CISA考試練習(習題卷5)

試卷科目：CISA考試練習CISA考試練習(習題卷5)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習第1部分：單項選擇題，共100題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.當審查災難恢復計劃時，信息系統(tǒng)審計師應檢查:A)備份人員對計算機地點的訪問B)異地數(shù)據(jù)文件存儲C)不間斷電源UPSD)滅火設(shè)備答案:B解析:[單選題]2.以下哪一項最能表明執(zhí)行強制的年度安全意識培訓的有效性？A)社會工程測試結(jié)果趨勢B)第三方滲透測試結(jié)果C)安全事故的數(shù)量D)由隨機選取的員工完成的調(diào)查答案:A解析:[單選題]3.下列哪項可以防止對服務(wù)器日志信息的未授權(quán)變更？A)系統(tǒng)日志目錄的寫保護B)將日志副本存放到另外一臺服務(wù)器C)每天打印系統(tǒng)日志D)系統(tǒng)日志存放到一次性寫入介質(zhì)答案:A解析:在一次性寫入存儲介質(zhì)中存儲系統(tǒng)日志可以保證日志不被修改。系統(tǒng)日志的寫保護不能確保日志不被刪除或修改，因為超級用戶或者經(jīng)特別授權(quán)用戶可以越過寫保護。將日志的副本存放到另一臺服務(wù)器或者每天打印系統(tǒng)日志不能阻止非授權(quán)變更。[單選題]4.在災難恢復情況下，以下哪項是確保數(shù)據(jù)在關(guān)鍵系統(tǒng)之間同步的最重要指標?A)恢復點目標(RPO)B)恢復時間目標(RTO)C)恢復服務(wù)的能力D)恢復服務(wù)的可擴展性答案:A解析:A.在確保相關(guān)數(shù)據(jù)在系統(tǒng)之間適當同步方面，制定通用的恢復點目標(RPO)最為關(guān)鍵。它可以確保系統(tǒng)中不會包含來自不同時間點的數(shù)據(jù)，否則可能會導致會計交易無法對賬或參照完整性受損。B.恢復時間目標(RTO)對于確保數(shù)據(jù)同步不是非常重要，因為它們通常會因恢復系統(tǒng)所需的工作量和資源而有所變化。C.恢復服務(wù)的能力用于衡量對數(shù)據(jù)異常的容錯能力以及在發(fā)生內(nèi)部故障后重新啟動并從故障恢復的能力。D.恢復服務(wù)的可擴展性指的是恢復解決方案可能具有的與原始系統(tǒng)配置有關(guān)的容量約束和限制。[單選題]5.以下哪項控制能夠最有效的檢測入侵？A)通過授權(quán)的程序來授予用戶ID和用戶權(quán)限B)工作站在特定時間段內(nèi)不活動會自動注銷C)在失敗嘗試達到指定次數(shù)后，系統(tǒng)自動注銷。D)由安全管理員監(jiān)視未成功的登錄嘗試。答案:D解析:通過主動監(jiān)視和審查未成功登陸來檢測入侵。用戶ID和用戶權(quán)限的授予所定義的是政策，而不是控制。自動注銷是防止訪問不活動終端的方法，而不是檢測性控制。未成功登陸嘗試是防止入侵的方法，而不能檢測入侵。[單選題]6.以下哪項是確保業(yè)務(wù)連續(xù)性計劃(BCP)保持最新的最佳方法?A)集團逐一研究計劃自始至終的不同情景。B)小組確保特定系統(tǒng)可在備用的異地設(shè)施中真正充分地發(fā)揮作用。C)小組了解完全中斷測試程序。D)提倡部門間的溝通，以便更好地對災難作出響應。答案:A解析:A.結(jié)構(gòu)化穿行測試匯集了來自各個部門的代表，他們將審查計劃并識別弱點。B.小組確保特定系統(tǒng)可以在備用異地設(shè)施中實際充分發(fā)揮作用的能力是一種并行測試這種測試不涉及小組會議。C.小組對于完全中斷測試程序的認識是對常規(guī)運營和業(yè)務(wù)干擾程度最大的測試。D.雖然加強溝通很重要，但最好的辦法是確保計劃是最新的。[單選題]7.為加強項目工期約束，計劃增添人手，以下哪項需要首先被重新核定：A)項目預算B)項目的關(guān)鍵路徑C)剩余任務(wù)量D)調(diào)配到其他項目的人員情況答案:B解析:由于增加資源可能會改變項目的關(guān)鍵路徑，必須重新評估項目實施關(guān)鍵路徑以確保額外增加的資源能縮短工期。鑒于有可能不是在關(guān)鍵路徑上的其他一些任務(wù)，給其他任務(wù)增添人員，項目預算，工期可能不受影響（某任務(wù)增添人手，可能引起關(guān)鍵路徑的變化）。點評：項目期限估算技術(shù)--CPM[單選題]8.IS審計師在審查系統(tǒng)參數(shù)時，應該主要考慮A)參數(shù)設(shè)置滿足安全性和性能要求。B)變更已記錄到審計軌跡中并定期進行了審查。C)變更經(jīng)過授權(quán)，并得到了相應文檔的支持D)限制對系統(tǒng)參數(shù)的訪問。答案:A解析:A.主要考慮的問題是在安全性與性能之間找到平衡點。將變更記錄到審計軌跡中并定期對其進行審查，這屬于檢測性控制;但是，如果參數(shù)設(shè)置不符合業(yè)務(wù)規(guī)則，對變更進行監(jiān)測可能也不是有效的控制措施B.對變更進行審查以確保其得到相應文檔的支持，這也是一種檢測性控制。C.如果參數(shù)設(shè)置不正確，即使有相關(guān)的文檔并且對變更進行了授權(quán)，也不會降低影響D.通過限制對參數(shù)訪問，可以確保只有授權(quán)人員能夠訪問參數(shù):但是，如果參數(shù)設(shè)置不正確限制訪問也會產(chǎn)生不利影響。[單選題]9.在實施IT平衡記分卡時，組織必須:A)提供有效且高效率的服務(wù)。B)定義關(guān)鍵績效指標C)為IT項目提供業(yè)務(wù)價值。D)控制IT開支。答案:B解析:實施IT平衡記分卡前必須定義關(guān)鍵績效指標。A、,C、,D、都是實施IT平衡記分卡的目的。[單選題]10.以下哪項是最可靠的發(fā)送者身份認證方法A)數(shù)字簽名B)非對稱加密C)數(shù)字認證D)消息驗證代碼答案:C解析:數(shù)字認證由可信的第三方頒發(fā)。消息發(fā)送者附加認證，接收者可通過認證庫來驗證其真實性。非對稱加密（如公鑰基礎(chǔ)設(shè)施（PKI）看起來可用于驗證發(fā)送者，但容易受到中間人攻擊。數(shù)字簽名用于身份認證和機密性，但發(fā)送者的身份仍通過數(shù)字認證來確認。消息驗證代碼用于消息完整性驗證。[單選題]11.由于IT的變化，一個大型組織的災難恢復計劃已改變。如果沒有測試新計劃，其中主要的風險是什么？A)災難性服務(wù)中斷B)資源的高消耗C)恢復總成本無法最小化D)當計劃啟動的時候，用戶和恢復小組可能面臨嚴重的困難答案:A解析:選擇B.C和D是所有可能出現(xiàn)的問題，并會造成困難和資源損失會資源浪費，但是，如果新的災難恢復計劃沒有經(jīng)過測試，發(fā)生災難性的服務(wù)中斷是最大的風險。[單選題]12.網(wǎng)絡(luò)管理員最不應該與下列哪個角色共享責任？A)質(zhì)量保障。B)系統(tǒng)管理員。C)應用程序員。D)系統(tǒng)分析員。答案:C解析:生產(chǎn)環(huán)境和開發(fā)環(huán)境角色不應該共享，網(wǎng)絡(luò)管理員可以在系統(tǒng)設(shè)計初期提供信息，可能擁有最終用戶責任，幫助系統(tǒng)管理。[單選題]13.在具有參照完整性的關(guān)系數(shù)據(jù)庫中，如果客戶表中某行的客戶編號與訂單表上的有效訂單存儲在一起則以下哪種鍵可防止從客戶表中刪除該行?A)外鍵B)主鍵C)次鍵D)公鑰答案:B解析:A.在具有參照完整性的關(guān)系數(shù)據(jù)庫中，使用外鍵可阻止主鍵更改和記錄刪除等此類會導致數(shù)據(jù)庫中出現(xiàn)孤立關(guān)系的事件的發(fā)生。B.如果客戶表中某行的客戶編號(主鍵)與訂單表上的有效訂單(客戶表的外鍵)存儲在一起，則應該無法除客戶表內(nèi)的這行數(shù)據(jù)。一個主鍵只在一個表中起作用，因此其本身無法提供確保參照完整性。C.不是外鍵的次鍵不受參照完整性檢查的影響。D.公鑰與加密有關(guān)，與參照完整性沒有任何聯(lián)系。[單選題]14.以下哪種方式最能保證電子郵件消息的真實性和機密性：A)使用發(fā)送者私鑰簽署消息，使用接收者公鑰加密消息B)使用發(fā)送者公鑰簽署消息，使用接收者私鑰加密消息C)使用接收者私鑰簽署消息，使用發(fā)送者公鑰加密消息D)使用接收者公鑰簽署消息，使用發(fā)送者私鑰加密消息答案:A解析:通過使用發(fā)送者私鑰來簽署消息，接收者可使用發(fā)送者公鑰來驗證其真實性。