IT服務交付和支持

IT服務交付和支持

ITServiceDeliveryandSupport吳華CISACIA2008.04長春概述復習手冊知識點信息系統(tǒng)運營信息系統(tǒng)硬件信息系統(tǒng)架構和軟件信息系統(tǒng)網(wǎng)絡基礎設施基礎設施及運營的審計練習題講解提綱提綱概述復習手冊知識點信息系統(tǒng)運營信息系統(tǒng)硬件信息系統(tǒng)架構和軟件信息系統(tǒng)網(wǎng)絡基礎設施基礎設施及運營的審計練習題講解概述本章目標–IT服務管理實務能夠保證所要求提供的服務水平滿足組織的目標題量–本章內(nèi)容占CISA考試的14%，約28題難點–知識點較多，難易程度不一，概念容易混淆概述IS審計流程IT治理系統(tǒng)和基礎設施生命周期管理IT服務交付和支持信息資產(chǎn)的保護業(yè)務持續(xù)性和災難恢復10%15%16%14%31%14%概述2005CISA2006CISA信息系統(tǒng)審計程序（10%）信息系統(tǒng)審計程序（10%）信息系統(tǒng)管理、計劃和組織（11%）IT治理（15%）技術基礎和運營實務（13%）系統(tǒng)與基礎設施生命周期管理（16%）信息資產(chǎn)的保護（25%）IT服務的交付與支持（14%）災難恢復和業(yè)務持續(xù)計劃（10%）信息資產(chǎn)的保護（31%）業(yè)務應用系統(tǒng)開發(fā)、獲取、實施和維護（16%）業(yè)務持續(xù)計劃與災難恢復（14%）業(yè)務過程評估和風險管理（15%）概述任務（7項）T4.1－評價服務管理實務，以確保由內(nèi)、外部服務提供商所提供的服務等級是明確定義的、受管理的T4.2－評價運營管理，以確保IT支持職能有效地滿足了業(yè)務要求T4.3－評價數(shù)據(jù)管理實務，以確保數(shù)據(jù)庫的完整性和最優(yōu)化T4.4－評價容量和性能監(jiān)測工具及技術的使用，以確保IT服務滿足組織的目標T4.5－評價變更、配置及版本發(fā)布管理實務，以確保組織生產(chǎn)環(huán)境的變更得到充分的控制，并被詳細記錄T4.6－評價問題及事件管理實務，以確保所有事件、問題及錯誤都被及時地記錄、分析和解決T4.7－評估IT其他設施（如：網(wǎng)絡設備、硬件、系統(tǒng)軟件）的功能，以確保其對組織目標的支持概述知識要點（11項）KS4.1－服務水平管理實務KS4.2－運營管理最佳實務（如：工作負荷調(diào)度、網(wǎng)絡服務管理、預防性維護）KS4.3－系統(tǒng)性能監(jiān)控流程、工具及技術（如：網(wǎng)絡分析器、系統(tǒng)利用率報告、負載均衡）KS4.4－硬件和網(wǎng)絡設備的功能（如：路由器、交換機、防火墻、外設）KS4.5－數(shù)據(jù)庫管理實務KS4.6－操作系統(tǒng)的功能，包括操作系統(tǒng)、工具軟件、數(shù)據(jù)庫管理系統(tǒng)KS4.7－系統(tǒng)容量計劃和監(jiān)控技術概述知識要點（11項－續(xù)）KS4.8－對生產(chǎn)系統(tǒng)及基礎設施的應急變更和調(diào)度管理流程，包括變更、配置、版本發(fā)布及補丁管理實務KS4.9－事件及問題管理實務（如：幫助臺、升級流程及追蹤）KS4.10－軟件許可證及清單管理實務KS4.11－系統(tǒng)彈性工具及技術（如：容錯硬件、單點故障排除、集群技術）概述任務及知識要點的對應表T4.1KS4.1、KS4.2、KS4.3、KS4.6、KS4.7、KS4.9、KS4.11T4.2KS4.2、KS4.3、KS4.5、KS4.6、KS4.8、KS4.9、KS4.10、KS4.11T4.3KS4.5、KS4.6、KS4.7、KS4.11T4.4KS4.1、KS4.2、KS4.3、KS4.7、KS4.11T4.5KS4.2、KS4.8、KS4.9T4.6KS4.1、KS4.2、KS4.3、KS4.8、KS4.9T4.7KS4.2、KS4.3、KS4.4、KS4.5、KS4.6、KS4.11概述CISA復習手冊目錄信息系統(tǒng)運營（ISOperation）信息系統(tǒng)硬件（ISHardware）信息系統(tǒng)架構和軟件（ISArchitectureandSoftware）信息系統(tǒng)網(wǎng)絡基礎設施（ISNetworkInfrastructure）基礎設施及運營的審計（AuditInfrastructureandOperation）概述銀監(jiān)會日前通報了去年以來銀行業(yè)金融機構發(fā)生的五起信息科技風險事件：2007年3月21日，交行因主機監(jiān)控軟件缺陷，導致系統(tǒng)癱瘓近4個小時，所有營業(yè)網(wǎng)點無法正常開展業(yè)務2007年8月15日，工行對計算機系統(tǒng)進行升級，但由于沒有避開業(yè)務高峰期，導致部分代理證券業(yè)務受阻，在持續(xù)5個半小時后，系統(tǒng)才逐步恢復正常2007年10月18日，建行第三方存管系統(tǒng)出現(xiàn)故障，與券商的交易無法正常進行。事故持續(xù)了2個小時2007年12月21日，招行因運行中心核心網(wǎng)絡設備出現(xiàn)故障，造成營業(yè)中斷近1個小時2008年1月7日，北京銀行因主干專線設備發(fā)生故障，造成在京117家支行所屬網(wǎng)點柜臺交易無法正常進行，1個多小時后才得以解決提綱概述復習手冊知識點信息系統(tǒng)運營信息系統(tǒng)硬件信息系統(tǒng)架構和軟件信息系統(tǒng)網(wǎng)絡基礎設施審計基礎設施和運營練習題講解提綱概述復習手冊知識點信息系統(tǒng)運營信息系統(tǒng)硬件信息系統(tǒng)架構和軟件信息系統(tǒng)網(wǎng)絡基礎設施基礎設施及運營的審計練習題講解信息系統(tǒng)運營信息系統(tǒng)的運營主要承擔計算機軟硬件的日常支持工作，其職能包括：信息系統(tǒng)運營的管理(ManagementofISOperation)IT服務管理(ITServiceManagement)基礎設施的運營(InfrastructureOperation)資源使用的監(jiān)控(MonitoringUseofResources)支持/幫助臺(Support/HelpDesk)變更管理流程(ChangeManagementProcess)程序庫管理系統(tǒng)(ProgramLibraryManagementSystems)程序庫控制軟件(LibraryControlSoftware)版本管理(ReleaseManagement)質(zhì)量保證(QualityAssurance)信息安全管理(InformationSecurityManagement)信息系統(tǒng)