5.1. 控制对资产的物理和逻辑访问

5.2. 管理人员、设备和服务的识别和认证

5.3. 与第三方服务的联合身份

5.4. 实施和管理授权机制

5.5. 管理身份和访问供应的生命周期

5.6. 实施认证系统

1 以下哪个功能描述为一种侧重于主体并识别每个主体可以访问的对象的访问控制模型？ A. 访问控制列表 B. 隐式拒绝列表 C.能力表 D.权限管理矩阵

2,Jim 的组织广泛支持基于云的应用的 IDaaS实施。Jim 的公司没有内部身份管理人员，也不使用集中身份服务。相反，他们依赖 Active Directory提供 AAA 服务。以下哪个选项是Jim 应该推荐的最佳处理公司内部身份需求的方式？ A. 使用OAuth 集成内部系统。 B. 使用本地第三方身份服务。 C.使用 SAML 集成内部系统。 D. 设计一个内部解决方案来处理组织的独特需求。

3.以下哪个不是Kerberos 的弱点？ A.KDC是单点故障。 B.KDC 被攻击者控制将允许冒充任何用户。 C. 认证信息没有加密。 D.容易受到密码猜测的攻击。

4. 声音模式识别属于哪种身份验证因素类型？ A. 你所知道的东西 B. 你所拥有的东西 C. 你所是的东西 D. 你所在的地方

5. 如果Susan 的组织要求她使用用户名、PIN码、密码和视网膜扫描来登录，那么她使用了多少种不同的身份验证因素类型？ A. 一种 B. 两种 C.三种 D.四种

6.Charies 想要部署一个凭证管理系统（CMS)。他希望尽可能保护密钥的安全性。以下哪个是他的CMS 实施的最佳设计选项？ A. 使用 AES-256 代替 3DES。 B. 使用长密钥。 C.使用 HSM（硬件安全模块）。 D.定期更改口令短语。

7.Bran是一所大学的研究员。 作为他的研究的一部分，他使用自己大学的凭据登录托管在克工所机构的计算集群。一旦登录，他可以根据自己在研究项目中的角色访问集群并使用资源：而时还可以使用他所在机构的资源和服务。 Bran的所在大学实施了什么来实现这一点？ A. 域堆叠 B. 联合身份管理 C.域嵌套 D.混合登录

8.将以下步骤按照它们在 Kerberos 认证过程中发生的顺序排列。 1. 生成客户端/服务器票证 2. 生成TGT （票据授予票证） 3.生成客户端/TGS（票据授予服务器）密钥 4. 用户访问服务 5. 用户提供认证凭据 A. 5,3,2,1,4 B. 5,4,2,1,3 C. 3,5,2,1,4 D.5,3,1,.2,4

9. 分散访问控制通常会导致什么主要问题？ A. 可能发生访问中断。 B. 控制不一致。 C.控制过于细粒度。 D.培训成本高。

10. 回拔到固定电话号码是哪种类型的身份验证因素的例子？ A. 你所知道的东西 B 你所在的地方 C. 你所拥有的东西 D. 你所是的东西

11. Kathleen 需要设置一个 Active Directory 信任关系，以允许与现有的 Kerberos K5 域进行身份验证。她需要创建哪种类型的信任关系？ A. 快捷信任(A shortcut trust) B. 林信任(A forest trust) C. 外部信任(An external trust) D.领域信任(A realm trust)

12. 以下哪种 AAA 协议是最常用的？ A. TACACS B. TACACS+ C. XTACACS D. Super TACACS

14 Windows系统上的用户无法使用发送消息功能。哪种访问控制模型最能描述这种限制 A. 最小权限 B. 需要知道 C.有限界面 D. 职责分离

15. 哪种类型的访问控制允许文件的所有者使用访问控制列表授予其他用户文件的访问权限？ A. 基于角色的 B. 非自主的 C. 基于规则的 D．自主的

16.Alex 的工作要求他查看受保护的健康信息 （PHI），以确保对患者的适当治疗。他对患者的医疗记录的访问权限不包括访问患者地址或账单信息。以下哪个访问控制概念最适合描述这种控制？ A. 职责分离 B. 受限接口 C.上下文相关控制 D.需要知道

