管理方案计划目标信息系统复习材料第8章中文Word文件下载.docx
《管理方案计划目标信息系统复习材料第8章中文Word文件下载.docx》由会员分享,可在线阅读,更多相关《管理方案计划目标信息系统复习材料第8章中文Word文件下载.docx(26页珍藏版)》请在冰点文库上搜索。
安全"
B)"
控制"
C)"
基准"
D)"
算法"
A
22)________是确保组织资产安全的方法、政策和组织流程,要求对资产记录要准确、可靠,对其处置符合管理标准。
遗留系统"
SSID标准"
漏洞"
D
23)以下哪种不是针对无线网络安全的挑战?
A)服务集标识(SSID)广播
B)无线频率的波段容易被监测
C)SQL注入攻击
D)无线信号的地理范围
C
24)电子数据更加容易受到例如毁坏,欺诈,错误以及滥用等安全威胁,这是因为信息系统将数据集中存放在计算机文件中,而且
A)这些文件常常跟企业遗留系统绑定在一起导致很难访问,在出错的时候也很难纠正。
B)这些文件因为在创建的时候保障安全的技术尚不存在,所以是不安全的。
C)这些文件有可能被大量的组织以外的人和群体访问。
D)这些文件常常可以在互联网上获得。
25)以下的方法可以保障软件质量,除了:
A)系统分析
B)走查法
C)软件测试
D)企业内部系统
26)窃听是一种安全挑战,它常常发生在企业网络的哪个环节?
A)客户端电脑
B)通讯线路
C)企业服务器
B
27)利用一些编程很差的Web应用软件的漏洞将恶意程序代码引入到企业的系统和网络中,这种行为被称为:
A)特洛伊木马
B)SQL注入攻击
C)按键记录
D)分布式拒绝服务攻击
28)互联网带来了一些特有的安全问题,这是因为:
A)它的设计使得其易于被访问
B)它的数据不在安全线路上传输
C)它的标准全球通用
D)它的变化非常迅速
29)以下哪个关于互联网安全的陈述是不正确的?
A)使用对等P2P网络可能把企业计算机上的信息向外界泄露
B)不提供互联网连接的公司网络比提供互联网连接的公司网络更加安全
C)VoIP(由公用因特网传输IP语音)比语音交换网络更加安全
D)即时信息活动可以被黑客用做进入一些原本安全的网络的后门
30)一种独立的计算机程序,可以在网络上将自己从一台计算机拷贝到另一台计算机,它是:
A)蠕虫
B)特洛伊木马
C)软件缺陷
D)害虫
31)某个销售人员重复点击其竞争者的在线广告以提高其广告成本。
这是一个什么例子?
A)网络钓鱼
B)网络嫁接
C)电子欺骗
D)点击欺诈
32)在2004年,ICQ用户们被来自某个被认为是防病毒商家的促销信息所引诱。
在这个商家的网站上,一个叫做Mitglieder的程序被下载到了客户的机器中。
这个程序使得外人可以渗透进用户的机器。
B)病毒
C)蠕虫
D)间谍软件
33)重定向一个网络链接到另一个不同的地址是一种什么行为?
A)窥探行为
B)电子欺骗行为
C)嗅探行为
D)接入点映射行为
34)按键记录器是一种
C)病毒
35)黑客通过以下方式组建僵尸网
A)使用恶意软件感染Web搜索机器人
B)使用Web搜索机器人感染其它计算机
C)通过一个主计算机使得他人的计算机成为“僵尸”计算机
D)让企业服务器感染上“僵尸”特洛伊木马从而允许通过后门进行的访问无法被检测
36)使用许许多多的计算机从无数的发射点来淹没网络被成为________攻击。
A)分布式拒绝服务攻击(DDoS)
B)拒绝服务攻击(DoS)
D)网络钓鱼
37)以下哪一项不是针对计算机进行犯罪的例子?
A)故意访问受保护的计算机以实施欺诈
B)XX访问计算机系统
C)非法访问存储电子通信
D)对受保护的计算机造成损害的威胁
38)以下哪一项不是计算机用作犯罪工具的例子?
