国际注册内部审计师

　　在数据库系统中，数据锁定功能使得交易对其完成所需的全部数据拥有控制权，从而保证了数据的完整性。但是，数据锁定程序也可能导致：
　　A、数据处理不一致。
　　B、回滚失败。
　　C、交易无法恢复。
　　D、死锁。
　　答案：D
　　解题思路：A、不正确。数据锁定程序不会导致数据处理的不一致。
　　B、不正确。数据锁定程序不会导致回滚失败。
　　C、不正确。数据锁定程序不会导致交易无法恢复。
　　D、正确。当两个交易各锁定一个数据，并同时向对方已经锁定的数据提出新的锁定要求时，就会产生互相永久等待的死锁。
　　以下哪项措施能够控制对多余的电脑设备的低效使用？
　　A、应急计划
　　B、系统可行性研究
　　C、能力计划
　　D、例外报告
　　答案：C
　　解题思路：A、不正确。应急计划可以保证在系统出现紧急故障时能在有效时间内恢复运行。
　　B、不正确。系统可行性研究确保系统能实现预定的功能和性能指标。
　　C、正确。能力计划包括系统能力的设计目标、现有的设备能力清单以及对未来需求的预测，它能够控制对多余的电脑设备的低效使用。
　　D、不正确。例外报告可以将特殊问题突出显示，以引起相关部门的注意。
　　传统的信息系统开发和运行包括四个功能区域。系统分析功能主要是分析和设计系统以满足组织的需求；编程功能主要负责设计、编码、测试和调试程序来具体实现系统分析所提出的系统功能；计算机运行功能主要负责数据准备、作业管理和系统维护；用户功能主要为系统提供输入和接收输出。这四项功能中的哪一项功能在终端用户开发（EUC）环境下中经常被忽视？
　　A、系统分析功能
　　B、编程功能
　　C、运行功能
　　D、用户功能
　　答案：A
　　解题思路：A、正确。终端用户开发（EUC）的目标通常是以最快速度开发出能满足局部需求的程序，因此经常难以进行全面的系统分析。
　　B、不正确。终端用户开发（EUC）环境对编程功能的要求和传统的信息系统开发环境没有区别。
　　C不正确。终端用户开发（EUC）环境对运行功能的要求和传统的信息系统开发环境没有区别。
　　D、不正确。终端用户开发（EUC）环境对用户功能的要求和传统的信息系统开发环境没有区别。
　　在一个系统或商业领域中显示数据的流动和转换的图形标志称为：
　　A、活动图。
　　B、程序结构图。
　　C、概念数据模型。
　　D、数据流程图。
　　答案：D
　　解题思路：A、不正确。活动图是描述业务的操作流程。
　　B、不正确。程序结构图描述程序的结构化设计。
　　C、不正确。概念数据模型对现实数据进行抽象，使其更便于计算机表示和处理。
　　D、正确。数据流程图描述数据流入、流出一个系统和在系统内被转换的过程。
　　一种可以防止使用工具程序浏览网络中合法用户口令文件的控制是：
　　A、内部加密的口令。
　　B、口令层次。
　　C、登录口令。
　　D、对等网。
　　答案：A
　　解题思路：A、正确。对于内部加密口令，即使攻击者窃取了口令文件，也不能获得口令。
　　B、不正确。口令层次可以增加非授权访问的难度，但不能防止工具程序对网络中合法用户口令文件的浏览。
　　C、不正确。登录口令可以防止对系统的非授权访问，但不能防止工具程序对网络中合法用户口令文件的浏览。
　　D、不正确。对等网对于防止利用工具程序浏览口令文件没有帮助。
　　某一种密钥系统有两个密钥，一个密钥是公开的、用于信息加密，另一个密钥只有信息接受方掌握、用于解密，这种密钥系统是：
　　A、RSA算法。
　　B、数据加密标准（DES）。
　　C、调制解调器。
　　D、密码锁。
　　答案：A
　　解题思路：A、正确。RSA是一种非对称加密算法。
　　B、不正确。DES是一种对称加密算法。
　　C、不正确。调制解调是一种“模拟-数字”转换的方法，不是非对称加密算法。
　　D、不正确。密码锁通常采用序列密码算法，不是非对称加密算法。
　　以下哪项不是典型的输出控制？
　　A、审查计算机处理记录，以确定所有正确的计算机作业都得到正确执行。
