20XX年国际内审师考试辅导：Web基础设施(4)-国际内审师 doc

典型试题

【例题】能提交专题问题并使其他知情人可以看到和答复的地方是

A.文件搜索程序，如Archie。

B.广域信息服务器。

C.互联网专题论坛，如Usenet group。

D.开放系统互联组织。

【答案】C

【解析】

A.不正确。文件搜索程序用于在因特网上搜索所需的文件资料。

B.不正确。广域信息服务器可以在因特网上发布信息。

C.正确。互联网专题论坛是一个供人们通过互联网直接交流的场所，在这里可以提出问题，也可回复问题。

D.不正确。开放系统互联组织是旨在推动开放系统发展的国际组织。

【例题】内部审计师正在复核一项有关电子邮件的新政策，这个政策应包括除了以下哪项以外的所有因素?

A.立即删除已解除雇佣员工的所有电子邮件。

B.通过电话线传输的电子邮件信息应该加密。

C.限制公司采用的电子邮件软件包的种类。

D.规定职员不能用电子邮件发送高度敏感或机密的信息。

【答案】A

【解析】

A.正确。已解除雇佣员工的电子邮件中很可能包含有用的客户和业务信息，而且这些电子邮件的存在通常不对组织构成风险，因此没有必要立即删除，而应安排专人接手并检查这些邮件。

B.不正确。电话线路很容易被窃听，因此对通过电话线传输电子邮件信息进行加密应包括在政策之内。

C.不正确。限制公司采用的电子邮件软件包的种类有利于邮件的安全管理和互通，应包括在政策之内。

D.不正确。电子邮件在通过公网传送时，很可能受到各种攻击，因此规定职员不能用电子邮件发送高度敏感或机密的信息应包括在政策之内。

【例题】以下哪种关于电子邮件安全性的说法是正确的?

I.电子邮件不可能比它赖以运行的计算机系统更安全。

II.机密的电子邮件信息应该储存在邮件服务器中，储存时间和纸质文件相等。

III.在大型组织中，可能有若干个不同安全级别的邮件管理员和地点。

A.只有I是对的。

B.只有I和II是对的。

C.只有I和III是对的。

D.只有II和III是对的。

【答案】C

【解析】

I.正确。如果电子邮件赖以运行的计算机系统不安全，就可以通过系统工具获得电子邮件的内容。

II.不正确。一旦用户将机密的邮件信息下载到PC机后，就不应该再在邮件服务器上保留。

III.正确。在大型组织中，通常会对不同安全级别的邮件分设不同的管理员和地点。

【例题】以下哪项关于电子邮件安全性的说法是正确的?

A.互联网上的所有信息都被加密，因此能够提供增强的安全性。

B.密码在防止偶然访问其他人的电子邮件时很有效。

C.如果没有事先对安全控制记录解密，那么即使具有访问包含电子邮件信息的文件服务器的管理级权限的人员也不能接触包含电子邮件信息的文件。

D.自主访问控制策略不需要密码。

【答案】B

【解析】

A.不正确。互联网上的信息并未自动加密，包括电子邮件信息。

B.正确。对设置了密码的电子邮件，必须输入正确的密码信

息才能阅读邮件，因此可以防止对邮件的偶然访问。

C.不正确。具有文件服务器管理权限（一般控制）的人员完全有可能绕过电子邮件的安全控制（应用控制），通过直接阅读邮件文件的方式来获得邮件内容。

D.不正确。自主访问控制策略需要对用户身份进行鉴别，而口令是身份鉴别的主要手段

【例题】WWW站点证书的主要功能是

A.对用户要访问的WWW站点进行身份验证。

B.对访问WWW站点的用户进行身份验证。

C.防止黑客访问WWW站点。

D.与数字证书有同样的目的。

【答案】A

【解析】

A.正确。WWW站点证书的主要目的就是对要访问的WWW站点进行身份验证。用户的身份验证是通过口令，而不是通过站点证书来实现，站点证书既不会阻止黑客，也不能验证用户。

B.不正确。见题解A。

C.不正确。见题解A。

D.不正确。见题解A。

【例题】当数据在一贸易公司的服务器上通过SSL加密传输时，应考虑以下哪种情况?

A.组织对加密没有控制。

B.消息面临着线路窃听。

C.数据可能无法到达预期的接受者。

D.通信可能不安全。

【答案】A

【解析】

A.正确。SSL安全协议提供数据加密、服务器身份验证、消息完整性和客户身份验证功能，因为SSL内置于主要的浏览器和WWW服务器内，通过简单安装一个数字证书，就可启用SSL的功能。数据被加密后在网上传播，加密是在后台进行的，不需要用户的交互操作，也不需要用户提供口令。

B.不正确。因为在客户机与服务器之间的通信是被加密传输

的，网上传输信息不会受到线路窃听的威胁。

C.不正确。SSL要进行客户机身份验证，只有预期的接受者才能收到加密信息。

D.不正确。所有的通过SSL连接发送的数据都受到了防攻击机制的保护，系统可以自动判断数据在传输过程中是否被修改。

【例题】以下哪一种小程序（Applet）入侵类型会使组织面临系统运行中断的最大威胁?

A.在客户机上放置病毒的程序

B.能记录用户击键行为和收集口令的小程序。

C.从网上下载的能读硬盘文件的代码。

D.可以从客户机建立网络连接的小程序。

【答案】D

【解析】

A.不正确。在客户机上放置病毒程序的行为称为恶意攻击，可能会引起客户机的损害，但不会造成服务中断。

B.不正确。能记录击键行为和收集口令的程序涉及的是有关组织隐私的问题。这虽然很重要，但不可能引起严重的服务中断。

C.不正确。从网上下载的能读客户硬盘文件的代码涉及的也是有关组织隐私的问题。这虽然很重要，但不可能引起严重的服务中断。

D.正确。所谓小程序是从WWW服务器下载到客户机的一段小程序，通过浏览器它可以实现访问数据库、与WWW页面交互操作及与其他用户进行通信的功能。在网络上小程序与其他计算机建立连接后，就有可能发动拒绝服务来攻击和损害其他计算机，从而造成业务中断，这构成了对系统的最大威胁。

1 2