精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)1、在信息系統(tǒng)審計中，關(guān)于所收集數(shù)據(jù)的廣度的決定應(yīng)該基于：A、關(guān)鍵及需要的信息的可用性B、審計師對（審計）情況的熟悉程度C、被審計對象找到相關(guān)證據(jù)的能力D、此次審計的目標(biāo)和范圍說明：所收集數(shù)據(jù)的廣度與審計的目標(biāo)和范圍直接相關(guān)，目標(biāo)與范圍較窄的審計所收集的數(shù)據(jù)很可能比目標(biāo)與范圍較寬的審計要少。審計范圍不應(yīng)該受信息獲取的容易程度或者審計師對審計領(lǐng)域的熟悉程度限制。收集所需的所有證據(jù)是審計的必要要素，審計范圍也不應(yīng)受限于被審計對象找到相關(guān)證據(jù)的能力。2、下列那一項能保證發(fā)送者的真實性和e-mail的機(jī)密性？A、用發(fā)送者的私鑰加密消息散列(hash)，然后用接收者的公鑰加密消息散列(hash)B、發(fā)送者對消息進(jìn)行數(shù)字簽名然后用發(fā)送者的私鑰加密消息散列(hash)C、用發(fā)送者的私鑰加密消息散列(hash)，然后用接收者的公鑰加密消息。D、用發(fā)送者的私鑰加密消息，然后用接收者的公鑰加密消息散列(hash)說明：為了保證真實性與機(jī)密性，一條消息必須加密兩次：首先用發(fā)送者的私鑰，然后用接收者的公鑰。接收者可以解密消息，這樣就保證了機(jī)密性。然后，解密的消息可以用發(fā)送者的公鑰再解密，保證了消息的真實性。用發(fā)送者的私鑰加密的話，任何人都可以解密它。3、下列那一條是橢圓曲線加密方法相對于RSA加密方法最大的優(yōu)勢？A、計算速度B、支持?jǐn)?shù)字簽名的能力C、密鑰發(fā)布更簡單D、給定密鑰長度的情況下（保密性）更強(qiáng)說明：橢圓曲線加密相對于RSA加密最大的優(yōu)點是它的計算速度。這種算法最早由NealKoblitz和VictorS.Miller獨立提出。兩種加密算法都支持?jǐn)?shù)字簽名，都可用于公鑰分發(fā)。然而，強(qiáng)密鑰本身無需保證傳輸?shù)男Ч?而是在于所應(yīng)用的運(yùn)發(fā)法則(運(yùn)算法則是保證傳輸效果好壞的根本)。4、下列哪種控制可以對數(shù)據(jù)完整性提供最大的保證？A、審計日志程序B、表鏈接/引用檢查C、查詢/表訪問時間檢查D、回滾與前滾數(shù)據(jù)庫特性說明：進(jìn)行表鏈接/引用檢查可以發(fā)現(xiàn)表鏈接的錯誤（例如數(shù)據(jù)庫內(nèi)容的準(zhǔn)確和完整）,從而對數(shù)據(jù)完整性提供最大的保證。審計日志程序是用于記錄已鑒定的所有事件和對事件進(jìn)行跟蹤。但是他們只針對事件，并沒有確保數(shù)據(jù)庫內(nèi)容的完整和準(zhǔn)確。查詢/監(jiān)控數(shù)據(jù)表訪問時間有助于設(shè)計者提升數(shù)據(jù)庫性能，而不是完整性?；貪L與前滾數(shù)據(jù)庫特征保證了異常中斷的恢復(fù)。它只能確保在異常發(fā)生時，正在運(yùn)行的事務(wù)的完整性，而不能提供數(shù)據(jù)庫內(nèi)容的完整性保證。5、開放式系統(tǒng)架構(gòu)的一個好處是：A、有助于協(xié)同工作B、有助于各部分集成C、會成為從設(shè)備供應(yīng)商獲得量大折扣的基礎(chǔ)D、可以達(dá)到設(shè)備的規(guī)模效益說明：開放式系統(tǒng)是指供應(yīng)商提供組件，組件接口基于公共標(biāo)準(zhǔn)定義，從而使不同廠商間系統(tǒng)互用性更容易實現(xiàn)。相反的，封閉式系統(tǒng)組件是基于私人標(biāo)準(zhǔn)開發(fā)，因此其他供應(yīng)商的系統(tǒng)將無法與現(xiàn)有系統(tǒng)連接。6、一個信息系統(tǒng)審計師發(fā)現(xiàn)開發(fā)人員擁有對生產(chǎn)環(huán)境操作系統(tǒng)的命令行操作權(quán)限。下列哪種控制能最好地減少未被發(fā)現(xiàn)和未授權(quán)的產(chǎn)品環(huán)境更改的風(fēng)險？A、命令行輸入的所有命令都被記錄B、定期計算程序的hash鍵（散列值）并與最近授權(quán)過的程序版本的hash鍵比較C、操作系統(tǒng)命令行訪問權(quán)限通過一個預(yù)先權(quán)限批準(zhǔn)的訪問限制工具來授權(quán)D、將軟件開發(fā)工具與編譯器從產(chǎn)品環(huán)境中移除說明：隨著時間的過去，hash鍵（散列值）匹配將發(fā)現(xiàn)文檔的改變。選項A不對，有記錄不是控制，審核記錄才是一種控制。選項C不對，因為訪問已經(jīng)被授權(quán)——不管何種方式。選項D不對，因為文件可以從產(chǎn)品環(huán)境拷貝或拷貝到產(chǎn)品環(huán)境。7、下列那一項能最大的保證服務(wù)器操作系統(tǒng)的完整性？A、用一個安全的地方來存放（保護(hù)）服務(wù)器B、設(shè)置啟動密碼C、加強(qiáng)服務(wù)器設(shè)置D、實施行為記錄說明：加強(qiáng)系統(tǒng)設(shè)置意味著用最可靠的方式配置（安裝最新的安全補(bǔ)丁，嚴(yán)格定義用戶和管理員的訪問權(quán)限，禁用不可靠選項及卸載未使用的服務(wù)）防止非特權(quán)用戶獲得權(quán)限，運(yùn)行特權(quán)指令，從而控制整臺機(jī)器，影響操作系統(tǒng)的完整性。在安全的地方放置服務(wù)器和設(shè)置啟動密碼是好的方法，但是不能保證用戶不會試圖利用邏輯上的漏洞，威脅到操作系統(tǒng)。活動記錄在這個案例中有兩個弱點——它是檢查型控制（不是預(yù)防型控制），攻擊者一旦已經(jīng)獲得訪問特權(quán)，將可以修改或禁用記錄。8、一個投資顧問定期向客戶發(fā)送業(yè)務(wù)通訊（newsletter）e-mail，他想要確保沒有人修改他的newsletter。這個目標(biāo)可以用下列的方法達(dá)到：A、用顧問的私鑰加密newsletter的散列（hash）B、用顧問的公鑰加密newsletter的散列（hash）C、用顧問的私鑰對文件數(shù)據(jù)簽名D、用顧問的私鑰加密newsletter說明：投資顧問沒有試圖去證明他們的身份或保持通訊的機(jī)密性。他們的目標(biāo)是確保接收者收到的信息沒有被篡改，也就是信息的完整性。選項A是對的，因為哈希摘要用顧問的私鑰加密，接收者能打開newsletter，計算出哈希摘要，然后用顧問的公鑰解密接收到的哈希摘要。如果二者一致，則在傳輸過程中newsletter沒有被篡改。選項B是不可行的，因為除了投資顧問沒有人能打開newsletter。選項C關(guān)注發(fā)送人的身份鑒證而不是信息的完整性。選項D關(guān)注機(jī)密性，而不是信息的完整性，因為任何人都可以獲得投資顧問的公鑰，解密newsletter然后將它修改后發(fā)送給其他人。攔截者不會用顧問的私鑰來加密，因為他們沒有。任何用攔截者的私鑰加密的信息，接收者都只能用他們的公鑰解密。9、在審查信息系統(tǒng)短期（戰(zhàn)術(shù)性）計劃時，一個信息系統(tǒng)審計師應(yīng)該確定是否：A、計劃中包含了信息系統(tǒng)和業(yè)務(wù)員工B、明確定義了信息系統(tǒng)的任務(wù)與遠(yuǎn)景C、有一套戰(zhàn)略性的信息技術(shù)計劃方法D、該計劃將企業(yè)目標(biāo)與信息系統(tǒng)目標(biāo)聯(lián)系起來說明：在項目中，it技術(shù)人員和業(yè)務(wù)人員的整合，是需要在審查短期計劃時重點關(guān)注的運(yùn)作問題。戰(zhàn)略規(guī)劃將為短期計劃提供一個框架。選項B,C,D是戰(zhàn)略規(guī)劃領(lǐng)域的內(nèi)容。10、一個信息系統(tǒng)審計師正在執(zhí)行對一個網(wǎng)絡(luò)操作系統(tǒng)的審計。下列哪一項是信息系統(tǒng)審計師應(yīng)該審查的用戶特性？A、可以獲得在線網(wǎng)絡(luò)文檔B、支持遠(yuǎn)程主機(jī)終端訪問C、在主機(jī)間以及用戶通訊中操作文件傳輸D、性能管理，審計和控制說明：網(wǎng)絡(luò)操作系統(tǒng)用戶特征包括網(wǎng)絡(luò)文檔的在線可用性。其他特征還有用戶訪問網(wǎng)絡(luò)主機(jī)的多個領(lǐng)域，用戶授權(quán)訪問具體領(lǐng)域（特定領(lǐng)域），用戶使用網(wǎng)絡(luò)和主機(jī)不需要特殊操作或命令。選項B,C,D是網(wǎng)絡(luò)操作系統(tǒng)功能的實例。11、在一個非屏蔽雙絞線（UTP）網(wǎng)絡(luò)中的一根以太網(wǎng)電纜長于100米。這個電纜長度可能引起下列哪一種后果？A、電磁干擾B、串?dāng)_C、離散D、衰減說明：衰減是指信號在傳輸過程中的弱化。當(dāng)信號減弱時，它會把1讀成0，這樣用戶會遭遇通訊問題。UTP在大約100米范圍外會衰減。EMI（電磁干擾）是由外部電磁波影響有效信號造成的，不是這里所說的情況。Cross-talk（串?dāng)_）與UTP電纜長度無關(guān)。12、下列哪一項加密/解密措施對保密性、消息完整性、抗否認(rèn)（包括發(fā)送方和接收方）提供最強(qiáng)的保證？A、接收方使用他們的私鑰解密密鑰B、預(yù)先散列計算的編碼和消息均用一個密鑰加密C、預(yù)先散列計算的編碼是以數(shù)學(xué)方法從消息衍生來的D、接收方用發(fā)送方經(jīng)過授權(quán)認(rèn)證中心(CA)認(rèn)證的公鑰來解密預(yù)先散列計算的編碼說明：通常加密操作是結(jié)合私鑰、公鑰、密鑰、哈希函數(shù)和數(shù)字證書的使用來實現(xiàn)保密性，信息完整性和不可抵賴性（包括發(fā)送方和接收方）。接受方使用發(fā)送方公鑰將加密的哈希摘要解密成不加密的哈希摘要，（當(dāng)它與經(jīng)哈希算法形成摘要相同時），則證實發(fā)送者的身份以及信息沒有在發(fā)送過程中被修改，這種操作提供了最有力的保證。每個發(fā)送者和接收者有只有自己知道的私鑰和大家都知道的公鑰。每個加密或解密過程需要來自至少來自同一組織的一個公鑰和一個私鑰。單一的密鑰一般用來加密信息，因為密鑰相比公鑰和私鑰只需要較低的處理能力。數(shù)字證書由認(rèn)證授權(quán)機(jī)構(gòu)簽發(fā)，使發(fā)送者和接收者的公鑰生效。13、為了確定在一個具有不同系統(tǒng)的環(huán)境中數(shù)據(jù)是如何通過不同的平臺訪問的，信息系統(tǒng)審計師首先必須審查：A、業(yè)務(wù)軟件B、基礎(chǔ)平臺工具C、應(yīng)用服務(wù)D、系統(tǒng)開發(fā)工具說明：項目計劃需要認(rèn)識到IT基礎(chǔ)架構(gòu)的復(fù)雜性隨著應(yīng)用服務(wù)的開發(fā)而簡化和獨立了。應(yīng)用服務(wù)使系統(tǒng)開發(fā)者從復(fù)雜的IT基礎(chǔ)架構(gòu)中獨立出來，而且提供通用函數(shù)給許多應(yīng)用共享。應(yīng)用服務(wù)采用接口，中間件等形式。商業(yè)軟件關(guān)注業(yè)務(wù)流程，而應(yīng)用服務(wù)拉近了應(yīng)用和IT基礎(chǔ)架構(gòu)組件間的距離?