三-E信息技術(shù)知識點歸納從控制角度來看信息系統(tǒng)構(gòu)成：１.一般控制:管理控制／系統(tǒng)實行控制/運營控制/軟件控制/硬件控制/物理訪問控制/邏輯訪問控制2．應用控制:輸入控制/解決控制／輸出控制３.保障控制：劫難恢復與應急計劃/環(huán)境控制／設(shè)備來源控制1.信息系統(tǒng)的戰(zhàn)略、政策和過程１．１信息系統(tǒng)的戰(zhàn)略性應用目的：戰(zhàn)略、政策、過程：通過應用信息系統(tǒng)，達成改善組織的目的、經(jīng)營和服務或組織與環(huán)境的關(guān)系,從而幫助組織改善與客戶的關(guān)系,取得競爭優(yōu)勢。戰(zhàn)略性的應用系統(tǒng)滲透于業(yè)務層、公司層及行業(yè)層面。1.2信息系統(tǒng)的應用推動組織結(jié)構(gòu)變革：自動化/流程合理話/業(yè)務流程再造/異化。1．3信息系統(tǒng)應用模式的演變：主機/終端模式——客戶機/服務器模式——瀏覽器/服務器模式與信息應用模式相關(guān)的問題：降型化/開放系統(tǒng)/遺產(chǎn)系統(tǒng)。1．4信息系統(tǒng)的功能分類:作業(yè)層(事物解決系統(tǒng)TPS):基本交易活動,常規(guī)問題知識層(知識工作系統(tǒng)KＷS/辦公自動戶化系統(tǒng)OAS）：知識員工、數(shù)據(jù)員工管理層（管理信息系統(tǒng)MIS／決策支持DＳS）：中層經(jīng)理,行政事務戰(zhàn)略層（高級經(jīng)理支持系統(tǒng)ＥＳS)：高層經(jīng)理，戰(zhàn)略問題1.5信息系統(tǒng)部門的職責系統(tǒng)開發(fā)小組(系統(tǒng)分析員是聯(lián)絡的橋梁、設(shè)計、編程、測試）——系統(tǒng)運營小組（保證正常運營／幫助平臺、征詢)。1.6信息系統(tǒng)安全主管的責任信息系統(tǒng)高層管理人員的職責:評估風險／控制成本/制定風險控制目的與措施信息安全主管的職責:制定安全政策/評價安全控制／檢測調(diào)查不成功的訪問企圖／監(jiān)督特權(quán)用戶的訪問,保證用途。1.７新興技術(shù)——人工智能：專家系統(tǒng)（商品賒銷的審批、醫(yī)療專家系統(tǒng)）:通過獲取人類專家在某一領(lǐng)域的經(jīng)驗和知識，運用推理模型來給出建議。專家系統(tǒng)可以使客戶服務工作更容易進行。神經(jīng)網(wǎng)絡(超音速飛機的控制系統(tǒng)、電力系統(tǒng)負荷預測）：在被人類告知其決策錯誤及答案后，能修改期知識庫。模糊邏輯(人像辨認系統(tǒng)):解決模糊數(shù)據(jù)。遺傳算法(煤氣管道控制、機器人控制）:不斷完善對特定問題的解決方案。智能代理(互聯(lián)網(wǎng)搜索引擎、電子郵件過濾器）:解決特定的、反復的、可預見的問題,內(nèi)設(shè)知識庫。1.８第三方服務機構(gòu)的角色設(shè)備管理機構(gòu)(服務)——按用戶規(guī)定運營、維護數(shù)據(jù)解決計算機租賃公司（設(shè)備)——只提供設(shè)備服務局(服務加設(shè)備）——管理運營自己的數(shù)據(jù)解決設(shè)備,用戶只需求提供數(shù)據(jù)，根據(jù)服務結(jié)果付費共享服務商(服務加設(shè)備)——管理運營自己的數(shù)據(jù)解決設(shè)備、使各類組織可以使用他們的系統(tǒng)２.硬件、平臺、網(wǎng)絡與遠程通訊２.1各種計算機媒體：磁帶(容量大、價格低順序存儲磁帶庫(容納多盤磁帶、機械臂抓?。┸洷P（直接存取、便于攜帶)硬盤(直接存取、速度快、容量大)便宜冗余磁盤陣列/便宜光盤反復排列（重構(gòu)數(shù)據(jù)、容錯能力強）CD－ROM（保存數(shù)字文獻容量大、便宜、不能寫入）光盤庫（容納多個光盤)一次寫多次讀光盤(WORM合用不須更新、記錄內(nèi)容）。