A.个人电脑上的敏感资料更易于泄露。
B.任何能访问个人电脑的人也能访问主机。
C.数据文件备份程序的有效性将被削弱。
D.未经充分训练的用户会犯更多的错误。
[答案]B
解题思路:
A.不正确。主机登录序列和个人电脑上的敏感资料的安全性无关。
B.正确。由于主机登录序列保存在个人电脑里,任何能访问个人电脑的人也能利用该序列来访问主机。
C.不正确。主机登录序列和数据文件备份程序的有效性无关。
D.不正确。与此相反,把登录序列保存在个人电脑里可以简化登录系统的过程,使未经充分训练
3. 某不动产经纪公司正迁入一座装有足够电话线路的大楼。公司考虑安装一套内部数字交换系统(PBX),来连接公司计算机与其它办公设备(如复印机、打印机及传真机等)。在该网络中使用PBX系统的局限性是:
A.公司将依赖外人来维护系统。
B.系统不能轻松地处理大容量数据。
C.同轴电缆线必须装遍整幢大楼。
D.难以对办公设备进行重新布置,且花费甚大。
[答案]B
解题思路:
A.不正确。内部数字交换系统(PBX)可由公司自行维护。
B.正确。相对于以太网等专用数字线路,电话线路的数字带宽有限,不能轻松地传输大容量数据。
5. 某总部位于纽约的大型连锁超市公司一直通过租用卫星线路来保持总部和遍布全球的各个超市之间的信息交换,这些信息包括采购成本等敏感信息。现在,为了节省通讯费用,公司管理层考虑采用因特网来代替卫星线路。此时适合采用的技术是:
A.VLAN(虚拟局域网:virtual local area network)
B.PBX(专用分组交换机:private branch exchanges)
C.VPN(虚拟专用网:virtual private network)
D.VAN(增值网:value added network)
[答案]C 解题思路:
A.不正确。虚拟局域网是一种将物理上互连的网络在逻辑上隔离成不同网段的技术,可以提高网络的安全性。
B.不正确。专用分组交换机(PBX)使用专用电话线在办公室间传输电话、传真。
C.正确。虚拟专用网利用数据包封装和加密等技术,可以在公用交换网络上建立一个“虚拟”的专用网络,既具备私有网络的安全性,又具有公用网络的经济性。
D.不正确。增值网通常基于租用线路而不是因特网。
6. 以下哪项措施能够控制对多余的电脑设备的低效使用?
A.应急计划
B.系统可行性研究
C.能力计划
D.例外报告
[答案]C
解题思路:
A.不正确。应急计划可以保证在系统出现紧急故障时能在有效时间内恢复运行。
B.不正确。系统可行性研究确保系统能实现预定的功能和性能指标。
C.正确。能力计划包括系统能力的设计目标、现有的设备能力清单以及对未来需求的预测,它能够控制对多余的电脑设备的低效使用。
D.不正确。例外报告可以将特殊问题突出显示,以引起相关部门的注意。
7. 传统的信息系统开发和运行包括四个功能区域。系统分析功能主要是分析和设计系统以满足组织的需求;编程功能主要负责设计、编码、测试和调试程序来具体实现系统分析所提出的系统功能;计算机运行功能主要负责数据准备、作业管理和系统维护;用户功能主要为系统提供输入和接收输出。这四项功能中的哪一项功能在终端用户开发(EUC)环境下中经常被忽视?
