1-CISA备考练习题700题

ISACACISA备考模拟题集（700题）1、当审核一个组织的业务连续性计划时，某IS审计师观察到这个被审计组织的数据和软件文件被周期性的进行了备份。有效性计划哪一个特性在这里被证明？A.防止B.减轻C.恢复D.响应注：一个有效的业务持续性计划包括减轻灾难产生影响的步骤，如文件必须按照有效的恢复计划及时得到恢复。制止的例子如业务持续性计划包括信息系统防火墙的安装。恢复的例子如计划中包括用组织的热站恢复正常的业务运营。2、下列哪项功能将被应用（程序）所有者行使以保障IS和最终用户之间存在适当的职责分离？A.系统分析B.数据访问授权C.应用编程D.数据管理答案：B注释：应用（程序）所有者负责授权数据的访问。应用开发和编程是IS部门的工作。与此类似，系统分析应该由在IS方面有IS知识和了解用户需求的有资质的人完成。数据管理是一个专门的功能有关的数据库管理系统应该被有资质的数据库管理者执行。3、下列那一条是椭圆曲线加密方法相对于RSA加密方法最大的优势？A、计算速度B、支持数字签名的能力C、密钥发布更简单D、给定密钥长度的情况下（保密性）更强说明：椭圆曲线加密相对于RSA加密最大的优点是它的计算速度。这种算法最早由NealKoblitz和VictorS.Miller独立提出。两种加密算法都支持数字签名，都可用于公钥分发。然而，强密钥本身无需保证传输的效果,而是在于所应用的运发法则(运算法则是保证传输效果好坏的根本)。4、下列哪种控制可以对数据完整性提供最大的保证？A、审计日志程序B、表链接/引用检查C、查询/表访问时间检查D、回滚与前滚数据库特性说明：进行表链接/引用检查可以发现表链接的错误（例如数据库内容的准确和完整）,从而对数据完整性提供最大的保证。审计日志程序是用于记录已鉴定的所有事件和对事件进行跟踪。但是他们只针对事件，并没有确保数据库内容的完整和准确。查询/监控数据表访问时间有助于设计者提升数据库性能，而不是完整性。回滚与前滚数据库特征保证了异常中断的恢复。它只能确保在异常发生时，正在运行的事务的完整性，而不能提供数据库内容的完整性保证。5、开放式系统架构的一个好处是：A、有助于协同工作B、有助于各部分集成C、会成为从设备供应商获得量大折扣的基础D、可以达到设备的规模效益说明：开放式系统是指供应商提供组件，组件接口基于公共标准定义，从而使不同厂商间系统互用性更容易实现。相反的，封闭式系统组件是基于私人标准开发，因此其他供应商的系统将无法与现有系统连接。6、一个信息系统审计师发现开发人员拥有对生产环境操作系统的命令行操作权限。下列哪种控制能最好地减少未被发现和未授权的产品环境更改的风险？A、命令行输入的所有命令都被记录B、定期计算程序的hash键（散列值）并与最近授权过的程序版本的hash键比较C、操作系统命令行访问权限通过一个预先权限批准的访问限制工具来授权D、将软件开发工具与编译器从产品环境中移除说明：随着时间的过去，hash键（散列值）匹配将发现文档的改变。选项A不对，有记录不是控制，审核记录才是一种控制。选项C不对，因为访问已经被授权——不管何种方式。选项D不对，因为文件可以从产品环境拷贝或拷贝到产品环境。7、下列那一项能最大的保证服务器操作系统的完整性？A、用一个安全的地方来存放（保护）服务器B、设置启动密码C、加强服务器设置D、实施行为记录说明：加强系统设置意味着用最可靠的方式配置（安装最新的安全补丁，严格定义用户和管理员的访问权限，禁用不可靠选项及卸载未使用的服务）防止非特权用户获得权限，运行特权指令，从而控制整台机器，影响操作系统的完整性。在安全的地方放置服务器和设置启动密码是好的方法，但是不能保证用户不会试图利用逻辑上的漏洞，威胁到操作系统。活动记录在这个案例中有两个弱点——它是检查型控制（不是预防型控制），攻击者一旦已经获得访问特权，将可以修改或禁用记录。8、一个投资顾问定期向客户发送业务通讯（newsletter）e-mail，他想要确保没有人修改他的newsletter。这个目标可以用下列的方法达到：A、用顾问的私钥加密newsletter的散列（hash）B、用顾问的公钥加密newsletter的散列（hash）C、用顾问的私钥对文件数据签名D、用顾问的私钥加密newsletter说明：投资顾问没有试图去证明他们的身份或保持通讯的机密性。他们的目标是确保接收者收到的信息没有被篡改，也就是信息的完整性。选项A是对的，因为哈希摘要用顾问的私钥加密，接收者能打开newsletter，计算出哈希摘要，然后用顾问的公钥解密接收到的哈希摘要。如果二者一致，则在传输过程中newsletter没有被篡改。选项B是不可行的，因为除了投资顾问没有人能打开newsletter。选项C关注发送人的身份鉴证而不是信息的完整性。选项D关注机密性，而不是信息的完整性，因为任何人都可以获得投资顾问的公钥，解密newsletter然后将它修改后发送给其他人。拦截者不会用顾问的私钥来加密，因为他们没有。任何用拦截者的私钥加密的信息，接收者都只能用他们的公钥解密。9、在审查信息系统短期（战术性）计划时，一个信息系统审计师应该确定是否：A、计划中包含了信息系统和业务员工B、明确定义了信息系统的任务与远景C、有一套战略性的信息技术计划方法D、该计划将企业目标与信息系统目标联系起来说明：在项目中，it技术人员和业务人员的整合，是需要在审查短期计划时重点关注的运作问题。战略规划将为短期计划提供一个框架。选项B,C,D是战略规划领域的内容。10、一个信息系统审计师正在执行对一个网络操作系统的审计。下列哪一项是信息系统审计师应该审查的用户特性？A、可以获得在线网络文档B、支持远程主机终端访问C、在主机间以及用户通讯中操作文件传输D、性能管理，审计和控制说明：网络操作系统用户特征包括网络文档的在线可用性。其他特征还有用户访问网络主机的多个领域，用户授权访问具体领域（特定领域），用户使用网络和主机不需要特殊操作或命令。选项B,C,D是网络操作系统功能的实例。11、在一个非屏蔽双绞线（UTP）网络中的一根以太网电缆长于100米A、电磁干扰B、串扰C、离散D、衰减说明：衰减是指信号在传输过程中的弱化。当信号减弱时，它会把1读成0，这样用户会遭遇通讯问题。UTP在大约100米范围外会衰减。EMI（电磁干扰）是由外部电磁波影响有效信号造成的，不是这里所说的情况。Cross-talk（串扰）与UTP12、下列哪一项加密/解密措施对保密性、消息完整性、抗否认（包括发送方和接收方）提供最强的保证？A、接收方使用他们的私钥解密密钥B、预先散列计算的编码和消息均用一个密钥加密C、预先散列计算的编码是以数学方法从消息衍生来的D、接收方用发送方经过授权认证中心(CA)认证的公钥来解密预先散列计算的编码说明：通常加密操作是结合私钥、公钥、密钥、哈希函数和数字证书的使用来实现保密性，信息完整性和不可抵赖性（包括发送方和接收方）。接受方使用发送方公钥将加密的哈希摘要解密成不加密的哈希摘要，（当它与经哈希算法形成摘要相同时），则证实发送者的身份以及信息没有在发送过程中被修改，这种操作提供了最有力的保证。每个发送者和接收者有只有自己知道的私钥和大家都知道的公钥。每个加密或解密过程需要来自至少来自同一组织的一个公钥和一个私钥。单一的密钥一般用来加密信息，因为密钥相比公钥和私钥只需要较低的处理能力。数字证书由认证授权机构签发，使发送者和接收者的公钥生效。13、为了确定在一个具有不同系统的环境中数据是如何通过不同的平台访问的，信息系统审计师首先必须审查：A、业务软件B、基础平台工具C、应用服务D、系统开发工具说明：项目计划需要认识到IT基础架构的复杂性随着应用服务的开发而简化和独立了。应用服务使系统开发者从复杂的IT基础架构中独立出来，而且提供通用函数给许多应用共享。应用服务采用接口，中间件等形式。商业软件关注业务流程，而应用服务拉近了应用和IT基础架构组件间的距离。基础架构平台工具是涉及IT基础架构开发所需的核心硬件和软件组件。系统开发工具是IT基础架构开发中的开发组件。