管理信息系統(tǒng)第13版 (Laudon/Laudon)第8章 信息系統(tǒng)安全單項選擇題1) 下載驅(qū)動（drive-by download）是一種被黑客用來在無線網(wǎng)絡(luò)上獲取文件的技術(shù)。參考答案: FALSE難度系數(shù): 1 2) 通過調(diào)制解調(diào)器或者數(shù)字專線DSL與因特網(wǎng)固定連接的計算機比用撥號服務(wù)連接的計算機更容易被外來者入侵。參考答案: TRUE難度系數(shù): 2 3) 無線網(wǎng)絡(luò)很容易受到攻擊因為無線頻率的波段很容易被監(jiān)測到。參考答案: TRUE難度系數(shù): 2 4) 針對移動設(shè)備的惡意軟件尚未像針對傳統(tǒng)計算機的惡意軟件那樣廣泛。參考答案: TRUE難度系數(shù): 3 5) 特洛伊木馬（Trojan horse）是一種軟件程序，它看似良性但是會做出一些意想不到的事情。參考答案: TRUE難度系數(shù): 1 6) 病毒可以通過電子郵件進行傳播。參考答案: TRUE難度系數(shù): 1 7) 計算機蠕蟲比計算機病毒傳播得更快。參考答案: TRUE難度系數(shù): 2 8) 電子欺騙（spoofing）指通過把欺騙網(wǎng)站偽裝成目的網(wǎng)站，從而把網(wǎng)頁鏈接誤導(dǎo)入另一個與用戶實際希望訪問的網(wǎng)站不同的地址。參考答案: TRUE難度系數(shù): 2 9) 嗅探器程序使黑客能夠從網(wǎng)絡(luò)中任何地方盜取有價值的私有信息，包括電子郵件消息、公司文件和機密報告等。 參考答案: TRUE難度系數(shù): 2 10) 拒絕服務(wù)（DoS）攻擊是用來摧毀信息和企業(yè)信息系統(tǒng)的限制訪問區(qū)域。參考答案: FALSE難度系數(shù): 2 11) 通過走查法（walkthrough），黑客可以輕松繞過信息系統(tǒng)的安全控制。參考答案: FALSE難度系數(shù): 2 12) 較大的程序無法實現(xiàn)零缺陷。根本不可能對軟件進行完整測試。如果對包含數(shù)以千計的選擇代碼和數(shù)以百萬計的執(zhí)行路徑的程序進行充分測試，耗時可能需要多達數(shù)千年。參考答案: TRUE難度系數(shù): 2 13) 可接受使用策略（AUP）為不同用戶定義訪問信息資產(chǎn)的可接受等級。參考答案: FALSE難度系數(shù): 2 14) 生物身份認證（biometric authentication）系統(tǒng)使用如視網(wǎng)膜圖像等個人身體特征來提供身份識別。 參考答案: TRUE難度系數(shù): 1 15) 包過濾捕獲絕大部分種類的網(wǎng)絡(luò)攻擊。參考答案: FALSE難度系數(shù): 2 16) 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）通過將組織內(nèi)部主機的IP地址隱藏起來，以防止防火墻外面的嗅探器程序。參考答案: TRUE難度系數(shù): 2 17) 安全套接層協(xié)議SSL（Secure Sockets Layer）可以用來在兩臺計算機之間建立安全連接。參考答案: TRUE難度系數(shù): 2 18) 公鑰加密使用兩個密鑰。 參考答案: TRUE難度系數(shù): 2 19) 高可靠計算也被稱為容錯計算。參考答案: FALSE難度系數(shù): 2 20) 非授權(quán)的訪問是一種安全威脅，它最有可能發(fā)生在網(wǎng)絡(luò)客戶端電腦。參考答案: TRUE難度系數(shù): 2 21) _指用來防止對信息系統(tǒng)非授權(quán)的訪問、更改、盜竊或者物理損害的政策、步驟和技術(shù)措施。 A) 安全B) 控制C) 基準(zhǔn)D) 算法參考答案: A難度系數(shù): 2 22) _是確保組織資產(chǎn)安全的方法、政策和組織流程，要求對資產(chǎn)記錄要準(zhǔn)確、可靠，對其處置符合管理標(biāo)準(zhǔn)。