通過使用接收者公鑰來加密消息，只有接收者可以使用自己的私鑰來解密消息。接收者私鑰是保密的，因此，發(fā)送者并不知道。使用發(fā)送者私鑰加密的消息可以被任何人使用發(fā)送者公鑰來讀取。[單選題]15.下面哪項對確保應用控制持續(xù)有效是最重要的？A)異常報告B)管理層參與C)控制自我評估（CSA）D)同行審查答案:C解析:控制自我評估是通過一個正式的、經(jīng)過記錄的協(xié)作流程來審查企業(yè)的業(yè)務(wù)目標和內(nèi)部控制情況，包括對自動化的應用控制設(shè)計的測試。異常報告只關(guān)注那些沒有實現(xiàn)的事件。管理層參與很重要，但是與控制自我評估相比，不是一致的或定義完善的過程。同時審查缺乏審計專家和管理層的直接參與。點評：CSA能提供?持續(xù)?的控制檢測[單選題]16.當使用公鑰加密來保護在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)時：A)用于加密和解密數(shù)據(jù)的兩個密鑰均為公鑰。B)用于加密數(shù)據(jù)的密鑰為私鑰，但用于解密數(shù)據(jù)的密鑰為公鑰。C)用于加密數(shù)據(jù)的密鑰為公鑰，但用于解密數(shù)據(jù)的密鑰為私鑰。D)用于加密和解密數(shù)據(jù)的兩個密鑰均為私鑰。答案:C解析:公鑰加密（也稱為非對稱密鑰加密）使用公鑰來加密信息，而使用私鑰進行解密。[單選題]17.下列哪些因素是最合理的需要增加額外的信息安全責任分配給用戶？A)由最終用戶分發(fā)的更大量的數(shù)據(jù)B)業(yè)務(wù)流程更加依賴于IT流程C)近年來安全技術(shù)取得了很大進展D)IT組織中一般有一個精干的工作人員答案:A解析:由最終用戶以較少的創(chuàng)建和參與的數(shù)據(jù)分布在中央的IT組織是一個最相關(guān)的因素，要求用戶必須更負責人和通知有關(guān)安全問題。雖然業(yè)務(wù)流程更加依賴于IT流程，使IT流程更重要，這并不影響治理和最終用戶的擴散。對安全技術(shù)的進步以使某些安全責任分配到終端用戶，如用戶的自主服務(wù)密碼重置系統(tǒng)。但這些技術(shù)并沒有明確改變IT安全最終用戶的角色，一般IT人員的限制已經(jīng)由于技術(shù)的完善得于補充，所以這不是正確答案。點評：閱讀理解題[單選題]18.功能性是與整個軟件產(chǎn)品生命周期內(nèi)的質(zhì)量評估相關(guān)的特性，將其描述為與以下哪項有關(guān)的一組屬性最為恰當?A)存在一系列功能及其特定屬性。B)軟件從一個環(huán)境遷移到另一個環(huán)境的能力。C)軟件在規(guī)定條件下維持其性能水平的能力。D)軟件性能與所用資源量之間的關(guān)系。答案:A解析:A.功能性是與一系列功能及其指定屬性是否存在有關(guān)的一組屬性。系統(tǒng)的功能性代表了系統(tǒng)在實現(xiàn)其目標(例如支持一項業(yè)務(wù)需求)過程中的任務(wù)、操作和目的。B.軟件從一個環(huán)境遷移到另一個環(huán)境的能力指的是移植性。C.軟件在規(guī)定條件下維持其性能水平的能力指的是可靠性。D.軟件性能與所用資源量之間的關(guān)系指的是效率。[單選題]19.在Web服務(wù)器上使用通用網(wǎng)關(guān)接口（CGI)的最常見方法是什么？A)把數(shù)據(jù)傳送到應用程序并返回到用戶的一致方法B)用于電影和TV的計算機圖形圖像法C)用于Web設(shè)計的圖形用戶界面D)訪問專用網(wǎng)關(guān)域的接口答案:A解析:CGI是針對Web服務(wù)器的一種標準方法，Web服務(wù)器使用該方法將用戶請求傳遞到應用程序并反復將數(shù)據(jù)傳遞到用戶。當用戶請求網(wǎng)頁時（例如，淡季突出顯示的詞或輸入網(wǎng)站地址），服務(wù)器發(fā)回所請求的頁面。但是，當用戶填寫網(wǎng)頁上的表格并提交時，通常需要應用程序?qū)ζ溥M行處理。Web服務(wù)器通常將表格信息傳送到小型應用程序，此應用程序?qū)?shù)據(jù)進行處理并且可以發(fā)回確認信息。這種在服務(wù)器和應用程序之間來回傳送數(shù)據(jù)的方法或約定稱為CGI。CGI是Web的超文本傳輸協(xié)議（HTTP）的一部分。[單選題]20.拒絕服務(wù)攻擊損害了下列哪一種信息安全的特性?A)完整性B)可用性C)機密性D)可靠性答案:B解析:[單選題]21.審查組織中的變更管理措施時，以下那個選項是IS審計師最應關(guān)注的A)計劃外變更通常在事后獲得批準B)在最近的一次系統(tǒng)升級中，加急變更數(shù)量翻倍C)高層管理人員不在時，IT經(jīng)理可以批準變更D)變更可以得到正確記錄，但并不總能應用到災難恢復站點的全部系統(tǒng)上答案:D解析:對IT系統(tǒng)作出變更時，需要將這些相同的變更應用到災難恢復站點的所有相關(guān)系統(tǒng)上，否則在發(fā)生真正災難時會出現(xiàn)重大問題，因此。如果該流程不完整則將成為非常令人擔憂的事項。發(fā)生緊急狀況或出現(xiàn)計劃外變更的情況下，不可能總在問題更正前獲得管理人員的批準，因此，批準可在事發(fā)后進行記錄，因為任何重要升級中都可能出現(xiàn)問題，所以緊急變更的數(shù)量可能會更高。只要這些變更都得到了正確的測試，記錄和審批，就不會構(gòu)成問題。只要變更不會導致出現(xiàn)職責分離的問題，獲得高層管理人員委派的審批授權(quán)就不會有問題。[單選題]22.為保護語音IP(VoIP)基礎(chǔ)設(shè)施免受拒絕服務(wù)(DoS)攻擊，最重要的是保護:A)訪問控制服務(wù)器。B)會話邊界控制器。C)主干網(wǎng)關(guān)。D)入侵檢測系統(tǒng)(IDS)答案:B解析:A.保護訪問控制服務(wù)器可防止帳戶更改或鎖定，但不是針對拒絕服務(wù)(DoS)攻擊的主要保護方式B.會話邊界控制器提高訪問網(wǎng)縫和核心部分的安全性。在訪問網(wǎng)絡(luò)中，該控制器隱藏用戶的真實地址，井提供一個受管理的公共地址?？梢詫Υ斯驳刂愤M行監(jiān)控，從而最大限度地減少掃描和DoS攻擊的機會。會話邊界控制器在維護防火墻效能時，允許對防火墻內(nèi)的客戶端進行訪問。在核心部分中，會話邊界控制器保護用戶和網(wǎng)絡(luò)。該控制器隱藏網(wǎng)絡(luò)拓撲和用戶的真實地址，也可以監(jiān)控帶寬和服務(wù)質(zhì)量。C.主網(wǎng)關(guān)是隔離的，黑客不能直接訪問，所以不是DoS攻擊的目標D.入侵檢測系統(tǒng)(IDS)會監(jiān)控流量，但不能提供針對DoS攻擊的保護。[單選題]23.以下哪項最關(guān)鍵最有助于數(shù)據(jù)倉庫的數(shù)據(jù)質(zhì)量？A)源數(shù)據(jù)的準確性B)數(shù)據(jù)源的可信性C)抽取數(shù)據(jù)的準確性D)數(shù)據(jù)轉(zhuǎn)換的準確性答案:A解析:源數(shù)據(jù)的準確性是數(shù)據(jù)倉庫中的數(shù)據(jù)質(zhì)量的首要條件。B,C,D也是重要的，但不會改變不準確數(shù)據(jù)的質(zhì)量。點評：數(shù)據(jù)倉庫的數(shù)據(jù)質(zhì)量取決于源數(shù)據(jù)的質(zhì)量[單選題]24.下列哪個保險是由于雇員的欺詐行為所引起的損失？A)業(yè)務(wù)中斷B)忠誠度保證C)錯誤和遺漏D)額外開支答案:B解析:忠誠度保證損失是由雇員不誠實或欺詐行為所引起的。業(yè)務(wù)中斷保險承擔利潤的損失，在一個組織的業(yè)務(wù)運作。錯誤和遺漏保險在事件中為有法律責任的專業(yè)人員的行為引起的客戶損失提供保障。額外費用保險的目的是持續(xù)經(jīng)營業(yè)務(wù)以涵蓋以下災難/組織內(nèi)部中斷的額外費用。[單選題]25.內(nèi)部審計部門編寫了一些腳本，用于對某些信息系統(tǒng)(IS)的持續(xù)審計。IT部門要求獲得腳本副本，以用來在關(guān)鍵系統(tǒng)上設(shè)立連續(xù)監(jiān)控流程。與IT部門分享這些腳本是否會影響IS審計師獨立、客觀地審計IT部門的能力?A)不允許分享腳本，因為這會使IT部門能夠?qū)ο到y(tǒng)進行預審計并避開精確、全面的審計。