管理信息系统习题集-第8章-中文(共18页)

管理信息系统第13版 (Laudon/Laudon)第8章 信息系统安全单项选择题1) 下载驱动（drive-by download）是一种被黑客用来在无线网络上获取文件的技术。参考答案: FALSE难度系数: 1 2) 通过调制解调器或者数字专线DSL与因特网固定连接的计算机比用拨号服务连接的计算机更容易被外来者入侵。参考答案: TRUE难度系数: 2 3) 无线网络很容易受到攻击因为无线频率的波段很容易被监测到。参考答案: TRUE难度系数: 2 4) 针对移动设备的恶意软件尚未像针对传统计算机的恶意软件那样广泛。参考答案: TRUE难度系数: 3 5) 特洛伊木马（Trojan horse）是一种软件程序，它看似良性但是会做出一些意想不到的事情。参考答案: TRUE难度系数: 1 6) 病毒可以通过电子邮件进行传播。参考答案: TRUE难度系数: 1 7) 计算机蠕虫比计算机病毒传播得更快。参考答案: TRUE难度系数: 2 8) 电子欺骗（spoofing）指通过把欺骗网站伪装成目的网站，从而把网页链接误导入另一个与用户实际希望访问的网站不同的地址。参考答案: TRUE难度系数: 2 9) 嗅探器程序使黑客能够从网络中任何地方盗取有价值的私有信息，包括电子邮件消息、公司文件和机密报告等。 参考答案: TRUE难度系数: 2 10) 拒绝服务（DoS）攻击是用来摧毁信息和企业信息系统的限制访问区域。参考答案: FALSE难度系数: 2 11) 通过走查法（walkthrough），黑客可以轻松绕过信息系统的安全控制。参考答案: FALSE难度系数: 2 12) 较大的程序无法实现零缺陷。根本不可能对软件进行完整测试。如果对包含数以千计的选择代码和数以百万计的执行路径的程序进行充分测试，耗时可能需要多达数千年。参考答案: TRUE难度系数: 2 13) 可接受使用策略（AUP）为不同用户定义访问信息资产的可接受等级。参考答案: FALSE难度系数: 2 14) 生物身份认证（biometric authentication）系统使用如视网膜图像等个人身体特征来提供身份识别。 参考答案: TRUE难度系数: 1 15) 包过滤捕获绝大部分种类的网络攻击。参考答案: FALSE难度系数: 2 16) 网络地址转换（NAT）通过将组织内部主机的IP地址隐藏起来，以防止防火墙外面的嗅探器程序。参考答案: TRUE难度系数: 2 17) 安全套接层协议SSL（Secure Sockets Layer）可以用来在两台计算机之间建立安全连接。参考答案: TRUE难度系数: 2 18) 公钥加密使用两个密钥。 参考答案: TRUE难度系数: 2 19) 高可靠计算也被称为容错计算。参考答案: FALSE难度系数: 2 20) 非授权的访问是一种安全威胁，它最有可能发生在网络客户端电脑。参考答案: TRUE难度系数: 2 21) _指用来防止对信息系统非授权的访问、更改、盗窃或者物理损害的政策、步骤和技术措施。 A) 安全B) 控制C) 基准D) 算法参考答案: A难度系数: 2 22) _是确保组织资产安全的方法、政策和组织流程，要求对资产记录要准确、可靠，对其处置符合管理标准。A) 遗留系统B) SSID标准C) 漏洞D) 控制参考答案: D难度系数: 2 23) 以下哪种不是针对无线网络安全的挑战？A) 服务集标识（SSID）广播B) 无线频率的波段容易被监测C) SQL注入攻击D) 无线信号的地理范围参考答案: C难度系数: 1 24) 电子数据更加容易受到例如毁坏，欺诈，错误以及滥用等安全威胁，这是因为信息系统将数据集中存放在计算机文件中，而且A) 这些文件常常跟企业遗留系统绑定在一起导致很难访问，在出错的时候也很难纠正。