【计算机类职业资格】软件水平考试（高级）信息系统项目管理师上午（综合知识）试题章节练习试卷9及答案解析.doc

1、软件水平考试（高级）信息系统项目管理师上午（综合知识）试题章节练习试卷 9 及答案解析(总分：40.00，做题时间：90 分钟)一、选择题(总题数：17，分数：40.00)1.选择题（）下列各题 A、B、C、D 四个选项中，只有一个选项是正确的，请将此选项涂写在答题卡相应位置上，答在试卷上不得分。_2.以下工程进度网络图 7-1 中，若节点 0 和 6 分别表示起点和终点，则关键路径为(1)。 （分数：2.00）A.0136B.0146C.01246D.02563.项目进度网络图是(2)。（分数：2.00）A.活动定义的结果和活动历时估算的输入B.活动排序的结果和进度计划编制的输入C.活动计划

2、编制的结果和进度计划编制的输入D.活动排序的结果和活动历时估算的输入4.在计划编制完成后，项目团队认为所制定的进度时间太长，分析表明不能改变工作网络图，但该项目有附加的资源可利用。项目经理采用的最佳方式是(3)。（分数：2.00）A.快速追踪项目B.引导一项 Monte Carlo 分析C.利用参数估算D.赶工5.活动排序的工具和技术有多种，工具和技术的选取由若干因素决定。如果项目经理决定在进度计划编制中使用子网络模板，这个决策意味着(4)。（分数：2.00）A.该工作非常独特，在不同的阶段需要专门的网络图B.在现有的网络上具有可以获取的资源管理软件C.在项目中包含几个相同或几乎相同的内容D.

3、项目中存在多条关键路径6.项目经理已经对项目进度表提出了几项修改。在某些情况下，进度延迟变得严重时，为了确保获得精确的绩效衡量信息，项目经理应该尽快(5)。（分数：2.00）A.发布变更信息B.重新修订项目进度计划C.设计一个主进度表D.准备增加资源7.在某个信息系统项目中，存在新老系统切换问题，在设置项目计划网络图时，新系统上线和老系统下线之间应设置成(6)的关系。（分数：2.00）A.结束开始(FS 型)B.结束结束(FF 型)C.开始结束(SF 型)D.开始开始(SS 型)8.在关键路径上增加资源不一定会缩短项目的工期，这是因为(9)。（分数：2.00）A.关键路径上的活动是不依赖于时间

4、和资源的B.关键活动所配置的资源数量是充足的C.关键活动的历时是固定不变的D.增加资源有可能导致产生额外的问题并且降低效率9.在下面的项目活动图 7-3 中，关键路径的时长为(10)周。 （分数：2.00）A.27B.28C.29D.3010.(11)是进度控制的一个重要内容。（分数：2.00）A.决定是否对进度的偏差采取纠正措施B.定义为产生项目可交付成果所需的活动C.评估范围定义是否足以支持进度计划D.确保项目团队士气高昂，使团队成员能发挥他们的潜力11.如果项目实际进度比计划提前 20%，实际成本只用了预算成本的 60%，首先应该(12)。（分数：2.00）A.重新修订进度计划B.给项目

5、团队加薪，开表彰大会C.重新进行成本预算D.找出与最初计划产生差别的原因12.某项目最初的网络图如图 7-4 所示，为了压缩进度，项目经理根据实际情况使用了快速跟进的方法：在任务 A 已经开始一天后开始实施任务 C，从而使任务 C 与任务 A 并行 3 天。这种做法将使项目(13)。（分数：2.00）A.完工日期不变B.提前 4 天完成C.提前 3 天完成D.提前 2 天完成13.系统开发过程通常被分为若干个阶段，每个阶段的开始和结束都有明确的规定。人们常将开发过程中完成某项关键工作的时刻称为里程碑。完成(19)时最适于称为里程碑。（分数：2.00）A.需求调查B.总体设计稿C.一套实体联系图

6、D.50%的编码14.有时，项目需要赶工，为了评价一个项目赶工的意义，项目管理师应该首先计算(20)。（分数：2.00）A.每个能够赶工的关键活动的成本和时间的斜率B.将被增加到项目关键路径的附加资源的成本C.当关键路径上的任务加速时，整个进度中将节省的时间D.对每个关键路径的活动，PERT 的 3 种概率时间估计方法15.某工程计划如图 7-5 所示，由于任务 A 延误了一天，为保证该工程按时完成，应将任务(21)缩短一天，使成本增加最少。表 7-1 列出了各任务每缩短一天所需增加的成本。 （分数：2.00）A.BB.CC.DD.E16.图 7-6 中，从源点到终点的关键路径是(22)。 （

