《CISA注册信息系统审计师考试中文700题全解》由会员分享,可在线阅读,更多相关《CISA注册信息系统审计师考试中文700题全解(349页珍藏版)》请在金锄头文库上搜索。
1、1、在信息系统审计中,关于所收集数据的广度的决定应该基于:A、关键及需要的信息的可用性 B、审计师对(审计)情况的熟悉程度C、被审计对象找到相关证据的能力D、此次审计的目标和范围说明:所收集数据的广度与审计的目标和范围直接相关,目标与范围较窄的审计所收集的数据很可能比目标与范围较宽的审计要少。审计范围不应该受信息获取的容易程度或者审计师对审计领域的熟悉程度限制。收集所需的所有证据是审计的必要要素,审计范围也不应受限于被审计对象找到相关证据的能力。2、下列那一项能保证发送者的真实性和e-mail的机密性?A、用发送者的私钥加密消息散列(hash),然后用接收者的公钥加密消息散列(hash)B、发
2、送者对消息进行数字签名然后用发送者的私钥加密消息散列(hash)C、用发送者的私钥加密消息散列(hash),然后用接收者的公钥加密消息。D、用发送者的私钥加密消息,然后用接收者的公钥加密消息散列(hash)说明:为了保证真实性与机密性,一条消息必须加密两次:首先用发送者的私钥,然后用接收者的公钥。接收者可以解密消息,这样就保证了机密性。然后,解密的消息可以用发送者的公钥再解密,保证了消息的真实性。用发送者的私钥加密的话,任何人都可以解密它。3、下列那一条是椭圆曲线加密方法相对于RSA加密方法最大的优势?A、计算速度 B、支持数字签名的能力 C、密钥发布更简单 D、给定密钥长度的情况下(保密性)
3、更强说明:椭圆曲线加密相对于RSA加密最大的优点是它的计算速度。这种算法最早由Neal Koblitz 和Victor S. Miller独立提出。两种加密算法都支持数字签名,都可用于公钥分发。然而,强密钥本身无需保证传输的效果,而是在于所应用的运发法则(运算法则是保证传输效果好坏的根本)。4、下列哪种控制可以对数据完整性提供最大的保证?A、审计日志程序 B、表链接/引用检查C、查询/表访问时间检查 D、回滚与前滚数据库特性说明:进行表链接/引用检查可以发现表链接的错误(例如数据库内容的准确和完整),从而对数据完整性提供最大的保证。审计日志程序是用于记录已鉴定的所有事件和对事件进行跟踪。但是他
4、们只针对事件,并没有确保数据库内容的完整和准确。查询/监控数据表访问时间有助于设计者提升数据库性能,而不是完整性。回滚与前滚数据库特征保证了异常中断的恢复。它只能确保在异常发生时,正在运行的事务的完整性,而不能提供数据库内容的完整性保证。5、开放式系统架构的一个好处是:A、有助于协同工作B、有助于各部分集成C、会成为从设备供应商获得量大折扣的基础D、可以达到设备的规模效益说明:开放式系统是指供应商提供组件,组件接口基于公共标准定义,从而使不同厂商间系统互用性更容易实现。相反的,封闭式系统组件是基于私人标准开发,因此其他供应商的系统将无法与现有系统连接。6、一个信息系统审计师发现开发人员拥有对生
5、产环境操作系统的命令行操作权限。下列哪种控制能最好地减少未被发现和未授权的产品环境更改的风险?A、命令行输入的所有命令都被记录B、定期计算程序的hash键(散列值)并与最近授权过的程序版本的hash键比较C、操作系统命令行访问权限通过一个预先权限批准的访问限制工具来授权D、将软件开发工具与编译器从产品环境中移除说明:随着时间的过去,hash键(散列值)匹配将发现文档的改变。选项A不对,有记录不是控制,审核记录才是一种控制。选项C不对,因为访问已经被授权不管何种方式。选项D不对,因为文件可以从产品环境拷贝或拷贝到产品环境。7、下列那一项能最大的保证服务器操作系统的完整性?A、用一个安全的地方来存
