cia信息技術(shù)知識(shí)點(diǎn)整理

1、精品資料推薦三 -E 信息技術(shù)知識(shí)點(diǎn)歸納從控制角度來(lái)看信息系統(tǒng)構(gòu)成：1. 一般控制：管理控制 / 系統(tǒng)實(shí)施控制 / 運(yùn)行控制 / 軟件控制 / 硬件控制 / 物理訪問(wèn)控制 / 邏輯訪 問(wèn)控制2. 應(yīng)用控制：輸入控制 / 處理控制 /輸出控制3. 保障控制：災(zāi)難恢復(fù)與應(yīng)急計(jì)劃 / 環(huán)境控制 /設(shè)備來(lái)源控制1. 信息系統(tǒng)的戰(zhàn)略、政策和過(guò)程1.1 信息系統(tǒng)的戰(zhàn)略性應(yīng)用目標(biāo)：戰(zhàn)略、政策、過(guò)程：通過(guò)應(yīng)用信息系統(tǒng)，達(dá)到改進(jìn)組織的 目標(biāo)、經(jīng)營(yíng)和服務(wù)或組織與環(huán)境的關(guān)系，從而幫助組織改善與客戶的關(guān)系，取得競(jìng)爭(zhēng)優(yōu)勢(shì)。戰(zhàn)略 性的應(yīng)用系統(tǒng)滲透于業(yè)務(wù)層、企業(yè)層及行業(yè)層面。1.2 信息系統(tǒng)的應(yīng)用推動(dòng)組織結(jié)構(gòu)變革：自動(dòng)化

2、/流程合理話/業(yè)務(wù)流程再造 /異化。1.3 信息系統(tǒng)應(yīng)用模式的演變：主機(jī) /終端模式客戶機(jī) / 服務(wù)器模式瀏覽器 /服務(wù)器 模式與信息應(yīng)用模式相關(guān)的問(wèn)題：降型化 / 開(kāi)放系統(tǒng) / 遺產(chǎn)系統(tǒng)。1.4 信息系統(tǒng)的功能分類：?作業(yè)層（事物處理系統(tǒng)TPS：基本交易活動(dòng)，常規(guī)問(wèn)題?知識(shí)層（知識(shí)工作系統(tǒng)KWSfr公自動(dòng)戶化系統(tǒng)OAS：知識(shí)員工、數(shù)據(jù)員工?管理層（管理信息系統(tǒng) MIS/決策支持DSS：中層經(jīng)理，行政事務(wù)?戰(zhàn)略層（高級(jí)經(jīng)理支持系統(tǒng) ESS：高層經(jīng)理，戰(zhàn)略問(wèn)題1.5 信息系統(tǒng)部門的職責(zé)系統(tǒng)開(kāi)發(fā)小組（系統(tǒng)分析員是聯(lián)絡(luò)的橋梁、設(shè)計(jì)、編程、測(cè)試：系統(tǒng)運(yùn)行小組（確保正 常運(yùn)行/幫助平臺(tái)、咨詢：。1.6

3、信息系統(tǒng)安全主管的責(zé)任信息系統(tǒng)高層管理人員的職責(zé)：評(píng)估風(fēng)險(xiǎn) /控制成本/制定風(fēng)險(xiǎn)控制目標(biāo)與措施信息安全主管的職責(zé)：制定安全政策 /評(píng)價(jià)安全控制 /檢測(cè)調(diào)查不成功的訪問(wèn)企圖 /監(jiān)督特權(quán) 用戶的訪問(wèn)，保證用途。1.7 新興技術(shù)人工智能：? 專家系統(tǒng)（商品賒銷的審批、醫(yī)療專家系統(tǒng)： ：通過(guò)獲取人類專家在某一領(lǐng)域的經(jīng)驗(yàn) 和知識(shí)，利用推理模型來(lái)給出建議。專家系統(tǒng)能夠使客戶服務(wù)工作更容易進(jìn)行。? 神經(jīng)網(wǎng)絡(luò)（超音速飛機(jī)的控制系統(tǒng)、電力系統(tǒng)負(fù)荷預(yù)測(cè)： ：在被人類告知其決策錯(cuò)誤 及答案后，能修改期知識(shí)庫(kù)。? 模糊邏輯（人像識(shí)別系統(tǒng)： ：處理模糊數(shù)據(jù)。? 遺傳算法（煤氣管道控制、機(jī)器人控制： ：不斷完善對(duì)特定問(wèn)題

