管理方案计划目标信息系统复习材料第8章中文.docx

1、管理方案计划目标信息系统复习材料第8章中文管理信息系统第13版 (Laudon/Laudon)第8章 信息系统安全单项选择题1) 下载驱动（drive-by download）是一种被黑客用来在无线网络上获取文件的技术。参考答案: FALSE难度系数: 1 2) 通过调制解调器或者数字专线DSL与因特网固定连接的计算机比用拨号服务连接的计算机更容易被外来者入侵。参考答案: TRUE难度系数: 2 3) 无线网络很容易受到攻击因为无线频率的波段很容易被监测到。参考答案: TRUE难度系数: 2 4) 针对移动设备的恶意软件尚未像针对传统计算机的恶意软件那样广泛。参考答案: TRUE难度系数: 3

2、 5) 特洛伊木马（Trojan horse）是一种软件程序，它看似良性但是会做出一些意想不到的事情。参考答案: TRUE难度系数: 1 6) 病毒可以通过电子邮件进行传播。参考答案: TRUE难度系数: 1 7) 计算机蠕虫比计算机病毒传播得更快。参考答案: TRUE难度系数: 2 8) 电子欺骗（spoofing）指通过把欺骗网站伪装成目的网站，从而把网页链接误导入另一个与用户实际希望访问的网站不同的地址。参考答案: TRUE难度系数: 2 9) 嗅探器程序使黑客能够从网络中任何地方盗取有价值的私有信息，包括电子邮件消息、公司文件和机密报告等。 参考答案: TRUE难度系数: 2 10)

3、拒绝服务（DoS）攻击是用来摧毁信息和企业信息系统的限制访问区域。参考答案: FALSE难度系数: 2 11) 通过走查法（walkthrough），黑客可以轻松绕过信息系统的安全控制。参考答案: FALSE难度系数: 2 12) 较大的程序无法实现零缺陷。根本不可能对软件进行完整测试。如果对包含数以千计的选择代码和数以百万计的执行路径的程序进行充分测试，耗时可能需要多达数千年。参考答案: TRUE难度系数: 2 13) 可接受使用策略（AUP）为不同用户定义访问信息资产的可接受等级。参考答案: FALSE难度系数: 2 14) 生物身份认证（biometric authentication）

4、系统使用如视网膜图像等个人身体特征来提供身份识别。 参考答案: TRUE难度系数: 1 15) 包过滤捕获绝大部分种类的网络攻击。参考答案: FALSE难度系数: 2 16) 网络地址转换（NAT）通过将组织内部主机的IP地址隐藏起来，以防止防火墙外面的嗅探器程序。参考答案: TRUE难度系数: 2 17) 安全套接层协议SSL（Secure Sockets Layer）可以用来在两台计算机之间建立安全连接。参考答案: TRUE难度系数: 2 18) 公钥加密使用两个密钥。 参考答案: TRUE难度系数: 2 19) 高可靠计算也被称为容错计算。参考答案: FALSE难度系数: 2 20) 非

5、授权的访问是一种安全威胁，它最有可能发生在网络客户端电脑。参考答案: TRUE难度系数: 2 21) _指用来防止对信息系统非授权的访问、更改、盗窃或者物理损害的政策、步骤和技术措施。 A) 安全B) 控制C) 基准D) 算法参考答案: A难度系数: 2 22) _是确保组织资产安全的方法、政策和组织流程，要求对资产记录要准确、可靠，对其处置符合管理标准。A) 遗留系统B) SSID标准C) 漏洞D) 控制参考答案: D难度系数: 2 23) 以下哪种不是针对无线网络安全的挑战？A) 服务集标识（SSID）广播B) 无线频率的波段容易被监测C) SQL注入攻击D) 无线信号的地理范围参考答案:

6、 C难度系数: 1 24) 电子数据更加容易受到例如毁坏，欺诈，错误以及滥用等安全威胁，这是因为信息系统将数据集中存放在计算机文件中，而且A) 这些文件常常跟企业遗留系统绑定在一起导致很难访问，在出错的时候也很难纠正。B) 这些文件因为在创建的时候保障安全的技术尚不存在，所以是不安全的。C) 这些文件有可能被大量的组织以外的人和群体访问。 D) 这些文件常常可以在互联网上获得。 参考答案: C难度系数: 2 25) 以下的方法可以保障软件质量，除了:A) 系统分析 B) 走查法C) 软件测试D) 企业内部系统参考答案: A难度系数: 3 26) 窃听是一种安全挑战，它常常发生在企业网络的哪个环