；A(chǔ)架構(gòu)平臺工具是涉及IT基礎(chǔ)架構(gòu)開發(fā)所需的核心硬件和軟件組件。系統(tǒng)開發(fā)工具是IT基礎(chǔ)架構(gòu)開發(fā)中的開發(fā)組件。14、使用閃存（比方說USB可移動盤）最重要的安全考慮是：A、內(nèi)容高度不穩(wěn)定B、數(shù)據(jù)不能備份C、數(shù)據(jù)可以被拷貝D、設(shè)備可能與其他外設(shè)不兼容說明：閃存可以提供拷貝任何內(nèi)容的捷徑，除非通過完全的控制。閃存里存儲的內(nèi)容不是易丟失的。備份閃存中的數(shù)據(jù)不是控制關(guān)注點，數(shù)據(jù)有時作為備份存儲。閃存能通過PC存取，而不是其他外圍設(shè)備，因此，兼容性不是問題。15、為了保證兩方之間的消息完整性，保密性和抗否認(rèn)性，最有效的方法是生成一個消息摘要，生成摘要的方法是將加密散列(hash)算法應(yīng)用在：A、整個消息上，用發(fā)送者的私鑰加密消息摘要，用對稱密鑰加密消息，用接收者的公鑰加密（對稱）密鑰。B、消息的任何部分上，用發(fā)送者的私鑰加密消息摘要，用對稱密鑰加密消息，用接收者的公鑰加密（對稱）密鑰。C、整個消息，用發(fā)送者的私鑰加密消息摘要，用對稱密鑰加密消息，用接收者的公鑰加密密文和摘要。D、整個消息，用發(fā)送者的私鑰加密消息摘要，用接收者的公鑰加密消息。說明：針對整體信息運(yùn)用哈希算法加密表明信息的完整性問題。用發(fā)送者的私鑰對信息摘要加密表明抗否認(rèn)性。用對稱密鑰加密信息，然后用接收者的公鑰加密對稱密鑰，最有效表明信息的機(jī)密性和接收者的不可否認(rèn)性。其他選項只是需求的一部分。16、為了確保符合“密碼必須是字母和數(shù)字的組合”的安全政策，信息系統(tǒng)審計師應(yīng)該建議：A、改變公司政策B、密碼定期更換C、使用一個自動密碼管理工具D、履行安全意識培訓(xùn)說明：密碼自動化管理工具的運(yùn)用是預(yù)防性控制措施。軟件會避免重復(fù)并強(qiáng)制執(zhí)行語法規(guī)則，從而實現(xiàn)密碼的健壯性。它同時提供一種方法來保證密碼經(jīng)常更換，從而避免同一個用戶重復(fù)使用他們在指定時期的舊密碼。選項A,B,D沒有強(qiáng)制要求符合安全政策。17、在有效的信息安全治理背景中，價值傳遞的主要目標(biāo)是：A、優(yōu)化安全投資來支持業(yè)務(wù)目標(biāo)B、實施一套安全實踐標(biāo)準(zhǔn)C、制定一套標(biāo)準(zhǔn)解決方案D、建立一個持續(xù)進(jìn)步的文化說明：在有效的信息安全治理背景中，實行價值傳遞是為了保證為支持業(yè)務(wù)目標(biāo)的安全投資是最優(yōu)化的。實行價值傳遞的工具和技術(shù)包括執(zhí)行一套安全實踐標(biāo)準(zhǔn)，基于標(biāo)準(zhǔn)的解決方案制度化、商品化以及持續(xù)改進(jìn)的文化，將安全作為一個過程而不是結(jié)果。18、在一個組織中信息技術(shù)安全的基線已經(jīng)被定義了，那么信息系統(tǒng)審計師應(yīng)該首先確認(rèn)它的：A、實施B、遵守C、文件D、足夠（充分）說明：信息系統(tǒng)審計師首先要通過確?？刂频某浞中詠碓u估最小基線水平的定義。文件、實施和遵守是后面的步驟。19、在對一個多用戶分布式應(yīng)用程序的實施進(jìn)行審計時，信息系統(tǒng)審計師在三個地方發(fā)現(xiàn)小缺陷——參數(shù)的初始設(shè)置沒有被正確安裝，弱口令，一些重要報告沒有被正確檢查。在準(zhǔn)備審計報告時，信息系統(tǒng)審計師應(yīng)該：A、分別記錄每項發(fā)現(xiàn)以及他們各自的影響B(tài)、告訴經(jīng)理可能存在的風(fēng)險，不在報告中記錄這些發(fā)現(xiàn)，因為這些控制缺陷很小C、記錄這些發(fā)現(xiàn)以及這些缺陷綜合帶來的風(fēng)險D、將每項發(fā)現(xiàn)通知部門領(lǐng)導(dǎo)，正確地在報告中記錄它說明：個別的缺陷是很次要的，但是把它們綜合在一起的危害將極大的減弱整個控制結(jié)構(gòu)。選項A,D信息系統(tǒng)審計師的失敗在于沒有認(rèn)識對控制弱點的綜合影響。不向經(jīng)理報告這些事實，將是對風(fēng)險承擔(dān)者的隱瞞。20、在審查一份業(yè)務(wù)持續(xù)性計劃時，信息系統(tǒng)審計師注意到什么情況被宣布為一個危機(jī)沒有被定義。這一點關(guān)系到的主要風(fēng)險是：A、對這種情況的評估可能會延遲B、災(zāi)難恢復(fù)計劃的執(zhí)行可能會被影響C、團(tuán)隊通知可能不會發(fā)生D、對潛在危機(jī)的識別可能會無效說明：如果組織不知道什么時候應(yīng)該宣告危機(jī)發(fā)生，將會影響業(yè)務(wù)持續(xù)性計劃的執(zhí)行。選項A,C,D是評估是否危機(jī)產(chǎn)生的步驟。問題和嚴(yán)重性的評價將為判定災(zāi)難提供重要信息。當(dāng)潛在的危機(jī)被識別后，負(fù)責(zé)危機(jī)處理的團(tuán)隊會被通知。如果這一步驟被耽誤，直到災(zāi)難被宣告，響應(yīng)團(tuán)隊的作用也將被抹殺。潛在危機(jī)的識別是災(zāi)難響應(yīng)的第一步。21在測試組織的變更控制程序的符合性方面，IS審計師執(zhí)行的下列哪項測試最有效？A檢查軟件遷移記錄和驗證審批B識別已發(fā)生的變更和驗證審批C檢查變更控制文檔和驗證審批D確保只有適當(dāng)?shù)膯T工才能將變更遷移到生產(chǎn)環(huán)境注:最有效的方法是:通過代碼比對識別已發(fā)生的變更和驗證審批的記錄,變更控制文檔和軟件遷移記錄不能列出全部變更.確保只有適當(dāng)?shù)膯T工才能將變更遷移到生產(chǎn)環(huán)境是控制程序的關(guān)鍵,但它不是驗證符合性.22一個大型組織的IT業(yè)務(wù)實行外包。在檢查這個外包業(yè)務(wù)時，IS審計師應(yīng)該最關(guān)注以下哪一項發(fā)現(xiàn)？A外包合同沒有包含IT業(yè)務(wù)的災(zāi)難恢復(fù)B服務(wù)提供商沒有事件處理程序C近期有崩潰的數(shù)據(jù)庫由于程序庫管理問題無法恢復(fù)D事件日志沒有被檢查過注:災(zāi)難恢復(fù)預(yù)案的缺乏是主要商業(yè)風(fēng)險.在合同中體現(xiàn)災(zāi)難恢復(fù)預(yù)案提供給外包企業(yè)作用超過服務(wù)供應(yīng)商,選擇B、C和D是應(yīng)該被服務(wù)提供商寫明的問題，但不是像災(zāi)難恢復(fù)計劃一樣作為合同的必要條款。23以下哪種抽樣方法在符合性測試時最有用？A屬性抽樣B變量抽樣C分層單位平均估計抽樣D差額估計抽樣注:屬性抽樣是符合性測試的主要抽樣方法.屬性抽樣是用于評估在一個群體中一種屬性出現(xiàn)的比率和用于符合性測試確定屬性是否存在的一種抽樣方法。其他選項是用于實質(zhì)性測試，涉及詳細(xì)或數(shù)量測試。24下列哪一項應(yīng)該被包括在組織的IS安全政策中？A需要被保護(hù)的關(guān)鍵IT資源清單B訪問授權(quán)的基本策略C敏感的安全特性的標(biāo)識D相關(guān)軟件安全特性安全政策提供了安全的寬泛框架，被高級管理者制定并核準(zhǔn)。它包括訪問授權(quán)政策和訪問授權(quán)的基本策略。選擇A、C、D是應(yīng)該包括在一個更加細(xì)化的安全政策中。25對于信息安全管理，風(fēng)險評估的方法比起基線的方法，主要的優(yōu)勢在于它確保：A信息資產(chǎn)被過度保護(hù)B不考慮資產(chǎn)的價值，基本水平的保護(hù)都會被實施C對信息資產(chǎn)實施適當(dāng)水平的保護(hù)D對所有信息資產(chǎn)保護(hù)都投入相同的資源注：風(fēng)險評估確定了給定風(fēng)險的最適當(dāng)?shù)谋Ｗo(hù)，基線的方法僅僅提供了一套保護(hù)方法，沒有注意風(fēng)險的存在。不僅沒有過度保護(hù)的信息資產(chǎn)，而且更大的好處是能夠確定沒有信息資產(chǎn)保護(hù)過度或保護(hù)不夠。風(fēng)險評估提供了和資產(chǎn)價值適當(dāng)?shù)谋Ｗo(hù)水平?；€方法不是從資產(chǎn)本身的風(fēng)險考慮，而是所有資產(chǎn)投入相同的資源。26檢查IT戰(zhàn)略規(guī)劃過程時，IS審計師應(yīng)該確保這個規(guī)劃：A符合技術(shù)水平現(xiàn)狀B匹配所需的操作控制C明晰IT的任務(wù)與遠(yuǎn)景目標(biāo)D詳細(xì)說明項目管理實務(wù)注：IT戰(zhàn)略規(guī)劃必須包括明晰IT的任務(wù)與遠(yuǎn)景目標(biāo)。規(guī)劃不需要寫明技術(shù)、操作控制和項目管理實務(wù)。27在信息處理設(shè)施（IPF）的硬件更換之后，業(yè)務(wù)連續(xù)性流程經(jīng)理首先應(yīng)該實施下列哪項活動？A驗證與熱門站點的兼容性B檢查實施報告C進(jìn)行災(zāi)難恢復(fù)計劃的演練D更新信息資產(chǎn)清單注：信息資產(chǎn)清單是業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計劃的基礎(chǔ)，同時災(zāi)備計劃必須反映最新的信息系統(tǒng)架構(gòu)。其他選項是在更新必須的資產(chǎn)清單后更新災(zāi)難恢復(fù)計劃的程序要求。28以下哪種是對組件通訊故障的控制？A限制操作員訪問并保持審計痕跡B監(jiān)視并檢查系統(tǒng)活動C提供網(wǎng)絡(luò)冗余D對被傳送的數(shù)據(jù)設(shè)置物理隔離注：冗余是網(wǎng)絡(luò)中建立的一些副本組成的，例如：一個連接、路由器或預(yù)防丟失的轉(zhuǎn)換，延遲或數(shù)據(jù)復(fù)制是對組件通訊故障的控制，其他相關(guān)的控制是回線/回波檢查發(fā)現(xiàn)線路故障、奇偶效驗、錯誤修正代碼和序列檢查。選項A、B、D是網(wǎng)絡(luò)通信控制。29組織的災(zāi)難恢復(fù)計劃應(yīng)該：A減少恢復(fù)時間，降低恢復(fù)費(fèi)用B增加恢復(fù)時間，提高恢復(fù)費(fèi)用C減少恢復(fù)的持續(xù)時間，提高恢復(fù)費(fèi)用D對恢復(fù)時間和費(fèi)用都不影響注：災(zāi)難恢復(fù)計劃的目標(biāo)之一是減少恢復(fù)時間，降低恢復(fù)費(fèi)用。災(zāi)難恢復(fù)計劃在災(zāi)難發(fā)生前后可能會增加運(yùn)轉(zhuǎn)的費(fèi)用，但是恢復(fù)正常運(yùn)轉(zhuǎn)的時間應(yīng)該減少，同時花費(fèi)來源于災(zāi)難本身。30如果數(shù)據(jù)庫用前象存儲進(jìn)行還原，接著這個中斷，流程應(yīng)該從哪里開始？A在最后一個事務(wù)之前B在最后一個事務(wù)之后C最新的檢查點之后的第一個事務(wù)D最新的檢查點之前的最后一個事務(wù)注：如果用前象存儲進(jìn)行還原，最后處理的事務(wù)不會更新數(shù)據(jù)庫之前的內(nèi)容。最后處理的事務(wù)不會更新進(jìn)數(shù)據(jù)庫，必須重新處理。選項檢查點是與題目不相關(guān)的。31安全套接層協(xié)議通過什么實現(xiàn)保密性？