國際注冊內部審計師

　　在數據庫系統中，數據鎖定功能使得交易對其完成所需的全部數據擁有控制權，從而保證了數據的完整性。但是，數據鎖定程序也可能導致：
　　A、數據處理不一致。
　　B、回滾失敗。
　　C、交易無法恢復。
　　D、死鎖。
　　答案：D
　　解題思路：A、不正確。數據鎖定程序不會導致數據處理的不一致。
　　B、不正確。數據鎖定程序不會導致回滾失敗。
　　C、不正確。數據鎖定程序不會導致交易無法恢復。
　　D、正確。當兩個交易各鎖定一個數據，并同時向對方已經鎖定的數據提出新的鎖定要求時，就會產生互相永久等待的死鎖。
　　以下哪項措施能夠控制對多余的電腦設備的低效使用？
　　A、應急計劃
　　B、系統可行性研究
　　C、能力計劃
　　D、例外報告
　　答案：C
　　解題思路：A、不正確。應急計劃可以保證在系統出現緊急故障時能在有效時間內恢復運行。
　　B、不正確。系統可行性研究確保系統能實現預定的功能和性能指標。
　　C、正確。能力計劃包括系統能力的設計目標、現有的設備能力清單以及對未來需求的預測，它能夠控制對多余的電腦設備的低效使用。
　　D、不正確。例外報告可以將特殊問題突出顯示，以引起相關部門的注意。
　　傳統的信息系統開發(fā)和運行包括四個功能區(qū)域。系統分析功能主要是分析和設計系統以滿足組織的需求；編程功能主要負責設計、編碼、測試和調試程序來具體實現系統分析所提出的系統功能；計算機運行功能主要負責數據準備、作業(yè)管理和系統維護；用戶功能主要為系統提供輸入和接收輸出。這四項功能中的哪一項功能在終端用戶開發(fā)（EUC）環(huán)境下中經常被忽視？
　　A、系統分析功能
　　B、編程功能
　　C、運行功能
　　D、用戶功能
　　答案：A
　　解題思路：A、正確。終端用戶開發(fā)（EUC）的目標通常是以最快速度開發(fā)出能滿足局部需求的程序，因此經常難以進行全面的系統分析。
　　B、不正確。終端用戶開發(fā)（EUC）環(huán)境對編程功能的要求和傳統的信息系統開發(fā)環(huán)境沒有區(qū)別。
　　C不正確。終端用戶開發(fā)（EUC）環(huán)境對運行功能的要求和傳統的信息系統開發(fā)環(huán)境沒有區(qū)別。
　　D、不正確。終端用戶開發(fā)（EUC）環(huán)境對用戶功能的要求和傳統的信息系統開發(fā)環(huán)境沒有區(qū)別。
　　在一個系統或商業(yè)領域中顯示數據的流動和轉換的圖形標志稱為：
　　A、活動圖。
　　B、程序結構圖。
　　C、概念數據模型。
　　D、數據流程圖。
　　答案：D
　　解題思路：A、不正確?；顒訄D是描述業(yè)務的操作流程。
　　B、不正確。程序結構圖描述程序的結構化設計。
　　C、不正確。概念數據模型對現實數據進行抽象，使其更便于計算機表示和處理。
　　D、正確。數據流程圖描述數據流入、流出一個系統和在系統內被轉換的過程。
　　一種可以防止使用工具程序瀏覽網絡中合法用戶口令文件的控制是：
　　A、內部加密的口令。
　　B、口令層次。
　　C、登錄口令。
　　D、對等網。
　　答案：A
　　解題思路：A、正確。對于內部加密口令，即使攻擊者竊取了口令文件，也不能獲得口令。
　　B、不正確。口令層次可以增加非授權訪問的難度，但不能防止工具程序對網絡中合法用戶口令文件的瀏覽。
　　C、不正確。登錄口令可以防止對系統的非授權訪問，但不能防止工具程序對網絡中合法用戶口令文件的瀏覽。
　　D、不正確。對等網對于防止利用工具程序瀏覽口令文件沒有幫助。
