ISC2 Flashcards
A value-added network (VAN) is a privately owned network that performs which of the following functions?
A. Route data transactions between trading partners.
B. Route data within a company’s multiple networks.
C. Provide additional accuracy for data transmissions.
D. Provide services to send marketing data to customers.
A
An executive information system is not characterized by
A.
Supplying advice to top management from an expert (knowledge-based) system.
B.
Supplying financial and nonfinancial information.
C.
Supplying immediate information about an entity’s critical success factors.
D.
Use on both mainframes and personal computer networks.
【A】
Executive Information System (EIS) 的特點包括:
提供高層管理所需的關鍵資訊。
財務和非財務資訊。
關鍵成功因素。
多平台使用。
Expert System (知識型系統) 是一種人工智慧系統,主要用來模擬人類專家的決策過程,提供專業建議或解決複雜問題。這些系統通常基於特定領域的專業知識和規則,旨在提供專家級的建議和支持
A CRM system will allow customers to call a centralized customer service department when they determine it is time to reorder inventory.
T or F?
原敘述中的問題在於,將「呼叫中央客服部門」作為CRM系統的主要功能之一,而實際上,CRM系統應該強調自動化和多渠道的客戶互動管理。以下是修改後的正確敘述:
“A CRM system will enable customers to reorder inventory through various channels such as online portals, automated systems, or customer service representatives.”
這樣的敘述更準確地反映了CRM系統的功能,即支持多渠道的客戶互動和自動化服務,而不僅僅依賴於呼叫中央客服部門。
Enterprise resource planning.
Electronic data interchange.
有什麼不同
ERP vs. EDI
ERP (Enterprise Resource Planning):
- 集成企業各部門功能(財務、HR、供應鏈等)。
- 提供實時數據和報告。
- 自動化內部業務流程。
EDI (Electronic Data Interchange):
- 標準化企業間的電子數據交換(訂單、發票等)。
- 減少手動數據處理,降低錯誤。
- 加速商業交易。
總結:
- ERP 管理企業內部資源和流程。
- EDI 自動化和標準化企業間的數據交換。
The primary purpose of a database system is to have a single storage location for each
A. File.
B. Record.
C. Database.
D. Data item.
正確答案是D(Data item),因為數據庫系統的主要目的是確保每個數據項目(Data item)只有一個存儲位置,從而實現數據的集中管理和避免數據冗餘
數據項目是數據庫中存儲的單個值或信息單元。它是不可再分的基本數據單位,例如一個表格中的單元格內容。
例子:
客戶數據庫:
客戶姓名:John Doe
電子郵件地址:john.doe@example.com
聯繫電話:123-456-7890
每個這樣的值(姓名、電子郵件地址、電話號碼)都是一個數據項目。
One of the general functions of an operating system is to
B. Identify input/output devices and provide the necessary drivers.
D. Provide a graphical user interface (GUI) that allows the user to input text to execute tasks.
【B】
選項D中提到的「提供圖形用戶界面(GUI)以允許用戶輸入文本以執行任務」並不是操作系統的一般功能,而是屬於用戶界面(User Interface)的功能。操作系統的一般功能主要包括管理計算機的資源和提供基本的系統服務。
Question: What’s correct about a client-server system for accessing a customer database?
A. Same OS required.
B. Server needs a network interface card.
C. Server uses peer-to-peer networking.
D. Server and clients must connect to the world wide web.
【B】
A. Same OS required. - 不需要相同的操作系統。
B. Server needs a network interface card. - 服務器需要安裝網絡接口卡。
C. Server uses peer-to-peer networking. - 在客户端-服务器系统中,架构是集中式的,由一个专用服务器为多个客户端提供服务,这与点对点网络不同,在点对点网络中,每个设备都可以同时充当客户端和服务器。
D. Server and clients must connect to the web. - 服務器和客戶端只需連接到局域網LAN。
BASIC, FORTRAN, and COBOL are all examples of
A.
Application languages.
B.
Machine languages.
C.
Procedural languages.
D.
Operating systems.
高水準言語(high-level languages)の分類についての理解を問う問題。
BASIC、FORTRAN、COBOLなどのプログラミング言語は手続き型言語(procedural languages)に属する。手続き型言語とは特定の問題を解決するために必要な手続き(手順)を順序だててプログラムを記述できるように設計された言語である。
従って、正解はc。
aは誤り。cほど適切な答えではない。
bは誤り。機械言語(machine languages)とは、コンピュータが理解できる言語(0と1の2進法)のことである。
dは誤り。手続き型言語(procedural language)はOSではない。
XXX Corp. is using a public cloud-based software provided on a dedicated cloud infrastructure. What is the cloud environment?
