被引用:2次
本页仅为文字内容,不可回答。
信息系统审计师练习题
感谢您能抽出几分钟时间来参加本次答题,现在我们就马上开始吧!
Q1:单选题为推动和规范我国信息安全等级保护工作,我国制定和发布了信息安全等级保护工作所需要的一系列标准,这些标准可以按照等级保护工作的工作阶段大致分类、下面四个标准中,( )规定了等级保护定级阶段的依据、对象、流程、方法及等级变更等内容。
选项1 GB/T 20271-2006《信息系统通用安全技术要求》
选项2 GB/T 22240-2008《信息系统安全保护等级定级指南》
选项3 GB/T 25070-2010《信息系统等级保护安全设计技术要求》
选项4 GB/T 20269-2006《信息系统安全管理要求》
Q2:单选题以下关于互联网协议安全(Internet Protocol Security, IPsec)协议说法错误的是
选项1 在传送模式中,保护的是IP负载
选项2 验证头协议(AuthenticationHead,AH)和IP封装安全载荷协议(Encapsulating Security Payload,ESP)都能以传输模式和隧道模式工作
选项3 在隧道模式中,保护的是整个互联网协议(Internet Protocol,IP)包,包括IP头
选项4 IPsec 仅能保证传输数据的可认证性和保密性
Q3:单选题为防范网络欺诈确保交易安全,网银系统首先要求用户安全登录,然后使用“密码+ 短息认证”模式进行网上转账等交易,在此场景中用到下列哪些鉴别方法
选项1 实体“所知”以及实体“所有”的鉴别方法
选项2 实体“所有”以及实体“特征”的鉴别方法
选项3 实体“所知”以及实体“特征”的鉴别方法
选项4 实体“所有”以及实体“行为”的鉴别方法
Q4:单选题实体身份鉴别的方法多种多样,且随着技术的进步,鉴别方法的强度不断提高。常见的方法有指令鉴别、令牌鉴别、指纹鉴别等。如图,小王作为合法用户使用自己的账户进行支付、转账等操作。这说法属于下列选项中的()
选项1 实体所知的鉴别方法
选项2 实体所有的鉴别方法
选项3 实体特征的鉴别方法
选项4 实体所见的鉴别方法
Q5:单选题下列哪一项不属于审计工作底稿的复核事项
选项1 具体审计目的是否实现
选项2 审计证据是否适当、充分
选项3 得出的审计结论及其相关标准是否适当
选项4 得出的审计建议是否适当
Q6:单选题下列哪个因素可能导致样本量减小
选项1 审计总体的量越大
选项2 可容忍误差增大
选项3 抽样风险越小
选项4 可靠程度增大
Q7:单选题部署互联网协议安全虚拟专用网(Internet protocol sectocol security virtual private network ipsec vpn)时,以下说法正确的是
选项1 配置MD5安全算法可以提供可靠的数据加密
选项2 配置AES算法可以提供可靠的数据完整性验证
选项3 部署IPsec VPN网络时,需要考虑IP地址的规划,尽量在分支节点使用可以聚合的IP地址段,来减少IPsec安全关联(security authentication,SA)资源的消耗
选项4 报文验证头协议(Authentication Header,AH)可以提供数据机密性
Q8:单选题对于交易量庞大的零售企业而言,以下哪项审计技术最适合主动解决新出
选项1 使用计算机辅助审计技术(CAATs)
选项2 控制自我评估
选项3 对交易日志抽样
选项4 持续性审计
Q9:单选题黑客无需使用计算机工具或程序就可以获得密码的技术是
选项1 社会工程
选项2 嗅探器
选项3 后门
选项4 特洛伊木马
Q10:单选题审计人员在访谈某员工关于信息安全方针时,该员工不知道曾发布过信息安全方针,审计人员应先如何判断
选项1 由于该员工自身原因,未能掌握信息安全方针
选项2 管理者未履行信息安全方针发布和传达的职责
选项3 信息安全方针未形成文件
选项4 以上都不对
Q11:单选题鉴于信息安全的重要性,很多组织也有针对性的开展了信息安全专项审计项目,提出了信息安全审计的概念。信息安全审计的提出主要基于哪些要求?
