国际内审师

导航

国际内审师《内部审计基础》重点知识练习题(12)

来源 :中华考试网 2017-03-29

  1. 以下哪项不是典型的输出控制?

  A.审查计算机处理记录,以确定所有正确的计算机作业都得到正确执行。

  B.将输入数据与主文件上的信息进行匹配,并将不对应的项目放入暂记文件中。

  C.定期对照输出报告,以确认有关总额、格式和关键细节的正确性以及与输入信息的一致性。

  D.通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者。

  [答案]B

  解题思路:

  A.不正确。审查计算机处理记录是典型的输出控制。

  B.正确。将输入数据与主文件上的信息进行匹配是一项输入控制。

  C不正确。定期对照输出报告是典型的输出控制。

  D.不正确。通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者是典型的输出控制。

  2. 以下哪一项不是一个新的应用系统的实施方法?

  A.直接转换

  B.平行转换

  C.试点转换

  D.测试

  [答案]D

  解题思路:A不正确。直接转换、平行转换、试点转换和分阶段的转换是用新系统替代老系统的四种主要策略。

  B不正确。参见“a.”。

  C不正确。参见“a.”。

  D.正确。测试是系统开发阶段的任务之一,以验证系统按预定的功能运行,因此测试不是新应用系统的实施方法。

  3. 对于传统的系统,程序改变控制能够保证生产系统是从经批准的程序的正确版本中产生。而在客户机/服务器环境下运行的系统有可能增加程序改变控制的复杂性。一个在客户机/服务器环境中要求而在大型主机环境中不要求的程序变动控制功能是保证:

  A.程序版本在全网络上的同步。

  B.程序紧急改动的过程应制定成条文规定并遵守执行。

  C.适当的用户参与程序改变测试。

  D.从测试资料库到成品资料库的传送要受到控制。

  [答案]A

  解题思路:

  A.正确。客户机/服务器环境下的客户端程序分散在各个客户机中,当升级应用程序版本时,必须保证版本在全网络上的同步,否则旧版的客户程序可能不能正常工作甚至影响到服务器中的数据。而在大型机环境下应用程序集中存放在主机中,只需升级主机中的程序即可。

  B.不正确。客户机/服务器环境和大型机环境都必须制定程序紧急改动的条文规定并要求遵守执行。

  C.不正确。两种环境下都要求用户参与程序改变测试。

  D.不正确。两种环境下从测试资料库到成品资料库的传送都应受到控制。

  4. 要防止通过直接连接主机的无人照管的终端而对敏感数据进行非法访问,以下哪项安全控制效果最佳?

  A.使用带密码的屏幕保护程序。

  B.使用工作站脚本程序。

  C对数据文件加密。

  D.自动注销不活动用户。

  [答案]D

  解题思路:

  A.不正确。无人照管终端的主要风险是该终端可能已经合法地登录主机,因此任何人都可以利用该终端访问主机中的敏感数据。在这种情况下,带密码的屏幕保护程序较容易被饶过,如用另一台终端替换该终端。

  B.不正确。参见“a.”, 工作站脚本程序用来定制终端的运行环境,只有在终端登录时起作用。

  C.不正确。参见“a.”, 对数据文件加密不能防止攻击者访问敏感数据,因此时攻击者已获得了合法用户的身份,系统会自动解密数据文件。

  D.正确。参见“a.”,自动注销不活动用户可使攻击者失去获得合法用户的机会。

  5. 为了避免非法数据的输入,某银行在每个帐号结尾新加一个数字并对新加的数字进行一种计算,此种技术被称为:

  A.光学字符识别(optical character recognition)。

  B.校验数位(check digit)。

  C.相关检查(dependency check)。

  D.格式检查(format check)。

  [答案]B

  解题思路:

  A.不正确。光学字符识别将印刷字符转换成计算机可以识别的内部代码。

  B.正确。校验数位是对某字段进行某种计算后得出,并附加在该字段之后的校验位。通过重新计算校验位并和原校验位进行比较,可以发现该字段内容是否已发生变化。

  C.不正确。相关检查用于检查多个字段之间是否存在某种关联,来判断字段内容的正确性。

  D.不正确。格式检查用于检查字段内容是否遵循某种特定的格式,如日期字段应该具有如下格式:YYYY:MM:DD。

  6. 在公司信息系统的战略应用中,面向对象的技术变得越来越重要,因为它具有以下潜力:

