信息技术与计算机审计1.ppt

信息技术与计算机审计,中山大学管理学院 陈婉玲编 制,一、计算机系统基础知识,1计算机的基本组成：主机（包括CPU和内部存储器）和外围设备（如键盘、显示器、磁盘驱动器、打印机等）。 2计算机的类型：大型机、中型机、小型机、微机（台式电脑、手提电脑、掌上电脑）。,3计算机与网络系统的有关人员,(1)计算机程序员。 (2)系统分析员。 (3)网络管理人员。 (4)计算机操作员。,4.电子数据处理（EDP）的组织形式,(1)集中式集中由一个计算机处理。 (2)分散式多个独立的没有直接通讯与联系的计算机处理。 (3)分布式数据分散式处理，各计算机互相联系，允许数据进行交换。,5计算机软件,(1)系统软件负责控制与分配计算机资源，帮助计算机硬件有效工作，并使应用软件正常运行的计算机程序。 （2）应用程序用于满足特定用户需要的计算机程序，如工具软件（包括字处理程序和电子表格程序等）和商业应用软件（如会计电算化和仓储控制软件包、特殊商业应用软件等）。,二、计算机网络基础,1. 计算机网络 计算机网络指为实现相互通讯和共享软、硬件等目的，通过通讯线路、网络接口部件连接起来计算机群。 根据数据信息传输距离，计算机网络通常可分为局域网（LAN）、城域网（MAN）和广域网（WAN）。,2.网络设备,主要的网络设备有：网卡、集线器、中继器、网桥、路由器、网关和调制调解器等。 3.网络的拓朴结构 指网络中计算机连接形式。常见的拓朴结构有星型、总线型、环型和网型及其组合。,4.网络协议,指网络中计算机间互相通讯的预定规则 Internet所用的网络协议是TCP/IP（传输控制协议/互联网协议）。 5. 数据通信 是指通过通信线路传输数据、声音及影象。它要求四个不同的组件：发送方、接受方、媒介及消息。,三、系统开发及其审计,（一）常用的系统开发方法 1.系统生命周期法：系统生命周期法就是按系统生命周期的各个阶段划分任务，按一定的规则和步骤，有效地进行系统开发的方法。,（一）常用的开发方法,2.原型法： 原型法是先根据用户的最主要要求，开发出能实现系统最基本功能的一个原型，再根据用户对原型使用与评价的意见，反复修改完善原型，直至得到用户满意的最终系统为止。,（二）系统生命周期法,系统准备阶段： 其主要任务是了解用户的要求，确定新系统的目标，对要求开发的新系统从技术上、经济上与实施上是否可行进行可行性分析。这一阶段的主要文档资料是可行性研究报告。,系统分析阶段：,其主要任务是在可行性分析的基础上，对原有系统进行详细调查分析，收集原系统所有的文件（凭证、帐薄、报表等）样本，明确用户对系统的全部需求(包括功能、性能、安全等），根据用户需求提出新系统的逻辑模型。此阶段的主要文档资料是系统分析报告。,系统设计阶段：,其主要任务是根据系统的逻辑模型进行系统的总体设计和详细设计，包括模块设计、代码设计、输入输出设计、数据文件设计、安全保密设计和处理流程设计。此阶段的主要文档资料是系统设计报告，包括系统概要设计说明书和详细设计说明书。,系统实施阶段：,其主要任务是根据系统详细设计说明书用选定的程序语言或编程工具编写源程序，进行程序的测试、模块的联调和系统的总调，编写出系统操作手册或用户手册，组织系统的试运行与评审。此阶段的主要文档资料包括源程序表，系统测试报告、操作手册和评审报告等。,运行维护阶段：,其主要任务是正式使用系统，并且在需要时进行系统维护。此阶段的主要文档资料有系统运行日志和系统维护报告。 系统生命周期法适用于开发较大型、综合、功能明确且复杂的信息系统,（三）计算机信息系统开发的审计,（1）审查系统开发的可行性。 （2）审查系统功能的合规、合法性。 （3）审查系统程序控制的恰当性。 （4）审查系统的可审性（注意留下充分的审计线索）。,（三）计算机信息系统开发的审计,（5）审查系统测试的全面恰当性（参与系统测试，审查测试数据、过程和结果）。 （6）审查系统文档资料的完整性。 （7）审查系统的可维护性。