典型試題
【例題】能提交專題問題并使其他知情人可以看到和答復的地方是
A.文件搜索程序,如Archie。
B.廣域信息服務器。
C.互聯網專題論壇,如Usenet group。
D.開放系統互聯組織。
【答案】C
【解析】
A.不正確。文件搜索程序用于在因特網上搜索所需的文件資料。
B.不正確。廣域信息服務器可以在因特網上發布信息。
C.正確?;ヂ摼W專題論壇是一個供人們通過互聯網直接交流的場所,在這里可以提出問題,也可回復問題。
D.不正確。開放系統互聯組織是旨在推動開放系統發展的國際組織。
【例題】內部審計師正在復核一項有關電子郵件的新政策,這個政策應包括除了以下哪項以外的所有因素?
A.立即刪除已解除雇傭員工的所有電子郵件。
B.通過電話線傳輸的電子郵件信息應該加密。
C.限制公司采用的電子郵件軟件包的種類。
D.規定職員不能用電子郵件發送高度敏感或機密的信息。
【答案】A
【解析】
A.正確。已解除雇傭員工的電子郵件中很可能包含有用的客戶和業務信息,而且這些電子郵件的存在通常不對組織構成風險,因此沒有必要立即刪除,而應安排專人接手并檢查這些郵件。
B.不正確。電話線路很容易被竊聽,因此對通過電話線傳輸電子郵件信息進行加密應包括在政策之內。
C.不正確。限制公司采用的電子郵件軟件包的種類有利于郵件的安全管理和互通,應包括在政策之內。
D.不正確。電子郵件在通過公網傳送時,很可能受到各種攻擊,因此規定職員不能用電子郵件發送高度敏感或機密的信息應包括在政策之內。
【例題】以下哪種關于電子郵件安全性的說法是正確的?
I.電子郵件不可能比它賴以運行的計算機系統更安全。
II.機密的電子郵件信息應該儲存在郵件服務器中,儲存時間和紙質文件相等。
III.在大型組織中,可能有若干個不同安全級別的郵件管理員和地點。
A.只有I是對的。
B.只有I和II是對的。
C.只有I和III是對的。
D.只有II和III是對的。
【答案】C
【解析】
I.正確。如果電子郵件賴以運行的計算機系統不安全,就可以通過系統工具獲得電子郵件的內容。
II.不正確。一旦用戶將機密的郵件信息下載到PC機后,就不應該再在郵件服務器上保留。
III.正確。在大型組織中,通常會對不同安全級別的郵件分設不同的管理員和地點。
【例題】以下哪項關于電子郵件安全性的說法是正確的?
A.互聯網上的所有信息都被加密,因此能夠提供增強的安全性。
B.密碼在防止偶然訪問其他人的電子郵件時很有效。
C.如果沒有事先對安全控制記錄解密,那么即使具有訪問包含電子郵件信息的文件服務器的管理級權限的人員也不能接觸包含電子郵件信息的文件。
D.自主訪問控制策略不需要密碼。
【答案】B
【解析】
A.不正確?;ヂ摼W上的信息并未自動加密,包括電子郵件信息。
B.正確。對設置了密碼的電子郵件,必須輸入正確的密碼信息才能閱讀郵件,因此可以防止對郵件的偶然訪問。
C.不正確。具有文件服務器管理權限(一般控制)的人員完全有可能繞過電子郵件的安全控制(應用控制),通過直接閱讀郵件文件的方式來獲得郵件內容。
D.不正確。自主訪問控制策略需要對用戶身份進行鑒別,而口令是身份鑒別的主要手段
【例題】WWW站點證書的主要功能是
A.對用戶要訪問的WWW站點進行身份驗證。
B.對訪問WWW站點的用戶進行身份驗證。
C.防止黑客訪問WWW站點。
D.與數字證書有同樣的目的。
【答案】A
【解析】
A.正確。WWW站點證書的主要目的就是對要訪問的WWW站點進行身份驗證。用戶的身份驗證是通過口令,而不是通過站點證書來實現,站點證書既不會阻止黑客,也不能驗證用戶。
B.不正確。見題解A。
C.不正確。見題解A。
D.不正確。見題解A。
【例題】當數據在一貿易公司的服務器上通過SSL加密傳輸時,應考慮以下哪種情況?
A.組織對加密沒有控制。
B.消息面臨著線路竊聽。
C.數據可能無法到達預期的接受者。
D.通信可能不安全。
【答案】A
【解析】
A.正確。SSL安全協議提供數據加密、服務器身份驗證、消息完整性和客戶身份驗證功能,因為SSL內置于主要的瀏覽器和WWW服務器內,通過簡單安裝一個數字證書,就可啟用SSL的功能。數據被加密后在網上傳播,加密是在后臺進行的,不需要用戶的交互操作,也不需要用戶提供口令。
B.不正確。因為在客戶機與服務器之間的通信是被加密傳輸的,網上傳輸信息不會受到線路竊聽的威脅。
C.不正確。SSL要進行客戶機身份驗證,只有預期的接受者才能收到加密信息。
D.不正確。所有的通過SSL連接發送的數據都受到了防攻擊機制的保護,系統可以自動判斷數據在傳輸過程中是否被修改。
【例題】以下哪一種小程序(Applet)入侵類型會使組織面臨系統運行中斷的最大威脅?
A.在客戶機上放置病毒的程序
B.能記錄用戶擊鍵行為和收集口令的小程序。
C.從網上下載的能讀硬盤文件的代碼。
D.可以從客戶機建立網絡連接的小程序。
【答案】D
【解析】
A.不正確。在客戶機上放置病毒程序的行為稱為惡意攻擊,可能會引起客戶機的損害,但不會造成服務中斷。
B.不正確。能記錄擊鍵行為和收集口令的程序涉及的是有關組織隱私的問題。這雖然很重要,但不可能引起嚴重的服務中斷。
C.不正確。從網上下載的能讀客戶硬盤文件的代碼涉及的也是有關組織隱私的問題。這雖然很重要,但不可能引起嚴重的服務中斷。
D.正確。所謂小程序是從WWW服務器下載到客戶機的一段小程序,通過瀏覽器它可以實現訪問數據庫、與WWW頁面交互操作及與其他用戶進行通信的功能。在網絡上小程序與其他計算機建立連接后,就有可能發動拒絕服務來攻擊和損害其他計算機,從而造成業務中斷,這構成了對系統的最大威脅。
編輯推薦:2010年國際內審師考試備考輔導Web基礎設施匯總
(責任編輯:中大編輯)