公眾號:mywangxiao
及時發(fā)布考試資訊
分享考試技巧、復(fù)習(xí)經(jīng)驗
新浪微博 @wangxiaocn關(guān)注微博
聯(lián)系方式 400-18-8000
E15 系統(tǒng)安全
系統(tǒng)安全是在風(fēng)險分析的基礎(chǔ)上,選擇適宜的控制目標(biāo)與控制方式,對系統(tǒng)的安全進行控制,使信息資產(chǎn)的風(fēng)險降到組織可以接受的水平。
15.1 General Control V8.Application Control
一般控制和應(yīng)用控制
應(yīng)用控制與一般控制是兩個不同層次的控制手段:
一般控制(General Contr01)包括各種相對通用的控制手段和技術(shù),包括:管理控制、計算機運行控制、系統(tǒng)實施控制、軟件控制、硬件控制、訪問控制和數(shù)據(jù)安全控制等。
應(yīng)用控制(Application Control)包括和特定應(yīng)用相關(guān)的、為保障應(yīng)用程序正確運行而設(shè)定的控制,如輸入控制(input contr01)、處理控制(process control)、輸出控制(output contr01)等。
相對于應(yīng)用控制,一般控制更為基礎(chǔ),且其有效性不受應(yīng)用控制的影響。相反,應(yīng)用控制的有效性則往往受到一般控制,尤其是操作系統(tǒng)訪問控制的影響。當(dāng)審計師審查一個應(yīng)用系統(tǒng)的應(yīng)用控制時,應(yīng)首先確認(rèn)該系統(tǒng)已經(jīng)建立完善的一般控制。對于較復(fù)雜的信息系統(tǒng),通常應(yīng)結(jié)合使用這兩種控制技術(shù)。
一般控制包括:
管理控制(administrative contr01)的主要目標(biāo)是實現(xiàn)職責(zé)分離。常見的管理控制包括:系統(tǒng)分析員不應(yīng)該接觸計算機設(shè)備、數(shù)據(jù)和程序;計算機編程人員不應(yīng)該接觸計算機設(shè)備、數(shù)據(jù)和已交付使用的程序;操作員不應(yīng)該參與系統(tǒng)設(shè)計或更改程序,這樣可以最好地防止擁有充分技術(shù)的人員繞過安全程序,對生產(chǎn)程序進行修改。
運行控制(operations control)包括:
計算機運行控制是為確保系統(tǒng)的正常運行而實施的控制。例如,對不需要的文件要在受控條件下及時刪除;
系統(tǒng)實施控制(implementation control)是在系統(tǒng)開發(fā)實施過程的各個環(huán)節(jié)都建立控制點并編制文檔以保證系統(tǒng)的實施是在適當(dāng)?shù)目刂坪凸芾碇拢臋n應(yīng)從技術(shù)和應(yīng)用兩個角度說明系統(tǒng)是如何運行的;
軟件控制(software control)是保證已投入運行的軟件未經(jīng)許可不得修改的控制;
硬件控制(hardware contr01)是保證硬件正常運行的控制,如回波檢驗(echo check)、奇偶校驗(parity check)等;
訪問控制(access contr01)是確保只有 被授權(quán)用戶才能實現(xiàn)對特定數(shù)據(jù)和資源進行訪問的控制,通常特指邏輯訪問控制(logical access control);
物理設(shè)備控制(physical device contr01)是防止對物理設(shè)備的非授權(quán)接觸的控制。
應(yīng)用控制包括:
輸入控制(input contr01)包括輸入授權(quán)(input authorization)、數(shù)據(jù)轉(zhuǎn)換(data conversion)和編輯檢驗(edit checks)。其中,編輯檢驗又包括合理性檢驗 (reasonableness checks)、格式檢驗(format checks)、存在性檢驗(existence checks)、依賴性檢驗(dependency checks) (又稱相關(guān)性檢驗)、檢驗位 (check digit)、重新輸入控制(reinput control)等。
處理控制(processing contr01),包括運行總數(shù)控制(run control totals)、計算機匹配(computer matching)、并發(fā)控制(concurrency contr01)。
