出自:注册信息安全专业人员(CISA,CISO,CISE)

黑客造成的主要危害是()。
A:破坏系统、窃取信息及伪造信息
B:攻击系统、获取信息及假冒信息
C:进入系统、损毁信息及谣传信息
D:进入系统,获取信息及伪造信息
用于跟踪路由的命令是()。
A:nestat
B:regedit
C:systeminfo
D:tracert
以下是哪一个是邮件服务器用来发送垃圾邮件最有可能的原因()。
A:安装开放应答服务
B:使用邮局协议(POP3)
C:使用简单的邮件传输(SMTP)
D:活动用户账户
将会在组织的战略计划中发现下面哪一个目标()。
A:测试新的帐户包
B:进行信息技术需求评估
C:在接下来的12个月中实施新的项目计划
D:成为某种产品的供应商
对于RAID3或RAID5以下说法正确的是()。
A:RAID3至少要3块盘,其中任何一块磁盘损坏替换后都能恢复相应数据
B:RAID3至少要5块盘,其中任何两块磁盘损坏替换后都能恢复相应数据
C:RAID5至少要3块盘,其中任何两块磁盘损坏替换后都能恢复相应数据
D:RAID5至少要5块盘,其中任何一块磁盘损坏替换后都能恢复相应数据
在审计师执行一个审计时,下面哪一个被视为一个预防性控制?()
A:交易日志记录
B:事前和事后镜像报告
C:表格查询(tablelookups)
D:跟踪和标签
DDoS攻击的主要目换是()。
A:破坏完整性和机密性
B:破坏可用性
C:破坏机密性和可用性
D:破坏机密性
下列哪一项最准确地描述了灾难恢复计划(DRP)应该包括的内容?()
A:硬件,软件,人员,应急流程,恢复流程
B:人员,硬件,备份站点
C:硬件,软件,备份介质,人员
D:硬件,软件,风险,应急流程
关于《计算机信息系统安全保护条例》,以下错误的是()
A:计算机信息系统实行安全等级保护制度
B:计算机信息系统使用单位应当建立健全安全管理制度
C:计算机信息系统实行性能测试和安全测评制度
D:公安部主管全国计算机信息系统安全保护工作(含安全监督职权)
层次化的文档是信息安全管理体系《information Securlty Management System.ISMS》建设的直接体系,也ISMS建设的成果之一,通常将ISMS的文档结构规划为4层金字塔结构,那么,以下选项()应放入到一级文件中。
A:《风险评估报告》
B:《人力资源安全管理规定》
C:《ISMS内部审核计划》
D:《单位信息安全方针》
以下哪一项不应被看做防火墙的主要功能?()
A:协议过滤
B:包交换
C:访问控制规则的实现
D:审计能力的扩展
在审计企业资源规划(ERP)财务系统的逻辑访问控制期间,IS审计师发现某些用户账户为多人共享、用户ID基于角色而不是基于个人身份、这些账户允许对ERP中的金融交易进行访问。IS审计师接下来应该做什么?()
A:寻求补偿控制
B:审查金融交易日志
C:审查审计范围
D:要求管理员禁用这些账户
美国国防部提出的《信息保障技术框架》(IATF)在描述信息系统的安全需求时,将信息技术信息分为()。
A:内网和外网两个部分
B:本地计算环境、区域边界、网络和基础设施、支撑性基础设施四个部分
C:用户终端、服务器、系统软件、网络设备和通信线路、应用软件五个部分
D:可信用户终端、服务器、系统软件、网络设备和通信线路、应用软件、安全防护措施六个部分
电子邮件系统已经成为一个有用的诉讼证据来源,下面哪一个是最有可能的原因()。
A:多重循环备份档案可供利用
B:访问控制可以确定电子邮件行为的责任
C:对于通过电子邮件交流的信息尽心过数据分类管理
D:企业中,用于确保证据可得的清晰的使用电子邮件的政策
以下哪项不是网络入侵检测系统的优点()
A:不影响现有网络和数据源
B:与操作系统无关
C:实时监视和检测网络攻击或者滥用
D:可以分析加密数据
金融机构最近开发并安装了新的保证金制度,与他们的客户网站和其自动柜员机(ATM)接口,开发团队和连续性业务团队维护良好的沟通,来更新包括新系统的连续性业务计划(BCP)。下列什么是在这个时间点上合适的BCP测试?()
A:用实际资源来模拟系统崩溃
B:详细的贯穿整个计划的测试
