考試題一:
1. 以下哪項不是典型的輸出控制?
A.審查計算機處理記錄,以確定所有正確的計算機作業都得到正確執行。
B.將輸入數據與主文件上的信息進行匹配,並將不對應的項目放入暫記文件中。
C.定期對照輸出報告,以確認有關總額、格式和關鍵細節的正確性以及與輸入信息的一致性。
D.通過正式的程序和文件指明輸出報告、支票或其他關鍵文件的合法接收者。
[答案]B
解題思路:
A.不正確。審查計算機處理記錄是典型的輸出控制。
B.正確。將輸入數據與主文件上的信息進行匹配是一項輸入控制。
C不正確。定期對照輸出報告是典型的輸出控制。
D.不正確。通過正式的程序和文件指明輸出報告、支票或其他關鍵文件的合法接收者是典型的輸出控制。
2. 以下哪一項不是一個新的應用系統的實施方法?
A.直接轉換
B.平行轉換
C.試點轉換
D.測試
[答案]D
解題思路:A不正確。直接轉換、平行轉換、試點轉換和分階段的轉換是用新系統替代老系統的四種主要策略。
B不正確。參見“a.”。
C不正確。參見“a.”。
D.正確。測試是系統開發階段的任務之一,以驗證系統按預定的功能運行,因此測試不是新應用系統的實施方法。
3. 對於傳統的系統,程序改變控制能夠保證生產系統是從經批准的程序的正確版本中產生。而在客户機/服務器環境下運行的系統有可能增加程序改變控制的複雜性。一個在客户機/服務器環境中要求而在大型主機環境中不要求的程序變動控制功能是保證:
A.程序版本在全網絡上的同步。
B.程序緊急改動的過程應制定成條文規定並遵守執行。
C.適當的用户參與程序改變測試。
D.從測試資料庫到成品資料庫的傳送要受到控制。
[答案]A
解題思路:
A.正確。客户機/服務器環境下的客户端程序分散在各個客户機中,當升級應用程序版本時,必須保證版本在全網絡上的同步,否則舊版的客户程序可能不能正常工作甚至影響到服務器中的數據。而在大型機環境下應用程序集中存放在主機中,只需升級主機中的程序即可。
B.不正確。客户機/服務器環境和大型機環境都必須制定程序緊急改動的條文規定並要求遵守執行。
C.不正確。兩種環境下都要求用户參與程序改變測試。
D.不正確。兩種環境下從測試資料庫到成品資料庫的傳送都應受到控制。
4. 要防止通過直接連接主機的無人照管的終端而對敏感數據進行非法訪問,以下哪項安全控制效果最佳?
A.使用帶密碼的屏幕保護程序。
B.使用工作站腳本程序。
C對數據文件加密。
D.自動註銷不活動用户。
[答案]D
解題思路:
A.不正確。無人照管終端的主要風險是該終端可能已經合法地登錄主機,因此任何人都可以利用該終端訪問主機中的敏感數據。在這種情況下,帶密碼的屏幕保護程序較容易被饒過,如用另一台終端替換該終端。
B.不正確。參見“a.”, 工作站腳本程序用來定製終端的運行環境,只有在終端登錄時起作用。
C.不正確。參見“a.”, 對數據文件加密不能防止攻擊者訪問敏感數據,因此時攻擊者已獲得了合法用户的身份,系統會自動解密數據文件。
D.正確。參見“a.”,自動註銷不活動用户可使攻擊者失去獲得合法用户的機會。
5. 為了避免非法數據的輸入,某銀行在每個帳號結尾新加一個數字並對新加的數字進行一種計算,此種技術被稱為:
A.光學字符識別(optical character recognition)。
B.校驗數位(check digit)。
C.相關檢查(dependency check)。
D.格式檢查(format check)。
[答案]B
解題思路:
A.不正確。光學字符識別將印刷字符轉換成計算機可以識別的內部代碼。
B.正確。校驗數位是對某字段進行某種計算後得出,並附加在該字段之後的校驗位。通過重新計算校驗位並和原校驗位進行比較,可以發現該字段內容是否已發生變化。
C.不正確。相關檢查用於檢查多個字段之間是否存在某種關聯,來判斷字段內容的正確性。
D.不正確。格式檢查用於檢查字段內容是否遵循某種特定的格式,如日期字段應該具有如下格式:YYYY:MM:DD。
6. 在公司信息系統的戰略應用中,面嚮對象的技術變得越來越重要,因為它具有以下潛力:
A.允許更快更可靠地開發系統。
B.保持原來用過程語言編寫的程序。
C.減少對層次數據庫的數據完整性的破壞。
D.使傳統的瀑布式系統開發方法更加流暢。
[答案]A
解題思路:
A.正確。面向對象的開發技術利用對象的繼承、重用、重構等特徵,可以更快更可靠地開發系統。
B.不正確。面向對象的開發技術將數據和對該數據的操作封裝成一個對象,因此不能保持原來用過程語言編寫的程序。
C.不正確。對象雖然具有層次的概念,但和層次數據庫中的層次概念沒有任何聯繫。
D.不正確。面向對象的開發方法和傳統的瀑布式系統開發方法在需求分析、系統設計和編碼上都有很大的區別,屬於兩類不同的系統開發方法學,因此不存在使傳統的瀑布式系統開發方法更加流暢的作用。
7. 以下哪項關於電子郵件安全性的説法是正確的?
