项目是为创建某一独特产品、服务或成果而临时进行的一次性努力。项目是用有限的资源、有限的时间为特定客户完成特定目标的一次性工作。资源指完成项目所需要的人、财、物;时间指项目有明确的开始和结束时间;客户指提供资金、确定需求并拥有项目成果的组织或个人;目标则是满足要求的产品和服务,并且有时它们是不可见的。

项目的三个特点:临时性、独特性和渐进性:

1、临时性:项目不是一项持续不断的工作,每一个项目都有一个明确的开始时间和结束时间,当项目目标已经实现、由于项目目标明显无法实现或由于项目需求已经不复存在而终止项目时,就意味着项目的结束,但临时性并不意味着项目历时短,有些项目历时数年。

2、独特性:没有完全一样的项目,厂商要根据不同的客户提供不同的解决方案,即使有现成的解决方案也要根据客户的特殊要求进行一定的客户化工作。独特性对项目的指导意义是在签定项目合同时要对项目的成果有一个清晰、明确的描述。

3、渐进性:因为项目的产品或服务事先不可见,在项目前期只能粗略地进行项目定义,随着项目的进行才能逐渐完善和精确。渐进性对项目的指导意义一是,在项目的推进过程中一定会进行很多修改,产生很多变更,因此,在项目执行过程中要注意对变更的控制,二是由于项目计划本质上是基于对未来的估计和假设进行的预测,项目推进过程中会遇到各种风险和意外,因此,很多项目可能不会在规定的时间、按规定的预算由规定的人员完成。

项目成功的三约束:时间、成本和质量。

典型的信息系统项目有如下特点:

1、目标不明确

2、需求变化频繁

3、智力密集型

4、设计人员调度专业化

5、涉及的承包商多,各级承包商分布在各地,相互联系复杂

6、系统集中项目中需研制开发大量的软硬件系统

7、项目生命期通常较短

8、通常要采用大量的新技术

项目与日常动作的关系:

组织执行工作以完成一系列的目标。工作通常可划分为项目或动作,尽管这两者有时是相互重叠的,动作与项目有许多共同特征,如:

1、需要由人来完成

2、受制于有限的资源

3、需要进行计划、执行和控制等。

项目和动作的主要区别在于:项目是临时性的和独特的,而动作是具有连续性和重复性的。项目的目标是要达到这一目标从而结束项目,运作的目标是为了维护这一业务。

项目和战略的关系:项目是实现组织战略计划的手段。

1.2. 项目管理的定义及其知识范围

项目管理是在项目活动中运用知识、技能、工具和技术来实现项目要求。

项目管理的知识范围包括项目启动、计划、执行、监督与控制和收尾五个过程组,这五个过程被组织成九大知识领域:项目整体管理、范围管理、时间管理、成本管理、质量管理、人力资源管理、沟通管理、风险管理和采购管理。

1.3. 项目管理需要的专业知识领域

项目管理组至少能理解和使用五方面的专业知识领域:

1、项目管理知识体系,PMBOK

2、应用领域的知识、标准和规定

3、项目环境知识,社会环境、政治环境、自然环境

4、通用的管理知识和技能,财务管理、销售和营销、组织结构、人事管理、战略计划等

5、软技能或人际关系技能,沟通、领导力、激励、谈判和冲突管理

2. 项目整体管理

项目整体管理是从全局的、整体的观点出发通过有机地协调项目各个要素(质量、成本、进度、范围等),在相互影响的项目各项具体目标和议案中权衡和选择,尽可能地消除项目各单项管理的局限性,从而实现最大限度地满足项目干系人的需求和希望的目的。

整体管理的过程包括:

1、制定项目章程,制定一个项目章程,以对项目进行正式授权

2、制定项目范围说明书(初步),编制一个初步的项目范围说明书,给出项目范围的高层描述

3、制定项目管理计划。界定在定义、准备、集成以及协调所有分计划形成项目管理计划需要的行为。

4、指导和管理项目执行。执行在项目管理计划中所定义的工作以达到项目的目标。

5、监督和控制项目工作。为达成项目管理计划所定义的项目目标而进行的,对启动、计划、执行和收尾过程的进行监督和控制。

6、整体变更控制:评审所有的变更请求,批准变更,控制对可交付物和组织过程资产的变更。

7、项目收尾:完成所有项目过程组中的所有活动,以正式结束一个项目或阶段。

2.1. 制定项目章程

项目章程是正式授权一个项目和项目资金的文件,由项目发起人或项目组织之外的主办人颁发。

项目章程的作用:

1、正式宣布项目的存在,对项目的开始实施赋予合法地位。

2、粗略地规定项目的范围

3、正式任命项目经理,授权其使用组织的资源开展项目活动。

项目章程的主要内容:

1、项目必须满足的业务要求或产品需求

2、项目的目的和缘由

3、项目干系人的需求和期望

4、概要的里程碑进度计划

5、项目干系人的影响

6、职能组织

7、组织的、环境的和外部的假设

8、组织的、环境的和外部的约束

9、概要预算

输入

1、合同

2、工作说明书(SOW):工作说明书是对项目所要提供的产品或服务的叙述性的描述。对内部项目而言,项目发起者或投资人基于业务需要、或产品或服务的需求提出工作说明书。对外部项目而言,工作说明书作为投标文档的一部分从客户那里得到。工作说明书主要内容包括:业务要求(如市场的需要、技术的改进、法律要求或政府的标准),产品范围描述(记述项目所要创建的产品的需求以及产品或服务的特性),战略计划(执行组织的战略计划作为项目选择的一个要求)

3、环境的和组织的因素:涉及所有影响项目成功的组织环境和因素,包括组织或公司文化和结构,组织基础设施,现有的人力资源,市场条件,项目干系人对风险的容忍度,业界的风险研究信息和风险数据库,项目管理信息系统

4、组织过程资产:一、组织中指导工作的过程和程序,如组织的标准过程(标准产品和项目生命周期,质量政策和规程等),标准模板、工作指南、评估标准等,对组织中的标准过程进行剪裁的准则和指南,变更控制规程,风险控制规程等。二、组织知识库,历史项目经验和教训、配置管理知识库、问题和缺陷管理数据库

工具

1、项目选择方法:决策表技术、财务分析法(净现值、内部报酬率等)、DIPP分析法,

2、项目管理方法沦:项目管理方法论通常会明确规定项目的阶段,以及每个阶段的主要活动、阶段输入、阶段成果、里程碑、评审方式等。

3、项目管理信息系统:项目管理信息系统是项目管理者的平台,是收集、分类、综合和保存各项项目活动结果的工具、技术、设备和人员的全体。

4、专家判断:项目管理的经验性很强,有类似项目管理经验的专家对项目的整体把握,以及资源、工期、质量等要素的判断非常重要。

输出

项目章程

2.2. 制定范围说明书(初步)

项目范围说明书描述项目需要做什么,列出了项目及其相关的产品和服务的特性和边界,以及范围控制和接受的方法,主要内容包括:

1、项目和范围的目标

2、产品或服务的需求和特性

3、项目的边界

4、产品接受标准

5、项目约束条件

6、项目假设

7、最初的项目组织

8、最初定义的风险

9、进度里程碑

10、费用估算的量级要求

11、项目配置管理的需求

12、已批准的需要

最初的项目范围说明书是依据发起人或出资人提供的信息制定的,并由项目管理团队在范围定义过程中进一步细化。

项目目标是实施项目所要达到的期望结果,即项目所能交付的成果或服务

项目目标的特性

1、多目标性:项目目标往往是一个多目标系统,如质量、进度、成本等

2、优先性:项目是一个多目标系统,不同的目标可能在项目管理不同阶段根据不同需要,其重要性也不一样

3、层次性:一个项目既有最高层的战略目标,也有较低层次的具体目标

项目目标一般包含在项目建议书中,一般由项目的客户或项目的发起人来确定。

项目目标的确定过程:

1、项目情况分析:外部环境、上层组织系统、市场情况、相关干系人、社会经济、政治、法律环境等

2、项目问题界定:当前环境和各种限制条件是否存在影响项目开展的因素和问题

3、确定项目目标因素:如资金成本、回收期、项目所涉及的领域

4、建立项目目标体系:通过目标因素确定项目各方面和各层次的目标。

5、各目标关系确认:哪些是强制性目标,哪些是期望目标,不同目标之间有什么样的联系或矛盾。

输入

项目章程、工作说明书、环境和组织因素、组织过程资产

工具

项目管理方法论、项目管理信息系统、专家判断

输出

项目范围说明书(初步)

2.3. 制定项目管理计划

项目管理计划定义了项目如何执行、监督和控制,主要包括如下内容:

1、项目管理团队选择的过程

2、每个选定过程的实施级别

3、对用于完成这些过程的工具和技术的描述

4、选择的项目生命周期和相关的项目阶段

3. 项目范围管理

项目范围管理确保项目包含且仅仅只包含项目所必须完成的工作。

在信息系统项目中,存在两个相互关联的范围:产品范围和项目范围。

产品范围是指信息系统产品或者服务所应该包含的功能,即软件工程中的需求分析。

项目范围是指为了能够交付信息系统项目所必须做的工作。

产品的范围定义是信息系统要求的量度,项目范围的定义是产生项目计划的基础,产品范围(即需求分析)偏重于软件技术,项目范围更偏向于管理,判断项目范围是否完成,以项目管理计划、项目范围说明书、工作分解结构、工作分解结构词汇表来衡量,产品范围是否完成以产品或服务是否满足了需求分析为依据。产品范围是项目范围的基础。

项目范围管理包括五个管理过程:

1、范围管理计划编制:规定如何定义、检验、控制范围,如何创建工作分解结构(WBS)。

2、范围定义:编制一个详细的项目范围说明书作为将来项目决策的基础。

3、创建工作分解结构(WBS):将项目的主要可交付成果和项目工作分为更小、更易于管理的部分。

4、范围确认:正式接受已完成的项目范围

5、范围控制:控制项目范围变更。

3.1. 范围管理计划编制

范围管理计划说明项目组将如何进行项目的范围管理,包括如何进行项目范围定义,如何制定工作分解结构,如何进行项目范围核实和如何进行项目范围控制等。另外,应该对怎样变化、变化频率及变化了多少这些项目范围预期的稳定性进行评估。还应该包括对变化范围怎样确定,变化应归为哪一类等问题的清楚描述。

输入

项目章程

项目初步范围说明书

组织和环境因素

组织过程资产

工具

专家判断

样板

表格

标准

对于和其他项目类似的项目,编制范围管理计划可以遵从有其他项目范围管理经验的专家对当前项目的范围管理计划进行判断和抉择。组织中以前的项目对范围管理计划会留下一些样板、控制表格和执行标准。

输出

项目范围管理计划

项目范围管理计划是对项目的范围进行确定、记载、核实管理和控制的行动指南,与项目范围计划不同,范围计划是描述项目的边界,而范围管理计划是如何保证项目边界应该采取的行为。

项目范围管理计划包括如下内容:

1、如何从项目的初步说明书来编制详细的范围说明书

2、如何根据项目范围说明书编制工作分解结构,如何核准和维持编制的工作分解结构。

3、如何核实和验收项目完成的可交付成果。

4、如何进行变更请求的批准。

3.2. 范围定义

在初步项目范围说明书中已文档化的主要可交付物、假设和约束条件的基础上编写详细的项目范围说明书。

输入

项目章程、项目范围管理计划、组织过程资产、批准的变更申请。

工具

产品分析:对现有的产品进行分析

可选方案识别:采用头脑风暴、横向思维等技术在多个议案中进行筛选

专家判断法:历史类似项目经验对范围定义很有价值。

输出

项目范围说明书

项目范围说明书详细描述了项目的可交付物和产生这些可交付物所必须做的项目工作,在所有项目干系人之间建立一个对项目范围的共识,指导团队在项目实施期间的工作,为项目范围提供一个基线。主要内容包括:项目和范围的目标、产品范围描述、项目边界、项目的可交付物、产品可接受的标准、项目的约束条件、项目假设、初始的项目组织、初始定义的风险、进度里程碑、项目配置管理需求、量级成本估算。

3.3. 创建工作分解结构

工作分解结构(WBS)是面向可交付物的项目元素的层次分解,它组织并定义了整个项目范围,是一个详细的项目范围说明的表示法,它详细描述了项目所要完成的工作。

工作分解结构是组织管理工作的主要依据,是项目管理工作的基础。

工作分解结构不是某个项目成员的责任,应该由全体项目组成员、用户和项目利益相关人共同完成和一致确认,方法有参照样本、问卷调查、个别了解和开小组会等。

工作分解结构的作用:

1、明确和准确说明项目范围,项目组成员能够清楚地理解任务的性质和需要努力的方向

2、工作分解结构清楚地定义了项目的边界,提供了项目干系人一致认可的项目需要做的工作和不需要做的工作。

3、可以根据工作分解结构确定项目所需要的技术和人力资源。

4、针对独立单元,进行时间、成本和资源的需要量的估算,提高估算的准确性。

5、为计划、预算、进度安排和成本控制奠定共同的基础,确定项目进度和控制基准。

6、工作分解结构有助于防止需求蔓延。

工作分解结构的表现形式

工作分解结构一般用图表形式表达,主要有分级的树形结构和类似于分级图书目录的表格形式。树型结构图的WBS层次清晰,非常直观,结构性很强,但是不容易修改,对于大的、复杂的项目很难表示出项目的全景,适用于中、小型的项目;表格形式的WBS能够反映出项目所有的工作要素,可是直观性差,适用于大、中型项目。

输入

项目范围说明书、项目管理计划

工具

1、工作分解结构模板

2、分解:
分解的步骤:
1、识别和确认项目的主要组成部分,一般而言项目的主要组成部分是项目的主要可交付物,包括合同要求的可交付物和项目管理方面的可交付物
2、分解并确认每一组成部分是否分解得足够详细,判断的标准是最底层的工作包是否可以合理地对其进行成本和历时的估算,如果已足够详细进入到第四步,否则接着进行第三步,这意味着不同的可交付物可能有不同的分解层次。
3、确认项目主要交付成果的组成要素,组成要素应当用有形的、可检验的结果来描述
4、核实分解的正确性。可以通过以下问题来确定分解的正确性:
   最底层要素对项目分解来说是否是必需而且充分的?
   每个组成要素的定义是否清晰完整?
   每个组成要素是否都能够恰当地编制进度和预算?
分解时应把握的原则
1、在各层次保持项目的完整性,避免遗漏必要的组成部分
2、一个工作单元只能从属于某个上层单元,避免交叉从属
3、相同层次的工作单元应用相同性质
4、工作单元应能分开不同责任者和不同的工作内容
5、便于项目管理计划、控制的管理需要
6、最低层工作应该具有可比性,是可管理的,可定量检查的
7、WBS应该包括项目管理工作,也包括分包出去的工作。

3、 WBS编码设计:WBS编码设计的目的是为了简化WBS的信息交流过程,编码设计与结构设计是有对应关系的,结构的每一层次代表编码的某一位数,有一个分配给它的特定的代码数字。

输出

WBS和WBS字典

项目管理计划(更新)

3.4. 范围确认

范围确认是项目干系人正式接受已完成的项目范围的过程,项目范围确认贯穿项目的始终,从WBS的确认到项目验收时范围的检验。如果项目被提前终止,范围范围确认过程应以书面文件的形式把它的完成情况记录下来。

范围确认与质量控制不同,范围确认是有关工作结果的接受问题,而质量控制是有关工作结果正确性的审核。

输入

项目范围管理计划、可交付物、项目范围说明书、WBS和WBS字典

工具

检查:包括测量、测试、检验等活动以判断结果是否满足项目干系人的要求和期望,检查也可被称为审查、产品评审和走查等。

输出

确认后的范围、WBS和WBS字典(更新)

3.5. 范围控制

变更产生的原因

1、项目外部环境发生变化,如政府政策的问题

2、项目范围的计划编制不周密详细,有一定的错误或遗漏

3、出现了新技术、手段或方案

4、项目实施组织本身发生变化

5、客户对项目、项目产品或服务的要求发生变化。

变更控制的焦点问题

1、对造成范围变更的因素施加影响,以确保这些变更得到更一致的认可

2、确定范围变更已经发生

3、当范围变更发生时,对实际的变更进行管理。

输入

1、范围管理计划

2、 WBS和WBS字典

3、绩效报告:绩效报告是直接可以反映当前项目执行情况的文件,可以从项目范围相关的绩效报告中获得范围绩效的信息,以此来为项目变更控制的一个依据,同时,绩效报告也能提醒项目团队预测项目的未来性,把握项目范围变更控制的风险。

4、工作绩效信息

5、批准的变更需求

工具

1、变更控制系统:

2、偏差分析:

3、重新规划:

4、配置管理系统:

范围控制的输出

1、变更请求

2、建议的纠正措施

3、组织过程资产(更新)

4、项目管理计划(更新)

5、 WBS和WBS字典(更新)

4. 项目时间管理

4.1. 活动定义

为了得到工作分解结构中最底层的交付物,必须执行一系列的活动,对这些活动的识别以及归档的过程就叫活动定义。

输入

1、工作分解结构:是活动定义的主要输入

2、项目范围说明书:

3、组织过程资产

工具

1、分解:将项目组成部分细分为更小、更易于管理的单元,以便更好地进行管理和控制,此处的最终成果是活动,不是可交付物。工作分解结构作为编制最终活动清单的基础。

2、模板:历史项目的活动清单(或其中一部分)可作为一个新项目的活动清单的模板

3、详细层次:详细的活动定义可以使活动更加精确,但如果分得过细,会导致计划成本的提升,在活动间的切换也要耗费更多的资源。

4、专家判断:可参考同类项目经验

输出

1、项目活动清单:项目活动清单必须列出一个项目所需开展的全部活动(包括管理活动),

2、活动清单属性:进行活动定义的详细依据应该整理成文件或文档材料,内容包括项目假设条件和约束条件,也包括对项目清单的解释性文件。

3、工作分解结构和词典(更新)

4、里程碑清单:
里程碑是项目中的重大事件,用于监视项目进度的参考点。通常指主要可交付成果的完成,里程碑计划是一个战略计划或项目的框架,以可交付物为依据,它显示了项目达到最终目标而必须经过的条件或状态序列,一个好的里程碑最突出的特征是:达到此里程碑的标准毫无歧义,另外,好的里程碑不需要太多说明。
活动被划分为更细的层次同时,也产生了大量的控制点,即里程碑,里程碑清单标明所有的里程碑,并说明里程碑是强制性需要订立合同的,还是基于历史可选择的。

4.2. 活动排序

活动排序也称为工作排序,即确定各活动之间的依赖关系,并形成文档,依赖关系的确定应首先分析活动之间本身存在的逻辑关系,在此逻辑关系确定的基础上再加以充分分析,以确定各活动之间的组织关系。为了进一步编制切实可行的进度计划。首先必须对活动进行准确的顺序安排。

输入

1、活动清单

2、活动清单属性

3、项目范围说明书

4、里程碑清单

工具

1、前导图法(PDM),也叫单代号网络图(Active on the Node ,AON),用节点表示活动,用箭线表示活动排序的一种编制项目网络图的方法。每项活动有惟一的活动号,每项活动都注明了预计工期,通常,每个节点的活动会有如下几个时间:最早开始时间(ES)、最迟开始时间(LS)、最早结束时间(EF)、最迟结束时间(LF)。前导图法包括四种活动依赖关系,结束开始(FS),结束结束(FF),开始开始(SS),开始结束(SF),最常用的是结束开始(FS)。

2、箭线图法(ADM),也叫双代号网络图(Active On the Arrow,AOA),是用箭线表示活动,节点表示活动工作排序的一种网络图方法,在箭线表示法中给每个事件而不是每项活动指定一个惟一的号码。活动的开始事件叫做该活动的紧前事件,活动的结束事件叫活动的紧随事件。箭线表示法的三个原则:每一事件必须有惟一的一个代号;任两项活动的紧前事件和紧随事件代号至少有一个不相同,节点序号沿箭线方向越来越大;流入(流出)同一节点的活动,均有共同的后继活动(或先行活动)。

3、进度计划网络模板

4、确定依赖关系:活动之间的先后顺序关系叫依赖关系。依赖关系分为三种:强制性依赖关系,即工作中固有的依赖关系,是工作之间本身存在的,无法改变的逻辑关系,也称为硬逻辑关系,工艺关系;可自由处理的依赖关系,是人为组织确定的,即两项工作可先可后的组织关系,也称为软逻辑关系,组织关系;外部依赖关系,这种关系涉及项目与非项目活动之间的关系。逻辑关系的表达分为平行、顺序和搭接三种形式。相邻两项活动同时开始即为平行关系,相邻两项活动先后进行即为顺序关系。如前一活动结束,后一活动马上开始则为紧连顺序关系。如后一活动在前一活动结束后隔一段时间才开始为间隔顺序关系,在顺序关系中,当一项活动只有在另一项活动完成以后方能开始,并且中间不插入其他活动,则称另一项活动为该活动的紧前活动,反之,当一项活动只有在它完成以后,另一项活动才能开始,并且中间不插入其他活动,则称另一活动为该活动的紧后活动。两项活动只有一段时间是平行进行的则为搭接关系。

输出

1、项目计划网络图:表示了项目的所有活动以及它们之间的逻辑关系

2、活动清单更新

3、项目管理计划和项目范围说明(更新)

4.3. 活动资源估算

活动资源估算包括决定需要什么资源(人力、设备、原料)和每一样资源应该用多少,以及何时使用资源有效地执行项目活动。它必须和成本估算相结合。资源估算是为了给项目预算明确空间,为早期的资源筹备提供数据。

输入

1、活动清单和详细的支持依据

2、组织过程资产

3、资源可用性:估计时必须对资源的可用性进行评价否则活动的资源估算将是纸上谈兵。

工具

1、专家判断:通常是由项目成本管理专家根据以往类似项目经验和对本项目的判断,经过周密思考,进行合理预测,从而估算出项目资源。

2、替换方案确定

3、公开的估算数据

4、估算软件

5、自下而上的估算:将每个工作所需要的资源估算出来,然后汇总起来即是整个活动所需要的资源数量。

输出

1、活动资源需求:描述工作包中的每个活动所需要资源的类型和数量,这些资源汇总即决定每个工作所需要的资源

2、资源需求的详细依据

3、更新过的活动清单

4.4. 活动历时估算

活动历时估算是项目制定计划的一项重要工作,它直接关系到各事项、各工作网络时间的计算和完成整个项目任务所需要的总时间。若估算得太短,则在工作中会出现被动紧张的局面,如果估算得太长,则会使整个项目的完工期限延长。

输入

1、活动清单

2、活动清单属性

3、项目范围说明书

4、项目成本估算

5、活动资源需求

6、资源可用性

7、组织过程资产

8、风险记录

工具

1、专家判断,因为影响活动历时的因素很多,很难找到一个通用的计算方法,所以通常很难对其进行估算,这时用专家判断会是行之有效的方法。

2、类比估算法:即用以往类似项目工作的完成时间来估算当前工作的完成时间,当很难获得项目的详细信息时适用

3、基于定额的历时:工作量乘以生产率,所得结果可用于估算活动历时

4、历时的三点估算:估计活动的最大、最小,以及最可能时间,通过设置权重,运用统计规律降低历时估算的不确定性。

5、预留时间:出于一种谨慎的考虑,可以按照估计出的时间的一定百分比预留一些时间,作为对应急情况发生时的一种补充。

6、最大活动历时:是一种理性应对方法。用于风险、进度控制等项目不可预测性较大,但对进度限制严格的项目计划。

输出

1、活动历时估算结果:是对完成某一工作可能需要的工作时间数量的定量估算。工作时间估算在任何时候都应该以某种指标表明结果的可能变动范围。

2、活动清单(更新)

3、活动清单属性(更新)

4.5. 制定进度计划

制定进度计划就是决定项目活动的开始和完成日期,如果没有制定现实可靠的进度计划,项目就不可能如期完成,另外,随着项目的进展,会获得更多的数据,那么进度计划也将不断更新。

输入

1、项目范围说明书:项目范围说明书包括一些假设和约束条件,这些假设和约束条件将影响项目进度的制定,有两个主要的时间约束条件,活动开始或结束的强制性日期,项目发起人、项目客户和其他项目干系人经常指定关键事件和里程碑,它们都会影响在指定日期内完成项目交付物。

2、项目进度网络图

3、活动历时估算

4、活动资源要求

5、资源可用性:什么资源在什么时候可以用,以及在项目执行过程中每一时刻需要什么样的资源,是项目计划安排的基础。

6、风险记录:风险对于时间估计有着重要的影响。

7、活动清单属性

8、资源日历:项目和资源日历表明了可以工作的时段,项目日历影响所有的资源,资源日历影响特定的资源库或个人。

9、约束条件:由于竞争的存在或者客户的要求,有些工作必须在规定的日期之前完成,这就存在了所谓的强制日期约束。

工具

1、关键路径法(CPM):关键路径、关键活动、时差(总时差、自由时差)、费用斜率

2、进度压缩:是指在不改变项目范围的条件下缩短项目进度。历时压缩的技术有赶工、快速跟进等,常用赶工或历时压缩的方法有加强控制、资源优化(增加资源数量)、提高资源利用率(提高资源质量)、改变工艺或流程、加强沟通、加班、外包等。

3、仿真:计算在不同活动假设下的多个项目历时

4、资源平衡:

5、关键链:采用最乐观的历时估算,并产生项目的时间缓冲区该缓冲区由项目的所有活动共享,一般而言,该方法把活动计划到它的最晚开始时间。

6、项目管理软件

7、编码结构:采用编码结构,使可视性、可用性都大大提高

8、所采用的日历:统一时间的度量衡,是进度计划编制的基础

9、超前和滞后:超前允许后续活动具有一个加速度,滞后要求后续活动推迟,不专业的人员使用超前和滞后工具会搞错进度,应该尽量限制使用超前和滞后。

10、计划评审技术(PERT):适用于不可预知因素较多的、过去未曾做过的新项目或复杂的项目,或研制新产品。CPM主要用于以往在类似工程中已取得一定经验的承包工程。

输出

1、项目进度计划:项目进度计划至少包括每一详细活动的计划开始日期和预期完成日期,常用表示形式为:带日期信息的项目网络图、甘特图、里程碑图。
甘特图也叫横道图或条形图,主要用于项目计划和项目进度安排,纵向列出项目活动,横向列出时间跨度,可直观清楚地对比实际进度和计划进度之间的差距。优点是简单、明了、直观,能较清楚地反映工作任务的开始和结束时间,能表达工作任务的活动时差和彼此间的逻辑关系,可用于WBS的任何层次,缺点是只能表明已有的静态关系,对于错综复杂、相互制约的各项活动间的关系没有表示出来,出没有指出影响项目生命周期的关键所在。
里程碑图:与甘特图类似,里程碑图仅表示主要可交付物的计划开始和完成时间以及关键的外部接口。

2、进度计划的详细依据:如不同时间阶段对资源的需求,进度应急储备等

3、进度管理计划(更新)

4、资源需求(更新)

4.6. 进度控制

进度控制过程包括定期收集项目完成情况的数据,将实际完成情况数据与计划进程进行比较,一旦发现进度滞后则采取措施予以纠正,如果纠正所引起的变更被列入计划并取得了客户的同意须修改基准计划。

进度控制的步骤如下:

1、分析进度,找出哪些地方需要采取纠正措施

2、确定应采取哪种具体纠正措施

3、修改计划,将纠正措施列入计划

4、重新计算进度,估计计划采取的纠正措施的效果

当项目的实际进度滞后于计划进度时,通常可用以下方法缩短活动的工期

1、投入更多的资源以加速活动进程

2、指派经验更丰富的人去完成或帮助完成项目工作

3、减小活动范围或降低活动要求

4、通过改进方法或技术提高生产效率

输入

1、项目进度计划

2、绩效报告

3、已批准的变更需求

4、进度管理计划

工具

1、进展报告:进展报告和当前进度计划状态包含项目实际开始日期、完成日期以及未完成活动的剩余时间。

2、进度变更控制系统:进度变更控制系统定义了改变项目进度计划应遵循的过程,是整个变更控制系统的一部分。

3、绩效测量:用来评估实际与计划时间进度偏差的大小

4、项目管理软件

5、偏差分析:把计划日期和实际日期加以对比,可以为检测偏差、在进度延迟的情况下执行纠正措施等提供有用的信息

6、计划比较甘特图:使用两个甘特图表示每个计划活动的进度比较将更加便利,其中一个甘特图显示当前状态而另一个甘特图显示前一个进度的更新状态。

输出

1、进度计划(更新)

2、变更需求:对进度偏差的分析、对进展报告以及绩效测量结果的评审均可以导致项目进度计划的变更请求。

3、建议的纠正措施:使项目预期的进度绩效与项目计划保持一致所有工作称为纠正措施,在时间管理领域中,纠正措施是指加速活动以确保活动能按时完成或尽可能减少延迟时间而采取的特殊措施。

4、取得的教训:进度产生偏差的原因、采取纠正措施的理由以及从进度控制中取得的其他方面的经验教训应被记录下来,成为执行组织在本项目和今后其他项目的历史数据库

4.7. 影响进度的主要因素

1、人的因素

2、材料、设备的因素

3、方法、技术的因素

4、资金因素

5、环境因素

5. 项目成本管理

5.1. 成本管理的意义与范畴

项目成本管理指在项目的实施过程中,为了保证完成项目所花费的实际成本不超过其预算成本而展开的项目成本估算、项目预算编制和项目成本控制等方面的管理活动。

成本估算:编制一个为完成项目各活动所需要的资源成本的近似估算

成本预算:将总的成本估算分配到各项活动和工作包上,建立一个成本的基线

成本控制:控制项目预算的变更。

项目成本失控的原因

1、成本估算工作和成本预算工作不够准确细致

2、许多项目在进行成本估算和成本预算及制定项目成本控制方法上并没有统一的标准和规范可行

3、思想认识上存在的误区,认为项目具有创新性,因此自然导致项目实施过程中将有太多变量及变数太大,实际成本超出预算成本也在所难免,理所当然。

5.2. 成本估算

成本估算是指对完成项目各项活动所必需的各种资源的成本做出近似的估算,成本估算需要根据活动资源估算中所确定的资源需求,以及市场上各种资源的价格信息来进行。

项目成本的大小同项目所耗用资源的数量、质量和价格有关,同项目工期长短、项目的范围宽度和深度有关。

项目成本估算同项目造价是两个既有联系有区别的概念,项目造价=项目成本+盈利。

编制项目成本估算的三个主要步骤

1、识别并分析项目成本的构成科目,即项目成本中所包括的资源或服务的类目。

2、根据已识别的项目成本构成科目,估算每一成本科目的成本大小。

3、分析成本估算结果,找出各种可以相互替代的成本,协调各种成本之间的比例关系。

项目成本通常以货币单元的形式表示出来,也可以用人*日,人*小时表示,方便管理控制。

成本估算的困难

1、复杂的信息:人本身的复杂性带来信息系统的复杂性。

2、技术的变化:技术方案的更新、开发工具的升级

3、同类项目的缺乏:

4、缺乏专业和富有经验的人才:

5、信息系统项目建设人员的不同:不同的建设人员的工作效率差别很大。

6、管理层的压力与误解

成本估算的常见错误

1、草率的成本估算

2、在项目范围尚未确定时进行成本估算

3、过于乐观或者保守的估算

输入

1、项目章程:基于成本估算的目的,假设是被考虑为真实、真正的及确定的因素。

2、项目范围说明书:工作内容对成本的影响

3、项目管理计划:

4、工作分解结构(WBS)和WBS词典:工作内容对成本的影响。

5、进度管理计划:工期对成本的影响

6、员工管理计划:项目人员特性和人员的等级对成本的影响

7、风险事件:负面的风险事件几乎总是增加成本和延迟计划。

8、环境和组织因素

9、组织过程资产:成本估算政策、成本估算横板、商业数据库。历史项目档案、项目团队知识和教训。

工具

1、类比估算法:又称自上而下估算法,步骤是:项目的上层管理人员收集以往类似项目的有关资料;会同有关成本专家对当前项目的总成本进行估算;再将估算结果按照项目工作分解结构图的层次传递给相邻的下一层管理人员对自己负责的工作和活动的成本进行估计;最后,继续向下一层管理人员传递他们的估计信息。这种方法的优点在于简单易行,花费少,速度快,但估算的准确性比较差,适用于项目的详细资料难以得到时。

2、资源单价法:对项目活动进行估计,将所需资源总数乘以单价得出估算成本。

3、自下而上的成本估算:也叫工料清单法。利用项目工作分解结构图,先由基层管理人员计算出每个工作单元的生产成本,再将各个工作单元的生产成本自下而上逐级累加,汇报给项目的高层管理者,最后由高层管理者汇总得出项目的总成本。特点是估算的结果比其它方法更为准确,但实际操作起来非常耗时,成本估算工作本身也要大量的经费支持。

4、利用计算机工具:有些项目管理软件可以通过直接输入项目成本的有关数据或者自定义项目成本函数,便能够非常方便快捷地得到项目成本的估算结果。

5、其他估算方法:卖方投标分析和项目所需成本分析

6、意外事件的估算:对意外事件的估计成本,同样需要列入成本估算的考虑支出

7、质量成本:质量成本分为预防成本、评价成本、失效成本三个部分,合理的资源配比是预防成本占到70%以上。

输出

1、项目成本估算结果:以摘要或详细的形式描述实施项目所必需的全部资源以及这些资源的数量、质量标准和成本。还包括为了应付项目可能会遇到的某些意外事件所支付的具有不可预见性的意外成本。

2、相关支持性细节文件和成果:对项目成本估算的依据进行详细说明,这些支持性细节文件和成果包括项目工作范围说明、项目成本估算的基础和依据文件,项目成本估算所做的假设说明。

5.3. 成本预算

项目成本预算是进行项目成本控制的基础,它是将项目的成本估算分配到项目的各项具体工作上以确定项目各项工作和活动的成本定额,制定项目成本的控制标准,规定项目意外成本的划分与使用规则的一项项目管理工作。

成本预算的三大作用:

1、项目成本预算是按计划分配项目资源的活动,以保证各项项目工作能够获得所需要的各种资源

2、项目成本预算同时也是一种控制机制,度量项目各项工作在实际实施过程中资源使用数量和效率的标准。

3、项目成本预算为项目管理者监控项目施工进度提供了一把标尺,在项目实施的任何时点上,都应该有确定的预算成本支出,根据项目预算成本的完成情况和完成这些预算成本所消耗的实际工期,并与完成同样的预算成本额的计划工期相比较,项目管理者可以及时掌握项目的进度状况。

成本预算的步骤:

1、分摊项目总成本到项目工作分解结构的各个工作包中,为每一个工作包建立总预算成本。

2、将每个工作包分配得到的成本再二次分配到工作包所包含的各项活动上。

3、确定各项成本预算支出的时间以及每一时间点累计预算成本。

直接成本和间接成本

1、非直接成本:不是在WBS工作包上的成本,租金,保险等

2、隐没成本:在项目启动之前进行的尝试所花费的成本

3、学习曲线:使用新的技术,进入新的行业

4、项目完成的时限:时限压缩越短成本越高

5、质量要求:质量要求高成本高,质量要求低成本低

6、保留:为意外事件预留的成本。

购买还是自己开发

购买的原因

1、比自己开发价格低

2、员工无自己开发的能力

3、项目组中关注项目可交付成果,

4、更高的可控制性

自己开发的原因

1、比购买价格低

2、项目组可学习新技术

3、项目允许关注其他方面,如中间产品

4、较少的工作。

输入

1、项目成本估算

2、工作分解结构

3、项目进度计划

4、项目章程

5、项目管理计划

工具

1、成本总计:依据WBS工作包将成本预算总计。??

2、管理储备:管理储备是为未计划但是为范围和成本的潜在变化而预留的预算,它们是“未知的”,项目经理在使用之前必须得到批准。管理储备不是项目成本基线的一部分,但包含在项目的预算中,它们未被作为预算进行分配,因而不是挣值计算的一部分。

3、参数模型:??

4、支出的合理化原则:对于组织运营而言,资金周期性开销中的巨大变化是不愿看到的,因此,项目资金的支付需要调整到比较平滑或对开销进行管制。

输出

1、成本基准计划:成本基线是用来量度与监测项目成本绩效的按时间分段预算。将按时段估算的成本加在一起,即可得出成本基准通常以S曲线形式显示。S曲线也表明了项目的预期资金。

2、项目资金需求:资金需求包括总的和阶段的,从成本基线获得。

3、项目管理计划(更新)

5.4. 成本控制

项目成本控制是指项目组织为保证在变化的条件下,尽量使项目的实际成本控制在计划和预算范围内的管理过程。项目成本控制工作的主要内容包括:

1、识别可能引起项目成本基准计划发生变动的因素,并对这些因素施加影响,以保证该变化朝着有利的方向发展。

2、以工作包为单位,监督成本的实施情况,发现实际成本与预算成本之间的偏差,查找出产生偏差的原因,做好实际成本的分析评估工作。

3、对发生成本偏差的工作包实施管理,有针对性地采取纠正措施。

4、将核准的成本变更和调整后的成本基准计划通知项目的相关人员。

5、防止不正确的、不合适的或未授权的项目变更所发生的费用被列入项目成本预算

6、进行成本控制的同时,应该与项目范围变更、进度计划变更、质量控制等紧密结合。

成本失控的原因

1、缺乏计划

2、目标不明

3、范围蔓延

4、缺乏领导力

输入

1、成本绩效报告:记载项目预算的实际执行情况的资料,主要内容包括项目各个阶段或各项工作的成本完成情况,是否超出了预先分配的预算,通常用六个基本指标来分析项目的成本绩效:项目计划作业的预算成本(每个工作包的预算成本)、累积预算成本、累积实际成本、累积盈余量、成本绩效指数(EV/AC)、成本差异(=累积盈余量-累积实际成本)。

2、批准的变更申请

3、成本基准计划:成本预算的输出

4、项目资金需求:成本预算的输出

工具

1、成本变更控制系统:主要包括三个部分,即成本变更申请、批准成本变更申请和变更项目成本预算。

2、绩效测量:挣值管理(PV、AC、EV、ETC、CV、SV、CPI、SPI0

3、项目绩效评估:项目组需要召开绩效评估会议来估计项目活动的情况和进度,通常有以下绩效报告技术可以使用:
偏差分析:对比实际的项目完成结果和计划预期的结果
趋势分析:通过检查项目结果以确定项目将的发展方向
挣值分析:将计划结果与实际绩效结果和实际成本作比较

4、计算机工具:项目管理软件、电子表格等

5、偏差管理:成本控制中,需要对过程中发现的偏差及其应对措施明确对策。

输出

1、项目管理计划更新

2、建议的纠正措施:为了使项目未来工作所花费的实际成本控制在项目计划成本以内所做采取的活动。

3、完工估算:(EAC)是根据项目绩效和风险量化对项目总成本的预测,最常用的预测技术就是下述方法:
EAC=截止目前的实际成本加上所有剩余工作的新估算AC+ETC
EAC=截至目前的实际成本加上剩余预算AC+BAC-EV
EAC=截止目前的实际成本加上经实际成本绩效指数(CPI)修改的剩余项目的预算AC+(BAC-EV)/CPI,CPI为累积值,EAC=BAC * (AC/EV)=BAC/CPI

4、变更需求

5、组织过程资产(更新)

5.5. 挣值分析法

挣值分析法是一种进度、成本的测量技术。可用来测量和估计偏差的程度和范围。

计划工作量的预算费用(BCWS,PV)=计划工作量 * 预算定额

已完成工作量的实际费用(ACWP,AC)

已完成工作量的预算成本(BCWP,EV)=已完成工作量 * 预算定额

剩余工作的成本(ETC)=BCWS-BCWP=PV-EV

进度偏差(SV)=BCWP-BCWS=EV-PV SV>0 进度提前 SV<0 进度滞后

成本偏差(CV)=BCWP-ACWP=EV-AC CV>0 成本节省 CV<0 成本超支

成本绩效指数(CPI)=EV/AC CPI>1 表示成本节省 CPI<1 成本超支

进度绩效指数(SPI)=EV/PV SPI>1 表示进度提前 SPI<1 进度滞后

5.6. 成本效益分析

货币的时间价值

不同时间的等额资金在价值上的差别称为资金的时间价值。资金的时间价值体现为资金运用年带来的利润或利息,它是衡量资金时间价值的绝对尺度。资金在单位时间内产生的增值(利润或利息)与投入的资金额(本金)之比,称为利率或收益率,它是衡量资金时间价值的相对尺度。

单利:

本金加利息

复利:

利滚利

折现:将来的货币价值,折现到现在的等值价值

折现:

i为折现率

净现值分析法:

净现值:项目在生命周期内各年的净现金流量按一定的贴现率折算到现在的价值

NPV>0,有收益,方案可行 NPV<0,没有收益,方案不可行,

在投资额相同的情况下,有多个方案,看哪个方案的NPV大,选择哪个方案

在投资额不相同的情况下,使用净现值率选择方案

净现值率:单位投资带来的效益

NPV:收入贴现值,P:投资总额贴现值,I每年的投资额

现值指数分析(投资收益率)

当方案投资额不相同的情况,选择方案的方法,投资方案经营期各年末现金的流入量贴现值之和与建设期各年初投资额贴现值之和之比。赚回的钱和投资的钱的比例

N_t:经营期各年末现金流入量,P_t:建设期各年初投资额,n:建设期年数,m:经营期年数

净现值和现值指数都是用来选择项目方案,净现值分析法用于各方案投资额相同的情况(选择净现值大的方案,现值指数用于各方案投资额不相同的情况(取现值指数大的方案)

内含报酬率(内部收益率)

使方案净现值为零的贴现率即为内部收益率,多方案选择时,当该方案的贴现率小于IRR时表示方案可行,贴现率大于IRR时方案不可行,多项目选择时,

值越大越好

:内部收益率,

:产生正的贴值的低贴现率,

:产生负的贴现值的高贴现率

:取时的净现值,

:取时的净现值

投资回收期:投资回收的期限,

静态投资回收期:不考虑货币的时间价值

1、投资P一次性投入,并且投资当年产生收益:

2、投资P一次性投入,每年产生收益不固定:

满足这个等式的T年即投资回收期

3、投资P非一次性投资,每年产生收益不固定

满足这个等式的T年即投资回收期

动态投资回收期:考虑货币的时间价值

满足这个等式的Tp年即投资回收期

实际使用公式 Tp=累计净现金流量折现值开始出现正值的年份数 – 1 + |上年累计净现金流量折现值| / 当年净现金流量折现值

投资回收率

投资回收率 = 1 / 动态投资回收期 ×100%

效益费用比

效益-费用比(B-C比)=净效益(现值或年值)/净费用(现值或年值)

分析方法	计算公式	适用情况	说明
净现值分析		利率不变投资额相同	项目在生命周期内各年的净现金流量按一定的贴现率折算到现在的价值
净现值指数		利率不变投资额不同	单位投资带来的效益
现值指数分析(投资收益率)		利率不变投资额不同	经营期各年末现金的流入量贴现值之和与建设期各年初投资额贴现值之和之比。赚回的钱和投资的钱的比例
内含报酬率(内部收益率)
静态投资回收期			投资P一次性投入,并且投资当年产生收益
	满足这个等式的T年即投资回收期		投资P一次性投入,每年产生收益不固定
	满足这个等式的T年即投资回收期		投资P非一次性投资,每年产生收益不固定
动态投资回收期	满足这个等式的Tp年即投资回收期实际使用公式 Tp=累计净现金流量折现值开始出现正值的年份数 – 1 + \|上年累计净现金流量折现值\| / 当年净现金流量折现值
投资回收率	投资回收率 = 1 / 动态投资回收期 ×100%
效益费用比	效益-费用比(B-C比)=净效益(现值或年值)/净费用(现值或年值)

6. 项目质量管理

ISO9000质量定义:一组固有特性满足需求的程度。需求指明示的、通常隐含的或必须履行的需求或期望,特性是指可区分的特征,可以是固有的或赋予的、定性的或定量的、有各种类别(物理的、感官的、行为的、时间的、功能的等)。

PMI质量定义:过程、产品或服务满足明确或隐含的需求能力的特征。

质量和等级的关系

等级是指具有相同使用功能不同技术特性的产品或服务的类别。质量低说明产品或服务存在问题,等级低的产品或服务不一定存在问题。

精确和正确的关系

精确和正确是不相等的。精确是指一致性,重复度量值集中并有一点分散。正确是指正确性度量值非常接近真实值。精确度量不需要正确。非常正确的度量不需要精确。

ISO9000由四个项目标准组成:

