《2008cisapracticequestion700(中译本)》由会员分享,可在线阅读,更多相关《2008cisapracticequestion700(中译本)(86页珍藏版)》请在金锄头文库上搜索。
1、一一对应的英文原题为 2008 CISA PRACTICE QUESTION 700.doc鄙人根据网友分享的资料整理缺翻译的题101-180591-610691-700415-4201、在信息系统审计中,关于所收集数据的广度的决定应该基于:A、关键及需要的信息的可用性B、审计师对(审计)情况的熟悉程度C、被审计对象找到相关证据的能力D、此次审计的目标和范围说明:所收集数据的广度与审计的目标和范围直接相关,目标与范围较窄的审计所收集的数据很可能比目标与范围较宽的审计要少。审计范围不应该受信息获取的容易程度或者审计师对审计领域的熟悉程度限制。收集所需的所有证据是审计的必要要素,审计范围也不应受限
2、于被审计对象找到相关证据的能力。2、下列那一项能保证发送者的真实性和e-mail的机密性?A、用发送者的私钥加密消息散列(hash),然后用接收者的公钥加密消息散列(hash)B、发送者对消息进行数字签名然后用发送者的私钥加密消息散列(hash)C、用发送者的私钥加密消息散列(hash),然后用接收者的公钥加密消息。D、用发送者的私钥加密消息,然后用接收者的公钥加密消息散列(hash)说明:为了保证真实性与机密性,一条消息必须加密两次:首先用发送者的私钥,然后用接收者的公钥。接收者可以解密消息,这样就保证了机密性。然后,解密的消息可以用发送者的公钥再解密,保证了消息的真实性。用发送者的私钥加密
3、的话,任何人都可以解密它。3、下列那一条是椭圆曲线加密方法相对于RSA加密方法最大的优势?A、计算速度B、支持数字签名的能力C、密钥发布更简单D、给定密钥长度的情况下(保密性)更强说明:椭圆曲线加密相对于RSA加密最大的优点是它的计算速度。这种算法最早由Neal Koblitz 和Victor S. Miller独立提出。两种加密算法都支持数字签名,都可用于公钥分发。然而,(下面的se似乎是单词不完整)4、下列哪种控制可以对数据完整性提供最大的保证?A、审计日志程序B、表链接/引用检查C、查询/表访问时间检查D、回滚与前滚数据库特性说明:5、开放式系统架构的一个好处是:A、有助于协同工作B、有
4、助于各部分集成C、会成为从设备供应商获得量大折扣的基础D、可以达到设备的规模效益6、一个信息系统审计师发现开发人员拥有对生产环境操作系统的命令行操作权限。下列哪种控制能最好地减少未被发现和未授权的产品环境更改的风险?A、命令行输入的所有命令都被记录B、定期计算程序的hash键(散列值)并与最近授权过的程序版本的hash键比较C、操作系统命令行访问权限通过一个预先权限批准的访问限制工具来授权D、将软件开发工具与编译器从产品环境中移除7、下列那一项能最大的保证服务器操作系统的完整性?A、用一个安全的地方来存放(保护)服务器B、设置启动密码C、加强服务器设置D、实施行为记录8、一个投资顾问定期向客户
5、发送业务通讯(newsletter)e-mail,他想要确保没有人修改他的newsletter。这个目标可以用下列的方法达到:A、用顾问的私钥加密newsletter的散列(hash)B、用顾问的公钥加密newsletter的散列(hash)C、用顾问的私钥对文件数据签名D、用顾问的私钥加密newsletter9、在审查信息系统短期(战术性)计划时,一个信息系统审计师应该确定是否:A、计划中包含了信息系统和业务员工B、明确定义了信息系统的任务与远景C、有一套战略性的信息技术计划方法D、该计划将企业目标与信息系统目标联系起来10、一个信息系统审计师正在执行对一个网络操作系统的审计。下列哪一项是信
