第一篇:信息资源管理试题重点复习
1资源指人类社会活动各个领域所产生和有使用价值的信息集合。
2.信息源:一般指信息的来源地(包括信息资源生产地和发生地)即信息的来源,分成三个层次;人类社会实践活动、各种媒体以及网络、文化遗产和活动成果。3.霍顿论1战略信息管理2商业竞争分析和情报阶段3信息资源管理4信息技术管理5文书管理
4.马钱德、克莱斯兰信息资源管发展阶段理论:1信息的物理控制阶段2自动化技术的管理阶段3信息资源管理阶段4知识管理阶段
5.信息资源的自然属性:1非物质性2易流动性3可再生性和数量的无限性4易转换性5易分享性6质量差异性7意义多样性
6.信息资源的经济属性:1效用性 2供给的稀缺性3成本结构的特殊性4体验性
7、信息资源管理的理论基础: 信息科学理论、管理学理论、信息生命周期理论、信息生态理论、信息构建理论
(二)1.社会信息化对信息资源管理法规制度建设的影
响
社会信息化引起了法律的不确定性,因为现行的法律不能适应技术的发展。数字化和网络化对知识产权保护法律的挑战。计算机犯罪和网络犯罪挑战传统的安全观念和安全机制。个人隐私保护意识的普遍觉醒,对现有个人信息收集管理和传播利用制度的挑战。国家对不良信息的控制力迅速下降 2.信息采集政策法规的内容
(1)对政府机构信息采集活动的法律规范。(2)对大众媒介信息采集活动的法律规范。(3)对商业机构信息采集活动的法律规范。(4)对公益性机构信息采集活动的法律规范。(5)有关公民个人信息采集权利的法律研究。3.企业信息公开制度 :企业信息公开制度又称“信息披露制度”,是指上市公司必须按照法律的规定,报告或公告其有关的信息、资料,以投资者能获得充分的信息,便于做出投资判断的一系列法律法规的总称。简言之,信息公开制度就是规定信息公开的内容、时间、方式、程序等事项的法律规范。按公开时间不同,其可分为证劵发行信息公开制度和证劵交易信息公开制度。5.信息资源利用方面需要注意哪些法律问题(1)政府信息的利用的法律规范。
(2)受知识产权法律保护的信息资源的利用。(3)私有信息和个人信息的利用。为了保护私有信息不被侵犯,(三)1.政府信息资源管理的主要任务
1.制定和实施政府信息资源开发利用规划2.研究和制
定相关的政策和法规3.政府信息基础的管理4.政府应用系统开发和维护的管理5.政府信息技术的管理6.政府信息安全管理
3.国外电子政务发展特点:1.政府领导人的倡导和支持2.以用户为中心3.门户网站功能完善4.统一规划和标准5.实行分阶段实施策略6.重视市场机制的作用 4.试分析我国电子政务发展存在的问题,并提出解决的策略:发展存在的问题:(1)认识上的盲目性:认识不到电子政务建设的长期性、复杂性等特征。(2)信息资源难以整合:(3)信息基础设施较弱:(4)绩效评估的弱化:(5)地区信息化水平不均:
解决的策略:(1)加快加强政府管理体制改革:(2)充分合理利用已有的服务网络(3)努力搞好信息基础设施建设(4)规范绩效考核体系(5)加强国家的宏观调控(四)1.企业信息结构:现代企业中,它一般指企业应用系统结构中以下各种组成部分: 1.数据、功能(对象)和工作流模型2.应用的资源和工作流3.资源的各平台上的分配
3.企业信息资源的构成(1)广义的企业信息资源包括具有与信息相关的知识和技能的人才,信息技术中的硬件和软件设备,提供信息处理和服务的系统和机构。(2)狭义的企业信息资源是企业所拥有的数据和文献资料,经过加工、整理、用于生产、经营与管理方面的各种经济信息,企业拥有的知识产权、员工个人的知识和经验、商业竞争情报等。
4.企业信息化的内涵:(1)目标和目的:全面提高企业的经济效益和竞争力,服务于企业的发展目标。(2)技术手段:IT应用,硬件设施建设,软件系统设计、开发和实施。(3)非技术手段:规划和部署,业务流程重组或优化,专家指导实施,全员培训。
5.企业信息化建设基本任务 :1生产过程信息化2研究开发工作信息化3市场与销售业务信息化4财务管理信息化5管理决策信息化
7.试分析如何建设企业信息化发展的技术平台在ERP的基础上延伸或发展:1.客户关系管理2.供应链管理3.协同产品商务4.产品数据管理5.产品生命周期管理6.制造执行管理系统7.内外部知识源相接的知识管理。
8.我国电子商务的主要盈利模式
(1)本行业产品销售,通过网络平台销售自己生产产品或加盟厂商产品;(2)销售与本行业相关的产品;(3)提供租赁服务;(4)拍卖产品,收取中间费用;(5)提供销售平台,接收客户在线订单,收取交易中介费;(6)特许加盟,一方面可以迅速扩大规模,另一方面可以收取一定的加盟费;(7)注册会员,收取会费;(8)提供上网服务,为行业内企业提供相关服务;(9)为业内企
业发布广告;
(10)咨询服务,为业内厂商提供咨询服务,收取服务费;
(五)1.公益性信息资源的性质 :(1)公益性----主
要采用无偿或低价服务,不以营利为目的的信息资源;(2)公开性----可以向全民公开,不涉及国家机密,国家安全和个人隐私;(3)共享性---可以在全社会或一定区域共享,如同共同利用,相互交换,互借等。3.现代图书馆的社会职能(1)保存人类文化遗产(2)开展社会教育(3)传递科技信息(4)开发智力资源
(六)网络信息资源的特点(1)内容丰富,数量大。(2)多媒体、多类型、多语种,传播范围广泛。(3)信息构成复杂,缺乏管理(4)交互性强。(5)分散性和动态性。2.网络信息资源的实现技术(1)网络信息过滤技术(2)组织技术(3)推送技术(4)网络信息空间和语义Web(5)网络信息管理的安全技术
3.目前网络信息资源利用涉及到的主要领域(1)基础设施和标准化(2)法律问题(3)经济问题(4)发展问题(5)社会文化问题
4.网络信息资源管理存在的主要问题,并谈谈目前治理的基本思路(1)宏观方面主要问题:基础设施与标准化、因特网地址域名资源的管理、域名和商标的纠纷及仲裁、ISP对于内容的责任、因特网技术融合、因特网的安全问题、知识产权和个人隐私的保护问题、垃圾邮件问题。对策:①建立全球因特网委员会(GIC);②不另外成立具体的监管机制;③成立国际互联网委员会(IIC);④治理、监管和全球协作的综合集成; 我国对策:①加强对新技术、新业务引发的因特网信息安全问题的研究;②引进因特网域名根服务器和镜像服务器,③研究探索国内IP地址集中申请机制建立、运作和管理方式;④增强因特网站、域名信息、IP地址信息比对功能,⑤加强网络完全应急预案和工作机制的研究与制定,⑥开展对虚拟主机、主机托管服务的治理工作;⑦充分发挥因特网协会的机制和作用,引导因特网行业自律;
5.网络信息资源管理的评价方法 第三方评价法 用户评价法 网络计量法
(七)1.知识管理系统的基本结构: 知识管理系统的基本结构是一种建立在现代信息技术上的知识管理的架构。主要包括知识门户、发现服务、协作服务、知识地图、知识库、基础设施。
3.知识管理的内容 1。对知识和最佳经营经验的共享 2。加强共享责任的宣传3。积累和利用过去的经验4。将知识融入产品、服务和生产过程5。把知识作为产品来进行生产6。驱动以创新为目的的知识生产7。建立专家网络8。建立和挖掘客户的知识库9。理解和计量知识的价值10。利用与保护知识资产
(八)1.信息系统开发模型 1瀑布模型 2原型法 3增量开发模型
2.信息系统安全技术措施:技术措施是信息系统安全的重要保障。实施安全技术,涉及计算机和外部设备及其通讯和网络等实体,数据安全、软件安全、网络安全、运行安全和防病毒技术。安全技术措施应贯穿于系统分析、设计、运行、和维护及管理的各个阶段。信息系统的安全保证措施是系统的有机组成部分,3.网络管理的功能(1)故障管理(2)配置管理(3)计费管理(4)性能管理(5)安全管理
4企业网络信息系统建设总体规划与设计:网络信息系统总体规划1。确定网络信息系统的结构。网络信息系统结构的确定应根据用户单位的具体情况。2。确定网络操作系统及服务软件。3。确定数据库服务器4。确定硬件设备网络信息系统总体设计:1结构化综合布线设计2管理方式设计3接入设计4安全性设计
第二篇:信息资源管理试题
一、填空题(每题1分,共20分)
1、信息资源管理发展五阶段论即、、、。
2、信息资源管理理论基础包括、、。
3、信息资源管理主要领域、、。
