第一篇:信息資源管理試題重點復習
1資源指人類社會活動各個領(lǐng)域所產(chǎn)生和有使用價值的信息集合。
2.信息源:一般指信息的來源地(包括信息資源生產(chǎn)地和發(fā)生地)即信息的來源,分成三個層次;人類社會實踐活動、各種媒體以及網(wǎng)絡(luò)、文化遺產(chǎn)和活動成果。3.霍頓論1戰(zhàn)略信息管理2商業(yè)競爭分析和情報階段3信息資源管理4信息技術(shù)管理5文書管理
4.馬錢德、克萊斯蘭信息資源管發(fā)展階段理論:1信息的物理控制階段2自動化技術(shù)的管理階段3信息資源管理階段4知識管理階段
5.信息資源的自然屬性:1非物質(zhì)性2易流動性3可再生性和數(shù)量的無限性4易轉(zhuǎn)換性5易分享性6質(zhì)量差異性7意義多樣性
6.信息資源的經(jīng)濟屬性:1效用性 2供給的稀缺性3成本結(jié)構(gòu)的特殊性4體驗性
7、信息資源管理的理論基礎(chǔ): 信息科學理論、管理學理論、信息生命周期理論、信息生態(tài)理論、信息構(gòu)建理論
(二)1.社會信息化對信息資源管理法規(guī)制度建設(shè)的影
響
社會信息化引起了法律的不確定性,因為現(xiàn)行的法律不能適應技術(shù)的發(fā)展。數(shù)字化和網(wǎng)絡(luò)化對知識產(chǎn)權(quán)保護法律的挑戰(zhàn)。計算機犯罪和網(wǎng)絡(luò)犯罪挑戰(zhàn)傳統(tǒng)的安全觀念和安全機制。個人隱私保護意識的普遍覺醒,對現(xiàn)有個人信息收集管理和傳播利用制度的挑戰(zhàn)。國家對不良信息的控制力迅速下降 2.信息采集政策法規(guī)的內(nèi)容
(1)對政府機構(gòu)信息采集活動的法律規(guī)范。(2)對大眾媒介信息采集活動的法律規(guī)范。(3)對商業(yè)機構(gòu)信息采集活動的法律規(guī)范。(4)對公益性機構(gòu)信息采集活動的法律規(guī)范。(5)有關(guān)公民個人信息采集權(quán)利的法律研究。3.企業(yè)信息公開制度 :企業(yè)信息公開制度又稱“信息披露制度”,是指上市公司必須按照法律的規(guī)定,報告或公告其有關(guān)的信息、資料,以投資者能獲得充分的信息,便于做出投資判斷的一系列法律法規(guī)的總稱。簡言之,信息公開制度就是規(guī)定信息公開的內(nèi)容、時間、方式、程序等事項的法律規(guī)范。按公開時間不同,其可分為證劵發(fā)行信息公開制度和證劵交易信息公開制度。5.信息資源利用方面需要注意哪些法律問題(1)政府信息的利用的法律規(guī)范。
(2)受知識產(chǎn)權(quán)法律保護的信息資源的利用。(3)私有信息和個人信息的利用。為了保護私有信息不被侵犯,(三)1.政府信息資源管理的主要任務
1.制定和實施政府信息資源開發(fā)利用規(guī)劃2.研究和制
定相關(guān)的政策和法規(guī)3.政府信息基礎(chǔ)的管理4.政府應用系統(tǒng)開發(fā)和維護的管理5.政府信息技術(shù)的管理6.政府信息安全管理
3.國外電子政務發(fā)展特點:1.政府領(lǐng)導人的倡導和支持2.以用戶為中心3.門戶網(wǎng)站功能完善4.統(tǒng)一規(guī)劃和標準5.實行分階段實施策略6.重視市場機制的作用 4.試分析我國電子政務發(fā)展存在的問題,并提出解決的策略:發(fā)展存在的問題:(1)認識上的盲目性:認識不到電子政務建設(shè)的長期性、復雜性等特征。(2)信息資源難以整合:(3)信息基礎(chǔ)設(shè)施較弱:(4)績效評估的弱化:(5)地區(qū)信息化水平不均:
解決的策略:(1)加快加強政府管理體制改革:(2)充分合理利用已有的服務網(wǎng)絡(luò)(3)努力搞好信息基礎(chǔ)設(shè)施建設(shè)(4)規(guī)范績效考核體系(5)加強國家的宏觀調(diào)控(四)1.企業(yè)信息結(jié)構(gòu):現(xiàn)代企業(yè)中,它一般指企業(yè)應用系統(tǒng)結(jié)構(gòu)中以下各種組成部分: 1.數(shù)據(jù)、功能(對象)和工作流模型2.應用的資源和工作流3.資源的各平臺上的分配
3.企業(yè)信息資源的構(gòu)成(1)廣義的企業(yè)信息資源包括具有與信息相關(guān)的知識和技能的人才,信息技術(shù)中的硬件和軟件設(shè)備,提供信息處理和服務的系統(tǒng)和機構(gòu)。(2)狹義的企業(yè)信息資源是企業(yè)所擁有的數(shù)據(jù)和文獻資料,經(jīng)過加工、整理、用于生產(chǎn)、經(jīng)營與管理方面的各種經(jīng)濟信息,企業(yè)擁有的知識產(chǎn)權(quán)、員工個人的知識和經(jīng)驗、商業(yè)競爭情報等。
4.企業(yè)信息化的內(nèi)涵:(1)目標和目的:全面提高企業(yè)的經(jīng)濟效益和競爭力,服務于企業(yè)的發(fā)展目標。(2)技術(shù)手段:IT應用,硬件設(shè)施建設(shè),軟件系統(tǒng)設(shè)計、開發(fā)和實施。(3)非技術(shù)手段:規(guī)劃和部署,業(yè)務流程重組或優(yōu)化,專家指導實施,全員培訓。
5.企業(yè)信息化建設(shè)基本任務 :1生產(chǎn)過程信息化2研究開發(fā)工作信息化3市場與銷售業(yè)務信息化4財務管理信息化5管理決策信息化
7.試分析如何建設(shè)企業(yè)信息化發(fā)展的技術(shù)平臺在ERP的基礎(chǔ)上延伸或發(fā)展:1.客戶關(guān)系管理2.供應鏈管理3.協(xié)同產(chǎn)品商務4.產(chǎn)品數(shù)據(jù)管理5.產(chǎn)品生命周期管理6.制造執(zhí)行管理系統(tǒng)7.內(nèi)外部知識源相接的知識管理。
8.我國電子商務的主要盈利模式
(1)本行業(yè)產(chǎn)品銷售,通過網(wǎng)絡(luò)平臺銷售自己生產(chǎn)產(chǎn)品或加盟廠商產(chǎn)品;(2)銷售與本行業(yè)相關(guān)的產(chǎn)品;(3)提供租賃服務;(4)拍賣產(chǎn)品,收取中間費用;(5)提供銷售平臺,接收客戶在線訂單,收取交易中介費;(6)特許加盟,一方面可以迅速擴大規(guī)模,另一方面可以收取一定的加盟費;(7)注冊會員,收取會費;(8)提供上網(wǎng)服務,為行業(yè)內(nèi)企業(yè)提供相關(guān)服務;(9)為業(yè)內(nèi)企
業(yè)發(fā)布廣告;
(10)咨詢服務,為業(yè)內(nèi)廠商提供咨詢服務,收取服務費;
(五)1.公益性信息資源的性質(zhì) :(1)公益性----主
要采用無償或低價服務,不以營利為目的的信息資源;(2)公開性----可以向全民公開,不涉及國家機密,國家安全和個人隱私;(3)共享性---可以在全社會或一定區(qū)域共享,如同共同利用,相互交換,互借等。3.現(xiàn)代圖書館的社會職能(1)保存人類文化遺產(chǎn)(2)開展社會教育(3)傳遞科技信息(4)開發(fā)智力資源
(六)網(wǎng)絡(luò)信息資源的特點(1)內(nèi)容豐富,數(shù)量大。(2)多媒體、多類型、多語種,傳播范圍廣泛。(3)信息構(gòu)成復雜,缺乏管理(4)交互性強。(5)分散性和動態(tài)性。2.網(wǎng)絡(luò)信息資源的實現(xiàn)技術(shù)(1)網(wǎng)絡(luò)信息過濾技術(shù)(2)組織技術(shù)(3)推送技術(shù)(4)網(wǎng)絡(luò)信息空間和語義Web(5)網(wǎng)絡(luò)信息管理的安全技術(shù)
3.目前網(wǎng)絡(luò)信息資源利用涉及到的主要領(lǐng)域(1)基礎(chǔ)設(shè)施和標準化(2)法律問題(3)經(jīng)濟問題(4)發(fā)展問題(5)社會文化問題
4.網(wǎng)絡(luò)信息資源管理存在的主要問題,并談談目前治理的基本思路(1)宏觀方面主要問題:基礎(chǔ)設(shè)施與標準化、因特網(wǎng)地址域名資源的管理、域名和商標的糾紛及仲裁、ISP對于內(nèi)容的責任、因特網(wǎng)技術(shù)融合、因特網(wǎng)的安全問題、知識產(chǎn)權(quán)和個人隱私的保護問題、垃圾郵件問題。對策:①建立全球因特網(wǎng)委員會(GIC);②不另外成立具體的監(jiān)管機制;③成立國際互聯(lián)網(wǎng)委員會(IIC);④治理、監(jiān)管和全球協(xié)作的綜合集成; 我國對策:①加強對新技術(shù)、新業(yè)務引發(fā)的因特網(wǎng)信息安全問題的研究;②引進因特網(wǎng)域名根服務器和鏡像服務器,③研究探索國內(nèi)IP地址集中申請機制建立、運作和管理方式;④增強因特網(wǎng)站、域名信息、IP地址信息比對功能,⑤加強網(wǎng)絡(luò)完全應急預案和工作機制的研究與制定,⑥開展對虛擬主機、主機托管服務的治理工作;⑦充分發(fā)揮因特網(wǎng)協(xié)會的機制和作用,引導因特網(wǎng)行業(yè)自律;
5.網(wǎng)絡(luò)信息資源管理的評價方法 第三方評價法 用戶評價法 網(wǎng)絡(luò)計量法
(七)1.知識管理系統(tǒng)的基本結(jié)構(gòu): 知識管理系統(tǒng)的基本結(jié)構(gòu)是一種建立在現(xiàn)代信息技術(shù)上的知識管理的架構(gòu)。主要包括知識門戶、發(fā)現(xiàn)服務、協(xié)作服務、知識地圖、知識庫、基礎(chǔ)設(shè)施。
3.知識管理的內(nèi)容 1。對知識和最佳經(jīng)營經(jīng)驗的共享 2。加強共享責任的宣傳3。積累和利用過去的經(jīng)驗4。將知識融入產(chǎn)品、服務和生產(chǎn)過程5。把知識作為產(chǎn)品來進行生產(chǎn)6。驅(qū)動以創(chuàng)新為目的的知識生產(chǎn)7。建立專家網(wǎng)絡(luò)8。建立和挖掘客戶的知識庫9。理解和計量知識的價值10。利用與保護知識資產(chǎn)
(八)1.信息系統(tǒng)開發(fā)模型 1瀑布模型 2原型法 3增量開發(fā)模型
