1.在为灾备中心选址时，影响最小的因素是？ A．经过飞机航线的区域 B．所在地区的犯罪发生率 C．易受台风影响的区域 D．周边的建筑和商业情况

2.由数据所有者授予其他用户对数据的访问权限的访问控制方式是？ A.强制访问控制 MAC B.自主访问控制 DAC C.非自主访问控制 NDAC D.基于角色的访问控制 RBAC B

3.为了保护隐私数据，对数据元素进行替换的方法是？ A.字段级加密 field level encryption B.行级数加密row level encryption C.批量数据哈希batch hash D.数据标记化data tokenization D

4.当改变明文中的某一位时，密文中的多处会随之改变，这一特性是？ A．随机 Randomization B．扩散 Diffusion C．混淆 Confusion D．离散 Discrete D

5.在进行系统漏洞扫描时发现，有些通信端口在未授权的情况下被打开了。系统很可能是遭到了哪种攻击？ A.SYN洪泛攻击 B.暴力破解 C.端口扫描 D.木马 D

6.新雇佣的员工在登陆应用程序系统时使用了共享账号，这违反了公司政策。以下哪种方法能够最有效地控制此问题？ A. 监测访问控制 B. 对用户进行安全意识培训 C. 将责任分配到部门主管 D. 对IT人员进行培训

7.在审查入侵检测日志时，发现有些来自互联网的通信，其IP地址显示为公司工资服务器。以下哪项恶意活动最可能导致这类结果？ A．拒绝服务 (DoS) 攻击 B．端口扫描 C．中间人攻击 D．欺骗 (spoofing) D 8.在客户机／服务器架构中的“相互验证”指的是？ A.服务器和服务器之间的交叉验证 B.客户端和服务器端建立连接时的三次握手 C.客户端一旦被服务器端验证，则客户端可以访问系统内其他的资源 D.服务器端验证客户端，客户端验证服务器端 D 9.在物理访问控制中使用电子访问控制令牌的主要优点是？ A.在紧急情况下能自动锁定 B.可以监控门窗的打开情况 C.当检查到入侵时会自动触发报警 D.克服了钥匙管理问题 D 10.要防止IP地址欺骗攻击 (IP spoofing) ，应将防火墙配置为丢弃以下哪类数据包？ A．启用源路由字段的数据包。 B．在目标字段中拥有广播地址的数据包。 C．开启TCP连接的复位标记的数据包。 D．用动态路由替代静态路由的数据包。 A 11.通信网络中链路加密的特点是？ A．仅加密用户信息，不加密数据包头部、尾部、地址和路由信息 B．数据包在每一跳都进行解密，因此有更多脆弱点 C．加密发生在应用层 D．密钥分发和管理相对简单 B

12.HAL硬件抽象层属于： A.网络硬件 B.系统硬件 C.系统软件 D.应用软件 C

13.通过识别异常行为来检测病毒的防病毒软件属于： A.特征型 B.启发型 C.推理型 D.归纳型 B

14.某家安全要求极高的组织正在配置生物识别系统，以下哪一项性能指标最重要？ A．低错误接受率 (FAR) B．低错误拒绝率 (FRR) C．低相等错误率 (EER) D．低误判率 (FIR) C 15.攻击者最有可能通过以下哪一项获得对系统的特权访问？ A.包含敏感信息的日志 B.包含系统调用的日志 C.写系统资源的程序 D.写用户目录的程序 D 16.当程序在特权模式下运行时面临的风险是？ A.可能执行恶意代码 B.破坏了职责分离 C.不必要的代码复杂性 D.不必要的进程隔离 B 17.业务连续性管理中，在完成了业务影响分析(BIA)之后，紧接着要做的是？ A.将BIA的结果报告给管理层，以获得业务连续性项目资金 B.识别并选择恢复策略 C.准备测试计划，测试灾难恢复能力 D.进行风险评估与分析 A

18.以下哪一项除了能进行传统的开机加密以及对硬盘加密外，还能对系统登录、应用软件登录进行加密？ A.可信赖平台模块 (TPM) B.密钥分发中心 (KDC) C.因特网协议的简单密钥管理 (SKIP) D.预启动执行环境 (PXE) A 19.SYN洪泛攻击发送的连接请求中使用了别人的有效地址，收到攻击的系统会将大量应答包发向哪里？ A.攻击者的地址 B.受攻击的本地系统 C.指明的源地址 D.默认的网关 C 20.审计计划的关键成功因素是？ A.识别已实施的安全控制 B.定义需要审计的范围 C.获得未合规系统的证据 D.与系统所有者一起分析新的控制 B 21.在采购第三方开发的软件时，以下哪一项可以提供更好的软件开发质量保障？ A.客户和供应商的重叠代码评审 B.在合同中明确知识产权保护条款 C.确保供应商参加开发计划会议 D.给供应商提供隔离的开发环境 A 22.系统管理员在进行渗透测试时发现，组织内的所有人都可以对一台存有敏感数据的服务器进行未授权访问时，他应该采取的行动是？ A.使用系统特权，修改对服务器的访问许可 B.立即记录该发现并报告给管理层 C.继续进行测试并在测试完成时报告IT管理层 D.终止渗透测试并将发现转交给服务器管理团队 B