2.2計算機類型：個人計算機/工作站／網(wǎng)絡計算機。2.3各類計算機外部設(shè)備：不間斷電源/光學字符辨認/打印機/掃描儀/繪圖儀／條碼閱讀器。2.４外部接口:串口/并口/USB口。2．5操作系統(tǒng)：分派、調(diào)度、監(jiān)視系統(tǒng)資源，保證雇員只對被授權(quán)的數(shù)據(jù)進行讀寫訪問DOA／UNIX/VMS。2.6監(jiān)視器:辨別硬件的瓶頸和軟件設(shè)計問題／調(diào)整運營負荷/發(fā)現(xiàn)網(wǎng)絡反映時間惡化情況。2.7圖形化用戶接口:用鼠標點擊圖形來輸入命令如WINDOWS。２.8大型計算機的使用：影響大型計算機運營速度的因素有：應用軟件的是設(shè)計效率數(shù)據(jù)庫管理軟件的效率數(shù)據(jù)的結(jié)構(gòu)網(wǎng)絡容量及傳輸速度系統(tǒng)負荷存儲器容量安全檢查及備份的頻率軟件初始化選擇的對的性。2.9個人計算機與大型計算機的接口：通過局域網(wǎng)連接、口令登陸終端仿真的風險:雇員運用微機謀取私利備份不充足拷貝供個人使用保存登錄序列的文獻任何能訪問PＣ機的人員都可以訪問主機。2.１0計算機網(wǎng)絡的分類：廣域網(wǎng)（覆蓋廣、速度慢)/局域網(wǎng)(范圍小、速度快）/城域網(wǎng)（城市內(nèi)部高速網(wǎng))廣域網(wǎng)：專用網(wǎng)絡/虛擬專用網(wǎng)／公用互換網(wǎng)絡/增值網(wǎng)局域網(wǎng)：總線網(wǎng)/星型網(wǎng)／環(huán)型網(wǎng)或者分為：基于服務器的網(wǎng)絡／對等網(wǎng)。2．１1網(wǎng)絡連接設(shè)備：網(wǎng)卡/調(diào)制解調(diào)器/中績器/集線器/網(wǎng)橋/網(wǎng)關(guān)／路由器。2．12因特網(wǎng)：資源無限缺陷:難以定位最佳的資源功能:網(wǎng)絡瀏覽器WEB／電子郵件EMAIＬ/遠程登錄TELNEＴ/專題論壇USENEＴ/電子公告牌BBS/其他。2.1３數(shù)據(jù)傳輸模式:異步傳輸（運用額外的啟動位與停止位同步數(shù)據(jù)傳輸/慢，有間隔)同步傳輸(同步時鐘同步數(shù)據(jù)傳輸，快、可連續(xù)傳輸）各種基礎(chǔ)通信網(wǎng)絡：公用電話互換網(wǎng)(撥號上網(wǎng)）／ＤDN數(shù)字數(shù)據(jù)網(wǎng)絡／楨中繼（降局域網(wǎng)和其他局域網(wǎng)連接,使不很敏感的數(shù)據(jù)傳遞)/綜合服務數(shù)字網(wǎng)ISＤN/非對稱數(shù)字環(huán)線ADSL。3.數(shù)據(jù)解決3.1個人計算機軟件：字解決軟件/電子表格/圖象解決軟件／財務管理/管理軟件/光學字符辨認軟件。3.2程序執(zhí)行方式:直接執(zhí)行：語言程序(編譯）——目的代碼(連接)——可執(zhí)行代碼（執(zhí)行)——程序運營解釋執(zhí)行：語言程序(由解釋程序轉(zhuǎn)換二進制瑪)——程序運營。３．3語言類型:機器語言/匯編語言／過程化語言／非過程化語言。3.４文獻類型:直接存取文獻/順序文獻/索引文獻主文獻與事務文獻／平面文獻。3．5數(shù)據(jù)解決方式：批解決／在線解決集中解決/分散解決/分布解決。3.6常用計算機審計技術(shù):測試數(shù)據(jù)(檢查信息系統(tǒng)是否正常）平行模擬(模擬系統(tǒng)與真實系統(tǒng)比較結(jié)果)繼承集成測試(虛構(gòu)測試數(shù)據(jù)與真實數(shù)據(jù)一起解決，缺陷:測試數(shù)據(jù)也許進入委托人的真實數(shù)據(jù)環(huán)境)嵌入審計模塊(連續(xù)監(jiān)督）其他技術(shù)(電腦化帳務解決系統(tǒng)自動平帳)。