cia第三部分信息技術(shù)知識點整理

1、PAGE 三-E 信息技術(shù)知識點歸納 PAGE - 13 -三-E 信息技術(shù)術(shù)知識點歸歸納從控制角度度來看信息息系統(tǒng)構(gòu)成成：1.一般控控制：管理理控制/系系統(tǒng)實施控控制/運行行控制/軟軟件控制/硬件控制制/物理訪訪問控制/邏輯訪問問控制2.應(yīng)用控控制：輸入入控制/處處理控制/輸出控制制3.保障控控制：災(zāi)難難恢復(fù)與應(yīng)應(yīng)急計劃/環(huán)境控制制/設(shè)備來來源控制1.信息系系統(tǒng)的戰(zhàn)略略、政策和和過程1.1 信信息系統(tǒng)的的戰(zhàn)略性應(yīng)應(yīng)用目標(biāo)：戰(zhàn)略、政政策、過程程：通過應(yīng)應(yīng)用信息系系統(tǒng)，達到到改進組織織的目標(biāo)、經(jīng)營和服服務(wù)或組織織與環(huán)境的的關(guān)系，從從而幫助組組織改善與與客戶的關(guān)關(guān)系，取得得競爭優(yōu)勢勢。戰(zhàn)略性性的應(yīng)

2、用系系統(tǒng)滲透于于業(yè)務(wù)層、企業(yè)層及及行業(yè)層面面。1.2 信信息系統(tǒng)的的應(yīng)用推動動組織結(jié)構(gòu)構(gòu)變革：自自動化/流流程合理話話/業(yè)務(wù)流流程再造/異化。1.3 信信息系統(tǒng)應(yīng)應(yīng)用模式的的演變：主主機/終端端模式客戶機/服務(wù)器模模式瀏覽器器/服務(wù)器器模式與信息應(yīng)用用模式相關(guān)關(guān)的問題：降型化/開放系統(tǒng)統(tǒng)/遺產(chǎn)系系統(tǒng)。1.4 信信息系統(tǒng)的的功能分類類：作業(yè)層（事事物處理系系統(tǒng)TPSS）：基本本交易活動動，常規(guī)問問題知識層（知知識工作系系統(tǒng)KWSS/辦公自自動戶化系系統(tǒng)OASS）：知識識員工、數(shù)數(shù)據(jù)員工管理層（管管理信息系系統(tǒng)MISS/決策支支持DSSS）：中層層經(jīng)理，行行政事務(wù)戰(zhàn)略層（高高級經(jīng)理支支持系統(tǒng)EES

3、S）：高層經(jīng)理理，戰(zhàn)略問問題1.5 信信息系統(tǒng)部部門的職責(zé)責(zé)系統(tǒng)開發(fā)小小組（系統(tǒng)統(tǒng)分析員是是聯(lián)絡(luò)的橋橋梁、設(shè)計計、編程、測試）系統(tǒng)運運行小組（確確保正常運運行/幫助助平臺、咨咨詢）。1.6 信信息系統(tǒng)安安全主管的的責(zé)任信息系統(tǒng)高高層管理人人員的職責(zé)責(zé)：評估風(fēng)風(fēng)險/控制制成本/制制定風(fēng)險控控制目標(biāo)與與措施信息安全主主管的職責(zé)責(zé)：制定安安全政策/評價安全全控制/檢檢測調(diào)查不不成功的訪訪問企圖/監(jiān)督特權(quán)權(quán)用戶的訪訪問，保證證用途。1.7 新新興技術(shù)人工智智能：專家系統(tǒng)（商商品賒銷的的審批、醫(yī)醫(yī)療專家系系統(tǒng)）：通通過獲取人人類專家在在某一領(lǐng)域域的經(jīng)驗和和知識，利利用推理模模型來給出出建議。專專家系統(tǒng)能

4、能夠使客戶戶服務(wù)工作作更容易進進行。神經(jīng)網(wǎng)絡(luò)（超超音速飛機機的控制系系統(tǒng)、電力力系統(tǒng)負荷荷預(yù)測）：在被人類類告知其決決策錯誤及及答案后，能能修改期知知識庫。模糊邏輯（人人像識別系系統(tǒng)）：處處理模糊數(shù)數(shù)據(jù)。遺傳算法（煤煤氣管道控控制、機器器人控制）：不斷完善對特定問題的解決方案。智能代理（互互聯(lián)網(wǎng)搜索索引擎、電電子郵件過過濾器）：解決特定定的、重復(fù)復(fù)的、可預(yù)預(yù)見的問題題，內(nèi)設(shè)知知識庫。1.8 第第三方服務(wù)務(wù)機構(gòu)的角角色設(shè)備管理機機構(gòu)（服務(wù)務(wù)）按用戶戶要求運行行、維護數(shù)數(shù)據(jù)處理計算機租賃賃公司（設(shè)設(shè)備）只提供供設(shè)備服務(wù)局（服服務(wù)加設(shè)備備）管理運運行自己的的數(shù)據(jù)處理理設(shè)備，用用戶只需求求提供數(shù)據(jù)據(jù)，

