导图社区 CISSP综合练习题一
本人精选的CISSP练习题,帮助广大考生更好地备考CISSP考试,通过大量高质量的习题,全面覆盖CISSP考试大纲的各个知识点,帮助考生巩固所学知识,提升解题能力,从而在考试中脱颖而出。比较有参考价值,可以作为复习知识点查漏补缺。
编辑于2024-08-13 09:59:18本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
本人在准备CISSP考试中自己总结的复习习题、各种模拟题中的重点、难点。本文内容除了书中内容意外还有很多从网上查找的补充内容,非常具有复习价值!
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
社区模板帮助中心,点此进入>>
本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
本人在准备CISSP考试中自己总结的复习习题、各种模拟题中的重点、难点。本文内容除了书中内容意外还有很多从网上查找的补充内容,非常具有复习价值!
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
模拟题一
主题
1.Ls想要防止她的网络成为IP 欺骗攻击的目标,并防止她的网络成为这些攻由的源头。以下哪些规则是 Lisa 应该在她的网络边界配置的最佳实践?(选择所有透用项。) A. 阻止具有内部源地址的数据包进入网络。 B 阻止具有外部源地址的数据包离开网络。 C 阻止具有公共IP地址的数据包进入网络。 D.阻止具有私有 IP 地址的数据包退出网络。
2. Ed 被委派寻找一种服务,提供低延迟、高性能和高可用性的方式来托管他雇主的内容。他应该寻找哪种类型的解决方案,以确保他雇主在全球范围内的客户能够快速、轻松和可靠地访问他们的内容? A. 热站点 B. 内容分发网络 (CDN) C. 冗余服务詣 D. P2P CDN
3. Fran 正在构建一台法证分析工作站,并选择将法证磁盘控制器包含在设置中。以下哪些是法证磁盘控制器的功能?(选择所有适用项。) A. 防止对存储设备上的数据进行修改 B. 返回设备请求的数据 C. 报告设备发送给法证主机的错误 D. 阻止发送给设备的读取命令
4. Mike 正在构建一个容错服务器,并希望实现 RAID 1。构建此解决方案需要多少个物理磁盘? A. 1 B. 2 C. 3 D. 5
5. Darren 正在解决一个他所在组织使用的基于 Kerberos的应用程序的身份验证问题。他认为问题出在会话密钥的生成上。他应该首先调查哪个 Kerberos 服 A.KDC(密钥分发中心) B. TGT(票据授权票证) C.AS(身份验证服务器) D.TGS(票据授权服务器)
Kerberos认证过程主要包括以下几个步骤: 1. 客户端请求Ticket-Granting Ticket (TGT) 客户端向认证服务器(AS)发送请求,要求获得访问特定服务的Ticket-Granting Ticket (TGT)。这一步通常涉及客户端提供其凭据,如用户名和密码。 2. 认证服务器(AS)响应 认证服务器验证客户端的凭据,如果凭据有效,则生成一个TGT,该TGT是一个加密的票据,用于证明客户端的身份。TGT使用客户端的密码进行加密,并发送给客户端。 3. 客户端使用TGT请求服务票据 客户端使用TGT向票据授权服务器(TGS)请求访问特定服务的服务票据。这个请求包含了TGT和所需服务的名称。 4. 票据授权服务器(TGS)响应 票据授权服务器验证TGT的有效性,如果有效,则生成一个服务票据(Service Ticket),该票据允许客户端访问指定的服务。服务票据包含一个会话密钥(Session Key),用于客户端和服务之间的加密通信。 5. 客户端使用服务票据访问服务 客户端使用获得的服务票据向服务端进行身份验证,服务端使用自己的密钥解密服务票据并验证其有效性。如果验证成功,客户端和服务端可以使用会话密钥进行安全通信。 6. 持续的身份验证和授权 在后续的通信中,客户端和服务端都会使用会话密钥进行加密通信,并且可能会包含时间戳来确保通信的有效性。如果通信中的时间戳超过一定时间(如5分钟),则被认为是验证失败。 这个过程确保了只有经过授权的客户端才能访问网络服务,同时保护通信内容不被未经授权的用户截获或篡改。
6 Evejyn 认为地所在经统的某个供应商這反了对保护教感数据的合同吹务,非有黑调查事傭的经过,根据调童结果,预可能 Foe心的與织帝以违约为主表活该供应南。以下哪个术语最能描述 Evelyn正在进行的调直幾型? A. 行政调查 B. 刑事调查 C. 民事调查 D. 监管调查
7 Mhen正在安装一个用于保护敏感工作区的运动检测,该检测器实用高频微波信号传输来识别潛在的入侵者。他正在使用哪种类型的检测嚣? A. 红外线 B. 基于热量的 C 波形 D.电容
波形运动检测器是基于声波或压电波的检测原理,电容运动检测器则是基于电容的检测原理
8 Susan 没置了一个防火墙,跟踪两个系统之间通信的状态,并且只有在本地系统开始通信后。远程系统才能对本地系统作出响应。Susan 使用的是哪和类型的防火墙? A. 静态数据包过滤防火墙 B 应用级网关防火墙 C. 状态数据包检查防火墙 D. 电路级网关防火墙
