cia信息技術(shù)知識點整理

1、精品資料推薦三 -E 信息技術(shù)知識點歸納從控制角度來看信息系統(tǒng)構(gòu)成：1. 一般控制：管理控制 / 系統(tǒng)實施控制 / 運行控制 / 軟件控制 / 硬件控制 / 物理訪問控制 / 邏輯訪 問控制2. 應(yīng)用控制：輸入控制 / 處理控制 /輸出控制3. 保障控制：災(zāi)難恢復(fù)與應(yīng)急計劃 / 環(huán)境控制 /設(shè)備來源控制1. 信息系統(tǒng)的戰(zhàn)略、政策和過程1.1 信息系統(tǒng)的戰(zhàn)略性應(yīng)用目標(biāo)：戰(zhàn)略、政策、過程：通過應(yīng)用信息系統(tǒng)，達到改進組織的 目標(biāo)、經(jīng)營和服務(wù)或組織與環(huán)境的關(guān)系，從而幫助組織改善與客戶的關(guān)系，取得競爭優(yōu)勢。戰(zhàn)略 性的應(yīng)用系統(tǒng)滲透于業(yè)務(wù)層、企業(yè)層及行業(yè)層面。1.2 信息系統(tǒng)的應(yīng)用推動組織結(jié)構(gòu)變革：自動化

2、/流程合理話/業(yè)務(wù)流程再造 /異化。1.3 信息系統(tǒng)應(yīng)用模式的演變：主機 /終端模式客戶機 / 服務(wù)器模式瀏覽器 /服務(wù)器 模式與信息應(yīng)用模式相關(guān)的問題：降型化 / 開放系統(tǒng) / 遺產(chǎn)系統(tǒng)。1.4 信息系統(tǒng)的功能分類：?作業(yè)層（事物處理系統(tǒng)TPS：基本交易活動，常規(guī)問題?知識層（知識工作系統(tǒng)KWSfr公自動戶化系統(tǒng)OAS：知識員工、數(shù)據(jù)員工?管理層（管理信息系統(tǒng) MIS/決策支持DSS：中層經(jīng)理，行政事務(wù)?戰(zhàn)略層（高級經(jīng)理支持系統(tǒng) ESS：高層經(jīng)理，戰(zhàn)略問題1.5 信息系統(tǒng)部門的職責(zé)系統(tǒng)開發(fā)小組（系統(tǒng)分析員是聯(lián)絡(luò)的橋梁、設(shè)計、編程、測試：系統(tǒng)運行小組（確保正 常運行/幫助平臺、咨詢：。1.6

3、信息系統(tǒng)安全主管的責(zé)任信息系統(tǒng)高層管理人員的職責(zé)：評估風(fēng)險 /控制成本/制定風(fēng)險控制目標(biāo)與措施信息安全主管的職責(zé)：制定安全政策 /評價安全控制 /檢測調(diào)查不成功的訪問企圖 /監(jiān)督特權(quán) 用戶的訪問，保證用途。1.7 新興技術(shù)人工智能：? 專家系統(tǒng)（商品賒銷的審批、醫(yī)療專家系統(tǒng)： ：通過獲取人類專家在某一領(lǐng)域的經(jīng)驗 和知識，利用推理模型來給出建議。專家系統(tǒng)能夠使客戶服務(wù)工作更容易進行。? 神經(jīng)網(wǎng)絡(luò)（超音速飛機的控制系統(tǒng)、電力系統(tǒng)負(fù)荷預(yù)測： ：在被人類告知其決策錯誤 及答案后，能修改期知識庫。? 模糊邏輯（人像識別系統(tǒng)： ：處理模糊數(shù)據(jù)。? 遺傳算法（煤氣管道控制、機器人控制： ：不斷完善對特定問題