A.互聯網上的所有信息都被加密,因此能夠提供增強的安全性。
B.密碼在防止偶然訪問其他人的電子郵件時很有效。
C.如果沒有事先對安全控制記錄解密,那麼即使具有訪問包含電子郵件信息的文件服務器的管理級權限的人員也不能接觸包含電子郵件信息的文件。
D.自主訪問控制策略不需要口令。
[答案]B
解題思路:
A.不正確。互聯網上的信息並未自動加密,包括電子郵件信息。
B.正確。對設置了密碼的電子郵件,必須輸入正確的密碼信息才能閲讀郵件,因此可以防止對郵件的偶然訪問。
C.不正確。具有文件服務器管理權限(總體控制)的人員完全有可能饒過電子郵件的安全控制(應用控制),通過直接閲讀郵件文件的方式來獲得郵件內容。
D.不正確。自主訪問控制策略需要對用户身份進行鑑別,而口令是身份鑑別的主要手段。
8. 為了適當控制對會計數據庫文件的訪問,數據庫管理人員應正確應用數據庫的安全特徵以允許:
A.用只讀方式訪問數據庫文件。
B.特權軟件對數據進行更新。
C.只訪問經過授權的邏輯視圖。
D.用户可以修改其訪問配置文件。
[答案]C
解題思路:
A.不正確。只讀控制可以防止對數據的非授權修改,但不能防止對數據的非授權讀取。
B.不正確。允許特權軟件對數據進行更新不能防止用户對數據的非授權訪問。
C.正確。邏輯視圖從一個或多個數據庫表中生成新的數據結構,以更適合用户使用的方式表示數據。對視圖通常只能進行查詢操作,通過限制用户只能對授權的視圖、而不是表進行訪問,可防止用户對錶數據的非授權訪問。
D.不正確。允許用户修改其訪問配置文件不能防止用户對數據的非授權訪問。
9. 一個組織的計算機幫助平台功能通常由哪個部門的負責?
A.應用開發部門
B.系統編程部門
C.計算機運行部門
D.用户部門
[答案]C
解題思路:
A.不正確。應用開發部門負責系統的開發。
B.不正確。系統編程部門負責系統的程序設計。
C正確。計算機運行部門負責系統的日常運行維護,計算機幫助平台是其功能之一。
D.不正確。用户部門負責操作使用計算機系統。
10. 要最大程度地降低未經授權編輯生產程序、工作控制語言和操作系統軟件的可能性,以下哪種方法效果最佳?
A.數據庫訪問檢查;
B符合性檢查;
C.良好的變動控制程序;
D.有效的網絡安全軟件。
[答案]C
解題思路:
A.不正確。數據庫訪問檢查可以防止對數據庫的非授權訪問,但不能防止未經授權編輯生產程序、工作控制語言和操作系統軟件。
B.不正確。符合性檢查可以在非授權編輯操作發生後發現該事件並予以糾正,但不能預防非授權編輯操作的發生。
C正確。良好的變動控制程序是安全政策、安全管理和安全技術的綜合,可以最大程度地預防未經授權編輯生產程序、工作控制語言和操作系統軟件的行為發生。
D.不正確。網絡安全軟件用於防止通過網絡進行的非授權編輯,但對於直接通過控制枱進行的非授權編輯可能就無能為力。有效的網絡安全軟件只是安全管理的技術因素,如沒有管理方面的配合,安全效果會大打折扣