对于问题 17-19，请根据您对Kerberos 登录过程的了解并参考下面的因表： 17 在图表中的A点，客户端特用户名和密码发送给KDC。 用户名和密码如何 受到保护？ A.3DES 加密 B. TLS 加密 C. SSL 加密 D.AES 加密 18. 在图表中的B点，在验证用户名有效后，KDC 向客户端发送了哪两个重要 元素？ A. 加密的 TGT 和公钥 B. 访问票据和公钥 C 加密的、带时间戳的TGT 和使用用户密码的哈希值加密的对称密钥 D 加密的、带时间戳的TGT 和访问令牌 19. 客户端在使用TGT 之前必须执行哪些任务？ A. 它必须生成 TGT 的哈希值并解密对称密钥。 B.它必须接受TGT 并解密对称密钥。 C 它必须解密 TGT 和对称密钥。 D.它必须使用对称密钥向 KDC 发送有效响应，并且必须安装 TGT。

20 sam正在计划在他的组织中实施生物特征验证系統，并考虑使用视网膜扫描，其他人在他組织中可能对视网膜扫描提出什么担忧？ A.视网膜扫描可能会揭示有关医学状况的信息。 B.视网膜扫描会因为需要对用户的眼睛进行一次气流喷射而带来痛苦。 C.视网膜扫描仪是最昂贵的生物特征设备类型。 D.视网膜扫描仪存在高误报率，会导致支持问题。

21. 强制访问控制基于哪种类型的模型？ A.自主访问控制 B. 基于组的访问控制 C.基于格的访问控制 D.基于规则的访问控制

22. Greg 希望控制在他组织中用作销售终端的 iPad 的访问权限。在共享环境中，他应该使用以下哪种方法来实现设备的逻辑访问控制？ A.对所有销售终端使用共享的PIN码，使它们更易于使用。 B. 使用OAuth 允许每个用户进行云登录。 C.为每个用户领发一个独特的PIN码，用于他们所使用的iPad。 D.使用 Active Directory 和用户账户来登录 iad，使用 AD 用户 ID和密码。

23. 提供身份使用的可追溯性的最佳方式是什么？ A. 日志记录 B 授权 C. 数字签名 D.类型1认证

24 Jim 在过去几年中在他的公司担任人力资源、工资和客户服务角色。他的公司应该执行以下哪种类型的流程，以确保他拥有适当的权限？ A. 重新配置 B. 账户审查 C.特权扩张 D.账户撤销

25.Biba 属于哪种类型的访问控制模型？ A. MAC B. DAC C.角色 BAC D. ABAC

26. 以下哪个是一个客户端/服务器协议，旨在允许网络访问服务器通过向中央服务器发送访问请求消息来对远程用户进行身份验证？ A. Kerberos B. EAP C. RADIUS D. OAuth

27.Henry 正在与Web 应用程序开发团队合作，为公司的新应用程序设计身份验证和授权过程。团队希望使会话 ID 尽可能安全。以下哪个不是Henry 应该推荐的最佳做法？ A. 会话ID令牌应可预测。 B. 会话ID 应具有至少64 位的熵。 C 会话长度应至少为 128 位。 D.会话ID应无意义。

28.Angela 使用一个嗅探器监视配置了默认设置的 RADIUS 服务器的流量。她应该监视哪个协议，并旦她将能够读取哪些流量？ A.UDP，无法读取任何流量。所有RADIUS 流量都被加密。 B.TCP.除了密码外，可以读取所有流量，密码被加密。 C.UDP. 除了密码外，可以读取所有流量，密码被加密。 D.TCP，无法读取任何流量。所有RADIUS 流量都被加密。

29. 哪种类型的访问控制最好描述了 NAC 的姿态评估功能？ A. 强制访问控制 B.基于风险的访问控制 C.自主访问控制 D. 基于角色的访问控制

30. 当应用程序或系统允许已登录用户执行特定操作时，这是什么的例子？ A. 角色 B. 组管理 C. 登录 D.授权

31. Alex 在公司工作了十多年，曾在公司担任多个职位。在一次审计中发现，他由于以前的职位而可以访问共享文件夹和应用程序。 Alex 的公司遇到了什么 问题？ A. 过度配置 B. 未经授权的访问 C.特权扩张 D 账户审查

32. Geoff 希望在组织中防止特权升级攻击。以下哪种做法最有可能防止横向特权升级？ A. 多因素身份验证 B. 限制组和账户的权限 C. 禁用未使用的端口和服务 D.对应用程序中的用户输入进行净化处理

33.Jim 的Microsoft Exchange 环境包括位于世界各地的多个业务办公室的本地 数据中心中的服务器，以及适用于不位于这些办公室之一的员工的 OFFice 365 部署。在这两个环境中创建和使用身份，并且在两者中都可以工作。Jim 正在运行哪种头型的联合系统？ A. 主要云系统 B. 主要本地系统 C.混合系统 D.多租户系统

