劳顿管理信息系统习题集第8章信息系统安全Word文件下载.docx
《劳顿管理信息系统习题集第8章信息系统安全Word文件下载.docx》由会员分享,可在线阅读,更多相关《劳顿管理信息系统习题集第8章信息系统安全Word文件下载.docx(26页珍藏版)》请在冰豆网上搜索。
Challenging
5.以下所有特定的安全挑战,都威胁到客户端/服务器环境中的通信线路,除了:
A)错误
B)窃听
C)偷盗和欺诈
D)辐射
E)嗅探
6.下面所有的安全挑战都威胁到客户端/服务器环境中的企业服务器,除了
A)黑客攻击
B)恶意软件
C)拒绝服务攻击
D)嗅探
E)故意破坏
D
7.下面所有的安全挑战都威胁到客户端/服务器环境中的公司系统,除了
A)数据被盗
B)复制数据
C)数据的更改
E)硬件故障
8.?
CryptoLocker是一种
B)SQL注入攻击
C)嗅探器
D)邪恶双胞
E)勒索软件
9.以下哪个关于互联网安全的陈述是不正确的?
A)使用对等P2P网络共享文件可能把企业计算机上的信息向外界泄露
B)不提供互联网连接的公司网络比提供互联网连接的公司网络更加安全
C)VoIP(使用互联网协议管理语音传送的设施)比语音交换网络更加安全
D)即时信息活动可以为黑客提供其他的安全的网络
E)智能手机和其他网络设备一样具有相同的安全弱点
C
10.特洛伊木马(Trojanhorse)是
A)一种软件程序,它看似良性但是会做出超出预期的事情。
B)一种能够快速复制的病毒
C)是一种以快速移动的近东马命名的恶意软件
D)在用户计算机上安装间谍软件
E)一种用于渗透企业网络的嗅探器
11.某个销售人员重复点击其竞争者的在线广告以提高其广告成本。
这是一个什么例子?
A)网络钓鱼
B)网络嫁接
C)电子欺骗
E)点击欺诈
12.下面哪一个是一种利用Windows软件漏洞远程控制计算机的病毒
A)Sasser
B)Zeus
C)Cryptolocker
D)ILOVEYOU
E)Conficker
13.是一种恶意软件,通过劫持用户计算机并勒索赎金来归还控制权
A)特洛伊木马
B)Ransomware
C)间谍软件
D)病毒
E)邪恶双胞
B
14.是一种恶意软件,记录并传输用户键入的每一个按键
A)间谍软件
C)键盘记录器
D)蠕虫
E)嗅探器
15.关于僵尸网的描述,哪一项是不正确的
A)世界上80%的恶意软件通过僵尸网传播
B)僵尸网经常用于DDoS攻击
C)世界上90%的垃圾软件通过僵尸网传播
D)僵尸网经常用于点击欺诈
E)智能手机不可能构成僵尸网
16.使用许许多多的计算机从无数的发射点来淹没网络被成为________攻击。
A)分布式拒绝服务攻击(DDoS)
B)拒绝服务攻击(DoS)
C)SQL注入攻击
D)网络钓鱼
E)僵尸网络
17.以下哪一项不是用作犯罪目标的计算机的例子?
A)故意访问受保护的计算机以进行欺诈
B)XX进入计算机系统
C)非法访问存储的电子通信
D)恐吓要去破坏受保护的计算机
E)违反受保护的计算机化数据的机密性
18.以下哪一项不是计算机用作犯罪工具的例子?
A)窃取商业机密
B)有意尝试拦截电子通信
C)软件XX的复制
D)泄漏保密性的受保护的计算机数据
E)谋划诈骗
19.以下哪项具体使恶意软件传播和黑客攻击禁止网站成为联邦犯罪?
A)计算机欺诈和滥用法案
B)经济间谍法
C)电子通信隐私法
D)数据安全和违反通知法
E)国家信息基础设施保护法
20.故意中断、毁坏,甚至摧毁一个网站的行为是
A)欺骗
B)网络破坏
C)网络战
E)嫁接
21.邪恶双胞(eviltwins)是
A)用户看起来是合法的商业软件应用程序的木马程序。
B)模仿合法业务的电子邮件消息的电子邮件。
C)模仿合法经营网站的欺诈网站。
D)使用IP地址和授权计算机标识以欺诈方式访问网站或网络的计算机。
E)伪装成提供可信的Wi-Fi因特网连接的无线网络。
22.嫁接(pharming)指的是
A)将用户引导到一个欺骗网页,即便用户在其使用的浏览器中输入了正确的网址。
B)冒充合法企业的代表以搜集其安全系统的信息。
C)设置假网站,询问用户机密信息。
D)使用电子邮件进行威胁或骚扰。
E)设置虚假的Wi-Fi接入点,看起来好像是合法的公共网络
23.以下哪项是导致网络安全漏洞的最大原因?
