CISA考试练习(习题卷10)

试卷科目：CISA考试练习CISA考试练习(习题卷10)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.在一个在线银行应用中，下面哪一个是最好的应对身份窃取的措施？A)个人口令加密。B)限制特殊终端设备的使用。C)双因素认证。D)定期评估访问日志。答案:A解析:双因素任证为用来确定身份和特权需要二个独立的方法。因素包括你知道的东西,例如一个密码;你持有的东西,例如一个记号;和你自己有的,例如生物特征。需要这些因素中的二个使相同窃盗更困难。一个密码可以被猜测或打破。限制使用者到一个特定的终端机对一个在线应用来说不是实际的替代方案。周期评审访问日志是监测性控制，并且不能防止依靠身份窃盗行为。[单选题]2.在电子数据交换(EDI)环境中，以下哪一项的潜在风险最大?A)缺乏交易投权B)EDI传输传丢失或重复C)传输延迟D)在建立应用控制前后删除或修改交易答案:A解析:A.由于各方之间采用电子形式进行交互，所以不会进行固有的身份验证;因此，交易授权是最大的风险B.电子数据交换(EDD)传输的丢失或重复是一种风险，但因为所有交易都会被日志记录,其影响不如未授权交易大C.传输延迟可能使过程终止或错过正常的处理时间，但不会造成数据损失。D.在建立应用控制前后刚除或修改交易是一种风险，日志记录会发现对数据的任何修改，其影响不如未授权交易大。[单选题]3.审计期间，IS审计师注意到组织的业务连续性计划(BCP)不能充分满足恢复过程中的信息机密性.IS审计师应建议修改计划以包括:A)调用业务恢复过程时所需的信息安全等级。B)危机管理结构中的信息安全角色和职责。C)信息安全资源要求。D)可影响业务连续性安排的信息安全变更管理流程。答案:A解析:A.企业应考虑恢复时所需的信息安全等级应与企业正常运营时相同，还是较低或较高。尤其是，需要确定在发生危机时访问机密数据的任何特殊规则B.在危机期间，因为许多常规控制(如职责分离)会丧失，组织的安全需求会上升。危机管理计划中设有安全角色很重要，但这不是本题情况下的最佳答案。C.明确作为业务连续性计划(BCP)部分的信息安全资源要求很重要，但更重要的是制定保护信息所需的安全水平。D.变更管理流程有助于保持BCP处于最新状态，但与本题的情况无关[单选题]4.在进行了全面运行测试后，IS审计师对相应的恢复步骤进行了审核，并发现为了将技术环境和系统的所有功能回退所花费的时间超过了规定的关键恢复时间，审计师应当提出下面哪一项建议？A)对恢复工作进行全面的审核。B)扩充处理能力以缩短恢复时间C)改进设施的流转结构D)增加恢复工作中的人力资源答案:A解析:执行一次彻底的恢复工作适当的鉴定这些任务被执行的方式，确定分配给每个步骤要求完成恢复的时间，并且确定何处可以被调整。在评审已经完成后，将选择B，C和D来进行。[单选题]5.管理层要求IS审计师对可能存在的交易进行审查。IS审计师在评估交易时的首要关注点应为：A)评估交易时保持公正B)确保IS审计师始终保持独立性C)确保始终保持证据的完整性D)收集所有相关的交易证据答案:C解析:IS审计师已被要求执行调查，寻找可能用于法律目的的证据，因此保持数据的完整性应是最重要的目标，倘若计算机证据处理不当，法庭会认定为不可接受。尽管IS审计师保持公正客观和独立性非常重要，但在这一案例中更为重要的是保护证据。尽管收集所有相关证据也很重要，但更重要的是，维护保证证据完整性的监管链。点评：证据的完整性最重要[单选题]6.审计变更管理流程的最重要原因在于应确定:A)用户是否完成对变更的验收测试B)实施的变更是否获得授权C)是否维持单独的变更测试环境D)开发人员是否可以访问生产环境答案:B解析:[单选题]7.代码标记的目的是为了提供什么保证:A)软件没有后续更改过B)应用程序能安全的和另外一个标记了的应用程序接口C)做标记者是可信任的D)做标记者的私钥尚未被危及安全答案:A解析:代码标记仅能确保可执行代码在标记之后一直未做过修改。其他的选择均不确切，实际上它们只描述了代码标记潜在的、可利用的方面特征[单选题]8.以下哪一项是IT绩效衡量流程的主要目标?A)将错误减至最少。B)收集绩效数据。C)建立绩效基准。D)优化绩效。答案:D解析:A.最大限度减少错误只是绩效的一个方面，但不是绩效管理的主要目标B.收集绩效数据是衡量IT绩效的必要工作，但不是该流程的目的。C.绩效衡量流程将实际绩效与基线进行比较，但这不是该流程的目的。D.IT绩效衡量流程可用于优化绩效、衡量和管理产品/服务、确保实施问责制度以及制定预算决策[单选题]9.某信息系统审计师在审核信息技术政策时发现，一些政策并未经过管理人员的审批(政策要求须经审批)，但员工却严格遵守这些政策。IS审计师首先应该做什么?A)忽视管理人员未审批这一事实，因为员工遵守了这些政策。B)建议将这些政策立即提交管理人员审批。C)强调管理人员审批的重要性。D)提交报告，指出缺少审批文件。答案:D解析:A.没有管理人员的审批是一项重要(重大)发现，虽然目前由于员工对未审批政策的遵守尚未构成合规性问题，但以后可能会有问题，所以应当予以解决。B.虽然IS审计师很可能建议尽快审批这些政策，还可能提醒管理人员此问题的重要性，但第一步应是将此问题报告给利益相关方。C.第一步是就此发现进行报告，然后再提供建议。D.IS审计师必须报告该审计发现。未经审批的政策即使得到守，也可能为组织带来潜在风险，因为在某些情况下，这种技术性问题可能会妨碍管理人员实施政策，并可能引发法律问题。例如，如果某位员工因违反公司政策而遭解雇，随后发现该政策并未经过审批，那么公司可能会面临昂贵的诉讼费用。[单选题]10.以下哪种抽样方法对符合性测试最有用？A)属性抽样B)变数抽样C)分层单位平均估算法D)差值估计法答案:A解析:[单选题]11.要确保结构化灾难恢复，最重要的是业务连续性计划(BCP)和灾难恢复计划(DRP):A)存储在备用位置。B)已传达给所有用户。C)定期测试D)定期更新答案:C解析:A.将业务连续性计划(BCP)存储在备用位置在发生整个站点中断时很有用;但在没有充分测试的情况下，BCP在灾难期间没有用。B.没有实际测试时，传达给用户所起的作用不大。C.如果定期测试BCP，那么BCP和灾难恢复计划(D)团队将充分了解该流程，这有助于结构化灾难恢复。D.即使定期更新计划，如果未对其充分测试，那么该计划在实际灾难期间的作用也很小。