(word完整版)软考高项考试总结精华点背诵,推荐文档

问题软件成熟度模型范围管理尤其是范围确认

软件著作权也是按50年商标10年实用专利技术20年

Tcp/ip对应TCP:FTP HTTP TELNET POP3 SMTP

UDP:DHCP DNS SNMP TFTP

数据拥塞控制在传输层网络层链路层都可以实现

数据可靠性校验只能在链路层

内部质量外部质量说的是6大21小功能靠用小护翼

使用质量说的是有效性安全性满意度

说明开发小组职责定义的是管理文档

而描述开发小组职责的是开发文档

开发文档详细技术描述可行可研需求开发计划小组职责说明

管理文档纯管理上的职责定义进度质量说明

产品文档是说明产品怎么用的围绕产品培训手册用户手册信息广告产品手册

软件成熟度模型中过程和产品质量保证目的是使工作人员和管理者能够客观了解过程和相关工作产品

质量保证确保多有必须的过程要满足项目干系人的期望

基准分析就是和其他类似的项目进行比较

CMMI强调了需求的分析过程改进目标为产品质量进度控制最低的成本（花少钱，省时间，搞进度质量）

CMMI 阶段式（初重定管优）描述的是组织能力，重点是组织能力，连续式描述的是过程管理项目管理工程支持

过程决策图法定计划的时候对目标进行分析，估计到可能出现的问题，并设想权变措施，保持灵活性

帕累托图利用缺陷分布评估行为

抽样统计省钱

6西格码百万次内3,4次误差

6西格码改进步骤DMAIC

定义define

衡量measure

分析analyze

改善improve

控制control

技术规范是客户满意的基础，也是质量管理的依据，需和客户确认

质量体系是为了组织而建立的，质量计划是为了具体的产品项目服务准备的

实验设计是一种统计分析技术

产品各阶段进行评审才能提高质量

任命QC也是质量控制的一过程

质量规划先要明确质量标准才能生成出质量度量标准

质量保证是一个过程不是单一的活动

质量保证是预防性的质量控制是纠正性的

质量计划输入有项目章程

范围确认使项目干系人正式接受已完成项目范围的过程，范围确认需要审查可交付物和工作成果，保证所有工作都被完成，比如说培训，不光是交付物

人力资源管理

人力资源计划内容角色职责组织结构图人员配备管理计划

人员配备管理计划内容人员获取需求时间表人员释放标准培训需求奖励

绩效报告主要是进度和状态报告以及预测

每当项目阶段完成后，项目经理都需要将文档信息给各相关干系人

封闭式的问题用来确认信息的正确性

开放式的问题鼓励干系人详细回答，表达情绪

探询式的问题用来澄清之前谈过的主题与信息

假设性的问题用来解决问题的方式

绩效报告内容：项目进展和调整情况、项目完成情况、项目总投资，资金到位情况、项目资金支持情况、主要收益情况、财务执行情况、团队的绩效、项目执行中存在的问题及改进措施、预测、变更请求

变更还包括最后信息归档记录变更

项目经理在变更中主要是确定变更的影响，其次才是将技术资源转换成所需资源供ccb决策

项目经理为了获得更加明确的采购需求，应该使用供应商意见书

投标人会议不是开标会，是在准备建议书之前与潜在供应商碰头，确认需求

采购中质量保证能力和绩效评估没有关系

需求获取生成用户需求说明书，捕捉用户的需求

需求分析对需求信息进行描述分析建立模型

需求定义生成需求规格说明书进一步定义准确的需求信息

需求验证用户开发方一同对需求文档进行评审，作出承诺

需求管理的流程制定需求管理计划（软硬件资源、需求跟踪矩阵、需请求变更请求表）求得对需求的理解求得对需求的承诺维护需求双向跟踪识别项目工作与需求之间的不一致要约是希望和别人订合同，又称发盘与报价，是当事人所做的、邀请订立合同的意思表示。要约邀请希望他人向自己发送要约寄送价目表拍卖公告商业广告。

