IT_软考_信息系统项目
管理师_第四版教材
精读
1 信息化发展
1.1 信息与信息化
1.2 现代化基础设施
1.3 现代化创新发展
1.4 数字中国
1.5 数字化转型与元宇宙
2 信息技术发展
2.1 信息技术及其发展
2.2 新一代信息技术及应用
3 信息系统治理
3.1 IT治理
3.2 IT审计
4 信息系统管理
4.1 管理方法
4.2 管理要点
5 信息系统工程
5.1 软件工程
概述 软件工程由方法、工具和过程三个部分组成
1架构设计
概述
架构是结构、行为和属性的高级抽象
根本目的 解决好软件的复用、质量和维护问题
软件架构风格
分类
数据流风格 批处理序列和管道/过滤器
调用、返回风格
程主序/子程序、数据抽象和面向对象,以及层
次结构
独立构件风格 进程通信和事件驱动
虚拟机风格 解释器和基于规则的系统
仓库风格 数据库系统、黑板系统和超文本系统
惯用模式( Idiomatic Paradigm )
软件架构评估
评估人员所关注的是系统的质量属性
相关概念
敏感点( Sensitivity Point) 敏感点是一个或多个构件(或之间的关系)的特性
权衡点 Trade-off Point
权衡点是影响多个质量属性的特性,是多个质量
属性的敏感点
方式
调查问卷
场景
最常用
基于场景的评估方式是特定于领域的
方式
架构权衡分析法(Architecture Trade-off
Analysis Method, AT )
软件架构分析法( So ware Architecture
Analysis Method, SAAM )
成本效益分析法(Cost Benefit Analysis
Method, CBAM )
举例
用一系列对软件的修改来反映易修改性方面的需求
用一系列攻击性操作来代表安全性方面的需求
度量
一般采用剌激( Stimulus )、环境
Environment) 和响应( Response)三方面来对
场景进行描述。
2需求分析
概述
软件需求是指用户对新系统在功能、行为、性
能、设计约束等方面的期望
软件需求就是系统必须完成的事以及必须具备的
品质
需求层次
业务需求、用户需求和系统需求 从目标到具体,从整体到局部,从概念到细节
质量功能部署( Quality Function Deployment,
QFD )
将用户要求转化成软件需求的技术
目的是最大限度地提升软件工程过程中用户的满
意度
将需求分三类 常规需求、期望需求和意外需求。
需求过程
需求获取 方法
用户访谈、问卷调查、采样、情节串
联板、联合需求计划
需求分析
好的需求
有无二义性、完整性、 致性、可测试性、确定
性、可跟踪性、正确性、必要性的特性
关键在于对问题域的研究与理解
对问题域进行抽象,将其分解为若干个基本元
素,然后对元素之间的关系进行建模
结构化分析( Structured Analysis, SA )方法 建立的模型的核心是数据字典 层次
数据模型 实体关系图(E-R图)
功能模型 数据流图( Data Flow Diagram, DFD ) 数据传递和加工的角度,
行为模型/状态模型 状态转换图( State Transform Diagram, ST )
系统的状态和引起系统状态转换的事件,来表示
系统的行为,
面向对象的分析( Object Oriented Analysis,
OOA )
用例模型 用例建模 描述系统需求
分析模型 描述系统的基本逻辑结构
展示对象和类如何组成系统(静态模型),以及
它们如何保持通信,实现系统行为(动态模型)
需求规格说明书编制
软件需求规格说明书( So ware Requirement
Specification, SRS )
需求开发活动的产物 对于任何规模和性质的软件和项目都不应该缺少
GB/T 8567 《计算机软件文档编制规范》
范围、引用文件、需求、合规性规定、需求追踪
性、尚未解决的问题、注解和附录
