利用 CISA 模擬測試、註冊信息系統審計師提高您的認證準備水平

問題 #1

以下哪種類型的防火牆可以 BEST 保護網絡免受互聯網攻擊？

A. ��蔽子網防火牆

B. ��用程序過濾網關

C. ��據包過濾路由器

D. ��路級網關

查看答案

正確答案: A

問題 #2

關於煙霧探測器，以下哪項陳述不是正確的？

A. ��霧探測器應安裝在整個設施的天花板上方和下方，以及計算機房地板凸起的下方。

B. ��霧探測器啓動時應發出聲音警報，並與監控站連接

C. ��在瓷磚上標明煙霧探測器的位置，以便於識別和使用

D. ��霧探測器應取代滅火系統

查看答案

正確答案: B

問題 #3

哪種類型的組織政策制定方法通常由風險評估驅動？

A. ��下而上

B. ��上而下

C. ��合性

D. ��合

查看答案

正確答案: B

問題 #4

要確定誰被授予了使用特定系統資源的權限，信息系統審計員應進行審查：

A. 活動清單。

B. 訪問控制列表

C. 登錄 ID 列表。

D. 密碼列表。

查看答案

正確答案: A

問題 #5

對關鍵系統執行認證和鑑定程序的目的是確保：

A. 已對安全合規性進行了技術評估。

B. 數據已加密並準備好存儲。

C. 系統已通過測試，可在不同平臺上運行。

D. 系統遵循瀑布模型的各個階段。

查看答案

正確答案: A

問題 #6

以下哪項是深入安全防禦原則的例子？

A. ��用兩個不同供應商的防火牆連續檢查傳入的網絡流量

B. ��主機上使用防火牆和邏輯訪問控制來控制傳入的網絡流量

C. ��算機中心大樓外部沒有任何實體標誌

D. ��行使用兩個防火牆檢查不同類型的傳入流量

查看答案

正確答案: A

問題 #7

通用網關接口 (CGI) 最常以何種方式用於網絡服務器？

A. ��數據傳輸到應用程序並返回給用戶的一致方式

B. ��於電影和電視的計算機圖形成像方法

C. ��頁設計的圖形用戶界面

D. 訪問專用網關域的接口

查看答案

正確答案: C

問題 #8

實施 FIRST 的訪問控制要求：

A. IS 資源分類。

B. 對 IS 資源進行標註。

C. 創建訪問控制列表。

D. 信息系統服務資源清單。

查看答案

正確答案: C

問題 #9

某組織在安裝網絡後，安裝了漏洞評估工具或安全掃描儀，以確定可能存在的弱點。與此類工具相關的最嚴重風險是什麼？

A. ��異報告

B. ��陽性報告

C. ��陰性報告

D. ��告細節較少

查看答案

正確答案: A

問題 #10

網絡和電子郵件過濾工具對企業的首要價值在於：

A. 保護組織免受病毒和非商業材料的侵害。

B. 最大限度地提高員工績效。

C. 維護組織形象。

D. 協助組織預防法律問題

查看答案

正確答案: D

問題 #11

基礎設施服務戰略的核心原則是必須

A. ��格便宜

B. ��爲敏感機密信息受到保護

C. ��護信息的機密性、完整性和可用性

D. ��持組織的業務目標

查看答案

正確答案: B

問題 #12

SSL 協議不支持以下哪項功能？

A. ��密性

B. ��信

C. ��份驗證

D. ��用性

查看答案

正確答案: A

問題 #13

以下哪種加密算法對計算能力的要求較低，但每比特的安全性更高？

A. ��子密碼學

B. ��圓曲線加密法（ECC）

C. ��稱密鑰加密法

D. ��對稱密鑰加密法

查看答案

正確答案: B

問題 #14

在審查局域網的實施情況時，信息系統審計員應首先審查局域網：

A. 節點列表。

B. 驗收測試報告。

C. 網絡圖。

D. 用戶名單。

查看答案

正確答案: A

問題 #15

以下哪項能最有效地提高基於挑戰響應的身份驗證系統的安全性？

A. ��擇更穩健的算法生成挑戰字符串

B. 採取措施防止會話劫持攻擊

C. 增加相關密碼更改的頻率

D. 增加驗證字符串的長度

查看答案

正確答案: A

問題 #16

某企業正在使用企業資源管理（ERP）應用程序。以下哪項是有效的訪問控制？

A. ��戶級權限

B. ��於角色

C. ��粒度

D. ��處權

查看答案

正確答案: C

問題 #17

IT 安全政策審計的首要目標是確保：

A. 向所有工作人員分發和提供。

B. 安全和控制政策支持業務和 IT 目標。

C. 有已公布的組織結構圖和職能說明。

D. 職責適當分離。

查看答案

正確答案: B

問題 #18

在一次信息系統審計中，審計員發現身份驗證和授權步驟被分成兩個功能，而且有可能在身份驗證步驟之前強制完成授權步驟。攻擊者可以使用以下哪種技術，在身份驗證之前強制完成授權步驟？