　　B、将输入数据与主文件上的信息进行匹配，并将不对应的项目放入暂记文件中。
　　C、定期对照输出报告，以确认有关总额、格式和关键细节的正确性以及与输入信息的一致性。
　　D、通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者。
　　答案：B
　　解题思路：A、不正确。审查计算机处理记录是典型的输出控制。
　　B、正确。将输入数据与主文件上的信息进行匹配是一项输入控制。
　　C不正确。定期对照输出报告是典型的输出控制。
　　D、不正确。通过正式的程序和文件指明输出报告、支票或其他关键文件的合法接收者是典型的输出控制。
　　以下哪一项不是一个新的应用系统的实施方法？
　　A、直接转换
　　B、平行转换
　　C、试点转换
　　D、测试
　　答案：D
　　解题思路：A不正确。直接转换、平行转换、试点转换和分阶段的转换是用新系统替代老系统的四种主要策略。
　　B不正确。参见“a.”。
　　C不正确。参见“a.”。
　　D、正确。测试是系统开发阶段的任务之一，以验证系统按预定的功能运行，因此测试不是新应用系统的实施方法。
　　对于传统的系统，程序改变控制能够保证生产系统是从经批准的程序的正确版本中产生。而在客户机／服务器环境下运行的系统有可能增加程序改变控制的复杂性。一个在客户机／服务器环境中要求而在大型主机环境中不要求的程序变动控制功能是保证：
　　A、程序版本在全网络上的同步。
　　B、程序紧急改动的过程应制定成条文规定并遵守执行。
　　C、适当的用户参与程序改变测试。
　　D、从测试资料库到成品资料库的传送要受到控制。
　　答案：A
　　解题思路：A、正确。客户机／服务器环境下的客户端程序分散在各个客户机中，当升级应用程序版本时，必须保证版本在全网络上的同步，否则旧版的客户程序可能不能正常工作甚至影响到服务器中的数据。而在大型机环境下应用程序集中存放在主机中，只需升级主机中的程序即可。
　　B、不正确。客户机／服务器环境和大型机环境都必须制定程序紧急改动的条文规定并要求遵守执行。
　　C、不正确。两种环境下都要求用户参与程序改变测试。
　　D、不正确。两种环境下从测试资料库到成品资料库的传送都应受到控制。
　　要防止通过直接连接主机的无人照管的终端而对敏感数据进行非法访问，以下哪项安全控制效果最佳？
　　A、使用带密码的屏幕保护程序。
　　B、使用工作站脚本程序。
　　C对数据文件加密。
　　D、自动注销不活动用户。
　　答案：D
　　解题思路：A、不正确。无人照管终端的主要风险是该终端可能已经合法地登录主机，因此任何人都可以利用该终端访问主机中的敏感数据。在这种情况下，带密码的屏幕保护程序较容易被饶过，如用另一台终端替换该终端。
　　B、不正确。参见“a.”， 工作站脚本程序用来定制终端的运行环境，只有在终端登录时起作用。
　　C、不正确。参见“a.”， 对数据文件加密不能防止攻击者访问敏感数据，因此时攻击者已获得了合法用户的身份，系统会自动解密数据文件。
　　D、正确。参见“a.”，自动注销不活动用户可使攻击者失去获得合法用户的机会。
　　为了避免非法数据的输入，某银行在每个帐号结尾新加一个数字并对新加的数字进行一种计算，此种技术被称为：
　　A、光学字符识别（optical character recognition）。
　　B、校验数位（check digit）。
　　C、相关检查（dependency check）。
　　D、格式检查（format check）。
　　答案：B
　　解题思路：A、不正确。光学字符识别将印刷字符转换成计算机可以识别的内部代码。
　　B、正确。校验数位是对某字段进行某种计算后得出，并附加在该字段之后的校验位。通过重新计算校验位并和原校验位进行比较，可以发现该字段内容是否已发生变化。
　　C、不正确。相关检查用于检查多个字段之间是否存在某种关联，来判断字段内容的正确性。
　　D、不正确。格式检查用于检查字段内容是否遵循某种特定的格式，如日期字段应该具有如下格式：YYYY：MM：DD.
