領(lǐng)域：信息資產(chǎn)的保護(hù)附有答案

領(lǐng)域5：信息資產(chǎn)的保護(hù)[復(fù)制]A5-1Web應(yīng)用程序開發(fā)人員有時在網(wǎng)頁上使用隱藏字段來保存有關(guān)客戶會話的信息。在某些情況下，這種技術(shù)用于存儲持續(xù)存在于多個網(wǎng)頁的會話變量，例如，在零售網(wǎng)站應(yīng)用程序中保存購物車的內(nèi)容。此做法最有可能導(dǎo)致的基于Web的攻擊是：[單選題]*A.參數(shù)篡改。(正確答案)B.跨站點腳本。C.Cookie篡改。D.隱蔽命令執(zhí)行。答案解析：A.Web應(yīng)用程序開發(fā)人員有時使用隱藏字段來保存有關(guān)客戶會話的信息或向底層應(yīng)用程序提交隱藏參數(shù)，如最終用戶的語言。由于瀏覽器不顯示隱藏的表單字段，因此開發(fā)人員可能感覺傳遞隱藏字段中的未驗證數(shù)據(jù)（將在以后驗證）是安全的。但這種做法并不安全，因為攻擊者可以攔截、修改和提交將導(dǎo)致信息泄露或執(zhí)行Web開發(fā)人員始料未及的功能的請求。對Web應(yīng)用程序參數(shù)的惡意修改稱為參數(shù)篡改。B.跨站點腳本會侵害網(wǎng)頁，將用戶重新定向到攻擊者網(wǎng)站上的內(nèi)容。使用隱藏字段不會影響發(fā)生跨站點腳本攻擊的可能性，因為這些字段是靜態(tài)內(nèi)容，通常無法被修改而形成這種類型的攻擊。Web應(yīng)用程序使用Cookie在客戶計算機(jī)上保存會話狀態(tài)信息，以便用戶在每次訪問頁面時無須登錄。C.Cookie篡改是指攔截和修改會話Cookie來冒充用戶或竊取登錄憑證。使用隱藏字段與Cookie篡改無關(guān)。D.隱蔽命令執(zhí)行是指通過安裝未經(jīng)授權(quán)的代碼來劫持Web服務(wù)器。盡管使用隱藏表單可能增加服務(wù)器受到侵害的風(fēng)險，但大多數(shù)常見的服務(wù)器攻擊與服務(wù)器操作系統(tǒng)或Web服務(wù)器的漏洞有關(guān)。A5-2哪種控制是保證文件數(shù)據(jù)在傳輸過程中沒被修改的最佳方式？[單選題]*A.合理性檢查。B.奇偶位檢驗。C.哈希值。(正確答案)D.校驗數(shù)字位。答案解析：A.合理性檢查用于確保輸入數(shù)據(jù)處于預(yù)期值范圍內(nèi)，而不確保數(shù)據(jù)傳輸?shù)耐暾?。?shù)據(jù)可能被更改了，但仍可通過合理性測試。B.奇偶位是用于檢測傳輸錯誤的一種較弱的數(shù)據(jù)完整性檢查，沒有哈希值好。C.哈希值是根據(jù)文件內(nèi)容計算的，且對文件中數(shù)據(jù)值的任何改動十分敏感。因此，它們是確保數(shù)據(jù)未被更改的最佳方法。D.校驗數(shù)字位用于檢測數(shù)值字段（如賬號）中的錯誤，通常與易位或抄寫錯誤相關(guān)。A5-3審計軌跡的主要目的是：[單選題]*A.改善用戶響應(yīng)時間。B.確立已處理交易的問責(zé)制度。(正確答案)C.提高系統(tǒng)的操作效率。D.為想要跟蹤交易的審計師提供信息。答案解析：A.啟用軟件以提供審計軌跡的目的不是提高系統(tǒng)效率，因為它通常包含其他處理，實際上會降低用戶的響應(yīng)時間。B.通過在系統(tǒng)中跟蹤交易，審計軌跡可用來幫助確立已處理交易的問責(zé)制度和責(zé)任。C.啟用審計軌跡涉及存儲，因此會占用磁盤空間，而且可能降低操作效率。D.審計軌跡用于各種目的的交易跟蹤，不僅限于審計。審計軌跡可被信息系統(tǒng)審計師使用，但這不是主要原因。A5-4以下哪種系統(tǒng)或工具可以識別出信用卡交易更有可能因信用卡失竊引起，而不是由信用卡持有人所為？[單選題]*A.入侵檢測系統(tǒng)。B.數(shù)據(jù)挖掘技術(shù)。(正確答案)C.狀態(tài)檢測防火墻。D.數(shù)據(jù)包過濾路由器。答案解析：A.入侵檢測系統(tǒng)對檢測基于網(wǎng)絡(luò)或主機(jī)的錯誤有效，但對識別欺詐交易無效。B.數(shù)據(jù)挖掘是用于檢測交易或數(shù)據(jù)的趨勢或模式的技術(shù)。如果某信用卡賬戶的歷史賬款模式發(fā)生變化，則意味著交易可能是通過對該卡的欺詐性使用來完成的。C.防火墻是保護(hù)網(wǎng)絡(luò)和系統(tǒng)的卓越工具，但對檢測欺詐交易無效。D.數(shù)據(jù)包過濾路由器工作在網(wǎng)絡(luò)層，不能看到交易。A5-5以下哪項最能保證服務(wù)器操作系統(tǒng)的完整性？[單選題]*A.在安全的位置放置服務(wù)器。B.設(shè)置啟動密碼。C.加固服務(wù)器配置。(正確答案)D.實施活動日志。答案解析：A.在安全的位置放置服務(wù)器是一種良好實踐，但這不能確保用戶不會試圖利用邏輯漏洞來攻擊該操作系統(tǒng)（OS）。B.設(shè)置啟動密碼是一種良好實踐，但這不能確保用戶不會試圖利用邏輯漏洞來攻擊該OS。C.加固系統(tǒng)是指以最安全的方式對系統(tǒng)進(jìn)行配置（安裝最新的安全修補(bǔ)程序，為用戶和管理員正確定義訪問授權(quán)，禁用不安全的選項并卸載未使用的服務(wù)），防止非特許用戶獲得執(zhí)行特許指令的權(quán)限來控制整個機(jī)器，從而危及該OS的完整性。D.在此情況下，活動日志有兩個弱點：一是活動日志是一種檢測性控制（不是預(yù)防性控制），二是獲得特許訪問權(quán)限的攻擊者可以修改日志或禁用日志。A5-6以下哪一網(wǎng)絡(luò)組件主要用作一種安全措施，防止在不同網(wǎng)段間進(jìn)行未授權(quán)的通信？[單選題]*A.防火墻。(正確答案)B.路由器。C.第2層交換機(jī)。D.虛擬局域網(wǎng)。答案解析：A.防火墻是組織防止網(wǎng)絡(luò)間未授權(quán)訪問的主要工具。組織可以選擇部署一個或多個具有防火墻功能的系統(tǒng)。B.路由器可以根據(jù)參數(shù)（如源地址）過濾數(shù)據(jù)包，但它不是主要的安全工具。C.根據(jù)介質(zhì)訪問控制地址，第2層交換機(jī)對通信進(jìn)行分離，但并不確定其是經(jīng)授權(quán)的通信還是未經(jīng)授權(quán)的通信。D.虛擬局域網(wǎng)是一些交換機(jī)的功能，該功能使得交換機(jī)可以控制不同端口間的通信，即使它們處于同一物理本地接入網(wǎng)中。然而，這些交換機(jī)并不能有效分辨通信是否經(jīng)授權(quán)。A5-7信息系統(tǒng)審計師發(fā)現(xiàn)組織的首席信息官（CIO）使用的是采用全球移動通信系統(tǒng)（GSM）技術(shù)的無線寬帶調(diào)制解調(diào)器。當(dāng)出差在外時，CIO使用此調(diào)制解調(diào)器連接自己的便攜式計算機(jī)和公司的虛擬私有網(wǎng)絡(luò)。信息系統(tǒng)審計師應(yīng)：[單選題]*A.什么也不做，因為GSM技術(shù)固有的安全功能已經(jīng)足夠了。(正確答案)B.建議CIO在啟用加密之前停止使用便攜式計算機(jī)。C.確保網(wǎng)絡(luò)上已啟用介質(zhì)訪問控制（MAC）過濾，從而未經(jīng)授權(quán)的無線用戶無法連接。D.建議使用雙因素認(rèn)證進(jìn)行無線連接，以防止未經(jīng)授權(quán)的通信。答案解析：A.全球移動通信系統(tǒng)（GSM）技術(shù)固有的安全功能結(jié)合虛擬私有網(wǎng)絡(luò)（VPN）的使用足以滿足安全要求。通過加密可確保GSM無線鏈路的通信保密性，而使用VPN表示在便攜式計算機(jī)和公司網(wǎng)絡(luò)之間建立加密會話。GSM是全球蜂窩通信標(biāo)準(zhǔn)，可用于語音和數(shù)據(jù)傳輸。目前部署的商用GSM技術(shù)具有多項重疊的安全功能，可防止竊聽、會話劫持或未經(jīng)授權(quán)使用GSM運(yùn)營商網(wǎng)絡(luò)。其他無線技術(shù)（如802.11無線局域網(wǎng)技術(shù)）設(shè)計為允許用戶調(diào)整甚至禁用安全設(shè)置，而GSM在激活和啟用所有相關(guān)安全功能之前不允許任何設(shè)備連接到系統(tǒng)。B.因為首席信息官（CIO）在使用VPN，可以推定除GSM的安全特性外還開啟了加密。此外，VPN不允許傳輸數(shù)據(jù)存儲在遠(yuǎn)程設(shè)備（如CIO的筆記本電腦）上。C.介質(zhì)訪問控制（MAC）過濾可用于無線局域網(wǎng)，但不適用于GSM網(wǎng)絡(luò)設(shè)備。D.因為使用的是GSM網(wǎng)絡(luò)而非無線局域網(wǎng)，所以無法對無線連接配置雙因素認(rèn)證。但是，建議使用雙因素認(rèn)證，因為它可以比單因素驗證更好地防止未經(jīng)授權(quán)的訪問。A5-8以下哪一項是盡量降低未經(jīng)授權(quán)訪問無人值守的最終用戶PC系統(tǒng)的最有效方法？[單選題]*A.強(qiáng)制使用密碼保護(hù)型屏幕保護(hù)程序。(正確答案)B.實施以接近感應(yīng)為基礎(chǔ)的身份認(rèn)證系統(tǒng)。C.按預(yù)定義間隔終止用戶會話。D.調(diào)整電源管理設(shè)置，以保證顯示屏是空白的。答案解析：A.具有合適時間間隔密碼保護(hù)的屏幕保護(hù)程序是防止未經(jīng)授權(quán)訪問無人值守的最終用戶系統(tǒng)的最佳措施。務(wù)必保證用戶離開機(jī)器時鎖定工作站，可以通過培訓(xùn)來達(dá)到這一目的。B.有各種解決方案可以在用戶離開辦公室時鎖定機(jī)器，并且適合本情景；但這些解決方案較為昂貴，通常需要使用智能卡和額外的硬件。因此，使用密碼保護(hù)的屏幕保護(hù)程序是更好的解決方案。C.終止用戶會議通常用于遠(yuǎn)程登錄（定期重鑒權(quán)），或在Web服務(wù)器會話中無活動達(dá)到一定時間的情形。離開時不鎖定工作站的相關(guān)風(fēng)險還有更多，因此這不是正確答案。D.關(guān)閉監(jiān)視器不是解決方法，因為只需要打開監(jiān)視器即可。A5-9實施以下哪一項可以最有效地防止未經(jīng)授權(quán)訪問Web服務(wù)器系統(tǒng)管理賬戶？[單選題]*A.在服務(wù)器上安裝主機(jī)入侵檢測軟件。B.密碼到期和鎖定策略。C.密碼復(fù)雜性規(guī)則。D.雙因素認(rèn)證。(正確答案)答案解析：A.主機(jī)入侵檢測軟件可協(xié)助檢測未經(jīng)授權(quán)的系統(tǒng)訪問，但不能防止此類訪問。B.雖然關(guān)于密碼到期和數(shù)次登錄失敗后鎖定的控制非常重要，但雙因素認(rèn)證方法或技術(shù)可最有效地減少憑證失竊或受損的風(fēng)險。僅有密碼的身份認(rèn)證可能不提供足夠的安全性。C.雖然關(guān)于密碼復(fù)雜性的控制非常重要，但雙因素認(rèn)證方法或技術(shù)可最有效地減少竊取或危害登錄身份的風(fēng)險。D.