1、 ISO9000:2000 质量管理体系——基础和术语

2、 ISO9001:2000 质量管理体系——要求

3、 ISO9004:2000 质量管理体系——业绩改进指南

4、 ISO19011:2000 质量和环境审核指南

ISO9000实际上是由计划、控制和文档工作三部分组成循环的体系。计划用来保证方向、目标、授权和每种活动的责任关系的确切定义和理解。控制用来保证目标与方向的拟合,通过正确行动预测和避免问题的发生。文档工作主要是用来反馈质量管理系统在满足客户需求方面运行得如何以及何种改变是必要的。

项目质量管理过程:

1、质量计划:确定适合于项目的质量标准并决定如何满足这些标准

2、质量保证:用于有计划、系统的质量活动,确保项目中的所有必需过程满足项目干系人的期望。

3、质量控制:监控具体项目结果以确定其是否符合相关质量标准,制定有效方案,消除产生质量问题的原因。

项目质量管理必须针对项目的管理过程和项目的产品。

质量成本是为达到产品/服务质量而付出的所有努力的总成本。项目决策能影响质量运作成本,在产品返工、保证的赔偿和产品召回时都会发生质量运作成本。

质量管理理论

1、戴明理论:
持续改进
PDCA循环严格把关
预防胜于检验

2、朱兰理论:
适用性就是通过遵守技术规范,使项目符合或者超过项目干系人及客户的期望
定义质量与等级的区别和联系朱兰三部曲:质量规划、质量控制、质量提高

3、克鲁斯比理论:
质量的定义即符合预先的要求
质量源于预防
质量的执行标准是零缺陷质量是用非一致成本来衡量的

4、 6西格玛管理:每百万机会3.4个缺陷数。
五个阶段:定义、衡量、分析、改善、控制
统计技术是6西格玛质量管理的核心

5、全面质量管理
全员参加全过程全面运用一切有效方法全面控制质量因素

6、目标管理
确定总体目标
目标分解
资源配置
检查和反馈

6.1. 质量计划编制

质量计划编制包括识别与项目相关的质量标准以及确定如何满足这些标准。通过参照组织的质量策略、项目范围说明书、产品说明书等,识别出项目相关的所有质量标准,把满足项目相关质量标准的活动或者过程规划到项目的产品和管理过程中去,还包括以一种能理解的、完整的形式表达为确保质量而采取的纠正措施。

质量策略是一个组织针对质量而作出的全面的意图和方向,一般由组织的高层正式宣布。

输入

1、项目章程

2、项目管理计划

3、项目范围说明书:项目范围说明书中记录的项目干系人的需求、阈值和接受标准是制定识别项目质量的关键依据。

4、组织过程资产

5、环境和组织因素

工具

1、成本/效益分析:权衡质量管理的成本和效益之间的关系,使质量管理的效益超过成本。

2、基准分析:将实际实施过程中或计划中的项目做法同其他类似项目的实际做法进行比较,通过比较来改善与提高目前项目的质量管理,以达到项目预期的质量。

3、实验设计:通过进行实验找出哪些变量对项目结果的影响最大。

4、质量成本:指为了达到产品或服务质量而进行的全部工作所发生的所有成本。包括为确保与要求一致而做的所有工作叫做一致成本,以及由于不符合要求所引起的全部工作叫做不一致成本。质量成本分为预防成本、评估成本和故障成本,预防成本是为了使项目结果满足项目的质量要求在项目结果产生之前采取的一些活动。评估成本是项目的结果产生之后,为了评估项目的结果是否满足项目的质量要求而产生的成本;故障成本是在项目的结果产生之后,为了纠正其错误使其满足质量要求发生的成本。预防成本和评估成本属于一致成本,故障成本属于不一致成本。

输出

1、质量管理计划:描述项目质量体系,即组织结构、职责、程序、工作过程以及建立质量管理所需要的资源,为项目提出质量保证、质量控制、质量提高和项目持续过程改进方面的措施。

2、质量度量指标:质量度量指标应用于质量保证和质量控制过程中。为了进行质量度量,必须事先进行操作定义,操作定义是用非常专业化的术语来描述各项操作规程的含义,以及如何通过质量控制程序对他们进行检测。

3、质量检查单:用以证明需要执行的一系列步骤已经得到贯彻实施,如系统集成行业常用的测试手册。

4、 过程改进计划:是项目管理计划的补充。详细描述了分析过程,可以很容易辨别时间和无价值的活动。可以增加对客户的价值。

5、项目管理计划(更新)

6.2. 执行质量保证

质量保证是指为符合相关质量标准树立信心而实施的各项有计划的系统活动,从本质上讲,质量保证是对质量计划和质量控制过程的质量控制,它贯穿于整个的项目生命期,一般由质量保证部门完成。分为内部质量保证(向项目管理组和执行机构的管理层提供质量保证)和外部质量保证(向客户或不参与项目工作的人员提供质量保证)

质量保证给持续过程改进提供保证,持续过程改进降低了无价值的行为,使过程在一个优化的有效层次上运行。

输入

1、质量管理计划

2、质量度量标准

3、过程改进计划

4、工作绩效信息

5、 质量控制测量结果

6、变更请求

工具

1、质量计划工具和技术:成本/效益分析、基准比较法、实验设计、质量成本

2、质量控制工具和技术:检查、控制图、帕累托图、鱼刺图、散点图等

3、质量审计:是对其他质量管理活动的结构性的审查,是决定一个项目质量活动是否符合组织政策、过程和程序的独立的评估,主要目的是通过对其他质量管理活动的审查得出一些经验教训,从而提高该项目以及实施项目的组织内的其他项目的质量。

4、过程分析:通过采用价值分析、作业成本分析及流程分析等分析方法,识别需要改进的执行过程中经历的问题、无价值的活动

5、基准分析:

输出

1、请求的变更

2、建议的纠正措施

3、组织过程资产

4、项目管理计划

6.3. 执行质量控制

质量控制是监测项目的具体实施结果,判断它们是否符合有关的项目质量标准,并确定消除产生不良结果原因的途径。

项目质量控制包括两个方面

1、项目产品或服务的质量控制:当产品生产出来以后,要检查产品的规格是否符合需要的标准,并消除任何偏差。

2、 项目管理过程的质量控制:通过项目审计来进行,项目审计是将管理过程的作业与成功实践的标准进行比较所做的详细的检查。

项目产品的质量控制一般由质量控制职能部门或类似部门负责,项目管理过程的质量控制,由项目管理组织的成员负责。

需要区分的一些概念

1、预防和检查:预防是把错误排除在过程之外,检查是把错误排除在到达客户之前

2、特殊抽样和变量抽样:特殊抽样表示结果符合或不符合,变量抽样结果是在符合程度的连续坐标系表示

3、特殊原因和随机原因:特殊原因是异常事件,随机原因是正常过程偏差

4、许可的误差和控制限度:如果在许可的误差规定范围内,结果是可以被接受的,如果结果是在控制限度内,表明过程是在控制之中。

输入

1、质量管理计划

2、质量度量标准

3、质量检查表

4、工作绩效信息

5、 产品、服务和结果

6、组织过程资产

7、已批准的变更请求

工具

1、检查:也称审查、审计、走查。目的是确定结果与要求是否一致,包括测量、检查和测试,检查还用于确认错误纠正。检查表是常用的检查技术。检查表通常由详细的条目组成,是用于检查和核对一系列必须采取的步骤是否已经实施的结构化工具。

2、控制图:又称管理图,用于决定一个过程是否稳定或者可执行,是反映生产程序随时间变化而发生的质量变动的状态图形,是对过程结果在时间坐标上的一种图线表示法。

3、帕累托图:又叫排列图、ABC分析图法,80/20原则,是一种柱状图,按事件发生的频率排序而成,它显示由于某种原因引起的缺陷数量或不一致的排列顺序,是找出影响项目产品或服务质量的主要因素的方法。影响质量的主要因素通常分为三类,A类为累计百分数在70%~80%范围内的因素,它是主要影响因素,B类是除A之外的累计百分数在80%~90%范围内的因素,是次要因素。C类为除A、B两类外百分比在90%~100%范围的因素。

4、统计抽样:是对选取收益总体的一部分进行检查,适当的采样经常能够降低质量控制成本。

5、因果图:又叫因果分析图、石川图、鱼刺图。直观地反映了影响项目的各种潜在原因或结果及其构成因素同各种可能出现的问题之间的关系。构建因果图的五个基本步骤:确定问题(帕累托分析、直方图等)、选择各学科的头脑风暴班子、画问题框和主箭头、具体化主要分类、甄别问题原因

6、流程图:显示系统内部不同因素之间怎样作用和影响,从而确定质量问题可能发生在什么地方。

7、趋势分析:根据历史结果、数学技术来预测未来的成果,可用来跟踪一段时间内变量的变化,常用于监控。

8、直方图:又称条形图、质量分布图、矩形图、频数分布图,是通过对抽查质量数据的加工整理,找出分布规律,判断整个生产过程是否正常,不足是不能反映质量的动态变化,且对数据的量要求较大。

9、散点图:判断两个变量之间是否存在关系,两种变量之间的相互关联性越大,图中的点越集中,点趋向集中于一条直线附近。如果两种变量间很少或没有相关性,点将完全散布开来。

核对表、帕累托图主要用于识别

直方图、散点图、控制图主要用于分析

因果分析和趋势分析即可用于识别也可用于分析。

输出

1、建议的纠正措施

2、建议的预防措施

3、请求的变更

4、建议的缺陷修复

5、已确认的缺陷修复

6、项目管理计划(更新)

7、质量控制度量

8、组织过程资产(更新)

如何提高信息系统项目质量

1、强有力的领导

2、建立组织级项目管理体系:组织机构、工作流程、内部项目环境

3、建立组织级质量管理体系

4、建立项目级激励制度

5、理解质量成本:预防成本、评估成本、故障成本,一致成本、非一致成本

6、提高项目文档质量:不重视文档编写工作或对文档编写工作的安排不恰当。缺乏实践经验。

7、发展和遵从成熟度模型:项目管理成熟度模型、软件能力成熟度模型、软件质量功能模型

7. 项目人力资源管理

项目人力资源管理就是有效地发挥每一个参与项目人员作用的过程。人力资源管理包括组织和管理项目团队所需的所有过程,项目团队成员是项目的人力资源。项目团队由为完成项目而承担了相应的角色和责任的人员组成,团队成员应该参与大多数项目计划和决策工作。项目团队成员的早期参与能在项目计划过程中增加专家意见和加强项目的沟通。

人力资源管理主要过程包括:

1、组织计划编制:识别项目中的角色、职责和汇报关系,并形成文档,制定人员配备计划。

2、组建项目团队:获取项目所需要的人力资源

3、项目团队建设:提高个人和团队的技能以改善项目绩效

4、管理项目团队:跟踪个人和团队的绩效、提供反馈,解决问题并协调各种变更以提高项目绩效

项目临时性意味着项目内个人之间和组织之间的关系都是暂时的,项目经理或项目管理团队在选择的时候要选择这种适应短暂特点的管理技巧

项目生命周期中,项目相关的人员的数量和特点会随着项目从一个阶段进入另一个阶段而有所变化,导致在一个阶段中非常有效的管理技巧到了另一个阶段不能达到预期的效果,项目经理或项目管理团队应该注意选择适应当前项目的管理技巧

当项目中的成员因为变更而变化的时候,项目经理或项目管理团队也应该根据变更产生的变化对项目当前的管理技巧做适当的调整,以适应当前的项目环境。

人力资源行政管理工作一般不是项目管理团队的直接责任。但是为了更好提高项目团队的绩效,项目经理和项目管理团队也应该适当地参与到人力资源的行政管理中去。

信息系统项目人力资源的构成

项目人力资源一般包括项目团队、项目的客户、项目的出资者、项目的子承包商、项目的供货商等,总而言这,项目的人力资源包括所有和项目有关的干系人。

7.1. 人力资源计划编制

人力资源计划编制决定项目的角色、职责和报告关系,制定人员配备管理计划。

输入

1、活动资源估算

2、环境和组织因素:组织结构(涉及哪些部门的哪些人员)、技术因素(需要哪些不同的学科和专业)、人际关系(正式或非正式的汇报关系,上下游关系等)

3、项目管理计划:项目管理计划对项目质量管理、风险管理、采购管理等进行描述,可以帮助项目管理团队识别所有必需的角色和职责。

工具

1、组织结构图和职位描述:描述项目角色和职责最常用的三种形式:层次结构图(OBS、RBS)、矩阵图(RCAI)、文本格式的角色描述,团队成员的通讯录不包括在其中,是一种沟通工具。
层次结构图:组织分解结构、资源分解结构(包括人力、材料、设备等)
职责分配矩阵:表示需要完成的工作和团队成员之间的联系,对于大一些的项目,RAM可以分成不同的层次。RACI图,负责-执行-咨询-通知
文本格式:需要详细描述的团队成员职责可以用文字形式表示。通常在大纲表格中,提供职责、权利、能力和资格

2、人力资源模板

3、人际网络

4、组织理论

输出

1、角色和职责:包括角色、权力、职责、能力
角色:为完成项目所进行的职责划分
权力:支配项目资源和作决策的权力
职责:为了完成项目任务和活动,项目团队应该执行的工作
能力:完成项目活动所需要的技能和能力。

2、项目组织结构图:以图形表示项目汇报关系

3、人员配备管理计划:内容包括如何以及何时获取项目所需的人力资源,释放人力资源的标准、识别项目成员所需的培训、认可及奖励计划、是否有必须遵循的某些约定、安全问题以及该计划对组织的影响。

7.2. 组建项目团队

是获得人力资源的过程,项目管理团队确保所选择的人力资源可以达到项目要求

输入

角色和职责

项目组织结构图

人员配备管理计划

环境和组织因素:考虑员工的能力、经验、兴趣、可用性、成本

组织过程资产

工具

事先分派

谈判

采购

虚拟团队

输出

项目人员分配到位

资源日历:表示各个阶段到位的项目团队成员

人员配备管理计划(更新)

资源可用性:记录用于项目的人力资源的技能、培训和专业知识的数量及类型。

7.3. 项目团队建设

提高项目团队成员的个人技能,以提高他们完成项目活动的能力。

提高项目团队成员之间的信任感和凝聚力,以通过更高效的团队合作提高工作效率

团队的特点:

1、个体成员有共同的工作目标

2、成员需要协同工作,也就是说某个成员工作需要依赖于另一成员的结果

项目团队形成:

1、形成期:开始形成共同目标,团队沉浸在对未来的美好期待中

2、震荡期:开始执行分配的任务,一般会遇到超出预想的困难,希望被现实打破,个体之间开始争执,互相指责,并开始怀疑项目经理的能力

3、正规期:经过一定时间磨合,团队成员相互熟悉和了解,矛盾基本解决,项目经理能够确立正确的关系

4、表现期:随着相互之间的配合默契和对项目经理信息,成员积极工作,努力实现目标,集体荣誉感非常强。

有效的团队合作包括:

1、在工作负担不平衡的情况下帮助其他人

2、按照适合个人偏好的方式去交流

3、共享信息和资源

成功项目团队的特点

1、团队目标明确,成员清楚自己工作对目标的贡献

2、团队的组织结构清晰,岗位明确

3、有成文或习惯的工作流程和方法,而且流程简明有效

4、项目经理对团队成员有明确的考核和评价标准,工作结果公正、公司、赏罚分明

5、有较好的组织纪律性

6、相互信任,善于总结和学习。

激励理论

1、马斯洛需求层次理论:生理、安全、社会、尊重、自我实现,前四种为基本需求,自我实现是最高层次的需求,只有在满足了人的基本需求后,人们才可能去追求更高层次的需求。项目经理应该关注每个成员的不同层次的需求

2、赫兹伯格双因素理论:一是保健卫生,包括薪金福利、工作环境以及老板对员工的看法,类似于马斯洛的生理、安全和社会需求,二是激励需求,类似于马斯洛的自尊和自我实现的需求。不好的保健卫生因素会消极地影响员工的积极性,而增强保健卫生因此却不一定能够激励员工,积极的满足激励需求会使员工努力积极地工作,以达到公司的目标和员工自我实现的满足感和责任感。

3、 X理论:X理论认为员工是懒散的、消极的、不愿意为公司付出劳动,所有要完成的工作必须很好清晰地分配给每一个人员,并且需要督促和指导以及更多的控制。针对X理论对员工采取两种措施:一种是软措施,即给予员工奖励、激励和指导等;二是硬措施,即给员工予以处罚和严密的管理,给员工很强压力强迫其努力工作。

4、 Y理论:认为员工是积极的,在适当的环境下,员工会努力工作,尽力完成公司的任务,从工作中得到满足感和成就感。

X理论可以加强管理,但项目团队成员通常比较被动地工作,Y理论可以激发主动性,但对于团队成员把握工作原则而言又有其缺陷。如在项目团队的开始阶段,大家互相不是很熟悉,对项目不是很了解,这时候需要项目经理运用X理论去引导;当项目团队进入执行阶段的时候,成员对项目的目标已经一致,都有意愿努力完成项目,这时候可以用Y理论去授权团队完成所负责的工作,并提供机会和环境。

项目经理对员工的影响因素

1、权力:发命令的正当等级权力

2、任务分配:

3、预算支配

4、员工升职

5、薪金待遇

6、实施处罚

7、工作挑战:根据员工完成一项特定任务的喜好来安排工作的能力,这将是一个内存的刺激因素

8、专门技术

9、友谊

项目经理可以利用五种权力来管理和要求团队成员来完成工作

1、合法的权力:指高级管理层对项目经理的正式授权的基础上项目经理让员工进行工作的权力

2、强制力:指用惩罚、威胁或者其他消极手段强迫员工做他们不想做的事。

3、奖励权力:使用一些激励措施来引导员工去工作。如薪金、职位、认可度等

4、专家权力:用个人知识和技能让员工改变他们的行为

5、潜示权力:权力是建立在个人潜示权的基础上,人们非常尊重某些具有潜示权力的人,会按照他们所说的去做发,

项目经理最好用奖励权力和专家权力影响团队成员做事,尽量避免强制力。合法权力、奖励权力和强制力是来自公司的授权,专家权力和潜示权力来自项目经理本人。

输入

项目人员分配

人员配备管理计划

工具

一般管理技能

培训:可以是正式的或者非正式的,

团队建设活动

基本原则

同地办公

认可和奖励

输出

团队绩效评估:包括个人技能的提高情况,团队能力的提高情况,员工流动率等

项目团队建设与发展的建议

1、对团队成员要有耐心、友好

2、解决问题而不是责备人

3、把项目团队建设活动计划到项目计划中去

4、召开经常性的、有效的会议

5、教育培养项目团队成员,鼓励他们互相帮助

6、认可个人和团队的成绩

7、在整个项目生命周期中进行持续的项目团队建设,尽早地进行项目团队建设

7.4. 管理项目团队

跟踪个人和团队的执行情况,提供反馈和协调变更,以提高项目的绩效,项目管理团队必须注意团队的行为、管理冲突、解决问题和评估团队成员的绩效。

输入

项目人员分配

角色和职责

项目的组织结构图

人员配备管理计划

绩效报告

团队绩效评估

组织过程资产

工具

观察和对话

项目绩效评估

冲突管理

问题日志

输出

人员配备管理计划(更新)

变更请求

组织过程资产

冲突管理

成功的冲突管理可以大大提高生产力并建立积极的工作关系。在正确的管理下,不同的意见是有益的,可以增加团队的创造力和做出更好的决策。

冲突产生的原因

1、项目的高压环境

2、责任模糊

3、多个上级的存在

4、新科技的流行

PMI统计项目存在的七种冲突源:进度、项目优先级、资源、技术、管理过程、成本和个人冲突。

冲突的解决方法:

1、问题解决:找到一个合适的方法来解决问题,使双方都满意,是冲突管理中最有效的方法

2、妥协:双方协商都做一些让步,使双方在某种程度上满意,但双方没有任何一方完全满意

3、求同存异:双方都关注一致的观点,忽视不同的观点,保持一种友好的气氛,避免了解决冲突根源。

4、撤退:把眼前的问题搁起来,等以后再解决

5、强迫:一方赢一方失败。

人力资源负荷和平衡

资源负荷是指在特定的时间内现有的进度计划所需要的各种资源的数量,具体用资源柱状图表示

资源平衡是指为了消除超负荷,项目经理可以修改进度表,尽量使资源得到充分的利用或者充分利用项目活动的浮动时间,这种方法叫做资源平衡。

8. 项目沟通管理

IT行业的沟通特点

1、普遍对信息的管理缺乏重视,缺乏信息共享、传递和使用的规范

2、 IT技术人员往往忽视非正式的沟通方式,但又不喜欢将信息形诸于规范的格式

3、 IT技术人员习惯使用专业术语,更擅长跟机器打交道,不擅长跟管理层和客户沟通

4、项目团队中往往有一个专家级的“核心人物”,所有的核心信息都由其专有,项目人员个人的成功经验不能转化为团队以及整个组织的经验

5、组织缺乏风险防范意识,信息备份和存档滞后

6、组织人员流动性大,又没有合理的培训机制

沟通是人们分享信息、思想和情感的过程。

在一个具体的项目中,沟通表现在

1、用户和开发商之间

2、开发团队和领导层之间

3、开发团队内部

4、开发商和供货商之间

5、开发商和分包商之间

沟通渠道的数量=n(n-1)/2

项目沟通管理是确保及时、正确地产生、收集、分发、储存和最终处理项目信息所需的过程,

成功实施沟通管理的三要素:人员、观点、信息

项目沟通管理过程包括:

1、沟通计划编制:确定项目干系人的信息和沟通需求,何时需要,以及应怎样分发给他们。

2、信息分发:以合适的方式及时向项目干系人提供所需信息

3、绩效报告:收集并分发有关项目绩效的信息,包括状态报告、进展报告和预测

4、项目干系人管理:对项目沟通进行管理,以满足信息需要者的需求并解决项目干系人之间的问题

沟通模型

1、编码:把想法和观点翻译成其他人不能看懂的语言

2、通信:发送编码

3、传播媒介:运送信息的途径

4、噪声:影响信息传输和读取的因素

5、解码:把信息翻译成原来的想法和观点

沟通的方式

1、正式沟通与非正式沟通

2、上行沟通、下行沟通和平行沟通

3、单向沟通与双向沟通

4、书面沟通和口头沟通

5、言语沟通和肢体语言

正式沟通是组织明文规定的渠道进行信息传递和交流的方式。如汇报、例会制度及文件往来

沟通障碍

1、缺乏清晰的沟通渠道

2、沟通双方的物理距离

3、沟通双方彼此技术语言不通

4、分散注意力的环境因素(噪声)

5、有害的态度(敌对,不信任)

6、权力游戏、滞留信息,隐藏议程与敌对情绪

8.1. 沟通计划编制

沟通管理计划确定项目干系人的信息和沟通需求,何时需要以及应怎样分发给他们。详细来说包括沟通内容及结果的处理、收集、分发、保存的程序和方式,以及报告、数据、技术资料等信息的流向。

与基本的项目沟通内容有关的信息可从WBS中获得。项目的组织结构将在很大程度上影响项目的沟通需求,所以沟通计划常与组织结构密切相关。

输入

组织过程资产

项目章程

项目管理计划

项目范围说明书

工具

1、项目干系人分析:
两个目的:一是确定不同的项目干系人的信息需求,二可以辨别出对项目干系人的影响和收益,以此帮助项目经理制定出对项目最佳的沟通策略。
项目干系人影响和收益分析应当进行一个结构化、系统化的评估,评估项目干系人在项目中的收益水平以及他们对项目支出的影响程度。
项目干系人分析步骤:头脑风暴列出项目干系人名单,评估和列出项目干系人的需求,或进行采访或研究以获得从项目干系人处直接的信息输入。确定各个项目干系人可以看到哪些文件,什么范围的人出席什么会议。

2、沟通需求分析:是项目干系人信息需求的汇总。把所需信息的类型和格式以及价值分析相结合便可以定义沟通需求。

3、沟通技术

输出

沟通管理计划:包含项目干系人的需求和预期,用于沟通的信息,包括格式、内容、细节水平,一个公司的各个项目应该采取统一格式记录信息以及进行传递。对不同层次的项目干系人应规定不同的信息格式。信息也是层层分解的。一个沟通管理计划内容包括:沟通项目、目的、频率、开始/结束日期、格式/媒介、职责

8.2. 信息分发

信息分发是向项目干系人及时地提供所需的信息。包括实施沟通管理计划以及对始料不及的信息需求的应对。

输入

工作绩效信息

沟通管理计划

工具

1、沟通技术:包括确保正确的人在正确的时间得到正确的信息。

2、信息收集和检索系统:包括手工存档系统、电子数据库,项目管理软件等

3、信息分发方法:项目会议、书面文档复印件的发布、手工文档系统和共享的网络电子数据库。电子方式的沟通,如电子邮件、传真、语音邮件、电话、录像等

4、取得的经验教训

输出

1、项目管理计划(更新)

2、组织过程资产(更新)

8.3. 绩效报告

收集并分发有关项目绩效的信息给项目干系人,包括状态报告、进展报告和预测。

状态报告介绍项目在某一特定时间点上的所处的位置,从范围、时间和成本三项目标上讲明目前所处的状态,可采用挣值分析法进行衡量

进展报告:介绍项目组在一定时间内完成的工作。一般是每月完成一次进度报告,项目进展报告可视为每月进行的状态报告,但更细致、微观,进展报告除更示基本的绩效指标,同时需要分析进度滞后(或提前)和成本超出(或结余)的原因,找出根源并提出解决建议。

预测:预测未来的项目状况以及进度估计

输入

工作绩效信息

项目管理计划

预测

已批准的变更请求

可交付物

工具

信息表示工具:报表、电子数据表分析、陈述或图解的软件包

绩效信息收集和编辑:收集和编辑来自各种媒介的信息

状态评审会议:状态评审会议是预先规定的定期进行的交流有关项目信息的事件。如周、月例会。

输出

1、绩效报告

2、预测

3、需求变更

4、更新的项目管理计划

5、建议的纠正措施

6、组织过程资产

8.4. 项目干系人管理

项目干系人管理就是对项目沟通进行管理,以满足信息需求者的需求并解决项目干系人之间的问题

输入

项目管理计划

沟通管理计划

组织过程资产

工具

沟通方法:会议、电话、电子邮件等

问题日志:问题日志或行动记录作为证明和监控问题决议的工具

输出

问题解决

项目沟通管理计划(更新)

组织过程资产

改善沟通的软技术

1、使用项目管理信息系统

2、建立沟通基础结构:工具、技术、原则

3、使用项目沟通模板

4、把握沟通基本原则

5、发展更好的沟通技能

6、认识和把握人际沟通风格

7、进行良好的冲突管理

8、召开高效的会议

9、使用一些团队认可的思考方式

掌握沟通的原则

1、沟通内外有别:内部有分歧,对外要一致,一个团队要一种声音说话

2、非正式沟通有利于关系的融洽

3、采用对方能接受的沟通风格

4、沟通的升级原则

5、排除沟通的障碍

认识和掌握人际沟通风格

人际沟通风格可以简化为四种类型:理想型、实践型(操纵型)、表现型(亲和型)、理性型(分析型)。

1、理想型:以人为主,做事果断

2、实践型:以事为主,做事果断

3、理性型:以事为主,做事内敛

4、表现性:以人为主,做事内敛

询问的问题可以分为四类

1、封闭式问题:用来确认信息的正确性

2、开放式问题:鼓励应征者详细回答,表达情绪

3、探询式问题:用来澄清之前谈过的主题与信息

4、假设性问题:了解解决问题的方式

用别人喜欢被对待的方式来对待他们,求大同存小异,努力营造双赢局面

召开高效的会议

1、事先制定一个例会制度

2、放弃可开可不开的会议

3、明确会议的目的和期望结果

4、发布会议通知

5、在会议之前将会议资料发到参会人员

6、借助视频设备。

7、明确会议规则

8、会议后要总结

9、会议要有纪要

10、做好会议的后勤保障

使用一些团队认可的思考方式(六顶思考帽)

1、白色思考帽:代表信息

2、红色思考帽:代表感情、直觉、预感和情绪

3、黑色思考帽:指出危机、困难、故障、弱点和问题所在

4、黄色思考帽:代表逻辑性的正面思考,代表乐观

5、绿色思考帽:代表创意与创造性的想法

6、蓝色思考帽:代表思维过程的控制与组织

9. 项目风险管理

项目风险是一种不确定的事件或条件,一旦发生,会对项目目标产生某种正面或负面的影响,当事件、活动或项目有损失或收益与之相联系,涉及到某种或然性或不确定性和涉及到某种选择时,才称为风险,以上三条,每一个都是风险定义的必要条件。

具有不确定性的事件不一定是风险。

项目风险既包括对项目目标的威胁,也包括促进项目目标的机会,风险源于所有项目中的不确定因素。

已知风险是那些已经经过识别和分析的风险,对于已知风险进行相应计划是可能的,未知风险是无法管理的,只能采取一般的应急措施处理未知风险。

风险属性

1、随机性:风险事件的发生及其后果都具有偶然性,风险事件是否发生、何时发生、发生之后会造成什么样的后果都具有不确定性,这种性质叫随机性,风险事件具有随机性

2、相对性:同样的风险对于不同的主体有不同的影响。人们承受风险的能力主要受收益的大小、投入的大小、活动主体的地位和拥有的资源影响。

3、可变性:风险性质的变化、风险后果的变化、出现新的风险

风险分类

1、按风险后果分:纯粹风险和投机风险
纯粹风险:只会带来损失,不会获得利益,只有两种后果:造成损失和不造成损失
投机风险:可能带来机会、获得利益,又隐含威胁、造成损失的风险。三种后果:造成损失、不造成损失、获得收益
纯粹风险和投机风险在一定条件下可以相互转化。项目管理人员必须避免投机风险转化为纯粹风险

2、按风险来源分:自然风险和人为风险

3、按风险是否可管理分

4、按风险影响范围分:局部风险和总体风险,项目管理团队特别要注意总体风险。

5、按风险承担者分:业主风险、政府风险、承包商风险、投资方风险、设计单位风险、供应商风险等,这样划分有助于合理分配风险,提高项目对风险的承受能力。

6、按风险的可预测性分:已知风险、可预测风险和不可预测风险。
已知风险:能明确经常发生且可预见后果的风险。已知风险发生概率高,但一般后果轻微,如过分乐观的进度计划。
可预测风险:可以预见发生,但不可预见其后果的风险,如分包商不能及时交工,业主不能及时审查批准
不可预测风险:是有可能发生,但即使最有经验的人也不能预见的风险,也称为未知风险或未识别的风险,如地震,百年不遇的暴雨,政策变化

风险成本

风险成本包括风险事件造成的损失或减少的收益以及为防止发生风险事件采取预防措施而支付的费用。

风险成本包括有形成本、无形成本以及预防与控制风险的费用。

有形成本包括风险事件造成的直接损失和间接损失

无形成本包括风险损失减少了机会,风险阻碍了生产率的提高,风险造成资源分配不当。

风险预防与控制的费用包括为了预防与控制风险损失,采取的各种措施所花费的费用,如投保,配备必要的人员等,这些费用即有直接的也有间接的。

一般来讲,只有当风险事件的不利后果超过为风险管理而付出的代价时,才有必要进行风险管理。

风险成本的负担

风险成本不但要由项目主体负担,客观上,与项目活动有关的其他方面也要负担一部分风险成本,项目主体负担的成本为个体负担成本,其他相关方负担的成本为社会负担成本。如机房在施工过程中失火,施工单位的损失是个体负担成本,消防队的开销由社会负担,消防车在赶往火灾现场时,行人和其他车辆躲避而影响工作的损失都是社会负担成本。

项目风险管理过程

1、风险管理计划编制:决定如何动手处理、规划和实施项目的风险管理活动

2、风险识别:确定哪些风险会对项目造成影响,并记录下这些风险的属性

3、定性风险分析:对项目的风险进行优先级排序

4、定量风险分析:测量风险出现的概率和结果,并评估它们对项目目标的影响

5、风险应对计划编制:开发一些应对方案和措施以提高项目成功的机会、降低项目失败的威胁

6、风险监控:在项目的整个生命周期内,监视残余风险,识别新的风险,执行风险应对计划,以及评估这些工作的有效性

9.1. 风险管理计划编制

风险管理计划编制确定如何为项目处理和执行风险管理活动

风险管理计划内容包括:

1、风险管理的方法论:项目中实施风险管理的方法、工具和可用的数据

2、角色与职责

3、预算:为风险管理分配资源并估计成本以便包含到项目成本基线中

4、制订时间表:定义在项目整个生命周期中风险管理过程的执行频度,并定义风险管理活动以便包含在项目的进度计划中

5、风险类别:提供一种结构化方法使风险识别的过程系统化、全面化,以提高风险识别的工作质量和有效性。RBS或一个简单的风险列表。

6、风险概率和影响力的定义:风险概率和影响力通常由组织来定义,要保证定性的风险分析的质量和可信度,需要定义不同级别风险的概率和影响力。风险概率一般用0.1、0.3、0.5、0.7、0.9表示,影响力大多用很小、小、中等、大和很大表示

7、概率及影响矩阵:根据风险对项目目标的影响程度,使用概率及影响矩阵对风险进行排序

8、已修订的项目干系人对风险的容忍度:项目风险管理计划过程应用于某一具体项目时,可以调整项目干系人对风险的容忍程度

9、报告的格式:风险记录的内容和格式

10、跟踪:规定如何记录风险活动。这些记录可用于本项目或未来项目,可用于总结经验教训,还要规定是否需要以及应该如何对风险管理过程进行审计

输入

项目章程

项目范围说明书

项目管理计划

组织过程资产

环境和组织因素

工具

规划会议

输出

风险管理计划

9.2. 风险识别

风险识别是确定何种风险可能会对项目产生影响,并将这些风险的特征形成文档。

由于在项目的进展中很可能再发现新的风险,所以风险识别是一个不断重复的过程。重复的频率及参与者将随着项目的不同而有所变化。风险识别即包括对威胁的识别也包括对机遇的识别

项目风险识别主要内容包括:

1、识别并确定项目有哪些潜在的风险,并整理汇总成项目风险的清单

2、识别引起这些风险的主要因素,分析这些因素对于项目风险的发生和发展的影响方式、影响方向,影响力度等

3、识别项目风险可能引起的结果:分析项目风险可能带来的后果和这种后果的严重程度。

输入

项目章程

项目范围说明书

项目管理计划

组织过程资产

环境及组织因素

工具

1、文档评审:对项目文档进行结构化的评审

2、信息收集技术:头脑风暴法、德尔菲法、访谈法、优势/劣势/机会/威胁(SWOT)

3、检查表:检查表应详细列出项目所有可能的风险类别,在项目收尾时要对风险检查表进行评审,以便在将来的项目中有所改进。从以往类似项目和某些其他信息来源中积累的历史信息和知识,可以用于编制风险识别信息检查表,检查表的优点是工作快速而简单,不足是不可能编制一个详尽的风险检查表。

4、假设分析:每个项目和每个已识别的风险都是基于一套特定的假想、设想或假设的。假设分析是检验假设条件在项目中的有效性,并识别因其中的错误、变化、矛盾或片面性所致的项目风险。

5、图解技术:因果分析图、流程图、影响图

输出

1、风险记录:内容包括
1、已识别出的风险列表:风险及风险产生的原因,造成的影响,每个风险分配一个责任人对风险进行分析、应对和监控
2、风险征兆或警告信号
3、潜在的风险应对方法列表
4、风险的根本原因,通过对根本原因的分析,可以非常有效地进行风险的应对
5、更新的风险分类

2、项目管理计划(更新)

9.3. 风险定性分析

对已识别的风险通过对发生的概率以及影响程度的综合评估进行优先级排序,组织可以重点关注高优先级的风险,从而可以有效地提高项目的绩效。

输入

1、项目管理计划:包括风险管理计划

2、组织过程资产

3、工作绩效信息

4、项目范围说明书

5、风险记录

工具

1、风险概率及影响评估:风险概率是风险发生的可能性,风险影响是当风险发生时对项目目标的影响,项目目标包括时间、成本、范围、质量等,影响包括负面影响和正面影响。

2、概率及影响矩阵:利用查询表和概率影响矩阵对风险的重要性及优先级进行评估。

3、风险数据质量评估:检验风险理解度及风险数据的精确度、质量、可信度和完整性。

4、风险种类:通过对风险进行分类,可以看出不确定性对项目的哪些方面存在影响,方便对风险进行分组,有利于采取有效的风险应对措施

5、风险紧急度评估:

输出

1、风险记录(更新):风险记录随着风险分析的进展而更新,更新内容包括:
1、按优先级或相对等级排列的项目风险
2、按种类的风险分组
3、需要近期作出响应的风险列表
4、需要进一步分析和应对的风险列表
5、低优先级风险的监视表,在风险定性分析过程中不重要的风险被放在监视列表中以备继续监视
6、风险定性分析的趋势:随着分析的不断重复,特定风险结果的趋势愈加明显,使得风险应对或进一步分析的紧迫性、重要性可能增加,也可能减少。

9.4. 定量风险分析

定量风险分析过程定量地分析风险对项目目标的影响,使项目管理者在面对很多不确定因素时提供了一种量化的方法,以作出尽可能恰当的决策。

输入

项目管理计划:风险管理计划

组织过程资产

风险记录

工具

1、数据收集和表示技术:访谈,概率分布,专家判断

2、定量风险分析和建模技术:
1、灵敏度分析:帮助判断哪些风险对项目具有最大的潜在影响,典型的结果是龙卷风图表
2、期望货币价值分析(EMV):是对未来不确定性输出的统计平均,通常用在决策树分析法中。
3、决策树分析:通过决策树分析可以找出每种选择的具体情况,包括成本、预期回报等
4、建模和仿真:建模和模拟分析法在做成本和进度的风险分析时更加适用,仿真模拟通常使用蒙特卡罗技术

输出

风险记录(更新),更新的内容包括

1、项目可能性分析

2、实现成本和进度目标的可能性

3、已量化风险的优先级列表

4、定量风险分析结果中的趋势:随着量化分析的不断重复,输出结果的趋势可能会变成明显起来,这可能会影响风险应对措施。

9.5. 风险应对计划编制

制定某些措施提高项目成功的机会,同时降低失败的威胁。包括风险应对负责人的确认和任务分配,依据风险优先级,把应对风险所需成本与措施加入到项目预算和进度中。

风险应对应该考虑风险的重要性、成本的有效性、应对的及时性、项目环境的现实性,是否可以被各方接受以及有一个明确的责任人。

输入

风险管理计划

风险记录

工具

应该为每种风险选择一种或几种有效的策略,决策树可以用来选择最合适的应对方法,

为进度和成本进行应急储备

开发一个应急计划,包含启动该计划的触发条件

负面风险的应对策略

1、避免

2、转移

3、减轻

正面风险的应对策略

1、开拓

2、分享

3、强大

同时适用威胁和机会的应对策略:接受风险

应急响应策略:

输出

1、风险记录(更新),更新的内容包括:
风险责任人及其职责、一致认同的应对策略、执行选定的应对策略所需的具体行动。在应对策略执行后,期望的残留风险的水平,风险应对策略所需的预算和时间、启动应急计划的触发条件,风险一旦发生后所采用的回退计划,残留风险,残留风险是采取了风险应对措施后余留的风险,也包括被接受的风险
二级风险:执行某一风险应对措施而直接引发的风险

2、与风险相关的合同决策
在本过程中可能做出转移风险的决策,如采用保险协议、服务协议等,相关的合同决策可能是减轻或转移部分或全部威胁的需要,也可能是提高或分享部分或全部机会的需要。

9.6. 风险监控

执行风险应对措施,跟踪已识别的风险,监测残余风险和识别新的风险,评估风险过程有效性。

输入

项目管理计划

工作绩效信息

批准的变更请求

工具

1、风险再评估:通过风险管理各过程,识别并重新评估新的风险

2、风险审计:检查并记录风险应对措施在处理已识别风险及其根源方面的有效性,以及风险管理过程的有效性。

3、差异和趋势分析:比较计划结果与实际结果。利用绩效信息对项目执行的趋势进行审查。挣值分析、趋势分析。与基准计划的偏差,可能表明威胁或机会的潜在影响。

4、技术的绩效测量:把项目执行期间所取得的技术成果与项目管理计划所要求的技术成果进行比较,偏差值有助于预测项目的成功程度,还能提示项目面临的技术风险程度。

5、预留管理:在项目的任何时点比较剩余应急储备与剩余风险量,从而确定剩余储备是否仍然合理。

输出

1、建议的纠正措施

2、变更申请

3、风险记录(更新)

4、组织过程资产(更新)

9.7. 信息系统项目主要风险

需求风险

技术风险

团队风险

关键人员风险

预算风险

范围风险

10. 项目采购管理

项目采购管理某种程度上决定项目管理的模式,是项目执行的物质基础和主要内容,采购管理要兼顾经济性、合理性和有效性,可以有效降低项目成本,促进项目顺利实现项目的各项目标,成功地完成项目。

项目采购的内容包括项目物资和技术资源,必须符合项目设计和计划要求、到货或服务周期。项目采购管理不仅是采购回来什么东西,更重要的是要重视采购管理过程的管理质量。

项目采购管理过程包括:

1、采购计划编制:决定采购什么,何时采购

2、编制合同:记录项目对于产品和服务的需求,并且寻找潜在供应商

3、招标:获取适当的信息、报价、标书、要约或建议书

4、供方选择:审核所有要约,选择供应商并与之谈判最终合同

5、合同管理:管理合同以及买卖关系;

6、合同收尾:合同履行和清算。

10.1. 项目采购和合同管理的定义

采购是从项目外购买或获取工作所需的原材料、产品、货物或服务的过程,也称为购买、外包,

项目通过采购达到降低成本、增加公司利润的作用。

影响采购的环境因素主要有企业外部环境(宏观环境)和企业内部环境(微观环境)

项目采购管理的基本要素

1、项目采购什么:明确采购的对象及质量要求,采购对象应满足三个条件:产品的通用性、产品的可获取性、产品的经济性

2、项目采购的时机:考虑采购的最佳时机,避免采购过早造成库存成本增加,防止采购延迟引起项目工期延误。

3、项目采购的方式:招标采购和非招标采购,同时考虑产品采购后的执行方式。

4、采购数量

5、项目采购成本的制约因素

项目采购并不是有一个好的价格就可以实现采购的利润目标,同时还要考虑付款方式、付款周期、采购数量等因素。

10.2. 采购计划编制

确定如何采购、采购什么、采购多少、采购时机,所采购产品和服务的质量及性能指标、当前价格、市场供求情况等。

输入

1、项目章程

2、项目范围说明书

3、项目管理计划

4、 WBS和WBS字典

5、环境和组织因素

6、组织过程资产

7、风险记录

工具

1、自制/外购分析

2、专家判断

3、合同类型:固定总价合同、成本补偿合同、工时和材料合同(单价合同)
1、固定总价合同:对一个明确定义的产品采用一个固定总价格,买卖双方都会面临风险,固定价格合同也包括对达到或超过既定项目目标的奖励。
2、成本补偿合同:包括支付给卖方实际成本,加上一些通常作为卖主利润的费用,成本分为直接成本和间接成本,间接成本一般按直接成本的一定百分比计算,成本补偿合同也包括对达到或超过既定项目目标的奖励
3、工时和材料合同(单价合同):综合固定价格和成本补偿合同两者优点的合同。

输出

1、采购管理计划

2、工作说明书(SOW)

3、自制/外购决定

4、项目管理计划(更新)

10.3. 编制合同

准备招标所需要的文件和确定合同签订的评定标准的过程

输入

1、采购管理计划

2、工作说明书(SOW)

3、项目管理计划

4、自制/外购决定

工具

1、标准表格

2、专家判断

输出

1、采购文档:
1、请求建议书(RFP):征求潜在供应商建议的文件
2、请求报价单(RFQ):依据价格选择供应商时用于征求潜在供应商报价的文件,一般在涉及简单产品的招标中使用RFQ,RFQ比RFP更容易准备,周期也相对较短,而且供应商可以不作出响应。

2、评估标准:用于对建议书进行评级和打分,可选择的标准包括:对需求的理解、总成本、技术能力、管理方式、技术方案、财务能力、生产能力和兴趣、所有权等

3、工作说明书(更新)

