D. 访问存储程序
4-10 当审查互联网通信网络时,IS审计师首先要检查: A. 密码变更发生的有效性
B. 客户端服务器应用程序的结构 C. 网络结构和设计
D. 防火墙保护和代理服务器 4-11 IS审计师应该参与:
A. 观察对灾难恢复计划进行的测试 B. 制定灾难恢复计划 C. 维护灾难恢复计划
D. 审查供应商合同中的灾难恢复要求
4-12 信息处理能力恢复的时间窗口是基于: A. 受影响流程的重要性 B. 要处理的数据的质量 C. 灾难的性质
D. 基于大型计算机的应用程序
4-13 在以下哪种情况下,应该将数据镜像作为数据恢复策略来执行: A. 恢复点目标(RPO)很低 B. RPO很高
C. 恢复时间目标(RTO)很高 D. 容灾水平很高
4-14 在下列业务连续性计划的组成部分中,哪一项主要是组织内部IS部门的职责? A. 制定业务连续性计划
B. 选择和审批用于业务连续性计划的恢复策略 C. 声明出现灾难
D. 灾难之后还原IT系统和数据
CDAAC AAAAC AAAD
5-1 在审查基于签名的入侵检测系统(IDS)的配置时,发现以下哪一项问题将最令IS审计师担忧?
A. 自动更新功能被关闭
B. 应用程序的漏洞扫描功能被禁用 C. 加密数据包的分析功能被禁用
D. IDS被放置在隔离区(DMZ)和防火墙之间
5-2 以下哪个选项能够最有效地为本地服务器上处理的薪资数据提供访问控制? A. 记录对个人信息的访问 B. 为敏感事务使用单独的密码
C. 使用可以限制授权人员遵守访问规则的软件 D. 将系统访问限制在营业时间以内
5-3 一位IS审计师刚刚完成对某组织的审计工作,该组织拥有一台大型计算机和两个保存着所有生产数据的数据库服务器。以下哪个弱点将被视为最严重的问题? A. 安全员同时也是数据库管理员
B. 没有对这两个数据库服务器进行密码控制管理
C. 大型机系统的非关键应用程序没有相应的业务连续性计划 D. 大多数局域网(LAN)都没有定期备份固定式文件服务器磁盘
5-4 组织正在计划安装一个单点登录设施,该设施可以访问所有系统。该组织应注意到: A. 如果密码泄露,有可能遭受最严重的未授权访问 B. 用户访问权限将会受到其他安全参数的限制 C. 安全管理员的工作负担将会增加 D. 用户访问权限将会提高
5-5 某IS审计师正在审查失败登录尝试的日志,当以下哪个账户受到攻击时会最令其担忧? A. 网络管理员 B. 系统管理员 C. 数据管理员 D. 数据库管理员
5-6 作为自身信息安全流程的一部分,某B2C电子商务网站想要监控、检测和防止黑客活动,并在发生可疑活动时向系统管理员发出警报。以下哪个基础架构组件可用于此目的? A. 入侵检测系统 B. 防火墙 C. 路由器 D. 非对称加密
5-7 以下哪种情况最能确定是否存在用于保护传输信息的完整加密和身份认证协议? A. 已实施RSA及数字签名
B. 工作正在具有身份认证头(AH)和封装安全负载(ESP)嵌套式服务的通道模式中进行 C. 正在使用采用RSA的数字认证
D. 工作正在具有AH和ESP嵌套式服务的传输模式中进行
5-8 以下哪项关于电子消息安全的问题可通过数字签名来解决? A. 未经授权的读取 B. 窃取
C. 未经授权的复制 D. 更改
5-9 以下哪一项是分布式拒绝服务(DDoS)攻击的特点?
A. 对中介计算机发动集中攻击以将同步假消息交换指向指定的目标站点 B. 对中介计算机发动本地攻击以将同步假消息交换指向指定的目标站点 C. 对主计算机发动集中攻击以将同步假消息交换指向多个目标站点 D. 对中介计算机发动本地攻击以将交错假消息交换指向指定的目标站点 5-10 以下哪个选项是最有效的防病毒控制措施? A. 扫描邮件服务器上的电子邮件附件 B. 通过原始副本恢复系统
C. 禁用通用串行总线(USB)端口
D. 使用最新病毒定义进行的在线防病毒扫描
ACBDD ABDAD