对于问题 9-11,请参考以下场景: Ben 拥有一家咖啡馆,希望为顾客提供无线互联网服务。Bem 的河终很简单使用一个普通的消贵者级无线路由器和通过商业电缆数据合同连接的电缆调制解调器。 9 Ben 如何为顾客提供访问控制,而无需在他们连接之前提供用户ID、并同时收集有用的联系信息用于商业目的? A. WPA2 PSK B 一个强制门户 C. 要求顾客使用像 “BensCoffee’这样的公开发布的密码 D. WPA3 SAE 10 Ben打算运行一个开放(未加密)的无线网绕。他应讓如何建旋他的商业来 A. 在相同的 SSID上运行 WPA3。 B.设置一个单独的使用 WPA3的 SSID。 C. 在企业模式下运行开放网络。 D. 设置一个使用 WEP 的单独无线网络 11 在实施了第一个回题的解决方案后,Ben收到了有关在他的咖啡馆中劫持其他顾客网络流量的投诉,包括使用他们的用户名和密码。这是如何可能的? A. 密码被所有用户共享,使流量容易受到攻击。 B.恶意用户在路由器上安装了木马程序。 c. 用户对路由器进行了 ARP欺骗,使所有流量广播到所有用户。 D.开放网络未加密,使流量容易被嗅探。
SSID:ESSID-无线网络名称,BSSID-基站的MAC地址
强制门户:通常位于公共用途的无线网络上。
开放系统身份认证-OSA:不需要真正的认证,明文形式传输内容,不提供安全性和保密性。 共享密钥身份认证-SKA:网络通信前发生某种形式的身份认证。 这两种都是WPA的身份认证方式。
WEP:预共享密钥,很弱。
WPA:使用RC4算法。 WPA2:替代了WEP和WPA,使用AES-CCMP 预共享密钥-PSK:使用静态密码 企业模式-ENT:支持现有AAA服务,如T和R WPA3:使用192位AES-CCMP 对等同步身份认证-SAE:不再加密通过连接发送密码进行身份认证,使用零知识证明,使用预设密码以及客户端和AP的MAC地址执行身份认证和会话密钥交换
802.1X/EAP:WPA、WPA2、WPA3都支持,其实就是企业-ENT认证,确保客户端在进行正确身份认证之前无法与资源通信。并且可以结合其他身份认证服务,如R和T、证书、智能卡、令牌、生物识别
EAP:可扩展身份验证协议
LEAP:避免使用LEAP,改用EAP-TLS,如果使用用复杂密码
PEAP:将EAP封装在TLS隧道中,EAP通常不加密,PEAP提供加密。
12. Kevin 正在审查和更新他所在组织使用的安全文档。他想要记录过去一年他的团队针对保护物联网设备所制定的一些最佳实践。这些实践是一般化的,不涉及特定设备。对于这个目的,哪种类型的文档最合适? A. 政策 B. 标准 C. 指南 D. 程序
1.7.1. 安全政策框架
17.1.1 安全政策 (Policies)
安全政策是一组声明,非常仔细地描述一个组织长期的安全期望,确定了管理组织里信息系统和数据保护的原则和规则。
对政策的遵守是强制性的,而政策通常是由组织的最高层批准的。
一些常见的安全政策:可接受的使用政策、访问控制政策、变更管理政策、远程访问政策、灾难恢复政策
1.7.1.2安全标准 (Standards)
安全标准规定了组织必须遵循的安全控制的具体细节,如:组织批准的加密协议、数据存储的位置、配置参数以及其他技术和操作细节。当涉及到复杂的配置标准时,往往借鉴行业标准,如互联网安全中心提供的安全配置指南。
对安全标淮的遵守是强制性的。安全基线与标准有关,它为系统、网络或设备建立了一个最低的安全水平,如果达不到基线要求则不能上线。
1.7.1.3 安全程序 (Procedures)
安全程序是员工在执行特定安全任务时可以遵循的一步一步的指示。
1.7.1.4安全指南 (Guidelines)
指南是安全专业人员向组织的其他成员提供建议的地方,包括信息安全的最佳实践。对安全指南的遵守是非强制性的。
13.Tom 正在调整他的安全监控工具,试图减少管理员接收的警报数量,同时不会错过重要的安全事件。他决定配置系统,在同一账户下的同一小时内出现了五次失败的登录尝试时才报告。哪个术语最能描述 Tom使用的技术? A.阈值设置 B. 采样 C. 账户锁定 D. 裁剪
阈值设置:过了以后日志开始覆盖最早的日志 裁减:P653 剪切 抽样:数据提取
14. Sally被委派为她所在组织的无线网络服务部署一个认证、授权和计费服务器,并且需要避免使用专有技术。她应该选择哪种技术? A. OAuth B. RADIUS C. XTACACS D. TACACS+
15.Christopher's Cheesecakes 的一个会计职员无权访问个别员工的薪资信息,但他想知道一个新员工的薪资。他在新人入职之前的一金天资支付周期和入职后的下一个工资支付周期拉取了总工资支出,并计算出两个金额之间的差异,以确定个人的薪资。发生了哪种类型的攻击? A. Salami 切割 B. 数据篡改 C. 推理 D. 社会工程
16.Alice 想在一个对象上拥有读取权限,并知道 Bob已经拥有这些权限,并且想把它们给自己。如果 Alice 和 Bob 之间存在关系。以下的 Take-Grant 保护模型规则中哪个规则允许她完成这个操作? A Take 规则 B. Grant 规则 C. Create 规则 D. Remote 规则
P251
17.在日志审查过程中,Danielle 发现一系列显示登录失敗的日志: lan 31 11:39:12 ip-10-0-0-2 sshd[29092); Invalid user admin from remotehost passwd=asasasa Jan 31 11:3920 ip-10-0-0-2 sshd[29098): Invalid user admin from remotehost passwd=aasanab Jan 31 11:3923 ip-10-0-0-2 sshd|29100): Invalid user admin from remotehost passwd=aaaaaaac Jan 31 11:39:31 ip-10-0-0-2 sshd[29106): Invalid user admin from remotehost passwd=aaaaaaad Jan 31 20:40:53 ip-10-0-0-254 sshd[30520): Invalid user admin from remotehost passwd=aaaaaaae Danielle 发现了哪种类型的攻击? A. 密码传递攻击 B. 暴力破解攻击 C. 中间人攻击 D. 字典攻击