A) 遺留系統(tǒng)B) SSID標(biāo)準(zhǔn)C) 漏洞D) 控制參考答案: D難度系數(shù): 2 23) 以下哪種不是針對無線網(wǎng)絡(luò)安全的挑戰(zhàn)？A) 服務(wù)集標(biāo)識（SSID）廣播B) 無線頻率的波段容易被監(jiān)測C) SQL注入攻擊D) 無線信號的地理范圍參考答案: C難度系數(shù): 1 24) 電子數(shù)據(jù)更加容易受到例如毀壞，欺詐，錯誤以及濫用等安全威脅，這是因為信息系統(tǒng)將數(shù)據(jù)集中存放在計算機文件中，而且A) 這些文件常常跟企業(yè)遺留系統(tǒng)綁定在一起導(dǎo)致很難訪問，在出錯的時候也很難糾正。B) 這些文件因為在創(chuàng)建的時候保障安全的技術(shù)尚不存在，所以是不安全的。C) 這些文件有可能被大量的組織以外的人和群體訪問。 D) 這些文件常?？梢栽诨ヂ?lián)網(wǎng)上獲得。 參考答案: C難度系數(shù): 2 25) 以下的方法可以保障軟件質(zhì)量，除了:A) 系統(tǒng)分析 B) 走查法C) 軟件測試D) 企業(yè)內(nèi)部系統(tǒng)參考答案: A難度系數(shù): 3 26) 竊聽是一種安全挑戰(zhàn)，它常常發(fā)生在企業(yè)網(wǎng)絡(luò)的哪個環(huán)節(jié)？A) 客戶端電腦 B) 通訊線路C) 企業(yè)服務(wù)器 D) 企業(yè)內(nèi)部系統(tǒng)參考答案: B難度系數(shù): 2 27) 利用一些編程很差的Web應(yīng)用軟件的漏洞將惡意程序代碼引入到企業(yè)的系統(tǒng)和網(wǎng)絡(luò)中，這種行為被稱為:A) 特洛伊木馬B) SQL注入攻擊C) 按鍵記錄D) 分布式拒絕服務(wù)攻擊參考答案: B難度系數(shù): 2 28) 互聯(lián)網(wǎng)帶來了一些特有的安全問題，這是因為:A) 它的設(shè)計使得其易于被訪問 B) 它的數(shù)據(jù)不在安全線路上傳輸 C) 它的標(biāo)準(zhǔn)全球通用 D) 它的變化非常迅速參考答案: A難度系數(shù): 2 29) 以下哪個關(guān)于互聯(lián)網(wǎng)安全的陳述是不正確的？A) 使用對等P2P網(wǎng)絡(luò)可能把企業(yè)計算機上的信息向外界泄露B) 不提供互聯(lián)網(wǎng)連接的公司網(wǎng)絡(luò)比提供互聯(lián)網(wǎng)連接的公司網(wǎng)絡(luò)更加安全C) VoIP（由公用因特網(wǎng)傳輸IP語音）比語音交換網(wǎng)絡(luò)更加安全D) 即時信息活動可以被黑客用做進入一些原本安全的網(wǎng)絡(luò)的后門參考答案: C難度系數(shù): 2 30) 一種獨立的計算機程序，可以在網(wǎng)絡(luò)上將自己從一臺計算機拷貝到另一臺計算機，它是:A) 蠕蟲B) 特洛伊木馬C) 軟件缺陷D) 害蟲參考答案: A難度系數(shù): 2 31) 某個銷售人員重復(fù)點擊其競爭者的在線廣告以提高其廣告成本。這是一個什么例子？ A) 網(wǎng)絡(luò)釣魚B) 網(wǎng)絡(luò)嫁接C) 電子欺騙D) 點擊欺詐參考答案: D難度系數(shù): 2 32) 在2004年，ICQ用戶們被來自某個被認為是防病毒商家的促銷信息所引誘。在這個商家的網(wǎng)站上，一個叫做Mitglieder的程序被下載到了客戶的機器中。這個程序使得外人可以滲透進用戶的機器。這是一個什么例子？A) 特洛伊木馬B) 病毒C) 蠕蟲D) 間諜軟件參考答案: A難度系數(shù): 2 33) 重定向一個網(wǎng)絡(luò)鏈接到另一個不同的地址是一種什么行為？