A. A public SaaS.
B. A private IaaS.
C. A hybrid cloud.
D. A multi-cloud.
【C】
hybrid cloud 強調私有雲和公有雲的結合,而 multi-cloud 則強調多個不同的公有雲服務提供商的結合。
What is a set of rules used for exchanging data between two computers?
A. Operating system
B. Transmission speed
C. Router
D. Protocol
【D】
The main components of the central processing unit of a computer are
Arithmetic-logic unit, control unit, and primary storage.
The computer operating system performs scheduling, resource allocation, and data retrieval functions based on a set of instructions provided by the
A. interpreter.
B. language processors.
C. compiler.
D. Job control language.
讓我們逐一解釋每個選項:
A. 解釋器(Interpreter):
- 解釋器是一種軟體,用於解釋並執行高階編程語言中的指令。它逐行解釋程式碼,將其轉換為機器語言並立即執行。解釋器通常用於語言如Python和Ruby等,它們不會提供操作系統所需的排程、資源分配和數據檢索功能。
B. 語言處理器(Language Processors):
- 語言處理器是一個更廣泛的術語,包括編譯器(Compiler)、解釋器(Interpreter)、組譯器(Assembler)等。它們是用來將高階編程語言轉換為機器語言的工具,但它們不直接處理操作系統的排程、資源分配和數據檢索。
C. 編譯器(Compiler):
- 編譯器是一種軟體,用於將高階編程語言的原始程式碼一次性地轉換為機器語言的可執行文件。它會將整個程式碼轉換成目標機器的原生語言,並生成可執行文件。儘管編譯器會產生執行文件,但它不直接處理操作系統的排程、資源分配和數據檢索。
D. 作業控制語言(Job Control Language,JCL):
- 作業控制語言是一種用於操作系統的特殊語言,它用於描述作業的執行流程,包括排程、資源分配和數據檢索等。它通常由作業系統提供,用於管理和控制作業的執行。因此,正確答案是D,因為作業控制語言是直接用於操作系統的功能。
Question:
Which of the following represents a risk associated with using smart contracts for an organization’s control activities?
Options:
A. Deficient business logic in smart contracts.
B. Manipulated blockchain records of transactions by smart contracts.
C. Unauthorized transactions by smart contracts without oracle authorization.
D. Invalid blockchain transactions due to consensus protocol manipulation.
【A】
智能合约是一种程序,通过设置,当满足预定义条件时,交易就会自动记录在区块链上。 设置智能合约可以在没有人为干预的情况下在区块链上记录交易,从而防止不当记录或伪造记录。 但是,如果在最初设置智能合约时存在缺陷,则有可能在引入智能合约时造成严重后果。
What does the recovery point objective (RPO) represent?
What does the recovery time objective (RTO) represent?
Options:
A. The maximum acceptable amount of data loss in case of a system failure.
B. The time within which the system must be recovered after a failure.
C. The time it takes to back up data to ensure minimal data loss.
D. The period within which normal business operations can resume after a disruption.
【A】
【B】
恢复点目标(RPO)代表系统宕机时可能丢失的最大数据量:一小时的 RPO 意味着应恢复系统宕机前一小时内的数据。like conduct backups every 30min
另一方面,恢复时间目标(RTO)表示允许恢复宕机系统的最长时间;RTO 为两小时,表示必须在两小时内恢复系统。like failure occured at 6am and recover in 7am
A company’s recovery point objective (RPO) is 12 hours. Which of the following backup methods will minimize the recovery point actual (RPA)?
A. 10-hour file-level incremental backup.
B. 12-hour reverse incremental backup.
C. 11-hour byte-level incremental backup and weekly full backup.
D. 13-hour differential backup.
【A】
關鍵:先看頻率,後看單位
尽管备份单位更小更高效,但关键是频率,11小时频率略低于10小时文件级备份。
Which of the following costs is covered by a third-party cyber liability insurance?
A. A ransom to be paid to the cyber attacker.
B. Loss of sales due to reputational damage.
C. Notification costs to regulators and the affected parties.
D. Settlement fees and court judgments.
【D】
A–>虽然网络保险可能涵盖勒索软件攻击中的赎金支付,但这通常属于第一方保险范围,而不是第三方网络责任保险。第一方保险直接覆盖公司自身的损失,而第三方保险覆盖因公司的网络安全事件对第三方造成的损害。
第三方网络责任保险承保遭受网络攻击的公司向第三方支付的赔偿金额,包括以下项目
1.对网络攻击受害者(如信息被泄露的客户)的损害赔偿
2.向监管机构支付的罚款
3.法律费用
Question:
Which one of the following statements about the NIST Cybersecurity Framework functions is incorrect?