4、零次信息资源采集方法有、等
5、网络环境中政府行政管理体系、、。
二、问答题(每题4分,共40分)
1、信息资源特征
2、电子政务内容
3、企业信息化基本任务
4、知识管理编码化策略
5、信息采集的过程
6、信息法规的内容
7、网络信息资源评价方法
8、解释EIP内涵
9、企业信息资源管理特性
10、公益性信息资源性质
三、分析题(共20分)
1、举例说明企业信息资源的构成(10分)
2、联系实际分析如何理解企业知识管理的内涵(5分)
3、你认为成为一个合格的CIO应具备的基本素质(5分)
四、论述题(每题10分,共20分)
1、试述企业构建知识资源管理平台的基本步骤(10分)
2、论加快电子政务发展对现代化建设的重要意义(10分)
一、填空题(每题1分,共20分)
1、文书管理阶段、自动化技术管理阶段、信息资源管理阶段、竞争情报分析阶段、战略信息管理阶段。
2、信息科学、管理科学、信息生命周期理论、信息生态理论、信息构建理论
3、政府信息资源、企业信息资源、社会信息资源。
4、采访、社会调查等
5、绩效模型业务模型、服务模型、数据模型、技术模型
二、简答题(每题4分,共40分)
1、信息资源的特征:作为经济资源,信息资源具有经济资源的一切特征。包括:作为生产要素的人类需求性、稀缺性、使用方向的可选择性。同时信息资源与物质资源、能源资源相比有诸多的特殊性。包括:共享性、时效性、差异性、驾驭性、积累性与再生性。(4分)
2、电子政务内容:政府间电子政务,包括电子法规政策、电子公文、电子司法档案、等系统。政务对企业电子政务,包括电子采购与招标、电子税务、电子证照办理等服务。政府对公民电子服务,包括教育培训、就业、电子医疗、社会 保险等服务。(4分)
3、企业信息化基本任务:生产过程信息化、研发过程信息化市场与销售业务信息化、财务管理信息化、管理决策信息化。(4分)
4、编码化策略:是指先把知识与知识开发者分离,而后在将知识进行仔细分析和筛选进而编码,存储在数据库中,可随时反复调用的策略。其知识传递是“人-文档”,重点对显性知识进行存储和管理,知识主要通过间接方式进行传播并重复使用。知识管理核心是建立企业知识库。(4分)
5、信息采集的过程:需求分析、确定采集途径、制定采集策略、采集实施和结果评价、整理数据和编写报告。(4分)
6、信息法规的内容:信息安全法律制度、信息标准法律制度、信息环境法律制度、信息资源法律制度、信息产业法律制度、信息技术法律制度、信息人才法律制度、信息产权法律制度、信息市场法律制度、信息网络法律制度。(4分)
7、网络信息资源评价方法:第三方评价法、用户评价法、层次分析法、链接分析法、网络计量法。(4分)
8、解释EIP内涵:即企业信息门户,是建立在企业协同商务概念上的企业应用软件,提供一个把信息集中起来利用的平台,促进员工、用户和合作伙伴进行相互交流,从而加快沟通和协作。
9、企业信息资源管理特性:时效性、用户导向性、综合性、与企业生存息息相关性、一个创造性劳动过程。(4分)
10、公益性信息资源性质:公益性,主要采用无偿或低价服务,不以营利为目的;公开性,可以向全民公开,不涉及国家秘密、国家安全和个人隐私;共享性,在全社会或一定区域共享。
四、分析题(每个要点略加解释,共20分)
1、举例说明企业信息资源的构成(10分)
(1)企业内部资源(2分)
(2)企业外部资源(2分)
(3)网络资源(2分)
(4)实物资源(2分)
(5)人际资源(1分)
(6)商业秘密(1分)
2、联系实际分析如何理解企业知识管理。(4分)
(1)创新是知识管理的核心(1分)
(2)知识资源是知识管理的对象(1分)
(3)人是知识管理的关键(1分)
(4)信息技术是知识管理的工具(1分)
3、你认为如何成为一个合格的CIO应具备的基本素质。(6分)
(1)CIO的含义(1分)
(2)管理知识(2分)
(3)IT专业知识(2分)
(4)信息素养等(1分)
五、论述题(每个要点略加解释,共20分)
1、试述推行电子政务对加快现代化建设的重要意义(10分)
(1)电子政务,是指为适应信息时代的发展,运用现代信息技术手段,对传统的政府管理和公共服务进行改造,提升政府管理的有效性,满足社会和公众对政府公共管理和公共服务的期望,促进社会经济的发展。(2分)
(2)推行电子政务是深化行政管理体制改革和政府履行职能的重要措施。(2分)
(3)推行电子政务是适应经济全球化和加入世界贸易组织新形势的迫切要求。(2分)
(4)推行电子政务是推动国民经济和社会信息化的龙头工程。(2分)
(5)推行电子政务是促进政府部门改善和提高服务质量、造福人民群众的民心工程。(2分)
2、试述企业如何构建知识资源管理的平台(共10分)
(1)企业知识资源管理的技术平台构建:技术的选择,要做到四个支持即支持知识识别、支持专家评价、支持知识传送、支持知识更新;技术平台构建,有两个层次即企业的信息化平台构建和企业与企业之间的知识共享平台构建。(6分)
(2)企业知识资源管理的资源平台构建:企业知识门户、对等的知识联网、知识仓库的建立、知识地图的建立。(4分)
一、填空题(每题1分,共20分)
1、信息资源管理发展四阶段是、、、。
2、信息资源的类型、、、。
3、网络信息资源评价方法有、、、、。
4、现代信息采集技术
5、公益性机构主要类型有、、等。
二、名词解释(每题3分,共12分)
1、信息资源
2、企业信息资源管理
3、信息系统生命周期
4、知识产权
三、问答题(每题4分,共40分)
1、信息功能、2、信息源与信息资源的关系
3、信息检索的基本程序
4、信息法规体系的结构
5、知识管理人格化策略
6、促进企业信息化深入发展信息系统
7、网络信息资源评价采用的主要指标
8、国外电子政务发展特征
9、标准化的作用
10、信息系统评价四个阶段
四、分析题:谈谈构建企业知识资源管理的资源平台设想(8分)
五、论述题(共20分)
1、试述试述政府信息资源管理的框架(10分)
2、试述企业知识管理的机制体系(10分)
一、填空题(每题1分,共20分)
1、物理控制阶段、自动化技术的管理、信息资源管理、知识管理。
2、记录性信息资源、实物型信息资源、智力型信息资源、零次信息资源
3、第三方评价法、用户评价法、层次分析法、链接分析法、网络计量法
4、全自动电话访谈、交互式计算机辅助电话方谈、计算机柜调研、网络调研系统。
5、公共图书馆、博物馆、展览馆等
二、名词解释(每题3分,共12分)
1、信息资源:人类社会活动中经过开发、组织与利用并大量积累起来的信息及其信息工作者和信息技术等信息活动要素的集合。(3分)
2、企业信息资源管理:指对产生于企业内外部、企业可能得到和利用的与企业生产活动有关的各种信息实施管理过程。(3分)
3、信息系统生命周期:从信息系统分析和设计的角度可以将信息系统的生命周期划分为五个部分即计划、分析、设计、实施和维护。(3分)
4、知识产权:是指自然人或法人通过脑力劳动,对科学技术、文化艺术等领域,从事智力活动所创造的精神财富,在一定地域、一定时间内对其依法确认并享有的权利。(3分)
二、问答题(每题4分,共40分)
1、信息的功能:经济功能、管理与协调功能、选择与决策功能、研究与开发功能。(4分)
2、信息源与信息资源的关系:从时间序列看,信息源是信息资源的源,先于信息资源。从信息开发利用看,信息源不断转化为信息资源。(4分)
3、信息检索的基本程序:确定信息检索的范围与深度、选择检索工具、选择检索途径、选择检索方法、实施信息查找、调取信息资料。(4分)
4、信息法规体系的结构:包含两个层次,一是涉及产业组织和社会层次的信息技术、信息人才、信息市场、信息资源等法律制度:二是由上述法律制度分解出来的调整范围较窄、目标较明确的各种信息法规。(4分)
5、知识管理人格化策略:就是把知识和知识生产者结合起来,即隐性知识通过“人-人”的方式直接传递实现共享。其重点是鼓励员工不断学习,促进隐性知识的创造,并将存储在员工头脑中的隐性知识转化为可编码的显性知识,实现知识共享。(4分)
6、促进企业信息化深入发展信息系统:客户关系管理、供应链管理、协同产品商务、产品生命周期和产品数据管理、制造执行管理系统、电子商务(4分)
7、网络信息资源评价采用的主要指标:网络信息资源内容、网络设计、可获取性、成本、目的及用户。(4分)
