發(fā)表時間:2014/4/15 17:00:00 來源:中大網校
點擊關注微信:
2010年
國際內審師考試經營分析和信息技術輔導系統(tǒng)安全(4)
典型試題
【例題】用戶和管理人員都需認可最初的建議��、設計規(guī)劃、轉換計劃和信息系統(tǒng)測試計劃��。這是以下哪項控制的例證?
A.實施控制��。
B.硬件控制��。
C.計算機運行控制�。
D.數(shù)據(jù)安全性控制。
【答案】A
【解析】
A.正確�。實施控制應存在于系統(tǒng)開發(fā)過程的各個環(huán)節(jié),以確保系統(tǒng)實施處于適當?shù)目刂坪凸芾碇隆?
B.不正確�。硬件控制用以保證計算機硬件的物理安全和檢查設備的故障。
C.不正確�。計算機運行控制應用在計算機部門的工作中,保證程序化的作業(yè)規(guī)程在數(shù)據(jù)的存儲和處理過程中得到一貫正確地執(zhí)行��。
D.不正確�。數(shù)據(jù)安全性控制保證在磁盤或磁帶上的數(shù)據(jù)文件不被非法訪問、修改或毀壞
【例題】以下哪項是信息系統(tǒng)邏輯安全控制的目標?
A.保證數(shù)據(jù)記錄的完整和準確��。
B.保證數(shù)據(jù)處理的完整和準確��。
C.限制對特定數(shù)據(jù)和資源的訪問��。
D.提供處理結果的審計軌 跡。
【答案】C
【解析】
A.不正確��。保證數(shù)據(jù)記錄的完整和準確是輸入控制的目標�。
B.不正確。保證數(shù)據(jù)處理的完整和準確是處理控制的目標��。
C.正確�。限制對特定數(shù)據(jù)和資源的訪問是邏輯安全控制的目標。
D.不正確�。提供處理結果的審計軌跡屬于輸出控制的目標。
【例題】 要防止通過將無人照管的終端直接連接到主機上而對敏感數(shù)據(jù)進行非法訪問��,以下哪項安全控制效果最佳?
A.使用帶密碼的屏幕保護程序�。
B.使用工作站腳本程序。
C.對數(shù)據(jù)文件加密�。
D.自動注銷不活動用戶。
【答案】D
【解析】
A.不正確��。無人照管終端的主要風險是該終端可能已經合法地登錄主機��,因此任何人都可以利用該終端訪問主機中的敏感數(shù)據(jù)�。在這種情況下,帶密碼的屏幕保護程序較容易被繞過�,如用另一臺終端替換該終端。
B.不正確��。工作站腳本程序用來定制終端的運行環(huán)境,只有在終端登錄時起作用�。
C.不正確。對數(shù)據(jù)文件加密不能防止攻擊者訪問敏感數(shù)據(jù)�,因此時攻擊者已獲得了合法用戶的身份�,系統(tǒng)會自動解密數(shù)據(jù)文件。
D.正確��。自動注銷不活動用戶可使攻擊者失去獲得合法用戶的機會��。
【例題】以下哪項應用程序控制能夠為庫存數(shù)據(jù)完整��、準確地輸入提供合理保證?
A.順序檢查�。
B.批量總額。
C.限額檢查��。
D.檢驗數(shù)位�。
【答案】B
【解析】
A.不正確。順序檢查是一種測試輸入完整性的相當好的控制��,但它并不測試正確性
B.正確��。批量匯總檢查對測試輸入完整性和正確性均很有效��。
C.不正確��。極限檢查只能判定輸入的數(shù)據(jù)是否在可接受的范圍內,因此也不能用來測試輸入的正確性�。
D.不正確。數(shù)字檢驗位可以使計算機機械地拒絕錯誤的輸入�。生成數(shù)字校驗位需要進行繁瑣的運算,因而這種方法只適用于少數(shù)關鍵的輸入項��。數(shù)字校驗位絕不會用于測試成批數(shù)據(jù)輸入的正確性�。
【例題】為了避免非法數(shù)據(jù)的輸入,某銀行在每個賬號結尾新加一個數(shù)字并對新加的數(shù)字進行一種計算��,此種技術被稱為:
A.光學字符識別��。
B.校驗數(shù)位�。
C.相關性檢驗。
D.格式檢驗��。
【答案】B
【解析】
A.不正確�。光學字符識別將印刷字符轉換成計算機可以識別的內部代碼。
B.正確�。校驗數(shù)位是對某字段進行某種計算后得出,并附加在該字段之后的校驗位�。通過重新計算校驗位并和原校驗位進行比較,可以發(fā)現(xiàn)該字段內容是否已發(fā)生變化
C.不正確��。相關性檢驗用于檢查多個字段之間是否存在某種關聯(lián),來判斷字段內容的正確性
D.不正確��。格式檢驗用于檢查字段內容是否遵循某種特定的格式�,如日期字段應該具有如下格式:YYYY:MM:DD
【例題】以下哪項不是典型的輸出控制?
A.審查計算機處理記錄,以確定所有正確的計算機作業(yè)都得到正確執(zhí)行��。
B.將輸入數(shù)據(jù)與主文件上的信息進行匹配��,并將不對應的項目放人暫記文件中��。
C.定期對照輸出報告��,以確認有關總額�、格式和關鍵細節(jié)的正確性及其與輸入信息的一致性�。
D.通過正式的程序和文件指明輸出報告、支票或其他關鍵文件的合法接收者��。
【答案】B
【解析】
A.不正確��。審查計算機處理記錄是典型的輸出控制��。
B.正確.將輸人數(shù)據(jù)與主文件上的信息進行匹配是一項輸入控制�。
C.不正確。定期對照輸出報告是典型的輸出控制�。
D.不正確。通過正式的程序和文件指明輸出報告�、支票或其他關鍵文件的合法接收者是典型的輸出控制�。
【例題】因為某公司的大部分日常交易信息對其競爭對手都是機密信息��,該公司只允許雇員訪問對完成各自工作有必要的信息��,這種訪問信息的方法是基于
A.知必所需原則
B.個體可追蹤原則
C.即時性原則��。
D.例外管理原則��。
【答案】A
【解析】
A.正確�。知必所需原則指雇員只能獲得其完成工作所必需的信息。
B.不正確��。個體可追蹤原則指雇員能夠為其授權操作行為承擔責任�。
C.不正確。即時性原則要求為生產某項產品所需的原材料或存貨能在最適當?shù)臅r間和最合適的數(shù)量準備好��,既不形成過多的庫存��,又不延誤產品的生產��。
D.不正確��。例外管理原則強調更多地關注例外條件�,認為這樣比花費同樣的時間來關注正常運行過程效果更好。
(責任編輯:中大編輯)
