注册信息安全专业人员（CISA,CISO,CISE） - 自考题库

出自:注册信息安全专业人员（CISA,CISO,CISE）

对重要的第三方应用程序执行审查时，IS审计师在发现以下哪种情况时最为关注：（）
A:不具备充分的流程，以确保系统存在足够的可移植性
B:不具备足够的系统操作文档
C:不具备恰当的备选服务提供商列表
D:不具备恰当的软件第三方托管协议

当传输一个支付指令时，以下哪一项可用来帮助校验该指令不是被复制的（）。
A:使用密码学的哈希算法
B:加密消息摘要
C:解密消息摘要
D:（使用）序列号及时间戳

下列措施中哪项不是登录访问控制措施？（）
A:审计登录者信息
B:密码失效时间
C:密码长度
D:登录失败次数限制

信息系统审计师在进行审计时发现存在病毒，后续步骤应为（）.
A:观察反应机制
B:从网络上清除病毒
C:立刻通知相关人员
D:确保病毒被清除

相比FAT文件系统，以下哪个不是NTFS所具有的优势（）
A:NTFS使用事务日志自动记录所有文件和文件夹更新，当出现系统损坏引起操作失败后，系统能利用日志文件重做或恢复未成功的操作
B:NTFS的分区上，可以为每个文件或文件夹设置单独的许可权限
C:对于大磁盘，NTFS文件系统比FAT有更高的磁盘利用率
D:相比FAT文件系统，NTFS文件系统能有效的兼容linux下的EXT32文件格式

下列对常见强制访问控制模型说法不正确的是（）
A:BLP模型影响了许多其他访问控制模型的发展
B:Clark-Wilson模型是一种以事物处理为基本操作的完整性模型
C:ChineseWall模型是一个只考虑完整性的安全策略模型
D:Biba模型是-种在数学上与BLP模型对偶的完整性保护模型

Java安全模型（JSM）是在设计虚拟机（JVN）时，引入沙箱（sandbox）机制，其主要目的是：（）。
A:为服务器提供针对恶意客户端代码的保护
B:为客户端程序提供针对用户输入恶意代码的保护
C:为用户提供针对恶意网络移动代码的保护
D:提供事件的可追查性

在评估一个高可用性网络的恢复能力时，下列什么情况风险最高？（）
A:设备在地理位置上分散
B:网络服务器位于同一地点
C:热站就绪可以被激活
D:网络执行了不同行程

通过合适的应用确定了网络会话，发送者传送信息通过将其分成包，但是包到达接受端时可能顺序破坏。OSI的哪一层可以通过分段的序列确定包的排列顺序（）。
A:网络层
B:会话层
C:应用层
D:传输层

以下哪一种检测方法对发现冒充/伪装攻击比较有效（）。
A:分析审计日志和流水日志
B:观察
C:口令试探
D:用户报告曾遭受过冒充/伪装攻击

在对组织的灾难恢复计划进行审查后，信息系统审计师要求与公司管理层召开会议以讨论审计发现。以下哪一项是对此次会议的主要目标的最佳描述？（）
A:取得管理层对整改行动的批准
B:验证审计发现的准确性
C:帮助管理层实施整改行动
D:向管理层说明审计的范围和所受到的限制

组织外包其服务台，下列哪项指标最好包括在服务水平协议（SLA）中？（）
A:全部用户支持
B:第一次呼叫解决问题的百分比
C:服务台的意外报告数量
D:应答电话的代理数量

