CISA考試練習(xí)(習(xí)題卷17)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷17)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項選擇題，共100題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.在評估一個重要業(yè)務(wù)范圍的災(zāi)難恢復(fù)計劃，信息系統(tǒng)審計員發(fā)現(xiàn)它并沒有涵蓋所有系統(tǒng)。下列哪個選項是審計員最正確的行為？A)通知管理層并評估沒有涵蓋所有系統(tǒng)的影響B(tài))取消審計C)根據(jù)已存的災(zāi)難恢復(fù)計劃完成系統(tǒng)審計D)延后審計知道所有的系統(tǒng)都被包含到災(zāi)難恢復(fù)計劃中答案:A解析:一名信息系統(tǒng)審計師應(yīng)使管理層意識到在災(zāi)難恢復(fù)計劃中漏掉了某些系統(tǒng)。信息系統(tǒng)審計師應(yīng)繼續(xù)審計并包含評價災(zāi)難恢復(fù)計劃中未涵蓋系統(tǒng)帶來的風(fēng)險。取消審計，忽視了某些系統(tǒng)沒有被涵蓋或延后審計的事實是采取的不適當(dāng)?shù)男袨?。[單選題]2.信息系統(tǒng)審計師了解到，業(yè)務(wù)部]負責(zé)人創(chuàng)建的一個網(wǎng)頁可訪問生產(chǎn)數(shù)據(jù),從而違反了公司的安全政策，審計師的下一個步驟應(yīng)當(dāng)是:A)評估生產(chǎn)數(shù)據(jù)的敏感性B)確定是否存在足夠的訪問控制C)上報給高級管理層D)關(guān)閉網(wǎng)頁答案:A解析:[單選題]3.下面哪一項技術(shù)最能幫助S審計師合理地確信項目可以按時完成?A)基于完成百分比和預(yù)估的完成時間(來自狀態(tài)報告)估計實際結(jié)日期B)根據(jù)與經(jīng)驗豐富的經(jīng)理和參與完成項目交付成果的員工的面談情況，確認目標(biāo)日期C)根據(jù)已完成的工作包和當(dāng)前資源對最終結(jié)束日期進行推斷D)根據(jù)當(dāng)前資源和剩余可用項目預(yù)算計算預(yù)期結(jié)束日期答案:C解析:A.IS審計師不能依賴狀態(tài)報告中數(shù)據(jù)的準確性來取得合理保證。B.面談是一種有用的信息來源，但不一定能發(fā)現(xiàn)任何項目挑戰(zhàn)，因為被訪談的人置身項目之中C.直接觀察結(jié)果要好于從面談或狀態(tài)報告中獲得的估計和定性信息。項目經(jīng)理和參與的員工往往低估完成項目所需的時間以及由于任務(wù)間的依賴關(guān)系而必需的時間緩沖，但高估進行中的任務(wù)的完成百分比(即80:20規(guī)則)。D.根據(jù)剩余預(yù)算進行的計算沒有考慮項目進展的速度。[單選題]4.正在使用原型設(shè)計開發(fā)的業(yè)務(wù)應(yīng)用系統(tǒng)的變更控制會因以下哪個因素而變得復(fù)雜:A)原型設(shè)計的選代性質(zhì)。B)快節(jié)奏的需求和設(shè)計修改C)對報告和屏幕的強調(diào)D)缺乏集成工具。答案:B解析:A.選代性質(zhì)是原型設(shè)計的特性之一，但它不會對變更控制產(chǎn)生不利影響。B.需求和設(shè)計變更發(fā)生地非常快，因此很少進行存檔記錄或?qū)徟.對報告和屏幕的強調(diào)是原型設(shè)計的特性之一，但它不會對變更控制產(chǎn)生不利影響。D.缺乏集成工具是原型設(shè)計的特性之一，但它不會對變更控制產(chǎn)生不利影響。[單選題]5.使用數(shù)字簽名時．由誰計算消息摘要?A)僅由發(fā)送者。B)僅由接收者。C)由發(fā)送者和接收者。D)由認證頒發(fā)機構(gòu)(CA)答案:C解析:數(shù)字簽名是個人或?qū)嶓w的電子標(biāo)識。通過使用非對稱加密進行創(chuàng)建。為了驗證數(shù)據(jù)的完整性，發(fā)送者會對整個消息應(yīng)用加密哈希算法，創(chuàng)建一個隨消息一起發(fā)送的消息摘要。收到消息時．接收方將使用相同的算法重新計算啥希，然后與發(fā)送內(nèi)容進行比較，以此確保消息的完整性。[單選題]6.與沒有災(zāi)難恢復(fù)計劃(DRP)相比，有災(zāi)難恢復(fù)計劃時持續(xù)運作的成本最有可能:A)增加。B)降低。C)保持不變。D)無法預(yù)測答案:A解析:A.由于采用災(zāi)難恢復(fù)計劃DRP)措施會產(chǎn)生額外的測試、維護和實施成本，因此任何組織的正常運作成本在DRP實施后總會有所增加(即在無災(zāi)難期間，有DRP的正常運營成本會高于無DRP的運營成本)B.實施DRP一定會為組織帶來額外成本。C.實施DRP一定會為組織帶來額外成本。D.DRP成本具有相當(dāng)?shù)目深A(yù)測性和穩(wěn)定性。[單選題]7.與傳統(tǒng)的系統(tǒng)開發(fā)生命周期(SDLC)相比，快速應(yīng)用開發(fā)(RAD)的最大優(yōu)勢在于:A)便于用戶參與。B)允許技術(shù)功能的早期測試。C)便于轉(zhuǎn)換到新系統(tǒng)。D)縮短開發(fā)時間。答案:D解析:A.快速應(yīng)用開發(fā)(RAD)更強調(diào)用戶參與以確保系統(tǒng)滿足用戶的需求;但其主要目的是加速開發(fā)。B.RAD確實允許早期測試，但傳統(tǒng)的系統(tǒng)開發(fā)生命周期(SDLC)也會。C.RAD不便于轉(zhuǎn)換到新系統(tǒng)。D.RAD的最大優(yōu)勢和核心目錄是縮短系統(tǒng)開發(fā)時間[單選題]8.在準備災(zāi)難恢復(fù)計劃時下列哪一個任務(wù)是應(yīng)該最先被執(zhí)行的？A)制定恢復(fù)策略B)進行業(yè)務(wù)影響分析(BIA)C)描述出軟件系統(tǒng)，硬件系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等組件D)任命恢復(fù)團隊的人員、角色和等級答案:B解析:災(zāi)難恢復(fù)計劃的第一步是執(zhí)行一個業(yè)務(wù)影響分析（BIA），所有其他任務(wù)緊接著開始。[單選題]9.對IT系統(tǒng)實施滲透測試時，組織最應(yīng)關(guān)注以下哪項：A)報告的機密性B)找到系統(tǒng)中的所有潛在漏洞C)將所有系統(tǒng)恢復(fù)為原始狀態(tài)D)記錄生產(chǎn)系統(tǒng)的所有更改答案:C解析:同意進行滲透測試之前，系統(tǒng)所有者應(yīng)考慮所有建議項，但最重要的任務(wù)是能夠?qū)⑾到y(tǒng)恢復(fù)為原始狀態(tài)。任何在測試系統(tǒng)中創(chuàng)建或存儲的信息都應(yīng)從這些系統(tǒng)中移除。如果因某種原因在滲透測試結(jié)束后無法移除這些信息，則應(yīng)在技術(shù)報告中標(biāo)識所有文件（包括文件位置），以便客戶端技術(shù)人員可以在接收報告后移除這些信息。[單選題]10.下面哪一項是通用的操作系統(tǒng)訪問控制功能？A)創(chuàng)建數(shù)據(jù)庫配置文件B)在字段級驗證用戶授權(quán)C)授權(quán)D)記錄數(shù)據(jù)庫訪問活動以監(jiān)控非法訪問活動答案:A解析:建立個人問責(zé)制是普遍的操作系統(tǒng)的功能。創(chuàng)建數(shù)據(jù)庫的配置文件，為了監(jiān)視違規(guī)訪問，在字段一級和數(shù)據(jù)庫訪問活動的核實用戶的授權(quán)，都是數(shù)據(jù)庫級的訪問控制功能。[單選題]11.在審查IT災(zāi)難恢復(fù)測試的時候，下列哪項是IS審計師最應(yīng)該關(guān)注的？A)由于有限的測試時間窗，只有最重要的系統(tǒng)被測試了。其他系統(tǒng)在當(dāng)年余下的時間分開測試。B)在測試的過程中，注意到有些備份系統(tǒng)有缺陷揮著不正常工作，導(dǎo)致測試失敗。C)在啟動備份站點之前，關(guān)閉程序和原始產(chǎn)生站點的安全所需的時間比計劃的要長。D)每年都由相同的員工進行測試。由于恢復(fù)的每一步都被參與者熟知，就不使用恢復(fù)計劃文檔。答案:D解析:災(zāi)難恢復(fù)測試應(yīng)該測試計劃，流程，人員和IT系統(tǒng)。因此，如果計劃不使用，其準確性和充分性無法得到證實。災(zāi)難恢復(fù)應(yīng)該不依賴于關(guān)鍵員工，因為災(zāi)難發(fā)生時，他們無法在場解決問題。