出自:注册信息安全专业人员(CISA,CISO,CISE)

应用控制的目的是保证当错误数据被输入系统时,该数据能被()。
A:接受和处理
B:接受但不处理
C:不接受也不处理
D:不接受但处理
为保护语音lP (VoIP)基础设施免受拒绝服务(DoS)攻击,最重要的是保护:()
A:访问控制服务器
B:会话边界控制器
C:主干网关
D:入侵检测系统(IDS)
IP和MAC绑定的方法,可以限制IP地址被盗用,已在规则中正确的设置了IP和MAC绑定,发现没有起作用,用户之间还是可以盗用IP地址,最有可能的原因是:()
A:被绑定的计算机和防火墙接口之间有3层设备
B:被绑定的计算机和防火墙接口之间有2层设备
C:被绑定的计算机和防火墙接口之间没有3层设备
D:被绑定的计算机和防火墙接口之间在同一个广播域
一个组织具有的大量分支机构且分布地理区域较广。以确保各方面的灾难恢复计划的评估,具有成本效益的方式,应建议使用()。
A:数据恢复测试
B:充分的业务测试
C:前后测试
D:预案测试
在风险分析期间,IS审计师已经确定了威胁和潜在的影响,下一步IS审计师应该()。
A:确定并评估管制层使用的风险评估过程
B:确定信息资产和受影响的系统
C:发现对管理者的威胁和影响
D:鉴定和评估现有控制.
下面对于CC的“评估保证级”(EAL)的说法最准确的是()。
A:代表着不同的访问控制强度
B:描述了对抗安全威胁的能力级别
C:是信息技术产品或信息技术系统对安全行为和安全功能的不同要求
D:由一系列保证组件构成的包,可以代表预先定义的保证尺度
实施防火墙最容易发生的错误是()
A:访问列表配置不准确
B:社会工程学会危及口令的安全
C:把modem连至网络中的计算机
D:不能充分保护网络和服务器使其免遭病毒侵袭
风险评估按照评估者的不同可以分为自评和第三方评估。这两种评估方式最本质的差别是什么?()
A:评估结果的客观性
B:评估工具的专业程度
C:评估人员的技术能力
D:评估报告的形式
以下哪一项是图像处理的弱点()。
A:验证签名
B:改善服务
C:相对较贵
D:减少处理导致的变形
控制部分
信息系统安全主要从几个方面进行评估?()
A:1个(技术)
B:2个(技术、管理)
C:3个(技术、管理、工程)
D:4个(技术、管理、工程、应用)
为了保障系统安全,某单位需要对其跨地区大型网络实时应用系统进行渗透测试,以下关于渗透测试过程的说法不正确的是()
A:由于在实际渗透测试过程中存在不可预知的风险,所以测试前要提醒用户进行系统和数据备份,以便出现问题时可以及时恢复系统和数据
B:渗透测试从“逆向”的角度出发,测试软件系统的安全性,其价值在于可以测试软件在实际系统中运行时的安全状况
C:渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤
D:为了深入发掘该系统存在的安全威胁,应该在系统正常业务运行高峰期进行渗透测试
当一个电子商务应用程序在LAN上运行并处理电子资金转帐(EFT)与订单时,可以防止数据完整性或机密性丢失的最佳操作是什么?()
A:使用虚拟专用网络(VPN)通道传输数据
B:在应用程序中启用数据加密
C:审计网络的访问控制
D:记录访问列表的所有更改
下面关于定性风险评估方法的说法不正确的是()。
A:易于操作,可以对风险进行排序并能够对那些需要立即改善的环节进行标识
B:主观性强,分析结果的质量取决于风险评估小组成员的经验和素质
C:“耗时短、成本低、可控性高”
D:能够提供量化的数据支持,易被管理层所理解和接受
Hash算法的碰撞是指()。
A:两个不同的消息,得到相同的消息摘要
B:两个相同的消息,得到不同的消息摘要