B)需要分享腳本，因為IT部門必須能夠?qū)徍嗽贗S系統(tǒng)上運行的所有程序和軟件，無論是否削弱審計獨立性。C)只要IT部門認識到審計還可能在腳本覆蓋范圍以外進行，便可以允許分享腳本。D)不允許分享腳本，因為這意味著編寫腳本的IS審計師將不被允許計任何使用該腳本進行監(jiān)控的系統(tǒng)。答案:C解析:A.IT部門持續(xù)地監(jiān)控和處理信息技術(shù)系統(tǒng)問題的能力不會影響IS審計進行全面審計的能力。B.可能為了質(zhì)量保證和配置管理而在政策上需要腳本，但是這不會損害審計的能力。C.IS審計仍然可以審核系統(tǒng)的所有方面。他們可能不能審核腳本本身的有效性，但仍然能夠?qū)ο到y(tǒng)進行審計。D.IS審計師涵蓋的范圍不止是腳本中覆蓋的控制。[單選題]26.安全管理流程需要對以下哪項具有只讀訪問權(quán)限:A)訪問控制表。B)安全日志文件。C)日志選項。D)用戶配置文件。答案:B解析:A.安全管理流程需要具有訪問控制表的寫入訪問權(quán)限，以便根據(jù)授權(quán)的業(yè)務(wù)要求來管理并更新權(quán)限。B.安全管理流程需要具有安全日志文件的只讀訪問權(quán)限，以確保這些日志在生成后不會被修改。日志可提供證據(jù)并跟蹤可疑的交易和活動。C.還需要具有日志選項的寫入訪問權(quán)限，以便管理員可以對交易和用戶活動進行監(jiān)控、獲取、存儲、處理和報告的方式進行更新。D.安全管理員一般負責面向用戶的問題，例如管理用戶角色、配置文件和設(shè)置。這要求管理員擁有只讀訪問以上的權(quán)限。[單選題]27.組織應在軟件應用程序測試的哪個階段執(zhí)行架構(gòu)設(shè)計的測試?A)驗收測試B)系統(tǒng)測試C)集成測試D)單元測試答案:C解析:A.驗收測試在系統(tǒng)人員完成初始系統(tǒng)測試后執(zhí)行，用于確定解決方案是否滿足業(yè)務(wù)需求。此測試包括質(zhì)量保證測試(QA)和用戶驗收測試(UAT)，但二者并不合并進行。B.系統(tǒng)測試與測試團隊或系統(tǒng)維護人員執(zhí)行的一系列測試相關(guān)，用于確保修改后的程序與其他組件正確交互。系統(tǒng)測試將參考系統(tǒng)的功能要求。C.集成測試用于評估將信息從一個區(qū)域傳遞到另一個區(qū)域的兩個或多個組件的連接情況。其目標是利用單元測試過的模塊，根據(jù)設(shè)計構(gòu)建集成結(jié)構(gòu)。D.單元測試參考系統(tǒng)的詳細設(shè)計，并使用一系列側(cè)重于程序設(shè)計控制結(jié)構(gòu)的案例來確保程序的內(nèi)部操作按照規(guī)范執(zhí)行。[單選題]28.以下哪一項是IS審計師報告結(jié)果的主要要求?報告:A)根據(jù)預先定義和標準的模板進行擬定。B)有充分和適當?shù)膶徲嬜C據(jù)作支撐。C)全面涵蓋企業(yè)流程。D)由審計管理層負責審查和批準。答案:B解析:A.根據(jù)預先定義和標準的模板擬定IS審計報告也許有助于確保按統(tǒng)一結(jié)構(gòu)提供所有關(guān)鍵方面，但這并不能表明審計結(jié)果依據(jù)可以應要求加以證明的證據(jù)。B.ISACAIS審計標準要求，報告應當有充分和適當?shù)膶徲嬜C據(jù)作支撐，這樣才能表明應用了最低的執(zhí)行標準，并且可以應要求驗證審計結(jié)果和建議。C.IS審計的范圍和覆蓋面由風險評估流程定義，因此并不一定全面涵蓋企業(yè)的流程。D.盡管從操作角度來說，審計報告應當交由審計管理層審查和批準，但更關(guān)鍵的考慮因素是，所有結(jié)論都要有充分和適當?shù)膶徲嬜C據(jù)作支撐[單選題]29.IS管理人員告訴IS審計師，組織最近達到了軟件能力成熟度模型的最高水平，那么最近組織增加的軟件質(zhì)量流程是：A)持續(xù)改進B)量化的質(zhì)量目標C)文檔化流程D)為某一特殊項目定制的流程答案:A解析:組織達到軟件CMM最高級別五級，最優(yōu)化。量化的質(zhì)量目標只能達到四級以下；文檔化流程在三級和更低級執(zhí)行：為某一特殊項目定制的流程只能達到二級或更低級。需要做到持續(xù)優(yōu)化，以便達到糾正措施或預防措施。點評：CMM五個級別的概念[單選題]30.下列哪項作為誘餌來檢測互聯(lián)網(wǎng)主動攻擊？A)．蜜罐（Honeypots）B)．防火墻（FirewA、lls）C)．陷阱門（TrA、pD、oors）D)．流量分析（TrAffiCAnAlysis）答案:A解析:蜜罐是計算機系統(tǒng)專門用來針對攻擊和企圖滲透他人電腦系統(tǒng)的陷阱（trA、pinD、iviD、uA、ls）的應用程序。蜜罐的概念就是學習入侵者的行為。一個設(shè)計和配置合理的蜜罐提供用來攻擊系統(tǒng)數(shù)據(jù)。然后數(shù)據(jù)被用來改善抑制將來攻擊的措施。陷阱門制造了一個漏洞，給未經(jīng)授權(quán)的代碼插入系統(tǒng)提供了機會。流量分析是一種被動攻擊。[單選題]31.在審查一個基于web的軟件開發(fā)項目的過程中，信息系統(tǒng)審計師意識到編程代碼標準不是強制性的，并且代碼的審查也很少執(zhí)行。這將會最可能增加下列哪個選項發(fā)生的可能性：A)緩沖區(qū)溢出B)暴力破解攻擊C)分布式拒絕服務(wù)攻擊D)戰(zhàn)爭撥號攻擊答案:A解析:基于Web的應用程序代碼，黑客通常是利用緩沖區(qū)溢出技術(shù)，因為緩沖區(qū)溢出是一種非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應用軟件中廣泛存在。利用緩沖區(qū)溢出攻擊，可以導致程序運行失敗、系統(tǒng)宕機、重新啟動等后果。更為嚴重的是，可以利用它執(zhí)行非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)，進而進行各種非法操作。暴力攻擊是用來破解密碼。分布式拒絕服務(wù)攻擊只是采用很多臺計算機作為向目標發(fā)送信息的攻擊源頭，從而使被攻擊者更加難以防范。戰(zhàn)爭撥號攻擊使用掃描工具來破解PBX。點評：沒有做代碼審查，容易產(chǎn)生編程的漏洞，如sql注入、緩沖溢出、跨站腳本等[單選題]32.規(guī)劃IS審計時，以下哪項是最關(guān)鍵的步驟?A)回顧之前審計的結(jié)果。B)執(zhí)行管理層批準審計計劃C)車查信息安全政策和程序。D)實施風險評估。答案:D解析:A.審計師可以對之前審計的結(jié)果有興趣，但這不是最關(guān)鍵的步驟。最關(guān)鍵的步驟涉及發(fā)現(xiàn)當前問題或風險最高的領(lǐng)域，而不是回顧以往問題的解決方法。對歷史審計結(jié)果進行回顧可能暴露出管理層不解決問題，或建議無效。B.執(zhí)行管理部門不必批準審計計劃。它通常由審計委員會或董事會批準。管理層可以建議需要審計的領(lǐng)域。C.審查信息安全政策和程序一般是在現(xiàn)場工作期間，而不是在規(guī)劃中進行。D.上述所有步驟中，實施風險評估最為關(guān)鍵。ISACAIS審計和鑒證標準1202(規(guī)劃中的風險評估)，主張1202.2中要求進行風險評估:?在規(guī)劃審計約定時，IS審計和鑒證專業(yè)人員應識別和評估與審查領(lǐng)域相關(guān)的風險[單選題]33.以下哪項功能由虛擬專用網(wǎng)絡(luò)（VPN）執(zhí)行A)向網(wǎng)絡(luò)中的探嗅器隱藏信息B)實施安全政策C)檢測濫用或錯誤D)控制訪問答案:A解析:VPN通過加密想網(wǎng)絡(luò)的嗅探器隱藏信息。其基于隧道工作。VPN不分析信息包，因此無法執(zhí)行安全政策。也不檢查數(shù)據(jù)包的內(nèi)容，因此無法檢測濫用或錯誤。VPN也不執(zhí)行身份認證功能，因此無法控制訪問。[單選題]34.將業(yè)務(wù)持續(xù)性計劃集成到IT項目可以為哪一項提供幫助:A)業(yè)務(wù)持續(xù)性需求的改進B)更全面需求的開發(fā)C)交易流程圖的開發(fā)D)確保應用系統(tǒng)滿足用戶需求答案:A解析:將業(yè)務(wù)持續(xù)性計劃集成到開發(fā)流程確保了項目的每個階段對需求的完全覆蓋。當B、C、P沒有被集成到開發(fā)方法論時業(yè)務(wù)持續(xù)性計劃需求的改進才會發(fā)生。交易流程圖為分析應用控制提供幫助。