管理信息系統(tǒng)習(xí)題集-第8章-中文

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)管理信息系統(tǒng)第13版 (Laudon/Laudon)第8章 信息系統(tǒng)安全單項(xiàng)選擇題1) 下載驅(qū)動(dòng)（drive-by download）是一種被黑客用來在無線網(wǎng)絡(luò)上獲取文件的技術(shù)。參考答案: FALSE難度系數(shù): 1 2) 通過調(diào)制解調(diào)器或者數(shù)字專線DSL與因特網(wǎng)固定連接的計(jì)算機(jī)比用撥號(hào)服務(wù)連接的計(jì)算機(jī)更容易被外來者入侵。參考答案: TRUE難度系數(shù): 2 3) 無線網(wǎng)絡(luò)很容易受到攻擊因?yàn)闊o線頻率的波段很容易被監(jiān)測(cè)到。參考答案: TRUE難度系數(shù): 2 4) 針對(duì)移動(dòng)設(shè)備

2、的惡意軟件尚未像針對(duì)傳統(tǒng)計(jì)算機(jī)的惡意軟件那樣廣泛。參考答案: TRUE難度系數(shù): 3 5) 特洛伊木馬（Trojan horse）是一種軟件程序，它看似良性但是會(huì)做出一些意想不到的事情。參考答案: TRUE難度系數(shù): 1 6) 病毒可以通過電子郵件進(jìn)行傳播。參考答案: TRUE難度系數(shù): 1 7) 計(jì)算機(jī)蠕蟲比計(jì)算機(jī)病毒傳播得更快。參考答案: TRUE難度系數(shù): 2 8) 電子欺騙（spoofing）指通過把欺騙網(wǎng)站偽裝成目的網(wǎng)站，從而把網(wǎng)頁鏈接誤導(dǎo)入另一個(gè)與用戶實(shí)際希望訪問的網(wǎng)站不同的地址。參考答案: TRUE難度系數(shù): 2 9) 嗅探器程序使黑客能夠從網(wǎng)絡(luò)中任何地方盜取有價(jià)值的私有信息，包

3、括電子郵件消息、公司文件和機(jī)密報(bào)告等。 參考答案: TRUE難度系數(shù): 2 10) 拒絕服務(wù)（DoS）攻擊是用來摧毀信息和企業(yè)信息系統(tǒng)的限制訪問區(qū)域。參考答案: FALSE難度系數(shù): 2 11) 通過走查法（walkthrough），黑客可以輕松繞過信息系統(tǒng)的安全控制。參考答案: FALSE難度系數(shù): 2 12) 較大的程序無法實(shí)現(xiàn)零缺陷。根本不可能對(duì)軟件進(jìn)行完整測(cè)試。如果對(duì)包含數(shù)以千計(jì)的選擇代碼和數(shù)以百萬計(jì)的執(zhí)行路徑的程序進(jìn)行充分測(cè)試，耗時(shí)可能需要多達(dá)數(shù)千年。參考答案: TRUE難度系數(shù): 2 13) 可接受使用策略（AUP）為不同用戶定義訪問信息資產(chǎn)的可接受等級(jí)。參考答案: FALSE難度

4、系數(shù): 2 14) 生物身份認(rèn)證（biometric authentication）系統(tǒng)使用如視網(wǎng)膜圖像等個(gè)人身體特征來提供身份識(shí)別。 參考答案: TRUE難度系數(shù): 1 15) 包過濾捕獲絕大部分種類的網(wǎng)絡(luò)攻擊。參考答案: FALSE難度系數(shù): 2 16) 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）通過將組織內(nèi)部主機(jī)的IP地址隱藏起來，以防止防火墻外面的嗅探器程序。參考答案: TRUE難度系數(shù): 2 17) 安全套接層協(xié)議SSL（Secure Sockets Layer）可以用來在兩臺(tái)計(jì)算機(jī)之間建立安全連接。參考答案: TRUE難度系數(shù): 2 18) 公鑰加密使用兩個(gè)密鑰。 參考答案: TRUE難度系數(shù): 2

5、19) 高可靠計(jì)算也被稱為容錯(cuò)計(jì)算。參考答案: FALSE難度系數(shù): 2 20) 非授權(quán)的訪問是一種安全威脅，它最有可能發(fā)生在網(wǎng)絡(luò)客戶端電腦。參考答案: TRUE難度系數(shù): 2 21) _指用來防止對(duì)信息系統(tǒng)非授權(quán)的訪問、更改、盜竊或者物理損害的政策、步驟和技術(shù)措施。 A) 安全B) 控制C) 基準(zhǔn)D) 算法參考答案: A難度系數(shù): 2 22) _是確保組織資產(chǎn)安全的方法、政策和組織流程，要求對(duì)資產(chǎn)記錄要準(zhǔn)確、可靠，對(duì)其處置符合管理標(biāo)準(zhǔn)。A) 遺留系統(tǒng)B) SSID標(biāo)準(zhǔn)C) 漏洞D) 控制參考答案: D難度系數(shù): 2 23) 以下哪種不是針對(duì)無線網(wǎng)絡(luò)安全的挑戰(zhàn)？A) 服務(wù)集標(biāo)識(shí)（SSID）廣播