A. ��聽

B. ��通分析

C. ��裝

D. ��賽條件

查看答案

正確答案: D

問題 #19

以下哪項是無線網絡中 Wi-Fi 保護訪問 (WPA) 的功能？會話密鑰是動態的

A.

B.

C.

查看答案

正確答案: C

問題 #20

審計對象在發現應報告的審計結果後立即採取了糾正措施。審計員應

A. 將審計結果列入最終報告，因爲信息系統審計員有責任準確報告所有審計結果。

B. 不將審計結果列入最終報告，因爲審計報告只應包括未解決的審計結果。

C. 不將調查結果列入最終報告，因爲 IS 審計員可在審計期間核實糾正措施。

D. 將調查結果列入閉幕會議，僅供討論。

查看答案

正確答案: C

問題 #21

信息系統審計員會使用以下哪種方法來確定是否對生產程序進行了未經授權的修改？

A. ��統日誌分析

B. ��規性測試

C. ��證分析

D. ��析審查

查看答案

正確答案: A

問題 #22

無磁盤工作站就是一個例子：

A. ��持設備

B. ��客戶機

C. ��人電腦

D. ��型服務器

查看答案

正確答案: B

問題 #23

一家大型企業在審查其業務流程後，正在部署一個基於 VoIP 技術的新網絡應用程序。以下哪種方法最適合實施訪問控制，以促進 VoIP 網絡應用程序的安全管理？

A. ��粒度訪問控制

B. ��於角色的訪問控制（RBAC）

C. ��問控制列表

D. ��絡/服務訪問控制

查看答案

正確答案: A

問題 #24

審計員需要了解用於保護計算機免受惡意軟件侵害的技術控制。以下哪種技術控制會中斷 DoS 和 ROM BIOS 調用並查找類似惡意軟件的操作？

A. ��描儀

B. ��源監聽器

C. ��疫員

D. ��爲阻斷器

查看答案

正確答案: D

問題 #25

以下哪項是最佳訪問控制程序？

A. ��據所有者正式授權訪問，管理員實施用戶授權表。

B. ��權人員實施用戶授權表，數據所有者對其進行制裁。

C. ��據所有者和 IS 經理共同創建和更新用戶授權表。

D. ��據所有者創建並更新用戶授權表。

查看答案

正確答案: B

問題 #26

對系統進行獨立分類的信息系統審計員應考慮這樣一種情況，即在一段較長的時間內，可以在可承受的成本範圍內手動執行各項功能：

A. 關鍵

B. 生命力

C. 敏感。

D. 非關鍵。

查看答案

正確答案: B

問題 #27

在審計報告中列入重大審計結果的最終決定應由審計員作出：

A. 審計委員會。

B. 審計對象的經理。

C. S 審計員。

D. ��織的首席執行官

查看答案

正確答案: D

問題 #28

以下哪項是信息系統指導委員會的職能？

A. ��測由供應商控制的變更控制和測試

B. ��保信息處理環境中的職責分離

C. ��准和監測重大項目、信息系統計劃和預算狀況

D. ��信息系統部門和最終用戶之間建立聯繫

查看答案

正確答案: B

問題 #29

數據庫管理員 (DBA) 建議，可以通過對某些表進行去規範化處理來提高數據庫效率。這樣做的結果是

A. 失密。

B. 增加冗餘。

C. 未經授權的訪問。

D. 應用程序故障。

查看答案

正確答案: C

問題 #30

一家公司最近升級了其採購系統，將 EDI 傳輸納入其中。爲了提供高效的數據映射，應在 EDI 接口中實施以下哪些控制措施？

A. ��鑰驗證

B. ��換一支票

C. ��動重新計算

D. ��能確認

查看答案

正確答案: D

問題 #31

使用網絡服務在兩個系統之間交換信息的最大優勢在於：

A. 安全通信。

B. 提高績效。

C. 高效接口。

D. 加強文獻工作。

查看答案

正確答案: C

問題 #32

以下哪項對數據倉庫中的數據質量最爲關鍵、貢獻最大？

A. ��數據的準確性

B. ��據源的可信度

C. ��取過程的準確性

D. ��據轉換的準確性

查看答案

正確答案: A

問題 #33

以下哪項陳述不正確地描述了反惡意軟件？A .....................................................................................................................................................................................................................................................2 B ................................................................................................................................................................................................

