国际注册内部审计师

• 第1页：Web基础设施

• 第2页：典型试题

E18　Web基础设施

18.1 About Internet
因特网概述
因特网是计算机网络发展的划时代结果，利用因特网，任何人均可以使用网络浏览器（web browser）来浏览互联网上的超文本文件等各种信息。因特网为人们提供了几乎是无穷无尽的信息资源，但与此同时，如何在如此众多的信息中找到最好的信息源也成了使用因特网的最大困难
因特网除了能提供各类信息外，还为人们的交流提供了各种手段和场所，如电子邮件（E-mail）、远程登录（telnet）、文件传输（FtP）、万维网（WWW）、专题论坛（usenet）、电子公告牌（BBS）等。
专题论坛（usenet）是用户可以张贴问题，并由其他专家用户回答问题的专题小组。
电子公告牌（BBS）是一种计算机系统，具有特殊兴趣的小组可以在BBS上发布和阅读信息，进行交流。
内联网（Intranet）和外联网（Extranet）：内联网是企业基于因特网技术建立的面向其内部职员的网络，企业职员可以通过内联网远程访问公司内部网络；外联网则将服务对象扩展到了企业的合作伙伴（客户、供应商、各类机构）。显然，无论是内联网还是外联网都需有设置适当的访问控制措施以防止用户滥用网络资源。
18.2 Internet Basics
因特网基础
因特网的网络架构
因特网的基础是一个由主干网、次级网和园区网构成的覆盖全球的通信网络。
主干网：由代表国家或者行业的有限个中心结点通过专线连接形成，覆盖到国家一级；连接各个国家的因特网互联中心（如中国互联网信息中心CNNIC）。主干网节点之间通过主干线路连接，主干线路通常由长途电话公司或政府管理。
次级网（区域网）：若干个作为中心结点代理的次中心结点组成。次中心节点之间通过区域性线路连接，通常由区域电话或电信公司经营，这些通信公司将其信道带宽租给因特网服务提供商（ISP）经营。次级网和主干网之间的连接点称为网络接入点（NAPs）。
园区网（校园网、企业网）：直接面向用户的网络（最后一公里），常见的连接手段有入户光纤、有线电视、DSL及电话拨号等。
与因特网的基础通信网络不同，因特网（资源网）本身是一个松散的网络，它既不属于任何组织，也不被任何机构所管理。正因为如此，有些国家严格控制甚至完全禁止其国民使用因特网。
因特网的工作原理：
因特网采用TCP/IP协议簇作为其通信协议。 TCP（传输控制协议）和IP（网间传输协议）是其中的两个核心协议。
TCP/IP协议中用于唯一确定网络节点地址的是IP地址，IP V4（版本4）地址由32位二进制（4个字节）组成，通常用4个十进制来表示，如：202.119.2.199
由于IP地址难于理解和记忆，采用了一套有助于记忆的符号化“域名地址”来表示网络节点，域名也采用层次命名结构：域.子域（.子域（.子域）），体现了一种隶属关系.如：
seu.edu.cn中国.教育科研网.东南大学
域名管理系统（DNS）负责域名和IP地址之间的转换。
因特网上的节点可分为服务节点（服务器）和访问节点（终端），访问节点也称为网络终端或浏览器终端，服务节点则可能是运行各种操作系统和应用服务的设备。
一个服务节点可以提供多种服务，通过服务端口号来区分，可以为每个服务端口号赋予一个名称，多数著名的服务均有默认的端口号和名称，如：WWW（万维网）的默认端口号为80。
因特网术语：
HTTP／HTTPS（超文本传输协议／安全的超文本传输协议）：实现因特网消息格式化和传输的标准协议，其中HTTPS是其加密版本。
IP地址/域名：唯一标识因特网上设备的数字似符号化地址。
域名管理系统（DNS）：负责域名和IP地址之间转换的层次化服务系统。
URL（统一资源定位符）：唯一地表示因特网上的任一资源，由传输协议、域名、服务名、目录路径、文件名和参数构成。例如：http://www..sina.com：80/finance/index.php?id=29 &id=30
FTP（文件传输协议）：TCP／IP协议簇中包含的一种应用层协议，用于通过网络传输各种文件。
Telnet（远程登录协议）：TCP／IP协议簇中包含的一种应用层协议，用于通过网络远程登录主机。
IM（即时消息传递）：一种服务，可通过网络实现文本消息的实时传递。
CGI（通用网关脚本语言）：一种标准的编程语言，服务例程可通过调用它们动态访问服务器上的资源。其它常用的类似语言还有：perl，php，asp
Cookies（小甜饼）：是由Internet站点创建的并存储在本地计算机上的一段文本信息，例如访问站点时的首选项和个人可识别信息等，其作用是简化网页访问过程。
