第一篇:2011年下半年软考真题及答案
上学吧在线考试中心已发布2011年下半年软考真题及答案,速度估分!!2011年下半年软考《程序员》下午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《程序员》上午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《网络管理员》上午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《网络管理员》下午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《信息处理技术员》上午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《软件设计师》上午试题(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《软件设计师》下午试题(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《网络工程师》上午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《网络工程师》下午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《软件评测师》上午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《软件评测师》下午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《信息系统监理师》下午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《信息系统监理师》上午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《电子商务设计师》上午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《电子商务设计师》下午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《嵌入式系统设计师》上午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《嵌入式系统设计师》下午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《系统集成项目管理工程师》上午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
2011年下半年软考《系统集成项目管理工程师》下午试卷(参考答案版)http://u.ixueyi.com/tatran/4004.html
第二篇:2015年5月软考高级真题和答案
2015年5月—信息系统项目管理师—上午试卷(真题解析)
2015-06-03
试题01
1、以下关于大数据的叙述中,()是不正确的。
A、大数据不仅是技术,更是思维方式、发展战略和商业模式 B、缺少数据资源和数据思维,对产业的未来发展会有严重影响
C、企业的价值与其数据资产的规模、活性、解释并运用数据的能力密切相关 D、大数据中,各数据价值之和远远大于数据之和的价值
尚大教育解析: 选项D说反了。
“数据之和的价值远大于数据的价值之和”,2012年。http://
尚大教育参考答案:D
试题02
2、自从第一台电子计算机问世以来,信息系统经历了由低级到高级,由单机到网络,由数据处理到智能处理,由集中式计算到云计算的发展历程。以下关于云计算的叙述中,()是不正确的。
A、云计算凭借数量庞大的云服务器为用户提供远超单台服务器的处理能力 B、云计算支持用户在任意位置获取应用服务,用户不必考虑应用的具体位置 C、云计算的扩展性低,一旦需要扩展,需要重新构件全部数据模型 D、云计算可以构造不同的应用,同一个“云”可以同时支撑不同的应用运行
尚大教育解析: 送分题。排除法即可。
尚大教育参考答案:C
试题03
3、以下关于移动互联网发展趋势的叙述中,()是不正确的。A、移动互联网与PC互联网协调发展,共同服务经济社会 B、移动互联网与传统行业融合,衍生新的应用模式 C、随着移动设备的普及,移动互联网将逐步替代PC互联网 D、移动互联网对用户的服务将更泛在,更智能,更便捷
尚大教育解析: 送分题。排除法即可。
尚大教育参考答案:C
试题04
4、许多企业在信息化建设过程中出现了诸多问题,如:信息孤岛多,信息不一致,难以整合共享,各应用系统之间,企业上下级之间,企业与上下游伙伴之间业务难以协同,信息系统难以适应快捷的业务变化等。为解决这些问题,企业信息化建设采用()架构已是流行趋势。A、面向过程 B、面向对象 C、面向服务 D、面向组件
尚大教育解析:
面向服务的体系结构是一个组件模型,它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的,它应该独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种各样的系统中的服务可以使用一种统一和通用的方式进行交互。
尚大教育参考答案:C
试题05
5、职业道德是所有从业人员在职业活动中应该遵循的行为准则,涵盖了从业人员与服务对象,职业与职工,职业与职业之间的关系。以下违背信息系统项目管理师职业道德规范要求的是()。A、遵守项目管理规程
B、建立信息安全保护制度,并严格执行 C、不泄漏未公开的业务和技术工艺 D、提高工时和费用估算
尚大教育解析: 送分题。排除法即可。
尚大教育参考答案:D
试题06
6、软件需求包括三个不同的层次:业务需求、用户需求和功能需求。其中业务需求()。A、反映了组织结构或客户对系统、产品高层次的目标要求。在项目视图与范围文档中予以说明
B、描述了用户使用产品必须实现的软件功能 C、定义了开发人员必须实现的软件功能 D、描述了系统展现给用户的行为和执行的操作等
尚大教育解析:
业务需求(Business requirement)表示组织或客户高层次的目标。业务需求通常来自项目投资人、购买产品的客户、实际用户的管理者、市场营销部门或产品策划部门。业务需求描述了组织为什么要开发一个系统,即组织希望达到的目标。使用前景和范围文档来记录业务需求,这份文档有时也被称作项目轮廓图或市场需求文档。
用户需求(user requirement)描述的是用户的目标,或用户要求系统必须能完成的任务。用例、场景描述和事件――响应表都是表达用户需求的有效途径。也就是说用户需求描述了用户能使用系统来做些什么。
功能需求(functional requirement)规定开发人员必须在产品中实现的软件功能,用户利用这些功能来完成任务,满足业务需求。功能需求有时也被称作行为需求,因为习惯上总是用“应该”对其进行描述:“系统应该发送电子邮件来通知用户已接受其预定”。功能需求描述是开发人员需要实现什么。
尚大教育参考答案:A
试题07
7、MVC是模型(model)-视图(view)-控制器(controller)架构模式的缩写,以下关于MVC的叙述中,()是不正确的。A、视图是用户看到并与之交互的界面 B、模型表示企业数据和业务规则
C、使用MVC的目的是将M和V的代码分离,从而使同一个程序可以使用不同的表现形式 D、MVC强制性地使应用程序的输入、处理和输出紧密结合
尚大教育解析: 略。
尚大教育参考答案:D
试题08
8、在软件系统的生命周期中,软件度量包括3个维度,即项目度量、产品度量和()。A、用户度量 B、过程度量 C、应用度量 D、绩效度量
尚大教育解析:
软件度量能够为项目管理者提供有关项目的各种重要信息,其实质是根据一定规则,将数字或符号赋予系统、构件、过程或者质量等实体的特定属性,即对实体属性的量化表示,从而能够清楚地理解该实体。软件度量贯穿整个软件开发生命周期,是软件开发过程中进行理解、预测、评估、控制和改善的重要载体。软件质量度量建立在度量数学理论基础之上。软件度量包括3个维度,即项目度量、产品度量和过程度量。
尚大教育参考答案:B
试题09
9、根据GB/T 12504-90《计算机软件质量保证计划规范》,为了确保软件的实现满足要求,至少需要下列基本文档()
①项目实施计划②软件需求规格说明书③软件验证与确认计划④项目进展报表⑤软件验证与确认报告⑥用户文档 A、①②③④⑤ B、②③④⑤ C、②③④⑤⑥ D、②③⑤⑥
尚大教育解析:
尚大教育参考答案:D
试题10
10、软件测试是为评价和改进产品质量、识别产品的缺陷和问题而进行的活动,以下关于软件测试的叙述中,()是不正确的。A、软件测试是软件开发中一个重要的环节
B、软件测试被认为是一种应该包括在整个开发和维护过程中的活动 C、软件测试是在有限测试用例集合上,静态验证软件是否达到预期的行为
D、软件测试是检查预防措施是否有效的主要手段,也是识别由于某种原因预防措施无效而产生错误的主要手段
尚大教育解析: 中级教程p87原文
软件测试是针对一个程序的行为,在有限测试用例集合上,动态验证软件是否达到预期的行为,需要选取适当的测试用例。尚大教育参考答案:C
试题11
11、除了测试程序之外,黑盒测试还适用于测试()阶段的软件文档。A、编码 B、总体设计 C、软件需求分析 D、数据库设计
尚大教育解析:
黑盒测试:已知产品的功能设计规格,可以进行测试证明每个实现了的功能是否符合要求。白盒测试:已知产品的内部工作过程,可以通过测试证明每种内部操作是否符合设计规格要求,所有内部成分是否以经过检查。
尚大教育参考答案:C
试题12
12、()是软件系统结构中各个模块之间相互联系紧密程度的一种度量。A、内聚性
B、耦合性
C、层次性
D、并联性
尚大教育解析: 标准原文。
尚大教育参考答案:B
试题13
13、配置管理是软件生命周期中的重要控制过程,在软件开发过程中扮演着重要的角色,根据GB/T11457-2006《软件工程术语》的描述,以下关于配置管理基线的叙述中,()是不正确的。
A、配置管理基线包括功能基线,即最初通过的功能的配置 B、配置管理基线包括分配基线,即最初通过的分配的配置
C、配置管理基线包括产品基线,即最初通过的或有条件通过的产品的配置 D、配置管理基线包括时间基线,即最初通过的时间安排
尚大教育解析: 2.125 基线 baseline
a)业已经过正式审核与同意,可用作下一步开发的基础,并且只有通过正式的修改管理过程方能
加以修改的规格说明或产品; b)在配置项目生存周期的某一特定时间内,正式指定或固定下来的配置标识文件和一组这样的文
件。基线加上根据这些基线批准同意的改动构成了当前配置标识;
参见:分配的基线 allocated baseline(2.57)、开发配置 developmental configuration(2.470)、功能基线 functional baseline(2.659)和产品基线 product baseline(2.1213)。c)任何协议或在一给定时间赋予或固定的结果,如要变更,要求证明和批准。对于配置管理,有以下三种基线: 功能基线——最初通过的功能配置; 分配基线——最初通过的分配的配置;
产品基线——最初通过的或有条件地通过的产品配置。
尚大教育参考答案:D
试题14
14、软件可靠性和可维护性测试评审时,不用考虑的是()。A、针对可靠性和可维护性的测试目标
B、测试方法及测试用例
C、测试工具、通过标准
D、功能测试报告
尚大教育解析:
GB/T 14394《计算机软件可靠性和可维护性管理》 5.2.6.4 测试评审
a)针对可靠性和可维护性的测试目标 b)测试方法 c)测试用例 d)测试工具 e)测试通过标准 f)测试报告
尚大教育参考答案:D
试题15
15、信息系统安全风险评估是通过数字化的资产评估准则完成的,它通常会覆盖人员安全、人员信息、公共秩序等方面的各个要素,以下不会被覆盖的要素是()。A、立法及规章未确定的定义
B、金融损失或对业务活动的干扰
C、信誉的损害
D、商业及经济的利益 尚大教育解析:
高级教程p565--25.3.2 风险评估
评估是通过数字的资产评估准则完成的,它覆盖了以下几点: ①人员安全; ②人员信息;
③立法及规章所确定的义务; ④法律的强制性; ⑤商业及经济的利益;
⑥金融损失或对业务活动的干扰; ⑦公共秩序; ⑧业务政策及操作; ⑨信誉的损害。
尚大教育参考答案:A
试题16
16、信息系统安全可以分为5个层面的安全要求,包括:物理、网络、主机、应用、数据及备份恢复,“当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警”属于()层面的要求。A、物理 B、网络 C、主机 D、应用
尚大教育解析:
GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》 7.1.2 网络安全 7.1.2.5 入侵防范
尚大教育参考答案:B
试题17
17、访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用的安全措施,以下关于访问控制的叙述中,()是不正确的。A、访问控制包括2个重要的过程:鉴别和授权
B、访问控制机制分为2种:强制访问控制(MAC)和自主访问控制(DAC)C、RBAC基于角色的访问控制对比DAC的先进之处在于用户可以自主的将访问的权限授给其它用户
D、RBAC不是基于多级安全需求的,因为基于RBAC的系统中主要关心的是保护信息的完整性,即“谁可以对什么信息执行何种动作”
尚大教育解析:
高级教程p615—29.1.4 基于角色的访问控制
用户不能自主地将访问权限授给别的用户,这是RBAC与DAC的根本区别所在。
尚大教育参考答案:C
试题18
18、以下关于信息系统运维的叙述中,()是不正确的。
A、一般而言,在信息系统运维过程中,会有较大比例的成本或资源投入 B、高效运维离不开管理平台,需要依靠管理与工具及其合理的配合 C、运维管理平台使运维自动化、操作化,降低了对运维人员的技术要求 D、运维的目的是保障系统正常运行,要重视效率与客户满意度的平衡
尚大教育解析:
操作运维平台对技术同样有要求。
尚大教育参考答案:C
试题19
19、按照网络分级设计模型,通常把网络设计分为3层,即核心层、汇聚层和接入层。以下叙述中,()是不正确的。A、核心层承担访问控制列表检查功能 B、汇聚层实现网络的访问策略控制 C、工具组服务器放置在接入层 D、在接入层可以使用集线器代替交换机
尚大教育解析:
网络分级设计把一个大的、复杂的网络分解为多个小的、容易管理的网络。分级网络结构中的每一级解决一组不同的问题。在3层网络设计模型中,网络设备被划分为核心层、汇聚层和接入层。各层的功能如下。核心层:尽快地转发分组,提供优化的、可靠的数据传输功能。汇聚层:通过访问控制列表或其他的过滤机制进入核心层的流量,定义了网络的边界和访问策略。接入层:负责用户设备的接入,防止非法用户进入网络。
尚大教育参考答案:A
试题20