雙因素認(rèn)證通常要求用戶結(jié)合使用密碼和攻擊者無法輕易竊取或猜測的其他識別因素。雙因素認(rèn)證的類型包括電子訪問令牌（在顯示面板上顯示一次性密碼）或生物特征識別身份認(rèn)證系統(tǒng)。A5-10某公司的IT總監(jiān)已批準(zhǔn)在會議室中安裝無線局域網(wǎng)訪問點，使顧問團(tuán)隊可以通過便攜式計算機(jī)訪問互聯(lián)網(wǎng)。防止未經(jīng)授權(quán)訪問公司服務(wù)器的最佳控制是要確保：[單選題]*A.在訪問點上啟用加密。B.會議室網(wǎng)絡(luò)位于獨(dú)立的虛擬局域網(wǎng)（VLAN）上。(正確答案)C.顧問的便攜式計算機(jī)中的防病毒簽名和補(bǔ)丁級別是最新的。D.在公司服務(wù)器上禁用默認(rèn)的用戶ID并設(shè)置強(qiáng)密碼。答案解析：A.啟用加密是防止未授權(quán)網(wǎng)絡(luò)訪問的一個好主意，但最重要的是將顧問隔離于公司的其他網(wǎng)絡(luò)。B.安裝無線網(wǎng)絡(luò)設(shè)備帶來了授權(quán)用戶和未授權(quán)用戶訪問公司服務(wù)器的風(fēng)險。單獨(dú)的虛擬局域網(wǎng)是最佳解決方案，因為這樣可確保防止授權(quán)用戶和未授權(quán)用戶獲得數(shù)據(jù)庫服務(wù)器的網(wǎng)絡(luò)訪問權(quán)，同時允許授權(quán)用戶訪問互聯(lián)網(wǎng)。C.防病毒簽名和修補(bǔ)程序級別是一種良好實踐，但不如通過訪問控制防止未授權(quán)用戶訪問公司服務(wù)器重要。D.通過強(qiáng)密碼保護(hù)組織的服務(wù)器是良好實踐，但仍有必要隔離顧問使用的網(wǎng)絡(luò)。如果顧問能夠訪問其他網(wǎng)絡(luò)，他們就可以對公司其他計算機(jī)使用密碼破解工具。A5-11信息系統(tǒng)審計師正在審查某組織的人力資源（HR）數(shù)據(jù)庫的實施情況。信息系統(tǒng)審計師發(fā)現(xiàn)：為獲得高可用性而群集數(shù)據(jù)庫服務(wù)器，所有默認(rèn)數(shù)據(jù)庫賬戶已刪除，并且已保留數(shù)據(jù)庫審計日志，每周審查一次。為確保數(shù)據(jù)庫的安全，信息系統(tǒng)審計師還應(yīng)檢查哪些其他領(lǐng)域？[單選題]*A.限制數(shù)據(jù)庫管理員訪問HR數(shù)據(jù)。B.數(shù)據(jù)庫日志經(jīng)過加密。C.數(shù)據(jù)庫存儲的程序經(jīng)過加密。D.數(shù)據(jù)庫初始化參數(shù)適當(dāng)。(正確答案)答案解析：A.數(shù)據(jù)庫管理員有權(quán)訪問服務(wù)器上的所有數(shù)據(jù)，但沒有防止這樣做的實際控制，所以這不值得關(guān)注。B.數(shù)據(jù)庫審計日志通常不包含任何保密數(shù)據(jù)，因此不需要加密日志文件。C.如果存儲的程序包含加密數(shù)據(jù)之類的安全敏感性功能，則要求對存儲的程序進(jìn)行加密。但這不如確保初始化參數(shù)正確重要。D.打開一個數(shù)據(jù)庫時，其許多配置選項都是通過初始化參數(shù)進(jìn)行管理的。這些參數(shù)通常由包含許多設(shè)置的文件（在Oracle數(shù)據(jù)庫管理系統(tǒng)中，文件名為〝init.ora〝）控制。系統(tǒng)初始化參數(shù)處理許多“全局”的數(shù)據(jù)庫設(shè)置，包括身份認(rèn)證、遠(yuǎn)程訪問和其他重要安全領(lǐng)域。為了有效審計數(shù)據(jù)庫的實施，信息系統(tǒng)審計師必須檢查數(shù)據(jù)庫初始化參數(shù)。A5-12信息系統(tǒng)審計師被管理層要求審查一項可能是欺詐的交易。信息系統(tǒng)審計師在評估交易時的首要關(guān)注點應(yīng)為：[單選題]*A.在評估交易時，保持公正客觀。B.確保信息系統(tǒng)審計師的獨(dú)立性。C.保證數(shù)據(jù)的完整性。(正確答案)D.評估交易的所有相關(guān)證據(jù)。答案解析：A.盡管信息系統(tǒng)審計師保持公正客觀非常重要，但在這一案例中，更重要的是保護(hù)證據(jù)。B.盡管信息系統(tǒng)審計師保持公正客觀和獨(dú)立性非常重要，但在這一案例中，更重要的是保護(hù)證據(jù)。C.信息系統(tǒng)審計師已被要求執(zhí)行調(diào)查，尋找可能用于法律目的的證據(jù)，因此，保持證據(jù)的完整性應(yīng)是最重要的目標(biāo)。倘若計算機(jī)證據(jù)處理不當(dāng)，法庭會判定為不可接受。D.盡管評估所有相關(guān)證據(jù)也很重要，但更重要的是，維護(hù)保證證據(jù)完整性的監(jiān)管鏈。A5-13在某大型且復(fù)雜的組織中設(shè)計了一個新業(yè)務(wù)應(yīng)用程序，并且業(yè)務(wù)主管要求基于“按需知密”原則查看各種報告。在以下訪問控制方法中，哪項是實現(xiàn)該要求的最佳方法？[單選題]*A.強(qiáng)制訪問控制。B.基于角色的訪問控制。(正確答案)C.自主訪問控制。D.單點登錄。答案解析：A.基于強(qiáng)制訪問控制的訪問控制系統(tǒng)很昂貴，且在大型復(fù)雜的組織中難以實施和維護(hù)。B.基于角色的訪問控制根據(jù)崗位角色和職責(zé)限制訪問，是只讓被授權(quán)用戶按需查看報告的最佳方法。C.自主訪問控制（DAC）是由資源的所有人來決定誰可以訪問其資源。多數(shù)訪問控制系統(tǒng)都是DAC。該答案對于本情景不太具體。D.單點登錄是用于管理多個系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序的一種訪問控制技術(shù)。該答案對于本題目不太具體。A5-14以下哪一項是防止組織中未經(jīng)授權(quán)人員刪除審計日志的最佳控制手段？[單選題]*A.應(yīng)當(dāng)在單獨(dú)的日志中跟蹤對日志文件執(zhí)行的操作。B.禁用對審計日志的寫訪問權(quán)限。C.只有指定人員有權(quán)查看或刪除審計日志。(正確答案)D.定期執(zhí)行審計日志備份。答案解析：A.有更多的日志文件副本并不能防止原始日志文件被刪除。B.為了讓服務(wù)器和應(yīng)用程序正常運(yùn)行，寫訪問必須禁用。C.審計日志的訪問權(quán)限僅授予系統(tǒng)管理員和安全管理員可減少刪除這些文件的可能性。D.頻繁備份審計日志并不能防止日志被刪除。A5-15某公司正實施動態(tài)主機(jī)配置協(xié)議。出現(xiàn)以下哪種情況時最需要給予關(guān)注？[單選題]*A.大多數(shù)員工使用便攜式計算機(jī)。B.使用數(shù)據(jù)包過濾防火墻。C.IP地址空間小于PC數(shù)量。D.未對訪問網(wǎng)絡(luò)端口的操作進(jìn)行限制。(正確答案)答案解析：A.動態(tài)主機(jī)配置協(xié)議給便攜式計算機(jī)用戶提供了方便（一種優(yōu)勢）。B.防火墻的存在可作為一種安全措施，通常不會引起關(guān)注。C.有限數(shù)量的IP地址可以通過網(wǎng)絡(luò)地址轉(zhuǎn)換或通過增加分配給特定子網(wǎng)的IP地址數(shù)量來解決。D.如果對某端口進(jìn)行了物理訪問，則任何人都可連接到內(nèi)部網(wǎng)絡(luò)。這樣未獲授權(quán)的個人便可連接到公司網(wǎng)絡(luò)。A5-16要確保數(shù)據(jù)庫管理員（DBA）遵守企業(yè)數(shù)據(jù)管理的職務(wù)要求，以下哪項是有效的預(yù)防性控制？[單選題]*A.異常報告。B.職責(zé)分離。(正確答案)C.審查訪問日志和活動。D.管理部門監(jiān)督。答案解析：A.異常報告屬于檢測性控制，用于指示何時在無授權(quán)的情況下執(zhí)行數(shù)據(jù)庫管理員（DBA）活動。B.適當(dāng)?shù)穆氊?zé)分離（SoD）是一種預(yù)防性控制，可以將DBA的活動限制為由數(shù)據(jù)所有者授權(quán)的活動。SoD可通過要求一個以上的人參與完成任務(wù)，以限制DBA所能進(jìn)行的活動。C.審查訪問日志是為了檢測DBA進(jìn)行的活動。D.管理部門監(jiān)督DBA活動是為了檢測哪些DBA活動未獲得授權(quán)。A5-17某職員收到一個禮物是數(shù)碼相框，他將相框連接到自己的工作PC上試圖傳輸數(shù)碼照片。這種情況可能引入的主要風(fēng)險是：[單選題]*A.可能利用相框存儲介質(zhì)竊取企業(yè)數(shù)據(jù)。B.相框的驅(qū)動程序可能與用戶PC不兼容并造成用戶PC崩潰。C.該職員可能把不適當(dāng)?shù)恼掌瑤нM(jìn)辦公室。D.相框可能被惡意軟件感染。(正確答案)答案解析：A.雖然任何存儲設(shè)備都可用于竊取數(shù)據(jù)，但惡意軟件可對企業(yè)造成廣泛而嚴(yán)重的損害，這是更大風(fēng)險。B.雖然設(shè)備的驅(qū)動程序可能不兼容并造成用戶PC崩潰，但惡意軟件可對企業(yè)造成廣泛而嚴(yán)重的損害。C.雖然可能有不適當(dāng)?shù)膬?nèi)容，但惡意軟件可對企業(yè)造成廣泛而嚴(yán)重的損害。D.任何存儲設(shè)備都可能是向其他計算機(jī)傳染惡意軟件的工具。已在數(shù)個事例中發(fā)現(xiàn)一些設(shè)備在生產(chǎn)過程中在工廠內(nèi)被感染，所以應(yīng)有控制措施禁止員工將任何存儲媒體連接到公司電腦。A5-18組織發(fā)現(xiàn)首席財務(wù)官的計算機(jī)已感染惡意軟件，包括按鍵記錄器和惡意程序工具包（rootkit）。首先采取的措施應(yīng)為：[單選題]*A.聯(lián)系相應(yīng)的執(zhí)法部門開始調(diào)查。B.立即確保不會危害其他數(shù)據(jù)。C.斷開PC與網(wǎng)絡(luò)的連接。(正確答案)D.更新PC上的防病毒簽名，確保已檢測到并刪除惡意軟件或病毒。答案解析：A.雖然可能需要聯(lián)系執(zhí)法部門，但第一步應(yīng)通過斷開計算機(jī)與網(wǎng)絡(luò)的連接停止數(shù)據(jù)流動。B.第一步是斷開與網(wǎng)絡(luò)的連接，從而確保不會損害其他數(shù)據(jù)。然后使用適當(dāng)?shù)娜∽C技術(shù)獲取存放在臨時文件、網(wǎng)絡(luò)連接信息、加載到內(nèi)存的程序和計算機(jī)上的其他信息。C.最重要的任務(wù)是通過斷開計算機(jī)與網(wǎng)絡(luò)的連接，以防止進(jìn)一步的數(shù)據(jù)危害和保留證據(jù)。D.將計算機(jī)保持在最佳取證狀態(tài)，除了將其斷開網(wǎng)絡(luò)連接，不要做任何變更。如果切斷PC電源或更新PC上的軟件會銷毀證據(jù)。存儲于臨時文件中的信息、網(wǎng)絡(luò)連接信息、加載到內(nèi)存中的程序以及其他信息可能丟失。