領(lǐng)域：信息資產(chǎn)的保護(hù)附有答案

領(lǐng)域5：信息資產(chǎn)的保護(hù)[復(fù)制]A5-1Web應(yīng)用程序開(kāi)發(fā)人員有時(shí)在網(wǎng)頁(yè)上使用隱藏字段來(lái)保存有關(guān)客戶(hù)會(huì)話(huà)的信息。在某些情況下，這種技術(shù)用于存儲(chǔ)持續(xù)存在于多個(gè)網(wǎng)頁(yè)的會(huì)話(huà)變量，例如，在零售網(wǎng)站應(yīng)用程序中保存購(gòu)物車(chē)的內(nèi)容。此做法最有可能導(dǎo)致的基于Web的攻擊是：[單選題]*A.參數(shù)篡改。(正確答案)B.跨站點(diǎn)腳本。C.Cookie篡改。D.隱蔽命令執(zhí)行。答案解析：A.Web應(yīng)用程序開(kāi)發(fā)人員有時(shí)使用隱藏字段來(lái)保存有關(guān)客戶(hù)會(huì)話(huà)的信息或向底層應(yīng)用程序提交隱藏參數(shù)，如最終用戶(hù)的語(yǔ)言。由于瀏覽器不顯示隱藏的表單字段，因此開(kāi)發(fā)人員可能感覺(jué)傳遞隱藏字段中的未驗(yàn)證數(shù)據(jù)（將在以后驗(yàn)證）是安全的。但這種做法并不安全，因?yàn)楣粽呖梢詳r截、修改和提交將導(dǎo)致信息泄露或執(zhí)行Web開(kāi)發(fā)人員始料未及的功能的請(qǐng)求。對(duì)Web應(yīng)用程序參數(shù)的惡意修改稱(chēng)為參數(shù)篡改。B.跨站點(diǎn)腳本會(huì)侵害網(wǎng)頁(yè)，將用戶(hù)重新定向到攻擊者網(wǎng)站上的內(nèi)容。使用隱藏字段不會(huì)影響發(fā)生跨站點(diǎn)腳本攻擊的可能性，因?yàn)檫@些字段是靜態(tài)內(nèi)容，通常無(wú)法被修改而形成這種類(lèi)型的攻擊。Web應(yīng)用程序使用Cookie在客戶(hù)計(jì)算機(jī)上保存會(huì)話(huà)狀態(tài)信息，以便用戶(hù)在每次訪(fǎng)問(wèn)頁(yè)面時(shí)無(wú)須登錄。C.Cookie篡改是指攔截和修改會(huì)話(huà)Cookie來(lái)冒充用戶(hù)或竊取登錄憑證。使用隱藏字段與Cookie篡改無(wú)關(guān)。D.隱蔽命令執(zhí)行是指通過(guò)安裝未經(jīng)授權(quán)的代碼來(lái)劫持Web服務(wù)器。盡管使用隱藏表單可能增加服務(wù)器受到侵害的風(fēng)險(xiǎn)，但大多數(shù)常見(jiàn)的服務(wù)器攻擊與服務(wù)器操作系統(tǒng)或Web服務(wù)器的漏洞有關(guān)。A5-2哪種控制是保證文件數(shù)據(jù)在傳輸過(guò)程中沒(méi)被修改的最佳方式？[單選題]*A.合理性檢查。B.奇偶位檢驗(yàn)。C.哈希值。(正確答案)D.校驗(yàn)數(shù)字位。答案解析：A.合理性檢查用于確保輸入數(shù)據(jù)處于預(yù)期值范圍內(nèi)，而不確保數(shù)據(jù)傳輸?shù)耐暾?。?shù)據(jù)可能被更改了，但仍可通過(guò)合理性測(cè)試。B.奇偶位是用于檢測(cè)傳輸錯(cuò)誤的一種較弱的數(shù)據(jù)完整性檢查，沒(méi)有哈希值好。C.哈希值是根據(jù)文件內(nèi)容計(jì)算的，且對(duì)文件中數(shù)據(jù)值的任何改動(dòng)十分敏感。因此，它們是確保數(shù)據(jù)未被更改的最佳方法。D.校驗(yàn)數(shù)字位用于檢測(cè)數(shù)值字段（如賬號(hào)）中的錯(cuò)誤，通常與易位或抄寫(xiě)錯(cuò)誤相關(guān)。A5-3審計(jì)軌跡的主要目的是：[單選題]*A.改善用戶(hù)響應(yīng)時(shí)間。B.確立已處理交易的問(wèn)責(zé)制度。(正確答案)C.提高系統(tǒng)的操作效率。D.為想要跟蹤交易的審計(jì)師提供信息。答案解析：A.啟用軟件以提供審計(jì)軌跡的目的不是提高系統(tǒng)效率，因?yàn)樗ǔ０渌幚?，?shí)際上會(huì)降低用戶(hù)的響應(yīng)時(shí)間。B.通過(guò)在系統(tǒng)中跟蹤交易，審計(jì)軌跡可用來(lái)幫助確立已處理交易的問(wèn)責(zé)制度和責(zé)任。C.啟用審計(jì)軌跡涉及存儲(chǔ)，因此會(huì)占用磁盤(pán)空間，而且可能降低操作效率。D.審計(jì)軌跡用于各種目的的交易跟蹤，不僅限于審計(jì)。審計(jì)軌跡可被信息系統(tǒng)審計(jì)師使用，但這不是主要原因。A5-4以下哪種系統(tǒng)或工具可以識(shí)別出信用卡交易更有可能因信用卡失竊引起，而不是由信用卡持有人所為？[單選題]*A.入侵檢測(cè)系統(tǒng)。B.數(shù)據(jù)挖掘技術(shù)。(正確答案)C.狀態(tài)檢測(cè)防火墻。D.數(shù)據(jù)包過(guò)濾路由器。答案解析：A.入侵檢測(cè)系統(tǒng)對(duì)檢測(cè)基于網(wǎng)絡(luò)或主機(jī)的錯(cuò)誤有效，但對(duì)識(shí)別欺詐交易無(wú)效。B.數(shù)據(jù)挖掘是用于檢測(cè)交易或數(shù)據(jù)的趨勢(shì)或模式的技術(shù)。如果某信用卡賬戶(hù)的歷史賬款模式發(fā)生變化，則意味著交易可能是通過(guò)對(duì)該卡的欺詐性使用來(lái)完成的。C.防火墻是保護(hù)網(wǎng)絡(luò)和系統(tǒng)的卓越工具，但對(duì)檢測(cè)欺詐交易無(wú)效。D.數(shù)據(jù)包過(guò)濾路由器工作在網(wǎng)絡(luò)層，不能看到交易。A5-5以下哪項(xiàng)最能保證服務(wù)器操作系統(tǒng)的完整性？[單選題]*A.在安全的位置放置服務(wù)器。B.設(shè)置啟動(dòng)密碼。C.加固服務(wù)器配置。(正確答案)D.實(shí)施活動(dòng)日志。答案解析：A.在安全的位置放置服務(wù)器是一種良好實(shí)踐，但這不能確保用戶(hù)不會(huì)試圖利用邏輯漏洞來(lái)攻擊該操作系統(tǒng)（OS）。B.設(shè)置啟動(dòng)密碼是一種良好實(shí)踐，但這不能確保用戶(hù)不會(huì)試圖利用邏輯漏洞來(lái)攻擊該OS。C.加固系統(tǒng)是指以最安全的方式對(duì)系統(tǒng)進(jìn)行配置（安裝最新的安全修補(bǔ)程序，為用戶(hù)和管理員正確定義訪(fǎng)問(wèn)授權(quán)，禁用不安全的選項(xiàng)并卸載未使用的服務(wù)），防止非特許用戶(hù)獲得執(zhí)行特許指令的權(quán)限來(lái)控制整個(gè)機(jī)器，從而危及該OS的完整性。D.在此情況下，活動(dòng)日志有兩個(gè)弱點(diǎn)：一是活動(dòng)日志是一種檢測(cè)性控制（不是預(yù)防性控制），二是獲得特許訪(fǎng)問(wèn)權(quán)限的攻擊者可以修改日志或禁用日志。A5-6以下哪一網(wǎng)絡(luò)組件主要用作一種安全措施，防止在不同網(wǎng)段間進(jìn)行未授權(quán)的通信？[單選題]*A.防火墻。(正確答案)B.路由器。C.第2層交換機(jī)。D.虛擬局域網(wǎng)。答案解析：A.防火墻是組織防止網(wǎng)絡(luò)間未授權(quán)訪(fǎng)問(wèn)的主要工具。組織可以選擇部署一個(gè)或多個(gè)具有防火墻功能的系統(tǒng)。B.路由器可以根據(jù)參數(shù)（如源地址）過(guò)濾數(shù)據(jù)包，但它不是主要的安全工具。C.根據(jù)介質(zhì)訪(fǎng)問(wèn)控制地址，第2層交換機(jī)對(duì)通信進(jìn)行分離，但并不確定其是經(jīng)授權(quán)的通信還是未經(jīng)授權(quán)的通信。D.虛擬局域網(wǎng)是一些交換機(jī)的功能，該功能使得交換機(jī)可以控制不同端口間的通信，即使它們處于同一物理本地接入網(wǎng)中。然而，這些交換機(jī)并不能有效分辨通信是否經(jīng)授權(quán)。A5-7信息系統(tǒng)審計(jì)師發(fā)現(xiàn)組織的首席信息官（CIO）使用的是采用全球移動(dòng)通信系統(tǒng)（GSM）技術(shù)的無(wú)線(xiàn)寬帶調(diào)制解調(diào)器。當(dāng)出差在外時(shí)，CIO使用此調(diào)制解調(diào)器連接自己的便攜式計(jì)算機(jī)和公司的虛擬私有網(wǎng)絡(luò)。信息系統(tǒng)審計(jì)師應(yīng)：[單選題]*A.什么也不做，因?yàn)镚SM技術(shù)固有的安全功能已經(jīng)足夠了。(正確答案)B.建議CIO在啟用加密之前停止使用便攜式計(jì)算機(jī)。C.確保網(wǎng)絡(luò)上已啟用介質(zhì)訪(fǎng)問(wèn)控制（MAC）過(guò)濾，從而未經(jīng)授權(quán)的無(wú)線(xiàn)用戶(hù)無(wú)法連接。D.建議使用雙因素認(rèn)證進(jìn)行無(wú)線(xiàn)連接，以防止未經(jīng)授權(quán)的通信。答案解析：A.全球移動(dòng)通信系統(tǒng)（GSM）技術(shù)固有的安全功能結(jié)合虛擬私有網(wǎng)絡(luò)（VPN）的使用足以滿(mǎn)足安全要求。通過(guò)加密可確保GSM無(wú)線(xiàn)鏈路的通信保密性，而使用VPN表示在便攜式計(jì)算機(jī)和公司網(wǎng)絡(luò)之間建立加密會(huì)話(huà)。GSM是全球蜂窩通信標(biāo)準(zhǔn)，可用于語(yǔ)音和數(shù)據(jù)傳輸。目前部署的商用GSM技術(shù)具有多項(xiàng)重疊的安全功能，可防止竊聽(tīng)、會(huì)話(huà)劫持或未經(jīng)授權(quán)使用GSM運(yùn)營(yíng)商網(wǎng)絡(luò)。其他無(wú)線(xiàn)技術(shù)（如802.11無(wú)線(xiàn)局域網(wǎng)技術(shù)）設(shè)計(jì)為允許用戶(hù)調(diào)整甚至禁用安全設(shè)置，而GSM在激活和啟用所有相關(guān)安全功能之前不允許任何設(shè)備連接到系統(tǒng)。B.因?yàn)槭紫畔⒐伲–IO）在使用VPN，可以推定除GSM的安全特性外還開(kāi)啟了加密。此外，VPN不允許傳輸數(shù)據(jù)存儲(chǔ)在遠(yuǎn)程設(shè)備（如CIO的筆記本電腦）上。C.介質(zhì)訪(fǎng)問(wèn)控制（MAC）過(guò)濾可用于無(wú)線(xiàn)局域網(wǎng)，但不適用于GSM網(wǎng)絡(luò)設(shè)備。D.因?yàn)槭褂玫氖荊SM網(wǎng)絡(luò)而非無(wú)線(xiàn)局域網(wǎng)，所以無(wú)法對(duì)無(wú)線(xiàn)連接配置雙因素認(rèn)證。但是，建議使用雙因素認(rèn)證，因?yàn)樗梢员葐我蛩仳?yàn)證更好地防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)。A5-8以下哪一項(xiàng)是盡量降低未經(jīng)授權(quán)訪(fǎng)問(wèn)無(wú)人值守的最終用戶(hù)PC系統(tǒng)的最有效方法？[單選題]*A.強(qiáng)制使用密碼保護(hù)型屏幕保護(hù)程序。(正確答案)B.實(shí)施以接近感應(yīng)為基礎(chǔ)的身份認(rèn)證系統(tǒng)。C.按預(yù)定義間隔終止用戶(hù)會(huì)話(huà)。D.調(diào)整電源管理設(shè)置，以保證顯示屏是空白的。答案解析：A.具有合適時(shí)間間隔密碼保護(hù)的屏幕保護(hù)程序是防止未經(jīng)授權(quán)訪(fǎng)問(wèn)無(wú)人值守的最終用戶(hù)系統(tǒng)的最佳措施。務(wù)必保證用戶(hù)離開(kāi)機(jī)器時(shí)鎖定工作站，可以通過(guò)培訓(xùn)來(lái)達(dá)到這一目的。B.有各種解決方案可以在用戶(hù)離開(kāi)辦公室時(shí)鎖定機(jī)器，并且適合本情景；但這些解決方案較為昂貴，通常需要使用智能卡和額外的硬件。因此，使用密碼保護(hù)的屏幕保護(hù)程序是更好的解決方案。C.終止用戶(hù)會(huì)議通常用于遠(yuǎn)程登錄（定期重鑒權(quán)），或在Web服務(wù)器會(huì)話(huà)中無(wú)活動(dòng)達(dá)到一定時(shí)間的情形。離開(kāi)時(shí)不鎖定工作站的相關(guān)風(fēng)險(xiǎn)還有更多，因此這不是正確答案。D.關(guān)閉監(jiān)視器不是解決方法，因?yàn)橹恍枰蜷_(kāi)監(jiān)視器即可。A5-9實(shí)施以下哪一項(xiàng)可以最有效地防止未經(jīng)授權(quán)訪(fǎng)問(wèn)Web服務(wù)器系統(tǒng)管理賬戶(hù)？[單選題]*A.在服務(wù)器上安裝主機(jī)入侵檢測(cè)軟件。B.密碼到期和鎖定策略。C.密碼復(fù)雜性規(guī)則。D.雙因素認(rèn)證。(正確答案)答案解析：A.主機(jī)入侵檢測(cè)軟件可協(xié)助檢測(cè)未經(jīng)授權(quán)的系統(tǒng)訪(fǎng)問(wèn)，但不能防止此類(lèi)訪(fǎng)問(wèn)。B.雖然關(guān)于密碼到期和數(shù)次登錄失敗后鎖定的控制非常重要，但雙因素認(rèn)證方法或技術(shù)可最有效地減少憑證失竊或受損的風(fēng)險(xiǎn)。僅有密碼的身份認(rèn)證可能不提供足夠的安全性。C.雖然關(guān)于密碼復(fù)雜性的控制非常重要，但雙因素認(rèn)證方法或技術(shù)可最有效地減少竊取或危害登錄身份的風(fēng)險(xiǎn)。D.雙因素認(rèn)證通常要求用戶(hù)結(jié)合使用密碼和攻擊者無(wú)法輕易竊取或猜測(cè)的其他識(shí)別因素。