C:消息摘要和消息的长度相同
D:消息摘要比消息的长度更长
要使无线局域网(LAN)中传输数据的机密性得到最佳保护,需要会话?()
A:仅限于预定义的介质访问控制(MAC)地址
B:使用静态密钥加密
C:使用动态密钥加密
D:从具有加密存储的设备启动
当员工服务终止时,最重要的行动是?()
A:交出员工的所有文件到另一个指定雇员
B:完成对员工的工作备份
C:通知其他雇员他已经终止服务
D:禁用该员工的逻辑访问
下面那一项最有效地降低了分布式环境服务器故障引发的影响?()
A:冗余路径(当正常路由无法使用时,路由器分配给信息包的第二条路径)
B:集群
C:备用拔号线路
D:备用电源
下列哪一项不属于Puzz测试的特性?()
A:主要针对软件漏洞或可靠性错误进行测试
B:采用大量测试用例进行激励-响应测试
C:一种试探性测试方法,没有任何理论依据
D:利用构造畸形的输入数据引发被测试目标产生异常
当一个程序样本被选中要确定源代码和目标代码的版本一致性的问题时,审计人员会用下面哪一种测试方法()。
A:对于程序库控制进行实质性测试
B:对于程序库控制进行复合性测试
C:对于程序编译控制的符合性测试
D:对于程序编译控制的实质性测试
组织的安全政策可以是广义的,也可以是狭义的,下面哪一条是属于广义的安全政策()。
A:应急计划
B:远程办法
C:计算机安全程序
D:电子邮件个人隐私
其中哪一项应包括在组织的信息安全政策中()。
A:要保护的关键IT资源列表
B:访问授权的基本原则
C:确定敏感安全特征
D:相关的软件安全特征
下面哪条不属于SSE-CMM中能力级别3“充分定义”级的基本内容?()
A:改进组织能力
B:定义标准过程
C:协调安全实施
D:执行已定义的过程
按照技术能力、所拥有的资源和破坏力来排列,下列威胁中哪种威胁最大?()
A:个人黑客
B:网络犯罪团伙
C:网络战士
D:商业间谍
审计业务连续性计划时,下面哪个审计发现需要特别关注()。
A:今年新购置的设备、资产没有购买相应的保险
B:BCP手册没有经常更新
C:不经常实施备份数据的测试
D:维护访问系统的记录不知去向
在复核客户主文件时,信息系统审计师在客户名称变更中发现许多客户姓名副本。为了确定副本的范围,信息系统审计师应该使用()。
A:用于验证数据输入的测试数据
B:用于确定系统分类能力的测试数据
C:用于搜索地址域副本的通用审计软件
D:用于搜索账户域副本的通用审计软件
一个信息系统审计师正在审评该公司的灾难恢复(DR)战略的变更。信息系统审计师注意到国内公司应用关键的恢复点的目标(RPO)缩短了。这种变更最重要的风险是?()
A:现有灾难恢复计划没有更新到实现新的RPO
B:在DR团队在新的RPO下接受过培训
C:缺乏充足的备份以实现新的RPO
D:新的RPO下的计划未经过测试
下列选项中,哪个不是我国信息安全保障工作的主要内容()
A:加强信息安全标准化工作,积极采用“等同采用、修改采用、制定”等多种方式,尽快建立和完善我国信息安全标准体系
B:建立国家信息安全研究中心,加快建立国家急需的信息安全技术体系,实现国家信息安全自主可控目标
C:建设和完善信息安全基础设施,提供国家信息安全保障能力支撑
D:加快信息安全学科建设和信息安全人才培养
下列哪一个说法是正确的?()
A:风险越大,越不需要保护
B:风险越小,越需要保护
C:风险越大,越需要保护
D:越是中等风险,越需要保护
计算机通讯可采用几种不同的方式,以下哪一种方式最安全()。
A:公用电话网络
B:光纤
C:直接在计算机在用户工作站之间布双绞线
D:微波或卫星传输
首页 <上一页 18 19 20 21 22 下一页> 尾页