8、国外电子政务发展特征:政府领导人的倡导和支持、以用户为中心、门户网站功能完善、统一规划和标准、施行分阶段实施策略、重视市场机制的作用(4分)。
9、标准化的作用:可提高产品质量和产量、便于科学化和现代化管理、有利于专业化协作、可以减少浪费、促进世界贸易交流、有利于促进技术进步等。(4分)
10、信息系统评价四个阶段:组织的信息系统环境分析、信息系统的基础设施评价、信息系统接口评价、信息系统活动评价。(4分)
四、分析题:你认为企业知识资源管理的资源平台应如何构建(每个要点略加解
释,共8分)
(1)企业知识门户的建立(2)
(2)对等的知识联网构建(2)
(3)知识仓库的建立(2)
(4)知识地图的建立(2)
五、论述题(每个要点略加解释,共20分)
1、试述政府信息资源管理的框架(10分)
(1)制定我国信息化发展战略及政策(1分)
(2)政府信息化发展的战略计划和战役计划(1分)
(3)政府信息资源相关的法律和法规(1分)
(4)政府信息基础设施的管理(1分)
(5)政府信息的管理(1分)
(6)政府信息系统的管理(1分)
(7)政府信息技术的管理(1分)
(8)政府信息化的项目管理(1分)
(9)政府信息的安全管理(1分)
(10)政府信息化人力资源开发(1分)
2、试述企业知识管理的机制体系(10分)
(1)知识共享机制:知识收集机制、知识分类机制、知识更新机制。(3分)
(2)知识运行机制:外部知识内化机制、知识宽松交流机制、知识项目管理机制、知识创新机制。(2分)
(3)知识明晰机制:知识管理目标发布机制、知识成果保护机制。(2分)
(4)知识奖励机制:知识薪酬支付机制、知识股权期权机制、知识晋升机制、知识署名机制、知识培训机制。(3分)
第三篇:信息资源管理教程重点
信息资源管理重点
1)信息是反映事物运动状态的和方式,以文本,数值或多媒体等形式存在的数据,事实或见解。
2)信息资源管理采用的技术是信息技术。
3)信息资源的开发,时间,利用,管理的过程也是信息活动的过程。
4)时间出现的概率越大,相应的信息量越小。
5)计算机,1975年后广泛应用,联机系统,首先在证券公司和银行出现。
6)信息资源管理不是独立学科,根植于三个独立学科。
7)按信息资源的运营机制分为政府,公益,商业信息资源。
8)信息资源管理五阶段论
(1)文书管理阶段
(2)自动化技术管理阶段
(3)信息资源管理阶段
(4)竞争情报分析阶段
(5)战略情报管理阶段
9)信息资源管理四阶段论
(1)信息的物理控制阶段
(2)自动化技术管理阶段
(3)信息资源管理阶段
(4)知识管理阶段
考虑到政府机构一般不存在商业竞争问题,所以四阶段论更具有普遍性。
共同特点:较好的揭示了信息资源管理发展的规律性。
10)狭义的信息资源管理是指信息及其载体。信息资源管理的定义:信息资源是人类活动各个领域所产生和使用价值的信息集合。
11)载体的性质主要取决于信息的物理特征。
12)信息资源也是可再生资源。
13)信息资源管理的含义
1-国外学者的认识,不统一
2-我国的认识,更多等同于文献管理
3-整体上的理解,信息资源管理
信息资源管理就是综合运用各种方法和手段进行信息资源规划,组织,利用和控制的过程。
14)信息资源管理的性质:是一种新的管理理念和管理哲学。
15)信息资源管理出现背景,起源和发展过程:
信息资源对国家经济发展和安全日益重要,文书记录和文献数量激增,信息技术的广泛应用。信息资源管理不仅起源于三个不同的学科,而且它成长和发展于两个不同的社会部门:私营部门的公司企业和公共部门的政府机构。发展过程:数据库管理,记录管理和文献管理,数据处理管理,三者的融合。起源:图书情报。
16)数据组织的基本单位是bit。
17)企业信息支援管理人员包括信息主管,信息中心的工作人员,各部门专业技术管理人员。
18)如果式中的对数去e为底,信息量的单位称为奈特;若对数去10为底,则信息量的单
位是哈特菜。
19)信息资源管理的基本方法:1-资源目录技术。2-信息流分析。3-信息环境分析。4-核
算和预算方法。5-战略数据规划。
20)信息论,控制论和系统论都是研究信息,控制和系统的横断学科,其基本思想,基本
方法有许多一致之处。他们具有浓厚的方法论特征,提供了适合现代管理的方法论基础。
21)信息与载体的关系:信息借助于在载体脱离信源运动或存储。载体上的反应的信息内容的物理符号称为数据,信息是数据的内容,数据是信息的物理形式。数据的物理特征与载体性质有关,而信息的内容与载体性质无关;因此信息在传递过程中可依附不同的载体却不影响信息的内容。
22)信息生态学的内涵和特征:
内涵:以人为中心的信息管理。其基本点是把人放回到信息环境的中心位置,而把技
术推到它适当的位置即外围。
特征:1-各种类型信息的集成。2-认识信息生态的发展演变。3-强调对现有信息环境的观察和描述。4-焦点是人和信息的行为。
23)信息必须经过开发才能成为有用的资源。
24)各级政府部门在IRM中的主要职责是,从政策上指导资源开发和利用。
25)在政府部门中以提供信息服务为主的部门属于,信息中心。
26)文件组织属于 传统 政府信息组织的技术与方法。
27)分类组织属于 现代 政府信息组织的技术与方法。
28)电子政务率先在 美国 兴起。
29)信息政策的首要主题是 科技和经济。
30)在美国,负责政府IRM的政府官员职位是 CIO。
31)分类组织不属于 传统 政府信息组织的技术与方法。
32)索引组织不属于 现代 政府信息组织的技术与方法。
33)我国第一个严格意义上的政府网事 青岛 政府信息公众网。
34)加快信息化进程的重要前提是 计算机化。
35)技术密集型产品的制造成本中主要成本是 信息成本。
36)企业内部不直接涉及IRM的过程是 安全保卫管理。
37)MPR—Ⅱ是指 物料需求规划。
38)企业资源计划是指ERP。
39)关于企业信息系统成败的关键因素是 企业领导人。
40)企业可能通过电子商务方式实现网上订购和支付,这是电子商务的 网上交易 的功能。
41)企业中信息化委员会的工作通常由 CIO 负责。
42)在我国 事业单位 是公益性机构团体。
43)互联网面临的安全威胁来自 破坏系统,窃取信息等方面。
44)网络信息系统的管理主要有 系统运行管理,系统维护管理,系统安全性管理,软件维
护管理,数据维护管理。
45)信息化发展的主要前提是 科学技术的进步,社会政治经济活动全球化,信息资源的不
断积累。
46)属于机械制造企业信息资源的有 各类报表,生产计划,产品研发人员。
47)网络信息资源系统运行管理的内容有 日常运行管理。
48)网络信息资源管理系统维护管理内容有 纠错性维护。
49)推进信息化的关键资源是 人,技术,组织管理,计算机,通信网络。
50)网络安全技术包括 访问控制,防火墙,密钥,数字签名技术。
51)系统维护的内容:硬件维护,数据维护,应用程序。
52)所有的数据均是结构化的。
53)伴随着组织机构的信息化建设进程要解决信息共享需要先解决 信息孤岛 问题
54)软件质量的二级特性中,在意外情况下能够继续执行和快速克服故障的能力称为 健壮
性。
55)为了防止意外或人为的破坏,软件应具备的自我保护能力称为 安全性。
56)信息系统存在潜在的威胁和容易受到攻击,其主要原因是由于信息系统的 开放性和共
享性。
57)标准制定后,应根据形势的发展适时进行 复审。
58)实施标准的同时也是对标准的 检验。
59)数据加密变换不仅可以用于数据加密性的保护,也可以用于数据的 压缩。
60)软件质量管理小组活动的目的是 质量保证。
61)组织现代化生产的重要手段是 标准化。
62)企业标准代号的分母,一律规定用 汉语拼音字母。
63)标准体系表内的标准排练形势,一般变现为标准的分类组合和 层次结构。
64)以Q开始的标准代号表示这种标准是 企业标准。
65)在满足一定条件的应用环境下,软件均能维持正常的工作能力,称为 安全性。
66)计算机病毒的防范涉及技术措施和 管理制度。
67)软件质量管理活动大致可分为 质量控制和质量设计 标准。
68)对信息的威胁和攻击,主要造成 信息泄露和信息破坏 的结果。
69)CKO 的设立是知识管理在一个组织中实施的标志。