2.信息系統(tǒng)安全技術(shù)措施:技術(shù)措施是信息系統(tǒng)安全的重要保障。實施安全技術(shù),涉及計算機和外部設(shè)備及其通訊和網(wǎng)絡(luò)等實體,數(shù)據(jù)安全、軟件安全、網(wǎng)絡(luò)安全、運行安全和防病毒技術(shù)。安全技術(shù)措施應貫穿于系統(tǒng)分析、設(shè)計、運行、和維護及管理的各個階段。信息系統(tǒng)的安全保證措施是系統(tǒng)的有機組成部分,3.網(wǎng)絡(luò)管理的功能(1)故障管理(2)配置管理(3)計費管理(4)性能管理(5)安全管理
4企業(yè)網(wǎng)絡(luò)信息系統(tǒng)建設(shè)總體規(guī)劃與設(shè)計:網(wǎng)絡(luò)信息系統(tǒng)總體規(guī)劃1。確定網(wǎng)絡(luò)信息系統(tǒng)的結(jié)構(gòu)。網(wǎng)絡(luò)信息系統(tǒng)結(jié)構(gòu)的確定應根據(jù)用戶單位的具體情況。2。確定網(wǎng)絡(luò)操作系統(tǒng)及服務軟件。3。確定數(shù)據(jù)庫服務器4。確定硬件設(shè)備網(wǎng)絡(luò)信息系統(tǒng)總體設(shè)計:1結(jié)構(gòu)化綜合布線設(shè)計2管理方式設(shè)計3接入設(shè)計4安全性設(shè)計
第二篇:信息資源管理試題
一、填空題(每題1分,共20分)
1、信息資源管理發(fā)展五階段論即、、、。
2、信息資源管理理論基礎(chǔ)包括、、。
3、信息資源管理主要領(lǐng)域、、。
4、零次信息資源采集方法有、等
5、網(wǎng)絡(luò)環(huán)境中政府行政管理體系、、。
二、問答題(每題4分,共40分)
1、信息資源特征
2、電子政務內(nèi)容
3、企業(yè)信息化基本任務
4、知識管理編碼化策略
5、信息采集的過程
6、信息法規(guī)的內(nèi)容
7、網(wǎng)絡(luò)信息資源評價方法
8、解釋EIP內(nèi)涵
9、企業(yè)信息資源管理特性
10、公益性信息資源性質(zhì)
三、分析題(共20分)
1、舉例說明企業(yè)信息資源的構(gòu)成(10分)
2、聯(lián)系實際分析如何理解企業(yè)知識管理的內(nèi)涵(5分)
3、你認為成為一個合格的CIO應具備的基本素質(zhì)(5分)
四、論述題(每題10分,共20分)
1、試述企業(yè)構(gòu)建知識資源管理平臺的基本步驟(10分)
2、論加快電子政務發(fā)展對現(xiàn)代化建設(shè)的重要意義(10分)
一、填空題(每題1分,共20分)
1、文書管理階段、自動化技術(shù)管理階段、信息資源管理階段、競爭情報分析階段、戰(zhàn)略信息管理階段。
2、信息科學、管理科學、信息生命周期理論、信息生態(tài)理論、信息構(gòu)建理論
3、政府信息資源、企業(yè)信息資源、社會信息資源。
4、采訪、社會調(diào)查等
5、績效模型業(yè)務模型、服務模型、數(shù)據(jù)模型、技術(shù)模型
二、簡答題(每題4分,共40分)
1、信息資源的特征:作為經(jīng)濟資源,信息資源具有經(jīng)濟資源的一切特征。包括:作為生產(chǎn)要素的人類需求性、稀缺性、使用方向的可選擇性。同時信息資源與物質(zhì)資源、能源資源相比有諸多的特殊性。包括:共享性、時效性、差異性、駕馭性、積累性與再生性。(4分)
2、電子政務內(nèi)容:政府間電子政務,包括電子法規(guī)政策、電子公文、電子司法檔案、等系統(tǒng)。政務對企業(yè)電子政務,包括電子采購與招標、電子稅務、電子證照辦理等服務。政府對公民電子服務,包括教育培訓、就業(yè)、電子醫(yī)療、社會 保險等服務。(4分)
3、企業(yè)信息化基本任務:生產(chǎn)過程信息化、研發(fā)過程信息化市場與銷售業(yè)務信息化、財務管理信息化、管理決策信息化。(4分)
4、編碼化策略:是指先把知識與知識開發(fā)者分離,而后在將知識進行仔細分析和篩選進而編碼,存儲在數(shù)據(jù)庫中,可隨時反復調(diào)用的策略。其知識傳遞是“人-文檔”,重點對顯性知識進行存儲和管理,知識主要通過間接方式進行傳播并重復使用。知識管理核心是建立企業(yè)知識庫。(4分)
5、信息采集的過程:需求分析、確定采集途徑、制定采集策略、采集實施和結(jié)果評價、整理數(shù)據(jù)和編寫報告。(4分)
6、信息法規(guī)的內(nèi)容:信息安全法律制度、信息標準法律制度、信息環(huán)境法律制度、信息資源法律制度、信息產(chǎn)業(yè)法律制度、信息技術(shù)法律制度、信息人才法律制度、信息產(chǎn)權(quán)法律制度、信息市場法律制度、信息網(wǎng)絡(luò)法律制度。(4分)
7、網(wǎng)絡(luò)信息資源評價方法:第三方評價法、用戶評價法、層次分析法、鏈接分析法、網(wǎng)絡(luò)計量法。(4分)
8、解釋EIP內(nèi)涵:即企業(yè)信息門戶,是建立在企業(yè)協(xié)同商務概念上的企業(yè)應用軟件,提供一個把信息集中起來利用的平臺,促進員工、用戶和合作伙伴進行相互交流,從而加快溝通和協(xié)作。
9、企業(yè)信息資源管理特性:時效性、用戶導向性、綜合性、與企業(yè)生存息息相關(guān)性、一個創(chuàng)造性勞動過程。(4分)
10、公益性信息資源性質(zhì):公益性,主要采用無償或低價服務,不以營利為目的;公開性,可以向全民公開,不涉及國家秘密、國家安全和個人隱私;共享性,在全社會或一定區(qū)域共享。
四、分析題(每個要點略加解釋,共20分)
1、舉例說明企業(yè)信息資源的構(gòu)成(10分)
(1)企業(yè)內(nèi)部資源(2分)
(2)企業(yè)外部資源(2分)
(3)網(wǎng)絡(luò)資源(2分)
(4)實物資源(2分)
(5)人際資源(1分)
(6)商業(yè)秘密(1分)
2、聯(lián)系實際分析如何理解企業(yè)知識管理。(4分)
(1)創(chuàng)新是知識管理的核心(1分)
(2)知識資源是知識管理的對象(1分)
(3)人是知識管理的關(guān)鍵(1分)
(4)信息技術(shù)是知識管理的工具(1分)
3、你認為如何成為一個合格的CIO應具備的基本素質(zhì)。(6分)
(1)CIO的含義(1分)
(2)管理知識(2分)
(3)IT專業(yè)知識(2分)
(4)信息素養(yǎng)等(1分)
五、論述題(每個要點略加解釋,共20分)
1、試述推行電子政務對加快現(xiàn)代化建設(shè)的重要意義(10分)
(1)電子政務,是指為適應信息時代的發(fā)展,運用現(xiàn)代信息技術(shù)手段,對傳統(tǒng)的政府管理和公共服務進行改造,提升政府管理的有效性,滿足社會和公眾對政府公共管理和公共服務的期望,促進社會經(jīng)濟的發(fā)展。(2分)
(2)推行電子政務是深化行政管理體制改革和政府履行職能的重要措施。(2分)
(3)推行電子政務是適應經(jīng)濟全球化和加入世界貿(mào)易組織新形勢的迫切要求。(2分)
(4)推行電子政務是推動國民經(jīng)濟和社會信息化的龍頭工程。(2分)
(5)推行電子政務是促進政府部門改善和提高服務質(zhì)量、造福人民群眾的民心工程。(2分)
2、試述企業(yè)如何構(gòu)建知識資源管理的平臺(共10分)
(1)企業(yè)知識資源管理的技術(shù)平臺構(gòu)建:技術(shù)的選擇,要做到四個支持即支持知識識別、支持專家評價、支持知識傳送、支持知識更新;技術(shù)平臺構(gòu)建,有兩個層次即企業(yè)的信息化平臺構(gòu)建和企業(yè)與企業(yè)之間的知識共享平臺構(gòu)建。(6分)
(2)企業(yè)知識資源管理的資源平臺構(gòu)建:企業(yè)知識門戶、對等的知識聯(lián)網(wǎng)、知識倉庫的建立、知識地圖的建立。(4分)
一、填空題(每題1分,共20分)
1、信息資源管理發(fā)展四階段是、、、。
2、信息資源的類型、、、。
3、網(wǎng)絡(luò)信息資源評價方法有、、、、。
4、現(xiàn)代信息采集技術(shù)
5、公益性機構(gòu)主要類型有、、等。
二、名詞解釋(每題3分,共12分)
1、信息資源
2、企業(yè)信息資源管理
3、信息系統(tǒng)生命周期
4、知識產(chǎn)權(quán)
三、問答題(每題4分,共40分)
1、信息功能、2、信息源與信息資源的關(guān)系
3、信息檢索的基本程序
4、信息法規(guī)體系的結(jié)構(gòu)
5、知識管理人格化策略
6、促進企業(yè)信息化深入發(fā)展信息系統(tǒng)
7、網(wǎng)絡(luò)信息資源評價采用的主要指標
8、國外電子政務發(fā)展特征
9、標準化的作用
10、信息系統(tǒng)評價四個階段
四、分析題:談談構(gòu)建企業(yè)知識資源管理的資源平臺設(shè)想(8分)
五、論述題(共20分)
1、試述試述政府信息資源管理的框架(10分)
2、試述企業(yè)知識管理的機制體系(10分)
一、填空題(每題1分,共20分)
1、物理控制階段、自動化技術(shù)的管理、信息資源管理、知識管理。
2、記錄性信息資源、實物型信息資源、智力型信息資源、零次信息資源
3、第三方評價法、用戶評價法、層次分析法、鏈接分析法、網(wǎng)絡(luò)計量法
4、全自動電話訪談、交互式計算機輔助電話方談、計算機柜調(diào)研、網(wǎng)絡(luò)調(diào)研系統(tǒng)。
5、公共圖書館、博物館、展覽館等
二、名詞解釋(每題3分,共12分)
1、信息資源:人類社會活動中經(jīng)過開發(fā)、組織與利用并大量積累起來的信息及其信息工作者和信息技術(shù)等信息活動要素的集合。(3分)
2、企業(yè)信息資源管理:指對產(chǎn)生于企業(yè)內(nèi)外部、企業(yè)可能得到和利用的與企業(yè)生產(chǎn)活動有關(guān)的各種信息實施管理過程。(3分)
3、信息系統(tǒng)生命周期:從信息系統(tǒng)分析和設(shè)計的角度可以將信息系統(tǒng)的生命周期劃分為五個部分即計劃、分析、設(shè)計、實施和維護。(3分)
4、知識產(chǎn)權(quán):是指自然人或法人通過腦力勞動,對科學技術(shù)、文化藝術(shù)等領(lǐng)域,從事智力活動所創(chuàng)造的精神財富,在一定地域、一定時間內(nèi)對其依法確認并享有的權(quán)利。(3分)
二、問答題(每題4分,共40分)
1、信息的功能:經(jīng)濟功能、管理與協(xié)調(diào)功能、選擇與決策功能、研究與開發(fā)功能。(4分)
2、信息源與信息資源的關(guān)系:從時間序列看,信息源是信息資源的源,先于信息資源。從信息開發(fā)利用看,信息源不斷轉(zhuǎn)化為信息資源。(4分)
