CISA考試練習(習題卷8)

試卷科目：CISA考試練習CISA考試練習(習題卷8)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習第1部分：單項選擇題，共100題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.以下哪個是屬于自我控制評估（CSA）方法的特點：A)廣泛的雇員參與B)審計師是關鍵的分子人員C)受限的雇員參與D)策略驅動答案:A解析:控制自我評估方法論強調的是對機構業(yè)務流程控制的開發(fā)和監(jiān)控的管理與稽核。CSA的特點是：內(nèi)部員工參與高度持續(xù)的控制提升，而選項BCD都是傳統(tǒng)的審計方案。點評：CSA的特點，全民皆兵[單選題]2.IS審計師正在執(zhí)行網(wǎng)絡審査，并且有用戶報告網(wǎng)絡速度非常慢且Web頁面會定期超時。IS審計師在確認用戶的反饋后，將審計發(fā)現(xiàn)報告給網(wǎng)絡管理員。對于網(wǎng)絡管理團隊而言，最恰當?shù)男袨閼撌?首先A)使用協(xié)議分析器執(zhí)行網(wǎng)絡分析，并查看局域網(wǎng)(LAN設備的錯誤日志。B)采取措施提高互聯(lián)網(wǎng)連接的帶寬。C)使用協(xié)議分析器創(chuàng)建基準，并貫徹服務質量(QoS)以確保關鍵業(yè)務應用程序的工作符合預期D)實施虛擬LAN(VLAN)對網(wǎng)絡分段并確保性能。答案:A解析:A.此例中，第一步是通過審查和分析網(wǎng)絡流量來找到問題。使用協(xié)議分析器和審查相關交換機或路由器的日志文件能確定是否有配置問題或硬件故障B.盡管可能需要增加互聯(lián)網(wǎng)帶寬，但如果性能問題是因不同的問題或錯誤狀況導致的，則不需要增加互聯(lián)網(wǎng)帶寬。C.盡管創(chuàng)建基準和貫徹服務質量(QS)將有助于確保關鍵應用程序具有適當?shù)膸挘谶@種情況下，性能問題可能與配置錯誤或設備故障有關D.盡管實施虛擬局域網(wǎng)(VLAN)可能是確保適當性能的良好實踐，但在這種情況下，問題可能與配置錯誤或設備故障有關[單選題]3.下面那一個是入侵檢測系統(tǒng)（ID、S）的特征？A)收集嘗試攻擊的證據(jù)B)確定策略定義的弱點C)屏蔽對特定互聯(lián)網(wǎng)站點的訪問D)防止某些用戶訪問特定的服務器答案:A解析:一個IDS能收集象例如攻擊或滲透嘗試的打擾活動的證據(jù)。在策略定義中識別弱點是身份證的局限性。選擇C和D是防火墻的特征,而選擇B需要人工評審,因此在IDS的功能之外。[單選題]4.下面哪個郵件過濾技術能夠最好的提供一個有效的，可信的報文包括重要摘要關鍵字：A)啟發(fā)式B)基于信號C)模式匹配D)貝葉斯答案:A解析:貝葉斯過濾適用于報文的統(tǒng)計模型，通過執(zhí)行頻率分析報文的每一個字，然后評估報文是否是一個整體。因此，如果整個報文是在正常范圍內(nèi)，不能忽視一個可疑的關鍵字。HeuristiC、過濾是不那么有效，因為當一個有效的訊息是標記為垃圾郵件時，需要定義一個例外規(guī)則?；谛盘柕倪^濾對可變長度的訊息是沒用的，因為MD、5哈希計算改變了所有的時間。最后，模式匹配其實是一個退化的以規(guī)則為基礎的技術，規(guī)則運作在使用通配符的字符水平，而不是在更高的水平。[單選題]5.IS管理層最近打算用一個無線基礎設施代替現(xiàn)有的無線局域網(wǎng)，以滿足組織內(nèi)日益增多的移動手持設備。這個將會使組織哪方面的危險增加：A)端口掃描B)后門C)中間人攻擊D)戰(zhàn)爭駕駛答案:A解析:戰(zhàn)爭駕駛攻擊使用無線以太網(wǎng)卡，嵌入混雜模式，并用一個強大的天線從外面以穿透無線系統(tǒng)。端口掃描往往會針對組織外部的防火墻。后門是一個在軟件中遺留的開放端口，能夠在未知狀態(tài)下進入系統(tǒng)。中間人攻擊攔截一個信息，或者替換或者修改信息。[單選題]6.在服務外包的情況下，下面哪個選項是最重要的，由IS管理層執(zhí)行的功能？A)保證發(fā)票已付款給提供商B)和提供商一起參與系統(tǒng)設計C)與提供商洽談費用D)監(jiān)控外包提供商的性能答案:D解析:在外包環(huán)境中，公司依賴于服務供應商的性能。因此，應監(jiān)控外包供應商的性能以保證其交付的服務滿足公司的要求。應按合同要求，支付費用。參與系統(tǒng)設計只是監(jiān)控外包供應商性能的附加物，重新談判費用一般是一次性活動。[單選題]7.組織的災難恢復計劃DRP應致力于--的早期恢復？A)所有信息系統(tǒng)安全程序B)所有財務處理應用C)僅信息系統(tǒng)管理員指定的應用程序D)按照業(yè)務管理者定義的流程處理的優(yōu)先順序來處理答案:D解析:業(yè)務主管應該識別關鍵系統(tǒng)，以及在災難發(fā)生前他們?nèi)绾翁幚?。業(yè)務主管需要對DRP的開發(fā)和維護負責。災難發(fā)生時不會有足夠的時間判斷，信息系統(tǒng)和處理設備發(fā)揮的作用是協(xié)助用戶管理人員成功開展工作。[單選題]8.確定如何通過不同的平臺在異構環(huán)境中存取數(shù)據(jù)，IS審計師首先應該審查：A)業(yè)務軟件B)基礎設施平臺工具C)應用服務D)系統(tǒng)開發(fā)工具答案:C解析:項目應確定IT基礎構架的復雜度，在開發(fā)應用服務時這些IT基礎架可以被簡化或隔離。應用服務把系統(tǒng)開發(fā)人員從IT基礎架構的復雜度隔離出來，并提供許多應用程序所公用的功能，應用服務表現(xiàn)為接口、中間件等。業(yè)務軟件專注于業(yè)務流程，然而應用服務為應用和IT基礎架構之間的差距架設了橋梁?；A設施平臺工具涉及用于開發(fā)IT基礎設施所需的核心硬件和軟件組件，而系統(tǒng)開發(fā)工具表示IT基礎設施開發(fā)的開發(fā)組件。[單選題]9.在CMM中哪個層次通過定性度量能力結果？【已經(jīng)理解】書240頁A)第1級B)第2級C)第3級D)第4級答案:C解析:能力成熟模型第3級是定義級，使用定性度量能力結果。[單選題]10.審查組織中局域網(wǎng)（LAN）性能的IS審計師應該首先檢查：A)連接和無連接服務。B)網(wǎng)絡拓撲圖。C)數(shù)據(jù)、語音和視頻吞吐量要求。D)廣域網(wǎng)（WAN）連接的數(shù)量。答案:C解析:所有用戶的數(shù)據(jù)、語音和視頻吞吐量要求指明了業(yè)務需求，設計相應的LAN技術時需要以這些需求為準。其他選項的是技術上的細節(jié)，它們與上述吞吐量要求相比居次要地位。[單選題]11.以下哪種方環(huán)境控制可以保護計算機設備免受電力短期降低的影響？A)電源線調節(jié)器B)電涌保護設備C)備用電源D)間斷電源答案:A解析:電源線調節(jié)器可用于彌補電力供應的高峰和低谷，并將電力流量的峰值減小至機器所需的值。該設備中存儲的電力可以消除谷值。電涌保護設備用于防御高壓脈沖。備用電源的目的是延長計算機設備運行時間，通常與不間斷電源(ups)等其他設備一起用于補償電力損失，直至電源可以使用。無論何時發(fā)生電源故障，間斷電源都會導致設備無法使用。[單選題]12.在審査IT短期(戰(zhàn)術)計劃時，IS審計師應確定A)IT和業(yè)務人員是否參與項目。B)是否明確定義IT使命和愿景。C)是否采用戰(zhàn)略信息技術計劃記分卡。D)該計劃是否使業(yè)務目標與IT目的和目標相關聯(lián)。答案:A解析:A.IT和業(yè)務人員參與項目是一個運營問題，在審查短期計時應該對此進行考慮。