2023年cia第三部分信息技術(shù)知識點

三-E信息技術(shù)知識點歸納從控制角度來看信息系統(tǒng)構(gòu)成：.一般控制:管理控制/系統(tǒng)實行控制/運(yùn)營控制/軟件控制/硬件控制/物理訪問控制/邏輯訪問控制.應(yīng)用控制:輸入控制/解決控制/輸出控制.保障控制：劫難恢復(fù)與應(yīng)急計劃/環(huán)境控制/設(shè)備來源控制.信息系統(tǒng)的戰(zhàn)略、政策和過程.1信息系統(tǒng)的戰(zhàn)略性應(yīng)用目的：戰(zhàn)略、政策、過程：通過應(yīng)用信息系統(tǒng)，達(dá)成改善組織的目的、經(jīng)營和服務(wù)或組織與環(huán)境的關(guān)系，從而幫助組織改善與客戶的關(guān)系，取得競爭優(yōu)勢。戰(zhàn)略性的應(yīng)用系統(tǒng)滲透于業(yè)務(wù)層、公司層及行業(yè)層面。.2信息系統(tǒng)的應(yīng)用推動組織結(jié)構(gòu)變革：自動化/流程合理話/業(yè)務(wù)流程再造/異化。.3信息系統(tǒng)應(yīng)用模式的演變：主機(jī)/終端模式一一客戶機(jī)/服務(wù)器模式一一瀏覽器/服務(wù)器模式與信息應(yīng)用模式相關(guān)的問題：降型化/開放系統(tǒng)/遺產(chǎn)系統(tǒng)。.4信息系統(tǒng)的功能分類：/作業(yè)層（事物解決系統(tǒng)TPS）:基本交易活動，常規(guī)問題/知識層（知識工作系統(tǒng)KWS/辦公自動戶化系統(tǒng)OAS）：知識員工、數(shù)據(jù)員工/管理層（管理信息系統(tǒng)MIS/決策支持DSS）：中層經(jīng)理，行政事務(wù)/戰(zhàn)略層（高級經(jīng)理支持系統(tǒng)ESS）：高層經(jīng)理，戰(zhàn)略問題.5信息系統(tǒng)部門的職責(zé)系統(tǒng)開發(fā)小組（系統(tǒng)分析員是聯(lián)絡(luò)的橋梁、設(shè)計、編程、測試）一一系統(tǒng)運(yùn)營小組（保證正常運(yùn)營/幫助平臺、征詢）。/運(yùn)營控制：數(shù)據(jù)存儲、運(yùn)營規(guī)范化規(guī)定，例如在對不需要的文獻(xiàn)要在授權(quán)條件下及時刪除，管理系統(tǒng)操作、性能監(jiān)測、系統(tǒng)備份、審計日記/軟件控制：未經(jīng)許可不得修改、在獨立的計算機(jī)上測試所有的要進(jìn)入生產(chǎn)環(huán)境的軟件/硬件控制:保證正常運(yùn)營：回?fù)軝z測、奇偶校驗/訪問控制（重點）：標(biāo)記/口令/授權(quán)/訪問日記/自動注銷登錄/回?fù)?對工具軟件的限制/物理設(shè)備控制：防止對物理設(shè)備的非授權(quán)接觸的控制一般控制更為基礎(chǔ)，影響應(yīng)用控制cIA在審查一個應(yīng)用系統(tǒng)的應(yīng)用控制時應(yīng)一方面確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制。5.3訪問控制的類型：/標(biāo)記（唯一擬定用戶身份）/口令（弱控制）/授權(quán)（建立訪問控制表防止未經(jīng)授權(quán)訪問修改敏感信息,知必所需）/訪問日記（檢測性控制措施）/回?fù)埽ūＷo(hù)信息按指定途徑傳送）/自動注銷登錄（防止通過無人照管的終端來訪問主機(jī)敏感信息）/對工具軟件的限制5.4加密和解密一一算法和密鑰一一加密密鑰和解密密鑰一一公鑰和私鑰一一數(shù)字證書一一數(shù)字署名一一認(rèn)證中心/對稱密碼體制,DES/非對稱密碼體制，RSA5.5電子郵件的安全控制：/嚴(yán)禁用EMAIL發(fā)送高度敏感或機(jī)密信息加密/限使用數(shù)量/工作終端的商用電子郵件保存?zhèn)洳?