CIA考試輔導(dǎo)：從控制角度來看信息系統(tǒng)構(gòu)成

1、CIA考試輔導(dǎo)：從控制角度來看信息系統(tǒng)構(gòu)成2、應(yīng)用掌握：輸入掌握/處理掌握/輸出掌握3、保障掌握：災(zāi)難恢復(fù)與應(yīng)急打算/環(huán)境掌握/設(shè)備來源掌握1、信息系統(tǒng)的戰(zhàn)略、政策和過程1.1信息系統(tǒng)的戰(zhàn)略性應(yīng)用目標(biāo)：戰(zhàn)略、政策、過程：通過應(yīng)用信息系統(tǒng)，到達(dá)改良組織的目標(biāo)、經(jīng)營和效勞或組織與環(huán)境的關(guān)系，從而幫忙組織改善與客戶的關(guān)系，取得競爭優(yōu)勢。戰(zhàn)略性的應(yīng)用系統(tǒng)滲透于業(yè)務(wù)層、企業(yè)層及行業(yè)層面1.2信息系統(tǒng)的應(yīng)用推動(dòng)組織構(gòu)造變革：自動(dòng)化/流程合理話/業(yè)務(wù)流程再造/異化1.3信息系統(tǒng)應(yīng)用模式的演化：主機(jī)/終端模式一一客戶機(jī)/效勞器模式一一掃瞄器/效勞器模式與信息應(yīng)用模式相關(guān)的問題：降型化/開放系統(tǒng)/遺產(chǎn)系統(tǒng)1.4

2、信息系統(tǒng)的功能分類：作業(yè)層事物處理系統(tǒng)TPS 學(xué)問層學(xué)問工作系統(tǒng)KWS/辦公自動(dòng)戶化系統(tǒng)OAS 治理層治理信息系統(tǒng)MIS/決策支持DSS 戰(zhàn)略層高級(jí)經(jīng)理支持系統(tǒng)ESS1.5信息系統(tǒng)部門的職責(zé)系統(tǒng)開發(fā)小組系統(tǒng)分析員是聯(lián)絡(luò)的橋梁、設(shè)計(jì)、編程、測試一一系統(tǒng)運(yùn)行小組確保正常運(yùn)行/幫忙平臺(tái)、詢問1.6信息系統(tǒng)安全主管的責(zé)任信息系統(tǒng)高層治理人員的職責(zé)：評(píng)估風(fēng)險(xiǎn)/掌握本錢/制定風(fēng)險(xiǎn)掌握目標(biāo)與措施信息安全主管的職責(zé)：制定安全政策/評(píng)價(jià)安全掌握/檢測調(diào)查不勝利的訪問企圖/監(jiān)視特權(quán)用戶的訪問1.7新興技術(shù)人工智能：專家系統(tǒng)商品賒銷的審批、醫(yī)療專家系統(tǒng)/神經(jīng)網(wǎng)絡(luò)超音速飛機(jī)的掌握系統(tǒng)、電力系統(tǒng)負(fù)荷猜測/模糊規(guī)律人像識(shí)

3、別系統(tǒng)/遺傳算法煤氣管道掌握、機(jī)器人掌握/智能代理互聯(lián)網(wǎng)搜尋引擎、電子郵件過濾器1.8第三方效勞機(jī)構(gòu)的角色設(shè)備治理機(jī)構(gòu)按用戶要求運(yùn)行、維護(hù)數(shù)據(jù)處理一一計(jì)算機(jī)租賃公司只供應(yīng)設(shè)備一一效勞局治理運(yùn)行自己的數(shù)據(jù)處理設(shè)備，用戶只需求供應(yīng)數(shù)據(jù)，依據(jù)效勞結(jié)果付費(fèi)一一共享效勞商治理運(yùn)營自己的數(shù)據(jù)處理設(shè)備、使各類組織可以使用他們的系統(tǒng)2、硬件、平臺(tái)、網(wǎng)絡(luò)與遠(yuǎn)程通訊2.1各種計(jì)算機(jī)媒體：磁帶容量大、價(jià)格低挨次存儲(chǔ)、磁帶庫容納多盤磁帶、機(jī)械臂抓取、軟盤直接存取、便于攜帶、硬盤直接存取、速度快、容量大、廉價(jià)冗余磁盤陣列/廉價(jià)光盤重復(fù)排列重構(gòu)數(shù)據(jù)、容錯(cuò)力量強(qiáng)、CD-ROM 保存數(shù)字文件容量大、廉價(jià)、不能寫入、光盤庫容納