18 Ben 正在设计一个基于数据库的应用程序,并希望通过将中间结果存储在数据库中,确保两个执行中的事务不会相互影响。他试图实施哪个属性? A. 原子性 B.隔离性 C.一致性 D. 持久性
19.Kim 是一家小型企业网络的系统管理员,该网络遇到安全问题。她在晚上办公时在办公室工作,其他人都不在。当她看着时,她可以看到办公室另一边的系统以前表现正常,现在一个接一个地表现出感染的迹象。Kim 可能正在处理哪种类型的恶意软件? A. 病毒 B. 蠕虫 C.木马 D. 逻辑炸弹
20.Barh正在审查她所在组织面临的合规义务以及每个义务可能承担的责任突型。以下哪些法律和法规可能会涉及违反时的刑事处罚?(选择所有适用) A. FERPA B. HIPAA C. SOX D. PCI DSS
21. Quentin 正在分析他通过 Wireshark 收集的TCP/IP 网络流量。他想要识别在流量收集期间建立的所有新连接。如果他正在寻找用于建立新连接的TCP 三次握手的三个数据包,那么第一个三个数据包应该设置哪些标志? A. SYN, ACK, SYN/ACK B. PSH, RST, ACK C. SYN, SYN/ACK, ACK D. SYN, RST, FIN
22. Daniel 正在为组织选择一个新的移动设备管理(MDM)解决方案,并撰写 RFP。在将组织的安全需求与MDM平台的功能对齐后,他正在决定应该包含哪些功能作为要求。以下哪些是MDM 解决方案的典型功能?(选择所有适用项。) A. 远程擦除移动设备的内容 B. 接管非注册的个人拥有设备(BYOD) C. 强制使用设备加密 D. 管理设备备份
23.Jim 正在为他的组织实施一个IDaaS 解决方案。他正在部署什么类型的技术? A. 身份作为服务 B. 员工 ID 作为服务 C. 入侵检测作为服务 D. OAuth
24.Gina 最近参加了 CISSP 认证考试,然后写了一篇博客文章,其中包括她在考试中遇到的许多问题的文本。在这种情况下,违反了(ISC)2职业道德守则的哪个方面? A. 推进和保护专业。 B.表现出荣誉、诚实、公正、负责和合法行为。 C. 保护社会、共同利益、必要的公众信任和信心以及基础设施。 D. 向委托人提供勤勉和胜任的服务。
25.Gordon正在为他的组织进行风险评估,并确定洪水预计每年对设施造成的损害金额。Gordon确定了哪个度量标准? A. ALE B. ARO C.SLE D.EF
基于上面定量风险评估涉及到的几个概念,定量风险评估过程及各概念之间的关系如下: 首先,识别资产并为资产赋值Asset Value(量化金额); 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即暴露因子EF(取值在0%~100%之间); 计算特定威胁发生的频率,即年度发生率ARO; 计算资产的单一损失期望SLE:SLE = Asset Value × EF 计算资产的年度损失期望ALE:ALE = SLE × ARO
26.Greg希望在他的组织中实施应用程序控制技术。他希望限制用户只能安装经过批准的软件。在这种情况下,哪种类型的应用程序控制是合适的? A.黑名单 B.灰名单 C.白名单 D. 蓝名单
27. Frank是一个为世界各地的人们提供新闻和信息的网络服务器的安全管理员。他的服务器收到了无法处理的异常高流量,并被迫拒绝请求。Frank追踪到流量的来源是一个僵尸网络。发生了哪种类型的攻击? A. 拒绝服务攻击 B. 侦查 C.入侵 D. 恶意内部人员
28. 在这里显示的数据库表中,哪一列最适合作为主键? A.公司 ID B. 公司名称 C. 邮政编码 D. 销售代表
29.Gwen 是一家金融服务公司的网络安全专业人员,该公司保存着客户的记录。这些记录包括有关每个客户的个人信息,包括客户的姓名、社会安全号码、出生日期和地点以及母亲的婚前姓氏。哪个类别最能描述这些记录? A. PHI B. 专有数据 C. PII D. EDI
30.B0b正在配置网络的出口过滤,检查发送到互联网的流量。他的组织使用公共地址范围12.8.195.0/24。以下目标地址的数据包应该允许离开网络? А. 12.8.195.15 B. 10.8.15.9 C. 192.168.109.55 D. 129.53.44.124
31 如果他将加密密钥增加8位,将会向算法的密钥空间添加多少个可能的密钥? A. 密钥空间的大小将加倍。 B. 密钥空间的大小将增加8倍。 C. 密钥空间的大小将增加 64倍。 D. 密钥空间的大小将增加 256 倍。
32 以下哪些数据资产可以使用碎纸机安全有效地处置?(选择所有适用) A. 纸质记录 B.信用卡 C. 可移动介质 D. 固态硬盘
33.GAD Systems 担心黑客窃取存储在文件服务器上的敏感信息的风险。他们选择采取风险缓解策略。以下哪项操作将支持这个策略? A. 对文件进行加密 B. 删除文件 C.购买网络责任保险 D. 不采取任何行动
34. 如果在人工审核记录时,Viola 想要最有效地利用时间,那么以下哪种抽样方法是最合适的? A. 选择最近一个月内修改过的所有记录。 B. 要求访问管理员标识最有可能存在问题的账户并进行审核。 C 从整个记录总体或在审核期间发生变化的记录总体中随机抽取样本。 D.在这种情况下,抽样不起作用,应该对所有账户进行审核。
