logo资料库

2016年CISA认证核心700题.doc

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.46M 资料格式:doc 举报 版权申诉
第1页 / 共338页
第2页 / 共338页
第3页 / 共338页
第4页 / 共338页
第5页 / 共338页
第6页 / 共338页
第7页 / 共338页
第8页 / 共338页
资料共338页,剩余部分请下载后查看
    2016 年 CISA 认证核心 700 题 1、在信息系统审计中,关于所收集数据的广度的决定应该基于: A、关键及需要的信息的可用性 B、审计师对(审计)情况的熟悉程度 C、被审计对象找到相关证据的能力 D、此次审计的目标和范围 说明:所收集数据的广度与审计的目标和范围直接相关,目标与范围 较窄的审计所收集的数据很可能比目标与范围较宽的审计要少。审计 范围不应该受信息获取的容易程度或者审计师对审计领域的熟悉程 度限制。收集所需的所有证据是审计的必要要素,审计范围也不应受 限于被审计对象找到相关证据的能力。 2、下列那一项能保证发送者的真实性和 e-mail 的机密性? A、用发送者的私钥加密消息散列(hash),然后用接收者的公钥加密消 息散列(hash) B、发送者对消息进行数字签名然后用发送者的私钥加密消息散列 (hash) C、用发送者的私钥加密消息散列(hash),然后用接收者的公钥加密消 息。 D、用发送者的私钥加密消息,然后用接收者的公钥加密消息散列 (hash)
    说明:为了保证真实性与机密性,一条消息必须加密两次:首先用发 送者的私钥,然后用接收者的公钥。接收者可以解密消息,这样就保 证了机密性。然后,解密的消息可以用发送者的公钥再解密,保证了 消息的真实性。用发送者的私钥加密的话,任何人都可以解密它。 3、下列那一条是椭圆曲线加密方法相对于 RSA 加密方法最大的优 势? B、支持数字签名的能力 A、计算速度 C、密钥发布更简单 D、给定密钥长度的情况下(保密性)更强 说明:椭圆曲线加密相对于 RSA 加密最大的优点是它的计算速度。 这种算法最早由 Neal Koblitz 和 Victor S. Miller 独立提出。两种加密 算法都支持数字签名,都可用于公钥分发。然而,强密钥本身无需保 证传输的效果,而是在于所应用的运发法则(运算法则是保证传输效果 好坏的根本)。 4、下列哪种控制可以对数据完整性提供最大的保证? A、审计日志程序 C、查询/表访问时间检查 说明:进行表链接/引用检查可以发现表链接的错误(例如数据库内容 的准确和完整),从而对数据完整性提供最大的保证。审计日志程序是 B、表链接/引用检查 D、回滚与前滚数据库特性 用于记录已鉴定的所有事件和对事件进行跟踪。但是他们只针对事 件,并没有确保数据库内容的完整和准确。查询/监控数据表访问时间 有助于设计者提升数据库性能,而不是完整性。回滚与前滚数据库特
    征保证了异常中断的恢复。它只能确保在异常发生时,正在运行的事 务的完整性,而不能提供数据库内容的完整性保证。 5、开放式系统架构的一个好处是: A、有助于协同工作 B、有助于各部分集成 C、会成为从设备供应商获得量大折扣的基础 D、可以达到设备的规模效益 说明:开放式系统是指供应商提供组件,组件接口基于公共标准定义, 从而使不同厂商间系统互用性更容易实现。相反的,封闭式系统组件 是基于私人标准开发,因此其他供应商的系统将无法与现有系统连 接。 6、一个信息系统审计师发现开发人员拥有对生产环境操作系统的命 令行操作权限。下列哪种控制能最好地减少未被发现和未授权的产品 环境更改的风险? A、命令行输入的所有命令都被记录 B、定期计算程序的 hash 键(散列值)并与最近授权过的程序版本的 hash 键比较 C、操作系统命令行访问权限通过一个预先权限批准的访问限制工具 来授权 D、将软件开发工具与编译器从产品环境中移除
    说明:随着时间的过去,hash 键(散列值)匹配将发现文档的改变。 选项 A 不对,有记录不是控制,审核记录才是一种控制。选项 C 不对, 因为访问已经被授权——不管何种方式。选项 D 不对,因为文件可以 从产品环境拷贝或拷贝到产品环境。 7、下列那一项能最大的保证服务器操作系统的完整性? A、用一个安全的地方来存放(保护)服务器 B、设置启动密码 C、加强服务器设置 D、实施行为记录 说明:加强系统设置意味着用最可靠的方式配置(安装最新的安全补 丁,严格定义用户和管理员的访问权限,禁用不可靠选项及卸载未使 用的服务)防止非特权用户获得权限,运行特权指令,从而控制整台 机器,影响操作系统的完整性。在安全的地方放置服务器和设置启动 密码是好的方法,但是不能保证用户不会试图利用逻辑上的漏洞,威 胁到操作系统。活动记录在这个案例中有两个弱点——它是检查型控 制(不是预防型控制),攻击者一旦已经获得访问特权,将可以修改 或禁用记录。 8、一个投资顾问定期向客户发送业务通讯(newsletter)e-mail,他想 要确保没有人修改他的 newsletter。这个目标可以用下列的方法达到: A、用顾问的私钥加密 newsletter 的散列(hash) B、用顾问的公钥加密 newsletter 的散列(hash) C、用顾问的私钥对文件数据签名 D、用顾问的私钥加密 newsletter
