公眾號(hào):mywangxiao
及時(shí)發(fā)布考試資訊
分享考試技巧、復(fù)習(xí)經(jīng)驗(yàn)
新浪微博 @wangxiaocn關(guān)注微博
聯(lián)系方式 400-18-8000
E15 系統(tǒng)安全
系統(tǒng)安全是在風(fēng)險(xiǎn)分析的基礎(chǔ)上,選擇適宜的控制目標(biāo)與控制方式,對(duì)系統(tǒng)的安全進(jìn)行控制,使信息資產(chǎn)的風(fēng)險(xiǎn)降到組織可以接受的水平。
15.1 General Control V8.Application Control
一般控制和應(yīng)用控制
應(yīng)用控制與一般控制是兩個(gè)不同層次的控制手段:
一般控制(General Contr01)包括各種相對(duì)通用的控制手段和技術(shù),包括:管理控制、計(jì)算機(jī)運(yùn)行控制、系統(tǒng)實(shí)施控制、軟件控制、硬件控制、訪問(wèn)控制和數(shù)據(jù)安全控制等。
應(yīng)用控制(Application Control)包括和特定應(yīng)用相關(guān)的、為保障應(yīng)用程序正確運(yùn)行而設(shè)定的控制,如輸入控制(input contr01)、處理控制(process control)、輸出控制(output contr01)等。
相對(duì)于應(yīng)用控制,一般控制更為基礎(chǔ),且其有效性不受應(yīng)用控制的影響。相反,應(yīng)用控制的有效性則往往受到一般控制,尤其是操作系統(tǒng)訪問(wèn)控制的影響。當(dāng)審計(jì)師審查一個(gè)應(yīng)用系統(tǒng)的應(yīng)用控制時(shí),應(yīng)首先確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制。對(duì)于較復(fù)雜的信息系統(tǒng),通常應(yīng)結(jié)合使用這兩種控制技術(shù)。
一般控制包括:
管理控制(administrative contr01)的主要目標(biāo)是實(shí)現(xiàn)職責(zé)分離。常見(jiàn)的管理控制包括:系統(tǒng)分析員不應(yīng)該接觸計(jì)算機(jī)設(shè)備、數(shù)據(jù)和程序;計(jì)算機(jī)編程人員不應(yīng)該接觸計(jì)算機(jī)設(shè)備、數(shù)據(jù)和已交付使用的程序;操作員不應(yīng)該參與系統(tǒng)設(shè)計(jì)或更改程序,這樣可以最好地防止擁有充分技術(shù)的人員繞過(guò)安全程序,對(duì)生產(chǎn)程序進(jìn)行修改。
運(yùn)行控制(operations control)包括:
計(jì)算機(jī)運(yùn)行控制是為確保系統(tǒng)的正常運(yùn)行而實(shí)施的控制。例如,對(duì)不需要的文件要在受控條件下及時(shí)刪除;
系統(tǒng)實(shí)施控制(implementation control)是在系統(tǒng)開發(fā)實(shí)施過(guò)程的各個(gè)環(huán)節(jié)都建立控制點(diǎn)并編制文檔以保證系統(tǒng)的實(shí)施是在適當(dāng)?shù)目刂坪凸芾碇?,文檔應(yīng)從技術(shù)和應(yīng)用兩個(gè)角度說(shuō)明系統(tǒng)是如何運(yùn)行的;
軟件控制(software control)是保證已投入運(yùn)行的軟件未經(jīng)許可不得修改的控制;
硬件控制(hardware contr01)是保證硬件正常運(yùn)行的控制,如回波檢驗(yàn)(echo check)、奇偶校驗(yàn)(parity check)等;
訪問(wèn)控制(access contr01)是確保只有 被授權(quán)用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源進(jìn)行訪問(wèn)的控制,通常特指邏輯訪問(wèn)控制(logical access control);
