第1题：

以下哪一项不属于入侵检测系统的功能（）

A、监视网络上的通信数据流

B、捕捉可疑的网络活动

C、提供安全审计报告

D、过滤非法的数据包

信管网参考答案：D

信管网参考解析：入侵检测系统（intrusion detection system，简称“ids”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，ids是一种积极主动的安全防护技术。 ids最早出现在1980年4月。 1980年代中期，ids逐渐发展成为入侵检测专家系统（ides）。 1990年，ids分化为基于网络的ids和基于主机的ids。后又出现分布式ids。目前，ids发展迅速，已有人宣称ids可以完全取代防火墙。

入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵；后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。

这两种模式的安全策略是完全不同的，而且，它们各有长处和短处：异常检测的漏报率很低，但是不符合正常行为模式的行为并不见得就是恶意攻击，因此这种策略误报率较高；误用检测由于直接匹配比对异常的不可接受的行为模式，因此误报率较低。但恶意行为千变万化，可能没有被收集在行为模式库中，因此漏报率就很高。这就要求用户必须根据本系统的特点和安全要求来制定策略，选择行为检测模式。现在用户都采取两种模式相结合的策略。

第2题：

审计师在审查数据库时发现在正常的工作时间修改或者变更有一套标准的程序控制措施。但是，在不是标准工时的时候，变更只要很少的步骤。在这种情况下，那个是被考虑到的适当的补偿性控制：（）

A、变更仅限于数据库管理员帐号

B、一般用户账户得到允许后能够对数据库作出变更

C、用数据库管理员帐号做变更，并记录变更以待审查

D、用一般帐号做出变更，并记录以待日后审查

信管网参考答案：C

信管网参考解析：

注：一个数据库管理员（DBA）使用用户帐户通常设置记录所有的变化和最适合做课外的变化。记录更改的日志的使用允许更改审阅。无需登录的DBA用户帐户使用将允许不受控制的变化作出一次数据库访问帐户了。使用没有限制的正常用户帐户将允许对任何数据库进行不受控制的更改。日志记录只提供更改的信息，但不会将更改仅限于已授权的更改。因此，测井加上审查形成适当的一套补偿控制。