CISA考試練習(xí)(習(xí)題卷29)

試卷科目：CISA考試練習(xí)CISA考試練習(xí)(習(xí)題卷29)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISA考試練習(xí)第1部分：單項選擇題，共100題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.員工使用便攜式介質(zhì)（MP3播放器、閃存驅(qū)動器）時，IS審計師最應(yīng)關(guān)注以下哪項？A)缺少管理便攜式介質(zhì)使用的政策B)將音頻和視頻文件復(fù)制到便攜式介質(zhì)C)便攜式介質(zhì)給組織帶來的成本D)惡意代碼在整個組織中傳播答案:A解析:鑒于MP3播放器和閃存驅(qū)動器主要關(guān)系到數(shù)據(jù)（尤其是敏感信息）的泄漏，因此IS審計師最關(guān)注的是缺少管理此類便攜式介質(zhì)使用的政策。將音頻和視頻文件復(fù)制到便攜式介質(zhì)的風(fēng)險包括版權(quán)侵犯，但與沒有管理便攜式介質(zhì)使用的政策相比，這種風(fēng)險并不那么重要。選項C幾乎不是問題，因為員工通常自己出資購買便攜式介質(zhì)。選項D是一個潛在風(fēng)險，但不像缺少政策那樣重要，可通過其他控制降低此風(fēng)險。[單選題]2.信息系統(tǒng)審計師使用端口掃描軟件來:A)檢測開放服務(wù)B)確保所有端口都在使用之中C)檢測入侵D)建立通訊鏈接答案:A解析:[單選題]3.SSL協(xié)議通過以下哪種方式來確保消息的機密性？A)對稱加密B)消息驗證代碼C)哈希函數(shù)D)數(shù)字簽名認(rèn)證答案:A解析:SSL使用對稱密鑰來對消息進行加密。消息驗證代碼用于確保數(shù)據(jù)完整性。哈希函數(shù)用于生成消息摘要，不使用公鑰加密方法來對消息進行加密。數(shù)字簽名認(rèn)證由SSL用于服務(wù)器驗證。[單選題]4.有效的IT治理需要組織的架構(gòu)和流程，確保：A)該組織的戰(zhàn)略和目標(biāo)擴充IT戰(zhàn)略B)經(jīng)營戰(zhàn)略是來自IT戰(zhàn)略C)IT治理是獨立和有別于整體的治理D)IT戰(zhàn)略支持了組織的戰(zhàn)略目標(biāo)答案:D解析:有效的IT治理需要董事會和執(zhí)行的管理層擴大對IT的治理，并提供領(lǐng)導(dǎo)，組織架構(gòu)和流程確保該組織的IT維護并支持本組織的戰(zhàn)略和目標(biāo)，而這個戰(zhàn)略與業(yè)務(wù)戰(zhàn)略保持一致。選項A.不正確，因為它是由組織目標(biāo)擴展的IT戰(zhàn)略，并非相反的。IT治理不是單獨的紀(jì)律，他必須成為整個企業(yè)管理的組成部分。點評：戰(zhàn)略一致性是指IT與業(yè)務(wù)保持一致[單選題]5.以下哪一項是IS審計師應(yīng)該建議用于幫助記錄軟件發(fā)布版本基線？A)變更管理。B)備份和恢復(fù)。C)事件管理。D)配置管理。答案:D解析:配置管理過程可以包括一個用來提供自動記錄軟件版本基線的工具。如果新版本失敗，基線將提供一個還原點來恢復(fù)。其他的選項不提供建立軟件發(fā)布版本基線處理的必要性，且與軟件發(fā)布版本基線無關(guān)。[單選題]6.某個組織已經(jīng)外包了其IT客戶服務(wù)活動。IS審計師在審查該組織與供應(yīng)商之間的合同及相關(guān)服務(wù)等級協(xié)議(SLA)時，最應(yīng)關(guān)注的是以下哪個選項的規(guī)定:A)關(guān)于員工背景調(diào)查的文檔。B)獨立審計報告或完全的審計訪問權(quán)限C)報告逐年遞增的成本降低D)報告員工流失、發(fā)展或培訓(xùn)答案:B解析:A.雖然必需記錄員工背景調(diào)查已經(jīng)執(zhí)行的事實，但這只是應(yīng)有的審計條款之一B.當(dāng)部門的職能被外包時，IS審計師應(yīng)確保為涵蓋所有必要領(lǐng)域或外包方具有完全審計訪問權(quán)限的獨立審計報告制定相關(guān)條款。C.財務(wù)措施(例如逐年遞增的成本降低)在某個服務(wù)等級協(xié)議(SLA)中是可取的:但是，成本降低與獨立審計報告或完全審計訪問權(quán)限的可用性相比是次要的。D.SLA可以包括人際關(guān)系措施(如資源規(guī)劃、員工流失、發(fā)展或培訓(xùn))但是與獨立審計報告或外包組織的完全審計訪問權(quán)限的需要相比，這是次要的。[單選題]7.以下哪一線路介質(zhì)可為電信網(wǎng)絡(luò)提供最佳安全性?A)數(shù)字傳輸寬帶網(wǎng)絡(luò)B)基帶網(wǎng)絡(luò)C)撥號D)專用線路答案:D解析:A.寬帶通信的安全使用取決于該網(wǎng)絡(luò)是否與其他人共享、數(shù)據(jù)是否加密和網(wǎng)絡(luò)中斷的風(fēng)險。B.基帶網(wǎng)絡(luò)是一種通常與許多其他用戶共享并要求流量加密的網(wǎng)絡(luò)，但攻擊者仍然可以進行某些流量分析。C.撥號線路因為是私有連接，所以相當(dāng)安全，但因太慢而不會被當(dāng)今的大多數(shù)商業(yè)應(yīng)用考慮D.專用線路供特殊用戶或組織使用。由于沒有共享線路或中間進入點，所以攔截或中斷電信消息的風(fēng)險相對較低[單選題]8.證書頒發(fā)機構(gòu)(CA)可委任外部機構(gòu)處理的工作是A)吊銷及暫停用戶的證書B)生成及分配CA公鑰C)在申請實體及其公鑰之間建立關(guān)聯(lián)D)發(fā)布及分配用戶證書。答案:C解析:A.吊銷和暫停以及發(fā)布和分配用戶證書是用戶證書生命周期管理流程中的職能，必須由證書頒發(fā)機構(gòu)(CA)執(zhí)行。B.生成及分配CA公鑰是CA密鑰生命周期管理流程的一部分，因此無法對外授權(quán)。C.在申請實體及其公鑰之間建立關(guān)聯(lián)是注冊機構(gòu)的職能。該職能不一定要由CA履行;因此可以將該職能授權(quán)給其他機構(gòu)D.發(fā)布和分配用戶證書是用戶證書生命周期管理流程中的職能必須由CA執(zhí)行。[單選題]9.當(dāng)審核一個重點關(guān)注質(zhì)量的項目時，IS審計師應(yīng)該使用項目管理三角形理論(質(zhì)量-成本-時間)來解釋:A)即使資源減少,質(zhì)量目標(biāo)也能提升B)質(zhì)量目標(biāo)只能在資源減少的情況下提升C)即使資源減少,交付時間也能減少D)交付時間只能在質(zhì)量目標(biāo)下降的情況下減少答案:A解析:項目的三個主要維度由提交物、分配的資源和提交時間決定。這三個邊構(gòu)成的項目管理三角形的面積是固定的。由于角度是自由的，所以一個邊的變化可以由其他邊跟著變化來補償。因此，即時資源減少了，只要時間延長，質(zhì)量也可以提升；三角形面積總是固定不變的。[單選題]10.在審計某第三方IT服務(wù)提供商時，某IS審計師發(fā)現(xiàn)未按合同要求進行訪問審查。該IS審計師應(yīng):A)向IT管理層報告該問題。B)與服務(wù)提供商討論該問題。C)執(zhí)行風(fēng)險評估。D)執(zhí)行訪問審查。答案:A解析:A.在審計過程中，若存在值得關(guān)注的重大問題，應(yīng)立即報告。B.IS審計師可以和服務(wù)提供商進行討論以澄清問題;但正確的答案是向IT管理層報告問題。C.此問題可以作為日后風(fēng)險評估的一個信息來源，但無論IS是否認(rèn)為存在顯著風(fēng)險，均應(yīng)向管理層報告違規(guī)問題。D.IS審計師不得代表第三方IT服務(wù)提供商執(zhí)行訪問審查。可重新執(zhí)行控制，以確定缺乏審查導(dǎo)致的任何實際違規(guī)行為。[單選題]11.有效的IT治理將確保IT計劃與組織的什么相一致？A)商業(yè)計劃B)審計計劃C)安全計劃D)投資計劃答案:A解析:為了有效地IT治理，IT和業(yè)務(wù)應(yīng)朝同一方向進行，要求的IT計劃與組織的業(yè)務(wù)計劃相一致。審計和投資計劃不是IT計劃的一部分，而安全計劃應(yīng)在同一層面。點評：IT計劃與業(yè)務(wù)保持一致[單選題]12.下列哪一個網(wǎng)絡(luò)部件安裝，主要作為一個措施來阻止不同網(wǎng)段間的未授權(quán)訪問？