cia第三部分信息技术知识点整理

1、PAGE 三-E 信息技术知识点归纳 PAGE - 13 -三-E 信息技术术知识点归归纳从控制角度度来看信息息系统构成成：1.一般控控制：管理理控制/系系统实施控控制/运行行控制/软软件控制/硬件控制制/物理访访问控制/逻辑访问问控制2.应用控控制：输入入控制/处处理控制/输出控制制3.保障控控制：灾难难恢复与应应急计划/环境控制制/设备来来源控制1.信息系系统的战略略、政策和和过程1.1 信信息系统的的战略性应应用目标：战略、政政策、过程程：通过应应用信息系系统，达到到改进组织织的目标、经营和服服务或组织织与环境的的关系，从从而帮助组组织改善与与客户的关关系，取得得竞争优势势。战略性性的应

2、用系系统渗透于于业务层、企业层及及行业层面面。1.2 信信息系统的的应用推动动组织结构构变革：自自动化/流流程合理话话/业务流流程再造/异化。1.3 信信息系统应应用模式的的演变：主主机/终端端模式客户机/服务器模模式浏览器器/服务器器模式与信息应用用模式相关关的问题：降型化/开放系统统/遗产系系统。1.4 信信息系统的的功能分类类：作业层（事事物处理系系统TPSS）：基本本交易活动动，常规问问题知识层（知知识工作系系统KWSS/办公自自动户化系系统OASS）：知识识员工、数数据员工管理层（管管理信息系系统MISS/决策支支持DSSS）：中层层经理，行行政事务战略层（高高级经理支支持系统EES

3、S）：高层经理理，战略问问题1.5 信信息系统部部门的职责责系统开发小小组（系统统分析员是是联络的桥桥梁、设计计、编程、测试）系统运运行小组（确确保正常运运行/帮助助平台、咨咨询）。1.6 信信息系统安安全主管的的责任信息系统高高层管理人人员的职责责：评估风风险/控制制成本/制制定风险控控制目标与与措施信息安全主主管的职责责：制定安安全政策/评价安全全控制/检检测调查不不成功的访访问企图/监督特权权用户的访访问，保证证用途。1.7 新新兴技术人工智智能：专家系统（商商品赊销的的审批、医医疗专家系系统）：通通过获取人人类专家在在某一领域域的经验和和知识，利利用推理模模型来给出出建议。专专家系统能

4、能够使客户户服务工作作更容易进进行。神经网络（超超音速飞机机的控制系系统、电力力系统负荷荷预测）：在被人类类告知其决决策错误及及答案后，能能修改期知知识库。模糊逻辑（人人像识别系系统）：处处理模糊数数据。遗传算法（煤煤气管道控控制、机器器人控制）：不断完善对特定问题的解决方案。智能代理（互互联网搜索索引擎、电电子邮件过过滤器）：解决特定定的、重复复的、可预预见的问题题，内设知知识库。1.8 第第三方服务务机构的角角色设备管理机机构（服务务）按用户户要求运行行、维护数数据处理计算机租赁赁公司（设设备）只提供供设备服务局（服服务加设备备）管理运运行自己的的数据处理理设备，用用户只需求求提供数据据，

5、根据服服务结果付付费共享服务商商（服务加加设备）管理运运营自己的的数据处理理设备、使使各类组织织可以使用用他们的系系统2.硬件、平台、网网络与远程程通讯2.1 各各种计算机机媒体：磁带（容量量大、价格格低顺序存存储磁带库（容容纳多盘磁磁带、机械械臂抓取）软盘（直接接存取、便便于携带）硬盘（直接接存取、速速度快、容容量大）廉价冗余磁磁盘阵列/廉价光盘盘重复排列列（重构数数据、容错错能力强）CD-ROOM（保存存数字文件件容量大、便宜、不不能写入）光盘库（容容纳多个光光盘）一次写多次次读光盘（WWORM 适用不须须更新、记记录内容）。2.2 计计算机类型型：个人计计算机/工工作站/网网络计算机机。

6、2.3 各各类计算机机外部设备备：不间断断电源/光光学字符识识别/打印印机/扫描描仪/绘图图仪/条码码阅读器。2.4 外外部接口：串口/并并口/USSB口。2.5 操操作系统：分配、调调度、监视视系统资源源，保证雇雇员只对被被授权的数数据进行读读写访问 DOA/UNIXX/VMSS。2.6 监监视器：辨辨别硬件的的瓶颈和软软件设计问问题/调整整运行负荷荷/发现网网络反应时时间恶化情情况。2.7 图图形化用户户接口：用用鼠标点击击图形来输输入命令如如WINDDOWS。2.8 大大型计算机机的使用：影响大型型计算机运运行速度的的因素有：应用软件的的是设计效效率数据库管理理软件的效效率数据的结构构网

