高级学员：2015年10月26日作业

一、PMI权限（授权）管理基础设施

1、访问控制包括哪2个重要过程，及内容；

访问控制是为了限制访问主体（或称为发起者，是一个主动的实体，如用户、进程、服务等）对访问客体（需要保护的资源）的访问权限，从而使计算机信息应用系统在合理范围内使用；访问控制机制决定用户以及代表一定用户利益的程序能够做什么及做到什么程度。访问权限随不同的业务应用有不同的规范，一般至少包括读取数据、更改数据、运行程序和发起网络连接等基本操作。
访问控制的两个重要过程：
（1） 认证过程，通过“鉴别（authentication）”来检验主体的合法身份。
（2） 授权管理，通过“授权（authorization）”来赋予用户对某项资源的访问权限。

2、简述PMI与PKI有何不同？哪个是“你能做什么”，哪个是“你是谁”

PMI（Priviledge Management Infrastructure）即权限管理基础设施或授权管理基础设施。PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。PMI是建立在PKI基础上的。
PMI主要进行授权管理，证明这个用户有什么权限，能干什么，即“你能做什么”
PKI主要进行身份鉴别，证明用户身份，即“你是谁”。

二、信息安全审计系统

1、中华人民共和国国家标准-计算机系统安全保护能力的5个等级；

中华人民共和国国家标准——计算机系统安全保护能力的5个等级：（1）第1级，用户自主保护级；（2）第2级，系统审计保护级；（3）第3级，安全标记保护级；（4）第4级，结构化保护级；（5）第5级，访问验证保护级。

2、网络监听型、主动信息获取型、系统嵌入型AGENT的概念；

审计Agent主要可以分为网络监听型Agent、系统嵌入型Agent、主动信息获取型Agent等。
网络监听型Agent：对于网络监听型的审计Agent，需要运行在一个网络监听专用硬件平台上，在系统中，该硬件被称为网探。
系统嵌入型Agent：系统嵌入型Agent是安装在各个受保护的主机上的安全保护软件，这些软件实现基于主机的安全审计和监管。
主动信息获取型Agent：主动信息获取型Agent主要实现针对一些非主机类型的设备的日志收集，如防火墙、交换机、路由器等。

三、信息安全系统的组织管理

1、企业信息化信息安全的组织管理中，人员安全包括哪6条；

人员安全主要包括以下内容：
人员审查
岗位责任和授权
人员培训
人员考核
签订保密合同
人员调离

2、针对信息安全的培训分为哪四级，各级的主要内容；

培训的知识分为四级：知识级的培训、政策级的培训、实施级的培训和执行级的培训。
知识级培训的目的是建立对计算机信息系统威胁和脆弱性的敏感性，了解计算机信息系统保护的基本知识。
政策级培训的目的在于提供理解计算机信息系统安全原则的能力，使行政领导能够做出本企业计算机信息安全的合理、科学政策。
实施级的培训提供认识和评估计算机信息系统受威胁和攻击的能力，通过培训，负有安全责任的各级领导和安全管理负责人能制定、实施其企业安全政策。
执行级的培训旨在给计算机信息系统各类人员提供设计、执行、评估其所在计算机信息系统安全规程的方法和技能，使工作人员在执行与其职务有关任务时能够应用安全概念。

3、在信息安全标委会中，成立了哪几个工作组？

在信息安全标委会中，成立了信息安全标准体系与协调工作组（WG1）、密码算法与密码模块工作组（WG3）、鉴别与授权工作组（WG4）、信息安全评估工作组（WG5）和信息安全管理工作组（WG7）5个工作组。

三、ISSE-CMMS

1、ISSE-CMM包括哪三类过程区？

ISSE-CMM包含三类过程区：工程、项目和组织三类。组织类与项目类过程区的差别仅仅是所有权的不同，项目过程区只针对一个特定的产品，而组织过程区则含有一个或多个项目。