23.在多级安全系统中，4个用户A、B、C、D的安全许可分别是：限制、机密、秘密、绝密，4个文件1、2、3、4的安全分级分别是限制、机密、秘密、绝密。 按照BLP 星规则，哪一个用户的写权限最受限制？ A.用户A B.用户B C.用户C D.用户D

24.类似于Kerberos依赖于KDC，SAML依赖于: A.TGS (Ticket Granting Server) B.IDP (Identity Provider) C.AS (Authentication Server) D.PAS (Privileged Attribute Server) B

25.以下哪一项是应对蛮力攻击的有效对策？ A.减少并发的用户会话数量 B.加强初始密码的分发控制 C.定期更新所有系统的登录口令 D.在登录系统失败后加入延时 C 26.不需要使用真正的病毒就能判断一个系统是否能够识别恶意代码的方法是？ A.安装多种防病毒软件 B.使用EICAR文件进行测试 C.使用ITF集成测试设施 D.使用僵尸网络进行测试 B 27.审计人员发现关键系统的一项安全控制中存在漏洞，最有可能导致这一问题的是？ A．安全指南的文档不全面 B．缺乏安全基线 C．基于主机的入侵防御系统存在缺陷 D．安全补丁没有及时更新 B

28.一个业务应用系统的业务用户可以执行业务功能，但不能执行管理功能，应用的维护管理员可以执行管理功能但不能执行业务功能，这属于： A．职责分离 B．最小授权 C．基于规则的访问控制 D．自主访问控制 A

29.定期评审审计日志的最佳理由是？ A.监控员工的工作效率 B.满足合规要求 C.识别异常的使用模式 D.验证日志运作良好 C 30.在应用程序的运维过程中，建立软件组件的初始基线依赖于： A.安全审计规程 B.软件补丁规程 C.配置控制规程 D.应用监控规程 C

31.确定保护静态数据是否有恰当的安全控制保护的第一步是？ A．识别法规要求 B．执行风险评估 C．评审安全基线配置 D．评审之前的审计报告 32.数据保留策略的主要目的是？ A.确保数据在预定的一段时间内的可用性和机密性 B.确保数据在预定的一段时间内的可用性和完整性 C.确保数据在预定的一段时间内的完整性和机密性 D.确保数据在预定的一段时间内的完整性、机密性和可用性 33.OSI的哪一层负责在通信网络上传输二进制数据？ A.物理层 B.数据链路层 C.网络层 D.传输层 A 34.使用DNS安全扩展 (DNSSEC)对记录进行签名的主要目的是？ A.机密性 B.完整性 C.可用性 D.可问责

35.对信息系统(IS)进行脆弱性测试的目的是？ A.利用IS的安全弱点 B.为DRP做准备 C.衡量安全控制薄弱的系统的性能 D.评价安全控制的有效性 D 36.以下哪一项说明生物识别身份验证遭到了重放攻击？ A.误接受率非常高 B.误拒绝率非常高 C.样本数量不充分 D.完全匹配 37.在虹膜验证过程中，以下哪一项用于识别和验证？ A.获得的眼底血管纹理的数据和之前存储的样本数据的比对 B.获得的细节模版和之前储存的样本模版的比对 C.获得的瞳孔的尺寸大小数据和之前样本的比对 D.计算的哈希值和预存于数据库中的数据的比对 B 38.当在组织异构的网络端点实施控制时，关键的一点是？ A．用户可以修改他们的安全软件配置 B．主机可以建立网络通信 C．运行在各个主机上的防火墙可由用户定制 D．所有主机上都实施了常用的软件安全组件 D 39.以下哪一项安全机制提供了限制执行特权活动的最佳方法？ A.生物识别访问控制 B.基于角色的访问控制 C.应用加固 D.联合身份管理