7、络容量量及传输速速度系统负荷存储器容量量安全检查及及备份的频频率软件初始化化选择的正正确性。2.9 个个人计算机机与大型计计算机的接接口：通过过局域网连连接、口令令登陆终端仿真的的风险：雇员利用微微机谋取私私利备份不充分分拷贝供个人人使用保存登录序序列的文献献任何能访问问PC机的的人员都可可以访问主主机。2.10 计算机网网络的分类类：广域网网（覆盖广广、速度慢慢）/局域域网（范围围小、速度度快）/城城域网（城城市内部高高速网）广域网：专专用网络/虚拟专用用网/公用用交换网络络/增值网网局域网：总总线网/星星型网/环环型网 或者分为为：基于服服务器的网网络/对等等网。2.11 网络连接接设备：

8、网网卡/调制制解调器/中绩器/集线器/网桥/网网关/路由由器。2.12 因特网：资源无限限缺点：难以以定位最好好的资源功能：网络络浏览器WWEB/电电子邮件EEMAILL/远程登登录TELLNET/专题论坛坛USENNET/电电子公告牌牌BBS/其他。2.13 数据传输输模式：异步传输（利利用额外的的启动位与与停止位同同步数据传传输/慢，有有间隔）同步传输（同同步时钟同同步数据传传输，快、可连续传传输）各种基础通通信网络：公用电话话交换网（拨拨号上网）/DDN数数字数据网网络/桢中中继（降局局域网和其其他局域网网连接，使使不很敏感感的数据传传递）/综综合服务数数字网ISSDN/非非对称数字字环

9、线ADDSL。3.数据处处理 3.1 个个人计算机机软件：字字处理软件件/电子表表格/图象象处理软件件/财务管管理/管理理软件/光光学字符识识别软件。3.2 程程序执行方方式：直接接执行：语语言程序（编编译）目标代码码（连接）可执行代码（执行）程序运行解释执行：语言程序序（由解释释程序转换换二进制玛玛）程序运运行。3.3 语语言类型：机器语言言/汇编语语言/过程程化语言/非过程化化语言。3.4 文文件类型：直接存取取文件/顺顺序文件/索引文件件主文件与与事务文件件/平面文文件。3.5 数数据处理方方式：批处理/在在线处理集中处理/分散处理理/分布处处理。3.6 常常用计算机机审计技术术：测试数

10、据（检检查信息系系统是否正正常）平行模拟（模模拟系统与与真实系统统比较结果果）继承集成测测试（虚构构测试数据据与真实数数据一起处处理，缺点点：测试数数据可能进进入委托人人的真实数数据环境）嵌入审计模模块（连续续监督）其他技术（电电脑化帐务务处理系统统自动平帐帐）。3.7 数数据库的类类型：层次次性数据库库；网状型型数据库；关系型数数据库关系型数据据库的操作作：选择（条件件选择出记记录子集）连接（按某某个共同数数据元素结结合多个关关系型数据据库映射（将数数据库中的的部分字段段构成新的的子表）修修改锁定/死锁锁）。3.8 数数据库管理理系统的组组成数据定义语语言：描述述数据库内内容与结构构的语言（

11、建建立数据库库表结构）数据操纵语语言：修改改、操作、插入、查查询（提取取数据的命命令）数据字典：对数据结结构的定义义。3.9 分分布式数据据库在各接接点的分布布方法：快快照/复制制/分割数据组织与与查询：结构化查询询语言（不不会对数据据库产生风风险）管理查询设设施（用于于趋势图、制作图表表，无法检查查数据有效效性，可提提供在线信信息）逻辑视图（从从一个或多多个数据库库表中生成成新的数据据结构，直直观）数据挖掘（分分析，发现现隐藏在数数据后的规规律）。3.10 电子资金金转帐系统统（EFTT）风险：未经许可的的进入和操操作对交易的重重复处理缺乏备份和和恢复能力力未经授权的的访问和交交易活动风风险

12、最大优势：交易处理成成本比手工工低改善与贸易易伙伴的业业务关系减少数据错错误提高工作效效率EDI（电电子数据交交换）实施第一步步：画出未未实现组织织目标所开开展的经营营活动的流流程图目标：改善善业务关系系，提高竞竞争力EDI的风风险：数据完整性性的丧失和随随意存取数数据是EDDI的固有有风险数据传输可可能在传输输的起点、中途和重重点被拦截截或修改数字签签名技术数据交换过过程中的遗遗漏、错序序或重复给EDDI文件顺顺序编号向交易伙伴伴传输交易易信息有时时不成功通过对对方的反馈馈来确认4.系统开开发获得和和维护4.1 系系统开发方方法：系统开发生生命周期法法（系统、规范、严严密）（快速）原原型法（