选项3 用户等相关方的期望
选项4 以上都不是
Q12:单选题在审计信息安全工程项目时,下班给你呀小组且目前在定义需求,把建议的安全解决方案和安全需要相匹配,目前处于哪个阶段?
选项1 中长期规划
选项2 项目立项
选项3 需求分析
选项4 设计
Q13:单选题审计署在《信息系统审计指南》(审计署计算机实务公告第34号)中将信息系统审计定义为:“是指国家审计机关依法对被审计单位信息系统的哪几个相关性进行检查监督的活动。
选项1 真实性、合规性、保密性、安全性
选项2 真实性、合法性、效益性、安全性
选项3 有效性、合法性、完整性、可用性
选项4 有效性、合规性、完整性、真实性
Q14:单选题在隔离区(DMZ)内的服务器上提供FTP服务会引入以下哪项重大风险?
选项1 内部用户可能给非授权用户发送文件
选项2 FTP服务允许用户从未经授权的源下载文件
选项3 黑客可能通过FTP服务来突破防火墙
选项4 FTP服务会显著的降低DMZ服务器的性能
Q15:单选题规划信息安全审计时,以下哪项是要执行的最关键步骤?
选项1 回顾之前审计的结果
选项2 规定计划以执行对数据中心设施的物理安全审查
选项3 审查信息安全安全政策和流程
选项4 执行风险评估
Q16:单选题在对数据库进行安全审计时,哪个被认为是最严重的问题
选项1 管理员账号永不过期
选项2 未修改默认的全局安全设置
选项3 旧数据未清除
选项4 数据库活动没有被完整记录
Q17:单选题一名IS审计师正在审查某组织的软件开发流程。下列哪项职能适合由最终用户执行?
选项1 程序输出测试
选项2 系统配置
选项3 程序逻辑说明
选项4 性能调整
Q18:单选题一位信息安全审计师发现连接到网络的设备并没有包含在用于确定审计范围的网络图中。首席信息官(CIO)解释说该图正在进行更新并等待最终审批。该信息安全审计师应首先
选项1 扩大信息安全审计范围以包括网络图中没有的设备
选项2 评估此未记录设备对审计范围的影响
选项3 将其记录为控制缺陷,因为网络图尚未更新
选项4 针对未记录的设备计划后续的审计工作
Q19:单选题下列哪一项不是信息安全审计提出的必要条件
选项1 行业监管部门的要求
选项2 企业自身内控的需要
选项3 用户等相关方的期望
选项4 降低信息安全风险
Q20:单选题下列哪项内容可以不在项目审计计划中体现
选项1 审计组构成
选项2 审计阶段,活动和审计时间的分配
选项3 具体审计方法和程序
选项4 审计小组工作内容以及需要被审计单位的配合内容
Q21:单选题实体身份鉴别一般依据以下三种基本情况或这三种情况的组合,实体所知的方法、实体所有的鉴别方法和基于实体特征的鉴别方法。下列选项中属于基本实体特征鉴别方法的是()
选项1 将登陆口令设置为出生日期
选项2 通过询问和核对用户的个人隐私信息来鉴别
选项3 使用系统定制的、在本系统专用的IC卡进行鉴别
选项4 通过扫墙和识别用户的脸部信息来鉴别
Q22:单选题信息系统内部控制越弱,则
选项1 信息系统出现差错的概率越小
选项2 应相应增加实质性测试的范围和程度
选项3 应相应减少实质性测试的范围和程度
选项4 以上都不对
Q23:单选题执行计算机取证调查时,对于收集到的证据,IS审计师最应关注
选项1 证据的分析
选项2 证据的评估
选项3 证据的保存
选项4 证据的泄露
Q24:单选题在IT开发项目中使用的业务案例文档应该保留到什么时候?