6、B) 無線頻率的波段容易被監(jiān)測(cè)C) SQL注入攻擊D) 無線信號(hào)的地理范圍參考答案: C難度系數(shù): 1 24) 電子數(shù)據(jù)更加容易受到例如毀壞，欺詐，錯(cuò)誤以及濫用等安全威脅，這是因?yàn)樾畔⑾到y(tǒng)將數(shù)據(jù)集中存放在計(jì)算機(jī)文件中，而且A) 這些文件常常跟企業(yè)遺留系統(tǒng)綁定在一起導(dǎo)致很難訪問，在出錯(cuò)的時(shí)候也很難糾正。B) 這些文件因?yàn)樵趧?chuàng)建的時(shí)候保障安全的技術(shù)尚不存在，所以是不安全的。C) 這些文件有可能被大量的組織以外的人和群體訪問。 D) 這些文件常常可以在互聯(lián)網(wǎng)上獲得。 參考答案: C難度系數(shù): 2 25) 以下的方法可以保障軟件質(zhì)量，除了:A) 系統(tǒng)分析 B) 走查法C) 軟件測(cè)試D) 企業(yè)內(nèi)部系統(tǒng)參

7、考答案: A難度系數(shù): 3 26) 竊聽是一種安全挑戰(zhàn)，它常常發(fā)生在企業(yè)網(wǎng)絡(luò)的哪個(gè)環(huán)節(jié)？A) 客戶端電腦 B) 通訊線路C) 企業(yè)服務(wù)器 D) 企業(yè)內(nèi)部系統(tǒng)參考答案: B難度系數(shù): 2 27) 利用一些編程很差的Web應(yīng)用軟件的漏洞將惡意程序代碼引入到企業(yè)的系統(tǒng)和網(wǎng)絡(luò)中，這種行為被稱為:A) 特洛伊木馬B) SQL注入攻擊C) 按鍵記錄D) 分布式拒絕服務(wù)攻擊參考答案: B難度系數(shù): 2 28) 互聯(lián)網(wǎng)帶來了一些特有的安全問題，這是因?yàn)?A) 它的設(shè)計(jì)使得其易于被訪問 B) 它的數(shù)據(jù)不在安全線路上傳輸 C) 它的標(biāo)準(zhǔn)全球通用 D) 它的變化非常迅速參考答案: A難度系數(shù): 2 29) 以下哪個(gè)

8、關(guān)于互聯(lián)網(wǎng)安全的陳述是不正確的？A) 使用對(duì)等P2P網(wǎng)絡(luò)可能把企業(yè)計(jì)算機(jī)上的信息向外界泄露B) 不提供互聯(lián)網(wǎng)連接的公司網(wǎng)絡(luò)比提供互聯(lián)網(wǎng)連接的公司網(wǎng)絡(luò)更加安全C) VoIP（由公用因特網(wǎng)傳輸IP語音）比語音交換網(wǎng)絡(luò)更加安全D) 即時(shí)信息活動(dòng)可以被黑客用做進(jìn)入一些原本安全的網(wǎng)絡(luò)的后門參考答案: C難度系數(shù): 2 30) 一種獨(dú)立的計(jì)算機(jī)程序，可以在網(wǎng)絡(luò)上將自己從一臺(tái)計(jì)算機(jī)拷貝到另一臺(tái)計(jì)算機(jī)，它是:A) 蠕蟲B) 特洛伊木馬C) 軟件缺陷D) 害蟲參考答案: A難度系數(shù): 2 31) 某個(gè)銷售人員重復(fù)點(diǎn)擊其競(jìng)爭(zhēng)者的在線廣告以提高其廣告成本。這是一個(gè)什么例子？ A) 網(wǎng)絡(luò)釣魚B) 網(wǎng)絡(luò)嫁接C) 電子欺

9、騙D) 點(diǎn)擊欺詐參考答案: D難度系數(shù): 2 32) 在2004年，ICQ用戶們被來自某個(gè)被認(rèn)為是防病毒商家的促銷信息所引誘。在這個(gè)商家的網(wǎng)站上，一個(gè)叫做Mitglieder的程序被下載到了客戶的機(jī)器中。這個(gè)程序使得外人可以滲透進(jìn)用戶的機(jī)器。這是一個(gè)什么例子？A) 特洛伊木馬B) 病毒C) 蠕蟲D) 間諜軟件參考答案: A難度系數(shù): 2 33) 重定向一個(gè)網(wǎng)絡(luò)鏈接到另一個(gè)不同的地址是一種什么行為？A) 窺探行為B) 電子欺騙行為C) 嗅探行為D) 接入點(diǎn)映射行為參考答案: B難度系數(shù): 2 34) 按鍵記錄器是一種A) 蠕蟲B) 特洛伊木馬C) 病毒D) 間諜軟件參考答案: D難度系數(shù): 1