運營－信息系統(tǒng)運營的管理運營管理的主要功能資源分配－IS管理層負責為計劃內(nèi)的IS活動提供必要的資源標準和程序－IS管理層負責為所有運行建立必要的符合總體業(yè)務戰(zhàn)略和政策的標準和程序IS運營流程的監(jiān)控－IS管理層負責監(jiān)督和衡量IS運營流程的效率和效果，不斷改進處理流程突出IS管理層的職責和控制功能信息系統(tǒng)運營－信息系統(tǒng)運營的管理信息系統(tǒng)運營－信息系統(tǒng)運營的管理管理控制功能保證每個運行交接過程均有詳盡的安排精心計劃以確保運行資源得到最有效地使用對運行日程的變更進行授權確保安全漏洞或脆弱點能夠及時被發(fā)現(xiàn)和解決偵測入侵嘗試及時解決信息安全問題檢查和授權運營計劃的變更監(jiān)控運行以確保其符合標準在系統(tǒng)停機和硬件/軟件重新恢復期間審查控制臺日志活動信息系統(tǒng)運營－信息系統(tǒng)運營的管理管理控制功能（續(xù)）審查操作員日以識別預定的和實際的活動之間的差異確保信息系統(tǒng)處理無論在發(fā)生較小或重大的中斷后均能及時得到恢復監(jiān)控系統(tǒng)性能和資源情況，以實現(xiàn)計算機資源的最佳使用預測設備更換/容量，以保證當前作業(yè)流量的最大化并為未來需求制定戰(zhàn)略計劃監(jiān)控環(huán)境和設施的安全，為設備的正常運行保持適當?shù)臈l件保證對硬件和軟件的變更不會引起正常業(yè)務處理的中斷維護作業(yè)記錄報告和其他審計記錄限制無關人員對計算機資源的物理接觸信息系統(tǒng)運營－信息系統(tǒng)運營的管理CobiT4.1DS13運營管理如果沒有建立有效的數(shù)據(jù)處理和硬件維護的管理流程,有可能無法保持數(shù)據(jù)的完整性、減少業(yè)務的延遲和IT運營成本DS13.1操作流程和指南：制定、實施和維護IT操作的標準程序，確保運維人員熟悉與其相關的操作任務DS13.2作業(yè)調(diào)度：按照最高效的序列組織作業(yè)、進程和任務的調(diào)度，確保吞吐量和利用率最大化地滿足業(yè)務需求DS13.3IT基礎設施的監(jiān)控：制定和實施對IT基礎設施和相關事件進行監(jiān)控的流程，確保運行日志記載了充分的按時間發(fā)生順序排列的信息，以便運營及與運營相關活動的時間序列能夠重建、審查和測試信息系統(tǒng)運營－信息系統(tǒng)運營的管理CobiT4.1DS13運營管理（續(xù)）DS13.4敏感資料和輸出設備：建立適當?shù)奈锢戆踩b置，會計核算和庫存管理手段對IT敏感資產(chǎn)（例如：特別的表格、票據(jù)、用于特別目的的打印機和安全令牌等）進行管理DS13.5硬件的預防性維護：制定和實施及時維護基礎設施的流程，確保減少硬件失效或性能下降的頻率和影響信息系統(tǒng)運營－信息系統(tǒng)運營的管理例題33.WhichofthefollowingistheMOSTcriticalwhenevaluatingthedeliveryofITservices?（KS1）A.ToolsusedtorecordandanalyzeincidentsB.ServicelevelagreementsnegotiatedbyallappropriatepartiesC.CapacitymanagementtoolsD.Problemmanagement信息系統(tǒng)運營－信息系統(tǒng)運營的管理例題（續(xù)）Thecorrectansweris:B.ServicelevelagreementsnegotiatedbyallappropriatepartiesExplanation:Servicelevelagreementsprovideexpectedlevelsofserviceandbecomethebasisforevaluatingthedeliveryofspecifiedservices.Recordingtoolsandcapacitymanagementtoolsprovideinformationbutdonotprovideabasisagainstwhichtomeasureachievement.Problemmanagementisnotusedforevaluatingservicedelivery.信息系統(tǒng)運營－IT服務管理IT服務管理(ITServiceManagement)：包括用于有效交付和支持各種IT功能的處理流程目標：不斷提高服務質(zhì)量，降低服務成本，滿足企業(yè)不斷變化的需求IT支持服務服務臺事件管理問題管理配置管理變更管理版本管理IT交付服務服務水平管理IT財務管理容量管理IT服務持續(xù)性管理IT服務可用性管理信息系統(tǒng)運營－IT服務管理信息系統(tǒng)運營－IT服務管理服務水平(ServiceLevel)：IT部門的成功體現(xiàn)為對最終用戶處理和服務需求的滿足程度下列工具用于監(jiān)控所提供服務的效率和效果異常作業(yè)終止報告(Abnormaljobterminationreport)作業(yè)重啟報告(Jobrerunreport)操作員問題報告(Operatorproblemreport)輸出分發(fā)報告(Outputdistributionreport)控制臺日志(Consolelog)操作員工作日程表(Operatorwordschedule)信息系統(tǒng)運營－IT服務管理過多的異常終止可能意味著拙劣的應用系統(tǒng)設計、開發(fā)或測試不充分的操作指令不充分的運行報告不充分的操作培訓或性能監(jiān)控IS審計通過日志分析軟件執(zhí)行測試以確保只有經(jīng)批準的程序才能訪問敏感數(shù)據(jù)能夠修改數(shù)據(jù)文件及程序庫的工具軟件只用于授過權的目的經(jīng)批準的程序只在預定的時間內(nèi)運行，非授權的運行不會發(fā)生為生產(chǎn)目的而使用正確的數(shù)據(jù)文件生成數(shù)據(jù)文件受到充分的保護信息系統(tǒng)運營－IT服務管理例題58.WhichofthefollowingwouldanISauditorexpecttofindinaconsolelog?（KS6）A.NamesofsystemusersB.ShiftsupervisoridentificationC.SystemerrorsD.Dataediterrors例題（續(xù)）Thecorrectansweris:C.SystemerrorsExplanation:Systemerrorsaretheonlyonesthatonewouldexpecttofindintheconsolelog.