出自:注册信息安全专业人员(CISA,CISO,CISE)

原始文件(凭证)
下列哪项不是《信息安全等级保护管理办法》(公通字[2007]43号)规定的内容()
A:国家信息安全等级保护坚持自主定级、自主保护的原则
B:国家指定专门部门对信息系统安全等级保护工作进行专门的监督和检查
C:跨省或全国统一联网运行的信息系统可由主管部门统一确定安全保护等级
D:涉及国家秘密的信息系统不进行分等级保护
在数据链路层中MAC子层主要实现的功能是()。
A:介质访问控制
B:物理地址识别
C:通信协议产生
D:数据编码
以下哪些不是介质类资产?()
A:纸质文档
B:存储介质
C:软件介质
D:凭证
某IS审计师在客户端服务器环境中审查访问控制发现,任何用户都可以访问所有打印选项。在这种情况下,IS审计师最可能得出的结论是:()
A:暴露风险增大,因为信息可能被未授权用户获取
B:操作效率提高,因为每个人都可以随时打印任何报告
C:操作流程更加高效,因为可以轻松获得信息
D:易用性和灵活性增强,因为用户之间的信息流通更加顺畅
以下哪个审计技术对审计员判断自上次授权程序更新之后是否有未授权的程序变更最有帮助()
A:运行测试数据
B:代码评价
C:自动代码比较
D:代码迁移规程评审
韧件
校验数字位
下列对垮站脚本攻击(XSS)描述正确的是()。
A:XSS攻击指的是恶意攻击者往WEB页面里插入恶意代码,当用户浏览该页之时,嵌入其中WEB里面的代码会被执行,从而达到恶意攻击用户的特殊目的
B:XSS攻击是DDOS攻击的一种变种
C:XSS.攻击就是CC攻击
D:XSS攻击就是利用被控制的机器不断地向被网站发送访问请求,迫使NS连接数超出限制,当CPU资源或者带宽资源耗尽,那么网站也就被攻击垮了,从而达到攻击目的
下面哪项不是实施信息安全管理的关键成功因素?()
A:理解组织文化
B:得到高层承诺
C:部署安全产品
D:纳入奖惩机制
以下哪一项不是SQL语言的功能?()
A:数据定义
B:数据检查
C:数据操纵
D:数据加密
将输出结果及控制总计和输入数据及控制总计进行匹配可以验证输出结果,以下哪一项能起上述作用?()
A:批量头格式
B:批量平衡
C:数据转换差错纠正
D:对打印池的访问控制
某项目的主要内容为建造A类机房,监理单位需要根据《电子信息系统机房设计规范》(GB50174-2008)的相关要求,对承建单位的施工设计方案进行审核,以下关于监理单位给出的审核意见错误的是()
A:在异地建立备份机房时,设计时应与主用机房等级相同
B:由于高端小型机发热量大,因此采用活动地板上送风,下回风的方式
C:因机房属于A级主机房,因此设计方案中应考虑配备柴油发电机,当市电发生故障时,所配备的柴油发电机应能承担全部负荷的需要
D:A级主机房应设置洁净气体灭火系统
下面哪一个通常会在应用运行手册中发现()。
A:源文件细节
B:密码错误和发现的行为
C:程序流程图和文件定义
D:应用源代码的变更纪录
如下那个加密机制是在开放系统互联模型的应用层被执行?()
A:安全套接层(SSL)
B:IP安全(IPSec)
C:安全外壳(SSH)
D:安全/超文本传输协议(S/HTTP)
提问/回答暗号
渗透性测试的第一步是()。
A:信息收集
B:漏洞分析与目标选定
C:拒绝服务攻击
D:尝试漏洞利用
为了最小化软件开发成本,质量管理技术应该()
A:尽可能与技术条文相一致
B:主要在项目开始的时候,以保证项目的建立于组织的管理标准相一致
C:在整个项目过程中持续进行,强调找出并解决缺陷,增大测试期间的缺陷发病率
D:主要在项目结束的时候,以获得可以在将来的项目中吸取的教训
一个组织的系统安全能力成熟度达到哪个级别以后,就可以考为过程域(PA)的实施提供充分的资源?()
A:2级——计划和跟踪
B:3级——充分定义
C:4级——量化控制
D:5级——持续改进
当IS审计员实施一个电子资金转账系统(EFI)审计时,下列哪一项用户情形是其最关心的()。
A:三个用户有权截获和检验他们自己的消息
B:五个用户有权截获和发送他们自己的消息
C:五个用户有权检验其他用户和发送他们自己的消息
D:三个用户有权截获和检验其他用户的消息,也有权发送他们自己的消息
星形配置
全面有效的电子邮件政策应明确电子邮件结构、执行策略、监控和()。
A:恢复
B:保存
C:重建
D:再用
代码签名的目的是确保()
A:软件没有被后续修改
B:应用程序可以与其它已签名的应用安全地对接使用
C:应用(程序)的签名人是受到信任的
D:签名人的私钥还没有被泄露
在生产环境中,以下哪一个是确定每一个应用系统关键程度的最好方法?()
A:访谈应用程序员
B:差距分析
C:审查最近的应用审计
D:业务影响分析
ISO/OSI参考模型的哪一层提供两点之间的信息包路径()。
A:数据链路层
B:网络层
C:传输层
D:会话层
关于信息安全管理,说法错误的是()
A:信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性,以及业务运作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动
B:信息安全管理是一个多层面、多因素的过程,依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力
C:实现信息安全,技术和产品是基础,管理是关键
D:信息安全管理是人员、技术、操作三者紧密结合的系统工程,是一个静态过程
在审计短期战术计划,信息系统审计师应确定:()
A:在项目中IS跟业务人员的整合
B:对IS使命和远景的明确定义
C:信息技术战略规划方法到位
D:该计划与业务目标和IS目标相关
IT安全风险进行评估时,审计师要求IT安全人员参与跟用户和业务单位的代表进行风险识别的研讨会。审计师要取得成果和避免今后的冲突,什么是最重要的建议?()
A:确保IT安全风险评估有明确定义的范围
B:IT安全人员要求每个研讨会期间的讨论风险评级得到批准
C:IT安全人员确定风险等级
D:只选择普遍接受且以提交最高评价的风险
以下哪各选项是监控超出定义或值交易的最有效工具()
A:通用审计软件(GAS)
B:集成测试设施
C:系统控制审计复合文件(SCARF)
D:快照
下列哪些选项不属于NIDS的常见技术?()
A:协议分析
B:零拷贝
C:SYNCookie
D:IP碎片从重组
首页 <上一页 28 29 30 31 32 下一页> 尾页