出自:注册信息安全专业人员(CISA,CISO,CISE)

Kerberos是一种()。
A:面向访问的保护系统
B:面向票的保护系统
C:面向列表的保护系统
D:面向锁和键的保护系统
审计师需要把他/她的微型计算机连接到主机系统,数据通信采用二进制代码同步通信传输数据块。然而,审计师计算机目前的配置,只能进行异步的ASCII代码数据通信。IS审计师的计算机必须增加下面哪一项才能与主机系统通讯()。
A:缓冲能力和平行端口
B:缓冲能力和网络控制
C:并行端口和协议转换
D:缓冲能力和协议转换
IS审计期间,对收集数据范围的决定应基于()。
A:关键和必要信息的可获得性
B:审计师对相关环境的了解程度
C:从被审事项中找到证据的可能性
D:审计的目的和范围
下列哪一项能最大的保证服务器操作系统的完整性?()
A:用一个安全的地方来存放(保护)服务器
B:设置启动密码
C:加强服务器设置
D:实施行为记录
以下哪一个不是安全审计的作用?()
A:记录系统被访问的过程及系统保护机制的运行状态
B:发现试图绕过保护机制的行为
C:及时发现并阻止用户身份的变化
D:报告并阻碍绕过保护机制的行为并记录相关进程,为灾难恢复提供信息
顺序文件
信息安全属性不包括以下哪个?()
A:保密性
B:完整性
C:可用性
D:增值性
下列哪些形式的审计证据就被视为最可靠()。
A:口头声明的审计
B:由审计人员进行测试的结果
C:组织内部产生的计算机财务报告
D:从外界收到的确认来信
规范的实施流程和文档管理,是信息安全风险评估结能否取得成果的重要基础,某单位在实施风险评估时,形成了《风险评估方案》并得到了管理决策层的认可,在风险评估实施的各个阶段中,该《风险评估方案》应是如下()中的输出结果。
A:风险评估准备阶段
B:风险要素识别阶段
C:风险分析阶段
D:风险结果判定阶段
通常情况下,怎样计算风险?()
A:将威胁可能性等级乘以威胁影响就得出了风险
B:将威胁可能性等级加上威胁影响就得出了风险
C:用威胁影响除以威胁的发生概率就得出了风险
D:用威胁概率作为指数对威胁影响进行乘方运算就得出了风险
电子邮件的什么策略最有可能降低收集相关电子证据的风险:()
A:销毁策略
B:安全策略
C:归档策略
D:审计策略
在IS项目的计划阶段的假设包括高度的风险,因为这些假设()。
A:是根据已知的限制
B:是基于过去的客观数据
C:是缺乏信息的结果
D:做假设的人往往是不合格的
需求定义
依据国家标准GB/T20274《信息系统安全保障评估框架》,信息系统安全目标是开发者、评估者和用户在()之间达成的一致。
A:信息系统规划和实施
B:信息系统安全特性和评估范围
C:信息安全要求和安全目的
D:风险和使命
有效的IT治理应该确保IT计划符合组织的()。
A:业务计划
B:审计计划
C:安全计划
D:投资计划
在开发基于风险的审计策略时,信息系统审计人员应当进行风险评估,以确保:()
A:用于减少风险的控制已经实施
B:脆弱性风险已被实施
C:审计风险已被考虑
D:差距分析是适当的
下列对Kerberos协议特点描述不正确的是()
A:协议采用单点登录技术,无法实现分布式网络环境下的认证
B:协议与授权机制相结合,支持双向的身份认证
C:只要用户拿到了TGT并且该TGT没有过期,就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码
D:AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全
下面有关我国标准化管理和组织机构的说法错误的是?()
A:国家标准化管理委员会是统一管理全国标准化工作的主管机构
B:国家标准化技术委员会承担着国家标准的制定和修改巩工作
C:全国信息安全标准化技术委员负责信息安全技术标准的审查、批准、编号和发布
D:全国信息安全标准化技术委员负责统一协调信息安全国家标准年度计划项目
在某网络机房建设项目中,在施工前,以下哪一项不属于监理需要审核的内容()
A:审核实施投资计划
B:审核实施进度计划
C:审核工程实施人员
D:企业资质
某单位想用防火墙对telnet协议的命令进行限制,应选在什么类型的防火墙()
A:包过滤技术
B:应用代理技术
C:状态检测技术
D:NAT技术
从风险角度对数据库进行评估是很复杂的,因为()。
A:应用视图,查询权限,字段,数据表访问以及报表和查询结果的访问都要通过评估数据的安全性来检查
B:它们可能有通过很多键连接起来的复杂的数据结构
C:为了了解数据分类,数据定义必须进行维护
D:数据流和数据范式化过程会使改变数据表大小和事务映射变得困难
下面哪一种测试可以确定当新的或变更的系统在目标环境中运行时并不影响其他现有系统()。
A:平行测试
B:Pilot测试
C:整体/接口测试
D:适应性测试
从控制观点出发,工作说明书的关键要素是他们()。
A:提供如何做这项工作的指令并定义权限
B:对员工来说是当前的、比较容易得到的和文档化的
C:传达了管理层对特定工作绩效的期望值
D:建立了员工行为的职责和可问责制
非对称式密钥(公开密钥)
一个银行所在的大楼发生火灾,这个组织首先要做的事情是()。
A:进行事件影响评估
B:疏散相关人员
C:抢救服务器上的硬盘
D:以上所有
如果一名攻击者截获了一个公钥,然后他将这个公钥替换为自己的公钥并发送给接收者,这种情况属于哪一种攻击?()
A:重放攻击
B:Smurf攻击
C:字典攻击
D:中间人攻击
在风险管理准备阶段“建立背景”(对象确立)过程中不应该做的是()
A:分析系统的体系结构
B:分析系统的安全环境
C:制定风险管理计划
D:调查系统的技术特性
执行应用控制审核的IS审计人员应评价()。
A:应用满足业务需求的效率
B:所有已发现的、暴露的影响
C:应用所服务的业务流程
D:应用的优化
加密系统
安全模型明确了安全策略所需的数据结构和技术,下列哪项最好描述了安全模型中的“简单安全规则”?()
A:Biba模型中的不允许向上写
B:Biba模型中的不允许向下读
C:Bell-Lapadula模型中的不允许向下写
D:Bell-Lapadula模型中的不允许向上读
首页 <上一页 75 76 77 78 79 下一页> 尾页