CIA考試輔導：從控制角度來看信息系統(tǒng)構成

1、一般控制：管理控制/系統(tǒng)實施控制/運行控制/軟件控制/硬件控制/物理訪問控制/邏輯訪問控制
    2、應用控制：輸入控制/處理控制/輸出控制
    3、保障控制：災難恢復與應急計劃/環(huán)境控制/設備來源控制
    1、信息系統(tǒng)的戰(zhàn)略、政策和過程
    1.1信息系統(tǒng)的戰(zhàn)略性應用目標：戰(zhàn)略、政策、過程：通過應用信息系統(tǒng)，達到改進組織的目標、經(jīng)營和服務或組織與環(huán)境的關系，從而幫助組織改善與客戶的關系，取得競爭優(yōu)勢。戰(zhàn)略性的應用系統(tǒng)滲透于業(yè)務層、企業(yè)層及行業(yè)層面
    1.2信息系統(tǒng)的應用推動組織結構變革：自動化/流程合理話/業(yè)務流程再造/異化
    1.3信息系統(tǒng)應用模式的演變：主機/終端模式——客戶機/服務器模式——瀏覽器/服務器模式
    與信息應用模式相關的問題：降型化/開放系統(tǒng)/遺產(chǎn)系統(tǒng)
    1.4信息系統(tǒng)的功能分類：
    作業(yè)層（事物處理系統(tǒng)TPS）——知識層（知識工作系統(tǒng)KWS/辦公自動戶化系統(tǒng)OAS）——管理層（管理信息系統(tǒng)MIS/決策支持DSS）——戰(zhàn)略層（高級經(jīng)理支持系統(tǒng)ESS）
    1.5信息系統(tǒng)部門的職責
    系統(tǒng)開發(fā)小組（系統(tǒng)分析員是聯(lián)絡的橋梁、設計、編程、測試）——系統(tǒng)運行小組（確保正常運行/幫助平臺、咨詢）
    1.6信息系統(tǒng)安全主管的責任
    信息系統(tǒng)高層管理人員的職責：評估風險/控制成本/制定風險控制目標與措施
    信息安全主管的職責：制定安全政策/評價安全控制/檢測調查不成功的訪問企圖/監(jiān)督特權用戶的訪問
    1.7新興技術——人工智能：專家系統(tǒng)（商品賒銷的審批、醫(yī)療專家系統(tǒng)）/神經(jīng)網(wǎng)絡（超音速飛機的控制系統(tǒng)、電力系統(tǒng)負荷預測）/模糊邏輯（人像識別系統(tǒng)）/遺傳算法（煤氣管道控制、機器人控制）/智能代理（互聯(lián)網(wǎng)搜索引擎、電子郵件過濾器）
    1.8第三方服務機構的角色
    設備管理機構（按用戶要求運行、維護數(shù)據(jù)處理）——計算機租賃公司（只提供設備）——服務局（管理運行自己的數(shù)據(jù)處理設備，用戶只需求提供數(shù)據(jù)，根據(jù)服務結果付費）——共享服務商（管理運營自己的數(shù)據(jù)處理設備、使各類組織可以使用他們的系統(tǒng)）
    2、硬件、平臺、網(wǎng)絡與遠程通訊
    2.1各種計算機媒體：磁帶（容量大、價格低順序存儲）、磁帶庫（容納多盤磁帶、機械臂抓取）、軟盤（直接存取、便于攜帶）、硬盤（直接存取、速度快、容量大）、廉價冗余磁盤陣列/廉價光盤重復排列（重構數(shù)據(jù)、容錯能力強）、CD-ROM（保存數(shù)字文件容量大、便宜、不能寫入）、光盤庫（容納多個光盤）、寫多次讀光盤（WORM適用不須更新、記錄內(nèi)容）
    2.2計算機類型：個人計算機/工作站/網(wǎng)絡計算機
    2.3各類計算機外部設備：不間斷電源/光學字符識別/打印機/掃描儀/繪圖儀/條碼閱讀器
    2.4外部接口：串口/并口/USB口