四、新技术

1、云计算的三个模式；

云计算（Cloud Computing）：是一种基于互联网的网络计算方式。云计算技术：（1）基础设计即服务IAAS（Infrastructure as a Service），消费者通过Internet可以从完善的计算机基础设施获得服务；（2）平台即服务PAAS（Platform as a Service），把服务器平台作为一种服务提供的商业模式；（3）软件即服务SAAS（Software as a Service），基于互联网的服务提供、软硬件资源租赁、数据存储、安全保障等服务的商业应用。

2、物联网的三层；

从技术架构上来看，物联网可以分为三层：感知层、网络层和应用层。

3、事件管理、问题管理、服务级别协议的区别；

事件管理中的事件是一个广义的概念，它是指引起或可能引起服务中断和服务质量下降的事件或某些服务请求，事件管理是负责解决IT服务过程中的突发事件、问题以及客户需求等内容的记录、管理、分析等。
问题管理是通过调查巡检IT基础设施或通过事件管理系统中的数据分析，来确定引起事件发生的真正的潜在原因以及提供的服务中可能存在的故障，从而制定统一的解决方案从根本上解决问题。问题管理既可以是事件管理的后续流程，也可以作为独立的流程贯彻实施。

事件管理的目标就是提升事件管理时效性，提升整个企业的IT服务质量和整体运营状况，关键在于恢复服务，提高事件解决的效率。事件被接收后事件管理流程对其进行处理，通过一些应急措施，或临时修复来处理事件，强调的是个快速，效率。

与事件管理强调的事件恢复速度不同，问题管理的主要目标是查明事故发生的潜在原因并找到解决事故的方法制定预防措施，再从根本上解决问题，消除引起事件的深层次根源以防止事件再次发生，从而维持一个稳定的IT服务环境，强调的是问题解决的长效性。

服务级别协议是指提供服务的企业与客户之间就服务的品质、水准、性能等方面所达成的双方共同认可的协议或契约。

参考：
http://www.infocare.cn/helpdesk/article_135814

4、看看《大数据发展纲要》、互联网+、中国智能制造2025。

5、WEB SERVICE适用的四种情况，及不适用的2种情况；

适用：（1）跨防火墙；（2）集成不同语言编写，在不同平台上运行的应用程序；（3）跨公司业务集成；（4）软件重用
不适合：（1）单机应用；（2）局域网中的同构应用程序

6、DAS、NAS、SAN的区别；

目前磁盘存储市场上，存储根据服务器类型分为：封闭系统的存储和开放系统的存储，封闭系统主要指大型机，AS400等服务器，开放系统指基于包括Windows、UNIX、Linux等操作系统的服务器；开放系统的存储分为：内置存储和外挂存储；开放系统的外挂存储根据连接的方式分为：直连式存储（Direct-AttachedStorage，简称DAS）和网络化存储（Fabric-Attached Storage，简称FAS）；开放系统的网络化存储根据传输协议又分为：网络接入存储（Network-AttachedStorage，简称NAS）和存储区域网络（Storage Area Network，简称SAN）。由于目前绝大部分用户采用的是开放系统，其外挂存储占有目前磁盘存储市场的70%以上。


今天的存储解决方案主要为：直连式存储（DAS）、存储区域网络（SAN）、网络接入存储（NAS）。


直连式存储依赖服务器主机操作系统进行数据的IO读写和存储维护管理，数据备份和恢复，要求占用服务器主机资源（包括CPU、系统IO等），数据流需要回流主机再到服务器连接着的磁带机（库），数据备份通常占用服务器主机资源20-30%，因此许多企业用户的日常数据备份常常在深夜或业务系统不繁忙时进行，以免影响正常业务系统的运行。直连式存储的数据量越大，备份和恢复的时间就越长，对服务器硬件的依赖性和影响就越大。
存储区域网络（Storage Area Network，简称SAN）采用光纤通道（Fibre Channel）技术，通过光纤通道交换机连接存储阵列和服务器主机，建立专用于数据存储的区域网络。SAN经过十多年历史的发展，已经相当成熟，成为业界的事实标准（但各个厂商的光纤交换技术不完全相同，其服务器和SAN存储有兼容性的要求）。SAN存储采用的带宽从100MB/s、200MB/s，发展到目前的1Gbps、2Gbps。
网络接入存储（Network-Attached Storage，简称NAS）采用网络（TCP/IP、ATM、FDDI）技术，通过网络交换机连接存储系统和服务器主机，建立专用于数据存储的存储私网。随着IP网络技术的发展，网络接入存储（NAS）技术发生质的飞跃。