7、分数：2.00）A.13B.10C.12D.14防火墙是隔离内部网和外部网的一类安全系统。通常防火墙中使用的技术有过滤，和代理两种。路由器可以根据(23)进行过滤，以阻挡某些非法访问。(24)是一种代理协议，使用该协议的代理服务器是一种(25)网关。另外一种代理服务器使用(26)技术，它可以把内部网络中的某些私有 IP 地址隐藏起来。所谓的可信任系统(Trusted System)是美国国防部定义的安全操作系统标准，常用的操作系统 UNIX 和 Windows NT 等可以达到该标准的(27)级。（分数：10.00）A.网卡地址B.IP 地址C.用户标识D.加密方法A.SSLB.STYC.SO

8、CKSD.CPAPA.链路层B.网络层C.传输层D.应用层A.NATB.CIDRC.BGPD.OSPFA.DB.C1C.C2D.B2软件水平考试（高级）信息系统项目管理师上午（综合知识）试题章节练习试卷 9 答案解析(总分：40.00，做题时间：90 分钟)一、选择题(总题数：17，分数：40.00)1.选择题（）下列各题 A、B、C、D 四个选项中，只有一个选项是正确的，请将此选项涂写在答题卡相应位置上，答在试卷上不得分。_解析：2.以下工程进度网络图 7-1 中，若节点 0 和 6 分别表示起点和终点，则关键路径为(1)。 （分数：2.00）A.0136B.0146C.01246 D.02

9、56解析：解析：关键路径法(Critical Path Method，CPM)是借助网络图和各活动所需时间(估计值)，计算每一活动的最早或最迟开始和结束时间。CPM 法的关键是计算总时差，这样可决定哪一个活动有最小时间弹性。 CPM 算法的核心思想是将 WBS 分解的活动按逻辑关系加以整合，统筹计算出整个项目的工期和关键路径。 由于在网络图中(AOE)的某些活动可以并行地进行，所以完成工程的最少时间是从开始顶点到结束顶点的最长路径长度，称从开始顶点到结束顶点的最长路径为关键路径(临界路径)，关键路径上的活动为关键活动。 为了找出给定的 AOE 网络的关键活动，从而找出关键路径，先定义几个重要的

10、量： V e (j)、Vl(j)：顶点 j 事件最早、最迟发生时间。 e(i)、l(i)：活动 i 最早、最迟开始时间。 从源点 Vl 到某顶点 V k 的最长路径长度，称为事件 V j 的最早发生时间，记做 V e (j)。 V e (j)也是以 V j 为起点的出边V j ,V k 所表示的活动 a i 的最早开始时间 e i 。 在不推迟整个工程完成的前提下，一个事件 V j 允许的最迟发生时间记做 Vl(j)。显然，l(i)=Vl(j)-(a i 所需时间)，其中 j 为 a i 活动的终点。满足条件 l(i)=e(i)的活动为关键活动。 求顶点 Vj 的 V e (j)和 Vl(j)

11、可按以下两步来做： (1)由源点开始向汇点递推 式中，E1 是网络中以 Vj 为终点的入边集合。 (2)由汇点开始向源点递推 3.项目进度网络图是(2)。（分数：2.00）A.活动定义的结果和活动历时估算的输入B.活动排序的结果和进度计划编制的输入 C.活动计划编制的结果和进度计划编制的输入D.活动排序的结果和活动历时估算的输入解析：解析：项目进度控制的过程大致为活动定义、活动排序、活动资源估算、活动历时估算、进度计划的制定、进度控制。在项目管理中，首先通过对项目活动进行排序，得到项目的进度网络图。再根据项目进度网络图找到项目的关键路径，从而制订项目的进度计划。由此可见，项目进度网络图是活动排

12、序的结果和进度计划编制的输入。4.在计划编制完成后，项目团队认为所制定的进度时间太长，分析表明不能改变工作网络图，但该项目有附加的资源可利用。项目经理采用的最佳方式是(3)。（分数：2.00）A.快速追踪项目B.引导一项 Monte Carlo 分析C.利用参数估算D.赶工 解析：解析：进度控制就是监视和测量项目实际进展，若发现实施过程偏离了计划，就要找出原因，采取行动，使项目回到计划的轨道上来。简单地说，进度控制就是比较实际状态和计划之间的差异，并依据差异做出必要的调整以使项目向有利于目标达成的方向发展。缩短项目进度的技术主要如下。(1)变更项目范围：主要是指缩小项目的范围；(2)赶工：是一