35.Lila 正在审查她组织的不利终止流程。在这个流程中,什么时候是吊销用户对数字系统访问权限最合适的时间? A. 在通知用户被解雇的时候 B. 在最后一天工作结束时 C. 在做出决定的时候 D. 在最后一天工作之后几天
36 ilam正在审查存储在一个存在可疑入侵的系统上的日志文件。他找到了如下所示的日志文件。这是什么类型的日志文件? A. 防火墻日志 B. 变更日志 C. 应用程序日志 D. 系統日志
37.Roger 正在审查他的组织中的一份安全漏洞列表,并根据其严重程度对其行评估。以下哪个模型对他的工作最有用? A. CVSS B. STRIDE C. PASTA D. ATT&CK
38.攻击者最近给一家组织的帮助台打电话,并说服他们重置了另一个用户户的密码。最能描述这种攻击的术语是什么? A. 人类特洛伊木马 B. 社交工程 C.钓鱼 D. 鲸鱼式钓鱼
39.Greg正在评估一家为他的组织提供网络设备的新供应商。由于他组织的工作性质,Greg 担心攻击者可能会尝试利用供应链进行攻击。假设 Greg 的组织和供应商都遵循合理的安全程序,以下哪项活动对设备的供应链风险可能最 A. 在供应商的场所,未经授权的第三方篡改 B. 在运输途中截获设备 C. 安装后由管理员错误配置 D. 在 Greg 的场所,未经授权的第三方篡改
40 Kevin 正在一个单层安全环境中工作,并希望根据信息处理的类型对信息系统进行分类。哪种程序是他为资产分类分配的最佳方式? A. 根据系统最常处理的信息分类 B.根据系统被期望定期处理的最高级别的信息分类 C. 根据系统可能处理的最高级别的信息分类 D.给所有系统分配相同的分类级别。
对于问题 41-43,请参考以下情景: Ben 所在的组织在传统的现场 Active Direatory 环境中使用手动配置流程来添加员工。随着公司采用新技术,他们越来越多地使用软件即服务应用程序来替代内部开发的软件堆栈。 Ben 的任务是设计一个身份管理实施方案,使公司能够使用云服务同时支持现有系统。根据下图的逻辑图,回答以下关于 Ben 应该提出的身份建议的问题。 41.如果可用性是组织的最重要优先事项,Ben 应该推荐哪种类型的身份平 A. 场内(On-site) B. 基于云的(Cloud-based) C. 混合型(Hybrid) D. 外包的(Outsourced) 42. 如果 Ben 需要与所示的业务伙伴共享身份信息,他应该调查什么? A. 单点登录 B. 多重身份验证 C. 联合身份验证 D. IDaas 43. 当Ben 的组织需要向他们的云电子商务应用提供身份验证和授权声明时,可能涉及哪种技术? A. Active Directory B. SAML C. RADIUS D. SPML
基于云的联合:通常使用第三方服务共享联合身份,云联合的一种常见的方式是将用户内部登录ID与联合身份关联起来。如用户使用内部正常的ID登录,联合身份管理系统使用用户的登录ID来检索匹配的联合身份,如果找到匹配项,责允许用户访问联合身份可以访问云上的内容。 本地联合:联合身份管理系统可以托管在本地、云上,也可以将二者结合为混合系统。如:两个公司合并,管理层希望员工可以互访但是不用重新登录两次,通过创建本地联合身份管理系统,两家公司可以共享身份认证数据。 联合混合:是云计算联合和本地联合的组合。假设A、B两个公司合并,实现本地联合后,AB可以互访,A实施云联合后A可以访问网上内容,但是B不能自动获得访问网上内容的权限。通过为B创建一个混合联合方案,B也可以访问网上内容,并且获取SSO功能。 准时制:第一次访问时候自动创建用户账户,使用SAML交换所需要的数据。
SAML:基于XML,用于在相关组织之间交换身份验证和授权。 SPML:基于XML,专门为交换用户信息而设计,用于联邦域内安全的单点登录。 XACML:可扩展访问控制标记语言,用于在XML格式中定义访问控制策略,它通常实现RBAC。 OpenID和OAuth:OpenID用于身份验证,OAuth用于授权。 *考试提示:SAML用于企业用途,OAuth用于商业用途(by us)
44. Dave 负责组织中的密码安全,并希望加强密码文件的安全性。他想要防止彩虹表的使用。以下哪种技术专门设计用于阻碍彩虹表的使用? A. 密码过期策略 B. 加盐处理 C. 用户教育 D. 密码复杂性策略
45. Helen 最近建立了一个新系统,作为组织欺骗活动的一部分。该系统的配置使其容易受到攻击,并且传达出它可能包含高度敏感信息的印象。以下哪个术语最适用于描述这个系统? A. 蜜网 B. 暗网 C. 蜜罐 D. 伪缺陷
将每个编号的术语与其正确的定义对应起来: 术语 1. 蜜罐(Honeypot)-设置有意漏洞的系统 2. 密网(Honeynet)-设置有意漏洞的网络 3. 伪漏洞-故意设计的漏洞,用于引诱攻击者 4. 暗网 (Darknet)-一个没有任何主机的监控网络
46.Nandl 正E在评估一组候选系统,以替换她组织中的生物特征认证机制。什么指标是比较不同系统有效性的最佳方法? A. FAR B. FRR C. CER D. FDR
47. Sean 怀疑公司中的某个人尽管公司小心使用数据丢失预防系统,但仍在走私秘密信息。他发现嫌疑人正在向公共互联网论坛发布照片,包括下面显示的照片。这些个体可能在利用哪种技术在这个图像中隐藏信息? A. 数字水印 B. VPN C.隐写术 D.隐蔽时间通道
48. Roger 担心被雇来开发内部应用程序代码的第三方公司会在代码中数入后门。开发者保留知识产权,并且只会交付最终形式的软件。以下哪种编程语言最不容易受到这种类型攻击的影响,因为它在最终形式下提供给 Roger的代码可读性最高? A. JavaScript B. С C. C++ D. Java