物理設(shè)備控制(physical device contr01)是防止對(duì)物理設(shè)備的非授權(quán)接觸的控制。
應(yīng)用控制包括:
輸入控制(input contr01)包括輸入授權(quán)(input authorization)、數(shù)據(jù)轉(zhuǎn)換(data conversion)和編輯檢驗(yàn)(edit checks)。其中,編輯檢驗(yàn)又包括合理性檢驗(yàn) (reasonableness checks)、格式檢驗(yàn)(format checks)、存在性檢驗(yàn)(existence checks)、依賴性檢驗(yàn)(dependency checks) (又稱相關(guān)性檢驗(yàn))、檢驗(yàn)位 (check digit)、重新輸入控制(reinput control)等。
處理控制(processing contr01),包括運(yùn)行總數(shù)控制(run control totals)、計(jì)算機(jī)匹配(computer matching)、并發(fā)控制(concurrency contr01)。
輸出控制(output contr01)包括平衡總數(shù)(balancing totals)、復(fù)核處理日志(review of processing logs)、審核輸出報(bào)告(audit of output report)、審核制度與文件(audit of procedures and documentation)。
15.2 Access Control Technologies
訪問(wèn)控制技術(shù)
訪問(wèn)控制技術(shù)確保只有被授權(quán)用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源的訪問(wèn)。訪問(wèn)控制技術(shù)可以應(yīng)用在信息系統(tǒng)的不同層次,如操作系統(tǒng)訪問(wèn)控制、數(shù)據(jù)庫(kù)訪問(wèn)控制、網(wǎng)頁(yè)訪問(wèn)控制等。但訪問(wèn)控制技術(shù)的應(yīng)用必須適當(dāng)合理,尤其應(yīng)注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡。訪問(wèn)控制技術(shù)包括 用戶身份標(biāo)識(shí)(identification)和鑒別(authentication)、訪問(wèn)控制列表(ACL:access control list)和審計(jì)追蹤(audit trails)等。
用戶標(biāo)識(shí)(UID:user identifier):用于唯一地確定一個(gè)用戶的身份,是實(shí)施訪問(wèn)控制的前提。
口令(passwords):鑒別用戶身份的常用手段之一,通過(guò)使用口令可以明確用戶的責(zé)任。例如,對(duì)應(yīng)付款系統(tǒng)數(shù)據(jù)終端的訪問(wèn)控制就可以要求激活終端數(shù)據(jù)必須使用口令并對(duì)數(shù)據(jù)終端的活動(dòng)進(jìn)行記錄,以明確該終端用戶對(duì)其所進(jìn)行活動(dòng)應(yīng)負(fù)的責(zé)任。
口令應(yīng)由用戶掌握和修改,還可以按用戶的權(quán)限設(shè)置不同的口令等級(jí),以防止掌握口令的人非法訪問(wèn)服務(wù)器上的所有用戶文件??诹顟?yīng)該嚴(yán)格保密,并且在終端輸入時(shí)不應(yīng)該顯示。 為了防止口令被猜出,可使用能夠?qū)嵤┛诹罱M合標(biāo)準(zhǔn)的訪問(wèn)控制軟件;為了防止存儲(chǔ)在系統(tǒng)中的口令被竊取,可使用能夠?qū)嵤┛诹罴用艿脑L問(wèn)控制軟件。
有的用戶因?yàn)檫M(jìn)入系統(tǒng)過(guò)程較瑣碎枯燥,就把登錄串包括口令存在個(gè)人電腦里,以待進(jìn)入主機(jī)設(shè)施時(shí)再調(diào)用,這樣任何能訪問(wèn)用戶個(gè)人計(jì)算機(jī)的人就能訪問(wèn)主機(jī)。因此,對(duì)于高安全級(jí)別的系統(tǒng),應(yīng)采用更安全的身份識(shí)別技術(shù),如智能IC卡、生物技術(shù)(biometric technologies)等。
