免费智能真题库 > 历年试卷 > 信息系统监理师 > 2025年上半年 信息系统监理师 下午试卷 案例
  第3题      
  知识点:   承建单位   电子政务   端口   防火墙   建设单位   设计阶段   招标   综合布线系统   IP地址   TCP   安全性   包过滤   操作系统   操作系统的安全   工作区子系统   工作区子系统设计   国家标准   密码算法   审核   数字签名   水平子系统   水平子系统设计   网络操作系统   系统安全   系统的安全   系统运行   信息安全   星型拓扑   星型拓扑结构   主体   综合布线   综合布线系统设计

 
【说明】
某省重点电子政务工程建设项目由中央财政投资,建设内容包括综合布线、网络和主机系统等,工期一年。建设单位甲通过公开招标选择公司乙为承建单位,并选择了监理公司丙承担该项目的全过程监理工作。
【事件1】监理在审核综合布线系统设计方案时,发现下列设计中存在错误:
(1)综合布线系统(PDS)应是开放式星型拓扑结构,应能支持电话、数据、图文、图像等多媒体业务的需要。综合布线系统按照4个部分进行设计。
(2)水平子系统设计中:
①在工作区的跳线的最大长度不能超过8米。
工作区子系统设计中,每15平方米为1个工作区,对于增强型设计等级,每个工作区安排4个信息插座。
【事件2】在项目的设计阶段,监理审核了技术方案中的信息安全保障措施,发现参与建设的各方对信息安全存在着许多不同看法:
①信息根据敏感程度一般可分成非保密的、内部使用的、保密的、绝密的几类。
②计算机系统的脆弱性主要来自于网络操作系统的不安全性
③定期检查操作系统的安全日志和系统状态可以有助于提高操作系统安全。
防火墙中应用的数据包过滤技术是基于数据包的IP地址TCP端口号而实现对数据过滤的。
数字签名一般采用对称密码算法
⑥网络服务对系统的安全没有影响,因此可以随意地增加网络服务。
【事件3】经过一年的实施,项目主体工程已按照设计完成,能满足系统运行的需要,各类档案文件齐全。为本项目配套建设的机房的各项内容经过有关专业部门的检测均符合国家标准。但是由于机房所在的政务大楼的消防设施还未通过正式验收,因此机房的消防验收需要和政务大楼的消防验收同时进行。
 
问题:3.1   针对事件1,请在带有下划线的空白处填写正确答案。
(1)综合布线系统可分为()子系统、()子系统、()系统、()子系统、()子系统、()子系统等六个部分。
(2)①在工作区的跳线的最大长度不能超过()米。
②工作区子系统设计中,每()平方米为1个工作区,对于增强型设计等级,每个工作区安排()个信息插座。
 
问题:3.2   针对事件2,请判断有关信息安全方面的看法是否正确,将√(对)或者x(错)符号填入答题纸对应栏内。
 
问题:3.3   针对事件3,从监理的角度指出本项目是否可以进行验收并说明理由和依据。
 
 
 

   知识点讲解    
   · 承建单位    · 电子政务    · 端口    · 防火墙    · 建设单位    · 设计阶段    · 招标    · 综合布线系统    · IP地址    · TCP    · 安全性    · 包过滤    · 操作系统    · 操作系统的安全    · 工作区子系统    · 工作区子系统设计    · 国家标准    · 密码算法    · 审核    · 数字签名    · 水平子系统    · 水平子系统设计    · 网络操作系统    · 系统安全    · 系统的安全    · 系统运行    · 信息安全    · 星型拓扑    · 星型拓扑结构    · 主体    · 综合布线    · 综合布线系统设计
 
       承建单位
        负责具体实施的承建方应该有自己的项目管理,监理方代表项目建设方对承建方提出的工程计划进行监督和协调,对一些关键点进行控制。这些关键点主要属于进度、资金及质量的范畴,但不能涉及管理细节。工程项目管理主要以承建方为主,并强调在项目中组织并制定相关计划。
        在一个大型信息系统工程项目的建设中,承建方可能有多个,比如硬件提供商、软件开发商和系统集成商等。而在市场竞争日益激烈的今天,专业化能促进生产效率和提高生产质量,故而承建方常常分解成一定的层次结构,如总承包商和分包商等,从而使一部分人或企业专注于项目管理的科学化。
        从市场的角度看,总承包商既是买方又是卖方;从工程合同的角度来讲,他既要对建设方负全部法律责任,又要根据分包合同对分包商进行管理并履行义务,所有的主合同都会限定总承包商可以分包的最大范围。总承包商只能将某些具体的工程施工分包给分包商,但不能分包合同的责任和义务。总承包商不能期望通过分包逃避自己在合同中的法律和经济责任。
        作为分包商,一般情况下不与建设方直接发生合同关系。分包商只接受总承包商的统筹安排和调度,它只对总承包商承担分包合同内规定的责任并履行规定的义务。
        如果总承包商违反分包合同,则应该赔偿分包商的经济损失;分包商违反分包合同并造成建设方对总承包商的罚款或制裁,则分包商应该赔偿总承包商的损失。分包商是从总承包商处按分包合同索回其应得部分的,如果总承包商无力偿还债务,则分包商也同样蒙受损失,因此分包商的利益通常与总承包商的利益密切相关。
 
       电子政务
        所谓电子政务,就是政府机构应用现代信息和通信技术,将管理和服务通过网络技术进行集成,在因特网上实现政府组织结构和工作流程的优化重组,超越时间和空间及部门之间的分隔限制,向社会提供优质和全方位的、规范而透明的、符合国际水准的管理与服务。电子政务的主要模式有4种,分别为G2G、G2E、G2B和G2C。
        (1)政府对政府(Government To Government,G2G):政府内部、政府上下级之间、不同地区和不同职能部门之间实现的电子政务活动。G2G模式是电子政务的基本模式,包括电子法规政策系统、电子公文系统、电子司法档案系统、电子财政管理系统、电子办公系统、电子培训系统和业绩评价系统等。
        (2)政府对公务员(Government To Employee,G2E):政府与公务员(即政府雇员)之间的电子政务,主要是利用Intranet建立起有效的行政办公和员工管理体系,为提高政府工作效率和公务员管理水平服务。G2E是政府机构通过网络技术实现内部电子化管理的重要形式,也是G2G、G2B和G2C电子政务模式的基础。
        (3)政府对企业(Government To Business,G2B):政府与企业之间的电子政务,包括电子采购与招标、电子税务、电子证照办理、信息咨询服务和中小企业电子服务等。
        (4)政府对公民(Government To Citizen,G2C):政府与公民之间的电子政务,是指政府通过电子网络系统为公民提供各种服务。包括教育培训服务、就业服务、电子医疗服务、社会保险网络服务、公民信息服务、交通管理服务、公民电子税务和电子证件服务等。
 
       端口
        在TCP/IP网络中,传输层的所有服务都包含端口号,它们可以唯一区分每个数据包包含哪些应用协议。端口系统利用这种信息来区分包中的数据,尤其是端口号使一个接收端计算机系统能够确定它所收到的IP包类型,并把它交给合适的高层软件。
        端口号和设备IP地址的组合通常称作插口(Socket)。任何TCP/IP实现所提供的服务都用知名的1~1023之间的端口号。这些知名端口号由Internet号分配机构(Internet Assigned Numbers Authority,IANA)来管理。例如,SMTP所用的TCP端口号是25,POP3所用的TCP端口号是110,DNS所用的UDP端口号为53,WWW服务使用的TCP端口号为80。FTP在客户端与服务器的内部建立两条TCP连接,一条是控制连接,端口号为21;另一条是数据连接,端口号为20。
        256~1023之间的端口号通常由UNIX系统占用,以提供一些特定的UNIX服务。也就是说,提供一些只有UNIX系统才有的、其他操作系统可能不提供的服务。
        在实际应用中,用户可以改变服务器上各种服务的保留端口号,但要注意在需要服务的客户端也要改为同一端口号。
 