34. 下表显示了哪种类型的访问控制方案？ A. RBAC B DAC C MAC D TBAC

35. Michelle 的公司正在将营销和传播部门拆分为两个独立的团队，创建一个新的部门。她希望创建能够为每个团队提供资源访问权限的角色。为了维持适当的安全性和权限，她应该怎么做？ A 将营销团队在现有现有的组中，因为它们将具有类似的访问要求。 B 保持营销团队在现有组中，并根据其特定需求创建一个新的传播组。 C 保持传播团队在现看组中，并根据其特定需求创建一个新的营销组。 D.创建两个新组，评估它们执行角色所需的权限，如果需要，添加额外的权限。

36. 当主体声明一个身份时，发生了什么过程？ A. 登录 B. 识别 C.授权 D.令牌呈现

37. 狗、守卫和围栏都是什么类型的控制的常见示例？ A. 检测型 B.恢复型 C.行政型 D.物理型

38.Susan 的组织正在更新密码策略，并希望使用最强大的密码。哪项密码要求对防止暴力破解攻击的影响最大？ A. 将最长使用时间从 1年更改为 180天。 B. 将最小密码长度从8 个字符增加到 16 个字符。 C.增加密码复杂性，要求至少三个字符类别（例如大写宇母、小写宇母、数宇和符号）。 D.保留至少四个密码的密码历史记录，以防止重复使用。

39. Alaina 正在执行定期计划的服务账户审查。她最关心以下哪种事件？ A. 服务账户的交互式登录 B. 服务账户的密码更改 C.对服务账户权限的限制 D.使用服务账户的本地操作

40. 在使用生物特征识别的组织中，何时可能选择允许更高的 FRR 而不是更高的 FAR? A.当安全性比可用性更重要时 B. 当由于数据质量问题不担心错误拒绝时 C. 当系统的 CER 未知时 D. 当系统的 CER 非常高时

41在最近有关工作改在工作时间以外未经授权访问的报告后，Derek被要來找到一种方法，确保维护人员不能登录到商务办公室的工作站。维护人员确实在他们的休息室和办公室中拥有组织的系统，因为他们仍然需要访问这些系统。为了满足这个需求，Derek 应该怎么做？ A要求多因素身份验证，只允许办公室员工拥有多因素令牌。 B.使用基于规则的访问控制，在工作区域的非工作时间禁止登录。 C. 使用基于角色的访问控制，设置一个包含所有维护人员的组，并为该组 赋予仅登录指定工作站的权限。 D.使用地理围栏，仅允许在维护区域登录。

42. Nick 想为他的 Web 应用程序进行会话管理。以下哪些是常见的 Web 应用程序会话管理技术或方法？（选择所有适用项。） A. IP 跟踪 B. Cookies C.URL重写 D.TLS令牌

对于问题 43-45，请使用您对 SAML 集成和安全架构设计的了解，并参考以下情景和图示：Alex 负责与一家为他的组织提供各种业务生产力服务的重要第三方合作伙伴进行 SAML 集成。 43.Alex 对 SAML 流量的窃听非常担心，并希望确保伪造的断言不会成功。为了防止这些潜在的攻击，他应该怎么做？ A. 使用 SAML 的安全模式提供安全认证。 B. 使用强密码套件实施 TLS，以保护免受这两种攻击。 C.使用强密码套件实施TLS，并使用数宇签名。 D.使用强密码套件实施 TLS 和消息哈希。 44. 如果 Alex 的组织主要由外部出差用户组成，将关键业务应用程序集成到现场身份验证中会产生什么可用性风险，他应该如何解决？ A. 第三方集成可能不可信；使用SSL 和数字签名。 B. 如果本地组织离线，出差用户将无法访问第三方应用程序；实施混合云，本地身份验证系统。 C.本地用户可能无法正确重定向到第三方服务；实施本地网关。 D浏览器可能无法正确重定向；使用主机文件以确保解决重定向问题。 45. 哪种解决方案可以最好地帮助解决步骤2 中所示的由第三方控制 SSO 重定 向的问题？ A.关于可信第三方的意识活动 B. TLS C.在本地站点处理重定向 D.实施IPS 以捕获 SSO 重定向攻击