A5-19信息系統(tǒng)審計師正在審查以前醫(yī)院信息系統(tǒng)審計發(fā)現(xiàn)的問題。其中一個問題指出醫(yī)院使用電子郵件來溝通敏感的患者問題。信息技術(shù)經(jīng)理指出，為了解決此問題，醫(yī)院已對所有電子郵件用戶實施了數(shù)字簽名。信息系統(tǒng)審計師的響應(yīng)應(yīng)是什么？[單選題]*A.數(shù)字簽名不足以保護(hù)機(jī)密性。(正確答案)B.數(shù)字簽名足夠保護(hù)機(jī)密性。C.信息系統(tǒng)審計師應(yīng)收集有關(guān)特定實施情況的更多信息。D.信息系統(tǒng)審計師應(yīng)建議為安全電子郵件實施數(shù)字水印。答案解析：A.數(shù)字簽名旨在為電子郵件和其他傳輸提供身份認(rèn)證和不可否認(rèn)性，但不足以保護(hù)機(jī)密性。此實施不足以解決上一年度發(fā)現(xiàn)的問題。B.數(shù)字簽名不加密消息內(nèi)容，這意味著截獲消息的攻擊者可閱讀消息（因為數(shù)據(jù)是明文）。C.雖然在得出關(guān)于發(fā)現(xiàn)問題的結(jié)論之前收集更多信息始終是好步驟，但在本例中，實施的解決方法不提供機(jī)密性。D.數(shù)字水印用于保護(hù)文檔的知識產(chǎn)權(quán)，而不是用于保護(hù)電子郵件的機(jī)密性。A5-20以下哪一線路介質(zhì)可為電信網(wǎng)絡(luò)提供最佳安全性？[單選題]*A.數(shù)字傳輸寬帶網(wǎng)絡(luò)。B.基帶網(wǎng)絡(luò)。C.撥號。D.專用線路。(正確答案)答案解析：A.寬帶通信的安全使用取決于該網(wǎng)絡(luò)是否與其他人共享、數(shù)據(jù)是否加密和網(wǎng)絡(luò)是否中斷的風(fēng)險。B.基帶網(wǎng)絡(luò)是一種通常與許多其他用戶共享并要求流量加密的網(wǎng)絡(luò)，但攻擊者仍然可以進(jìn)行某些流量分析。C.撥號線路因為是私有連接，所以相當(dāng)安全，但因太慢而不會被當(dāng)今的大多數(shù)商業(yè)應(yīng)用考慮。D.專用線路供特殊用戶或組織使用。由于沒有共享線路或中間進(jìn)入點，所以攔截或中斷電信消息的風(fēng)險相對較低。A5-21為確保組織遵守隱私要求，信息系統(tǒng)審計師首先應(yīng)審查：[單選題]*A.IT基礎(chǔ)設(shè)施。B.組織的政策、標(biāo)準(zhǔn)和流程。C.法規(guī)要求。(正確答案)D.對組織政策、標(biāo)準(zhǔn)和流程的遵守情況。答案解析：A.為遵守要求，信息系統(tǒng)審計師必須首先知道有哪些要求。每個司法管轄區(qū)的要求都不相同。IT基礎(chǔ)設(shè)施與要求的實施相關(guān)。B.組織的政策應(yīng)遵守法律要求，應(yīng)在核對法律要求后對其合規(guī)情況進(jìn)行檢查。C.為確保組織遵守隱私問題，信息系統(tǒng)審計師首先審查法律法規(guī)要求。要符合法律法規(guī)要求，組織必須采用合適的基礎(chǔ)架構(gòu)。了解法律法規(guī)要求后，信息系統(tǒng)審計師應(yīng)對組織的政策、標(biāo)準(zhǔn)和流程進(jìn)行評估，以確定其完全滿足隱私要求，然后再審查對這些具體政策、標(biāo)準(zhǔn)和流程的遵守情況。D.信息系統(tǒng)審計師只有確信政策、標(biāo)準(zhǔn)和流程符合法律要求后，才可檢查其合規(guī)性。A5-22某人力資源公司在使用通用用戶ID和密碼進(jìn)行身份認(rèn)證后，為其訪客提供無線互聯(lián)網(wǎng)訪問。通用ID和密碼可從接待處申請。以下哪項控制措施能最好地解決此問題？[單選題]*A.每周更改一次無線網(wǎng)絡(luò)的密碼。B.在公共無線網(wǎng)絡(luò)和公司網(wǎng)絡(luò)之間使用狀態(tài)檢測防火墻。C.將公共無線網(wǎng)絡(luò)與公司網(wǎng)絡(luò)物理隔開。(正確答案)D.在無線網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)。答案解析：A.更改無線網(wǎng)絡(luò)的密碼不能防止未經(jīng)授權(quán)訪問公司網(wǎng)絡(luò)，特別是在每周一次的密碼變更間隔之前訪客可隨時訪問無線局域網(wǎng)。B.狀態(tài)檢測防火墻將甄別從無線網(wǎng)絡(luò)進(jìn)入公司網(wǎng)絡(luò)的所有數(shù)據(jù)包，但需要審計防火墻的配置，有可能產(chǎn)生防火墻泄露（雖然不太常見）。C.將無線網(wǎng)絡(luò)與公司網(wǎng)絡(luò)物理隔離是保護(hù)公司網(wǎng)絡(luò)免受入侵的最佳方法。D.入侵檢測系統(tǒng)將檢測入侵，但不阻止未經(jīng)授權(quán)個人訪問網(wǎng)絡(luò)。A5-23審查局域網(wǎng)的實施時，信息系統(tǒng)審計師應(yīng)首先審查：[單選題]*A.節(jié)點列表。B.驗收測試報告。C.網(wǎng)絡(luò)圖。(正確答案)D.用戶列表。答案解析：A.從節(jié)點列表驗證節(jié)點是在網(wǎng)絡(luò)圖審查之后。B.審查驗收測試報告是在從節(jié)點列表驗證節(jié)點之后。C.為正確審查局域網(wǎng)的實施，信息系統(tǒng)審計師首先應(yīng)驗證網(wǎng)絡(luò)圖以識別風(fēng)險或單點故障。D.用戶列表是在驗收測試報告之后審查。A5-24信息系統(tǒng)審計師發(fā)現(xiàn)業(yè)務(wù)用戶的密碼控制配置設(shè)置得比IT開發(fā)人員更嚴(yán)格。信息系統(tǒng)審計師最應(yīng)采取以下哪項行動？[單選題]*A.確定是否違反政策并進(jìn)行記錄。(正確答案)B.記錄觀察到的異常情況。C.建議全部使用相同的密碼配置設(shè)置。D.建議定期審查IT開發(fā)人員訪問日志。答案解析：A.如果政策記錄了不同流程的目的并已審批，那么信息系統(tǒng)審計師只需要記錄關(guān)于觀察和測試是否遵守流程的信息。B.如果流程遵守了批準(zhǔn)的政策，則這種情況不算異常。C.采用不同設(shè)置有充分的理由，因此，在研究公司政策和流程之前，審計師通常不會建議做出變更。D.盡管審查日志可能是不錯的補(bǔ)償性控制，但確定政策是否得到遵守是更為重要的行動步驟。A5-25某組織正在開發(fā)基于Web的新應(yīng)用程序來處理客戶訂單。應(yīng)實施以下哪項安全措施來保護(hù)此應(yīng)用程序不受黑客攻擊？[單選題]*A.確保在防火墻處封鎖端口80和443。B.檢查所有服務(wù)器上的文件和訪問權(quán)限，以確保所有文件都具有只讀訪問權(quán)限。C.執(zhí)行Web應(yīng)用程序安全審查。(正確答案)D.確保僅現(xiàn)有客戶的IP地址能夠通過防火墻。答案解析：A.Web應(yīng)用程序必須在端口80打開的情況下運(yùn)行，而安全超文本傳輸協(xié)議只有在端口443打開時才會起作用。B.為了存放客戶訂單，必須在服務(wù)器中保存一些數(shù)據(jù)，而只讀服務(wù)器上無法存放客戶訂單。C.執(zhí)行Web應(yīng)用程序安全審查是必要的，能發(fā)現(xiàn)可能被黑客利用的安全漏洞。D.限制IP地址可能適用于某些類型的Web應(yīng)用程序，但并不是最佳解決方案，因為按照D的做法，新客戶只有在防火墻改變規(guī)則允許其進(jìn)行連接時才能下訂單。A5-26以下哪種滲透測試可以模擬真實攻擊并可用于測試目標(biāo)的事故處理和響應(yīng)能力？[單選題]*A.盲測。B.針對性測試。C.雙盲測試。(正確答案)D.外部測試。答案解析：A.盲測也稱黑箱測試。指測試中不向滲透測試人員透漏任何信息，并迫使其依靠公開信息。此測試將模擬真實攻擊，但目標(biāo)組織知道這是在進(jìn)行測試。B.針對性測試也稱為白箱測試。指測試中向滲透測試者提供信息，并且目標(biāo)組織也知道在進(jìn)行測試活動。在某些情況下，還會向測試人員提供一個權(quán)利受限的賬戶作為操作起點。C.雙盲測試也稱為零知識測試。指測試中不向滲透測試人員透漏任何信息，也不向目標(biāo)組織發(fā)出任何警告，雙方都對測試“一無所知”。這是測試響應(yīng)能力的最佳方案，因為目標(biāo)會像受到真實攻擊一樣做出反應(yīng)。D.外部測試指滲透測試人員嘗試從目標(biāo)網(wǎng)絡(luò)外部（通常是互聯(lián)網(wǎng)）向目標(biāo)網(wǎng)絡(luò)外圍發(fā)起攻擊。A5-27某組織請求信息系統(tǒng)審計師提出建議來幫助其提高網(wǎng)絡(luò)電話（VoIP）系統(tǒng)及數(shù)據(jù)通信的安全性和可靠性。以下哪項措施能實現(xiàn)這一目標(biāo)？[單選題]*A.使用虛擬局域網(wǎng)對VoIP基礎(chǔ)設(shè)施進(jìn)行劃分。(正確答案)B.在VoIP終端設(shè)置緩沖區(qū)。C.確保在VoIP系統(tǒng)中實現(xiàn)端到端加密。D.確保VoIP基礎(chǔ)設(shè)施中各部分均可使用應(yīng)急備用電源。答案解析：A.使用虛擬局域網(wǎng)（VLAN）對網(wǎng)絡(luò)電話（VoIP）通信進(jìn)行劃分能有效保護(hù)VoIP基礎(chǔ)設(shè)施免受基于網(wǎng)絡(luò)的攻擊、潛在竊聽和網(wǎng)絡(luò)通信問題（有助于確保正常運(yùn)行時間）。B.在VoIP終端使用數(shù)據(jù)包緩沖區(qū)是保持呼叫質(zhì)量的方法而不是安全手段。C.如果假設(shè)建筑的物理安全性以及以太網(wǎng)交換機(jī)和VLAN的安全性都足夠充分，則僅在使用互聯(lián)網(wǎng)（而不是本地LAN）傳送VoIP呼叫時才需要加密。D.與確保所有設(shè)備都受應(yīng)急電源保護(hù)相比，網(wǎng)絡(luò)設(shè)計和VLAN的正確實施更重要。A5-28在審查入侵檢測日志時，信息系統(tǒng)審計師發(fā)現(xiàn)了一些來自互聯(lián)網(wǎng)的通信，其IP地址顯示為公司工資服務(wù)器。以下哪項惡意活動最可能導(dǎo)致這類結(jié)果？[單選題]*A.拒絕服務(wù)攻擊。B.冒充。(正確答案)C.端口掃描。D.中間人攻擊。答案解析：A.拒絕服務(wù)攻擊旨在限制資源的可用性，其特點是有大量需要獲得資源（通常為網(wǎng)站）響應(yīng)的請求。這會使目標(biāo)花費(fèi)大量資源響應(yīng)攻擊請求，而無暇顧及合法請求。此種攻擊通常發(fā)起于受害計算機(jī)網(wǎng)絡(luò)（僵尸網(wǎng)絡(luò)），并可能從多臺計算機(jī)同時襲擊。B.冒充是一種模仿形式，指一臺計算機(jī)企圖使用另一臺計算機(jī)的身份。當(dāng)來自外部網(wǎng)絡(luò)的攻擊使用內(nèi)部網(wǎng)絡(luò)地址時，攻擊者最有可能通過偽裝（或冒充）工資服務(wù)器的內(nèi)部網(wǎng)絡(luò)地址來繞開防火墻和其他網(wǎng)絡(luò)安全控制。