70)标准化的工作的任务是,制定标准,组织实施标准,对标准实施进行监督。
71)数据传输和加密技术常用,线路加密,端端加密。
72)根据我国标准,开发软件质量保证和评价等活动的软件开发阶段有 需求分析,总体设
计详细设计,编码实现组装测试,确认测试。
73)我国的标准级别有 企业标准,地方标准,行业标准,国家标准。
74)应当包含在运行日记里的项目有,时间操作人值班人签字。
75)信息系统的实体安全包括,设备安全 软件安全 存储介质安全。
76)在OECD对知识的分类中,know what,know why属于显然性知识。
77)在OECD对知识的分类中,know how,know who属于隐性性知识。
名词解释
1,信息化:信息化就是从物质生产占主导地位的社会向占主导地位社会转变的发展过程。
2,企业信息化:在企业生产,管理,经营等各个层次,各个环节和各个领域,采用计
算机,通信和网络等现代信息技术,充分开发,广泛利用企业内外部的信息资源。
3,网络信息资源:通过计算机网络可以利用的各种信息资源的总和,具体的说明是指
以数字格式将文字,图像,声音,动画等多种形式信息存放在光,磁等载体中,并通过网络通信,计算机或终端等方式加以利用的信息资源。
4,电子商务:通过电信网络进行的生产,营销,销售和流通活动。
5,政府信息化:指政府部门为更加经济有效的履行自己的职责,向全社会提供更好的服务而广泛的应用信息技术,开发利用信息资源的活动和过程,是政府信息资源管理的高级阶段。
6,信息孤岛:企业和政府在信息化建设达到一定水平后,内部会同时运行着许多不同的业务应用系统。这些系统都会产生一定数量的信息和数据,但往往不能相互共享和利用。
7,检索语言:是在文献检索领域中用来描述文献特征和表达信息检索提问的一种专用
语言。它依据一定的规则对自然语言进行规范,将其编制成表,供信息标引以及检索时使用。
8,信息安全:是指信息网络的、及其系统中的数据受到保护,不受偶然的或
者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
简答
简述政府IRM的主要任务。
答:1)制定和实施政府信息资源开发利用规划。2)研究和制定相关的政策和法规。3)政
府信息基础设施的管理。4)政府应用系统开发和维护的管理。5)政府信息技术管理。
6)政府信息安全管理。
简述企业的主要信息源。
1外部信息源。包括,1)政府信息,2)法律信息。3)经济信息,4)社会文化信息,答:○
5)科技信息,6)地理环境信息。7)竞争对手信息,8)消费需求信息,9)商品及销售信息,10)国际市场信息
2内部信息源。包括,1)市场监测资料,2)财务管理数据,3)计划或规划信息,4)○
技术研发与管理信息,5)投资管理信息,6)生产管理信息,7)组织管理信息。8)营销管理信息。
简述科技信息机构提供的专业服务。
答:主要专业服务有,情报采集与检索,情报深度加工分析,专业咨询服务,情报预警服
务,情报报道和传播服务等。
简述公共图书馆的主要职能。
答:主要职能有四种:1)保护人类文化遗产 2)开展社会教育 3)传递科技信息 4)开发
智力资源。
简述互联网的主要用途
答:1)信息检索 2)信息交流 3)信息发布 4)电子商务 5)电子政务 6)远程教育 7)
远程医疗 8)游戏,娱乐。
简述网络信息资源的评价指标体系
答:评价指标一般包括:目的,收录范围,内容,用户对象,图形和多媒体设计,易用性,价格等。
简述网络信息资源的主要特点
答:1)内容丰富,数量大。2)多媒体,多类型,多语种,传播范围广泛。3)信息构成复
杂,缺乏管理。4)交互性强。5)分散性和动态性。
试述信息采集的原则。
答:1,系统性原则 2,针对性原则 3,及时性原则 4,可靠性原则 5,方便,经济的原则
6,计划性原则 7,预见性原则。
试述布尔检索法。
答:利用布尔逻辑算符进行检索词或代码的逻辑组配,是信息检索中最常用的一种方法。
试述截词检索法。
答:信息检索常用的技术之一,它可以截取检索词的某一部分用于检索。
简述信息系统开发规范包括的内容。
答:1,可行性研究与计划。2,需求分析。3,总体设计。4,实现。5,详细设计。6,集
成测试。7,确认测试。8,使用与维护。
简述查找公司信息和产品信息的主要途径。
答:可以利用信息检索来找出需要的有关信息。可以用文献检索,数据检索,事实检索来
查找。
试任举三种信息检索语言并简述之。
答:1, 布尔检索法:利用布尔逻辑算符进行检索词或代码的逻辑组配,是信息检索中最常
用的一种方法。
2,截词检索法:信息检索常用的技术之一,它可以截取检索词的某一部分用于检索。3,限制检索法:将检索词限定在某一范围内进行检索的方法。
试述信息采集的一般原则和策略。
答:信息采集原则:1,系统性原则 2,针对性原则 3,及时性原则 4,可靠性原则 5,方
便,经济的原则 6,计划性原则 7,预见性原则。
信息采集策略:1,定向采集与定题采集 2,单向采集与多向采集 3,主动采集与跟踪
采集 4,建立信息网络 5,利用英特网进行系统采集 6,严格管理与激励措施相结合。
试述计算机检索的常用方法。
答,1,布尔检索 2,截词检索 3,限制检索 4,位置检索 5,加权检索 6,多媒体检索和
超文本检索。
试述信息资源开发,利用的重大意义,原则,战略,模式,以及关键技术。
答:意义:1,信息成为主要生产要素。2,信息资源是促进经济变革和增长的强大动力。3,信息资源开发利用能力是核心竞争力的重要体现。4,信息资源开发利用时提高政府运作效率的需要。6,信息资源开发利用是实现可持续发展的需要。
原则:1,统筹协调 2,需求导向 3,创新开发 4,确保安全。
战略:可分为国外信息资源开发利用的战略和我国信息资源开发利用战略。
模式:1,国家科学技术部的科技文献平台建设模式。2,中国高等教育文献保障体系建设模式。3,上海市文献资源共建共享模式。4,欧盟e—Content模式。
关键技术:1,信息采集技术 2,信息组织技术 3,信息检索技术 4,信息共享平台技术 5,信息安全技术。
第四篇:人力资源管理概论复习重点
人力资源管理概论复习重点
一、名词解释
1、人力资本:是劳动者身上所具备的两种能力,一种能力是通过先天遗传获得的,是由个人与生俱来的基因所决定的,另一种能力是后天获得的,是由个人努力经过学习而形成的,而读写能力是任何民族人口的人力资本质量的关键成分。
2、超Y理论:指在进行人力资源管理活动时要根据不同的情况,采取不同的管理方式和方法,是一种主张权宜应变的经营理论。
3、公平理论:是在社会比较中研究个人所作的贡献与所得的报酬之间如何平衡的一种理论,侧重于研究报酬的公平性、合理性对员工积极性的影响。
4、溢出效应:.是指根据员工在考核周期以外的表现做出评价,是绩效考核中的误区之一。
5、职位分析:是指了解组织内的一种职位并以一种格式把与这种职位有关的信息描述出来,从而使其他人能了解这种职位的过程。
6、强化理论:是以学习的强化原则为基础的关于理解和修正人的行为的一种学说。
7、人力资源规划:也叫人力资源计划,是指在企业发展战略和经营规划的指导下进行人员的供需平衡,以满足企业在不同发展时期对人员的要求,为企业的发展提供合质合量的人力资源保证,其最终目标是为了达成企业的战略目标和长期利益。
8、招聘:是指在企业总体发展战略规划的指导下,制定相应的职位空缺计划,并决定如何寻找合适的人员来填补这些职位空缺的过程,它的实质是让潜在的合格人员对本企业的相关职位产生兴趣并且前来应聘这些职位。
9、信度:是指测试的可靠程度和客观程度,即测试的一致性。也指测试方法不受随机误差干扰的程度,简单地说就是指测试方法得到的测试结果的稳定性和一致性程度。
二、简答题
1、简述人力资源分布和结构形式:
人力资源的分布和结构主要表现为人力资源载体的分布和结构,对国家而言,是指劳动力人口的分布和结构,对企业而言,则是指员工的分布与结构。
国家的人力资源分布和结构:
1)年龄构成:指各年龄段的劳动人口在整个劳动人口中所占的比重。只能用潜在的人力资源的年龄构成来侧面地反映该指标。
2)产业分布:指第一、第二和第三产业的劳动人口在整个劳动人口中所占的比例。企业的人力资源分布和结构:
