【正文】 所有的證書都有一個(gè)有限的。證書請求被立即拒絕或批準(zhǔn)。ＰＫＩ/ＣＡ對數(shù)字證書的管理是按照數(shù)字證書的生命周期實(shí)施的。簽名私鑰絕對不能夠作備份和存檔。ＰＫＩ的體系架構(gòu)：信任服務(wù)體系與密鑰管理中心ＫＭＣ。數(shù)字證書提供了ＰＫＩ的基礎(chǔ)。中國標(biāo)準(zhǔn)WAPI。無線安全網(wǎng)絡(luò)ＷＬＡＮ的安全機(jī)制ＷＥＰ：不像IPSec協(xié)議一樣用于提供網(wǎng)絡(luò)安全，而是用于提供無線網(wǎng)的對等的保密級別。比IPSec VPN更強(qiáng)安全性等，可以簡化ＶＰＮ的配置和管理，提高ＶＰＮ的可擴(kuò)展性。采用傳輸模式和隧道模式來傳輸加密的數(shù)據(jù)。IPSec VPN并不需要基于ＰＫＩ技術(shù)，它可用共享密鑰在網(wǎng)絡(luò)端點(diǎn)進(jìn)行加密。ＶＰＮ虛擬個(gè)人網(wǎng)；ＶＬＡＮ虛擬本地網(wǎng)。數(shù)字時(shí)間戳服務(wù)ＤＴＳ，由專門的單位機(jī)構(gòu)提供電子文件，是一個(gè)經(jīng)加密后的憑證文檔，有三部分：摘要ＭＤ，日期時(shí)間，數(shù)字簽名。與非對稱密鑰相反。缺點(diǎn)：慢、復(fù)雜、明文攻擊很脆弱，不適用于數(shù)據(jù)的加密傳輸。有ＲＳＡ,ＥＣＣ。對稱密鑰缺點(diǎn)：加密強(qiáng)度不高，不適宜一對多。有ＩＤＥＡ,ＤＥＳ,3ＤＥＳ,ＲＣ4.ＤＥＳ56，ＩＤＥＡ128密鑰長度。明文為Ｍ，密文為Ｃ，加密就是從Ｍ到Ｃ。第27章 　信息安全技術(shù)基礎(chǔ)（20140210）密碼技術(shù)是信息安全的根本。管理和執(zhí)行功能實(shí)施分離。第1級為用戶自主保護(hù)級，普通內(nèi)聯(lián)用戶；第3級為安全標(biāo)記保護(hù)級，適用于國家機(jī)關(guān)、金融單位、重點(diǎn)工程建設(shè)等；第4級為結(jié)構(gòu)化保護(hù)級，適用于中央級國家機(jī)關(guān)、國防建設(shè)等部門；第5級為訪問驗(yàn)證保護(hù)級，適用于國防關(guān)鍵部門等。各個(gè)安全要素是同等重要的。首先是定方案，其次是定崗。一個(gè)單位一定要建立安全策略，安全策略來源于單位的“安全風(fēng)險(xiǎn)（威脅）”。如果只有安全薄弱環(huán)節(jié)而沒有與之相對應(yīng)的安全威脅；或只有安全威脅而沒有與之相對應(yīng)的安全薄弱環(huán)節(jié)，就不能看作一項(xiàng)風(fēng)險(xiǎn)。影響是威脅與脆弱性的特殊組合。威脅、脆弱性、影響之間存在著一定的對應(yīng)關(guān)系。資產(chǎn)之間的相關(guān)性在進(jìn)行評估鑒定時(shí)是必須考慮的一個(gè)問題。有必要對其價(jià)值或重要性做出一個(gè)非經(jīng)濟(jì)方面的評估，如用資產(chǎn)的質(zhì)量作為其價(jià)值或重要性的量度。在一個(gè)劃定的評估范圍內(nèi)的所有資產(chǎn)都必須進(jìn)行鑒定，而對所有被排除在這個(gè)范圍內(nèi)的資產(chǎn)不論什么原因，也有必要進(jìn)行額外的評估鑒定以確定它們沒有被遺漏或忽略。資產(chǎn)評估鑒定的理由是：要區(qū)別對待。安全威脅的對象就是一個(gè)單位的有形、無形資產(chǎn)，主要是有形資產(chǎn)?？刂票苊庑畔?yīng)用管理風(fēng)險(xiǎn)的唯一辦法：制定監(jiān)督制度，完善項(xiàng)目管理機(jī)制。