出自:注册信息安全专业人员(CISA,CISO,CISE)

有关密码学分支的定义,下列说法中错误的是()。
A:密码学是研究信息系统安全保密的科学,由两个相互对立、相互斗争、而且又相辅相成、相互渗透的分支科学所组成的、分别称为密码编码学和密码分析学
B:密码编码学是对密码体制、密码体制的输入输出关系进行分析、以便推出机密变量、包括明文在内的敏感数据
C:密码分析学主要研究加密信息的破译或信息的伪造
D:密码编码学主要研究对信息进行编码,实现信息的隐藏
下列关于ISO15408信息技术安全评估准则(简称CC)通用性的特点,即给出通用的表达方式,描述不正确的是()
A:如果用户、开发者、评估者和认可者都使用CC语言,互相就容易理解沟通
B:通用性的特点对规范实用方案的编写和安全测试评估都具有重要意义
C:通用性的特点是在经济全球化发展、全球信息化发展的趋势下,进行合格评定和评估结果国际互认的需要
D:通用性的特点使得CC也适用于对信息安全建设工程实施的成熟度进行评估
在控制应用程序维护时,下面哪一项最有效()。
A:通知用户变化的情况
B:确定程序变化的优先权
C:关于程序变更获得用户批准
D:要求记录用户关于变化的说明
在SQL(结构化查询语言)中,下列哪个是DML(数据操纵语言):()
A:CREATE
B:GRANT
C:INSERT
D:DROP
在业务持续计划中,下列哪一项具有最高优先级?()
A:恢复关键处理
B:恢复敏感处理
C:恢复现场
D:迁移操作至另一个可替代站点
信息系统审计师在一个客户/服务器环境下评审访问控制时,发现用户能接触所有打印选项,在这种情况下,信息系统审计师最可能归纳出()。
A:信息被非授权用户使用,信息泄漏很严重。
B:任何人在任何时候都可以打印任何报告,运行效率得到提高。
C:信息容易被使用,使工作方法更加有效。
D:用户中信息流动通畅,促进了用户的友好性和灵活性。
应急计划能应对下列哪一种威胁()。
A:物理威胁和软件威胁
B:软件威胁和环境威胁
C:物理威胁和环境威胁
D:软件威胁和硬件威胁
在因特网应用中使用小应用程序(applets)的最有可能的解释是()。
A:它是从服务器跨网络发送
B:服务器不能运行程序且输出不能跨网络发送
C:它可同时改进WEB服务器和网络的性能
D:它是一种通过WEB浏览器下载并在客户机的WEB服务器上运行的JAVA程序
用于IT开发项目的业务模式(或业务案例)文档应该被保留,直到()
A:系统的生命周期结束
B:项目获得批准
C:用户验收了系统
D:系统被投入生产
一个关键的IT系统开发人员突然离职,下面哪一个选项是最重要的措施?()
A:由HR和他进行一次离职面谈
B:启动交接程序,确保项目继续进行,
C:中止这个开发人员对IT资源的逻辑访问权限
D:确保管理部门办理好离职手续
审计涵盖关键业务领域的灾难恢复计划时,IS审计师发现该计划没有包括全部系统。那么,IS审计师最为恰当的处理方式是()。
A:推迟审计,直到把全部系统纳入DRP
B:知会领导,并评估不包含所有系统所带来的影响
C:中止审计
D:按照现有的计划所涵盖的系统和范围继续审计,直到全部完成
在测试数据中使用生产交易的一个优点是:()
A:包括了所有的交易类型
B:每一个错误情况可能被测试
C:没有特例要求评估结果
D:测试交易是实际处理的代表
以下哪个不是防火墙具备的功能?()
A:防火墙是指设置在不同网络或网络安全域(公共网和企业内部网)之间的一系列部件的组合
B:它是不同网络(安全域)之间的唯一出入口
C:能根据企业的安全政策控制(允许、拒绝、检测)出入网络的信息流
D:防止来源于内部的威胁和攻击
在提高阿帕奇系统(Apache HTTP Server)系统安全性时,下面哪项措施不属于安全配置内容()?
A:不在Windows下安装Apache,只在Linux和Unix下安装
B:安装Apache时,只安装需要的组件模块
C:不使用操作系统管理员用户身份运行Apache,而是采用权限受限的专用用户账号来运行
D:积极了解Apache的安全通告,并及时下载和更新
ISMS的内部审核员(非审核组长)的责任不包括()?