　　某一種密鑰系統有兩個密鑰，一個密鑰是公開的、用于信息加密，另一個密鑰只有信息接受方掌握、用于解密，這種密鑰系統是：
　　A、RSA算法。
　　B、數據加密標準（DES）。
　　C、調制解調器。
　　D、密碼鎖。
　　答案：A
　　解題思路：A、正確。RSA是一種非對稱加密算法。
　　B、不正確。DES是一種對稱加密算法。
　　C、不正確。調制解調是一種“模擬-數字”轉換的方法，不是非對稱加密算法。
　　D、不正確。密碼鎖通常采用序列密碼算法，不是非對稱加密算法。
　　以下哪項不是典型的輸出控制？
　　A、審查計算機處理記錄，以確定所有正確的計算機作業(yè)都得到正確執(zhí)行。
　　B、將輸入數據與主文件上的信息進行匹配，并將不對應的項目放入暫記文件中。
　　C、定期對照輸出報告，以確認有關總額、格式和關鍵細節(jié)的正確性以及與輸入信息的一致性。
　　D、通過正式的程序和文件指明輸出報告、支票或其他關鍵文件的合法接收者。
　　答案：B
　　解題思路：A、不正確。審查計算機處理記錄是典型的輸出控制。
　　B、正確。將輸入數據與主文件上的信息進行匹配是一項輸入控制。
　　C不正確。定期對照輸出報告是典型的輸出控制。
　　D、不正確。通過正式的程序和文件指明輸出報告、支票或其他關鍵文件的合法接收者是典型的輸出控制。
　　以下哪一項不是一個新的應用系統的實施方法？
　　A、直接轉換
　　B、平行轉換
　　C、試點轉換
　　D、測試
　　答案：D
　　解題思路：A不正確。直接轉換、平行轉換、試點轉換和分階段的轉換是用新系統替代老系統的四種主要策略。
　　B不正確。參見“a.”。
　　C不正確。參見“a.”。
　　D、正確。測試是系統開發(fā)階段的任務之一，以驗證系統按預定的功能運行，因此測試不是新應用系統的實施方法。
　　對于傳統的系統，程序改變控制能夠保證生產系統是從經批準的程序的正確版本中產生。而在客戶機／服務器環(huán)境下運行的系統有可能增加程序改變控制的復雜性。一個在客戶機／服務器環(huán)境中要求而在大型主機環(huán)境中不要求的程序變動控制功能是保證：
　　A、程序版本在全網絡上的同步。
　　B、程序緊急改動的過程應制定成條文規(guī)定并遵守執(zhí)行。
　　C、適當的用戶參與程序改變測試。
　　D、從測試資料庫到成品資料庫的傳送要受到控制。
　　答案：A
　　解題思路：A、正確?？蛻魴C／服務器環(huán)境下的客戶端程序分散在各個客戶機中，當升級應用程序版本時，必須保證版本在全網絡上的同步，否則舊版的客戶程序可能不能正常工作甚至影響到服務器中的數據。而在大型機環(huán)境下應用程序集中存放在主機中，只需升級主機中的程序即可。
　　B、不正確?？蛻魴C／服務器環(huán)境和大型機環(huán)境都必須制定程序緊急改動的條文規(guī)定并要求遵守執(zhí)行。
　　C、不正確。兩種環(huán)境下都要求用戶參與程序改變測試。
　　D、不正確。兩種環(huán)境下從測試資料庫到成品資料庫的傳送都應受到控制。
　　要防止通過直接連接主機的無人照管的終端而對敏感數據進行非法訪問，以下哪項安全控制效果最佳？
　　A、使用帶密碼的屏幕保護程序。
　　B、使用工作站腳本程序。
　　C對數據文件加密。
　　D、自動注銷不活動用戶。
　　答案：D
　　解題思路：A、不正確。無人照管終端的主要風險是該終端可能已經合法地登錄主機，因此任何人都可以利用該終端訪問主機中的敏感數據。在這種情況下，帶密碼的屏幕保護程序較容易被饒過，如用另一臺終端替換該終端。