4、的解決方案。? 智能代理（互聯(lián)網(wǎng)搜索引擎、電子郵件過濾器： ：解決特定的、重復(fù)的、可預(yù)見的問題，內(nèi)設(shè)知識庫。1.8 第三方服務(wù)機構(gòu)的角色? 設(shè)備管理機構(gòu)（服務(wù)）按用戶要求運行、維護數(shù)據(jù)處理? 計算機租賃公司（設(shè)備）只提供設(shè)備? 服務(wù)局（服務(wù)加設(shè)備）管理運行自己的數(shù)據(jù)處理設(shè)備，用戶只需求提供數(shù)據(jù)，根 據(jù)服務(wù)結(jié)果付費? 共享服務(wù)商（服務(wù)加設(shè)備）管理運營自己的數(shù)據(jù)處理設(shè)備、使各類組織可以使用 他們的系統(tǒng)2. 硬件、平臺、網(wǎng)絡(luò)與遠(yuǎn)程通訊2.1 各種計算機媒體：? 磁帶（容量大、價格低順序存儲? 磁帶庫（容納多盤磁帶、機械臂抓取）? 軟盤（直接存取、便于攜帶）? 硬盤（直接存取、速度快、容量大）? 廉價

5、冗余磁盤陣列 / 廉價光盤重復(fù)排列（重構(gòu)數(shù)據(jù)、容錯能力強）? CD-RO（M 保存數(shù)字文件容量大、便宜、不能寫入）? 光盤庫（容納多個光盤）? 一次寫多次讀光盤（WORM適用不須更新、記錄內(nèi)容）。2.2 計算機類型：個人計算機 / 工作站/ 網(wǎng)絡(luò)計算機。2.3 各類計算機外部設(shè)備：不間斷電源/光學(xué)字符識別 /打印機/掃描儀/繪圖儀/條碼閱讀器2.4 外部接口：串口 / 并口 /USB 口。2.5 操作系統(tǒng)：分配、調(diào)度、監(jiān)視系統(tǒng)資源，保證雇員只對被授權(quán)的數(shù)據(jù)進行讀寫訪問DOA/UNIX/VMS2.6 監(jiān)視器：辨別硬件的瓶頸和軟件設(shè)計問題 /調(diào)整運行負(fù)荷 /發(fā)現(xiàn)網(wǎng)絡(luò)反應(yīng)時間惡化情況。2.7 圖形化

6、用戶接口：用鼠標(biāo)點擊圖形來輸入命令如WINDOW。 S2.8 大型計算機的使用：影響大型計算機運行速度的因素有：? 應(yīng)用軟件的是設(shè)計效率? 數(shù)據(jù)庫管理軟件的效率? 數(shù)據(jù)的結(jié)構(gòu)網(wǎng)絡(luò)容量及傳輸速度? 系統(tǒng)負(fù)荷? 存儲器容量? 安全檢查及備份的頻率? 軟件初始化選擇的正確性。2.9 個人計算機與大型計算機的接口：通過局域網(wǎng)連接、口令登陸? 終端仿真的風(fēng)險：? 雇員利用微機謀取私利? 備份不充分? 拷貝供個人使用? 保存登錄序列的文獻? 任何能訪問 PC 機的人員都可以訪問主機。2.10 計算機網(wǎng)絡(luò)的分類：廣域網(wǎng)（覆蓋廣、速度慢） / 局域網(wǎng)（范圍小、速度快） /城域網(wǎng) （城市內(nèi)部高速網(wǎng)）? 廣域網(wǎng)：

7、專用網(wǎng)絡(luò) / 虛擬專用網(wǎng) / 公用交換網(wǎng)絡(luò) / 增值網(wǎng)? 局域網(wǎng)：總線網(wǎng) / 星型網(wǎng) / 環(huán)型網(wǎng) 或者分為：基于服務(wù)器的網(wǎng)絡(luò) / 對等網(wǎng)。2.11 網(wǎng)絡(luò)連接設(shè)備：網(wǎng)卡 /調(diào)制解調(diào)器 /中績器/集線器/網(wǎng)橋/網(wǎng)關(guān)/路由器。2.12 因特網(wǎng)：資源無限 缺點：難以定位最好的資源功能：網(wǎng)絡(luò)瀏覽器 WEB電子郵件EMAIL/遠(yuǎn)程登錄TELNET專題論壇USENETfe子公告牌BBS/ 其他。2.13 數(shù)據(jù)傳輸模式：? 異步傳輸（利用額外的啟動位與停止位同步數(shù)據(jù)傳輸 / 慢，有間隔）? 同步傳輸（同步時鐘同步數(shù)據(jù)傳輸，快、可連續(xù)傳輸）各種基礎(chǔ)通信網(wǎng)絡(luò)：公用電話交換網(wǎng)（撥號上網(wǎng)）/DDN數(shù)字?jǐn)?shù)據(jù)網(wǎng)絡(luò)/楨中繼