需求验证与确认 活动内容
SRS 正确地描述了预期的、满足项目干系人需求
的系统行为和特征;
SRS 中的软件需求是从系统需求、业务规格和其
他来源中正确推导而来的;
需求是完整的和高质量的;
需求的表示在所有地方都是一致的;
需求为继续进行系统设计、实现和测试提供了足
够的基础。
UML 统一建模语言Unified Modeling Language, UML
支持从需求分析开始的软件开发的全过程,包括
OOA,OOD
结构
构造块
事物Thing
结构事物Structural Things
最静态部分,七种:类、接口、协作、用例、活
动类、构件、节点
行为事物Behavioral Things
动态部分,时间和空间上的动作,两类:交互、
状态机
分组事物Grouping Things 包,概念上的分组
注释事物Annotational Things
关系Relationship
依赖Dependency 事物之间,一个变化影响另外一个
关联Association 对象之间连接
泛化Generalization 特殊元素的对象可以替换一般元素的对象
实现Realization 类之间,一个类指定了由另一个类保证执行的契约
图Diagram
类图Class Diagram
对象图Object Diagram
构件图Component Diagram
组合结构图Composite Structure Diagram
用例图User Case Diagram
顺序图Sequence Diagram, 序列图
通讯图Communication Diagram
定时图Timing Diagram, 计时图
状态图State Diagram
活动图Activity Diagram
部署图Deployment Diagram
制品图Artifact Diagram
包图Package Diagram
交互概览图Interaction Overview Diagram
规则
构造块规则:命名、可见性、完整性、如何运行
等
公共机制
达到特定目标的公共UML方法:规格说明、修
饰、公共分类、扩展机制
UML 视图 对系统架构的定义,系统视图分类
逻辑视图
设计视图,重要意义的部分,如类、子系统、
包、用例实现的子集
进程视图
执行线程和进程作为活动类的建模,是逻辑视图
的一次实行实例,并发与同步结构
实现视图 物理代码文件和构建
部署视图
构建部署到物理节点上,软件到硬件的映射和分
布结构
用例视图 最基本的需求分析模型
面向对象分析OOA
OOA解决做什么,OOD解决怎么做
核心工作
用例模型
结构化分析( Structured Analysis, SA ) 包含部分设计
不好确定详细到什么程度,最极端是做到概要设
计;
缺点是分割了各系统功能的应用环境;
4阶段
识别参与者
合并需求获得用例
细化用例描述
调整用例模型
必须的
分析模型
从静态模型(对象和类)到动态模型(行为)
过程
定义概念类
确定类之间关系
为类添加职责
建立交互图等
类-责任-写作者
Class-Responsibility-Collaborator,CRC
类之间关系
关联
体现对象实例之间的关系,而不是类之间的关
系。其他关系都是类之间的。
依赖 B的变化可能引起A的变化,A依赖B
泛化/继承
父类子类,继承的反关系,父类泛化子类,子类
继承父类
共享聚集/聚合 轮胎-汽车,可以独立存在
组合聚集/组合 部门-公司,生命周期相同
实现 类实现接口
3软件设计
结构化设计
自顶向下、逐步求精、模块化
概要设计
功能模块分配到软件模块,确定每个模块功能和
调用关系,分解为具体任务
系统结构图
详细设计 分类
输入/输出设计
处理流程设计
数据存储设计
用户界面设计
安全性和可靠性设计
原则 高内聚、低耦合
面向对象设计
基本思想 抽象、封装、可扩展性(集成和多态) 核心问题:可维护性、可复用性
原则
