信息系統(tǒng)審計(jì)師練習(xí)題

信息系統(tǒng)審計(jì)師練習(xí)題（33分）1、單選題為推動(dòng)和規(guī)范我國信息安全等級保護(hù)工作，我國制定和發(fā)布了信息安全等級保護(hù)工作所需要的一系列標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以按照等級保護(hù)工作的工作階段大致分類、下面四個(gè)標(biāo)準(zhǔn)中，（）規(guī)定了等級保護(hù)定級階段的依據(jù)、對象、流程、方法及等級變更等內(nèi)容。【單選題】（1分）A.選項(xiàng)1GB/T20271-2006《信息系統(tǒng)通用安全技術(shù)要求》B.選項(xiàng)2GB/T22240-2008《信息系統(tǒng)安全保護(hù)等級定級指南》C.選項(xiàng)3GB/T25070-2010《信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求》D.選項(xiàng)4GB/T20269-2006《信息系統(tǒng)安全管理要求》正確答案:B2、單選題以下關(guān)于互聯(lián)網(wǎng)協(xié)議安全（InternetProtocolSecurity,IPsec）協(xié)議說法錯(cuò)誤的是【單選題】（1分）A.選項(xiàng)1在傳送模式中，保護(hù)的是IP負(fù)載B.選項(xiàng)2驗(yàn)證頭協(xié)議（AuthenticationHead,AH）和IP封裝安全載荷協(xié)議（EncapsulatingSecurityPayload,ESP）都能以傳輸模式和隧道模式工作C.選項(xiàng)3在隧道模式中，保護(hù)的是整個(gè)互聯(lián)網(wǎng)協(xié)議（InternetProtocol,IP）包，包括IP頭D.選項(xiàng)4IPsec僅能保證傳輸數(shù)據(jù)的可認(rèn)證性和保密性正確答案:D3、單選題為防范網(wǎng)絡(luò)欺詐確保交易安全，網(wǎng)銀系統(tǒng)首先要求用戶安全登錄，然后使用“密碼+ 短息認(rèn)證”模式進(jìn)行網(wǎng)上轉(zhuǎn)賬等交易，在此場景中用到下列哪些鑒別方法【單選題】（1分）A.選項(xiàng)1實(shí)體“所知”以及實(shí)體“所有”的鑒別方法B.選項(xiàng)2實(shí)體“所有”以及實(shí)體“特征”的鑒別方法C.選項(xiàng)3實(shí)體“所知”以及實(shí)體“特征”的鑒別方法D.選項(xiàng)4實(shí)體“所有”以及實(shí)體“行為”的鑒別方法正確答案:A4、單選題實(shí)體身份鑒別的方法多種多樣，且隨著技術(shù)的進(jìn)步，鑒別方法的強(qiáng)度不斷提高。常見的方法有指令鑒別、令牌鑒別、指紋鑒別等。如圖，小王作為合法用戶使用自己的賬戶進(jìn)行支付、轉(zhuǎn)賬等操作。這說法屬于下列選項(xiàng)中的（）【單選題】（1分）A.選項(xiàng)1實(shí)體所知的鑒別方法B.選項(xiàng)2實(shí)體所有的鑒別方法C.選項(xiàng)3實(shí)體特征的鑒別方法D.選項(xiàng)4實(shí)體所見的鑒別方法正確答案:C5、單選題下列哪一項(xiàng)不屬于審計(jì)工作底稿的復(fù)核事項(xiàng)【單選題】（1分）A.選項(xiàng)1具體審計(jì)目的是否實(shí)現(xiàn)B.選項(xiàng)2審計(jì)證據(jù)是否適當(dāng)、充分C.選項(xiàng)3得出的審計(jì)結(jié)論及其相關(guān)標(biāo)準(zhǔn)是否適當(dāng)D.選項(xiàng)4得出的審計(jì)建議是否適當(dāng)正確答案:D6、單選題下列哪個(gè)因素可能導(dǎo)致樣本量減小【單選題】（1分）A.選項(xiàng)1審計(jì)總體的量越大B.選項(xiàng)2可容忍誤差增大C.選項(xiàng)3抽樣風(fēng)險(xiǎn)越小D.選項(xiàng)4可靠程度增大正確答案:B7、單選題部署互聯(lián)網(wǎng)協(xié)議安全虛擬專用網(wǎng)（Internetprotocolsectocolsecurityvirtualprivatenetworkipsecvpn）時(shí)，以下說法正確的是【單選題】（1分）A.