2008 CISA PRACTICE QUESTION 700 中译本.doc

一一对应的英文原题为 2008 cisa practice question 700.doc鄙人根据网友分享的资料整理缺翻译的题101-180591-610691-700415-4201、在信息系统审计中，关于所收集数据的广度的决定应该基于：a、关键及需要的信息的可用性b、审计师对（审计）情况的熟悉程度c、被审计对象找到相关证据的能力d、此次审计的目标和范围说明：所收集数据的广度与审计的目标和范围直接相关，目标与范围较窄的审计所收集的数据很可能比目标与范围较宽的审计要少。审计范围不应该受信息获取的容易程度或者审计师对审计领域的熟悉程度限制。收集所需的所有证据是审计的必要要素，审计范围也不应受限于被审计对象找到相关证据的能力。2、下列那一项能保证发送者的真实性和e-mail的机密性？a、用发送者的私钥加密消息散列(hash)，然后用接收者的公钥加密消息散列(hash)b、发送者对消息进行数字签名然后用发送者的私钥加密消息散列(hash)c、用发送者的私钥加密消息散列(hash)，然后用接收者的公钥加密消息。d、用发送者的私钥加密消息，然后用接收者的公钥加密消息散列(hash)说明：为了保证真实性与机密性，一条消息必须加密两次：首先用发送者的私钥，然后用接收者的公钥。接收者可以解密消息，这样就保证了机密性。然后，解密的消息可以用发送者的公钥再解密，保证了消息的真实性。用发送者的私钥加密的话，任何人都可以解密它。3、下列那一条是椭圆曲线加密方法相对于rsa加密方法最大的优势？a、计算速度b、支持数字签名的能力c、密钥发布更简单d、给定密钥长度的情况下（保密性）更强说明：椭圆曲线加密相对于rsa加密最大的优点是它的计算速度。这种算法最早由neal koblitz 和victor s. miller独立提出。两种加密算法都支持数字签名，都可用于公钥分发。然而，（下面的se似乎是单词不完整）4、下列哪种控制可以对数据完整性提供最大的保证？a、审计日志程序b、表链接/引用检查c、查询/表访问时间检查d、回滚与前滚数据库特性说明：5、开放式系统架构的一个好处是：a、有助于协同工作b、有助于各部分集成c、会成为从设备供应商获得量大折扣的基础d、可以达到设备的规模效益6、一个信息系统审计师发现开发人员拥有对生产环境操作系统的命令行操作权限。下列哪种控制能最好地减少未被发现和未授权的产品环境更改的风险？a、命令行输入的所有命令都被记录b、定期计算程序的hash键（散列值）并与最近授权过的程序版本的hash键比较c、操作系统命令行访问权限通过一个预先权限批准的访问限制工具来授权d、将软件开发工具与编译器从产品环境中移除7、下列那一项能最大的保证服务器操作系统的完整性？a、用一个安全的地方来存放（保护）服务器b、设置启动密码c、加强服务器设置d、实施行为记录8、一个投资顾问定期向客户发送业务通讯（newsletter）e-mail，他想要确保没有人修改他的newsletter。这个目标可以用下列的方法达到：a、用顾问的私钥加密newsletter的散列（hash）b、用顾问的公钥加密newsletter的散列（hash）c、用顾问的私钥对文件数据签名d、用顾问的私钥加密newsletter9、在审查信息系统短期（战术性）计划时，一个信息系统审计师应该确定是否：a、计划中包含了信息系统和业务员工b、明确定义了信息系统的任务与远景c、有一套战略性的信息技术计划方法d、该计划将企业目标与信息系统目标联系起来10、一个信息系统审计师正在执行对一个网络操作系统的审计。下列哪一项是信息系统审计师应该审查的用户特性？a、可以获得在线网络文档b、支持远程主机终端访问c、在主机间以及用户通讯中操作文件传输d、性能管理，审计和控制11、在一个非屏蔽双绞线（utp）网络中的一根以太网电缆长于100米。这个电缆长度可能引起下列哪一种后果？a、电磁干扰b、串扰c、离散d、衰减12、下列哪一项加密/解密措施对保密性、消息完整性、抗否认（包括发送方和接收方）提供最强的保证？a、接收方使用他们的私钥解密密钥b、预先散列计算的编码和消息均用一个密钥加密c、预先散列计算的编码是以数学方法从消息衍生来的d、接收方用发送方经过授权认证中心(ca)认证的公钥来解密预先散列计算的编码13、为了确定在一个具有不同系统的环境中数据是如何通过不同的平台访问的，信息系统审计师首先必须审查：a、业务软件b、基础平台工具c、应用服务d、系统开发工具14、使用闪存（比方说usb可移动盘）最重要的安全考虑是：a、内容高度不稳定b、数据不能备份c、数据可以被拷贝d、设备可能与其他外设不兼容15、为了保证两方之间的消息完整性，保密性和抗否认性，最有效的方法是生成一个消息摘要，生成摘要的方法是将加密散列(hash)算法应用在：a、整个消息上，用发送者的私钥加密消息摘要，用对称密钥加密消息，用接收者的公钥加密（对称）密钥。