10.4. 招标

输入

1、采购文档

2、组织过程资产

工具

1、投标人会议

2、广告

输出

1、合格卖方清单

2、采购文件包

3、建议书

10.5. 供方选择

输入

1、建议书

2、评估标准

3、组织过程资产

4、风险数据库

5、风险相关的合同协议

6、合格卖方清单

7、采购文件包

工具

1、加权系统:是对定性数据的定量分析,以减少在渠道选择中人为偏见带来的影响,步骤:
1、对每一个评价标准设定一个权重
2、对潜在卖方针对每项评价标准打分
3、将各项权重和分数相乘
4、将所有乘积求和得到卖方的总分

2、独立估算

3、筛选系统:为一个或多个评价标准建立最低性能要求

4、合同谈判:澄清双方对合同的结构和要求的理解,以确保在双方合同签订前能达成一致意见。合同谈判过程以买卖双方签署文件为结束标志

输出

1、选择的供方

2、合同

3、合同管理计划

4、资源可用性

10.6. 合同管理

主要目的是确保采购合同的有效执行,采购产品及服务质量的控制

输入

1、合同

2、绩效报告

3、已批准的变更申请

4、工作绩效信息

5、选择的供方

工具

1、合同变更控制系统

2、买方主持的绩效评审

3、检查和审计

4、绩效报告

5、支付系统

6、索赔管理

7、记录管理系统

输出

1、组织过程资产(更新)

2、请求的变更

3、建议的纠正措施

4、合同文件

10.7. 合同收尾

合同收尾包括项目核实(所有的工作都正确地令人满意地完成)和管理收尾(更新记录反映最终结果并存档信息以备将来之用)

输入

1、合同文件

2、合同收尾过程

工具

1、过程审计:是从采购计划编制到合同管理的采购过程的一种结构性审核。采购审计的目标是找出采购过程中的成功和失败之处,以保证成功地对项目或其他项目的采购合同进行准备和管理。

2、记录管理系统

输出

1、组织过程资产(更新):包括合同文件、正式验收和收尾、经验教训

11. 需求管理

需求指的是由项目接受的或项目产生的产品和产品构件需求。需求管理的目的是确保各方对需求的一致理解,管理和控制需求的变更,从需求到最终产品的双向跟踪。

11.1. 需求管理概述

需求工程:把所有与需求直接相关的活动通称为需求工程。需求工程的活动可分为两大类,一类属于需求开发,另一类属于需求管理。

需求开发的上的是通过调查与分析,获取用户需求并定义产品需求。软件项目需求开发的结果应该有项目视图和范围文档、用例文档、软件需求规格说明及相关分析模型,需求开发的四个过程:

6、需求获取:

7、需求分析

8、需求定义

9、需求验证

需求管理过程主要包括6大部分:制定需求管理计划、求得对需求的理解、求得对需求的承诺、管理需求变更、维护对需求的双向跟踪、识别项目工作与需求之间的不一致性。

1、制定需求管理计划:确定需求管理软硬件资源、需求跟踪性矩阵、需求变更请求表等

2、求得对需求的理解:即确认需求

3、求得对需求的承诺:为实现需求所需的活动人员之间达到一致和建立承诺。

4、管理需求变更:

5、维护对需求的双向跟踪性:从来源到较低层次需求的跟踪性,和从较低层次的需求到它们的来源需求的跟踪性,有助于确定是否所有来源需求都完全得到处理,是否所有的低层次需求都可以跟踪到有效的来源。

6、识别项目工作与需求之间的不一致

11.2. 需求属性

除了文本之外,在需求文档中考虑明确如下的属性

1、创建需求的时间

2、需求的版本号

3、创建需求的作者

4、负责认可该需求的人员

5、需求状态:已建议、已实现、已验证、已删除

6、需求的原因或根据

7、需求涉及的子系统

8、需求涉及的产品版本号

9、使用的验证方法或接受的测试标准

10、产品的优先级或重要程度

11、需求的稳定性

制定需求管理计划的步骤

1、建立并维护需求管理的组织方针

2、确定需求管理使用的资源

3、分配责任

4、培训计划

5、确定需求管理的项目干系人,并确定其介入时机

6、制定判断项目工作与需求不一致的准则和纠正规程

7、制定需求跟踪矩阵

8、制定需求变更审批规程

9、制定审批规程

11.3. 需求规格说明的版本控制

11.4. 需求变更管理

11.5. 需求跟踪

包括编制每个需求同系统元素之间的联系文档。这些元素包括别的需求、体系结构、其他设计部件、源代码模块、测试、帮助文件、文档等。

跟踪能力是优秀需求说明书的一个特征。为了实现可跟踪能力,必须统一地标识出每一个需求,以使能明确地进行查阅。

客户需要可向前追溯到需求,确保需求规格说明书包括所有客户的需求。同样,可以从需求回溯到客户需求,确认每个软件需求的源头。从需求向产品的追溯,可知道每个需求对应的产品部件,从而确保每个需求都得到满足,从产品部件回溯到需求,可知道每个产品部件存在的原因。

表示需求和别的系统元素之间的联系链最常用的方式是需求跟踪能力矩阵。需求跟踪能力矩阵在需求、用例、设计元素、代码、测试用例之间建立关联,在做变更影响分析和维护时可以节省时间。

12. 组织级项目管理与大型项目管理

组织内的各项目共有的特性

1、各项目的最终目标都是支撑企业既定战略的实现,为企业创造利润

2、共享组织的资源,资源的调配会在项目之间产生影响

3、共享项目的最佳实践将会提高整个组织实施项目的能力

大项目是指一组有着共同目标的项目,其项目之间存在着由于共同目标所产生的依赖关系。

项目组合是项目或大项目和其他工作的一个集合,将其组合在一起的目的是为了进行有效的管理以满足战略上的业务目标。

大项目中的项目之间相互联系,有共同的目标

项目组合中的项目之间不一定相互联系,将其放在一起管理的目的是从整体上实现企业战略规划。

12.1. 组织级项目管理的意义

组织级项目管理是一种包括项目管理、大型项目管理、项目组合管理的系统的管理体系,它可以帮助企业实现战略目标。组织级项目管理的根本意义在于,通过组织级项目管理体系的建设提高组织实现战略目标的能力。

组织级项目管理是跨接在组织战略和项目之间的一座桥梁,它确保组织在项目选择、计划、实施、以及在处理项目间的冲突和问题时,以企业战略目标为导向,从而保证组织内部活动大方向上的一致性。一般来说,它的内容包括:

1、项目组合管理

2、建立组织级的项目管理能力

12.2. 项目组合管理的一般概念

项目组合管理是一个保证组织内所有项目都经过风险和收益分析、平衡的方法论。风险评估和提高资源利用率是项目组合管理的两个要素。

项目组合管理从风险和收益的角度出发,要求每一个项目都有存在的价值。如果一个项目风险过大或收益太小,它就不能在组织内通过立项。项目组合管理要求对组织内部的所有项目都进行风险评估和收益分析,并且随着项目的进展,持续的跟踪项目的风险和收益变化,以掌握这些项目的状态。

任何组织的资源都是有限的,所以项目驱动型的组织必须慎重选择项目的类型和数量。同时,由于资源安排与项目所处阶段有着紧密的关联,如何提高项目的资源利用率,降低项目风险正是项目组合管理所要研究的主题。

传统的项目管理采取的是自下而上的管理方式,即数据从项目管理的底层开始收集,传送至高层经过分析后对项目进行管理和控制。是一种偏向于战术性的项目管理方式,不能及时发现与组织战略目标的偏差,或超越组织执行和控制能力的项目,而项目组合管理采取的是自上而下的管理方式,即先确定组织的战略目标,优先选择符合组织战略目标的项目,在组织的资金和资源能力范围有效执行项目。

组织战略存在两种不同的倾向:目标导向和资源导向

目标导向关心的是组织的外部因素,即市场上可能存在哪些机会,目标导向所产生的市场机会主要体现在期望的收益因素中,

资源导向关心组织内部因素,即组织自身所建立的核心优势,资源导向所阐明的组织自身优势则体现在可能出现的风险因素之中。

理想的状况是目标导向和资源导向得出的结论相匹配的时候。

在IT领域中,目标导向的组织占了绝大多数

项目组合管理可以将组织战略进一步细化到选择哪些项目来实现组织的目标。其选择的主要依据在于平衡风险和收益。项目组合管理还担负着在项目执行中,持续不断地对项目组合进行评价,来最大限度地利用有限的资源。

项目组合管理的重要作用

1、在组织内引进统一的项目评估与选择机制,提高项目选择的客观性、科学性,减少主观性和盲目性

2、实现项目的财务和非财务收益,保持竞争优势。不仅仅关注财务收益,实现整个项目组合的最佳收益。

3、对组织中所有的项目进行平衡。有效平衡长期和短期、高风险和低风险以及其他的项目因素

4、在组织范围内对项目分配资源,保证高优先项目的资源分配。

项目组合管理的基本过程:项目选择和优先级排列。

12.3. 项目选择和优先级排列

组织的能力和资源有有限的,应该选择组织最具竞争力优势的项目,放弃不具备核心优势的项目。有所不为才能有所为。

项目选择不仅仅发生在立项之初,项目建设过程中,资源冲突的时候同样需要对项目进行选择。这个时候,未必是决定做或不做哪个项目,而是对现有项目进行优先级的排列,以决定资源分配的策略,其目的还是确保组织的资源得到最高效率的应用。

项目选择和优先级排列过程是对项目创造的期望价值和投入进行分析,以选择出对组织最有利项目的过程。

结构化的项目选择和优先排列方法包括:决策表技术、财务分析和DIPP分析。

1、决策表技术对项目的各个特征进行定性或定量分析,按照加权进行计算和比较。决策表的优点是操作简单,信息一目了然,缺点是各个特征值经过加权计算后获得的数值在总分上的贡献是否具备可比性。期望货币值。决策表技术大多用在不十分精确的场合。

2、财务分析:净现值法、内部收益率法和投资回收期法

3、 DIPP分析:

EMV:指项目的期望货币值,如果考虑支付风险,则期望货币值是各个支付值与支付概率的乘积之和。
ETC:完工尚需成本,指从当前时间点开始计算,估计到项目结束时仍然要花费的成本。过去花费的成本被沉没成本而不予考虑。
DIPP值实际是指从当前的时间点上对未来进行预测,项目未来产生的收益与花费的成本之比。越接近项目的结束,DIPP值越高
实际上,DIPP值是一个描述项目资源利用率的指标。如果项目的DIPP值小于1,则意味着该项目的实际成本要比预算成本高。应该对这样的项目进行调整或者终止。项目管理者可以从中选择DIPP值最高的项目。

决策表分析、财务分析适用于初始的项目选择,DIPP分析即适合于初始的项目选择,也适合项目进行当中的选择。

12.4. 提高组织的项目管理能力

组织需要建立一个自身可以不断优化的机制,来逐步寻求对组织最优的过程。

CMM包含了4个层面的内容:

1、第一层面的内容主要是来自于应用领域的最佳实践

2、第二层面的内容说明了最佳实践是如何进行传递的。组织过程资产,这一概念将过程上升到了作为组织未来创造利润的核心,它反映了以知识经济为代表的组织的核心竞争力,努力地把依附人的价值创造能力转移到不依赖于人的组织上。组织应该建议三部分的内容:组织过程资产,组织过程资产的使用和裁剪,组织过程的改进机制。

3、第三层的内容则关注了过程本身的一些特征。量化的过程控制大都是建立在组织过程资产所包含的内容

4、第四层面的内容是基于第三层面之上。过程改进。

Kerzner提出的项目成熟度模型分为五个梯级(PMMM)

1、通用术语:在组织内各层次使用共同的管理术语

2、通用过程:在一个项目上成功应用的管理过程,可重复用于其他项目,通过定义通用过程,使一个成功项目开发过程能够被重复使用于其他方案。

3、单一方法:将公司所有方法组合成一个单一的方法地,即项目管理

4、基准比较:将自己与其他组织及其管理因素进行比较,提取比较信息,用项目办公室来支持这些工作。

5、持续改进:从基准比较中获得的信息建立经验学习文档,组织经验交流,在项目办公室的指导下改进项目管理战略规划。

OPM3包括3个组成要素

1、知识:构成组织级项目管理的最佳实践

2、评估:提供一种评估方法和工具,用于衡量当前组织的项目管理成熟度并和模型进行比较

3、改进:根据评估的结果为组织制订改进的计划。

OPM3的基本框架

1、最佳实践(BP):经实践证明和得到广泛认同的比较成熟的做法

2、能力(CC):是最佳实践的前提,具备了某些能力组成就预示着对应的最佳实践可以实现

3、可见的结果(OO):结果和组织的种种能力之间有确定的关系,可见的结果意味着组织存在或者达到了某种特定的能力

4、关键绩效指标(KPI):能测定每个结果的一个或多个主要绩效指标。

组织通过对可见结果的关键绩效指标来判定是否达到了某种能力,同时具备了某些能力之后就预示着其对应的最佳实践可以实现。

OPM3知识体系的第二个重要概念是依赖条件,各种能力之间存在的相互依赖性,要达到最佳实践取决于一定能力的实现,能力往往依赖于其他一些能力,最佳实践之间也存在着依赖关系。最佳实践A依赖与最佳实践B,那么最佳实践A至少有一种能力依赖于最佳实践B中的一种能力。

OPM3第3个需要了解的是最佳实践的分类构成,最佳实践定位在一个三维的坐标当中,这3个维度是:

1、过程组:启动、计划、执行、控制、收尾

2、知识领域:项目管理、大型项目管理、项目组合管理

3、过程改进的阶段:标准化、可测量、可控制、持续性改进

12.5. 项目管理办公室

PMO的功能和作用分为两大类:日常性职能和战略性职能

日常性职能包括:

1、建立组织内项目管理的支撑环境:统一的项目实施流程,项目过程实施指南和文档模板,项目管理工具,项目管理信息系统等。

2、培养项目管理人员:项目管理知识将会提高项目的成功率

3、提供项目管理的指导和咨询:协助项目管理人员,促进组织内有效经验的传播和共享

4、组织内的多项目的管理和监控:统一收集和汇总各项目的信息和绩效。

战略性职能包括:

1、项目组合管理:将组织战略和项目关联,项目选择和优先级排定。项目选择的过程包括识别机会,评估组织的适配性,分析成本、收益和风险,以及规划和选择一个组合。组合管理关心的是适配、效用和平衡
适配:识别机会,评判已识别的机会是否适合组织
效用:包括项目的用途和价值,通常用成本、收益和风险来定义
平衡:项目组合的构建与选择。

2、提高组织项目管理能力:把项目管理能力变成一种可持久性体现的、而不依赖于个人行为的组织行为。借用成熟度模型的理论来构建组织级的项目管理能力。

12.6. 大型及复杂项目管理

大型及复杂项目,一般有如下特征:

1、项目周期较长,关键问题是如何在相对较长的周期内保持项目运作的完整性和一致性。

2、项目规模较大,目标构成复杂。需要把项目分解成下相互关联的小项目,形成项目群管理

3、项目团队构成复杂:关键是如何降低协作成本,提高整个项目效率

4、大型项目经理日常职责更集中于管理职责。大型项目经理面临更多的是间接管理

13. 战略管理

13.1. 企业战略的概念

企业战略是企业面对激烈变化、严峻挑战的环境,为求得长期生存和不断发展而进行的总体性谋划

企业战略是在符合和保证实现企业使命条件下,在充分利用环境中存在的各种机会和创新机会的基础上,确定企业同环境的关系,规定企业从事的事业范围、成长方向和竞争对策,合理地调整企业结构和分配企业的全部资源。从其制定要求看,企业战略是利用机会和威胁评价现在和未来的环境,用优势和劣势评价企业现状,进而选择和确定企业的总体、长远目标,制订和抉择实现目标的行动方案。

企业战略是一种以变革为实质的概念。

企业战略要解决的本质问题是

1、应该变革什么

2、应该向什么方向变革

3、应该变革到什么程度

4、怎样实现这些变革

企业战略的特点

1、全局性

2、长远性

3、抗争性:企业战略是关于企业在激烈的竞争中如何与竞争对手抗衡的行动方案,是迎接各种挑战的行动方案。

4、纲领性:企业战略确定企业的基本行动方针、重大措施和基本步骤,都是原则性的、概括性的规定。

企业战略的四种特性,决定了企业战略决策的特点

1、决策的对象是复杂的,很难把握住它的结构

2、面对的问题常常是突发性的,难以预料的

3、决策的性质直接涉及到企业的前途

4、评价困难,难以标准化

13.2. 战略管理过程

战略管理是指对一个组织的未来方向制定决策和实施这些决策,大体可分为:战略制定、战略执行和战略评估。

战略制定是指下列诸方面的决策

1、规定组织的使命

2、制定指导组织去建立目标、选择和实施战略的方针

3、建立实现组织使命的长期目标和短期目标。

4、决定用以实现组织目标的战略。

战略实施是指下列诸方面的决策

1、建立实现战略的组织结构

2、确保实现战略所必要的活动能有效地进行

3、监控战略在实现组织目标过程的有效性

13.3. 战略制定

战略制定就是在对企业内部、外部环境综合分析的基础上,提出今后的中、长期发展思路和方案,战略制定的五个步骤:战略分析、战略梳理、战略选择、战略评估、战略匹配。

战略分析

外部分析

外部分析:外部分析是对企业外部环境的分析,外部环境包括宏观的外部环境和微观外部环境(行业产业环境),外部分析包括对企业宏观环境和趋势的分析以及对企业所处行业及其竞争对手的分析。

宏观趋势分析:

宏观趋势分析:宏观环境包括政治状况、经济因素、法律制度、社会文化因素、自然环境和技术环境等,分析的重点是与行业相关的某一特定因素变化所带来的机会与威胁。

1、 PEST分析
P政治、E经济、S社会和文化、T技术。
E:政治法律环境包括政治制度与体制、政局、政府的态度等;法律环境包括政府制定的法律、法规。对企业影响的特点是直接性、难以预测性、不可逆转性。
E:经济环境主要由社会经济结构、经济发展水平、经济体制、宏观经济政策、社会购买力、消费者收入水平和支出模式、消费者储蓄和信贷等要素构成,经济不景气会影响企业产品或服务的需求,优越的经济条件会给企业提供扩展的机会,需要评价的经济指标包括利率、汇率、经济增长率和通货膨胀率、就业水平、物价水平等
S:社会文化环境:包括一个国家或地区的社会性质、人民的价值观、文化传统、风俗习惯等。
D:技术环境:包括社会科技水平、社会科技力量、国家科技体制、国家科技政策等。

2、 SCP分析
以特定产业内部的市场结构、市场行为和市场绩效及其内在联系为主要研究对象,揭示产业组织活动的内在规律性。
SCP理论认为市场结构、市场行为、市场绩效存在着因果关系,市场结构决定市场行为,而市场行为又决定市场绩效。
1、市场结构分析:市场结构是指对市场内竞争程度和价格形成等产生战略性影响的市场组织特征,衡量市场结构的指标有市场集中度、产品差异度、进入壁垒等。
    a、市场集中度:衡量一个行业的产量或市场份额向行业核心企业集中的程度
    b、产品差异度:代表了同类产品或服务的不完全替代性,差异化程度越高,其利润率水平也就越高
    c、进入壁垒:指市场进入退出的难度
2、市场行为分析:包括价格策略、产品策略和排挤竞争对手的策略
3、市场绩效分析:指经营效果、资源配置效果等。市场绩效分析是指对行业中主要企业在既定的市场结构下,其市场行为所导致或形成的这一行业的资源配置效率和利益分配的状态。

行业分析

外部分析中最关键的就是外部环境中的微观环境(即产业环境,行业环境)。

行业分析的内容主要是分析本行业中的企业竞争格局以及本行业和其他行业的关系。

1、集中度分析
行业集中度也叫行业集中率,是指规模最大的前几位企业的有关数值X(销售额、增加值、职工人数、资产额等)占整个行业的份额。是市场结构度量指标中最常用、最简单易行的一种。一般用行业中排名前四位的企业占全行业总产量或市场份额的比例来表示。前四名企业占份额小于30%即为竞争性行业,否则为寡占型。
一般而言,处于集中度迅速上升中的行业蕴含发展机会,此时加大市场投入、加快渠道建设往往能获取一定的成效;而处于集中度稳定中的行业机会不高,企业扩张的努力会受到领先厂商的集体抵制,此时细分化、差别化的发展策略才能见效。

2、价值链分析:价值链分析是将企业完整的经营活动划分成独立的经济活动,研究企业这些活动是什么并如何组合的一种分析工具。利润往往集中在价值链的某个环节上,企业应将价值向高利润区进行延伸以获取更高的盈利能力。战略控制点能对整个行业产生重大影响的关键环节。

3、结构分析(五力模型):主要用来分析本行业的企业竞争格局以及本行业与其他行业之间的关系。五种基本竞争力量包括:潜在的行业新进入者、替代品的竞争、买方讨价还价的能力、供应商讨价还价的能力和现有竞争者之间的竞争。

4、外部因素评价矩阵(EFE):帮助战略家归纳和评价政治、经济、社会、文化、人口、环境、技术等方面的信息,建立EFE的五个步骤:
1、列出在外部分析过程确认的外部因素,10~20个,先列举机会,然后列举威胁
2、赋予每个因素经权重,机会比威胁有更高的权重
3、按照企业现行战略对各关键因素的有效反应程度为各关键因素评分
4、用每个因素的权重乘以它的评分,即得到每个因素的加权分数
5、将所有因素的加权分数相加,以得到企业的总加权分数。

内部分析

1、竞争态势矩阵(CPM):用于确认主要竞争都相对于组织的战略地位,这些主要竞争对手的特定优势与弱点。CPM与EFE中的权重和总加权分数含义相同。不同点在于:CPM的关键因素更为笼统,CPM集中于内部问题、经营能力的评价,CPM的因素不分为机会和威胁,CPM注重与竞争对手的横向比较,并明确自己在竞争中的优势和劣势。

2、资源与能力分析:把各竞争要素按重要程度以及企业拥有程度进行综合分析,以揭示出企业真正的竞争实力。分析内容包括行业重要性分析、企业拥有程度分析、行业重要性企业拥有程度综合分析、各项资源与能力优劣势分析,对企业资源与能力分析可以采取关键要素分析法。关键因素分析主要分析各要素对行业竞争的重要性及本企业拥有程度,企业资源投入应从拥有程度高、本身重要性不高的哪些因素中转移出来,转而投到目前拥有程度低,但对行业竞争成功意义重大的那些因素中去。

3、内部因素评价矩阵(IFE):对企业内部因素的优势和弱势进行分析评价形成内部因素评价矩阵。IFE矩阵可以按五个步骤建立:
1、列出在内部分析过程确定的关键因素10~20个,包括优势、弱点,先优势再弱点。
2、给每个因素以权重
3、给各因素进行评分
4、用每个因素的权重乘经它的评分,即得到每个因素的总加权分数
5、将所有因素的加权平均数相加,得到每个因素的总加权分数。

内外环境结合分析

SWOT分析企业优势(S)、劣势(W)、威胁(O)、机会(T)。SWOT分析将企业内外部条件各方面内容进行综合和概括,进而分析组织的优劣势、面临的机会和威胁的一种方法。其中,优劣势分析着眼于企业自身的实力及其与竞争对手的比较,机会和威胁分析着眼于外部环境的变化对企业的可能影响。

战略提出

S-O战略:发挥优势,利用机会

W-O战略:利用机会,克服弱点

S-T战略:利用优势,回避威胁

W-T战略:减小弱点,回避威胁

14. 业务流程管理

14.1. 业务流程管理的概念

业务流程管理的步骤包括流程设计、流程执行、流程评估和流程改进,是一个PDCA闭环的管理过程。

业务流程设计

业务流程的目的主要包括管理稳定、规范运作、规避风险、增值服务和支持业务目标的实现

业务流程分为三大类:

1、 战略类:直接促进和服务于公司战略目标达成的流程

2、 营运类流程:是指导部门、各业务单元运作的流程

3、 支持性流程:提供支持和保障作用的流程

业务流程设计原则

1、有效、完整、清晰地定义和设计流程。流程要求相关的管理要素能够按照既定的程序化方式进行流动,一个好的流程应该至少让六个要素同步流动:工作任务的流动、责任的流动、目标和绩效指标的流动、时间的流动、相关资源的流动、信息的流动

2、流程的设计关注顾客和业务需求

3、支持公司的方针和政策

4、流程是连续的和有关联的

业务流程执行

业务流程执行关注的是执行的效率和效果。效率是指在达到目标或指标的过程中所耗费的资源,效果是指目标或指标的完成情况。

业务流程的评估

良好评估的基础是建立有效的评估标准、评估指标和评估方法

评估标准和评估指标来源于公司的业务目标和流程要求

评估方法主要关注:

1、业务流程的遵循性评估

2、业务流程的有效性评估,主要评估流程所分配职责的合理性、所分配职责的完成情况以及流程的流通效率。流通效率数学公式:流程动作总用时=工作任务执行时间+延迟时间+任务传递时间

3、业务流程的绩效评估:评估流程所涉及的各项目目标或指标的达成情况

4、评估的方式:内部评估(内部管理层和相关部门)和外部评估(专业评估公司)

业务流程的改进

业务流程改进必须强调增值、创新和突破

14.2. 业务流程分析设计方法

1、价值链分析法:是辨别某种“价值活动”是否能给本企业带来竞争力的方法。将企业活动分为主要活动与辅助活动两种,主要活动包括采购物流、生产制造、发货物流、市场营销、售后服务,辅助活动包括高层管理、人事劳务、技术开发、后勤供应等方面的活动

2、 ABC成本法:基于活动的成本计算法

3、流程建模和仿真

4、基于统一建模语言的业务流程分析建模方法:UML的序列图和活动图适用于描述业务流程

5、头脑风暴法和德尔菲法

6、标杆瞄准法:用在设立改革的目标和远景、确定流程重组的基准等方面,在许多行业都有一些成功的企业,这些企业的做法可以为行业中的其他企业所效仿,可将这些企业的具体指标作为其他企业的标杆。

14.3. 管理咨询

管理理论、管理咨询、管理实践是管理的三个层面。管理理论是对企业管理规律的高度抽象和概括,管理实践是企业家和经理人为了实现一些具体的经营目标而进行的一系列管理活动,管理咨询是介于管理理论和管理实践之间的管理技术,把最新和适用的管理理论转变成可操作、可执行的管理实践。管理咨询缩短了理论运用于实践的时间。

14.4. 业务流程重组

BPR是对业务流程彻底地重新构思,根本地重新设计,以达到一些诸如成本、质量、服务和速度等关键性能方面的显著提高。重组意味着对原有条条框框的抛弃,是对当前流程一种激进的破坏性创造,而非渐进性的改良。

BPR的首要问题是统一认识,使全体员工对实施BPR能取得共识。

一般来说,业务流程可分管理流程、操作流程和支持流程三类,操作流程直接与满足外部客户的需求相关;支持流程指为保证操作流程的顺利执行,在资金、人力、设备管理和信息系统支撑方面的各种活动;管理流程指企业整体目标的经营战略产生的流程,这些流程指导了企业整体运作方向,确定了企业的价值取向。

BPR流程覆盖了企业活动的各个方面和产品的全部生命周期。

BPR另外一个基本思想是在组织上建立跨功能的任务团队。

流程重组的框架和基本原则

框架作为一个系统的组织结构,提供了系统内各个概念部分及其相互关系的描述。

KBSI提出了从以下三个方面对BPR的特征进行描述

1、实施BPR指导原则:首位的原则是正确领导、目标驱动、流程驱动、以价值为中心、对顾客需求的响应、

2、 BPR实施过程(BPR活动与活动间关系的集合)
1、制订BPR远景、使命与目标
2、获取现有系统描述:改造什么、如何改造、改造的结果是什么
3、确认改进机会
4、规划未来流程,进行未来系统设计
5、制定过渡方案
6、实施未来系统
7、维护系统

3、各种方法和工具以及它们在支持BPR方面的作用
BPR的实施会引起企业多方面、多层次的变化,主要包括:企业文化与观念的变化、业务流程的变化、组织与管理的变化
多层次的BPR实施体系结构将BPR的实施分解为三个层次:观念重建层、流程重建层和组织重建层

业务流程重组实施步骤

1、 BPR项目的启动:确立发起人的地位、引进变革思想、采取有效的行动

2、拟订变革计划:组成领导小组、建立高级管理层变革的概念、对环境和组织进行调查、开发经营案例、关联努力方向和经营战略、筛选变革项目、开发行动的整体计划

3、建立项目团队

4、 分析目标流程:三个步骤:叙述性描述、技术系统分析、社会系统分析

5、重新设计目标流程:确定设计原则、重新设计组织

6、实施新设计

7、持续改进:建立流程优化团队、定义优化目标、绘制流程图、形成改进项目的计划

15. 知识管理

15.1. 知识管理概述

数据是从设计开发活动中收集来的原始材料,只有当被组织成一种有意义的组合模式时才能成为信息。信息只有当经由带有语境的思维模型解释和评价后才能称之为知识。

知识管理就是对一个项目组织所拥有的和所能接触到的知识资源,如何进行识别、获取、评价,从而充分有效地发挥作用的过程。

显性知识:是指那些能够用正式、系统的语言表达和沟通的知识,以产品外观、文件、数据库、说明书、公式和计算机程序等形式存在。易于表达,易于传播和共享。

隐性知识:是个人技能的基础,是通过试验、犯错、纠正的循环往复而从实践中形成的“个人的惯例”,它一般以个人、团队和组织的经验、印象、技术诀窍、组织文化、风俗等形式存在。难于表达,难于传播和共享。

创造性设计开发成果绝大部分是隐性知识作用的结果,显性知识增长迅速,易于传播,隐性知识增长缓慢,难于传播。应着重进行隐性知识的管理。

知识也可以分为四种

1、 What:关于事实方面的知识

2、 Why:指自然原理和规律方面的知识

3、 How:指完成某种过程或实现某种目标的技能和能力

4、 Who:知道是谁的知识

知识管理主要涉及四个方面

1、自上而下地监测、推动与知识有关的活动

2、创造和维护知识基础设施

3、更新组织和转化知识资产

4、使用知识以提高其价值

知识管理应有外部化、内部化、中介化和认知化四种功能

1、外部化是指从外部获取知识并按一定分类进行组织

2、内部化是指知识的转移,即从外部知识库中筛选、提取人们想得到的与特定用户有关的知识

3、中介化是指为知识寻找者找到知识的最佳来源

4、认知化是将由以上三种功能获得的知识加以应用的过程

信息系统项目中知识管理的措施

1、构建项目知识管理的制度平台:包括相关的政策、制度的制定、组织结构的设置变更、相关设备的添置

2、创造更多的员工间交流机会:项目知识管理的第一步就是要达到知识学习与共享,最好的方法就是创造更多的员工交流机会,员工交流是一种双向的知识学习共享行为,可以从三个方面着手加强员工的交流机会:公司物理环境的改造,组织结构的扁平化、设立网络虚拟社区。

3、建立显性知识索引:显性知识的载体可分为三种,显性知识文本、显性知识的持有人、显性知识所在的过程,对应的显示知识索引也分为三种,显性知识文本导向的显性知识索引、显性知识持有人导向的显性知识索引、显性知识所在过程导向的显性知识索引

4、设计开发组织高层的参与和支持

5、与绩效评估体系的结合

15.2. 显性知识管理

显性知识管理是一个战略过程,包括五个步骤:采集、过滤、组织、传播、应用。

1、采集:从内部和外部采集显性知识,通过技术共享、人事变动、联盟伙伴或风险投资等机制产生显性知识

2、过滤:选择对组织来说有价值的显性知识,选择能够经过应用取得实际效果的知识。

3、组织:数据库管理和数据仓库能够为组织显性知识提供形式上的结构

4、传播:确保显性知识适当的传播的两个重要因素是交流的便利和组织文化的开发

5、应用:设计开发竞争优势不是拥有知识,而是应用知识产生价值

15.3. 隐性知识管理

显性知识指的是内容明确、容易整理、储存和传播的知识;隐性知识指的是较经验化、主观化和个人化,且难以传播的知识,是某一特定环境下的行为方式,隐性知识是竞争优势的基本源泉。

隐性知识特征:

1、默会性:更多的靠实践获得。

2、 可共享性:在使用上知识不像土地、固定资产那样具有排他性,能为很多人同时使用,而且共享知识的人越多,知识的价值越大。

隐性知识的层次和转化

隐性知识可分为员工个体拥有的隐性知识、群体(团队、部门)拥有的隐性知识、组织级拥有的隐性知识

1、员工个体拥有的隐性知识:包括技巧、经验、诀窍、直觉、灵感、洞察力、心智模式等

2、群体(团队、部门)拥有的隐性知识:群体所掌握的技艺、操作过程以及群体成员的默契、协作能力等

3、组织级拥有的隐性知识:组织文化、价值体系、组织惯例、共同愿景等

4、从组织外部获取的隐性知识

隐性知识的转化包括在员工个体、群体、组织之间隐性知识到隐性知识或隐性知识到显性知识的流动与转化。

项目组织内部隐性知识的共享方法

1、 编码化:将知识转换成易于传递的“明确的和不模糊的信息”

2、 面对面交流

3、 人员轮换

4、 网络:电子公告板、电子聊天室

隐性知识管理步骤

1、忘却片面的假设和观念:如果对现有的一切都很满足,就不可能进一步学习

2、评价项目中隐性知识共享的必要性与可行性

3、制定项目中隐性知识共享计划

4、小范围的试验

5、隐性知识共享方法的推广

6、学习效果评估与反馈

7、项目中隐性知识共享经验的积累与推广

15.4. 信息系统项目中的知识产权管理

知识产权是指法律赋予智力成果完成人对其特定的创造性成果在一定期限内享有的专有权利,不是由智力活动直接创造所得,而是通过法律的形式把一部分由智力活动产生的智力成果保护起来。

知识产权分为两大类:

第一类是创造性成果,包括专利权、集成电路权、版权(著作权)、软件著作权

第二类是识别性标记权:包括商标权,商号权,

知识产权主要包括三个重要方面:专利权、商标权、著作权。

1、专利权:国家知识产权主管部门给予一项发明拥有者一个包含有效期限的许可证明,在法定期限内,不被别人获得、使用或非法出卖,按发明类型的不同,专利权分为四种类型:物质、机器、人造产品和过程方法,专利权为三种:发明专利权、实用新型权、外观设计权
1、发明专利权:是对特定技术问题的新的解决方案,包新产品发明、方法发明和改进发明
2、实用新型专利:对产品的形状、构造或者其结合所提出的适于应用的新的技术方案
3、外观设计专利:对产品的形状、图案、色彩或者其结合所做出的新设计

2、商标权:是一个与公司、产品或观念联系在一起的名称,由一些与企业有关联的文字、图形或者其组合表示的具有显著特征、便于识别的标记。包括使用权、禁用权、续展权、转让权和许可权等

3、版权:保护写出或创造出一个有形或无形的作品的个人的权利

根据知识产权无形的特殊属性,其主要特征是:专有性、地域性、时间性

1、专有性:指知识产权为其所有者享有,不经法律特殊规定或所有者同意,任何人不得获得、使用和出售

2、地域性:知识产权必须根据所在国家或特定地区的法律而取得,原则上只能在该国或地区的范围内才能产生法律效力

3、时间性:知识产权只能在法定的期限内才有效。

知识产权战略

知识产权战略是公司运用知识产权保护制度,为充分维护自己的合法,获得与保持竞争优势并遏制竞争对手,知识产权战略的特征包括:法律性、保密性、时间性和地域性、整体上的非独立性。

16. 项目整体绩效评估

16.1. 项目整体绩效评估概念

如何获得项目当前的状态,评估项目的各种要素的满足情况,从各种线索中发现项目隐藏的问题,提前做好防范措施,及时纠正,保证项目的顺利完成。是项目经理必须掌握的基本功。

绩效管理是指公司的雇员工作的成绩和效果,也就是人员的绩效,完整的人员绩效管理应当是一个循环流程,包括绩效目标制订、绩效辅导、绩效考核和绩效激励。

项目绩效是指项目进展过程中,项目计划的各种要素被满足的情况和项目中发生的各种变化。

项目整体绩效是指项目的时间、成本、质量和范围信息,有的项目也包含风险和采购信息,具体包括:

1、进度情况

2、哪些交付物完成了

3、哪些活动开始了,哪些完成了

4、质量标准的满足情况

5、成本使用情况

6、完工估算

7、已发生的风险,退役的风险,监控中的风险

8、采购情况

9、其他信息

项目绩效评估

运用数理统计、运筹学原理和特定指标体系,对照统一的标准,按照一定的程序,通过定量定性对比分析,对项目一定经营期间的经营效益和经营业绩做出客观、公正和准确的综合评判。是产权人考核项目建设、经营业绩的一种手段,本质上是一项监管制度,以提高项目投资效益、效果

项目绩效评估一般是指通过项目组之外的组织或个人对项目进行的评估,包括项目前评估和项目后评价,

1、项目前评估:主要是对项目的可行性的评估

2、项目后评价:是在项目结束后,对项目的水平、效果和影响,投资使用的合同相符性、目标相关性和经济合理性进行评估

项目绩效审计

绩效审计(三E审计)是经济审计、效率审计和效果审计的合称,是由独立的审计机构或人员,对被审单位或项目的经济活动的合理性、经济性、有效性进行监督、评价和鉴证,提出改进建议,促进其提高管理效益的一种独立性的监督活动。

绩效审计按审计时间为分事前绩效审计、事中绩效审计和事后绩效审计

1、事前绩效审计:包括计划、预算、建设项目的可行性研究、成本预测等内容。通过事前审计避免因预测不准或计划不周而造成经济损失和效益不高。

2、事中审计:是把项目实施情况与实施前的预测、预算、计划和标准等进行分析比较,从中找出差距和存在的问题,及时采取有效措施加以纠正,并根据实际情况的变化,调整和修改计划、预算,使之更加符合客观实际,是一种动态审计。

3、事后审计:是一种总结性审计,主要是对已完成的活动的经济效益、效果、效率进行分析与评价,找出问题的原因,发掘进一步提高的途径。

项目整体绩效评估

项目整体绩效评估主要侧重于项目的中期,也就是项目进行过程中对采集到各种项目信息进行整理和评估,把握项目状况,为下一步的纠正措施和变更方案提供各种支持。

16.2. 信息系统绩效评估原则

信息技术评估

1、完整性

2、安全性

3、可伸缩性

4、可用性

5、可管理性

6、互操作性

7、适应性

8、易开发

9、经济性

10、响应时间

11、数据的分布性

12、易使用性

应用效果评估

1、预期经济收益:降低成本,提高利润。

2、管理效益:优化了管理流程、实现了流程电子化、减少了工作中的冗余环节,搭建了符合长远发展要求的信息化平台。管理理念和管理模式迈上了新台阶。

16.3. 项目整体绩效评估方法

16.4. 项目财务绩效评估

静态分析法

1、投资收益率:年净收入与项目总投资额之比

2、投资回收期法,又称为投资返期或投资偿还年限,是投资收益率的倒数

3、追加投资回收期法,

4、最小费用法:当出现多个比较方案时,选取总费用最小的方案

动态分析法

1、净现值法

2、内部收益率法(IRR)

3、投资回收期法

17. 信息系统工程监理

信息系统工程监理是指依据《信息系统工程监理暂行规定》设立且具备相应资质的信息系统工程监理单位,受业主委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。

17.1. 项目监理范围

按照信息产业部的规定,下列五类信息系统工程应当实施监理

1、国家级、省部级、地市级的信息系统工程

2、使用国家政策性银行或者国有商业银行贷款,规定需要实施监理的信息系统工程

3、使用国家财政性资金的信息系统工程

4、涉及国家安全、生产安全的信息系统工程

5、国家法律、法规规定的应当实施监理的其他信息系统工程

17.2. 监理分类

根据监理内容和程度不同,信息化项目监理可分为三种:咨询式监理、里程碑式监理和全程式监理

1、咨询式监理:是最简单的一种,只对用户方就企业信息化过程中提出的问题进行解答,其性质类似于业务咨询或方案咨询。这种方式费用最少,监理方的责任最轻,适合于对信息化有较好的把握、技术力量较强的用户方采用。

2、里程碑式监理:是将信息系统的建设划分为若干个阶段,在每一个阶段结束都设置一个里程碑,在里程碑到来时通知监理方进行审查或测试。这种方式比咨询式监理的费用要多,监理方责任也大些。不过,关于里程碑的确定需要开发方参与。

3、全程式监理:不但要求对系统建设过程中的里程碑进行审查,还应该派相应人员全程跟踪、收集系统开发过程中的信息,不断评估开发的开发质量和效果。这种方式费用最高,监理方的责任也最大,适用于那些对信息系统的开发不太了解、技术力量偏弱的用户方采用。

17.3. 实施全过程监理的一般工作内容

全过程监理方法是将信息化项目看做由项目前期准备、项目设计与招投标、项目实施和项目试运行验收阶段四个阶段组成的一个全过程的工程项目来考虑,由监理根据项目的总需求、总目标确定每个阶段的工作重点,自始至终参与项目的全过程。

1、项目前期的准备阶段监理工作
主要目的:明确项目总需求、确定总目标和建设原则
协助业主开展需求调研、完成调研报告;根据调研报告,协助编制或评审项目建议书;组织潜在的承包商开展技术交流;协助业主委托有关单位编制项目可研报告;参与评审项目可研报告;确定总需求、总目标和建设原则。

2、项目设计与招投标阶段的监理工作
主要目的:推荐中标人,优化中标方案,寻求满足需求的方案
协助业主制定招标计划;协助编写或审查招标文件;商务标书、技术标书,对潜在的投标人进行考察并推荐投标人;讨论和审查评标杳无音信参与评标委的评标工伤审查或优化中标人的方案,协助业主洽谈和签订合同;从而确定基本满足需求的投标方案。

3、项目实施阶段的监理工作
主要目的:控制项目质量、进度和费用目标为项目验收打好基础,实现和满足用户需求。
本阶段是监理工作全面铺开的阶段,根据招投标文件、承包合同等文件编制项目监理计划,明确本项目控制的质量、进度和费用的目标,针对项目特点和承包商专业分工实施专业监理,一般可分为外购硬件和软件;承包商开发的软件;布线、网络系统集成和项目验收等。其中,开发软件和系统集成是监理控制的重点。

4、项目试运行、验收阶段监理的工作
主要目的:通过系统试运行,考察系统是否达到合同规定的各项要求,是否满足用户需求。
组织审查系统试运行方案和项目验收大纲;检查系统的试运行工作日志或纪录;审核各专业的初步验收报告;组织项目的考核和验收的评审会议工伤协助办理系统和文档的将会编写并提交项目监理总结报告。

17.4. 监理的依据

监理依据四个方面标准进行衡量

1、国家相关信息系统工程质量标准;

2、依据信息系统建设工程相关的法规;

3、依据甲乙双方签订的合同;

4、依据信息系统专业门类的相关标准;

17.5. 监理的基本方法和工作流程

信息系统监理的中心任务是科学地规划和控制工程项目的投资、进度、质量和变更四大目标监理的基本方法是目标规划、动态控制、组织协调和合同管理;监理工作贯穿规划、设计、实施和验收的全过程。信息工程监理正是通过投资控制、进度控制、质量控制、变更控制以及合同管理、信息管理和安全管理来对工程项目进行监督和管理,保证工程的顺利进行和工程质量。

监理工作流程:

1、组建信息系统工程监理机构。确定监理机构总监理工程师、监理工程师和其他监理人员

2、编制监理计划,并与业主单位协商确认;

3、编制工程阶段监理细则

4、实施监理

5、参与工程验收并签署监理意见

6、监理业务完成后,向业主单位提交最终监理档案资料。

17.6. 监理规划

监理规划是指总监理工程师接受项目监理的委托,根据业主对该项目监理的要求,在详细占有被监理项目有关资料的基础上,结合监理的具体条件,开展项目监理的工作所编制的指导性文件,编制监理规划的目的是将监理委托合同规定的责任和任务具体化并在这些基础上制定出实现监理任务的措施。

监理规划的主要内容包括:项目概况、监理范围和目标、主要监理措施、监理组织机构、项目监理工作制度。

17.7. 监理实施细则

监理实施细则是由总监理工程师组织各专业监理工程师编制与本专业及与职务相关的监理实施细则。

监理实施细则可以按以下方式进行编制

1、按信息工程的阶段编制:可将监理过程分为前期、中期、后期三个大的阶段,在中期有三个专业部分,即综合布线、网络系统集成、应用软件开发,这是整个监理过程的核心部分,同时,在这三个阶段中,实际也牵涉到四控、三管、一协调。