A.系统分析功能
B.编程功能
C.运行功能
D.用户功能
[答案]A
解题思路:
A.正确。终端用户开发(EUC)的目标通常是以快速度开发出能满足局部需求的程序,因此经常难以进行全面的系统分析。
B.不正确。终端用户开发(EUC)环境对编程功能的要求和传统的信息系统开发环境没有区别。
C不正确。终端用户开发(EUC)环境对运行功能的要求和传统的信息系统开发环境没有区别。
D.不正确。终端用户开发(EUC)环境对用户功能的要求和传统的信息系统开发环境没有区别。
8. 在一个系统或商业领域中显示数据的流动和转换的图形标志称为:
A.活动图。
B.程序结构图。
C.概念数据模型。
D.数据流程图。
[答案]D
解题思路:
A.不正确。活动图是描述业务的操作流程。
B.不正确。程序结构图描述程序的结构化设计。
C.不正确。概念数据模型对现实数据进行抽象,使其更便于计算机表示和处理。
D.正确。数据流程图描述数据流入、流出一个系统和在系统内被转换的过程。
9. 一种可以防止使用工具程序浏览网络中合法用户口令文件的控制是:
A.内部加密的口令。
B.口令层次。
C.登录口令。
D.对等网。
[答案]A
解题思路:
A.正确。对于内部加密口令,即使攻击者窃取了口令文件,也不能获得口令。
B.不正确。口令层次可以增加非授权访问的难度,但不能防止工具程序对网络中合法用户口令文件的浏览。
C.不正确。登录口令可以防止对系统的非授权访问,但不能防止工具程序对网络中合法用户口令文件的浏览。
D.不正确。对等网对于防止利用工具程序浏览口令文件没有帮助。
10. 某一种密钥系统有两个密钥,一个密钥是公开的、用于信息加密,另一个密钥只有信息接受方掌握、用于解密,这种密钥系统是:
A.RSA算法。
B.数据加密标准(DES)。
C.调制解调器。
D.密码锁。
[答案]A
解题思路:
A.正确。RSA是一种非对称加密算法。
B.不正确。DES是一种对称加密算法。
C.不正确。调制解调是一种“模拟-数字”转换的方法,不是非对称加密算法。
D.不正确。密码锁通常采用序列密码算法,不是非对称加密算法
11. 以下哪项不是典型的输出控制?
A.审查计算机处理记录,以确定所有正确的计算机作业都得到正确执行。
B.将输入数据与主文件上的信息进行匹配,并将不对应的项目放入暂记文件中。
C.定期对照输出报告,以确认有关总额、格式和关键细节的正确性以及与输入信息的一致性。
D.通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者。
[答案]B
解题思路:
A.不正确。审查计算机处理记录是典型的输出控制。
B.正确。将输入数据与主文件上的信息进行匹配是一项输入控制。
C不正确。定期对照输出报告是典型的输出控制。
D.不正确。通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者是典型的输出控制。
12. 以下哪一项不是一个新的应用系统的实施方法?
A.直接转换
B.平行转换
C.试点转换
D.测试
[答案]D
解题思路:A不正确。直接转换、平行转换、试点转换和分阶段的转换是用新系统替代老系统的四种主要策略。
B不正确。参见“a.”。
C不正确。参见“a.”。
D.正确。测试是系统开发阶段的任务之一,以验证系统按预定的功能运行,因此测试不是新应用系统的实施方法。
13. 对于传统的系统,程序改变控制能够保证生产系统是从经批准的程序的正确版本中产生。而在客户机/服务器环境下运行的系统有可能增加程序改变控制的复杂性。一个在客户机/服务器环境中要求而在大型主机环境中不要求的程序变动控制功能是保证:
A.程序版本在络上的同步。
B.程序紧急改动的过程应制定成条文规定并遵守执行。
C.适当的用户参与程序改变测试。
D.从测试资料库到成品资料库的传送要受到控制。
[答案]A
解题思路:
A.正确。客户机/服务器环境下的客户端程序分散在各个客户机中,当升级应用程序版本时,必须保证版本在络上的同步,否则旧版的客户程序可能不能正常工作甚至影响到服务器中的数据。而在大型机环境下应用程序集中存放在主机中,只需升级主机中的程序即可。
B.不正确。客户机/服务器环境和大型机环境都必须制定程序紧急改动的条文规定并要求遵守执行。
C.不正确。两种环境下都要求用户参与程序改变测试。
D.不正确。两种环境下从测试资料库到成品资料库的传送都应受到控制。
14. 要防止通过直接连接主机的无人照管的终端而对敏感数据进行非法访问,以下哪项安全控制效果佳?