這是很常見的在有限的測試時間內(nèi)備份所有的系統(tǒng)都能測試到。但是，對業(yè)務(wù)很重要的那些喜用要被測試這是很重要的，而其他系統(tǒng)最終在一年當(dāng)中被測試。測試的其中一個目的是識別和更換有故障的設(shè)備以便在發(fā)生災(zāi)難是使所有系統(tǒng)能切換。選項B只有在發(fā)現(xiàn)問題的數(shù)目是非常高的想到高的系統(tǒng)問題時才會關(guān)注。在真正的災(zāi)難情況下，原生產(chǎn)環(huán)境的正常關(guān)閉是沒有必要的，因為最首要的是把備份系統(tǒng)運行起來。[單選題]12.在部署控制前，管理層主要應(yīng)該保證控制：A)滿足解決風(fēng)險問題的需求B)不減少生產(chǎn)力C)基于成本效益的分析D)控制是檢測或糾正型的答案:A解析:當(dāng)設(shè)計控制時，考慮以上觀點都是有必要的，一個理想的控制手段能實現(xiàn)上述所有目標(biāo)。實際來說，不可能設(shè)計出這樣的控制且成本是受限制的。因此，必須主要考慮組織現(xiàn)有風(fēng)險處理的相關(guān)控制。點評：控制的部署實施應(yīng)基于成本效益原則[單選題]13.在計劃黑盒滲透測試時，最重要的成功因素是：A)已計劃的測試程序的文檔B)真實評估環(huán)境架構(gòu)以確定范圍C)為客戶組織的管理人員所了解D)安排并確定測試的時長答案:C解析:黑盒滲透測試假定事先對待測試的基礎(chǔ)架構(gòu)并不了解。測試人員模擬不熟悉系統(tǒng)的人員發(fā)起的攻擊。管理人員知道測試流程非常重要，以便在監(jiān)控系統(tǒng)識別出該測試時，可快速確定操作的合作性。選項A和B對于黑盒滲透測試無效。選項D也很重要，但重要性不如C。[單選題]14.在報告發(fā)現(xiàn)被確認后，被審計單位立即采取糾正行動（CorreCtiveACtion）。審計師應(yīng)該:A)．在最終報告中包含發(fā)現(xiàn)，因為IS審計師有責(zé)任得到一份包含所有發(fā)現(xiàn)的準確報告B)．在最終報告中不包含發(fā)現(xiàn)，因為審計報告只應(yīng)該包含未解決的發(fā)現(xiàn)C)．在最終報告中不包含發(fā)現(xiàn)，因為糾正行動可以被IS審計師在審計過程中驗證D)．只在結(jié)束會議討論目的時包含發(fā)現(xiàn)答案:A解析:在最終報告中包含發(fā)現(xiàn)是普遍接受的審計準則。如果一項整改行動在審計期間實施，審計報告需要驗證發(fā)現(xiàn)和描述糾正行動的實施。審計報告要反映環(huán)境，因為它存在與審計之前。所有被審計單位的糾正行動都要提交書面報告。[單選題]15.當(dāng)檢查信息系統(tǒng)戰(zhàn)略時，信息系統(tǒng)審計師要評價信息系統(tǒng)戰(zhàn)略是否支持組織的業(yè)務(wù)目標(biāo)，最好通過判斷信息系統(tǒng)是否：A)有所有必需的人員和設(shè)備B)計劃跟管理戰(zhàn)略相一致C)有效率地和有效地使用了設(shè)備和人員D)有足夠充裕的能力去應(yīng)對變化的形勢答案:A解析:檢測IS計劃是否和管理策略相關(guān)的IS/IT業(yè)務(wù)計劃一致。選擇A，C和D是校正IS計劃同業(yè)務(wù)目標(biāo)、組織策略差異的有效方法。[單選題]16.當(dāng)審計自動化系統(tǒng)時，總是無法確定責(zé)任和報告途徑，因為：A)分散的控制使用所有權(quán)不相關(guān)B)員工工作變動更加頻繁C)由于資源共享很難準確定所有權(quán)D)隨著技術(shù)的快速發(fā)展，責(zé)任經(jīng)常變化答案:C解析:由于數(shù)據(jù)和應(yīng)用系統(tǒng)的分散特性，很難確定數(shù)據(jù)和應(yīng)用系統(tǒng)的真正所有者。點評：找不到owner是無法問責(zé)的主要原因[單選題]17.管理C、yB、er攻擊的第一步是：A)評估攻擊影響B(tài))估計可能的威脅C)鑒別重要的資產(chǎn)信息D)估計潛在的損失答案:A解析:管理風(fēng)險的第一步是對重要的信息來源進行鑒別和分類。一旦資產(chǎn)被鑒別出，程序就轉(zhuǎn)向威脅識別、攻擊影響和潛在損失的計算。[單選題]18.某公司為采用一種客戶直銷的新方法而實施業(yè)務(wù)流程再造(BPR)項目。對于新流程，IS審計師應(yīng)最關(guān)注以下哪一項?A)是否存在保護資產(chǎn)和信息資源的關(guān)鍵控制B)系統(tǒng)是否符合公司客戶要求C)系統(tǒng)能否滿足績效目標(biāo)(時間和資源D)新系統(tǒng)是否支持職責(zé)分離答案:A解析:A.審計團隊必須建議實施關(guān)鍵控制，并核實這些控制是否在執(zhí)行新流程前準備就緒。B.系統(tǒng)必須滿足所有客戶的要求，而不僅僅是公司客戶的要求。這不是IS審計師主要關(guān)心的內(nèi)容。C.系統(tǒng)必須滿足性能要求，但這是確保存在關(guān)鍵控制后次要的關(guān)注問題。[單選題]19.以下哪項是可模擬系統(tǒng)潰并使用實際資源來進行有效的連續(xù)性計劃測試，以獲得是否符合成本效益的證據(jù)?A)紙上測試B)事后測試C)準備情況測試D)穿行測試答案:C解析:A.紙上測試是對整個計劃的穿行性測試，這將涉及到主要參與者，這些參與者將嘗試判斷出在特定類型的服務(wù)中斷時執(zhí)行計劃的過程中可能發(fā)生什么情況。紙上測試通常在準備情況測試之前進行。B.事后測試實際上只是一個測試階段，由一系列活動組成，如所有資源返回恰當(dāng)位置、斷開設(shè)備連接、歸還人員并從第三方系統(tǒng)中除所有公司數(shù)據(jù)。C.準備情況測試是完整測試的本地化版本，測試中會模擬系統(tǒng)崩潰并耗用資源。此測試應(yīng)定期針對計劃的不同方面執(zhí)行，且不失為一種逐步獲得計劃有效性方面證據(jù)的劃算方法。此測試還是種穩(wěn)步改善計劃的手段。D.穿行性測試會涉及到一種模擬的災(zāi)難情形，用以測試管理人員和普通員工的準備情況以及對情形的了解程度，并非測試實際資源。[單選題]20.IS審計師正在對某組織的系統(tǒng)進行實施后審，并發(fā)現(xiàn)了會計應(yīng)用內(nèi)部的輸出錯誤。該IS審計師確定這是由輸入錯誤造成的。該IS審計師應(yīng)當(dāng)向管理層建議以下哪一項控制?A)重新計算B)極限檢查C)運行到運行的匯總D)對賬答案:B解析:A.手動重新計算交易的樣本可以確保該處理完成預(yù)期任務(wù)。重新計算在輸出階段之后執(zhí)行。B.處理控制應(yīng)當(dāng)盡可能靠近數(shù)據(jù)入口實施。極限檢查是一種輸入驗證性檢查，它提供預(yù)防性控制，以確保無法輸入無效數(shù)據(jù)，原因是數(shù)據(jù)值必須在預(yù)定值范圍之內(nèi)。C.運行總計提供在整個應(yīng)用處理階段數(shù)據(jù)值的驗證能力運行總計驗證可確保讀取到計算機中的數(shù)據(jù)被接受并且隨后應(yīng)用到處理流程運行總計在輸出階度之后執(zhí)行D.應(yīng)當(dāng)在日常工作中執(zhí)行文件總體的對賬可通過手動維護帳戶、文件控制記錄或獨立控制文件的應(yīng)用來執(zhí)行對賬對賬在輸出階段之后執(zhí)行[單選題]21.用于監(jiān)聽和記錄網(wǎng)路信息的網(wǎng)路診斷工具是：A)在線監(jiān)視器B)故障時間報告C)幫助平臺報告D)協(xié)議分析儀答案:D解析:[單選題]22.用戶結(jié)合使用其分配的安全令牌及個人識別碼（PIN）來訪問公司的虛擬專用網(wǎng)絡(luò)（VPN）。對于PIN，安全政策中應(yīng)包含哪項最重要的規(guī)則？A)用戶不應(yīng)將令牌置于容易被盜的地方B)用戶不得將令牌與便攜式計算機置于同一包中C)用戶應(yīng)選擇完全隨機且沒有重復(fù)數(shù)字的PIND)用戶不應(yīng)將PIN寫下來答案:D解析:如果用戶將PIN記錄在紙條上，則擁有相關(guān)令牌、紙條以及計算機的個人可以訪問公司網(wǎng)絡(luò)。令牌和PIN是一種雙因素身份認證方法。如果沒有PIN，對令牌進行訪問毫無價值；二者缺一不可。只要PIN足夠機密，不需要是隨機的。[單選題]23.IT治理的責(zé)任取決于？A)IT戰(zhàn)略委員會B)首席信息官（CIO）C)審計委員會D)董事會答案:D解析:治理是由董事會和以提供戰(zhàn)略方向為目標(biāo)的執(zhí)行管理行使的責(zé)任與實踐，從而確保目標(biāo)可以達到，確定風(fēng)險被適當(dāng)?shù)墓芾硪约昂藢嵔M織資源被負責(zé)的使用。