發(fā)表時(shí)間:2014/4/15 17:00:00 來源:中大網(wǎng)校
點(diǎn)擊關(guān)注微信:
本文導(dǎo)航
- 第1頁:系統(tǒng)安全相關(guān)知識(shí)
E15 系統(tǒng)安全
系統(tǒng)安全是在風(fēng)險(xiǎn)分析的基礎(chǔ)上,選擇適宜的控制目標(biāo)與控制方式����,對(duì)系統(tǒng)的安全進(jìn)行控制,使信息資產(chǎn)的風(fēng)險(xiǎn)降到組織可以接受的水平�。
15.1 General Control V8.Application Control
一般控制和應(yīng)用控制
應(yīng)用控制與一般控制是兩個(gè)不同層次的控制手段:
一般控制(General Contr01)包括各種相對(duì)通用的控制手段和技術(shù),包括:管理控制�����、計(jì)算機(jī)運(yùn)行控制����、系統(tǒng)實(shí)施控制、軟件控制����、硬件控制��、訪問控制和數(shù)據(jù)安全控制等�。
應(yīng)用控制(Application Control)包括和特定應(yīng)用相關(guān)的、為保障應(yīng)用程序正確運(yùn)行而設(shè)定的控制����,如輸入控制(input contr01)����、處理控制(process control)����、輸出控制(output contr01)等。
相對(duì)于應(yīng)用控制�����,一般控制更為基礎(chǔ)�����,且其有效性不受應(yīng)用控制的影響����。相反,應(yīng)用控制的有效性則往往受到一般控制�����,尤其是操作系統(tǒng)訪問控制的影響��。當(dāng)審計(jì)師審查一個(gè)應(yīng)用系統(tǒng)的應(yīng)用控制時(shí),應(yīng)首先確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制��。對(duì)于較復(fù)雜的信息系統(tǒng)�,通常應(yīng)結(jié)合使用這兩種控制技術(shù)。
一般控制包括:
管理控制(administrative contr01)的主要目標(biāo)是實(shí)現(xiàn)職責(zé)分離����。常見的管理控制包括:系統(tǒng)分析員不應(yīng)該接觸計(jì)算機(jī)設(shè)備、數(shù)據(jù)和程序����;計(jì)算機(jī)編程人員不應(yīng)該接觸計(jì)算機(jī)設(shè)備、數(shù)據(jù)和已交付使用的程序����;操作員不應(yīng)該參與系統(tǒng)設(shè)計(jì)或更改程序,這樣可以最好地防止擁有充分技術(shù)的人員繞過安全程序����,對(duì)生產(chǎn)程序進(jìn)行修改。
運(yùn)行控制(operations control)包括:
計(jì)算機(jī)運(yùn)行控制是為確保系統(tǒng)的正常運(yùn)行而實(shí)施的控制����。例如���,對(duì)不需要的文件要在受控條件下及時(shí)刪除�����;
系統(tǒng)實(shí)施控制(implementation control)是在系統(tǒng)開發(fā)實(shí)施過程的各個(gè)環(huán)節(jié)都建立控制點(diǎn)并編制文檔以保證系統(tǒng)的實(shí)施是在適當(dāng)?shù)目刂坪凸芾碇?��,文檔應(yīng)從技術(shù)和應(yīng)用兩個(gè)角度說明系統(tǒng)是如何運(yùn)行的����;
軟件控制(software control)是保證已投入運(yùn)行的軟件未經(jīng)許可不得修改的控制����;
硬件控制(hardware contr01)是保證硬件正常運(yùn)行的控制,如回波檢驗(yàn)(echo check)��、奇偶校驗(yàn)(parity check)等�����;
訪問控制(access contr01)是確保只有 被授權(quán)用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源進(jìn)行訪問的控制�,通常特指邏輯訪問控制(logical access control);