1)年龄构成:指企业各个年龄段的员工在员工总数中所占的比例。
2)学历构成:指各学历层次的员工在员工总数中所占的比例,其在一定程度上反映出企业员工的素质水平。
3)职位分布:指各个职位层次的员工在员工总数中所占的比例。
4)部门分布:指各个部门的员工在员工总数中所占的比例。
5)素质构成:指企业中各个员工所具备的素质,包括个性、品性、能力、知识、体质等方面。素质构成一般可以通过语言描述和分数描述两种形式加以表现。
2、简述人性假设理论:
人性假设就是对人的本性所持的基本看法,人性假设是人力资源管理的一个理论基础,主要包括以下几个理论:
1)X理论:传统的人们对人性的假设称为X理论,类似于我国古代的性恶论,认为“人之初,性本恶”。
2)Y理论:与X理论相反,类似于我国古代的性善论,认为“人之初,性本善”。
3)经济人假设:相当于X理论。
4)社会人假设:强调营造和谐融洽的人际关系在管理中的重要性。
5)自我实现人假设:相当于Y理论。
6)复杂人假设:实际上不存在一种适合于任何时代和任何人的通用的管理方式和方法,管
理必须是权变的,要根据不同人的不同需要和不同情况,采取相应的管理方式。
3、简述效度的类型和检验方法
类型:1)内容效度:指测评工具所包括的题目能否真正代表所需要测评的内容。
2)效标关联效度:指测评的结果与被预测内容的关联程度。根据所使用的效标的不同,分为预测效度和同时效度。
检验方法:
1)内容效度检验方法:主要采用专家判断的方法,一般在评价前,通过职位分析等方
法确定需要评价的内容,再让专家根据需要测评的内容采用内容效度高的测评工具。
2)效标关联效度检验方法:采用某一测评工具对候选人测评,计算测评结果与实际业
绩之间的相关度。
4、简述培训与开发的原则
1)服务企业战略和规划的原则:战略和规划是企业的最高经营纲领,对企业各方面的工
作都具有指导意义,培训与开发工作的实施,应当从企业战略的高度出发来进行,决不能将两者割裂开。
2)目标原则:目标对人们的行为具有明确的导向作用,在培训之前为受训人员设置明确的目标,有助于在培训结束后进行培训效果衡量,提高培训的效果,使受训人员有明确的方向和一定的学习压力。
3)差异化原则:a内容上的差异化:在培训时应当根据员工的实际水平和所处职位确定
不同的培训内容,进行个性化的培训。
b人员上的差异化:在培训中应当向关键职位倾斜,特别是中高层管理和
技术人员。
4)激励原则:通过正向的和反向的激励,来调动员工的积极性和主动性,使他们以更
大的热情参与到培训中来。
5)讲究实效的原则:注重培训迁移,学以致用,从实际工作需要出发,结合员工的年
龄、知识、能力等实际情况进行具有明确目的的培训,确保培训收到实际的效果。
6)效益原则:在实施培训活动的过程中,在确保培训效果的前提下,必须考虑培训的方式方法,采取适当的培训措施,以期获取最佳的培训效益。
5、简述绩效考核与绩效管理的关系:
联系:绩效考核是绩效管理一个不可缺少的关键组成部分。只有通过绩效考核才能为企业的绩效管理工作提供资料,以提高绩效管理水平,增强针对性,最终帮助企业获得理想的绩效水平。
区别:1)前者只是后者这一完整系统的一部分;
2)前者注重结果,后者注重过程;
3)前者侧重于回顾,后者具有前瞻性;
4)前者注重成绩的大小,后者注重能力的培养。
三、论述题
1、详细阐述绩效考核的方法:
1)比较法:是一种相对考核的方法,通过员工之间的相互比较从而得出考核结果,主要包
括以下几种方法。
A个体排序法:也叫做排队法,就是把员工按照从好到坏的顺序进行排列。该方法适用
于人员比较少的组织。
B配对比较法:就是把每一位员工与其他员工一一配对,分别进行比较;每一次比较时,给表现好的员工记“+”,另一个员工就记“-”。所有员工都比较过以后,计算每人“+”的个数,依次对员工作出考核,谁的“+”多,谁的名次
就排在前面。
C人物比较法:就是在考核之前,先选出一位员工,以他的各方面表现为标准,对其他
员工进行考核。
D强制比例法:首先确定出绩效考核结果的等级,然后按照正态分布的原理确定出各个
等级的比例,最后按照这个比例,根据员工的表现将他们归入不同的等
级中去。
2)量表法:就是指将绩效考核的指标和标准制作成量表,依此对员工的绩效进行考核。
主要包括以下几种方法。
A评级量表法:在量表中列出需要考核的绩效指标,将每个指标的标准区分成不同的等
级,每个等级都对应一个分数。考核时考核主体根据员工的表现,给每个指标选择一个等级,汇总所有等级的分数,就可以得出员工的考核结
果。
B行为锚定评价法:是利用特定行为锚定量表上不同的点的图形测评方法,在传统的评
级量表法的基础上演变而来,是评级量表法与关键事件法的结合。
C行为观察量法:在考核各个具体的项目时给出一系列有关的有效行为,考核者通过指
出员工表现各种行为的频率来评价他的工作绩效。
D混合标准测评法:通过编制混合标准测评量表,用许多组概念上相容的描述句描述同
一考核项目的高、中、低三个层次。
3)描述法:考核主体用叙述性的文字来描述员工在工作业绩、工作能力和工作态度方面的优缺点,以及需要加以指导的事项和关键性事件等,由此得到对员工的综合考核。其中最具代表性的一种方法——关键事件记录法,即通过观察,记录下员工完成工作时特别有效和特别无效的行为,依此对员工进行考核评价。
2、详细阐述人力资源职位评价方法:
职位评价是指借助一定的方法,确定企业内部各职位相对价值大小的过程。其方法如下:
1)排序法:(适合那些规模小、结构简单、职位较少的企业)
A直接排序法:根据对职位的总体判断,按照重要性或者对企业贡献度的高低顺序将职位依
次进行排列。
B交替排序法:首先从待评职位中找出价值最高和价值最低的职位,然后从剩余的职位中找
出价值最高和最低的职位,如此循环,直到把所有的职位都排列完毕为止。
C配对比较法:将待评的职位进行两两比较,以最终比较的结果对职位做出排序。
2)归类法:按照一定的标准将职位归入事先确定好的职位等级中的职位评价方法。步骤:首先,根据企业的具体情况确定出职位等级的数量;
其次,要选择报酬要素,根据报酬要素界定各个职位等级的定义;
最后,根据各个职位的职位说明书,对照确定好的标准,将职位归入与等级定义相同
或最相近的职位等级中去。
3)要素比较法:即根据不同的报酬要素对职位进行多次排序。
步骤:a.确定报酬要素;
b.选择典型职位;
c.按照每一个报酬要素,对典型职位进行多次排序,有几种报酬要素,相应地就要进
行几次排序;
d.确定每一典型职位各报酬要素的工资率,并且依此对典型职位再次进行排列;e.剔除不合理的典型职位;
f.确定其他职位的薪酬水平。
4)要素计点法:根据各个职位在报酬要素上的得分来确定它们价值的相对大小。步骤:a.确定报酬要素;
b.对每个报酬要素划分成不同的等级并且对报酬要素和各个等级的含义做出清晰的界定;
c.确定各个报酬要素及其内部各等级的点值;
d.进行评价。
3、详细阐述人力资源管理激励理论:
A、内容型激励理论
1)需求层次理论(马斯洛的需求层次理论):他将人们的需要划分为五个层次,即生理需
要、安全需要、社交需要、尊重需要和自我实现需要。这五个层次是按从低级到高级依次排列的。
2)ERG理论:认为人的需要主要有三种:
生存需要:包括心理与安全的需要
关系需要:包括有意义的社会人际关系
成长需要:包括人类潜能的发展、自尊和自我实现
对此,管理者必须首先明确员工的哪些需要没有得到满足,以及员工最希望得到的是哪些需要,然后再有针对性地来满足员工的这些需要,这样才能最大限度地刺激员工的动机,发挥激励的效果。
3)双因素理论:又称作“激励——保健因素”理论,激励因素是指是员工感到满意的因素,保健因素是指使员工感到不满意的因素。该理论启示管理者在激励员工时必须要区分激励因素和保健因素,对于保健因素不能无限制地满足,这样做并不能激发他们的动机,调动他们的积极性,而应当更多地从激励因素着手,满足员工在这方面的需要,这样员工才更加积极主动地工作。
4)成就激励理论:认为在生理需要得到满足的前提下人们还有权力需要、归属需要、成就
需要。在进行人力资源管理时,管理者应当充分发掘和培养员工的成就需要,给员工安排具有一定挑战性的工作和任务,从而使员工具有内在的工作动力。
B、过程型激励理论
1)期望理论:激励的效果取决于效价和期望值两个因素,即