審計委員會、首席信息官、和IT戰(zhàn)略委員會都會在同一個組織內(nèi)成功的IT治理實施中扮演了重要的角色，但最終的責(zé)任在于董事會。點評：IT治理是董事會的責(zé)任[單選題]24.下列哪項ＩＴ治理最佳實踐改進了戰(zhàn)略方針A)供應(yīng)商和合作者風(fēng)險管理B)有基于客戶，產(chǎn)品，市場和流程的知識庫C)有能夠提供創(chuàng)建和分享業(yè)務(wù)信息的組織結(jié)構(gòu)D)領(lǐng)導(dǎo)層在業(yè)務(wù)需求和技術(shù)部門之間的協(xié)調(diào)答案:A解析:領(lǐng)導(dǎo)層在業(yè)務(wù)需求和技術(shù)部門之間的協(xié)調(diào)是ＩＴ戰(zhàn)略方針的最佳實踐。供應(yīng)商和合作者風(fēng)險管理是風(fēng)險管理的最佳實踐。提供基于客戶，產(chǎn)品，市場和流程的知識庫是ＩＴ價值交付的最佳實踐。有能夠提供創(chuàng)建和分享業(yè)務(wù)信息的基礎(chǔ)組織結(jié)構(gòu)是IT價值交付和風(fēng)險管理的最佳實踐。[單選題]25.若要開發(fā)應(yīng)用于整個企業(yè)的系統(tǒng),最適合擔(dān)任籌備委員會的負責(zé)人應(yīng)該是:A)業(yè)務(wù)分析師B)項目經(jīng)理C)執(zhí)行級別的高層主管D)IS主管答案:C解析:[單選題]26.數(shù)字簽名的特征是確保發(fā)送者過后不能否認產(chǎn)生和發(fā)送了信息叫：A)數(shù)據(jù)完整性B)識別C)不可抵賴D)重演保護答案:A解析:所有以上都是數(shù)字簽名的特征。不可抵賴確保已聲明的發(fā)送者過后不能否認曾產(chǎn)生和發(fā)送過信息。數(shù)據(jù)完整性指對明文信息的變更將導(dǎo)致數(shù)據(jù)接收者都過哈希函數(shù)得到的哈希摘要與發(fā)送者不一致。因為僅聲明的發(fā)送者有私鑰，身份識別確保消息是由發(fā)送者發(fā)出的。重演保護是接收者用于檢查信息沒有被竊聽和重演的手段。[單選題]27.組織的管理層決定建立一項安全認識程序。下列哪項最應(yīng)該包含在該項目中？A)利用入侵檢測系統(tǒng)報告發(fā)生的事件。B)要求使用密碼登陸所有軟件C)安裝一個有效的用戶日志系統(tǒng)來跟蹤每個用戶的操作。D)對所有新老職員進行定期培訓(xùn)答案:A解析:利用入侵檢測系統(tǒng)報告發(fā)生的事件是安全認識程序的措施，但不是有效地建立安全認識程序。選擇B和C不能定位是意識。只有培訓(xùn)才是唯一的選擇[單選題]28.信息系統(tǒng)審計師正在檢查一個測試流程，并得出了沒有發(fā)現(xiàn)重要錯誤的審計結(jié)論。上述情形表述了哪類風(fēng)險的存在？A)檢查風(fēng)險B)審計風(fēng)險C)控制風(fēng)險D)固有風(fēng)險答案:A解析:這是一種由于使用不正當(dāng)測試程序而導(dǎo)致不能發(fā)現(xiàn)所有的重大缺陷的檢查風(fēng)險。審計風(fēng)險是審計過程中檢查風(fēng)險、控制風(fēng)險和固有風(fēng)險的總稱?？刂骑L(fēng)險是指系統(tǒng)的內(nèi)部控制及時地防止和發(fā)現(xiàn)重要錯誤的發(fā)生和存在。固有風(fēng)險是指在沒有任何補償控制情況下所存在的缺陷。（一個缺陷如果和其他缺陷結(jié)合在一起，可能會形成一個重要的缺陷）。點評：審計風(fēng)險的概念：固有風(fēng)險、控制風(fēng)險、檢查風(fēng)險[單選題]29.快速應(yīng)用開發(fā)超過傳統(tǒng)系統(tǒng)開發(fā)生命周期的最大優(yōu)點是：A)推動用戶的參與B)允許較早的技術(shù)特征測試C)推進系統(tǒng)的轉(zhuǎn)化D)減少開發(fā)的時間范圍答案:A解析:RA、D、最大的優(yōu)勢減少系統(tǒng)開發(fā)的時間范圍。選擇A、和B、是正確的，但他們對傳統(tǒng)的系統(tǒng)開發(fā)生命周期也是正確的。選擇C、不是必須的。[單選題]30.成功攻擊系統(tǒng)的第一步是：A)收集信息B)獲得訪問權(quán)限C)拒絕服務(wù)D)避開檢測答案:A解析:成功的攻擊從收集目標(biāo)系統(tǒng)的相關(guān)信息開始。通過事先完成信息收集，攻擊者得以了解目標(biāo)系統(tǒng)及其漏洞。所有其他選項均以收集到的信息為基礎(chǔ)。[單選題]31.在制訂業(yè)務(wù)持計劃(BCP)方面，以下哪一個利益相關(guān)方最重要?A)流程所有者B)應(yīng)用所有者C)董事會D)IT管理層答案:A解析:A.流程所有者對確定所需要的關(guān)鍵業(yè)務(wù)功能、恢復(fù)時間和資源至關(guān)重要。B.業(yè)務(wù)持續(xù)計劃(BCP)關(guān)注的是業(yè)務(wù)流程的持續(xù)性，而應(yīng)用并不一定支持關(guān)鍵業(yè)務(wù)流程。C.董事會可以批準計劃，但他們通常不涉及制定BCP的細節(jié)。D.管理層將按業(yè)務(wù)流程所有者的定義，確定支持關(guān)鍵業(yè)務(wù)功能所需要的IT資源、服務(wù)器和基礎(chǔ)設(shè)施。[單選題]32.審查完業(yè)務(wù)流程后，某大型組織正基于語音IP(VoIP)技術(shù)部署新的Web應(yīng)用程序。要實施便于該VoIPWeb應(yīng)用程序安全管理的訪問控制，以下哪項是最合適的方法？A)細化訪問控制B)基于角色的訪問控制(RBAC)C)訪問控制列表D)網(wǎng)絡(luò)／服務(wù)訪問控制答案:B解析:在本實例中，通過RBAC技術(shù)可最好地解決授權(quán)問題。RBAC易于管理，并能在大型Web環(huán)境（包括VoIP實施）中執(zhí)行強大而有效的訪問控制。針對VoIPWeb應(yīng)用程序的訪問控制列表和細化訪問控制并不能擴展到企業(yè)級系統(tǒng)，因為這兩種方法主要基于個人用戶身份及其特定技術(shù)權(quán)限。網(wǎng)絡(luò)／服務(wù)訪問控制可實現(xiàn)VoIP可用性，但不能解決應(yīng)用程序級訪問或授權(quán)問題。[單選題]33.為對審計反饋的一部分，被審計單位對審計建議有顧慮，猶豫不決是否要實施。以下哪一項是信息系統(tǒng)審計師的最佳行動步驟？A)接受被審計單位的反饋，進行其他測試B)發(fā)布不包括被審計單位意見的最終報告C)與被審計單位進行進一步討論制定緩解計劃D)建議聘用第三方顧問來評估當(dāng)前狀態(tài)答案:C解析:[單選題]34.在審查內(nèi)部開發(fā)的應(yīng)用程序期間，IS審計師最應(yīng)關(guān)注的是:A)是否有用戶提出變更請求并在測試環(huán)境中對其進行測試。B)是否有編程人員在開發(fā)環(huán)境中編寫變更代碼并在測試環(huán)境中對其進行測試。C)是否有管理人員審批變更請求并在生產(chǎn)環(huán)境中對其進行審查。D)是否有管理人員提出變更請求并隨后對其進行審批。答案:D解析:A.讓用戶參與對變更的測試是常見的做法。B.讓編程人員在開發(fā)環(huán)境中編寫變更代碼并在測試環(huán)境中對其進行單獨測試是很好的做法，優(yōu)于在生產(chǎn)環(huán)境中進行測試。C.由管理人員對變更進行審查以保證變更的正確性是可接受的做法。D.提出變更請求并隨后對其進行審批違反了職責(zé)分離原則。一個人不能批準其自己的請求。[單選題]35.人力資源部開發(fā)一套系統(tǒng)使得雇員可以通過公司內(nèi)網(wǎng)申報各種獎勵。下面哪個可以保護數(shù)據(jù)的保密性？A)SSL加密B)雙因素認證C)加密會話C、ookiesD)IP地址校驗答案:A解析:這個環(huán)節(jié)中的主要風(fēng)險是機密性，因此唯一的選項應(yīng)該將提供機密性的是SSL。其余的選項是與未被授權(quán)的問題相關(guān)。[單選題]36.在一家小型組織中，某位員工負責(zé)計算機操作，并在必要情況下，還負責(zé)修改程序。該IS審計師應(yīng)建議以下哪個選項?A)自動記錄對開發(fā)庫的更改B)增加員工，從而可以分離職責(zé)C)確保只有經(jīng)過審批的流程更改能得以實施的措施D)設(shè)立訪問控制以防止操作員修改程序答案:C解析:A.記錄生產(chǎn)庫的變更是一個好的做法，但因為管理員可能更改日志，所以這種控制不充分。B.盡管嚴格遵守職分離以及另外聘用職員這種做法更好，但對于小型組織來說，此舉不一定可行。