A.使用带密码的屏幕保护程序。
B.使用工作站脚本程序。
C对数据文件加密。
D.自动注销不活动用户。
[答案]D
解题思路:
A.不正确。无人照管终端的主要风险是该终端可能已经合法地登录主机,因此任何人都可以利用该终端访问主机中的敏感数据。在这种情况下,带密码的屏幕保护程序较容易被饶过,如用另一台终端替换该终端。
B.不正确。参见“a.”, 工作站脚本程序用来定制终端的运行环境,只有在终端登录时起作用。
C.不正确。参见“a.”, 对数据文件加密不能防止攻击者访问敏感数据,因此时攻击者已获得了合法用户的身份,系统会自动解密数据文件。
D.正确。参见“a.”,自动注销不活动用户可使攻击者失去获得合法用户的机会。
15. 为了避免非法数据的输入,某银行在每个帐号结尾新加一个数字并对新加的数字进行一种计算,此种技术被称为:
A.光学字符识别(optical character recognition)。
B.校验数位(check digit)。
C.相关检查(dependency check)。
D.格式检查(format check)。
[答案]B
解题思路:
A.不正确。光学字符识别将印刷字符转换成计算机可以识别的内部代码。
B.正确。校验数位是对某字段进行某种计算后得出,并附加在该字段之后的校验位。通过重新计算校验位并和原校验位进行比较,可以发现该字段内容是否已发生变化。
C.不正确。相关检查用于检查多个字段之间是否存在某种关联,来判断字段内容的正确性。
D.不正确。格式检查用于检查字段内容是否遵循某种特定的格式,如日期字段应该具有如下格式:YYYY:MM:DD。
16. 在公司信息系统的战略应用中,面向对象的技术变得越来越重要,因为它具有以下潜力:
A.允许更快更可靠地开发系统。
B.保持原来用过程语言编写的程序。
C.减少对层次数据库的数据完整性的破坏。
D.使传统的瀑布式系统开发方法更加流畅。
[答案]A
解题思路:
A.正确。面向对象的开发技术利用对象的继承、重用、重构等特征,可以更快更可靠地开发系统。
B.不正确。面向对象的开发技术将数据和对该数据的操作封装成一个对象,因此不能保持原来用过程语言编写的程序。
C.不正确。对象虽然具有层次的概念,但和层次数据库中的层次概念没有任何联系。
D.不正确。面向对象的开发方法和传统的瀑布式系统开发方法在需求分析、系统设计和编码上都有很大的区别,属于两类不同的系统开发方法学,因此不存在使传统的瀑布式系统开发方法更加流畅的作用。
17. 以下哪项关于电子邮件安全性的说法是正确的?
A.互联网上的所有信息都被加密,因此能够提供增强的安全性。
B.密码在防止偶然访问其他人的电子邮件时很有效。
C.如果没有事先对安全控制记录解密,那么即使具有访问包含电子邮件信息的文件服务器的管理级权限的人员也不能接触包含电子邮件信息的文件。
D.自主访问控制策略不需要口令。
[答案]B
解题思路:
A.不正确。互联网上的信息并未自动加密,包括电子邮件信息。
B.正确。对设置了密码的电子邮件,必须输入正确的密码信息才能阅读邮件,因此可以防止对邮件的偶然访问。
C.不正确。具有文件服务器管理权限(总体控制)的人员完全有可能饶过电子邮件的安全控制(应用控制),通过直接阅读邮件文件的方式来获得邮件内容。
D.不正确。自主访问控制策略需要对用户身份进行鉴别,而口令是身份鉴别的主要手段。
18. 为了适当控制对会计数据库文件的访问,数据库管理人员应正确应用数据库的安全特征以允许:
A.用只读方式访问数据库文件。
B.特权软件对数据进行更新。
C.只访问经过授权的逻辑视图。
D.用户可以修改其访问配置文件。
[答案]C
解题思路:
A.不正确。只读控制可以防止对数据的非授权修改,但不能防止对数据的非授权读取。
B.不正确。允许特权软件对数据进行更新不能防止用户对数据的非授权访问。
C.正确。逻辑视图从一个或多个数据库表中生成新的数据结构,以更适合用户使用的方式表示数据。对视图通常只能进行查询操作,通过限制用户只能对授权的视图、而不是表进行访问,可防止用户对表数据的非授权访问。
D.不正确。允许用户修改其访问配置文件不能防止用户对数据的非授权访问。
19. 一个组织的计算机帮助平台功能通常由哪个部门的负责?
A.应用开发部门
B.系统编程部门
C.计算机运行部门
D.用户部门
[答案]C
解题思路:
A.不正确。应用开发部门负责系统的开发。
B.不正确。系统编程部门负责系统的程序设计。
C正确。计算机运行部门负责系统的日常运行维护,计算机帮助平台是其功能之一。
D.不正确。用户部门负责操作使用计算机系统。
20. 要大程度地降低未经授权编辑生产程序、工作控制语言和操作系统软件的可能性,以下哪种方法效果佳?