3、信息檢索的基本程序:確定信息檢索的范圍與深度、選擇檢索工具、選擇檢索途徑、選擇檢索方法、實施信息查找、調(diào)取信息資料。(4分)
4、信息法規(guī)體系的結(jié)構(gòu):包含兩個層次,一是涉及產(chǎn)業(yè)組織和社會層次的信息技術(shù)、信息人才、信息市場、信息資源等法律制度:二是由上述法律制度分解出來的調(diào)整范圍較窄、目標較明確的各種信息法規(guī)。(4分)
5、知識管理人格化策略:就是把知識和知識生產(chǎn)者結(jié)合起來,即隱性知識通過“人-人”的方式直接傳遞實現(xiàn)共享。其重點是鼓勵員工不斷學習,促進隱性知識的創(chuàng)造,并將存儲在員工頭腦中的隱性知識轉(zhuǎn)化為可編碼的顯性知識,實現(xiàn)知識共享。(4分)
6、促進企業(yè)信息化深入發(fā)展信息系統(tǒng):客戶關(guān)系管理、供應鏈管理、協(xié)同產(chǎn)品商務、產(chǎn)品生命周期和產(chǎn)品數(shù)據(jù)管理、制造執(zhí)行管理系統(tǒng)、電子商務(4分)
7、網(wǎng)絡(luò)信息資源評價采用的主要指標:網(wǎng)絡(luò)信息資源內(nèi)容、網(wǎng)絡(luò)設(shè)計、可獲取性、成本、目的及用戶。(4分)
8、國外電子政務發(fā)展特征:政府領(lǐng)導人的倡導和支持、以用戶為中心、門戶網(wǎng)站功能完善、統(tǒng)一規(guī)劃和標準、施行分階段實施策略、重視市場機制的作用(4分)。
9、標準化的作用:可提高產(chǎn)品質(zhì)量和產(chǎn)量、便于科學化和現(xiàn)代化管理、有利于專業(yè)化協(xié)作、可以減少浪費、促進世界貿(mào)易交流、有利于促進技術(shù)進步等。(4分)
10、信息系統(tǒng)評價四個階段:組織的信息系統(tǒng)環(huán)境分析、信息系統(tǒng)的基礎(chǔ)設(shè)施評價、信息系統(tǒng)接口評價、信息系統(tǒng)活動評價。(4分)
四、分析題:你認為企業(yè)知識資源管理的資源平臺應如何構(gòu)建(每個要點略加解
釋,共8分)
(1)企業(yè)知識門戶的建立(2)
(2)對等的知識聯(lián)網(wǎng)構(gòu)建(2)
(3)知識倉庫的建立(2)
(4)知識地圖的建立(2)
五、論述題(每個要點略加解釋,共20分)
1、試述政府信息資源管理的框架(10分)
(1)制定我國信息化發(fā)展戰(zhàn)略及政策(1分)
(2)政府信息化發(fā)展的戰(zhàn)略計劃和戰(zhàn)役計劃(1分)
(3)政府信息資源相關(guān)的法律和法規(guī)(1分)
(4)政府信息基礎(chǔ)設(shè)施的管理(1分)
(5)政府信息的管理(1分)
(6)政府信息系統(tǒng)的管理(1分)
(7)政府信息技術(shù)的管理(1分)
(8)政府信息化的項目管理(1分)
(9)政府信息的安全管理(1分)
(10)政府信息化人力資源開發(fā)(1分)
2、試述企業(yè)知識管理的機制體系(10分)
(1)知識共享機制:知識收集機制、知識分類機制、知識更新機制。(3分)
(2)知識運行機制:外部知識內(nèi)化機制、知識寬松交流機制、知識項目管理機制、知識創(chuàng)新機制。(2分)
(3)知識明晰機制:知識管理目標發(fā)布機制、知識成果保護機制。(2分)
(4)知識獎勵機制:知識薪酬支付機制、知識股權(quán)期權(quán)機制、知識晉升機制、知識署名機制、知識培訓機制。(3分)
第三篇:信息資源管理教程重點
信息資源管理重點
1)信息是反映事物運動狀態(tài)的和方式,以文本,數(shù)值或多媒體等形式存在的數(shù)據(jù),事實或見解。
2)信息資源管理采用的技術(shù)是信息技術(shù)。
3)信息資源的開發(fā),時間,利用,管理的過程也是信息活動的過程。
4)時間出現(xiàn)的概率越大,相應的信息量越小。
5)計算機,1975年后廣泛應用,聯(lián)機系統(tǒng),首先在證券公司和銀行出現(xiàn)。
6)信息資源管理不是獨立學科,根植于三個獨立學科。
7)按信息資源的運營機制分為政府,公益,商業(yè)信息資源。
8)信息資源管理五階段論
(1)文書管理階段
(2)自動化技術(shù)管理階段
(3)信息資源管理階段
(4)競爭情報分析階段
(5)戰(zhàn)略情報管理階段
9)信息資源管理四階段論
(1)信息的物理控制階段
(2)自動化技術(shù)管理階段
(3)信息資源管理階段
(4)知識管理階段
考慮到政府機構(gòu)一般不存在商業(yè)競爭問題,所以四階段論更具有普遍性。
共同特點:較好的揭示了信息資源管理發(fā)展的規(guī)律性。
10)狹義的信息資源管理是指信息及其載體。信息資源管理的定義:信息資源是人類活動各個領(lǐng)域所產(chǎn)生和使用價值的信息集合。
11)載體的性質(zhì)主要取決于信息的物理特征。
12)信息資源也是可再生資源。
13)信息資源管理的含義
1-國外學者的認識,不統(tǒng)一
2-我國的認識,更多等同于文獻管理
3-整體上的理解,信息資源管理
信息資源管理就是綜合運用各種方法和手段進行信息資源規(guī)劃,組織,利用和控制的過程。
14)信息資源管理的性質(zhì):是一種新的管理理念和管理哲學。
15)信息資源管理出現(xiàn)背景,起源和發(fā)展過程:
信息資源對國家經(jīng)濟發(fā)展和安全日益重要,文書記錄和文獻數(shù)量激增,信息技術(shù)的廣泛應用。信息資源管理不僅起源于三個不同的學科,而且它成長和發(fā)展于兩個不同的社會部門:私營部門的公司企業(yè)和公共部門的政府機構(gòu)。發(fā)展過程:數(shù)據(jù)庫管理,記錄管理和文獻管理,數(shù)據(jù)處理管理,三者的融合。起源:圖書情報。
16)數(shù)據(jù)組織的基本單位是bit。
17)企業(yè)信息支援管理人員包括信息主管,信息中心的工作人員,各部門專業(yè)技術(shù)管理人員。
18)如果式中的對數(shù)去e為底,信息量的單位稱為奈特;若對數(shù)去10為底,則信息量的單
位是哈特菜。
19)信息資源管理的基本方法:1-資源目錄技術(shù)。2-信息流分析。3-信息環(huán)境分析。4-核
算和預算方法。5-戰(zhàn)略數(shù)據(jù)規(guī)劃。
20)信息論,控制論和系統(tǒng)論都是研究信息,控制和系統(tǒng)的橫斷學科,其基本思想,基本
方法有許多一致之處。他們具有濃厚的方法論特征,提供了適合現(xiàn)代管理的方法論基礎(chǔ)。
21)信息與載體的關(guān)系:信息借助于在載體脫離信源運動或存儲。載體上的反應的信息內(nèi)容的物理符號稱為數(shù)據(jù),信息是數(shù)據(jù)的內(nèi)容,數(shù)據(jù)是信息的物理形式。數(shù)據(jù)的物理特征與載體性質(zhì)有關(guān),而信息的內(nèi)容與載體性質(zhì)無關(guān);因此信息在傳遞過程中可依附不同的載體卻不影響信息的內(nèi)容。
22)信息生態(tài)學的內(nèi)涵和特征:
內(nèi)涵:以人為中心的信息管理。其基本點是把人放回到信息環(huán)境的中心位置,而把技
術(shù)推到它適當?shù)奈恢眉赐鈬?/p>
特征:1-各種類型信息的集成。2-認識信息生態(tài)的發(fā)展演變。3-強調(diào)對現(xiàn)有信息環(huán)境的觀察和描述。4-焦點是人和信息的行為。
23)信息必須經(jīng)過開發(fā)才能成為有用的資源。
24)各級政府部門在IRM中的主要職責是,從政策上指導資源開發(fā)和利用。
25)在政府部門中以提供信息服務為主的部門屬于,信息中心。
26)文件組織屬于 傳統(tǒng) 政府信息組織的技術(shù)與方法。
27)分類組織屬于 現(xiàn)代 政府信息組織的技術(shù)與方法。
28)電子政務率先在 美國 興起。
29)信息政策的首要主題是 科技和經(jīng)濟。
30)在美國,負責政府IRM的政府官員職位是 CIO。
31)分類組織不屬于 傳統(tǒng) 政府信息組織的技術(shù)與方法。
32)索引組織不屬于 現(xiàn)代 政府信息組織的技術(shù)與方法。
33)我國第一個嚴格意義上的政府網(wǎng)事 青島 政府信息公眾網(wǎng)。
34)加快信息化進程的重要前提是 計算機化。
35)技術(shù)密集型產(chǎn)品的制造成本中主要成本是 信息成本。
36)企業(yè)內(nèi)部不直接涉及IRM的過程是 安全保衛(wèi)管理。
37)MPR—Ⅱ是指 物料需求規(guī)劃。
38)企業(yè)資源計劃是指ERP。
39)關(guān)于企業(yè)信息系統(tǒng)成敗的關(guān)鍵因素是 企業(yè)領(lǐng)導人。
40)企業(yè)可能通過電子商務方式實現(xiàn)網(wǎng)上訂購和支付,這是電子商務的 網(wǎng)上交易 的功能。
41)企業(yè)中信息化委員會的工作通常由 CIO 負責。
42)在我國 事業(yè)單位 是公益性機構(gòu)團體。
43)互聯(lián)網(wǎng)面臨的安全威脅來自 破壞系統(tǒng),竊取信息等方面。
44)網(wǎng)絡(luò)信息系統(tǒng)的管理主要有 系統(tǒng)運行管理,系統(tǒng)維護管理,系統(tǒng)安全性管理,軟件維
護管理,數(shù)據(jù)維護管理。
45)信息化發(fā)展的主要前提是 科學技術(shù)的進步,社會政治經(jīng)濟活動全球化,信息資源的不
斷積累。
46)屬于機械制造企業(yè)信息資源的有 各類報表,生產(chǎn)計劃,產(chǎn)品研發(fā)人員。
47)網(wǎng)絡(luò)信息資源系統(tǒng)運行管理的內(nèi)容有 日常運行管理。
48)網(wǎng)絡(luò)信息資源管理系統(tǒng)維護管理內(nèi)容有 糾錯性維護。
49)推進信息化的關(guān)鍵資源是 人,技術(shù),組織管理,計算機,通信網(wǎng)絡(luò)。
50)網(wǎng)絡(luò)安全技術(shù)包括 訪問控制,防火墻,密鑰,數(shù)字簽名技術(shù)。
51)系統(tǒng)維護的內(nèi)容:硬件維護,數(shù)據(jù)維護,應用程序。
52)所有的數(shù)據(jù)均是結(jié)構(gòu)化的。
53)伴隨著組織機構(gòu)的信息化建設(shè)進程要解決信息共享需要先解決 信息孤島 問題
