信息系统审计师该 内 容 由中 审 网 校 所属 ww w.a uditc n.com应邀在某任务组中代表她所在组织的内部审计部门，为拥有 16 家分行的社区银行 PinkwaterBank 定义新分行自动化项目的需求。此新系统将处理存款、贷款以及其他机密客户信息。

       分行位于相同的地理区域内，因此分行运营总监建议使用微波无线电系统提供连接，因为这种系统的运营成本低，而且是私人（非公共）网络。这位总监还强烈建议最好使用直接同轴电缆（来自当地有线电视提供商）为每个分行提供与互联网的备份连接，以防微波系统出现故障。

       直接互联网连接也将连接到每个分行的无线接人点，以便为客户提供免费无线接入。该总监还要求为每个分行提供邮件和应用程序服务器，并由各分行的行政经理进行管理。银行的 IT 经理告知信息系统审计师该 内 容 由中 审 网 校 所属 ww w.a uditc n.com，有线服务提供商将加密所有通过直接同轴连接发送到互联网的流量。

       完成初步工作后，PinkwaterBank 为其总部设施和 16 个分行的网络制订了修订版 BCP 和 DRP。目前的计划已有 8 年多未更新，此间组织规模已扩大三倍以上。大约有 750 名员工在总部工作。这些员工通过 LAN 连接到位于公司数据中心的 60 多个应用程序、数据库和文件打印服务器，并通过帧中继网连接到分行。出差用户利用 VPN 通过互联网远程访问公司系统。总部和分行的用户通过位于数据中心的防火墙和代理服务器访问互联网。

       关键应用程序的 RTO 介于三到五天之间。分行之间的距离在 30 到 50 英里之间，分行与总部的距离均超过 25 英里。每个分行拥有 20 到 35 名员工，且都配备有一个邮件服务器和一个文件 / 打印服务器。数据中心的备份介质存储在 35 英里以外的第三方设施中。位于分行的服务器备份通过互惠协议存储到附近的分行。

       目前与第三方热备援中心提供商签订的合同包括：25 台服务器、配备台式电脑且能容纳 100 人的工作区，以及一个单独的协议（协定最多将两台服务器和 10 台台式电脑运送到声明发生紧急情况的任何分行）。合同期限为三年，续约时会进行设备升级。热备援中心提供商在整个国家/地区拥有许多设施，可预防其他客户使用主设备或灾难而导致的不可用情况。高级管理层希望所有改进都能收获最高的成本效益。

1. 在审查此项目的信息时，基于上述情况使用微波无线电系统最重要的问题是什么？

A. 传输的数据容易遭到拦截。

B. 缺乏可用的数据传输加密解决方案。

C. 服务中断的可能性。

D. 实施成本超支。

2. 以下哪一项能够最有效地降低业务系统通过无线网络遭受公共互联网攻击的可能性？

A. 扫描所有连接的设备以查找恶意软件。

B. 通过防火墙子网划分内部网络和公共互联网访问。

C. 记录所有访问并对失败的登录尝试发出警报。

D. 将所有网络访问限制在正常营业时间和标准协议中。

3. 在与供应商协商新合同时，信息系统审计师该 内 容 由中 审 网 校 所属 ww w.a uditc n.com应针对此情况中的热备援中心向管理层提出以下哪项建议？

A. 应将热备援中心的台式电脑数增加到 750 台。

B. 应向热备援中心合同另外增加 35 台服务器。

C. 所有备份介质都应存储在热备援中心，以缩短 RTO。

D. 应按季度审查台式电脑和服务器设备要求。

4. 在与供应商协商新合同时，信息系统审计师该 内 容 由中 审 网 校 所属 ww w.a uditc n.com应针对分行的恢复工作向管理层提出以下哪项建议？

A. 将各分行添加到现有热备援中心合同。

B. 确保分行有足够的容量能够相互备份。

C. 将所有分支的邮件和文件/打印服务器迁移到数据中心。

D. 向热备援中心合同新增容量，使之与最大的分行相等。

参考答案

1.

A. 缺乏加密是最重要的问题，因为微波无线电系统很容易被窃听。

B. 缺乏可伸展性很重要，但不如确保客户数据的机密性和完整性那么重要。

C. 发生服务中断的可能性很重要，但不如确保客户数据的机密性和完整性重要。

D. 实施成本超支很重要，但不如确保客户数据的机密性和完整性重要。

2.

A. 恶意软件的扫描不会检测用来搜集密码或揭示网络漏洞的调查工具的使用情况。

B. 通过将无线网络置于防火墙子网中来将其隔离，能够最有效地降低攻击的可能性。

C. 记录访问不会预防成功的攻击。

D. 记录访问和将访问限制在正常营业时间，并不会预防成功的攻击。

3.

A. 由于发生灾难时，并不是所有员工的工作职能都至关重要，因此不必在恢复设施内安排与员工数量同等的台式电脑数量。

B. 同样，并不是所有服务器都对业务的连续运行至关重要。只需要恢复一部分。

C.由于不能保证热备援中心不会被占用，所以建议不要将备份介质存储在热备援中心。按照设计，这些设施通常不会提供大量的介质储存空间，而其他客户的频繁测试也可能会危及介质的安全。

D.由于快速成长型企业对设备的需求经常改变，因此需要每季度审查以确保恢复能力与组织保持同步。

4.

A. 将各分行添加到热备援中心合同的成本更高。

B. 最具经济效益的解决方案是建议分行配备能够容纳其他分行关键人员的容量。由于承担关键工作职能的员工可能只占受影响分行员工人数的 20%，因此只需准备可容纳四到七名关键职员的工作场所。

C. 将分行服务器迁移到数据中心可能导致性能问题，并且无法解决如何安置被撤离员工的问题。

D. 在热备援中心合同中增加容量可能无法取得所需的覆盖，因为热备援中心合同是根据覆盖的每个位置定价的。