46.Susan 被要求推荐她的组织应该使用 MAC 方案还是 DAC 方案。如果实施访问控制需要灵活性和可扩展性，她应该推荐哪种方案，为什么？ A. MAC， 因为它提供更大的可扩展性和灵活性，只需根据需要添加更多的 标签即可 B.DAC，因为允许各个管理员对他们控制的对象进行选择，提供可扩展性 和灵活性 C.MAC， 因为分区化非常适合灵活性，添加分区将使其具有良好的可扩展 性 D.DAC， 因为中央决策过程可以快速响应，并通过减少所需的决策数量和 将这些决策移至中央机构提供可扩展性和灵活性

47.以下哪种工具通常不用于验证按照确保组织安全策略的方式进行了配置的供应过程？ A.日志审查 B. 手动权限审查 C.基于签名的检测 D.审查审计跟踪记录

48.Jessica 需要向第三方组织发送有关她正在提供的服务的信息。她应选择哪种基于标准的标记语言来构建接口？ A. SAML B. SOAP C. SPML D. XACML

49. 在一次渗透测试中，克里斯恢复了一个文件，其中包含他试图访问的系统的散列密码。哪种类型的攻击最有可能针对哈希密码成功？ A. 暴力攻击 B.通过哈希值的攻击 C 彩虹表攻击 D 一个盐恢复攻击

50 谷歌与跨领域的各种组织和应用程序进行身份集成，是以下哪种情況的例子？ A. PKI B. 联邦 C. 单点登录 D. 供应

51.Amanda 开始新工作，并发现她可以访问各种她在工作中不需要的系统。她遇到了什么问题？ A. 权限蔓延 B. 杈限冲突 C.最小权限 D.权限过多

52. 当 Chris 验证一个人的身份并向身份系统添加一个唯一标识符，如用户 ID 时，发生了什么过程？ A. 身份验证 B. 注册 C. 目录管理 D.会话管理

53.Selah 希望为她组织的主要业务应用程序提供行为可追踪性。在这种情况下，最常用的控制措施是什么？（选择所有适用项。） A. 启用审计日志记录。 B. 为每个员工提供唯一帐户并启用多因素身份验证。 C. 启用基于时间和位置的登录要求。 D.为每个员工提供唯一帐户并要求自选密码。

54. Chariles 希望作为他的web 应用程序的一部分提供授权服务。如果他希望与其他web 身份提供者轻松集成，他应该使用哪个标准？ A. OpenID B. TACACS+ C. RADIUS D. OAuth

55 cameron所在的公司使用一种系统，允许用户在必要时请求对系统的特权访问。。Camneron 清求访问权限，由于他的角色，请求被预先批准。然后，他可以访问系统执行任务。完成后，权限被删除。他正在使用哪种类型的系统 A. 零信任 B. 联合身份管理 C. 单点登录 D.及时访问

56. Ene 负责构建一个银行网站。她需要验证注册网站的用户的身份。她应该加何验证用户的身份？ A. 要求用户创建只有他们知道的唯一问题。 B. 要求新用户亲自携带驾驶执照或护照到银行。 C.使用银行和用户都具备的信息，如从他们的信用报告中提取的问题。 D.投打用户注册的电话号码，以验证他们所声称的身份。

57.Susan 所在的组织是一个联合体的一部分，允许来自多个组织的用户访问其他联合站点的资源和服务。Susn想在合作伙伴站点使用服务时，使用哪个 身份提供者？ A. Susan 所在组织的身份提供者 B. 服务提供商的身份提供者 C. 他们的身份提供者和服务提供商的身份提供者 D.服务提供商创建一个新的身份

58.一家使用指纹扫描仪对用户进行身份验证的银行的新客户惊讶地发现，当他扫描他的指纹时，登录到了另一个客户的账户。发生了哪种类型的生物特征因素错误？ A. 注册错误 B. 一类错误 (A Type 1 error ) C.二类错误(A Type 2 error) D.使用时间、使用方法错误

