源、性能与能力、事件与安全、软件分布、存储、工作流、帮助台、变更管理和其他的用于传统和分布式计算环境的功能,并可以用于互联网和企业内部网。

  • 关键IT资源:

    • 硬件资源
    • 软件资源(软件+文档)
    • 网络资源(通信线路+网络服务器+网络互联设备等)
    • 数据资源(文件、资料、图表和数据)

  • 通用体系结构:

    • IT部门管理;
    • 业务部门(客户)IT支持
    • IT基础架构管理

4. 良好的自动化管理工具(系统管理工具)的作用

  1. 可以有效的监控操作系统环境、网络环境、数据存储环境、信息安全环境和业务应用环境;
  2. 可以准确的定位和综合诊断系统异常的原因并提出修复方案;
  3. 可以有力的为业务系统保驾护航,让业务应用高枕无忧从而使企业IT部门可以将更多精力投入在服务和推动业务方面

5. 企业级的系统管理需要考虑因素

  1. 符合业界的一些最佳实践标准
  2. 应提供集成统一的管理体系;
  3. 应包括端到端的可靠性和性能管理能力;
  4. 应能够将IT管理与业务优先级紧密的联系起来,从而打破IT部门与业务部门之间的隔阂;
  5. 应着重考虑服务水平的管理,从而为用户提供更优的服务。

6. IT服务理念

  • 以客户(企业的业务部门)为中心提供IT服务;
  • 提供高质量、低成本的IT服务;
  • 提供的服务可度量、可计费。

7. 服务级别管理

  • 服务级别管理是定义、协商、订约、检测和评审提供给客户服务质量水准的流程。直接面对的不是IT服务的用户(业务部门内某个具体的职员),而是IT服务付费的客户(某个具体的业务部门);
  • 主要目标: 根据客户的业务需求和相关的成本预算,制定恰当的服务级别目标,并将其以服务级别协议的形式确定下来。
  • 服务级别协议(SLA) 中确定的服务级别目标,即是IT服务部门监控和评价时机服务品质的标准,也是协调IT部门和业务部门有争议的依据;
  • 服务级别协议设定了IT服务的数量、质量和费用相关标准。SLA不仅用于企业内部IT部门和业务部门之间,也用于企业和第三方服务提供商之间(外包、应用开发服务、系统集成服务)。

8. 服务级别确认流程

服务级别确认流程

9. 服务级别的主要作用

  • 作为IT部门连接业务部门的枢纽,准确了解业务部门的服务需求,节约组织成本,提高IT投资收益;
  • 对服务质量进行量化考核;
  • 监督服务质量;
  • 明确职责,对违反服务级别协议的行为进行惩罚。

10。 服务级别管理的要点

  1. 强调IT对业务的价值。
    1. 在考虑服务级别需求时,要充分考虑业务部门潜在的、隐含的需求,以免因遗漏而影响业务的正常运作;
    2. 在确定服务级别目标时,要确定合适的服务级别、服务质量。
  2. 让业务部门的人员参与进来;
  3. 服务级别管理要具体落实。需要更长时间,更复杂、更艰难的监测、评审。
  4. 对IT部门来说,至关重要的是创建能够提供的服务级别协议;对业务部门来说,SLA与业务要求相吻合,才有生命力和执行的必要。

IT财务管理

1. IT财务管理流程

  • IT投资预算;
  • IT会计核算;
  • IT服务计费。

2. IT预算三个方面

  • 技术成本(硬件和基础设施);
  • 服务成本(软件开发与维护、故障处理、帮助台支持);
  • 组织成本(会议、日常开支)。

3. IT投资预算的目的

  • 是对IT投资项目进行事前规划和控制;
  • 通过预算可以帮助高级管理人员预测IT项目的经济可行性;
  • 可以作为IT服务实施和运作过程中的控制依据;
  • 编制预算要紧密结合IT能力管理。

4. 会计核算

  • 目标: 通过量化IT服务运作过程中所耗费的成本以及收益,为IT服务管理人员提供考核依据和决策信息;
  • 包括的活动: IT服务项目成本核算、投资评价、差异分析和处理。分别实现了对IT项目成本和收益的事中和事后控制;
  • 对成本要素进行定义是IT服务项目成本核算的第一步,成本要素一般可按部门、客户或产品等划分标准进行定义,对于IT服务部门而言,理想的方法是按服务要素结构进行定义;
  • 对于IT项目投资评价的主要指标:投资回报率(ROI)、资本报酬率(ROCE)
  • 为了达到控制的目的,IT会计人员需要将每月、每年的实际数据与相应的预算、计划数据进行比较,发现差异,调查分析差异产生的原因,并对差异进行适当的处理。
  • IT会计人员需要注意的差异包括:成本差异、收益差异、服务级别差异、工作量差异。