20、域名服务器上存储有Internet主机的()。A、MAC地址与主机名 B、IP地址与域名 C、IP地址与访问路径 D、IP地址、域名与MAC地址
尚大教育解析:
DNS的全称是Domain Name Server,一种程序,它保存了一张域名(domain name)和与之相对应的IP地址(IP address)的表,以解析消息的域名。域名是Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。域名是由一串用点分隔的名字组成的,通常包含组织名,而且始终包括两到三个字母的后缀,以指明组织的类型或该域所在的国家或地区。
尚大教育参考答案:B
试题21
21、一般而言,大型软件系统中实现数据压缩功能的模块,工作在OSI参考模型的()。A、应用层 B、表示层 C、会话层 D、网络层
尚大教育解析:
表示层处理流经结点的数据编码的表示方式问题,以保证一个系统应用层发出的信息可被另一系统的应用层读出。如果必要,该层可提供一种标准表示形式,用于将计算机内部的多种数据表示格式转换成网络通信中采用的标准表示形式。数据压缩和加密也是表示层可提供的转换功能之一。
尚大教育参考答案:B
试题22
22、()是与IP协议同层的协议,可用于互联网上的路由器报告差错或提供有关意外情况的信息。A、IGMP B、ICMP C、RARP D、ARP
尚大教育解析:
ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
尚大教育参考答案:B
试题23
23、在以太网中,双绞线使用()接口与其他网络设备连接。A、RJ-11 B、RJ-45 C、LC D、MAC
尚大教育解析: 略。
尚大教育参考答案:B
试题24
24、综合布线系统中用于连接两幢建筑物的子系统是()。A、网络管理子系统 B、设备间子系统 C、建筑群子系统 D、主干线子系统
尚大教育解析:
送分题!中级教程p131图3-13
尚大教育参考答案:C
试题25
25、以下关于面向对象的叙述中,()是不正确的。A、通过消息传递,各个对象之间实现通信
B、每个对象都属于特定的类
C、面向对象软件开发可以实现代码的重用
D、一个对象可以是两个以上类的实例
尚大教育解析:略。
尚大教育参考答案:D
试题26
26、组件是软件系统中可替换的、物理的组成部件,它封装了实现体。并提供了一组()的实现方法。A、所有的属性和操作 B、接口 C、实现体
D、一些协作的类的集
尚大教育解析: 中级教程p95原文。
尚大教育参考答案:B
试题27
27、以下关于UML的叙述中,()是正确的。A、UML是一种标准的图形化建模语言
B、UML是一种可视化的程序设计语言
C、UML是一种开发工具的规格说明
D、UML是程序设计方法的描述
尚大教育解析:
中级教程p96—3.4.2 可视化建模与统一建模语言
统一建模语言(Unified Modeling Language,UML。)是一个通用的可视化建模语言,它是面向对象分析和设计的一种标准化表示,用于对软件进行描述、可视化处理、构造和建立软件系统的文档。
尚大教育参考答案:A
试题28 试题29 28、29、乙公司中标承接了甲机构的网络工程集成项目,在合同中约定了因不可抗力因素导致工期延误免责的条款,其中不会被甲机构认可的不可抗力因素是(28),合同约定,甲乙双方一旦出现分歧,在协商不成时,可提交到相关机构裁定,一般优先选择的裁定机构是(29)。(28)
A、施工现场遭遇长时间雷雨天气 B、物流公司车辆遭遇车祸 C、乙方施工队领导遭遇意外情况 D、施工现场长时间停电(29)
A、甲机构所在地的仲裁委员会 B、乙公司所在地的仲裁委员会 C、甲机构所在地的人民法院 D、乙公司所在地的人民法院
尚大教育解析: 略。
尚大教育参考答案:(28)C、(试题30
30、()属于评标依据。A、招标文件
B、企业法人营业执照复印件 C、公司业绩 D、施工组织设计
尚大教育解析:送分题。尚大教育参考答案:A
29)A
试题31
31、项目整体管理要综合考虑项目各个相关过程,围绕整体管理特点,以下说法中,()是不正确的。
A、项目的各个目标和方案可能是冲突的,项目经理要进行统一权衡 B、项目经理要解决好过程之间的重叠部分的职责问题 C、对项目中可能不需要的过程,项目经理就不用考虑 D、项目经理要把项目的可交付物与公司的运营结合起来
尚大教育解析: 高级教程p81原文。
大多数有经验的项目管理人员知道并不存在一个惟一的管理项目的方法。为了取得期望的项目绩效,他们在不同的顺序和程度上应用项目管理知识、技术和需要的过程,然而,不需要一个特定的过程并不意味不去确定过程。项目经理和项目团队必须针对每个特定项目确定其中的每一个过程及其实施程度。
尚大教育参考答案:C
试题32
32、()不是影响制定项目章程过程的环境和组织因素。A、政府或行业标准 B、组织的基础设施 C、市场条件
D、合同
尚大教育解析: 高级教程p86: 3.环境的和组织的因素
在制定项目章程时,必须考虑和项目成功息息相关的环境和组织因素。如下所述: 组织或公司文化和结构。
政府或行业标准(如规章制度、产品标准、质量标准、劳务关系标准)。基础设施,如:已存在的设施和固定资产。
现有的人力资源,如:技能、专业和知识(设计,开发,法律,合同和采购)。人力资源管理,如:招聘和解聘的指导方针,员工绩效评估和培训记录等 公司的工作授权系统。市场条件。
项目干系人对风险的容忍度。
商业数据库,如业界的风险研究信息和风险数据库、成本预算数据等。项目管理信息系统,例如一个自动工具集(如,一个与配置管理系统相结合的进度制定工具)。尚大教育参考答案:D
试题33
33、项目管理过程可以划分为项目启动、制定项目计划、指导和管理项目执行、监督和控制项目工作、项目收尾五个过程组。()属于指导和管理项目执行过程组。A、建立WBS和WBS字典 B、活动排序 C、项目质量保证 D、管理项目团队
尚大教育解析:
中级教程p180—4.5.3 项目管理过程图示,表4-4
尚大教育参考答案:C
试题34
34、当()时,要正式通过变更审批。A、0.7版的项目管理计划调整
B、某活动在自由时差内的进度调整 C、某活动负责人要求进度提前
D、项目经理安排一次临时加班
尚大教育解析: 排除法。送分题。
尚大教育参考答案:C
试题35
35、某项目由ABCDE五个活动构成,完成各活动工作所需要的最可能时间(Tm)、最乐观时间(To)、最悲观时间(Tp)见下表:
各活动之间的依赖关系如下:
则该项目工期的估算结果约为()天。A、22 B、23 C、24 D、25
尚大教育解析:
用三点估算法分别计算每个活动的期望工期,填入图中,如下。
三点估计法: 所谓三点估计法就是把施工时间划分为乐观时间、最可能时间、悲观时间,也就是工作顺利情况下的时间为a,最可能时间,就是完成某道工序的最可能完成时间m,最悲观的时间就是工作进行不利所用时间b。
活动历时均值(或估计值)=(乐观估计+4×最可能估计+悲观估计)/6 活动历时方差=(悲观估计值-乐观估计值)/6
可知,关键路径为B→D→E,总工期为:(32+46+66)/6=24天
尚大教育参考答案:C
试题36
36、以下关于项目范围管理的叙述中,()是不正确的。A、一般项目目标的设定标准可用一个单词SMART来表达
B、项目目标开始是出现在初步项目范围说明书里,后来被定义并最终归结到项目范围说明书里
C、范围定义过程给出了项目和产品的详细描述,并把结果写进详细的项目范围说明书 D、范围确认也被称为范围核实,它的目的是核实工作结果的正确与否,应该贯穿项目始终
尚大教育解析:
中级教程p242—7.5 范围确认
项目范围确认应该贯穿项目的始终。范围确认与质量控制不同,范围确认是有关工作结果的接受问题,而质量控制是有关工作结果正确与否,质量控制一般在范围确认之前完成,当然也可并行进行。
中级教程p136—4.1.2 项目目标
项目的目标要求遵守SMART原则,即项目的目标要求Specific(具体)、Measurable(可测量)、Agree to(需相关方的一致同意)、Realistic(现实)、Time-oriented(有一定的时限)。
尚大教育参考答案:D
试题37
37、项目经理和项目团队成员需要掌握专门的知识和技能才能较好地管理信息系统项目,以下叙述不正确的是()。
A、为便于沟通和管理,项目经理和项目组成员都要精通项目管理相关知识 B、项目经理要整合项目团队成员知识,使团队知识结构满足项目要求
C、项目经理不仅要掌握项目管理9个知识领域的纲要,还要具备相当水平的信息系统知识 D、项目经理无需掌握项目所有的技术细节 尚大教育解析: 送分题,排除法即可。尚大教育参考答案:A
试题38
38、某待开发的信息系统工作分解结构图如下图,其中标有“(38)”的方框应该填入的内容是()。
A、同行评审B、计划评审C、项目计划制定D、集成方案制定
尚大教育解析:
参考中级教程p237—7.4.3 创建WBS的工具和技术。尚大教育参考答案:C
试题39
39、制定合理的实施进度计划、设计合理的组织结构、选择经验丰富的管理人员、建立良好的协作关系、制定合适的培训计划等内容属于信息系统集成项目的可行性研究中()研究的内容。
A、经济及风险可行性
B、社会可行性 C、组织可行性
D、财务可行性
尚大教育解析:
中级教程p185—5.1.3 项目可靠性研究报告 4.组织可行性
制定合理的项目实施进度计划、设计合理的组织机构、选择经验丰富的管理人员、建立良好的协作关系、制定合适的培训计划等,保证项目顺利执行。
尚大教育参考答案:C 试题40
40、确定信息系统集成项目的需求是项目成功实施的保证,项目需求确定属于()的内容。A、初步可行性研究
B、范围说明书 C、项目范围基准
D、详细可行性研究
尚大教育解析:
中级教程p189—5.2.2 项目的可行性研究 2.详细可行性研究(2)详细可行性研究的内容。①概述。②需求确定。
③现有资源、设施情况分析。④设计(初步)技术方法。⑤项目实施进度计剞建设。⑥投资估算和资金筹措计划。
⑦项目组织、人力资源、技术培训计划。⑧经济和社会效益分析(效果评价)。⑨合作,协作方式。
尚大教育参考答案:D
试题41
41、()一般不属于项目绩效报告的内容。A、团队成员考核
B、项目预测
C、项目主要效益
D、变更请求
尚大教育解析:
中级教程p359—12.5.1 绩效报告的内容
一般来讲,绩效报告需要包括以下内容。(1)项目的进展和调整情况。(2)项目的完成情况。
(3)项目总投入、资金到位情况。(4)项目资金实际支出情况。(5)项目主要效益情况。(6)财务制度执行情况。(7)项目团队各职能团队的绩效。(8)项目执行中存在的问题及改进措施。
(9)预测——随着项目的进展,根据获得的工作绩效信息对以前的预测进行更新并重新签发。
(10)变更请求——对项目绩效进行分析后,通常需要对项目的某些方面进行变更。这些变更请求应按整体变更控制过程所描述的办法进行处理。
(11)其他需要说明的问题。尚大教育参考答案:A
试题42
42、某企业有一投资方案,每天生产某种设备1500台,生产成本每台700元,预计售价每台1800元,估算投资额为800万元,该投资方案寿命为7年,假设年产量,每台售价和投资额均有可能在+-20%的范围内变动,就这三个不确定因素对投资回收期的敏感性分析得到了下表中的部分投资回收期数据(空缺部分尚未计算),根据投资回收期的计算结果可知,这三个不确定性因素中,()是高风险因素(可能导致投资风险)。
A、年产量
B、每台售价
C、投资额 D、全部
尚大教育解析:
三个因素中,“每台售价”的变化导致的投资回收期变化最大。
尚大教育参考答案:B
试题43
43、在软件项目开发过程中,评估软件项目风险时,一般不考虑()。A、高级管理人员是否正式承诺支持该项目 B、开发人员和用户是否充分理解系统的需求 C、最终用户是否同意部署已开发的系统 D、开发需要的资金是否能按时到位
尚大教育解析:
问题的“在软件项目开发过程中”,也就是特指“开发”的风险。此题来源于2006年上半年高项真题,只做了些文字修改。原文如下
尚大教育参考答案:C
试题44-
44、()提供了一种结构化方法以便使风险识别的过程系统化、全面化,保证组织能够在一个统一的框架下进行风险识别,目的是提高风险识别的质量和有效性。A、风险影响力评估 B、风险类别 C、风险概率分析 D、风险管理的角色界定
尚大教育解析: 排除法即可。
高级教程p223—12.2.3 风险管理计划编制的输出
风险类别。它提供了一种结构化方法以便使风险识别的过程系统化、全面化,这样,组织就能够在统一的框架下进行风险识别,目的是提高风险识别的工作质量和有效性。组织可以使用事先准备的常用风险类别。
尚大教育参考答案:B
试题45
45、按优先级或相对等级排列项目风险,属于()的输出。A、定性风险分析 B、定量风险分析 C、风险管理计划 D、风险监视表 尚大教育解析:
中级教程p468—18.4.2 定性风险分析的输入、输出 2.定性风险分析的输出
(1)项目风险的相对排序或优先度清单。可使用风险概率和影响矩阵,根据风险的重要程度进行分类。项目经理可参考风险优先度清单,集中精力处理高重要性的风险,以获得更好的项目成果。如果组织更关注其中一项目标,则可分别为成本、进度、范围和质量目标单独列出风险优先度。对于被评定为对项目十分重要的风险而言,应对其风险概率和影响的评定基础和依据进行描述。
尚大教育参考答案:A
试题46
46、以下内容中,()是采购计划编制的工具与技术。
①专家判断 ②项目范围说明书 ③自制/外购分析 ④项目章程 ⑤合同类型 A、①②③ B、①③⑤ C、①②③④ D、②③④⑤
尚大教育解析:
中级教程p388—14.2.2 用于编制采购计划过程的技术、方法
尚大教育参考答案:B
试题47
47、某公司按总价合同方式约定订购3000米高规格的铜缆,由于建设单位原因,工期暂停了半个月,待恢复施工后,承建单位以近期铜价上涨为理由,要求建设单位赔偿购买电缆增加的费用,并要求适当延长工期,以下说法中,()是正确的。A、建设单位应该赔偿承建单位采购电缆增加的费用
B、监理单位应该保护承建单位的合法利益,因此应该支持承建单位的索赔要求 C、索赔是合同双方利益的体现,可以使项目造价更趋于合理 D、铜价上涨是承建单位应承担的项目风险,不应该要求赔偿费用
尚大教育解析:!
尚大教育参考答案:D
试题48
48、以下关于合同收尾的叙述中,()是不正确的。
A、在合同收尾前的任何时候,只要在合同变更控制条款下经双方同意都可以对合同进行修订 B、合同收尾包括项目验收和管理收尾 C、提前终止合同是合同收尾的一种特例
D、合同收尾的工具包括合同收尾过程、过程审计、记录管理系统
尚大教育解析: 中级教程p226-6.8 项目收尾 6.8.1 管理收尾和合同收尾
尚大教育参考答案:B
试题49
49、以下关于外包及外包管理的叙述中。()是不正确的。
A、外包是企业利用外部的专业资源为已服务,从而达到降低成本、提高效率、充分发挥自身核心竞争力的一种商业模式
B、软件外包管理的总目标是用强有力的手段来管理同时进行的众多外包项目,满足进度、质量、成本的要求。
C、承包商是软件外包部分的第一责任人,故质量保证活动应由承包商独立完成 D、委托方要根据合同的承诺跟踪承包商实际完成情况和成果
尚大教育解析: 送分题,排除法即可!