       防火墙
        防火墙是一种综合性的技术,涉及到计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范,以及安全操作系统等方面。防火墙的主要目标是控制出入一个网络的权限,并迫使所有的连接都经过这样的检查,它主要可以分为以下5种类型。
        (1)包过滤防火墙。也称为访问控制表。它根据定义好的过滤规则审查每个数据包,并根据是否与规则匹配来决定是否能够通过。
        (2)应用网关防火墙。是指在网关上执行一些特定的应用程序和服务器程序,以实现协议过滤和转发功能。
        (3)代理服务器防火墙。主要使用代理技术来阻断内部网络和外部网络之间的通信,达到隐蔽内部网络的目的。
        (4)状态检测防火墙。也称为自适应防火墙、动态包过滤防火墙,通过状态检测技术记录、维护各个连接的协议状态,并对IP包进行分析,决定是否能够通过,它具有很高的效率。
        (5)自适应代理技术。自适应代理根据用户的安全策略,动态地适应传输中的分组流量。它整合了动态包过滤防火墙和应用代理技术,本质上是状态检测防火墙。
        由于防火墙主要用于限制保护的网络和因特网之间或与其他网络之间进行相互的信息存取、传递操作,它处于内部网络和外部网络之间,因此网络应用受到结构性限制,内部安全隐患仍然存在,效率较低,而故障率较高。这些问题导致了:
        (1)不能防范外部刻意的人为攻击;
        (2)不能防范内部用户的攻击;
        (3)不能防止内部用户因误操作而造成的口令失密及受到的攻击;
        (4)很难防止病毒或受病毒感染的文件的传输。
 
       建设单位
        建设方是建设项目的主要投资者,有时也是项目的最终使用者,是在工程建设阶段的全权代表,建设项目的经济效益,如投资额度、工程质量、投入使用时间和使用寿命直接关系着建设方的切身利益。虽然承建方、监理方与建设方是平等的市场主体,但由于建设方是投资方,掌握着项目的最终资源——决定了其他方为从属地位,所以说建设方对工程项目管理起着主导性作用。建设方加强和改善对项目的管理是从根本上实现项目按质如期完成的最有效的途径之一。
        作为项目管理集体中的主要负责人,建设方的作用是阐明本项目的目标并确认各项工作的轻重缓急,组织协调参与各方为此目标而通力合作,在管理决策过程中做出决策。但在某些具体的项目管理事务中,建设方并不总是处于主要负责人的地位,还要作为裁判、支持者、服务员及督促员的角色。
 
       设计阶段
        设计阶段监理进行质量控制的要点如下。
        (1)了解建设单位的建设需求和对信息系统安全性的要求,协助建设单位制定项目质量目标规划和安全目标规划。
        (2)对各种设计文件提出设计质量标准。
        (3)进行设计过程跟踪,及时发现质量问题,并及时与承建单位协调解决。审查阶段性成果,并提出监理意见。审查承建单位提交的总体设计方案,审查承建单位对关键部位的测试方案。
        (4)协助承建单位建立质量保障体系。
        (5)协助承建单位完善现场质量管理制度。
        (6)组织设计文件及设计方案交底会,制定质量要求标准。
 
       招标
        下列工程建设项目包括项目的勘察、设计、施工、监理,以及与工程建设有关的重要设备、材料等的采购,因此必须进行招标。
        (1)大型基础设施、公用事业等关系社会公共利益、公众安全的项目。
        (2)全部或部分使用国有资金投资或者国家融资的项目。
        (3)使用国际组织或者外国政府贷款、援助资金的项目。
        任何单位和个人不得将依法必须进行招标的项目化整为零或者以其他任何方式规避招标。招标投标活动应当遵循公开、公平、公正和诚实信用的原则。必须进行招标的项目,其招标投标活动不受地区或者部门的限制。任何单位和个人不得违法限制或者排斥本地区、本系统以外的法人或其他组织参加投标,不得以任何方式非法干涉招标投标活动。
        招标分为公开招标和邀请招标。公开招标是指招标人以招标公告的方式邀请不特定的法人或者其他组织投标。邀请招标是指招标人以投标邀请书的方式邀请特定的法人或者其他组织投标。国务院发展计划部门确定的国家重点项目和省、自治区、直辖市人民政府确定的地方重点项目不适宜公开招标的,经国务院发展计划部门或者省、自治区、直辖市人民政府批准,可以进行邀请招标。
               招标代理机构
               招标人有权自行选择招标代理机构,委托其办理招标事宜。任何单位和个人不得以任何方式为招标人指定招标代理机构。招标人具有编制招标文件和组织评标能力的,可以自行办理招标事宜。任何单位和个人不得强制其委托招标代理机构办理招标事宜。依法必须进行招标的项目,招标人自行办理招标事宜的,应当向有关行政监督部门备案。
               招标代理机构是依法设立、从事招标代理业务并提供相关服务的社会中介组织。招标代理机构应当具备下列条件。
               (1)有从事招标代理业务的营业场所和相应资金。
               (2)有能够编制招标文件和组织评标的相应专业力量。
               (3)有符合规定条件,可以作为评标委员会成员人选的技术、经济等方面的专家库。
               从事工程建设项目招标代理业务的招标代理机构,其资格由国务院或者省、自治区、直辖市人民政府的建设行政主管部门认定。具体办法由国务院建设行政主管部门会同国务院有关部门制定。从事其他招标代理业务的招标代理机构,其资格认定的主管部门由国务院规定。
               招标代理机构与行政机关和其他国家机关不得存在隶属关系或者其他利益关系。招标代理机构应当在招标人委托的范围内办理招标事宜。
               招标公告
               招标人采用公开招标方式的,应当发布招标公告。依法必须进行招标的项目的招标公告,应当通过国家指定的报刊、信息网络或者其他媒介发布。招标公告应当载明招标人的名称和地址、招标项目的性质、数量、实施地点和时间,以及获取招标文件的办法等事项。
               招标人采用邀请招标方式的,应当向3个以上具备承担招标项目的能力、资信良好的特定法人或者其他组织发出投标邀请书。投标邀请书应当载明的事项与招标公告相同。
               招标人可以根据招标项目本身的要求,在招标公告或者投标邀请书中要求潜在投标人提供有关资质证明文件和业绩情况,并对潜在投标人进行资格审查。国家对投标人的资格条件有规定的,依照其规定。招标人不得以不合理的条件限制或者排斥潜在投标人,不得对潜在投标人给予歧视待遇。
               招标文件
               招标人应当根据招标项目的特点和需要编制招标文件。招标文件应当包括招标项目的技术要求、对投标人资格审查的标准、投标报价要求和评标标准等所有实质性要求和条件,以及拟签订合同的主要条款。
               国家对招标项目的技术、标准有规定的,招标人应当按照其规定在招标文件中提出相应要求。招标项目需要划分标段、确定工期的,招标人应当合理划分标段、确定工期,并在招标文件中载明。招标文件不得要求或者标明特定的生产供应以及含有倾向或者排斥潜在投标人的其他内容。
               招标人根据招标项目的具体情况,可以组织潜在投标人踏勘项目现场。招标人不得向他人透露已获取招标文件的潜在投标人的名称、数量,以及可能影响公平竞争的有关招标投标的其他情况。招标人设有标底的,标底必须保密。
               招标人对已发出的招标文件进行必要的澄清或者修改的,应当在招标文件要求提交投标文件截止时间至少15日前,以书面形式通知所有招标文件收受人。该澄清或者修改的内容为招标文件的组成部分。
               招标人应当确定投标人编制投标文件所需要的合理时间。但是,依法必须进行招标的项目,自招标文件开始发出之日起至投标人提交投标文件截止之日止,最短不得少于20日。
 
       综合布线系统
        综合布线系统(Premises Distributed System,PDS)是一种集成化通用传输系统,是在楼宇和园区范围内,利用双绞线或光缆来传输信息,可以连接电话、计算机、会议电视和监视电视等设备的结构化信息传输系统。
        综合布线系统使用标准的双绞线和光纤,支持高速率的数据传输。这种系统使用物理分层星型拓扑结构,积木式、模块化设计,遵循统一标准,使系统的集中管理成为可能,也使每个信息点的故障、改动或增删不影响其他的信息点,使安装、维护、升级和扩展都非常方便,并节省了费用。
        综合布线系统可分为6个独立的系统(模块),如下图所示。
        
