注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

在window系统中用于显示本机各网络端口详细情况的命令是（）
A:netshow
B:netstat
C:ipconfig
D:netview

下列哪一项准备地描述了脆弱性、威胁、影响和风险之间的关系？（）
A:脆弱性增加了威胁，威胁利用了风险并导致了影响
B:风险引起了脆弱性并导致了影响，影响又引起了威胁
C:风险允许威胁利用脆弱性，并导致了影响
D:威胁利用脆弱性并产生影响的可能性称为风险，影响是威胁已造成损害的实例

对于数据分类和对应用程序按照敏感性进行分类，以下哪一项说法是正确的？（）
A:数据分类和应用程序分类是相同的
B:在数据分类和应用程序分类中有清晰的划分观点
C:对不同的机构，数据分类和应用程序分类是不同的
D:使用简单数据分类和应用程序分类比较容易

对各业务部门实施控制自我评估最为有效的是（）。
A:非正式的个人自我检查
B:引导式研讨会
C:业务流描述
D:数据流程图

下面哪一个不是系统运行维护阶段风险管理的工作内容？（）
A:安全运行和管理
B:安全测试
C:变更管理
D:风险再次评估

某电子商务网站在开发设计时，使用了威胁建模方法来分析电子商务网站所面临的威胁。STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁？（）
A:网站竞争对手可能雇佣攻击者实施DDos攻击，降低网站访问速度
B:网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄漏，例如购买的商品金额等
C:网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改
D:网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息

下面哪个机构是等级保护的主管单位？（）
A:公安部
B:保密局
C:国务院
D:工信部

输出分析仪

以下场景描述了基于角色的访问控制模型（Role-based Access Control．RBAC）：根据组织的业务要求或管理要求，在业务系统中设置若干岗位、职位或分工，管理员负责将权限（不同类别和级别的）分别赋予承担不同工作职责的用户。关于RBAC模型，下列说法错误的是（）
A:当用户请求访问某资源时，如果其操作权限不在用户当前被激活角色的授权范围内，访问请求将被拒绝
B:业务系统中的岗位、职位或者分工，可对应RBAC模型中的角色
C:通过角色，可实现对信息资源访问的控制
D:RBAC模型不能实现多级安全中的访问控制

下列哪种渗透性测试对有效的评估一个组织对事件处理和响应的能力？（）
A:目标测试
B:外部测试
C:内部测试
D:双盲测试

某单位门户网站开发完成后，测试人员使用模糊测试进行安全性测试，以下关于模糊测试过程的说法正确的是（）
A:模拟正常用户输入行为，生成大量数据包作为测试用例
B:数据处理点、数据通道的入口点和可信边界点往往不是测试对象
C:监测和记录输入数据后程序正常运行的情况
D:深入分析网站测试过程中产生崩溃或异常的原因，必要时需要测试人员手工重现并分析

在冗余磁盘陈列中，以下不具有容错技术的是（）。
A:RAID 0
B:RAID 1
C:RAID 3
D:RAID 5

关于控制措施选择描述不正确的是（）。
A:总成本中应考虑控制措施维护成本
B:只要控制措施有效，不管成本都应该首先选择
C:首先要考虑控制措施的成本效益
D:应该考虑控制措施实施的成熟度

下面哪一个不是对点击劫持的描述？（）
A:是一种恶意攻击技术，用于跟踪网络用户并获取私密信息
B:通过让用户来点击看似正常的网页来远程控制其电脑
C:可以用嵌入代码或文本的形式出现，在用户毫不知情的情况下完成攻击
D:可以使对方网络瘫痪

下列哪一个是风险评估过程的描述？风险评估是（）。
A:主观.
B:客观.
C:数学方法
D:统计

每感染一个文件就变体一次的恶意代码称为（）。
A:逻辑炸弹
B:隐秘型病毒
C:特洛伊木马
D:多态性病毒

下面哪一项是IS审计师在进行PBX评估时要检查的（）。I．确信外部免费拨入号码的访问被关掉II．确信语音邮件系统不会被电话线窃听III．确信维护端口的访问代码的缺省值已改变IV．确信外部免费号码如900被严格限制V．确信超额的电话使用被红旗标记并进行舞弊调查
A:I，II，III，andIVonly
B:II，III，andIVonly
C:II，III，IV，andVonly
D:I，II，III，IV，andV

在标准GB9361-88中对机房的安全等级划分正确的是：（）
A:划分为A、B两级
B:划分为A、B、C三级
C:划分为A、B、C、D四级
D:划分为A、B、C、D、E五级

第三方复核

制定IS安全政策最终是谁的责任（）。
A:IS部门
B:安全委员会
C:安全管理员
D:董事会

美国国家安全局的《信息保障技术框架》IATF，在描述信息系统的安全需求时将信息系统分为（）。
A:内网和外网两个部分
B:本地计算环境、区域边界、网络和基础设施支撑性基础设施四个部分
C:用户终端、服务器、系统软件网络设备和通信线路应用软件五个部分
D:用户终端、服务器、系统软件网络设备和通信线路应用软件、安全防护六个级别

人员入职过程中，以下做法不正确的是（）？
A:入职中签署劳动合同及保密协议
B:分配工作需要的最低权限
C:允许访问企业所有的信息资产
D:进行安全意思培训

基本的计算机安全需求不包括下列哪一条？（）
A:安全策略和标识
B:绝对的保证和持续的保护
C:身份鉴别和落实责任
D:合理的保证和连续的保护

以下哪一个是检查擅自改变了生产环境的控制（）。
A:禁止程序员访问产品数据
B:要求变更管理的分析包括成本效益
C:定期控制比较当前目标和源程序
D:确立紧急变更的处理程序

网站认证的主要目的是？（）
A:验证要浏览的网站
B:验证浏览站点的用户
C:阻止黑客浏览网站
D:与数字认证的目的相同

下列哪一项具体解决如何侦测组织IT系统的网络攻击和如何在攻击后恢复？（）
A:事件响应计划
B:IT意外事件计划
C:业务持续性计划
D:运行持续性计划

作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？（）
A:自主访问控制（DAC.
B:强制访问控制（MAC.
C:基于角色访问控制（RBAC.
D:最小特权（LeastPrivilegE.

为了保护企业的知识产权和其它资产，当终止与员工的聘用关系时下面哪一项是最好的方法？（）
A:进行离职谈话，让员工签署保密协议，禁止员工账号，更改密码
B:进行离职谈话，禁止员工账号，更改密码
C:让员工签署跨边界协议
D:列出员工在解聘前需要注意的所有责任

首页 <上一页 68 69 70 71 72 下一页> 尾页