A)病毒
B)用户缺乏知识
C)特洛伊木马
D)网络战
E)错误
24.冒充一个公司的合法成员欺骗员工透露他们的密码被称为
A)网络监听
B)社交工程
C)网络钓鱼
D)嫁接
E)窥探
25.根据PonemonInstitute2015年网络犯罪年度成本研究,美国公司的网络犯罪年均成本约为:
A)150万美元。
B)1500万美元。
C)亿美元。
D)15亿美元。
E)150亿美元。
26.窃听者在外面的建筑物或者公园里进行操纵,以拦截无线网络的流量的入侵方式被称为:
A)驾驶攻击
B)嗅探
C)恶意网络破坏
D)驾驶窃听
27.________是一种冒名获得个人关键信息如社保号、驾照号、信用卡号等,以假冒他人的犯罪。
A)身份盗用
B)欺骗
C)社会工程
D)邪恶双胞胎
E)域欺骗
28.________识别Wi-Fi网络中的接入点。
A)NIC(无线网络接口控制器)
B)Mac地址
C)URL(统一资源定位器)
D)UTM(一体化威胁管理)
E)SSID(服务集标识)
29.试图进入政府网络以禁用国家电网的外国是:
B)拒绝服务攻击
D)网络恐怖主义
30.根据JavelinStrategy&Research的2016年身份欺诈研究,2015年消费者在身份欺诈方面遭受多少损失?
A)150万美元
B)1500万美元
C)亿美元
D)15亿美元
E)150亿美元
31.以下所有因素导致软件缺陷增加,除了:
A)软件程序日益复杂。
B)软件程序的规模不断扩大。
C)及时交付市场的要求。
D)无法完全测试程序。
E)寻求系统访问的恶意入侵者的增加。
32.下面哪项是键盘记录器的例子
A)Zeus
B)Conficker
C)Sasser
E)Cryptolocker
对错题
(一)
33.智能手机和其他网络设备一样具有相同的网络弱点。
True
34.AppleiOS平台是黑客最常攻击的移动平台。
FALSE
35.病毒可以通过电子邮件传播。
TRUE
36.“cracker”一词用于识别专门破坏开放安全系统的黑客。
37.无线网络很难受到攻击因为无线频率的波段很难被监测到。
False
38.电脑病毒比电脑蠕虫复制的更快。
39.一种形式的欺骗涉及在电子邮件上伪造返回地址,以使电子邮件看起来来自发件人以外的其他人。
40.嗅探器程序使黑客能够从网络中任何地方盗取有价值的私有信息,包括电子邮件消息、公司文件和机密报告等。
41.拒绝服务(DoS)攻击是用来摧毁信息和企业信息系统的限制访问区域。
42.较大的程序无法实现零缺陷。
根本不可能对软件进行完整测试。
如果对包含数以千计的选择代码和数以百万计的执行路径的程序进行充分测试,耗时可能需要多达数千年。
43.大多数物联网设备都支持复杂的安全方法
44.恶意软件程序指的是一系列间谍软件,包括各种计算机病毒、蠕虫和木马。
问答题
(一)
45.无线网络面临的安全挑战是什么?
参考答案:
无线网络容易受到攻击,因为无线频率的波段很容易被监测到。
蓝牙和Wi-Fi网络都容易受非法偷听者的入侵。
使用标准的局域网(LAN)也可以被外部入侵者通过手提电脑、无线网卡、外置天线和黑客软件轻易地侵入。
黑客使用这些软件来发现没有防护的网络、监视网络流量,在某些情况下还能够进入因特网或企业网络。
Wi-Fi传输技术使得一个基站能够很容易找到并接听另一个基站。
Wi-Fi网络中识别访问点的服务集标识SSID(servicesetidentifier)多次广播,能够很容易地被入侵者的监听程序窃取。
很多地区的无线网络没有基本的保护来抵御驾驶攻击(wardriving)。
这种入侵方式,窃听者在外面的建筑物或者公园里进行操纵,以拦截无线网络的流量。
入侵者可以使用分析工具识别SSID。
与一个接入点关联起来的入侵者通过使用正确的SSID就能够访问网络上其它资源。
例如,入侵者可以使用Windows操作系统来确定还有哪些其他用户连接到网络,然后进入他们的计算机硬盘驱动区,打开或复制他们的文件。
入侵者还会使用另一个不同的无线频道设置欺诈接点来收集的信息。
入侵者还会使用其收集到的信息在不同的无线频道上建立欺诈点。
该欺诈接点的物理位置与用户靠近,这样强行使用户的无线网络接口控制器NIC(networkinterfacecontroller)与该接点关联起来。
一旦关联成功,黑客就可以通过欺诈接点捕获不知情的用户的用户名和密码。
46.解释SQL注入攻击如何工作,哪种类型的系统更容易受到攻击?