7、节？A) 客户端电脑 B) 通讯线路C) 企业服务器 D) 企业内部系统参考答案: B难度系数: 2 27) 利用一些编程很差的Web应用软件的漏洞将恶意程序代码引入到企业的系统和网络中，这种行为被称为:A) 特洛伊木马B) SQL注入攻击C) 按键记录D) 分布式拒绝服务攻击参考答案: B难度系数: 2 28) 互联网带来了一些特有的安全问题，这是因为:A) 它的设计使得其易于被访问 B) 它的数据不在安全线路上传输 C) 它的标准全球通用 D) 它的变化非常迅速参考答案: A难度系数: 2 29) 以下哪个关于互联网安全的陈述是不正确的？A) 使用对等P2P网络可能把企业计算机上的信息向外

8、界泄露B) 不提供互联网连接的公司网络比提供互联网连接的公司网络更加安全C) VoIP（由公用因特网传输IP语音）比语音交换网络更加安全D) 即时信息活动可以被黑客用做进入一些原本安全的网络的后门参考答案: C难度系数: 2 30) 一种独立的计算机程序，可以在网络上将自己从一台计算机拷贝到另一台计算机，它是:A) 蠕虫B) 特洛伊木马C) 软件缺陷D) 害虫参考答案: A难度系数: 2 31) 某个销售人员重复点击其竞争者的在线广告以提高其广告成本。这是一个什么例子？ A) 网络钓鱼B) 网络嫁接C) 电子欺骗D) 点击欺诈参考答案: D难度系数: 2 32) 在2004年，ICQ用户们被来

9、自某个被认为是防病毒商家的促销信息所引诱。在这个商家的网站上，一个叫做Mitglieder的程序被下载到了客户的机器中。这个程序使得外人可以渗透进用户的机器。这是一个什么例子？A) 特洛伊木马B) 病毒C) 蠕虫D) 间谍软件参考答案: A难度系数: 2 33) 重定向一个网络链接到另一个不同的地址是一种什么行为？A) 窥探行为B) 电子欺骗行为C) 嗅探行为D) 接入点映射行为参考答案: B难度系数: 2 34) 按键记录器是一种A) 蠕虫B) 特洛伊木马C) 病毒D) 间谍软件参考答案: D难度系数: 1 35) 黑客通过以下方式组建僵尸网A) 使用恶意软件感染Web搜索机器人B) 使用W

10、eb搜索机器人感染其它计算机C) 通过一个主计算机使得他人的计算机成为“僵尸”计算机D) 让企业服务器感染上“僵尸”特洛伊木马从而允许通过后门进行的访问无法被检测参考答案: C难度系数: 2 36) 使用许许多多的计算机从无数的发射点来淹没网络被成为_ 攻击。A) 分布式拒绝服务攻击（DDoS）B) 拒绝服务攻击（DoS）C) SQL注入攻击D) 网络钓鱼参考答案: A难度系数: 2 37) 以下哪一项不是针对计算机进行犯罪的例子？A) 故意访问受保护的计算机以实施欺诈B) XX访问计算机系统C) 非法访问存储电子通信D) 对受保护的计算机造成损害的威胁参考答案: C难度系数: 2 38) 以

11、下哪一项不是计算机用作犯罪工具的例子？ A) 窃取商业机密B) 有意尝试拦截电子通信C) 软件XX的复制D) 泄漏保密性的受保护的计算机数据参考答案: D难度系数: 2 39) 互联网安全公司在2012年发现了大约多少种在恶意软件中检测到的新出现的威胁？A) 40万B) 400万 C) 4000万D) 4亿参考答案: A难度系数: 2 参考答案似乎是D，题目似乎需要改为2011年 根据教材P232页40) 以下哪个是网络钓鱼的例子？A) 设置伪造的Wi-Fi热点 B) 建立一个虚假的医疗网站，要求用户提供机密信息。C) 伪装成公共事业公司的员工以获取这个公司安全系统的信息。D) 以虚假的借口发

12、送大量电子邮件，请求资助。参考答案: B难度系数: 2 41) 邪恶双胞（evil twins）是A) 用户看起来是合法的商业软件应用程序的木马程序。B) 模仿合法业务的电子邮件消息的电子邮件。C) 模仿合法经营网站的欺诈网站。 D) 伪装成提供可信的Wi-Fi因特网连接的无线网络。参考答案: D难度系数: 1 42) 嫁接（pharming）指的是A) 将用户引导到一个欺骗网页，即便用户在其使用的浏览器中输入了正确的网址。 B) 冒充合法企业的代表以搜集其安全系统的信息。 C) 设置假网站，询问用户机密信息。 D) 使用电子邮件进行威胁或骚扰。 参考答案: A难度系数: 2 43) 您被聘为