    2.5操作系統(tǒng)：分配、調度、監(jiān)視系統(tǒng)資源，保證雇員只對被授權的數(shù)據(jù)進行讀寫訪問DOA/UNIX/VMS
    2.6監(jiān)視器：辨別硬件的瓶頸和軟件設計問題/調整運行負荷/發(fā)現(xiàn)網(wǎng)絡反應時間惡化情況
    2.7圖形化用戶接口：用鼠標點擊圖形來輸入命令如WINDOWS
    2.8大型計算機的使用：影響大型計算機運行速度的因素有：應用軟件的是設計效率/數(shù)據(jù)庫管理軟件的效率/數(shù)據(jù)的結構網(wǎng)絡容量及傳輸速度/系統(tǒng)負荷/存儲器容量/安全檢查及備份的頻率/軟件初始化選擇的正確性
    2.9個人計算機與大型計算機的接口：通過局域網(wǎng)連接、口令登陸
    終端仿真的風險：雇員利用微機謀取私利/備份不充分/拷貝供個人使用/保存登錄序列的文獻/任何能訪問PC機的人員都可以訪問主機。
    2.10計算機網(wǎng)絡的分類：廣域網(wǎng)（覆蓋廣、速度慢）/局域網(wǎng)（范圍小、速度快）/城域網(wǎng)（城市內(nèi)部高速網(wǎng)）
    廣域網(wǎng)：專用網(wǎng)絡/虛擬專用網(wǎng)/公用交換網(wǎng)絡/增值網(wǎng)
    局域網(wǎng)：總線網(wǎng)/星型網(wǎng)/環(huán)型網(wǎng)或者分為：基于服務器的網(wǎng)絡/對等網(wǎng)
    2.11網(wǎng)絡連接設備：網(wǎng)卡/調制解調器/中績器/集線器/網(wǎng)橋/網(wǎng)關/路由器
    2.12因特網(wǎng)：資源無限，缺點：難以定位好的資源功能：網(wǎng)絡瀏覽器WEB/電子郵件EMAIL/遠程登錄TELNET/專題論壇USENET/電子公告牌BBS/其他
    2.13數(shù)據(jù)傳輸模式：異步傳輸（利用額外的啟動位與停止位同步數(shù)據(jù)傳輸/慢，有間隔）/同步傳輸（同步時鐘同步數(shù)據(jù)傳輸，快、可連續(xù)傳輸）
    各種基礎通信網(wǎng)絡：公用電話交換網(wǎng)（撥號上網(wǎng)）/DDN數(shù)字數(shù)據(jù)網(wǎng)絡/楨中繼（降局域網(wǎng)和其他局域網(wǎng)連接，使不很敏感的數(shù)據(jù)傳遞）/綜合服務數(shù)字網(wǎng)ISDN/非對稱數(shù)字環(huán)線ADSL
    3、數(shù)據(jù)處理
    3.1個人計算機軟件：字處理軟件/電子表格/圖象處理軟件/財務管理/管理軟件/光學字符識別軟件
    3.2程序執(zhí)行方式：直接執(zhí)行：語言程序（編譯）——目標代碼（連接）——可執(zhí)行代碼（執(zhí)行）——程序運行
    解釋執(zhí)行：語言程序（由解釋程序轉換二進制瑪）——程序運行
    3.3語言類型：機器語言/匯編語言/過程化語言/非過程化語言
    3.4文件類型：直接存取文件/順序文件/索引文件主文件與事務文件/平面文件
    3.5數(shù)據(jù)處理方式：批處理/在線處理或分集中處理/分散處理/分布處理
    3.6常用計算機審計技術：測試數(shù)據(jù)（檢查信息系統(tǒng)是否正常）/平行模擬（模擬系統(tǒng)與真實系統(tǒng)比較結果）/繼承集成測試（虛構測試數(shù)據(jù)與真實數(shù)據(jù)一起處理，缺點：測試數(shù)據(jù)可能進入委托人的真實數(shù)據(jù)環(huán)境）/嵌入審計模塊（連續(xù)監(jiān)督）/其他技術（電腦化帳務處理系統(tǒng)自動平帳）