4、多個(gè)光盤、一次寫屢次讀光盤WORM適用不須更新、記錄內(nèi)容2.2計(jì)算機(jī)類型：個(gè)人計(jì)算機(jī)/工作站/網(wǎng)絡(luò)計(jì)算機(jī)2.3各類計(jì)算機(jī)外部設(shè)備：不連續(xù)電源/光學(xué)字符識(shí)別/打印機(jī)/掃描儀/繪圖儀/條碼閱讀器2.4外部接口 ：串口/并口/USB 口2.5操作系統(tǒng)：安排、調(diào)度、監(jiān)視系統(tǒng)資源，保證雇員只對(duì)被授權(quán)的數(shù)據(jù)進(jìn)展讀寫訪問DOA/UNIX/VMS2.6監(jiān)視器：區(qū)分硬件的瓶頸和軟件設(shè)計(jì)問題/調(diào)整運(yùn)行負(fù)荷/發(fā)覺網(wǎng)絡(luò)反響時(shí)間惡化狀況2.7圖形化用戶接口：用鼠標(biāo)點(diǎn)擊圖形來輸入命令如WINDOWS2.8大型計(jì)算機(jī)的使用：影響大型計(jì)算機(jī)運(yùn)行速度的因素有：應(yīng)用軟件的是設(shè)計(jì)效率/數(shù)據(jù)庫治理軟件的效率/數(shù)據(jù)的構(gòu)造網(wǎng)絡(luò)容量及傳輸

5、速度/系統(tǒng)負(fù)荷/存儲(chǔ)器容量/安全檢查及備份的頻率/軟件初始化選擇的正確性2.9個(gè)人計(jì)算機(jī)與大型計(jì)算機(jī)的接口：通過局域網(wǎng)連接、口令登陸終端仿真的風(fēng)險(xiǎn)：雇員利用微機(jī)謀取私利/備份不充分/拷貝供個(gè)人使用/保存登錄序列的文獻(xiàn)/任何能訪問PC機(jī)的人員都可以訪問主機(jī)。2.10計(jì)算機(jī)網(wǎng)絡(luò)的分類：廣域網(wǎng)掩蓋廣、速度慢/局域網(wǎng)范圍小、速度快/城域網(wǎng)城市內(nèi)部高速網(wǎng)廣域網(wǎng)：專用網(wǎng)絡(luò)/虛擬專用網(wǎng)/公用交換網(wǎng)絡(luò)/增值網(wǎng)局域網(wǎng)：總線網(wǎng)/星型網(wǎng)/環(huán)型網(wǎng)或者分為：基于效勞器的網(wǎng)絡(luò)/對(duì)等網(wǎng)2.11網(wǎng)絡(luò)連接設(shè)備：網(wǎng)卡/調(diào)制解調(diào)器/中績器/集線器/網(wǎng)橋/網(wǎng)關(guān)/路由器2.12因特網(wǎng)：資源無限，缺點(diǎn)：難以定位的資源功能：網(wǎng)絡(luò)掃瞄器WE