雙因素認(rèn)證的類(lèi)型包括電子訪(fǎng)問(wèn)令牌（在顯示面板上顯示一次性密碼）或生物特征識(shí)別身份認(rèn)證系統(tǒng)。A5-10某公司的IT總監(jiān)已批準(zhǔn)在會(huì)議室中安裝無(wú)線(xiàn)局域網(wǎng)訪(fǎng)問(wèn)點(diǎn)，使顧問(wèn)團(tuán)隊(duì)可以通過(guò)便攜式計(jì)算機(jī)訪(fǎng)問(wèn)互聯(lián)網(wǎng)。防止未經(jīng)授權(quán)訪(fǎng)問(wèn)公司服務(wù)器的最佳控制是要確保：[單選題]*A.在訪(fǎng)問(wèn)點(diǎn)上啟用加密。B.會(huì)議室網(wǎng)絡(luò)位于獨(dú)立的虛擬局域網(wǎng)（VLAN）上。(正確答案)C.顧問(wèn)的便攜式計(jì)算機(jī)中的防病毒簽名和補(bǔ)丁級(jí)別是最新的。D.在公司服務(wù)器上禁用默認(rèn)的用戶(hù)ID并設(shè)置強(qiáng)密碼。答案解析：A.啟用加密是防止未授權(quán)網(wǎng)絡(luò)訪(fǎng)問(wèn)的一個(gè)好主意，但最重要的是將顧問(wèn)隔離于公司的其他網(wǎng)絡(luò)。B.安裝無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備帶來(lái)了授權(quán)用戶(hù)和未授權(quán)用戶(hù)訪(fǎng)問(wèn)公司服務(wù)器的風(fēng)險(xiǎn)。單獨(dú)的虛擬局域網(wǎng)是最佳解決方案，因?yàn)檫@樣可確保防止授權(quán)用戶(hù)和未授權(quán)用戶(hù)獲得數(shù)據(jù)庫(kù)服務(wù)器的網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)，同時(shí)允許授權(quán)用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)。C.防病毒簽名和修補(bǔ)程序級(jí)別是一種良好實(shí)踐，但不如通過(guò)訪(fǎng)問(wèn)控制防止未授權(quán)用戶(hù)訪(fǎng)問(wèn)公司服務(wù)器重要。D.通過(guò)強(qiáng)密碼保護(hù)組織的服務(wù)器是良好實(shí)踐，但仍有必要隔離顧問(wèn)使用的網(wǎng)絡(luò)。如果顧問(wèn)能夠訪(fǎng)問(wèn)其他網(wǎng)絡(luò)，他們就可以對(duì)公司其他計(jì)算機(jī)使用密碼破解工具。A5-11信息系統(tǒng)審計(jì)師正在審查某組織的人力資源（HR）數(shù)據(jù)庫(kù)的實(shí)施情況。信息系統(tǒng)審計(jì)師發(fā)現(xiàn)：為獲得高可用性而群集數(shù)據(jù)庫(kù)服務(wù)器，所有默認(rèn)數(shù)據(jù)庫(kù)賬戶(hù)已刪除，并且已保留數(shù)據(jù)庫(kù)審計(jì)日志，每周審查一次。為確保數(shù)據(jù)庫(kù)的安全，信息系統(tǒng)審計(jì)師還應(yīng)檢查哪些其他領(lǐng)域？[單選題]*A.限制數(shù)據(jù)庫(kù)管理員訪(fǎng)問(wèn)HR數(shù)據(jù)。B.數(shù)據(jù)庫(kù)日志經(jīng)過(guò)加密。C.數(shù)據(jù)庫(kù)存儲(chǔ)的程序經(jīng)過(guò)加密。D.數(shù)據(jù)庫(kù)初始化參數(shù)適當(dāng)。(正確答案)答案解析：A.數(shù)據(jù)庫(kù)管理員有權(quán)訪(fǎng)問(wèn)服務(wù)器上的所有數(shù)據(jù)，但沒(méi)有防止這樣做的實(shí)際控制，所以這不值得關(guān)注。B.數(shù)據(jù)庫(kù)審計(jì)日志通常不包含任何保密數(shù)據(jù)，因此不需要加密日志文件。C.如果存儲(chǔ)的程序包含加密數(shù)據(jù)之類(lèi)的安全敏感性功能，則要求對(duì)存儲(chǔ)的程序進(jìn)行加密。但這不如確保初始化參數(shù)正確重要。D.打開(kāi)一個(gè)數(shù)據(jù)庫(kù)時(shí)，其許多配置選項(xiàng)都是通過(guò)初始化參數(shù)進(jìn)行管理的。這些參數(shù)通常由包含許多設(shè)置的文件（在Oracle數(shù)據(jù)庫(kù)管理系統(tǒng)中，文件名為〝init.ora〝）控制。系統(tǒng)初始化參數(shù)處理許多“全局”的數(shù)據(jù)庫(kù)設(shè)置，包括身份認(rèn)證、遠(yuǎn)程訪(fǎng)問(wèn)和其他重要安全領(lǐng)域。為了有效審計(jì)數(shù)據(jù)庫(kù)的實(shí)施，信息系統(tǒng)審計(jì)師必須檢查數(shù)據(jù)庫(kù)初始化參數(shù)。A5-12信息系統(tǒng)審計(jì)師被管理層要求審查一項(xiàng)可能是欺詐的交易。信息系統(tǒng)審計(jì)師在評(píng)估交易時(shí)的首要關(guān)注點(diǎn)應(yīng)為：[單選題]*A.在評(píng)估交易時(shí)，保持公正客觀(guān)。B.確保信息系統(tǒng)審計(jì)師的獨(dú)立性。C.保證數(shù)據(jù)的完整性。(正確答案)D.評(píng)估交易的所有相關(guān)證據(jù)。答案解析：A.盡管信息系統(tǒng)審計(jì)師保持公正客觀(guān)非常重要，但在這一案例中，更重要的是保護(hù)證據(jù)。B.盡管信息系統(tǒng)審計(jì)師保持公正客觀(guān)和獨(dú)立性非常重要，但在這一案例中，更重要的是保護(hù)證據(jù)。C.信息系統(tǒng)審計(jì)師已被要求執(zhí)行調(diào)查，尋找可能用于法律目的的證據(jù)，因此，保持證據(jù)的完整性應(yīng)是最重要的目標(biāo)。倘若計(jì)算機(jī)證據(jù)處理不當(dāng)，法庭會(huì)判定為不可接受。D.盡管評(píng)估所有相關(guān)證據(jù)也很重要，但更重要的是，維護(hù)保證證據(jù)完整性的監(jiān)管鏈。A5-13在某大型且復(fù)雜的組織中設(shè)計(jì)了一個(gè)新業(yè)務(wù)應(yīng)用程序，并且業(yè)務(wù)主管要求基于“按需知密”原則查看各種報(bào)告。在以下訪(fǎng)問(wèn)控制方法中，哪項(xiàng)是實(shí)現(xiàn)該要求的最佳方法？[單選題]*A.強(qiáng)制訪(fǎng)問(wèn)控制。B.基于角色的訪(fǎng)問(wèn)控制。(正確答案)C.自主訪(fǎng)問(wèn)控制。D.單點(diǎn)登錄。答案解析：A.基于強(qiáng)制訪(fǎng)問(wèn)控制的訪(fǎng)問(wèn)控制系統(tǒng)很昂貴，且在大型復(fù)雜的組織中難以實(shí)施和維護(hù)。B.基于角色的訪(fǎng)問(wèn)控制根據(jù)崗位角色和職責(zé)限制訪(fǎng)問(wèn)，是只讓被授權(quán)用戶(hù)按需查看報(bào)告的最佳方法。C.自主訪(fǎng)問(wèn)控制（DAC）是由資源的所有人來(lái)決定誰(shuí)可以訪(fǎng)問(wèn)其資源。多數(shù)訪(fǎng)問(wèn)控制系統(tǒng)都是DAC。該答案對(duì)于本情景不太具體。D.單點(diǎn)登錄是用于管理多個(gè)系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序的一種訪(fǎng)問(wèn)控制技術(shù)。該答案對(duì)于本題目不太具體。A5-14以下哪一項(xiàng)是防止組織中未經(jīng)授權(quán)人員刪除審計(jì)日志的最佳控制手段？[單選題]*A.應(yīng)當(dāng)在單獨(dú)的日志中跟蹤對(duì)日志文件執(zhí)行的操作。B.禁用對(duì)審計(jì)日志的寫(xiě)訪(fǎng)問(wèn)權(quán)限。C.只有指定人員有權(quán)查看或刪除審計(jì)日志。(正確答案)D.定期執(zhí)行審計(jì)日志備份。答案解析：A.有更多的日志文件副本并不能防止原始日志文件被刪除。B.為了讓服務(wù)器和應(yīng)用程序正常運(yùn)行，寫(xiě)訪(fǎng)問(wèn)必須禁用。C.審計(jì)日志的訪(fǎng)問(wèn)權(quán)限僅授予系統(tǒng)管理員和安全管理員可減少刪除這些文件的可能性。D.頻繁備份審計(jì)日志并不能防止日志被刪除。A5-15某公司正實(shí)施動(dòng)態(tài)主機(jī)配置協(xié)議。出現(xiàn)以下哪種情況時(shí)最需要給予關(guān)注？[單選題]*A.大多數(shù)員工使用便攜式計(jì)算機(jī)。B.使用數(shù)據(jù)包過(guò)濾防火墻。C.IP地址空間小于PC數(shù)量。D.未對(duì)訪(fǎng)問(wèn)網(wǎng)絡(luò)端口的操作進(jìn)行限制。(正確答案)答案解析：A.動(dòng)態(tài)主機(jī)配置協(xié)議給便攜式計(jì)算機(jī)用戶(hù)提供了方便（一種優(yōu)勢(shì)）。B.防火墻的存在可作為一種安全措施，通常不會(huì)引起關(guān)注。C.有限數(shù)量的IP地址可以通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換或通過(guò)增加分配給特定子網(wǎng)的IP地址數(shù)量來(lái)解決。D.如果對(duì)某端口進(jìn)行了物理訪(fǎng)問(wèn)，則任何人都可連接到內(nèi)部網(wǎng)絡(luò)。這樣未獲授權(quán)的個(gè)人便可連接到公司網(wǎng)絡(luò)。A5-16要確保數(shù)據(jù)庫(kù)管理員（DBA）遵守企業(yè)數(shù)據(jù)管理的職務(wù)要求，以下哪項(xiàng)是有效的預(yù)防性控制？[單選題]*A.異常報(bào)告。B.職責(zé)分離。(正確答案)C.審查訪(fǎng)問(wèn)日志和活動(dòng)。D.管理部門(mén)監(jiān)督。答案解析：A.異常報(bào)告屬于檢測(cè)性控制，用于指示何時(shí)在無(wú)授權(quán)的情況下執(zhí)行數(shù)據(jù)庫(kù)管理員（DBA）活動(dòng)。B.適當(dāng)?shù)穆氊?zé)分離（SoD）是一種預(yù)防性控制，可以將DBA的活動(dòng)限制為由數(shù)據(jù)所有者授權(quán)的活動(dòng)。SoD可通過(guò)要求一個(gè)以上的人參與完成任務(wù)，以限制DBA所能進(jìn)行的活動(dòng)。C.審查訪(fǎng)問(wèn)日志是為了檢測(cè)DBA進(jìn)行的活動(dòng)。D.管理部門(mén)監(jiān)督DBA活動(dòng)是為了檢測(cè)哪些DBA活動(dòng)未獲得授權(quán)。A5-17某職員收到一個(gè)禮物是數(shù)碼相框，他將相框連接到自己的工作PC上試圖傳輸數(shù)碼照片。這種情況可能引入的主要風(fēng)險(xiǎn)是：[單選題]*A.可能利用相框存儲(chǔ)介質(zhì)竊取企業(yè)數(shù)據(jù)。B.相框的驅(qū)動(dòng)程序可能與用戶(hù)PC不兼容并造成用戶(hù)PC崩潰。C.該職員可能把不適當(dāng)?shù)恼掌瑤нM(jìn)辦公室。D.相框可能被惡意軟件感染。(正確答案)答案解析：A.雖然任何存儲(chǔ)設(shè)備都可用于竊取數(shù)據(jù)，但惡意軟件可對(duì)企業(yè)造成廣泛而嚴(yán)重的損害，這是更大風(fēng)險(xiǎn)。B.雖然設(shè)備的驅(qū)動(dòng)程序可能不兼容并造成用戶(hù)PC崩潰，但惡意軟件可對(duì)企業(yè)造成廣泛而嚴(yán)重的損害。C.雖然可能有不適當(dāng)?shù)膬?nèi)容，但惡意軟件可對(duì)企業(yè)造成廣泛而嚴(yán)重的損害。D.任何存儲(chǔ)設(shè)備都可能是向其他計(jì)算機(jī)傳染惡意軟件的工具。已在數(shù)個(gè)事例中發(fā)現(xiàn)一些設(shè)備在生產(chǎn)過(guò)程中在工廠(chǎng)內(nèi)被感染，所以應(yīng)有控制措施禁止員工將任何存儲(chǔ)媒體連接到公司電腦。A5-18組織發(fā)現(xiàn)首席財(cái)務(wù)官的計(jì)算機(jī)已感染惡意軟件，包括按鍵記錄器和惡意程序工具包（rootkit）。首先采取的措施應(yīng)為：[單選題]*A.聯(lián)系相應(yīng)的執(zhí)法部門(mén)開(kāi)始調(diào)查。B.立即確保不會(huì)危害其他數(shù)據(jù)。C.斷開(kāi)PC與網(wǎng)絡(luò)的連接。(正確答案)D.更新PC上的防病毒簽名，確保已檢測(cè)到并刪除惡意軟件或病毒。答案解析：A.雖然可能需要聯(lián)系執(zhí)法部門(mén)，但第一步應(yīng)通過(guò)斷開(kāi)計(jì)算機(jī)與網(wǎng)絡(luò)的連接停止數(shù)據(jù)流動(dòng)。B.第一步是斷開(kāi)與網(wǎng)絡(luò)的連接，從而確保不會(huì)損害其他數(shù)據(jù)。然后使用適當(dāng)?shù)娜∽C技術(shù)獲取存放在臨時(shí)文件、網(wǎng)絡(luò)連接信息、加載到內(nèi)存的程序和計(jì)算機(jī)上的其他信息。C.最重要的任務(wù)是通過(guò)斷開(kāi)計(jì)算機(jī)與網(wǎng)絡(luò)的連接，以防止進(jìn)一步的數(shù)據(jù)危害和保留證據(jù)。D.將計(jì)算機(jī)保持在最佳取證狀態(tài)，除了將其斷開(kāi)網(wǎng)絡(luò)連接，不要做任何變更。