14、使用闪存（比方说USB可移动盘）最重要的安全考虑是：A、内容高度不稳定B、数据不能备份C、数据可以被拷贝D、设备可能与其他外设不兼容说明：闪存可以提供拷贝任何内容的捷径，除非通过完全的控制。闪存里存储的内容不是易丢失的。备份闪存中的数据不是控制关注点，数据有时作为备份存储。闪存能通过PC存取，而不是其他外围设备，因此，兼容性不是问题。15、为了保证两方之间的消息完整性，保密性和抗否认性，最有效的方法是生成一个消息摘要，生成摘要的方法是将加密散列(hash)算法应用在：A、整个消息上，用发送者的私钥加密消息摘要，用对称密钥加密消息，用接收者的公钥加密（对称）密钥。B、消息的任何部分上，用发送者的私钥加密消息摘要，用对称密钥加密消息，用接收者的公钥加密（对称）密钥。C、整个消息，用发送者的私钥加密消息摘要，用对称密钥加密消息，用接收者的公钥加密密文和摘要。D、整个消息，用发送者的私钥加密消息摘要，用接收者的公钥加密消息。说明：针对整体信息运用哈希算法加密表明信息的完整性问题。用发送者的私钥对信息摘要加密表明抗否认性。用对称密钥加密信息，然后用接收者的公钥加密对称密钥，最有效表明信息的机密性和接收者的不可否认性。其他选项只是需求的一部分。16、为了确保符合“密码必须是字母和数字的组合”的安全政策，信息系统审计师应该建议：A、改变公司政策B、密码定期更换C、使用一个自动密码管理工具D、履行安全意识培训说明：密码自动化管理工具的运用是预防性控制措施。软件会避免重复并强制执行语法规则，从而实现密码的健壮性。它同时提供一种方法来保证密码经常更换，从而避免同一个用户重复使用他们在指定时期的旧密码。选项A,B,D没有强制要求符合安全政策。17、在有效的信息安全治理背景中，价值传递的主要目标是：A、优化安全投资来支持业务目标B、实施一套安全实践标准C、制定一套标准解决方案D、建立一个持续进步的文化说明：在有效的信息安全治理背景中，实行价值传递是为了保证为支持业务目标的安全投资是最优化的。实行价值传递的工具和技术包括执行一套安全实践标准，基于标准的解决方案制度化、商品化以及持续改进的文化，将安全作为一个过程而不是结果。18、在一个组织中信息技术安全的基线已经被定义了，那么信息系统审计师应该首先确认它的：A、实施B、遵守C、文件D、足够（充分）说明：信息系统审计师首先要通过确保控制的充分性来评估最小基线水平的定义。文件、实施和遵守是后面的步骤。19、在对一个多用户分布式应用程序的实施进行审计时，信息系统审计师在三个地方发现小缺陷——参数的初始设置没有被正确安装，弱口令，一些重要报告没有被正确检查。在准备审计报告时，信息系统审计师应该：A、分别记录每项发现以及他们各自的影响B、告诉经理可能存在的风险，不在报告中记录这些发现，因为这些控制缺陷很小C、记录这些发现以及这些缺陷综合带来的风险D、将每项发现通知部门领导，正确地在报告中记录它说明：个别的缺陷是很次要的，但是把它们综合在一起的危害将极大的减弱整个控制结构。选项A,D信息系统审计师的失败在于没有认识对控制弱点的综合影响。不向经理报告这些事实，将是对风险承担者的隐瞒。20、在审查一份业务持续性计划时，信息系统审计师注意到什么情况被宣布为一个危机没有被定义。这一点关系到的主要风险是：A、对这种情况的评估可能会延迟B、灾难恢复计划的执行可能会被影响C、团队通知可能不会发生D、对潜在危机的识别可能会无效说明：如果组织不知道什么时候应该宣告危机发生，将会影响业务持续性计划的执行。选项A,C,D是评估是否危机产生的步骤。问题和严重性的评价将为判定灾难提供重要信息。当潜在的危机被识别后，负责危机处理的团队会被通知。如果这一步骤被耽误，直到灾难被宣告，响应团队的作用也将被抹杀。潜在危机的识别是灾难响应的第一步。21在测试组织的变更控制程序的符合性方面，IS审计师执行的下列哪项测试最有效？A检查软件迁移记录和验证审批B识别已发生的变更和验证审批C检查变更控制文档和验证审批D确保只有适当的员工才能将变更迁移到生产环境注:最有效的方法是:通过代码比对识别已发生的变更和验证审批的记录,变更控制文档和软件迁移记录不能列出全部变更.确保只有适当的员工才能将变更迁移到生产环境是控制程序的关键,但它不是验证符合性.22一个大型组织的IT业务实行外包。在检查这个外包业务时，IS审计师应该最关注以下哪一项发现？A外包合同没有包含IT业务的灾难恢复B服务提供商没有事件处理程序C近期有崩溃的数据库由于程序库管理问题无法恢复D事件日志没有被检查过注:灾难恢复预案的缺乏是主要商业风险.在合同中体现灾难恢复预案提供给外包企业作用超过服务供应商,选择B、C和D是应该被服务提供商写明的问题，但不是像灾难恢复计划一样作为合同的必要条款。23以下哪种抽样方法在符合性测试时最有用？A属性抽样B变量抽样C分层单位平均估计抽样D差额估计抽样注:属性抽样是符合性测试的主要抽样方法.属性抽样是用于评估在一个群体中一种属性出现的比率和用于符合性测试确定属性是否存在的一种抽样方法。其他选项是用于实质性测试，涉及详细或数量测试。24下列哪一项应该被包括在组织的IS安全政策中？A需要被保护的关键IT资源清单B访问授权的基本策略C敏感的安全特性的标识D相关软件安全特性安全政策提供了安全的宽泛框架，被高级管理者制定并核准。它包括访问授权政策和访问授权的基本策略。选择A、C、D是应该包括在一个更加细化的安全政策中。25对于信息安全管理，风险评估的方法比起基线的方法，主要的优势在于它确保：A信息资产被过度保护B不考虑资产的价值，基本水平的保护都会被实施C对信息资产实施适当水平的保护D对所有信息资产保护都投入相同的资源注：风险评估确定了给定风险的最适当的保护，基线的方法仅仅提供了一套保护方法，没有注意风险的存在。不仅没有过度保护的信息资产，而且更大的好处是能够确定没有信息资产保护过度或保护不够。风险评估提供了和资产价值适当的保护水平。基线方法不是从资产本身的风险考虑，而是所有资产投入相同的资源。26检查IT战略规划过程时，IS审计师应该确保这个规划：A符合技术水平现状B匹配所需的操作控制C明晰IT的任务与远景目标D详细说明项目管理实务注：IT战略规划必须包括明晰IT的任务与远景目标。规划不需要写明技术、操作控制和项目管理实务。27在信息处理设施（IPF）的硬件更换之后，业务连续性流程经理首先应该实施下列哪项活动？A验证与热门站点的兼容性B检查实施报告C进行灾难恢复计划的演练D更新信息资产清单注：信息资产清单是业务连续性和灾难恢复计划的基础，同时灾备计划必须反映最新的信息系统架构。其他选项是在更新必须的资产清单后更新灾难恢复计划的程序要求。28以下哪种是对组件通讯故障的控制？A限制操作员访问并保持审计痕迹B监视并检查系统活动C提供网络冗余D对被传送的数据设置物理隔离注：冗余是网络中建立的一些副本组成的，例如：一个连接、路由器或预防丢失的转换，延迟或数据复制是对组件通讯故障的控制，其他相关的控制是回线/回波检查发现线路故障、奇偶效验、错误修正代码和序列检查。选项A、B、D是网络通信控制。29组织的灾难恢复计划应该：A减少恢复时间，降低恢复费用B增加恢复时间，提高恢复费用C减少恢复的持续时间，提高恢复费用D对恢复时间和费用都不影响注：灾难恢复计划的目标之一是减少恢复时间，降低恢复费用。灾难恢复计划在灾难发生前后可能会增加运转的费用，但是恢复正常运转的时间应该减少，同时花费来源于灾难本身。30如果数据库用前象存储进行还原，接着这个中断，流程应该从哪里开始？A在最后一个事务之前B在最后一个事务之后C最新的检查点之后的第一个事务D最新的检查点之前的最后一个事务注：如果用前象存储进行还原，最后处理的事务不会更新数据库之前的内容。最后处理的事务不会更新进数据库，必须重新处理。选项检查点是与题目不相关的。31安全套接层协议通过什么实现保密性？A对称加密B消息验证码C哈希函数D数字签名验证注：SSL（安全套接层协议）是用对称密钥对信息加密。一个保密验证码是用语确认数字的完整性。Hash作用是用语产生一个信息摘要；它不用于公钥加密信息．