2、按专业分工进行编制:如有综合布线工程、网络工程等专业

3、按监理的控制及管理形式分:如质量控制、进度控制、投资控制、合同管理和信息管理,以此分别编制的监理细则中,仍有与按不同专业的分工是有交叉的。

监理实施细则的主要内容包括:质量管理实施细则、进度管理实施细则、成本管理实施细则等。

17.8. 监理组织机构

一个信息系统工程监理过程的开始,是以监理公司与业主在某一信息工程项目签订委托合同作为输入标志,即开始该项目的监理过程。监理组织机构的建立应遵循以下步骤:

1、根据监理委托合同中确定的监理任务,明确列出为此要进行的监理工作内容

2、根据应开展的监理工作内容,参考项目规模、工期及本公司人员的数量、技术水平进行适当的归并或组合。

3、绘制组织结构图,合理确定监理班子的组织层次和配备必要的工作机构。

4、为各监理工作岗位配备人员

5、制定监理人员岗位职责标准、监理工作流程和监理信息流程。

17.9. 项目监理的组织形式

1、按信息工程建设阶段划分的监理组织形式:适用于大、中型的信息工程建设项目,并且承担全过程的建设监理。包括设计方案、综合布线、网络系统集成和信息工程应用系统开发。

2、按监理职能划分的监理组织形式:适用于中、小型或仅有一个阶段的项目,如仅有综合布线,或仅有网络集成单个项目。

3、按项目组成子项划分的监理组织形式:适用于大、中型项目,适用于能划分为若干相对独立的子项进行监理,根据项目和监理公司的具体情况,合同管理和信息管理可由监理部统一管理,便于各子项集中精力在各子项的投资、质量、进度、变更的监理任务上,即两级监理模式:监理部主要负责整个项目监理工作的规划、组织和指导,并侧重于整个项目范围内各方面的协调工作,子项(包括现场)监理主要负责各子项(现场)的投资、质量、进度控制的具体实施。

4、矩阵式监理组织形式:适用于大型和特大型工程建设项目。将按项目组成子项和按监理职能设立监理组织综合起来,各子项应具有的监理职能,既有利于强化各子项监理工作的责任制,又有利于总监理工程师对整个项目实施规划、组织和领导,并有利于统一监理工作的要求和监理工作的规范化。

17.10. 监理组织的人员结构及基本职责

人员结构要求专业结构合理和技术职称结构合理,专业结构合理是指监理任务所需的各专业人员要配套,技术职称结构合理是指高级职称、中级职称和初级职称适应该项目监理的比例要求。

监理单位应包括总监理工程师、专业监理工程师和监理员,必要时可配备总监理工程师代表。总监理工程师不得将下列工作委托总监理工程师代表

1、主持编写项目监理规划

2、签发工程开工、复工报审表、监理通知、工程款支付证书、工程竣工监理报告;

3、调解建设单位与承包单位的合同争议、处理索赔、审批工程延期;

4、根据工程项目的进展情况进行监理人员的调配、调换不称职的监理人员。

17.11. 监理中的质量、投资、进度和变更控制

1、投资控制:主要是在建设前期进行可行性研究,协助业主正确地进行投资决策;在设计阶段对设计方案、设计标准、总概(预)算进行审查;在建设准备阶段协助确定标底和合同造价;在实施阶段审核设计变更,核实已完成的工程量,进行工程进度款签证和索赔控制;在工程竣工阶段审核工程结算。

2、进度控制:首先在要建设前期通过周密分析,研究确定合理的工期目标,并在实施前将工期要求纳入承包合同;在建设实施期通过审查、修改实施组织设计和进度计划,做好协调与监督,使单项工程及分阶段目标工期逐步实现,最终保证项目建设总工期的实现。

3、质量控制:贯穿在项目建设的全过程中,主要包括组织设计方案评比,进行设计方案磋商及图纸审核,控制设计变更;在施工前通过审查承建单位资质徒增在施工中通过多种控制手段检查监督标准、规范的贯彻;通过阶段验收和竣工验收把好质量关。

4、变更控制:监理单位的变更控制就是评估变更的风险、性能、架构、技术指标等方面做出的改变。

17.12. 监理中的合同管理、信息管理和安全管理

合同管理是进行投资控制、工期控制和质量控制的手段。也是实施三大目标控制的出发点和归宿。合同管理的主要内容

1、跟踪检查合同的执行情况,确保项目系统集成单位按时履约

2、对全责约定的工期的延误进行审核确认。

3、对合同变更、索赔等事宜进行审核确认

4、调解合同争议

5、违约管理

信息管理的主要内容

1、在项目实施过程中做好工程监理日记及工程大事记

2、做好双方合同、会议记录、电话记录等各类往来文件的存档;

3、管理好实施期各类技术文件;

4、做好项目周报、监理建议书和监理通知书等监理文件;

安全管理的主要内容

1、物理访问的安全管理

2、应用环境的安全管理

3、逻辑访问的安全管理

4、架构安全的信息管理系统

5、数据备份与灾难恢复

17.13. 监理中的组织协调

协调贯穿在整个信息系统工程的全过程,主要采用现场和会议方式进行协调,主要工作内容为

1、协助业主协调与设计单位之间的关系,使设计工作顺利进行

2、协助业主处理与有关政府主管部门的联系,了解有关设计参数和要求。

17.14. 主要监理法规

《信息系统工程监理暂行规定》

第五条、信息系统工程监理单位资质分为甲、乙、丙三级

第九条、监理的主要内容是对信息系统工程的质量、进度和投资进行监督,对项目合同和文档资料进行管理,协调有关单位间的工作关系。

第十条、从事信息系统工程监理活动,应当遵循守法、公平、公正、独立的原则。

第十四条、信息系统工程实行总监理工程师负责制。总监理工程师行使合同赋予监理单位的权限,全面负责受委托的监理工作。

第十六条、实施监理前,业主单位应将所委托的监理单位、监理机构、监理内容书面通知承建单位。承建单位应当提供必要的资料,为监理工作的开展提供方便。

18. 案例分析

试题对考生的要求

1、需要具有一定的信息系统项目管理实践经验,有较好的分析问题和解决问题的能力

2、对于有关项目管理方面,有广博而坚实的知识或见解

3、对应用的背景、事实和因果关系等有较强的理解能力和归纳能力

4、对于一些可以简单定量分析的问题已有类似经验并能进行估算,对于只能定性分析的问题能用简练的语言抓住要点加以表达

5、善于从一段书面叙述中提取出最必要的信息,有时还需要舍弃一些无用的叙述或似是而非的内容

解答试题的途径

1、标出试题中要回答的问题的要点,以此作为主要线索进行分析思考

2、对照问题要点仔细阅读正文

3、通过定性分析或者定量估算,构思答案要点

4、以最简练的语言写出答案

19. 论文

19.1. 论文写作注意事项

合格论文的条件

1. 以我为中心:我在项目中的作用,我在项目中做了哪些工作

2. 站在高级工程师的高度:从全局上介绍项目,注重过程、流程,不要太关注技术细节

3. 忠实于论点:绝对服从论点,就试题的问题进行展开,不节外生枝

4. 写好摘要:200-400字,少于120字不及格,摘要应反映正文的全貌

5. 首尾一致:言词表达前后一致,术语统一,检查错字、漏字,特别是关键词语,发生意义变化

论文解答步骤

1. 时间分配:选题3分钟,12分钟设计论文,15分钟写摘要,80分钟写正文,10分钟检查

2. 选试题:选择的题目要画圈,或者在答题试上写上论题

3. 设计论文:决定写哪些内容,划分章节,写草稿

4. 写摘要:简洁明快,摘要是正文的归纳

5. 正文撰写:控制好每个段落的篇幅,控制好时间,文字工整,文字适当比格字稍小便于修改。文章写完是头等大事。

6. 检查修正

19.2. 论文应试法则

概述你参与管理过的信息系统项目以及在项目中所遇到的XX管理问题

描述项目情况及所遇到的问题

请简要论述你对于XX及XX管理认识,XX管理的基本过程

理论知识,用自己的语言描述出来

详细论述在你参与管理过的大型信息系统项目中具体采用的XX管理过程、方法、工具及其实际效果。

结合项目论述

应试法则

1. 多总结,要全面,以不变应万变:项目概要情况和自己承担的角色不变

2. 平时多积累,临场自不急:

3. 论文组织条理清晰,开门见山:不要试图覆盖论题的所有方面,也不要高谈阔论,关键是要写出自己所做的工作

4. 图文并茂,能收奇效

5. 标新立异,要有主见

19.3. 论文写作常见问题及解决办法

1、字数不够:摘要300字左右,正文2500字左右,包括标点符号

2、字数偏多:

3、摘要归纳欠妥:摘要中不加帽子语句,把正文压缩后写出就行

4、文章深度不够:不要泛泛而谈,选择实际应用的两、三个技术展开讨论

5、没有特色,泛泛而谈:用自己的语言把书上的知识表达出来

6、口语化太重

7、文字表达能力太差:注意文字通顺,错别字

8、缺乏主题项目

9、论文项目年代久远:选择近三年内完成的项目,通过考试后每三年登记一次

10、太死板,给人以压抑感:避免大123到小123

11、结构不够清晰,段落太长:每个自然段落不要超过6到8行。

19.4. 论文评分标准

成绩等级

60分至75分优良、45分到59分及格、60分到75分优良

比例分配:以百分制打分后,除0.75

切合题意(30%):非常切合、较好切合、基本切合

应用深度与水平(20%):很高水平,较高水平,一般水平,较差水平

实践性(20%):有大量实践、良好实践,一般实践,初步实践

表达能力(15%):逻辑清晰、表达严谨

综合能力与分析能力(15%):很强、较强、一般

扣分的情况(每种情况5-10分)

1、摘要应控制在200至400字的范围内,凡是没有写论文摘要,摘要过于简略,或者摘要中没有实质性内容的论文

2、字迹比较潦草,其中有不少字难以辩认的论文

3、正文基本上只是按照条目方式逐条罗列叙述的论文

4、确实属于过分自我吹嘘和自我标榜、夸大其词的论文

5、 内容有明显错误和漏洞的,按同一类错误每一类扣一次分,每次5-10分

6、内容仅属于大学生或研究生实习性质的项目,并且其实际应用背景的水平相对较低的论文

不及格的情况

1、虚构情节,文章中有较严重的不真实或者不可信的内容出现的论文

2、未能详细讨论项目开发的实践经验,主要从书本知识和根据资料摘录进行讨论的论文

3、所讨论的内容与方法过于陈旧,或者项目的水准相对非常低效的论文

4、内容不切题意,或者内容相对很空洞,基本上是泛泛而谈的,没有较为深入体会的论文。

5、正文与摘要的篇幅过于小的论文

6、文理很不通顺,错别字很多,条理与思路不清晰字迹过于潦草等情况相对严重的论文。

加分

1、有独特的见解或有很深入的体会,相对非常突出的论文

2、内容翔实,体会中肯,思路清晰,非常切合实际的很优秀的论文。

3、项目难度很高,或者项目完成的质量优异,或者项目涉及重大课题,并且能正确按照试题要求论述的论文。

4、观点很高

20. 面向对象方法学

20.1. 对象与封装

对象是系统中用来描述客观事物的一个实体,它是构成系统的一个基本单位。

对象三要素:对象标志、属性和服务

对象标志,即对象名字,供系统内部唯一地识别对象

属性,也称状态、数据、成员变量、变量,用来描述对象的静态特征

服务,也称操作、行为、方法、成员函数、函数,用来描述对象的动态特征。

封装是对象的一个重要原则,它有两层含义:第一:对象是其全部属性和全部服务紧密结合而形成的一个不可分割的整体;第二,对象是一个不透明的黑盒子,表示对象状态的数据和实现操作的代码都被封装在黑盒子里面。

20.2. 类与类库

类是一组具有相同数据结构和相同操作的对象的集合,是对对象的抽象定义,类与对象是抽象描述与具体实例的关系,一个具体的对象被称为类的一个实例。

类属类描述了适用于一组类型的通用样板,由于所处理对象的数据类型尚未确定,因此不可用类属类直接创建对象实例,即一个类属类并不是一种真正的类类型,类属类的实例化是指用某一数据类型替代类属类的类型参数。类属类定义中给出的类型参数称为形式类属参数,类属类实例化时给出的类型参数为实际类属参数。如果类属类实例化的实际类属参数可以是任何类型,这种类属类称为无约束类属类,如果要求实际类属参数必须具有某些特殊的性质,称为约束类属类。

20.3. 继承与多态

继承是使用已存在的定义作为基础建立新定义的技术,被继承的类称为父类、泛化类、基类或超类,继承的类称为子类、派生类。

多态是解决功能和行为的再抽象问题,考虑的是类与类之间的层次关系,以及类自身内部特定成员函数之间的关系问题。多态性可分为四类:重载多态、强制多态,包含多态和参数多态,重载多态和强制多态称为特定(专用)多态,包含多态和参数多态称为通用多态。

1、包含多态:主要用虚函数来实现,类族中定义于不同类中的同名成员函数的多态行为。

2、参数多态:参数多态与类属相关联,同一对象、函数或过程能以一致的形式用于不同的类型

3、重载多态:同一算子(操作符、函数名)被用来表示不同的功能。通过语法对不同语义的对象使用相同的算子。

4、强制多态:通过语义操作把一个变元的类型加以变换,以符合一个函数的要求,如果不做这一强制性变换将出现类型错误。 (int)i

从实现的角度,多态分为编译时多态和运行时多态,联编是把一个标志符和一个存储地址联系在一起的过程,在编译时完成的联编称为静态联编、早期联编、前联编,在运行时完成的联编称为动态联编、晚期联编或后联编。

20.4. 消息通信

消息是指向对象发出的服务请求,一个消息包含下述信息:提供服务的对象标志、消息名、输入信息和回答信息。

消息通信是面向对象方法学中的一条重要原则,封装使对象成为互不干扰的独立单位,消息通信提供了唯一合法的动态联系途径,使它们的行为能够互相配合。

只有同时使用对象、类、继承与消息通信,才是真正面向对象的方法。

20.5. UML

UML(统一建模语言)是通用的可视化标准建模语言。由构造块、公共机制、构架三部分组成。

1、构造块:包括基本的UML建模元素(类、接口、用例等)、关系(关联关系、依赖关系、泛化关系、实现关系)和图(9种图形,分为静态模型和动态模型)

2、公共机制:包括规格说明、修饰、公共分类、扩展机制

3、 构架:系统的五个视图,逻辑视图、进程视图、实现视图、部署视图、用例视图

UML包括9种不同的图,分为表示系统静态结构的静态模型(类图、构件图、部署图),表示系统动态结构的动态模型(对象图、用例图、序列图、协作图、状态图、活动图)

掌握由什么组成、实现什么功能、用在什么地方

用例图

一个用例定义一组用例实例,它确定了一个和系统参与者进行交互,并可由系统执行的动作序列。用例模型描述外部执行者所理解的系统功能。表明了开发者和用户对需求规格达成的共识,用于需求分析阶段。

用例图的元素

1、参与者:代表与系统接口的任何事物或人,它是指代表某一特定功能的角色,是虚拟的概念

2、用例:用例实例是在系统中执行的一系列动作。是对系统行为的动态描述,可以促进设计人员、开发人员与用户的沟通,理解正确的需求,还可以划分系统与外部实体的界限,是系统设计的起点。

3、包含和扩展:两个用例之间的关系分为两种,一种是用于重用的包含关系,用include表示,一种是用于分离出不同的行为,用extend表示
包含关系:从两个或两个以上的原始用例(A)中提取出公共行为(B),a与b为包含关系,在包含关系中被包含用例对基用例来说是必须的,如果没有被包含用例则基用例就不完整。使用包含关系的目的是为了提高组件的重用性。
扩展关系:一个用例由多个用例组成,当其中部分用例并不是每次都发生的,可将在特定情况下发生的用例定义为扩展用例,扩展用例对基用例来说不是必须执行的动作序列。使用扩展关系的目的是为了提高用例的稳定性。

类图和对象图

类图和对象图揭示了系统的结构,类图描述类和类之间的静态关系,它不仅显示信息的结构还描述了系统的行为。对象图是类图的一个实例,常用于表示复杂的类图的一个实例。

类之间的关系

1、依赖关系:如果元素A的变化会引起元素B的变化,则称元素B信赖于元素A,使用带箭头的虚线表示依赖关系。依赖关系有一个类向另一个类发消息,一个类是另一个类的成员,一个类是另一个类的操作参数等。

2、泛化关系:描述一般事物与该事物特殊种类之间的关系,泛化关系是继承关系的反关系,使用空心箭头的实线表示,箭头指向父类。泛化关系有三个要求:一是子类应包含父类的所有内容,父类所具有的关联、属性和操作,子类都应具有;二是子类除了包含父类的信息外,还包括额外的信息;三可以使用父类实例的地方,也可以使用子类实例。

3、关联关系:表示两个类的实例之间存在的某种语义上的联系,如一个学校有多间教室,是学校和教室间存在关联关系,关联关系可分为两种
聚合关系:是关联关系的特例,表示一种松散的整体和部分的关系,如一个电脑包括显示器,用一个带空心菱的实线表示。
组合关系:如果部分对整体来说是必不可少的,则称为组合关系,如公司和部门,用带有实心菱形的实线表示。

4、实现关系:用来规定接口与实现接口的类或组件之间的关系,接口是操作的集合,用来规定类或组件的服务,用带空心箭头的虚线表示。

顺序图和协作图

顺序图和协作图统称为交互图,是表示各组对象如何进行协作的模型,通常用来表示和说明一个用例的行为,顺序图和协作图本质上没有不同,只是排版方式不相同,顺序图强调对象交互行为的时间顺序,协作图强调对象之间的协作。

1、顺序图:描述对象之间动态的交互关系,着重体现对象间消息传递的时间顺序。顺序图可以直观地表示出对象的生存期,在生存期内,对象可以对输入消息做出响应,并可以发送信息。顺序图存在两个轴,水平轴表示不同的对象,垂直轴表示时间,即对象、类的生命期。

2、协作图:描述相互合作的对象间的交互关系和链接关系,侧重体现交互对象间的链接关系。

状态图

描述对象状态和事件之间的关系,通常用来描述单个对象的行为,不适合于表述包括若干协作的对象行为,通常不需要对每一个类编制状态图,只有那些重要的交互行为的类,如在业务流程、控制对象、用户界面的设计方面使用状态图。如数码冲印店的订单状态图。

状态图的元素包括

1、状态:又称为中间状态,用圆角矩形表示;

2、初始状态:又称为初态,用一个黑色的实心圆表示,在一张状态图中只能有一个初始状态。

3、结束状态:又称为终态,在黑色的实心圆外面套上一个空间圆,在一张状态图中可能有多个结束状态。

4、状态转移:用箭头说明状态的转移情况,用文字说明引发这个状态变化的事件。

活动图

活动图用来表示系统中各种活动的次序,既可用来描述用例的工作流程,也可用来描述类中某个方法的操作行为,活动图依据对象状态的变化来捕获动作与动作的结果。活动图是由状态图变化而来的,也包括初始状态、终止状态、中间活动状态,活动图中一个活动结束后将立即进入下一个活动,状态图中状态的变迁需要事件的触发。

活动图可分为基本活动图和带泳道的活动图,基本活动图描述系统发生了什么,带泳道的活动图更进一步,可描述出各个活动由哪个类完成。

构件图

构件图是面向对象系统的物理方面进行建模的两种图之一,可以有效地显示一组构件,以及它们之间的逻辑关系。构件图中通常包括构件、接口、以及各种关系。构件是指源代码文件、二进制文件和可执行文件等。构件图可对源代码、可执行体、物理数据库进行建模。

部署图

部署图也称为实施图。是面向对象系统的物理方面建模的图之一,构件图是说明构件之间的逻辑关系,部署图则在此基础上更进一步,描述系统硬件的物理拓扑结构,以及在此结构上执行的软件。部署图可以显示计算结点的拓扑结构和通信路径、结点上运行的软件构件,常常用于帮助理解分布式系统,可以使系统的安装、部署更为简单。主要元素包括节点和连接、接口和构件。

UML九种图形总结:

九种图形总体上可分为静态模型图(类图、构件图、部署图)和动态模型(用例图、对象图、顺序图、协作图、状态图、活动图),其中顺序图和协作图统称为交互图,顺序图着重描述对象交互的时间顺序,协作图着重于描述对象之间的交互和关联;构件图和部署图是对系统进行物理建模的两种图形,构件图是对系统构件进行逻辑建模,部署图在构件图的基础上描述系统的物理拓扑结构,并描述各节点运行的构件及接口、交互关系等。

20.6. 面向对象分析

OMT(对象建模技术)

OMT方法的OOA模型包括对象模型、动态模型和功能模型

1、 对象模型:是对客观世界实体模拟的对象及对象彼此之间的关系的映射,描述了系统的静态结构。通常用类图表示

2、 动态模型:规定对象模型中的对象的合法变化序列。通常用状态图表示。

3、 功能模型:指明系统应该做什么。更直接地反映了用户对目标系统的需求。用数据流图表示。

功能模型指明应该做什么,动态模型明确了什么时候做,对象模型定义做事情的实体。

建立对象模型

对象模型通常由五个层次组成:类及对象层、结构层、主题层、属性层、服务层

1、确定类与对象:类与对象是在问题域中客观存在的,系统分析的重要任务之一就是找出这些类与对象。

2、确定结构与关联:即确定对象(或类)之间的关系,关系可分为一般-特殊结构、整体-部分结构、实例关联、消息关联

3、划分主题:为了降低复杂程度,需要把系统划分成几个不同的主题。应该按问题域而不是用功能分解方法来确定主题。

4、定义属性

5、定义服务

建立动态模型

1、编写典型交互行为的脚本,确保不遗漏交互行为

2、从脚本中提取事件,确定触发每个事件的动作对象及接受事件的目标对象

3、排列事件发生的次序,用状态图描绘每个对象可能的状态及状态间的转换关系。

4、比较各个对象的状态图,检查它们之间的一致性,确保事件之间的匹配。

建立功能模型

使用数据流图建立系统功能模型

UML统一建模语言

整个分析阶段通常包括两个任务:建立一个反映问题域静态关系的概念模型,使用类图表示。建立一个反应系统行为的动态模型,用用例图来表示。

建立域模型

问题域是指一个包含现实世界事物与概念的领域,这些事物和概念与所设计的系统要解决的问题有关,建立域模型又称为问题域建模或域建模,就是找到代表事物与概念的“对象”

10、寻找类:名词动词法,阅读需求文档,找出名词和名词短语,从中提取对象与属性

11、确定类之间的关联:依赖关系、泛化关系、实现关系、关联关系

12、为类添加职责:添加属性和方法

13、把握好域模型的详细度:

建立用例模型

1、用例的定义:用例实例是在系统中执行的一系列动作,这些动作将生成特定参与者可见的价值结果,一个用例定义一组用例实例。

2、用例模型如何产生:采用现有的需求捕获技术从客户、原有系统、文档中找到需求,然后进行整理、提炼,从而建立用例模型

3、识别参与者:参与者是同系统交互的所有事物,不仅可以由人承担,还可以是其他系统、硬件设备等。参与者一定在系统之外,不是系统的一部分。

4、合并需求获得用例:将参与者找到之后,仔细检查参与者,为每一个参与者确定用例。

5、绘制成用例图:将识别到的参与者及生成的用例通过用例图的形式整理出来,获得用例模型的框架

6、细化用例描述:用例描述包括:用例名称、简要说明、事件流、非功能要求、前置条件、后置条件、扩展点、优先级

20.7. 面向对象设计

21. 信息系统安全和安全体系

21.1. 信息系统安全三维空间

1、 OSI(开放式系统互连):物理层、数据链路层、网络层、传输层、会话层、表示层、应用层

2、安全服务:提供给信息系统中各个层次需要的安全服务支持。对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务、犯罪证据提供服务。

3、安全机制:提供某些安全服务,利用各种安全技术和技巧所形成的一个较为完善的结构体系。基础设施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全、授权和审计安全、安全防范体系

21.2. 安全机制

1、第一层:基础设施实体安全:机房安全、场地安全、设施安全、动力系统安全、灾难预防与恢复

2、第二层:平台安全:操作系统漏洞检测与修复、网络基础设施漏洞检测与修复、通用基础应用程序漏洞检测与修复、网络安全产品部署

3、第三层:数据安全:介质与载体安全保护、数据访问控制、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全

4、第四层:通信安全:通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制

5、第五层:应用安全:业务软件的程序安全性测试、业务交往的防抵赖测试、业务资源的访问控制验证、业务实体的身份鉴别、业务现场的备份与恢复机制、业务系统的可靠性、业务系统的可用性

6、第六层:运行安全:应急处置机制和配套服务、定期检查和评估、系统升级和补丁提供、系统改造管理

7、第七层:管理安全:人员管理、培训管理、设备管理、文档管理、操作管理

8、第八层:授权和审计安全:授权安全提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制。审计安全是指监控网络内部的用户活动、侦察系统中存在的潜在威胁、对日常运行状况的统计和分析、对突发案件和异常事件的事后分析、辅助侦破和取证。安全审计是一个安全的网络必须支持的功能特性。

9、第九层:安全防范体系:企业安全防范体系建立的核心是实现企业信息安全资源的综合管理(EISRM),使其包含预警、保护、检测、反应、恢复和反击(WPDRRC)六项能力

21.3. 安全服务

1、对等实体认证服务:用于两个开放系统同等层中的实体建立链接或数据传输时,对对方实体的合法性、真实性进行确认,以防假冒。

2、数据保密服务:可提供链接方式和无链接方式两种数据保密,同时也可对用户可选字段的数据进行保护,如密码加密保护。

3、数据完整性服务:防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失,分为带恢复功能的链接方式数据完整性、不带恢复功能的链接方式数据完整性、选择字段链接方式数据完整性、选择字段无链接方式数据完整性、无链接方式数据完整性

4、数据源点认证服务:用于确保数据发自真正的源点,防止假冒

5、禁止否认服务:用以防止发送方在发送数据后否认自己发送过此数据,接收方在收到数据后否认自己收到此数据或伪造接收数据,由不得否认发送和不得否认接收两种服务组成。

6、犯罪证据提供服务:

21.4. 安全技术

1、加密技术:是确保数据安全性的基本方法。在OSI安全体系结构中应根据加密所处的层次及加密对象的不同,而采用不同的密码技术。

2、数字签名技术:是确保数据真实性的基本方法。利用数字签名技术还可以进行报文认证和用户身份认证。数字签名具有解决收发双方纠纷的能力。这是其它安全技术所没有。

3、访问控制技术:访问控制按照事先确定的规则决定主体对客体的访问是否合法。当一主体试图非法使用一个未经授权的资源时,访问控制将拒绝这一企图,并将这一事件报告给审计跟踪系统,审计跟踪系统将给出报警并记录日志档案。

4、数据完整性技术:数据在信道中传输时受信道干扰影响产生错误、或是被非法侵入篡改,或是被病毒感染,数据完整性技术通过纠错编码和差错控制来应对信道干扰,通过报文认证来应对非法入侵者的主动攻击,通过病毒实时检测来应对计算机病毒。数据完整性技术包括数据单元的完整性、数据单元序列的完整性。

5、认证技术:主要有站点认证、报文认证、用户认证和进程认证。多数认证过程采用密码技术和数字签名技术。

21.5. 信息系统安全架构体系

1、 MIS+S,初级信息安全保障系统(基本信息安全保障系统),特点是应用基本不变、硬件和系统软件通用、安全设备基本不带密码

2、 S-MIS,标准信息安全保障系统,特点是应用系统根本改变、硬件和系统软件软件通用、PKI/CA安全保障系统必须带密码

3、 S²-MIS,超安全的信息安全保障系统,特点是应用系统根本改变、硬件和系统软件专用、PKI/CA安全保障系统必须带密码,主要的硬件和系统软件需要PKI/CA认证。

信息安全保障系统是一个在网络上,集成各种硬件、软件和密码设备,以保障其他应用信息系统正常运行的信息应用系统,以及与之相关的岗位、人员、策略、制度和规程的总和。

22. 信息系统安全风险评估

22.1. 信息安全与安全风险

为一个新系统设计信息安全保障系统的过程

1、拟定新系统的功能、目标

2、风险识别,对现有系统、业务流程分析

3、风险评估,对识别的风险预估出可能造成的后果

4、控制风险,按照风险大小和主次、设计相应的对策

5、对设计的对策进行投入产出评估

6、设计实施方案

7、实施

22.2. 风险识别

安全风险识别就是把安全威胁找出来。

有形资产指银行的账户、存折、信用卡、商家的商品证券、债券、股票,产品,产品生产的工艺、工艺参数,无形资产指诚信、可靠的信誉,以及产品的商标、商家的专利、知识产权等。从计算机信息应用信息系统安全威胁的分析来看,无形资产是在有形资产破坏之后才引发的结果。因此,信息安全保障系统首先要考虑有形资产的保护。

由于风险具有不确定性,因此完全消除风险是不切实际的。

22.3. 安全威胁的分类

按性质分为静态风险和动态风险。静态风险是自然力的不规则作用和人们的错误判断和错误行为导致的风险,动态风险是由于人们欲望的变化、生产方式和生产技术的变化以及企业组织的变化导致的风险。

按风险引起的结果分为纯粹风险和投机风险。纯粹风险是当风险发生时,仅会造成损害的风险,投机风险是当风险发生时,可能产生利润也可能造成损失的风险。

按风险源可分为自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险。

1、自然事件风险:地震、雷击、洪灾

2、人为事件风险:分为意外人为事件风险和有意的人为事件风险
意外人为事件风险:不正确的操作、配置、设计或人员的疏忽大意
有意人为事件风险:内部窃密和破坏、恶意的黑客行为、工(商)业间谍、恶意代码

3、软件系统风险:兼容风险、维护风险、使用风险(指软件被用户接受的程度而产生的风险)

4、软件过程风险:需求阶段的风险、设计阶段的风险、实施阶段风险、维护阶段的风险

5、项目管理风险:缺少开发标准、缺少正规开发程序、

6、应用风险:安全性、未授权访问和改变数据

22.4. 安全威胁的对象及资产评估鉴定

安全威胁的对象就是一个单位的有形资产和无形资产,而且主要是有形资产。一个信息系统中的资产不仅仅是软件和硬件,还包括其他内容,一个信息系统中的资产包括:信息或数据、硬件、软件、文档资料、各种服务、环境、工作人员、单位的形象、产品的商标、专利、知识产权等

资产评估鉴定:确定各类资产的不同价值和重要级别以区别对待。一般可以分为可忽略的、较低的、中等的、较高的、非常高的

22.5. 信息系统安全薄弱环节鉴定评估

威胁、脆弱性、影响之间存在着一定的对应关系,威胁可看成从系统外部对系统产生的作用而导致系统功能及目标受阻的所有现象。脆弱性是系统内部的薄弱点,脆弱性是客观存在的,并且本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。如果系统不存在脆弱性,那么威胁就不存在,风险也就没有了。影响是威胁与脆弱性的特殊组合,受时间、地域、行业、性质的影响,系统面临的威胁不一样,风险发生的频率、概率不尽相同,因此影响程度也很难确定。

计算风险值的数学模型:风险 = 威胁 * 脆弱性 * 影响

22.6. 风险识别与风险评估的方法

风险识别常用的方法:头脑风暴法、面谈法、德尔菲法、流程图法、类比法历史资料。

安全风险的量化是按公式:风险值=威胁 * 脆弱性 * 影响计算出来的,因此在定量的计算风险时需要将威胁、脆弱性、影响进行量化,最简单的量化方法是将这三个要素分成高(3分)、中(2分)、低(1分)或零(0)等几个等级,事件发生的概率在0~1之间,产生的风险分值在0~6之间。

23. 安全策略

23.1. 建立安全策略

安全策略是指人们为保护因为使用计算机信息应用系统可能招致的对单位资产造成损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。

安全策略必须由单位的最高行政执行长官和部门或组织授权完成安全策略的制定。

安全策略的核心内容是七定:定方案、定岗、定位、定员、定目标、定制度、定工作流程。

23.2. 需要处理好的关系

1、安全与应用的依存关系:应用需要安全,安全为了应用。没有应用,就不会产生相应的安全需求;不妥善地解决安全问题,就不能更好地开展应用。安全是有代价的,会增加系统建设和运行的费用,会增加系统的开销,会规定对使用的限制,给应用带一些不便。

2、风险度的观点:安全是相对的,是一个风险大小的问题,它是一个动态的过程,没有所谓的绝对安全,而是要将安全风险控制在合理程度或允许的范围内,这就是风险度的观点。

3、适度安全观点:应评估控制风险所需的安全代价,在此基础上对风险和代价进行均衡,确定相应的安全策略。安全代价低,安全肯定大,安全代价大,安全风险相应地降低,代价不仅指资金投入,包括系统性能下降、效率低下等引出的代价。

4、桶效应的观点:

5、全等级保护的概念:国家强制性安全标准《计算机信息安全保护等级划分准则》将计算机信息系统分为五个安全保护等级
第一级:用户自主保护级,适用于普通内联网用户
第二级:系统审计保护级,适用于通过内联网或国际网进行商务活动、要保密的非重要单位;
第三级:为安全标记保护级,适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位
第四级:为结构化保护级,适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门
第五级:为访问验证保护级,适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

23.3. 设计原则

信息系统安全管理的总原则

1、主要领导人负责原则

2、规范定级原则

3、依法行政原则

4、以人为本原则

5、注重效费比原则

6、全面防范、突出重点原则

7、系统、动态原则

8、特殊的安全管理原则
1、分权制衡
2、最小特权原则
3、准化原则
4、用成熟的先进技术原则
5、失效保护原则
6、普遍参与原则
7、职责分离原则
8、审计独立原则
9、控制社会影响原则
10、保护资源和效率原则,这是安全管理的最终目的

23.4. 系统安全方案

系统安全方案有关的系统组成的因素包括:

1、主要硬件设备的选型

2、操作系统和数据库的选型

3、网络拓扑结构的选型

4、数据存储方案和存储设备的选型

5、安全设备的选型

6、应用软件开发平台的选型

7、应用软件的系统结构的确定

8、供货商和集成商的选择

确定系统安全方案主要包括以下内容

1、首先确定采用MIS+S、S-MIS或S²-MIS系统架构

2、确定业务和数据存储的方案

3、网络拓扑结构

4、基础安全设施和主要安全设备的选型

5、信息应用系统的安全级别的确定

6、系统资金和人员投入的档次

23.5. 系统安全策略内容

安全策略的核心内容是七定:定方案、定岗、定位、定员、定目标、定制度、定工作流程,具体的安全策略包括:机房设备安全管理策略、主机和操作系统管理策略、网络和数据库管理策略、应用和输入输出管理策略、应用开发管理策略、应急事故管理策略、密码和安全设备管理策略、信息审计管理策略等。

24. 信息安全技术基础

24.1. 密码技术

未加密的消息是明文,用M表示,加密的消息是密文,用C表示。

C=E(M)表示加密,M=D(C)表示解密

密钥:C=E{k}(M),M=D{k}(C)

24.2. 对称与不对称加密

若等式M=D{k1}(E{k1}(M)成立,加密和解密函数都使用同一个密钥“k1”,则这个算法是对称的。

常见的对称密钥算法有SDBI(国家密码办公室批准的国内算法,仅硬件中存在)、IDEA、RC4、DES、3DES。

DES采用分组乘积密码,该算法输入64比特明文,经64比特密钥的运算,最后得到64比特密文,64比特密钥中包含了8比特奇偶校验位,实际密钥长度为56比特

3DES是三重DES,3DES密钥长度是128比特(实际为112比特)

IDEA国际数据加密算法,在PGP中采用,该算法中明文和密文分组长度是64比特,密钥长度为128比特。

对称密钥算法优点:加/解密速度快、密钥管理简单、适宜一对一的信息加密传输

缺点:加密算法简单,密钥长度有限(56比特/128比特),加密强度不高、密钥分发困难,不适宜一对多的加密信息传输。

非对称密钥算法,又称为公钥算法,即使用两个不同但是相关的密钥来执行加密和解密。用于加密的密钥称为公钥,用于解密的密钥称为私钥。

设k-priv为私钥,设k-pub为公钥,D{k-priv}(M)为解密函数,E{k-pub}(M)为加加密函数。

则 M=D{k-priv}(E{k-pub}(M))

可以将公钥公之于众,使用公钥加密的消息,只有私钥的持有者才能对它解密

常见的非对称密钥算法:RSA(基于大数分解)、DSA、数字签名算法、ECC(椭圆曲线)等

RSA是迄今为止在理论上和实践检验结果最为成熟完善的公钥密码体制,ECC是为了进一步提高RSA算法的安全性而提出,对比RSA,ECC有以下优点,安全性高,密钥量小,算法灵活性好

非对称密钥算法优点:加密算法复杂,密钥长度任意,加密强度高,适宜一对多的信息加密交换

缺点:加/解密速度慢,密钥管理复杂,明文攻击很脆弱,不适用于数据的加密传输。

24.3. 哈希算法

HASH算法输入一个长度不固定的字符串返回一串长度固定的字符串,称为HASH值,单向HASH算法用于产生信息摘要。MD2、MD4和MD5(MD表示信息摘要)是被广泛使用的HASH函数,

HASH算法主要解决两个问题:在某一特定的时间内,无法查找经HASH操作后生成特定HASH值的原报文,也无法查找两个经HASH操作后生成相同HASH值的不同报文。这样在数字签名中就可以解决验证签名和用户身份验证、不可抵赖性的问题。

24.4. 消息摘要算法与数字指纹

消息摘要算法即HASH算法,信息摘要(MD)简要地描述了一分较长的信息或文件,它可以被看做一分长文件的数字指纹。信息摘要用于创建数字签名。

24.5. 数字签名与数字签名验证

数字签名:对某个数据块的签名,就是先计算数据块的散列值,然后使用私钥加密数据块的散列值,即得到数据签名。

数字签名验证:计算数据块的散列值,使用公钥解密数据签名得到另一个散列值,比较两个散列值,如果相同则表示真实,如果不同则表示假冒。

24.6. 数字时间戳技术

数字时间戳服务(DTS)是网上电子商务安全服务项目之一,由专门的单位机构提供电子日期和时间信息的安全保护。

如果在签名时加上一个时间标记,即是有数字时间戳的数字签名。

时间戳是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要、DTS收到文件的日期和时间、DTS的数字签名。

时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成信息摘要,然后将该摘要发送到DTS,DTS在加了收到文件摘要的日期和时间信息后再对该文件加密(数字签名)然后送回用户。书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。

24.7. 利用不对称密钥传送对称密钥

24.8. 国家密码和安全产品管理

我国实行密码分级管理制度,密码等级及适用范围如下

商用密码国内企业、事业单位

普用密码政府、党政部门

绝密密码中央和机要部门

军用密码军队

24.9. 虚拟专用网和虚拟本地网

VPN和VLAN

VPN虚拟专用网/虚拟个人网,VLAN虚拟本地网,在共享的基础公共网络上(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,向用户提供等同于专有网络的通信结果。VPN能够抗拒非法入侵、防范网络阻塞、安全及时地交付用户的重要数据。

目前有两种VPN:IPSec VPN和MPLS VPN

IPSec在IP协议层定义了用于网络加密的协议,它不需要基于PK的技术,它可用共享密钥在网络端点进行加密。IPSec VPN是基于设备的,而不是基于网络的,它比BGP/MPLS VPN在实施上提供了更大的灵活性,IPSec VPN可以在主机或站点之间通过安全网关实现。IPSec使用两个协议来保障IP上的安全传输,AH(认证头)协议为IP数据报提供无连接的数据完整性和数据源身份认证,同时具有防重放攻击的能力,ESP(封装安全载荷)协议为IP数据提供加密机制,为数据流提供有限的机密性保护。IPSec传输加密数据的两种模式:传输模式和隧道模式。

IPSec有以下优点:

1、 IPSec服务在IP层提供,能被更高层次的协议所利用(如TCP、UDP、ICMP、BGP)

2、对于应用程序和终端用户来说是透明的,应用和终端用户不需要更改程序和进行安全方面的专门培训

3、对现有网络的改动最小。

MPLS VPN

24.10. 无线安全网络WLAN

25. PKI公开密钥基础设施

25.1. 安全五要素

安全五要素是指认证、权限、完整、加密、不可否认,就是在信息传递过程中,接收数据的人是否是应该得到它的人?接收数据的人是否拥有相应的等级来看这些信息?数据在传输和保存过程中,是否被他人暗中修改?数据的加密措施是否可靠?某人看到数据之后,如何证明是他这样做了?