承诺是受要约人同意要约的意思表示

只要当事人履行了义务，合同就算没有签订也算是成立了

间接管理需要有管理制度来支撑

项目范围是否文成以项目管理计划范书WBS WBS字典作为衡量标准

大型复杂项目与一般项目管理相比原理方法工具过程都一样

普通计划关注活动计划

大项目关注过程计划

企业战略的特点全局性长远性抗争性纲领性全员抗刚

PEST 政治经济社会文化技术

战略制定包含战略分析战略梳理战略选择战略评估战略匹配

战略执行过程建立组织配资源定政策实施领导创造企业文化

防御性战略组织通过高质量产品防止竞争者出现，从而保持自己的稳定

开拓性战略组织保持创新获得高利最屌

分析性战略组织找到折衷点开创新创新，该防御防御

反应性战略组织外界怎么样就怎么变最差

波特五力分析潜在进入者代替品竞争讨价还价能力供应商讨价还价能力现有竞争者之间的竞争

正在开发的产品和组织的整体战略之间通过产品描述联系在一起

战略管理活动战略制定战略执行战略评估

行业集中度分析时主要关注规模最大的前几位的企业，不是全部大多数企业

公司战略最高层说明企业目标

业务战略是说明企业某项业务的目标也称之为竞争战略

职能战略是针对部门或专项具体工作的战略，解决企业资源利用

业务流程的核心以客户为中心也员工为中心以效率利益为中心

流程管理的核心规范流程优化流程再造流程

信息系统规划的步骤战略规划流程规划数据规划功能规划系统实施阶段

业务流程重组步骤启动变革计划成立团队设计目标流程并实施持续改进重新开始

BPM业务流程管理规范化的业务流程为核心，持续提高组织业务绩效为中心，已持续提高组织业绩为目的的系统化方法（基本上是针对现有流程，针对现有流程重新设计优化之类的）