5. IT服务计费

  • IT服务计费是负责向使用IT服务的部门(客户)收取相应的费用;
  • 通过收费,构建一个内部市场,并以价格机制作为合理配置资源的手段,迫使业务部门有效的控制自身需求、降低总体服务成本,从而提高了IT投资效益;
  • IT服务计费的顺利运作需要以IT会计核算所提供的成本核算数据作为基础。

6. IT部门的职责

  • IT部门的核心职责在于始终提供并保持高质量的服务;

  • 有效控制不断上升的服务需求成本;

  • 制定出符合业务发展的服务水平协议;

  • 自动制定出能够反应业务动态变化的服务计划。

  • 具体职责包括:

    • IT战略规划
    • 企业应用系统规划
    • 网络及基础设施
    • 数据库管理
    • 安全管理
    • IT日常运作
    • 终端用户支持

7. IT部门的角色转换

?????

成本中心

利润中心

8. IT部门作为独立的利润中心优势

  • 对企业而言,可以是企业集中精力在业务方面,降低成本、提高边际利润;
  • 对于IT部门而言,可称为独立核算的经济实体,通过市场化运作实现自身盈利,对内部人员形成有效激励,更好的利用资源,创造更多社会价值;
  • 对的业务部门而言,在市场需求阶段考虑约束,要考虑成本因素,行为更具经济性,有利于整体效率提升。

9. 系统管理计划

  • 运作方的系统管理规划:

    • 系统日常操作管理,
    • IT人员管理,
    • IT财务管理,
    • 故障管理
    • 性能和能力管理
    • 资源管理
    • 安全管理

  • 用户方的系统管理计划包括:

    • 帮助服务台
    • 用户参与服务级别管理
    • IT性能和可用性管理
    • 用户参与IT管理
    • 终端用户安全管理
    • 终端用户软件许可协议

10. 运作管理规章制度

  1. 与用户相关的IT支持作业方面的规范制度。 如日常作业调度手册、系统备份及恢复手册、性能监控及优化手册、输出管理手册、帮助服务台运作手册、常见故障处理方法、终端用户计算机使用制度。
  2. 由IT部门执行的以提供高质量IT服务为目的的管理流程。 如服务级别管理手册、安全管理制度、IT财务管理制度、IT服务计费几成本管理、IT资源及配置管理、新系统转换流程、IT能力规划管理。

11. 系统运作报告内容

  1. 系统日常操作日志;
  2. 性能能力规划报告;
  3. 故障管理报告;
  4. 安全审计日志。

12. IT组织的设计原则

  1. IT部门首先应设立清晰的远景目标。 一个简洁清晰的远景是IT管理框架的原动力,描述了IT部门在企业中的位置和贡献。
  2. 组织机构调整,清晰部门职责。 根据IT部门的服务内容重点的思考和划分部门职能,进行组织机构调整,清晰部门职责,做到重点业务突出,核心业务专人负责。
  3. 建立目标管理制度、项目管理制度。 使整个组织的目标能够落实和分解,建立有利于组织生产的项目管理体制。
  4. 建立现代人力资源管理体系。 作为组织机构调整、目标管理制度和项目管理体制的配套工程,建立科学的现代人力资源管理体系,特别是薪酬和考核体系。
  5. 通过薪酬和考核体系的建立,促进信息中心的绩效得以提高。
  6. IT组织的柔性化管理,能够较好的适应企业对IT服务的需求变更及技术发展。

13. IT组织设计需要考虑的因素

  1. 客户位置,是否需要本地帮助服务台、本地系统管理员或技术支持人员;如果实行远程管理IT服务的话,是否会拉开IT服务人员与客户之间的距离。
  2. IT员工工作地点。不同地点的员工是否存在沟通和协调困难;哪些职能可以集中化;哪些职能应该分散在不同位置(是否为客户安排本地系统管理员)。
  3. IT服务组织的规模。是否所有服务管理职能能够得到足够的支持,对所提供的服务而言这些职能是否都是必要的。
  4. IT基础架构的特性。组织支持单一的还是多厂商架构;为支持不同的硬件和软件,需要哪些专业技能;服务管理职能和角色能否根据单一平台划分。

14. IT组织和岗位职责设计

按IT管理的三个层次:IT战略规划、IT系统管理、IT技术管理及支持来进行IT组织及岗位职责设计。

  1. IT战略及投资管理。 由公司的高层、IT部门的主管及核心管理人员组成,主要职责是制定IT战略规划以及支撑业务发展,对重大IT投资项目予以评估决策。
  2. IT系统管理。 公司整个IT活动的管理,包括:IT财务管理、服务级别管理、IT资源管理、性能及能力管理、系统安全管理、新系统运行切换,从而保证高质量的为业务部门(客户)提供IT服务。
  3. IT技术及运作支持。 IT基础设施的建设及业务部门IT支持服务,包括:IT基础设施建设、IT日常作业管理、帮助服务台管理、故障管理及用户支持、性能和可用性保障。从而保证业务部门(客户)IT服务的可用性和持续性。