攻擊者可通過偽裝成工資服務(wù)器來訪問敏感的內(nèi)部資源。C.端口掃描是一種偵查技術(shù)，可在發(fā)起更猛烈的攻擊之前，收集有關(guān)攻擊目標(biāo)的信息。端口掃描可用來確定工資服務(wù)器的內(nèi)部地址，但通常不會創(chuàng)建一個日志條目指明來自內(nèi)部服務(wù)器地址的外部通信。D.中間人攻擊是一種主動竊聽，其中攻擊者會攔截雙方計算機(jī)化的對話，然后向雙方轉(zhuǎn)播相應(yīng)的數(shù)據(jù)使對話繼續(xù)，同時監(jiān)控經(jīng)過攻擊者通道的數(shù)據(jù)。此類攻擊不會注冊為來自工資服務(wù)器，它可能旨在劫持工作站和工資服務(wù)器之間的已授權(quán)連接。A5-29一位信息系統(tǒng)審計師正在審查某組織的信息安全政策，該政策要求對所有保存在通用串行總線（USB）驅(qū)動器上的數(shù)據(jù)進(jìn)行加密。政策還要求使用一種特定的加密算法。以下哪種算法可以為USB驅(qū)動器上的數(shù)據(jù)在防止未經(jīng)授權(quán)的數(shù)據(jù)泄露方面提供最安全的保障？[單選題]*A.數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）。B.消息摘要5（MD5）。C.高級加密標(biāo)準(zhǔn)（AES）。(正確答案)D.安全殼（SSH）。答案解析：A.數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）容易受到窮舉攻擊并被公開破解，因此使用DES加密數(shù)據(jù)不能保證數(shù)據(jù)免遭未經(jīng)授權(quán)的泄露。B.消息摘要5（MD5）這一算法可用于生成數(shù)據(jù)的單向哈希（某一固定長度值），來測試和驗證數(shù)據(jù)的完整性。MD5不能對數(shù)據(jù)進(jìn)行加密，但會使數(shù)據(jù)歷經(jīng)一個不可逆轉(zhuǎn)的數(shù)學(xué)過程。因此MD5不能用來加密通用串行總線（USB）驅(qū)動器上的數(shù)據(jù)。C.高級加密標(biāo)準(zhǔn)（AES）的加密性最強(qiáng)，并能為數(shù)據(jù)提供最好的保護(hù)。通常認(rèn)為，恢復(fù)被AES加密的數(shù)據(jù)是不可行的，因此AES是加密敏感數(shù)據(jù)的最佳選擇。D.安全殼（SSH）協(xié)議可用來建立安全的、加密的命令行殼會話，通常用于遠(yuǎn)程登錄。盡管SSH可以加密會話期間傳輸?shù)臄?shù)據(jù)，但不能加密靜態(tài)數(shù)據(jù)，包括USB驅(qū)動器上的數(shù)據(jù)。因此SSH不適于此種情況。A5-30一位信息系統(tǒng)審計師在為某全球性組織執(zhí)行信息系統(tǒng)審計時發(fā)現(xiàn)，該組織將經(jīng)由互聯(lián)網(wǎng)的網(wǎng)絡(luò)電話（VoIP）作為各辦事處之間語音連接的唯一手段。以下哪項是該組織VoIP基礎(chǔ)設(shè)施中存在的最大風(fēng)險？[單選題]*A.網(wǎng)絡(luò)設(shè)備故障。B.分布式拒絕服務(wù)攻擊。(正確答案)C.優(yōu)惠率欺騙（資費(fèi)欺騙）。D.社會工程攻擊。答案解析：A.網(wǎng)絡(luò)電話的使用不會帶來與設(shè)備故障有關(guān)的任何特有風(fēng)險，且可通過冗余來解決網(wǎng)絡(luò)故障的問題。B.分布式拒絕服務(wù)（DDoS）攻擊有可能中斷該組織辦事處之間的通信，并帶來最大的影響。在傳統(tǒng)的語音網(wǎng)絡(luò)中，DDoS攻擊只影響數(shù)據(jù)網(wǎng)，不影響語音通信。C.資費(fèi)欺騙是指有人破壞電話系統(tǒng)并進(jìn)行未經(jīng)授權(quán)的長途呼叫。雖然資費(fèi)欺騙會花費(fèi)企業(yè)資金，但服務(wù)中斷是更嚴(yán)重的風(fēng)險。D.社會工程通過收集敏感信息來發(fā)起攻擊，可以作用于任何類型的電話通信。A5-31在組織中，以下哪一項能最有效地限制訪問未授權(quán)的互聯(lián)網(wǎng)站點？[單選題]*A.通過內(nèi)容過濾代理服務(wù)器路由出站互聯(lián)網(wǎng)流量。(正確答案)B.通過反向代理服務(wù)器路由入站互聯(lián)網(wǎng)流量。C.實施具有合適訪問規(guī)則的防火墻。D.部署客戶端軟件實用工具，阻止不當(dāng)內(nèi)容。答案解析：A.內(nèi)容過濾代理服務(wù)器能有效地監(jiān)控用戶對互聯(lián)網(wǎng)站點的訪問并阻止其訪問未經(jīng)授權(quán)的網(wǎng)站。B.當(dāng)客戶端Web瀏覽器向互聯(lián)網(wǎng)站點提出請求時，這些請求會從公司網(wǎng)絡(luò)出站。反向代理服務(wù)器可用于實現(xiàn)企業(yè)站點的安全遠(yuǎn)程連接，但不能控制員工的Web訪問。C.防火墻用于阻止未授權(quán)的入站和出站網(wǎng)絡(luò)流量。有些防火墻可用于阻擋或允許對特定站點的訪問，但防火墻是個通用詞匯，有許多種防火墻。它不是本題的最佳答案。D.雖然客戶端軟件實用工具可用于阻止不當(dāng)內(nèi)容，但與在大量PC上安裝和維護(hù)額外的軟件相比，通過單一集中的代理服務(wù)器控制訪問更加有效。A5-32某內(nèi)部審計職能部門正在審查為某個Web應(yīng)用程序內(nèi)部開發(fā)的通用網(wǎng)關(guān)接口腳本程序。信息系統(tǒng)審計師發(fā)現(xiàn)，該腳本程序未經(jīng)過質(zhì)量控制職能部門審查和測試。以下哪種風(fēng)險最值得關(guān)注？[單選題]*A.系統(tǒng)不可用。B.暴露于惡意軟件威脅中。C.未經(jīng)授權(quán)的訪問。(正確答案)D.系統(tǒng)完整性。答案解析：A.盡管通用網(wǎng)關(guān)接口（CGI）未經(jīng)測試可能導(dǎo)致最終用戶Web應(yīng)用程序受損，但不可能致使其他用戶無法使用系統(tǒng)。B.未經(jīng)測試的CGI腳本程序并不一定導(dǎo)致暴露于惡意軟件威脅中。C.未經(jīng)測試的CGI具有安全弱點。由于CGI通常在面向公眾開放的互聯(lián)網(wǎng)服務(wù)器上執(zhí)行，因此可能允許對專用系統(tǒng)的未授權(quán)訪問。D.盡管CGI未經(jīng)測試可能導(dǎo)致最終用戶Web應(yīng)用程序受損，但不可能嚴(yán)重影響系統(tǒng)完整性。A5-33某信息系統(tǒng)審計師正在進(jìn)行某企業(yè)網(wǎng)絡(luò)的實施后審查。以下哪種結(jié)果最令人擔(dān)憂？[單選題]*A.無線移動設(shè)備沒有密碼保護(hù)。B.安裝網(wǎng)絡(luò)設(shè)備時未變更默認(rèn)密碼。(正確答案)C.不存在出站W(wǎng)eb代理服務(wù)器。D.并非所有通信線路均已加密。答案解析：A.雖然沒有為移動設(shè)備設(shè)定密碼保護(hù)存在一定風(fēng)險，但這并沒有不安全的網(wǎng)絡(luò)設(shè)備風(fēng)險大。B.在上述情況下，最重大的風(fēng)險為沒有變更重要網(wǎng)絡(luò)設(shè)備的出廠默認(rèn)密碼。這樣任何人都可以變更網(wǎng)絡(luò)設(shè)備的配置。C.使用Web代理服務(wù)器是一種良好實踐，但企業(yè)不同，有些可能不需要使用代理服務(wù)器。D.加密是很好的數(shù)據(jù)安全性控制措施，但由于成本高昂且比較復(fù)雜，因此不適合對所有通信線路均進(jìn)行加密。A5-34某信息系統(tǒng)審計師正在為新的云會計服務(wù)的提供商評估一份第三方協(xié)議。關(guān)于會計數(shù)據(jù)的保密問題，以下哪一項考慮因素最重要？[單選題]*A.數(shù)據(jù)保存、備份和恢復(fù)。B.信息的退還或銷毀。(正確答案)C.網(wǎng)絡(luò)和入侵檢測。D.修補(bǔ)程序管理流程。答案解析：A.數(shù)據(jù)保留、備份和恢復(fù)是重要的控制措施，但它們并不能保證數(shù)據(jù)保密。B.審查第三方協(xié)議時，關(guān)于數(shù)據(jù)保密問題，最重要的考慮因素是有關(guān)在合同結(jié)束時退還或妥善銷毀信息的條款。C.網(wǎng)絡(luò)和入侵檢測有助于保護(hù)數(shù)據(jù)，但其本身并不能保證由第三方提供商存儲的數(shù)據(jù)的保密性。D.修補(bǔ)程序管理流程有助于加固服務(wù)器，并可禁止未經(jīng)授權(quán)的數(shù)據(jù)披露，但它并不影響數(shù)據(jù)保密。A5-35在向供應(yīng)商授予臨時訪問權(quán)限時，以下哪項是最有效的控制措施？[單選題]*A.供應(yīng)商的訪問權(quán)限符合服務(wù)水平協(xié)議。B.根據(jù)所提供的服務(wù)創(chuàng)建用戶賬戶并對其設(shè)置到期日期。(正確答案)C.在有限的時間段內(nèi)提供管理員訪問權(quán)限。D.在工作完成后刪除用戶ID。答案解析：A.服務(wù)水平協(xié)議可能有提供訪問的條款，但其并非控制措施，僅能定義訪問需要。B.最有效的控制是對按需要提供的服務(wù)授予臨時訪問權(quán)，而且每個唯一ID有到期日期（自動到期最佳）。使用身份管理系統(tǒng)可實現(xiàn)用戶的臨時或永久訪問，同時保證了對其活動的適當(dāng)問責(zé)性。C.供應(yīng)商可能只在服務(wù)時間的某個有限時間段內(nèi)要求有管理員訪問權(quán)限，但需要保證根據(jù)最低權(quán)限授予訪問級別，且此期間的訪問受到監(jiān)控。D.在工作完成后刪除用戶ID很有必要，但如果不是自動的，則很可能忘記刪除。只能按工作所需的訪問級別授予訪問權(quán)限。A5-36在進(jìn)行邏輯訪問控制審查時，某信息系統(tǒng)審計師發(fā)現(xiàn)用戶賬戶是共享的。此種情況帶來的最大風(fēng)險是：[單選題]*A.未經(jīng)授權(quán)的用戶可使用此ID來獲取訪問權(quán)。B.用戶訪問管理非常費(fèi)時。C.密碼很容易被猜出。D.無法建立用戶問責(zé)制度。(正確答案)答案解析：A.未經(jīng)授權(quán)的用戶使用共享ID的可能性大于使用個人ID，但亂用他人ID始終是一種風(fēng)險。B.使用共享ID不會因訪問管理工作費(fèi)時導(dǎo)致風(fēng)險上升。C.共享用戶ID的密碼不一定容易被猜出。D.當(dāng)一個用戶ID被多人使用時，無法判斷是誰通過這個ID訪問了系統(tǒng)，因此不可能向任何人追究責(zé)任。