第一章 信息化和信息系统重要知识点

1、信息的质星属性（学会区分）：
( 1 ) 精确性： 对事务状态描述的精准程度。
( 2 ) 完整性：对事务状态描述的全面程度， 完整信息应包含所有重要事实
( 3 ) 可靠性：指信 息的 来源、采粲方法、传输过程是可以信任的， 符合 预期。
( 4 ) 及时性：指获 得信 息的时 刻 与 事件发生时刻的间隔长短。
( S) 经济性： 指信 息获取、 传输带 来的成本在可以接受的范围之内。
( 6 ) 可验证性：指信 息的主 要质 星属性 可以被证实或者证伪的程度。
( 7) 安全性： 指在信息的生命周期中， 信息可以被非授权访间的可能性， 可能性越低，安 全性越高。
2、信息是有价值的一种客观存在。信息技术主要为解决信息的采集、加工、存储、传输、处理、 计算、转换、表现等问题而不断繁荣发展。信息只有流动起来，才能体现其价值，因此信息的传输技术（通常指通信、网络等）是信息技术的核心。 信息的传输模型，如图（了解）

3、噪声：噪声可以理解为干扰，干扰可以来自千信息系统分层结构的任何一层，当噪声携带的信息大到一定程度的时候，在信道中传输的信息可以被噪声掩盖导致传输失败。
4、一般情况下，信息系统的主要性能指标是它的有效性和可靠性。 有效性就是在系统中传送尽可能多的信息： 而可靠性是要求信宿收到的信息尽可能地与信绶发出的信息一致，或者说失真尽可能小。（了解）
5、信息化从“ 小” 到“大” 分为以下五个层次 （了解）
( 1) 产品信息化。产品信息化 是信息化的基础。
( 2 ) 企业信息化。企业信息化是指企业在产品的设计了开发、生产、苦理、经营等多个环节中广泛利用信息技术。
( 3 ) 产业信息化。
( 4 ) 国民经济信息化。
( 5 ) 社会生活信息化。
6、信息化的主体是全体社会成员，包括政府、企业、奉业、团体和个人；它的时域是一个长期的过程；它的空域是政治、经济、文化、军事和社会的一切领域；它的手段是基千现代信息技术的先进社会生产工具； 它的途径是创建信息时代的社会生产力，推动社会生产关系及社会上层建筑的改革；它的目标是使国家的综合实力、社会的文明素质和人民的生活质量全面提升。
（了解）
7 、 两网是指政务丙网和政务外网。”一站“，是指政府门户网站。（了解）
8、国家信息化体系6 要素（掌握）要会区分

（1） 信息资源。信息资源的开发和利用是国家信息化的核心任务，是国家信息化建设取得实效 的关键，也是我国信息化的薄弱环节。
（2） 信息网络。信息网络是信息资源开发和利用的基础设施
（3） 信息技术应用。信息技术应用是信息化体系六要素中的龙头，是国家信息化建设的主阵地， 集中体现了国家信息化建设的需求和效益。
（4） 信息技术和产业。信息产业是信息化的物质基础
（5） 信息化人才。人才是信息化的成功之本
（6） 信息化政策法规和标准规范。信息化政策和法规、标准、规范用于规范和协调信息化体系 各要素之间的关系，是国家信息化快速、有序、健康和持续发展的保障。
9、 信息系统的生命周期可以简化为系统规划（可行性分析与项目开发计划）、系统分析（需求 分析）、系统设计（概要设计、详细设计）、系统实施（编码、测试）、运行维护等阶段。为了便于论述针对信息系统的项目管理，信息系统的生命周期还可以简化为立项（系统规划）、开发（系 统分析、系统设计、系统实施）、运维及消亡四个阶段，在开发阶段不仅包括系统分析、系统设 计、系统实施，还包括系统验收等工作。 如果从项目管理的角度来看,项目的生命周期又划分 为启动、计划、执行和收尾4个典型的阶段。
10、常用的开发方法包括结构化方法、面向对象方法、原型化方法、面向服务的方法等。
11、 结构化方法也称为生命周期法；是一种传统的信息系统开发方法，由结构化分析（SA）、 结构化设计（SD）和结构化程序设计（SP）三部分有机组合而成，其精髓是自顶向下、逐步求 精和模块化设计。（了解）
12、总结起来，结构化方法的主要特点列举如下:
（1）开发目标清晰化。（2）开发工作阶段化。（3）开发文档规范化。（4）设计方法结构化。
13、 结构化方法特别适合于数据处理领域的问题，但不适应于规模较大、比较复杂的系统开发， 这是因为结构化方法具有以下不足和局限性：（1）开发周期长。（2）难以适应需求变化。（3） 很少考虑数据结构。
14、面向对象（00）方法认为，客观世界是由各种对象组成的，任何事物都是对象。与结构化方法类似，00方法也划分阶段，但其中的系统分析、系统设计和系统实现三个阶段之间己经没 有“缝隙”。也就是说，这三个阶段的界限变得不明确。（了解）
15、当前，一些大型信息系统的开发，通常是将结构化方法和00方法结合起来。首先,使用结 构化方法进行自顶向下的整体划分；然后，自底向上地采用00方法进行开发。（了解）
16、 原型化方法也称为快速原型法，或者简称为原型法。它是一种根据用户初步需求，利用系 统开发工具，快速地建立一个系统模型展示给用户，在此基础上与用户交流，最终实现用户需 求的信息系统快速开发的方法。（掌握）
17、 从原型是否实现功能来分，可分为水平原型和垂直原型两种。 水平原型也称为行为原型， 用来探索预期系统的一些特定行为，并达到细化需求的目的。水平原型通常只是功能的导航， 但并未真实实现功能。水平原型主要用在界面上；垂直原型也称为结构化原型，实现了一部分 功能。垂直原型主要用在复杂的算法实现上。（了解）
18、 从原型的最终结果来分，可分为抛弃式原型和演化式原型。 抛弃式原型也称为探索式原型， 是指达到预期目的后，原型本身被抛弃。演化式原型为开发增量式产品提供基础，逐步将原型 演化成最终系统。主要用在必须易于升级和优化的场合，特别适用于Web项目。（了解）
19、 原型法的特点主要体现在以下几个方面。
（1） 原型法可以使系统开发的周期缩短、成本和风险降低、速度加快，获得较高的综合开发效 益。
（2） 原型法是以用户为中心来开发系统的；用户参与的程度大大提高，开发的系统符合用户的 需求，因而增加了用户的满意度，提高了系统开发的成功率。
（3） 由于用户参与了系统开发的全过程，对系统的功能和结构容易理解和接受，有利于系统的 移交，有利于系统的运行与维护。
20、 原型法也不是万能的，它也有不足之处，主要体现在以下两个方面。
（1）开发的环境要求高（2）管理水平要求高
由以上的分析可以看出，原型法的优点主要在于能更有效地确认用户需求。从直观上来看，原 型法适用于那些需求不明确的系统开发。事实上，对于分析层面难度大、技术层面难度不大的 系统，适合于原型法开发；而对于技术层面的困难远大于其分析层面的系统，则不宜用原型法。