戰(zhàn)略計劃可為IT短期計劃提供框架。B.明確定義IT使命和愿景是戰(zhàn)略計劃的內(nèi)容。C.戰(zhàn)略信息技術計劃記分卡是成略計劃的登的內(nèi)容D.與IT目的和目標相關聯(lián)的業(yè)務目標是戰(zhàn)略[單選題]13.在變更控制檢查期間緊急變更被識別時，IS審計師期望發(fā)現(xiàn)什么？A)一個控制弱點，由于這些行動不該允許發(fā)生并且應該報告。B)變更在必要時實施，相關的問題被記錄。C)沒有經(jīng)過系統(tǒng)責任人批準采取的激活變更的相關的規(guī)范活動。D)通知系統(tǒng)變更責任人和其他所有相關采取行動的解釋的流程。答案:D解析:緊急變更是個突發(fā)性的行為，一般采取補償控制的方式來進行事后處理。[單選題]14.審計銀行電匯系統(tǒng)時，以下哪一項技術最適合檢測是否存在雙重控制?A)交易日志分析B)重新執(zhí)行C)觀察D)約談工作人員答案:C解析:A.交易日志分析有助顯示雙重控制是否到位，但并不一定能夠保證持續(xù)循此流程B.盡管重新執(zhí)行可以保證雙重控制有效，但對IS審計師而言，在銀行重新執(zhí)行電匯交易不可C.雙重控制要求雙人完成一項操作。觀察技術有助查明是否確有兩個人參與執(zhí)行操作和是否在監(jiān)督元素。如果一個人在偽裝和擔負第二個人的角色，也會變得顯而易見。D.約談工作人員有助于確定操作者的認知和理解水平。但它并不能提供雙重控制確實存在的直接證據(jù)，因為提供的信息不足以反映正在執(zhí)行的流程。[單選題]15.對于將應用程序從測試環(huán)境轉換到生產(chǎn)環(huán)境，最好的控制是由：A)應用程序員拷貝源程序并編譯目標代碼到生產(chǎn)庫中B)應用程序員拷貝源程序到生產(chǎn)庫，然后讓生產(chǎn)控制小組編譯源程序C)生產(chǎn)控制小組用測試環(huán)境中的源代碼，編譯目標模塊到生產(chǎn)庫中D)應用程序員拷貝源程序到生產(chǎn)庫中，然后編譯源程序答案:B解析:最好的控制是由生產(chǎn)控制小組拷貝源程序到生產(chǎn)庫中，然后編譯源程序。點評：各管一段、職責分離[單選題]16.在一個文件上使用保留日期將確保：A)直到日期被設定數(shù)據(jù)才被讀出B)到期前數(shù)據(jù)不會被刪除C)到期后備份副本不被保持D)有相同名字的資料組是分開的答案:B解析:保留日期將確保文件在該日期之前文件不被重寫。保留日期將不影響讀文件的能力。備份副本被期望有一個不同的保留日期，因此文件被重寫后可能被保留。創(chuàng)造日期，不是保留日期將區(qū)別相同的名字。[單選題]17.一位IS審計師在檢察系統(tǒng)訪問時發(fā)現(xiàn)，具有訪問特權的用戶數(shù)量過多，IS審計師與系統(tǒng)管理員討論這一情況，管理員說，其他部門的一些工作人員需要訪問特權，而管理層也批準了。以下哪一項是IS審計署應采用的最佳行動A)確定補償性控制是否到位B)在審計報告中記錄這一問題C)建議對流程進行更新D)與高層管理人員討論此問題答案:A解析:如果補償性控制到位，具有訪問特權的用戶數(shù)量過多不一定會帶來問題，IS審計師應在報告中說明這一情況前收集其他信息，對工作流程的更新不會解決邏輯安全中的潛在弱點問題，如果個人需要擁有這種權限來開展工作，這種發(fā)放或許不可行。IS審計師應在將這一問題報告給高層管理人員之前收集其他信息。[單選題]18.企業(yè)的IT風險偏好最好由誰來確定？A)首席法律顧問B)安全管理人員C)審計委員會D)指導委員會答案:D解析:指導委員會是決定企業(yè)IT風險偏好最合適的部門，因為它是由高層管理人員組成的。即使首席法律顧問在策略上給出了一個法律上的指導意見，他們也不能確定風險偏好。安全管理人員關注的是安全形勢，但是并不決定安全狀況。審計委員會沒有責任去設定企業(yè)風險承受能力或偏好。點評：風險偏好由IT指導委員會或IT治理委員會確定[單選題]19.起草業(yè)務持續(xù)計劃（BCP）時，以下哪項陳述是正確的A)停機時間成本隨恢復點目標（RPO）的提高而降低B)停機時間成本隨時間的推移而增加C)恢復成本與時間無關D)恢復成本僅可得到短期控制答案:B解析:銷售損失、資源閑置、薪酬支付等停機時間成本都會隨著時間的推移而增加。因此，應制定BCP來盡可能地降低停機時間成本。停機時間成本與RPO無關。RPO定義的是恢復成本（而非停機時間成本）有關的數(shù)據(jù)備份策略。允許進行恢復的時間越長，恢復成本就越低。例如，在兩天內(nèi)恢復業(yè)務運營的成本比在七天內(nèi)恢復的成本要高。有效BCP的本質在于，最大限度降低不確定性并提高可預測性。有了良好的規(guī)劃，恢復成本即可保持在可控范圍之內(nèi)。[單選題]20.審查應用程序的邏輯訪問時，以下哪個發(fā)現(xiàn)最令IS審計師關注A)有些開發(fā)人員擁有更新生產(chǎn)數(shù)據(jù)的訪問權限B)存儲應用程序ID密碼的文件在生產(chǎn)代碼中采用明文形式C)變更控制團隊知道應用程序ID密碼D)應用程序不強制使用強密碼答案:B解析:應用程序ID密碼的安全隱患可能會導致生產(chǎn)數(shù)據(jù)發(fā)生不可追蹤的無授權更改，明文形式存儲密碼帶來的風險最大，盡管可以通過更新訪問權限來保護生產(chǎn)代碼，但開發(fā)團隊可以進行查看，開發(fā)人員可能為執(zhí)行工作而需要具備有限的生產(chǎn)數(shù)據(jù)更新訪問權限，這種訪問權限經(jīng)過管理層的批準和審查，并不會引起IS審計師的關注，如果在變更控制和開發(fā)活動之間有適當?shù)穆氊煼蛛x，變更控制團隊知道應用程序ID密碼則不會引起關注，變更控制團隊在生產(chǎn)環(huán)境下需要使用應用程序ID時，可能會出現(xiàn)這種情況，盡管缺少強密碼政策和配置可能會導致賬戶不安全，但在應用程序ID密碼存在安全隱患時風險還是比較低的，因為應用程序ID密碼不可追溯。[單選題]21.完成業(yè)務影響分析(BIA)后，業(yè)務連續(xù)性計劃(BCP)過程中的下一步是什么?A)測試和維護計劃B)制定具體計劃C)制定恢復策略D)實施計劃答案:C解析:A.選出策略之后，才會制定、測試和實施具體的業(yè)務連續(xù)性計劃(BCP)計劃。B.選出策略之后，才會制定、測試和實施具體的BCP。C.完成業(yè)務影響分析(BIA)后，BCP制定過程中的下步是鑒別各種恢復策略，并選出能滿足通過BA定義的時間線和優(yōu)先級的最合適的災難恢復策略。D.選出策略之后，オ會制定、測試和實施具體BCP[單選題]22.在一個基于WEB、軟件開發(fā)項目評價期間，一個信息系統(tǒng)審計師了解到代碼標準沒有強迫執(zhí)行，并且代碼評審也很少執(zhí)行。這最可能增加如下哪一項成功的可能性？A)緩存溢出。B)強力攻擊。C)分布式的服務拒絕攻擊。D)戰(zhàn)爭撥號攻擊。答案:A解析:不標準的代碼編寫，尤其在基于WEB、應用中,時常被黑客通過緩沖溢出技術使用。一個暴力攻擊習慣于破解密碼。一個分布式的服務拒絕利用大量的小包攻擊使系統(tǒng)溢出，阻止它回應認為正當請求。戰(zhàn)爭撥號使用掃描調制解調器的工具攻擊PB、Xs。[單選題]23.以下哪項是中小型組織中通過互聯(lián)網(wǎng)連接專用網(wǎng)絡的最安全經(jīng)濟的方法？A)虛擬專用網(wǎng)絡（VPN）B)專用線路C)租用線路D)綜合業(yè)務數(shù)字網(wǎng)答案:A解析:最安全的方法是VPN，其使用加密、身份認證和隧道來將數(shù)據(jù)安全地從專用網(wǎng)絡傳送到互聯(lián)網(wǎng)。