10、35) 黑客通過以下方式組建僵尸網(wǎng)A) 使用惡意軟件感染W(wǎng)eb搜索機(jī)器人B) 使用Web搜索機(jī)器人感染其它計(jì)算機(jī)C) 通過一個(gè)主計(jì)算機(jī)使得他人的計(jì)算機(jī)成為“僵尸”計(jì)算機(jī)D) 讓企業(yè)服務(wù)器感染上“僵尸”特洛伊木馬從而允許通過后門進(jìn)行的訪問無法被檢測(cè)參考答案: C難度系數(shù): 2 36) 使用許許多多的計(jì)算機(jī)從無數(shù)的發(fā)射點(diǎn)來淹沒網(wǎng)絡(luò)被成為_ 攻擊。A) 分布式拒絕服務(wù)攻擊（DDoS）B) 拒絕服務(wù)攻擊（DoS）C) SQL注入攻擊D) 網(wǎng)絡(luò)釣魚參考答案: A難度系數(shù): 2 37) 以下哪一項(xiàng)不是針對(duì)計(jì)算機(jī)進(jìn)行犯罪的例子？A) 故意訪問受保護(hù)的計(jì)算機(jī)以實(shí)施欺詐B) 未經(jīng)授權(quán)訪問計(jì)算機(jī)系統(tǒng)C) 非法訪問

11、存儲(chǔ)電子通信D) 對(duì)受保護(hù)的計(jì)算機(jī)造成損害的威脅參考答案: C難度系數(shù): 2 38) 以下哪一項(xiàng)不是計(jì)算機(jī)用作犯罪工具的例子？ A) 竊取商業(yè)機(jī)密B) 有意嘗試攔截電子通信C) 軟件未經(jīng)授權(quán)的復(fù)制D) 泄漏保密性的受保護(hù)的計(jì)算機(jī)數(shù)據(jù)參考答案: D難度系數(shù): 2 39) 互聯(lián)網(wǎng)安全公司在2012年發(fā)現(xiàn)了大約多少種在惡意軟件中檢測(cè)到的新出現(xiàn)的威脅？A) 40萬B) 400萬 C) 4000萬D) 4億參考答案: A難度系數(shù): 2 參考答案似乎是D，題目似乎需要改為2011年 根據(jù)教材P232頁40) 以下哪個(gè)是網(wǎng)絡(luò)釣魚的例子？A) 設(shè)置偽造的Wi-Fi熱點(diǎn) B) 建立一個(gè)虛假的醫(yī)療網(wǎng)站，要求用戶提

12、供機(jī)密信息。C) 偽裝成公共事業(yè)公司的員工以獲取這個(gè)公司安全系統(tǒng)的信息。D) 以虛假的借口發(fā)送大量電子郵件，請(qǐng)求資助。參考答案: B難度系數(shù): 2 41) 邪惡雙胞（evil twins）是A) 用戶看起來是合法的商業(yè)軟件應(yīng)用程序的木馬程序。B) 模仿合法業(yè)務(wù)的電子郵件消息的電子郵件。C) 模仿合法經(jīng)營(yíng)網(wǎng)站的欺詐網(wǎng)站。 D) 偽裝成提供可信的Wi-Fi因特網(wǎng)連接的無線網(wǎng)絡(luò)。參考答案: D難度系數(shù): 1 42) 嫁接（pharming）指的是A) 將用戶引導(dǎo)到一個(gè)欺騙網(wǎng)頁，即便用戶在其使用的瀏覽器中輸入了正確的網(wǎng)址。 B) 冒充合法企業(yè)的代表以搜集其安全系統(tǒng)的信息。 C) 設(shè)置假網(wǎng)站，詢問用戶機(jī)

13、密信息。 D) 使用電子郵件進(jìn)行威脅或騷擾。 參考答案: A難度系數(shù): 2 43) 您被聘為法律公司的安全顧問。下列哪一構(gòu)成對(duì)該公司安全威脅最大的來源？ A) 無線網(wǎng)絡(luò)B) 公司員工C) 認(rèn)證程序D) 缺乏數(shù)據(jù)加密參考答案: B難度系數(shù): 2 44)冒充一個(gè)公司的合法成員欺騙員工透露他們的密碼被稱為A) 網(wǎng)絡(luò)監(jiān)聽B) 社交工程C) 網(wǎng)絡(luò)釣魚D) 網(wǎng)址嫁接參考答案: B難度系數(shù): 1 45) 軟件供應(yīng)商在軟件發(fā)布后如何糾正其軟件缺陷？A) 發(fā)布錯(cuò)誤修補(bǔ)器B) 發(fā)布補(bǔ)丁C) 重新發(fā)布軟件D) 發(fā)布升級(jí)版本參考答案: B難度系數(shù): 2 46) HIPAA法案A) 要求金融機(jī)構(gòu)保證客戶數(shù)據(jù)的安全。 B