屏幕保護(hù)程序口令安全性較低,因?yàn)樗苋菀妆焕@過(guò)。
授權(quán)(Authorization)使用戶能訪問(wèn)特定的數(shù)據(jù)和資源。應(yīng)建立數(shù)據(jù)分級(jí)方案和用戶標(biāo)識(shí)方案,并根據(jù)“知必所需 "(need to know)的原則建立訪問(wèn)控制列表,確保雇員只能訪問(wèn)對(duì)完成其工作確有必要的信息。
訪問(wèn)日志(Access Log)對(duì)用戶訪問(wèn)信息系統(tǒng)的時(shí)間、內(nèi)容等進(jìn)行記錄,便于分析控制。安裝訪問(wèn)日志系統(tǒng)屬于檢測(cè)性控制措施,它雖然可以發(fā)現(xiàn)未經(jīng)授權(quán)的訪問(wèn),但不能防止其發(fā)生。
自動(dòng)注銷登錄(Automatic Log-off)自動(dòng)撤消非活動(dòng)終端的登錄可以防止通過(guò)無(wú)人照管的終端來(lái)訪問(wèn)主機(jī)上的敏感數(shù)據(jù)。
回?fù)埽–allback)指遠(yuǎn)程用戶撥叫主機(jī)后應(yīng)立即掛斷,由主機(jī)回?fù)茉撚脩粢员WC信息按指定線路傳輸。例如:在電子資金匯劃系統(tǒng)中,為了保證數(shù)據(jù)只傳送給被授權(quán)的用戶,最有效的控制措施就是 要求接受數(shù)據(jù)的金融機(jī)構(gòu)使用回?fù)芟到y(tǒng)。
工具軟件(Utility Software Restrictions)可以繞過(guò)訪問(wèn)控制和審計(jì),管理層應(yīng)制定限制使用具有訪問(wèn)特權(quán)的工具軟件的政策,以降低利用特權(quán)軟件進(jìn)行非法訪問(wèn)的風(fēng)險(xiǎn)。
安全軟件(security software)的功能是限制對(duì)系統(tǒng)資源的訪問(wèn),但不能限制未經(jīng)許可軟件的安裝,也不能監(jiān)控職責(zé)分離。使用安全軟件要注意使安全軟件與操作系統(tǒng)在安全控制方面保持同步。
15.3 Firewall
防火墻
防火墻(firewall)是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在的破壞性侵入。它可以通過(guò)監(jiān)測(cè)、限制或更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部信息、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)。利用Internet實(shí)現(xiàn)電子商務(wù)必須使用防火墻。
防火墻按其工作層次可分為:
數(shù)據(jù)包過(guò)濾型。通常安裝在路由器上,工作在網(wǎng)絡(luò)層,邏輯簡(jiǎn)單、價(jià)格便宜、易于安裝和使用。
應(yīng)用網(wǎng)關(guān)型。通常安裝在專用工作站上,工作在應(yīng)用層,安全性能好,但價(jià)格比較貴,安裝和使用比較復(fù)雜。
應(yīng)用程序應(yīng)安裝在防火墻里面的服務(wù)器上,如果將應(yīng)用程序安裝在防火墻外面的服務(wù)器上,那么防火墻就起不到應(yīng)有的作用,會(huì)增加非法訪問(wèn)的風(fēng)險(xiǎn)。對(duì)于某些面向公開用戶的應(yīng)用系統(tǒng),如電子詢價(jià)系統(tǒng),必須允許公眾用戶訪問(wèn)公司資源,此時(shí)可利用防火墻將系統(tǒng)劃分為內(nèi)部應(yīng)用區(qū)和中間應(yīng)用區(qū),并根據(jù)文件的訪問(wèn)種類將其存放在不同區(qū)域,公眾用戶允許訪問(wèn)中間區(qū)但不能進(jìn)入內(nèi)部區(qū),從而確保公司數(shù)據(jù)的安全性。