单职原则 功能单一的类,高内聚
开闭原则 对扩展开放,对修改封闭
李氏替换原则 子类可以替换父类
依赖倒置原则
要依赖抽象,而不是具体实现;要针对接口编
程,不要针对实现编程;
接口隔离原则 使用多个专门的接口比使用单一的总接口要好
组合重用原则 要尽量使用组合,而不是集成关系达到重用目的
迪米特原则(最少知识法则) 一个对象应尽可能少的了结别的对象,低耦合
设计模式 分类
范围
类模式
对象模式
用途
创建型模式Creational 工厂方法、抽象工厂、原型、单例、建造者
结构型模式Structural 组合 适配器、桥接、组合、装饰、外观、享元、代理
行为型模式Behavioral 职责
职责链、命令、解释器、迭代器、中介者、备忘
录、观察者、状态、策略、模版方法、访问者
4软件实现
软件配置管理
标识产品的组成元素、管理和控制变更、验证、
记录和报告配置信息
质量保证目标密切相关
活动
软件配置管理计划、软件配置标识、软件配置控
制、软件配置状态记录、软件配置审计、软件发
布管理与交付
标识配置项,建立基线
控制,变更
记录配置项状态
审计,独立评价
发布,交付版本,关键是软件库
软件编码
程序质量主要取决于软件设计的质量
影响因素
程序设计语言 人和计算机通 的最基本工具
程序设计风格 读程序的时间比 程序的时间还要多
源程序文档化
数据说明
语句结构
输入/输出方法
程序复杂性度量 常数,估算故障数量及开发工作量
编码效率
程序效率 速度+内存
算法效率 速度+存储
存储效率 时间空间效率 关键是程序的简单化
I/O效率 面向人/面向设备
软件测试
GB/T 15532 《计算机软件测试规范》
分类
静态 文档、代码
检查单
桌面检查Desk Checking, 代码走查,代码审查 30-70%的错误
动态
白盒
结构测试
控制流、数据流、程序变异测试,静态测试代码
走查也是白盒
技术 逻辑覆盖
语句、判定、条件、条件/判定、条件组合、修正
的条件/判定、路径覆盖
黑盒 功能测试 信息完整性 测试用例
等价值划分、边界值分析、判定表、因果图、状
态图、随机测试、猜错法、正交试验法
5部署交付
软件部署与交付
应用系统的配置是整个部署过程中的主要错误来
源
分支冗余导致合并困难;
缺陷过多导致阻塞测试:
开发环境、测试环境、部署环境不统一导致的未
知错误:
代码提交版本温乱无法回溯:
等待上线周期过长:
项目部署操作复杂经常失败:
上线之后出现问题需要紧急回滚:
架构设计不合理导致发生错误
之后无法准确定位等困境
持续交付
完全自动化,一键部署
方案
在需求阶段,抛弃了传统的需求文档的方式,使
用便于开发人员理解的用户故事:
在开发测试阶段,做到持续集成,让测试人员尽
早进入项目开始测试:
在运维阶段,打通开发和运维之间的通路,保持
开发环境和运维环境的统一
优势
持续交付能够有效缩短提交代码到正式部署上线
的时间,降低部署风险:
持续交付能够自动、快速地提供反馈,及时发现
和修复缺陷:
持续交付让软件在整个生命周期内都处于可部署
的状态;
持续交付能够简化部署步骤,使软件版本更加清
晰:
持续交付能够让交付过程成为 种可靠的、可预期
的、可视化的过程
评价指标
仅涉及一行代码的改动需要花费多少时间才能部
署上线,这也是核心指标:
开发团队是否在以一种可重复、可靠的方式执行
软件交付
主流部署周期以分钟为单位
互联网巨头单日部署8000次以上,部分20000次
以上
持续部署
方案 容器技术
Kubernetes+Docker
Matrix
原则
部署包全部来自统 的存储库;
所有的环境使用相同的部署方式;
所有的环境使用相同的部署脚本:
部署流程编排阶梯式晋级,即在部署过程中需要
设置多个检查点, 旦发生问题可以有
序地进行回滚操作:
整体部署由运维人员执行;
仅通过流水线改变生 环境,防止配置漂移;
不可变服务器;
部署方式采用蓝绿部署或金丝雀部署