21、 对于跨构件的功能调用，则采用接口的形式暴露出来。进一步将接口的定义与实现进行解 耦，则催生了服务和面向服务（SO）的开发方法。如何使信息系统快速响应需求与环境变化, 提高系统可复用性、信息资源共享和系统之间的互操作性，成为影响信息化建设效率的关键问 题，而SO的思维方式恰好满足了这种需求。
22、 0SI协议：0SI采用了分层的结构化技术，从下到上共分七层：要会区分
（1） 物理层：该层包括物理连网媒介，如电缆连线连接器。该层的协议产生并检测电压以便发 送和接收携带数据的信号。具体标准有RS232、V.35、RJ-45、FDDI。
（2） 数据链路层：它控制网络层与物理层之间的通信。它的主要功能是将从网络层接收到的数 据分割成特定的可被物理层传输的帧。常见的协议有IEEE8023/.2、HDLC、PPP、ATM。
（3） 网络层：其主要功能是将网络地址（例如，IP地址）翻译成对应的物理地址（例如，网卡 地址并决定如何将数据从发送方路由到接收方。在TCP/IP协议中，网络层具体协议有IP、ICMP、IGMP、IPX、ARP等。
（4） 传输层：主要负责确保数据可靠、顺序、无错地从A点传输到B点。如提供建立、维护 和拆除传送连接的功能；选择网络层提供最合适的服务；在系统之间提供可靠的透明的数据传 送，提供端到端的错误恢复和流量控制。在TCP/IP协议中，具体协议有TCP、UDP、SPX。
（5） 会话层：负责在网络中的两节点之间建立和维持通信，以及提供交互会话的管理功能，如 三种数据流方向的控制，即一路交互、两路交替和两路同时会话模式。常见的协议有RPC、SQL、 NFS。
（6） 表示层：如同应用程序和网络之间的翻译官，在表示层，数据将按照网络能理解的方案进 行格式化；这种格式化也因所使用网络的类型不同而不同。表示层管理数据的解密加密、数据 转换、格式化和文本压缩。常见的协议有JPEG、ASCII. GIF、DES、MPEG。
（7） 应用层：负责对软件提供接口以使程序能使用网络服务，如事务处理程序、文件传送协议 和网络管理等。在TCP/IP协议中，常见的协议有HTTP、Telnet、FTP、SMTP。
23、802.11 （无线局域网WLAN标准协议）
24、 TCP/IP协议是Internet的核心。
1） 应用层协议，这些协议主要有FTP、TFTP、HTTP、SMTR DHCP、Telnet、DNS和SNMP等。
（］）FTP （文件传输协议）,运行在TCP之上。FTP在客户机和服务器之间需建立两条TCP连接， 一条用于传送控制信息（使用21号端口），另一条用于传送文件内容（使用20号端口）。
（2） TFTP （简单文件传输协议），建立在UDP之上，提供不可靠的数据流传输服务。18年5 月第19考题
（3） HTTP （超文本传输协议）是用于从WWW服务器传输超文本到本地浏览器的传送协议。 建立在TCP之上。
（4） SMTP （简单邮件传输协议）建立在TCP之上，是一种提供可靠且有效的电子邮件传输的 协议。
（5） DHCP （动态主机配置协议）建立在UDP之上，实现自动分配IP地址的。
（6） Telnet （远程登录协议）是登录和仿真程序，建立在TCP之上，它的基本功能是允许用户 登录进入远程计算机系统。
（7） DNS （域名系统），是实现域名解析的，建立在UDP之上。
（8） SNMP （简单网络管理协议）建立在UDP之上。
UDP：DNS TFTP DHCP SNMP
2） 传输层协议，传输层主要有两个传输协议，分别是TCP和UDP,这些协议负责提供流量控 制、错误校验和排序服务。
（1）TCP是面向连接的，一般用于传输数据量比较少，且对可靠性要求高的场合。
（2）、UDP是一种不可靠的、无连接的协议。一般用于传输数据量大，对可靠性要求不是很高， 但要求速度快的场合。
3） 网络层协议，网络层中的协议主要有IP、ICMP （网际控制报文协议）、IGMP （网际组管理协 议）、ARP （地址解析协议）和RARP （反向地址解析协议）等
（1） IP所提供的服务通常被认为是无连接的和不可靠的
（2） ARP用于动态地完成IP地址向物理地址的转换。物理地址通常是指计算机的网卡地址， 也称为MAC地址，每块网卡都有唯一的地址；RARP用于动态完成物理地址向IP地址的转换。
（3） ICMP是一个专门用于发送差错报文的协议，由于IP协议是一种尽力传送的通信协议，即 传送的数据可能丢失、重复、延迟或乱序传递，所以需要一种尽量避免差错并能在发生差错时 报告的机制，这就是ICMP的功能。
（4） IGMP允许Internet中的计算机参加多播，是计算机用做向相邻多目路由器报告多目组成员 的协议。
25、 按照交换层次的不同，网络交换可以分为物理层交换（如电话网）、链路层交换（二层交换， 对MAC地址进行变更）、网络层交换（三层交换，对IP地址进行变更）、传输层交换（四层交 换，对端口进行变更，比较少见）和应用层交换。（了解）
26、 网络互连设备有中继器（实现物理层协议转换，在电缆间转换二进制信号）、网桥（实现物 理层和数据链路层协议转换）、路由器（实现网络层和以下各层协议转换）、网关（提供从最底 层到传输层或以上各层的协议转换）和交换机等。主要是学交换机和路由器就好。
27、 目前，主流的网络存储技术主要有三种，分别是直接附加存储（DAS）、网络附加存储（NAS） 和存储区域网络（SAN）,真正可以即插即用的是NAS。
28、 NAS技术支持多种TCP/IP网络协议，主要是NFS （网络文件系统）和CIFS （通用Internet 文件系统）来进行文件访问（了解）
29、 SAN是通过专用交换机将磁盘阵列与服务器连接起来的高速专用子网。根据数据传输过程 采用的协议，其技术划分为FCSAN、IPSAN和IBSAN技术。（了解）
（1） FCSAN：光纤通道的主要特性有：热插拔性、高速带宽、远程连接、连接设备数量大等。
（2） IPSAN： IPSAN是基于IP网络实现数据块级别存储方式的存储网络。既具备了 IP网络配置 和管理简单的优势，又提供了 SAN架构所拥有的强大功能和扩展性。
（3） IBSAN：这种结构设计得非常紧密，大大提高了系统的性能、可靠性和有效性，能缓解各 硬件设备之间的数据流量拥塞。
30、 目前，接入Internet的主要方式可分两个大的类别，即有线接入与无线接入。无线接入方 式包括GPRS、3G和4G接入等。（了解）
31、 无线网络是指以无线电波作为信息传输媒介。目前最常用的无线网络接入技术主要有WiFi 和移动互联接入（4G）。
32、 在分层设计中，引入了三个关键层的概念，分别是核心层、汇聚层和接入层。
33、 网络中直接面向用户连接或访问网络的部分称为接入层，将位于接入层和核心层之间的分 称为分布层或汇聚层。接入层的目的是允许终端用户连接到网络，因此，接入层交换机（或路 由器）具有低成本和高端口密度特性。