4、的解決方案。? 智能代理（互聯(lián)網(wǎng)搜索引擎、電子郵件過(guò)濾器： ：解決特定的、重復(fù)的、可預(yù)見(jiàn)的問(wèn)題，內(nèi)設(shè)知識(shí)庫(kù)。1.8 第三方服務(wù)機(jī)構(gòu)的角色? 設(shè)備管理機(jī)構(gòu)（服務(wù)）按用戶要求運(yùn)行、維護(hù)數(shù)據(jù)處理? 計(jì)算機(jī)租賃公司（設(shè)備）只提供設(shè)備? 服務(wù)局（服務(wù)加設(shè)備）管理運(yùn)行自己的數(shù)據(jù)處理設(shè)備，用戶只需求提供數(shù)據(jù)，根 據(jù)服務(wù)結(jié)果付費(fèi)? 共享服務(wù)商（服務(wù)加設(shè)備）管理運(yùn)營(yíng)自己的數(shù)據(jù)處理設(shè)備、使各類組織可以使用 他們的系統(tǒng)2. 硬件、平臺(tái)、網(wǎng)絡(luò)與遠(yuǎn)程通訊2.1 各種計(jì)算機(jī)媒體：? 磁帶（容量大、價(jià)格低順序存儲(chǔ)? 磁帶庫(kù)（容納多盤磁帶、機(jī)械臂抓取）? 軟盤（直接存取、便于攜帶）? 硬盤（直接存取、速度快、容量大）? 廉價(jià)

5、冗余磁盤陣列 / 廉價(jià)光盤重復(fù)排列（重構(gòu)數(shù)據(jù)、容錯(cuò)能力強(qiáng)）? CD-RO（M 保存數(shù)字文件容量大、便宜、不能寫入）? 光盤庫(kù)（容納多個(gè)光盤）? 一次寫多次讀光盤（WORM適用不須更新、記錄內(nèi)容）。2.2 計(jì)算機(jī)類型：個(gè)人計(jì)算機(jī) / 工作站/ 網(wǎng)絡(luò)計(jì)算機(jī)。2.3 各類計(jì)算機(jī)外部設(shè)備：不間斷電源/光學(xué)字符識(shí)別 /打印機(jī)/掃描儀/繪圖儀/條碼閱讀器2.4 外部接口：串口 / 并口 /USB 口。2.5 操作系統(tǒng)：分配、調(diào)度、監(jiān)視系統(tǒng)資源，保證雇員只對(duì)被授權(quán)的數(shù)據(jù)進(jìn)行讀寫訪問(wèn)DOA/UNIX/VMS2.6 監(jiān)視器：辨別硬件的瓶頸和軟件設(shè)計(jì)問(wèn)題 /調(diào)整運(yùn)行負(fù)荷 /發(fā)現(xiàn)網(wǎng)絡(luò)反應(yīng)時(shí)間惡化情況。2.7 圖形化

6、用戶接口：用鼠標(biāo)點(diǎn)擊圖形來(lái)輸入命令如WINDOW。 S2.8 大型計(jì)算機(jī)的使用：影響大型計(jì)算機(jī)運(yùn)行速度的因素有：? 應(yīng)用軟件的是設(shè)計(jì)效率? 數(shù)據(jù)庫(kù)管理軟件的效率? 數(shù)據(jù)的結(jié)構(gòu)網(wǎng)絡(luò)容量及傳輸速度? 系統(tǒng)負(fù)荷? 存儲(chǔ)器容量? 安全檢查及備份的頻率? 軟件初始化選擇的正確性。2.9 個(gè)人計(jì)算機(jī)與大型計(jì)算機(jī)的接口：通過(guò)局域網(wǎng)連接、口令登陸? 終端仿真的風(fēng)險(xiǎn)：? 雇員利用微機(jī)謀取私利? 備份不充分? 拷貝供個(gè)人使用? 保存登錄序列的文獻(xiàn)? 任何能訪問(wèn) PC 機(jī)的人員都可以訪問(wèn)主機(jī)。2.10 計(jì)算機(jī)網(wǎng)絡(luò)的分類：廣域網(wǎng)（覆蓋廣、速度慢） / 局域網(wǎng)（范圍小、速度快） /城域網(wǎng) （城市內(nèi)部高速網(wǎng)）? 廣域網(wǎng)：