13、法律公司的安全顾问。下列哪一构成对该公司安全威胁最大的来源？ A) 无线网络B) 公司员工C) 认证程序D) 缺乏数据加密参考答案: B难度系数: 2 44)冒充一个公司的合法成员欺骗员工透露他们的密码被称为A) 网络监听B) 社交工程C) 网络钓鱼D) 网址嫁接参考答案: B难度系数: 1 45) 软件供应商在软件发布后如何纠正其软件缺陷？A) 发布错误修补器B) 发布补丁C) 重新发布软件D) 发布升级版本参考答案: B难度系数: 2 46) HIPAA法案A) 要求金融机构保证客户数据的安全。 B) 指定信息系统安全和控制的最佳实践。C) 对公司和管理层施加责任以保障财务信息的准确性。D

14、) 概述医疗安全和隐私规则。 参考答案: D难度系数: 2 47) Gramm-Leach-Bliley法案A) 规定金融机构要确保客户数据安全保密。B) 指定信息系统安全和控制的最佳实践。C) 对公司和管理层施加责任以保障财务信息的准确性。D) 概述医疗安全和隐私规则。参考答案: A难度系数: 3 48) 萨班斯-奥克斯利（Sarbanes-Oxley）法案A) 规定金融机构要确保客户数据安全保密。B) 指定信息系统安全和控制的最佳实践。C) 对公司和管理层施加责任以保障财务信息的准确性。D) 概述医疗安全和隐私规则。参考答案: C难度系数: 2 49) 最常见的电子证据类型是A) 语音邮件

15、B) 电子表格C) 即时消息D) 电子邮件参考答案: D难度系数: 2 50) 留存在计算机存储介质中对一般用户不可见的电子证据被称为_数据。 A) 碎片化B) 环境C) 法庭D) 片断参考答案: B难度系数: 2 51) 应用软件控制A) 可以分为输入控制、过程控制和输出控制。B) 管理计算机程序的设计、安全和使用，以及在整个组织中的数据文件的安全性。C) 适用于所有的电脑应用，包括硬件，软件和手动程序，目的是创造一个整体的控制环境。D) 包括软件控制，计算机操作控制和实施控制。 参考答案: A难度系数: 2 52) _控制确保存储在磁盘或磁带上的具有商业价值的数据文件在使用或储存期间不受X

16、X的访问，改变或破坏。A) 软件 B) 行政 C) 数据安全 D) 实施 参考答案: C难度系数: 3 53) 针对信息系统安全事件发生的可能性及其成本的分析是A) 安全措施B) 可接受使用策略（AUP）C) 风险评估D) 业务影响分析参考答案: C难度系数: 2 54) 一个_系统用于识别和授权不同类别的系统用户，并且指定每个用户允许访问的系统或系统功能。A) 身份管理B) 可接受使用策略（AUP）C) 认证D) 防火墙参考答案: A难度系数: 1 55) 下列哪一个不是主要的防火墙筛选技术？A) 应用代理过滤B) 静态包过滤C) 网络地址转换（NAT）D) 安全套接字过滤参考答案: D难度

17、系数: 2 56) 严格的密码系统A) 是最有效的安全工具之一。B) 可能会阻碍员工生产力。C) 实施成本高昂。D) 经常被员工忽视。参考答案: B难度系数: 2 57) 身份验证令牌是A) 包含访问权限数据的信用卡大小的设备 B) 智能卡的一种 C) 显示密码的小工具 D) 附着于数字授权文件的电子标记 参考答案: C难度系数: 2 58) 下列哪一个不是生物身份认证系统用以分析的特征？A) 视网膜图像B) 声音C) 头发颜色D) 面部参考答案: C难度系数: 1 59) 防火墙可以允许组织A) 防止未授权的传入和传出的网络流量。B) 监控网络热点的入侵者。C) 阻止已知的间谍软件和恶意软件

18、进入系统。D) 上述所有。参考答案: A难度系数: 2 60) 在以下哪些技术中有针对网络通信的分析，以确定数据包是否是一个发送端和接收端之间正在进行的会话的一部分？ A) 状态检测B) 入侵检测系统C) 应用代理过滤D) 包过虑参考答案: A难度系数: 3 61) 下列哪一项是员工对组织的信息系统构成的最大威胁？A) 忘记密码B) 知识缺乏C) 数据录入错误D) 引进软件错误参考答案: B难度系数: 2 62) 目前，在互联网上使用的安全信息传输协议有A) TCP/IP和SSL.B) S-HTTP和CA.C) HTTP和TCP/IP.D) SSL, TLS和S-HTTP.参考答案: D难度系