6、息系统审计师应该审查的用户特性?A、可以获得在线网络文档B、支持远程主机终端访问C、在主机间以及用户通讯中操作文件传输D、性能管理,审计和控制11、在一个非屏蔽双绞线(UTP)网络中的一根以太网电缆长于100米。这个电缆长度可能引起下列哪一种后果?A、电磁干扰B、串扰C、离散D、衰减12、下列哪一项加密/解密措施对保密性、消息完整性、抗否认(包括发送方和接收方)提供最强的保证?A、接收方使用他们的私钥解密密钥B、预先散列计算的编码和消息均用一个密钥加密C、预先散列计算的编码是以数学方法从消息衍生来的D、接收方用发送方经过授权认证中心(CA)认证的公钥来解密预先散列计算的编码13、为了确定在一个
7、具有不同系统的环境中数据是如何通过不同的平台访问的,信息系统审计师首先必须审查:A、业务软件B、基础平台工具C、应用服务D、系统开发工具14、使用闪存(比方说USB可移动盘)最重要的安全考虑是:A、内容高度不稳定B、数据不能备份C、数据可以被拷贝D、设备可能与其他外设不兼容15、为了保证两方之间的消息完整性,保密性和抗否认性,最有效的方法是生成一个消息摘要,生成摘要的方法是将加密散列(hash)算法应用在:A、整个消息上,用发送者的私钥加密消息摘要,用对称密钥加密消息,用接收者的公钥加密(对称)密钥。B、消息的任何部分上,用发送者的私钥加密消息摘要,用对称密钥加密消息,用接收者的公钥加密(对称
8、)密钥。C、整个消息,用发送者的私钥加密消息摘要,用对称密钥加密消息,用接收者的公钥加密密文和摘要。D、整个消息,用发送者的私钥加密消息摘要,用接收者的公钥加密消息。16、为了确保符合“密码必须是字母和数字的组合”的安全政策,信息系统审计师应该建议:A、改变公司政策B、密码定期更换C、使用一个自动密码管理工具D、履行安全意识培训17、在有效的信息安全治理背景中,价值传递的主要目标是:A、优化安全投资来支持业务目标B、实施一套标准安全实践C、制定一套标准解决方案D、建立一个持续进步的文化18、在一个组织中信息技术安全的基线已经被定义了,那么信息系统审计师应该首先确认它的:A、实施B、遵守C、文件
9、D、足够(充分)19、在对一个多用户分布式应用程序的实施进行审计时,信息系统审计师在三个地方发现小缺陷参数的初始设置没有被正确安装,弱口令,一些重要报告没有被正确检查。在准备审计报告时,信息系统审计师应该:A、分别记录每项发现以及他们各自的影响B、告诉经理可能存在的风险,不在报告中记录这些发现,因为这些控制缺陷很小C、记录这些发现以及这些缺陷综合带来的风险D、将每项发现通知部门领导,正确地在报告中记录它20、在审查一份业务持续性计划时,信息系统审计师注意到什么情况被宣布为一个危机没有被定义。这一点关系到的主要风险是:A、对这种情况的评估可能会延迟B、灾难恢复计划的执行可能会被影响C、团队通知可
10、能不会发生D、对潜在危机的识别可能会无效21 在测试组织的变更控制程序的符合性方面,IS审计师执行的下列哪项测试最有效?A 检查软件迁移记录和验证审批B 识别已发生的变更和验证审批C 检查变更控制文档和验证审批D 确保只有适当的员工才能将变更迁移到生产环境22 一个大型组织的IT业务实行外包。在检查这个外包业务时,IS审计师应该最关注以下哪一项发现?A 外包合同没有包含IT业务的灾难恢复B 服务提供商没有事件处理程序C 近期有崩溃的数据库由于程序库管理问题无法恢复D 事件日志没有被检查过23 以下哪种抽样方法在符合性测试时最有用?A 属性抽样B 变量抽样C 分层单位平均估计抽样D 差额估计抽样