物理設(shè)備控制(physical device contr01)是防止對(duì)物理設(shè)備的非授權(quán)接觸的控制����。
應(yīng)用控制包括:
輸入控制(input contr01)包括輸入授權(quán)(input authorization)���、數(shù)據(jù)轉(zhuǎn)換(data conversion)和編輯檢驗(yàn)(edit checks)。其中����,編輯檢驗(yàn)又包括合理性檢驗(yàn) (reasonableness checks)、格式檢驗(yàn)(format checks)�����、存在性檢驗(yàn)(existence checks)����、依賴性檢驗(yàn)(dependency checks) (又稱相關(guān)性檢驗(yàn))、檢驗(yàn)位 (check digit)�����、重新輸入控制(reinput control)等�����。
處理控制(processing contr01)�,包括運(yùn)行總數(shù)控制(run control totals)、計(jì)算機(jī)匹配(computer matching)��、并發(fā)控制(concurrency contr01)����。
輸出控制(output contr01)包括平衡總數(shù)(balancing totals)、復(fù)核處理日志(review of processing logs)����、審核輸出報(bào)告(audit of output report)、審核制度與文件(audit of procedures and documentation)����。
15.2 Access Control Technologies
訪問控制技術(shù)
訪問控制技術(shù)確保只有被授權(quán)用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源的訪問。訪問控制技術(shù)可以應(yīng)用在信息系統(tǒng)的不同層次���,如操作系統(tǒng)訪問控制�����、數(shù)據(jù)庫訪問控制����、網(wǎng)頁訪問控制等����。但訪問控制技術(shù)的應(yīng)用必須適當(dāng)合理����,尤其應(yīng)注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡���。訪問控制技術(shù)包括 用戶身份標(biāo)識(shí)(identification)和鑒別(authentication)���、訪問控制列表(ACL:access control list)和審計(jì)追蹤(audit trails)等。
用戶標(biāo)識(shí)(UID:user identifier):用于唯一地確定一個(gè)用戶的身份���,是實(shí)施訪問控制的前提�����。
口令(passwords):鑒別用戶身份的常用手段之一����,通過使用口令可以明確用戶的責(zé)任�。例如,對(duì)應(yīng)付款系統(tǒng)數(shù)據(jù)終端的訪問控制就可以要求激活終端數(shù)據(jù)必須使用口令并對(duì)數(shù)據(jù)終端的活動(dòng)進(jìn)行記錄��,以明確該終端用戶對(duì)其所進(jìn)行活動(dòng)應(yīng)負(fù)的責(zé)任�����。
口令應(yīng)由用戶掌握和修改,還可以按用戶的權(quán)限設(shè)置不同的口令等級(jí)�,以防止掌握口令的人非法訪問服務(wù)器上的所有用戶文件?���?诹顟?yīng)該嚴(yán)格保密�,并且在終端輸入時(shí)不應(yīng)該顯示。 為了防止口令被猜出�,可使用能夠?qū)嵤┛诹罱M合標(biāo)準(zhǔn)的訪問控制軟件;為了防止存儲(chǔ)在系統(tǒng)中的口令被竊取����,可使用能夠?qū)嵤┛诹罴用艿脑L問控制軟件。
有的用戶因?yàn)檫M(jìn)入系統(tǒng)過程較瑣碎枯燥�,就把登錄串包括口令存在個(gè)人電腦里,以待進(jìn)入主機(jī)設(shè)施時(shí)再調(diào)用�,這樣任何能訪問用戶個(gè)人計(jì)算機(jī)的人就能訪問主機(jī)。因此�,對(duì)于高安全級(jí)別的系統(tǒng),應(yīng)采用更安全的身份識(shí)別技術(shù)�����,如智能IC卡�����、生物技術(shù)(biometric technologies)等。