A5-37一名信息系統(tǒng)審計師正在評估用于保護(hù)某數(shù)據(jù)中心的物理訪問的生物特征識別系統(tǒng)，該中心包含受監(jiān)管的數(shù)據(jù)。信息系統(tǒng)審計師最關(guān)注以下哪一項觀察結(jié)果？[單選題]*A.允許通過虛擬私有網(wǎng)絡(luò)對生物特征識別掃描器或訪問控制系統(tǒng)進(jìn)行管理訪問。B.限制區(qū)域未安裝生物特征識別掃描器。C.生物特征識別掃描器與訪問控制系統(tǒng)之間不用安全加密隧道傳輸數(shù)據(jù)。(正確答案)D.最后一次進(jìn)行生物特征識別系統(tǒng)風(fēng)險分析是在3年前。答案解析：A.虛擬私有網(wǎng)絡(luò)軟件通常提供安全隧道，以便執(zhí)行遠(yuǎn)程管理功能。這不是個問題。B.生物特征識別掃描器最好安裝在限制區(qū)域以防被篡改，但視頻監(jiān)控是可以接受的緩解性控制。最大的問題是在掃描器和訪問控制系統(tǒng)之間沒有安全加密隧道。C.生物特征識別掃描器和訪問控制系統(tǒng)之間傳輸數(shù)據(jù)應(yīng)當(dāng)使用安全加密隧道，以保護(hù)生物特征識別數(shù)據(jù)的機(jī)密性。D.生物特征識別風(fēng)險分析應(yīng)當(dāng)定期進(jìn)行，但3年前進(jìn)行的分析并不一定是值得擔(dān)心的理由。A5-38在審計基于角色的訪問控制系統(tǒng)時，信息系統(tǒng)審計師注意到，某些IT安全人員在某些服務(wù)器上擁有系統(tǒng)管理員權(quán)限，能夠修改或刪除交易日志記錄。以下哪項是該信息系統(tǒng)審計師應(yīng)給出的最佳建議？[單選題]*A.確保這些員工受到適當(dāng)監(jiān)管。B.確保交易日志記錄備份得到保留。C.實施控制以檢測相關(guān)的變更。D.交易日志記錄實時寫入“一次寫入多次讀取”驅(qū)動器。(正確答案)答案解析：A.采用傳統(tǒng)方式無法監(jiān)管IT安全人員，除非監(jiān)管人員去監(jiān)視工作站上的每次按鍵輸入，這顯然是不現(xiàn)實的。B.保留交易日志記錄備份無法防止文件在備份之前遭到未經(jīng)授權(quán)的修改。C.日志文件本身是證明存在未授權(quán)變更的主要證據(jù)，這是一種充分的檢測性控制。而保護(hù)日志文件不被修改需要預(yù)防性控制，如安全地寫入日志。D.允許IT安全人員訪問交易日志記錄常常是不可避免的，他們需要有系統(tǒng)管理員權(quán)限才能工作。在本例中，避免交易日志記錄受到未授權(quán)修改的最佳控制措施是將交易日志記錄實時寫入WORM驅(qū)動器介質(zhì)。需要注意的是，只將交易日志記錄備份到磁帶是不夠的，因為數(shù)據(jù)可能在執(zhí)行日常備份作業(yè)之前（通常是夜間）遭到修改。A5-39在某銀行的信息系統(tǒng)審計期間，信息系統(tǒng)審計師正在評估該銀行是否合理管理職員對操作系統(tǒng)的訪問。該信息系統(tǒng)審計師應(yīng)確定該銀行是否執(zhí)行：[單選題]*A.用戶活動日志的定期審查。(正確答案)B.系統(tǒng)級用戶授權(quán)驗證。C.數(shù)據(jù)通信訪問活動日志的審查。D.更改數(shù)據(jù)文件的定期審查。答案解析：A.一般的操作系統(tǒng)訪問控制功能包括日志記錄用戶活動、事件等。審查這些日志可發(fā)現(xiàn)執(zhí)行未經(jīng)允許的活動的用戶。B.驗證系統(tǒng)用戶授權(quán)是數(shù)據(jù)庫字段級和應(yīng)用程序級訪問控制的功能，不適用于操作系統(tǒng)。C.審查數(shù)據(jù)通信訪問活動日志屬于網(wǎng)絡(luò)控制功能。D.定期審查更改數(shù)據(jù)文件與變更控制流程有關(guān)。A5-40某信息系統(tǒng)審計師在對新安裝的網(wǎng)絡(luò)電話系統(tǒng)進(jìn)行審計時，檢查了每層樓的配線柜。以下哪一項最令人擔(dān)心？[單選題]*A.局域網(wǎng)（LAN）交換機(jī)未連接不間斷電源單元。(正確答案)B.網(wǎng)絡(luò)布線雜亂，并且未適當(dāng)貼標(biāo)簽。C.電話和LAN連接使用相同的電纜。D.配線柜中還包含電源線和斷路器面板。答案解析：A.網(wǎng)絡(luò)電話（VoIP）系統(tǒng)使用標(biāo)準(zhǔn)網(wǎng)絡(luò)布線，并且每部電話通常都通過從安裝網(wǎng)絡(luò)交換機(jī)的配線柜引出的網(wǎng)絡(luò)電纜供電（以太網(wǎng)供電）。如果局域網(wǎng)交換機(jī)沒有備份電源，一旦發(fā)生電力中斷，電話將斷電，并可能無法進(jìn)行緊急呼叫。B.盡管布線不適當(dāng)可能帶來可靠性問題，但在本案例中，更嚴(yán)重的問題是缺乏電源保護(hù)。C.VoIP電話系統(tǒng)的優(yōu)勢是，它們和標(biāo)準(zhǔn)PC連接使用相同類型的電纜，甚至相同的網(wǎng)絡(luò)交換機(jī)。因此，這不值得關(guān)注。D.只要電源和電話設(shè)備相互分離，就不是重大風(fēng)險。A5-41在審查組織對其遠(yuǎn)程系統(tǒng)的邏輯訪問安全時，信息系統(tǒng)審計師應(yīng)最關(guān)注以下哪項？[單選題]*A.共享密碼。B.使用未經(jīng)加密的密碼。(正確答案)C.存在冗余的登錄ID。D.第三方用戶具備管理員訪問權(quán)限。答案解析：A.密碼不應(yīng)共享，但這沒有保證對密碼文件進(jìn)行加密重要。B.評估軟件安全性的技術(shù)方面時，未經(jīng)加密的密碼代表最大的風(fēng)險，因為如果假定是通過不可信網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的，密碼可以被發(fā)現(xiàn)。C.檢查冗余的登錄ID很重要，但這沒有保證密碼加密重要。D.可能存在使用具有系統(tǒng)訪問權(quán)限的承包商之類的業(yè)務(wù)要求，因此這不值得關(guān)注。A5-42在對醫(yī)療組織的受保護(hù)醫(yī)療信息（PHI）進(jìn)行信息系統(tǒng)風(fēng)險評估時，信息系統(tǒng)審計師與信息系統(tǒng)管理人員進(jìn)行了面談。此次面談中的哪項發(fā)現(xiàn)最令信息系統(tǒng)審計師關(guān)注？[單選題]*A.組織沒有對所有外發(fā)的電子郵件進(jìn)行加密。B.員工必須在電子郵件的主題欄鍵入“[PHI]”才能進(jìn)行加密。(正確答案)C.個別工作人員的計算機(jī)屏幕保護(hù)功能被禁用。D.服務(wù)器配置要求用戶每年更改一次密碼。答案解析：A.加密全部外發(fā)電子郵件非常昂貴，不是常用的做法。B.員工忘記在主題欄中鍵入某些字詞的人為錯誤風(fēng)險始終存在。組織應(yīng)為處理受保護(hù)醫(yī)療信息（PHI）的員工所外發(fā)的電子郵件設(shè)置自動加密，以保護(hù)敏感信息。C.禁用屏幕保護(hù)功能會增加敏感信息被其他員工看到的風(fēng)險，但此風(fēng)險不及將信息暴露于組織外的未經(jīng)授權(quán)人員大。D.盡管每年更換密碼是個問題，但此風(fēng)險不及將信息暴露于組織外的未經(jīng)授權(quán)人員大。A5-43以下哪一項是信息資產(chǎn)所有者的責(zé)任？[單選題]*A.在應(yīng)用程序內(nèi)實施信息安全。B.為數(shù)據(jù)指定重要性級別。(正確答案)C.對數(shù)據(jù)和程序?qū)嵤┰L問規(guī)則。D.為數(shù)據(jù)提供物理和邏輯安全。答案解析：A.根據(jù)數(shù)據(jù)所有者設(shè)定的要求，在應(yīng)用程序內(nèi)實施信息安全是數(shù)據(jù)保管員的責(zé)任。B.定義信息資產(chǎn)的重要性（和敏感性）級別是其所有者的責(zé)任。C.根據(jù)數(shù)據(jù)所有者設(shè)定的要求，實施訪問規(guī)則是數(shù)據(jù)保管員的責(zé)任。D.為數(shù)據(jù)提供物理和邏輯安全是安全管理員的責(zé)任。A5-44某信息系統(tǒng)審計師在審查網(wǎng)絡(luò)日志時發(fā)現(xiàn)，某員工通過調(diào)用任務(wù)計劃程序啟動受限的應(yīng)用，在其PC上運(yùn)行了高級命令。這是哪類攻擊的示例？[單選題]*A.競態(tài)條件。B.特權(quán)升級。(正確答案)C.緩沖溢出。D.模仿。答案解析：A.競態(tài)條件入侵涉及兩個事件的時序和導(dǎo)致某個事件發(fā)生時間晚于預(yù)期的操作。題目給定的情景不是競態(tài)條件入侵的示例。B.特權(quán)升級是通過各種方法獲得較高級系統(tǒng)授權(quán)的一種攻擊。在本示例中，任務(wù)計劃程序服務(wù)以管理員權(quán)限運(yùn)行，而安全漏洞允許通過任務(wù)計劃程序啟動的程序以相同級別的權(quán)限運(yùn)行。C.緩沖溢出涉及利用應(yīng)用或系統(tǒng)的內(nèi)存使用方式中存在的缺陷所進(jìn)行的操作。存儲機(jī)制過載后，系統(tǒng)會以意想不到的方式運(yùn)行。題目給定的情景不是緩沖溢出入侵的示例。D.模仿攻擊涉及特權(quán)用戶身份識別方面的錯誤。題目給定的情景不是這種入侵的示例。A5-45某信息系統(tǒng)審計師正在審查某組織，以確保與數(shù)據(jù)違規(guī)情形有關(guān)的證據(jù)得到保留。對該信息系統(tǒng)審計師而言，以下哪一項最值得關(guān)注？[單選題]*A.最終用戶不了解事故報告程序。B.日志服務(wù)器不在單獨(dú)的網(wǎng)絡(luò)上。C.未堅持進(jìn)行備份。D.無監(jiān)管鏈政策。(正確答案)答案解析：A.應(yīng)當(dāng)讓最終用戶知曉事故報告程序，但這不可能影響與違規(guī)有關(guān)的數(shù)據(jù)完整性。該信息系統(tǒng)審計師應(yīng)當(dāng)更關(guān)注組織的政策是否存在并規(guī)定正確的證據(jù)處理方式。B.將日志服務(wù)器安裝在單獨(dú)的網(wǎng)絡(luò)上也許是個好主意，因為確保日志服務(wù)器數(shù)據(jù)的完整性很重要，但更重要的是要確保監(jiān)管鏈政策到位。C.盡管沒有有效的備份是個問題，但更重要的問題是缺少監(jiān)管鏈政策。通常不從備份中尋找數(shù)據(jù)違規(guī)的證據(jù)。D.組織應(yīng)當(dāng)具有適當(dāng)?shù)恼?，用來指?dǎo)員工在收集可能在法庭中使用的證據(jù)時遵循某些程序。監(jiān)管鏈涉及記錄獲得、加工、處理、存儲和保護(hù)數(shù)字證據(jù)的方式，以及證據(jù)處理人員和原因。如果沒有適當(dāng)?shù)恼?，則不可能確保員工在任何數(shù)據(jù)違規(guī)調(diào)查中維護(hù)監(jiān)管鏈。A5-46一位信息系統(tǒng)審計師正在審查一家制造企業(yè)的訪問控制。