13、种通过分配更多的资源，达到以成本的最低增加进行最大限度的进度压缩的目的，赶工不改变活动之间的顺序；(3)快速追踪：也叫快速跟进，是指并行或重叠执行原来计划串行执行的活动。快速追踪会改变工作网络图原来的顺序。根据试题描述，“不能改变工作网络图”，也就是说，不能变更项目范围，也不能进行快速追踪。但是，“该项目有附加的资源可利用”，因此，可以利用这些资源进行赶工。参数估算和 Monte Carlo 分析与进度压缩没有直接关联。5.活动排序的工具和技术有多种，工具和技术的选取由若干因素决定。如果项目经理决定在进度计划编制中使用子网络模板，这个决策意味着(4)。（分数：2.00）A.该工作非常独特，在不

14、同的阶段需要专门的网络图B.在现有的网络上具有可以获取的资源管理软件C.在项目中包含几个相同或几乎相同的内容 D.项目中存在多条关键路径解析：解析：制订项目时间进度计划主要有如下几个子过程： 确定项目的各项活动(项目分解结构最低层的工作块)，即确定为完成项目必须进行的诸项具体活动。 确定活动顺序找出各项活动之间的依赖关系。 时间估算估算各项活动所需要的时间。 编制时间进度计划研究和分析活动顺序，活动时间和资源要求，进而制定项目时间进度计划。 以上 4 个子过程在实践中常常交错重叠进行。其中活动排序是确定各活动之间的依赖关系，例如软件设计必须在需求分析完成之后。 (1)活动排序应考虑的各种因素。

15、 活动排序应考虑的各种因素主要有： 活动清单： 设计描述； 强制性依赖关系： 可自由处理的依赖关系； 外部依赖关系，如重要的节假日、机房不能进入等； 里程碑。 (2)活动排序采用的工具。 活动排序通常采用的工具为网络图，有前导图法、箭线图法、条件图法和网络模板 4 种。前导图法(Precedence Diagram Method，PDM)。前导图法是一种利用方框代表活动，并利用表示依赖关系的箭线将节点联系起来的网络图的方法。前导图法也称单代号网络图法。 箭线图法(Arrow Diagramming Method，ADM)。箭线图法是一种利用箭线代表活动，而在节点处将活动连接起来表示依赖关系的编

16、制项目网络图的方法。这种方法也叫做双代号网络法。在双代号网络中，因为箭线只用来表示完成至开始依赖关系，所以为了正确地确定所有逻辑关系，可能使用虚拟活动(活动时间为 0，用虚线表示)。 条件图法。有些绘图方法，如图形评审技术和系统动态模型，允许回路(例如，某种测试须重复多次)等非前后排序活动或条件分支的存在(例如，只有检查中发现错误，设计才要修改)。而 PDM 法和 ADM 法均不允许回路和条件分支的出现。 网络模板。利用已经标准化的网络加快设计项目网络图的编制。这些标准网络可以包括整个项目或其中一部分(子网络)。当项目包括几个一样的或几乎一样的成分时，子网络特别有用。例如，我们可以根据面向对象

17、的原则，设计出很多通用的类模板，供每个具体的设计小组使用。 (3)活动排序结果。 活动排序结果主要有： 网络图，网络图可以手工编制，也可由计算机完成： 活动清单更新。6.项目经理已经对项目进度表提出了几项修改。在某些情况下，进度延迟变得严重时，为了确保获得精确的绩效衡量信息，项目经理应该尽快(5)。（分数：2.00）A.发布变更信息B.重新修订项目进度计划 C.设计一个主进度表D.准备增加资源解析：解析：进度控制包括相互影响的三个环节：(1)进度计划是进度控制的基础。计划指出了项目组织未来努力的方向和奋斗目标，是经过仔细分析后综合成的对未来的构思，又是当前行动的准则。一个完善的计划可以使失败的