,四、计算机信息系统的内部控制,（一）一般控制（general control） 指对信息系统的构成要素和环境实施的控制，包括组织控制、硬件与系统软件控制、系统安全控制、系统开发与维护控制。 1. 组织控制 最基本的要求是程序员与系统维护人员不能负责业务的处理，不能操作已正式投入使用的系统。,2硬件与系统软件控制,（1）硬件控制指确保硬件运行正确的控制，包括：奇偶校验、重复处理、回波检验等。 （2）系统软件控制指编写在系统软件中，为提高系统安全而设立的控制，包括：错误的处理、程序保护、数据文件保护、系统接触控制等。,3. 系统的安全控制,()接触控制 硬件的接触控制 软件和数据文件的接触控制 系统文档资料的接触控制,()后备控制,硬件备份 磁性文件备份 应急计划（又叫灾难补救计划）指预先制定的，万一系统出现灾难性损毁时的应急措施和利用后备的硬件、软件、数据文件恢复系统的计划。,()环境安全控制,电源的控制 其他环境控制 ()计算机病毒与黑客的防范控制,2.系统的开发与维护控制,()系统开发前应进行可行性研究。 ()系统的设计应有用户的代表和内审人员的参加。 ()系统的检测应有用户代表和内审人员的参加，经验测满意的新系统，要经过与原系统并行试运行一定时期，并经过审批才能正式投入使用。 ()系统正式投入运行以前，应按规范要求编制好系统的文档资料。,(二)应用控制（Application control）,1.输入控制 (1)只有经授权的人才能进行输入操作，要按规定输入真实的数据，输入操作要作记录，输入数据要经核对才能处理。 (2)由计算机对输入的数据进行检查，以防止和发现数据输入的错误。 (3)凡被计算机发现的错误，应由操作员检查，由出错的人改正后重新向系统提交。,常见的计算机检验技术,（1）业务数点计与控制总数核对。 （2）代码的有效性检验。 （3）顺序检验。 （4）平衡检验。 （5）合理性检验（又称极限检验）。 （6）完整性检验。 （7）数据类型、长度、符号等检验。,2.处理控制,()控制只有经批准的人才能执行数据处理操作，并要作好操作记录。 ()由计算机对处理条件进行检验，保证满足条件才能处理。 ()由计算机对处理结果进行检验，加强处理结果的正确性。,3.输出控制,（1）控制只有经批准的人才能执行输出操作，并要作好操作记录。 （2）打印输出的资料要进行登记，并经有关人员检查后签章才送出使用或按要求归档保管。 （3 ） 应建立输出资料的传递、签收与保管制度，未经批准的人不得接触系统的输出资料。,五、计算机服务中心,审计人员应复查本单位与这些服务中心签定的合同，以确定已提出的数据所有权和保密要求。错误或处理延迟、记录丢失或者服务终止的责任等应清楚地加以介定。应建立当发生影响服务中心操作的紧急情况时的应急计划，也应有该中心结业或迁移时对计算机服务的明确安排。,六、对计算机信息系统的功能或应用程序审计的技术,1测试数据法：它是设计测试性数据以检查计算机系统是否能按预期要求运作的方法。 采用检测数据法对计算机系统的功能进行审查的方法是：把预先准备好的检测业务输入被审的系统进行处理，得到处理的结果与审计人员根据正确的处理原则准备的应有结果比较，进而导出审计结论。,检测数据应包括下列两类：,正常的、有效的业务数据。它们可以审查系统的处理功能是否恰当。 有错漏、不完整、不合理、不正常的业务数据。它们用于审查系统的控制功能是否有效。,2.平行模拟（并行模拟）法,用这种方法，审计人员要建立一套模拟被审系统处理和控制功能的应用程序。所处理的数据可以是测试数据，也可以是实际数据。数据在被审单位系统中运行，也在模拟系统中运行，比较两者运行的结果，进而导出审计结论。,3.受控处理,受控处理法是在系统正常的运行中，审计人员监控系统对各类真实业务的处理并取得相应的处理结果；同时，审计人员根据正确的处理原则得到相应的业务正确的处理结果；把系统处理结果与正确结果比较，从而导出审计结论。,4.受控再处理法,保留以前测试此系统所用的测试数据和测试结果，在需要对系统再次测试时，把以前处理测试数据输入系统进行再处理，把再处理结果与以前的处理结果比较，从而确定被审系统或程序是否被改动过，功能是否正确。,5.