C:网站接口应用程序渗透测试
D:在备份站点实施一次故障转移
以下有关访问控制的描述不正确的是()。
A:口令是最常见的验证身份的措施,也是重要的信息资产,应妥善保护和管理
B:系统管理员在给用户分配访问权限时,应该遵循“最小特权原则”,即分配给员工的访问权限只需满足其工作需要的权限,工作之外的权限一律不能分配
C:单点登录系统(一次登录/验证,即可访问多个系统)最大的优势是提升了便利性,但是又面临着“把所有鸡蛋放在一个篮子”的风险
D:双因子认证(又称强认证)就是一个系统需要两道密码才能进入
在审查业务连续性计划时,信息系统审计师注意到何种情况将宣布为危机还没有做出定义。与此相关的重大风险是:()
A:对形势的评估可能会推迟
B:灾难恢复计划的执行将受到影响
C:团队可能不会得到通知
D:识别潜在的危机可能无效
目前对MD5,SHA1算法的攻击是指()。
A:能够构造出两个不同的消息,这两个消息产生了相同的消息摘要
B:对于一个已知的消息,能够构造出一个不同的消息,这两个消息产生了相同的消息摘要
C:对于一个已知的消息摘要,能够恢复其原始消息
D:对于一个已知的消息,能够构造一个不同的消息摘要,也能通过验证
如果可能最应该得到第一个应急事件通知的小组是()。
A:应急响应领导小组
B:应急响应日常运行小组
C:应急响应技术保障小组
D:应急响应实施小组
重新激活程序检查点
IT战略计划如果缺少高级管理层的认定,最可能带来的影响是()。
A:缺少技术投资
B:缺少系统开发的方法
C:技术实施与组织目标不一致
D:缺少技术合同控制
主机控制台日志
电子商务环境中降低通讯故障的最佳方式是()
A:使用压缩软件来缩短通讯传输耗时
B:使用功能或消息确认(机制)
C:利用包过滤防火墙,重新路由消息
D:租用异步传输模式(ATM)线路
某单位计划在今年开发一套办公自动化(OA)系统,将集团公司各地的机构通过互联网进行协同办公,在OA系统的设计方案评审会上,提出了不少安全开发的建议,作为安全专家,请指出大家提的建议中不太合适的一条?()
A:对软件开发商提出安全相关要求,确保软件开发商对安全足够的重视,投入资源解决软件安全问题
B:要求软件开发人员进行安全开发培训,使开发人员掌握基本软件安全开发知识
C:要求软件开发商使用Java而不是ASP作为开发语言,避免产生SQL注入漏洞
D:要求软件开发商对软件进行模块化设计,各模块明确输入和输出数据格式,并在使用前对输入数据进行校验
《信息安全技术信息安全风险评估规范GB/T20984-2007》中关于信息系统生命周期各阶段的风险评估描述不正确的是:()
A:规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。
B:设计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。
C:实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。
D:运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种全面的风险评估。评估内容包括对真实运行的信息系统、资产、脆弱性等各方面。
以下哪一项是IT指导委员会的职能()。
A:监测供应商对于变更控制的控制和测试
B:保证信息处理环境中的职责分离
C:审批和监管重大项目,IS计划和预算的情况
D:IS部门和终端用户之间的联系
以下哪种保险类型可在发生员工欺诈时降低损失?()
A:业务中断
B:忠实覆盖
C:错误和疏忽
D:额外费用
以下对审核发现描述正确的是()。
A:用作依据的一组方针、程序或要求
B:与审核准则有关的并且能够证实的记录、事实陈述或其他信息
C:将收集到的审核证据依照审核准则进行评价的结果,可以是合格/符合项,也可以是不合格/不符合项
D:对审核对象的物理位置、组织结构、活动和过程以及时限的描述
IPSEC使用的加密算法有()
A:DES、3DES、AES
B:DES、3DES
C:3DES、AES
D:DES、AES
首页 <上一页 97 98 99 100 101 下一页> 尾页