屏幕保護(hù)程序口令安全性較低�,因?yàn)樗苋菀妆焕@過。
授權(quán)(Authorization)使用戶能訪問特定的數(shù)據(jù)和資源����。應(yīng)建立數(shù)據(jù)分級(jí)方案和用戶標(biāo)識(shí)方案,并根據(jù)“知必所需 "(need to know)的原則建立訪問控制列表�����,確保雇員只能訪問對(duì)完成其工作確有必要的信息����。
訪問日志(Access Log)對(duì)用戶訪問信息系統(tǒng)的時(shí)間、內(nèi)容等進(jìn)行記錄����,便于分析控制。安裝訪問日志系統(tǒng)屬于檢測(cè)性控制措施�����,它雖然可以發(fā)現(xiàn)未經(jīng)授權(quán)的訪問,但不能防止其發(fā)生��。
自動(dòng)注銷登錄(Automatic Log-off)自動(dòng)撤消非活動(dòng)終端的登錄可以防止通過無人照管的終端來訪問主機(jī)上的敏感數(shù)據(jù)����。
回?fù)埽–allback)指遠(yuǎn)程用戶撥叫主機(jī)后應(yīng)立即掛斷,由主機(jī)回?fù)茉撚脩粢员WC信息按指定線路傳輸�����。例如:在電子資金匯劃系統(tǒng)中����,為了保證數(shù)據(jù)只傳送給被授權(quán)的用戶����,最有效的控制措施就是 要求接受數(shù)據(jù)的金融機(jī)構(gòu)使用回?fù)芟到y(tǒng)。
工具軟件(Utility Software Restrictions)可以繞過訪問控制和審計(jì)��,管理層應(yīng)制定限制使用具有訪問特權(quán)的工具軟件的政策���,以降低利用特權(quán)軟件進(jìn)行非法訪問的風(fēng)險(xiǎn)���。
安全軟件(security software)的功能是限制對(duì)系統(tǒng)資源的訪問,但不能限制未經(jīng)許可軟件的安裝,也不能監(jiān)控職責(zé)分離��。使用安全軟件要注意使安全軟件與操作系統(tǒng)在安全控制方面保持同步�����。
15.3 Firewall
防火墻
防火墻(firewall)是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障�����,以防止發(fā)生不可預(yù)測(cè)的����、潛在的破壞性侵入。它可以通過監(jiān)測(cè)��、限制或更改跨越防火墻的數(shù)據(jù)流����,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部信息、結(jié)構(gòu)和運(yùn)行狀況����,以此來實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)。利用Internet實(shí)現(xiàn)電子商務(wù)必須使用防火墻����。
防火墻按其工作層次可分為:
數(shù)據(jù)包過濾型�����。通常安裝在路由器上����,工作在網(wǎng)絡(luò)層��,邏輯簡(jiǎn)單�����、價(jià)格便宜���、易于安裝和使用。
應(yīng)用網(wǎng)關(guān)型����。通常安裝在專用工作站上,工作在應(yīng)用層����,安全性能好,但價(jià)格比較貴,安裝和使用比較復(fù)雜�。
應(yīng)用程序應(yīng)安裝在防火墻里面的服務(wù)器上,如果將應(yīng)用程序安裝在防火墻外面的服務(wù)器上�����,那么防火墻就起不到應(yīng)有的作用����,會(huì)增加非法訪問的風(fēng)險(xiǎn)。對(duì)于某些面向公開用戶的應(yīng)用系統(tǒng)�����,如電子詢價(jià)系統(tǒng)�����,必須允許公眾用戶訪問公司資源�����,此時(shí)可利用防火墻將系統(tǒng)劃分為內(nèi)部應(yīng)用區(qū)和中間應(yīng)用區(qū)���,并根據(jù)文件的訪問種類將其存放在不同區(qū)域��,公眾用戶允許訪問中間區(qū)但不能進(jìn)入內(nèi)部區(qū)���,從而確保公司數(shù)據(jù)的安全性��。