３.7數(shù)據(jù)庫的類型：層次性數(shù)據(jù)庫；網(wǎng)狀型數(shù)據(jù)庫；關(guān)系型數(shù)據(jù)庫關(guān)系型數(shù)據(jù)庫的操作:選擇(條件選擇出記錄子集)連接（按某個共同數(shù)據(jù)元素結(jié)合多個關(guān)系型數(shù)據(jù)庫映射（將數(shù)據(jù)庫中的部分字段構(gòu)成新的子表）修改鎖定/死鎖)。３.8數(shù)據(jù)庫管理系統(tǒng)的組成數(shù)據(jù)定義語言:描述數(shù)據(jù)庫內(nèi)容與結(jié)構(gòu)的語言（建立數(shù)據(jù)庫表結(jié)構(gòu)）數(shù)據(jù)操縱語言:修改、操作、插入、查詢（提取數(shù)據(jù)的命令）數(shù)據(jù)字典:對數(shù)據(jù)結(jié)構(gòu)的定義。3.9分布式數(shù)據(jù)庫在各接點的分布方法：快照/復制/分割數(shù)據(jù)組織與查詢:結(jié)構(gòu)化查詢語言(不會對數(shù)據(jù)庫產(chǎn)生風險）管理查詢設(shè)施(用于趨勢圖、制作圖表,無法檢查數(shù)據(jù)有效性，可提供在線信息）邏輯視圖（從一個或多個數(shù)據(jù)庫表中生成新的數(shù)據(jù)結(jié)構(gòu)，直觀）數(shù)據(jù)挖掘(分析,發(fā)現(xiàn)隱藏在數(shù)據(jù)后的規(guī)律）。3.10電子資金轉(zhuǎn)帳系統(tǒng)(EFT)風險:未經(jīng)許可的進入和操作對交易的反復解決缺少備份和恢復能力未經(jīng)授權(quán)的訪問和交易活動風險最大優(yōu)勢:交易解決成本比手工低改善與貿(mào)易伙伴的業(yè)務關(guān)系減少數(shù)據(jù)錯誤提高工作效率EDＩ（電子數(shù)據(jù)互換)實行第一步：畫出未實現(xiàn)組織目的所開展的經(jīng)營活動的流程圖目的：改善業(yè)務關(guān)系，提高競爭力EDI的風險:數(shù)據(jù)完整性的喪失和隨意存取數(shù)據(jù)是EDI的固有風險數(shù)據(jù)傳輸也許在傳輸?shù)钠瘘c、半途和重點被攔截或修改——數(shù)字署名技術(shù)數(shù)據(jù)互換過程中的漏掉、錯序或反復——給EDI文獻順序編號向交易伙伴傳輸交易信息有時不成功——通過對方的反饋來確認４．系統(tǒng)開發(fā)獲得和維護４．1系統(tǒng)開發(fā)方法:系統(tǒng)開發(fā)生命周期法(系統(tǒng)、規(guī)范、嚴密)（快速)原型法（不斷修改直至滿意，缺陷，不系統(tǒng)，不正規(guī)）面向?qū)ο蟮拈_發(fā)方法（根據(jù)需求）４.2系統(tǒng)開發(fā)的重要活動:系統(tǒng)分析——系統(tǒng)設(shè)計——系統(tǒng)編程——測試——轉(zhuǎn)換——系統(tǒng)維護系統(tǒng)分析：要解決問題的分析用戶分析和系統(tǒng)可行性分析系統(tǒng)分析員是信息系統(tǒng)和其他業(yè)務部門聯(lián)系橋梁系統(tǒng)設(shè)計：邏輯設(shè)計物理設(shè)計系統(tǒng)編程：將設(shè)計規(guī)格書轉(zhuǎn)化成計算機軟件代碼的過程測試:模塊測試系統(tǒng)測試驗收測試轉(zhuǎn)換：平行轉(zhuǎn)換直接轉(zhuǎn)換試點轉(zhuǎn)換分階段的轉(zhuǎn)換在軟件需求與設(shè)計階段審計師關(guān)注點：需求階段安全需求是否完備,能否保證信息系統(tǒng)機密、完整、可用,是否有足夠的審計蹤跡審計設(shè)計階段檢查安全需求是否有足夠的控制已集成到系統(tǒng)定義和測試計劃中，連續(xù)性在線審計功能是否集成到系統(tǒng)中在系統(tǒng)設(shè)計階段的基線上是否建立變動控制檢查相關(guān)文檔是否齊全4.3內(nèi)部審計師對信息系統(tǒng)開發(fā)的參與參與方式:連續(xù)參與開發(fā)/在系統(tǒng)開發(fā)結(jié)束時參與／在系統(tǒng)實行后參與連續(xù)參與的好處:最大限度地減少系統(tǒng)重新設(shè)計的成本4.