    3.7關系型數(shù)據(jù)庫的操作：選擇（條件選擇出記錄子集）/連接（按某個共同數(shù)據(jù)元素結合多個關系型數(shù)據(jù)庫）/映射（將數(shù)據(jù)庫中的部分字段構成新的子表）/修改（鎖定/死鎖）
    3.8數(shù)據(jù)定義語言：描述數(shù)據(jù)庫內(nèi)容與結構的語言（建立數(shù)據(jù)庫表結構）
    數(shù)據(jù)操縱語言：修改、操作、插入、查詢
    數(shù)據(jù)字典：對數(shù)據(jù)結構的定義
    3.9分布式數(shù)據(jù)庫在各接點的分布方法：快照/復制/分割
    數(shù)據(jù)組織與查詢：結構化查詢語言（不會對數(shù)據(jù)庫產(chǎn)生風險）/管理查詢設施（用于趨勢圖、制作圖表）P304管理查詢設施，把“數(shù)據(jù)有效性檢查”去掉，無法檢查數(shù)據(jù)有效性/；邏輯視圖/數(shù)據(jù)挖掘（分析，發(fā)現(xiàn)隱藏在數(shù)據(jù)后的規(guī)律）
    3.10電子資金轉帳系統(tǒng)（EFT）
    風險：未經(jīng)許可的進入和操作/對交易的重復處理/缺乏備份和恢復能力/未經(jīng)授權的訪問和交易活動風險大
    優(yōu)勢：交易處理成本比手工低/改善與貿(mào)易伙伴的業(yè)務關系/減少數(shù)據(jù)錯誤/提高工作效率
    實施第一步：畫出未實現(xiàn)組織目標所開展的經(jīng)營活動的流程圖
    目標：改善業(yè)務關系，提高競爭力
    EDI的風險：數(shù)據(jù)網(wǎng)整形和隨意存取數(shù)據(jù)是EDI的固有風險/數(shù)據(jù)交換過程中的遺漏、錯序或重復、向交易伙伴傳輸交易信息有時不成功。
    EDI的風險防范：應用數(shù)據(jù)簽名技術/給EDI文件順序編號/通過對方的反饋來確認
    4、系統(tǒng)開發(fā)獲得和維護
    4.1系統(tǒng)開發(fā)生命周期法（系統(tǒng)、規(guī)范、嚴密）/（快速）原型法（不斷修改直至滿意，缺點，不系統(tǒng)，不正規(guī)）
    4.2系統(tǒng)開發(fā)的主要活動：系統(tǒng)分析——系統(tǒng)設計——系統(tǒng)編程——測試——轉換——系統(tǒng)維護
    系統(tǒng)分析：要解決問題的分析/用戶分析和系統(tǒng)可行性分析/系統(tǒng)分析員是信息系統(tǒng)和其他業(yè)務部門聯(lián)系橋梁——能力計劃——《系統(tǒng)需求分析規(guī)格書》
    系統(tǒng)設計：邏輯設計/物理設計——《系統(tǒng)設計規(guī)格書》
    系統(tǒng)編程：將設計規(guī)格書轉化成計算機軟件代碼的過程——《軟件程序代碼》
    在軟件需求與設計階段審計師關注點：需求階段安全需求是否完備，能否保證信息系統(tǒng)機密、完整、可用，是否有足夠的審計蹤跡/審計設計階段檢查安全需求是否有足夠的控制已集成到系統(tǒng)定義和測試計劃中，連續(xù)性在線審計功能是否集成到系統(tǒng)中/在系統(tǒng)設計階段的基線上是否建立變動控制/檢查相關文檔是否齊全
    測試：模塊測試/系統(tǒng)測試/驗收測試
    轉換：平行轉換/直接轉換/試點轉換/分階段的轉換策略
    4.3內(nèi)部審計師對信息系統(tǒng)開發(fā)的參與
    參與方式：連續(xù)參與開發(fā)/在系統(tǒng)開發(fā)結束時參與/在系統(tǒng)實施后參與
    連續(xù)參與的好處：大限度地降低系統(tǒng)重新設計的成本
