出自:注册信息安全专业人员(CISA,CISO,CISE)

作为一名信息安全专业人员,你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动较大,你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限,最应该采用下列哪一种访问控制模型?()
A:自主访问控制(DAC)
B:强制访问控制(MAC)
C:基于角色访问控制(RBAC)
D:最小特权(LEASTPrivilege)
下列关于kerckhofff准则的合理性阐述中,哪一项是正确的?()
A:保持算法的秘密比保持密钥的秘密性要困难得多
B:密钥一旦泄漏,也可以方便地更换
C:在一个密码系统中,密码算法是可以公开的,密钥应保证安全
D:公开的算法能够经过更严格的安全性分析
在原型法的初始阶段,下面哪一种测试方法最有效()。
A:系统
B:平行
C:总量
D:从上到下
以下哪项环境控制措施可以在发生短时电力减弱时提供保护?()
A:电路调节器
B:防浪涌设备
C:冗余电源
D:不间断电源
以下哪一个是并行性测试的最主要目的?()
A:衡量系统是否成本效益
B:使用全面的单元和系统测试
C:在程序接口处发现错误
D:确保新系统满足用户需求
以下关于符合性管理的描述中错误的是()
A:符合性包括法律法规的符合性和组织安全策略方针的符合性
B:仅在组织内部使用的信息系统不必考虑来自外部的法律法规的要求
C:通过信息系统审核检查符合性时,应尽量减少审核对信息系统的影响
D:符合性管理中应当注意用户个人隐私保护问题
下列对XSS攻击描述正确的是:()
A:XSS攻击指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
B:XSS攻击是DDOS攻击的一种变种
C:XSS攻击就是CC攻击
D:XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使IIS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的
信息安全工程监理模型不包括下面哪一项?()
A:监理咨询服务
B:咨询监理支撑要素
C:监理咨询阶段过程
D:控制管理措施
组织内应急通知应主要采用以下哪种方式?()
A:电话
B:电子邮件
C:人员
D:公司OA
项目管理是信息安全工程的基本理论,以下哪项对项目管理的理解是正确的?()
A:项目管理的基本要素是质量,进度和成本
B:项目管理的基本要素是范围,人力和沟通
C:项目管理是从项目的执行开始到项目结束的全过程进行计划、组织
D:项目管理是项目的管理者,在有限的资源约束下,运用系统的观点,方法和理论。对项目涉及的技术工作进行有效地管理
在判断是否有未授权的对生产程序的修改时,IS审计师可以使用以下哪一项?()
A:系统日志分析
B:合规性测试
C:司法分析
D:分析审评
层次型数据库
下列哪项说明了企业架构的目的()。
A:确保内部和外部战略一致。
B:匹配组织的IT架构。
C:匹配组织的IT架构并且确保IT架构的设计匹配组织的战略。
D:确保IT投资和业务战略一致。
Alice从Sue那里收到一个发给她的密文,其他人无法解密这个密文,Alice需要用哪个密钥来解密这个密文?()
A:Alice的公钥
B:Alice的私钥
C:Sue的公钥
D:Sue的私钥
简单包过滤防火墙主要工作在()
A:链路层/网络层
B:网络层/传输层
C:应用层
D:会话层
在人工智能系统中,应该严格控制访问下面哪种组件()。
A:推论引擎
B:模式解释
C:知识库
D:数据接口
存储过程是SQL语句的一个集合,在一个名称下储存,按独立单元方式执行,以下哪一项不是使用存储过程的优点?()
A:提高性能,应用程序不用重复编译此过程
B:降低用户查询数量,减轻网络拥塞
C:语句执行过程中如果中断,可以进行数据回滚,保证数据的完整性和一致性
D:可以控制用户使用存储过程的权限,以增强数据库的安全性
你来到服务器机房隔壁的一间办公室,发现窗户坏了。由于这不是你的办公室,你要求在这里办公的员工请维修工来把窗户修好。你离开后,没有再过问这扇窗户的事情。这件事的结果对与特定脆弱性相关的威胁真正出现的可能性会有什么影响?()
A:如果窗户被修好,威胁真正出现的可能性会增加
B:如果窗户被修好,威胁真正出现的可能性会保持不变
C:如果窗户没有被修好,威胁真正出现的可能性会下降
D:如果窗户没有被修好,威胁真正出现的可能性会增加
在组织内实施IT治理框架时,最重要的目标是()。
A:IT与业务目标相一致
B:可说明性
C:IT价值实现
D:增加IT投资回报
路由器的标准访问控制列表以什么作为判别条件?()
A:数据包的大小
B:数据包的源地址
C:数据包的端口号
D:数据包的目的地址
下列哪种计划包括了大约3年的远景()。
A:日常计划
B:长期计划
C:运营计划
D:战略计划
一个信息系统审计师审核一个组织使用交叉培训的方法时应该评估什么风险?()
A:依赖一个人
B:继任规划不足
C:一个人知道系统的所有部分
D:操作中断
不受限制的访问生产系统程序的权限将授予以下哪些人?()
A:审计师
B:不可授予任何人
C:系统的属主
D:只有维护程序员
规划并监控计算机资源,以确保其得到有效利用的是()。
A:硬件监控
B:能力管理
C:网络管理
D:作业调度
有关认证和认可的描述,以下不正确的是()。
A:认证就是第三方依据程序对产品、过程、服务符合规定要求给予书面保证(合格证书)
B:根据对象的不同,认证通常分为产品认证和体系认证
C:认可是由某权威机构依据程序对某团体或个人具有从事特定任务的能力给予的正式承认
D:企业通过ISO27001认证则说明企业符合ISO27001和ISO27002标准的要求
访问路径
信息系统安全目标(ST)是()在信息系统安全特性和评估范围之间达成一致的基础。
A:开发者和评估者
B:开发者、评估者和用户
C:开发者和用户
D:评估者和用户
下列哪个不是软件缺陷(漏洞)的来源()
A:对软件需求分析中缺乏对安全需求、安全质量的定义,导致软件设计中缺乏与安全需求对应的安全功能与安全策略
B:对软件设计中缺乏安全方面的考虑,设计了不安全或没有很好的权限与能力限制的功能,或者缺乏对应安全需求的安全功能、安全策略设计
C:软件的代码编制过程中,由于开发人员对安全缺乏理解及相关知识,或者失误,导致了错误的逻辑或者为对数据进行过滤和检查,或者对自身权限的限制
D:在软件的测试过程中,由于开发测试人员缺乏对安全使用软件的理解,使用了非常规的操作方法,导致了错误的逻辑或突破了权限的限制
在审查基于WEB的软件开发项目时,IS审计师发现没有强调编码规则,并且没有进行代码审核。这有可能增加以下哪种成功的可能性()。
A:缓冲溢出
B:强力攻击
C:分布式拒绝服务攻击
D:战争拨号攻击
Linux文件系统采用的是树型结构,在根目录下默认存在var目录,它的的功用是()?
A:公用的临时文件存储点
B:系统提供这个目录是让用户临时挂载其他的文件系统
C:某些大文件的溢出区
D:最庞大的目录,要用到的应用程序和文件几乎都在这个目录
首页 <上一页 13 14 15 16 17 下一页> 尾页