審計(jì)防火墻的有效性需要核實(shí)路由器訪問控制列表��、測(cè)試調(diào)制解調(diào)器和集線器的位置����、審查控制記錄�����。
入侵檢測(cè)系統(tǒng)(IDS:Intrusion Detection System)工作在應(yīng)用層����,可以對(duì)應(yīng)用數(shù)據(jù)流進(jìn)行檢測(cè)并檢測(cè)出可能的入侵行為�����。IDS可分為兩類:基于行為的和基于知識(shí)的�����。基于行為的IDS基于已知的入侵行為特征進(jìn)行過濾�����,而基于知識(shí)的IDS則根據(jù)知識(shí)庫推斷�,是可以發(fā)現(xiàn)未曾預(yù)見的攻擊的專家系統(tǒng)。
入侵檢測(cè)系統(tǒng)和防火墻的集成可以構(gòu)成入侵防御系統(tǒng)(IPS:Instrusion Prevention System)�����。
15.4 Physical Computer Security
計(jì)算機(jī)的物理安全
計(jì)算機(jī)物理安全包括防火防潮����、不間斷電源的使用、計(jì)算機(jī)附近鐵路公路的風(fēng)險(xiǎn)評(píng)價(jià)����、盡量不要暴露數(shù)據(jù)中心的位置以防止恐怖分子襲擊、生物統(tǒng)計(jì)訪問系統(tǒng)的應(yīng)用等物理因素�����,但不包括訪問授權(quán)等邏輯因素����。
對(duì)于使用租賃線路的網(wǎng)絡(luò)應(yīng)保證設(shè)置在各營業(yè)場(chǎng)所的傳輸線路的安全以防止非法訪問網(wǎng)絡(luò)�����。
15.5 Outsourcing Services
外包服務(wù)/第三方服務(wù)
企業(yè)為了提高組織結(jié)構(gòu)的適應(yīng)性����,使之能集中精力于核心業(yè)務(wù)�,從而以最小的成本獲取最大的邊際利潤,往往通過簽訂協(xié)議將其信息部門的部分或全部職能交給第三方服務(wù)機(jī)構(gòu)來承擔(dān)����,即所謂的服務(wù)外包。第三方服務(wù)機(jī)構(gòu)的類型及特點(diǎn)如下:
設(shè)備管理機(jī)構(gòu)(facilities management organizations):按照用戶的要求來管理運(yùn)行用戶擁有的數(shù)據(jù)處理設(shè)備�����。
計(jì)算機(jī)租賃公司(computer leasing companies):只提供設(shè)備�,不負(fù)責(zé)設(shè)備管理運(yùn)行。
服務(wù)局(service bureaus):管理運(yùn)行自己擁有的數(shù)據(jù)處理設(shè)備�����,為不同客戶提供處理服務(wù)����。
共享服務(wù)商(time-sharing vendors):管理運(yùn)行自己擁有的數(shù)據(jù)處理設(shè)備和系統(tǒng),使各類組織能使用它們的系統(tǒng)����。
采用第三方服務(wù)是目前的流行趨勢(shì),但是這種服務(wù)同時(shí)也帶來了合同糾紛�、系統(tǒng)失敗、運(yùn)行不良�����、放棄日常操作控制等風(fēng)險(xiǎn)����。
相關(guān)推薦:國際注冊(cè)內(nèi)審師考試《經(jīng)營分析和信息技術(shù)》講義匯總
新添考試應(yīng)用:
①資訊訂閱,查詢最新考試信息②章節(jié)習(xí)題 海量套題全免費(fèi)體驗(yàn)?����?����!
本文導(dǎo)航
- 第1頁:系統(tǒng)安全相關(guān)知識(shí)
典型試題
1.用戶和管理人員都需認(rèn)可最初的建議�、設(shè)計(jì)規(guī)劃、轉(zhuǎn)換計(jì)劃和信息系統(tǒng)測(cè)試計(jì)劃��。這是以下哪項(xiàng)控制的例證?
a.實(shí)施控制。
b.硬件控制���。
c.計(jì)算機(jī)運(yùn)行控制�����。
d.數(shù)據(jù)安全性控制�����。
『正確答案』a
『解題思路』
a.正確�。實(shí)施控制應(yīng)存在于系統(tǒng)開發(fā)過程的各個(gè)環(huán)節(jié)����,以確保系統(tǒng)實(shí)施處于適當(dāng)?shù)目刂坪凸芾碇隆?
