出自:注册信息安全专业人员(CISA,CISO,CISE)

入侵防御系统(IPS)是继入侵检测系统(IDS)后发展期出来的一项新的安全技术,它与IDS有着许多不同点,请指出下列哪一项描述不符合IPS的特点?()
A:串接到网络线路中
B:对异常的进出流量可以直接进行阻断
C:有可能造成单点故障
D:不会影响网络性能
如下内容中的哪些将是最安全的防火墙系统?()
A:屏蔽主机防火墙
B:屏蔽子网式防火墙
C:双宿主防火墙
D:状态检测防火墙
关于源代码审核,下列说法正确的是()
A:人工审核源代码审校的效率低,但采用多人并行分析可以完全弥补这个缺点
B:源代码审核通过提供非预期的输入并监视异常结果来发现软件故障,从而定位可能导致安全弱点的薄弱之处
C:使用工具进行源代码审核,速度快,准确率高,已经取代了传统的人工审核
D:源代码审核是对源代码检查分析,检测并报告源代码中可能导致安全弱点的薄弱之处
准备业务连续性计划时,确定恢复点目标(RPO)需要知道()。
A:一旦运营中断,可接受的数据丢失程度
B:一旦运营中断,可接受的停机时间
C:可用的非现场备份设施类型(是冷站、温站,还是热站)
D:支持关键业务功能的IT平台类型
以下哪一种网络配置结构能使任意两台主机之间均有直接连接()。
A:总线
B:环型
C:星型
D:全连接(网状)
某政府机构委托开发商开发了一个OA系统,其中有一个公文分发,公文通知等为WORD文档,厂商在进行系统设计时使用了FTP来对公文进行分发,以下说法不正确的是()
A:FTP协议明文传输数据,包括用户名和密码,攻击者可能通过会话过程嗅探获得FTP密码,从而威胁OA系统
B:FTP协议需要进行验证才能访问在,攻击者可以利用FTP进行口令的暴力破解
C:FTP协议已经是不太使用的协议,可能与新版本的浏览器存在兼容性问题
D:FTP应用需要安装服务器端软件,软件存在漏洞可能会影响到OA系统的安全
微软提出了STRIDE模型,其中R是Repudiation(抵赖)的缩写,关于此项错误的事是()
A:某用户在登录系统并下载数据后,却声称“我没有下载过数据"
B:某用户在网络通信中传输完数据后,却声称“这些数据不是我传输的”威胁也属于R威胁。
C:对于R威胁,可以选择使用如强认证、数字签名、安全审计等技术
D:对于R威胁,可以选择使用如隐私保护、过滤、流量控制等技术
公钥密码算法和对称密码算法相比,在应用上的优势是()。
A:密钥长度更长
B:加密速度更快
C:安全性更高
D:密钥管理更方便
下列关于Kerberos的描述,哪一项是正确的?()
A:埃及神话中的有三个头的狗
B:安全模型
C:远程身份验证拨入用户服务器
D:一个值得信赖的第三方认证协议
组织中的无线网络访问点由不能更新到更高安全性的旧访问点和较新具有高级无线安全性的访问点混合组成。IS审计师建议替换掉无法更新的旧访问点。以下哪个选项最能够证明IS审计师的建议是正确的?()
A:可以承担得起具有更高安全性的访问点
B:旧访问点在性能方面较差
C:组织安全性的强弱取决于最弱的点
D:新访问点更易于管理
持续审计方法的主要优点是()。
A:当处理过程开始的时候,不要求审计师就系统的可靠性收集证据
B:当所有信息收集完成后,需要审计师审查并立即采取行动
C:可以提高系统的安全性,当使用分时环境处理大量的交易时
D:不依靠组织的计算机系统的复杂性。
以下哪一项不是流氓软件的特征?()
A:通常通过诱骗或和其他软件捆绑在用户不知情的情况下安装
B:通常添加驱动保护使用户难以卸载
C:通常会启动无用的程序浪费计算机的资源
D:通常会显示下流的言论
SSL协议通过以下哪种方式来确保消息的机密性?()
A:对称加密
B:消息验证代码
C:哈希函数
D:数字签名认证
下列对防火墙接口描述正确的是()
A:防火墙只有三个接口,且都固定好名称内网口、外网口、DMZ接口
B:防火墙的接口名称和接口的安全属性都可以更改
C:防火墙的接口名称和属性不可修改,但是可以扩展接口
D:防火墙的接口只有一种是电口
等级保护规划与设计阶段主要包括哪三个步骤()
A:系统分域保护框架建立、选择和调整安全措施、安全规划和方案设计
