出自:注册信息安全专业人员(CISA,CISO,CISE)

下列属于DDOS攻击的是()
A:DDOS
B:SYN变种攻击
C:TCP连接攻击
D:SQL注入攻击
一声火灾蔓延到一个组织的机房场地,这个组织损失了所有的计算机系统。从前,这个组织最应该做的是()。
A:为冷站备份方式作战计划
B:为互助协议作计划--与其它相同的组织协商互为备份
C:为热站备份方式作计划--使一切设备与数据准备就绪
D:为异地存储设备作每日备份
IS审计师应当使用以下哪种报告来检查遵守服务层次协议(SLA)有关可用时间的要求()。
A:利用情况报告
B:硬件故障报告
C:系统日志
D:可用性报告
以下哪一项可以在不同网络之间e-mail格式,从而使e-mail可以在所有网络上传播()。
A:网关
B:协议转换器
C:前端通讯处理机
D:集中器/多路选择器
某银行在其所有的重要信息系统项目中都采用系统开发命周期的概念目前该行正准备开始一个房贷业务系统的可行性研究可行性研究的主要内容应该包括()。
A:可能的投标商和商誉
B:计算机病毒和其他破坏导致的风险
C:切换系统实施方法如平行法
D:技术和相关成本
在软件测试中使用自下而上方式优于自上而下方式的好处是()。
A:界面错误会被较早发现
B:较早建立对系统的信心
C:关键模块中的错误会被较早发现
D:主要功能和过程得到较早测试
再工程
某单位人员管理系统在人员离职时进行账号删除,需要离职员工所在部门主管经理和人事部门人员同时进行确认才能在系统上执行,该设计是遵循了软件安全设计中的哪项原则?()
A:最小权限
B:权限分离
C:不信任
D:纵深防御
以下有关信息安全方面的业务连续性管理的描述,不正确的是()。
A:信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时,能够及时恢复,保障企业业务持续运营
B:企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务
C:业务连续性计划文档要随着业务的外部环境的变化,及时修订连续性计划文档
D:信息安全方面的业务连续性管理只与IT部门相关,与其他业务部门人员无须参入
作为业务持续性计划的一部分,在进行风险评价的时候的步骤是()。 1.考虑可能的威胁; 2.建立恢复优先级; 3.评价潜在的影响; 4.评价紧急性需求。
A:1-3-4-2
B:1-3-2-4
C:1-2-3-4
D:1-4-3-2
下面对漏洞出现在软件开发的各个阶段的说法中错误的是()。
A:漏洞可以在设计阶段产生
B:漏洞可以在实现过程中产生
C:漏洞可以在运行过程中产生
D:漏洞可以在验收过程中产生
下列针对windows主机安全说法最准确的是()
A:系统重新安装后最安全
B:系统安装了防病毒和防火墙就安全了
C:把管理员密码长度修改的比较复杂安全
D:经过专业的安全服务人员根据业务系统的需要进行评估,然后根据评估结果进行安全加固后比较安全
在linux系统中用哪个命令可以查看文件和目录,显示文件的属性:()
A:cat
B:mkdir
C:ls
D:ls–l
审查广域网(WAN)的使用中发现,在同步连接主数据库和备用数据库站点的通信线路中的流量最高达到信息容量的96%,IS设计师可以得出结论:()
A:需要分析以便确定是否出现了短期内能导致服务中断的情况
B:广域网的通信能力足以满足最大流量因为还没达到饱和状态
C:应该立刻更换更大容量的线路,以便提供大约85%的饱和度
D:应该通知用户减少通讯流量,或分配其服务时间以便平衡宽带消耗
通过反复尝试向系统提交用户名和密码以发现正确的用户密码的攻击方式称为()
A:账户信息收集
B:密码分析
C:密码嗅探
D:密码暴力破解
以下关于UNIX引导过程描述正确的是()? 1.开始引导装入程序(bootloader) 2.开始其他系统“自发的”进程 3.内核初始化并运行内核程序 4.运行系统起始脚本
A:1.2.3.4
B:1.3.2.4
C:1.3.4.2
D:3.1.2.4
生物特征锁
哪种控制可以侦测传输错误通过在每个数据段的末端加上计算位? ()
A:合理性校验
B:奇偶校验
C:冗余校验
D:顺序校验
作业审计
下列对访问控制的说法正确的是()。
A:访问控制模型是对一系列访问控制规则集合的描述,必须是形式化的
B:一般访问控制过程由:主题、客体、访问控制决策和访问控制实施四部分组成
C:访问控制模型是对一系列安全策略的描述,都是非形式化的
D:在访问控制过程中,主题提交的访问请求由访问控制决策不见实施访问
一个组组织外包其广域网(WAN)给第三方服提供商。在这种情况下审计师应该执行业务连接性计划(BCP)和灾难恢复计划(DRP)审计,下列哪个是首要任务?()
A:检查服务商的BCP与该组织的BCP和合同义务是否一致
B:检查服务水平协议(SLA)是否包含在出现故障时,以应付发生灾难时的服务水平和处罚条款
C:审查该组织在选择服务供应商时的方法
D:审阅第三方服务提供商时的工作人员的认可
以下哪个数据校验编辑在检测移位和抄录错误时,是有效的:()
A:范围检查
B:校验数字位
C:有效性检查
D:重复性检查
在对定义IT服务水平的控制过程的审核中,审计人员最有可能面试()。
A:系统程序员.
B:法律人员
C:业务部门经理
D:应用程序员.
以下关于信息安全保障说法中哪一项不正确?()
A:信息安全保障是为了支撑业务高效稳定的运行
B:以安全促发展,在发展中求安全
C:信息安全保障不是持续性开展的活动
D:信息安全保障的实现,需要将信息安全技术与管理相结合
认证授权(C.A.)作为一个第三方在通讯过程中所起的作用是()。
A:基于证书(C.ertifiC.A.tes)来提供安全的通讯及网络服务。
B:B.存储由C.发放的证书(包含对应的公钥和密钥)。
C:在通讯双方之间扮演一位可信的仲裁者。
D:D.确认某一拥有C.发放的证书的实体的身份。
在Clark-Wilson模型中哪一项不是保证完整性任务的?()
A:防止职权的滥用
B:防止非授权修改
C:维护内部和外部的一致性
D:防止授权但不适当地修改
信息安全风险评估分为自评估和检查评估两种形式。下列描述不正确的是:()
A:信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。
B:检查评估可在自评估实施的基础上,对关键环节或重点内容实施抽样评估。
C:检查评估也可委托风险评估服务技术支持方实施,但评估结果仅对检查评估的发起单位负责。
D:检查评估是指信息系统上级管理部门组织有关职能部门开展的风险评估。
机构应该把信息系统安全看作()。
A:业务中心
B:风险中心
C:业务促进因素
D:业务抑制因素
下列哪一项最准确地描述了定量风险分析?()
A:通过基于场景的分析方法来研究不同的安全威胁
B:一种将潜在的损失以及进行严格分级的分析方法
C:在风险分析时,将货币价值赋给信息资产
D:一种基于主观判断的风险分析方法
以下关于CC标准说法错误的是()
A:通过评估有助于增强用户对于IT产品的安全信息
B:促进IT产品和系统安全性
C:清楚重复的评估
D:详细描述了安全评估方法学
首页 <上一页 83 84 85 86 87 下一页> 尾页