5、根據(jù)服服務(wù)結(jié)果付付費共享服務(wù)商商（服務(wù)加加設(shè)備）管理運運營自己的的數(shù)據(jù)處理理設(shè)備、使使各類組織織可以使用用他們的系系統(tǒng)2.硬件、平臺、網(wǎng)網(wǎng)絡(luò)與遠程程通訊2.1 各各種計算機機媒體：磁帶（容量量大、價格格低順序存存儲磁帶庫（容容納多盤磁磁帶、機械械臂抓取）軟盤（直接接存取、便便于攜帶）硬盤（直接接存取、速速度快、容容量大）廉價冗余磁磁盤陣列/廉價光盤盤重復(fù)排列列（重構(gòu)數(shù)數(shù)據(jù)、容錯錯能力強）CD-ROOM（保存存數(shù)字文件件容量大、便宜、不不能寫入）光盤庫（容容納多個光光盤）一次寫多次次讀光盤（WWORM 適用不須須更新、記記錄內(nèi)容）。2.2 計計算機類型型：個人計計算機/工工作站/網(wǎng)網(wǎng)絡(luò)計算機機。

6、2.3 各各類計算機機外部設(shè)備備：不間斷斷電源/光光學(xué)字符識識別/打印印機/掃描描儀/繪圖圖儀/條碼碼閱讀器。2.4 外外部接口：串口/并并口/USSB口。2.5 操操作系統(tǒng)：分配、調(diào)調(diào)度、監(jiān)視視系統(tǒng)資源源，保證雇雇員只對被被授權(quán)的數(shù)數(shù)據(jù)進行讀讀寫訪問 DOA/UNIXX/VMSS。2.6 監(jiān)監(jiān)視器：辨辨別硬件的的瓶頸和軟軟件設(shè)計問問題/調(diào)整整運行負荷荷/發(fā)現(xiàn)網(wǎng)網(wǎng)絡(luò)反應(yīng)時時間惡化情情況。2.7 圖圖形化用戶戶接口：用用鼠標(biāo)點擊擊圖形來輸輸入命令如如WINDDOWS。2.8 大大型計算機機的使用：影響大型型計算機運運行速度的的因素有：應(yīng)用軟件的的是設(shè)計效效率數(shù)據(jù)庫管理理軟件的效效率數(shù)據(jù)的結(jié)構(gòu)構(gòu)網(wǎng)

7、絡(luò)容量量及傳輸速速度系統(tǒng)負荷存儲器容量量安全檢查及及備份的頻頻率軟件初始化化選擇的正正確性。2.9 個個人計算機機與大型計計算機的接接口：通過過局域網(wǎng)連連接、口令令登陸終端仿真的的風(fēng)險：雇員利用微微機謀取私私利備份不充分分拷貝供個人人使用保存登錄序序列的文獻獻任何能訪問問PC機的的人員都可可以訪問主主機。2.10 計算機網(wǎng)網(wǎng)絡(luò)的分類類：廣域網(wǎng)網(wǎng)（覆蓋廣廣、速度慢慢）/局域域網(wǎng)（范圍圍小、速度度快）/城城域網(wǎng)（城城市內(nèi)部高高速網(wǎng)）廣域網(wǎng)：專專用網(wǎng)絡(luò)/虛擬專用用網(wǎng)/公用用交換網(wǎng)絡(luò)絡(luò)/增值網(wǎng)網(wǎng)局域網(wǎng)：總總線網(wǎng)/星星型網(wǎng)/環(huán)環(huán)型網(wǎng) 或者分為為：基于服服務(wù)器的網(wǎng)網(wǎng)絡(luò)/對等等網(wǎng)。2.11 網(wǎng)絡(luò)連接接設(shè)備：

