Spectertainment 是一家致力于制作和发行爵士乐视频剪辑的公司。该公司诞生于互联网时代，并且积极支持笔记本电脑和平板电脑的使用，因此员工可以轻松实现远程工作。他们可以通过互联网访问公司数据库，并向客户提供在线信息。这一支持远程工作的决定提高了员工的效率，同时也提升了员工士气，因为公司允许员工一周有两天在家工作。员工通过书面程序和培训课程来学习安全程序，以避免未经授权访问公司数据的风险。员工对公司数据的访问包括通过 VPN 使用登录 ID 和密码来访问应用程序服务器。初始密码由安全管理员分配。员工首次登录时，系统会强制要求更改密码以提高机密性。管理层目前正在考虑如何提升员工远程访问的安全保护。

       Spectertainment 要求其信息系统审计师 该 内 容 由中 审 网校 所属ww w .a u di tcn.com审查其新的 VPN 实施情况，以适应远程工作情况的增加。审计师 该 内 容 由中 审 网校 所属ww w .a u di tcn.com发现许多员工在远程工作或旅行时使用个人设备连接到 VPN。公司已制定了远程访问政策，但没有指定对个人设备的要求。

1. 信息系统审计师 该 内 容 由中 审 网校 所属ww w .a u di tcn.com在审查 VPN 实施情况时，以下哪种情况最令其担忧？网络中的计算机位于：

A. 企业的内部网络。

B. 备用站点。

C. 员工家里。

D. 企业的远程办公室。

2. 在应用访问控制软件以避免未经授权的访问风险时，以下哪个级别可提供更高程度的保护？

A. 网络和操作系统级别。

B. 应用程序级别。

C. 数据库级别。

D. 日志文件级别。

3. 当一名员工通知公司他/她忘记了密码时，安全管理员首先应该做什么？

A. 让系统随机生成一个新密码。

B. 通过提问/回答系统来验证用户的身份。

C. 向该员工提供默认密码并告知其尽快更改该密码。

D. 让该员工前往管理员终端设备生成新密码，以确保机密性。

4. Spectertainment 应确保实施以下哪些政策来解决员工使用个人设备连接到 VPN 的发现？

A. 远程访问政策。

B. 可接受使用政策。

C. 变更控制政策。

D. 访问控制政策。

5. 为什么 Spectertainment 选择支持个人设备的使用，而不是禁止这种做法？（选择所有适用项。）

A. 提高员工的工作效率。

B. 必要时易于终止员工的访问权限。

C. 增加成本节约。

D. 提高安全意识。

参考答案

1.

A. 在企业的内部网中，应具有一些安全政策和控制来检测并停止使用内部计算机作为临时平台的外部攻击。因此，这不是信息系统审计的最大问题。

B. 备用站点上的计算机因为遵守企业的安全政策，因此不属于高风险计算机。

C. VPN 在远程 PC 和公司网络之间提供安全连接。但是，VPN 不能保护远程 PC 免受外部攻击（例如来自互联网的攻击）。如果远程 PC 被侵入，恶意实施者可使用受损的远程 PC 作为入口点进入公司网络（横向移动）。

D. 企业远程办公室网络中的计算机，可能由对安全具有不同理解的信息系统员工和安全员工进行操作，此类计算机的风险要高于主办公室或备份站点的情况，但显然比家庭计算机的风险低。

2.

A. 在网络和平台/操作系统层上应用访问控制软件，可以最大程度地预防内外部用户未经授权的访问。这些系统也称为通用支持系统，它们构成应用程序和数据库系统所处的主要基础设施。

B. 应用程序级别从属于由通用支持系统构成的基础设施，由网络和操作系统级别提供支持。

C. 数据库级别从属于由通用支持系统构成的基础设施，由网络和操作系统级别提供支持。

D. 日志文件级别从属于由通用支持系统构成的基础设施，由网络和操作系统级别提供支持。

3.

A. 当员工报告忘记密码时，安全管理员只有在通过提问 / 回答系统或类似程序验证用户的身份后，才能启动密码流程生成程序。

B. 提问 / 回答系统或类似程序应该是验证用户身份的第一步。出于验证的目的，建议安全管理员回拨用户的分机号或致电其主管进行核实。

C. 在向员工提供默认密码之前，应使用提问 / 回答系统或类似程序验证个人的身份。

D. 在采取任何进一步行动之前，必须验证用户的身份。无论终端设备的安全性如何，都不应在确认身份之前生成新密码。

4.

A. Spectertainment 制定了远程访问政策，其中概述了远程连接到内部资源的已批准方法，但不涉及个人设备的使用。

B. 可接受使用政策概述了员工在使用和访问组织资产时同意遵守的规定。它将确认是否允许使用个人设备，并且还可能包括自带设备政策，以进一步规范其使用。

C. 对 IT 系统进行更改时需要变更控制政策。虽然可能需要根据支持 BYOD 所需的任何更改来提交一些变更，但这不是最重要的控制。

D. 访问控制政策用以确保员工了解如何访问系统。虽然可能需要更改访问控制政策来支持 BYOD，但这并不是最重要的控制。

5.

A. BYOD 政策显示出工作效率和员工满意度的提高。

B. 使用 BYOD 会使终止员工访问权限变得更加困难。

C. 由于员工使用自己的设备，BYOD 可以帮助组织节省成本。

D. 使用 BYOD 并不表明员工对使用个人设备工作所带来的安全风险的认识有所提高。