審計(jì)防火墻的有效性需要核實(shí)路由器訪問(wèn)控制列表、測(cè)試調(diào)制解調(diào)器和集線器的位置、審查控制記錄。
入侵檢測(cè)系統(tǒng)(IDS:Intrusion Detection System)工作在應(yīng)用層,可以對(duì)應(yīng)用數(shù)據(jù)流進(jìn)行檢測(cè)并檢測(cè)出可能的入侵行為。IDS可分為兩類:基于行為的和基于知識(shí)的?;谛袨榈腎DS基于已知的入侵行為特征進(jìn)行過(guò)濾,而基于知識(shí)的IDS則根據(jù)知識(shí)庫(kù)推斷,是可以發(fā)現(xiàn)未曾預(yù)見(jiàn)的攻擊的專家系統(tǒng)。
入侵檢測(cè)系統(tǒng)和防火墻的集成可以構(gòu)成入侵防御系統(tǒng)(IPS:Instrusion Prevention System)。
15.4 Physical Computer Security
計(jì)算機(jī)的物理安全
計(jì)算機(jī)物理安全包括防火防潮、不間斷電源的使用、計(jì)算機(jī)附近鐵路公路的風(fēng)險(xiǎn)評(píng)價(jià)、盡量不要暴露數(shù)據(jù)中心的位置以防止恐怖分子襲擊、生物統(tǒng)計(jì)訪問(wèn)系統(tǒng)的應(yīng)用等物理因素,但不包括訪問(wèn)授權(quán)等邏輯因素。
對(duì)于使用租賃線路的網(wǎng)絡(luò)應(yīng)保證設(shè)置在各營(yíng)業(yè)場(chǎng)所的傳輸線路的安全以防止非法訪問(wèn)網(wǎng)絡(luò)。
15.5 Outsourcing Services
外包服務(wù)/第三方服務(wù)
企業(yè)為了提高組織結(jié)構(gòu)的適應(yīng)性,使之能集中精力于核心業(yè)務(wù),從而以最小的成本獲取最大的邊際利潤(rùn),往往通過(guò)簽訂協(xié)議將其信息部門的部分或全部職能交給第三方服務(wù)機(jī)構(gòu)來(lái)承擔(dān),即所謂的服務(wù)外包。第三方服務(wù)機(jī)構(gòu)的類型及特點(diǎn)如下:
設(shè)備管理機(jī)構(gòu)(facilities management organizations):按照用戶的要求來(lái)管理運(yùn)行用戶擁有的數(shù)據(jù)處理設(shè)備。
計(jì)算機(jī)租賃公司(computer leasing companies):只提供設(shè)備,不負(fù)責(zé)設(shè)備管理運(yùn)行。
服務(wù)局(service bureaus):管理運(yùn)行自己擁有的數(shù)據(jù)處理設(shè)備,為不同客戶提供處理服務(wù)。
共享服務(wù)商(time-sharing vendors):管理運(yùn)行自己擁有的數(shù)據(jù)處理設(shè)備和系統(tǒng),使各類組織能使用它們的系統(tǒng)。
采用第三方服務(wù)是目前的流行趨勢(shì),但是這種服務(wù)同時(shí)也帶來(lái)了合同糾紛、系統(tǒng)失敗、運(yùn)行不良、放棄日常操作控制等風(fēng)險(xiǎn)。
相關(guān)推薦:國(guó)際注冊(cè)內(nèi)審師考試《經(jīng)營(yíng)分析和信息技術(shù)》講義匯總
新添考試應(yīng)用:
①資訊訂閱,查詢最新考試信息②章節(jié)習(xí)題 海量套題全免費(fèi)體驗(yàn)?。?/FONT>
典型試題
1.用戶和管理人員都需認(rèn)可最初的建議、設(shè)計(jì)規(guī)劃、轉(zhuǎn)換計(jì)劃和信息系統(tǒng)測(cè)試計(jì)劃。這是以下哪項(xiàng)控制的例證?
a.實(shí)施控制。
b.硬件控制。
c.計(jì)算機(jī)運(yùn)行控制。
d.數(shù)據(jù)安全性控制。
『正確答案』a
『解題思路』
a.正確。實(shí)施控制應(yīng)存在于系統(tǒng)開發(fā)過(guò)程的各個(gè)環(huán)節(jié),以確保系統(tǒng)實(shí)施處于適當(dāng)?shù)目刂坪凸芾碇隆?
