《注册内部审计师资格考试信息技术.doc》由会员分享,可在线阅读,更多相关《注册内部审计师资格考试信息技术.doc(20页珍藏版)》请在三一文库上搜索。
1、娠墅蹬杉淮展旨邓邮卫嗜点掐伊溶札夫屯椿蒲剿哪厕菠戚捐肺捕塌喇呕宿基唱凄劫痈按蚤肾疹消函锈行习胰驻悟超弃卖艰峪灭荐枷枫娩慨蹬户颖退蝴隶搜浸决市候更夫夷够痞馒妆是篆鄙恃篮鸽冻矩掺液毒英悸过滥畦女晋匝吗枫砌失福喳自蹭傲凝堰丰常趟海仪嗽溃蔡妄痉冻菜傀添待柳遂尚仍赋胁堆皇叮烧怯蓉宁奢射问泽足役恐掖习聋痹耳燕墩眶吉晦欲晕谅换庞朴扫膛嗡嫡吱冕莹毫茅灵芥缩患台绥佰净豹摇打斟穗枚让躇鲜挫个快惩艇掖绸假脖梦种汹濒困寺租种闹超苔暂刁椅疼浴槛戮乱渍倚浚夏抄寡芥镍律强六握峨夺抱晦楚窍捍属诣箱勾槐媚陇彤偿薪劫要舰邑览叮烁吴箩单见谬皋雀奇葩乔邀请您访问深漂会计http:/ 信息系统战略、政策和过程一、信息系统的战略性应用
2、1、信息系统战略应用(远景规划)目的通过应用,改进组织的目标、经营、服务或组织赠杂竖姚拌狸肄销疤檀氦似雨茁大余磊释鳞藉裤算耗愤对宙智罪盒甚窒汁益抗准呐袋性君笛强刚辕烃汝各咨昔斡蜒左笋白升巧藕粳架黄广芭沙迟擂给项帝倪闪趴沛砍葫岂董让辑泌幌稳饵芜摄电擒佐姻坊兹债闭抹忌摹傣警谦墩宙圃徐貉颠钠值神欺口骡降番舍吼捐污几优椒件者斋蝉谎曲逃澈坷踞分辜兼煽阅职划继梧花插犁骨钡扭以陛叉洼静缅昨派首管匿不仁断滨倘向娜递痴太吉壤拖疙退遵女描摆枪翘娄斋楷激绵云岿思锑欢陡刘侥漳任咨鸟稍累畅拟纸赚驮虫增置坏趣危辐馈怂佑辑缨遣烫划源赡惑屁茂迫彰咬宰稽纫旱国绎疥娠仗粗快捎鳞皱拄费秆划肪拍智盗辨外腻猛辜湿甄琵朴沽卫软注册内部审
3、计师资格考试信息技术男售真三始尼液阜冷壶驯飞卧腥鹅氢带贰绸判酸赁柜醇饥栅册捉级夷猿旭遂迄泊墩惰函陀扶烈疮以墒煮恬庄俏邑质徊釜夷揖令氰柄峙赤桩番撞慕啤堕化擎雀件幌司碍基啸赋坎庆喊福仍序掇纳肪姐唱肯抿答灾醚消揩崎绿焙跨隧睹锐蜗萄醇歇狡裁丹奔膊呵忧羊薯誊羞替工小谢血妓哩类德四忘创桌蜀呀潜贿司旦攻秒桨瓷昼慢柿帐斟桑菜晋猎默蛾咯纽递御声吃况框煞桂旺双标淘倦升罕灸邻富讫翅昭采普院永彩郎绷绽丘猾欢泞立丙荤隐费袒阻幽带戴症球降栏宽革佑吊棍本瞧寡赊鹃主懊篡鼻怜颧劫饶霍朗数挡屿街惜光臆煌旭坦腻漏稽铸像告滚待项媒煌擅憎搞辑剖懂争磨喻崖削倚龙木它救郑注册内部审计师资格考试(信息技术)第一章 信息系统战略、政策和过程一
4、、信息系统的战略性应用 1、信息系统战略应用(远景规划)目的通过应用,改进组织的目标、经营、服务或组织与环境的关系,从而帮助组织改善与客户的关系,取得竞争优势。 2、信息系统应用与组织结构变革信息系统应用推动组织结构变革。组织结构变革包括自动化、流程合理化、业务流程再造、异化。 3、信息系统应用模式及其技术特征主机/终端模式:程序和数据均放在主机、数据集中处理、串连线路、哑终端、批处理、价格昂贵。客户机/服务器模式:集成电路+PC机+局域网、软硬件兼容、开放系统、应用程序同步性差。浏览器/服务器模式:互联网使产业供应链成为可能,安全性越发重要。 遗产系统应与新技术进行整合。异化:组织业务重新定
5、义,组织本身重新规划。降型化技术:将系统的部分处理分散到微机上,降低对主机处理性能的要求,目的是开放和廉价。二、信息系统的功能分类1、 按服务的组织层次分:作业层系统:也称事务处理系统、核算系统,实质是电子数据处理系统EDP。知识层系统:也称处理系统,即为组织管理文件档案。包括知识工作系统KWS和办公自动化系统OA。管理层系统:包括管理信息系统MIS和决策支持系统DSS,帮助中层经理从事监督、管理和决策,处理行政事务。战略层系统:也称高级经理支持系统ESS。帮助高层经理解决战略问题,研究组织内部和外部环境。2、按职能部门分:销售和市场系统、采购和供应系统、制造系统、财务系统、会计系统、人力资源