選項B.C和D，對于中小型組織來說通常是成本過高而無法實行的網(wǎng)絡連接選項。[單選題]24.在計算機機房中，活動地板最能夠預防以下哪種情況的發(fā)生？A)計算機和服務器周圍電線的損壞B)靜電現(xiàn)象導致停電C)地震產(chǎn)生的沖擊D)水災的侵害答案:A解析:安置活動地板的主要目的是將電源線纜和數(shù)據(jù)線纜安裝在地板下面。如果電纜在敞開式地板中以細條狀放置,則可能帶來安全風險和損壞風險，利用活動地板便可將風險消除。機房中確實應該避免產(chǎn)生靜電，但特制的地毯或鞋子等措施比活動地板更有效防止靜電。設置活動地板并不能應對地震產(chǎn)生的沖擊。要應對地震。需要抗震結構來建立防震結構骨架。計算機設備應注意防水。但如果高架水管漏水，活動地板便無法保護計算機了。[單選題]25.使用剩余生物識別信息獲取未授權訪問權限是以下哪種攻擊的示例？A)重放B)窮舉C)密碼D)模擬答案:A解析:剩余生物特征（如留在生物采集設備上的指紋）可能被攻擊者重新用于獲取未授權的訪問權限。窮舉攻擊包括生物識別采集設備提供大量不同的生物識別樣本。密碼攻擊是對算法或加密數(shù)據(jù)進行的，在模擬攻擊中，攻擊者重新生成與登記用戶特征相似的特征（如，偽造簽名或模仿聲音）。[單選題]26.降低釣魚攻擊最有效的方法是？A)執(zhí)行入侵檢測系統(tǒng)（ID、S）B)訪問安全的網(wǎng)絡地址C)強鑒別D)用戶教育答案:A解析:釣魚攻擊有很多種方式：ID、S和強鑒別不是預防最好措施。訪問安全網(wǎng)址也不能降低風險。釣魚利用冒充合法服務器的方法。降低風險最好的方式是教育用戶對互聯(lián)網(wǎng)上的可疑交互要提高警惕性，不要相信它們除非得到驗證后。用戶需要足夠的培訓來識別可疑的網(wǎng)頁和電子郵件。[單選題]27.某IS審計師發(fā)現(xiàn)了一個針對某應用程序用戶的授權過程的缺陷,他最主要的擔心應該是:A)多個人獲得特權B)不限制指派給用戶的功能C)用戶的帳號被共享D)用戶擁有一個知必所需的特權答案:B解析:如果沒有一個適當?shù)氖跈噙^程就不可能建立對功能的限制和責任承擔。不止一個用戶聲稱特權用戶的風險是和認證過程結合在一起的，而不是授權過程。用戶可以分享帳戶的風險是身份驗證問題，也不是授權問題。用戶知必所需的特權是授權過程中權限分配的最好方法。[單選題]28.當執(zhí)行數(shù)據(jù)庫審查時，IS審計師注意到，在數(shù)據(jù)庫中有些表不規(guī)范。IS審計師應該采取以下措施：A)建議數(shù)據(jù)庫規(guī)范化。B)審查概念數(shù)據(jù)模型C)審查存儲過程D)審查出現(xiàn)這種情況的說明。答案:D解析:如果數(shù)據(jù)庫不規(guī)范，IS審計師應該檢查產(chǎn)生這種情況的理由，因為在某種情況下，非規(guī)范化是處于性能方面的考慮。IS審計師在沒有進行進一步調查的情況下，不應建議進行規(guī)范化。審查概念數(shù)據(jù)模型或存儲過程將不會提供有關規(guī)范化的信息。[單選題]29.在業(yè)務連續(xù)性審計期間，某信息系統(tǒng)審計師發(fā)現(xiàn)業(yè)務連續(xù)性計劃僅包括了重要系統(tǒng)，該審計員應如何做？A)建議業(yè)務系統(tǒng)持續(xù)性計劃包括所有業(yè)務系統(tǒng)B)評估未包括的系統(tǒng)的影響C)向IT經(jīng)理報告D)重新定義重要系統(tǒng)答案:B解析:業(yè)務影響分析BIA需要被更新。以評估計劃未包含過程的價值，這應該是所有的過程，包括成本可能會超出這些成本的價值，審計是應該分析風險來證實這一點。[單選題]30.針對IT系統(tǒng)恢復的雙方協(xié)議的現(xiàn)場測試已實施，包括業(yè)務部門四個小時的集約效用測試。測試已成功，但不完全確保:A)系統(tǒng)和T操作團隊可以在緊急環(huán)境中保持運作。B)資源和環(huán)境能夠支持交易加載。C)與遠程站點中應用程序的連接性滿足響應時間要求。D)實際業(yè)務操作的工作流可以在發(fā)生災難的情況下使用緊急系統(tǒng)。答案:A解析:A.該應用已經(jīng)過集中操作;但系統(tǒng)和T操作團隊維持并支持此環(huán)境(輔助操作、批量關閉、錯誤糾正、輸出分配等)的能力只經(jīng)過部分測試。B.因為測試已經(jīng)包含了集約效用測試，備份應該能夠處理交易加載。C.因為用戶能夠連接和使用系統(tǒng)，響應時間一定會令人滿意。D.集約測試說明工作流程系統(tǒng)能正常工作。對環(huán)境的變更可能會在未來產(chǎn)生問題，但當前一切正常。[單選題]31.通常，在一個項目的發(fā)起階段，下述人員哪個的參與是必要的？A)系統(tǒng)所有者B)系統(tǒng)用戶C)系統(tǒng)設計者D)系統(tǒng)建設者答案:A解析:系統(tǒng)所有者是信息系統(tǒng)的發(fā)起人或主要的擁護者。他們通常負責啟動和資助項目的開發(fā)、運行和維護信息系統(tǒng)。系統(tǒng)用戶是應用或者被信息系統(tǒng)影響的個人。在項目測試階段，他們的要求是決定性的。系統(tǒng)設計者將業(yè)務需求和系統(tǒng)規(guī)格參數(shù)轉化成技術解決方案。系統(tǒng)建設者在系統(tǒng)設計者詳細計劃的基礎上構建系統(tǒng)。在大多數(shù)情況下，設計者和建設者是同一個人。點評：用戶管理層是在項目的發(fā)起階段是必須參與的[單選題]32.為了解決操作人員未能執(zhí)行每日備份的風險，管理上要求系統(tǒng)管理員在日常備份上簽字。這個例子是一個什么風險？A)規(guī)避B)轉移C)降低D)接受答案:C解析:降低是一種提供對控制的定義和實施為了解決所描述的風險的策略。規(guī)避是不實施某些將招致風險的活動或過程的策略。轉移是與合作伙伴共享，或采取保險來保障風險的策略。接受是一種正式承認風險的存在和監(jiān)控風險的策略。[單選題]33.在對一個流程處理中的預防控制、發(fā)現(xiàn)控制和糾正控制的整體效果進行評估時，信息系統(tǒng)審計師應該認識到以下哪項？A)控制應該在系統(tǒng)中數(shù)據(jù)流的各個點上建立B)只有預防性控制和發(fā)現(xiàn)性控制是相關的C)糾正性控制只能被視為是補償性的D)信息系統(tǒng)審計師可以使用分類方法來決定哪些控制是缺少的答案:A解析:信息系統(tǒng)審計師應該關注控制在系統(tǒng)中數(shù)據(jù)流的各個點上建立的情況。選項B不正確是因為糾正性控制也是相關的。選項C不正確是因為糾正性控制可以消除或降低錯誤的影響，因此不應把他僅僅視為是補償性控制。選項D不正確是因為控制的擴展性和功能性是重要的，而不是控制的分類。點評：各種控制是作用在業(yè)務實體之上的[單選題]34.以下哪一項能最大限度地保證信息的真實性？A)哈希碼在傳輸?shù)臅r候按照一定的數(shù)字邏輯進行數(shù)字化處理并傳輸B)哈希碼用發(fā)送者的私鑰進行加密C)哈希碼和信息都用密鑰進行加密D)信息發(fā)送者獲得接受信息人的公共密鑰，并通過認證授權驗證數(shù)字證書的真實性。答案:A解析:利用發(fā)送者的私鑰加密哈希碼，確保信息的真實性。利用算術生成的哈希碼僅能保證信息的完整性。將哈希碼和明文一起用密鑰加密僅能保證信息的機密性。[單選題]35.代碼簽名的目的是為保證：A)該軟件后來并未被修改B)應用程序可以和其他簽署的應用安全交互C)對應用程序的簽名者是被信任的D)簽名者的私鑰沒有被破壞答案:A解析:代碼簽名僅僅能確?？蓤?zhí)行代碼在簽名之后未被改動。