Applets（小应用程序）：浏览器在访问网页时动态从服务器下载并执行的一段小程序，通常由JAVA编写。
SMTP（简单邮件传输协议）：规定怎样将个人计算机连接到Internet的邮件服务器和发送电子邮件的协议。
POP3（邮局协议版本3）：规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的协议。
18.3 E-MAIL Security
电子邮件安全
电子邮件是因特网上应用最广泛的功能之一，随着电子邮件的广泛使用，其安全控制也变得越来越重要。常见的控制措施包括：
公司应该规定雇员不能用电子邮件发送高度敏感或机密的信息。
对敏感电子邮件要进行加密。
限制使用电子邮件软件的种类。
在工作终端上的一些商务电子邮件需要保存以备公司查阅。
保密性电子邮件不能储存在邮件服务器中。
雇员离职后，应保留其电子邮件以备查阅。
在较大的公司，可以在安全程度不等的不同地点由几人同时负责管理电子邮件的安全性。
电子邮件系统的密码可以有效防止电子邮件被其他人随便接触，包括防止有人企图以用户的名义随意访问用户的个人数据。但电子邮件不可能比它赖以运行的计算机环境更安全，当计算机操作系统的安全得不到保障时，电子邮件的密码很容易被绕过。
18.4 Navigator Security
浏览器安全控制
浏览器的安全缺陷是很多攻击的根源。与其它应用程序一样，即使是最新版本的浏览器也会存在各种程序故障，需要通过 补丁包进行升级。一般来说，管理员应该关闭所有不需要的浏览器特性，如动态页面和插件。虽然实现这些特性的编程语言（Active X或JAVA）是在一个受控的环境中运行，不能直接访问系统的其它部分，但这种保护很可能被黑客攻破，因此很多企业规定只允许浏览静态页面。Cookies（小甜饼）是浏览器的另一个特性，它是Web站点在用户计算机中生成的，存放用户登录信息等参数，以便用户再次访问时无需重复输入相关信息。但这也会带来安全隐患，通常应该禁用cookies或只允许在访问可信站点时使用。
弹出窗口（如广告）有可能引入恶意代码，因此也应该阻断。对于外部站点，管理员应该将其安全控制属性设为“高”，在该设置下，管理员需要定义“可信”站点，即允许正常访问的站点，而其它站点则只能在受控方式下浏览或根本禁止访问。
18.5 Service-Oriented Architecture（SOA）
面向服务的体系结构
SOA是目前非常有发展潜力的一种IT体系结构样式，它将应用程序的不同功能单元（称为服务）通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的，它独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在这样的系统中的各种服务可以以一种统一和通用的方式进行交互。
这种具有中立的接口定义（没有强制绑定到特定的实现上）的特征称为服务之间的松耦合。松耦合系统的好处有两点，一点是它的灵活性，另一点是，当组成整个应用程序的每个服务的内部结构和实现逐渐地发生改变时，它能够继续存在。而另一方面，紧耦合意味着应用程序的不同组件之间的接口与其功能和结构是紧密相连的，因而当需要对部分或整个应用程序进行某种形式的更改时，它们就显得非常脆弱。
对松耦合的系统的需要来源于业务应用程序要根据业务的需要变得更加灵活，以适应不断变化的环境，比如经常改变的政策、业务级别、业务重点、合作伙伴关系、行业地位以及其他与业务有关的因素，这些因素甚至会影响业务的性质。这种能够灵活地适应环境变化的业务被称为按需（On demand）业务，在按需业务中，一旦需要，就可以对完成或执行任务的方式进行必要的更改。
SOA可以说是更传统的面向对象的模型的替代模型。面向对象的模型是紧耦合的，而基于SOA的系统虽然并不排除使用面向对象的设计来构建单个服务，但是其整体设计却是面向服务的。
18.6 Web infrastructure
环球网基础设施
WEB基础设施是指构成当今电子商务应用中间层的基础资源——运行在操作系统平台上的网络服务器和应用服务器。如IBM的Websphere Application Server、Oracle的Application Server、BEA的WebLogic等。因为这些资源经常是面向客户的应用，所以它是所有要求具有高性能和可用性的网络应用的公共基础。不良的性能不仅会影响到终端用户的工作效率，也会影响到提供应用的组织的形象。网络基础设施必须得到有效的管理。