14、) 指定信息系統(tǒng)安全和控制的最佳實(shí)踐。C) 對(duì)公司和管理層施加責(zé)任以保障財(cái)務(wù)信息的準(zhǔn)確性。D) 概述醫(yī)療安全和隱私規(guī)則。 參考答案: D難度系數(shù): 2 47) Gramm-Leach-Bliley法案A) 規(guī)定金融機(jī)構(gòu)要確?？蛻魯?shù)據(jù)安全保密。B) 指定信息系統(tǒng)安全和控制的最佳實(shí)踐。C) 對(duì)公司和管理層施加責(zé)任以保障財(cái)務(wù)信息的準(zhǔn)確性。D) 概述醫(yī)療安全和隱私規(guī)則。參考答案: A難度系數(shù): 3 48) 薩班斯-奧克斯利（Sarbanes-Oxley）法案A) 規(guī)定金融機(jī)構(gòu)要確?？蛻魯?shù)據(jù)安全保密。B) 指定信息系統(tǒng)安全和控制的最佳實(shí)踐。C) 對(duì)公司和管理層施加責(zé)任以保障財(cái)務(wù)信息的準(zhǔn)確性。D) 概述醫(yī)

15、療安全和隱私規(guī)則。參考答案: C難度系數(shù): 2 49) 最常見的電子證據(jù)類型是A) 語音郵件B) 電子表格C) 即時(shí)消息D) 電子郵件參考答案: D難度系數(shù): 2 50) 留存在計(jì)算機(jī)存儲(chǔ)介質(zhì)中對(duì)一般用戶不可見的電子證據(jù)被稱為_數(shù)據(jù)。 A) 碎片化B) 環(huán)境C) 法庭D) 片斷參考答案: B難度系數(shù): 2 51) 應(yīng)用軟件控制A) 可以分為輸入控制、過程控制和輸出控制。B) 管理計(jì)算機(jī)程序的設(shè)計(jì)、安全和使用，以及在整個(gè)組織中的數(shù)據(jù)文件的安全性。C) 適用于所有的電腦應(yīng)用，包括硬件，軟件和手動(dòng)程序，目的是創(chuàng)造一個(gè)整體的控制環(huán)境。D) 包括軟件控制，計(jì)算機(jī)操作控制和實(shí)施控制。 參考答案: A難度系

16、數(shù): 2 52) _控制確保存儲(chǔ)在磁盤或磁帶上的具有商業(yè)價(jià)值的數(shù)據(jù)文件在使用或儲(chǔ)存期間不受未經(jīng)授權(quán)的訪問，改變或破壞。A) 軟件 B) 行政 C) 數(shù)據(jù)安全 D) 實(shí)施 參考答案: C難度系數(shù): 3 53) 針對(duì)信息系統(tǒng)安全事件發(fā)生的可能性及其成本的分析是A) 安全措施B) 可接受使用策略（AUP）C) 風(fēng)險(xiǎn)評(píng)估D) 業(yè)務(wù)影響分析參考答案: C難度系數(shù): 2 54) 一個(gè)_系統(tǒng)用于識(shí)別和授權(quán)不同類別的系統(tǒng)用戶，并且指定每個(gè)用戶允許訪問的系統(tǒng)或系統(tǒng)功能。A) 身份管理B) 可接受使用策略（AUP）C) 認(rèn)證D) 防火墻參考答案: A難度系數(shù): 1 55) 下列哪一個(gè)不是主要的防火墻篩選技術(shù)？A)

17、 應(yīng)用代理過濾B) 靜態(tài)包過濾C) 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）D) 安全套接字過濾參考答案: D難度系數(shù): 2 56) 嚴(yán)格的密碼系統(tǒng)A) 是最有效的安全工具之一。B) 可能會(huì)阻礙員工生產(chǎn)力。C) 實(shí)施成本高昂。D) 經(jīng)常被員工忽視。參考答案: B難度系數(shù): 2 57) 身份驗(yàn)證令牌是A) 包含訪問權(quán)限數(shù)據(jù)的信用卡大小的設(shè)備 B) 智能卡的一種 C) 顯示密碼的小工具 D) 附著于數(shù)字授權(quán)文件的電子標(biāo)記 參考答案: C難度系數(shù): 2 58) 下列哪一個(gè)不是生物身份認(rèn)證系統(tǒng)用以分析的特征？A) 視網(wǎng)膜圖像B) 聲音C) 頭發(fā)顏色D) 面部參考答案: C難度系數(shù): 1 59) 防火墻可以允許組織A)

18、防止未授權(quán)的傳入和傳出的網(wǎng)絡(luò)流量。B) 監(jiān)控網(wǎng)絡(luò)熱點(diǎn)的入侵者。C) 阻止已知的間諜軟件和惡意軟件進(jìn)入系統(tǒng)。D) 上述所有。參考答案: A難度系數(shù): 2 60) 在以下哪些技術(shù)中有針對(duì)網(wǎng)絡(luò)通信的分析，以確定數(shù)據(jù)包是否是一個(gè)發(fā)送端和接收端之間正在進(jìn)行的會(huì)話的一部分？ A) 狀態(tài)檢測(cè)B) 入侵檢測(cè)系統(tǒng)C) 應(yīng)用代理過濾D) 包過慮參考答案: A難度系數(shù): 3 61) 下列哪一項(xiàng)是員工對(duì)組織的信息系統(tǒng)構(gòu)成的最大威脅？A) 忘記密碼B) 知識(shí)缺乏C) 數(shù)據(jù)錄入錯(cuò)誤D) 引進(jìn)軟件錯(cuò)誤參考答案: B難度系數(shù): 2 62) 目前，在互聯(lián)網(wǎng)上使用的安全信息傳輸協(xié)議有A) TCP/IP和SSL.B) S-HTTP