A)防火墻B)路由器C)二層交換機D)虛擬局域網(wǎng)答案:A解析:加固一個系統(tǒng)的方式是以最安全的方式配置它（安裝最新的安全補丁，恰當(dāng)定義用戶和管理員的訪問授權(quán)，取消不安全的選項和不安裝不用的服務(wù)），來組織未授權(quán)用戶獲得執(zhí)行特權(quán)指令，并以此方式控制整個機器，損害操作系統(tǒng)的完整。將服務(wù)器放在安全的位置和設(shè)置啟動密碼是好的措施，但并不能確保用戶設(shè)法利用邏輯漏洞和損害操作系統(tǒng)。在這種情況下，活動日志只有兩個弱點，它是偵測性控制（不是預(yù)防性控制），并且，攻擊者已經(jīng)獲得訪問權(quán)，能夠修改日志或使他們無效。點評：防火墻的概念[單選題]13.局域網(wǎng)(LAN)管理員通常不應(yīng)承擔(dān)以下哪項責(zé)任:A)承擔(dān)最終用戶責(zé)任。B)向最終用戶經(jīng)理報告工作C)承擔(dān)編程責(zé)任。D)負(fù)責(zé)LAN安全管理。答案:C解析:A.雖然不是理想情況，但局域網(wǎng)(LAN)管理員可承擔(dān)最終用戶責(zé)任。B.LAN管理員可以向信息處理場所(IPF)總監(jiān)報告，或在分散運營的模式下向最終用戶經(jīng)理報告C.LAN管理員不應(yīng)承擔(dān)編程責(zé)任，因為這樣意味著允許修改生產(chǎn)程序，而沒有正確的職責(zé)分離，但局域網(wǎng)(LAN)管理員可承擔(dān)最終用戶責(zé)任。D.在小型組織中，LAN管理員還可能會負(fù)責(zé)LAN的安全管理。[單選題]14.IT審計師對無線網(wǎng)絡(luò)進行評估，在所有無線訪問點都關(guān)閉了自動尋址協(xié)議。這個實踐解析：A)降低未經(jīng)授權(quán)訪問網(wǎng)絡(luò)的風(fēng)險B)對小型網(wǎng)絡(luò)不適用C)能自動防止IP地址被其他人使用D)增加了無線網(wǎng)封裝協(xié)議的風(fēng)險答案:A解析:自動尋址協(xié)議自動分配IP地址給任何一個連接網(wǎng)絡(luò)的人員。關(guān)閉D、HC、P，靜態(tài)IP地址須被使用以降低潛在的未經(jīng)授權(quán)的設(shè)施對網(wǎng)絡(luò)中存在設(shè)施的地址爭奪。選項B、是不正確的，因為D、HC、P不適用于一個小型網(wǎng)絡(luò)。選項C、是不正確的，因為D、HC、P關(guān)閉時不能提供IP地址。選項D、是不正確的，因為關(guān)閉D、HC、P，增加了在WEP中使用眾所周知弱點的難度。[單選題]15.在對一個小型銀行的合規(guī)審計中，IS審計師發(fā)現(xiàn)-IT職能和會計功能是由財務(wù)系統(tǒng)的同一個用戶來執(zhí)行的。監(jiān)管人員實施的下面哪一項審查代表著最佳的補償性控制？A)顯示交易日期和時間的審計軌跡B)含有每筆交易的總數(shù)量和總金額的每日總報表C)用戶賬戶管理D)顯示財務(wù)系統(tǒng)中每一筆交易的計算機日志文件答案:D解析:每個用戶在訪問計算機系統(tǒng)或數(shù)據(jù)文件的時候，計算機日志將記錄他們的活動，而且會記錄所有異常的活動，比如編輯或者刪除財務(wù)數(shù)據(jù)。僅僅記錄交易日期和時間的審計軌跡，不足以補償被同一用戶執(zhí)行的多種職能之后的風(fēng)險。審核財務(wù)的摘要報告不能補償職責(zé)分離的義。監(jiān)管者對用戶賬戶管理進行審查是一個好的控制，然而，它可能無法發(fā)現(xiàn)不當(dāng)活動。點評：找最詳細(xì)的日志記錄[單選題]16.實施安全政策時,落實責(zé)任控制是很重要的一方面,在控制系統(tǒng)用戶的責(zé)任時下面哪一種情況有效性是最弱的?A)審計要求B)口令C)識別控制D)驗證控制答案:B解析:[單選題]17.在審查公司的信息安全政策時，信息系統(tǒng)審計師應(yīng)該驗證定義安全政策的主要基準(zhǔn)是:A)信息安全框架B)過去的信息安全事故C)風(fēng)險管理流程D)行業(yè)最佳實踐答案:A解析:[單選題]18.災(zāi)難恢復(fù)后的計劃部署后，組織的災(zāi)難前和災(zāi)難后的成本將：A)減少B)維持不變C)增加D)增加或減少，由業(yè)務(wù)性質(zhì)而定答案:C解析:所有活動都有成本，災(zāi)難恢復(fù)計劃DRP也不例外。災(zāi)難恢復(fù)計劃DRP肯定有成本，但是部署DRP的話會導(dǎo)致未知的成本發(fā)生。[單選題]19.制定基于風(fēng)險的審計戰(zhàn)略時，IS審計師應(yīng)該風(fēng)險評估，以確定：A)已經(jīng)存在減免風(fēng)險的控制B)找到了弱點和威脅C)已經(jīng)考慮到了審計風(fēng)險D)實施差異分析是恰當(dāng)?shù)拇鸢?A解析:基于風(fēng)險的審計戰(zhàn)略，風(fēng)險和脆弱性被發(fā)現(xiàn)很關(guān)鍵。這將會決定審計領(lǐng)域和覆蓋范圍。審計的目的是使用適當(dāng)?shù)目刂苼頊p少風(fēng)險。是否適當(dāng)?shù)目刂票匦璧逆?zhèn)靜危險是在地方中是稽核的合量效果。審計風(fēng)險是固有審計方面的風(fēng)險,直接關(guān)系到審計程序，與審計環(huán)境風(fēng)險分析無關(guān)。差異分析是比較當(dāng)前狀態(tài)和期望狀態(tài)的差異。[單選題]20.下面哪項將會幫助檢測到入侵者在服務(wù)器系統(tǒng)日志里做過改動:A)在另外一臺服務(wù)器上鏡像系統(tǒng)系統(tǒng)日志B)在不可重復(fù)擦寫磁盤里實時復(fù)制系統(tǒng)日志C)對包含系統(tǒng)日志的目錄寫保護D)離岸備份系統(tǒng)日志答案:B解析:不可重復(fù)擦寫磁盤不能夠被改寫，因此，系統(tǒng)日志備份在磁盤上能夠同原始的日志進行比較而檢測出不同，從而認(rèn)定是入侵者進行改動的結(jié)果。寫保護系統(tǒng)日志不能夠防止刪除和修改，因為超級用戶能夠繞過寫保護。備份和鏡像會覆蓋較早的文件而不是當(dāng)前的。[單選題]21.如果恢復(fù)時間目標(biāo)增加，則:A)災(zāi)難容忍度增加B)恢復(fù)成本增加C)不能使用冷備援計算機中心D)數(shù)據(jù)備份頻率增加答案:A解析:恢復(fù)時間目標(biāo)（RTO）越長，災(zāi)難的容忍度就越高，恢復(fù)成本就越低。它不能得出這樣的結(jié)論：不能使用冷備援計算機中心，或數(shù)據(jù)備份頻率增加。[單選題]22.信息系統(tǒng)審計師在評估邏輯訪問控制時，應(yīng)該首先做什么？A)把應(yīng)用在潛在訪問路徑上的控制項記錄下來B)在訪問路徑上測試控制來檢測是否他們具功能化C)按照寫明的策略和實踐評估安全環(huán)境D)對信息流程的安全風(fēng)險進行了解答案:A解析:在評估邏輯訪問控制時，信息系統(tǒng)審計師應(yīng)該首先通過瀏覽相關(guān)文檔，通過調(diào)查，通過風(fēng)險評估，對信息流程的安全風(fēng)險進行了解，在評估有足夠效率和效力的情況下，記錄和評估是第二步，從而鑒別不足或者是多余控制。第三步是測試訪問途經(jīng)-為了檢測控制是否實現(xiàn)其功能，最后，信息系統(tǒng)審計師通過檢查政策、觀察實踐并與適當(dāng)?shù)陌踩罴褜嵺`的對比等方式評估安全環(huán)境會來評定它的合適性。[單選題]23.某外部IS審計師發(fā)現(xiàn)審計范圍內(nèi)的系統(tǒng)是由某個同事實施的。在這種情況下，IS審計管理人員應(yīng)A)讓這位IS審計師退出審計項目。B)取消審計項目。C)向客戶披露這一問題。D)采取措施恢復(fù)這位IS審計師的獨立性。答案:C解析:A.除非像在某些國家那樣存在法規(guī)限制，否則沒必要讓IS審計師退出審計項目。B.如果經(jīng)過適當(dāng)披露且被接受，則不需取消審計項目。C.如果IS審計師在其獨立性受到損害的情況下繼續(xù)參與審計，應(yīng)在報告中并向相關(guān)的管理人員披露與IS審計師的獨立性問題有關(guān)的事實D.這不是一個可行的解決方案。在IS審計師繼續(xù)參與審計的情況下，其獨立性無法恢復(fù)[單選題]24.以下哪項可以幫助IS審計師評估已開發(fā)并實施的新軟件的質(zhì)量?A)報告故障的平均間隔時間B)修復(fù)故障的總體平均時間C)首次報告的故障平均間隔時間D)修復(fù)故障的總體響應(yīng)時間答案:C解析:A.報告重復(fù)性故障的平均間隔時間反映了在修復(fù)首次報告的故障方面效率低下，并反映了響應(yīng)團隊或客戶服務(wù)部門團隊在處理報告問題時的情況。