信息系統(tǒng)運營－IT服務管理信息系統(tǒng)運營－IT服務管理服務水平協(xié)議（SLAs）定義了為IS設施的用戶所承諾的服務水平硬件及軟件的性能指標（響應時間、硬件可用性等）財務性能指標（逐年成本節(jié)約的增加量等）風險、安全、控制指標和效率及效益指標服務外包(Outsource)IS審計師應確保有規(guī)定可以完成獨立的、涵蓋所有必要領域的審計報告并提供足夠的審計權限信息系統(tǒng)運營－IT服務管理CobiT4.1DS1服務水平管理如果缺乏有效的服務水平管理，可能無法在IT管理者和用戶之間達成有效的溝通，無法保證IT服務滿足業(yè)務需求DS1.1服務水平管理框架：定義一個框架，在用戶和服務提供者之間提供正式的服務水平管理的程序DS1.2服務定義：以服務特征和業(yè)務需求為基礎定義IT服務，通過實施服務目錄/文件包方法集中組織和存儲DS1.3服務水平協(xié)議：基于客戶需求和IT能力為所有的關鍵的IT服務定義和簽署服務水平協(xié)議DS1.4運營水平協(xié)議：落實應用安全和可用性的需求，響應已識別的風險，協(xié)調(diào)數(shù)據(jù)的分類、企業(yè)信息架構、企業(yè)信息安全架構和風險配置信息系統(tǒng)運營－IT服務管理CobiT4.1DS1服務水平管理（續(xù)）DS1.5服務水平的監(jiān)控和報告：持續(xù)地監(jiān)控指定的服務水平績效的標準DS1.6服務水平協(xié)議的定期檢查：定期檢查和內(nèi)部或外部服務提供者簽訂的服務水平協(xié)議和基礎合同，確保他們是有效的、最新版本的并且能夠滿足需求的變化信息系統(tǒng)運營－IT服務管理例題6.WhichofthefollowingreportsshouldanISauditorusetocheckcompliancewithaservicelevelagreement's(SLA)requirementforuptime?（KS1）A.UtilizationreportsB.HardwareerrorreportsC.SystemlogsD.Availabilityreports例題（續(xù)）Thecorrectansweris:D.AvailabilityreportsExplanation:ISinactivity,suchasdowntime,isaddressedbyavailabilityreports.Thesereportsprovidethetimeperiodsduringwhichthecomputerwasavailableforutilizationbyusersorotherprocesses.Utilizationreportsdocumenttheuseofcomputerequipment,andcanbeusedbymanagementtopredicthow/where/whenresourcesarerequired.Hardwareerrorreportsprovideinformationtoaidindetectinghardwarefailuresandinitiatingcorrectiveaction.Systemlogsarearecordingofthesystem'sactivities.信息系統(tǒng)運營－IT服務管理信息系統(tǒng)運營－基礎設施的運營IS控制環(huán)境基于計算機和外設操作指令及工作流程的操作員程序糾正機器或程序失敗以及無法解決問題的升級的程序輸出報告分發(fā)的指令存取脫機庫文件的程序報告運行延遲的程序報告和糾正設備故障及作業(yè)處理延遲的程序恢復已完成文件的程序信息系統(tǒng)運營－基礎設施的運營自動的無人值守（Lights-out）運行是重要計算機機房的自動運行，即在無人工干預的情況下自動執(zhí)行任務優(yōu)勢：IS運行成本的減少；24/7持續(xù)運行；減少系統(tǒng)錯誤和中斷的次數(shù)輸入/輸出控制功能(Input/outputControlFunction)輸入得到及時準確地處理輸出生成正確，并被送給適當?shù)娜藛T作為下一個系統(tǒng)輸入的輸出的生成及時、準備、完整處理中使用了正確的文件；操作員的操作正確沒有證據(jù)表明數(shù)據(jù)已被非授權修改信息系統(tǒng)運營－基礎設施的運營作業(yè)日程安排軟件(JobSchedulingSoftware)優(yōu)勢：作業(yè)信息只建立一次，減少錯誤的可能性定義了作業(yè)依存關系，如果一個作業(yè)失敗，接下來依賴其輸出的作業(yè)不會被處理所有作業(yè)的成功與否均被記錄減少對操作員的依賴信息系統(tǒng)運營－資源使用的監(jiān)控計算機資源：硬件、軟件、通訊、網(wǎng)絡、數(shù)據(jù)，對資源的控制也稱為一般控制（GeneralControl)事件處理流程(ProcessofIncidentHanding)：根據(jù)影響及緊急程度確定優(yōu)先級別，并盡快解決問題管理(ProblemManagement)：通過深入分析找出事件的根本原因，一個標準的方法便是，相關方通過“頭腦風暴”法完成“原因－結果圖”（Ishikawa），目標是降低事件的數(shù)量及嚴重程度CobiT4.1DS10問題管理如果沒有建立有效的問題管理流程，可能無法改進服務水平，降低成本，提高用戶滿意度DS10.1問題識別和分類：執(zhí)行流程來報告和分類問題已經(jīng)被確定為事件管理的一部分DS10.2問題跟蹤和解決：確保問題管理系統(tǒng)能提供足夠的審計痕跡設備，來允許跟蹤、分析和確定所有下述報告問題的根本原因DS10.3問題關閉：在證實成功排除已知錯誤后，或者在與業(yè)務部門對如何處理問題達成一致后，引入適當?shù)某绦騺黻P閉問題記錄DS10.4配置、事件和問題管理的集成：集成配置、事件和問題管理相關的流程以確保問題的有效管理并且能夠改進信息系統(tǒng)運營－資源使用的監(jiān)控異常情況的檢測、記錄、控制、解決和報告需要在日志中記錄的錯誤包括：程序錯誤、系統(tǒng)錯誤、操作員錯誤、網(wǎng)絡錯誤、通訊錯誤、硬件錯誤錯誤日志條目中應包含：出錯日期、錯誤解決描述、錯誤代碼、錯誤描述、錯誤源、上報日期和時間、負責維護日志的個人姓名縮寫、負責結束日志條目的個人姓名縮寫、負責錯誤解決的部門、問題解決的狀態(tài)代碼、錯誤解決狀態(tài)的詳細描述控制：不限制追加錯誤日志的權限；限制更新錯誤日志的權限并賦予授權的人員，且更新能夠被追蹤適當?shù)穆氊煼蛛x要求：結束錯誤日志的人員應不同于維護或最初記載錯誤日志的人員信息系統(tǒng)運營－資源使用的監(jiān)控信息系統(tǒng)運營－支持/幫助臺技術支持功能的職責是提供關于生產(chǎn)系統(tǒng)的專業(yè)知識，以識別和幫助系統(tǒng)變更/開發(fā)及問題的解決CobiT4.1

