cisp工控系统安全工程师试题(1)
-
为了降低通过通讯线路来传送专用数据时带来的安全风险,应该应用:
- A.异步调制解调器
- B.鉴别技术
- C.回叫程序
- D.加密设备
-
在IT支持人员和最终用户的职责分离存在控制弱点时,下列哪项将成为合适的补偿性控制?
- A.限制对计算机设备的物理访问。
- B.审查交易日志和应用日志。
- C.在雇佣IT人员以前做背景调查。
- D.在最终用户不活动后锁定会话
-
在使用电子资金结转(EFT)系统时,以下哪项风险较高?
- A.不适当的变更控制程序。
- B.未经授权的访问和活动。
- C.不充分的联机编辑校验。
- D.不适当的备份和灾难恢复程序。
-
为保证生产环境程序库的安全,以下哪种方法最好?
- A.安装程序访问日志系统
- B.监视对程序库介质的物理访问
- C.限制物理的和逻辑的访问
- D.拒绝来自远程终端的访问
-
什么是变更控制系统中最重要的部分?
- A.所有的变更都必须文档化和被批准。
- B.变更通过自动化工具来管理,防止人为访问。
- C.一旦变更失败,生产的备份被维护。
- D.通过测试和批准来确保质量。
-
公司用于侦察伪造的电子数据交换EDI信息的控制是:
- A.用确认信息告知收到外部签名的信息
- B.只允许授权的员工访问传送设备。
- C.推迟订单处理,直到收到第二份同样商品的订单。
- D.将所有收到的信息写入一次写入/多次读取设备,以便存档。
-
某银行在其所有的重要信息系统项目中都采用系统开发命周期的概念。目前该行正准备开始一个房贷业务系统的可行性研究。可行性研究的主要内容应该包括:
- A.可能的投标商和商誉。
- B.计算机病毒和其他破坏导致的风险。
- C.切换系统实施方法如平行法。
- D.技术和相关成本。
-
下列哪种网络配置最好的支持可用性?
- A.网状
- B.环
- C.星
- D.总线
-
哪三件事情是在检查操作系统安全时认为是最重要的安全控制? I、来自信任源的代码。 II、打开审计日志。 III、没必要的服务被关掉。 IV、缺省密码被修改。 V、系统管理员相对于其要做的工作来说没有任何多余的访问权限
- A.I, II, and III
- B.III, IV, and V
- C.I, III, and IV
- D.I, II, and IV
-
以下除哪一项外都是SLA的检查标准?
- A.业务需求的年审和重新认可。
- B.确信预期的服务被清晰的定义。
- C.确信准备了监测和上报流程。
- D.确信服务提供者给所有同级的客户提供服务。
-
从风险角度对数据库进行评估是很复杂的,因为:
- A.应用视图,查询权限,字段,数据表访问以及报表和查询结果的访问都要通过评估数据的安全性来检查。
- B.它们可能有通过很多键连接起来的复杂的数据结构。
- C.为了了解数据分类,数据定义必须进行维护。
- D.数据流和数据范式化过程会使改变数据表大小和事务映射变得困难。
-
使用PERT(项目评价和复核技术)时,如果一个活动的乐观时间是A,悲观时间是B,最可能时间是m,期望时间由下面哪一个公式表示:
- A.(b-a)/2
- B.(a+b)/2
- C.(a+4m+b)/6
- D.(4abm)/6
-
在数据中心的物理设计过程中,下面哪一项是不合适的?
- A.评价信息通路的潜在风险。
- B.使用生物访问系统。
- C.为操作系统访问设计授权表。
- D.包含不间断电源系统和电压保护器。
-
为了确保收到的商品与采购发票上的商品一致,计算机系统应该:
- A.将采购发票的所选字段同收到的商品进行匹配
- B.保留存货价值的控制总数
- C.计算每批输入的批总数
- D.在账户号中使用校验数位
-
当检查数据网络架构时,下面哪一项不是IS审计师的一个主要的检查标准?
- A.所有的路由访问都被安全认证的方式控制。
- B.网络路由可以使关键业务的拥堵得到有效改善。
- C.对业务和网络管理来说不必要的协议被关闭。
- D.VLAN使用第二层的转换技术来保证关键数据及其拥堵的安全。
-
组织的计算机帮助台HelpDesk功能通常由下列哪个部门负责?
- A.应用程序开发部门。
- B.系统编程部门。
- C.计算机支持部门。
- D.用户部门
-
IS审计师计划审计一个通过个人计算机使用局域网的客户信息系统。与使用大型机相比,使用局域网和个人计算机所增加的风险,不包括哪一项?
- A.缺乏程序文件以确保完全捕捉数据。
- B.驻留在个人计算机上的数据安全性较差。
- C.数据处理的硬件使用故障所引发的问题。
- D.不完整的数据传输。
-
在检查岗位职责时什么是最重要的评估标准?
