出自:注册信息安全专业人员(CISA,CISO,CISE)

一个知识库专家系统,在得到结论打到共识之前它会采用调查问卷让用户经过一系列选择,称它为:()
A:规则
B:决策树
C:语义图
D:数据流图
在IT项目管理中为了保证系统的安全性,应当充分考虑对数据的正确处理,以下哪一项不是对数据输入进行校验可以实现的安全目标()
A:防止出现数据范围以外的值
B:防止出现错误的数据处理顺序
C:防止缓冲区溢出攻击
D:防止代码注入攻击
以下哪一个群体应作为系统开发项目及结果系统的拥有者()。
A:用户管理层
B:高级管理层
C:项目指导委员会
D:系统开发管理层
电子邮件网络是()。
A:协作式系统
B:集中式系统
C:分散式系统
D:分布式系统
UDP是传输层重要协议之一,哪一个描述是正确的?()
A:基于UDP的服务包括FTP、HTTP、TELNET等
B:基于UDP的服务包括NIS、NFS、NTP及DNS等
C:UDP的服务具有较高的安全性
D:UDP的服务是面向连接的,保障数据可靠
对信息安全的理解,正确的是()。
A:信息资产的保密性、完整性和可用性不受损害的能力,是通过信息安全保障措施实现的
B:通过信息安全保障措施,确保信息不被丢失
C:通过信息安全保证措施,确保固定资产及相关财务信息的完整性
D:通过技术保障措施,确保信息系统及财务数据的完整性、机密性及可用性
访问控制模型应遵循下列哪一项逻辑流程?()
A:识别,授权,认证
B:授权,识别,认证
C:识别,认证,授权
D:认证,识别,授权
美国的关键信息基础设施(critical Information Infrastructure,CII)包括商用核设施、政府设施、交通系统、饮用水和废水处理系统、公共健康和医疗、能源、银行和金融、国防工业基地等等,美国政府强调重点保障这些基础设施信息安全,其主要原因不包括()
A:这些行业都关系到国计民生,对经济运行和国家安全影响深远
B:这些行业都是信息化应用广泛的领域
C:这些行业信息系统普遍存在安全隐患,而且信息安全专业人才缺乏的现象比其他行业更突出
D:这些行业发生信息安全事件,会造成广泛而严重的损失
当审计访问权限时,审计师应该合理怀疑下列哪项分配给计算机操作员的权限()。
A:读数据权限
B:删除传输数据文件的权限
C:读日誌/执行访问程序
D:更新存取作业务控制语句/脚本文
在应用审计阶段,IS审计师发现几个问题与数据库错误有关。下面哪一个是IS审计师应该建议的纠正控制()。
A:实施数据备份和恢复程序
B:定义标准和相应的复合性监督
C:确保只有授权人员能够更新数据库
D:确认控制处理当前的访问问题
在评估一个重要业务范围的灾难恢复计划,信息系统审计员发现它并没有涵盖所有系统。下列哪个选项是审计员最正确的行为?()
A:通知管理层并评估没有涵盖所有系统的影响
B:取消审计
C:根据已存的灾难恢复计划完成系统审计
D:延后审计知道所有的系统都被包含到灾难恢复计划中
对于信息系统部门的职责分离情况,以下哪项审计技术提供了最好的证据?()
A:与管理层进行讨论
B:审查组织章程
C:观察和面谈
D:测试用户访问权限
为了保护系统日志可靠有效,以下哪一项不是日志必需具备的特征()
A:统一面精确地的时间
B:全面覆盖系统资产
C:包括访问源、访问日志和访问活动等重要信息
D:可以让系统的所有用户方便的读取
PKI在验证一个数字证书时需要查看()来确认该证书是否已经作废。
A:ARL
B:CSS
C:KMS
D:CRL
以下对信息安全管理的描述错误的是()。
A:保密性、完整性、可用性
B:抗抵赖性、可追溯性
C:真实性、私密性、可靠性
D:增值性
关于信息安全保障的概念,下面说法错误的是()
A:信息系统面临的风险和威胁是动态变化的,信息安全保障强调动态的安全理念
B:信息安全保障已从单纯的保护和防御阶段发展为集保护、检测和响应为一体的综合阶段
C:在全球互联互通的网络空间环境下,可单纯依靠技术措施来保障信息安全
D:信息安全保障把信息安全从技术扩展到管理,通过技术、管理和工程等措施的综合融合,形成对信息、信息系统及业务使命的保障
一个职员为一个贷款主文件修改利率,这个利率已经超过这笔贷款的正常范围,为确保这项变动经过授权,下面哪一项是最有效的控制()。