b.不正確。硬件控制用以保證計(jì)算機(jī)硬件的物理安全和檢查設(shè)備的故障�。
c.不正確。計(jì)算機(jī)運(yùn)行控制應(yīng)用在計(jì)算機(jī)部門的工作中�����,保證程序化的作業(yè)規(guī)程在數(shù)據(jù)的存儲(chǔ)和處理過程中得到一貫正確地執(zhí)行����。
d.不正確。數(shù)據(jù)安全性控制保證在磁盤或磁帶上的數(shù)據(jù)文件不被非法訪問����、修改或毀壞
2.以下哪項(xiàng)是信息系統(tǒng)邏輯安全控制的目標(biāo)?
a.保證數(shù)據(jù)記錄的完整和準(zhǔn)確。
b.保證數(shù)據(jù)處理的完整和準(zhǔn)確����。
c.限制對(duì)特定數(shù)據(jù)和資源的訪問。
d.提供處理結(jié)果的審計(jì)軌跡�����。
『正確答案』c
『解題思路』
a.不正確�����。保證數(shù)據(jù)記錄的完整和準(zhǔn)確是輸入控制的目標(biāo)�。
b.不正確。保證數(shù)據(jù)處理的完整和準(zhǔn)確是處理控制的目標(biāo)��。
c.正確���。限制對(duì)特定數(shù)據(jù)和資源的訪問是邏輯安全控制的目標(biāo)����。
d.不正確。提供處理結(jié)果的審計(jì)軌跡屬于輸出控制的目標(biāo)�。
3. 要防止通過將無人照管的終端直接連接到主機(jī)上而對(duì)敏感數(shù)據(jù)進(jìn)行非法訪問,以下哪項(xiàng)安全控制效果最佳?
a.使用帶密碼的屏幕保護(hù)程序�。
b.使用工作站腳本程序。
c.對(duì)數(shù)據(jù)文件加密��。
d.自動(dòng)注銷不活動(dòng)用戶��。
『正確答案』d
『解題思路』
a.不正確��。無人照管終端的主要風(fēng)險(xiǎn)是該終端可能已經(jīng)合法地登錄主機(jī)�,因此任何人都可以利用該終端訪問主機(jī)中的敏感數(shù)據(jù)。在這種情況下��,帶密碼的屏幕保護(hù)程序較容易被繞過���,如用另一臺(tái)終端替換該終端�����。
b.不正確�����。工作站腳本程序用來定制終端的運(yùn)行環(huán)境�����,只有在終端登錄時(shí)起作用��。
c.不正確��。對(duì)數(shù)據(jù)文件加密不能防止攻擊者訪問敏感數(shù)據(jù)��,因此時(shí)攻擊者已獲得了合法用戶的身份�,系統(tǒng)會(huì)自動(dòng)解密數(shù)據(jù)文件���。
d.正確����。自動(dòng)注銷不活動(dòng)用戶可使攻擊者失去獲得合法用戶的機(jī)會(huì)�����。
4.以下哪項(xiàng)應(yīng)用程序控制能夠?yàn)閹齑鏀?shù)據(jù)完整����、準(zhǔn)確地輸入提供合理保證?