54)軟件質(zhì)量的二級特性中,在意外情況下能夠繼續(xù)執(zhí)行和快速克服故障的能力稱為 健壯
性。
55)為了防止意外或人為的破壞,軟件應具備的自我保護能力稱為 安全性。
56)信息系統(tǒng)存在潛在的威脅和容易受到攻擊,其主要原因是由于信息系統(tǒng)的 開放性和共
享性。
57)標準制定后,應根據(jù)形勢的發(fā)展適時進行 復審。
58)實施標準的同時也是對標準的 檢驗。
59)數(shù)據(jù)加密變換不僅可以用于數(shù)據(jù)加密性的保護,也可以用于數(shù)據(jù)的 壓縮。
60)軟件質(zhì)量管理小組活動的目的是 質(zhì)量保證。
61)組織現(xiàn)代化生產(chǎn)的重要手段是 標準化。
62)企業(yè)標準代號的分母,一律規(guī)定用 漢語拼音字母。
63)標準體系表內(nèi)的標準排練形勢,一般變現(xiàn)為標準的分類組合和 層次結(jié)構(gòu)。
64)以Q開始的標準代號表示這種標準是 企業(yè)標準。
65)在滿足一定條件的應用環(huán)境下,軟件均能維持正常的工作能力,稱為 安全性。
66)計算機病毒的防范涉及技術(shù)措施和 管理制度。
67)軟件質(zhì)量管理活動大致可分為 質(zhì)量控制和質(zhì)量設(shè)計 標準。
68)對信息的威脅和攻擊,主要造成 信息泄露和信息破壞 的結(jié)果。
69)CKO 的設(shè)立是知識管理在一個組織中實施的標志。
70)標準化的工作的任務是,制定標準,組織實施標準,對標準實施進行監(jiān)督。
71)數(shù)據(jù)傳輸和加密技術(shù)常用,線路加密,端端加密。
72)根據(jù)我國標準,開發(fā)軟件質(zhì)量保證和評價等活動的軟件開發(fā)階段有 需求分析,總體設(shè)
計詳細設(shè)計,編碼實現(xiàn)組裝測試,確認測試。
73)我國的標準級別有 企業(yè)標準,地方標準,行業(yè)標準,國家標準。
74)應當包含在運行日記里的項目有,時間操作人值班人簽字。
75)信息系統(tǒng)的實體安全包括,設(shè)備安全 軟件安全 存儲介質(zhì)安全。
76)在OECD對知識的分類中,know what,know why屬于顯然性知識。
77)在OECD對知識的分類中,know how,know who屬于隱性性知識。
名詞解釋
1,信息化:信息化就是從物質(zhì)生產(chǎn)占主導地位的社會向占主導地位社會轉(zhuǎn)變的發(fā)展過程。
2,企業(yè)信息化:在企業(yè)生產(chǎn),管理,經(jīng)營等各個層次,各個環(huán)節(jié)和各個領(lǐng)域,采用計
算機,通信和網(wǎng)絡(luò)等現(xiàn)代信息技術(shù),充分開發(fā),廣泛利用企業(yè)內(nèi)外部的信息資源。
3,網(wǎng)絡(luò)信息資源:通過計算機網(wǎng)絡(luò)可以利用的各種信息資源的總和,具體的說明是指
以數(shù)字格式將文字,圖像,聲音,動畫等多種形式信息存放在光,磁等載體中,并通過網(wǎng)絡(luò)通信,計算機或終端等方式加以利用的信息資源。
4,電子商務:通過電信網(wǎng)絡(luò)進行的生產(chǎn),營銷,銷售和流通活動。
5,政府信息化:指政府部門為更加經(jīng)濟有效的履行自己的職責,向全社會提供更好的服務而廣泛的應用信息技術(shù),開發(fā)利用信息資源的活動和過程,是政府信息資源管理的高級階段。
6,信息孤島:企業(yè)和政府在信息化建設(shè)達到一定水平后,內(nèi)部會同時運行著許多不同的業(yè)務應用系統(tǒng)。這些系統(tǒng)都會產(chǎn)生一定數(shù)量的信息和數(shù)據(jù),但往往不能相互共享和利用。
7,檢索語言:是在文獻檢索領(lǐng)域中用來描述文獻特征和表達信息檢索提問的一種專用
語言。它依據(jù)一定的規(guī)則對自然語言進行規(guī)范,將其編制成表,供信息標引以及檢索時使用。
8,信息安全:是指信息網(wǎng)絡(luò)的、及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或
者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務不中斷。
簡答
簡述政府IRM的主要任務。
答:1)制定和實施政府信息資源開發(fā)利用規(guī)劃。2)研究和制定相關(guān)的政策和法規(guī)。3)政
府信息基礎(chǔ)設(shè)施的管理。4)政府應用系統(tǒng)開發(fā)和維護的管理。5)政府信息技術(shù)管理。
6)政府信息安全管理。
簡述企業(yè)的主要信息源。
1外部信息源。包括,1)政府信息,2)法律信息。3)經(jīng)濟信息,4)社會文化信息,答:○
5)科技信息,6)地理環(huán)境信息。7)競爭對手信息,8)消費需求信息,9)商品及銷售信息,10)國際市場信息
2內(nèi)部信息源。包括,1)市場監(jiān)測資料,2)財務管理數(shù)據(jù),3)計劃或規(guī)劃信息,4)○
技術(shù)研發(fā)與管理信息,5)投資管理信息,6)生產(chǎn)管理信息,7)組織管理信息。8)營銷管理信息。
簡述科技信息機構(gòu)提供的專業(yè)服務。
答:主要專業(yè)服務有,情報采集與檢索,情報深度加工分析,專業(yè)咨詢服務,情報預警服
務,情報報道和傳播服務等。
簡述公共圖書館的主要職能。
答:主要職能有四種:1)保護人類文化遺產(chǎn) 2)開展社會教育 3)傳遞科技信息 4)開發(fā)
智力資源。
簡述互聯(lián)網(wǎng)的主要用途
答:1)信息檢索 2)信息交流 3)信息發(fā)布 4)電子商務 5)電子政務 6)遠程教育 7)
遠程醫(yī)療 8)游戲,娛樂。
簡述網(wǎng)絡(luò)信息資源的評價指標體系
答:評價指標一般包括:目的,收錄范圍,內(nèi)容,用戶對象,圖形和多媒體設(shè)計,易用性,價格等。
簡述網(wǎng)絡(luò)信息資源的主要特點
答:1)內(nèi)容豐富,數(shù)量大。2)多媒體,多類型,多語種,傳播范圍廣泛。3)信息構(gòu)成復
雜,缺乏管理。4)交互性強。5)分散性和動態(tài)性。
試述信息采集的原則。
答:1,系統(tǒng)性原則 2,針對性原則 3,及時性原則 4,可靠性原則 5,方便,經(jīng)濟的原則
6,計劃性原則 7,預見性原則。
試述布爾檢索法。
答:利用布爾邏輯算符進行檢索詞或代碼的邏輯組配,是信息檢索中最常用的一種方法。
試述截詞檢索法。
答:信息檢索常用的技術(shù)之一,它可以截取檢索詞的某一部分用于檢索。
簡述信息系統(tǒng)開發(fā)規(guī)范包括的內(nèi)容。
答:1,可行性研究與計劃。2,需求分析。3,總體設(shè)計。4,實現(xiàn)。5,詳細設(shè)計。6,集
成測試。7,確認測試。8,使用與維護。
簡述查找公司信息和產(chǎn)品信息的主要途徑。
答:可以利用信息檢索來找出需要的有關(guān)信息。可以用文獻檢索,數(shù)據(jù)檢索,事實檢索來
查找。
試任舉三種信息檢索語言并簡述之。
答:1, 布爾檢索法:利用布爾邏輯算符進行檢索詞或代碼的邏輯組配,是信息檢索中最常
用的一種方法。
2,截詞檢索法:信息檢索常用的技術(shù)之一,它可以截取檢索詞的某一部分用于檢索。3,限制檢索法:將檢索詞限定在某一范圍內(nèi)進行檢索的方法。
試述信息采集的一般原則和策略。
答:信息采集原則:1,系統(tǒng)性原則 2,針對性原則 3,及時性原則 4,可靠性原則 5,方
便,經(jīng)濟的原則 6,計劃性原則 7,預見性原則。
信息采集策略:1,定向采集與定題采集 2,單向采集與多向采集 3,主動采集與跟蹤
采集 4,建立信息網(wǎng)絡(luò) 5,利用英特網(wǎng)進行系統(tǒng)采集 6,嚴格管理與激勵措施相結(jié)合。
試述計算機檢索的常用方法。
答,1,布爾檢索 2,截詞檢索 3,限制檢索 4,位置檢索 5,加權(quán)檢索 6,多媒體檢索和
超文本檢索。
試述信息資源開發(fā),利用的重大意義,原則,戰(zhàn)略,模式,以及關(guān)鍵技術(shù)。
答:意義:1,信息成為主要生產(chǎn)要素。2,信息資源是促進經(jīng)濟變革和增長的強大動力。3,信息資源開發(fā)利用能力是核心競爭力的重要體現(xiàn)。4,信息資源開發(fā)利用時提高政府運作效率的需要。6,信息資源開發(fā)利用是實現(xiàn)可持續(xù)發(fā)展的需要。
原則:1,統(tǒng)籌協(xié)調(diào) 2,需求導向 3,創(chuàng)新開發(fā) 4,確保安全。
戰(zhàn)略:可分為國外信息資源開發(fā)利用的戰(zhàn)略和我國信息資源開發(fā)利用戰(zhàn)略。
模式:1,國家科學技術(shù)部的科技文獻平臺建設(shè)模式。2,中國高等教育文獻保障體系建設(shè)模式。3,上海市文獻資源共建共享模式。4,歐盟e—Content模式。
關(guān)鍵技術(shù):1,信息采集技術(shù) 2,信息組織技術(shù) 3,信息檢索技術(shù) 4,信息共享平臺技術(shù) 5,信息安全技術(shù)。
第四篇:人力資源管理概論復習重點
人力資源管理概論復習重點
一、名詞解釋
1、人力資本:是勞動者身上所具備的兩種能力,一種能力是通過先天遺傳獲得的,是由個人與生俱來的基因所決定的,另一種能力是后天獲得的,是由個人努力經(jīng)過學習而形成的,而讀寫能力是任何民族人口的人力資本質(zhì)量的關(guān)鍵成分。
2、超Y理論:指在進行人力資源管理活動時要根據(jù)不同的情況,采取不同的管理方式和方法,是一種主張權(quán)宜應變的經(jīng)營理論。
3、公平理論:是在社會比較中研究個人所作的貢獻與所得的報酬之間如何平衡的一種理論,側(cè)重于研究報酬的公平性、合理性對員工積極性的影響。
4、溢出效應:.是指根據(jù)員工在考核周期以外的表現(xiàn)做出評價,是績效考核中的誤區(qū)之一。
5、職位分析:是指了解組織內(nèi)的一種職位并以一種格式把與這種職位有關(guān)的信息描述出來,從而使其他人能了解這種職位的過程。
6、強化理論:是以學習的強化原則為基礎(chǔ)的關(guān)于理解和修正人的行為的一種學說。
7、人力資源規(guī)劃:也叫人力資源計劃,是指在企業(yè)發(fā)展戰(zhàn)略和經(jīng)營規(guī)劃的指導下進行人員的供需平衡,以滿足企業(yè)在不同發(fā)展時期對人員的要求,為企業(yè)的發(fā)展提供合質(zhì)合量的人力資源保證,其最終目標是為了達成企業(yè)的戰(zhàn)略目標和長期利益。