8、（降局域網(wǎng)和其他局域網(wǎng)連接，使不很敏感的數(shù)據(jù)傳遞）/綜合服務(wù)數(shù)字網(wǎng)ISDN/非對稱數(shù)字環(huán)線ADSL3. 數(shù)據(jù)處理3.1 個人計算機軟件：字處理軟件 /電子表格/圖象處理軟件 /財務(wù)管理/管理軟件/光學(xué)字符 識別軟件。3.2 程序執(zhí)行方式： 直接執(zhí)行： 語言程序（編譯） 目標(biāo)代碼（連接） 可執(zhí)行代碼 （執(zhí) 行）程序運行解釋執(zhí)行：語言程序（由解釋程序轉(zhuǎn)換二進制瑪）程序運行。3.3 語言類型：機器語言 / 匯編語言 / 過程化語言 / 非過程化語言。3.4 文件類型：直接存取文件 / 順序文件 / 索引文件主文件與事務(wù)文件 /平面文件。3.5 數(shù)據(jù)處理方式： 批處理/在線處理集中處理 / 分散處理

9、/ 分布處理。3.6 常用計算機審計技術(shù)：? 測試數(shù)據(jù)（檢查信息系統(tǒng)是否正常）? 平行模擬（模擬系統(tǒng)與真實系統(tǒng)比較結(jié)果）? 繼承集成測試（虛構(gòu)測試數(shù)據(jù)與真實數(shù)據(jù)一起處理，缺點：測試數(shù)據(jù)可能進入委托人- 3 -精品資料推薦的真實數(shù)據(jù)環(huán)境）?嵌入審計模塊（連續(xù)監(jiān)督）?其他技術(shù)（電腦化帳務(wù)處理系統(tǒng)自動平帳）。3.7數(shù)據(jù)庫的類型：層次性數(shù)據(jù)庫；網(wǎng)狀型數(shù)據(jù)庫；關(guān)系型數(shù)據(jù)庫關(guān)系型數(shù)據(jù)庫的操作：?選擇（條件選擇出記錄子集）?連接（按某個共同數(shù)據(jù)元素結(jié)合多個關(guān)系型數(shù)據(jù)庫?映射（將數(shù)據(jù)庫中的部分字段構(gòu)成新的子表）修改?鎖定/死鎖）。3.8數(shù)據(jù)庫管理系統(tǒng)的組成?數(shù)據(jù)定義語言：描述數(shù)據(jù)庫內(nèi)容與結(jié)構(gòu)的語言（建立數(shù)據(jù)庫

10、表結(jié)構(gòu)）?數(shù)據(jù)操縱語言：修改、操作、插入、查詢（提取數(shù)據(jù)的命令）?數(shù)據(jù)字典：對數(shù)據(jù)結(jié)構(gòu)的定義。3.9分布式數(shù)據(jù)庫在各接點的分布方法：快照/復(fù)制/分割數(shù)據(jù)組織與查詢：?結(jié)構(gòu)化查詢語言（不會對數(shù)據(jù)庫產(chǎn)生風(fēng)險）?管理查詢設(shè)施（用于趨勢圖、制作圖表，無法檢查數(shù)據(jù)有效性，可提供在線信息）?邏輯視圖（從一個或多個數(shù)據(jù)庫表中生成新的數(shù)據(jù)結(jié)構(gòu)，直觀）?數(shù)據(jù)挖掘（分析，發(fā)現(xiàn)隱藏在數(shù)據(jù)后的規(guī)律）。3.10電子資金轉(zhuǎn)帳系統(tǒng)（EFT風(fēng)險：?未經(jīng)許可的進入和操作?對交易的重復(fù)處理?缺乏備份和恢復(fù)能力?未經(jīng)授權(quán)的訪問和交易活動風(fēng)險最大優(yōu)勢：?交易處理成本比手工低?改善與貿(mào)易伙伴的業(yè)務(wù)關(guān)系?減少數(shù)據(jù)錯誤?提高工作效率EDI