层次 一套可正常运行的环境 Build-Ship-Run 编译-依赖-启动
不可变服务器 一种部署模式 依赖容器部署 对服务器只更新和安装补丁
蓝绿部署或金丝雀部署
蓝绿部署 新旧两个版本,出现问题及时切回旧版本
金丝雀部署 少量用户使用新版本
部署与交付的新趋势
工作职责和人员分工的转变
运维人员转化为开发自动化部署脚本,逐步并入
开发人员
大数据和云计算基础设施的普及进 步给部署带来
新的飞跃:
计算机本身也可以自动化创建和回收 部署能力和灵活性出现了质的飞跃
研发运维的融合
6过程管理
概述
过程能力
治理能力、开发与交付能力、管理与支持能力、
组织管理能力等
方法和实践
国际常用的能力成熟度模型集成( Capability
Maturity Model Integration, CMMI
中国电子工业标准化技术协会发布的T/CESA
1159《软件过程能力成熟度模型?(Software
Process Capability Maturity Model )团体标
准,CSMM
成熟度模型 CSMM
由4个能力域、 20 个能力子域、 161 个能力要求
组成:
治理:包括战略与治理、目标管理能力子域,用
于确定组织的战略、产品的方向、组织
的业务目标,并确保目标的实现。
开发与交付:包括需求、设计、开发、测试、部
署、服务、开源应用能力子域,这些能
力子域确保通过软件工程过程交付满足需求的软
件,为顾客与利益干系人增加价值。
管理与支持:包括项目策划、项目监控、项目结
项、 质量保证、风险管理、配置管理、
供应商管理能力子域,这些能力子域覆盖了软件
开发项目的全过程,以确保软件项目能
够按照既定的成本、进度和质量交付,能够满足
顾客与利益干系人的要求。
组织管理:包括过程管理、人员能力管理、组织
资源管理、过程能力管理能力子域,对
软件组织能力进行综合管理。
成熟度等级
1初始 依赖个人主动性和能力 结果不确定
2项目规范 项目按计划出现预期项目目标 管理规范、基础过程、组织保障
3组织改进 组织内稳定实现预期项目目标
持续改进组织标准过程和过程资产
项目根据自身特征,依据组织资产实现项目目
标,并贡献过程资产
4量化提升 组织内量化管理实现预期组织和项目目标
统计分析技术进行管理
量化的质量和过程绩效目标
组织层面认识到能力改进的重要性
过程基线、过程绩效模型
分析技术
应用先进实践,提升软件过程效率或质量
5创新引领 持续提升,引领行业发展
优化革新
软件过程的创新提升组织竞争力 持续提升
行业最佳案例
能力域与成熟度等级的对应关系
5.2 数据工程
1数据建模
数据模型 分类
概念模型 信息模型
按用户的观点来对数据和信息建模 不依赖于具体的信息系统,概念级别
元素
实体
属性
域 类数据字典,取值范围:{男,女}
键 唯一标识实体的一个或多个属性
关联 一对一、一对多、多对多
要求
真实、充分,表达需求
简洁、明晰,用户参与
易于变动
易于转换,比如导出DBMS相关的逻辑模型
逻辑模型
概念模型+数据结构
类别
层次模型、网状模型、关系模型、面向对象模型
和对象关系模型
关系模型成为目前最重要的一种
完整性约束 实体、参照、用户定义完整性 前两个必须满足
物理模型
逻辑模型+技术实现 表+列+外键关系
元素 表、字段、视图、索引、存储过程、触发器
数据建模过程
数据需求分析 数据流图
概念模型设计
逻辑模型设计 关系
物理模型设计 存储应用
2数据标准化
概述 数据标准化是实现数据共享的基础 简单化、结构化、标准化
元数据标准化
关于数据的数据Data About Data
信息对象 单一文件、多资源集合、过程及参数
元数据体系及类型
信息内容 内容元数据 标记数字对象内容及结构的元数据
内容对象 专门元数据
描述单一数字对象内容、属性及外在特征的元数
据
内容对象集合 资源集合元数据
按照科学、主题、 资源类型、用户范围、生成过
程,使用管理范围形成的信息资源集合的描述