[单选题]12.下列哪项能够最有效地显示信息安全意识计划的有效性?A)员工报告更多有关安全事故的信息B)所有员工都签署了信息安全政策。C)大多数员工都参加了安全意识会议。D)工作说明中包含了信息安全责任答案:A解析:A.虽然增强安全意识是一种预防性控制，但由于它能够促使相关人员识别和报告可能的安全违规情况，因此也可以将其作为检测性措施。报告事件意味着作为实施意识计划的结果，员工会采取行动。B.即使有证据表明所有员工都签署了安全政策，也不能确保他们已了解并承担了安全责任。C.安全意识计划的目标之一就是告知员工，他们应该怎么做以及要承担哪些责任，但是了解这一点也不能确保员工就懂得以安全的方式执行相应活动。D.工作说明中记录的角色和职责并不能指示意识计划的效能[单选题]13.某IS审计师在客户端服务器环境中审查访问控制发现，任何用户都可以访问所有打印选项。在这种情况下，IS审计师最可能得出的结论是：A)暴露风险增大，因为信息可能被未授权用户获取。B)操作效率提高，因为每个人都可以随时打印任何报告。C)操作流程更加高效，因为可以轻松获得信息。D)易用性和灵活性增强，因为用户之间的信息流通更加顺畅。答案:A解析:任何形式的信息都需要防止未经授权的访问。不对报表选项设置访问限制会导致信息暴露。在本题中，效率和交通不是相关因素。由于打印选项中包括打印至电子文件，因此将无法实现对报表更好的控制，而且信息可能被传输到组织之外。强烈建议采用数据丢失防护（DLP）机制作为总体控制。[单选题]14.家在线股票交易公司正在实施一个系统，以实现与客户之间安全的电子邮件沟通。为确保机密性、完整性和不可否认性，以下哪项是最佳选择?A)对称密钥加密B)数字签名C)消息摘要算法D)数字证书答案:D解析:A.对称式密钥加密法使用单一通关短语来加密和解密消息。尽管这种加密类型很强大，但它却面临需要以安全方式共享通关短语这样一个固有的问题，而且不能解决完整性和不可否认性的要求。B.数字签名可提供消息的完整性和不可否认性，但不提供保密性。C.消息摘要算法是一种设计哈希函数以验证消息/数据完整性的方法。消息摘要算法不能提供保密性和不可否认性。D.数字证书由公钥及其所有者的标识信息组成。相关的私钥由所有者机密地持有。这些证书一般由值得信任的机构验证，目的是将个人身份与公钥关联起来。电子邮件的机密性和完整性以公钥和私钥加密实现。由受信第三方验证数字证书即可保证发送者的不可否认性。[单选题]15.某IS审计师在数据库的某些表中发现了超出范围的数据。为避免此类状况发生，该1S审计师应推荐采用以下哪种控制?A)记录所有的表更新交易。B)在数据库中设定完整性约束。C)使用前后图像报告D)使用跟踪和标记。答案:B解析:A.记录所有的表更新交易提供了审计轨迹，属于一种检测性控制，但不能防止引入错误数据。B.在数据库中设定完整性约束属于预防性控制，因为数据会根据预定义的表或规则进行检查，从而可以防止输入任何尚未定义的数据。C.前后图像报告可用于跟踪各交易对计算机记录的影响，属于检测性控制。D.跟踪和标记可用于测试应用系统和控制，但却不属于可避免数据超出范围的预防性控制。[单选题]16.下面哪个是建立防火墙策略的初始步骤？A)成本效益应用系统安全的分析方法B)识别外部访问的网络应用C)识别外部访问网络应用的漏洞D)建立一个应用流量矩阵显示保护方法答案:A解析:应用系统所需网络是第一步被识别的。在识别之后，依靠这些在网络和网络模型的应用系统的物理位置，负责人将能够理解对这些应用系统的访问控制可能的方法和需求。识别保护脆弱性的方法和它们的相对成本效益分析是第三步。在识别这些应用系统后，下一步是要找出与网络应用的漏洞（弱点）。下一步就是要分析应用的传输和建立一个矩阵显示如何每种类型的传输将得到保护。[单选题]17.当评估一个计算机预防性维护程序的效果和充分性，IS审计员应当认为下列哪一项最有帮助：A)系统宕机时间日志B)供应商的可靠性数据C)周期性调度的维护日志D)书面的预防性维护调度表答案:A解析:系统宕机时间日志提供信息，该信息关于计算机预防性维护程序的效果和充分性。[单选题]18.审查应用程序控制措施的IS审计师将评估:A)应用程序的效率是否满足业务流程。B)任何已发现的风险暴露的影响C)应用程序所服务的业务流程。D)应用程序的优化。答案:B解析:A.IS审计师审核的是控制的有效性，而不是应用程序满足业务需求的合适性。B.应用程序控制审查包括对应用程序自动化控制的评估，以及对由于控制薄弱环节而产生的任何风险暴露的评估。C.其他选项可能是应用程序审计的目标，但不是局限于应用程序控制检查的审计的一部分。D.需要检查的一项内容可能是应用程序的效率和优化，但这不是在此次审计中检查的内容。[单选题]19.以下哪项属于IT平衡计分卡的4个关键角度中的3个？【已经理解】书第70页A)业务判断，服务水平协议，预算B)组织人员，成本减少，雇员培训C)成本减少，业务流程，增长D)服务水平，关键成功因素，供应商选择答案:C解析:IT平衡计分卡的4个关键角度:客户，业务历程，财务，增长。[单选题]20.某组织已建立了一个用于访客访问的访客网络。以下哪项是IS审计师最应关注的问题?A)不向访客用户显示登录屏幕。B)访客网络未与生产网络分离开来。C)已登录的访客用户未相互离开来。D)采用单因素身份认证技术来授予访问权限。答案:B解析:A.使用强制网络门户(在用户的Web浏览器中显示登录屏幕)是对访客进行身份认证的一种良好实践。但如果访客网络未与生产网络分离开来，用户可能会引入恶意软件，并可能造成对系统和信息的不当访问。B.这意味着访客可以访问组织的网络。允许不受信任的用户连接到组织的网络可能会引入恶意软件，并可能让这些用户对系统和信息进行不当访问。C.有些平台允许访客彼此之间进行交互。此外，可以警告访客仅使用安全的系统，并且可以制定涵盖访客间进行交互的政策。D.虽然多因素身份认证技术更好，但单因素身份认证如果正确实施也足够。[单选题]21.当组织根据定义好的恢复点目标（RPO）要求非常细小的数据恢复点时，下面哪个备份技术是最适当的？A)虚拟磁带库B)基于磁盘的快照C)持续数据备份D)磁盘到磁带的备份答案:A解析:恢复点目标（RPO）是根据破坏发生时所能接受的数据损失来确定的。在这种情况下，组织需要一个短的PRO。虚拟磁带库、基于磁盘的快照和磁盘到磁带的备份需要时间来完成备份，而持续的数据备份通过在线完成（实时进行）。