DS8服務臺管理如果沒有建立有效的服務臺管理體系,可能無法提供高效便捷的IT服務，影響業(yè)務系統(tǒng)運行效率DS8.1服務臺：建立服務臺功能，它是用戶與IT的接口，用來進行登記、溝通、派遣和分析所有呼叫，報告事件、服務請求和信息需求DS8.2登記客戶的疑問：建立一個功能和系統(tǒng)，允許記錄和跟蹤呼叫、事件、服務請求和信息需求。這個系統(tǒng)應該與事件管理、問題管理、變更管理、容量管理和可用性管理一起緊密工作信息系統(tǒng)運營－支持/幫助臺CobiT4.1

DS8服務臺管理（續(xù)）DS8.3事件的逐步升級：建立服務臺程序，使不能立即解決的事件按照服務水平協(xié)議中定義的限度適當?shù)刂鸩缴塂S8.4事件的關閉：建立一個對客戶疑問的清除進行及時監(jiān)控的程序。當事件已經(jīng)被解決，確保服務臺記錄了問題解決的步驟，確認客戶已經(jīng)同意所采取的行動DS8.5趨勢分析：產(chǎn)生服務臺的運行報告，使管理者能夠衡量服務績效、服務的響應時間，分辨趨勢和復發(fā)的問題，使服務得到持續(xù)的改進信息系統(tǒng)運營－支持/幫助臺例題29.Anorganizationhasoutsourceditshelpdesk.WhichofthefollowingindicatorswouldbethebesttoincludedintheSLA?（KS1）A.OverallnumberofuserssupportedB.PercentageofincidentssolvedinthefirstcallC.NumberofincidentsreportedtothehelpdeskD.Numberofagentsansweringthephones信息系統(tǒng)運營－支持/幫助臺例題（續(xù)）Thecorrectansweris:B.PercentageofincidentssolvedinthefirstcallExplanation:Sinceitisaboutservicelevel(performance)indicators,thepercentageofincidentssolvedonthefirstcallistheonlyoptionthatisrelevant.ChoicesA,CandDarenotqualitymeasuresofthehelpdeskservice.信息系統(tǒng)運營－支持/幫助臺信息系統(tǒng)運營－變更管理流程變更管理流程：控制應用系統(tǒng)從測試環(huán)境轉(zhuǎn)移到質(zhì)量保證環(huán)境（徹底測試），并最終轉(zhuǎn)移至生產(chǎn)環(huán)境與上述轉(zhuǎn)移流程相關的程序?qū)⒋_保：系統(tǒng)、操作、及程序文檔是完備的、最新且符合已定的標準作業(yè)的準備、調(diào)度和操作指令已經(jīng)建立系統(tǒng)和程序測試結果已經(jīng)通過用戶和項目管理部門的審查和批準數(shù)據(jù)轉(zhuǎn)換和系統(tǒng)切換已經(jīng)準確完全地實現(xiàn)并通過用戶管理部門的審查和批準檢查了影響業(yè)務運行的不良風險，制定了回滾計劃，如有必要可以退回到變更前的狀態(tài)例題106.ChangemanagementproceduresareestablishedbyISmanagementto:（KS8）A.controlthemovementofapplicationsfromthetestenvironmenttotheproductionenvironment.B.controltheinterruptionofbusinessoperationsfromlackofattentiontounresolvedproblems.C.ensuretheuninterruptedoperationofthebusinessintheeventofadisaster.D.verifythatsystemchangesareproperlydocumented.信息系統(tǒng)運營－變更管理流程例題（續(xù)）Thecorrectansweris:A.controlthemovementofapplicationsfromthetestenvironmenttotheproductionenvironment.Explanation:ChangemanagementproceduresareestablishedbyISmanagementtocontrolthemovementofapplicationsfromthetestenvironmenttotheproductionenvironment.Problemescalationprocedurescontroltheinterruptionofbusinessoperationsfromlackofattentiontounresolvedproblems,andqualityassuranceproceduresverifythatsystemchangesareauthorizedandtested.信息系統(tǒng)運營－變更管理流程信息系統(tǒng)運營－程序庫管理系統(tǒng)程序庫管理系統(tǒng)：包括應用及系統(tǒng)軟件程序代碼、作業(yè)控制語句、處理參數(shù)增加數(shù)據(jù)中心軟件清單管理的效率和效果完整性－每個源程序被賦予一個修改編號和版本編號，每個源語句附有創(chuàng)建日期；通過口令、加密、數(shù)據(jù)壓縮及自動備份等手段，以保證程序庫、作業(yè)控制語句集和參數(shù)文件的安全更新－對程序庫內(nèi)容的追加、修改、刪除、重新排序和編輯進行管理報告－為管理層和審計檢查提供相關的追加、修改列表接口－提供與操作系統(tǒng)、作業(yè)調(diào)度系統(tǒng)、訪問控制系統(tǒng)和聯(lián)機程序管理系統(tǒng)的接口信息系統(tǒng)運營－程序庫控制軟件程序庫控制軟件：在主機環(huán)境或是客戶服務器環(huán)境下，用于隔離測試庫和生產(chǎn)庫主要目的防止程序員訪問產(chǎn)品源代碼和目標庫防止批量的程序更新要求由控制人員或操作員發(fā)布源代碼并放入程序庫要求程序員將要替換的源代碼交給控制人員或操作員，由他們來更新目標代碼程序庫或進行測試要求控制人員或操作員在完成測試后更新目標代碼程序庫的版本編號只允許對源代碼的只讀訪問要求程序命名采用唯一的標識方式以便區(qū)分測試版和正式版信息系統(tǒng)運營－程序庫控制軟件主要目的（續(xù)）在作業(yè)控制語言中加入篩選控制，以避免因誤用程序名稱而讓正常作業(yè)執(zhí)行了測試程序允許變更回退加強編程/代碼標準執(zhí)行碼和源代碼的完整性保證執(zhí)行碼和源代碼的完整性是控制生產(chǎn)系統(tǒng)的關鍵，使得錯誤的版本程序不會被執(zhí)行源代碼模塊的時間戳不能晚于相應的執(zhí)行碼用戶及程序員不能擁有在生產(chǎn)環(huán)境下訪問源代碼或加載模塊的權限在C/S環(huán)境下，IS審計師必須特別審查終端用戶所開發(fā)的應用信息系統(tǒng)運營－程序庫控制軟件源代碼比較(SourceCodeComparison)是追蹤源代碼變化的有效易用方法通過源代碼比較，IS審計師可逐一審查相關變更的需求申請、批準及程序測試的授權文件該技術不能查出那些在進行比較前已變動過并以原有形式保存的源代碼，需要配合使用檢查裝載模型變動的方法信息系統(tǒng)運營－程序庫控制軟件例題3.Oneofthepurposesoflibrarycontrolsoftwareistoallow:（KS8）A.programmersaccesstoproductionsourceandobjectlibraries.B.batchprogramupdating.C.operatorstoupdatethecontrollibrarywiththeproductionversionbeforetestingiscompleted.D.read-onlyaccesstosourcecode.信息系統(tǒng)運營－程序庫控制軟件例題（續(xù)）Thecorrectansweris:D.read-onlyaccesstosourcecode.Explanation:Animportantpurposeoflibrarycontrolsoftwareistoallowread-onlyaccesstosourcecode.ChoicesA,BandCareactivitieswhichlibrarycontrolsoftwareshouldhelptopreventorprohibit.信息系統(tǒng)運營－版本管理版本管理(ReleaseManagement)：確定哪些軟件是用戶可使用的管理流程，“版本”術語用于描述一系列經(jīng)授權的變更，典型的版本包括糾正問題的編號、服務改善的標號主要版本(Majorrelease)－一般包括了重大的變更或增加了新的功能。會增大測試和最終用戶培訓計劃的復雜程度次要版本(Minorsoftwarerelease)－升級，一般包括小的改善和修正，通常代替以前所有的緊急修正緊急版本(Emergencysoftwarerelease)－通常包括對小量已知問題的糾正。避免用戶停機或影響關鍵業(yè)務的運營，在實施前只能做有限的測試和版本管理活動，會增加出錯的風險信息系統(tǒng)運營－質(zhì)量保證，信息安全管理質(zhì)量保證人員驗證系統(tǒng)變更進入生產(chǎn)環(huán)境前的授權、測試和實施是受控的，借助于程序庫管理軟件，他們也檢查程序版本和源代碼到目標代碼的完整性在所有的IT運營流程中都要重視信息安全管理對信息資產(chǎn)進行風險評估進行業(yè)務影響分析制定和加強信息安全政策、程序和標準經(jīng)常進行安全評估實施正式的漏洞管理流程提綱概述復習手冊知識點信息系統(tǒng)運營信息系統(tǒng)硬件信息系統(tǒng)架構和軟件信息系統(tǒng)網(wǎng)絡基礎設施基礎設施及運營的審計練習題講解提綱概述復習手冊知識點信息系統(tǒng)運營信息系統(tǒng)硬件信息系統(tǒng)架構和軟件信息系統(tǒng)網(wǎng)絡基礎設施基礎設施及運營的審計練習題講解信息系統(tǒng)硬件介紹組織常用的硬件平臺，包括基本概念、發(fā)展歷史及其特征計算機硬件部件及架構(ComputerHardwareComponentsandArchitecture)硬件維護(HardwareMaintenanceProgram)硬件監(jiān)控程序(HardwareMonitoringProcedure)容量管理(CapacityManagement)信息系統(tǒng)硬件－計算機硬件部件及架構超級計算機信息系統(tǒng)硬件－計算機硬件部件及架構聯(lián)想