保密性電郵不能儲存在郵件服務(wù)器中/離職雇員的電郵應(yīng)當(dāng)保存?zhèn)洳?在安全限度不同的地點有幾個人同對負(fù)責(zé)管理的電郵安全性/歸檔和分級管理。電子郵件不也許比它賴以運(yùn)營的計算機(jī)環(huán)境更安全。5.6防火墻：數(shù)據(jù)包過濾型/應(yīng)用網(wǎng)關(guān)型5.7應(yīng)用軟件控制：/輸入控制（輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換、編輯檢查）/解決控制（運(yùn)營總數(shù)、計算機(jī)匹配、并發(fā)控制）、輸出控制/輸出控制（平衡總數(shù)、復(fù)核日記、審核報告、審核制度文獻(xiàn)）5.8計算機(jī)的物理安全：/保證傳輸線路的安全以防止非法訪問網(wǎng)絡(luò),盡量不要暴露數(shù)據(jù)中心的位置以防止恐怖分子襲擊/不間斷電源可以在停電時維持電腦系統(tǒng)的運(yùn)營/防火防潮/生物記錄訪問系統(tǒng)/計算機(jī)附近鐵路公路的風(fēng)險評價5.9應(yīng)急計劃：/故障弱化保護(hù)/劫難恢復(fù)計劃一一第一步風(fēng)險分析，另一方面才識策略、文檔、計劃執(zhí)行測試等/劫難恢復(fù)計劃的一個重要組成部分是備份和重新啟動程序/當(dāng)組織的結(jié)構(gòu)和運(yùn)營發(fā)生改變時，劫難恢復(fù)計劃必須隨之改變以保證恢復(fù)計劃的及時有效/防止系統(tǒng)故障和重大劫難時的數(shù)據(jù)保存手段一一數(shù)據(jù)異地備份/防止系統(tǒng)故障和重大劫難時的信息設(shè)施恢復(fù)手段一一信息設(shè)施異地冗余6信息系統(tǒng)安全主管的責(zé)任信息系統(tǒng)高層管理人員的職責(zé)：評估風(fēng)險/控制成本/制定風(fēng)險控制目的與措施信息安全主管的職責(zé)：制定安全政策/評價安全控制/檢測調(diào)查不成功的訪問企圖/監(jiān)督特權(quán)用戶的訪問，保證用途。7新興技術(shù)一一人工智能：/專家系統(tǒng)（商品賒銷的審批、醫(yī)療專家系統(tǒng)）：通過獲取人類專家在某一領(lǐng)域的經(jīng)驗和知識，運(yùn)用推理模型來給出建議。專家系統(tǒng)可以使客戶服務(wù)工作更容易進(jìn)行。/神經(jīng)網(wǎng)絡(luò)（超音速飛機(jī)的控制系統(tǒng)、電力系統(tǒng)負(fù)荷預(yù)測）：在被人類告知其決策錯誤及答案后，能修改期知識庫。/模糊邏輯（人像辨認(rèn)系統(tǒng)）：解決模糊數(shù)據(jù)。/遺傳算法（煤氣管道控制、機(jī)器人控制）：不斷完善對特定問題的解決方案。/智能代理（互聯(lián)網(wǎng)搜索引擎、電子郵件過濾器）：解決特定的、反復(fù)的、可預(yù)見的問題，內(nèi)設(shè)知識庫。8第三方服務(wù)機(jī)構(gòu)的角色/設(shè)備管理機(jī)構(gòu)（服務(wù)）一一按用戶規(guī)定運(yùn)營、維護(hù)數(shù)據(jù)解決/計算機(jī)租賃公司（設(shè)備）一一只提供設(shè)備/服務(wù)局（服務(wù)加設(shè)備）一一管理運(yùn)營自己的數(shù)據(jù)解決設(shè)備，用戶只需求提供數(shù)據(jù)，根據(jù)服務(wù)結(jié)果付費(fèi)/共享服務(wù)商（服務(wù)加設(shè)備）一一管理運(yùn)營自己的數(shù)據(jù)解決設(shè)備、使各類組織可以使用他們的系統(tǒng)2.