34、 汇聚层是核心层和接入层的分界面，完成网络访问策略控制、数据包处理、过滤、寻址， 以及其他数据处理的任务。
35、 网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，提供优化、可靠的 骨干传输结构，因此，核心层交换机应拥有更高的可靠性，性能和吞吐量。
36、 信息安全的基本要素如下。
（1） 机密性：确保信息不暴露给未授权的实体或进程。
（2） 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否己被篡改。
（3） 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权。
(4)可控性：可以控制授权范围内的信息流向及行为方式。
(5)可审查性：对出现的网络安全问题提供调查的依据和手段。
37、目前，常见的数据库管理系统主要有Oracle、MySQL、SQLServer, MongoDB等，这些数据 库中，前三种均为关系型数据库，而MongoDB是非关系型的数据库。数据仓库是一个面向主 题的、集成的、非易失的、且随时间变化的数据集合，用于支持管理决策。

(1)数据源：是数据仓库系统的基础，是整个系统的数据源泉。
(2)数据的存储与管理：是整个数据仓库系统的核心。
(3)OSP服务器：对分析需要的数据进行有效集成，按多维模型予以组织，以便进行多角度、 多层次的分析，并发现趋势。
(4)前端工具：主要包括各种查询工具、报表工具、分析工具、数据挖掘工具以及各种基于数 据仓库或数据集市的应用开发工具。其中数据分析工具主要针对OEP服务器，报表工具、数 据挖掘工具主要针对数据仓库。
38、 目前还没有对中间件形成一个统一的定义，下面是两种现在普遍比较认可的定义：
(1)在一个分布式系统环境中处于操作系统和应用程序之间的软件。
(2)中间件是一种独立的系统软件或服务程序，分布式应用软件借助这种软件在不同的技术之 间共享资源，中间件位于客户机服务器的操作系统之上,管理计算资源和网络通信。
39、 中间件分类有很多方式和很多种类型。在这里我们由底向上从中间件的层次上来划分，可 分为底层型中间件、通用型中间件和集成型中间件三个大的层次。(了解)
(1)底层型中间件的主流技术有JVMfJava虚拟机)、CLR (公共语言运行库)、ACE (自适配通信 环境)、JDBC (Java数据库连接)和ODBC (开放数据库互连)等，代表产品主要有SUN JVM和 Microsoft CLR 等。
(2)通用型中间件的主流技术有CORBA (公共对象请求代理体系结构)、」2EE、MOM (面向消息 的中间件)和COM等,代表产品主要有lONAOrbk、BEAWebLogic和IBM MQSeries等。
(3)集成型中间件的主流技术有Work Flow和EAI (企业应用集成)等，代表产品主要有BEA IBM WebSphere 等。
40、 为了完成不同层次的集成，可以采用不同的技术、产品:(掌握)
(1)为了完成系统底层传输层的集成，可以采用CORBA技术。
(2)为了完成不同系统的信息传递，可以采用消息中间件产品。
(3)为了完成不同硬件和操作系统的集成；可以采用J2EE中间件产品。
41、 可用性是系统能够正常运行的时间比例。经常用两次故障之间的时间长度或在出现故障时 系统能够恢复正常的速度来表示。(掌握)
42、 可靠性是软件系统在应用或系统错误面前，在意外或错误使用的情况下维持软件系统的功 能特性的基本能力。(掌握)注意和可用性的区别
43、 计算机系统的可用性用平均无故障时间(MTTF)来度量，即计算机系统平均能够正常运行多 长时间，才发生一次故障。系统的可用性越高，平均无故障时间越长。可维护性用平均维修时 间(MTTR)来度量，即系统发生故障后维修和重新恢复正常运行平均花费的时间。系统的可维 护性越好，平均维修时间越短。计算机系统的可用性定义为：MTTF/ (MTTF+MTTR) *100%。由 此可见，计算机系统的可用性定义为系统保持正常运行时间的百分比。所以，想要提高一个系 统的可用性，要么提升系统的单四正常工作的时长,要么减少故障修复时间。常见的可用性战 术如下：(了解)
(1)错误检测：宙于错误检测的战呆包括命令/响应、心跳和异常。
(2)错误恢复：用于错误恢复的战术包括表决、主动冗余、被动冗余。
(3)错误预防：用于错误预防的战术包括把可能出错的组件从服务中删除、引入进程监视器。
44、 需求是多层次的，包括业务需求、用户需求和系统需求。 注意区分
(1)业务需求。是指反映企业或客户对系统高层次的目标要求，通常来自项目投资人、购买产 品的客户、客户单位的管理人员、市场营销部门或产品策划部门等。
(2)用户需求。用户需求描述的是用户的具体目标，或用户要求系统必须能完成的任务。也就 是说，用户需求描述了用户能使用系统来做些什么。通常采取用户访谈和问卷调查等方式，对 用户使用的场景(scenarios)进行整理，从而建立用户需求。19年5月第10考题
(3)系统需求。系统需求是从系统的角度来说明软件的需求，包括功能需求、非功能需求和设 计约束等。
45、 质量功能部署(QFD)是一种将用户要求转化成软件需求的技术，其目的是最大限度地提 升软件工程过程中用户的满意度。QFD将软件需求分为三类，分别是常规需求、期望需求和意 外需求。 注意区分
(1)常规需求。用户认为系统应该做到的功能或性能，实现越多用户会越满意。
(2)期望需求。用户想当然认为系统应具备的功能或性能，但并不能正确描述自己想要得到的 这些功能或性能需求。如果期望需求没有得到实现，会让用户感到不满意。
(3)意外需求。意外需求也称为兴奋需求，是用户要求范围外的功能或性能(但通常是软件开 发人员很乐意赋予系统的技术特性实现这些需求用户会更高兴，但不实现也不影响其购买的决 策。意外需求是控制在开发人员手中的，开发人员可以选择实现更多的意外需求，以便得到高 满意、高忠诚度的用户，也可以(出于成本或项目周期的考虑)选择不实现任何意外需求。
46、 一个好的需求应该具有无二义性、完整性、一致性、可测试性、确定性、可跟踪性、正确性等特性,因此，需要分析人员把杂乱无章的用户要求和期望转化为用户需求，这就 是需求分析的工作。（了解）