SQL注入攻击利用编码较差的Web应用软件中的漏洞,将恶意程序代码引入公司的系统和网络。
当用户在网页上输入数据时,Web应用程序无法正确验证或过滤,就会发生这些漏洞,这种情况在网上订购时很有可能发生。
攻击者利用输入验证错误,将“流氓SQL查询”发送到底层数据库以访问数据库,植入恶意代码或访问网络上的其他系统。
使用数据库的大型Web应用程序最容易收到攻击,因为他们有数百个输入用户数据的地方,每个地方都为SQL注入攻击创造了机会。
47.企业的信息系统和数据的安全性如何受到人、组织和技术这几个维度的影响?
这些维度是否存在某一个的贡献比另一个更大?
为什么?
保护信息系统的技术要点有:
防火墙、认证、加密、防病毒保护等。
如果没有正确地部署技术,就根本谈不上安全。
在存在贪污、内部欺诈,错误,和没有严格执行的安全政策下,公司的雇员是其安全的最大威胁。
组织可能成为最重要的维度,因为这是决定企业的业务流程和政策的决定性因素。
通过强调安全系统的智能设计,安全技术的正确使用以及安全流程的可用性,企业的信息政策可以提高其安全性。
Challenging
单项选择题
(二)
48.1996年的HIPAA法案
A)要求金融机构保证客户数据的安全。
B)指定信息系统安全和控制的最佳实践。
C)对公司和管理层施加责任以保障财务信息的准确性。
D)概述医疗安全和隐私规则。
E)将计算机滥用视为犯罪并定义滥用活动。
49.Gramm-Leach-Bliley法案:
A)规定金融机构要确保客户数据安全保密。
C)对公司和管理层负责以保障财务信息的准确性。
50.萨班斯-奥克斯利(Sarbanes-Oxley)法案
51.最常见的电子证据类型是
A)语音邮件
B)电子表格
C)即时消息
D)电子邮件
E)VoIP数据
52.下面的那一项是环境数据?
A)包含最近系统错误的计算机日志
B)从硬盘中删除的文件
C)包含应用程序用户设置的文件
D)来自环境传感器的一组原始数据
E)已记录的数据
53.计算机取证不包括
A)在法庭上提交收集的证据。
B)安全地存储恢复的电子数据。
C)在计算机上收集物理证据。
D)在大量电子数据中找到重要信息。
E)从计算机恢复数据,同时保持证据完整性。
54.由于2013年数据泄露,Target不得不向美国银行,信用卡公司和消费者支付超过1亿美元。
问答题
(二)
55.系统建设者和用户的三项主要关注点是灾难,安全和人为错误。
在这三项之中,你认为最难对付的是什么?
学生的Answer会有所不同。
参考Answer包括:
灾难可能是最难对付的,因为它是意想不到的,影响广泛的,而且经常会危及生命。
此外,公司不知道其灾难计划是否会在灾难发生时产生效果,而那时再作更正也为时太晚。
安全可能是最困难的,因为它是一个正在进行的问题,新病毒不断被发明,黑客变得更加狡猾。
此外,系统安全措施也无法排除由受信任的员工从内部进行的破坏。
人为错误可能是最困难的,因为被抓到时常常为时已晚,而且后果可能是灾难性的。
此外,在公司内部,行政错误可以发生在任何级别,并通过任何操作或程序发生。
56.黑客和他们的伙伴病毒是一个不断严重的问题,尤其是在互联网上。
一个公司保护自己免受这些困扰的最重要的措施有什么?
彻底的保护可行吗?