6、B/電子郵件EMAIL/遠(yuǎn)程登錄TELNET/專題論壇USENET/電子公告牌BBS/其他2.13數(shù)據(jù)傳輸模式：異步傳輸利用額外的啟動(dòng)位與停頓位同步數(shù)據(jù)傳輸/慢，有間隔/同步傳輸同步時(shí)鐘同步數(shù)據(jù)傳輸，快、可連續(xù)傳輸各種根底通信網(wǎng)絡(luò)：公用 交換網(wǎng)撥號(hào)上網(wǎng)/DDN數(shù)字?jǐn)?shù)據(jù)網(wǎng)絡(luò)/楨中繼降局域網(wǎng)和其他局域網(wǎng)連接，使不很敏感的數(shù)據(jù)傳遞/綜合效勞數(shù)字網(wǎng)ISDN/非對(duì)稱數(shù)字環(huán)線ADSL3、數(shù)據(jù)處理3.1個(gè)人計(jì)算機(jī)軟件：字處理軟件/電子表格/圖象處理軟件/財(cái)務(wù)治理/治理軟件/光學(xué)字符識(shí)別軟件3.2程序執(zhí)行方式：直接執(zhí)行：語言程序編譯目標(biāo)代碼連接可執(zhí)行代碼執(zhí)行程序運(yùn)行解釋執(zhí)行：語言程序由解釋程序轉(zhuǎn)換二進(jìn)制瑪一一

7、程序運(yùn)行3.3語言類型：機(jī)器語言/匯編語言/過程化語言/非過程化語言3.4文件類型：直接存取文件/挨次文件/索引文件主文件與事務(wù)文件/平面文件3.5數(shù)據(jù)處理方式：批處理/在線處理或分集中處理/分散處理/分布處理3.6常用計(jì)算機(jī)審計(jì)技術(shù)：測試數(shù)據(jù)檢查信息系統(tǒng)是否正常/平行模擬模擬系統(tǒng)與真實(shí)系統(tǒng)比擬結(jié)果/繼承集成測試虛構(gòu)測試數(shù)據(jù)與真實(shí)數(shù)據(jù)一起處理，缺點(diǎn)：測試數(shù)據(jù)可能進(jìn)入托付人的真實(shí)數(shù)據(jù)環(huán)境/嵌入審計(jì)模塊連續(xù)監(jiān)視/其他技術(shù)電腦化帳務(wù)處理系統(tǒng)自動(dòng)平帳3.7關(guān)系型數(shù)據(jù)庫的操作：選擇條件選擇出記錄子集/連接按某個(gè)共同數(shù)據(jù)元素結(jié)合多個(gè)關(guān)系型數(shù)據(jù)庫/映射將數(shù)據(jù)庫中的局部字段構(gòu)成新的子表/修改鎖定/死鎖3.8數(shù)

8、據(jù)定義語言：描述數(shù)據(jù)庫內(nèi)容與構(gòu)造的語言建立數(shù)據(jù)庫表構(gòu)造數(shù)據(jù)操縱語言：修改、操作、插入、查詢數(shù)據(jù)字典：對(duì)數(shù)據(jù)構(gòu)造的定義3.9分布式數(shù)據(jù)庫在各接點(diǎn)的分布方法：快照/復(fù)制/分割數(shù)據(jù)組織與查詢：構(gòu)造化查詢語言不會(huì)對(duì)數(shù)據(jù)庫產(chǎn)生風(fēng)險(xiǎn)/治理查詢?cè)O(shè)施用于趨勢圖、制作圖表P304治理查詢?cè)O(shè)施，把“數(shù)據(jù)有效性檢查去掉，無法檢查數(shù)據(jù)有效性/;規(guī)律視圖/數(shù)據(jù)挖掘分析，發(fā)覺隱蔽在數(shù)據(jù)后的規(guī)律3.10電子資金轉(zhuǎn)帳系統(tǒng)EFT風(fēng)險(xiǎn)：未經(jīng)許可的進(jìn)入和操作/對(duì)交易的重復(fù)處理/缺乏備份和恢復(fù)力量/未經(jīng)授權(quán)的訪問和交易活動(dòng)風(fēng)險(xiǎn)優(yōu)勢：交易處理本錢比手工低/改善與貿(mào)易伙伴的業(yè)務(wù)關(guān)系/削減數(shù)據(jù)錯(cuò)誤/提高工作效率實(shí)施第一步：畫出未實(shí)現(xiàn)組織目