整体测试法(ITF),采用此方法，先在系统中建立一个虚拟个体，就虚拟个体设计有关的测试业务，在被审系统处理真实业务的同时处理虚构个体的测试数据，将系统对测试业务的处理结果与应有的预期结果比较，从而判断被审系统的处理和控制功能。该方法较可靠，但如果未能恰当处理虚拟的测试数据，可能对被审单位真实的业务数据造成破坏或影响。,6标记和跟踪,为避免对真实数据影响，标记某些数据或业务类型，跟踪标记业务通过系统的过程，并用这些标记的数据建立一个审计数据文件。该文件将证明系统对标记业务的处理和控制情况，可用于对计算机系统的审计。,7程序分析（程序编码审查法）,此方法指对程序编码的详细分析，从而确定系统是怎样处理的，有什么控制，是否能实现预定的功能。 8其它技术。除上述各方法外，还有流程图验证法、程序比较法、程序跟踪法等方法。,七、计算机辅助审计,1计算机辅助审计管理与审计办公自动化：字处理软件、电子表格软件及其他办公自动化软件。,2对计算机信息系统的数据文件审计的技术,（1）利用审计软件辅助审计（通用审计软件、专用审计软件） （2）利用数据库管理系统辅助审计（如SQL、INFORMIX等） （3）利用被审电算系统的功能辅助审计（如电算会计系统的查询、统计或财务分析等） （4）利用电子表格软件辅助审计（如EXCEL、LOTUS等）,八、电子商务简介,1电子商务及其分类 （1）电子商务狭义是指利用计算机和网络技术来做生意，或通过电子信息网络从事商贸活动。 （2）电子商务的分类：按网络技术基础分：基于EDI（专用网或增值网）与基于Internet的电子商务。按交易对象分：B to B, B to C。,2电子商务的应用层次,（1）初级：主要利用网络宣传企业产品和形象。 （2）中级：除实现初级的功能外，利用计算机与网络进行贸易商谈、传递商业文件（订单、合同、发票、发货单等），提供售后服务，进行市场预测等。 （3）高级：商务活动的全过程实现电子化网络化，从外部交易（包括支付）到内部生产经营最大程度实现电子表化。,3.电子商务系统的功能,1交易前：商品信息发布、促销、寻找交易机会，查询、比较价格与条件、选择交易对象。 2交易中： 贸易谈判，签订合同（价格、数量、交货时间、地点、交易与付款方式、违约与索赔，订单变更等）。,3.电子商务系统的功能,2交易中： 办理交易中的各种手续（如信用卡公司、银行、保险、运输公司、海关、商检、税务等各方手续，发货单、发票、付款通知，网上商品传递等）。 网上支付：信用卡、电子现金、电子支票。 3交易后：领带售后服务（咨询、指导、反馈意见）、备货、若受损索赔。,4.电子商务的安全要求：,（1）信息保密性：如信用卡贴、密码、要保密的商业信息 （2）身份的可确定性：确认交易各方的身份 （3）交易与信息的不可否认性：已签定的合同、已签发的文件单据不可否认 （4）信息与文件的不可修改性：已签发或收到的单据不可修改,6.电子商务中常用的安全控制技术,（1）数字加密： 对称加密技术加密和解密用相同的密钥 优点：简单快捷，密钥较短，不易破译 缺点: 要求有安全途径把密钥传送给对方 密钥的管理与颁发工作有较大危险。 一个单位会因要保管太多密钥难于管理 此加密不能对信息的完整性进行检查。,非对称加密,加密与解密用不同的密钥。密钥是成对的，一个可公开（称公钥），另一个保密（称私钥），用其中一个加密，另一个才能解密。 优点：可克服上述对称加密存在的问题 缺点：加密与解密时间长、速度慢，不适用于较长文件的加密。 一旦私钥被人窃取，后果相当严重。,（2）数字摘要,数字摘要：在电子商务中，要求的是对整个交易文件的内容签字者不可否认，他人不可修改。由于非对称加密不宜用于较长文件的加密，固常采用数字摘要技术。数字摘要又称Hash函数，它根据原文（包括交易文件内容与签名）按一定算法摘成一串128位的“摘要”，它有一定长度，且每一摘要与原文唯一对应，因而可作为鉴别原文的“指纹”。,（3）数字签字,数字签字：签名者用自己的私钥对自己的签名（某些字串）进行加密就成数字签字。接收者用相应的公钥解密后可识别其签名。因为只有签名者掌握自己的私钥，所以数字签字同白纸黑字签字一样可有不可否认性。