49.Jesse 正在查看配置为使用影子密码的系统上的/etc/passwd 文件。她在该文件的密码字段中应该期望看到什么? A. 明文密码 B. 加密密码 C. 哈希密码 D. *
50.Rob 最近收到供应商的通知,说明他组织使用的防火墙平合的终止支持日期即将到来。Rob 应该采取什么行动? A. 准备尽快停止使用该平台。 B.立即停止使用该设备。 C. 准备在组织的正常规划周期中停止使用该设备。 D. 不需要采取任何行动。
51. 以下原则规定个人应该尽力准确和及时地完成自己的职责是哪个? A 最小权限原则 B. 职责分离 C. 注意义务 D. 尽职调查
P15 应尽关心:一种正式的安全框架,包含安全策略、标准、基线、指南和程序。是知道应该做什么并为此制定计划。 尽职审查:将安全框架持续应用到组织的IT基础设施上。是在正确的时间采取正确的行动。
52.Tony正在为他的组织制定一个数据分类系统。在确定每个信息类别的分类级别时,他应该使用什么因素作为主要驱动因素? A. 敏感性 B. 来源 C. 被盗风险 D.数据丢失风险
53. Perry 正在为他的组织制定信息处理要求。他发现组织经常需要通过互联网向供应商发送敏感信息,并对其被拦截感到担忧。哪种处理要求最能防止这种风险? A.要求使用传输加密。 B. 要求适当的分类和标记。 C. 要求使用数据丢失预防技术。 D. 要求使用存储加密。
54.John 正在为他的组织制定一个有形资产清单。以下哪些项目最有可能包括在这个清单中?(选择所有适用项。) A. 知识产权 B. 服务器硬件 C. 存储在服务器上的文件 D. 移动设备
55.Maria 正在分析一起安全事件,她认为攻击者获得了一根光纤电缆的访问权,并在该电缆上安装了窃听器。这种攻击发生在 OSI 模型的哪个层次? A.传输层 B. 网络层 C. 数据链路层 D. 物理层
56. Bert 正在考虑使用基础设施即服务(laaS)的云计算合作伙伴提供虚拟服务器。在这种情况下,以下哪项将是供应商的责任? A. 维护虚拟化管理程序 B. 管理操作系统的安全设置 C. 维护主机防火墙 D. 配置服务器访问控制
57. 当Ben 记录数据并对其测试网站进行回放以验证其在实际生产工作负载下的表现时,他进行了哪种类型的性能监控? A. 被动监控 B. 主动监控
58. Kailey 正在审查组织保留的一套旧记录,并希望以安全的方式处置这些记录。她不确定组织应该保留这些记录的时间,因为它们涉及税务数据。Kailey 如何确定是否可以处置这些记录? A. 参考组织的记录保留政策。 B. 参考IRS 的要求。 C.保留这些记录至少七年。 D. 永久保留这些记录。
60.Mark正在为他的组织计划一次灾难恢复测试。他希望对灾难恢复设施进行一次实时测试,但不想干扰主要设施的运营。Mark 应该选择哪种类型的测试? A.完全中断测试 B.清单复查 C. 并行测试 D. 桌面推演
61. 以下哪项不是敏捷方法救件开发的原则之一? A 最佳架构、需求和设计来自自组织团队。 B. 不频繁交付工作软件,更强调在较长时间线上创建准确的代码。 C. 欢迎在开发过程的后期更改需求。 D.简洁至关重要。
62. 在进行安全审计时,Susan 发现组织在其安全数据中心使用手掌几何扫描仪作为访问控制机制。关于使用手掌几何扫描仪,Susan 应该提出什么建议? A.它们具有很高的误拒率(FRR),应予以更换。 B.应添加第二因素,因为它们不是一种可靠区分个体的好方法。 C. 手掌几何扫描仪为数据中心提供适当的安全性,应考虑在其他高安全性区域使用。 D.它们可能会引起可访问性问题,应考虑使用其他生物识别系统。
63. Colleen 正在为她的组织进行业务影响评估。哪个指标提供了关于组织在没有服务的情况下可能造成不可逆损害的时间? A MTD(最大容忍停机时间) B. ALE(平均损失期望) C.RPO(恢复点目标) D.RTO(恢复时间目标)
64. Bailey 担心组织中的用户正在使用各种云服务中的敏感信息,并希望能够在这些服务中一致执行安全策略。哪种安全控制最适合她的需求? A. 数字版权管理(DRM) B. 入侵防御系统 (IPS) C. 云访问安全代理(CASB) D. 数据丢失预防 (DLP)
65.Matt 正在为他的组织设计一套信息处理要求,并希望借鉴常见的行业做法。他应该实施以下哪些做法?(选择所有适用项。) A. 对纸质和电子文件进行分类级别标记 B. 自动授予高级执行人员对所有机密信息的完全访问权限 C. 自动授予访客对最低敏感级别的信息的访问权限 D. 对存储和静止状态下的敏感信息进行加密
66.jerry 正在调查一起攻击事件,攻击者窃取了用户 Web 会话的身份验证令牌,并使用该令牌冒充用户登录网站。以下哪个术语最能描述这种攻击? A. 伪装 B. 重放 C. 欺骗 D. 修改
67.Lisa 想要与一个使用 OAuth 2.0 的云身份提供商集成,并且她想选择一个适当的身份验证櫃架。以下哪个选项最适合她的需求? A. OpeniD Connect B. SAML C. RADIUS D. Kerberos
68. Owen最近设计了一个安全访问控制结构,防止单个用户同时持有创建新供应商所需的角色和发放支票所需的角色。Owen正在执行哪个原则? A. 两人控制 B. 最小权限 C. 职责分寓 D.工作轮换
69.Denise 正在为她的公司与软件供应商之间的合同争议进行一场审判的准备。供应商声称 Denise与他们进行了口头协议,修改了书面合同。Denise 在辩护中应提出哪个证据规则? A. 实物证据规则( Real evidence rule) B. 最佳证据规则 (Best evidence rule) C.假设性证据规则(Parol evidence rule) D.证言证据规则(Testimonial evidence rule)