PKI可作为支持认证、完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵赖等安全问题

25.2. PKI基础概念

公钥基础设施PKI是以公开密钥技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。

一个公共密钥基础架构是软件、加密技术和服务的组合。

一个网络的PKI包括以下几个基本组件。

1、数字证书:一个电子的证书,包含一个公共密钥和一个私有密钥,用于验证用户。证书提供了PKI的基础

2、密钥和证书管理工具。管理和审计数字证书的工具。使用证书管理单元来管理在一个CA上的证书。

3、认证机构:一个值得信任的机构或服务,它颁发数字证书并提供数字证书认证服务。

4、证书出版点:目录服务或储存和出版证书的位置。

公钥基础设施采用双证书体系,非对称算法支持RSA和ECC算法,对称密码算法支持国密办的算法。

公钥基础设施包含信任服务体系和密钥管理中心

1、信任服务体系:是为整个电子政务系统,提供基于PKI数字证书认证机制的实体身份鉴别服务,它包括了认证机构、注册机构、证书库、证书撤消和交叉认证等。

2、密钥管理中心提供密钥管理服务,向授权管理部门提供应急情况下的特殊密钥恢复功能。包括密钥管理机构、密钥备份和恢复、密钥更新和密钥历史档案等。

数字证书是把一个密钥对绑定到一个身份上的被签署的数据结构,整个证书有可信赖的第三方签名(即CA)。

X.509证书格式(内容)

1、版本号:区分X.509的不同版本号

2、序列号:由CA给每一个证书分配惟一的数字型编号

3、签名算法标识符:指定CA签发证书时所使用的公开密钥算法和HASH算法,需向国际指一标准组织注册。

4、认证机构:发出证书的机构惟一的CA的X.500名字

5、有效期限:证书有效的开始时间和结束时间

6、主题信息:证书持有人的姓名、服务处所等信息

7、认证机构的数字签名:以确保这个证书在发放之后没有被改过。

8、公钥信息:包括被证明有效的公钥值和加上使用这个公钥的方法名称。

主体(用户)公钥可两种产生方式

1、用户自己生成密钥对,然后将公钥以安全的方式传送给CA。

2、 CA替用户生成密钥对,然后将其以安全的方式传送给用户。

用户A可通过两种方式获取用户B的数字证书和公钥,一种是由B将数字证书随同发送的正文信息一起传送给A,另一种是所有的数字证书集中存放于一个数字证书库中,用户A可从该地点取得B的数字证书。

公钥必须按规定的用途来使用,公钥有两大类用途

1、用于验证数字签名。消息接收者使用发送者的公钥对消息的数字签名进行验证

2、用于加密信息。消息发送者使用接收者的公钥加密用于加密消息的密钥,进行数据加密密钥的传递。

签名密钥对和加密密钥对

签名密钥对由签名私钥和验证公钥组成,签名私钥具有日常生活中公章、私章的效力,为保证其惟一性,签名私钥不能作备份和存档,丢失后只需重新生成新的密钥对,原来的签名可以使用旧公钥的备份来验证。验证公钥需要存档,用于验证旧的数字签名,签名密钥对一般有较长的生命期。

加密密钥对:由加密公钥和脱密私钥组成。为防止密钥丢失时丢失数据,脱密私钥应该进行备份,以便能在任何时候脱密历史密文数据,加密公钥无须备份,加密公钥丢失时,只需重新产生密钥对。加密密钥对的生命周期较短。

数字证书注册审批机构RA系统是CA的数字证书发放、管理的延伸。负责数字证书申请者的信息录入、审核以及数字证书发放等工作。

25.3. 数字证书的生命周期

数字证书的生命周期包括证书的安全需求确定、证书申请、证书登记、分发、审计、撤回和更新。

1、安全需求确定:标识需要证书的应用程序,确定所需要的安全级别(密钥的长度,加密技术的算法等),标识需要证书的用户、计算机和服务,确定如何保护私有密钥(备份)

2、证书登记:申请和接收一个证书的过程称为登记。过程为生成一个密钥对,收集登记信息,申请证书,用CA的公共密钥对申请进行加密,然后把加密的申请发送给CA,CA验证信息,CA创建证书,CA发送或邮寄证书。

3、证书分发:

4、证书撤回:如果不能够得到CRL,就不能够验证证书,而且访问也将会被拒绝。

5、证书更新:

6、证书审计:监控证书的颁布情况,记录所有证书请求,也可用审计踪迹来监控破坏网络安全的行为。

证书到用户帐户的映射分为一对一映射、多对一映射。多对一映射用户单位可能需要支持外部用户的身份验证,这些用户在活动目录中没有帐户,通过证书映射允许单位给用户提供访问权。

25.4. X.509的信任模型

1、层次信任结构
认证机构(CA)的严格层次结构可以描绘为一倒转的树,根代表一个对整个PKI域内的所有实体都有特别意义的CA,通常被叫做根CA,在根CA的下面是零层或多层中间CA(子CA),与非CA的PKI实体相对应的树叶称作终端实体或终端用户。在层次结构中的每个实体(包括中介CA和终端实体)都必须拥有根CA的公钥。

2、分布式信任结构

3、 WEB模型

4、以用户为中心的信任模型

5、交叉认证的信任关系

认证机构(CA)职责

认证中心是使用PKI/CA提供服务的核心执行机构,是数字证书的申请注册、证书签发和管理机构,从广义上讲,认证中心还应该包括证书申请注册机构RA。

CA的主要职责包括

1、数字证书管理

2、证书和证书库,数字证书是网上实体身份的证明。证书库是CA颁发证书和撤消证书的集中存放地。

3、密钥备份及恢复

4、密钥和证书的更新

5、证书历史档案

6、客户端软件

7、交叉认证,交叉认证是多个PKI域之间实现互操作。交叉认证实现的方法有多种,一种方法是桥接CA,即用一个第三方CA作为桥,将多个CA连接起来,成为一个可信任的统一体,另一种方法是多个CA的根CA互想签发根证书,这样当不同PKI域中的终端用户沿着不同的认证链检验认证到根时,就能达到互相信任的上的。

认证中心的服务主要包括

1、认证

2、数据完整性服务

3、数据保密性服务

4、不可否认性服务:数据来源的不可否认,接收的不可否认,创建的不可否认等

5、公证服务:PKI中支持的公证服务是指“数据认证”即证明数据的有效性和正确性。

26. PMI权限(授权)管理基础设施

26.1. 访问控制的基础概念

访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用,访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。访问控制是信息安全保障机制的核心内容,是实现数据保密性和完整性机制的主要手段。

访问控制的两个重要过程

1、通过鉴别来检验主体的合法身份

2、通过授权来限制用户对资源的访问级别

访问控制可分为以下两种:

1、强制访问控制(MAC):系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性,通常对数据和用户安全等级划分标签,访问控制机制通过比较安全标签来确定接受还是拒绝用户对资源的访问

2、自主访问控制(DAC):允许对象的属主来制定针对该对象的保护策略,通常DAC通过授权列表来限定主体对客体可以执行什么操作。每个主体拥有一个用户名并属于一个组或具有一个角色,每个客体拥有一个限定主体对其访问权限的访问控制列表。

访问控制安全模型

1、 BLP访问控制安全模型:基于强制访问控制系统,以敏感度来划分资源的安全级别,将数据和用户划分为公开、受限、秘密、机密、高密五个保密等级,主体不可读安全级别高于它的数据,不可写安全级别低于它的数据(可读)。

2、 Biba完整性模型:基于强制访问控制系统,数据和用户被划分为公开、受限、秘密、机密、高密五个级别。主体不能读取安全级别低于它的数据(可写),不能写入安全级别高于它的数据(可读)。

BLP模型为数据保密性提供保障,Biba模型为数据完整性提供保障。

基于角色的访问控制(RBAC)

角色由应用系统的管理员定义,角色成员的增减只能由应用系统的管理员来执行,授权规定是强加给用户的,用户只能被动接受,不能自主决定,也不能自主地将访问权限传给他人。

RBAC与DAC的区别是用户不能自主地将访问权限授给别的用户

RBAC与MAC的区别是MAC基于多级安全需求,而RBAC主要关心保护信息的完整性。

26.2. PMI的术语与概念

PMI即权限管理基础设施或授权管理基础设施,核心思想是以资源管理为核心,将对资源的访问控制权统一交由授权机构进行管理。即由资源的所有者来进行访问控制管理。

PMI建立在PKI基础上,以向用户和应用程序提供权限管理和授权服务为目标,负责向业务应用系统提供授权服务管理,提供用户身份到应用授权的映射功能。实现与具体应用系统开发和管理无关的访问控制机制,简化应用中访问控制和权限管理系统的开发与维护。

PMI与PKI的不同

PMI主要进行授权管理,证明这个用户有什么权限,能干什么,即“你能做什么“,PKI主要进行身份鉴别,证明用户身份,即“你是谁“

属性证书(AC)是对一个实体的权限的表示,由属性证书管理中心(AA)签发并管理。

公钥证书是对用户名称和公钥进行绑定,属性证书是将用户名称与一个或多个权限属性进行绑定,数字签名公钥证书的实体为CA,签名属性证书的实体为AA。

PKI信任源被称为根CA,PMI信任源称为SOA。

如果用户需要废除签字密钥,则CA将签发证书撤消列表(CRL),如果用户需要废除授权,AA将签发一个属性证书撤消列表(ACRL)。

PMI与PKI比较表

概念	PKI实体	PMI实体
证书	公钥证书	属性证书
证书签发者	认证证书管理中心	属性证书管理中心
证书用户	主体	持有者
证书绑定	主体名和公钥绑定	持有者名和权限绑定
撤销	证书撤消列表(CRL)	属性证书撤消列表(ACRL)
信任根	根CA	权威源(SOA)
从属权威	子CA	属性管理中心AA

属性证书的格式

1、持有者

2、颁发者

3、签名算法

4、序列号

5、有效期

6、属性

7、扩展项

8、签名信息:属性证书签发者对属性证书的签名

公钥证书将一个身份标识和公钥绑定,属性证书将一个标识和一个角色、权限、或属性绑定。

属性证书的使用

1、推模式:当用户在要求访问资源时,由用户自己直接提供其属性证书,即用户将属性证书推给资源服务管理器

2、拉模式:业务应用授权机构发布属性证书到目录服务系统,当用户需要用到属性证书时,由服务器从属性证书发放者(AA)拉回属性证书。

26.3. PMI应用支撑框架

PMI应用支撑框架包括权限管理、访问控制框架、策略规则。

主要的访问控制框架

1、 DAC(自主访问控制),针对每个用户指明能够访问的资源,对于不在指定资源列表中的对象不允许访问。

2、 ACL(访问控制列表),目标资源拥有访问控制列表,指明允许哪些用户访问,如用户不在访问控制列表,则不允许访问这个资源。

3、 MAC(强制访问控制),主体和客体具有一个包含等级的安全标签(公开,受限,秘密,机密,高密)

4、 RBAC(基于角色的访问控制),首先定义一些角色,再组这些角色分配相应的权限,每个用户分配一个或多个角色。

27. 信息安全审计系统S-Audit

27.1. 安全审计的概念

中华人民共和国国家标准-计算机信息系统安全保持等级划分准则,规定了计算机系统安全保护能力的五个等级

1、第一级:用户自主保护级

2、第二级:系统审计保护级

3、第三级:安全标记保护级

4、第四级:结构化保护级

5、第五级:访问验证保护级

安全审计是指对主体访问和使用客体的情况进行记录和审查,以保证安全规则被正确执行,并帮助分析安全事故产生的原因。安全审计机制应作为C2及以上安全级别的计算机系统必须具备的安全机制,其功能包括:

1、能够记录系统被访问的过程以及系统保护机制的运行情况

2、能够发现试图绕过保护机制的行为

3、能够及时发现用户身份的跃迁

4、能够报告并阻碍绕过保护机制的行为并记录相关过程

5、为灾难恢复提供信息等

安全审计是落实系统安全策略的重要机制和手段,通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。

安全审计主要由两部分组成:

1、采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(报警)并进行阻断

2、对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。

安全审计是采用数据挖掘和数据仓库技术,实现在不同网络环境中终端对终端的监控和管理,在必要进通过多种途径向管理员发出警告或自动采取排错措施,能对历史数据进行分析、处理和追踪。

安全审计属于安全管理类产品,主要包括主机类、网络类、数据库类和应用系统级的审计产品。

入侵检测是从信息安全审计派生出来的,彼此涉及的内容、要达到的目的以及采用的方式、方法都非常接近,信息安全审计更偏向业务应用系统的范畴,入侵检测更偏向入侵的、业务应用系统之外的范畴

安全审计的作用

1、对潜在的攻击者起到震慑或警告作用

2、对已经发生的系统破坏行为提供有效的追究证据

3、对系统安全管理员提供有价值的系统使用日志,从而帮助系统安全管理员及时发现入侵行为或潜在的系统漏洞

4、为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。

网络安全审计的具体内容包括:

1、监控网络内部的用户活动

2、侦察系统中存在的潜在威胁

3、对日常运行状况的统计和分析

4、对突发案件和异常事件的事后分析

5、辅助侦破和取证

CC标准与安全审计功能

CC标准将安全审计功能分为6个部分

1、安全审计自动响应:在检测到一个潜在的安全攻击时作出响应,如报警、中断服务、终止进程,帐号失效等。

2、安全审计自动生成:记录与安全相关的事件的出现,如对敏感数据项的访问,目标对象的删除,改变主体的安全属性

3、安全审计分析:分析系统活动和审计数据来寻找可能的安全违规操作,可以用于入侵检测或对安全违规的自动响应。

4、安全审计浏览:使授权的用户有效地浏览审计数据

5、安全审计事件选择:要求系统管理员能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计,如目标标识、用户标识、主体标识

6、安全审计事件存储:防止由于资源的不可用丢失审计数据,能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。

网络与主机信息监测审计,应用系统信息监测审计,网络安全系统设备信息审计和系统安全评估报告作为安全审计系统的主体,物理安全日志记录作为安全审计系统的辅助系统。

27.2. 如何建立安全审计系统

利用入侵监测预警系统实现网络与主机信息监测审计

1、基于网络和主机监测的安全审计基本结构:由一台安全审计、控制中心和若干台网络探测器组成,网络探测器负责监视通过网络相连的计算机主机,向安全控制中心发送报警和网络活动信息,实时阻断非法的网络连接等。探测器设置在网络的敏感部位,如内部网络的入口处或担负重要任务或具有重要数据的用血器的周围。探测器应与被监测的主机或网络处于一个共享的以太网环境内。

2、基于主机监测的安全审计:由一台安全审计、控制中心和安装于网内若干台服务器和网络工作站中的系统代理程序组成,运行于重要的网络服务器上的系统代理,实时监视分析系统活动和系统日志审计数据,对敏感事件和用户关注的事件实时报警,基于主机的监测与基于网络的监测相比最显著的弱点就是它不具备入侵实时阻断功能,因而,难以阻止非法操作。

3、

对重要应用系统运行情况的审计

1、基于主机操作系统代理:应用系统在启动自身审计功能之后自动将部分系统审核数据传送到主机系统审计日志,再通过运行于主机操作系统下的实时监控代理程序来读取并分析系统审计日志中的相关数据。与应用编程无关,通用性、实时性好,但审计粒度粗,对确认的违规行为不能实现阻断控制。

2、基于应用系统代理:根据不同应用,开发不同的应用代理程序,并在相应应用系统内运行,实时性好,审计粒度由用户控制,缺点是应用单独编写代理程序,通用性差。

3、在应用系统内嵌入一个与应用服务同步运行专用的审计服务应用进程。用以全程跟踪应用服务进程的运行。与应用系统密切相关,每个应用系统需要开发相应的独立程序,通用性、实时性不好,审计粒度可设置。

基于网络旁路监控方式

与基于网络监测的安全审计实现原理及系统配置相同(由网络探测器和安全控制中心组成。

),仅是作用目标不同系统结构,基于网络监测的安全审计作用于网络安全,基于网络旁路监控方式作用于应用系统。此种方式的优点是审计系统的运行不对应用系统本身的正常运行产生任何影响。不需要战胜数据库主机上的CPU,内存和硬盘。

28. 信息安全系统工程ISSE-CMM

28.1. 信息安全系统工程概述

信息安全系统又称为信息安全保障系统,是信息系统的一部分,并且与信息系统工程同步进行,工程的目的是为了保证信息系统正常运营,信息安全系统与信息系统有着相同的生命周期,没有信息系统也就不存在信息安全系统。建设信息安全系统的工程称为信息安全系统工程。

信息安全系统工程活动

1、信息安全风险评估

2、信息安全策略制订

3、信息安全需求确定

4、信息安全人员组织和培训

5、信息安全岗位、制度和信息安全系统运营策划和管理

6、信息安全系统总体设计

7、信息安全系统详细设计

8、信息安全系统设备选型

9、信息安全工程招投标

10、密钥密码机制确定

11、资源界定和授权

28.2. ISSE-CMM基础

ISSE-CMM即信息安全系统工程能力成熟度模型是一种衡量信息安全系统工程实施能力的方法。主要用于指导信息安全系统工程的完善和改进,使信息安全系统工程成为一个清晰定义的、成熟的、可管理的、可控制的、有效的和可度量的学科。

ISSE是系统工程的一部分,分为发现信息安全需求、定义信息安全系统、设计信息安全系统和信息安全系统实施四个阶段

ISSE-CMM本身并不是安全技术模型,它给的是信息系统安全工程需要考虑的关键过程域。

ISSE体系结构:发现需求、定义系统需求、设计系统需求、详细设计、系统设计

29. 计算机网络知识

29.1. 网络的功能、分类与组成

计算机网络是由通信线路互相连接的许多独立自主工作的计算机构成的资源共享集合体。

计算机网络的作用:资源共享

计算机网络的组成:许多独立自主工作的计算机

计算机网络的实现方式:使用通信线路互相连接

计算机网络的分类(按传输距离):

1、局域网(LAN):
特点:距离短,0.1km~25km、速度快,4Mb/s~1Gb/s、高可靠性、成本较低
传输媒介:双绞线、细/粗同轴电缆、微波、射频信号、红外等

2、广域网(WAN):
特点:长距离、低速率、高成本
传输媒介:电话线路、光纤、卫星

3、城域网(MAN):城域网的覆盖范围介于局域网和广域网之间,城域网的主要技术是分布式队列总线(DQDB)

计算机网络分类(按工作模式分类)

1、对等网络:由直接面向用户的PC组成,这些PC机在网络中没有主次之分,互相作为其他PC的资源来共享和使用
优点:架设成本低廉、技术简单、用户对自己的资源能够完全管理
缺点:扩充能力有限、无法进行集中的管理所以管理相对混乱、安全性不高

2、基于服务器的网络:在一组PC中,包含有专用的高性能计算机,这些计算机专门执行某些任务,如文件服务器、打印服务器、数据库服务器、WEB服务器、电子邮件服务器等,普通PC机与高性能计算机之间是客户/服务器的关系,一个提供服务,一个使用服务,有鲜明的主次之分
优点:整个网络的可控制性较好、网络安全性较高、利于网络的扩大,
缺点:专用的高性能服务器使网络整体成本较高、管理相对复杂

计算机网络的组成

1、服务器:是专门为网络其他计算机提供服务的计算机,如文件服务器、打印服务器等,服务器的处理速度是整个网络交通的瓶颈点

2、工作站:也称客户机

3、传输媒体:计算机通信的基础是各种传输媒体,传输媒体可分为有线、无线两大类,有线包括:双绞线、细/粗同轴电缆、光纤等,无线包括:无线电、微波、红外、激光、卫星通信等。

传输媒介		指标	速率	成本	安装	抗扰	备注
同轴电缆	细同轴电缆 RG58	185m,50欧	10Mb/s 电缆较细弹性好	最低	容易	较强	5-4-3规则:最多只能用4个中继器连接5个区域,仅有3个区域可以连接工作站,适用于室内小型局域网架设
	粗同轴电缆 RG11	500m,50欧	10Mb/s 电缆较粗弹性较差	较低	较难	强	常用于主干或建筑间连接,由于仅能提供10Mb/s,逐渐被光纤替代
双绞线	无屏蔽双绞线(UTP)	100m	10Mb/s ~ 1000Mb/s	最低	最容易	最低	按双绞线外是否多加一层外皮包覆分为UTP和STP,UTP应用较广泛 1类:无缠绕,只能传输声音,不能传输数据 2类:无缠绕,最大4Mb/s 3类:每分米缠绕一次,10Mb/s 4类:过渡型线材,16Mb/s 5类:100Mb/s 超5类: 6类:1000Mb/
	屏蔽双绞线(STP)	100m	10Mb/s ~ 1000Mb/s	较低	容易	强
光纤	多模	2km	51Mb/s ~ 1000Mb/s	次贵	最难	最强	宽芯线,用LED作为发光源,以多个方向射入光纤,信号相对较弱,适用短距离或速度更低一些的领域,成本较低
	单模	2~10km	1 ~ 10Gb/s	最贵	最难	最强	窄芯线,用激光作为发光源,激光以一个方向射入光纤,信号比较强,适用于高速度、长距离的传输,成本较高

单模光纤:适用于传输要求高的网络,或者作为网络主干或高速广域网的连接

多模光纤:适用于广域网的连接

无屏蔽双绞线:最适合用于局域网布线,可选用3、5、6类

细同轴电缆:适用于以最低的价格建立一个最简单、最小型的工作组级小网络

传输媒介	特点
无线电波	不沿地球表面弯曲,与卫星结合,可提供长距离的通信,向各个方向传播,安全性较低,需要天线接收
微波	传播时集中于某一方向,安全性较好,不能透过金属,一般需要发送端与接收端之间无障碍
红外	距离短,不需要天线
激光	光束走直线,收、发方之间不能有障碍物,不能穿过植物、雨、雪,雾等。局限性较大。

4、网卡(NIC):完成以下功能
1、读入由其他网络设备传输过来的数据包,并将其变成计算机可以识别的数据
2、将PC设备发送的数据,打包后输送至其他的网络设备中
3、代表着一个固定的地址(MAC地址):拥有一个6字节的全球唯一地址。

5、调制解调器:将计算机的数字信号转换为模拟信号发送到电话线路上,将电话线路上的模拟信号转换为数字信号输入到计算机上

6、中继器:工作在物理层,将衰减了的信号放大后,再传送出去

7、集线器:工作在数据链路层,是一个多端口的中继器,并加上一些数据链路控制的功能

8、网桥:工作在数据链路层,增加了“过滤帧”的功能,降低整个网络的通信负荷

9、路由器:工作在网络层,可以连接遵守不同协议的网络,能从多条路径中选择最佳的路径发送数据

10、网关:工作在网络层,可以连接网络协议不同,而且硬件和数据结构都大相径庭的网络

11、交换机:第二层交换机工作在数据链路层,用来代替集线器的一种应用在小型网络中的设备,第三层交换机工作在网络层,可以完成普通路由器的部分或全部功能,高层交换机工作在网络层之上,在完成普通路由器功能的基础上,实现一些特殊的功能。

29.2. 网络协议与标准

网络通信协议就是计算机网络通信实体之间的语言

OSI只是一个通信框架,并不在具体的通信过程中起作用。真正的通信是由适当的软、硬件实现的。

OSI七层模型

1、物理层:人为规定了不同种类传输设备、传输媒介如何将数字信号从一端传送到另一端,而不管传送的是什么数据,是完全面向硬件的,定义了通信设备机械的、电气的、功能的、规程的特性。传送单位为比特。
机械特性:规定线缆与网络接口卡的连接头的形状、几何尺寸、引脚线数等外形特征
电气特性:规定在传输过程中多少伏特的电压代表1,多少伏特电压代表0
功能特性:规定连接双方每个连接线的作用,如数据线、控制线、定时线、地线
过程特性:具体规定了通信双方的通信步骤

2、数据链路层:负责建立一条可靠的数据传输通道,完成相邻结点之间有效地传送数据的任务,传送单位为数据帧
1、封装成帧:把数据组成一定大小的数据块(帧)以帧为单位发送、接收、校验数据
2、流量控制:实时地进行传输速率控制,以免出现发送数据过快,接收方来不及处理而丢失数据的情况
3、差错控制:当接收到数据帧后对其进行检验,如果发现错误,则通知发送方重传
4、传输管理:在发送端与接收端通过某种特定形式的对话来建立、维护和终止一批数据的传输过程,以此对数据链路进行管理。IEEE 802将数据链路层分成两个子层:逻辑链路控制层(LLC)和介质访问控制层(MAC),LLC层负责建立和维护两台通信设备之间的逻辑通信链路,MAC层控制多个信息复用一个物理介质,MAC层提供对网卡的共享访问与网卡的直接通信。MAC地址提供给LLC层建立同一个局域网中两台设备之间的逻辑链路

3、网络层:用于从发送端向接收端传送分组,负责确保信息到达预定的目标,解决以下问题,传送单位为数据包
1、通信双方不相邻的问题,
2、异构网络的互连问题,

4、传输层:实现发送端和接收端的端口到端口的数据分组传送,负责保证实现数据包无差错、按顺序、无丢失和无冗余地传输,所执行的任务包括检错和纠错,TCP传输单位为数据段,UDP传输单位为数据报
1、将一个较长的数据分成几个小数据报发送,确保数据包无差错,按顺序的发送和接收
2、解决通信双方不只有一个数据连接的问题,(在复制文件的同时进行网络聊天),即端到端的通信

5、会话层:负责管理远程用户或进程间的通信。提供如名字查找和安全验证等服务,通话两个程序能够相互识别并建立和维护通信连接。
1、通信控制
2、检查点设置
3、重建中断的传输链路
4、名字查找和安全验证服务

6、表示层:负责将收到的数据转换为计算机内的表示方法或特定的程序的表示方法,负责通信协议的转换、数据的翻译、数据的加密、字符的转换等工作
1、数据编码方式的约定
2、本地句法的转换
各种表示数据的格式的协议也属于表示层,如MPEG,JPEG等

7、应用层:直接提供服务给使用者的应用软件的层,如电子邮件、在线交谈程序。
1、各类应用过程的接口
2、提供用户接口

OSI参考模型的工作模式

首先,发送端由应用层的软件产生通信数据,然后各个层均对这些数据进行相应的处理,最后将它转换成比特流,通过物理层的传输人质传送到接收端,接收端从物理层获得比特流,然后逐层分析,最后将发给相应层的数据,传给相应层。

OSI参考模型小结

层	功能描述	数据传输单位	对应协议
应用层	用户接口,具体的网络应用		HTTP、Telnet、FTP、SMTP、NFS
表示层	将接收到的数据转换为计算机内的表示方法,通信协议的转换,数据翻译,数据加密,字符转换		JPEG、ASCII、GIF、DES、MPEG
会话层	管理远程用户或进程间的通信,使通信双方能相互识别并建立和维护通信连接,检查点设置,重建中断的传输链路,名字查找和安全验证		RPC、SQL、NFS
传输层	实现端口到端口的数据分组传送,确保数据包无差错,按顺序的发送和接收,解决通信双方不只一个数据连接的问题	TCP:数据段 UDP:数据报	TCP、UDP、SPX…
网络层	通信双方不相邻的问题, 异构网络的互连问题	数据包	IP、IPX
数据链路层	两个相邻节点的通信,数据分帧、流量控制、差错控制、传输管理	帧	IEEE802.3/.2、HDLC、PPP、ATM…
物理层	人为规定了不同种类传输设备、传输媒介如何将数字信号从一端传送到另一端,而不管传送的是什么数据,是完成面向硬件的,定义了通信设备机械的、电气的、功能的、规程的特性	比特	RS232、RJ-45、FDDI

IEEE802规范主要包括:

802.1:802协议概论

802.2:逻辑链路控制层(LLC)协议

802.3:以太网的CSMA/CD(载波监听多路访问/冲突检测)协议

802.4:令牌总线协议

802.5:令牌环协议

802.6:城域网协议

802.7:宽带技术协议

802.8:光纤技术协议

802.9:局域网上的语音/数据集成规范

802.10:局域网安全互操作标准

802.11:无线局域网(WLAN)标准协议

局域网协议

工作在数据链路层

以太网/IEEE802.3

IEEE 802.3 标准局域网,速度为10Mb/s,传输介质为细同轴电缆

IEEE 802.3u 快速以太网,速度为100Mb/s,传输介质为双绞线

IEEE 802.3z 千兆以太网,速度为1000Mb/s,传输介质为光纤或双绞线

存取方法CSMA/CD(载波侦听多路访问/碰撞检测技术):以竞争的方式抢夺传送数据的权力

802.3:10Mb/s 10BASE5、10BASE2、10BASE-T、10BASE-F 前两种为总线,后两种为星型

802.3u:100BaseTX、100BaseT4、100BaseFX

802.3z:

令牌环网/IEEE 802.5

存取方法:令牌是在网络中传递一个很小的帧,在网络上依次按顺序传递,当工作站要发送数据时等待捕获一个空令牌,然后将要发送的信息附加到后边,发往下一站,如此直到目标站,将令牌释放。

	IEEE802.3以太网	IEEE802.5
协议复杂性	碰撞解决较复杂	令牌和环维护复杂
访问确定性	不确定	确定
支持优先级	不支持	支持
模拟技术	碰撞检测使用	完全数字化
可靠性	好	较好
轻负载时网络性能	无延迟	有延迟
重负载时网络性能	急剧下降	好
适用场合	中等负载情况	重负载,要求实时

FDDI/光纤分布式数据接口

采用类似令牌环网的协议,用光纤作为传输介质,数据传输率可达到100Mb/s,环路长度可扩展到200km,连接的站点数可以达到1000个。

广域网协议

PPP、DDN、ISDN、X.25、FR、ATM

PPP(点对点协议)

用公用交换电话线路实现的拨号上网的广域连接模式,通过拨打电话号码来建立双方联接,传输线路是模拟线路,所以传输速度较慢

ISDN(综合业务数字网)

ISDN将数据、声音、视频信号集成进一根数字电话线路,ISDN分为N-ISDN(窄带ISDN)和B-ISDN(宽带ISDN),常用的是N-ISDN,由2个B信道和1个D信道组成(2B+D),B信道为64K,D信道为16Kb/s。

xDSL(数字用户线路)

是以铜电话线为传输介质的传输技术组合,DSL技术分为对称和非对称两大类

HDSL(高速对称DSL):两对双绞线

SDSL(对称DSL):单对双绞线
MVL:

ADSL(非对称DSL):利用现有铜双绞线(即普通电话线),提高到8Mb/s下行速度,1Mb/s上行速度,传输距离3km到5km。

DDN数字专线

利用光纤、数字微波或卫星数字交驻连接设备组成的数字数据业务网,这些数字线路用于出租给最终用户。DDN比PPP具有更高的传输速度和质量,在DDN的客户端要一个称为DDN MODEM的CSU/DSU设备,以及一个路由器,它的价格与DDN线路的带宽相关。

X.25

FR帧中继

帧中继和分组交换类似,但却以比分组容量大的帧为单位而不是以分组为单位进行数据传输,帧中继的层次结构只有物理层和链路层,不考虑传输差错问题,其中节点只做帧的转发操作,不需要执行接收确认和请求重发等操作,差错控制和流量控制均交由高层端系统完成,所以大大缩短了节点的时延,提高了网内数据的传输速率。

ATM异步传输模式

ATM(Asynchronous Transfer Mode)异步传输模式。异步转移模式的特征是信息的传输、复用和交换都以信元为基本单位。异步是指属于同一用户的信元并不一定按固定的时间间隔周期性地出现。ATM信元是固定长度的分组,共有53个字节,分为2个部分。前面5个字节为信头,主要完成寻址的功能;后面的48个字节为信息段,用来装载来自不同用户,不同业务的信息。ATM交换是指把入线上的ATM信元,根据其信头上的VPI(虚路径标识符)和VCI(虚通路标识符)转送到相应的出线上去,从而完成交换传送的目的。由于ATM技术简化了交换过程,去除了不必要的数据校验,采用易于处理的固定信元格式,所以ATM交换速率大大高于传统的数据网,如x.25,DDN,帧中继等。此外对不同业务赋予不同的"特权",如语音的实时性特权最高,一般数据文件传输的正确性特权最高,网络对不同业务分配不同的网络资源

ATM的优点:

1、速度:高达622Mb/s

2、可扩展性:允许在现在结构中增加带宽和端口密度

3、高传输质量QoS:QoS是指网络提供更高优先服务的一种能力,包括专用带宽、抖动控制和延迟(用于实时和交互式流量情形)、丢包率的改进以及不同WAN、LAN 和 MAN 技术下的指定网络流量等,同时确保为每种流量提供的优先权不会阻碍其它流量的进程。QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。

4、一体化安装

适合于以下应用:

1、基于专用带宽的设计和数据优先级设计,适合多媒体和视频应用

2、具有良好的扩展能力及高性能的网络传输能力,适合构架骨干网

3、具有高性能的无缝集成广域网和局域网的能力,被广泛应用于广域网建设中

因特网协议

TCP/IP协议簇

29.3. 网络结构与通信

计算机网络结构又称为拓扑结构,通常包括三种基本形式:总线型拓扑、星型拓扑、环型拓扑。

总线形拓扑结构

所有的电脑用电缆将整个网络从头串到尾,

优点:所需电缆少、布线容易、单点可靠性高

缺点:故障诊断困难、对站点要求较高

星型拓扑结构

由中央结点和通过点到点链路连接到中央结点的各站点组成,整个网络由中央结点执行集中式通信控制管理,因此中央结点相当复杂,各站点的通信处理负担很小,中央结点一般为集线器或交换机,负责将各个站点的数据广播转发,或直接转发给接收方结点

优点:整体可靠性高、故障诊断容易、对站点要求不高

缺点:所需电缆多、整个网络可靠性信赖中央结点

环型拓扑结构

整个网络的电缆绕成一圈,没有头尾之分,所有站点被绕成一圈的电缆所连接起来,整个结构看起来像是一个圆圈。环中有一个控制发送数据权力的“令牌”在环中流动。

优点:所需电缆较少、适用于光纤

缺点:整体可靠性差、诊断故障困难、对站点要求高

拓扑结构的选择主要考虑总成本、灵活性和可靠性三个因素。

29.4. Internet和Intranet初步

TCP/IP协议集与OSI各层的对应关系

应用层	FTP TELNET SMTP:简单邮件传输协议,用来控制信件的中转方式 HTTP SNMP:简单网络管理协议,用来对通信线路进行管理
表示层
会话层
传输层	TCP:面向连接(连接导向)的、可靠的、基于字节流的运输层通信协议 UDP:用户数据报协议一种无连接的、面向事务的简单不可靠信息传送服务。
网络层	ICMP:Internet控制报文协议(网际控制报文协议) IP:网际协议,网络之间互连的协议路由选择协议:当两台非直接连接的计算机需要经过几个网络通信时,通常就需要路由器,路由选择协议的任务是,为路由器提供他们建立通过网状网络最佳路径所需要的相互共享的路由信息
数据链路层	ARP:以太网上的地址转换协议,IP地址到物理地址的转换 RARP:反向地址转换协议,物理地址到IP地址的转换
物理层	任意

IP协议

网络协议(IP)是网络上信息从一台计算机传递给另一台计算机的方法或者协议,工作在网络层。

IP地址

IP地址的长度为32位,分为网络号和主机号两部分,网络号标志一个网络,网络号的部分字长决定互联网可以为多少个网络分配IP地址,一般由互联网络信息中心(InterNIC)统一分配,主机号用来标志网络中的一个主机,主机号部分字长决定网络中最大的主机数,由网络管理员分配,IP地址采用点分十进制表示法表示。

IP地址分类:

1、 A类:0nnn nnnn xxxx xxxx xxxx xxxx xxxx xxxx 1.0.0.0至126.0.0.0

2、 B类:10nn nnnn nnnn nnnn xxxx xxxx xxxx xxxx 128.1.0.0至191.254.0.0

3、 C类:110n nnnn nnnn nnnn nnnn nnnn xxxx xxxx 192.0.1.0至223.225.254.0

4、 D类:1110 xxxx xxxx xxxx xxxx xxxx xxxx xxxx 224.0.0.0至239.255.255.255特殊用途

5、 E类:1111 xxxx xxxx xxxx xxxx xxxx xxxx xxxx 240.0.0.0至254.255.255.255保留

IP地址中,全0代表网络,如202.101.105.0,全1代表广播,如202.101.105.255,127.0.0.1为本机回送地址。

子网掩码

用来指明哪些是网络号部分,哪些是主机号部分,对应的网络号部分用1填上,主机号部分用0填上

Ipv6

现在使用的IP协议版本号为4,即Ipv4,Ipv6是为了克服Ipv4地址短缺和无法适应对时间敏感的通信等缺点,Ipv6将Ipv4的32位地址扩展成为128位地址。

ARP地址解析协议

将一台计算机的IP地址映射成相对应的硬件地址的过程叫地址解析,这个解析过程的规范叫地址解析协议ARP,RARP将物理地址转换成IP地址,工作在数据链路层

ICMP因特网控制消息协议

是TCP/IP协议族的一个子协议,工作在网络层,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

传输控制协议TCP

TCP是一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transport layer)通信协议

用户数据报协议UDP

是 OSI 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。是一个简单的面向数据报的传输层协议

Internet应用

1、 DNS域名服务:负责将字符名(域名)转换成实际相对应的IP地址。工作在TCP协议之上。

2、 WWW万维网服务:是一个大规模在线式的信息储藏所,用户可以通过一个被称为浏览器的交互式应用程序来查找它所要的信息,WWW依赖于标准化的统一资源定位URL地址来定位信息的内容,在进行页面访问时,通常采用超文本传送协议HTTP,其服务端口就是HTTP服务端口。

3、 E-MAIL电子邮件:

4、 FTP文件传输服务:TCP/IP包括两种文件传输服务,FTP和TFTP,FTP功能更强,它支持面向命令的交互界面。FTP使用TCP协议进行数据传输,TFTP使用UDP进行数据传输

5、 TELNET远程登录服务:通过TCP建立与主机的连接,TELNET将用户键盘上的键入直接传递到主机,也将主机的输出送回到用户屏幕上。

29.5. 网络服务器

DNS服务器、邮件服务器、FTP服务器、代理服务器和DHCP服务器

DNS服务器

DNS域名空间是由树状结构组织的分层域名组成的集合。域是由DNS树状结构中的一个分枝或叶来表示的。

DNS服务器分类:

1、根服务器:用于管理根域和顶级域名,目前有13个根域名服务器

2、主域名服务器:每个域有且只有一个主域名服务器,作用:
对该域的所有DNS数据库文件的修改都在这台服务器上进行
主域名服务器对该域中的辅助域名服务器进行周期性的更新和同步
主域名服务器管理对其子域的授权

3、辅助域名服务器:每个域可以有一个或多个辅助域名服务器,
定期从主域名服务器更新数据
和其他域名服务器分担负载
在其他域名服务器不能工作时,起备份作用

4、专用缓存域名服务器:用来缓存任何DNS域的信息,缓存已查询过的域名信息、不授权管理任何域,可以分担辅助域名服务器从主域名服务器获得数据库文件拷贝负担。

5、转发域名服务器:是主域名服务器或辅助域名服务器的一种变形,负责所有非本地域名的本地查询,通常用来集中所有的非本地域名查询请求,减少了非本地域名查询的重复次数,转发域名服务器不能解析域名查询。

DNS服务器规划:应该包括软、硬件平台规划和域名系统规划两个部分

电子邮件服务器

完全标志地址:user@subdomain.top-level-domain,@右边是邮件域名,表明用户所在的地方,user是用户名,subdomain是top-level-domain域中的子域。

FTP服务器

FTP服务器根据服务对象不同分为匿名服务器和系统FTP服务器,前者是任何人都可以使用,后者只能是在FTP服务器上有合法账号的人才能使用。

代理服务器(Proxy Server)

代理服务器是介于浏览器和WEB服务器之间的一台服务器。使用代理服务器后,浏览器先访问代理服务器,然后由代理服务器获取所需要的信息并传送给浏览器,

1、可以有效保障本机的IP地址不泄漏,

2、可以节省大量的IP地址资源,有效地降低网络的维护成本

3、缓存功能可以提高网络的访问速度。

代理服务器按用途分类为HTTP代理、SSL代理、HTTP CONNECT代理、FTP代理、POP3代理、TELNET代理、SOCKS代理。还有一种网络代理服务器,是代理访问,而且一般代理服务器地址也是不固定的。

SSL:用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。

POP3(Post Office Protocol 3)即邮局协议的第3个版本,它规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议

DHCP服务器(动态主机配置协议)

CIDR (Classless InterDomain Routing)无类别域间路由选择,可以减少由核心路由器运载的路由选择信息的数量。这是一种为解决地址耗尽而提出的一种措施。它是将好几个IP网络结合在一起,使用一种无类别的域际路由选择算法,

DHCP节省IP地址资源、方便地址管理,减轻网络管理人员的工作强度,特性:

1、自动管理IP地址,防止重复的IP地址

2、支持BOOTP客户

3、可设置地址的租用时间

4、可限制哪些以太网硬件地址可以享有动态IP地址服务

5、可以定义一个被动态分配的IP地址池

6、支持在不同的IP网络上两个以上IP地址池的联合

在局域网中各类服务器、受保护的计算机及其他需要固定IP地址才能被访问的计算机不能纳入此类动态地址分配范围中。

BOOTP是一个基于TCP/IP协议的协议,它可以让无盘站从一个中心服务器上获得IP地址,为局域网中的无盘工作站分配动态IP地址,并不需要每个用户去设置静态IP地址。

29.6. 网络交换技术

多路复用技术

数据发送方将多个用户的数据通过复用器进行汇聚,然后将汇聚后的数据通过一条物理线路传送到接收设备;接收设备通过分用器将数据分离成各个单独的数据,再分发给接收方的多个用户。

多路复用技术一般可以划分为频分多路复用(FDMA)、波分多路复用(WDMA)、时分多路复用(TDMA)和码分多路复用(CDMA)

FDMA:频分多路复用

将信道带宽按频率划分为若干个子信道,各子信道之间留一个宽度(称为保护带),每个子信道可传输一路信号,即频分多路复用。电话信号的频分多路复用:载波通信系统是FDMA技术的典型例子。

WDMA:波分多路复用

波分多路复用采用的是光的频分多路复用,采用多个波长在单个光纤上传送信号,把输出光纤通道划分成对应每个输入通道的不同的光波长,不同光纤上的光波信号通过无源的棱柱或衍射光栅复用到一根长距离传输的光纤上。波分多路复用中使用的衍射光栅是无源的。

TDMA:时分多路复用

时分多路复用通过为多个信道分配互不重叠的时间片的方法来实现多路复用,时分多路复用更适合于数字数据信号的传输。T1标准就是采用时分复用技术

CDMA码分多路复用

不同用户传输信息用各自不同的编码序列来区分,即取信号的不同波形来区分。CDMA比FDMA、TDMA有更大的系统容量、更高的话音质量,以及抗干扰、保密等优点,是第三代数字蜂窝移动通信系统首选方案。

交换技术

根据不同的网络交换方式,交换可分为电路交换方式、存储转发交换、分组数据报方式、虚电路方式、ATM交换方式。数据报方式和虚电路方式属于分组交换方式。通常最佳的分组长度一般为0.1KB~1KB。

电路交换方式:电话交换系统使用这种方式

两台计算机通过通信子网进行数据交换之前,首先要在通信子网中建立一个实际的物理链路连接的交换方式,电路交换过程可分为线路建立、线路传输、线路释放三个阶段。

特点:

信号和数据的传输时延短且时延固定不变,适用于实时大批量连续的数据和信号传输

交换网对用户信息的编码方法、信息格式,以及传输控制程序等不加限制。

呼叫建立时间长且存在呼损(连接建立失败时,需拆除已建立的部分电路,用户需挂断电话重新拨号,这个时间称为呼损)

线路(信道)利用率低,由于电路建立以后,信道是专用的,再加上通信建立、拆除时间和呼损,其利用效率较低。

报文交换:适用于EMAIL

也叫存储转发交换,数据传输的单位是报文。把要发送的信息组织成一个报文,其长度不限且可变。报文是需要发送数据与目的地址、源地址、控制信息按照一定的格式组成的数据单元,存储转发交换方式,不需要在两个站点之间建立一条专用通路。通信子网中的结点是通信控制处理机。

特点:

1、信道的利用率高

2、在存储转发过程中,结点可以对数据进行处理,易于实现速度和代码的转换,为速度不同、代码不同的计算机之间的互连和通信提供了条件。同时便于对数据进行差错检查与恢复,提高数据传输的可靠性。

3、通信子网中通信控制处理机具有路由功能,可以动态选择报文通过通信子网的最佳路径,同时可以平滑通信量,提高系统效率。

分组交换

数据包有固定的长度,因而交换结点只要在内存中开辟一个小的缓冲区就可以了,进行分组交换时,发送结点先要对传送的信息分组,对各个分组编号,加上源地址和目的地址以及约定的分组头信息,这个过程叫做信息打包,一次通信中的所有分组在网络中传播分为两种方式:数据报和虚电路

1、数据报方式:类似于报文交换,每个分组在网络中的传播路径完全是由网络当时的善随机决定的,到达目的地的顺序可能和发送的顺序不一致,在接收端要对收到的分组重排顺序。数据报方式适合于单向在传送短信息。

2、虚电路方式:在分组发送之前,需要在发送方和接收方建立一条逻辑连接的虚电路。报文分组不必带目的地址、源地址等辅助信息。分组到达目的结点时不会出现丢失、重复与乱序的现象。虚电路适合与交互式通信

ATM交换:异步传输模式交换

ATM数据传送单位是一固定长度的分组,称为信元,它有一个信元头及一个信元信息域。信元长度为53个字节,其中信元头占5个字节,信息域占48个字节。信元头主要功能是:信元的网络路由,采用了异步时分多路复用技术ATDM。

ATM网可分为三大部分:公用ATM网、专用ATM网和ATM接入网,专用ATM网是指一个单位或部门范围内的ATM网,专用ATM网主要用于局域网互连或直接构成LAN。

29.7. 网络存储技术

网络存储技术是基于数据存储的一种通用网络术语。网络存储设备提供网络信息系统的信息存取和共享服务,其主要特征体现在:超大存储容量、大数据传输率、高系统可用性。

目前有三种存储技术:即DAS(直接附加存储)、SAN(存储区域网络)、NAS(网络附加存储)

DAS:直接附加存储

存储设备是通过电缆(通常是SCSI接口电缆)直接到服务器的,I/O请求直接发送到存储设备,它依赖于服务器,本身是硬件的堆叠,不带任何存储操作系统

适用于:服务器地理位置分散,互连非常困难,存储系统必须直接连接到应用服务器(如使用ORACLE)、容量再分配困难、没有集中管理解决方案。容量扩展时会造成业务系统的停机。

NAS:网络附加存储

存储系统不通过I/O产品线附属于某个特定的服务器或客户机,而是直接通过网络接口与网络直接相连,由用户通过网络访问。

NAS实际上是一个带有瘦服务器的存储设备,硬件专门对数据传输进行了优化,数据不再通过服务器内存转发,数据直接在客户机和存储设备间传送,使服务器从原先的I/O负载中解脱出来,服务器仅起控制管理的作用,不需要在服务器和客户机上安装任何软件,可通过集线器或交换机方便地接入到用户网络上,是一种即插即用的网络设备,扩展性好。

SAN存储区域网络

SAN是一种类似于普通局域网的调整存储网络,允许企业独立地增加它们的存储容量,并使网络性能不至受到数据访问的影响,Open SAN(开放式存储区域网)是SAN存储技术发展的最高境界。

SAN主要适用于存储量大的工作环境,并且SAN的适用性和通用性差,在系统的安装和升级方面效率不高,成本也比较高。

NAS:用户通过TCP/IP协议访问数据,采用业界标准文件共享协议如:NFS、HTTP、CIFS实现共享。

SAN:通过专用光纤通道交换机访问数据,采用SCSI、FC-AL接口。

NAS和SAN最大的区别在于,NAS结构中文件管理系统在每一个应用服务器上,SAN有自己的文件管理系统,应用服务器通过网络共享协议使用同一个文件管理系统。

数据管理

备份策略:

一般的数据备份操作有三种

1、全盘备份,即将所有文件写入备份介质;所需时间长,恢复时间短,适用于数据量不大

2、增量备份,只备份那些上次备份之后更改过的文件,是最有效的备份方法;

