出自:注册信息安全专业人员(CISA,CISO,CISE)

在一个无线局域网环境下,能用来保证有效资料安全的技术是哪一种()。
A:消息鉴定码和无线变频收发仪
B:在不同的通道传输资料和消息鉴定码
C:在不同的通道传输资料和加密
D:加密和无线变频收发仪
应用CMM能力成熟度模型评估应用开发项目,IS审计师应该能够确认()。
A:保证产品可靠
B:程序员编程的效率提高
C:安全需求被设计
D:可以预测后续的软件过程
下列哪一项是无线网络中Wi-Fi保护访问(WPA)的一个特征?()
A:会话密钥是动态的
B:私人对称密钥的使用
C:密钥是静态的和共享的
D:源地址是未加密或认证的
以下对信息安全描述不正确的是()。
A:信息安全的基本要素包括保密性、完整性和可用性
B:信息安全就是保障企业信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最小,确保组织业务运行的连续性
C:信息安全就是不出安全事故/事件
D:信息安全不仅仅只考虑防止信息泄密就可以了
下列哪项不是信息系统的安全工程的能力成熟度模型(SSE-CMM)的主要过程?()
A:风险评估
B:保证过程
C:工程过程
D:评估过程
IS审计师评估逻辑访问控制时首先应该:()
A:记录对系统访问路径的控制
B:测试访问路径的控制以判断是否起作用
C:评估与已有政策和实践相关的安全环境
D:获取并理解信息处理的安全风险
下列哪一项,是处置含有机密信息的磁性存储介质的最佳方法?()
A:消磁
B:磁盘碎片整理
C:删除
D:销毁
P2DR模型通过传统的静态安全技术和方法提高网络的防护能力,这些技术包括()?
A:实时监控技术
B:访问控制技术
C:信息加密技术
D:身份认证技术
某单位的信息安全主管部门在学习我国有关信息安全的政策和文件后,认识到信息安全风险评估分为自评估和检查评估两种形式。该部门将有关检查评估的特点和要求整理成如下四条报告给单位领导,其中描述错误的是()。
A:检查评估可依据相关标准的要求,实施完整的风险评估过程;也可在自评估的基础上,对关键环节或重点内容实施抽样评估
B:检查评估可以由上级管理部门组织,也可以由本级单位发起,其重点是针对存在的问题进行检查和评测
C:检查评估可以由上级管理部门组织,并委托有资质的第三方技术机构实施
D:检查评估是通过行政手段加强信息安全管理的重要措施,具有强制性的特点
一般计算机控制
信息安全审计师检查用户生物身份验证系统时发现存在一个非认证人员可以更新存储生物身份认证模板的数据库服务器的弱点。以下哪项为控制此项风险的最佳方法?()
A:Kerberos
B:活体检测
C:复合生物识别方式
D:进出拍照记录
Shellcode是什么?()
A:是用C语言编写的一段完成特殊功能代码
B:是用汇编语言编写的一段完成特殊功能代码
C:是用机器码组成的一段完成特殊功能代码
D:命令行下的代码编写
要从网络攻击中恢复,以下哪项措施最重要?()
A:简历事故应对团队
B:动用网络取证调查员
C:执行业务连续性计划
D:归档保险理赔文件
关于对称加密算法和非对称加密算法,下列哪一种说法是正确的?()
A:对称加密算法更快,因为使用了替换密码和置换密码
B:对称加密算法更慢,因为使用了替换密码和置换密码
C:非对称加密算法的密钥分发比对称加密算法更困难
D:非对称加密算法不能提供认证和不可否认性
当一个关键文件服务器的存储增长没有被合理管理时,以下哪一项是最大的风险?()
A:备份时间会稳定增长
B:备份成本会快速增长
C:存储成本会快速增长
D:服务器恢复工作不能满足恢复时间目标(RTO)的要求
备份
嵌入审计模块
下面关于访问控制模型的说法不正确的是()。
A:DAC模型中主体对它所属的对象和运行的程序有全部的控制权
B:DAC实现提供了一个基于“need-to-know”的访问授权的方法,默认拒绝任何人的访问。访问许可必须被显示地赋予访问者
C:在MAC这种模型里,管理员管理访问控制。管理员制定策略,策略定义了哪个主体能访问哪个对象。但用户可以改变它
D:RBAC模型中管理员定义一系列角色(roles)并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型,主体具有相应的角色就可以访问它
以下哪一项不属于入侵检测系统的功能?()
A:监视网络上的通信数据流
B:捕捉可疑的网络活动
C:提供安全审计报告
D:过滤非法的数据包
某组织的计算机安全事故应对团队(CSIRT)针对最近出现的威胁公布了详细的说明。IS审计师最担心用户可能会:()
A:使用此信息发动攻击
B:转发安全警报
C:实施各自的解决方案
D:无法真正地了解威胁
在什么时候对于财务会计应用系统的授权逻辑访问过程中的错误最有可能被识别?()
A:信息系统审计期间
B:在执行身份管理方案之后
C:在会计对账过程中
D:在由业务所有者的定期访问检查中
下列哪项代表了对于IT人员预防控制方面的例子? ()
A:审查数据中心的访客日志
B:一个跟踪用户IP地址登录的日志服务器
C:IT设施中进入系统的证章制度的执行情况
D:一个可以追踪员工电话的记账本
分布式数据处理网络
安装防火墙时最可能发生的错误是:()
A:访问列表配置不正确
B:由于社会工程破坏了密码
C:连接了调制解调器到网络上的计算机
D:不足以保护网络和服务器免受病毒攻击
在linux系统中配置文件通常存放在什么目录下?()
A:/boot
B:/etc
C:/dev
D:/lib
我国目前最主要的关于计算机信息系统安全的法规是()
A:《中华人民共和国计算机信息系统安全保护条例》
B:《刑法》
C:《计算机信息网络国际联网安全保护管理办法》
一个个人经济上存在问题的公司职员有权独立访问高敏感度的信息,他可能窃取这些信息卖给公司的竞争对手,如何控制这个风险?()
A:开除这名职员
B:限制这名职员访问敏感信息
C:删除敏感信息
D:将此职员送公安部门
防火墙在哪几种模式下()
A:透明模式
B:路由模式
C:透明模式、路由模式
D:HUB模式、桥接模式
在网络通信中使用用户数据协议(UDP)的主要风险是()
A:数据包到达顺序混乱
B:通信延迟增加
C:与数据包广播不兼容
D:错误更正可能会减缓处理速度
以下哪项不是应急响应准备阶段应该做的?()
A:确定重要资产和风险,实施针对风险的防护措施
B:编制和管理应急响应计划
C:建立和训练应急响应组织和准备相关的资源
D:评估时间的影响范围,增强审计功能、备份完整系统
首页 <上一页 100 101 102 103 104 下一页> 尾页