,（4）数字证书,由认证机构颁发的、用电子手段证实一个网上用户身份的证书。其内容包括： *证书所有者的姓名 *证书所有者的公钥 *公钥及证书的有效期 *颁发证书的单位名称 *数字证书的序列号 *颁发证书单位的数字签名,（5）数字时间戳,作用：由独立的专门机构加上时间戳，以证实文件签发的时间。 操作： 用户生成一个需要加时间戳的文件数据摘要发送至数字时间戳服务机构（DTS） DTS收到后，在其后加上收到的日期时间和签名，并用自己的私钥加密后发回给用户，用户可把加有时间戳的文件发给交易伙伴，以确认合同时间。,（6）防火墙（fire wall）,防火墙置于企业内部网与外部网之间，用于防止企业外部访问者入侵的硬、软件。它通过截获进入本单位网的信息包，检查其特性，拒绝一切未经授权的信息与访问的企图。常见类型有：过滤型把未被允许或被禁止的信息过滤掉才进入内部网。代理服务器型代理服务器把内部网与外部网隔开，外部信息不能直接进内部网。,（7）网上支付的安全控制,（1）SSL（Secure Sockets Layer) 安全套接层协议。客户把购物信息及委托银行付款的委托书先发往商家，商家再把客户的付款委托书发往银行，银行验证客户身份并划款后通知商家，商家再发货并通知客户购买成功。此方式对商家有保障，但商家可掌握客户信息，要求商家进行安全承诺。,(5) SET（ Secrure Electronic Transactions)安全协议,客户提出电子订货，商家回应客户请求。客户把自己信用卡号码、密码等用发卡公司的公钥加密，附在正式订单上，加上自己的数字签字发给商家。商家接收后向自己的开户银行传送客户支付授权资料，开户行把资料送发卡行请求支付确认，发卡行审核后把确认信息返回开户行再通知商家。 商家确认订单并发货，同时把发货证明送开户行请求付款。开户行把有关资料通知发卡行，发卡行根据授权划款。,九、信息技术的有关术语和基本概念,（1）数据仓库：面向主题的、集成的、稳定的数据集合。支持经营决策（每个主题是一个客观分析域）。其本质是从业务处理得到的数据经过加工处理为决策服务的信息集合。,九、信息技术的有关术语和基本概念,（2）客户机/服务器（CS）：是目前流行的一种计算机工作模式。在此模式中，系统硬件由客户机和服务器组成。在这种工作模式中，应用程序由服务器端程序和客户端程序组成，前者负责信息处理与查询等工作，后者负责与服务器联接和发送文件或信息传输请求等工作。,九、信息技术的有关术语和基本概念,（3）浏览器/服务器（BS）：是目前Internet上查询浏览的主要工作模式。它具有客户机/服务器的处理特性，软件、数据库集中管理，分散处理。它有三重结构：浏览器Web服务器数据库服务器。浏览器允许用户根据超文本链接进行漫游，不必进行有目的的查询，鼓励偶然发现。Web服务器负责接收远程/本地查询请求，到数据库中获取相关数据，把结果传送回浏览器。,九、信息技术的有关术语和基本概念,（4）局域网：指范围在几公里以内的网络。网的拓扑结构有总线型、环型和星型等。 （5）城域网：指在一个城市范围内操作的网络，或者是物理上使用城市基础电信设施的网络。,九、信息技术的有关术语和基本概念,（6）广域网/远程网：是一种以连接主机系统为目的，跨越广阔的地理范围，普遍利用公共电信设施和少数专用线路进行高速数据交换和信息共享的计算机网络。其拓扑结构多呈网状。,九、信息技术的有关术语和基本概念,（7）电子数据交换（EDI）：又常译为无纸贸易。指通过专用计算机网络把供应商、运输商、制造厂、银行、经销商等贸易有关各方连接起来，以便实现电子贸易。贸易中全部信息以电子数据形式传递，因而没有传统的纸性单据，故称无纸贸易。因为它要连接不同的各方，所以要求有标准、统一的数据接口。,九、信息技术的有关术语和基本概念,（8）销售点终端（POS）：通过计算机网络把银行、客户、商店间联系起来，实现销售时自动结算的系统终端。通过它，在商场中可利用银行卡买东西，通过银行结算系统自动结算。同时，系统还可以提供企业库存、销售、营业员业绩等信息。