高檔PCHPLH6000便攜機SUN3000低端高端Windows2000、XPpalmOSWindowsServer、UNIXUNIXIBMOS/390IBMS/390PDANC計算機類型信息系統(tǒng)硬件－計算機硬件部件及架構區(qū)別越來越小筆記本的潛在風險是更容易被偷竊2001年7月17日，聯(lián)邦調(diào)查局一些不愿透露姓名的官員向媒體披露，聯(lián)邦調(diào)查局在過去的11～12年間已丟失了近200臺筆記本電腦和約450件武器PDA與其他設備的區(qū)別是筆輸入，同樣容易丟失多任務（Multitasking)多處理（Multiprocessing）多用戶（Multiusing）多線程（Multithreading）信息系統(tǒng)硬件－計算機硬件部件及架構信息系統(tǒng)應用模式的歷史演變大型機/終端（mainframe/terminal）模式客戶機/服務器（client/server）模式瀏覽器/服務器(browser/server)模式（即互聯(lián)網(wǎng)模式）字符終端1昂貴的圖形終端字符終端2…...串行線專用線串行線大型機/終端（mainframe/terminal）模式信息系統(tǒng)硬件－計算機硬件部件及架構客戶端/服務器（client/server）模式信息系統(tǒng)硬件－計算機硬件部件及架構…...MIS服務器客戶機客戶機客戶機五類線交換機OA服務器瀏覽器/服務器(browser/server)模式信息系統(tǒng)硬件－計算機硬件部件及架構…...五類線數(shù)據(jù)庫服務器瀏覽器瀏覽器瀏覽器防火墻交換機事務處理服務器路由器瀏覽器視頻服務器群件服務器信息系統(tǒng)硬件－計算機硬件部件及架構USB存儲卡(MemoryCard/FlashDrive)安全問題：拷貝數(shù)據(jù)不留痕跡，無需驗證數(shù)據(jù)權限丟失數(shù)據(jù)可引導的USB設備可繞過安全檢查并完全暴露系統(tǒng)例題129.Auniversalserialbus(USB)port:A.connectsthenetworkwithoutanetworkcard.B.connectsthenetworkwithanEthernetadapter.C.replacesallexistingconnections.D.connectsthemonitor.信息系統(tǒng)硬件－計算機硬件部件及架構例題（續(xù)）Thecorrectansweris:B.connectsthenetworkwithanEthernetadapter.Explanation:TheUSBportconnectsthenetworkwithouthavingtoinstallaseparatenetworkinterfacecardinsideacomputerbyusingaUSBEthernetadapter.信息系統(tǒng)硬件－計算機硬件部件及架構例題1.TheMOSTsignificantsecurityconcernwhenusingflashmemory(e.g.,USBremovabledisk)isthatthe:A.contentsarehighlyvolatile.B.datacannotbebackedup.C.datacanbecopied.D.devicemaynotbecompatiblewithotherperipherals.信息系統(tǒng)硬件－計算機硬件部件及架構例題（續(xù)）Thecorrectansweris:C.datacanbecopied.Explanation:Unlessproperlycontrolled,flashmemoryprovidesanavenueanyonetocopyanycontentwithease.Thecontentsstoredinflashmemoryarenotvolatile.Backingupflashmemorydataisnotacontrolconcern,asthedataaresometimesstoredasabackup.FlashmemorywillbeaccessedthroughaPCratherthananyotherperiphereal;therefore,compatibilityisnotanissue.信息系統(tǒng)硬件－計算機硬件部件及架構信息系統(tǒng)硬件－計算機硬件部件及架構無線射頻識別（RFID-RadioFrequencyIdentification）使用無線電波識別有限半徑范圍內(nèi)的標記的目標標記卡包含微處理器芯片和天線被動式和主動式信息系統(tǒng)硬件－計算機硬件部件及架構一次寫多次讀設備（WORM）CDCD-R、CD-RWDVDDVD-HD、Blu-Ray信息系統(tǒng)硬件－硬件維護對硬件進行日常清潔和保養(yǎng)以保證其正常運行審計時，IS審計師應確定已形成正式的維護計劃并得到管理層的批準識別超出預算或額外的開銷，這意味著沒有完全遵守維護程序或隨即的硬件變動進行及時的調(diào)查和后續(xù)行動信息系統(tǒng)硬件－硬件監(jiān)控程序可用性報告－系統(tǒng)工作正常的時間，過多的宕機時間意味著不充分的硬件設施、過度的操作系統(tǒng)維護、缺乏預防性維護、不充分的環(huán)境設施、不充分的操作員培訓硬件錯誤報告－標識出CPU、輸入輸出、電源和存儲故障利用率報告－系統(tǒng)自動形成的，記錄機器及外設的使用情況。85－95%之間為正常其他資產(chǎn)報告－網(wǎng)絡連接設備（如PC、服務器、路由器及其他設備）的清單信息系統(tǒng)硬件－容量管理容量計劃重點考慮CPU的利用計算機存儲的利用遠程通訊和廣域網(wǎng)帶寬的利用輸入和輸出通道的利用用戶的數(shù)量新的技術新的應用服務水平協(xié)議（SLAs）上述某一類別的特定資源會對其他類別的需求產(chǎn)生影響選擇將應用系統(tǒng)是統(tǒng)一安裝到很少的大型服務器上還是分布到多個小的服務器上信息系統(tǒng)硬件－容量管理CobiT4.1DS3容量和性能管理如果沒有建立一個周期性地檢查現(xiàn)有的IT資源的容量和性能的流程，可能無法有效管理IT資源的容量和性能，可能無法保證支持業(yè)務需求的信息資源的持續(xù)可用性DS3.1容量和性能計劃：建立一個檢查IT資源容量和性能的計劃流程，確保合理成本的容量和性能能夠有效處理由SLAs確定的、達成一致的工作量DS3.2當前容量和性能評估：評估當前的IT資源的容量和性能，確定是否存在足夠的容量和性能滿足SLAs的交付要求DS3.3容量和性能需求預測：定期進行IT資源容量和性能預測，把由于容量不足和性能退化引起服務中斷的風險降低到最低程度，同時為可能的重新部署識別額外的容量信息系統(tǒng)硬件－容量管理CobiT4.1DS3容量和性能管理（續(xù)）DS3.4容量和性能保障：考慮正常的工作量、突發(fā)事件、存儲需求和IT資源的生命周期等因素，提供所需的容量和性能。應預作好如下安排：任務優(yōu)先級、容錯機制、資源分配慣例。管理層應確保應急計劃恰當?shù)靥岢鰡为毜腎T資源的有效性、容量和性能DS3.5監(jiān)控和報告：持續(xù)地監(jiān)控IT資源的容量和性能。收集的數(shù)據(jù)應該為以下兩個目的服務：（1）維護和調(diào)整當前的IT性能和說明例如恢復能力、緊急事件、當前和計劃工作負荷、存儲計劃和資源獲得等等問題；（2）向業(yè)務部門報告SLAs所需的交付服務有效性，所有的例外報告和整改建議信息系統(tǒng)硬件－容量管理例題51.Capacitymonitoringsoftwareisusedtoensure:（KS7）A.maximumuseofavailablecapacity.B.thatfutureacquisitionsmeetuserneeds.C.concurrentusebyalargenumberofusers.D.continuityofefficientoperations.信息系統(tǒng)硬件－容量管理例題（續(xù)）Thecorrectansweris:D.continuityofefficientoperations.Explanation:Capacitymonitoringsoftwareshowstheactualusageofonlinesystemsvs.theirmaximumcapacity.Theaimistoenablesoftwaresupportstafftoensurethatefficientoperation,intheformofresponsetimes,ismaintainedintheeventthatusebeginstoapproachthemaximumavailablecapacity.Systemsshouldneverbeallowedtooperateatmaximumcapacity.Monitoringsoftwareisintendedtopreventthis.Althoughthesoftwarereportsmaybeusedtosupportabusinesscaseforfutureacquisitions,itwouldnotprovideinformationontheeffectofuserrequirementsanditwouldnotensureconcurrentusageofthesystembyusers,otherthantohighlightlevelsofuseraccess.