A對稱加密B消息驗證碼C哈希函數(shù)D數(shù)字簽名驗證注：SSL（安全套接層協(xié)議）是用對稱密鑰對信息加密。一個保密驗證碼是用語確認(rèn)數(shù)字的完整性。Hash作用是用語產(chǎn)生一個信息摘要；它不用于公鑰加密信息．?dāng)?shù)字簽名驗證是被SSL用于服務(wù)器驗證.32在Internet應(yīng)用中使用applets，最可能的解釋是：A它由服務(wù)器通過網(wǎng)絡(luò)傳送B服務(wù)器沒有運(yùn)行程序，輸出也沒有經(jīng)網(wǎng)絡(luò)傳送C改進(jìn)了web服務(wù)和網(wǎng)絡(luò)的性能D它是一個通過網(wǎng)絡(luò)瀏覽器下載的JAVA程序，由web服務(wù)器執(zhí)行注:applet是一個在網(wǎng)絡(luò)傳送的JAVA程序通過web服務(wù)器經(jīng)過web瀏覽器到達(dá)客戶端;代碼在機(jī)器上運(yùn)行.既然服務(wù)器不能運(yùn)行這個程序并且不能通過網(wǎng)絡(luò)發(fā)送,通過服務(wù)器與客戶端的連接在web服務(wù)器和網(wǎng)絡(luò)上執(zhí)行，徹底改善了applet的使用．選擇改進(jìn)是更重要比選擇A、B提供的理由。既然JVM是植入大多數(shù)web瀏覽器，通過web瀏覽器下載applet，在客戶端運(yùn)行，不是在web服務(wù)器執(zhí)行，因此選D不對。33下列哪項病毒防護(hù)技術(shù)能夠通過硬件實施？A遠(yuǎn)程啟動B啟發(fā)式掃描C行為阻斷D免疫注：遠(yuǎn)程啟動是預(yù)防病毒的方法，并且能夠通過硬件執(zhí)行。選項C是發(fā)現(xiàn)后采取的發(fā)法，不是預(yù)防，盡管是硬件。選項B和D不是通過硬件實施的。34為了保護(hù)VoIP設(shè)備免于拒絕服務(wù)攻擊，最重要的是確保什么的安全？A訪問控制服務(wù)器B會話邊界控制C骨干網(wǎng)關(guān)D入侵檢測系統(tǒng)注：會話邊界控制提高了網(wǎng)絡(luò)訪問的安全。在網(wǎng)絡(luò)訪問中，他們隱藏了用戶的真實地址，而提供被控制的公共地址。公共地址能夠被監(jiān)控，極小機(jī)會被拒絕服務(wù)攻擊。會話邊界控制允許訪問防火墻后面的客戶在保持防火墻的效力。在核心，會話邊界控制保護(hù)了網(wǎng)絡(luò)的使用者。他們隱藏了網(wǎng)絡(luò)拓?fù)浜褪褂谜哒鎸嵉牡刂贰Ｋ麄円材軌蚬芾韼捄头?wù)質(zhì)量。訪問控制服務(wù)器、骨干網(wǎng)關(guān)、入侵檢測系統(tǒng)不能有效防御拒絕服務(wù)攻擊。35當(dāng)實施一個數(shù)據(jù)倉庫時，哪一項是最大的風(fēng)險？A在生產(chǎn)系統(tǒng)上增加的響應(yīng)時間B在數(shù)據(jù)修改上不充分的訪問控制C數(shù)據(jù)重復(fù)D過期或不正確的數(shù)據(jù)注:一旦數(shù)據(jù)被放在數(shù)據(jù)倉庫中,就不應(yīng)該被修改,同時在該處應(yīng)該有預(yù)防數(shù)據(jù)被修改的訪問控制.在生產(chǎn)系統(tǒng)上增加的響應(yīng)時間不是風(fēng)險,因為一個數(shù)據(jù)倉庫不會對生產(chǎn)系統(tǒng)的數(shù)據(jù)產(chǎn)生影響.基于數(shù)據(jù)被復(fù)制的情況,重復(fù)數(shù)據(jù)是數(shù)據(jù)倉庫中固有的.數(shù)據(jù)的更新是通過操作系統(tǒng)對數(shù)據(jù)倉庫的事先變更.36為了使軟件項目的開銷最小，質(zhì)量管理技術(shù)應(yīng)該被應(yīng)用A盡可能與技術(shù)條文相一致B主要在項目開始的時候，以保證項目的建立與組織的管理標(biāo)準(zhǔn)相一致C在整個項目過程中持續(xù)進(jìn)行，強(qiáng)調(diào)找出并解決缺陷，增大測試期間的缺陷發(fā)現(xiàn)率D主要在項目結(jié)束的時候，以獲得可以在將來的項目中吸取的教訓(xùn)注：質(zhì)量管理技術(shù)作用于軟件項目開發(fā)的全過程，對完成軟件開發(fā)項目是重要的．主要原因是不希望軟件項目的開銷是重復(fù)的．一般的原則是在開發(fā)生命周期中更早的發(fā)現(xiàn)缺陷，有更長的時間發(fā)現(xiàn)和改正錯誤，糾正錯誤需要更多的努力．一份好的質(zhì)量管理計劃是一個好的起點，但它也必須被積極地執(zhí)行．依靠測試發(fā)現(xiàn)問題代價太高，也不能對軟件質(zhì)量起到應(yīng)有的效果．例如：測試階段發(fā)現(xiàn)的錯誤可能導(dǎo)致大部分工作報廢．吸取教訓(xùn)對當(dāng)前的工作太晚了．另外，在項目的全程提供質(zhì)量管理技術(shù)最可能自己發(fā)現(xiàn)質(zhì)量問題的原因，并幫助開發(fā)組成員解決問題．37當(dāng)用作電子信用卡付款時，以下哪一項是安全電子交易協(xié)議的特性？A買方被保證無論是商家還是任何第三方都不能濫用他們的信用卡數(shù)據(jù)B所有的個人SET證書都被安全存儲在買方的電腦中C買方有義務(wù)為任何涉及到的交易提供個人SET證書D由于不要求買方輸入信用卡號和有效期，付款過程變得簡單注：按通常慣例，信用卡發(fā)行者和持有者之間規(guī)定持卡人在電子交易中有義務(wù)提供個人SET證書，根據(jù)商店與信用卡發(fā)行者之間的協(xié)議，商店負(fù)責(zé)登記信用卡卡號和有效期．安全存儲在買方的電腦中不是個人SET證書的保管標(biāo)準(zhǔn)．雖然買方不需要輸入信用卡數(shù)據(jù)，但他們必須持有電子錢包．38私鑰體系的安全級別依賴于什么的數(shù)目？A密鑰位B發(fā)送的信息C密鑰D使用的信道注:私鑰體系的安全級別依賴于密鑰的位數(shù).位數(shù)越大,越難以破解或者說運(yùn)算法則越復(fù)雜.信息安全依靠的是密鑰位數(shù)的使用.比密鑰本身更重要的是運(yùn)算規(guī)則,它的復(fù)雜性保證了信道的安全，保證了無顧慮或放心地發(fā)送信息．39在組織內(nèi)實施IT治理框架時，最重要的目標(biāo)是AIT與業(yè)務(wù)目標(biāo)相一致B可說明性CIT價值實現(xiàn)D增加IT投資回報注:IT治理的目標(biāo)是增強(qiáng)IT執(zhí)行力,給予最適宜的商業(yè)價值和保證調(diào)整與業(yè)務(wù)的一致.最重要的目標(biāo)是IT與業(yè)務(wù)目標(biāo)相一致(選擇A).其他選項是指業(yè)務(wù)實踐和策略.40某組織近期安裝了一個安全補(bǔ)丁，但與產(chǎn)品服務(wù)器相沖突。為了把再次出現(xiàn)這種情況的可能性降到最低，IS審計師應(yīng)該：A按照補(bǔ)丁的發(fā)行說明實施補(bǔ)丁B確保良好的變更管理流程在運(yùn)行C發(fā)送到生產(chǎn)環(huán)境之前全面測試這個補(bǔ)丁D進(jìn)行風(fēng)險評估后核準(zhǔn)這個補(bǔ)丁注:信息系統(tǒng)審計師必須檢查變更管理流程,包括補(bǔ)丁管理程序,同時核實流程有適當(dāng)?shù)目刂撇⒁来颂岢鼋ㄗh.其他選項是變更管理流程的一部分,但不是信息系統(tǒng)審計師的職責(zé).41.通過對廣域網(wǎng)的檢測發(fā)現(xiàn)，在連接兩個節(jié)點的用于同步主從數(shù)據(jù)庫的通信線路上的峰值數(shù)據(jù)流量達(dá)到了這條線路帶寬的96%。一個信息系統(tǒng)審計師應(yīng)該得出結(jié)論：A.需要分析來確定是否有數(shù)據(jù)表明存在短時間內(nèi)的服務(wù)缺失B.廣域網(wǎng)帶寬是足夠滿足最大流量需求的，因為還未達(dá)到最大飽和狀態(tài)C.應(yīng)該馬上用一條更大帶寬的線路來取代現(xiàn)有線路，新的線路應(yīng)該確保最大不超過85%的線路飽和D.應(yīng)該指導(dǎo)用戶減少對流量的需求或把流量需求平均分布在整個的工作時間內(nèi)來使得對帶寬的消耗平緩化解釋:高達(dá)96%峰值可能導(dǎo)致一次事故，例如一個用戶下載大量的數(shù)據(jù);因此,在推薦一個比較大的作業(yè)線能力開支執(zhí)行之前，分析確定是否這是一個正常的模式，而且是什么原因執(zhí)行這個行動。既然連接提供的是一個備用數(shù)據(jù)庫，這個服務(wù)的短損失應(yīng)該是可接受的。如果峰值確定是一個正常沒有任何其他環(huán)節(jié)機(jī)會的事件(帶寬保留協(xié)議的用法,或其他類型優(yōu)先網(wǎng)絡(luò)通訊)當(dāng)流量達(dá)到100%并且存在服務(wù)損失風(fēng)險時，線路應(yīng)該被替換。然而，如果峰值是一次性的或者能在其他的時間畫面被提出,那麼擁護(hù)教育可能是可選項。42.下面那一個是入侵檢測系統(tǒng)（IDS）的特征？A.收集嘗試攻擊的證據(jù)B.確定策略定義的弱點C.屏蔽對特定互聯(lián)網(wǎng)站點的訪問D.防止某些用戶訪問特定的服務(wù)器解釋:一個IDS能收集象例如攻擊或滲透嘗試的打擾活動的證據(jù)。在策略定義中識別弱點是身份證的局限性。選擇C和D是防火墻的特征,而選擇B需要人工評審,因此在IDS的功能之外。43、當(dāng)評價一個覆蓋公用WAN的VoIP系統(tǒng)執(zhí)行情況時，信息系統(tǒng)審計師最期望發(fā)現(xiàn)：A、一條綜合服務(wù)數(shù)字網(wǎng)絡(luò)（ISDN）數(shù)據(jù)鏈路。B、流量工程學(xué)。C、對數(shù)據(jù)進(jìn)行WEP加密。D、模擬電話終端。解釋:確定服務(wù)需求品質(zhì)是否達(dá)到,在廣域網(wǎng)（WAN）上的語音IP(VoIP)服務(wù)應(yīng)該防止包損失，潛伏或跳動等。為了要到達(dá)這個目的,網(wǎng)絡(luò)性能應(yīng)該能被管理，例如流量工程學(xué)的統(tǒng)計技術(shù)。綜合服務(wù)數(shù)字網(wǎng)絡(luò)(ISDN)數(shù)據(jù)的標(biāo)準(zhǔn)帶寬連接不提供服務(wù)需求質(zhì)量給公司VoIP服務(wù)。WEP是與無線電網(wǎng)絡(luò)相關(guān)的一個密碼技術(shù)方案。VoIP電話通常被連接到一個公司局域網(wǎng)(LAN)并且不是模擬信號。44、一個審計章程應(yīng)該：A、經(jīng)常隨著技術(shù)和審計專業(yè)的自然變動而動態(tài)的變更。B.清晰地陳述對于維護(hù)和審查內(nèi)部控制的審計目標(biāo)，委托和職權(quán)。C.記錄為了達(dá)到預(yù)先計劃的審計目標(biāo)而設(shè)計的審計程序D、描述審計活動的全面的權(quán)力、范圍和職責(zé)。解釋:一個審計章程應(yīng)該規(guī)定管理的目標(biāo)，并將職責(zé)授權(quán)給信息系統(tǒng)審計人員。這個章程不應(yīng)該隨著時間而變更，應(yīng)該得到最層管理著的核準(zhǔn)。一個審計章程不是一個細(xì)則，因此不包括詳細(xì)的審計目標(biāo)或程序。45、一個信息系統(tǒng)審計師選擇了服務(wù)器，通過一個專家系統(tǒng)執(zhí)行滲透測試。下面哪一個是最重要的？A、執(zhí)行測試的工具。B、信息系統(tǒng)審計師所持的證明。