对象的管理与保存 管理元数据
数字对象加工、存档、结构、技术处理、存取、
控制、版权管理以及相关系统等方面的信息描述
对象的服务
服务过程
服务系统
服务元数据
数字资源服务的揭示与表现、服务过程、服务系
统等方面的相关信息的描述
元数据的管理 元元数据
对元数据的标记语言、格式语言、标识符、扩展
机制、转换机制等的描述
数据元标准化
开放系统互连环境Open Systems
Interconnection Environment, OSIE
基本要素 硬件、软件、通信、数据 数据元标准化是针对数据的
数据元
数据库、文件和数据交换的基本数据单元 不可再分的最小数据单元
组成
对象 与类或实体相对应
特性 一个对象类的所有成员所共有的特征
表示 值域、数据类型、表示类(可选)、计量单位
表示类性别的数据类型是字符,值域是男/女,计
量单位无
数据元提取
新系统 自上而下
已有系统 自下而上
数据元制定的过程
描述
界定业务范围
开展业务流程分析与信息建模
借助信息模型,提取数据元,并按照一定的规则
规范其属性
GB/T18391《信息技术数据元的规范与标准化》
对代码型的数据元,编制其值域,即代码表
GB/T 7026 《标准化工作导则信息分类编码标准
的编写规定》
与现有的国家标准或行业标准进行协调
发布实施数据元标准并建立相应的动态维护管理
机制
数据模式标准化
数据模式是数据的概念、组成、结构和相互关系
的总称
对统一的数据模型有准确的无歧义的理解
数据分类与编码标准化
分类 分类对象+分类依据
编码 事物和概念转换为代码元素集合
是简化信息交换、实现信息处理和信息资源共享
的重要前提
是建立各种信息管理系统的重要技术基础和信息
保障依据
数据标准化管理 四阶段 确定-制定-批准-实施
3数据运维
数据存储
两方面
数据临时或长期驻留物理媒介上
数据完整安全存放和访问而采取的方式或行为
解决方案
存储介质 类型:磁带、光盘、磁盘
存储管理 主要内容
资源调度管理
存储资源管理
负载均衡管理
安全管理 攻击大致分为两类
扰乱服务器正常工作
侵入/破坏服务器
数据备份
常见结构 DAS、基于LAN、LAN-FREE、SERVER-FREE
备份软件 操作系统自带+专业备份软件
数据容灾
容灾系统 应用容灾、数据容灾 数据容灾是应用容灾的基础、子集
数据备份是数据容灾的基础,最后一道防线 容灾不是简单备份
恢复能力-等级 国际标准 SHARE 78 定义的容灾系统有七个等级
衡量指标
RPO Recovery Point Object 灾难发生时允许丢失的数据量
RTO Recovery Time Object 系统恢复的时间
数据质量评价与控制
数据质量高低必须从用户使用的角度看
描述 数据质量元素来描述 定量、非定量元素
评价过程
评价方法 直接、间接评价方法
控制 前期控制-过程控制-系统检测-精度评价
数据清理/清洗
实现准确性、完整性、一致性、唯一性、适时
性、有效性、适应后续操作
步骤
数据分析
数据检测
数据修正
4数据开发利用 技术手段
数据集成
不同数据源中的数据进行整合,向用户提供统 的
数据视图
异构、分散的数据,透明访问
数据挖掘
数据挖掘与传统数据
1数据量大;2使用人工智能、数据统计、可视化
等技术;3预测发现为目的;4不够成熟;
主要任务
数据总结、关联分析、分类和预测、聚类分析和
孤立点分析
阶段
确定分析对象、数据准备、数据挖掘、结果评估
与结果应用
专业人员 业务分析人员、数据挖掘人员和数据管理人员
数据挖掘的结果经过决策人员的许可才能实际运
用,以指导实践
数据服务
数据目录服务 where
数据查询与浏览及下载服务 share
数据分发服务 数据生产者->用户 数据发布、数据发现、数据评价和数据获取
数据可视化
科学计算可视化 Visualization in Scientific
Computing
数据可视化Data Visualization
