2011軟件水平考試信息系統監理師重點輔導(6)
信息安全管理
信息系統安全的定義:信息系統安全是指確保以電磁信號為主要形式的、在信息網絡系統進行通信、處理和使用的信息內容,在各個物理位置、邏輯區域、存儲和傳輸介質中,處于動態和靜態過程中的保密性、完整性和可用性,以及與人、網絡、環境有關的技術安全、結構安全和管理安全的綜合。總的來說,信息系統安全就是要保證信息系統的用戶在允許的時間內、從允許的地點、通過允許的方法,對允許范圍內的信息進行所允許的處理。
信息系統安全屬性分為三個方面:可用性、保密性和完整性。
完整地構建信息系統的安全體系框架,信息系統安全體系應當由技術體系、組織結構體系和管理體系共同構建。
安全管理制度:1、計算機信息網絡系統出入管理制度;2、計算機信息網絡系統各工作崗位的工作職責、操作規程;3、計算機信息網絡系統的升級、維護制度;4、計算機信息網絡系統工作人員人事管理制度;5、計算機信息網絡系統安全檢查制度;6、計算機信息網絡系統應急制度;7、計算機信息網絡系統信息資料處理制度;8、計算機信息網絡系統工作人員安全教育、培訓制度;9、計算機信息網絡系統工作人員循環任職、強制休假制度。
物理訪問管理注意事項:1、硬件設施在合理范圍內是否能防止強制入侵;2、計算機設備的鑰匙是否有良好的控制以降低未授權者進入的風險;3、職能終端是否上鎖或有安全保護,以防止電路板、芯片或計算機被搬移;4、計算機設備在搬動時是否需要設備授權通行的證明。
應用環境的安全管理,監理安全管理策略:火災的控制;水災探測器的安置;計算機機房;
邏輯訪問的安全管理,監理的主要原則:1、了解信息處理的整體環境并評估其安全需求,2、通過對一些可能進入系統訪問路徑進行記錄復核,3、通過相關測試數據訪問控制點,評價安全系統的功能和有效性,4、分析測試結果和其他審核結論,評價訪問控制的環境并判斷是否達到控制目標,5、審核書面策略,觀察實際操作和流程,與一般公認的信息安全標準相比較,評價組織環境的安全性及適當性等。
架構安全的住處網絡系統:局域網的安全VLAN;C /S架構安全;互聯網的威脅和安全;采用加密技術;網閘,即安全隔離與信息交換系統;防火墻技術;入侵檢測系統;安全漏洞掃描;病毒防范;
數據備份的策略和方式:備份策略的選擇:1備份策略包括:全備份、差分備份、增量備份和備份介質輪換。2數據備份與恢復技術涉及到的幾個方面(存儲設備:存儲優化:存儲保護:存儲管理:備份與恢復技術。)
備份方式的選擇:硬件備份:軟件備份;人工備份;
災難恢復的策略:1全自動恢復系統;2手動恢復系統;3數據備份系統;4監理單位法:(建議建設單位制定災難恢復計劃;災難恢復計劃的監理工作:)
1、獲得領導層的支持;2、召開解決方案研討會;3、選定負責人;4、進行業務影響分析;5、評定保持業務持續性的戰略;6、組織全體人員熟悉此項計劃;7、提供全面的備份中心設施;8、災難恢復計劃以文檔形式在工作人員之間共享;9、在系統上裝載和運行必需的工具來衡量恢復解決方案的要求;10、保證解決方案中的所有硬件、軟件和網絡部件的可用性;11、提供可擴展的容量來滿足組織的預期工作負荷。12、進行恢復功能測試和災難恢復模擬。
信息系統工程信息是對參與各方主體從事信息系統工程項目管理(或監理)提供決策支持的一種載體,如項目建議書、可行性研究報告、設計說明書、售后服務協議以及實施標準等。