15. IT人员的教育与培训

IT部门的人力资源管理是从部门的人力资源规划及考核激励开始的,用于保障企业各IT活动的人员配备。

然而,在做好了IT部门的人力资源规划基础上,更为重要的是建设IT人员教育与培训体系以及为员工制度职业生涯发展规划,让员工与IT部门和企业共同成长。

16. 外包对企业的好处

  • 可以扬长避短,集中精力发展企业的核心业务;
  • 可以为企业节省人员开支;
  • 可以减少企业的人力资源管理成本;
  • 可以使企业获得更为专业,更为全面的热情服务。

17. 第三方外包的管理内容

  1. 外包商的选择;
  2. 外包合同的管理;
  3. 外包的风险控制。

18. 外包成功的关键因素

  • 良好的社会形象和信誉;
  • 相关行业经验丰富;
  • 能够引领或紧跟信息技术发展;
  • 具有良好的技术能力,经营管理能力,发展能力;
  • 加强战术和战略优势,建立长期战略关系;
  • 聚焦于战略思维,流程再造和管理的贸易伙伴关系。

19. 外包商的资格审查

  1. 技术能力: 外包商提供的信息技术产品是否具备创新性、开发性、安全性、兼容性,是否拥有较高的市场占有率,能否实现信息数据的共享;外包商是否具有信息技术方面的资格认证,如信息产业部颁发的系统集成商证书、认定的软件厂商证书等;外包商是否了解行业特点,能够拿出真正使适合本企业业务的解决方案;信息系统的设计方案中是否运用了稳定、成熟的信息技术,是否符合行业发展的要求,是否充分体现了以客户为中心的服务理念;是否具备对大型设备的运行、维护、管理经验和多系统整合能力;是否拥有对高新技术深入理解的技术专家和项目管理人员。
  2. 经营管理能力: 了解外包商的领导层结构、员工素质、客户数量、社会评价;项目管理水平,如软件工程工具、质量保证体系、成本控制、配置管理方法、管理和技术人员的老化率和流动率;是否具备能够证明其良好运营管理能力的成功案例;员工间是否具备团队合作精神;外包商客户的满意程度。
  3. 发展能力: 分析外包服务商以审计的财务报告、年度报告和其他各项财务指标,了解其盈利能力;考察外包企业从事外包业务的时间、市场份额以及波动因素;评价外包服务商的技术费用支出以及在信息技术领域内的产品创新,确定他们在技术方面的投资水平是否能够支持对企业的外包项目。

20. 外包合同管理

关键核心文件:服务等级协议(SLA)

21. 外包类型

根据客户与外包商建立的外包关系,可以将信息技术外包划分为:

  1. 市场关系外包:合同相对较短,可以更换外包商;
  2. 中间关系外包:维持合理的协议性,直至完成主要任务;
  3. 伙伴关系外包:合同反复签订,长期的互利关系。

22.外包风险控制

  1. 加强对外包合作的管理。 对于企业IT管理者而言,在签署外包合同之前应该谨慎而细致的考虑到外包合同的方方面面,在项目实施过程中,也要能够积极制定计划和处理随时出现的问题。使得外包合同能够不断适应变化,实现双赢局面。
  2. 对整个项目体系的规划。 企业必须对自身的需求和存在的问题非常清楚,从而协调好与外包商长期的合作关系,IT部门也要让员工积极的参与到外包项目中去,企业应该委派代表去参与完成项目。
  3. 对新技术敏感。 企业必须尽快掌握出现的新技术,并了解其潜在的应用,企业的IT部门应该注意供应商的技术简介、参加高技术研讨会,并了解组织现在采用的新技术的情况,不断评估组织的软硬件方案,弄清市场上同类产品的发展潜力。
  4. 不断学习。 企业IT部门应该在其内部倡导良好的学习氛围,以加快用户对持续变化的IT环境的适应速度。

23. 系统日常操作范围

  1. 性能和可用性保障: 减少故障时间,提高工作效率,有效控制成本。
  2. 系统作业调度: 统一协调,有利于业务支持。
  3. 帮助服务台: 全面用户支持解决方案。
  4. 输出管理: 确保适当的信息以适当的格式提供给全企业范围内的适当人员。
  5. 故障管理及用户支持。