方式
一维 线性
二维 属性构成 如:物体宽高
三维 立体信息
多维 为了可视化要降维
时态 二维特例,即其中一个维度是时间
层次 树形
网络
信息检索
方法
全文 文本
字段 著录
基于内容的多媒体检索 图像、声音、视频
数据挖掘
技术
布尔逻辑
截词 截断词的局部检索,?*来替代
临近 位置检索
限定字段 指定检索词再记录中出现的字段
限制 限制检索范围,优化检索
5数据安全
数据库安全威胁
数据库安全对策
防止非法数据访问 关键需求
防止推导 通过授权数据推导机密信息
保证数据库的完整性 访问控制、备份恢复
保证数据的操作完整性 逻辑一致性
保证数据的语义完整性 逻辑上的完整性,比如数据值约束
审计和日志 有效的威慑;事后追查和分析工具;
标识和认证 第一道安全防线,授权、审计的前提条件
机密数据管理
多级保护 安全需求的集合;
限界 防止程序之间非授权的信息传递 信息传递:授权通道、存储通道、隐通道
数据库安全机制
实现安全策略的功能合集:身份认证、存取控
制、数据库加密、数据审计、推理控制等
5.3 系统集成
1集成基础
计算机硬件平台、网络系统、系统软件、工具软
件、应用软件的集成;
它是以计算机有关技术储备为基础,以可靠的产
品为工具,用以实现某一特定的计算机系统功能
组合的工程行为。
内容 技术环境、数据环境、应用程序
原则
开放性
遵循工业开放标准 影响系统生命周期长短
才能满足可互操作性、可移植性、可伸缩性 无缝互操作
结构化 复杂系统->独立简单子系统->更简单模块 自顶向下
先进性 目前、未来的先进性 技术先进性基础上
主流化
可靠的技术支持、成熟的使用环境、良好的升级
发展势头
2网络集成
组织+技术问题 体系框架
体系框架(各子系统)
传输
网络核心、公路和血管、带宽体现通信能力和现
代化水平、介质决定通信质量
无线、有线介质
有线:双绞线、同轴电缆、光纤
无线:无线电波、微波、红外线
交换 局域、城域、广域网交换技术
安全 防火墙、数据加密、访问控制等
网管 网络是动态的,要配置管理,找出瓶颈并解决
服务器 提供资源与服务并协调服务
高配置微机、工作站、小型机、超级小型机、大
型机
因素
CPU速度和数量;内存容量和性能;总线结构和
类型;磁盘容量和性能;容错性能;网络接口性
能;服务器软件;
服务 网络服务是网络应用最核心的问题 网络服务包括
互联网服务、多媒体信息检索、信息点播、信息
广播、远程计算、事务处理、其他信息服务
网络操作系统
调度管理网络资源,为用户提供统一透明的使用
手段
网络资源包括
网络服务器、工作站、打印机、网桥、路由器、
交换机、网关、共享软件和应用软件
3数据集成
数据仓库是数据集成的关键 数据集成是最终实现数据共享和辅助决策的基础
层次
基本数据集成 同一业务实体存在于多个系统源中 解决方法
隔离 每次出现都指派一个唯一标识符
调和 确认相同实体,合并 制定主导地位的系统
多级视图集成
底层-局部模型 如:关系和文件
中间-公共模式 如:扩展关系模型或对象模型
高级-综合模型
模式集成 属性等价、关联等价、类等价 最终归于属性等价
多粒度数据集成
异构数据处理中最难处理的问题
模式 自动逐步抽象
异构数据集成
完整性 数据+约束完整性
方法
过程式方法
点对点设计方法
设计软件模块来存取数据源
依赖Wrapper来封装数据源
利用Mediator来合并和一致化从多个Wrappers
和其他Mediator传过来的数据
声明式方法
一套语言对多个数据源建模
两个关键问题
相临领域的概念化建模和基于这一概念化表示的
推理可行性
利用中间件集成异构数据库
中间件主要为异构数据源提供一个高层次的检索
服务。不需要改变原始数据的存储和管理。
开放数据库互联标准ODBC
基于XML的数据交换标准 全局数据模式 条件
能描述各种数据格式
易于发布和进行数据交换
可采用关系或对象数据模式
