违法和不良信息举报 联系客服
免费注册 登录

从风险管理的观点来看,部署庞大且复杂的IT架构,哪种途径最好()。

题目
单选题
从风险管理的观点来看,部署庞大且复杂的IT架构,哪种途径最好()。
A

在考证这个想法之后,迅速部署

B

原形化和单阶段部署

C

按次序阶段性的部署计划

D

部署前模拟新的架构

如果没有搜索结果或未解决您的问题,请直接 联系老师 获取答案。
相似问题和答案

第1题:

单选题
In discretionary access environments, which of the following entities is authorized to grant information access to other people?在自主访问环境下,下列哪个实体有权授予其他人信息访问权限?()
A

Data Owner数据的所有者

B

Manager经理人员

C

Security Manager安全经理

D

Group Leader小组领导


正确答案: C
解析: 暂无解析

第2题:

单选题
对加密算法最常见的攻击方式是()。
A

唯密文破解

B

暴力破解

C

已知明文破解

D

选择明文破解


正确答案: C
解析: 暂无解析

第3题:

单选题
业务影响分析(BIA)的主要目的是?()
A

提供灾难后运营的计划

B

识别影响组织运行持续性的事件

C

公开对机构物理和逻辑安全的评鉴

D

提供一个有效的灾难恢复计划的框架


正确答案: D
解析: 业务影响分析是开发BCP的关键步骤。BIA需要识别各种影响组织运行连续性的事件。IS审计师应该能够评估BIA。在其职责说明中其任务描述为:评估组织的BCP以确保在IT中断期间基本业务运营的持续性的能力。审计师有必要知道BIA过程包含什么内容以便其能恰当的评估它。然而,一个CISA考生不考BIA如何执行或用什么方法执行。

第4题:

单选题
在灾难恢复计划中,一个IS审计师观察到在灾难恢复站点的服务器性能低下。为了找到导致这种情况的原因,IS审计师最先应该检查?()
A

在灾难恢复站点生成的事件错误日志

B

灾难恢复测试计划

C

灾难恢复计划(DRP)

D

主站点和灾难恢复站点的配置和调整


正确答案: A
解析: 由于系统配置是最有可能的原因,IS审计师应该首先检查。如果问题不能弄清楚,IS审计师就要检查事件错误日志。灾难恢复计划和灾难恢复计划不包括系统配置信息。

第5题:

单选题
以下对确定信息系统的安全保护等级理解正确的是()。
A

信息系统的安全保护等级是信息系统的客观属性

B

确定信息系统的安全保护等级时应考虑已采取或将采取的安全保护措施

C

确定信息系统的安全保护等级时应考虑风险评估的结果

D

确定信息系统的安全保护等级时应仅考虑业务信息的安全性


正确答案: B
解析: 暂无解析

第6题:

单选题
以下关于风险评估的描述不正确的是()?
A

作为风险评估的要素之一,威胁发生的可能需要被评估

B

作为风险评估的要素之一,威胁发生后产生的影响需要被评估

C

风险评估是风险管理的第一步

D

风险评估是风险管理的最终结果


正确答案: D
解析: 暂无解析

第7题:

单选题
一个IS审计师被请求去为一个基于Web的关键订单系统做完全监控检查,且此时距该订单系统预定的正式上线日期只有很短的时间,该审计师进行了一项渗透测试,产生了不确定的结果,而在授权给审计的完成时间内无法进行另外的测试。下述哪个是该审计师最好的选择?()
A

基于可用的信息公布一个报告,突出强调潜在的安全弱点以及对后续审计测试的需求。

B

公布一个报告,忽略来自测试的证据不足的领域。

C

请求推迟正式上线时间直到完成附加的安全测试并获得正式测试的证据。

D

通知管理层审计工作不能在规定的时间窗内完成,并建议审计推迟。


正确答案: B
解析: 如果IS审计师在授权时间窗内不能获得关键系统充分的确认,该事实应该在审计报告中突出强调,并且今后某个时间的后续测试应该被预定。此时管理层可以决定识别的潜在弱点中是否有任何一个重要到需要推迟系统正式上线时间的程度。审计师由于在授权的审计时间窗内无法获得充分的证据而忽略具有潜在弱点的领域是不可接受的。如果这些领域在审计报告中被忽略,这将违背ISACA审计标准。为审计扩展审计时间窗和推迟正式上线时间在该场景下不大可能被接受,因为涉及的系统是关键交易系统。在任何情况下,推迟正式上线时间都必须是企业管理者的决定,而不是IS审计师的决定。在该场景中,IS审计师应该在授权时间前向管理者展示所有可用信息。审计聘约阶段没有获得充分的证据并不意味着需要取消或者推迟审计,这将违背审计准则中关于尽职审查和专业职责条款。点评:发现问题后报告出来,让owner做决定。

第8题:

单选题
安全隔离网闸与防火墙相比,需要采取更强的安全隔离技术,请指出下列哪一项技术不会在安全隔离网闸中使用()
A

专用的安全通信协议

B

专用的硬件通信通道

C

应用层的数据交换

D

支持数据包路由


正确答案: B
解析: 暂无解析

第9题:

单选题
以下哪个不是导致地址解析协议(ARP)欺骗的根源之一?()
A

ARP协议是一个无状态的协议

B

为提高效率,ARP信息在系统中会缓存

C

ARP缓存是动态的,可被改写

D

ARP协议是用于寻址的一个重要协议


正确答案: D
解析: ARP协议是建立在信任局域网内所有节点的基础上的,它很高效,但却不安全。其主要漏洞有以下三点:
1、主机地址映射表是基于高速缓存、动态更新的,ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间,它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。
2、由于ARP是无状态的协议,即使没有发送ARP请求报文,主机也可以接收ARP应答,只要接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内节点的通信,甚至可以做“中间人”。
3、任何ARP应答都是合法的,ARP应答无须认证,只要是局域网内的ARP应答分组,不管是否是合法的应答,主机都会接受ARP应答,并用其IP-MAC信息篡改其缓存。这就是ARP的另一个隐患。

第10题:

单选题
数据库管理员执行以下哪个动作可能会产生风险?()
A

根据变更流程执行数据库变更

B

安装操作系统的补丁和更新

C

排列表空间并考虑表合并的限制

D

执行备份和恢复流程


正确答案: C
解析: 暂无解析

更多相关问题
相关内容