40.SSO不仅仅用于Web应用程序，它可用于任何类型的应用程序，只要有安全地传送身份信息的协议。这种通信方式的开放标准是: A.基于TLS的HTTP (HTTPS) B.标准通用标记语言 (SGML) C.安全断言标记语言 (SAML) D.可扩展标记语言 (XML) 41.识别数据泄漏的最大挑战是： A.对相关疑问的理解依赖于法律执行 B.高级管理层在调查可疑行为时的配合 C.文档化的资产分级策略和清晰地为资产赋予标签 D.对用户活动进行监控的可用技术工具 C 42.以下哪项最容易导致web应用相关的安全事件： A.第三方应用和变更控制 B.系统不兼容和补丁管理 C.不恰当的压力测试和应用接口 D.系统管理和操作系统 A 43.传输模式下的封装安全载荷(ESP)的作用是？ A.加密和可选择验证整个IP包 B.加密和可选择验证IP头部，而不是IP载荷 C.加密和可选择验证IP载荷，而不是IP头部 D.验证IP载荷及选择的部分IP头部 44.EAP-TTLS和EAP-TLS的主要区别是，EAP-TTLS： A.使用了Kerberos验证 B.只要求服务器端的数字证书 C.只要求客户端的数字证书 D.服务器端和客户端都需要数字证书 45.使用明文发送凭证的验证方法是： A.PAP口令验证协议 B.CHAP挑战握手身份验证协议 C.PEAP 保护的可扩展验证协议 D.EAP-TLS 可扩展验证协议-传输层安全 A 46.能用于创建数字签名的算法是？ A.DES B.DSA C.Diffie-Hellman D.IDEA B 47.渗透测试“枚举”之后是哪个阶段： A.发现 B.侦查 C.漏洞勘探 D.漏洞利用 C 48.关系型数据库管理系统，实现参照完整性主要依赖于对以下哪一项的约束？ A.主键 B.外键 C.候选键 D.Null 空值 B 49.为了防止因网络钓鱼而造成的非授权访问银行网银系统，最应该做的是什么? A.强身份验证 B.使用数字证书 C.安全意识培训 D.落实安全基线 C 50.L2TP隧道协议使用了何种加密？ A.MPPE B.RC4 C.IDEA D.L2TP不提供任何加密功能 D

51.关于测试，以下哪项风险最大？ A.在运行环境中测试 B.使用大量异常数据测试，导致系统崩溃 C.没能有效测试出程序中隐含的后门 D.在测试环境里用精确复制的生产数据

52.威胁建模STRIDE模型中的R代表了哪种威胁？ A.Reuse 重用 B.Revoke 注销 C.Replay 重放 D.Repudiation 抵赖 D 53.51％攻击针对的是： A.数字证书 B.消息验证码 C.数字签名 D.区块链网络 D 54.如何最好地利用从业务连续性培训和实际恢复事件中吸取的经验教训？ A.作为政策需求的指标 B.作为改进的手段 C.作为提高认识和培训的备选方案 D.作为业务功能差距指标 B 55.应用程序升级将随机生成的会话密钥替换为与后端服务器通信的基于证书的加密，其最大好处是什么？ A.效率 B.机密性 C.隐私 D.不可抵赖性 D

56.安全操作中心(SOC)在服务器上接收到事件响应通知，有一个活跃的入侵者设下了后门。已发送初始通知。在执行下一步之前，必须考虑或评估什么？ A.确定谁是事件的执行者比事件如何发生更重要 B.在散列服务器硬盘内容之前，必须通知执法部门 C.将硬盘上的内容复制到其他存储设备可能会损坏证据 D.从网络中移除服务器可能会妨碍抓获入侵者 57.安全策略和安全程序之间的主要区别是什么？ A．政策被用来强制执行违规行为，而程序会产生惩罚 B．政策指向指南，程序更具契约性 C．政策包括在意识培训中，程序提供指导 D．策略本质上是通用的，过程包含操作细节

58.以下哪一个模型基于完整性级别的晶格(lattice)？ A．Bell-LaPadula模型 B．Biba模型 C．取-予模型 D．Harrison-Ruzzo模型 B 59.检测编程语言中最常见的不正确初始化问题的最佳方法是什么？ A．通过确保任何数字输入在预期范围内，对任何数字输入执行输入验证 B．使用数据流分析来最小化误报的数量 C．使用并指定强字符编码 D．使用自动静态分析工具 60.通常情况下风险评估的执行间隔是多久？ A．持续执行 B．各个业务流程和子流程每年一次 C．关键业务流程每三至六个月一次 D．每年一次或出现重大变更时执行 61.以下哪一项能定期保存应用程序的状态和用户的信息。如果应用程序出现小故障，它拥有的必要的工具会帮助用户重回工作环境而不丢失数据？ A.Disk mirroring 磁盘镜像 B.Check point 检查点 C.Data dictionary 数据字典 D.Gold master 母盘 62.组织需要一个外包服务商，为满足合规要求，应该要做： A. 尽职关注 B. 尽职勤勉 C. 第三方托管 D. 独立审计 63.一个小型销售机构，一个中心多个分支，中央主服务器每小时接收从分支主服务器过来的数据，一个团队负责DRP，因灾难原因，一个或多个分支服务器和中央主服务器被损坏，哪种数据恢复方式最好？ A. 主冗余服务器放在异地 B. 中央主服务器数据存储到磁带，存放于异地 C. 分支服务器数据存储到磁带，存放于异地 D. 分支服务器和中央主服务器实现集群 64.关于(ISC)2道德，以下哪个做法是不道德的： A.获得证书后，为熟识的申请人背书 B.应聘面试时，向面试官出示过期的证书 C.考试时记住了一些考题，回到家中翻书对答案 D.证书已过期，在邮件签名栏仍然使用CISSP标识 D 65.数据分级的第一步是: A. 生成数据字典 B. 数据估值 C. 识别数据所有者 D. 风险评估