[单选题]22.组织的管理层实施公司治理的首要目的是A)提供战略指导B)控制业务运营C)整合IT与业务D)执行最优方法答案:A解析:公司治理是提供战略指导的管理集，从而确保目标可完成，风险被适当识别，组织资源被适当利用。因此，公司治理的主要目标是提供战略指导。基于战略指导，业务操作是可控的。[单选题]23.在审计一个WEB、服务器时，IS审计员应该关注某些个体获取对保密信息未经授权的访问的风险，通过：A)C、GI脚本B)EJB、sC)A、ppletsD)WeB、服务答案:A解析:C、GI脚本是服务器端可执行的计算机独立的软件程序，能够被一个WEB、服务器页面调用和执行。C、GI执行具体的任务，如处理从客户接收到的输入。C、GI脚本的使用需要被评估，因为当他们在服务器上运行时，它们的缺陷可能允许用户获得对服务器未经授权的访问并且从服务器上可以获得对组织网络的访问。A、pplets是从一个weB、服务器上下载的程序，被在客户端的weB、浏览器上执行以运行任何基于weB、的应用。EJB、和weB、服务不得不被weB、服务器管理员配置，并且被应用服务器控制。他们的执行需要了解参数和期望的返回值。[单选题]24.当测试程序变更时，以下哪项是最好的抽样总体？A)测试库清单B)源程序清单C)程序变更请求D)产品库清单答案:A解析:最好的来源是来自自动化的系统的样本或测试。产品库显示的是被核准运行程序。源程序清单表及时集中的。程序变更需求只记录初始改变的文件，不保证所有的变更请求记录在里面。测试库清单不代表那些经授权的可运行程序。[单选题]25.以下哪一项最有利于执行管理层实现IT和业务的一致性？A)基准指标对比（benchmarking）B)风险评估C)衡量绩效D)平衡计分卡答案:D解析:[单选题]26.一名程序员对一份薪资系统报告中的关键字段做了未经授权的变更。下列哪一种控制弱点最可能导致该问题？A)工资文件不受程序库管理员控制。B)程序设计人员没有让用户参与测试。C)程序设计人员有权访问生产程序。D)未将用户需求记录。答案:C解析:[单选题]27.当开发一个正式的企业安全方案时，最关键的成功因素（CSF）是：A)建立一个审查委员会B)创建一个安全的部门C)有效的管理层赞助支持D)选择一个安全过程所有者答案:C解析:管理层赞助将支持该组织的战略安全计划的费用，而且将有利于在指导企业的整体安全管理活动。因此，由管理层级别的支持是最关键的成功因素（CSF）的。其它选项都没有比高层管理人员的赞助明显有成效。点评：领导的支持是任何工作成果的基础[单选题]28.下列哪一项是透过互联网发起被动攻击的实例？A)流量分析B)伪装C)拒绝服务D)电子邮件欺骗答案:A解析:互联网安全威胁/脆弱性分为被动和主动攻击。被动攻击，包括网络分析，窃听和流量分析。主动攻击，包括暴力攻击、伪装、包重放、修改信息、透过互联网或基于WeB、的服务的未经授权的访问、拒绝服务攻击、拨号渗透攻击、电子邮件轰炸、垃圾邮件和电子邮件欺骗。[单选题]29.某款新的业务应用程序要求偏离操作系统(OS)的标准配置。IS审计师应当向安全经理推荐哪一种活动作为第一应对措施?A)初步拒绝该请求，因为它违背安全策略B)批准该项策略例外，以满足业务需求C)评估风险和识别补偿性控制D)修订操作系统基准配置答案:C解析:A.只要经过管理层批准，为满足业务需求，可以不执行安全策略;安全经理无权拒绝偏离。B.安全经理可以同意偏离策略，但此决定应当基于风险评估和补偿性控制。偏离本身应当根据既定的例外处理流程获得批准。C.在批准任何例外之前，安全经理应当首先检查补偿性控制和评估偏离可能带来的风险。D.更新或修订基准配置与偏离请求无关[单选题]30.某大型组织正在更换过时的旧版系统，并评估是购买定制解决方案还是内部开发系统。以下哪项最有可能影响该组织的决策?A)组织内与采购和软件开发有关的技能和知识B)应用程序所处理数据的隐私要求C)要更换的旧版系统是否是由内部开发的D)用户不能投入合理的时间来确定解决方案的功能答案:A解析:A.在外包应用程序的规划阶段之前，最有可能需要仔细考虑的是关键核心能力。B.两种方案都适用隐私要求。C.尽管了解旧版系统的人员会有所帮助，但他们可能并不具备开发新系统所需的技能。因此，这并不是影响决定是开发还是购买的主要因素。D.业务要求(功能)不明确同样会影响开发流程，但并不是影响决定是开发还是购买的主要因素。[单选题]31.以下哪可作为诱饵来检测主动互联网攻击？A)蜜罐（Honeypot）B)防火墙C)陷阱门D)流量分析答案:A解析:蜜罐是一种计算机系统，专门建立用来吸引那些试图渗透他人计算机系统的人员并使其落入陷阱。蜜罐这一概念来源于入侵者的行为。适当设计和配置的蜜罐可提供用于攻击系统的方法的数据。这些数据随后用来改进可抑制未来攻击的措施。防火墙是一种基本的防范措施。陷阱门能够创建漏洞，使未经授权的代码有机会植入系统。流量分析是一种被动攻击。[单选题]32.为了确保可以尽快识别内部应用程序接口错误，下列哪种测试方法最合适?A)自下而上的测试B)社交性测试C)自上而下的测试D)系统测试答案:C解析:A.自下而上的测试方法先从程序或模块等基本单元开始测试，然后由下而上直到完成整个系统测试B.社交性测试在开发阶段的后期进行C.自上而下的测试方法可以确保及早发现接口错误，也可以确保主要功能的测试及早执行。D.系统测试在开发阶段的后期进行。[单选题]33.使用面向对象设计和开发技术的应用最可能：A)使模块具有重用性B)提高系统性能C)提高控制有效性D)加快系统开发生命周期答案:A解析:面向对象开发和设计的一个主要的优势是能够重用模块。其他选项不是面向对象通常的优势。点评：面向对象开发的概念[单选题]34.在制訂災難恢復計劃時，決定可接受停機時間的標准是：A)年度損失期望值B)服務交付目標C)孤兒數據的數據D)最大可容忍損失答案:A解析:灾难恢复时间的目标值取决于运行中断情况下的可接受停机时间，它表明组织在灾难发生后至系统恢复之前，允许的最大可容忍停机时间。选A不正确，因为可接受停机时间不取决于年度损失期望值；选B或C，与业务持续性有关，但这两项内容与可接受停机时间没有关系。[单选题]35.IT控制目标对审计师来说很有用，因为他们提供了理解下面什么的基础:A)实施了特殊控制过程之后的期望结果或者目标B)与特定实体相关的最佳IT安全控制实践C)信息安全技术D)安全策略答案:A解析:IT控制目标被定义为在特有的IT活动中实现特殊控制过程后期望的结果或目标，它们提供了实施控制后的实际目标，可能会或者也可能不会成为最佳实践。