選項(xiàng)1配置MD5安全算法可以提供可靠的數(shù)據(jù)加密B.選項(xiàng)2配置AES算法可以提供可靠的數(shù)據(jù)完整性驗(yàn)證C.選項(xiàng)3部署IPsecVPN網(wǎng)絡(luò)時(shí)，需要考慮IP地址的規(guī)劃，盡量在分支節(jié)點(diǎn)使用可以聚合的IP地址段，來減少IPsec安全關(guān)聯(lián)（securityauthentication,SA）資源的消耗D.選項(xiàng)4報(bào)文驗(yàn)證頭協(xié)議（AuthenticationHeader,AH）可以提供數(shù)據(jù)機(jī)密性正確答案:C8、單選題對于交易量龐大的零售企業(yè)而言，以下哪項(xiàng)審計(jì)技術(shù)最適合主動(dòng)解決新出【單選題】（1分）A.選項(xiàng)1使用計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs）B.選項(xiàng)2控制自我評估C.選項(xiàng)3對交易日志抽樣D.選項(xiàng)4持續(xù)性審計(jì)正確答案:A9、單選題黑客無需使用計(jì)算機(jī)工具或程序就可以獲得密碼的技術(shù)是【單選題】（1分）A.選項(xiàng)1社會(huì)工程B.選項(xiàng)2嗅探器C.選項(xiàng)3后門D.選項(xiàng)4特洛伊木馬正確答案:A10、單選題審計(jì)人員在訪談某員工關(guān)于信息安全方針時(shí)，該員工不知道曾發(fā)布過信息安全方針，審計(jì)人員應(yīng)先如何判斷【單選題】（1分）A.選項(xiàng)1由于該員工自身原因，未能掌握信息安全方針B.選項(xiàng)2管理者未履行信息安全方針發(fā)布和傳達(dá)的職責(zé)C.選項(xiàng)3信息安全方針未形成文件D.選項(xiàng)4以上都不對正確答案:A11、單選題鑒于信息安全的重要性，很多組織也有針對性的開展了信息安全專項(xiàng)審計(jì)項(xiàng)目，提出了信息安全審計(jì)的概念。信息安全審計(jì)的提出主要基于哪些要求？【單選題】（1分）A.選項(xiàng)3用戶等相關(guān)方的期望B.選項(xiàng)4以上都不是正確答案:B12、單選題在審計(jì)信息安全工程項(xiàng)目時(shí)，下班給你呀小組且目前在定義需求，把建議的安全解決方案和安全需要相匹配，目前處于哪個(gè)階段？【單選題】（1分）A.選項(xiàng)1中長期規(guī)劃B.選項(xiàng)2項(xiàng)目立項(xiàng)C.選項(xiàng)3需求分析D.選項(xiàng)4設(shè)計(jì)正確答案:D13、單選題審計(jì)署在《信息系統(tǒng)審計(jì)指南》（審計(jì)署計(jì)算機(jī)實(shí)務(wù)公告第34號）中將信息系統(tǒng)審計(jì)定義為：“是指國家審計(jì)機(jī)關(guān)依法對被審計(jì)單位信息系統(tǒng)的哪幾個(gè)相關(guān)性進(jìn)行檢查監(jiān)督的活動(dòng)?！締芜x題】（1分）A.選項(xiàng)1真實(shí)性、合規(guī)性、保密性、安全性B.選項(xiàng)2真實(shí)性、合法性、效益性、安全性C.選項(xiàng)3有效性、合法性、完整性、可用性D.選項(xiàng)4有效性、合規(guī)性、完整性、真實(shí)性正確答案:B14、單選題在隔離區(qū)（DMZ）內(nèi)的服務(wù)器上提供FTP服務(wù)會(huì)引入以下哪項(xiàng)重大風(fēng)險(xiǎn)？【單選題】（1分）A.選項(xiàng)1內(nèi)部用戶可能給非授權(quán)用戶發(fā)送文件B.選項(xiàng)2FTP服務(wù)允許用戶從未經(jīng)授權(quán)的源下載文件C.選項(xiàng)3黑客可能通過FTP服務(wù)來突破防火墻D.選項(xiàng)4FTP服務(wù)會(huì)顯著的降低DMZ服務(wù)器的性能正確答案:C15、單選題規(guī)劃信息安全審計(jì)時(shí)，以下哪項(xiàng)是要執(zhí)行的最關(guān)鍵步驟？