如果切斷PC電源或更新PC上的軟件會(huì)銷(xiāo)毀證據(jù)。存儲(chǔ)于臨時(shí)文件中的信息、網(wǎng)絡(luò)連接信息、加載到內(nèi)存中的程序以及其他信息可能丟失。A5-19信息系統(tǒng)審計(jì)師正在審查以前醫(yī)院信息系統(tǒng)審計(jì)發(fā)現(xiàn)的問(wèn)題。其中一個(gè)問(wèn)題指出醫(yī)院使用電子郵件來(lái)溝通敏感的患者問(wèn)題。信息技術(shù)經(jīng)理指出，為了解決此問(wèn)題，醫(yī)院已對(duì)所有電子郵件用戶(hù)實(shí)施了數(shù)字簽名。信息系統(tǒng)審計(jì)師的響應(yīng)應(yīng)是什么？[單選題]*A.數(shù)字簽名不足以保護(hù)機(jī)密性。(正確答案)B.數(shù)字簽名足夠保護(hù)機(jī)密性。C.信息系統(tǒng)審計(jì)師應(yīng)收集有關(guān)特定實(shí)施情況的更多信息。D.信息系統(tǒng)審計(jì)師應(yīng)建議為安全電子郵件實(shí)施數(shù)字水印。答案解析：A.數(shù)字簽名旨在為電子郵件和其他傳輸提供身份認(rèn)證和不可否認(rèn)性，但不足以保護(hù)機(jī)密性。此實(shí)施不足以解決上一年度發(fā)現(xiàn)的問(wèn)題。B.數(shù)字簽名不加密消息內(nèi)容，這意味著截獲消息的攻擊者可閱讀消息（因?yàn)閿?shù)據(jù)是明文）。C.雖然在得出關(guān)于發(fā)現(xiàn)問(wèn)題的結(jié)論之前收集更多信息始終是好步驟，但在本例中，實(shí)施的解決方法不提供機(jī)密性。D.數(shù)字水印用于保護(hù)文檔的知識(shí)產(chǎn)權(quán)，而不是用于保護(hù)電子郵件的機(jī)密性。A5-20以下哪一線(xiàn)路介質(zhì)可為電信網(wǎng)絡(luò)提供最佳安全性？[單選題]*A.數(shù)字傳輸寬帶網(wǎng)絡(luò)。B.基帶網(wǎng)絡(luò)。C.撥號(hào)。D.專(zhuān)用線(xiàn)路。(正確答案)答案解析：A.寬帶通信的安全使用取決于該網(wǎng)絡(luò)是否與其他人共享、數(shù)據(jù)是否加密和網(wǎng)絡(luò)是否中斷的風(fēng)險(xiǎn)。B.基帶網(wǎng)絡(luò)是一種通常與許多其他用戶(hù)共享并要求流量加密的網(wǎng)絡(luò)，但攻擊者仍然可以進(jìn)行某些流量分析。C.撥號(hào)線(xiàn)路因?yàn)槭撬接羞B接，所以相當(dāng)安全，但因太慢而不會(huì)被當(dāng)今的大多數(shù)商業(yè)應(yīng)用考慮。D.專(zhuān)用線(xiàn)路供特殊用戶(hù)或組織使用。由于沒(méi)有共享線(xiàn)路或中間進(jìn)入點(diǎn)，所以攔截或中斷電信消息的風(fēng)險(xiǎn)相對(duì)較低。A5-21為確保組織遵守隱私要求，信息系統(tǒng)審計(jì)師首先應(yīng)審查：[單選題]*A.IT基礎(chǔ)設(shè)施。B.組織的政策、標(biāo)準(zhǔn)和流程。C.法規(guī)要求。(正確答案)D.對(duì)組織政策、標(biāo)準(zhǔn)和流程的遵守情況。答案解析：A.為遵守要求，信息系統(tǒng)審計(jì)師必須首先知道有哪些要求。每個(gè)司法管轄區(qū)的要求都不相同。IT基礎(chǔ)設(shè)施與要求的實(shí)施相關(guān)。B.組織的政策應(yīng)遵守法律要求，應(yīng)在核對(duì)法律要求后對(duì)其合規(guī)情況進(jìn)行檢查。C.為確保組織遵守隱私問(wèn)題，信息系統(tǒng)審計(jì)師首先審查法律法規(guī)要求。要符合法律法規(guī)要求，組織必須采用合適的基礎(chǔ)架構(gòu)。了解法律法規(guī)要求后，信息系統(tǒng)審計(jì)師應(yīng)對(duì)組織的政策、標(biāo)準(zhǔn)和流程進(jìn)行評(píng)估，以確定其完全滿(mǎn)足隱私要求，然后再審查對(duì)這些具體政策、標(biāo)準(zhǔn)和流程的遵守情況。D.信息系統(tǒng)審計(jì)師只有確信政策、標(biāo)準(zhǔn)和流程符合法律要求后，才可檢查其合規(guī)性。A5-22某人力資源公司在使用通用用戶(hù)ID和密碼進(jìn)行身份認(rèn)證后，為其訪(fǎng)客提供無(wú)線(xiàn)互聯(lián)網(wǎng)訪(fǎng)問(wèn)。通用ID和密碼可從接待處申請(qǐng)。以下哪項(xiàng)控制措施能最好地解決此問(wèn)題？[單選題]*A.每周更改一次無(wú)線(xiàn)網(wǎng)絡(luò)的密碼。B.在公共無(wú)線(xiàn)網(wǎng)絡(luò)和公司網(wǎng)絡(luò)之間使用狀態(tài)檢測(cè)防火墻。C.將公共無(wú)線(xiàn)網(wǎng)絡(luò)與公司網(wǎng)絡(luò)物理隔開(kāi)。(正確答案)D.在無(wú)線(xiàn)網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)。答案解析：A.更改無(wú)線(xiàn)網(wǎng)絡(luò)的密碼不能防止未經(jīng)授權(quán)訪(fǎng)問(wèn)公司網(wǎng)絡(luò)，特別是在每周一次的密碼變更間隔之前訪(fǎng)客可隨時(shí)訪(fǎng)問(wèn)無(wú)線(xiàn)局域網(wǎng)。B.狀態(tài)檢測(cè)防火墻將甄別從無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)入公司網(wǎng)絡(luò)的所有數(shù)據(jù)包，但需要審計(jì)防火墻的配置，有可能產(chǎn)生防火墻泄露（雖然不太常見(jiàn)）。C.將無(wú)線(xiàn)網(wǎng)絡(luò)與公司網(wǎng)絡(luò)物理隔離是保護(hù)公司網(wǎng)絡(luò)免受入侵的最佳方法。D.入侵檢測(cè)系統(tǒng)將檢測(cè)入侵，但不阻止未經(jīng)授權(quán)個(gè)人訪(fǎng)問(wèn)網(wǎng)絡(luò)。A5-23審查局域網(wǎng)的實(shí)施時(shí)，信息系統(tǒng)審計(jì)師應(yīng)首先審查：[單選題]*A.節(jié)點(diǎn)列表。B.驗(yàn)收測(cè)試報(bào)告。C.網(wǎng)絡(luò)圖。(正確答案)D.用戶(hù)列表。答案解析：A.從節(jié)點(diǎn)列表驗(yàn)證節(jié)點(diǎn)是在網(wǎng)絡(luò)圖審查之后。B.審查驗(yàn)收測(cè)試報(bào)告是在從節(jié)點(diǎn)列表驗(yàn)證節(jié)點(diǎn)之后。C.為正確審查局域網(wǎng)的實(shí)施，信息系統(tǒng)審計(jì)師首先應(yīng)驗(yàn)證網(wǎng)絡(luò)圖以識(shí)別風(fēng)險(xiǎn)或單點(diǎn)故障。D.用戶(hù)列表是在驗(yàn)收測(cè)試報(bào)告之后審查。A5-24信息系統(tǒng)審計(jì)師發(fā)現(xiàn)業(yè)務(wù)用戶(hù)的密碼控制配置設(shè)置得比IT開(kāi)發(fā)人員更嚴(yán)格。信息系統(tǒng)審計(jì)師最應(yīng)采取以下哪項(xiàng)行動(dòng)？[單選題]*A.確定是否違反政策并進(jìn)行記錄。(正確答案)B.記錄觀(guān)察到的異常情況。C.建議全部使用相同的密碼配置設(shè)置。D.建議定期審查IT開(kāi)發(fā)人員訪(fǎng)問(wèn)日志。答案解析：A.如果政策記錄了不同流程的目的并已審批，那么信息系統(tǒng)審計(jì)師只需要記錄關(guān)于觀(guān)察和測(cè)試是否遵守流程的信息。B.如果流程遵守了批準(zhǔn)的政策，則這種情況不算異常。C.采用不同設(shè)置有充分的理由，因此，在研究公司政策和流程之前，審計(jì)師通常不會(huì)建議做出變更。D.盡管審查日志可能是不錯(cuò)的補(bǔ)償性控制，但確定政策是否得到遵守是更為重要的行動(dòng)步驟。A5-25某組織正在開(kāi)發(fā)基于Web的新應(yīng)用程序來(lái)處理客戶(hù)訂單。應(yīng)實(shí)施以下哪項(xiàng)安全措施來(lái)保護(hù)此應(yīng)用程序不受黑客攻擊？[單選題]*A.確保在防火墻處封鎖端口80和443。B.檢查所有服務(wù)器上的文件和訪(fǎng)問(wèn)權(quán)限，以確保所有文件都具有只讀訪(fǎng)問(wèn)權(quán)限。C.執(zhí)行Web應(yīng)用程序安全審查。(正確答案)D.確保僅現(xiàn)有客戶(hù)的IP地址能夠通過(guò)防火墻。答案解析：A.Web應(yīng)用程序必須在端口80打開(kāi)的情況下運(yùn)行，而安全超文本傳輸協(xié)議只有在端口443打開(kāi)時(shí)才會(huì)起作用。B.為了存放客戶(hù)訂單，必須在服務(wù)器中保存一些數(shù)據(jù)，而只讀服務(wù)器上無(wú)法存放客戶(hù)訂單。C.執(zhí)行Web應(yīng)用程序安全審查是必要的，能發(fā)現(xiàn)可能被黑客利用的安全漏洞。D.限制IP地址可能適用于某些類(lèi)型的Web應(yīng)用程序，但并不是最佳解決方案，因?yàn)榘凑誅的做法，新客戶(hù)只有在防火墻改變規(guī)則允許其進(jìn)行連接時(shí)才能下訂單。A5-26以下哪種滲透測(cè)試可以模擬真實(shí)攻擊并可用于測(cè)試目標(biāo)的事故處理和響應(yīng)能力？[單選題]*A.盲測(cè)。B.針對(duì)性測(cè)試。C.雙盲測(cè)試。(正確答案)D.外部測(cè)試。答案解析：A.盲測(cè)也稱(chēng)黑箱測(cè)試。指測(cè)試中不向滲透測(cè)試人員透漏任何信息，并迫使其依靠公開(kāi)信息。此測(cè)試將模擬真實(shí)攻擊，但目標(biāo)組織知道這是在進(jìn)行測(cè)試。B.針對(duì)性測(cè)試也稱(chēng)為白箱測(cè)試。指測(cè)試中向滲透測(cè)試者提供信息，并且目標(biāo)組織也知道在進(jìn)行測(cè)試活動(dòng)。在某些情況下，還會(huì)向測(cè)試人員提供一個(gè)權(quán)利受限的賬戶(hù)作為操作起點(diǎn)。C.雙盲測(cè)試也稱(chēng)為零知識(shí)測(cè)試。指測(cè)試中不向滲透測(cè)試人員透漏任何信息，也不向目標(biāo)組織發(fā)出任何警告，雙方都對(duì)測(cè)試“一無(wú)所知”。這是測(cè)試響應(yīng)能力的最佳方案，因?yàn)槟繕?biāo)會(huì)像受到真實(shí)攻擊一樣做出反應(yīng)。D.外部測(cè)試指滲透測(cè)試人員嘗試從目標(biāo)網(wǎng)絡(luò)外部（通常是互聯(lián)網(wǎng)）向目標(biāo)網(wǎng)絡(luò)外圍發(fā)起攻擊。A5-27某組織請(qǐng)求信息系統(tǒng)審計(jì)師提出建議來(lái)幫助其提高網(wǎng)絡(luò)電話(huà)（VoIP）系統(tǒng)及數(shù)據(jù)通信的安全性和可靠性。以下哪項(xiàng)措施能實(shí)現(xiàn)這一目標(biāo)？[單選題]*A.使用虛擬局域網(wǎng)對(duì)VoIP基礎(chǔ)設(shè)施進(jìn)行劃分。(正確答案)B.在VoIP終端設(shè)置緩沖區(qū)。C.確保在VoIP系統(tǒng)中實(shí)現(xiàn)端到端加密。D.確保VoIP基礎(chǔ)設(shè)施中各部分均可使用應(yīng)急備用電源。答案解析：A.使用虛擬局域網(wǎng)（VLAN）對(duì)網(wǎng)絡(luò)電話(huà)（VoIP）通信進(jìn)行劃分能有效保護(hù)VoIP基礎(chǔ)設(shè)施免受基于網(wǎng)絡(luò)的攻擊、潛在竊聽(tīng)和網(wǎng)絡(luò)通信問(wèn)題（有助于確保正常運(yùn)行時(shí)間）。B.在VoIP終端使用數(shù)據(jù)包緩沖區(qū)是保持呼叫質(zhì)量的方法而不是安全手段。C.如果假設(shè)建筑的物理安全性以及以太網(wǎng)交換機(jī)和VLAN的安全性都足夠充分，則僅在使用互聯(lián)網(wǎng)（而不是本地LAN）傳送VoIP呼叫時(shí)才需要加密。D.與確保所有設(shè)備都受應(yīng)急電源保護(hù)相比，網(wǎng)絡(luò)設(shè)計(jì)和VLAN的正確實(shí)施更重要。A5-28在審查入侵檢測(cè)日志時(shí)，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)了一些來(lái)自互聯(lián)網(wǎng)的通信，其IP地址顯示為公司工資服務(wù)器。以下哪項(xiàng)惡意活動(dòng)最可能導(dǎo)致這類(lèi)結(jié)果？[單選題]*A.拒絕服務(wù)攻擊。B.冒充。(正確答案)C.端口掃描。D.中間人攻擊。答案解析：A.拒絕服務(wù)攻擊旨在限制資源的可用性，其特點(diǎn)是有大量需要獲得資源（通常為網(wǎng)站）響應(yīng)的請(qǐng)求。這會(huì)使目標(biāo)花費(fèi)大量資源響應(yīng)攻擊請(qǐng)求，而無(wú)暇顧及合法請(qǐng)求。此種攻擊通常發(fā)起于受害計(jì)算機(jī)網(wǎng)絡(luò)（僵尸網(wǎng)絡(luò)），并可能從多臺(tái)計(jì)算機(jī)同時(shí)襲擊。B.冒充是一種模仿形式，指一臺(tái)計(jì)算機(jī)企圖使用另一臺(tái)計(jì)算機(jī)的身份。