硬件、平臺、網(wǎng)絡(luò)與遠(yuǎn)程通訊各種計算機(jī)媒體：/磁帶（容量大、價格低順序存儲/磁帶庫（容納多盤磁帶、機(jī)械臂抓?。?軟盤（直接存取、便于攜帶）/硬盤（直接存取、速度快、容量大）/便宜冗余磁盤陣列/便宜光盤反復(fù)排列（重構(gòu)數(shù)據(jù)、容錯能力強(qiáng)）/CD-ROM（保存數(shù)字文獻(xiàn)容量大、便宜、不能寫入）/光盤庫（容納多個光盤）/一次寫多次讀光盤（WORM合用不須更新、記錄內(nèi)容）。計算機(jī)類型：個人計算機(jī)/工作站/網(wǎng)絡(luò)計算機(jī)。各類計算機(jī)外部設(shè)備：不間斷電源/光學(xué)字符辨認(rèn)/打印機(jī)/掃描儀/繪圖儀/條碼閱讀器。4外部接口：串口/并口/USB口。5操作系統(tǒng)：分派、調(diào)度、監(jiān)視系統(tǒng)資源，保證雇員只對被授權(quán)的數(shù)據(jù)進(jìn)行讀寫訪問DOA/UNIX/VMSo監(jiān)視器：辨別硬件的瓶頸和軟件設(shè)計問題/調(diào)整運(yùn)營負(fù)荷/發(fā)現(xiàn)網(wǎng)絡(luò)反映時間惡化情況。7圖形化用戶接口：用鼠標(biāo)點擊圖形來輸入命令如WINDOWSo大型計算機(jī)的使用：影響大型計算機(jī)運(yùn)營速度的因素有：/應(yīng)用軟件的是設(shè)計效率/數(shù)據(jù)庫管理軟件的效率/數(shù)據(jù)的結(jié)構(gòu)網(wǎng)絡(luò)容量及傳輸速度/系統(tǒng)負(fù)荷/存儲器容量/安全檢查及備份的頻率軟件初始化選擇的對的性。個人計算機(jī)與大型計算機(jī)的接口：通過局域網(wǎng)連接、口令登陸/終端仿真的風(fēng)險：/雇員運(yùn)用微機(jī)謀取私利/備份不充足/拷貝供個人使用/保存登錄序列的文獻(xiàn)/任何能訪問PC機(jī)的人員都可以訪問主機(jī)。10計算機(jī)網(wǎng)絡(luò)的分類：廣域網(wǎng)（覆蓋廣、速度慢）/局域網(wǎng)（范圍小、速度快）/城域網(wǎng)（城市內(nèi)部高速網(wǎng)）/廣域網(wǎng)：專用網(wǎng)絡(luò)/虛擬專用網(wǎng)/公用互換網(wǎng)絡(luò)/增值網(wǎng)/局域網(wǎng)：總線網(wǎng)/星型網(wǎng)/環(huán)型網(wǎng)或者分為：基于服務(wù)器的網(wǎng)絡(luò)/對等網(wǎng)。11網(wǎng)絡(luò)連接設(shè)備：網(wǎng)卡/調(diào)制解調(diào)器/中績器/集線器/網(wǎng)橋/網(wǎng)關(guān)/路由器。12因特網(wǎng)：資源無限缺陷:難以定位最佳的資源功能：網(wǎng)絡(luò)瀏覽器WEB/電子郵件EMAIL/遠(yuǎn)程登錄TELNET/專題論壇USENET/電子公告牌BBS/其他。