技术是实现目标的手段，安全策略是IT控制目标中的一个方面[单选题]36.IS审计师在审查建议的应用软件购置时应当确保:A)当前使用的操作系统(OS)与现有硬件平台兼容。B)对计划的OS更新安排要尽量减小对公司需求的负面影响。C)OS具有最新版本和更新。D)产品与当前或计划的操作系统兼容。答案:D解析:A.如果操作系统(OS)当前正在使用，则必定与现有硬件平台兼容;如果不兼容，那么OS将不能正常运行。B.计划的OS更新的安排要尽量减小对组织的负面影响，但在考虑购置新软件时这不是问题C.已安装的OS应具有最新版本和更新(以及详尽的历史记录和稳定性。但它已经安装，不是考虑购置新软件时需要考虑的问题。D.在审查建议的应用软件时，审计师应确保要购买的产品与当前或计划的OS兼容。[单选题]37.在客户端服务器架构中，域名服务器是重要的设备，因为它提供：A)域名服务器地址B)名称和地址的转换服务C)网络上的IP地址D)域名系统答案:A解析:D、NS主要用来解决互联网上网络站点的名称/地址。这是一个互联网服务，它翻译域名转换成IP地址。由于域名是按字母顺序，他们更容易记住。然而，互联网是基于IP地址的。每一次使用域名，DNS服务必须转换域名为相应的IP地址。DNS系统有其自己的网络。如果一个DNS服务器不知道如何转换一个详细的域名，它就转到下一个服务器，以此类推，直至转换为正确的IP地址。[单选题]38.在整个开发周期中审查项目计划和进度报告将可以:A)促进项目周期内资源的最佳使用B)将项目进度的记录推迟到最终阶段C)保证项目实现其预期的交付目标D)消除执行风险评估的必要性答案:C解析:[单选题]39.在计划一项审计网络设备的时候，信息系统审计师应该给更高的特权来获得以下哪项网络文件？A)布线和拓扑图B)用户列表和责任C)应用程序列表和详细资料D)备份和恢复程序答案:A解析:布线和拓扑图是开展网络审计的必需资料。如果没有网络布线和拓扑图，网络审计不好开展。所有其他的文件都是重要的，但不是必需的。[单选题]40.审查数字证书验证过程时，以下哪一项结果表示最重大的风险?A)没有注册机构(RA)负责报告密钥泄漏。B)证书撤销清单(CRL)不是最新的。C)数字证书包含用于加密消息的公钥并用于对数字签名进行验证D)由用户向证书颁发机构(CA)报告密钥泄漏答案:B解析:A.没有注册机构(RA)时，证书颁发机构(CA)可承担相应任。B.如果证书撤销清单(CRL)不是最新的，则可能存在未废除的证书被用于非授权或欺诈的活动。C.包含用于加密消息的公钥并用于对数字签名进行验证的数字证书不会构成风险。D.用户向CA报告密钥泄漏也不存在风险，因为向CA报告此信息后，CA可以采取相应措施。[单选题]41.以下哪一网络组件是一种安全措施主要用来防止在不同网段间进行未授权的通信?A)防火墙B)路由器C)第2层交换机D)虚拟局域网(VLAN)答案:A解析:A.防火墙系统是组织防止网络间未授权访问的主要工具。组织可以选择部署一个或多个具有防火墙功能的系统。B.路由器可以根据参数(如源地址)过滤数据包，但并不是主要的安全工具。C.根据介质访问控制(MAC)地址，第2层交换机对通信进行分离，但并不确定其是经授权的通信还是未经授权的通信。D.虚拟局域网(VLAN)是一些交换机的功能，该功能使得交换机可以控制不同端口间的通信，即使它们处于同一物理局域网(LAN）中。然而，这些交换机并不能有效分辨是经授权还是未经授权的通信。[单选题]42.以下哪一项能最有效地确保会计系统内部利息计算相关控制的有效性?A)重新执行B)流程穿行测试C)观察D)文档审查答案:A解析:A.若要确保控制的有效性，完成重新执行最有效。若由独立个人执行后得到相同的结果，则能提供最有力的鉴证。B.流程穿行测试可能有助审计师更好地了解控制;但它可能不如对交易样本完成重新执行管用C.观察是验证操作员是否在正确使用系统的一种有效的审计方法;但完成重新执行是更好的方法D.文档审查对了解控制环境也许有些价值;但完成重新执行是更好的方法[单选题]43.当一个组织外包客户信用审核系统给第三方，信息系统审计师考虑最重要的是下列供应商的哪一个？A)达到或超过行业安全标准B)同意受外部安全审查C)有经验的服务和良好的市场信誉D)符合该组织的安全策略答案:B解析:至关重要的是外包供应商是独立性的安全检查，因为获得客户的信息将被保存在那里。安全标准或组织的政策法规是重要的。但没有办法验证或证明，这就是没有一个独立的审查的情况。虽然在长期的业务经验和良好的信誉是一个重要的因素来评估服务质量，但企业不能外包给一个气安全控制薄弱的供应商。点评：对外包商需要进行独立全面的审核[单选题]44.组织财务系统的灾难恢复计划规定，恢复点目标(RPO)为零，并且恢复时间目标(RTO)为72小时。下列哪一项是最具成本效益的解决方案?A)热备援中心可在八小时内投入使用，并对交易日志记录进行异步备份B)对多个位置处的分布式数据库系统进行异步更新C)对热备援中心中的数据和备用系统进行同步更新D)对于可在48小时内投入使用的温备援中心，以远程方式同步复制其中的数据答案:D解析:A.热备援中心能够满足恢复时间目标(RTO)，但会产生不必要的成本。B.对分布在各位置处的数据库进行异步更新并不符合恢复点目标(RPO)的要求。C.对热备援中心中的数据和备用系统进行同步更新可以满足RPO和RTO的要求，但其成本比温备援中心解决方案昂贵D.同步复制所存储的数据可实现RPO目标，而可在48小时内投入使用的温备援中心可满足RTO的要求。[单选题]45.当进行程序变更测试时，以下哪一项是最好的进行抽样的总体列表？A)测试库清单B)源程序清单C)程序变更申请D)生产库清单答案:D解析:对信息系统进行抽样或测试的最好的来源是自动化的系统。生产库表示经过了批准的执行程序来处理组织的数据。源程序列表是时间敏感性的。程序变更申请是被用于发起变更的文档，因此无法保证全部的变更申请已经完成。测试库清单无法表示那些执行程序是经过审批和授权的。点评：查变更，从生产库查最有效[单选题]46.在拟定基于风险的审计计划时，以下哪一项是最好的信息来源?A)流程所有者识别关键控制。B)系统监管人识别漏洞。C)审计团队成员了解以前的审计结果。