出自:注册信息安全专业人员(CISA,CISO,CISE)

授权访问信息资产的责任人应该是()。
A:资产保管员
B:安全管理员
C:资产所有人
D:安全主管
TCP三次握手协议的第一步是发送一个()。
A:SYN包
B:ACK包
C:UDP包
D:null包
下面哪种安全代码最难以用遍历的方法来破解()
A:密文
B:用户口令
C:锁定口令
D:口令代码
在服务外包的情况下,下面哪个选项是最重要的,由IS管理层执行的功能?()
A:保证发票已付款给提供商
B:和提供商一起参与系统设计
C:与提供商洽谈费用
D:监控外包提供商的性能
为了防止授权用户不会对数据进行未经授权的修改,需要实施对数据的完整性保护,下列哪一项最好地描述了星或(*-)完整性原则?()
A:Bell-LaPadula模型中的不允许向下写
B:Bell-LaPadula模型中的不允许向上读
C:Biba模型中的不允许向上写
D:Biba模型中的不允许向下读
在以下与用于离线打印敏感报告的假脱机相关联的漏洞中,IS审计师应认为哪项最为严重?()
A:操作员可阅读敏感数据
B:未经授权便可修改数据
C:可以打印未经授权的报告副本
D:发生系统故障时输出会丢失
对信息安全风险评估要素理解正确的是()
A:资产识别的粒度随着评估范围、评估目的的不同而不同,既可以是硬件设备,也可以是业务系统,也可以是组织机构
B:应针对构成信息系统的每个资产做风险评价
C:脆弱性识别是将信息系统安全现状与国家或行业的安全要求做符合性比对而找出的差距项
D:信息系统面临的安全威胁仅包括人为故意威胁、人为非故意威胁
以下哪一种加密算法或机制是绝对无法破解的()。
A:数据加密标准(DES)
B:一次性乱码填充
C:C.国际数据加密技术(IDE
D:RC2和RC4
OSI开放系统互联安全体系构架中的安全服务分为鉴别服务、访问控制、机密性服务、完整服务、抗抵赖服务,其中机密性服务描述正确的是()。
A:包括原发方抗抵赖和接受方抗抵赖
B:包括连接机密性、无连接机密性、选择字段机密性和业务流保密
C:包括对等实体鉴别和数据源鉴别
D:包括具有恢复功能的连接完整性、没有恢复功能的连接完整性、选择字段连接完整性、无连接完整性和选择字段无连接完整性
IS指导委员会应该()。
A:包括来自各个部门和各个层次的员工
B:确保IS安全政策和程序被适当的执行
C:有正式的定期召开例会,并保留每一次会议记录
D:在每一次供应商召集的会议上,记录新的趋势和产品
某制造类公司欲建自动化发票支付系统,要求该系统在复核和授权控制上花费相当少的时间,同时能识别出需要深入追究的错误,以下哪一项措施能最好地满足上述需求()。
A:建立一个与供应商相联的内部客户机用及服务器网络以提升效率
B:将其外包给一家专业的自动化支付和账务收发处理公司
C:与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处
D:重组现有流程并重新设计现有系统
以下哪个命令可以查看端口对应的PID?()
A:netstat-ano
B:ipconfig/all
C:tracert
D:netsh
IS审计师在审查信息系统短期(战术)计划时应确定是否()。
A:在项目中,IS人员和业务人员进行了整合
B:有明确的目标和任务
C:信息技术计划战略方法在发挥作用
D:将业务目标和IS目标进行关联的计划
一个企业对于所有使用的数据通过协议正在采用由国外供应商提供的云架构。在这个项目中什么是审计人员最应该关注的?()
A:私有数据可能被未被授权的用户访问
B:访问云主机是通过远程访问方式完成的
C:主机结构和设置是由供应商完成的
D:单机验证被使用
下列哪种方法能使业务连续性管理过程中建立最优化的次序?()
A:分配到每个系统的恢复时间目标
B:对信息进行机密性分级
C:恢复技术表示了系统架构的建立
D:估计可能容忍的停运行期业务收益损失
以下对“信息安全风险”的描述正确的是()。
A:是来自外部的威胁利用了系统自身存在脆弱性作用于资产形成风险
B:是系统自身存在的威胁利用了来自外部的脆弱性作用于资产形成风险
C:是来自外部的威胁利用了系统自身存在的脆弱性作用于网络形成风险
D:是系统自身存在的威胁利用了来自外部的脆弱性作用于网络形成风险
下面哪项不是IDS的主要功能()
A:监控和分析用户和系统活动
B:统计分析异常活动模式
C:对被破坏的数据进行修复
D:识别活动模式以反映己知攻击
一个中等大小的组织,其IT灾难恢复已实施多年,并定期检测,并刚刚开发了一个正式的业务连续性计划(BCP)。一个基本的桌面BCP工作已经顺利完成。接下来信息系统审计师应建议实施哪项策略?()
A:安全测试所有部门的应急站点(BCP)是否适当
B:涉及的所有关键人员的一系列的预定义的场景穿行测试
C:对业务部门的IT灾难恢复,进行测试关键应用
D:有限IT投入情形下的业务功能测试
CC中的评估保证级(EAL)分为多少级?()
A:6级
B:7级
C:5级
D:4级
暴露(风险)
在信息安全领域,风险的四要素是指()。
A:资产及其价值、威胁、脆弱性、现有的和计划的控制措施
B:资产及其价值、系统的漏洞、脆弱性、现有的和计划的控制措施
C:完整性、可用性、机密性、不可抵赖性
D:减低风险、转嫁风险、规避风险、接受风险
灾难恢复后的计划部署后,组织的灾难前和灾难后的成本将:()
A:减少
B:维持不变
C:增加
D:增加或减少,由业务性质而定
为了防止未授权进入拨号和快速反应系统中的数据。审计人员应该建议()。
A:在线终端在受限区域布置
B:用钥匙和锁装备的终端
C:访问在线终端时,需要获得身份卡验证
D:重试特定失败次数之后在线访问会被断开
在WEB服务器的以下哪一项活动中引入的简单错误会导致最大的安全脆弱性()。
A:WEB服务器的采购
B:WEB服务器的使用
C:WEB服务器的配置
D:WEB服务器的维护
面向对象的开发方法中,以下哪些机制对安全有帮助?()
A:封装
B:多态
C:继承
D:重载
信息安全管理者需要完成方方面面的繁杂工作,这些日常工作根本的目标是()
A:避免系统软硬件的损伤
B:监视系统用户和维护人员的行为
C:保护组织的信息资产
D:给入侵行为制造障碍,并在发生入侵后及时发现、准确记录
下列哪一项不是一种预防性物理控制?()
A:安全警卫
B:警犬
C:访问登记表
D:围栏
利用自下而上的方法与由上而下的方法相比,在进行软件测试时优点在于()。
A:尽早发现接口错误
B:更早达到对系统的信心
C:尽早发现关键模块的错误
D:尽早测试主要的功能和处理
为了确定在一个具有不同系统的环境中数据是如何通过不同的平台访问的,信息系统审计师首先必须审查()。
A:业务软件
B:基础平台工具
C:应用服务
D:系统开发工具
一个组织将制定一项策略以定义了禁止用户访问的WEB 站点类型。为强制执行这一策略,最有效的技术是什么?()
A:状态检测防火墙
B:WEB内容过滤器
C:WEB缓存服务器
D:应该代理服务器
首页 <上一页 73 74 75 76 77 下一页> 尾页