A.

查看答案

正確答案: A

問題 #34

以下哪項是 TCP/IP 模型中傳輸層的協議數據單元（PDU）？

A. ��據

B. ��段

C. ��據包

D. ��架

查看答案

正確答案: C

問題 #35

以下哪項提供了設計和開發邏輯訪問控制的框架？

A. ��息系統安全政策

B. ��問控制列表

C. ��碼管理

D. ��統配置文件

查看答案

正確答案: B

問題 #36

以下哪種程序最適合組織實施，以匯總、關聯和存儲不同的日誌和事件文件，然後爲信息系統審計人員編制周報和月報？

A. ��全信息事件管理（SIEM）產品

B. ��源關聯引擎

C. ��誌管理工具

D. ��取、轉換、加載（ETL）系統

查看答案

正確答案: B

問題 #37

誰是存儲和保護數據的主要責任人？

A. ��據所有者

B. ��據用戶

C. ��據管理員

D. ��全管理員

查看答案

正確答案: D

問題 #38

在審查入侵檢測系統 (IDS) 時，信息系統審計員應最關注以下哪項？

A. ��威脅性事件被認定爲威脅性事件的數量

B. ��統無法識別攻擊

C. ��動工具生成的報告/日誌

D. ��法流量被系統攔截

查看答案

正確答案: D

問題 #39

以下哪項是成功實施 IT 治理的最重要因素？

A. ��施信息技術記分卡

B. ��定組織戰略

C. ��行風險評估

D. ��定正式的安全政策

查看答案

正確答案: C

問題 #40

以下哪個與網絡性能有關的術語是指信息在網絡上的實際傳輸速率？

A. ��寬

B. ��吐量

C. ��遲

D. ��動

查看答案

正確答案: C

問題 #41

信息技術指導委員會應首先審查信息系統，以評估：

A. IT 流程是否支持業務需求。

B. 擬議的系統功能是否足夠

C. 現有軟件的穩定性。

D. 已安裝技術的複雜性。

查看答案

正確答案: B

問題 #42

傳輸付款指令時，以下哪項有助於驗證指令是否重複？

A. ��用加密哈希算法

B. ��密信息摘要

C. ��譯信息摘要

D. ��列號和時間戳

查看答案

正確答案: A

問題 #43

在公鑰基礎設施中，註冊機構：

A. 核實申請證書主體提供的信息。

B. 在驗證所需屬性並生成密鑰後籤發證書。

C. 對信息進行數字籤名，以實現籤名信息的不可抵賴性。

D. 註冊已籤名的信息，以防止它們將來被抵賴。

查看答案

正確答案: A

問題 #44

爲了解一個組織對信息技術資產投資的規劃和管理是否有效，信息系統審計師應審查以下內容：

A. 企業數據模型。

B. ��息技術平衡計分卡（BSC）。

C. ��息技術組織結構。

D. 歷史財務報表。

查看答案

正確答案: A

問題 #45

以下哪個網絡組件的設置主要是爲了防止網絡不同網段之間發生未經授權的通信，從而起到安全措施的作用？

A. ��火牆

B. ��由器

C. �� 2 層交換機

D. LAN

查看答案

正確答案: B

問題 #46

在確定系統維護計劃的有效性時，什麼會對信息系統審計員很有幫助？

A. ��絡監控軟件

B. ��統停機日誌

C. ��政管理活動報告

D. ��務臺使用趨勢報告

查看答案

正確答案: B

問題 #47

以下哪種 PBX 功能可以中斷佔線，將重要信息通知其他用戶？

A. ��戶代碼

B. ��問代碼

C. ��蓋

D. ��賃

查看答案

正確答案: B

問題 #48

以下哪種攻擊包括社交工程、鏈接操縱或網站僞造技術？

A. 衝浪攻擊

B. ��量分析C

C.