４系統(tǒng)維護與變動的控制:程序變動控制：經(jīng)管理層批準經(jīng)全面測試并保存文檔必須留下何人、何時、何事的線索修改軟件的風險:使用未經(jīng)審查、測試的修改軟件，使被解決信息的可靠性減弱4.5最終用戶開發(fā)的風險系統(tǒng)分析功能被忽略難集成系統(tǒng)內(nèi)產(chǎn)生專用信息系統(tǒng)缺少標準和文檔，使用和維護都依賴開發(fā)者缺少監(jiān)督，失去數(shù)據(jù)一致性4．6減少最終用戶開發(fā)的風險：成立信息中心集中系統(tǒng)開發(fā)專家對用戶進行培訓提個開發(fā)工具與指導，協(xié)助建立質(zhì)量標準信息中心直接參與系統(tǒng)分析與設(shè)計對終端用戶開發(fā)的審計(擬定終端用戶開發(fā)的程序——相應用程序進行風險排序——對控制情況進行文獻解決與測試）4．7軟件許可問題：使用盜版軟件的危害（違法/易感染病毒)防止使用非法軟件的方法(建立制度/版權(quán)法教育/定期鑒別/保存購買軟件的原始記錄/專人保管安裝盤）非法軟件的發(fā)現(xiàn)（比較采購記錄與可執(zhí)行文獻/比較序列號）5.信息系統(tǒng)安全５．１常見襲擊手段:黑客／阻塞/竊聽/重演／詐騙／中斷/病毒５.2不同層次的信息系統(tǒng)安全控制:一般控制／應用控制一般控制:管理控制：制定政策與程序/目的：職責分離系統(tǒng)實行控制:開發(fā)實行過程中建立控制點編制文檔（各個環(huán)節(jié)）運營控制：數(shù)據(jù)存儲、運營規(guī)范化規(guī)定,例如在對不需要的文獻要在授權(quán)條件下及時刪除，管理系統(tǒng)操作、性能監(jiān)測、系統(tǒng)備份、審計日記軟件控制：未經(jīng)許可不得修改、在獨立的計算機上測試所有的要進入生產(chǎn)環(huán)境的軟件硬件控制:保證正常運營：回撥檢測、奇偶校驗訪問控制(重點)：標記/口令/授權(quán)／訪問日記／自動注銷登錄/回撥／對工具軟件的限制物理設(shè)備控制：防止對物理設(shè)備的非授權(quán)接觸的控制一般控制更為基礎(chǔ)，影響應用控制ＣIA在審查一個應用系統(tǒng)的應用控制時應一方面確認該系統(tǒng)已經(jīng)建立完善的一般控制。５.3訪問控制的類型:標記(唯一擬定用戶身份)口令(弱控制)授權(quán)(建立訪問控制表防止未經(jīng)授權(quán)訪問修改敏感信息,知必所需)訪問日記（檢測性控制措施)回撥(保護信息按指定途徑傳送)自動注銷登錄（防止通過無人照管的終端來訪問主機敏感信息)對工具軟件的限制5.4加密和解密——算法和密鑰——加密密鑰和解密密鑰——公鑰和私鑰——數(shù)字證書——數(shù)字署名——認證中心對稱密碼體制,DEＳ非對稱密碼體制，ＲSA5．5電子郵件的安全控制：嚴禁用ＥMAＩL發(fā)送高度敏感或機密信息加密限使用數(shù)量工作終端的商用電子郵件保存?zhèn)洳楸Ｃ苄噪娻]不能儲存在郵件服務器中離職雇員的電郵應當保存?zhèn)洳樵诎踩薅炔煌牡攸c有幾個人同對負責管理的電郵安全性歸檔和分級管理。電子郵件不也許比它賴以運營的計算機環(huán)境更安全。５.6防火墻：數(shù)據(jù)包過濾型/應用網(wǎng)關(guān)型5．7應用軟件控制:輸入控制(輸入授權(quán)、數(shù)據(jù)轉(zhuǎn)換、編輯檢查)解決控制(運營總數(shù)、計算機匹配、并發(fā)控制）、輸出控制輸出控制（平衡總數(shù)、復核日記、審核報告、審核制度文獻)5.8計算機的物理安全：保證傳輸線路的安全以防止非法訪