24. IT在作业管理的问题上面临的两种挑战

  • 支持大量作业的巨型任务,通常会涉及多个系统或应用;
  • 对商业目标变化的快速响应。

25. 系统日常操作手册

  • 作业调度的时间
  • 优先级
  • 帮助服务台的请求
  • 服务流程
  • 性能的监控方法
  • 报告内容
  • 输出管理

26. 操作结果管理及改进内容

  1. 操作日志记录了足以形成数据的信息, 并为关键性的运作提供审核追踪记录,通过定期检查系统日志和其他审核跟踪记录来发现非正常操作和未经授权的访问。
  2. 进程安排报告用于追踪并衡量任务的完成非正常终止,特殊要求和紧急要求,以保障工作表现符合进程安排任务量中的规定。
  3. 利用工具(批处理和实时工具)来主动的监控、测量和报告系统的性能和容量(包括平均响应时间、每日交易数、停电、平均无故障时间、磁盘空间使用、网络性能),并且定期将包含有关性能、容量和可用性的数据的趋势报告提交给IT管理层。
  4. 故障报告应包括事故的原因、纠正措施、防范措施、违背服务标准的统计测量情况(处理中的问题、响应速度、问题类型、维修时间),并定期提交IT管理层。

27. 操作人员管理内容

  1. 识别系统日常操作的范围;
  2. 编写系统日常操作手册;
  3. 管理操作结果并予以改进;
  4. 加强操作人员的管理。

28. 操作人员管理注意事项

  • 清晰划分IT日常操作管理职能与其他的IT职能;
  • IT日常操作管理职能,应由专职部门执行;
  • IT操作人员完全了解自己的职务内容和职责,并得到了培训;
  • 人手足够;
  • 注意协作,沟通。

29. 身份管理的问题

  • 管理和维护困难;
  • 密码安全策略难以实施;
  • 用户使用不方便;
  • 安全问题发生后,难以追查到责任人。

30. 统一用户管理优点

  1. 用户使用更加方便;
  2. 安全控制力度得到加强;
  3. 减轻管理人员的负担;
  4. 安全性得到提高。

31. 企业用户管理的功能

  1. 用户账号管理:处理用户信息,统一的用户管理可以仅使用一个接口;用户的密码管理;配套正式流程。
  2. 用户权限管理:确定是否允许用户执行所请求操作的流程;用户授权;
  3. 企业外部用户管理:账号的分配、撤销权限管理问题;
  4. 用户安全审计:安全行为统计监控。

授权通常采用基于角色的访问控制(RBAC)

32. 用户安全审计方法

  1. 利用日志工具来检测和报告较差和易猜的密码;
  2. 定期检查和重新认证用户对系统的访问;
  3. 利用日志工具检测对网络或关键系统进行的反复的未授权访问;
  4. 对于所有系统主动限制、监测和审核超级用户(或系统管理员)的活动。

33. 用户安全管理审计功能

  1. 用户安全审计数据的收集,包括:抓取关于用户账号使用情况的数据;
  2. 保护用户安全审计数据,包括:使用时间戳、存储的完全性,防止数据的丢失;
  3. 用户安全审计数据分析,包括:检查、异常探测、违规分析、入侵分析。

34. 用户管理的方法

现代计算机常用的身份认证方式主要有:

  • 用户密码方式
  • IC卡认证
  • 动态密码
  • USB Key认证

35. 用户管理报告

  • 了解系统通常会发生什么;
  • 哪些资源是用户要访问的;
  • 什么时间是访问的高峰时段;
  • 例外情况处理:登录/访问时间地点异常、审核失败等。

36. IT计费管理目的

  • 迫使业务部门有效控制需求,降低TCO;
  • 助于IT财务重点关注不符合成本效益的服务项目。

37. 良好的收费内部核算体系

  1. 适当的核算收费政策;
  2. 可以准确公平的补偿提供服务所承担的成本;
  3. 树立IT服务与业务部门(客户)的态度,确保组织IT投资的回报;
  4. 考虑收费核算对IT服务的供应者与服务的使用者两方面的利益。

38. IT核算的目的

  • 优化IT服务供应者与使用者的行为
  • 最大化的实现组织的目标。

39. 计费定价方法

  1. 成本法服务价格已提供服务发生的成本为标准成本可以是总成本,包括这叫也可以是边际成本在线,有ID投资水平下,每增加一单位服务,是发生的成本
  2. 成本加成定价法:IT服务的价格统一提供服务的成分加成的定价方法,IT服务价格=IT服务成本X(1+X%);
  3. 现行价格法,参考现有组织内部其他各个部门之间或者外部的类似组织服务价格确定;
  4. 市场价格法,IT服务的价格按照外部市场供应的价格,确定IT服务的需求者可以与供应商校服价格进行谈判协商;
  5. 固定价格法,合同价格法,IT服务的价格是在与客户谈判的基础上由IT部门制定的,一般在一定时期内保持不变。