業(yè)務(wù)持續(xù)性計劃不會直接說明細化的用戶處理需求。[單選題]35.作為業(yè)務(wù)繼續(xù)計劃流程中的一部分，在業(yè)務(wù)影響分析中下面哪個選項應該最先確認？A)組織的風險，像單點失敗或設(shè)備風險B)重要業(yè)務(wù)流程的威脅C)根據(jù)恢復優(yōu)先級設(shè)定的重要業(yè)務(wù)流程D)重建業(yè)務(wù)的所需的資源答案:C解析:對于關(guān)鍵業(yè)務(wù)過程恢復的優(yōu)先權(quán)的標識別應該是要首先提及的。其次是組織的風險，接著是對關(guān)鍵業(yè)務(wù)過程的威脅，重建業(yè)務(wù)的資源應該在上面提及的任務(wù)發(fā)生之后進行。[單選題]36.IS審計師正在評估內(nèi)部軟件開發(fā)項目的項目管理流程。在軟件功能方面，IS審計師應查看是否已獲得以下哪方的簽字?A)項目經(jīng)理。B)系統(tǒng)開發(fā)管理人員。C)業(yè)務(wù)部門管理入員。D)質(zhì)量保證(QA)團隊。答案:C解析:A.項目經(jīng)理負責項目的日常管理和督導，并確保項目活動與總體方向保持一致。項目經(jīng)理不能給項目需求簽字;這違反了職責分離的要求。B.系統(tǒng)開發(fā)管理人員為硬件和軟件環(huán)境提供技術(shù)支持。C.業(yè)務(wù)部門管理人員擁有項目和所建立系統(tǒng)的所有權(quán)，并負責進行驗收測試，確認軟件提供所需的功能。D.質(zhì)量保證(QA)團隊負責衡量對組織的系統(tǒng)開發(fā)生命周期(SDL的循性，以確保項目質(zhì)量。他們會執(zhí)行測試，但不會對項目需求簽字。[單選題]37.PKI（公鑰體系），以下哪種方法能提供一個明確的授權(quán)用戶的可信賴的證據(jù)？A)不可抵賴性B)加密C)識別D)完整性答案:A解析:不可抵賴，通過利用數(shù)字簽名獲得，阻止聲明的發(fā)送者以后又否認他們曾經(jīng)發(fā)送過信息。加密可以對互聯(lián)網(wǎng)上的傳輸數(shù)據(jù)進行保護，但不能證明交易被誰產(chǎn)生。識別對建立一個交互的各方是必要的。完整性確保交易準確但不能提供客戶識別。[單選題]38.風險管理流程所產(chǎn)生的結(jié)果可以作為制定以下哪一項的依據(jù):A)業(yè)務(wù)計劃。B)審計章程。C)安全政策決策。D)軟件設(shè)計決策。答案:C解析:A.制定業(yè)務(wù)計劃不是風險管理流程的最終目的。B.風險管理有助于制定審計計劃，但無助于制定審計章程。C.風險管理流程針對的是制定安全相關(guān)的特定決策(如可接受的風險等級)。D.風險管理會推動軟件的安全控制設(shè)計，但對安全政策的影響更重要。[單選題]39.當員工使用便攜式媒體（MP3播放器，閃存驅(qū)動器）時IS審計師應該最關(guān)注:A)．在上面復制敏感信息B)．在上面復制歌曲和影片C)．所有員工的這些設(shè)備成本費用加起來非常高D)．他們可能會使惡意代碼在企業(yè)網(wǎng)絡(luò)傳播答案:A解析:對MP3播放器和閃存驅(qū)動器最關(guān)注的是數(shù)據(jù)泄露，尤其是敏感信息。如果設(shè)備丟失或被盜，這種情況就可能發(fā)生。復制歌曲和影片時的風險是侵犯版權(quán)，但是同信息泄露比較這通常是不太重要的風險。選C、是不對的，因為員工們通常是自己花錢買便攜式媒體。選項D、是種可能的風險，但是沒有信息泄露的風險性大，并且可以用其他控制降低。[單選題]40.以下哪種是對組件通訊故障的控制？A)限制操作員訪問并保持審計痕跡B)監(jiān)視并檢查系統(tǒng)活動C)提供網(wǎng)絡(luò)冗余D)對被傳送的數(shù)據(jù)設(shè)置物理隔離答案:A解析:冗余是網(wǎng)絡(luò)中建立的一些副本組成的，例如：一個連接、路由器或預防丟失的轉(zhuǎn)換，延遲或數(shù)據(jù)復制是對組件通訊故障的控制，其他相關(guān)的控制是回線/回波檢查發(fā)現(xiàn)線路故障、奇偶效驗、錯誤修正代碼和序列檢查。選項A、B、D、是網(wǎng)絡(luò)通信控制。[單選題]41.一個團隊在執(zhí)行風險分析時，難以預測某種風險可能造成的經(jīng)濟損失。要評估潛在的影響，該團隊應當:A)計算相關(guān)資產(chǎn)的攤銷。B)計算投資回報(ROI)。C)采用定性方法D)花費相應的時間來確定準確的損失金額。答案:C解析:A.攤銷用在損益表中，而不用于計算潛在損失。B.有可預測的節(jié)約或收益(可以與實現(xiàn)該收益所需的投資進行比較時才計算投資回報(ROD)。C.難以計經(jīng)濟損失時，通常的做法都是采用定性方法，即受到風險影響的管理人員根據(jù)加權(quán)因子來確定影響(例如，1表示對業(yè)務(wù)影響非常小，而5表示對業(yè)務(wù)影響非常大)D.花費相應的時間來確定準確的總金額通常都是一種錯誤的做法。如果很難預計潛在的損失(例如，因黑客攻擊而使組織公眾形象受損，從而造成損失)，而且這種情況不可能發(fā)生改變，可能到最后也無法進行良好的評估。[單選題]42.從微機上載到主機的數(shù)據(jù)可能有錯誤，以下哪種方法能最好地解決此問題？A)主機應該定期備份。B)上傳數(shù)據(jù)時應有雙人同時在場微機操作。C)主機應該對上載數(shù)據(jù)實施與聯(lián)機輸入數(shù)據(jù)時同樣的編輯和合法性檢查。D)要求用戶檢查已處理數(shù)據(jù)的隨機抽樣樣本。答案:C解析:C正確，主機對上載數(shù)據(jù)實施與聯(lián)機輸入數(shù)據(jù)時同樣的編輯和合法性檢查能實時地發(fā)現(xiàn)并防止錯誤數(shù)據(jù)進入系統(tǒng)；A不正確，定期備份對發(fā)生故障后的系統(tǒng)恢復非常有用，但不能防止和發(fā)現(xiàn)數(shù)據(jù)上傳的錯誤；B不正確，上傳數(shù)據(jù)時雙人同時在場對防止數(shù)據(jù)上傳中的舞弊問題有效，但對防止數(shù)據(jù)錯誤的作用很?。籇不正確，檢查已處理數(shù)據(jù)的隨機抽樣樣本屬于檢查性的控制，但不能預防錯誤發(fā)生。[單選題]43.某金融企業(yè)在明確劃分IT戰(zhàn)略委員會和IT督導委員會的職責時遇到困難。以下哪種職最有可能分配給其IT督導委員會?A)審批IT項目計劃和預算B)使IT與業(yè)務(wù)目標保持一致C)針對信息技術(shù)合規(guī)風險提出意見D)推廣IT治理實踐答案:A解析:A.通常，IT督導委員會肩負多種多樣的職責，其中包括審批IT項目計劃和預算。與企業(yè)目標、風險和治理相關(guān)的問題通常均屬于分配給T戰(zhàn)略委員會的職責，因為該委員會需要向事會提供建議和意見。B.使IT與業(yè)務(wù)目標保持致通常是IT戰(zhàn)略委員會的任務(wù)。督導委員會更多地是參與單個項目和預算的審批和監(jiān)督C.與合規(guī)性相關(guān)的問題一般是分配給IT戰(zhàn)略委員會的任務(wù)。督導委員會更多地是參與單個項目和預算的審批和監(jiān)督。D.IT治理一般是分配給IT戰(zhàn)略委員會的任務(wù)。督導委員會更多地是參與單個項目和預算的審批和監(jiān)督。[單選題]44.E-MAIL軟件應用中驗證數(shù)位簽名可以：A)幫助檢查垃圾郵件（spam）B)實現(xiàn)保密性C)加重網(wǎng)關(guān)服務(wù)器的負載D)嚴重降低可用的網(wǎng)路帶寬答案:A解析:[單選題]45.以下哪項屬于縱深防御安全原則的示例?A)使用兩道防火墻不間斷檢查入站網(wǎng)絡(luò)流量B)在主機上使用防火墻和邏輯訪問控制來控制入站網(wǎng)絡(luò)流量C)在計算機中心建筑外沒有任何標識D)并行使用兩道防火墻來檢査不同類型的入站流量答案:B解析:A.使用兩道防火墻不代表有效的深入防御，因為同一攻擊可繞過這兩者。通過使用兩種不同的產(chǎn)品，會減少這兩種產(chǎn)品具有相同漏洞的可能性。B.縱深防御是指使用不同類型的安全機制，做到相互備用。網(wǎng)絡(luò)流量無意中越過防火墻時，邏輯訪問控制可形成第二道防御。C.在計算機中心建筑外沒有任何標識是一種通過只讓極少人知道來取得安全的單一安全措施。D.并行使用兩道防火墻檢查各種入站流量可提供冗余，但它是一種單一的安全措施，因此，與使用一道防火墻檢查所有流量是相同的。