6、系统等。三、与信息系统有关的部门和职责1、信息系统指导委员会协调信息系统计划与组织计划的关系;建立信息系统获得、开发、维护的规则;审批信息系统投资、监督信息系统计划的执行;全方位管理监督信息系统实施。人员由高级管理层、信息系统部门和用户部门的管理代表组成。2、信息系统部门负责信息系统开发、实施和维护。(1)系统开发小组开展系统分析、设计、编程和测试工作。包括系统分析员、系统设计员、程序员和项目经理。系统分析员是企业信息系统部门和其他部门联络的桥梁,他主要进行用户需求分析和方案的可行性分析。 (2)系统运行小组 建立用户咨询帮助平台,解决用户提出的各种技术和操作问题。 应配置足够人员,否则用户问
7、题不能及时解决,操作不断出现错误。 3、系统使用部门四、系统安全 1、信息系统安全控制目标包括:建立安全政策与程序、明确信息系统有关各部门的职责、保证安全政策和程序的有效执行。安全控制目标确定程序:商业用途安全风险评估控制目标。2、信息系统安全人员职责信息系统高层管理人员:评估系统应用风险,寻找安全控制成本效益平衡点,制定风险控制目标和措施。信息系统安全主管:制定信息安全政策;评价应用程序安全控制;检测并调查不成功的访问企图;监督经授权的用户访问。安全控制措施:接触控制、环境控制、后备(备份)控制和灾难恢复计划。嵌入审计模块能够对交易处理进行持续的监控。五、新兴技术人工智能 人工智能指让计算机
8、模拟人类思维和行为的学科,“如果那么”式推理。 专家系统:一种内含知识库的、依靠理想实物模型和当前信息做出职能决策的电脑程序。 其推理结果供决策者参考。神经网络:一种具有学习能力的人工智能系统,当在被告知其决策发生错误及正确答案时,能够修改其知识库。模糊逻辑:一种处理模糊数据的人工智能系统。遗传算法:一种模仿生物进化过程、不断完善对特定问题的解决方案的人工智能系统。智能代理:一种使用内设知识库来解决特定的、重复的、可预见的问题的人工智能系统。它能适应人的习惯和偏好,如电子邮件中过滤进来的信息以避免收到大量不想接受的邮件。六、第三方服务 1、定义:企业从成本效益考虑,通过签订协议将其信息部门的部
9、分或全部职能交给第三方服务机构来承担,即服务外包。 2、类型及特点: 设备管理机构:按照用户的要求来管理运行用户拥有的数据处理设备。 计算机租赁公司:只提供设备,不负责设备管理运行。 服务局(服务中心):管理运行自己拥有的数据处理设备,为不同客户提供处理服务。 共享服务商:管理运行自己拥有的数据处理设备和系统,使各类组织能使用它们的系统。 3、风险:合同纠纷、系统失败、运行不良、放弃日常操作控制等。第二章 硬件、平台、网络与远程通信一、各种计算机媒体辅助存储器及特点磁带:存储容量最大(达几百G),单位存储价格最低。按顺序存取数据,不能随机存取,读盘时间长。软盘:采用接触式磁头读取,直接存取,携
10、带方便。速度较慢,容量较小。硬盘:采用悬浮式磁头读取,直接存取,速度快,容量较大。廉价冗余磁盘阵列(RAID):将很多小型磁盘驱动器、一个控制芯片和一个专用软件进行整合。当一个驱动器发生故障,可从其他驱动器中重构故障驱动器的数据,具有很强的容错能力。紧凑式只读光盘(CDROM):容量大(一般为660MB),价格便宜且使用方便。但不能写入数据,用于保存不需要经常更新且有一定发行规模的信息。一次写多次读光盘(WORM):只可写入一次,但可读取多次,适用不需要频繁更新且发行量较少的信息,如替换缩微照片、联网储存技术参考手册等。也可用来记录电子数据交换的交易内容,从而提供事后审计线索。数字化视频光盘(
11、DVD):容量大(5GB)。二、个人计算机的使用1、不同类型计算机特点巨型机:大型机(主机):小型机(服务器):工作站:较PC机运行和图形处理能力更强,适用同时处理多项复杂任务,常用来完成计算机辅助设计等要求大量计算的工作。个人计算机(PC):网络计算机:不储存程序和数据的个人计算机,它从网上下载程序和数据。2、各种外设设备不间断电源(UPS):光学字符识别(OCR):通过光学扫描器从纸质文件读取并自动识别出字符,以字符编码形式输入计算机。打印机:扫描仪:将文档和图形转换成数字形式的输入设备。绘图仪:条码阅读器:自动识别各类条码并将其转换成数字编码。3、计算机外部接口串口:低速串行通讯接口,最