19、数: 1 63) 大部分防病毒软件可以有效防止A) 只有那些通过互联网和电子邮件传播的病毒。B) 任何病毒。C) 除了无线通信应用外的任何病毒。D) 只针对编写程序时已知的恶意软件。 参考答案: D难度系数: 2 64) 下面哪一种加密方法是将一个单一的加密密钥发送给接收者，所以发送者和接收者共享相同的密钥？A) 安全套接层协议（SSL）B) 对称密钥加密C) 公钥加密D) 私钥加密参考答案: B难度系数: 2 65) 数字证书系统A) 利用第三方机构来验证用户身份的合法性。B) 利用数字签名来验证用户身份的合法性。 C) 利用令牌来验证用户身份的合法性。 D) 主要被个人用来做通信往来参考答

20、案: A难度系数: 2 66) 宕机时间指的是这样一段时间A) 计算机系统失灵。B) 计算机系统不能正常运行。C) 企业或组织不能正常运行。D) 计算机不在线。参考答案: B难度系数: 2 67) 为了保证100%的可靠性，在线事务处理需要A) 大容量存储器。B) 多层服务器网络。C) 容错计算机系统。D) 专用电话线。参考答案: C难度系数: 1 68) 为了控制网络流量减少网络拥塞，一项_技术用于检查数据文件，并将权限较低的在线文件分拣出来。A) 高可靠计算B) 深度包检测C) 应用代理过滤D) 状态检测参考答案: B难度系数: 3 69) 使计算机系统在出现灾难性事件后能够更迅速的恢复的

21、方法和途径被称为A) 高可用性计算。B) 面向恢复计算。C) 容错计算。D) 灾难恢复计划。参考答案: B难度系数: 2 70) 小公司可以将许多系统安全的职能外包给A) ISPs.B) MISs.C) MSSPs.D) CAs.参考答案: C难度系数: 2 填空题71) 窃听者在外面的建筑物或者公园里进行操纵，以拦截无线网络的流量的入侵方式被称为_.参考答案: 驾驶攻击（war driving）难度系数: 2 72) 含有恶意代码的软件称为_，它包含了各种形式的威胁，如计算机病毒、蠕虫和特洛伊木马。参考答案: 恶意软件（malware）难度系数: 1 73) _是一种冒名获得个人关键信息如社

22、保号、驾照号、信用卡号等，以假冒他人的犯罪。参考答案: 身份盗用（identity theft）难度系数: 1 74) _是指对存储在计算机介质或从计算机介质中提取到的数据进行科学收集、审查、授权、保存和分析，使其可以在法律诉讼中作为证据使用。 参考答案: 计算机取证（computer forensics）难度系数: 2 75) _指故意中断、毁坏，甚至摧毁一个网站或企业信息系统的行为。 参考答案: 恶意网络破坏行为（cybervandalism）难度系数: 3 76) _对企业的总体安全环境以及针对单个信息系统的控制措施进行检查。 参考答案: 信息系统审计（MIS audit）难度系数: 2

23、 77) _是指能够分辨一个人所声称的身份的能力。 参考答案: 身份认证（authentication）难度系数: 2 78) 安全产品供应商把各种安全工具合并成一个单一的工具包。这些安全工具包括防火墙、虚拟专用网络、入侵检测系统、网页内容过滤和反垃圾邮件软件等。这种集成的安全管理产品称为_ 。 参考答案: 一体化威胁管理（UTM）系统难度系数: 3 79) 公钥加密基础设施（PKI）是将公钥加密技术和_组合起来使用。 参考答案: 数字认证中心（certificate authority）难度系数: 2 80) 当发现错误时，通过_过程来发现并消除错误源。 参考答案: 调试（debugging

24、）难度系数: 1 问答题81) 讨论互联网上的安全问题，因为这个问题适用于全球性的企业。列举至少五种互联网安全挑战。 参考答案: 像因特网这样的大型公用网络，因为对所有人开放，会比内部网络更加易受攻击。因特网如此巨大，以致当滥用发生时会产生四处蔓延的巨大影响。当因特网成为企业网络的一部分，组织的信息系统更容易受到外来者侵入。 通过调制解调器或者数字专线DSL与因特网固定连接的计算机更容易被外来者入侵，因为它们使用固定的因特网地址以便易于识别。如果用拨号服务，每次连接分配一个临时的因特网地址。固定的因特网地址为黑客提供了固定的攻击目标。为了从电子商务，供应链管理，和其他数字业务流程中获益，企业需