[單選題]46.IS審計師應當最關(guān)注以下財務(wù)應用程序中的哪一項?A)程序員具有應用程序源代碼訪問權(quán)限。B)記錄已識別角色沖突的輔助控制C)信息安全官不批準所有應用程序更改。D)程序員具有生產(chǎn)數(shù)據(jù)庫的訪問權(quán)限。答案:D解析:A.IS審計師并不擔心程序員具有應用程序源代碼的訪問權(quán)限，因為程序員需要源代碼的訪問權(quán)限才能完成他們的任務(wù)。B.識別出職責分工沖突時，應當實施輔助控制以便緩解風險。盡管IS審計師會審查輔助控制，但在本案例中，更大的擔憂是程序員具有生產(chǎn)數(shù)據(jù)庫的訪問權(quán)限。C.信息安全官不大可能批準所有應用程序更改，因此IS審計師并不關(guān)注這一項。D.程序員具有生產(chǎn)數(shù)據(jù)庫的訪問權(quán)限被視為職責分工沖突，對IS審計師而言是一個問題。[單選題]47.一家銀行多年來一直將其異地備份介質(zhì)和記錄存儲外包給同一家公司，因為非常熟悉，所以允許銀行工作人員不走正式程序即可檢索磁帶，這種做法對銀行的最大風險是以下哪一項A)備份介質(zhì)可能會因事故而丟失或損壞B)機密文檔可能會被未授權(quán)的人員看到C)未經(jīng)授權(quán)的第三方員工可能獲得銀行數(shù)據(jù)D)銀行員工可能會有欺詐行為而不會留下審計軌跡答案:D解析:第三方服務(wù)提供商的管理措施是組織控制的一部分，因此最大風險是銀行員工可能會有欺詐行為，而不留下審計軌跡。銀行員工可能會命令銷毀與欺詐行為有關(guān)的文檔，因此，第三方公司可能不會留下對欺詐行為的記錄，其他幾個選項不太重要，可通過其他的控制方式抑制其發(fā)生，與客戶服務(wù)有關(guān)的安全控制不會導致介質(zhì)箱丟失，或被標記為銷毀、損壞。相關(guān)各方面都有權(quán)獲取實體磁帶，但這并不表明他們能夠獲取數(shù)據(jù)。加密和使用上鎖存儲箱等其他控制方式也有助于維護磁帶信息的保密性。[單選題]48.在評估計算機預防性維護程序的有效性和充分性時，以下哪一項能為IS審計人員提供最大的幫助？A)系統(tǒng)故障時間日志B)供貨商的可靠性描述C)預定的定期維護日志D)書面的預防性維護計劃表答案:A解析:[單選題]49.審查業(yè)務(wù)連續(xù)性策略時，IS審計師與組織中的主要利益相關(guān)者面談，來確定他們是否理解各自的角色和責任。IS審計師將嘗試評估:A)業(yè)務(wù)連續(xù)性計劃的明確性和簡潔性。B)業(yè)務(wù)連續(xù)性計劃的充分性。C)業(yè)務(wù)連續(xù)性計劃的有效性。D)IS和最終用戶員工在緊急情況下的響應能力答案:A解析:A.IS審計師應該與組織中的主要利益相關(guān)者面談，來評估他們對各自角色和責任的理解程度。當所有利益相關(guān)者對自身在發(fā)生災難時的角色和責任有很細致的了解時，IS審計師就能夠確信該組織的業(yè)務(wù)連續(xù)性計劃是明確和簡潔的。B.要評估充分性，IS審計師應審查計劃并將其與適當標準和計劃的測試結(jié)果進行比較C.要評估有效性，IS審計師應審查先前的測試結(jié)果或事故。這是效能評估的最佳確定方法。主要利益相關(guān)者對各自角色和責任的理解將有助于確保業(yè)務(wù)連續(xù)性計劃有效。D.要評估響應能力，IS審計師應審查連續(xù)性測試的結(jié)果。這樣可使IS審計師確信符合目標和恢復時間的要求。需要審查應急流程和員工培訓，以確定該組織是否實施了考慮有效響應的計劃。[單選題]50.評價一個組織安全意識培訓的充分性，以下哪一項是最佳的衡量標準A)高管層意識到關(guān)鍵的信息資產(chǎn)并表明對他們進行適當?shù)谋ＷoB)在作業(yè)描述中對信息安全的主要責任人進行了清晰的描述C)與風險和業(yè)務(wù)的影響等級保持一致，對安全成果有足夠的資金保障D)沒有泄露和其他公開事件的發(fā)生答案:A解析:工作中安全職責的描述是安全意識培訓的一種形式，幫助確保教員和管理者明白其在信息安全工作中承擔的角色。其他三個選項不是評價安全意識培訓標準。意識是評價高級管理人員對信息資產(chǎn)保護知曉的標準。資金保障是評價是否對信息安全弱點被關(guān)注的標準,已發(fā)生安全事件的數(shù)量用來評價安全管理程序是否充分。[單選題]51.IS審計師發(fā)現(xiàn)在一天的某些時段數(shù)據(jù)倉庫的查詢性能會明顯降低。以下哪項控制措施與其最為相關(guān)，需要IS審計師進行審查?A)永久性表空間分配B)提交和回滾控制C)用戶假脫機和數(shù)據(jù)庫限制控制D)日志的讀寫訪問權(quán)限控制答案:C解析:A.表空間分配不影響一天中不同時間的性能。B.提交和回滾只適用于錯誤或故障不影響一天中不同時間的性能。C.用戶假脫機限制會限制可用于運行用戶查詢的空間。這樣可防止形成較差的查詢消耗過多的系統(tǒng)資源井且影響常規(guī)的查詢性能。對用戶自己數(shù)據(jù)庫中的可用空間進行限制可防止其構(gòu)建過大的表。這有助于控制空間利用率，從而通過在存儲的實際數(shù)據(jù)量和物理設(shè)備容量之間保存一個緩沖區(qū)來提高性能。另外，也可防止用戶在臨時表構(gòu)建(與通?？烧惯\行且為優(yōu)化性能而計劃生產(chǎn)的負荷相反)流程中消耗過多的資源。在數(shù)據(jù)倉庫中，由于不是運行在線交易，因此提交和回滾不會對性能產(chǎn)生影響。D.日志的讀寫訪問權(quán)限控制不影響一天中不同時間的性能。[單選題]52.以下哪個選項是IT督導委員會的職能?A)監(jiān)控由供應商控制的變更控制和測試B)確保信息處理環(huán)境中的職責分離C)審批和監(jiān)控重大項目，如IT計劃狀態(tài)及預算D)在IT部門與最終用戶之間協(xié)調(diào)溝通答案:C解析:A.供應商變更控制屬于采購類問題，應由IS答理人員監(jiān)控。B.確保信息處理環(huán)境中的職責分離是IT管理人員的職責。C.IT督導委員會通常負責重大IT項目的綜合審查，不應介入日常運營活動;因此，其職能之一是審批和監(jiān)控重大項目，如IT計劃狀態(tài)及預算。D.在部門與最終用戶之間協(xié)調(diào)溝通是各相關(guān)方的職能，不是委員會的責任。[單選題]53.實施訪問控制首先需要進行：A)IS資源分類B)IS資源標識C)創(chuàng)建訪問控制列表D)IS資源清查答案:A解析:實施訪問控制中的第一步是IS資源的清查，它是分類的基礎(chǔ)。資源的標識無法在資源分類得到確定以前進行。訪問控制列表(A、C、L)如果沒有資源分類將不能得以創(chuàng)建。[單選題]54.當對符合性進行測試時，以下哪種抽樣方法是最有用的？A)屬性抽樣B)變量抽樣C)分層單位均值抽樣D)差異估計答案:A解析:屬性抽樣是用于符合性測試中的主要抽樣方法。屬性抽樣是一種用于評估某一特定屬性發(fā)生率的抽樣模型，通常被用來進行符合性測試以驗證控制的存在性。其它選項被用在實質(zhì)性測試中，通常是進行詳細量化的測試。點評：符合性測試-屬性抽樣[單選題]55.組織近期安裝了安全補丁，但與生產(chǎn)服務(wù)器相沖突。為了把再次出現(xiàn)這種情況的可能性降到最低，IS審計師應該：A)按照補丁的發(fā)行說明使用補丁B)確保執(zhí)行良好的變更管理流程C)發(fā)送到生產(chǎn)環(huán)境之前全面測試這個補丁D)進行風險評估后批準安裝這個補丁答案:B解析:IS審計師必須檢查變更管理流程，包括補丁管理流程，驗證這些流程得到做夠控制并據(jù)此提出建議。其他選項是良好變更管理流程的一部分，不是IS審計師的職責。[單選題]56.一個弱的密碼并且在無保護的通訊線路傳輸是什么的例子：A)漏洞B)威脅C)概率D)影響答案:A解析:漏洞代表信息可能被威脅利用的資源特征。威脅是有可能對信息資源造成傷害的事件。概率代表了一種威脅發(fā)生的可能性。影響代表一個利用漏洞威脅的結(jié)果。[單選題]57.下述哪一個是在沒有充分的計劃和準備的情況下從采用傳統(tǒng)的審計方法切換到輔助控制自我評估（FCSA,Facilitatedcontrolself-assessment）研討組（workshop）的最主要的風險？A)FCSA研討組不能提供足夠的獨立性B)審計工作不能按時完成C)關(guān)鍵風險問題不能被此流程所識別D)財務(wù)報告不能夠被發(fā)布到高級管理者手中答案:C解析:采用控制自我評估（CSA,controlself-assessment）框架進行審計工作需要被審計的組織進行大量的準備工作。