导图社区 CISSP综合练习题二
本人精选的CISSP练习题,帮助广大考生更好地备考CISSP考试,通过大量高质量的习题,全面覆盖CISSP考试大纲的各个知识点,帮助考生巩固所学知识,提升解题能力,从而在考试中脱颖而出。比较有参考价值,可以作为复习知识点查漏补缺。
编辑于2024-08-13 09:59:59本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
本人在准备CISSP考试中自己总结的复习习题、各种模拟题中的重点、难点。本文内容除了书中内容意外还有很多从网上查找的补充内容,非常具有复习价值!
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
社区模板帮助中心,点此进入>>
本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
本人在准备CISSP考试中自己总结的复习习题、各种模拟题中的重点、难点。本文内容除了书中内容意外还有很多从网上查找的补充内容,非常具有复习价值!
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
模拟题二
题
1.James 正在光他的组织制定一份灾难恢复计划,并希望确定停机后可以接受的数据损失量。James 正在确定哪个变量? A.SLA(服务级别协议) B. RTO(恢复时间目标) C.MTD(最大容忍时间) D.RPO(恢复点目标)
BCP是重点
2. 在他的角色中,Chris 有责任保护组织的利益以及他负责保护信息的客户的利益。在做出决策和行动之前进行的准备和研究被称为什么? A. 应尽关系(Due care) B. 合规性(Compliance) C.应尽职责(Due diligence) D. 监管行动(Regulatory action)
3.Alex 正准备寻求公司网络和系统渗透测试的竞标。他希望最大限度地提高测试的效果,而不是测试的真实性。在竞标过程中,他应该要求进行什么类型的渗透测试? A. 黑盒测试 B. 白盒测试 C. 灰盒测试 D. 零盒测试
4. 应用程序横幅信息通常在渗透测试的哪个阶段记录? A. 计划阶段 B. 攻击阶段 C. 报告阶段 D. 发现阶段
抓取横幅 nmap 可以做的另一个功能是抓取横幅。这意味着它连接到应用程序端口,并获取服务器应用程序在该连接上发出的任何消息。这些被称为横幅或欢迎信息。有时你可以从他们那里得到应用程序的名字和版本号。 因为使用nmap,是收集环境信息,确定系统功能以及开放端口阶段,所以是发现阶段
5.Tony希望为他的组织进行一次灾难恢复计划测试演习。如果他希望这次演习尽可能真实,并且能够干扰组织的运作以进行演习,他应该进行哪种类型的漢 A. 阅读演练 B. 完全中断 C. 步行演练 D. 模拟演练
测试灾难恢复
1.通读/桌面演练 (Read-through/Tabletop)
•最简单的 BCDR 测试
•与各利益相关者讨论计划
•检查关键信息和流程
2. 演练(Walkthrough)
•在实际场景中进行演练
•对关键参与者进行实地操作
•发现潜在问题和假设
3.仿真模拟 (Simulation)
•类似于火警演练
•针对特定场景进行应对
•验证恢复时间目标 (RTO) 和恢复点目标 (RPO)
4.平行测试 (Parallel)
•同时测试主备系统
•确保备用系统能承受实际负载
•发现配置错误或数据备份问题
5.全面中断 (Full Interruption)
•模拟真实灾难发生
•高成本,可能影响正常运营
•识别 BCDR 计划和流程中的所有问题
6. jim被要求识别用户携带到工作场所的设备,作为新的BYOD政策的一超分。这些设备不会加入像Active Directory的中央管理系统:但是她仍然需要可靠的识别每个设备。以下那种手段提供了最可靠的手段? A.记录每个系统的MAC地址。 B. 要求用户填写注册每个系统的表格。 C. 使用端口扫描器扫描每个系统。 D. 使用基于Web 的设备指纹识别系统。
没查到D
7.Ben在一个使用正式数据治理计划的组织工作。他正在咨询一名正在进行一个全新数据类别项目的员工,并希望与适当的人员合作为该信息分配一个分类级别。谁负责将信息分配给分类级别? A. 数据创建者 B. 数据所有者 C. CISO(首席信息安全官) D. 数据保管员(Data custodian)