A) 窺探行為B) 電子欺騙行為C) 嗅探行為D) 接入點映射行為參考答案: B難度系數(shù): 2 34) 按鍵記錄器是一種A) 蠕蟲B) 特洛伊木馬C) 病毒D) 間諜軟件參考答案: D難度系數(shù): 1 35) 黑客通過以下方式組建僵尸網(wǎng)A) 使用惡意軟件感染W(wǎng)eb搜索機器人B) 使用Web搜索機器人感染其它計算機C) 通過一個主計算機使得他人的計算機成為“僵尸”計算機D) 讓企業(yè)服務(wù)器感染上“僵尸”特洛伊木馬從而允許通過后門進行的訪問無法被檢測參考答案: C難度系數(shù): 2 36) 使用許許多多的計算機從無數(shù)的發(fā)射點來淹沒網(wǎng)絡(luò)被成為_ 攻擊。A) 分布式拒絕服務(wù)攻擊（DDoS）B) 拒絕服務(wù)攻擊（DoS）C) SQL注入攻擊D) 網(wǎng)絡(luò)釣魚參考答案: A難度系數(shù): 2 37) 以下哪一項不是針對計算機進行犯罪的例子？A) 故意訪問受保護的計算機以實施欺詐B) 未經(jīng)授權(quán)訪問計算機系統(tǒng)C) 非法訪問存儲電子通信D) 對受保護的計算機造成損害的威脅參考答案: C難度系數(shù): 2 38) 以下哪一項不是計算機用作犯罪工具的例子？ A) 竊取商業(yè)機密B) 有意嘗試攔截電子通信C) 軟件未經(jīng)授權(quán)的復(fù)制D) 泄漏保密性的受保護的計算機數(shù)據(jù)參考答案: D難度系數(shù): 2 39) 互聯(lián)網(wǎng)安全公司在2012年發(fā)現(xiàn)了大約多少種在惡意軟件中檢測到的新出現(xiàn)的威脅？A) 40萬B) 400萬 C) 4000萬D) 4億參考答案: A難度系數(shù): 2 參考答案似乎是D，題目似乎需要改為2011年 根據(jù)教材P232頁40) 以下哪個是網(wǎng)絡(luò)釣魚的例子？A) 設(shè)置偽造的Wi-Fi熱點 B) 建立一個虛假的醫(yī)療網(wǎng)站，要求用戶提供機密信息。C) 偽裝成公共事業(yè)公司的員工以獲取這個公司安全系統(tǒng)的信息。D) 以虛假的借口發(fā)送大量電子郵件，請求資助。參考答案: B難度系數(shù): 2 41) 邪惡雙胞（evil twins）是A) 用戶看起來是合法的商業(yè)軟件應(yīng)用程序的木馬程序。B) 模仿合法業(yè)務(wù)的電子郵件消息的電子郵件。C) 模仿合法經(jīng)營網(wǎng)站的欺詐網(wǎng)站。 D) 偽裝成提供可信的Wi-Fi因特網(wǎng)連接的無線網(wǎng)絡(luò)。參考答案: D難度系數(shù): 1 42) 嫁接（pharming）指的是A) 將用戶引導(dǎo)到一個欺騙網(wǎng)頁，即便用戶在其使用的瀏覽器中輸入了正確的網(wǎng)址。 B) 冒充合法企業(yè)的代表以搜集其安全系統(tǒng)的信息。 C) 設(shè)置假網(wǎng)站，詢問用戶機密信息。 D) 使用電子郵件進行威脅或騷擾。 參考答案: A難度系數(shù): 2 43) 您被聘為法律公司的安全顧問。下列哪一構(gòu)成對該公司安全威脅最大的來源？ A) 無線網(wǎng)絡(luò)B) 公司員工C) 認證程序D) 缺乏數(shù)據(jù)加密參考答案: B難度系數(shù): 2 44)冒充一個公司的合法成員欺騙員工透露他們的密碼被稱為A) 網(wǎng)絡(luò)監(jiān)聽B) 社交工程C) 網(wǎng)絡(luò)釣魚D) 網(wǎng)址嫁接參考答案: B難度系數(shù): 1 45) 軟件供應(yīng)商在軟件發(fā)布后如何糾正其軟件缺陷？A) 發(fā)布錯誤修補器B) 發(fā)布補丁C) 重新發(fā)布軟件D) 發(fā)布升級版本參考答案: B難度系數(shù): 2 46) HIPAA法案A) 要求金融機構(gòu)保證客戶數(shù)據(jù)的安全。 B) 指定信息系統(tǒng)安全和控制的最佳實踐。C) 對公司和管理層施加責(zé)任以保障財務(wù)信息的準(zhǔn)確性。D) 概述醫(yī)療安全和隱私規(guī)則。 