最后，組織的股東應當接受CSA流程的訓練，必須得到高級管理層的同意來開始CSA初始工作。最后，審計師自身必須被訓練以幫助CSA研討組。由于切換到FCSA的時間（題目暗示計劃已經(jīng)結(jié)束，現(xiàn)場工作正在開始），審計師和被審計者均沒有在方法論方面為該切換轉(zhuǎn)備好。由于沒有充分完成準備工作，CSA在被審計者的IT流程中將不會達到它識別基于風險的問題的目的。當被何苦的計劃和實施時，F(xiàn)CSA.研討組可以提供充分級別分獨立性。對CSA研討子改變審計方法將顯著影響審計時間軸，并可能導致工作不能按時完成，然而，該風險不如由于不適當?shù)挠媱澦鶎е碌目赡艿年P(guān)鍵問題沒識別的風險嚴重。從風險的角度講一個遲點的精確的報告比一個及時的單不準確的報告要強。最終報告有沒有被發(fā)布給高級管理者不受所選擇的審計方法的影響（傳統(tǒng)的或CSA）。發(fā)布報告給該機管理者的決定權(quán)在于被審計者，并不受所提出的審計方法的改變的影響。因此，該選項不正確。點評：CSA的概念，準備不足的CSA效果不佳，重要風險未能識別[單選題]58.當兩個或多個系統(tǒng)集成在一起時，IS審計師必須在以下方面審查輸入/輸出控制措施A)接收其他系統(tǒng)輸出的系統(tǒng)。B)向其他系統(tǒng)發(fā)送輸出的系統(tǒng)。C)發(fā)送和接收數(shù)據(jù)的系統(tǒng)。D)兩個系統(tǒng)之間的接口。答案:C解析:A.負貴的控制是保護下游系統(tǒng)免受上游系統(tǒng)的感染。這要求發(fā)送數(shù)據(jù)的系統(tǒng)對其輸出進行檢查，接收數(shù)據(jù)的系統(tǒng)對其輸入進行檢查。B.向其他系統(tǒng)發(fā)送數(shù)據(jù)的系統(tǒng)應保證其發(fā)送的數(shù)據(jù)的正確，但這不會使接收數(shù)據(jù)的系統(tǒng)免受傳輸錯誤之害。C.由于一個系統(tǒng)的輸出是另一個系統(tǒng)的輸入，所以兩個系統(tǒng)都必須進行輸入/輸出控制的審查D.接口必須正確設(shè)置并提供錯誤控制，但好的做法還是在發(fā)送前和接受后對數(shù)據(jù)進行審查。[單選題]59.以下哪個選項最能限制用戶僅使用履行其職責所需的功能？A)應用程序級訪問控制B)數(shù)據(jù)加密C)禁用軟盤驅(qū)動器D)網(wǎng)絡(luò)監(jiān)控設(shè)備答案:A解析:使用應用程序級訪問控制程序?qū)儆诠芾砜刂?、將用戶先知道僅為履行其職責的功能來限制訪問。數(shù)據(jù)加密和禁用軟盤驅(qū)動器雖然可以限制用戶使用特定功能，但不是最佳選項，網(wǎng)絡(luò)監(jiān)控設(shè)備是監(jiān)測性控制而不是預防性控制。[單選題]60.一個組織正在考慮用一個新的IT服務(wù)提供商，從審計的觀點，下列哪個是最重要的檢查項目？A)服務(wù)提供商的其他客戶的參考B)服務(wù)供應商位置的物理安全C)服務(wù)供應商的服務(wù)水平協(xié)議草案D)服務(wù)供應商的員工的背景檢查答案:C解析:當一個服務(wù)供應商簽合同時，最佳的實務(wù)是檢查服務(wù)供應商的服務(wù)水平協(xié)議。一個服務(wù)水平協(xié)議是供應商根據(jù)合同交付服務(wù)的一個保證。應有注意活動例如檢查其他客戶的參考，檢查物理安全控制，或服務(wù)供應商雇員的背景檢查都是好的實務(wù)。但是，服務(wù)水平協(xié)議是最關(guān)鍵，由于它將制定被要求的可用性的水平和使供應商按合同承諾交付的義務(wù)。[單選題]61.在數(shù)據(jù)文件服務(wù)中實施磁盤冗余陣列（RAID）level1的主要目的是？A)實現(xiàn)性能改善B)提供用戶省份驗證C)確保數(shù)據(jù)可用性D)確保數(shù)據(jù)保密性答案:C解析:RAID.level1提供磁盤鏡像。數(shù)據(jù)寫到一個磁盤的同時也寫到另一個磁盤。網(wǎng)絡(luò)上的用戶從第一個磁盤獲得數(shù)據(jù)。如果第一個磁盤無法使用。第二個磁盤可以接手。這種冗余確保了數(shù)據(jù)的可用性。RAID.level1不提升系統(tǒng)性能，也與用戶身份驗證和提供數(shù)據(jù)保密性無關(guān)。[單選題]62.信息系統(tǒng)審計師需要對組織項目投資組合檢查的主要考慮是:A)IT預算B)已有IT環(huán)境C)業(yè)務(wù)規(guī)劃D)投資規(guī)劃答案:A解析:一個項目獲得資金的最主要原因是滿足組織的戰(zhàn)略目標。投資管理人對公司的整體IT戰(zhàn)略做一個全面的檢查。IT戰(zhàn)略應和業(yè)務(wù)戰(zhàn)略一致，因此，應主要考慮業(yè)務(wù)規(guī)劃。選擇A、B、D、相對評估業(yè)務(wù)規(guī)劃是第二重要的。[單選題]63.當需要樣本來驗證管理層對審計結(jié)果的補救行動時，以下哪一項是最重要的考慮因素?A)是否經(jīng)過了足夠長的時間產(chǎn)生有代表性的人群進行測試B)進行抽樣工作的審計團隊成員是否在所選的抽樣技術(shù)上接受了充分的培訓C)抽樣技術(shù)是否符合行業(yè)標準D)管理層是否批準使用抽樣方法答案:A解析:[單選題]64.一聲火災蔓延到一個組織的機房場地，這個組織損失了所有的計算機系統(tǒng)。從前，這個組織最應該做的是：A)為冷站備份方式作戰(zhàn)計劃B)為互助協(xié)議作計劃--與其他相同的組織協(xié)商互為備份C)為熱站備份方式作計劃--使一切設(shè)備與資料準備就緒D)為異地存儲設(shè)備作每日備份答案:D解析:[單選題]65.審計BCP時，IS審計師發(fā)現(xiàn)盡管所有部門都位于同一棟大樓里，各部門還是制定了本部門的BCP。IS審計師建議將各BCP協(xié)調(diào)統(tǒng)一起來，那么，首先要統(tǒng)一的是：A)疏散和撤離計劃B)恢復的優(yōu)先級C)備份存儲（Backupstorages）D)電話表（Calltree）答案:A解析:[單選題]66.組織目前使用的磁帶備份類型是每周一次完全備份每天一次增量備份。最近增加了磁帶備份到磁盤的解決方案。這是因為：A)支持非現(xiàn)場儲存的快速綜合備份B)備份到磁盤比備份到磁帶快C)不再需要磁帶庫D)數(shù)據(jù)存儲在磁盤里面比比存儲到磁帶里更可靠答案:A解析:磁盤到磁盤（D2D）備份不應被看作是直接備份到磁帶的代替，他應該被看作是一個多層備份架構(gòu)的一部分，這個多層備份架構(gòu)同時利用了磁帶技術(shù)和磁盤技術(shù)的最有效。在平衡環(huán)境中，備份到磁盤并不見得明顯快于備份到磁帶，大多數(shù)情況下都幾乎沒有什么差別因為限制因素不在于磁帶或磁盤驅(qū)動器，而是備份服務(wù)器所能支持的全部帶寬。速度方面的優(yōu)勢就是恢復性能，這樣一來，因為所有的數(shù)據(jù)都可以隨手獲得并可隨機訪問，會導致在吞吐量方面有大幅度的提高的，這是快速綜合備份（不用接觸主機數(shù)據(jù)，只用現(xiàn)在的增量備份就可以進行完全備份）變得更有效和容易。雖然磁盤成本已經(jīng)降低，磁帶備份比磁盤備份具有整體的成本優(yōu)勢。即使是用磁盤陣列來進行D2D存儲，在另一個磁盤發(fā)生故障之前，故障磁盤必須要被換掉且磁盤陣列要被重新安裝，使這種備份方式具有更大的風險，也不適合于作為最后的結(jié)決方案。相反，因為數(shù)據(jù)保存在磁帶上，單個磁帶驅(qū)動器的故障不會導致數(shù)據(jù)丟失。再多驅(qū)動器庫中，單個磁帶的故障不會影響整個數(shù)據(jù)保護的性能。相反磁盤陣列中某個磁盤驅(qū)動器故障將會使全部數(shù)據(jù)處于危險狀態(tài)。這本身就加強了磁盤到磁盤再到任何存儲層次結(jié)構(gòu)的好處，因為數(shù)據(jù)可以由磁盤存儲做三級保護，最后還有磁帶做做最終保障。除了驅(qū)動器故障問題，磁帶比其他任何磁盤驅(qū)動器有固有的可靠性優(yōu)勢，因為它沒有能夠被病毒感染或操縱的驅(qū)動扇區(qū)或文件分配表。[單選題]67.IT司法審計的主要目的是？A)參加與企業(yè)相關(guān)的調(diào)查B)系統(tǒng)的收集在系統(tǒng)故障后的數(shù)據(jù)C)評估組織財務(wù)申明是準確性D)判斷是否有犯罪行為答案:B解析:選項B描述的是司法審計。收集的證據(jù)就能被用于訴訟程序。