25、要对外开放，如客户，供应商和贸易伙伴。企业系统必须在组织外部进行扩展，使员工可以使用无线和其他移动计算设备来访问他们。这就需要一个新的安全文化和基础架构，允许企业扩展其安全政策，包括供应商和其他业务伙伴的安全保障措施。难度系数: 2 82) 一个公司的安全政策如何为六大主要业务目标做出贡献？请举例说明。 参考答案: 1. 卓越运营: 安全政策对企业卓越经营至关重要。一个公司的日常交易可以被网络犯罪如黑客严重破坏。一个公司的效率依赖于精确的数据。此外，信息资产具有巨大的价值，如果他们被丢失，被破坏，或者被坏人所掌控，后果将是毁灭性的。2. 新产品，服务，商业模式: 安全政策保护公司的新产品和服务

26、创意，而这些可能被竞争对手窃取。此外，增强的安全性，在客户的眼中也可以作为产品差异化的一种方式。3. 客户和供应商关系: 如果用户输入个人数据到您的信息系统，例如，输入信用卡信息到您的电子商务网站，那么客户的信息就依赖于您的系统安全性。您收到的来自客户和供应商的信息则直接影响到您是如何定制您的产品，服务，或与他们沟通。4. 改进决策: 安全的系统将数据的准确性作为其优先级，而良好的决策也依赖于准确和及时的数据。丢失和不准确的数据将会导致错误的决策。5. 竞争优势: 你的公司拥有比其它公司更高的安全性的特征，在其它方面都均等的情况下，将使你的公司更有吸引力。此外，改进的决策，新产品和服务，这也受

27、到系统安全的影响（见上文），将有助于提升一个公司的竞争优势。强大的安全性和控制能力也提高了员工的工作效率和更低的运营成本。 6. 生存: 新的法律和法规迫使企业将安全系统保持最新成为企业的生存问题。安全和控制不充分可能导致严重的法律责任。企业有可能因为安全政策上的错误而被彻底摧毁。难度系数: 3 83)系统建设者和用户的三项主要关注点是灾难，安全和人为错误。在这三项之中，你认为最难对付的是什么？为什么？参考答案: 学生的参考答案会有所不同。参考参考答案包括: 灾难可能是最难对付的，因为它是意想不到的，影响广泛的，而且经常会危及生命。此外，公司不知道其灾难计划是否会在灾难发生时产生效果，而那时再

28、作更正也为时太晚。安全可能是最困难的，因为它是一个正在进行的问题，新病毒的设计不断，黑客变得更加狡猾。此外，系统安全措施也无法排除由受信任的员工从内部进行的破坏。人为错误可能是最困难的，因为被抓到时常常为时已晚，而且后果可能是灾难性的。此外，在公司内部，行政错误可以发生在任何级别，并通过任何操作或程序发生。难度系数: 2 84) 无线网络面临的安全挑战是什么？参考答案: 无线网络容易受到攻击，因为无线频率的波段很容易被监测到。蓝牙和Wi-Fi网络都容易受非法偷听者的入侵。使用802.11标准的局域网（LAN）也可以被外部入侵者通过手提电脑、无线网卡、外置天线和黑客软件轻易地侵入。黑客使用这些软

29、件来发现没有防护的网络、监视网络流量，在某些情况下还能够进入因特网或企业网络。Wi-Fi传输技术使得一个基站能够很容易找到并接听另一个基站。Wi-Fi网络中识别访问点的服务集标识SSID（service set identifier）多次广播，能够很容易地被入侵者的监听程序窃取。很多地区的无线网络没有基本的保护来抵御驾驶攻击（war driving）。这种入侵方式，窃听者在外面的建筑物或者公园里进行操纵，以拦截无线网络的流量。与一个接入点关联起来的入侵者通过使用正确的SSID就能够访问网络上其它资源。例如，入侵者可以使用Windows操作系统来确定还有哪些其他用户连接到网络，然后进入他们的计算机硬盘驱动区，打开或复制他们的文件。入侵者还会使用另一个不同的无线频道设置欺诈接点来收集的信息。该欺诈接点的物理位置与用户靠近，这样强行使用户的无线网络接口控制器NIC（network interface controller）与该接点关联起来。一旦关