出自:注册信息安全专业人员(CISA,CISO,CISE)

以下哪项在实施信息系统审计计划时是最重要的?()
A:查阅以前审计的审计发现
B:设计一个对数据中心设施物理安全的审计计划
C:查阅信息系统政策和程序
D:进行风险评估
某组织正在使用对称加密.下面哪一项是转移到非对称加密的有效原因?对称加密:()
A:提供真实性
B:比非对称加密更快
C:可造成密钥管理困难
D:需要相对简单的算法
在业务连续性计划(BCP)中,下面哪个求救电话目录是最重要的()。
A:先联系设备供货商和电力、通讯等资源
B:先联系保险公司
C:先联系人力中介公司
D:已排定优先级的联络表(紧急救援电话表)
S审计师在评审业务连续性计划时,下面哪一项是最值得关注的?()
A:灾难级别是基于受损功能的范围上,而非基于灾难产生的时间影响持续上
B:低等级灾难时间和软件故障的区别不清
C:全部的业务连续性计划都被记录下来,但是没有详细的步骤
D:没有明确宣告灾难的职责
系统安全工程不包含以下哪个过程类()
A:工程过程类
B:组织过程类
C:管理过程类
D:项目过程类
某机构要新建一个网络,除内部办公、员工邮件等功能外,还要对外提供访问本机构网站和FTP服务,设计师在设计网络安全策略时,给出的方案是:利用DMZ保护内网不受攻击,在DMZ和内网之间配一个内部防火墙,在DMZ和Internet间,较好的策略是()
A:配置一个外部防火墙,其规则为除非允许,都被禁止
B:配置一个外部防火墙,其规则为除非禁止,都被允许
C:不配置防火墙,自由访问,但在主机上安装杀病毒软件
D:不配置防火墙,只在路由器上设置禁止PING操作
有多种提供远程通讯连续性的方法,通过分体式电缆或多重电缆分流路由流量的方法被称为:多种线路就是通过分体式电缆设备或多重电缆设施来分流路由流量的方法。替代线路就是通过采用如钢电缆或光纤等媒介来传递信息的方法。()
A:可替代路由
B:多样性路由
C:长途网的多样性
D:最后一英里保护
下面哪一项最好地描述了风险分析的目的?()
A:识别用于保护资产的责任义务和规章制度
B:识别资产以及保护资产所使用的技术控制措施
C:识别资产、脆弱性并计算潜在的风险
D:识别同责任义务有直接关系的威胁
屏蔽路由器
信息安全管理体系(information Securlty Management System.简称ISMS)要求建立过程体系,该过程体系是在如下()基础上构建的。
A:IATF(Information Assurance Technical Framework)
B:P2DR(Policy,Protection,Detection,Response)
C:PDCERF(Preparation,Detection,Containment,Eradication,Recovery,Follow-up)
D:PDCA(Plan,Do,Check,Act)
被以下哪种病毒感染后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响的,DNS和IIS服务遭到非法拒绝等。()
A:高波变种3T
B:冲击波
C:震荡波
D:尼姆达病毒
内联网(Intranet)可以建立在一个组织的内部网络上,也可以建互联网(internet)上,上面哪一条针对内联网的控制在安全上是最弱的()。
A:用加密的信道传输数据
B:安装加密路由器
C:安装加密防火墙
D:对私有WWW服务器实现口令控制
以下对于远程用户拨号认证系统(RADIUS)协议说法正确的是()
A:它是一种B/S结构的协议
B:它是一项通用的认证计费协议
C:它使用TCP通信
D:它的基本组件包括认证、授权和加密
进行事后检查的主要目的是,它提供了一个机会去:()
A:改善内部控制程序
B:为实现企业最佳实务强化网络
C:突出事件响应管理的重要性
D:提高员工对事件响应的意识
IS审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或威胁需要特别关注?()
A:安全官兼职数据库管理员
B:客户/服务器系统没有适当的管理口令/密码控制
C:主机系统上运行的非关键应用没有纳入业务持续性计划的考虑