        综合布线系统
        (1)工作区子系统。工作区子系统由终端设备连接到信息插座之间的设备组成,包括信息插座、插座盒、连接跳线和适配器。
        (2)水平区子系统(水平干线子系统、水平子系统)。水平区子系统应由工作区用的信息插座,以及楼层分配线设备至信息插座的水平电缆、楼层配线设备和跳线等组成。一般情况下,水平电缆应采用4对双绞线电缆。在水平子系统有高速率应用的场合,应采用光缆,即光纤到桌面。水平子系统根据整个综合布线系统的要求,应在二级交接间、交接间或设备间的配线设备上进行连接,以构成电话、数据、电视系统和监视系统,并方便进行管理。
        (3)管理间子系统。管理间子系统设置在楼层分配线设备的房间内。管理间子系统应由交接间的配线设备,以及输入输出设备等组成,也可应用于设备间子系统中。管理间子系统应采用单点管理双交接。交接场的结构取决于工作区、综合布线系统规模和所选用的硬件。在管理规模大、复杂、有二级交接间时才设置双点管理双交接。在管理点,应根据应用环境用标记插入条来标出各个端接场。
        (4)垂直干线子系统(垂直子系统、干线子系统)。通常是由主设备间(如计算机房、程控交换机房)提供建筑中最重要的铜线或光纤线主干线路,是整个大楼的信息交通枢纽。一般它提供位于不同楼层的设备间和布线框间的多条连接路径,也可连接单层楼的大片地区。
        (5)设备间子系统。设备间是在每一幢大楼的适当地点设置进线设备,进行网络管理及管理人员值班的场所。设备间子系统应由综合布线系统的建筑物进线设备、电话、数据、计算机和不间断电源等各种主机设备及其保安配线设备等组成。
        (6)建筑群子系统(楼宇子系统)。建筑群子系统将一栋建筑的线缆延伸到建筑群内的其他建筑的通信设备和设施。它包括铜线、光纤,以及防止其他建筑电缆的浪涌电压进入本建筑的保护设备。在设计建筑群子系统时,应考虑地下管道铺设的问题。
        在综合布线系统的技术指标和质量参数方面,要遵循《综合布线系统工程设计规范》(GB50311—2007)和《综合布线系统工程验收规范》(GB50312—2007)的要求。考生要熟记这两个规范里的技术要求和参数。软考在线软考学院(www.csairk.com)的法律法规栏目有该规范的完整文本,在此不再转载。
 
       IP地址
        Internet地址是按名字来描述的,这种地址表示方式易于理解和记忆。实际上,Internet中的主机地址是用IP地址来唯一标识的。这是因为Internet中所使用的网络协议是TCP/IP协议,故每个主机必须用IP地址来标识。
        每个IP地址都由4个小于256的数字组成,数字之间用“.”分开。Internet的IP地址共有32位,4个字节。它表示时有两种格式:二进制格式和十进制格式。二进制格式是计算机所认识的格式,十进制格式是由二进制格式“翻译”过去的,主要是为了便于使用和掌握。例如,十进制IP地址129.102.4.11的表示方法与二进制的表示方法10000001011001100000010000001011相同,显然表示成带点的十进制格式则方便得多。
        域名和IP地址是一一对应的,域名易于记忆,便于使用,因此得到比较普遍的使用。当用户和Internet上的某台计算机交换信息时,只需要使用域名,网络则会自动地将其转换成IP地址,找到该台计算机。
        Internet中的地址可分为5类:A类、B类、C类、D类和E类。各类的地址分配方案如下图所示。在IP地址中,全0代表的是网络,全1代表的是广播。
        
        各类地址分配方案
        A类网络地址占有1个字节(8位),定义最高位为0来标识此类地址,余下7位为真正的网络地址,支持1~126个网络。后面的3个字节(24位)为主机地址,共提供224-2个端点的寻址。A类网络地址第一个字节的十进制值为000~127。
        B类网络地址占有2个字节,使用最高两位为10来标识此类地址,其余14位为真正的网络地址,主机地址占后面的2个字节(16位),所以B类全部的地址有(214-2)×(216-2)=16 382×65 534个。B类网络地址第一个字节的十进制值为128~191。
        C类网络地址占有3个字节,它是最通用的Internet地址。使用最高三位为110来标识此类地址,其余21位为真正的网络地址,因此C类地址支持221-2个网络。主机地址占最后1个字节,每个网络可多达28-2个主机。C类网络地址第一个字节的十进制值为192~223。
        D类地址是相当新的。它的识别头是1110,用于组播,例如用于路由器修改。D类网络地址第一个字节的十进制值为224~239。
        E类地址为实验保留,其识别头是1111。E类网络地址第一个字节的十进制值为240~255。
        网络软件和路由器使用子网掩码(Subnet Mask)来识别报文是仅存放在网络内部还是被路由转发到其他地方。在一个字段内,1的出现表明一个字段包含所有或部分网络地址,0表明主机地址位置。例如,最常用的C类地址使用前三个8位来识别网络,最后一个8位识别主机。因此,子网掩码是255.255.255.0。
        子网地址掩码是相对特别的IP地址而言的,如果脱离了IP地址就毫无意义。它的出现一般是跟着一个特定的IP地址,用来为计算这个IP地址中的网络号部分和主机号部分提供依据。换句话说,就是在写一个IP地址后,再指明哪些是网络号部分,哪些是主机号部分。子网掩码的格式与IP地址相同,所有对应网络号的部分用1填上,所有对应主机号的部分用0填上。
        A类、B类、C类IP地址类默认的子网掩码如下表所示。
        
        带点十进制符号表示的默认子网掩码
        如果需要将网络进行子网划分,此时子网掩码可能不同于以上默认的子网掩码。例如,138.96.58.0是一个8位子网化的B类网络ID。基于B类的主机ID的8位被用来表示子网化的网络,对于网络138.96.39.0,其子网掩码应为255.255.255.0。
        例如,一个B类地址172.16.3.4,为了直观地告诉大家前16位是网络号,后16位是主机号,就可以附上子网掩码255.255.0.0(11111111111111110000000000000000)。
        假定某单位申请的B类地址为179.143.XXX.XXX。如果希望把它划分为14(至少占二进制的4位)个虚拟的网络,则需要占4位主机位,子网使用掩码为255.255.240.0~255.255.255.0来建立子网。每个LAN可有212-2个主机,且各子网可具有相同的主机地址。
        假设一个组织有几个相对大的子网,每个子网包括了25台左右的计算机;而又有一些相对较小的子网,每个子网大概只有几台计算机。这种情况下,可以将一个C类地址分成6个子网(每个子网可以包含30台计算机),这样解决了很大的问题。但是出现了一个新的情况,那就是大的子网基本上完全利用了IP地址范围,但是小的子网却造成了许多IP地址的浪费。为了解决这个新的难题,避免任何的IP浪费,就出现了允许应用不同大小的子网掩码来对IP地址空间进行子网划分的解决方案。这种新的方案就叫作可变长子网掩码(VLSM)。
        VLSM用一个十分直观的方法来表示,那就是在IP地址后面加上“/网络号及子网络号编址位数”。例如,193.168.125.0/27就表示前27位表示网络号。
        例如,给定135.41.0.0/16的基于类的网络ID,所需的配置是为将来使用保留一半的地址,其余的生成15个子网,达到2000台主机。
        由于要为将来使用保留一半的地址,完成了135.41.0.0的基于类的网络ID的1-位子网化,生成两个子网135.41.0.0/17和135.41.128.0/17,子网135.41.128.0/17被选作为将来使用所保留的地址部分;135.41.0.0/17被继续生成子网。
        为达到划分2000台主机的15个子网的要求,需要将135.41.128.0/17的子网化的网络ID的4-位子网化。这就产生了16个子网(135.41.128.0/21,135.41.136.0/21,…,135.41.240.0/21,135.41.248.0/21),允许每个子网有2046台主机。最初的15个子网化的网络ID(135.41.128.0/21~135.41.240.0/21)被选定为网络ID,从而实现了要求。
        现在的IP协议的版本号为4,所以也称之为IPv4,为了方便网络管理员阅读和理解,使用了4个十进制数中间加小数点“.”来表示。但随着因特网的膨胀,IPv4不论从地址空间上,还是协议的可用性上都无法满足因特网的新要求。因此出现了一个新的IP协议IPv6,它使用了8个十六进制数中间加小数点“.”来表示。IPv6将原来的32位地址扩展成为128位地址,彻底解决了地址缺乏的问题。
 