7、專用網(wǎng)絡(luò) / 虛擬專用網(wǎng) / 公用交換網(wǎng)絡(luò) / 增值網(wǎng)? 局域網(wǎng)：總線網(wǎng) / 星型網(wǎng) / 環(huán)型網(wǎng) 或者分為：基于服務(wù)器的網(wǎng)絡(luò) / 對(duì)等網(wǎng)。2.11 網(wǎng)絡(luò)連接設(shè)備：網(wǎng)卡 /調(diào)制解調(diào)器 /中績(jī)器/集線器/網(wǎng)橋/網(wǎng)關(guān)/路由器。2.12 因特網(wǎng)：資源無(wú)限 缺點(diǎn)：難以定位最好的資源功能：網(wǎng)絡(luò)瀏覽器 WEB電子郵件EMAIL/遠(yuǎn)程登錄TELNET專題論壇USENETfe子公告牌BBS/ 其他。2.13 數(shù)據(jù)傳輸模式：? 異步傳輸（利用額外的啟動(dòng)位與停止位同步數(shù)據(jù)傳輸 / 慢，有間隔）? 同步傳輸（同步時(shí)鐘同步數(shù)據(jù)傳輸，快、可連續(xù)傳輸）各種基礎(chǔ)通信網(wǎng)絡(luò)：公用電話交換網(wǎng)（撥號(hào)上網(wǎng)）/DDN數(shù)字?jǐn)?shù)據(jù)網(wǎng)絡(luò)/楨中繼

8、（降局域網(wǎng)和其他局域網(wǎng)連接，使不很敏感的數(shù)據(jù)傳遞）/綜合服務(wù)數(shù)字網(wǎng)ISDN/非對(duì)稱數(shù)字環(huán)線ADSL3. 數(shù)據(jù)處理3.1 個(gè)人計(jì)算機(jī)軟件：字處理軟件 /電子表格/圖象處理軟件 /財(cái)務(wù)管理/管理軟件/光學(xué)字符 識(shí)別軟件。3.2 程序執(zhí)行方式： 直接執(zhí)行： 語(yǔ)言程序（編譯） 目標(biāo)代碼（連接） 可執(zhí)行代碼 （執(zhí) 行）程序運(yùn)行解釋執(zhí)行：語(yǔ)言程序（由解釋程序轉(zhuǎn)換二進(jìn)制瑪）程序運(yùn)行。3.3 語(yǔ)言類型：機(jī)器語(yǔ)言 / 匯編語(yǔ)言 / 過(guò)程化語(yǔ)言 / 非過(guò)程化語(yǔ)言。3.4 文件類型：直接存取文件 / 順序文件 / 索引文件主文件與事務(wù)文件 /平面文件。3.5 數(shù)據(jù)處理方式： 批處理/在線處理集中處理 / 分散處理