11、 （電子數(shù)據(jù)交換）?實施第一步：畫出未實現(xiàn)組織目標(biāo)所開展的經(jīng)營活動的流程圖?目標(biāo)：改善業(yè)務(wù)關(guān)系，提高競爭力? EDI的風(fēng)險：數(shù)據(jù)完整性的喪失和隨意存取數(shù)據(jù)是 EDI的固有風(fēng)險數(shù)據(jù)傳輸可能在傳輸?shù)钠瘘c、中途和重點被攔截或修改一一數(shù)字簽名技術(shù)數(shù)據(jù)交換過程中的遺漏、錯序或重復(fù)一一給 EDI文件順序編號向交易伙伴傳輸交易信息有時不成功一一通過對方的反饋來確認(rèn)4. 系統(tǒng)開發(fā)獲得和維護4.1系統(tǒng)開發(fā)方法：?系統(tǒng)開發(fā)生命周期法（系統(tǒng)、規(guī)范、嚴(yán)密）?（快速）原型法（不斷修改直至滿意，缺點，不系統(tǒng)，不正規(guī)）?面向?qū)ο蟮拈_發(fā)方法（根據(jù)需求）4.2系統(tǒng)開發(fā)的主要活動：系統(tǒng)分析一一系統(tǒng)設(shè)計一一系統(tǒng)編程一一測試一一轉(zhuǎn)換

12、一一系統(tǒng) 維護?系統(tǒng)分析：要解決問題的分析用戶分析和系統(tǒng)可行性分析系統(tǒng)分析員是信息系統(tǒng)和其他業(yè)務(wù)部門聯(lián)系橋梁?系統(tǒng)設(shè)計：邏輯設(shè)計物理設(shè)計?系統(tǒng)編程：將設(shè)計規(guī)格書轉(zhuǎn)化成計算機軟件代碼的過程?測試：模塊測試系統(tǒng)測試驗收測試?轉(zhuǎn)換：平行轉(zhuǎn)換直接轉(zhuǎn)換試點轉(zhuǎn)換分階段的轉(zhuǎn)換在軟件需求與設(shè)計階段審計師關(guān)注點：?需求階段安全需求是否完備，能否保證信息系統(tǒng)機密、完整、可用，是否有足夠的審 計蹤跡?審計設(shè)計階段檢查安全需求是否有足夠的控制已集成到系統(tǒng)定義和測試計劃中，連續(xù)性在線審計功能是否集成到系統(tǒng)中?在系統(tǒng)設(shè)計階段的基線上是否建立變動控制?檢查相關(guān)文檔是否齊全4.3內(nèi)部審計師對信息系統(tǒng)開發(fā)的參與參與方式：連續(xù)參

13、與開發(fā)/在系統(tǒng)開發(fā)結(jié)束時參與/在系統(tǒng)實施后參與-5 -精品資料推薦連續(xù)參與的好處：最大限度地降低系統(tǒng)重新設(shè)計的成本4.4 系統(tǒng)維護與變動的控制：? 程序變動控制： 經(jīng)管理層批準(zhǔn) 經(jīng)全面測試并保存文檔 必須留下何人、何時、何事的線索? 修改軟件的風(fēng)險： 使用未經(jīng)審查、測試的修改軟件，使被處理信息的可靠性減弱4.5 最終用戶開發(fā)的風(fēng)險? 系統(tǒng)分析功能被忽略? 難集成? 系統(tǒng)內(nèi)產(chǎn)生專用信息系統(tǒng)? 缺乏標(biāo)準(zhǔn)和文檔，使用和維護都依賴開發(fā)者? 缺乏監(jiān)督，失去數(shù)據(jù)一致性4.6 降低最終用戶開發(fā)的風(fēng)險：? 成立信息中心? 集中系統(tǒng)開發(fā)專家對用戶進行培訓(xùn)? 提個開發(fā)工具與指導(dǎo)，協(xié)助建立質(zhì)量標(biāo)準(zhǔn)? 信息中心直接參