相关推荐：国际注册内审师考试《经营分析和信息技术》讲义汇总
新添考试应用：
①资讯订阅，查询最新考试信息②章节习题 海量套题全免费体验！！ 

• 第1页：Web基础设施

• 第2页：典型试题

典型试题
1.能提交专题问题并使其他知情人可以看到和答复的地方是
a.文件搜索程序，如Archie。
b.广域信息服务器。
c.互联网专题论坛，如Usenet group。
d.开放系统互联组织。
『正确答案』C
『解题思路』
a.不正确。文件搜索程序用于在因特网上搜索所需的文件资料。
b.不正确。广域信息服务器可以在因特网上发布信息。
c.正确。互联网专题论坛是一个供人们通过互联网直接交流的场所，在这里可以提出问题，也可回复问题。
d.不正确。开放系统互联组织是旨在推动开放系统发展的国际组织。
2.内部审计师正在复核一项有关电子邮件的新政策，这个政策应包括除了以下哪项以外的所有因素?
a.立即删除已解除雇佣员工的所有电子邮件。
b.通过电话线传输的电子邮件信息应该加密。
C.限制公司采用的电子邮件软件包的种类。
d.规定职员不能用电子邮件发送高度敏感或机密的信息。
『正确答案』a
『解题思路』
a.正确。已解除雇佣员工的电子邮件中很可能包含有用的客户和业务信息，而且这些电子邮件的存在通常不对组织构成风险，因此没有必要立即删除，而应安排专人接手并检查这些邮件。
b.不正确。电话线路很容易被窃听，因此对通过电话线传输电子邮件信息进行加密应包括在政策之内。
C.不正确。限制公司采用的电子邮件软件包的种类有利于邮件的安全管理和互通，应包括在政策之内。
d.不正确。电子邮件在通过公网传送时，很可能受到各种攻击，因此规定职员不能用电子邮件发送高度敏感或机密的信息应包括在政策之内。
3.以下哪种关于电子邮件安全性的说法是正确的?
I.电子邮件不可能比它赖以运行的计算机系统更安全。
II.机密的电子邮件信息应该储存在邮件服务器中，储存时间和纸质文件相等。
III.在大型组织中，可能有若干个不同安全级别的邮件管理员和地点。
a.只有I是对的。
b.只有I和II是对的。
C.只有I和III是对的。
d.只有II和III是对的。
『正确答案』C
『解题思路』
I.正确。如果电子邮件赖以运行的计算机系统不安全，就可以通过系统工具获得电子邮件的内容。
II.不正确。一旦用户将机密的邮件信息下载到PC机后，就不应该再在邮件服务器上保留。
III.正确。在大型组织中，通常会对不同安全级别的邮件分设不同的管理员和地点。
4.以下哪项关于电子邮件安全性的说法是正确的?
a.互联网上的所有信息都被加密，因此能够提供增强的安全性。
b.密码在防止偶然访问其他人的电子邮件时很有效。
c.如果没有事先对安全控制记录解密，那么即使具有访问包含电子邮件信息的文件服务器的管理级权限的人员也不能接触包含电子邮件信息的文件。
d.自主访问控制策略不需要密码。
『正确答案』b
『解题思路』
a.不正确。互联网上的信息并未自动加密，包括电子邮件信息。
b.正确。对设置了密码的电子邮件，必须输入正确的密码信息才能阅读邮件，因此可以防止对邮件的偶然访问。
c.不正确。具有文件服务器管理权限（一般控制）的人员完全有可能绕过电子邮件的安全控制（应用控制），通过直接阅读邮件文件的方式来获得邮件内容。