當(dāng)來(lái)自外部網(wǎng)絡(luò)的攻擊使用內(nèi)部網(wǎng)絡(luò)地址時(shí)，攻擊者最有可能通過(guò)偽裝（或冒充）工資服務(wù)器的內(nèi)部網(wǎng)絡(luò)地址來(lái)繞開(kāi)防火墻和其他網(wǎng)絡(luò)安全控制。攻擊者可通過(guò)偽裝成工資服務(wù)器來(lái)訪(fǎng)問(wèn)敏感的內(nèi)部資源。C.端口掃描是一種偵查技術(shù)，可在發(fā)起更猛烈的攻擊之前，收集有關(guān)攻擊目標(biāo)的信息。端口掃描可用來(lái)確定工資服務(wù)器的內(nèi)部地址，但通常不會(huì)創(chuàng)建一個(gè)日志條目指明來(lái)自?xún)?nèi)部服務(wù)器地址的外部通信。D.中間人攻擊是一種主動(dòng)竊聽(tīng)，其中攻擊者會(huì)攔截雙方計(jì)算機(jī)化的對(duì)話(huà)，然后向雙方轉(zhuǎn)播相應(yīng)的數(shù)據(jù)使對(duì)話(huà)繼續(xù)，同時(shí)監(jiān)控經(jīng)過(guò)攻擊者通道的數(shù)據(jù)。此類(lèi)攻擊不會(huì)注冊(cè)為來(lái)自工資服務(wù)器，它可能旨在劫持工作站和工資服務(wù)器之間的已授權(quán)連接。A5-29一位信息系統(tǒng)審計(jì)師正在審查某組織的信息安全政策，該政策要求對(duì)所有保存在通用串行總線(xiàn)（USB）驅(qū)動(dòng)器上的數(shù)據(jù)進(jìn)行加密。政策還要求使用一種特定的加密算法。以下哪種算法可以為USB驅(qū)動(dòng)器上的數(shù)據(jù)在防止未經(jīng)授權(quán)的數(shù)據(jù)泄露方面提供最安全的保障？[單選題]*A.數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）。B.消息摘要5（MD5）。C.高級(jí)加密標(biāo)準(zhǔn)（AES）。(正確答案)D.安全殼（SSH）。答案解析：A.數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）容易受到窮舉攻擊并被公開(kāi)破解，因此使用DES加密數(shù)據(jù)不能保證數(shù)據(jù)免遭未經(jīng)授權(quán)的泄露。B.消息摘要5（MD5）這一算法可用于生成數(shù)據(jù)的單向哈希（某一固定長(zhǎng)度值），來(lái)測(cè)試和驗(yàn)證數(shù)據(jù)的完整性。MD5不能對(duì)數(shù)據(jù)進(jìn)行加密，但會(huì)使數(shù)據(jù)歷經(jīng)一個(gè)不可逆轉(zhuǎn)的數(shù)學(xué)過(guò)程。因此MD5不能用來(lái)加密通用串行總線(xiàn)（USB）驅(qū)動(dòng)器上的數(shù)據(jù)。C.高級(jí)加密標(biāo)準(zhǔn)（AES）的加密性最強(qiáng)，并能為數(shù)據(jù)提供最好的保護(hù)。通常認(rèn)為，恢復(fù)被AES加密的數(shù)據(jù)是不可行的，因此AES是加密敏感數(shù)據(jù)的最佳選擇。D.安全殼（SSH）協(xié)議可用來(lái)建立安全的、加密的命令行殼會(huì)話(huà)，通常用于遠(yuǎn)程登錄。盡管SSH可以加密會(huì)話(huà)期間傳輸?shù)臄?shù)據(jù)，但不能加密靜態(tài)數(shù)據(jù)，包括USB驅(qū)動(dòng)器上的數(shù)據(jù)。因此SSH不適于此種情況。A5-30一位信息系統(tǒng)審計(jì)師在為某全球性組織執(zhí)行信息系統(tǒng)審計(jì)時(shí)發(fā)現(xiàn)，該組織將經(jīng)由互聯(lián)網(wǎng)的網(wǎng)絡(luò)電話(huà)（VoIP）作為各辦事處之間語(yǔ)音連接的唯一手段。以下哪項(xiàng)是該組織VoIP基礎(chǔ)設(shè)施中存在的最大風(fēng)險(xiǎn)？[單選題]*A.網(wǎng)絡(luò)設(shè)備故障。B.分布式拒絕服務(wù)攻擊。(正確答案)C.優(yōu)惠率欺騙（資費(fèi)欺騙）。D.社會(huì)工程攻擊。答案解析：A.網(wǎng)絡(luò)電話(huà)的使用不會(huì)帶來(lái)與設(shè)備故障有關(guān)的任何特有風(fēng)險(xiǎn)，且可通過(guò)冗余來(lái)解決網(wǎng)絡(luò)故障的問(wèn)題。B.分布式拒絕服務(wù)（DDoS）攻擊有可能中斷該組織辦事處之間的通信，并帶來(lái)最大的影響。在傳統(tǒng)的語(yǔ)音網(wǎng)絡(luò)中，DDoS攻擊只影響數(shù)據(jù)網(wǎng)，不影響語(yǔ)音通信。C.資費(fèi)欺騙是指有人破壞電話(huà)系統(tǒng)并進(jìn)行未經(jīng)授權(quán)的長(zhǎng)途呼叫。雖然資費(fèi)欺騙會(huì)花費(fèi)企業(yè)資金，但服務(wù)中斷是更嚴(yán)重的風(fēng)險(xiǎn)。D.社會(huì)工程通過(guò)收集敏感信息來(lái)發(fā)起攻擊，可以作用于任何類(lèi)型的電話(huà)通信。A5-31在組織中，以下哪一項(xiàng)能最有效地限制訪(fǎng)問(wèn)未授權(quán)的互聯(lián)網(wǎng)站點(diǎn)？[單選題]*A.通過(guò)內(nèi)容過(guò)濾代理服務(wù)器路由出站互聯(lián)網(wǎng)流量。(正確答案)B.通過(guò)反向代理服務(wù)器路由入站互聯(lián)網(wǎng)流量。C.實(shí)施具有合適訪(fǎng)問(wèn)規(guī)則的防火墻。D.部署客戶(hù)端軟件實(shí)用工具，阻止不當(dāng)內(nèi)容。答案解析：A.內(nèi)容過(guò)濾代理服務(wù)器能有效地監(jiān)控用戶(hù)對(duì)互聯(lián)網(wǎng)站點(diǎn)的訪(fǎng)問(wèn)并阻止其訪(fǎng)問(wèn)未經(jīng)授權(quán)的網(wǎng)站。B.當(dāng)客戶(hù)端Web瀏覽器向互聯(lián)網(wǎng)站點(diǎn)提出請(qǐng)求時(shí)，這些請(qǐng)求會(huì)從公司網(wǎng)絡(luò)出站。反向代理服務(wù)器可用于實(shí)現(xiàn)企業(yè)站點(diǎn)的安全遠(yuǎn)程連接，但不能控制員工的Web訪(fǎng)問(wèn)。C.防火墻用于阻止未授權(quán)的入站和出站網(wǎng)絡(luò)流量。有些防火墻可用于阻擋或允許對(duì)特定站點(diǎn)的訪(fǎng)問(wèn)，但防火墻是個(gè)通用詞匯，有許多種防火墻。它不是本題的最佳答案。D.雖然客戶(hù)端軟件實(shí)用工具可用于阻止不當(dāng)內(nèi)容，但與在大量PC上安裝和維護(hù)額外的軟件相比，通過(guò)單一集中的代理服務(wù)器控制訪(fǎng)問(wèn)更加有效。A5-32某內(nèi)部審計(jì)職能部門(mén)正在審查為某個(gè)Web應(yīng)用程序內(nèi)部開(kāi)發(fā)的通用網(wǎng)關(guān)接口腳本程序。信息系統(tǒng)審計(jì)師發(fā)現(xiàn)，該腳本程序未經(jīng)過(guò)質(zhì)量控制職能部門(mén)審查和測(cè)試。以下哪種風(fēng)險(xiǎn)最值得關(guān)注？[單選題]*A.系統(tǒng)不可用。B.暴露于惡意軟件威脅中。C.未經(jīng)授權(quán)的訪(fǎng)問(wèn)。(正確答案)D.系統(tǒng)完整性。答案解析：A.盡管通用網(wǎng)關(guān)接口（CGI）未經(jīng)測(cè)試可能導(dǎo)致最終用戶(hù)Web應(yīng)用程序受損，但不可能致使其他用戶(hù)無(wú)法使用系統(tǒng)。B.未經(jīng)測(cè)試的CGI腳本程序并不一定導(dǎo)致暴露于惡意軟件威脅中。C.未經(jīng)測(cè)試的CGI具有安全弱點(diǎn)。由于CGI通常在面向公眾開(kāi)放的互聯(lián)網(wǎng)服務(wù)器上執(zhí)行，因此可能允許對(duì)專(zhuān)用系統(tǒng)的未授權(quán)訪(fǎng)問(wèn)。D.盡管CGI未經(jīng)測(cè)試可能導(dǎo)致最終用戶(hù)Web應(yīng)用程序受損，但不可能?chē)?yán)重影響系統(tǒng)完整性。A5-33某信息系統(tǒng)審計(jì)師正在進(jìn)行某企業(yè)網(wǎng)絡(luò)的實(shí)施后審查。以下哪種結(jié)果最令人擔(dān)憂(yōu)？[單選題]*A.無(wú)線(xiàn)移動(dòng)設(shè)備沒(méi)有密碼保護(hù)。B.安裝網(wǎng)絡(luò)設(shè)備時(shí)未變更默認(rèn)密碼。(正確答案)C.不存在出站W(wǎng)eb代理服務(wù)器。D.并非所有通信線(xiàn)路均已加密。答案解析：A.雖然沒(méi)有為移動(dòng)設(shè)備設(shè)定密碼保護(hù)存在一定風(fēng)險(xiǎn)，但這并沒(méi)有不安全的網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)大。B.在上述情況下，最重大的風(fēng)險(xiǎn)為沒(méi)有變更重要網(wǎng)絡(luò)設(shè)備的出廠(chǎng)默認(rèn)密碼。這樣任何人都可以變更網(wǎng)絡(luò)設(shè)備的配置。C.使用Web代理服務(wù)器是一種良好實(shí)踐，但企業(yè)不同，有些可能不需要使用代理服務(wù)器。D.加密是很好的數(shù)據(jù)安全性控制措施，但由于成本高昂且比較復(fù)雜，因此不適合對(duì)所有通信線(xiàn)路均進(jìn)行加密。A5-34某信息系統(tǒng)審計(jì)師正在為新的云會(huì)計(jì)服務(wù)的提供商評(píng)估一份第三方協(xié)議。關(guān)于會(huì)計(jì)數(shù)據(jù)的保密問(wèn)題，以下哪一項(xiàng)考慮因素最重要？[單選題]*A.數(shù)據(jù)保存、備份和恢復(fù)。B.信息的退還或銷(xiāo)毀。(正確答案)C.網(wǎng)絡(luò)和入侵檢測(cè)。D.修補(bǔ)程序管理流程。答案解析：A.數(shù)據(jù)保留、備份和恢復(fù)是重要的控制措施，但它們并不能保證數(shù)據(jù)保密。B.審查第三方協(xié)議時(shí)，關(guān)于數(shù)據(jù)保密問(wèn)題，最重要的考慮因素是有關(guān)在合同結(jié)束時(shí)退還或妥善銷(xiāo)毀信息的條款。C.網(wǎng)絡(luò)和入侵檢測(cè)有助于保護(hù)數(shù)據(jù)，但其本身并不能保證由第三方提供商存儲(chǔ)的數(shù)據(jù)的保密性。D.修補(bǔ)程序管理流程有助于加固服務(wù)器，并可禁止未經(jīng)授權(quán)的數(shù)據(jù)披露，但它并不影響數(shù)據(jù)保密。A5-35在向供應(yīng)商授予臨時(shí)訪(fǎng)問(wèn)權(quán)限時(shí)，以下哪項(xiàng)是最有效的控制措施？[單選題]*A.供應(yīng)商的訪(fǎng)問(wèn)權(quán)限符合服務(wù)水平協(xié)議。B.根據(jù)所提供的服務(wù)創(chuàng)建用戶(hù)賬戶(hù)并對(duì)其設(shè)置到期日期。(正確答案)C.在有限的時(shí)間段內(nèi)提供管理員訪(fǎng)問(wèn)權(quán)限。D.在工作完成后刪除用戶(hù)ID。答案解析：A.服務(wù)水平協(xié)議可能有提供訪(fǎng)問(wèn)的條款，但其并非控制措施，僅能定義訪(fǎng)問(wèn)需要。B.最有效的控制是對(duì)按需要提供的服務(wù)授予臨時(shí)訪(fǎng)問(wèn)權(quán)，而且每個(gè)唯一ID有到期日期（自動(dòng)到期最佳）。使用身份管理系統(tǒng)可實(shí)現(xiàn)用戶(hù)的臨時(shí)或永久訪(fǎng)問(wèn)，同時(shí)保證了對(duì)其活動(dòng)的適當(dāng)問(wèn)責(zé)性。C.供應(yīng)商可能只在服務(wù)時(shí)間的某個(gè)有限時(shí)間段內(nèi)要求有管理員訪(fǎng)問(wèn)權(quán)限，但需要保證根據(jù)最低權(quán)限授予訪(fǎng)問(wèn)級(jí)別，且此期間的訪(fǎng)問(wèn)受到監(jiān)控。D.在工作完成后刪除用戶(hù)ID很有必要，但如果不是自動(dòng)的，則很可能忘記刪除。只能按工作所需的訪(fǎng)問(wèn)級(jí)別授予訪(fǎng)問(wèn)權(quán)限。A5-36在進(jìn)行邏輯訪(fǎng)問(wèn)控制審查時(shí)，某信息系統(tǒng)審計(jì)師發(fā)現(xiàn)用戶(hù)賬戶(hù)是共享的。此種情況帶來(lái)的最大風(fēng)險(xiǎn)是：[單選題]*A.未經(jīng)授權(quán)的用戶(hù)可使用此ID來(lái)獲取訪(fǎng)問(wèn)權(quán)。B.用戶(hù)訪(fǎng)問(wèn)管理非常費(fèi)時(shí)。C.密碼很容易被猜出。D.無(wú)法建立用戶(hù)問(wèn)責(zé)制度。(正確答案)答案解析：A.未經(jīng)授權(quán)的用戶(hù)使用共享ID的可能性大于使用個(gè)人ID，但亂用他人ID始終是一種風(fēng)險(xiǎn)。B.使用共享ID不會(huì)因訪(fǎng)問(wèn)管理工作費(fèi)時(shí)導(dǎo)致風(fēng)險(xiǎn)上升。C.共享用戶(hù)ID的密碼不一定容易被猜出。D.當(dāng)一個(gè)用戶(hù)ID被多人使用時(shí)，無(wú)法判斷是誰(shuí)通過(guò)這個(gè)ID訪(fǎng)問(wèn)了系統(tǒng)，因此不可能向任何人追究責(zé)任。