D)高级管理层识别关键业务流程。答案:D解析:A.尽管应当咨询流程所有者以识别关键控制，但高级管理层是识别更为重要的业务流程的更好来源。B.系统监管人是更好地了解适用于具体应用的风险与控制的良好来源;但高级管理层是识别更为重要的业务流程的更好来源。C.审査以前的审计结果是审计规划流程的一个信息来源;但如果以前的审计重点关注有限或受限的范围，或如果关键业务流程经发生变化和/或引入了新的业务流程，则它无助于拟定基于风险的审计计划。D.拟定基于风险的审计计划必须始于识别关键业务流程，它将确定和识别需要加以解决的风险[单选题]47.如果数据库用前象存储进行还原，接着这个中断，流程应该从哪里开始？A)在最后一个事务之前B)在最后一个事务之后C)最新的检查点之后的第一个事务D)最新的检查点之前的最后一个事务答案:A解析:如果用前象存储进行还原，最后处理的事务不会更新数据库之前的内容。最后处理的事务不会更新进数据库，必须重新处理。选项检查点是与题目不相关的。[单选题]48.开发安全架构时，首先应该执行下列步骤中的哪个步骤?A)制定安全流程B)制定安全政策C)明确访问控制方法D)定义角色和责任答案:B解析:A.政策是用于为程序、标准和基准提供指引的。因此只有在确定安全政策后，才可以制定安全程序B.为信息和相关技术定义安全政策是构建安全架构过程中的第一个步骤。安全政策向用户、管理层和技术人员传达协调一致的安全标准。安全政策通常会提供一个框架，指明企业需要的工具和程序。C.明确访问控制方法是一种实施方面的问题，只有在制定安全政策后オ可执行。D.只有在安全政策制定后才可定义角色和责任。[单选题]49.在制定控制前，管理层首先应该保证控制：A)满足控制一个风险问题的要求B)不减少生产力C)基于成本效益的分析D)检测行或改正性的答案:A解析:在设计控制时，必须考虑上述几个方面。在理想的情况下，能达到所有的方面将是最佳控制。但现实中，因成本控制不可能面面俱到，所以首先应考虑的是预防威胁引起的攻击的控制。[单选题]50.IT平衡记分卡（BSC）是业务治理工具，旨在监控IT绩效评估指标而不是？A)财务业绩B)客户满意度C)内本流程是效率D)创新能力答案:A解析:财务业绩传统上一直是唯一的整体性能指标，在IT平衡记分卡（BSC）是一个在IT业务治理工具，有助于监控IT绩效评估指标出了财务业绩。IT平衡记分卡考虑了其他的关键的成功因素，如客户满意度，创新能力和处理。点评：BSC不只评价财务指标[单选题]51.在制定作业政策时使用自顶而下的方法有助于确保这些政策A)在整个组织内保持一致B)被作为风险评估活动的一部分得以实施C)符合组织中其他政策D)能被定期审核答案:A解析:自顶而下的企业政策（由上而下的方法）有助于确保在整个企业中的一致性，并且与其他政策一致。由于风险评估，在制定作业政策时的自下而上的方式被采用。由上而下的方法本身并不确保遵守，制定政策不确保各项政策被执行。[单选题]52.为验证生产运行是否使用了正确版本的数据文件，IS审计师应审查:A)操作员间题报告B)操作员工作日程表C)系统日志D)输出分配报告。答案:C解析:A.操作员问题报告供操作员记录计算机运行问题之用。B.维护操作员工作日程表的目的是协助人力资源规划。C.系统日志是自动生成的报告，其中标识了计算机上执行的大多数活动。现已开发出系统日志分析程序，可针对特殊定义的项目进行报告。审计师然后可执行相应测试，以确保生产运行使用了正确的文件版本。D.输出分配报告用于标识生成的所有应用程序报告及其分配情况。[单选题]53.一个组织使用对称加密方法。下列哪种原因会导致组织改成非对称加密法？因为对称加密：A)提供真实性确认B)比非对称加密更快C)能导致关键管理变得困难D)要求相对简单的算法答案:A解析:在对称加密方法中，使用者的每对需要一双独特的钥匙,因此如果钥匙长度增长，关键性的管理将变得困难。对称加密方法不提供认证，且比非对称加密快速。对称加密方法需要数学计算，但是他们没有非对称加密方法的算法复杂。[单选题]54.在信息处理设备发生重大事故后，如下哪个是响应小组首要做的事情？A)恢复设备B)设备文档化C)控制设备D)检查设备答案:C解析:第一优先的是控制有问题的设备，以至于把损坏的范围降低到最低。响应小组必须能控制局面。确保恢复被影响的系统或者服务到指定的恢复点目标。这个行动将仅有可能在控制受损之后。设备的文档化应该是被准备好通知事件管理人员，然而损害是首要被控制的。虽然控制是避免损害传播的首要任务，但是检查设备也是重要的。[单选题]55.对系统实施滲透测试时，组织最应关注以下哪项:A)报告的机密性。B)找到系统中的所有潜在漏洞。C)将所有系统恢复为原始状态。D)记录生产系统的所有更改。答案:C解析:A.透测试报告是一种敏感文件，因为列出了目标系统的漏洞。但对滲透测试团队的主要要求是恢复系统至原始状态。B.找到潜在漏洞并确定其优先级很重要，但测试结東时必须恢复更改过的系统数据或不安全的配置。C测试结束后，必须将系统恢复至其原始状态。在进行测试时，可能对防火墙规则进行过变更创建了用户ID或上传错误的文件。这些变动在测试结束前必须清理。D.所有的更改都需要记录，但最重要的问题是保证在测试的最后将这些更改复原[单选题]56.为了确保审计资源给组织带来了最大的价值，通常的第一步是：A)计划审计项目，并对每个审计项目的时间安排进行监督B)向信息系统审计师培训有关组织正在使用的最新技术C)在详细风险评估的基础上开展审计计划D)审计监督程序，并采取成本控制措施答案:C解析:监控时间（选项A）和审计程序（选项D），以及充分的培训（选项B）将有助于提供信息系统审计师的生产率（效率与技能），但是针对高风险领域所投入的资源和花费才能给组织带来最大化的价值。点评：审计资源（审计师的工时）优化--风险评估[单选题]57.以下哪项在实施信息系统审计计划时是最重要的？A)查阅以前审计的审计发现B)设计一个对数据中心设施物理安全的审计计划C)查阅信息系统政策和程序D)进行风险评估答案:D解析:[单选题]58.为减轻来自内部人员攻击对企业数据安全的威胁，下面那一个选项是最好的？A)正式确定企业的信息安全策略B)为员工提供安全培训C)为关键岗位提供有竞争力的薪酬D)对潜在的员工实施充分的背景审查答案:D解析:对个人的相关背景，犯罪记录和信贷记录的调查将有助于识别高风险的候选人，但是最好的控制是除了初始的过滤之外，还应该持续性的监控员工的各种行为。