第51题

　　下面______项是计算机处理的数据来源。

　　a.协议

　　b.多路复用器

　　c.机器可读的文档

　　d.光纤线路

　　【正确答案】：C

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 机器可读的文档是计算机处理的数据源。选项(a)不正确，因为协议是关于数据和控制数据如何打包传输的特定格式的规定。选项(b)不正确，因为多路复用器是将传输线路分割为不同的部分来进行数据传输的设备。选项(d)不正确，因为光纤线路是高速数据传输的信道类型。

　　第52题

　　在应用层面审计终端用户计算控制的审查程序包括下列______。

　　a.评估EUC管理、政策、程序和终端用户支持

　　b.确定EUC应用，进行应用风险排序、记录和测试控制

　　c.审查培训、用户满意度和数据所有权

　　d.评估物理安全、逻辑安全、备份和恢复

　　【正确答案】：B

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 应用必须确定，必须进行风险排序和传统的审查。选项(a)不正确，因为这个流程用来审查组织层面的EUC控制。选项(c)和(d)不正确，因为这些仅仅是审查的一部分，而不是一个阶段或流程。

　　第53题

　　尽管管理者坚持遵循流程，但在有些场合(通常与紧急状态相关)，在测试库中的程序仍被用于公司的运营。在紧急情况下使用测试库的风险是______。

　　a.准备程序的人可能没有得到授权来编写或修改程序

　　b.在永久投入生产环境前，程序没有进行进一步测试

　　c.在这种情况下，生产库的完整性受到威胁

　　d.操作人员不能对程序的输出结果完全满意

　　【正确答案】：B

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 这种程序的一个风险就是在投入生产环境前，程序没有进行进一步测试。假如测试库中的程序看起来运行让人满意，人们往往将测试库中的程序放入生产库中。选项(a)不正确，因为这样的程序可以被认为是由经过授权的人准备的。选项(c)不正确，因为生产库的完整性不会受到威胁，因为没有对生产库做任何修改。选项(d)不正确，测试库程序在这样的环境下运行，因为相关的人会相信使用他们比使用以前的程序或根本没有程序要更好。

　　第54题

　　根据ISACA的COBIT框架，lT资源没有特别指______。

　　a.资本

　　b.数据

　　c.技术

　　d.设备

　　【正确答案】：A

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] COBIT框架识别出的IT资源包括：数据、应用系统、技术、设备和人员。货币或资本在控制目标分类中是不能作为IT资源的，因为它们可以作为上述各项资源的投资来考虑。

　　第55题

　　应用系统相关的数据访问安全可以通过下面所有的方法来实施，除了______。

　　a.应用系统中的用户身份识别和验证功能

　　b.工具软件功能

　　c.访问控制软件中的用户身份识别和验证功能

　　d.由数据库管理软件提供的安全功能

　　【正确答案】：B

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 工具程序是数据访问安全中最严重的漏洞，因为有些程序确实可以绕过正规的访问控制。选项(a)不正确，尽管这种类型的控制存在从应用程序软件向其他软件转移的情况，然而大部分这类控制存在于应用软件。选项(c)不正确，访问控制软件的一个主要目的是改善系统中所有数据的访问安全性。选项(d)不正确，大多数数据库管理软件在它们允许时增强了数据访问的安全性。

　　第56题

　　电子数据交换(EDI)作为标准操作做法的出现，加大了下列______项风险。

　　a.未经授权的第三方访问系统

　　b.系统化编程错误

　　c.不适当的知识背景

　　d.不成功的系统运用

　　【正确答案】：A

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 在不相关的当事方之间使用电子数据交换(EDI)传送业务文档，可能会增加未经授权的第三方访问系统的潜在风险，因为更多的外方将访问内部系统。选项(b)不正确，系统的编程错误没有明确提出需求导致，或者是具体要求同程序不一致。选项(c)不正确，在建立标准操作实务时，不会关注不适当的知识背景的作用。选项(d)不正确，EDI的收益之一是改进系统使用的效率和效果。

　　第57题

　　在最近几年，一些公司已经成为恐怖分子攻击的目标。避免数据中心成为恐怖分子攻击目标的最好方法是______。

　　a.确保灾难恢复计划经过了完全测试

　　b.加固抵御攻击的电子系统和通信系统

　　c.为数据中心维持尽量低调的形象

　　d.监控已知恐怖分子的位置和活动

　　【正确答案】：C

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 避免数据中心成为恐怖分子攻击目标的最好方法是为数据中心维持尽量低调的形象。这可以通过避免以下情况来实现：(1)确定外面的建筑为数据中心;(2)通过玻璃窗户展示数据中心;(3)宣传数据中心在运行中的重要角色。选项(a)不正确，因为确保灾难恢复计划经过了完全测试不会有助于避免数据中心成为恐怖分子的攻击目标。选项(b)不正确，因为加固抵御攻击的电子系统和通信系统，不会有助于避免数据中心成为恐怖分子的攻击目标。选项(d)不正确，因为监控已知恐怖分子的位置和活动，即使是被法律允许的，本身也不会有助于避免数据中心成为恐怖分子的攻击目标。

　　第58题

　　一个公司强烈意识到公司信息的敏感性。因为公司数据是有价值的，安全管理员需要监控的最重要的事情是______。

　　a.数据所有者对数据的多重访问

　　b.修改访问需要管理层授权

　　c.特权用户对运营数据的访问

　　d.数据所有者的访问特权说明

　　【正确答案】：C

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 安全管理员应该汇报特权用户对数据或资源的访问情况，这样就能够对访问情况进行监控。选项(a)不正确，数据所有者(负责创建和维护特定数据的人)对数据的多重访问是正常发生的事。选项(b)不正确，修改访问的管理层授权是环境变化的需要，这些事件通常不进行汇报。选项(d)不正确，数据所有者的访问特权说明是正常的，通常由系统维护，不需要由安全管理员汇报。

　　第59题

　　确保考虑了适当控制的传统信息系统开发流程，可能不会被开发终端用户计算(EUC)应用程序的用户遵循。下面______是EUC应用开发中普遍存在的一个风险。

　　a.管理决策可能被削弱，因为对管理层请求计算机信息的响应效率降低

　　b.管理可能更加不能迅速地对竞争压力做出反应，因为应用开发时间增加

　　c.管理层像依赖传统系统开发流程中产生的报告那样依赖EUC报告

　　d.与传统(大型机)系统相比，管理层也许会导致EUC系统应用开发和维护成本的增加

　　【正确答案】：C

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 存在一个普遍的风险就是管理层像依赖传统系统开发流程中产生的报告那样依赖EUC报告。选项(a)不正确，因为EUC系统通常增加了灵活性并对管理层的信息请求加快了响应。选项(b)不正确，因为EUC系统通常缩短了系统开发周期。选项(d)不正确，因为EUC系统通常导致系统开发、维护和成本减少。

　　第60题

　　维护一个和生产程序库分开的测试程序库的实践是如下______的实例。

　　a.组织控制

　　b.物理安全

　　c.输入控制

　　d.并发控制

　　【正确答案】：A

　　【本题分数】：1.0分

　　【答案解析】

　　[分析] 维护分开的生产程序库和测试程序库是组织控制。选项(b)不正确，因为物理安全可以防止的是非授权的用户进入系统和随意操作。选项(c)不正确，因为输入控制验证输入数据的完整性、准确性和合理性。选项(d)不正确，因为并发控制防止冲突的数据库访问请求相互干扰。