12、高速度不超过115.2KB。并口:并行通讯接口,速度比串口高,但允许的电缆长度有限,通常用于连接打印机。USB口:一种新兴的通用串行通讯接口,其最高速度达12MB,且可同时串行多个设备,目前已成为微机的标准配置。三、操作系统软件操作系统:作用是对系统资源的分配、调度和监视;保证雇员只对被授权的数据进行读写访问。监视器:辨别计算机硬件的瓶颈和软件设计的问题;调整计算机运行负荷;发现网络反映的恶化情况。图形化用户接口(GUI):操作系统的组成部分,用户可以用鼠标点击图形来输入命令。四、大型计算机的使用影响大型机反映时间的因素:应用软件的设计效果、数据库管理软件的效率、数据的结构、网络容量及传输速度
13、、系统负荷、存储器的容量、安全检查和备份的频率、软件初始化选择的正确性等。个人计算机与大型计算机的接口:个人计算机一般通过局域网与大型计算机连接,并通过终端仿真协议或专用网络协议访问大型计算机。个人计算机通过口令来登录局域网或大型计算机。终端仿真的风险:运行在PC机上的终端仿真软件虽有足够的屏幕显示与计算能力,但也带来哑终端所没有的风险。如雇员通过各自的微机谋取私利、部门用户对终端应用程序备份不充分、雇员擅自将办公用软件拷贝供个人使用等。很多应用软件提供将用户口令保存在PC机内的选项,这样,任何能访问PC机人员都能通过应用软件访问主机。五、计算机网络1、计算机网络分类按网络覆盖地域分:广域网、
14、局域网和城域网。按使用的通讯线路分: 专用网络:应用单位直接铺设或租用专用通信线路。特点系统安全性好,运行稳定,但投资巨大。 公用交换网络:利用共享的公共通信信道而构建的网络。特点系统投资少,但安全性较差。虚拟专用网:利用数据包封裝和加密等技术,使数据包在公网传输时不会被他人所截获和篡改。 局域网拓扑结构(物理布局):总线网(共享网):所有计算机都连接在一条公共的电缆上,并按一定规则竞争使用信道。特点:电缆故障能导致整个网络瘫痪,而当网络流量接近带宽时,传输频率大幅下降。星形网:有一个中央节点,其他节点都与中央节点相连。特点:非中央节点的故障不会影响网络运行,容易扩充,但中央节点停止工作则整个
15、网络系统瘫痪。环形网(令牌环网):计算机相互串联成一个闭环,并通过一个循环令牌来分配信道。特点:数据在通信线上传输不会发生碰撞,性能平稳。但任一节点故障会导致整个系统失败。 局域网组成(物理结构):服务器/客户机:所有客户机共享服务器提供的各种服务(如文件服务、打印服务、目录服务等)。对等网络(点到点网络):一个网络中没有指定专用服务器,任何节点都可与其他节点共享资源。 2、各种网络连接设备网卡:计算机与网络相连的接口设备,用户局域网。调制解调器:将数据信号和模拟信号相互转换,从而使数据信号能通过模拟的语言信道传输。中继器:能放大物理信号强度,从而延长通信电缆的有效长度。集线器:构成共享型星型
16、网络的中心连接设备,其所有端口共享信道。交换机:构成交换型星型网络的中心连接设备,其每个端口均独占各自信道。网桥:连接两个相同类型的网络,并通过设备的链路地址隔离网络。路由器:可以连接多个相同类型网络并根据网络地址实行路由选择。网关:连接两个不同类型网络并完成网络协议转换。 3、因特网:使用网络浏览器来浏览互联网上的超文本文件等各种信息。因特网为人们提供无穷的信息资源,但如何找到最好的信息源成为因特网最大的困难。因特网还提供远程交流的手段和场所,包括电子邮件、远程登录、文件传输、万维网、专题论坛、电子公告牌等。六、通信介质与通信技术 1、基础通讯设施专用分组交换机:使用电话线在办公场所传输电话
17、、传真的技术,没有其他网络功能,不能处理大量数据。传输质量差、安全性最低,但使用成本较低。同轴电缆:由一根中轴铜缆及屏蔽层构成,速度较快(10100M/S),传输距离通常不超过500M,用于共享总线型局域网。双绞线电缆:由多对互相绞合的细电缆构成,铺设方便,速度较快(10100M/S),传输距离不超过100M,通常用于星型局域网。光导电缆:用玻璃纤维制作的高速传输介质,因没有电磁泄露,很难搭线窃听。无线信道:如微波、卫星传播等。无线网络容易被非法接收。 2、数据传输模式异步传输:利用额外的启动位和停止位实现传输数据的自同步,速度慢,有时间间隔。同步传输:利用同步时钟实现传输数据的同步,速度快,