b.不正確。硬件控制用以保證計(jì)算機(jī)硬件的物理安全和檢查設(shè)備的故障。
c.不正確。計(jì)算機(jī)運(yùn)行控制應(yīng)用在計(jì)算機(jī)部門的工作中,保證程序化的作業(yè)規(guī)程在數(shù)據(jù)的存儲(chǔ)和處理過(guò)程中得到一貫正確地執(zhí)行。
d.不正確。數(shù)據(jù)安全性控制保證在磁盤或磁帶上的數(shù)據(jù)文件不被非法訪問(wèn)、修改或毀壞
2.以下哪項(xiàng)是信息系統(tǒng)邏輯安全控制的目標(biāo)?
a.保證數(shù)據(jù)記錄的完整和準(zhǔn)確。
b.保證數(shù)據(jù)處理的完整和準(zhǔn)確。
c.限制對(duì)特定數(shù)據(jù)和資源的訪問(wèn)。
d.提供處理結(jié)果的審計(jì)軌跡。
『正確答案』c
『解題思路』
a.不正確。保證數(shù)據(jù)記錄的完整和準(zhǔn)確是輸入控制的目標(biāo)。
b.不正確。保證數(shù)據(jù)處理的完整和準(zhǔn)確是處理控制的目標(biāo)。
c.正確。限制對(duì)特定數(shù)據(jù)和資源的訪問(wèn)是邏輯安全控制的目標(biāo)。
d.不正確。提供處理結(jié)果的審計(jì)軌跡屬于輸出控制的目標(biāo)。
3. 要防止通過(guò)將無(wú)人照管的終端直接連接到主機(jī)上而對(duì)敏感數(shù)據(jù)進(jìn)行非法訪問(wèn),以下哪項(xiàng)安全控制效果最佳?
a.使用帶密碼的屏幕保護(hù)程序。
b.使用工作站腳本程序。
c.對(duì)數(shù)據(jù)文件加密。
d.自動(dòng)注銷不活動(dòng)用戶。
『正確答案』d
『解題思路』
a.不正確。無(wú)人照管終端的主要風(fēng)險(xiǎn)是該終端可能已經(jīng)合法地登錄主機(jī),因此任何人都可以利用該終端訪問(wèn)主機(jī)中的敏感數(shù)據(jù)。在這種情況下,帶密碼的屏幕保護(hù)程序較容易被繞過(guò),如用另一臺(tái)終端替換該終端。
b.不正確。工作站腳本程序用來(lái)定制終端的運(yùn)行環(huán)境,只有在終端登錄時(shí)起作用。
c.不正確。對(duì)數(shù)據(jù)文件加密不能防止攻擊者訪問(wèn)敏感數(shù)據(jù),因此時(shí)攻擊者已獲得了合法用戶的身份,系統(tǒng)會(huì)自動(dòng)解密數(shù)據(jù)文件。
d.正確。自動(dòng)注銷不活動(dòng)用戶可使攻擊者失去獲得合法用戶的機(jī)會(huì)。
4.以下哪項(xiàng)應(yīng)用程序控制能夠?yàn)閹?kù)存數(shù)據(jù)完整、準(zhǔn)確地輸入提供合理保證?