提綱概述復習手冊知識點信息系統(tǒng)運營信息系統(tǒng)硬件信息系統(tǒng)架構和軟件信息系統(tǒng)網(wǎng)絡基礎設施基礎設施及運營的審計練習題講解提綱概述復習手冊知識點信息系統(tǒng)運營信息系統(tǒng)硬件信息系統(tǒng)架構和軟件信息系統(tǒng)網(wǎng)絡基礎設施基礎設施及運營的審計練習題講解信息系統(tǒng)架構和軟件系統(tǒng)軟件，具有高特權操作系統(tǒng)(OperatingSystem)訪問控制軟件(AccessControlSoftware)：第五章內(nèi)容數(shù)據(jù)通訊軟件(DataCommunicationSoftware)數(shù)據(jù)管理(DataManagement)數(shù)據(jù)庫管理系統(tǒng)(DatabaseManagementSystem)磁帶磁盤管理系統(tǒng)(TapeandDiskManagementSystem)工具軟件(UtilityProgram)軟件許可(SoftwareLicensingIssue)信息系統(tǒng)架構和軟件－操作系統(tǒng)操作系統(tǒng)是系統(tǒng)軟件中最重要的部件，是用戶、處理器和應用程序的接口IBMMVSUNIXLINUXWindowsMacOX信息系統(tǒng)架構和軟件－操作系統(tǒng)軟件控制特征或參數(shù)參數(shù)選擇應適應組織的工作負載和控制環(huán)境結構判斷一個操作系統(tǒng)的控制運行狀況的最有效手段是檢查其軟件控制特征或參數(shù)對操作系統(tǒng)不適當?shù)膶嵤┗虮O(jiān)控會導致隱藏的錯誤、數(shù)據(jù)毀壞，以及非授權的訪問和不準確的系統(tǒng)使用日志作用：數(shù)據(jù)管理、資源管理、作業(yè)管理、優(yōu)先級設置軟件的完整性(SoftwareIntegrityIssue)IBMMVS：對系統(tǒng)啟動時加載的關鍵選項進行控制UNIX/Linux：特殊的系統(tǒng)配置文件和目錄，應用最新的補丁Windows：注冊表是IS審計的一個重要方面信息系統(tǒng)架構和軟件－操作系統(tǒng)活動日志和報告(ActivityLoggingandReportingOption)生產(chǎn)處理所使用的數(shù)據(jù)文件版本對敏感數(shù)據(jù)的程序訪問調(diào)度并運行的程序工具軟件及服務的使用操作系統(tǒng)的操作，以保證系統(tǒng)未因?qū)ο到y(tǒng)參數(shù)和庫程序的不適當變更而危及系統(tǒng)的完整性數(shù)據(jù)庫訪問控制日志的保護維護證據(jù)的可驗證性使用WORM保存日志；存放在安全的地方例題85.Whichofthefollowingisanoperatingsystemaccesscontrolfunction?（KS6）A.LogginguseractivitiesB.LoggingdatacommunicationaccessactivitiesC.VerifyinguserauthorizationatthefieldlevelD.Changingdatafiles信息系統(tǒng)架構和軟件－操作系統(tǒng)例題（續(xù)）Thecorrectansweris:A.LogginguseractivitiesExplanation:Generaloperatingsystemaccesscontrolfunctionsincludeloguseractivities,logevents,etc.ChoiceBisanetworkcontrolfeature.ChoicesCandDaredatabase-and/orapplication-levelaccesscontrolfunctions.信息系統(tǒng)架構和軟件－操作系統(tǒng)信息系統(tǒng)架構和軟件－數(shù)據(jù)通訊軟件數(shù)據(jù)通訊軟件用于將消息或數(shù)據(jù)從某點傳送到另一點，主要特點是使用智能設備將字符或符號轉(zhuǎn)換成某種編碼格式EBCDIC（擴充的二-十進制交換碼）：由IBM開發(fā)，用8位表示256個字符ASCII（美國標準信息交換標準碼）：用7位或8位表示128個或256個字符Unicode（統(tǒng)一字符編碼標準）：用16位表示65000個字符電子資金轉(zhuǎn)賬系統(tǒng)（EFT）、辦公信息系統(tǒng)、電子數(shù)據(jù)交換（EDI）、電子郵件系統(tǒng)信息系統(tǒng)架構和軟件－數(shù)據(jù)管理操作系統(tǒng)的重要部件，用戶數(shù)據(jù)的定義、存儲、分享、處理順序：從文件開頭開始，記錄順序排列直至文件結尾索引順序：根據(jù)記錄中的某個數(shù)據(jù)相關的關鍵字進行邏輯上的順序排列直接隨機存取：可根據(jù)非數(shù)據(jù)相關的關鍵字（如記錄編號）對記錄進行單獨的尋址信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)數(shù)據(jù)庫管理系統(tǒng)（DBMS）：幫助應用程序組織、控制和使用數(shù)據(jù)的系統(tǒng)軟件功能減少數(shù)據(jù)冗余、縮短訪問時間建立對敏感數(shù)據(jù)的基本安全措施在以下級別控制用戶對數(shù)據(jù)的訪問用戶和數(shù)據(jù)庫程序和數(shù)據(jù)庫交易和數(shù)據(jù)程序和數(shù)據(jù)字段用戶和交易用戶和數(shù)據(jù)字段信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)DBMS體系結構：數(shù)據(jù)庫的數(shù)據(jù)體系結構是一個三級抽象的結構內(nèi)模式（又稱存儲模式）：是文件、索引和其他一些存儲結構的匯集。它定義了所有內(nèi)部記錄類型、索引、數(shù)據(jù)在存儲介質(zhì)上的安排等概念模式（又稱邏輯模式）：是對現(xiàn)實世界全局邏輯的抽象。它描述了全部數(shù)據(jù)的邏輯結構，包括數(shù)據(jù)之間的聯(lián)系、數(shù)據(jù)的約束和安全性要求等。外模式（又稱子模式）：是由概念模導出的局部數(shù)據(jù)邏輯，是單個用戶所要處理的數(shù)據(jù)集合。應用程序只接觸到外模式信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)數(shù)據(jù)字典(DD)/目錄系統(tǒng)(DS)用于存儲外部模式、概念模式和內(nèi)部模式及相關映射的數(shù)據(jù)定義。數(shù)據(jù)字典包含數(shù)據(jù)庫中所有存儲數(shù)據(jù)項的索引和描述，目錄則指出數(shù)據(jù)的存放位置和訪問方法功能允許DBA創(chuàng)建或修改外部模式和概念模式之間的映射引入完整性控制規(guī)則保護非授權訪問提供對數(shù)據(jù)定義查詢工具優(yōu)勢：增強文檔編制、提供公共的合法性準則、減少程序設計時的數(shù)據(jù)定義需求、規(guī)范程序設計方法信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)數(shù)據(jù)庫結構(DatabaseStructure)用模型的概念描述數(shù)據(jù)庫的結構與語義，對現(xiàn)實世界進行抽象三種常用的數(shù)據(jù)庫模型：層次、網(wǎng)狀和關系前兩種主要在1990年以前使用，大部分為關系型數(shù)據(jù)庫所取代信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)層次型數(shù)據(jù)庫(Hierarchicaldatabasemodel)以“父－子”關系組織數(shù)據(jù)，數(shù)據(jù)的實現(xiàn)、修改和搜索方便，但難以表示孩子和多個父親相關時的情況，會導致數(shù)據(jù)冗余用邏輯樹來表示記錄之間的1:N關系，每個父節(jié)點可以有多個子節(jié)點，但每個子節(jié)點只能有一個父節(jié)點公司部門A部門C部門