66.一单位弱电间和保洁公用，机架上用不同颜色标识了线缆用途，也没有配备UPS，问应该怎么做: A. 申请弱电间专用 B. 申购UPS C. 与保洁员签订保密协议 D. 风险评估 D 67.工控系统漏洞不能及时修复的原因: A. 一些纠正型的修复程序会影响其性能 B. 因为厂家无法测试修复程序的可靠性 C. 工控设备非常可靠，即使不修复补丁也能正常运行 D. 企业对于工控补丁测试所需要的资源无法做出承诺 D 68.验证头协议 (AH) 不能提供： A．数据完整性 B．数据机密性 C．数据源验证 D．免受重放攻击的保护 B 69.哪种是交互的验证： A．锁定功能 B．密码重置 C．口令短语 D．图形验证码 D 70.以下哪一项关于SDN软件定义网络的描述是错误的 A. OpenFlow协议是构建SDN解决方案的基础元素 B. SDN技术能够有效降低设备负载，协助网络运营商更好地控制基础设施，降低整体运营成本 C. SDN将络设备的控制面与数据面耦合，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能 D. SDN是一种动态、可管理、经济高效且适应性强的体系结构，非常适合应用的高带宽、动态需求 C 71.以下哪种数据中心服务于企业公司并提供以下服务： ·每年 99.995% 的正常运行时间 ·2N+1 完全冗余的基础架构 ·96小时断电保护 ·每年 26.3 分钟的停机时间。 A. Tier 1 data center B. Tier 2 data center C. Tier 3 data center D. Tier 4 data center D

72.根据欧盟的通用数据保护条例 (GDPR)，如果发生个人数据泄露，以下哪些类型的信息不需要通知监管机构？ A. 假名化数据。 B. 匿名化数据。 C. 去标识的数据 D. 重新标识的数据 73.基于角色的访问控制 (RBAC) 的核心组件必须由定义的数据元素构成。需要哪些元素? A.用户、权限、操作和受保护对象 Users, permissions, operations, and protected objects B.角色、帐户、权限和受保护对象 Roles, accounts, permissions, and protected objects C.用户、角色、操作和受保护对象 Users, roles, operations, and protected objects D.角色、操作、帐户和受保护对象 Roles, operations, accounts, and protected objects 74.如果组织需要评估财务报告的内部控制的设计是否有效，则应请求以下哪种服务组织控制 (SOC) 报告类型？ A. SOC 1 类型 1 B. SOC 1 类型 2 C. SOC 2 类型 1 D. SOC 2 类型 2

75.“基于设计的隐私” (缩写为 PbD) 包含旨在确保个人数据隐私，同时让用户更好地控制他们的个人信息的7项原则。以下哪一项不是其中之一？ A.主动而非被动，预防而非补救 B.嵌入风险管理的隐私保护 C. 完整的功能 — 正和，而不是零和 D. 可见性和透明度 — 保持开放 B 76.以下哪一项不属于 软件定义边界 (SDP) 的ABCD基本原则之一： A不假设任何事 (Assume nothing) B不相信任何人 (Believe nobody) C检查所有内容 (Check everything) D默认拒绝 (Default Deny) D

77.以下哪项是对数据保密性的最大风险？ A. 未实施网络冗余 B. 安全意识培训未完成 C. 生成的备份磁带未加密 D. 用户具有管理员权限 78.以下哪一项是开发信息安全管理体系时的首要考虑因素？ A. 确定相关的立法和监管合规要求 B. 了解信息资产的价值 C. 确定管理层可以容忍的残余风险水平 D. 确定适用于组织的合同安全义务 79.以下哪种灭火方法对环境友好且适合数据中心？ A. 惰性气体灭火系统 B. 哈龙气体灭火系统 C. 干管式洒水器 D. 湿管式洒水器 80.一段插入软件以触发恶意功能的代码，这是以下哪一项的定义？ A. 网络钓鱼 B. Salami攻击 C. 后门 D. 逻辑炸弹 D 81.建立记录保留计划(program)所需的第一步是什么？ A. 根据敏感性对记录进行分级 B. 识别和清点所有记录存储位置 C. 识别和清点所有记录 D. 起草记录保留政策