70. 当 Lauren 在监控网络连接的两端的流量时,她发现流量以入站方式进入公共IP地址,并且朝向具有 RFC 1918保留目标地址的内部主机。她应该预期在网络边界使用了什么技术? A. NAT B. VLAN C. S/NAT D. BGP
71. 关于 SSAE-18 的哪些陈述是正确的?(选择所有适用项。) A. 它规定了一组特定的控制措施。 B. 它是一项鉴证标准。 C. 它用于外部审计。 D.它使用一个框架,包括SOC1、SOC2和SOC3报告。
P563 SSAE-18:提供了通用标准审计,只需要开展一次第三方评估,不必进行多次第三方评估,组织可以与用户及潜在用户共享最终评估报告。 SOC1:评估可能影响财务报告准确性的组织控制措施 SOC2:评估影响存储在系统中信息安全性(保密、完整、可用)和隐私。是保密的,通常仅通过保密协议对外共享。 SOC3:评估影响存储在系统中信息安全性(保密、完整、可用)和隐私。是公开的。 I类报告:特定时间点的,不是持续性的。书面形式的检查,确保管理层的控制是合理和适当的 II类报告:一段时间的的,至少六个月,传统的审计。不仅检查文档还深入现场并验证。包含独立控制措施的测试。
审计标准:COBIT是一种开展审计和评估的通用框架,是一个通用要求 ISO 27001描述了建立信息安全的的标准方法,有更多的安全控制措施和细节。应用更广泛。
72. Elliott 正在使用非对称加密系统,并希望向一条消息添加数字签名。他应使用哪个密钥来加密消息摘要? A Elliott 的私钥 B. Elliott 的公钥 C. 接收者的私钥 D. 接收者的公钥
73.Greg 正在为他的组织制定一份灾难恢复计划,并希望确定在故障后恢复特定IT服务所需的时间。Greg 正在计算哪个变量? A. MTD(最大容忍停机时间) B. RTO(恢复时间目标) C. RPO(恢复点目标) D. SLA(服务级别协议)
74. 哪个业务流程通常需要经理的签署才能对系统进行修改? A. SDN B. 发布管理 C. 变更管理 D. 版本控制
75.Jen 正在为她所在组织的数据中心选择一个灭火系统,并希望缩小候选系统的范围。以下哪种灭火系统最不适合使用? A. 干管系统 B. 湿管系统 C. 预动作系统 D. FM-200 系统
76.Chris 所在的公司在每个门口张贴通知,提醒员工在进门时小心,不要让他人进入。这是哪种类型的控制? A. 发现型控制 B. 物理控制 C. 预防型控制 D. 指令型控制
77.Seth 正在为他所在组织正在建设的新设施设计物理安全控制。他希望尽可能地阻止攻击。以下哪些控制措施可以作为阻止措施?(选择所有适用项。) A. 运动探测器 B. 看门狗 C.人防陷阱 D. 照明
78. Thomas 最近签署了一项关于无服务器计算环境的协议,他所在的组织的开发人员将能够使用 Python 编写函数,并在云提供商的服务器上部署函数以进行执行。云提供商将管理服务器。以下哪个术语最能描述这种模型? A. SaaS(软件即服务) B. PaaS(平台即服务) C. laas(基础设施即服务) D.容器化
79. 一个攻击者截获了大量使用相同算法和加密密钥加密的数据。在没有其他信息的情况下,以下哪些密码分析攻击是可能的?(选择所有适用项。) A. 已知明文攻击 B.选择密文攻击 C. 频率分析 D. 穷举攻击
对于问题80-82,请参考以下情景: Alex 在他所在的大学工作已经超过10年。在这段时间里,他曾担任系统管理员、数据库管理员,并在大学的帮助台工作过。现在,他是负责运行大学Web 应用程序的团队的经理。根据所示的供应图,回答以下问题。 80. 如果 Alex 雇佣一名新员工,并且员工的帐户在人力资源部手动输入 Alex 根据一系列表单提供的信息后,通过供应系统进行供应,那么发生了哪种类型的供应? A. 自由裁量账户供应 B. 工作流程为基础的账户供应 C. 自动账户供应 D. 自助账户供应 81 Alex 在图中拥有 B、C和D的访问权限。他应该向大学的身份管理团队提出哪个关注点? A. 供应过程没有给予他所需的权限。 B. 他拥有过多的权限。 C. 可能存在权限滥用问题。 D. 日志记录未正确启用。 82. 当 Alex 改变角色时,应该发生什么? A. 他应被撤销,然后创建一个新账户。 B. 应将他的新权限添加到现有账户中。 C.他只应根据自己的角色进行供应。 D. 他的权限应与他所替代的人的权限相匹配。
83. Robert 正在审查一个在公共标准准则下被分配 EAL2 评估保证级别的系统。关于该系统,他可能对哪个级别的保证具有最高的确信度? A. 它已经经过功能测试。 B.它已经经过结构测试。 C.它已经经过正式验证、设计和测试。 D. 它已经进行了半正式设计和测试。
84.Adam 正在处理一项终端用户的访问请求。在授予访问权限之前,他应该验证哪两项内容? A. 分离和需要知道 B. 清除和认可 C. 清除和需要知道 D. 第二要素和清除
85,在电子数据发现參考模型的哪个阶段,组织确保潜在可发现信息免受更改或删除的保护? A. 确认阶段 B. 保护阶段 C. 收集阶段 D. 处理阶段
86. Dana 正在为她的组织选择一个哈希函数,并希望在考虑到密码学强度的同时,兼顾算法的速度和效率。以下哪个哈希函数最能满足她的需求? A. MD5 B. RIPEMD C. SHA-2 D. SHA-3
87. Harry 想要访问 Sally 在文件服务器上存储的一份文档。将主体/客体模型应用于这个场景,资源请求的对象是谁或什么? A. Harry B. Sally C. 文件服务器 D. 文档
88. 当会请层从传输层发送的数据中移除标头时,会发生什么过程? A. 封装 B. 数据包解封 C. 解封装 D. 载荷处理