B.平均修復(fù)時間反映了響應(yīng)團隊或客戶服務(wù)部門團隊在處理報告問題時的情況。C.首次報告的故障平均間隔時間反映了生產(chǎn)環(huán)境中用戶報告的軟件缺陷。此信息可幫助IS審計師評估已開發(fā)并實施的軟件的質(zhì)量。D.響應(yīng)時間反映了響應(yīng)團隊或客戶服務(wù)部門團隊在處理報告問題已開發(fā)并實施的靈活性。[單選題]25.在信息系統(tǒng)審計中，信息信息系統(tǒng)審計員發(fā)現(xiàn)企業(yè)總部使用了一個無線網(wǎng)絡(luò)。什么是審計人員首要應(yīng)該檢查的事情？A)建筑外信號的強度B)配置設(shè)置或參數(shù)設(shè)置C)連接的客戶數(shù)量D)IP地址分配機制答案:B解析:信息系統(tǒng)審計師應(yīng)首先檢查當(dāng)前的網(wǎng)絡(luò)布局和連接的配置，決定是否滿足安全需求。如果進行了適當(dāng)?shù)募用芎桶踩O(shè)置，建筑外信號強度將不用被關(guān)注。從安全角度看，連接的客戶數(shù)量不是被主要關(guān)注的。IP地址分配機制不是一個安全風(fēng)險。[單選題]26.當(dāng)企業(yè)完成所有關(guān)鍵業(yè)務(wù)的業(yè)務(wù)流程重建(BPR)後，信息系統(tǒng)審計師最可能關(guān)注以下哪一項的審核？A)業(yè)務(wù)流程重建前有關(guān)的業(yè)務(wù)流程圖B)業(yè)務(wù)流程重建後有關(guān)的業(yè)務(wù)流程圖C)業(yè)務(wù)流程重建項目計劃D)持續(xù)改進和監(jiān)控計劃答案:A解析:信息審計師的職責(zé)是識別和保證關(guān)鍵的控制都已經(jīng)加入到重建的流程中。選A不正確，因為信息審計師必須審核的是流程現(xiàn)在的情況而不是過去的狀態(tài)。選C或D不正確，因為它們是業(yè)務(wù)流程重建的一個步驟。[單選題]27.當(dāng)把質(zhì)量控制作為檢查一個項目的重要關(guān)注點時，IS審計師應(yīng)該使用項目管理三角形理論（質(zhì)量-成本-時間）來解釋：A)即使資源減少，質(zhì)量控制目標(biāo)也能提升B)質(zhì)量控制目標(biāo)只能在資源增加的情況下提升C)即使資源減少，也能加快成果交付D)加快成果交付只能在降低質(zhì)量控制要求的情況下才能事件答案:A解析:項目的交付由三個主要方面來確定，所分配的資源和交付時間。三角形的面積由三邊組成，面積是固定的。改變一條邊長，可能是通過改變另一邊或兩邊來補償。因此，如果資源分配減少，如果在延長交付時間的情況下，提高質(zhì)量是可以實現(xiàn)的，三角形的面積始終保持不變。點評：項目三要素：成本、工期、交付物[單選題]28.以下哪項可衡量生物識別系統(tǒng)的準(zhǔn)確性：A)系統(tǒng)響應(yīng)時間。B)注冊時間。C)輸入文件大小。D)誤接受率（FAR）。答案:D解析:共有三種主要的準(zhǔn)確性衡量手段可用于生物識別解決方案：誤拒絕率（FRR）、交叉錯誤率（CER）和FAR。FAR用于衡量接受有效用戶的次數(shù)。FAR用于衡量接受無效員工的次數(shù)。CER用于衡量誤拒絕率等于誤接受率的次數(shù)。選項A和B是績效測量。[單選題]29.下面的哪一項在賦予供應(yīng)商臨時訪問權(quán)限時，最有效的控制？A)供應(yīng)商訪問符合服務(wù)水平協(xié)議（ＳＬA）B)用戶帳戶創(chuàng)建的截止日期是根據(jù)所提供的服務(wù)的日期。C)管理員權(quán)限提供了一個有限的期限D(zhuǎn))當(dāng)工作完成時，用戶ID、被刪除答案:A解析:最有效的控制是確保臨時訪問基于提供的服務(wù)，和關(guān)于每個ＩD（希望是自動的）的截至日期。服務(wù)水平協(xié)議擁有對于提供的訪問的機遇，但是不是控制；它僅僅定義了訪問的要求。供應(yīng)商要求的訪問在服務(wù)的時間是有限制的。然而，確保訪問在期間被監(jiān)控是非常重要的。在工作完成后刪除用戶ＩD是必須的，但是如果不是自動的，刪除可能被忽略。[單選題]30.一個組織的IT主管已批準(zhǔn)為一個顧問小組在會議室通過他們自己的筆記本接入互聯(lián)網(wǎng)而安裝一個無線局域網(wǎng)（WLAN）。防止未經(jīng)授權(quán)的訪問公司服務(wù)器的最好的控制措施是確保：A)接入點上的加密已啟用；B)會議室網(wǎng)絡(luò)是建立在一個分開的虛擬局域網(wǎng)（VLAN）上；C)在顧問小組的筆記本電腦上應(yīng)用了防病毒簽名和最新補丁版本；D)禁止了默認(rèn)的用戶ID并且在公司服務(wù)器上設(shè)置了強力的密碼。答案:B解析:無線網(wǎng)絡(luò)設(shè)備的安裝給企業(yè)的服務(wù)器帶來授權(quán)用戶的未經(jīng)授權(quán)的用戶兩方面的風(fēng)險。啟用加密在防止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問量是一個好主意，但可能會造成顧問小組無法訪問網(wǎng)絡(luò)。一個單獨的VLAN是最好的解決方案，因為它確保授權(quán)用戶的因特網(wǎng)訪問的同時又阻止了授權(quán)和未經(jīng)授權(quán)的用戶通過網(wǎng)絡(luò)訪問數(shù)據(jù)庫服務(wù)器。防病毒簽名和補丁水平是良好做法，但不象按照企業(yè)服務(wù)器訪問控制要求阻止網(wǎng)絡(luò)訪問那樣關(guān)鍵。選項C和D是重要的，但不是最重要的。[單選題]31.以下哪種生物識別控制系統(tǒng)最有效？A)相等錯誤率(EER)最高。B)EER最低。C)誤拒絕率(FRR)等于誤接受率(FAR)D)FRR等于拒登率(FER)。答案:B解析:生物識別系統(tǒng)的EER表示FAR等于FRR的情況所占的百分比。EER最低的生物識別系統(tǒng)最有效.EER最高的生物識別系統(tǒng)最無效。對于任何生物識別系統(tǒng)來說，都存在一種量度標(biāo)準(zhǔn)為FRR等于FAR的情況，這就是EER。FER是FRR的綜合衡量。[單選題]32.下面哪一種小程序（Applet）入侵類型會使組織面臨系統(tǒng)運行中斷的最大威脅？A)在客戶機上放置病毒程序B)能記錄用戶擊鍵行為，收集口令的小程序C)從網(wǎng)下載的能讀硬盤文件的代碼D)可以從客機建立網(wǎng)路連接的小程序答案:D解析:[單選題]33.在審質(zhì)量管理系統(tǒng)(QMS)時，IS審計師應(yīng)當(dāng)主要注重收集證據(jù)，以表明:A)質(zhì)量管理系統(tǒng)(QMS)遵循良好實踐。B)正在監(jiān)測持續(xù)改進目標(biāo)。C)每年更新IT標(biāo)準(zhǔn)操作程序。D)定義了關(guān)鍵績效指標(biāo)(KPI)答案:B解析:A.良好實踐通常根據(jù)業(yè)務(wù)求采納，因此逆循良好實踐不一定是業(yè)務(wù)要求。B.對質(zhì)量管理系統(tǒng)(QMS)而言，持續(xù)和可測量的質(zhì)量改進是實現(xiàn)業(yè)務(wù)目標(biāo)的主要要求。C.更新操作程序是實施QMS的一部分;但它必須是變更管理的一部分，而不是年度活動。D.關(guān)鍵績效指標(biāo)(KPI)可在QMS中定義，但若不加以監(jiān)測，則它們沒有多大價值。[單選題]34.以下哪種情況會增加欺詐行為的可能性?A)應(yīng)用程序開發(fā)人員正在執(zhí)行對生產(chǎn)程序的變更。B)管理員正在對供應(yīng)商提供的軟件實施供應(yīng)商補丁，但沒有遵守變更控制流程。C)操作支持人員正在執(zhí)行對批量計劃的變更D)數(shù)據(jù)庫管理員正在執(zhí)行對數(shù)據(jù)結(jié)構(gòu)的變更。答案:A解析:A.生產(chǎn)程序用于處理企業(yè)的數(shù)據(jù)。對生產(chǎn)程序變更的控制必須十分嚴(yán)格。缺乏此方面的控制會導(dǎo)致應(yīng)用程序被修改，進而使數(shù)據(jù)遭到算改。B.缺少變更控制是一種重大風(fēng)險一但如果變更的只是對供應(yīng)商軟件安裝供應(yīng)商提供的補丁，則風(fēng)險很小。C.操作支持人員對批量計劃執(zhí)行的變更只會影響批量的安排，除非工作運行順序錯誤，否則不會影響實時數(shù)據(jù)。D.