出自:注册信息安全专业人员(CISA,CISO,CISE)

下面关于IIS报错信息含义的描述正确的是?()
A:401-找不到文件
B:403-禁止访问
C:404-权限问题
D:500-系统错误
下列哪个选项是描述*-完整性公理的?()
A:Biba模型中不能向上写
B:Biba模型中不能向下读
C:BLP模型中不能向下写
D:BLP模型中不能向上读
在业务流程重组(BPR)的哪一个步骤,待测定的团队应访问、参观基准伙伴()。
A:观察
B:计划
C:分析
D:调整
一个IS审计师邀请参与一个关键项目的启动会议,信息系统审计师主要关注的是:()
A:已分析过项目的复杂性和风险
B:已判断了贯穿整个项目所需的资源
C:项目交付结果已确定
D:外包方合同已签约
自2004年1月起,国内各有关部门在申报信息安全国家标准计划项目时,必须经由以下哪个组织提出工作意见,协调一致后由该组织申报。()
A:全国通信标准化技术委员会(TC485)
B:全国信息安全标准化技术委员会(TC260)
C:中国通信标准化协会(CCSA)
D:网络与信息安全技术工作委员会
密文
下面的问题参考下图,下图代表一个假设的内部设施,组织实施防火墙保护程序,防火墙应该安装在()。
A:防火墙是没有必要的
B:安装在op-3
C:mis和NAT2
D:SMTP网关和op-3
作业控制语言
通常,在一个项目的发起阶段,下述人员哪个的参与是必要的?()
A:系统所有者
B:系统用户
C:系统设计者
D:系统建设者
什么是变更控制系统中最重要的部分()。
A:所有的变更都必须文档化和被批准
B:变更通过自动化工具来管理,防止人为访问
C:一旦变更失败,生产的备份被维护
D:通过测试和批准来确保质量
以下哪一项是常见WEB站点脆弱性扫描工具?()
A:AppScan
B:Nmap
C:Sniffer
D:LC
关于灾难恢复计划多长时间测试一次,一直就有争论。测试灾害恢复计划的频度应当基于()。
A:审计师的建议
B:数据处理的要求
C:预算额度
D:管理者的意见
谁应对组织的业务连续性计划负责(Accountability)()。
A:业务连续经理
B:CEO
C:人力资源经理
D:以上都是
以下关于代替密码的说法正确的是()。
A:明文根据密钥被不同的密文字母代替
B:明文字母不变,仅仅是位置根据密钥发生改变
C:明文和密钥的每个bit异或
D:明文根据密钥作了移位
下列对蜜网功能描述不正确的是()。
A:可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击
B:吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的活动记录下来
C:可以进行攻击检测和实时报警
D:可以对攻击活动进行监视、检测和分析
某软件公司准备提高其开发软件的安全性,在公司内部发起了有关软件开发生命周期的讨论,在下面的发言观点中,正确的是()
A:软件安全开发生命周期较长,而其中最重要的是要在软件的编码...好安全措施,就可以解决90%以上的安全问题
B:应当尽早在软件开发的需求和设计阶段增加一定的安全措施,这样可以比在软件发布以后进行漏洞修复所花的代价少得多
C:和传统的软件开发阶段相比,微软提出的安全开发生命周期(securitydevetqpmefrtliocyclnsdl)的最大特点是增加了一个专门的安全编码阶段
D:软件的安全测试也很重要,考试到程序员的专业性,如果该开发人员已经对软件进行了安全性测试,就没有必要再组织第三方进行安全性测试
为满足预定义的标准,下面哪一种连续审计技术,对于查找要审计的事务是最佳的工具()。
A:系统控制审计检查文件和嵌入式审计模块(SCARF/EAM)
B:持续和间歇性模拟(CIS)
C:整体测试(ITF.
D:审计钩(Audithooks)
以下哪一个不是OSI安全体系结构中的安全机制?()
A:数字签名
B:路由控制
C:数据交换
D:抗抵赖
下面哪个模型和软件安全开发无关()?
A:微软提出的“安全开发生命周期(Security Development Lifecycle,SDL)”
B:GrayMcGraw等提出的“使安全成为软件开发必须的部分(Building Security IN,BSI)”
C:OWASP维护的“软件保证成熟度模型(Software Assurance Maturity Mode,SAMM)”
D:美国提出的“信息安全保障技术框架(Information Assurance Technical Framework,IATF)”
以下哪一个是IT绩效衡量过程的主要目的()。
A:最小化错误
B:收集绩效数据
C:建立绩效基准
D:绩效优化
拥有电子资金转帐销售点设备的大型连锁商场,有中央通信处理器连接银行网络,对于通信处理机,下面哪一项是最好的灾难恢复计划?()
A:每日备份离线存储
B:选择在线备份程序
C:安装双通讯设备
D:在另外的网络节点选择备份程序
下面哪一个是国家推荐性标准?()
A:GB/T18020-1999应用级防火墙安全技术要求
B:SJ/T30003-93电子计算机机房施工及验收规范
C:GA243-2000计算机病毒防治产品评级准则
D:ISO/IEC15408-1999信息技术安全性评估准则
执行计算机犯罪证据调查时,对于数据收集,IS审计师应该最关心的证据是:()
A:分析
B:评估
C:保存
D:公开
如图1所示,主机A向主机B发出的数据采用AH或ESP的传输模式对流量进行保护时,主机A和主机B的IP地址在应该在下列哪个范围?()
A:10.0.0.0~10.255.255.255
B:172.16.0.0~172.31.255.255
C:192.168.0.0~192.168.255.255
D:不在上述范围内
依据信息系统安全保障模型,以下哪个不是安全保证对象?()
A:机密性
B:管理
C:过程
D:人员
封装
审计师已经对一个金融应用的数据完整性进行了评估,下面哪一个发现是最重要的()。
A:应用程序所有者不知道IT部门对系统实施的一些应用
B:应用数据每周只备份一次
C:应用开发文档不完整
D:信息处理设施没有受到适当的火灾探测系统的保护
为了确定哪些用户有权进入享有特权的监控态,IS审计人员应该检查以下哪一项?()
A:系统访问日志文件
B:被启动的访问控制软件参数
C:访问控制违犯日志
D:系统配置文件中所使用的控制选项
灾难性恢复计划 (DRP) 基于()。
A:技术方面的业务连续性计划
B:操作部分的业务连续性计划
C:功能方面的业务连续性计划
D:总体协调的业务连续性计划
下面哪一项持续计划测试使用真实资源模拟系统崩溃以证明计划的有效性,同时符合成本效益原则?()
A:桌面测试
B:效果测验
C:仿真测试
D:穿行测试
首页 <上一页 84 85 86 87 88 下一页> 尾页