其他選項是不正確，實際上反映的是代碼簽名的潛在和可利用的弱點。點評：代碼簽名為了保證完整性[單選題]36.某公司預算有限，其恢復時間目標(RTO)為72小時，恢復點目標(RPO)為24小時。以下哪一項最符合該企業(yè)的要求?A)熱站B)冷站C)鏡像站點D)溫站答案:D解析:A.盡管熱站能夠讓該企業(yè)達到其恢復點目標(RPO)和恢復時間目標(RTO)。但熱備援中心的維護成本高于溫站，而后者同樣能夠達到上述目標。B.冷站盡管能夠提供基本的基礎設施，但缺乏必要的硬件，無法達到企業(yè)目標。C.鏡像站點提供全面冗余的設施，可以進行實時數(shù)據(jù)復制。它能夠實現(xiàn)企業(yè)目標，但其成本效益不如溫站。D.溫站是最合適的解決方案，原因在于它提供基本的基礎設施和大多數(shù)必要的IT設備，能夠恰如其份地滿足企業(yè)需求。需要的剩余設備可通過供應商協(xié)議在數(shù)天內(nèi)提供。RTO是在發(fā)生災難后，恢復業(yè)務功能或資源所允許的時間量。RPO是根據(jù)運轉中斷時可接受的數(shù)據(jù)丟失確定的。RPO指明恢復數(shù)據(jù)可以接受的最早時間點，一旦發(fā)生中斷，它能夠有效地量化許可的數(shù)據(jù)丟失量。[單選題]37.一個開放式系統(tǒng)架構的優(yōu)點是？A)促進互操作性B)有利于整合私有的組件C)將從設備供應商處得到折扣D)獲得在設備上的更多經(jīng)濟成就答案:A解析:開放系統(tǒng)是由那些部件的供應商提供的，是公共標準定義的接口，從而促進不同廠商之間制造系統(tǒng)的相互操作性。與此相反，封閉的系統(tǒng)中組件建立專有標準，以便其他供應商的系統(tǒng)不能或不會與現(xiàn)有的的系統(tǒng)對接。所以C和D不正確。[單選題]38.信息安全策略中指明?每個人在每個受控的門前都要提交證章供檢查?，這主要是針對下面哪一項攻擊手段？A)尾隨B)窺視C)垃圾數(shù)據(jù)研究D)偽裝答案:A解析:尾隨指未授權的人跟隨已授權的人，在物理上或者虛擬地進入禁區(qū)。這個策略解決為陌生人敞開大門的問題。如果每一位員工必須在每一個控制的大門進行他們的徽章讀入，就沒有未經(jīng)授權的人進入敏感的領域。通過未授權人的尾隨，獲得進入敏感區(qū)域，然后窺視用戶獲取敏感資料，但這項策略具體是指物理訪問控制。通過這個策略的實施，窺視不會被阻止。垃圾數(shù)據(jù)研究，通過搜尋一個組織的垃圾，期待有價值的信息，可以在該公司以外的物理周邊完成，因此，這項政策將不會解決這一攻擊方法。偽裝是指一個社會工程師，扮演一名雇員，嘗試找回所需的信息。某種形式的社會工程攻擊可能會加入一個偽裝攻擊和尾隨，但這個信息安全的政策并沒有解決偽裝攻擊。[單選題]39.在以下哪種情況下，通過組織設施內(nèi)的終端或工作站進行未授權系統(tǒng)訪問的可能性會增加：A)設施中的連接點可用于將便攜式計算機連接到網(wǎng)絡B)用戶采取預防措施來使密碼保密C)帶有密碼保護的終端位于不安全的位置D)終端位于管理員監(jiān)督下的小型群集中的設施內(nèi)答案:A解析:動機不良的人可將便攜式計算機連接到網(wǎng)絡。如果個人知道有效的用戶ID和密碼，不安全的連接點會使未授權訪問成為可能。其他選項是用于防止未授權網(wǎng)絡訪問的控制措施。如果入侵者無法輕易得到系統(tǒng)密碼，他們必須進行猜測，這就產(chǎn)生了一個額外的因素，而且需要時間。系統(tǒng)密碼可防止對位于不安全位置的終端的未授權使用。監(jiān)督在用于監(jiān)控對小型操作單元或生產(chǎn)資源的訪問時是非常有效的控制。[單選題]40.為了防止未授權進入撥號和快速反應系統(tǒng)中的數(shù)據(jù)。審計人員應該建議:A)在線終端在受限區(qū)域布置B)用鑰匙和鎖裝備的終端C)訪問在線終端時，需要獲得身份卡驗證D)重試特定失敗次數(shù)之后在線訪問會被斷開答案:D解析:防止未授權進入的最適當?shù)姆椒ň褪侵卦囂囟ㄊ〈螖?shù)之后斷開連接。這樣就會阻止通過猜測身份和密碼的方式訪問。其他的選擇都是物理控制，這些控制不能有效地阻止通過電話線未授權的訪問[單選題]41.可以通過以下哪種攻擊避開雙因素身份認證？A)拒絕服務B)中間人C)擊鍵記錄D)窮舉答案:B解析:中間人攻擊與尾隨的相似之處在于攻擊者先裝作合法目標，然后再身份認證得到承認后，僅重新發(fā)送授權用戶發(fā)送過的內(nèi)容以及附加交易。拒絕服務攻擊與身份認證沒有關系。擊鍵記錄和窮舉攻擊雖然可以避開一般的身份認證，但對雙因素身份認證無效。[單選題]42.在審計緊急變更程序流程時，IS審計師應驗證流程：A)允許變更，且該變更通過事后跟蹤來完成B)允許將未記錄的變更直接用到生產(chǎn)庫C)不允許任何緊急變更D)允許程序員永久的訪問程序答案:A解析:有時需要緊急修復以便解決系統(tǒng)問題，這將涉及到使用特殊登陸ID號一邊走緊急情況時授予程序員臨時訪問生產(chǎn)程序的權限。緊急變更將通過事后跟蹤來完成，這樣可以保證正常程序被合適地追溯，否則可能會影響生產(chǎn)程序。緊急庫中以這種方式所做的變更是可被發(fā)布到生產(chǎn)庫。同時還要遵從正常變更管理流程。程序員既不能直接修改生產(chǎn)庫也不能被允許擁有永久訪問生產(chǎn)程序的權限。[單選題]43.當評估應用程序與應用程序之間如何交換數(shù)據(jù)時，以下哪一項最有幫助?A)服務器及應用程序列表B)對應用程序的風險評估結果C)實體關系圖D)配置管理數(shù)據(jù)庫答案:C解析:[單選題]44.下列哪一項代表缺乏充分的安全控制？A)威脅B)資產(chǎn)C)影響D)漏洞答案:D解析:缺乏充分的安全控制表現(xiàn)為漏洞，暴露敏感信息和數(shù)據(jù)的惡意破壞，黑客攻擊或未經(jīng)授權的訪問風險。這可能導致敏感信息的丟失，并導致該組織的商譽損失。一個簡明的風險定義是由國際標準化組織（ISO）頒布的IT安全管理準則，它定義風險為?潛在的威脅將暴露資產(chǎn)的漏洞或者引起組織資產(chǎn)的損失又或者毀壞資產(chǎn)?定義的各種要素是指漏洞，威脅，資產(chǎn)，和影響。在這方面缺乏充足的安全功能是一個弱點。[單選題]45.在跟進審計中，信息系統(tǒng)審計師發(fā)現(xiàn)實施的控制與建議的控制不同。審計師應：A)驗證是否充分實現(xiàn)控制目標。B)將控制與行動計劃進行比較。。C)作為重復發(fā)現(xiàn)的問題進行報告。D)通知管理層有關不正確的實施問題。答案:A解析:[單選題]46.一位IS審計師已完成網(wǎng)絡審計。以下哪項是最重要的邏輯安全結果？A)經(jīng)過一段無活動時期后未自動禁用網(wǎng)絡工作站B)配線柜未上鎖C)未適當保護網(wǎng)絡操作手冊和文檔D)網(wǎng)絡組件未配備不間斷電源答案:A解析:選項A是唯一的邏輯安全結果。應具備適當?shù)木W(wǎng)絡邏輯安全控制，用以限制、識別和報告已經(jīng)授權和未經(jīng)授權的網(wǎng)絡用戶。禁用不活動的工作站可限制網(wǎng)絡用戶。選項D屬于環(huán)境問題，而選項B和C則為物理安全問題。選項B.C和D應報告給相應實體。[單選題]47.審計業(yè)務連續(xù)性計劃(BCP)期間，某1S審計師發(fā)現(xiàn)，盡管所有部門在同一建筑物中辦公，但是每個部門都有各自獨立的BCP。該IS審計師建議協(xié)調BCP。應該首先協(xié)調以下哪一個領域?A)疏散計劃B)恢復優(yōu)先級C)備份存儲D)呼叫樹答案:A解析:A.在與災難相關的事件中應該先保護人力資源。