       TCP
        TCP是面向连接的通信协议,通过三次握手建立连接,通信完成时要拆除连接,由于TCP是面向连接的,所以只能用于端到端的通信。
        TCP提供的是一种可靠的数据流服务,采用“带重传的肯定确认”技术实现传输的可靠性。TCP还采用一种称为“滑动窗口”的方式进行流量控制,所谓窗口,实际表示接收能力,用以限制发送方的发送速度。
        如果IP数据包中有已经封装好的TCP数据包,那么IP将把它们向“上”传送到TCP层。TCP将包排序并进行错误检查,同时实现虚电路之间的连接。TCP数据包中包括序号和确认,所以未按照顺序收到的包可以被排序,而损坏的包则可以被重传。
        TCP将它的信息发送到更高层的应用程序,例如Telnet的服务程序和客户程序。应用程序轮流将信息送回TCP层,TCP层便将它们向下传送到IP层、设备驱动程序和物理介质,最后传送到接收方。
        面向连接的服务(例如Telnet、FTP、rlogin、X Windows和SMTP)需要高度的可靠性,所以它们使用了TCP。DNS在某些情况下使用TCP(发送和接收域名数据库),但使用UDP传送有关单个主机的信息。
 
       安全性
        (1)可用性。可用性评价指标及测量,如下表所示。
        
        可用性评价指标及测量
        
        (2)完整性。完整性评价指标及测量,如下表所示。
        
        完整性评价指标及测量
        (3)保密性。保密性评价指标及测量,如下表所示。
        
        保密性评价指标及测量
        
 
       包过滤
        包过滤是在IP层实现的防火墙技术,包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。此外,还有一种可以分析包中的数据区内容的智能型包过滤器。基于包过滤技术的防火墙,简称为包过滤型防火墙(Packet Filter),其工作机制如下图所示。
        
        包过滤工作机制
        目前,包过滤是防火墙的基本功能之一。多数现代的IP路由软件或设备都支持包过滤功能,并默认转发所有的包。ipf、ipfw、ipfwadm都是常用的自由过滤软件,可以运行在Linux操作系统平台上。包过滤的控制依据是规则集,典型的过滤规则表示格式由“规则号、匹配条件、匹配操作”三部分组成,包过滤规则格式随所使用的软件或防火墙设备的不同而略有差异,但一般的包过滤防火墙都用源IP地址、目的IP地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。下表是包过滤型防火墙的通用实例,该规则的作用在于只允许内、外网的邮件通信,其他的通信都禁止。
        
        防火墙过滤规则
        包过滤型防火墙对用户透明,合法用户在进出网络时,感觉不到它的存在,使用起来很方便。在实际网络安全管理中,包过滤技术经常用来进行网络访问控制。下面以Cisco IOS为例,说明包过滤器的作用。Cisco IOS有两种访问规则形式,即标准IP访问表和扩展IP访问表,它们的区别主要是访问控制的条件不一样。标准IP访问表只是根据IP包的源地址进行,标准IP访问控制规则的格式如下:
        
        而扩展IP访问控制规则的格式是:
        
        其中:
        . 标准IP访问控制规则的list-number规定为1~99,而扩展IP访问控制规则的list-number规定为100~199;
        . deny表示若经过Cisco IOS过滤器的包条件不匹配,则禁止该包通过;
        . permit表示若经过Cisco IOS过滤器的包条件匹配,则允许该包通过;
        . source表示来源的IP地址;
        . source-wildcard表示发送数据包的主机IP地址的通配符掩码,其中1代表“忽略”,0代表“需要匹配”,any代表任何来源的IP包;
        . destination表示目的IP地址;
        . destination-wildcard表示接收数据包的主机IP地址的通配符掩码;
        . protocol表示协议选项,如IP、ICMP、UDP、TCP等;
        . log表示记录符合规则条件的网络包。
        下面给出一个例子,用Cisco路由器防止DDoS攻击,配置信息如下。
        
        简而言之,包过滤成为当前解决网络安全问题的重要技术之一,不仅可以用在网络边界,而且也可应用在单台主机上。例如,现在个人防火墙以及Windows 2000和Windows XP都提供了对TCP、UDP等协议的过滤支持,用户可以根据自己的安全需求,通过过滤规则的配置来限制外部对本机的访问。下图是利用Windows 2000系统自带的包过滤功能对139端口进行过滤,这样可以阻止基于RPC的漏洞攻击。
        
        Windows 2000过滤配置示意图
        包过滤防火墙技术的优点是低负载、高通过率、对用户透明。但是包过滤技术的弱点是不能在用户级别进行过滤,如不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以轻易通过包过滤器。
 
       操作系统
        编写嵌入式软件有两种选择:一是自己编写内核;二是使用现成的操作系统。如果嵌入式软件只需要完成一项非常小的工作,例如在电动玩具、空调中,就不需要一个功能完整的操作系统。但如果系统的规模较大、功能较复杂,那么最好还是使用一个现成的操作系统。可用于嵌入式系统软件开发的操作系统有很多,但关键是如何选择一个适合开发项目的操作系统,可以从以下几点进行考虑:
        (1)操作系统提供的开发工具。有些实时操作系统只支持该系统供应商的开发工具,因此,还必须从操作系统供应商处获得编译器、调试器等;而有的操作系统应用广泛,且有第三方工具可用,因此选择的余地比较大。
        (2)操作系统向硬件接口移植的难度。操作系统到硬件的移植是一个重要的问题,是关系到整个系统能否按期完工的一个关键因素。因此,要选择那些可移植性程度高的操作系统,以避免因移植带来的种种困难。
        (3)操作系统的内存要求,有些操作系统对内存有较大要求。
        (4)操作系统的可剪裁性、实时性能等。
 
       操作系统的安全
        为了建立安全的操作系统,首先,必须构造操作系统的安全模型(单级安全模型、多级安全模型、系统安全模型等)和实施方法;其次,应该采用诸如隔离、核化(最小特权等)和环结构(开放设计和完全中介)等安全科学的操作系统设计方法;最后,还需要建立和完善操作系统的评估标准、评价方法和测试质量。对付操作系统中常见后门的方法可归纳如下。
        (1)加强程序开发阶段的安全控制,防止有意破坏并改善软件的可靠性。比如,采用先进的软件工程进行对等检查、模块结构、封装和信息隐藏、独立测试和程序正确性证明及配置管理等。
        (2)在程序的使用过程中实行科学的安全控制。比如,利用信息分割限制恶意程序和病毒的扩散;利用审计日志跟踪入侵者和事故状态,促进程序间信息的安全共享。
        (3)制定规范的软件开发标准,加强管理,对相关人员的职责进行有效监督,改善软件的可用性和可维护性。
 
       工作区子系统
        工作区子系统是由终端设备到信息插座的整个区域,用于将用户终端设备连接到布线系统,主要包括信息插座、跳线、适配器。
        信息插座的安装分为嵌入式安装和表面安装两种方式。信息插座通常安装在工作间四周的墙壁下方,距地面30cm,也有的安装在用户办公桌上。通常一个信息插座需要90cm2的空间。
 