8.James 希望确保公司的备份能够经受住数据中心发生的灾难。以下哪个选项是解决这个问题的最佳方案? A. 离线备份 B. 一个祖父/父亲/儿子备份分层系统 C. 冗余备份系统 D. 快照到SAN(存储区域网络)或 NAS(网络附加存储)
没查到A
9.Gabe 对作为组织信息安全计划基石的密码安全性表示关注。以下哪项控制措施将最大程度改善 Gabe 验证用户的能力? A. 更复杂的密码 B. 用户教育防范社会工程攻击 C. 多因素认证 D. 添加基于个人知识的安全问题
10. 将网络基础设施与控制层分离,并结合能够以供应商中立、基于标准的实施方式对网络设计进行集中编程的能力,是什么重要概念的例子? A. MPLS(多协议标签交换),一种用较短标签替换较长网络地址并支持广 泛协议的方法 B. FCoE(以太网上的融合协议),允许在以太网上进行常见应用理序 C.SDN(软件定义网络),允许网络虚拟化的融合协议 D.CDN(内容分发网络),使常见网络设计可访问的融合协议
11.Susan 正在准备废弃包含绝密数据的存档 DVD-ROM.她应该如何确保数指 不会被暴露? A. 磁化消除(Degauss) B. 零擦除 (Zero wipe) C. 粉碎 (Pulverize D. 安全擦除(Secure erase)
12.susan 担心一个复杂的变更,并希望确保如果变更计划不接计划进行,组织可以进行恢复。作为组织变更咨询委员会(CAB)的成员,她应该要求什么? A. 基于风险拒绝变更。 B. 要求进行第二次变更审查。 C.确保存在回退计划。 D. 确保存在故障转移计划。
13.Angie 正在配置网络的出口监控以提供增加的安全性。以下哪种数据包类型应该允许离开网络并前往互联网? A. 源地址为 Angie 的公共IP 地址块的数据包 B. 目标地址为 Angie 的公共IP地址块的数据包 C. 源地址在 Angie 的地址块之外的数据包 D. 源地址为 Angie 的私有地址块的数据包
14. Matt 正在对Linux服务器进行渗透测试,并成功获得了管理员账户的访问权限。他现在想获得密码哈希值,以便用于暴力攻击。假设系统配置符合现代安全标准,他很可能在哪里找到这些哈希值? A. /etc/passwd B. /etc/hash C. /etc/secure D. /etc/shadow
root@root:~# cat /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin admin:x:3:3:admin:/dev:/usr/sbin/nologin
root@www:~# cat /etc/shadow root:$6$X9iEgIhv$wGtrUhjiNRp72LgCTzC1qdi.myfSU9S5nqsfr.m1KInUFoeOUBN73AmMy5sTe91biJLdHgsoimZQzeD9EvGlv1:16769:0:99999:7::: daemon:*:16547:0:99999:7::: bin:*:16547:0:99999:7::: sys:*:16547:0:99999:7::: sync:*:16547:0:99999:7::: games:*:16547:0:99999:7::: man:*:16547:0:99999:7:::
15.Theresa 正在实施一套新的访问控制系统,并希望确保开发人员不能将代码从开发系统移入生产环境。她希望确保检入代码的开发人员不能在流程中批准自己的代码。她正在最直接地执行哪个信息安全原则? A. 职责分离 B. 两人控制 C. 最小特权 D. 工作轮换
16.以下哪个工具可以实现不可否认性的目标? A. 数字签名 B. 对称加密 C.防火墙 D. IDS(入侵检测系统)
18.用于 Cisco网络设备常用的RADIUS 替代方案,并支持双因素身份验证的是什么? A. RADIUS+ B. TACACS+ C. XTACACS D. Kerberos
19. VoIP 呼叫管理器和VoIP 电话最容易受到哪两种类型的攻击? A. DoS 和恶意软件 B. 蠕虫和木马 C. DoS 和主机操作系统攻击 D.主机操作系统攻击和缓冲区溢出