使用SA方法进行需求分析，其建立的模型的核心是数据字典。在实际工作中，一般使用实体联 系图（E-R图）表示数据模型，用数据流图（DFD）表示功能模型，用状态转换图（STD）表示 行为模型。E-R图主要描述实体、属性，以及实体之间的关系；DFD从数据传递和加工的角度， 利用图形符号通过逐层细分描述系统内各个部件的功能和数据在它们之间传递的情况，来说明 系统所完成的功能；STD通过描述系统的状态和引起系统状态转换的事件，来表示系统的行为， 指出作为特定事件的结果将执行哪些动作（例如，处理数据等）
47、 软件需求规格说明书（SRS）是需求开发活动的产物，其中规定SRS应该包括以下内容掌握）
（1）范围（2）引用文件（3）需求（4）合格性规定（5）需求可追踪性（6）尚未解决的问题
（7）注解（8）附录 注意哪些不包含，在标准里的内容里讲了。
48、 需求验证也称为需求确认，其活动是为了确定以下几个方面的内容。（了解）
（1） SRS正确地描述了预期的、满足项目干系人需求的系统行为和特征。
（2） SRS中的软件需求是从系统需求、业务规格和其他来源中正确推导而来的。
（3） 需求是完整的和高质量的。
（4） 需求的表示在所有地方都是一致的。
（5） 需求为继续进行系统设计、实现和测试提供了足够的基础。
在实际工作中，一般通过需求评审和需求测试工作来对需求进行验证。需求评审就是对SRS进 行技术评审。
49、 UML用关系把事物结合在一起，主要有下列四种关系：注意区分
（1） 依赖:依赖是两个事物之间的语义关系，其中一个事物发生变化会影响另一个事物的语义。
（2） 关联:关联描述一组对象之间连接的结构关系。
（3） 泛化:泛化是一般化和特殊化的关系，描述特殊元素的对象可替换一般元素的对象。
（4） 实现:实现是类之间的语义关系，其中的一个类指定了由另一个类保证执行的契翅
50、 UML 2.0包括14种图，分别列举如下：注意区分
（1） 类图：类图描述一组类、接口、协作和它们之间的关系。类图给出了系统的静态设计视图， 活动类的类图给出了系统的静态进程视图。
（2） 对象图:对象图描述一组对象及它们之间的关系。
（3） 构件图：构件图描述一个封装的类和它的接口、端口，以及由内嵌的构件和连接件构成的 内部结构。
（4） 组合结构图：组合结构图描述结构化类（例如，构件或类）的内部结构，包括结构化类与 系统其余部分的交互点。
（5） 用例图:用例图描述一组用例、参与者及它们之间的关系。
（6） 顺序图（也称序列图）：顺序图是一种交互图，交互图展现了一种交互，它由一组对象或参与 者以及它们之间可能发送的消息构成。交互图专注于系统的动态视图。顺序图是强调消息的时 间次序的交互图。
(7)通信图：通信图也是一种交互图，它强调收发消息的对象或参与者的结构组织。顺序图强 调的是时序，通信图强调的是对象之间的组织结构(关系)。
(8)定时图(也称计时图)：定时图也是一种交互图，它强调消息跨越不同对象或参与者的实 际时间，而不仅仅只是关心消息的相对顺序。17年11月第26考题
(9)状态图：状态图描述一个状态机，它由状态、转移、事件和活动组成。状态图给出了对象 的动态视图。18年11月第27考题
(10)活动图：活动图将进程或其他计算结构展示为计算内部一步步的控制流和数据流。活动 图专注于系统的动态视图。它强调对象间的控制流程。
(11)部署图：部署图描述对运行时的处理节点及在其中生存的构件的配置。部署图给出了架 构的静态部署视图，通常一个节点包含一个或多个部署图。
(12)制品图：：制品图描述计算机中一个系统的物理结构。制品包括文件、数据库和类似的物 理比特集合。制品图通常与部署图一起使用。制品也给出了它们实现的类和构件。
(13)包图:包图描述由模型本身分解而成的组织单元，以及它们之间的依赖关系。
(14)交互概览图：交互概览图是活动图和顺序图的混合物。
51、 UML视图：5个系统视图：(了解)
(1)逻辑视图：逻辑视图也称为设计视图，它表示了设计模型中在架构方面具有重要意义的部 分，即类、子系统、包和用例实现的子集。
(2)进程视图：进程视图是可执行线程和进程作为活动类的建模，它是逻辑视图的一次执行实 例，描述了并发与同步结构。
(3)实现视图：实现视图对组成基于系统的物理代码的文件和构件进行建模。
(4)部署视图：部署视图把构件部署到一组物理节点上，表示软件到硬件的映射和分布结构。
(5)用例视图：用例视图是最基本的需求分析模型。
52、 00A模型独立于具体实现，即不考虑与系统具体实现有关的因素，这也是00A和00D的区 别之所在。00A的任务是“做什么00D的任务是“怎么做”。面向对象分析阶段的核心工作是建 立系统的用例模型与分析模型。
53、 类之间的主要关系有关联、依赖、泛化、聚合、组合和实现等 注意区分
(1)共享聚集。共享聚集关系通常简称为聚合关系，它表示类之间的整体与部分的关系，其含 义是“部分”可能同时属于多个“整体”，“部分”与“整体”的生命周期可以不相同。
(2)组合聚集。组合聚集关系通常简称为组合关系，它也是表示类之间的整体与部分的关系。 与聚合关系的区别在于，组合关系中的“部分”只能属于一个“整体”，“部分”与“整体”的 生命周期相同,“部分”随着“整体的创建而创建，也随着“整体”的消亡而消亡。
54、 软件架构风格
(1)数据流风格：数据流风格包括批处理序列和管道/过滤器两种风格。
(2)调用/返回风格：调用/返回风格包括主程序/子程序、数据抽象和面向对象，以及层次结构。
(3)独立构件风格：独立构件风格包括进程通信和事件驱动的系统。
(4)虚拟机风格：虚拟机风格包括解释器和基于规则的系统。
(5)仓库风格：仓库风格包括数据库系统、黑板系统和超文本系统。
解决好软件的复用、质量和维护问题，是研究软件架构的根本目的。软件架构设计的一个核心 问题是能否达到架构级的软件复用。在这一活动中，评估人员关注的是系统的质量属性。17年 11月第7考题
55、 敏感点是一个或多个构件（和/或构件之间的关系）的特性，权衡点是影响多个质量属性的 特性，是多个质量属性的敏感点。（了解）
56、 从目前已有的软件架构评估技术来看，可以归纳为三类主要的评估方式，分别是基于调查 问卷（或检查表）的方式、基于场景的方式和基于度量的方式。这三种评估方式中，基于场景 的评估方式最为常用。（了解）
57、 基于场景的方式主要包括：架构权衡分析法（A77\M）、软件架构分析法（SAAM）和成本效 益分析法（CBAM）中。在架构评估中，一般采用刺激、环境和响应三方面来对场景进行描述。 刺激是场景中解释或描述项目干系人怎样引发与系统的交互部分，环境描述的是刺激发生时的 情况，响应是指系统是如何通过架构对刺激作出反应的。（了解）
58、 基于场景的方式分析软件架构对场景的支持程度，从而判断该架构对这一场景所代表的质 量需求的满足程度。这一评估方式考虑到了所有与系统相关的人员对质量的要求，涉及的基本 活动包括确定应用领域的功能和软件架构之间的映射，设计用于体现待评估质量属性的场景， 以及分析软件架构对场景的支持程度。（了解）