　　在公司信息系统的战略应用中，面向对象的技术变得越来越重要，因为它具有以下潜力：
　　A、允许更快更可靠地开发系统。
　　B、保持原来用过程语言编写的程序。
　　C、减少对层次数据库的数据完整性的破坏。
　　D、使传统的瀑布式系统开发方法更加流畅。
　　答案：A
　　解题思路：A、正确。面向对象的开发技术利用对象的继承、重用、重构等特征，可以更快更可靠地开发系统。
　　B、不正确。面向对象的开发技术将数据和对该数据的操作封装成一个对象，因此不能保持原来用过程语言编写的程序。
　　C、不正确。对象虽然具有层次的概念，但和层次数据库中的层次概念没有任何联系。
　　D、不正确。面向对象的开发方法和传统的瀑布式系统开发方法在需求分析、系统设计和编码上都有很大的区别，属于两类不同的系统开发方法学，因此不存在使传统的瀑布式系统开发方法更加流畅的作用。
　　以下哪项关于电子邮件安全性的说法是正确的？
　　A、互联网上的所有信息都被加密，因此能够提供增强的安全性。
　　B、密码在防止偶然访问其他人的电子邮件时很有效。
　　C、如果没有事先对安全控制记录解密，那么即使具有访问包含电子邮件信息的文件服务器的管理级权限的人员也不能接触包含电子邮件信息的文件。
　　D、自主访问控制策略不需要口令。
　　答案：B
　　解题思路：A、不正确。互联网上的信息并未自动加密，包括电子邮件信息。
　　B、正确。对设置了密码的电子邮件，必须输入正确的密码信息才能阅读邮件，因此可以防止对邮件的偶然访问。
　　C、不正确。具有文件服务器管理权限（总体控制）的人员完全有可能饶过电子邮件的安全控制（应用控制），通过直接阅读邮件文件的方式来获得邮件内容。
　　D、不正确。自主访问控制策略需要对用户身份进行鉴别，而口令是身份鉴别的主要手段。
　　为了适当控制对会计数据库文件的访问，数据库管理人员应正确应用数据库的安全特征以允许：
　　A、用只读方式访问数据库文件。
　　B、特权软件对数据进行更新。
　　C、只访问经过授权的逻辑视图。
　　D、用户可以修改其访问配置文件。
　　答案：C
　　解题思路：A、不正确。只读控制可以防止对数据的非授权修改，但不能防止对数据的非授权读取。
　　B、不正确。允许特权软件对数据进行更新不能防止用户对数据的非授权访问。
　　C、正确。逻辑视图从一个或多个数据库表中生成新的数据结构，以更适合用户使用的方式表示数据。对视图通常只能进行查询操作，通过限制用户只能对授权的视图、而不是表进行访问，可防止用户对表数据的非授权访问。
　　D、不正确。允许用户修改其访问配置文件不能防止用户对数据的非授权访问。
　　一个组织的计算机帮助平台功能通常由哪个部门的负责？
　　A、应用开发部门
　　B、系统编程部门
　　C、计算机运行部门
　　D、用户部门
　　答案：C
　　解题思路：A、不正确。应用开发部门负责系统的开发。
　　B、不正确。系统编程部门负责系统的程序设计。
　　C正确。计算机运行部门负责系统的日常运行维护，计算机帮助平台是其功能之一。
　　D、不正确。用户部门负责操作使用计算机系统。
　　要最大程度地降低未经授权编辑生产程序、工作控制语言和操作系统软件的可能性，以下哪种方法效果最佳？
　　A、数据库访问检查；
　　B符合性检查；
　　C、良好的变动控制程序；
　　D、有效的网络安全软件。
　　答案：C
　　解题思路：A、不正确。数据库访问检查可以防止对数据库的非授权访问，但不能防止未经授权编辑生产程序、工作控制语言和操作系统软件。
　　B、不正确。符合性检查可以在非授权编辑操作发生后发现该事件并予以纠正，但不能预防非授权编辑操作的发生。
　　C正确。良好的变动控制程序是安全政策、安全管理和安全技术的综合，可以最大程度地预防未经授权编辑生产程序、工作控制语言和操作系统软件的行为发生。
　　D、不正确。网络安全软件用于防止通过网络进行的非授权编辑，但对于直接通过控制台进行的非授权编辑可能就无能为力。有效的网络安全软件只是安全管理的技术因素，如没有管理方面的配合，安全效果会大打折扣。
　　终端用户可能通过修改标准程序以获取原本无法直接获取的财务和作业数据的子集，与此相关的最大风险是
　　A、所获取的数据可能不完整或缺乏时效性。
　　B、数据定义可能过时。
　　C、主机数据可能被终端用户的更新活动所破坏。
　　D、重复下载可能会耗尽终端用户微机的存储容量。
　　答案：A
　　解题思路：A、正确。终端用户对主机数据结构及之间的关联不可能很精通，因此通过修改标准程序所获取的数据就可能不完整；由于获取的数据保存在本地微机中，而主机数据是实时变化的，因此微机中的数据可能不是最新的数据，即缺乏时效性。