參考答案: D難度系數(shù): 2 47) Gramm-Leach-Bliley法案A) 規(guī)定金融機構(gòu)要確?？蛻魯?shù)據(jù)安全保密。B) 指定信息系統(tǒng)安全和控制的最佳實踐。C) 對公司和管理層施加責(zé)任以保障財務(wù)信息的準(zhǔn)確性。D) 概述醫(yī)療安全和隱私規(guī)則。參考答案: A難度系數(shù): 3 48) 薩班斯-奧克斯利（Sarbanes-Oxley）法案A) 規(guī)定金融機構(gòu)要確?？蛻魯?shù)據(jù)安全保密。B) 指定信息系統(tǒng)安全和控制的最佳實踐。C) 對公司和管理層施加責(zé)任以保障財務(wù)信息的準(zhǔn)確性。D) 概述醫(yī)療安全和隱私規(guī)則。參考答案: C難度系數(shù): 2 49) 最常見的電子證據(jù)類型是A) 語音郵件B) 電子表格C) 即時消息D) 電子郵件參考答案: D難度系數(shù): 2 50) 留存在計算機存儲介質(zhì)中對一般用戶不可見的電子證據(jù)被稱為_數(shù)據(jù)。 A) 碎片化B) 環(huán)境C) 法庭D) 片斷參考答案: B難度系數(shù): 2 51) 應(yīng)用軟件控制A) 可以分為輸入控制、過程控制和輸出控制。B) 管理計算機程序的設(shè)計、安全和使用，以及在整個組織中的數(shù)據(jù)文件的安全性。C) 適用于所有的電腦應(yīng)用，包括硬件，軟件和手動程序，目的是創(chuàng)造一個整體的控制環(huán)境。D) 包括軟件控制，計算機操作控制和實施控制。 參考答案: A難度系數(shù): 2 52) _控制確保存儲在磁盤或磁帶上的具有商業(yè)價值的數(shù)據(jù)文件在使用或儲存期間不受未經(jīng)授權(quán)的訪問，改變或破壞。A) 軟件 B) 行政 C) 數(shù)據(jù)安全 D) 實施 參考答案: C難度系數(shù): 3 53) 針對信息系統(tǒng)安全事件發(fā)生的可能性及其成本的分析是A) 安全措施B) 可接受使用策略（AUP）C) 風(fēng)險評估D) 業(yè)務(wù)影響分析參考答案: C難度系數(shù): 2 54) 一個_系統(tǒng)用于識別和授權(quán)不同類別的系統(tǒng)用戶，并且指定每個用戶允許訪問的系統(tǒng)或系統(tǒng)功能。A) 身份管理B) 可接受使用策略（AUP）C) 認證D) 防火墻參考答案: A難度系數(shù): 1 55) 下列哪一個不是主要的防火墻篩選技術(shù)？A) 應(yīng)用代理過濾B) 靜態(tài)包過濾C) 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）D) 安全套接字過濾參考答案: D難度系數(shù): 2 56) 嚴(yán)格的密碼系統(tǒng)A) 是最有效的安全工具之一。B) 可能會阻礙員工生產(chǎn)力。C) 實施成本高昂。D) 經(jīng)常被員工忽視。參考答案: B難度系數(shù): 2 57) 身份驗證令牌是A) 包含訪問權(quán)限數(shù)據(jù)的信用卡大小的設(shè)備 B) 智能卡的一種 C) 顯示密碼的小工具 D) 附著于數(shù)字授權(quán)文件的電子標(biāo)記 參考答案: C難度系數(shù): 2 58) 下列哪一個不是生物身份認證系統(tǒng)用以分析的特征？A) 視網(wǎng)膜圖像B) 聲音C) 頭發(fā)顏色D) 面部參考答案: C難度系數(shù): 1 59) 防火墻可以允許組織A) 防止未授權(quán)的傳入和傳出的網(wǎng)絡(luò)流量。B) 監(jiān)控網(wǎng)絡(luò)熱點的入侵者。C) 阻止已知的間諜軟件和惡意軟件進入系統(tǒng)。D) 上述所有。參考答案: A難度系數(shù): 2 60) 在以下哪些技術(shù)中有針對網(wǎng)絡(luò)通信的分析，以確定數(shù)據(jù)包是否是一個發(fā)送端和接收端之間正在進行的會話的一部分？ A) 狀態(tài)檢測B) 入侵檢測系統(tǒng)C) 應(yīng)用代理過濾D) 包過慮參考答案: A難度系數(shù): 3 61) 下列哪一項是員工對組織的信息系統(tǒng)構(gòu)成的最大威脅？A) 忘記密碼B) 知識缺乏C) 數(shù)據(jù)錄入錯誤D) 引進軟件錯誤參考答案: B難度系數(shù): 2 62) 目前，在互聯(lián)網(wǎng)上使用的安全信息傳輸協(xié)議有A) TCP/IP和SSL.B) S-HTTP和CA.C) HTTP和TCP/IP.D) SSL, TLS和S-HTTP.參考答案: D難度系數(shù): 1 63) 大部分防病毒軟件可以有效防止A) 只有那些通過互聯(lián)網(wǎng)和電子郵件傳播的病毒。B) 任何病毒。C) 除了無線通信應(yīng)用外的任何病毒。D) 只針對編寫程序時已知的惡意軟件。 參考答案: D難度系數(shù): 2 64) 下面哪一種加密方法是將一個單一的加密密鑰發(fā)送給接收者，所以發(fā)送者和接收者共享相同的密鑰？A) 安全套接層協(xié)議（SSL）B) 對稱密鑰加密C) 公鑰加密D) 私鑰加密參考答案: B難度系數(shù): 2 65) 數(shù)字證書系統(tǒng)A) 利用第三方機構(gòu)來驗證用戶身份的合法性。B) 利用數(shù)字簽名來驗證用戶身份的合法性。 C) 利用令牌來驗證用戶身份的合法性。 D) 主要被個人用來做通信往來參考答案: A難度系數(shù): 2 66) 宕機時間指的是這樣一段時間A) 計算機系統(tǒng)失靈。B) 計算機系統(tǒng)不能正常運行。C) 企業(yè)或組織不能正常運行。D) 計算機不在線。參考答案: B難度系數(shù): 2 67) 為了保證100%的可靠性，在線事務(wù)處理需要A) 大容量存儲器。B) 多層服務(wù)器網(wǎng)絡(luò)。C) 容錯計算機系統(tǒng)。D) 專用電話線。參考答案: C難度系數(shù): 1 68) 為了控制網(wǎng)絡(luò)流量減少網(wǎng)絡(luò)擁塞，一項_技術(shù)用于檢查數(shù)據(jù)文件，并將權(quán)限較低的在線文件分揀出來。A) 高可靠計算B) 深度包檢測C) 應(yīng)用代理過濾D) 狀態(tài)檢測參考答案: B難度系數(shù): 3 69) 使計算機系統(tǒng)在出現(xiàn)災(zāi)難性事件后能夠更迅速的恢復(fù)的方法和途徑被稱為A) 高可用性計算。B) 面向恢復(fù)計算。C) 容錯計算。D) 災(zāi)難恢復(fù)計劃。參考答案: B難度系數(shù): 2 70) 小公司可以將許多系統(tǒng)安全的職能外包給A) ISPs.B) MISs.C) MSSPs.D) CAs.參考答案: C難度系數(shù): 2 填空題71) 竊聽者在外面的建筑物或者公園里進行操縱，以攔截?zé)o線網(wǎng)絡(luò)的流量的入侵方式被稱為_.參考答案: 駕駛攻擊（war driving）難度系數(shù): 2 72) 含有惡意代碼的軟件稱為_，它包含了各種形式的威脅，如計算機病毒、蠕蟲和特洛伊木馬。參考答案: 惡意軟件（malware）難度系數(shù): 1 73) _是一種冒名獲得個人關(guān)鍵信息如社保號、駕照號、信用卡號等，以假冒他人的犯罪。參考答案: 身份盜用（identity theft）難度系數(shù): 1 74) _是指對存儲在計算機介質(zhì)或從計算機介質(zhì)中提取到的數(shù)據(jù)進行科學(xué)收集、審查、授權(quán)、保存和分析，使其可以在法律訴訟中作為證據(jù)使用。 參考答案: 計算機取證（computer forensics）難度系數(shù): 2 75) _指故意中斷、毀壞，甚至摧毀一個網(wǎng)站或企業(yè)信息系統(tǒng)的行為。 