管理流程分为

管理流程企业整体战略流程

操作流程满足外部顾客的流程

支持流程为操作流程提供满足

Pdca 设计流程执行流程评估流程流程改进

流程设计是流程管理最重要的

流程执行中需要重点关注效率和效果

流程评估关注遵循性评估有效性评估绩效评估

业务流程分析设计方法：

价值链分析法活动的价值是否能给企业带来竞争力

ABC分析法基于活动成本的计算法，通过对作业成本分析消除不赚钱的，改进赚钱的，减少损失、提高决策

业务建模仿真通过计算机软件来对企业业务流程进行分析提出解决方案

基于UML建模法

标杆分析法

业务活动图法

业务流程重组（BPR）（对现有流程全部推翻，彻底取消，重新搞，以达到成本质量服务等关键性能上的提高）

BPR引起的变化企业文化业务流程组织与管理

BPR实施层次：

观念重建改变文化

流程重建是核心对流程进行改变

组织重建管理组织上的变化将传统的面向功能转化为面向流程

价值活动从事与客户有关的物质技术活动

基本活动：后勤生产外包后勤销售服务（直接面向生产的）

辅助活动：基础设施人力资源技术开发采购（保障生产的）

BAM 业务活动图示描述业务流程的工具提供模型表述业务活动提供业务细节

业务流程重组层次观念重建流程重建组织城建

组织适应新环境而改变其行为称之为组织学习

业务流程层次

战略战略调整流程设计用知识管理决策知识系统

计划资源能力计划预算用erp

运作指定执行流程管理mes

生产流程设备和工艺现场控制

知识产权原则国民待遇原则最惠国原则透明度原则独立保护原则自动保护原则优先权原则

发明专利20年实用专利10年外观设计10年，都是从申请日起开始计算

商标10年续注前6月6月宽限10年有延续

知识管理扁平化

现代企业特点依靠信息管理转向知识管理

绩效评估的过程主要是制定绩效评估计划确定绩效评估项组织队伍收集数据定量评价定性评价归纳分析写报告

绩效评估要通过定性定量的分析

绩效审计3E审计经济效率效果

绩效审计中事中审计是一种动态的

管理信息系统遵循原则完整安全可伸缩可用可管理互操作适应易开发经济数据分布易用

对投资结果进行的评价方法静态和动态分析法

静态分析法：投资收益法投资回收期法追加投资回收法最小费用法

动态回收期法也叫贴现法净现值法内部收益法（IRR）投资回收期法

经济可行性评估也称之为成本效益投资回收分析投资回报率和净现值

成本效益分析法适用于适用于成本效益都能准确计量的绩效评价，一定期内之处与效益进行对比分析已评价绩效目标的实现程度

绩效报告技术偏差分析趋势分析挣值分析

项目评估的主要特征

整体性（综合经济技术运行环境风险）

目标性（目标功效）

相关性（时间知识逻辑）

动态性（项目生命周期）

有序性

最优化

项目经理来收集信息并评估

经济计量模型工作步骤设定模型估计参数检验模型应用模型

贴现率需要大概准确的数据进行计算，比较模糊的过程比如开发产品开拓市场之类不好量化的不适用

项目投资回收期一般从建设开始算起

信息安全空间5大属性认证权限完整加密不可否认

保密性不泄露给别人使用最小授权防爆路信息加密物理保密

完整性数据发送不会被改使用协议纠错编码密码校验数字签名公证

可用性通过一些策略和方法使系统可以使用路由选择控制审计跟踪，防ddos都是提高信息系统的可用性

不可抵赖性防止用户否认使用数字签名

信息系统安全技术体系物理安全、运行安全、数据安全

安全机构建立体系

1 配备安全管理人员管理层中应有一人分管信息系统安全

2 建立安全职能部门

3.成立安全领导小组，在基层至少有一位专职安全管理人员负责信息系统安全工作

4.主要负责人出任领导，应由组织机构主要负责人出任信息系统小组负责人

5.建立信息安全保密管理部门

信息系统安全威胁分类

安风险性质按风险结果按风险源

系统安全保密层级系统级安全资源访问安全功能性安全数据域安全

系统级安全连接数限制会花时间限制访问系统限制

资源访问安全能够访问的资源，客户端上只出现相应的界面服务器端对业务服务访问控制功能性安全在操作业务上那些功能可以控制

数据域安全行级数据域用户可以访问那些数据字段级数据域用户可以操作哪些数据记录

安全等级保密等级和可靠性等级

保密等级绝密机密秘密

可靠性等级abc 最高为A级

威胁截获中断篡改伪造截获属于被动攻击中断篡改伪造属于主动攻击

用户入网访问控制步骤用户名识别用户口令识别账户默认限制检查

安全服务对等实体认证数据保密服务数据完整性服务数据源点认证服务禁止否认服务

犯罪证据提供服务

安全技术有加密技术数字签名访问控制数据完整技术忍者数据挖掘

Mis+s 业务系统不变软硬件通用不带密码一般用户

s-mis 软硬件通用业务变带密码一般电子商务

s2-mis 软硬件专用业务变带密码重点金融保密单位

这3个都不涉及应用系统安全

七定定方案定岗定位定员定目标定制度丁工作流程

中国信息安全保护等级自系安结访普商国央军

自主保护普通

系统审计商务

安全防护国家地方机关金融单位

结构化中央单位重点单位

访问验证军队

对称密码使用大量数据传输

对称一对一快idea 128 des 56 3des 112

非对称一对多慢rsa ecc

M代表明文空间C代表密文空间K代表密钥空间 E 加密算法D解密算法

C=E(M) 加密M=D(C)解密M=D(E(M))

