出自:注册信息安全专业人员(CISA,CISO,CISE)

桥接或透明模式是目前比较流行的防火墙部署方式,这种方式的优点不包括()
A:不需要对原有的网络配置进行修改
B:性能比较高
C:防火墙本身不容易受到攻击
D:易于在防火墙上实现NAT
在IS审计的计划阶段中,IS审计员是首要目标是:()
A:处理审计目标
B:收集充分证据
C:确定合适的测试
D:最小化审计资源
IS审计师参加了软件开发项目的测试过程确认单个模块表现正确。IS审计师应该()。
A:推断多个单独模块成组运行时也应该是正确的
B:记录测试作为系统能够产生预期结果的正面证据
C:通知管理层并建议整体测试
D:提供增加的测试数据
下列对跨站脚本攻击(XSS)的描述正确的是()。
A:XSS攻击指的是恶意攻击者往web页面里插入恶意代码,当用户浏览该页之时,嵌入其中web里面的代码会被执行,从而达到恶意攻击用户的特殊目的
B:XSS攻击是DDOS攻击的一种变种
C:XSS攻击就是CC攻击
D:XSS攻击就是利用被控制的及其不断地向被攻击网站发送访问请求,迫使IIS连接数超出限制,当CPU资源或带宽资源耗尽,那么网站也就被攻击跨了,从而达到攻击目的
传输控制协议(TCP)是传输层协议,以下关于TCP协议的说法,哪个是正确的?()
A:相比传输层的另外一个协议UDP,TCP既提供传输可靠性,还同时具有更高的效率,因此具有广泛的用途
B:TCP协议包头中包含了源IP地址和目的IP地址,因此TCP协议负责将数据传送到正确的主机
C:TCP协议具有流量控制、数据校验、超时重发、接收确认等机制,因此TCP协议能完全替代IP协议
D:TCP协议虽然高可靠,但是相比UDP协议机制过于复杂,传输效率要比UDP低
以下哪项活动对安全编码没有帮助?()
A:代码审计
B:安全编码规范
C:编码培训
D:代码版本管理
在局域网环境中,以下哪一项最不需要冗余计划()。
A:线缆
B:服务器
C:供电系统
D:集线器
当审计师注意到IDS日志中端口扫描内容没有被分析,缺少这种分析最有可能增加下列那类攻击成功带来的风险()。
A:拒绝服务
B:重放
C:社会工程学
D:缓冲溢出
信息安全风险评估分为自评估和检查评估两种形式,下列描述不正确的是()。
A:信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充
B:检查评估可在自评估实施的基础上,对关键环节或重点内容实施抽样评估
C:检查评估也可委托风险评估服务技术支持方实施,但评估结果仅对检查评估的发起单位负责
D:检查评估是指信息系统上级管理部门组织有关职能部门开展的风险评估
在灾难后恢复数据,如下哪个是最好的有效备份和恢复流程指标?()
A:恢复组成员是可供使用
B:恢复时间目标(RTO)是契合的
C:备份磁带库是最恰当维护的
D:备份磁带是被完整的恢复到一个轮替站点
下面哪一个最能直接受到网络性能监测工具的影响?()
A:完整性
B:可用性
C:完全性
D:保密性
在电子商务网站中应用不对称加密,其中有一个主机服务器的私钥,公钥被广泛分发给顾客,这最可能提供帮助给下列()。
A:通过主办组织的身份认证的顾客
B:通过顾客的身份认证的主办组织
C:通过传递给主办组织信息机密性的顾客
D:通过传递给顾客的信息机密性的主办组织
在风险处置过程中,应当考虑的风险处置措施,通常在哪种情况下采用?()
A:负面影响损失小于安全投入
B:负面影响损失和安全投入持平
C:负面影响损失和安全投入都很小
D:安全投入小于面影响损失
在审核组织的系统开发方法学时,IS审计人员通常首先执行以下哪一项审计程序?()
A:确定程序的充分性
B:分析程序的效率
C:评价符合程序的程度
D:比较既定程序和实际观察到的程序
除了对访问、处理、程序变更和其他功能进行控制外,为保障系统的安全需要仍需要建立信息审计追踪。在一个用来记录非法的系统访问尝试的审计追踪日志中,一般不会包括下列哪项信息?()
A:授权用户列表
B:事件或交易尝试的类型
C:进行尝试的终端
D:被获取的数据
对于IT安全策略的审计的主要目的是保证()。
A:策略向所有员工分发,并且每个员工都知道
B:安全和控制策略支持业务和IT目标
C:有公开发行的组织图表和功能描述
D:适当的职责分离
最近一次IS审计师发现由于缺少有经验的技术人员,安全管理员作为高级计算机操作人员每天都工作到深夜。IS审计师最合适的做法是()。
A:建议风险包括安全管理人员
B:同意与这些警卫班一起工作作为预防控制
C:建立计算机辅助审计技术发现滥用这项安排
D:审查每个晚班的系统日志确定是否存在非法行为
在WINDOWS2000系统中,哪个进程是IIS服务的进程()
A:Inetinfo.exe
B:Lsass.exe
C:Mstask.exe
D:Internat.exe
ISMS审核常用的审核方法不包括()。
A:纠正预防
B:文件审核
C:现场审核
D:渗透测试
审查组织中局域网(LAN)性能的IS审计师应该首先检查:()
A:连接和无连接服务
B:网络拓扑图
C:数据、语音和视频吞吐量要求
D:广域网(WAN)连接的数量
某零售企业的每个出口自动到销售定单进行顺序编号。小额定单直接在出口处理,而大额定单则送往中心生产机构。保证所有送往生产机构的定单都被接收和处理的最适当的控制是()。
A:发送并对账交易数及总计
B:将资料送回本地进行比较
C:利用奇偶检查来比较资料
D:在生产机构对销售定单的编号顺序进行追踪和计算
运用网络服务进行两系统间信息交换的最大优点是()。
A:安全通信
B:改良的性能
C:有效的接口连接
D:增强文件系统
一般由系统所有者上级单位或主管信息安全的机构授权信息系统投入运行的最后一步叫做()
A:正式发布
B:认证
C:验证
D:认可
在安全人员的帮助下,对数据提供访问权的责任在于()。
A:数据所有者
B:程序员
C:系统分析师
D:库管员
风险评估方法的选定在PDCA循环中的那个阶段完成?()
A:实施和运行
B:保持和改进
C:建立
D:监视和评审
作为信息安全管理人员,你认为变更管理过程最重要的是()?
A:变更过程要留痕
B:变更申请与上线提出要经过审批
C:变更过程要坚持环境分离和人员分离原则
D:变更要与容灾预案同步
在客户机服务器结构中,域名服务(DNS)是最重要的因为它提供了()。
A:域名服务器的地址
B:解决了名字与地址的转换服务
C:互联网的IP地址
D:域名系统
下面哪个机构是我国密码工作主管单位?()
A:公安部
B:保密局
C:国务院
D:国家密码管理局
Windows操作系统的注册表运行命令是:()
A:Regsvr32
B:Regegit
C:Regedit.msc
D:Regedit.mmc
某IS审计人员参与了某应用开发项目并被指定帮助进行数据安全方面的设计工作。当该应用即将投入运行时,以下哪一项可以为公司资产的保护提供最合理的保证()。
A:由内部审计人员进行一次审核
B:由指定的IS审计人员进行一次审查
C:由用户规定审核的深度和内容
D:由另一个同等资历的IS审计人员进行一次独立的审查
首页 <上一页 15 16 17 18 19 下一页> 尾页