89.Rob 正在使用犯罪预防环境设计(CPTED)框架审查他所在组织的校园物理安全。以下哪一项不是该框架中的策略? A. 自然入侵检测 B. 自然访问控制 C. 自然监视 D. 自然领土强化
CPTED 理论涉及六项原则:监视、访问控制、领域感加强、目标加固、活动支持和维护。
90.哪种标记语言使用请求机构、供应服务点和供应服务目标的概念来处理其核心功能? A. SAML B. SAMPL C. SPML D. XACML
92.MAC模型使用三种类型的环境。以下哪项不是强制访问控制设计? A. 分层 B. 带括号的 C.隔离 D. 混合
P531 MAC环境:分层环境:将分类标签关联到按低中高排序的结构 分区环境:一个安全域与另一个安全域之间无关联。每个域是一个单独的隔离区,如果要访问,主题必须拥有该客体安全域的明确许可 混合环境:结合了分层和分区,每个分层有多个子分层,子分区之间隔离
93. Mandy 是一个项目团队的负责人,团队包括六个人。她希望向这些人提供私密通信的能力,使得任何两个人都可以交换不受其他人(因队成员或非团队成员)窃听的通信。她正在使用非对称加密算法。为了实现这些要求,需要多少个密钥? A. 6 B. 12 C. 15 D. 36
94. Sally正在布线一条千兆以太网网络。为了确保她可以提供给用户完整的 1000 Mbps 网络使用速度,她应该做出哪种电缆选择? A. Cat 5 #0 Cat 6 B. Cat 5e 和 Cat 6 C. Cat 4e #0 Cat 5e D. Cat 6 #0 Cat 7
95. Ursula 希望扩大她所在组织网站的覆盖范围和可扩展性。她想在世界各地的靠近网站访问者的位置上放置数据的副本,以减少加载时间并减轻服务器的负担。哪种类型的云服务最能满足她的需求? A. laaS B. 容器化 C. CDN D. SaaS
96.Bobert是一家小企业的网络管理员,最近安装了一个新的防火墙。在发现异常的大量网络流量迹象后,他检查了入侵检测系统,该系统报告称正在进行Smurt 攻击。Robert 可以进行哪种防火墙配置更有效地防止这种攻击? A. 阻止攻击源IP地址。 B. 阻止入站 UDP流量。 C.阻止攻击目标 IP地址。 D.阻止入站ICMP流量。
97.以下哪种类型的防火墙没有跟踪不同数据包之间的连接状态的能力? A.有状态检查 B. 应用代理 C.包过滤 D.下一代
98. Frances 担心她所在组织的服务器设备故障将导致服务器断电。以下哪种控制措施最能解决这个风险? A. 冗余电源 B. 备用发电机 C. 双重电源 D. 不间断电源
99.Peter 正在审查他所在组织使用的远程访问技术,并希望消除不包括内建加密的任何技术。他应该保留以下哪种方法?(选择所有适用项。) A. RDP B. Telnet C. SSH D. 拨号
100.Matthew 在他所在组织的网络上遇到了网络服务质量问题。主要症状是数据包从源地址到目的地址的传输时间偶尔过长。这种延迟的长度会对各个数据包不同。描述了 Matthew 面临的问题的术语是什么? A. 延迟 B. 抖动 C. 丟包 D. 干扰
101. Gavin 是一名内部审计员,正在评估他所在组织的网络安全状况。以下谁是他生成的报告的适当接收方?(选择所有适用项。) A. 经理 B.个人贡献者 C. 供应商 D. 董事会成员
102.Kim 正在对她组织开发的Web 应用程序进行测试,并希望确保它可以在所有常用的Web 浏览器中访问。她应该进行哪种类型的测试? A. 回归测试 B. 接口测试 C.'模糊测试 D. 白盒测试
记住
103. Kathleen 正在为她的组织实施一种访问控制系统,并构建了以下数组; Reviewers:更新文件、删除文件 Submitters: 上传文件 Editors: 上传文件、更新文件 Archivists: 删除文件 Kathleen 实施了哪种类型的访问控制系统? A. 基于角色的访问控制 B. 基于任务的访问控制 C. 基于规则的访问控制 D. 自主访问控制
104.Alan 正在安装一个灭火系统,该系統在发生火灾后激活并保护数据中心的设备免受严重损坏。Alan 试图降低哪个度量指标? A. 发生可能性 B. 恢复时间目标 C. 恢复点目标 D. 影响
105.Alan 的扳手公司最近开发了一种新的生产工艺。他们计划在内部使用这项技术,不与他人分享。他们希望这项技术能够尽可能长时间受到保护。哪种类型的知识产权保护最适合这种情况? A. 专利 B. 版权 C. 商标 D. 商业秘密
106. Ben 希望使用标准化协议与国家漏洞数据库进行接口。他应该使用哪个选项来确保他构建的工具可以与 NVD 中的数据一起使用? A. XACML B. SCML C. VSML D. SCAP
SCAP框架协议中的CVE、OVAL、CCE、CPE等4种网络安全相关标准数据库。用户可以方便地使用本站对CVE漏洞库、OVAL漏洞检查语言、CCE通用配置枚举以及CPE平台列表进行查询 可扩展访问控制标记语言(XACML),是一种在国际互联网上用XML语言来为信息访问表达访问控制策略的一种OASIS规范。
107.Ron 的组织没有资源进行使用时间密集型的手动技术进行渗透测试,但他希望获得一些渗透测试的好处。他可以采用以下哪种技术来实现,这种技术需要的手动工作最少? A. 白盒测试 B. 黑盒测试 C. 灰盒测试 D. 违规和攻击模拟
记住
108. 在此处显示的图中,Harry 的读取数据文件的请求被阻止。Harry 具有机密级别的安全许可,并且数据文件具有最高机密级别。Bell-LaPadula 模型的哪个原则阻止了此请求? Read Request Harry Data File A. 简单安全性原则 B. 简单完𤨣性原则 C. *-安全性原则 D. 自主安全性原则