參考答案: 惡意網(wǎng)絡(luò)破壞行為（cybervandalism）難度系數(shù): 3 76) _對企業(yè)的總體安全環(huán)境以及針對單個信息系統(tǒng)的控制措施進行檢查。 參考答案: 信息系統(tǒng)審計（MIS audit）難度系數(shù): 2 77) _是指能夠分辨一個人所聲稱的身份的能力。 參考答案: 身份認證（authentication）難度系數(shù): 2 78) 安全產(chǎn)品供應(yīng)商把各種安全工具合并成一個單一的工具包。這些安全工具包括防火墻、虛擬專用網(wǎng)絡(luò)、入侵檢測系統(tǒng)、網(wǎng)頁內(nèi)容過濾和反垃圾郵件軟件等。這種集成的安全管理產(chǎn)品稱為_ 。 參考答案: 一體化威脅管理（UTM）系統(tǒng)難度系數(shù): 3 79) 公鑰加密基礎(chǔ)設(shè)施（PKI）是將公鑰加密技術(shù)和_組合起來使用。 參考答案: 數(shù)字認證中心（certificate authority）難度系數(shù): 2 80) 當(dāng)發(fā)現(xiàn)錯誤時，通過_過程來發(fā)現(xiàn)并消除錯誤源。 參考答案: 調(diào)試（debugging）難度系數(shù): 1 問答題81) 討論互聯(lián)網(wǎng)上的安全問題，因為這個問題適用于全球性的企業(yè)。列舉至少五種互聯(lián)網(wǎng)安全挑戰(zhàn)。 參考答案: 像因特網(wǎng)這樣的大型公用網(wǎng)絡(luò)，因為對所有人開放，會比內(nèi)部網(wǎng)絡(luò)更加易受攻擊。因特網(wǎng)如此巨大，以致當(dāng)濫用發(fā)生時會產(chǎn)生四處蔓延的巨大影響。當(dāng)因特網(wǎng)成為企業(yè)網(wǎng)絡(luò)的一部分，組織的信息系統(tǒng)更容易受到外來者侵入。 通過調(diào)制解調(diào)器或者數(shù)字專線DSL與因特網(wǎng)固定連接的計算機更容易被外來者入侵，因為它們使用固定的因特網(wǎng)地址以便易于識別。如果用撥號服務(wù)，每次連接分配一個臨時的因特網(wǎng)地址。固定的因特網(wǎng)地址為黑客提供了固定的攻擊目標(biāo)。為了從電子商務(wù)，供應(yīng)鏈管理，和其他數(shù)字業(yè)務(wù)流程中獲益，企業(yè)需要對外開放，如客戶，供應(yīng)商和貿(mào)易伙伴。企業(yè)系統(tǒng)必須在組織外部進行擴展，使員工可以使用無線和其他移動計算設(shè)備來訪問他們。這就需要一個新的安全文化和基礎(chǔ)架構(gòu)，允許企業(yè)擴展其安全政策，包括供應(yīng)商和其他業(yè)務(wù)伙伴的安全保障措施。難度系數(shù): 2 82) 一個公司的安全政策如何為六大主要業(yè)務(wù)目標(biāo)做出貢獻？請舉例說明。 參考答案: 1.卓越運營: 安全政策對企業(yè)卓越經(jīng)營至關(guān)重要。一個公司的日常交易可以被網(wǎng)絡(luò)犯罪如黑客嚴(yán)重破壞。一個公司的效率依賴于精確的數(shù)據(jù)。此外，信息資產(chǎn)具有巨大的價值，如果他們被丟失，被破壞，或者被壞人所掌控，后果將是毀滅性的。2.新產(chǎn)品，服務(wù)，商業(yè)模式: 安全政策保護公司的新產(chǎn)品和服務(wù)創(chuàng)意，而這些可能被競爭對手竊取。此外，增強的安全性，在客戶的眼中也可以作為產(chǎn)品差異化的一種方式。3.客戶和供應(yīng)商關(guān)系: 如果用戶輸入個人數(shù)據(jù)到您的信息系統(tǒng)，例如，輸入信用卡信息到您的電子商務(wù)網(wǎng)站，那么客戶的信息就依賴于您的系統(tǒng)安全性。您收到的來自客戶和供應(yīng)商的信息則直接影響到您是如何定制您的產(chǎn)品，服務(wù)，或與他們溝通。4.改進決策: 安全的系統(tǒng)將數(shù)據(jù)的準(zhǔn)確性作為其優(yōu)先級，而良好的決策也依賴于準(zhǔn)確和及時的數(shù)據(jù)。