       工作区子系统设计
        工作区子系统提供从水平子系统的信息插座到用户工作站设备之间的连接,它包括工作站连线、适配器和扩展线等。
        一部电话机或一台计算机终端设备的服务面积可按8~10m2设置,也可按用户要求设置。采用标准信息插座,型号为RJ-45,采用8芯连线,全部按标准制造,符合ISDN标准。在RJ-45插座内不仅可以插入数据通信通用的RJ-45接头,也可以插入电话机专用的RJ-12插头。
        信息插座通常有3种安装形式,即安装于地面上、安装于分隔板上及安装于墙上。如果安装于墙上,信息插座应放置在距地面30~50cm处。
 
       国家标准
        我国的国家标准代号是以“国标”两个字的大写汉语拼音“Guo Biao”的第一个字母“GB”来表示的,强制性国家标准代号为“GB”,推荐性国家标准的代号为“GB/T”。国家标准的编号由国家标准的代号、标准发布顺序号和标准发布年代号(四位数组成)。
        (1)强制性国家标准
        
        (2)推荐性国家标准
        
        (3)国家实物标准(样品),由国家标准化行政主管部门统一编号,编号方法为国家实物标准代号(为汉字拼音大写字母“GSB”)加《标准文献分类法》的一级类目、二级类目的代号及二级类目范围内的顺序、四位数年代号相结合的办法。
        
 
       密码算法
        密码技术用来进行鉴别和保密,选择一个强壮的加密算法是至关重要的。密码算法一般分为传统密码算法(又称为对称密码算法)和公开密钥密码算法(又称为非对称密码算法)两类,对称密钥密码技术要求加密解密双方拥有相同的密钥。而非对称密钥密码技术是加密解密双方拥有不相同的密钥。
        对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类(这两种体制之间还有许多中间类型)。
        序列密码是军事和外交场合中主要使用的一种密码技术。其主要原理是:通过有限状态机产生性能优良的伪随机序列,使用该序列将信息流逐比特加密从而得到密文序列。可以看出,序列密码算法的安全强度由它产生的伪随机序列的好坏而决定。分组密码的工作方式是将明文分成固定长度的组(如64比特一组),对每一组明文用同一个密钥和同一种算法来加密,输出的密文也是固定长度的。在序列密码体制中,密文不仅与最初给定的密码算法和密钥有关,同时也是被处理的数据段在明文中所处的位置的函数;而在分组密码体制中,经过加密所得到的密文仅与给定的密码算法和密钥有关,而与被处理的明数据段在整个明文中所处的位置无关。
        不同于传统的对称密钥密码体制,非对称密码算法要求密钥成对出现,一个为加密密钥(可以公开),另一个为解密密钥(用户要保护好),并且不可能从其中一个推导出另一个。公共密钥与专用密钥是有紧密关系的,用公共密钥加密的信息只能用专用密钥解密,反之亦然。另外,公钥加密也用来对专用密钥进行加密。
        公钥算法不需要联机密钥服务器,只在通信双方之间传送专用密钥,而用专用密钥来对实际传输的数据加密解密。密钥分配协议简单,所以极大简化了密钥管理,但公共密钥方案较保密密钥方案处理速度慢,因此,通常把公共密钥与专用密钥技术结合起来实现最佳性能。
 
       审核
        依据知识库内容加入的审核标准,由资深技术人员审核内容的正确性和完整性,避免与原有的知识库内容重复或冲突,给出审核意见后提交批准加入知识库中。
 
       数字签名
        传统商务活动中,我们通过手写签名达到确认信息的目的。电子商务活动中,交易双方互不见面,可以通过数字签名确认信息。数字签名技术有效解决了电子商务交易活动中信息的完整性和不可抵赖性问题。
               数字摘要
                      数字摘要的基本概念
                      数字摘要是利用哈希函数对原文信息进行运算后生成的一段固定长度的信息串,该信息串被称为数字摘要。产生数字摘要的哈希算法具有单向性和唯一性的特点。所谓单向性,也称为不可逆性,是指利用哈希算法生成的数字摘要,无法再恢复出原文;唯一性是指相同信息生成的数字摘要一定相同,不同信息生成的数字摘要一定不同。这一特征类似于人类的指纹特征,因此数字摘要也被称为数字指纹。
                      数字摘要的使用过程
                      数字摘要具有指纹特征,因此可以通过对比两个信息的数字摘要是否相同来判断信息是否被篡改过,从而验证信息的完整性。
                      数字摘要的使用过程如下图所示。
                      
                      数字摘要的使用过程
                      (1)发送方将原文用哈希(Hash)算法生成数字摘要1;
                      (2)发送方将原文同数字摘要1一起发送给接收方;
                      (3)接收方收到原文后用同样的哈希(Hash)算法对原文进行运算,生成新的数字摘要2;
                      (4)接收方将收到的数字摘要1与新生成的数字摘要2进行对比,若相同,说明原文在传输的过程中没有被篡改,否则说明原文信息发生了变化。
                      数字摘要算法
                      哈希(Hash)算法是实现数字摘要的核心技术。数字摘要所产生的信息串的长度和所采用的哈希算法有直接关系。目前广泛应用的哈希算法有MD5算法和SHA-1算法。
                      MD5算法的全称是“Message-Digest Alogrithm 5”,诞生于1991年,由国际著名密码学家、RSA算法的创始人Ron Rivest设计发明,经MD2、MD3和MD4发展而来。MD5算法生成的信息摘要的长度为128位。
                      SHA算法的全称是“Secure Hash Alogrithm”,诞生于1993年,由美国国家标准技术研究院(NIST)与美国国家安全局(NSA)设计。SHA(后来被称作SHA-0)于1995年被SHA-1替代,之后又出现了SHA-224、SHA-256、SHA-384和SHA-512等,这些被统称为SHA-2系列算法。SHA-1算法生成的信息摘要的长度为160位,而SHA-2系列算法生成的信息摘要的长度则有256位(SHA-256)、384位(SHA-384)、512位(SHA-512)等。与MD5算法相比,SHA算法具有更高的安全性。
                      MD5算法和SHA算法在实际中有着广泛的应用。与公钥技术结合,生成数字签名。目前几乎主要的信息安全协议中都使用了SHA-1或MD5算法,包括SSL、TLS、PGP、SSH、S/MIME和IPSec等。UNIX系统及不少论坛/社区系统的口令都通过MD5算法处理后保存,确保口令的安全性。
                      需要说明的是,2004年8月,在美国加州圣芭芭拉召开的国际密码学会议上,我国山东大学王小云教授宣布了她及她的研究小组对MD5、HAVAL-128、MD4和RIPEMD等四个著名密码算法的破译结果。2005年2月,王小云教授又破解了另一国际密码算法SHA-1。这为国际密码学研究提出了新的课题。
               数字签名
                      数字签名的基本概念
                      在ISO 7498-2标准中,数字签名被定义为:“附加在数据单元上的一些数据,或是对数据单元所做的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。实际上,简单地讲,数字签名就是在网络中传送信息报文时,附加一个特殊的唯一代表发送者个人身份的标记,以起到传统上手写签名或印章确认的作用。
                      数字签名建立在数字摘要的基础上,结合公钥加密技术实现。发送者应用自己的私钥对数字摘要进行加密,即生成数字签名。由于发送者的私钥仅为发送者本人所有,所以附加了数字签名的信息能够确认消息发送者的身份,也防止了发送者对本人所发送信息的抵赖行为。同时通过数字摘要技术,接收者可以验证信息是否发生了改变,从而确定信息的完整性。
                      数字签名的使用过程
                      数字签名的使用过程包括签名和验证两部分,如下图所示。
                      