A5-37一名信息系統(tǒng)審計(jì)師正在評(píng)估用于保護(hù)某數(shù)據(jù)中心的物理訪(fǎng)問(wèn)的生物特征識(shí)別系統(tǒng)，該中心包含受監(jiān)管的數(shù)據(jù)。信息系統(tǒng)審計(jì)師最關(guān)注以下哪一項(xiàng)觀(guān)察結(jié)果？[單選題]*A.允許通過(guò)虛擬私有網(wǎng)絡(luò)對(duì)生物特征識(shí)別掃描器或訪(fǎng)問(wèn)控制系統(tǒng)進(jìn)行管理訪(fǎng)問(wèn)。B.限制區(qū)域未安裝生物特征識(shí)別掃描器。C.生物特征識(shí)別掃描器與訪(fǎng)問(wèn)控制系統(tǒng)之間不用安全加密隧道傳輸數(shù)據(jù)。(正確答案)D.最后一次進(jìn)行生物特征識(shí)別系統(tǒng)風(fēng)險(xiǎn)分析是在3年前。答案解析：A.虛擬私有網(wǎng)絡(luò)軟件通常提供安全隧道，以便執(zhí)行遠(yuǎn)程管理功能。這不是個(gè)問(wèn)題。B.生物特征識(shí)別掃描器最好安裝在限制區(qū)域以防被篡改，但視頻監(jiān)控是可以接受的緩解性控制。最大的問(wèn)題是在掃描器和訪(fǎng)問(wèn)控制系統(tǒng)之間沒(méi)有安全加密隧道。C.生物特征識(shí)別掃描器和訪(fǎng)問(wèn)控制系統(tǒng)之間傳輸數(shù)據(jù)應(yīng)當(dāng)使用安全加密隧道，以保護(hù)生物特征識(shí)別數(shù)據(jù)的機(jī)密性。D.生物特征識(shí)別風(fēng)險(xiǎn)分析應(yīng)當(dāng)定期進(jìn)行，但3年前進(jìn)行的分析并不一定是值得擔(dān)心的理由。A5-38在審計(jì)基于角色的訪(fǎng)問(wèn)控制系統(tǒng)時(shí)，信息系統(tǒng)審計(jì)師注意到，某些IT安全人員在某些服務(wù)器上擁有系統(tǒng)管理員權(quán)限，能夠修改或刪除交易日志記錄。以下哪項(xiàng)是該信息系統(tǒng)審計(jì)師應(yīng)給出的最佳建議？[單選題]*A.確保這些員工受到適當(dāng)監(jiān)管。B.確保交易日志記錄備份得到保留。C.實(shí)施控制以檢測(cè)相關(guān)的變更。D.交易日志記錄實(shí)時(shí)寫(xiě)入“一次寫(xiě)入多次讀取”驅(qū)動(dòng)器。(正確答案)答案解析：A.采用傳統(tǒng)方式無(wú)法監(jiān)管IT安全人員，除非監(jiān)管人員去監(jiān)視工作站上的每次按鍵輸入，這顯然是不現(xiàn)實(shí)的。B.保留交易日志記錄備份無(wú)法防止文件在備份之前遭到未經(jīng)授權(quán)的修改。C.日志文件本身是證明存在未授權(quán)變更的主要證據(jù)，這是一種充分的檢測(cè)性控制。而保護(hù)日志文件不被修改需要預(yù)防性控制，如安全地寫(xiě)入日志。D.允許IT安全人員訪(fǎng)問(wèn)交易日志記錄常常是不可避免的，他們需要有系統(tǒng)管理員權(quán)限才能工作。在本例中，避免交易日志記錄受到未授權(quán)修改的最佳控制措施是將交易日志記錄實(shí)時(shí)寫(xiě)入WORM驅(qū)動(dòng)器介質(zhì)。需要注意的是，只將交易日志記錄備份到磁帶是不夠的，因?yàn)閿?shù)據(jù)可能在執(zhí)行日常備份作業(yè)之前（通常是夜間）遭到修改。A5-39在某銀行的信息系統(tǒng)審計(jì)期間，信息系統(tǒng)審計(jì)師正在評(píng)估該銀行是否合理管理職員對(duì)操作系統(tǒng)的訪(fǎng)問(wèn)。該信息系統(tǒng)審計(jì)師應(yīng)確定該銀行是否執(zhí)行：[單選題]*A.用戶(hù)活動(dòng)日志的定期審查。(正確答案)B.系統(tǒng)級(jí)用戶(hù)授權(quán)驗(yàn)證。C.數(shù)據(jù)通信訪(fǎng)問(wèn)活動(dòng)日志的審查。D.更改數(shù)據(jù)文件的定期審查。答案解析：A.一般的操作系統(tǒng)訪(fǎng)問(wèn)控制功能包括日志記錄用戶(hù)活動(dòng)、事件等。審查這些日志可發(fā)現(xiàn)執(zhí)行未經(jīng)允許的活動(dòng)的用戶(hù)。B.驗(yàn)證系統(tǒng)用戶(hù)授權(quán)是數(shù)據(jù)庫(kù)字段級(jí)和應(yīng)用程序級(jí)訪(fǎng)問(wèn)控制的功能，不適用于操作系統(tǒng)。C.審查數(shù)據(jù)通信訪(fǎng)問(wèn)活動(dòng)日志屬于網(wǎng)絡(luò)控制功能。D.定期審查更改數(shù)據(jù)文件與變更控制流程有關(guān)。A5-40某信息系統(tǒng)審計(jì)師在對(duì)新安裝的網(wǎng)絡(luò)電話(huà)系統(tǒng)進(jìn)行審計(jì)時(shí)，檢查了每層樓的配線(xiàn)柜。以下哪一項(xiàng)最令人擔(dān)心？[單選題]*A.局域網(wǎng)（LAN）交換機(jī)未連接不間斷電源單元。(正確答案)B.網(wǎng)絡(luò)布線(xiàn)雜亂，并且未適當(dāng)貼標(biāo)簽。C.電話(huà)和LAN連接使用相同的電纜。D.配線(xiàn)柜中還包含電源線(xiàn)和斷路器面板。答案解析：A.網(wǎng)絡(luò)電話(huà)（VoIP）系統(tǒng)使用標(biāo)準(zhǔn)網(wǎng)絡(luò)布線(xiàn)，并且每部電話(huà)通常都通過(guò)從安裝網(wǎng)絡(luò)交換機(jī)的配線(xiàn)柜引出的網(wǎng)絡(luò)電纜供電（以太網(wǎng)供電）。如果局域網(wǎng)交換機(jī)沒(méi)有備份電源，一旦發(fā)生電力中斷，電話(huà)將斷電，并可能無(wú)法進(jìn)行緊急呼叫。B.盡管布線(xiàn)不適當(dāng)可能帶來(lái)可靠性問(wèn)題，但在本案例中，更嚴(yán)重的問(wèn)題是缺乏電源保護(hù)。C.VoIP電話(huà)系統(tǒng)的優(yōu)勢(shì)是，它們和標(biāo)準(zhǔn)PC連接使用相同類(lèi)型的電纜，甚至相同的網(wǎng)絡(luò)交換機(jī)。因此，這不值得關(guān)注。D.只要電源和電話(huà)設(shè)備相互分離，就不是重大風(fēng)險(xiǎn)。A5-41在審查組織對(duì)其遠(yuǎn)程系統(tǒng)的邏輯訪(fǎng)問(wèn)安全時(shí)，信息系統(tǒng)審計(jì)師應(yīng)最關(guān)注以下哪項(xiàng)？[單選題]*A.共享密碼。B.使用未經(jīng)加密的密碼。(正確答案)C.存在冗余的登錄ID。D.第三方用戶(hù)具備管理員訪(fǎng)問(wèn)權(quán)限。答案解析：A.密碼不應(yīng)共享，但這沒(méi)有保證對(duì)密碼文件進(jìn)行加密重要。B.評(píng)估軟件安全性的技術(shù)方面時(shí)，未經(jīng)加密的密碼代表最大的風(fēng)險(xiǎn)，因?yàn)槿绻俣ㄊ峭ㄟ^(guò)不可信網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)的，密碼可以被發(fā)現(xiàn)。C.檢查冗余的登錄ID很重要，但這沒(méi)有保證密碼加密重要。D.可能存在使用具有系統(tǒng)訪(fǎng)問(wèn)權(quán)限的承包商之類(lèi)的業(yè)務(wù)要求，因此這不值得關(guān)注。A5-42在對(duì)醫(yī)療組織的受保護(hù)醫(yī)療信息（PHI）進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估時(shí)，信息系統(tǒng)審計(jì)師與信息系統(tǒng)管理人員進(jìn)行了面談。此次面談中的哪項(xiàng)發(fā)現(xiàn)最令信息系統(tǒng)審計(jì)師關(guān)注？[單選題]*A.組織沒(méi)有對(duì)所有外發(fā)的電子郵件進(jìn)行加密。B.員工必須在電子郵件的主題欄鍵入“[PHI]”才能進(jìn)行加密。(正確答案)C.個(gè)別工作人員的計(jì)算機(jī)屏幕保護(hù)功能被禁用。D.服務(wù)器配置要求用戶(hù)每年更改一次密碼。答案解析：A.加密全部外發(fā)電子郵件非常昂貴，不是常用的做法。B.員工忘記在主題欄中鍵入某些字詞的人為錯(cuò)誤風(fēng)險(xiǎn)始終存在。組織應(yīng)為處理受保護(hù)醫(yī)療信息（PHI）的員工所外發(fā)的電子郵件設(shè)置自動(dòng)加密，以保護(hù)敏感信息。C.禁用屏幕保護(hù)功能會(huì)增加敏感信息被其他員工看到的風(fēng)險(xiǎn)，但此風(fēng)險(xiǎn)不及將信息暴露于組織外的未經(jīng)授權(quán)人員大。D.盡管每年更換密碼是個(gè)問(wèn)題，但此風(fēng)險(xiǎn)不及將信息暴露于組織外的未經(jīng)授權(quán)人員大。A5-43以下哪一項(xiàng)是信息資產(chǎn)所有者的責(zé)任？[單選題]*A.在應(yīng)用程序內(nèi)實(shí)施信息安全。B.為數(shù)據(jù)指定重要性級(jí)別。(正確答案)C.對(duì)數(shù)據(jù)和程序?qū)嵤┰L(fǎng)問(wèn)規(guī)則。D.為數(shù)據(jù)提供物理和邏輯安全。答案解析：A.根據(jù)數(shù)據(jù)所有者設(shè)定的要求，在應(yīng)用程序內(nèi)實(shí)施信息安全是數(shù)據(jù)保管員的責(zé)任。B.定義信息資產(chǎn)的重要性（和敏感性）級(jí)別是其所有者的責(zé)任。C.根據(jù)數(shù)據(jù)所有者設(shè)定的要求，實(shí)施訪(fǎng)問(wèn)規(guī)則是數(shù)據(jù)保管員的責(zé)任。D.為數(shù)據(jù)提供物理和邏輯安全是安全管理員的責(zé)任。A5-44某信息系統(tǒng)審計(jì)師在審查網(wǎng)絡(luò)日志時(shí)發(fā)現(xiàn)，某員工通過(guò)調(diào)用任務(wù)計(jì)劃程序啟動(dòng)受限的應(yīng)用，在其PC上運(yùn)行了高級(jí)命令。這是哪類(lèi)攻擊的示例？[單選題]*A.競(jìng)態(tài)條件。B.特權(quán)升級(jí)。(正確答案)C.緩沖溢出。D.模仿。答案解析：A.競(jìng)態(tài)條件入侵涉及兩個(gè)事件的時(shí)序和導(dǎo)致某個(gè)事件發(fā)生時(shí)間晚于預(yù)期的操作。題目給定的情景不是競(jìng)態(tài)條件入侵的示例。B.特權(quán)升級(jí)是通過(guò)各種方法獲得較高級(jí)系統(tǒng)授權(quán)的一種攻擊。在本示例中，任務(wù)計(jì)劃程序服務(wù)以管理員權(quán)限運(yùn)行，而安全漏洞允許通過(guò)任務(wù)計(jì)劃程序啟動(dòng)的程序以相同級(jí)別的權(quán)限運(yùn)行。C.緩沖溢出涉及利用應(yīng)用或系統(tǒng)的內(nèi)存使用方式中存在的缺陷所進(jìn)行的操作。存儲(chǔ)機(jī)制過(guò)載后，系統(tǒng)會(huì)以意想不到的方式運(yùn)行。題目給定的情景不是緩沖溢出入侵的示例。D.模仿攻擊涉及特權(quán)用戶(hù)身份識(shí)別方面的錯(cuò)誤。題目給定的情景不是這種入侵的示例。A5-45某信息系統(tǒng)審計(jì)師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關(guān)的證據(jù)得到保留。對(duì)該信息系統(tǒng)審計(jì)師而言，以下哪一項(xiàng)最值得關(guān)注？[單選題]*A.最終用戶(hù)不了解事故報(bào)告程序。B.日志服務(wù)器不在單獨(dú)的網(wǎng)絡(luò)上。C.未堅(jiān)持進(jìn)行備份。D.無(wú)監(jiān)管鏈政策。(正確答案)答案解析：A.應(yīng)當(dāng)讓最終用戶(hù)知曉事故報(bào)告程序，但這不可能影響與違規(guī)有關(guān)的數(shù)據(jù)完整性。該信息系統(tǒng)審計(jì)師應(yīng)當(dāng)更關(guān)注組織的政策是否存在并規(guī)定正確的證據(jù)處理方式。B.將日志服務(wù)器安裝在單獨(dú)的網(wǎng)絡(luò)上也許是個(gè)好主意，因?yàn)榇_保日志服務(wù)器數(shù)據(jù)的完整性很重要，但更重要的是要確保監(jiān)管鏈政策到位。C.盡管沒(méi)有有效的備份是個(gè)問(wèn)題，但更重要的問(wèn)題是缺少監(jiān)管鏈政策。通常不從備份中尋找數(shù)據(jù)違規(guī)的證據(jù)。D.組織應(yīng)當(dāng)具有適當(dāng)?shù)恼?，用?lái)指導(dǎo)員工在收集可能在法庭中使用的證據(jù)時(shí)遵循某些程序。監(jiān)管鏈涉及記錄獲得、加工、處理、存儲(chǔ)和保護(hù)數(shù)字證據(jù)的方式，以及證據(jù)處理人員和原因。如果沒(méi)有適當(dāng)?shù)恼?，則不可能確保員工在任何數(shù)據(jù)違規(guī)調(diào)查中維護(hù)監(jiān)管鏈。A5-46一位信息系統(tǒng)審計(jì)師正在審查一家制造企業(yè)的訪(fǎng)問(wèn)控制。審查期間，信息系統(tǒng)審計(jì)師發(fā)現(xiàn)數(shù)據(jù)所有者能夠更改低風(fēng)險(xiǎn)應(yīng)用程序的訪(fǎng)問(wèn)控制。信息系統(tǒng)審計(jì)師應(yīng)采取的最佳行動(dòng)步驟是什么？[單選題]*A.