  A.允许更快更可靠地开发系统。

  B.保持原来用过程语言编写的程序。

  C.减少对层次数据库的数据完整性的破坏。

  D.使传统的瀑布式系统开发方法更加流畅。

  [答案]A

  解题思路:

  A.正确。面向对象的开发技术利用对象的继承、重用、重构等特征,可以更快更可靠地开发系统。

  B.不正确。面向对象的开发技术将数据和对该数据的操作封装成一个对象,因此不能保持原来用过程语言编写的程序。

  C.不正确。对象虽然具有层次的概念,但和层次数据库中的层次概念没有任何联系。

  D.不正确。面向对象的开发方法和传统的瀑布式系统开发方法在需求分析、系统设计和编码上都有很大的区别,属于两类不同的系统开发方法学,因此不存在使传统的瀑布式系统开发方法更加流畅的作用。

  7. 以下哪项关于电子邮件安全性的说法是正确的?

  A.互联网上的所有信息都被加密,因此能够提供增强的安全性。

  B.密码在防止偶然访问其他人的电子邮件时很有效。

  C.如果没有事先对安全控制记录解密,那么即使具有访问包含电子邮件信息的文件服务器的管理级权限的人员也不能接触包含电子邮件信息的文件。

  D.自主访问控制策略不需要口令。

  [答案]B

  解题思路:

  A.不正确。互联网上的信息并未自动加密,包括电子邮件信息。

  B.正确。对设置了密码的电子邮件,必须输入正确的密码信息才能阅读邮件,因此可以防止对邮件的偶然访问。

  C.不正确。具有文件服务器管理权限(总体控制)的人员完全有可能饶过电子邮件的安全控制(应用控制),通过直接阅读邮件文件的方式来获得邮件内容。

  D.不正确。自主访问控制策略需要对用户身份进行鉴别,而口令是身份鉴别的主要手段。

  8. 为了适当控制对会计数据库文件的访问,数据库管理人员应正确应用数据库的安全特征以允许:

  A.用只读方式访问数据库文件。

  B.特权软件对数据进行更新。

  C.只访问经过授权的逻辑视图。

  D.用户可以修改其访问配置文件。

  [答案]C

  解题思路:

  A.不正确。只读控制可以防止对数据的非授权修改,但不能防止对数据的非授权读取。

  B.不正确。允许特权软件对数据进行更新不能防止用户对数据的非授权访问。

  C.正确。逻辑视图从一个或多个数据库表中生成新的数据结构,以更适合用户使用的方式表示数据。对视图通常只能进行查询操作,通过限制用户只能对授权的视图、而不是表进行访问,可防止用户对表数据的非授权访问。

  D.不正确。允许用户修改其访问配置文件不能防止用户对数据的非授权访问。

  9. 一个组织的计算机帮助平台功能通常由哪个部门的负责?

  A.应用开发部门

  B.系统编程部门

  C.计算机运行部门

  D.用户部门

  [答案]C

  解题思路:

  A.不正确。应用开发部门负责系统的开发。

  B.不正确。系统编程部门负责系统的程序设计。

  C正确。计算机运行部门负责系统的日常运行维护,计算机帮助平台是其功能之一。

  D.不正确。用户部门负责操作使用计算机系统。

  10. 要最大程度地降低未经授权编辑生产程序、工作控制语言和操作系统软件的可能性,以下哪种方法效果最佳?

  A.数据库访问检查;

  B符合性检查;

  C.良好的变动控制程序;

  D.有效的网络安全软件。

  [答案]C

  解题思路:

  A.不正确。数据库访问检查可以防止对数据库的非授权访问,但不能防止未经授权编辑生产程序、工作控制语言和操作系统软件。

  B.不正确。符合性检查可以在非授权编辑操作发生后发现该事件并予以纠正,但不能预防非授权编辑操作的发生。

  C正确。良好的变动控制程序是安全政策、安全管理和安全技术的综合,可以最大程度地预防未经授权编辑生产程序、工作控制语言和操作系统软件的行为发生。

  D.不正确。网络安全软件用于防止通过网络进行的非授权编辑,但对于直接通过控制台进行的非授权编辑可能就无能为力。有效的网络安全软件只是安全管理的技术因素,如没有管理方面的配合,安全效果会大打折扣

分享到

相关推荐