數(shù)據(jù)庫管理員需要對數(shù)據(jù)結(jié)構(gòu)執(zhí)行變更。這是重組數(shù)據(jù)庫所需的操作，以便添加、修改或刪除數(shù)據(jù)庫中的字段或表格。[單選題]35.以下哪一項是識別敏感信息遭到惡意內(nèi)部人員滲透的最有效方式?A)實施數(shù)據(jù)丟失防護(DLP)軟件B)審查周界防火墻日志C)建立行為分析監(jiān)控D)提供持續(xù)的信息安全意識培訓(xùn)答案:C解析:[單選題]36.通常要在系統(tǒng)開發(fā)中的以下哪個階段做好用戶驗收測試計劃的準(zhǔn)備?A)可行性分析B)需求定義C)計劃實施D)實施后審查答案:B解析:A.可行性分析對于如此深入的用戶參與為時太早。B.在需求定義階段，項目團隊將與用戶合作，一起定義其確切的目標(biāo)及功能需求。此時，用戶應(yīng)與團隊共同考慮并記錄測試系統(tǒng)功能的方式，以確保其能夠滿足用戶指定的需求，IS審計師需了解應(yīng)在何時計劃用戶測試，方可確保其效率和效能。C.實施計劃階段是進行測試之時。此時在流程中制定測試計劃太晚。D.用戶驗收測試應(yīng)在實施前完成。[單選題]37.由于資源有限，企業(yè)的兩名開發(fā)人員還為生產(chǎn)維護和變更實施提供支持。以下哪一項是信息系統(tǒng)審計師解決職責(zé)分離沖突的最佳建議？A)實施變更控制流程B)接受風(fēng)險C)雇用額外的員工D)外包變更實施工作答案:A解析:[單選題]38.建立一個信息安全體系的最初步驟是：A)開發(fā)和實施信息安全標(biāo)準(zhǔn)手冊B)由信息安全審計師實施的全面的安全控制評審C)企業(yè)信息安全策略聲明D)購買安全訪問控制軟件答案:C解析:一個策略聲明，反映了目的和執(zhí)行適當(dāng)?shù)陌踩芾硭峁┑闹С?，并建立了發(fā)展安全計劃的出發(fā)點。點評：先要明確組織的信息安全方針和責(zé)任擔(dān)當(dāng)[單選題]39.IT治理的責(zé)任在于:A)IT戰(zhàn)略委員會。B)首席信息官(CIO)。C)審計委員會。D)董事會答案:D解析:A.IT戰(zhàn)略委員會對于成功實施企業(yè)內(nèi)部IT治理起著重要作用，但最終責(zé)任在于董事會。B.首席信息官(CIO)對于成功實施企業(yè)內(nèi)部IT治理起著重要作用，但最終責(zé)任在于董事會C.審計委員會對于監(jiān)督企業(yè)內(nèi)部IT治理的成功實施起著重要作用，但最終責(zé)任在于董事會D.公司治理是指事會和執(zhí)行管理層肩負(fù)的一系列責(zé)任和實踐，旨在指明戰(zhàn)略方向，確保實現(xiàn)目標(biāo)，確定妥善管理風(fēng)險以及驗證企業(yè)的資源是否被合理使用。[單選題]40.下面哪一項是確定在生產(chǎn)環(huán)境下各個應(yīng)用系統(tǒng)的危險程度的最好方法？A)和應(yīng)用程序員面談B)實施差異分析C)復(fù)核最近的應(yīng)用程序?qū)徲嬑臋nD)實施商業(yè)影響分析答案:A解析:一個商業(yè)影響分析將給出每個應(yīng)用系統(tǒng)的影響。和應(yīng)用程序員面談會提供有限的和系統(tǒng)危險程度有關(guān)的信息。差異分析僅僅是和系統(tǒng)開發(fā)、項目管理有關(guān)。審計文檔不能提供想要的信息，或者不能提供最近活動的信息。[單選題]41.以下哪個選項能夠最佳地支持新IT項目的優(yōu)先性A)內(nèi)部控制自我評估(CSA)B)信息系統(tǒng)審計C)投資組合分析D)業(yè)務(wù)風(fēng)險評估答案:C解析:A.內(nèi)部控制自我評估(CSA)可以強調(diào)違反當(dāng)前政策之處，但未必是用于推動IT項目優(yōu)先化的最佳方法B.與內(nèi)部CSA相似，IS審計很大程度上是一種檢測性控制，僅能實現(xiàn)IT項目優(yōu)先化進程的一部分。C.最可取的方法是進行投資組合分析，該分析不僅清楚地顯示投資戰(zhàn)略的關(guān)注點，并且還將為終止不良IT項目提供論據(jù)。D.業(yè)務(wù)風(fēng)險分析是投資組合分析中的一部分，但是，其本身并非是確定IT項目優(yōu)先順序的最佳方法。[單選題]42.IS計師可以通過審查以下哪項來驗證組織業(yè)務(wù)連續(xù)性計劃(BCP)的有效性A)BCP是否與行業(yè)良好實踐相一致。B)由IS和最終用戶員工執(zhí)行的業(yè)務(wù)連續(xù)性測試的結(jié)果。C)異地設(shè)施及其內(nèi)容、安全性和環(huán)境控制。D)BCP活動的年度財務(wù)成本與計劃實施的預(yù)期收益的對比。答案:B解析:A.業(yè)務(wù)連續(xù)性計劃(BCP)與行業(yè)良好實踐相一致不能保證BCP的有效性。B.評估BCP有效性的最佳方法是審查以往的業(yè)務(wù)連續(xù)性測試結(jié)果，以了解實現(xiàn)測試所指定目標(biāo)的完全性和準(zhǔn)確性。C.異地設(shè)施及其內(nèi)容、安全性和環(huán)境控制不能保證BCP的有效性。只有測試才能準(zhǔn)確評估BCP的有效性。D.BCP活動的年度財務(wù)成本與計劃實施的預(yù)期收益的對比不能保證BCP的有效性。只有測試才能準(zhǔn)確評估BCP的有效性。[單選題]43.在組織內(nèi)實施IT治理框架時，最重要的目標(biāo)是A)IT與業(yè)務(wù)目標(biāo)相一致B)可說明性C)IT價值實現(xiàn)D)增加IT投資回報答案:A解析:IT治理的目標(biāo)是增強IT執(zhí)行力,給予最適宜的商業(yè)價值和保證調(diào)整與業(yè)務(wù)的一致、最重要的目標(biāo)是IT與業(yè)務(wù)目標(biāo)相一致(選擇A、)、其他選項是指業(yè)務(wù)實踐和策略、[單選題]44.在審査業(yè)務(wù)持續(xù)計劃(BCP)時，IS審計師應(yīng)最關(guān)注以下哪一項?A)災(zāi)難級別的確定以受損職能的涉及范圍為基礎(chǔ)，而不以持續(xù)時間為基礎(chǔ)。B)低級別災(zāi)難和軟件事故之間的區(qū)別不明確。C)雖然記錄了整體BCP，但并沒有具體說明詳細(xì)的恢復(fù)步驟。D)沒有確定由誰負(fù)責(zé)宣布災(zāi)難的發(fā)生。答案:D解析:A.災(zāi)難級別的確定以受損職能的涉及范圍為基礎(chǔ)，而不以持續(xù)時間為基礎(chǔ)。B.事故和低級別災(zāi)難之間的區(qū)別始終是不明確的，而且這一區(qū)別通常由糾正損害所需的時間決定。C.缺少詳細(xì)步驟這一情況應(yīng)當(dāng)存檔記錄，但是如果實際上有人啟動了BCP，缺少詳細(xì)步驟這一情況并不意味著缺少恢復(fù)。D.如果沒有人宣布災(zāi)難的發(fā)生，BCP就不會啟動，這比其他問題都更嚴(yán)重。[單選題]45.功能性在軟件生命周期是來評估軟件產(chǎn)品的一個特點，最好的描述在于：A)已有的功能性清單和它們得具體內(nèi)容B)軟件從一個環(huán)境轉(zhuǎn)移到另外一個環(huán)境的能力C)軟件在聲明條件下保持性能等級的能力D)軟件的性能和大量使用資源之間的關(guān)系答案:A解析:功能性是基于現(xiàn)有功能屬性和他們的特定屬性的屬性設(shè)置。功能性是安全說明或隱含的需求。選項B提供了可移植性，選項C提供了可靠性，選項D提供有效性。點評：軟件功能性的概念[單選題]46.完成審查某個組織的災(zāi)難恢復(fù)計劃(DRP)流程后，IS審計師請求與公司管理層開會討論審查結(jié)果。以下哪項最能描述此次會議的主要目標(biāo)?A)獲得管理層對糾正措施計劃的批準(zhǔn)B)確認(rèn)審查結(jié)果的事實準(zhǔn)確性C)協(xié)助管理層實施糾正措施D)確定項目解決方案的優(yōu)先級答案:B解析:A.無需管理層批準(zhǔn)糾正措施計劃。管理層可以選擇實施其他糾正措施計劃來應(yīng)對風(fēng)險。B.會議的目標(biāo)是確認(rèn)審計發(fā)現(xiàn)的事實準(zhǔn)確性，并為管理層提供機會，就糾正措施的建議達成認(rèn)同或做出回應(yīng)。C.糾正措施的實施應(yīng)該在確定審計結(jié)果的事實準(zhǔn)確性后進行，但實施工作通常不會分配給IS審計師，因為這會損害審計師的獨立性D.對審計結(jié)果進行排序可以向管理層提供首先為高風(fēng)險問題分配資源的指導(dǎo)。[單選題]47.在服務(wù)器觀察到可疑的活動之后，管理層要求法庭分析。