C.IS審計師必須考慮推薦更好的流程。IS審計師應(yīng)該對生產(chǎn)的源及目標(biāo)代碼變更的管理和檢測過程(如代碼比較)提出正式的變更控制建議，這樣更改オ可以由第三方定期審查。這是補償性控制程序。D.要求第三方進行變更在可能沒有其他人具備充分專長的小型組織中可能不切實際[單選題]37.IS審計師在檢查一個推薦的應(yīng)用軟件采購時應(yīng)該確保：A)使用的操作系統(tǒng)與現(xiàn)有的硬件平臺相兼容B)計劃操作系統(tǒng)的升級已按照公司要求的最小負面影響來安排時間C)操作系統(tǒng)是最新版本并且實時升級D)產(chǎn)品與當(dāng)前或者計劃中的操作系統(tǒng)相兼容答案:D解析:選擇A和C都是不正確的，因為它們中沒有一個與正在審計的內(nèi)容有關(guān)。在審查提議的應(yīng)用時，審計師應(yīng)當(dāng)確保購買的產(chǎn)品與當(dāng)前或計劃的操作系統(tǒng)相兼容。關(guān)于選項A，如果操作系統(tǒng)是目前正使用的，它與現(xiàn)有的硬件平臺是兼容的。如果不兼容，它將不能正確的操作。在選項B中，計劃操作系統(tǒng)的升級應(yīng)當(dāng)在對組織最小負面影響的時間段進行。選擇C已安裝的系統(tǒng)應(yīng)當(dāng)配備最新版本和升級。點評：閱讀理解，題目中提到的應(yīng)用軟件與現(xiàn)行或未來操作系統(tǒng)兼容性的問題[單選題]38.下列哪項是在審計計劃中基于風(fēng)險方法的好處？審計:A)提前數(shù)月完成審計時間計劃B)IS審計員對預(yù)算有所掌握C)審計成員面對多種技術(shù)挑戰(zhàn)D)把審計資源分配給高風(fēng)險的審計事項。答案:D解析:基于風(fēng)險的方法的原意是保證審計時間能被利用在高風(fēng)險領(lǐng)域。審計計劃的開展與基于風(fēng)險的方法無關(guān)。審計計劃是運用了多種調(diào)度方式，可能要提前數(shù)月準備?；陲L(fēng)險方法與具體審計過程中審計人員按時完成計劃沒有直接關(guān)系，它也與審計人員完成任務(wù)的多樣性沒有關(guān)系。[單選題]39.公司內(nèi)部審計部門為了達到持續(xù)審計的目的，開發(fā)并維護了ACL腳本，為了保持連續(xù)監(jiān)控目的，這些腳本被提供給IT管理部門，這種情況導(dǎo)致潛在的與審計師獨立性和客觀性相關(guān)的沖突，下述哪一種行為可以最好的解決該問題？A)內(nèi)部審計小組應(yīng)該停止共享這些腳本，IT管理部門必須開發(fā)他自己的腳本。B)由于持續(xù)監(jiān)控和持續(xù)審計是相似的功能，IT管理部門應(yīng)該將持續(xù)監(jiān)控的任務(wù)指派給內(nèi)部審計部門。C)IT管理部門應(yīng)該繼續(xù)用這些腳本并進行持續(xù)監(jiān)控，并理解他需要對測試和維護腳本負責(zé)。D)內(nèi)部審計小組應(yīng)該檢查這些腳本所被應(yīng)用的領(lǐng)域，并減少審計的范圍和頻率。答案:C解析:IT管理部門承擔(dān)著測試和維護它所用腳本的責(zé)任，這些腳本與內(nèi)部審計部門所用的不同，并且IT管理部門可以自由修改這些腳本。一旦腳本被看成是不同的，內(nèi)部審計小組違背客觀性和獨立性風(fēng)險就大大降低了。如果內(nèi)部審計小組停止共享這些腳本，IT員工必須從零開始創(chuàng)建腳本或者不得不雇用專業(yè)人員來完成該工作，因此并不是一個合理的解決方案。持續(xù)監(jiān)控是IT管理部門的責(zé)任之一，不能移交給內(nèi)部審計小組。持續(xù)審計是審計小組的功能，并不能代替持續(xù)監(jiān)控。另外，內(nèi)部審計小組不能假設(shè)他們的腳本被IT管理部門正確的使用，也不能假設(shè)他們的腳本沒有修改從而可能產(chǎn)生錯誤的結(jié)果。點評：自己管自己的，好像從來沒有關(guān)系一樣[單選題]40.擁有電子資金轉(zhuǎn)帳銷售點設(shè)備的大型連鎖商場，有中央通信處理器連接銀行網(wǎng)絡(luò)，對于通信處理機，下面哪一項是最好的災(zāi)難恢復(fù)計劃。A)每日備份離線存儲B)選擇在線備份程序C)安裝雙通訊設(shè)備D)在另外的網(wǎng)絡(luò)節(jié)點選擇備份程序答案:A解析:在另外的網(wǎng)絡(luò)節(jié)點選擇備份程序是最佳解決方案。中央通信處理器失效將中斷所有對銀行網(wǎng)絡(luò)的訪問，導(dǎo)致所有商店的操作中斷。這可能是設(shè)備、電力、通信故障引起的。備份的離線存儲不起作用。因為EFT趨向在線處理，離線存儲不能替代功能處理。如果是設(shè)備問題，更換在線處理器是最好的，但對于電力損耗的情況沒有幫助。如果僅僅是通信鏈路失敗，安裝雙通信設(shè)備是最適當(dāng)?shù)摹單選題]41.嘗試控制敏感區(qū)域的物理訪問時（例如，對機房使用卡密鑰或鎖），存在什么相關(guān)風(fēng)險？A)未授權(quán)人員等待控制門打開，然后跟隨已授權(quán)人員進入。B)組織的應(yīng)急計劃不能有效測試受控的訪問操作。C)門禁卡、鑰匙和控制板非常易于復(fù)制，從而使控制很容易受到破壞。D)刪除那些不再有權(quán)進行訪問的人員權(quán)限很復(fù)雜。答案:A解析:尾隨這一概念對所有建立的物理控制都有危害作用。選項B在災(zāi)難恢復(fù)環(huán)境中無需多作注意。選項C中的物品并不容易復(fù)制。對于選項D，盡管技術(shù)在不斷發(fā)展變化，但是卡密鑰已經(jīng)存在一段時間，而且在可預(yù)見的將來它仍是一個可行的選擇。[單選題]42.審計電子資金轉(zhuǎn)賬（EFT）系統(tǒng)時，IS審計師最應(yīng)該關(guān)注以下哪種用戶配置文件？A)能夠獲取并驗證他們自己信息的3個用戶B)能夠獲取并發(fā)送他們自己的信息的5個用戶C)能夠驗證其他用戶并發(fā)送他們自己信息的5個用戶D)能夠獲取并驗證其他用戶的信息，并發(fā)送他們自己信息的3個用戶答案:A解析:單個用戶能夠同時獲取并驗證信息表明分離不充分，這是因為信息會被認為是正確的并好像已經(jīng)通過驗證。點評：見上面解釋[單選題]43.下列哪一個應(yīng)該是IS審計師去審查，以便了解項目的進度，條款的時間，預(yù)算和交付，以及及早發(fā)現(xiàn)可能超支和對項目完成的評估？A)．功能點分析B)．凈值分析C)．成本預(yù)算D)．項目評估和審查技術(shù)答案:A解析:凈值分析（EVA、）是一個行業(yè)標(biāo)準方法，對于測量一個項目的進度，在任何特定的時間點，預(yù)測其完工日期和最終成本，并隨著項目的進行分析時間和成本的差異。它把計劃的大量工作與實際上完成的相比較，從而判斷是否成本，時間，工作的完成與計劃一致。如果存在一個良好的工作分解結(jié)構(gòu)的話，EVA、將會更有效。功能點分析法是一個間接的測量方法在軟件規(guī)模和復(fù)雜性方面，因此，它不解決時間和預(yù)算這兩個要素。費用預(yù)算沒有解決的時間問題。PERT在時間和交付管理上有幫助，但是缺少對項目完成和整體經(jīng)濟管理的反映。[單選題]44.系統(tǒng)開發(fā)過程中，線面哪個階段將會準備用戶接受性測試計劃？A)可行性分析B)需求定義C)實現(xiàn)計劃D)實現(xiàn)后期檢查答案:B解析:在需求定義時，項目團隊與用戶一起定義詳細目標(biāo)和功能需求。用戶應(yīng)與團隊一起考慮和記錄系統(tǒng)功能怎樣測試以確保與目標(biāo)一致。對詳細的用戶說明，可行性分析太早，實現(xiàn)計劃和實現(xiàn)后期檢查太晚。一個IS審計師應(yīng)該知道用戶測試在哪個階段計劃好，以確保有效性和效率性。[單選題]45.一位正在審查一系列已完成項目的IS審計師發(fā)現(xiàn)，實現(xiàn)的功能常常超出原本需要且多數(shù)項目大幅超出預(yù)算。組織項目管理流程中的哪個環(huán)節(jié)最有可能引發(fā)這一問題?A)項目范圍管理B)項目時間管理C)項目風(fēng)險管理D)項目采購管理答案:A解析:A.最有可能帶來預(yù)算問題的是未能有效管理項目范圍，因為實現(xiàn)的功能比所需功能多。項目苑圍管理的定義是，確保項目中包括且僅包括完成項目所必需的所有工作的一系列流程B.項目時間管理的定義是，確保項目按時完成所需的一系列流程。本題中的問題并沒有提及項目是否按時完成，所以這不是最可能的原因。C.項目風(fēng)險管理的定義是，對項目風(fēng)險進行識別、分析和響應(yīng)的一系列相關(guān)流程。