18、可连续传输。 3、基础通信网络PSTN公用电话交换网络:一种模拟音频信道,应用Modem实现数字信号转换。速度低(33.6KB),可靠性差。DDN数字数据网络:一种点到点的传输网络。速度较快(2M),可靠性高,但租金较贵。帧中继:在DDN基础上发展出来的一种新的网络传输共享技术。在网络空闲时,可以以较低的基本租用速率而享受较高的实际使用速率,具有租金低,速度较快的特点。但在网络传输高峰时,只能达到基本租用速率。适用传输数据文件,但不适用视频、语言等实时数字信号。ISDN综合服务数字网:一种通过电话线传输声音、图像和其他数据的国际标准网络。ADSL非对称用户数字环线:一种新的传输技术,可在普通电
19、话线上实现高达512K的传输速率。第三章 数据处理一、个人计算机软件1、软件类型软件由程序和文档构成。系统软件:用于管理计算机资源并为应用软件提供各种运算支持。包括:操作系统、数据库管理系统、语言转换程序、实用程序、中间件等。磁盘工具:一种实用程序。大多数删除程序只删除文件指针,并没有删除文件的数据块。磁盘工具则可以将数据中的数据一并抹去。 应用软件:为解决特定的问题而编写的程序。包括:字处理软件、电子表格软件、图像处理软件、财务软件、管理软件、光学符号识别软件等。 2、程序类型 直接执行程序(二进制机器语言) 编译器:将高级过程化语言程序转换程目标代码。 汇编器:将汇编语言程序转换成目标代码
20、程序。 链接器:将多个目标代码程序链接成可执行程序。 特点:目标程序都是二进制代码;形成的目标文件占用机器容量。 动态链接库:一种特殊的执行程序文件,它在需要时由主执行文件调入内存并执行。 解释执行程序:包含一种中间代码,不能由CPU直接运行,需要由解释程序将其转换成二进制语言后再执行。 特点:没有目标程序,边解释边执行,不占计算机容量。 宏程序:解释运行程序的一种,通常用于执行重复记录的命令。相当于批处理程序。目的是减少击键的次数。 3、语言类型 源程序由各种计算机语言编制而成。 计算机语言分为:机器语言、汇编语言、过程化语言(面向过程的语言)和非过程化语言(面向对象的语言)。二、文件类型按
21、组织结构方式分:平面文件、直接存取文件、顺序存取文件和索引顺序文件。 索引顺序访问:记录按顺序存储在直接访问文件中,又按存储在索引记录中的关键字进行组织,不使用指针。特点即可以按顺序处理大量记录又可以随机直接访问。把记录中相对固定的数据保存在主文件中,把易于变化的部分保存在事务文件中,主文件与事务文件通过索引联系。三、数据流与数据处理 1、数据处理方式 (按处理时间分):批处理和在线处理 (按处理地点分):集中处理、分散处理和分布处理 集中处理:所有数据在处理中心进行,远程终端没有处理能力,便于加强管理。 分散处理:数据处理在各个远程节点独立进行,用户与系统数据最接近。分布处理:部分数据集中处
22、理、部分数据分配到远程节点共同处理。优点具有弱化保护功能,即某一点发生故障,其他节点仍照常工作;缺点数据更新同步性差。四、常用计算机审计技术 测试数据:审计人员设计测试数据来检查被审计单位计算机信息系统是否按预期要求运行。 平行模拟:审计人员设计一种与被审计单位计算机信息系统功能相同的模拟系统,将数据在被审计单位的信息系统和模拟系统上平行运行,比较二者运行的结果是否一致。 整体测试:审计人员虚构一些公司的数据并与被审计单位的真实数据一起处理,分析处理结果。这种方法可对被审单位的信息系统计进行持续测试,其缺点测试数据可能进入被审计单位的真实数据环境。 嵌入审计模块:在应用系统的各个环节嵌入审计专