審查期間，信息系統(tǒng)審計師發(fā)現(xiàn)數(shù)據(jù)所有者能夠更改低風(fēng)險應(yīng)用程序的訪問控制。信息系統(tǒng)審計師應(yīng)采取的最佳行動步驟是什么？[單選題]*A.建議實施強(qiáng)制訪問控制。B.將此問題作為審計發(fā)現(xiàn)報告給上級管理人員C.將此問題報告給數(shù)據(jù)所有者以確定其是否屬于一項例外。D.不報告此問題，因為有自主訪問控制。(正確答案)答案解析：A.建議實施強(qiáng)制訪問控制不正確，因為由數(shù)據(jù)所有者對低風(fēng)險應(yīng)用程序?qū)嵭凶灾髟L問控制（DAC）更合適。B.使用DAC可能并非異常情況，除非得到確認(rèn)，否則不應(yīng)作為問題上報。C.雖然信息系統(tǒng)審計師可以詢問數(shù)據(jù)所有者該訪問是否屬于正常允許，但信息系統(tǒng)審計師不應(yīng)依賴被審計人來決定這是否是個問題。D.DAC允許數(shù)據(jù)所有者修改訪問，這是正常程序，也是DAC的特點。A5-47終端設(shè)備發(fā)出的電磁輻射會造成風(fēng)險，因為這些電磁輻射可能：[單選題]*A.損壞或擦除附近的存儲介質(zhì)。B.干擾處理器某些功能的正常運(yùn)行。C.損害個人健康。D.可被檢測到并顯示出來。(正確答案)答案解析：A.盡管強(qiáng)磁場可能擦除某些存儲介質(zhì)，但終端通常設(shè)計為限制這些輻射，因此這通常不值得關(guān)注。B.電磁輻射不會造成中央處理器運(yùn)行中斷。C.多數(shù)電磁輻射的水平很低，不會造成顯著的健康風(fēng)險。D.輻射可以被精密的設(shè)備檢測到并顯示出來，這樣未經(jīng)授權(quán)的人員就會訪問到數(shù)據(jù)。TEMPEST是指對無意中攜帶敏感信息的信號的泄露發(fā)射進(jìn)行調(diào)查和研究方面的術(shù)語，如果截取和分析該信號，就會造成信息的泄露。A5-48安全管理流程需要對以下哪項具有只讀訪問權(quán)限？[單選題]*A.訪問控制表。B.安全日志文件。(正確答案)C.日志選項。D.用戶配置文件。答案解析：A.安全管理流程需要具有訪問控制表的寫入訪問權(quán)限，以便根據(jù)授權(quán)的業(yè)務(wù)要求來管理并更新權(quán)限。B.安全管理流程需要具有安全日志文件的只讀訪問權(quán)限，以確保這些日志在生成后不會被修改。日志可提供證據(jù)并跟蹤可疑的交易和活動。C.還需要具有日志選項的寫入訪問權(quán)限，以便管理員可以就對交易和用戶活動進(jìn)行監(jiān)控、獲取、存儲、處理和報告情況進(jìn)行更新。D.安全管理員一般負(fù)責(zé)面向用戶的問題，例如，管理用戶角色、配置文件和設(shè)置。這要求管理員擁有只讀訪問以上的權(quán)限。A5-49在安全專員的幫助下，由誰來負(fù)責(zé)授予數(shù)據(jù)的訪問權(quán)限？[單選題]*A.數(shù)據(jù)所有者。(正確答案)B.編程人員。C.系統(tǒng)分析員。D.數(shù)據(jù)庫管理員。答案解析：A.數(shù)據(jù)所有者負(fù)責(zé)數(shù)據(jù)的訪問和使用。用戶獲得計算機(jī)化信息訪問權(quán)限的書面授權(quán)應(yīng)該由數(shù)據(jù)所有者出具。經(jīng)所有者批準(zhǔn)的安全管理人員可設(shè)置訪問規(guī)則，規(guī)定有權(quán)訪問數(shù)據(jù)或文件的用戶或用戶組及其權(quán)限級別（如讀取或更新）。B.編程人員會開發(fā)監(jiān)管用戶訪問數(shù)據(jù)（更新、讀取、刪除等）方式的訪問控制軟件，但編程人員不負(fù)責(zé)決定誰可訪問數(shù)據(jù)。C.系統(tǒng)分析員與所有者和編程人員一起根據(jù)所有者設(shè)置的規(guī)則來設(shè)計訪問控制。D.數(shù)據(jù)庫管理員實施提供給他們的訪問控制程序，但不決定誰有訪問權(quán)。A5-50數(shù)據(jù)分類的第一步是：[單選題]*A.確立所有權(quán)。(正確答案)B.執(zhí)行重要性分析。C.定義訪問規(guī)則。D.創(chuàng)建數(shù)據(jù)字典。答案解析：A.數(shù)據(jù)分類是根據(jù)按需執(zhí)行和按需知密原則來定義訪問規(guī)則時的必備步驟。數(shù)據(jù)所有者負(fù)責(zé)定義訪問規(guī)則；因此，確立所有權(quán)是數(shù)據(jù)分類的第一步。B.重要性分析需要根據(jù)數(shù)據(jù)分類，決定數(shù)據(jù)保護(hù)的適當(dāng)?shù)燃墶.訪問規(guī)則是依據(jù)數(shù)據(jù)分類制定的。D.數(shù)據(jù)字典的輸入來自數(shù)據(jù)分類流程的結(jié)果。A5-51對生物特征識別系統(tǒng)的運(yùn)行情況進(jìn)行審查期間，信息系統(tǒng)審計師首先應(yīng)審查的階段是：[單選題]*A.注冊。(正確答案)B.識別。C.驗證。D.存儲。答案解析：A.生物特征識別設(shè)備的用戶必須首先在該設(shè)備上注冊。B.該設(shè)備可獲取人類的身體或動作圖像，并識別獨(dú)特的特征，然后使用算法將其轉(zhuǎn)換成以模板形式存儲的一串?dāng)?shù)字，以便用于匹配過程。C.申請訪問的用戶是根據(jù)存儲的注冊值進(jìn)行驗證的。D.生物特征識別存儲的是敏感的個人信息，因此存儲必須安全。A5-52黑客無須使用計算機(jī)工具或程序就可以獲得密碼的技術(shù)是：[單選題]*A.社會工程。(正確答案)B.嗅探器。C.后門。D.特洛伊木馬。答案解析：A.社會工程以通過對話、拜訪和詢問等方式透露私人信息為基礎(chǔ)，用戶可能在此過程中草率地泄露他們自己或他人的個人數(shù)據(jù)。B.嗅探器是用于監(jiān)控網(wǎng)絡(luò)流量的計算機(jī)工具。C.后門是黑客留在計算機(jī)內(nèi)尋覓系統(tǒng)漏洞的計算機(jī)程序。D.特洛伊木馬是偽裝成正常程序的計算機(jī)程序，因此，該程序的功能未經(jīng)授權(quán)，而且通常是惡意程序。A5-53以下哪項會動搖應(yīng)用系統(tǒng)審計軌跡的可靠性？[單選題]*A.在審計軌跡中記錄用戶ID。B.安全管理員具有審計文件的只讀權(quán)限。C.在執(zhí)行操作時記錄日期和時間戳。D.更正系統(tǒng)錯誤時，用戶可修改審計軌跡記錄。(正確答案)答案解析：A.審計軌跡必須記錄日志中的活動涉及的人員或流程的標(biāo)識，以實現(xiàn)問責(zé)。B.將管理員權(quán)限限制為只讀可保護(hù)審計文件不被變更。C.應(yīng)在日志中記錄日期和時間戳，以便在多個系統(tǒng)中重建或關(guān)聯(lián)事件。D.如果審計軌跡的詳細(xì)信息可以修改，則該審計軌跡無效。A5-54執(zhí)行審計工作時，信息系統(tǒng)審計師檢測到存在病毒。該信息系統(tǒng)審計師下一步應(yīng)該怎么做？[單選題]*A.觀察反應(yīng)機(jī)制。B.從網(wǎng)絡(luò)中清除病毒。C.立即通知相關(guān)人員。(正確答案)D.確保病毒被刪除。答案解析：A.觀察反應(yīng)機(jī)制應(yīng)在通知相關(guān)人員之后執(zhí)行。這會使信息系統(tǒng)審計師能夠檢查響應(yīng)體系的實際可用性和有效性。B.在大多數(shù)情況下，信息系統(tǒng)審計師既無權(quán)也不能從網(wǎng)絡(luò)中清除病毒。C.檢測到病毒后，信息系統(tǒng)審計師應(yīng)做的第一件事是提醒相關(guān)部門存在病毒，然后等待他們回應(yīng)。D.信息系統(tǒng)審計師不應(yīng)對受審系統(tǒng)做出任何改動，確保病毒被刪除是管理人員的職責(zé)。A5-55實施訪問控制時首先需要：[單選題]*A.分類信息系統(tǒng)資源。B.標(biāo)記信息系統(tǒng)資源。C.創(chuàng)建訪問控制列表。D.創(chuàng)建信息系統(tǒng)資源清單。(正確答案)答案解析：A.實施訪問控制的第一步是盤點信息系統(tǒng)資源，這是分類的基礎(chǔ)。B.只有先確定資源的分類，才能完成資源的標(biāo)記。C.只有資源的分類有意義，才能創(chuàng)建訪問控制列表。D.實施訪問控制的第一步是建立信息系統(tǒng)資源清單，這是確立所有權(quán)和分類的基礎(chǔ)。A5-56以下哪項屬于縱深防御安全原則的示例？[單選題]*A.使用兩道防火墻不間斷檢查入站網(wǎng)絡(luò)流量。B.在主機(jī)上使用防火墻和邏輯訪問控制來控制入站網(wǎng)絡(luò)流量。(正確答案)C.在計算機(jī)中心建筑外沒有任何標(biāo)識。D.并行使用兩道防火墻來檢查不同類型的入站流量。答案解析：A.使用兩道防火墻不代表防御有效，因為同一攻擊可繞過這兩者。通過使用兩種不同的產(chǎn)品，會減少這兩種產(chǎn)品具有相同漏洞的可能性。B.縱深防御是指使用不同類型的安全機(jī)制，做到相互備用。網(wǎng)絡(luò)流量無意中越過防火墻時，邏輯訪問控制可形成第二道防御。C.在計算機(jī)中心建筑外沒有任何標(biāo)識是一種通過只讓極少的人知道來取得安全的單一安全措施。D.并行使用兩道防火墻檢查各種入站流量可提供冗余，但它是一種單一的安全措施，因此，與使用一道防火墻檢查所有流量是相同的。A5-57以下哪項是最佳的訪問控制步驟？[單選題]*A.數(shù)據(jù)所有者正式授權(quán)訪問，然后由管理員實施用戶授權(quán)表。(正確答案)B.被授權(quán)的員工實施用戶授權(quán)表，然后由數(shù)據(jù)所有者批準(zhǔn)這些表。C.數(shù)據(jù)所有者和信息系統(tǒng)經(jīng)理共同創(chuàng)建并更新用戶授權(quán)表。D.數(shù)據(jù)所有者創(chuàng)建并更新用戶授權(quán)表。答案解析：A.數(shù)據(jù)所有者擁有正式建立訪問權(quán)限的權(quán)力和責(zé)任，然后應(yīng)由信息系統(tǒng)管理員在數(shù)據(jù)所有者的指示下實施或更新用戶授權(quán)表。B.數(shù)據(jù)所有者設(shè)置訪問規(guī)則和條件。最好在實施這些表前取得批準(zhǔn)。C.數(shù)據(jù)所有者可與信息系統(tǒng)經(jīng)理協(xié)商設(shè)置訪問控制規(guī)則，但仍由數(shù)據(jù)所有者負(fù)責(zé)正確的訪問控制。IT部門應(yīng)在數(shù)據(jù)所有者的指示下建立訪問控制表。D.數(shù)據(jù)所有者一般不管理授權(quán)表的更新。A5-58下列哪項在減少社會工程事故方面最有效果？[單選題]*A.安全意識培訓(xùn)。(正確答案)B.增加物理安全措施。C.制定電子郵件監(jiān)控政策。D.設(shè)置入侵檢測系統(tǒng)。答案解析：A.社會工程利用人性的弱點來獲取信息和訪問權(quán)限。通過增強(qiáng)員工的安全意識，會減少社會工程事故的數(shù)量。B.