如果業(yè)務連續(xù)性計劃(BCP)互相獨立，則可能導致各散計劃彼此沖突，進而危及到員工和客戶的安全B.恢復優(yōu)先級對于不同的部門可能不同，而且可以單獨處理，但是仍應該審查其中可能存在的沖突或降低成本的可能性，但是這些只能在分析完人身安全問題之后予以解決。C.備份策略對于各部門的計劃整合不重要。生命安全始終是最重要的。D.危機期間的溝通一直是個難題，但呼叫樹沒有首先保證人身安全重要。[單選題]48.某公司決定實施基于公鑰基礎架構(PKI)的電子簽名方案。用戶的私鑰會存儲在計算機硬盤中并受密碼保護。此方法的最大風險是A)如果密碼泄漏，該用戶的電子簽名將遭到其他人的利用。B)使用其他用戶的私鑰對消息進行電子簽名，從而實現(xiàn)偽造。C)用其他人的公鑰來替代該用戶的公鑰，從而實現(xiàn)對某用戶的模仿。D)在計算機中用其他人的私鑰進行替代，從而實現(xiàn)偽造。答案:A解析:A.該用戶的數(shù)字簽名僅受密碼保護。一旦密碼泄漏，簽名便會遭人利用。這是最嚴重的風險。B.使用其他用戶的私鑰對消息進行電子簽名說明消息是來自不同的人，因此真實用戶的憑據(jù)不會被偽造。C.模仿公鑰需要修改證書頒發(fā)機構(CA)頒發(fā)的證書。而這十分困難，可能性也不大。D.替換其他用戶的私鑰不起作用，因為數(shù)字簽名需要用原始用戶的公鑰來驗證。[單選題]49.作為輔助資產(chǎn)管理的最佳信息源，以下哪個是具有一定法律保障？A)安全事件摘要B)供應商的最佳實踐C)CERT計算機網(wǎng)絡應急技術處理協(xié)調中心D)重大合同答案:D解析:合同需要被咨詢以確定信息資產(chǎn)管理的來源。供應商的最佳實踐是提供了一個如何評估企業(yè)的競爭力，而安全事件摘要是評估了IT基礎設施相關的漏洞。CERT的網(wǎng)站使用于評估在IT基礎設施中漏洞的信息來源。點評：合同提供了法律保障[單選題]50.當審計一套新計算機系統(tǒng)的購置提議時，IS審計師應該首先確保：A)一份清晰且已被管理層許可的業(yè)務案例B)達到公司安全標準C)用戶將參與與實施計劃D)該新系統(tǒng)將滿足所有用戶功能需求答案:A解析:審計師首先要關注的是該提議滿足業(yè)務需求，且這就要求建立一份清晰的業(yè)務用例。雖然符合安全標準是必須的，就像滿足用戶需求及用戶參與實施過程一樣，這些在采購過程中太早了，而不是IS審計師首先要考慮的。點評：業(yè)務案例需指明項目意義、成本、風險等信息，是項目方向的總體指導[單選題]51.在做IT流程安全審計的時候，信息系統(tǒng)審計員發(fā)現(xiàn)沒有任何安全流程的相關文檔。審計員該：A)創(chuàng)建流程文檔B)結束審計C)進行符合性測試D)確認及評估現(xiàn)存的實例答案:D解析:審計的主要目標之一是確定潛在的風險，因此，最首要應完成組織現(xiàn)存安全實例的確定和評估。IS審計師不應準備文檔，這將影響他的獨立性。終止審計阻止達到基本的審計目標，即識別潛在風險。沒有文檔的流程，僅沒有依次測試的基礎。[單選題]52.確定服務交付目標(SDO)的主要依據(jù)應該是:A)可接受的最低運營能力B)恢復流程的成本效益C)達到恢復時間目標(RTO)D)允許的運營中斷時限(AIW)答案:A解析:A.服務交付目標(SDO)是正常狀況之前在交替過程模式期間要達到的服務水平.此目標與業(yè)務需求直接相關。B.在確定SDO時，恢復流程的成本效益不是主要考慮因素。C.在確定SDO時，達到恢復時間目標(RTO)可能是一項需要考慮的因素，但屬于次要因素D.在確定SDO時，允許的運營中斷時限(AW)可能是其中一項需要考慮的次要因素。[單選題]53.選擇使用快速應用開發(fā)（RAD）方法來實現(xiàn)一個ERP系統(tǒng)。因為內(nèi)部員工無法滿足需求，所有的項目活動都被分配給承包的咨詢公司。審計師首先要做什么？A)評估項目的計劃和方案B)要求供應商提供額外的外部員工C)建議公司雇傭更多的員工D)暫停項目，直到人員到位答案:A解析:因為計劃時間通常很短，RAD法需要可用的資源和良好的專業(yè)知識以及快速的決策流程。為彌補最終用戶數(shù)量的不足，審計項目計劃和方案可以對其做出合適的變更，這是最好的建議。增加參與項目的外部人員不能解決這個問題，因為他們不能決定哪個內(nèi)部人員能代表來自業(yè)務端的最終的使用人員。雇傭更多的新員工將花費時間，而且也不能保證新員工能在項目中做出適當?shù)臎Q定。停止項目也許能成為一個不錯的選項，但是審核項目并考慮所有的情況才是最先要做的。點評：發(fā)現(xiàn)問題后，審計師應深入分析后再得出結論[單選題]54.根據(jù)性能監(jiān)視工具的報告，服務器遠遠低于其計劃的使用率,以下哪一項是最好的建議?A)審查容量規(guī)劃B)重新配置服務器設置C)部署負載均衡D)整合物理服務器答案:D解析:[單選題]55.某人力資源(HR)公司在使用通用用戶ID和密碼進行身份認證后，為其客人提供無線互聯(lián)網(wǎng)訪問。通用ID和密碼可從接待處申請。以下哪項控制措施能最好地解決此問題?A)每周更改一次無線網(wǎng)絡的密碼。B)在公共無線網(wǎng)絡和公司網(wǎng)絡之間使用狀態(tài)檢測防火墻。C)將公共無線網(wǎng)絡與公司網(wǎng)絡物理隔開。D)在無線網(wǎng)絡中部署入侵檢測系統(tǒng)(IDS)答案:C解析:A.更改無線網(wǎng)絡的密碼不能防止未經(jīng)授權訪問公司網(wǎng)絡，特別是在每周一次的密碼變更間隔之前客人可隨時訪問無線局域網(wǎng)(WLAN)B.狀態(tài)檢測防火墻將甄別從無線網(wǎng)絡進入公司網(wǎng)絡的所有數(shù)據(jù)包;但需要審計防火墻的配置，還可能產(chǎn)生防火墻泄漏(雖然不太可能)C.將無線網(wǎng)絡與公司網(wǎng)絡物理隔離是保護公司網(wǎng)絡免受入侵的最佳方法D.入侵檢測系統(tǒng)(IDS)將檢測入侵，但不阻止未經(jīng)授權個人訪問網(wǎng)絡。[單選題]56.下面哪一個是網(wǎng)絡性能監(jiān)測工具帶來的最直接的好處A)完整性B)可用性C)完全性D)機密性答案:B解析:網(wǎng)絡性能監(jiān)測工具的一個關鍵的功能是在服務萬一中斷的情況下能保證信息保持不變。利用類似加密這樣的工具保證機密性是安全監(jiān)測的功能。網(wǎng)絡性能最重要的方面是確保網(wǎng)絡的持續(xù)連通，來保證業(yè)務運行。所以，網(wǎng)絡監(jiān)視最大的作用的可用性。[單選題]57.如果IS審計師發(fā)現(xiàn)并不是所有員工都了解公司的信息安全政策。IS審計師可斷定A)缺乏該知識會導致員工無意中泄漏敏感信息。B)信息安全不是對所有職能都很重要C)IS審計應對員工進行安全培訓。D)審計發(fā)現(xiàn)將導致管理人員對員工進行持續(xù)培訓。答案:A解析:A.所有員工都應該對企業(yè)的信息安全政策有所了解，以防止無意中泄露敏感信息。培訓是一種預防性控制。安全意識計劃可防止員工無意中把敏感信息泄露給外部人員。B.信息安全是每個人的事情，所有員工都需要參與如何正確處理信息的培訓。C.提供安全意識培訓不是IS審計的職能。D.管理層可同意或拒絕審計發(fā)現(xiàn)。如果管理層不了解審計發(fā)現(xiàn)的影響，IS審計師不能確定管層會根據(jù)審計發(fā)現(xiàn)采取行動因此審計師必須上報缺乏安全意識相關的風險。[單選題]58.以下哪種攻擊針對安全套接字層(SSL)?A)中間人B)字典C)密碼嗅探D)網(wǎng)絡釣魚答案:A解析:攻擊者可以建立一個假的SSL服務器來接受用戶的SSL流量，隨后路由到真正的SSL服務器，這樣就能夠獲得敏感信息。