59. 防火墙通常使用哪种类型的访问控制？ A.任意访问控制 B. 基于规则的访问控制 C.基于任务的访问控制 D.强制访问控制

60. 当您输入用户 ID 和密码时，您正在执行什么重要的身份和访问管理活动？ A.授权 B. 验证 C.认证 D. 登录

61.Katleen在一个提供物理数据中心空间给个人和组织的数据中心托管设施工作。直到最近，每个用户都会收到一张基于磁条的钥匙卡，用于访问其服务器所在的设施部分，他们还会收到一把钥匙，用于访问其服务器所在的笼子或机架。在过去的二个月里，有一些服务器被盗，但通行证的日志只显示有效的ID。为了确保通行证用户是他们应该是的人，keatnleen 最好的选择是什么？ A 添加需要通行证用户输入PIN 的读卡器， B.在设施中添加摄像系统，以观察谁正在访问服务器。 C.添加生物特征因素。 D.将基于磁条的钥匙卡替换为智能卡。

62 Theresa 希望允许她的员工安全地存储和管理系统的密码，包括服务账户和其他很少使用的管理凭证。她应该实施哪种类型的工具来实现这一目标？ A. 单点登录 B. 联合身份系统 C.密码管理器 D. 多因素认证系统

63.Olivia 想限制用户可以通过 sudo 运行的命令，以减少权限提升攻击的可能性。她应该修改哪个 Linux 文件来实现这一目标？ A.bash 的.bin 配置文件 B.sudoers 文件 C. bash 的.allowed 配置文件 D.sudont 文件

64. MAC 模型中哪些对象和主体具有标签？ A. 被分类为机密、机密或绝密的对象和主体具有标签。 B.所有对象都有一个标签，所有主体都有一个隔室。 C.所有对象和主体都有一个标签。 D. 所有主体都有一个标签，所有对象都有一个隔室。

对于问题 65-67， 请参考以下情景和图表： Chris 是一个不断发展的电子商务网站的身份架构师。他和他的团队打算利用社会身份，允许用户使用他们现有的Google 账户作为在电子商务网站上的主要账户。这意味着当新用户最初连接到电子商务平合时，他们可以选择使用他们的Google 账户（使用 OAuth 2.0）或者使用自己的电子邮件地址和自己选择的密码在平合上创建一个新账户。 65. 当电子商务应用程序为 Google 用户创建一个账户时，该用户的密码应该存 储在哪里？ A．密码存储在电子商务应用程序的数据库中。 B.密码存储在电子商务应用程序服务器的内存中。 C.密码存储在 Google 的账户管理系统中。 D．密码不会被存储；相反，一个经过盐哈希处理的值会被存储在 Google 的账户管理系统中。 66. 以下哪项负责对 Google 用户进行用户认证？ A. 电子商务应用程序。 B. 既有电子商务应用程序，也有Google 服务器。 C. Google 服务器。 D.图表没有提供足够的信息来确定这一点。 67. 创建和交换状态令牌的目的是为了防止哪种类型的攻击？ A. XSS B. CSRF C. SQL注入 D. XACML

68.一你的宠物叫什么名字？这样的问题展于哪种类型的身份验证？ A. 基于知识的认证 B.动态基于知识的认证 C. 带外身份验证 D.第三种身份验证因素

69. Madhuri 创建了一张包含已分配特权、对象和主体的表格，用于管理她负责的系统的访问控制。每当一个主体试图访问一个对象时，系统会检查该表格以确保主体具有适当的对象权限。Madhuri 正在使用什么类型的访问控制系统？ A. 能力表 B. 访问控制列表 C.访问控制矩阵 D.主体/对象权限管理系统

70. 在审查支持票证时，Ben 的组织发现密码更改占其帮助案例的四分之一以上。以下选项中，哪个最有可能显著减少这个数宇？ A. 双因素认证 B. 生物识别认证 C. 自助式密码重置 D.密码短语

71. Brian 所在的大型组织多年来一直使用 RADIUS 提供网络设备的AAA服务。 并最近意识到在认证过程中传输的信息存在安全问题。Brian 应该如何为 RADIUS 实施加密？ A. 使用 RADIUS 中内置的加密功能。 B.使用TLS 在其本机 UDP 上实现 RADIUS,以提供保护。 C. 使用TLS 在TCP 上实现 RADIUS.以提供保护。 D.在设备之间使用 AES256 预共享密码。 。

72 jim允许基于云的应用程序代表他访问其他网站上的信息。以下哪种工具可以实现这一点？ A. Kerberos B. OAuth C.OpeniD D. LDAP