数字签名验证是被SSL用于服务器验证.32在Internet应用中使用applets，最可能的解释是：A它由服务器通过网络传送B服务器没有运行程序，输出也没有经网络传送C改进了web服务和网络的性能D它是一个通过网络浏览器下载的JAVA程序，由web服务器执行注:applet是一个在网络传送的JAVA程序通过web服务器经过web浏览器到达客户端;代码在机器上运行.既然服务器不能运行这个程序并且不能通过网络发送,通过服务器与客户端的连接在web服务器和网络上执行，彻底改善了applet的使用．选择改进是更重要比选择A、B提供的理由。既然JVM是植入大多数web浏览器，通过web浏览器下载applet，在客户端运行，不是在web服务器执行，因此选D不对。33下列哪项病毒防护技术能够通过硬件实施？A远程启动B启发式扫描C行为阻断D免疫注：远程启动是预防病毒的方法，并且能够通过硬件执行。选项C是发现后采取的发法，不是预防，尽管是硬件。选项B和D不是通过硬件实施的。34为了保护VoIP设备免于拒绝服务攻击，最重要的是确保什么的安全？A访问控制服务器B会话边界控制C骨干网关D入侵检测系统注：会话边界控制提高了网络访问的安全。在网络访问中，他们隐藏了用户的真实地址，而提供被控制的公共地址。公共地址能够被监控，极小机会被拒绝服务攻击。会话边界控制允许访问防火墙后面的客户在保持防火墙的效力。在核心，会话边界控制保护了网络的使用者。他们隐藏了网络拓扑和使用者真实的地址。他们也能够管理带宽和服务质量。访问控制服务器、骨干网关、入侵检测系统不能有效防御拒绝服务攻击。35当实施一个数据仓库时，哪一项是最大的风险？A在生产系统上增加的响应时间B在数据修改上不充分的访问控制C数据重复D过期或不正确的数据注:一旦数据被放在数据仓库中,就不应该被修改,同时在该处应该有预防数据被修改的访问控制.在生产系统上增加的响应时间不是风险,因为一个数据仓库不会对生产系统的数据产生影响.基于数据被复制的情况,重复数据是数据仓库中固有的.数据的更新是通过操作系统对数据仓库的事先变更.36为了使软件项目的开销最小，质量管理技术应该被应用A尽可能与技术条文相一致B主要在项目开始的时候，以保证项目的建立与组织的管理标准相一致C在整个项目过程中持续进行，强调找出并解决缺陷，增大测试期间的缺陷发现率D主要在项目结束的时候，以获得可以在将来的项目中吸取的教训注：质量管理技术作用于软件项目开发的全过程，对完成软件开发项目是重要的．主要原因是不希望软件项目的开销是重复的．一般的原则是在开发生命周期中更早的发现缺陷，有更长的时间发现和改正错误，纠正错误需要更多的努力．一份好的质量管理计划是一个好的起点，但它也必须被积极地执行．依靠测试发现问题代价太高，也不能对软件质量起到应有的效果．例如：测试阶段发现的错误可能导致大部分工作报废．吸取教训对当前的工作太晚了．另外，在项目的全程提供质量管理技术最可能自己发现质量问题的原因，并帮助开发组成员解决问题．37当用作电子信用卡付款时，以下哪一项是安全电子交易协议的特性？A买方被保证无论是商家还是任何第三方都不能滥用他们的信用卡数据B所有的个人SET证书都被安全存储在买方的电脑中C买方有义务为任何涉及到的交易提供个人SET证书D由于不要求买方输入信用卡号和有效期，付款过程变得简单注：按通常惯例，信用卡发行者和持有者之间规定持卡人在电子交易中有义务提供个人SET证书，根据商店与信用卡发行者之间的协议，商店负责登记信用卡卡号和有效期．安全存储在买方的电脑中不是个人SET证书的保管标准．虽然买方不需要输入信用卡数据，但他们必须持有电子钱包．38私钥体系的安全级别依赖于什么的数目？A密钥位B发送的信息C密钥D使用的信道注:私钥体系的安全级别依赖于密钥的位数.位数越大,越难以破解或者说运算法则越复杂.信息安全依靠的是密钥位数的使用.比密钥本身更重要的是运算规则,它的复杂性保证了信道的安全，保证了无顾虑或放心地发送信息．39在组织内实施IT治理框架时，最重要的目标是AIT与业务目标相一致B可说明性CIT价值实现D增加IT投资回报注:IT治理的目标是增强IT执行力,给予最适宜的商业价值和保证调整与业务的一致.最重要的目标是IT与业务目标相一致(选择A).其他选项是指业务实践和策略.40某组织近期安装了一个安全补丁，但与产品服务器相冲突。为了把再次出现这种情况的可能性降到最低，IS审计师应该：A按照补丁的发行说明实施补丁B确保良好的变更管理流程在运行C发送到生产环境之前全面测试这个补丁D进行风险评估后核准这个补丁注:信息系统审计师必须检查变更管理流程,包括补丁管理程序,同时核实流程有适当的控制并依此提出建议.其他选项是变更管理流程的一部分,但不是信息系统审计师的职责.41.通过对广域网的检测发现，在连接两个节点的用于同步主从数据库的通信线路上的峰值数据流量达到了这条线路带宽的96%。一个信息系统审计师应该得出结论：A.需要分析来确定是否有数据表明存在短时间内的服务缺失B.广域网带宽是足够满足最大流量需求的，因为还未达到最大饱和状态C.应该马上用一条更大带宽的线路来取代现有线路，新的线路应该确保最大不超过85%的线路饱和D.应该指导用户减少对流量的需求或把流量需求平均分布在整个的工作时间内来使得对带宽的消耗平缓化解释:高达96%峰值可能导致一次事故，例如一个用户下载大量的数据;因此,在推荐一个比较大的作业线能力开支执行之前，分析确定是否这是一个正常的模式，而且是什么原因执行这个行动。既然连接提供的是一个备用数据库，这个服务的短损失应该是可接受的。如果峰值确定是一个正常没有任何其他环节机会的事件(带宽保留协议的用法,或其他类型优先网络通讯)当流量达到100%并且存在服务损失风险时，线路应该被替换。然而，如果峰值是一次性的或者能在其他的时间画面被提出,那麽拥护教育可能是可选项。42.下面那一个是入侵检测系统（IDS）的特征？A.收集尝试攻击的证据B.确定策略定义的弱点C.屏蔽对特定互联网站点的访问D.防止某些用户访问特定的服务器解释:一个IDS能收集象例如攻击或渗透尝试的打扰活动的证据。在策略定义中识别弱点是身份证的局限性。选择C和D是防火墙的特征,而选择B需要人工评审,因此在IDS的功能之外。43、当评价一个覆盖公用WAN的VoIP系统执行情况时，信息系统审计师最期望发现：A、一条综合服务数字网络（ISDN）数据链路。B、流量工程学。C、对数据进行WEP加密。D、模拟电话终端。解释:确定服务需求品质是否达到,在广域网（WAN）上的语音IP(VoIP)服务应该防止包损失，潜伏或跳动等。为了要到达这个目的,网络性能应该能被管理，例如流量工程学的统计技术。综合服务数字网络(ISDN)数据的标准带宽连接不提供服务需求质量给公司VoIP服务。WEP是与无线电网络相关的一个密码技术方案。VoIP电话通常被连接到一个公司局域网(LAN)并且不是模拟信号。44、一个审计章程应该：A、经常随着技术和审计专业的自然变动而动态的变更。B.清晰地陈述对于维护和审查内部控制的审计目标，委托和职权。C.记录为了达到预先计划的审计目标而设计的审计程序D、描述审计活动的全面的权力、范围和职责。解释:一个审计章程应该规定管理的目标，并将职责授权给信息系统审计人员。这个章程不应该随着时间而变更，应该得到最层管理着的核准。一个审计章程不是一个细则，因此不包括详细的审计目标或程序。45、一个信息系统审计师选择了服务器，通过一个专家系统执行渗透测试。下面哪一个是最重要的？A、执行测试的工具。B、信息系统审计师所持的证明。C、服务器数据所有者的许可。D、入侵监测系统（IDS）被激活。解释:数据拥有者应该被告知有关一个渗透测试的风险,执行什么类型的测试和有关细节。所有的其他选项都不是重要的，作为数据拥有者对数据资产负有安全责任。46、在一个基于WEB软件开发项目评价期间，一个信息系统审计师了解到代码标准没有强迫执行，并且代码评审也很少执行。这最可能增加如下哪一项成功的可能性？A、缓存溢出。B、强力攻击。C、分布式的服务拒绝攻击。D、战争拨号攻击。解释:不标准的代码编写，尤其在基于WEB应用中,时常被黑客通过缓冲溢出技术使用。一个暴力攻击习惯于破解密码。一个分布式的服务拒绝利用大量的小包攻击使系统溢出，阻止它回应认为正当请求。战争拨号使用扫描调制解调器的工具攻击PBXs。