出自:注册信息安全专业人员(CISA,CISO,CISE)

在小型组织内,充分的职责分工有些不实际,有个员工兼职作计算机操作员和应用程序师,IS审计师应推荐如下哪一种控制,以降低这种兼职的潜在风险()。
A:自动记录开发(程序/文档)库的变更
B:增员,避免兼职
C:建立适当的流程/程序,以验证只能实施经过批准的变更,避免非授权的操
D:建立阻止计算机操作员更改程序的访问控制
某网站在设计对经过了威胁建模和攻击面分析,在开发时要求程序员编写安全的代码,但是在部署时由于管理员将备份存放在WED目录下导致了攻击者可直接下载备份,为了发现系统中是否存在其他类拟问题,以下哪种测试方式是最佳的测试方法。()
A:模糊测试
B:源代码测试
C:渗透测试
D:软件功能测试
下面对于CC的“保护轮廓”(PP)的说法最准确的是()。
A:对系统防护强度的描述
B:对评估对象系统进行规范化的描述
C:对一类TOE的安全需求,进行与技术实现无关的描述
D:由一系列保证组件构成的包,可以代表预先定义的保证尺度
在收集司法证据时,以下哪个行动最有可能导致破坏或损失在被入侵的系统里发现的证据?()
A:转储内存到文件里
B:创建被入侵系统的磁盘镜像
C:重启系统
D:从网络里移除系统
国家科学技术秘密的密级分为绝密级、机密级、秘密级,以下哪项属于绝密级的描述?()
A:处于国际先进水平,并且有军事用途或者对经济建设具有重要影响的
B:能够局部反应国家防御和治安实力的
C:我国独有、不受自然条件因素制约、能体现民族特色的精华,并且社会效益或者经济效益显著的传统工艺
D:国际领先,并且对国防建设或者经济建设具有特别重大影响的
以下谁具有批准应急响应计划的权利?()
A:应急委员会
B:各部门
C:管理层
D:外部专家
为了实施业务影响分析来确定应用系统的关键性,需要咨询的重要的人群是?()
A:业务过程所有者
B:IT管理人员
C:高级业务管理人员
D:工业专家
下列哪项ISO27000系列是关于ISMS要求的()
A:ISO27001
B:ISO27002
C:ISO27003
D:ISO27004
TCP采用第三次握手来建立一个连接,第二次握手传输什么信息?()
A:SYN
B:SYN+ACK
C:ACK
D:FIN
下面关于信息安全保障的说法正确的是()
A:信息安全保障的概念是与信息安全的概念同时产生的
B:信息系统安全保障要素包括信息的完整性、可用性和保密性
C:信息安全保障和信息安全技术并列构成实现信息安全的两大主要手段
D:信息安全保障是以业务目标的实现为最终目的,从风险和策略出发,实施各种保障要素,在系统的生命周期内确保信息的安全属性
哪类安全产品可以检测对终端的入侵行为?()
A:基于主机的IDS
B:基于防火墙的IDS
C:基于网络的IDS
D:基于服务器的IDS
一种用来保证程序的源代码和执行代码相一致的控制是()。
A:验证程序的移动请求是经过授权的
B:要求对程序、系统和代码进行平行测试
C:授权程序员只能对测试库进行访问
D:将源代码重新编译到生产库中
IS审计师审查数据库控制发现在正常工作时间对数据库的修改需要一系列标准程序,然而,正常时间之外,只需要很少步骤的操作就可以完成变更,对于这种情况,应该考虑增加下面哪一项补偿控制()。
A:只允许数据库管理员帐户进行修改
B:在对正常账户授权后,才可修改数据库
C:使用DBA帐户修改,记录修改并日后审查修改日志
D:使用一般用户帐户进行修改,记录修改并日后审查修改日志
我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面,以下关于信息安全保障建设主要工作内容说法不正确的是()
A:健全国家信息安全组织与管理体制机制,加强信息安全工作的组织保障
B:建设信息安全基础设施,提供国家信息安全保障能力支撑
C:建立信息安全技术体系,实现国家信息化发展的自主创新
D:建立信息安全人才培养体系,加快信息安全学科建设和信息安全人才培养