a.順序檢查�。
b.批量總額���。
C.限額檢查����。
d.檢驗(yàn)數(shù)位�����。
『正確答案』b
『解題思路』
a.不正確����。順序檢查是一種測(cè)試輸入完整性的相當(dāng)好的控制,但它并不測(cè)試正確性�����。
b.正確��。批量匯總檢查對(duì)測(cè)試輸入完整性和正確性均很有效��。
c.不正確�。限額檢查只能判定輸入的數(shù)據(jù)是否在可接受的范圍內(nèi),因此也不能用來測(cè)試輸入的正確性��。
d.不正確。數(shù)字檢驗(yàn)位可以使計(jì)算機(jī)機(jī)械地拒絕錯(cuò)誤的輸入����。生成數(shù)字校驗(yàn)位需要進(jìn)行繁瑣的運(yùn)算,因而這種方法只適用于少數(shù)關(guān)鍵的輸入項(xiàng)�����。數(shù)字校驗(yàn)位絕不會(huì)用于測(cè)試成批數(shù)據(jù)輸入的正確性����。
5.為了避免非法數(shù)據(jù)的輸入�,某銀行在每個(gè)賬號(hào)結(jié)尾新加一個(gè)數(shù)字并對(duì)新加的數(shù)字進(jìn)行一種計(jì)算,此種技術(shù)被稱為:
a.光學(xué)字符識(shí)別����。
b.校驗(yàn)數(shù)位。
c.相關(guān)性檢驗(yàn)�����。
d.格式檢驗(yàn)����。
『正確答案』b
『解題思路』
a.不正確���。光學(xué)字符識(shí)別將印刷字符轉(zhuǎn)換成計(jì)算機(jī)可以識(shí)別的內(nèi)部代碼。
b.正確�����。校驗(yàn)數(shù)位是對(duì)某字段進(jìn)行某種計(jì)算后得出��,并附加在該字段之后的校驗(yàn)位����。通過重新計(jì)算校驗(yàn)位并和原校驗(yàn)位進(jìn)行比較,可以發(fā)現(xiàn)該字段內(nèi)容是否已發(fā)生變化
c.不正確�����。相關(guān)性檢驗(yàn)用于檢查多個(gè)字段之間是否存在某種關(guān)聯(lián)�,來判斷字段內(nèi)容的正確性
d.不正確。格式檢驗(yàn)用于檢查字段內(nèi)容是否遵循某種特定的格式����,如日期字段應(yīng)該具有如下格式:YYYY:MM:DD
6.以下哪項(xiàng)不是典型的輸出控制?
a.審查計(jì)算機(jī)處理記錄,以確定所有正確的計(jì)算機(jī)作業(yè)都得到正確執(zhí)行����。
b.將輸入數(shù)據(jù)與主文件上的信息進(jìn)行匹配����,并將不對(duì)應(yīng)的項(xiàng)目放入暫記文件中�。
c.定期對(duì)照輸出報(bào)告,以確認(rèn)有關(guān)總額�����、格式和關(guān)鍵細(xì)節(jié)的正確性及其與輸入信息的一致性���。
d.通過正式的程序和文件指明輸出報(bào)告��、支票或其他關(guān)鍵文件的合法接收者�����。
『正確答案』b
『解題思路』
a.不正確。審查計(jì)算機(jī)處理記錄是典型的輸出控制����。
b.正確.將輸人數(shù)據(jù)與主文件上的信息進(jìn)行匹配是一項(xiàng)輸入控制。
c.不正確��。定期對(duì)照輸出報(bào)告是典型的輸出控制����。
d.不正確�����。通過正式的程序和文件指明輸出報(bào)告����、支票或其他關(guān)鍵文件的合法接收者是典型的輸出控制����。
7.因?yàn)槟彻镜拇蟛糠秩粘=灰仔畔?duì)其競(jìng)爭(zhēng)對(duì)手都是機(jī)密信息,該公司只允許雇員訪問對(duì)完成各自工作有必要的信息�����,這種訪問信息的方法是基于:
a.知必所需原則
b.個(gè)體可追蹤原則����。
c.即時(shí)性原則。
d.例外管理原則����。
『正確答案』a
『解題思路』
a.正確。知必所需原則指雇員只能獲得其完成工作所必需的信息。
b.不正確����。個(gè)體可追蹤原則指雇員能夠?yàn)槠涫跈?quán)操作行為承擔(dān)責(zé)任。
c.不正確�。即時(shí)性原則要求為生產(chǎn)某項(xiàng)產(chǎn)品所需的原材料或存貨能在最適當(dāng)?shù)臅r(shí)間和最合適的數(shù)量準(zhǔn)備好,既不形成過多的庫存�����,又不延誤產(chǎn)品的生產(chǎn)�����。
d.不正確�。例外管理原則強(qiáng)調(diào)更多地關(guān)注例外條件,認(rèn)為這樣比花費(fèi)同樣的時(shí)間來關(guān)注正常運(yùn)行過程效果更好�����。
8.用來確定應(yīng)用程序系統(tǒng)需要建立多少控制的標(biāo)準(zhǔn)不包括以下哪項(xiàng)內(nèi)容����?
