國(guó)際注冊(cè)內(nèi)部審計(jì)師

典型試題 

【例題】能提交專題問(wèn)題并使其他知情人可以看到和答復(fù)的地方是 
A.文件搜索程序，如Archie。 
B.廣域信息服務(wù)器。 
C.互聯(lián)網(wǎng)專題論壇，如Usenet group。 
D.開放系統(tǒng)互聯(lián)組織。 
【答案】C 
【解析】 
A.不正確。文件搜索程序用于在因特網(wǎng)上搜索所需的文件資料。 
B.不正確。廣域信息服務(wù)器可以在因特網(wǎng)上發(fā)布信息。 
C.正確。互聯(lián)網(wǎng)專題論壇是一個(gè)供人們通過(guò)互聯(lián)網(wǎng)直接交流的場(chǎng)所，在這里可以提出問(wèn)題，也可回復(fù)問(wèn)題。 
D.不正確。開放系統(tǒng)互聯(lián)組織是旨在推動(dòng)開放系統(tǒng)發(fā)展的國(guó)際組織。 

【例題】內(nèi)部審計(jì)師正在復(fù)核一項(xiàng)有關(guān)電子郵件的新政策，這個(gè)政策應(yīng)包括除了以下哪項(xiàng)以外的所有因素? 
A.立即刪除已解除雇傭員工的所有電子郵件。 
B.通過(guò)電話線傳輸?shù)碾娮余]件信息應(yīng)該加密。 
C.限制公司采用的電子郵件軟件包的種類。 
D.規(guī)定職員不能用電子郵件發(fā)送高度敏感或機(jī)密的信息。 
【答案】A 
【解析】 
A.正確。已解除雇傭員工的電子郵件中很可能包含有用的客戶和業(yè)務(wù)信息，而且這些電子郵件的存在通常不對(duì)組織構(gòu)成風(fēng)險(xiǎn)，因此沒(méi)有必要立即刪除，而應(yīng)安排專人接手并檢查這些郵件。 
B.不正確。電話線路很容易被竊聽(tīng)，因此對(duì)通過(guò)電話線傳輸電子郵件信息進(jìn)行加密應(yīng)包括在政策之內(nèi)。 
C.不正確。限制公司采用的電子郵件軟件包的種類有利于郵件的安全管理和互通，應(yīng)包括在政策之內(nèi)。 
D.不正確。電子郵件在通過(guò)公網(wǎng)傳送時(shí)，很可能受到各種攻擊，因此規(guī)定職員不能用電子郵件發(fā)送高度敏感或機(jī)密的信息應(yīng)包括在政策之內(nèi)。 

【例題】以下哪種關(guān)于電子郵件安全性的說(shuō)法是正確的? 
I.電子郵件不可能比它賴以運(yùn)行的計(jì)算機(jī)系統(tǒng)更安全。 
II.機(jī)密的電子郵件信息應(yīng)該儲(chǔ)存在郵件服務(wù)器中，儲(chǔ)存時(shí)間和紙質(zhì)文件相等。 
III.在大型組織中，可能有若干個(gè)不同安全級(jí)別的郵件管理員和地點(diǎn)。 
A.只有I是對(duì)的。 
B.只有I和II是對(duì)的。 
C.只有I和III是對(duì)的。 
D.只有II和III是對(duì)的。 
【答案】C 
【解析】 
I.正確。如果電子郵件賴以運(yùn)行的計(jì)算機(jī)系統(tǒng)不安全，就可以通過(guò)系統(tǒng)工具獲得電子郵件的內(nèi)容。 
II.不正確。一旦用戶將機(jī)密的郵件信息下載到PC機(jī)后，就不應(yīng)該再在郵件服務(wù)器上保留。 
III.正確。在大型組織中，通常會(huì)對(duì)不同安全級(jí)別的郵件分設(shè)不同的管理員和地點(diǎn)。 

【例題】以下哪項(xiàng)關(guān)于電子郵件安全性的說(shuō)法是正確的? 
A.互聯(lián)網(wǎng)上的所有信息都被加密，因此能夠提供增強(qiáng)的安全性。 
B.密碼在防止偶然訪問(wèn)其他人的電子郵件時(shí)很有效。 
C.如果沒(méi)有事先對(duì)安全控制記錄解密，那么即使具有訪問(wèn)包含電子郵件信息的文件服務(wù)器的管理級(jí)權(quán)限的人員也不能接觸包含電子郵件信息的文件。 
D.自主訪問(wèn)控制策略不需要密碼。 
【答案】B 
【解析】 
A.不正確?；ヂ?lián)網(wǎng)上的信息并未自動(dòng)加密，包括電子郵件信息。 
B.正確。對(duì)設(shè)置了密碼的電子郵件，必須輸入正確的密碼信息才能閱讀郵件，因此可以防止對(duì)郵件的偶然訪問(wèn)。 
C.不正確。具有文件服務(wù)器管理權(quán)限（一般控制）的人員完全有可能繞過(guò)電子郵件的安全控制（應(yīng)用控制），通過(guò)直接閱讀郵件文件的方式來(lái)獲得郵件內(nèi)容。 
D.不正確。自主訪問(wèn)控制策略需要對(duì)用戶身份進(jìn)行鑒別，而口令是身份鑒別的主要手段 