可以伪造来电显示 呼叫管理系统和VoIP电话本身可以受到主机操作系统攻击和DoS攻击。如果设备或软件的主机操作系统或固件存在漏洞,风险增加 伪造呼叫管理器或者断电连接协商或响应消息执行MITM/路径攻击 存在802.1X身份伪造以及VLAN和VoIP跳转攻击 流量未加密 RTP、SRTP在会话初始协议SIP建立端点之间通信链路后接管
20 Kivan在一家连锁零售店工作,想使用一数欲件产品,部欧增修導上觀果的软件限制为预先批准的清单上的软件包。Vwan 应该使用原种方法? A. 杀毒软件 B. 启发式 C. 白名单 D. 黑名单
针对问题 21-23,请参考以下情景; Hunter是 DataTech 公司的设施经理,这是一家大型的数据中心管理公司。他正在评估在 DataTech 的一个没施中安装防洪系统。该设施及其内寄的价值为1亿美元。安装新的防洪系统将耗资1000万美元。 Hunter 咨询了洪水专家,并确定该设施位于200年洪水平原内,如果发生洪水,可能会对设施造成 2000万美元的损失。 21. 根据这个情景中的信息,DataTech 数据中心的洪水影响因素是多少? A. 2% B. 20% C. 100% D. 200% 22. 根据这个情景中的信息,DataTech 数据中心发生洪水的年化发生率是多少? A. 0.002 B. 0.005 C. 0.02 D. 0.05 23. 根据这个情景中的信息,DataTech 数据中心发生洪水的年化损失预期是多少? A. 40,000 美元 B. 100,000 美元 C.400,000 美元 D.1,000,000美元
24. 在账户管理评估中通常评估哪些账户? A.随机抽样 B. 高权限账户 C. 最近生成的账户 D. 存在较长时间的账户
25 云计算使用共享黄任模型来处理安全问题,其中供应商和客户都承担一定的安全责任。责任的分工取决于使用的服务类型。请将以下列出的云服务按照客户承担责任最少到客户承担责任最多的顺序排列。 1. laaS 2. SaaS 3. PaaS A. 1,2,3 B. 2,1,3 C. 3,2,1 D. 2,3,1
26.当使用生物识别认证器的有效主体未被认证时,会发生什么类型的错误? A 一类错误 B. 二类锴误 C. 三类锚误 D.四类锚误
27. 办公桌下的紧急按钮是哪种类型的物理安全系统的常见例子? A. 隔离按钮 B.键盘记录器 C. 按钮锁 D. 胁迫系统
28. Henry 在一个 Apache Web 服务器上运行 Nikto,并收到了下面显示的输出。以下哪个陈述对他的报告来说最不重要? + Target IP.10.0.2.7 + Target Hostname 10.0.2.7 + Target Port: 80 + Start Time: 2020-04-26 21:54:21 (GMT-4) + Server. Apache/22.14 (Ubuntu) mod_mono/2.4.3 PHP/5.3.2-1ubuntu4.30 with Suhosin-Patch proxy_html/3.0.1 mod _python/3.3.1 Python/2.6.5 mod_ss|/2.2.14 OpenSS/0.9.8k Phusion_Passenger/4.0.38 mod_perl/2.0.4 Perl/v5. 10.1 + Server may leak inodes via ETags, header found with file /, inode: 286483, size: 28067, mtime: Thu Jul 30 22:55:52 2015 + The anti-clickjacking X-Frame-Options header is not present. + The X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some forms of XSS A. 缺失的点击劫持x-frame 选项可能被用于将输入重定向到恶意站点或框架。 B. 应该启用跨站脚本保护,但没有启用。 C.来自 Linux 系统的索引节点信息泄露是一个严重的漏洞,允许使用节点引用直接访问文件系统。 D. 服务器是一个 Linux 服务器。
29. George 正在协助检察官起诉一名企图入侵 George 所在公司计算机系统的黑客。他向检察官提供了系统日志作为证据,但检察官坚持要求 George 在法庭上就他如何收集日志作证。哪个证据规则要求 George 作证? A.证词证据规则 (Testimonial evidence rule) B. 假定证据规则(Parol evidence rule) C.最佳证据规则 D. 传闻规则