59、 结构化设计SD是一种面向数据流的方法，它以SRS和SA阶段所产生的DFD和数据字典等 文档为基础，是一个自顶向下、逐步求精和模块化的过程。SD分为概要设计和详细设计两个阶 段（了解）
60、 在SD中，需要遵循的原则：高内聚，低耦合，模块间低耦合，模块内高内聚
61、 面向对象设计00D其基本思想包括抽象、封装和可扩展性，其中可扩展性主要通过继承和 多态来实现。三大特征是封装、继承和多态。
62、 设计模式是前人经验的总结，它使人们可以方便地复用成功的软件设计。根据处理范围不 同，设计模式可分为类模式和对象模式。根据目的和用途不同，设计模式可分为创建型模式、 结构型模式和行为型模式三种。创建型模式主要用于创建对象；结构型模式主要用于处理类或 对象的组合；行为型模式主要用于描述类或对象的交互以及职责的分配。
63、 阶段式模型（了解）

64、连续式模型（了解）

65、 软件测试方法可分为静态测试和动态测试。静态测试是指被测试程序不在机器上运行，而 采用人工检测和计算机辅助静态分析的手段对程序进行检测。 静态测试包括对文档的静态测试 和对代码的静态测试。对文档的静态测试主要以检查单的形式进行，而对代码的静态测试一般 采用桌前检查、代码走查和代码审查。
66、 动态测试是指在计算机上实际运行程序进行软件测试,—般采用白盒测试和黑盒测试方法。 白盒测试也称为结构测试，主要用于软件单元测试中。它的主要思想是，将程序看作是一个透 明的白盒，测试人员完全清楚程序的结构和处理算法，按照程序内部逻辑结构设计测试用例。 白盒测试方法主要有控制流测试、数据流测试和程序变异测试等。另外，使用静态测试的方法 也可以实现白盒测试。例如，使用人工检查代码的方法来检查代码的逻辑问题，也属于白盒测 试的范畴。白盒测试方法中，最常用的技术是逻辑覆盖，即使用测试数据运行被测程序，考察 对程序逻辑的覆盖程度。主要的覆盖标准有语句覆盖、判定覆盖、条件覆盖、条件/判定覆盖、 条件组合覆盖、修正的条件/判定覆盖和路径覆盖等。
67、 黑盒测试也称为功能测试，主要用于集成测试、确认测试和系统测试中。黑盒测试将程序 看作是一个不透明的黑盒，完全不考虑（或不了解）程序的内部结构和处理算法。一般包括等 价类划分、边界值分析、判定表、因果图、状态图、随机测试、猜错法和正交试验法等。
68、 软件测试可分为单元测试、集成测试、确认测试、系统测试、配置项测试和回归测试等类 别。
（1） 单元测试。单元测试也称为模块测试。
（2） 集成测试。集成测试的目的是检查模块之间，以及模块和已集成的软件之间的接口关系。
（3） 确认测试。确认测试主要用于验证软件的功能、性能和其他特性是否与用户需求一致。根 据用户的参与程度，通常包括以下类型
内部确认测试。内部确认测试主要由软件开发组织内部按照SRS进行测试。
Alpha测试和Beta测试。对于通用产品型的软件开发而言，Alpha测试是指由用户在开发环境下 进行测试，通过Alpha测试以后的产品通常称为Alpha版；Beta测试是指由用户在实际使用环 境下进行测试，通过Beta测试的产品通常称为Beta版。一般在通过Beta测试后，才能把产品发 布或交付给用户。
验收测试。验收测试是指针对SRS,在交付前以用户为主进行的测试。其测试对象为完整的、 集成的计算机系统。
(4)系统测试。系统测试的对象是完整的、集成的计算机系统，系统测试的目的是在真实系统 工作环境下，验证完整的软件配置项能否和系统正确连接，并满足系统/子系统设计文档和软件 开发合同规定的要求。
(5)配置项测试。配置项测试的对象是软件配置项，配置项测试的目的是检验软件配置项与 SRS的一致性。
(6)回归测试。回归测试的目的是测试软件变更之后，变更部分的正确性和对变更需求的符合 性，以及软件原有的、正确的功能、性能和其他规定的要求的不损害性。
69、 与传统的结构化系统相比，00系统具有三个明显特征，即封装性、.继承性与多态性。正是 由于这三个特征，给00系统的测试带来了一系列的困难。(了解)
70、 常用的软件调试策略可以分为蛮力法、回溯法和原因排除法三类。软件调试与测试的区别 主要体现在以下几个方面。(了解)
(1)测试的目的是找出存在的错误，而调试的目的是定位错误并修改程序以修正错误。
(2)调试是测试之后的活动，测试和调试在目标、方法和思路上都有所不同。
(3)测试从一个已知的条件开始，使用预先定义的过程，有预知的结果；调试从一个未知的条 件开始，结束的过程不可预计。
(4)测试过程可以事先设计，进度可以事先确定；调试不能描述过程或持续时间。
71、 软件测试的管理包括过程管理、配置管理和评审工作。(了解)
(1)过程管理。过程管理包括测试活动管理和测试资源管理。软件测试应由相对独立的人员进 行。软件测试人员应包括测试项目负责人、测试分析员、测试设计员、测试程序员、测试员、 测试系统管理员和配置管理员等。
(2)配置管理。应按照软件配置管理的要求，将测试过程中产生的各种工作产品纳入配置管理。 由开发组织实施的软件测试，应将测试工作产品纳入软件项目的配置管理;由独立测试组织实施 的软件测试，应建立配置管理库，将被测试对象和测试工作产品纳入配置管理。
(3)评审。测试过程中的评审包括测试就绪评审和测试评审。测试就绪评审是指在测试执行前 对测试计划和测试说明等进行评审，评审测试计划的合理性和测试用例的正确性、完整性和覆 盖充分性，以及测试组织、测试环境和设备、工具是否齐全并符合技术要求等；测试评审是指 在测试完成后，评审测试过程和测试结果的有效性，确定是否达到测试目的，主要对测试记录 和测试报告进行评审。
72、 企业应用集成EAI包括表示集成、数据集成、控制集成和业务流程集成等多个层次和方面。 当然，也可以在多个企业之间进行应用集成。(了解)
表示集成也称为界面集成，是黑盒集成，芝须了解程序与数据库的内部构造。常用的集成 技术主要有屏幕截取和输入模拟技术。
(2)数据集成是白盒集成
(3)控制集成也称为功能集成或应用集成，是在业务逻辑层上对应用系统进行集成的。集成处 可能只需简单使用公开的API (应用程序编程接口)就可以访问，当然也可能需要添加附加的 代码来实现。控制集成是黑盒集成。控制集成与表示集成、数据集成相比，灵活性更高。表示 集成和数据集成适用的环境下:都适月于控制集成。但是，由于控制集成是在业务逻辑层进行 的，其复杂度更高一些。
（4）业务流程集成：也称为过程集成，这种集成超越了数据和系统，它由一系列基于标准的、 统一数据格式的工作流组成。当进行业务流程集成时，企业必须对各种业务信息的交换进行定 义、授权和管理，以便改进操作、减少成本、提高响应速度。