b、消息的任何部分上，用发送者的私钥加密消息摘要，用对称密钥加密消息，用接收者的公钥加密（对称）密钥。c、整个消息，用发送者的私钥加密消息摘要，用对称密钥加密消息，用接收者的公钥加密密文和摘要。d、整个消息，用发送者的私钥加密消息摘要，用接收者的公钥加密消息。16、为了确保符合“密码必须是字母和数字的组合”的安全政策，信息系统审计师应该建议：a、改变公司政策b、密码定期更换c、使用一个自动密码管理工具d、履行安全意识培训17、在有效的信息安全治理背景中，价值传递的主要目标是：a、优化安全投资来支持业务目标b、实施一套标准安全实践c、制定一套标准解决方案d、建立一个持续进步的文化18、在一个组织中信息技术安全的基线已经被定义了，那么信息系统审计师应该首先确认它的：a、实施b、遵守c、文件d、足够（充分）19、在对一个多用户分布式应用程序的实施进行审计时，信息系统审计师在三个地方发现小缺陷参数的初始设置没有被正确安装，弱口令，一些重要报告没有被正确检查。在准备审计报告时，信息系统审计师应该：a、分别记录每项发现以及他们各自的影响b、告诉经理可能存在的风险，不在报告中记录这些发现，因为这些控制缺陷很小c、记录这些发现以及这些缺陷综合带来的风险d、将每项发现通知部门领导，正确地在报告中记录它20、在审查一份业务持续性计划时，信息系统审计师注意到什么情况被宣布为一个危机没有被定义。这一点关系到的主要风险是：a、对这种情况的评估可能会延迟b、灾难恢复计划的执行可能会被影响c、团队通知可能不会发生d、对潜在危机的识别可能会无效21 在测试组织的变更控制程序的符合性方面，is审计师执行的下列哪项测试最有效？a 检查软件迁移记录和验证审批b 识别已发生的变更和验证审批c 检查变更控制文档和验证审批d 确保只有适当的员工才能将变更迁移到生产环境22 一个大型组织的it业务实行外包。在检查这个外包业务时，is审计师应该最关注以下哪一项发现？a 外包合同没有包含it业务的灾难恢复b 服务提供商没有事件处理程序c 近期有崩溃的数据库由于程序库管理问题无法恢复d 事件日志没有被检查过23 以下哪种抽样方法在符合性测试时最有用？a 属性抽样b 变量抽样c 分层单位平均估计抽样d 差额估计抽样24 下列哪一项应该被包括在组织的is安全政策中？a 需要被保护的关键it资源清单b 访问授权的基本策略c 敏感的安全特性的标识d 相关软件安全特性25 对于信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保：a 信息资产被过度保护b 不考虑资产的价值，基本水平的保护都会被实施c 对信息资产实施适当水平的保护d 对所有信息资产保护都投入相同的资源26 检查it战略规划过程时，is审计师应该确保这个规划：a 符合技术水平现状b 匹配所需的操作控制c 明晰it的任务与远景目标d 详细说明项目管理实务27 在信息处理设施（ipf）的硬件更换之后，业务连续性流程经理首先应该实施下列哪项活动？a 验证与热门站点的兼容性b 检查实施报告c 进行灾难恢复计划的演练d 更新信息资产清单28 以下哪种是对组件通讯故障的控制？a 限制操作员访问并保持审计痕迹b 监视并检查系统活动c 提供网络冗余d 对被传送的数据设置物理隔离29 组织的灾难恢复计划应该：a 减少恢复时间，降低恢复费用b 增加恢复时间，提高恢复费用c 减少恢复的持续时间，提高恢复费用d 对恢复时间和费用都不影响30 如果数据库用前象存储进行还原，接着这个中断，流程应该从哪里开始？a 在最后一个事务之前b 在最后一个事务之后c 最新的检查点之后的第一个事务d 最新的检查点之前的最后一个事务31 安全套接字层协议通过什么实现保密性？a 对称加密b 消息验证码c 哈希函数d 数字签名验证32 在internet应用中使用applets，最可能的解释是：a 它由服务器通过网络传送b 服务器没有运行程序，输出也没有经网络传送c 改进了web服务和网络的性能d 它是一个通过网络浏览器下载的java程序，由web服务器执行33 下列哪项病毒防护技术能够通过硬件实施？a 远程启动b 启发式扫描c 行为阻断d 免疫34 为了保护voip设备免于拒绝服务攻击，最重要的是确保什么的安全？a 访问控制服务器b 会话边界控制c 骨干网关d 入侵检测系统35 当实施一个数据仓库时，哪一项是最大的风险？a 在生成系统上增加的响应时间b 在数据修改上不充分的访问控制c 数据重复d 过期或不正确的数据36 为了使软件项目的开销最小，质量管理技术应该被应用a 尽可能与技术条文相一致b 主要在项目开始的时候，以保证项目的建立与组织的管理标准相一致c 在整个项目过程中持续进行，强调找出并解决缺陷，增大测试期间的缺陷发现率d 主要在项目结束的时候，以获得可以在将来的项目中吸取的教训37 当用作电子信用卡付款时，以下哪一项是安全电子交易协议的特性？