13數(shù)據(jù)傳輸模式：/異步傳輸（運(yùn)用額外的啟動位與停止位同步數(shù)據(jù)傳輸/慢，有間隔）/同步傳輸（同步時鐘同步數(shù)據(jù)傳輸，快、可連續(xù)傳輸）各種基礎(chǔ)通信網(wǎng)絡(luò)：公用電話互換網(wǎng)（撥號上網(wǎng)）/DDN數(shù)字?jǐn)?shù)據(jù)網(wǎng)絡(luò)/楨中繼（降局域網(wǎng)和其他局域網(wǎng)連接，使不很敏感的數(shù)據(jù)傳遞）/綜合服務(wù)數(shù)字網(wǎng)ISDN/非對稱數(shù)字環(huán)線ADSLo3.數(shù)據(jù)解決個人計算機(jī)軟件：字解決軟件/電子表格/圖象解決軟件/財務(wù)管理/管理軟件/光學(xué)字符辨認(rèn)軟件。程序執(zhí)行方式:直接執(zhí)行：語言程序（編譯）一一目的代碼（連接）一一可執(zhí)行代碼（執(zhí)行）一程序運(yùn)營解釋執(zhí)行：語言程序（由解釋程序轉(zhuǎn)換二進(jìn)制瑪）一一程序運(yùn)營。3語言類型:機(jī)器語言/匯編語言/過程化語言/非過程化語言。4文獻(xiàn)類型:直接存取文獻(xiàn)/順序文獻(xiàn)/索引文獻(xiàn)主文獻(xiàn)與事務(wù)文獻(xiàn)/平面文獻(xiàn)。5數(shù)據(jù)解決方式：批解決/在線解決集中解決/分散解決/分布解決。常用計算機(jī)審計技術(shù)：/測試數(shù)據(jù)（檢查信息系統(tǒng)是否正常）/平行模擬（模擬系統(tǒng)與真實系統(tǒng)比較結(jié)果）/繼承集成測試（虛構(gòu)測試數(shù)據(jù)與真實數(shù)據(jù)一起解決，缺陷:測試數(shù)據(jù)也許進(jìn)入委托人的真實數(shù)據(jù)環(huán)境）/嵌入審計模塊（連續(xù)監(jiān)督）/其他技術(shù)（電腦化帳務(wù)解決系統(tǒng)自動平帳）。數(shù)據(jù)庫的類型：層次性數(shù)據(jù)庫；網(wǎng)狀型數(shù)據(jù)庫；關(guān)系型數(shù)據(jù)庫關(guān)系型數(shù)據(jù)庫的操作：/選擇（條件選擇出記錄子集）/連接（按某個共同數(shù)據(jù)元素結(jié)合多個關(guān)系型數(shù)據(jù)庫/映射（將數(shù)據(jù)庫中的部分字段構(gòu)成新的子表）修改/鎖定/死鎖）。數(shù)據(jù)庫管理系統(tǒng)的組成/數(shù)據(jù)定義語言:描述數(shù)據(jù)庫內(nèi)容與結(jié)構(gòu)的語言（建立數(shù)據(jù)庫表結(jié)構(gòu)）/數(shù)據(jù)操縱語言:修改、操作、插入、查詢（提取數(shù)據(jù)的命令）/數(shù)據(jù)字典:對數(shù)據(jù)結(jié)構(gòu)的定義。分布式數(shù)據(jù)庫在各接點的分布方法：快照/復(fù)制/分割數(shù)據(jù)組織與查詢：/結(jié)構(gòu)化查詢語言（不會對數(shù)據(jù)庫產(chǎn)生風(fēng)險）/管理查詢設(shè)施（用于趨勢圖、制作圖表，無法檢查數(shù)據(jù)有效性，可提供在線信息）/邏輯視圖（從一個或多個數(shù)據(jù)庫表中生成新的數(shù)據(jù)結(jié)構(gòu)，直觀）/數(shù)據(jù)挖掘（分析，發(fā)現(xiàn)隱藏在數(shù)據(jù)后的規(guī)律）。