注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

安全标签是一种访问控制机制，它适用于下列哪一种访问控制策略（）。
A:基于角色的策略
B:基于身份的策略
C:用户向导的策略
D:强制性访问控制策略

下列哪一组高层系统服务可以提供对网络的访问控制（）。
A:访问控制列表和访问特权
B:身份识别和验证
C:认证和鉴定
D:鉴定和保证

年度损失值（ALE）的计算方法是什么？（）
A:ALE=ARO*AV
B:ALE=AV*SLE
C:“ALE=ARO*SLE”
D:ALE=AV*EF

当评估计算机定期维护程序的适当性和效率时，下面哪一项IS审计师认为是最有帮助的（）。
A:系统故障日志
B:供应商可靠性特点
C:定期保养记录
D:书面预防性维修日程

以下哪一项在防止数据介质被溢用时是不推荐使用的方法（）
A:禁用主机的CD驱动、USB接口等I／O设备
B:对不再使用的硬盘进行严格的数据清除
C:将不再使用的纸质文件用碎纸机粉碎
D:用快速格式化删除存储介质中的保密文件

对于组织选择灾难恢复策略，以下说法正确的是（）。
A:对于大规模的组织一般热站是较好的选择
B:对于小型组织一般冷站是比较好的选择
C:选择什么样的恢复策略需要根据具体情况而定
D:以上都不对

如果将风险管理分为风险评估和风险减缓，那么以下哪个不属于风险减缓的内容？（）
A:计算风险
B:选择合适的安全措施
C:实现安全措施
D:接受残余风险

下列哪些因素能够最好的确保业务应用在海外成功开发（）。
A:严格的合同管理办法
B:详细正确的实施说明
C:政治和文化差异的认识
D:实施后审查

下列对防火墙技术分类描述正确的是（）
A:防火墙技术一般分为网络级防火墙和应用级防火墙两类
B:防火墙可以分为双重宿主主机体系、屏蔽主机体系、屏蔽子网体系
C:防火墙采取的技术，主要是包过滤、应用网关、子网屏蔽等
D:防火墙可以分为网络防火墙和主机防火墙

ApacheWeb服务器的配置文件一般位于/usr／local／apache／conf目录，其中用来控制用户访问Apache目录的配置文件是（）
A:ttpd.conf
B:srm.onf
C:access.conf
D:inetd.conf

Windows系统下，哪项不是有效进行共享安全的防护措施？（）
A:使用netshare//127.0.0.1/c$/delete命令，删除系统中的c$等管理共享，并重启系统
B:确保所有的共享都有高强度的密码防护
C:禁止通过“空会话”连接以匿名的方式列举用户、群组、系统配置和注册表键值
D:安装软件防火墙阻止外面对共享目录的连接

从计算机安全的角度看，下面哪一种情况是社交工程的一个直接的例子（）。
A:计算机舞弊
B:欺骗或胁迫
C:计算机偷窃
D:计算机破坏

下列哪一项是一个适当的测试方法适用于业务连续性计划（BCP）？（）
A:试运行
B:纸面测试
C:单元
D:系统

分片攻击发生在（）
A:数据包被发送时
B:数据包在传输过程中
C:数据包被接收时
D:数据包的数据进行重组时

椭圆曲线密码方案是指（）。
A:基于椭圆曲线上的大整数分解问题构建的密码方案
B:通过椭圆曲线方程求解的困难性构建的密码方案
C:基于椭圆曲线上有限域离散对数问题构建的密码方案
D:通过寻找是单向陷门函数的椭圆曲线函数构建的密码方案

以下关于验收测试，软件测试和监理工程师的说法正确的是（）
A:验收测试是由承建方和用户按照用户使用手册执行软件验收
B:软件测试的目的是为了验证软件功能是否正确
C:监理工程师应按照有关标准审查提交的测试计划，并提出审查意见
D:软件测试计划开始于软件设计阶段，完成于软件开发阶段

根据《信息系统安全保障评估框架第四部分：工程保障》安全工程过程是（）。
A:未实施、基本实施、计划跟踪、量化控制、充分定义和持续改进
B:未实施、基本实施、计划跟踪，充分定义、量化控制和持续改进
C:基本实施、计划跟踪、充分定义、量化控制和持续改进等5个
D:基本实施、计划跟踪、量化控制、充分定义和持续改进等5个