40. 成本核算最主要的工作

  • 定义成本要素;
  • 成本项目的进一步细分;

对IT部门而言,最理想的方法是按照服务要素结构定义成本要素结构。

资源管理

1. COBIT中定义的IT资源

  1. 数据。最广泛意义上的对象(外部和内部的)、结构及非结构化的、图像、各类数据;
  2. 应用系统。人工处理以及计算机程序的总和;
  3. 技术。包括硬件、操作系统、数据库管理系统、网络、多媒体;
  4. 设备。包括所拥有的支持信息系统的所有资源;
  5. 人员。包括员工技能,意识,以及计划、组织、获取、交付、支持、和监控信息系统及服务的能力。

2. 资产管理的价值

  • 整合IT资产管理及其部署;
  • 资产目录和发现;
  • 资产对账;
  • 软件许可管理;
  • 软硬件的维护、移植和处理;
  • IT财务管理。

3. IT资产管理内容

  1. 为所有的内外部资源(台式机、服务器、网络、存储设备)提供广泛的发现和性能分析功能,实现资源的合理使用和重部署;
  2. 提供整体软件许口管理(目录和使用),包括更复杂的数据库和分布式应用;
  3. 提供合同和厂商管理,可以减少文档工作,如核对发票、控制租赁协议、改进并简化谈判过程。
  4. 影响分析、成本分析和财政资产管理(包括ROI报表),为业务环境提供适应性支持,降低操作环境成本。

4. 配置管理

  • 配置管理是专门负责提供IT基础架构的配置及运行情况信息的流程。
  • 配置项:最基本的信息单元,所有软/硬件和各种文档;
  • 配置管理数据库CMDB:IT基础架构中特定组件的配置信息;各配置项相关关系的信息。

5. 配置管理作为一个控制中心,其主要目标表现在四个方面

  1. 计算所有IT资产;
  2. 为其他IT系统管理流程提供准确信息;
  3. 作为故障管理、变更管理和新系统转换的基础;
  4. 验证基础架构记录的正确性,并纠正发现的错误。

6. 通过实施配置管理流程,可为客户和服务提供方带来多方面的效益

  1. 有效管理IT组件;
  2. 提供高质量的IT服务;
  3. 更好地遵守法规;
  4. 帮助制定财务和费用计划。

7. 软件资源包括

  • 操作系统
  • 中间件
  • 市场上买来的应用
  • 本公司开发的应用
  • 分布式环境软件
  • 服务与计算机应用的软件以及所提供的服务

文档包括

  • 应用表格
  • 合同
  • 手册
  • 操作手册。

8. 企业网络资源

  1. 通信线路。企业网络传输介质目前常用的传输介质有双绞线同轴电缆、光纤;
  2. 通信服务。企业网络服务器,运行网络操作系统,提供硬盘、文件数据及打印机共享服务功能,是网络控制的核心。目前常见的网络服务器有:Netware、UNIX windows NT;
  3. 网络设备。主要有网络传输介质互联设备(T形连接器、调制解调器)、网络物理层互联设备(中继器、集线器)、网络连接层互联设备(网桥、交换器)、应用层互联设备(网关、多协议路由器);
  4. 网络软件。如网络控制软件、网络服务软件。

9. 网络维护管理的五大功能

  1. 网络的失效管理,
  2. 网络的配置管理,
  3. 网络的性能管理,
  4. 网络的安全管理,
  5. 网络的计费管理。

10. 网络维护管理系统的四个组成要素

  1. 若干被管理的代理
  2. 至少一个网络维护管理器
  3. 一个公共网络维护管理协议;
  4. 一种或多种管理信息库。

11. 网络维护管理协议内容

  • 网络维护管理器与被管理代理间的通信方法
  • 规定了管理信息库的存储结构
  • 信息库中关键字的含义以及各种事件的处理方法。

12. 网络管理协议

  • SNMP:简单网络管理协议;
  • CMIS/CMIP:通用管理信息服务/通用管理信息协议

13. 网络配置管理

  • 涉及网络设备的设置转换收集和修复;
  • 为了便于日常管理,一般采用网络设备配置图与连接图的方式,将整个系统的网络情况绘制成一张网络系统配置连接图;
  • 两种主要的网络配置工具:设备供应商提供的工具和第三方公司提供的工具。

