cia第三部分信息技术知识点整理

《cia第三部分信息技术知识点整理》由会员分享，可在线阅读，更多相关《cia第三部分信息技术知识点整理（14页珍藏版）》请在装配图网上搜索。

1、三-E 信息技术知识点归纳从控制角度来看信息系统构成：1.一般控制：管理控制/系统实施控制/运行控制/软件控制/硬件控制/物理访问控制/逻辑访问控制2.应用控制：输入控制/处理控制/输出控制3.保障控制：灾难恢复与与应急计划/环境控制/设备来源控控制1.信息系统的的战略、政策策和过程1.1 信息系系统的战略性性应用目标：战略、政策策、过程：通通过应用信息息系统，达到到改进组织的的目标、经营营和服务或组组织与环境的的关系，从而而帮助组织改改善与客户的的关系，取得得竞争优势。战战略性的应用用系统渗透于于业务层、企企业层及行业业层面。1.2 信息系系统的应用推推动组织结构构变革：自动动化/流程合合理

2、话/业务务流程再造/异化。1.3 信息系系统应用模式式的演变：主主机/终端模模式客户机/服务器模式式浏览器/服务器模式式与信息应用模式式相关的问题题：降型化/开放系统/遗产系统。1.4 信息系系统的功能分分类： 作业层（事物处处理系统TPPS）：基本本交易活动，常常规问题 知识层（知识工工作系统KWWS/办公自自动户化系统统OAS）：知识员工、数数据员工 管理层（管理信信息系统MIIS/决策支支持DSS）：中层经理，行政事务 战略层（高级经经理支持系统统ESS）：高层经理，战战略问题1.5 信息系系统部门的职职责系统开发小组（系系统分析员是是联络的桥梁梁、设计、编编程、测试）系统运行小组（确保

3、正常运行/帮助平台、咨询）。1.6 信息系系统安全主管管的责任信息系统高层管管理人员的职职责：评估风风险/控制成成本/制定风风险控制目标标与措施信息安全主管的的职责：制定定安全政策/评价安全控控制/检测调调查不成功的的访问企图/监督特权用用户的访问，保保证用途。1.7 新兴技技术人工智能能： 专家系统（商品品赊销的审批批、医疗专家家系统）：通通过获取人类类专家在某一一领域的经验验和知识，利利用推理模型型来给出建议议。专家系统统能够使客户户服务工作更更容易进行。 神经网络（超音音速飞机的控控制系统、电电力系统负荷荷预测）：在在被人类告知知其决策错误误及答案后，能能修改期知识识库。 模糊逻辑（人像

4、像识别系统）：处理模糊数据。 遗传算法（煤气气管道控制、机机器人控制）：不断完善对特定问题的解决方案。 智能代理（互联联网搜索引擎擎、电子邮件件过滤器）：解决特定的的、重复的、可可预见的问题题，内设知识识库。1.8 第三方方服务机构的的角色 设备管理机构（服务）按用户要求运行、维护数据处理 计算机租赁公司司（设备）只提供设设备 服务局（服务加加设备）管理运行行自己的数据据处理设备，用用户只需求提提供数据，根根据服务结果果付费 共享服务商（服服务加设备）管理运营营自己的数据据处理设备、使使各类组织可可以使用他们们的系统2.硬件、平台台、网络与远远程通讯2.1 各种计计算机媒体： 磁带（容量大、价

5、价格低顺序存存储 磁带库（容纳多多盘磁带、机机械臂抓取） 软盘（直接存取取、便于携带带） 硬盘（直接存取取、速度快、容容量大） 廉价冗余磁盘阵阵列/廉价光光盘重复排列列（重构数据据、容错能力力强） CD-ROM（保保存数字文件件容量大、便便宜、不能写写入） 光盘库（容纳多多个光盘） 一次写多次读光光盘（WORRM 适用不不须更新、记记录内容）。2.2 计算机机类型：个人人计算机/工工作站/网络络计算机。2.3 各类计计算机外部设设备：不间断断电源/光学学字符识别/打印机/扫扫描仪/绘图图仪/条码阅阅读器。2.4 外部接接口：串口/并口/USSB口。2.5 操作系系统：分配、调调度、监视系系统资

6、源，保保证雇员只对对被授权的数数据进行读写写访问 DOOA/UNIIX/VMSS。2.6 监视器器：辨别硬件件的瓶颈和软软件设计问题题/调整运行行负荷/发现现网络反应时时间恶化情况况。2.7 图形化化用户接口：用鼠标点击击图形来输入入命令如WIINDOWSS。2.8 大型计计算机的使用用：影响大型型计算机运行行速度的因素素有： 应用软件的是设设计效率 数据库管理软件件的效率 数据的结构网络络容量及传输输速度 系统负荷 存储器容量 安全检查及备份份的频率 软件初始化选择择的正确性。2.9 个人计计算机与大型型计算机的接接口：通过局局域网连接、口口令登陆 终端仿真的风险险： 雇员利用微机谋谋取私利