82.一个组织正在考虑将应用程序和数据外包给云服务提供商 (CSP)。以下哪一项是关于隐私的最重要的问题？ A. CSP 确定数据重要程度 B. CSP 提供端到端的加密服务 C. CSP 的隐私政策可能由组织制定 D. CSP 可能不受组织所在国家/地区法律的约束 D 83.在实现以下哪项的过程中，私钥和公钥的使用至关重要？ A.Diffie-Hellman算法 B.安全套接字层 (SSL) C.高级加密标准 (AES) D.信息摘要5 (MD5) B 84.要识别系统攻击，必须具备以下哪项条件？ A.状态防火墙 B.分布式防病毒 C.日志分析 D.被动蜜罐 C 85.如果组织未能履行尽职调查，缺少以下哪项选项可能会对组织的声誉、收入造成负面影响，并导致法律诉讼？ A.威胁建模方法 B.服务水平要求 (SLR) C.服务水平协议 (SLA) D.第三方风险管理 D 86.以下哪种模型使用唯一冲突类中包含的唯一组？ A. 中国墙 Chinese Wall B. 贝尔·拉帕杜拉 Bell-LaPadula C. 克拉克·威尔逊 Clark-Wilson D. 比巴 Biba A 87.实施数字签名时存在以下哪项威胁？ A. 欺骗Spoofing B. 替代 Substitution C. 窃听 Eavesdropping D. 内容篡改 Content tampering C 88.对 syslog 服务器的拒绝服务 (DoS) 攻击利用了以下哪些协议的弱点？ A. 点对点协议 (PPP) 和互联网控制消息协议 (ICMP) B. 传输控制协议 (TCP) 和用户数据报协议 (UDP) C. 地址解析协议 (ARP) 和反向地址解析协议 (RARP) D. 传输层安全 (TLS) 和安全套接字层 (SSL) B

89.以下哪一项是隐蔽安全测试的特征？ A. 比公开测试带来的风险更小 B. 专注于识别漏洞 C. 测试和验证组织中的所有安全控制 D. 测试员工对组织安全政策的了解和实施情况 C

90.哪种访问控制方案使用细粒度规则来指定授予对每个数据项或应用程序的访问权限的条件？ A. 强制访问控制 (MAC) B. 自主访问控制 (DAC) C. 基于角色的访问控制 (RBAC) D. 基于属性的访问控制 (ABAC) D 91.关于COTS(Commercial-Off-The-Shelf)商用现成品或技术，以下哪一项是正确的描述： A.可以采购到的具有开放式标准定义的接口的软件或硬件产品，可以节省成本和时间。 B.供应商提供的现成的商业软件，用于可用性较高的工业控制环境 C.供应商根据企业的具体情况，具体要求而定制开发的软件。 D.美国国防采办项目要求必须使用国防部颁布的军用标准与军用规范。 A 92.一种安全技术，它构建或链接到应用程序或应用程序运行时环境中，能够控制应用程序的执行、检测和防止实时攻击。这指的是以下哪一项？ A. 静态应用程序安全测试 SAST (Static Application Security Testing) B. 动态应用程序安全测试 DAST (Dynamic Application Security Testing) C. 交互式应用程序安全测试 IAST (Interactive Application Security Testing) D. 运行时应用程序安全保护RASP (Runtime application self-protection) D

93.TLS用来实现在不可信的网络上安全传输的协议。下面哪项最好的描述了在TLS连接建立流程上发生的情况？ A. 服务器创建会话密钥，并用客户公钥进行加密； B. 服务器创建会话密钥，并用服务器私钥进行加密； C. 客户端创建会话密钥，并用客户端私钥进行加密； D. 客户端创建会话密钥，并用服务器公钥进行加密； 94.一个大型组织使用唯一的身份标识，并要求他们在每次系统会话的开始时使用。应用程序访问是基于工作职责的分类。该组织定期对访问控制和违规进行独立的审核。该组织使用了有线和无线网络，以及远程访问。该组织还使用了到分支机构的安全连接，以及针对某些选择的信息和流程实施安全的备份和恢复策略。 按照最佳实践，在实施恢复策略时，下面哪个是选择备用站点最重要的考虑因素： A. 备用站点需要具备和主站点相同的处理能力 B. 在各分支机构间实现互惠协议以降低成本 C. 充分利用已有的网络安全连接，确保备用站点的网络可用性 D. 备用站点和主站点要间隔足够的距离以避免受到相同灾难的影响 95.RAID系统的不同级别控制不同类型的容错活动。哪一个级别是块级的奇偶校验？ A. RAID 0 B. RAID 3 C. RAID 5 D. RAID 10 C 96.有一些攻击可以用来攻击智能卡。下面哪个不是旁路攻击？ A. 差分功率分析 Differential power analysis B. 简单功耗分析 Simple power analysis C. 微探测分析 Microprobing analysis D. 时序分析Timing analysis C

97.以下哪项最有助于减少数据库中重复和不一致的数据？ A. 多态性 B. 范式化 C. 实施数据库视图 D. 去范式化 B 98.关系型数据库中元组(tuple)由主键值唯一确定，指的是？ A. 并发完整性 Concurrent integrity B. 参照完整性 Referential integrity C. 实体完整性 Entity integrity D. 语义完整性 Semantic integrity C

99.下面哪项关于引用监控器和安全内核的关系的描述是正确的？ A.引用监控器是可信计算基 (TCB) 的核心，由安全内核组成 B.引用监控器实现和增强了安全内核 C.安全内核也叫抽象机，实现了引用监控器的概念 D.安全内核实现和执行了引用监控器