B項目

1項目2根節(jié)點父節(jié)點子節(jié)點信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)網(wǎng)狀型數(shù)據(jù)庫(Networkdatabasemodel)基本的數(shù)據(jù)模型構造是集合，允許豐在多屬主關系缺點是結構過于復雜，理解、修改或重構均很困難與層次型區(qū)別：層次數(shù)據(jù)庫的數(shù)據(jù)元素只能與其子元素進行鏈接，而網(wǎng)狀數(shù)據(jù)庫則可以與任何元素進行鏈接層次和網(wǎng)狀均不支持高級查詢公司

B公司

A公司

C項目2項目1項目

3項目

4項目

5部門

1部門

2信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)關系型數(shù)據(jù)庫(Relationaldatabasemodel)基于集合理論和關系運算的數(shù)據(jù)模型允許定義數(shù)據(jù)結構、存儲/檢索操作和完整性約束數(shù)據(jù)及其關系用各種表來表示，表是行的集合（元組），表中的每個元組包含相同的列（屬性）特性值是原子的每一行是唯一的列的值具有相同類型行、列順序是不重要的每列有唯一的名稱信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)優(yōu)勢（容易）用戶理解和實現(xiàn)物理數(shù)據(jù)庫系統(tǒng)從其他數(shù)據(jù)庫結構轉(zhuǎn)換成關系結構實現(xiàn)投影和連接操作為應用建立新的關系對敏感數(shù)據(jù)實施訪問控制修改數(shù)據(jù)庫部門C部門