a.數(shù)據(jù)在系統(tǒng)中的重要性�����。
b.應(yīng)用網(wǎng)絡(luò)監(jiān)測(cè)軟件的可行性。
c.某項(xiàng)活動(dòng)或處理沒有受到適當(dāng)控制所產(chǎn)生的風(fēng)險(xiǎn)水平�����。
d.每種控制措施的效率����、復(fù)雜性和費(fèi)用。
『正確答案』b
『解題思路』
a.不正確�。例如,重要的財(cái)務(wù)和會(huì)計(jì)系統(tǒng)�,如證券交易所的股票買賣跟蹤系統(tǒng),相對(duì)于記錄員工培訓(xùn)和技能的系統(tǒng)而言����,必須具有更高的控制標(biāo)準(zhǔn)。
b.正確���。網(wǎng)絡(luò)監(jiān)測(cè)軟件并不參與應(yīng)用系統(tǒng)內(nèi)部的控制���。
c.不正確。問題的發(fā)生頻率及其潛在的危害應(yīng)決定在一個(gè)系統(tǒng)中建立多少控制����。
d.不正確��。例如�����,在一個(gè)每天處理成千上萬筆支付業(yè)務(wù)的系統(tǒng)中��,完全的逐項(xiàng)檢查可能過于費(fèi)時(shí)而不可操作��,但如僅檢查關(guān)鍵的數(shù)據(jù)則可能是可行的�����,如檢查金額��、賬號(hào)而忽略姓名和地址�����。
9. 以下哪種關(guān)于互聯(lián)網(wǎng)是一種可靠的商業(yè)網(wǎng)絡(luò)的說法是正確的����?
a.公司若想保持內(nèi)部數(shù)據(jù)的安全性�,必須應(yīng)用防火墻。
b.公司必須向互聯(lián)網(wǎng)提出申請(qǐng)�,得到創(chuàng)造主頁的許可,從事電子商務(wù)����。
c.希望在互聯(lián)網(wǎng)上參與電子商務(wù)活動(dòng)的公司必須遵守互聯(lián)網(wǎng)供應(yīng)商聯(lián)盟確立的安全標(biāo)準(zhǔn)。
d.上述說法都對(duì)�。
『正確答案』a
『解題思路』
a.正確。防火墻可以通過設(shè)立安全策略來控制互聯(lián)網(wǎng)的人員對(duì)公司內(nèi)網(wǎng)的訪問�����。
b.不正確�。任何公司均可在互聯(lián)網(wǎng)上創(chuàng)建主頁并從事電子商務(wù),并不需要提出申請(qǐng)��。
c.不正確�����?�;ヂ?lián)網(wǎng)是一個(gè)松散管理的網(wǎng)絡(luò)�,不存在互聯(lián)網(wǎng)供應(yīng)商聯(lián)盟,當(dāng)然也不存在互聯(lián)網(wǎng)供應(yīng)商聯(lián)盟確立的安全標(biāo)準(zhǔn)�。
d.不正確��。
10.使用安全軟件(Security Software)的主要目的是:
a.控制對(duì)系統(tǒng)資源的訪問����。
b.限制安裝未經(jīng)許可的工具軟件����。
c.檢測(cè)病毒的出現(xiàn)。
d.對(duì)應(yīng)用程序中職責(zé)分離的監(jiān)控�����。
『正確答案』a
『解題思路』
a.正確��。安全軟件的目標(biāo)就是控制對(duì)系統(tǒng)資源的訪問��,這些資源包括工具軟件�����、程序庫�、各種敏感級(jí)別的數(shù)據(jù)文件等。
b.不正確����。安全軟件只控制對(duì)工具的使用���,但不會(huì)限制其安裝����。
c.不正確。能檢測(cè)病毒出現(xiàn)的是防病毒軟件�����。
d.不正確��?���?衫冒踩浖?shí)現(xiàn)職責(zé)分離,但不能對(duì)職責(zé)分離進(jìn)行監(jiān)控�����。
11. 從微機(jī)上載的數(shù)據(jù)可能有誤�����,以下哪種方法能最好地解決此問題�����?