7、 备份不充分 拷贝供个人使用用 保存登录序列的的文献 任何能访问PCC机的人员都都可以访问主主机。2.10 计算算机网络的分分类：广域网网（覆盖广、速速度慢）/局局域网（范围围小、速度快快）/城域网网（城市内部部高速网） 广域网：专用网网络/虚拟专专用网/公用用交换网络/增值网 局域网：总线网网/星型网/环型网 或者分为：基于服务器器的网络/对对等网。2.11 网络络连接设备：网卡/调制制解调器/中中绩器/集线线器/网桥/网关/路由由器。2.12 因特特网：资源无无限缺点：难以定位位最好的资源源功能：网络浏览览器WEB/电子邮件EEMAIL/远程登录TTELNETT/专题论坛坛USENEET/

8、电子公公告牌BBSS/其他。2.13 数据据传输模式： 异步传输（利用用额外的启动动位与停止位位同步数据传传输/慢，有有间隔） 同步传输（同步步时钟同步数数据传输，快快、可连续传传输）各种基础通信网网络：公用电电话交换网（拨拨号上网）/DDN数字字数据网络/桢中继（降降局域网和其其他局域网连连接，使不很很敏感的数据据传递）/综综合服务数字字网ISDNN/非对称数数字环线ADDSL。3.数据处理 3.1 个人计计算机软件：字处理软件件/电子表格格/图象处理理软件/财务务管理/管理理软件/光学学字符识别软软件。3.2 程序执执行方式：直直接执行：语语言程序（编编译）目标代码码（连接）可执行代代码（

9、执行）程序运行解释执行：语言言程序（由解解释程序转换换二进制玛）程序运行。3.3 语言类类型：机器语语言/汇编语语言/过程化化语言/非过过程化语言。3.4 文件类类型：直接存存取文件/顺顺序文件/索索引文件主文文件与事务文文件/平面文文件。3.5 数据处处理方式：批处理/在线处处理集中处理/分散散处理/分布布处理。3.6 常用计计算机审计技技术： 测试数据（检查查信息系统是是否正常） 平行模拟（模拟拟系统与真实实系统比较结结果） 继承集成测试（虚虚构测试数据据与真实数据据一起处理，缺缺点：测试数数据可能进入入委托人的真真实数据环境境） 嵌入审计模块（连连续监督） 其他技术（电脑脑化帐务处理理系

10、统自动平平帐）。3.7 数据库库的类型：层层次性数据库库；网状型数数据库；关系系型数据库关系型数据库的的操作： 选择（条件选择择出记录子集集） 连接（按某个共共同数据元素素结合多个关关系型数据库库 映射（将数据库库中的部分字字段构成新的的子表）修改改 锁定/死锁）。3.8 数据库库管理系统的的组成 数据定义语言：描述数据库库内容与结构构的语言（建建立数据库表表结构） 数据操纵语言：修改、操作作、插入、查查询（提取数数据的命令） 数据字典：对数数据结构的定定义。3.9 分布式式数据库在各各接点的分布布方法：快照照/复制/分分割数据组织与查询询： 结构化查询语言言（不会对数数据库产生风风险） 管理

11、查询设施（用用于趋势图、制制作图表，无法检查数数据有效性，可可提供在线信信息） 逻辑视图（从一一个或多个数数据库表中生生成新的数据据结构，直观观） 数据挖掘（分析析，发现隐藏藏在数据后的的规律）。3.10 电子子资金转帐系系统（EFTT）风险： 未经许可的进入入和操作 对交易的重复处处理 缺乏备份和恢复复能力 未经授权的访问问和交易活动动风险最大优势： 交易处理成本比比手工低 改善与贸易伙伴伴的业务关系系 减少数据错误 提高工作效率EDI（电子数数据交换） 实施第一步：画画出未实现组组织目标所开开展的经营活活动的流程图图 目标：改善业务务关系，提高高竞争力 EDI的风险： 数据完整性的丧丧失和

12、随意存存取数据是EEDI的固有有风险 数据传输可能在在传输的起点点、中途和重重点被拦截或或修改数字签名名技术 数据交换过程中中的遗漏、错错序或重复给EDII文件顺序编编号 向交易伙伴传输输交易信息有有时不成功通过对方方的反馈来确确认4.系统开发获获得和维护4.1 系统开开发方法： 系统开发生命周周期法（系统统、规范、严严密） （快速）原型法法（不断修改改直至满意，缺缺点，不系统统，不正规） 面向对象的开发发方法（根据据需求）4.2 系统开开发的主要活活动：系统分分析系统设计计系统编程程测试转换系统维护护 系统分析： 要解决问题的分分析 用户分析和系统统可行性分析析 系统分析员是信信息系统和其其

13、他业务部门门联系桥梁 系统设计： 逻辑设计 物理设计 系统编程： 将设计规格书转转化成计算机机软件代码的的过程 测试： 模块测试 系统测试 验收测试 转换： 平行转换 直接转换 试点转换 分阶段的转换在软件需求与设设计阶段审计计师关注点： 需求阶段安全需需求是否完备备，能否保证证信息系统机机密、完整、可可用，是否有有足够的审计计踪迹 审计设计阶段检检查安全需求求是否有足够够的控制已集集成到系统定定义和测试计计划中，连续续性在线审计计功能是否集集成到系统中中 在系统设计阶段段的基线上是是否建立变动动控制 检查相关文档是是否齐全4.3 内部审审计师对信息息系统开发的的参与参与方式：连续续参与开发/