信息系統工程信息具有的特點:1、現實性:是信息系統工程信息的最基本性質;2、適時性:反映了信息系統工程信息具有突出的時間性的特點;3、復雜性:4共用性和增值性
信息系統工程信息資料的劃分:按照工程建設信息的性質劃分:引導信息;辨識信息。用途:投資控制、進度、質量、合同、組織、其他
文檔管理過程中應該注意的事項:文檔的格式應該統一;文檔版本要統一;文檔的存檔標準要統一規定。
監理在信息管理中的主要文檔:1、總控類文檔:指承檢合同、總體方案、項目組織實施方案、技術方案、項目進度計劃、質量保證計劃、資金分解計劃、采購計劃、監理規劃及實施細則等文檔;2、監理實施類文檔:工程項目變更監理文檔、工程進度監理文檔、工程質量監理文檔、工程監理日報、工程監理月報、工程驗收監理報告、工程監理總結報告;(了解每一種報告包含的主要內容)3監理回復(批復)類文件:總體監理意見、系統集成監理意見、軟件開發監理意見、培訓監理意見、專題監理意見、其它監理意見、提交資料回復單等。4監理日志及內部文件。
日報:針對近期的工程進度、工程質量、合同管理及其他事項進行綜合、分析,提出必要的意見
月報:工程概況;監理工作統計;工程質量控制;工程進度控制;管理協調;監理總評價;下月監理計劃
驗收報告:工程竣工準備工作概述;驗收測試方案與規范;測試結果與分析;驗收測試結論
總結報告:工程概況;監理工作統計;工程質量概述;管理協調概述;監理總評價
組織協調的基本原則:公平、公正、獨立的原則:即“一碗水端平”;守法原則;誠信原則;科學原則。
組織協調的監理單位常用方法:監理會議:項目監理例會;監理專題會議;監理報告:定期的監理周報、月報;不定期的監理報告;監理通知與回復;日常的監理文件;監理作業文件;應掌握的溝通原則:1、排除第一印象干擾;2、把握人際關系認知的規律;3、創造良好的人際交往條件:(外表問題;態度的類似性;需求的互補性、時空上的接近性。)
信息網絡系統的體系框架:網絡基礎平臺、網絡服務平臺、網絡安全平臺、網絡管理平臺、環境平臺
網絡監理方法:評估、網絡仿真、現場旁站、抽查測試、網絡性能測試
信息網絡系統的驗收:設備的驗收和系統的驗收
了解信息網絡系統建設準備階段的過程劃分:立項、工程準備、招標等。
立項評審的基本原則:簡單性、靈活性、完整性、可靠性、經濟性等。
開標過程:招標、投標、開標、評標、決標、授予合同
立項階段監理應協助業主做的工作(任務):了解業主現有的人力物力情況;為新系統的建設確定項目組織和人員配備;編制立項申請報告,并提交給上級主管部門;撰寫項目可行性報告。
可行性分析的四個主要方面:經濟可行性、技術可行性、系統生存環境可行性、各種可選方案。
可行性分析研究的內容:系統建設的必要性;系統實施計劃;系統建設的經濟效益。
招標階段監理的重要工作:評估投標單位總體技術方案;審查承建方的實力;把好工程投資關。
監理方在設計階段的主要工作是進行方案評審,包括:設計組織人員與職責的評審、需求分析符合程度的評審、風險分析、技術經濟分析、設計進度的檢查、系統邊界清晰和完整性評審、系統安全性評審、知識產權保護建議等。