B) 这些文件因为在创建的时候保障安全的技术尚不存在，所以是不安全的。C) 这些文件有可能被大量的组织以外的人和群体访问。 D) 这些文件常常可以在互联网上获得。 参考答案: C难度系数: 2 25) 以下的方法可以保障软件质量，除了:A) 系统分析 B) 走查法C) 软件测试D) 企业内部系统参考答案: A难度系数: 3 26) 窃听是一种安全挑战，它常常发生在企业网络的哪个环节？A) 客户端电脑 B) 通讯线路C) 企业服务器 D) 企业内部系统参考答案: B难度系数: 2 27) 利用一些编程很差的Web应用软件的漏洞将恶意程序代码引入到企业的系统和网络中，这种行为被称为:A) 特洛伊木马B) SQL注入攻击C) 按键记录D) 分布式拒绝服务攻击参考答案: B难度系数: 2 28) 互联网带来了一些特有的安全问题，这是因为:A) 它的设计使得其易于被访问 B) 它的数据不在安全线路上传输 C) 它的标准全球通用 D) 它的变化非常迅速参考答案: A难度系数: 2 29) 以下哪个关于互联网安全的陈述是不正确的？A) 使用对等P2P网络可能把企业计算机上的信息向外界泄露B) 不提供互联网连接的公司网络比提供互联网连接的公司网络更加安全C) VoIP（由公用因特网传输IP语音）比语音交换网络更加安全D) 即时信息活动可以被黑客用做进入一些原本安全的网络的后门参考答案: C难度系数: 2 30) 一种独立的计算机程序，可以在网络上将自己从一台计算机拷贝到另一台计算机，它是:A) 蠕虫B) 特洛伊木马C) 软件缺陷D) 害虫参考答案: A难度系数: 2 31) 某个销售人员重复点击其竞争者的在线广告以提高其广告成本。这是一个什么例子？ A) 网络钓鱼B) 网络嫁接C) 电子欺骗D) 点击欺诈参考答案: D难度系数: 2 32) 在2004年，ICQ用户们被来自某个被认为是防病毒商家的促销信息所引诱。在这个商家的网站上，一个叫做Mitglieder的程序被下载到了客户的机器中。这个程序使得外人可以渗透进用户的机器。这是一个什么例子？A) 特洛伊木马B) 病毒C) 蠕虫D) 间谍软件参考答案: A难度系数: 2 33) 重定向一个网络链接到另一个不同的地址是一种什么行为？A) 窥探行为B) 电子欺骗行为C) 嗅探行为D) 接入点映射行为参考答案: B难度系数: 2 34) 按键记录器是一种A) 蠕虫B) 特洛伊木马C) 病毒D) 间谍软件参考答案: D难度系数: 1 35) 黑客通过以下方式组建僵尸网A) 使用恶意软件感染Web搜索机器人B) 使用Web搜索机器人感染其它计算机C) 通过一个主计算机使得他人的计算机成为“僵尸”计算机D) 让企业服务器感染上“僵尸”特洛伊木马从而允许通过后门进行的访问无法被检测参考答案: C难度系数: 2 36) 使用许许多多的计算机从无数的发射点来淹没网络被成为_ 攻击。A) 分布式拒绝服务攻击（DDoS）B) 拒绝服务攻击（DoS）C) SQL注入攻击D) 网络钓鱼参考答案: A难度系数: 2 37) 以下哪一项不是针对计算机进行犯罪的例子？A) 故意访问受保护的计算机以实施欺诈B) 未经授权访问计算机系统C) 非法访问存储电子通信D) 对受保护的计算机造成损害的威胁参考答案: C难度系数: 2 38) 以下哪一项不是计算机用作犯罪工具的例子？ A) 窃取商业机密B) 有意尝试拦截电子通信C) 软件未经授权的复制D) 泄漏保密性的受保护的计算机数据参考答案: D难度系数: 2 39) 互联网安全公司在2012年发现了大约多少种在恶意软件中检测到的新出现的威胁？A) 40万B) 400万 C) 4000万D) 4亿参考答案: A难度系数: 2 参考答案似乎是D，题目似乎需要改为2011年 根据教材P232页40) 以下哪个是网络钓鱼的例子？