A)窃取商业机密
B)有意尝试拦截电子通信
C)软件XX的复制
D)泄漏保密性的受保护的计算机数据
39)互联网安全公司在2012年发现了大约多少种在恶意软件中检测到的新出现的威胁?
A)40万
B)400万
C)4000万
D)4亿
***参考答案似乎是D,题目似乎需要改为2011年-根据教材P232页***
40)以下哪个是网络钓鱼的例子?
A)设置伪造的Wi-Fi热点
B)建立一个虚假的医疗网站,要求用户提供机密信息。
C)伪装成公共事业公司的员工以获取这个公司安全系统的信息。
D)以虚假的借口发送大量电子邮件,请求资助。
41)邪恶双胞(eviltwins)是
A)用户看起来是合法的商业软件应用程序的木马程序。
B)模仿合法业务的电子邮件消息的电子邮件。
C)模仿合法经营网站的欺诈网站。
D)伪装成提供可信的Wi-Fi因特网连接的无线网络。
42)嫁接(pharming)指的是
A)将用户引导到一个欺骗网页,即便用户在其使用的浏览器中输入了正确的网址。
B)冒充合法企业的代表以搜集其安全系统的信息。
C)设置假网站,询问用户机密信息。
D)使用电子邮件进行威胁或骚扰。
43)您被聘为法律公司的安全顾问。
下列哪一构成对该公司安全威胁最大的来源?
A)无线网络
B)公司员工
C)认证程序
D)缺乏数据加密
44)冒充一个公司的合法成员欺骗员工透露他们的密码被称为
A)网络监听
B)社交工程
C)网络钓鱼
D)网址嫁接
45)软件供应商在软件发布后如何纠正其软件缺陷?
A)发布错误修补器
B)发布补丁
C)重新发布软件
D)发布升级版本
46)HIPAA法案
A)要求金融机构保证客户数据的安全。
B)指定信息系统安全和控制的最佳实践。
C)对公司和管理层施加责任以保障财务信息的准确性。
D)概述医疗安全和隐私规则。
47)Gramm-Leach-Bliley法案
A)规定金融机构要确保客户数据安全保密。
48)萨班斯-奥克斯利(Sarbanes-Oxley)法案
49)最常见的电子证据类型是
A)语音邮件
B)电子表格
C)即时消息
D)电子邮件
50)留存在计算机存储介质中对一般用户不可见的电子证据被称为________数据。
A)碎片化
B)环境
C)法庭
D)片断
51)应用软件控制
A)可以分为输入控制、过程控制和输出控制。
B)管理计算机程序的设计、安全和使用,以及在整个组织中的数据文件的安全性。
C)适用于所有的电脑应用,包括硬件,软件和手动程序,目的是创造一个整体的控制环境。
D)包括软件控制,计算机操作控制和实施控制。
52)________控制确保存储在磁盘或磁带上的具有商业价值的数据文件在使用或储存期间不受XX的访问,改变或破坏。
A)软件
B)行政
C)数据安全
D)实施
53)针对信息系统安全事件发生的可能性及其成本的分析是
A)安全措施
B)可接受使用策略(AUP)
C)风险评估
D)业务影响分析
54)一个________系统用于识别和授权不同类别的系统用户,并且指定每个用户允许访问的系统或系统功能。
A)身份管理
C)认证
D)防火墙
55)下列哪一个不是主要的防火墙筛选技术?
A)应用代理过滤
B)静态包过滤
C)网络地址转换(NAT)
D)安全套接字过滤
56)严格的密码系统
A)是最有效的安全工具之一。
B)可能会阻碍员工生产力。
C)实施成本高昂。
D)经常被员工忽视。
57)身份验证令牌是
A)包含访问权限数据的信用卡大小的设备
B)智能卡的一种
C)显示密码的小工具
D)附着于数字授权文件的电子标记
58)下列哪一个不是生物身份认证系统用以分析的特征?
A)视网膜图像
B)声音
C)头发颜色
D)面部
59)防火墙可以允许组织
A)防止未授权的传入和传出的网络流量。
B)监控网络热点的入侵者。
C)阻止已知的间谍软件和恶意软件进入系统。
D)上述所有。
60)在以下哪些技术中有针对网络通信的分析,以确定数据包是否是一个发送端和接收端之间正在进行的会话的一部分?