策略正式化、安全培训以及提供有竞争力的薪酬是不错的辅助控制方法，但是不能充分的预防内部人员攻击。[单选题]59.一个遗留的工资支付应用系统被迁移到一个新的应用程序，下列相关人员哪个主要负责检查和签收迁移前的数据的正确性和完整性？A)信息系统审计师B)数据库管理员C)项目经理D)数据所有者答案:D解析:在项目的数据转换期间，数据所有者主要负责检查和签收数据的完整性和准确性的有效。信息系统审计师不负责审查和签收数据的准确性。然而，信息系统审计师应该确保在项目的数据转换期间数据被数据所有者检查和签收。数据库管理员的主要责任是维护数据库的完整性，并使数据库满足用户的使用。数据库管理员不负责检查迁移数据。项目经理提供日常管理和领导项目，但是不负责数据的正确性和完整性。点评：数据所有者对数据负有最终的责任[单选题]60.下面哪一个最能直接受到网络性能监测工具的影响？A)完整性B)可用性C)完全性D)保密性答案:B解析:在服务器中断的情况下，网络性能监测工具的主要功能之一是确保信息保持不变。这是安全监测的一个功能，以确保使用这些工具作为加密手段的保密性。然而，网络性能最重要的方面是确保网络畅通以保证持续的业务运营活动。因此，根据这一特性，网络监控最重要的是可用性。[单选题]61.管理层让一个初级IS审计师用他最佳的判断力来准备并发布一个最终报告，因为没有可用的其他高级IS审计师来检查其工作报告。这种情况最主要的风险是？A)由于审计没有按照标准执行而造成声誉损失B)审计报告不能识别和分类关键风险C)客户管理者会质疑其结果D)审计报告可能不会被审计经理所批准答案:A解析:ISACA审计标准S6（审计工作执行），子标准03（监督）规定?IS审计职员应当被监督以提供实现审计目标和满足专业审计标准的保证?。如果一个审计师在没有检查或监督的情况下完成整个审计，包括审计报告，这就没有满足监督的标准。违反审计标准会造成审计组织损失可信性，并面临法律责任风险以及失去其资格与执照的风险。如果审计师的工作没有被检查，其报告可能不能够成功识别和分类关键风险，这些风险可能会被一个更有经验的审计师通过检查发现，然而，这种风险与声誉、可信性、资格/执照损失相比是次要的。如果该高级审计师错误的分类一些风险，客户经理可能会质疑其审计结果里管理层认为不重要的风险。然而，该风险与没有遵守标准相比而言是次要的。审计经理经过检查，可能会发现在提交给管理层之前需要对报告进行修改。由于这是一个有正当理由的风险，因此在该场景中不是主要风险。点评：审计组织的声誉损失最大，否则无法信任审计工作的成果[单选题]62.以下哪项灾难恢复测试技术对于检测计划的有效性是最有效？A)准备测试。B)书面推演。C)全面测试。D)实际业务中断。答案:A解析:准备测试涉及整个业务环境，同时帮助团队更好的理解和准备真正的测试方案。选项B，C和D对于获得测试证据不符合成本效益原则。书面推演即演练整个计划，但是没有环境模拟，能够获得的信息也很少。它也不利于团队获得理解测试计划的证据信息。选项D在大多数情况下不建议实施。选项C需要管理层同意，同时在大多数情况下也不容易测试而且有可能测试本身会造成灾难。[单选题]63.信息系统审计师审查确认了第三方服务提供商合同中隐私要求的不一致性,以下哪一项是解决这一情况的最佳建议?A)要求第三方提供商签署保密协议B)优先考虑对第三方提供商的合同进行修改C)等到合同续约时审查隐私要求D)暂停与数理敏感数据的第三方提供商的合同答案:B解析:[单选题]64.资料库规格化的主要好处是：A)在满足用户需求的前提下，最大程度地减小表内信息的冗余（即：重复）B)满足更多查询的能力C)由多张表实现，最大程度的资料库完整性D)通过更快地信息处理，减小反应时间答案:A解析:[单选题]65.RFID、标签可能会受到以下哪些方法的攻击?A)绑架进程B)窃听C)恶意代码D)钓鱼答案:A解析:象无线设备一样，活动的RFID、标签会遭的窃听的攻击。一般不会遭到绑架进程、恶意代码或钓鱼的攻击。[单选题]66.将主要信息处理场所中的硬件进行更换后，业务连续性经理应该首先采取下列哪项行动?A)检验与热备援中心的兼容性。B)审查实施报告。C)对灾难恢复计划(DRP)执行穿行D)更新信息技术资产清单答案:D解析:A.在检验新硬件与恢复站点兼容之前，业务连续性经理应更新业务连续性计划(BCP)中的所有设备和IT资产清单。B.实施报告对业务连续性经理的价值有限，因为设备已经安装了。C.计划的穿行只应在资产清单更新后进行。D.信息系统资产清单是业务连续性/灾难恢复计划的基本输入信息，此等计划必须根据信息技术基础设施的变化随时更新。[单选题]67.对于抽样而言,以下哪项是正确的?A)抽样一般运用于与不成文或无形的控制相关联的总体B)如果内部控制健全,置信系统可以取的较低C)通过尽早停止审计测试,属性抽样有助于减少对某个属性的过量抽样D)变数抽样是估计给定控制或相关控制集合发生率的技术答案:B解析:[单选题]68.用户被分发了安全令牌用来与PIN联合使用访问组织的虚拟专用网络。对于PIN来说，包含在安全策略里面最重要的一条规定是:A)客户不应该把令牌留在能够被人偷盗的地方B)客户不得把令牌保持在他们笔记本电脑的同一个包之内C)客户应该选择完全随机的，没有重复数字的pinD)客户绝对不可以写下pin答案:D解析:如果用户将PIN写在纸条上，拥有令牌、纸条和计算机就能够访问企业网络。令牌和PIN是双重授权方法。获得令牌而没有PIN是无用的，某一项在无另外一项时都是不起作用的。PIN不需要是随机的，只要保密即可。[单选题]69.以下哪种能满足双重用户身份认证？A)虹膜加指纹扫描B)终端号加全球定位系统(GPS)C)需要用户识别号的智能卡D)用户代码加密码答案:A解析:用户拥有的智能卡，一般用来和用户已知的testing运算，例如，一个键盘密码或个人识别码（PIN）。验证用户通常需要一个生物方法，如指纹、虹膜扫描或声音验证，即生物验证。它不是一个双重用户认证，因为它只验证了用户是谁。用户ID、和口令是单因子用户认证。[单选题]70.某新业务需求要求变更数据库供应商。关于此项实施，IS审计师应当主要检查以下哪个领域?A)数据的完整性B)切换的时间安排C)用户的授权等级D)数据的规范化答案:A解析:A.从一个数据库向另一个数据库迁移数据时的关键问题是数据的完整性和确保全面、正确地迁移数据。B.