2023年cia第三部分信息技術知識點

三-E信息技術知識點歸納從控制角度來看信息系統(tǒng)構成：.一般控制:管理控制/系統(tǒng)實行控制/運營控制/軟件控制/硬件控制/物理訪問控制/邏輯訪問控制.應用控制:輸入控制/解決控制/輸出控制.保障控制：劫難恢復與應急計劃/環(huán)境控制/設備來源控制.信息系統(tǒng)的戰(zhàn)略、政策和過程.1信息系統(tǒng)的戰(zhàn)略性應用目的：戰(zhàn)略、政策、過程：通過應用信息系統(tǒng)，達成改善組織的目的、經營和服務或組織與環(huán)境的關系，從而幫助組織改善與客戶的關系，取得競爭優(yōu)勢。戰(zhàn)略性的應用系統(tǒng)滲透于業(yè)務層、公司層及行業(yè)層面。.2信息系統(tǒng)的應用推動組織結構變革：自動化/流程合理話/業(yè)務流程再造/異化。.3信息系統(tǒng)應用模式的演變：主機/終端模式一一客戶機/服務器模式一一瀏覽器/服務器模式與信息應用模式相關的問題：降型化/開放系統(tǒng)/遺產系統(tǒng)。.4信息系統(tǒng)的功能分類：/作業(yè)層（事物解決系統(tǒng)TPS）:基本交易活動，常規(guī)問題/知識層（知識工作系統(tǒng)KWS/辦公自動戶化系統(tǒng)OAS）：知識員工、數據員工/管理層（管理信息系統(tǒng)MIS/決策支持DSS）：中層經理，行政事務/戰(zhàn)略層（高級經理支持系統(tǒng)ESS）：高層經理，戰(zhàn)略問題.5信息系統(tǒng)部門的職責系統(tǒng)開發(fā)小組（系統(tǒng)分析員是聯絡的橋梁、設計、編程、測試）一一系統(tǒng)運營小組（保證正常運營/幫助平臺、征詢）。/運營控制：數據存儲、運營規(guī)范化規(guī)定，例如在對不需要的文獻要在授權條件下及時刪除，管理系統(tǒng)操作、性能監(jiān)測、系統(tǒng)備份、審計日記/軟件控制：未經許可不得修改、在獨立的計算機上測試所有的要進入生產環(huán)境的軟件/硬件控制:保證正常運營：回撥檢測、奇偶校驗/訪問控制（重點）：標記/口令/授權/訪問日記/自動注銷登錄/回撥/對工具軟件的限制/物理設備控制：防止對物理設備的非授權接觸的控制一般控制更為基礎，影響應用控制cIA在審查一個應用系統(tǒng)的應用控制時應一方面確認該系統(tǒng)已經建立完善的一般控制。5.3訪問控制的類型：/標記（唯一擬定用戶身份）/口令（弱控制）/授權（建立訪問控制表防止未經授權訪問修改敏感信息,知必所需）/訪問日記（檢測性控制措施）/回撥（保護信息按指定途徑傳送）/自動注銷登錄（防止通過無人照管的終端來訪問主機敏感信息）/對工具軟件的限制5.4加密和解密一一算法和密鑰一一加密密鑰和解密密鑰一一公鑰和私鑰一一數字證書一一數字署名一一認證中心/對稱密碼體制,DES/非對稱密碼體制，RSA5.5電子郵件的安全控制：/嚴禁用EMAIL發(fā)送高度敏感或機密信息加密/限使用數量/工作終端的商用電子郵件保存?zhèn)洳?保密性電郵不能儲存在郵件服務器中/離職雇員的電郵應當保存?zhèn)洳?在安全限度不同的地點有幾個人同對負責管理的電郵安全性/歸檔和分級管理。電子郵件不也許比它賴以運營的計算機環(huán)境更安全。5.6防火墻：數據包過濾型/應用網關型5.7應用軟件控制：/輸入控制（輸入授權、數據轉換、編輯檢查）/解決控制（運營總數、計算機匹配、并發(fā)控制）、輸出控制/輸出控制（平衡總數、復核日記、審核報告、審核制度文獻）5.8計算機的物理安全：/保證傳輸線路的安全以防止非法訪問網絡,盡量不要暴露數據中心的位置以防止恐怖分子襲擊/不間斷電源可以在停電時維持電腦系統(tǒng)的運營/防火防潮/生物記錄訪問系統(tǒng)/計算機附近鐵路公路的風險評價5.9應急計劃：/故障弱化保護/劫難恢復計劃一一第一步風險分析，另一方面才識策略、文檔、計劃執(zhí)行測試等/劫難恢復計劃的一個重要組成部分是備份和重新啟動程序/當組織的結構和運營發(fā)生改變時，劫難恢復計劃必須隨之改變以保證恢復計劃的及時有效/防止系統(tǒng)故障和重大劫難時的數據保存手段一一數據異地備份/防止系統(tǒng)故障和重大劫難時的信息設施恢復手段一一信息設施異地冗余6信息系統(tǒng)安全主管的責任信息系統(tǒng)高層管理人員的職責：評估風險/控制成本/制定風險控制目的與措施信息安全主管的職責：制定安全政策/評價安全控制/檢測調查不成功的訪問企圖/監(jiān)督特權用戶的訪問，保證用途。