軟件過程風(fēng)險(xiǎn)軟件需求階段的風(fēng)險(xiǎn)最大！設(shè)計(jì)本身的風(fēng)險(xiǎn)主要來自于系統(tǒng)分析人員，這一階段另一種風(fēng)險(xiǎn)來自于設(shè)計(jì)文檔。人為事件風(fēng)險(xiǎn)，１、 意外的人為事件風(fēng)險(xiǎn)：內(nèi)部涉密人員有意或無意泄密、無意更改重要記錄信息、非授權(quán)人員無意查看或存取保密信息，隨意的一切操作……２、 有意的人為事件風(fēng)險(xiǎn)：欺詐、偷竊、內(nèi)部員工的有意破壞、侵犯他人個(gè)人隱私、惡意代碼、黑客。風(fēng)險(xiǎn)的性質(zhì)分：靜態(tài)與動(dòng)態(tài)；風(fēng)險(xiǎn)的結(jié)果分：純粹與投機(jī)。從業(yè)務(wù)應(yīng)用信息系統(tǒng)安全威脅的分析來看，單位的“無形資產(chǎn)”是在“有形資產(chǎn)”破壞之后才引發(fā)的結(jié)果。第25章 　信息系統(tǒng)安全風(fēng)險(xiǎn)評估（20140208）無形資產(chǎn)：誠信、可靠的信譽(yù)、產(chǎn)品的商標(biāo)、商家的專利、知識產(chǎn)權(quán)等。２、 ＳＭＩＳ系統(tǒng)架構(gòu)“標(biāo)準(zhǔn)”，建立在ＰＫＩ/ＣＡ標(biāo)準(zhǔn)上，業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變，硬件與軟件通用，ＰＫＩ/ＣＡ安全保障系統(tǒng)必須帶密碼。安全設(shè)備是指在“應(yīng)用系統(tǒng)”之外的信息安全設(shè)備，如防火墻、安全路由、網(wǎng)絡(luò)隔離、動(dòng)態(tài)口令卡、病毒防治、漏洞掃描系統(tǒng)、入侵檢測系統(tǒng)等。動(dòng)態(tài)分析法也叫貼現(xiàn)法，有凈現(xiàn)值法ＮＰＶ、內(nèi)部收益率法ＩＲＲ　　一般來說，同一項(xiàng)目的修正內(nèi)部收益率ＭＩＲＲ會比不修正的內(nèi)部收益率ＩＲＲ要小，從而使項(xiàng)目評估更為貼近實(shí)際。典型的項(xiàng)目生命周期圖形為“Ｓ”型“慢－快－慢”項(xiàng)目風(fēng)險(xiǎn)評估，40%以下為低風(fēng)險(xiǎn)，70%以上為高風(fēng)險(xiǎn)。項(xiàng)目風(fēng)險(xiǎn)：項(xiàng)目在其外部環(huán)境、內(nèi)部運(yùn)行條件、生命周期內(nèi)自然存在的導(dǎo)致項(xiàng)目績效損失的變化程度。信息系統(tǒng)績效評估原則：應(yīng)用效果評估——有預(yù)期的經(jīng)濟(jì)收益、管理效益。項(xiàng)目評估原則：投資方案盡可能適應(yīng)技術(shù)發(fā)展趨勢、盡可能采用世界上先進(jìn)的工藝技術(shù)和設(shè)備。項(xiàng)目評估工作，可以在可行性研究的同時(shí)進(jìn)行調(diào)查研究，在拿到報(bào)告后，提出評估意見。事中審計(jì)是一種動(dòng)態(tài)審計(jì)?？冃徲?jì)（3Ｅ審計(jì)）：經(jīng)濟(jì)、效率、效果，由獨(dú)立的審計(jì)機(jī)構(gòu)或人員，對合理性、經(jīng)濟(jì)性、有效性作監(jiān)督、評價(jià)和鑒證。