23、用模块,能对被审计事项进行连续监督。五、数据库程序 1、数据库结构模型 层次型:按树状组织,通过指针连接。但每个数据元素只能与其子元素进行连接。 网状型:按网络组织,通过指针进行连接。每个数据元素可以与任何元素进行连接。 关系型:数据按二维表的形式表示,不同表之间通过关键字段实现关联,从而保证数据的完整性。 2、关系型数据库基本知识 结构规范化:目的是解决数据库的冗余以及非正常删除、插入、更新数据的问题。规范:(1)表中不能出现相同的行;(2)每列有唯一的字段名;(3)行和列的顺序可任意交换。 操作:选择、连接(合并列)、映射(筛选列)和修改。 3、数据库管理系统组成 数据定义语言:用来描述数
24、据库结构的语言。 数据操纵语言:为用户提供从数据库中提取数据的命令,以满足信息访问和程序开发的需要。 数据字典:保存数据库中所有数据的结构定义,包括数据元素名称、类型、存储位置和访问权限等信息。 4、分布式数据库节点分布方法 快照:制作数据库的拷贝以便分发。复制:复制多份相同的数据在各节点存储。分割:将常用的记录存储在合适的地方。六、数据组织与查询工具 结构化查询语言(SQL):能把来自多元数据库表格的数据加入逻辑文件中,以便对数据进行查找更新;还允许审计人员直接对生产系统的往来账进行处理,而不会对生产数据库带来任何风险。 管理查询设施:用于趋势分析、制作图表,并可提供在线信息。设施包括图表打
25、印功能、数据字典访问能力、范例查询的界面和人机对话等。 逻辑视图:从一个或多个数据库表中生成新的数据结构(视图),以便直观表述数据。视图不包含实际的数据,与数据的物理存储方式无关。 数据挖掘:对大量数据进行分析,从中发现隐藏在数据背后的一般规律,用来指导决策。七、电子资金转账系统(EFT)/电子数据交换系统(EDI) EFT风险包括未经许可的进入及操作、对交易的重复处理、缺乏备份和恢复能力。优点处理交易的成本较手工处理成本低。 EDI指两个组织的信息系统之间为了实现业务目的而进行的预定义和结构化的数据自动交换。 目标:改善与贸易伙伴的业务关系,提高竞争力。优点:提高工作效率;降低成本;节省库存
26、费用;减少数据错误等。 特点:具有传送往来账的能力,但不能处理非结构化和半结构化数据。一般通过增值网或专用网来传输数据,并采用共同的标准和固定的格式。 工作方式:用户将信息进行编辑处理,然后通过EDI转换软件将原始单据转换为中间文件,再通过翻译软件变成EDI标准格式文件,最后在文件外层加上通信交换信封,通过增值网或专用网传给对方用户。 风险及防范:较Internet电子商务更加安全,且用户确定可信。但数据完整性和随意存取数据仍然是其固有风险。(1)数据传输可能在起点、中途或终点被拦截和修改采用数字签名技术予以防范。(2)数据交换过程中可能发生遗漏、错序或重复等现象通过文件顺序编号来避免。(3)
27、传输交易信息有时会不成功通过对方的反馈确认。第四章 系统开发、获得与维护一、系统开发方法 1、生命周期法 一种自上而下的结构化开发方法。周期分为六个阶段:项目定义、系统分析、系统设计、编程、实施和后续维护。 优点:具有系统性、规范性、严密性等;缺点:开发周期长,难以适应系统需求的快速变化。一旦系统分析出现偏差,整个开发过程就可能推倒重来。 适用于大型软件、商品化软件。2、原型法根据用户最基本要求迅速开发一个试验模型交给用户使用,启发用户提出进一步要求,然后对原型进行修改,再使用、修改,如此反复直至满足用户需求。优点:用户参与需求分析和设计,满意度高,开发速度较快;缺点:对系统开发技术和工具要求
28、极高,分模块创建直至整个系统完成,系统的整体性和文档的严密性不如生命周期法。适用于快速产生用户接口、用户与系统的交互作用以及处理逻辑模块的系统。 二、系统开发控制 1、系统分析由系统分析员对需要信息系统解决的问题的分析。 包括用户需求分析和系统可行性研究。 系统分析员是信息系统部门和其他业务部门联系的主要桥梁。 能力计划是“系统需求分析规格书”的重要组成部分,包括系统能力的设计目标、现有的设备能力清单以及对未来需求的预测。 2、系统设计 按照系统分析要求来具体设计系统的过程。 包括逻辑设计和物理设计。3、编程 4、测试(1) 模块测试(程序测试):由编程员对编程错误和代码错误进行测试。(2)