18、概率降至最低，以最大限度地保证在预期的期限内取得预期的效果。(2)进度控制是通过项目的动态监控实现的。项目进度控制是随着项目的进行而不断进行的，是一个动态过程，也是一个循环进行的过程。从项目开始，实际进度就进入了运行的轨迹，也就是计划进入了执行的轨迹。(3)对比分析并采取必要的措施是进度控制的关键。工程进度的调整一般是要避免的，但如果发现原有的进度计划已落后、不适应实际情况时，为了确保工期，实现进度控制的目标，就必须对原有的计划进行调整，形成新的进度计划，作为进度控制的新依据。7.在某个信息系统项目中，存在新老系统切换问题，在设置项目计划网络图时，新系统上线和老系统下线之间应设置成(6)的关系

19、。（分数：2.00）A.结束开始(FS 型)B.结束结束(FF 型)C.开始结束(SF 型) D.开始开始(SS 型)解析：解析：一般来说，项目活动间存在 4 种依赖关系。(1)结束一开始的关系(ES 型)：某活动必须结束，然后另一活动才能开始。(2)结束一结束的关系(FF 型)：某活动结束前，另一活动必须结束。(3)开始一开始的关系(SS 型)：某活动必须在另一活动开始前开始。(4)开始一结束的关系(SF 型)：某活动结束前另一活动必须开始。在本题中，由于是新老系统切换，一般需要在新系统上线之后，老系统才能下线，因此这是一个开始一结束类型的关系。8.在关键路径上增加资源不一定会缩短项目的工期

20、，这是因为(9)。（分数：2.00）A.关键路径上的活动是不依赖于时间和资源的B.关键活动所配置的资源数量是充足的C.关键活动的历时是固定不变的D.增加资源有可能导致产生额外的问题并且降低效率 解析：解析：在项目活动中，除虚活动外，所有的活动都是依赖于时间或资源的。为了保证项目按照预期的计划进行，必须保障关键路径上的活动按照规定日期进行。但这并不一定是说关键活动所配置的资源数量是充足的。一般而言，如不考虑投入的人力资源的额外管理，当活动的工作量不变时，活动的历时随投入的人力资源多寡而变化。如果在关键路径上增加资源，则有可能导致产生额外的问题并且降低效率。例如，如果增加开发人员，则开发人员之间的

21、通信和交流可能导致低效的开发，这样，就不一定会缩短项目的工期。9.在下面的项目活动图 7-3 中，关键路径的时长为(10)周。 （分数：2.00）A.27B.28 C.29D.30解析：解析：参考(1)题和(7)、(8)题的分析。通过计算，可知关键路径为 BFK0，即 28 周。10.(11)是进度控制的一个重要内容。（分数：2.00）A.决定是否对进度的偏差采取纠正措施 B.定义为产生项目可交付成果所需的活动C.评估范围定义是否足以支持进度计划D.确保项目团队士气高昂，使团队成员能发挥他们的潜力解析：解析：请参考(5)题的分析。11.如果项目实际进度比计划提前 20%，实际成本只用了预算成本

22、的 60%，首先应该(12)。（分数：2.00）A.重新修订进度计划B.给项目团队加薪，开表彰大会C.重新进行成本预算D.找出与最初计划产生差别的原因 解析：解析：在项目的实施阶段，项目经理收集实际的进度与实际的成本，并将其与计划数值进行比较。面对实际数据与计划数据的差距，首先要分析产生差距的原因，然后再根据原因制定相应的对策。针对本题的情况，差距产生的原因可能是项目的计划脱离实际、过于主观，也可能是项目实施的内外环境产生了对项目极为有利的变化，也有可能是项目团队的超常发挥，也可能是其他原因。总之，首先应该分析差距产生的原因。12.某项目最初的网络图如图 7-4 所示，为了压缩进度，项目经理根

23、据实际情况使用了快速跟进的方法：在任务 A 已经开始一天后开始实施任务 C，从而使任务 C 与任务 A 并行 3 天。这种做法将使项目(13)。（分数：2.00）A.完工日期不变B.提前 4 天完成C.提前 3 天完成D.提前 2 天完成 解析：解析：根据项目网络图，其关键路径为 ACF，项目工期为 20 天。使用快速跟进的方法压缩进度后，该项目的关键路径改为 BDG，项目的工期为 18 天。因此，项目提前 2 天完成。13.系统开发过程通常被分为若干个阶段，每个阶段的开始和结束都有明确的规定。人们常将开发过程中完成某项关键工作的时刻称为里程碑。完成(19)时最适于称为里程碑。（分数：2.00