a 买方被保证无论是商家还是任何第三方都不能滥用他们的信用卡数据b 所有的个人set证书都被安全存储在买方的电脑中c 买方有义务为任何涉及到的交易提供个人set证书d 由于不要求买方输入信用卡号和有效期，付款过程变得简单38 私钥体系的安全级别依赖于什么的数目？a 密钥位b 发送的信息c 密钥d 使用的信道39 在组织内实施it治理框架时，最重要的目标是a it与业务目标相一致b 可说明性c it价值实现d 增加it投资回报40 某组织近期安装了一个安全补丁，但与产品服务器相冲突。为了把再次出现这种情况的可能性降到最低，is审计师应该：a 按照补丁的发行说明实施补丁b 确保良好的变更管理流程在运行c 发送到生产环境之前全面测试这个补丁d 进行风险评估后核准这个补丁41.通过对广域网的检测发现，在连接两个节点的用于同步主从数据库的通信线路上的峰值数据流量达到了这条线路带宽的96%。一个信息系统审计师应该得出结论：a.需要分析来确定是否有数据表明存在短时间内的服务缺失b.广域网带宽是足够满足最大流量需求的，因为还未达到最大饱和状态c.应该马上用一条更大带宽的线路来取代现有线路，新的线路应该确保最大不超过85%的线路饱和d.应该指导用户减少对流量的需求或把流量需求平均分布在整个的工作时间内来使得对带宽的消耗平缓化42. 下面那一个是入侵检测系统（ids）的特征？a.收集尝试攻击的证据b.确定策略定义的弱点c. 屏蔽对特定互联网站点的访问d.防止某些用户访问特定的服务器43. 当审查构建在企业广域网上的ip语音系统的实施时，信息系统审计师应该期望找到：a. 一条综合服务数字网（isdn）线路b. 流量工程c. 对数据的wep加密d. 模拟电话终端44.一份审计章程应该：a.为了与变化的现实和审计的专业相符合，而动态和经常变化的。b.清晰地陈述对于维护和审查内部控制的审计目标，委托和职权。c.记录为了达到预先计划的审计目标而设计的审计程序d.略述审计职能的全面职权，范围和责任45.一个信息系统审计师选择一台服务器做渗透测试，由一个技术专家来执行。下面哪个是最重要的？a. 用于实施测试的工具b. 信息系统审计师拥有的认证c. 服务器上的数据拥有者的允许d. 一个入侵检测系统(ids)被使用起来46.在审查一个基于web的软件开放项目的过程中，信息系统审计师意识到编程代码标准不是强制性的，并且代码的审查也很少执行。 这将会最可能增加下列哪个选项发生的可能性：a.缓冲区溢出b.强力攻击c.分布式拒绝服务攻击d.战争(扫描)拨号攻击47.在一个小型机构中，一个雇员日常从事电脑操作，并且在情况需要时，也负责程序修改。下列哪个选项是信息系统审计师应该建议实施的？a.对开发库修改的自动日志b.加入别的职员来实现职责分离c.核实只有被批准的程序修改可以被实施的操作手续d.防止操作员进行程序修改的访问控制48.为了确保审计资源会给组织带来最大的价值，第一步应该：a.安排审计的时间表，并且监控每个审计活动所花费的时间b.培训信息系统审计职员熟悉公司当前使用的技术c.以详细的风险评估为基础，制定审计计划d.监控审计进展和发起成本控制措施49.下列哪个选项是交叉(跨职位)培训的风险？a.增加对单个雇员的依赖b.无助于职位继承计划c.一个职员可能了解一个系统的所有部分d.对达成运营的连续性没有帮助50.下面哪个选项对一个小组的安全通信最合适？a.密钥分发中心b.证书授权中心(ca)c.信任网系统d. kerberos 认证系统51.当一个雇员被解雇时，最重要的手续是：a.把该雇员的所有文档交接给另一个指定的雇员b.对该雇员的工作成果做完整的备份c.把对该雇员的解雇通知其他雇员d.取消该雇员对系统的逻辑访问权52.下面哪一个是it绩效评估流程的主要目标？a.使错误最小化b.收集绩效数据c.建立绩效基准d.优化绩效53.数字签名的使用：a.需要使用一次性口令产生器b.提供了对消息的加密c.验证消息的来源d.确保消息的私密性54.一家公司选择一间银行来处理每周的薪酬事务。工时卡和薪酬调整表（例如小时工资变化，解雇）制作完成并被传送给银行，银行接着准备支票和分发报告。为了确保薪酬数据的准确性：a.薪酬报告应该和原始输入表比照b.薪酬总额应该被手工重计算c.支票应该和原始输入表比照d.支票应该与最终的输出报告一致55.信息系统审计师在一个数据库的一些表中发现了超出范围的数据。下列哪个控制措施是信息系统审计师应该推荐实施来防止这种情况？a.将所有的表更新操作都做日志b.实施事前和事后镜像报告c.使用跟踪和标签d.在数据库中实施完整性约束56.在一个在线银行应用中，下面哪一个是最好的应对身份窃取的措施？a.对个人口令的加密b.限制用户只能使用特定的终端c.双因素认证d.定期审查访问日志57.下面哪种反病毒软件的实施策略对一个互联的企业网最有效？