9、/ 分布處理。3.6 常用計(jì)算機(jī)審計(jì)技術(shù)：? 測(cè)試數(shù)據(jù)（檢查信息系統(tǒng)是否正常）? 平行模擬（模擬系統(tǒng)與真實(shí)系統(tǒng)比較結(jié)果）? 繼承集成測(cè)試（虛構(gòu)測(cè)試數(shù)據(jù)與真實(shí)數(shù)據(jù)一起處理，缺點(diǎn)：測(cè)試數(shù)據(jù)可能進(jìn)入委托人- 3 -精品資料推薦的真實(shí)數(shù)據(jù)環(huán)境）?嵌入審計(jì)模塊（連續(xù)監(jiān)督）?其他技術(shù)（電腦化帳務(wù)處理系統(tǒng)自動(dòng)平帳）。3.7數(shù)據(jù)庫(kù)的類型：層次性數(shù)據(jù)庫(kù)；網(wǎng)狀型數(shù)據(jù)庫(kù)；關(guān)系型數(shù)據(jù)庫(kù)關(guān)系型數(shù)據(jù)庫(kù)的操作：?選擇（條件選擇出記錄子集）?連接（按某個(gè)共同數(shù)據(jù)元素結(jié)合多個(gè)關(guān)系型數(shù)據(jù)庫(kù)?映射（將數(shù)據(jù)庫(kù)中的部分字段構(gòu)成新的子表）修改?鎖定/死鎖）。3.8數(shù)據(jù)庫(kù)管理系統(tǒng)的組成?數(shù)據(jù)定義語(yǔ)言：描述數(shù)據(jù)庫(kù)內(nèi)容與結(jié)構(gòu)的語(yǔ)言（建立數(shù)據(jù)庫(kù)

10、表結(jié)構(gòu)）?數(shù)據(jù)操縱語(yǔ)言：修改、操作、插入、查詢（提取數(shù)據(jù)的命令）?數(shù)據(jù)字典：對(duì)數(shù)據(jù)結(jié)構(gòu)的定義。3.9分布式數(shù)據(jù)庫(kù)在各接點(diǎn)的分布方法：快照/復(fù)制/分割數(shù)據(jù)組織與查詢：?結(jié)構(gòu)化查詢語(yǔ)言（不會(huì)對(duì)數(shù)據(jù)庫(kù)產(chǎn)生風(fēng)險(xiǎn)）?管理查詢?cè)O(shè)施（用于趨勢(shì)圖、制作圖表，無(wú)法檢查數(shù)據(jù)有效性，可提供在線信息）?邏輯視圖（從一個(gè)或多個(gè)數(shù)據(jù)庫(kù)表中生成新的數(shù)據(jù)結(jié)構(gòu)，直觀）?數(shù)據(jù)挖掘（分析，發(fā)現(xiàn)隱藏在數(shù)據(jù)后的規(guī)律）。3.10電子資金轉(zhuǎn)帳系統(tǒng)（EFT風(fēng)險(xiǎn)：?未經(jīng)許可的進(jìn)入和操作?對(duì)交易的重復(fù)處理?缺乏備份和恢復(fù)能力?未經(jīng)授權(quán)的訪問(wèn)和交易活動(dòng)風(fēng)險(xiǎn)最大優(yōu)勢(shì)：?交易處理成本比手工低?改善與貿(mào)易伙伴的業(yè)務(wù)關(guān)系?減少數(shù)據(jù)錯(cuò)誤?提高工作效率EDI

11、 （電子數(shù)據(jù)交換）?實(shí)施第一步：畫出未實(shí)現(xiàn)組織目標(biāo)所開(kāi)展的經(jīng)營(yíng)活動(dòng)的流程圖?目標(biāo)：改善業(yè)務(wù)關(guān)系，提高競(jìng)爭(zhēng)力? EDI的風(fēng)險(xiǎn)：數(shù)據(jù)完整性的喪失和隨意存取數(shù)據(jù)是 EDI的固有風(fēng)險(xiǎn)數(shù)據(jù)傳輸可能在傳輸?shù)钠瘘c(diǎn)、中途和重點(diǎn)被攔截或修改一一數(shù)字簽名技術(shù)數(shù)據(jù)交換過(guò)程中的遺漏、錯(cuò)序或重復(fù)一一給 EDI文件順序編號(hào)向交易伙伴傳輸交易信息有時(shí)不成功一一通過(guò)對(duì)方的反饋來(lái)確認(rèn)4. 系統(tǒng)開(kāi)發(fā)獲得和維護(hù)4.1系統(tǒng)開(kāi)發(fā)方法：?系統(tǒng)開(kāi)發(fā)生命周期法（系統(tǒng)、規(guī)范、嚴(yán)密）?（快速）原型法（不斷修改直至滿意，缺點(diǎn)，不系統(tǒng)，不正規(guī)）?面向?qū)ο蟮拈_(kāi)發(fā)方法（根據(jù)需求）4.2系統(tǒng)開(kāi)發(fā)的主要活動(dòng)：系統(tǒng)分析一一系統(tǒng)設(shè)計(jì)一一系統(tǒng)編程一一測(cè)試一一轉(zhuǎn)換