司法審計不局限于企業(yè)欺詐。評估組織財務(wù)申明的準確性不是司法審計的目的。推斷是否是犯罪行為不是法律程序的一部分也不是司法審計的目標。點評：IT司法審計目的在于收集證據(jù)[單選題]68.編程人員為了改變數(shù)據(jù)而惡意修改了生產(chǎn)程序，隨后又恢復了原始的代碼。下列哪一項能夠最有效地檢測此惡意行為?A)比較源代碼B)審查系統(tǒng)日志文件C)比較目標代碼D)審查可執(zhí)行代碼和源代碼的完整性答案:B解析:A.比較源代嗎是無效的控制方式，因為原始程序已得到恢復，并且修改后的程序已不存在B.審查系統(tǒng)日志文件是唯一的跟蹤方式，可以獲得有關(guān)生產(chǎn)庫中未經(jīng)授權(quán)活動的信息C.比較目標代碼是無效的控制方式，因為原始程序已得到恢復，并且修改后的程序已不存在。D.審查可執(zhí)行代碼和源代碼的完整性不是一種有效的控制，因為源代碼被改回了原始的樣子且與當前可執(zhí)行代碼一致[單選題]69.在數(shù)據(jù)中心災難事件中，下列哪項是能使關(guān)鍵數(shù)據(jù)庫完全恢復的最合適的策略？A)每天數(shù)據(jù)備份到磁帶且存儲在遠程站點B)實時復制到遠程站點C)硬盤鏡像到本地服務(wù)器D)實時備份數(shù)據(jù)到本地存儲區(qū)域網(wǎng)絡(luò)（SAN）答案:B解析:通過實時復制到遠程站點，數(shù)據(jù)同時在兩個不同的地點更新，因此在一個站點發(fā)生災難時不會損害到遠程站點上的信息。這是假定兩個站點沒有同時遭受災難。每日磁帶備份恢復指揮最多丟失一天的數(shù)據(jù)。選項C和D與數(shù)據(jù)中心在同一個地方可能會因同樣的災難受到影響。[單選題]70.重新配置下列哪種類型的防火墻將防止向內(nèi)的通過文件傳輸協(xié)議(FTP)文件下載？A)電路網(wǎng)關(guān)B)應用網(wǎng)關(guān)C)包過濾D)鏡像路由器答案:A解析:應用網(wǎng)關(guān)防火墻能有效阻止類似FTPs的請求訪問內(nèi)部網(wǎng)絡(luò)。電路網(wǎng)關(guān)防火墻可以回路或者路徑，而不是請求。包過濾防火墻或者鏡像路由器會允許或者阻止基于IP包/地址的訪問。[單選題]71.信息系統(tǒng)審計師應該注意以下情況，當一個通信分析員：A)監(jiān)控系統(tǒng)的性能和跟蹤程序變更而產(chǎn)生的問題B)回顧了當前和未來的數(shù)據(jù)交換的網(wǎng)絡(luò)負荷的要求C)評估網(wǎng)絡(luò)的負載終端響應時間和網(wǎng)絡(luò)數(shù)據(jù)傳輸速率的影響D)建議網(wǎng)絡(luò)平衡過程和改進答案:A解析:通信分析員的職責包括檢閱當前和未來的交易量（選項B）所需要的網(wǎng)絡(luò)負荷，評估網(wǎng)絡(luò)負荷和終端響應時間和網(wǎng)絡(luò)數(shù)據(jù)傳輸速率（選項C）的影響，建議網(wǎng)絡(luò)負荷平衡規(guī)程和完善（選項D）。由于方案改變導致監(jiān)控系統(tǒng)的性能和跟蹤（選項A）的問題將把該分析員放在一個自我監(jiān)督的角色上。點評：職責分離，見上面的解釋[單選題]72.下面哪一項是IS審計師在進行PBX評估時要檢查的？I．確信外部免費撥入號碼的訪問被關(guān)掉。II．確信語音郵件系統(tǒng)不會被電話線竊聽。III．確信維護端口的訪問代碼的缺省值已改變。IV．確信外部免費號碼如900被嚴格限制。V．確信超額的電話使用被紅旗標記并進行舞弊調(diào)查。A)I,II,III,andIVonlyB)II,III,andIVonlyC)II,III,IV,andVonlyD)I,II,III,IV,andV答案:C解析:除了I中是不能關(guān)閉只能嚴格控制之外，都是審計時應該關(guān)注的內(nèi)容。[單選題]73.當員工離職時，最重要的工作是:A)將員工的所有文件移交給另一位指定員工。B)完成對員工工作的備份。C)將此解約通知給其他員工D)禁止該員工的邏輯訪問。答案:D解析:A.離職員工的所有工作都需要移交給指定員工;但這沒有取消離職員工的訪問權(quán)限重要B.離職員工的所有工作都需要備份;但這沒有取消離職員工的訪問權(quán)限重要C.需要將解約通知給其他員工:但這沒有取消離職員工的訪問權(quán)限重要。D.解約的員工有可能濫用訪問權(quán)限;因此，最重要和最緊迫的工作是禁止解約員工的邏輯訪問[單選題]74.一項基于互聯(lián)網(wǎng)的密碼嗅探工具攻擊能夠：A)能夠使一方偽裝成另一方B)導致某些交易內(nèi)容的修改C)用于獲得包含所有權(quán)信息在內(nèi)的系統(tǒng)訪問權(quán)D)導致帳戶管理系統(tǒng)和交易程序的一致性產(chǎn)生問題答案:A解析:密碼嗅探攻擊能被用于獲得所有者信息存儲系統(tǒng)的訪問權(quán)，欺騙攻擊能使一方偽裝成另一方。數(shù)據(jù)修改攻擊能修改某些交易的內(nèi)容。交易抵賴會使賬戶交易系統(tǒng)和交易程序的一致性產(chǎn)生問題。[單選題]75.功能性是一個軟件產(chǎn)品生命周期中評估其質(zhì)量的特征，也是對其描述的最好屬性，這些屬性是：A)，一套功能和他們規(guī)范屬性的表現(xiàn)。B)，由一個環(huán)境到另一個環(huán)境轉(zhuǎn)變時的軟件能力。C)，在一定的條件下軟件保持其性能水平的容量。D),軟件性能和大量資源間的關(guān)系。答案:A解析:功能是是一套屬性，是在一套功能和他們指定的屬性的表現(xiàn)。功能是指那些滿足一定的或隱含的需求。選擇B、是指易移植性，選擇C、指的可靠性和選擇D是指效率。[單選題]76.采購部門使用的會議室有網(wǎng)絡(luò)端口，可連接到公司網(wǎng)絡(luò)。有時允許供應商公司的銷售代表將便攜式計算機連接此端口，以進行基于Web的演示。與此操作相關(guān)的最可能的風險是銷售人可能：A)危害電子郵件服務(wù)器，盜取電子郵件列表以用作銷售線索B)安裝轉(zhuǎn)換軟件來監(jiān)視關(guān)鍵決策人員的通信。C)其PC上帶有病毒，感染網(wǎng)絡(luò)上的主機。D)在其PC安裝路由器，中斷網(wǎng)絡(luò)通信。答案:C解析:雖然不能排除供應商方面未經(jīng)授權(quán)活動的可能性，但最可能的風險是供應商PC帶有病毒或蠕蟲，感染公司網(wǎng)絡(luò)上的未修補主機。[單選題]77.當建立一個業(yè)務(wù)持續(xù)性計劃時，使用下面哪一個工具用來理解組織業(yè)務(wù)流程？A)業(yè)務(wù)持續(xù)性自我評估B)資源的恢復分析C)風險評估D)差異分析答案:A解析:風險評估和業(yè)務(wù)影響評估是理解業(yè)務(wù)持續(xù)性計劃的工具。業(yè)務(wù)持續(xù)性自我評估是評價B、C、P的頻率的工具，資源恢復分析是識別業(yè)務(wù)恢復策略的工作，然而角色的差異分析在業(yè)務(wù)持續(xù)性計劃中識別不足。其中沒有用于獲取對業(yè)務(wù)的理解。[單選題]78.關(guān)于IT服務(wù)的可用性和可持續(xù)性的IT最佳實踐是:A)最小化與災難彈性組件相關(guān)的成本B)提供足夠的能力以滿足商定的業(yè)務(wù)需求C)提供合理的保證以滿足商定的客戶能承擔的責任D)及時生成性能度量報告答案:C解析:能夠總是完全按照談判和約定的義務(wù)（例如服務(wù)水平協(xié)議[SLA]）完成任務(wù)是很重要的，如果達不到的話，IT就不應該同意這些需求，因為接受這樣的承諾會誤導業(yè)務(wù)走入歧途。這里的?總是?直接與?約定的義務(wù)?相關(guān)，不表示服務(wù)必須百分百可用。費用是可用性和服務(wù)可持續(xù)性管理的結(jié)果，而這個結(jié)果可能僅僅只能部分地控制。這些費用會反映影響約定的義務(wù)。對于可用性，容量管理是必要的但不是充分的條件。盡管有缺乏容量可能會導致可用性問題的可能性，但是對服務(wù)的無縫操作提供必要的容量被歸類早容量管理里面，而不是可用性管理里面。生成報告可能是可用性和服務(wù)可持續(xù)性的任務(wù)，但也是其他方面（比如事件，問題，容量可變更管理）的任務(wù)。[單選題]79.一家公司在實施一套新的C/S結(jié)構(gòu)的企業(yè)資源管理（ERP）系統(tǒng)。