a.服务器反病毒软件b.防病毒墙c.工作站反病毒软件d.病毒特征值更新58.在审计一个计划中要采用的新电脑系统时，信息系统审计师首先应该确定a.作为一个清晰的业务专案得到管理层的批准b.企业安全标准将会被遵从c.系统的用户将参与到实施计划中d.新系统将满足用户的所有功能性需求59.一个决策支持系统（dss）：a.是为了解决高度结构化的问题b.组合使用模型和非传统数据的访问及存取功能c.强调用户的决策方法的灵活性d.只支持结构化的决策任务60.一个组织正在考虑把一个关键的基于pc的系统连接到internet，下面哪个选项提供了最好的防止黑客的保护措施？a.应用层网关b.远程访问服务器c.proxy服务器d.端口扫描61 ，什么进程使用的测试数据的一部分，一个全面的测试计划，控制在一个连续在线的方式呢？a、测试数据/甲板b、基地的情况下，系统评价c ，综合测试基金d、发展，并行仿真62 ，零售商店推出了无线电频率识别（ rfid ）标签，以创造独特的序号的所有产品。下列哪些是人们首要关心的与此相关的倡议？a、发布保密性b、波长可以由人体吸收 c、rfid标记可能不是可移动的d、rfid消灭视线阅读注：购买一个项目，将不一定知道在场的标记。如果一个标记的项目是支付的信用卡，将有可能以配合独特的id该项目的身份购买。隐私权的侵犯是一个重大的关注，是因为rfid的可携带独特的识别号码。如果想要将有可能为公司跟踪个人谁购买物品含有一个rfid 。选择b和c是关注的程度较低的重要性。选择d是不是一个关注的问题。63 ，输出的风险管理过程是一个投入决策a、业务计划b ，审计章程。c ，安全政策决定。d、发展，软件设计的决定。64 ，一个组织具有的分行数目全国广泛的地理区域。以确保各方面的灾难恢复计划的评估，具有成本效益的方式，一个是核数师应建议使用 ：a，数据恢复测试。b ，充分的业务测试。c ，后测。d、发展，准备测试。1准备测试应该由每一个当地办事处/地区，以测试是否足够准备的本地业务，在发生灾害。这项测试应定期对不同方面的计划，并可以具有成本效益的方式，逐步取得证据，该计划的充足。数据恢复测试是一个局部的试验，并不会确保各方面的评价。充分的业务测试是不是最符合成本效益的测试，在因应地理上分散的分支机构，及后测是一个阶段的测试执行的过程。65、较低的恢复时间目标（道路交通条例）的结果如下：a ，更高的容灾。b ，成本较高。c ，更广泛的windows中断。d, 发展，更宽容的数据丢失。 一恢复时间目标（道路交通条例）的基础上，可以接受的停机时间在案件破坏行动。较低的道路交通条例，更高的成本回收的策略。越低，容灾，狭义中断的windows ，以及较低的许可数据丢失。66 ，当一个新的系统是要落实在很短的时间内，这是最重要的是要：a，完成写作用户手册b ，执行用户验收测试。 c ，添加在最后一分钟的增强功能。d,发展，确保该代码已被记录和审阅。67 ，主要目的是合乎逻辑的访问控制的检讨是： a，审查的访问控制提供了通过软件。 b ，确保在获得授权的百分之组织的有关当局。c ，步行通过，并评估准入提供的it环境。d,发展，提供了保证计算机硬件，是充分保护，以防滥用。合乎逻辑的访问控制，主要是检讨，以决定是否或没有获得授权的百分之该组织的授权。选择a组和c组涉及到的程序逻辑访问控制检讨，而非目标。选择d是相关的物理访问控制审查。68 ，一个是核数师面谈，一个发薪秘书认为，答案是不支持的职务说明和记录的程序。在这种情况下，核数师应是：a，得出结论认为，管制是不够的。 b ，扩大范围，以包括实质性测试c ，地方更多地依赖以前的审计。 d,发展，暂停审核。如果答案提供给一个是核数师的问题，现尚未确定，由记录的程序或职务说明，是核数师应扩大测试的管制和包括额外的实质性测试。没有任何证据表明，无论控制可能存在的都是不足或足够的。把更加依赖以往审计或暂停审计是不恰当的行动，因为他们没有提供当前的知识是否足够，现有的控制.69 ，组织实施了灾难恢复计划。下列哪些步骤应进行下一步如何？a ，取得高级管理人员赞助。b ，确定的业务需求。c ，进行文件的考验。d,发展，执行系统还原的考验。最佳做法，将进行文件的考验。高级管理人员赞助和业务需要，确定应已获得之前实施这一计划。一份文件，测试应进行第一，其次是系统或全面的测试。70 ，在需求定义阶段的软件开发项目，该方面的软件测试应当加以处理的发展：a，试验数据，包括关键应用。b ，详细的测试计划。c ，质量保证的测试规格。d发展，用户验收测试规格。一个关键目标，在任何软件开发项目，是要确保发达国家软件能满足业务目标和要求的用户。用户应参与，在需求定义阶段的发展项目和用户验收测试规格应发展在这一阶段。其他的选择，一般表现在系统测试阶段。71 ，变更控制的商业应用系统正在开发使用原型可复杂，由：a，迭代性质的原型。b ，快速的步伐，修改，在需求和设计。