丟失和不準(zhǔn)確的數(shù)據(jù)將會導(dǎo)致錯誤的決策。5.競爭優(yōu)勢: 你的公司擁有比其它公司更高的安全性的特征，在其它方面都均等的情況下，將使你的公司更有吸引力。此外，改進的決策，新產(chǎn)品和服務(wù)，這也受到系統(tǒng)安全的影響（見上文），將有助于提升一個公司的競爭優(yōu)勢。強大的安全性和控制能力也提高了員工的工作效率和更低的運營成本。 6.生存: 新的法律和法規(guī)迫使企業(yè)將安全系統(tǒng)保持最新成為企業(yè)的生存問題。安全和控制不充分可能導(dǎo)致嚴(yán)重的法律責(zé)任。企業(yè)有可能因為安全政策上的錯誤而被徹底摧毀。難度系數(shù): 3 83)系統(tǒng)建設(shè)者和用戶的三項主要關(guān)注點是災(zāi)難，安全和人為錯誤。在這三項之中，你認為最難對付的是什么？為什么？參考答案: 學(xué)生的參考答案會有所不同。參考參考答案包括: 災(zāi)難可能是最難對付的，因為它是意想不到的，影響廣泛的，而且經(jīng)常會危及生命。此外，公司不知道其災(zāi)難計劃是否會在災(zāi)難發(fā)生時產(chǎn)生效果，而那時再作更正也為時太晚。安全可能是最困難的，因為它是一個正在進行的問題，新病毒的設(shè)計不斷，黑客變得更加狡猾。此外，系統(tǒng)安全措施也無法排除由受信任的員工從內(nèi)部進行的破壞。人為錯誤可能是最困難的，因為被抓到時常常為時已晚，而且后果可能是災(zāi)難性的。此外，在公司內(nèi)部，行政錯誤可以發(fā)生在任何級別，并通過任何操作或程序發(fā)生。難度系數(shù): 2 84) 無線網(wǎng)絡(luò)面臨的安全挑戰(zhàn)是什么？參考答案: 無線網(wǎng)絡(luò)容易受到攻擊，因為無線頻率的波段很容易被監(jiān)測到。藍牙和Wi-Fi網(wǎng)絡(luò)都容易受非法偷聽者的入侵。使用802.11標(biāo)準(zhǔn)的局域網(wǎng)（LAN）也可以被外部入侵者通過手提電腦、無線網(wǎng)卡、外置天線和黑客軟件輕易地侵入。黑客使用這些軟件來發(fā)現(xiàn)沒有防護的網(wǎng)絡(luò)、監(jiān)視網(wǎng)絡(luò)流量，在某些情況下還能夠進入因特網(wǎng)或企業(yè)網(wǎng)絡(luò)。Wi-Fi傳輸技術(shù)使得一個基站能夠很容易找到并接聽另一個基站。Wi-Fi網(wǎng)絡(luò)中識別訪問點的服務(wù)集標(biāo)識SSID（service set identifier）多次廣播，能夠很容易地被入侵者的監(jiān)聽程序竊取。很多地區(qū)的無線網(wǎng)絡(luò)沒有基本的保護來抵御駕駛攻擊（war driving）。這種入侵方式，竊聽者在外面的建筑物或者公園里進行操縱，以攔截?zé)o線網(wǎng)絡(luò)的流量。與一個接入點關(guān)聯(lián)起來的入侵者通過使用正確的SSID就能夠訪問網(wǎng)絡(luò)上其它資源。例如，入侵者可以使用Windows操作系統(tǒng)來確定還有哪些其他用戶連接到網(wǎng)絡(luò)，然后進入他們的計算機硬盤驅(qū)動區(qū)，打開或復(fù)制他們的文件。入侵者還會使用另一個不同的無線頻道設(shè)置欺詐接點來收集的信息。該欺詐接點的物理位置與用戶靠近，這樣強行使用戶的無線網(wǎng)絡(luò)接口控制器NIC（network interface controller）與該接點關(guān)聯(lián)起來。一旦關(guān)聯(lián)成功，黑客就可以通過欺詐接點捕獲不知情的用戶的用戶名和密碼。難度系數(shù): 3 85) 為什么軟件質(zhì)量對安全很重要？一個組織能夠采取哪些具體措施來保證軟件質(zhì)量？ 參考答案: 軟件錯誤對信息系統(tǒng)是一種常見的威脅，它會造成無法估量的損失。