【單選題】（1分）A.選項(xiàng)1回顧之前審計(jì)的結(jié)果B.選項(xiàng)2規(guī)定計(jì)劃以執(zhí)行對數(shù)據(jù)中心設(shè)施的物理安全審查C.選項(xiàng)3審查信息安全安全政策和流程D.選項(xiàng)4執(zhí)行風(fēng)險(xiǎn)評估正確答案:D16、單選題在對數(shù)據(jù)庫進(jìn)行安全審計(jì)時(shí)，哪個(gè)被認(rèn)為是最嚴(yán)重的問題【單選題】（1分）A.選項(xiàng)1管理員賬號永不過期B.選項(xiàng)2未修改默認(rèn)的全局安全設(shè)置C.選項(xiàng)3舊數(shù)據(jù)未清除D.選項(xiàng)4數(shù)據(jù)庫活動(dòng)沒有被完整記錄正確答案:D17、單選題一名IS審計(jì)師正在審查某組織的軟件開發(fā)流程。下列哪項(xiàng)職能適合由最終用戶執(zhí)行？【單選題】（1分）A.選項(xiàng)1程序輸出測試B.選項(xiàng)2系統(tǒng)配置C.選項(xiàng)3程序邏輯說明D.選項(xiàng)4性能調(diào)整正確答案:A18、單選題一位信息安全審計(jì)師發(fā)現(xiàn)連接到網(wǎng)絡(luò)的設(shè)備并沒有包含在用于確定審計(jì)范圍的網(wǎng)絡(luò)圖中。首席信息官（CIO）解釋說該圖正在進(jìn)行更新并等待最終審批。該信息安全審計(jì)師應(yīng)首先【單選題】（1分）A.選項(xiàng)1擴(kuò)大信息安全審計(jì)范圍以包括網(wǎng)絡(luò)圖中沒有的設(shè)備B.選項(xiàng)2評估此未記錄設(shè)備對審計(jì)范圍的影響C.選項(xiàng)3將其記錄為控制缺陷，因?yàn)榫W(wǎng)絡(luò)圖尚未更新D.選項(xiàng)4針對未記錄的設(shè)備計(jì)劃后續(xù)的審計(jì)工作正確答案:B19、單選題下列哪一項(xiàng)不是信息安全審計(jì)提出的必要條件【單選題】（1分）A.選項(xiàng)1行業(yè)監(jiān)管部門的要求B.選項(xiàng)2企業(yè)自身內(nèi)控的需要C.選項(xiàng)3用戶等相關(guān)方的期望D.選項(xiàng)4降低信息安全風(fēng)險(xiǎn)正確答案:D20、單選題下列哪項(xiàng)內(nèi)容可以不在項(xiàng)目審計(jì)計(jì)劃中體現(xiàn)【單選題】（1分）A.選項(xiàng)1審計(jì)組構(gòu)成B.選項(xiàng)2審計(jì)階段，活動(dòng)和審計(jì)時(shí)間的分配C.選項(xiàng)3具體審計(jì)方法和程序D.選項(xiàng)4審計(jì)小組工作內(nèi)容以及需要被審計(jì)單位的配合內(nèi)容正確答案:C21、單選題實(shí)體身份鑒別一般依據(jù)以下三種基本情況或這三種情況的組合，實(shí)體所知的方法、實(shí)體所有的鑒別方法和基于實(shí)體特征的鑒別方法。下列選項(xiàng)中屬于基本實(shí)體特征鑒別方法的是（）【單選題】（1分）A.選項(xiàng)1將登陸口令設(shè)置為出生日期B.選項(xiàng)2通過詢問和核對用戶的個(gè)人隱私信息來鑒別C.選項(xiàng)3使用系統(tǒng)定制的、在本系統(tǒng)專用的IC卡進(jìn)行鑒別D.選項(xiàng)4通過掃墻和識別用戶的臉部信息來鑒別正確答案:D22、單選題信息系統(tǒng)內(nèi)部控制越弱，則【單選題】（1分）A.選項(xiàng)1信息系統(tǒng)出現(xiàn)差錯(cuò)的概率越小B.選項(xiàng)2應(yīng)相應(yīng)增加實(shí)質(zhì)性測試的范圍和程度C.選項(xiàng)3應(yīng)相應(yīng)減少實(shí)質(zhì)性測試的范圍和程度D.選項(xiàng)4以上都不對正確答案:B23、單選題執(zhí)行計(jì)算機(jī)取證調(diào)查時(shí)，對于收集到的證據(jù)，IS審計(jì)師最應(yīng)關(guān)注【單選題】（1分）A.選項(xiàng)1證據(jù)的分析B.