30. 以下哪项不是关键风险指标(KRI)的有效用途? A. 在问题发生之前提供警告。 B. 提供实时事件响应信息。 C. 提供过去事件的历史视图。 D. 提供组织的风险容忍度洞察。
预警指标。预警指标值的变化先于实际风险状况的变化,参考这种指标可以发现“预先警示标志”,分析未来风险状况及其对今后保险公司经营效益的影响,是对未来产生影响的操作风险监测指标 同步指标。同步指标值的变化同步于风险状况的变化,它的变化时间与风险情况基本一致,用于定义“正在发生的风险”,其中潜在损失事件可能导致一家或者另一家机构产生风险 滞后指标。滞后指标用于反映或查找“历史事件”,其值的变动时间往往落后于实际风险状况的变动。同步指标和滞后指标可以显示风险变动的总趋势,并确定或否定预警指标预示的风险变动趋势,而且通过它们还可以看出风险变化的深度 根据所监测操作风险的影响面和重要程度,KRI还可以分为核心指标、重要指标和普通指标三个层次。核心指标是代表涉及保险公司核心业务的主要风险的指标,重要指标是代表保险公司核心业务具体细分之下的业务风险的指标,普通指标是代表除核心业务之外的其他业务具体细分之下的业务风险的指标。某寿险公司采用了这种风险指标分类方法,将KRl分为核心KRI、具体的核心务KRI和具体的其他业务KRI三类。
31.以下哪种恶意软件类型使用内置的传播机制,利用系统漏洞进行传播? A. 特洛伊木马 B. 蠕虫 C. 逻辑炸弹 D. 病毒
32. 作为公司安全团队的一部分,你被要求就如何确保媒体不被不当使用或存储提供建议。哪种解决方案将帮助你的组织的员工适当处理媒体? A. 使用敏感级别标签 B. 对敏感媒体进行加密 C. 双重控制媒体系统 D. 清理台面政策
33.Alaina 希望为她的组织的威胁情报工作采用一个广泛采纳的威胁建模框架。 如果她希望使用现有工具帮助她的威胁建模团队将内部创建的情报和外部威胁源数据整合起来,你会建议她采用以下哪个? A. Diamond 入侵分析模型 B. ATT&CK C. 微软的威胁-跳跃建模系统 D. 威胁-EN
34. 敏捷方法在软件开发中的原则中,以下哪项不属于其中之一? A. 传递信息的最有效方法是电子方式。 B. 工作软件是进展的主要衡量标准。 C.简洁是至关重要的。 D. 业务人员和开发人员必须每天合作。
35. Harry 担心他所在组织的会计人员会修改数据,以掩盖他们通常访问的账户中的欺诈行为。以下哪个控制措施最能防御这种类型的攻击? A. 加密 B. 访问控制 C. 完整性验证 D. 防火墻
C
36. Ben 希望利用环境设计预防犯罪的概念来帮助保护他的设施安全。以下哪个不是该设计概念的常见例子? A. 安装摄像头以充分展示,以起到威慑作用。 B 强制花盆的文小以理充被用作躲藏之用。 C. 将数据中心讯置在建服物过缘,以增强安全性。 D. 使交货通道和入口对公众不太可见。
37.Maena希單确保地的供应種风险得到有效管理。以下需项不是她应该在续立現入的會建计划市包持的常见做活? A 在适当的情况下便用合同控制,如保险和责任限制。 B 提供宜一供应商以璃深供应商稳定性。 C. 确保关键组件奇在多个供应商。 D.验证潜在供应商的财务稳定性。
使用下表和你对审计过程的了解,回答问题38-40。 38 当 Susan 的公司准备将数据中心迁務到基础设施即服务IaaS提供商时。 他们想要了解新提供商的安全性、完整性和可用性控制的有效作。那个SOC将为他们提供最详细的信息,包括审计师对 IaaS 提供商控制措施有效性的评估? A SOC 1 B. SOC 2 C SOC3 D.所有 SOC 报告都不适合此情况,他们应请求其做形式的深售。 39 Susan 希望确保她的組织要求的审计报告包括外部审计师的意见和一段的时间内对控制实施的信息。她应该请求哪种类型的报告? A.SOC2. Туре 1 B. SOC 3, Туре 1 C. SOC2, Type 2 D. SOC 3. Туре 2 40 当 Suasan 请求 SOC2报告时,她收到了SOC1报告,Suna应遇到问題? A.SOC1报告只显示公开可用的信息。 B SOC1报告涵盖财务数据。 C SOC1报告只涵盖一个时间点。 D.SOC 1报告只使用三个月的测试期间