c ，侧重于报告和屏幕上。d,发展，缺乏综合工具。变化的需求和设计发生这么快，他们很少记载或核准。选择a ， c和d的特征原型，但他们并不有不良影响的变化控制。72中，除了备份的考虑因素，所有的系统，下列哪一项是一个重要的考虑因素，在提供在线备份系统？a，保持系统软件参数b ，确保定期倾卸场的交易记录c ，确保祖父-父亲-儿子备份档案d,发展，保持了重要的数据在现场的位置确保定期倾卸场的交易记录是唯一安全的方式保存，及时历史数据。量的活动，通常与一个在线系统，使其他更传统的方法备份是不切实际的。73 ，最好的筛选规则，为保护一个网络被用来作为一个放大器在一个拒绝服务（ dos ）攻击是拒绝所有：a，即将卸任的交通与ip的来源地址的外部网络。b ，传入流量与辨别假冒的ip源地址。c ，传入流量与ip选项的设置。d,发展，传入流量的关键主机。即将卸任的交通与ip源地址不同的ip范围在网络中是无效的。在大多数情况下，它的信号dos攻击来源于一个内部用户或由先前妥协的内部机器，在这两种情况下，应用此过滤器将停止攻击。74 ，下列哪一项是被广泛接受，作为其中的关键部件在网络管理？a，配置管理b ，拓扑映射c ，应用监测工具d,发展，代理服务器疑难解答配置管理是被广泛接受的一个重要组成部分，任何网络，因为它确立了如何将网络功能的内部和外部。它还涉及管理的配置和性能监测。拓扑映射提供纲要的组成部分的网络及其连接。应用监测是没有必要和proxy server故障排除是用于故障排除的目的。75 ，区别脆弱性评估和渗透测试是一个脆弱性评估：a，搜查和检查的基础设施，以发现脆弱性，而渗透测试打算利用这些漏洞，以探针的损害，可能导致的脆弱性。b ，以及渗透测试不同的名称为同一活动。c ，是执行的自动化工具，而渗透测试是一种完全的手动过程。d,发展，是执行的商业工具，而渗透测试是执行公共进程。客观的一个漏洞，评估的是找到安全举行，在计算机和元素分析，其意图是，不要损害的基础设施。意图渗透测试是模仿黑客的活动，并决定如何到目前为止，他们可以进入该网络。他们是不一样的，他们有不同的态度。脆弱性评估和渗透测试可以执行自动或手动工具或程序以及可以执行的商业或免费工具。76 ，下列哪一项最能确保连续性的一个广域网（ wan ）在整个组织？a，内置的替代路由b ，完成了完整的系统备份每日c ，修理合同与服务提供商d,发展，重复的机器一起每台服务器注：替代路由将确保该网络将继续如果服务器是遗失或如果一个链接是切断邮件路由可以自动的。系统备份将没有能力即时保护。维修合同是不是有效的作为永久的替代路由。备用服务器将不会提供连续性，如果一个链接是割断的。77 ，功能是一个特点，相关的质量评估软件产品在其整个生命周期，是最好的形容为一套属性，承担对：a，存在一套的职能和其指定的属性。b ，有能力的软件将其转移出一个环境到另一个。c ，有能力的软件，以维持其性能水平下，说明情况。d,发展，关系的表现，软件和大量的资源使用。功能，是一套属性，关系的存在，一套职能和其指定的属性。职能是指那些满足明示或暗示的需要。选择b是指可携性，选择c指的可靠性和选择d是指效率。78 ，什么是最好的备份策略为一个大型数据库与数据支持在线销售？a ，每周完整备份与每日增量备份b ，每日完整备份c ，群集服务器d,发展，镜像硬盘注：每周完整备份和日常增量备份是最好的备份策略;确保能力恢复数据库，但减少了每天的备份时间的要求。一次完整的备份通常需要几个小时，因此，它可以是不切实际的进行一次完整的备份每一天。群集服务器提供一个多余的处理能力，但并没有备份。镜像硬盘，将不利于在案件的灾难。79 ，变化的速率在增加，技术的重要性： a，外包是功能。 b ，实施和执行良好的进程。 c ，雇用人员愿意作出的职业生涯在本组织内。 d,发展，满足用户的要求。注意：改变需要良好的变更管理流程实施和执行。外包是功能是没有直接关系，利率为技术变革。工作人员在一个典型的是总署现正的高素质和高教育水平;通常他们不觉得他们的工作处于危险，并准备转业频繁。虽然满足用户的要求是很重要的，这是没有直接关系，利率为技术变革，在是环境。80、which of the following methods of suppressing a fire in a data center is the most effective and environmentally friendly?a，哈龙气体b ，湿管洒水器c ，干管洒水器d,二氧化碳气体注：水洒水器，具有自动电源堵系统，被接受为有效率的，因为他们可以设置为自动释放，没有生命威胁，和水是环保。洒水灭火系统必须干管，以防止泄漏的危险。哈龙是效率和有效的，因为它不会威胁人的生命，因此，可以设置为自动释放，但它是对环境的破坏和非常昂贵。水是一个可以接受的中等，但管道应该是空白的，以避免渗漏，因此，完整的系统是不是一个可行的选择。