盡管上述預(yù)算超支現(xiàn)象代表著一種形式的項目風(fēng)險，但是實際上是由于實現(xiàn)了過多的功能造成的，這與項目范圍的關(guān)聯(lián)更為緊密。D.項目采購管理的定義是，從組織之外進行采購物品和服務(wù)所需的一系列流程。盡管購買過于昂貴的物品和服務(wù)會造成預(yù)算超支，但在此題中，問題的關(guān)鍵是實現(xiàn)的功能比實際需要的多，這可能與項目范圍更為相關(guān)。[單選題]46.為了降低成本，提高服務(wù)水平，外包商應(yīng)尋求下列哪些合同條款？A)操作系統(tǒng)（OS）和硬件的更新頻率B)分享收益的績效獎金C)對違規(guī)的處罰D)和可變成本指標(biāo)掛鉤的費用答案:B解析:因為外包商將分享所取得的收益，績效獎金為了這些超出合同的規(guī)定條款并且能夠?qū)е鹿?jié)約客戶成本提供一個財務(wù)獎勵。更新的頻率和違規(guī)的罰則，只會鼓勵外包商去達到最低要求。同樣，試著收取變動成本指標(biāo)不會鼓勵外包商尋求可能有利于客戶額外的效率。點評：與外包商的利益分享機制最有效[單選題]47.進行合規(guī)性測試時，以下哪種抽樣方法最有用?A)屬性抽樣B)變量抽樣C)分層單位均值抽樣D)差異估計抽樣答案:A解析:A.屬性抽樣是用于合規(guī)性測試的主要抽樣方法。屬性抽樣是一種抽樣模型，用于估算總體中特定性質(zhì)(屬性)的發(fā)生率，并在合規(guī)性測試中用于確認該性質(zhì)是否存在。例如，屬性抽樣可能檢查超過一定的預(yù)定金額的交易是否經(jīng)過合適的批準B.變量抽樣基于對總體中抽出的樣本的均值的計算，并使用均值估計總體的特性。例如，一個包含10個商品的樣本說明商品的平均價格為10美元。對于包含1000個商品的總體，其價值可估計為10000美元。這不是衡量對流程的遵守的好方法。C.分層均值抽樣試圖確保樣本能夠代表總體。這不是衡量合規(guī)性的有效方法。D.差異估計抽樣檢查方法偏離和異常項目，不是衡量合規(guī)性的好方法。對遠程系統(tǒng)的程序變更請求進行測試時，IS審計師發(fā)現(xiàn)可用于抽樣的變更數(shù)量無法提供合理水平的鑒證。[單選題]48.數(shù)據(jù)庫系統(tǒng)中并發(fā)控制的目標(biāo)是：A)限制授權(quán)用戶更新數(shù)據(jù)庫B)防止完整性問題，當(dāng)兩個進程試圖同時更新相同數(shù)據(jù)時C)防止意外或未經(jīng)授權(quán)泄露數(shù)據(jù)庫數(shù)據(jù)D)確保數(shù)據(jù)的準確性、完整性和一致性答案:B解析:并發(fā)控制可以防止由同一時間兩個人對同一數(shù)據(jù)項進行修改引起的數(shù)據(jù)完整性問題。訪問控制是通過諸如密碼等保護措施，嚴格確保只有授權(quán)用戶和限制才能對數(shù)據(jù)庫進行修改操作，這可以防止數(shù)據(jù)庫中數(shù)據(jù)無意或者未經(jīng)授權(quán)的泄露。諸如編輯等質(zhì)量控制，可以確保數(shù)據(jù)庫中數(shù)據(jù)的準確性、完整性和一致性。并發(fā)控制：指的是當(dāng)多個用戶同時更新進行時，用于保護數(shù)據(jù)庫完整性的各種技術(shù)。并發(fā)機制不正確可能導(dǎo)致臟讀、幻讀和不可重復(fù)讀等此類問題。并發(fā)控制的目的是保證一個用戶的工作不會被另一個用戶的工作產(chǎn)生不合理的影響。在某些情況下，這些措施保證了當(dāng)用戶和其他用戶一起操作時，所得的結(jié)果和她單獨操作時是一樣的，在另一些情況下著表示用戶的工作按預(yù)定的方式受其他用戶的影響。[單選題]49.白盒測試的具體優(yōu)點是A)能夠檢查程序是否可與系統(tǒng)的其他部分一起正常運行。B)在不考慮程序內(nèi)部結(jié)構(gòu)下確保程序的功能性操作有效C)能夠確定程序準確性或某程序的特定邏輯路徑的狀態(tài)D)通過在限制訪問主機系統(tǒng)的嚴格受控或虛擬環(huán)境中執(zhí)行程序功能性而對其進行檢查。答案:C解析:A.檢查程序是否可與系統(tǒng)的其他部分一起正常運行是社交性測試。B.在不知道內(nèi)部結(jié)構(gòu)情況下測試程序的功能性是黑盒測試C.白盒測試評估軟件程序邏輯的有效性。具體而言，就是使用測試數(shù)據(jù)來確定程序準確性或某程序的邏輯路徑的狀態(tài)。D.在半調(diào)試環(huán)境中對程序執(zhí)行受控測試(分步嚴格控制或在虛擬機上監(jiān)控)是沙盒測試。[單選題]50.在某醫(yī)院中，醫(yī)務(wù)人員攜帶存有病人健康狀況數(shù)據(jù)的手持式電腦。這些手持式電腦與可從醫(yī)院數(shù)據(jù)庫傳輸數(shù)據(jù)的PC同步。以下哪項措施最重要？A)手持式電腦得到了妥善保護，可在發(fā)生盜竊或丟失時防止數(shù)據(jù)機密性遭到破壞。B)在使用后刪除本地PC中臨時文件的員工具有維護PC的權(quán)限。C)通過制定政策和流程來確保同步能夠及時進行；D)手持式電腦的使用得到醫(yī)院政策的允許。答案:A解析:保護數(shù)據(jù)機密性是隱私權(quán)法規(guī)中的主要要求。選項B.C和D與內(nèi)部安全要求相關(guān)，因此與遵守數(shù)據(jù)隱私權(quán)方面法律相比，均居次要地位。[單選題]51.以下哪個選項對于保證數(shù)據(jù)倉庫中的數(shù)據(jù)質(zhì)量最關(guān)鍵并且作用最大?A)源數(shù)據(jù)的準確性B)數(shù)據(jù)源的可信度C)提取過程的準確性D)數(shù)據(jù)轉(zhuǎn)換的準確性答案:A解析:A.源數(shù)據(jù)的準確性是保證數(shù)據(jù)倉庫中數(shù)據(jù)質(zhì)量的先決條件。源數(shù)據(jù)不準確會損害數(shù)據(jù)倉庫中數(shù)據(jù)的完整性B.數(shù)據(jù)源的可信度很重要，但不會使不準確的數(shù)據(jù)變成高質(zhì)量(準確)的數(shù)據(jù)。C.提取過程的準確性很重要，但不會將不準確的數(shù)據(jù)變成高質(zhì)量(準確)的數(shù)據(jù)。D.轉(zhuǎn)換例程的準確性很重要，但不會將不準確的數(shù)據(jù)變成高質(zhì)量(準確)的數(shù)據(jù)。[單選題]52.以下哪一項是降低未授權(quán)訪問無人值守的最終用戶PC系統(tǒng)的最有效方法?A)強制使用密碼保護型屏幕保護程序B)實施以鄰近為基礎(chǔ)的身份認證系統(tǒng)C)按預(yù)定義間隔終止用戶會話D)調(diào)整電源管理設(shè)置，以保證顯示屏是空白的答案:A解析:A.具有合適時間間隔密碼保護的屏幕保護程序是防止未經(jīng)授權(quán)訪問無人值守的最終用戶系統(tǒng)的最佳措施。務(wù)必保證用戶離開機器時鎖定工作站，可以通過意識培訓(xùn)來達到這一目的。B.有在用戶離開辦公室時鎖定機器的解決方案，并且這些適合這里的情形;但這些解決方案較為昂貴，通常需要使用智能卡和額外的硬件。因此，使用密碼保護的屏保程序是更好的解決方案C.終止用戶會話通常用手遠程登錄(定期重鑒權(quán)),或在web或服務(wù)器會話中無活動達到一定時間的情形。離開時不鎖定工作站的相關(guān)風(fēng)險還要更多；因此這不是正確答案D.關(guān)閉監(jiān)視器不是解決方法，因為只需打開監(jiān)視器即可。[單選題]53.在應(yīng)用程序軟件審查過程中，某IS審計師在超出審計范圍的相關(guān)數(shù)據(jù)庫環(huán)境中發(fā)現(xiàn)了細小的漏洞。最佳選項是:A)包括審查范圍內(nèi)的數(shù)據(jù)庫控制B)記錄下來供日后審查。C)與數(shù)據(jù)庫管理員共同解決問題。D)如實報告漏洞。答案:D解析:A.不建議超范圍執(zhí)行審計和審查。在本案例中，發(fā)現(xiàn)的漏洞被視為小問題，報告問題并在日后加以解決就足夠了。B.在本案例中，發(fā)現(xiàn)的漏洞被視為小問題。IS審計師應(yīng)當(dāng)如實正式報告該漏洞，而不是記錄下來，以便在日后的審計過程中加以解決。C.IS審計師不宜與數(shù)據(jù)庫管理員共同解決問題。D.發(fā)現(xiàn)的任何漏洞均應(yīng)報告，即使它在當(dāng)前的審計范圍之外。需要向經(jīng)理報告在應(yīng)用程序軟件審查過程中發(fā)現(xiàn)的漏洞。[單選題]54.在一項對一家醫(yī)療保健組織的受保護保健信息（PHI）的IS風(fēng)險評估中，一位IS審計師對IS管理人員進行了采訪。