第1题：

单点登录系统主要的关切是什么？（）

A.密码一旦泄露，最大程度的非授权访问将可能发生。

B.将增加用户的访问权限。

C.用户的密码太难记。

D.安全管理员的工作量会增加。

信管网参考答案：A

信管网参考解析:

10年品牌，软考办第3版指定教材作者面授+资深讲师近80小时系统精讲直播，针对基础薄弱在职人员，签订协议，高效取证

当用户第一次访问应用系统的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据－－ticket；用户再访问别的应用的时候，就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

要实现sso，需要以下主要的功能：

所有应用系统共享一个身份认证系统。

统一的认证系统是sso的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志（ticket），返还给用户。另外，认证系统还应该对ticket进行效验，判断其有效性。

所有应用系统能够识别和提取ticket信息

要实现sso的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对ticket进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过，从而完成单点登录的功能。

密码一旦泄露，最大程度的非授权访问将可能发生。

第2题：

An IS auditor attempting to determine whether access to program documentation is restricted to authorized persons would MOST likely:

A、evaluate the record retention plans for off-premises storage.

B、interview programmers about the procedures currently being followed.

C、compare utilization records to operations schedules.

D、review data file access records to test the librarian function.

信管网参考答案：B

信管网参考解析:

10年品牌，软考办第3版指定教材作者面授+资深讲师近80小时系统精讲直播，针对基础薄弱在职人员，签订协议，高效取证

IS审计师想要审查是否对程序文档的访问只被限制给授权的用户，那么IS审计师最可能会：

A．评估场外存储保留计划的记录

B．询问程序员关于目前正在应用的程序

C．比较使用记录和操作目录

D．审查数据文件访问记录以检测程序管理员的功能

询问程序员关于当前的程序可以判断是否访问程序文档仅限于被授权的人士访问。评价场外存储记录保留计划，可以测试恢复程序，而不是测试对程序文档的访问控制。测试使用记录或数据文件不会涉及对程序文档的访问安全。