A.数据库访问检查;
B符合性检查;
C.良好的变动控制程序;
D.有效的网络安全软件。
[答案]C
解题思路:
A.不正确。数据库访问检查可以防止对数据库的非授权访问,但不能防止未经授权编辑生产程序、工作控制语言和操作系统软件。
B.不正确。符合性检查可以在非授权编辑操作发生后发现该事件并予以纠正,但不能预防非授权编辑操作的发生。
C正确。良好的变动控制程序是安全政策、安全管理和安全技术的综合,可以大程度地预防未经授权编辑生产程序、工作控制语言和操作系统软件的行为发生。
D.不正确。网络安全软件用于防止通过网络进行的非授权编辑,但对于直接通过控制台进行的非授权编辑可能就无能为力。有效的网络安全软件只是安全管理的技术因素,如没有管理方面的配合,安全效果会大打折扣
21. 某审计师发现,预算控制对销售费用进行了有效控制。除了预算编制者的签字,75份有关各星期的费用报告,每份都有预算审批签字以及至少其他4名有关人员的签名,分别代表不同销售管理层审批费用的证据。销售电话记录和相关业绩信息都单独向推销员的直接主管报告,并输入销售数据库,作为报告资料。该审计师应该:
A.将特殊查证信函向顾客发送,以确定销售电话是在所报告的日期打出
B.将开支报告上的所有金额追踪至指定的总账,以确保入账的准确性
C.建议只有对相关费用负有预算责任的人员才可审批开支报告
D.确定业绩信息是否包括将开支准确及时地提交销售部门管理人员
22. 虽然一个组织已经决定使用大型机来运行其制造工艺系统,但他们仍然在其它应用系统方面寻求降型化的机会。降型化的目的是:
A.提高可靠性
B.降低成本
C.降低复杂性
D.提高安全性
23. 以下哪项关于基准比较法的陈述是正确的?
A.将一个公司的业绩与业绩佳的公司进行比较来完成
B.将一个公司的业绩与其接近的竞争对手的业绩进行比较是基准比较法的典型做法
C.通常局限于制造业操作和生产过程
D.可以通过质量或数量的比较来进行
24. 谈判,操纵,强制,职工培训,增加的沟通都是管理者可以使用的途径来:
A.提高员工士气
B.向上下级显示自己的权力
C.维护对信息的控制
D.克服对于变革的抵制
25. 某审计经理希望开发数学模型来帮助确定可能在引起生产成本变化的因素,该模型应该承认,公司目前有三个独立的生产中心。对此,以下哪种方法能够以佳方式提供所需的分析?
A.进行线性回归分析,将生产成本与所售产品相联系。
B.对生产成本(包括原材料库存成本、每个中心的雇员人数和加班报酬等变量)进行多元回归分析;
C.对三个中心都进行生产成本相对于原材料库存成本的三年比率分析;
D.对每个中心的生产成本进行经典变量抽样估算,在抽样时根据所生产的每个产品的价值进行分层
26. 用户验收测试在面向对象开发过程中比在传统环境中更重要,因为它隐含着:
A.持续监视的潜力
B.在层次中属性的继承
C.缺乏传统的设计文档
D.缺少对变化的跟踪系统
27. 假设一个员工承认偷窃了500,000美元的存货,但是没有归还。这一重大欺骗在财务报表上有什么影响?
A.直接影响留存收益,因为它不带来收益。
B.归入损失,在损益表上作为一个项目披露。
C.归入产品成本。因为货物不在手,考虑到存货减值的损失是普遍的,所以没必要太多关注。
D.原来被划分为应收账款,因为员工对货物负责,但由于他们无法赔偿,这一损失就从应收账款冲销。
28. 一个美国公司一家德国公司在德国证券交易所购买相同的证券并持有1年,在这一年中德国马克相对于美元发生贬值。相对于德国公司的回报,美国公司的回报将:
A.变高。
B.变低。
C.无法确定。
D.不变。
29. 数据库系统的查询工具应包括除下列哪项外的所有功能?
A.图形输出能力
B.数据有效性检查器
C.数据字典的访问
D.范例查询界面
30. 为将新的成本会计系统并入现有的财务会计系统,一家医院正在对是否购买软件进行评估。以下哪项描述了内部审计活动参与采买过程的有效方式?
A.因为系统由外部开发,所以内部审计活动不用参与。
B.内部审计活动应评价软件设计是否满足内部发展和文件编制标准的需要。
C.内部审计活动应确定在系统投入使用前使用者是否参与对样板进行验证和检查。
D.内部审计活动应评价软件性能说明是否符合医院的需要。
京公网安备 11010802026788号