,九、信息技术的有关术语和基本概念,（9）面向对象程序设计方法：简称面向对象法。它对应于面向过程的程序设计方法。面向对象法把事物定义为对象。具有共同特性、共同操作性质的对象的集合叫类，类又可分为子类。在定义了某类的特性后，其下的每个子类均可自动继承其属性和操作。因此，在面向对象的程序设计中，主要的任务是定义与描述对象。它与面向对象分析及面向对象设计相适应。它可以提高编程和以后程序维护的效率，另外，它有封装性，因而使信息更隐蔽。但因为封装性，当程序出现错误时，进行检查和修改可能比较困难。,九、信息技术的有关术语和基本概念,（10）面向过程程序设计方法：这种程序设计方法着眼于把输入数据处理变成输出信息的过程。面向过程的程序设计是用结构化语言把输入数据变成输出信息的过程写出来。它与结构化分析与结构化设计相适应。这种程序设计方法现在逐步被面向对象程序设计方法所取代。,九、信息技术的有关术语和基本概念,（11）增值网（VAN）：专用的、多通道、只传递数据，由第三方管理，多用户使用的网络。所谓增值是由于第三方提供远程通讯和计算机服务，用户只须付租金，不必投资于网络设备与软件，也不必进行网络管理，便可得到可靠的网络服务，使用户在通讯上得到外加的价值。,九、信息技术的有关术语和基本概念,（12）传输控制协议互联网协议（TCP/IP）：是Internet使用的标准通讯协议。TCP/IP协议分为下列四层：（1）网络接口层，负责接收与发送物理帧；（2）网络层，负责相邻结点之间的通讯；（3）传输层，负责起点到终点的通讯；（4）应用层，提供诸如文件传输、电子邮件等应用程序。,九、信息技术的有关术语和基本概念,（13）国际互联网（Internet）：国际互联网又称因特网，是通过路由器把世界各地的计算机或计算机网络连成的一个大网络。它能提供下列服务：（1）远程登录（Telnet）：登录到远距离的计算机上，使用其信息，可查全世界的开放资料。（2）文件传输（FTR）：利用文件传输协议，可从一台计算机复制文件到另一台计算机，不管其有多远。,国际互联网（Internet）：,（3）文件检索（Archie）：它通过每隔一定的时间间隔与所有的FTP主机建立连接，把这些主机存有公开文件的目录清单存入Internet Archie数据库中。用户要查找文件时，只要输入已知的文件名或用通配符，Archie可找到其存放处，给出路径。,国际互联网（Internet）：,（4）Gopher：一种菜单驱动的Internet信息资源检索工具。它通过菜单发出请求，服务系统自动与相应的主机建立连接，并完成指定的检索任务。它曾广泛应用，直到1995年才逐渐被基于超文本链接、具有图形用户界面、可显示多媒体信息的WWW环境取代。,国际互联网（Internet）：,（5）专题讨论（news group）：又称新闻组，是在Internet上建立的专题讨论，讨论内容划分小组，你可参加任一小组讨论，可阅读其中的文章，也可发表自己的意见，或针对人家的文章发表评论或作出答复。,国际互联网（Internet）：,（6）WWW（万维网/环球网）：是建立在客户机/服务器模型之上、以HTTP（超文本传输协议）为基础，能够提供面向各种Internet服务的一种友好的信息浏览系统。它可以把各种类型的信息（如文本、图象、声音、动画、录象等）和服务（如News、FTP、Telnet、Gopher、e-mail等）无缝连接，提供生动的图形用户界面。用户只要提出查询要求，可完成查询；可查文、图、声等信息。,国际互联网（Internet）：,（7）电子邮件（Email）：通过Internet发送的邮件。它具有快捷、便宜，一份可同时发送给多人，可附发文章，可转寄等特点。Email的传递由简单邮件传输协议（SMTP）来完成。SMTP是TCPIP的一部分。,九、信息技术的有关术语和基本概念,（14）企业内部网（Intranet）：企业内部按Internet标准和Web技术建立的企业内部网。它采用TCPIP协议，可以把企业内原有的网络设施连入网中，亦可与Internet联接。