100.下面哪种标记语言允许公司之间传递服务请求，接受公司为这些服务开通访问授权。 A. XML 可扩展标记语言 B. SPML 服务配置标记语言 C. SGML 标准通用标记语言 D. HTML 超文本标记语言 B 101.公司的软件开发流程已经文档化, 并且组织已经能够制定自己的软件流程的标准。这达到了CMMI软件成熟度集成模型哪一级？ A. 初始级 Initial B. 可重复级Repeatable C. 已定义级 Defined D. 可管理级Managed C 102.下面哪个不是VoIP的优点？ A. Cost 成本 B. Convergence 聚合 C. Flexibility 灵活性 D. Security 安全 D

103.以下哪项是业务连续性计划的最重要目标？ A.支持组织恢复关键业务功能 B.满足监管合规要求 C.使得组织可以确保业务的生存 D.支持组织保护生命并确保安全 104.下面哪项用于是向管理层提供的最重要的材料，用于获取他们对业务连续性计划(BCP)的支持？ A. 业务论证 Business case B. 业务影响分析 Business impact analysis C. 风险分析 Risk analysis D. 威胁报告 Threat report B 105.使用联机事务处理OLTP时，以下哪一项描述了ACID原则中的原子性？ A.建立数据库安全策略中所规定的完整性规则 B.数据库作为一个单元来执行事务，而不会中断 C.确保回滚不会发生 D.防止同时进行的事务进程之间的相互干扰 B 106.当内核或者介质出现意外故障，而常规的恢复程序不能使系统恢复到一个更为稳定的状态时，需要管理员介入做下面哪一项工作？ A. 紧急系统重启 B. 可信恢复 C. 系统冷启动 D. 系统重启 B

107.当接到一个涉嫌犯罪的事情报告，事件响应团队应当首先采取的措施是？ A.建立这个事件的响应程序 B.召集取证专家 C.通知高级管理层 D.判断是否真的发生了犯罪活动 D 108.攻击者诱导受害者打开一个用恶意脚本的编程的URL链接以偷取敏感信息，这是哪种跨站攻击 (XSS) ？ A. 永久跨站型 B. 反射型 C. 存储型 D. DOM基于文件对象模型 B 109.公司需要选择一个新的机房地址，下面哪项在选择地址时不是一个重要的考虑因素？ A. 距离警察局和消防局的距离 B. 照明 C. 自然灾害 D. 犯罪率 B 110.咖啡店的墙上挂了一幅值钱的画，需要安装一个入侵检测系统保护这幅画，应该选下面哪种？ A. 声音探测系统 B. 邻近探测器 C. 光电系统 D. 振动传感器 B 111.以面哪个正确的描述了身份管理流程中的联合身份？ A.按照角色分配权限，不同的角色可拥有不同权限 B.由域名定义的一种身份，可以跨越业务边界使用 C.一种可移植的身份，能够跨越业务边界使用 D.在内部网络虚拟目录和身份存储中使用的一种身份 C

112.以下哪一项被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度： A．CC B．CVE C．CVSS D．BSIMM C 113.工控系统软件没有及时更新的最常见原因： A．工控系统软件的更新需要供应商提供支持, 而供应商缺乏due diligence B．工控系统很少停机，软件更新困难 C．工控系统是相对封闭的环境，不依赖通过更新软件来提升安全 D．工控系统在设计时就考虑了相对全面的安全要求，不需要频繁更新

114.准则(guideline)和 规程(procedure)的特点是： A．准则(guideline)是灵活的，规程(procedure)是特定的,具体的 B．准则(guideline)是强制的，规程(procedure)是灵活的 C．准则(guideline)特定的,具体的，规程(procedure)是灵活的 D．准则(guideline)是一致的，规程(procedure)是不一致的 A 115.想了解一段时间内运营安全和隐私的控制是否有效运行，应该看哪种SOC报告？ A．SOC1，type1 B．SOC1，type2 C．SOC2，type1 D．SOC2，type2 D 116.IDC 机房空调等环境形成的“正气压”指什么？ A．IDC机房内的气流通过门缝跑出去 B．外边的气流想通过门缝跑进IDC机房 C．IDC 机房内的气压维持在一个恒定的值 D．IDC 机房内的空气清洁度达到预定指标 A 117.什么是唯一针对 语音电话的攻击？ A. phishing B. vishing C. whaling 捕鲸 D. spear phishing 鱼叉式钓鱼 B 118.哪种攻击看上去是合理的请求，利用了简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的这一用户身份验证的漏洞。 A．XSS 跨站脚本攻击 B．CSRF 跨站请求伪造 C．SQL注入攻击 D．生日攻击 B