47.在一个小型机构中，一个雇员日常从事电脑操作，并且在情况需要时，也负责程序修改。下列哪个选项是信息系统审计师应该建议实施的？A、开发库变更的日志自动记录。B、为职责分离增加人员。C.核实只有被批准的程序修改可以被实施的操作手续D、能够阻止程序员修改操作的访问控制。解释:坚持严格的职责分离是首选的，在答案B中暗示新增职员是新人,这中习惯在一个小组织中始终是不可能的。一个信息系统审计师一定着眼推荐其它可能的程序。在选项中，答案C是唯一一个实用的。一个信息系统审计师应该推荐监测生产源代码和目标代码变更的程序,例如代码比较，这样变更能被第三方以一般的方式评审。这会是一个补偿性控制程序。答案A,包含了对生产库变更日志,但不监测对生产库的变更。选项D是有效，但需要一个第三方去变更,这在一个小的组织中是不实际的。48、为了确保某组织审计资源发挥最大价值，首先第一步应该是：A、确定审计时间表并监控每一个审计项的时间花费。B、培养信息系统审计人员使用公司的当前技术。C、以详细的风险评估为基础制定审计计划。D、监控审计的发展，开始成本控制测量。解释:监测审计时间(选项A)和审计过程(选项D),也适当的陪训(选项B),这将会改善信息系统审计人员的能力(效率和表现),但是交付价值给组织是资源和成就的风险,而且重心集中在比较高的风险领域。49.下列哪个选项是交叉(跨职位)培训的风险？A、增加可依赖的职员B,在连续计划中不互相协助C,一位职员可能知道一个系统的所有部分D,在完成操作的连续性方面没有帮助解释:当交叉培训时,这将是谨慎的,首先估定任何的人知道一个系统的所有部份的风险和可能引起风险。交叉培训可以减少依赖一位职员的利益，因此，可作为连续计划的一个部分。它也为任何的理由人事缺乏提供后援，帮助推动操作的连续性。50、下面哪一个最适合小组织的安全通讯？A、密钥分发中心。B、证书授权中心(CA)。C、信任的站点D、KerBeros鉴定系统。解释:信赖的站点在一个小的团体中进行适当沟通是一个关键分类方法。它确保相当好的隐私(PGP)，在一个团体里面分发用户公众密钥。密钥分发中心是在一个机构里面为一个大的团体内在沟通的适当分发方法，而且它为每一个会话分配对称性密钥。证书授权中心是一个确保证书拥有者真实性的可信赖第三机构。这对大的团体和社交沟通是必需的。一个Kerberos坚定系统提供主要分发中心的功能,通过产生"票",详细说明对每一个拥护可理解的网络机构工具。51、当一个雇员被终止服务时，最重要的举动是：A、移交雇员文件给另一个指派的雇员。B、完成雇员工作的一个备份。C、将终止通报给其他雇员。D、关闭雇员逻辑访问。解释:一个被终止的职员可能误用访问权利这是可能的;因此,使被终止的职员的逻辑访问失效是最重要的行动。被终止的职员所有工作需要被送交给一位被指定的职员；然而，这应该在执行答案D之后执行.被终止的职员需要的所有工作被移交，职员的终止需要通知其他雇员,但是这不应该在选项D举动之前。52、哪一个是IT性能测量程序的主要目标？A、错误最小化B、收集性能数据。C、建立性能基线。D、使性能最优。解释:一它性能测量程序能用来将性能最佳化,测量和处理产品/服务,保证有责任和预算决定。将错误减到最少是性能的一个方面,但是不性能管理的主要目的。收集性能数据是IT测量处理的一个阶段，而且会用来评估依靠先前确定性能基线的执行。53、数字签名的用途：A、需要使用一个性口令生成器B、提供信息加密技术。C、确保信息来源有效。D、确保信息机密性。解释:使用数字签字验证发送者的身份,但是不能加密整个信息,因此是不能够确保机密性。一个性口令产生器是一个选项,但是不是使用数字签字一个必要条件。54.一家公司选择一间银行来处理每周的薪酬事务。工时卡和薪酬调整表（例如小时工资变化，解雇）制作完成并被传送给银行，银行接着准备支票和分发报告。为了确保薪酬数据的准确性：A.薪酬报告应该和原始输入表比照B.薪酬总额应该被手工重计算C.支票应该和原始输入表比照D.支票应该与最终的输出报告一致解释:确定数据准确性最好的方法,当输入是由公司提供，而且输出的产生是通过银行,要用薪水册报告的结果查证数据输入(输入表格)。因此,把薪水册报告与输入表格做比较是查证数据准确性的最好机制。手工重新计算总的薪水册只会查证处理是否正确，而不保证输入数据准确性。当检查(支票)有被处理的数据，而且输入表格有输入数据，比较检查(支票)和输入表格是不可行的。顺序检查(支票)输出报告只能确定检查(支票)依照输出报告被执行。55、一个信息系统审计师在一些数据库表中发现数据溢出。下面哪一项控制信息系统审计师应该推荐用来消除这项问题？A、对所有表的修改事务做日志。B、完成前后影像报告。C、使用跟踪和标记。D、在数据库中执行完整性约束。解释:在数据库中执行完整性约束是一个预防性控制，因为数据是依靠预先确定的表来检查，或避免任何不明确的数据进入。所有表做更新事务日志，执行前后影像报告是消除这种情况的监测性控制。使用跟踪和标记来测试应用系统和控制,但不能防止数据溢出。56.在一个在线银行应用中，下面哪一个是最好的应对身份窃取的措施？A、个人口令加密。B、限制特殊终端设备的使用。C、双因素认证。D、定期评估访问日志。解释:双因素任证为用来确定身份和特权需要二个独立的方法。因素包括你知道的东西,例如一个密码;你持有的东西,例如一个记号;和你自己有的,例如生物特征。需要这些因素中的二个使相同窃盗更困难。一个密码可以被猜测或打破。限制使用者到一个特定的终端机对一个在线应用来说不是实际的替代方案。周期评审访问日志是监测性控制，并且不能防止依靠身份窃盗行为。57、在一个互联的共同网络中，下面哪一个防病毒软件执行策略是最有效的？A、服务器抗病毒软件。B、病毒墙。C、工作站式抗病毒软件。D、病毒签名更新。解释:控制病毒的传布一个重要的方法要在进入的点发现病毒,在它有一个机会造成损害之前。在一个互相连接的公司网络中，病毒扫描软件的使用，作为防火墙技术的一个整体的部份,被称为病毒墙。在他们进入被保护的网络之前,病毒墙壁扫描那些探测目的入局流量,在进入保护网络前消除病毒。病毒墙壁的出现不能代替在服务器和工作站上安装病毒监测软件，但是网络级的保护是最有效的，那比较早地病毒被发现。病毒信息更新在所有的环境中是必须,网络也不例外。58.在审计一个计划中要采用的新电脑系统时，信息系统审计师首先应该确定A、一个已经被管理层认可的业务模式。B、共同的安全标准将会遇到。C、用户将被涉及到执行计划中。D、一个新系统将遇到所有必须的用户功能。解释:信息系统审计师首先关注建立符合业务需要的建议会，而且这应该通过一个清楚的业务案例来建立。虽然符合安全标准是必要的,如同在执行过程中,会议要符合用户的需要和有关部门要求，太早采购这些是程序是一个信息系统审计师首先要关心的。59、一个决策支持系统（DDS）：A、主要是正对解决高层组织的问题。B、联合使用非传统数据访问和恢复功能。C、强调使用者决策制定方法的适宜性。D、只支持组织决策制定任务。解释:DSS在使用者的决策方式中强调适应性。它被针对解决比较少量组织问题，结合模型和分析技术的使用，利用传统的数据访问和补充功能，而且支援？下决策执行工作。60、一个组织正在考虑连接一台基于PC的紧急系统到互联网。下面哪一项能提供防止攻击最大的保护？A、一个应用层的网关。B、一个远程访问服务。C、一个代理服务。C、端口扫描。解释:一个应用级水平网关是防止攻击的最好方法，因为它能定义描述使用者、连接的类型细节规则、不被允许定义的规则。它详细地分析每个包裹,不仅经过OSI模型中的四层，而且也分层堆积五到七层,这就意味它评审每个比较高水平协议(HTTP，FTP,SNMP等)。对于一个远程访问服务，有一个在进入网络之前，需要输入使用者名称和密码的装置(SERVER)。当访问私人的网络时这是很好的，但是它能被映射或扫描，从英特网创造安全暴露。代理服务器能提供基于IP住址和端口的保护。然而需要一个真正知道如何去做的人员,并且应用软件可以为程序的不同部分分配不同的端口.有一个非常特殊的任务要完成,就是端口扫描工作,但不是去控制INTERNET,或着所有可利用的端口需要控制.