尚大教育参考答案:C
试题50
50、项目选择和项目优先级排序是项目组合管理的重要内容,其中()不属于结构化的项目选择和优先级排序的方法。A、DIPP分析 B、期望货币值 C、财务分析 D、决策表技术
尚大教育解析:
高级教程p401—19.3 项目选择和优先级排列
结构化的项目选择和优先级排列方法包括:决策表技术、财务分析和DIPP分析。
尚大教育参考答案:B
试题51
51、某企业成立项目管理办公室用于运维项目群的统一管理协调和监控,项目管理办公室()做法是不可行的。A、建立项目人员的储备机制为各项目提供人员应急服务 B、建立项目管理的知识库,为各项目提供知识支持 C、成立一个监理公司负责对各项目进行监督管理 D、建立运维运行管理工具平台对运维项目统一管理
尚大教育解析: 送分题。
尚大教育参考答案:C
试题52
52、在大型复杂项目计划过程中,建立统一的项目过程将提高项目之间的协作效率,有力地保证项目质量。这就要求在项目团队内部建立一个体系。一般来说,统一的项目过程不包括()。A、制定过程 B、监督过程 C、优化过程 D、执行过程
尚大教育解析:
高级教程p415—19.6.1 大型及复杂项目的计划过程
尚大教育参考答案:C
试题53
53、项目经理有责任处理项目过程中发生的冲突,以下解决方法中,()会使冲突的双方最满意,也是冲突管理最有效的一种方法。
A、双方沟通,积极分析,选择合适的方案来解决问题 B、双方各作出一些让步,寻求一种折中的方案来解决问题 C、将眼前的问题搁置,等待合适的时机再进行处理
D、冲突的双方各提出自己的方案,最终听从项目经理的决策
尚大教育解析: 送分题!
尚大教育参考答案:A 试题54
54、流程管理是企业管理的一个重要内容,一般来说流程管理不包括()。A、管理流程 B、操作流程 C、支持流程 D、改进流程
尚大教育解析: 高级教程p482
一般来说,业务流程可分为管理流程、操作流程和支持流程三类。操作流程直接与满足外部顾客的需求相关;支持流程指为保证操作流程的顺利执行,在资金、人力、设备管理和信息系统支撑方面的各种活动;管理流程指企业整体目标和经营战略产生的流程,这些流程指导了企业整体运作方向,确定了企业的价值取向,所以是一类比较重要的流程。
尚大教育参考答案:D
试题55
55、对项目进行审计是项目绩效评估的重要内容,以下关于项目绩效评估和审计的叙述中,()是不正确的。
A、绩效审计是经济审计、效率审计、效果审计的合称 B、按审计时间分为事前审计、事中审计和事后审计
C、项目绩效评估主要通过定性对比分析,对项目运营效益进行综合评判 D、绩效评估以授权或委托的形式让独立的机构或个人来进行就是绩效审计
尚大教育解析:
高级教程p524原文—23.1.3什么是项目整体绩效评估
所谓项目绩效评估,是指运用数理统计、运筹学原理和特定指标体系,对照统一的标准,按照一定的程序,通过定量定性对比分析,对项目一定经营期间的经营效益和经营业绩做出客观、公正和准确的综合评判。
绩效审计(三E审计)是经济审计、效率审计和效果审计的合称因为三者的第一个英文字母均为E故称三E审计它是指由独立的审计机构或人员依据有关法规和标准运用审计程序和方法对被审单位或项目的经济活动的合理性经济性有效性进行监督评价和鉴证提出改进建议促进其管理提高效益的一种独立性的监督活动
尚大教育参考答案:C
试题56
56、某项目计划投资1000万元,经过估算,投产后每年的净收益为200万元,则该项目的静态投资回收期为5年,如果考虑到资金的时间价值,假设贴现率为10%,那么该项目的动态投资回收期()。A、小于5年
B、大于5年,小于6年 C、大于6年,小于7年 D、大于7年
尚大教育解析:
先分别计算每年收益的现值,然后计算净值。如下表,可知,动态投资回收期大于7年小于8年。
尚大教育参考答案:D
试题57
57、成本基准是用来度量与检测项目成本绩效的按时间分段预算,下图中给出了某项目期望现金流、成本基准、资金需求情况,图中区间A应为()。
A、管理储备B、成本偏差C、进度偏差D、超出的成本
尚大教育解析:
中级教程p287—9.4.3 项目成本预算的输入、输出
试题58
58、假设某项目任务已进行了充分细化分解,任务安排及完成情况如下图,已获价值适用50/50规则(活动开始执行即获得一半价值),则下图中项目监控点的PV、EV、BAC分别为()。
A、PV=4200、EV=3000、BAC=5200 B、PV=4200、EV=3300、BAC=4600 C、PV=3600、EV=3300、BAC=5200 D、PV=3600、EV=3300、BAC=5200
尚大教育解析:
PV=监控点时间之前(监控点左边)所有工作预算之和=400+1000+1200+400+600=3600 EV=所有已完成工作的预算之和=400+1000+1200+400+300=3300 BAC=总预算=400+1000+1200+400+600+600+1000=5200
尚大教育参考答案:C
试题59
59、以下关于项目成本控制的叙述中,()是不正确的。
A、成本控制可提前识别可能引起项目成本基准变化的因素,并对其进行影响 B、成本控制的关键是经常并及时分析项目成本绩效 C、成本控制的单位一般为项目的具体活动
D、进行成本控制是要防范因成本失控产生的各种可能风险
尚大教育解析:
高级教程p162—8.4 成本控制 项目成本控制工作的主要内容包括:
1)识别可能引起项目成本基准计划发生变动的因素,并对这些因素施加影响,以保证该变化朝着有利的方向发展。2)以工作包为单位,监督成本的实施情况,发现实际成本与预算成本之间的偏差,查找出产生偏差的原因,做好实际成本的分析评估工作。
3)对发生成本偏差的工作包实施管理,有针对性地采取纠正措施,必要时可以根据实际情况对项目成本基准计划进行适当地调整和修改,同时要确保所有的相关变更都准确地记录在成本基准计划中。
4)将核准的成本变更和调整后的成本基准计划通知项目的相关人员。
5)防止不正确的、不合适的或未授权的项目变更所发生的费用被列入项目成本预算。6)在进行成本控制的同时,应该与项目范围变更、进度计划变更、质量控制等紧密结合,防止因单纯控制成本而引起项目范围、进度和质量方面的问题,甚至出现无法接受的风险。有效成本控制的关键是经常及时地分析成本绩效,尽早发现成本差异和成本执行的效率,以便在情况变坏之前能够及时采取纠正措施。一旦项目成本失控,要在预算内完成项目是非常困难的,如果项目没有额外的资金支持,那么成本超支的后果就是要么推迟项目工期,要么降低项目的质量标准,要么缩小项目的工作范围,这三种情况都是我们不愿意看到的。
尚大教育参考答案:C
试题60
60、对质量管理活动进行结构性审查,决定一个项目质量活动是否符合组织政策、过程和程序的独立的评估活动称为()。A、过程分析 B、基准分析 C、整体审计 D、质量审计
尚大教育解析: 送分题,排除法即可。
中级教程p315—10.3.2 项目质量保证的技术、方法 3.项目质量审计
质量审计是对其他质量管理活动的结构化和独立的评审方法,用于判断项目活动的执行是否遵从于组织及项目定义的方针、过程和规程。
尚大教育参考答案:D
试题61 61、()不是项目质量计划编制的依据。A、项目的范围说明书 B、产品说明书 C、标准和规定 D、产品的市场评价
尚大教育解析:
排除法。编制质量计划的时候,市场评价还不知道呢。中级教程p311—10.2.3 制定质量计划工作的输入、输出 通常,制定项目质量计划的输入包括以下内容。
(1)质量方针。(2)项目范围说明书。(3)产品描述。(4)标准与规则。(5)其他过程的输出。尚大教育参考答案:D
试题62
62、创建基线是项目配置管理的一项重要内容,创建基线或发现基线的主要步骤是()。A、获取CCB的授权、创建构造基线或发现基线、形成文件、使基线可用 B、形成文件、获取CCB的授权、创建构造基线或发行基线、使基线可用 C、使基线可用、获取CCB的授权、形成文件、创建构造基线或发行基线 D、获取CCB的授权、创建构造基线或发行基线、使基线可用、形式文件
尚大教育解析:
高级教程p326--15.3.3创建基线或发行基线 创建基线或发行基线的主要步骤如下: [步骤1]获得CCB的授权 [步骤2]创建构造基线或发行基线 [步骤3]形成文件 [步骤4]使基线可用
尚大教育参考答案:A
试题63
63、软件系统的版本号由3部分构成,即主版本号+次版本号+修改号。某个配置项的版本号是1.0,按照配置版本号规则表明()A、目前配置项处于“不可变更”状态 B、目前配置项处于“正式发布”状态 C、目前配置项处于“草稿”状态 D、目前配置项处于“正在修改”状态
尚大教育解析:
中级教程p414——15.2.5 版本管理
1)处于“草稿”状态的配置项的版本号格式为0.YZ,YZ的数字范围为01~99。随着草稿的修正,YZ的取值应递增。YZ的初值和增幅由用户自己把握。
2)处于“正式”状态的配置项的版本号格式为X.Y,X为主版本号,取值范围为1~9。Y为次版本号,取值范围为0~9。配置项第一次成为“正式”文件时,版本号为1.0。如果配置项升级幅度比较小,可以将变动部分制作成配置项的附件,附件版本依次为1.0,1.1,„„。当附件的变动积累到一定程度时,配置项豹Y值可适量增加,Y值增加一定程度时,X值将适量增加。当配置项升级幅度比较大时,才允许直接增大X值。
3)处于“修改”状态的配置项的版本号格式为X.YZ。配置项正在修改时,一般只增大Z值,X.Y值保持不变。当配置项修改完毕,状态成为“正式”时,将Z值设置为0,增加X.Y值。参见上述规则(2)。
尚大教育参考答案:B
试题64
64、在需求分析中,面向团队的需求收集方法能够鼓励合作。以下关于面向团队的需求收集方法的叙述中,()是不恰当的。
A、举行需求收集会议,会议由软件工程师、客户和其他利益相关者举办和参加 B、拟定会议议程,与会者围绕需求要点,畅所欲言 C、会议提倡自由发言,不需要特意控制会议的进度
D、会议目的是识别问题,提出解决方案的要点,初步描述解决方案中的需求问题
尚大教育解析: C、D都有问题。。尚大教育参考答案:C
试题65
65、以下关于需求跟踪的叙述中,()是不正确的。
A、逆向需求跟踪检查设计文档、代码、测试用例等工作产品是否都能在《需求规格说明书》中找到出处
B、需求跟踪矩阵可以把每个需求与业务目标或项目目标联系起来 C、需求跟踪矩阵为管理产品范围变更提供框架
D、如果按照“需求开发-系统设计-编码-测试”这样的顺序开发产品,由于每一步的输出就是下一步的输入,所以不必担心设计、编程、测试会与需求不一致,可以省略需求跟踪。
尚大教育解析: 送分题。
尚大教育参考答案:D
试题66
66、某信息系统集成项目包括7个作业(A-G),各作业所需的时间、人数以及各作业之间的衔接关系如图所示(其中虚线表示不消耗资源的虚作业)
如果各作业都按最早时间开始,那么正确描述该工程每一天所需人数的图为()
尚大教育解析:
此题的关键为“各作业都按最早时间开始”,所以,该项目各作业时间和人数的安排为: 1、0-20天,5人做A,共需5人。2、21-40天,3人做B,4人做D,2人做C,共需9人。3、41-50天,2人做F,2人做E,共需4人。4、51-60天,2人继续做E,共需2人。5、61-70天,3人做G,共需3人。
尚大教育参考答案:D
试题67
67、某水库现在的水位已超过安全线,上游河水还在匀速流入。为了防洪,可以利用其10个泄洪闸(每个闸的泄洪速度相同)来调节泄洪速度。经测算。若打开1个泄洪闸,再过10个小时就能将水位降到安全线;若同时打开2个泄洪闸,再过4个小时就能将水位降到安全线。现在抗洪指挥部要求再过1小时必须将水位降到安全线,为此,应立即同时打开()个泄洪闸。A、6 B、7 C、8 D、9
尚大教育解析:
设上游流量x立方米/小时,每个泄洪闸泄洪量y立方米/小时,目前已超安全线A立方米,根据题意可知: 10x+A=10y4x+A=8y
联立方程,可得:y=3x,A=20x
若1小时达到安全,则:x+A=n*y,即x+20x=n*3x,所以,n=7
尚大教育参考答案:B
试题68 68、某工程的进度计划网络图如下,其中包含了①~⑩10个结点,节点之间的剪线表示作业及其进度方向,剪线旁标注了作业所需的时间(单位:周)。设起始结点①的时间为0,则结点⑤的最早时间和最迟时间分别为()周。
A、9,19 B、9,18 C、15,17 D、15,16
尚大教育解析:
首先,这是双代号网络图,箭头表示工作。所以,题中的问题“结点⑤的最早时间和最迟时间”就描述错误!我们只能理解为结点⑤出发的工作(有三个)的最早开始时间和最迟开始时间。
结点⑤出发的工作的最早开始时间为15(①→③→④→⑤)关键路径为:①→③→④→⑥→⑦→⑨→⑩,总工期为28,所以,结点⑤出发的工作的最迟开始时间为28-5-2-5=16(⑩→⑨→⑦→⑤)
尚大教育参考答案:D
试题69
69、在一个单CPU的计算机系统中,采用按优先级抢占的进程调度方案,且所有任务可以并行使用I/O设备。现在有三个任务T1、T2和T3,其优先级分别为高、中、低,每个任务需要县占用CPU 10ms,然后再使用I/O设备13ms,最后还需要再占用CPU 5ms。如果操作系统的开销忽略不计,这三个任务从开始到全部结束所用的总时间为()ms。A、61 B、84 C、58 D、48
尚大教育解析: 画时标网络图即可,如下。
尚大教育参考答案:C
试题70
70、某公司拟将5百万元资金投放下属A、B、C三个子公司(以百万元的倍数分配投资),各子公司获得部分投资后的收益如下表所示(以百万元为单位)。该公司投资的总收益至多为()百万元。
A、4.8 B、5.3 C、5.4 D、5.5
尚大教育解析: A-1,B-1,C-3
尚大教育参考答案:D
试题71 71、Wireless LAN, also widely known as WLAN or WIFI, is probably the most well-known member of the IEEE802 protocol family for home users today.It is standardized by()and shares many properties with wired Ethernet。A、IEEE 802.1 B、IEEE 802.3 C、IEEE 802.5 D、IEEE 802.11
尚大教育解析:
无线局域网(被广泛称之为WLAN或WIFI)是人们最为熟悉的IEEE802协议族。它由()协议定义标准并具备许多有限局域网的特性。A、IEEE 802.1 B、IEEE 802.3 C、IEEE 802.5 D、IEEE 802.11
尚大教育参考答案:D
试题72
72、When multiple routers are used in interconnected networks, the routers exchange information about()using a dynamic routing protocol。A、destination addresses B、IP addresses C、work addresses D、router addresses
尚大教育解析:
当接入网络存在多个路由器时,路由器利用动态路由协议交换()信息。A、目的地址 B、IP地址 C、工作地址 D、路由地址
尚大教育参考答案:A
试题73
73、Before a project schedule can be created, the schedule maker should have a(), an effort estimate for each task, and a resource list with availability for each resource。A、work breakdown structure B、baseline
C、software requirements specification D、plan
尚大教育解析:
制定项目进度计划之前,制定计划者需要()、各任务的工作量估计以及可得到的资源列表 A、工作分解结构B、基线C、软件需求描述D、计划
尚大教育参考答案:A
试题74
74、Establishing a project management timetable involves listing milestones, activities, and()with intended start and finish dates, of which the scheduling of employees may be an element。A、relationships B、resources C、stakeholders D、deliverables
尚大教育解析:
建立项目管理时间表需要里程碑列表、各活动、以及含有估计开始和结束时间的(),其中员工的调度被看作为元素。A、关系 B、资源 C、干系人 D、可交付物 尚大教育参考答案:D
试题75
75、The following diagram denotes dependency between two activities A and B, It says()。
A、B can’t start before A is finished B、B can’t finish before A is finished C、B can’t start before A starts D、B can’t finish before A starts
尚大教育解析:
下图表示的活动A与B的依赖关系可以描述为()A、A结束前B不能开始 B、A结束前B不能结束 C、A开始前B不能开始 D、A开始前B不能结束 尚大教育参考答案:A
2015年5月-信息系统项目管理师-下午试卷-解析
2015-06-03试题一(25分)
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。
[说明] 某信息系统工程项目由ABCDEFG七个任务构成,项目组根据不同任务的特点,人员情况等,对各项任务进行了历时估算并排序,并给出了进度计划,如下图:
项目中各项任务的预算(方框中,单位是万元)、从财务部获取的监控点处各项目任务的实际费用(括号中,单位为万元),及各项任务在监控点时的完成情况如下图:
[问题1](10分)
(1)请指出该项目的关键路径、工期。
(2)本例给出的进度计划图叫什么图?还有哪几种图可以表示进度计划?(3)请计算任务A、D和F的总时差和自由时差
(4)若任务C拖延1周,对项目的进度有无影响?为什么?