下面哪一個發(fā)現(xiàn)是與調(diào)查最相關(guān)的？A)服務(wù)器是工作組的成員和不是服務(wù)其域的一部分B)服務(wù)器上的GＵEＳＴ賬戶可用C)近來，在服務(wù)器上創(chuàng)建的１００個用戶D)服務(wù)器上審計日志不可用答案:A解析:審計日志能提供證據(jù)，證明這是需要進行調(diào)查，不應(yīng)該被禁用。為了業(yè)務(wù)需求，服務(wù)器可以是一個工作組的成員，因此，不是一個關(guān)注的問題。有g(shù)uest帳戶上啟用的系統(tǒng)是一個較差的安全實踐，而不是法庭調(diào)查關(guān)注的問題。在該服務(wù)器最近創(chuàng)建100名用戶可能被要求以滿足業(yè)務(wù)需要和不應(yīng)該成為關(guān)注的問題。[單選題]48.如果恢復(fù)時間目標(biāo)（RTO）的上升會導(dǎo)致以下那個結(jié)果？A)災(zāi)難承受力上升B)恢復(fù)成本增加C)冷站無法使用D)數(shù)據(jù)備份的頻率增加答案:A解析:RTO的時間越長，災(zāi)難承受力越高和恢復(fù)成本越低。不能推斷出冷站是合適的或數(shù)據(jù)備份頻率會增加。[單選題]49.綜合測試工具被認(rèn)為是有用的審計工具因為：A)它是評估應(yīng)用控制的有效工具B)它使得財務(wù)部和信息系統(tǒng)審計員集成他們的審計測試C)它可以進行處理結(jié)果與獨立計算數(shù)據(jù)的對比D)他提供給信息系統(tǒng)審計員一個分析大量信息的工具答案:C解析:綜合測試工具被認(rèn)為是有用的審計工具因為使用獨立計算數(shù)據(jù)比較處理用同一程序。這使得設(shè)置應(yīng)用系統(tǒng)和處理測試或生產(chǎn)數(shù)據(jù)的虛擬入口而非入口做為校驗處理準(zhǔn)確性的方式。[單選題]50.受審方在確定可報告的審計發(fā)現(xiàn)后立即采取了糾正措施。IS審計師應(yīng):A)將審計發(fā)現(xiàn)包含在最終報告中，因為IS審計師負(fù)責(zé)出具包括所有發(fā)現(xiàn)的準(zhǔn)確報告B)在最終報告中不寫入這些審計發(fā)現(xiàn)，因為管理層已解決了問題。C)不將審計發(fā)現(xiàn)包含在最終報告中，因為I審計師可在審計期間驗證糾正措施。D)將審計發(fā)現(xiàn)包含在結(jié)束會議中，僅用于討論。答案:A解析:A.將審計發(fā)現(xiàn)包含在最終報告中是普遍認(rèn)可的審計行為。如果受審方在審計開始之后結(jié)束之前采取某項措施，審計報告應(yīng)標(biāo)識審計發(fā)現(xiàn)并描述其所采取的糾正措施。審計報告應(yīng)反映該種情況，因為其在審計開始時便存在。受審方采取的所有糾正措施都應(yīng)以書面方式報告。B.審計報告應(yīng)包含所有相關(guān)發(fā)現(xiàn)和管理層的反應(yīng)，即使發(fā)現(xiàn)的問題己經(jīng)解決。這意味著后續(xù)審計可能測試控制的持續(xù)的解決措施。C.審計報告應(yīng)包含該發(fā)現(xiàn)，以記錄該發(fā)現(xiàn)而控制若在審計后移除也會被注意到。D.審計報告應(yīng)包含該發(fā)現(xiàn)和解決措施，這一點可在最終會議上提及。審計報告應(yīng)列出所有相關(guān)發(fā)現(xiàn)及管理層的反應(yīng)。[單選題]51.某IS審計師注意到，并未按規(guī)定落實每日對賬檢查訪客門禁卡的制度。測試中，該IS審計師未發(fā)現(xiàn)丟失門禁卡的情況。在這種情況下，IS審計師應(yīng)當(dāng):A)不報告忽視對賬的情況，原因是并未發(fā)現(xiàn)差異。B)建議進行定期實物盤存，而不必進行每日對賬。C)將缺乏每日對賬作為一種異常情況進行上報。D)建議實施更可靠的門禁系統(tǒng)。答案:C解析:A.實物數(shù)量不存在差異只能證實未造成任何影響，但不能成為忽視控制運轉(zhuǎn)失敗的理由。應(yīng)當(dāng)報告這個問題，原因在于未遵循控制。B.盡管IS審計師可以在某些情況下建議改變程序，但其主要目的是進行觀察，并在當(dāng)前流程存在缺陷時進行報告。C.IS審計師應(yīng)當(dāng)將缺乏每日對賬作為一種異常情況進行上報，原因在于實物盤存只能提供某個時間點的鑒證，而現(xiàn)行的做法不符合管理層規(guī)定的活動。D.盡管IS審計師可以在某些情況下推薦更可靠的解決方案，但其主要目的是進行觀寮并在當(dāng)前流程存在缺陷時進行報告。[單選題]52.對使用原型法開發(fā)的業(yè)務(wù)應(yīng)用系統(tǒng)變更控制比較難，是因為：A)原型開發(fā)的迭代特征B)需求和設(shè)計的快速修改C)強調(diào)結(jié)果和目標(biāo)D)缺少集成工具答案:B解析:需求和設(shè)計變化的如此之快，以至于它們難得歸檔或經(jīng)過驗證。選項AC或D是原型法的特點，但是他們對變更控制沒有什么不利的效果。點評：原型法開發(fā)對需求快速變化，更難以進行版本控制[單選題]53.在對一家小型銀行進行合規(guī)性審計時，IS審計師發(fā)現(xiàn)，IT職能和會計職能是由財務(wù)系統(tǒng)的同一個用戶執(zhí)行的。用戶監(jiān)督人員執(zhí)行的下列哪一項審查代表最佳的補償控制?A)顯示交易日期和時間的審計軌跡B)含有每筆交易總數(shù)量和總金額(美元)的每日報表C)用戶帳戶管理D)顯示各項交易的計算機日志文件答案:D解析:A.只記錄交易日期和時間的審計軌跡不足以補償由同一用戶執(zhí)行多種職能的風(fēng)險。B.對財務(wù)摘要報告的審查無法補償職責(zé)分離的問題。C.監(jiān)督人對用戶帳戶管理進行審查可以起到良好的控制作用然而，這種審查無法發(fā)現(xiàn)一人執(zhí)行D.計算機日志會記錄各用戶在訪問計算機系統(tǒng)或數(shù)據(jù)文件時的活動，而且會記錄所有異?；顒樱喾N職能時的不當(dāng)活動。如財務(wù)數(shù)據(jù)的修改或刪除。[單選題]54.在什么情況下，熱站會作為一個恢復(fù)策略被執(zhí)行？A)低災(zāi)難容忍度B)高恢復(fù)點目標(biāo)（RPO）C)高恢復(fù)時間目標(biāo)（RTO）D)高災(zāi)難容忍度答案:A解析:災(zāi)難容忍度是指業(yè)務(wù)能承諾不使用IT設(shè)備的時間間隔。如果時間間隔低，就能在短期內(nèi)執(zhí)行恢復(fù)策略，比如需要使用熱站。RPO是指可接受的恢復(fù)數(shù)據(jù)的最接近的點。高RPO表示這個操作可等待較長時間，在這種情況下，其他的恢復(fù)策略，如溫站、冷戰(zhàn)就應(yīng)該被考慮。高RTO表示恢復(fù)策略可利用額外的時間，從而執(zhí)行其他的可供選擇的恢復(fù)方案，如:溫站或冷站等可行的替代方案。[單選題]55.特定威脅的總體業(yè)務(wù)風(fēng)險可定量地表示為:A)影響的可能性和影響大小的乘積(如果威脅成功利用漏洞)。B)影響的大小(如果威脅源成功利用漏洞)C)特定威脅源利用特定漏洞的可能性D)風(fēng)險評估團隊的集體判斷。答案:A解析:A.總體業(yè)務(wù)風(fēng)險在威脅利用漏洞時要考慮影響的可能性和大小，因此為資產(chǎn)風(fēng)險提供了最佳的衡量方法B.風(fēng)險的計算必須考慮利用了漏洞的威脅(不是威脅源)的影響和可能性。C.只考慮利用漏洞的可能性而不考慮所造成的影響或損害，不足以確定總體風(fēng)險。D.風(fēng)險評估團隊的集體判斷是定性風(fēng)險評估的一部分，但必須結(jié)合對業(yè)務(wù)影響的計算以確定總體風(fēng)險。[單選題]56.下列哪一個是成功的實施IT治理的最重要的組成部分？A)實施一個IT記分卡B)確保組織戰(zhàn)略C)執(zhí)行風(fēng)險評估D)創(chuàng)建一個正式的安全策略答案:B解析:IT治理方案的主要目標(biāo)是支持業(yè)務(wù)，從而確定了組織的戰(zhàn)略是必要的，以確保IT與公司治理保持一致。如果沒有確定組織戰(zhàn)略，剩下的選項即使被實施也將是無效的。點評：IT治理最重要的一點就是戰(zhàn)略一致性[單選題]57.IS審計師在執(zhí)行一項獨立系統(tǒng)分類審計時，應(yīng)該把系統(tǒng)可以在可接受成本范圍內(nèi)進行長期手動運行的系統(tǒng)分類為？A)關(guān)鍵的B)重要的C)敏感的D)不關(guān)鍵的答案:C解析:敏感系統(tǒng)是最符合在可接受的成本范圍內(nèi)長時間手動操作要求的。