D:大多数局域网上的档服务器没有执行定期地硬盘备份
下面哪一种说法的顺序正确()。
A:脆弱性导致了威胁,然后威胁导致了风险
B:风险导致了威胁,然后威胁导致了脆弱性
C:脆弱性导致了风险,然后风险导致了威胁
D:威胁导致了脆弱性,然后脆弱性导致了风险
应该用什么数据进行回归测试()。
A:与用于上一次测试不同的数据
B:最近的生产数据
C:以前测试用过的数据
D:测试数据发生器产生的数据
以下哪种加密技术最能保护无线网络免受中间人攻击?()
A:128位有线对等保密(WEP)
B:基于介质访问控制(基于MAC)的预共享密钥(PSK)
C:随机生成的预共享密钥(PSK)
D:字母数字的服务集标识符(SSID)
一个金融服务机构正在制定和记录业务连续性的措施。在下列情况下信息系统审计师最可能提出的一个问题是?()
A:组织使用的做法并不是使用准则和依赖外部顾问的最佳实践
B:业务连续性计划是围绕着精心挑选的场景,某个可能发生的事件来进行的
C:恢复时间目标(RTO)没有考虑灾难恢复的限制,如:恢复时段的人员或系统依赖性
D:该组织计划租一个共享的紧急备用站点的工作场所、只具备为正常的工作人员一半使用的空间
以下哪个不是软件安全需求分析解决的主要任务?()
A:确定团队负责人和安全顾问
B:威胁建模
C:定义安全和隐私需求(质量标准)
D:设立最低安全标准/Bug栏
在设计数据仓库下面哪个要素是最重要的因素()。
A:元数据质量
B:交易速度
C:数据的多变性
D:系统的弱点
在公钥基础设施(PKI)中,处理私钥安全的详细说明是?()
A:证书撤销列表(CRL)
B:证书实务声明(CPS)
C:证书策略(CP)
D:PKI披露条款(PDS)
以下哪一项是采用原型法作为系统开发方法学的主要缺点?()
A:用户对项目进度的期望可能过于乐观
B:有效的变更控制和管理不可能实施
C:用户参与日常项目管理可能过于广泛
D:用户通常不具备足够的知识来帮助系统开发
一个数字签字设备用于金融机构贷款给客户的帐户。金融机构接到3次指示,对账户支付三次。下面哪一种控制子最适合防止多次支付信用卡()。
A:对付款指令进行HASH加密,用金融机构的公钥
B:对指令增加时间戳,用于检查重复支付
C:对付款指令进行HASH加密,用金融机构的私钥
D:在金融机构对摘要签名前,对指令增加时间戳
风险要素识别是风险评估实施过程中的一个重要步骤,小李将风险要素识别的主要过程使用图形来表示,如下图所示,请为图中空白框处选择一个最合适的选项()。
A:识别面临的风险并赋值
B:识别存在的脆弱性并赋值
C:制定安全措施实施计划
D:检查安全措施有效性
关于信息保障技术框架(IATF),下列说法错误的是()。
A:IATF强调深度防御,关注本地计算环境、区域边界、网络和基础设施、支撑性基础设施等多个领域的安全保障
B:IATF强调深度防御,即对信息系统采用多层防护,实现组织的业务安全运作
C:IATF强调从技术、管理和人等多个角度来保障信息系统的安全
D:IATF强调的是以安全监测、漏洞监测和自适应填充“安全问题”为循环来提高网络安全
在无线通信中,以下哪一项控制允许接收通信的设备验证所接收的通信未在传输过程中发生更改?()
A:设备身份认证和数据源身份认证
B:无线入侵检测(IDS)和入侵防御系统(IPS)
C:使用加密哈希
D:数据包头和数据包尾
关于信息安全等级保护政策,下列说法错误的是()
A:非涉密计算机信息系统实行等级保护,涉密计算机信息系统实行分级保护
B:信息安全等级保护实行“自主定级,自主保护”的原则
C:信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督
D:对三级以上信息系统实行备案要求,由公安机关颁发本案证明
哪一项功能可以不由认证中心CA完成?()
A:撤销和中止用户的证书
B:产生并分布CA的公钥
C:在请求实体和它的公钥间建立链接
D:发放并分发用户的证书
下面哪个选项提供最好的证据证明安全意识程序的完整性?()
A:股东数量,包括雇员的各个级别培训
B:整个企业所有地点的培训覆盖度
C:不同供应商的安全设备实施
D:定期的审查和与最佳实践比较
首页 <上一页 30 31 32 33 34 下一页> 尾页