[问题2](7分)
请计算监控点时刻对应的PV、EV、AC、CV、SV、CPI和SPI.[问题3](4分)
请分析监控点时刻对应的项目绩效,并指出绩效改进的措施。
[问题4](4分)
(1)请计算该项目的总预算。
(2)若在监控点时对项目进行了绩效评估后,找到了影响绩效的原因并予以纠正,请预测此种情况下项目的ETC、EAC.[问题1] 参考答案:
(1)关键路径为B→D→E→G,工期为24周。
(2)本例的进度图为双代号时标网络图,表示进度的图还有单代号网络图、甘特图、前导图等。
(3)A的自由时差=ESC-EFA=5-3=2(周),A的总时差=LFA-EFA=6-3=3(周)。
D为关键工作,其自由时差为 0 和 总时差均为0。
F的自由时差=ESG-EFF=22-15=7(周),F的总时差=LFF-EFF=22-15=7(周)。(4)因为任务C在非关键路径上,且有1周自由时差,所以推迟1周对项目进度没有影响。因为C的有6周的自由时差、1周的总时差。
[问题2]参考答案: 在监控点时,AC=3+8+16+5+4=36(万)PV=4+10+12+4+8/2=34(万)EV=4+10+12*0.75+4+6*0.5=30(万)
CV=EV-AC=30-36=-6(万)SV=EV-PV=30-34=-4(万)CPI=EV/AC=30/36=5/6=0.833SPI=EV/PV=30/34=15/17=0.882
[问题3] 参考答案:
项目在监控点时因CPI<1,SPI<1,所以当前进度落后,成本超支。可以采取的措施:
(1)用高效人员代替低效人员;
(2)加班或赶工在预防风险的情况下并行施工;(3)提高资源利用率;
(4)加强、改进沟通,提高效率;(5)尽可能一次性把事情做对,减少返工。
[问题4] 参考答案:
(1)总预算BAC=4+10+12+4+8+6+10=54(万)
(2)找到了影响绩效的原因并加以纠正,因此按非典型偏差来进行项目预测。所以:
ETC=BAC-EV=54-30=24元
EAC=AC+ETC=36+24=60万元
试题二(25分)
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
[说明] 某石化行业的信息化项目是一个大型项目,前期投标竞争非常激烈,甲公司最终中标。合同谈判过程也比较紧张,客户提出的一些要求,如工期和某些增加的功能,虽然在公司内部讨论时,认为并没有把握能按要求完成,但是为了赢得这个项目,甲公司在谈合同时未提出异议。由于项目工期紧张,甲公司选择了项目经理老李负责该项目。原因是老李在甲公司多年一直从事石化行业的项目咨询、设计、开发,对行业非常熟悉,技术水平高。而且近一年来,他正努力转型做项目经理,管理并负责完成了2个较小规模的项目。
老李带领项目组根据客户要求的工期制定了项目计划,但项目执行到第一阶段,就未按计划进度完成。由于项目刚开始,老李怕客户有意见终止合同,因此决定不把实际情况告知客户,打算在后面的工作中加班加点把进度追回来。
接下来,项目组在解决客户谈判过程中增加的功能需求的时候,遇到了一个技术问题,老李带领项目组加班进行技术攻关,耗费了几周的时间,终于解决了技术问题。但此时项目进度延误得更多了。
甲公司已建立项目管理体系,该项目的QA本应该按照甲公司要求对项目过程进行检查,但老李认为过程中的检查会影响到项目组的工期,要求QA在项目阶段末再进行检查。时间已经超过了工期的一半,客户到甲公司检查项目工作,发现项目的进度严重滞后,并且已经完成的部分也未能达到质量要求。
[问题1](15分)
你认为该项目的实施过程中存在哪些问题?请逐条说明并给出正确的做法。
[问题2](4分)
除了行业知识和专业技术知识外,你认为该项目的项目经理还应该具备哪些知识与能力?
[问题3](6分)
结合案例,判断下列选项的正误(填写在答题纸的对应栏内,正确的选项填写“√”,错误的选项填写“×”)
(1)对于比较小的项目来说,可以选择技术能力较强的项目经理。()(2)大型项目的项目经理的管理工作应该以间接管理为主。()
(3)公司中的项目必须按照公司定义的完整项目管理流程执行,不能进行裁剪。()
[问题1] 参考答案: 存在的问题及正确做法为:
1、合同管理:甲公司合同谈判期间不应该全盘盲目接受客户方所有要求,应对客户方就项目进度、技术等方面的可行性提出异议,并且对项目中可能存在的问题进行充分沟通、最好能在合同中明确。
2、人力资源管理:项目经理人选不合适。1)老李缺乏负责大型项目的经验及管理技能。应任命更有项目管理能力、具备相关大型项目管理经验的人员。项目经理更重要是看项目管理能力,而不是技术水平。
2)老李的项目团队在一定程度上缺乏技术实力,应该前期根据项目难度情况,选派实力较高的技术人员加入项目团队。
3、沟通管理:项目经理老李对于进度落后的情况未与客户进行及时有效沟通,不应该隐瞒实际情况,应及时与客户就相关进度落后的情况进行沟通,共同分析问题、寻找解决方案,更新进度计划。
4、进度管理:老李对项目的进度管理工作没有做好,计划未经评审就付诸实施。进度计划必须经过评审才能付诸实施,加强进度管理工作。
5、质量管理:缺乏质量规划,质量保证工作没有做到位。项目经理老李不重视质量管理工作。应利用公司的质量管理体系,对该项目的全过程进行质量规划、质量保证、质量控制等工作,而非只在项目末端进行检查。
6、风险管理:老李未识别出项目的技术风险,缺少风险应对措施,应该做好项目风险管理工作,识别风险,制定应对措施并持续监控。
7、公司方面:公司缺乏对项目经理的考核、指导,缺乏对项目的跟踪、检查。项目缺乏阶段沟通与阶段评审,应对项目进行阶段评审。对于大型信息化项目,不能由项目经理承担全部责任,中标的集成公司应该对项目的实施进行有计划的跟踪、管控,及时发现问题、处理问题。并要跟项目经理保持沟通,了解其遇到的问题。
[问题2]:参考答案
一个合格的项目经理,至少应当具备如下的素质。
1、具备丰富的项目经验与管理能力;
2、拥有完整的项目管理知识体系与领导能力;
3、具备对社会及项目环境的认识、理解、洞察能力;
4、具备较强的组织协调能力、创新能力、人际交往能力;
5、理解并遵守国家和项目所在地政府的有关法律、法规和政策。
[问题3] 参考答案:(1)√(2)√(3)×
试题三(25分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
[说明] A公司是一家大型信息系统集成公司,具有多年的系统集成项目实施经历,成功地在多个行业进行了系统集成项目建设,取得了较多的成果,在业内具有较好的口碑。2013年年初,A公司通过竞标获得某市人口管理信息系统工程项目。A公司高层认为,尽管该项目的许多需求还没有完全确定下来,但是总体感觉上同以往曾经开发过的项目比较,还是比较简单,对完成这样的项目充满信心。
项目前期,A公司请王副总经理负责此项目的启动工作。王副总经理简单了解项目的概要情况后制定并发布了项目章程,任命小丁为项目经理。项目团队根据分工制定了相应的项目管理子计划。据此,项目经理小丁把各个子计划归并为项目管理计划。
为了保证项目按客户要求尽快完成,小丁基于自身的行业经验和对客户需求的初步了解,即安排项目团队开始进行项目实施,在系统开发过程中,建设方提出的建设需求不断变化,小丁本着客户至上的原则,总是安排项目组进行修改,从而导致开发工作多次反复。而因为项目计划的多次变化,导致项目团队的成员也经历过多次调整,实际进度与里程碑计划存在严重偏离,并且项目的质量指标也经常暴露出问题。
A公司项目管理办公室在对项目阶段审查时,感到很吃惊,并对发生这种情况觉得很不理解,认为即使是需求不完善也不至于导致项目存在这么多问题,觉得该项目在管理方面肯定存在很多问题。
[问题1](12分)
结合案例,除了项目经理能力因素之外,请简要分析造成项目目前状况的可能原因。
[问题2](9分)
作为项目经理,应统一考虑项目进度、成本与质量之间的平衡。任何一个要素的变动,都会引起其他要素的变动。
(1)请简要叙述项目进度、成本与质量之间的关系。
(2)请结合本案例说明,为了保证项目按照最初的设想按时完工,项目经理还可以采取哪些措施?