- A.工作职能中所有要做的工作和需要的培训都有详细的定义。
- B.职责清晰,每个人都清楚自己在组织中的角色。
- C.强制休假和岗位轮换被执行。
- D.绩效得到监控和提升是基于清晰定义的目标。
-
在存储介质管理系统检查时,IS审计师没必要关心:
- A.系统目录是否正确反映了存储介质所在的物理位置。
- B.储存介质是否只能被授权的人访问。
- C.存储介质在异地存储的运输中被正确的识别。
- D.系统是否适当的淘汰存储介质并以安全的方式提供回收。
-
在变更控制检查期间紧急变更被识别时,IS审计师期望发现什么?
- A.一个控制弱点,由于这些行动不该允许发生并且应该报告。
- B.变更在必要时实施,相关的问题被记录。
- C.没有经过系统责任人批准采取的激活变更的相关的规范活动。
- D.通知系统变更责任人和其他所有相关采取行动的解释的流程。
-
以下哪种关于电子邮件安全性的说法是正确的?I.电子邮件不可能比它依赖的计算机系统更安全。 II.机密的电子邮件信息应该储存于邮件服务器中,储存时间和纸质文件相同。 III.在大型组织中,可能有若干个不同安全级别的邮件管理员和地点
- A.只有I 对的。
- B.只有I 和II是对的。
- C.只有I 和III是对的
- D.只有II 和III是对的。
-
在2段式提交数据库事务中,回滚过程发生于:
- A.当客户端和服务器通讯协议不能达成一致时。
- B.在多层架构中需要拒绝代理请求时。
- C.当提交的事务不能被参与的服务器和客户端完全执行时。
- D.当会话的所有人不能得到确认和被提交时。
-
磁带管理系统中的一项控制特征是其具备以下哪种能力?
- A.限制接触生产库。
- B.禁止非授权的数据察看。
- C.使作业无法绕过标签处理。
- D.控制接触有特别权力的工具程序。
-
当审计师使用不充分的测试步骤导致没能发现存在的重要性错误,导致以下哪种风险:
- A.业务(商业)风险。
- B.检查风险。
- C.审计风险。
- D.固有风险。
-
KPI的主要目的是什么?
- A.让管理层可以确认员工正在工作。
- B.监控系统设备能力和过程绩效测量。
- C.提供给管理层一个工具来来考察流程是否健康并指出潜在的问题点。
- D.让操作员知道什么时候发生问题,SLA是否得到满足。
-
下列哪个问题管理系统的特征是IS审计师检查时最重要的? I、所有的问题都被跟进直到产生结论。 II、所有问题自动启动,这样确保正确的数据被捕捉。 III、上报流程确保问题不停留在不能解决的地方。 IV、所有相关的IS操作区域有访问系统被检查来识别问题的来源。 V、统计数据能被系统收集来辅助IS问题的分析。
- A.I, II, III, IV, and V
- B.I, III, IV, and V only
- C.II, III, IV, and V only
- D.I, III, and V only
-
在检查通信系统维护过程时,下面哪一项是在确保客户满意度的审计目标时是最不关键的?
- A.确信建设图纸的修改是保存在办公室图纸的复印件。
- B.确信支持员工有相关知识并能执行必要的维护任务。
- C.确信PBX设备的物理安全被适当的管理。
- D.确信所提供的计划和配置的灵活性给用户带来最小的影响。
-
了解一个操作系统的安全配置的最佳方式是:
- A.学习供应商的安装手册。
- B.检查系统安全计划。
- C.跟安装软件的系统程序员面谈。
- D.查看系统自动配置的参数。
-
使用测试数据验证交易处理的最大挑战是:
- A.实际的生产数据可能被污染。
- B.创建测试数据以覆盖所有可能的正常的和非正常的情景。
- C.测试结果与生产环境中的结果做比较。
- D.与高速事务处理相关的数据隔离。
-
自动运行(lights-out )数据中心的主要目的是:
- A.节省电力。
- B.减少风险。
- C.改善安全。
- D.减少人员费用。
-
下列哪一项在检查操作控制台系统实施时通常不会考虑?
- A.是否通过供应商提供的系统实施的专门技术来进行培训,让内部员工学习新系统。
- B.实施计划的范围和目标是否符合成本有效性和时间性原则。
- C.用来管理业务的KPI是否通过实施过程得到改进。
- D.理解控制台如何同其他操作组件进行接口以及兼容性如何。
-
审计师在审计员工离职控制,以下哪项在审查中最重要?
- A.公司全体员工被通知离职员工的离职。
- B.离职员工的所有登录帐号被冻结。
- C.从支付薪水文件中删除离职员工相关信息。
- D.提供给离职员工的公司财产已经被归还。
-
下列哪项提供最好的方法识别行为和规章之间的问题?
- A.政策审核。
- B.直接观察。
- C.规章审核。
- D.访谈。
-
对于实施安全政策可问责(可追溯责任)非常重要。对于系统用户以下哪种控制在准确的可问责上最没有效果?
- A.可审计的要求。
- B.口令。
- C.识别控制。
- D.认证控制。
-
下面哪一项不希望在因特网的DMZ中被发现?