A) 设置伪造的Wi-Fi热点 B) 建立一个虚假的医疗网站，要求用户提供机密信息。C) 伪装成公共事业公司的员工以获取这个公司安全系统的信息。D) 以虚假的借口发送大量电子邮件，请求资助。参考答案: B难度系数: 2 41) 邪恶双胞（evil twins）是A) 用户看起来是合法的商业软件应用程序的木马程序。B) 模仿合法业务的电子邮件消息的电子邮件。C) 模仿合法经营网站的欺诈网站。 D) 伪装成提供可信的Wi-Fi因特网连接的无线网络。参考答案: D难度系数: 1 42) 嫁接（pharming）指的是A) 将用户引导到一个欺骗网页，即便用户在其使用的浏览器中输入了正确的网址。 B) 冒充合法企业的代表以搜集其安全系统的信息。 C) 设置假网站，询问用户机密信息。 D) 使用电子邮件进行威胁或骚扰。 参考答案: A难度系数: 2 43) 您被聘为法律公司的安全顾问。下列哪一构成对该公司安全威胁最大的来源？ A) 无线网络B) 公司员工C) 认证程序D) 缺乏数据加密参考答案: B难度系数: 2 44)冒充一个公司的合法成员欺骗员工透露他们的密码被称为A) 网络监听B) 社交工程C) 网络钓鱼D) 网址嫁接参考答案: B难度系数: 1 45) 软件供应商在软件发布后如何纠正其软件缺陷？A) 发布错误修补器B) 发布补丁C) 重新发布软件D) 发布升级版本参考答案: B难度系数: 2 46) HIPAA法案A) 要求金融机构保证客户数据的安全。 B) 指定信息系统安全和控制的最佳实践。C) 对公司和管理层施加责任以保障财务信息的准确性。D) 概述医疗安全和隐私规则。 参考答案: D难度系数: 2 47) Gramm-Leach-Bliley法案A) 规定金融机构要确保客户数据安全保密。B) 指定信息系统安全和控制的最佳实践。C) 对公司和管理层施加责任以保障财务信息的准确性。D) 概述医疗安全和隐私规则。参考答案: A难度系数: 3 48) 萨班斯-奥克斯利（Sarbanes-Oxley）法案A) 规定金融机构要确保客户数据安全保密。B) 指定信息系统安全和控制的最佳实践。C) 对公司和管理层施加责任以保障财务信息的准确性。D) 概述医疗安全和隐私规则。参考答案: C难度系数: 2 49) 最常见的电子证据类型是A) 语音邮件B) 电子表格C) 即时消息D) 电子邮件参考答案: D难度系数: 2 50) 留存在计算机存储介质中对一般用户不可见的电子证据被称为_数据。 A) 碎片化B) 环境C) 法庭D) 片断参考答案: B难度系数: 2 51) 应用软件控制A) 可以分为输入控制、过程控制和输出控制。B) 管理计算机程序的设计、安全和使用，以及在整个组织中的数据文件的安全性。C) 适用于所有的电脑应用，包括硬件，软件和手动程序，目的是创造一个整体的控制环境。D) 包括软件控制，计算机操作控制和实施控制。 参考答案: A难度系数: 2 52) _控制确保存储在磁盘或磁带上的具有商业价值的数据文件在使用或储存期间不受未经授权的访问，改变或破坏。A) 软件 B) 行政 C) 数据安全 D) 实施 参考答案: C难度系数: 3 53) 针对信息系统安全事件发生的可能性及其成本的分析是A) 安全措施B) 可接受使用策略（AUP）C) 风险评估D) 业务影响分析参考答案: C难度系数: 2 54) 一个_系统用于识别和授权不同类别的系统用户，并且指定每个用户允许访问的系统或系统功能。A) 身份管理B) 可接受使用策略（AUP）C) 认证D) 防火墙参考答案: A难度系数: 1 55) 下列哪一个不是主要的防火墙筛选技术？A) 应用代理过滤B) 静态包过滤C) 网络地址转换（NAT）D) 安全套接字过滤参考答案: D难度系数: 2 56) 严格的密码系统A) 是最有效的安全工具之一。B) 可能会阻碍员工生产力。