建議實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制。B.將此問(wèn)題作為審計(jì)發(fā)現(xiàn)報(bào)告給上級(jí)管理人員C.將此問(wèn)題報(bào)告給數(shù)據(jù)所有者以確定其是否屬于一項(xiàng)例外。D.不報(bào)告此問(wèn)題，因?yàn)橛凶灾髟L(fǎng)問(wèn)控制。(正確答案)答案解析：A.建議實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制不正確，因?yàn)橛蓴?shù)據(jù)所有者對(duì)低風(fēng)險(xiǎn)應(yīng)用程序?qū)嵭凶灾髟L(fǎng)問(wèn)控制（DAC）更合適。B.使用DAC可能并非異常情況，除非得到確認(rèn)，否則不應(yīng)作為問(wèn)題上報(bào)。C.雖然信息系統(tǒng)審計(jì)師可以詢(xún)問(wèn)數(shù)據(jù)所有者該訪(fǎng)問(wèn)是否屬于正常允許，但信息系統(tǒng)審計(jì)師不應(yīng)依賴(lài)被審計(jì)人來(lái)決定這是否是個(gè)問(wèn)題。D.DAC允許數(shù)據(jù)所有者修改訪(fǎng)問(wèn)，這是正常程序，也是DAC的特點(diǎn)。A5-47終端設(shè)備發(fā)出的電磁輻射會(huì)造成風(fēng)險(xiǎn)，因?yàn)檫@些電磁輻射可能：[單選題]*A.損壞或擦除附近的存儲(chǔ)介質(zhì)。B.干擾處理器某些功能的正常運(yùn)行。C.損害個(gè)人健康。D.可被檢測(cè)到并顯示出來(lái)。(正確答案)答案解析：A.盡管強(qiáng)磁場(chǎng)可能擦除某些存儲(chǔ)介質(zhì)，但終端通常設(shè)計(jì)為限制這些輻射，因此這通常不值得關(guān)注。B.電磁輻射不會(huì)造成中央處理器運(yùn)行中斷。C.多數(shù)電磁輻射的水平很低，不會(huì)造成顯著的健康風(fēng)險(xiǎn)。D.輻射可以被精密的設(shè)備檢測(cè)到并顯示出來(lái)，這樣未經(jīng)授權(quán)的人員就會(huì)訪(fǎng)問(wèn)到數(shù)據(jù)。TEMPEST是指對(duì)無(wú)意中攜帶敏感信息的信號(hào)的泄露發(fā)射進(jìn)行調(diào)查和研究方面的術(shù)語(yǔ)，如果截取和分析該信號(hào)，就會(huì)造成信息的泄露。A5-48安全管理流程需要對(duì)以下哪項(xiàng)具有只讀訪(fǎng)問(wèn)權(quán)限？[單選題]*A.訪(fǎng)問(wèn)控制表。B.安全日志文件。(正確答案)C.日志選項(xiàng)。D.用戶(hù)配置文件。答案解析：A.安全管理流程需要具有訪(fǎng)問(wèn)控制表的寫(xiě)入訪(fǎng)問(wèn)權(quán)限，以便根據(jù)授權(quán)的業(yè)務(wù)要求來(lái)管理并更新權(quán)限。B.安全管理流程需要具有安全日志文件的只讀訪(fǎng)問(wèn)權(quán)限，以確保這些日志在生成后不會(huì)被修改。日志可提供證據(jù)并跟蹤可疑的交易和活動(dòng)。C.還需要具有日志選項(xiàng)的寫(xiě)入訪(fǎng)問(wèn)權(quán)限，以便管理員可以就對(duì)交易和用戶(hù)活動(dòng)進(jìn)行監(jiān)控、獲取、存儲(chǔ)、處理和報(bào)告情況進(jìn)行更新。D.安全管理員一般負(fù)責(zé)面向用戶(hù)的問(wèn)題，例如，管理用戶(hù)角色、配置文件和設(shè)置。這要求管理員擁有只讀訪(fǎng)問(wèn)以上的權(quán)限。A5-49在安全專(zhuān)員的幫助下，由誰(shuí)來(lái)負(fù)責(zé)授予數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限？[單選題]*A.數(shù)據(jù)所有者。(正確答案)B.編程人員。C.系統(tǒng)分析員。D.數(shù)據(jù)庫(kù)管理員。答案解析：A.數(shù)據(jù)所有者負(fù)責(zé)數(shù)據(jù)的訪(fǎng)問(wèn)和使用。用戶(hù)獲得計(jì)算機(jī)化信息訪(fǎng)問(wèn)權(quán)限的書(shū)面授權(quán)應(yīng)該由數(shù)據(jù)所有者出具。經(jīng)所有者批準(zhǔn)的安全管理人員可設(shè)置訪(fǎng)問(wèn)規(guī)則，規(guī)定有權(quán)訪(fǎng)問(wèn)數(shù)據(jù)或文件的用戶(hù)或用戶(hù)組及其權(quán)限級(jí)別（如讀取或更新）。B.編程人員會(huì)開(kāi)發(fā)監(jiān)管用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)（更新、讀取、刪除等）方式的訪(fǎng)問(wèn)控制軟件，但編程人員不負(fù)責(zé)決定誰(shuí)可訪(fǎng)問(wèn)數(shù)據(jù)。C.系統(tǒng)分析員與所有者和編程人員一起根據(jù)所有者設(shè)置的規(guī)則來(lái)設(shè)計(jì)訪(fǎng)問(wèn)控制。D.數(shù)據(jù)庫(kù)管理員實(shí)施提供給他們的訪(fǎng)問(wèn)控制程序，但不決定誰(shuí)有訪(fǎng)問(wèn)權(quán)。A5-50數(shù)據(jù)分類(lèi)的第一步是：[單選題]*A.確立所有權(quán)。(正確答案)B.執(zhí)行重要性分析。C.定義訪(fǎng)問(wèn)規(guī)則。D.創(chuàng)建數(shù)據(jù)字典。答案解析：A.數(shù)據(jù)分類(lèi)是根據(jù)按需執(zhí)行和按需知密原則來(lái)定義訪(fǎng)問(wèn)規(guī)則時(shí)的必備步驟。數(shù)據(jù)所有者負(fù)責(zé)定義訪(fǎng)問(wèn)規(guī)則；因此，確立所有權(quán)是數(shù)據(jù)分類(lèi)的第一步。B.重要性分析需要根據(jù)數(shù)據(jù)分類(lèi)，決定數(shù)據(jù)保護(hù)的適當(dāng)?shù)燃?jí)。C.訪(fǎng)問(wèn)規(guī)則是依據(jù)數(shù)據(jù)分類(lèi)制定的。D.數(shù)據(jù)字典的輸入來(lái)自數(shù)據(jù)分類(lèi)流程的結(jié)果。A5-51對(duì)生物特征識(shí)別系統(tǒng)的運(yùn)行情況進(jìn)行審查期間，信息系統(tǒng)審計(jì)師首先應(yīng)審查的階段是：[單選題]*A.注冊(cè)。(正確答案)B.識(shí)別。C.驗(yàn)證。D.存儲(chǔ)。答案解析：A.生物特征識(shí)別設(shè)備的用戶(hù)必須首先在該設(shè)備上注冊(cè)。B.該設(shè)備可獲取人類(lèi)的身體或動(dòng)作圖像，并識(shí)別獨(dú)特的特征，然后使用算法將其轉(zhuǎn)換成以模板形式存儲(chǔ)的一串?dāng)?shù)字，以便用于匹配過(guò)程。C.申請(qǐng)?jiān)L問(wèn)的用戶(hù)是根據(jù)存儲(chǔ)的注冊(cè)值進(jìn)行驗(yàn)證的。D.生物特征識(shí)別存儲(chǔ)的是敏感的個(gè)人信息，因此存儲(chǔ)必須安全。A5-52黑客無(wú)須使用計(jì)算機(jī)工具或程序就可以獲得密碼的技術(shù)是：[單選題]*A.社會(huì)工程。(正確答案)B.嗅探器。C.后門(mén)。D.特洛伊木馬。答案解析：A.社會(huì)工程以通過(guò)對(duì)話(huà)、拜訪(fǎng)和詢(xún)問(wèn)等方式透露私人信息為基礎(chǔ)，用戶(hù)可能在此過(guò)程中草率地泄露他們自己或他人的個(gè)人數(shù)據(jù)。B.嗅探器是用于監(jiān)控網(wǎng)絡(luò)流量的計(jì)算機(jī)工具。C.后門(mén)是黑客留在計(jì)算機(jī)內(nèi)尋覓系統(tǒng)漏洞的計(jì)算機(jī)程序。D.特洛伊木馬是偽裝成正常程序的計(jì)算機(jī)程序，因此，該程序的功能未經(jīng)授權(quán)，而且通常是惡意程序。A5-53以下哪項(xiàng)會(huì)動(dòng)搖應(yīng)用系統(tǒng)審計(jì)軌跡的可靠性？[單選題]*A.在審計(jì)軌跡中記錄用戶(hù)ID。B.安全管理員具有審計(jì)文件的只讀權(quán)限。C.在執(zhí)行操作時(shí)記錄日期和時(shí)間戳。D.更正系統(tǒng)錯(cuò)誤時(shí)，用戶(hù)可修改審計(jì)軌跡記錄。(正確答案)答案解析：A.審計(jì)軌跡必須記錄日志中的活動(dòng)涉及的人員或流程的標(biāo)識(shí)，以實(shí)現(xiàn)問(wèn)責(zé)。B.將管理員權(quán)限限制為只讀可保護(hù)審計(jì)文件不被變更。C.應(yīng)在日志中記錄日期和時(shí)間戳，以便在多個(gè)系統(tǒng)中重建或關(guān)聯(lián)事件。D.如果審計(jì)軌跡的詳細(xì)信息可以修改，則該審計(jì)軌跡無(wú)效。A5-54執(zhí)行審計(jì)工作時(shí)，信息系統(tǒng)審計(jì)師檢測(cè)到存在病毒。該信息系統(tǒng)審計(jì)師下一步應(yīng)該怎么做？[單選題]*A.觀(guān)察反應(yīng)機(jī)制。B.從網(wǎng)絡(luò)中清除病毒。C.立即通知相關(guān)人員。(正確答案)D.確保病毒被刪除。答案解析：A.觀(guān)察反應(yīng)機(jī)制應(yīng)在通知相關(guān)人員之后執(zhí)行。這會(huì)使信息系統(tǒng)審計(jì)師能夠檢查響應(yīng)體系的實(shí)際可用性和有效性。B.在大多數(shù)情況下，信息系統(tǒng)審計(jì)師既無(wú)權(quán)也不能從網(wǎng)絡(luò)中清除病毒。C.檢測(cè)到病毒后，信息系統(tǒng)審計(jì)師應(yīng)做的第一件事是提醒相關(guān)部門(mén)存在病毒，然后等待他們回應(yīng)。D.信息系統(tǒng)審計(jì)師不應(yīng)對(duì)受審系統(tǒng)做出任何改動(dòng)，確保病毒被刪除是管理人員的職責(zé)。A5-55實(shí)施訪(fǎng)問(wèn)控制時(shí)首先需要：[單選題]*A.分類(lèi)信息系統(tǒng)資源。B.標(biāo)記信息系統(tǒng)資源。C.創(chuàng)建訪(fǎng)問(wèn)控制列表。D.創(chuàng)建信息系統(tǒng)資源清單。(正確答案)答案解析：A.實(shí)施訪(fǎng)問(wèn)控制的第一步是盤(pán)點(diǎn)信息系統(tǒng)資源，這是分類(lèi)的基礎(chǔ)。B.只有先確定資源的分類(lèi)，才能完成資源的標(biāo)記。C.只有資源的分類(lèi)有意義，才能創(chuàng)建訪(fǎng)問(wèn)控制列表。D.實(shí)施訪(fǎng)問(wèn)控制的第一步是建立信息系統(tǒng)資源清單，這是確立所有權(quán)和分類(lèi)的基礎(chǔ)。A5-56以下哪項(xiàng)屬于縱深防御安全原則的示例？[單選題]*A.使用兩道防火墻不間斷檢查入站網(wǎng)絡(luò)流量。B.在主機(jī)上使用防火墻和邏輯訪(fǎng)問(wèn)控制來(lái)控制入站網(wǎng)絡(luò)流量。(正確答案)C.在計(jì)算機(jī)中心建筑外沒(méi)有任何標(biāo)識(shí)。D.并行使用兩道防火墻來(lái)檢查不同類(lèi)型的入站流量。答案解析：A.使用兩道防火墻不代表防御有效，因?yàn)橥还艨衫@過(guò)這兩者。通過(guò)使用兩種不同的產(chǎn)品，會(huì)減少這兩種產(chǎn)品具有相同漏洞的可能性。B.縱深防御是指使用不同類(lèi)型的安全機(jī)制，做到相互備用。網(wǎng)絡(luò)流量無(wú)意中越過(guò)防火墻時(shí)，邏輯訪(fǎng)問(wèn)控制可形成第二道防御。C.在計(jì)算機(jī)中心建筑外沒(méi)有任何標(biāo)識(shí)是一種通過(guò)只讓極少的人知道來(lái)取得安全的單一安全措施。D.并行使用兩道防火墻檢查各種入站流量可提供冗余，但它是一種單一的安全措施，因此，與使用一道防火墻檢查所有流量是相同的。A5-57以下哪項(xiàng)是最佳的訪(fǎng)問(wèn)控制步驟？[單選題]*A.數(shù)據(jù)所有者正式授權(quán)訪(fǎng)問(wèn)，然后由管理員實(shí)施用戶(hù)授權(quán)表。(正確答案)B.被授權(quán)的員工實(shí)施用戶(hù)授權(quán)表，然后由數(shù)據(jù)所有者批準(zhǔn)這些表。C.數(shù)據(jù)所有者和信息系統(tǒng)經(jīng)理共同創(chuàng)建并更新用戶(hù)授權(quán)表。D.數(shù)據(jù)所有者創(chuàng)建并更新用戶(hù)授權(quán)表。答案解析：A.數(shù)據(jù)所有者擁有正式建立訪(fǎng)問(wèn)權(quán)限的權(quán)力和責(zé)任，然后應(yīng)由信息系統(tǒng)管理員在數(shù)據(jù)所有者的指示下實(shí)施或更新用戶(hù)授權(quán)表。B.數(shù)據(jù)所有者設(shè)置訪(fǎng)問(wèn)規(guī)則和條件。最好在實(shí)施這些表前取得批準(zhǔn)。C.數(shù)據(jù)所有者可與信息系統(tǒng)經(jīng)理協(xié)商設(shè)置訪(fǎng)問(wèn)控制規(guī)則，但仍由數(shù)據(jù)所有者負(fù)責(zé)正確的訪(fǎng)問(wèn)控制。IT部門(mén)應(yīng)在數(shù)據(jù)所有者的指示下建立訪(fǎng)問(wèn)控制表。