輸出控制(output contr01)包括平衡總數(shù)(balancing totals)、復(fù)核處理日志(review of processing logs)、審核輸出報告(audit of output report)、審核制度與文件(audit of procedures and documentation)。
15.2 Access Control Technologies
訪問控制技術(shù)
訪問控制技術(shù)確保只有被授權(quán)用戶才能實現(xiàn)對特定數(shù)據(jù)和資源的訪問。訪問控制技術(shù)可以應(yīng)用在信息系統(tǒng)的不同層次,如操作系統(tǒng)訪問控制、數(shù)據(jù)庫訪問控制、網(wǎng)頁訪問控制等。但訪問控制技術(shù)的應(yīng)用必須適當(dāng)合理,尤其應(yīng)注意系統(tǒng)安全性和系統(tǒng)可用性之間的平衡。訪問控制技術(shù)包括 用戶身份標(biāo)識(identification)和鑒別(authentication)、訪問控制列表(ACL:access control list)和審計追蹤(audit trails)等。
用戶標(biāo)識(UID:user identifier):用于唯一地確定一個用戶的身份,是實施訪問控制的前提。
口令(passwords):鑒別用戶身份的常用手段之一,通過使用口令可以明確用戶的責(zé)任。例如,對應(yīng)付款系統(tǒng)數(shù)據(jù)終端的訪問控制就可以要求激活終端數(shù)據(jù)必須使用口令并對數(shù)據(jù)終端的活動進行記錄,以明確該終端用戶對其所進行活動應(yīng)負(fù)的責(zé)任。
口令應(yīng)由用戶掌握和修改,還可以按用戶的權(quán)限設(shè)置不同的口令等級,以防止掌握口令的人非法訪問服務(wù)器上的所有用戶文件。口令應(yīng)該嚴(yán)格保密,并且在終端輸入時不應(yīng)該顯示。 為了防止口令被猜出,可使用能夠?qū)嵤┛诹罱M合標(biāo)準(zhǔn)的訪問控制軟件;為了防止存儲在系統(tǒng)中的口令被竊取,可使用能夠?qū)嵤┛诹罴用艿脑L問控制軟件。
有的用戶因為進入系統(tǒng)過程較瑣碎枯燥,就把登錄串包括口令存在個人電腦里,以待進入主機設(shè)施時再調(diào)用,這樣任何能訪問用戶個人計算機的人就能訪問主機。因此,對于高安全級別的系統(tǒng),應(yīng)采用更安全的身份識別技術(shù),如智能IC卡、生物技術(shù)(biometric technologies)等。
屏幕保護程序口令安全性較低,因為它很容易被繞過。
授權(quán)(Authorization)使用戶能訪問特定的數(shù)據(jù)和資源。應(yīng)建立數(shù)據(jù)分級方案和用戶標(biāo)識方案,并根據(jù)“知必所需 "(need to know)的原則建立訪問控制列表,確保雇員只能訪問對完成其工作確有必要的信息。
訪問日志(Access Log)對用戶訪問信息系統(tǒng)的時間、內(nèi)容等進行記錄,便于分析控制。安裝訪問日志系統(tǒng)屬于檢測性控制措施,它雖然可以發(fā)現(xiàn)未經(jīng)授權(quán)的訪問,但不能防止其發(fā)生。
自動注銷登錄(Automatic Log-off)自動撤消非活動終端的登錄可以防止通過無人照管的終端來訪問主機上的敏感數(shù)據(jù)。
回?fù)埽–allback)指遠(yuǎn)程用戶撥叫主機后應(yīng)立即掛斷,由主機回?fù)茉撚脩粢员WC信息按指定線路傳輸。例如:在電子資金匯劃系統(tǒng)中,為了保證數(shù)據(jù)只傳送給被授權(quán)的用戶,最有效的控制措施就是 要求接受數(shù)據(jù)的金融機構(gòu)使用回?fù)芟到y(tǒng)。
工具軟件(Utility Software Restrictions)可以繞過訪問控制和審計,管理層應(yīng)制定限制使用具有訪問特權(quán)的工具軟件的政策,以降低利用特權(quán)軟件進行非法訪問的風(fēng)險。
安全軟件(security software)的功能是限制對系統(tǒng)資源的訪問,但不能限制未經(jīng)許可軟件的安裝,也不能監(jiān)控職責(zé)分離。使用安全軟件要注意使安全軟件與操作系統(tǒng)在安全控制方面保持同步。
15.3 Firewall
防火墻