12、一一系統(tǒng) 維護(hù)?系統(tǒng)分析：要解決問(wèn)題的分析用戶分析和系統(tǒng)可行性分析系統(tǒng)分析員是信息系統(tǒng)和其他業(yè)務(wù)部門聯(lián)系橋梁?系統(tǒng)設(shè)計(jì)：邏輯設(shè)計(jì)物理設(shè)計(jì)?系統(tǒng)編程：將設(shè)計(jì)規(guī)格書轉(zhuǎn)化成計(jì)算機(jī)軟件代碼的過(guò)程?測(cè)試：模塊測(cè)試系統(tǒng)測(cè)試驗(yàn)收測(cè)試?轉(zhuǎn)換：平行轉(zhuǎn)換直接轉(zhuǎn)換試點(diǎn)轉(zhuǎn)換分階段的轉(zhuǎn)換在軟件需求與設(shè)計(jì)階段審計(jì)師關(guān)注點(diǎn)：?需求階段安全需求是否完備，能否保證信息系統(tǒng)機(jī)密、完整、可用，是否有足夠的審 計(jì)蹤跡?審計(jì)設(shè)計(jì)階段檢查安全需求是否有足夠的控制已集成到系統(tǒng)定義和測(cè)試計(jì)劃中，連續(xù)性在線審計(jì)功能是否集成到系統(tǒng)中?在系統(tǒng)設(shè)計(jì)階段的基線上是否建立變動(dòng)控制?檢查相關(guān)文檔是否齊全4.3內(nèi)部審計(jì)師對(duì)信息系統(tǒng)開(kāi)發(fā)的參與參與方式：連續(xù)參

13、與開(kāi)發(fā)/在系統(tǒng)開(kāi)發(fā)結(jié)束時(shí)參與/在系統(tǒng)實(shí)施后參與-5 -精品資料推薦連續(xù)參與的好處：最大限度地降低系統(tǒng)重新設(shè)計(jì)的成本4.4 系統(tǒng)維護(hù)與變動(dòng)的控制：? 程序變動(dòng)控制： 經(jīng)管理層批準(zhǔn) 經(jīng)全面測(cè)試并保存文檔 必須留下何人、何時(shí)、何事的線索? 修改軟件的風(fēng)險(xiǎn)： 使用未經(jīng)審查、測(cè)試的修改軟件，使被處理信息的可靠性減弱4.5 最終用戶開(kāi)發(fā)的風(fēng)險(xiǎn)? 系統(tǒng)分析功能被忽略? 難集成? 系統(tǒng)內(nèi)產(chǎn)生專用信息系統(tǒng)? 缺乏標(biāo)準(zhǔn)和文檔，使用和維護(hù)都依賴開(kāi)發(fā)者? 缺乏監(jiān)督，失去數(shù)據(jù)一致性4.6 降低最終用戶開(kāi)發(fā)的風(fēng)險(xiǎn)：? 成立信息中心? 集中系統(tǒng)開(kāi)發(fā)專家對(duì)用戶進(jìn)行培訓(xùn)? 提個(gè)開(kāi)發(fā)工具與指導(dǎo)，協(xié)助建立質(zhì)量標(biāo)準(zhǔn)? 信息中心直接參