設計階段的監理工作主要包括以下內容:1、結合信息工程項目特點,收集設計所需的技術經濟資料。2、配合設計單位對方案設計進行技術經濟分析,優化設計。3、協助業主進行設計文件的評審。4、參與主要設備、材料的選型工作。5、審核方案中主要設備、材料清單。6、審核系統設計方案及其他詳細設計文件。7、組織設計文件的報批。8、對方案設計內容進行知識產權保護監督。9、審核技術放案中信息安全保障措施。10、協助業主對工程建設周期總目標進行分析討論。11、審核承建方編制的工程項目總進度計劃,并在項目實施過程中控制其執行。12、如果與合同有沖突,應督促承建方調整工程進度計劃。審核承建方編制的各分項工程階段進度計劃,根據實際環境的變化,督促承建方及時調整進度計劃。13審核工程設計和承建方的設備/材料清單和采購計劃,并檢查、敦促其執行。
設計方案評審的基本原則:1、標準化原則;2、先進性和實用性原則;3、可靠性和穩定性原則;可擴展性原則;4、安全性原則;5、可管理性原則;6、對原有設備、7、資源合理整合的原則;8、經濟和效益性原則。
網絡基礎平臺方案重點:網絡整體規劃、網絡設備選型、服務器和操作系統選型、存儲備份系統選型
網絡服務平臺方案重點:Internet網絡服務系統規劃和選型、多媒體業務網絡規劃和選型、數字證書系統規劃和選型
網絡安全和管理平臺方案重點:防火墻系統;入侵監測和漏洞掃描系統;其他網絡安全系統;網絡管理系統
環境平臺方案的評審:機房建設、綜合布線系統
網絡安全系統監理方應重視以下幾方面的內容:1、風險分析的有效性、準確性。2、確保符合國家法令、法規的要求。3、保證有關評審是在相關職能部門的主持下完成的。4、從技術、市場、工程組織實施、售后服務等各個環節對網絡系統的安全性進行整體和分項評估,避免出現任何技術和管理漏洞。
本階段監理重點歸納:嚴把方案設計關。統籌規劃、充分論證:技術路線、策略和容量配置。細化需求分析工作。跟蹤最新行業標準。加強量化測試的重要性
信息網絡系統建設實施階段的監理:實施階段的監理工作的重點就是“三控兩管一協調”。主要監理內容包括:開工前的監理、實施準備階段的監理、實施階段的監理(網絡集成與測試階段)。
開工前:審核實施方案、進度計劃、實施組織計劃、承建單位及個人相關資質。
準備階段:了解實施的各種活動準備情況。
實施階段:1組織布線、網絡和安全系統方案評審;2對現場布線施工情況等進行檢查;3評審項目驗收大綱并對各子系統進行測試驗收;4移交相應文檔并組織相應最終測試驗收。
設備采購的監理主要職責:審核承建方的采購計劃和采購清單;設備質量、到貨時間的審核;訂貨、進貨確認;組織到貨驗收;設備移交審核;外購硬件和軟件的監理。
設備采購監理的重點:設備是否與工程量清單、合同規定的規格相符;設備說明書等證明文件是否齊全;到貨是否及時;配套軟件是否成熟。
監理流程:承建商提前三天通知設備到貨地點、時間,提交清單;協助業主方做好到貨驗收準備,進行設備驗收,發現缺損由承建商負責更換;提交驗收報告。
機房工程的監理重點:審查好施工組織方案,重點檢查是否有保證工程質量的措施;控制好施工人員資質;嚴格貫徹《建筑智能化系統工程實施及驗收規范》;深入現場落實隨裝隨測的要求。
綜合布線的監理綜合布線工程包括綜合布線設備安裝、布放線纜、纜線端接三個環節。綜合布線的監理內容主要有兩項:按照國家相關標準審查承建方人員施工是否規范;到場設備的驗收。
隱蔽工程的監理金屬線槽安裝:吊架按照相關標準安裝;線槽按照規范安裝;線槽內配線按照要求安裝,線纜不得扭絞,兩端貼標簽等。
管道安裝:要點與金屬線槽基本相同,應注意管道的彎曲半徑要大于管道直徑的6倍。
布線系統測試:測試內容主要是干線、支線連通情況;跳線測試;數據線參數測試。