關(guān)鍵的動能除非被相同的功能替代，否則他們不能被手動。重要的功能指那些可以被手動操作但不僅限于短時間內(nèi)的。這是因為和關(guān)鍵功能相比，它中斷成本更低。不關(guān)鍵的功能被長時間中斷也可能只對企業(yè)造成很小的損失或沒有損失。因此需要很少時間或成本來重新運營。[單選題]58.確定程序設(shè)計人員是否有權(quán)更改生產(chǎn)環(huán)境中數(shù)據(jù)的最佳方法是審查下面哪一項內(nèi)容:A)最新的系統(tǒng)更改是如何實現(xiàn)的B)訪問控制系統(tǒng)的配置C)已經(jīng)授予的訪問權(quán)限D(zhuǎn))訪問控制系統(tǒng)的日志設(shè)置答案:C解析:[單選題]59.下列哪一項是無線網(wǎng)絡(luò)中Wi-Fi保護訪問(WPA)的一個特征?A)會話密鑰是動態(tài)的B)私人對稱密鑰的使用C)密鑰是靜態(tài)的和共享的D)源地址是未加密或認(rèn)證的答案:A解析:WPA、的使用動態(tài)會話密鑰，比無線加密達到更強的保密效果（WEP）,（WEP）使用靜態(tài)鑰匙(無線網(wǎng)絡(luò)中每個人都使用同樣的鑰匙),其他選項都是WEP的弱點[單選題]60.從風(fēng)險角度對數(shù)據(jù)庫進行評估是很復(fù)雜的，因為：A)應(yīng)用視圖，查詢權(quán)限，字段，數(shù)據(jù)表訪問以及報表和查詢結(jié)果的訪問都要通過評估數(shù)據(jù)的安全性來檢查。B)它們可能有通過很多鍵連接起來的復(fù)雜的數(shù)據(jù)結(jié)構(gòu)。C)為了了解數(shù)據(jù)分類，數(shù)據(jù)定義必須進行維護。D)數(shù)據(jù)流和數(shù)據(jù)范式化過程會使改變數(shù)據(jù)表大小和事務(wù)映射變得困難。答案:A解析:[單選題]61.某組織正在考慮將基于PC的關(guān)鍵系統(tǒng)連接到互聯(lián)網(wǎng)。一下哪項最能防止黑客攻擊？A)應(yīng)用程序級網(wǎng)關(guān)B)遠程訪問服務(wù)器C)代理服務(wù)器D)端口掃描答案:A解析:應(yīng)用程序級網(wǎng)管是防止黑客攻擊的最好方法，因為可以為其定義詳細(xì)規(guī)則，這些規(guī)則描述了允許或不允許的用戶或連接的類型。該網(wǎng)關(guān)將對開放系統(tǒng)互連（OSI）模型的一到七層中的每個數(shù)據(jù)包進行詳細(xì)分析，這意味著每個高級協(xié)議（超文本傳輸協(xié)議[FTP]、簡單網(wǎng)絡(luò)管理協(xié)議[SNMP]等）的命令都會被審查。對于遠程訪問服務(wù)器，在進入網(wǎng)絡(luò)前，會有一個設(shè)備（服務(wù)器）要求輸入用戶名和密碼，這在訪問專用網(wǎng)絡(luò)時很有用，單該設(shè)備可從互聯(lián)網(wǎng)映射和掃描到，而產(chǎn)生安全風(fēng)險。代理服務(wù)器可給予IP地址和端口提供保護。但是，需要確實了解如何使用代理服務(wù)器的人員，而且應(yīng)用程序會針對程序的不同部分使用不同的端口。當(dāng)存在非常具體的任務(wù)要完成時，端口掃描很有用，但在嘗試控制來自互聯(lián)網(wǎng)的內(nèi)容或需要控制所有可用端口時并不適用。例如，用于回應(yīng)Ping(回應(yīng)請求）的端口可能被阻擋，因此IP地址可用于應(yīng)用程序和瀏覽，但不會對Ping做出相應(yīng)。[單選題]62.審計WEB服務(wù)器時，IS審計師應(yīng)該關(guān)心個人通過哪個選項對保密信息進行未授權(quán)訪問的風(fēng)險？A)通過網(wǎng)關(guān)接口（CGI）的腳本。B)enterprisejavA.beans（EJB）C)小應(yīng)用程序（Applet）D)WEB服務(wù)答案:A解析:CGI腳本是服務(wù)器上可執(zhí)行的獨立于計算機的軟件程序，可以由WEB服務(wù)器頁面調(diào)用和執(zhí)行。CGI執(zhí)行特定的任務(wù)，如處理從客戶端收到的輸入。由于CGI腳本在服務(wù)器中運行時，其中的缺陷可使用戶對服務(wù)器進行未授權(quán)訪問，并從該處訪問組織網(wǎng)絡(luò)，因為需要對所使用的CGI腳本進行評估。小應(yīng)用程序是從WEB服務(wù)器下載的程序，在客戶端計算機的WEB瀏覽器上執(zhí)行，以運行任意基于WEB的應(yīng)用程序，EJB和WEB服務(wù)都必須由WEB服務(wù)器管理員部署，并由應(yīng)用程序服務(wù)器控制。執(zhí)行這兩項均需要了解參數(shù)和與預(yù)期的返回值。[單選題]63.在評估企業(yè)的信息安全治理的有效性時，以下哪一項應(yīng)是信息系統(tǒng)審計師的最大擔(dān)憂？A)沒有衡量信息安全績效的過程B)沒有定期進行信息資產(chǎn)的風(fēng)險評估C)沒有由執(zhí)行管理層審查信息安全政策D)信息安全政策沒有擴展到服務(wù)提供商答案:C解析:[單選題]64.在計劃對企業(yè)的跨境數(shù)據(jù)傳輸進行信息系統(tǒng)審計時，審查以下哪一項最重要?A)適當(dāng)?shù)谋O(jiān)管要求B)之前的外部審計報告C)海外供貨商風(fēng)險評估D)信息系統(tǒng)長期戰(zhàn)略答案:A解析:[單選題]65.IS審計師會認(rèn)為以下哪項工作與IT部門短期計劃的關(guān)聯(lián)性最大?A)資源分配B)與技術(shù)發(fā)展保持同步C)開展控制自我評估D)評估硬件需求答案:A解析:A.IT部門應(yīng)具體考慮在短期內(nèi)分配資源的方式。IS審計師要保證資源得到恰當(dāng)管理。B.IT投資需要與高層管理戰(zhàn)略一致而非與短期計劃相關(guān)，并由于技術(shù)的緣故側(cè)重于技術(shù)。C.開展控制自我評估不如IT部門在短期計劃中分配資源那樣重要。D.評估硬件需求不如IT部門在短期計劃中分配資源那樣重要。[單選題]66.以下哪些會導(dǎo)致拒絕服務(wù)攻擊？A)窮舉攻擊B)死亡之PingC)跳步攻擊D)否定應(yīng)答(NAK)攻擊答案:B解析:使用Ping命令發(fā)送大小操過65KB的數(shù)據(jù)包且沒有加入分段標(biāo)志會造成拒絕服務(wù)。窮舉攻擊是典型的文本攻擊，其窮舉所有可能的鍵組合。跳步攻擊是指在一臺或多臺主機中使用遠程網(wǎng)絡(luò)技術(shù)以逃避攻擊源地址被跟蹤的行為，其使用通過非法手段從某主機中取得的用戶ID和密碼信息對另一臺主機進行攻擊。NAK是一種滲透技術(shù)，它利用了操作系統(tǒng)不能適當(dāng)處理異步中斷的潛在脆弱性，使在這類中斷發(fā)生時該系統(tǒng)處于無保護狀態(tài)。[單選題]67.在什么時候?qū)τ谪攧?wù)會計應(yīng)用系統(tǒng)的授權(quán)邏輯訪問過程中的錯誤最有可能被識別？A)A信息系統(tǒng)審計期間B)在執(zhí)行身份管理方案之后C)在會計對賬過程中D)在由業(yè)務(wù)所有者的定期訪問檢查中答案:D解析:由業(yè)務(wù)所有者定期檢查訪問控制列表可以判斷是否在授權(quán)訪問中有錯誤會發(fā)生。雖然信息審計系統(tǒng)審計員可以確定不適當(dāng)?shù)脑L問實例，但是業(yè)務(wù)所有者的確認(rèn)是第一位的。身份認(rèn)證管理應(yīng)用的存在不是執(zhí)行檢查訪問列表的先決條件。會計對賬評估的是在一個特定的時點的有效性、正確性或者賬戶余額恰當(dāng)性，不能檢查用戶訪問權(quán)。[單選題]68.針對正在考慮購置的新應(yīng)用程序軟件包，IS審計師評估其控制規(guī)范的最佳時間是在A)內(nèi)部實施測試階段B)測試和用戶接受之前C)需求收集期間D)可行性研究階段答案:C解析:IS審計師的最佳參與時間是在應(yīng)用軟件開發(fā)或購置的需求定義開始之時。這是審查供應(yīng)商及其產(chǎn)品的最好機會。后期參與（如在測試或接受階段）會導(dǎo)致資源限制，妨礙完整評估。IS審計師的早期參與也會最大程度地減少對給定解決方案的業(yè)務(wù)承諾需求，其隨著流程的持續(xù)可能會難以克服。但是，在可行性分析階段評估控制可能還為時過早。點評：安全控制接入的越早越好，最早出現(xiàn)在需求階段[單選題]69.