　　B、不正确。数据定义不会因为终端用户的数据查询操作而改变。
　　C、不正确。终端用户获取数据子集的过程不包含更新操作，不会导致对主机数据的破坏。
　　D、不正确。重复下载的数据通常会相互覆盖，因此也不会耗尽终端用户微机的存储容量。
　　对硬件、软件及广域网通讯部件的准确的产品记录资料和对系统改进的正确的描述，可以：
　　A、最大程度地减小对外部组织的依赖。
　　B保证新组件安装的及时性。
　　C、有助于隔离网络故障。
　　D、最大程度地提高系统的可用性。
　　答案：C
　　解题思路：A、不正确。完整准确的安装和改进记录在减小对外部组织的依赖方面确有一定的作用，但不是决定性的，故仅仅依靠这些登记材料并不能“最大程度地减少”对外部组织的依赖。
　　B、不正确。完整准确的安装和改进记录当然不能“保证”新组件安装的及时性。
　　C、正确。不同型号的产品部件以及同一种型号不同批次的部件之间会有微小的差别而导致不兼容等问题，如果有充分的安装和改进记录资料就更容易对网络错误进行有效的定位。
　　D、不正确。完整准确的安装和改进记录不能“最大程度地提高”系统的可用性
　　在检查一个利用第三方服务的EDI系统的应用情况时，审计师应该：
　　Ⅰ、确认加密密钥符合ISO标准。
　　Ⅱ、确定是否已经对服务供应商的营运进行了独立检查。
　　Ⅲ、核实该服务供应商是否仅使用了公用交换数据网络。
　　Ⅳ、核实服务供应商的合同是否包含了必要的条款，如审计权力等。
　　A、Ⅰ和Ⅱ。
　　B、Ⅰ和Ⅳ。
　　C、Ⅱ和Ⅲ。
　　D、Ⅱ和Ⅳ。
　　答案：D
　　解题思路：A、不正确。不存在关于加密密钥的ISO标准。
　　B、不正确。参见“a.”。
　　C、不正确。EDI服务有完整的安全协议保障，没有必要去核实是否仅使用了公用交换数据网络。
　　D、正确。对EDI审计需要决定是否对服务供应商的营运进行独立检查，并核实服务供应商的合同是否包含了必要的条款，如审计权力等。
　　数据库管理人员应用以下哪种语言接口来建立数据库表结构？
　　A、数据定义语言
　　B、数据控制语言
　　C、数据操纵语言
　　D、数据查询语言
　　答案：A
　　解题思路：A、正确。数据定义语言（DDL）用于定义（即：决定）数据库的结构。
　　B、不正确。数据控制语言（DCL）用于指定特权和安全规则。
　　C、不正确。数据操纵语言（DML）为程序员提供了一个修改数据库数据的工具。
　　D、不正确。数据查询语言（DQL）用于特设的查询。
　　在对数据中心进行物理设计时考虑以下哪项内容是不恰当的？
　　A、评价与铁路和公路交通有关的潜在风险。
　　B、应用生物统计法访问系统。
　　C、为访问操作系统设计授权表格。
　　D、包括不间断电源系统和电涌保护。
　　答案：C
　　解题思路：A、不正确。在确定数据中心的位置时应评估其外部风险。
　　B、不正确。生物访问系统可控制对数据中心的物理接触。
　　C、正确。用于操作系统访问的授权表格针对的是逻辑控制，而不是物理控制。
　　D、不正确。数据中心的物理设计包含供电系统和电涌保护。
　　在传统的信息系统中，计算机运行维护人员负责对软件和数据文件进行定期备份。在分布式系统或协作系统中，确定是否有足够备份的责任属于：
　　A、用户管理部门。
　　B、系统程序员。
　　C、数据录入员。
　　D、磁带库管理员。
　　答案：A
　　解题思路：A、正确。因为在分布式系统或协作系统中，系统数据是分散在各用户节点上，所以确定是否有足够备份是用户管理部门的责任。
　　B、系统程序员负责程序的编制，不承担备份任务。
　　C、数据录入员负责数据的输入，不承担备份任务。
　　D、磁带库管理员负责维护磁带库的运行维护，不承担备份任务。
　　用来确定应用程序系统需要建立多少控制的标准不包括以下哪项内容？
　　A、数据在系统中的重要性。
　　B、应用网络监测软件的可行性。
　　C、某项活动或处理没有受到适当控制所产生的风险水平。
　　D、每种控制措施的效率、复杂性和费用。
　　答案：B
　　解题思路：A、不正确。例如，重要的财务和会计系统，如证券交易所的股票买卖跟踪系统，相对于记录员工培训和技能的系统而言，必须具有更高的控制标准。
　　B、正确。网络监测软件并不参与应用系统内部的控制。
　　C、不正确。问题的发生频率及其潜在的危害应决定在一个系统中建立多少控制。
　　D、不正确。例如，在一个每天处理成千上万笔支付业务的系统中，完全的逐项检查可能过于费时而不可操作，但如仅检查关键的数据则可能是可行的，如检查金额、账号而忽略姓名和地址。

（责任编辑：中大编辑）