以下哪种方法有助于确保连接数据库的应用程序的可移植性（）。
A:确保数据库导入和导出处理
B:使用结构化查询语言（SQL）
C:分析存储处理/Triggers
D:数据库物理模式与实体联系模型同步

为了赶一个时间要求极为迫切的项目，而增加人员时，以下哪一项目需要首先被重新核定（）。
A:项目预算
B:项目的关键路径
C:剩余任务的花费时间长短
D:增加的人员被分配到其他项目中

要确定向供应商发出的采购订单是否已根据授权矩阵取得授权，以下哪种抽样方法最有效（）
A:变量抽样
B:分层单位平均评估抽样
C:属性抽样
D:不分层单位平均估计抽样

ISO27002中描述的11个信息安全管理的控制领域不包括（）
A:信息安全组织
B:资产管理
C:内容安全
D:人力资源安全

以下哪一项不能适应特洛伊木马的攻击？（）
A:强制访问控制
B:自主访问控制
C:逻辑访问控制
D:访问控制表

在层的方式当中，哪种参考模型描述了计算机通信服务和协议？（）
A:IETF–因特网工程工作小组
B:ISO–国际标准组织
C:IANA–因特网地址指派机构
D:OSI–开放系统互联

风险评估和管理工具通常是指什么工具？（）
A:漏洞扫描工具
B:入侵检测系统
C:安全审计工具
D:安全评估流程管理工具

一个IS审计人员被应邀参加一个开发项目会议，没有项目风险被记录。当审计师提出了这个问题，项目经理的回答是为时尚早，如果风险确实开始影响项目，将聘用风险经理。IS审计师最适当的回应：（）
A:强调在当前的项目点上时间考虑、识别风险的重要性，并制定应急计划
B:接受项目经理的观点，项目经理负责承担项目的后果
C:委任一位风险经理
D:通知项目经理，审计师将会在该项目的需求定义阶段完成后进行风险审查

随着全球信息化的发展，信息安全成了网络时代的热点，为了保证我国信息产业的发展与安全，必须加强对信息安全产品、系统、服务的测评认证，中国信息安全产品测评认证中心正是由国家授权从事测评认证的国家级测评认证实体机构，以下对其测评认证工作的错误认识是（）。
A:测评与认证是两个不同概念，信息安全产品或系统认证需经过申请、测试、评估，认证一系列环节
B:认证公告将在一些媒体上定期发布，只有通过认证的产品才会向公告、测试中或没有通过测试的产品不再公告之列
C:对信息安全产品的测评认证制度是我国按照WTO规则建立的技术壁垒的管理体制
D:通过测试认证达到中心认证标准的安全产品或系统完全消除了安全风险

小李在某单位是负责信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训，一次培训的时候，小李主要负责讲解风险评估方法。请问小李的所述论点中错误的是哪项（）
A:风险评估方法包括：定性风险分析、定量风险分析以及半定量风险分析
B:定性风险分析需要凭借分析者的经验和直觉或者业界的标准和惯例，因此具有随意性
C:定量风险分析试图在计算风险评估与成本效益分析期间收集的各个组成部分的具体数字值，因此更具客观性
D:半定量风险分析技术主要指在风险分析过程中综合使用定性和定量风险分析技术对风险要素的赋值方式，实现对风险各要素的度量数值化

当两个或两个以上系统整合时，ＩＳ审计师必需审查的输入／输出控制是（）。
A:系统接受其他系统输出的部分
B:系统发送给其他系统地结果
C:系统发送和接收的数据
D:两个系统的接口

以下关于windowsSAM（安全账户管理器）的说法错误的是（）。
A:安全账户管理器（SAM）具体表现就是%SystemRoot%/system32/config/sam
B:安全账户管理器（SAM）存储的账号信息是存储在注册表中
C:安全账户管理器（SAM）存储的账号信息对administrator和system是可读和可写的
D:安全账户管理器（SAM）是windows的用户数据库，系统进程通过Security Accounts Manager服务进行访问和操作

首页 <上一页 66 67 68 69 70 下一页> 尾页