注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

VPN系统主要用于（）
A:进行用户身份的鉴别
B:进行用户行为的审计
C:建立安全的网络通信
D:对网络边界进行访问控制

某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1元被买走的情况，经分析是由于设计时出于性能考虑，在浏览时使用Http协议，攻击者通过伪造数据包使得向购物车添加商品的价格被修改。利用此漏洞，攻击者将价值1000元的商品以1元添加到购物车中，而付款时又没有验证的环节，导致以上问题，对于网站的这个问题原因分析及解决措施。最正确的说法应该是（）
A:该问题的产生是由于使用了不安全的协议导致的，为了避免再发生类似的问题，应对全网站进行安全改造，所有的访问都强制要求使用https
B:该问题的产生是由于网站开发前没有进行如威胁建模等相关工作或工作不到位，没有找到该威胁并采取相应的消减措施
C:该问题的产生是由于编码缺陷，通过对网站进行修改，在进行订单付款时进行商品价格验证就可以解决
D:该问题的产生不是网站的问题，应报警要求寻求警察介入，严惩攻击者即可

在基于风险审计做计划时，以下哪一步最关键（）。
A:对组织全部环境做整体评估。
B:基于可接受的框架（例如COBIT或COSO）建立审计方法论。
C:文档化审计程序确保审计师获得计划的审计目标。
D:识别控制失效的高风险区域。

利用审计软件比较两个程序的目标代码是一种审计技术用于测试（）。
A:逻辑
B:变化
C:效率
D:计算

管理层要求IS审计师对可能存在的交易进行审查。IS审计师在评估交易时的首要关注点应为：（）
A:评估交易时保持公正
B:确保IS审计师始终保持独立性
C:确保始终保持证据的完整性
D:收集所有相关的交易证据

发送消息的同时也发送由该发送者私钥加密的消息哈希将确保：（）
A:真实性和完整性
B:真实性和隐私性
C:完整性和隐私性
D:隐私性和不可否认性

审计客户/服务器数据库安全时，IS审计师应该最关注于哪一方面的可用性？（）
A:系统工具
B:应用程序生成器
C:系统安全文文件
D:访问存储流程

由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是（）
A:要求开发人员采用敏捷开发模型进行开发
B:要求所有的开发人员参加软件安全意识培训
C:要求规范软件编码，并制定公司的安全编码准则
D:要求增加软件安全测试环节，尽早发现软件安全问题

数据仓库是（）。
A:面向对象的
B:面向主题的
C:具体部门的
D:可变的数据库

作为信息安全治理的成果，战略方针提供了（）。
A:企业所需的安全要求
B:遵从最佳实务的安全基准
C:日常化制度化的解决方案
D:风险暴露的理解

大学的IT部门和财务部（FSO，financialservicesoffice）之间签有服务水平协议（SLA），要求每个月系统可用性超过98%。财务部后来分析系统的可用性，发现平均每个月的可用性确实超过98%，但是月末结账期的系统可用性只有93%。那么，财务部应该采取的最佳行动是（）
A:就协议内容和价格重新谈判
B:通知IT部门协议规定的标准没有达到
C:增购计算机设备等（资源）
D:将月底结账处理顺延

ＩＳ审计师在一些数据库的表中发现了越界数据。ＩＳ审计师将建议以下哪种控制避免这种情况（）。
A:记录更新所有交易日志
B:实施执行前与执行后报告
C:安装和使用追踪
D:实施数据库的完整性约束

专门负责数据库管理和维护的计算机软件系统称为（）
A:SQL-MS
B:INFERENCECONTROL
C:DBMS
D:TRIGGER-MS

密码分析的目的是什么？（）
A:确定加密算法的强度
B:增加加密算法的代替功能
C:减少加密算法的换位功能
D:确定所使用的换位

下列对预防DDOS描述正确的是（）
A:由于DDOS会伪造大量的源地址，因此DDOS不可预防
B:可以通过在交换机、路由器上配置相应的安全策略来阻断DDOS攻击
C:只能在交换机上配置DDOS的阻断策略
D:只能在路由器上配置DDOS的阻断策略

以下关于软件安全测试说法正确的是（）？
A:软件安全测试就是黑盒测试
B:Fuzz测试是经常采用的安全测试方法之一
C:软件安全测试关注的是软件的功能
D:软件安全测试可以发现软件中产生的所有安全问题

IS审计师检查指纹识别系统时，发现一个控制漏洞---1个非授权用户可以更新保存指纹模板的中心数据库。下面的哪一种控制能够根除这个风险（）。
A:Kerberos
B:活性检查
C:多种生物特征并用
D:生物特征数字化前后均作记录

当纠正以往的删除错误重新进行接受测试时，一些系统故障正在发生。这表明维护小组可能没有充分进行以下哪一种测试（）。
A:单元测试
B:整体测试
C:设计穿行测试
D:配置管理

IS指导委员会应当（）。
A:包括来自不同部门和员工级别的成员
B:确保IS安全政策和流程已经被恰当地执行了
C:有正式的引用条款和保管会议纪要
D:由供应商在每次会议上简单介绍新趋势和产品

在制定组织间的保密协议，以下哪一个不是需要考虑的内容？（）
A:需要保护的信息
B:协议期望持续时间
C:合同双方的人员数量要求
D:违反协议后采取的措施

下面对SSE-CMM保证过程的说法错误的是（）
A:保证是指安全需求得到满足的可信任程度
B:信任程度来自于对安全工程过程结果质量的判断
C:自验证与证实安全的主要手段包括观察、论证、分析和测试
D:PA“建立保证论据”为PA“验证与证实安全”提供了证据支持

某个机构的网络遭受多次入侵攻击，下面那一种技术可以提前检测到这种行为？（）
A:杀毒软件
B:包过滤路由器
C:蜜罐
D:服务器加固

IPsec工作模式分别是（）。
A:一种工作模式：加密模式
B:三种工作模式：机密模式、传输模式、认证模式
C:两种工作模式：隧道模式、传输模式
D:两种工作模式：隧道模式、加密模式

内部审核的最主要目的是（）。
A:检查信息安全控制措施的执行情况
B:检查系统安全漏洞
C:检查信息安全管理体系的有效性
D:检查人员安全意识

哪三件事情是在检查操作系统安全时认为是最重要的安全控制（）。I．来自信任源的代码II．打开审计日志III．没必要的服务被关掉IV．缺省密码被修改V．系统管理员相对于其要做的工作来说没有任何多余的访问权限
A:I，II，andIII
B:III，IV，andV
C:I，III，andIV
D:I，II，andIV

在一个使用Chinese Wall模型建立访问控制的信息系统中，数据W和数据X在一个兴趣冲突域中，数据Y和数据Z在另一个信息兴趣冲突域中，那么可以确定一个新注册的用户：（）。
A:只有访问了W之后，才可以访问X
B:只有访问了W之后，才可以访问Y和Z中的一个
C:无论是否访问W，都只能访问Y和Z中的一个
D:无论是否访问W，都不能访问Y和Z

恶意代码的第一个雏形是（）？
A:磁芯大战
B:爬行者
C:清除者
D:BRAIN

首页 <上一页 52 53 54 55 56 下一页> 尾页