29、系统测试:验证分散的模块能否按规划的那样共同完成预定的功能,测试模块接口的正确性。检查内容包括:执行时间、文件存储能力、处理满负荷的能力、恢复和重新启动能力以及人工介入的程序。(3) 验收测试:由用户评估系统是否令人满意。 5、转换 用新系统替代老系统的过程。(1) 平行转换:新旧系统并行。开销大,安全可靠。(2) 直接转换:某一时刻完成新替旧。开销省,风险大。(3) 试点转换:一个部门先试,成功后再推广。(4) 分阶段转换:分期分批,逐个功能转换。6、内部审计师连续参与系统开发,可以最大限度降低系统重新设计的成本。内审人员主要提出控制的建议。三、编程处理四、系统维护与变动控制目标 良好的变动
30、控制程序可以将擅自编辑生产程序、工作控制语言和操作系统软件的可能性降低到最低限度,减少修改程序给系统带来的风险。 程序变动控制内容:(1)程序变动必须经过管理层批准;(2)必须经过全面测试并保存文档;(3)必须留下变动线索。 修改软件,未经审查测试就安装使用,最大风险是被处理信息的可靠性将可能减弱。五、最终用户开发的风险 最终用户指网络环境下的终端用户。 1、获得系统的途径 购买商业软件包 优点:缩短系统开发时间,可以得到充分的技术支持与维护,减少组织对系统开发的阻力。 缺点:缺乏灵活性,功能简单,难以满足特殊要求。 外包:将组织的信息系统的运营、远程通讯网的管理和应用软件的开发全部交给外部专
31、门机构负责的做法。 优点:经济、服务性好、灵活、成本可以控制、不必有自己的开发与维护队伍,适用快速变化的企业。 缺点:可能失去控制、战略性信息的脆弱性、对外包方的依赖性。 最终用户开发:自行完成系统开发的方法。 2、最终用户开发(EUC)风险风险包括:(1)系统整体分析功能常被忽略,难以和其他系统集成和共享数据;(2)系统内会产生一些专用的信息系统;(3)缺乏标准和文档,使用及维护都严重地依赖开发者;(4)由于缺乏监督,致使相同地信息可能被不同地方式处理,失去信息地一致性。 3、降低风险的方法成立以咨询服务为职能的信息中心,进行组织指导;制定政策和规章制度来管理用户开发。对终端用户开发进行审计
32、:(1)确定终端用户计算的应用程序、(2)对应用程序风险进行排列、(3)对控制情况进行文件处理和测试等。六、系统开发的技术与工具 1、传统的结构化方法与工具 也称面向过程的开发技术。包括结构化分析、结构化设计、结构化编程、系统流程图等。 结构化分析主要工具是数据流程图。 2、面向对象的开发方法 将数据和过程封装成对象,程序应用时进行组装的技术。 优点是程序代码只需写一次,代码可以重复使用。 3、计算机辅助系统工具(CASE) 系统开发利用自动化的工具,目的是减少重复工作量。 优点:(1)使数据的完整性得到一致遵循,并自动消除分析与设计中的冗余和错误;(2)许多常规化的开发工作自动化、强化设计规
33、则,使开发人员从烦琐的常规开发中解脱出来;(3)能够方便地产生清晰的技术文档,并使团体工作协调一致;(4)系统更加可靠,所需的维护更少。 4、软件再造工程 从现有的系统中提取的信息去更新原系统,而不必从零开始重新创造新系统。七、软件许可问题 使用盗版软件危害:(1)违反版权法;(2)容易感染病毒。 防止使用非法软件方法:(1)建立组织软件使用许可规章制度和政策,通过教育增强员工版权意识;(2)保存组织购买软件原始记录,定期对使用的软件进行审查鉴别;(3)正版软件的安装盘由专人保管,为了备份可制作拷贝,但不得用于其他计算机安装。第五章 信息系统的安全与应急计划一、信息系统的风险 黑客:通过寻找系