網絡系統安裝調試的監理:任何一個網絡系統的實施都至少包括兩個部分,邏輯設計與物理實現。網絡系統的調試與安裝通常分為以下幾步:網絡系統的詳細邏輯設計;全部網絡設備加電測試;模擬建網調試及連通性測試;實際網絡安裝調試。
驗收的前提條件:1、所有建設項目按照批準設計方案要求全部建成,并滿足使用要求。2、各個分項工程全部初驗合格。3、各種技術文檔和驗收資料完備,符合集成合同的內容。4、系統建設和數據處理符合信息安全的要求。5、外購的操作系統、數據庫、中間件、應用軟件和開發工具符合知識產權相關政策法規的要求。6、各種設備經加電試運行,狀態正常。7、經過用戶同意
驗收方案的審核與實施:1、確認工程驗收的基本條件(是否符合合同規定的各項內容,文檔是否完備,售后服務和培訓計劃是否完備)。2、建議業主、 承建方共同推薦人員組成驗收組。3、確認工程驗收是應達到的標準和要求。4確認驗收程序,(驗收準備—初步驗收—正式驗收—驗收資料的保存)。
工程驗收的組織:工程驗收組一般由業主方組織,監理方、承建方共同參與;驗收組應有明確分工,一般為測試小組、資料文檔評審小組、工程質量鑒定小組。
售后服務與培訓監理:督促承建方按照合同規定,向業主提供相應的培訓服務。
驗收監理主要內容:1、系統整體功能、性能。2、主要設備(或子系統)的功能、性能。3、承建方提交文檔的種類和內容。4、系統設計、開發、實施、測試各個階段涉及的工具和設備都具備合法的知識產權。5、承建方的質量保證和售后服務體系。6、承建方采取必要的管理和工程措施,以方便系統的擴容和升級。
網絡基礎平臺的驗收
1、網絡基礎平臺的整體性能:網絡整體性能(網絡連通性能;網絡傳輸性能;網絡安全性能;網絡可靠性能;網絡管理性能);服務器整體性能(服務器設備連通性能;服務器設備提供的網絡服務;服務器設備可靠性能;服務器設備的壓力測試);系統整體壓力測試驗收(網絡壓力測試、系統運行監控測試)。
2、網絡設備:網絡檢測主要考慮的指標,吞吐量,包丟失,延時,背靠背性能
3、服務器和操作系統
4、數據存儲和備份系統
服務平臺的驗收
Internet 網絡服務:(電子郵件服務器;www服務器)
多媒體業務網絡:(voip網絡、視頻會議系統)
數字證書系統(ca系統,ra系統)
網絡安全和管理平臺的驗收
主要是對系統中的設備進行驗收,包括:防火墻,入侵監測和漏洞掃描系統(入侵監測、漏洞掃描)、其他網絡安全系統(網絡防病毒、安全審計、Web信息防篡改系統)、網絡管理系統(網絡管理、系統管理、運行維護管理)等設備。
環境平臺的驗收
機房工程:機房工程主要系統的驗收:UPS電源系統,接地系統,門禁系統、消防系統、照明系統、空調系統。
綜合布線系統:1、環境的驗收,主要是各配線間場地的選擇以及溫濕度的控制;2、器材的驗收,必須與合同規格等要求相符,符合相關的國家標準,線纜必須滿足各項參數要求,機柜等的安裝注意事項。3、設備安裝的驗收
說明:信息網絡系統的驗收應以網絡設計的總體設計為基礎,主要驗證系統的整體性能和主要設備運行性能。另外,在驗收工作中,要認識到,應用是根本,應用系統是信息系統的核心。
軟件包括程序、數據及其相關文檔的完整集合。
軟件特點:1、軟件是一種邏輯實體,具有抽象性;2、軟件的質量控制必須著重在軟件開發方面下功夫;3、軟件在使用過程中,有修改與維護;4、軟件的開發與運行依賴于計算機系統;5、軟件開發還是手工方式;6、軟件本身是復雜的;7、軟件成本昂貴;8、軟件工作涉及社會因素。
由于工程中甲乙雙方的信息量的不對稱性、信息管理的不對稱性使得第三方介入的必要性存在。