（5） 企业之间的应用集成：EAI技术可以适用于大多数要实施电子商务的企业，以及企业之间 的应用集成。EAI使得应用集成架构里的客户和业务伙伴都可以通过集成供应链内的所有应用 和数据库实现信息共享。能够使企业充分利用外部资源。
73、 物联网是指通过信息传感设备，按约定的协议，将任何物品与互联网相连接，进行信息交 换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网主要解决物品与 物品、人与物品、人与人之间的互连。在物联网应用中有两项关键技术，分别是传感器技术和 嵌入式技术。
74、 RFID （射频识别）是物联网中使用的一种传感器技术，可通过无线电信号识别特定目标并 读写相关数据，而无需识别系统与特定目标之间建立机械或光学接触。（掌握）19年5月第1 考题
75、 嵌入式技术是综合了计算机软硬件、传感器技术、集成电路技术、电子应用技术为一体的 复杂技术。（了解）
76、 物联网架构可分为三层，分别是感知层、网络层和应用层。感知层由各种传感器构成，包 括温湿度传感器、二维码标签、RFID标签和读写器、摄像头、GPS等感知终端。感知层是物联 网识别物体、采集信息的来源；网络层由各种网络，包括互联网、广电网、网络管理系统和云 计算平台等组成，是整个物联网的中枢，负责传递和处理感知层获取的信息；应用层是物联网 和用户的接口，它与行业需求结合，实现物联网的智能应用。
77、 物联网在城市管理中综合应用就是所谓的智慧城市。智慧城市建设主要包括以下几部分： ①通过传感器或信息采集设备全方位地获取城市系统数据。②通过网络将城市数据关联、融合、 处理、分析为信息。③通过充分共享、智能挖掘将信息变成知识。④结合信息技术，把知识应用 到各行各业形成智慧。
78、功能层
（1） 物联感知层：提供对城市环境的智能感知能力，通过各种信息采集设备、各类传感器、监 控摄像机、GPS终端等实现对城市范围内的基础设施、大气环境、交通、公共安全等方面信息 采集、识别和监测。
（2） 通信网络层：广泛互联，以互联网、电信网、广播电视网以及传输介质为光纤的城市专用 网作为骨干传输网络，以覆盖全城的无线网络（如WiFi）、移动4G为主要接入网》组成网络通 信基础设施。
（3） 计算与存储层：包括软件资源、计算资源和存储资源，为智慧城市提供数据存储和计算， 保障上层对于数据汇聚的相关需求。
（4） 数据及服务支撑层：利用SOA （面向服务的体系架构）、云计算、大数据等技术，通过数 据和服务的融合，支撑承载智慧应用层中的相关应用，提供应用所需的各种服务和共享资源。
（5） 智慧应用层：各种基于行业或领域的智慧应用及应用整合，如智慧交通、智慧家政、智慧 园区、智慧社区、智慧政务、智慧旅游、智慧环保等，为社会公众、企业、城市管理者等提供 整体的信息化应用和服务。
79、 支撑体系（了解）
（1） 安全保障体系：为智慧城市建设构建统一的安全平台，实现统一入口、统一认证、统一授 权、日志记录服务。
（2） 建设和运营管理体系：为智慧城市建设提供整体的运维管理机制，确保智慧城市整体建设 管理和可持续运行。
（3） 标准规范体系：标准规范体系用于指导和支撑我国各地城市信息化用户、各行业智慧应用 信息系统的总体规划和工程建设，同时规范和引导我国智慧城市相关IT产业的发展，为智慧城 市建设、管理和运行维护提供统一规范，便于互联、共享、互操作和扩展。
80、 云计算是一种基于互联网的计算方式，云计算是推动信息技术能力实现按需供给、促进信 息技术和数据资源充分利用的全新业态。
81、 云计算的主要特点包括：①宽带网络连接，用户需要通过宽带网络接入“云”中并获得有 关的服务，“云”内节点之间也通过内部的高速网络相连。②快速、按需、弹性的服务，用户可 以按照实际需求迅速获取或释放资源，并可以根据需求对资源进行动态扩展。
82、 按照云计算服务提供的资源层次二可以分为laaS、PaaS和SaaS三种服务类型。注 意区分
（1） laaS （基础设施即服务），向用户提供计算机能力、存储空间等基础设施方面的服务。这种 服务模式需要较大的基础设施投入和长期运营管理经验。
（2） PaaS （平台即服务），向用户提供虚拟的操作系统、数据库管理系统、Web应用等平台化 的服务。PaaS服务的重点不在于直接的经济效益，而更注重构建和形成紧密的产业生态。
（3） SaaS （软件即服务）向用户提供应用软件（如CRM、办公软件等）、组件、工作流等虚拟化 软件的服务
83、 大数据（big data）,指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据 集合，是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长 率和多样化的信息资产。
84、 业界通常用5个V–Volume （大量）、Variety （多样）、Value （价值）、Velocity （高速）和 Veracity （真实性）来概括大数据的特征。
85、 大数据是具有体量大、结构多样、时效性强等特征的数据，处理大数据需要采用新型计算 架构和智能算法等新技术。大数据从数据源经过分析挖掘到最终获得价值一般需要经过5个主 要环节，包括数据准备、数据存储与管理、计算处理、数据分析和知识展现。
86、 移动互联网的核心是互联网，因此一般认为移动互联网是桌面互联网的补充和延伸，应用 和内容仍是移动互联网的根本。
87、 移动互联网有以下特点。
（1） 终端移动性：移动互联网业务使得用户可以在移动状态下接入和使用互联网服务，移动的 终端便于用户随身携带和随时使用。
（2） 业务使用的私密性：在使用移动互联网业务时，所使用的内容和服务更私密，如手机支付 业务等。
（3） 终端和网络的局限性
（4）业务与终端、网络的强关联性：由于移动互联网业务受到了网络及终端能力的限制，因此， 其业务内容和形式也需要适合特定的网络技术规格和终端类型。
88、 安全属性，主要包括以下内容。注意区分
（1） 秘密性：信息不被未授权者知晓的属性。
（2） 完整性:信息是正确的、真实的、未被篡改的、完整无缺的属性。20年11月第12考题
（3） 可用性：信息可以随时正常使用的属性。
89、 安全可以划分为以下四个层次：设备安全、数据安全、内容安全、行为安全。
（1）设备安全包括三个方面：设备的稳定性、设备的可靠性、设备的可用性
（2） 数据安全包括秘密性、完整性和可用性。
（3） 行为安全：数据安全本质上是一种静态的安全，而行为安全是一种动态安全。
行为的秘密性：行为的过程和结果不能危害数据的秘密性。必要时，行为的过程和结果也应 是秘密的。.