7新興技術一一人工智能：/專家系統(tǒng)（商品賒銷的審批、醫(yī)療專家系統(tǒng)）：通過獲取人類專家在某一領域的經驗和知識，運用推理模型來給出建議。專家系統(tǒng)可以使客戶服務工作更容易進行。/神經網絡（超音速飛機的控制系統(tǒng)、電力系統(tǒng)負荷預測）：在被人類告知其決策錯誤及答案后，能修改期知識庫。/模糊邏輯（人像辨認系統(tǒng)）：解決模糊數據。/遺傳算法（煤氣管道控制、機器人控制）：不斷完善對特定問題的解決方案。/智能代理（互聯網搜索引擎、電子郵件過濾器）：解決特定的、反復的、可預見的問題，內設知識庫。8第三方服務機構的角色/設備管理機構（服務）一一按用戶規(guī)定運營、維護數據解決/計算機租賃公司（設備）一一只提供設備/服務局（服務加設備）一一管理運營自己的數據解決設備，用戶只需求提供數據，根據服務結果付費/共享服務商（服務加設備）一一管理運營自己的數據解決設備、使各類組織可以使用他們的系統(tǒng)2.硬件、平臺、網絡與遠程通訊各種計算機媒體：/磁帶（容量大、價格低順序存儲/磁帶庫（容納多盤磁帶、機械臂抓?。?軟盤（直接存取、便于攜帶）/硬盤（直接存取、速度快、容量大）/便宜冗余磁盤陣列/便宜光盤反復排列（重構數據、容錯能力強）/CD-ROM（保存數字文獻容量大、便宜、不能寫入）/光盤庫（容納多個光盤）/一次寫多次讀光盤（WORM合用不須更新、記錄內容）。計算機類型：個人計算機/工作站/網絡計算機。各類計算機外部設備：不間斷電源/光學字符辨認/打印機/掃描儀/繪圖儀/條碼閱讀器。4外部接口：串口/并口/USB口。5操作系統(tǒng)：分派、調度、監(jiān)視系統(tǒng)資源，保證雇員只對被授權的數據進行讀寫訪問DOA/UNIX/VMSo監(jiān)視器：辨別硬件的瓶頸和軟件設計問題/調整運營負荷/發(fā)現網絡反映時間惡化情況。7圖形化用戶接口：用鼠標點擊圖形來輸入命令如WINDOWSo大型計算機的使用：影響大型計算機運營速度的因素有：/應用軟件的是設計效率/數據庫管理軟件的效率/數據的結構網絡容量及傳輸速度/系統(tǒng)負荷/存儲器容量/安全檢查及備份的頻率軟件初始化選擇的對的性。個人計算機與大型計算機的接口：通過局域網連接、口令登陸/終端仿真的風險：/雇員運用微機謀取私利/備份不充足/拷貝供個人使用/保存登錄序列的文獻/任何能訪問PC機的人員都可以訪問主機。10計算機網絡的分類：廣域網（覆蓋廣、速度慢）/局域網（范圍小、速度快）/城域網（城市內部高速網）/廣域網：專用網絡/虛擬專用網/公用互換網絡/增值網/局域網：總線網/星型網/環(huán)型網或者分為：基于服務器的網絡/對等網。11網絡連接設備：網卡/調制解調器/中績器/集線器/網橋/網關/路由器。12因特網：資源無限缺陷:難以定位最佳的資源功能：網絡瀏覽器WEB/電子郵件EMAIL/遠程登錄TELNET/專題論壇USENET/電子公告牌BBS/其他。13數據傳輸模式：/異步傳輸（運用額外的啟動位與停止位同步數據傳輸/慢，有間隔）/同步傳輸（同步時鐘同步數據傳輸，快、可連續(xù)傳輸）各種基礎通信網絡：公用電話互換網（撥號上網）/DDN數字數據網絡/楨中繼（降局域網和其他局域網連接，使不很敏感的數據傳遞）/綜合服務數字網ISDN/非對稱數字環(huán)線ADSLo3.數據解決個人計算機軟件：字解決軟件/電子表格/圖象解決軟件/財務管理/管理軟件/光學字符辨認軟件。程序執(zhí)行方式:直接執(zhí)行：語言程序（編譯）一一目的代碼（連接）一一可執(zhí)行代碼（執(zhí)行）一程序運營解釋執(zhí)行：語言程序（由解釋程序轉換二進制瑪）一一程序運營。3語言類型:機器語言/匯編語言/過程化語言/非過程化語言。4文獻類型:直接存取文獻/順序文獻/索引文獻主文獻與事務文獻/平面文獻。5數據解決方式：批解決/在線解決集中解決/分散解決/分布解決。