8、網(wǎng)網(wǎng)卡/調(diào)制制解調(diào)器/中績器/集線器/網(wǎng)橋/網(wǎng)網(wǎng)關(guān)/路由由器。2.12 因特網(wǎng)：資源無限限缺點：難以以定位最好好的資源功能：網(wǎng)絡(luò)絡(luò)瀏覽器WWEB/電電子郵件EEMAILL/遠程登登錄TELLNET/專題論壇壇USENNET/電電子公告牌牌BBS/其他。2.13 數(shù)據(jù)傳輸輸模式：異步傳輸（利利用額外的的啟動位與與停止位同同步數(shù)據(jù)傳傳輸/慢，有有間隔）同步傳輸（同同步時鐘同同步數(shù)據(jù)傳傳輸，快、可連續(xù)傳傳輸）各種基礎(chǔ)通通信網(wǎng)絡(luò)：公用電話話交換網(wǎng)（撥撥號上網(wǎng)）/DDN數(shù)數(shù)字?jǐn)?shù)據(jù)網(wǎng)網(wǎng)絡(luò)/楨中中繼（降局局域網(wǎng)和其其他局域網(wǎng)網(wǎng)連接，使使不很敏感感的數(shù)據(jù)傳傳遞）/綜綜合服務(wù)數(shù)數(shù)字網(wǎng)ISSDN/非非對稱數(shù)字字環(huán)

9、線ADDSL。3.數(shù)據(jù)處處理 3.1 個個人計算機機軟件：字字處理軟件件/電子表表格/圖象象處理軟件件/財務(wù)管管理/管理理軟件/光光學(xué)字符識識別軟件。3.2 程程序執(zhí)行方方式：直接接執(zhí)行：語語言程序（編編譯）目標(biāo)代碼碼（連接）可執(zhí)行代碼（執(zhí)行）程序運行解釋執(zhí)行：語言程序序（由解釋釋程序轉(zhuǎn)換換二進制瑪瑪）程序運運行。3.3 語語言類型：機器語言言/匯編語語言/過程程化語言/非過程化化語言。3.4 文文件類型：直接存取取文件/順順序文件/索引文件件主文件與與事務(wù)文件件/平面文文件。3.5 數(shù)數(shù)據(jù)處理方方式：批處理/在在線處理集中處理/分散處理理/分布處處理。3.6 常常用計算機機審計技術(shù)術(shù)：測試數(shù)

10、據(jù)（檢檢查信息系系統(tǒng)是否正正常）平行模擬（模模擬系統(tǒng)與與真實系統(tǒng)統(tǒng)比較結(jié)果果）繼承集成測測試（虛構(gòu)構(gòu)測試數(shù)據(jù)據(jù)與真實數(shù)數(shù)據(jù)一起處處理，缺點點：測試數(shù)數(shù)據(jù)可能進進入委托人人的真實數(shù)數(shù)據(jù)環(huán)境）嵌入審計模模塊（連續(xù)續(xù)監(jiān)督）其他技術(shù)（電電腦化帳務(wù)務(wù)處理系統(tǒng)統(tǒng)自動平帳帳）。3.7 數(shù)數(shù)據(jù)庫的類類型：層次次性數(shù)據(jù)庫庫；網(wǎng)狀型型數(shù)據(jù)庫；關(guān)系型數(shù)數(shù)據(jù)庫關(guān)系型數(shù)據(jù)據(jù)庫的操作作：選擇（條件件選擇出記記錄子集）連接（按某某個共同數(shù)數(shù)據(jù)元素結(jié)結(jié)合多個關(guān)關(guān)系型數(shù)據(jù)據(jù)庫映射（將數(shù)數(shù)據(jù)庫中的的部分字段段構(gòu)成新的的子表）修修改鎖定/死鎖鎖）。3.8 數(shù)數(shù)據(jù)庫管理理系統(tǒng)的組組成數(shù)據(jù)定義語語言：描述述數(shù)據(jù)庫內(nèi)內(nèi)容與結(jié)構(gòu)構(gòu)的語言（

11、建建立數(shù)據(jù)庫庫表結(jié)構(gòu)）數(shù)據(jù)操縱語語言：修改改、操作、插入、查查詢（提取取數(shù)據(jù)的命命令）數(shù)據(jù)字典：對數(shù)據(jù)結(jié)結(jié)構(gòu)的定義義。3.9 分分布式數(shù)據(jù)據(jù)庫在各接接點的分布布方法：快快照/復(fù)制制/分割數(shù)據(jù)組織與與查詢：結(jié)構(gòu)化查詢詢語言（不不會對數(shù)據(jù)據(jù)庫產(chǎn)生風(fēng)風(fēng)險）管理查詢設(shè)設(shè)施（用于于趨勢圖、制作圖表表，無法檢查查數(shù)據(jù)有效效性，可提提供在線信信息）邏輯視圖（從從一個或多多個數(shù)據(jù)庫庫表中生成成新的數(shù)據(jù)據(jù)結(jié)構(gòu)，直直觀）數(shù)據(jù)挖掘（分分析，發(fā)現(xiàn)現(xiàn)隱藏在數(shù)數(shù)據(jù)后的規(guī)規(guī)律）。3.10 電子資金金轉(zhuǎn)帳系統(tǒng)統(tǒng)（EFTT）風(fēng)險：未經(jīng)許可的的進入和操操作對交易的重重復(fù)處理缺乏備份和和恢復(fù)能力力未經(jīng)授權(quán)的的訪問和交交易活動風(fēng)風(fēng)險