例如:PING端口应该被锁定,IP地址可以被应用软件利用和流览,但不能响应PING命令.61在持续在线的情况下，什么过程使用测试数据作为程序控制全面测试中的一部分？a、模拟测试b、标准案例系统评估c、整合性测试设施d、并行仿真标准案例系统评估使用一组被设计好的测试数据作为全面的测试程序的一部分。它是用来验证系统在认可之前的是否正确执行，类示于定期验证。模拟测试通过真实的程序模拟交易。整合性测试设施建立一个虚拟的档案资料库，使用常通输入进行模拟交易测试。并行仿真利用计算机程序模拟应用程序的逻辑测试。62，零售商店推出了无线电频率识别（RFID）标签，为所有产品建立了唯一的序号。对于此种做法下列哪些是人们首要关心的？A、发布保密性B、波长可以由人体吸收C、RFID标记可能不是可移动的D、RFID消灭视线阅读注：购买者不必要在意标记的存在。如果一个标记的项目是支付的信用卡，将有可能以配合独特的ID该项目的身份购买。选择B和C是关注的程度较低的重要性。选择D不是一个关注的问题。63风险管理过程的输出是为什么作为输入的？a、业务计划b、审计章程。c、安全政策决定。d、软件设计的决定。风险管理过程是为作出特定的安全相关的决策，比如可接受的风险水平。选择A，B和D不是风险管理过程的的最终目的。64，一个组织具有的大量分支机构且分布地理区域较广。以确保各方面的灾难恢复计划的评估，具有成本效益的方式，一个是信息系统审计师应建议使用：a，数据恢复测试。b，充分的业务测试。c前后测试。d、预案测试。1预案测试应该由每一个当地办事处/地区以足够预案测试在发生灾害时的本地业务。这种测试应该不断地在该计划的不同方面执行，是一个能获得该计划足够的证据的具有成本效益的方式。数据恢复测试是一个局部的试验，并不会确保各方面的评价。充分的业务测试是不是最符合成本效益的测试，在因应地理上分散的分支机构，前后测试是一个阶段的测试执行的过程。较低的恢复时间目标（恢复时间目标）的会有如下结果：a，更高的容灾。b，成本较高。c更长的中断时间。d,更多许可的数据丢失。恢复时间目标（RTO）是基可以接受的停机时间的。较低的恢复时间目标，就会有更高的成本回收的策略。容灾力越低，中断时间就需更短，并且对数据丢失的许可越少。66，当一个新的系统是要在很短的时间内实现，最重要的是要：a，完成写作用户手册b，执行用户验收测试。c，添加在最后一分钟的增强功能。D,确保该代码已被记录和审阅。最重要的是完成用户验收测试，来保证系统能够正确地工作。用户手册的完成类似执行代码审核。如果时间很紧，且有人想增强功能，必须对代码封版并完成测试，然后再增加其他功能。确保代码被记录和审阅似乎合适，但是如果用户验收测试不能完成，就得不到系统能够正确运行并满足用户需求的保证。67在逻辑访问控制检查中主要的目标是：a，审查由软件提供的访问控制。b，确保访问被授权。c，穿行测试评估IT环境提供的访问。d,提供对计算机硬件滥用的足够保护。逻辑控制审查的范围主要是决定访问是否被组织授权。选择A组和C组涉及到的程序逻辑访问控制过程，而非目标。选择D是相关的物理访问控制审查。68，一个信息系统审计师访谈一个发薪秘书发现，所回答的内容与的职务说明和文档中记录的过程不符。在这种情况下，审计师应该：a，得出结论认为，控制是不够的。b，扩大范围，以包括实质性测试c，认为以前的审计师可靠的。d,停止审核。在审计师的问题不能与文档中的过程和职责描述相吻合，审计师应该扩大测试范围并且加入实质性测试。没有证据表明任何控制足够或不够。如果不能提供对先有控制足够的信息，对以往的审计的信任和停止该审计都不是合适的。.69，组织实施了灾难恢复计划。下列哪些步骤应下一步执行？a，取得高级管理人员认可。b，确定的业务需求。c，进行纸面测试。d,进行系统还原测试。最好的做法是进行纸面测试。高级管理人员认可和确定业务需要是在获得计划之前的任务。纸面测试应该最先开始，其次是系统或全面的测试。70，在软件开发项目的需求定义阶段，应该在软件测试方面制定：a，覆盖关键应用的测试数据。b，详细的测试计划。c，质量保证的测试规格。d，用户验收测试规格。软件开发项目关键的目标是确保开发的软件符合业务目标并且满足用户的要求。用户应参与到在需求定义阶段，用户验收测试规格应该在这个阶段制定。其他选择通常在系统测试阶段执行。71，对已经开发好的业务应用系统进行控制变更是复杂的，因为：a，迭代性质的原型。b，快速的需求和设计的改变。c，重点在于报表和屏幕输出。d,缺乏集成工具。变化的需求和设计发生这么快，他们很少记载或核准。选择A，C和D的特征原型，但他们并没有对变更控制的不良影响。72中，对所有的系统除了备份的考虑因素，下列哪一项在提供在线备份系统时是一个重要的考虑因素？a，保持系统软件参数b，确保定期对交易日至的卸载c，确保祖父-父亲-儿子备份档案d,保持了重要的数据在现场的位置及时保存历史数据的一个安全方法是确保定期卸载交易日至。这种用于在线系统的活动是使其他传统的备份更不切合实际。73，在拒绝服务（DoS）攻击中保护网络成为一个放大器的最好过滤规则是拒绝所有：a，使用IP源地址向网络发送数据。b，使用可辨别的源IP地址接受数据。c，使用IP选项设置接受数据。d,向关键主机接受数据。使用一个源地址作为流量的发送端不同于使用网络中的一个段地址，它不是有效的。大多数情况，DoS攻击源于一个内部用户或者一个内部的危险机器；这两种情况都能用过滤器阻止。74，下列哪一项在网络管理中是被广泛接受的关键部件？a，配置管理b，拓扑映射c，应用监测工具d，代理服务器疑难解答在任何网络中配置管理是被广泛接受的一个重要组件，因为它确立了网络在内部和外部如何起作用。它还涉及配置管理和性能监测。拓扑映射提供了网络组件及其连通的轮廓。应用监测不是最基本的，代理服务器排除故障用于故障排除的目的。75，区别脆弱性评估和渗透测试是脆弱性评估：a，检查基础设施并探测脆弱性，然而穿透性测试目的在于通过脆弱性检测其可能带来的损失。B，和渗透测试为不同的名称但是同一活动。c，是通过自动化工具执行，而渗透测试是一种完全的手动过程。d,是通过商业工具执行，而渗透测试是执行公共进程。脆弱性评估的目的是找到计算机的安全解决方法；他的目的不是去毁坏基础设施。

渗透测试的目的是模仿黑客的活动，并测定他们可以进入该网络还有多远。他们是不一样的，他们有不同的态度。脆弱性评估和渗透测试可以被工具或程序自动或手动执行，并且可以用商业性的或是使用免费工具的。76，下列哪一项最能确保组织的广域网络的连续性？a，内置变更路由b，每日完成完全的系统备份c，维保合同与服务提供商d，每台服务器的做双机注：如果一个的服务器失效或难以链接，替代路由能确保网络的连续性并使信息自动的重新路由。系统备份将没有能力即时保护。维修合同是不如作为永久的替代路由有效。如果一个链接有问题，备用服务器将不会提供连续性。77，功能性是一个软件产品生命周期中评估其质量的特征，也是对其描述的最好属性，这些属性是：a，一套功能和他们规范属性的表现。b，由一个环境到另一个环境转变时的软件能力。c，在一定的条件下软件保持其性能水平的容量。d,软件性能和大量资源间的关系。功能是是一套属性，是在一套功能和他们指定的属性的表现。功能是指那些满足一定的或隐含的需求。选择b是指易移植性，选择c指的可靠性和选择d是指效率。78，对于一个在线的销售系统，对其大量的数据库的最好的备份策略是什么？a，每周完整备份与每日增量备份b，每日完整备份c，群集服务器d，镜像硬盘注：每周完整备份和日常增量备份是最好的备份策略;确保恢复数据库的能力且减少了每天的备份时间的要求。一次完整的备份通常需要几个小时，因此，它每天进行是不切实际的。群集服务器提供一个冗余的处理能力，但并没有备份。镜像硬盘对于灾难时没有帮助的。79，技术改变的频率增加了哪方面的重要性？a，外包审计功能。b，实施和执行良好的过程。c，在组织内雇用人员乐意作出的职业生涯。d,，满足用户的要求。注意：变更需要良好的变更管理流程来实施和执行。外包是功能与技术变更是没有直接关系。