查看答案

正確答案: B

問題 #49

數據庫管理員 (DBA) 執行的下列哪些活動應由不同的人執行？

A. ��除數據庫活動日誌

B. ��施數據庫優化工具

C. ��控數據庫使用情況

D. ��義備份和恢復程序

查看答案

正確答案: A

問題 #50

一旦一個組織完成了其所有關鍵業務的業務流程重組（BPR），信息系統審計師最有可能集中精力對其進行審查：

A. BPR 前的流程圖。

B. BPR 後的流程圖。

C. ��務流程重新設計項目計劃。

D. 持續改進和監測計劃。

查看答案

正確答案: C

問題 #51

在職責無法適當分離的環境中，信息系統審計員會查找以下哪些控制措施？

A. ��疊控制

B. ��界控制訪問控制

C.

查看答案

正確答案: B

問題 #52

在非軍事區（DMZ）的服務器上運行文件傳輸協議（FTP）服務會帶來哪些重大風險？

A. ��部用戶可以向未經授權的人發送文件。

B. TP 服務可能允許用戶從未經授權的來源下載文件。

C. ��客可能會利用 FTP 服務繞過防火牆。

D. TP 可能會大大降低 DMZ 服務器的性能。

查看答案

正確答案: D

問題 #53

以下哪種方法是確保主記錄關鍵字段已正確更新的最佳方法？

A. ��地檢查

B. ��制總數

C. ��理性檢查

D. ��護前後報告

查看答案

正確答案: C

問題 #54

一名職員更改了主文件中一筆貸款的利率。輸入的利率超出了此類貸款的正常範圍。以下哪項控制措施能最有效地合理保證更改已獲授權？

A. ��辦事員經理輸入批准代碼確認更改之前，系統不會處理更改。

B. ��統每周生成一份報告，列出所有費率例外情況，並由辦事員的經理對報告進行審查。

C. ��統要求辦事員輸入批准代碼。

D. ��統會向辦事員顯示一條警告信息。

查看答案

正確答案: C

問題 #55

一家大型企業的 IT 業務已經外包。審查外包業務的信息系統審計員最關注以下哪項發現？

A. ��包合同不包括外包 IT 業務的災難恢復。

B. ��務提供商沒有事故處理程序。

C. ��近，由於圖書館管理問題，一個損壞的數據庫無法恢復。

D. 沒有審查事件日誌。

查看答案

正確答案: D

問題 #56

以下哪項對成功實施和維護安全策略最爲關鍵？

A. ��有相關方吸收書面安全政策的框架和意圖

B. ��理層對實施和維護安全政策的支持和批准

C. ��行安全規則，對任何違反安全規則的行爲規定懲罰措施

D. ��保人員通過出入控制軟件嚴格執行、監測和實施規則

查看答案

正確答案: B

問題 #57

一名信息系統審計員在審查應付賬款系統時發現，沒有對審計日誌進行審查。當向管理部門提出這個問題時，得到的答覆是，由於已經實施了有效的系統訪問控制，因此沒有必要採取額外的控制措施。審計員最好的回答是：

A. 審查系統訪問控制的完整性。

B. 接受管理層關於已實施有效訪問控制的聲明。

C. 強調建立系統控制框架的重要性。

D. 審查應付賬款工作人員的背景調查。

查看答案

正確答案: B

問題 #58

在傳輸模式下，使用封裝安全有效載荷（ESP）協議比使用認證頭（AH）協議更有優勢，因爲它能提供

A. 無連接完整性。

B. 數據來源認證。

C. 反遊戲服務。

D. 保密性。

查看答案

正確答案: A

問題 #59

在非自願解僱員工的過程中，以下哪個步驟最重要？

A. ��員工處獲得書面保密協議

B. ��止所有物理和邏輯訪問

C. ��供代替通知期的補償金

D. ��要向相關員工告知解僱事宜

查看答案

正確答案: C

問題 #60

作爲信息安全治理的一項成果，戰略調整提供了：

A. 由企業要求驅動的安全要求。

B. 遵循最佳做法的基線安全。

C. 制度化和商品化的解決方案。

D. 了解面臨的風險。

查看答案

正確答案: C

問題 #61

IS 審計員在選擇程序樣本以確定源版本和目標版本是否相同時，要進行以下哪項測試？

A. ��程序庫控制進行實質性測試

B. ��序庫控制的合規性測試

C. ��序編譯器控制的合規性測試

D. ��序編譯器控制的實質性測試

查看答案

正確答案: A

問題 #62

關於信息技術服務可用性和連續性的信息技術最佳實踐應：

A. 儘量減少與抗災組件相關的成本。

B. 提供足夠的容量，以滿足商定的業務需求。

C. 爲履行對客戶的商定義務提供合理保證。

D. 及時編制績效指標報告。

查看答案

正確答案: D

問題 #63

在對企業資源規劃財務系統的邏輯訪問控制進行審計期間，信息系統審計員發現一些用戶賬戶被多人共享。用戶 ID 基於角色而不是個人身份。這些賬戶允許訪問企業資源規劃系統上的財務交易。IS 審計員下一步應該做什麼？