　　B、不正確。參見“a.”， 工作站腳本程序用來定制終端的運行環(huán)境，只有在終端登錄時起作用。
　　C、不正確。參見“a.”， 對數據文件加密不能防止攻擊者訪問敏感數據，因此時攻擊者已獲得了合法用戶的身份，系統會自動解密數據文件。
　　D、正確。參見“a.”，自動注銷不活動用戶可使攻擊者失去獲得合法用戶的機會。
　　為了避免非法數據的輸入，某銀行在每個帳號結尾新加一個數字并對新加的數字進行一種計算，此種技術被稱為：
　　A、光學字符識別（optical character recognition）。
　　B、校驗數位（check digit）。
　　C、相關檢查（dependency check）。
　　D、格式檢查（format check）。
　　答案：B
　　解題思路：A、不正確。光學字符識別將印刷字符轉換成計算機可以識別的內部代碼。
　　B、正確。校驗數位是對某字段進行某種計算后得出，并附加在該字段之后的校驗位。通過重新計算校驗位并和原校驗位進行比較，可以發(fā)現該字段內容是否已發(fā)生變化。
　　C、不正確。相關檢查用于檢查多個字段之間是否存在某種關聯，來判斷字段內容的正確性。
　　D、不正確。格式檢查用于檢查字段內容是否遵循某種特定的格式，如日期字段應該具有如下格式：YYYY：MM：DD.
　　在公司信息系統的戰(zhàn)略應用中，面向對象的技術變得越來越重要，因為它具有以下潛力：
　　A、允許更快更可靠地開發(fā)系統。
　　B、保持原來用過程語言編寫的程序。
　　C、減少對層次數據庫的數據完整性的破壞。
　　D、使傳統的瀑布式系統開發(fā)方法更加流暢。
　　答案：A
　　解題思路：A、正確。面向對象的開發(fā)技術利用對象的繼承、重用、重構等特征，可以更快更可靠地開發(fā)系統。
　　B、不正確。面向對象的開發(fā)技術將數據和對該數據的操作封裝成一個對象，因此不能保持原來用過程語言編寫的程序。
　　C、不正確。對象雖然具有層次的概念，但和層次數據庫中的層次概念沒有任何聯系。
　　D、不正確。面向對象的開發(fā)方法和傳統的瀑布式系統開發(fā)方法在需求分析、系統設計和編碼上都有很大的區(qū)別，屬于兩類不同的系統開發(fā)方法學，因此不存在使傳統的瀑布式系統開發(fā)方法更加流暢的作用。
　　以下哪項關于電子郵件安全性的說法是正確的？
　　A、互聯網上的所有信息都被加密，因此能夠提供增強的安全性。
　　B、密碼在防止偶然訪問其他人的電子郵件時很有效。
　　C、如果沒有事先對安全控制記錄解密，那么即使具有訪問包含電子郵件信息的文件服務器的管理級權限的人員也不能接觸包含電子郵件信息的文件。
　　D、自主訪問控制策略不需要口令。
　　答案：B
　　解題思路：A、不正確?；ヂ摼W上的信息并未自動加密，包括電子郵件信息。
　　B、正確。對設置了密碼的電子郵件，必須輸入正確的密碼信息才能閱讀郵件，因此可以防止對郵件的偶然訪問。
　　C、不正確。具有文件服務器管理權限（總體控制）的人員完全有可能饒過電子郵件的安全控制（應用控制），通過直接閱讀郵件文件的方式來獲得郵件內容。
　　D、不正確。自主訪問控制策略需要對用戶身份進行鑒別，而口令是身份鑒別的主要手段。
　　為了適當控制對會計數據庫文件的訪問，數據庫管理人員應正確應用數據庫的安全特征以允許：
　　A、用只讀方式訪問數據庫文件。
　　B、特權軟件對數據進行更新。
　　C、只訪問經過授權的邏輯視圖。
　　D、用戶可以修改其訪問配置文件。
　　答案：C
　　解題思路：A、不正確。只讀控制可以防止對數據的非授權修改，但不能防止對數據的非授權讀取。