73.Ben 的组织在午餐时间员工不在座位时出现了 未经授权访问应 用程序和工作站的问题。对于 Ben 推荐的最佳会话管理解決方案是什么，以帮助防止这种类型的访问？ A 对所有访问使用会话ID，并验证所有工作站的系统IP地址 B.为应用程序设置会话超时，并在工作站上使用密码保护的屏幕保护程序，并设置不活动超时。 C 对所有程序使用会话ID，并在工作站上使用密码保护的屏幕保护程序序。 D.为应用程序设置会话超时，并验证所有工作站的系统IP 地址。

74 以下图表展示了哪种类型的身份验证场景 A. 混合联合 B. 在场联合 C.云联合 D. Kerberos 联合

75. Chris 希望在控制对设施的访问的同时识别个人。他还希望确保这些个人被准许进入的人，而且不希望有重大的持续成本。以下选项中的哪些解决方案将满足所有这些要求？（选择所有适用项。） A. 安保人员和照片身份证 B. 带有PIN码键盘的 RFID 徽章和读卡器 C. 带有PIN码键盘的磁条徽章和读卡器 D.安保人员和磁条读卡器

76. 像Yubikey 或 Titan Security key 这样的设备属于哪种类型的第2认证因素？ A. 令牌 B.生物识别标识符 C.智能卡 D. PIV

77. 与OAuth 配对可以使用 RESTful API 进行身份验证和获取用户配置文件信息的身份验证技术是什么？ A. SAML B. Shibboleth C. OpenID Connect D. Higgins

78.Jim希望实施一种访问控制方案，以确保用户不能委派访问权限。他还希望在操作系统级别执行访问控制。哪种访问控制机制最符合这些要求？ A. 基于角色的访问控制 B. 自主访问控制 C.强制访问控制 D.基于属性的访问控制

79.Susan 所在公司的安全管理员已经配置了她使用的工作站，只允许她在工作时间登录。最能描述这种限制的是哪种类型的访问控制？ A. 受限接口 B.上下文相关控制 C.内容相关控制 D.最小特权

80.Ben 使用的是每分钟更改一次代码的基于软件的令牌。他使用的是哪种类型的令牌？ A. 异步 B. 智能卡 C.同步 D.静态

81. 防火墙是哪种类型的访问控制机制的例子？ A. 强制访问控制 B. 基于属性的访问控制 C.自主访问控制 D. 基于规则的访问控制

82.Michelle 在一家金融服务公司工作，希望为她的web 应用程序注册客户。 如果她希望在初始登录时快速自动验证该人是否为其所声称的人，而不必与其建立先前的关系，她可以使用什么类型的身份验证机制？ A. 要求其社会安全号码。 B. 使用基于知识的身份验证。 C.执行手动身份验证。 D.使用生物识别因素。

83 Megan 的公司希望使用 Google帐户让用户快速采用其 Web 应用程序。 Megan 需要实施哪些常见的云联合技术？（选择所有适用项） A. Kerberos B. OpeniD C. OAuth D. RADIUS

84. 会话ID 的长度和会话ID 的嫡对于防止哪种类型的攻击至关重要？ A. 拒绝服务 B. Cookie 盗取 C. 会话猜测 D. 中间人攻击

85. Naomi 所在组织的访问控制系统在允许她连接到网络之前，会检查她的计算机是否完全打补于，是否进行了成功的反恶意软件扫描，以及防火墙是否打开等其他安全验证。如果存在潜在问题，她将被禁止连接并必须联系支持部门。最能描述这种类型过程的是哪种类型的访问控制方案？ A. MAC B. 基于规则的访问控制 C.基于角色的访问控制 D．基于风险的访问控制

86. lsabelle 希望通过其组织的服务账户防止特权升级攻击。以下哪种安全实践 最适合这种情况？ A. 移除不必要的权限。 B 禁用服务账户的交互式登录。 C. 限制账户登录时间。 D.使用无意义或随机化的服务账户名称。

87. 允许OpenlD 依赖方控制与 OpeniD 提供方的连接会产生什么危险？ A. 可能导致选择不正确的 OpenlD 提供方。 B. 通过向虛假的 OpenID 提供方发送数据，可能导致钓鱼攻击。 C.依赖方可能能够窃取客户的用户名和密码。 D. 依赖方可能不会发送已签名的断言。