14. 网络管理包含的五部分内容

  • 网络性能管理:衡量及利用网络性能,实现网络性能监控和优化。网络性能变量包括:网络吞吐量、用户的响应次数和线路利用。网络管理员通过对网络、系统产生的报表数据进行实时的分析和管理。
  • 网络设备和应用配置管理:监控网络和系统配额制信息,从而可以跟踪和管理各种版本的硬件和软件元素的网络操作。
  • 网络应用和计费管理:衡量网络利用、个人或小组网络活动,主要负责网络使用规则和账单等。
  • 网络设备和应用故障管理:负责监测、日志、通告用户、自动解决网络问题,以确保网络的高效运行。
  • 安全管理:控制网络资源访问权限,从而不会导致网络遭到破坏。只有被授权的用户才有权访问敏感信息。安全管理主要涉及访问控制或网络资源管理。访问控制管理是指安全性处理过程。即妨碍或促进用户或系统间的通讯,支持各种资源。认证过程,主要包括认证和自主访问控制两个步骤。

15. 网络管理系统包含

  • 探测器Probe(或代理),主要负责收集众多网络节点上的数据;
  • 控制台Console,主要负责集合并分析探测器收集的数据,提取有用信息的报告。

16. 网络审计支持

网络审计不管从审计软件和数据库方面都要利用安全技术,并建立一套安全机制,以保障网络设计的安全,对于安全机制主要包括三个方面:

  • 接入管理:接入管理主要用于处理好身份鉴别(身份真伪和权限)和接入控制,以控制信息资源的使用;
  • 安全建设:主要功能有安全报警设置、安全报警报告以及检查跟踪;
  • 安全恢复: 主要是及时恢复因网络故障而丢失的信息。

对于安全技术而言,主要可以使用防火墙、数据认证、数据加密技术;还可以将不断发展的新型安全技术应用于网络审计中,如将隧道技术应用于虚拟专用网(VPN)。

安全管理

1. 信息安全基本要素

  • 保密性:确保信息不暴露给未授权的实体,包括最小授权原则(只赋给使用者恰好够用的权限,防止其看到其他保密的数据)、防暴露(将物理数据库文件名和扩展名都修改为一串乱码,防止他人轻易找到复制)、信息加密、物理保密。
  • 完整性:保证数据传输过程中是正确无误的,接收和发送的数据相同,包括安全协议教、校验码、密码校验、数字签名,公证等手段。
  • 可用性:保证合法的用户能以合法的手段来访问数据,包括综合保障(IP过滤、业务流控制、路由选择控制、审计跟踪)。
  • 可控性:控制授权范围内的信息流向及行为方式,整个网络处于可控状态下。
  • 不可抵赖性: 信息数据参与者不能否认自己发送的数据,参与者身份真实有效。

2. 安全保护五个等级

  1. 用户自主保护级(第一级):对用户实施访问控制,使用护自己具备自主的安全保护能力。
  2. 系统审计保护级(第二级):审计跟踪日志,通过登录规程、审计与安全性相关的事件和隔离资源,使用户对自己的行为负责。
  3. 安全标记保护级(第三级):指定安全标记,提供有安全策略模型、数据标记,以及主体对客观体强制访问控制的非形式化描述;具有准确的标记输出信息的能力。
  4. 结构化保护级(第四级):将安全保护机制划分为关键部分和非关键部分。加强了鉴别机制,支持系统管理员和操作员的职能,提供可信设施管理,增强了配置管理控制。
  5. 访问验证保护级(第五级):增加了访问验证功能。

3. 信息系统的安全保障措施

  1. 安全策略:用于描述一个组织高层的安全目标,确定组织安全策略是一个组织实现安全管理和技术措施的前提。
  2. 安全组织: 安全组织作为安全工作的管理、实施和运行维护体系,主要负责安全策略、制度、规划的制定和实施等。
  3. 安全人员: 人是信息安全的核心,信息的建立和使用者都是人,不同级别的保障能力级别的信息系统对人员的可信度要求也不一样。
  4. 安全技术: 是信息系统里面部署的各类安全产品,属于技术类安全控制措施,不同保障能力级别的信息系统应选择具备不同安全保障能力级别的安全技术与产品。
  5. 安全运作:包括生命周期中各个安全环节的要求,包括安全服务的响应时间、安全工程的质量保证、安全培训力度。

4. 灾难恢复措施

  1. 灾难预防措施,做灾难恢复备份,自动备份系统的重要信息。
  2. 灾难演习制度,每过一段时间进行一次灾难演习,以熟练灾难恢复的操作过程。
  3. 灾难恢复,使用最近的一次备份进行灾难恢复,可分为两类:全盘恢复和个别文件恢复。

5. 备份策略

  • 完全备份,可将指定目录下载,所有数据都备份在磁盘或磁带中,占用比较大的磁盘空间。
  • 增量备份,仅对上一次备份(任意备份策略)后的数据的变动进行备份。
  • 差异备份,仅对上一次完全备份后的数据变动进行备份。