工作人员在在一个典型的IT部门是高素质和高教育水平的;通常他们不觉得他们的工作的风险，并准备频繁地换工作。虽然满足用户的要求是很重要的，但与信息系统环境里技术变更率没有直接关系。在一个数据中心下面哪种方式抑制起火是最有效并合乎环境公益要求的方式？a，哈龙气体b，湿管洒水器c，干管洒水器d，二氧化碳气体注：水洒水器，具有自动电源堵系统，被接受为有效率的，因为他们可以设置为自动释放，没有生命威胁，和水是环保。洒水灭火系统必须干管，以防止泄漏的危险。哈龙是效率和有效的，因为它不会威胁人的生命，因此，可以设置为自动释放，但它是对环境的破坏和非常昂贵。水是一个可以接受的中等，但管道应该是空白的，以避免渗漏，因此，完整的系统是不是一个可行的选择。二氧化碳是接受作为一个环境可以接受的气体，但它是效率较低，因为它不能设置为自动释放，在工作人员的网站，因为它威胁到生命。81,下列哪一项是透过互联网发起被动攻击的实例？A、流量分析B、伪装C、拒绝服务D、电子邮件欺骗互联网安全威胁/脆弱性分为被动和主动攻击。被动攻击，包括网络分析，窃听和流量分析。主动攻击，包括暴力攻击、伪装、包重放、修改信息、透过互联网或基于Web的服务的未经授权的访问、拒绝服务攻击、拨号渗透攻击、电子邮件轰炸、垃圾邮件和电子邮件欺骗。82、IS审计师在为公司考虑其外包计算机系统业务需要复核并检查每个供应商的业务连续性计划是否合适?A、是的,因为IS审计师会评估服务商计划的充分性并且协助他们的公司实施一项补充计划.B、是的,因为基于计划,系统审计师会评估服务尚的财务状况及其履行合同的能力C、不,因为提供的备份已在合同中充分说明.D、不,因为服务商的业务连续性计划是专有信息.审计师的首要职责是确保公司资产的安全保证,及时该资产还没有实现。有信誉的服务商将有一个良好的设计和测试业务连续性计划。83、一个每天处理百万交易的金融机构,会有一个中央通信处理器,用于连接自动柜员机,下面哪些是为通信处理的最好的应变计划.A、与另一个组织签订互助协议.B、在同一地点设立候补处理器C、候补处理器在另一个网络节点D、安装全双工的通讯联系无效的中央通讯处理器会破坏所有进入银行网络的通道。这可能造成设备，电源或通信失败。互惠协议，使一个组织依赖于其他组织，不利于隐私权，竞争及规管事宜。一个候补处理器在同一地点只解决设备问题，如果是环境原因引起的失败（如，电力中断）就不起效果.。仅当失败限于通信链路时建立双方通信链路才适当.84、下列哪一项是无线网络中Wi-Fi保护访问(WPA)的一个特征?A、会话密钥是动态的B、私人对称密钥的使用C、密钥是静态的和共享的D、源地址是未加密或认证的ANSWER:ANOTE:WPA的使用动态会话密钥，比无线加密达到更强的保密效果（WEP）,（WEP）使用静态钥匙(无线网络中每个人都使用同样的钥匙),其他选项都是WEP的弱点85、灾难性恢复计划(DRP)基于:A、技术方面的业务连续性计划.B、操作部分的业务连续性计划.C、功能方面的业务连续性计划.D、总体协调的业务连续性计划.ANSWER:ANOTE:灾难恢复计划（DRP）是技术方面的业务连续性计划。业务恢复计划是业务持续性计划的运作部分.86、数据库管理员建议数据库的效率可以提高,通过非范式化一些表。这将导致:A、保密的失败B、增加冗余.C、未经授权的访问.D、应用故障.ANSWER:BNOTE:范式化是指在设计或优化的一个关系型数据库，尽量减少冗余.因此，非范式化会增加冗余.冗余在数据环境的资源一定的环境下被视为问题,冗余会要求额外的和不必要的数据处理.非范式化，因功能的原因有时是可取的。它应该不会造成保密的失败，未经授权的访问或应用故障.87、IT治理的最终目的是:A、鼓励最优地运用IT.B、降低IT成本.C、在组织中分散IT资源.D、集中控制IT.ANSWER:ANOTE:IT治理的用意是为企业指定最好的的决策权和问责制。这对每一个企业是不同的。降低IT成本，对企业而言，未必是最好的IT治理成果。分散的IT资源的组织并不总是理想的,虽然它可能会想要在一个权力下放的环境。集中控制，它并不总是需要的。一个例子，一个企业渴望单独与客户联络的情况下有可能是需要的。88、对于地点的第3a，1d和3d，图表显示集线器是开着的。假设这是事实，用什么控制减轻这一弱点？A、智能枢纽B、物理安全集线器C、物理安全和智能集线器D、没有控制是必要的，因为这不是一个弱点ANSWER:CNOTE:开放集线器有一个重要的控制弱点，因为网络连接很容易。89,这个问题是指下列图:

防火墙是无法识别检测攻击企图的,如果审计师应建议放置一个网络入侵检测系统（IDS）在?之间A、防火墙和组织的网络.B、互联网和防火墙C、互联网和Web服务器.D、Web服务器和防火墙.ANSWER:ANOTE:如果一个基于网络的入侵检测系统是放在之间的防火墙和组织的网络之间，防火墙无法检测到攻击的企图。基于网络的入侵检测系统放在互联网和防火墙将检测到他们是否攻击防火墙.90、局域网（LAN）管理员通常会受到限制，从:A、行使最终用户的责任.B、报告最终用户经理.C、行使编程的权利D、负责局域网安全管理.ANSWER:CNOTE:1个局域网管理员不应该有编程的权限，但可能有最终用户的权限,局域网管理员可能会报告最终用户经理。在小组织，局域网管理员也可能是负责局域网的安全管理.91、双因素认证，可规避下列哪些攻击?A、拒绝服务B、中间人C、键盘记录D、暴力破解ANSWER:BNOTE:中间人攻击类似于尾随,攻击者假装是合法的访问者，做授权用户的交易。拒绝服务攻击跟授权没有关系。键盘记录和暴力破解可以绕过正常的身份验证，但不是双因素认证。92、一个实体的最佳的业务连续性战略由什么决定的?A、最低的停机时间成本和最高的重置成本.B、最低的停机时间成本总和和重置成本的总和.C、最低的重置成本和最高的停机时间成本.D、重置成本和停机时间成本的加总平均ANSWER:BNOTE:两者的费用要尽量减少，成本是最低的策略是最佳策略,最高的重置成本不能成为最佳策略.,最高的停机成本不能成为最佳策略,平均合并的停机时间和恢复的成本将高于最低成本相结合的停机时间和恢复93、交易审计痕迹的主要目的是?:A、减少使用存储媒介.B、为处理交易确定问责制和责任制.C、帮助系统审计师进行细微审查.D、为能力规划提供有益的信息.ANSWER:BNOTE:通过信息系统，审计线索在处理交易确定问责制和责任制中起作用。使用审计线索增加了磁盘的使用空间。交易日志文件将被用于纪录交易痕迹，在确定问责制和责任方面不会有帮助。能力计划的目标是有效率的和有效的使用IT资源和需要的信息，如CPU使用率，带宽，用户数目等.94、下面哪一项是恢复临界系统的最合理方案?A、温站B、移动站C、热站D、冷站ANSWER:DNOTE:通常，冷站的成本比较低，它只提供最基本的环境。因此冷站的运作需要更多时间，通常用于非临界应用。温站是中等成本的，投入使用需要较少的时间，并适合敏感的行动。移动站点是一种特别设计的拖车式计算设备，它可以快速地转移到业务部门或到恢复站点。热站使业务系统在在较短的时间内恢复运行，在更高的成本，是适合恢复非常重要和关键的应用.95、人力资源的副总要求审计，以确定前一年的超额薪金。在这种情况下，最好的审计技术的使用是?A、测试数据B、通用审计软件C、综合测试设施D、嵌入式审计模块ANSWER:BNOTE:通用审计软件的功能包括数学计算，分层，统计分析，序列检查，重复检查和重复计算。审计师用通用审计软件，可以设计适当的测试，以复算薪金，从而确定是否有过多的发放和向谁发了.数据测试只能测试多发钱是否有控制,但是不能测试具体的东西.另外两个都不具备检验以前出错的功能.96、下列哪一项是一个适当的测试方法适用于业务连续性计划(BCP)?A、驾驶B、文件C、单元D、系统ANSWER:BNOTE:文件测试适用与对业务连续性计划的测试。97、下列哪一项是深层防护安全原则的例子?A、使用两个不同供应商的防火墙，连续检查传入的网络通信B、使用防火墙以及逻辑访问控制对主机的传入信号进行控制C、在电脑中心建筑外面没有物理信号.D、使用两个并列的防火墙检查不同类型的传入流量ANSWER:B.