項(xiàng)目績效評估，一般是指通過項(xiàng)目組之外的組織或者個(gè)人對項(xiàng)目進(jìn)行的評估，通常是指在項(xiàng)目的前期和項(xiàng)目完工之后的評估。以電子申請形式獨(dú)得的專利權(quán)、商標(biāo)權(quán)，是獲得知識產(chǎn)權(quán)的一種新途徑，也可以看做是一種電子商務(wù)，一種特殊的電子商務(wù)。電子商務(wù)分支付型、非支付型（信息查詢、發(fā)布、商務(wù)談判、合同簽署）信息流、資金流、物流、商流，把商流分解于前三者之中，從這一點(diǎn)上，電子商務(wù)與傳統(tǒng)商務(wù)并無根本區(qū)別。突破了地域性。數(shù)據(jù)庫可以作為匯編作品受到版權(quán)保護(hù)?，F(xiàn)階段我國絕大多數(shù)企業(yè)所處的價(jià)值層次，為防御和成本控制。任何一種作品，只要它是原創(chuàng)，或者是通過某一物質(zhì)媒介表達(dá)出來，都可以獲得版權(quán)。隱性知識的共享方法：編碼化、面對面交流、人員輪換、網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)是共享知識的橋梁）知識倉庫——以知識需求為導(dǎo)向，源于公司事務(wù)系統(tǒng)和外部知識源的數(shù)據(jù)庫。顯性知識的索引三種：文本、持有人、所在過程導(dǎo)向。項(xiàng)目知識管理第一步，就是達(dá)到知識學(xué)習(xí)與共享。內(nèi)部網(wǎng)（intranet）是知識管理最有力的工具之一。認(rèn)知化是將由以上三種功能獲得的知識加以應(yīng)用的過程。知識管理是指，為了增強(qiáng)組織的績效而創(chuàng)造、獲取、使用知識的過程。顯性知識可以通過閱讀、視聽、檢索獲得；隱性知識主要靠在實(shí)踐中“邊干邊學(xué)”獲得。顯性知識與隱性知識。第22章 　知識管理（20140208）信息只有當(dāng)經(jīng)由帶語境的思維模型解釋和評價(jià)之后，才能稱之為知識。選擇變革項(xiàng)目三標(biāo)準(zhǔn)：有嚴(yán)重缺陷的流程、對經(jīng)營成功至關(guān)重要的流程、容易處理的流程。ＢＰＲ實(shí)施，涉及到技術(shù)、人文。重組與改進(jìn)并沒有不兼容的根本區(qū)別，改進(jìn)只是要考慮更多的方方面面，更好地實(shí)現(xiàn)平滑過渡。ＡＢＣ始于與部門負(fù)責(zé)人的面談。不同之處在于關(guān)注導(dǎo)致成本發(fā)生的原因，而不是對消耗的資源進(jìn)行簡單分配。圖形有流程圖法（Flow Charts）業(yè)務(wù)流程執(zhí)行和關(guān)注的是執(zhí)行的效率（所耗資源）、效果（完成情況）業(yè)務(wù)流程評估：應(yīng)建立起內(nèi)部與外部相結(jié)合的方式價(jià)值活動(dòng)有兩類基本活動(dòng)：內(nèi)部后勤、生產(chǎn)經(jīng)營、外部后勤、服務(wù)輔助活動(dòng)：采購、技術(shù)開發(fā)、人力資源管理、企業(yè)基礎(chǔ)設(shè)施活動(dòng)有三種類型直接活動(dòng)、間接活動(dòng)、質(zhì)量保證ＡＢＣ成本法：基于活動(dòng)的成本計(jì)算法，用于對現(xiàn)有流程的描述和成本分析，緊密跟蹤每個(gè)作業(yè)的成本，記錄為支持這些必要的活動(dòng)所消耗的組織資源。