11、24 下列哪一项应该被包括在组织的IS安全政策中?A 需要被保护的关键IT资源清单B 访问授权的基本策略C 敏感的安全特性的标识D 相关软件安全特性25 对于信息安全管理,风险评估的方法比起基线的方法,主要的优势在于它确保:A 信息资产被过度保护B 不考虑资产的价值,基本水平的保护都会被实施C 对信息资产实施适当水平的保护D 对所有信息资产保护都投入相同的资源26 检查IT战略规划过程时,IS审计师应该确保这个规划:A 符合技术水平现状B 匹配所需的操作控制C 明晰IT的任务与远景目标D 详细说明项目管理实务27 在信息处理设施(IPF)的硬件更换之后,业务连续性流程经理首先应该实施下列哪项活
12、动?A 验证与热门站点的兼容性B 检查实施报告C 进行灾难恢复计划的演练D 更新信息资产清单28 以下哪种是对组件通讯故障的控制?A 限制操作员访问并保持审计痕迹B 监视并检查系统活动C 提供网络冗余D 对被传送的数据设置物理隔离29 组织的灾难恢复计划应该:A 减少恢复时间,降低恢复费用B 增加恢复时间,提高恢复费用C 减少恢复的持续时间,提高恢复费用D 对恢复时间和费用都不影响30 如果数据库用前象存储进行还原,接着这个中断,流程应该从哪里开始?A 在最后一个事务之前B 在最后一个事务之后C 最新的检查点之后的第一个事务D 最新的检查点之前的最后一个事务31 安全套接字层协议通过什么实现保
13、密性?A 对称加密B 消息验证码C 哈希函数D 数字签名验证32 在Internet应用中使用applets,最可能的解释是:A 它由服务器通过网络传送B 服务器没有运行程序,输出也没有经网络传送C 改进了web服务和网络的性能D 它是一个通过网络浏览器下载的JAVA程序,由web服务器执行33 下列哪项病毒防护技术能够通过硬件实施?A 远程启动B 启发式扫描C 行为阻断D 免疫34 为了保护VoIP设备免于拒绝服务攻击,最重要的是确保什么的安全?A 访问控制服务器B 会话边界控制C 骨干网关D 入侵检测系统35 当实施一个数据仓库时,哪一项是最大的风险?A 在生成系统上增加的响应时间B 在数
14、据修改上不充分的访问控制C 数据重复D 过期或不正确的数据36 为了使软件项目的开销最小,质量管理技术应该被应用A 尽可能与技术条文相一致B 主要在项目开始的时候,以保证项目的建立与组织的管理标准相一致C 在整个项目过程中持续进行,强调找出并解决缺陷,增大测试期间的缺陷发现率D 主要在项目结束的时候,以获得可以在将来的项目中吸取的教训37 当用作电子信用卡付款时,以下哪一项是安全电子交易协议的特性?A 买方被保证无论是商家还是任何第三方都不能滥用他们的信用卡数据B 所有的个人SET证书都被安全存储在买方的电脑中C 买方有义务为任何涉及到的交易提供个人SET证书D 由于不要求买方输入信用卡号和有
15、效期,付款过程变得简单38 私钥体系的安全级别依赖于什么的数目?A 密钥位B 发送的信息C 密钥D 使用的信道39 在组织内实施IT治理框架时,最重要的目标是A IT与业务目标相一致B 可说明性C IT价值实现D 增加IT投资回报40 某组织近期安装了一个安全补丁,但与产品服务器相冲突。为了把再次出现这种情况的可能性降到最低,IS审计师应该:A 按照补丁的发行说明实施补丁B 确保良好的变更管理流程在运行C 发送到生产环境之前全面测试这个补丁D 进行风险评估后核准这个补丁41.通过对广域网的检测发现,在连接两个节点的用于同步主从数据库的通信线路上的峰值数据流量达到了这条线路带宽的96%。一个信息系统审计师应该得出结论:A.需要分析来确定是否有数据表明存在短时间内的服务缺失B.广域网带宽是足够满足最大流量需求的,因为还未达到最大饱和状