軟件的復(fù)雜性日益增加，規(guī)模不斷擴大，再加上市場需求的即時性，是造成軟件缺陷或漏洞不斷增加的原因。軟件的一個重大問題是存在著隱藏的bug或程序代碼缺陷。研究表明，從大型程序中消除所有的Bug幾乎不可能。商業(yè)軟件的缺陷不僅降低其性能，也造成安全漏洞給網(wǎng)絡(luò)入侵者有可乘之機。為了修復(fù)發(fā)現(xiàn)的軟件缺陷，供應(yīng)商會編寫出稱為補丁（patch）的缺陷修復(fù)小程序而不會影響軟件的正常運行。 組織必須盡力確保購買的軟件是最新的，并盡可能確保他們自己的軟件和程序通過采用軟件度量和嚴(yán)格的軟件測試來防止程序缺陷。持續(xù)進行軟件度量能夠讓信息系統(tǒng)部門和終端用戶共同來測量系統(tǒng)的性能，并及時發(fā)現(xiàn)所產(chǎn)生的問題。例如，度量指標(biāo)可能包括在一個特定時間單位內(nèi)能被處理的事務(wù)數(shù)量、在線響應(yīng)時間、每小時打印的工資支票數(shù)量，以及每百行程序代碼發(fā)現(xiàn)的錯誤（bug）數(shù)量等。要成功應(yīng)用軟件度量方法，對各項指標(biāo)需要認真設(shè)計，做到規(guī)范、客觀，而且保持前后使用的一致性。盡早、定期且全面的測試能夠顯著提高系統(tǒng)質(zhì)量。良好的測試甚至要求在編程之前就開始進行相應(yīng)的測試工作，此時可以采用走查法（walkthrough）來進行。這種方法針對具體測試目的，精心挑選出一組具有所需技能的人員，對系統(tǒng)開發(fā)說明書和設(shè)計文檔進行演示審閱。開始編程后，代碼走查法同樣可以用來對程序代碼進行演示。但是，代碼必須通過計算機運行來測試。當(dāng)發(fā)現(xiàn)錯誤時，通過調(diào)試（debugging）過程來發(fā)現(xiàn)并消除錯誤源。難度系數(shù): 2 86) 黑客和他們的伙伴病毒是一個不斷嚴(yán)重的問題，尤其是在互聯(lián)網(wǎng)上。一個公司保護自己免受這些困擾的最重要的措施有什么？徹底的保護可行嗎？為什么？參考答案: 為了保護自己，公司必須構(gòu)建良好的安全措施，這包括防火墻，調(diào)查人員，物理和軟件安全和控制，防病毒軟件，和內(nèi)部教育措施。而這些措施最好在做系統(tǒng)設(shè)計的時候就應(yīng)該到位并且格外關(guān)注。一個謹(jǐn)慎的公司將部署災(zāi)害保護措施，頻繁更新安全軟件，并經(jīng)常審計的所有安全措施和公司的所有數(shù)據(jù)?？紤]到時間和費用，徹底的保護可能不可行，但風(fēng)險分析可以洞察到哪些領(lǐng)域是最重要的和脆弱的。這些都是需要優(yōu)先保護的領(lǐng)域。難度系數(shù): 2 87) 您剛剛被聘為megamalls公司的安全顧問，這是一家覆蓋全國的零售商場連鎖。您需要確保其信息系統(tǒng)的安全達標(biāo)。概述你將采取的步驟來實現(xiàn)這一目標(biāo)。 參考答案: 1. 確定哪些數(shù)據(jù)和流程對公司是重要的和必不可少的。確定哪些外部和內(nèi)部信息對公司不同崗位和級別的員工至關(guān)重要。 2. 進行管理信息系統(tǒng)審計，進行安全審計，建立風(fēng)險評估分析。3. 確定根據(jù)法律/政府/行業(yè)規(guī)定需要遵守的標(biāo)準(zhǔn)和相關(guān)的國際標(biāo)準(zhǔn)。 4. 進行業(yè)務(wù)影響分析，確定災(zāi)難恢復(fù)計劃和業(yè)務(wù)連續(xù)性計劃。5. 創(chuàng)建一個安全策略，它包括可接受的使用策略、授權(quán)策略和流程的安全策略。 6. 必要的變更管理計劃。 7. 確定如何衡量你的安全策略的成功與否，并創(chuàng)立相應(yīng)的衡量指標(biāo)和手段。 8. 執(zhí)行這些政策。9. 測量和評估這些安全政策的有效性，并作出必要的調(diào)整。 難度系數(shù): 3 88) 什么是數(shù)字證書？它是如