目前，很多企業(yè)通常關(guān)注的要素，集中在工作任力的流動(dòng)上，忽視其它，導(dǎo)致：授權(quán)不明確、責(zé)任不到位、目標(biāo)不清晰、流程的流通時(shí)間拖沓、資源不充分、信息不完整。業(yè)務(wù)流程管理中最為重要的一個(gè)環(huán)節(jié)：業(yè)務(wù)流程設(shè)計(jì)流程三大類：戰(zhàn)略類、營運(yùn)類、支持性。流程管理與原有的ＢＰＲ管理思想最要本的不同，就在于流程管理并不要求對所有的流程進(jìn)行再造，而是根據(jù)現(xiàn)有流程的具體情況，對流程進(jìn)行規(guī)范化設(shè)計(jì)。流程管理的本質(zhì)，是構(gòu)造卓越的業(yè)務(wù)流程。業(yè)務(wù)流程重組ＢＰＲ。第21章 　業(yè)務(wù)流程管理和重組（20140208）流程至少應(yīng)該有兩個(gè)以上的活動(dòng)組成。企業(yè)組織如果不是存在于經(jīng)營壟斷或被高度操作的行業(yè)里，就不應(yīng)采取反應(yīng)型組織形式。最大危險(xiǎn)：既不能適應(yīng)市場的快速變化，又喪失組織效率。分析：處于防御與開拓之間，這類組織只在新的市場被證明具有生命力時(shí)才開始在該市場上活動(dòng)。適合于動(dòng)態(tài)的環(huán)境，在行業(yè)中保持一個(gè)創(chuàng)新者的聲譽(yù)，比獲得高額利潤更重要。組織有4種類型：防御、開拓、分析、反應(yīng)（失敗的類型）防御：采用競爭性定價(jià)或生產(chǎn)高質(zhì)量產(chǎn)品，采用機(jī)械式結(jié)構(gòu)，適合于較為穩(wěn)定的行業(yè)，但不能適應(yīng)環(huán)境和市場的快速變化。組織戰(zhàn)略調(diào)整的基本原則：適應(yīng)循環(huán)。戰(zhàn)略有前導(dǎo)性，組織有滯后性。把未來的風(fēng)險(xiǎn)降到最低程度。戰(zhàn)略計(jì)劃所要解決的主要問題是如何使企業(yè)達(dá)成既定目標(biāo)。戰(zhàn)略計(jì)劃是高層管理者指揮的依據(jù)，同時(shí)也是所有管理人員的一項(xiàng)任務(wù)，每個(gè)管理人員都應(yīng)參與制定和實(shí)施戰(zhàn)略計(jì)劃。２、 工作過程不同。１、 對未來看法不同。戰(zhàn)略選擇：波士頓矩陣（ＢＣＧ），其生命周期為——問題、明星、現(xiàn)金牛、瘦狗。戰(zhàn)略新發(fā)展為：大規(guī)模定制、戰(zhàn)略聯(lián)盟、時(shí)基競爭戰(zhàn)略。成本與差別是面向全行業(yè)。差別化戰(zhàn)略不可以忽略成本。戰(zhàn)略三個(gè)層次：公司戰(zhàn)略、業(yè)務(wù)戰(zhàn)略、職能戰(zhàn)略綜合戰(zhàn)略涉及到企業(yè)成長方向，有加強(qiáng)、防御、擴(kuò)張三種。做優(yōu)劣分析時(shí)必須從整個(gè)價(jià)值鏈的每個(gè)環(huán)節(jié)上，與對手對比。某因素即是優(yōu)也是劣時(shí)，在ＩＦＥ中出現(xiàn)兩次。２、 內(nèi)部因素評價(jià)矩陣（ＩＦＥ）因素總數(shù)在1020個(gè)。加權(quán)分最高為4，說明利用機(jī)會并減少威脅；最低為１，說明公司的戰(zhàn)略不能利用機(jī)會或回避威脅。外部因素評價(jià)矩陣（ＥＦＥ）因素總數(shù)在1020個(gè)。集中度上升的行業(yè)，可以加大市場投入、加快渠道建設(shè)往往能獲取一定的成效。戰(zhàn)略分析屬于戰(zhàn)略制定。