出自:注册信息安全专业人员(CISA,CISO,CISE)

以下哪一项是数据完整性得到保护的例子?()
A:某网站在访问量突然增加时对用户连接数量进行了限制,保证己登录的用户可以完成操作
B:在提款过程中ATM终端发生故障,银行业务系统及时对该用户的帐户余顺进行了冲正操作
C:某网管系统具有严格的审计功能,可以确定哪个管理员在何时对核心交换机进行了什么操作
D:李先生在每天下班前将重要文件锁在档案室的保密柜中,使伪装成清沽工的商业间谍无法查看
评估IT风险的最佳办法是()。
A:评估与现有IT资产和IT项目相关的威胁
B:利用公司以往的实际经验,确定当前风险损失
C:审查同类公司公布的损失统计数据
D:审查IS审计报告中指出的控制弱点
应急响应计划文档不应该()。
A:分发给公司所有人员
B:分发给参与应急响应工作的所有人员
C:具有多份拷贝在不同的地点保存
D:由专人负责保存与分发
匿名文件传输协议
在以下哪个系统开发阶段准备用户接受性测试计划?()
A:可行分析
B:需求定义
C:实施计划
D:实施后检查
在一台重要的服务器中,IS审计师发现了由已知病毒程序产生的木马程序,这个病毒可以利用操作系统的弱点。IS审计师应该首先做什么()。
A:调查病毒的作者.
B:分析操作系统日志
C:确保恶意代码已被清除
D:安装消除弱点vulnerability的补丁.
公钥密码的应用不包括()。
A:数字签名
B:非安全信道的密钥交换
C:消息验证码
D:身份认证
部署互联网协议安全虚拟专用网时。以下说法正确的是()
A:配置MD5安全算法可以提供可靠地数据加密
B:配置AES算法可以提供可靠的数据完整性验证
C:部署IPsecVIPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(Security Authentication,SA)资源的消耗
D:报文验证头协议(Authentication Header,AH)可以提供数据机密性
如果不阻止数据中心员工上网,以下哪个选项是面临的最大风险()
A:可能会感染来自未经授权网站的恶意软件,进而感染整个网络
B:操作人员可能会分心,导致无法为关键的业务只能提供技术支持
C:操作人员可能会分心,导致无法及时发现错误或警报
D:在线活动会占用过多宽带,影响其他数据中心系统
降低钓鱼攻击最有效的方法是()。
A:执行入侵检测系统(IDS)
B:访问安全的网络地址
C:强鉴别
D:用户教育
十六进制
通常在设计VLAN时,以下哪一项不是VLAN的规划的方法?()
A:基于交换机端口
B:基于网络层协议
C:基于MAC地址
D:基于数字证书
以下哪一项关于Bell-Lapadula模型特点的描述是错误的?()
A:强调对信息保密性的保护,受到对信息保密要求较高的军政机关和企业的喜爱
B:既定义了主体对客体的访问,也说明了主体对主体的访问。因此。它适用于网络系统
C:它是一种强制访问控制模型,与自主访问控制模型相比具有强耦合,集中式授权的特点
D:比起那些较新的模型而言,Bell-Lapadula定义的公理很简单,更易于理解,与所使用的实际系统具有直观的联系
下面哪一种是最安全和最经济的方法,对于在一个小规模到一个中等规模的组织中通过互联网连接私有网络?()
A:虚拟专用网
B:专线
C:租用线路
D:综合服务数字网
电子商务安全要求的四个方面是()。
A:传输的高效性、数据的完整性、交易各方的身份认证和交易的不可抗抵赖
B:存储的安全性、传输的高效性、数据的完整性和交易各方的身份认证
C:传输的安全性、数据的完整性、交易各方的身份认证和交易不可抵赖性
D:存储的安全性、传输的高效性、数据的完整性和交易的不可抵赖性
数据库管理员负责()
A:维护计算机内部数据的访问安全
B:实施数据库定义控制
C:向用户授予访问权限
D:定义系统的数据结构
以下哪个属性不会出现在防火墙的访问控制策略配置中?()
A:本局域网内地址
B:百度服务器地址
C:HTTP协议
D:病毒类型
远程处理
某单位信息安全岗位员工,利用个人业余时阀,在社交网络平台上向业内同不定期发布信息安全相关知识和前沿动态资讯,这一行为主要符合以下哪一条注册信息安全专业人员(CISP)职业道德准则()
A:避免任何损害CISP声誉形象的行为
B:自觉维护公众信息安全,拒绝并抵制通过计算机网络系统泄露个人隐私的行为
C:帮助和指导信息安全同行提升信息安全保障知识和能力
D:不在公众网络传播反动、暴力、黄色、低俗信息及非法软件
与使用检查点重起程序的相关的逻辑风险是()。
A:拒绝式服务
B:异步进攻
C:搭线窃听
D:停机
下列哪些控制可以最有效的发现网络传输错误()。
A:奇偶校验(可以发现多个错误)
B:回声检查
C:阻塞总数检查
D:循环冗余检查
测试软件模块时,以下哪一个是动态的分析工具()。
A:黑盒测试
B:部件检验
C:结构化穿行测试
D:设计和代码
()是目前国际通行的信息技术产品安全性评估标准?
A:TCSEC
B:ITSEC
C:CC
D:IATF
密码处理依靠使用密钥,密钥是密码系统里的最重要因素。以下哪一个密钥算法在加密数据与解密时使用相同的密钥?()
A:对称的公钥算法
B:非对称私钥算法
C:对称密钥算法
D:非对称密钥算法
在正常情况下,应急计划应该至少多久进行一次针对正确性和完整性的检查?()
A:1年
B:2年
C:半年
D:5年
柜员改变贷款主文件上的利率。在贷出业务中输入利率在正常范围以外,下面的控制是最有效地提供合理的保证该改变被授权? ()
A:系统在得到经理批准并输入一个批准代码前不处理改变的数据
B:系统生成周报告列出了所有的异常率和报告,由经理审阅
C:系统要求柜员输入批准的编码
D:系统显示警告信息
以下对跨站脚本攻击(XSS)的解释最准确的一项是()。
A:引诱用户点击虚假网络链接的一种攻击方法
B:构造精妙的关系数据库的结构化查询语言对数据库进行非法的访问
C:一种很强大的木马攻击手段
D:将恶意代码嵌入到用户浏览的WEB网页中,从而达到恶意的目的
在审查电子资金转帐系统(EFT)的结构时,IS审计师注意到技术架构基于集中处理方式,并且外包给国外处理。由于这些信息,下面哪一个结论是IS审计师最关注的()。
A:可能会有与司法权限范围有关的问题
B:由于有国外的供应商可能会导致未来审计费用超支
C:由于距离,审计过程可能会很困难
D:可能有不同的审计标准
CC中的评估保证级4级(EAL3)对应TCSEC和ITSEC的哪个级别?()
A:对应TCSEC B1级,对应ITSEC E4级
B:对应TCSEC C2级,对应ITSEC E4级
C:对应TCSEC B1级,对应ITSEC E3级
D:对应TCSEC C2级,对应ITSEC E2级
依照《信息安全事件分级分类指南》中对信息安全事件分类的规定,以下哪一项属于有害程序事件()
A:信息被篡改
B:黄色反动信息传播
C:网络钓鱼
D:木马攻击
首页 <上一页 1 2 3 4 5 下一页> 尾页