12、最大優(yōu)勢：交易處理成成本比手工工低改善與貿(mào)易易伙伴的業(yè)業(yè)務(wù)關(guān)系減少數(shù)據(jù)錯錯誤提高工作效效率EDI（電電子數(shù)據(jù)交交換）實施第一步步：畫出未未實現(xiàn)組織織目標(biāo)所開開展的經(jīng)營營活動的流流程圖目標(biāo)：改善善業(yè)務(wù)關(guān)系系，提高競競爭力EDI的風(fēng)風(fēng)險：數(shù)據(jù)完整性性的喪失和隨隨意存取數(shù)數(shù)據(jù)是EDDI的固有有風(fēng)險數(shù)據(jù)傳輸可可能在傳輸輸?shù)钠瘘c、中途和重重點被攔截截或修改數(shù)字簽簽名技術(shù)數(shù)據(jù)交換過過程中的遺遺漏、錯序序或重復(fù)給EDDI文件順順序編號向交易伙伴伴傳輸交易易信息有時時不成功通過對對方的反饋饋來確認4.系統(tǒng)開開發(fā)獲得和和維護4.1 系系統(tǒng)開發(fā)方方法：系統(tǒng)開發(fā)生生命周期法法（系統(tǒng)、規(guī)范、嚴(yán)嚴(yán)密）（快速）原原型法（

13、不不斷修改直直至滿意，缺缺點，不系系統(tǒng)，不正正規(guī)）面向?qū)ο蟮牡拈_發(fā)方法法（根據(jù)需需求）4.2 系系統(tǒng)開發(fā)的的主要活動動：系統(tǒng)分分析系統(tǒng)設(shè)設(shè)計系統(tǒng)編編程測試轉(zhuǎn)換系統(tǒng)維維護系統(tǒng)分析：要解決問題題的分析用戶分析和和系統(tǒng)可行行性分析系統(tǒng)分析員員是信息系系統(tǒng)和其他他業(yè)務(wù)部門門聯(lián)系橋梁梁系統(tǒng)設(shè)計：邏輯設(shè)計物理設(shè)計系統(tǒng)編程：將設(shè)計規(guī)格格書轉(zhuǎn)化成成計算機軟軟件代碼的的過程測試：模塊測試系統(tǒng)測試驗收測試轉(zhuǎn)換：平行轉(zhuǎn)換直接轉(zhuǎn)換試點轉(zhuǎn)換分階段的轉(zhuǎn)轉(zhuǎn)換在軟件需求求與設(shè)計階階段審計師師關(guān)注點：需求階段安安全需求是是否完備，能能否保證信信息系統(tǒng)機機密、完整整、可用，是是否有足夠夠的審計蹤蹤跡審計設(shè)計階階段檢查安安全需求是

14、是否有足夠夠的控制已已集成到系系統(tǒng)定義和和測試計劃劃中，連續(xù)續(xù)性在線審審計功能是是否集成到到系統(tǒng)中在系統(tǒng)設(shè)計計階段的基基線上是否否建立變動動控制檢查相關(guān)文文檔是否齊齊全4.3 內(nèi)內(nèi)部審計師師對信息系系統(tǒng)開發(fā)的的參與參與方式：連續(xù)參與與開發(fā)/在在系統(tǒng)開發(fā)發(fā)結(jié)束時參參與/在系系統(tǒng)實施后后參與連續(xù)參與的的好處：最最大限度地地降低系統(tǒng)統(tǒng)重新設(shè)計計的成本4.4 系系統(tǒng)維護與與變動的控控制：程序變動控控制：經(jīng)管理層批批準(zhǔn)經(jīng)全面測試試并保存文文檔必須留下何何人、何時時、何事的的線索修改軟件的的風(fēng)險：使用未經(jīng)審審查、測試試的修改軟軟件，使被被處理信息息的可靠性性減弱4.5 最最終用戶開開發(fā)的風(fēng)險險系統(tǒng)分析功功