    说明:投资顾问没有试图去证明他们的身份或保持通讯的机密性。他 们的目标是确保接收者收到的信息没有被篡改,也就是信息的完整 性。选项 A 是对的,因为哈希摘要用顾问的私钥加密,接收者能打开 newsletter,计算出哈希摘要,然后用顾问的公钥解密接收到的哈希摘 要。如果二者一致,则在传输过程中 newsletter 没有被篡改。选项 B 是不可行的,因为除了投资顾问没有人能打开 newsletter。选项 C 关 注发送人的身份鉴证而不是信息的完整性。选项 D 关注机密性,而不 是信息的完整性,因为任何人都可以获得投资顾问的公钥,解密 newsletter 然后将它修改后发送给其他人。拦截者不会用顾问的私钥来 加密,因为他们没有。任何用拦截者的私钥加密的信息,接收者都只 能用他们的公钥解密。 9、在审查信息系统短期(战术性)计划时,一个信息系统审计师应 该确定是否: A、计划中包含了信息系统和业务员工 B、明确定义了信息系统的任务与远景 C、有一套战略性的信息技术计划方法 D、该计划将企业目标与信息系统目标联系起来 说明:在项目中,it 技术人员和业务人员的整合,是需要在审查短期 计划时重点关注的运作问题。战略规划将为短期计划提供一个框架。 选项 B,C,D 是战略规划领域的内容。
    10、一个信息系统审计师正在执行对一个网络操作系统的审计。下列 哪一项是信息系统审计师应该审查的用户特性? A、可以获得在线网络文档 B、支持远程主机终端访问 C、在主机间以及用户通讯中操作文件传输 D、性能管理,审计和控制 说明:网络操作系统用户特征包括网络文档的在线可用性。其他特征 还有用户访问网络主机的多个领域,用户授权访问具体领域(特定领 域),用户使用网络和主机不需要特殊操作或命令。选项 B,C,D 是网 络操作系统功能的实例。 11、在一个非屏蔽双绞线(UTP)网络中的一根以太网电缆长于 100 米。这个电缆长度可能引起下列哪一种后果? B、串扰 C、离散 D、衰减 A、电磁干扰 说明:衰减是指信号在传输过程中的弱化。当信号减弱时,它会把 1 读成 0,这样用户会遭遇通讯问题。UTP 在大约 100 米范围外会衰减。 EMI(电磁干扰)是由外部电磁波影响有效信号造成的,不是这里所 说的情况。Cross-talk(串扰)与 UTP 电缆长度无关。 12、下列哪一项加密/解密措施对保密性、消息完整性、抗否认(包括 发送方和接收方)提供最强的保证? A、接收方使用他们的私钥解密密钥 B、预先散列计算的编码和消息均用一个密钥加密
    C、预先散列计算的编码是以数学方法从消息衍生来的 D、接收方用发送方经过授权认证中心(CA)认证的公钥来解密预先散 列计算的编码 说明:通常加密操作是结合私钥、公钥、密钥、哈希函数和数字证书 的使用来实现保密性,信息完整性和不可抵赖性(包括发送方和接收 方)。接受方使用发送方公钥将加密的哈希摘要解密成不加密的哈希 摘要,(当它与经哈希算法形成摘要相同时),则证实发送者的身份 以及信息没有在发送过程中被修改,这种操作提供了最有力的保证。 每个发送者和接收者有只有自己知道的私钥和大家都知道的公钥。每 个加密或解密过程需要来自至少来自同一组织的一个公钥和一个私 钥。单一的密钥一般用来加密信息,因为密钥相比公钥和私钥只需要 较低的处理能力。数字证书由认证授权机构签发,使发送者和接收者 的公钥生效。 13、为了确定在一个具有不同系统的环境中数据是如何通过不同的平 台访问的,信息系统审计师首先必须审查: A、业务软件 B、基础平台工具 C、应用服务 D、系统开 发工具 说明:项目计划需要认识到 IT 基础架构的复杂性随着应用服务的开 发而简化和独立了。应用服务使系统开发者从复杂的 IT 基础架构中 独立出来,而且提供通用函数给许多应用共享。应用服务采用接口, 中间件等形式。商业软件关注业务流程,而应用服务拉近了应用和 IT 基础架构组件间的距离。基础架构平台工具是涉及 IT 基础架构开发
    所需的核心硬件和软件组件。系统开发工具是 IT 基础架构开发中的 开发组件。 14、使用闪存(比方说 USB 可移动盘)最重要的安全考虑是: A、内容高度不稳定 C、数据可以被拷贝 B、数据不能备份 D、设备可能与其他外设不兼容 说明:闪存可以提供拷贝任何内容的捷径,除非通过完全的控制。闪 存里存储的内容不是易丢失的。备份闪存中的数据不是控制关注点, 数据有时作为备份存储。闪存能通过 PC 存取,而不是其他外围设备, 因此,兼容性不是问题。 15、为了保证两方之间的消息完整性,保密性和抗否认性,最有效的 方法是生成一个消息摘要,生成摘要的方法是将加密散列(hash)算法 应用在: A、整个消息上,用发送者的私钥加密消息摘要,用对称密钥加密消 息,用接收者的公钥加密(对称)密钥。 B、消息的任何部分上,用发送者的私钥加密消息摘要,用对称密钥 加密消息,用接收者的公钥加密(对称)密钥。 C、整个消息,用发送者的私钥加密消息摘要,用对称密钥加密消息, 用接收者的公钥加密密文和摘要。 D、整个消息,用发送者的私钥加密消息摘要,用接收者的公钥加密 消息。
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料