[问题3](4分)
结合案例,从候选答案中选择4个正确选项(每选对一个得1分,选项超过4个该题得0分),将选项编号填入答题纸对应栏内。项目章程一般要包括的内容有()
A、项目概述B、项目成功评价标准C、项目进度计划
D、项目预算E、委派项目经理,并授予其职责和职权F、质量保证 G、项目风险控制策略H、组织的假设与约束
[问题1] 参考答案: 造成目前情况的原因包括:
1、项目启动工作不充分,项目需求还没有完全确定的情况下,就对项目规模进行了初步定论;
2、没有详细了解项目情况就制定了项目章程;
3、项目章程的制定和发布过程没有相关的干系人参与;
4、项目经理小丁的能力没有经过详细评估与考核就被任命为项目经理;
5、制定项目计划出现问题:应该先制定总计划,再制定子计划。实际情况是项目子计划和总计划的制定顺序相反了;
6、项目实施前没有进行充分的需求调研,需求未经评审;
7、变更流程不正确,导致质量出现严重误差。客户提出的需求变更没有遵循标准的项目变更控制流程就被采纳并实施;
8、公司的项目管理办公室没有及时了解项目情况,缺乏对项目团队的指导、监督;
9、项目经理未及时的与相关干系人进行沟通;
10、进度控制不力,导致实际进度与里程碑严重偏离;
11、公司对项目的监管不力,并缺乏与项目经理的沟通;
12、未做好项目的整体管理工作,导致人力资源、进度管理、质量管理等严重失衡。
[问题2]:参考答案
(1)进度、费用与质量是项目实施的三项关键要素,三者为相互影响、相互协调、相互制约的关系。质量标准过高可能导致进行落后、成本增加。同理,进度落后往往会使成本超支。所以如何在项目的实施过程中有效地使项目的进度、费用与质量三个目标协同并进,折中平衡,是满足项目各方利益的关键,是项目管理者始终关心的核心问题。(2)可以采取的措施包括:
1、加强与客户方沟通,并深入了解项目需求, 形成详细的项目范围说明书; 2.、请各方干系人共同参与需求评审,形成需求基准;
3、建立严格的项目变更控制流程并严格执行,不能一味满足客户的需求变更;
4、请求项目管理办公室对项目工作提供指导;
5、项目经理应及时提交绩效报告,加强阶段沟通,分析预测尽早变更;
6、站在全局看问题,做好整体管理工作,统一协调好项目的进度、质量和人力等方面的工作。
[问题3] 参考答案: A、D、E、H
解析:信息系统项目管理师教程上说明项目章程的编制过程主要关注于记录建设方的商业需求、项目立项的理由与背景、对客户需求的现有理解和满足这些需求的新产品、服务或结果。项目章程应当包括以下直接列入的内容或援引自其他文件的内容。(1)基于项目干系人的需求和期望提出的要求。(2)项目必须满足的业务要求或产品需求。(3)项目的目的或项目立项的理由。(4)委派的项目经理及项目经理的权限级别。(5)概要的里程碑进度计划。(6)项目干系人的影响。(7)职能组织及其参与。
(8)组织的、环境的和外部的假设。(9)组织的、环境的和外部的约束。(10)论证项目的业务方案,包括投资回报率。(11)概要预算。
分析:有些人可能会选择一下C,(5)概要的里程碑进度计划,不等于就是项目进度计划。
第三篇:历年软考系统分析师真题练习题及答案(一)
系统分析师
http://
历年软考系统分析师真题练习题及答案(一)
2、两个公司希望通过Internet进行安全通信保证从信息源到目的地之间的数据传输以密文形式出现,而且公司不希望由于在传输节点使用特殊的安全单元而增加开支,最合适的加密方式是(1),使用的会话密钥算法应该是(2)
1、A.链路加密 B.节点加密 C.端—端加密 D.混合加密
2、A.RSA B.RC—5 C.MD5 D.ECC
3、如果对一个关系实施了一种关系运算后得到了一个新的关系,而且新的关系中的属性由该运算决定,这说明所实施的运算关系是:()
A.选择 B.投影 C.连接 D.笛卡儿积
4、影响软件开发成本估算的因素不包括以上哪项()A.软件人员业务水平
B.软件开始规模及复杂度
C.开发所需时间
D.开发所需硬件资源模型
5、Java Bean组件模型特点不包括()A.Java Bean组件模型是面向应用的组件模型
B.它支持可移植和可重用的Java组件的开发
C.Java Bean组件可以工作于任何Java程序应用开发工具中
D.Java Bean组件总是在程序运行时被实例化
系统分析师
http://
10、在形式语言中,方法G是一个四元组G=(VN,Vr,P,Z),其中VN为(6)。若方法G的产生式集P为:
(1)Z→Bc(2)Z→Zc(3)B→Ab(4)B→Bb(5)A→Aa(6)A→a 则文法G是(7)文法,识别G的自动机为(8)。对于G来说,(9)为文法G可接受的字符串,(10)为文法G不可接受的字符串。
6、A.状态标志符 B.开始符 C.语句集 D.非终结符集合7、A.短语 B.上下文有关 C.上下文无关 D.正则
8、A.图灵机 B.下推自动机 C.有穷状态自动机 D.线性界限自动机
9、A.aaabc B.acbb C.acbcab D.acbbca
10、A.abbcc B.acbc C.aaabc D.aabbccc
11、自底向上的估计法的特点是()
A.简单、工作量小、误差大
B.精度高,但缺少子任务(模块)间的联系
C.估算较精确,但区分类比较困难
D.复杂、不可行,一般不采用此种方法,但这种副作用可以通过详细的设计文档加以控制
12、以下属于选择类排序法的是()
A.堆栈排序法 B.插入排序法 C.冒泡排序法 D.快速排序法
13、下列对关系的叙述中()不正确的
系统分析师
http://
A.关系中的每个属性是不可分解的 B.在关系中元组的顺序是无关紧要的 C.任意的一个二维表都是一个关系
D.在关系中任意两个元组不能完全相同
14、对于“指针”和“链”,下面的说法正确的是()
A.它们是数据物理组织的两种形式
B.它们是数据逻辑组织的两种形式
C.它们是数据物理组织的两种基本工具
D.它们是数据逻辑组织的两种基本工具
15、甲、乙同为生产锂电池的厂家。甲得知乙研制出改进锂电池质量的技术戾窍后,遂以不正当方式获取了该技术,并加以利用。甲厂侵害了乙厂的()A.技术秘密权 B.专利权 C.专利申请权 D.经营信息权
参考答案:
1、C 端-端加密适用于点对点的传输在传输过程中无需解密。
2、A RSA算法解决了大量网络用户密钥管理的难题,能同时用于加密和数字签名的算法,也易于理解和操作
3、B 选择又称为限制,它是在关系中选择满足给定条件的若干行(元组)。投影则是从在系中选择若干属性列组成新的关系,是从列的角度进行的运算也就是从属性的角度进行运算,连接是从两个关系的笛卡儿积中选取属性间满足一定条件的元组,由题目要求,所以
系统分析师
http://
应该选择B
4、D 影响软件开发成本估算的因素包括:软件人员业务水平,软件开发规模及复杂度,开发所需时间。
5、A JavaBean组件模型特点有:可以工作于任何Java程序应用工发工具中,总是在程序运行时被实例化,它支持可移植和可重用的,Java组件的开发,JavaBean组件模型是面向客户端的组件模型。
6—10 D,D,C,A,B 形式语言首先于1956年由Chomsky进行描述。该理论讨论了语言与文法的数学理论,按照对文法规则的不同定义形式,对语言和文法进行了分类。一般来说,Chomsky文法是一个四元组G=(VN,Vr,P,Z),其中VN为非终结符集合,Vr为由终结符组成的字母表集合,P是穷非空的重写规则集合,Z是识别符号。文法G对应的语言是能从该文法的识别符号产生的那些终结符号串(句子)组成的集合。
简单来说,对于文法的分类分为4类:
1、型文法也称短语结构文法可以由图灵机识别。
2、型文法也乐上下文有关文法,可以由线性界限自动机识别。
3、型文法也称上下文无关文法,可以由下谁自动机识别。
4、型文法也称正则文法可以由有穷状态自动机识别。
具体的文法定义可以参照编译原理中的相关概念。
某种文法可以接受的句子经过简单推理即可。
11、B 自底向上的估计法:这种方法的主要思想是把待开发的软件细分,直到每一个子任务都已经明确所需要的开发工作量,然后把它们加起来,得到软件开发的总工作量。这是一种常见的估算方法。它的优点是估算各个部分的准确性高。缺点是缺少各项子任务之间相互间的联系。
系统分析师
http://
12、A 排序是数据处理中经常使用的一种重要运算。包括插入排序,交换排序,选择排序,分配排序等。选择排序的基本方法是:每步从待排序的记录中选出排序码最小的记录,顺序入在已排序的记录序列的最后,直到全部排完。通常包括,直接选择排序,树形选择排序和堆栈选择排序。
13、C 本题考查关系的基本概念。通常来说,一组域的笛卡儿积可以表示为一个二维表。表中的行对应一个元组,表中的每列对应一个域。而关系则是笛卡儿积的子集,换而言之,关系必须是满足一定意义的二维表。关系通常来说要满足几条基本性质,其中,列也就是属性顺序无所谓,但是必须是不可以分解的,元组也就是行的顺序无所谓但不能完全相同,分是必须取原子值等等。
14、D “指针”和“链”是数据逻辑组织的两种基本工具。
15、A 由题可知甲厂侵害了乙雨季的技术秘密权。
更多系统分析师考试资讯,请到希赛软考学院。
第四篇:2016下半年软考信息安全工程师考试真题及答案
2016下半年信息安全工程师考试真题
一、单项选择
1、以下有关信息安全管理员职责的叙述,不正确的是()A、信息安全管理员应该对网络的总体安全布局进行规划 B、信息安全管理员应该对信息系统安全事件进行处理 C、信息安全管理员应该负责为用户编写安全应用程序 D、信息安全管理员应该对安全设备进行优化配置 参考答案:C
2、国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”,其中规定密钥协商算法应使用的是()A、DH B、ECDSA C、ECDH D、CPK 参考答案:C
3、以下网络攻击中,()属于被动攻击 A、拒绝服务攻击 B、重放 C、假冒 D、流量分析 参考答案:D
4、()不属于对称加密算法 A、IDEA B、DES C、RCS D、RSA 参考答案:D
5、面向身份信息的认证应用中,最常用的认证方法是()A、基于数据库的认证 B、基于摘要算法认证 C、基于PKI认证 D、基于账户名/口令认证 参考答案:D
6、如果发送方使用的加密密钥和接收方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统称为()A、公钥加密系统 B、单密钥加密系统 C、对称加密系统 D、常规加密系统 参考答案:A
7、S/Key口令是一种一次性口令生产方案,它可以对抗()A、恶意代码木马攻击 B、拒绝服务攻击 C、协议分析攻击 D、重放攻击 参考答案:D
8、防火墙作为一种被广泛使用的网络安全防御技术,其自身有一些限制,它不能阻止()
A、内部威胁和病毒威胁 B、外部攻击
C、外部攻击、外部威胁和病毒威胁 D、外部攻击和外部威胁 参考答案:A
9、以下行为中,不属于威胁计算机网络安全的因素是()A、操作员安全配置不当而造成的安全漏洞
B、在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息
C、安装非正版软件 D、安装蜜罐系统 参考答案:D
10、电子商务系统除了面临一般的信息系统所涉及的安全威胁之外,更容易成为黑客分子的攻击目标,其安全性需求普遍高于一般的信息系统,电子商务系统中的信息安全需求不包括()A、交易的真实性
B、交易的保密性和完整性 C、交易的可撤销性 D、交易的不可抵赖性 参考答案:C
11、以下关于认证技术的叙述中,错误的是()A、指纹识别技术的利用可以分为验证和识别 B、数字签名是十六进制的字符串
C、身份认证是用来对信息系统中实体的合法性进行验证的方法 D、消息认证能够确定接收方收到的消息是否被篡改过 参考答案:B
12、有一种原则是对信息进行均衡、全面的防护,提高整个系统的安全性能,该原则称为()A、动态化原则 B、木桶原则 C、等级性原则 D、整体原则 参考答案:D
13、在以下网络威胁中,()不属于信息泄露 A、数据窃听 B、流量分析 C、偷窃用户账户 D、暴力破解 参考答案:D
14、未授权的实体得到了数据的访问权,这属于对安全的()A、机密性 B、完整性 C、合法性 D、可用性 参考答案:A
15、按照密码系统对明文的处理方法,密码系统可以分为()A、置换密码系统和易位密码 B、密码学系统和密码分析学系统 C、对称密码系统和非对称密码系统 D、分级密码系统和序列密码系统 参考答案:A
16、数字签名最常见的实现方法是建立在()的组合基础之上 A、公钥密码体制和对称密码体制 B、对称密码体制和MD5摘要算法 C、公钥密码体制和单向安全散列函数算法 D、公证系统和MD4摘要算法 参考答案:C
17、以下选项中,不属于生物识别方法的是()A、指纹识别 B、声音识别 C、虹膜识别 D、个人标记号识别 参考答案:D
18、计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效应的确定和提取。以下关于计算机取证的描述中,错误的是()
A、计算机取证包括对以磁介质编码信息方式存储的计算机证据的提取和归档 B、计算机取证围绕电子证据进行,电子证据具有高科技性等特点
C、计算机取证包括保护目标计算机系统,确定收集和保存电子证据,必须在开计算机的状态下进行
D、计算机取证是一门在犯罪进行过程中或之后手机证据 参考答案:C
19、注入语句:http://xxx.xxx.xxx/abc.asp?p=YYanduser>0不仅可以判断服务器的后台数据库是否为SQL-SERVER,还可以得到()A、当前连接数据库的用户数据 B、当前连接数据库的用户名 C、当前连接数据库的用户口令 D、当前连接的数据库名 参考答案:B
20、数字水印技术通过在数字化的多媒体数据中嵌入隐蔽的水印标记,可以有效地对数字多媒体数据的版权保护等功能。以下各项工,不属于数字水印在数字版权保护必须满足的基本应用需求的是()A、安全性 B、隐蔽性 C、鲁棒性 D、可见性 参考答案:D
21、有一种攻击是不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪。这种攻击叫做()A、重放攻击 B、拒绝服务攻击 C、反射攻击 D、服务攻击 参考答案:B
22、在访问因特网时,为了防止Web页面中恶意代码对自己计算机的损害,可以采取的防范措施是()
A、将要访问的Web站点按其可信度分配到浏览器的不同安全区域 B、在浏览器中安装数字证书 C、利用IP安全协议访问Web站点 D、利用SSL访问Web站点 参考答案:A
23、下列说法中,错误的是()
A、服务攻击是针对某种特定攻击的网络应用的攻击 B、主要的渗入威胁有特洛伊木马和陷阱 C、非服务攻击是针对网络层协议而进行的
D、对于在线业务系统的安全风险评估,应采用最小影响原则 参考答案:B
24、依据国家信息安全等级保护相关标准,军用不对外公开的信息系统至少应该属于()
A、二级及二级以上 B、三级及三级以上 C、四级及四级以上 D、无极 参考答案:B
25、电子邮件是传播恶意代码的重要途径,为了防止电子邮件中的恶意代码的攻击,用()方式阅读电子邮件 A、网页 B、纯文本 C、程序 D、会话 参考答案:B
26、已知DES算法的S盒如下: 如果该S盒的输入110011,则其二进制输出为()A、0110 B、1001 C、0100 D、0101 参考答案:C
27、在IPv4的数据报格式中,字段()最适合于携带隐藏信息 A、生存时间 B、源IP地址 C、版本 D、标识 参考答案:D
28、Kerberos是一种常用的身份认证协议,它采用的加密算法是()A、Elgamal B、DES C、MD5 D、RSA 参考答案:B
29、以下关于加密技术的叙述中,错误的是()A、对称密码体制的加密密钥和解密密钥是相同的 B、密码分析的目的就是千方百计地寻找密钥或明文 C、对称密码体制中加密算法和解密算法是保密的 D、所有的密钥都有生存周期 参考答案:C
30、移动用户有些属性信息需要受到保护,这些信息一旦泄露,会对公众用户的生命财产安全构成威胁。以下各项中,不需要被保护的属性是()A、用户身份(ID)B、用户位置信息 C、终端设备信息 D、公众运营商信息 参考答案:D
31、以下关于数字证书的叙述中,错误的是()A、证书通常有CA安全认证中心发放 B、证书携带持有者的公开密钥
C、证书的有效性可以通过验证持有者的签名 D、证书通常携带CA的公开密钥 参考答案:D
32、密码分析学是研究密码破译的科学,在密码分析过程中,破译密文的关键是()A、截获密文
B、截获密文并获得密钥
C、截获密文,了解加密算法和解密算法 D、截获密文,获得密钥并了解解密算法 参考答案:D