A)状态检测
B)入侵检测系统
C)应用代理过滤
D)包过虑
61)下列哪一项是员工对组织的信息系统构成的最大威胁?
A)忘记密码
B)知识缺乏
C)数据录入错误
D)引进软件错误
62)目前,在互联网上使用的安全信息传输协议有
A)TCP/IP和SSL.
B)S-HTTP和CA.
C)HTTP和TCP/IP.
D)SSL,TLS和S-HTTP.
63)大部分防病毒软件可以有效防止
A)只有那些通过互联网和电子邮件传播的病毒。
B)任何病毒。
C)除了无线通信应用外的任何病毒。
D)只针对编写程序时已知的恶意软件。
64)下面哪一种加密方法是将一个单一的加密密钥发送给接收者,所以发送者和接收者共享相同的密钥?
A)安全套接层协议(SSL)
B)对称密钥加密
C)公钥加密
D)私钥加密
65)数字证书系统
A)利用第三方机构来验证用户身份的合法性。
B)利用数字签名来验证用户身份的合法性。
C)利用令牌来验证用户身份的合法性。
D)主要被个人用来做通信往来
66)宕机时间指的是这样一段时间
A)计算机系统失灵。
B)计算机系统不能正常运行。
C)企业或组织不能正常运行。
D)计算机不在线。
67)为了保证100%的可靠性,在线事务处理需要
A)大容量存储器。
B)多层服务器网络。
C)容错计算机系统。
D)专用电话线。
68)为了控制网络流量减少网络拥塞,一项________技术用于检查数据文件,并将权限较低的在线文件分拣出来。
A)高可靠计算
B)深度包检测
D)状态检测
69)使计算机系统在出现灾难性事件后能够更迅速的恢复的方法和途径被称为
A)高可用性计算。
B)面向恢复计算。
C)容错计算。
D)灾难恢复计划。
70)小公司可以将许多系统安全的职能外包给
A)ISPs.
B)MISs.
C)MSSPs.
D)CAs.
填空题
71)窃听者在外面的建筑物或者公园里进行操纵,以拦截无线网络的流量的入侵方式被称为________.
驾驶攻击(wardriving)
72)含有恶意代码的软件称为________,它包含了各种形式的威胁,如计算机病毒、蠕虫和特洛伊木马。
恶意软件(malware)
73)________是一种冒名获得个人关键信息如社保号、驾照号、信用卡号等,以假冒他人的犯罪。
身份盗用(identitytheft)
74)________是指对存储在计算机介质或从计算机介质中提取到的数据进行科学收集、审查、授权、保存和分析,使其可以在法律诉讼中作为证据使用。
计算机取证(computerforensics)
75)________指故意中断、毁坏,甚至摧毁一个网站或企业信息系统的行为。
恶意网络破坏行为(cybervandalism)
76)________对企业的总体安全环境以及针对单个信息系统的控制措施进行检查。
信息系统审计(MISaudit)
77)________是指能够分辨一个人所声称的身份的能力。
身份认证(authentication)
78)安全产品供应商把各种安全工具合并成一个单一的工具包。
这些安全工具包括防火墙、虚拟专用网络、入侵检测系统、网页内容过滤和反垃圾邮件软件等。
这种集成的安全管理产品称为________。
一体化威胁管理(UTM)系统
79)公钥加密基础设施(PKI)是将公钥加密技术和________组合起来使用。
数字认证中心(certificateauthority)
80)当发现错误时,通过________过程来发现并消除错误源。
调试(debugging)
问答题
81)讨论互联网上的安全问题,因为这个问题适用于全球性的企业。
列举至少五种互联网安全挑战。
像因特网这样的大型公用网络,因为对所有人开放,会比内部网络更加易受攻击。
因特网如此巨大,以致当滥用发生时会产生四处蔓延的巨大影响。
当因特网成为企业网络的一部分,组织的信息系统更容易受到外来者侵入。
通过调制解调器或者数字专线DSL与因特网固定连接的计算机更容易被外来者入侵,因为它们使用固定的因特网地址以便易于识别。
如果用拨号服务,每次连接分配一个临时的因特网地址。
固定的因特网地址为黑客提供了固定的攻击目标。
为了从电子商务,供应链管理,和其他数字业务流程中获益,企业需要对外开放,如客户,供应商和贸易伙伴。
企业系统必须在组织外部进行扩展,使员工可以使用无线和其他移动计算设备来访问他们。
这就需要一个新的安全文化和基础架构,允许企业扩展其安全政策,包括供应商和其他业务伙伴的安全保障措施。
82)一个公司的安全政策如何为六大主要业务目标做出贡献?