d.不正确。自主访问控制策略需要对用户身份进行鉴别，而口令是身份鉴别的主要手段
利用一下信息回答5—8题：
某拥有数百家百货商店的企业有一个网络，各商店利用该网络将销售数据传送给总部。该网络同时也被用于：
供应商提交再订货单。
商店向总部传达专项订单。
区域销售中心向商店传送发货和货物脱销信息。
总公司办公室分发培训资料。
商店、区域销售中心和总公司员工共享所有他们认为有用的信息。
为了适应大量数据传送，大型商店拥有他们自己的卫星收发站。小型商店则使用租用线路。
5.信息系统和审计主管均认为需要确保传输信息和数据的安全性和完整性，那么确保卫星传输保密性的最佳手段是
a.加密。
b.访问控制。
c.监控软件。
d.循环冗余检验。
『正确答案』a
『解题思路』
a.正确。对传输信息进行加密可以确保其在传输过程中不能被非法窃取。
b.不正确。访问控制可防止对系统资源的非授权访问。
c.不正确。监控软件用于检测系统的运行状态。
d.不正确。循环冗余检验可用于保证传输数据的完整性，但不能保证其保密性。
6.将纸质文件转换成计算机文件需要何种技术?
a.光学字符识别（OCR）。
b.电子数据交换（EDI）。
c.条码扫描。
d.连接和合并。
『正确答案』a
『解题思路』
a.正确。光电字符识别（OCR）软件在扫描设备读取纸质文档的图像时，将其转换成文本格式的计算机文件。
b.不正确。电子数据交换（EDI）只能用来交换电子数据。
c.不正确。条码扫描只能阅读符合标准的条形码。
d.不正确。连接和合并是一种数据库的数据检索技术。
7.信息系统和审计主管同时认为，维护存放库存数据的系统的完整性对于向商店分发准确的产品数量至关重要。确保其应用软件完整性的最佳方法是通过
a.在接收部门的终端实施访问控制。
b.货物收发的审计线索。
c.存货软件的变动控制。
d.网络监控软件。
『正确答案』c
『解题思路』
a。不正确。在接收部门的终端实施访问控制可以防止对终端的非授权访问，但不能保证应用软件的完整性。
b.不正确。存货收发的审计线索可以保留货物收发的历史记录，但不能保证应用软件的完整性。
c.正确。变动控制程序用于保证应用程序不能被非授权修改，对确保应用软件完整性有很大作用。
d.不正确。网路监控软件检测网络的运行状况，对应用软件的完整性没有任何帮助。
8.为了增强应用软件的安全性，内部审计主管建议程序员应该配置无盘工作站。无盘工作站可以增强安全性是因为
a.使盗窃应用程序更加困难。
B减少工作站的维护费用。
C可以实施更为严格的访问控制。
d.促进程序员更紧密地协同工作。
『正确答案』a
『解题思路』
a.正确。无盘工作站运行从服务器上下载的程序，本地不保存任何程序，因此想通过无盘工作站非法拷贝应用程序会更困难。
b.不正确，减少工作站的维护费用与安全性无关。
c.不正确。对程序员而言，通过有盘或者是无盘工作站可实现的访问控制手段是相同的。
d.不正确。无盘工作站确实可以促进程序员更加紧密地协同工作，但这不一定导致应用软件安全性的增强。

相关推荐：国际注册内审师考试《经营分析和信息技术》讲义汇总
新添考试应用：
①资讯订阅，查询最新考试信息②章节习题 海量套题全免费体验！！ 

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页