在大多數(shù)情況下，社會工程事故并不需要入侵者親自出現(xiàn)。因此，增加物理安全措施無法防止入侵。C.電子郵件監(jiān)控政策會告知用戶組織中的所有電子郵件都受到監(jiān)控，但這并不能保護(hù)用戶不受到潛在的安全事故和入侵的影響。D.入侵檢測系統(tǒng)用于檢測不規(guī)范的或異常的流量模式。A5-59規(guī)定“必須屏蔽或禁止密碼顯示”的信息安全政策可應(yīng)對以下哪種攻擊方法？[單選題]*A.騎肩跟入法。B.垃圾搜尋。C.肩窺。(正確答案)D.模仿。答案解析：A.騎肩跟入法是指未經(jīng)授權(quán)的人員通過物理或虛擬方式尾隨授權(quán)人員進(jìn)入限制區(qū)域。屏蔽密碼顯示無法防止對授權(quán)人員進(jìn)行尾隨。B.此政策只提到“密碼顯示”，沒有提及垃圾搜尋（在組織的垃圾中尋找有價值的信息）。C.如果密碼出現(xiàn)在顯示器上，用戶旁邊的任何人或攝像頭均可越過肩膀看過去并以此方式獲取密碼。D.模仿是指有人冒充員工試圖檢索所需信息。A5-60為確保輸入的密碼符合由字母和數(shù)字組成這一安全政策要求，信息系統(tǒng)審計師應(yīng)建議：[單選題]*A.更改公司政策。B.定期更改密碼。C.使用自動化密碼管理工具。(正確答案)D.進(jìn)行安全意識培訓(xùn)。答案解析：A.政策是適當(dāng)?shù)?，不需要更改。改變政策不會確保合規(guī)性。B.要求定期更改密碼是良好的做法，應(yīng)包括在密碼政策中。C.使用自動化密碼管理工具是一種預(yù)防性控制措施。該軟件會防止語義重復(fù)并強(qiáng)制實行語法規(guī)則，從而提高密碼的可靠性。它還提供了一種方法，確保密碼會經(jīng)常更改并防止同一用戶在指定時間段內(nèi)重復(fù)使用舊密碼。D.安全意識培訓(xùn)不能強(qiáng)制用戶遵守政策。A5-61審查數(shù)字版權(quán)管理應(yīng)用程序的信息系統(tǒng)審計師預(yù)計會發(fā)現(xiàn)下列哪項技術(shù)被廣泛使用？[單選題]*A.數(shù)字化簽名。B.哈希。C.解析。D.隱寫術(shù)。(正確答案)答案解析：A.數(shù)字化簽名是對簽名的掃描（與數(shù)字簽名不同），與數(shù)字版權(quán)管理無關(guān)。B.哈?？蓜?chuàng)建消息哈希或摘要，用于確保消息的完整性。哈希通常被視為加密算法的一部分。C.解析是出于分析的目的分割連續(xù)字符流的過程，廣泛應(yīng)用于編程語言設(shè)計或數(shù)據(jù)條目編輯。D.隱寫術(shù)是一種將消息或信息內(nèi)容隱藏在另一則消息中的技術(shù)。一種日漸普遍的重要隱寫術(shù)就是數(shù)字水印技術(shù)，即在數(shù)據(jù)中隱藏數(shù)據(jù)（例如，將版權(quán)信息以編碼方式加入圖像或音樂文件中而不影響圖像或音樂的視聽質(zhì)量）。A5-62規(guī)定“每個人必須在每個控制門處進(jìn)行門禁證章讀取”的信息安全政策可應(yīng)對以下哪種攻擊方法？[單選題]*A.騎肩跟入法。(正確答案)B.肩窺。C.垃圾搜尋。D.模仿。答案解析：A.騎肩跟入法是指未經(jīng)授權(quán)的人員通過物理或虛擬方式尾隨授權(quán)人員進(jìn)入限制區(qū)域。此政策解決了在為陌生人開門時遇到的禮貌行為問題。如果每名員工必須在每個控制門進(jìn)行門禁證章讀取，則未經(jīng)授權(quán)的人員就無法進(jìn)入敏感區(qū)域。B.實施此政策不能防止肩窺（越過別人的肩膀看到屏幕或桌面上的敏感信息）。C.垃圾搜尋，即通過翻查組織的垃圾箱獲取有價值的信息，可在公司的周邊完成。因此，此政策無法應(yīng)對這種攻擊方法。D.模仿是指社會工程師冒充員工試圖檢索所需信息。某些形式的社會工程攻擊會將模仿攻擊和騎肩跟入法結(jié)合實施，但是此信息安全政策無法應(yīng)對模仿攻擊。A5-63以下哪項會帶來固有風(fēng)險，而沒有明顯可采取的預(yù)防控制手段？[單選題]*A.騎肩跟入法。B.病毒。C.數(shù)據(jù)欺騙。(正確答案)D.未經(jīng)授權(quán)的應(yīng)用程序關(guān)閉。答案解析：A.騎肩跟入法是指尾隨授權(quán)人員通過安全門的行為，可通過使用雙門安全系統(tǒng)防止該行為。邏輯騎肩跟入法是指嘗試通過具有權(quán)限的某人獲取訪問權(quán)限（例如，通過電子方式連接到授權(quán)的電信鏈路，以盡可能截獲傳輸信號的行為）?？赏ㄟ^加密信息防止該行為。B.病毒是指植入其他可執(zhí)行代碼的惡意程序代碼，它能夠自我復(fù)制并在計算機(jī)之間傳播，傳播的途徑包括共享計算機(jī)磁盤、電信線路上的邏輯轉(zhuǎn)換或與被感染的計算機(jī)直接連接?？墒褂梅啦《拒浖Ｗo(hù)計算機(jī)不受病毒侵害。C.數(shù)據(jù)欺騙涉及在將數(shù)據(jù)輸入計算機(jī)之前對其進(jìn)行更改。由于不需要多少技術(shù)知識并且發(fā)生在計算機(jī)安全系統(tǒng)保護(hù)數(shù)據(jù)之前，因此被大量濫用。對于數(shù)據(jù)欺騙，只有一些補(bǔ)償控制手段。D.可通過直接（在線）或間接（撥號線路）連接到計算機(jī)的終端或微型計算機(jī)啟動應(yīng)用程序的關(guān)閉操作。只有具有高級登錄ID和密碼的個人能夠啟動關(guān)機(jī)過程，并且只有存在適當(dāng)?shù)脑L問控制時，此安全措施才有效。A5-64哈希和加密之間最主要的區(qū)別在于哈希：[單選題]*A.不可逆。(正確答案)B.輸出消息與原始消息的長度相同。C.涉及完整性和安全性。D.發(fā)送端和接收端相同。答案解析：A.哈希以單向方式工作——通過將哈希算法應(yīng)用到消息，創(chuàng)建消息哈希/摘要。如果將相同的哈希算法應(yīng)用到消息摘要，并不會生成原始消息。就這一點而言，哈希是不可逆的，而加密是可逆的。這就是哈希與加密之間的基本區(qū)別。B.哈希創(chuàng)建的固定長度的輸出一般比原始消息小，而加密創(chuàng)建的輸出一般與原始消息的長度相同。C.哈?？捎糜隍炞C消息的完整性，但并不解決安全問題?？稍诎l(fā)送端和接收端使用相同的哈希算法，以生成并驗證消息的哈希/摘要。D.加密可在發(fā)送端和接收端使用不同的密鑰或逆向過程來加密和解密。A5-65以下哪項加密算法選項會增加開銷/成本？[單選題]*A.使用對稱加密，而不是非對稱加密。B.使用加長的非對稱式加密密鑰。(正確答案)C.加密的是哈希而非消息。D.使用密鑰。答案解析：A.相對于對稱算法，非對稱算法需要更多處理時間。B.對于較長的非對稱加密密鑰，計算機(jī)的處理時間會增加，并且這種增長是不成比例的。例如，一個基準(zhǔn)測試顯示RSA密鑰的長度增加1倍（從512位增至1024位），會造成解密時間增加近6倍。C.哈希的長度一般短于原始消息，因此如果對哈希而非消息進(jìn)行加密，所需的開銷更少。D.作為對稱式加密密鑰來使用的密鑰通常很小，并可用于加密用戶數(shù)據(jù)。A5-66在計劃黑箱滲透測試時，最重要的成功因素是：[單選題]*A.對測試程序做好計劃。B.真實評估環(huán)境架構(gòu)以確定范圍。C.讓客戶組織的管理人員了解。(正確答案)D.安排并確定測試的時長。答案解析：A.滲透測試應(yīng)仔細(xì)計劃和執(zhí)行，但最重要的是得到適當(dāng)?shù)呐鷾?zhǔn)。B.在黑箱滲透測試中，進(jìn)行測試的組織不了解測試環(huán)境。C.黑箱滲透測試假定事先對待測試的基礎(chǔ)架構(gòu)并不了解。測試人員模擬不熟悉系統(tǒng)的人員發(fā)起攻擊。管理人員了解測試流程非常重要，以便在監(jiān)控系統(tǒng)識別出該測試時，可快速確定操作的合法性。D.測試的安排必須使影響重要操作的風(fēng)險減到最小，但這是與組織的管理層合作的內(nèi)容。A5-67某個組織允許使用通用串行總線驅(qū)動器（USB設(shè)備）在辦公室之間傳輸運(yùn)營數(shù)據(jù)。以下哪項是與使用這些設(shè)備有關(guān)的最大風(fēng)險？[單選題]*A.文件未備份。B.設(shè)備被盜。(正確答案)C.將設(shè)備用于個人用途。D.將惡意軟件引入內(nèi)部網(wǎng)絡(luò)。答案解析：A.盡管這確實是一項風(fēng)險，但未加密設(shè)備被盜的風(fēng)險更大。B.由于通用串行總線（USB）驅(qū)動器通常都非常小，因此很容易被盜或丟失。這是組織面臨的最大風(fēng)險。C.將USB驅(qū)動器用于個人用途違反了公司政策，但這并不是最大的風(fēng)險。D.好的常規(guī)IT控制會在USB驅(qū)動器插入計算機(jī)后對其進(jìn)行惡意軟件掃描。在可靠的環(huán)境中，惡意軟件的風(fēng)險不如設(shè)備丟失或被盜的風(fēng)險大。A5-68執(zhí)行計算機(jī)取證調(diào)查時，對于收集到的證據(jù)，信息系統(tǒng)審計師最應(yīng)關(guān)注的是：[單選題]*A.證據(jù)的分析。B.證據(jù)的評估。C.證據(jù)的保存。(正確答案)D.證據(jù)的泄露。答案解析：A.證據(jù)的分析很重要，但不是與取證調(diào)查中的證據(jù)相關(guān)的首要關(guān)注點。B.證據(jù)的評估很重要，但不是與取證調(diào)查中的證據(jù)相關(guān)的首要關(guān)注點。C.供執(zhí)法人員和司法當(dāng)局審查的證據(jù)的保存和存檔，是調(diào)查時的首要關(guān)注點。未能妥善保存證據(jù)將影響到法律訴訟中證據(jù)能否被接受。D.證據(jù)的泄露很重要，但不是信息系統(tǒng)審計師在取證調(diào)查中的首要關(guān)注點。A5-69認(rèn)證機(jī)構(gòu)（CA）可委任外部機(jī)構(gòu)處理的工作是：[單選題]*A.吊銷及暫停用戶的證書。B.生成及分配CA公鑰。C.在申請實體及其公鑰之間建立關(guān)聯(lián)。(正確答案)D.發(fā)布及分配用戶證書。答案解析：A.吊銷和暫停以及發(fā)布和分配用戶證書是用戶證書生命周期管理流程中的職能，必須由認(rèn)證機(jī)構(gòu)（CA）執(zhí)行。B.生成及分配CA公鑰是CA密鑰生命周期管理流程的一部分，因此無法對外授權(quán)。C.在申請實體及其公鑰之間建立關(guān)聯(lián)是注冊機(jī)構(gòu)的職能。該職能不一定要由CA履行，因此可以將該職能授權(quán)給其他機(jī)構(gòu)。D.發(fā)布和分配用戶證書是用戶證書生命周期管理流程中的職能，必須由CA執(zhí)行。A5-70以下哪項會導(dǎo)致拒絕服務(wù)攻擊？[單選題]*A.窮舉攻擊（暴力破解）。B.死亡之Ping。(正確答案)C.跳步攻擊。D.否定應(yīng)答攻擊。答案解析：A.窮舉攻擊是典型的文本攻擊，其針對加密密鑰和密碼窮舉所有可能的鍵組合。B.使用Ping命令發(fā)送大小超過65KB的數(shù)據(jù)包且沒有加入分段標(biāo)志，會造成拒絕服務(wù)。C.