19、和CA.C) HTTP和TCP/IP.D) SSL, TLS和S-HTTP.參考答案: D難度系數(shù): 1 63) 大部分防病毒軟件可以有效防止A) 只有那些通過互聯(lián)網(wǎng)和電子郵件傳播的病毒。B) 任何病毒。C) 除了無線通信應(yīng)用外的任何病毒。D) 只針對(duì)編寫程序時(shí)已知的惡意軟件。 參考答案: D難度系數(shù): 2 64) 下面哪一種加密方法是將一個(gè)單一的加密密鑰發(fā)送給接收者，所以發(fā)送者和接收者共享相同的密鑰？A) 安全套接層協(xié)議（SSL）B) 對(duì)稱密鑰加密C) 公鑰加密D) 私鑰加密參考答案: B難度系數(shù): 2 65) 數(shù)字證書系統(tǒng)A) 利用第三方機(jī)構(gòu)來驗(yàn)證用戶身份的合法性。B) 利用數(shù)字簽名來驗(yàn)證

20、用戶身份的合法性。 C) 利用令牌來驗(yàn)證用戶身份的合法性。 D) 主要被個(gè)人用來做通信往來參考答案: A難度系數(shù): 2 66) 宕機(jī)時(shí)間指的是這樣一段時(shí)間A) 計(jì)算機(jī)系統(tǒng)失靈。B) 計(jì)算機(jī)系統(tǒng)不能正常運(yùn)行。C) 企業(yè)或組織不能正常運(yùn)行。D) 計(jì)算機(jī)不在線。參考答案: B難度系數(shù): 2 67) 為了保證100%的可靠性，在線事務(wù)處理需要A) 大容量存儲(chǔ)器。B) 多層服務(wù)器網(wǎng)絡(luò)。C) 容錯(cuò)計(jì)算機(jī)系統(tǒng)。D) 專用電話線。參考答案: C難度系數(shù): 1 68) 為了控制網(wǎng)絡(luò)流量減少網(wǎng)絡(luò)擁塞，一項(xiàng)_技術(shù)用于檢查數(shù)據(jù)文件，并將權(quán)限較低的在線文件分揀出來。A) 高可靠計(jì)算B) 深度包檢測(cè)C) 應(yīng)用代理過濾D)

21、 狀態(tài)檢測(cè)參考答案: B難度系數(shù): 3 69) 使計(jì)算機(jī)系統(tǒng)在出現(xiàn)災(zāi)難性事件后能夠更迅速的恢復(fù)的方法和途徑被稱為A) 高可用性計(jì)算。B) 面向恢復(fù)計(jì)算。C) 容錯(cuò)計(jì)算。D) 災(zāi)難恢復(fù)計(jì)劃。參考答案: B難度系數(shù): 2 70) 小公司可以將許多系統(tǒng)安全的職能外包給A) ISPs.B) MISs.C) MSSPs.D) CAs.參考答案: C難度系數(shù): 2 填空題71) 竊聽者在外面的建筑物或者公園里進(jìn)行操縱，以攔截?zé)o線網(wǎng)絡(luò)的流量的入侵方式被稱為_.參考答案: 駕駛攻擊（war driving）難度系數(shù): 2 72) 含有惡意代碼的軟件稱為_，它包含了各種形式的威脅，如計(jì)算機(jī)病毒、蠕蟲和特洛伊木馬

22、。參考答案: 惡意軟件（malware）難度系數(shù): 1 73) _是一種冒名獲得個(gè)人關(guān)鍵信息如社保號(hào)、駕照號(hào)、信用卡號(hào)等，以假冒他人的犯罪。參考答案: 身份盜用（identity theft）難度系數(shù): 1 74) _是指對(duì)存儲(chǔ)在計(jì)算機(jī)介質(zhì)或從計(jì)算機(jī)介質(zhì)中提取到的數(shù)據(jù)進(jìn)行科學(xué)收集、審查、授權(quán)、保存和分析，使其可以在法律訴訟中作為證據(jù)使用。 參考答案: 計(jì)算機(jī)取證（computer forensics）難度系數(shù): 2 75) _指故意中斷、毀壞，甚至摧毀一個(gè)網(wǎng)站或企業(yè)信息系統(tǒng)的行為。 參考答案: 惡意網(wǎng)絡(luò)破壞行為（cybervandalism）難度系數(shù): 3 76) _對(duì)企業(yè)的總體安全環(huán)境以及針