NAS和SAN最本质的不同就是文件管理系统在哪里。换句话说：NAS和SAN存储系统的区别是NAS有自己的文件系统管理。NAS是将目光集中在应用、用户和文件以及它们共享的数据上。SAN是将目光集中在磁盘、磁带以及联接它们的可靠的基础结构。

NAS是以数据为中心的存储结构，是一种完全脱离服务器就可直接上网的存储设备，NAS把任务优化的存储设备直接连接到网络上，用户可直接通过网络共享NAS设备中的数据，解决了DAS中存储对服务器的依赖及服务器的瓶颈问题。
在NAS下，客户机对资源的请求直接发送给NAS设备，该请求返回的数据也直接发给请求者而无需服务器的中转，大大提高的响应速度和传输速率。NAS采用RJ—45标准网络接口，只要将NAS设备通过集线器或交换机连接到TCP／IP网络，分配一个IP地址即可。NAS支持异构网络环境下的跨平台文件共享，支持WINDOW/UNIX/APPLE等。

SAN是一种以网络为中心的存储结构，不同于普通以太网，是位于服务器后端，为连接服务器、磁盘阵列、带库等存储设备而建立的高性能网络。SAN以数据存储为中心，采用可伸缩的网络拓扑结构，通过具有高传输速率的光通道(或者ISCSI)的直接连接，提供SAN内部任意节点之间的多路可选择的数据交换，并且将数据存储管理集中在相对独立的存储区域网内。SAN与传统的DAS区别在于DAS的存储设备专门服务于所连接的服务器，而SAN模式下所有服务器可以通过高速通道共享所有的存储设备。
SAN的主要设备：存储设备（磁盘阵列）、服务器、连接设备（网络交换设备及光纤等）、存储管理软件。SAN的优势在于所有存储设备高度共享，所有存储设备可以集中管理同时具有冗余备份功能，单台服务器宕机系统照样工作。

参考：
http://www.dostor.com/article/2005-03-28/334125.shtml
http://bbs.xtjc.com/thread-388695-1-1.html

7、综合布线系统包括哪6个子系统。

综合布线系统包括以下6个子系统：
（1） 工作区子系统，由终端设备连接到信息插座之间设备组成，包括信息插座、插座盒、连接跳线和适配器。
（2） 配线（水平子系统）：由工作区子系统的信息插座、水平电缆、配线设备等组成，是计算机网络信息传输的重要组成部分。其中，水平电缆最大长度为90m，配线架跳至交换机、信息插座跳接至计算机总长度不超过10m，通信通道总长度不超过100m。
（3） 垂直干线子系统：由主设备间（比如计算机房、程控交换机房）提供建筑中最重要的铜线或光纤线缆主干线路，是整个大楼的信息交通枢纽。它不仅可以提供位于不同楼层的设备间和布线框间的多条连接路径，也可连接单层楼的大片地区。
（4） 设备间子系统：设备间是在每一幢大楼的适当地点设置进行设备，进行网络管理，以及网络管理人员值班的场所。由建筑物进线设备、电话、数据、计算机等各种主机设备及其保安配线设备组成。
（5） 管理子系统：设置在每层配线设备的房间内。应由交换间的配线设备，输入/输出设备等组成。也可应用于设备间子系统。
（6） 建筑群子系统：由连接各建筑物之间的综合布线缆线、建筑群配线设备和跳线等组成。