防火墻(firewall)是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測的、潛在的破壞性侵入。它可以通過監(jiān)測、限制或更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部信息、結(jié)構(gòu)和運行狀況,以此來實現(xiàn)網(wǎng)絡(luò)安全保護。利用Internet實現(xiàn)電子商務(wù)必須使用防火墻。
防火墻按其工作層次可分為:
數(shù)據(jù)包過濾型。通常安裝在路由器上,工作在網(wǎng)絡(luò)層,邏輯簡單、價格便宜、易于安裝和使用。
應(yīng)用網(wǎng)關(guān)型。通常安裝在專用工作站上,工作在應(yīng)用層,安全性能好,但價格比較貴,安裝和使用比較復(fù)雜。
應(yīng)用程序應(yīng)安裝在防火墻里面的服務(wù)器上,如果將應(yīng)用程序安裝在防火墻外面的服務(wù)器上,那么防火墻就起不到應(yīng)有的作用,會增加非法訪問的風(fēng)險。對于某些面向公開用戶的應(yīng)用系統(tǒng),如電子詢價系統(tǒng),必須允許公眾用戶訪問公司資源,此時可利用防火墻將系統(tǒng)劃分為內(nèi)部應(yīng)用區(qū)和中間應(yīng)用區(qū),并根據(jù)文件的訪問種類將其存放在不同區(qū)域,公眾用戶允許訪問中間區(qū)但不能進入內(nèi)部區(qū),從而確保公司數(shù)據(jù)的安全性。
審計防火墻的有效性需要核實路由器訪問控制列表、測試調(diào)制解調(diào)器和集線器的位置、審查控制記錄。
入侵檢測系統(tǒng)(IDS:Intrusion Detection System)工作在應(yīng)用層,可以對應(yīng)用數(shù)據(jù)流進行檢測并檢測出可能的入侵行為。IDS可分為兩類:基于行為的和基于知識的。基于行為的IDS基于已知的入侵行為特征進行過濾,而基于知識的IDS則根據(jù)知識庫推斷,是可以發(fā)現(xiàn)未曾預(yù)見的攻擊的專家系統(tǒng)。
入侵檢測系統(tǒng)和防火墻的集成可以構(gòu)成入侵防御系統(tǒng)(IPS:Instrusion Prevention System)。
15.4 Physical Computer Security
計算機的物理安全
計算機物理安全包括防火防潮、不間斷電源的使用、計算機附近鐵路公路的風(fēng)險評價、盡量不要暴露數(shù)據(jù)中心的位置以防止恐怖分子襲擊、生物統(tǒng)計訪問系統(tǒng)的應(yīng)用等物理因素,但不包括訪問授權(quán)等邏輯因素。
對于使用租賃線路的網(wǎng)絡(luò)應(yīng)保證設(shè)置在各營業(yè)場所的傳輸線路的安全以防止非法訪問網(wǎng)絡(luò)。
15.5 Outsourcing Services
外包服務(wù)/第三方服務(wù)
企業(yè)為了提高組織結(jié)構(gòu)的適應(yīng)性,使之能集中精力于核心業(yè)務(wù),從而以最小的成本獲取最大的邊際利潤,往往通過簽訂協(xié)議將其信息部門的部分或全部職能交給第三方服務(wù)機構(gòu)來承擔(dān),即所謂的服務(wù)外包。第三方服務(wù)機構(gòu)的類型及特點如下:
設(shè)備管理機構(gòu)(facilities management organizations):按照用戶的要求來管理運行用戶擁有的數(shù)據(jù)處理設(shè)備。
計算機租賃公司(computer leasing companies):只提供設(shè)備,不負(fù)責(zé)設(shè)備管理運行。
服務(wù)局(service bureaus):管理運行自己擁有的數(shù)據(jù)處理設(shè)備,為不同客戶提供處理服務(wù)。
共享服務(wù)商(time-sharing vendors):管理運行自己擁有的數(shù)據(jù)處理設(shè)備和系統(tǒng),使各類組織能使用它們的系統(tǒng)。
采用第三方服務(wù)是目前的流行趨勢,但是這種服務(wù)同時也帶來了合同糾紛、系統(tǒng)失敗、運行不良、放棄日常操作控制等風(fēng)險。
相關(guān)推薦:國際注冊內(nèi)審師考試《經(jīng)營分析和信息技術(shù)》講義匯總
新添考試應(yīng)用:
①資訊訂閱,查詢最新考試信息②章節(jié)習(xí)題 海量套題全免費體驗!!
