國際注冊內(nèi)部審計師

典型試題 

【例題】能提交專題問題并使其他知情人可以看到和答復(fù)的地方是 
A.文件搜索程序，如Archie。 
B.廣域信息服務(wù)器。 
C.互聯(lián)網(wǎng)專題論壇，如Usenet group。 
D.開放系統(tǒng)互聯(lián)組織。 
【答案】C 
【解析】 
A.不正確。文件搜索程序用于在因特網(wǎng)上搜索所需的文件資料。 
B.不正確。廣域信息服務(wù)器可以在因特網(wǎng)上發(fā)布信息。 
C.正確。互聯(lián)網(wǎng)專題論壇是一個供人們通過互聯(lián)網(wǎng)直接交流的場所，在這里可以提出問題，也可回復(fù)問題。 
D.不正確。開放系統(tǒng)互聯(lián)組織是旨在推動開放系統(tǒng)發(fā)展的國際組織。 

【例題】內(nèi)部審計師正在復(fù)核一項有關(guān)電子郵件的新政策，這個政策應(yīng)包括除了以下哪項以外的所有因素? 
A.立即刪除已解除雇傭員工的所有電子郵件。 
B.通過電話線傳輸?shù)碾娮余]件信息應(yīng)該加密。 
C.限制公司采用的電子郵件軟件包的種類。 
D.規(guī)定職員不能用電子郵件發(fā)送高度敏感或機密的信息。 
【答案】A 
【解析】 
A.正確。已解除雇傭員工的電子郵件中很可能包含有用的客戶和業(yè)務(wù)信息，而且這些電子郵件的存在通常不對組織構(gòu)成風(fēng)險，因此沒有必要立即刪除，而應(yīng)安排專人接手并檢查這些郵件。 
B.不正確。電話線路很容易被竊聽，因此對通過電話線傳輸電子郵件信息進行加密應(yīng)包括在政策之內(nèi)。 
C.不正確。限制公司采用的電子郵件軟件包的種類有利于郵件的安全管理和互通，應(yīng)包括在政策之內(nèi)。 
D.不正確。電子郵件在通過公網(wǎng)傳送時，很可能受到各種攻擊，因此規(guī)定職員不能用電子郵件發(fā)送高度敏感或機密的信息應(yīng)包括在政策之內(nèi)。 

【例題】以下哪種關(guān)于電子郵件安全性的說法是正確的? 
I.電子郵件不可能比它賴以運行的計算機系統(tǒng)更安全。 
II.機密的電子郵件信息應(yīng)該儲存在郵件服務(wù)器中，儲存時間和紙質(zhì)文件相等。 
III.在大型組織中，可能有若干個不同安全級別的郵件管理員和地點。 
A.只有I是對的。 
B.只有I和II是對的。 
C.只有I和III是對的。 
D.只有II和III是對的。 
【答案】C 
【解析】 
I.正確。如果電子郵件賴以運行的計算機系統(tǒng)不安全，就可以通過系統(tǒng)工具獲得電子郵件的內(nèi)容。 
II.不正確。一旦用戶將機密的郵件信息下載到PC機后，就不應(yīng)該再在郵件服務(wù)器上保留。 
III.正確。在大型組織中，通常會對不同安全級別的郵件分設(shè)不同的管理員和地點。 

【例題】以下哪項關(guān)于電子郵件安全性的說法是正確的? 
A.互聯(lián)網(wǎng)上的所有信息都被加密，因此能夠提供增強的安全性。 
B.密碼在防止偶然訪問其他人的電子郵件時很有效。 
C.如果沒有事先對安全控制記錄解密，那么即使具有訪問包含電子郵件信息的文件服務(wù)器的管理級權(quán)限的人員也不能接觸包含電子郵件信息的文件。 
D.自主訪問控制策略不需要密碼。 
【答案】B 
【解析】 
A.不正確?；ヂ?lián)網(wǎng)上的信息并未自動加密，包括電子郵件信息。 
B.正確。對設(shè)置了密碼的電子郵件，必須輸入正確的密碼信息才能閱讀郵件，因此可以防止對郵件的偶然訪問。 
C.不正確。具有文件服務(wù)器管理權(quán)限（一般控制）的人員完全有可能繞過電子郵件的安全控制（應(yīng)用控制），通過直接閱讀郵件文件的方式來獲得郵件內(nèi)容。 
D.不正確。自主訪問控制策略需要對用戶身份進行鑒別，而口令是身份鑒別的主要手段 