D.數(shù)據(jù)所有者一般不管理授權(quán)表的更新。A5-58下列哪項(xiàng)在減少社會(huì)工程事故方面最有效果？[單選題]*A.安全意識(shí)培訓(xùn)。(正確答案)B.增加物理安全措施。C.制定電子郵件監(jiān)控政策。D.設(shè)置入侵檢測(cè)系統(tǒng)。答案解析：A.社會(huì)工程利用人性的弱點(diǎn)來(lái)獲取信息和訪(fǎng)問(wèn)權(quán)限。通過(guò)增強(qiáng)員工的安全意識(shí)，會(huì)減少社會(huì)工程事故的數(shù)量。B.在大多數(shù)情況下，社會(huì)工程事故并不需要入侵者親自出現(xiàn)。因此，增加物理安全措施無(wú)法防止入侵。C.電子郵件監(jiān)控政策會(huì)告知用戶(hù)組織中的所有電子郵件都受到監(jiān)控，但這并不能保護(hù)用戶(hù)不受到潛在的安全事故和入侵的影響。D.入侵檢測(cè)系統(tǒng)用于檢測(cè)不規(guī)范的或異常的流量模式。A5-59規(guī)定“必須屏蔽或禁止密碼顯示”的信息安全政策可應(yīng)對(duì)以下哪種攻擊方法？[單選題]*A.騎肩跟入法。B.垃圾搜尋。C.肩窺。(正確答案)D.模仿。答案解析：A.騎肩跟入法是指未經(jīng)授權(quán)的人員通過(guò)物理或虛擬方式尾隨授權(quán)人員進(jìn)入限制區(qū)域。屏蔽密碼顯示無(wú)法防止對(duì)授權(quán)人員進(jìn)行尾隨。B.此政策只提到“密碼顯示”，沒(méi)有提及垃圾搜尋（在組織的垃圾中尋找有價(jià)值的信息）。C.如果密碼出現(xiàn)在顯示器上，用戶(hù)旁邊的任何人或攝像頭均可越過(guò)肩膀看過(guò)去并以此方式獲取密碼。D.模仿是指有人冒充員工試圖檢索所需信息。A5-60為確保輸入的密碼符合由字母和數(shù)字組成這一安全政策要求，信息系統(tǒng)審計(jì)師應(yīng)建議：[單選題]*A.更改公司政策。B.定期更改密碼。C.使用自動(dòng)化密碼管理工具。(正確答案)D.進(jìn)行安全意識(shí)培訓(xùn)。答案解析：A.政策是適當(dāng)?shù)模恍枰?。改變政策不?huì)確保合規(guī)性。B.要求定期更改密碼是良好的做法，應(yīng)包括在密碼政策中。C.使用自動(dòng)化密碼管理工具是一種預(yù)防性控制措施。該軟件會(huì)防止語(yǔ)義重復(fù)并強(qiáng)制實(shí)行語(yǔ)法規(guī)則，從而提高密碼的可靠性。它還提供了一種方法，確保密碼會(huì)經(jīng)常更改并防止同一用戶(hù)在指定時(shí)間段內(nèi)重復(fù)使用舊密碼。D.安全意識(shí)培訓(xùn)不能強(qiáng)制用戶(hù)遵守政策。A5-61審查數(shù)字版權(quán)管理應(yīng)用程序的信息系統(tǒng)審計(jì)師預(yù)計(jì)會(huì)發(fā)現(xiàn)下列哪項(xiàng)技術(shù)被廣泛使用？[單選題]*A.數(shù)字化簽名。B.哈希。C.解析。D.隱寫(xiě)術(shù)。(正確答案)答案解析：A.數(shù)字化簽名是對(duì)簽名的掃描（與數(shù)字簽名不同），與數(shù)字版權(quán)管理無(wú)關(guān)。B.哈?？蓜?chuàng)建消息哈?；蛘?，用于確保消息的完整性。哈希通常被視為加密算法的一部分。C.解析是出于分析的目的分割連續(xù)字符流的過(guò)程，廣泛應(yīng)用于編程語(yǔ)言設(shè)計(jì)或數(shù)據(jù)條目編輯。D.隱寫(xiě)術(shù)是一種將消息或信息內(nèi)容隱藏在另一則消息中的技術(shù)。一種日漸普遍的重要隱寫(xiě)術(shù)就是數(shù)字水印技術(shù)，即在數(shù)據(jù)中隱藏?cái)?shù)據(jù)（例如，將版權(quán)信息以編碼方式加入圖像或音樂(lè)文件中而不影響圖像或音樂(lè)的視聽(tīng)質(zhì)量）。A5-62規(guī)定“每個(gè)人必須在每個(gè)控制門(mén)處進(jìn)行門(mén)禁證章讀取”的信息安全政策可應(yīng)對(duì)以下哪種攻擊方法？[單選題]*A.騎肩跟入法。(正確答案)B.肩窺。C.垃圾搜尋。D.模仿。答案解析：A.騎肩跟入法是指未經(jīng)授權(quán)的人員通過(guò)物理或虛擬方式尾隨授權(quán)人員進(jìn)入限制區(qū)域。此政策解決了在為陌生人開(kāi)門(mén)時(shí)遇到的禮貌行為問(wèn)題。如果每名員工必須在每個(gè)控制門(mén)進(jìn)行門(mén)禁證章讀取，則未經(jīng)授權(quán)的人員就無(wú)法進(jìn)入敏感區(qū)域。B.實(shí)施此政策不能防止肩窺（越過(guò)別人的肩膀看到屏幕或桌面上的敏感信息）。C.垃圾搜尋，即通過(guò)翻查組織的垃圾箱獲取有價(jià)值的信息，可在公司的周邊完成。因此，此政策無(wú)法應(yīng)對(duì)這種攻擊方法。D.模仿是指社會(huì)工程師冒充員工試圖檢索所需信息。某些形式的社會(huì)工程攻擊會(huì)將模仿攻擊和騎肩跟入法結(jié)合實(shí)施，但是此信息安全政策無(wú)法應(yīng)對(duì)模仿攻擊。A5-63以下哪項(xiàng)會(huì)帶來(lái)固有風(fēng)險(xiǎn)，而沒(méi)有明顯可采取的預(yù)防控制手段？[單選題]*A.騎肩跟入法。B.病毒。C.數(shù)據(jù)欺騙。(正確答案)D.未經(jīng)授權(quán)的應(yīng)用程序關(guān)閉。答案解析：A.騎肩跟入法是指尾隨授權(quán)人員通過(guò)安全門(mén)的行為，可通過(guò)使用雙門(mén)安全系統(tǒng)防止該行為。邏輯騎肩跟入法是指嘗試通過(guò)具有權(quán)限的某人獲取訪(fǎng)問(wèn)權(quán)限（例如，通過(guò)電子方式連接到授權(quán)的電信鏈路，以盡可能截獲傳輸信號(hào)的行為）?？赏ㄟ^(guò)加密信息防止該行為。B.病毒是指植入其他可執(zhí)行代碼的惡意程序代碼，它能夠自我復(fù)制并在計(jì)算機(jī)之間傳播，傳播的途徑包括共享計(jì)算機(jī)磁盤(pán)、電信線(xiàn)路上的邏輯轉(zhuǎn)換或與被感染的計(jì)算機(jī)直接連接。可使用防病毒軟件保護(hù)計(jì)算機(jī)不受病毒侵害。C.數(shù)據(jù)欺騙涉及在將數(shù)據(jù)輸入計(jì)算機(jī)之前對(duì)其進(jìn)行更改。由于不需要多少技術(shù)知識(shí)并且發(fā)生在計(jì)算機(jī)安全系統(tǒng)保護(hù)數(shù)據(jù)之前，因此被大量濫用。對(duì)于數(shù)據(jù)欺騙，只有一些補(bǔ)償控制手段。D.可通過(guò)直接（在線(xiàn)）或間接（撥號(hào)線(xiàn)路）連接到計(jì)算機(jī)的終端或微型計(jì)算機(jī)啟動(dòng)應(yīng)用程序的關(guān)閉操作。只有具有高級(jí)登錄ID和密碼的個(gè)人能夠啟動(dòng)關(guān)機(jī)過(guò)程，并且只有存在適當(dāng)?shù)脑L(fǎng)問(wèn)控制時(shí)，此安全措施才有效。A5-64哈希和加密之間最主要的區(qū)別在于哈希：[單選題]*A.不可逆。(正確答案)B.輸出消息與原始消息的長(zhǎng)度相同。C.涉及完整性和安全性。D.發(fā)送端和接收端相同。答案解析：A.哈希以單向方式工作——通過(guò)將哈希算法應(yīng)用到消息，創(chuàng)建消息哈希/摘要。如果將相同的哈希算法應(yīng)用到消息摘要，并不會(huì)生成原始消息。就這一點(diǎn)而言，哈希是不可逆的，而加密是可逆的。這就是哈希與加密之間的基本區(qū)別。B.哈希創(chuàng)建的固定長(zhǎng)度的輸出一般比原始消息小，而加密創(chuàng)建的輸出一般與原始消息的長(zhǎng)度相同。C.哈?？捎糜隍?yàn)證消息的完整性，但并不解決安全問(wèn)題?？稍诎l(fā)送端和接收端使用相同的哈希算法，以生成并驗(yàn)證消息的哈希/摘要。D.加密可在發(fā)送端和接收端使用不同的密鑰或逆向過(guò)程來(lái)加密和解密。A5-65以下哪項(xiàng)加密算法選項(xiàng)會(huì)增加開(kāi)銷(xiāo)/成本？[單選題]*A.使用對(duì)稱(chēng)加密，而不是非對(duì)稱(chēng)加密。B.使用加長(zhǎng)的非對(duì)稱(chēng)式加密密鑰。(正確答案)C.加密的是哈希而非消息。D.使用密鑰。答案解析：A.相對(duì)于對(duì)稱(chēng)算法，非對(duì)稱(chēng)算法需要更多處理時(shí)間。B.對(duì)于較長(zhǎng)的非對(duì)稱(chēng)加密密鑰，計(jì)算機(jī)的處理時(shí)間會(huì)增加，并且這種增長(zhǎng)是不成比例的。例如，一個(gè)基準(zhǔn)測(cè)試顯示RSA密鑰的長(zhǎng)度增加1倍（從512位增至1024位），會(huì)造成解密時(shí)間增加近6倍。C.哈希的長(zhǎng)度一般短于原始消息，因此如果對(duì)哈希而非消息進(jìn)行加密，所需的開(kāi)銷(xiāo)更少。D.作為對(duì)稱(chēng)式加密密鑰來(lái)使用的密鑰通常很小，并可用于加密用戶(hù)數(shù)據(jù)。A5-66在計(jì)劃黑箱滲透測(cè)試時(shí)，最重要的成功因素是：[單選題]*A.對(duì)測(cè)試程序做好計(jì)劃。B.真實(shí)評(píng)估環(huán)境架構(gòu)以確定范圍。C.讓客戶(hù)組織的管理人員了解。(正確答案)D.安排并確定測(cè)試的時(shí)長(zhǎng)。答案解析：A.滲透測(cè)試應(yīng)仔細(xì)計(jì)劃和執(zhí)行，但最重要的是得到適當(dāng)?shù)呐鷾?zhǔn)。B.在黑箱滲透測(cè)試中，進(jìn)行測(cè)試的組織不了解測(cè)試環(huán)境。C.黑箱滲透測(cè)試假定事先對(duì)待測(cè)試的基礎(chǔ)架構(gòu)并不了解。測(cè)試人員模擬不熟悉系統(tǒng)的人員發(fā)起攻擊。管理人員了解測(cè)試流程非常重要，以便在監(jiān)控系統(tǒng)識(shí)別出該測(cè)試時(shí)，可快速確定操作的合法性。D.測(cè)試的安排必須使影響重要操作的風(fēng)險(xiǎn)減到最小，但這是與組織的管理層合作的內(nèi)容。A5-67某個(gè)組織允許使用通用串行總線(xiàn)驅(qū)動(dòng)器（USB設(shè)備）在辦公室之間傳輸運(yùn)營(yíng)數(shù)據(jù)。以下哪項(xiàng)是與使用這些設(shè)備有關(guān)的最大風(fēng)險(xiǎn)？[單選題]*A.文件未備份。B.設(shè)備被盜。(正確答案)C.將設(shè)備用于個(gè)人用途。D.將惡意軟件引入內(nèi)部網(wǎng)絡(luò)。答案解析：A.盡管這確實(shí)是一項(xiàng)風(fēng)險(xiǎn)，但未加密設(shè)備被盜的風(fēng)險(xiǎn)更大。B.由于通用串行總線(xiàn)（USB）驅(qū)動(dòng)器通常都非常小，因此很容易被盜或丟失。這是組織面臨的最大風(fēng)險(xiǎn)。C.將USB驅(qū)動(dòng)器用于個(gè)人用途違反了公司政策，但這并不是最大的風(fēng)險(xiǎn)。D.好的常規(guī)IT控制會(huì)在USB驅(qū)動(dòng)器插入計(jì)算機(jī)后對(duì)其進(jìn)行惡意軟件掃描。在可靠的環(huán)境中，惡意軟件的風(fēng)險(xiǎn)不如設(shè)備丟失或被盜的風(fēng)險(xiǎn)大。A5-68執(zhí)行計(jì)算機(jī)取證調(diào)查時(shí)，對(duì)于收集到的證據(jù)，信息系統(tǒng)審計(jì)師最應(yīng)關(guān)注的是：[單選題]*A.證據(jù)的分析。B.證據(jù)的評(píng)估。C.證據(jù)的保存。(正確答案)D.證據(jù)的泄露。答案解析：A.證據(jù)的分析很重要，但不是與取證調(diào)查中的證據(jù)相關(guān)的首要關(guān)注點(diǎn)。B.證據(jù)的評(píng)估很重要，但不是與取證調(diào)查中的證據(jù)相關(guān)的首要關(guān)注點(diǎn)。C.供執(zhí)法人員和司法當(dāng)局審查的證據(jù)的保存和存檔，是調(diào)查時(shí)的首要關(guān)注點(diǎn)。未能妥善保存證據(jù)將影響到法律訴訟中證據(jù)能否被接受。D.證據(jù)的泄露很重要，但不是信息系統(tǒng)審計(jì)師在取證調(diào)查中的首要關(guān)注點(diǎn)。A5-69認(rèn)證機(jī)構(gòu)（CA）可委任外部機(jī)構(gòu)處理的工作是：[單選題]*A.吊銷(xiāo)及暫停用戶(hù)的證書(shū)。B.生成及分配CA公鑰。C.在申請(qǐng)實(shí)體及其公鑰之間建立關(guān)聯(lián)。(正確答案)D.發(fā)布及分配用戶(hù)證書(shū)。答案解析：A.吊銷(xiāo)和暫停以及發(fā)布和分配用戶(hù)證書(shū)是用戶(hù)證書(shū)生命周期管理流程中的職能，必須由認(rèn)證機(jī)構(gòu)（CA）執(zhí)行。B.生成及分配CA公鑰是CA密鑰生命周期管理流程的一部分，因此無(wú)法對(duì)外授權(quán)。C.在申請(qǐng)實(shí)體及其公鑰之間建立關(guān)聯(lián)是注冊(cè)機(jī)構(gòu)的職能。該職能不一定要由CA履行，因此可以將該職能授權(quán)給其他機(jī)構(gòu)。D.發(fā)布和分配用戶(hù)證書(shū)是用戶(hù)證書(shū)生命周期管理流程中的職能，必須由CA執(zhí)行。A5-70以下哪項(xiàng)會(huì)導(dǎo)致拒絕服務(wù)攻擊？