- A.DNS服务器的地址暴露在因特网上。
- B.邮件代理服务器接收向内邮件并转发向外邮件。
- C.网页服务器内有内容和商业逻辑。
- D.代理服务器对内授权访问需求。
-
以下哪项不是典型的输出控制?
- A.审查计算机处理记录,以确定所有正确的计算机作业任务都得到正确执行。
- B.将输入数据与主文件上的信息进行匹配,并将不对应的项目放入暂记文件中。
- C.定期对照输出报告,以确认有关总额、格式和关键细节的正确性及其与输入信息的一致性。
- D.通过正式的程序和文件指明输出报告、支票和其他关键文件的合法接收者。
-
在一个隔离的操作环境中,下面哪一个场景是期望看到的?
- A.对系统信息和启动问题负责的计算机操作员关注失败的事务。
- B.仅在应用程序员提醒有错误时变更控制库管理员对代码进行修改。
- C.磁带库管理员管理打印队列和为打印机装纸,同时还负责启动异地存储的磁带备份。
- D.操作员通过调整参数设置帮助系统程序员为操作系统排错,系统程序员在旁边观看结果。
-
关于EDI下列说法哪个最正确?
- A.EDI对内部控制或外部控制没有影响。
- B.EDI减少内部控制。
- C.EDI加强内部控制。
- D.EDI对内部控制没有影响。
-
电子数据交换(EDI)可以为组织带来重大利益,但前提是必须清除某些障碍。要想成功实施电子数据交换,应从以下哪一项开始?
- A.画出为实现组织目标所开展的经营活动的流程图
- B.为EDI系统购买新的硬件
- C.选择可靠的应用软件和通讯软件供应商
- D.将交易格式、数据标准化
-
在评估一个计算机硬件安装的项目中,下面哪一项不是你所希望找到的文档化的信息?
- A.为建议书和投标准备的定义需求和提交要求的流程。
- B.硬件安装如何提高过程吞吐量。
- C.基于业务计划和需求的对硬件的功能性需求。
- D.设备安装的方位和地点的决策。
-
在审计第三方服务提供商时,审计师应该关注:
- A.程序和文件的所有权。
- B.谨慎和保密声明。
- C.在灾难事件中提供连续性服务的能力。
- D.以上三项。
-
如果专家系统知识库不充分,将存在下列哪种风险:
- A.未经授权的第三方访问了系统。
- B.系统性的程序错误。
- C.专家系统的使用不成功。
- D.系统失败。
-
下面哪一项是IS审计师在进行PBX评估时要检查的? I、确信外部免费拨入号码的访问被关掉。 II、确信语音邮件系统不会被电话线窃听。 III、确信维护端口的访问代码的缺省值已改变。 IV、确信外部免费号码如900被严格限制。 V、确信超额的电话使用被红旗标记并进行舞弊调查。
- A.I, II, III, and IV only
- B.II, III, and IV only
- C.II, III, IV, and V only
- D.I, II, III, IV, and V
-
下面哪一项是评估硬件维护过程控制最有效的方法?
- A.现场观察硬件并评估当前是否维护以及设备保持完好。
- B.跟进建议的维护任务和计划安排,确定过程的执行以及完成的记录和定期实际维护的工作记录的证据。
- C.从供应商信息中确认要求的维护程序,并保证这些过程都遵循IS组织的流程。
- D.查看问题日志,验证维护过程是否确定与行业平均水平相比较的平均失效时间。
-
下列哪项工作角色混合引起恶意行为发生的可能性最小?
- A.系统分析员和质量保障员。
- B.计算机操作员和系统程序员。
- C.安全管理员和应用程序员。
- D.数据库管理员和系统分析员。
-
一种用来保证程序的源代码和执行代码相一致的控制是:
- A.验证程序的移动请求是经过授权的。
- B.要求对程序、系统和代码进行平行测试。
- C.授权程序员只能对测试库进行访问。
- D.将源代码重新编译到生产库中。
-
由于局域网响应时间较慢,程序员通常会把代码保留在自己的工作站而不是服务器上。因此,每天的服务器备份并不包括当前的源代码。监测响应时间的最好方法是:
- A.并行测试
- B.综合测试设备
- C.性能监控
- D.程序代码比较软件
-
在检查安全包时,下面哪一项不被考虑作为一个调查设计?
- A.什么类型的变更和妥协在正进行的过程中必须发生?
- B.安全更新和补丁如何在安全包中进行维护?
- C.哪些安全包的脆弱点和缺陷点应该被考虑?
- D.对产品进行充分维护时需要哪种支持工作?
-
审计师需要验证足够的软件许可证和许可证管理,下列哪项的审计会考虑软件许可证?
- A.设施。
- B.运营。
- C.配置。
- D.硬件。
-
通过以下哪一项,可以最佳的实现最小化未经授权编辑生产程序,作业控制语言以及操作系统软件的可能性?
- A.数据库访问检查
- B.合规性检查
- C.良好的变更控制程序
- D.有效的网络安全软件