【例題】WWW站點證書的主要功能是 
A.對用戶要訪問的WWW站點進行身份驗證。 
B.對訪問WWW站點的用戶進行身份驗證。 
C.防止黑客訪問WWW站點。 
D.與數(shù)字證書有同樣的目的。 
【答案】A 
【解析】 
A.正確。WWW站點證書的主要目的就是對要訪問的WWW站點進行身份驗證。用戶的身份驗證是通過口令，而不是通過站點證書來實現(xiàn)，站點證書既不會阻止黑客，也不能驗證用戶。 
B.不正確。見題解A。 
C.不正確。見題解A。 
D.不正確。見題解A。 

【例題】當(dāng)數(shù)據(jù)在一貿(mào)易公司的服務(wù)器上通過SSL加密傳輸時，應(yīng)考慮以下哪種情況? 
A.組織對加密沒有控制。 
B.消息面臨著線路竊聽。 
C.數(shù)據(jù)可能無法到達預(yù)期的接受者。 
D.通信可能不安全。 
【答案】A 
【解析】 
A.正確。SSL安全協(xié)議提供數(shù)據(jù)加密、服務(wù)器身份驗證、消息完整性和客戶身份驗證功能，因為SSL內(nèi)置于主要的瀏覽器和WWW服務(wù)器內(nèi)，通過簡單安裝一個數(shù)字證書，就可啟用SSL的功能。數(shù)據(jù)被加密后在網(wǎng)上傳播，加密是在后臺進行的，不需要用戶的交互操作，也不需要用戶提供口令。 
B.不正確。因為在客戶機與服務(wù)器之間的通信是被加密傳輸?shù)?，網(wǎng)上傳輸信息不會受到線路竊聽的威脅。 
C.不正確。SSL要進行客戶機身份驗證，只有預(yù)期的接受者才能收到加密信息。 
D.不正確。所有的通過SSL連接發(fā)送的數(shù)據(jù)都受到了防攻擊機制的保護，系統(tǒng)可以自動判斷數(shù)據(jù)在傳輸過程中是否被修改。 

【例題】以下哪一種小程序（Applet）入侵類型會使組織面臨系統(tǒng)運行中斷的最大威脅? 
A.在客戶機上放置病毒的程序 
B.能記錄用戶擊鍵行為和收集口令的小程序。 
C.從網(wǎng)上下載的能讀硬盤文件的代碼。 
D.可以從客戶機建立網(wǎng)絡(luò)連接的小程序。 
【答案】D 
【解析】 
A.不正確。在客戶機上放置病毒程序的行為稱為惡意攻擊，可能會引起客戶機的損害，但不會造成服務(wù)中斷。 
B.不正確。能記錄擊鍵行為和收集口令的程序涉及的是有關(guān)組織隱私的問題。這雖然很重要，但不可能引起嚴(yán)重的服務(wù)中斷。 
C.不正確。從網(wǎng)上下載的能讀客戶硬盤文件的代碼涉及的也是有關(guān)組織隱私的問題。這雖然很重要，但不可能引起嚴(yán)重的服務(wù)中斷。 
D.正確。所謂小程序是從WWW服務(wù)器下載到客戶機的一段小程序，通過瀏覽器它可以實現(xiàn)訪問數(shù)據(jù)庫、與WWW頁面交互操作及與其他用戶進行通信的功能。在網(wǎng)絡(luò)上小程序與其他計算機建立連接后，就有可能發(fā)動拒絕服務(wù)來攻擊和損害其他計算機，從而造成業(yè)務(wù)中斷，這構(gòu)成了對系統(tǒng)的最大威脅。

編輯推薦：2010年國際內(nèi)審師考試備考輔導(dǎo)Web基礎(chǔ)設(shè)施匯總

（責(zé)任編輯：中大編輯）

共2頁,當(dāng)前第1頁  第一頁  前一頁  下一頁