6、放(保护)服务器 B、设置启动密码C、加强服务器设置 D、实施行为记录说明:加强系统设置意味着用最可靠的方式配置(安装最新的安全补丁,严格定义用户和管理员的访问权限,禁用不可靠选项及卸载未使用的服务)防止非特权用户获得权限,运行特权指令,从而控制整台机器,影响操作系统的完整性。在安全的地方放置服务器和设置启动密码是好的方法,但是不能保证用户不会试图利用逻辑上的漏洞,威胁到操作系统。活动记录在这个案例中有两个弱点它是检查型控制(不是预防型控制),攻击者一旦已经获得访问特权,将可以修改或禁用记录。8、一个投资顾问定期向客户发送业务通讯(newsletter)e-mail,他想要确保没有人修改他的n
7、ewsletter。这个目标可以用下列的方法达到:A、用顾问的私钥加密newsletter的散列(hash)B、用顾问的公钥加密newsletter的散列(hash)C、用顾问的私钥对文件数据签名D、用顾问的私钥加密newsletter说明:投资顾问没有试图去证明他们的身份或保持通讯的机密性。他们的目标是确保接收者收到的信息没有被篡改,也就是信息的完整性。选项A是对的,因为哈希摘要用顾问的私钥加密,接收者能打开newsletter,计算出哈希摘要,然后用顾问的公钥解密接收到的哈希摘要。如果二者一致,则在传输过程中newsletter没有被篡改。选项B是不可行的,因为除了投资顾问没有人能打开ne
8、wsletter。选项C关注发送人的身份鉴证而不是信息的完整性。选项D关注机密性,而不是信息的完整性,因为任何人都可以获得投资顾问的公钥,解密newsletter然后将它修改后发送给其他人。拦截者不会用顾问的私钥来加密,因为他们没有。任何用拦截者的私钥加密的信息,接收者都只能用他们的公钥解密。9、在审查信息系统短期(战术性)计划时,一个信息系统审计师应该确定是否:A、计划中包含了信息系统和业务员工B、明确定义了信息系统的任务与远景C、有一套战略性的信息技术计划方法D、该计划将企业目标与信息系统目标联系起来说明:在项目中,it技术人员和业务人员的整合,是需要在审查短期计划时重点关注的运作问题。战
9、略规划将为短期计划提供一个框架。选项B,C,D是战略规划领域的内容。10、一个信息系统审计师正在执行对一个网络操作系统的审计。下列哪一项是信息系统审计师应该审查的用户特性?A、可以获得在线网络文档B、支持远程主机终端访问C、在主机间以及用户通讯中操作文件传输D、性能管理,审计和控制说明:网络操作系统用户特征包括网络文档的在线可用性。其他特征还有用户访问网络主机的多个领域,用户授权访问具体领域(特定领域),用户使用网络和主机不需要特殊操作或命令。选项B,C,D是网络操作系统功能的实例。11、在一个非屏蔽双绞线(UTP)网络中的一根以太网电缆长于100米。这个电缆长度可能引起下列哪一种后果?A、电
10、磁干扰 B、串扰 C、离散 D、衰减说明:衰减是指信号在传输过程中的弱化。当信号减弱时,它会把1读成0,这样用户会遭遇通讯问题。UTP在大约100米范围外会衰减。EMI(电磁干扰)是由外部电磁波影响有效信号造成的,不是这里所说的情况。Cross-talk(串扰)与UTP电缆长度无关。12、下列哪一项加密/解密措施对保密性、消息完整性、抗否认(包括发送方和接收方)提供最强的保证?A、接收方使用他们的私钥解密密钥B、预先散列计算的编码和消息均用一个密钥加密C、预先散列计算的编码是以数学方法从消息衍生来的D、接收方用发送方经过授权认证中心(CA)认证的公钥来解密预先散列计算的编码说明:通常加密操作是