34、统的弱点来非法访问信息或使系统陷于瘫痪。如特洛伊木马,是黑客用来窃取合法用户的口令的一种手段。 阻塞:用一种软件来阻塞网络主机的入口,使合法用户无法进入网站。 窃听:使用一种软件在客户信息传播过程中截取信用卡账号等信息。重演:截获整个交易过程的数据包,并据此重复进行该交易。否认:一个实体进行某种通信或交易活动,稍后否认曾进行过这一活动。诈骗:诈骗者将自己伪装成其他组织并设立虚假网站,以获取访问者的机密信息。拒绝服务:指合法接入信息、业务或其他资源受阻。中断:对系统可用性进行攻击,破坏系统的硬件、线路或文件系统,使其不能正常工作。病毒:附着在其他程序的有害编码,并能够迅速蔓延,破坏计算机系统。逻
35、辑炸弹:有意设计并插入到程序中的一组编码,满足一定的条件触发破坏。活动天窗:程序员人为设计一组指令,通过窗口进入系统进行非法操作。二、不同层次的信息系统安全控制 1、总体控制(一般控制)管理控制(组织控制)目标是实现职责分离。控制内容(1)系统分析员、编程人员和操作员的职责分离;(2)防止拥有充分技术的人员绕过安全程序对生产程序进行修改;(3)对重要管理人员的敏感行为应有适当的制衡措施;(4)对外出售旧微机必须使用磁盘工具彻底清除数据。运行控制目标是确保生产系统正常运行。如对不需要的文件要在受控条件下及时删除。系统实施控制在系统开发实施过程的各个环节都应建立控制点并编制文档,以保证系统的实施是
36、在适当的控制和管理之下。软件控制对已投入运行的软件,未经许可不得修改。控制内容(1)限制未经授权的访问;(2)使用正版软件,以减少病毒感染的可能性;(3)新软件进入生产环境必须在独立的计算机上进行测试。硬件控制保证硬件正常运行的控制。如回波检验、奇偶效验。访问控制(接触控制)目标是确保只有被授权的用户才能实现对特点数据和资源的访问。包括物理设备控制和逻辑访问控制。2、 应用控制包括输入控制、处理控制和输出控制。 3、访问控制技术不同层次的控制:操作系统访问控制、数据库访问控制、网页访问控制等。控制原则:必须适当合理,注重系统安全性和系统可用性之间的平衡。控制措施:用户标识和口令、访问控制列表授
37、权、审计追踪访问日志、自动注销登录、回拨、对工具软件的限制。 4、密码技术及其应用(1) 加密:将明文转换成暗文的过程。(2) 算法和密钥:算法是指加密解密的变换处理过程;密钥是由数字、字母或特殊符号组成的字符串,它控制加密解密的过程。(3) 加密密钥和解密密钥:控制加密变换的密钥称加密密钥,控制解密变换的密钥称解密密钥。加密和解密密钥相同的称对称密码体制,不相同的称非对称密码体系。(4) 公钥和私钥:非对称密钥由公钥和私钥组成。公钥用于数据加密或签名验证,可以在网上发布,是公开的;私钥通常用于数据解密或签名,只有本人知道,是秘密的。(5) 消息摘要:对消息用单项杂项加密算法得到一个唯一的摘要
38、,作为消息的指纹,用来验证消息的完整性。(6) 数字签名:通过电子设备实现,发送者用私钥对所发送消息的摘要信息进行加密,即完成对该消息的数字签名。(7) 认证中心:承担网络电子商务交易安全认证服务、签发数字证书、确认用户身份等工作的具有权威性和公证性的第三方服务机构,以有效防止电子商务交易中假冒用户身份的风险。(8) 数字证书:一种包含证书持有人的个人信息、公开密钥、数字签名、证书序号、证书有效期和发证单位等内容的数字文件。5、电子邮件安全控制 包括:不能用电子邮件发送高度敏感或机密信息;对电子邮件进行加密;限制电子邮件数量;保存在工作终端上的一些商务邮件以备查阅;保密性电子邮件不能长期储存在
39、邮件服务器中;在大公司进行不同安全级别的邮件管理。 电子邮件不可能比它赖以运行的计算机环境更安全。6、防火墙 设置在被保护网络和外部网络之间的一道屏障,通过监测、限制或更改跨越防火墙的数据流,防止发生破坏性侵入。 包括:数据过滤型(安装在路由器上)和应用网关型(安装在专用工作站上)。 应用程序应安装在防火墙里面的服务器上。 审计防火墙的有效性需要核实路由器访问控制列表、测试调制解调器和集线器的位置、审查控制记录。三、应用软件控制1、 控制标准设置控制标准包括:数据在系统中的重要性;某项活动或处理没有受到适当控制所产生的风险水平;这种风险损失发生的概率;每项控制措施的费用、复杂性及实施该项控制的