C、服務(wù)器數(shù)據(jù)所有者的許可。D、入侵監(jiān)測系統(tǒng)（IDS）被激活。解釋:數(shù)據(jù)擁有者應(yīng)該被告知有關(guān)一個滲透測試的風(fēng)險,執(zhí)行什么類型的測試和有關(guān)細(xì)節(jié)。所有的其他選項都不是重要的，作為數(shù)據(jù)擁有者對數(shù)據(jù)資產(chǎn)負(fù)有安全責(zé)任。46、在一個基于WEB軟件開發(fā)項目評價期間，一個信息系統(tǒng)審計師了解到代碼標(biāo)準(zhǔn)沒有強(qiáng)迫執(zhí)行，并且代碼評審也很少執(zhí)行。這最可能增加如下哪一項成功的可能性？A、緩存溢出。B、強(qiáng)力攻擊。C、分布式的服務(wù)拒絕攻擊。D、戰(zhàn)爭撥號攻擊。解釋:不標(biāo)準(zhǔn)的代碼編寫，尤其在基于WEB應(yīng)用中,時常被黑客通過緩沖溢出技術(shù)使用。一個暴力攻擊習(xí)慣于破解密碼。一個分布式的服務(wù)拒絕利用大量的小包攻擊使系統(tǒng)溢出，阻止它回應(yīng)認(rèn)為正當(dāng)請求。戰(zhàn)爭撥號使用掃描調(diào)制解調(diào)器的工具攻擊PBXs。47.在一個小型機(jī)構(gòu)中，一個雇員日常從事電腦操作，并且在情況需要時，也負(fù)責(zé)程序修改。下列哪個選項是信息系統(tǒng)審計師應(yīng)該建議實施的？A、開發(fā)庫變更的日志自動記錄。B、為職責(zé)分離增加人員。C.核實只有被批準(zhǔn)的程序修改可以被實施的操作手續(xù)D、能夠阻止程序員修改操作的訪問控制。解釋:堅持嚴(yán)格的職責(zé)分離是首選的，在答案B中暗示新增職員是新人,這中習(xí)慣在一個小組織中始終是不可能的。一個信息系統(tǒng)審計師一定著眼推薦其它可能的程序。在選項中，答案C是唯一一個實用的。一個信息系統(tǒng)審計師應(yīng)該推薦監(jiān)測生產(chǎn)源代碼和目標(biāo)代碼變更的程序,例如代碼比較，這樣變更能被第三方以一般的方式評審。這會是一個補(bǔ)償性控制程序。答案A,包含了對生產(chǎn)庫變更日志,但不監(jiān)測對生產(chǎn)庫的變更。選項D是有效，但需要一個第三方去變更,這在一個小的組織中是不實際的。48、為了確保某組織審計資源發(fā)揮最大價值，首先第一步應(yīng)該是：A、確定審計時間表并監(jiān)控每一個審計項的時間花費(fèi)。B、培養(yǎng)信息系統(tǒng)審計人員使用公司的當(dāng)前技術(shù)。C、以詳細(xì)的風(fēng)險評估為基礎(chǔ)制定審計計劃。D、監(jiān)控審計的發(fā)展，開始成本控制測量。解釋:監(jiān)測審計時間(選項A)和審計過程(選項D),也適當(dāng)?shù)呐阌?xùn)(選項B),這將會改善信息系統(tǒng)審計人員的能力(效率和表現(xiàn)),但是交付價值給組織是資源和成就的風(fēng)險,而且重心集中在比較高的風(fēng)險領(lǐng)域。49.下列哪個選項是交叉(跨職位)培訓(xùn)的風(fēng)險？A、增加可依賴的職員B,在連續(xù)計劃中不互相協(xié)助C,一位職員可能知道一個系統(tǒng)的所有部分D,在完成操作的連續(xù)性方面沒有幫助解釋:當(dāng)交叉培訓(xùn)時,這將是謹(jǐn)慎的,首先估定任何的人知道一個系統(tǒng)的所有部份的風(fēng)險和可能引起風(fēng)險。交叉培訓(xùn)可以減少依賴一位職員的利益，因此，可作為連續(xù)計劃的一個部分。它也為任何的理由人事缺乏提供后援，幫助推動操作的連續(xù)性。50、下面哪一個最適合小組織的安全通訊？A、密鑰分發(fā)中心。B、證書授權(quán)中心(CA)。C、信任的站點D、KerBeros鑒定系統(tǒng)。解釋:信賴的站點在一個小的團(tuán)體中進(jìn)行適當(dāng)溝通是一個關(guān)鍵分類方法。它確保相當(dāng)好的隱私(PGP)，在一個團(tuán)體里面分發(fā)用戶公眾密鑰。密鑰分發(fā)中心是在一個機(jī)構(gòu)里面為一個大的團(tuán)體內(nèi)在溝通的適當(dāng)分發(fā)方法，而且它為每一個會話分配對稱性密鑰。證書授權(quán)中心是一個確保證書擁有者真實性的可信賴第三機(jī)構(gòu)。這對大的團(tuán)體和社交溝通是必需的。一個Kerberos堅定系統(tǒng)提供主要分發(fā)中心的功能,通過產(chǎn)生"票",詳細(xì)說明對每一個擁護(hù)可理解的網(wǎng)絡(luò)機(jī)構(gòu)工具。51、當(dāng)一個雇員被終止服務(wù)時，最重要的舉動是：A、移交雇員文件給另一個指派的雇員。B、完成雇員工作的一個備份。C、將終止通報給其他雇員。D、關(guān)閉雇員邏輯訪問。解釋:一個被終止的職員可能誤用訪問權(quán)利這是可能的;因此,使被終止的職員的邏輯訪問失效是最重要的行動。被終止的職員所有工作需要被送交給一位被指定的職員；然而，這應(yīng)該在執(zhí)行答案D之后執(zhí)行.被終止的職員需要的所有工作被移交，職員的終止需要通知其他雇員,但是這不應(yīng)該在選項D舉動之前。52、哪一個是IT性能測量程序的主要目標(biāo)？A、錯誤最小化B、收集性能數(shù)據(jù)。C、建立性能基線。D、使性能最優(yōu)。解釋:一它性能測量程序能用來將性能最佳化,測量和處理產(chǎn)品/服務(wù),保證有責(zé)任和預(yù)算決定。將錯誤減到最少是性能的一個方面,但是不性能管理的主要目的。收集性能數(shù)據(jù)是IT測量處理的一個階段，而且會用來評估依靠先前確定性能基線的執(zhí)行。53、數(shù)字簽名的用途：A、需要使用一個性口令生成器B、提供信息加密技術(shù)。C、確保信息來源有效。D、確保信息機(jī)密性。解釋:使用數(shù)字簽字驗證發(fā)送者的身份,但是不能加密整個信息,因此是不能夠確保機(jī)密性。一個性口令產(chǎn)生器是一個選項,但是不是使用數(shù)字簽字一個必要條件。54.一家公司選擇一間銀行來處理每周的薪酬事務(wù)。工時卡和薪酬調(diào)整表（例如小時工資變化，解雇）制作完成并被傳送給銀行，銀行接著準(zhǔn)備支票和分發(fā)報告。為了確保薪酬數(shù)據(jù)的準(zhǔn)確性：A.薪酬報告應(yīng)該和原始輸入表比照B.薪酬總額應(yīng)該被手工重計算C.支票應(yīng)該和原始輸入表比照D.支票應(yīng)該與最終的輸出報告一致解釋:確定數(shù)據(jù)準(zhǔn)確性最好的方法,當(dāng)輸入是由公司提供，而且輸出的產(chǎn)生是通過銀行,要用薪水冊報告的結(jié)果查證數(shù)據(jù)輸入(輸入表格)。因此,把薪水冊報告與輸入表格做比較是查證數(shù)據(jù)準(zhǔn)確性的最好機(jī)制。手工重新計算總的薪水冊只會查證處理是否正確，而不保證輸入數(shù)據(jù)準(zhǔn)確性。當(dāng)檢查(支票)有被處理的數(shù)據(jù)，而且輸入表格有輸入數(shù)據(jù)，比較檢查(支票)和輸入表格是不可行的。順序檢查(支票)輸出報告只能確定檢查(支票)依照輸出報告被執(zhí)行。55、一個信息系統(tǒng)審計師在一些數(shù)據(jù)庫表中發(fā)現(xiàn)數(shù)據(jù)溢出。下面哪一項控制信息系統(tǒng)審計師應(yīng)該推薦用來消除這項問題？A、對所有表的修改事務(wù)做日志。B、完成前后影像報告。C、使用跟蹤和標(biāo)記。D、在數(shù)據(jù)庫中執(zhí)行完整性約束。解釋:在數(shù)據(jù)庫中執(zhí)行完整性約束是一個預(yù)防性控制，因為數(shù)據(jù)是依靠預(yù)先確定的表來檢查，或避免任何不明確的數(shù)據(jù)進(jìn)入。所有表做更新事務(wù)日志，執(zhí)行前后影像報告是消除這種情況的監(jiān)測性控制。使用跟蹤和標(biāo)記來測試應(yīng)用系統(tǒng)和控制,但不能防止數(shù)據(jù)溢出。56.在一個在線銀行應(yīng)用中，下面哪一個是最好的應(yīng)對身份竊取的措施？A、個人口令加密。B、限制特殊終端設(shè)備的使用。C、雙因素認(rèn)證。D、定期評估訪問日志。解釋:雙因素任證為用來確定身份和特權(quán)需要二個獨立的方法。因素包括你知道的東西,例如一個密碼;你持有的東西,例如一個記號;和你自己有的,例如生物特征。需要這些因素中的二個使相同竊盜更困難。一個密碼可以被猜測或打破。限制使用者到一個特定的終端機(jī)對一個在線應(yīng)用來說不是實際的替代方案。周期評審訪問日志是監(jiān)測性控制，并且不能防止依靠身份竊盜行為。57、在一個互聯(lián)的共同網(wǎng)絡(luò)中，下面哪一個防病毒軟件執(zhí)行策略是最有效的？A、服務(wù)器抗病毒軟件。B、病毒墻。C、工作站式抗病毒軟件。D、病毒簽名更新。解釋:控制病毒的傳布一個重要的方法要在進(jìn)入的點發(fā)現(xiàn)病毒,在它有一個機(jī)會造成損害之前。在一個互相連接的公司網(wǎng)絡(luò)中，病毒掃描軟件的使用，作為防火墻技術(shù)的一個整體的部份,被稱為病毒墻。在他們進(jìn)入被保護(hù)的網(wǎng)絡(luò)之前,病毒墻壁掃描那些探測目的入局流量,在進(jìn)入保護(hù)網(wǎng)絡(luò)前消除病毒。病毒墻壁的出現(xiàn)不能代替在服務(wù)器和工作站上安裝病毒監(jiān)測軟件，但是網(wǎng)絡(luò)級的保護(hù)是最有效的，那比較早地病毒被發(fā)現(xiàn)。病毒信息更新在所有的環(huán)境中是必須,網(wǎng)絡(luò)也不例外。58.在審計一個計劃中要采用的新電腦系統(tǒng)時，信息系統(tǒng)審計師首先應(yīng)該確定A、一個已經(jīng)被管理層認(rèn)可的業(yè)務(wù)模式。B、共同的安全標(biāo)準(zhǔn)將會遇到。C、用戶將被涉及到執(zhí)行計劃中。D、一個新系統(tǒng)將遇到所有必須的用戶功能。解釋:信息系統(tǒng)審計師首先關(guān)注建立符合業(yè)務(wù)需要的建議會，而且這應(yīng)該通過一個清楚的業(yè)務(wù)案例來建立。雖然符合安全標(biāo)準(zhǔn)是必要的,如同在執(zhí)行過程中,會議要符合用戶的需要和有關(guān)部門要求，太早采購這些是程序是一個信息系統(tǒng)審計師首先要關(guān)心的。59、一個決策支持系統(tǒng)（DDS）：A、主要是正對解決高層組織的問題。B、聯(lián)合使用非傳統(tǒng)數(shù)據(jù)訪問和恢復(fù)功能。C、強(qiáng)調(diào)使用者決策制定方法的適宜性。D、只支持組織決策制定任務(wù)。解釋:DSS在使用者的決策方式中強(qiáng)調(diào)適應(yīng)性。它被針對解決比較少量組織問題，結(jié)合模型和分析技術(shù)的使用，利用傳統(tǒng)的數(shù)據(jù)訪問和補(bǔ)充功能，而且支援？下決策執(zhí)行工作。60、一個組織正在考慮連接一臺基于PC的緊急系統(tǒng)到互聯(lián)網(wǎng)。下面哪一項能提供防止攻擊最大的保護(hù)？A、一個應(yīng)用層的網(wǎng)關(guān)。B、一個遠(yuǎn)程訪問服務(wù)。C、一個代理服務(wù)。C、端口掃描。解釋:一個應(yīng)用級水平網(wǎng)關(guān)是防止攻擊的最好方法，因為它能定義描述使用者、連接的類型細(xì)節(jié)規(guī)則、不被允許定義的規(guī)則。