為發(fā)現(xiàn)密碼而啟動的字典攻擊不會攻擊SSL，因為SSL不依賴密碼。SSL流量是經(jīng)過加密的，因此不可能嗅探密碼。網(wǎng)絡釣魚攻擊的目標是用戶，而不是SSL。網(wǎng)絡釣魚攻擊通過謊稱是一個可信賴的人或企業(yè)，試圖讓用戶交出私人信息。[單選題]59.在正式結束審計前，審計會議的最主要目的是:A)確保審計師不能忽略任何重要的問題B)對審計發(fā)現(xiàn)達成一致意見C)接受對審計程序的適當性的反饋D)檢查最后陳述的結構答案:B解析:在正式結束檢查前，審計師的會議最主要的目的是對調查結果達成一致。其他選項雖然都與審計師的正式結束有關系，但不是最重要的。[單選題]60.一個組織正在用商用ERP的相關子系統(tǒng)替代內(nèi)部開發(fā)的工資支付程序，下述哪個將代表最高的潛在風險？A)某些項目變更未正式批準B)歷史數(shù)據(jù)從舊系統(tǒng)遷移到新系統(tǒng)有錯C)ERP子系統(tǒng)標準功能測試不完整D)現(xiàn)有工資系統(tǒng)權限在新ERP子系統(tǒng)上發(fā)生重復答案:B解析:一個工資系統(tǒng)遷移后最重要的風險是不能以及時和準確的方法向員工支付工資。因此，在遷移過程中保持數(shù)據(jù)完整性和精確性是最重要的。只要新的工資系統(tǒng)實現(xiàn)預計的功能，其它選項均沒有B重要。點評：業(yè)務數(shù)據(jù)完整性的問題最大[單選題]61.下列哪個領域經(jīng)常面臨微型計算機迅速發(fā)展所帶來的風險？【已經(jīng)理解】1)備份和恢復。2)應用程序開發(fā)成本。3)記錄的批量更新。4)訪問的安全。5)違反版權法。A)1、2、3B)2、3、4C)3、4、5D)1、4、5答案:D解析:1.正確,備份和恢復操作需要使用存儲介質，隨著微型計算機的迅速發(fā)展，不斷有新的存儲能力更強的存儲介質出現(xiàn)。例如：從五寸軟盤到三寸軟盤到可擦寫光盤。舊的設備被淘汰，容易導致以前備份的數(shù)據(jù)無法在新微機中使用；2.不正確,會降低成本；3.不正確,更容易；4.正確,隨著微型計算機的迅速發(fā)展，可用來連成網(wǎng)絡，共享信息資源，存在訪問安全的風險；5.正確,隨著微型計算機的迅速發(fā)展，需要大量軟件，存在違反版權法的風險。[單選題]62.信息系統(tǒng)審計員觀測到管理賬戶上的強力攻擊。阻止強力攻擊成功的最好辦法是：A)增加用戶密碼長度B)配置會話過期機制C)執(zhí)行定期弱點掃描D)配置一個難于猜測的用戶名答案:D解析:使用強力攻擊的成功需要用戶名和密碼的知識。如果一個用戶名是容易猜測的，強力攻擊會容易奏效。增長密碼長度不像有一個難于發(fā)現(xiàn)的用戶名那么好。會話過期不能阻止未被授權的訪問。弱點掃描通常用于測試默認的用戶名和密碼，但是不能阻止強力攻擊。[單選題]63.信息系統(tǒng)審計師在審查一個人力資源（HR）數(shù)據(jù)庫時發(fā)現(xiàn)，該數(shù)據(jù)庫服務器使用集群以保障高可用性，所有的默認數(shù)據(jù)庫賬戶已被刪除，數(shù)據(jù)庫審計日志進行了保存并且每周進行審查。為了確保數(shù)據(jù)庫得到適當?shù)陌踩?，設計師還應該檢查其它的什么方面？A)數(shù)據(jù)庫數(shù)字簽名；B)利用隨機數(shù)和其他變數(shù)對數(shù)據(jù)庫加密；C)啟用數(shù)據(jù)庫戒指訪問控制（MAC）地址認證；D)數(shù)據(jù)庫初始化參數(shù)。答案:D解析:當打開一個數(shù)據(jù)庫時，很多的配置選項是由初始化參數(shù)所管理的，這些參數(shù)通常是由一個包含許多設置的初始化文件所確定（Oracle數(shù)據(jù)庫管理系統(tǒng)中是?init.ora?）。系統(tǒng)初始化參數(shù)定義了許多?全局?數(shù)據(jù)庫參數(shù)，包括身份驗證，遠程訪問和其他一些重要的安全設置。為了有效地審計數(shù)據(jù)庫的實現(xiàn)，審計師必須檢查數(shù)據(jù)庫初始化參數(shù)。數(shù)字簽名用于認證和不可否認性，并不是通常在數(shù)據(jù)庫中使用。因此這不是一個審計師應進行調查的領域。一個隨機數(shù)的定義是?隨時間變化的參數(shù)?，類似于生成一個數(shù)字用于認證一個特定的用戶會話。隨機數(shù)不相關于數(shù)據(jù)庫安全（它們通常在加密方案中使用）。MAC地址是一個網(wǎng)絡接口的硬件地址。MAC地址認證有時用于無線局域網(wǎng)（WLAN）技術，但和數(shù)據(jù)庫安全不相關。[單選題]64.一位IS計師發(fā)現(xiàn)開發(fā)人員具有可訪問生產(chǎn)環(huán)境操作系統(tǒng)命令行的操作員權限。以下哪項控制可最大程度地降低對生產(chǎn)環(huán)境進行未檢測和未經(jīng)授權的程序變更所產(chǎn)生的風險?A)記錄在命令行中輸入的命令B)定期計算程序的哈希鍵值，并與程序的最新授權版本的哈希鍵值進行匹配。C)使用預先批準的權限通過訪問權限限制工具來授予訪問操作系統(tǒng)命令行的權限。D)軟件開發(fā)工具和編譯器已從生產(chǎn)環(huán)境中刪除。答案:B解析:A.記錄日志并不是控制，審査日志是控制。B.定期匹配哈希鍵值可檢測到文件的更改。C.因為已經(jīng)授予了命令行級的訪問權，所以開發(fā)人員有可能會繞過控制。D.生產(chǎn)環(huán)境中除工具不會緩解開發(fā)人員未授權活動的風險。[單選題]65.對入侵檢測系統(tǒng)(IDS)的實施進行審查的IS審計師應最關注以下哪個選項?A)IDS傳感器置于防火墻之外。B)基于行為的IDS引發(fā)許多誤警報。C)基于簽名的IDS不足以抵抗新型攻擊。D)該IDS用來檢測加密流量答案:D解析:A.組織可以將傳感器置于防火墻之外以檢測攻擊。將這些傳感器置于高敏感區(qū)域和外聯(lián)網(wǎng)中。B.對于基于行為的入侵檢測系統(tǒng)(DS)來說，引發(fā)許多誤警報是很正常的，這并不是令人關注的問題C.基于簽名的IDS不足以抵抗新型攻擊在預料之內(nèi)，因為其只能識別先前已經(jīng)確定的攻擊D.IDS不能檢測加密流量中的攻擊，如果某人受到誤導井且認為IDS能夠檢測加密流量中的攻擊，則應引起關注。[單選題]66.生物測定系統(tǒng)操作回顧時，信息系統(tǒng)審計師應首先回顧哪個活動？A)注冊B)辨識C)確認D)存儲答案:A解析:生物測定系統(tǒng)用戶首先要在系統(tǒng)中進行登記，系統(tǒng)獲取個人行為或身體信息，識別其獨有的特征并用一種算法將他們轉換為數(shù)字存儲設備中，作為匹配處理的識別模板。所以答案應為：A、[單選題]67.以下哪項是防止數(shù)據(jù)文件受到未授權使用的最有效方法？A)自動的文件錄入B)磁帶庫管理程序。C)訪問控制軟件。D)鎖定庫。答案:C解析:訪問控制軟件是一款主動控制軟件，旨在防止未經(jīng)授權的數(shù)據(jù)訪問。[單選題]68.在應用程序訪問審計中，信息系統(tǒng)審計員發(fā)現(xiàn)系統(tǒng)管理員管理著關鍵應用程序的邏輯訪問。信息系統(tǒng)審計員應該：A)關注，因為應用程序所有者應該根據(jù)用戶工作需要執(zhí)行的功能限制應用程序的訪問。B)不需要關注，因為系統(tǒng)管理員是管理應用程序的。C)關注，應為根據(jù)業(yè)務需求，信息系統(tǒng)的安全管理功能應該限制用戶訪問。D)不需要關注，因為信息系統(tǒng)管理員知道每個個體可以訪問和不能訪問的應用程序。