8、招聘:是指在企業(yè)總體發(fā)展戰(zhàn)略規(guī)劃的指導下,制定相應的職位空缺計劃,并決定如何尋找合適的人員來填補這些職位空缺的過程,它的實質(zhì)是讓潛在的合格人員對本企業(yè)的相關(guān)職位產(chǎn)生興趣并且前來應聘這些職位。
9、信度:是指測試的可靠程度和客觀程度,即測試的一致性。也指測試方法不受隨機誤差干擾的程度,簡單地說就是指測試方法得到的測試結(jié)果的穩(wěn)定性和一致性程度。
二、簡答題
1、簡述人力資源分布和結(jié)構(gòu)形式:
人力資源的分布和結(jié)構(gòu)主要表現(xiàn)為人力資源載體的分布和結(jié)構(gòu),對國家而言,是指勞動力人口的分布和結(jié)構(gòu),對企業(yè)而言,則是指員工的分布與結(jié)構(gòu)。
國家的人力資源分布和結(jié)構(gòu):
1)年齡構(gòu)成:指各年齡段的勞動人口在整個勞動人口中所占的比重。只能用潛在的人力資源的年齡構(gòu)成來側(cè)面地反映該指標。
2)產(chǎn)業(yè)分布:指第一、第二和第三產(chǎn)業(yè)的勞動人口在整個勞動人口中所占的比例。企業(yè)的人力資源分布和結(jié)構(gòu):
1)年齡構(gòu)成:指企業(yè)各個年齡段的員工在員工總數(shù)中所占的比例。
2)學歷構(gòu)成:指各學歷層次的員工在員工總數(shù)中所占的比例,其在一定程度上反映出企業(yè)員工的素質(zhì)水平。
3)職位分布:指各個職位層次的員工在員工總數(shù)中所占的比例。
4)部門分布:指各個部門的員工在員工總數(shù)中所占的比例。
5)素質(zhì)構(gòu)成:指企業(yè)中各個員工所具備的素質(zhì),包括個性、品性、能力、知識、體質(zhì)等方面。素質(zhì)構(gòu)成一般可以通過語言描述和分數(shù)描述兩種形式加以表現(xiàn)。
2、簡述人性假設(shè)理論:
人性假設(shè)就是對人的本性所持的基本看法,人性假設(shè)是人力資源管理的一個理論基礎(chǔ),主要包括以下幾個理論:
1)X理論:傳統(tǒng)的人們對人性的假設(shè)稱為X理論,類似于我國古代的性惡論,認為“人之初,性本惡”。
2)Y理論:與X理論相反,類似于我國古代的性善論,認為“人之初,性本善”。
3)經(jīng)濟人假設(shè):相當于X理論。
4)社會人假設(shè):強調(diào)營造和諧融洽的人際關(guān)系在管理中的重要性。
5)自我實現(xiàn)人假設(shè):相當于Y理論。
6)復雜人假設(shè):實際上不存在一種適合于任何時代和任何人的通用的管理方式和方法,管
理必須是權(quán)變的,要根據(jù)不同人的不同需要和不同情況,采取相應的管理方式。
3、簡述效度的類型和檢驗方法
類型:1)內(nèi)容效度:指測評工具所包括的題目能否真正代表所需要測評的內(nèi)容。
2)效標關(guān)聯(lián)效度:指測評的結(jié)果與被預測內(nèi)容的關(guān)聯(lián)程度。根據(jù)所使用的效標的不同,分為預測效度和同時效度。
檢驗方法:
1)內(nèi)容效度檢驗方法:主要采用專家判斷的方法,一般在評價前,通過職位分析等方
法確定需要評價的內(nèi)容,再讓專家根據(jù)需要測評的內(nèi)容采用內(nèi)容效度高的測評工具。
2)效標關(guān)聯(lián)效度檢驗方法:采用某一測評工具對候選人測評,計算測評結(jié)果與實際業(yè)
績之間的相關(guān)度。
4、簡述培訓與開發(fā)的原則
1)服務企業(yè)戰(zhàn)略和規(guī)劃的原則:戰(zhàn)略和規(guī)劃是企業(yè)的最高經(jīng)營綱領(lǐng),對企業(yè)各方面的工
作都具有指導意義,培訓與開發(fā)工作的實施,應當從企業(yè)戰(zhàn)略的高度出發(fā)來進行,決不能將兩者割裂開。
2)目標原則:目標對人們的行為具有明確的導向作用,在培訓之前為受訓人員設(shè)置明確的目標,有助于在培訓結(jié)束后進行培訓效果衡量,提高培訓的效果,使受訓人員有明確的方向和一定的學習壓力。
3)差異化原則:a內(nèi)容上的差異化:在培訓時應當根據(jù)員工的實際水平和所處職位確定
不同的培訓內(nèi)容,進行個性化的培訓。
b人員上的差異化:在培訓中應當向關(guān)鍵職位傾斜,特別是中高層管理和
技術(shù)人員。
4)激勵原則:通過正向的和反向的激勵,來調(diào)動員工的積極性和主動性,使他們以更
大的熱情參與到培訓中來。
5)講究實效的原則:注重培訓遷移,學以致用,從實際工作需要出發(fā),結(jié)合員工的年
齡、知識、能力等實際情況進行具有明確目的的培訓,確保培訓收到實際的效果。
6)效益原則:在實施培訓活動的過程中,在確保培訓效果的前提下,必須考慮培訓的方式方法,采取適當?shù)呐嘤柎胧云讷@取最佳的培訓效益。
5、簡述績效考核與績效管理的關(guān)系:
聯(lián)系:績效考核是績效管理一個不可缺少的關(guān)鍵組成部分。只有通過績效考核才能為企業(yè)的績效管理工作提供資料,以提高績效管理水平,增強針對性,最終幫助企業(yè)獲得理想的績效水平。
區(qū)別:1)前者只是后者這一完整系統(tǒng)的一部分;
2)前者注重結(jié)果,后者注重過程;
3)前者側(cè)重于回顧,后者具有前瞻性;
4)前者注重成績的大小,后者注重能力的培養(yǎng)。
三、論述題
1、詳細闡述績效考核的方法:
1)比較法:是一種相對考核的方法,通過員工之間的相互比較從而得出考核結(jié)果,主要包
括以下幾種方法。
A個體排序法:也叫做排隊法,就是把員工按照從好到壞的順序進行排列。該方法適用
于人員比較少的組織。
B配對比較法:就是把每一位員工與其他員工一一配對,分別進行比較;每一次比較時,給表現(xiàn)好的員工記“+”,另一個員工就記“-”。所有員工都比較過以后,計算每人“+”的個數(shù),依次對員工作出考核,誰的“+”多,誰的名次
就排在前面。
C人物比較法:就是在考核之前,先選出一位員工,以他的各方面表現(xiàn)為標準,對其他
員工進行考核。
D強制比例法:首先確定出績效考核結(jié)果的等級,然后按照正態(tài)分布的原理確定出各個
等級的比例,最后按照這個比例,根據(jù)員工的表現(xiàn)將他們歸入不同的等
級中去。
2)量表法:就是指將績效考核的指標和標準制作成量表,依此對員工的績效進行考核。
主要包括以下幾種方法。
A評級量表法:在量表中列出需要考核的績效指標,將每個指標的標準區(qū)分成不同的等
級,每個等級都對應一個分數(shù)。考核時考核主體根據(jù)員工的表現(xiàn),給每個指標選擇一個等級,匯總所有等級的分數(shù),就可以得出員工的考核結(jié)
果。
B行為錨定評價法:是利用特定行為錨定量表上不同的點的圖形測評方法,在傳統(tǒng)的評
級量表法的基礎(chǔ)上演變而來,是評級量表法與關(guān)鍵事件法的結(jié)合。
C行為觀察量法:在考核各個具體的項目時給出一系列有關(guān)的有效行為,考核者通過指
出員工表現(xiàn)各種行為的頻率來評價他的工作績效。
D混合標準測評法:通過編制混合標準測評量表,用許多組概念上相容的描述句描述同
一考核項目的高、中、低三個層次。
3)描述法:考核主體用敘述性的文字來描述員工在工作業(yè)績、工作能力和工作態(tài)度方面的優(yōu)缺點,以及需要加以指導的事項和關(guān)鍵性事件等,由此得到對員工的綜合考核。其中最具代表性的一種方法——關(guān)鍵事件記錄法,即通過觀察,記錄下員工完成工作時特別有效和特別無效的行為,依此對員工進行考核評價。
2、詳細闡述人力資源職位評價方法:
職位評價是指借助一定的方法,確定企業(yè)內(nèi)部各職位相對價值大小的過程。其方法如下:
1)排序法:(適合那些規(guī)模小、結(jié)構(gòu)簡單、職位較少的企業(yè))
A直接排序法:根據(jù)對職位的總體判斷,按照重要性或者對企業(yè)貢獻度的高低順序?qū)⒙毼灰?/p>
次進行排列。
B交替排序法:首先從待評職位中找出價值最高和價值最低的職位,然后從剩余的職位中找
出價值最高和最低的職位,如此循環(huán),直到把所有的職位都排列完畢為止。
C配對比較法:將待評的職位進行兩兩比較,以最終比較的結(jié)果對職位做出排序。
2)歸類法:按照一定的標準將職位歸入事先確定好的職位等級中的職位評價方法。步驟:首先,根據(jù)企業(yè)的具體情況確定出職位等級的數(shù)量;
其次,要選擇報酬要素,根據(jù)報酬要素界定各個職位等級的定義;
最后,根據(jù)各個職位的職位說明書,對照確定好的標準,將職位歸入與等級定義相同
或最相近的職位等級中去。
3)要素比較法:即根據(jù)不同的報酬要素對職位進行多次排序。
步驟:a.確定報酬要素;
b.選擇典型職位;
c.按照每一個報酬要素,對典型職位進行多次排序,有幾種報酬要素,相應地就要進
行幾次排序;
d.確定每一典型職位各報酬要素的工資率,并且依此對典型職位再次進行排列;e.剔除不合理的典型職位;
f.確定其他職位的薪酬水平。
4)要素計點法:根據(jù)各個職位在報酬要素上的得分來確定它們價值的相對大小。步驟:a.確定報酬要素;
b.對每個報酬要素劃分成不同的等級并且對報酬要素和各個等級的含義做出清晰的界定;
c.確定各個報酬要素及其內(nèi)部各等級的點值;
d.進行評價。
3、詳細闡述人力資源管理激勵理論:
A、內(nèi)容型激勵理論
1)需求層次理論(馬斯洛的需求層次理論):他將人們的需要劃分為五個層次,即生理需
要、安全需要、社交需要、尊重需要和自我實現(xiàn)需要。這五個層次是按從低級到高級依次排列的。
2)ERG理論:認為人的需要主要有三種:
生存需要:包括心理與安全的需要
關(guān)系需要:包括有意義的社會人際關(guān)系
成長需要:包括人類潛能的發(fā)展、自尊和自我實現(xiàn)
對此,管理者必須首先明確員工的哪些需要沒有得到滿足,以及員工最希望得到的是哪些需要,然后再有針對性地來滿足員工的這些需要,這樣才能最大限度地刺激員工的動機,發(fā)揮激勵的效果。
3)雙因素理論:又稱作“激勵——保健因素”理論,激勵因素是指是員工感到滿意的因素,保健因素是指使員工感到不滿意的因素。該理論啟示管理者在激勵員工時必須要區(qū)分激勵因素和保健因素,對于保健因素不能無限制地滿足,這樣做并不能激發(fā)他們的動機,調(diào)動他們的積極性,而應當更多地從激勵因素著手,滿足員工在這方面的需要,這樣員工才更加積極主動地工作。