选项1 系统生米周期结束
选项2 项目通过审批
选项3 用户验收系统
选项4 系统投入生产
Q25:单选题PKI的主要理论基础是()
选项1 对称密码算法
选项2 公钥密码算法
选项3 量子密码
选项4 摘要算法
Q26:单选题风险评估是指:
选项1 系统地使用信息来是识别风险来源和估计风险
选项2 将估计的风险与给定的风险准则加以比较以确定风险严重性的过程
选项3 指导和控制一个组织相关风险的协调活动
选项4 以上都不对
Q27:单选题进行合规性测试时,以下哪种抽样方法最有用( )
选项1 属性抽样
选项2 变理抽样
选项3 分层单位均值抽样
选项4 差异估计抽样
Q28:单选题关于秘钥管理,下列说法错误的是:
选项1 科克霍夫原则指出算法的安全性不应基于算法的保密,而应基于秘钥的安全性
选项2 保密通信过程中,通信方使用之前用过的会话秘钥建立会话,不影响通信安全
选项3 秘钥管理需要考虑秘钥产生、存储、备份、分配、更新、撤销等生命周期过程的每一个环节
选项4 在网络通信中,通信双方可利用Diffie-Hellman协议协商出会话秘钥
Q29:单选题公钥基础设施,引入数字正式的概念,用来表示用户的身份,下图简要的描述了终端实体(用户),从认证权威机构CA申请、撤销和更新数字证书的流程,请为中间框空白处选择合适的选项() (终端实体)—( )—(认证权威机构CA)
选项1 认证书
选项2 RA
选项3 OCSP
选项4 CRL库
Q30:单选题自主访问控制模型(DAC)的访问控制关系可以用访问控制(ACL)来表示,该客体上附加一个主体明细表的方法来表示访问控制矩阵,通常使用由客体指向储存相关数据,下面选项中说法正确的是()
选项1 ACL是Bell-LaPadula模型的一种具体实现
选项2 ACL再删除用户时,去除该用户所有的访问权限比较方便
选项3 ACL对于统计某个主体能访问哪些客体比较方便
选项4 ACL在增加客体时,增加相关的访问控制权限比较简单
Q31:单选题Kerberos协议是一种集中访问控制协议,他能在复杂的网络环境中,为用户提供安全的单位点登陆服务。单位点登陆是指用户在网络登陆中进行一次身份验证,便可以访问授权的所有网络资源。而不在需要其他的认证过程,实质是消息M在多个应用系统之间传递或共享,其中消息M是指以下选项中的()
选项1 安全凭证
选项2 用户名
选项3 加密秘钥
选项4 会话秘钥
Q32:单选题下面排序你认为哪个是正确的 (主体)_提交访问请求________(访问控制实施)_提出访问请求__________(客体) 请求决策 ↓↓ ↑↑ 决策 (访问控制决策 )
选项1 1是主体
选项2 2是客体
选项3 3是实施
选项4 4是决策
Q33:单选题根据Bell-LaPedula模型安全策略,下图中写和读操作正确的是() 写 读 ( 机 密 )← ( 机 密 ) → ( 秘 密 ) NUC NUC、US NUC US
选项1 可读可写
选项2 可读不可写
选项3 可写不可读
选项4 不可读不可写
Q34:姓名
    ____________
Q35:手机号码
    ____________
Q36:性别
联系我们
客服专线 4006-700-778
其他咨询 4006-188-166
客服邮箱 wenjuan@idiaoyan.com
问卷网公众号 问卷网公众号
问卷网APP 问卷网APP
问卷网服务协议隐私政策免责声明©2013-2020 上海众言网络科技有限公司ICP证:合字B2-20160010沪ICP备10013448沪公网安备 31010402000149号