33、利用公开密钥算法进行数据加密时,采用的方法是()A、发送方用公开密钥加密,接收方用公开密钥解密 B、发送方用私有密钥加密,接收方用私有密钥解密 C、发送方用公开密钥加密,接收方用私有密钥解密 D、发送方用私有密钥加密,接收方用公开密钥解密 参考答案:C
34、数字信封技术能够()
A、对发送者和接收者的身份进行认证 B、保证数据在传输过程中的安全性 C、防止交易中的抵赖发送 D、隐藏发送者的身份 参考答案:B
35、在DES加密算法中,密钥长度和被加密的分组长度分别是()A、56位和64位 B、56位和56位 C、64位和64位 D、64位和56位 参考答案:A
36、甲不但怀疑乙发给他的被造人篡改,而且怀疑乙的公钥也是被人冒充的,为了消除甲的疑虑,甲和乙决定找一个双方都信任的第三方来签发数字证书,这个第三方为()
A、国际电信联盟电信标准分部(ITU-T)B、国家安全局(NSA)C、认证中心(CA)D、国家标准化组织(ISO)参考答案:C
37、WI-FI网络安全接入是一种保护无线网络安全的系统,WPA加密模式不包括()
A、WPA和WPA2 B、WPA-PSK C、WEP D、WPA2-PSK 参考答案:C
38、特洛伊木马攻击的威胁类型属于()A、授权侵犯威胁 B、渗入威胁 C、植入威胁 D、旁路控制威胁 参考答案:C
39、信息通过网络进行传输的过程中,存在着被篡改的风险,为了解决这一安全问题,通常采用的安全防护技术是()A、加密技术 B、匿名技术 C、消息认证技术 D、数据备份技术 参考答案:C
40、甲收到一份来自乙的电子订单后,将订单中的货物送达到乙时,乙否认自己曾经发送过这份订单,为了解除这种纷争,采用的安全技术是()A、数字签名技术 B、数字证书 C、消息认证码 D、身份认证技术 参考答案:A
41、目前使用的防杀病毒软件的作用是()
A、检查计算机是否感染病毒,清除已感染的任何病毒 B、杜绝病毒对计算机的侵害
C、查出已感染的任何病毒,清除部分已感染病毒 D、检查计算机是否感染病毒,清除部分已感染病毒 参考答案:D
42、IP地址分为全球地址和专用地址,以下属于专用地址的是()A、172.168.1.2 B、10.1.2.3 C、168.1.2.3 D、192.172.1.2 参考答案:B
43、下列报告中,不属于信息安全风险评估识别阶段的是()A、资产价值分析报告 B、风险评估报告 C、威胁分析报告
D、已有安全威胁分析报告 参考答案:B
44、计算机犯罪是指利用信息科学技术且以计算机跟踪对象的犯罪行为,与其他类型的犯罪相比,具有明显的特征,下列说法中错误的是()A、计算机犯罪具有隐蔽性
B、计算机犯罪具有高智能性,罪犯可能掌握一些其他高科技手段 C、计算机犯罪具有很强的破坏性 D、计算机犯罪没有犯罪现场 参考答案:D
45、以下对OSI(开放系统互联)参考模型中数据链路层的功能叙述中,描述最贴切是()
A、保证数据正确的顺序、无差错和完整 B、控制报文通过网络的路由选择 C、提供用户与网络的接口 D、处理信号通过介质的传输 参考答案:A
46、深度流检测技术就是以流为基本研究对象,判断网络流是否异常的一种网络安全技术,其主要组成部分通常不包括()A、流特征选择 B、流特征提供 C、分类器 D、响应 参考答案:D
47、一个全局的安全框架必须包含的安全结构因素是()A、审计、完整性、保密性、可用性
B、审计、完整性、身份认证、保密性、可用性 C、审计、完整性、身份认证、可用性 D、审计、完整性、身份认证、保密性 参考答案:B
48、以下不属于网络安全控制技术的是()A、防火墙技术 B、访问控制 C、入侵检测技术 D、差错控制 参考答案:D
49、病毒的引导过程不包含()A、保证计算机或网络系统的原有功能 B、窃取系统部分内存
C、使自身有关代码取代或扩充原有系统功能 D、删除引导扇区 参考答案:D
50、网络系统中针对海量数据的加密,通常不采用()A、链路加密 B、会话加密 C、公钥加密 D、端对端加密 参考答案:C
51、安全备份的策略不包括()A、所有网络基础设施设备的配置和软件 B、所有提供网络服务的服务器配置 C、网络服务
D、定期验证备份文件的正确性和完整性 参考答案:C
52、以下关于安全套接层协议(SSL)的叙述中,错误的是()A、是一种应用层安全协议 B、为TCP/IP连接提供数据加密 C、为TCP/IP连接提供服务器认证 D、提供数据安全机制 参考答案:A
53、入侵检测系统放置在防火墙内部所带来的好处是()A、减少对防火墙的攻击 B、降低入侵检测
C、增加对低层次攻击的检测 D、增加检测能力和检测范围 参考答案:B
54、智能卡是指粘贴或嵌有集成电路芯片的一种便携式卡片塑胶,智能卡的片内操作系统(COS)是智能卡芯片内的一个监控软件,以下不属于COS组成部分的是()
A、通讯管理模块 B、数据管理模块 C、安全管理模块 D、文件管理模块 参考答案:B
55、以下关于IPSec协议的叙述中,正确的是()A、IPSec协议是解决IP协议安全问题的一 B、IPSec协议不能提供完整性 C、IPSec协议不能提供机密性保护 D、IPSec协议不能提供认证功能 参考答案:A
56、不属于物理安全威胁的是()A、自然灾害 B、物理攻击 C、硬件故障
D、系统安全管理人员培训不够 参考答案:D
57、以下关于网络钓鱼的说法中,不正确的是()A、网络钓鱼融合了伪装、欺骗等多种攻击方式 B、网络钓鱼与Web服务没有关系
C、典型的网络钓鱼攻击都将被攻击者引诱到一个通过精心设计的钓鱼网站上 D、网络钓鱼是“社会工程攻击”是一种形式 参考答案:B
58、以下关于隧道技术说法不正确的是()
A、隧道技术可以用来解决TCP/IP协议的某种安全威胁问题 B、隧道技术的本质是用一种协议来传输另外一种协议 C、IPSec协议中不会使用隧道技术 D、虚拟专用网中可以采用隧道技术 参考答案:C
59、安全电子交易协议SET是有VISA和MasterCard两大信用卡组织联合开发的电子商务安全协议。以下关于SET的叙述中,正确的是()A、SET是一种基于流密码的协议
B、SET不需要可信的第三方认证中心的参与
C、SET要实现的主要目标包括保障付款安全,确定应用的互通性和达到全球市场的可接受性
D、SET通过向电子商务各参与方发放验证码来确认各方的身份,保证网上支付的安全性 参考答案:C
60、在PKI中,不属于CA的任务是()A、证书的办法 B、证书的审改 C、证书的备份 D、证书的加密 参考答案:D
61、以下关于VPN的叙述中,正确的是()
A、VPN指的是用户通过公用网络建立的临时的、安全的连接
B、VPN指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路 C、VPN不能做到信息认证和身份认证
D、VPN只能提供身份认证,不能提供数据加密的功能 参考答案:A 62、扫描技术()A、只能作为攻击工具 B、只能作为防御工具
C、只能作为检查系统漏洞的工具 D、既可以作为工具,也可以作为防御工具 参考答案:D
63、包过滤技术防火墙在过滤数据包时,一般不关心()A、数据包的源地址 B、数据包的协议类型 C、数据包的目的地址 D、数据包的内容 参考答案:D
64、以下关于网络流量监控的叙述中,不正确的是()
A、流量检测中所检测的流量通常采集自主机节点、服务器、路由器接口和路径等
B、数据采集探针是专门用于获取网络链路流量的硬件设备 C、流量监控能够有效实现对敏感数据的过滤 D、网络流量监控分析的基础是协议行为解析技术 参考答案:C
65、两个密钥三重DES加密:C=CK1[DK2[EK1[P]]],K1≠K2,其中有效的密钥为()A、56 B、128 C、168 D、112 参考答案:D
66、设在RSA的公钥密码体制中,公钥为(c,n)=(13,35),则私钥为()A、11 B、13 C、15 D、17 参考答案:B
67、杂凑函数SHAI的输入分组长度为()比特 A、128 B、258 C、512 D、1024 参考答案:C
68、AES结构由以下4个不同的模块组成,其中()是非线性模块 A、字节代换 B、行移位 C、列混淆 D、轮密钥加 参考答案:A 69、67mod119的逆元是()A、52 B、67 C、16 D、19 参考答案:C 70、在DES算法中,需要进行16轮加密,每一轮的子密钥长度为()A、16 B、32 C、48 D、64 参考答案:C 71-75(1)isthescienceofhidinginformation.Whereasthegoalofcryptographyistomakedataunreadablebyathirdparty.thegoalofsteganographyistohidethedatafromathirdparty.Inthisarticle,Iwilldiscusswhatsteganographyis,whatpurposesitserves,andwillprovideanexampleusingavailablesoftware.Therearealargenumberofsteganographic(2)thatmostofusarefamiliarwith(especiallyifyouwatchalotofspymovies),rangingfrominvisibleinkandmicrodotstosecretingahiddenmessageinthesecondletterofeachwordofalargebodyoftextandspreadspectrumradiocommunication.Withcomputersandnetworks,therearemanyotherwaysofhidinginformations,suchas: Covertchannels(c,g,Lokiandsomedistributeddenial-of-servicetoolsusetheInternetControl(3)Protocol,orICMP,asthecommunicationchannelbetweenthe“badguy”andacompromicyedsystem)HiddentextwithinWebpages Hidingfilesin“plainsight”(c,g.whatbetterplaceto“hide”afilethanwithanimportantsoundingnameinthec:winntsystem32directory)Nullciphers(c,g,usingthefirstletterofeachwordtoformahiddenmessageinanotherwiseinnocuoustext)steganographytoday,however,issignificantlymore(4)thantheexampleaboutsuggest,allowingausertohidelargeamountsofinformationwithinimageandaudio.Theseformsofsteganographyoftenareusedinconjunctionwithcryptographysotheinformationisdoubleprotected;firstitisencryptedandthenhiddensothatanadvertisementfirst.findtheinformation(anoftendifficulttaskinandofitself)andthedecryptedit.Thesimplestapproachtohidingdatawithinanimagefileiscalled(5)signatureinsertion.Inthismethod,wecantakethebinaryrepresentationofthehiddendataandthebitofeachbytewithinthecovertimage.Ifweareusing24-bitcolortheamountandwillbeminimumandindiscriminatetothehumaneye.(1)A、Cryptography B、Geography C、Stenography D、Steganography(2)A、methods B、software C、tools D、services(3)A、Member B、Management C、Message D、Mail(4)A、powerful B、sophistication C、advanced D、easy(5)A、least B、most C、much D、less 参考答案:A、A、C、B、A
二、案例分析
试题一(共20分)
阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】
研究密码编码的科学称为密码编码学,研究密码破译的科学称为密码分析学,密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术,在信息安全领域有着广泛的应用。【问题1】(9分)
密码学的安全目标至少包括哪三个方面?具体内涵是什么? 【问题2】(3分)
对下列违规安全事件,指出各个事件分别违反了安全目标中的哪些项?(1)小明抄袭了小丽的家庭作业。(2)小明私自修改了自己的成绩。
(3)小李窃取了小刘的学位证号码、登录口令信息、并通过学位信息系统更改了小刘的学位信息记录和登陆口令,将系统中小刘的学位信息用一份伪造的信息替代,造成小刘无法访问学位信息系统。【问题3】(3分)
现代密码体制的安全性通常取决于密钥的安全,文了保证密钥的安全,密钥管理包括哪些技术问题? 【问题4】(5分)
在图1-1给出的加密过程中,Mi,i=1,2,„,n表示明文分组,Ci,i=1,2,„,n表示密文分组,Z表示初始序列,K表示密钥,E表示分组加密过程。该分组加密过程属于哪种工作模式?这种分组密码的工作模式有什么缺点?
信管网参考答案: 【问题一】
(1)保密性:保密性是确保信息仅被合法用户访问,而不被地露给非授权的用户、实体或过程,或供其利用的特性。即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。
(2)完整性:完整性是指所有资源只能由授权方或以授权的方式进行修改,即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
(3)可用性:可用性是指所有资源在适当的时候可以由授权方访问,即信息可被授权实体访问并按需求使用的特性。信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。【问题二】(1)保密性(2)完整性(3)可用性 【问题三】
答:密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。【问题四】 明密文链接模式。缺点:当Mi或Ci中发生一位错误时,自此以后的密文全都发生错误,即具有错误传播无界的特性,不利于磁盘文件加密。并且要求数据的长度是密码分组长度的整数倍,否则最后一个数据块将是短块,这时需要特殊处理。试题二(共10分)
阅读下列说明和图,回答问题1至问题2,将解答填入答题纸的对应栏内。【说明】
访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许用户对资源的访问。图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。
【问题1】(3分)
针对信息系统的访问控制包含哪些基本要素? 【问题2】(7分)
分别写出图2-1中用户Administrator对应三种访问控制实现方法,即能力表、访问控制表、访问控制矩阵下的访问控制规则。信管网参考答案: 【问题1】
主体、客体、授权访问 【问题二】 能力表:
(主体)Administrator<(客体)traceroute.mpg:读取,运行> 访问控制表:
(客体)traceroute.mpg<(主体)Administrator:读取,运行> 访问控制矩阵:
试题三(共19分)
阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】
防火墙是一种广泛应用的网络安全防御技术,它阻挡对网络的非法访问和不安全的数据传递,保护本地系统和网络免于受到安全威胁。图3-1改出了一种防火墙的体系结构。
【问题1】(6分)防火墙的体系结构主要有:(1)双重宿主主机体系结构;(2)(被)屏蔽主机体系结构;(3)(被)屏蔽子网体系结构; 请简要说明这三种体系结构的特点。【问题2】(5分)
(1)图3-1描述的是哪一种防火墙的体系结构?