為保證傳輸信息的機密性和完整性，發(fā)送方需對傳輸信息的HA、SH摘要進行加密，應(yīng)使用發(fā)送方的：A)公鑰然后使用接收方的私鑰加密信息B)私鑰然后使用接收方的公鑰加密信息C)公鑰然后使用接收方的公鑰加密信息D)私鑰然后使用接收方的私鑰加密信息答案:A解析:HA、SH算法保證信息的完整性；發(fā)送方使用私鑰加密發(fā)送信息的HA、SH摘要保證原始信息的真實性，使用接收方公鑰加密信息保證信息的機密性。其他選項不正確。[單選題]70.為了將其業(yè)務(wù)連續(xù)計劃bcp和災(zāi)難恢復(fù)計劃與核心業(yè)務(wù)需求保持一致，組織可部署的最佳方法是:A)發(fā)生重要業(yè)務(wù)變更后，更新業(yè)務(wù)影響分析BIAB)將BCP和災(zāi)難恢復(fù)計劃的維護外包給第三方C)定期執(zhí)行計劃虛擬演練D)包含BCP和災(zāi)難恢復(fù)計劃責(zé)任,作為員工培訓(xùn)的一部分答案:A解析:[單選題]71.根據(jù)組織的業(yè)務(wù)持續(xù)性計劃的復(fù)雜性，該計劃可能會發(fā)展成為一個以上或多個計劃，以解決業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的不同方面的要求，在這種情況下，至關(guān)重要的是：A)每個計劃彼此一致B)所有計劃都集成到一個單一的計劃C)每個計劃都需要相互依存D)對所有計劃實施排序答案:A解析:對于組織業(yè)務(wù)連續(xù)計劃的復(fù)雜性，可以有一個或一個以上的計劃，來解決業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)的各個方面；并不需要將這些整合到一個單一的計劃中。然而每個計劃必須與其他計劃相符并且與業(yè)務(wù)連續(xù)性策略相一致，對所有計劃進行排序是不妥的，因為這些計劃依賴于災(zāi)難的性質(zhì)，危險和恢復(fù)時間而定。[單選題]72.災(zāi)難恢復(fù)計劃解決的是以下哪方面的需求？A)業(yè)務(wù)連續(xù)性計劃的技術(shù)層面B)業(yè)務(wù)連續(xù)性計劃的運行部門C)業(yè)務(wù)連續(xù)性計劃的功能方面D)業(yè)務(wù)連續(xù)性計劃的所有協(xié)調(diào)工作答案:A解析:災(zāi)難恢復(fù)計劃（DRP）是技術(shù)方面的業(yè)務(wù)連續(xù)性計劃，業(yè)務(wù)恢復(fù)計劃解決的是BCP的運行層面。[單選題]73.以下哪一項最適當(dāng)?shù)拿枋隽薎S審計師和被審計單位就審計發(fā)現(xiàn)進行討論的目的？A)把審計結(jié)果告知高層管理人員B)為所提的建議制定出實施時間表C)確認(rèn)審計發(fā)現(xiàn)，并制定糾正措施的實施計劃D)為識別的風(fēng)險確定補償控制答案:C解析:在把審計結(jié)果傳達給最高管理層之前，IS審計師要和被審計單位討論審計發(fā)現(xiàn)。討論的目的是為了確認(rèn)審計發(fā)現(xiàn)的準(zhǔn)確性，并制定一個糾正措施的實施計劃?；谶@個討論，審計師最終完成審計報告并提交給相應(yīng)級別的高級管理層。在和高級管理層人員和被審計單位的討論的基礎(chǔ)上，審計師可同意針對所提建議制定一個實施計劃和時間表。在報告起草階段，很少與受審方討論來確定補償性控制。點評：與被審人員討論審計發(fā)現(xiàn)的目的：1、認(rèn)賬；2、開藥[單選題]74.缺少適當(dāng)?shù)陌踩刂拼硪韵履囊豁?A)威脅B)資產(chǎn)C)影響D)漏洞答案:D解析:A.威脅是能夠?qū)Y產(chǎn)造成傷害的任何事物(例如物體、物質(zhì)、人)。無論是存在或缺少控制，威脅始終存在B.資產(chǎn)是具有有形價值或無形價值的、值得保護的東西，包括人員、信息、基礎(chǔ)設(shè)施、財務(wù)和聲譽。缺少控制不影響資產(chǎn)價值。C.影響表示某種威脅利用漏洞后所產(chǎn)生的結(jié)果或后果。缺少控制的影響可能更大，但缺少控制的定義是漏洞而非影響。D.缺少適當(dāng)?shù)陌踩刂凭捅硎敬嬖诼┒?，這將使敏感信息和數(shù)據(jù)暴露在風(fēng)險中，而遭受黑客惡意破壞、攻擊或未經(jīng)授權(quán)的訪問。這會造成敏感信息丟失、組織喪失信譽。國際標(biāo)準(zhǔn)化組織(ISO)出版的《安全管理準(zhǔn)則》中對風(fēng)險進行了簡要定義:?特定威脅利用某資產(chǎn)或一組資產(chǎn)的漏洞，對資產(chǎn)造成損失或破壞的可能性。?該定義中的各種要素包括:漏洞、威脅、資產(chǎn)和影響。在這種情況下，缺乏適當(dāng)?shù)陌踩δ芫捅硎敬嬖诼┒?。[單選題]75.IS審計師在對為大型購物中心(電信公司無線用戶)提供互聯(lián)網(wǎng)服務(wù)的電信公司進行網(wǎng)絡(luò)安全檢查，公司利用無線傳輸層安全（WTLS）和安全套接層（SSL）技術(shù)保護客戶的支付信息。如果是一個黑客，IS審計師最關(guān)心的是：A)無線應(yīng)用協(xié)議（WA、P）網(wǎng)關(guān)的泄漏B)在服務(wù)器前安裝監(jiān)測程序C)竊取客戶的PD、A、設(shè)備D)監(jiān)聽無線數(shù)據(jù)傳輸答案:A解析:在WA、P網(wǎng)關(guān)中，客戶的加密信息必須被解密在互聯(lián)網(wǎng)上傳輸，反之亦然。因此，如果網(wǎng)關(guān)弱化，全部信息就會暴露。SSL在互聯(lián)網(wǎng)上通過探測來保護信息，限制客戶信息被公開。WTLS提供認(rèn)證，機密性、完整性，阻止信息被偷聽。[單選題]76.服務(wù)質(zhì)量（QOS）的好處之一是：A)整個網(wǎng)絡(luò)的可用性和性能被極大的提高B)電信公司將提供給公司準(zhǔn)確的服務(wù)級別兼容性的報告C)用到的程序?qū)玫綆挶ＷCD)提高安全控制的通信鏈接一執(zhí)行安全在線服務(wù)答案:C解析:服務(wù)質(zhì)量的主要功能是通過分配部分專用帶寬給特定流量，以達到分配優(yōu)先級給業(yè)務(wù)程序和終端用戶的目的，從而優(yōu)化網(wǎng)絡(luò)性能。選項A是不正確的，因為通信本身不會改善，然而特定應(yīng)用的數(shù)據(jù)交換速度可能更快，可用性就提高了。許多公司提供的服務(wù)質(zhì)量工具不提供服務(wù)級別的報告，但是有一些能產(chǎn)生報告。即使服務(wù)質(zhì)量被集成到防火墻、VPN、加密工具及其他，工具本身并不提供安全控制。[單選題]77.一家企業(yè)遇到了由于默認(rèn)用戶賬戶未從其中一臺服務(wù)器中刪除而導(dǎo)致的域名系統(tǒng)（DNS）攻擊事故。以下哪一項會是緩解該DNS攻擊的風(fēng)險的最佳方式？A)讓第三方配置虛擬服務(wù)器B)配置入侵防御系統(tǒng)以識別DNSC)要求所有員工參加安全配置管理的培訓(xùn)D)遵循批準(zhǔn)的標(biāo)準(zhǔn)配置來配置這些服務(wù)器答案:D解析:[單選題]78.使用閃存（比方說USB、可移動盤）最重要的安全考慮是：A)內(nèi)容高度不穩(wěn)定B)數(shù)據(jù)不能備份C)數(shù)據(jù)可以被拷貝D)設(shè)備可能與其他外設(shè)不兼容答案:A解析:閃存可以提供拷貝任何內(nèi)容的捷徑，除非通過完全的控制。閃存里存儲的內(nèi)容不是易丟失的。備份閃存中的數(shù)據(jù)不是控制關(guān)注點，數(shù)據(jù)有時作為備份存儲。閃存能通過PC、存取，而不是其他外圍設(shè)備，因此，兼容性不是問題。[單選題]79.Web和電子郵件過濾工具是組織最寶貴的資產(chǎn)，因為這些工具：A)保護組織免受病毒和非業(yè)務(wù)材料的侵?jǐn)_。B)最大化員工績效。C)保護組織形象。D)幫助組織預(yù)防法律問題。答案:A解析:投資于Web和電子郵件過濾工具的主要原因是這些工具可顯著降低與病毒、垃圾郵件、郵件鏈、娛樂性上網(wǎng)和娛樂性電子郵件相關(guān)的風(fēng)險。選項B在某種情況下可能是正確的（即，需要與意識計劃一同實施，以便可顯著提高員工績效）。但是，在這種情況下，其相關(guān)性不如選項A。選項C和D是次要或間接好處。[單選題]80.在開發(fā)最終用戶計算(EUC)應(yīng)用程序時，下列哪項屬于普遍存在的風(fēng)險A)應(yīng)用程序可能無法進行測試和一般IT控制。B)開發(fā)和維護成本會增加。C)應(yīng)用程序開發(fā)時間會延長。