119.以下哪一项符合基于上下文的访问控制： A．是内容相关的访问控制 B．访问决定基于连接状态 C．访问决定基于数据敏感度 D．访问决定基于规则分析 120.对实物资产最好的保护措施是： A．实施门禁系统 B．安排保安 C．上锁 D．纵深防御 D 121.数据报文(datagram)的源地址和目的地址是体现在OSI的哪一层： A．数据链路层 B．MAC子层 C．网络层 D．传输层 122.GRC(治理、风险、合规)的最后一道防线是： A．董事会评审 B．审计 C．持续监控 D．合规报告 123.如果企业想实施安全改进计划，第一步应该做的是： A．执行业务影响分析 B．进行安全评估 C．执行合规审计 D．修改安全策略 B 124.以下哪一项能够代替防病毒软件： A．蜜罐 B．沙箱 C．防火墙 D．入侵检测和防御系统 D 125.渗透测试信息搜集阶段会使用到以下那个命令： A.dig B.ipconfig C.ifconfig D.nbtstat

126.CC评估级别中的 EAL1，EAL2，EAL3 分别对应： A．功能测试，结构测试，半正式的设计和测试， B．结构测试, 功能测试，半正式的设计和测试， C．功能测试，结构测试，系统地测试和检查， D．结构测试, 功能测试，系统地测试和检查， C 127.RBAC支持的三个安全原则: A．最小权限、知所必须、责任分离 B．最小权限、知所必须、数据抽象 C．最小权限、责任分离、数据抽象 D．知所必须、责任分离、数据抽象 C 128.保护丢失的智能手机数据不被窃取最有效方法： A．加密 B．远程擦除 C．双因素验证 D．备份 A

129.外购应用程序可能存在的最大问题： A．软件许可很贵 B．拿不到源代码 C．应用漏洞很严重 D．和公司安全策略不符 130.代码签名针对应用程序的： A. 可用性 B. 机密性 C. 完整性 D. 不可否认性 131.与安全审查周期相关的审计的主要目的是什么? A. 确保组织的控制和政策按预期运行 B. 确保该组织仍然可以公开交易 C. 确保组织的执行团队不会被起诉 D. 确保组织满足合同要求 A 132.以下哪一项是实施基于角色的访问控制 (RBAC) 系统的最大好处？ A. 使用轻量级目录访问协议 (LDAP) 进行集成 B. 基于表单的用户注册(registration)流程 C. 与组织人力资源 (HR) 系统的整合 D. 一个相当简单的配置(provisioning)过程

133.结构化查询语言 (SQL) 通过以下哪种命令实现自主访问控制 (DAC) ： A. INSERT and DELETE B. GRANT and REVOKE C. PUBLIC and PRIVATE D. ROLLBACK and TERMINATE B 134.一个组织实施了一种新的备份过程，该过程通过加密存储在备份磁带上的信息来保护机密数据。在实施这一新的备份过程后，以下哪一项是主要的数据保密问题？ A. 备份磁带存放位置 B. 预先存在的备份磁带 C. 磁带备份压缩 D. 磁带备份轮换 B 135. 如果想确保在坏了两个盘的情况下，数据仍然不会丢失，应该使用哪种RAID？ A. RAID 10 B. RAID 2 C. RAID 4 D. RAID 6 D 136.“百年一遇洪泛区”一词对应急准备官员意味着什么？ A. 在任何给定年份，发生洪水的几率是 100 分之一 B. 该地区预计至少 100 年内不会发生洪水 C. 上一次袭击该地区的洪水是 100 多年前 D. 下一次大洪水很有可能在未来 100 年内发生 A 137.风险管理计划旨在将风险降到： A．收益率高于资产当前成本的水平 B．效益超过控制成本的水平 C．残余风险可以忽略的水平 D．组织织愿意接受的水平 D 138.应用程序的设计审查已经完成，可以发布。组织应该使用什么技术来确保应用程序的完整性？ A.设备加密 B.输入验证 C.身份验证 D.数字签名 D 139.为什么系统的关键性分类在大型组织中很重要？ A.它可以更容易地确定所有权，减少对资产状态的混淆。 B.它减少了关键的系统支持工作量，并减少了应用修补程序所需的时间。 C.它提供了安全和维护任务的适当优先顺序和调度 D.它允许与执行管理层进行清晰的系统状态通信。 C 140.对公司员工离职后系统用户的删除情况的及时性进行审计时，以下哪项最能获得有效证据？ A.与HR经理进行面谈，确认及时性 B.与系统管理员进行面谈，确认及时性 C.将离职记录与HR的离职表进行比较 D.将离职记录与系统操作日志进行比较 D 141.分析表明，攻击者通过TLS VPN网关获得了访问网络的权限后侵入了网络。攻击者是在猜出了用户名并使用了暴力破解得到了密码后获得访问权限的。以下哪一项最有助于降低这一风险？ A.在VPN上实施强密码验证 B.将VPN和集中身份存储集成 C.改用IPsec VPN D.使用双因素验证 D 142.轻量目录访问协议 (LDAP) 是以什么样的数据结构来存储数据的？ A.堆栈 B.二维表 C.指针链接 D.树状层次结构 D 143.洋葱路由网络 (Onion routing network) 的主要特点是？ A.匿名通信 B.可追踪 C.高冗余 D.不可抵赖性 A 144.在设计和评估自动取款机ATM的安全时首要考虑的是？ A.定期的维护流程 B.对电子硬件设备的物理访问控制 C.网络连接的高可用性 D.交易处理的延时 B 145.以下哪一项不是进行渗透测试的要求？ A.确定的目的 B.有限的时间段 C.秘密的方法 D.管理层批准 C 146.以下哪种传输介质最不容易遭到窃听？ A.同轴电缆 B.双绞线 C.光纤 D.微波 C