(2)其中内部包过滤器和外部包过滤器的作用分别是什么? 【问题3】(8分)设图3-1中外部包过滤器的外部IP地址为10.20.100.1,内部IP地址为10.20.100.2,内部包过滤器的外部IP地址为10.20.100.3,内部IP地址为192.168.0.1,DMZ中Web服务器IP为10.20.100.6,SMTP服务器IP为10.20.100.8.关于包过滤器,要求实现以下功能,不允许内部网络用户访问外网和DMZ,外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2,将对应空缺表项的答案填入答题纸对应栏内。
信管网参考答案: 【问题一】
双重宿主主机体系结构:双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。
被屏蔽主机体系结构:被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。
被屏蔽子网体系结构:被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的周边网络,并且将容易受到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成,分别为:周边网络、外部路由器、内部路由器以及堡垒主机。【问题二】
(1)屏蔽子网体系结构。
(2)内部路由器:内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划,对内部用户访问周边网络和外部网络进行限制。
外部路由器:外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则,该规则主要针对外网用户。【问题三】
(1)*(2)10.20.100.8(3)10.20.100.8(4)*(5)UDP(6)10.20.100.3(7)UDP(8)10.20.100.3 试题四(共18分)
阅读下列说明,回答问题1至问题4,将解答写在答题纸的对应栏内。【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要,以下过程给出了实现用户B对用户A身份的认证过程。1.B–>B:A 2.B–>A:{B,Nb}pk(A)3.A–>B:b(Nb)
此处A和B是认证实体,Nb是一个随机值,pk(A)表示实体A的公钥、{B,Nb}pk(A)表示用A的公钥对消息BNb进行加密处理,b(Nb)表示用哈希算法h对Nb计算哈希值。【问题1】(5分)认证和加密有哪些区别? 【问题2】(6分)
(1)包含在消息2中的“Nb”起什么作用?(2)“Nb”的选择应满足什么条件? 【问题3】(3分)
为什么消息3中的Nb要计算哈希值? 【问题4】(4分)
上述协议存在什么安全缺陷?请给出相应的解决思路。信管网参考答案: 【问题一】
认证和加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,如截取,窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。【问题二】
(1)Nb是一个随机值,只有发送方B和A知道,起到抗重放攻击作用。(2)应具备随机性,不易被猜测。【问题三】
哈希算法具有单向性,经过哈希值运算之后的随机数,即使被攻击者截获也无法对该随机数进行还原,获取该随机数Nb的产生信息。【问题四】
攻击者可以通过截获h(Nb)冒充用户A的身份给用户B发送h(Nb)。解决思路:用户A通过将A的标识和随机数Nb进行哈希运算,将其哈希值h(A,Nb)发送给用户B,用户B接收后,利用哈希函数对自己保存的用户标识A和随机数Nb进行加密,并与接收到的h(A,Nb)进行比较。若两者相等,则用户B确认用户A的身份是真实的,否则认为用户A的身份是不真实的。试题五(共8分)
阅读下列说明和代码,回答问题1和问题2,将解答卸载答题纸的对应栏内。【说明】
某一本地口令验证函数(C语言环境,X86_32指令集)包含如下关键代码:某用户的口令保存在字符数组origPassword中,用户输入的口令保存在字符数组userPassword中,如果两个数组中的内容相同则允许进入系统。
【问题1】(4分)
用户在调用gets()函数时输入什么样式的字符串,可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制? 【问题2】(4分)
上述代码存在什么类型的安全隐患?请给出消除该安全隐患的思路。信管网参考答案: 【问题一】
只要输入长度为24的字符串,其前12个字符和后12个字符一样即可。【问题二】
gets()函数必须保证输入长度不会超过缓冲区,一旦输入大于12个字符的口令就会造成缓冲区溢出。
解决思路:使用安全函数来代替gets()函数,或者对用户输入进行检查和校对,可通过if条件语句判断用户输入是否越界。
第五篇:2016下半年软考信息安全工程师考试真题 及答案--打印
2016下半年信息安全工程师考试真题
一、单项选择
1、以下有关信息安全管理员职责的叙述,不正确的是()A、信息安全管理员应该对网络的总体安全布局进行规划 B、信息安全管理员应该对信息系统安全事件进行处理 C、信息安全管理员应该负责为用户编写安全应用程序 D、信息安全管理员应该对安全设备进行优化配置
2、国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”,其中规定密钥协商算法应使用的是()
A、DH B、ECDSA C、ECDH D、CPK
3、以下网络攻击中,()属于被动攻击
A、拒绝服务攻击 B、重放 C、假冒 D、流量分析
4、()不属于对称加密算法
A、IDEA B、DES C、RCS D、RSA
5、面向身份信息的认证应用中,最常用的认证方法是()
A、基于数据库的认证 B、基于摘要算法认证 C、基于PKI认证 D、基于账户名/口令认证
6、如果发送方使用的加密密钥和接收方使用的解密密钥不相同,从其中一个密钥难以推出另一个密钥,这样的系统称为()
A、公钥加密系统 B、单密钥加密系统 C、对称加密系统 D、常规加密系统
7、S/Key口令是一种一次性口令生产方案,它可以对抗()
A、恶意代码木马攻击 B、拒绝服务攻击 C、协议分析攻击 D、重放攻击
8、防火墙作为一种被广泛使用的网络安全防御技术,其自身有一些限制,它不能阻止()A、内部威胁和病毒威胁 B、外部攻击
C、外部攻击、外部威胁和病毒威胁 D、外部攻击和外部威胁
9、以下行为中,不属于威胁计算机网络安全的因素是()A、操作员安全配置不当而造成的安全漏洞
B、在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息 C、安装非正版软件 D、安装蜜罐系统
10、电子商务系统除了面临一般的信息系统所涉及的安全威胁之外,更容易成为黑客分子的攻击目标,其安全性需求普遍高于一般的信息系统,电子商务系统中的信息安全需求不包括()
A、交易的真实性 B、交易的保密性和完整性 C、交易的可撤销性 D、交易的不可抵赖性
11、以下关于认证技术的叙述中,错误的是()
A、指纹识别技术的利用可以分为验证和识别 B、数字签名是十六进制的字符串 C、身份认证是用来对信息系统中实体的合法性进行验证的方法 D、消息认证能够确定接收方收到的消息是否被篡改过
12、有一种原则是对信息进行均衡、全面的防护,提高整个系统的安全性能,该原则称为()A、动态化原则 B、木桶原则 C、等级性原则 D、整体原则
13、在以下网络威胁中,()不属于信息泄露
A、数据窃听 B、流量分析 C、偷窃用户账户 D、暴力破解
14、未授权的实体得到了数据的访问权,这属于对安全的()A、机密性 B、完整性 C、合法性 D、可用性
15、按照密码系统对明文的处理方法,密码系统可以分为()
A、置换密码系统和易位密码 B、密码学系统和密码分析学系统 C、对称密码系统和非对称密码系统 D、分级密码系统和序列密码系统
16、数字签名最常见的实现方法是建立在()的组合基础之上
A、公钥密码体制和对称密码体制 B、对称密码体制和MD5摘要算法 C、公钥密码体制和单向安全散列函数算法 D、公证系统和MD4摘要算法 / 14
17、以下选项中,不属于生物识别方法的是()
A、指纹识别 B、声音识别 C、虹膜识别 D、个人标记号识别
18、计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效应的确定和提取。以下关于计算机取证的描述中,错误的是()
A、计算机取证包括对以磁介质编码信息方式存储的计算机证据的提取和归档 B、计算机取证围绕电子证据进行,电子证据具有高科技性等特点
C、计算机取证包括保护目标计算机系统,确定收集和保存电子证据,必须在开计算机的状态下进行 D、计算机取证是一门在犯罪进行过程中或之后手机证据
19、注入语句:http://xxx.xxx.xxx/abc.asp?p=YYanduser>0不仅可以判断服务器的后台数据库是否为SQL-SERVER,还可以得到()
A、当前连接数据库的用户数据 B、当前连接数据库的用户名 C、当前连接数据库的用户口令 D、当前连接的数据库名
20、数字水印技术通过在数字化的多媒体数据中嵌入隐蔽的水印标记,可以有效地对数字多媒体数据的版权保护等功能。以下各项工,不属于数字水印在数字版权保护必须满足的基本应用需求的是()A、安全性 B、隐蔽性 C、鲁棒性 D、可见性
21、有一种攻击是不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪。这种攻击叫做()
A、重放攻击 B、拒绝服务攻击 C、反射攻击 D、服务攻击
22、在访问因特网时,为了防止Web页面中恶意代码对自己计算机的损害,可以采取的防范措施是()A、将要访问的Web站点按其可信度分配到浏览器的不同安全区域
B、在浏览器中安装数字证书 C、利用IP安全协议访问Web站点 D、利用SSL访问Web站点
23、下列说法中,错误的是()
A、服务攻击是针对某种特定攻击的网络应用的攻击 B、主要的渗入威胁有特洛伊木马和陷阱 C、非服务攻击是针对网络层协议而进行的
D、对于在线业务系统的安全风险评估,应采用最小影响原则
24、依据国家信息安全等级保护相关标准,军用不对外公开的信息系统至少应该属于()A、二级及二级以上 B、三级及三级以上 C、四级及四级以上 D、无极
25、电子邮件是传播恶意代码的重要途径,为了防止电子邮件中的恶意代码的攻击,用()方式阅读电子邮件
A、网页 B、纯文本 C、程序 D、会话
26、已知DES算法的S盒如下:
如果该S盒的输入110011,则其二进制输出为()A、0110 B、1001 C、0100 D、0101 / 14
27、在IPv4的数据报格式中,字段()最适合于携带隐藏信息 A、生存时间 B、源IP地址 C、版本 D、标识
28、Kerberos是一种常用的身份认证协议,它采用的加密算法是()A、Elgamal B、DES C、MD5 D、RSA
29、以下关于加密技术的叙述中,错误的是()
A、对称密码体制的加密密钥和解密密钥是相同的 B、密码分析的目的就是千方百计地寻找密钥或明文 C、对称密码体制中加密算法和解密算法是保密的 D、所有的密钥都有生存周期
30、移动用户有些属性信息需要受到保护,这些信息一旦泄露,会对公众用户的生命财产安全构成威胁。以下各项中,不需要被保护的属性是()
A、用户身份(ID)B、用户位置信息 C、终端设备信息 D、公众运营商信息
31、以下关于数字证书的叙述中,错误的是()
A、证书通常有CA安全认证中心发放 B、证书携带持有者的公开密钥 C、证书的有效性可以通过验证持有者的签名 D、证书通常携带CA的公开密钥
32、密码分析学是研究密码破译的科学,在密码分析过程中,破译密文的关键是()A、截获密文 B、截获密文并获得密钥
C、截获密文,了解加密算法和解密算法 D、截获密文,获得密钥并了解解密算法
33、利用公开密钥算法进行数据加密时,采用的方法是()A、发送方用公开密钥加密,接收方用公开密钥解密 B、发送方用私有密钥加密,接收方用私有密钥解密 C、发送方用公开密钥加密,接收方用私有密钥解密 D、发送方用私有密钥加密,接收方用公开密钥解密
34、数字信封技术能够()
A、对发送者和接收者的身份进行认证 B、保证数据在传输过程中的安全性 C、防止交易中的抵赖发送 D、隐藏发送者的身份
35、在DES加密算法中,密钥长度和被加密的分组长度分别是()
A、56位和64位 B、56位和56位 C、64位和64位 D、64位和56位
36、甲不但怀疑乙发给他的被造人篡改,而且怀疑乙的公钥也是被人冒充的,为了消除甲的疑虑,甲和乙决定找一个双方都信任的第三方来签发数字证书,这个第三方为()
A、国际电信联盟电信标准分部(ITU-T)B、国家安全局(NSA)C、认证中心(CA)D、国家标准化组织(ISO)
37、WI-FI网络安全接入是一种保护无线网络安全的系统,WPA加密模式不包括()A、WPA和WPA2 B、WPA-PSK C、WEP D、WPA2-PSK
38、特洛伊木马攻击的威胁类型属于()
A、授权侵犯威胁 B、渗入威胁 C、植入威胁 D、旁路控制威胁
39、信息通过网络进行传输的过程中,存在着被篡改的风险,为了解决这一安全问题,通常采用的安全防护技术是()
A、加密技术 B、匿名技术 C、消息认证技术 D、数据备份技术
40、甲收到一份来自乙的电子订单后,将订单中的货物送达到乙时,乙否认自己曾经发送过这份订单,为了解除这种纷争,采用的安全技术是()
A、数字签名技术 B、数字证书 C、消息认证码 D、身份认证技术
41、目前使用的防杀病毒软件的作用是()
A、检查计算机是否感染病毒,清除已感染的任何病毒 B、杜绝病毒对计算机的侵害 C、查出已感染的任何病毒,清除部分已感染病毒 D、检查计算机是否感染病毒,清除部分已感染病毒
42、IP地址分为全球地址和专用地址,以下属于专用地址的是()
A、172.168.1.2 B、10.1.2.3 C、168.1.2.3 D、192.172.1.2 / 14
43、下列报告中,不属于信息安全风险评估识别阶段的是()
A、资产价值分析报告 B、风险评估报告 C、威胁分析报告 D、已有安全威胁分析报告
44、计算机犯罪是指利用信息科学技术且以计算机跟踪对象的犯罪行为,与其他类型的犯罪相比,具有明显的特征,下列说法中错误的是()A、计算机犯罪具有隐蔽性 B、计算机犯罪具有高智能性,罪犯可能掌握一些其他高科技手段 C、计算机犯罪具有很强的破坏性 D、计算机犯罪没有犯罪现场
45、以下对OSI(开放系统互联)参考模型中数据链路层的功能叙述中,描述最贴切是()A、保证数据正确的顺序、无差错和完整 B、控制报文通过网络的路由选择 C、提供用户与网络的接口 D、处理信号通过介质的传输
46、深度流检测技术就是以流为基本研究对象,判断网络流是否异常的一种网络安全技术,其主要组成部分通常不包括()
A、流特征选择 B、流特征提供 C、分类器 D、响应
47、一个全局的安全框架必须包含的安全结构因素是()
A、审计、完整性、保密性、可用性 B、审计、完整性、身份认证、保密性、可用性 C、审计、完整性、身份认证、可用性 D、审计、完整性、身份认证、保密性
48、以下不属于网络安全控制技术的是()
A、防火墙技术 B、访问控制 C、入侵检测技术 D、差错控制
49、病毒的引导过程不包含()
A、保证计算机或网络系统的原有功能 B、窃取系统部分内存 C、使自身有关代码取代或扩充原有系统功能 D、删除引导扇区 50、网络系统中针对海量数据的加密,通常不采用()
A、链路加密 B、会话加密 C、公钥加密 D、端对端加密
51、安全备份的策略不包括()
A、所有网络基础设施设备的配置和软件 B、所有提供网络服务的服务器配置 C、网络服务 D、定期验证备份文件的正确性和完整性
52、以下关于安全套接层协议(SSL)的叙述中,错误的是()
A、是一种应用层安全协议 B、为TCP/IP连接提供数据加密 C、为TCP/IP连接提供服务器认证 D、提供数据安全机制
53、入侵检测系统放置在防火墙内部所带来的好处是()A、减少对防火墙的攻击 B、降低入侵检测
C、增加对低层次攻击的检测 D、增加检测能力和检测范围
54、智能卡是指粘贴或嵌有集成电路芯片的一种便携式卡片塑胶,智能卡的片内操作系统(COS)是智能卡芯片内的一个监控软件,以下不属于COS组成部分的是()
A、通讯管理模块 B、数据管理模块 C、安全管理模块 D、文件管理模块
55、以下关于IPSec协议的叙述中,正确的是()
A、IPSec协议是解决IP协议安全问题的一 B、IPSec协议不能提供完整性 C、IPSec协议不能提供机密性保护 D、IPSec协议不能提供认证功能
56、不属于物理安全威胁的是()
A、自然灾害 B、物理攻击 C、硬件故障 D、系统安全管理人员培训不够
57、以下关于网络钓鱼的说法中,不正确的是()