6. 风险管理

  • 项目风险是可能导致项目背离既定计划的不确定事件、不利事件和弱点。
  • 项目的风险管理包括:风险识别、风险分析(评估)、风险管理。
  • 风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险,保持在此程度之内的过程。
  • 风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求。
  • 风险管理则根据风险评估的结果,从管理(包括策略与组织)、技术、运行,三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。

7. 项目的风险管理内容

  1. 一个风险管理计划,至少应强调主要的项目风险(财务、进度、组织、业务调整)、潜在的风险影响、风险管理的可能的解决方案,降低风险的措施。
  2. 一个风险预防计划和应急计划,包括降低风险所必需的资源、时间和成本概算。
  3. 一各在整个项目周期内自始至终对风险进行测定、跟踪及报告的程序。
  4. 应急费用,并将其列入预算。

8. 控制风险

  1. 降低风险:降低风险发生的可能性及影响与安装防护措施;
  2. 避免风险:通过一定手段和措施避免风险的发生,如修改项目计划,放宽时间;
  3. 转嫁风险,将风险转接到第三方,如购买保险;
  4. 接受风险:高风险带来高收益,基于投入/产出的综合考虑。

9. 物理安全是信息安全的最基本保障,主要包括:

  • 环境安全;
  • 设施和设备安全;
  • 介质安全。

10. 健全的环境安全管理包括:

  1. 专门用来放置计算机设备的设施或房间;
  2. 对IT资产的恰当的环境保护,包括计算机设备、通信设备、个人计算机、局域网设备;
  3. 有效的环境控制机制,包括火灾探测和灭火系统、湿度控制系统、双层地板、隐藏的线路铺设、安全设置水管位置(远离敏感设备)、不间断电源和后备点力供应;
  4. 定期对计算机设备周边环境进行检查;
  5. 定期对环境保护措施进行测试;
  6. 定期接受消防管理部门的检查;
  7. 对检查中发现的问题进行处理的流程。

11. 设施和设备安全

设备的管理包括:购置、使用、维修和存储管理4个方面。

设备安全包括:防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护。

采购装备安全设备时,应遵循的原则:

  1. 严禁采购和使用未经国家信息安全测评机构认可的其他信息安全产品;
  2. 尽量采用我国自主开发研制的信息安全技术和设备;
  3. 严禁直接采用境外密码设备;
  4. 必须采用境外信息安全产品时,该产品必须通过国家信息安全评测机构的认可;
  5. 严禁使用未经国家密码管理部门批准和未经国家信息安全质量认证的国内密码设备。

12. IDS入侵检测系统

IDS是实时监测和防止黑客入侵系统及网络资源的检测系统。主要包括:

  1. 监控中心;
  2. 基于网络的入侵检测器;
  3. 基于主机的入侵检测器;
  4. 人为漏洞检测器(误用检测)。

13. 介质安全

包括介质数据的安全及其本身的安全。常见的不安全情况:

  1. 损坏:自然灾害(地震、火灾、洪灾)、物理破坏(硬盘损坏、设备使用寿命到期、外力破损)、设备故障(停电断电、电磁干扰)。
  2. 泄漏;电子辐射(侦听微机操作过程)、乘机而入(合法用户进入安全进程后中途离开)、痕迹泄露(密码、密钥保密不善,被非法用户获得)。
  3. 意外失误:操作失误,意外疏漏,采取应付突发事件的计划来指导工作。

14. 容错方法

  1. 使用空闲备件:配置一个备用部件,平时处于空闲状态,当原部件出现错误时则取代原来部件的功能。
  2. 负载均衡:使两个部件共同承担一个任务,当其中的一个出现故障时,另一个就承担两个部件的全部负载。
  3. 镜像:两个部件执行完全相同的工作,当其中一个出现故障时,另一个则继续工作。
  4. 复现:也称为延迟镜像,即辅助系统从原系统接受数据时存在着延迟,原系统出现故障时,辅助系统就接替原系统的工作,但也相应存在着延时。
  5. 热可更换:某一部件出现故障时,可以立即拆除该部件并替换上一个好的部件,这样就不会导致系统瘫痪。

15. 信息系统的安全保障措施

  1. 健全的管理措施:建立健全的安全事件管理机构,明确人员的分工和责任。
  2. 灾难恢复措施:在系统正常运行时,就通过各种备份措施为灾害和故障做准备。
  3. 备份策略: 制定安全事件响应与处理计划及事件处理过程示意图,以便迅速恢复被破坏的系统。

16. 系统安全性保护措施

  1. 物理安全控制。物理安全控制是指为保证系统各种设备和环境设施的安全而采取的措施。
  2. 人员及管理控制。主要指用户合法身份的确认和检验,用户合法身份检验是防止有意或无意的非法进入系统的最常用的措施。
  3. 存取控制。通过用户鉴别,获得使用计算机权的用户,应根据预先定义好的用户权限进行存取,称为存取控制。
  4. 数据加密。 数据加密由加密(编码)和解密(解码)两部分组成。加密是将明文信息进行编码,使它转换成一种不可理解的内容,这种不可理解的内容成为密文。解密是加密的逆过程,即将密文还原成原来可以理解的形式。

