http://www.accatrainer.com/
A、经理 B、审计人员 C、调查人员 D、安全负责人 参考答案:A 安全事件应急响应系统的最终目标是: 选项: A、对安全事件做出的反应不足 B、检测安全事件 C、对安全事件做出过度反应 D、实施提高安全的保护措施 参考答案:D 主动式射频识别卡(RFID)存在哪一种弱点? 选项: A、会话被劫持 B、被窃听 C、存在恶意代码 D、被网络钓鱼攻击 参考答案:B 会话以以下哪一种方式处理,才能最大程度保护无线局域网(WLAN)上传输的机密信息? 选项: A、会话被限定在预定的网卡物理地址(MAC address)上 B、使用固定的密钥加密 C、使用动态的密钥加密 D、由有加密存储功能的设备发起会话 参考答案:C 下面哪一条措施不能防止数据泄漏? 选项: A、数据冗余 B、数据加密 C、访问控制 D、密码系统 参考答案:A http://www.accatrainer.com/
IS 审计师检查企业的生产环境中的主机和客户/服务器体系之后。发现的哪一种漏洞或威胁 需要特别关注? 选项: A、安全官兼职数据库管理员 B、客户/服务器系统没有适当的管理口令/密码控制 C、主机系统上运行的非关键应用没有纳入业务持续性计划的考虑 D、大多数局域网上的文件服务器没有执行定期地硬盘备份 参考答案:B 对下列费用舞弊行为按照发生的频度以降序进行排序: 1、针对电话卡的舞弊 2、员工滥用 3、针对专用分组交换机(PBX)的舞弊 4、针对移动电话的舞弊 选项: A、1,2,3,4 B、3,4,1,2 C、2,3,4,1 D、4,1,2,3 参考答案:B 下面哪一种安全技术是鉴别用户身份的最好的方法? 选项: A、智能
卡 B、生物测量技术 C、挑战--响应令牌 D、用户身份识别码和口令 参考答案:B 在一个分布式计算环境中, 系统安全特别重要。 分布式计算环境中的网络攻击存在两种主要 的类型:被动攻击和主动攻击。下面哪一种是属于被动攻击? 选项: A、企图登录到别人的帐号上 B、在网络电缆上安装侦听设备,并产生错误消息 C、拒绝为合法用户提供服务 D、当用户键入系统口令时,进行窃听 参考答案:D IS 审计师发现 IDS 日志中与入口相关的端口扫描没有被分析,这样将最可能增加哪一类攻 击成攻的风险? 选项: A、拒绝服务攻击 http://www.accatrainer.com/
B、包重放 C、社交工程 D、缓存溢出 参考答案:A 哪一个最能保证来自互联网 internet 的交易事务的保密性? 选项: A、数字签名 B、数字加密标准(DES) C、虚拟专用网(VPN) D、公钥加密(Public Key encryption) 参考答案:D 下面哪一种的方式会消耗掉有价值的网络带宽? 选项: A、特洛伊木马 B、陷井门 C、蠕虫 D、疫苗 参考答案:C 可以用下列哪一种既经济又方便的方式来防止互联网的 WWW 服务信息被窃听? 选项: A、对连接和文件进行加密 B、对 Socket 层和 HTTP 进行加密 C、对连接和 Socket 进行加密 D、对文档和 HTTP 进行加密 参考答案:B 检查入侵监测系统(IDS)时,IS 审计师最关注的内容是: 选项: A、把正常通讯识别为危险事件的数量(误报) B、系统没有识别出的攻击事件 C、由自动化工具生成的报告和日志 D、被系统阻断的正常通讯流 参考答案:B 在对数据中心进行审计时,审计师应当检查电压调整器是否存在,以保证:
http://www.accatrainer.com/
选项: A、保护硬件设备免受浪涌损害 B、如果主电力被中断,系统的完整性也可以得到维护 C、如果主电力被中断,可以提供即时的电力供应 D、保护硬件设备不受长期电力波动的影响 参考答案:A 实施安全政策时,落实责任控制是很重要的一方面,在控制系统用户的责任时下面哪一种情况 有效性是最弱的? 选项: A、审计要求 B、口令 C、识别控制 D、验证控制 参考答案:B 大型公司的供应商遍布在全球各地, 因此其网络流量会持续上升。 在这种环境下的信息基础 设备及各种组件应当是可缩放的,下列哪一种防火墙的结构限制了其未来的缩放性? 选项: A、固定单元的防火墙 B、基于操作系统的防火墙 C、基于主机的防火墙 D、非军事化区(DMZ) 参考答案:A 计算机舞弊行为可以被以下哪一条措施所遏制? 选项: A、准备起诉 B、排斥揭发腐败内幕的雇员 C、忽略了司法系统的低效率 D、准备接收系统缺乏完整性所带来的风险 参考答案:A 一种基于信任而产生的并且很难防范的主要风险是: 选项: A、正确使用的授权访问 B、被滥用的授权访问 C、不成功的非授权访问 D、成功的非授权访问 http://www.accatrainer.com/
