第1題：

單點(diǎn)登錄系統(tǒng)主要的關(guān)切是什么？（）

A.密碼一旦泄露，最大程度的非授權(quán)訪問將可能發(fā)生。

B.將增加用戶的訪問權(quán)限。

C.用戶的密碼太難記。

D.安全管理員的工作量會(huì)增加。

信管網(wǎng)參考答案：A

信管網(wǎng)參考解析:

10年品牌，軟考辦第3版指定教材作者面授+資深講師近80小時(shí)系統(tǒng)精講直播，針對(duì)基礎(chǔ)薄弱在職人員，簽訂協(xié)議，高效取證

當(dāng)用戶第一次訪問應(yīng)用系統(tǒng)的時(shí)候，因?yàn)檫€沒有登錄，會(huì)被引導(dǎo)到認(rèn)證系統(tǒng)中進(jìn)行登錄；根據(jù)用戶提供的登錄信息，認(rèn)證系統(tǒng)進(jìn)行身份校驗(yàn)，如果通過校驗(yàn)，應(yīng)該返回給用戶一個(gè)認(rèn)證的憑據(jù)－－ticket；用戶再訪問別的應(yīng)用的時(shí)候，就會(huì)將這個(gè)ticket帶上，作為自己認(rèn)證的憑據(jù)，應(yīng)用系統(tǒng)接受到請(qǐng)求之后會(huì)把ticket送到認(rèn)證系統(tǒng)進(jìn)行校驗(yàn)，檢查ticket的合法性。如果通過校驗(yàn)，用戶就可以在不用再次登錄的情況下訪問應(yīng)用系統(tǒng)2和應(yīng)用系統(tǒng)3了。

要實(shí)現(xiàn)sso，需要以下主要的功能：

所有應(yīng)用系統(tǒng)共享一個(gè)身份認(rèn)證系統(tǒng)。

統(tǒng)一的認(rèn)證系統(tǒng)是sso的前提之一。認(rèn)證系統(tǒng)的主要功能是將用戶的登錄信息和用戶信息庫相比較，對(duì)用戶進(jìn)行登錄認(rèn)證；認(rèn)證成功后，認(rèn)證系統(tǒng)應(yīng)該生成統(tǒng)一的認(rèn)證標(biāo)志（ticket），返還給用戶。另外，認(rèn)證系統(tǒng)還應(yīng)該對(duì)ticket進(jìn)行效驗(yàn)，判斷其有效性。

所有應(yīng)用系統(tǒng)能夠識(shí)別和提取ticket信息

要實(shí)現(xiàn)sso的功能，讓用戶只登錄一次，就必須讓應(yīng)用系統(tǒng)能夠識(shí)別已經(jīng)登錄過的用戶。應(yīng)用系統(tǒng)應(yīng)該能對(duì)ticket進(jìn)行識(shí)別和提取，通過與認(rèn)證系統(tǒng)的通訊，能自動(dòng)判斷當(dāng)前用戶是否登錄過，從而完成單點(diǎn)登錄的功能。

密碼一旦泄露，最大程度的非授權(quán)訪問將可能發(fā)生。

第2題：

An IS auditor attempting to determine whether access to program documentation is restricted to authorized persons would MOST likely:

A、evaluate the record retention plans for off-premises storage.

B、interview programmers about the procedures currently being followed.

C、compare utilization records to operations schedules.

D、review data file access records to test the librarian function.

信管網(wǎng)參考答案：B

信管網(wǎng)參考解析:

10年品牌，軟考辦第3版指定教材作者面授+資深講師近80小時(shí)系統(tǒng)精講直播，針對(duì)基礎(chǔ)薄弱在職人員，簽訂協(xié)議，高效取證

IS審計(jì)師想要審查是否對(duì)程序文檔的訪問只被限制給授權(quán)的用戶，那么IS審計(jì)師最可能會(huì)：

A．評(píng)估場外存儲(chǔ)保留計(jì)劃的記錄

B．詢問程序員關(guān)于目前正在應(yīng)用的程序

C．比較使用記錄和操作目錄

D．審查數(shù)據(jù)文件訪問記錄以檢測程序管理員的功能

詢問程序員關(guān)于當(dāng)前的程序可以判斷是否訪問程序文檔僅限于被授權(quán)的人士訪問。評(píng)價(jià)場外存儲(chǔ)記錄保留計(jì)劃，可以測試恢復(fù)程序，而不是測試對(duì)程序文檔的訪問控制。測試使用記錄或數(shù)據(jù)文件不會(huì)涉及對(duì)程序文檔的訪問安全。