                      数字签名的使用过程
                      (1)发送方将原文用哈希(Hash)算法生成数字摘要Z;
                      (2)发送方将数字摘要Z用自己的私钥加密;
                      (3)发送方将加密后的数字摘要Z(即数字签名)同原文一起发送给接收方;
                      (4)接收方用发送方的公钥解密数字签名,得到数字摘要Z;
                      (5)接收方对接收到的原文用同样的哈希(Hash)算法生成数字摘要Z′;
                      (6)比较Z和Z′,若二者相同,说明信息完整且发送者身份是真实的。
                      由以上过程可以看到,数字签名具有以下两个作用:
                      (1)确认信息的完整性。接收方将原文生成的数字摘要与用接收到的原文生成的新的数字摘要进行对比,相同则说明信息没有改变,不同则说明信息内容发生了变化。因此数字签名能够验证信息是否被修改,从而确定信息的完整性。
                      (2)确认信息发送者的身份,保证发送信息的不可抵赖性。发送者用自己的私钥对数字摘要进行加密,接收者如果能用对应的公钥进行解密,则说明信息一定是由该发送者发送的,从而确认了发送者的身份。此外,由于发送者的私钥是发送者本人拥有(除非丢失、泄露或被窃取),所以发送者不能否认自己曾经发送过的信息。
                      数字签名的种类
                      实现数字签名的基本方法有以下几种。
                      (1)RSA签名。RSA签名是基于RSA算法实现数字签名的方案,ISO/IEC 9796和ANSI X9.30-199X已将RSA作为建议数字签名的标准算法。
                      (2)ElGamal签名。ElGamal签名是专门为签名目的而设计。该机制由T.ElGamal于1985年提出,经修正后,被美国国家标准与技术学会(NIST)作为数字签名标准(Digital Signature Standard,DSS)。
                      RSA签名基于大整数素数分解的困难性,ElGamal签名基于求离散对数的困难性。在RSA签名机制中,明文与密文一一对应,对特定信息报文的数字签名不变化,是一种确定性数字签名。ElGamal签名机制采用非确定性的双钥体制,对同一消息的签名,根据签名算法中随机参数选择的不同而不同,是一种随机式数字签名。
 
       水平子系统
        水平子系统是结构化综合布线系统中连接用户工作区与布线系统主干的子系统。水平子系统由每层配线间至信息插座的配线电缆和工作区用的信息插座等组成。在结构化综合布线系统中,水平布线子系统起着支线的作用,它将所有用户端通过一些连接件连接到配线设备上。
        水平布线的布线通道有两种:一种是暗管预埋、墙面引线方式;另一种是地下管槽、地面引线的方式。
 
       水平子系统设计
        水平子系统是将垂直子系统线路延伸到用户工作区,由工作区的信息插座、信息插座至楼层配线设备(FD)的配线电缆或光纤、楼层配线设备和跳线等组成。
        水平子系统的设计应按以下要求进行。
        (1)水平子系统一般应使用20年左右,通常采用管线铺设,这也对双绞线的性能和质量提出了更高的要求。
        (2)进行网络布线时应考虑未来的发展(信息点冗余及网络带宽的需求)。
        (3)水平子系统采用4对双绞线,通常在超5类和6类之间选择,在高速率应用场合宜采用光缆。
        (4)根据整个综合布线系统的要求,应在交换间或设备间的配线设备上进行连接,以构成电话、数据传输设备并进行管理,配线电缆宜采用双绞线。电缆长度应在90m以内。
 
       网络操作系统
        网络操作系统是使联网计算机能方便而有效地共享网络资源,为网络用户提供各种服务的软件和有关协议的集合。因此,网络操作系统的功能主要包括高效、可靠的网络通信;对网络中共享资源(在LAN中有硬盘、打印机等)的有效管理;提供电子邮件、文件传输、共享硬盘和打印机等服务;网络安全管理;提供互操作能力。
        计算机网络系统除了硬件外,还需要有系统软件,二者结合构成计算机网络的基础平台。操作系统是最重要的系统软件。网络操作系统是网络用户和计算机网络之间的一个接口,它除了应具备通常操作系统应具备的基本功能外,还应有联网功能,支持网络体系结构和各种网络通信协议,提供网络互联功能,支持有效、可靠安全的数据传送。
        一个典型的网络操作系统的特征包括硬件独立性、多用户支持等。其中,硬件独立性是指网络操作系统可以运行在不同的网络硬件上,可以通过网桥或路由器与别的网络连接;多用户支持,应能同时支持多个用户对网络的访问,应对信息资源提供完全的安全和保护功能;支持网络实用程序及其管理功能,如系统备份、安全管理、容错和性能控制;多种客户端支持,如Windows NT网络操作系统包括OS/2、Windows 98和UNIX等多种客户端,极大地方便了网络用户;提供目录服务,以单一逻辑的方式让用户访问位于世界范围内的所有网络服务和资源的技术;支持多种增值服务,如文件服务、打印服务、通信服务和数据库服务等。
        网络操作系统可分为集中模式、客户端/服务器模式和对等模式三类。
        (1)集中模式。集中式网络操作系统是由分时操作系统加上网络功能演变而来的,系统的基本单元由一台主机和若干台与主机相连的终端构成,将多台主机连接起来形成了网络,信息的处理和控制是集中的。UNIX就是这类系统的典型例子。
        (2)客户端/服务器模式。这是流行的网络工作模式,该种模式网络可分为服务器和客户端。服务器是网络的控制中心,其任务是向客户端提供一种或多种服务,服务器可有多种类型,如提供文件/打印服务的文件服务器等。客户端是用于本地处理和访问服务器的站点,在客户端中包含了本地处理软件和访问服务器上服务程序的软件接口。
        (3)对等模式(peer-to-peer)。在采用这种模式的操作系统网络中,各个站点是对等的。它既可作为客户端去访问其他站点,又可作为服务器向其他站点提供服务,在网络中既无服务处理中心,也无控制中心,或者说,网络的服务和控制功能分布在各个站点上。可见,该模式具有分布处理及分布控制的特征。
 
       系统安全
        华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全。
 
       系统的安全
        系统的安全涉及两类不同的问题,一类涉及技术、管理、法律、道德和政治等问题,另一类涉及操作系统的安全机制。随着计算机应用范围扩大,在所有稍具规模的系统中都从多个级别上来保证系统的安全性。一般从4个级别上对文件进行安全性管理:系统级、用户级、目录级和文件级。
        (1)系统级。系统级安全管理的主要任务是不允许未经授权的用户进入系统,从而也防止了他人非法使用系统中各类资源(包括文件)。系统级管理的主要措施有注册与登录。
        (2)用户级。用户级安全管理是通过对所有用户分类和对指定用户分配访问权,不同的用户对不同文件设置不同的存取权限来实现。例如,在UNIX系统中将用户分为文件主、同组用户和其他用户。有的系统将用户分为超级用户、系统操作员和一般用户。
        (3)目录级。目录级安全管理是为了保护系统中各种目录而设计的,它与用户权限无关。为了保证目录的安全,规定只有系统核心才具有写目录的权利。
        (4)文件级。文件级安全管理是通过系统管理员或文件主对文件属性的设置来控制用户对文件的访问。通常可设置以下几种属性:只执行、隐含、只读、读/写、共享、系统。用户对文件的访问,将由用户访问权、目录访问权限及文件属性三者的权限所确定,或者说是有效权限和文件属性的交集。例如对于只读文件,尽管用户的有效权限是读/写,但都不能对只读文件进行修改、更名和删除。对于一个非共享文件,将禁止在同一时间内由多个用户对它们进行访问。
 