14、與系統(tǒng)分析與設(shè)計(jì)? 對(duì)終端用戶開(kāi)發(fā)的審計(jì) （確定終端用戶開(kāi)發(fā)的程序?qū)?yīng)用程序進(jìn)行風(fēng)險(xiǎn)排序 對(duì)控制情況進(jìn)行文件處理與測(cè)試）4.7 軟件許可問(wèn)題：? 使用盜版軟件的危害（違法 / 易感染病毒）? 防止使用非法軟件的方法（建立制度 / 版權(quán)法教育 / 定期鑒別 / 保存購(gòu)買軟件的原始記 錄/ 專人保管安裝盤）? 非法軟件的發(fā)現(xiàn)（比較采購(gòu)記錄與可執(zhí)行文件 / 比較序列號(hào)）5. 信息系統(tǒng)安全5.1 常見(jiàn)攻擊手段：黑客 /阻塞/ 竊聽(tīng)/ 重演/詐騙/中斷/病毒5.2 不同層次的信息系統(tǒng)安全控制：一般控制 / 應(yīng)用控制 一般控制：? 管理控制：制定政策與程序 / 目標(biāo)：職責(zé)分離? 系統(tǒng)實(shí)施控制：開(kāi)發(fā)實(shí)施過(guò)程

15、中建立控制點(diǎn)編制文檔（各個(gè)環(huán)節(jié)）? 運(yùn)行控制：數(shù)據(jù)存儲(chǔ)、運(yùn)行規(guī)范化要求，例如在對(duì)不需要的文件要在授權(quán)條件下及時(shí) 刪除，管理系統(tǒng)操作、性能監(jiān)測(cè)、系統(tǒng)備份、審計(jì)日志? 軟件控制：未經(jīng)許可不得修改、在獨(dú)立的計(jì)算機(jī)上測(cè)試所有的要進(jìn)入生產(chǎn)環(huán)境的軟件? 硬件控制：保證正常運(yùn)行：回?fù)軝z測(cè)、奇偶校驗(yàn)?訪問(wèn)控制（重點(diǎn)）：標(biāo)識(shí)/口令/授權(quán)/訪問(wèn)日志/自動(dòng)注銷登錄 /回?fù)?對(duì)工具軟件的限 制? 物理設(shè)備控制：防止對(duì)物理設(shè)備的非授權(quán)接觸的控制一般控制更為基礎(chǔ)，影響應(yīng)用控制CIA 在審查一個(gè)應(yīng)用系統(tǒng)的應(yīng)用控制時(shí)應(yīng)首先確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制。5.3 訪問(wèn)控制的類型：? 標(biāo)識(shí)（唯一確定用戶身份）? 口令（弱控制）

16、? 授權(quán)（建立訪問(wèn)控制表預(yù)防未經(jīng)授權(quán)訪問(wèn)修改敏感信息，知必所需）? 訪問(wèn)日志（檢測(cè)性控制措施）? 回?fù)埽ūＷo(hù)信息按指定路徑傳送）? 自動(dòng)注銷登錄（防止通過(guò)無(wú)人照管的終端來(lái)訪問(wèn)主機(jī)敏感信息）? 對(duì)工具軟件的限制5.4 加密和解密算法和密鑰加密密鑰和解密密鑰公鑰和私鑰數(shù)字證書 數(shù)字簽名認(rèn)證中心? 對(duì)稱密碼體制， DES? 非對(duì)稱密碼體制， RSA5.5 電子郵件的安全控制：? 禁止用 EMAIL 發(fā)送高度敏感或機(jī)密信息? 加密? 限使用數(shù)量? 工作終端的商用電子郵件保存?zhèn)洳? 保密性電郵不能儲(chǔ)存在郵件服務(wù)器中? 離職雇員的電郵應(yīng)該保留備查? 在安全程度不同的地點(diǎn)有幾個(gè)人同對(duì)負(fù)責(zé)管理的電郵安全性? 歸檔和分級(jí)管理。電子郵件不可能比它賴以運(yùn)行的計(jì)算機(jī)環(huán)境更安全。5.6 防火墻：數(shù)據(jù)包過(guò)濾型 / 應(yīng)用網(wǎng)關(guān)型5.7 應(yīng)用軟件控制：? 輸入控制（輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換、編輯檢驗(yàn)）? 處理控制（運(yùn)行總數(shù)、計(jì)算機(jī)匹配、并發(fā)控制） 、輸出控制? 輸出控制（平衡總數(shù)、復(fù)核日志、審核報(bào)告、審核制度文件）5.8 計(jì)算機(jī)的物理安全：? 保證傳輸線路的安全以防止非法訪問(wèn)網(wǎng)絡(luò)? 盡量不要暴露數(shù)據(jù)中