暂停扫描，每隔几分钟，避免过重的网络，以及超过阈值可能会触发报警信息向网络管理员。使用的IP地址，服务器会导致在一个地址的争论会吸引注意。98、进行事件发生后检查的主要目的是,它提供了一个机会去:A、改善内部控制程序.B、为实现企业最佳业务强化网络C、管理突出时间响应管理的重要性.D、提高员工对时间响应的认识.

事件发生后检讨，审查了事件发生的原因和对事件响应。吸取的经验教训，可被用来改善内部控制。99、当对一个组织的内部网络进行渗透测试时,下列哪些方法最好,使测试的进行在网络中未被发现?A、使用现有的文件服务器或域控制器的IP地址B、每隔几分钟，暂停扫描，让阈值重置.C、在夜间，当没有人登录时进行扫描D、使用多个扫描工具，因为每个工具都有不同的特色.

每隔几分钟暂停扫描，避免网络超负荷，超过阈值可能会向网络管理员发报警信息。使用服务器的IP地址，IP地址的冲突会引注意。进行扫描数小时后，将增加被发现的概率。使用不同的工具可以增加的可能性，其中一人会发现一个入侵检测系统。100、以下哪项代表了在电子数据交换环境最大的潜在危险?A、交易授权B、损失或重复的电子数据交换传输C、传输延迟D、交易的删除或操作在应用控制的创立之前或之后

由于各方之间的互动是电子，有没有内在的认证发生，因此，交易授权是最大的风险。选择B和D的风险，但这种影响不是很大，即未经授权的交易。传输延迟可终止进程或持有的路线，直到正常的处理时间已过，不过，不会有任何的数据丢失。101.一个信息系统审计师在对备份处理设备进行评估时应主要关注:A、存在适当的防火措施。B、定期进行硬件维护。C、存在交易和主要文件的异地备份。D、备份处理设备被充分测试。注释：适当的防火措施和充分测试备份处理设备是针对恢复的重要因素，但如果没有交易和主要文件的异地备份，对于恢复来说一般是不可能的。一般规则下，硬件的维护和恢复不相关。102、下列哪一项是成功贯彻和维护安全策略最关键的因素？A、所有适当团队对安全框架和所制定的安全策略目的理解和吸收。B、管理层支持和赞同一个安全策略的贯彻和维护。C、有对任何违背安全规则进行处罚的强制措施。D、安全官通过访问控制软件严密执行、监控和强制规则的实施。注释：系统用户对安全策略的目的和安全框架的理解和掌握是成功贯彻和维护安全策略的关键。虽然有一个好的口令管理系统，但是如果系统用户把他们的口令写在工作台上，口令就没有什么价值了。管理层的支持和允诺无疑是重要的，但针对成功执行和维护安全策略，对用户进行安全教育无疑是最重要的。安全官通过访问控制软件严密执行、监控和强制规则的实施，对违反安全规则的行为进行处罚也是需要的，同对用户进行安全教育和培训是一致的。103、虚拟专用网（VPN）通过以下哪种方式提供数据加密：A、SSL（安全套接层协议）B、隧道模式C、数字签名D、钓鱼注释：VPN的安全数据包通过密封传输，就是熟知的隧道模式。SSL是服务器和浏览器的对等加密方法。数字签名在VPN流程中不起作用，钓鱼是社会工程学攻击的一种方式。104、组织有完整的开发环境（IDE），所有程序库都存放在服务器上，但是更新/开发和测试都是在PC工作站中完成。以下哪项将在IDE中得到加强？A、对程序版本进行控制。B、提高程序资源和工具的可用性。C、提高程序和处理的完整性。D、防止有效的变更被其它的变更所覆盖。注释：IDE的强化措施是提高资源和工具的可用性。其它的选项都是IDE的弱点。105、在一个组织内部，IT安全的职责被清晰分配并强制执行，且IT安全风险和影响分析被一贯执行。这代表了以下安全治理的哪种成熟度模型？A、最优的B、可管理的C、定义级D、重复级注释：董事会和执行管理层能利用信息安全治理成熟度模型建立组织安全的评价标准。级别有不存在、初始级、重复级、定义级、管理级和最优级。当组织IT安全的职责被清晰分配并强制执行，且IT安全风险和影响分析被一贯执行时，也就是通常所说的“可管理的和可测量的”。106、在一个中断和灾难事件中，以下哪一项提供了持续运营的技术手段？A、负载平衡B、硬件冗余C、分布式备份D、高可用性处理注释：硬件冗余是目前支持持续、不间断服务的唯一的技术手段。负载平衡被用于以工作量为基础的服务器间分流工作量以提高服务器的性能。高可用性（HA）计算设备提供一个快速的但不是持续的恢复操作，而分布式备份需要很长的恢复时间。107、以下哪一项是防止未经授权使用数据的最有效的方法？A、自动的文件入口B、磁带库C、访问控制软件D、数据库锁定注释：访问控制软件是针对未授权访问数据的最有效的设计。108、以下哪种方法是防止便携式计算机机密信息泄露的最有效的方法？A、用所有者的公钥对硬盘进行加密处理B、激活引导口令（硬件设置口令）C、利用生物识别设备D、利用双因子识别技术将登陆信息写入记事本注释：仅利用数据加密将阻止机密信息的丢失。在这种情况下，机密信息只有私钥的所有者才能访问，且不能被共享。选择B、C、D是识别的技术，而非机密信息的保护。一个个体可能从便携电脑中卸载硬盘，并加装到另一台不安全的机器上，从而获得对数据的访问。109、信息系统审计人员在远程通讯分析过程中应该涉及：A、从程序变更中监控系统性能和跟踪问题处理的结果。B、在考虑未来和目前交易容量方面评估网络容量需求。C、评估网络带宽对终端响应时间和网络数据传输效率的影响。D、对网络平衡流程和改进方法提出建议。注释：网络通讯分析员的职责包括评估目前和未来的网络流量需求（选项B），评估网络带宽影响或终端响应时间和网络数据传输效率（选项C），对网络平衡流程和改进方法提出建议（选项D）。监控系统性能和程序变更的结果跟踪（选反A）将把分析师放在自评估的角色。110、一个信息系统审计师被邀请参加一个开发会议，并注意到设计风险没有被文档化。当信息系统审计师提出这个问题时，设计经理回答说这个太容易了，不能识别风险，但如果风险确实影响设计，风险经理将被解雇。信息系统审计师恰当的作法是：A、强调花点时间考虑和记录风险的重要性，并形成应急计划。B、接受项目经理立场，因为项目经理是项目后果的应负责任的人员。C、提议和被任命的风险经理一起工作。D、通知项目经理，信息系统审计师要对项目需求定义阶段的完成情况进行评估。注释：主要的项目风险能在项目开始之前被针对性地识别，允许产生降低/避免这些风险发生的计划。一个项目应该同组织策略有清晰的联系并支持组织策略。这个流程设置的组织策略，设置的目标和开发战术计划应该考虑风险。任命一个风险经理是一个好的实践，但等到项目已经被风险误导发生时才这样做。风险管理需要超前，允许风险演变成问题反过来影响项目代表了失败的风险管理。有或没有风险经理，项目团队内部和外部的人员都需要被请教且鼓励在他们发现新的风险已经出现或风险级别发生变化时提出来。信息系统审计师有义务向项目发起者和组织提出适当的项目管理实践。