C) 实施成本高昂。D) 经常被员工忽视。参考答案: B难度系数: 2 57) 身份验证令牌是A) 包含访问权限数据的信用卡大小的设备 B) 智能卡的一种 C) 显示密码的小工具 D) 附着于数字授权文件的电子标记 参考答案: C难度系数: 2 58) 下列哪一个不是生物身份认证系统用以分析的特征？A) 视网膜图像B) 声音C) 头发颜色D) 面部参考答案: C难度系数: 1 59) 防火墙可以允许组织A) 防止未授权的传入和传出的网络流量。B) 监控网络热点的入侵者。C) 阻止已知的间谍软件和恶意软件进入系统。D) 上述所有。参考答案: A难度系数: 2 60) 在以下哪些技术中有针对网络通信的分析，以确定数据包是否是一个发送端和接收端之间正在进行的会话的一部分？ A) 状态检测B) 入侵检测系统C) 应用代理过滤D) 包过虑参考答案: A难度系数: 3 61) 下列哪一项是员工对组织的信息系统构成的最大威胁？A) 忘记密码B) 知识缺乏C) 数据录入错误D) 引进软件错误参考答案: B难度系数: 2 62) 目前，在互联网上使用的安全信息传输协议有A) TCP/IP和SSL.B) S-HTTP和CA.C) HTTP和TCP/IP.D) SSL, TLS和S-HTTP.参考答案: D难度系数: 1 63) 大部分防病毒软件可以有效防止A) 只有那些通过互联网和电子邮件传播的病毒。B) 任何病毒。C) 除了无线通信应用外的任何病毒。D) 只针对编写程序时已知的恶意软件。 参考答案: D难度系数: 2 64) 下面哪一种加密方法是将一个单一的加密密钥发送给接收者，所以发送者和接收者共享相同的密钥？A) 安全套接层协议（SSL）B) 对称密钥加密C) 公钥加密D) 私钥加密参考答案: B难度系数: 2 65) 数字证书系统A) 利用第三方机构来验证用户身份的合法性。B) 利用数字签名来验证用户身份的合法性。 C) 利用令牌来验证用户身份的合法性。 D) 主要被个人用来做通信往来参考答案: A难度系数: 2 66) 宕机时间指的是这样一段时间A) 计算机系统失灵。B) 计算机系统不能正常运行。C) 企业或组织不能正常运行。D) 计算机不在线。参考答案: B难度系数: 2 67) 为了保证100%的可靠性，在线事务处理需要A) 大容量存储器。B) 多层服务器网络。C) 容错计算机系统。D) 专用电话线。参考答案: C难度系数: 1 68) 为了控制网络流量减少网络拥塞，一项_技术用于检查数据文件，并将权限较低的在线文件分拣出来。A) 高可靠计算B) 深度包检测C) 应用代理过滤D) 状态检测参考答案: B难度系数: 3 69) 使计算机系统在出现灾难性事件后能够更迅速的恢复的方法和途径被称为A) 高可用性计算。B) 面向恢复计算。C) 容错计算。D) 灾难恢复计划。参考答案: B难度系数: 2 70) 小公司可以将许多系统安全的职能外包给A) ISPs.B) MISs.C) MSSPs.D) CAs.参考答案: C难度系数: 2 填空题71) 窃听者在外面的建筑物或者公园里进行操纵，以拦截无线网络的流量的入侵方式被称为_.参考答案: 驾驶攻击（war driving）难度系数: 2 72) 含有恶意代码的软件称为_，它包含了各种形式的威胁，如计算机病毒、蠕虫和特洛伊木马。参考答案: 恶意软件（malware）难度系数: 1 73) _是一种冒名获得个人关键信息如社保号、驾照号、信用卡号等，以假冒他人的犯罪。参考答案: 身份盗用（identity theft）难度系数: 1 74) _是指对存储在计算机介质或从计算机介质中提取到的数据进行科学收集、审查、授权、保存和分析，使其可以在法律诉讼中作为证据使用。 