A、网络钓鱼融合了伪装、欺骗等多种攻击方式 B、网络钓鱼与Web服务没有关系 C、典型的网络钓鱼攻击都将被攻击者引诱到一个通过精心设计的钓鱼网站上 D、网络钓鱼是“社会工程攻击”是一种形式
58、以下关于隧道技术说法不正确的是()
A、隧道技术可以用来解决TCP/IP协议的某种安全威胁问题 B、隧道技术的本质是用一种协议来传输另外一种协议 C、IPSec协议中不会使用隧道技术 D、虚拟专用网中可以采用隧道技术 / 14
59、安全电子交易协议SET是有VISA和MasterCard两大信用卡组织联合开发的电子商务安全协议。以下关于SET的叙述中,正确的是()
A、SET是一种基于流密码的协议 B、SET不需要可信的第三方认证中心的参与
C、SET要实现的主要目标包括保障付款安全,确定应用的互通性和达到全球市场的可接受性 D、SET通过向电子商务各参与方发放验证码来确认各方的身份,保证网上支付的安全性 60、在PKI中,不属于CA的任务是()
A、证书的办法 B、证书的审改 C、证书的备份 D、证书的加密 61、以下关于VPN的叙述中,正确的是()
A、VPN指的是用户通过公用网络建立的临时的、安全的连接
B、VPN指的是用户自己租用线路,和公共网络物理上完全隔离的、安全的线路 C、VPN不能做到信息认证和身份认证
D、VPN只能提供身份认证,不能提供数据加密的功能 62、扫描技术()
A、只能作为攻击工具 B、只能作为防御工具
C、只能作为检查系统漏洞的工具 D、既可以作为工具,也可以作为防御工具 63、包过滤技术防火墙在过滤数据包时,一般不关心()
A、数据包的源地址 B、数据包的协议类型 C、数据包的目的地址 D、数据包的内容 64、以下关于网络流量监控的叙述中,不正确的是()
A、流量检测中所检测的流量通常采集自主机节点、服务器、路由器接口和路径等 B、数据采集探针是专门用于获取网络链路流量的硬件设备 C、流量监控能够有效实现对敏感数据的过滤 D、网络流量监控分析的基础是协议行为解析技术
65、两个密钥三重DES加密:C=CK1[DK2[EK1[P]]],K1≠K2,其中有效的密钥为()A、56 B、128 C、168 D、112 66、设在RSA的公钥密码体制中,公钥为(c,n)=(13,35),则私钥为()A、11 B、13 C、15 D、17 67、杂凑函数SHAI的输入分组长度为()比特 A、128 B、258 C、512 D、1024 68、AES结构由以下4个不同的模块组成,其中()是非线性模块 A、字节代换 B、行移位 C、列混淆 D、轮密钥加 69、67mod119的逆元是()
A、52 B、67 C、16 D、19 70、在DES算法中,需要进行16轮加密,每一轮的子密钥长度为()A、16 B、32 C、48 D、64 / 14 71-75(1)isthescienceofhidinginformation.Whereasthegoalofcryptographyistomakedataunreadablebyathirdparty.thegoalofsteganographyistohidethedatafromathirdparty.Inthisarticle,Iwilldiscusswhatsteganographyis,whatpurposesitserves,andwillprovideanexampleusingavailablesoftware.Therearealargenumberofsteganographic(2)thatmostofusarefamiliarwith(especiallyifyouwatchalotofspymovies),rangingfrominvisibleinkandmicrodotstosecretingahiddenmessageinthesecondletterofeachwordofalargebodyoftextandspreadspectrumradiocommunication.Withcomputersandnetworks,therearemanyotherwaysofhidinginformations,suchas:
Covertchannels(c,g,Lokiandsomedistributeddenial-of-servicetoolsusetheInternetControl(3)Protocol,orICMP,asthecommunicationchannelbetweenthe“badguy”andacompromicyedsystem)HiddentextwithinWebpages Hidingfilesin“plainsight”(c,g.whatbetterplaceto“hide”afilethanwithanimportantsoundingnameinthec:winntsystem32directory)Nullciphers(c,g,usingthefirstletterofeachwordtoformahiddenmessageinanotherwiseinnocuoustext)steganographytoday,however,issignificantlymore(4)thantheexampleaboutsuggest,allowingausertohidelargeamountsofinformationwithinimageandaudio.Theseformsofsteganographyoftenareusedinconjunctionwithcryptographysotheinformationisdoubleprotected;firstitisencryptedandthenhiddensothatanadvertisementfirst.findtheinformation(anoftendifficulttaskinandofitself)andthedecryptedit.Thesimplestapproachtohidingdatawithinanimagefileiscalled(5)signatureinsertion.Inthismethod,wecantakethebinaryrepresentationofthehiddendataandthebitofeachbytewithinthecovertimage.Ifweareusing24-bitcolortheamountandwillbeminimumandindiscriminatetothehumaneye.(1)A、Cryptography
B、Geography
C、Stenography
D、Steganography(2)A、methods
B、software
C、tools
D、services(3)A、Member
B、Management
C、Message
D、Mail(4)A、powerful
B、sophistication
C、advanced
D、easy(5)A、least
B、most
C、much
D、less / 14
二、案例分析
试题一(共20分)
阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】
研究密码编码的科学称为密码编码学,研究密码破译的科学称为密码分析学,密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术,在信息安全领域有着广泛的应用。【问题1】(9分)
密码学的安全目标至少包括哪三个方面?具体内涵是什么? 【问题2】(3分)
对下列违规安全事件,指出各个事件分别违反了安全目标中的哪些项?(1)小明抄袭了小丽的家庭作业。(2)小明私自修改了自己的成绩。
(3)小李窃取了小刘的学位证号码、登录口令信息、并通过学位信息系统更改了小刘的学位信息记录和登陆口令,将系统中小刘的学位信息用一份伪造的信息替代,造成小刘无法访问学位信息系统。【问题3】(3分)
现代密码体制的安全性通常取决于密钥的安全,文了保证密钥的安全,密钥管理包括哪些技术问题? 【问题4】(5分)
在图1-1给出的加密过程中,Mi,i=1,2,„,n表示明文分组,Ci,i=1,2,„,n表示密文分组,Z表示初始序列,K表示密钥,E表示分组加密过程。该分组加密过程属于哪种工作模式?这种分组密码的工作模式有什么缺点? / 14
试题二(共10分)
阅读下列说明和图,回答问题1至问题2,将解答填入答题纸的对应栏内。【说明】
访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许用户对资源的访问。图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。
【问题1】(3分)
针对信息系统的访问控制包含哪些基本要素? 【问题2】(7分)
分别写出图2-1中用户Administrator对应三种访问控制实现方法,即能力表、访问控制表、访问控制矩阵下的访问控制规则。/ 14 试题三(共19分)
阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】
防火墙是一种广泛应用的网络安全防御技术,它阻挡对网络的非法访问和不安全的数据传递,保护本地系统和网络免于受到安全威胁。
图3-1改出了一种防火墙的体系结构。
【问题1】(6分)
防火墙的体系结构主要有:(1)双重宿主主机体系结构;(2)(被)屏蔽主机体系结构;(3)(被)屏蔽子网体系结构; 请简要说明这三种体系结构的特点。【问题2】(5分)
(1)图3-1描述的是哪一种防火墙的体系结构?
(2)其中内部包过滤器和外部包过滤器的作用分别是什么? 【问题3】(8分)
设图3-1中外部包过滤器的外部IP地址为10.20.100.1,内部IP地址为10.20.100.2,内部包过滤器的外部IP地址为10.20.100.3,内部IP地址为192.168.0.1,DMZ中Web服务器IP为10.20.100.6,SMTP服务器IP为10.20.100.8.关于包过滤器,要求实现以下功能,不允许内部网络用户访问外网和DMZ,外部网络用户只允许访问DMZ中的Web服务器和SMTP服务器。内部包过滤器规则如表3-1所示。请完成外部包过滤器规则表3-2,将对应空缺表项的答案填入答题纸对应栏内。/ 14 / 14 试题四(共18分)
阅读下列说明,回答问题1至问题4,将解答写在答题纸的对应栏内。【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要,以下过程给出了实现用户B对用户A身份的认证过程。1.B–>B:A 2.B–>A:{B,Nb}pk(A)3.A–>B:b(Nb)
此处A和B是认证实体,Nb是一个随机值,pk(A)表示实体A的公钥、{B,Nb}pk(A)表示用A的公钥对消息BNb进行加密处理,b(Nb)表示用哈希算法h对Nb计算哈希值。【问题1】(5分)
认证和加密有哪些区别? 【问题2】(6分)
(1)包含在消息2中的“Nb”起什么作用?(2)“Nb”的选择应满足什么条件? 【问题3】(3分)
为什么消息3中的Nb要计算哈希值? 【问题4】(4分)
上述协议存在什么安全缺陷?请给出相应的解决思路。/ 14 试题五(共8分)
阅读下列说明和代码,回答问题1和问题2,将解答卸载答题纸的对应栏内。【说明】
某一本地口令验证函数(C语言环境,X86_32指令集)包含如下关键代码:某用户的口令保存在字符数组origPassword中,用户输入的口令保存在字符数组userPassword中,如果两个数组中的内容相同则允许进入系统。
【问题1】(4分)
用户在调用gets()函数时输入什么样式的字符串,可以在不知道原始口令“Secret”的情况下绕过该口令验证函数的限制? 【问题2】(4分)
上述代码存在什么类型的安全隐患?请给出消除该安全隐患的思路。/ 14 2016下半年信息安全工程师考试真题答案
一、单项选择
1:C 2:C 3:D 4:D 5:D 6:A 7:D 8:A 9:D 10:C 11:B 12:D 13:D 14:A 15:A 16:C 17:D 18:C 19:B 20:D 21:B 22:A 23:B 24:B 25:B 26:C 27:D 28:C 30:D 31:D 32:D 33:C 34:B 35:A 36:C 37:C 38:C 39:C 40:A 41:D 42:B 43:B 44:D 45:A 46:D 47:B 48:D 49:D 50:C 51:C 52:A 53:B 54:B 55:A 56:D 57:B 58:C 59:C 60:D 61:A 62:D 63:D 64:C 65:D 66:B 67:C 68:A 69:C 70:C 71:A 72:A 73:C 74:B 75:A
二、案例分析
试题一(共20分)信管网参考答案: 【问题一】
(1)保密性:保密性是确保信息仅被合法用户访问,而不被地露给非授权的用户、实体或过程,或供其利用的特性。即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。
(2)完整性:完整性是指所有资源只能由授权方或以授权的方式进行修改,即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
(3)可用性:可用性是指所有资源在适当的时候可以由授权方访问,即信息可被授权实体访问并按需求使用的特性。信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。【问题二】(1)保密性(2)完整性(3)可用性 【问题三】
答:密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。【问题四】
明密文链接模式。
缺点:当Mi或Ci中发生一位错误时,自此以后的密文全都发生错误,即具有错误传播无界的特性,不利于磁盘文件加密。并且要求数据的长度是密码分组长度的整数倍,否则最后一个数据块将是短块,这时需要特殊处理。
试题二(共10分)信管网参考答案: 【问题1】
主体、客体、授权访问 【问题二】 能力表:
(主体)Administrator<(客体)traceroute.mpg:读取,运行> 访问控制表:
(客体)traceroute.mpg<(主体)Administrator:读取,运行> 访问控制矩阵: / 14 试题三(共19分)信管网参考答案: 【问题一】
双重宿主主机体系结构:双重宿主主机体系结构是指以一台双重宿主主机作为防火墙系统的主体,执行分离外部网络与内部网络的任务。
被屏蔽主机体系结构:被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。
被屏蔽子网体系结构:被屏蔽子网体系结构将防火墙的概念扩充至一个由两台路由器包围起来的周边网络,并且将容易受到攻击的堡垒主机都置于这个周边网络中。其主要由四个部件构成,分别为:周边网络、外部路由器、内部路由器以及堡垒主机。【问题二】
(1)屏蔽子网体系结构。
(2)内部路由器:内部路由器用于隔离周边网络和内部网络,是屏蔽子网体系结构的第二道屏障。在其上设置了针对内部用户的访问过滤规划,对内部用户访问周边网络和外部网络进行限制。
外部路由器:外部路由器的主要作用在于保护周边网络和内部网络,是屏蔽子网体系结构的第一道屏障。在其上设置了对周边网络和内部网络进行访问的过滤规则,该规则主要针对外网用户。【问题三】
(1)*(2)10.20.100.8(3)10.20.100.8(4)*(5)UDP(6)10.20.100.3(7)UDP(8)10.20.100.3 试题四(共18分)信管网参考答案: 【问题一】
认证和加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,如截取,窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。【问题二】
(1)Nb是一个随机值,只有发送方B和A知道,起到抗重放攻击作用。(2)应具备随机性,不易被猜测。【问题三】
哈希算法具有单向性,经过哈希值运算之后的随机数,即使被攻击者截获也无法对该随机数进行还原,获取该随机数Nb的产生信息。【问题四】
攻击者可以通过截获h(Nb)冒充用户A的身份给用户B发送h(Nb)。
解决思路:用户A通过将A的标识和随机数Nb进行哈希运算,将其哈希值h(A,Nb)发送给用户B,用户B接收后,利用哈希函数对自己保存的用户标识A和随机数Nb进行加密,并与接收到的h(A,Nb)进行比较。若两者相等,则用户B确认用户A的身份是真实的,否则认为用户A的身份是不真实的。试题五(共8分)信管网参考答案: 【问题一】
只要输入长度为24的字符串,其前12个字符和后12个字符一样即可。【问题二】
gets()函数必须保证输入长度不会超过缓冲区,一旦输入大于12个字符的口令就会造成缓冲区溢出。解决思路:使用安全函数来代替gets()函数,或者对用户输入进行检查和校对,可通过if条件语句判断用户输入是否越界。/ 14