110. 在决策树中,以下哪个术语表示一个决策点? A. 叶节点 B. 节点 C. 分支 D. 根节点
一个决策树包含三种类型的节点: 1.决策节点:通常用矩形框来表示 2.机会节点:通常用圆圈来表示 3.终结点:通常用三角形来表示 决策树是一个预测模型;他代表的是对象属性与对象值之间的一种映射关系。树中每个节点表示某个对象,而每个分叉路径则代表的某个可能的属性值,而每个叶结点则对应从根节点到该叶节点所经历的路径所表示的对象的值。决策树仅有单一输出,若欲有复数输出,可以建立独立的决策树以处理不同输出。数据挖掘中决策树是一种经常要用到的技术,可以用于分析数据,同样也可以用来作预测。
111. Gwen 遇到了一个在 Web 服务器上以服务账号运行的应用程序。该服务账号对服务器拥有完全的管理员权限。这违反了信息安全的哪个原则? A. 需要知道原则 B. 职责分离原则 C. 最小权限原则 D. 工作轮换原则
112. Ed 正在为他所在组织的信息安全计划制定一套关键绩效指标和风险指标。 以下哪些是常用的指标?(选择所有适用项。) A. 定期审计的数量 B. 解决漏洞所需的时间 C. 恶意网站访问尝试的数量 D. 帐号被破坏的数量
113.Kara正在记录一次漏洞扫描的结果。在审查一个发现后,她确定该漏洞确实存在。然后团队实施了一个配置更改来修复这个问题。Kara应该如何在报告中分类这个漏洞? A. 真阳性 B. 真阴性 C. 假阳性 D. 假阴性
对于问题 114-116,请参考以下场景: 在一个 Web 应用程序漏洞扫描测试中,Steve 使用 Nikto 对一个他认为可能存在攻击漏洞的Web服务器进行了扫描。使用如下所示的 Nikto 输出回答以下问题。 114.为什么 Nikto 会标记/test 目录? A. /test 目录允许对 PHP进行管理员访问。 B. 它用于存储敏感数据。 C. 测试目录通常包含可能被滥用的脚本。 D. 这表示潜在的受损。 115. 为什么 Nikto 将目录索引标识为一个问题? A. 它列出了一个目录中的文件。 B. 它可能导致XDRF。 C. 目录索引可能导致拒绝服务攻击。 D. 目录索引默认关闭,可能表示受损。 116. Nikto 列出了OSVDB-877,指出系统可能存在 XST 漏洞。这种类型的攻击允许攻击者做什么? A.使用跨站点定向。 B. 窃取用户的 Cookie。 C. 对抗 SQL 跟踪。 D. 修改用户的TRACE 信息。
XST 的原理 跨站点追踪利用了HTTP 请求方法TRACE 访问Web 服务器,并且在响应中回显浏览器HTTP 请求的基本原理。对XST 攻击的常见误解可能是TRACE 只能回显JS 代码,从而触发XSS 漏洞。而XST 攻击的真正结果是暴露了JavaScript 无法访问的HTTP 请求头部,包括受HttpOnly 保护的Cookie 信息。
117.对于一个组织的首席审计主管(CAE),谁将是最合适的主管? A. CIO B. CISO C. CEO D. CFO
记住
118. Ursula 认为她组织中的许多人在以不安全的方式在他们的笔记本电脑上存储敏感信息,这可能违反了组织的安全政策。她可以使用哪种控制来确定这些文件的存在? A. 网络数据丢失防护(DLP) B. 网络入侵防护系统(IPS) C. 终端数据丢失防护(DLP) D. 终端入侵防护系统(IPS)
119.在哪种云计算模式中,客户在自己的数据中心建立一个云计算环境,或者在另一个数据中心建立一个专供客户使用的环境? A. 公共云 B. 私有云 C. 混合云 D. 共享云
120.以下哪项技术旨在防止Web 服务器离线成为Web 应用程序架构中的单点故障? A. 负载均衡 B. 双电源供应 C. 入侵防护系统 (IPS) D. RAID
121. Alice 想向 Bob 发送一条消息,并确保 Bob 知道这条消息在传输过程中没有被篡改。Alice 试图实现哪个安全目标? A. 机密性 B. 不可否认性 C. 身份认证 D. 完整性
123.Monica 正在开发一个软件应用程序,、用于计算个人的身体质量指数,以便在医疗规划中使用。她希望在医生输入个人体重的字段上包含一个控制,以确保体重在预期范围内。Monica 应该使用哪种类型的控制? A. 故障开放 B. 故障安全 C. 限制检查 D. 缓冲区界限
124. 将下列编号的测试方法与字母的正确知识级别相匹配: 测试方法 1. 黑盒测试 2. 白盒测试 3. 灰盒测试 知识级别 A. 对系统有完全的了解 B. 部分或不完整的了解 C. 对系统没有先前的了解 125. 将下列字母因素与其编号的类型相匹配: 因素 A.PIN码 B. 令牌 C. 指纹 D. 密码 E. 智能卡 F. 视网膜扫描 G. 安全问题/答案 类型 1. 你所知道的( Something you know) 2. 你所拥有的(Something you have) 3. 你所是的 1 (Something you are)
答案
1-20 (A, B, D)B(A, B, C)BD CCCBB DCDBC ABBB(B, C) 21-40 C(A, C, D)AAA CAACD D(A, B, C, D)ACA CABBC 41-60 CCBBC CCADC DAAB, D)D ABABC 61-80 BBAC(A, D) BACCA (B, C, D)ABCB D(B, D)B(C, D)B 81-100 CBCB CDCAC DBBBC DCC(A, C)B 101-120 (A, B, D)BADD DDABB C(B, C, D)ACA BCCA 121-125. DCC(CAB)(1ADG,2BE,3CF)