4)成就激勵理論:認為在生理需要得到滿足的前提下人們還有權(quán)力需要、歸屬需要、成就
需要。在進行人力資源管理時,管理者應當充分發(fā)掘和培養(yǎng)員工的成就需要,給員工安排具有一定挑戰(zhàn)性的工作和任務,從而使員工具有內(nèi)在的工作動力。
B、過程型激勵理論
1)期望理論:激勵的效果取決于效價和期望值兩個因素,即
激勵力=效價*期望值或M=V*E
2)公平理論:員工的工作積極性不僅受到絕對報酬的影響,還受到相對報酬的影響。當一個人取得報酬以后,不僅關(guān)心自己收入的絕對值,還關(guān)心自己收入的相對值。因此管理者在激勵員工時,應力求公平。
3)目標理論:激勵的效果主要取決于目標的明確度和目標的難度這兩個因素。
C、行為改造激勵理論
1)強化理論;對行為進行改變可以通過四種方法來實現(xiàn),即正強化、負強化、懲罰、衰減。
D、綜合型激勵理論
1)勒溫的早期綜合激勵理論:B=f(P*E)
B表示個人行為的方向和向量P表示個人的內(nèi)部動力E表示環(huán)境的刺激 這一公式表明,個人的行為向量是由個人內(nèi)部動力和環(huán)境刺激的乘積決定的。
2)波特和勞勒的綜合激勵理論:它包括努力程度、工作績效、工作報酬、滿足感這幾個主要的變量。
第五篇:信息安全復習重點
信息安全概論期末復習提綱
1、試從密碼哈希函數(shù)、密鑰交換、數(shù)字簽名和證書等幾方面論述加密技術(shù)在信息安全方面的應用。
(1)密碼哈希函數(shù)
主要用于保證數(shù)據(jù)的完整性,該函數(shù)必須依賴于被密封文件或數(shù)據(jù)的所有位,這樣,文件或數(shù)據(jù)的每一位的變化都會影響到校驗和的結(jié)果。
(2)密鑰交換
公鑰加密體制可以在兩個主體建立加密通道以前,安全地交換相應的對稱會話密鑰。假設(shè)S和R(發(fā)送者和接受者)想得到一個共享的對稱密鑰,假定S和R都已經(jīng)擁有了用于普通加密算法的公鑰,S和R的私鑰、公鑰分別為kPRIV_S、kPUB_S和kPRIV_R、kPUB_R,S任意選出一個對稱密鑰K,想把它安全地發(fā)給R,并且讓R確認該密鑰是S所發(fā),則S可以發(fā)送E(kPUB_R ,E(kPRIV_S,K))給R。
(3)數(shù)字簽名
數(shù)字簽名是指用戶用自己的私鑰對原始數(shù)據(jù)的哈希摘要進行加密所得的數(shù)據(jù)。信息接收者使用信息發(fā)送者的公鑰對附在原始信息后的數(shù)字簽名進行解密后獲得哈希摘要,并通過與自己用收到的原始數(shù)據(jù)產(chǎn)生的哈希哈希摘要對照,便可確信原始信息是否被篡改。這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J性。
(4)證書
數(shù)字證書是各類實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進行信息交流及商務活動的身份證明,在電子交易的各個環(huán)節(jié),交易的各方都需驗證對方證書的有效性,從而解決相互間的信任問題。證書是一個經(jīng)證書認證中心(CA)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。
從證書的用途來看,數(shù)字證書可分為簽名證書和加密證書。簽名證書主要用于對用戶信息進行簽名,以保證信息的不可否認性;加密證書主要用于對用戶傳送信息進行加密,以保證信息的真實性和完整性。
簡單的說,數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)。認證中心(CA)的數(shù)字簽名可以確保證書信息的真實性。
2、消息認證有哪些方式?試分析其實現(xiàn)過程。
3、常見的古典密碼(替換密碼、置換密碼)以及現(xiàn)代密碼的原理與實現(xiàn)過程。4、何為緩沖區(qū)溢出漏洞?其可能產(chǎn)生的危害是什么?(回答要點)
緩沖區(qū)是用來存放數(shù)據(jù)的空間,緩沖區(qū)大小是有限的,一旦存放的數(shù)據(jù)超過了緩沖區(qū)的容量就會產(chǎn)生緩沖區(qū)溢出,其主要可能的危害有:
(1)(2)(3)(4)
當數(shù)據(jù)溢出到用戶代碼區(qū)域時,就會使應用程序執(zhí)行錯誤代碼而運行錯誤; 當數(shù)據(jù)溢出到用戶的數(shù)據(jù)空間時,可能覆蓋已存在的變量值,使計算結(jié)果錯誤; 當數(shù)據(jù)溢出到系統(tǒng)的代碼區(qū)域時,會使系統(tǒng)執(zhí)行錯誤指令異常而停機; 當數(shù)據(jù)溢出到系統(tǒng)的數(shù)據(jù)空間時,也會導致計算結(jié)果錯誤;
(5)攻擊者可能利用緩沖區(qū)溢出修改系統(tǒng)代碼;
(6)攻擊者可能修改舊堆棧指針或改變返回地址,當程序定位到他希望的地方,造成更嚴重的安全問題。
5、舉例說明何為“檢查時刻到使用時刻(TOCTTOU)”漏洞?簡述其解決方案。(回答要點)(1)選擇一個實例說明時關(guān)鍵要講清楚檢查時刻與使用時刻的主體是不同的。(2)可以通過在檢查后對主體進行數(shù)字簽字的方式來防止檢查后主體被修改。6、計算機病毒的特點以及運行機制。(傳統(tǒng)計算機病毒、宏病毒以及蠕蟲病毒)
計算機病毒可分初始化駐留、病毒的傳染與傳播、病毒表現(xiàn)、反跟蹤調(diào)試四個部分來討論其運行機制。
(1)初始化駐留
計算機病毒一般都要加載到系統(tǒng),駐留于內(nèi)存,并截取相關(guān)的中斷,以便進行病毒的傳染與傳播,控制病毒的潛伏與表現(xiàn),為此很多病毒還會通過修改系統(tǒng)系統(tǒng)注冊表等方法,把自己設(shè)置成能夠自動加載的程序,當然系統(tǒng)引導性病毒附著于系統(tǒng)引導程序,自然可以保證在系統(tǒng)啟動加載。
(2)病毒的傳染與傳播
傳統(tǒng)計算機病毒可通過存儲介質(zhì)間的拷貝和網(wǎng)絡(luò)進行主動傳播,主要是通過截取磁盤讀寫等一些常用的中斷,以便在系統(tǒng)進行磁盤讀寫或可執(zhí)行文件加載到內(nèi)存時對其進行傳染,有較強的隱蔽性;而蠕蟲病毒主要是利用系統(tǒng)或應用程序的一些漏洞,入侵系統(tǒng)并獲取控制權(quán)來進行蠕蟲病毒在網(wǎng)絡(luò)上的傳播或安裝,當然也有通過Email、偽裝成常用的工具或游戲軟件方法進行間接的傳播,蠕蟲病毒也可以利用Java、ActiveX等技術(shù)“潛伏”在網(wǎng)頁中,用戶瀏覽該網(wǎng)頁時就有機會進行傳播;而宏病毒是利用word等文檔中采用的宏,將病毒代碼插入這些文檔的自動宏、標準宏以及常用的一些模板文件中。
(3)病毒表現(xiàn)
很多病毒進行系統(tǒng)后并不馬上表現(xiàn)出一些相關(guān)的病毒特征,而是處于潛伏狀態(tài),靜靜地進行病毒的復制與傳播,只有在滿足一定條件的情況下才會發(fā)作,表現(xiàn)出相應的干擾或破壞。很多病毒都有專門的代碼時刻檢測病毒表現(xiàn)的條件是否滿足,通常是把這些代碼插入或替換跟時鐘有關(guān)的一些中斷服務程序。
(4)反跟蹤調(diào)試
很多病毒有專門對付跟蹤調(diào)試的代碼,使得對病毒的分析難以進行,通常是把這部分代碼插入或替換單步中斷、斷點中斷等跟程序調(diào)試有關(guān)的中斷服務程序。
而蠕蟲病毒主要是利用系統(tǒng)或應用程序的一些漏洞,入侵系統(tǒng)并獲取控制權(quán)來進行蠕蟲病毒在網(wǎng)絡(luò)上的傳播或安裝,當然也有通過Email、偽裝成常用的工具或游戲軟件方法進行間接的傳播,蠕蟲病毒也可以利用Java、ActiveX等技術(shù)“潛伏”在網(wǎng)頁中,用戶瀏覽該網(wǎng)頁時就有機會進行病毒傳播。
蠕蟲病毒的主要危害是進行病毒復制傳播時,大量激增的數(shù)據(jù)通信會使網(wǎng)絡(luò)阻塞,有些蠕蟲病毒還會攻擊系統(tǒng)的一些安全漏洞使被入侵的系統(tǒng)無法正常工作(如反復啟動、死機等),以上這些實際上成了一種拒絕服務攻擊。有些蠕蟲病毒還跟一些黑客手段結(jié)合,如在被入侵的系統(tǒng)中
安裝木馬,以此達到對被入侵目標的更完全的控制。
宏病毒主要是利用了Office軟件提供的宏功能,是一種寄存在Word文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,宏病毒就會被激活,轉(zhuǎn)移到計算機上,并駐留在 Normal 模板上。從此以后,所有自動保存的文檔都會感染上這種宏病毒,如果其他用戶打開了感染病毒的文檔,宏病毒又會轉(zhuǎn)移到他的計算機上。為了確保自己有機會運行進駐系統(tǒng),宏病毒通常感染標準宏、自動宏以及一些通用模板。
7、木馬程序的特點、功能以及運行機制。(從程序結(jié)構(gòu)、植入方式、控制等幾方面闡述)特洛伊木馬程序往往采用的是C/S結(jié)構(gòu),其Server端程序要先植入被入侵的主機,攻擊者使用其Client端程序通過Server程序達到控制被入侵主機的目的。
木馬Server端程序采用直接入侵和間接入侵兩種植入方法。直接入侵就是通過探測掃描大量主機以尋找入侵主機目標,入侵有安全漏洞的主機并獲得控制權(quán),即可在這些主機上安裝木馬Server端程序,并可利用已入侵主機繼續(xù)進行掃描和入侵。而間接入侵主要通過偽裝軟件法、Email法和網(wǎng)頁法欺騙用戶安裝木馬Server端程序。木馬程序往往通過修改系統(tǒng)注冊表等方法,把自己設(shè)置成能夠自動加載的程序。
木馬程序一般具有一下功能:
(1)遠程主機的Windows資源瀏覽(上下載、遠程執(zhí)行)。(2)遠程屏幕顯示以及鍵盤、鼠標控制。
(3)Email飛鴿傳書功能。通過這一功能一旦被入侵者上網(wǎng),木馬Server端程序就可以及時通過Email通知攻擊者,并提供被入侵主機IP地址的和木馬Server端程序的端口等重要信息。
8、何為間諜程序(Spyware)、Salami攻擊?試分析其運行機制以及主要危害。
Salami是指一種意大利香腸,Salami攻擊類似于香腸制作過程,是一種積少成多的非法獲取利益的攻擊過程。比如每次都將交易的零星小數(shù)從總額中扣下,存入自設(shè)的賬戶,日積月累往往可以達到可觀的數(shù)目,而每次扣掉的金額很小,一般很難被發(fā)現(xiàn),有較好的隱蔽性。
9、何為隱蔽通道?