3、差分备份,备份上次全盘备份之后更改过的所有文件,其优点是只需两组磁带就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带。

4、按需备份:根据临时需要有选择地进行数据备份

需备份的数据量:全盘备份最大,差分备份次之,增量备份最小。

备份介质

备份的设备包括磁盘、磁带和光盘塔,磁盘备份常用的方法是磁盘镜像、磁盘双工以及磁盘阵列,磁盘镜像是指系统中使用两块一样大小的磁盘,在写入数据时,先将数据写入原盘,然后再写入镜像盘,镜像盘中的数据与原盘的数据一模一样,起到备份的作用;磁盘双工是两个互为备份的盘同时写入。磁盘阵列是将多个类型、容量、接口甚至品牌一致的专用磁盘或普通磁盘连成一个阵列,使其能以某种快速、准确和安全的方式来读写磁盘数据,可提高网络数据的可用性及存储容量,并能免除单块硬盘故障所带来的灾难性后果。

备份技术:冷备份、热备份

热备份是指在线备份,如磁盘镜像、磁盘双工、磁盘阵列,特点是调用快,使用方便,成本高。

冷备份是指不在线备份,如磁带,特点是便于保管。

HSM分级存储管理:是一套自动化的网络存储管理设备,利用硬盘、可擦写磁光盘、磁带进行三层式存储管理,HSM会自动判断硬盘中资料的使用频率,自动将不常用的资料移到速度较慢的光盘,而最不常用的资料则移到磁带中,这些都由系统管理员自行设定。

在线恢复

带有在线恢复配置的系统能检测了故障,并重建处理、信息访问、通信等能力,它是通过使用冗余硬件来自动处理的,冗余技术包括:

1、磁盘系统冗余

2、电源系统冗余

3、网络系统冗余

4、冷却系统冗余

5、系统冗余:双机热备份高可用系统,通过对关键部件的冗余设计,可以保证系统硬件具有很高的可用性。

灾难恢复

灾难恢复是针对大的灾难来保护系统、信息和能力,通常可分为两类,全盘恢复和个别文件恢复,重定向恢复,重定向恢复是将备份的文件恢复到另一个不同的位置或系统上去,而不是进行备份操作时它们当时所在的位置。重定向恢复可以是整个系统恢复也可以是个别文件恢复,恢复时需要确认恢复后的可用性。

29.8. 网络接入技术

从电信网的角度来讲,可以将全网划分为公用网和用户驻地网(CPN)两大块,CPN属用户所有,通常意义的电信网指公用电信网部分。公用电信网又可以划分为长途网、中继网和接入网。长途网和中继网合并称为核心网,接入网介于本地交换机和用户之间,主要完成使用户接入到核心网的任务。

接入网由业务节点接口(SNI)和相关用户网络接口(UNI)及为传送电信业务所需承载能力的系统组成。接入网由三个接口办公室,即网络侧经由SNI与业务节点相连,用户侧由UNI与用户相连,管理方面则经Q3接口与电信管理网(TMN)相连。

接入技术可分有有线接入和无线接入两大类,有线接入技术包括:基于双绞线的ADSL技术、基于HFC网(光纤和同轴电缆混合网)的Cable MODEN技术、基于五类线的以太网接入技术,以及光纤接入技术。

xDSL接入

DSL(Digital Subscriber Line)数字用户线是基于普通电话线的宽带接入技术。在同一铜线上分别传送数据和语音信号,数据信号不通过电话交换机设备,减轻了电话交换机的负载,并且不需要拨号,一直在线,属于专线上网。x代表各种数字用户环路技术,包括HDSL、SDSL、ADSL、RADSL、VDSL等。

1、 HDSL:高速率数字用户线,对称DSL技术,现有的普通电话双绞铜线(两对或三对),全双工1.544Mb/s(T1)或2.048b/s(E1),6~10km。,主要用在企事业单位,视频会议,LAN互联,PBX程控交换机互连,升级型号HDSL2

2、 SDSL:单线数字用户环路,对称的DSL技术,一对铜线

3、 ADSL:非对称数字用户线,上行512Kb/s~1Mb/s,下行1~8Mb/s。在保证不影响正常电话使用的前提下,利用原有的电话双绞线进行高速数据传输。主要用于Internet接入、居家购物、远程医疗等。属于OSI模型的物理层,主要实现信号的调制及提供接口类型等一系列底层的电气特性。ADSL标准主要有两种G.DMT(上1.5Mb/s,下8Mb/s)和G.Lite(上128~384Kb/s,下1.544Mb/s~6Mb/s)。

4、 RADSL:速率自适应非对称数字用户环路,是自适应速率的ADSL技术,上272Kb/s~1.088Mb/s,下行640Kb/s~22Mb/s。RADSL的速率可以传输距离动态自适应,当距离增大时,速率降低。

5、 VDSL:甚高速数字用户环路,非对称,是xDSL技术中最快的一种,上行1.6Mb/s以上,下行51Mb/s~55Mb/s。特点是速率高距离短(300m),适合中国实际情况的宽带接入解决方案,和光纤到路边(FTTC)相结合,可作为无源光网络(PON)的补充,实现宽带接入。

6、 CDSL:是DSL注册商标版本

7、 IDSL:ISDN-DSL接入

8、 UDSL:单向DSL接入,是HDSL的单向版本。

HFC接入

基于HFC(光纤同轴电缆混合网)的Cable MODEM技术,对有线电视网络和电信公司。

Cable MODEM的传输介质是HFC网,结构比普通MODEM复杂,由调制解调器、调谐器、加/解密模块、桥接器、网络接口卡、以太网集线器等组成,无需拨号上网,不占用电话线,可提供随时在线连接的全天候服务。

高速以太网接入

基于5类线的高速以太网由局侧设备和用户侧设备组成。容量分为10/100/1000Mb/s三级,可按需升级。提供强大的网管功能和丰富的计费信息。以太网接入方式,在性能价格比上既适合中国国情,又符合网络未来发展趋势。

X.25接入

和OSI的数据链路层和物理层对应,由ITU-T提出,允许不同网络中的计算机通过一台工作在网络层的中间计算机相互通信,X.25协议提供了点对点的面向连接的通信,确保每个包都可以到达其预期的目标地址。X.25可以通过三种模式传输数据:交换型虚拟电路、永久型虚拟电路和数据报。

DDN接入

数字数据网是利用数字信道来连续传输数据信号的,不具备数据交换的功能。主要作用是向用户提供永久性和半永久性连接的数字数据传输信道。可用于计算机之间的通信,可传送数字传真、数字话音、数字图像信号等。永久性连接是指用户建立固定连接,传输速率不变的独占带宽电路,半永久性对用户来说是非交换性的,由网络管理人员对其提出的传输速率、传输数据的目的地和传输路由进行修改。

DDN的特点

1、传输速率高:2Mb/s

2、传输质量高

3、协议简单

4、灵活的连接方式

5、电路可靠性高

6、网络运行管理简便

DDN网络的结构

DDN网由数字传输电路和数字交叉利用设备组成,数字传输主要以光缆传输为主。

DTE:数字终端设备,DSU:数据业务单元,NMC:网管中心

按照基本功能DDN网可分为核心层、接入层、用户接口层

29.9. 无线网络技术

无线接入可分为移动接入与固定接入两种。

WiMax(802.16无线城域网接入)

是面向城域网的宽带无线接入技术(802.16)的代名词。最大覆盖范围是50km,速率100Mb/s,是一种定位于IP城域网的无线接入技术。主要用于固定无线宽带接入地理位置分散的信息节点的回程传输,WiMax系统可以连接WLAN的节点和因特网,可作为企业T1或家庭xDSL和Cable MODEM的无线扩充技术,或取代有线宽带接入的市场。

WiMax的技术特点:

1、链路层技术

2、 QoS性能:可向用户提供QoS性能的数据、视频、话音业务,可提供三种等级服务:CBR(固定带宽)、CIR(承诺带宽)、BE(尽力而为)

Wi-Fi(802.11无线局域网接入)

Wi-Fi是802.11标准的代名词,是针对局域网的无线接入技术制定的,覆盖距离10~300米,是解决“最后100米”的通信接入。实际应用的有802.11、802.11b、802.11a、802.11g

CDMA2000

WCDMA(宽带码分多路访问)

3G的主流技术之一,

第三代的主要技术体制中的WCDMA-FDD/TDD和TD-SCDMA都是以CDMA技术为核心。

29.10. 光网络技术

光纤通信具有通信容量大、质量高、性能稳定、防电磁干扰、保密性强等优点。

光纤接入网是指接入网中的传输媒介为光纤的接入网,光纤接入网从技术可分为两大类:有源光网络(AON)和无源光网络(PON),有源光网络分为基于SDH(同步光网络)和基于PDH(异步光网络)的AON,无源光网络分为APON(ATM PON)和EPON(以太网PON)。

根据光网络单元的位置,光纤接入方式可分为

1、 FTTR:光纤到远端接点,Fiber to the Remote

2、 FTTB:光纤到大楼,Fiber To The Building

3、 FTTC:光纤到路边,Fibre to the Curb

4、 FTTZ:光纤到小区,Fiber To The Zone

5、 FTTH:光纤到户,Fiber to the Home

接入网用SDH系统

无源光网络PON

无源光网络是一种纯介质网络,避免了外部设备的电磁干扰和雷电影响,减少了线路和外部设备的故障率,提高了系统可靠性。

标称速率有两种

1、适用FTTC的对称155.52Mb/s

2、适用FTTC的非对称,下行622.08Mb/s,上行155.52Mb/s。

FSO(Free Space Optics无线光通信)

FSO技术基于光传输方式,具有高带宽,部署迅捷、费用合同等优势,FSO以激光为载体,用点对点或点对多点的方式实现连接,以空气为传输介质。

29.11. 网络规划与设计

1、应用需求分析:对应用系统在网络需求进行深入调查是做好网络系统需求分析的基础
1、应用需求调研:,包括应用系统性能、应用系统的节点、数据量和频度、数据类型和数据流向,
2、网络应用分析:

2、现有网络系统分析:
1、现有网络系统结构调研:服务器数量和位置,客户机的数量和位置,同时访问的用户数量,每天的用户数,每次使用的时间,每次数据传输的数据量,网络拥塞的时间段,采用的协议,通信模式。
2、现有网络体系结构分析:

3、需求分析:用户对目标网络系统在功能上、通信能力、性能、可靠性、安全性、运行维护及管理方面的期望。

4、技术和产品的调研和评估:网络产品、网络技术

5、网络设计的目标原则:
1、网络设计目标:功能性、可升级性、可适应性、可管理性、费用有限性,高效率性
2、网络设计原则:先进性、实用性,可扩充、可维护性、可靠性、安全保密性
3、网络设计标准:布线标准、节点编码标准、设备选择标准、物理安全标准

6、网络系统的设计
1、确定协议
2、确定拓扑结构:分析原有拓扑结构,确定拓扑结构,定服务器位置,确定配线间位置,节点编号和线路编号
3、确定连接:布线
4、确定节点
5、确定网络的性能
6、确定可靠性措施
7、确定安全性措施
8、网络设备的选择

7、设计评审

29.12. 综合布线系统

建筑物与建筑群综合布线系统简称综合布线系统,它是指一幢建筑物内或建筑群体中的信息传输媒质系统,是将相同或相似的缆线(如双绞线、同轴电缆或光纤),连接硬件组合在一套标准的且能用的、按一定秩序和内部关系而集成的整体。

综合布线系统的特点:

1、兼容性

2、开放性

3、灵活性

4、可靠性

5、先进性

6、经常性

综合布线系统的范围分为两种:单幢建筑和建筑群体。

综合布线系统的组成(六个子系统)

1、建筑群子系统:实现建筑物之间的相互连接,光缆

2、垂直干线子系统:负责连接管理间子系统到设备间子系统,使用光缆或UTP

3、水平配线子系统:实现信息插座和管理子系统的连接。

4、设备间子系统:由设备中的电缆、连接器和相关支撑设备组成,与公共系统设备相连。

5、管理子系统:为连接其他子系统提供连接手段,由配线架、HUB和机柜、电源

6、工作区子系统:由终端设备连接到信息插座的连线组成。包括连接器和适配器

综合布线系统的性能指标

应用级别

A级:包括语音频带及低频应用

B级:包括中比特率的数据应用

C级:包括高比特率的数据应用

D级:包括甚高比特率的数据应用

光纤级:包括高和甚高比特率的数据应用

29.13. 机房工程

机房工程结合了机房的环境条件、消防与安全、室内装修、送配电、综合布线、空气调节、照明、接地等方面的内容

机房宜设于建筑物的第2、3层

29.14. 网络管理

网络管理工具

HP的Open View

IBM的Net View

Sun的SunNet Manager

Cabletron的SPECTURM

Cisco的Work 2000

网络故障分类

1、硬件故障

2、网络和配置故障

3、线路故障

4、路由器故障

5、主机故障

网络安全管理

攻击类型

1、入侵

2、拒绝服务

3、信息窃取

安全机制

1、身份验证

2、授权

3、审核

4、数据加密

5、公共密匙加密和数字签名

6、数据包过滤

7、防火墙

8、入侵监测系统

9、物理安全

网络防病毒措施

1、保护服务程序的安全

2、保护工作站的安全

30. 软件工程基础知识

软件工程方法学包含三个要素:方法、工具和过程。方法是指完成软件开发的各项任务的技术方法;工具是指为运用方法而提供的软件工程支撑环境;过程是指为获得高质量的软件所需要完成的一系列任务的框架。

30.1. 软件需求分析与定义

软件需求是系统必须完成的事,以及必须具备的品质。软件需求包括功能需求、非功能需求和设计约束。功能需求是指系统必须完成的那些事,即为了向它的用户提供有用的功能,产品必须执行的动作。非功能需求是指产品必须具备的属性或品质。设计约束也称为限制条件、补充规约。

业务需求:是指反映组织机构或客户对系统、产品高层次的目标要求,通常问题定义本身就是业务需求

用户需求:是指描述用户使用产品必须要完成什么任务,怎么完成的需求,通常是在问题定义的基础上进行用户访谈、调查,对用户使用的场景进行整理,从而建立从用户角度的需求。

系统需求:从系统的角度来说明软件的需求,包括用特性说明的功能需求,质量属性,以及其他非功能需求,还有设计约束。

三者之间的关系:业务需求生成范围文档、用户需求生成用例文档、系统需求和用户需求生成功能需求,三者结合加上质量属性、非功能需求、设计约束成为SRS。

需求工程

需求工程是一个包括创建和维护系统需求文档所必需的一切活动的过程,通常包括需求开发和需求管理两大工作。

需求开发:需求捕获、需求分析、需求规格化和需求验证四个阶段

需求管理:定义需求基线、需求变更管理、需求跟踪。

需求调查必须清楚了解三个问题

1、应该搜集什么信息:与问题域相关的信息(业务资料、组织结构图、业务处理流程等)、与要求解决的问题相关的信息、用户对系统的特别期望与施加的任何约束信息

2、从什么地方搜集这些信息:客户、原有系统、竞争对手的产品、技术法规与标准

3、用什么机制或者技术搜集这些信息:用户访谈、调查表、现场观摩、文档考古、会议

需求捕获的策略:在整个需求过程中,需求捕获、需求分析、需求规格化、需求验证四个阶段不是瀑布式发展,而是迭代式的演化过程。

可行性研究

可行性研究工作的基础:可行性研究不是解决问题,而是研究问题的范围,及问题是否值得去解决。可行性研究的基础是问题定义,问题定义的关键是清晰地界定问题的内容、性质,以及系统的目标、规模等内容,并形成完整的书面报告。

可行性研究的内容:

1、技术可行性:现有的技术是否能够有效地解决该问题,是否有多种不同的解决方案,现有的技术力量是否达到

2、经济可行性:支出分析、收益分析、投资回报分析及敏感性分析

3、运行环境可行性:从用户单位的管理体制、管理方法、规章制度、工作习惯、人员素质、数据资源积累、硬件平台等多方面进行评估,以确定软件系统在交付后,是否能在用户单位顺利运行。

4、其他方面的可行性分析:法律可行性(合同责任、知识产权等)、社会可行性。

可行性研究工作步骤

一般地,可行性研究分为初步可行性研究、详细可行性研究、可行性研究报告三个阶段,可以分成几个基本步骤:

1、确定项目规模和目标

2、研究正在运行的系统

3、建立新系统的逻辑模型

4、导出和评价各种方案

5、推荐可行性方案

6、编写可行性研究报告

7、递交可行性研究报告

初步可行性研究

初步可行性研究的目的是以下几个方面来衡量,决定是否应该进行详细可行性研究

1、分析项目的前途,决定是否应该继续深入调查研究

2、初步估计和确定项目中的关键技术及核心问题,以确定是否需要解决

3、初步估计必须进行的辅助研究,以解决项目的核心问题

初步可行性研究的结果是初步可行性研究报告,该报告比详细可行性研究报告粗略,但是对项目已经有了全面的描述、分析和认证,所以初步可行性研究报告可以作为正式的文献供决策参考,依据初步可行性研究报告形成项目建议书,通过审查项目建议书决定项目的取舍,即所谓的“立项”决策。

辅助(功能)研究

辅助(功能)研究包括项目的一个或几个方面,但不是所有方面,一般只对项目的关键部分进行辅助(功能)研究,并且只能作为初步项目可行性研究、项目可行性研究和大规模投资建议的前提或辅助,辅助研究的一个目的就是要在项目可行性研究阶段节省费用。

详细可行性研究

机会研究、初步可行性研究、详细可行性研究、评估与决策是投资前的四个阶段

升级改造项目只做初步和详细研究,小项目一般只进行详细可行性研究。

详细可行性研究是在项目决策前对项目有关的技术、经济、法律、社会环境等方面的条件和情况进行详尽的、系统的、全面的调查、研究、分析,对各种可能的技术方案进行详细的论证、比较,并对项目建设完成后可能产生的经济、社会效益进行预测和评价,最终提交的可行性研究报告将成为进行项目评估和决策的依据。

详细可行性研究的依据

1、国家经济和社会发展的长期规划,部门与地区的发展规划,国家和地方的相关政策、法律、法规和制度

2、项目主管部门对项目设计开发建设要求请求的批复

3、项目建议书或者项目建议书批准后签订的意向性协议

4、国家、地区、企业的信息化规划和标准

5、市场调研分析报告

6、技术、产品或工具的有关资料

7、国家有关经济法规、规定。

详细可行性研究的基本原则

1、 科学性

2、 客观性

3、 公正性

详细可行性研究的内容

1、概述:项目背景、必要性和经济意义

2、需求确定

3、现有资源、设施情况分析

4、设计(初步)技术方案

5、项目实施进度计划建议

6、投资估算和资金筹措计划

7、项目组织、人力资源、技术培训计划

8、经济和社会效益分析

9、合作、协作方式

10、可行性研究结论与建议

项目论证

项目论证是指对拟实施项目技术上的先进性、适用性,经济上的合理性、盈利性,实施上的可能性、风险性进行全面科学的综合分析,为项目决策提供客观依据的一种技术经济研究活动。项目论证应该围绕着市场需求、开发技术、财务经济三个方面展开调查和分析,市场是前提、技术是手段、财务经济是核心。

项目论证一般分为机会研究、初步可行性研究和详细可行性研究

项目评估

项目评估指在项目可行性研究的基础上,由第三方(国家、银行或有关机构)根据国家颁布的政策、法规、方法、条例等,从项目、国民经济、社会角度出发,对拟建项目建设的必要性、建设条件、生产条件、产品市场需求等进行评价、分析和论证,目的是审查项目可行性研究的可靠性、真实性和客观性,为银行的贷款决策或行政主管部门的审批决策提供科学依据。

需求分析工作通常七个方面:

1、绘制系统上下文范围关系图:是用于定义系统与系统外部实体间的界限和接口的简单模型。

2、创建用户接口原型:创建可抛弃的用户界面原型

3、分析需求的可行性

4、确定需求的优先级

5、 为需求建立模型:用图形表示的需求就是需求建模,OO的用例图、结构化的DFD、OD的E-R图

6、创建数据字典

7、使用质量功能调配(QFD):QFD将需求分为三类,期望需求(少了不满意)、普通需求、兴奋需求(有客户惊喜,没有也不责备)

流行的需求分析方法论

结构化分析方法(SA)、软件系统方法、面向对象分析方法OOA、面向问题域的分析(PDOA)

结构化分析与面向对象分析方法之间最大差别是:SA把系统看做一个过程的集合体,包括人完成的和电脑完成的,OOA把系统看成一个相互影响的对象集。

SA常用的工具包括:数据流图(DFD)、数据字典(DD)、结构化语言、判定表、判定树

SA是一种强烈依赖数据流图的自顶向下的建模方法。

Context图:系统上下文范围关系图:将整个待开发的系统表示为一个过程,将所有的外部实体和进出系统的数据流都画在一张图中,可以把整个系统的范围勾画出来。

DFD 0层图是对Context图的细化

为了能够更好地描述DFD的部件,结构化分析方法还引入了数据字典、结构化语言,以及决策树、决策表等方法。通过使用这些工具,能够对数据流图中描述不够清晰的地方进行有效的补充。

数据字典:对与系统相关的数据元素有组织的列表和精确定义,使用户和系统分析员对输入、输出、存储成分和中间计算结果有共同的理解。

结构化语言说明加工处理流程,用来描述一些重要的、复杂的过程的程序逻辑;

决策表和决策树是对处理逻辑的表示方法。

30.2. 软件设计

软件设计基本原则:

1、信息隐蔽:每个模块的实现细节对于其他模块来说是隐蔽的,模块中所包含的信息不允许其他模块使用。信息隐蔽技术提高了软件的可维护性,改善了软件的可靠性。

2、模块独立性:是指软件系统中每个模块只涉及软件要求的具体子功能,和其他的模块接口是简单的,一般采用两个准则度量模块独立性:模块间耦合和模块内聚。

耦合是程序结构中模块间相互关联紧密程度的度量,耦合程度取决于各个模块间接口的复杂程度、调用模块的方式,以及接口的信息量。耦合分为七种:

1、非直接耦合:两个模块之间没有直接关系,它们之间的联系完全是通过主模块的控制和调用来实现的,非直接耦合的模块独立性最强

2、数据耦合:一个模块访问另一个模块时,彼此之间是通过简单变量(不是控制参数、公共数据结构和外部变量)来交换输入、输出信息的,这种耦合为数据耦合

3、标记耦合:一组模块通过参数表传递记录信息,就是标记耦合,这个记录是某一数据结构的子结构,而不是简单变更。

4、控制耦合:一个模块通过传送开关、标志、名字等控制信息,明显地控制选择另一模块的功能,称为控制耦合

5、外部耦合:一组模块都访问同一全局简单变量而不是同一全局数据结构,而且不是通过参数表传递该全局变量的信息,则称为外部耦合。

6、公共耦合:若一组模块都访问同一个公共数据环境,则它们之间的耦合就称为公共耦合。公共的数据环境可以是全局数据结构、共享的通信区、内存的公共覆盖区。

7、内容耦合:一个模块直接访问另一个模块的内部数据;一个模块不通过正常入口转到另一模块内部;两个模块有一部分程序代码重叠;一个模块有多个入口。

内聚是一个模块内部各个元素彼此结合的紧密程度的度量,各元素之间的联系越紧密,内聚性越高,与其他模块间的耦合性就越低,而模块独立性就越强。

在设计模块时应尽量争取高内聚,内聚性分为七种:

1、功能内聚:实现一个功能,内聚性最强

2、信息内聚:完成多个功能,各个功能在同一数据结构上操作

3、通信内聚:模块内各功能部分使用了相同的输入数据或产生相同的输出数据

4、过程内聚:把流程图中某一部分划出组成模块,即过程内聚,如循环部分、判定部分、计算部分分成三个模块

5、时间内聚:又称为经典内聚,大多为多功能模块,模块的各个功能的执行与时间有关,如初始化模块和终止模块

6、逻辑内聚:把几种相关的功能组合在一起,由传送给模块的判定参数来确定执行哪一种功能。

7、巧合内聚:模块内各部分之间没有联系,或即使有联系,也很松散,是内聚程序最低的模块。

结构化设计方法

四种模块:传入模块、传出模块、变换模块、协调模块

结构图着重反映模块间的隶属关系,着眼于软件系统的总体结构,即模块间的调用关系和层次关系。程序流程图着重表达程序执行的顺序,以及执行顺序所依赖的条件。

常用的系统结构图包括:变换型系统结构图、事务型系统结构图、混合型事务结构图

用户界面设计

好的用户界面应具有如下特点:

1、可使用性:使用简单、术语标准化、响应快、具有容错能力、具有HELP功能

2、灵活性:能够满足不同用户的要求、可根据需要制定和修改界面方式

3、复杂性和可靠性:无故障使用的间隔时间。

设计评审

在开发时期的每个阶段,特别是设计阶段结束时要进行严格的技术评审,尽量不让错误传播到下一个阶段,设计评审一般采用评审会议的形式来进行。

设计评审一般涉及到的人员包括:设计负责人、高级管理人员(确定主审员、审批评审记录)、主审员、评审组

30.3. 软件测试

软件测试是为了发现错误而执行程序的过程,是根据程序开发阶段的规格说明及程序内部结构而精心设计的一批测试用例,并利用这些测试用例去运行程序,以发现程序错误的过程。

测试用例设计

测试用例是为特定目标开发的测试输入、执行条件和预期结果的集合。设计测试用例通常有两种常用的测试方法:黑盒测试和白盒测试

黑盒测试

不考虑程序的内部逻辑结构和内部特性,只依据程序的需求规格说明书,检查程序的功能是否符合它的功能说明,又称为功能测试或数据驱动测试。

黑盒测试主要是在程序的接口上进行测试,主要是为了发现以下错误:

是否有不正确或遗漏了的功能;

在接口上,能否正确的接收输入,能否输出正确的结果

是否有数据结构错误或外部信息访问错误

性能上是否能够满足要求

是否有初始化或终止错误

黑盒测试的测试用例设计方法主要有:

等价类划分:是一种典型的黑盒测试方法,依据程序的规格说明书来设计测试用例,将所有可能的输入数据划分为若干个部分,然后从每一部分中选取少数有代表性的数据作为测试用例,分为划分等价类和选取测试用例两步。

边界值分析:是对等价类划分方法的补充,选取正好等于、刚刚大于或刚刚小于边界的值作为测试数据,从经验得知,大量的错误是发生在输入或输出范围的边界上。

错误推测法:可以靠经验和直觉推测程序中可能存在的各种错误,从而有针对性编写检查这些错误的用例

因果图:如果在测试时必须考虑输入条件的各种组合,可使用一种适于描述多种条件的组合,相应产生多个动作的形式来设计测试用例,这就需要利用因果图。因果图最终生成的就是判定表,它适合于检查程序输入条件的各种组合情况。

白盒测试

允许测试人员利用程序内部的逻辑结构和有关信息,设计或选择测试用例,对程序所有逻辑路径进行测试。确定实际的状态是否与预期的状态一致,又称为结构测试和逻辑驱动测试。

白盒测试主要对程序模块进行如下检查:

对程序模块的所有独立的执行路径至少测试一次

对所有的逻辑判定,取“真”与取“假”的两种情况都至少测试一次

在循环的边界和运行界限内执行循环体

测试内部数据结构的有效性等

逻辑覆盖

逻辑覆盖是以程序内部的逻辑结构为基础的设计用例的技术。它属白盒测试,包括语句覆盖、判定覆盖、条件覆盖、判定-条件覆盖、条件组合覆盖、路径覆盖等

软件测试是由一系列不同的测试所组成,这些软件测试步骤分为:单元测试、集成测试、确认测试和系统测试。

单元测试:也称为模块测试,是针对每个模块进行的测试,可从程序的内部结构出发设计测试用例,通常在编码阶段进行,必要的时候要制作驱动模块和桩模块,驱动模块是指在单元测试和集成测试中,协调输入和输出的测试程序;桩模块指模拟被调用单元的程序。
单元测试可以测试模块接口、局域数据结构、独立路径、错误处理路径和边界条件。

集成测试:在单元测试的基础上,将所有模块按照设计要求组装成系统,应提交集成测试计划、集成测试规格说明和集成测试分析报告。把模块组装为系统的方式有两种:一次性组装方式和增殖式组装方式。
集成测试需要考虑的问题是:在把各个模块连接起来的时候,穿越模块接口的数据是否会丢失,一个模块的功能是否会对另一个模块的功能产生不利的影响;各个子功能组合起来,能否达到预期要求的父功能;全局数据结构是否有问题;单个模块的误差累积起来,是否会放大,从而达到不能接受的程度。

确认测试:确认测试依据软件需求规格说明书验证软件的功能、性能及其他特性是否与用户的要求一致。确认测试应交付的文档有:确认测试分析报告;最终的用户手册和操作手册;项目开发总结报告。

系统测试:将软件放在整个计算机环境下,包括软硬件平台、某些支持软件、数据和人员等,在实际运行环境下进行一系列的测试。系统测试的目的是通过与系统的需求定义做比较,发现软件与系统的定义不符合或矛盾的地方。

@测试:是由一个用户在开发环境下进行的测试,也可以是公司内部的用户在模拟实际操作环境下进行的测试。@测试的目的是评价软件产品的功能、局域化、可使用性、可靠性、性能和支持,尤其注重产品的界面和特色,@测试可以从软件产品编码结束之时开始,或者在模块测试完成之后开始,也可以在确认测试过程中产品达到一定的稳定性和可靠程度之后再开始

β测试:β测试是由软件的多个用户在实际使用环境下进行的测试,这些用户返回有关错误信息给开发者,β测试是在开发者无法控制的环境下进行的软件现场应用。Β测试着重于产品的支持性,包括文档、客户培训和支持产品。只有当@测试达到一定的可靠程度时,才开始β测试。它处在整个测试的最后阶段。

面向对象的测试分为OOA Test、OOD Test、OOP Test、面向对象单元测试、面向对象集成测试、面向对象系统测试。

OOA Test重点应该放在完整性和冗余性,分为五个方面:对认定的对象的测试、对认定的结构测试、对认定的主题的测试、对定义的属性和实例关联的测试、对定义的服务和消息关联的测试。

30.4. 软件维护

软件维护的目的是保证软件在运营时期能够正常运行。

软件具有可维护性由以下三个因素决定:

可理解性

可测试性

可修改性

提高软件的可维护性

采用软件工程提高软件的可维护性:注重文档(用户文档和系统文档)

注重可维护性的开发过程:从软件的可理解性、可测试性、可修改性等方面提高软件可维护性。需求分析阶段对可能的修改部分明确说明,设计阶段遵循高内聚低耦合的设计原则,编码阶段采用科学的编码规范,保证保释的质量,测试阶段做好测试记录及相关文档,维护阶段有要严格的配置管理,保证系统文档、用户文档与系统的一致性。

可维护性的度量

从软件的内部和外部两个方面来度量可维护性

软件外部使用平均修复时间(MTTR)来度量软件的可维护性,它是指处理一个有错误的软件组件需要花费的平均时间。

M=1/(1+MTTR)

平均修复时间需要记录:分析问题需要的时间、确定改动方案需要的时间、执行改动花费的时间、测试改动花费的时间、其他管理花费的时间

软件内部,通过度量软件的复杂性来间接度量可维护性,与软件复杂性相关的因素包括:环路数、软件规模、其他因素(嵌套深度、系统用户数)

软件维护的分类

纠错型维护:纠正和改正在软件使用过程中发现的错误

适应型维护:适应变化了环境而修改软件的活动

完善型维护:为了扩充或完善原有软件的功能或性能而修改软件的活动

预防型维护:为了提高软件的可维护性和可靠性,为未来进一步改进打下基础而修改软件的活动。

纠错型维护、适应维护、完善型维护是由用户驱动的、预防型维护是由开发商驱动的。

总体上完善性维护约占50%以上,适应性维护约占25%,纠错型维护约占20%,预防型维护约占5%。

软件维护的工作量

维护活动可分成生产类(如确认需求、设计、编码、测试、培训等)和非生产类(熟悉原有软件的代码,理解原有软件的结构等)

维护工作量数学模型:

M=维护的总工作量

P=生产类活动工作量

K=经验常数

c=软件的复杂程度

d=维护人员对软件的熟悉程度

生产类维护工作量相对来说比较稳定

由于开发混乱,导致软件复杂度c增加,同时使维护人员理解软件的难度增加,对软件的熟悉程度d降低,维护工作量快速上升

在软件复杂度c一定的前提下,维护人员对软件的熟悉程度d越低,则维护工作量呈指数规律增加

影响维护工作量的其它因素包括:

维护工作本身是否规范,及维护工作对后续维护工作量的影响

软件系统的类型不同维护工作量也有区别

硬件是否稳定。

软件维护作业的实施和管理

本质上说,维护过程是修改和压缩了的开发过程

1、建立维护组织

2、提出维护需求

3、实施维护作业

4、记录维护要素

5、评价维护活动

30.5. 软件再生工程

1、筛选

2、文档重构

3、代码重构

4、数据重构

5、逆向工程

6、重新开发

30.6. 软件配置管理

软件配置管理是通过在软件生命周期的不同的时间点上对软件配置进行标志并对这些被标志的软件配置项的更改进行系统控制,从而达到保证软件产品的完整性和可追溯性的过程。

软件配置管理的四个功能:配置标志、配置控制、配置状态发布、配置的评审。

接受软件配置管理过程控制的软件受控配置项应包括一切可能对软件产品的完整性和一致性造成影响的组成要素。比如项目文档、产品文档、代码、支撑数据、项目编译建立环境、项目运行环境等。

配置项是逻辑上组成软件系统的各组成部分,是软件配置管理的基础和前提。

基线是一个配置项或一组配置项在其生命周期的不同时间点通过正式评审而进入正式受控的一种状态,这个过程被称为基线化。每一个基线都是其下一步开发的出发点和参考点。上一个基线加上增加和修改的基线内容形成下一个基线。这就是基线管理,

基线具有以下属性:

1、通过正式的评审过程建立

2、基线存在于基线库中,对基线的变更接受更高权限的控制。

3、基线是进一步开发和修改的基准和出发点

配置标志是软件生命周期里选择定义各类配置项,建立各类基线、描述相关软件配置项及其文档的过程。配置标志分为三个步骤:

1、将软件分组成一系列软件配置项

2、定义对配置项命名规则

3、对配置项的描述文档(功能,性能,物理特性等)

配置控制

是对配置项的变更申请进行初始化、评估、协调、实现,包括将通过和实现的变更加入到基线中的更改控制过程。

变更控制

变更分为两种类型:功能变更和错误修复变更

1、功能变更:根据客户的需要增加或删除某些功能,或者修改实现功能的方法所引起的变更

2、错误修改变更是为了修改漏洞的需要而产生的变更

变更申请

成本/效益分析

决定是否进行变更

实施变更

审查

检入

配置状态报告

是跟踪对软件的更改的过程,它保证对正在进行和已完成的变更进行记录、监视并通报。用以跟踪对已建立基线的需求、源代码、数据,以及相关文档的更改。

1、配置状态记录

2、编制配置状态报告:软件配置项的状态、变更申请和已批准的变更实现情况

3、配置状态发布:通知相关管理人员和软件工程师

配置库

收集所有与配置有关的信息,评价系统变更的效果,为配置管理过程提供管理信息

1、开发库:专供给开发人员使用,内容可由开发人员决定是否修改

2、受控库:也称为软件配置管理库,

3、产品库:存放最终产品、等待交付用户或现场安装的产品

配置评审

是验证一个可发布的软件基线是否包含了它应包括的所有内容。包括功能配置评审和物理配置评审。

1、功能配置评审:确认软件已通过测试并满足基线规定的需求说明,保证正确性

2、物理配置评审:确认将发布的软件包含了所有必需的组成部分(代码、文档、数据)保证完整性

判断变更是否正确完成,需进行正式技术评审和软件配置审核

1、正式技术评审:检查已完成修改的软件配置对象的技术正确性

2、软件配置审核:各项产品在技术上和管理上的完整性。

30.7. 软件开发环境(SDE)

软件开发环境是一组相关软件工具的集合,它们组织在一起支持某种软件开发方法或者与某种软件开发模型相适应

SDE的主要组成部分是软件工具。

集成型开发环境具有集成性、开放性和可剪裁性特点。开放性使其可扩展,可剪裁性使其可适应各类应用形成特定的开发环境。

集成开发环境由工具集和环境集成机制两部分组成。

工具集包括项目管理工具、支撑工具、分析设计工具、程序设计工具、测试工具、维护工具等。

环境集成机制主要有数据集成机制、控制集成机制和界面集成机制

1、数据集成机制:提供统一的数据模式和数据接口规范,如共享文件、共享数据结构、和共享信息库等。使相互协作的工具可通过统一的模式与规范交换数据。

2、控制集成机制:支持各工具或各开发活动之间的通信、切换、高度和协同工作。一般通过消息通信机制实现。

3、界面集成机制:提供统一的工具界面风格和统一的操作方式,减少用户学习不同工具的使用成本。

软件开发环境通常由以下几个部分组成

1、工具集

2、集成机制

3、环境信息库

4、过程控制和消息服务器

5、环境用户界面

软件开发环境的结构为层次性结构,分为四层

1、宿主层:包括基本宿主硬件和基本宿主软件

2、核心层:包括工具组、环境数据库和会话系统

3、基本层:包括至少一组工具,如编译工具、调试工具等

4、应用层:以基本层为基础补充某些工具,以适应应用软件的要求。

30.8. 软件过程管理

CMM:软件过程能力成熟度模型

CMM基本概念

1、过程:为实现既定目标的一系列操作步骤

2、软件过程:指人们用于开发和维护软件及其相关产品的一系列活动、方法、实践和革新。

3、软件过程能力:描述了在遵循一个软件过程后能够先到的预期结果的界限范围,是对能力的一种衡量,用它可以预测一个组织在承接下一个软件项目时,能期望得到的最可能的结果。

4、软件过程性能:表示遵循一个软件过程后所得到的实际结果,软件过程性能关注的是实际得到的结果,软件过程能力关注的是期望得到的结果。由于项目要求和客观环境的差异,软件过程性能不可能充分反映软件过程整体能力,即软件过程性能受限于它的环境。

5、软件过程成熟度:指一个具体的软件过程被明确地定义、管理、评价、控制和产生实效的程度。表明了组织实施软件过程的实际水平。

6、关键过程域:指一系列相互关联的操作活动。这些活动反映了一个软件组织改进软件过程时所必须满足的条件。KPA标志了达到某个成熟程度级别时所必须满足的条件。

7、关键实践:指关键过程域中的一些主要实践活动。每个KPA由关键实践组成,通过实现关键实践达到关键过程域的目标,关键实践描述了该做什么,但没有规定如何去做。

8、软件过程评估:用来判断一个组织当前所涉及的软件过程的状态,以确定组织该如何对其进行有效的改进。

9、软件能力评价:用来判断有意承担某个软件项目的软件组织的软件过程能力,或判断已进行的软件过程所处的状态是否正确或是否正常。

10、软件工程组:负责一个项目的软件开发和维护活动的团队,如分析、设计、编码测试等

11、软件相关组:支持但不直接负责软件开发和维护工作的团队,如质量保证组,软件工程过程组等

12、软件工程过程组:由专家组成的组,推进组织采用的软件过程的定义、维护和改进工作。

13、系统工程组:包括分析系统需求,将系统需求分配给硬件、软件和其他成分,规定硬件、软件和其他成分的界面。

14、系统测试组

15、软件质量保证组

16、软件配置管理组

17、培训组

CMM分级标准

1、初始级:软件过程定义无章法和无步骤可循的状态,成功往往依赖个别人或机遇

2、可重复级:建立了基本的项目管理过程,对类似的项目,能重复以往所取得的成功

3、已定义级:定义了组织级的标准软件过程

4、已管理级:是量化的管理,所有过程都建立了相应的度量方式

5、优化级:通过各种定量分析,能够不断地、持续地进行过程改进。

除第一级外,每一级都设定了一组目标,如果达到这组目标,则表明达到了这个成熟级别,每个低级别的实现均是高级别实现的基础,上升一组需12~30个月之间。

CMM分级标准有两个用途:

1、软件组织利用它可以评估自己当前的过程成熟度,并以此提出严格改进策略

2、作为客户选择软件开发商的一种评价标准。

CMM的内部结构

除第一级外,每一级按完全相同的内部结构构成。

1、最顶层为成熟度等级,反映了软件组织的软件过程能力

2、成熟度等级包含关键过程域:要达到某个成熟度等级,必须完全满足关键过程域所规定的的要求。单个项目管理在可重复级,集成、同组评审,过程、培训在已定义级,定量管理和软件质量管理在已管理级,改进和缺陷预防在优化级
1、可重复级:需求管理、软件项目计划、软件项目跟踪与监控、软件子合同管理、软件质量保证、软件配置管理
2、已定义级:集成软件管理、组间协调、组织过程焦点、组织过程定义、培训程序、软件产品工程、同级评审
3、已管理级:定量管理过程、软件质量管理
4、优化级:技术改进管理、过程改进管理、缺陷预防

3、 KPA用5个公共属性对关键实践分组,
1、执行约定:也称实施保证,是组织为了建立和实施KPA必须采取的行动,与政策和管理方式有关
2、执行能力:也称实施能力,是企业实施KPA的前提条件,满足了这些条件后,可有可能执行KPA的实践活动,关注项目计划的实践,资源的配置,责任的分配,培训等
3、实施活动:执行KPA所需的必要行动、任务和步骤。包括计划、执行的任务,任务的跟踪等。是惟一与项目执行相关的的属性,其他属性涉及CMM能力基础设施的建立。
4、度量和分析:确定执行活动的状态和执行活动的有效性
5、实施验证:验证执行活动是否与建立的过程一致。如管理评审和审计,质量保证等

软件过程评估(SPE)和软件能力评价(SCE)

软件过程评估(SPE)针对的是软件组织自身内部软件过程的改进问题,目的在于发现缺陷,提出改进方向。

软件能力评价(SCE)是对接受评价者在一定条件下、规定时间内能否完成特定项目的能力的考核。

SPE和SCE的过程:

1、成立评估小组

2、问卷调查和取样

3、结果分析

4、现场访问

5、与CMM模型对照分析

6、依据KPA的基本情况列出评估提纲

SPE和SCE不同:

1、 SPE和SCE在出发点和目标上的不同,使会谈、调查、收集的信息和输出的表示方式有本质的不同

2、 SPE和SCE结果和结果所起的作用不同

3、 SPE和SCE对被评价单位的影响不同,进而也影响到单位对SPE和SCE的态度,一般对SPE的态度比较开放,对SCE的态度比较慎重。

软件企业如何实施CMM

1、提高思想认识

2、进行CMM培训和咨询工作

3、确定合理的目标

4、成立工作组

5、制定和完善软件过程

6、内部评审:组织内部成员,对自己的软件过程进行评审,找出其中的不足并进行改进

7、正式评估:由美国卡内基梅隆大学的软件工程研究所(CMU/SEI)授权的主任评估师领导一个评审小组进行。

8、根据评估结果改进软件过程

CMMI综述

能力成熟度模型集成是CMM模型的最新版本,专业领域覆盖软件工程、系统工程、集成产品开发和系统采购。

CMMI模型的表示

CMMI模型两种表示法:阶段式和连续式。连续式表示法强调的是单个过程域的能力,从过程域的角度考察基线和度量结果的改善,其关键术语是“能力”。而阶段式表示法强调的是组织的成熟度,从过程域集合的角度考察整个组织的过程成熟度阶段,其关键术语是“成熟度”。

阶段式模型分为5个级别

1、级别1(初始级):代表了以不可预测结果为特征的过程成熟度,过程处于无序状态,成功主要取决于团队的技能

2、级别2(已管理级):代表了可以重复项目执行为特征的过程成熟度,主要的过程焦点在于项目级的活动和实践。

3、级别3(严格定义级)代表了以组织内改进项目执行为特征的过程成熟度。建立组织级的活动和实践。

4、级别4(定量管理级)代表了以改进组织性能为特征的过程成熟度。在业务表现的竞争尺度方面的结果是可预测的。

5、级别5(优化级)代表了以可快速进行重新配置的组织性能,以及定量的、持续的过程改进为特征的过程成熟度。

CMMI评估分为三类

1、 A类评估:全面综合的评估方法,要求在评估中全面覆盖评估中所使用的模型,并且在评估结果中提供对组织的成熟度等级的评定结果。

2、 B类评估:较少综合,花费也较少。在开始时做部分自我评估,并集中于需要关注的过程域。不评定组织的成熟度等级。

3、 C类评估:也称为快估。主要是检查特定的风险域,找出过程中的问题所在。

CMMI阶段式的基本结构从CMM演变而来,但是CMMI的结构更加形式化和精致,也更加复杂,尤其为了保证连续式和阶段式的统一性,增加了结构的理解难度

CMMI与CMM相比,强调对需求、工程过程、度量、风险的管理。

CMM是作为评估标准出现的,所以是必要的才能保证评估的标准,CMMI是作为改进模型出现的,罗列了较多的最佳实践,以利于过程的改进。

个体软件过程(PSP)