監理目標是通過監理工程師的工作,力求在項目的成本、進度和質量目標內實現建設項目。
監理方的質量控制體系主要有質量管理組織、項目質量控制、設計質量控制程序、開發質量控制程序、測試質量控制程序和系統驗收質量控制程序。
進度控制的目標是在規定的時間內,保質保量地完成應用軟件系統建設的全部工作。內容:主要是監控項目的進度、比較實際進度與計劃的差別、修改計劃使項目能夠返回預定“軌道”。
進度控制措施有組織、技術、合同、經濟和信息管理措施。
進度控制的監理要點:1、有明確項目控制的目的及工作任務。2、加強來自各方面的綜合、協調和督促。3、要建立項目管理信息制度。4、項目主管應及時向領導匯報工作執行情況,也應定期向客戶報告,并隨時向各職能部門介紹整個項目的的進程。5項目控制包括對未來情況的預測、對當時情況的衡量、預測情況和當時情況的比較和及時制定實現目標、進度或預算的修正方案。
成本控制的內容:1、監控費用執行情況以確定與計劃的偏差。2、確使所有發生的變化被記錄到費用線上。3、避免不正確的、不合適的或者無效的變更反映到費用線上。4、股東權益改變的各種信息
招投標階段主要任務:是協助業主制定招標文件和評標標準,監督招標過程,對投標單位進行資質審查,確定中標單位后,參與業主和中標單位的合同談判,協助業主確定合同條款并最終簽訂信息應用系統建設合同。
可行性研究包括四個方面的研究::經濟可行性:指成本/效益分析,從經濟角度判斷系統是否“合算”。技術可行性:指技術風險評價,從建設基礎、問題的復雜性等出發,判斷系統開發在時間、費用等限制條件下成功的可能性。法律可行性:確定系統開發可能導致的任何侵權、妨礙和責任。方案的選擇:評價系統或產品開發的幾個可能的候選方案,并最終給出結論意見。
招標過程:招標:投標、開標:評標:中標:
確定招標方式:1、若可以擬定詳細的條件,而且服務的性質準許采用招標方式,則可采用公開或邀請招標的方式進行。2、若不能確切擬定或最后擬定條件,或采購的服務相當復雜,可采用征求建議書、邀請建議書、兩階段招標、競爭性談判、設計競賽等方式。3、與其他形式的服務相比,聘用專家提供咨詢、研究、監理等服務更側重對專家知識、技能、經驗方面的考慮,故有獨特的方式。
審查承建方單位資質:監理單位的主要工作是,協助業主單位對承建單位資質進行審查,如承建單位的軟件企業認定情況、系統集成資質情況等,同時考察承建單位在以往的開發過程中是否從事過與本項目相關或相似的開發工作,幫助業主單位選擇合格的承建單位,減小項目實施的風險。
審查承建方單位質量管理體系:承建方的質量管理體系是否提供相關認證或評估,標志著承建單位對質量管理的重視程度,也在一定程度上決定了承建單位產品或服務質量水平,因此監理方需對承建單位的質量管理體系進行審查,目前軟件企業所遵循的質量管理體系主要有兩種:軟件能力成熟度模型;ISO質量管理體系
監督招標過程:開標過程監理、評標過程監理、決標過程監理
合同簽訂管理:監理工程師在與業主與承建單位訂立合同的過程中要按條款逐條分析,若發現對業主產生風險較大的條款,要增加相應的抵御條款,要詳細分析哪些條款與業主有關、與承建單位有關、與工程檢查有關、與工期有關,分門別類分析各自責任和相互聯系的關聯,做到一清二楚,心中有數。
分析設計階段監理對應軟件工程過程中的軟件需求分析和軟件設計過程。