10、試簡述操作系統(tǒng)對一般對象常用的訪問控制方法,分析這些方法的特點并比較之。操作系統(tǒng)中,對一般對象的訪問控制采用訪問目錄、訪問控制列表和訪問控制矩陣三種控制方法。
采用訪問目錄的控制方法,每個用戶都需要一張訪問目錄表,該列表指定了該用戶可以訪問的對象以及訪問權(quán)限,該方法易于實現(xiàn)。但主要有三個問題,首先,如果所有用戶都可訪問的共享對象太多,將造成列表太大;另一個問題是如果要撤消某一個共享對象的訪問權(quán)限,要更新的列表可能很多,開銷很大。第三個問題跟文件別名有關(guān)。
采用訪問控制列表的控制方法,每個對象都有一個列表,列表中包含可以訪問該對象的所有主體,以及主體具有的訪問權(quán)限。這一控制方法可以在列表包含默認用戶以及相應的訪問權(quán)限,這樣,特殊用戶可以在列表的前面說明其訪問權(quán)限,而其他用戶則是默認的訪問權(quán)限,這一方法可以大大地減小控制列表,使維護更加方便。
訪問控制矩陣是一張表格,每一行代表一個主體,每一列代表一個對象,表中的每個元素都表示一個主體對某一個對象的訪問權(quán)限。總的說來,訪問控制矩陣是一個稀疏矩陣,因為許多主
體對大多數(shù)對象沒有訪問權(quán)。訪問控制矩陣可以用一個形式為<主體,對象,權(quán)限>的三元組表示。但是查找大量的三元組效率太低,故很少使用。
11、試簡述unix系統(tǒng)中Suid訪問許可的特點以及應用。
在unix系統(tǒng)中,可以通過對一個可執(zhí)行文件設(shè)置Suid位,使其他用戶在運行該程序時獲得文件主的訪問權(quán)限,可以對該文件主的其他文件也有完全的訪問權(quán)限,而一旦退出該程序,用戶恢復其原來的權(quán)限。
可以利用Suid訪問許可的特點做很多有關(guān)系統(tǒng)安全方面的工作,unix系統(tǒng)的口令修改程序就是一個很好的例子,任何用戶都可以且只能通過運行該程序來修改自己的口令,而用戶自己則不能直接修改口令文件,保證了系統(tǒng)的安全。
12、何為salt口令?其作用是什么?采用salt口令時的用戶鑒別過程。
salt口令的作用是防止在密文口令系統(tǒng)中通過查找相同的口令密文來猜測口令,具體的做法是在原來的口令中加上擴展信息(即salt),這樣即使口令相同,由于每個口令的salt不同,最后口令的密文也不同,避免了從相同的口令密文推測口令的可能性。salt可以是用戶的ID+口令創(chuàng)建時間,創(chuàng)建用戶的同時,在口令表中要登記相應的salt,這樣在用戶登錄時,根據(jù)用戶輸入的用戶名,可以找到口令表中相應的表目,再根據(jù)用戶輸入的口令附加上對應的salt,按照相應的單向加密算法,求得相應的口令密文,跟口令表中的口令密文做比對,以此來確定用戶身份的合法性。
13、試簡述數(shù)據(jù)庫的兩階段更新方案。
如果在修改數(shù)據(jù)的途中計算系統(tǒng)出現(xiàn)故障,則數(shù)據(jù)庫的完整性有可能被破壞,為了解決此問題,數(shù)據(jù)庫系統(tǒng)通常采用兩階段更新方案。
第一階段稱為意向階段,在這個階段計算結(jié)果,并將其保存于一些臨時變量中,這個階段不會對數(shù)據(jù)庫做任何修改,所以如果在期間系統(tǒng)出現(xiàn)故障,所有的操作可以等系統(tǒng)恢復時重做。
第一階段的最后事件是設(shè)置提交標記,意味著系統(tǒng)進入第二階段,即永久更新階段,在這個階段數(shù)據(jù)庫將前一個階段保存于臨時變量的計算結(jié)果復制到相應的數(shù)據(jù)庫字段中,如果在這個階段系統(tǒng)出現(xiàn)故障,則等系統(tǒng)恢復后只需重復第二階段的操作即可。提交標記為0或1是區(qū)分系統(tǒng)在哪個更新階段出現(xiàn)故障的依據(jù),數(shù)據(jù)庫系統(tǒng)可以根據(jù)不同的情況做不同的處理。
14、舉例說明數(shù)據(jù)庫統(tǒng)計推理攻擊的原理以及常用的對策。
數(shù)據(jù)庫統(tǒng)計推理攻擊是一種通過非敏感數(shù)據(jù)(如一些敏感數(shù)據(jù)的統(tǒng)計結(jié)果)推斷或推導敏感數(shù)據(jù)的方法。例如可以綜合利用一些敏感數(shù)據(jù)的“和”和“計數(shù)”的統(tǒng)計結(jié)果,揭露某個計數(shù)為1的分類的個體敏感數(shù)據(jù)。推理問題是數(shù)據(jù)庫安全中的一個很微妙的弱點,常用的對策有查詢控制和數(shù)據(jù)項控制,其中數(shù)據(jù)項控制包括有限響應禁止、組合結(jié)果、隨即樣本和隨機數(shù)據(jù)擾亂幾種方法。
15、釣魚網(wǎng)站攻擊原理以及預防方法
釣魚網(wǎng)站的攻擊原理是偽裝,通過將黑客控制的網(wǎng)站偽裝成另一網(wǎng)站,并發(fā)布在互聯(lián)網(wǎng)上,吸引用戶點擊鏈接并輸入私密信息,然后進行網(wǎng)絡(luò)欺詐,嚴重危害互聯(lián)網(wǎng)用戶的利益,這種誘捕式的攻擊類似釣魚活動,故叫釣魚網(wǎng)站攻擊。常用方式有混淆域名和覆蓋受害者主頁。
預防方法:
(1)準確記憶常用網(wǎng)址,輸入時進入小心校對,以免疏忽大意進入此類網(wǎng)站。(2)不要輕易打開陌生人給的網(wǎng)址,或不熟悉網(wǎng)址,謹防受騙。
(3)安裝個人防火墻進行保護,并及時升級病毒庫和補丁更新。也可以有安裝專門攔截釣魚網(wǎng)站的安全軟件,一旦發(fā)現(xiàn)此類網(wǎng)站便將其過濾掉。
16、對稱和非對稱加密體制下的中間人(MITM)攻擊的原理以及實施過程。
中間人攻擊就是一個惡意的中間人可以通過截取加密通信的密鑰,偷聽甚至修改某些通信內(nèi)容。假如用戶A和用戶B要通過公鑰體制進行加密通信,則中間人攻擊的實施過程如下:
(1)截取用戶A發(fā)往密鑰服務器的要求用戶B的公鑰的請求,代之以其對用戶B的公鑰請求,傳送給服務器。
(2)當服務器用用戶B的公鑰進行響應的時候,他又將它截取下來,并將他自己的公鑰發(fā)送給用戶A。
(3)用戶A用獲取的公鑰(實際上是中間人的公鑰)對數(shù)據(jù)進行加密,中間人將截取并解密,讀取甚至修改其中的內(nèi)容,而后重新用用戶B的公鑰進行加密后,發(fā)送給用戶B。而以上這些情況用戶A和用戶B都很難有所察覺。
17、常見的拒絕服務(DoS)攻擊有哪些?試分析各自的特點以及原理;何為分布式拒絕服務(DDoS)攻擊?試分析其特點以及運行機制。
DoS是Denial of Service的簡稱,即拒絕服務,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務。最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò),使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡,最后導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機,使得所有可用的操作系統(tǒng)資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。
(1)連接洪泛是利用ICMP(Internet Control Message Protocol, 網(wǎng)間控制報文協(xié)議)的一種網(wǎng)絡(luò)攻擊,而同步洪泛則是利用使用面向會話的TCP協(xié)議組的缺陷來實施攻擊,它們的本質(zhì)都是拒絕服務攻擊。
(2)以常見的連接洪泛攻擊為例,如響應索取、死亡之Ping和Smurf攻擊等,說明其原理以及拒絕服務攻擊的本質(zhì)。
(3)同步洪泛攻擊則要著重說明三次連接握手的過程,要解釋被攻擊利用的面向會話TCP協(xié)議組的缺陷。
分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術(shù),將多個計算機聯(lián)合起來作為攻擊平臺,對一個或多個目標發(fā)動DoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者利用系統(tǒng)或應用程序的一些漏洞,入侵系統(tǒng)并獲取控制權(quán),將DDoS主控程序安裝在一個計算機上,在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)通過與主控程序類似的入侵方法被安裝在Internet上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。
拒絕服務攻擊是通過一定方式干擾或淹沒服務器或個人通信系統(tǒng),使其無法向用戶提供正常