二氧化碳是接受作为一个环境可以接受的气体，但它是效率较低，因为它不能设置为自动释放，在工作人员的网站，因为它威胁到生命。81,下列哪一项是透过互联网发起被动攻击的实例？a、流量分析 b、伪装c、拒绝服务 d、电子邮件欺骗 互联网安全威胁/脆弱性分为被动和主动攻击。被动攻击的例子，包括网络分析，窃听和流量分析。主动攻击，包括暴力攻击，伪装，包重放，修改信息，透过互联网或基于web的服务的未经授权的访问，拒绝服务攻击，拨号渗透攻击，电子邮件轰炸和垃圾邮件，和电子邮件欺骗。82、is审计师在为公司考虑其外包计算机系统业务需要复核并检查每个供应商的业务连续性计划是否合适?a、是的, 因为is审计师会评估服务商计划的充分性并且协助他们的公司实施一项补充计划. b、是的, 因为基于计划, 系统审计师会评估服务尚的财务状况及其履行合同的能力c、不, 因为提供的备份已在合同中充分说明. d、不,因为服务商的业务连续性计划是专有信息 .审计师的首要职责是确保公司资产的安全保证,及时该资产还没有实现,有信誉的服务商将有一个良好的设计和测试业务连续性计划。83、一个每天处理百万交易的金融机构,会有一个中央通信处理器,用于连接自动柜员机,下面哪些是为通信处理的最好的应变计划.a、与另一个组织签订互助协议.b、在同一地点设立候补处理器 c、候补处理器在另一个网络节点 d、安装全双工的通讯联系 无效的中央通讯处理器会破坏所有进入银行网络的通道。这可能是造成设备，电源或通信失败。互惠协议，使一个组织依赖于其他组织和不利于隐私权，竞争及规管事宜。一个候补处理器在同一地点只解决设备问题，如果是环境原因引起的失败（如，电力中断）就不起效果. 。仅当失败限于通信链路时建立双方通信链路才适当.84、下列哪一项是wi - fi在无线网络中保护访问(wpa)的一项功能?a、会话密钥是动态的 b、私人对称密钥的使用 c、密钥是静态的和共享 d、源地址是未加密或认证的 answer: a note: wpa的使用动态会话密钥，实现强大的加密技术比无线加密保密（ wep ） ,（ wep ）使用静态钥匙(同样的钥匙在一个无线网络中每个人都使用),其他选项都是wep的弱点85、灾难性恢复计划 (drp) 基于: a、技术方面的业务连续性规划. b、进行一块业务连续性规划. c、功能方面的业务连续性规划. d、总体协调的业务连续性规划. answer: a note: 灾难恢复规划（ drp的）是技术方面的业务连续性规划。 商业恢复计划是运作于部分商业持续性计划. 86、数据库管理员建议数据库的效率可以提高,通过denormalizing一些表。这将导致: a、保密的失败 b、增加冗余. c、未经授权的访问. d、应用故障. note: 正常在设计或优化的一个关系型数据库，尽量减少冗余.因此， denormalization会增加冗余.冗余在数据环境的资源一定的环境下被视为问题,冗余会要求额外的和不必要的数据处理.denormalization ，有时是可取是功能的原因。它应该不会造成保密性失败，未经授权的存取或应用故障.87、 it治理的最终目的是: a、鼓励最优地运用计算机. b、降低it成本. c、在组织中分散it资源. d、集中控制it. answer: a note: it治理的用意是为企业指定相结合的决策权和问责制。这对每一个企业是不同的。 降低it成本，未必是最好的it治理成果,对企业而言。分散的it资源的组织并不总是理想的,虽然它可能会想要在一个权力下放的环境。集中控制，它并不总是理想。一个例子，那里可能是理想的,一个企业渴望单独与客户联络。88、对于地点的第3 a ，一维和三维，图表显示，集线器与线，似乎是开放和活跃。假设这是事实，什么控制，如有的话，应建议，以减轻这一弱点？ a、智能枢纽 b、物理安全集线器 c、物理安全和智能集线器 d、没有控制是必要的，因为这不是一个弱点 answer: c note: 开放的枢纽的一个重要的控制弱点，因为可能要访问的网络连接很容易。智能枢纽的地位将使的失活一个单一的港口，而离开其余港口的活跃。此外，人身安全也将提供合理的保障，超过集线器与积极的端口。 89,这个问题是指下列图防火墙是无法识别检测攻击企图的,如果审计师应建议放置一个网络入侵检测系统（ ids ）在?之间a、防火墙和组织的网络. b、互联网和防火墙 c、互联网和web服务器. d、web服务器和防火墙. answer: a note:攻击的企图无法得到承认,防火墙会发现，如果一个基于网络的入侵检测系统是放在之间的防火墙和组织的网络之间。基于网络的入侵检测系统放在互联网和防火墙将检测攻击企图，他们是否攻击防火墙.90、局域网（ lan ）管理员通常会受到限制，从: a、行使最终用户的责任. b、报告最终用户经理. c、行使编程的权利 d、负责局域网安全管理. answer: c note: 1个局域网管理员不应该有编程的权限，但可能有最终用户的权限,局域网管理员可能会报告最终用户经理。