切换的时间安排很重要，但由于需将数据迁移至新的数据库，复制不应该是个问题。C.用户的授权与应用的授权无关，因为用户将通过应用连接数据库，并且用户不直接连接数据库。D.正规化用于设计数据库，不一定与数据库迁移有关。[单选题]71.如果出现IT人员和最终用户职权分工的问题，下面哪个选项是合适的补偿性控制？A)限制物理访问计算机设备B)检阅事务和应用日志C)在聘请IT人员以前进行背景检查D)在不活动的特定时间后，锁住用户会话答案:B解析:只有检查事务和应用日志才能直接发现职责未分离的威胁。这种检查可发现不适当的行为和阻止弊端，因为威慑试探利用此缺陷的人可能被抓。不充分的职责分离将导致通过逻辑访问数据和计算机资源胜于物理访问。C、对确定IT人员是可信赖、可胜任的是一种有效的控制，但跟职责未分离没有直接的关系。D、阻止未授权的用户访问系统，但使得有权访问（有意或无意的）被拒绝，即职责未分离的问题被滥用了。[单选题]72.IS审计师正在审查某组织的治理模型。以下哪项是审计师最应关注的问题?A)高级管理人员未对组织的信息安全政策进行定期审查。B)未制定旨在确保系统及时安装补丁的政策。C)审计委员会未审查全球使命宣言。D)未制定与恶意软件防护相关的组织政策。答案:A解析:A.数据安全政策应每年审查/更新一次，以反映组织环境方面的变化。政策是组织治理结构的基本内容,因此最值得关注。B.尽管未制定与系统补丁安装相关的政策确实值得关注，但更值得关注的是高级管理人员未对信息安全政策进行定期审查。C.使命宣言倾向于有长期性，因为其具有战略意义，并且是由董事会和管理人员制定的。这不是IS审计师最应关注的问题，因为适当的治理监督有助于达成组织使命宣言的目标。D.尽管未制定与悉意软件防护相关的政策确实值得关注，但更值得关注的是高级管理人员未对安全政策进行定期审查。[单选题]73.确定可接受风险的等级是谁的责任A)质量保障(QA)管理人员。B)高级业务管理人员C)首席信息官(CIO)D)首席信息安全官(CISO)。答案:B解析:A.质量保障(QA)关注流程的可靠性和一致性。QA团队不负责确定可接受的风险水平。B.应该由高级管理层来确定可接受风险的等级，因为他们最终负责组织的有效和高效运营。C.确定可接受的风险等级是高级管理层的责任。首席信息官(CIO)是企业负责IT倡议，协调IT与业务战略，为IT服务、信息和相关人力资源的部署进行规划、筹集资源和进行管理的最高官员。首席信息官极少决定可授受的风险等级，因为这样会有利益冲突D.确定可接受的风险等级是高级管理层的责任。首席信息安全官(CISO)负责实施高级管理团队的决定。[单选题]74.IS审计师在审查信用卡交易程序中推荐加入初始复核控制，该初始复核控制最可能用于：A)检验交易类型与与对应信用卡类型是否有效B)验证输入卡号的格式并在数据库中查找该卡号C)确保输入的交易额在持卡人的信用额度内D)在主文件中验证该信用卡没有丢失或被盗答案:B解析:首先确认该卡是否有效。基于用户输入的卡号和密码。其他的验证程序在此基础上进行，如果在初始捕获的数据时无效的（如果卡号或密码不匹配），那么拒绝为该卡服务并采取适当的控制，初步验证完成后，在执行其他的验证（其他细节，持卡人等）。点评：见上面解释[单选题]75.为验证磁带库存放记录准确性的实质性测试应该是:A)确定条码阅读器是否安装B)确定磁带的移动是否被授权C)对磁带库进行一次盘点D)检查磁带的收发记录是否准确记载答案:A解析:实质性测试包括收集证据以证明特定交易、数据以及其他信息的完整性。磁带的盘点实质性测试。选项A、,B、和D、属于符合性测试。[单选题]76.为了进行适当协调，以下哪项业务连续性计划(BCP)测试需要尨机/应团队的相关成员的参与?A)桌面测试B)功能测试C)全面测试D)纸上检查答案:A解析:A.桌面测试的主要目的是进行适当协调，因为其涉及危机团队的所有成员或某些成员，而且更加关注于协作和交流问题而非技术流程细节。B.功能测试涉及各个地理位置的人员和资源的调配。这是一种更深入的功能测试，重点主要不是协调和沟通。C.全面测试涉及企业范围的参与及外部组织的全面加入。D.在给定的选项中，纸上测试所需的投入最少。其目标是保证计划保持最新和促使所有领域的关键人员都熟悉BCP。[单选题]77.在审计一个计划中要采用的新电脑系统时，信息系统审计师首先应该确定A)一个已经被管理层认可的业务模式。B)共同的安全标准将会遇到。C)用户将被涉及到执行计划中。D)一个新系统将遇到所有必须的用户功能。答案:A解析:信息系统审计师首先关说明建立符合业务需要的建议会，而且这应该通过一个清楚的业务案例来建立。虽然符合安全标准是必要的,如同在执行过程中,会议要符合用户的需要和有关部门要求，太早采购这些是程序是一个信息系统审计师首先要关心的。[单选题]78.制定一个成功的业务连续性计划，最终用户在下列那个阶段涉入是最关键的？A)业务恢复战略B)制定详细计划C)业务影响分析（BIA）D)测试和维护答案:C解析:最终用户在业务影响分析阶段涉入最关键。在这个阶段中，需要理解当前业务需求的现行运行方式和评估各种灾难对于业务的冲击。最终用户是提供信息最合适的人选。在这个步骤中最终用户参与不充足可能造成对业务优先级错误的理解，会影响BCP对机构真实需求的满足程度。[单选题]79.在应用程序审计期间，IS审计师发现数据库中存在很多因数据损坏而导致的问题，下列哪一个是信息系统审计人员应该推荐的纠正性控制？A)定义标准，并且严格实时监控其执行B)明确只有授权人能更新数据C)建立处理并发访问问题的控制D)进行恢复程序答案:D解析:进行恢复程序是一个纠正性控制。恢复程序可以恢复数据到最后的一个可用版本。建立标准是一个预防性控制，并且监控是一个检测性控制。确保有且只有一个授权用户可以更新数据库也是一个预防性控制。建立处理并发问题的控制也是预防性控制。[单选题]80.一位IS审计师发现会议室内有可使用的网络端口。最重要的是确保以下哪项：A)公司网络使用了入侵防御系统（IPS）B)这部分网络与公司网络进行了隔离C)公司网络中实施了单点登陆D)安装了防病毒软件来保护公司网络答案:B解析:如果能够在会议室访问公司网络，则未经授权的用户可能连接到公司网络；因此，应通过防火墙或从物理上隔离这两个网络。IPS可以检测到潜在攻击，但只在发生攻击后才检测到。单点登陆可简化身份认证管理。防病毒软件能够降低潜在病毒的影响，但未经授权的用户仍然可以对公司网络进行访问，这才是最大风险。