    4.4系統(tǒng)維護與變動的控制：
    程序變動控制：經(jīng)管理層批準/經(jīng)全面測試并保存文檔/必須留下何人、何時、何事的線索
    修改軟件的風險：使用未經(jīng)審查、測試的修改軟件，使被處理信息的可靠性減弱
    4.5終用戶開發(fā)的風險
    系統(tǒng)分析功能被忽略/難集成/系統(tǒng)內(nèi)產(chǎn)生專用信息系統(tǒng)/缺乏標準和文檔，使用和維護都依賴開發(fā)者/缺乏監(jiān)督，失去數(shù)據(jù)一致性
    4.6降低終用戶開發(fā)的風險：成立信息中心/集中系統(tǒng)開發(fā)專家對用戶進行培訓/提個開發(fā)工具與指導，協(xié)助建立質量標準/信息中心直接參與系統(tǒng)分析與設計/對終端用戶開發(fā)的審計（確定終端用戶開發(fā)的程序——對應用程序進行風險排序——對控制情況進行文件處理與測試）
    4.7軟件許可問題：
    使用盜版軟件的危害（違法/易感染病毒）/防止使用非法軟件的方法（建立制度/版權法教育/定期鑒別/專人保管安裝盤）/非法軟件的發(fā)現(xiàn)（比較采購記錄與可執(zhí)行文件/比較序列號）
    5、信息系統(tǒng)安全
    5.1常見攻擊手段：黑客/阻塞/竊聽/重演/詐騙/中斷/病毒
    5.2不同層次的信息系統(tǒng)安全控制：一般控制/應用控制
    一般控制：
    管理控制：制定政策與程序/職責分離——系統(tǒng)實施控制：開發(fā)實施過程中建立控制點編制文檔/——運行控制：數(shù)據(jù)存儲、運行規(guī)范化要求，例如在對不需要的文件要在授權條件下及時刪除，管理系統(tǒng)操作、性能監(jiān)測、系統(tǒng)備份、審計日志__——軟件控制：未經(jīng)許可不得修改、在獨立的計算機上測試所有的要進入生產(chǎn)環(huán)境的軟件——硬件控制：保證正常運行：回撥檢測、奇偶校驗——訪問控制（重點）：標識/口令/授權/訪問日志/自動注銷登錄/回撥/對工具軟件的限制
    5.3訪問控制的類型：標識（確定用戶身份）/口令（弱控制）/授權（建立訪問控制表預防未經(jīng)授權訪問修改敏感信息）/訪問日志（檢測性控制措施）/回撥（保護信息按指定路徑傳送）/自動注銷登錄（防止通過無人照管的終端來訪問主機敏感信息）/對工具軟件的限制
    5.4加密和解密——算法和密鑰——加密密鑰和解密密鑰——公鑰和私鑰——數(shù)字證書——數(shù)字簽名——認證中心
    5.5電子郵件的安全控制：禁止用EMAIL發(fā)送高度敏感或機密信息/加密/限使用數(shù)量/工作終端的商用電子郵件保存?zhèn)洳?歸檔和分級管理。
    5.6防火墻：數(shù)據(jù)濾型/應用網(wǎng)關開型
    5.7應用軟件控制：：輸入控制（輸入授權、數(shù)據(jù)轉換、編輯檢驗）——處理控制（運行總數(shù)、計算機匹配、并發(fā)控制）、輸出控制——輸出控制（平衡總數(shù)、復核日志、審核報告、審核制度文件）
    5.8計算機的物理安全：保證傳輸線路的安全以防止非法訪問網(wǎng)絡/盡量不要暴露數(shù)據(jù)中心的位置以防止恐怖分子襲擊/不間斷電源可以在停電時維持電腦系統(tǒng)的運行/防火防潮/生物統(tǒng)計訪問系統(tǒng)
    5.9應急計劃：故障弱化保護/災難恢復計劃——第一步風險分析，其次才識策略、文檔、計劃執(zhí)行測試等/災難恢復計劃的一個重要組成部分是備份和重新啟動程序/當組織的結構和運營發(fā)生改變時，災難恢復計劃必須隨之改變以保證恢復計劃的及時有效。