在小组织，局域网管理员也可能是负责安全管理局域网 .91、双因素认证，可规避下列哪些攻击? a、拒绝服务 b、中间人 c、键盘记录 d、暴力攻击 answer: b note:中间人攻击类似于piggybacking,攻击者假装是合法的访问者,随着额外的交易身份验证后已被接受。拒绝服务攻击没有联系。键盘记录和野蛮武力可以绕过正常的身份验证，但不是一个双因素认证。 92、一个实体的最佳的业务连续性战略由什么决定的?a、最低的停机时间成本和最高的重置成本. b、最低的停机时间成本总和和重置成本的总和. c、最低的重置成本和最高的停机时间成本. d、重置成本和停机时间成本的加总平均answer: b note: 两者的费用要尽量减少，成本是最低的策略是最佳策略,最高的重置成本不能成为最佳策略.,最高的停机成本不能成为最佳策略,平均合并的停机时间和恢复的成本将高于最低成本相结合的停机时间和恢复93、交易审计痕迹的主要目的是?: a、减少使用存储媒介. b、为处理交易确定问责制和责任制. c、帮助系统审计师进行细微审查. d、为能力规划提供有益的信息. answer: b note: 使审计线索在建立问责制和责任制，为便于处理交易的追查。使用审计线索增加了使用的磁盘空间。交易日志文件将被用于纪录交易痕迹，在确定的问责制和责任方面不会有帮助。能力规划的目标是有效率的和有效的计算机资源的使用情况和需要的信息，如cpu使用率，带宽，用户数目等. 94、下面哪一项是恢复临界系统的最合理方案? a、温站 b、移动站 c、热站 d、冷站 answer: d note: 一般冷战是连续较长时间在一个较低的成本。因为它需要更多时间作出冷战的网站业务，这是通常用于非临界应用。热网是一般可在中等成本，需要较少的时间，成为业务并适合敏感的行动。移动网站是一个车辆随时准备与所有必要的电脑设备可以转移到任何冷或暖的网站取决于需要。需要有一个移动网站，取决于业务规模。一个热门的网站是承包较短的时间内，在更高的成本，是更适合的复苏非常重要和关键的应用. 95、人力资源的副总要求审计，以确定前一年的超额薪金。最好的审计技术的使用在这种情况下? a、测试数据 b、普通审计软件 c、综合测试设施 d、嵌入式审计模块 answer: b note: 普通审计软件的功能包括数学计算，分层，统计分析，序列检查，重复检查和recomputations 。审计师用广义审计软件，可以设计适当的测试，以复算薪金，从而确定是否有过多的发放和向谁发了. 数据测试只能测试多发钱是否有控制,但是不能测试具体的东西.另外两个都不具备检验以前出错的功能. 96、下列哪一项是一个适当的测试方法适用于业务连续性计划 (bcp)? a、驾驶 b、文件c、单元 d、系统 answer: b note:一个文件测试是适当的测试对业务连续性计划.这是一个完整的计划,或者计划的一部分 涉及主要的参与者在计划的执行中 choices a, c and d are not appropriate for a bcp. 97、下列哪一项是一个例子，美国国防部在深入的安全原则? a、使用两个不同供应商的防火墙，连续检查传入的网络通信 b、使用防火墙以及逻辑访问控制对主机的传入信号进行控制c、在电脑中心建筑外面没有物理信号. d、使用两个并列的防火墙检查不同类型的传入流量 answer: b .98、进行postincident检查的主要目的是,它提供了一个机会去: a、改善内部控制程序. b、为实现企业最佳业务强化网络 c、管理突出时间响应管理的重要性. d、提高员工对时间响应的认识. 99、当对一个组织的内部网络进行渗透测试时,下列哪些方法最好,使测试的进行在网络中未被发现? a、使用现有的文件服务器或域控制器的ip地址 b、每隔几分钟，暂停扫描，让阈值重置. c、在傍晚时，当没有人登录时进行扫描d、使用多个扫描工具，因为每个工具都有不同的特色. 100、以下哪项代表了在电子数据交换环境最大的潜在危险? a、交易授权 b、损失或重复的电子数据交换传输 c、传输延迟 