分支機構(gòu)傳送客戶訂單到一個中心生產(chǎn)設(shè)備，下列哪項最好地保證了訂單準確地輸入和相應產(chǎn)品的生產(chǎn)？A)驗證生產(chǎn)的產(chǎn)品和客戶訂單的內(nèi)容B)在ERP系統(tǒng)中記錄所有的客戶訂單C)在訂單傳輸過程中使用hash也運算D)（產(chǎn)品主管）在生產(chǎn)前批準訂單答案:A解析:對產(chǎn)品的復核將確保生產(chǎn)訂單對應客戶訂單。日志可以用來檢測錯誤，但本身并不能保證處理過程的正確性。哈希總數(shù)用于確保訂單傳輸?shù)臏蚀_，不能保證中心處理的準確性。生產(chǎn)監(jiān)督批準是一個耗時的手動過程，他不能保證正確的控制。點評：應在全流程校驗全部內(nèi)容，而不只是傳輸過程[單選題]80.一位IS審計師了解到，一家小公司的新任人力資源經(jīng)理曾是一位IT網(wǎng)絡(luò)管理員，這位新任HR經(jīng)理利用自己的IT技術(shù)，賦予自己權(quán)利閱讀員工的電子郵件并監(jiān)控他們的網(wǎng)絡(luò)使用情況，這位IS審計師應該A)記錄問題、驗證有無違反公司策略B)請求立即取消HR經(jīng)理的訪問權(quán)限C)什么也不做，因為公司沒有隱私權(quán)政策D)聯(lián)絡(luò)公司總裁，告知其這一問題答案:A解析:從IT角度看次變化的本質(zhì)并不是最佳方法；但是監(jiān)控員工的電子通信是HR經(jīng)理的合法權(quán)限，通常也是普遍接受的做法，在小型組織中，通常會出現(xiàn)有關(guān)職責分離的問題，HR經(jīng)理是否具有系統(tǒng)更改權(quán)限沒有明確說明，因此，IS審計師應記錄觀察到的狀況。IS審計師還應確認這一過程中沒有出現(xiàn)違反公司政策的情況。[單選題]81.一封有效的、長度可變的電子郵件消息含有很大比重的垃圾郵件關(guān)鍵字，以下哪種反垃圾郵件過濾技術(shù)最能防止將其標記為垃圾郵件?A)啟發(fā)式(基于規(guī)則)B)基于簽名C)模式匹配D)貝葉斯(統(tǒng)計)答案:D解析:A.當有效消息被標記為圾郵件時，可能需要定義新的例外規(guī)則，因此啟發(fā)式過濾的效果稍差。B.由于計算出來的消息摘要算法(MD5)哈希始終變化，因此基于簽名的過濾對于可變長度的消息毫無作用。C.模式匹配實際上是基于規(guī)則的降級技術(shù)，即，規(guī)則利用通配符在單詞級別運行，而不是在更高的級別運行。D.貝葉斯過濾法對消息采用統(tǒng)計模型，方式是先對消息中的每個單詞實施頻率分析，然后再整體評估消息。因此，如果整條消息在正常范圍內(nèi)，則將忽略可疑的關(guān)鍵字。[單選題]82.在一個組織內(nèi)部，IT安全的職責被清晰分配并強制執(zhí)行，且IT安全風險和影響分析被一貫執(zhí)行。這代表了以下安全治理的哪種成熟度模型？A)最優(yōu)的B)可管理的C)定義級D)重復級答案:A解析:董事會和執(zhí)行管理層能利用信息安全治理成熟度模型建立組織安全的評價標準。級別有不存在、初始級、重復級、定義級、管理級和最優(yōu)級。當組織IT安全的職責被清晰分配并強制執(zhí)行，且IT安全風險和影響分析被一貫執(zhí)行時，也就是通常所說的?可管理的和可測量的?。[單選題]83.評估一個正在進行的項目，信息系統(tǒng)審計員注意到，因為減少預期的利益及增加成本，這個業(yè)務(wù)需求不再有效。信息系統(tǒng)審計員應該建議：A)項目不應該再繼續(xù)。B)業(yè)務(wù)需求應該更新并作相應的修正C)項目應該讓贊助者重新批準D)項目應該完成，業(yè)務(wù)需求隨后更新。答案:B解析:在檢查一個更新的業(yè)務(wù)需求，IS審計師不能推薦停止或完成項目，應建議在任何項目中業(yè)務(wù)需求作為關(guān)鍵輸入決定執(zhí)行貫徹項目始終。[單選題]84.以下哪項被公認為是網(wǎng)絡(luò)管理的關(guān)鍵要素之一?A)配置管理B)拓撲映射C)監(jiān)控工具的應用D)代理服務(wù)器故障排除答案:A解析:A.配置管理被公認為是所有網(wǎng)絡(luò)的關(guān)鍵要素之一，因為它確立了網(wǎng)絡(luò)在內(nèi)外部運作的方式，而且還涉及到配置管理和性能監(jiān)控。配置管理確保網(wǎng)絡(luò)設(shè)置和管理的正確完成，包括管理配置變動、刪除默認密碼和可能通過禁用不需要的服務(wù)來強化網(wǎng)絡(luò)。B.拓撲映射概述了網(wǎng)絡(luò)組件和網(wǎng)絡(luò)連通性。這對解決諸如單點故障和正確網(wǎng)絡(luò)隔離的問題很重要，但不是網(wǎng)絡(luò)管理的最關(guān)鍵組成部分C.應用監(jiān)控不是網(wǎng)絡(luò)管理最關(guān)鍵的內(nèi)容。D.代理服務(wù)器故障排除用于排除故障，而代理服務(wù)器的管理只是網(wǎng)絡(luò)管理的一小部分。[單選題]85.在以下何種情況下應用系統(tǒng)審計蹤跡的可靠性值得懷疑？A)審計足跡記錄了用戶IDB)安全管理員對審計文件擁有唯讀權(quán)限C)日期時間戳錄了動作發(fā)生的時間D)用戶在糾正系統(tǒng)錯誤時能夠修正審計蹤跡記錄答案:D解析:[單選題]86.在對專業(yè)從事電子商務(wù)的企業(yè)進行審計期間，IS經(jīng)理表示在接收客戶通信時會使用數(shù)字簽名。要證實這一點，IS審計師必須證明使用了以下哪項？A)使用客戶公鑰進行生物識別、數(shù)字化和加密的參數(shù)B)使用客戶私鑰傳輸并加密的數(shù)據(jù)哈希值C)使用客戶公鑰傳輸并加密的數(shù)據(jù)哈希值D)使用客戶公鑰加密的客戶掃描簽名答案:B解析:計算所傳輸數(shù)據(jù)的哈希值或摘要或者對其進行加密需要客戶端（接收者）的公鑰，稱為消息簽名或數(shù)字簽名。接收者執(zhí)行相同的流程，在使用自己的私鑰將數(shù)據(jù)解密后，將收到的哈希值與使用收到的數(shù)據(jù)計算出的哈希值進行比較，如果哈希值相同，則結(jié)論是接收到的數(shù)據(jù)具有完整性，且來源通過驗證。使用發(fā)送者的私鑰加密哈希值這一概念提供了不可否認性，因為只能使用發(fā)送者的公鑰解密哈希值，而接收者并不知道發(fā)送者的私鑰。簡言之，在使用密鑰對的情況下，任何可通過發(fā)送者公鑰解密的數(shù)據(jù)之前必須使用其私鑰加密，這樣可確認發(fā)送者，即不可否認性。選項C不正確，因為如果是這種情況，哈希值講無法被接收者解密，這樣將失去不可否認性帶來的好處，且無法確認消息未被截獲和修改。數(shù)字簽名通過私鑰加密來創(chuàng)建。創(chuàng)建簽名的個人應使用自己的私鑰，否則每個人都能用任意公鑰來創(chuàng)建簽名。因此，使用客戶的私鑰來創(chuàng)建客戶簽名，企業(yè)可使用客戶的公鑰來驗證這一點。選項B是正確答案，因為在這種情況下，客戶使用自己的私鑰來對哈希數(shù)據(jù)簽名。[單選題]87.當檢查數(shù)據(jù)網(wǎng)絡(luò)架構(gòu)時，下面哪一項不是IS審計師的一個主要的檢查標準？A)所有的路由訪問都被安全認證的方式控制。B)網(wǎng)絡(luò)路由可以使關(guān)鍵業(yè)務(wù)的擁堵得到有效改善。C)對業(yè)務(wù)和網(wǎng)絡(luò)管理來說不必要的協(xié)議被關(guān)閉。D)VLAN使用第二層的轉(zhuǎn)換技術(shù)來保證關(guān)鍵數(shù)據(jù)及其擁堵的安全。答案:D解析:第二層的VLAN是特殊情況下的一種部署，除非業(yè)務(wù)特別要求一般不會進行評估。[單選題]88.在解決審計項目中所發(fā)現(xiàn)的問題時，以下哪一項是信息系統(tǒng)審計師的主要角色?A)審計師可以將更新的政策提交給管理層批準B)審計師可以對出現(xiàn)的問題負責并監(jiān)督補救措施C)審計師可以提供解決方案來幫助被審計方管理層D)審計師可以解釋審計發(fā)現(xiàn)并提供一般建議答案:D解析:[單選題]89.以下哪種措施對避免網(wǎng)站應用遭受結(jié)構(gòu)化查詢語言（SQL）注入攻擊最有幫助？A)在應用中內(nèi)置輸入校驗措施；B)避免從網(wǎng)頁應用直接查詢數(shù)據(jù)庫；C)避免在編程查詢中使用動態(tài)SQL；D)由數(shù)據(jù)庫管理員（DBA）審查所有數(shù)據(jù)庫查詢請求。答案:A解析:網(wǎng)頁應用如果不