Options:
A. Identify - Understand assets, threats, and risks.
B. Protect - Implement safeguards against attacks.
C. Detect - Address detected attacks.
D. Recover - Restore data or services after an attack.
【C】
Explanation of the Correct Functions:
Identify
Understand assets, threats, and risks.
Protect
Implement safeguards against attacks.
Detect
Discover security events.
Respond
Take action on detected events.
Recover
Restore capabilities and services after an attack.
Zero trust security means that
B. A user should be permitted to only the resources that are necessary for its legitimate purpose.
C. All users, whether in or outside of an organization’s network should be authenticated to access the network.
【C】
b–need to know
Need to Know(知需原則)
定義: 用戶只能訪問其工作所需的最少資源。
目的: 減少未經授權的訪問和數據洩漏風險。
例子: HR員工能查看人事檔案,但無法訪問財務記錄。
Zero Trust(零信任)
定義: 對所有用戶和設備不預設信任,無論其在內部網絡還是外部。
目的: 持續驗證每次訪問請求,防止內部和外部威脅。
例子: 每次員工訪問公司資源都需進行身份驗證,包括多因素驗證(MFA)。
Which of the following access controls can achieve organization security in accordance with the principle of least privilege?
A. Mandatory access control (MAC).
B. Role-based access control (RBAC).
C. Discretionary access control (DAC).
D. Access control list (ACL).
【B】
A. Mandatory Access Control (MAC)強制評估控制
定義: 根據系統級別的安全策略,由中央管理系統決定和控制所有資源的訪問權限,用戶無法改變。雖然MAC也符合最小特權原則,因為它強制應用安全策略並確保用戶只能訪問其被授權的資源,但RBAC更適合於動態和多變的企業環境。
B. Role-Based Access Control (RBAC)
定義: 基於用戶的角色分配訪問權限,每個角色擁有不同的權限組合。
C. Discretionary Access Control (DAC) 全權評估控制
定義: 資源所有者(如文件創建者)可以自行決定誰可以訪問該資源。
D. Access Control List (ACL)
定義: 為每個資源定義具體的訪問控制列表,列出哪些用戶或系統組件可以對該資源進行何種操作。
Which of the following risks can be minimized by requiring all employees accessing the information system to use passwords?
A. Collusion
B. Data entry errors
C. Failure of server duplicating function
D. Firewall vulnerability
【D】
Asymmetric encryption uses a pair of keys that are not mathematically related with each other.
不對。對稱加密使用一對密鑰(公鑰和私鑰),它們是數學上相關的。公鑰用於加密數據,私鑰用於解密數據。這種密鑰之間的數學關係是非對稱的,因為從公鑰無法推斷出私鑰,反之亦然。所以句子應該修改為:
“Asymmetric encryption uses a pair of keys that are mathematically related to each other.”
Tokenization is a process of replacing sensitive data with substitutes that
C. Are generated using encryption and intended to be decrypted for use.
D. Allow the original information to be retained without compromising its security.
【D】
C–使用加密技术生成令牌时,并不打算对令牌进行解密。这是因为重要的是,令牌只是通过网络交换重要信息的标识符,其本身没有任何意义。
Tokenization是將敏感數據替換為不敏感的替代品的過程。這些替代品被稱為”token”,它們與原始數據之間是一對一的映射關係。這些token通常是不可逆的,這意味著不能從token恢復回原始數據。通常,token會被存儲,而原始數據則被安全地保留在另一處。這樣做的目的是保護原始數據,同時允許使用token來執行特定操作,而不必暴露原始數據。
一個簡單的例子是信用卡支付過程中的tokenization。當您在網上購物時,通常需要輸入信用卡信息。為了保護這些信息,商戶通常不會直接存儲您的信用卡號碼和安全碼。相反,他們會將這些信息發送給支付處理公司,然後支付處理公司會將這些數據token化。這樣,商戶只會收到一個token,而不是您的實際信用卡信息。當商戶需要處理付款時,他們可以使用這個token,而不需要知道您的信用卡詳細信息。這樣做既保護了您的信用卡信息,又允許商戶進行支付處理。
A software vendor accessed fraudulently to the company’s system using a backdoor account.
insider or outsider threats
insider
STRIDE threat modeling?
S: なりすまし(spoofing)spoof 面具
T: 改ざん(tampering)tamper 調整
R: 否認(repudiation)
I: 情報開示(information disclosure)
D: DoS攻撃(denial of service)
E: 権限昇格(elevation of privilege