B部門A部門職能部門地址部門經(jīng)理部門部門

B

6部門

B

5工資部門

B

3部門

C

4部門

C

7部門

A

2部門

A

1部門職務雇員姓名雇員編號公司部門表

公司雇員表信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)保證數(shù)據(jù)庫的完整性和可用性(DatabaseControl)建立和強制執(zhí)行定義標準建立并執(zhí)行數(shù)據(jù)庫備份和恢復程序以確保數(shù)據(jù)庫的可用性為數(shù)據(jù)項、表和文件建立不同層次的訪問控制，防止無意的或非授權的訪問建立控制以保證只有授權用戶能夠修改數(shù)據(jù)庫建立控制以處理并發(fā)訪問問題，如多個用戶同時修改數(shù)據(jù)庫建立控制以保證數(shù)據(jù)庫中各數(shù)據(jù)元素及其相互關系的準確、完整和一致，應將這些控制直接附加到表/列定義上，使得對任何操作數(shù)據(jù)庫的上層工具/應用都起作用在作業(yè)流的結合點上設置檢查點，盡量減少故障恢復時重復的工作量執(zhí)行數(shù)據(jù)庫重組以減少無效的磁盤空間并驗證數(shù)據(jù)間的關系信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)保證數(shù)據(jù)庫的完整性和可用性（續(xù)）在對數(shù)據(jù)庫進行邏輯的、物理的或過程的改動時，應遵循相應的重構流程利用數(shù)據(jù)庫性能監(jiān)控工具來監(jiān)控和維護數(shù)據(jù)庫的效率（有效的存儲空間、緩沖區(qū)大小、CPU利用率、磁盤存儲配置和死鎖條件等）盡量不使用能繞過安全控制的非系統(tǒng)工具訪問數(shù)據(jù)庫信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)例題105.Theobjectiveofconcurrencycontrolinadatabasesystemisto:（KS5）A.restrictupdatingofthedatabasetoauthorizedusers.B.preventintegrityproblems,whentwoprocessesattempttoupdatethesamedataatthesametime.C.preventinadvertentorunauthorizeddisclosureofdatainthedatabase.D.ensuretheaccuracy,completenessandconsistencyofdata.信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)例題（續(xù)）Thecorrectansweris:B.preventintegrityproblems,whentwoprocessesattempttoupdatethesamedataatthesametime.Explanation:Concurrencycontrolspreventdataintegrityproblems,whichcanarisewhentwoupdateprocessesaccessthesamedataitematthesametime.Accesscontrolsrestrictupdatingofthedatabasetoauthorizedusersandcontrols,suchaspasswords,preventtheinadvertentorunauthorizeddisclosureofdatafromthedatabase.Qualitycontrols,suchasedits,ensuretheaccuracy,completenessandconsistencyofdatamaintainedinthedatabase.信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)例題108.Toevaluatethereferentialintegrityofadatabase,anISauditorshouldreviewthe:（KS5）A.compositekeys.B.indexedfields.C.physicalschema.D.foreignkeys.信息系統(tǒng)架構和軟件－數(shù)據(jù)庫管理系統(tǒng)例題（續(xù)）Thecorrectansweris:D.foreignkeys.Explanation:Aforeignkeyisacolumninatablethatreferencesaprimarykeyofanothertable,thusprovidingthereferentialintegrity.Compositekeysconsistoftwoormorecolumnsdesignatedtogetherasatable'sprimarykey.Fieldindexingspeedsupsearches,butdoesnotensurereferentialintegrity.Referentialintegrityisrelatedtothelogicalschema,notthephysicalschema.信息系統(tǒng)架構和軟件－磁帶磁盤管理系統(tǒng)自動化磁帶管理系統(tǒng)（TMS）/磁盤管理系統(tǒng)（DMS）特殊的系統(tǒng)軟件，用來追蹤和列表顯示數(shù)據(jù)中心所需的磁帶/磁盤資源，包含數(shù)據(jù)集的名稱、磁帶卷/磁盤驅(qū)動器的位置、建立日期、有效日期、保存周期、失效日期及內(nèi)容等信息節(jié)省操作員時間減少錯誤提高空間利用率提供訪問控制信息系統(tǒng)架構和軟件－工具軟件經(jīng)常使用的維護性和常規(guī)性系統(tǒng)軟件理解應用系統(tǒng)（流程圖軟件、交易路徑分析器、數(shù)據(jù)字典）評估和測試數(shù)據(jù)質(zhì)量（數(shù)據(jù)操作工具軟件、數(shù)據(jù)比較工具、查詢工具）測試程序正確性和維護數(shù)據(jù)的完整性（測試數(shù)據(jù)生成器、聯(lián)機調(diào)試工具、輸出分析器和網(wǎng)絡仿真器）加快程序開發(fā)（虛擬顯示工具、庫拷貝、文本編輯器、聯(lián)機編碼工具、報告生成器、代碼生成器）改善運行效率（CPU和內(nèi)存利用監(jiān)控器、通訊線路分析器）許多工具軟件可繞過安全控制系統(tǒng)或不產(chǎn)生任何審計記錄，應進行嚴格控制使用信息系統(tǒng)架構和軟件－軟件許可預防侵犯許可的措施對軟件安裝的集中控制和自動分發(fā)（取消用戶安裝軟件的能力）要求所有的PC機均是無盤工作站，并只通過安全LAN訪問應用在LAN中安裝計量軟件，并要求所有PC機通過該軟件訪問應用定期掃描PC機，確保沒有安裝非授權的軟件拷貝為預防或檢測對軟件版權的侵犯，IS審計師應該審查用于防范非授權使用和拷貝軟件的策略和程序文件或協(xié)議審查所有標準的、已用的和許可的應用及系統(tǒng)軟件列表，將該列表與網(wǎng)絡內(nèi)各服務器中所安裝的軟件相比較提綱概述復習手冊知識點信息系統(tǒng)運營信息系統(tǒng)硬件信息系統(tǒng)架構和軟件信息系統(tǒng)網(wǎng)絡基礎設施基礎設施及運營的審計練習題講解提綱概述復習手冊知識點信息系統(tǒng)運營信息系統(tǒng)硬件信息系統(tǒng)架構和軟件信息系統(tǒng)網(wǎng)絡基礎設施基礎設施及運營的審計練習題講解信息系統(tǒng)網(wǎng)絡基礎設施源于信息資源的分享網(wǎng)絡類型(TypesofNetwork)網(wǎng)絡服務(NetworkService)網(wǎng)絡標準和協(xié)議(NetworkStandardandProtocol)OSI體系結構(OSIArchitecture)OSI模型在網(wǎng)絡體系結構中的應用（ApplicationoftheOSIModelinNetworkArchitecture）信息系統(tǒng)網(wǎng)絡基礎設施－網(wǎng)絡類型個人網(wǎng)（PAN）有線：USB、火線無線：紅外、藍牙半徑10米信息系統(tǒng)網(wǎng)絡基礎設施－網(wǎng)絡類型局域網(wǎng)（LAN）在受限區(qū)域內(nèi)為組織提供服務的非公共交換網(wǎng)絡，包括文件傳輸、電子郵件、打印機共享、終端仿真和通訊信息系統(tǒng)網(wǎng)絡基礎設施－網(wǎng)絡類型廣域網(wǎng)（WAN）地理上分散的網(wǎng)絡，為局域網(wǎng)或其他網(wǎng)絡提供互聯(lián)服務信息系統(tǒng)網(wǎng)絡基礎設施－網(wǎng)絡類型存儲區(qū)域網(wǎng)（SAN）局域網(wǎng)的變種，專門用于高速連接存儲設備和服務器的網(wǎng)絡，集中處理數(shù)據(jù)的存儲和管理例題14.Duringtherequirementsdefinitionphaseforadatabaseapplication,performanceislistedasatoppriority.ToaccesstheDBMSfiles,whichofthefollowingtechnologiesshouldberecommendforoptimalI/Operformance?（KS5）A.Storageareanetwork(SAN)B.NetworkAttachedStorage(NAS)C.Networkfilesystem(NFSv2)D.CommonInternetFileSystem(CIFS)信息系統(tǒng)網(wǎng)絡基礎設施－網(wǎng)絡類型例題（續(xù)）Thecorrectansweris:A.Storageareanetwork(SAN)Explanation:Incontrasttotheotheroptions,inaSANcomprisedofcomputers,FCswitches（光纖通道交換機）orroutersandstoragedevices,thereisnocomputersystemhostingandexportingitsmountedfilesystemforremoteaccess,asidefromspecialfilesystems.AccesstoinformationstoredonthestoragedevicesinaSANiscomparabletodirectattachedstorage,whichmeansthateachblockofdataonadiskcanbeaddresseddirectly,sincethevolumesofthestoragedevicearehandledasthoughtheyarelocal,thusprovidingoptimalperformance.Theotheroptionsdescribetechnologiesinwhichacomputer(orappliance)sharesitsinformationwithothersystems.Toaccesstheinformation,thecompletefilehastoberead.信息系統(tǒng)網(wǎng)絡基礎設施－網(wǎng)絡類型信息系統(tǒng)網(wǎng)絡基礎設施－網(wǎng)絡類型網(wǎng)絡服務(NetworkService)文件共享(Filesharing)電子郵件服務(E-mailservice)打印服務(Printservice)遠程訪問服務(Remoteaccessservie)終端仿真軟件（TES）目錄服務(Directoryservice)網(wǎng)絡管理(Networkmanagement)信息系統(tǒng)網(wǎng)絡基礎設施－網(wǎng)絡標準和協(xié)議OSI參考模型：概念模型，而不是實際的通訊模型物理層（PH）－確定物理設備接口，提供點－點的比特流傳輸?shù)奈锢礞溌罚ㄏ喈斢卩]局中的搬運工人）數(shù)據(jù)鏈路層（DL）－利用差錯處理技術，提供高可靠傳輸?shù)臄?shù)據(jù)鏈路，錯誤檢測和糾正（相當于郵局中的裝拆箱工人）網(wǎng)絡層（N）－利用路由技術，實現(xiàn)用戶數(shù)據(jù)的端－端傳輸，負責數(shù)據(jù)包在網(wǎng)絡中的尋址和傳遞（相當于郵局中的排序工人）傳輸層（T）－提供兩個端點間可靠和透明的數(shù)據(jù)傳輸、錯誤檢測和流量控制，數(shù)據(jù)包的排序（相當于公司中跑郵局的送信職員）會話層（S）－提供控制會話和數(shù)據(jù)傳輸?shù)氖侄危ㄏ喈斢诠局惺占男拧懶欧馀c拆信封的秘書）表示層（P）－執(zhí)行數(shù)據(jù)轉(zhuǎn)換，提供信息的表示，如加密、文本壓縮、編碼、轉(zhuǎn)碼（相當于公司中簡報老板、替老板寫信的助理）應用層（A）－利用下層的服務，滿足具體的應用要求（老板）

信息系統(tǒng)網(wǎng)絡基礎設施－網(wǎng)絡標準和協(xié)議信息系統(tǒng)網(wǎng)絡基礎設施－OSI體系結構例題41.CongestioncontrolisBESThandledbywhichOSIlayer?（KS4）A.DatalinklayerB.SessionlayerC.TransportlayerD.Networklayer信息系統(tǒng)網(wǎng)絡基礎設施－網(wǎng)絡標準和協(xié)議例題（續(xù)）Thecorrectansweris:C.TransportlayerExplanation:Thetransportlayerisresponsibleforreliabledatadelivery.Thislayerimplementsaflowcontrolmechanismthatcandetectcongestion,reducedatatransmissionratesandincreasetransmissionrateswhenthenetworkappearstonolongerbecongested(e.g.,TCPflowcontrols).Thenetworklayer