此階段主要任務是評審承建單位提交的項目開發計劃、質量保證計劃和驗收計劃,這些計劃可以作為合同的一部分或合同附件;對需求分析和設計進行質量控制,對由各種原因導致的變更進行控制,協調業主和承建單位的關系。
分析設計階段的系統建設任務:需求分析階段進入條件。需求分析的目標。需求分析的任務。需求分析階段成果。設計階段進入條件。軟件設計的目標。軟件設計的任務。軟件設計的成果。分析設計階段監理工作內容
項目計劃監理的目的:對軟件計劃的相關內容(重點是組織、技術標準、開發計劃、進度要求等)、項目計劃過程、項目計劃組織、文檔格式進行審查,確認是否滿足要求;給出是否符合要求的結論;確定其可否做為軟件開發的前提和依據。
項目計劃監理的基本準則:1承建單位制定了軟件項目計劃,同時該項目計劃通過正式的評審,2軟件項目計劃對項目組織、進度計劃、工程標準進行了承諾,3項目的風險分析合理,風險管理方案可行。4項目的階段劃分是明確的。
軟件質量管理體系監理(軟件管理過程監理的內容):1、監督應用軟件系統建設承建單位根據項目合同和業主應用軟件系統需求,制定項目軟件工程和管理活動,結合成為密切相關、定義完整的項目軟件過程。2、評估項目軟件過程的技術合理性,包括是否符合標準和規范,是否符合項目合同和業主技術要求。3、項目軟件過程文檔化,并得到批準;監督和控制承建單位的項目軟件過程的狀態,促使承建單位支持和實施項目軟件過程,提高軟件項目實施的計劃性,減少軟件項目實施的風險。4、監督應用軟件系統建設承建單位在軟件開發過程中按照項目軟件過程的規范實施,跟蹤、記錄和審查軟件管理過程活動
軟件質量保證計劃監理:1、確保項目遵循書面的承建單位管理策略來實施軟件質量保證,承建單位成立了軟件質量保證活動的組織。2、控制承建單位依據書面規程,為軟件項目制定軟件質量保證計劃,保障軟件質量保證計劃符合項目軟件過程的規范要求。3、參加承建單位的軟件質量保證組按照軟件質量保證計劃進行的活動。4、參加承建單位的軟件質量保證組評審軟件工程活動,驗證軟件工程活動與軟件項目計劃的一致性。5、參加承建單位軟件質量保證組審核指定的軟件產品,依據指定的軟件標準、規程和合同需求對可交付的軟件產品進行評價,驗證軟件產品與軟件項目計劃的一致性。6、控制承建單位依據書面規程,歸檔和處理軟件活動和軟件工作產品中的偏差,管理和控制不一致性問題的文檔。7、軟件監理人員和業主的軟件質量保證人員定期對軟件質量保證組的活動和結果進行評審。8、跟蹤和記錄軟件質量保證活動的情況,審查軟件質量保證活動,并給出軟件質量保證監理報告。
軟件配置管理監理:1、確保應用軟件系統建設承建單位的配置管理組織和環境按照軟件項目計劃的要求成立并配備。2、控制承建單位依據書面規程,為應用軟件系統建設項目制定軟件配置管理計劃。3、監督承建單位使用審批通過的、文檔化的軟件配置管理計劃作為實施軟件配置管理活動的基礎。4、控制承建單位依據的書面規程,對所有配置項/單元的更改請求和問題報告實施初始準備、記錄、評審、批準、和跟蹤。5、監督承建單位依據書面規程,控制對基線的更改。6、控制承建單位編制軟件配置管理報告,證明軟件配置管理活動和軟件基線庫的內容,并提供給業主。7、監督承建單位依據書面規程,進行軟件基線庫的審核,進行軟件配置管理活動狀態的跟蹤和記錄。8、定期審查軟件配置管理活動和軟件配置管理基線,以驗證它們與文檔定義的一致性。9、審核軟件配置管理活動及其工作產品,并給出軟件配置管理監理報告。
需求說明書評審內容: 清晰、完整、依從、一致、可行、可管理性
【編輯推薦】
