第11题

　　密码是IT设备控制系统中常用的控制方法。密码是如下______种控制措施的例子。

　　a.物理控制

　　b.编辑控制

　　c.数字控制

　　d.访问控制

　　【正确答案】：D

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 密码是访问控制的一种形式，它们限制访问计算机系统和在计算机系统中存储的信息。选项(a)不正确，因为物理控制限制访问某个区域，不包括密码。选项(b)不正确，因为编辑控制测试数据的有效性。选项(c)不正确，因为数字控制是物理控制的例子，它们关注交换机、传动装置和使用仪器。

　　第12题

　　计算机系统的效率和计算机资源的有效利用是SAC模型的______鉴证目标的组成部分。

　　a.可用性

　　b.能力

　　c.功能性

　　d.问责性

　　【正确答案】：B

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 计算机系统的效率是能力的一个方面，而这种能力可以有效地利用计算机资源。管理层的目标是实现并保持系统在整个组织间的平衡既有效又有效率。能力目标注重于所有商务交易都能够端对端地、可靠地、及时地完成和履行。

　　第13题

　　确定在应用系统中建立多少控制的标准应该包括以下所有内容，除了______。

　　a.系统数据的重要性

　　b.使用网络监视软件的可行性

　　c.如果一个具体活动或过程没有被适当地控制而带来的风险水平

　　d.每种控制技术的效率、复杂性及成本

　　【正确答案】：B

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 网络监控软件不会包含应用系统中的控制。选项(a)不正确，例如主要的金融和财务系统，诸如在证券交易所跟踪采购和销售之类信息的系统，比起详细记录员工培训和技能的系统来说，必须有较高的控制标准。选项(c)不正确，问题可能发生的频率以及潜在的危害应该决定在系统中要构建多少控制。选项(d)不正确，例如，完成一对一检查可能花很多时间，对一个每天处理成百上千公共服务缴费的系统来说不可能。但是可能只使用这种方法来验证关键数据，例如美元总额和账号，同时忽略姓名和地址。

　　第14题

　　终端仿真软件能够使局域网内的微型计算机像大型计算机终端一样运行。部门的局域网用户从公司主机的中央数据库获取信息，然后运用终端用户计算应用软件处理这些信息。

　　在这一环境下，除了______外都属于主要的控制风险。

　　a.员工用自己的微型计算机为个人谋利

　　b.进行终端仿真时，微型计算机用于屏幕显示的计算能力不充分

　　c.部门用户可能在终端用户计算应用软件中采用不恰当的备份进程

　　d.员工擅自复制办公自动软件用于个人目的

　　【正确答案】：B

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 在终端仿真中，个人计算机有足够的屏幕显示计算能力(个人计算机有比终端更强的计算能力)。选项(a)不正确，因为有员工使用个人计算机来为自身谋利属于一种控制风险。选项(c)不正确，因为采用不恰当的备份程序属于一种控制风险。选项(d)不正确，因为软件的非授权复制属于一种控制风险。

　　第15题

　　内部审计师正在审查关于电子邮件的一项新政策。这样的政策应该不包括下面几项组成部分中的______项。

　　a.雇用终止后立即删除该员工所有的电子邮件

　　b.通过电话线路传输时，加密电子邮件信息

　　c.限制组织使用的电子邮件包的数量

　　d.要求个人不得使用电子邮件发送高度敏感或保密的信息

　　【正确答案】：A

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 公司应该访问遗留下来的与业务相关的电子邮件。访问电子邮件对于业务或可能的犯罪调查来说也可能是关键的。与个人相关的隐私性可能由于强制的业务利益而减轻-这是跟踪业务电子邮件和帮助调查的要求。选项(b)不正确，加密有助于防止那些试图破坏电子邮件消息的非授权的人窃听消息。选项(c)不正确，这样的标准简化了技术管理工作，减少了系统将信息从一个系统传到另一系统时将加密去掉的可能性。选项(d)不正确，由于电子邮件安全内在的弱点，这是一种合理的隐私控制技术。