9、標(biāo)所開展的經(jīng)營活動(dòng)的流程圖目標(biāo)：改善業(yè)務(wù)關(guān)系，提高競爭力EDI的風(fēng)險(xiǎn)：數(shù)據(jù)網(wǎng)整形和隨便存取數(shù)據(jù)是EDI的固有風(fēng)險(xiǎn)/數(shù)據(jù)交換過程中的遺漏、錯(cuò)序或重復(fù)、向交易伙伴傳輸交易信息有時(shí)不勝利。EDI的風(fēng)險(xiǎn)防范：應(yīng)用數(shù)據(jù)簽名技術(shù)/給EDI文件挨次編號(hào)/通過對(duì)方的反應(yīng)來確認(rèn)4、系統(tǒng)開發(fā)獲得和維護(hù)4.1系統(tǒng)開發(fā)生命周期法系統(tǒng)、標(biāo)準(zhǔn)、嚴(yán)密/ 快速原型法不斷修改直至滿足，缺點(diǎn)，不系統(tǒng)，不正規(guī)4.2系統(tǒng)開發(fā)的主要活動(dòng)：系統(tǒng)分析一一系統(tǒng)設(shè)計(jì)一一系統(tǒng)編程一一測試一一轉(zhuǎn)換一一系統(tǒng)維護(hù)系統(tǒng)分析：要解決問題的分析/用戶分析和系統(tǒng)可行性分析/系統(tǒng)分析員是信息系統(tǒng)和其他業(yè)務(wù)部門聯(lián)系橋梁一一力量打算一一系統(tǒng)需求分析規(guī)格書系統(tǒng)設(shè)計(jì)：

10、規(guī)律設(shè)計(jì)/物理設(shè)計(jì)一一系統(tǒng)設(shè)計(jì)規(guī)格書系統(tǒng)編程：將設(shè)計(jì)規(guī)格書轉(zhuǎn)化成計(jì)算機(jī)軟件代碼的過程一一軟件程序代碼在軟件需求與設(shè)計(jì)階段審計(jì)師關(guān)注點(diǎn)：需求階段安全需求是否完備，能否保證信息系統(tǒng)機(jī)密、完整、可用，是否有足夠的審計(jì)蹤跡/審計(jì)設(shè)計(jì)階段檢查安全需求是否有足夠的掌握已集成到系統(tǒng)定義和測試打算中，連續(xù)性在線審計(jì)功能是否集成到系統(tǒng)中/在系統(tǒng)設(shè)計(jì)階段的基線上是否建立變動(dòng)掌握/檢查相關(guān)文檔是否齊全測試：模塊測試/系統(tǒng)測試/驗(yàn)收測試轉(zhuǎn)換：平行轉(zhuǎn)換/直接轉(zhuǎn)換/試點(diǎn)轉(zhuǎn)換/分階段的轉(zhuǎn)換策略4.3內(nèi)部審計(jì)師對(duì)信息系統(tǒng)開發(fā)的參加參加方式：連續(xù)參加開發(fā)/在系統(tǒng)開發(fā)完畢時(shí)參加/在系統(tǒng)實(shí)施后參加連續(xù)參加的好處：限度地降低系統(tǒng)重新