       系统运行
               系统管理分类
               IT系统管理工作主要是优化IT部门的各类管理流程,并保证能够按照一定的服务级别,为业务部门(客户)高质量、低成本地提供IT服务。IT系统管理工作可以按照以下两个标准予以分类。
                      按系统类型分类
                      (1)信息系统,企业的信息处理基础平台,直接面向业务部门(客户),包括办公自动化系统、企业资源计划(ERP)、客户关系管理(CRM)、供应链管理(SCM)、数据仓库系统(Date Warehousing)、知识管理平台(KM)等。
                      (2)网络系统,作为企业的基础架构,是其他方面的核心支撑平台。包括企业内部网(Intranet)、IP地址管理、广域网(ISDN、虚拟专用网)、远程拨号系统等。
                      (3)运作系统,作为企业IT运行管理的各类系统,是IT部门的核心管理平台。包括备份/恢复系统、入侵检测、性能监控、安全管理、服务级别管理、帮助服务台、作业调度等。
                      (4)设施及设备,设施及设备管理是为了保证计算机处于适合其连续工作的环境中,并把灾难(人为或自然的)的影响降到最低限度。包括专门用来放置计算机设备的设施或房间。
                      对IT资产(计算机设备、通信设备、个人计算机和局域网设备)的恰当的环境保护;有效的环境控制机制:火灾探测和灭火系统、湿度控制系统、双层地板,隐藏的线路铺设、安全设置水管位置,使其远离敏感设备、以及不间断电源和后备电力供应等。
                      按流程类型分类
                      (1)侧重于IT部门的管理,从而保证能够高质量地为业务部门(客户)提供IT服务。这一部分主要是对公司整个IT活动的管理,包括IT财务管理、服务级别管理、IT资源管理、能力管理、系统安全管理、新系统转换、系统评价等职能。
                      (2)侧重于业务部门的IT支持及日常作业,从而保证业务部门(客户)IT服务的可用性和持续性。这一部分主要是业务部门IT支持服务,包括IT日常作业管理、帮助服务台管理、故障管理及用户支持、性能及可用性保障等。
                      (3)侧重于IT基础设施建设,主要是建设企业的局域网、广域网、Web架构、Internet连接等。
               系统管理规范化
               系统管理的规范化涉及到人员职责、操作流程等方面标准的制定,并进行有效的标准化。企业IT部门除了IT部门组织结构及职责之外,还应该详细制定各类运作管理规章制度,主要包括:日常作业调度手册、系统备份及恢复手册、性能监控及优化手册、输出管理手册、帮助服务台运作手册、常见故障处理方法、终端用户计算机使用制度等与用户息息相关的IT支持作业方面的规范制度。此外,还包括服务级别管理手册、安全管理制度、IT财务管理制度、IT服务计费及成本核算、IT资源及配置管理、新系统转换流程、IT能力规划管理等由IT部门执行的以提供高质量IT服务为目的的管理流程。
               系统运作报告
               系统运行过程中的关键操作、非正常操作、故障、性能监控、安全审计等信息,应该实时或随后形成系统运作报告,并进行分析以改进系统管理水平。
               是否有流程保证对所有不属于标准操作的操作性问题给予记录(在问题管理系统内)、分析和及时处理?
                      系统日常操作日志
                      系统日志应该记录足以形成数据的信息,为关键性的运作提供审核追踪记录,并且保存合理的时间段。利用日志工具定期对日志进行检查,以便监控例外情况并发现非正常的操作、未经授权的活动、作业完成情况、存储状况、CPU、内存利用水平等。
                      性能/能力规划报告
                      企业需要了解其IT能力能否满足其业务需要,因此它需要了解系统性能、能力和成本的历史数据,定期形成月度、年度性能报告,并进行趋势分析和资源限制评估,在此基础之上增加或调整其IT能力。
                      性能监控工具应该主动地监控、测量和报告系统的性能,包括平均响应时间、每日交易数、平均无故障时间、CPU、存储器等的使用状况、网络性能等,从而可以有预见性地响应变化的业务需求。
                      故障管理报告
                      企业应定期产生有关问题的统计数据,这些统计数据包括:事故出现次数、受影响的客户数、解决事故所需时间和成本、业务损失成本等,可以供管理层对反复发生的问题进行根本原因的分析,并寻找改进的机会。
                      另外,对于每次故障处理应该进行数据记录、归类,作为基础,它应包括以下内容。
                      .目录,确定与故障相关联的领域,比如硬件、软件等。
                      .影响度,故障对业务流程的影响程度。
                      .紧迫性,故障需要得到解决的紧急程度。
                      .优先级,综合考虑影响度、紧迫性、风险和可用资源后得出的解决故障的先后顺序。
                      .解决方法,故障解决的流程、处理方法。
                      这样有利于使用知识管理系统来协助解决问题。
                      安全审计日志
                      为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制来实现在跟踪中记录有关安全的信息。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。
                      审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。常见的审计记录可能包括:活动的用户账号和访问特权;用户的活动情况,包括可疑的行为;未授权和未成功的访问企图;敏感命令的运行等。
                      系统运作报告使对IT的整个运行状况的评价得以实现,IT报告应具备涵盖所有IT领域的关键业绩指标,例如风险及问题、财务状况、系统利用率、系统性能、系统故障时间、服务级别执行情况、安全审计等,这也为IT运作绩效的改进提供了基础。
 
       信息安全
        信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
        (1)机密性。确保信息不暴露给未受权的实体或进程。
        (2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
        (3)可用性。得到授权的实体在需要时可访问数据。
        (4)可控性。可以控制授权范围内的信息流向及行为方式。
        (5)可审查性。对出现的安全问题提供调查的依据和手段。
        随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
        典型的安全威胁举例如下表所示。
        
        典型的安全威胁
 
       星型拓扑
        星型拓扑中有一个中心节点,所有的站都连接到中心节点上。电话系统就采用了这种拓扑结构,多终端联机通信系统也是星型结构的例子。中心节点在星型网络中起到控制和交换的作用,是网络中的关键设备。
        用星型拓扑结构也可以构成分组广播式的局域网。在这种网络中,每个站都用两对专线连接到中心节点上,一对用于发送,一对用于接收。中心节点叫作集线器,简称Hub。Hub接收工作站发来的数据帧,然后向所有的输出链路广播出去。当有多个站同时向Hub发送数据时就会产生冲突,这种情况和总线拓扑中的竞争发送一样,因而总线网的介质访问控制方法也适用于星型网。
 
       星型拓扑结构
        星型拓扑结构存在着中心节点,每个节点通过点对点的方式与中心节点相连,任何两个节点之间的通信都要通过中心节点转接,处理中心位置的网络设备一般是集线器。
 
       主体
        主体是客体的操作实施者。实体通常是人、进程或设备等,一般是代表用户执行操作的进程。比如编辑一个文件,编辑进程是存取文件的主体,而文件则是客体。
 
       综合布线
        1.概念及相关标准
        综合布线系统(Premises Distribution System,PDS)是楼宇和园区范围内,在统一的传输介质上建立的可以连接电话、计算机、会议电视和监视电视等设备的结构化信息传输系统。
        目前在综合布线领域被广泛遵循的标准是EIA/TIA-568A。在此标准中把综合布线系统分为6个子系统:建筑群子系统、设备间子系统、垂直干线子系统、管理子系统、水平子系统和工作区子系统,如下图所示。
        