行为的完整性：行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的。
行为的可控性：当行为的过程出现偏离预期时，能够发现、控制或纠正。
90、 《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级：注意区 分
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国 家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对 社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成 损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全 造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。
91、 计算机系统安全保护能力的五个等级，即：用户自主保护级、系统审计保护级、安全标记 保护级、结构化保护级、访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的 增高，逐渐增强。
92、 人员管理首先要求加强人员审查。人员审查必须根据信息系统所规定的安全等级确定审查 标准。所有人员应明确其在安全系统中的职责和权限。所有人员的工作、活动范围应当被限制 在完成其任务的最小范围内。（了解）
93、 信息安全教育对象，应当包括与信息安全相关的所有人员
94、 加密技术包括两个元素：算法和密钥。密钥加密技术的密码体制分为对称密钥体制和非对 称密钥体制两种。相应地,对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对 称加密（公开密钥加密）。对称加密以数据加密标准（DES）算法为典型代表，非对称加密通常 以RSA算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。
95、 对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密 密钥也可以用作解密密钥，对称加密算法使用起来简单快捷，密钥较短，破译相对容易。除了 数据加密标准（DES）,另一个对称密钥加密系统是国际数据加密算法（IDEA）,它比DES的加密 性好，另外，还有数据加密标准算法AES,其中DES密钥长度56位，3DES是112位，IDEA是 128位，AES密钥长度则可以是128, 192或256比特
96、 非对称加密技术：公开密钥密码的基本思想是将传统密码的密钥K 一分为二，分为加密钥 Ke和解密钥Kd,用加密钥Ke控制加密，用解密钥Kd控制解密。RSA密码，既可用于加密，又 可用于数字签名，安全、易懂,因此RSA密码已成为目前应用最广泛的公开密钥密码。
97、 Hash函数将任意长的报文M映射为定长的Hash码h, Hash函数可提供保密性、报文认证 以及数字签名功能。
签名是证明当事者的身份和数据真实性的一种信息。完善的数字签名体系应满足以下3个条件:
（1） 签名者事后不能抵赖自己的签名。
（2） 任何其他人不能伪造签名。
（3） 如果当事的双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认 其真伪。
利用RSA密码可以同时实现数字签名和数据加密。
98、 认证又称鉴别、确认，它是证实某事是否名副其实或是否有效的一个过程。
99、 加密用以确保数据的保密性，阻止对手的被动攻击，如截取、窃听等；而认证用以确保报 文发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻击，如冒充、篡改、重播等。 认证往往是许多应用系统中安全保护的第一道设防，因而极为重要。（掌握）
100、 抗否认性。抗否认性是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收 等行为的特性。一般通过数字签名来提供抗否认服务。
10K可审计性。利用审计方法，可以对计算机信息系统的工作过程进行详尽的审计跟踪，同时 保存审计记录和审计日志，从中可以发现问题。
102、 物理安全主要包括：场地安全（环境安全）；是指系统所在环境的安全，主要是场地与机 房。设备安全：主要指设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰 及电源保护等。
103、 设备安全包括设备的防盗和防毁，防止电磁信息泄漏，防止线路截获、抗电磁干扰以及电 源的保护。
104、 存储介质安全是指介质本身和介质上存储数据的安全。存储介质本身的安全包括介质的防 盗；介质的防毁，如防霉和防砸等。
105、 计算机的可靠性工作，一般采用容错系统实现。容错主要依靠冗余设计来实现，以增加资 源换取可靠性。
106、 防火墙是阻挡对网络的非法访问和不安全数据的传递，使得本地系统和网络免于受到许多 网络安全威胁。主要用于逻辑隔离外部网络与受保护的内部网络。防火墙主要是实现网络安全 的安全策略，而这种策略是预先定义好的，所以是一种静态安全技术。防火墙的安全策略由安 全规则表示。
107、 入侵检测与防护的技术主要有两种：入侵检测系统（IDS）和入侵防护系统（IPS）。
入侵检测系统（IDS）注重的是网络安全状况的监管，通过监视网络或系统资源，寻找违反安全 策略的行为或攻击迹象，并发出报警。因此绝大多数IDS系统都是被动的。
入侵防护系统（IPS）则倾向于提供主动防护，注重对入侵行为的控制。其设计宗旨是预先对入 侵活动和攻击性网络流量进行拦截，避免其造成损失。
108、 VPN （虚拟专用网络）可以认为是加密和认证技术在网络传输中的应用。是使用称之为“隧 道”的技术作为传输介质，这个隧道是建立在公共网络或专用网络基础之上的。另外，DDN是 数字专线，成本很高
109.安全扫描包括漏洞扫描、端口扫描、密码类扫描（发现弱口令密码）等。安全扫描可以应 用被称为扫描器的软件来完成，扫描器是最有效的网络安全检测工具之一，它可以自动检测远 程或本地主机、网络系统的安全弱点以及所存在可能被利用的系统漏洞。
110.网络蜜罐技术是一种主动防御技术，是入侵检测技术的一个重要发展方向。蜜罐系统是一 个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机和服务，给攻击者提供一个容 易攻击的目标。攻击者往往在蜜罐上浪费时间，延缓对真正目标的攻击。由于蜜罐技术的特性 和原理，使得它可以对入侵的取证提供重要的信息和有用的线索，便于研究入侵者的攻击行为。
111、常见的无线网络安全技术包括：无线公开密钥基础设施（WPKI）、有线对等加密协议（WEP）、 Wi-Fi网络安全接入（WPA/WPA2）、无线局域网鉴别与保密体系（WAPI）、802.11 （802.11 I作组为 新一代WLAN制定的安全标准）等。
112.针对操作系统的安全威胁按照行为方式划分，通常有下面四种 注意区分
（1） 切断，这是对可用性的威胁。系统的资源被破坏或变得不可用或不能用，如破坏硬盘、切 断通信线路或使文件管理失效。
（2） 截取，这是对机密性的威胁。未经授权的用户、程序或计算机系统获得了对某资源的访问， 如在网络中窃取数据及非法拷贝文件和程序。