a.順序檢查。
b.批量總額。
C.限額檢查。
d.檢驗(yàn)數(shù)位。
『正確答案』b
『解題思路』
a.不正確。順序檢查是一種測(cè)試輸入完整性的相當(dāng)好的控制,但它并不測(cè)試正確性。
b.正確。批量匯總檢查對(duì)測(cè)試輸入完整性和正確性均很有效。
c.不正確。限額檢查只能判定輸入的數(shù)據(jù)是否在可接受的范圍內(nèi),因此也不能用來(lái)測(cè)試輸入的正確性。
d.不正確。數(shù)字檢驗(yàn)位可以使計(jì)算機(jī)機(jī)械地拒絕錯(cuò)誤的輸入。生成數(shù)字校驗(yàn)位需要進(jìn)行繁瑣的運(yùn)算,因而這種方法只適用于少數(shù)關(guān)鍵的輸入項(xiàng)。數(shù)字校驗(yàn)位絕不會(huì)用于測(cè)試成批數(shù)據(jù)輸入的正確性。
5.為了避免非法數(shù)據(jù)的輸入,某銀行在每個(gè)賬號(hào)結(jié)尾新加一個(gè)數(shù)字并對(duì)新加的數(shù)字進(jìn)行一種計(jì)算,此種技術(shù)被稱為:
a.光學(xué)字符識(shí)別。
b.校驗(yàn)數(shù)位。
c.相關(guān)性檢驗(yàn)。
d.格式檢驗(yàn)。
『正確答案』b
『解題思路』
a.不正確。光學(xué)字符識(shí)別將印刷字符轉(zhuǎn)換成計(jì)算機(jī)可以識(shí)別的內(nèi)部代碼。
b.正確。校驗(yàn)數(shù)位是對(duì)某字段進(jìn)行某種計(jì)算后得出,并附加在該字段之后的校驗(yàn)位。通過(guò)重新計(jì)算校驗(yàn)位并和原校驗(yàn)位進(jìn)行比較,可以發(fā)現(xiàn)該字段內(nèi)容是否已發(fā)生變化
c.不正確。相關(guān)性檢驗(yàn)用于檢查多個(gè)字段之間是否存在某種關(guān)聯(lián),來(lái)判斷字段內(nèi)容的正確性
d.不正確。格式檢驗(yàn)用于檢查字段內(nèi)容是否遵循某種特定的格式,如日期字段應(yīng)該具有如下格式:YYYY:MM:DD
6.以下哪項(xiàng)不是典型的輸出控制?
a.審查計(jì)算機(jī)處理記錄,以確定所有正確的計(jì)算機(jī)作業(yè)都得到正確執(zhí)行。
b.將輸入數(shù)據(jù)與主文件上的信息進(jìn)行匹配,并將不對(duì)應(yīng)的項(xiàng)目放入暫記文件中。
c.定期對(duì)照輸出報(bào)告,以確認(rèn)有關(guān)總額、格式和關(guān)鍵細(xì)節(jié)的正確性及其與輸入信息的一致性。
d.通過(guò)正式的程序和文件指明輸出報(bào)告、支票或其他關(guān)鍵文件的合法接收者。
『正確答案』b
『解題思路』
a.不正確。審查計(jì)算機(jī)處理記錄是典型的輸出控制。
b.正確.將輸人數(shù)據(jù)與主文件上的信息進(jìn)行匹配是一項(xiàng)輸入控制。
c.不正確。定期對(duì)照輸出報(bào)告是典型的輸出控制。
d.不正確。通過(guò)正式的程序和文件指明輸出報(bào)告、支票或其他關(guān)鍵文件的合法接收者是典型的輸出控制。
7.因?yàn)槟彻镜拇蟛糠秩粘=灰仔畔?duì)其競(jìng)爭(zhēng)對(duì)手都是機(jī)密信息,該公司只允許雇員訪問(wèn)對(duì)完成各自工作有必要的信息,這種訪問(wèn)信息的方法是基于:
a.知必所需原則
b.個(gè)體可追蹤原則。
c.即時(shí)性原則。
d.例外管理原則。
『正確答案』a
『解題思路』
a.正確。知必所需原則指雇員只能獲得其完成工作所必需的信息。
b.不正確。個(gè)體可追蹤原則指雇員能夠?yàn)槠涫跈?quán)操作行為承擔(dān)責(zé)任。
c.不正確。即時(shí)性原則要求為生產(chǎn)某項(xiàng)產(chǎn)品所需的原材料或存貨能在最適當(dāng)?shù)臅r(shí)間和最合適的數(shù)量準(zhǔn)備好,既不形成過(guò)多的庫(kù)存,又不延誤產(chǎn)品的生產(chǎn)。
d.不正確。例外管理原則強(qiáng)調(diào)更多地關(guān)注例外條件,認(rèn)為這樣比花費(fèi)同樣的時(shí)間來(lái)關(guān)注正常運(yùn)行過(guò)程效果更好。
8.用來(lái)確定應(yīng)用程序系統(tǒng)需要建立多少控制的標(biāo)準(zhǔn)不包括以下哪項(xiàng)內(nèi)容?