【例題】WWW站點(diǎn)證書的主要功能是 
A.對(duì)用戶要訪問(wèn)的WWW站點(diǎn)進(jìn)行身份驗(yàn)證。 
B.對(duì)訪問(wèn)WWW站點(diǎn)的用戶進(jìn)行身份驗(yàn)證。 
C.防止黑客訪問(wèn)WWW站點(diǎn)。 
D.與數(shù)字證書有同樣的目的。 
【答案】A 
【解析】 
A.正確。WWW站點(diǎn)證書的主要目的就是對(duì)要訪問(wèn)的WWW站點(diǎn)進(jìn)行身份驗(yàn)證。用戶的身份驗(yàn)證是通過(guò)口令，而不是通過(guò)站點(diǎn)證書來(lái)實(shí)現(xiàn)，站點(diǎn)證書既不會(huì)阻止黑客，也不能驗(yàn)證用戶。 
B.不正確。見(jiàn)題解A。 
C.不正確。見(jiàn)題解A。 
D.不正確。見(jiàn)題解A。 

【例題】當(dāng)數(shù)據(jù)在一貿(mào)易公司的服務(wù)器上通過(guò)SSL加密傳輸時(shí)，應(yīng)考慮以下哪種情況? 
A.組織對(duì)加密沒(méi)有控制。 
B.消息面臨著線路竊聽(tīng)。 
C.數(shù)據(jù)可能無(wú)法到達(dá)預(yù)期的接受者。 
D.通信可能不安全。 
【答案】A 
【解析】 
A.正確。SSL安全協(xié)議提供數(shù)據(jù)加密、服務(wù)器身份驗(yàn)證、消息完整性和客戶身份驗(yàn)證功能，因?yàn)镾SL內(nèi)置于主要的瀏覽器和WWW服務(wù)器內(nèi)，通過(guò)簡(jiǎn)單安裝一個(gè)數(shù)字證書，就可啟用SSL的功能。數(shù)據(jù)被加密后在網(wǎng)上傳播，加密是在后臺(tái)進(jìn)行的，不需要用戶的交互操作，也不需要用戶提供口令。 
B.不正確。因?yàn)樵诳蛻魴C(jī)與服務(wù)器之間的通信是被加密傳輸?shù)?，網(wǎng)上傳輸信息不會(huì)受到線路竊聽(tīng)的威脅。 
C.不正確。SSL要進(jìn)行客戶機(jī)身份驗(yàn)證，只有預(yù)期的接受者才能收到加密信息。 
D.不正確。所有的通過(guò)SSL連接發(fā)送的數(shù)據(jù)都受到了防攻擊機(jī)制的保護(hù)，系統(tǒng)可以自動(dòng)判斷數(shù)據(jù)在傳輸過(guò)程中是否被修改。 

【例題】以下哪一種小程序（Applet）入侵類型會(huì)使組織面臨系統(tǒng)運(yùn)行中斷的最大威脅? 
A.在客戶機(jī)上放置病毒的程序 
B.能記錄用戶擊鍵行為和收集口令的小程序。 
C.從網(wǎng)上下載的能讀硬盤文件的代碼。 
D.可以從客戶機(jī)建立網(wǎng)絡(luò)連接的小程序。 
【答案】D 
【解析】 
A.不正確。在客戶機(jī)上放置病毒程序的行為稱為惡意攻擊，可能會(huì)引起客戶機(jī)的損害，但不會(huì)造成服務(wù)中斷。 
B.不正確。能記錄擊鍵行為和收集口令的程序涉及的是有關(guān)組織隱私的問(wèn)題。這雖然很重要，但不可能引起嚴(yán)重的服務(wù)中斷。 
C.不正確。從網(wǎng)上下載的能讀客戶硬盤文件的代碼涉及的也是有關(guān)組織隱私的問(wèn)題。這雖然很重要，但不可能引起嚴(yán)重的服務(wù)中斷。 
D.正確。所謂小程序是從WWW服務(wù)器下載到客戶機(jī)的一段小程序，通過(guò)瀏覽器它可以實(shí)現(xiàn)訪問(wèn)數(shù)據(jù)庫(kù)、與WWW頁(yè)面交互操作及與其他用戶進(jìn)行通信的功能。在網(wǎng)絡(luò)上小程序與其他計(jì)算機(jī)建立連接后，就有可能發(fā)動(dòng)拒絕服務(wù)來(lái)攻擊和損害其他計(jì)算機(jī)，從而造成業(yè)務(wù)中斷，這構(gòu)成了對(duì)系統(tǒng)的最大威脅。

編輯推薦：2010年國(guó)際內(nèi)審師考試備考輔導(dǎo)Web基礎(chǔ)設(shè)施匯總

（責(zé)任編輯：中大編輯）

共2頁(yè),當(dāng)前第1頁(yè)  第一頁(yè)  前一頁(yè)  下一頁(yè)