　　B、不正確。允許特權軟件對數據進行更新不能防止用戶對數據的非授權訪問。
　　C、正確。邏輯視圖從一個或多個數據庫表中生成新的數據結構，以更適合用戶使用的方式表示數據。對視圖通常只能進行查詢操作，通過限制用戶只能對授權的視圖、而不是表進行訪問，可防止用戶對表數據的非授權訪問。
　　D、不正確。允許用戶修改其訪問配置文件不能防止用戶對數據的非授權訪問。
　　一個組織的計算機幫助平臺功能通常由哪個部門的負責？
　　A、應用開發(fā)部門
　　B、系統編程部門
　　C、計算機運行部門
　　D、用戶部門
　　答案：C
　　解題思路：A、不正確。應用開發(fā)部門負責系統的開發(fā)。
　　B、不正確。系統編程部門負責系統的程序設計。
　　C正確。計算機運行部門負責系統的日常運行維護，計算機幫助平臺是其功能之一。
　　D、不正確。用戶部門負責操作使用計算機系統。
　　要最大程度地降低未經授權編輯生產程序、工作控制語言和操作系統軟件的可能性，以下哪種方法效果最佳？
　　A、數據庫訪問檢查；
　　B符合性檢查；
　　C、良好的變動控制程序；
　　D、有效的網絡安全軟件。
　　答案：C
　　解題思路：A、不正確。數據庫訪問檢查可以防止對數據庫的非授權訪問，但不能防止未經授權編輯生產程序、工作控制語言和操作系統軟件。
　　B、不正確。符合性檢查可以在非授權編輯操作發(fā)生后發(fā)現該事件并予以糾正，但不能預防非授權編輯操作的發(fā)生。
　　C正確。良好的變動控制程序是安全政策、安全管理和安全技術的綜合，可以最大程度地預防未經授權編輯生產程序、工作控制語言和操作系統軟件的行為發(fā)生。
　　D、不正確。網絡安全軟件用于防止通過網絡進行的非授權編輯，但對于直接通過控制臺進行的非授權編輯可能就無能為力。有效的網絡安全軟件只是安全管理的技術因素，如沒有管理方面的配合，安全效果會大打折扣。
　　終端用戶可能通過修改標準程序以獲取原本無法直接獲取的財務和作業(yè)數據的子集，與此相關的最大風險是
　　A、所獲取的數據可能不完整或缺乏時效性。
　　B、數據定義可能過時。
　　C、主機數據可能被終端用戶的更新活動所破壞。
　　D、重復下載可能會耗盡終端用戶微機的存儲容量。
　　答案：A
　　解題思路：A、正確。終端用戶對主機數據結構及之間的關聯不可能很精通，因此通過修改標準程序所獲取的數據就可能不完整；由于獲取的數據保存在本地微機中，而主機數據是實時變化的，因此微機中的數據可能不是最新的數據，即缺乏時效性。
　　B、不正確。數據定義不會因為終端用戶的數據查詢操作而改變。
　　C、不正確。終端用戶獲取數據子集的過程不包含更新操作，不會導致對主機數據的破壞。
　　D、不正確。重復下載的數據通常會相互覆蓋，因此也不會耗盡終端用戶微機的存儲容量。
　　對硬件、軟件及廣域網通訊部件的準確的產品記錄資料和對系統改進的正確的描述，可以：
　　A、最大程度地減小對外部組織的依賴。
　　B保證新組件安裝的及時性。
　　C、有助于隔離網絡故障。
　　D、最大程度地提高系統的可用性。
　　答案：C
　　解題思路：A、不正確。完整準確的安裝和改進記錄在減小對外部組織的依賴方面確有一定的作用，但不是決定性的，故僅僅依靠這些登記材料并不能“最大程度地減少”對外部組織的依賴。
　　B、不正確。完整準確的安裝和改進記錄當然不能“保證”新組件安裝的及時性。
　　C、正確。不同型號的產品部件以及同一種型號不同批次的部件之間會有微小的差別而導致不兼容等問題，如果有充分的安裝和改進記錄資料就更容易對網絡錯誤進行有效的定位。