个体软件过程是一种可用于控制、管理和改进个人工作方式的自我持续改进过程。是一个包括软件开发表格、指南和规程的结构化框架。PSP与具体的技术相对独立,其原则能够应用到几乎软件工程任务之中。

CMM侧重于软件企业中有关软件过程的宏观管理,面向软件开发单位,PSP则侧重于有关软件过程的微观优化,面向软件开发人员。

PSP分为四个级别:

1、个体度量过程PSP0和PSP0.1:建立个体过程基线,学会使用PSP的各种表格采集过程的有关数据,记录过程中存在的问题、解决问题的措施,以提高软件开发人员的质量意识和过程意识。

2、个体规划过程PSP1和PSP1.1:重点是个体计划,学会编制项目开发计划。

3、个体质量管理过程PSP2和PSP2.1:重点是个体质量管理,根据程序的缺陷建立检测表,按照检测表进行设计复查和代码复查,以便及早发现缺陷,使修复缺陷的代价最小。

4、个体循环过程PSP3:把个体开发小程序所能达到的生产效率和生产质量,延伸到大型程序。其方法是采用迭代增量式开发方法。

群组软件过程(TSP)

TSP对群组软件过程的定义、度量和改革提出了一套原则、策略和方法,描述了如何创建高效且具有自我管理能力的工程小组。

实施TSP的五个先决条件:

1、高层主管和各级管理人员的支持

2、全体有关人员的积极参与

3、循环往复、持续改善,不能一蹴而就

4、项目组的开发人员需要经过PSP培训

5、整个开发单位的能力成熟度在应处于CMM二级以上

TSP一般将一个软件项目的开发工作分为四个阶段。

CMM/TSP/PSP三者的结合

CMM/TSP/PSP为软件产业提供了一个集成化的、三维的软件过程改进框架。CMM是过程改善的第一步,它提供了评价组织能力的方式,并为TSP提供了指导原则。PSP为TSP的实施提供了软件工程师的个人技能。TSP结合了CMM的管理方法和PSP的工程技能。

31. 招标投标法

31.1. 总则

在中华人民共和国境内进行下列工程建设项目包括项目的勘察、设计、施工、监理以及与工程建设有关的重要设备、材料等的采购,必须进行招标:

1、大型基础设施、公用事业等关系社会公共利益、公众安全的项目

2、全部或部分使用国有资金投资或国家融资的项目

3、使用国际组织或者外国政府贷款、援助资金的项目

前款所列项目的具体范围和规模标准,由国务院发展计划部门会同国务院有关部门制定,报国务院批准。

招标投标活动应当遵循公开、公平、公正和诚实信用的原则

31.2. 招标

招标项目按照国家有关规定需要履行项目审批手续的,应当先履行审批的手续,取得批准

招标人应当有进行招标项目的资金或者资金来源已经落实,并应当在招标文件中如实载明。

招标分为公开招标和邀请招标

公开招标是指招标人以招标公告的方式邀请不特定的法人或者其他组织投标。

邀请招标是指招标人以投标邀请书的方式邀请特定的法人或者其他组织投标。

国务院发展计划部门确定的国家重点项目和省、自治区、直辖市人民政府确定的地方重点项目不适宜公开招标的,经国务院发展计划部门或者省、自治区、直辖市人民政府批准,可以进行邀请招标。

任何单位和个人不得以任何方式为招标人指定招标代理机构。

招标人具有编制招标文件和组织评标能力的,可以自行办理招标事宜,任何单位和个人不得强制其委托招标代理机构办理招标事宜。

依法必须进行招标的项目,招标人自行办理招标事宜的,应当向有关行政监督部门备案。

招标代理机构是依法设立、从事招标代理业务并提供相关服务的社会中介组织。招标代理机构应当具备下列条件:

1、有从事招标代理业务的营业场所和相应资金

2、有能够编制招标文件和组织评标的相应专业力量

3、有可以作为评标委员会成员人选的技术、经济等方面的专家库

招标代理机构与行政机关和其他国家机关不得存在隶属关系或者其他利益关系

招标代理机构应当在招标人委托的范围内办理招标事宜,并遵守本法关于招标人的规定。

招标人采用公开招标方式的,应当发布招标公告。依法必须进行招标的项目的招标公告,应当通过国家指定的报刊、信息网络或者其他媒介发布

招标人采用邀请招标方式的,应当向三个以上具备承担项目的能力,资信良好的特定的法人或者其他组织发出投标邀请书。

招标公告和投标邀请书应当载明招标人的名称和地址、招标项目的性质、数量、实施地点和时间以及获取招标文件的办法等事项。

招标人应当根据招标项目的特点和需要编制招标文件,招标文件应当包括招标项目的技术要求、对投标人资格审查的标准、投标报价要求和评标标准等所有实质性要求和条件以及拟签订合同的主要条款。

招标项目需要划分标段、确定工期的,招标人应当合理划分标段、确定工期,并在招标文件中载明。

招标文件不得要求或者标明特定的生产供应者以及含有倾向或者排斥潜在投标人的其他内容。

招标人根据招标项目的具体情况,可以组织潜在投标人踏勘现场。

招标人不得向他人透露已获取招标文件的潜在投标人的名称、数量以及可能影响公平竞争的有关招标投标的其他情况。

招标人设有标底的,标底必须保密

招标人对已发出的招标文件进行必要的澄清或者修改的,应当在招标文件要求提交投标文件截止时间至少十五日前,以书面形式通知所有招标文件收受人,该澄清或者修改的内容为招标文件的组成部分。

招标人应当确定投标人编制投标文件所需要的合理时间,但是,依法必须进行招标的项目,自招标文件开始发出之日起至投标人提交投标文件截止之日止,最短不得少于二十日。

31.3. 投标

投标人是响应招标、参加投标竞争的法人或者其他组织。依法招标的科研项目允许个人参加投标的,投标的个人适用本法有关投标人的规定。

投标人应当按照招标文件的要求编制投标文件。投标文件应当对招标文件提出的实质性要求和条件作出响应。

招标项目属于建设施工的,投标文件的内容应当包括拟派出的项目负责人与主要技术人员的简历、业绩和拟用于完成招标项目的机械设备等。

投标人应当在招标文件要求提交投标文件的截止时间前,将投标文件送达投标地点。招标人收到投标文件后,应当签收保存,不得开启。投标人少于三个的,招标人应当依照本法重新招标。

在招标文件要求提交投标文件截止时间后送达的投标文件,招标人应当拒收。

投标人在招标文件要求截止时间前,可以补充、修改或者撤回已提交的投标文件,并书面通知招标人。补充、修改的内容为投标文件的组成部分。

投标人根据文件载明的项目实际情况,拟在中标后将中标项目的部分非主体、非关键性工作进行分包的,应当在投标文件中载明。

两个以上法人或者其他组织可以组成一个联合体,以一个投标人的身份共同投标

联合体各方均应当具备承担招标项目的相应能力;国家有关规定或者招标文件对投标人资格条件有规定的,联合体各方均应当具备规定的相应资格条件。由同一专业的单位组成的联合体,按照资质等级较低的单位确定资质等级。

联合体各方应当签订共同投标协议,明确约定各方拟承担的工作和责任,并将共同投标协议连同投标文件一并提交招标人。联合体中标的,联合体各方应当共同与招标人签订合同,就中标项目向招标人承担连带责任。

招标人不得强制投标人组成联合体共同投标,不得限制投标人之间的竞争。

投标人不得相互串通投标报价,不得排挤其他投标人的公平竞争,损害招标人或者其他投标人的合法权益。

投标人不得以低于成本的报价竞标,也不得以他人名义投标或者其他方式弄虚作假,骗取中标。

31.4. 开标、评标、中标

开标应当在招标文件确定的提交投标文件截止时间的同一时间公开进行;开标地点应当为招标文件中预先确定的地点。

开标由招标人主持,邀请所有投标人参加。

招标人在招标文件要求提交投标文件的截止时间前收到的所有投标文件,开标时都应当当众予以拆封、宣读。开标过程应当记录,并存档备查。

评标由招标人依法组建的评标委员会负责。

依法必须进行招标的项目,其评标委员会由招标人的代表和有关技术、经济等方面的专家组成,成员人数为五人以上单数,其中技术、经济等方面的专家不得小于成员总数的三分之二。

前款专家应当从事相关领域工作满八年并具有高级职称或者具有同等专业水平,由招标人从国务院有关部门或者省、自治区、直辖市人民政府有关部门提供的专家名册或者招标代理机构的专家库内的相关专业的专家名单中确定;一般招标项目可以采取随机抽取方式,特殊招标项目可以由招标人直接确定。

与投标人有利害关系的人不得进入相关项目的评标委员会;已经进入的应当更换。评标委员会成员的名单在中标结果确定前应当保密。

招标人应当采取必要的措施,保证评标在严格保密的情况下进行。任何单位和个人不得非法干预、影响评标的过程和结果。

评标委员会可以要求投标人对投标文件中含义不明确的内容作必要的澄清或者说明,但是澄清或者说明不得超出投标文件的范围或者改变投标文件的实质性内容。

评标委员会应当按照招标文件确定的评标标准和方法,对投标文件进行评审和比较;设有标底的,应当参考标底。评标委员会完成评标后,应当向招标人提出书面评标报告,并推荐合格的中标候选人。

招标人根据评标委员会提出的书面评标报告和推荐的中标候选人确定中标人。招标人也可以授权评标委员会直接确定中标人。

中标人的投标应当符合下列条件之一:

1、能够最大限度地满足招标文件中规定的各项综合评价标准

2、能够满足招标文件的实质性要求,并且经评审的投标价格最低;但是投标价格低于成本的除外。

评标委员会经评审,认为所有投标都不符合招标文件要求的,可以否决所有投标。

依法必须进行招标的项目的所有投标被否决的,招标人应当依照本法重新招标。

在确定中标人前,招标人不得与投标人就投标价格、投标方案等实质性内容进行谈判。

评标委员会成员应当客观、公正地履行职务,遵守职业道德,对所提出的评审意见承担个人责任。

评标积分成员不得私下接触投标人,不得收受投标人的财物或者其他好处。不得透露对投标文件的评审和比较、中标候选人的推荐情况以及与评标有关的其他情况

中标人确定后,招标人应当向中标人发出中标通知书,并同时将中标结果通知所有未中标的投标人。

中标通知书对招标人和中标人具有法律效力。中标通知书发出后,招标人改变中标结果的,或者中标人放弃中标项目的,应当依法承担法律责任。

招标人和中标人应当自中标通知书发出之日起三十日内,按照招标文件和中标人的投标文件订立书面合同。招标人和中标人不得再行订立背离合同实质性内容的其他协议。招标文件要求中标人提交履约保证金的,中标人应当提交。

依法必须进行招标的项目,招标人应当自确定中标人之日起十五日内,向有关行政监督部门提交招标投标情况的书面报告。

中标人不得向他人转让中标项目,也不得将中标项目肢解后分别向他人转让。

中标人按照合同约定或者经招标人同意,可以将中标项目的部分非主体、非关键性工作分包给他人完成。接受分包的人应当具备相应的资格条件,并不得再次分包。

中标人应当就分包项目向招标人负责,接受分包的人就分包项目承担连带责任。

31.5. 法律责任

必须进行招标的项目而不招标的,将必须进行招标的项目化整为零或者以其他任何方式规避招标的,责令限期改正,可以处项目合同金额千分之五以上千分之十以下的罚款。

招标代理机构违反本法规定,处五万元以上二十五元以下罚款,

招标人在评标委员会依法推荐的中标候选人以外确定中标人的,依法必须进行招标的项目在所有投标被评标委员会否决后自行确定中标人的,中标无效。责令改正,可以处中标项目金额千分之五以上千分之十以下的罚款。

招标人与中标人不按照招标文件和中标人的投标文件订立合同的,或者招标人、中标人订立背离合同实质性内容的协议的,璀改正,可以外中标项目金额千分之五以上千分之十以下的罚款。

中标人不履行与招标人订立合同的,履约保证金不予退还,给招标人造成的损失超过履约保证金数额的,还应当对超过部分予以赔偿;没有提交履约保证金的,应当对招标人的损失承担赔偿责任。因不可抗力不能履行合同的,不适用此款。

依法必须进行招标的项目违反本法规定,中标无效的,应当依照本法规定的中标条件从其余投标人中重新确定中标人或者依照本法重新进行招标。

法律责任中单位违反规定的大多处项目合同金额的千分之五以下千分之十以下罚款,单位直接负责人处单位罚款数额百分之五以上百分之十以下罚款。

31.6. 附则

投标人和其他利害关系人认为招标投标活动不符合本法有关规定的,有权向招标人提出异议或者依法向有关行政监督部门投诉。

涉及国家安全、国家秘密、抢险救灾或者属于利用扶贫资金实行以工代赈、需要使用农民工等特殊情况,不适宜进行招标的项目,按照国家有关规定可以不进行招标。

使用国际组织或者外国政府贷款、援助资金的项目进行招标,贷款方、资金提供方对招标投标的具体条件和程序有不同规定的,可以适用其规定,但违背中华人民共和国的社会公共利益的除外。

32. 著作权法

32.1. 总则

中国公民、法人或者其他组织的作品,不论是否发表,依照本法享有著作权。

外国人、无国籍人的作品根据其作者所属国或者经常居住地国同中国签订的协议或者共同参加的国际条约享有的著作权,受本法保护。

外国人、无国籍人的作品首先在中国境内出版的,依照本法享有著作权。

未与中国签订协议或者共同参加国际条约的国家的作者以及无国籍人的作品首次在中国参加的国际条约的成员国出版的,或者在成员国和非成员国同时出版的,受本法保护。

本法所称的作品,包括以下列形式创作的文学、艺术和自然科学、社会科学、工程技术等作品:

1、文字作品

2、口述作品

3、音乐、戏剧、曲艺、舞蹈、杂技艺术作品

4、美术、建筑作品

5、摄影作品

6、电影作品和以类似摄制电影的方法创作的作品

7、工程设计图、产品设计图、地图、示意图等图形作品和模型作品

8、计算机软件

9、法律、行政法规规定的其他作品

依法禁止出版、传播的作品,在受本法保护

本法不适用于:

1、法律、法规,国家机关的决议、决定、命令和其他具有立法、行政、司法性质的文件,及其官方正式译文

2、时事新闻

3、历法、通用数表、通用表格和公式

民间文学艺术作品的著作权保护办法由国务院另行规定

国务院著作权行政管理部门主管全国的著作权管理工作,各省、自治区、直辖市人民政府的著作权行政管理部门主管本行政区域的著作权管理工作。

著作权集体管理组织是非营利性组织,其设立方式、权利义务、著作权许可使用费的收取和分配,以及对其监督和管理等由国务院另行规定。

32.2. 著作权

著作权人包括:

1、作者

2、其他依照本法享有著作权的公民、法人或者其他组织

著作权包括下列人身权和财产权

1、发表权:决定作品是否公之于众的权利

2、署名权:即表明作者身份,在作品上署名的权利

3、修改权:即修改或者授权他人修改作品的权利

4、保护作品完整权:即保护作品不受歪曲、篡改的权利;

5、复制权:即以印刷、复印、拓印、录音、录像、翻录、翻拍等方式将作品制作一份或者多份的权利

6、发行权:即以出售或者赠与方式向公众提供作品的原件或者复制件的权利

7、出租权:有偿许可他人临时使用电影作品和以类似摄制电影的方法创作的作品、计算机软件的权利,计算机软件不是出租的主要标的的除外。

8、展览权:公开陈列美术作品、摄影作品的原件或者复制件的权利

9、表演权:公开表演作品,以及用各种手段公开播送作品的表演的权利

10、放映权:通过放映机、幻灯机等技术设备公开再现美术、摄影、电影和以类似摄制电影的方法创作的作品等的权利。

11、广播权:以无线方式公开广播或者传播作品,以有线传播或者转播的方式向公众传播广播的作品,以及通过扩音器或者其他传送符号、声音、图像的类似工具向公众传播广播的作品的权利。

12、信息网络传播权:以有线或者无线方式向公众提供作品,使公众可以在其个人选定的时间和地点获得作品的权利。

13、摄制权:以摄制电影或者类似摄制电影的方法将作品固定在载体上的权利。

14、改编权:改变作品,创作出具有独创性的新作品的权利

15、翻译权:将作品从一种语言文字转换成另一种语言文字的权利

16、汇编权:将作品或者作品的片段通过选择或者编排,汇集成新作品的权利

17、应当由著作权享有的其他权利。

著作权人可以许可他人行使前款第5至第17项规定的权利,并依照约定或者本法有关规定获得报酬,著作权人可以全部或者部分转让第5项至第17项规定的权利,并依照约定或者本法有关规定获得报酬。

创作作品的公民是作者,著作权属于作者,本法另有规定的除外。

由法人或者其他组织主持,代表法人或者其他组织意志创作,并由法人或者其他组织承担责任的作品,法人或者其他组织视为作者。如无相反证明,在作品上署名的公民、法人或者其他组织为作者。

改编、翻译、注释、整理已有作品而产生的作品,其著作权由改编、翻译、注释、整理人享有,但行使著作权时不得侵犯原作品的著作权。

两人以上合作创作的作品,著作权由合作作者共同享有,没有参加创作的人,不能成为合作作者。

合作作品可以分割使用的,作者对各自创作的部分可以单独享有著作权,但行使著作权时不得侵犯合作作品整体的著作权。

汇编若干作品、作品的片段或者不构成作品的数据或者其他材料,对其内容的选择或者编排体现独创性的作品,为汇编作品,其著作权由汇编人享有,但行使著作权时,不得侵犯原作品的著作权。

电影作品和以类似摄制电影的方法创作的作品的著作权由制片人享有,但编剧、导演、摄影、作词、作曲等作者享有署名权,并有权按照与制片都签订的合同获得报酬。

电影作品和以类似摄制电影的方法创作的作品中的剧本、音乐等可以单独使用的作品的作者有权单独行使其著作权。

公民为完成法人或者其他组织工作任务所创作的作品是职务作品,除本条第二款的规定以外,著作权由作者享有,但法人或者其他组织有权在其业务范围内优先使用。作品完成两年内,未经单位同意,作者不得许可第三人以与单位使用的相同方式使用该作品。

有下列情形之一的职务作品,作者享有署名权,著作权的其他权利由法人或者其他组织享有,法人或者其他组织可以奖励:

1、主要是利用法人或者其他组织的物质技术条件创作,并由法人或者其他组织承担责任的工程设计图、产品设计图、地图、计算机软件等职务作品

2、法律、行政法规规定或者合同约定著作权由法人或者其他组织享有的职务作品

受委托创作的作品,著作权的归属由委托人和受托人通过合同约定。合同未作明确约定或者没有订立合同的,著作权属于受托人。

美术等作品原件所有权的转移,不视为作品著作权的转移,但美术作品原件的展览权由原件所有人享有。

著作权属于公民的,公民死亡后,第5至第17项规定的权利在本法规定的保护期内,依照继承法的规定转移。

著作权属于法人或者其他组织的,法人或者其他组织变更、终止后,第5至第17项规定的权利在本法规定的保护期内,由承受其权利义务的法人或者其他组织享有,没有承受其权利的法人或者其他组织的,由国家享有。

作者的署名权、修改权、保护作品完整权的保护期不受限制

公民的作品,其发表权、第5至第17项权利的保护期为作者终生及其死亡后五十年,截止于作者死亡后第五十年的12月31日,如果是合作作品,截止于最后死亡的作者死亡后第五十年的12月31日。

法人或者其他组织的作品、著作权(署名权除外)由法人或者其他组织享有的职务作品,其发表权、第5项至第17项规定的权利的保护期为五十年,截止于作品首次发表后第五十年的12月31日,但作品自创作完成后五十年内未发表的,本法不再保护。

电影作品截止于作品首次发表后第五十年的12月31日,但作品自创作完成后五十年内未发表的,本法不再保护。

在下列情况下使用作品,可以不经著作权人许可,不向其支付报酬,但应当指明作者姓名、作品名称,并且不得侵犯著作权人依照本法享有的其他权利

1、为个人学习、研究或者欣赏,使用他人已经发表的作品。

2、为介绍、评论某一作品或者说明某一问题,在作品中适当引用他人已经发表的作品。

3、为报道时事新闻,在报纸、期刊、广播电台、电视台等媒体中不可避免地再现或者引用已经发表的作品。

4、报纸、期刊、广播电台、电视台等媒体刊登或者播放其他报纸、期刊、广播电台、电视台等媒体已经发表的关于政治、经济、宗教问题的时事性文章,但作者声明不许刊登、播放的除外

5、报纸、期刊、广播电台、电视台等媒体刊登或者播放在公众集会上发表的讲话,但作者声明不许刊登、播放的除外

6、为学校课堂教学或者科学研究,翻译或者少量复制已经发表的作品,供教学或者科研人员使用,但不得出版发行。

7、国家机关为执行公务在合理范围内使用已经发表的作品

8、图书馆、档案馆、纪念馆、博物馆、美术馆等为陈列或者保存版本的需要,复制本馆收藏的作品

9、免费表演已经发表的作品,该表演未向公众收取费用,也未向表演者支付报酬

10、对设置或者陈列在室外公共场所的艺术作品进行临摹、绘画、摄影、录像

11、将中国公民、法人或者其他组织已经发表的以汉语言文字创作的作品翻译成少数民族语言文字作品在国内出版发行

12、将已经发表的作品改成盲文出版。

为实施九年制义务教育和国家教育规划则编写出版教科书,除作者事先声明不许使用的外,可以不经著作权人许可,在教科书中汇编已经发表的作品片段或者短小的文字作品、音乐作品或者单的美术作品、摄影作品,但应当按照规定支付报酬,指明作者姓名、作品名称,并且不得侵犯著作权人依照本法享有的其他权利。

32.3. 著作权许可使用和转让合同

使用他人作品应当同著作权人订立许可使用合同,本法规定可以不经许可的除外。

许可使用合同包括下列主要内容:

1、许可使用的权利种类

2、许可使用的权利是专有使用权或者非专有使用权

3、许可使用的地域范围、期间

4、付酬标准和办法

5、违约责任

6、双方认为需要约定的其他内容

转让第5至第17项规定的权利,应当订立书面合同,

权利转让合同包括下列主要内容:

1、作品的名称

2、转让的权利种类、地域范围

3、转让价金

4、交付转让价金的日期和方式

5、违约责任

6、双方认为需要约定的其他内容

许可使用合同和转让合同中著作权人未明确许可、转让的权利,未经著作权人同意,另一方当事人不得行使

使用作品的付酬标准只可以由当事人约定,也可以按照国务院著作权行政管理部门会同有关部门制定的付酬支付报酬。当事人约定不明确的,按照国务院著作权行政管理部门会同有关部门制定的付酬标准支付报酬。

32.4. 出版、表演、录音录像、播放

32.5. 法律责任和执法措施

侵犯著作权或者与著作权有关的权利的,侵权人应当按照权利人的实际损失给予赔偿,实际损失难以计算的,可以按照侵权人的违法所得给予赔偿。赔偿数额还应当包括权利人为制止侵权行为支付的合理开支。

权利人的实际损失或者侵权人的违法所得不能确定的,由人民法院根据侵权行为的情节,判决给予五十万元以下的赔偿。

为制止侵权行为,在证据可能灭失或者以后难以取得的情况下,著作权人或者著作权有关的权利人可以在起诉前向人民法院申请保全证据。

人民法院接受申请后,必须在四十八小时内作出裁定,裁定采取保全措施的,应当立即开始执行。

人民法院可以责令申请人提供担保,申请人不提供担保的,驳回申请

申请人在人民法院采取促使措施后十五日内不起诉的,人民法院应当解除保全措施

著作权纠纷可以调解,也可以根据当事人达成的书面仲裁协议或者著作权合同中仲裁条款,向仲裁机构申请仲裁,当事人没有书面仲裁协议,也没有在著作权合同中订立仲裁条款的,可以直接向人民法院起诉。

32.6. 附则

本法所称的著作权即版权

33. 计算机软件保护条例

33.1. 总则

本条例所称计算机软件(以下简称软件),是指计算机程序及其有关文档

软件开发者,是指实际组织开发、直接进行开发,并对开发完成的软件承担责任的法人或者其他组织;或者依靠自己具有的条件独立完成软件开发,并对软件承担责任的自然人。

软件著作权人,是指依照本条例的规定,对软件享有著作权的自然人、法人或者其他组织。

受本条件保护的软件必须由开发者独立开发,并已固定在某种有形物体上。

中国公民、法人或者其他组织对其所开发的软件,不论是否发表,依照本条件享有著作权。

本条例对软件著作权的保护不延及开发软件所用的思想、处理过程、操作方法或者数学概念等。

33.2. 软件著作权

软件著作权人享有下列各项权利:

1、发表权

2、署名权

3、修改权

4、复制权

5、发行权:以出售或者赠与方式向公众提供软件的原件或者复制件的权利

6、出租权:

7、信息网络传播权

8、翻译权

9、应当由软件著作权人享有的其他权利

软件著作权属于软件开发者,本条例另有规定的除外

如无相反证明,在软件上署名的自然人、法人、或者其他组织为开发者。

由两个以上的自然人、法人或者其他组织合作开发的软件,其著作权的归属由合作开发者签订书面合同约定。无书面合同或者合同未作明确约定,合作开发的软件可以分割使用的,开发者对各自开发的部分可以单独享有著作权,但是,行使著作权时,不得扩展到合作开发的软件整体的著作权。合作开发的软件不能分割使用的,其著作权由各合作开发者共同享有,通过协商一致行使,不能协商一致,又无正当理由的,任何一方不得阻止他方行使除转让权以外的其他权利。但是,所得收益应当合理分配给所有合作开发者。

接受他人招手开发的软件,其著作权的归属由委托人与受托人签订书面合同约定;无书面合同或者合同未作明确约定的,其著作权由受托人享有。

由国家机关下达任务开发的软件,著作权的归属与行使由项目任务书或者合同规定;项目任务书或者合同中未作明确规定的,软件著作权由接受任务的法人或者其他组织享有。

自然人在法人或者其他组织中任职期间所开发的软件有下列情形之一的,该软件著作权由该法人或者其他组织享有

1、 针对本职工作中明确指定的开发目标所开发的软件

2、 开发的软件是从事本职工作活动所预见的结果或者自然的结果

3、 主要使用了法人或者其他组织的资金、专用设备、未公开的专门信息等物质技术条件所开发并由法人或者其他组织承担责任的软件。

软件著作权自软件开发完成之日起产生,自然人保护期为死亡后50年12月31日,合作开发的截止最后死亡的自然人死亡后第50年的12月31日,

法人或者其他组织的软件著作权,保护期为50年,截止于软件首次发表后第50年的12月31日,但软件自开发完成之日起50年内未发表的,本条例不再保护。

软件的合法复制品所有人享有下列权利

1、 根据使用的需要把该软件装入计算机等具有信息处理能力的装置内

2、为了防止复制品损坏而制作备份复制品。这些备份复制品不得通过任何方式提供给他人使用,并在所有人丧失该合法复制品的所有权时,负责将备份复制品销毁。

3、为了把该软件用于实际的计算机应用环境或者改进其功能、性能而进行必要的修改。但是,除合同另有约定外,未经该软件著作权人许可,不得向任何第三方提供修改后的软件。

为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。

33.3. 软件著作权的许可使用和转让

许可他人行使软件著作权的,应当订立许可使用合同

许可使用合同中软件著作权人未明确许可的权利,被许可人不得行使

许可他人专有行使著作权的,当事人应当订立书面合同

没有订立书面合同或者合同中未明确约定为专有许可的,被许可行使的权利应当视为非专有权利。

转让软件著作权的,当事人应当订立书面合同

订立许可他人专有行使软件著作权的许可合同,或者订立转让软件著作权合同,可以向国务院著作权行政管理部门认定的软件登记机构登记

中国公民、法人或者其他组织向外国人许可或转让软件著作权的,应当遵守《中华人民共和国技术进出口管理条件》的有关规定

33.4. 法律责任

软件开发者开发的软件,由于可供选用的表达方式有限而与已经存在的软件相似的,不构成对已经存在的软件的著作权的侵犯。

软件的复制品持有人不知道也没有合理理由应当知道该软件是侵权复制品的,不承担赔偿责任,但是,应当停止使用、销毁该侵权复制品,如果停止使用并销毁该侵权复制品将给复制品使用人造成重大损失的,复制品使用人可以在向软件著作权人支付合理费用后继续使用。

33.5. 附则

34. 政府采购法

34.1. 总则

本法所称政府采购,是指各级国家机关、事业单位和团队组织,使用财政性资金采购依法制定的集中采购目录以内的或者采购限额标准以上的货物、工程和服务的行为。

本法所称采购,是指以合同方式有偿取得货物、工程和服务的行为,包括购买、租赁、委托、雇用等。

政府采购应当遵循公开透明原则、公平竞争原则、公正原则和诚实信用原则

政府采购实行集中采购和分散采购相结合。集中采购的范围由省级以上人民政府公布的集中采购目录确定。属于中央预算的政府采购项目,其集中采购目录由国务院确定并公布;属于地方预算的政府采购项目,其集中采购目录由省、自治区、直辖市人民政府或者其授权的机构确定并公布。纳入集中采购目录的政府采购项目,应当实行集中采购。

政府采购限额标准,属于中央预算的政府采购项目,由国务院确定并公布;属于地方预算的政府采购项目,由省、自治区、直辖市人民政府或者其授权的机构确定并公布。

政府采购应当有助于实现国家的经济和社会发展政策目标,包括保护环境,扶持不发达地区和少数民族地区,促进中小企业发展等

政府采购应当采购本国货物、工程和服务。但有下列情形之一的除外:

1、需要采购的货物、工程或者服务在中国境内无法获取或者无法以合理的商业条件获取的

2、为在中国境外使用而进行采购的;

3、其他法律、行政法规另有规定的

各级人民政府财政部门是负责政府采购监督管理的部门,依法履行对政府采购活动的监督管理职责,各级人民政府其他有关部门依法履行与政府采购活动有关的监督管理职责。

34.2. 政府采购当事人

政府采购当事人是指在政府采购活动中享有权利和承担义务的各类主体,包括采购人、供应商和采购代理机构等。

采购人是指依法进行政府采购的国家机关、事业单位、团队组织

集中采购机构为采购代理机构。设区的市、自治州以上人民政府根据本级政府采购项目组织集中采购的需要设立集中采购机构。

集中采购机构是非营利事业法人,根据采购人的委托输采购事宜。集中采购机构进行政府采购活动,应当符合采购价格低于市场平均价格、采购效率更高、采购质量优良和服务良好的要求。

采购人采购纳入集中采购目录的政府采购项目,必须委托集中采购机构代理采购;采购未纳入集中采购目录的政府采购项目,可以自行采购,也可以委托集中采购机构在委托的范围内代理采购

纳入集中采购目录属于通用的政府采购项目的,应当委托集中采购机构代理采购,属于本部门、本系统有特殊要求的项目,应当实行部门集中采购,属于本单位有特殊要求的项目,经省级以上人民政府批准,可以自行采购。

采购人可以委托经国务院有关部门或者省级人民政府有关部门认定资格的采购代理机构,在委托的范围内办理政府采购事宜

采购人有权自行选择采购代理机构,任何单位和个人不得以任何方式为采购人指定采购代理机构

采购人依法委托采购代理机构输采购事宜的,应当由采购人与采购代理机构签订委托代理协议,依法确定委托代理的事项,约定双方的权利义务。

供应商是指向采购人提供货物、工程或者服务的法人、其他组织或者自然人。

供应商参加政府采购活动应当具备下列条件:

1、具有独立承担民事责任的能力

2、具有良好的商业信誉和健全的财务会计制度

3、具有履行合同所必需的设备和专业技术能力。

4、有依法缴纳税收和社会保障资金的良好记录

5、参加政府采购活动前三年内,在经营活动中没有重大违法记录。

6、法律、行政法规规定的其他条件。

采购人可以根据采购项目的特殊要求,规定供应商的特定条件,但不得以不合理的条件对供应商实行差别待遇或者歧视待遇

34.3. 政府采购方式

政府采购采用以下方式:

1、 公开招标

2、 邀请招标

3、 竞争性谈判

4、 单一来源采购

5、询价

6、 国务院政府采购监督管理部门认定的其他采购方式

公开招标应作为政府采购的主要采购方式

因特殊情况需要采用公开招标以外的采购方式的,应当在采购活动开始前获得设区的市、自治州以上人民政府采购监督管理部门的批准。

符合下列情形之一的货物或者服务,可以依照本法采用邀请招标方式采购

1、 具有特殊性,只能从有限范围的供应商处采购的

2、 采用公开招标方式的费用占政府采购项目总价值比例过大的

符合下列情形之一的货物或者服务,可以依照本法采用竞争性谈判方式采购:

1、 招标后没有供应商投标或者没有合格标的或者重新招标未能成立的

2、 技术复杂或者性质特殊,不能确定详细规格或者具体要求的

3、 采用招标所需时间不能满足用户紧急需要的

4、 不能事先计算出价格总额的

符合下列情形之一的货物或者服务,可以依照本法采用单一来源方式采购:

1、 只能从唯一供应商处采购的

2、 发生了不可预见的紧急情况不能从其他供应商处采购的

3、 必须保证原有采购项目一致性或者服务配套的要求,需要继续从原供应商处添购、且添购资金总额不超过原合同采购额百分之十的。

采购的货物规格、标准统一、现货货源充足且价格变化幅度小的政府采购项目,可以依照本法采用询价方式采购。

34.4. 政府采购程序

货物或者服务项目采取邀请招标方式采购的,采购人应当从符合相应资格条件的供应商中,通过随机方式选择三家以上的供应商,并向其发出投标邀请书。

货物和服务项目实施招标方式采购的,自招标文件开始发出之日起至投标人提交投标文件截止之日止,不得少于二十日。

在招标采购中出现下列情形之一的,应予废标:

1、符合专业条件的供应商对招标文件作实质响应的供应商不足三家的

2、出现影响采购公正的违法、违规行为的

3、投标人的报价均超过了采购预算,采购人不能支付的

4、因重大变故,采购任务取消的

废标后,采购人应当将废标理由通知所有投标人

采用竞争性谈判方式采购的,应当遵循下列程序:

1、成立谈判小组:谈判小组由采购人的代表和有关专家共三人以上的单数组成,专家的人数不得小于成员总数的三分之二

2、制定谈判文件。谈判文件明确谈判程序、谈判内容、合同草案的条款以及说不定成交的标准等事项。

3、确定邀请参加谈判的供应商名单。不少于三家供应商,并向其提供谈判文件。

4、谈判:谈判小组所有成员集中与单一供应商分别进行谈判。

5、确定成交供应商:谈判结束后,谈判小组应当要求所有参加谈判的供应商在规定时间内进行最后报价,采购人从谈判小组提出的成交候选人中根据符合采购需求、质量和服务相等且报价最低的原则确定成交供应商。并将结果通知所有参加谈判的未成交供应商。

采取单一来源方式采购的,采购人与供应商应当遵循本法规定的原则,在保证采购项目质量和双方商定合理价格的基础上进行采购。

采用询价方式采购的,应当遵循下列程序:

1、成立询价小组:三人以上单数,专家不少于三分之二

2、确定被询价的供应商名单:不少于三家,发出询价通知书让其报价

3、询价:询价小组要求被询价的供应商一次报出不得更改的价格。

4、确定成交供应商。采购人根据符合采购需求、质量和服务相等且报价最低的原则确定成交供应商。并将结果通知所有被询价的未成效的供应商。

采购人、采购代理机构对政府采购项目每项采购活动的采购文件应当妥善保存,不得伪造、变造、隐匿或者销毁。采购文件的保存期限为从采购结束之日起至少保存十五年。

采购文件包括采购活动记录、采购预算、招标文件、投标文件、评标标准、评估报告、定标文件、合同文本、验收证明、质疑答复、投诉处理决定及其他有关文件、资料。

采购活动记录至少应当包括下列内容:

1、采购项目类别、名称

2、采购项目预算、资金构成和合同价格

3、采购方式,采用公开招标以外的采购方式的,应当载明原因

4、邀请和选择供应商的条件及原因

5、评标标准及确定中标人的原因

6、废标的原因

7、采用招标以外采购方式的相应记载。

34.5. 政府采购合同

政府采购合同适用合同法。采购人和供应商之间的权利和义务,应当按照平等、自愿的原则以合同方式约定。

采购人可以委托采购代理机构代表其与供应商签订政府采购合同,由采购代理机构以采购人名义签订合同的,应当提交采购人的授权委托书,作为合同附件。

政府采购合同应当采用书面形式。

采购人与中标、成交供应商应当在中标、成交通知书发出之日起三十日内,按照采购文件确定的事项签订政府采购合同。

中标、成交通知书对采购人和中标、成效供应商均具有法律效力。

政府采购项目的采购合同自签订之日起七个工作日内,采购人应当将合同副本报同级政府采购监督管理部门和有关部门备案。

政府采购合同分包履行的,中标、成交供应商就采购项目和分包项目向采购人负责,分包供应商就分包项目承担责任。

政府采购合同履行中,采购人需追加与合同标的相同的货物、工程或者服务的,所有补充合同的采购金额不得超过原合同采购金额的百分之十。

34.6. 质疑与投诉

供应商对政府采购活动事项有疑问的,可以向采购人提出询问,采购人应当及时作出答复,但答复的内容不得涉及商业秘密

供应商认为采购文件、采购过程和中标、成交结果使自己的权益受到损害的,可以在知道或者应知其权益受到损害之日起七个工作日内,以书面形式向采购人提出质疑。

采购人应当在收到供应商的书面质疑后七个工作日内作出答复,并以书面形式通知质疑供应商和其他有关供应商,但答复的内容不得涉及商业秘密。

供应商对答复不满意的,可在答复期满后十五个工作日内向同级政府采购监督管理部门投诉。

政府采购监督管理部门应当在收到投诉后三十个工作日内,对投诉事项作出处理决定,并以书面形式通知投诉人和与投诉事项有关的当事人。

政府采购监督管理部门在处理投诉事项期间,可以视具体情况书面通知采购人暂停采购活动,但暂停时间不得超过三十日。

投诉人对政府采购监督管理部门的投诉处理不服可以依法申请行政复议或向人民法院提起行政诉讼。

34.7. 监督检查

监督检查的主要内容是

1、有关政府采购的法律、行政法规和规章的执行情况

2、采购范围、采购方式和采购程序的执行情况

3、政府采购人员的职业素质和专业技能

政府采购监督管理部门不得设置集中采购机构,不得参与政府采购项目的采购活动,采购代理机构与行政机关不得存在隶属关系或者其他利益关系。

经办采购的人员与负责采购合同审核、验收人员的职责权限应当明确、并相互分离。

政府采购项目的采购标准应当公开。采购人在采购活动完成后,应当将采购结果予以公布。

政府采购监督管理部门应当对集中采购机构的采购价格、节约资金效果、服务质量、信誉状况、有无违法行为等事项同进行考核,并定期如实公布考核结果。

34.8. 法律责任

采购过程中有违法行为影响中标、成交结果或者可能影响中标、成交结果的,按下列情况分析别处理:

1、 未确定中标、成交供应商的,终止采购活动

2、 中标、成交供应商已经确定但采购合同尚未履行的,撤销合同,从合格的中标、成交候选人中另行确定中标、成交供应商

3、 采购合同已经履行的,给采购人、供应商造成损失的,由责任人承担赔偿责任。

供应商有下列情形之一的,处以采购金额千分之五以下千分之十以下的罚款,列入不良行为记录名单,在一至三年内禁止参加政府采购活动,有违法所得的,并处没收违法所得,情节严重的,由工商行政管理机关吊销营业执照,构成犯罪的,依法追究刑事责任。

1、 提供虚假材料谋取中标、成交的

2、 采取不正当手段诋毁、排挤其他供应商的

3、 与采购人、采购代理机构行贿或者提供其他不正当利益的

4、 在招标采购过程中与采购人进行协商谈判的

5、 拒绝有关部门监督检查或者提供虚假情况的

前1至5项情形之一的,中标、成交无效。

34.9. 附则

对因严重自然灾害和其他不可抗力事件所实施的紧急采购和涉及国家安全和秘密的采购,不适用本法。

军事采购法规由中央军事委员会另行制定。

35. 合同法

35.1. 一般规定

本法所称合同是平等主体的自然人、法人、其他组织之间设立、变更、终止民事权利义务关系的协议。

当事人应当遵循公平原则确定各方的权利和义务

当事人行使权利、履行义务应当遵循诚实信用原则

35.2. 合同的订立

当事人订立合同,应当具有相应的民事权利能力和民事行为能力。

当事人依法可以委托代理人订立合同。

当事人订立合同,有书面形式、口头形式和其他形式。

书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。

当事人订立合同,采取要约、承诺方式

要约是希望和他人订立合同的意思表示,该意思表示应当符合下列规定:

1、内容具体确定

2、表明经受要约人承诺,要约人即受该意思表示约束。

要约邀请是希望他人向自己发出要约的意思表示。寄送的价目表、拍卖公告、招标公告、招股说明书、商业广告等为要约邀请。

要约到达受要约人时生效

采用数据电文形式订立合同,收件人指定特定系统接收数据电文的,该数据电文进行该特定系统的时间,视为到达时间,未指定特定系统的,该数据电文进入收件人的任何系统的首次时间,视为到达时间。

要约可以撤回。撤回要约的通知应当在要约到达受要约人之前或者与要约同时到达受要约人

要约可以撤消。撤消要约的通知应当在受要约人发出承诺通知之前到达受要约人。

有下列情形之一的,要约不得撤消

1、要约人确定了承诺期限或者以其他形式明示要约不可撤销

2、受要约人有理由认为要约是不可撤销的,并已经为履行合同作了准备工作。

有下列情形之一的,要约失效

1、拒绝要约的通知到达要约人

2、要约人依法撤销的

3、承诺期限届满,受要约人未作出承诺

4、受要约人对要约的内容作出实质性变更

承诺是受要约人同意要约的意思表示

承诺应当以通知的方式作出,但根据交易习惯或者要约表明可以通过行为作出承诺除外

承诺应当在要约确定的期限内到达要约人

要约没有确定承诺期限的,承诺应当依照下列规定到达:

1、要约以对话方式作出的,应当即时作出承诺,但当事人另有约定的除外。

2、要约以非对话方式作出的,承诺应当在合理期限内到达

要约以信件或者电报作出的,承诺期限自信件载明的日期或者电报交发之日开始计算。信件未载明日期的,自投寄该信件的邮戳日期开始计算。要约以电话、传真等快速通讯方式作出的,承诺期限自要约到达受要约人时开始计算。

承诺生效时合同成立。

承诺通知到达要约人时生效。承诺不需要通知的,根据交易习惯或者要约的要求作出承诺的行为时生效。

承诺可以撤回。撤回承诺的通知应当在承诺通知到达要约人之前或者与承诺通知同时到达要约人。

受要约人超过承诺期限发出承诺的,除要约人及时通知受要约人该承诺有效的以外,为新要约。

受要约人在承诺期限内发出承诺,按照通常情形能够及时到达要约人,但因其他原因承诺到达要约人时超过承诺期限的,除要约人及时通知受要约人因承诺超过期限不接受该承诺的以外,该承诺有效。

承诺的内容应当与要约的内容一致。受要约人对要约的内容作出实质性变更的,为新要约。有关合同标的、数量、质量、价款或者报酬、履行期限、履行地点和方式、违约责任和解决争议方法等的变更,是对要约内容的实质性变更。