此次采訪中的哪項發(fā)現(xiàn)最令I(lǐng)S審計師關(guān)注A)組織沒有對外發(fā)的所有電子郵件進行加密B)員工必須在電子郵件的主題欄鍵入（PHI）才能進行加密C)個別工作人員的計算機屏保功能被禁用D)服務(wù)器配置要求用戶每年更換密碼答案:B解析:是人就會犯錯-員工會忘記在主題欄鍵入特定的字詞。組織應(yīng)為使用PHI信息的員工外發(fā)的電子郵件設(shè)置自動加密，以保護敏感信息。加密全部外發(fā)電子郵件非常重要，不是常用的做法。禁用屏保功能會增加敏感信息被其他員工看到的風(fēng)險；但是，風(fēng)險不及將信息暴露于組織外的未經(jīng)授權(quán)人員。盡管每年更換密碼是個問題，但風(fēng)險不及將信息暴露于組織外的未經(jīng)授權(quán)人員。[單選題]55.對于想要利用平臺即服務(wù)(PaaS)供應(yīng)商提供的服務(wù)器來減少IS基礎(chǔ)設(shè)施的組織而言，以下哪項是最重要的安全考慮事項?A)要求使用新應(yīng)用程序的用戶采用專用的、具有最小長度的密碼。B)實施利用組織的標(biāo)準設(shè)置監(jiān)控入站流量的防火墻。C)審查存儲和傳輸?shù)膽?yīng)用程序數(shù)據(jù)的加密要求。D)通過合同條款讓服務(wù)供應(yīng)商負貴應(yīng)用安全。答案:C解析:A.讓應(yīng)用程序用戶使用其他密碼登錄的做法并不受歡迎。更重要的原因是許多云服務(wù)提供商都通過應(yīng)用程序編程接口(API)提供服務(wù)。這些API可以接受令牌，但并不接受密碼。理想情況下，它們使用安全斷言標(biāo)記語言(SAML)、WS-Federation等開源標(biāo)準交換身份認證和授權(quán)信息。身份認證計劃需要考慮應(yīng)用程序用戶的類型-組織的員工、合作伙伴組織的員工、客戶或多種用戶類型的組合。此外，可以通過多種設(shè)備類型訪問Web應(yīng)用程序是一種越來越流行的趨勢。因此，組織可能需要采用?帶上您自己的身份(bringyourownidentity)的身認證計劃。應(yīng)采用基于風(fēng)險評估的適當(dāng)機制(如安全令牌、智能卡、通過短信服務(wù)[SMS]或電話提供的一次性密碼)來確認用戶身份。B.在平臺即服務(wù)(PaaS)云計算模型中，網(wǎng)絡(luò)安全性由云服務(wù)提供商負責(zé)因為有多個租戶使用云服務(wù)提供商的基礎(chǔ)設(shè)施，所以堅持使用特定的防火墻配置是不現(xiàn)實的，盡管可以在進行服務(wù)合同談判時達成某些協(xié)議。云計算的?無邊界限制?性質(zhì)增加了對設(shè)計、測試和實施強大應(yīng)用安全控制的需求。C.采用云計算時，應(yīng)用程序并不是在組織的受信環(huán)境上運行，而是在與其他租戶共享并由非組織聘用的其他人員管理的基礎(chǔ)設(shè)施上運行。因此，根據(jù)數(shù)據(jù)的性質(zhì)，可能對借助加密保護隱私有更高的需求。這并不僅僅適用于在云中存儲的數(shù)據(jù)，而且適用于傳輸中的數(shù)據(jù)。這井不僅僅適用于在云中存儲的數(shù)據(jù)，而且適用于傳輸中的數(shù)據(jù)。加密可能會提高復(fù)雜性井影響性能。此外還應(yīng)考慮使用補償性控制(例如通過數(shù)據(jù)庫訪問控制保護存儲的數(shù)據(jù))的可能性D.在PaaS云計算模型中，服務(wù)提供商負責(zé)提供計算基礎(chǔ)設(shè)施和開發(fā)框架。盡管基本基礎(chǔ)設(shè)施安全方面的要求可以討論并納入合同條款，但構(gòu)建安全應(yīng)用程序是客戶組織的責(zé)任。在云計算中，些存在于傳統(tǒng)內(nèi)部托管系統(tǒng)的威脅更加嚴重，同時還會引入一些新威脅，所以在應(yīng)用程序開發(fā)期間特別關(guān)注應(yīng)用程序安全控制是極其重要的。[單選題]56.下面哪項潛在地阻止了黑客的攻擊A)入侵檢測系統(tǒng)B)蜜罐系統(tǒng)C)入侵預(yù)防系統(tǒng)D)網(wǎng)絡(luò)安全掃描答案:A解析:入侵預(yù)防系統(tǒng)作為內(nèi)線設(shè)備被部署，這種設(shè)備能夠檢測并且屏蔽黑客企圖。入侵檢測系統(tǒng)通常部署為嗅探模式能夠檢測出入侵企圖，但是不能有效地阻止它們。蜜罐解決方案誘騙入侵者瀏覽一個模擬的目標(biāo)。網(wǎng)絡(luò)安全掃描器掃描漏洞，但是不能阻止入侵[單選題]57.下面哪一項能夠最有效地檢測到入侵企圖？A)使用帶一次性密碼的智能卡B)分析系統(tǒng)日志C)安裝基于生物特征的鑒別設(shè)備D)使用數(shù)據(jù)包過濾軟件答案:B解析:[單選題]58.當(dāng)員工服務(wù)終止時，最重要的行動是？A)交出員工的所有文件到另一個指定雇員B)完成對員工的工作備份C)通知其他雇員他已經(jīng)終止服務(wù)D)禁用該員工的邏輯訪問答案:D解析:有一種可能性即終止服務(wù)的雇員可能濫用訪問權(quán)限，因此，禁用終止服務(wù)的雇員的邏輯訪問是最重要的需要采取的行動。所有的終止服務(wù)的員工的工作需要交給一個指定雇員，但是這應(yīng)是執(zhí)行選項D后實施。所有終止服務(wù)的員工的工作需要進行備份和終止服務(wù)的員工需要通知給其他雇員，但這不應(yīng)該在選項D行動之前。[單選題]59.下面哪一個控制措施有助于在數(shù)據(jù)輸入時防止付款憑證的重復(fù)錄入？A)范圍檢查B)置換和替代C)順序檢查D)循環(huán)冗余校驗（CRC）答案:C解析:順序檢查涉及將編號升序排列，以及驗證憑證是否按順序進行，從而預(yù)防憑證重復(fù)輸入。范圍檢查僅作用于某范圍內(nèi)的編號，即使同樣的憑證編號出現(xiàn)，它也仍滿足條件，因此不適用。置換和替代被用于編碼，但是并不適用于建立一個唯一的憑證編號。循環(huán)冗余校驗(CRC)被用于檢查網(wǎng)絡(luò)接收數(shù)據(jù)的完整性，但是在應(yīng)用程序代碼層面的校驗上沒有用處。點評：輸入數(shù)據(jù)編輯檢查機制的概念[單選題]60.當(dāng)一個雇員被終止服務(wù)時，最重要的舉動是：A)移交雇員文件給另一個指派的雇員。B)完成雇員工作的一個備份。C)將終止通報給其他雇員。D)關(guān)閉雇員邏輯訪問。答案:A解析:一個被終止的職員可能誤用訪問權(quán)利這是可能的;因此,使被終止的職員的邏輯訪問失效是最重要的行動。被終止的職員所有工作需要被送交給一位被指定的職員；然而，這應(yīng)該在執(zhí)行答案D之后執(zhí)行、被終止的職員需要的所有工作被移交，職員的終止需要通知其他雇員,但是這不應(yīng)該在選項D舉動之前。[單選題]61.有關(guān)宕機時間成本和自動恢復(fù)策略成本會產(chǎn)生什么影響？A)兩個成本都增加了時間消耗B)宕機時間增加時間消耗和自動恢復(fù)策略成本降低了時間消耗C)兩個成本都降低了時間消耗D)時間消耗對兩個成本都沒有影響答案:B解析:[單選題]62.對成功的社會工程攻擊的最貼近的解釋是:A)計算機邏輯出錯。B)人員判斷出錯。C)攻擊者的計算機知識。D)攻擊方法的技術(shù)復(fù)雜。答案:B解析:A.受邏輯推動，計算機每次執(zhí)行錯誤邏輯時都會犯相同的錯誤;但是，這并不是設(shè)計社會工程攻擊時的基本論據(jù)。B.人類在判斷其他人時會犯錯;他們可能會相信實際上不值得信任的人C.通常情況下，社會工程攻擊不需要技術(shù)專長;攻擊者通常并不精通信息技術(shù)或系統(tǒng)。D.社會工程攻擊以人為對象，一般不涉及復(fù)雜技術(shù)。[單選題]63.企業(yè)正在評估采用云計算和WEB虛擬化，而不是為開發(fā)環(huán)境構(gòu)筑一個新的IT基礎(chǔ)設(shè)施架構(gòu)，審計師最需要關(guān)注什么？A)尚未對類似項目的基準指標(biāo)進行考慮B)尚未咨詢安全人員的意見C)尚未建立項目的業(yè)務(wù)案例D)已設(shè)計的技術(shù)體系沒有考慮硬件的節(jié)約答案:C解析:任何的IT投資，都總是要在業(yè)務(wù)用例中寫清楚與之相關(guān)的利益和投資回報率（ROI），以便由管理部門共享并獲得批準。所有的IT投資都必須支持業(yè)務(wù)。基準指標(biāo)是一個好的參照，但是不足以說明這個IT投資的優(yōu)點。安全人員可能會涉及到?jīng)Q策過程并且參與業(yè)務(wù)用例的定義，然而，在這種情況下更重要的是，定義明確的涉及所有利益相關(guān)者的業(yè)務(wù)案例。評估硬件的節(jié)約是業(yè)務(wù)用例的一部分，并且僅僅提供了有關(guān)投資回報率的一部分信息。另外，并不僅僅是硬件才要節(jié)約，包括IT維護和操作人員、軟件在內(nèi)的所有資源都需要節(jié)約。