a.主機(jī)應(yīng)該定期備份。
b.上載數(shù)據(jù)時(shí)應(yīng)有兩個(gè)人同時(shí)在微機(jī)旁邊���。
c.主機(jī)應(yīng)該對(duì)上載數(shù)據(jù)實(shí)施與聯(lián)機(jī)輸入數(shù)據(jù)時(shí)同樣的編輯和合法性檢查例程���。
d.要求用戶檢查已處理數(shù)據(jù)的隨機(jī)樣本。
『正確答案』c
『解題思路』
a.不正確����。定期備份對(duì)發(fā)生故障后的系統(tǒng)恢復(fù)非常有用,但不能防止和發(fā)現(xiàn)數(shù)據(jù)上傳的錯(cuò)誤�����。
b.不正確��。上傳數(shù)據(jù)時(shí)兩人同時(shí)在場(chǎng)對(duì)防止數(shù)據(jù)上傳中的舞弊問題有效����,但對(duì)防止數(shù)據(jù)錯(cuò)誤的作用很小。
c.正確�。主機(jī)對(duì)上載數(shù)據(jù)實(shí)施與聯(lián)機(jī)輸入數(shù)據(jù)時(shí)同樣的編輯和合法性檢查例程能實(shí)時(shí)地發(fā)現(xiàn)并防止錯(cuò)誤數(shù)據(jù)進(jìn)入系統(tǒng)。
d.不正確���。檢查已處理數(shù)據(jù)的隨機(jī)樣本屬于發(fā)現(xiàn)性的控制����,但不能預(yù)防錯(cuò)誤發(fā)生。
12. 通過以下哪種方式可以最好地防止擁有充分技術(shù)的人員繞過安全程序?qū)ιa(chǎn)程序進(jìn)行修改����?
a.對(duì)已完成工作的報(bào)告進(jìn)行檢查�����。
b.將生產(chǎn)程序與獨(dú)立控制的拷貝進(jìn)行比較��。
c.定期運(yùn)行測(cè)試數(shù)據(jù)����。
d.制定合適的職責(zé)分離。
『正確答案』d
『解題思路』
a.不正確�����。對(duì)已處理作業(yè)進(jìn)行檢查只能發(fā)現(xiàn)非法訪問的事實(shí)���,但不能防止其發(fā)生�。
b.不正確。比較生產(chǎn)程序和受控拷貝只能發(fā)現(xiàn)程序改變的事實(shí)����,但不能防止其發(fā)生。
c.不正確����。定期運(yùn)行檢測(cè)數(shù)據(jù)可以發(fā)現(xiàn)改變,但不能防止改變���。
d.正確����。在職責(zé)分離的情況下�����,用戶無法獲得程序的詳細(xì)知識(shí)�,而計(jì)算機(jī)操作員則很難不受監(jiān)督地接觸生產(chǎn)程序。
相關(guān)推薦:國際注冊(cè)內(nèi)審師考試《經(jīng)營分析和信息技術(shù)》講義匯總
新添考試應(yīng)用:
①資訊訂閱���,查詢最新考試信息②章節(jié)習(xí)題 海量套題全免費(fèi)體驗(yàn)?���。?/FONT>
(責(zé)任編輯:中大編輯)
共2頁,當(dāng)前第1頁 第一頁 前一頁 下一頁