11、設(shè)計(jì)的本錢4.4系統(tǒng)維護(hù)與變動(dòng)的掌握：程序變動(dòng)掌握：經(jīng)治理層批準(zhǔn)/經(jīng)全面測試并保存文檔/必需留下何人、何時(shí)、何事的線索修改軟件的風(fēng)險(xiǎn)：使用未經(jīng)審查、測試的修改軟件，使被處理信息的牢靠性減弱4.5最終用戶開發(fā)的風(fēng)險(xiǎn)系統(tǒng)分析功能被忽視/難集成/系統(tǒng)內(nèi)產(chǎn)生專用信息系統(tǒng)/缺乏標(biāo)準(zhǔn)和文檔，使用和維護(hù)都依靠開發(fā)者/缺乏監(jiān)視，失去數(shù)據(jù)全都性4.6降低最終用戶開發(fā)的風(fēng)險(xiǎn)：成立信息中心/集中系統(tǒng)開發(fā)專家對(duì)用戶進(jìn)展培訓(xùn)/提個(gè)開發(fā)工具與指導(dǎo)，幫助建立質(zhì)量標(biāo)準(zhǔn)/信息中心直接參加系統(tǒng)分析與設(shè)計(jì)/對(duì)終端用戶開發(fā)的審計(jì)確定終端用戶開發(fā)的程序一一對(duì)應(yīng)用程序進(jìn)展風(fēng)險(xiǎn)排序一一對(duì)掌握狀況進(jìn)展文件處理與測試4.7軟件許可問題：使用盜

12、版軟件的危害違法/易感染病毒/防止使用非法軟件的方法建立制度/版權(quán)法訓(xùn)練/定期鑒別/專人保管安裝盤/非法軟件的發(fā)覺比擬選購記錄與可執(zhí)行文件/比擬序列號(hào)5、信息系統(tǒng)安全5.1常見攻擊手段：黑客/堵塞/竊聽/重演/詐騙/中斷/病毒5.2不同層次的信息系統(tǒng)安全掌握：一般掌握/應(yīng)用掌握一般掌握：治理掌握：制定政策與程序/職責(zé)分別一一系統(tǒng)實(shí)施掌握：開發(fā)實(shí)施過程中建立掌握點(diǎn)編制文檔/運(yùn)行掌握:數(shù)據(jù)存儲(chǔ)、運(yùn)行標(biāo)準(zhǔn)化要求，例如在對(duì)不需要的文件要在授權(quán)條件下準(zhǔn)時(shí)刪除，治理系統(tǒng)操作、性能監(jiān)測、系統(tǒng)備份、審計(jì)日志_軟件掌握：未經(jīng)許可不得修改、在獨(dú)立的計(jì)算機(jī)上測試全部的要進(jìn)入生產(chǎn)環(huán)境的軟件一一硬件掌握：保證正常運(yùn)行:

13、回?fù)軝z測、奇偶校驗(yàn)一一訪問掌握重點(diǎn)：標(biāo)識(shí)/ 口令/授權(quán)/訪問日志/自動(dòng)注銷登錄/回?fù)?對(duì)工具軟件的限制5.3訪問掌握的類型：標(biāo)識(shí)確定用戶身份/ 口令弱掌握/授權(quán)建立訪問掌握表預(yù)防未經(jīng)授權(quán)訪問修改敏感信息/訪問日志檢測性掌握措施/回?fù)軔圩o(hù)信息按指定路徑傳送/自動(dòng)注銷登錄防止通過無人照管的終端來訪問主機(jī)敏感信息/對(duì)工具軟件的限制5.4加密和解密算法和密鑰加密密鑰和解密密鑰公鑰和私鑰數(shù)字證書數(shù)字簽名認(rèn)證中心5.5電子郵件的安全掌握：制止用EMAIL發(fā)送高度敏感或機(jī)密信息/加密/限使用數(shù)量/工作終端的商用電子郵件保存?zhèn)洳?歸檔和分級(jí)治理。5.6防火墻：數(shù)據(jù)濾型/應(yīng)用網(wǎng)關(guān)開型5.7應(yīng)用軟件掌握：輸入掌握輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換、編輯檢驗(yàn)處理掌握運(yùn)行總數(shù)、計(jì)算機(jī)匹配、并發(fā)掌握、輸出掌握一一輸出掌握平衡總數(shù)、復(fù)核日志、審核報(bào)告、審