参考答案: 计算机取证（computer forensics）难度系数: 2 75) _指故意中断、毁坏，甚至摧毁一个网站或企业信息系统的行为。 参考答案: 恶意网络破坏行为（cybervandalism）难度系数: 3 76) _对企业的总体安全环境以及针对单个信息系统的控制措施进行检查。 参考答案: 信息系统审计（MIS audit）难度系数: 2 77) _是指能够分辨一个人所声称的身份的能力。 参考答案: 身份认证（authentication）难度系数: 2 78) 安全产品供应商把各种安全工具合并成一个单一的工具包。这些安全工具包括防火墙、虚拟专用网络、入侵检测系统、网页内容过滤和反垃圾邮件软件等。这种集成的安全管理产品称为_ 。 参考答案: 一体化威胁管理（UTM）系统难度系数: 3 79) 公钥加密基础设施（PKI）是将公钥加密技术和_组合起来使用。 参考答案: 数字认证中心（certificate authority）难度系数: 2 80) 当发现错误时，通过_过程来发现并消除错误源。 参考答案: 调试（debugging）难度系数: 1 问答题81) 讨论互联网上的安全问题，因为这个问题适用于全球性的企业。列举至少五种互联网安全挑战。 参考答案: 像因特网这样的大型公用网络，因为对所有人开放，会比内部网络更加易受攻击。因特网如此巨大，以致当滥用发生时会产生四处蔓延的巨大影响。当因特网成为企业网络的一部分，组织的信息系统更容易受到外来者侵入。 通过调制解调器或者数字专线DSL与因特网固定连接的计算机更容易被外来者入侵，因为它们使用固定的因特网地址以便易于识别。如果用拨号服务，每次连接分配一个临时的因特网地址。固定的因特网地址为黑客提供了固定的攻击目标。为了从电子商务，供应链管理，和其他数字业务流程中获益，企业需要对外开放，如客户，供应商和贸易伙伴。企业系统必须在组织外部进行扩展，使员工可以使用无线和其他移动计算设备来访问他们。这就需要一个新的安全文化和基础架构，允许企业扩展其安全政策，包括供应商和其他业务伙伴的安全保障措施。难度系数: 2 82) 一个公司的安全政策如何为六大主要业务目标做出贡献？请举例说明。 参考答案: 1.卓越运营: 安全政策对企业卓越经营至关重要。一个公司的日常交易可以被网络犯罪如黑客严重破坏。一个公司的效率依赖于精确的数据。此外，信息资产具有巨大的价值，如果他们被丢失，被破坏，或者被坏人所掌控，后果将是毁灭性的。2.新产品，服务，商业模式: 安全政策保护公司的新产品和服务创意，而这些可能被竞争对手窃取。此外，增强的安全性，在客户的眼中也可以作为产品差异化的一种方式。3.客户和供应商关系: 如果用户输入个人数据到您的信息系统，例如，输入信用卡信息到您的电子商务网站，那么客户的信息就依赖于您的系统安全性。您收到的来自客户和供应商的信息则直接影响到您是如何定制您的产品，服务，或与他们沟通。4.改进决策: 安全的系统将数据的准确性作为其优先级，而良好的决策也依赖于准确和及时的数据。丢失和不准确的数据将会导致错误的决策。5.竞争优势: 你的公司拥有比其它公司更高的安全性的特征，在其它方面都均等的情况下，将使你的公司更有吸引力。此外，改进的决策，新产品和服务，这也受到系统安全的影响（见上文），将有助于提升一个公司的竞争优势。强大的安全性和控制能力也提高了员工的工作效率和更低的运营成本。 6.生存: 新的法律和法规迫使企业将安全系统保持最新成为企业的生存问题。安全和控制不充分可能导致严重的法律责任。企业有可能因为安全政策上的错误而被彻底摧毁。难度系数: 3 83)系统建设者和用户的三项主要关注点是灾难，安全和人为错误。在这三项之中，你认为最难对付的是什么？为什么？参考答案: 学生的参考答案会有所不同。参考参考答案包括: 灾难可能是最难对付的，因为它是意想不到的，影响广泛的，而且经常会危及生命。