24、）A.需求调查B.总体设计稿 C.一套实体联系图D.50%的编码解析：解析：里程碑(又称为基线)是软件生存周期中各开发阶段末尾的特定点。由正式的技术评审而得到的软件配置项和软件配置的正式文本才能成为里程碑。里程碑的作用是把各阶段工作的划分更加明确化，使本来连续的工作在这些点上断开，以便于检验和肯定阶段成果。软件开发进程中可以设置许多里程碑，里程碑为管理人员提供了指示项目进度的可靠依据。当一个软件工程任务成功地通过了评审并产生了文档之后，一个里程碑就完成了。因此，一般来说，文档编制与评审是软件开发进度的里程碑。14.有时，项目需要赶工，为了评价一个项目赶工的意义，项目管理师应该首先计算(20)。

25、（分数：2.00）A.每个能够赶工的关键活动的成本和时间的斜率 B.将被增加到项目关键路径的附加资源的成本C.当关键路径上的任务加速时，整个进度中将节省的时间D.对每个关键路径的活动，PERT 的 3 种概率时间估计方法解析：解析：有时，项目需要赶工，为了评价一个项目赶工的意义，项目管理师应该首先计算每个能够赶工的关键活动的成本和时间的斜率。 斜率=(赶工成本-正常成本)/(赶工时间-正常时间) 这一计算显示赶工一个项目每天的成本。斜率是负的代表当一个项目或任务所需的时间减少时，成本提高。如果不管是赶工还是正常进行，项目的成本和时间都不变，则这一项目无法加快速度。15.某工程计划如图 7-5

26、所示，由于任务 A 延误了一天，为保证该工程按时完成，应将任务(21)缩短一天，使成本增加最少。表 7-1 列出了各任务每缩短一天所需增加的成本。 （分数：2.00）A.BB.CC.DD.E 解析：解析：这是一道有关关键路径的试题。在 AOV 网络中，关键路径是指从开始顶点到结束顶点的最长路径。本题的节点比较少，可以用观察法求得关键路径为 ABEG，路径长度为 23 天。由于任务 A 延误了一天，为保证该工程按时完成，应将 B、E、G 三者任意一个缩短一天。但试题要求使成本增加最少，根据所给出的表格可知，缩短 E 成本增加最少。16.图 7-6 中，从源点到终点的关键路径是(22)。 （分数：

27、2.00）A.13B.10 C.12D.14解析：解析：按照(1)题介绍的方式求一个 AOE 的关键路径，一般需要列出一张表格，逐个检查。图 7-6所示的 AOE 的关键路径的表格如表 7-2 所示。防火墙是隔离内部网和外部网的一类安全系统。通常防火墙中使用的技术有过滤，和代理两种。路由器可以根据(23)进行过滤，以阻挡某些非法访问。(24)是一种代理协议，使用该协议的代理服务器是一种(25)网关。另外一种代理服务器使用(26)技术，它可以把内部网络中的某些私有 IP 地址隐藏起来。所谓的可信任系统(Trusted System)是美国国防部定义的安全操作系统标准，常用的操作系统 UNIX 和

28、 Windows NT 等可以达到该标准的(27)级。（分数：10.00）A.网卡地址B.IP 地址 C.用户标识D.加密方法解析：A.SSLB.STYC.SOCKS D.CPAP解析：A.链路层B.网络层C.传输层D.应用层 解析：A.NAT B.CIDRC.BGPD.OSPF解析：A.DB.C1C.C2 D.B2解析：解析：实现防火墙的产品主要两大类：一类是网络级防火墙，另一类是应用级防火墙。目前一种趋势是把这两种技术结合起来。(1)网络级防火墙。网络级防火墙也称为过滤型防火墙。事实上它是一种具有特殊功能的路由器，采用报文动态过滤技术，能够动态地检查流过的 TCP/IP 报文或分组头，根据

29、企业所定义的规则，决定禁止某些报文通过或者允许某些报文通过，允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。状态检测防火墙又称动态包过滤，是在传统包过滤上的功能扩展。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时也具有较好的适应性和可扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对 UDP 协议的有限支持。它将所有通过防火墙的 UDP 分组均视为一个虚拟连接，当反向应答分组送

30、达时，就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”或“from”的地址，而且不要求每个访问的应用都有代理。(2)应用级防火墙。应用级防火墙也称为应用网关型防火墙，目前已大多采用代理服务机制，即采用一个网关来管理应用服务，在其上安装了对应于每种服务的特殊代码(代理服务程序)，在此网关上控制与监督各类应用层服务的网络连接。例如，对外部用户(或内部用户)的 FTP，TELNET，SMTP 等服务请求，检查用户的真实身份、请求合法性，以及源与目的地 IP 地址的合法性等，从而由网关决定接受或拒绝该服务请求，对于可接受的服务请求由代理服务机制连