激励力=效价*期望值或M=V*E
2)公平理论:员工的工作积极性不仅受到绝对报酬的影响,还受到相对报酬的影响。当一个人取得报酬以后,不仅关心自己收入的绝对值,还关心自己收入的相对值。因此管理者在激励员工时,应力求公平。
3)目标理论:激励的效果主要取决于目标的明确度和目标的难度这两个因素。
C、行为改造激励理论
1)强化理论;对行为进行改变可以通过四种方法来实现,即正强化、负强化、惩罚、衰减。
D、综合型激励理论
1)勒温的早期综合激励理论:B=f(P*E)
B表示个人行为的方向和向量P表示个人的内部动力E表示环境的刺激 这一公式表明,个人的行为向量是由个人内部动力和环境刺激的乘积决定的。
2)波特和劳勒的综合激励理论:它包括努力程度、工作绩效、工作报酬、满足感这几个主要的变量。
第五篇:信息安全复习重点
信息安全概论期末复习提纲
1、试从密码哈希函数、密钥交换、数字签名和证书等几方面论述加密技术在信息安全方面的应用。
(1)密码哈希函数
主要用于保证数据的完整性,该函数必须依赖于被密封文件或数据的所有位,这样,文件或数据的每一位的变化都会影响到校验和的结果。
(2)密钥交换
公钥加密体制可以在两个主体建立加密通道以前,安全地交换相应的对称会话密钥。假设S和R(发送者和接受者)想得到一个共享的对称密钥,假定S和R都已经拥有了用于普通加密算法的公钥,S和R的私钥、公钥分别为kPRIV_S、kPUB_S和kPRIV_R、kPUB_R,S任意选出一个对称密钥K,想把它安全地发给R,并且让R确认该密钥是S所发,则S可以发送E(kPUB_R ,E(kPRIV_S,K))给R。
(3)数字签名
数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要,并通过与自己用收到的原始数据产生的哈希哈希摘要对照,便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性。
(4)证书
数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方证书的有效性,从而解决相互间的信任问题。证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
从证书的用途来看,数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。
简单的说,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。认证中心(CA)的数字签名可以确保证书信息的真实性。
2、消息认证有哪些方式?试分析其实现过程。
3、常见的古典密码(替换密码、置换密码)以及现代密码的原理与实现过程。4、何为缓冲区溢出漏洞?其可能产生的危害是什么?(回答要点)
缓冲区是用来存放数据的空间,缓冲区大小是有限的,一旦存放的数据超过了缓冲区的容量就会产生缓冲区溢出,其主要可能的危害有:
(1)(2)(3)(4)
当数据溢出到用户代码区域时,就会使应用程序执行错误代码而运行错误; 当数据溢出到用户的数据空间时,可能覆盖已存在的变量值,使计算结果错误; 当数据溢出到系统的代码区域时,会使系统执行错误指令异常而停机; 当数据溢出到系统的数据空间时,也会导致计算结果错误;
(5)攻击者可能利用缓冲区溢出修改系统代码;
(6)攻击者可能修改旧堆栈指针或改变返回地址,当程序定位到他希望的地方,造成更严重的安全问题。
5、举例说明何为“检查时刻到使用时刻(TOCTTOU)”漏洞?简述其解决方案。(回答要点)(1)选择一个实例说明时关键要讲清楚检查时刻与使用时刻的主体是不同的。(2)可以通过在检查后对主体进行数字签字的方式来防止检查后主体被修改。6、计算机病毒的特点以及运行机制。(传统计算机病毒、宏病毒以及蠕虫病毒)
计算机病毒可分初始化驻留、病毒的传染与传播、病毒表现、反跟踪调试四个部分来讨论其运行机制。
(1)初始化驻留
计算机病毒一般都要加载到系统,驻留于内存,并截取相关的中断,以便进行病毒的传染与传播,控制病毒的潜伏与表现,为此很多病毒还会通过修改系统系统注册表等方法,把自己设置成能够自动加载的程序,当然系统引导性病毒附着于系统引导程序,自然可以保证在系统启动加载。
(2)病毒的传染与传播
传统计算机病毒可通过存储介质间的拷贝和网络进行主动传播,主要是通过截取磁盘读写等一些常用的中断,以便在系统进行磁盘读写或可执行文件加载到内存时对其进行传染,有较强的隐蔽性;而蠕虫病毒主要是利用系统或应用程序的一些漏洞,入侵系统并获取控制权来进行蠕虫病毒在网络上的传播或安装,当然也有通过Email、伪装成常用的工具或游戏软件方法进行间接的传播,蠕虫病毒也可以利用Java、ActiveX等技术“潜伏”在网页中,用户浏览该网页时就有机会进行传播;而宏病毒是利用word等文档中采用的宏,将病毒代码插入这些文档的自动宏、标准宏以及常用的一些模板文件中。
(3)病毒表现
很多病毒进行系统后并不马上表现出一些相关的病毒特征,而是处于潜伏状态,静静地进行病毒的复制与传播,只有在满足一定条件的情况下才会发作,表现出相应的干扰或破坏。很多病毒都有专门的代码时刻检测病毒表现的条件是否满足,通常是把这些代码插入或替换跟时钟有关的一些中断服务程序。
(4)反跟踪调试
很多病毒有专门对付跟踪调试的代码,使得对病毒的分析难以进行,通常是把这部分代码插入或替换单步中断、断点中断等跟程序调试有关的中断服务程序。
而蠕虫病毒主要是利用系统或应用程序的一些漏洞,入侵系统并获取控制权来进行蠕虫病毒在网络上的传播或安装,当然也有通过Email、伪装成常用的工具或游戏软件方法进行间接的传播,蠕虫病毒也可以利用Java、ActiveX等技术“潜伏”在网页中,用户浏览该网页时就有机会进行病毒传播。
蠕虫病毒的主要危害是进行病毒复制传播时,大量激增的数据通信会使网络阻塞,有些蠕虫病毒还会攻击系统的一些安全漏洞使被入侵的系统无法正常工作(如反复启动、死机等),以上这些实际上成了一种拒绝服务攻击。有些蠕虫病毒还跟一些黑客手段结合,如在被入侵的系统中
安装木马,以此达到对被入侵目标的更完全的控制。
宏病毒主要是利用了Office软件提供的宏功能,是一种寄存在Word文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。从此以后,所有自动保存的文档都会感染上这种宏病毒,如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。为了确保自己有机会运行进驻系统,宏病毒通常感染标准宏、自动宏以及一些通用模板。
7、木马程序的特点、功能以及运行机制。(从程序结构、植入方式、控制等几方面阐述)特洛伊木马程序往往采用的是C/S结构,其Server端程序要先植入被入侵的主机,攻击者使用其Client端程序通过Server程序达到控制被入侵主机的目的。
木马Server端程序采用直接入侵和间接入侵两种植入方法。直接入侵就是通过探测扫描大量主机以寻找入侵主机目标,入侵有安全漏洞的主机并获得控制权,即可在这些主机上安装木马Server端程序,并可利用已入侵主机继续进行扫描和入侵。而间接入侵主要通过伪装软件法、Email法和网页法欺骗用户安装木马Server端程序。木马程序往往通过修改系统注册表等方法,把自己设置成能够自动加载的程序。
木马程序一般具有一下功能:
(1)远程主机的Windows资源浏览(上下载、远程执行)。(2)远程屏幕显示以及键盘、鼠标控制。
(3)Email飞鸽传书功能。通过这一功能一旦被入侵者上网,木马Server端程序就可以及时通过Email通知攻击者,并提供被入侵主机IP地址的和木马Server端程序的端口等重要信息。
8、何为间谍程序(Spyware)、Salami攻击?试分析其运行机制以及主要危害。
Salami是指一种意大利香肠,Salami攻击类似于香肠制作过程,是一种积少成多的非法获取利益的攻击过程。比如每次都将交易的零星小数从总额中扣下,存入自设的账户,日积月累往往可以达到可观的数目,而每次扣掉的金额很小,一般很难被发现,有较好的隐蔽性。
9、何为隐蔽通道?
