自考题库
首页
所有科目
自考历年真题
考试分类
关于本站
游客
账号设置
退出登录
注册
登录
出自:注册信息安全专业人员(CISA,CISO,CISE)
软件的监控能力用于确保()。
A:最大限度地利用现有的能力
B:满足未来用户的需要
C:同时服务大量使用者
D:持续高效运作
某单位开发了一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策,以下哪条是渗透性测试的优势?()
A:渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
B:渗透测试是用软件代替人工的一种测试方法,因此测试效率更高
C:渗透测试使用人工进行测试,不依赖软件,因此测试更准确
D:渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
符合性测试
在对业务持续性计划进行验证时,以下哪项最为重要?()
A:数据备份准时执行
B:备份站点已签订合约,并且在需要时可以使用
C:人员安全计划部署适当
D:保险
某单位开发一个面向互联网提供服务的应用网站,该单位委托软件测评机构对软件进行了源代码分析,模糊测试等软件测试,在应用上线前,项目经理提出了还需要对应用网站进行一次渗透性测试,作为安全主管,你需要提出渗透性测试相比源代码测试,模糊测试的优势给领导做决策,以下哪条是渗透性的优势?()
A:渗透测试使用人工进行测试,不依赖软件,因此测试更准确
B:渗透测试是用软件代替人工的一种测试方法。因此测试效率更高
C:渗透测试以攻击者的思维模拟真实攻击,能发现如配置错误等运行维护期产生的漏洞
D:渗透测试中必须要查看软件源代码,因此测试中发现的漏洞更多
有关项目管理,错误的理解是()
A:项目管理是一门关于项目资金、时间、人力等资源控制的管理科学
B:项目管理是运用系统的观点、方法和理论,对项目涉及的全部工作进行有效地管理,不受项目资源的约束
C:项目管理包括对项目范围、时间、成本、质量、人力资源、沟通、风险、采购、集成的管理
D:项目管理是系统工程思想针对具体项目的实践应用
信息安全管理体系策略文件中第一层文件是()?
A:信息安全工作程序
B:信息安全方针政策
C:信息安全作业指导书
D:信息安全工作记录
信息安全应急响应计划的制定是一个周而复始的、持续改进的过程,以下哪个阶段不在其中()
A:应急响应需求分析和应急响应策略的制定
B:编制应急响应计划文档
C:应急响应计划的测试、培训、演练和维护
D:应急响应计划的废弃与存档
在信息系统审计中,信息信息系统审计员发现企业总部使用了一个无线网络。什么是审计人员首要应该检查的事情?()
A:建筑外信号的强度
B:配置设置或参数设置
C:连接的客户数量
D:IP地址分配机制
下面哪个过程会检查到路由器访问控制列表?()
A:环境检阅
B:网络安全检阅
C:业务继续检阅
D:数据完整性检阅
IS控制目标对于IS审计师的用途体现在它们提供了基础,以便于理解()。
A:实现特定控制程序的预期结果和目标
B:对于特定实体的最佳IT安全控制措施
C:信息安全的技术
D:安全策略
投资顾问用电子邮件将定期的新闻简报发送给客户并希望合理保证无人修改此新闻简报。实现此目标可以通过:()
A:使用顾问的私钥加密新闻简报的哈希
B:使用顾问的公钥加密新闻简报的哈希
C:使用顾问的私钥对文档进行数字签名
D:使用顾问的私钥加密新闻简报
一个决策支持系统()。
A:目标是解决高度结构化的问题
B:整合使用的数据模型与非传统的数据访问和恢复功能
C:强调用户在制定决策方法中的灵活性
D:只支持结构化的决策制定任务
在CMM标准中,哪一个等级表明组织在软件开发过程中已经建立了定量的质量指标?()
A:可重复级
B:已定义级
C:已管理级
D:优化级
哪一项描述了使用信息鉴权码(MAC)和数字签名之间的区别?()
A:数字签名通过使用对称密钥提供系统身份鉴别
B:数据来源通过在MAC中使用私钥来提供
C:因为未使用私钥,MAC只能提供系统鉴别而非用户身份鉴别
D:数字签名使用私钥和公钥来提供数据来源和系统及用户鉴别
信息系统审计师在对软件使用及许可方面进行审计时发现,大量的PC设备中含有非授权的软件。信息系统审计师随即应该采取以下哪个行动?()
A:删除非授权软件的所有拷贝
B:通知被审计机构有关非授权软件的情况,并进行跟踪确保软件的删除
C:向被审计机构管理层报告使用非授权软件的情况,以及告知管理层有必要防止该情况的再次发生
D:警告终端用户有关使用非法软件的风险
在提供备份计算机设备方面,下面哪一种情况是成本最低的()。
A:互助协议
B:共享设备
C:服务机构
D:公司拥有的镜像设备
信息系统审计师在执行应用控制审查时应当评估:()
A:满足业务流程的应用效率
B:发现的任何控制缺陷暴露的影响
C:应用支持的业务流程
D:应用的优化
以下哪一项面向物件的技术特征可以提高资料的安全级别()。
A:继承
B:动态仓库
C:封装
D:多态性
下列对网络认证协议(Kerberos)描述正确的是()
A:该协议使用非对称密钥加密机制
B:密钥分发中心由认证服务器、票据授权服务器和客户机三个部分组成
C:该协议完成身份鉴别后将获取用户票据许可票据
D:使用该协议不需要时钟基本同步的环境
数据所有者
有关系统安全工程-能力成熟度模型(SSE-CMM)中基本实施(Base Rractes)正确的理解是()
A:BP不限定于特定的方法工具,不同业务背景中可以使用不同的方法
B:BP不是根据广泛的现有资料,实施和专家意见综合得出的
C:BP不代表信息安全工程领域的最佳实践
D:BP不是过程区域(Process Arebs,PA)的强制项
某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求?()
A:建立一个与供货商相联的内部客户机用及服务器网络以提升效率
B:将其外包给一家专业的自动化支付和账务收发处理公司
C:与重要供货商建立采用标准格式的、计算机对计算机的电子业务文文件和交易处理用EDI系统
D:重组现有流程并重新设计现有系统
组织外包其软件开发,以下哪一项是该组织IT管理的责任()。
A:支付服务提供商
B:作为参加者参加系统设计
C:控制外包商遵守服务合同
D:与供养商谈判合同
微型计算机上的软件和数据是否要保存到异地备份站点主要取决于()。
A:访问的简便性
B:风险评估
C:完备的标签
D:完备的文档
以下标准内容为“信息安全管理体系要求”的是哪个?()
A:ISO 27000
B:ISO 27001
C:ISO 27002
D:ISO 27003
在2014年巴西世界杯举行期间,,一些黑客组织攻击了世界杯赞助商及政府网站,制了大量网络流量,阻塞正常用户访问网站。这种攻击类型属于下面什么攻击()
A:跨站脚本(cross site scripting,XSS)攻击
B:TCP会话劫持(TCP HIJACK)攻击
C:ip欺骗攻击
D:拒绝服务(denialservice.dos)攻击
对企业内部网安全最重要的因素是()。
A:监控
B:加密
C:认证
D:过滤
SSE-CMM包含六个级别,其中计划与跟踪级着重于()。
A:规范化地裁剪组织层面的过程定义
B:项目层面定义、计划和执行问题
C:测量
D:一个组织或项目执行了包含基本实施的过程
以下几种VPN技术使用数据加密技术的是哪一个?()
A:MPLS VPN
B:SSL VPN
C:L2TP VPN
D:GRE VPN
首页
<上一页
3
4
5
6
7
下一页>
尾页