,九、信息技术的有关术语和基本概念,（15）防火墙（firewall）：置于一个单位内部网与外部网之间，用于防止外部访问者入侵系统的硬、软件。防火墙一般分过滤型和代理服务器型。过滤型防火墙通过截获要进入本单位内部网的信息包，检查其源地址、目的地址、路由和数据内容等特性，过滤出可疑的东西，拒绝一切未经授权的信息与访问的企图代理服务器型防火墙不允许外部信息直接进入内部网，而只能到达代理服务器，数据通过时代理服务器要求要完成准确的注册与鉴定，对访问提供控制与过滤作用，从而提高内部网的安全性。,九、信息技术的有关术语和基本概念,（16）企业间外部网(Extranet)：允许与企业有密切联系的部分企业外用户（如客户、供应商等）访问的企业内部网。 （17）电子商务（e-commerce/e-business）：电子商务是指利用电子方式进行的商务活动。早期的电子商务是以EDI为基础的。现在的电子商务一般指在Internet上进行的商务活动。,九、信息技术的有关术语和基本概念,（18）路由器（Router）：路由是指网络住处由源位置到目标位置传输的路径。路由器是一种能分析选择Internet上最快捷、畅通到达目的地路径的专用计算机。有些路由器还具有带宽优化和防火墙功能。 （19）黑客（Hacker）：一般指利用计算机网络对别人的计算机进行攻击、破坏等违法活动的人。,九、信息技术的有关术语和基本概念,(20)计算机辅助软件工程（Case）：指利用计算机辅助开发计算机信息系统。其软件功能包括：自动编制文档，检查数据流图的完整性，根据数据流图自动生成数据字典，在系统开发成员间分配说明书（数据字典、处理逻辑等），自动程序码生成器等。,九、信息技术的有关术语和基本概念,（21）屏幕保护程序：指在终端操作停止一定时间后自动执行的程序，它能自动对屏幕进行保护，以延长屏幕寿命。有些屏幕保护程序还可以对屏幕加锁，当要恢复屏幕原显示内容时要求输入密码，以防止未经授权的人窃取机密资料。,九、信息技术的有关术语和基本概念,（22）网桥（Gatebridge）：联接两个网络（一般是通讯协议相同的网络）的专用设备。以便网间能相互通讯，达到更远的地方。在Internet上已逐步被路由器取代。 (23)网关(Gateway)：联接两个通讯 协议可以不同的网络的专用设备。较网桥复杂，要转换通讯协议，使协议不同的网络间能通讯。在Internet上已逐步被路由器取代。,九、信息技术的有关术语和基本概念,(24)集线器：将终端线集中的设备，以便集中后在通过高速线路接到通讯控制机。 （25）神经网络：模仿生物大脑处理信息的硬件和软件系统。它能象生物的神经网络那样把神经细胞接收的信息传送到大脑，大脑作出反应指令，再传到反应部位。,九、信息技术的有关术语和基本概念,（26）虚拟组织：通过网络把人、资产、思想（理念）联系在一起，生产与分配产品与劳务，没有边界与实际地点的组织。它是随着Internet技术与电子商务发展起来的一种新型的组织。,九、信息技术的有关术语和基本概念,（27）抽点打印：是一种计算机审计技术。采用这种方法进行审查，审计人员随机抽选一些业务，并对被抽选的业务打上标记，审查系统对这些业务是否按预定要求进行处理，处理结果是否正确，从而判断系统的功能是否正确。,九、信息技术的有关术语和基本概念,（28）“臭虫”：是指软件中存在未被检测出来的错误。其最大的危害是会引起系统崩溃。 （29）安全漏洞：是指软件中未被修补的、可被攻击者用来窃取信息和破坏系统的软件缺陷。它的危害完全取决于攻击者的意图。 臭虫和漏洞被列入数字化时代的三大安全威胁之中。,九、信息技术的有关术语和基本概念,（30）计算机病毒：常简称为“病毒”。指可隐藏在合法程序中、能自我复制、在其寄附的程序执行到某些阶段便能获得执行控制权的一些特殊程序，其发作可破坏计算机系统的文件、运行甚至硬件。计算机病毒可通过磁盘、光盘、网络以及在Internet 上的文件传输、网页浏览、电子邮件等传播。,九、信息技术的有关术语和基本概念,（31）蠕虫：是计算机病毒的一种，它往往通过网络进入别的计算机系统。