　　D、不正確。完整準確的安裝和改進記錄不能“最大程度地提高”系統的可用性
　　在檢查一個利用第三方服務的EDI系統的應用情況時，審計師應該：
　?、瘛⒋_認加密密鑰符合ISO標準。
　?、?、確定是否已經對服務供應商的營運進行了獨立檢查。
　?、?、核實該服務供應商是否僅使用了公用交換數據網絡。
　?、?、核實服務供應商的合同是否包含了必要的條款，如審計權力等。
　　A、Ⅰ和Ⅱ。
　　B、Ⅰ和Ⅳ。
　　C、Ⅱ和Ⅲ。
　　D、Ⅱ和Ⅳ。
　　答案：D
　　解題思路：A、不正確。不存在關于加密密鑰的ISO標準。
　　B、不正確。參見“a.”。
　　C、不正確。EDI服務有完整的安全協議保障，沒有必要去核實是否僅使用了公用交換數據網絡。
　　D、正確。對EDI審計需要決定是否對服務供應商的營運進行獨立檢查，并核實服務供應商的合同是否包含了必要的條款，如審計權力等。
　　數據庫管理人員應用以下哪種語言接口來建立數據庫表結構？
　　A、數據定義語言
　　B、數據控制語言
　　C、數據操縱語言
　　D、數據查詢語言
　　答案：A
　　解題思路：A、正確。數據定義語言（DDL）用于定義（即：決定）數據庫的結構。
　　B、不正確。數據控制語言（DCL）用于指定特權和安全規(guī)則。
　　C、不正確。數據操縱語言（DML）為程序員提供了一個修改數據庫數據的工具。
　　D、不正確。數據查詢語言（DQL）用于特設的查詢。
　　在對數據中心進行物理設計時考慮以下哪項內容是不恰當的？
　　A、評價與鐵路和公路交通有關的潛在風險。
　　B、應用生物統計法訪問系統。
　　C、為訪問操作系統設計授權表格。
　　D、包括不間斷電源系統和電涌保護。
　　答案：C
　　解題思路：A、不正確。在確定數據中心的位置時應評估其外部風險。
　　B、不正確。生物訪問系統可控制對數據中心的物理接觸。
　　C、正確。用于操作系統訪問的授權表格針對的是邏輯控制，而不是物理控制。
　　D、不正確。數據中心的物理設計包含供電系統和電涌保護。
　　在傳統的信息系統中，計算機運行維護人員負責對軟件和數據文件進行定期備份。在分布式系統或協作系統中，確定是否有足夠備份的責任屬于：
　　A、用戶管理部門。
　　B、系統程序員。
　　C、數據錄入員。
　　D、磁帶庫管理員。
　　答案：A
　　解題思路：A、正確。因為在分布式系統或協作系統中，系統數據是分散在各用戶節(jié)點上，所以確定是否有足夠備份是用戶管理部門的責任。
　　B、系統程序員負責程序的編制，不承擔備份任務。
　　C、數據錄入員負責數據的輸入，不承擔備份任務。
　　D、磁帶庫管理員負責維護磁帶庫的運行維護，不承擔備份任務。
　　用來確定應用程序系統需要建立多少控制的標準不包括以下哪項內容？
　　A、數據在系統中的重要性。
　　B、應用網絡監(jiān)測軟件的可行性。
　　C、某項活動或處理沒有受到適當控制所產生的風險水平。
　　D、每種控制措施的效率、復雜性和費用。
　　答案：B
　　解題思路：A、不正確。例如，重要的財務和會計系統，如證券交易所的股票買賣跟蹤系統，相對于記錄員工培訓和技能的系統而言，必須具有更高的控制標準。
　　B、正確。網絡監(jiān)測軟件并不參與應用系統內部的控制。
　　C、不正確。問題的發(fā)生頻率及其潛在的危害應決定在一個系統中建立多少控制。
　　D、不正確。例如，在一個每天處理成千上萬筆支付業(yè)務的系統中，完全的逐項檢查可能過于費時而不可操作，但如僅檢查關鍵的數據則可能是可行的，如檢查金額、賬號而忽略姓名和地址。

（責任編輯：中大編輯）