恢复策略的选择最可能取决于()。
A:基础设施和系统的恢复成本
B:恢复站点的可用性
C:关键性业务流程
D:事件响应流程
下面哪一个短语能用来描述包含在一个应用程序中一系列指令中的恶意代码,例如一个字处理程序或表格制作软件?()
A:主引导区病毒
B:宏病毒
C:木马
D:脚本病毒
保留档案是为了保证()。
A:不能读数据,直到确定日期
B:数据在日期之前不会被删除
C:备份在日期之后不再保留备份
D:区分名字相同的数据集
IS审计师分析数据库管理系统(DBMS)的审计日志时,发现一些事务(transactions)只执行了一半就出错了,但是没有回滚整个事务。那么,这种情况违反了事务处理特性的哪一项()。
A:一致性
B:独立性
C:持续性
D:原子性
一个可以对任意长度的报文进行加密和解密的加密算法称为()
A:链路加密
B:批量加密
C:端对端加密
D:流加密
一个信息系统审计师正在为一个医疗机构的生产和测试两种应用环境进行检查,再一次访谈中,该审计员注意到生产数据被用于测试环境中,以测试程序改变,什么是这种情况下最显著的潜在风险?()
A:测试环境可能没有充足的控制以确保数据精确
B:测试环境可能由于实用生产数据而产生不精的结果
C:测试环境的硬件可能与生产环境不同
D:测试环境可能没有充分的访问控制来确保数据机密性
为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“智能卡+短信认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法?()
A:实体“所知”以及实体“所有”的鉴别方法
B:实体“所有”以及实体“特征”的鉴别方法
C:实体“所知”以及实体“特征”的鉴别方法
D:实体“所有”以及实体“行为”的鉴别方法
以下哪项灾难恢复测试技术对于检测计划的有效性是最有效?()
A:准备测试
B:书面推演
C:全面测试
D:实际业务中断
在数据库应用系统的需求定义阶段,性能被列为优先要求。访问数据库管理系统(DBMS)文件时,推荐采用如下哪一种技术以获得最佳的输入、输出(I/O)性能()。
A:存储区域网络(SAN,Storage area network)
B:网络接入存储(NAS,Network Attached Storage)
C:网络文件系统(NFS v2,Network file system)  
D:通用互联网文件系统(CIFS,Common Internet File System)
通过提取和重新使用设计和程序组件,现有的系统得到了扩张和强化。这是()。
A:逆向工程
B:原型法
C:软件重用
D:业务流程再设计
由于IT的发展,灾难恢复计划在大型组织中的应用也发生了变化。如果新计划没有被测试下面哪项是最主要的风险?()
A:灾难性的断电
B:资源的高消耗
C:恢复的总成本不能被最小化
D:用户和恢复团队在实施计划时可能面临服务器问题
IS审计师审查组织图主要是为了()。
A:理解工作流程
B:调查各种沟通渠道
C:理解个人的责任和权利
D:调查员工之间不同的联系渠道
审计轨迹是有助于管理者管理个人责任的技术机制,以下哪一项控制能更好地与审计轨迹协同工作()。
A:物理访问控制
B:环境控制
C:管理控制
D:逻辑访问控制
以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?()
A:ARP协议是一个无状态的协议
B:为提高效率,ARP信息在系统中会缓存
C:ARP缓存是动态的,可被改写
D:ARP协议是用于寻址的一个重要协议
下面哪类访问控制模型是基于安全标签实现的?()
A:自主访问控制
B:强制访问控制
C:基于规则的访问控制
D:基于身份的访问控制
以下哪一项是平行测试法的主要目的()。
A:确定系统的成本效益
B:允许全面的单元和系统测试
C:发现程序与文件接口处的错误
D:确保新系统满足用户要求
首页 <上一页 10 11 12 13 14 下一页> 尾页