31、接内部网与外部网。代理服务程序的配置由企业网络管理员所控制。目前常用的应用级防火墙大致有 4 种类型：双穴机网关、屏蔽主机网关、屏蔽子网关和应用代理服务器，分别适用于不同规模的企业内部网。他们的一个共同点是需要有一台主机(称之为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。双穴主机(Dual-Homed)网关。由堡垒主机作为应用网关，其中装有两块网卡分别连接外因特网和受保护的内部网，该主机运行防火墙软件，具有两个 p地址，并且能隔离内部主机与外部主机之间的所有可能连接。屏蔽主机(Screened Host)网关。也称甄别主机网关。在外部因特网与被保护的企业内部网之间插入了堡垒主机和路

32、由器，通常是由 IP 分组过滤路由器去过滤或甄别出可能的不安全连接，再把所有授权的应用服务连接转向应用网关的代理服务机制。屏蔽子网(Screened Subnet)网关。也称甄别子网网关，适用于较大规模的网络使用。即在外部因特网与被保护的企业内部网之间插入了一个独立的子网，例如，在子网中有两个路由器和一台堡垒主机(其上运行防火墙软件作为应用网关)，内部网与外部网的一方各有一个分组过滤路由器，可根据不同甄别规则接受或拒绝网络通信，子网中的堡垒主机(或其他可供共享的服务器资源)是外部网与内部网都可能访问的唯一系统。路由器工作于网络层，主要进行网络寻址和实现分组转发功能。对路由器的功能加以扩充，建立

33、一组转发规则，就可以实现一定的安全控制。把这样的路由器安装在 Internet 和 Intranet 之间，可以实现分组过滤。SOCKS 是一种传输层代理协议，它的目标是提供一个通用的框架结构，支持一般的TCP/IP 应用，并且要修改软件以便实现与 SOCKS 服务器的交互。当用户需要访问外部的应用服务器时，客户程序首先打开与 SOCKS 服务器的连接，然后把包含应用服务器地址、端口号和认证信息的访问请求发送给 SOCKS 服务器；SOCKS 根据其配置参数验证用户请求的有效性，然后与目标建立适当的连接。这种工作方式对用户完全是透明的。早期的 SOCKS 4.0 没有提供用户认证功能，1996

34、 年推出的 SOCKS 5.0 扩展了老版本的模型，包含了一个通用的强认证方案，并且支持 IPv6 地址和 UDP 协议，可以提供更安全的防火墙。NAT 是网络地址翻译(Network Address Translation)的缩写，可用在防火墙中把内部主机完全隐藏起来。NAT 的一种应用是动态地址翻译(Dynamic Address Translation)。为了说明这种机制首先引入存根域的概念，所谓存根域(Stub Domain)是内部网络的抽象，这样的网络只处理源和目标都在子网内部的通信。由于任何时候存根域内只有一部分主机要与外界通信，甚至还有许多主机可能从不与外界通信，所以整个存根域只

35、需共享少量的全局 IP 地址。存根域有一个边界路由器，由它来处理域内与外部的通信。可信任系统是美国国防部定义的安全操作系统标准，该标准共分为 A、B、C、D 四个大的安全级别。D 级不具备安全特征。C 级支持自主式访问控制和对象重用。C1 级中，将用户和数据分离，每个用户可以通过认证和访问控制等手段保护其隐私信息，但不能保护系统中的敏感信息：C2 级中，系统对用户进行识别和认证，通过登录过程和安全审计对系统中的敏感信息实施保护，这是处理敏感信息的最低安全级别。B级属于强制式信息保护。B1 级为带有敏感标记的信息保护，必须给出安全策略模型的非正规表述；B2 级为结构式保护，系统中的所有对象都要实施(自主或强制式)访问控制，必须给出安全策略的形式化模型；B3 级(安全域)中，对所有对象的访问控制是防篡改并可测试的，且支持安全管理员的功能，具有安全审计和报警功能。 A 级形式化技术贯穿于整个开发过程，实现了可验证的安全策略模型，例如，可以用形式化技术分析隐含信道。常用的 UNIX 和 Windows 操作系统属于 C2 级。