加密的为公钥解密为私钥（加公解私假公济私）反着也可以甲用乙的公钥加密数据乙用自己的私钥来解数据

数字签名用甲的私钥进行签名乙用甲的公钥进行解密验证签名是不是正确的

数字时间戳在签名时加一个时间

Hash 算法SDH SHA MD5 数字签名（数字指纹）解决验证签名和用户身份验证、不可抵赖的问题

反正大多数人用的就是公约一个人的就是私钥

密码等级商用企业

普用政府

绝密中央或机要

军用军队

Vpn 在网络上建立一个临时的虚拟的链接有ipsec vpn 和mpls vpn mpls vpn更牛

支持qos pptp ipsec也可实现

Vlan 虚拟局域网划分成一个一个网段控制网络风暴

中国无线标准wapi

无线密码安全强度wep wep2 wpa

网卡和ap关系未授权无连接授权无连接授权链接客户端必须授权链接才能使用无线

局域网应该尽量传播距离短接入设备要有802.1x认证传输使用128位wep加密

访问控制是信息安全核心内容，是实现数据保密性和完整性的重要手段

双证书双密钥

X．509证书标准pki/ca架构内的标准将密钥公钥等I西宁西帮到一个机构上

Pmi主要做授权

PKI是身份验证

数字证书是公开密钥的管理媒介，证明身份和公开密钥的合法性，数字证书中包含主题的公钥

访问控制

DAC 自主访问控制论坛不同人看不同的内容针对人来分

Acl访问控制列表针对资源建个表说明哪些资源谁能看

Mac 强制访问控制军队中制定访问级别可以向下兼容

Rbac 基于角色访问控制系统管理员定义角色通过过角色来取得权限

美国国防部信息安全标准7级

从低到高D C1 C2 C3 B1 2B B3 A1

安全审计是指主体访问和使用情况的记录和审查，识别与防止计算机网络系统内的攻击行为泄密行为采用网络监控和入侵防范，识别网络各种违规操作和攻击行为，及时响应并阻断，对信息内容和业务流程审计，包括事故发生的原因。但是作用不包括可信网络内部信息不外泄

主要有主机类网络类和数据库类

有针对网络通信数据的检测是入侵检测，要不然就是安全审计

数据分析是入侵检测的核心

入侵检测系统可独立使用,没有流量经过也可以使用

入侵检测系统不能使别人不攻击内部用户

安全审计主要内容

1 检车系统入侵震慑警告

2 发现计算机滥用，为破坏行为提供证据

3 为管理员提供使用日志

4 为管理员提供运行日志

安全审计流程1. 记录信息，产生审计数据2. 对数据进行分析找原因3 生成报告4 评估系统安全提出意见

安全审计系统组成审计中心审计控制台审计Agent

审计中心对审计数据进行管理和存储数据库

审计控制台对审计数据进行查阅报警操作程序

审计Agent 同网络链接的部件传感器一样，不同的实现不同功能将数据传给审计中心

审计Agent 类型网络监听型放在网络上监听

系统嵌入型放在各主机上监听

主动信息获取型放在路由器交换机上收集信息

入侵检测监视网络上的数据，主动保护自己免收攻击的网络安全技术，帮助对抗网络上的攻击，扩展安全管理能力，辅助安全审计

入侵检测监视网络上的数据通信，捕获问题，报警，生成日志，不光检测外部，还检测内部未授权活动，数据分析是入侵检测核心

利用密码进入系统属于假冒

数字签名用来防止抵赖加密防止信息窃取完整防止信息被篡改认证防止被假冒

病毒自我复制的代码传染

木马隐藏在正常程序的中的程序破坏

蠕虫自我复制的程序

数字证书证明人的身份或密钥公钥的合法性，要有机构来证明合法性

CA发证书管理证书的机构PKI的核心

PKI 认证中心实施安全服务的基础设施

PKI 包含信任服务体系密钥管理中心（针对密钥的）

X．509 提供标准crl 信息为1 版本号2序列号3签名算法4认证机构5有效期6主题7认证机构数字签名8公钥信息注意没有私钥信息

防火墙区域

内部网络可信区域网络内部的

外部网络外部因特网主机和设备防火墙的额

DMZ（非军事化区）内部网络中用于公众服务的外部服务器web’服务器邮件服务器，针对外面客户的，但是在防火墙内

代理防火墙外部网络和内部网络不直接相连

评估响应防护再评估

安全套接层ssl 传输层的协议，实现对传输过程中的数据加密

Ipsec 网络层的协议

Pptp链路层的协议

Tcp传输层协议保证传输可靠不能加密数据

链路层网络层传输层都能数据加密

SSH 把所有传输数据加密，中间人攻击不能实现防止dns和ip欺骗，能够加快传输速度，代替telnte

信息安全保护等级

一级信息破坏后对人损害不危害其他

二级信息破坏后对人严重损害损害公共利益不损国家

三级信息破坏后对公共利益严重损害对国家损害

四级信息破坏后对公共特别严重损害对国家严重损害

五级信息破坏后对国家特别严重损害

主机监控拓扑结构

外部网络----》路由器----》防火墙----》集线器----》交换机主动agent 嵌入agent 网络agent