注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

控制对网络的访问是由以下哪一项高层系统服务机制提供的（）。
A:访问控制列表和访问特权
B:识别和验证
C:认证和鉴定
D:鉴定和保证

在审查数据文件变更管理控制期间，下面哪一个选项有助于减少调查异常所需要的研究时间？（）
A:一对一的检查
B:数据文件安全性
C:交易日志记录
D:文件更新和维护授权

在审查IS部门的开发质量时，IS审计师发现没有使用任何正式的，记录的方法和标准。IS可能采取的行动是（）。
A:在完成审计并报告结果
B:调查并建议适当的正式标准
C:记录非正式的标准并进行符合性测试
D:退出并建议当标准确定后进行深入审计

某组织正在开发基于Web的新应用程序来处理客户订单。应实施一下哪项安全措施来保护此应用程序不受黑客攻击？（）
A:确保在防火墙处封锁端口80和441
B:检查所有服务器上的文件和访问权限，以确保所有文件都具有只读访问权限
C:执行Web应用程序安全审查
D:确保仅现有客户的IP地址能够通过防火墙

信息系统审计师正在审查对应用的访问控制，以确定10个最新的用户账号是否被适当的授权。这是一个属于以下哪个方面的例子？（）
A:变量抽样
B:实质性测试
C:符合性测试
D:停走抽样

下列网络元件哪个主要安全措施建立了阻止在不同的网段间未经授权的通信发生？（）
A:防火墙
B:路由器
C:二层交換机
D:虚拟局域网

组织的灾难恢复计划（DRP）中包含互惠协议时，应采用以下哪项风险应对方法（）
A:转移
B:缓解
C:回避
D:接受

以下哪项是对抗ARP欺骗有效的手段？（）
A:使用静态的ARP缓存
B:在网络上阻止ARP报文的发送
C:安装杀毒软件并更新到最新的病毒库
D:使用Linux系统提高安全性

我国信息安全保障工作先后经历了启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是（）
A:2001年，国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动
B:2003年7月，国家信息化领导小组制定出台了《关于加强信息信息安全保障工作的意见》（中办发27号文件），明确了“各级防御、综合防范”的国家信息安全保障工作方针
C:2003年，中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段
D:在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展

下列哪种IDS将最有可能对正常网络活动产生错误警报？（）
A:基于统计
B:基于数字签名
C:神经网络
D:基于主机

为推动和规范我国信息安全等级保护工作，我国制定和发布了信息安全等级保护工作所需要的一系列标准，这些标准可以按照等级保护工作的工作阶段大致分类。下面四个标准中，（）规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。
A:GB／T20271-2006《信息系统通用安全技术要求》
B:GB／T22240-2008《信息系统安全保护等级定级指南》
C:GB／T25070-2010《信息系统等级保护安全设计技术要求》
D:GB／T20269-2006《信息系统安全管理要求》

下列那一条是椭圆曲线加密方法相对于RSA加密方法最大的优势（）。
A:计算速度
B:支持数字签名的能力
C:密钥发布更简单
D:给定密钥长度的情况下（保密性）更强

为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，列哪一项最好地描述了星或（*-）完整性原则？（）
A:Bell-LaPadula模型中的不允许向下写
B:Bell-LaPadula模型中的不允许向上度
C:Biba模型中的不允许向上写
D:Biba模型中的不允许向下读

一个IS审计师可以验证一个组织的业务连续性计划（BCP）是有效的，依据审查：（）
A:与行业最佳实践的BCP一致
B:对系统和最终用户进行业务连续性测试的结果
C:异地设施，其内容，安全和环境控制
D:BCP活动的年度财务费用相对于实施该计划的预期收益

以下哪一个密码学手段不需要共享密钥？（）
A:消息认证
B:消息摘要
C:加密解密
D:数字签名

U盘病毒的传播是借助Windows系统的什么功能实现的（）
A:自动播放
B:自动补丁更新
C:服务自启动
D:系统开发漏洞

在进行应用系统的的测试时，应尽可能避免使用包含个人隐私和其他敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的？（）
A:测试系统应使用不低于生产关系的访问控制措施
B:为测试系统中的数据部署完善的备份与恢复措施
C:在测试完成后立即清除测试系统中的所有敏感数据
D:部署审计措施，记录生产数据的拷贝和使用

通常，以下哪一种证据对IS审计师来说最可靠（）。
A:收到的来自第三方的核实帐户余额确认信
B:一线经理确保应用程序如设计的方式工作
C:C.从internet来源得到的数据趋势（Trenddat
D:由一线经理提供报告，IS审计师开发的比率分析

以下哪种加密系统最适用于批量数据加密和小型设备（如智能卡）？（）
A:数据加密标准（DES）
B:高级加密标准（AES）
C:三重DES
D:RSA

在互联网协议安全中，以下哪项提供了首要的数据保护？（）
A:语义网
B:封装安全负载
C:头验证（AH）
D:数字签名

下列对密网功能描述不正确的是（）
A:可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击
B:吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来
C:可以进行攻击检测和实时报警
D:可以对攻击活动进行监视、检测和分析

一个公司外包其数据处理中心，可能的优点（）。
A:需要的信息系统专家可以从外部获得
B:对数据处理可以获得更高的控制
C:数据处理的优先级可以在内部建立和执行
D:更广泛的最终用户参与以交流用户需求

一个信息系统审计师发现开发人员拥有对生产环境操作系统的命令行操作权限。下列哪种控制能最好地减少未被发现和未授权的产品环境更改的风险？（）
A:命令行输入的所有命令都被记录
B:定期计算程序的hash键（散列值）并与最近授权过的程序版本的hash键比较
C:操作系统命令行访问权限通过一个预先权限批准的访问限制工具来授权
D:将软件开发工具与编译器从产品环境中移除

参照完整性约束包括（）。
A:确保交易过程完整性
B:确保数据通过触发更新
C:确保控制用户升级数据库
D:设计表和查询的规则

下列哪项是基于系统的输入、输出和文件的数目和复杂性测量信息系统的大小？（）
A:功能点（FP）
B:计划评价与审查技术（PERT）
C:快速应用开发（RAD）
D:关键路径方法（CPM）

以下对ISO27001标准的描述不正确的是（）。
A:企业通过ISO27001认证则必须符合ISO27001信息安全管理体系规范的所有要求
B:ISO27001标准与信息系统等级保护等国家标准相冲突
C:ISO27001是源自于英国的国家标准BS7799
D:ISO27001是当前国际上最被认可的信息安全管理标准

如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接受者，这种情况属于哪一种攻击？（）
A:重放攻击
B:Smurt攻击
C:字典攻击
D:中间人攻击

首页 <上一页 37 38 39 40 41 下一页> 尾页