它詳細(xì)地分析每個包裹,不僅經(jīng)過OSI模型中的四層，而且也分層堆積五到七層,這就意味它評審每個比較高水平協(xié)議(HTTP，F(xiàn)TP,SNMP等)。對于一個遠(yuǎn)程訪問服務(wù)，有一個在進(jìn)入網(wǎng)絡(luò)之前，需要輸入使用者名稱和密碼的裝置(SERVER)。當(dāng)訪問私人的網(wǎng)絡(luò)時這是很好的，但是它能被映射或掃描，從英特網(wǎng)創(chuàng)造安全暴露。代理服務(wù)器能提供基于IP住址和端口的保護(hù)。然而需要一個真正知道如何去做的人員,并且應(yīng)用軟件可以為程序的不同部分分配不同的端口.有一個非常特殊的任務(wù)要完成,就是端口掃描工作,但不是去控制INTERNET,或著所有可利用的端口需要控制.例如:PING端口應(yīng)該被鎖定,IP地址可以被應(yīng)用軟件利用和流覽,但不能響應(yīng)PING命令.61在持續(xù)在線的情況下，什么過程使用測試數(shù)據(jù)作為程序控制全面測試中的一部分？a、模擬測試b、標(biāo)準(zhǔn)案例系統(tǒng)評估c、整合性測試設(shè)施d、并行仿真標(biāo)準(zhǔn)案例系統(tǒng)評估使用一組被設(shè)計好的測試數(shù)據(jù)作為全面的測試程序的一部分。它是用來驗證系統(tǒng)在認(rèn)可之前的是否正確執(zhí)行，類示于定期驗證。模擬測試通過真實的程序模擬交易。整合性測試設(shè)施建立一個虛擬的檔案資料庫，使用常通輸入進(jìn)行模擬交易測試。并行仿真利用計算機(jī)程序模擬應(yīng)用程序的邏輯測試。62，零售商店推出了無線電頻率識別（RFID）標(biāo)簽，為所有產(chǎn)品建立了唯一的序號。對于此種做法下列哪些是人們首要關(guān)心的？A、發(fā)布保密性B、波長可以由人體吸收C、RFID標(biāo)記可能不是可移動的D、RFID消滅視線閱讀注：購買者不必要在意標(biāo)記的存在。如果一個標(biāo)記的項目是支付的信用卡，將有可能以配合獨特的ID該項目的身份購買。選擇B和C是關(guān)注的程度較低的重要性。選擇D不是一個關(guān)注的問題。63風(fēng)險管理過程的輸出是為什么作為輸入的？a、業(yè)務(wù)計劃b、審計章程。c、安全政策決定。d、軟件設(shè)計的決定。風(fēng)險管理過程是為作出特定的安全相關(guān)的決策，比如可接受的風(fēng)險水平。選擇A，B和D不是風(fēng)險管理過程的的最終目的。64，一個組織具有的大量分支機(jī)構(gòu)且分布地理區(qū)域較廣。以確保各方面的災(zāi)難恢復(fù)計劃的評估，具有成本效益的方式，一個是信息系統(tǒng)審計師應(yīng)建議使用：a，數(shù)據(jù)恢復(fù)測試。b，充分的業(yè)務(wù)測試。c前后測試。d、預(yù)案測試。1預(yù)案測試應(yīng)該由每一個當(dāng)?shù)剞k事處/地區(qū)以足夠預(yù)案測試在發(fā)生災(zāi)害時的本地業(yè)務(wù)。這種測試應(yīng)該不斷地在該計劃的不同方面執(zhí)行，是一個能獲得該計劃足夠的證據(jù)的具有成本效益的方式。數(shù)據(jù)恢復(fù)測試是一個局部的試驗，并不會確保各方面的評價。充分的業(yè)務(wù)測試是不是最符合成本效益的測試，在因應(yīng)地理上分散的分支機(jī)構(gòu)，前后測試是一個階段的測試執(zhí)行的過程。較低的恢復(fù)時間目標(biāo)（恢復(fù)時間目標(biāo)）的會有如下結(jié)果：a，更高的容災(zāi)。b，成本較高。c更長的中斷時間。d,更多許可的數(shù)據(jù)丟失。恢復(fù)時間目標(biāo)（RTO）是基可以接受的停機(jī)時間的。較低的恢復(fù)時間目標(biāo)，就會有更高的成本回收的策略。容災(zāi)力越低，中斷時間就需更短，并且對數(shù)據(jù)丟失的許可越少。66，當(dāng)一個新的系統(tǒng)是要在很短的時間內(nèi)實現(xiàn)，最重要的是要：a，完成寫作用戶手冊b，執(zhí)行用戶驗收測試。c，添加在最后一分鐘的增強(qiáng)功能。D,確保該代碼已被記錄和審閱。最重要的是完成用戶驗收測試，來保證系統(tǒng)能夠正確地工作。用戶手冊的完成類似執(zhí)行代碼審核。如果時間很緊，且有人想增強(qiáng)功能，必須對代碼封版并完成測試，然后再增加其他功能。確保代碼被記錄和審閱似乎合適，但是如果用戶驗收測試不能完成，就得不到系統(tǒng)能夠正確運(yùn)行并滿足用戶需求的保證。67在邏輯訪問控制檢查中主要的目標(biāo)是：a，審查由軟件提供的訪問控制。b，確保訪問被授權(quán)。c，穿行測試評估IT環(huán)境提供的訪問。d,提供對計算機(jī)硬件濫用的足夠保護(hù)。邏輯控制審查的范圍主要是決定訪問是否被組織授權(quán)。選擇A組和C組涉及到的程序邏輯訪問控制過程，而非目標(biāo)。選擇D是相關(guān)的物理訪問控制審查。68，一個信息系統(tǒng)審計師訪談一個發(fā)薪秘書發(fā)現(xiàn)，所回答的內(nèi)容與的職務(wù)說明和文檔中記錄的過程不符。在這種情況下，審計師應(yīng)該：a，得出結(jié)論認(rèn)為，控制是不夠的。b，擴(kuò)大范圍，以包括實質(zhì)性測試c，認(rèn)為以前的審計師可靠的。d,停止審核。在審計師的問題不能與文檔中的過程和職責(zé)描述相吻合，審計師應(yīng)該擴(kuò)大測試范圍并且加入實質(zhì)性測試。沒有證據(jù)表明任何控制足夠或不夠。如果不能提供對先有控制足夠的信息，對以往的審計的信任和停止該審計都不是合適的。.69，組織實施了災(zāi)難恢復(fù)計劃。下列哪些步驟應(yīng)下一步執(zhí)行？a，取得高級管理人員認(rèn)可。b，確定的業(yè)務(wù)需求。c，進(jìn)行紙面測試。d,進(jìn)行系統(tǒng)還原測試。最好的做法是進(jìn)行紙面測試。高級管理人員認(rèn)可和確定業(yè)務(wù)需要是在獲得計劃之前的任務(wù)。紙面測試應(yīng)該最先開始，其次是系統(tǒng)或全面的測試。70，在軟件開發(fā)項目的需求定義階段，應(yīng)該在軟件測試方面制定：a，覆蓋關(guān)鍵應(yīng)用的測試數(shù)據(jù)。b，詳細(xì)的測試計劃。c，質(zhì)量保證的測試規(guī)格。d，用戶驗收測試規(guī)格。軟件開發(fā)項目關(guān)鍵的目標(biāo)是確保開發(fā)的軟件符合業(yè)務(wù)目標(biāo)并且滿足用戶的要求。用戶應(yīng)參與到在需求定義階段，用戶驗收測試規(guī)格應(yīng)該在這個階段制定。其他選擇通常在系統(tǒng)測試階段執(zhí)行。71，對已經(jīng)開發(fā)好的業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行控制變更是復(fù)雜的，因為：a，迭代性質(zhì)的原型。b，快速的需求和設(shè)計的改變。c，重點在于報表和屏幕輸出。d,缺乏集成工具。變化的需求和設(shè)計發(fā)生這么快，他們很少記載或核準(zhǔn)。選擇A，C和D的特征原型，但他們并沒有對變更控制的不良影響。72中，對所有的系統(tǒng)除了備份的考慮因素，下列哪一項在提供在線備份系統(tǒng)時是一個重要的考慮因素？a，保持系統(tǒng)軟件參數(shù)b，確保定期對交易日至的卸載c，確保祖父-父親-兒子備份檔案d,保持了重要的數(shù)據(jù)在現(xiàn)場的位置及時保存歷史數(shù)據(jù)的一個安全方法是確保定期卸載交易日至。這種用于在線系統(tǒng)的活動是使其他傳統(tǒng)的備份更不切合實際。73，在拒絕服務(wù)（DoS）攻擊中保護(hù)網(wǎng)絡(luò)成為一個放大器的最好過濾規(guī)則是拒絕所有：a，使用IP源地址向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)。b，使用可辨別的源IP地址接受數(shù)據(jù)。c，使用IP選項設(shè)置接受數(shù)據(jù)。d,向關(guān)鍵主機(jī)接受數(shù)據(jù)。使用一個源地址作為流量的發(fā)送端不同于使用網(wǎng)絡(luò)中的一個段地址，它不是有效的。大多數(shù)情況，DoS攻擊源于一個內(nèi)部用戶或者一個內(nèi)部的危險機(jī)器；這兩種情況都能用過濾器阻止。74，下列哪一項在網(wǎng)絡(luò)管理中是被廣泛接受的關(guān)鍵部件？a，配置管理b，拓?fù)溆成鋍，應(yīng)用監(jiān)測工具d，代理服務(wù)器疑難解答在任何網(wǎng)絡(luò)中配置管理是被廣泛接受的一個重要組件，因為它確立了網(wǎng)絡(luò)在內(nèi)部和外部如何起作用。它還涉及配置管理和性能監(jiān)測。拓?fù)溆成涮峁┝司W(wǎng)絡(luò)組件及其連通的輪廓。應(yīng)用監(jiān)測不是最基本的，代理服務(wù)器排除故障用于故障排除的目的。75，區(qū)別脆弱性評估和滲透測試是脆弱性評估：a，檢查基礎(chǔ)設(shè)施并探測脆弱性，然而穿透性測試目的在于通過脆弱性檢測其可能帶來的損失。B，和滲透測試為不同的名稱但是同一活動。c，是通過自動化工具執(zhí)行，而滲透測試是一種完全的手動過程。d,是通過商業(yè)工具執(zhí)行，而滲透測試是執(zhí)行公共進(jìn)程。脆弱性評估的目的是找到計算機(jī)的安全解決方法；他的目的不是去毀壞基礎(chǔ)設(shè)施。

滲透測試的目的是模仿黑客的活動，并測定他們可以進(jìn)入該網(wǎng)絡(luò)還有多遠(yuǎn)。他們是不一樣的，他們有不同的態(tài)度。脆弱性評估和滲透測試可以被工具或程序自動或手動執(zhí)行，并且可以用商業(yè)性的或是使用免費(fèi)工具的。76，下列哪一項最能確保組織的廣域網(wǎng)絡(luò)的連續(xù)性？a，內(nèi)置變更路由b，每日完成完全的系統(tǒng)備份c，維保合同與服務(wù)提供商d，每臺服務(wù)器的做雙機(jī)注：如果一個的服務(wù)器失效或難以鏈接，替代路由能確保網(wǎng)絡(luò)的連續(xù)性并使信息自動的重新路由。系統(tǒng)備份將沒有能力即時保護(hù)。維修合同是不如作為永久的替代路由有效。如果一個鏈接有問題，備用服務(wù)器將不會提供連續(xù)性。77，功能性是一個軟件產(chǎn)品生命周期中評估其質(zhì)量的特征，也是對其描述的最好屬性，這些屬性是：a，一套功能和他們規(guī)范屬性的表現(xiàn)。b，由一個環(huán)境到另一個環(huán)境轉(zhuǎn)變時的軟件能力。c，在一定的條件下軟件保持其性能水平的容量。d,軟件性能和大量資源間的關(guān)系。功能是是一套屬性，是在一套功能和他們指定的屬性的表現(xiàn)。功能是指那些滿足一定的或隱含的需求。選擇b是指易移植性，選擇c指的可靠性和選擇d是指效率。78，對于一個在線的銷售系統(tǒng)，對其大量的數(shù)據(jù)庫的最好的備份策略是什么？a，每周完整備份與每日增量備份b，每日完整備份c，群集服務(wù)器d，鏡像硬盤注：每周完整備份和日常增量備份是最好的備份策略;確?；謴?fù)數(shù)據(jù)庫的能力且減少了每天的備份時間的要求。一次完整的備份通常需要幾個小時，因此，它每天進(jìn)行是不切實際的。群集服務(wù)器提供一個冗余的處理能力，但并沒有備份。鏡像硬盤對于災(zāi)難時沒有幫助的。