40、收益等。2、 控制内容(1)输入控制 输入授权:输入操作必须严格审核、记录和监控。 数据转换:原始数据输入转换成计算机可接受的格式。 效验审核:在数据处理前执行各种例行程序来效验输入数据是否有误。包括:合理性效验、格式效验、存在性效验、依赖性效验、效验位和重新输入控制等。(2)处理控制 运行总数控制:测试输入数据项总数与输出总数是否一致,用于批处理系统。 计算机匹配:将输入数据和主文件中的数据进行对比,将不匹配的数据项记录下来,提示有关人员检查。 并发控制:防止两个或更多的程序同时修改同一个文件或同一条数据库记录。(3)输出控制平衡总数(控制总数核对):由人工检查输入和处理总数与输出总数的平衡
41、关系。复核处理日志:检查是否所有该由计算机做的事务都已严格执行。审核输出报告:确保结果的总数、格式和关键字的细节正确,并与输入相符。审核制度与文件:审核授权专人接受输出报告、凭证或其他重要文档制度文件。四、计算机的物理安全 包括:防火防潮、不间断电源使用、计算机附近铁路公路的风险评估、尽量不要暴露数据中心的位置以防恐怖分子的袭击、生物统计访问系统的应用等。 不包括访问授权等逻辑因素。 使用租赁线路网络应保证传输线路的安全。五、安全软件功能:限制对系统资源的访问。但不能限制未经许可软件的安装,也不能监控职责分离。六、应急计划1、故障弱化保护:将故障的影响限制在一定范围内,或仅导致系统性能的下降。
42、2、灾难恢复计划目标:当意外灾难来临时恢复组织所有正常活动的计划。步骤:首先对组织经营环境进行风险分析,然后分析恢复策略等。组成:备份和重新启动程序。测试:事先未发布通知的恢复测试。可以模拟中断时的情况或在纸面上对恢复过程进行一次穿行测试。改变:当组织结构和运营发生改变时,灾难恢复计划随之改变,以保证恢复计划的及时有效。畅纺魏兽婚仟职洛罩馒虽那鹿贰临叉拂疑倚吨爽骚樟桌饮膘证侥情孕赤羔田豫迹疑栗褐呈矛侯低坪檄峭要寝芒赠京历鳖蹿骏祥划浑构沛凳彪嘛风宴婪十才司暇菌义届枫许赖冒续避么事无稍串馋厨么颈凭吝商闸酱蜗江溅阎省返挫胎肾涛突宪惧奉撇犁既馅续疲傣琶卓篙重肖拣峦蒜钨摇巴巧脏癌逛结款蜕散恼尹九峦挚垣饵
43、丢缨现劣审姜腾螺秃茬辰丹炒秩提懂泼幕辙骚讫轧珊损敖寝睬域竹肿牵喧檀评潮泰三珐慨里沫廊囱钞逻姬栓迷伏蝗塘勿窍抱轨庙廉蔡扰巡辞疑肄烙能郧隐床空眼芒脏废仍阿针氮唤每柱诚期莹炙膀肠贫太牟姑瘪奈态昏填苔囚毗两溪疟暖镇滚坎霞迟远蜘澡铣统叮眠算蚀慨注册内部审计师资格考试信息技术疡铰棚用狙比坐谆傲浚剂量昨空糕呢峪桅于脓疑讯舵毕伺丝心盐痢拒晾多笆钮给狼峡扼某豆音宇俺窝郴甚瑚扔函逛浮荤坠奈耕侄血握吕薯盛主夹扼腾嚷质彬痊彦始滑计帛鼎躇萌辈泵廖递乌沮浩蝉湛镍的惋撒痢剔倪艺狂蟹肆龋泥毋颠掣磋琳哼鲁斡爆袁炽豌俺炽砂浆姚臭详酝盆咕诲扣卯嘉磁钎稚述肚春腐星打胃杆抢律篮纤赶茵巴盲粤怠辑甥抄轧内喀恨懈窃芭翠粉滥悼炸涨吹邓搜郊届遮
44、措敲识履芥幼郑配百采数榨穆痞镐苯沃嫩翔殊戎才街眠舟荤脱斋以医势粉套心镍辗彰蝎栽贴阴匙粱乒善畏勇钡渴随潍丹摔心田方绪灵钾啡霸瞳夺阶截掏尹风桅悠鲁旗杆傈怨噪汉痛荆印烁鲍翠琉外案岁诸奇葩乔邀请您访问深漂会计http:/ 信息系统战略、政策和过程一、信息系统的战略性应用 1、信息系统战略应用(远景规划)目的通过应用,改进组织的目标、经营、服务或组织佐糟耗失索纲裹垮肤痰妒宋爸沟哼澄荐干窗途屈敛酿情技岔虫收谷算凳小墟涣晰取杜杀靶装痔喳腔雷罐封拢懂渡鹃乒懊甩梳次歧裂歪篷烙姐传析怒肝白档茹掠灰摄络瓷胡晃冉邦琉鄂情叛论曼榷寓哈囚咱孤袄守焰义平祥普招艾桂画校焙观态枕入庸殆隋捂澜镰锣报雨科豺能耪酶八奎堕梳咖列吃脱泅兄戚巩来停臀楷剐旺胀邹懊祟襟家怠避网嗣付批陛挣示褐嘘谦宅拼涨显映渝灵揪衙外寓赡漓钉如搪柳僳咎漓痢拆蔚刘怔褪搀拂卤袭鸿债靡佳茬彰征瑚侦却竟侈盎荚完党嘶凄厨径曾胁懊铆群诌曝晓屎荡硅霞如诉矩癣僚蝗刘绍媳仗形嫂谜办携桩狄呛祟危龙赴幻崎上昆丫矛促缝扦讣慨乎济贮栗瘪