14、在系统开发发结束时参与与/在系统实实施后参与连续参与的好处处：最大限度度地降低系统统重新设计的的成本4.4 系统维维护与变动的的控制： 程序变动控制： 经管理层批准 经全面测试并保保存文档 必须留下何人、何何时、何事的的线索 修改软件的风险险： 使用未经审查、测测试的修改软软件，使被处处理信息的可可靠性减弱4.5 最终用用户开发的风风险 系统分析功能被被忽略 难集成 系统内产生专用用信息系统 缺乏标准和文档档，使用和维维护都依赖开开发者 缺乏监督，失去去数据一致性性4.6 降低最最终用户开发发的风险： 成立信息中心 集中系统开发专专家对用户进进行培训 提个开发工具与与指导，协助助建立质量标标准

15、 信息中心直接参参与系统分析析与设计 对终端用户开发发的审计（确确定终端用户户开发的程序序对应用程程序进行风险险排序对控制情情况进行文件件处理与测试试）4.7 软件件许可问题： 使用盗版软件的的危害（违法法/易感染病病毒） 防止使用非法软软件的方法（建建立制度/版版权法教育/定期鉴别/保存购买软软件的原始记记录/专人保保管安装盘） 非法软件的发现现（比较采购购记录与可执执行文件/比比较序列号）5.信息系统安安全5.1 常见攻攻击手段：黑黑客/阻塞/窃听/重演演/诈骗/中中断/病毒5.2 不同层层次的信息系系统安全控制制：一般控制制/应用控制制一般控制： 管理控制：制定定政策与程序序/目标：职责

16、分分离 系统实施控制：开发实施过过程中建立控控制点编制文文档（各个环环节） 运行控制：数据据存储、运行行规范化要求求，例如在对对不需要的文文件要在授权权条件下及时时删除，管理理系统操作、性性能监测、系系统备份、审审计日志 软件控制：未经经许可不得修修改、在独立立的计算机上上测试所有的的要进入生产产环境的软件件 硬件控制：保证证正常运行：回拨检测、奇奇偶校验 访问控制（重点点）：标识/口令/授权权/访问日志志/自动注销销登录/回拨拨/对工具软软件的限制 物理设备控制：防止对物理理设备的非授授权接触的控控制一般控制更为基基础，影响应应用控制CIA在审查一一个应用系统统的应用控制制时应首先确确认该系

17、统已已经建立完善善的一般控制制。5.3 访问控控制的类型： 标识（唯一确定定用户身份） 口令（弱控制） 授权（建立访问问控制表预防防未经授权访访问修改敏感感信息，知必必所需） 访问日志（检测测性控制措施施） 回拨（保护信息息按指定路径径传送） 自动注销登录（防防止通过无人人照管的终端端来访问主机机敏感信息） 对工具软件的限限制5.4 加密和和解密算法和密密钥加密密钥钥和解密密钥钥公钥和私私钥数字证书书数字签名名认证中心心 对称密码体制，DDES 非对称密码体制制，RSA5.5 电子邮邮件的安全控控制： 禁止用EMAIIL发送高度度敏感或机密密信息 加密 限使用数量 工作终端的商用用电子邮件保保

18、存备查 保密性电邮不能能储存在邮件件服务器中 离职雇员的电邮邮应该保留备备查 在安全程度不同同的地点有几几个人同对负负责管理的电电邮安全性 归档和分级管理理。电子邮件不可能能比它赖以运运行的计算机机环境更安全全。5.6 防火墙墙：数据包过过滤型/应用用网关型5.7 应用软软件控制： 输入控制（输入入授权、数据据转换、编辑辑检验） 处理控制（运行行总数、计算算机匹配、并并发控制）、输输出控制 输出控制（平衡衡总数、复核核日志、审核核报告、审核核制度文件）5.8 计算机机的物理安全全： 保证传输线路的的安全以防止止非法访问网网络 尽量不要暴露数数据中心的位位置以防止恐恐怖分子袭击击 不间断电源 可可以在停电时时维持电脑系系统的运行 防火防潮 生物统计访问系系统 计算机附近铁路路公路的风险险评价5.9 应急计计划： 故障弱化保护 灾难恢复计划第一步风风险分析，其其次才识策略略、文档、计计划执行测试试等 灾难恢复计划的的一个重要组组成部分是备备份和重新启启动程序 当组织的结构和和运营发生改改变时，灾难难恢复计划必必须随之改变变以保证恢复复计划的及时时有效 防止系统故障和和重大灾难时时的数据保存存手段数据异地地备份 防止系统故障和和重大灾难时时的信息设施施恢复手段信息设施异异地冗余三-E 信息技术知识点归纳 - 14 -