参考答案:B 你所在的组织正在计划购置一套适合多种系统的访问控制软件包来保护关键信息资源。 在评 估这样一个软件产品时最重要的标准是什么? 选项: A、要保护什么样的信息? B、有多少
信息要保护? C、为保护这些重要信息你准备有多大的投入? D、不保护这些重要信息,你将付出多大的代价? 参考答案:D 一家投资顾问商
定期向客户发送有关财经新闻的电子邮件, 如何保证客户收到的资料没有被 修改? 选项: A、电子邮件发送前,用投资顾问商的私钥加密邮件的哈席值 B、电子邮件发送前,用投资顾问商的公钥加密邮件的哈席值 C、电子邮件发送前,用投资顾问商的私钥数字签名邮件 D、电子邮件发送前,用投资顾问商的私钥加密邮件 参考答案:A 计算机安全应急响应能力 CSIRC 需要为其日常使用操作以及对系统有效性和责任性检查提 供大量信息,下面哪一种日志能最好地反映系统每天的活动过程? 选项: A、联系日志 B、活动日志 C、事件日志 D、审计日志 参考答案:B 建立数据所有权关系的任务应当是下列哪一种人的责任? 选项: A、职能部门用户 B、内部审计人员 C、数据处理人员 D、外部审计人员 参考答案:A 安全标签是一种访问控制机制,它适用于下列哪一种访问控制策略?
http://www.accatrainer.com/
选项: A、基于角色的策略 B、基于身份的策略 C、用户向导的策略 D、强制性访问控制策略 参考答案:D 下列哪一种情况会损害计算机安全政策的有效性? 选项: A、发布安全政策时 B、重新检查安全政策时 C、测试安全政策时 D、可以预测到违反安全政策的强制性措施时 参考答案:D 下面哪一种安全特征可以由结构化查询评议(SQL)标准来定义? 选项: A、身份鉴别与验证 B、事务管理 C、审计 D、容错 参考答案:B 下面哪一种日志文件有助于评估计算机安全事例的危害程度? 选项: A、联络日志 B、活动日志 C、事件日志 D、审计日志 参考答案:C 下面哪一种属于网络上的被动攻击? 选项: A、消息篡改 B、伪装 C、拒
绝服务 D、流量分析 参考答案:D http://www.accatrainer.com/
数字签名可以有效对付哪一类电子信息安全的风险? 选项: A、非授权地阅读 B、盗窃 C、非授权地复制 D、篡改 参考答案:D 通常,操作系统可以提供哪一种访问控制功能? 选项: A、创建数据库用户账号(profile) B、字段级验证用户身份 C、为每个人建立登陆账号 D、为监督访问违例,日志记录数据库访问活动 参考答案:C 组织的安全政策可以是广义的,也可以是狭义的,下面哪一条是属于广义的安全政策? 选项: A、应急计划 B、远程办法 C、计算机安全程序 D、电子邮件个人隐私 参考答案:C 从计算机安全的角度看,下面哪一种情况是社交工程的一个直接的例子: 选项: A、计算机舞弊 B、欺骗或胁迫 C、计算机偷窃 D、计算机破坏 参考答案:B 下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的? 选项: A、完整性控制的需求是基于风险分析的结果 B、控制已经过了测试 C、安全控制规范是基于风险分析的结果 D、控制是在可重复的基础上被测试的 http://www.accatrainer.com/
参考答案:D 下面哪一种拒绝服务攻击在网络上不常见? 选项: A、服务过载 B、对消息的洪水攻击 C、连接阻塞 D、信号接地 参考答案:C 下面哪一种功能不是防火墙的主要功能? 选项: A、协议过滤 B、应用网关 C、扩展的日志记录能力 D、包交换 参考答案:D 对每个字符和每一帧都传输冗余信息,可以实现对错误的检测和校正,这种方法称为: 选项: A、反馈错误控制 B、块求和校验 C、转发错误控制 D、循环冗