23、對(duì)單個(gè)信息系統(tǒng)的控制措施進(jìn)行檢查。 參考答案: 信息系統(tǒng)審計(jì)（MIS audit）難度系數(shù): 2 77) _是指能夠分辨一個(gè)人所聲稱的身份的能力。 參考答案: 身份認(rèn)證（authentication）難度系數(shù): 2 78) 安全產(chǎn)品供應(yīng)商把各種安全工具合并成一個(gè)單一的工具包。這些安全工具包括防火墻、虛擬專用網(wǎng)絡(luò)、入侵檢測(cè)系統(tǒng)、網(wǎng)頁內(nèi)容過濾和反垃圾郵件軟件等。這種集成的安全管理產(chǎn)品稱為_ 。 參考答案: 一體化威脅管理（UTM）系統(tǒng)難度系數(shù): 3 79) 公鑰加密基礎(chǔ)設(shè)施（PKI）是將公鑰加密技術(shù)和_組合起來使用。 參考答案: 數(shù)字認(rèn)證中心（certificate authority）難度系數(shù):

24、 2 80) 當(dāng)發(fā)現(xiàn)錯(cuò)誤時(shí)，通過_過程來發(fā)現(xiàn)并消除錯(cuò)誤源。 參考答案: 調(diào)試（debugging）難度系數(shù): 1 問答題81) 討論互聯(lián)網(wǎng)上的安全問題，因?yàn)檫@個(gè)問題適用于全球性的企業(yè)。列舉至少五種互聯(lián)網(wǎng)安全挑戰(zhàn)。 參考答案: 像因特網(wǎng)這樣的大型公用網(wǎng)絡(luò)，因?yàn)閷?duì)所有人開放，會(huì)比內(nèi)部網(wǎng)絡(luò)更加易受攻擊。因特網(wǎng)如此巨大，以致當(dāng)濫用發(fā)生時(shí)會(huì)產(chǎn)生四處蔓延的巨大影響。當(dāng)因特網(wǎng)成為企業(yè)網(wǎng)絡(luò)的一部分，組織的信息系統(tǒng)更容易受到外來者侵入。 通過調(diào)制解調(diào)器或者數(shù)字專線DSL與因特網(wǎng)固定連接的計(jì)算機(jī)更容易被外來者入侵，因?yàn)樗鼈兪褂霉潭ǖ囊蛱鼐W(wǎng)地址以便易于識(shí)別。如果用撥號(hào)服務(wù)，每次連接分配一個(gè)臨時(shí)的因特網(wǎng)地址。固定的因

25、特網(wǎng)地址為黑客提供了固定的攻擊目標(biāo)。為了從電子商務(wù)，供應(yīng)鏈管理，和其他數(shù)字業(yè)務(wù)流程中獲益，企業(yè)需要對(duì)外開放，如客戶，供應(yīng)商和貿(mào)易伙伴。企業(yè)系統(tǒng)必須在組織外部進(jìn)行擴(kuò)展，使員工可以使用無線和其他移動(dòng)計(jì)算設(shè)備來訪問他們。這就需要一個(gè)新的安全文化和基礎(chǔ)架構(gòu)，允許企業(yè)擴(kuò)展其安全政策，包括供應(yīng)商和其他業(yè)務(wù)伙伴的安全保障措施。難度系數(shù): 2 82) 一個(gè)公司的安全政策如何為六大主要業(yè)務(wù)目標(biāo)做出貢獻(xiàn)？請(qǐng)舉例說明。 參考答案: 1.卓越運(yùn)營(yíng): 安全政策對(duì)企業(yè)卓越經(jīng)營(yíng)至關(guān)重要。一個(gè)公司的日常交易可以被網(wǎng)絡(luò)犯罪如黑客嚴(yán)重破壞。一個(gè)公司的效率依賴于精確的數(shù)據(jù)。此外，信息資產(chǎn)具有巨大的價(jià)值，如果他們被丟失，被破壞，或者

26、被壞人所掌控，后果將是毀滅性的。2.新產(chǎn)品，服務(wù)，商業(yè)模式: 安全政策保護(hù)公司的新產(chǎn)品和服務(wù)創(chuàng)意，而這些可能被競(jìng)爭(zhēng)對(duì)手竊取。此外，增強(qiáng)的安全性，在客戶的眼中也可以作為產(chǎn)品差異化的一種方式。3.客戶和供應(yīng)商關(guān)系: 如果用戶輸入個(gè)人數(shù)據(jù)到您的信息系統(tǒng)，例如，輸入信用卡信息到您的電子商務(wù)網(wǎng)站，那么客戶的信息就依賴于您的系統(tǒng)安全性。您收到的來自客戶和供應(yīng)商的信息則直接影響到您是如何定制您的產(chǎn)品，服務(wù)，或與他們溝通。4.改進(jìn)決策: 安全的系統(tǒng)將數(shù)據(jù)的準(zhǔn)確性作為其優(yōu)先級(jí)，而良好的決策也依賴于準(zhǔn)確和及時(shí)的數(shù)據(jù)。丟失和不準(zhǔn)確的數(shù)據(jù)將會(huì)導(dǎo)致錯(cuò)誤的決策。5.競(jìng)爭(zhēng)優(yōu)勢(shì): 你的公司擁有比其它公司更高的安全性的特征，在