17. 数据安全措施

  • 数据库安全;
  • 终端识别;
  • 文件备份;
  • 访问控制。

18. 访问控制

是指防止对计算机及计算机系统进行非授权访问的存取,主要采用两种方式实现:

  1. 限制访问系统的人员;
  2. 限制进入系统的用户所能做的操作。

前者通过用户识别与验证来实现,后者依靠存取控制实现。访问控制手段包括:用户识别代码、密码、登录控制、资源授权(用户配置文件、资源配置文件、控制列表)、授权核查、日志和审计。

访问控制主要包括六种类型:

  1. 防御型控制用于阻止不良事件的发生;
  2. 探测性控制用于探测已经发生的不良事件;
  3. 矫正型控制用于矫正已经发生的不良事件;
  4. 管理型控制用于管理系统的开发、维护和使用,针对系统的策略、规程、行为规范、个人的角色和义务、个人职能和人事安全决策。
  5. 技术型控制适用于为信息技术系统和应用提供自动保护的硬件和软件控制手段;
  6. 操作型控制是用于保护操作系统应用的日常规程和机制。

访问控制的手段可分为三个层次:物理类、管理类、技术类控制手段,每个层次又可分为防御型和探测型。

访问控制的手段分类说明

  1. 防御型控制
物理类控制手段 管理类控制手段 技术类控制手段
文书备份 安全知识培训 访问控制软件
围墙和栅栏 职务分离 防病毒软件
保安 职员雇佣手续 库代码控制系统
证件识别系统 职员离职手续 口令
加锁的门 监督管理 智能卡
双供电系统 灾难恢复和应急计划 加密
生物识别型门禁系统 计算机使用的登记 拨号访问控制和回叫系统
工作场所的选择
灭火系统
  1. 探测型控制
物理类控制手段 管理类控制手段 技术类控制手段
移动监测探头 安全评估和审计 日志审计
烟感和温感探头 性能评估 入侵探测系统
闭路监控 职务轮换
传感和报警系统 背景调查

19. 运行管理:

  1. 出入管理:根据安全总局和涉密范围进行分区控制;对机房和区域的进出口进行严格控制。
  2. 终端管理:目的是增强对终端用户管理的有效性;提高终端用户的满意度;降低系统运营管理成本;提升企业竞争力。终端管理包括 3 个模块:事件管理、配置管理、软件分发。
  3. 信息管理: 对信息提供信息分类和信息控制,将所有的抽象的信息记录下来并存档。

20. 防犯罪管理

主要威胁:

  • 在已授权的情况下,对网络设备及信息资源进行非正常使用或越权使用;
  • 利用各种假冒或欺骗的手段,非法获取合法用户的使用权限;
  • 使用非法手段篡改计算机系统的数据或程序;
  • 改变系统的正常运行方法,减慢系统的响应时间,甚至于破坏计算机系统线路窃听。

21. 禁止使用国外密码算法和安全产品

国家明确规定严格禁止直接使用国外的密码算法和安全产品,这主要有两个原因:

  • 一是国外禁止出口密码算法和产品,所谓出口的安全的密码算法,国外都有破译手段;
  • 二是恐怕国外的算法或产品中存在“后门”,关键时刻危害我国安全。

22. 网络安全产品

  • WEB应用防火墙;
  • 入侵检测系统;
  • 防病毒软件;
  • 备份/恢复技术。

性能和能力管理

系统维护、运行和评价

发表更新备忘录几秒读完 (大约97个字)

ACE Editor修改自动换号缩进

https://stackoverflow.com/questions/38323427/remove-word-wrap-offset-in-ace-editor

This is controlled by indentedSoftWrap setting in ace, you can turn it off by running

1
editor.setOption("indentedSoftWrap", false);

behaviours setting is completely unrelated and controls automatic insertion of closing brackets and tags.

So your code from the above would become

1
2
3
4
5
6
7
8
9
var editor = ace.edit("edittext");
editor.setOptions({
    maxLines: Infinity, // this is going to be very slow on large documents
    useWrapMode: true, // wrap text to view
    indentedSoftWrap: false,
    behavioursEnabled: false, // disable autopairing of brackets and tags
    showLineNumbers: false, // hide the gutter
    theme: "ace/theme/xcode"
});
关注我

链接

分类

最新文章

归档

标签

Nas工具12
Qt4
Skills1
VM1
ffmpeg2
git1
kms激活1
macOS2
sublime1
web2
中医方剂1
打印机1
×