[单选题]81.检查IT战略规划过程时，IS审计师应该确保这个规划：A)符合技术水平现状B)匹配所需的操作控制C)明晰IT的任务与远景目标D)详细说明项目管理实务答案:A解析:IT战略规划必须包括明晰IT的任务与远景目标。规划不需要写明技术、操作控制和项目管理实务。[单选题]82.使用剩余生物特征识别信息获取未授权访问权限是以下哪种攻击的示例?A)重放B)穷举C)密码D)模拟答案:A解析:A.剩余生物特征(如留在生物采集设备上的指纹)可能被攻击者重新用于获取未授权的访问权限。B.穷举攻击包括为生物特征识别采集设备提供大量不同的生物特征识别样本。C.密码攻击是对算法或加密数据进行的。D.在模拟攻击中，攻击者重新生成与登记用户特征相似的特征(如伪造签名或模仿声音)[单选题]83.当一个系统便用射频识别（RFID）时，信息系统审计师最应该关注以下哪一项内容？A)不可抵赖性B)隐私C)可维护性D)可扩展性答案:B解析:[单选题]84.下面哪一项会防止对存储在服务器日志中的信息进行未授权更改？A)对包含系统日志的目录进行写保护B)将重复的日志写入其他服务器C)每天打印系统日志D)在一次性写入媒介中存储系统日志答案:D解析:在一次性写入媒介中存储系统日志能够保证该日志不被修改。对系统日志进行写保护并不能防止删除或修改日志，因为超级用户或拥有特殊权限的用户能够取消写保护。将重复的日志写入其他服务器或每天打印系统日志不能防止未授权的更改。[单选题]85.如果要在新位置部署防火墙，以下哪项是确保成功部署的最重要因素?A)经常审查日志B)测试并验证规则C)在新位置培训本地管理员D)共享防火墙管理职责答案:B解析:A.日志文件的定期审查在完成部署之后オ开始。B.规则集错误可致使防火墙无效或不安全。因此，测试并验证规则是确保成功部署的最重要因素。C.如果通过集中管理防火墙，则不必培训本地管理员。D.拥有多个管理员虽然是一个好主意，但这并不是成功部署最重要的因素。[单选题]86.网络数据管理协议技术用于备份应满足下列哪个条件A)需要安装NAS。B)应避免使用TCP/IP协议C)不能由遗传备份系统执行的文件许可必须得到备份D)对跨多个数据卷进行备份的，必须确保备份的一致性答案:A解析:网络数据管理协议（NDMP）定义了3种服务，连接主存储设备的数据服务，连接次存储设备的磁带服务，将多路复用的多数据流与单一数据流进行互换的转换服务。网络数据管理协议的各种服务相互影响。如果一个会话被用于对备份和恢复操作进行控制，就是一个NDMP控制会话。如果一个会话被用于传输实际的文件系统和体数据（包括元数据），就是一个NDMP数据会话。控制会话通常基于TCP/IP协议，但数据流可以基于TCP/IP协议和SAN协议。NDMP或多或少是以NAS为中心的，定义了向诸如NAS服务器等难以安装备份软件的设备进行数据备份和恢复的途径。如果没有NDMP，这些数据只能像网络上的共享设备那样被保存，用户需要通过CIFS、NFS等协议访问这些数据，备份性能被削弱了。NDMP以数据包形式传输净数据（仅由需传输数据内容构成的数据包，区别于含有其他信息，如通讯信息、状态信息，的数据包），但元数据（一般指描述数据属性的数据）和原来文件系统的信息需要由遗传备份系统进行处理，这启动了NDMP数据移动。NDMP不知道也不关心相关卷（例如存放数据库文件的卷，存放应用服务器数据的卷，存放WEB服务器数据的卷）的一致性问题。NDMP可以应用在这种环境下，但逻辑需求必须或者放入到特定的软件，或者放入到遗传备份系统。[单选题]87.某IS审计师已发现有了某应用的新修补程序，但IT部门已决定不需要该修补程序，原因是落实了其他安全控制措施。该IS审计师应该建议以下哪个选项?A)在可以对其进行测试后，无论如何都要应用该修补程序。B)实施基于主机的入侵检测系统(IDS)。C)实施防火墙规则，以进一步保护应用服务器。D)评估整体风险，然后决定是否部署修补程序。答案:D解析:A.不首先进行风险评估而应用修补程序可能带来其他问题，因此不是最佳选择。B.实施基于主机的入侵检测系统(IDS)可能是有效的控制:但它可能无法解决应用中的漏洞。C.实施防火墙规则也许有助减小某个安全事故的风险:但首先需要确定与修补程序有关的风险。D.尽管确保系统适当安装修补程序很重要，但仍需执行风险评估，以确定利用漏洞的可能性和概率。因此，只有绕过现有安全控制的风险大到足以证明应用补丁程序的必要性时，才需要应用它[单选题]88.为了尽量降低软件项目的成本，质量管理技术的使用应该:A)尽量接近所编制的内容(即起始点)。B)主要用在项目启动阶段，确保项目按照组织治理标准建立C)持续贯穿项目的整个过程，并且主要通过测试将重点放在查找和修复缺陷上，从而尽量提高缺陷检出率D)主要用在项目结束阶段，以便将吸取到的经验教训用于日后的项目答案:C解析:A.质量保证(QA)应尽早开始，并持续贯穿整个开发流程B.只在项目开始期间执行QA不能检测出开发周期后期出现的问题。C.尽管软件开发项目的妥善建立非常重要，但还是应该在整个项目过程中有效地实施质量管理。大部分软件项目产生意想不到的成本的主要原因是返工。一般说来，开发生命周期中缺陷出现的越早，查找和修复该缺陷所花費的时间越长，纠正缺陷所需的努力也就越多。编写良好的质量管理计划仅仅是良好的开端，还必须将其积极地投入使用。单纯依靠测试来识别缺陷对于保证软件质量来说是一种相对昂贵而且低效的方法。例如，如果在测试阶段发现需求中存在错误，则做过的大量工作将付之东流。D.获取经验教训对于当前的项目来说太迟了。此外，在整个项目过程中应用质量管理技术，员工便能够对质量问题产生的原因得出自己的见解从而有利于他们的自身发展。[单选题]89.数字签名要求:A)签名者拥有公钥，接收者拥有私钥。B)签名者拥有私钥，接收者拥有C)签名者和接收者均拥有公钥。D)签名者和接收者均拥有私钥。答案:B解析:A.如果发送者用公钥对消息加密，则可提供到拥有私钥的接收者的保密传输。B.数字签名的目的是向接收者证实数据完整性和发送者身份。数字签名标准基于发送者用其私钥对消息摘要加密，接收者用公钥验证消息。C.非对称密钥加密都需要密钥对。因此用公钥加密的消息只能用私钥打开D.如果发送者和接收者拥有的都是私钥，则无法验证数字签名。[单选题]90.对于一个在线的销售系统，对其大量的数据库的最好的备份策略是什么？A)，每周完整备份与每日增量备份B