10、试简述操作系统对一般对象常用的访问控制方法,分析这些方法的特点并比较之。操作系统中,对一般对象的访问控制采用访问目录、访问控制列表和访问控制矩阵三种控制方法。
采用访问目录的控制方法,每个用户都需要一张访问目录表,该列表指定了该用户可以访问的对象以及访问权限,该方法易于实现。但主要有三个问题,首先,如果所有用户都可访问的共享对象太多,将造成列表太大;另一个问题是如果要撤消某一个共享对象的访问权限,要更新的列表可能很多,开销很大。第三个问题跟文件别名有关。
采用访问控制列表的控制方法,每个对象都有一个列表,列表中包含可以访问该对象的所有主体,以及主体具有的访问权限。这一控制方法可以在列表包含默认用户以及相应的访问权限,这样,特殊用户可以在列表的前面说明其访问权限,而其他用户则是默认的访问权限,这一方法可以大大地减小控制列表,使维护更加方便。
访问控制矩阵是一张表格,每一行代表一个主体,每一列代表一个对象,表中的每个元素都表示一个主体对某一个对象的访问权限。总的说来,访问控制矩阵是一个稀疏矩阵,因为许多主
体对大多数对象没有访问权。访问控制矩阵可以用一个形式为<主体,对象,权限>的三元组表示。但是查找大量的三元组效率太低,故很少使用。
11、试简述unix系统中Suid访问许可的特点以及应用。
在unix系统中,可以通过对一个可执行文件设置Suid位,使其他用户在运行该程序时获得文件主的访问权限,可以对该文件主的其他文件也有完全的访问权限,而一旦退出该程序,用户恢复其原来的权限。
可以利用Suid访问许可的特点做很多有关系统安全方面的工作,unix系统的口令修改程序就是一个很好的例子,任何用户都可以且只能通过运行该程序来修改自己的口令,而用户自己则不能直接修改口令文件,保证了系统的安全。
12、何为salt口令?其作用是什么?采用salt口令时的用户鉴别过程。
salt口令的作用是防止在密文口令系统中通过查找相同的口令密文来猜测口令,具体的做法是在原来的口令中加上扩展信息(即salt),这样即使口令相同,由于每个口令的salt不同,最后口令的密文也不同,避免了从相同的口令密文推测口令的可能性。salt可以是用户的ID+口令创建时间,创建用户的同时,在口令表中要登记相应的salt,这样在用户登录时,根据用户输入的用户名,可以找到口令表中相应的表目,再根据用户输入的口令附加上对应的salt,按照相应的单向加密算法,求得相应的口令密文,跟口令表中的口令密文做比对,以此来确定用户身份的合法性。
13、试简述数据库的两阶段更新方案。
如果在修改数据的途中计算系统出现故障,则数据库的完整性有可能被破坏,为了解决此问题,数据库系统通常采用两阶段更新方案。
第一阶段称为意向阶段,在这个阶段计算结果,并将其保存于一些临时变量中,这个阶段不会对数据库做任何修改,所以如果在期间系统出现故障,所有的操作可以等系统恢复时重做。
第一阶段的最后事件是设置提交标记,意味着系统进入第二阶段,即永久更新阶段,在这个阶段数据库将前一个阶段保存于临时变量的计算结果复制到相应的数据库字段中,如果在这个阶段系统出现故障,则等系统恢复后只需重复第二阶段的操作即可。提交标记为0或1是区分系统在哪个更新阶段出现故障的依据,数据库系统可以根据不同的情况做不同的处理。
14、举例说明数据库统计推理攻击的原理以及常用的对策。
数据库统计推理攻击是一种通过非敏感数据(如一些敏感数据的统计结果)推断或推导敏感数据的方法。例如可以综合利用一些敏感数据的“和”和“计数”的统计结果,揭露某个计数为1的分类的个体敏感数据。推理问题是数据库安全中的一个很微妙的弱点,常用的对策有查询控制和数据项控制,其中数据项控制包括有限响应禁止、组合结果、随即样本和随机数据扰乱几种方法。
15、钓鱼网站攻击原理以及预防方法
钓鱼网站的攻击原理是伪装,通过将黑客控制的网站伪装成另一网站,并发布在互联网上,吸引用户点击链接并输入私密信息,然后进行网络欺诈,严重危害互联网用户的利益,这种诱捕式的攻击类似钓鱼活动,故叫钓鱼网站攻击。常用方式有混淆域名和覆盖受害者主页。
预防方法:
(1)准确记忆常用网址,输入时进入小心校对,以免疏忽大意进入此类网站。(2)不要轻易打开陌生人给的网址,或不熟悉网址,谨防受骗。
(3)安装个人防火墙进行保护,并及时升级病毒库和补丁更新。也可以有安装专门拦截钓鱼网站的安全软件,一旦发现此类网站便将其过滤掉。
16、对称和非对称加密体制下的中间人(MITM)攻击的原理以及实施过程。
中间人攻击就是一个恶意的中间人可以通过截取加密通信的密钥,偷听甚至修改某些通信内容。假如用户A和用户B要通过公钥体制进行加密通信,则中间人攻击的实施过程如下:
(1)截取用户A发往密钥服务器的要求用户B的公钥的请求,代之以其对用户B的公钥请求,传送给服务器。
(2)当服务器用用户B的公钥进行响应的时候,他又将它截取下来,并将他自己的公钥发送给用户A。
(3)用户A用获取的公钥(实际上是中间人的公钥)对数据进行加密,中间人将截取并解密,读取甚至修改其中的内容,而后重新用用户B的公钥进行加密后,发送给用户B。而以上这些情况用户A和用户B都很难有所察觉。
17、常见的拒绝服务(DoS)攻击有哪些?试分析各自的特点以及原理;何为分布式拒绝服务(DDoS)攻击?试分析其特点以及运行机制。
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
(1)连接洪泛是利用ICMP(Internet Control Message Protocol, 网间控制报文协议)的一种网络攻击,而同步洪泛则是利用使用面向会话的TCP协议组的缺陷来实施攻击,它们的本质都是拒绝服务攻击。
(2)以常见的连接洪泛攻击为例,如响应索取、死亡之Ping和Smurf攻击等,说明其原理以及拒绝服务攻击的本质。
(3)同步洪泛攻击则要着重说明三次连接握手的过程,要解释被攻击利用的面向会话TCP协议组的缺陷。
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者利用系统或应用程序的一些漏洞,入侵系统并获取控制权,将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经通过与主控程序类似的入侵方法被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
拒绝服务攻击是通过一定方式干扰或淹没服务器或个人通信系统,使其无法向用户提供正常
服务的攻击方式。
实例:
(1)同步洪泛:基于TCP/IP协议的对等层次间三次握手,建立对话的机制,攻击者发送大量SYN请求,而不以ACK进行响应,以占满受害者的SYN-RECV连接队列,这样当有真正请求发过来时,其请求将会被丢失。
(2)流量重定向:路由器工作在网络层,负责路由寻址,假设有一个路由器向附近路由器报告它到所有目标地址都有最佳路径,那么其他路由器将会把信息发到该路由器上,该路由器会因被淹没而丢失信息,或直接将所有信息一丢了之,这样就造成了拒绝服务。