此外，公司不知道其灾难计划是否会在灾难发生时产生效果，而那时再作更正也为时太晚。安全可能是最困难的，因为它是一个正在进行的问题，新病毒的设计不断，黑客变得更加狡猾。此外，系统安全措施也无法排除由受信任的员工从内部进行的破坏。人为错误可能是最困难的，因为被抓到时常常为时已晚，而且后果可能是灾难性的。此外，在公司内部，行政错误可以发生在任何级别，并通过任何操作或程序发生。难度系数: 2 84) 无线网络面临的安全挑战是什么？参考答案: 无线网络容易受到攻击，因为无线频率的波段很容易被监测到。蓝牙和Wi-Fi网络都容易受非法偷听者的入侵。使用802.11标准的局域网（LAN）也可以被外部入侵者通过手提电脑、无线网卡、外置天线和黑客软件轻易地侵入。黑客使用这些软件来发现没有防护的网络、监视网络流量，在某些情况下还能够进入因特网或企业网络。Wi-Fi传输技术使得一个基站能够很容易找到并接听另一个基站。Wi-Fi网络中识别访问点的服务集标识SSID（service set identifier）多次广播，能够很容易地被入侵者的监听程序窃取。很多地区的无线网络没有基本的保护来抵御驾驶攻击（war driving）。这种入侵方式，窃听者在外面的建筑物或者公园里进行操纵，以拦截无线网络的流量。与一个接入点关联起来的入侵者通过使用正确的SSID就能够访问网络上其它资源。例如，入侵者可以使用Windows操作系统来确定还有哪些其他用户连接到网络，然后进入他们的计算机硬盘驱动区，打开或复制他们的文件。入侵者还会使用另一个不同的无线频道设置欺诈接点来收集的信息。该欺诈接点的物理位置与用户靠近，这样强行使用户的无线网络接口控制器NIC（network interface controller）与该接点关联起来。一旦关联成功，黑客就可以通过欺诈接点捕获不知情的用户的用户名和密码。难度系数: 3 85) 为什么软件质量对安全很重要？一个组织能够采取哪些具体措施来保证软件质量？ 参考答案: 软件错误对信息系统是一种常见的威胁，它会造成无法估量的损失。软件的复杂性日益增加，规模不断扩大，再加上市场需求的即时性，是造成软件缺陷或漏洞不断增加的原因。软件的一个重大问题是存在着隐藏的bug或程序代码缺陷。研究表明，从大型程序中消除所有的Bug几乎不可能。商业软件的缺陷不仅降低其性能，也造成安全漏洞给网络入侵者有可乘之机。为了修复发现的软件缺陷，供应商会编写出称为补丁（patch）的缺陷修复小程序而不会影响软件的正常运行。 组织必须尽力确保购买的软件是最新的，并尽可能确保他们自己的软件和程序通过采用软件度量和严格的软件测试来防止程序缺陷。持续进行软件度量能够让信息系统部门和终端用户共同来测量系统的性能，并及时发现所产生的问题。例如，度量指标可能包括在一个特定时间单位内能被处理的事务数量、在线响应时间、每小时打印的工资支票数量，以及每百行程序代码发现的错误（bug）数量等。要成功应用软件度量方法，对各项指标需要认真设计，做到规范、客观，而且保持前后使用的一致性。尽早、定期且全面的测试能够显著提高系统质量。良好的测试甚至要求在编程之前就开始进行相应的测试工作，此时可以采用走查法（walkthrough）来进行。这种方法针对具体测试目的，精心挑选出一组具有所需技能的人员，对系统开发说明书和设计文档进行演示审阅。开始编程后，代码走查法同样可以用来对程序代码进行演示。但是，代码必须通过计算机运行来测试。当发现错误时，通过调试（debugging）过程来发现并消除错误源。难度系数: 2 86) 黑客和他们的伙伴病毒是一个不断严重的问题，尤其是在互联网上。一个公司保护自己免受这些困扰的最重要的措施有什么？彻底的保护可行吗？为什么？参考答案: 为了保护自己，公司必须构建良好的安全措施，这包括防火墙，调查人员，物理和软件安全和控制，防病毒软件，和内部教育措施。