14、與系統(tǒng)分析與設(shè)計? 對終端用戶開發(fā)的審計 （確定終端用戶開發(fā)的程序?qū)?yīng)用程序進行風(fēng)險排序 對控制情況進行文件處理與測試）4.7 軟件許可問題：? 使用盜版軟件的危害（違法 / 易感染病毒）? 防止使用非法軟件的方法（建立制度 / 版權(quán)法教育 / 定期鑒別 / 保存購買軟件的原始記 錄/ 專人保管安裝盤）? 非法軟件的發(fā)現(xiàn)（比較采購記錄與可執(zhí)行文件 / 比較序列號）5. 信息系統(tǒng)安全5.1 常見攻擊手段：黑客 /阻塞/ 竊聽/ 重演/詐騙/中斷/病毒5.2 不同層次的信息系統(tǒng)安全控制：一般控制 / 應(yīng)用控制 一般控制：? 管理控制：制定政策與程序 / 目標(biāo)：職責(zé)分離? 系統(tǒng)實施控制：開發(fā)實施過程

15、中建立控制點編制文檔（各個環(huán)節(jié)）? 運行控制：數(shù)據(jù)存儲、運行規(guī)范化要求，例如在對不需要的文件要在授權(quán)條件下及時 刪除，管理系統(tǒng)操作、性能監(jiān)測、系統(tǒng)備份、審計日志? 軟件控制：未經(jīng)許可不得修改、在獨立的計算機上測試所有的要進入生產(chǎn)環(huán)境的軟件? 硬件控制：保證正常運行：回?fù)軝z測、奇偶校驗?訪問控制（重點）：標(biāo)識/口令/授權(quán)/訪問日志/自動注銷登錄 /回?fù)?對工具軟件的限 制? 物理設(shè)備控制：防止對物理設(shè)備的非授權(quán)接觸的控制一般控制更為基礎(chǔ)，影響應(yīng)用控制CIA 在審查一個應(yīng)用系統(tǒng)的應(yīng)用控制時應(yīng)首先確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制。5.3 訪問控制的類型：? 標(biāo)識（唯一確定用戶身份）? 口令（弱控制）

16、? 授權(quán)（建立訪問控制表預(yù)防未經(jīng)授權(quán)訪問修改敏感信息，知必所需）? 訪問日志（檢測性控制措施）? 回?fù)埽ūＷo信息按指定路徑傳送）? 自動注銷登錄（防止通過無人照管的終端來訪問主機敏感信息）? 對工具軟件的限制5.4 加密和解密算法和密鑰加密密鑰和解密密鑰公鑰和私鑰數(shù)字證書 數(shù)字簽名認(rèn)證中心? 對稱密碼體制， DES? 非對稱密碼體制， RSA5.5 電子郵件的安全控制：? 禁止用 EMAIL 發(fā)送高度敏感或機密信息? 加密? 限使用數(shù)量? 工作終端的商用電子郵件保存?zhèn)洳? 保密性電郵不能儲存在郵件服務(wù)器中? 離職雇員的電郵應(yīng)該保留備查? 在安全程度不同的地點有幾個人同對負(fù)責(zé)管理的電郵安全性? 歸檔和分級管理。電子郵件不可能比它賴以運行的計算機環(huán)境更安全。5.6 防火墻：數(shù)據(jù)包過濾型 / 應(yīng)用網(wǎng)關(guān)型5.7 應(yīng)用軟件控制：? 輸入控制（輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換、編輯檢驗）? 處理控制（運行總數(shù)、計算機匹配、并發(fā)控制） 、輸出控制? 輸出控制（平衡總數(shù)、復(fù)核日志、審核報告、審核制度文件）5.8 計算機的物理安全：? 保證傳輸線路的安全以防止非法訪問網(wǎng)絡(luò)? 盡量不要暴露數(shù)據(jù)中