戰(zhàn)略制定：提出今后的中長期發(fā)展思路和方案。短期目標(biāo)是執(zhí)行性目標(biāo)，其時(shí)限常在1年以內(nèi)。凡在成就和成果直接影響組織的生存和繁榮的那些方面，都需要建立長期目標(biāo)。方針有助于確保組織中的一切單位按相同的基本準(zhǔn)則來行動(dòng)。方針來自組織的哲學(xué)，是指導(dǎo)組織行為的總則。規(guī)定組織的宗旨是看它與顧客的關(guān)系。組織宗旨——指規(guī)定組織去執(zhí)行或打算執(zhí)行的活動(dòng)，以及現(xiàn)在的或期望的組織類型。企業(yè)戰(zhàn)略特點(diǎn)：全局性、長遠(yuǎn)性（5年以上）、抗?fàn)幮?、綱領(lǐng)性一個(gè)組織的使命包括兩個(gè)方面的內(nèi)容：組織哲學(xué)、組織宗旨。企業(yè)戰(zhàn)略是用ＳＷ（優(yōu)劣）來評價(jià)企業(yè)現(xiàn)狀，用ＯＴ（機(jī)會威脅）來評價(jià)現(xiàn)在和未來的環(huán)境。企業(yè)戰(zhàn)略：關(guān)心企業(yè)外部勝于企業(yè)內(nèi)部，關(guān)系著企業(yè)未來的發(fā)展方向、發(fā)展道路、發(fā)展行動(dòng)等。與內(nèi)部偏差一起，需要對變更統(tǒng)一的控制，大型項(xiàng)目中，變更控制委員會ＣＣＢ往往是項(xiàng)目的最高控制機(jī)構(gòu)之一。如真實(shí)績效和基準(zhǔn)計(jì)劃出現(xiàn)偏差，則有兩種措施：一是改進(jìn)實(shí)施；二是項(xiàng)目變更。項(xiàng)目實(shí)施和控制過程最關(guān)鍵的環(huán)節(jié)，是獲取項(xiàng)目的實(shí)施績效，和項(xiàng)目的基準(zhǔn)計(jì)劃進(jìn)行比較。在制定項(xiàng)目計(jì)劃時(shí)，大型及復(fù)雜項(xiàng)目所用的工具和一般項(xiàng)目管理差不多。大型項(xiàng)目先過程后計(jì)劃計(jì)劃是考慮項(xiàng)目的效果（范圍、質(zhì)量）、效率（進(jìn)度、成本）一般來說，大型ＩＴ項(xiàng)目都是在需求不十分清晰的情況下開始的，兩個(gè)階段（需求定義、需求實(shí)現(xiàn)）。一個(gè)崇尚制度和紀(jì)律的團(tuán)隊(duì)經(jīng)常最具有效率。大型及復(fù)雜項(xiàng)目，在制定活動(dòng)計(jì)劃之前，必須先考慮項(xiàng)目的過程計(jì)劃，也就是必須先確定用什么方法和過程來完成項(xiàng)目。將一種能力刻畫成組織行為是成熟度模型的中心思想。效用——定義并分析項(xiàng)目效用方面的細(xì)節(jié)。組合管理所關(guān)心的是適配、效用和平衡。至少提供決策所需信息，由ＰＭＯ來負(fù)責(zé)；最后的決策由組織高層來批準(zhǔn)。項(xiàng)目組合管理有兩個(gè)任務(wù)：最主要的活動(dòng)是進(jìn)行項(xiàng)目組合的選擇。戰(zhàn)略性職能有：項(xiàng)目組合管理、提高組織項(xiàng)目管理能力。ＰＭＯ項(xiàng)目管理辦公室：將組織戰(zhàn)略目標(biāo)實(shí)現(xiàn)。ＰＭＩ公布的組織級項(xiàng)目管理成熟度模型ＯＰＭ3的三個(gè)維度：過程組：啟動(dòng)、計(jì)劃、執(zhí)行、控制、收尾知識領(lǐng)域：項(xiàng)目管理、大型項(xiàng)目管理、項(xiàng)目組織管理。