答案:D解析:信息系統(tǒng)安全管理員有能力授予或者撤銷訪問應用程序的權限；但是授權必須得到基于商業(yè)需求的應用程序所有者的批準。其他選項不正確，因為這些對責任的描述通常是由審計員執(zhí)行的。[單選題]69.風險管理流程的結果是一種對于什么的輸入？A)業(yè)務計劃B)審計章程C)安全策略的決定D)軟件設計決策答案:C解析:在風險管理流程關于特定的，與安全有關的決策如可接受的風險水平，選項ABD不是風險管理流程的最終目標。[單選題]70.根據(jù)能力成熟度模型（C、MM）評估某應用開發(fā)項目，IS審計師應該能夠驗證:A)產(chǎn)品的可靠性是有保證的B)程序員的效率得到了提高C)安全需求得到了設計D)預期的軟件開發(fā)流程是被遵循的答案:A解析:用C、MM評價組織的項目開發(fā)時，信息系統(tǒng)審計師要確認開發(fā)團體是否遵照了預定的和固定的軟件開發(fā)流程。雖然軟件開發(fā)過程成熟度的提高可能增加成功的可能性，但成熟的開發(fā)過程并不必然保證軟件產(chǎn)品的可靠。C、MM不評價技術過程，例如編程本身，也不評估安全需求和應用控制。所以答案應為:D、[單選題]71.在審計過程中，IS審計師注意到，應用程序開發(fā)員還對特定的應用程序執(zhí)行質量保證測試。該IS審計師應執(zhí)行以下哪個選項?A)建議補償性控制B)審査開發(fā)員創(chuàng)建的代碼C)分析質量保證儀表板D)報告所發(fā)現(xiàn)的狀況。答案:D解析:A.盡管補償性控制是個好主意，但在這種情況下的主要反應應當是報告這種狀況。B.在這種情況下，評估應用程序開發(fā)員創(chuàng)建的代碼不是適當?shù)姆磻?。IS審計師可以評估一份樣本，以確定開發(fā)員是否測試其自己的代碼，但主要反應應當是報告這種情況。C.分析質量保證儀表板有助評估缺乏職責分工的實際影響，但并不能解決潛在的風險。主要反應應當是報告這種狀況。D.軟件質量保證的角色應當是獨立的，井且與開發(fā)和開發(fā)活動相分離。同一個人不能擔任兩個角色，因為這樣會導致職責不分的問題。一旦確定，IS審計師應當報告這種狀況。[單選題]72.IS審計師應建議采取以下哪項措施來保護數(shù)據(jù)倉庫中存儲的特定敏感信息？A)實施列級和行級權限B)通過強密碼增強用戶身份認證C)將數(shù)據(jù)倉庫組織成為特定主題的數(shù)據(jù)庫D)記錄用戶對數(shù)據(jù)倉庫的訪問答案:A解析:選項A通過控制用戶可訪問的信息內(nèi)容專門用于解決敏感數(shù)據(jù)問題。列級安全性可防止用戶查看表中的一個或多個屬性。而行級安全性則可對表中的某一組信息進行限制；例如，如果某個表中包含員工薪資的詳細信息，則應適當加以限制，以確保用戶無法在未經(jīng)專門授權的情況下查看高級職員的薪資。在關系數(shù)據(jù)庫中，通過允許用戶訪問數(shù)據(jù)的邏輯表示而不是物理表，可以實現(xiàn)列級和行級安全性。這種?細化?安全模型可在信息保護與支持各種分析和報告應用之間達到最佳平衡。通過強密碼增強用戶身份認證是一種應對所有數(shù)據(jù)倉庫用戶實施的安全控制，而不應專門用于解決敏感數(shù)據(jù)保護問題。將數(shù)據(jù)倉庫組織成為特定主題的數(shù)據(jù)庫可能是一種有效的做法，但實際上并不能充分保護敏感數(shù)據(jù)。數(shù)據(jù)庫級安全性通常過于?低級?，無法為信息提供有效且高效的保護。例如，一個數(shù)據(jù)庫可能包含員工薪資和客戶收益率詳細信息等信息，必須對這些信息加以限制；而對于其中包含的員工部門等其他信息，則允許大量用戶進行合法訪問。將數(shù)據(jù)倉庫組織成特定主題的數(shù)據(jù)庫與選項B類似，因為通常也應用此控制。審查包含敏感數(shù)據(jù)的表的訪問權限時可能應更加仔細，如此控制在缺少選項A中所指定的強預防性控制時不足以保護相關信息。[單選題]73.IT控制目標對信息系統(tǒng)審計師是有用的，因為他們提供了對于下列哪項的基礎：A)實施具體的控制程序的期望結果B)對特定實體最好的IT安全控制措施C)安全信息技術D)安全策略答案:A解析:一個IT控制目標是，在一個特定的IT活動中通過實施控制程序達到預期的結果或目標的聲明定義?？刂颇繕藶閷嵤┛刂铺峁┝藢嶋H目標，這個方法未必是最佳的做法。技術是實現(xiàn)一個目標的手段，而安全策略是控制目標的子集。點評：控制目標的概念[單選題]74.審計軌跡的主要目的是:A)改善用戶響應時間。B)確立已處理交易的問責制度和責任。C)提高系統(tǒng)的操作效率。D)為想要跟蹤交易的審計師提供有用信息。答案:B解析:A.啟用軟件以提供審計軌跡的目的不是提高系統(tǒng)效率，因為它通常包含其他處理，實際上會降低用戶的響應時間。B.通過在系統(tǒng)中跟蹤交易，審計軌跡可用來幫助確立已處理交易的問責制度和責任。C.啟用審計軌跡涉及到存儲，因此會占用磁盤空間，而且可能會降低操作效率。D.計軌跡用于各種目的的交易跟蹤，不僅限于審計。審計軌跡可被IS審計師使用;但這不是主要原因。[單選題]75.通常情況下，在項目啟動階段，下面哪一利益相關者必須參與?A)系統(tǒng)所有者B)系統(tǒng)用戶C)系統(tǒng)設計者D)系統(tǒng)構建者答案:A解析:A.系統(tǒng)所有者是信息系統(tǒng)(項目)的發(fā)起人或主要擁護者。通常情況下，他們負責啟動和資助項目，從而開發(fā)、操作和維護信息系統(tǒng)B.系統(tǒng)用戶是使用信息系統(tǒng)或受其影響的個人。在項目的需求定義、設計和測試階段，他們的要求至關重要C.系統(tǒng)設計者將業(yè)務要求和約東轉化為技術解決方案。D.系統(tǒng)構建者按照系統(tǒng)設計者的要求構建系統(tǒng)。多數(shù)情況下，系統(tǒng)設計者和系統(tǒng)構建者是同一個人。[單選題]76.某IS審計師在執(zhí)行審計時確定，開發(fā)人員已被授予虛擬機(VM)管理控制臺的管理員訪問權限，以管理其自己用于軟件開發(fā)和測試的服務器。對該IS審計師而言，以下哪一項最值得關注?A)開發(fā)人員具備創(chuàng)建或撤除服務器的能力。B)開發(fā)人員已獲得訪問生產(chǎn)服務器的高級權限。C)開發(fā)人員可用其應用影響生產(chǎn)服務器的性能。D)開發(fā)人員可將未經(jīng)批準的應用安裝到任何服務器。答案:A解析:A.虛擬化提供通過擁有管理訪問權限的管理接口創(chuàng)建或銷毀虛擬機(VM)。盡管開發(fā)人員不可能撤除生產(chǎn)服務器，但管理控制臺將授予其這樣做的能力，這是一種重大風險。B.如果配置適當，虛擬服務器主機的管理控制臺不允許個人繞過來賓操作系統(tǒng)(OS)的身份認證訪問服務器。在本案例中，盡管開發(fā)人員有可能啟動、停止甚至撤除生產(chǎn)VM，但他們無法獲得通過管理接口訪問來賓OS的高級權限。C.盡管可能存在軟件開發(fā)人員使用資源密集型應用，從而給虛擬主機帶來性能問題的情況，更大的風險是撤除VM的能力。D.如果配置適當，虛擬服務器的管理控制臺不允許個人繞過來賓OS的身份認證訪問服務器;因此，不必擔心可能安裝未經(jīng)授權的軟件[單選題]77.以下哪一項是新開發(fā)系統(tǒng)將在投產(chǎn)后被使用的最佳指標A)回歸測試B)用戶驗收測試(UAT)C)社交性測試D)并行測試答案:B解析:A.回歸測試結果無助于用戶體驗，它主要關注新的功能或流程，以及這些變化是否改變或破壞了以前的功能。B.用戶驗收測試(UAT可用于保證系統(tǒng)或系統(tǒng)組件按預期運行、為評估需求實施情況提供依據(jù)或證實系統(tǒng)或組件的效率或效能。