A. ��找補償控制裝置。

B. ��查財務交易日誌。

C. ��查審計範圍。

D. ��求管理員禁用這些賬戶。

查看答案

正確答案: D

問題 #64

IT 管理成熟度模型中存在 IT 平衡計分卡的最低級別是什麼？

A. ��重複但直觀

B. ��義

C. ��管理和可衡量

D. ��化

查看答案

正確答案: A

問題 #65

審查外部 IT 服務提供商管理情況的 IS 審計員應主要關注以下哪項？

A. ��量降低所提供服務的成本

B. ��止提供方分包服務

C. ��估向信息技術部門轉移知識的過程

D. ��定服務是否按合同提供

查看答案

正確答案: A

問題 #66

IS 審計員發現 DBA 有讀寫生產數據的權限。信息系統審計員應

A. 接受 DBA 訪問是一種常見做法。

B. 評估與 DBA 職能相關的控制措施。

C. 建議立即取消 DBA 對生產數據的訪問權限。

D. 審查 DBA 批准的用戶訪問授權。

查看答案

正確答案: C

問題 #67

系統資源的命名約定對訪問控制非常重要，因爲它們

A. 確保資源名稱不含糊。

B. 減少充分保護資源所需的規則數量。

C. 確保用戶對資源的訪問有明確和唯一的標識。

D. 確保使用國際公認的名稱來保護資源。

查看答案

正確答案: A

問題 #68

執行應用程序維護審計的 IS 審計員將查看程序更改日誌，以了解程序的更改情況：

A. 計劃變更的授權。

B. 當前對象模塊的創建日期。

C. 實際進行的計劃變更數量。

D. 當前源程序的創建日期。

查看答案

正確答案: C

問題 #69

用於防範惡意軟件的兩種主要掃描程序是什麼？惡意軟件掩碼/籤名和啟發式掃描器主動掃描器和被動掃描器行爲攔截器和免疫掃描器以上都不是

A. ��意軟件掩碼/籤名和啟發式掃描器

B. ��動和被動掃描儀

C. ��爲阻斷器和免疫掃描儀

D. ��上都不是

查看答案

正確答案: A

問題 #70

以下哪項可以防止數據庫中出現懸掛圖元？

A. ��環完整性

B. ��域完整性

C. ��係完整性

D. ��照完整性

查看答案

正確答案: C

問題 #71

以下哪項陳述正確描述了 IPSec 和 SSH 協議之間的區別？

A. PSec 在傳輸層工作，而 SSH 在 OSI 模型的網絡層工作

B. PSec 在網絡層工作，而 SSH 在 OSI 模型的應用層工作

C. PSec 在網絡層工作，而 SSH 在 OSI 模型的傳輸層工作

D. PSec 在 OSI 模型的傳輸層工作，SSH 在網絡層工作

查看答案

正確答案: C

問題 #72

以下哪項是 TCP/IP 模型中網絡接口層的協議數據單元（PDU）？

A. ��據

B. ��段

C. ��據包

D. ��架

查看答案

正確答案: B

問題 #73

IS 審計員在進行數據庫審查時，發現數據庫中的某些表沒有進行規範化處理。IS 審計員接下來應該

A. 建議對數據庫進行規範化。

B. 審查概念數據模型。

C. 查看存儲過程。

D. 審查理由。

查看答案

正確答案: C

問題 #74

以下哪種控制措施對確保生產源代碼和目標代碼同步最有效？

A. ��布到發布源和對象比較報告

B. ��制更改源代碼的庫控制軟件

C. ��制訪問源代碼和目標代碼

D. ��源代碼和目標代碼進行日期和時間戳審查

查看答案

正確答案: D

不想錯過任何事？

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！
立即獲取

利用 CISA 模擬測試、註冊信息系統審計師提高您的認證準備水平 | SPOTO

提交後看答案

不想錯過任何事？

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！ 立即獲取

利用 CISA 模擬測試、註冊信息系統審計師提高您的認證準備水平 | SPOTO

提交後看答案

100%通過的Cisco、PMP、CISA、CISM、AWS模擬測試現已發售！
立即獲取