11、结合私钥、公钥、密钥、哈希函数和数字证书的使用来实现保密性,信息完整性和不可抵赖性(包括发送方和接收方)。接受方使用发送方公钥将加密的哈希摘要解密成不加密的哈希摘要,(当它与经哈希算法形成摘要相同时),则证实发送者的身份以及信息没有在发送过程中被修改,这种操作提供了最有力的保证。每个发送者和接收者有只有自己知道的私钥和大家都知道的公钥。每个加密或解密过程需要来自至少来自同一组织的一个公钥和一个私钥。单一的密钥一般用来加密信息,因为密钥相比公钥和私钥只需要较低的处理能力。数字证书由认证授权机构签发,使发送者和接收者的公钥生效。13、为了确定在一个具有不同系统的环境中数据是如何通过不同的平台访问的
12、,信息系统审计师首先必须审查:A、业务软件 B、基础平台工具 C、应用服务 D、系统开发工具说明:项目计划需要认识到IT基础架构的复杂性随着应用服务的开发而简化和独立了。应用服务使系统开发者从复杂的IT基础架构中独立出来,而且提供通用函数给许多应用共享。应用服务采用接口,中间件等形式。商业软件关注业务流程,而应用服务拉近了应用和IT基础架构组件间的距离。基础架构平台工具是涉及IT基础架构开发所需的核心硬件和软件组件。系统开发工具是IT基础架构开发中的开发组件。14、使用闪存(比方说USB可移动盘)最重要的安全考虑是:A、内容高度不稳定 B、数据不能备份C、数据可以被拷贝 D、设备可能与其他外设
13、不兼容说明:闪存可以提供拷贝任何内容的捷径,除非通过完全的控制。闪存里存储的内容不是易丢失的。备份闪存中的数据不是控制关注点,数据有时作为备份存储。闪存能通过PC存取,而不是其他外围设备,因此,兼容性不是问题。15、为了保证两方之间的消息完整性,保密性和抗否认性,最有效的方法是生成一个消息摘要,生成摘要的方法是将加密散列(hash)算法应用在:A、整个消息上,用发送者的私钥加密消息摘要,用对称密钥加密消息,用接收者的公钥加密(对称)密钥。B、消息的任何部分上,用发送者的私钥加密消息摘要,用对称密钥加密消息,用接收者的公钥加密(对称)密钥。C、整个消息,用发送者的私钥加密消息摘要,用对称密钥加密
14、消息,用接收者的公钥加密密文和摘要。D、整个消息,用发送者的私钥加密消息摘要,用接收者的公钥加密消息。说明:针对整体信息运用哈希算法加密表明信息的完整性问题。用发送者的私钥对信息摘要加密表明抗否认性。用对称密钥加密信息,然后用接收者的公钥加密对称密钥,最有效表明信息的机密性和接收者的不可否认性。其他选项只是需求的一部分。16、为了确保符合“密码必须是字母和数字的组合”的安全政策,信息系统审计师应该建议:A、改变公司政策 B、密码定期更换C、使用一个自动密码管理工具 D、履行安全意识培训说明:密码自动化管理工具的运用是预防性控制措施。软件会避免重复并强制执行语法规则,从而实现密码的健壮性。它同时
15、提供一种方法来保证密码经常更换,从而避免同一个用户重复使用他们在指定时期的旧密码。选项A,B,D没有强制要求符合安全政策。17、在有效的信息安全治理背景中,价值传递的主要目标是:A、优化安全投资来支持业务目标 B、实施一套安全实践标准C、制定一套标准解决方案 D、建立一个持续进步的文化说明:在有效的信息安全治理背景中,实行价值传递是为了保证为支持业务目标的安全投资是最优化的。实行价值传递的工具和技术包括执行一套安全实践标准,基于标准的解决方案制度化、商品化以及持续改进的文化,将安全作为一个过程而不是结果。18、在一个组织中信息技术安全的基线已经被定义了,那么信息系统审计师应该首先确认它的:A、实施 B、遵守 C、文件 D、足够(充分)说明:信息系统审计师首先要通过确保控制的充分性来评估最小基线水平的定义。文件、实施和遵守是后面的步骤。19、在对一个多用户分布式应用程序的实施进行审计时,信息系统审计师在三个地方发现小缺陷参数的初始设置没有被正确安装,弱口令,一些重要报告没有被正确检查。在准备审计报告时,信息系统审计师应该:A、分别记录每项发现以及