組織過程資產(chǎn)代表組織未來實(shí)施的某種能力，作為組織未來創(chuàng)造利潤的核心。ＤＩＰＰ越高，意味著資源的利用率越高，越值得優(yōu)先考慮資源的支持。ＤＩＰＰ=ＥＭＶ(截止目前時(shí)間為止的期望貨幣值)/ＥＴＣ(估算到完成時(shí)的成本，還要多少成本)。適用于項(xiàng)目初期的項(xiàng)目選擇、優(yōu)先級排列上。決策表用在不十分精確的場合。決策表：對項(xiàng)目的各個(gè)特征進(jìn)行定性定量加權(quán)，特征與加權(quán)系數(shù)由組織的戰(zhàn)略目標(biāo)來決定。優(yōu)先級排列的目的——確保組織的資源得到最高效率的應(yīng)用。項(xiàng)目組合管理，執(zhí)續(xù)不斷評價(jià)，最大限度利用有限的資源。目標(biāo)導(dǎo)向關(guān)心的是組織的外部因系，即市場上可能存在哪些機(jī)會，資源導(dǎo)向關(guān)心的是組織的內(nèi)部因素，即組織自身所建立的核心優(yōu)勢。組織戰(zhàn)略定義了組織發(fā)展的方向，其中組織的戰(zhàn)略方法，存在兩種不同的傾向：目標(biāo)導(dǎo)向、資源導(dǎo)向。傳統(tǒng)的項(xiàng)目管理采取的是自下而上的管理方式，數(shù)據(jù)從底層收集，到高層分析后作管理與控制，是戰(zhàn)術(shù)性的項(xiàng)目管理方式。是項(xiàng)目組織管理所要研究的主題。它的根本意義在于，提高組織實(shí)現(xiàn)戰(zhàn)略目標(biāo)的能力。第18章 　職業(yè)道德規(guī)范（20140207）項(xiàng)目管理師行為準(zhǔn)則，從其對職業(yè)的責(zé)任，和對客戶及公眾的責(zé)任這兩個(gè)方面來規(guī)定。實(shí)現(xiàn)此項(xiàng)變更的開發(fā)人員可能需求詳細(xì)的分析情況和工作量計(jì)劃工單，但變更控制委員會僅需要影響分析的總結(jié)。需求跟蹤能力不能完全自動(dòng)化，因聯(lián)系鏈源于開發(fā)組成員的頭腦中。每個(gè)功能性需求，向后連接一個(gè)特定的使用實(shí)例。度量變更活動(dòng)：先簡單測量，后復(fù)雜測量。對于小項(xiàng)目只需幾個(gè)人充當(dāng)其中一些角色就可以，并不一定要面面俱到。制定決策的人應(yīng)該進(jìn)入變更控制委員會。但只要變更涉及兩個(gè)人或兩個(gè)人以上，都應(yīng)該通過控制過程來處理。絕不能從數(shù)據(jù)庫中刪除或修改變更請求的原始文檔。變更控制過程如果一個(gè)變更需求未被采納，則其后過程不再予以考慮。控制需求擴(kuò)展的另一個(gè)有效技術(shù)是原型法。在項(xiàng)目進(jìn)度表中應(yīng)該對必要的需求改動(dòng)留有余地。當(dāng)不得不做出變更時(shí)，應(yīng)該按從高級到低級的順序?qū)Ρ挥绊懙男枨笪臋n進(jìn)行處理。制定需求管理計(jì)劃的主要步驟：建立組織方針——確定資源——分配責(zé)任——培訓(xùn)計(jì)劃——確定干系人——制定和判斷項(xiàng)目工作與需求不一致的準(zhǔn)則和糾正規(guī)程——制定需求跟蹤矩陣——制定需求變更審批規(guī)程——制定審批規(guī)程版本控制的最有力方法是用一個(gè)商業(yè)需求管理工具的數(shù)據(jù)庫存儲需求。需求管理計(jì)劃由項(xiàng)目經(jīng)理審批。是功能需求和非功能需求的一個(gè)約定?；?