　　第16题

　　国际标准化组织(ISO)制定了环型网的相关标准，包括故障管理、配置管理、账户管理、安全管理和性能监控。以下的______控制属于性能监控标准。

　　a.报告网络光纤线路故障

　　b.记录未授权的访问违例

　　c.编译应用软件使用次数的统计数据

　　d.向系统用户分摊网络成本

　　【正确答案】：C

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 记录软件的使用情况是一项性能管理控制。选项(a)不正确，因为故障报告属于错误管理功能。选项(b)不正确，因为访问违例属于安全管理功能。选项(d)不正确，因为成本分摊属于财务管理职能。

　　第17题

　　尽管带有回拨功能的拨入线路要比不带回拨功能的拨入线路更不容易受到威胁，但是拨入线路的回拨功能具有的缺点是______。

　　a.缺乏尝试登录的日志记录

　　b.不能在无效登录尝试后断开连接

　　c.存在通话转发设备

　　d.需要显示用户编号和密码

　　【正确答案】：C

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 通话转发设备让回拨/拨入线路变得容易受到攻击，因为这个设备会将来自于合法电话号码的访问转移给非法用户。选项(a)不正确，因为尝试登录会在日志中记录下来，不管是否有回拨功能。选项(b)不正确，因为在无效登录尝试后断开连接的能力是访问控制软件的功能，而不是回拨的功能。选项(d)不正确，因为显示用户编号和密码不是回拨的功能。

　　第18题

　　在通信线路上传输私有数据时，为了减少安全威胁，公司应当选择______。

　　a.异步调制解调器

　　b.验证技术

　　c.回拔技术

　　d.加密设备

　　【正确答案】：D

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 加密设备保护数据在通信线路上的传输。密钥公证可以结合加密设备使用，以便提供更强的数据安全性。密钥管理包括密钥的安全创建、分发和存储。选项(a)不正确，因为异步调制解调器是用来处理从外设到中心处理器的数据流。选项(b)不正确，验证技术确定有效的用户访问系统。选项(c)不正确，因为回拨技术是用来确保拨入的会话来自于经过授权的地点。

　　第19题

　　许多公司和政府组织愿意转变为开放式系统，是为了______。

　　a.从设备供应商获得一定数量的折扣

　　b.对于设备实现更大的规模经济

　　c.使用较廉价的计算设备

　　d.促进所拥有组件的集成

　　【正确答案】：C

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 向开放式系统的转变增加了提供合适组件的供应商数量，增强了设备的价格竞争。选项(a)不正确，一般来说，运行开放式系统倾向于增加供应商数量，减少了从一个供应商购买组件的平均数量，从而减少了从供应商获得总额折扣的机会。选项(b)不正确，一般来说，运行开放式系统使得企业更准确地度量它们的计算设备。由于较多的容量集中在少数几个站点，因此度量结果可能与希望达到的规模经济不一致。选项(d)不正确，一般来说，运行开放式系统降低了企业对专有组件的依赖程度，从而降低了将组件与现有系统进行集成的需求。

　　第20题

　　银行出纳员和他们的主管用他们的员工编号登录在线储蓄系统，员工编号每个出纳员都可以得到。银行想要阻止出纳员访问某些审批功能，例如撤销特定的美元限额。实行这种限制的最好的控制是______。

　　a.标记

　　b.回拨

　　c.密码

　　d.日志

　　【正确答案】：C

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 使用密码能够使主管通过系统来验证他们的主管身份。出纳员不知道主管的密码，就不能激活只有主管才能使用的功能。选项(a)不正确，因为标记是对进行调查的特定交易做标志的活动。选项(b)不正确，因为回拨是指如下程序：在让终端会话继续之前，系统断开呼叫者的连接，然后呼叫外部实体的电话号码。选项(d)不正确，因为访问日志和员工试图执行功能的日志会发现出纳员使用非授权的功能，但是不能阻止出纳员使用非授权的功能。