跳步攻擊是指在一臺或多臺主機(jī)中使用遠(yuǎn)程網(wǎng)絡(luò)技術(shù)以逃避攻擊源地址被跟蹤的行為，其使用通過非法手段從某主機(jī)中取得的用戶ID和密碼信息對另一臺主機(jī)進(jìn)行攻擊。D.否定應(yīng)答是一種滲透技術(shù)，它利用了操作系統(tǒng)不能適當(dāng)處理異步中斷的潛在脆弱性，使在這類中斷發(fā)生時該系統(tǒng)處于無保護(hù)狀態(tài)。A5-71與RSA加密相比，以下哪項是橢圓曲線加密的優(yōu)點？[單選題]*A.計算速度。(正確答案)B.能夠支持?jǐn)?shù)字簽名。C.更簡便的密鑰分配。D.消息完整性控制。答案解析：A.與RSA加密相比，橢圓曲線加密（ECC）的主要優(yōu)點是計算速度快。部分原因是ECC算法使用的密鑰比RSA小得多。B.這兩種加密方法都支持?jǐn)?shù)字簽名。C.這兩種加密方法都用于公鑰加密和分配。D.ECC和RSA都支持消息完整性控制。A5-72在數(shù)據(jù)的機(jī)密性、可靠性和完整性方面，以下哪項可以對互聯(lián)網(wǎng)業(yè)務(wù)提供最全面的控制？[單選題]*A.安全套接字層。(正確答案)B.入侵檢測系統(tǒng)。C.公鑰基礎(chǔ)設(shè)施。D.虛擬私有網(wǎng)絡(luò)。答案解析：A.安全套接字層（SSL）被許多電子商務(wù)應(yīng)用程序用來建立安全的通信通道，通過公鑰和對稱加密的結(jié)合使用確保機(jī)密性，通過哈希消息驗證碼確保完整性。B.入侵檢測系統(tǒng)可記錄網(wǎng)絡(luò)活動，但不用于保護(hù)通過網(wǎng)絡(luò)的流量。C.公鑰基礎(chǔ)設(shè)施與SSL一起使用來提供安全的通信，如電子商務(wù)和電子郵件。D.虛擬私有網(wǎng)絡(luò)（VPN）是對提供機(jī)密性、完整性和身份認(rèn)證（可靠性）的通信通道的通用術(shù)語。VPN可在開放式系統(tǒng)互連堆棧不同層上工作，不一定都是與加密一起使用的。SSL可稱為一種VPN。A5-73以下哪一項預(yù)防性控制最有助于確保Web應(yīng)用程序安全？[單選題]*A.密碼掩碼。B.培訓(xùn)開發(fā)人員。(正確答案)C.使用加密。D.漏洞測試。答案解析：A.密碼掩碼是必要的預(yù)防性控制，但并非確保應(yīng)用程序安全的最佳方法。B.在給出的選項中，教會開發(fā)人員編寫安全代碼是確保應(yīng)用程序安全的最佳方法。C.加密能保護(hù)數(shù)據(jù)，但由于編碼過程中的其他缺陷可能損害應(yīng)用程序和數(shù)據(jù)，因此并不足以確保應(yīng)用程序安全。確保用安全的方法設(shè)計應(yīng)用程序才是保護(hù)應(yīng)用程序的最佳做法。需要通過確保開發(fā)員經(jīng)過適當(dāng)?shù)陌踩幋a實踐教育才能做到這一點。D.漏洞測試可能有助于確保應(yīng)用程序的安全性；然而，最佳的預(yù)防性控制是對開發(fā)人員進(jìn)行教育，因為從一開始就創(chuàng)建安全的應(yīng)用程序更加有效。A5-74以下哪種防病毒軟件實施策略在互連的公司網(wǎng)絡(luò)中最有效？[單選題]*A.基于服務(wù)器的防病毒軟件。B.基于企業(yè)的防病毒軟件。(正確答案)C.基于工作站的防病毒軟件。D.基于外圍的防病毒軟件。答案解析：A.有效的防病毒方案必須是基于服務(wù)器、網(wǎng)絡(luò)和外圍的掃描和保護(hù)的綜合方案。B.控制病毒蔓延的一個重要方式是，在整個企業(yè)范圍內(nèi)部署可在許多點上對流量進(jìn)行監(jiān)控和分析的防病毒解決方案。這樣可提供一個多層次的防御模式，檢測出惡意軟件的可能性更大，無論惡意軟件是如何進(jìn)入組織的，例如，通過通用串行總線（USB）或可移動存儲、網(wǎng)絡(luò)、被感染的下載和惡意Web應(yīng)用程序。C.只在工作站檢查病毒并不夠，因為惡意軟件也可感染許多網(wǎng)絡(luò)設(shè)備或服務(wù)器。D.因為惡意軟件可通過多種途徑進(jìn)入組織，只在外圍對惡意軟件進(jìn)行檢查不足以為組織提供保護(hù)。A5-75信息系統(tǒng)審計師在審查虛擬私有網(wǎng)絡(luò)實施情況時，以下哪種情況最令其擔(dān)憂？網(wǎng)絡(luò)中的計算機(jī)位于：[單選題]*A.企業(yè)的內(nèi)部網(wǎng)絡(luò)。B.備用站點。C.員工家里。(正確答案)D.企業(yè)的遠(yuǎn)程辦公室。答案解析：A.在企業(yè)的內(nèi)部網(wǎng)中，應(yīng)具有一些安全政策和控制措施來檢測并停止使用內(nèi)部計算機(jī)作為臨時平臺的外部攻擊。B.備用站點上的計算機(jī)因為遵守企業(yè)的安全政策，因此不屬于高風(fēng)險計算機(jī)。C.虛擬私有網(wǎng)絡(luò)實施的風(fēng)險之一是允許高風(fēng)險等級的計算機(jī)出現(xiàn)在企業(yè)的網(wǎng)絡(luò)中。允許進(jìn)入虛擬網(wǎng)絡(luò)的所有計算機(jī)都應(yīng)遵守相同的安全政策。家庭計算機(jī)極少遵守企業(yè)的安全政策，因此屬于高風(fēng)險計算機(jī)。一旦某臺計算機(jī)被黑客攻擊并“侵占”，任何信任該計算機(jī)的網(wǎng)絡(luò)都將處于危險之中。網(wǎng)絡(luò)上的所有計算機(jī)都位于企業(yè)環(huán)境時，更易于實施并遵守企業(yè)安全政策。D.企業(yè)遠(yuǎn)程辦公室網(wǎng)絡(luò)中的計算機(jī)，可能由對安全具有不同理解的不同信息系統(tǒng)員工和安全員進(jìn)行操作，此類計算機(jī)發(fā)生風(fēng)險的概率要高于主辦公室或備份站點，但顯然比家庭計算機(jī)的風(fēng)險低。A5-76使用數(shù)字簽名的主要原因是確保數(shù)據(jù)的：[單選題]*A.機(jī)密性。B.完整性。(正確答案)C.可用性。D.正確性。答案解析：A.數(shù)字簽名本身不能解決信息的機(jī)密性。B.數(shù)字簽名可提供完整性，這是由于已簽名消息（文件、郵件、文檔等）的數(shù)字簽名在每次文檔的單個位發(fā)生變化時就會隨之更改，因此無法修改已簽名的文檔。數(shù)字簽名可保證消息的完整性、不可否認(rèn)性和來源證明。C.可用性與數(shù)字簽名無關(guān)。D.一般而言，正確性與數(shù)字簽名無關(guān)。數(shù)字簽名可保證數(shù)據(jù)的完整性，但不能確保簽名數(shù)據(jù)的正確性。A5-77以下哪一項是被動網(wǎng)絡(luò)安全攻擊的示例？[單選題]*A.流量分析。(正確答案)B.偽裝。C.拒絕服務(wù)。D.電子郵件欺騙。答案解析：A.網(wǎng)絡(luò)安全威脅/漏洞可分為被動攻擊和主動攻擊。被動攻擊是監(jiān)控或截取網(wǎng)絡(luò)流量的攻擊，但不會以任何方式修改、插入或刪除流量。被動攻擊的示例有網(wǎng)絡(luò)分析、竊聽和流量分析。B.因為偽裝通過修改數(shù)據(jù)源修改了數(shù)據(jù)，所以屬于主動攻擊。C.因為拒絕服務(wù)攻擊用流量淹沒網(wǎng)絡(luò)或在網(wǎng)絡(luò)上發(fā)送偽造的數(shù)據(jù)包，所以屬于主動攻擊。D.因為電子郵件欺騙修改電子郵件頭，所以屬于主動攻擊。A5-78某信息系統(tǒng)審計師正在為公司審查安全事故管理程序。以下哪一項是最重要的考慮因素？[單選題]*A.電子證據(jù)監(jiān)管鏈。(正確答案)B.系統(tǒng)違規(guī)通知程序。C.向外部機(jī)構(gòu)上報的程序。D.丟失數(shù)據(jù)恢復(fù)程序。答案解析：A.關(guān)于安全事故管理，證據(jù)的保留是最重要的考慮因素。如果數(shù)據(jù)和證據(jù)收集不適當(dāng)，則可能丟失寶貴的信息，并且如果公司決定提起訴訟，法庭將不予采信。B.系統(tǒng)違規(guī)通知是個重要方面，并且在許多情況下，甚至須按法律和法規(guī)要求提供；但安全事故不一定是一種違規(guī)，并且通知程序可能不適用。C.向當(dāng)?shù)鼐交蛱幚砭W(wǎng)絡(luò)犯罪的專門機(jī)構(gòu)等外部機(jī)構(gòu)上報的程序很重要。但如果沒有適當(dāng)?shù)谋O(jiān)管鏈程序，則可能丟失重要的證據(jù)，并且如果公司決定提起訴訟，法庭將不予采信。D.盡管具有恢復(fù)丟失數(shù)據(jù)的程序很重要，但關(guān)鍵是要確保證據(jù)得到保護(hù)，以確保可以跟進(jìn)和調(diào)查。A5-79以下哪項可衡量生物特征識別系統(tǒng)的準(zhǔn)確性？[單選題]*A.系統(tǒng)響應(yīng)時間。B.注冊時間。C.輸入文件大小。D.錯誤接受率。(正確答案)答案解析：A.實施生物特征識別系統(tǒng)的一個重要的考慮因素是處理每個用戶所需的時間。如果系統(tǒng)處理太慢，則會影響生產(chǎn)率并導(dǎo)致不滿，但這不是衡量準(zhǔn)確性的標(biāo)準(zhǔn)。B.注冊時間是在系統(tǒng)中對用戶進(jìn)行登記所需的時間。它不是衡量準(zhǔn)確性的標(biāo)準(zhǔn)。C.保留生物特征識別信息的文件大小根據(jù)所選擇的生物特征識別方案的類型而不同。它不是衡量準(zhǔn)確性的標(biāo)準(zhǔn)。D.共有3種主要的準(zhǔn)確性衡量手段可用于生物特征識別解決方案：錯誤拒絕率（FRR）、交叉錯誤率（CER）和錯誤接受率（FAR）。FRR用于衡量拒絕有效用戶的次數(shù)。FAR用于衡量接受無效員工的次數(shù)。CER用于衡量錯誤拒絕率等于錯誤接受率的次數(shù)。A5-80信息系統(tǒng)審計師評估邏輯訪問控制時，應(yīng)首先：[單選題]*A.記錄應(yīng)用在系統(tǒng)的潛在訪問路徑上的控制。B.測試訪問路徑上的控制，以便確定是否能夠正常執(zhí)行。C.參照書面政策與實際情況評估環(huán)境的安全性。D.了解信息處理的安全風(fēng)險。(正確答案)答案解析：A.記錄和評估是評估控制的充分性、效率和有效性的第二步，而且以使這些控制成為必需的系統(tǒng)的風(fēng)險為基礎(chǔ)。B.第三步是測試訪問路徑，以便判斷控制是否能夠正常運(yùn)行。C.只有在確定風(fēng)險并記錄控制之后，信息系統(tǒng)審計師才能通過對書面政策的審查、對實際情況的觀察并將之與相關(guān)的最佳安全實踐相比較，來評估環(huán)境的安全性。D.評估邏輯訪問控制措施時，信息系統(tǒng)審計師應(yīng)首先通過審查相關(guān)文檔、詢問以及進(jìn)行風(fēng)險評估來了解信息處理所面臨的安全風(fēng)險。這對于信息系統(tǒng)審計師確?？刂谱阋詰?yīng)對風(fēng)險是必要的。A5-81以下哪項是在處置過程中從廢舊磁帶中刪除數(shù)據(jù)最安全的方法？[單選題]*A.覆寫磁帶。B.初始化磁帶標(biāo)簽。C.將磁帶消磁。(正確答案)D.擦除磁帶內(nèi)容。答案解析：A.覆寫磁帶是一種好辦法，