點評：IT規(guī)劃應(yīng)符合業(yè)務(wù)要求[單選題]64.在設(shè)計一個新系統(tǒng)時設(shè)立一個中斷或凍結(jié)點的原因是:A)避免對一個進行中的項目的更多的影響/變更。B)表明在該點設(shè)計將被完成。C)要求對該點進行成本－效益評估后變更。D)提供項目管理團隊對該項目設(shè)計更多的控制。答案:C解析:項目總有擴張的趨勢，尤其是自需求(分析)定義階段。由于項目成本的提高，這樣的擴張通常會使原本評估的投入-收益比減少。當(dāng)這樣的情形發(fā)生時，建議項目暫?；騼鼋Y(jié)，從而可以重新評估(項目的)投入-收益比以及回報周期。[單選題]65.當(dāng)一個新系統(tǒng)要在很短的時間內(nèi)被實施，最重要的是A)完成用戶手冊的編寫B(tài))進行用戶接受測試C)加入最后的增強功能D)確保源代碼已記錄和已復(fù)核答案:B解析:用戶接受測試的完成并確定系統(tǒng)實施工作的正確性是十分重要的。用戶手冊的完成類似于代碼復(fù)查的執(zhí)行。如果時間緊迫，最后想要做的事加入另外的增強功能，因為代碼凍結(jié)和完成測試，這時做任何其他變動如未來增強功能是都是必需的。生成代碼文檔和代碼復(fù)核是適當(dāng)?shù)摹５浅怯脩艚邮軠y試已完成，否則系統(tǒng)工作的正確性和是否滿足用戶需求是得不到保證的。點評：只有UAT后，系統(tǒng)才能實施[單選題]66.對于一個災(zāi)難恢復(fù)計劃，一個IS審計師的任務(wù)應(yīng)包括？A)確定關(guān)鍵的應(yīng)用。B)在恢復(fù)測試中確定外部服務(wù)提供商。C)觀測災(zāi)難恢復(fù)計劃的測試。D)確定建立恢復(fù)時間目標(biāo)（RTO）的標(biāo)準。答案:C解析:當(dāng)災(zāi)難恢復(fù)計劃測試的時候，IS審計師需要在場以保證測試滿足恢復(fù)目標(biāo)，及恢復(fù)程序是有用和有效的。在適當(dāng)情況下，審計師應(yīng)該提供測試結(jié)果報告。其他選項都是管理層的職責(zé)。[單選題]67.一種用來保證程序的源代碼和執(zhí)行代碼相一致的控制是：A)驗證程序的移動請求是經(jīng)過授權(quán)的。B)要求對程序、系統(tǒng)和代碼進行平行測試。C)授權(quán)程序員只能對測試庫進行訪問。D)將源代碼重新編譯到生產(chǎn)庫中。答案:D解析:D正確,將源代碼重新編譯到生產(chǎn)庫中，編成新的執(zhí)行代碼，可以比較新老執(zhí)行是否一致，從而確定源代碼和執(zhí)行代碼是否一致；A不正確,這是程序變更控制；B不正確,這是進行程序、系統(tǒng)和代碼轉(zhuǎn)換的控制；C不正確,這是程序安全控制，限制訪問路徑。[單選題]68.在客戶端-服務(wù)器構(gòu)架中，域名服務(wù)（DNS）最重要，因為其提供：A)域服務(wù)器的地址B)名稱/地址的解析服務(wù)C)互聯(lián)網(wǎng)的IP地址D)域名系統(tǒng)答案:B解析:在互聯(lián)網(wǎng)中，DNS主要用于網(wǎng)站的名稱/地址。DNS是一項把域名轉(zhuǎn)換成IP地址的互聯(lián)網(wǎng)服務(wù)。由于名稱使用字母，所以更容易記住。但互聯(lián)網(wǎng)基于IP地址。每次使用域名時，DNS服務(wù)都必須將名稱轉(zhuǎn)換為相應(yīng)的IP地址。DNS系統(tǒng)具有自己的網(wǎng)絡(luò)。如果一個DNS服務(wù)器不知道如何轉(zhuǎn)換特殊域名，該服務(wù)器將依次詢問其他DNS服務(wù)器，直到返回正確的IP地址。[單選題]69.一家在線股票交易公司正在實施一個系統(tǒng)，以實現(xiàn)與客戶之間安全的電子郵件溝通。為確保機密性，完整性和不可否認性，以下哪項是最佳選擇A)對稱式秘鑰加密B)數(shù)字簽名:無法保證機密性C)消息分類算法D)數(shù)字證書答案:D解析:數(shù)字證書中包含公鑰，可對有關(guān)公鑰所有者的信息進行識別。相關(guān)的私鑰由所有者機密地持有。這些證書一般有值得信任的機構(gòu)驗證，目的是將個人身份與公鑰關(guān)聯(lián)起來，電子郵件的機密性和完整性以公鑰和私鑰加密實現(xiàn)，由受信第三方驗證數(shù)字證書即可保證發(fā)送者的不可否認性。對稱式秘鑰加密法使用單一通關(guān)短語來加密和解密消息。盡管這種加密類型很強大，但它卻承襲了需要以安全方式共享通關(guān)短語這樣一個問題。數(shù)字簽名可以提供消息的完整性和不可否認性，但是，由于使用發(fā)送者的公鑰進行數(shù)字簽名解密的，機密性無法保證。消息分類算法是一種設(shè)計哈希功能以驗證消息/數(shù)據(jù)完整性的方法，消息分類算法不提供機密性和不可否認性。[單選題]70.對于通過因特網(wǎng)從一個主機連接另一主機，通道技術(shù)可通過下列哪一項提供額外的安全性?A)提供端對端加密B)啟用更強大的加密密鑰C)防止密碼破解和重放攻擊D)便于基于公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)的證書交換答案:A解析:[單選題]71.IS審計師審查數(shù)據(jù)庫控制時發(fā)現(xiàn)，在正常工作時間對數(shù)據(jù)庫的修改需要一系列的標(biāo)準程序，然而，正常時間之外，只需要很少步驟的操作就可以完成變更。對于這種情況，以下哪一項可以考慮作為適當(dāng)?shù)难a償控制？A)只允許數(shù)據(jù)庫管理員賬戶進行修改B)在對普通用戶帳戶授權(quán)后，才可修改數(shù)據(jù)庫C)使用DBA帳戶進行修改，記錄修改并日后審查修改日志D)使用普通用戶帳戶進行修改，記錄修改并日后審查修改日志答案:C解析:在正常時間之外使用DBA用戶進行修改是最合適的，因為它可以保證所有修改都得到記錄；記錄改變情況的日志，可以確保變化被再審閱；應(yīng)用DBA用戶但不做記錄的做法在賬戶訪問獲得通過后，將會允許對數(shù)據(jù)庫作出不受控制的修改；沒有控制的普通用戶賬戶將允許對任何數(shù)據(jù)庫進行不受控制的修改；日志只提供作出更改的信息，但不會限制只允許那些被授權(quán)的進行修改。因此，記錄日志并進行檢查可以組成一套合適的補償性控制。[單選題]72.以下哪一項是采用原型法作為系統(tǒng)開發(fā)方法學(xué)的主要缺點？A)用戶對項目進度的期望可能過于樂觀B)有效的變更控制和管理不可能實施C)用戶參與日常項目管理可能過于廣泛D)用戶通常不具備足夠的知識來幫助系統(tǒng)開發(fā)答案:A解析:[單選題]73.執(zhí)行問題管理機制的第一步應(yīng)該是:A)問題分析。B)例外等級評定。C)例外報告D)根本原因分析。答案:C解析:A.分析和解決問題在執(zhí)行記錄和分類之后進行。B.例外等級評定只能在例外報告后執(zhí)行。C.報告運作問題通常是跟蹤問題的第一步。D.根本原因分析在例外被確認之后進行，一般不是問題管理的第一步。[單選題]74.能夠解決尾隨的風(fēng)險最有效的控制措施是:A)有一個傳達員的單獨入口B)采用智能卡C)生物學(xué)驗證門鎖D)雙重門答案:A解析:雙重門，是一種使用兩道門的系統(tǒng)。若是操作第二道門，第一道門必須關(guān)閉并且只有一個人允許在維持區(qū)域保留。這樣就減少了未授權(quán)的人尾隨授權(quán)人進入安全入口的風(fēng)險(尾隨)。另外的選項全都是對安全區(qū)域的入口處添加物理控制，但是并不會特定的解決尾隨的風(fēng)險[單選題]75.在審查企業(yè)的IT戰(zhàn)略規(guī)劃時，信息系統(tǒng)審計師應(yīng)該會發(fā)現(xiàn)：A)評估該組織具有業(yè)務(wù)目標(biāo)的應(yīng)用程序組合是否合適B)以行動來降低硬件采購資本C)一個對IT合同資源認可的供應(yīng)商列表D)一個組織的網(wǎng)絡(luò)邊界安全的技術(shù)體系結(jié)構(gòu)的描述答案:A解析:如何評估一個組織良好的應(yīng)用程序組合，來支持該組織的業(yè)務(wù)目標(biāo)是一個整體的IY戰(zhàn)略規(guī)劃過程中的重要組成部分。IT需求方的規(guī)劃驅(qū)動并轉(zhuǎn)換成一個IT戰(zhàn)略意向圖。然后可以進一步評估如何取得良好的整體IT組織，包括應(yīng)用，基礎(chǔ)設(shè)施，服務(wù)，管理流程等。這些能夠支持業(yè)務(wù)目標(biāo)。運行效率的倡議屬于戰(zhàn)術(shù)規(guī)劃，而不是戰(zhàn)略規(guī)劃。一個IT戰(zhàn)略計劃的目的是闡述將如何實現(xiàn)或支持企業(yè)的經(jīng)營目標(biāo)。