它通过复制自身繁殖，与一般病毒不同的是，蠕虫不必在自己同一个可执行程序依附到一起时才能复制自身。,九、信息技术的有关术语和基本概念,（32）逻辑炸弹：指一种隐藏在正常程序或应用系统中的一些程序编码，当一定的条件满足时，它会造成数据毁损、安全破坏或硬盘数据被抹除等，好象系统发生爆炸一样。这些程序可随某种共享或免费软件一道被下载。它和病毒不同之处是它不会自我复制，只执行一次或在一段周期性的时间间隔内执行。,九、信息技术的有关术语和基本概念,（33）特洛伊木马术：特洛伊木马原指古希腊士兵藏在木马内进入敌方城市，从而从内部攻破并占领乱方城市的故事。在计算机应用中的特洛伊木马术是指在程序设计中，编写看起来类似于正常的程序，程序具备正常有用的功能，然而，它们内部隐藏着一些能对系统造成一些危害，比如破坏系统或文件的功能，到一定时候，它们可从内部把系统攻破。,九、信息技术的有关术语和基本概念,（34）活动天窗(Trapdoors)：指程序员编写程序时有意写入一些指令语句，这些语句就象一个房子的活动天窗一样，知道其秘密的开发者以后可以利用它们方便地访问有关的程序和数据，为以后的作案留下暗道。,九、信息技术的有关术语和基本概念,（35）开放系统(Open System)：有时又译为公开系统，一般指外界或公众可通过互联网访问的系统。这些系统可运行于不同的硬件平台，建立于非专用的操作系统、用户界面、应用标准和网络协议之上的。 （36）面向对象系统：采用面向对象分析、面向对象设计和开发的系统。系统可根据用户的要求（目标）进行有关的处理，提供相应的信息。,九、信息技术的有关术语和基本概念,（37）纠错软件：可自动查错并纠正错误的计算机程序。 （38）自动回拨：是指由用户拨号上网连接系统，系统并不直接让其连接而是先挂机，然后审查其用户、密码、地址后，如果确定其为合法用户再回拨其号码，连接发出访问请求的用户计算机。它可以保证只有授权的终端才可连接使用公司的系统。,九、信息技术的有关术语和基本概念,（39）数据加密技术：是一种加强数据安全的技术。此技术在数据传输或保存之前先按一定的规则将其变为不可直接识别的密文。对于非法接收者来说，“密文”是全无意义的。而对于合法接收人，可利用密钥正确地解密，把它们转换回和原始信息一样的“明文”。,九、信息技术的有关术语和基本概念,（40）遗传算法：利用生命体通过自然选择和遗传不断适应环境的模型去优化对特定问题解决方案评估的解题方法。 （41）模糊逻辑系统：基于利用成员函数，并允许不精确地判断解决问题的人工智能系统。 （42）智能代理：一种利用一个内置的或经学习得到的知识库去执行特定的、重复的和可预测的用户任务、业务处理的软件程序。,九、信息技术的有关术语和基本概念,（43）生物统计法：利用各人所特有的生物特征（如指纹、掌纹、声纹等）来进行身份鉴别的计算机控制方法。 （44）结构化查询语言（SQL）：适用于关系数据库的，可从一个或多个数据文件中按指定条件进行查询的标准数据查询语言。,九、信息技术的有关术语和基本概念,（45）知识工作系统：帮助知识工作者（一个组织中负责设计产品、服务或创建新知识的人）创建和综合新知识的信息系统。 （46 ）终端仿真（Terminal emulation）软件：一种计算机软件，微机（PC机）运行它以后，可以成为满足一定要求的计算机（小型机或中型机）系统的终端。,九、信息技术的有关术语和基本概念,（47）翻译程序(Translators)：包括解释程序和编译程序。用各种高级语言编写的源程序计算机是不能直接执行的，翻译程序实现把源程序译成计算机可执行的目标程序。其中解释程序是读一句源程序，把它译出并执行之；再读下一句，又译一句，并执行一句，直到程序结束。而编译程序则把整个源程序一起翻译成为可执行的目标程序。两者不同的是：解析程序是逐句翻译逐句执行的，而编译程序是把整个程序一起全部译成目标程序，等待执行的。,九、信息技术的有关术语和基本概念,（48）编译程序（Compilers）：又称汇编程序。用它可把用高级语言编写的源程序翻译成为计算机可执行的目标程序。如果源程序有语法错误，在编译过程中编译程序