A:熟悉必要的文件和程序
B:根据要求编制检查列表
C:配合支持审核组长的工作,有效完成审核任务
D:负责实施整改内审中发现的问题
以下哪些是信息资产无需明确的?()
A:所有者
B:管理者
C:厂商
D:使用者
下列哪一项准确地描述了标准、基线、指南和规程的定义?()
A:标准是完成某项任务的详细步骤,规程是建议性的操作指导
B:基线是强制性的规定,指南是建议性的操作指导
C:标准是强制性的规定,规程是完成某项任务的详细步骤
D:规程是建议性的操作指导,基线是必须具备的最低安全水平
在桔皮书(the Orange Book)中,下面级别中哪一项是第一个要求使用安全标签(security label)的?()
A:B3
B:B2
C:C2
D:D
“中华人民共和国保守国家秘密法”第二章规定了国家秘密的范围和密级,国家秘密的密级分为:()。
A:“普密”、“商密”两个级别
B:“低级”和“高级”两个级别
C:“绝密”、“机密”、“秘密”三个级别
D:“一密”、“二密”、“三密”、“四密”四个级别
有关危害国家秘密安全的行为,包括()
A:严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为
B:严重违反保密规定行为、公共信息网络运营商及服务商不履行保密义务的行为、保密行政管理部门的工作人员的违法行为,但不包括定密不当行为
C:严重违反保密规定行为、定密不当行为、保密行政管理部门的工作人员的违法行为,但不包括公共信息网络运营商及服务商不履行保密义务的行为
D:严重违反保密规定行为、定密不当行为、公共信息网络运营商及服务商不履行保密义务的行为,但不包括保密行政管理部门的工作人员的违法行为
BGP路由协议用哪个协议的哪个端口进行通信:()
A:UDP520
B:TCP443
C:TCP179
D:UDP500
为了增强电子邮件的安全性,人们经常使用PGP,它是()
A:一种基于RSA的邮件加密软件
B:一种基于白名单的反垃圾邮件软件
C:基于SSL和VPN技术
D:安全的电子邮箱
下面哪一种功能不是防火墙的主要功能()。
A:协议过滤
B:应用网关
C:扩展的日志记录能力
D:包交换
下面关于软件测试的说法错误的是()。
A:所谓“黑盒”测试就是测试过程不测试报告中的进行描述,切对外严格保密
B:出于安全考虑,在测试过程中尽量不要使用真实的生产数据
C:测试方案和测试结果应当成为软件开发项目文档的主要部分被妥善的保存
D:软件测试不仅应关注需要的功能是否可以被实现,还要注意是否有不需要的功能被实现了
一个在多个地区拥有办事处的组织已经制定了一个灾难恢复计划,实际动用资源进行测试的话,下面哪个DRP是最有成本效率的?()
A:全盘测试
B:预演测试
C:纸面测试
D:回归测试
作为观察员你参加了组织每年一次的BCP演练在演练过程中你发现异地信息系统数据库的版本与记录的不同,这有非常可能导致演练失败,最为信息系统审计师的你这个时候最合适的行动是()。
A:记录这个事实
B:向业务连续经理报告
C:中断这次演练
D:什么都不做
获得优质软件的最佳途径是()
A:通过彻底的测试
B:发现并快速纠正编程错误
C:根据可用时间和预算决定测试的数量
D:在整个项目过程中应用定义良好的流程和结构化的审核
据信息系统安全保障评估框架,确定安全保障需求考虑的因素不包括下面哪一方面?()
A:法规政策的要求
B:系统的价值
C:系统要对抗的威胁
D:系统的技术构成
以下哪一种控制方法最有效的保证产品源代码和目标代码是一致的()。
A:源代码和目标代码比较报告
B:库控制软件严格限制对于源代码的改变
C:严格限制访问源代码和目标代码
D:对于源代码和目标代码的数据和时间戳审查
最小特权是软件安全设计的基本原则,某应用程序在设计时,设计人员给出了以下四种策略,其中有一个违反了最小特权的原则,作为评审专家,请指出是哪一个?()
A:软件在Linux下按照时,设定运行时使用nobody用户运行实例
B:软件的日志备份模块由于需要备份所有数据库数据,在备份模块运行时,以数据库备份操作员账号连接数据库
C:软件的日志模块由于要向数据库中的日志表中写入日志信息,使用了一个日志用户账号连接数据库,该账号仅对日志表拥有权限
D:为了保证软件在Windows下能稳定的运行,设定运行权限为system,确保系统运行正常,不会因为权限不足产生运行错误
首页 <上一页 9 10 11 12 13 下一页> 尾页