为了保护自己,公司必须构建良好的安全措施,这包括防火墙,调查人员,物理和软件安全和控制,防病毒软件,和内部教育措施。
而这些措施最好在做系统设计的时候就应该到位并且格外关注。
一个谨慎的公司将部署灾害保护措施,频繁更新安全软件,并经常审计的所有安全措施和公司的所有数据。
考虑到时间和费用,彻底的保护可能不可行,但风险分析可以洞察到哪些领域是最重要的和脆弱的。
这些都是需要优先保护的领域。
Moderate
57.描述计算机取证的定义并描述其要解决的问题类型。
计算机取证(computerforensics)是指对存储在计算机介质或从计算机介质中提取到的数据进行科学收集、审查、授权、保存和分析,使其可以在法律诉讼中作为证据使用。
它涉及如下问题:
●在保护证据的完整性前提下从计算机中恢复数据
●安全地存储和处理恢复的电子数据
●在大量电子数据中寻找重要信息
●向法庭提交信息
电子证据可以以计算机文件或环境数据的形式留存在计算机存储介质中。
环境数据是对一般用户不可见的数据,例如计算机硬盘中删除的文件就属于环境数据。
用户删除的计算机存储介质上的数据,可以通过一些技术手段进行恢复。
计算机取证专家可以尽可能恢复此类隐藏数据以作为证据呈现。
计算机取证意识应该反映在企业应急处理预案中。
单项选择题(三)
58.你的公司是一家在线宠物用品折扣商店,已经计算出3小时的互联网连接损失可能导致2,000美元至3,000美元的损失,并且每年有50%的可能性发生这种情况。
那么本次曝光的年度预期损失是多少?
A)500美元
B)1,000美元
C)1,250美元
D)1,500美元
E)2,500美元
59.应用软件控制:
A)可以分为输入控制、过程控制和输出控制。
B)管理计算机程序的设计、安全和使用,以及在整个组织中的数据文件的安全性。
C)适用于所有的电脑应用,包括硬件,软件和手动程序,目的是创造一个整体的控制环境。
D)包括软件控制,计算机操作控制和实施控制。
E)监控系统软件的使用并防止XX的软件和程序访问。
60.________控件可确保磁盘或磁带上的有价值的业务数据文件在使用或存储时不会受到XX的访问,更改或破坏。
A)软件
B)行政
C)数据安全性
D)实施
E)输入
61.针对信息系统安全事件发生的可能性及其成本的分析是
A)安全措施
B)可接受使用策略(AUP)
C)风险评估
D)业务影响分析
E)业务可持续性分析
62.陈述信息风险登记、阐述可接受的安全目标包括在:
B)AUP
E)业务连续性计划
63.下面哪项规定使用公司的信息资源和计算机设施的可接受行为
A)信息系统审计政策
B)CA策略
C)MSSP
D)UTM系统
E)AUP
64.以下哪项主要关注保持系统正常运行的技术问题?
A)业务连续规划
B)安全政策
C)故障恢复计划
D)AUP
E)信息系统审计
65.可接受的使用策略定义了针对不同用户的可接受的信息资产访问级别。
简答题
(一)
66.一个公司的安全政策如何为六大主要业务目标做出贡献?
请举例说明。
1.卓越运营:
安全政策对企业卓越经营至关重要。
一个公司的日常交易可以被网络犯罪如黑客严重破坏。
一个公司的效率依赖于精确的数据。
此外,信息资产具有巨大的价值,如果他们被丢失,被破坏,或者被坏人所掌控,后果将是毁灭性的。
2.新产品,服务,商业模式:
安全政策保护公司的新产品和服务创意,而这些可能被竞争对手窃取。
此外,增强的安全性,在客户的眼中也可以作为产品差异化的一种方式。
3.客户和供应商关系:
如果用户输入个人数据到你的信息系统,例如,输入信用卡信息到你的电子商务网站,那么客户的信息就依赖于你的系统安全性。
你收到的来自客户和供应商的信息则直接影响到你是如何定制您的产品,服务,或与他们沟通。
4.改进决策:
安全的系统将数据的准确性作为其优先级,而良好的决策也依赖于准确和及时的数据。
丢失和不准确的数据将会导致错误的决策。
5.竞争优势:
你的公司拥有比其它公司更高的安全性,在其它方面都均等的情况下,你的公司更有吸引力。
此外,改进的决策,新产品和服务,这也受到系统安全的影响(见上文),将有助于提升一个公司的竞争优势。
强大的安全性和控制能力也提高了员工的工作效率并且降低运营成本。
6.生存:
新的法律和法规迫使企业将安全系统保持最新成为企业的生存问题。
安全和控制不