88. Jim 正在为他的组织实施一种云身份解决方案。他正在采用哪种类型的技术？ A. 身份作为服务 B. 员工身份作为服务 C.基于云的 RADIUS D. OAuth

89.Kisten希望根据员工的职位、每个职位组需要的应用程序权限、时间和位置来控制对组织中的一个应用程序的访问。她应该选择哪种类型的控制方案？ A 属性基准访问控制 (ABAC) B.自主访问控制 (DAC) C.强制访问控制 (MAC) D.角色属性基准访问控制 (Role BAC)

90,Alex 作作为Linux 服务器上的许多用户设置下面图表中显示的权限时，他正在利用哪种类型的访问控制模型？ $ chmod 7313 al $ 1s -la total 12 drwxr-xr-x 3 root drwxr-xr-x 3 root A. 基于角色的访问控制 B. 基于规则的访问控制 C.强制访问控制 (MAC) D. 自主访问控制 (DAC)

91.Joanna 领导她所在組织的身份管理因队，并希望确保在员工变动到新职位时，角色得到更新。她应该关注员工的哪个问题，以避免出现角色定义方面出现问题？ A. 注册 B.权限蔓延 C. 废止 D.账户责任

92下图显示的是哪种类型的授权机制？ A. 基于角色的访问控制 (RBAC) B. 属性基准访问控制 (ABAC) C.强制访问控制 (MAC) D.自主访问控制 (DAC)

93. Susan 正在解决Kerberos 身份验证问题，其中包括 TGT （票据授予票）不被接受为有效票据，“以及无法获取新票据。如果她正在解决的系统已经正确配置了Kerberos 身份验证，她的用户名和密码是正确的。她的网络连接正常，可能的问题是什么？ A.Kerberos 服务器离线。 B. 存在协议不匹配。 C．客户端的 TGT 被标记为受损和未授权。 D Kerberos 服务器和本地客户端的时间时钟未同步。

94. Brian 希望向组织的管理层解释本地联合身份的好处。下列哪个选项不是联合身份系统的常见好处？ A. 简化帐戶管理 B. 单点登录 C. 防止暴力攻击 D.提高生产力

95.Aaron 所在的银行希望允许客户使用与其合作的第三方合作伙伴提供的新附加应用程序。由于不是每个客户都希望或需要账户，Aaron 建议银行使用基于 SAML 的工作流程，当用户下载应用程序并尝试登录时，创建一个账户。他建议使用哪种类型的配置系统？ A. 即时配置 (JIT) B. OpeniD C. OAuth D. Kerberos

96.Windows 默认使用哪种身份验证协议用于 Active Directory 系统？ A. RADIUS B. Kerberos C. OAuth D. TACACS+

97.Valerie 需要控制在BYOD 环境中部署到移动设备的应用程序的访问。哪种类型的解决方案最能让她对应用程序行使控制，同时确保它们不会在终端用户使用的设备上留下残留数据？ A. 将应用程序部署到 BYOD 设备并要求每个设备使用唯一的PIN。 B 已将应用程序部暑到桌面系统，并要求用户使用远程棠面使用企业认证来访问它们。 C.使用应用程序容器将应用程席部署到 BY0D 设备，并要求每个设备使用唯一的PIN。 D.使用虛拟托管应 用程序环境，需要使用企业凭据进行身份验证。

98. 将以下授权机制与其描述进行匹配： 1. 基于角色的属性基准访问控制 (Role-BAC) 2. 基于规则的属性基准访问控制 (Rule BAC) 3.自主访问控制 (DAC) 4. 属性基准访问控制 (ABAC) 5. 强制访问控制 (MAC) A. 由操作系统强制执行的访问控制模型。 B. 根据IP地址、时间或其他特定细节匹配要求来授予权限或权利。 C.有时称为基于策略的访问控制，该模型使用有关主体的信息来分配权限。 D.一种模型，授予具有适当权限的主体将这些权限分配或传递给其他主 E. 用于基于工作或职能分配权限。

99. 将数字认证技术与相应的类别进行匹配。每种技术应与一个类别匹配。每个类别可以使用一次、多次或不使用。 认证技术 1. 密码 2.ID卡 3. 视网膜扫描 4. 手机令牌 5. 指纹分析 类别： A. 拥有的东西 B. 知道的东西 C. 是的东西

100. 将以下身份和访问控制与其最适合保护的资产类型进行匹配。每个选项只能选择一次。 1.信息资产 2.系统 3. 移动设备 4. 设施 5. 合作伙伴应用程序 A.自主访问控制 B.门禁读卡器 C.联合身份管理 D．生物识别身份验证 E. 带有多因素认证的用户帐户