典型試題
1.用戶和管理人員都需認(rèn)可最初的建議、設(shè)計規(guī)劃、轉(zhuǎn)換計劃和信息系統(tǒng)測試計劃。這是以下哪項控制的例證?
a.實施控制。
b.硬件控制。
c.計算機運行控制。
d.數(shù)據(jù)安全性控制。
『正確答案』a
『解題思路』
a.正確。實施控制應(yīng)存在于系統(tǒng)開發(fā)過程的各個環(huán)節(jié),以確保系統(tǒng)實施處于適當(dāng)?shù)目刂坪凸芾碇隆?
b.不正確。硬件控制用以保證計算機硬件的物理安全和檢查設(shè)備的故障。
c.不正確。計算機運行控制應(yīng)用在計算機部門的工作中,保證程序化的作業(yè)規(guī)程在數(shù)據(jù)的存儲和處理過程中得到一貫正確地執(zhí)行。
d.不正確。數(shù)據(jù)安全性控制保證在磁盤或磁帶上的數(shù)據(jù)文件不被非法訪問、修改或毀壞
2.以下哪項是信息系統(tǒng)邏輯安全控制的目標(biāo)?
a.保證數(shù)據(jù)記錄的完整和準(zhǔn)確。
b.保證數(shù)據(jù)處理的完整和準(zhǔn)確。
c.限制對特定數(shù)據(jù)和資源的訪問。
d.提供處理結(jié)果的審計軌跡。
『正確答案』c
『解題思路』
a.不正確。保證數(shù)據(jù)記錄的完整和準(zhǔn)確是輸入控制的目標(biāo)。
b.不正確。保證數(shù)據(jù)處理的完整和準(zhǔn)確是處理控制的目標(biāo)。
c.正確。限制對特定數(shù)據(jù)和資源的訪問是邏輯安全控制的目標(biāo)。
d.不正確。提供處理結(jié)果的審計軌跡屬于輸出控制的目標(biāo)。
3. 要防止通過將無人照管的終端直接連接到主機上而對敏感數(shù)據(jù)進行非法訪問,以下哪項安全控制效果最佳?
a.使用帶密碼的屏幕保護程序。
b.使用工作站腳本程序。
c.對數(shù)據(jù)文件加密。
d.自動注銷不活動用戶。
『正確答案』d
『解題思路』
a.不正確。無人照管終端的主要風(fēng)險是該終端可能已經(jīng)合法地登錄主機,因此任何人都可以利用該終端訪問主機中的敏感數(shù)據(jù)。在這種情況下,帶密碼的屏幕保護程序較容易被繞過,如用另一臺終端替換該終端。
b.不正確。工作站腳本程序用來定制終端的運行環(huán)境,只有在終端登錄時起作用。
c.不正確。對數(shù)據(jù)文件加密不能防止攻擊者訪問敏感數(shù)據(jù),因此時攻擊者已獲得了合法用戶的身份,系統(tǒng)會自動解密數(shù)據(jù)文件。
d.正確。自動注銷不活動用戶可使攻擊者失去獲得合法用戶的機會。
4.以下哪項應(yīng)用程序控制能夠為庫存數(shù)據(jù)完整、準(zhǔn)確地輸入提供合理保證?
a.順序檢查。
b.批量總額。
C.限額檢查。
d.檢驗數(shù)位。
『正確答案』b
『解題思路』
a.不正確。順序檢查是一種測試輸入完整性的相當(dāng)好的控制,但它并不測試正確性。
b.正確。批量匯總檢查對測試輸入完整性和正確性均很有效。
c.不正確。限額檢查只能判定輸入的數(shù)據(jù)是否在可接受的范圍內(nèi),因此也不能用來測試輸入的正確性。
d.不正確。數(shù)字檢驗位可以使計算機機械地拒絕錯誤的輸入。生成數(shù)字校驗位需要進行繁瑣的運算,因而這種方法只適用于少數(shù)關(guān)鍵的輸入項。數(shù)字校驗位絕不會用于測試成批數(shù)據(jù)輸入的正確性。
5.為了避免非法數(shù)據(jù)的輸入,某銀行在每個賬號結(jié)尾新加一個數(shù)字并對新加的數(shù)字進行一種計算,此種技術(shù)被稱為:
a.光學(xué)字符識別。
b.校驗數(shù)位。
c.相關(guān)性檢驗。
d.格式檢驗。
『正確答案』b
『解題思路』
a.不正確。光學(xué)字符識別將印刷字符轉(zhuǎn)換成計算機可以識別的內(nèi)部代碼。
b.正確。校驗數(shù)位是對某字段進行某種計算后得出,并附加在該字段之后的校驗位。通過重新計算校驗位并和原校驗位進行比較,可以發(fā)現(xiàn)該字段內(nèi)容是否已發(fā)生變化
c.不正確。相關(guān)性檢驗用于檢查多個字段之間是否存在某種關(guān)聯(lián),來判斷字段內(nèi)容的正確性
d.不正確。格式檢驗用于檢查字段內(nèi)容是否遵循某種特定的格式,如日期字段應(yīng)該具有如下格式:YYYY:MM:DD
6.以下哪項不是典型的輸出控制?