B:系统分域保护框架建立、选择和调整安全措施、安全规划
C:系统分域保护框架建立、选择和调整安全措施、方案设计
D:系统分域保护框架建立、调整安全措施、安全规划和方案设计
以下哪一个数据编辑验证对于检查数据传输和变换是有效的()。
A:范围检查
B:核对数字
C:有效性检查
D:重复检验
传统软件开发方法无法有效解决软件安全缺陷问题的原因是()。
A:传统软件开发方法将软件开发分为需求分析、架构设计、代码编写、测试和运行维护五个阶段
B:传统的软件开发方法,注重软件功能实现和保证,缺乏对安全问题进行处理的任务、里程碑与方法论,也缺乏定义对安全问题的控制与检查环节
C:传统的软件开发方法,将软件安全定义为编码安全,力图通过规范编码解决安全问题,缺乏全面性
D:传统的软件开发方法仅从流程上规范软件开发过程,缺乏对人员的培训要求,开发人员是软件安全缺陷产生的根源
计算机病毒会对下列计算机服务造成威胁,除了()。
A:完整性
B:有效性
C:保密性
D:可用性
远程作业输入
IS审计师在审查虚拟专用网络(VPN)实施情况时,以下哪种情况最令其担忧?网络中的计算机位于:()
A:企业的内部网络
B:备用站点
C:员工家里
D:企业的远程办公室
信息安全管理体系是基于()的方法,来建立、实施、运作、监视、评审、保持和改进信息安全。
A:信息安全
B:业务风险
C:信息系统防护
D:安全风险
公司内部审计部门为了达到持续审计的目的,开发并维护了ACL脚本,为了保持连续监控目的,这些脚本被提供给IT管理部门,这种情况导致潜在的与审计师独立性和客观性相关的冲突,下述哪一种行为可以最好的解决该问题?()
A:内部审计小组应该停止共享这些脚本,IT管理部门必须开发他自己的脚本。
B:由于持续监控和持续审计是相似的功能,IT管理部门应该将持续监控的任务指派给内部审计部门。
C:IT管理部门应该继续用这些脚本并进行持续监控,并理解他需要对测试和维护脚本负责。
D:内部审计小组应该检查这些脚本所被应用的领域,并减少审计的范围和频率。
操作应用系统由于错误发生故障。下列哪个控制是最没有用的?()
A:错误总计
B:日志
C:检查点控制
D:恢复记录
某零售企业的每个出口自动对销售定单进行顺序编号。小额定单直接在出口处理,而大额定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是()。
A:发送并对账交易数及总计
B:将数据送回本地进行比较
C:利用奇偶检查来比较数据
D:在生产机构对销售定单的编号顺序进行追踪和计算
下面哪个是管理业务连续性计划中最重要的方面?()
A:备份站点安全以及距离主站点的距离
B:定期测试恢复计划
C:完全测试过的备份硬件在备份站点可有
D:多个网络服务的网络连接是可用
在一个在线交易处理系统中,数据的完整性是通过确保交易不是被全部执行就是完全不执行的来维持的。这种数据完整性原理被称为?()
A:隔离性
B:一致性
C:原子性
D:持久性
一家金融服务公司拥有一个独立代理用来管理客户账户的网站。在检查系统的逻辑访问时,IS审计师注意到,一些用户ID似乎被多个代理用户共享。此时,IS审计师最适合采取以下哪项行动:()
A:通知审计委员会存在潜在问题
B:要求详细审查相关ID的审计日志
C:记录结果并对使用共享ID的风险作出解释
D:联系安全经理,要求从系统中删除这些ID
风险评估主要包括风险分析准备、风险素识别、风险分析和风险结果判定四个主要过程,关于这些过程,以下的说法哪一个是正确的?()
A:风险分析准备的内容是识别风险的影响和可能性
B:风险要素识别的内容是识别可能发生的安全事件对信息系统的影响程度
C:风险分析的内容是识别风险的影响和可能性
D:风险结果判定的内容是发现系统存在的威胁、脆弱和控制措施
在审计章程中记录的审计功能中的责任、权力和经营责任,必须()。
A:必须经最高管理层批准
B:经审计部门管理者批准
C:经用户部门领导批准
D:在每年IS审计师大会之前修改
以下哪一组数据加密技术使用公钥算法()。
A:RSA和DES
B:RSA和DSA
C:DES和DSA
D:DES和IDEA
首页 <上一页 108 109 110 111 112 下一页> 尾页