请举例说明。
1.卓越运营:
安全政策对企业卓越经营至关重要。
一个公司的日常交易可以被网络犯罪如黑客严重破坏。
一个公司的效率依赖于精确的数据。
此外,信息资产具有巨大的价值,如果他们被丢失,被破坏,或者被坏人所掌控,后果将是毁灭性的。
2.新产品,服务,商业模式:
安全政策保护公司的新产品和服务创意,而这些可能被竞争对手窃取。
此外,增强的安全性,在客户的眼中也可以作为产品差异化的一种方式。
3.客户和供应商关系:
如果用户输入个人数据到您的信息系统,例如,输入信用卡信息到您的电子商务网站,那么客户的信息就依赖于您的系统安全性。
您收到的来自客户和供应商的信息则直接影响到您是如何定制您的产品,服务,或与他们沟通。
4.改进决策:
安全的系统将数据的准确性作为其优先级,而良好的决策也依赖于准确和及时的数据。
丢失和不准确的数据将会导致错误的决策。
5.竞争优势:
你的公司拥有比其它公司更高的安全性的特征,在其它方面都均等的情况下,将使你的公司更有吸引力。
此外,改进的决策,新产品和服务,这也受到系统安全的影响(见上文),将有助于提升一个公司的竞争优势。
强大的安全性和控制能力也提高了员工的工作效率和更低的运营成本。
6.生存:
新的法律和法规迫使企业将安全系统保持最新成为企业的生存问题。
安全和控制不充分可能导致严重的法律责任。
企业有可能因为安全政策上的错误而被彻底摧毁。
83)系统建设者和用户的三项主要关注点是灾难,安全和人为错误。
在这三项之中,你认为最难对付的是什么?
为什么?
学生的参考答案会有所不同。
参考参考答案包括:
灾难可能是最难对付的,因为它是意想不到的,影响广泛的,而且经常会危及生命。
此外,公司不知道其灾难计划是否会在灾难发生时产生效果,而那时再作更正也为时太晚。
安全可能是最困难的,因为它是一个正在进行的问题,新病毒的设计不断,黑客变得更加狡猾。
此外,系统安全措施也无法排除由受信任的员工从内部进行的破坏。
人为错误可能是最困难的,因为被抓到时常常为时已晚,而且后果可能是灾难性的。
此外,在公司内部,行政错误可以发生在任何级别,并通过任何操作或程序发生。
84)无线网络面临的安全挑战是什么?
无线网络容易受到攻击,因为无线频率的波段很容易被监测到。
蓝牙和Wi-Fi网络都容易受非法偷听者的入侵。
使用802.11标准的局域网(LAN)也可以被外部入侵者通过手提电脑、无线网卡、外置天线和黑客软件轻易地侵入。
黑客使用这些软件来发现没有防护的网络、监视网络流量,在某些情况下还能够进入因特网或企业网络。
Wi-Fi传输技术使得一个基站能够很容易找到并接听另一个基站。
Wi-Fi网络中识别访问点的服务集标识SSID(servicesetidentifier)多次广播,能够很容易地被入侵者的监听程序窃取。
很多地区的无线网络没有基本的保护来抵御驾驶攻击(wardriving)。
这种入侵方式,窃听者在外面的建筑物或者公园里进行操纵,以拦截无线网络的流量。
与一个接入点关联起来的入侵者通过使用正确的SSID就能够访问网络上其它资源。
例如,入侵者可以使用Windows操作系统来确定还有哪些其他用户连接到网络,然后进入他们的计算机硬盘驱动区,打开或复制他们的文件。
入侵者还会使用另一个不同的无线频道设置欺诈接点来收集的信息。
该欺诈接点的物理位置与用户靠近,这样强行使用户的无线网络接口控制器NIC(networkinterfacecontroller)与该接点关联起来。
一旦关
升级会员 