D)由于響應(yīng)信息請求的能力降低，決策受到影響。答案:A解析:A.最終用戶計算(EUC)是指最終用戶利用計算機軟件產(chǎn)品來設(shè)計并實施自的信息系統(tǒng)的能力。最終用戶開發(fā)的應(yīng)用程序可能無法由系統(tǒng)分析人員執(zhí)行獨立的外部審查，而且通常也不是采用正規(guī)的開發(fā)方法進行創(chuàng)建。此類應(yīng)用程序可能不具備相應(yīng)的標(biāo)準(zhǔn)、控制、質(zhì)量保證流程和文檔。與對傳統(tǒng)的應(yīng)用程序一樣，管理對這些程序的依賴程度也很高，這是最終用戶應(yīng)用程序B.EUC系統(tǒng)一般會導(dǎo)致應(yīng)用開發(fā)和維護成本降低。C.EUC系統(tǒng)一般會導(dǎo)致開發(fā)周期時間縮短。D.EUC系統(tǒng)一般會提高靈活性和對管理層信息請求的響應(yīng)能力，因為系統(tǒng)是由用戶社區(qū)直接開發(fā)的[單選題]81.在將系統(tǒng)部署到生產(chǎn)環(huán)境后不久，發(fā)現(xiàn)在用戶驗收測試（UAT）期間未測試某些關(guān)鍵場景。以下哪一項是這一情況的最大擔(dān)憂？A)完成測試可能需要額外的資金B(yǎng))可能尚未評估重大安全風(fēng)險C)系統(tǒng)功能可能達不到業(yè)務(wù)要求D)該系統(tǒng)可能已投入生產(chǎn)，但存在缺陷答案:B解析:[單選題]82.IS審計師參與應(yīng)用系統(tǒng)開發(fā),他們從事以下哪項可以導(dǎo)致獨立性的減弱.A)對系統(tǒng)開發(fā)進行了復(fù)核B)對控制和系統(tǒng)的其他改進提出了建議C)對完成后的系統(tǒng)進行了獨立評價D)積極參與了系統(tǒng)的設(shè)計和完成答案:D解析:[單選題]83.在應(yīng)用系統(tǒng)開發(fā)過程中，以下哪一項是控制范圍偏離（scopecreep）的最佳方法？A)制定關(guān)鍵績效指標(biāo)。B)實施項目指導(dǎo)委員會審查。C)實施質(zhì)量管理系統(tǒng)。D)讓關(guān)鍵利益相關(guān)者參與其中。答案:D解析:[單選題]84.某關(guān)鍵的IT系統(tǒng)開發(fā)人員突然從某企業(yè)辭職。以下哪個選項是最重要的措施?A)安排與人力資源部門(HR)的離職面談。B)啟動交接流程以確保項目的連續(xù)性。C)終止此開發(fā)人員對IT資源的邏輯訪問。D)確保管理部門辦好離職手續(xù)。答案:C解析:A.在最后一個雇傭日之前安排與人力資源部門(HR)面談也很必要，但這與取消開發(fā)人員的系統(tǒng)訪問權(quán)相比處于次要地位。B.只要與指定員工的交接流程能夠最遲在最后一個雇傭日完成，便不存在任何問題。C.為保護IT資產(chǎn)，管理部門確認(rèn)此員工離職的明確意圖后，首先應(yīng)終止其對IT資源的邏輯訪問，這也是最重要的措施。D.確保管理部門辦好離職手續(xù)固然重要，但終止IT系統(tǒng)的訪問更關(guān)鍵。[單選題]85.哪項為事先加強安全設(shè)定提供了最相關(guān)的信息A)堡壘主機B)入侵監(jiān)測系統(tǒng)C)蜜罐D(zhuǎn))入侵預(yù)防系統(tǒng)答案:C解析:蜜罐的設(shè)計是為了引誘黑客，按照黑客的方法和策略提供資源以定位攻擊。堡壘主機不提供關(guān)于攻擊的信息。入侵檢測系統(tǒng)和入侵預(yù)防系統(tǒng)是設(shè)計用于檢測和定位并盡快阻止攻擊的。蜜罐允許攻擊得以繼續(xù)以獲得關(guān)于黑客的策略和方法的相關(guān)信息。[單選題]86.在一個長的期限內(nèi)，下面哪個選項對于改善安全事件響應(yīng)流程具有最大的潛力？A)穿行審閱事件響應(yīng)流程B)事件響應(yīng)團隊的事后檢查C)用戶的持續(xù)安全培訓(xùn)D)記錄事件的響應(yīng)答案:A解析:在實際的事件響應(yīng)流程中，隨著時間的推移，事后的檢查以發(fā)現(xiàn)差距和缺點可以幫助改善流程。選項A、C、和D、是值得期待的行動，但事后檢查是改善安全事件響應(yīng)流程最可靠的機制。[單選題]87.在數(shù)據(jù)庫管理系統(tǒng)（DBMS）中，正規(guī)化（normalization）被用來：A)消除處理死鎖（processingdeadlock)B)縮短訪問時間C)減少數(shù)據(jù)冗余。D)使數(shù)據(jù)名稱標(biāo)準(zhǔn)化。答案:C解析:[單選題]88.在對系統(tǒng)管理功能的現(xiàn)場觀察期間，IS審計師發(fā)現(xiàn)相比在正常工作時間作出的更改，在正常工作時間以外對數(shù)據(jù)作出的更改僅需要精簡的幾個步驟。以下哪個選項可作為一套適當(dāng)?shù)难a償性控制措施A)使用特權(quán)管理賬戶記錄更改并在第二天審查更改日志。B)使用普通用戶賬戶進行更改，記錄更改并在第二天審查更改日志。C)僅在向普通用戶賬戶授予訪問權(quán)限后允許其作出更改，并在第二天審查更改日志。D)使用數(shù)據(jù)庫管理員（DBA）用戶賬戶作出更改，記錄更改并在第二天審查更改日志。答案:D解析:使用DBA用戶賬戶通常設(shè)定用于記錄作出的所有更改，對于在正常工作時間以外對數(shù)據(jù)作出的更改是最合適的，使用日至即可審查更改。特權(quán)賬戶可由多為用戶使用，使用沒有權(quán)限的普通用戶賬戶對數(shù)據(jù)庫的更改則不受限制，一旦獲得賬戶訪問權(quán)限，使用不進行日志記錄的DBA用戶賬戶即可對數(shù)據(jù)執(zhí)行不受限制的更改。[單選題]89.某IS審計師應(yīng)要求審查針對某數(shù)據(jù)中心服務(wù)候選供應(yīng)商的合同。確定簽署合同后，是否遵守合同條款的最佳途徑是什么?A)要求供應(yīng)商提供月度狀況報告。B)與客戶經(jīng)理定期召開會議。C)對供應(yīng)商進行定期審計檢查。D)要求在合同中說明性能參數(shù)。答案:C解析:A.盡管提供月度狀況報告也許能夠表明供應(yīng)商遵守合同條款，但若不進行獨立驗證，這些數(shù)據(jù)也許并不可靠。B.與客戶IT經(jīng)理定期召開會議有助了解目前與供應(yīng)商之間的關(guān)系，但會議可能不包含定期審計檢查需考慮的供應(yīng)商審計報告、狀況報告和其他信息C.定期審查供應(yīng)商可確保其令人滿意地履行合同中的協(xié)議。若在簽署合同后不進行日后的審計檢查，供應(yīng)商可能不太看重服務(wù)等級協(xié)議(SLA)以及客戶的安全控制要求，并且效果可能打折。定期審計檢查允許客戶檢查供應(yīng)商目前的狀況，以確保該供應(yīng)商是其希望繼續(xù)合作的人選D.要求在合同中說明性能參數(shù)很重要，但只有進行定期審才能確保達到性能參數(shù)。[單選題]90.對以下哪項的頻繁更新是使一個災(zāi)難恢復(fù)計劃持續(xù)有效的關(guān)鍵？A)關(guān)鍵人員的聯(lián)系信息B)服務(wù)器詳細(xì)目錄文檔C)個人角色和職責(zé)D)闡述災(zāi)難的程序答案:A解析:如果發(fā)生了災(zāi)難，最重要的是有一份最新的災(zāi)難恢復(fù)計劃關(guān)鍵人員名單信息表。選項B,C和D更適合長期保持系統(tǒng)穩(wěn)定。[單選題]91.下列加密系統(tǒng)哪個最適用于大量數(shù)據(jù)加密和小型設(shè)備（如智能卡）？A)DESB)AESC)TripleDESD)RSA、答案:A解析:高級加密標(biāo)準(zhǔn)(AES),是一個支持128到256位鑰匙公共加密算法,不但有很好的安全性能,而且速度快，能跨不同平臺。AES能夠在大型計算機上、桌面電腦、甚至小型設(shè)備（如智能卡）安全有效地運行。桌面計算機和平坦的小裝置。DES被認(rèn)為不強壯，因為它的密鑰能被大型機在短時間內(nèi)破解。在加密和解密時TripleDES比DES多花費3倍的時間。RSA鑰匙很長，適合于短消息的加密，例如：數(shù)字簽名。[單選題]92.某IS審計師在審查網(wǎng)絡(luò)日志時發(fā)現(xiàn)，某員工通過調(diào)用任務(wù)計劃程序啟動受限的應(yīng)用，在其PC機上運行了高級命令。這是哪類攻擊的示例?A)競態(tài)條件B)特權(quán)升級C)緩沖溢出D)模擬答案:B解析:A.競態(tài)條件入侵涉及兩個事件的時序和導(dǎo)致某個事件發(fā)生時間晚于預(yù)期的操作。給