13、不不断修改直直至满意，缺缺点，不系系统，不正正规）面向对象的的开发方法法（根据需需求）4.2 系系统开发的的主要活动动：系统分分析系统设设计系统编编程测试转换系统维维护系统分析：要解决问题题的分析用户分析和和系统可行行性分析系统分析员员是信息系系统和其他他业务部门门联系桥梁梁系统设计：逻辑设计物理设计系统编程：将设计规格格书转化成成计算机软软件代码的的过程测试：模块测试系统测试验收测试转换：平行转换直接转换试点转换分阶段的转转换在软件需求求与设计阶阶段审计师师关注点：需求阶段安安全需求是是否完备，能能否保证信信息系统机机密、完整整、可用，是是否有足够够的审计踪踪迹审计设计阶阶段检查安安全需求是

14、是否有足够够的控制已已集成到系系统定义和和测试计划划中，连续续性在线审审计功能是是否集成到到系统中在系统设计计阶段的基基线上是否否建立变动动控制检查相关文文档是否齐齐全4.3 内内部审计师师对信息系系统开发的的参与参与方式：连续参与与开发/在在系统开发发结束时参参与/在系系统实施后后参与连续参与的的好处：最最大限度地地降低系统统重新设计计的成本4.4 系系统维护与与变动的控控制：程序变动控控制：经管理层批批准经全面测试试并保存文文档必须留下何何人、何时时、何事的的线索修改软件的的风险：使用未经审审查、测试试的修改软软件，使被被处理信息息的可靠性性减弱4.5 最最终用户开开发的风险险系统分析功功

15、能被忽略略难集成系统内产生生专用信息息系统缺乏标准和和文档，使使用和维护护都依赖开开发者缺乏监督，失失去数据一一致性4.6 降降低最终用用户开发的的风险：成立信息中中心集中系统开开发专家对对用户进行行培训提个开发工工具与指导导，协助建建立质量标标准信息中心直直接参与系系统分析与与设计对终端用户户开发的审审计（确定定终端用户户开发的程程序对应用用程序进行行风险排序序对控制制情况进行行文件处理理与测试）4.7 软件许可可问题：使用盗版软软件的危害害（违法/易感染病病毒）防止使用非非法软件的的方法（建建立制度/版权法教教育/定期期鉴别/保保存购买软软件的原始始记录/专专人保管安安装盘）非法软件的的发

16、现（比比较采购记记录与可执执行文件/比较序列列号）5.信息系系统安全5.1 常常见攻击手手段：黑客客/阻塞/窃听/重重演/诈骗骗/中断/病毒5.2 不不同层次的的信息系统统安全控制制：一般控控制/应用用控制一般控制：管理控制：制定政策策与程序/目标：职责责分离系统实施控控制：开发发实施过程程中建立控控制点编制制文档（各各个环节）运行控制：数据存储储、运行规规范化要求求，例如在在对不需要要的文件要要在授权条条件下及时时删除，管管理系统操操作、性能能监测、系系统备份、审计日志志软件控制：未经许可可不得修改改、在独立立的计算机机上测试所所有的要进进入生产环环境的软件件硬件控制：保证正常常运行：回回拨

17、检测、奇偶校验验访问控制（重重点）：标标识/口令令/授权/访问日志志/自动注注销登录/回拨/对对工具软件件的限制物理设备控控制：防止止对物理设设备的非授授权接触的的控制一般控制更更为基础，影影响应用控控制CIA在审审查一个应应用系统的的应用控制制时应首先先确认该系系统已经建建立完善的的一般控制制。5.3 访访问控制的的类型：标识（唯一一确定用户户身份）口令（弱控控制）授权（建立立访问控制制表预防未未经授权访访问修改敏敏感信息，知知必所需）访问日志（检检测性控制制措施）回拨（保护护信息按指指定路径传传送）自动注销登登录（防止止通过无人人照管的终终端来访问问主机敏感感信息）对工具软件件的限制5.4

18、 加加密和解密密算法和和密钥加密密钥钥和解密密密钥公钥和和私钥数字证书书数字签签名认证中中心对称密码体体制，DEES非对称密码码体制，RRSA5.5 电电子邮件的的安全控制制：禁止用EMMAIL发发送高度敏敏感或机密密信息加密限使用数量量工作终端的的商用电子子邮件保存存备查保密性电邮邮不能储存存在邮件服服务器中离职雇员的的电邮应该该保留备查查在安全程度度不同的地地点有几个个人同对负负责管理的的电邮安全全性归档和分级级管理。电子邮件不不可能比它它赖以运行行的计算机机环境更安安全。5.6 防防火墙：数数据包过滤滤型/应用用网关型5.7 应应用软件控控制：输入控制（输输入授权、数据转换换、编辑检检验）处理控制（运运行总数、计算机匹匹配、并发发控制）、输出控制制输出控制（平平衡总数、复核日志志、审核报报告、审核核制度文件件）5.8 计计算机的物物理安全：保证传输线线路的安全全以防止非