（3） 篡改，这是对完整性的攻击。未经授权的用户不仅获得了对某资源的访1’主而且进行篡改, 如修改数据文件中的值，修改网络中正在传送的消息内容。
（4） 伪造，这是对合法性的威胁。未经授权的用户将伪造的对象插入到系统中，如非法用户把 伪造的消息加到网络中或向当前文件加入记录。
113.按照安全威胁的表现形式来分，操作系统面临的安全威胁有以下几种：（了解）
（1）计算机病毒。（2）逻辑炸弹。（3）特洛伊木马。
（4） 后门。后门指的是嵌在操作系统中的一段非法代码，渗透者可以利用这段代码侵入系统。 安装后门就是为了渗透。
（5） 隐蔽通道。隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略、非公开的信息 泄露路径。
114.操作系统安全性的主要目标是标识系统中的用户，对用户身份进行认证，对用户的操作进 行控制，防止恶意用户对计算机资源进行窃取、篡改、破坏等非法存取，防止正当用户操作不 当而危害系统安全，从而既保证系统运行的安全性，又保证系统自身的安全性。具体包括如下几个方面。
（1） 身份认证机制：实施强认证方法，比如口令、数字证书等。
（2） 访问控制机制：实施细粒度的用户访问控制，细化访问权限等。
（3） 数据保密性：对关键信息，数据要严加保密。
（4） 数据完整性：防止数据系统被恶意代码破坏，对关键信息进行数字签名技术保护。
（5） 系统的可用性：操作系统要加强应对攻击的能力，比如防病毒，防缓冲区溢出攻击等。
（6） 审计：审计是一种有效的保护措施，它可以在一定程度上阻止对计算机系统的威胁，并对 系统检测，故障恢复方面发挥重要作用。
115.数据库安全主要指数据库管理系统安全，其安全问题可以认为是用于存储而非传输的数据 的安全问题。数据库安全在技术上采取了一系列的方法，具体包括：数据库访问控制技术、数 据库加密技术、多级安全数据库技术、数据库的推理控制问题和数据库的备份与恢复等。（了解）
116.应用系统安全是以计算机设备安全、网络安全和数据库安全为基础的。（了解）
117、 Web威胁防护技术主要包括：（1） Web/问控制技术（2）单点登录（SSO）技术（3）网 页防篡改技术（4）Web内容安全（了解）
118、 虚拟计算，是一种以虚拟化、网络、云计算等技术的融合为核心的一种计算平台、存储平 台和应用系统的共享管理技术。
119、电子政务根据其服务的对象不同，分为以下四种模式：注意和电子商务区分
（1）政府对政府（G2G） （2）政府对企业（G2B） （3）政府对公众（G2C）（4）政府对公务员 （G2E）
120、 按照交易对象，电子商务包括：企业与企业之间的电子商务**（B2B）、商业企业与消费者 之间的电子商务（B2C）、消费者与消费者之间的电子商务（C2C）。还要加个G2B或B2A**
121、 电子商务与线下实体店有机结合向消费者提供商品和服务，称为020模式。
122、 电子商务的基础设施包括四个，即网络基础设施、多媒体内容和网络出版的基础设施、报 文和信息传播的基础设施、商业服务的基础设施。此外，技术标准，政策、法律等是电子商务 系统的重要保障和应用环境。
123、 实施“中国制造2025”促进两化深度融合，加快从制造大国转向制造强国，需要电子信 息产业有力支撑，大力发展新一代信息技术，加快发展智能制造和工业互联网；制订“互联网+” 行动计划，推动移动互联网、云计算、大数据、物联网等应用，需要产业密切跟踪信息技术变 革趋势，探索新技术、新模式、新业态，构建以互联网为基础的产业新生态体系。实施国家信 息安全战略.需要尽快突破芯片、整机、操作系统等核心技札打加强网络信息安全技术能力 体系建设，在信息对抗中争取主动权。（了解）
我国在“十三五”规划纲要中，将培育人工智能、移动智能终端、第五代移动通信（5G）, 现金传感器等作为新一代信息技术产业创新重点发展。
信息技术发展趋势和新技术应用主要包括以下10个方面：1.高速度大容量2.集成化和 平台化3.智能化4.虚拟计算5.通信技术6.遥感和传感技术7.移动智能终端8.以人为本9. 信息安全10.两化融合
124、 工业化与信息化“两化融合”的含义：信息化发展战略与工业化发展战略要协调一致，信息化发展模式与工业化发展模式要高度匹配。
125、 智慧城市建设主要包括以下几部分：首先，通过传感器或信息采集设备全方位地获取城市 系统数据；其次，通过网络将城市数据关联、融合、处理、分析为信息；第三，通过充分共享、 智能挖掘将信息变成知识；最后，结合信息技术，把知识应用到各行各业形成智慧。
126、 典型的信息系统项目有如下特点。（了解）
1） 项目初期目标往往不太明确。
（2） 需求变化频繁。
（3） 智力密集型。
（4） 系统分析和设计所需人员层次高，专业化强。
（5） 涉及的软硬件厂商和承包商多，联系、协调复杂。
（6） 软件和硬件常常需要个性化定制。
（7） 项目生命期通常较短。
（8） 通常要采用大量的新技术。
（9） 使用与维护的要求高。
（10） 项目绩效难以评估和量化。
127、 信息系统工程监理工作的主要内容可以概括为“四控、三管、一协调”，即投资控制、进 度控制、质量控制、变更控制、合同管理、信息管理、安全管理和沟通协调。（了解）
128、 运行维护是信息系统生命周期中最重要，也是最长的一个阶段（了解）
129、 ITSM是一套通过服务级别协议（SLA）来保证IT服务质量的协同流程。
130、 ITSM的核心思想是：IT组织不管是组织内部的还是外部的，都是IT服务提供者，其主要 工作就是提供低成本、高质量的IT服务。
131、ITSM是一种IT管理，与传统的IT管理不同，它是一种以服务为中心的IT管理。
133、 信息化规划是企业信息化建设的纲领和指南，是信息系统建设的前提和依据。（了解）
134、 大型信息系统是指以信息技术和通信技术为支撑，规模庞大、分布广阔，采用多级网络结 构，跨越多个安全域，处理海量的，复杂且形式多样的数据，提供多种类型应用的大系统。大 型信息系统的特点：（1）规模庞大（2）跨地域性（3）网络结构复杂（4）业务种类多（5）数 据量大（6）用户多
135、 企业实施信息系统规划主要包括以下步骤。（了解）19年11月第17考题
（1） 分析企业信息化现状。
（2） 制定企业信息化战略。
（3） 信息系统规划方案拟定和总体构架设计。包括技术路线、实施方案、运行维护方案等。
136、 ISP方法经历了三个主要阶段。第一个阶段主要以数据处理为核心，围绕职能部门需求的 信息系统规划，主要的方法包括企业系统规划法、关键成功因素法和战略集合转化法；第二个 阶段主要以企业内部管理信息系统为核心，围绕企业整体需求进行的信息系统规划，主要的方法包括战略数据规划法、信息工程法和战略栅格法；第三个阶段的方法在综合考虑企业内外环 境的情况下，以集成为核心，围绕企业战略需求进行的信息系统规划，主要的方法包括价值链 分析法和战略一致性模型。（了解）
137、 信息系统规划是从企业战略出发，构建企业基本的信息系统架构，对企业内、外信息资源 进行统一规划、管理与应用，利用信息系统控制企业行为，辅助企业进行决策，帮助企业实现 战略目标。（了解）
138、 企业系统规划（BSP）的步骤顺序是：准备工作、定义企业过程、识别定义数据类、分析 现有系统、确定管理部门对系统的要求、制订建议书和开发计划、成果报告。
139、 信息系统的规划工具主要有P/O矩阵、R/ D矩阵、CU矩阵等。
140、 从CIO的职责角度看，CIO是“三个专家”：企业业务专家、IT专家和管理专家。（了解）