通过传输每个字符或数据帧的冗余信息来检测或纠正（传输）错误被称作为（）。
A:反馈差错控制
B:（数据）块和数校验
C:前向差错控制
D:循环冗余校验

在基于TCP/IP的网络里，IP地址指定（）。
A:网络连接
B:路由器/网关
C:网络中的计算机
D:网络中的设备

某公司系统管理员最近正在部署一台Web服务器，使用的操作系统是windows，在进行日志安全管理设置时，系统管理员拟定四条日志安全策略给领导进行参考，其中能有效应对攻击者获得系统权限后对日志进行修改的策略是（）
A:在网络中单独部署syslog服务器，将Web服务器的日志自动发送并存储到该syslog日志服务器中
B:严格设置Web日志权限，只有系统权限才能进行读和写等操作
C:对日志属性进行调整，加大日志文件大小、延长日志覆盖时间、设置记录更多信息等
D:使用独立的分区用于存储日志，并且保留足够大的日志空间

白盒测试特有的优势是：（）
A:验证程序能够与系统的其他部分运行成功
B:确保程序的功能运行有效，不考虑程序内部架构
C:确定一个程序的详细逻辑路径的程序上的正确性和环境
D:通过执行在一个受限的或者虚拟的环境下受限访问主系统来检查程序的功能性

拒绝服务攻击可通过以下哪一种方式来预防（）。
A:冗余
B:隔离
C:政策
D:规程

为降低成本、改善得到的服务，外包方应该考虑增加哪一项合同条款（）。
A:操作系统和硬件更新周期
B:与承包方分享绩效红利
C:严厉的违例惩罚
D:为外包合同追加资金

一位IT审计师在审查某组织的信息安全政策，该政策要求对所有保存在通用串行总线（USB）驱动器上的数据进行加密。政策还要求使用一种特定的加密算法。以下那种算法可以为USB驱动器上的数据提供安全的保障，以防止未经授权的数据泄漏？（）
A:数据加密标准（DES）
B:消息摘要5（MD5）
C:高级加密标准（AES）
D:安全壳（SSH）

从风险分析的观点来看，计算机系统的最主要弱点是（）。
A:内部计算机处理
B:系统输入输出
C:通讯和网络
D:外部计算机处理

审计师审查重组织流程的时候，首先要审查（）。
A:现有控制图
B:消除的控制
C:处理流程图
D:补偿性控制

关于信息安全策略文件的评审以下说法不正确的是哪个？（）
A:信息安全策略应由专人负责制定、评审
B:信息安全策略评审每年应进行两次，上半年、下半年各进行一次
C:在信息安全策略文件的评审过程中应考虑组织业务的重大变化
D:在信息安全策略文件的评审过程中应考虑相关法律法规及技术环境的重大变化

以下关于Linux用户和组的描述不正确的是（）。
A:在Linux中，每一个文件和程序都归属于一个特定的“用户”
B:系统中的每一个用户都必须至少属于一个用户组
C:用户和组的关系可以多对一，一个组可以有多个用户，一个用户不能属于多个组
D:Root是系统的超级用户，无论是否文件和程序的所有者都具有访问权限

依据国家标准/T20274《信息系统安全保障评估框架》，信息系统安全目标（ISST）中，安全保障目的指的是（）
A:信息系统安全保障目的
B:环境安全保障目的
C:信息系统安全保障目的和环境安全保障目的
D:信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的

恶意代码采用加密技术的目的是（）
A:加密技术是恶意代码自身保护的重要机制
B:加密技术可以保证恶意代码不被发现
C:加密技术可以保证恶意代码不被破坏
D:以上都不正确

下列哪些有助于发现对于服务器的日志入侵造成的变化（）。
A:在另一个服务器作镜像
B:在一次性写入的磁盘上同步记录系统日志
C:对系统日志写保护
D:异地存储系统日志的备份

如果应用程序被修改，并且适当的系统维护程序发挥作用，下面哪一项将要被测试（）。
A:数据库完整性
B:对应用程序的访问控制
C:完整的程序，包括任何接口系统
D:包括修改的代码的程序段

从终端发现未授权输入的信息最好是由（）提供。
A:控制台日志输出
B:事务日志
C:自动化的不正确文件列表
D:用户错误报告

首页 <上一页 74 75 76 77 78 下一页> 尾页