d、交易的删除或操作在应用控制的创立以后之前101-180181、在许多运用电子数据交换处理的财务往来中，支票的目的是为了保证：a、完整性b、有效性c、授权d、抗抵赖182、最短的密码长度以及密码复杂程度确认是下列那一项的实例：a、检测控制b、控制目标c、审计目标d、控制程序183、下列哪项会使得无线局域网抵制非授权的访问变弱：a、mac地址过滤b、wpa协议c、leap轻量级可扩展认证协议d、ssid广播184、下面那个是最好的访问控制实务：a、数据所有者正式授权访问和管理员实施用户授权表单b、经授权的员工运用授权表单和数据所有者批准他们c、数据所有者和信息系统经理共同创建和更新用户授权表单d、数据所有者创建和授权用户授权表单185、合适的信息资产存放的安全措施维护是谁的责任：a、安全管理员b、系统管理员c、数据和系统所有者d、系统运行组186、下面哪一个是测试软件的动态分析模型：a、黑盒测试b、部件检测c、结构预排d、设计图和代码187、在客户端服务器架构中，域名服务器是重要的设备，因为它提供：a、域名服务器地址b、名称和地址的转换服务c、网络上的ip地址d、域名系统188、下面哪项是自上而下的软件测试的优势：a、界面错误可以尽早识别b、测试需在所有程序编写完成后进行c、它比其他的方法更有效率d、重要模型的错误可以更早的检测出来189、组织目前使用的磁带备份类型是每周一次完全备份每天一次增量备份。最近增加了磁带备份到磁盘的解决方案。 这是因为: a、支持非现场存储的快速综合备份b、备份到磁盘比备份到磁带快c、不再需要磁带库d、数据存储在磁盘里面比存储在磁带里更可靠190、审计师在审查数据库时发现在正常的工作时间修改或者变更有一套标准的程序控制措施。但是，在不是标准工时的时候，变更只要很少的步骤。在这种情况下，那个是被考虑到的适当的补偿性控制：a、变更仅限于数据库管理员帐号b、一般用户账户得到允许后能够对数据库作出变更c、用数据库管理员帐号做变更，并记录变更以待审查d、用一般帐号做出变更，并记录以待日后审查191、下面哪一个信息服务提供了在某一个特定行为发生时最强的证据：a、交付证据b、抗抵赖c、服从证据d、原始鉴定信息192、评估it风险被很好的达到，可以通过：a、评估it资产和it项目总共的威胁b、用公司的以前的真的损失经验来决定现在的弱点和威胁c、审查可比较的组织出版的损失数据d、一句审计拔高审查it控制弱点193、下面哪个风险是由直线撷取技术引起的：a、未授权的数据访问b、额外的cpu使用率c、终端停工d、多元控制混乱194、下面哪个邮件过滤技术能够最好的提供一个有效的，可信的邮件包括重要摘要关键字：a、启发式b、基于信号c、模式匹配d、贝叶斯195、it治理最终是谁的责任：a、ceob、董事会c、it指导委员会d、审计委员会196、在评估完它的业务流程后，一个大型组织整打算配置一个新的基于语音通话的应用。下面哪一个是最合适的实施访问控制并将可以推动语音网络运用的安全管理：a、详尽的访问控制b、基于角色的访问控制c、访问控制列表d、网络/服务访问控制197、在传统系统开发生命周期中快速应用开发的最大优点是：a、推动用户的参与b、允许较早的技术特征测试c、推进系统的转化d、减少开发的时间帧198、网关和邮件过滤器对一个组织是非常有价值的，因为：a、保护组织不受病毒和与业务无关的材料的侵袭b、加大员工的表现c、保护组织的声誉d、保护组织预防法律问题及纠纷199、安装完网络后，组织又安装了弱点评测工具和安全扫描仪来分辨可能存在的弱点。下面哪一个与这些工具相关的风险最严重：a、权衡报告b、假阳性报告c、假阴性报告d、详细报告200、is管理层最近打算用一个无线下部组件代替现有的无线局域网，以满足组织内日益增多的移动手持设备。这个将会使组织哪方面的危险增加：a、端口扫描b、后门c、左右为难d、战争驾驶201,下列哪项是一种用于缓解风险的技术？安全和控制实务财产和责任保险审计与认证合同和服务等级协议a202,下列哪一行介质将给电信网络提供最佳安全宽带网络数据传输基带网络拨号专线d203,在最初的调查之后，is审计员找到了理由相信欺骗可能存在。该is审计员应当：扩大行动以决定是否一个调查有必要。向审计委员会报告问题向最高管理层报告欺骗的可能性并询问应如何继续与外部法律顾问协商以决定应采取的行动方式a204,使用数字签名的主要原因是确保数据：保密性完整性可用性时效性b205,作为it治理的一个驱动力，it的成本、价值和风险透明主要通过取得：绩效测量战略定位价值交付资源管理a206,下列哪一项最好地支持了24/7可用性？日常备份离线存储镜像周期性测试c207,当评估一个组织的is战略时，下列哪一项应被is审计员认为是最重要的：已被各级管理者赞成没有与is部门初步预算区分开来遵守采购流程支持组织的业务目标d208,当评估一个ids系统时，is审计员应当最关注下列哪一项：非威胁事件识别成威胁的数量没有系统被识别出来攻击自动工具生成的报告/日志被系统阻止的合法流量b209,评估bcp时，下列哪一项应当最被关注：灾难等级基于受损功能的范围，而不是持续时间低级别灾难和软件事件之间的区别不清晰总体bcp被文档化，但详细恢复步骤没有明确宣布灾难的职责没有定义d如果没有人宣称灾难，反应和恢复计划将不会被实行，它们使其他与之相关的都缄默了。虽然考虑持续时间不足可能是个问题，但它不象范围那般意义重大，并且它们都不如需要某人实行计划这般紧要。事件和低级灾害的区别是总是糊涂和经常地围绕着需要的时间量去修正损失。详细步骤的不足应该纪录在案，但他们的缺席并不意味着缺乏复