資源描述:
《2015年cisa注冊信息系統(tǒng)審計師考試中文700題全解》由會員上傳分享����,免費在線閱讀�����,更多相關內(nèi)容在工程資料-天天文庫。
1����、可編輯版1�����、在信息系統(tǒng)審計中�����,關于所收集數(shù)據(jù)的廣度的決定應該基于:A���、關鍵及需要的信息的可用性B��、審計師對(審計)情況的熟悉程度C�、被審計對象找到相關證據(jù)的能力D�、此次審計的目標和范圍 說明:所收集數(shù)據(jù)的廣度與審計的目標和范圍直接相關,目標與范圍較窄的審計所收集的數(shù)據(jù)很可能比目標與范圍較寬的審計要少�����。審計范圍不應該受信息獲取的容易程度或者審計師對審計領域的熟悉程度限制。收集所需的所有證據(jù)是審計的必要要素�����,審計范圍也不應受限于被審計對象找到相關證據(jù)的能力�。2、下列那一項能保證發(fā)送者的真實性和e-mail的機密性��?A�、用發(fā)送者的私鑰加密消息散列(hash),然后用接
2�、收者的公鑰加密消息散列(hash)B、發(fā)送者對消息進行數(shù)字簽名然后用發(fā)送者的私鑰加密消息散列(hash)C��、用發(fā)送者的私鑰加密消息散列(hash)����,然后用接收者的公鑰加密消息。D�、用發(fā)送者的私鑰加密消息,然后用接收者的公鑰加密消息散列(hash) Word完美格式可編輯版說明:為了保證真實性與機密性����,一條消息必須加密兩次:首先用發(fā)送者的私鑰,然后用接收者的公鑰�。接收者可以解密消息���,這樣就保證了機密性。然后�,解密的消息可以用發(fā)送者的公鑰再解密,保證了消息的真實性�。用發(fā)送者的私鑰加密的話,任何人都可以解密它�。3、下列那一條是橢圓曲線加密方法相對于RSA加密方法最大的
3�����、優(yōu)勢����?A�、計算速度B、支持數(shù)字簽名的能力C���、密鑰發(fā)布更簡單D����、給定密鑰長度的情況下(保密性)更強說明:橢圓曲線加密相對于RSA加密最大的優(yōu)點是它的計算速度����。這種算法最早由NealKoblitz和VictorS.Miller獨立提出���。兩種加密算法都支持數(shù)字簽名,都可用于公鑰分發(fā)���。然而���,強密鑰本身無需保證傳輸?shù)男Ч?而是在于所應用的運發(fā)法則(運算法則是保證傳輸效果好壞的根本)。4�、下列哪種控制可以對數(shù)據(jù)完整性提供最大的保證?A�、審計日志程序B、表鏈接/引用檢查C����、查詢/表訪問時間檢查D、回滾與前滾數(shù)據(jù)庫特性 說明:進行表鏈接/引用檢查可以發(fā)現(xiàn)表鏈接的錯誤(例如數(shù)據(jù)庫
4��、內(nèi)容的準確和完整),從而對數(shù)據(jù)完整性提供最大的保證����。審計日志程序是用于記錄已鑒定的所有事件和對事件進行跟蹤。但是他們只針對事件��,并沒有確保數(shù)據(jù)庫內(nèi)容的完整和準確。查詢/監(jiān)控數(shù)據(jù)表訪問時間有助于設計者提升數(shù)據(jù)庫性能��,而不是完整性��?;貪L與前滾數(shù)據(jù)庫特征保證了異常中斷的恢復。它只能確保在異常發(fā)生時�,正在運行的事務的完整性,而不能提供數(shù)據(jù)庫內(nèi)容的完整性保證�。5、開放式系統(tǒng)架構的一個好處是:Word完美格式可編輯版A�����、有助于協(xié)同工作B�����、有助于各部分集成C�、會成為從設備供應商獲得量大折扣的基礎D����、可以達到設備的規(guī)模效益 說明:開放式系統(tǒng)是指供應商提供組件,組件接口基于公共標
5�����、準定義,從而使不同廠商間系統(tǒng)互用性更容易實現(xiàn)��。相反的��,封閉式系統(tǒng)組件是基于私人標準開發(fā)�����,因此其他供應商的系統(tǒng)將無法與現(xiàn)有系統(tǒng)連接��。6���、一個信息系統(tǒng)審計師發(fā)現(xiàn)開發(fā)人員擁有對生產(chǎn)環(huán)境操作系統(tǒng)的命令行操作權限���。下列哪種控制能最好地減少未被發(fā)現(xiàn)和未授權的產(chǎn)品環(huán)境更改的風險?A�、命令行輸入的所有命令都被記錄B、定期計算程序的hash鍵(散列值)并與最近授權過的程序版本的hash鍵比較C����、操作系統(tǒng)命令行訪問權限通過一個預先權限批準的訪問限制工具來授權D、將軟件開發(fā)工具與編譯器從產(chǎn)品環(huán)境中移除 說明:隨著時間的過去�,hash鍵(散列值)匹配將發(fā)現(xiàn)文檔的改變�。選項A不對�,有記錄
6、不是控制����,審核記錄才是一種控制。選項C不對��,因為訪問已經(jīng)被授權——不管何種方式����。選項D不對,因為文件可以從產(chǎn)品環(huán)境拷貝或拷貝到產(chǎn)品環(huán)境��。7�����、下列那一項能最大的保證服務器操作系統(tǒng)的完整性��?Word完美格式可編輯版A���、用一個安全的地方來存放(保護)服務器B、設置啟動密碼C�、加強服務器設置D����、實施行為記錄 說明:加強系統(tǒng)設置意味著用最可靠的方式配置(安裝最新的安全補丁��,嚴格定義用戶和管理員的訪問權限����,禁用不可靠選項及卸載未使用的服務)防止非特權用戶獲得權限,運行特權指令����,從而控制整臺機器,影響操作系統(tǒng)的完整性����。在安全的地方放置服務器和設置啟動密碼是好的方法,但是不能保
7�、證用戶不會試圖利用邏輯上的漏洞,威脅到操作系統(tǒng)����。活動記錄在這個案例中有兩個弱點——它是檢查型控制(不是預防型控制)�,攻擊者一旦已經(jīng)獲得訪問特權,將可以修改或禁用記錄��。8、一個投資顧問定期向客戶發(fā)送業(yè)務通訊(newsletter)e-mail�,他想要確保沒有人修改他的newsletter。這個目標可以用下列的方法達到:A��、用顧問的私鑰加密newsletter的散列(hash)B���、用顧問的公鑰加密newsletter的散列(hash)C、用顧問的私鑰對文件數(shù)據(jù)簽名D����、用顧問的私鑰加密newsletter Word完美格式可編輯版說明:投資顧問沒有試圖去證明他們的身份
8���、或保持通訊的機密性�。他們