147.处理事件(incident)的基本目标是？ A.恢复受影响系统 B.判断事件发生时能否及时响应 C.需要计算机安全事件影团队评估损害情况 D.允许事件继续进行并沿着线索追溯到事件开始 148.对在网络上传输的数据是否需要加密的判断应该基于： A.传输的数据量 B.传输路径的安全性 C.数据的货币价值 D.数据的机密性级别 D 149.以下哪一项控制最能防止互联网嗅探器(sniffer)进行重放攻击？ A. 正确配置防火墙 B. 数据包过滤路由器 C. 基于哈希的消息验证码 D. 带时间戳的数据加密 C

150.以下哪一项对应用系统的更新进行定义、测试和实施？ A.回归测试 B.变更控制 C.用户验收测试 D.发布上线控制 B 151.The PRIMARY purpose of accreditation is to 认可的主要目的是？ A.allow senior management to make an informed decision regarding whether to accept the risk of operating the system. 让高层做一个正式的决定，来确认是否接受系统运行的风险 B.verify that all security controls have been implemented properly and are operating in the correct manner. 确认所有的安全控制得到正确的实施，并以正确的方式在运行 C.protect an organization's sensitive data. 保护组织的敏感数据 D.comply with applicable laws and regulations. 满足适用的法律和法规 A 152.Which of the following is a PRIMARY reason to motivate an organization to review its current cryptosystem implementation? 下面哪个是推动组织来评审它目前实施的加密系统的主要原因？ A.The use of Message Digest 5 (MD5) hashing MD5哈希算法的使用 B.A more efficient encryption algorithm is available 为了使用更加高效的加密算法 C.A new Certificate Revocation List (CRL) is available 为了使用一个新的证书撤销列表CRL D.Key strength is no longer safe against brute force attacks 密钥长度在对抗暴力破解攻击时不再安全 D 153.Which of the following is the BEST type of outsourcing agreement? 下面哪个是外包协议的最好的形式？ A.Face-to-face dialogue between chief executive officers 首席执行官之间面对面的对话 B.A Service Level Agreement (SLA) between two organizations 两个组织之间的服务水平协议 (SLA) C.A document that proposes the division of responsibilities between two organizations 两个组织之间的职责分工文档 D.A Business-to-Business (B2B) agreement between two parties 双方之间的B2B协议 B 154.The aggregation problem in database design occurs when 数据库设计时什么情况下会发生聚合问题？ A.an item that is not sensitive by itself but when combined with common knowledge is sensitive. 一个条目本身是不敏感的，但当它与常识相结合时，是敏感的。 B.two or more different items that are not sensitive individually but when combined become sensitive. 两个或更多条目单个本身是不敏感的，但当结合在一起是就变得敏感了 C.two or more instances of the same item that are not sensitive individually but when combined become sensitive. 同一个条目的两个或多个实例是不敏感的，但当结合起来就变得敏感了 D.one instance of the item is classified higher than another instance of the same item. 条目的一个实例比同一个条目的另一个实例的安全级别高 B 155.Given the following: 根据下面 D = Number of devices D=设备数量 T = Time spent fixing each device T=维修每个设备的时间花费 C = Hourly rate for the time spent C=每小时费率 I = Vulnerability impact I=漏洞影响 P = Probability of vulnerability exploitation P=漏洞利用的可能性 Which of the following equations determines the cost of recovery? 下面哪个公式决定了恢复成本 A. D * T * C B. D * P * C C. T * I * P D. T * C * P A 156.封装安全载荷 (ESP) 能提供？ A. 可用性和完整性 B. 完整性和机密性 C. 授权和完整性 D. 授权和机密性 B 157.组织是否必须向监管部门报告所有数据违规？ A. 组织的道德规范不一定要求必须报告 B. 只有产生重要影响的违规才需要报告 C. 不同的司法管辖有不同的要求 D. 如果数据是加密的，就不需要报告 C 158.临时密钥完整性协议(TKIP) 用于解决以下哪一项的不足？ A. WEP有线等效保密 B. PKI公钥基础设施 C. VPN虚拟专用网络 D. Kerberos 认证协议 A 159.使用安全验证和日志能够提供？ A. 职责分离 B. 可问责 C. 独立审计 D. 数据完整性 B 160.基于角色的访问控制 (RBAC) 的重要特征是： A．依赖于岗位轮换 B．简化了访问权限管理 C．需要双因素验证 D．支持强制访问控制 (MAC) B