cia第三部分信息技术知识点整理.docx

cia第三部分信息技术知识点整理.docx

《cia第三部分信息技术知识点整理.docx》由会员分享，可在线阅读，更多相关《cia第三部分信息技术知识点整理.docx（10页珍藏版）》请在冰豆网上搜索。

cia第三部分信息技术知识点整理

三-E信息技术知识点归纳

从控制角度来看信息系统构成：

1.普通控制：

管理控制/系统实行控制/运营控制/软件控制/硬件控制/物理访问控制/逻辑访问控制

2.应用控制：

输入控制/解决控制/输出控制

3.保障控制：

劫难恢复与应急筹划/环境控制/设备来源控制

1.信息系统战略、政策和过程

1.1信息系统战略性应用目的：

战略、政策、过程：

通过应用信息系统，达到改进组织目的、经营和服务或组织与环境关系，从而协助组织改进与客户关系，获得竞争优势。

战略性应用系统渗入于业务层、公司层及行业层面。

1.2信息系统应用推动组织构造变革：

自动化/流程合理话/业务流程再造/异化。

1.3信息系统应用模式演变：

主机/终端模式——客户机/服务器模式——浏览器/服务器模式

与信息应用模式有关问题：

降型化/开放系统/遗产系统。

1.4信息系统功能分类：

✓作业层（事物解决系统TPS）：

基本交易活动，常规问题

✓知识层（知识工作系统KWS/办公自动户化系统OAS）：

知识员工、数据员工

✓管理层（管理信息系统MIS/决策支持DSS）：

中层经理，行政事务

✓战略层（高档经理支持系统ESS）：

高层经理，战略问题

1.5信息系统部门职责

系统开发小组（系统分析员是联系桥梁、设计、编程、测试）——系统运营小组（保证正常运营/协助平台、征询）。

1.6信息系统安全主管责任

信息系统高层管理人员职责：

评估风险/控制成本/制定风险控制目的与办法

信息安全主管职责：

制定安全政策/评价安全控制/检测调查不成功访问企图/监督特权顾客访问，保证用途。

1.7新兴技术——人工智能：

✓专家系统（商品赊销审批、医疗专家系统）：

通过获取人类专家在某一领域经验和知识，运用推理模型来给出建议。

专家系统可以使客户服务工作更容易进行。

✓神经网络（超音速飞机控制系统、电力系统负荷预测）：

在被人类告知其决策错误及答案后，能修改期知识库。

✓模糊逻辑（人像辨认系统）：

解决模糊数据。

✓遗传算法（煤气管道控制、机器人控制）：

不断完善对特定问题解决方案。

✓智能代理（互联网搜索引擎、电子邮件过滤器）：

解决特定、重复、可预见问题，内设知识库。

1.8第三方服务机构角色

✓设备管理机构（服务）——按顾客规定运营、维护数据解决

✓计算机租赁公司（设备）——只提供设备

✓服务局（服务加设备）——管理运营自己数据解决设备，顾客只需求提供数据，依照服务成果付费

✓共享服务商（服务加设备）——管理运营自己数据解决设备、使各类组织可以使用她们系统

2.硬件、平台、网络与远程通讯

2.1各种计算机媒体：

✓磁带（容量大、价格低顺序存储

✓磁带库（容纳多盘磁带、机械臂抓取）

✓软盘（直接存取、便于携带）

✓硬盘（直接存取、速度快、容量大）

✓便宜冗余磁盘阵列/便宜光盘重复排列（重构数据、容错能力强）

✓CD-ROM（保存数字文献容量大、便宜、不能写入）

✓光盘库（容纳各种光盘）

✓一次写多次读光盘（WORM合用不须更新、记录内容）。

2.2计算机类型：

个人计算机/工作站/网络计算机。

2.3各类计算机外部设备：

不间断电源/光学字符辨认/打印机/扫描仪/绘图仪/条码阅读器。

2.4外部接口：

串口/并口/USB口。

2.5操作系统：

分派、调度、监视系统资源，保证雇员只对被授权数据进行读写访问DOA/UNIX/VMS。

2.6监视器：

辨别硬件瓶颈和软件设计问题/调节运营负荷/发现网络反映时间恶化状况。

2.7图形化顾客接口：

用鼠标点击图形来输入命令如WINDOWS。

2.8大型计算机使用：

影响大型计算机运营速度因素有：

✓应用软件是设计效率

✓数据库管理软件效率

✓数据构造网络容量及传播速度

✓系统负荷

✓存储器容量

✓安全检查及备份频率

✓软件初始化选取对的性。

2.9个人计算机与大型计算机接口：

通过局域网连接、口令登陆

✓终端仿真风险：

✓雇员运用微机谋取私利

