出自:注册信息安全专业人员(CISA,CISO,CISE)

下列对强制访问控制描述不正确的是()。
A:主体对客体的所有访问请求按照强制访问控制策略进行控制
B:强制访问控制中,主体和客体分配有一个安全属性
C:客体的创建者无权控制客体的访问权限
D:强制访问控制不可与自主访问控制结合使用
下列对防火墙硬件架构描述正确的是()
A:所有的防火墙都是X86架构的
B:不同厂家的设备使用有不同的硬件架构
C:防火墙都是用的NP架构
D:防火墙使用的是ASIC和NP架构
20世纪70-90年代,信息安全所面临的威胁主要是非法访问、恶意代码和脆弱口令等,请问这是信息安全发展的什么阶段?()
A:通信安全
B:计算机安全
C:信息系统安全
D:信息安全保障
以下哪一项是防止口令嗅探攻击,以免危及计算机系统安全的控制措施()。
A:静态和循环口令
B:一次性口令和加密
C:加密和循环口令
D:静态和一次性口令
信息安全管理体系要求的核心内容是()?
A:风险评估
B:关键路径法
C:PDCA循环
D:PERT
路由器工作在OSI的哪一层?()
A:传输层
B:数据链路层
C:网络层
D:应用层
下列关于IKE描述不正确的是()
A:IKE可以为IPsec协商安全关联
B:IKE可以为RIPv2、OSPFv2等要求保密的协议协商安全参数
C:IKE可以为L2TP协商安全关联
D:IKE可以为SNMPv3等要求保密的协议协商安全参数
下面哪项不是工程实施阶段信息安全工程监理的主要目标?()
A:明确工程实施计划、对于计划的调整必须合理、受控
B:促使工程中所适用的产品和服务符合承建合同及国家相关法律、法规和标准
C:促使业务单位与承建单位充分沟通,形成深化的安全需求
D:促使工程实施过程满足承建合同的要求,并与工程设计方案、工程计划相符
通常在设计VLAN时,以下哪一项不是VIAN规划方法?()
A:基于交换机端口
B:基于网络层协议
C:基于MAC地址
D:基于数字证书
在IS战略审计中,以下那项是审计师考虑最不重要的()。
A:审核短期计划(1年)和长期计划(3到5年)。
B:审核信息系统流程。
C:访谈恰当的公司管理人员。
D:确保考虑外部环境。
以下哪一个是ITU的数字证书标准?()
A:SSL
B:SHTTP
C:x.509
D:SOCKS
ISO27002的内容结构按照()进行组织
A:管理制度
B:管理原则
C:管理框架
D:管理类-----控制目标----------控制措施
下面对于基于角色的访问控制的说法错误的是?()
A:它将若干特定的用户集合与权限联系在一起
B:角色一般可以按照部门、岗位、工程等与实际业务紧密相关的类别来划分
C:因为角色的变动往往低于个体的变动,所以基于角色的访问控制维护起来比较便利
D:对于数据库系统的适应性不强,是其在实际使用中的主要弱点
以下针对Land攻击的描述,哪个是正确的?()
A:Land是一种针对网络进行攻击的方式,通过IP欺骗的方式向目标主机发送欺骗性数据报文,导致目标主机无法访问网络
B:Land是一种针对网络进行攻击的方式,通过向主机发送伪造的源地址为目标主机自身的连接请求,导致目标主机处理错误形成拒绝服务
C:Land攻击是一种利用协议漏洞进行攻击的方式,通过发送定制的错误的数据包使主机系统处理错误而崩溃
D:Land是一种利用系统漏洞进行攻击的方式,通过利用系统漏洞发送数据包导致系统崩溃
库控制软件的目标是之一是允许()。
A:程序员访问产品源代码和目标数据库
B:批量程序升级
C:操作员在测试完成之前升级控制库和产品版本
D:只读方式获取源代码
以下哪一个代表EDI环境中潜在的最大风险()。
A:交易授权
B:遗失或重复EDI传输
C:传输延迟
D:在确定应用控制之前删除或操纵交易
以下关于置换密码的说法正确的是()。
A:明文根据密钥被不同的密文字母代替
B:明文字母不变,仅仅是位置根据密钥发生改变
C:明文和密钥的每个bit异或
D:明文根据密钥作了移位
下列哪一种方法是最佳实践,应纳入测试灾难恢复程序计划?()
A:邀请客户参与
B:涉及所有的技术人员
C:轮换灾难恢复经理
D:安装本地储存备份
信息资产足够的安全措施的责任属于()。
A:数据和系统所有者,例如公司管理层
B:数据和系统保管者,例如网络管理员和防火墙管理员
C:数据和系统用户,例如财务部
D:数据和系统经理
NAT技术不能实现以下哪个功能()
A:对应用层协议进行代理
B:隐藏内部地址
C:增加私有组织的地址空间
D:解决IP地址不足问题
以下关于SMTP和POP3协议的说法哪个是错误的()
A:SMTP和POP3协议是一种基于ASCII编码的请求/响应模式的协议
B:SMTP和POP3协议明文传输数据,因此存在数据泄漏的可能
C:SMTP和POP3协议缺乏严格的用户认证,因此导致了垃圾邮件问题
D:SMTP和POP3协议由于协议简单,易用性更高,更容易实现远程管理邮件
在Biba模型中,完整性威胁来源于子系统的()
A:内部
B:外部
C:内部或外部
D:既非内部也非外部
组织控制自我评估(CSA)的主要好处是?()
A:可以识别高风险领域,以便之后对其进行审计
B:可以使信息系统审计师独立的评估风险
C:可以被用于代替传统的审计
D:可以使管理层不用承担对于控制的职责
实施EDI处理的项目的可行性报告中应包括以下哪一项()。
A:加密算法的格式
B:详细的内部控制程序
C:必需的通信协议
D:建议的可信的第三方协议
为了有效的完成工作,信息系统安全部门员工最需要以下哪一项技能?()
A:人际关系技能
B:项目管理技能
C:技术技能
D:沟通技能
下面哪个角色对保护和控制敏感数据担负最终责任()。
A:数据使用者
B:安全管理者
C:数据所有人
D:数据保管人
在信息系统审计时,对于需要收集的数据的程序是基于以下哪项而决定的?()
A:重要信息及需求信息的可用性
B:审计师对环境的熟悉程度
C:被审计机构找到相关证据的能力
D:审计项目的目的和范围
当对在线交易进行调查时,一个企业意识到,一个交易是虚假的并需要诉诸法律。什么是企业首先要做的?()
A:欺诈交易分析的文档化
B:开始恢复由于欺诈损失的资金
C:法律化所有保存的日志文件
D:将系统从网络上去除
下列哪项是用于降低风险的机制?()
A:安全和控制实践
B:财产和责任保险
C:审计与认证
D:合同和服务水平协议
下面哪个在线审计技术对于早期发现错误或误报有效()。
A:嵌入式审计模块
B:综合测试工具
C:快照
D:审计钩
首页 <上一页 101 102 103 104 105 下一页> 尾页