27、其它方面都均等的情況下，將使你的公司更有吸引力。此外，改進(jìn)的決策，新產(chǎn)品和服務(wù)，這也受到系統(tǒng)安全的影響（見上文），將有助于提升一個(gè)公司的競(jìng)爭(zhēng)優(yōu)勢(shì)。強(qiáng)大的安全性和控制能力也提高了員工的工作效率和更低的運(yùn)營(yíng)成本。 6.生存: 新的法律和法規(guī)迫使企業(yè)將安全系統(tǒng)保持最新成為企業(yè)的生存問題。安全和控制不充分可能導(dǎo)致嚴(yán)重的法律責(zé)任。企業(yè)有可能因?yàn)榘踩呱系腻e(cuò)誤而被徹底摧毀。難度系數(shù): 3 83)系統(tǒng)建設(shè)者和用戶的三項(xiàng)主要關(guān)注點(diǎn)是災(zāi)難，安全和人為錯(cuò)誤。在這三項(xiàng)之中，你認(rèn)為最難對(duì)付的是什么？為什么？參考答案: 學(xué)生的參考答案會(huì)有所不同。參考參考答案包括: 災(zāi)難可能是最難對(duì)付的，因?yàn)樗且庀氩坏降?，影響廣泛的

28、，而且經(jīng)常會(huì)危及生命。此外，公司不知道其災(zāi)難計(jì)劃是否會(huì)在災(zāi)難發(fā)生時(shí)產(chǎn)生效果，而那時(shí)再作更正也為時(shí)太晚。安全可能是最困難的，因?yàn)樗且粋€(gè)正在進(jìn)行的問題，新病毒的設(shè)計(jì)不斷，黑客變得更加狡猾。此外，系統(tǒng)安全措施也無法排除由受信任的員工從內(nèi)部進(jìn)行的破壞。人為錯(cuò)誤可能是最困難的，因?yàn)楸蛔サ綍r(shí)常常為時(shí)已晚，而且后果可能是災(zāi)難性的。此外，在公司內(nèi)部，行政錯(cuò)誤可以發(fā)生在任何級(jí)別，并通過任何操作或程序發(fā)生。難度系數(shù): 2 84) 無線網(wǎng)絡(luò)面臨的安全挑戰(zhàn)是什么？參考答案: 無線網(wǎng)絡(luò)容易受到攻擊，因?yàn)闊o線頻率的波段很容易被監(jiān)測(cè)到。藍(lán)牙和Wi-Fi網(wǎng)絡(luò)都容易受非法偷聽者的入侵。使用802.11標(biāo)準(zhǔn)的局域網(wǎng)（LAN）也

29、可以被外部入侵者通過手提電腦、無線網(wǎng)卡、外置天線和黑客軟件輕易地侵入。黑客使用這些軟件來發(fā)現(xiàn)沒有防護(hù)的網(wǎng)絡(luò)、監(jiān)視網(wǎng)絡(luò)流量，在某些情況下還能夠進(jìn)入因特網(wǎng)或企業(yè)網(wǎng)絡(luò)。Wi-Fi傳輸技術(shù)使得一個(gè)基站能夠很容易找到并接聽另一個(gè)基站。Wi-Fi網(wǎng)絡(luò)中識(shí)別訪問點(diǎn)的服務(wù)集標(biāo)識(shí)SSID（service set identifier）多次廣播，能夠很容易地被入侵者的監(jiān)聽程序竊取。很多地區(qū)的無線網(wǎng)絡(luò)沒有基本的保護(hù)來抵御駕駛攻擊（war driving）。這種入侵方式，竊聽者在外面的建筑物或者公園里進(jìn)行操縱，以攔截?zé)o線網(wǎng)絡(luò)的流量。與一個(gè)接入點(diǎn)關(guān)聯(lián)起來的入侵者通過使用正確的SSID就能夠訪問網(wǎng)絡(luò)上其它資源。例如，入侵

30、者可以使用Windows操作系統(tǒng)來確定還有哪些其他用戶連接到網(wǎng)絡(luò)，然后進(jìn)入他們的計(jì)算機(jī)硬盤驅(qū)動(dòng)區(qū)，打開或復(fù)制他們的文件。入侵者還會(huì)使用另一個(gè)不同的無線頻道設(shè)置欺詐接點(diǎn)來收集的信息。該欺詐接點(diǎn)的物理位置與用戶靠近，這樣強(qiáng)行使用戶的無線網(wǎng)絡(luò)接口控制器NIC（network interface controller）與該接點(diǎn)關(guān)聯(lián)起來。一旦關(guān)聯(lián)成功，黑客就可以通過欺詐接點(diǎn)捕獲不知情的用戶的用戶名和密碼。難度系數(shù): 3 85) 為什么軟件質(zhì)量對(duì)安全很重要？一個(gè)組織能夠采取哪些具體措施來保證軟件質(zhì)量？ 參考答案: 軟件錯(cuò)誤對(duì)信息系統(tǒng)是一種常見的威脅，它會(huì)造成無法估量的損失。軟件的復(fù)雜性日益增加，規(guī)模不斷擴(kuò)