選項(xiàng)2證據(jù)的評估C.選項(xiàng)3證據(jù)的保存D.選項(xiàng)4證據(jù)的泄露正確答案:C24、單選題在IT開發(fā)項(xiàng)目中使用的業(yè)務(wù)案例文檔應(yīng)該保留到什么時(shí)候？【單選題】（1分）A.選項(xiàng)1系統(tǒng)生米周期結(jié)束B.選項(xiàng)2項(xiàng)目通過審批C.選項(xiàng)3用戶驗(yàn)收系統(tǒng)D.選項(xiàng)4系統(tǒng)投入生產(chǎn)正確答案:A25、單選題PKI的主要理論基礎(chǔ)是（）【單選題】（1分）A.選項(xiàng)1對稱密碼算法B.選項(xiàng)2公鑰密碼算法C.選項(xiàng)3量子密碼D.選項(xiàng)4摘要算法正確答案:B26、單選題風(fēng)險(xiǎn)評估是指：【單選題】（1分）A.選項(xiàng)1系統(tǒng)地使用信息來是識別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)B.選項(xiàng)2將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程C.選項(xiàng)3指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)D.選項(xiàng)4以上都不對正確答案:B27、單選題進(jìn)行合規(guī)性測試時(shí)，以下哪種抽樣方法最有用（）【單選題】（1分）A.選項(xiàng)1屬性抽樣B.選項(xiàng)2變理抽樣C.選項(xiàng)3分層單位均值抽樣D.選項(xiàng)4差異估計(jì)抽樣正確答案:A28、單選題關(guān)于秘鑰管理，下列說法錯(cuò)誤的是：【單選題】（1分）A.選項(xiàng)1科克霍夫原則指出算法的安全性不應(yīng)基于算法的保密，而應(yīng)基于秘鑰的安全性B.選項(xiàng)2保密通信過程中，通信方使用之前用過的會(huì)話秘鑰建立會(huì)話，不影響通信安全C.選項(xiàng)3秘鑰管理需要考慮秘鑰產(chǎn)生、存儲(chǔ)、備份、分配、更新、撤銷等生命周期過程的每一個(gè)環(huán)節(jié)D.選項(xiàng)4在網(wǎng)絡(luò)通信中，通信雙方可利用Diffie-Hellman協(xié)議協(xié)商出會(huì)話秘鑰正確答案:B29、單選題（終端實(shí)體）—（）—（認(rèn)證權(quán)威機(jī)構(gòu)CA）【單選題】（1分）A.選項(xiàng)1認(rèn)證書B.選項(xiàng)2RAC.選項(xiàng)3OCSPD.選項(xiàng)4CRL庫正確答案:B30、單選題自主訪問控制模型（DAC）的訪問控制關(guān)系可以用訪問控制（ACL）來表示，該客體上附加一個(gè)主體明細(xì)表的方法來表示訪問控制矩陣，通常使用由客體指向儲(chǔ)存相關(guān)數(shù)據(jù)，下面選項(xiàng)中說法正確的是（）【單選題】（1分）A.選項(xiàng)1ACL是Bell-LaPadula模型的一種具體實(shí)現(xiàn)B.選項(xiàng)2ACL再刪除用戶時(shí)，去除該用戶所有的訪問權(quán)限比較方便C.選項(xiàng)3ACL對于統(tǒng)計(jì)某個(gè)主體能訪問哪些客體比較方便D.選項(xiàng)4ACL在增加客體時(shí)，增加相關(guān)的訪問控制權(quán)限比較簡單正確答案:D31、單選題Kerberos協(xié)議是一種集中訪問控制協(xié)議，他能在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，為用戶提供安全的單位點(diǎn)登陸服務(wù)。單位點(diǎn)登陸是指用戶在網(wǎng)絡(luò)登陸中進(jìn)行一次身份驗(yàn)證，便可以訪問授權(quán)的所有網(wǎng)絡(luò)資源。而不在需要其他的認(rèn)證過程，實(shí)質(zhì)是消息M在多個(gè)應(yīng)用系統(tǒng)之間傳遞或共享，其中消息M是指以下選項(xiàng)中的（）【單選題】（1分）A.選項(xiàng)1安全憑證B.選項(xiàng)2用戶名C.選項(xiàng)3