        EIA/TIA-568A标准中描述的综合布线系统
        各子系统的功能如下:
        .工作区子系统:实现工作区终端设备与水平子系统之间的连接,由终端设备连接到信息插座的连接线缆组成。工作区常用设备是计算机、网络集散器(Hub或Mau)、电话、报警探头、摄像机、监视器和音响等。
        .水平子系统:实现信息插座和管理子系统(跳线架)间的连接,将用户工作区引至管理子系统:系统中常用的传输介质是4对UTP(非屏蔽双绞线),它能支持大多数现代通信设备。如果需要某些宽带应用时,可以采用光缆。信息出口采用插孔为ISDN8芯(RJ45)的标准插口,每个信息插座都可灵活地运用,并根据实际应用要求可随意更改用途。
        .管理子系统:由交连、互连配线架组成。管理点为连接其他子系统提供连接手段。交连和互连允许将通信线路定位或重定位到建筑物的不同部分,以便能更容易地管理通信线路,使在移动终端设备时能方便地进行插拔。互连配线架根据不同的连接硬件分为楼层配线架(箱)IDF和总配线架(箱)MDF,IDF可安装在各楼层的干线接线间,MDF一般安装在设备机房。
        .垂直干线子系统:实现计算机设备、程控交换机(PBX)、控制中心与各管理子系统间的连接,是建筑物干线电缆的路由。该子系统通常是两个单元之间,特别是在位于中央点的公共系统设备处提供多个线路设施。系统由建筑物内所有的垂直干线多对数电缆及相关支撑硬件组成,以提供设备间总配线架与干线间楼层配线架之间的干线路由。常用介质是大对数双绞线电缆和光缆。
        .设备子系统:由设备间中的电缆、连接器和有关的支撑硬件组成,作用是将计算机、PBX、摄像头、监视器等弱电设备互连起来并连接到主配线架上。设备包括计算机系统、网络集线器(Hub)、网络交换机(Switch)、程控交换机(PBX)、音响输出设备、闭路电视控制装置和报警控制中心等。
        .建筑群子系统:将一个建筑物的电缆延伸到建筑群的另外一些建筑物中的通信设备和装置上,是结构化布线系统的一部分,支持提供楼群之间通信所需的硬件。它由电缆、光缆和入楼处的过流过压电气保护设备等相关硬件组成,常用介质是光缆。
        2.综合布线系统的范围
        综合布线的范围应根据建筑工程项目范围来定,主要有单幢建筑和建筑群体两种范围。
        .单幢建筑:一般是指在整幢建筑内部敷设的通信线路,还应包括引出建筑物的通信线路。
        .建筑群体:综合布线系统工程范围除包括每幢建筑内的通信线路外,还需包括各幢建筑之间相互连接的通信线路。
        上述范围是从基本建设和工程管理的要求考虑的,与今后的业务管理和维护职责等的划分范围有可能不同。因此,综合布线系统的具体范围应根据网络结构、设备布置和维护办法等因素来划分。
        3.综合布线系统的适用场合和服务对象
        综合布线系统的适用场合和服务对象有以下几类:
        .商业贸易类型:如商务贸易中心、金融机构、高级宾馆饭店、股票证券市场和高级商城大厦等高层建筑。
        .综合办公类型:如政府机关、群众团体、公司总部等办公大厦以及办公、贸易和商业兼有的综合业务楼和租赁大楼。
        .交通运输类型:如航空港、火车站、长途汽车客运枢纽站、江海港区城市公共交通指挥中心等。
        .新闻机构类型:如广播电台、电视台和新闻通信及报社业务楼等。
        .其他重要建筑类型:如医院、急救中心、科学研究机构、高等院校和工业企业及气象中心的高科技业务楼等。
 
       综合布线系统设计
               系统设计原则
               在进行综合布线系统设计时通常应遵循以下原则。
               (1)采用模块化设计,易于在配线上扩充和重新组合。
               (2)采用星型拓扑结构,从而使系统扩充和故障分析变得十分容易。
               (3)应满足通信自动化与办公自动化的需要,即满足语音与数据网络的广泛要求。
               (4)确保任何插座互连主网络,尽量提供多个冗余互连信息点插座。
               (5)适应各种符合标准的品牌设备互联入网,满足当前和将来网络的要求。
               (6)电缆的铺设与管理应符合综合布线系统的设计要求。
               工作区子系统设计
               工作区子系统提供从水平子系统的信息插座到用户工作站设备之间的连接,它包括工作站连线、适配器和扩展线等。
               一部电话机或一台计算机终端设备的服务面积可按8~10m2设置,也可按用户要求设置。采用标准信息插座,型号为RJ-45,采用8芯连线,全部按标准制造,符合ISDN标准。在RJ-45插座内不仅可以插入数据通信通用的RJ-45接头,也可以插入电话机专用的RJ-12插头。
               信息插座通常有3种安装形式,即安装于地面上、安装于分隔板上及安装于墙上。如果安装于墙上,信息插座应放置在距地面30~50cm处。
               水平子系统设计
               水平子系统是将垂直子系统线路延伸到用户工作区,由工作区的信息插座、信息插座至楼层配线设备(FD)的配线电缆或光纤、楼层配线设备和跳线等组成。
               水平子系统的设计应按以下要求进行。
               (1)水平子系统一般应使用20年左右,通常采用管线铺设,这也对双绞线的性能和质量提出了更高的要求。
               (2)进行网络布线时应考虑未来的发展(信息点冗余及网络带宽的需求)。
               (3)水平子系统采用4对双绞线,通常在超5类和6类之间选择,在高速率应用场合宜采用光缆。
               (4)根据整个综合布线系统的要求,应在交换间或设备间的配线设备上进行连接,以构成电话、数据传输设备并进行管理,配线电缆宜采用双绞线。电缆长度应在90m以内。
               垂直子系统设计
               垂直子系统主要用于连接各层配线室,并连接主配线室。其设计要求如下。
               (1)为安装和固定垂直子系统的电缆,要求建筑物竖井中应立有金属线槽,且每隔2m焊一根粗钢筋。
               (2)竖井中的线槽与各层配线室之间应有金属线槽连通。
               (3)垂直子系统采用的介质大多数为双绞线电缆和光纤。
               管理子系统设计
               管理子系统由交连、互连配线架组成,为连接其他子系统提供手段。其设计要求如下。
               (1)根据信息点的数量,对于信息点不是很多的楼层,为便于管理,几个楼层可共用一个子配线间;对于有较多信息点的楼层,一个楼层设置一个配线间。
               (2)配线间的位置可选在弱电井附近的房间内。配线室设标准机柜,用于安装配线架(双绞线、光纤)和计算机网络通信设备。
               设备间子系统设计
               设备间子系统(主配线间)由设备间中的电缆、连接器和相关支撑硬件组成,它把公共系统中的各种不同设备互连起来。该子系统将中继线交叉连接处和布线交叉处与公共系统设备(如PBX)连接起来。其设计要求如下。
               (1)通常主配线架设置在程控机房内,用于垂直光缆和PABX的连接。建议采用QCBIX系列配线架,可充分满足语音通信的要求。
               (2)通常计算机网络主配线架设在网管中心,使用光纤配线架,用来连接来自各分配线间的光纤,并通过光纤跳线和计算机网络中心交换机相连。光纤配线架可直接安装在标准的19in机柜内,用于主干光纤和网络设备的连接,十分易于管理。
               (3)对于设备间的建设应满足一定的要求,如室温、湿度、地板负重能力、消防、电源及UPS等。
               建筑群子系统设计
               建筑群子系统应由连接各建筑物之间的综合布线缆线、建筑群配线设备(CD)和跳线等组成。其设计要求如下。
               (1)建筑物间的缆线宜采用地下管道或电缆沟的铺设方式。
               (2)建筑物群干线电缆、光缆、公用网和专用网电缆、光缆(包括天线馈线)进入建筑物时,都应设置引入设备,并在适当位置转换为室内电缆、光纤。引入设备还包括必要的保护装置。引入设备宜单独设置房间,如条件合适也可与BD或CD合设。引入设备的安装应符合相关规定。
               (3)建筑群和建筑物的干线电缆、主干光缆布线的交接不应多于两次。
               (4)从楼层配线架(FD)到建筑群配线架之间只应通过一个建筑物配线架(BD)。
               管线设计
               综合布线系统中管线设计通常采用两种方案,即装配式槽形电缆桥架和地面线槽走线。
               电气防护、接地及防火设计
               综合布线系统应根据环境条件选用相应的缆线和配线设备,或采取防护措施,并应符合下列规定。
               (1)当综合布线区域内存在干扰或用户对电磁兼容性有较高要求时,宜采用屏蔽缆线和屏蔽配线设备进行布线,也可采用光纤系统。采用屏蔽布线系统时,所有屏蔽层应保持连续性。
               (2)综合布线系统采用屏蔽措施时,必须有良好的接地系统。
               (3)当电缆从建筑物外面进入建筑物时,电缆的金属护套或光纤的金属件均应有良好的接地,同时要采用过压、过流保护措施,并符合相关规定。
               (4)根据建筑物的防火等级和对材料的耐火要求,综合布线应采取相应的措施。
               (5)当综合布线线路上存在干扰源且不能满足最小净距要求时,宜采用金属管线进行屏蔽。综合布线电缆与附近可能产生高频电磁干扰的电动机、电力变压器等电气设备之间应保持必要的间距。墙上铺设的综合布线电缆、光纤及管线与其他管线应保持适当的间距。
   题号导航      2025年上半年 信息系统监理师 下午试卷 案例   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
 
第3题    在手机中做本题