等待任命一个风险经理是不必要的和威险的，会延误风险管理的实施。101、降低钓鱼攻击最有效的方法是？A、执行入侵检测系统（IDS）B、访问安全的网络地址C、强鉴别D、用户教育注释：钓鱼攻击有很多种方式：IDS和强鉴别不是预防最好措施。访问安全网址也不能降低风险。钓鱼利用冒充合法服务器的方法。降低风险最好的方式是教育用户对互联网上的可疑交互要提高警惕性，不要相信它们除非得到验证后。用户需要足够的培训来识别可疑的网页和电子邮件。112、一个信息系统审计师对组织交互培训实践的风险进行评估，风险应该是：A、对唯一人员的依赖B、不充分的连续性计划C、一个人知道系统的所有部分D、操作中断注释：交互培训是超过一个个体来履行一个明确的作业或流程的培训流程。这种实践能帮助降低对一个个体的依赖，因此可以提供持续性的运营。然而，利用这种方法，谨慎地评估一个人知道系统所有部分及相关的风险暴露。交互培训减少了A、B、D中所记录的风险。113、PKI（公钥体系），以下哪种方法能提供一个明确的授权用户的可信赖的证据？A、不可抵赖性B、加密C、识别D、完整性注释：不可抵赖，通过利用数字签名获得，阻止声明的发送者以后又否认他们曾经发送过信息。加密可以对互联网上的传输数据进行保护，但不能证明交易被谁产生。识别对建立一个交互的各方是必要的。完整性确保交易准确但不能提供客户识别。114、一个信息系统审计师被分配对一个开发项目进行审计，开发项目已经完成80%，但已经超时10%，超预算25%。该审计师应该采取哪项行动？A、向组织汇报，项目管理的低效。B、建议更换项目经理。C、对IT治理结构进行评估。D、对项目执行情况和业务情况进行评估。注释：在提出任何建议之前，一个IS审计师需理解项目，这有助于发现项目超时和超预算的因素。组织可能有有效的项目管理实践，健全的IT治理，仍然会出现超时或超预算的情况。没有迹象表明在不经过任何原因调查就将项目经理撤换。115、数字签名的特征是确保发送者过后不能否认产生和发送了信息叫：A、数据完整性B、识别C、不可抵赖D、重演保护注释：所有以上都是数字签名的特征。不可抵赖确保已声明的发送者过后不能否认曾产生和发送过信息。数据完整性指对明文信息的变更将导致数据接收者都过哈希函数得到的哈希摘要与发送者不一致。因为仅声明的发送者有私钥，身份识别确保消息是由发送者发出的。重演保护是接收者用于检查信息没有被窃听和重演的手段。116、一个有广阔地理分布的组织开发了一个灾难恢复计划。利用实际资源，以下哪一项是最考虑成本-效益的灾难恢复计划测试？A、完全的操作测试B、有准备地测试C、纸上测试D、回归测试注释：有准备的测试是每一个当地办公室/地点对灾难恢复计划中所涉及到的本地操作的适当性进行测试。纸上测试是对灾难恢复计划进行穿行测试且应该在有准备的测试之前完成。完全的操作测试是在纸上和有准备地测试之后进行。回归测试不是灾难恢复计划（DRP）测试被用于软件维护。117、在安全官的帮助下，批准访问数据的职责是：A、数据所有者B、程序员C、系统分析师D、数据库管理员注释：数据所有者对数据的使用负责。用户的计算信息的写权限的获得应该被数据的所有者授权。安全管理人员和所有者的同意保证单个用户或一群用户对数据和文件的访问授权访问。118、以下哪项是信息系统审计师在考虑信息系统部门短期计划最应该考虑的部分？A、可分配的资源B、保持目前的技术领先水平C、执行自评估控制D、评估硬件需求注释：信息系统部门最应该明确的短期计划是可分配的资源。IT投资需要与高层管理策略一致，而不是对技术或技术的偏好。在信息系统部门的短期计划中，执行自评估控制和评估硬件需求不是同分配资源一样关键。119、一个电子邮件的发送者对数字摘要应用了数字签名。这个行动能确保：A、信息的数据和时间戳B、识别发信的计算机C、对信息内容进行加密D、对发送者的身份进行识别注释：对摘要的签名被用于对发送者的身份进行识别。它不能提供对发送数据的时间戳或所发送的计算机的识别。对电子邮件数字签名不能防止对它内容的访问，因此，不能确保机密性。120、一个信息系统审计师对灾难恢复计划（DRP）进行评估，在一个金融组织发现如下一些情况：

现有的灾难恢复计划是该组织IT部门的一个系统分析员在两年前利用交易数据流映射到操作部门编制的。

这个计划已经呈报给CEO的代理人，并等待批准和正式发布，但一直等待他或她的批准。

这个计划一直未被更新、测试或关键管理层和团队间流转，虽然每一个部门都知晓在事件发生时所应采取的行动或承担的角色。

一个组织最基本的灾难恢复计划是在一个相似的环境下重新建立业务处理过程,硬件配置已经建立.信息系统审计师应该:A、不采取任何行动,因为缺乏目前的计划是唯一重要的发现.B、建议每一地点的硬件配置要相同。C、执行评估操作来确认第二个配置能支持业务处理。D、对因为没有一个有效的计划而在第二个地点的花费的浪费情况进行报告。注释：一个信息系统审计师只有在有证据说明备用地点的硬件设施不能支持业务流程的情况下才能给出审计发现。虽然最初发现灾难恢复计划缺乏验证和沟通，但是实质上恢复的模式已经包括在审计当中。如果发现计划不恰当，所有的审计发现将在实际中支持全部的审计观点。不采取任何行动，留下这个未经测试的很重要的因素很显然是不对的。除非有证据显示备份地点是不充分的，否则就不能对花费作出评价，即使这是信息系统审计师在做出结论时需要考虑的。类似地，在配置上也不需要相同。如果备份地点还有其它的业务运行，它往往超过了恢复需求，例如其它业务流程的开发和测试。在这点上唯一正确的行动是找出备份地点是否能完成恢复操作。121、组织中的访问点既包含了不能被升级至更强安全性的访问点，也包含了具有高级无线网络安全性的新访问点。信息系统审计师建议更换不可升级的访问点。下列哪个选项是证明信息系统审计师建议的最佳依据？A、拥有更强安全性的新访问点是可以提供的。B、旧的访问点在性能方面很差。C、组织的安全性将会和其最脆弱的访问点一样。D、新的访问点更容易管理。NOTE：旧的访问点应该被放弃，被有更高安全性的产品所代替；要不然将会为攻击者遗留安全漏洞，然后使整个网络变得同样脆弱。新访问点的可提供性不是审计师最主要的关注，在这里性能也不能与安全居于同等重要性。产品的易管理性也不是信息系统审计师的关注。122、在一次逻辑访问控制检查中，信息系统审计师观察到存在共享用户账户的现象，这种现象产生的最大风险是：A、未授权用户能够通过共用账户访问系统。B、用户访问管理耗费大量时间。C、密码容易被猜测。D、未制订用户责任。NOTE:除了真正使用用户id的使用者之外，还有其他人通过该id对系统进行访问。因此，让每一个使用者都负责任是不可能的。所有的用户id，不仅仅是共享的id，都可以被未经授权的个体使用。访问管理和共享id没有不同之处，共享i