常用計算機審計技術：/測試數據（檢查信息系統(tǒng)是否正常）/平行模擬（模擬系統(tǒng)與真實系統(tǒng)比較結果）/繼承集成測試（虛構測試數據與真實數據一起解決，缺陷:測試數據也許進入委托人的真實數據環(huán)境）/嵌入審計模塊（連續(xù)監(jiān)督）/其他技術（電腦化帳務解決系統(tǒng)自動平帳）。數據庫的類型：層次性數據庫；網狀型數據庫；關系型數據庫關系型數據庫的操作：/選擇（條件選擇出記錄子集）/連接（按某個共同數據元素結合多個關系型數據庫/映射（將數據庫中的部分字段構成新的子表）修改/鎖定/死鎖）。數據庫管理系統(tǒng)的組成/數據定義語言:描述數據庫內容與結構的語言（建立數據庫表結構）/數據操縱語言:修改、操作、插入、查詢（提取數據的命令）/數據字典:對數據結構的定義。分布式數據庫在各接點的分布方法：快照/復制/分割數據組織與查詢：/結構化查詢語言（不會對數據庫產生風險）/管理查詢設施（用于趨勢圖、制作圖表，無法檢查數據有效性，可提供在線信息）/邏輯視圖（從一個或多個數據庫表中生成新的數據結構，直觀）/數據挖掘（分析，發(fā)現隱藏在數據后的規(guī)律）。10電子資金轉帳系統(tǒng)（EFT）風險：/未經許可的進入和操作,對交易的反復解決/缺少備份和恢復能力/未經授權的訪問和交易活動風險最大優(yōu)勢：/交易解決成本比手工低/改善與貿易伙伴的業(yè)務關系/減少數據錯誤/提高工作效率EDI（電子數據互換）/實行第一步：畫出未實現組織目的所開展的經營活動的流程圖/目的：改善業(yè)務關系，提高競爭力/EDI的風險：令數據完整性的喪失和隨意存取數據是EDI的固有風險令數據傳輸也許在傳輸的起點、半途和重點被攔截或修改一一數字署名技術令數據互換過程中的漏掉、錯序或反復一一給EDT文獻順序編號令向交易伙伴傳輸交易信息有時不成功一一通過對方的反饋來確認4.系統(tǒng)開發(fā)獲得和維護1系統(tǒng)開發(fā)方法：/系統(tǒng)開發(fā)生命周期法（系統(tǒng)、規(guī)范、嚴密）/（快速）原型法（不斷修改直至滿意，缺陷，不系統(tǒng)，不正規(guī)）/面向對象的開發(fā)方法（根據需求）4.2系統(tǒng)開發(fā)的重要活動：系統(tǒng)分析一一系統(tǒng)設計一一系統(tǒng)編程一一測試一一轉換一一系統(tǒng)維護/系統(tǒng)分析：今要解決問題的分析令用戶分析和系統(tǒng)可行性分析令系統(tǒng)分析員是信息系統(tǒng)和其他業(yè)務部門聯系橋梁/系統(tǒng)設計：令邏輯設計令物理設計/系統(tǒng)編程：令將設計規(guī)格書轉化成計算機軟件代碼的過程/測試：<模塊測試系統(tǒng)測試e驗收測試/轉換:令平行轉換令直接轉換令試點轉換令分階段的轉換在軟件需求與設計階段審計師關注點：,需求階段安全需求是否完備，能否保證信息系統(tǒng)機密、完整、可用，是否有足夠的審計蹤跡/審計設計階段檢查安全需求是否有足夠的控制己集成到系統(tǒng)定義和測試計劃中，連續(xù)性在線審計功能是否集成到系統(tǒng)中/在系統(tǒng)設計階段的基線上是否建立變動控制/檢查相關文檔是否齊全4.3內部審計師對信息系統(tǒng)開發(fā)的參與參與方式:連續(xù)參與開發(fā)/在系統(tǒng)開發(fā)結束時參與/在系統(tǒng)實行后參與連續(xù)參與的好處:最大限度地減少系統(tǒng)重新設計的成本4.4系統(tǒng)維護與變動的控制：/程序變動控制：令經管理層批準令經全面測試并保存文檔令必須留下何人、何時、何事的線索/修改軟件的風險：?使用未經審查、測試的修改軟件，使被解決信息的可靠性減弱4.5最終用戶開發(fā)的風險,系統(tǒng)分析功能被忽略/難集成/系統(tǒng)內產生專用信息系統(tǒng)/缺少標準和文檔，使用和維護都依賴開發(fā)者/缺少監(jiān)督，失去數據一致性4.6減少最終用戶開發(fā)的風險：/成立信息中心,集中系統(tǒng)開發(fā)專家對用戶進行培訓/提個開發(fā)工具與指導，協助建立質量標準/信息中心直接參與系統(tǒng)分析與設計,對終端用戶開發(fā)的審計（擬定終端用戶開發(fā)的程序一一相應用程序進行風險排序一