✓备份不充分

✓拷贝供个人使用

✓保存登录序列文献

✓任何能访问PC机人员都可以访问主机。

2.10计算机网络分类：

广域网（覆盖广、速度慢）/局域网（范畴小、速度快）/城域网（都市内部高速网）

✓广域网：

专用网络/虚拟专用网/公用互换网络/增值网

✓局域网：

总线网/星型网/环型网或者分为：

基于服务器网络/对等网。

2.11网络连接设备：

网卡/调制解调器/中绩器/集线器/网桥/网关/路由器。

2.12因特网：

资源无限

缺陷：

难以定位最佳资源

功能：

网络浏览器WEB/电子邮件EMAIL/远程登录TELNET/专项论坛USENET/电子公示牌BBS/其她。

2.13数据传播模式：

✓异步传播（运用额外启动位与停止位同步数据传播/慢，有间隔）

✓同步传播（同步时钟同步数据传播，快、可持续传播）

各种基本通信网络：

公用电话互换网（拨号上网）/DDN数字数据网络/桢中继（降局域网和其她局域网连接，使不很敏感数据传递）/综合服务数字网ISDN/非对称数字环线ADSL。

3.数据解决

3.1个人计算机软件：

字解决软件/电子表格/图象解决软件/财务管理/管理软件/光学字符辨认软件。

3.2程序执行方式：

直接执行：

语言程序（编译）——目的代码（连接）——可执行代码（执行）——程序运营

解释执行：

语言程序（由解释程序转换二进制玛）——程序运营。

3.3语言类型：

机器语言/汇编语言/过程化语言/非过程化语言。

3.4文献类型：

直接存取文献/顺序文献/索引文献主文献与事务文献/平面文献。

3.5数据解决方式：

批解决/在线解决

集中解决/分散解决/分布解决。

3.6惯用计算机审计技术：

✓测试数据（检查信息系统与否正常）

✓平行模仿（模仿系统与真实系统比较成果）

✓继承集成测试（虚构测试数据与真实数据一起解决，缺陷：

测试数据也许进入委托人真实数据环境）

✓嵌入审计模块（持续监督）

✓其她技术（电脑化帐务解决系统自动平帐）。

3.7数据库类型：

层次性数据库；网状型数据库；关系型数据库

关系型数据库操作：

✓选取（条件选取出记录子集）

✓连接（按某个共同数据元素结合各种关系型数据库

✓映射（将数据库中某些字段构成新子表）修改

✓锁定/死锁）。

3.8数据库管理系统构成

✓数据定义语言：

描述数据库内容与构造语言（建立数据库表构造）

✓数据操纵语言：

修改、操作、插入、查询（提取数据命令）

✓数据字典：

对数据构造定义。

3.9分布式数据库在各接点分布办法：

快照/复制/分割

数据组织与查询：

✓构造化查询语言（不会对数据库产生风险）

✓管理查询设施（用于趋势图、制作图表，无法检查数据有效性，可提供在线信息）

✓逻辑视图（从一种或各种数据库表中生成新数据构造，直观）

✓数据挖掘（分析，发现隐藏在数据后规律）。

3.10电子资金转帐系统（EFT）

风险：

✓未经允许进入和操作

✓对交易重复解决

✓缺少备份和恢复能力

✓XX访问和交易活动风险最大

优势：

✓交易解决成本比手工低

✓改进与贸易伙伴业务关系

✓减少数据错误

✓提高工作效率

EDI（电子数据互换）

✓实行第一步：

画出未实现组织目的所开展经营活动流程图

✓目的：

改进业务关系，提高竞争力

✓EDI风险：

✧数据完整性丧失和随意存取数据是EDI固有风险

✧数据传播也许在传播起点、半途和重点被拦截或修改——数字签名技术

✧数据互换过程中漏掉、错序或重复——给EDI文献顺序编号

✧向交易伙伴传播交易信息有时不成功——通过对方反馈来确认

4.系统开发获得和维护

4.1系统开发办法：

✓系统开发生命周期法（系统、规范、严密）

✓（迅速）原型法（不断修改直至满意，缺陷，不系统，不正规）

✓面向对象开发办法（依照需求）

4.2系统开发重要活动：

系统分析——系统设计——系统编程——测试——转换——系统维护

✓系统分析：

✧要解决问题分析

✧顾客分析和系统可行性分析

✧系统分析员是信息系统和其她业务部门联系桥梁

✓系统设计：

✧逻辑设计

✧物理设计

✓系统编程：

✧将设计规格书转化成计算机软件代码过程

✓测试：

✧模块测试

✧系统测试

✧验收测试

✓转换：

✧平行转换

✧直接转换

✧试点转换