DNS攻击是通过系统的漏洞控制一个DNS服务器,修改其中的地址转换表表目,使相应的域名不能转换到正确的IP地址,进而不能访问到相应的网页,这样就造成了拒绝服务。
18、何为通信流推理威胁?简述对付通信流推理威胁的常用方法。
所谓通信流推理攻击是指通过分析网络通信流量变化和通信的源地址和目标地址,来推理一些敏感的信息。通常采用维护节点间流量平衡来抵御流量分析,还可以洋葱式路由的通信控制方式来隐匿源节点和目标节点的地址,,19、SSL(Secure Sockets Layer)建立安全通信通道的过程。SSL加密的实施过程如下:(1)客户请求一个SSL会话。
(2)服务器用它的公钥证书响应,以便客户可以确认服务器的真实性(3)客户返回用服务器公钥加密的对称会话密钥,服务器用它的私钥解开。(4)双方用共享的会话密钥进行加密通信。20、签名代码的机制以及实现过程
签名代码是让一个值得信赖的第三方对代码进行签名,言外之意,使代码更值得信赖,通过数字签名来证实软件来源及发布者的真实身份,签名后代码将不能被恶意修改,这也保证了代码完整性,用户下载到软件包时,也可以验证代码的可信度。
实现过程:
(1)可信任的第三方对代码计算哈希值,并用其私钥进行数字签名。
(2)用户下载代码后,用该第三方的公钥对其进行解密并得到该代码原来的哈希值。
(3)重新求代码哈希值并与原来的哈希值对比,若相同,则说明该代码的真实性由第三方保证,并且该代码没有被恶意修改过。
21、何为链路加密和端对端加密?试分析它们各自的特点以及利弊。
22、试简述口令攻击的一般方法,并讨论一个安全的口令选择要注意什么?如何构造一个安全的鉴别系统?
口令攻击有在线口令攻击和离线口令两种。
在线口令攻击是通过截取口令,如果口令是加密的,还要采用暴力攻击、字典攻击或猜测用户可能的口令等方法对口令进行解密。
离线口令攻击则通过分析系统中的口令文件来获得相关的口令。如果口令文件是加密的,则可以采用暴力攻击、字典攻击或猜测用户可能的口令等方法对相关的口令进行解密;如果口令文
件是明文,则系统一般是通过设置访问权限的方法控制对口令文件的访问,攻击者可以通过利用操作系统缺陷来获取对口令文件的访问权限、分析口令可能存放的内存区或利用系统备份来获取相关的口令。
可以通过以下方法来构造一个安全的鉴别系统:(1)帐户封锁。多次登陆错误,就封锁相关的帐户。
(2)鉴别程序响应延时。发生一次登陆错误后,延时显示登陆界面。(3)采用一次性口令。(4)采用质询响应系统。
(5)采用组合健保证安全鉴别。(6)采用生物特征鉴别方式。
23、一次性口令(包括口令列表、口令令牌)、质询响应系统的实施方案(原理、用户鉴别过程)以及特点比较。
在一次性口令系统中,每个口令就只使用一次,每次鉴别采用不同的口令。可以采用口令列表或口令令牌的方式来管理一次性口令。口令列表中存放着可用的口令,每次鉴别使用一个口令,用户和主机使用相同的口令列表,口令列表方式中对于口令列表的维护是个难题;口令令牌方式使用硬件设备来产生不可预测的口令序列,采用的是同步令牌,这种设备能定时地(如每分钟)产生一个随机数,用户读取设备显示的数据,将它作为一个一次性口令输入,接收端主机执行算法产生适合于当前时刻的口令,如与用户输入的口令相符,则用户可通过鉴别。采用口令令牌方式要解决设备间的时间偏差问题,另外两个口令之间的一个时间间隔内,原来这个口令是可以重用的,截取者有可能会利用这一弱点。
质询响应中,质询和响应设备看起来更象一个简单的计算器,用户先到设备上进行鉴别(通常使用PIN),远程系统就会发送一个称为“质询”的随机数,用户将它输入到设备中,然后将该设备的响应数字传递给系统。这种方式消除了用户重用一个时间敏感的口令的弱点,而且没有PIN,响应生成器即使落到其他人手中也是安全的。
24、以请求访问文件服务器中的一个文件F为例,试从用户身份鉴别、访问请求授权、访问请求的实现三方面来阐述Kerberos系统的运行机制以及特点。
在Kerberos系统中,该过程分以下三步实现:(1)启动一个Kerberos会话
在用户登陆时,用户工作站将用户的身份发送给Kerberos服务器,在验证该用户是已授权的合法用户后,Kerberos服务器发送给用户工作站一个会话密钥SG和票据授权服务器(G)的一个票据TG,其中用于与票据授权服务器的通信,使用用户的口令进行加密:E(SG+TG, pw);同时给票据授权服务器一个会话密钥SG的拷贝和用户的身份,用Kerberos服务器与票据授权服务器之间共享的KS-TGS密钥加密。
如果用户可以使用它的口令pw成功解密E(SG+TG, pw),则该用户通过了鉴别,事实上也认证了Kerberos服务器的真实性。用户的口令存放于Kerberos服务器中,没有在网络上传送,保证了系统的基本安全。
(2)获得访问文件的票据
用户U向票据授权服务器发送一个用SG加密的访问文件F的请求,票据授权服务器对U的访问许可进行验证后,它会返回一个票据和一个会话密钥SF,其中SF将用于与文件服务器的通信,返回的票据包含了U的已鉴别身份、F的说明、允许的访问权限、会话密钥SF以及该票据的有效日期等,票据使用一个票据授权服务器与文件服务器之间共享的TGS-F密钥加密,用户以及其他人不能读取、修改或伪造它,其中的时间戳也在一定程度上保证了该票据不能被重用。
已加密的票据和会话密钥SF通过SG加密后返回给用户U,用户解密后即可获得SF,以上这一个过程事实上也认证了票据授权服务器的真实性。
(3)向文件服务器请求访问文件F
用户U向文件服务器发送已用TGS-F密钥加密的服务票据,文件服务器用TGS-F密钥解密后,分析允许的访问权限、票据的时间戳等后,根据要求提供服务,随后的文件传送数据是用会话密钥SF加密的。
文件服务器能用TGS-F解密相应的服务票据,也就认证了其身份的真实性。
25、试从邮件(电子支票)的机密性、完整性、发送者身份的鉴别和加密密钥的交换四个方面阐述安全邮件系统(电子支票系统)的实现方案。
安全邮件系统通常结合了公钥(非对称)加密体制、密钥(对称)加密体制和数字签名技术,来保证邮件系统的安全性和效率。
邮件系统的机密性通过对邮件的加密来实现,考虑加密解密的效率,通常采用密钥(对称)加密体制,发送者用系统随机产生的对称密钥对邮件进行加密后,再用接受者的公钥对该对称蜜钥进行加密,并将其附在加密后的邮件中,这样接受者收到加密的邮件后,可以先用其私钥解密发送者事先用接受者公钥加密的对称加密密钥,取得该对称密钥,就能够解密邮件,取得邮件明文。
在发送者对邮件进行加密以前,可以先取得该邮件的消息摘要,并用其私钥对该消息摘要进行数字签名,并将数字签名后的邮件消息摘要附在加密邮件中,这样接受者可以用发送者的公钥解密加密的消息摘要,并计算邮件当前的消息摘要,如果与原来保存的一致,就证明邮件没有被篡改,同时也确认了发送者的身份。
试卷组成(1)(2)(3)(4)
单选题 判断题 简答题 综合题
30分 22分
28分 20分
点击咨询 