基于JSON的数据交换格式 JavaScript Object Notation 轻量级,易于阅读和编写
4软件集成
趋势 信息系统开发环境
从结构化到面向对象、从集中到分布、从同构到
异构、从独立到集成、从辅助到智能、从异步到
协同的发展趋势
软件构建标准
CORBA, Common Object Request Broker
Architecture, 公共对象请求代理机构
由对象管理组织OMG制定
CORBA+JINI 电子产品成为网络上的服务资源
CORBAS+ObjectWeb Internet
自动匹配许多公共网络任务
COM 二进制代码对象:DLL或EXE 由系统平台直接支持的对象(Windows) 由各种编程语言实现及引用
DCOM与COM+
DCOM COM的扩展 RPC
COM+ COM更高层次
应用层组件,与操作系统结合更紧密,从桌面系
统上升到网络层
.NET 框架
J2EE 体系结构
客户端层、服务器端组件层、EJB层、信息系统
层
5应用集成
系统集成栈 网络-语法,数据-语义,应用-语用
技术要求
具有应用间的互操作性 信息语用交换
具有分布式环境中应用的可移植性 静态+动态重构
具有系统中应用分布的透明性 屏蔽分布的复杂性
可用组件
API 特定数据结构
事件驱动型操作
数据映射 定义数据交换方式
5.4 安全工程
1工程概述
业务应用与信息安全系统同步建设
信息安全-系统工程,不是信息系统安全工程...
2安全系统
信息系统:一个或多个业务系统+一个信息安全
系统,信息安全系统是客观、独立于业务应用信
息系统的。
信息安全空间
X-安全机制
基础设施实体安全、平台安全、数据安全、通信
安全、应用安全、运行安全、管理安全、授权和
审计安全、安全防范体系
1-硬件,2-操作系统、网络设备漏洞、基础应
用,3-数据,4通信线路、网络设备安全、通信
加密,5业务应用测试,6应急处置,7人软硬件
文档等管理,8用户到应用授权的映射管理
9EISRM组织信息安全资源综合管理 6能力
预警( Warn )、保护( Protect )、检测(
Detect )、反应( Response )、恢复(
Recover )和反击( Counter-attack)
WPDRRC信息安全保障体系
Y-OSI网络参考模型
Z-安全服务
对等实体认证服务
数据保密服务
数据完整性服务
数据源点认证服务
禁止否认服务
犯罪证据提供服务
安全空间5大属性 认证、权限、完整、加密、不可否认
安全技术
加密、数字签名技术、防控控制、数据完整性、
认证、数据挖掘
3工程基础
比其他工程更复杂,接口多,外部协调,吸收安
全管理的成熟规范
4工程体系架构
信息系统安全工程Information Security System
Engineering, ISSE
ISSE-CMM基础
CMM成熟度模型 统计过程控制理论
所有成功组织的共同特点是都具有一整套严格定
义、管理完善、可测可控的有效业务过程
涵盖
整个生命周期、与其他规范互作用、与其他组织
互作用
适用
工程组织(Engineering Organizations )、获取
组织(Acquiring Organizations )和评估组
织( Evaluation Organizations)
自我评估,可信任性
实施过程
工程过程(Engineering Process )、风险过
程( RiskProcess )和保证过程(Assurance
Process 三个基本的部分
ISSE过程
工程过程
风险过程
风险就是有害事件发可能性及其危害后果。 有害事件
威胁 可被威胁利用的资产性质
脆弱性
影响
风险管理是调查和量化风险的过程,并建立组织
对风险的承受级别
不可能消除所有威胁或根除某个具体威胁 必须接受残留风险
保证过程 安全需求得到满足的可信程度 不增加对风险的抗拒能力,增加减少风险的信心
ISSE-CMM体系结构 两维设计