31、大，再加上市場(chǎng)需求的即時(shí)性，是造成軟件缺陷或漏洞不斷增加的原因。軟件的一個(gè)重大問題是存在著隱藏的bug或程序代碼缺陷。研究表明，從大型程序中消除所有的Bug幾乎不可能。商業(yè)軟件的缺陷不僅降低其性能，也造成安全漏洞給網(wǎng)絡(luò)入侵者有可乘之機(jī)。為了修復(fù)發(fā)現(xiàn)的軟件缺陷，供應(yīng)商會(huì)編寫出稱為補(bǔ)?。╬atch）的缺陷修復(fù)小程序而不會(huì)影響軟件的正常運(yùn)行。 組織必須盡力確保購(gòu)買的軟件是最新的，并盡可能確保他們自己的軟件和程序通過采用軟件度量和嚴(yán)格的軟件測(cè)試來防止程序缺陷。持續(xù)進(jìn)行軟件度量能夠讓信息系統(tǒng)部門和終端用戶共同來測(cè)量系統(tǒng)的性能，并及時(shí)發(fā)現(xiàn)所產(chǎn)生的問題。例如，度量指標(biāo)可能包括在一個(gè)特定時(shí)間單位內(nèi)能被處理的事

32、務(wù)數(shù)量、在線響應(yīng)時(shí)間、每小時(shí)打印的工資支票數(shù)量，以及每百行程序代碼發(fā)現(xiàn)的錯(cuò)誤（bug）數(shù)量等。要成功應(yīng)用軟件度量方法，對(duì)各項(xiàng)指標(biāo)需要認(rèn)真設(shè)計(jì)，做到規(guī)范、客觀，而且保持前后使用的一致性。盡早、定期且全面的測(cè)試能夠顯著提高系統(tǒng)質(zhì)量。良好的測(cè)試甚至要求在編程之前就開始進(jìn)行相應(yīng)的測(cè)試工作，此時(shí)可以采用走查法（walkthrough）來進(jìn)行。這種方法針對(duì)具體測(cè)試目的，精心挑選出一組具有所需技能的人員，對(duì)系統(tǒng)開發(fā)說明書和設(shè)計(jì)文檔進(jìn)行演示審閱。開始編程后，代碼走查法同樣可以用來對(duì)程序代碼進(jìn)行演示。但是，代碼必須通過計(jì)算機(jī)運(yùn)行來測(cè)試。當(dāng)發(fā)現(xiàn)錯(cuò)誤時(shí)，通過調(diào)試（debugging）過程來發(fā)現(xiàn)并消除錯(cuò)誤源。難度系數(shù)

33、: 2 86) 黑客和他們的伙伴病毒是一個(gè)不斷嚴(yán)重的問題，尤其是在互聯(lián)網(wǎng)上。一個(gè)公司保護(hù)自己免受這些困擾的最重要的措施有什么？徹底的保護(hù)可行嗎？為什么？參考答案: 為了保護(hù)自己，公司必須構(gòu)建良好的安全措施，這包括防火墻，調(diào)查人員，物理和軟件安全和控制，防病毒軟件，和內(nèi)部教育措施。而這些措施最好在做系統(tǒng)設(shè)計(jì)的時(shí)候就應(yīng)該到位并且格外關(guān)注。一個(gè)謹(jǐn)慎的公司將部署災(zāi)害保護(hù)措施，頻繁更新安全軟件，并經(jīng)常審計(jì)的所有安全措施和公司的所有數(shù)據(jù)?？紤]到時(shí)間和費(fèi)用，徹底的保護(hù)可能不可行，但風(fēng)險(xiǎn)分析可以洞察到哪些領(lǐng)域是最重要的和脆弱的。這些都是需要優(yōu)先保護(hù)的領(lǐng)域。難度系數(shù): 2 87) 您剛剛被聘為megamalls

34、公司的安全顧問，這是一家覆蓋全國(guó)的零售商場(chǎng)連鎖。您需要確保其信息系統(tǒng)的安全達(dá)標(biāo)。概述你將采取的步驟來實(shí)現(xiàn)這一目標(biāo)。 參考答案: 1. 確定哪些數(shù)據(jù)和流程對(duì)公司是重要的和必不可少的。確定哪些外部和內(nèi)部信息對(duì)公司不同崗位和級(jí)別的員工至關(guān)重要。 2. 進(jìn)行管理信息系統(tǒng)審計(jì)，進(jìn)行安全審計(jì)，建立風(fēng)險(xiǎn)評(píng)估分析。3. 確定根據(jù)法律/政府/行業(yè)規(guī)定需要遵守的標(biāo)準(zhǔn)和相關(guān)的國(guó)際標(biāo)準(zhǔn)。 4. 進(jìn)行業(yè)務(wù)影響分析，確定災(zāi)難恢復(fù)計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃。5. 創(chuàng)建一個(gè)安全策略，它包括可接受的使用策略、授權(quán)策略和流程的安全策略。 6. 必要的變更管理計(jì)劃。 7. 確定如何衡量你的安全策略的成功與否，并創(chuàng)立相應(yīng)的衡量指標(biāo)和手段。 8. 執(zhí)行這些政策。9. 測(cè)量和評(píng)估這