服務的攻擊方式。
實例:
(1)同步洪泛:基于TCP/IP協(xié)議的對等層次間三次握手,建立對話的機制,攻擊者發(fā)送大量SYN請求,而不以ACK進行響應,以占滿受害者的SYN-RECV連接隊列,這樣當有真正請求發(fā)過來時,其請求將會被丟失。
(2)流量重定向:路由器工作在網(wǎng)絡(luò)層,負責路由尋址,假設(shè)有一個路由器向附近路由器報告它到所有目標地址都有最佳路徑,那么其他路由器將會把信息發(fā)到該路由器上,該路由器會因被淹沒而丟失信息,或直接將所有信息一丟了之,這樣就造成了拒絕服務。
DNS攻擊是通過系統(tǒng)的漏洞控制一個DNS服務器,修改其中的地址轉(zhuǎn)換表表目,使相應的域名不能轉(zhuǎn)換到正確的IP地址,進而不能訪問到相應的網(wǎng)頁,這樣就造成了拒絕服務。
18、何為通信流推理威脅?簡述對付通信流推理威脅的常用方法。
所謂通信流推理攻擊是指通過分析網(wǎng)絡(luò)通信流量變化和通信的源地址和目標地址,來推理一些敏感的信息。通常采用維護節(jié)點間流量平衡來抵御流量分析,還可以洋蔥式路由的通信控制方式來隱匿源節(jié)點和目標節(jié)點的地址,,19、SSL(Secure Sockets Layer)建立安全通信通道的過程。SSL加密的實施過程如下:(1)客戶請求一個SSL會話。
(2)服務器用它的公鑰證書響應,以便客戶可以確認服務器的真實性(3)客戶返回用服務器公鑰加密的對稱會話密鑰,服務器用它的私鑰解開。(4)雙方用共享的會話密鑰進行加密通信。20、簽名代碼的機制以及實現(xiàn)過程
簽名代碼是讓一個值得信賴的第三方對代碼進行簽名,言外之意,使代碼更值得信賴,通過數(shù)字簽名來證實軟件來源及發(fā)布者的真實身份,簽名后代碼將不能被惡意修改,這也保證了代碼完整性,用戶下載到軟件包時,也可以驗證代碼的可信度。
實現(xiàn)過程:
(1)可信任的第三方對代碼計算哈希值,并用其私鑰進行數(shù)字簽名。
(2)用戶下載代碼后,用該第三方的公鑰對其進行解密并得到該代碼原來的哈希值。
(3)重新求代碼哈希值并與原來的哈希值對比,若相同,則說明該代碼的真實性由第三方保證,并且該代碼沒有被惡意修改過。
21、何為鏈路加密和端對端加密?試分析它們各自的特點以及利弊。
22、試簡述口令攻擊的一般方法,并討論一個安全的口令選擇要注意什么?如何構(gòu)造一個安全的鑒別系統(tǒng)?
口令攻擊有在線口令攻擊和離線口令兩種。
在線口令攻擊是通過截取口令,如果口令是加密的,還要采用暴力攻擊、字典攻擊或猜測用戶可能的口令等方法對口令進行解密。
離線口令攻擊則通過分析系統(tǒng)中的口令文件來獲得相關(guān)的口令。如果口令文件是加密的,則可以采用暴力攻擊、字典攻擊或猜測用戶可能的口令等方法對相關(guān)的口令進行解密;如果口令文
件是明文,則系統(tǒng)一般是通過設(shè)置訪問權(quán)限的方法控制對口令文件的訪問,攻擊者可以通過利用操作系統(tǒng)缺陷來獲取對口令文件的訪問權(quán)限、分析口令可能存放的內(nèi)存區(qū)或利用系統(tǒng)備份來獲取相關(guān)的口令。
可以通過以下方法來構(gòu)造一個安全的鑒別系統(tǒng):(1)帳戶封鎖。多次登陸錯誤,就封鎖相關(guān)的帳戶。
(2)鑒別程序響應延時。發(fā)生一次登陸錯誤后,延時顯示登陸界面。(3)采用一次性口令。(4)采用質(zhì)詢響應系統(tǒng)。
(5)采用組合健保證安全鑒別。(6)采用生物特征鑒別方式。
23、一次性口令(包括口令列表、口令令牌)、質(zhì)詢響應系統(tǒng)的實施方案(原理、用戶鑒別過程)以及特點比較。
在一次性口令系統(tǒng)中,每個口令就只使用一次,每次鑒別采用不同的口令。可以采用口令列表或口令令牌的方式來管理一次性口令。口令列表中存放著可用的口令,每次鑒別使用一個口令,用戶和主機使用相同的口令列表,口令列表方式中對于口令列表的維護是個難題;口令令牌方式使用硬件設(shè)備來產(chǎn)生不可預測的口令序列,采用的是同步令牌,這種設(shè)備能定時地(如每分鐘)產(chǎn)生一個隨機數(shù),用戶讀取設(shè)備顯示的數(shù)據(jù),將它作為一個一次性口令輸入,接收端主機執(zhí)行算法產(chǎn)生適合于當前時刻的口令,如與用戶輸入的口令相符,則用戶可通過鑒別。采用口令令牌方式要解決設(shè)備間的時間偏差問題,另外兩個口令之間的一個時間間隔內(nèi),原來這個口令是可以重用的,截取者有可能會利用這一弱點。
質(zhì)詢響應中,質(zhì)詢和響應設(shè)備看起來更象一個簡單的計算器,用戶先到設(shè)備上進行鑒別(通常使用PIN),遠程系統(tǒng)就會發(fā)送一個稱為“質(zhì)詢”的隨機數(shù),用戶將它輸入到設(shè)備中,然后將該設(shè)備的響應數(shù)字傳遞給系統(tǒng)。這種方式消除了用戶重用一個時間敏感的口令的弱點,而且沒有PIN,響應生成器即使落到其他人手中也是安全的。
24、以請求訪問文件服務器中的一個文件F為例,試從用戶身份鑒別、訪問請求授權(quán)、訪問請求的實現(xiàn)三方面來闡述Kerberos系統(tǒng)的運行機制以及特點。
在Kerberos系統(tǒng)中,該過程分以下三步實現(xiàn):(1)啟動一個Kerberos會話
在用戶登陸時,用戶工作站將用戶的身份發(fā)送給Kerberos服務器,在驗證該用戶是已授權(quán)的合法用戶后,Kerberos服務器發(fā)送給用戶工作站一個會話密鑰SG和票據(jù)授權(quán)服務器(G)的一個票據(jù)TG,其中用于與票據(jù)授權(quán)服務器的通信,使用用戶的口令進行加密:E(SG+TG, pw);同時給票據(jù)授權(quán)服務器一個會話密鑰SG的拷貝和用戶的身份,用Kerberos服務器與票據(jù)授權(quán)服務器之間共享的KS-TGS密鑰加密。
如果用戶可以使用它的口令pw成功解密E(SG+TG, pw),則該用戶通過了鑒別,事實上也認證了Kerberos服務器的真實性。用戶的口令存放于Kerberos服務器中,沒有在網(wǎng)絡(luò)上傳送,保證了系統(tǒng)的基本安全。
(2)獲得訪問文件的票據(jù)
用戶U向票據(jù)授權(quán)服務器發(fā)送一個用SG加密的訪問文件F的請求,票據(jù)授權(quán)服務器對U的訪問許可進行驗證后,它會返回一個票據(jù)和一個會話密鑰SF,其中SF將用于與文件服務器的通信,返回的票據(jù)包含了U的已鑒別身份、F的說明、允許的訪問權(quán)限、會話密鑰SF以及該票據(jù)的有效日期等,票據(jù)使用一個票據(jù)授權(quán)服務器與文件服務器之間共享的TGS-F密鑰加密,用戶以及其他人不能讀取、修改或偽造它,其中的時間戳也在一定程度上保證了該票據(jù)不能被重用。
已加密的票據(jù)和會話密鑰SF通過SG加密后返回給用戶U,用戶解密后即可獲得SF,以上這一個過程事實上也認證了票據(jù)授權(quán)服務器的真實性。
(3)向文件服務器請求訪問文件F
用戶U向文件服務器發(fā)送已用TGS-F密鑰加密的服務票據(jù),文件服務器用TGS-F密鑰解密后,分析允許的訪問權(quán)限、票據(jù)的時間戳等后,根據(jù)要求提供服務,隨后的文件傳送數(shù)據(jù)是用會話密鑰SF加密的。
文件服務器能用TGS-F解密相應的服務票據(jù),也就認證了其身份的真實性。
25、試從郵件(電子支票)的機密性、完整性、發(fā)送者身份的鑒別和加密密鑰的交換四個方面闡述安全郵件系統(tǒng)(電子支票系統(tǒng))的實現(xiàn)方案。
安全郵件系統(tǒng)通常結(jié)合了公鑰(非對稱)加密體制、密鑰(對稱)加密體制和數(shù)字簽名技術(shù),來保證郵件系統(tǒng)的安全性和效率。
郵件系統(tǒng)的機密性通過對郵件的加密來實現(xiàn),考慮加密解密的效率,通常采用密鑰(對稱)加密體制,發(fā)送者用系統(tǒng)隨機產(chǎn)生的對稱密鑰對郵件進行加密后,再用接受者的公鑰對該對稱蜜鑰進行加密,并將其附在加密后的郵件中,這樣接受者收到加密的郵件后,可以先用其私鑰解密發(fā)送者事先用接受者公鑰加密的對稱加密密鑰,取得該對稱密鑰,就能夠解密郵件,取得郵件明文。
在發(fā)送者對郵件進行加密以前,可以先取得該郵件的消息摘要,并用其私鑰對該消息摘要進行數(shù)字簽名,并將數(shù)字簽名后的郵件消息摘要附在加密郵件中,這樣接受者可以用發(fā)送者的公鑰解密加密的消息摘要,并計算郵件當前的消息摘要,如果與原來保存的一致,就證明郵件沒有被篡改,同時也確認了發(fā)送者的身份。
試卷組成(1)(2)(3)(4)
單選題 判斷題 簡答題 綜合題
30分 22分
28分 20分
點擊咨詢 