a.審查計算機處理記錄,以確定所有正確的計算機作業(yè)都得到正確執(zhí)行。
b.將輸入數(shù)據(jù)與主文件上的信息進行匹配,并將不對應(yīng)的項目放入暫記文件中。
c.定期對照輸出報告,以確認(rèn)有關(guān)總額、格式和關(guān)鍵細(xì)節(jié)的正確性及其與輸入信息的一致性。
d.通過正式的程序和文件指明輸出報告、支票或其他關(guān)鍵文件的合法接收者。
『正確答案』b
『解題思路』
a.不正確。審查計算機處理記錄是典型的輸出控制。
b.正確.將輸人數(shù)據(jù)與主文件上的信息進行匹配是一項輸入控制。
c.不正確。定期對照輸出報告是典型的輸出控制。
d.不正確。通過正式的程序和文件指明輸出報告、支票或其他關(guān)鍵文件的合法接收者是典型的輸出控制。
7.因為某公司的大部分日常交易信息對其競爭對手都是機密信息,該公司只允許雇員訪問對完成各自工作有必要的信息,這種訪問信息的方法是基于:
a.知必所需原則
b.個體可追蹤原則。
c.即時性原則。
d.例外管理原則。
『正確答案』a
『解題思路』
a.正確。知必所需原則指雇員只能獲得其完成工作所必需的信息。
b.不正確。個體可追蹤原則指雇員能夠為其授權(quán)操作行為承擔(dān)責(zé)任。
c.不正確。即時性原則要求為生產(chǎn)某項產(chǎn)品所需的原材料或存貨能在最適當(dāng)?shù)臅r間和最合適的數(shù)量準(zhǔn)備好,既不形成過多的庫存,又不延誤產(chǎn)品的生產(chǎn)。
d.不正確。例外管理原則強調(diào)更多地關(guān)注例外條件,認(rèn)為這樣比花費同樣的時間來關(guān)注正常運行過程效果更好。
8.用來確定應(yīng)用程序系統(tǒng)需要建立多少控制的標(biāo)準(zhǔn)不包括以下哪項內(nèi)容?
a.數(shù)據(jù)在系統(tǒng)中的重要性。
b.應(yīng)用網(wǎng)絡(luò)監(jiān)測軟件的可行性。
c.某項活動或處理沒有受到適當(dāng)控制所產(chǎn)生的風(fēng)險水平。
d.每種控制措施的效率、復(fù)雜性和費用。
『正確答案』b
『解題思路』
a.不正確。例如,重要的財務(wù)和會計系統(tǒng),如證券交易所的股票買賣跟蹤系統(tǒng),相對于記錄員工培訓(xùn)和技能的系統(tǒng)而言,必須具有更高的控制標(biāo)準(zhǔn)。
b.正確。網(wǎng)絡(luò)監(jiān)測軟件并不參與應(yīng)用系統(tǒng)內(nèi)部的控制。
c.不正確。問題的發(fā)生頻率及其潛在的危害應(yīng)決定在一個系統(tǒng)中建立多少控制。
d.不正確。例如,在一個每天處理成千上萬筆支付業(yè)務(wù)的系統(tǒng)中,完全的逐項檢查可能過于費時而不可操作,但如僅檢查關(guān)鍵的數(shù)據(jù)則可能是可行的,如檢查金額、賬號而忽略姓名和地址。
9. 以下哪種關(guān)于互聯(lián)網(wǎng)是一種可靠的商業(yè)網(wǎng)絡(luò)的說法是正確的?