✧分阶段转换

在软件需求与设计阶段审计师关注点：

✓需求阶段安全需求与否完备，能否保证信息系统机密、完整、可用，与否有足够审计踪迹

✓审计设计阶段检查安全需求与否有足够控制已集成到系统定义和测试筹划中，持续性在线审计功能与否集成到系统中

✓在系统设计阶段基线上与否建立变动控制

✓检查有关文档与否齐全

4.3内部审计师对信息系统开发参加

参加方式：

持续参加开发/在系统开发结束时参加/在系统实行后参加

持续参加好处：

最大限度地减少系统重新设计成本

4.4系统维护与变动控制：

✓程序变动控制：

✧经管理层批准

✧经全面测试并保存文档

✧必要留下何人、何时、何事线索

✓修改软件风险：

✧使用未经审查、测试修改软件，使被解决信息可靠性削弱

4.5最后顾客开发风险

✓系统分析功能被忽视

✓难集成

✓系统内产生专用信息系统

✓缺少原则和文档，使用和维护都依赖开发者

✓缺少监督，失去数据一致性

4.6减少最后顾客开发风险：

✓成立信息中心

✓集中系统开发专家对顾客进行培训

✓提个开发工具与指引，协助建立质量原则

✓信息中心直接参加系统分析与设计

✓对终端顾客开发审计（拟定终端顾客开发程序——相应用程序进行风险排序——对控制状况进行文献解决与测试）

4.7软件允许问题：

✓使用盗版软件危害（违法/易感染病毒）

✓防止使用非法软件办法（建立制度/版权法教诲/定期鉴别/保存购买软件原始记录/专人保管安装盘）

✓非法软件发现（比较采购记录与可执行文献/比较序列号）

5.信息系统安全

5.1常用袭击手段：

黑客/阻塞/窃听/重演/诈骗/中断/病毒

5.2不同层次信息系统安全控制：

普通控制/应用控制

普通控制：

✓管理控制：

制定政策与程序/目的：

职责分离

✓系统实行控制：

开发实行过程中建立控制点编制文档（各个环节）

✓运营控制：

数据存储、运营规范化规定，例如在对不需要文献要在授权条件下及时删除，管理系统操作、性能监测、系统备份、审计日记

✓软件控制：

未经允许不得修改、在独立计算机上测试所有要进入生产环境软件

✓硬件控制：

保证正常运营：

回拨检测、奇偶校验

✓访问控制（重点）：

标记/口令/授权/访问日记/自动注销登录/回拨/对工具软件限制

✓物理设备控制：

防止对物理设备非授权接触控制

普通控制更为基本，影响应用控制

CIA在审查一种应用系统应用控制时应一方面确认该系统已经建立完善普通控制。

5.3访问控制类型：

✓标记（唯一拟定顾客身份）

✓口令（弱控制）

✓授权（建立访问控制表防止XX访问修改敏感信息，知必所需）

✓访问日记（检测性控制办法）

✓回拨（保护信息按指定途径传送）

✓自动注销登录（防止通过无人照管终端来访问主机敏感信息）

✓对工具软件限制

5.4加密和解密——算法和密钥——加密密钥和解密密钥——公钥和私钥——数字证书——数字签名——认证中心

✓对称密码体制，DES

✓非对称密码体制，RSA

5.5电子邮件安全控制：

✓禁止用EMAIL发送高度敏感或机密信息

✓加密

✓限使用数量

✓工作终端商用电子邮件保存备查

✓保密性电邮不能储存在邮件服务器中

✓离职雇员电邮应当保存备查

✓在安全限度不同地点有几种人同对负责管理电邮安全性

✓归档和分级管理。

电子邮件不也许比它赖以运营计算机环境更安全。

5.6防火墙：

数据包过滤型/应用网关型

5.7应用软件控制：

✓输入控制（输入授权、数据转换、编辑检查）

✓解决控制（运营总数、计算机匹配、并发控制）、输出控制

✓输出控制（平衡总数、复核日记、审核报告、审核制度文献）

5.8计算机物理安全：

✓保证传播线路安全以防止非法访问网络

✓尽量不要暴露数据中心位置以防止恐怖分子袭击

✓不间断电源可以在停电时维持电脑系统运营

✓防火防潮

✓生物记录访问系统

✓计算机附近铁路公路风险评价

5.9应急筹划：

✓故障弱化保护

✓劫难恢复筹划——第一步风险分析，另一方面才识方略、文档、筹划执行测试等

✓劫难恢复筹划一种重要构成某些是备份和重新启动程序

✓当组织构造和运营发生变化时，劫难恢复筹划必要随之变化以保证恢复筹划及时有效

✓防止系统故障和重大劫难时数据保存手段——数据异地备份

✓防止系统故障和重大劫难时信息设施恢复手段——信息设施异地冗余