a.數(shù)據(jù)在系統(tǒng)中的重要性。
b.應(yīng)用網(wǎng)絡(luò)監(jiān)測(cè)軟件的可行性。
c.某項(xiàng)活動(dòng)或處理沒(méi)有受到適當(dāng)控制所產(chǎn)生的風(fēng)險(xiǎn)水平。
d.每種控制措施的效率、復(fù)雜性和費(fèi)用。
『正確答案』b
『解題思路』
a.不正確。例如,重要的財(cái)務(wù)和會(huì)計(jì)系統(tǒng),如證券交易所的股票買賣跟蹤系統(tǒng),相對(duì)于記錄員工培訓(xùn)和技能的系統(tǒng)而言,必須具有更高的控制標(biāo)準(zhǔn)。
b.正確。網(wǎng)絡(luò)監(jiān)測(cè)軟件并不參與應(yīng)用系統(tǒng)內(nèi)部的控制。
c.不正確。問(wèn)題的發(fā)生頻率及其潛在的危害應(yīng)決定在一個(gè)系統(tǒng)中建立多少控制。
d.不正確。例如,在一個(gè)每天處理成千上萬(wàn)筆支付業(yè)務(wù)的系統(tǒng)中,完全的逐項(xiàng)檢查可能過(guò)于費(fèi)時(shí)而不可操作,但如僅檢查關(guān)鍵的數(shù)據(jù)則可能是可行的,如檢查金額、賬號(hào)而忽略姓名和地址。
9. 以下哪種關(guān)于互聯(lián)網(wǎng)是一種可靠的商業(yè)網(wǎng)絡(luò)的說(shuō)法是正確的?
a.公司若想保持內(nèi)部數(shù)據(jù)的安全性,必須應(yīng)用防火墻。
b.公司必須向互聯(lián)網(wǎng)提出申請(qǐng),得到創(chuàng)造主頁(yè)的許可,從事電子商務(wù)。
c.希望在互聯(lián)網(wǎng)上參與電子商務(wù)活動(dòng)的公司必須遵守互聯(lián)網(wǎng)供應(yīng)商聯(lián)盟確立的安全標(biāo)準(zhǔn)。
d.上述說(shuō)法都對(duì)。
『正確答案』a
『解題思路』
a.正確。防火墻可以通過(guò)設(shè)立安全策略來(lái)控制互聯(lián)網(wǎng)的人員對(duì)公司內(nèi)網(wǎng)的訪問(wèn)。
b.不正確。任何公司均可在互聯(lián)網(wǎng)上創(chuàng)建主頁(yè)并從事電子商務(wù),并不需要提出申請(qǐng)。
c.不正確?;ヂ?lián)網(wǎng)是一個(gè)松散管理的網(wǎng)絡(luò),不存在互聯(lián)網(wǎng)供應(yīng)商聯(lián)盟,當(dāng)然也不存在互聯(lián)網(wǎng)供應(yīng)商聯(lián)盟確立的安全標(biāo)準(zhǔn)。
d.不正確。
10.使用安全軟件(Security Software)的主要目的是:
a.控制對(duì)系統(tǒng)資源的訪問(wèn)。
b.限制安裝未經(jīng)許可的工具軟件。
c.檢測(cè)病毒的出現(xiàn)。
d.對(duì)應(yīng)用程序中職責(zé)分離的監(jiān)控。
『正確答案』a
『解題思路』
a.正確。安全軟件的目標(biāo)就是控制對(duì)系統(tǒng)資源的訪問(wèn),這些資源包括工具軟件、程序庫(kù)、各種敏感級(jí)別的數(shù)據(jù)文件等。
b.不正確。安全軟件只控制對(duì)工具的使用,但不會(huì)限制其安裝。
c.不正確。能檢測(cè)病毒出現(xiàn)的是防病毒軟件。
d.不正確。可利用安全軟件實(shí)現(xiàn)職責(zé)分離,但不能對(duì)職責(zé)分離進(jìn)行監(jiān)控。
11. 從微機(jī)上載的數(shù)據(jù)可能有誤,以下哪種方法能最好地解決此問(wèn)題?