承诺对要约的内容作出非实质性变更的,除要约人及时表示反对或者要约表明承诺不得对要约的内容作出任何变更的以外,该承诺有效,合同的内容以承诺的内容为准。

当事人采用合同书形式订立合同的,自双方当事人签字或者盖章时合同成立。

当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签订确认书。签订确认书时合同成立。

承诺生效的地点为合同成立的地点。

采用数据电文形式订立合同的,收件人的主营业地为合同成立的地点,没有主营业地的,其经常居住地为合同成立的地点。当事人另有约定的,按照其约定。

当事人采用合同书形式订立合同的,双方当事人签字或者盖章的地点为合同成立的地点。

法律、行政法规规定或者当事人约定采用书面形式订立合同,当事人未采用书面形式但一方已经履行主要义务,对方接受的,该合同成立。

格式条款是当事人为了重复使用而预先拟定,并在订立合同时未与对方协商的条款

格式条款具有本法第五十二条和第五十三条规定的情形的,或者提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的,该条款无效

对格式条款的理解发生争议的,应当按照通常理解予以解释。对格式条款有两种以上解释的,应当作出不利于提供格式条款一方的解释。格式条款和非格式条款不一致的,应当采用非格式条款。

当事人在订立合同过程中知悉的商业秘密,无论合同是否成立,不得泄露或者不正当地使用,泄露或者不正当在使用该商业秘密给对方造成损失的,应当承担损害赔偿责任。

35.3. 合同的效力

依法成立的合同,自成立时生效

当事人对合同的效力可以约定附条件,附生效条件的合同,自条件成就时生效。附解除条件的合同,自条件成就时失效。

当事人为自己的利益不正当地阻止条件成就的,视为条件已成就,不正当地促成条件成就的,视为条件不成就。

当事人对合同的效力可以约定附期限。附生效期限的合同,自期限届至时生效。附终止期限的合同,自期限届满时失效。

限制民事行为能力人订立的合同,经法定代理人追认后,该合同有效,但纯获得利益的合同或者与其年龄、智力、精神健康状况相适应而订立的合同,不必经法定代理人追认。

行为人没有代理权、超越代理权或者代理权终止后以被代理人名义订立的合同,未经被代理人追认,对被代理人不发生效力,由行为人承担责任。

行为人没有代理权、超越代理权或者代理权终止后以代理人名义订立合同,相对人有理由相信行为人有代理权的,该代理行为有效。

法人或者其他组织的法定代表人、负责人超越权限订立的合同,除相对人知道或者应当知道其超越权限的以外,该代表行为有效。

无处分权的人处分他人财产,经权利人追认或者无处分权的人订立合同后取得处分权的,该合同有效。

有下列情形之一的,合同无效:

1、一方以欺诈、胁迫的手段订立合同,损害国家利益

2、恶意串通、损害国家、集体或者第三人利益

3、以合法形式掩盖非法目的

4、损害社会公共利益

5、违反法律、行政法规的强制性规定

合同中的下列免责条款无效

1、造成对方人身伤害的

2、因故意或者重大过失造成对方财产损失的

下列合同,当事人一方有权请求人民法院或者仲裁机构变更或者撤销

1、因重大误解订立的

2、在订立合同时显失公平的

有下列情形之一的,撤销权消灭:

1、具有撤销权的当事人自知道或者应当知道撤销事由之日起一年内没有行使撤销权

2、具有撤销权的当事人知道撤销鬲后明确表示或者以自己的行为放弃撤销权。

无效的合同或者被撤销的合同自始没有法律约束力。合同部分无效,不影响其他部分效力的,其他部分仍然有效。

合同无效、被撤销或者终止的,不影响合同中独立存在的有关解决争议方法的条款的效力。

35.4. 合同的履行

当事人应当遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。

第六十一条:合同生效后,当事人就质量、价款或者报酬、履行地点等内容没有约定或者约定不明确的,可以协议补充;不能达成补充协议的,按照合同有关条款或者交易习惯确定。

第六十二条:当事人就有关合同内容约定不明确,依照本法第六十一条的规定仍不能确定的,适用下列规定:

1、质量要求不明确的,按照国家标准、行业标准履行;没有国家标准、行业标准的,按照通常标准或者符合合同目的的特定标准履行。

2、价款或者报酬不明确的,按照订立合同时履行地的市场价格履行;依法应当执行政府定价或者政府指导价的,按照规定履行

3、履行地点不明确,给付货币的,在接受货币一方所在地履行;交付不动产的,在不动产所在地履行;其他标的,在履行义务一方所在地履行。

4、履行期限不明确的,债务人可以随时履行,债权人也可以随时要求履行,但应当给对方必要的准备时间

5、履行方式不明确的,按照有利于实现合同目的的方式履行

6、履行费用的负担不明确的,由履行义务一方负担

执行政府定价或者政府指导价的,在合同约定的交付期限内政府价格调整时,按交付时的价格计价。逾期交付标的物的,遇价格上涨时,按照原价格执行;价格下降时,按照新价格执行。逾期提取标的物或者逾期付款的,遇价格上涨时,按照新价格执行;价格下降时,按照原价格执行。

当事人约定由债务人向第三人履行债务的,债务人未向第三人履行债务或者履行债务不符合约定,应当向债权人承担违约责任。

当事人互负债务,没有先后履行顺序的,应当同时履行。一方在对方履行之前有权拒绝其履行要求。一方在对方履行债务不符合约定时,有权拒绝其相应的履行要求。

当事人互负债务,有先后履行顺序,先履行一方未履行的,后履行一方有权拒绝其履行要求,先履行一方履行债务不符合约定的,后履行一方有权拒绝其相应的履行要求。

应当先履行债务的当事人,有确切证据证明对方有下列情形之一的,可以中止履行:

1、经营状况严重恶化

2、转移财产、抽逃资金,以逃避债务

3、丧失商业信誉

4、有丧失或者可能丧失履行债务能力的其他情形

当事人没有确切证据中止履行的,应当承担违约责任。

当事人按规定中止履行的,应当及时通知对方,对方提供适当担保时,应当恢复履行。中止履行后,对方在合理期限内未恢复履行能力并且未提供适当担保的,中止履行的一方可以解除合同。

债权人分立、合并或者变更住所没有通知债务人,致使履行债务发生困难的,债务人可以中止履行或者将标的物提存。

债权人可以拒绝债务人提前履行债务,但提前履行不损害债权人利益的除外。债务人提前履行债务给债权人增加的费用,由债务人负担。

债权人可以拒绝债务人部分履行债务,但部分履行不损害债权人利益的除外。债务人部分履行债务给债权人增加的费用,由债务人负担。

合同生效后,当事人不得因姓名、名称的变更或者法定代表人、负责人、承办人的变动而不履行合同义务。

35.5. 合同的变更和转让

当事人协商一致,可以变更合同

当事人对合同变更的内容约定不明确的,推定为未变更

债权人可以将合同的权利全部或者部分转让给第三人,但有下列情形之一的除外:

1、根据合同性质不得转让

2、按照当事人约定不得转让

3、依照法律规定不得转让

债权人转让权利的,应当通知债务人,未经通知,该转让对债务人不发生效力。债权人转让权利的通知不得撤销,但经受让人同意的除外。

债权人转让权利的,受让人取得与债权有关的从权利,但该从权利专属于债权人自身的除外。

债务人接到债权转让通知后,债务人对让与人的抗辩,可以向受让人主张。

债务人接到债权转让通知时,债务人对让与人享有债权,并且债权人的债权先于转让的债权到期或者同时到期的,债务人可以向受让人主张抵销。

债务人将合同的义务全部或者部分转移给第三人的,应当经债权人同意。

当事人一方经对方同意,可以将自己在合同中的权利和义务一并转让给第三人。

35.6. 合同的权利义务终止

合同的权利义务终止后,当事人应当遵循诚实信用原则,根据交易习惯履行通知、协助、保密等义务。

当事人一方依法主张解除合同的,应当通知对方,合同自通知到达对方时解除。

合同解除后,尚未履行的,终止履行,已经履行的,根据履行情况和合同性质,当事人可以要求恢复原状、采取其他补救措施,并有权要求赔偿损失。

合同的权利义务终止,不影响合同中结算和清理条款的效力。

抵销不得附条件或附期限。

35.7. 违约责任

当事人一方明确表示或者自己的行为表明不履行合同义务的,对方可以在履行期限届满之前要求其承担违约责任。

当事人一方不履行非金钱债务或者履行非金钱债务不符合约定的,对方可以要求履行,但有下列情形之一的除外:

1、法律上或者事实上不能履行

2、债务的标的不适于强制履行或者履行费用过高

3、 债权人在合理期限内未要求履行

当事人一方不履行合同义务或者履行合同义务不符合约定的,在履行义务或者采取补救措施后,对方还有其他损失的,应当赔偿损失。

当事人一方不履行合同义务或者履行合同义务不符合约定,给对方造成损失的,损失赔偿额应当相当于因违约所造成的损失,包括合同履行后可以获得的利益,但不得超过违反合同一方订立合同时预见到或者应当预见的因违反合同可能造成的损失。

约定的违约金低于造成的损失的,当事人可以请求人民法院或者仲裁机构予以增加,约定的违约金过分高于造成的损失的,当事人可以请求人民法院或者仲裁机构予以适当减少。

当事人就迟延履行约定违约金的,违约方支付违约金后,还应当履行债务。

给付定金的一方不履行约定债务的,无权要求返还定金,收受定金的一方不履行约定的债务的,应当双倍返还定金。

当事人既约定违约金,又约定定金的,一方违约时,对方可以选择适用违约金或者定金条款

因不可抗力不能履行合同的,根据不可抗力的影响,部分或者全部免除责任,但法律另有规定的除外。当事人迟延履行后发生不可抗力的,不能免除责任。

本法所称不可抗力是指不能预见、不能避免并不能克服的客观情况。

当事人一方因不可抗力不能履行合同的,应当及时通知对方,以减轻可能给对方造成的损失,并应当在合理期限内提供证明。

当事人一方违约后,对方应当采取适当措施防止损失的扩大,没有采取适当措施致使损失扩大的,不得就扩大的损失要求赔偿。当事人因防止损失扩大而支出的合理费用,由违约方承担。

当事人双方都违反合同的,应当各自承担相应的责任。

当事人一方因第三人的原因造成违约的,应当向对方承担违约责任,当事人一方和第三人之间的纠纷,依照法律规定或者按照约定解决。

35.8. 其他规定

当事人对合同条款的理解有争议的,应当按照合同所使用的词句、合同的有关条款、合同的目的、交易习惯以及诚实信用原则,确定条款的真实意思。

合同文本采用两种以上文字订立并约定具有同等效力的,名文本使用的词句不一致的,应当根据合同的目的予以解释。

涉外合同的当事人可以选择处理合同争议所适用的法律,但法律另有规定的除外,涉外合同的当事人没有选择的,适用与合同有最密切联系的国家的法律。

在中华人民共和国境内履行的中外合资经营企业合同、中外合作经营企业合同、中外合作勘探开发自然资源合同,适用中华人民共和国法律。

当事人可以通过和解和调解解决合同争议

因国际货物买卖合同和技术进出口合同争议提起诉讼或者申请仲裁的其他为四年。

35.9. 承揽合同

承揽合同是承揽人按照定作人的要求完成工作,交付工作成果,定作人给付报酬的合同,承揽包括加工、定作、修理、复制、测试、检验等工作。

承揽人将其承揽的主要工作交由第三人完成的,应当就该第三人完成的工作成果向定作人负责,未经定作人同意的,定作人可以解除合同。

承揽人对定作人提供的材料,应当及时检验,发现不符合约定时,应当及时通知定作人更换、补齐或者采取补救措施。承揽人不得擅自更换定作人提供的材料,不得更换不需要修理的零部件。

承揽工作需要定作人协助的,定作人有协助的义务。定作人不履行协助义务致使承揽工作不能完成的,承揽人可以催告定作人在合理期限内履行义务,并可以顺延履行期限,定作人使其不履行的,承揽人可以解除合同

定作人不得因监督检验妨碍承揽人的正常工作。

定作人应当按照约定的期限支付报酬,对支付报酬的期限没有约定或者约定不明确的,定作人应当在承揽人交付工作成果时支付;工作成果部分交付的,定作人应当相应支付。

定作人未向承揽人支付报酬或者材料费等价款的,承揽人对完成的工作成果享有留置权。

定作人可以随时解除承揽合同,造成承揽人损失的,应当赔偿损失。

35.10. 建设工程合同

建设工程合同是承包人进行工程建设,发包人支付价款的合同,建设工程合同包括工程勘察、设计、施工合同。建设工程合同应当采用书面形式。

承包人不得将其承包的全部建设工程转包给第三人或者将其承包的全部建设工程肢解以后以分包的名称分别转名给第三人。

禁止承包人将工程分包给不具备相应资质条件的单位,禁止分包单位将其承包的工作再分包,建设工程主体结构的施工必须由承包人自行完成。

发包人在不妨碍承包人正常作业的情况下,可以随时对作业进度、质量进行检查。

建设工程竣工经验收合格后,主可交付使用,未经验收或者验收不合格的,不得交付使用。

因承包人的原因致使建设工程在合理使用期限内造成人身和财产损害的,承包人应当承揽损害赔偿责任。

因发包人变更计划,提供的资料不准确,或者未按照期限提供必需的勘察、设计工作条件而造成勘察、设计的返工、停工或者修改设计,发包人应当按照勘察人、设计人实际消耗的工作量增付费用。

发包人使其不支付价款的,除按照建设工程的性质不宜折价、拍卖的以外,承包人可以与发包人协议将该工程折价,也可以申请人民法院将该工程依法拍卖。建设工程的价款就该工作折价或者拍卖的价款优先受偿。

35.11. 技术合同

技术合同是当事人就技术开发、转让、咨询或者服务订立的确立相互之间权利和义务的合同

技术合同涉及专利的,应当注明发明创造的名称、专利申请人和专利权人、申请日期、申请号、专利号以及专利权的有效期限。

技术合同价款、报酬或者使用费的支付方式由当事人约定,可以采取一次总算、一次总付或者一次总算、分期支付,也可以采取提成支付或者提成支付附加预付入门费的方式。

提成支付的比例采取固定比例、逐年递增比例或者逐年递减比例。约定提成支付的,当事人应当在合同中约定查阅有关会计帐目的办法

职务技术成果的使用权、转让权属于法人或者其他组织的,法人或者其他组织可以就该项职务技术成果订立技术合同。法人或者其他组织应当从使用和转让该项职务技术成果所取得的收益中提取一定比例,对完成该项职务技术成果的个人给予奖励或者报酬。法人或者其他组织订立技术合同转让职务技术成果时,职务技术成果的完成人享有以同等条件优先受让的权利。

非法垄断技术、妨碍技术进步或者侵害他人技术成果的技术合同无效。

技术开发合同

技术开发合同是指当事人之间就新技术、新产品、新工艺或者新材料及其系统的研究开发所订立的合同

技术开发合同包括委托开发合同和合作开发合同,技术开发合同应当采用书面形式。

委托开发合同的委托人应当按照约定支付研究开发经费和报酬,提供技术资料、原始数据,完成协作事项,接受研究开发成果。

因作为技术开发合同标的的技术已经由他人公开,致使技术开发合同的履行没有意义的,当事人可以解除合同

当事人一方发现可能致使研究开发失败或者部分失败的情形时,应当及时通知另一方并采取适当措施减少损失,没有及时通知并采取适当措施,致使损失扩大的,应当就扩大的损失承担责任。

委托开发完成的发明创造,除当事人另有约定的以外,申请专利的权利属于研究开发人,研究开发人取得专利的,委托人可以免费实施专利。研究开发人转让专利申请权的,委托人享有以同等条件优先受让的权利。

合作开发完成的发明创造,除当事人另有约定的以外,申请专利的权利属于合作开发的当事人共有。当事人一方转让其共有专利申请权的,其他各方享有以同等条件优先受让的权利

合作开发的当事人一方声明放弃其共有的专利申请权的,可以由另一方单独申请或者由其他各方共同申请。申请人取得专利权的,放弃专利申请权的一方可以免费实施该专利。

合作开发的当事人一方不同意申请专利的,另一方或者其他各方不得申请专利。

委托开发或者合作开发完成的技术秘密成果的使用权、转让权以及利益的分配办法,由当事人约定。没有约定或者约定不明确的,当事人均有使用和转让的权利,但委托开发的研究开发人不得在向委托人交付研究开发成果之前,将研究开发成果转让给第三人。

技术转让合同

技术转让合同包括专利权转让、专利申请权转让、技术秘密转让、专利实施许可合同。

技术转让合同可以约定让与人和受让人实施专利或者使用技术秘密的范围,但不得限制技术竞争和技术发展。

专利实施许可合同只在该专利权的存续期间有效。专利权有效期限届满或者专利权被宣布无效的,专利权人不得就该专利与他人订立专利实施许可合同。

专利实施许可合同的受让人应当按照约定实施专利,不得许可约定以外的第三人实施该专利,并按照约定支付使用费。

受让人按照约定实施专利、使用技术秘密侵害他人合法权益的,由让与人承担责任,但当事人另有约定的除外。

当事人可以按照互利的原则,在技术转让合同中约定实施专利、使用技术秘密后续改进的技术成果的分享办法。没有约定或者约定不明确,依照本法第六十一条的规定仍不能确定的,一方后续改进的技术成果,其他各方无权分享。

技术咨询合同和技术服务合同

技术咨询合同包括就特定技术项目提供可行性论证、技术预测、专题技术调查、分析评价报告等合同

技术服务合同是指当事人一方以技术知识为另一方解决特定技术问题所订立的合同,不包括建设工程合同和承揽合同。

技术咨询合同的委托人未按照约定提供必要的资料和数据,影响工作进度和质量,不接受或者逾期接受工作成果的,支付的报酬不得追回,未支付的报酬应当支付。

技术咨询合同的受托人未按期提出咨询报告或者提出的咨询报告不符合约定的,应当承担减收或者免收报酬等违约责任。

技术咨询合同的委托人按照受托人符合约定要求的咨询报告和意见作出决策所造成的损失,由委托人承担,但当事人另有约定的除外。

技术服务合同的委托人不履行合同义务或者履行合同义务不符合约定,影响工作进度和质量,不接受或者使其接受工作成果的,支付的报酬不得追回,未支付的报酬应当支付。技术服务合同的受托人未按照合同约定完成服务工作的,应当承担免收报酬等违约责任。

技术咨询合同、技术服务合同履行过程中,受托人利用委托人提供的技术资料和工作条件完成的新的技术成果,属于受托人。委托人利用受托人的工作成果完成的新的技术成果,属于委托人。当事人另有约定的,按照其约定。

36. 软件工程的国家标准

软件工程国家标准分为六大类

1、专业基础标准

2、过程标准

3、质量标准

4、技术与管理标准

5、工具与方法标准

6、数据标准

大纲将软件工程标准分为4大类:

1、基础标准
软件工程术语
信息处理数据流程图、程序流程图、系统流程图、程序网络图的文件编辑符号及约定
信息处理系统计算机配置图符号及约定

2、开发标准
信息技术软件生存周期过程
软件支持环境
软件维护指南

3、文档标准
软件文档管理指南
计算机软件产品开发文件编制指南
计算机软件需求说明编制指南

4、管理标准
计算机软件配置管理计划规范
信息技术软件产品评价质量特性及其使用指南
计算机软件质量保证计划规范
计算机软件可靠性和可维护性管理

标准化工作的特征包括横向综合性、政策性和统一性。标准应以科学、技术和经验的综合成果为基础

标准化工作的任务是制定标准、组织实施标准和对标准的实施进行监督

标准化的实质是通过制定、发布和实施标准,达到统一

标准化的目的是获得最佳秩序和社会效益

标准化的基础原理是统一原理、简化原理、协调原理和最优化原理。

制定标准应遵循的原则是:

1、应当有利于保障安全和人民的身体健康,保护消费者的利益,保护环境

2、应当有利于合理利用国家资源,推广科学技术成果,提高经济效益,并符合使用要求,有利于产品的通用互换,做到技术上先进,经济上合理

3、 应当有利于促进对外经济技术合作和对外贸易。

标准化机构

国际标准化组织(ISO)、国际电工委员会(IEC)、国际电信联盟(ITU)

信息技术领域:电气电子工程师学会(IEEE)、Internet协会、国际Web联盟(W3C)

在中国,按照国务院授权,在国家质量监督检验检疫总局管理下,国家标准化管理委员会(SAC)统一管理全国标准化工作。全国信息技术标准化技术委员会在国家标管委领导下负责信息技术领域国家标准的规划和制订工作。

根据制定机构和适用范围的不同,标准按类型划分,可分为强制性标准和推荐性标准。

国际标准、国家标准、行业标准、区域/地方标准和企业标准

1、国际标准:是指由国际联合机构制定和公布,提供各国参考的标准,ISO、IEC、ITU

2、国家标准:是指由政府或国家级的机构制定或批准,适用于全国范围的标准,
GB或GB/T:中华人民共和国国家标准,由国标委制定,国家质量监督检验检疫总局批准和公布
FIPS-NBS:美国国家标准局联邦信息处理标准
BS:英国国家标准
JIS:日本工业标准

3、行业标准:是指由行业机构、学术团队或国防机构制定,并适用于某个业务领域的标准,IEEE:电气电子工程师学会标准
GJB:中华人民共和国国家军事标准,
DOD-STD:美国国防部标准,适用于美国国防部门
MIL-S:美国军用标准,适用于美国军队内部

4、区域/地方标准:是指由区域性国际联合机构制定和公布,提供区域内各国参考和执行的标准
ARS:非洲地区标准
ASMO:阿拉伯标准
EN:欧洲标准
ETS:欧洲电信标准
PAS:泛美标准
国内地方标准是指由省、自治区、直辖市标准化行政主管部门制定,并报国务院标准化行政主管部门和国务院有关行政主管部门备案,仅适用于本地的标准。

5、企业标准:是指一些大企业或机构,由于工作需要制定的适用于本企业或机构的标准,企业标准以Q开头。

各级标准之间的关系:

1、对需要在全国范围内统一的技术要求,应当制定国家标准。

2、对没有国家标准而又需要在全国某个行业范围内统一的技术要求,可以制定行业标准。在公布国家标准之后,该项行业标准废止

3、对没有国家标准和行业标准而又需要在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求,可以制定地方标准。在公布国家标准或者行业标准后,该项地方标准即行废止。

4、企业生产的产品没有国家标准和行业标准的,应当制定企业标准,已有国家标准或者行业标准的,国家鼓励企业制定严于国家标准或者行业标准的企业标准,在企业内部使用。

当一国产品在另一国销售时,应当优先适用销售地的国家标准。

国家标准、行业标准分为强制性标准和推荐性标准,保障人体健康、人身、财产安全的标准和法律、行政法规规定强制执行的标准是强制性标准,其他标准是推荐性标准。省、自治区、直辖市标准化行政主管部门制定的工业产品的安全、卫生要求的地方标准,在本行政区域内是强制性标准。

强制性国家标准以GB形状,推荐性国家标准以GB/T开头,2001年起,指南类国家标准以GB/Z开头,指南性标准属于推荐性标准。

强制性标准可分为全文强制和条文强制两种形式

全文强制的必须在“前言”的第一段以黑体字写明:“本标准的全部技术内容为强制性”

条文强制的在“前言”的第一段以黑体字写明其强制性条文和非强制性条文

强制性内容的范围包括:国家、人身、财产、动植的安全,产品或工程的质量、卫生、环境保护,防止欺骗、保护消费者利益的,国家需要控制的重要产品的技术要求。

强制标准必须执行,不符合强制性标准的属于违法

推荐性标准自愿采用,但,推荐性标准一经接受并采用,或各方商定同意纳入经济合同中,就成为各方必须遵守的技术依据,具有法律上的约束性。

软件工程的33项标准全部为推荐性标准。

36.1. GB/T 11457-2006 信息技术软件工程术语

范围

本标准定义软件工程领域中通用的术语,适用于软件开发、使用维护、科研、教学和出版等方面

36.2. GB 1526-1989:信息处理数据流程图、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定

基本符号:当处理或数据媒体的精确性质或形式未知时,或者当不需要描述实际的媒体时所使用的符号

特定符号:当处理数据或数据媒体的精确性质或形式已经知道时,或者当需要描述实际的媒体时所使用的符号

流程图:对某一个问题的定义、分析或解法的图形表示,图中用各种符号来表示操作、数据、流向以及装置等。

1、数据流程图:表示求解某一问题的数据通路。同时规定了处理的主要阶段和所用的各种数据媒体,包括:
1、指明数据存在的数据符号,也可指明该数据所使用的媒体
2、指明对数据执行的处理的处理符号
3、指明几个处理和数据媒体之间的数据流的流线符号
数据流程图以数据符号开始和结束。

2、程序流程图:表示程序中的操作顺序,包括:
1、指明实际处理操作的处理符号
2、指明控制流的流线符号
3、便于读、写程序流程图的特殊符号

3、系统流程图:表示系统的操作控制和数据流,包括:
1、指明数据存在的数据符号,包括数据所使用的媒体
2、定义要执行的逻辑路以及指明对数据执行的操作的处理符号
3、指明各处理和数据媒体间数据流的流线符号
4、便于读、写系统流程图的特殊符号

4、程序网络图:表示程序激活路径和程序与相关数据的相互作用。在系统流程图中,一个程序可能在多个控制流中出现,但在程序网络图中,每个程序仅出现一次
1、指明数据存在的数据符号
2、指明对数据执行的操作的处理符号
3、表明各处理的激活和处理与数据间流向的流线符号
4、便于读、写程序网络图的特殊符号

5、系统资源图:表示适合于一个问题或一组问题求解的数据单元和处理单元的配置,包括:
1、表明输入、输出或存储设备的数据符号
2、表示处理器(如中央处理机、通道等)的处理符号
3、表示数据设备和处理器之间的数据传送以及处理器之间的控制传送的流线符号
4、便于读、写系统资源图的特殊符号

36.3. GB/T14085-1993:计算机系统配置图符号及约定

规定了计算机系统包括自动数据处理系统的配置图中所使用的图形符号及其约定。

标准中包括的图形符号是用来表示计算机系统配置的主要硬件部件。本标准不涉及:

1、硬件的详细表示,如逻辑图或电路图

2、利用图像或图画描绘系统的示意图

3、使用用于标识特定设备的缩写词或助词符

配置图用于表示计算机系统的物理结构,如硬件设备和连接电缆

配置图能够表示:

1、包含所有硬件部件的最大配置

2、由于硬件部件的重新布局及设备暂时不用而形成的实际配置

3、为解决给定问题所需要的最小配置

4、相同设备的配置替换等。

配置图可应用在如下方面:

1、计算机厂商的商业宣传小册子

2、计算机配置的选择和评估

3、计算机购买或租借合同的技术条款

4、计算机中心的表示

5、在杂志文章中描述数据处理的应用

6、数据处理应用说明书

配置图由下列几部分组成:

1、硬件符号

2、连线

3、专门约定

36.4. GB/T 8566-2007 信息技术软件生存周期过程

本标准为软件生存周期过程建立了一个公共框架,以供软件产业界使用,它包括在含有软件的系统、独立软件产品和软件服务的获取期间以及在软件产品的供应、运行和维护期间需应用的过程、活动和任务。软件包括软固件的软件部分。

本标准了描述了软件生存周期过程的体系结构,但并未规定如何实施或执行各过程中包含的活动和任务的细节。

本标准并不打算规定要产生的文档的名称、格式或编写内容。

本标准并不规定一个特定的生存周期模型或软件开发方法。

术语:

1、协定:确定将要建立的工作关系的期限和条件。

2、审核:由授权人员对软件产品和过程进行的独立评估,以便评估与需求的依从性。

3、评价:系统地确定一个实体项目满足其规定准则的程度

4、固件:硬件装置和作为只读软件驻留在硬件装置中的计算机指令或计算机数据的组合,该软件不能在程序控制下方便地修改。

5、合格性认定:证实一个实体是否能够完成规定需求的过程

6、合格性需求:为了证明一个软件产品依从其规格说明且可以在其目标环境中使用,该软件产品必须满足的一组准则或条件。

7、合格性测试:由开发方进行并由需方见证的测试,以证明软件产品符合其规格说明,并可以在其目标环境中使用。

8、确认:通过检查和提供客观证据来证实针对某一特定预期用途的需求已经得到满足

9、验证:通过检查和提供客观证据来证实规定需求已经得到满足。

验证:验证检查某样东西是否符合之前已定好的标准,如:文档评审,要检查的东西是文档,检查标准就是文档的评审标准,又如:测试软件,要检查的东西就是软件,检查的标准就是软件的规格说明,包括功能说明,性能要求等。

确认:检查软件在最终的运行环境上是否达到预期的目标。一般来说,就是调试、验收测试等,这些工作都是在真正的软件需要运行的环境上进行的,在最终环境上运行软件,确保软件符合使用要求。

其实确认更多是从用户的角度或者可以是模拟用户角度来验证产品是否和自己想要的一致。而验证更多的是从开发方的角度来做评审、测试来验证产品的需求、架构设计等方面是否和用户要求的一致

验证是代表你是否正确的做事情,而确认代表你是否做了正确的事情

本标准把软件生存周期中可能执行的活动分为5个基本过程、9个支持过程和7个组织过程,每一生存周期过程划分为一组活动,每一活动进一步划分为任务

5个基本过程:

1、获取过程:为需方而定义的活动,启动,招标,合同,对供方监督,验收等

2、供应过程:为供方而定义的活动,启动,准备投标,签订合同,编制计划,执行,交付和完成

3、开发过程:为开发方而定义的活动:需求、设计、编码、测试、安装、验收

4、运作过程:为操作方而定义的活动:运行测试,系统运行,用户支持

5、维护过程:为维护方而定义的活动:问题和修改分析,修改实现,维护评审/验收,迁移,软件退役

9个支持过程:

1、文档编制过程

2、配管管理过程

3、质量保证过程

4、验证过程:确定软件产品是否满足在以前的活动中施加于它们的要求和条件的过程。合同验证,过程验证,需求验证,设计验证,编码验证,集成验证,文档验证

5、确认过程:确定需求和最终的、已建成的系统或软件产品是否满足特定的预期用途的过程。该过程包括下列任务:
1、为分析测试结果准备选择的测试需求、测试用例和测试规格说明
2、确保这些测试需求、测试用例和测试规格说明反映特定的预期用途的特殊要求
3、测试包括强度、边界和异常输入测试

6、联合评审过程:评价某个项目的一项活动的状态和产品,项目管理评审,技术评审

7、审核过程:在适当时确定与需求、计划和合同的符合性

8、问题解决过程

9、易用性过程

7个组织过程

1、管理过程:为生存周期过程中的管理包括项目管理而定义的基本活动

2、基础设施过程:为建立生存周期过程基础结构而定义的基本活动

3、改进过程

4、人力资源过程

5、资产管理过程

6、重用大纲管理过程:为组织的重用大纲主管而定义的活动,启动,领域评估,重用评估,策划,执行和控制,评审和评价

7、领域工程过程:领域工程师的活动和任务,领域分析,领域设计,资产供应,资产维护

36.5. GB/T 15853-1995 软件支持环境

本标准规定了软件支持环境的基本要求,软件开发支持环境的内容及实现方法,以及对软件生存期支持部门软件支持能力的具体要求。

术语

1、宿主机系统:为研制用于一个或多个目标机系统的软件而需要的硬件设备、系统软件、支持软件及规程。

2、软件支持环境:一个宿主机系统,加上其他有关的设备和规程而构成

3、软件开发支持环境:由软件承办单位确定、并经任务委托单位认可的资源,用于支持合同项目中的软件需求

4、软件生存期支持环境:由软件生存期支持部门使用的(属于任务委托单位的)资源,用于为指定的目标机系统提供整个生存期内的软件支持。

5、软件来源:商品软件、自行开发的软件、任务委托单位提供的软件、承办单位开发的软件

36.6. GB/T 14079-1993 软件维护指南

本标准描述软件维护的内容和类型、维护过程及维护的控制和改进。

本标准适用于软件生存周期的运行和维护阶段,主要供软件管理人员和维护人员使用

术语

1、同级评审:一种质量保证方法,由两个或多个同级程序员互相检查、评估、以确保被检查内容正确,且与软件的其他部分相一致

软件维护一般分为完善性维护、适应性维护和改正性维护、预防性维护

软件维护过程

1、确定修改类型

2、确定修改的需要

3、提出修改请求

4、需求分析

5、认可或否决修改请求

6、安排任务进度

7、设计

8、设计评审

9、编码修改和排错

10、评审编码修改

11、测试

12、更新文档

13、标准审计

14、用户验收

15、安装后评审修改及其对系统的影响

36.7. GB/T 16680-1996 软件文档管理指南

本标准为管理者提供软件的管理指南,不论项目的大小,软件文档管理的原则是一致的,本标准是针对文档编制管理而提出的,不涉及软件文档的内容和编排。

软件文档分为三类:开发文档、产品文档、管理文档

1、开发文档:描述开发过程本身,包括:可行性研究和项目任务书、需求规格说明、功能规格说明、设计规格说明、开发计划、软件集成和测试计划、质量保证计划、标准、进度、安全和测试信息

2、产品文档:规定关于软件产品的使用、维护、增强、转换和传输的信息,包括:培训手册、参考手册和用户指南、软件支持手册、产品手册和信息广告

3、管理文档:建立在项目管理信息的基础上,计划、变更记录

文档的质量可以按文档的形式和列出的要求划分为四级

1、最底限度文档(1级文档):适合开发工作量低于一个人月的开发者自用程序,程序清单测试数据、开发记录。

2、内部文档(2级文档):没有与其他用户共享资源的专用程序,注释

3、工作文档(3级文档):适合于同一单位内若干人联合开发的程序,或可被其他单位使用的程序

4、正式文档(4级文档):适合要正式履行供普遍使用的软件产品

制订文档规程

1、文档计划制定

2、文档编写

3、文档编号

4、文档评审

5、文档签署

6、文档归档与保管

7、文档维护

36.8. GB/T 8567-2006 计算机软件文档编制规范

本标准主要对软件的开发过程和管理过程应编制的主要文档及其编制的内容、格式规定了基本要求。

文档过程

1、源材料准备

2、文档计划

3、文档开发

4、文档编制要求

36.9. GB/T 9385-2008 计算机软件需求规格说明规范

本标准给出了软件需求规格说明的编制要求,描述了一份好的SRS的内容和质量。

SRS由来自供方和顾客双方的人员联合编写

SRS编写人员应关注以下基本点:

1、功能

2、外部接口

3、性能

4、属性:软件的可用性、可靠性、可移植性、正确性、可维护性、安全性

5、影响产品实现的设计约束

编写人员宜避免把设计或项目需求写入SRS中

因为SRS在软件开发过程中发挥特定的作用,编写人员宜谨慎对待,不走出其作用范围。这意味着:

1、宜正确地定义所有软件需求

2、不宜描述任何设计或实现的细节

3、不宜对软件设置附加的限制条件,这些内容可在其他文件中规定,如软件质量保证计划

因此,编写适当的SRS限定了正确设计的范围,但不规定任何具体的设计

好的SRS的特征

1、正确:当且仅当SRS中的每一项需求都是软件应满足的需求

2、无歧义:当且仅当SRS中每一项需求都只有一种解释

3、完备:所有重要的需求都应当得到确认和处理。软件响应的定义,所有图表及术语和度量单位的定义

4、一致:是内部一致,当且仅当SRS中描述的任何单个需求的子集之间相互不矛盾,SRS才是内部一致的。

5、重要性和/或稳定性分级:每条需求赋有标明其重要性或稳定性的标识,重要性分为基本的(少了软件不被接受)、有条件的(有会增强软件产品,少了不会被拒收),可选的(可有可无),稳定性用需求的期望变更次数来标识。

6、可验证:当且仅当存在某个有限的成本、过程,人或机器能够检查软件产品满足某个需求,该需求才是可验证的。一般说来,任何有歧义的需求都是不可验证的。

7、可修改:当且仅当SRS的结构和形式能够对任何需求进行容易、全面和一致的修改,同时保持该结构和形式,SRS才是可修改的

8、可追踪:每个需求的来源是清楚的,可追踪性分为逆向可追溯性和正向可追溯性

在项目的需求阶段常常使用原型法。一些工具简单、快捷地创建体现系统某些特征的原型。

项目需求表示了顾客和供方之间有关软件生产合同事宜的理解,因此不宜包括在SRS中

通常项目需求包括:成本、交付进度、报告规程、软件开发方法、质量保证、验证和确认准则,验收规程。

36.10. GB/T 12505-1990 软件配置管理计划规范

本规范规定了在制订软件配置管理计划时应该遵循的统一的基本要求。

术语

1、软件开发库

2、软件受控库

3、软件产品库

4、功能基线:是指在系统分析与软件定义阶段结束时,经过正式评审和批准的系统设计规格说明书中对待开发软件系统的规格说明,功能基线是最初批准的功能配置标识

5、 指派基线:是指在软件需求分析阶段结束时,经过正式评审和批准的软件需求的规格说明。指派基线是最初批准的指派配置标识

6、产品基线:是指在软件组装与系统测试阶段结束时,经过正式评审和批准的有关所开发的软件产品的全部配置项的规格说明,产品基线是最初批准的产品配置标识。

7、 释放:是指在软件生存周期的各个阶段结束时,由该阶段向下阶段提交该阶段的阶段产品的过程。最终产品向用户提交的过程,也称作交付。

36.11. GB/T 16260 信息技术软件产品评价质量特性及其使用指南

描述了关于软件产品质量的两部分模型

1、内部质量和外部质量

2、使用质量

为内部质量和外部质量规定了六个特性,它们可进一步细分为子特性。当软件作为计算机系统的一部分时,这些子特性作为内部软件属性的结果,从外部显现出来。

为使用质量规定了四个特性,使用质量是面向用户的六个软件产品质量特性的组合效用。

术语

1、性能级别:要求被满足的程度,它由一组质量特性的特定值来表示。

软件产品质量可以通过测量内部属性,也可以通过测量外部属性,或者通过测量使用质量的属性来评价。目标就是使产品在指定的使用周境下具有所需的效用。

过程质量有助于提高产品质量,而产品质量则是提高使用质量的方法之一,同样,评价使用质量可以为改进产品提供反馈,而评价产品则可以为改进过程提供反馈。

合适的软件内部属性是获得所需外部行为的先决条件,而适当的外部行为则是获得使用质量的先决条件。

软件产品质量需求一般要包括对于内部质量、外部质量和使用质量的评估准则。

用户质量要求可通过使用质量的度量、外部度量,有时是内部度量来确定为质量需求

外部质量需求从外部视角来规定要求的质量级别。外部质量需求用作不同开发阶段的确认目标。外部质量需求应在质量需求规格说明中用外部度量加民描述,宜转换为内部质量需求,而且在评价产品时应该作为准则使用。

内部质量需求从产品的内部视角来规定要求的质量级别。内部质量需求用来规定中间产品的特性,内部质量需求可用作不同开发阶段的确认目标,也可以用于开发期间定义开发策略以及评价和验证的准则

内部质量是基于内部视角的软件产品特性的总体。

估计的(预测的)外部质量是在了解内部质量的基础上,对每个开发阶段的最终软件产品的各个质量特性加以估计或预测的质量。

外部质量是基于外部视角的软件产品特性的总体。

估计的(预测的)使用质量是在了解内部和外部质量的基础上,对每个开发阶段的最终软件产品的各个使用质量的特性加以估计或预测的质量。

使用质量是基于用户观点的软件产品用于指定的环境和使用周境时的质量。它测量用户在特定环境中能达到其目标的程度,而不是测量软件自身的属性。

外部和内部质量的质量模型

六个特性:功能性、可靠性、易用性、效率、维护性、可移植性

1、功能性:当软件在指定条件下使用时,软件产品提供满足明确和隐含要求的功能的能力1、适合性:软件产品为指定的任务和用户目标提供一组合适的功能的能力2、准确性:软件产品提供具有所需精度的正确或相符的结果或效果的能力3、互操作性:软件产品与一个或更多的规定系统进行交互的能力4、安全保密性:软件产品保护信息和数据的能力

2、可靠性:在指定条件使用时,软件产品维护规定的性能级别的能力1、成熟性:软件产品为避免由软件中故障而导致失效的能力2、容错性:在软件出现故障或者违反其指定接口的情况下,软件产品维持规定的性能级别的能力3、易恢复性:在失效发生的情况下,软件产品重建规定的性能级别并恢复受直接影响的数据的能力

3、易用性:在指定条件下使用时,软件产品被理解、学习、使用和吸引用户的能力1、易理解性:使用用户能理解软件是否合适及如何能将软件用于特定的任务的能力2、易学性:使用用户能学习其应用的能力3、易操作性:使用户能操作和控制它的能力4、吸引性:软件产品吸引用户的能力

4、效率:在规定条件下,相对于所用资源的数量,软件产品可提供适当性能的能力1、时间特性:软件执行其功能时,提供适当的响应和处理时间以及吞吐率的能力2、资源利用性:软件执行其功能时,使用合适数量和类别的资源的能力

5、维护性:软件产品可被修改的能力。包括纠正、改进或对环境、需求和功能规格说明变化的适应1、易分析性:诊断软件中的缺陷或失效原因或识别待修改部分的能力2、易改变性:使指定的修改可以被实现的能力3、稳定性:避免由于软件修改而造成意外结果的能力5、易测试性:使已修改软件能被确认的能力

6、可移植性:软件产品从一种环境迁移到另外一种环境的能力1、适应性:无需采用额外的活动或手段就可适应不同指定环境的能力2、易安装性:软件产品在指定环境中被安装的能力3、共存性:在公共环境中同与其分享公共资源的其他独立软件共存的能力4、易替换性:在同样的环境下,替代另一个相同用途的指定软件产品的能力

使用质量的质量模型

使用质量的属性分为四个特性:有效性、生产率、安全性和满意度

1、有效性:软件产品在指定的使用周境下,使用户能达到与准确性和完备性相关的规定目标的能力

2、生产率:在指定的使用周境下,使用户为达到有效性而消耗适当数量的资源的能力

3、安全性:在指定使用周境下,达到对人类、业务、软件、财产或环境造成损害的可接受的风险级别的能力

4、满意度:使用户满意的能力。

内部度量可以应用于设计和编码期间的非执行软件产品,当开发一个软件产品时,中间产品宜使用测量内在性质的内部度量来评价,内部度量的主要目的是为了确保获得所需的外部质量和使用质量。内部度量使得用户、评价者、测试人员和开发者可以在软件产品可执行之前就能评价软件产品质量和尽早地提出质量问题。

外部度量是通过测试、运行和观察可执行的软件或系统,由该软件产品所在的系统行为的测试而导出。

使用质量的度量测量产品在特定的使用周境下,满足特定用户达到特定目标所要求的有效性、生产率、安全性和满意度的程度,它是根据使用软件的结果而不是软件自身的属性来测量的。使用质量是面向用户的内部和外部质量的组合效果。

36.12. GB/T 12054-1990 计算机软件质量保证计划规范

本规范规定了在制定软件质量保证计划时应该遵循的统一的基本要求

术语

1、验证:是指确定软件开发周期中的一个给定阶段的产品是否达到上一阶段确立的需求的过程

2、确认:是指在软件开发过程结束时对软件进行评价以确定它是否和软件需求相一致的过程

3、测试:是指通过执行程序来有意识地发现程序中的设计错误和编码错误的过程。测试是验证和确认的手段之一。

4、质量保证:是指为使软件产品规定需求所进行的一系列有计划的必要工作。

36.13. GB/T 14394-1993 计算机软件可靠性和可维护性管理

本标准规定了软件产品在其生存周期内如何选择适当的软件可靠性和可维护性管理要素,并指导软件可靠性和可维护性大纲的制定和实施。

术语

1、软件可靠性:在规定环境下,在规定时间内软件不引起系统失效的概率,在规定的时间周期内所述条件下程序执行所要求的功能的能力

2、软件可维护性:与进行规定的修改难易程度有关的一组属性

3、软件生存周期:软件产品从形成概念开始,经过开发、使用和维护,直到最后不再使用的整个过程

4、软件可靠性和可维护性性大纲:为保证软件满足规定的可靠性和可维护性要求而制订的一套管理文件。

软件生存周期

1、可行性研究与计划阶段

2、需求分析阶段

3、概要设计阶段

4、详细设计阶段

5、实现阶段

6、组装测试阶段

7、确认测试阶段

8、使用和维护阶段

软件生存周期可靠性和可维护性度量方法

在软件生存周期的各个阶段,应进行与可靠性和可维护性有关的度量,度量方法通常分定性的估计、定量的预测和测量等。其目的是保证在软件生存周期的特定阶段的关键问题能得到及时解决。

标签：项目内容系统信息信息系统管理学习

赞(1) 更多分享

本文链接地址： https://b.htmltoo.com/blog-p1973.html

上篇： 信息系统管理工程师学习笔记
下篇： PMO项目管理的OKR案例库