79，技術(shù)改變的頻率增加了哪方面的重要性？a，外包審計功能。b，實施和執(zhí)行良好的過程。c，在組織內(nèi)雇用人員樂意作出的職業(yè)生涯。d,，滿足用戶的要求。注意：變更需要良好的變更管理流程來實施和執(zhí)行。外包是功能與技術(shù)變更是沒有直接關(guān)系。工作人員在在一個典型的IT部門是高素質(zhì)和高教育水平的;通常他們不覺得他們的工作的風(fēng)險，并準(zhǔn)備頻繁地?fù)Q工作。雖然滿足用戶的要求是很重要的，但與信息系統(tǒng)環(huán)境里技術(shù)變更率沒有直接關(guān)系。在一個數(shù)據(jù)中心下面哪種方式抑制起火是最有效并合乎環(huán)境公益要求的方式？a，哈龍氣體b，濕管灑水器c，干管灑水器d，二氧化碳?xì)怏w注：水灑水器，具有自動電源堵系統(tǒng)，被接受為有效率的，因為他們可以設(shè)置為自動釋放，沒有生命威脅，和水是環(huán)保。灑水滅火系統(tǒng)必須干管，以防止泄漏的危險。哈龍是效率和有效的，因為它不會威脅人的生命，因此，可以設(shè)置為自動釋放，但它是對環(huán)境的破壞和非常昂貴。水是一個可以接受的中等，但管道應(yīng)該是空白的，以避免滲漏，因此，完整的系統(tǒng)是不是一個可行的選擇。二氧化碳是接受作為一個環(huán)境可以接受的氣體，但它是效率較低，因為它不能設(shè)置為自動釋放，在工作人員的網(wǎng)站，因為它威脅到生命。81,下列哪一項是透過互聯(lián)網(wǎng)發(fā)起被動攻擊的實例？A、流量分析B、偽裝C、拒絕服務(wù)D、電子郵件欺騙互聯(lián)網(wǎng)安全威脅/脆弱性分為被動和主動攻擊。被動攻擊，包括網(wǎng)絡(luò)分析，竊聽和流量分析。主動攻擊，包括暴力攻擊、偽裝、包重放、修改信息、透過互聯(lián)網(wǎng)或基于Web的服務(wù)的未經(jīng)授權(quán)的訪問、拒絕服務(wù)攻擊、撥號滲透攻擊、電子郵件轟炸、垃圾郵件和電子郵件欺騙。82、IS審計師在為公司考慮其外包計算機(jī)系統(tǒng)業(yè)務(wù)需要復(fù)核并檢查每個供應(yīng)商的業(yè)務(wù)連續(xù)性計劃是否合適?A、是的,因為IS審計師會評估服務(wù)商計劃的充分性并且協(xié)助他們的公司實施一項補(bǔ)充計劃.B、是的,因為基于計劃,系統(tǒng)審計師會評估服務(wù)尚的財務(wù)狀況及其履行合同的能力C、不,因為提供的備份已在合同中充分說明.D、不,因為服務(wù)商的業(yè)務(wù)連續(xù)性計劃是專有信息.審計師的首要職責(zé)是確保公司資產(chǎn)的安全保證,及時該資產(chǎn)還沒有實現(xiàn)。有信譽(yù)的服務(wù)商將有一個良好的設(shè)計和測試業(yè)務(wù)連續(xù)性計劃。83、一個每天處理百萬交易的金融機(jī)構(gòu),會有一個中央通信處理器,用于連接自動柜員機(jī),下面哪些是為通信處理的最好的應(yīng)變計劃.A、與另一個組織簽訂互助協(xié)議.B、在同一地點設(shè)立候補(bǔ)處理器C、候補(bǔ)處理器在另一個網(wǎng)絡(luò)節(jié)點D、安裝全雙工的通訊聯(lián)系無效的中央通訊處理器會破壞所有進(jìn)入銀行網(wǎng)絡(luò)的通道。這可能造成設(shè)備，電源或通信失敗?；セ輩f(xié)議，使一個組織依賴于其他組織，不利于隱私權(quán)，競爭及規(guī)管事宜。一個候補(bǔ)處理器在同一地點只解決設(shè)備問題，如果是環(huán)境原因引起的失?。ㄈ?，電力中斷）就不起效果.。僅當(dāng)失敗限于通信鏈路時建立雙方通信鏈路才適當(dāng).84、下列哪一項是無線網(wǎng)絡(luò)中Wi-Fi保護(hù)訪問(WPA)的一個特征?A、會話密鑰是動態(tài)的B、私人對稱密鑰的使用C、密鑰是靜態(tài)的和共享的D、源地址是未加密或認(rèn)證的ANSWER:ANOTE:WPA的使用動態(tài)會話密鑰，比無線加密達(dá)到更強(qiáng)的保密效果（WEP）,（WEP）使用靜態(tài)鑰匙(無線網(wǎng)絡(luò)中每個人都使用同樣的鑰匙),其他選項都是WEP的弱點85、災(zāi)難性恢復(fù)計劃(DRP)基于:A、技術(shù)方面的業(yè)務(wù)連續(xù)性計劃.B、操作部分的業(yè)務(wù)連續(xù)性計劃.C、功能方面的業(yè)務(wù)連續(xù)性計劃.D、總體協(xié)調(diào)的業(yè)務(wù)連續(xù)性計劃.ANSWER:ANOTE:災(zāi)難恢復(fù)計劃（DRP）是技術(shù)方面的業(yè)務(wù)連續(xù)性計劃。業(yè)務(wù)恢復(fù)計劃是業(yè)務(wù)持續(xù)性計劃的運(yùn)作部分.86、數(shù)據(jù)庫管理員建議數(shù)據(jù)庫的效率可以提高,通過非范式化一些表。這將導(dǎo)致:A、保密的失敗B、增加冗余.C、未經(jīng)授權(quán)的訪問.D、應(yīng)用故障.ANSWER:BNOTE:范式化是指在設(shè)計或優(yōu)化的一個關(guān)系型數(shù)據(jù)庫，盡量減少冗余.因此，非范式化會增加冗余.冗余在數(shù)據(jù)環(huán)境的資源一定的環(huán)境下被視為問題,冗余會要求額外的和不必要的數(shù)據(jù)處理.非范式化，因功能的原因有時是可取的。它應(yīng)該不會造成保密的失敗，未經(jīng)授權(quán)的訪問或應(yīng)用故障.87、IT治理的最終目的是:A、鼓勵最優(yōu)地運(yùn)用IT.B、降低IT成本.C、在組織中分散IT資源.D、集中控制IT.ANSWER:ANOTE:IT治理的用意是為企業(yè)指定最好的的決策權(quán)和問責(zé)制。這對每一個企業(yè)是不同的。降低IT成本，對企業(yè)而言，未必是最好的IT治理成果。分散的IT資源的組織并不總是理想的,雖然它可能會想要在一個權(quán)力下放的環(huán)境。集中控制，它并不總是需要的。一個例子，一個企業(yè)渴望單獨與客戶聯(lián)絡(luò)的情況下有可能是需要的。88、對于地點的第3a，1d和3d，圖表顯示集線器是開著的。假設(shè)這是事實，用什么控制減輕這一弱點？A、智能樞紐B、物理安全集線器C、物理安全和智能集線器D、沒有控制是必要的，因為這不是一個弱點ANSWER:CNOTE:開放集線器有一個重要的控制弱點，因為網(wǎng)絡(luò)連接很容易。89,這個問題是指下列圖:

防火墻是無法識別檢測攻擊企圖的,如果審計師應(yīng)建議放置一個網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）在?之間A、防火墻和組織的網(wǎng)絡(luò).B、互聯(lián)網(wǎng)和防火墻C、互聯(lián)網(wǎng)和Web服務(wù)器.D、Web服務(wù)器和防火墻.ANSWER:ANOTE:如果一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是放在之間的防火墻和組織的網(wǎng)絡(luò)之間，防火墻無法檢測到攻擊的企圖。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)放在互聯(lián)網(wǎng)和防火墻將檢測到他們是否攻擊防火墻.90、局域網(wǎng)（LAN）管理員通常會受到限制，從:A、行使最終用戶的責(zé)任.B、報告最終用戶經(jīng)理.C、行使編程的權(quán)利D、負(fù)責(zé)局域網(wǎng)安全管理.ANSWER:CNOTE:1個局域網(wǎng)管理員不應(yīng)該有編程的權(quán)限，但可能有最終用戶的權(quán)限,局域網(wǎng)管理員可能會報告最終用戶經(jīng)理。在小組織，局域網(wǎng)管理員也可能是負(fù)責(zé)局域網(wǎng)的安全管理.91、雙因素認(rèn)證，可規(guī)避下列哪些攻擊?A、拒絕服務(wù)B、中間人C、鍵盤記錄D、暴力破解ANSWER:BNOTE:中間人攻擊類似于尾隨,攻擊者假裝是合法的訪問者，做授權(quán)用戶的交易。拒絕服務(wù)攻擊跟授權(quán)沒有關(guān)系。鍵盤記錄和暴力破解可以繞過正常的身份驗證，但不是雙因素認(rèn)證。92、一個實體的最佳的業(yè)務(wù)連續(xù)性戰(zhàn)略由什么決定的?A、最低的停機(jī)時間成本和最高的重置成本.B、最低的停機(jī)時間成本總和和重置成本的總和.C、最低的重置成本和最高的停機(jī)時間成本.D、重置成本和停機(jī)時間成本的加總平均ANSWER:BNOTE:兩者的費(fèi)用要盡量減少，成本是最低的策略是最佳策略,最高的重置成本不能成為最佳策略.,最高的停機(jī)成本不能成為最佳策略,平均合并的停機(jī)時間和恢復(fù)的成本將高于最低成本相結(jié)合的停機(jī)時間和恢復(fù)93、交易審計痕跡的主要目的是?:A、減少使用存儲媒介.B、為處理交易確定問責(zé)制和責(zé)任制.C、幫助系統(tǒng)審計師進(jìn)行細(xì)微審查.D、為能力規(guī)劃提供有益的信息.ANSWER:BNOTE:通過信息系統(tǒng)，審計線索在處理交易確定問責(zé)制和責(zé)任制中起作用。使用審計線索增加了磁盤的使用空間。交易日志文件將被用于紀(jì)錄交易痕跡，在確定問責(zé)制和責(zé)任方面不會有幫助。能力計劃的目標(biāo)是有效率的和有效的使用IT資源和需要的信息，如CPU使用率，帶寬，用戶數(shù)目等.94、下面哪一項是恢復(fù)臨界系統(tǒng)的最合理方案?A、溫站B、移動站C、熱站D、冷站ANSWER:DNOTE:通常，冷站的成本比較低，它只提供最基本的環(huán)境。因此冷站的運(yùn)作需要更多時間，通常用于非臨界應(yīng)用。溫站是中等成本的，投入使用需要較少的時間，并適合敏感的行動。移動站點是一種特別設(shè)計的拖車式計算設(shè)備，它可以快速地轉(zhuǎn)移到業(yè)務(wù)部門或到恢復(fù)站點。熱站使業(yè)務(wù)系統(tǒng)在在較短的時間內(nèi)恢復(fù)運(yùn)行，在更高的成本，是適合恢復(fù)非常重要和關(guān)鍵的應(yīng)用.95、人力資源的副總要求審計，以確定前一年的超額薪金。在這種情況下，最好的審計技術(shù)的使用是?A、測試數(shù)據(jù)B、通用審計軟件C、綜合測試設(shè)施D、嵌入式審計模塊ANSWER:BNOTE:通用審計軟件的功能包括數(shù)學(xué)計算，分層，統(tǒng)計分析，序列檢查，重復(fù)檢查和重復(fù)計算。審計師用通用審計軟件，可以設(shè)計適當(dāng)?shù)臏y試，以復(fù)算薪金，從而確定是否有過多的發(fā)放和向誰發(fā)了.數(shù)據(jù)測試只能測試多發(fā)錢是否有控制,但是不能測試具體的東西.另外兩個都不具備檢驗以前出錯的功能.96、下列哪一項是一個適當(dāng)?shù)臏y試方法適用于業(yè)務(wù)連續(xù)性計劃(BCP)?A、駕駛B、文件C、單元D、系統(tǒng)ANSWER:BNOTE:文件測試適用與對業(yè)務(wù)連續(xù)性計劃的測試。97、下列哪一項是深層防護(hù)安全原則的例子?A、使用兩個不同供應(yīng)商的防火墻，連續(xù)檢查傳入的網(wǎng)絡(luò)通信B、使用防火墻以及邏輯訪問控制對主機(jī)的傳入信號進(jìn)行控制C、在電腦中心建筑外面沒有物理信號.D、使用兩個并列的防火墻檢查不同類型的傳入流量ANSWER:B.