域Domain 域维/安全过程域 所有实施活动,即过程域 6个基本实施+11个过程域
能力Capability
能力维/公共特性
组织能力 过程管理能力+制度化能力
通用实施( Generic Practices, GP ) 5级别
能力级别 无须要求严格地进行前后排序。
业务目标是如何使用ISSE-CMM 模型的主要驱动
力。对典型的改进活动,也有基本活动次序基本
原则。
6 项目管理理论
6.1 PMBOK的发展
6.2 项目基本要素
6.3 项目经理的角色
6.4 价值驱动的项目管理知识体系
7 项目立项管理
7.1 项目建议与立项申请
7.2 项目可行性研究
7.3 项目评估与决策
8 项目整合管理
8.1 管理基础
8.2 管理过程
8.3 制定项目章程
8.4 制订项目管理计划
8.5 指导与管理项目工作
8.6 管理项目知识
8.7 监控项目工作
8.8 实施整体变更控制
8.9 结束项目或阶段
9 项目范围管理
9.1 管理基础
9.2 管理过程
9.3 规划范围管理
9.4 收集需求
9.5 定义范围
9.6 创建WBS
9.7 确认范围
9.8 控制范围
10 项目进度管理
10.1 管理基础
10.2 管理过程
10.3 规划进度管理
10.4 定义活动
10.5 排列活动顺序
10.6 估算活动持续时间
10.7 制订进度计划
10.8 控制进度
11 项目成本管理
11.1 管理基础
11.2 管理过程
11.3 规划成本管理
11.4 估算成本
11.5 制定预算
11.6 控股成本
12 项目质量管理
12.1 管理基础
12.2 管理过程
12.3 规划质量管理
12.4 管理质量
12.5 控制质量
13 项目资源管理
13.1 管理基础
13.2 管理过程
13.3 规划资源管理
13.4 估算活动资源
13.5 获取资源
13.6 建设团队
13.7 管理团队
13.8 控制资源
14 项目沟通管理
14.1 管理基础
14.2 管理过程
14.3 规划沟通管理
14.4 管理沟通
14.5 监督沟通
15 项目风险管理
15.1 管理基础
15.2 管理过程
15.3 规划风险管理
15.4 识别风险
15.5 实施定性风险分析
15.6 实施定量风险分析
15.7 规划风险应对
15.8 实施风险应对
15.9 监督风险
15.10 风险管理示例
16 项目采购管理
16.1 管理基础
16.2 管理过程
16.3 规划采购管理
16.4 实施采购
16.5 控制猜哦股
16.6 项目合同管理
17 项目干系人管理
17.1 管理基础
17.2 管理过程
17.3 识别干系人
17.4 规划干系人参与
17.5 管理干系人参与
17.6 监督干系人参与
18 项目绩效域
18.1 干系人绩效域
18.2 团队绩效域
18.3 开发方法和生命周期绩效域
18.4 规划绩效域
18.5 项目工作绩效域
18.6 交付绩效域
18.7 度量绩效域
18.8 不确定性绩效域
19 配置与变更管理
19.1 配置管理
19.2 变更管理
19.3 项目文档管理
20 高级项目管理
20.1 项目集管理
20.2 项目组合管理
20.3 组织级项目管理
20.4 量化项目管理
20.5 项目管理实践模型
21 项目管理科学基础
21.1 工程经济学
21.2 运筹学
22 组织通用治理
22.1 组织战略
22.2 绩效考核
22.3 转型升级
23 组织通用管理
23.1 人力资源管理
23.2 流程管理
23.3 知识管理
23.4 市场营销
24 法律法规与标准规范
24.1 法律法规
民法典(合同编)
招标投标法
政府采购法
专利法
著作权法
商标法
网络安全法
数据安全法
24.2 标准规范
系统与软件工程标准
新一代信息技术标准
信息技术服务标准
参考文献
勘误
P28 最后一行 第8个字 删除
P128 (6)AC选项重复
数据存储
每个任务的技术手段和处理方法