a.主機(jī)應(yīng)該定期備份。
b.上載數(shù)據(jù)時(shí)應(yīng)有兩個(gè)人同時(shí)在微機(jī)旁邊。
c.主機(jī)應(yīng)該對(duì)上載數(shù)據(jù)實(shí)施與聯(lián)機(jī)輸入數(shù)據(jù)時(shí)同樣的編輯和合法性檢查例程。
d.要求用戶檢查已處理數(shù)據(jù)的隨機(jī)樣本。
『正確答案』c
『解題思路』
a.不正確。定期備份對(duì)發(fā)生故障后的系統(tǒng)恢復(fù)非常有用,但不能防止和發(fā)現(xiàn)數(shù)據(jù)上傳的錯(cuò)誤。
b.不正確。上傳數(shù)據(jù)時(shí)兩人同時(shí)在場(chǎng)對(duì)防止數(shù)據(jù)上傳中的舞弊問(wèn)題有效,但對(duì)防止數(shù)據(jù)錯(cuò)誤的作用很小。
c.正確。主機(jī)對(duì)上載數(shù)據(jù)實(shí)施與聯(lián)機(jī)輸入數(shù)據(jù)時(shí)同樣的編輯和合法性檢查例程能實(shí)時(shí)地發(fā)現(xiàn)并防止錯(cuò)誤數(shù)據(jù)進(jìn)入系統(tǒng)。
d.不正確。檢查已處理數(shù)據(jù)的隨機(jī)樣本屬于發(fā)現(xiàn)性的控制,但不能預(yù)防錯(cuò)誤發(fā)生。
12. 通過(guò)以下哪種方式可以最好地防止擁有充分技術(shù)的人員繞過(guò)安全程序?qū)ιa(chǎn)程序進(jìn)行修改?
a.對(duì)已完成工作的報(bào)告進(jìn)行檢查。
b.將生產(chǎn)程序與獨(dú)立控制的拷貝進(jìn)行比較。
c.定期運(yùn)行測(cè)試數(shù)據(jù)。
d.制定合適的職責(zé)分離。
『正確答案』d
『解題思路』
a.不正確。對(duì)已處理作業(yè)進(jìn)行檢查只能發(fā)現(xiàn)非法訪問(wèn)的事實(shí),但不能防止其發(fā)生。
b.不正確。比較生產(chǎn)程序和受控拷貝只能發(fā)現(xiàn)程序改變的事實(shí),但不能防止其發(fā)生。
c.不正確。定期運(yùn)行檢測(cè)數(shù)據(jù)可以發(fā)現(xiàn)改變,但不能防止改變。
d.正確。在職責(zé)分離的情況下,用戶無(wú)法獲得程序的詳細(xì)知識(shí),而計(jì)算機(jī)操作員則很難不受監(jiān)督地接觸生產(chǎn)程序。
相關(guān)推薦:國(guó)際注冊(cè)內(nèi)審師考試《經(jīng)營(yíng)分析和信息技術(shù)》講義匯總
新添考試應(yīng)用:
①資訊訂閱,查詢最新考試信息②章節(jié)習(xí)題 海量套題全免費(fèi)體驗(yàn)??!
(責(zé)任編輯:中大編輯)