暫停掃描，每隔幾分鐘，避免過重的網(wǎng)絡(luò)，以及超過閾值可能會觸發(fā)報警信息向網(wǎng)絡(luò)管理員。使用的IP地址，服務(wù)器會導(dǎo)致在一個地址的爭論會吸引注意。98、進(jìn)行事件發(fā)生后檢查的主要目的是,它提供了一個機(jī)會去:A、改善內(nèi)部控制程序.B、為實現(xiàn)企業(yè)最佳業(yè)務(wù)強(qiáng)化網(wǎng)絡(luò)C、管理突出時間響應(yīng)管理的重要性.D、提高員工對時間響應(yīng)的認(rèn)識.

事件發(fā)生后檢討，審查了事件發(fā)生的原因和對事件響應(yīng)。吸取的經(jīng)驗教訓(xùn)，可被用來改善內(nèi)部控制。99、當(dāng)對一個組織的內(nèi)部網(wǎng)絡(luò)進(jìn)行滲透測試時,下列哪些方法最好,使測試的進(jìn)行在網(wǎng)絡(luò)中未被發(fā)現(xiàn)?A、使用現(xiàn)有的文件服務(wù)器或域控制器的IP地址B、每隔幾分鐘，暫停掃描，讓閾值重置.C、在夜間，當(dāng)沒有人登錄時進(jìn)行掃描D、使用多個掃描工具，因為每個工具都有不同的特色.

每隔幾分鐘暫停掃描，避免網(wǎng)絡(luò)超負(fù)荷，超過閾值可能會向網(wǎng)絡(luò)管理員發(fā)報警信息。使用服務(wù)器的IP地址，IP地址的沖突會引注意。進(jìn)行掃描數(shù)小時后，將增加被發(fā)現(xiàn)的概率。使用不同的工具可以增加的可能性，其中一人會發(fā)現(xiàn)一個入侵檢測系統(tǒng)。100、以下哪項代表了在電子數(shù)據(jù)交換環(huán)境最大的潛在危險?A、交易授權(quán)B、損失或重復(fù)的電子數(shù)據(jù)交換傳輸C、傳輸延遲D、交易的刪除或操作在應(yīng)用控制的創(chuàng)立之前或之后

由于各方之間的互動是電子，有沒有內(nèi)在的認(rèn)證發(fā)生，因此，交易授權(quán)是最大的風(fēng)險。選擇B和D的風(fēng)險，但這種影響不是很大，即未經(jīng)授權(quán)的交易。傳輸延遲可終止進(jìn)程或持有的路線，直到正常的處理時間已過，不過，不會有任何的數(shù)據(jù)丟失。101.一個信息系統(tǒng)審計師在對備份處理設(shè)備進(jìn)行評估時應(yīng)主要關(guān)注:A、存在適當(dāng)?shù)姆阑鸫胧?。B、定期進(jìn)行硬件維護(hù)。C、存在交易和主要文件的異地備份。D、備份處理設(shè)備被充分測試。注釋：適當(dāng)?shù)姆阑鸫胧┖统浞譁y試備份處理設(shè)備是針對恢復(fù)的重要因素，但如果沒有交易和主要文件的異地備份，對于恢復(fù)來說一般是不可能的。一般規(guī)則下，硬件的維護(hù)和恢復(fù)不相關(guān)。102、下列哪一項是成功貫徹和維護(hù)安全策略最關(guān)鍵的因素？A、所有適當(dāng)團(tuán)隊對安全框架和所制定的安全策略目的理解和吸收。B、管理層支持和贊同一個安全策略的貫徹和維護(hù)。C、有對任何違背安全規(guī)則進(jìn)行處罰的強(qiáng)制措施。D、安全官通過訪問控制軟件嚴(yán)密執(zhí)行、監(jiān)控和強(qiáng)制規(guī)則的實施。注釋：系統(tǒng)用戶對安全策略的目的和安全框架的理解和掌握是成功貫徹和維護(hù)安全策略的關(guān)鍵。雖然有一個好的口令管理系統(tǒng)，但是如果系統(tǒng)用戶把他們的口令寫在工作臺上，口令就沒有什么價值了。管理層的支持和允諾無疑是重要的，但針對成功執(zhí)行和維護(hù)安全策略，對用戶進(jìn)行安全教育無疑是最重要的。安全官通過訪問控制軟件嚴(yán)密執(zhí)行、監(jiān)控和強(qiáng)制規(guī)則的實施，對違反安全規(guī)則的行為進(jìn)行處罰也是需要的，同對用戶進(jìn)行安全教育和培訓(xùn)是一致的。103、虛擬專用網(wǎng)（VPN）通過以下哪種方式提供數(shù)據(jù)加密：A、SSL（安全套接層協(xié)議）B、隧道模式C、數(shù)字簽名D、釣魚注釋：VPN的安全數(shù)據(jù)包通過密封傳輸，就是熟知的隧道模式。SSL是服務(wù)器和瀏覽器的對等加密方法。數(shù)字簽名在VPN流程中不起作用，釣魚是社會工程學(xué)攻擊的一種方式。104、組織有完整的開發(fā)環(huán)境（IDE），所有程序庫都存放在服務(wù)器上，但是更新/開發(fā)和測試都是在PC工作站中完成。以下哪項將在IDE中得到加強(qiáng)？A、對程序版本進(jìn)行控制。B、提高程序資源和工具的可用性。C、提高程序和處理的完整性。D、防止有效的變更被其它的變更所覆蓋。注釋：IDE的強(qiáng)化措施是提高資源和工具的可用性。其它的選項都是IDE的弱點。105、在一個組織內(nèi)部，IT安全的職責(zé)被清晰分配并強(qiáng)制執(zhí)行，且IT安全風(fēng)險和影響分析被一貫執(zhí)行。這代表了以下安全治理的哪種成熟度模型？A、最優(yōu)的B、可管理的C、定義級D、重復(fù)級注釋：董事會和執(zhí)行管理層能利用信息安全治理成熟度模型建立組織安全的評價標(biāo)準(zhǔn)。級別有不存在、初始級、重復(fù)級、定義級、管理級和最優(yōu)級。當(dāng)組織IT安全的職責(zé)被清晰分配并強(qiáng)制執(zhí)行，且IT安全風(fēng)險和影響分析被一貫執(zhí)行時，也就是通常所說的“可管理的和可測量的”。106、在一個中斷和災(zāi)難事件中，以下哪一項提供了持續(xù)運(yùn)營的技術(shù)手段？A、負(fù)載平衡B、硬件冗余C、分布式備份D、高可用性處理注釋：硬件冗余是目前支持持續(xù)、不間斷服務(wù)的唯一的技術(shù)手段。負(fù)載平衡被用于以工作量為基礎(chǔ)的服務(wù)器間分流工作量以提高服務(wù)器的性能。高可用性（HA）計算設(shè)備提供一個快速的但不是持續(xù)的恢復(fù)操作，而分布式備份需要很長的恢復(fù)時間。107、以下哪一項是防止未經(jīng)授權(quán)使用數(shù)據(jù)的最有效的方法？A、自動的文件入口B、磁帶庫C、訪問控制軟件D、數(shù)據(jù)庫鎖定注釋：訪問控制軟件是針對未授權(quán)訪問數(shù)據(jù)的最有效的設(shè)計。108、以下哪種方法是防止便攜式計算機(jī)機(jī)密信息泄露的最有效的方法？A、用所有者的公鑰對硬盤進(jìn)行加密處理B、激活引導(dǎo)口令（硬件設(shè)置口令）C、利用生物識別設(shè)備D、利用雙因子識別技術(shù)將登陸信息寫入記事本注釋：僅利用數(shù)據(jù)加密將阻止機(jī)密信息的丟失。在這種情況下，機(jī)密信息只有私鑰的所有者才能訪問，且不能被共享。選擇B、C、D是識別的技術(shù)，而非機(jī)密信息的保護(hù)。一個個體可能從便攜電腦中卸載硬盤，并加裝到另一臺不安全的機(jī)器上，從而獲得對數(shù)據(jù)的訪問。109、信息系統(tǒng)審計人員在遠(yuǎn)程通訊分析過程中應(yīng)該涉及：A、從程序變更中監(jiān)控系統(tǒng)性能和跟蹤問題處理的結(jié)果。B、在考慮未來和目前交易容量方面評估網(wǎng)絡(luò)容量需求。C、評估網(wǎng)絡(luò)帶寬對終端響應(yīng)時間和網(wǎng)絡(luò)數(shù)據(jù)傳輸效率的影響。D、對網(wǎng)絡(luò)平衡流程和改進(jìn)方法提出建議。注釋：網(wǎng)絡(luò)通訊分析員的職責(zé)包括評估目前和未來的網(wǎng)絡(luò)流量需求（選項B），評估網(wǎng)絡(luò)帶寬影響或終端響應(yīng)時間和網(wǎng)絡(luò)數(shù)據(jù)傳輸效率（選項C），對網(wǎng)絡(luò)平衡流程和改進(jìn)方法提出建議（選項D）。監(jiān)控系統(tǒng)性能和程序變更的結(jié)果跟蹤（選反A）將把分析師放在自評估的角色。110、一個信息系統(tǒng)審計師被邀請參加一個開發(fā)會議，并注意到設(shè)計風(fēng)險沒有被文檔化。當(dāng)信息系統(tǒng)審計師提出這個問題時，設(shè)計經(jīng)理回答說這個太容易了，不能識別風(fēng)險，但如果風(fēng)險確實影響設(shè)計，風(fēng)險經(jīng)理將被解雇。信息系統(tǒng)審計師恰當(dāng)?shù)淖鞣ㄊ牵篈、強(qiáng)調(diào)花點時間考慮和記錄風(fēng)險的重要性，并形成應(yīng)急計劃。B、接受項目經(jīng)理立場，因為項目經(jīng)理是項目后果的應(yīng)負(fù)責(zé)任的人員。C、提議和被任命的風(fēng)險經(jīng)理一起工作。D、通知項目經(jīng)理，信息系統(tǒng)審計師要對項目需求定義階段的完成情況進(jìn)行評估。注釋：主要的項目風(fēng)險能在項目開始之前被針對性地識別，允許產(chǎn)生降低/避免這些風(fēng)險發(fā)生的計劃。一個項目應(yīng)該同組織策略有清晰的聯(lián)系并支持組織策略。這個流程設(shè)置的組織策略，設(shè)置的目標(biāo)和開發(fā)戰(zhàn)術(shù)計劃應(yīng)該考慮風(fēng)險。任命一個風(fēng)險經(jīng)理是一個好的實踐，但等到項目已經(jīng)被風(fēng)險誤導(dǎo)發(fā)生時才這樣做。