A:系统不执行修改,除非职员的主管输入授权码来确认。
B:系统产生所有利率异常的周报清单,并得到职员主管的审阅。
C:系统要求职员输入一个授权码。
D:系统对职员显示警告信息。
在一个使用ChineseWall模型建立访问控制的消息系统中,()。
A:只有访问了W之后,才可以访问X
B:只有访问了W之后,才可以访问Y和Z中的一个
C:无论是否访问W,都只能访问Y和Z中的一个
D:无论是否访问W,都不能访问Y或Z
某集团公司根据业务需要,在各地分支机构部署前置机,为了保证安全,集团总部要求前置机开放日志共享,由总部服务器采集进行集中分析,在运行过程中发现攻击者也可通过共享从前置机中提取日志,从而导致部分敏感信息泄露,根据降低攻击面的原则,应采取以下哪项处理措施?()
A:由于共享导致了安全问题,应直接关闭日志共享,禁止总部提取日志进行分析
B:为配合总部的安全策略,会带来一定的安全问题,但不影响系统使用,因此接受此风险
C:日志的存在就是安全风险,最好的办法就是取消日志,通过设置让前置机不记录日志
D:只允许特定的IP地址从前置机提取日志,对日志共享设置访问密码且限定访问的时间
在招聘过程中,如果在岗位人员的背景调查中出现问题时,以下做法正确的是()?
A:继续执行招聘流程
B:停止招聘流程,取消应聘人员资格
C:与应聘人员沟通出现的问题
D:再进行一次背景调查
汇编器
一个信息系统审计师发现用户接受测试新系统反复被中断,这是由于开发商在执行缺陷修复。以下哪个是信息系统审计是要做的最佳建议?()
A:考虑一个独立用户接受度环境的可行性
B:每天设定一个时间进行用户测试
C:执行一个原码版本控制工具
D:只重新测试高优先缺陷
接受EDI交易并通讯接口,通常需要阶段()。
A:转化和分拆交易
B:路由确认过程
C:传递数据到应用系统
D:创建接收审计日志点
下列哪一项准确地描述了可信计算基(TCB)?()
A:TCB只作用于固件(Firmware)
B:TCB描述了一个系统提供的安全级别
C:TCB描述了一个系统内部的保护机制
D:TCB通过安全标签来表示数据的敏感性
某单位在实施信息安全风险评估后,形成了若干文档,下面()中的文挡不应属于风险评估中“风险评估准备”阶段输出的文档。
A:《风险评估工作计划》,主要包括本次风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等内容
B:《风险评估方法和工具列表》。主要包括拟用的风险评估方法和测试评估工具等内容
C:《已有安全措施列表》,主要包括经检查确认后的已有技术和管理各方面安全措施等内容
D:《风险评估准则要求》,主要包括风险评估参考标准、采用的风险分析方法、风险计算方法、资产分类标准、资产分类准则等内容
在编制一个单位的信息安全响应计划时,以下哪一项的内容是最全面的()
A:角色与职责、预防和预警机制、应急响应流程、应急响应保障措施
B:角色与职责、预防和预警机制、应急响应流程、应急响应联络措施
C:应急组织架构、预防和预警机制、应急响应流程、人力保障、技术保障
D:应急组织架构、事件检测机制、事件预警通报机制、应急响应流程、人力保障、技术保障
源代码比较程序
下列哪一项与数据库的安全的直接关系?()
A:访问控制的程度
B:数据库的大小
C:关系表中属性的数量
D:关系表中元组的数量
一个信息系统审计师对组织交互培训实践的风险进行评估,风险应该是()。
A:对唯一人员的依赖
B:不充分的连续性计划
C:一个人知道系统的所有部分
D:操作中断
下列对于信息安全保障深度防御模型的说法错误的是()
A:信息安全外部环境:信息安全保障是组织机构安全、国家安全的一个重要组成部分,因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下
B:信息安全管理和工程:信息安全保障需要在整个组织机构内建立和完善信息安全管理体系,将信息安全管理综合至信息系统的整个生命周期,在这个过程中,我们需要采用信息系统工程的方法来建设信息系统
C:信息安全人才体系:在组织机构中应建立完善的安全意识,培训体系也是信息安全保障的重要组成部分
D:信息安全技术方案:“从外而内、自下而上、形成边界到端的防护能力”
首页 <上一页 62 63 64 65 66 下一页> 尾页