一個對IT合同資源支持的供應(yīng)商的列表是一個戰(zhàn)術(shù)，而不是一個戰(zhàn)略問題。一個IT戰(zhàn)略規(guī)劃通常不會包括具體的技術(shù)架構(gòu)和細節(jié)。點評：IT戰(zhàn)略以業(yè)務(wù)目標(biāo)為導(dǎo)向[單選題]76.信息系統(tǒng)審計師在評估制定計劃的關(guān)鍵績效指標(biāo)(KPI)時,最重要是KPI指出:A)IT交付結(jié)果是過程驅(qū)動的B)IT解決方案在預(yù)算范圍內(nèi)C)IT資源得到充分利用D)IT目標(biāo)經(jīng)過衡量答案:D解析:[單選題]77.因為調(diào)整的需要必須要保留很長一段時間的敏感數(shù)據(jù)備份解決方案，哪項是最重要的評估標(biāo)準:A)全備份窗口B)介質(zhì)的成本C)恢復(fù)窗口D)介質(zhì)的可靠性答案:D解析:為滿足調(diào)整需要，介質(zhì)應(yīng)當(dāng)足夠可靠以保證組織因任何原因恢復(fù)數(shù)據(jù)的能力。介質(zhì)價格需要關(guān)注，但不如其提供的可靠性更重要。A、和C、都不如可靠性關(guān)鍵。[單選題]78.規(guī)定?每個人必須在每個控制門處進行門禁證章讀取?的信息安全政策可應(yīng)對以下哪種攻擊方法？A)尾隨B)肩窺C)垃圾搜尋D)模擬答案:A解析:尾隨是指未經(jīng)授權(quán)的人員通過物理或虛擬方式尾隨授權(quán)人員進入限制區(qū)域。此政策解決了在為陌生人開門時遇到的禮貌行為問題。如果每名員工必須在每個控制門禁證章讀取，則未經(jīng)授權(quán)的人員就無法進入敏感區(qū)域。通過尾隨方式訪問限制區(qū)域的未經(jīng)授權(quán)人員可利用肩窺方式獲取用戶的敏感信息，不過此政策特指物理訪問控制。通過實施此政策無法防止肩窺。垃圾搜尋，即通過翻查組織的垃圾箱獲取有價值的信息，可在公司的周邊完成；因此，此政策無法因?qū)@種攻擊方法。模擬是指社會工程師冒充員工試圖檢索所需信息。某些形式的社會工程攻擊會將模擬攻擊和尾隨方式結(jié)合實施，但是此項安全政策無法應(yīng)對模擬攻擊。[單選題]79.完成評審之前跟被審計單位開會的主要目的是：A)確認審計員沒有忽略任何重要的議題B)獲取對審計結(jié)果的一致意見C)接受關(guān)于審計規(guī)程充分性的反饋D)測試最終報告答案:B解析:完成評審之前跟被審計單位開會的主要目的是獲取對審計結(jié)果的一致意見。其他的的選項雖然都與正式完成審計工作相關(guān)但是都是次要的。點評：討論審計發(fā)現(xiàn)的首要目的是確認[單選題]80.為確認是否有未授權(quán)的生產(chǎn)代碼變更，最好的審計流程是：A)仔細檢查變更控制系統(tǒng)記錄并往前追蹤到目標(biāo)代碼文件。B)檢查生產(chǎn)控制庫中的訪問控制權(quán)限操作。C)仔細檢查目標(biāo)代碼，找出變化的實例，并往后追蹤到變更控制記錄。D)檢查在變更控制系統(tǒng)中，變更批準名稱的建立情況。答案:C解析:通過檢查目標(biāo)代碼建立代碼變更實例，并跟蹤到變更控制記錄，是直接發(fā)現(xiàn)未授權(quán)變更風(fēng)險的有效測試方法。其他選項在變更控制審計中也是有效的，但他們不能直接發(fā)現(xiàn)未授權(quán)的代碼變化的風(fēng)險。點評：從變更的結(jié)果向回找到變更的控制[單選題]81.在對業(yè)務(wù)持續(xù)性計劃進行驗證時，以下哪項對于信息系統(tǒng)審計師來說最為重要A)數(shù)據(jù)備份準時執(zhí)行B)備份站點已簽訂合約，并且在需要時可以使用C)人員安全計劃部署適當(dāng)D)保險答案:A解析:業(yè)務(wù)業(yè)務(wù)持續(xù)性計劃最重要的要素就是保護人的生命。他應(yīng)當(dāng)優(yōu)先于計劃的其他方面。[單選題]82.通常，黑客使用如下哪一種攻擊手段時，會引起對互聯(lián)網(wǎng)站點的分布式拒絕服務(wù)攻擊（DDos）?A)邏輯炸彈B)網(wǎng)路釣魚C)間諜軟件D)特洛伊木馬答案:D解析:[單選題]83.以下哪項IT治理是做法可以提高戰(zhàn)略一致性？A)供應(yīng)商和合作伙伴的風(fēng)險管理B)對客戶，產(chǎn)品，市場和流程的知識理解到位C)提供一個有利于創(chuàng)造和共享商業(yè)信息的架構(gòu)D)高層管理人員在業(yè)務(wù)和技術(shù)之間協(xié)調(diào)答案:D解析:高層管理人員在業(yè)務(wù)和數(shù)據(jù)之間協(xié)調(diào)是指一個IT戰(zhàn)略一致性的最佳做法，對供應(yīng)商和合作伙伴的風(fēng)險進行管理是一種風(fēng)險管理的最佳做法，對客戶產(chǎn)品市場和流程的知識理解到位的知識基礎(chǔ)，是IT價值交付的最佳選擇，提供一個有利于創(chuàng)造和共享商業(yè)信息的架構(gòu)是IT價值交付和風(fēng)險管理的最佳方法。點評：戰(zhàn)略一致性是指IT與業(yè)務(wù)保持一致[單選題]84.使用測試數(shù)據(jù)驗證交易處理的最大挑戰(zhàn)是：A)實際的生產(chǎn)數(shù)據(jù)可能被污染。B)創(chuàng)建測試數(shù)據(jù)以覆蓋所有可能的正常的和非正常的情景。C)測試結(jié)果與生產(chǎn)環(huán)境中的結(jié)果做比較。D)與高速事務(wù)處理相關(guān)的數(shù)據(jù)隔離。答案:B解析:測試用例的設(shè)計是最大的挑戰(zhàn)。[單選題]85.在應(yīng)用程序開發(fā)中，質(zhì)量保證測試和用戶驗收測試被結(jié)合起來。IS審計師在檢查項目時應(yīng)著重關(guān)注:A)增加的維護費用B)有關(guān)測試的不正確文件C)不充分的功能測試D)問題解決的延遲答案:A解析:質(zhì)量保證測試和用戶驗收測試結(jié)合的主要風(fēng)險是功能測試可能不充分，選A、B、D、不是重要的。[單選題]86.為幫助管理層取得IT和業(yè)務(wù)統(tǒng)一，IS審計員應(yīng)該推薦使用:A)控制的自我評估B)業(yè)務(wù)影響分析C)IT平衡記分表D)業(yè)務(wù)流程重構(gòu)答案:A解析:IT平衡積分卡提供了IT目標(biāo)和業(yè)務(wù)目標(biāo)之間的橋梁，在傳統(tǒng)的金融評估基礎(chǔ)上補充了客戶滿意度，內(nèi)部流程和創(chuàng)新能力的評估尺度。控制自我評估，業(yè)務(wù)影像分析和業(yè)務(wù)流程重構(gòu)不足以實現(xiàn)IT和業(yè)務(wù)的統(tǒng)一。[單選題]87.防止未經(jīng)授權(quán)的訪問被盜或丟失的筆記本電腦上的機密信息，以下哪種控制措施最有效?A)磁盤加密B)遠程刪除功能C)對文件進行密碼保護D)提高用戶警惕性答案:A解析:[單選題]88.要使無線局域網(wǎng)(WLAN)中傳輸數(shù)據(jù)的機密性得到最佳保護，需要會話A)僅限于預(yù)定義的介質(zhì)訪問控制(MAC)地址B)使用靜態(tài)密鑰加密。C)使用動態(tài)密鑰加密。D)從具有加密存儲的設(shè)備啟動。答案:C解析:A.通過介質(zhì)訪問控制(MAC)地址過濾來限制可以訪間網(wǎng)絡(luò)的設(shè)備數(shù)量不是一種有效率的控制，不能解決會話加密的問題。B.靜態(tài)密鑰加密是指在長時間內(nèi)使用相同的密碼，這會導(dǎo)致密鑰被破解的風(fēng)險。C.在使用動態(tài)密鑰時，加密密鑰會經(jīng)常改變，因此可以降低密鑰被破解和消息被解密的風(fēng)險。D.連接設(shè)備(便攜式計算機、智能手機等)上的數(shù)據(jù)加密針對的是設(shè)備數(shù)據(jù)的機密性，而不是無線會話。[單選題]89.為確保雙方間消息的完整性、機密性和不可否認性，最有效的方法是創(chuàng)建消息摘要，方法是將加密哈希算法應(yīng)用到：A)整個消息，使用發(fā)送方的私鑰將消息摘要加密，使用對稱密鑰將消息加密，以及通過使用接收方的公鑰將密鑰加密。B)消息的任何部分，使用發(fā)送方的私鑰將消息摘要加密，使用對稱密鑰將消息加密，以及通過使用接收方的公鑰將密鑰加密。C)整個消息，使用發(fā)送方的私鑰將消息摘要加密，使用對稱密鑰將消息加密，以及通過使用接收方的公鑰將已加密消息和摘要加密。D)整個消息，使用發(fā)送方的私鑰將消息摘要加密，以及通過使用接收方的公鑰將消息加密。答案:A解析:1.將加密哈希算法應(yīng)用到整個消息可解決消息完