如果測試結果很差，則用戶不大可能驗收該系統(tǒng)C.社交性測試結果指示應用程序與同一環(huán)境內(nèi)其他組件的協(xié)作情況，并不能指示用戶體驗D.并行測試在需要比較兩種應用程序時進行，但并不提供有關用戶滿意度的反饋。[單選題]78.一個信息系統(tǒng)審計員發(fā)現(xiàn)一些被企業(yè)處理的硬盤是沒有確保數(shù)據(jù)是不能被恢復的。此外企業(yè)沒有相應的數(shù)據(jù)清理策略。信息系統(tǒng)審計員首先要：A)起草一個審計報告并且與負責的審計人員討論B)判斷硬盤上的敏感信息C)與IT主管討論數(shù)據(jù)銷毀的最佳做法D)為企業(yè)開發(fā)一個適當?shù)臄?shù)據(jù)銷毀策略答案:B解析:雖然沒有相關策略，審計人員應該對硬盤上信息的本質進行量化判斷和風險評估。起草沒有量化風險的審計報告和討論最佳做法是過早的。一個信息審計人員從來不負責策略的制定。[單選題]79.以下哪類防火墻可以最好的保護網(wǎng)絡免受互聯(lián)網(wǎng)攻擊？A)屏蔽子網(wǎng)防火墻B)應用過濾網(wǎng)關C)數(shù)據(jù)包過濾路由器D)電路級網(wǎng)關答案:A解析:屏蔽子網(wǎng)防火墻尅提供最佳保護。屏蔽路由器可以使商用路由器或具有路由功能且能基于地址、端口、協(xié)議、接口等允許或避免網(wǎng)絡間或節(jié)點間通信的節(jié)點。應用級網(wǎng)關是要進行通信的兩個實體間的中介器，也稱為代理網(wǎng)關。應用級（代理）不僅在數(shù)據(jù)包級工作，還在應用級工作。屏蔽對數(shù)據(jù)包級、地址和端口進行控制，但不查看數(shù)據(jù)包的內(nèi)容。數(shù)據(jù)包過濾器路由器檢查在互聯(lián)網(wǎng)和公司網(wǎng)絡之間傳送的每個數(shù)據(jù)包或數(shù)據(jù)的頭。[單選題]80.信息系統(tǒng)審計師被指派對一個應用系統(tǒng)進行實施后的審計。以下哪種情形可能影響信息系統(tǒng)審計師獨立性？A)在應用系統(tǒng)的開發(fā)階段執(zhí)行特定的需求功能。B)為了審計該應用系統(tǒng)而設計一個嵌入式的審計模塊。C)作為應用系統(tǒng)項目團隊的一員，但不承擔運行職能。D)根據(jù)應用系統(tǒng)的最佳實踐提供咨詢和建議。答案:A解析:信息系統(tǒng)審計師參與到系統(tǒng)的開發(fā)、獲取和實施活動中，獨立性就可能受損。選項BC不會損害審計師的獨立性。選項D.不正確，因為以最佳實踐提供咨詢建議是不會損害審計師的獨立性的。點評：動腦子的活最影響獨立性[單選題]81.誰對IT治理主要負責？A)首席執(zhí)行官（CEO）B)董事會C)IT指導委員會D)審計委員會答案:B解析:IT治理主要是對管理人員和股東（由董事會代表）的責任。CEO是在董事會的指示中起IT治理的作用。IT指導委員會負責監(jiān)控，并促進支持計劃中具體項目的IT資源分配。審計委員會向董事會報告，并應檢測審計建議的執(zhí)行情況。點評：IT治理是董事會的責任[單選題]82.審查廣域網(wǎng)（WAN）的使用中發(fā)現(xiàn)，在同步連接主數(shù)據(jù)庫和備用數(shù)據(jù)庫站點的通信線路中的流量最高達到信息容量的96%，IS設計師可以得出結論：A)需要分析以便確定是否出現(xiàn)了短期內(nèi)能導致服務中斷的情況B)廣域網(wǎng)的通信能力足以滿足最大流量因為還沒達到飽和狀態(tài)C)應該立刻更換更大容量的線路，以便提供大約85%的飽和度D)應該通知用戶減少通訊流量，或分配其服務時間以便平衡寬帶消耗答案:A解析:96%的峰值可能由于一次性事故引起的，例如用戶下載了大量數(shù)據(jù)，因此，在建議使用更大通量線路之前，應該先進行分析以便確認是否是經(jīng)?，F(xiàn)象，是什么原因導致這種行為。既然這種連接提供了備有數(shù)據(jù)庫，服務短時間中斷是可以接受的。如果這個峰值是經(jīng)常發(fā)生并且無法采取其他緩解方式（使用寬帶保留協(xié)議或其他類型的網(wǎng)絡流量優(yōu)先方法）,那么就要替換這種線路，因為當流量達到100%時，存在服務中斷的風險。然而，如果這個峰值是一次性或者可以被放在其他時間段中，那么用戶教育是一個選擇了。[單選題]83.成功攻擊一個系統(tǒng)的第一步應當是：A)收集信息B)獲取訪問權C)拒絕服務D)逃避檢測答案:A解析:成功的攻擊始于收集目標系統(tǒng)的信息。它被預先完成后，攻擊者就能夠了解目標系統(tǒng)和它們的脆弱性。所有其他的選擇都基于收集到的信息。[單選題]84.一個公司由于目前合同到期在考慮采用新的ISP（Internet接入服務商）。從審計的角度以下哪項最需要檢查？A)服務水平協(xié)議。B)ISP的物理安全。C)ISP的其它客戶的推薦。D)ISP雇員的背景調查。答案:A解析:外包商的服務水平協(xié)議SLA應詳細規(guī)定反應時間等提供服務的指標。[單選題]85.當實施服務提供商的審計時，一個信息系統(tǒng)審計員觀察到這個服務提供商外包了部分工作給另外一家提供商。由于這項工作包括了保密信息，IS審計師應首要關注的是:A)要求保護信息的保密性可能受到損害B)合同應該中止，因為來自外包商的優(yōu)先許可沒有被包含C)被外包的另外那家服務提供商不屬于審計的內(nèi)容D)對外包轉入的另外那家服務提供商開展深入的工作答案:A解析:很多國家針對國內(nèi)維護信息以及和他國交換信息頒布了信息保密的有關規(guī)定。如果一個服務提供商把部分服務外包給另一提供商，會產(chǎn)生危及信息安全的潛在風險。選項B、和C、可以考慮但是與確保信息保密無關。IS審計師不需考慮選項D、。[單選題]86.對公司信息系統(tǒng)做審計時，審計師的第一步工作應該是：A)開發(fā)出戰(zhàn)略性審計計劃。B)對公司的業(yè)務重點獲得理解。C)做初步的風險評估為基于風險的審計打下基礎。D)確定和定義審計范圍和重要性。答案:B解析:審計師的第一步是理解公司的業(yè)務重點，如果不能理解公司的業(yè)務愿景，目標和運營，他不會有能力完成其它任務。[單選題]87.非授權用戶或外部人員（例如黑客）可以通過公共電話撥入網(wǎng)路，不斷地嘗試系統(tǒng)代碼、用戶身份識別碼和口令來獲得對網(wǎng)路的訪問權限。這種?暴力破解＂的方法一般在什么情況下有效？A)非授權用戶在嘗試一定數(shù)量的口令猜測后，會被系統(tǒng)自動斷開B)使用常用字符和個人相關信息作為口令C)用戶身份識別碼和口令有各種大量的可能性組合D)所有登錄企圖被記錄下來，并妥善保護答案:B解析:[單選題]88.信息系統(tǒng)審計師執(zhí)行下列哪項行為最可能損害其在應用程序系統(tǒng)審計中的獨立性？A)執(zhí)行應用程序的開發(fā)審查。B)為應用程序設計一個嵌入式審計模塊。C)審計師的上級負責此應用程序的開發(fā)。D)知道應用程序包括審計師的個人交易。答案:D解析:[單選題]89.在輔助財務審計的IT控制測試時，總賬GL用戶向信息系統(tǒng)審計師投訴，在訪問數(shù)據(jù)時存在嚴重的延時。IS審計師應采取的最合理的操作為：A)將延時記錄為有待改善的控制缺陷B)推薦使用負載平衡去改進吞吐量C)在管理建議書中寫明這個投訴D)在形成對IT控制的審計意見時，排除這些投訴答案:D解析:弄清響應時間的根本原因超出了在現(xiàn)行的審計范圍。影響財務報表IT控制的主要目標是保證財務報表的完整性。因此，對于使用