15、能被忽略略難集成系統(tǒng)內(nèi)產(chǎn)生生專用信息息系統(tǒng)缺乏標(biāo)準(zhǔn)和和文檔，使使用和維護護都依賴開開發(fā)者缺乏監(jiān)督，失失去數(shù)據(jù)一一致性4.6 降降低最終用用戶開發(fā)的的風(fēng)險：成立信息中中心集中系統(tǒng)開開發(fā)專家對對用戶進行行培訓(xùn)提個開發(fā)工工具與指導(dǎo)導(dǎo)，協(xié)助建建立質(zhì)量標(biāo)標(biāo)準(zhǔn)信息中心直直接參與系系統(tǒng)分析與與設(shè)計對終端用戶戶開發(fā)的審審計（確定定終端用戶戶開發(fā)的程程序?qū)?yīng)用用程序進行行風(fēng)險排序序?qū)刂浦魄闆r進行行文件處理理與測試）4.7 軟件許可可問題：使用盜版軟軟件的危害害（違法/易感染病病毒）防止使用非非法軟件的的方法（建建立制度/版權(quán)法教教育/定期期鑒別/保保存購買軟軟件的原始始記錄/專專人保管安安裝盤）非法軟件的的發(fā)

16、現(xiàn)（比比較采購記記錄與可執(zhí)執(zhí)行文件/比較序列列號）5.信息系系統(tǒng)安全5.1 常常見攻擊手手段：黑客客/阻塞/竊聽/重重演/詐騙騙/中斷/病毒5.2 不不同層次的的信息系統(tǒng)統(tǒng)安全控制制：一般控控制/應(yīng)用用控制一般控制：管理控制：制定政策策與程序/目標(biāo)：職責(zé)責(zé)分離系統(tǒng)實施控控制：開發(fā)發(fā)實施過程程中建立控控制點編制制文檔（各各個環(huán)節(jié)）運行控制：數(shù)據(jù)存儲儲、運行規(guī)規(guī)范化要求求，例如在在對不需要要的文件要要在授權(quán)條條件下及時時刪除，管管理系統(tǒng)操操作、性能能監(jiān)測、系系統(tǒng)備份、審計日志志軟件控制：未經(jīng)許可可不得修改改、在獨立立的計算機機上測試所所有的要進進入生產(chǎn)環(huán)環(huán)境的軟件件硬件控制：保證正常常運行：回回撥

17、檢測、奇偶校驗驗訪問控制（重重點）：標(biāo)標(biāo)識/口令令/授權(quán)/訪問日志志/自動注注銷登錄/回撥/對對工具軟件件的限制物理設(shè)備控控制：防止止對物理設(shè)設(shè)備的非授授權(quán)接觸的的控制一般控制更更為基礎(chǔ)，影影響應(yīng)用控控制CIA在審審查一個應(yīng)應(yīng)用系統(tǒng)的的應(yīng)用控制制時應(yīng)首先先確認該系系統(tǒng)已經(jīng)建建立完善的的一般控制制。5.3 訪訪問控制的的類型：標(biāo)識（唯一一確定用戶戶身份）口令（弱控控制）授權(quán)（建立立訪問控制制表預(yù)防未未經(jīng)授權(quán)訪訪問修改敏敏感信息，知知必所需）訪問日志（檢檢測性控制制措施）回撥（保護護信息按指指定路徑傳傳送）自動注銷登登錄（防止止通過無人人照管的終終端來訪問問主機敏感感信息）對工具軟件件的限制5.4

18、 加加密和解密密算法和和密鑰加密密鑰鑰和解密密密鑰公鑰和和私鑰數(shù)字證書書數(shù)字簽簽名認證中中心對稱密碼體體制，DEES非對稱密碼碼體制，RRSA5.5 電電子郵件的的安全控制制：禁止用EMMAIL發(fā)發(fā)送高度敏敏感或機密密信息加密限使用數(shù)量量工作終端的的商用電子子郵件保存存?zhèn)洳楸Ｃ苄噪娻]郵不能儲存存在郵件服服務(wù)器中離職雇員的的電郵應(yīng)該該保留備查查在安全程度度不同的地地點有幾個個人同對負負責(zé)管理的的電郵安全全性歸檔和分級級管理。電子郵件不不可能比它它賴以運行行的計算機機環(huán)境更安安全。5.6 防防火墻：數(shù)數(shù)據(jù)包過濾濾型/應(yīng)用用網(wǎng)關(guān)型5.7 應(yīng)應(yīng)用軟件控控制：輸入控制（輸輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換換、編輯檢檢驗）處理控制（運運行總數(shù)、計算機匹匹配、并發(fā)發(fā)控制）、輸出控制制輸出控制（平平衡總數(shù)、復(fù)核日志志、審核報報告、審核核制度文件件）5.8 計計算機的物物理安全：保證傳輸線線路的安全全以防止非