[單選題]*A.窮舉攻擊（暴力破解）。B.死亡之Ping。(正確答案)C.跳步攻擊。D.否定應(yīng)答攻擊。答案解析：A.窮舉攻擊是典型的文本攻擊，其針對(duì)加密密鑰和密碼窮舉所有可能的鍵組合。B.使用Ping命令發(fā)送大小超過(guò)65KB的數(shù)據(jù)包且沒(méi)有加入分段標(biāo)志，會(huì)造成拒絕服務(wù)。C.跳步攻擊是指在一臺(tái)或多臺(tái)主機(jī)中使用遠(yuǎn)程網(wǎng)絡(luò)技術(shù)以逃避攻擊源地址被跟蹤的行為，其使用通過(guò)非法手段從某主機(jī)中取得的用戶(hù)ID和密碼信息對(duì)另一臺(tái)主機(jī)進(jìn)行攻擊。D.否定應(yīng)答是一種滲透技術(shù)，它利用了操作系統(tǒng)不能適當(dāng)處理異步中斷的潛在脆弱性，使在這類(lèi)中斷發(fā)生時(shí)該系統(tǒng)處于無(wú)保護(hù)狀態(tài)。A5-71與RSA加密相比，以下哪項(xiàng)是橢圓曲線(xiàn)加密的優(yōu)點(diǎn)？[單選題]*A.計(jì)算速度。(正確答案)B.能夠支持?jǐn)?shù)字簽名。C.更簡(jiǎn)便的密鑰分配。D.消息完整性控制。答案解析：A.與RSA加密相比，橢圓曲線(xiàn)加密（ECC）的主要優(yōu)點(diǎn)是計(jì)算速度快。部分原因是ECC算法使用的密鑰比RSA小得多。B.這兩種加密方法都支持?jǐn)?shù)字簽名。C.這兩種加密方法都用于公鑰加密和分配。D.ECC和RSA都支持消息完整性控制。A5-72在數(shù)據(jù)的機(jī)密性、可靠性和完整性方面，以下哪項(xiàng)可以對(duì)互聯(lián)網(wǎng)業(yè)務(wù)提供最全面的控制？[單選題]*A.安全套接字層。(正確答案)B.入侵檢測(cè)系統(tǒng)。C.公鑰基礎(chǔ)設(shè)施。D.虛擬私有網(wǎng)絡(luò)。答案解析：A.安全套接字層（SSL）被許多電子商務(wù)應(yīng)用程序用來(lái)建立安全的通信通道，通過(guò)公鑰和對(duì)稱(chēng)加密的結(jié)合使用確保機(jī)密性，通過(guò)哈希消息驗(yàn)證碼確保完整性。B.入侵檢測(cè)系統(tǒng)可記錄網(wǎng)絡(luò)活動(dòng)，但不用于保護(hù)通過(guò)網(wǎng)絡(luò)的流量。C.公鑰基礎(chǔ)設(shè)施與SSL一起使用來(lái)提供安全的通信，如電子商務(wù)和電子郵件。D.虛擬私有網(wǎng)絡(luò)（VPN）是對(duì)提供機(jī)密性、完整性和身份認(rèn)證（可靠性）的通信通道的通用術(shù)語(yǔ)。VPN可在開(kāi)放式系統(tǒng)互連堆棧不同層上工作，不一定都是與加密一起使用的。SSL可稱(chēng)為一種VPN。A5-73以下哪一項(xiàng)預(yù)防性控制最有助于確保Web應(yīng)用程序安全？[單選題]*A.密碼掩碼。B.培訓(xùn)開(kāi)發(fā)人員。(正確答案)C.使用加密。D.漏洞測(cè)試。答案解析：A.密碼掩碼是必要的預(yù)防性控制，但并非確保應(yīng)用程序安全的最佳方法。B.在給出的選項(xiàng)中，教會(huì)開(kāi)發(fā)人員編寫(xiě)安全代碼是確保應(yīng)用程序安全的最佳方法。C.加密能保護(hù)數(shù)據(jù)，但由于編碼過(guò)程中的其他缺陷可能損害應(yīng)用程序和數(shù)據(jù)，因此并不足以確保應(yīng)用程序安全。確保用安全的方法設(shè)計(jì)應(yīng)用程序才是保護(hù)應(yīng)用程序的最佳做法。需要通過(guò)確保開(kāi)發(fā)員經(jīng)過(guò)適當(dāng)?shù)陌踩幋a實(shí)踐教育才能做到這一點(diǎn)。D.漏洞測(cè)試可能有助于確保應(yīng)用程序的安全性；然而，最佳的預(yù)防性控制是對(duì)開(kāi)發(fā)人員進(jìn)行教育，因?yàn)閺囊婚_(kāi)始就創(chuàng)建安全的應(yīng)用程序更加有效。A5-74以下哪種防病毒軟件實(shí)施策略在互連的公司網(wǎng)絡(luò)中最有效？[單選題]*A.基于服務(wù)器的防病毒軟件。B.基于企業(yè)的防病毒軟件。(正確答案)C.基于工作站的防病毒軟件。D.基于外圍的防病毒軟件。答案解析：A.有效的防病毒方案必須是基于服務(wù)器、網(wǎng)絡(luò)和外圍的掃描和保護(hù)的綜合方案。B.控制病毒蔓延的一個(gè)重要方式是，在整個(gè)企業(yè)范圍內(nèi)部署可在許多點(diǎn)上對(duì)流量進(jìn)行監(jiān)控和分析的防病毒解決方案。這樣可提供一個(gè)多層次的防御模式，檢測(cè)出惡意軟件的可能性更大，無(wú)論惡意軟件是如何進(jìn)入組織的，例如，通過(guò)通用串行總線(xiàn)（USB）或可移動(dòng)存儲(chǔ)、網(wǎng)絡(luò)、被感染的下載和惡意Web應(yīng)用程序。C.只在工作站檢查病毒并不夠，因?yàn)閻阂廛浖部筛腥驹S多網(wǎng)絡(luò)設(shè)備或服務(wù)器。D.因?yàn)閻阂廛浖赏ㄟ^(guò)多種途徑進(jìn)入組織，只在外圍對(duì)惡意軟件進(jìn)行檢查不足以為組織提供保護(hù)。A5-75信息系統(tǒng)審計(jì)師在審查虛擬私有網(wǎng)絡(luò)實(shí)施情況時(shí)，以下哪種情況最令其擔(dān)憂(yōu)？網(wǎng)絡(luò)中的計(jì)算機(jī)位于：[單選題]*A.企業(yè)的內(nèi)部網(wǎng)絡(luò)。B.備用站點(diǎn)。C.員工家里。(正確答案)D.企業(yè)的遠(yuǎn)程辦公室。答案解析：A.在企業(yè)的內(nèi)部網(wǎng)中，應(yīng)具有一些安全政策和控制措施來(lái)檢測(cè)并停止使用內(nèi)部計(jì)算機(jī)作為臨時(shí)平臺(tái)的外部攻擊。B.備用站點(diǎn)上的計(jì)算機(jī)因?yàn)樽袷仄髽I(yè)的安全政策，因此不屬于高風(fēng)險(xiǎn)計(jì)算機(jī)。C.虛擬私有網(wǎng)絡(luò)實(shí)施的風(fēng)險(xiǎn)之一是允許高風(fēng)險(xiǎn)等級(jí)的計(jì)算機(jī)出現(xiàn)在企業(yè)的網(wǎng)絡(luò)中。允許進(jìn)入虛擬網(wǎng)絡(luò)的所有計(jì)算機(jī)都應(yīng)遵守相同的安全政策。家庭計(jì)算機(jī)極少遵守企業(yè)的安全政策，因此屬于高風(fēng)險(xiǎn)計(jì)算機(jī)。一旦某臺(tái)計(jì)算機(jī)被黑客攻擊并“侵占”，任何信任該計(jì)算機(jī)的網(wǎng)絡(luò)都將處于危險(xiǎn)之中。網(wǎng)絡(luò)上的所有計(jì)算機(jī)都位于企業(yè)環(huán)境時(shí)，更易于實(shí)施并遵守企業(yè)安全政策。D.企業(yè)遠(yuǎn)程辦公室網(wǎng)絡(luò)中的計(jì)算機(jī)，可能由對(duì)安全具有不同理解的不同信息系統(tǒng)員工和安全員進(jìn)行操作，此類(lèi)計(jì)算機(jī)發(fā)生風(fēng)險(xiǎn)的概率要高于主辦公室或備份站點(diǎn)，但顯然比家庭計(jì)算機(jī)的風(fēng)險(xiǎn)低。A5-76使用數(shù)字簽名的主要原因是確保數(shù)據(jù)的：[單選題]*A.機(jī)密性。B.完整性。(正確答案)C.可用性。D.正確性。答案解析：A.數(shù)字簽名本身不能解決信息的機(jī)密性。B.數(shù)字簽名可提供完整性，這是由于已簽名消息（文件、郵件、文檔等）的數(shù)字簽名在每次文檔的單個(gè)位發(fā)生變化時(shí)就會(huì)隨之更改，因此無(wú)法修改已簽名的文檔。數(shù)字簽名可保證消息的完整性、不可否認(rèn)性和來(lái)源證明。C.可用性與數(shù)字簽名無(wú)關(guān)。D.一般而言，正確性與數(shù)字簽名無(wú)關(guān)。數(shù)字簽名可保證數(shù)據(jù)的完整性，但不能確保簽名數(shù)據(jù)的正確性。A5-77以下哪一項(xiàng)是被動(dòng)網(wǎng)絡(luò)安全攻擊的示例？[單選題]*A.流量分析。(正確答案)B.偽裝。C.拒絕服務(wù)。D.電子郵件欺騙。答案解析：A.網(wǎng)絡(luò)安全威脅/漏洞可分為被動(dòng)攻擊和主動(dòng)攻擊。被動(dòng)攻擊是監(jiān)控或截取網(wǎng)絡(luò)流量的攻擊，但不會(huì)以任何方式修改、插入或刪除流量。被動(dòng)攻擊的示例有網(wǎng)絡(luò)分析、竊聽(tīng)和流量分析。B.因?yàn)閭窝b通過(guò)修改數(shù)據(jù)源修改了數(shù)據(jù)，所以屬于主動(dòng)攻擊。C.因?yàn)榫芙^服務(wù)攻擊用流量淹沒(méi)網(wǎng)絡(luò)或在網(wǎng)絡(luò)上發(fā)送偽造的數(shù)據(jù)包，所以屬于主動(dòng)攻擊。D.因?yàn)殡娮余]件欺騙修改電子郵件頭，所以屬于主動(dòng)攻擊。A5-78某信息系統(tǒng)審計(jì)師正在為公司審查安全事故管理程序。以下哪一項(xiàng)是最重要的考慮因素？[單選題]*A.電子證據(jù)監(jiān)管鏈。(正確答案)B.系統(tǒng)違規(guī)通知程序。C.向外部機(jī)構(gòu)上報(bào)的程序。D.丟失數(shù)據(jù)恢復(fù)程序。答案解析：A.關(guān)于安全事故管理，證據(jù)的保留是最重要的考慮因素。如果數(shù)據(jù)和證據(jù)收集不適當(dāng)，則可能丟失寶貴的信息，并且如果公司決定提起訴訟，法庭將不予采信。B.系統(tǒng)違規(guī)通知是個(gè)重要方面，并且在許多情況下，甚至須按法律和法規(guī)要求提供；但安全事故不一定是一種違規(guī)，并且通知程序可能不適用。C.向當(dāng)?shù)鼐交蛱幚砭W(wǎng)絡(luò)犯罪的專(zhuān)門(mén)機(jī)構(gòu)等外部機(jī)構(gòu)上報(bào)的程序很重要。但如果沒(méi)有適當(dāng)?shù)谋O(jiān)管鏈程序，則可能丟失重要的證據(jù)，并且如果公司決定提起訴訟，法庭將不予采信。D.盡管具有恢復(fù)丟失數(shù)據(jù)的程序很重要，但關(guān)鍵是要確保證據(jù)得到保護(hù)，以確?？梢愿M(jìn)和調(diào)查。A5-79以下哪項(xiàng)可衡量生物特征識(shí)別系統(tǒng)的準(zhǔn)確性？[單選題]*A.系統(tǒng)響應(yīng)時(shí)間。B.注冊(cè)時(shí)間。C.輸入文件大小。D.錯(cuò)誤接受率。(正確答案)答案解析：A.實(shí)施生物特征識(shí)別系統(tǒng)的一個(gè)重要的考慮因素是處理每個(gè)用戶(hù)所需的時(shí)間。如果系統(tǒng)處理太慢，則會(huì)影響生產(chǎn)率并導(dǎo)致不滿(mǎn)，但這不是衡量準(zhǔn)確性的標(biāo)準(zhǔn)。B.注冊(cè)時(shí)間是在系統(tǒng)中對(duì)用戶(hù)進(jìn)行登記所需的時(shí)間。它不是衡量準(zhǔn)確性的標(biāo)準(zhǔn)。C.保留生物特征識(shí)別信息的文件大小根據(jù)所選擇的生物特征識(shí)別方案的類(lèi)型而不同。它不是衡量準(zhǔn)確性的標(biāo)準(zhǔn)。D.共有3種主要的準(zhǔn)確性衡量手段可用于生物特征識(shí)別解決方案：錯(cuò)誤拒絕率（FRR）、交叉錯(cuò)誤率（CER）和錯(cuò)誤接受率（FAR）。FRR用于衡量拒絕有效用戶(hù)的次數(shù)。FAR用于衡量接受無(wú)效員工的次數(shù)。CER用于衡量錯(cuò)誤拒絕率等于錯(cuò)誤接受率的次數(shù)。A5-80信息系統(tǒng)審計(jì)師評(píng)估邏輯訪(fǎng)問(wèn)控制時(shí)，應(yīng)首先：[單選題]*A.記錄應(yīng)用在系統(tǒng)的潛在訪(fǎng)問(wèn)路徑上的控制。B.測(cè)試訪(fǎng)問(wèn)路徑上的控制，以便確定是否能夠正常執(zhí)行。C.參照書(shū)面政策與實(shí)際情況評(píng)估環(huán)境的安全性。D.了解信息處理的安全風(fēng)險(xiǎn)。(正確答案)答案解析：A.記錄和評(píng)估是評(píng)估控制的充分性、效率和有效性的第二步，而且以使這些控制成為必需的系統(tǒng)的風(fēng)險(xiǎn)為基礎(chǔ)。B.第三步是測(cè)試訪(fǎng)問(wèn)路徑，以便判斷控制是否能夠正常運(yùn)行。C.只有在確定風(fēng)險(xiǎn)并記錄控制之后，信息系統(tǒng)審計(jì)師才能通過(guò)對(duì)書(shū)面政策的審查、對(duì)實(shí)際情況的觀(guān)察并將之與相關(guān)的最佳安全實(shí)踐相比較，來(lái)評(píng)估環(huán)境的安全性。D.評(píng)估邏輯訪(fǎng)問(wèn)控制措施時(shí)，信息系統(tǒng)審計(jì)師應(yīng)首先通過(guò)審查相關(guān)文檔、詢(xún)問(wèn)以及進(jìn)行風(fēng)險(xiǎn)評(píng)估來(lái)了解信息處理所面臨的安全風(fēng)險(xiǎn)。這對(duì)于信息系統(tǒng)審計(jì)師確保控制足以應(yīng)對(duì)風(fēng)險(xiǎn)是必要的。A5-81以下哪項(xiàng)是在處置過(guò)程中從廢舊磁帶中刪除數(shù)據(jù)最安全的方法？[單選題]*A.覆寫(xiě)磁帶。B.初始化磁帶標(biāo)簽。C.將磁帶消磁。(正確答案)D.擦除磁帶內(nèi)容。答案解析：A.覆寫(xiě)磁帶是一種好辦法，