a.公司若想保持內(nèi)部數(shù)據(jù)的安全性,必須應(yīng)用防火墻。
b.公司必須向互聯(lián)網(wǎng)提出申請,得到創(chuàng)造主頁的許可,從事電子商務(wù)。
c.希望在互聯(lián)網(wǎng)上參與電子商務(wù)活動的公司必須遵守互聯(lián)網(wǎng)供應(yīng)商聯(lián)盟確立的安全標(biāo)準(zhǔn)。
d.上述說法都對。
『正確答案』a
『解題思路』
a.正確。防火墻可以通過設(shè)立安全策略來控制互聯(lián)網(wǎng)的人員對公司內(nèi)網(wǎng)的訪問。
b.不正確。任何公司均可在互聯(lián)網(wǎng)上創(chuàng)建主頁并從事電子商務(wù),并不需要提出申請。
c.不正確。互聯(lián)網(wǎng)是一個松散管理的網(wǎng)絡(luò),不存在互聯(lián)網(wǎng)供應(yīng)商聯(lián)盟,當(dāng)然也不存在互聯(lián)網(wǎng)供應(yīng)商聯(lián)盟確立的安全標(biāo)準(zhǔn)。
d.不正確。
10.使用安全軟件(Security Software)的主要目的是:
a.控制對系統(tǒng)資源的訪問。
b.限制安裝未經(jīng)許可的工具軟件。
c.檢測病毒的出現(xiàn)。
d.對應(yīng)用程序中職責(zé)分離的監(jiān)控。
『正確答案』a
『解題思路』
a.正確。安全軟件的目標(biāo)就是控制對系統(tǒng)資源的訪問,這些資源包括工具軟件、程序庫、各種敏感級別的數(shù)據(jù)文件等。
b.不正確。安全軟件只控制對工具的使用,但不會限制其安裝。
c.不正確。能檢測病毒出現(xiàn)的是防病毒軟件。
d.不正確。可利用安全軟件實現(xiàn)職責(zé)分離,但不能對職責(zé)分離進行監(jiān)控。
11. 從微機上載的數(shù)據(jù)可能有誤,以下哪種方法能最好地解決此問題?
a.主機應(yīng)該定期備份。
b.上載數(shù)據(jù)時應(yīng)有兩個人同時在微機旁邊。
c.主機應(yīng)該對上載數(shù)據(jù)實施與聯(lián)機輸入數(shù)據(jù)時同樣的編輯和合法性檢查例程。
d.要求用戶檢查已處理數(shù)據(jù)的隨機樣本。
『正確答案』c
『解題思路』
a.不正確。定期備份對發(fā)生故障后的系統(tǒng)恢復(fù)非常有用,但不能防止和發(fā)現(xiàn)數(shù)據(jù)上傳的錯誤。
b.不正確。上傳數(shù)據(jù)時兩人同時在場對防止數(shù)據(jù)上傳中的舞弊問題有效,但對防止數(shù)據(jù)錯誤的作用很小。
c.正確。主機對上載數(shù)據(jù)實施與聯(lián)機輸入數(shù)據(jù)時同樣的編輯和合法性檢查例程能實時地發(fā)現(xiàn)并防止錯誤數(shù)據(jù)進入系統(tǒng)。
d.不正確。檢查已處理數(shù)據(jù)的隨機樣本屬于發(fā)現(xiàn)性的控制,但不能預(yù)防錯誤發(fā)生。
12. 通過以下哪種方式可以最好地防止擁有充分技術(shù)的人員繞過安全程序?qū)ιa(chǎn)程序進行修改?
a.對已完成工作的報告進行檢查。
b.將生產(chǎn)程序與獨立控制的拷貝進行比較。
c.定期運行測試數(shù)據(jù)。
d.制定合適的職責(zé)分離。
『正確答案』d
『解題思路』
a.不正確。對已處理作業(yè)進行檢查只能發(fā)現(xiàn)非法訪問的事實,但不能防止其發(fā)生。
b.不正確。比較生產(chǎn)程序和受控拷貝只能發(fā)現(xiàn)程序改變的事實,但不能防止其發(fā)生。
c.不正確。定期運行檢測數(shù)據(jù)可以發(fā)現(xiàn)改變,但不能防止改變。
d.正確。在職責(zé)分離的情況下,用戶無法獲得程序的詳細(xì)知識,而計算機操作員則很難不受監(jiān)督地接觸生產(chǎn)程序。
相關(guān)推薦:國際注冊內(nèi)審師考試《經(jīng)營分析和信息技術(shù)》講義匯總
新添考試應(yīng)用:
①資訊訂閱,查詢最新考試信息②章節(jié)習(xí)題 海量套題全免費體驗!!
(責(zé)任編輯:中大編輯)