10電子資金轉(zhuǎn)帳系統(tǒng)（EFT）風(fēng)險：/未經(jīng)許可的進(jìn)入和操作,對交易的反復(fù)解決/缺少備份和恢復(fù)能力/未經(jīng)授權(quán)的訪問和交易活動風(fēng)險最大優(yōu)勢：/交易解決成本比手工低/改善與貿(mào)易伙伴的業(yè)務(wù)關(guān)系/減少數(shù)據(jù)錯誤/提高工作效率EDI（電子數(shù)據(jù)互換）/實行第一步：畫出未實現(xiàn)組織目的所開展的經(jīng)營活動的流程圖/目的：改善業(yè)務(wù)關(guān)系，提高競爭力/EDI的風(fēng)險：令數(shù)據(jù)完整性的喪失和隨意存取數(shù)據(jù)是EDI的固有風(fēng)險令數(shù)據(jù)傳輸也許在傳輸?shù)钠瘘c、半途和重點被攔截或修改一一數(shù)字署名技術(shù)令數(shù)據(jù)互換過程中的漏掉、錯序或反復(fù)一一給EDT文獻(xiàn)順序編號令向交易伙伴傳輸交易信息有時不成功一一通過對方的反饋來確認(rèn)4.系統(tǒng)開發(fā)獲得和維護(hù)1系統(tǒng)開發(fā)方法：/系統(tǒng)開發(fā)生命周期法（系統(tǒng)、規(guī)范、嚴(yán)密）/（快速）原型法（不斷修改直至滿意，缺陷，不系統(tǒng)，不正規(guī)）/面向?qū)ο蟮拈_發(fā)方法（根據(jù)需求）4.2系統(tǒng)開發(fā)的重要活動：系統(tǒng)分析一一系統(tǒng)設(shè)計一一系統(tǒng)編程一一測試一一轉(zhuǎn)換一一系統(tǒng)維護(hù)/系統(tǒng)分析：今要解決問題的分析令用戶分析和系統(tǒng)可行性分析令系統(tǒng)分析員是信息系統(tǒng)和其他業(yè)務(wù)部門聯(lián)系橋梁/系統(tǒng)設(shè)計：令邏輯設(shè)計令物理設(shè)計/系統(tǒng)編程：令將設(shè)計規(guī)格書轉(zhuǎn)化成計算機(jī)軟件代碼的過程/測試：<模塊測試系統(tǒng)測試e驗收測試/轉(zhuǎn)換:令平行轉(zhuǎn)換令直接轉(zhuǎn)換令試點轉(zhuǎn)換令分階段的轉(zhuǎn)換在軟件需求與設(shè)計階段審計師關(guān)注點：,需求階段安全需求是否完備，能否保證信息系統(tǒng)機(jī)密、完整、可用，是否有足夠的審計蹤跡/審計設(shè)計階段檢查安全需求是否有足夠的控制己集成到系統(tǒng)定義和測試計劃中，連續(xù)性在線審計功能是否集成到系統(tǒng)中/在系統(tǒng)設(shè)計階段的基線上是否建立變動控制/檢查相關(guān)文檔是否齊全4.3內(nèi)部審計師對信息系統(tǒng)開發(fā)的參與參與方式:連續(xù)參與開發(fā)/在系統(tǒng)開發(fā)結(jié)束時參與/在系統(tǒng)實行后參與連續(xù)參與的好處:最大限度地減少系統(tǒng)重新設(shè)計的成本4.4系統(tǒng)維護(hù)與變動的控制：/程序變動控制：令經(jīng)管理層批準(zhǔn)令經(jīng)全面測試并保存文檔令必須留下何人、何時、何事的線索/修改軟件的風(fēng)險：?使用未經(jīng)審查、測試的修改軟件，使被解決信息的可靠性減弱4.5最終用戶開發(fā)的風(fēng)險,系統(tǒng)分析功能被忽略/難集成/系統(tǒng)內(nèi)產(chǎn)生專用信息系統(tǒng)/缺少標(biāo)準(zhǔn)和文檔，使用和維護(hù)都依賴開發(fā)者/缺少監(jiān)督，失去數(shù)據(jù)一致性4.6減少最終用戶開發(fā)的風(fēng)險：/成立信息中心,集中系統(tǒng)開發(fā)專家對用戶進(jìn)行培訓(xùn)/提個開發(fā)工具與指導(dǎo)，協(xié)助建立質(zhì)量標(biāo)準(zhǔn)/信息中心直接參與系統(tǒng)分析與設(shè)計,對終端用戶開發(fā)的審計（擬定終端用戶開發(fā)的程序一一相應(yīng)用程序進(jìn)行風(fēng)險排序一