風(fēng)險管理需要超前，允許風(fēng)險演變成問題反過來影響項目代表了失敗的風(fēng)險管理。有或沒有風(fēng)險經(jīng)理，項目團(tuán)隊內(nèi)部和外部的人員都需要被請教且鼓勵在他們發(fā)現(xiàn)新的風(fēng)險已經(jīng)出現(xiàn)或風(fēng)險級別發(fā)生變化時提出來。信息系統(tǒng)審計師有義務(wù)向項目發(fā)起者和組織提出適當(dāng)?shù)捻椖抗芾韺嵺`。等待任命一個風(fēng)險經(jīng)理是不必要的和威險的，會延誤風(fēng)險管理的實施。101、降低釣魚攻擊最有效的方法是？A、執(zhí)行入侵檢測系統(tǒng)（IDS）B、訪問安全的網(wǎng)絡(luò)地址C、強(qiáng)鑒別D、用戶教育注釋：釣魚攻擊有很多種方式：IDS和強(qiáng)鑒別不是預(yù)防最好措施。訪問安全網(wǎng)址也不能降低風(fēng)險。釣魚利用冒充合法服務(wù)器的方法。降低風(fēng)險最好的方式是教育用戶對互聯(lián)網(wǎng)上的可疑交互要提高警惕性，不要相信它們除非得到驗證后。用戶需要足夠的培訓(xùn)來識別可疑的網(wǎng)頁和電子郵件。112、一個信息系統(tǒng)審計師對組織交互培訓(xùn)實踐的風(fēng)險進(jìn)行評估，風(fēng)險應(yīng)該是：A、對唯一人員的依賴B、不充分的連續(xù)性計劃C、一個人知道系統(tǒng)的所有部分D、操作中斷注釋：交互培訓(xùn)是超過一個個體來履行一個明確的作業(yè)或流程的培訓(xùn)流程。這種實踐能幫助降低對一個個體的依賴，因此可以提供持續(xù)性的運(yùn)營。然而，利用這種方法，謹(jǐn)慎地評估一個人知道系統(tǒng)所有部分及相關(guān)的風(fēng)險暴露。交互培訓(xùn)減少了A、B、D中所記錄的風(fēng)險。113、PKI（公鑰體系），以下哪種方法能提供一個明確的授權(quán)用戶的可信賴的證據(jù)？A、不可抵賴性B、加密C、識別D、完整性注釋：不可抵賴，通過利用數(shù)字簽名獲得，阻止聲明的發(fā)送者以后又否認(rèn)他們曾經(jīng)發(fā)送過信息。加密可以對互聯(lián)網(wǎng)上的傳輸數(shù)據(jù)進(jìn)行保護(hù)，但不能證明交易被誰產(chǎn)生。識別對建立一個交互的各方是必要的。完整性確保交易準(zhǔn)確但不能提供客戶識別。114、一個信息系統(tǒng)審計師被分配對一個開發(fā)項目進(jìn)行審計，開發(fā)項目已經(jīng)完成80%，但已經(jīng)超時10%，超預(yù)算25%。該審計師應(yīng)該采取哪項行動？A、向組織匯報，項目管理的低效。B、建議更換項目經(jīng)理。C、對IT治理結(jié)構(gòu)進(jìn)行評估。D、對項目執(zhí)行情況和業(yè)務(wù)情況進(jìn)行評估。注釋：在提出任何建議之前，一個IS審計師需理解項目，這有助于發(fā)現(xiàn)項目超時和超預(yù)算的因素。組織可能有有效的項目管理實踐，健全的IT治理，仍然會出現(xiàn)超時或超預(yù)算的情況。沒有跡象表明在不經(jīng)過任何原因調(diào)查就將項目經(jīng)理撤換。115、數(shù)字簽名的特征是確保發(fā)送者過后不能否認(rèn)產(chǎn)生和發(fā)送了信息叫：A、數(shù)據(jù)完整性B、識別C、不可抵賴D、重演保護(hù)注釋：所有以上都是數(shù)字簽名的特征。不可抵賴確保已聲明的發(fā)送者過后不能否認(rèn)曾產(chǎn)生和發(fā)送過信息。數(shù)據(jù)完整性指對明文信息的變更將導(dǎo)致數(shù)據(jù)接收者都過哈希函數(shù)得到的哈希摘要與發(fā)送者不一致。因為僅聲明的發(fā)送者有私鑰，身份識別確保消息是由發(fā)送者發(fā)出的。重演保護(hù)是接收者用于檢查信息沒有被竊聽和重演的手段。116、一個有廣闊地理分布的組織開發(fā)了一個災(zāi)難恢復(fù)計劃。利用實際資源，以下哪一項是最考慮成本-效益的災(zāi)難恢復(fù)計劃測試？A、完全的操作測試B、有準(zhǔn)備地測試C、紙上測試D、回歸測試注釋：有準(zhǔn)備的測試是每一個當(dāng)?shù)剞k公室/地點對災(zāi)難恢復(fù)計劃中所涉及到的本地操作的適當(dāng)性進(jìn)行測試。紙上測試是對災(zāi)難恢復(fù)計劃進(jìn)行穿行測試且應(yīng)該在有準(zhǔn)備的測試之前完成。完全的操作測試是在紙上和有準(zhǔn)備地測試之后進(jìn)行?；貧w測試不是災(zāi)難恢復(fù)計劃（DRP）測試被用于軟件維護(hù)。117、在安全官的幫助下，批準(zhǔn)訪問數(shù)據(jù)的職責(zé)是：A、數(shù)據(jù)所有者B、程序員C、系統(tǒng)分析師D、數(shù)據(jù)庫管理員注釋：數(shù)據(jù)所有者對數(shù)據(jù)的使用負(fù)責(zé)。用戶的計算信息的寫權(quán)限的獲得應(yīng)該被數(shù)據(jù)的所有者授權(quán)。安全管理人員和所有者的同意保證單個用戶或一群用戶對數(shù)據(jù)和文件的訪問授權(quán)訪問。118、以下哪項是信息系統(tǒng)審計師在考慮信息系統(tǒng)部門短期計劃最應(yīng)該考慮的部分？A、可分配的資源B、保持目前的技術(shù)領(lǐng)先水平C、執(zhí)行自評估控制D、評估硬件需求注釋：信息系統(tǒng)部門最應(yīng)該明確的短期計劃是可分配的資源。IT投資需要與高層管理策略一致，而不是對技術(shù)或技術(shù)的偏好。在信息系統(tǒng)部門的短期計劃中，執(zhí)行自評估控制和評估硬件需求不是同分配資源一樣關(guān)鍵。119、一個電子郵件的發(fā)送者對數(shù)字摘要應(yīng)用了數(shù)字簽名。這個行動能確保：A、信息的數(shù)據(jù)和時間戳B、識別發(fā)信的計算機(jī)C、對信息內(nèi)容進(jìn)行加密D、對發(fā)送者的身份進(jìn)行識別注釋：對摘要的簽名被用于對發(fā)送者的身份進(jìn)行識別。它不能提供對發(fā)送數(shù)據(jù)的時間戳或所發(fā)送的計算機(jī)的識別。對電子郵件數(shù)字簽名不能防止對它內(nèi)容的訪問，因此，不能確保機(jī)密性。120、一個信息系統(tǒng)審計師對災(zāi)難恢復(fù)計劃（DRP）進(jìn)行評估，在一個金融組織發(fā)現(xiàn)如下一些情況：

現(xiàn)有的災(zāi)難恢復(fù)計劃是該組織IT部門的一個系統(tǒng)分析員在兩年前利用交易數(shù)據(jù)流映射到操作部門編制的。

這個計劃已經(jīng)呈報給CEO的代理人，并等待批準(zhǔn)和正式發(fā)布，但一直等待他或她的批準(zhǔn)。

這個計劃一直未被更新、測試或關(guān)鍵管理層和團(tuán)隊間流轉(zhuǎn)，雖然每一個部門都知曉在事件發(fā)生時所應(yīng)采取的行動或承擔(dān)的角色。

一個組織最基本的災(zāi)難恢復(fù)計劃是在一個相似的環(huán)境下重新建立業(yè)務(wù)處理過程,硬件配置已經(jīng)建立.信息系統(tǒng)審計師應(yīng)該:A、不采取任何行動,因為缺乏目前的計劃是唯一重要的發(fā)現(xiàn).B、建議每一地點的硬件配置要相同。C、執(zhí)行評估操作來確認(rèn)第二個配置能支持業(yè)務(wù)處理。D、對因為沒有一個有效的計劃而在第二個地點的花費(fèi)的浪費(fèi)情況進(jìn)行報告。注釋：一個信息系統(tǒng)審計師只有在有證據(jù)說明備用地點的硬件設(shè)施不能支持業(yè)務(wù)流程的情況下才能給出審計發(fā)現(xiàn)。雖然最初發(fā)現(xiàn)災(zāi)難恢復(fù)計劃缺乏驗證和溝通，但是實質(zhì)上恢復(fù)的模式已經(jīng)包括在審計當(dāng)中。如果發(fā)現(xiàn)計劃不恰當(dāng)，所有的審計發(fā)現(xiàn)將在實際中支持全部的審計觀點。不采取任何行動，留下這個未經(jīng)測試的很重要的因素很顯然是不對的。除非有證據(jù)顯示備份地點是不充分的，否則就不能對花費(fèi)作出評價，即使這是信息系統(tǒng)審計師在做出結(jié)論時需要考慮的。類似地，在配置上也不需要相同。如果備份地點還有其它的業(yè)務(wù)運(yùn)行，它往往超過了恢復(fù)需求，例如其它業(yè)務(wù)流程的開發(fā)和測試。在這點上唯一正確的行動是找出備份地點是否能完成恢復(fù)操作。121、組織中的訪問點既包含了不能被升級至更強(qiáng)安全性的訪問點，也包含了具有高級無線網(wǎng)絡(luò)安全性的新訪問點。信息系統(tǒng)審計師建議更換不可升級的訪問點。下列哪個選項是證明信息系統(tǒng)審計師建議的最佳依據(jù)？A、擁有更強(qiáng)安全性的新訪問點是可以提供的。B、舊的訪問點在性能方面很差。C、組織的安全性將會和其最脆弱的訪問點一樣。D、新的訪問點更容易管理。NOTE：舊的訪問點應(yīng)該被放棄，被有更高安全性的產(chǎn)品所代替；要不然將會為攻擊者遺留安全漏洞，然后使整個網(wǎng)絡(luò)變得同樣脆弱。新訪問點的可提供性不是審計師最主要的關(guān)注，在這里性能也不能與安全居于同等重要性。