而这些措施最好在做系统设计的时候就应该到位并且格外关注。一个谨慎的公司将部署灾害保护措施，频繁更新安全软件，并经常审计的所有安全措施和公司的所有数据。考虑到时间和费用，彻底的保护可能不可行，但风险分析可以洞察到哪些领域是最重要的和脆弱的。这些都是需要优先保护的领域。难度系数: 2 87) 您刚刚被聘为megamalls公司的安全顾问，这是一家覆盖全国的零售商场连锁。您需要确保其信息系统的安全达标。概述你将采取的步骤来实现这一目标。 参考答案: 1. 确定哪些数据和流程对公司是重要的和必不可少的。确定哪些外部和内部信息对公司不同岗位和级别的员工至关重要。 2. 进行管理信息系统审计，进行安全审计，建立风险评估分析。3. 确定根据法律/政府/行业规定需要遵守的标准和相关的国际标准。 4. 进行业务影响分析，确定灾难恢复计划和业务连续性计划。5. 创建一个安全策略，它包括可接受的使用策略、授权策略和流程的安全策略。 6. 必要的变更管理计划。 7. 确定如何衡量你的安全策略的成功与否，并创立相应的衡量指标和手段。 8. 执行这些政策。9. 测量和评估这些安全政策的有效性，并作出必要的调整。 难度系数: 3 88) 什么是数字证书？它是如何工作的？ 参考答案: 数字证书（digital certificate）是为了保护在线交易，用来辨别用户身份和电子资产的一种数据文件。数字证书系统利用可信赖的第三方机构，称为认证中心（CA，certification authority），来验证用户身份的合法性。CA离线核查数字证书以验证用户的身份。数字证书信息输入CA服务器后，CA服务器会产生一个加密的数字证书，其中包括证书持有者的身份信息和一份持有者的公钥的拷贝。CA对此公钥是否属于所鉴定的持有者作出认证。CA的公钥以纸质形式或者在因特网上向社会公众公布。加密信息的接收者利用CA的公钥来破解接受到的信息中的数字证书，并核实信息是否是由CA所发出，然后获取发送者的公钥和包含在证书中的身份信息。利用这些信息，接收者就可以发送加密回复。例如，数字认证系统可以使信用卡用户和商家在交换数据前，验证他们的数字证书是否是由权威且可信的第三方机构所颁发。公钥加密技术的应用以及数字认证中心CA，构成了公钥加密体系，或称之为公钥加密基础设施（public key infrastructure，PKI），目前在电子商务中得到了广泛应用。难度系数: 2 89) 定义容错计算机系统和高可靠计算系统。他们有何不同？分别在什么场合下使用？参考答案: 两者都需要使用备份的硬件资源。容错计算机系统中包含冗余的内存芯片、处理器和磁盘存储设备，这些可以支持系统并保持它运行，以防止系统故障。高可靠计算强调帮助企业尽快从系统崩溃中恢复。高可靠计算需要后备服务器、跨多个服务器的分布式处理、大容量存储以及良好的故障恢复计划和业务持续计划。二者主要区别在于容错计算系统不会崩溃，而高可靠计算系统可能崩溃，但它会尽快从系统崩溃中恢复。 如果公司需要一个技术平台以保证百分之百，24小时系统的可用性，那么需要使用容错计算机系统。对于要进行大量电子商务处理的企业或是依赖数字网络进行内部运作的企业来说，高可靠计算环境是最低的要求。难度系数: 2 90) 企业的信息系统和数据的安全性如何受到人、组织和技术这几个维度的影响？这些维度是否存在某一个的贡献比另一个更大？为什么？参考答案: 保护信息系统的技术要点有:防火墙、认证、加密、防病毒保护等。如果没有正确地部署技术，就根本谈不上安全。在存在贪污、内部欺诈，错误，和没有严格执行的安全政策下，公司的雇员是其安全的最大威胁。组织可能成为最重要的维度，因为这是决定企业的业务流程和政策的决定性因素。通过强调安全系统的智能设计，安全技术的正确使用以及安全流程的可用性，企业的信息政策可以提高其安全性。难度系数: 3