41. Brad 希望聘请第三方审计员评估与他公司签订合同的供应商。如果 Brad 希望评估供应商的安全策略和控制措施以及这些控制措施的有效性,他应要来审计员执行哪个 SOC级别和类型? A. SOC 1, Type 2 B. SOC 2, Type 1 C. SOC 1, Type 1 D. SOC 2, Type 2
42. Bell-LaPadula 是什么类型的访问控制模型的示例? A. DAC(自主访问控制) B. RBAC(基于角色的访问控制) C. MAC(强制访问控制) D. ABAC(基于属性的访问控制)
43. Martha 是一所小学院的信息安全官,负责保护学生记录的隐私。哪项法律最直接适用于她的情况? A. HIPAA B. HITECH C. COPPA D. FERPA
GLBA:金融服务现代化法案; SOX:公司和证券监管问题所立的监管法规 HIPAA:医疗相关法案,保护患者医疗信息的法案 FERPA:家庭教育权利和隐私法,是美国联邦法律,旨在保护学生教育记录(包括个人身份和目录信息)的隐私 FISMA:联邦信息安全管理法案(The Federal Information Security Management Act FISMA)定义了一个广泛的框架来保护政府信息,操作和财产来免于自然以及人为的威胁。 GISRA:政府信息安全改革法案;政府信息安全改革条令;以法律形式规定了政府各部门必须对其电子信息系统进行风险评估,并定期向OMB报告 ECPA:电子通讯隐私法(ElectronicCommunicationsPrivacyAct,ECPA)是美国国会于1986年制定,以延伸原先在电话有线监听的相关管制(包含透过电脑的电子数据传递)。 CALEA:通信协助执法法案;通信协助法;执法中的通讯协助法案(Communications Assistance for Law Enforcement Act) Privacy Act:隐私法案
44.哪项美国联邦法律规定了受保护健康信息的安全性? A. FERPA B. SAFE 法案 C. GLBA D. HIPAA
45.以下哪项技术可以用于利用 TOC/TOU 漏洞? A. 文件锁定 B. 异常处理 C. 算法复杂性 D. 并发控制
检查时间到使用时间(TOC/TOU)攻击---竞态条件 状态攻击:TOC/TOU攻击、竞态条件攻击、通信中断
46 Susan 正在配置网络设备以使用syslog。为了确保她在出现问题时收到通知,但不接收正常运行问题消息,她应设置什么? A. 设施代码 B. 日志优先级 C. 安全级别 D. 严重程度级别
记住D
471.RAlD 级别中也被称为磁盘镜像的是? A RAID O B. RAID 1 C. RAID 3 D. RAID 5
48 IsaaC 最近从交换机供应商购买了一台48 端口交换机。供应商宣布 Isaac 购买的交换机型号明年将停产。这对 Isaac 来说意味着什么? A. 设备明年将停止销售。 B.设备明年将停止运行。 C. 设备明年将不再受支持。 D.设备将至少获得三年的支持。
49.调查、面试和审计都是衡量组织安全姿态中哪个重要部分的方式? A. 代码质量 B.服务漏洞 C. 意识 D. 攻击面
记住C
50.Tom是一家互联网服务提供商的总法律顾问,最近收到了一起针对该公司的诉讼通知,原因是客户通过该提供商的电路非法传输了受版权保护的内容。 哪项法律保护了 Tom 的公司? A. 计算机欺诈和滥用法案 B. 数字千年版权法 C.窃听法 D.版权法
51. 基于时间或基于算法系统生成动态密码的第二种身份验证因素是什么类型的身份验证器? A. PIl(个人身份信息) B.智能卡 C. 令牌 D.ACAC(自适应身份和访问控制)
5.2.2.3 你有什么(类型 2)
如数字证书、身份徵章或智能卡、物理认证令牌和基于智能手机的认证器应用程序。通常不单独使用,可能存在共享或借用。
1.数字证书:电子证明,证明拥有者的身份和公钥。
2.号份徽章或智能卡:带有识别用户身份的物理介质。智能卡器输人密码或指纹验
3.物理认证令牌:生成一次性认证代码的物理设备。
•同步动态密码令牌(TOTP):与服务器时间同步,定期生成密码。
•异步动态密码令牌(HOTP):手动触发获取动态密码,使用nonce (一次性使用的数字)确保密码的一次性。TOTP 使用基于时间的一次性密码标准。HOTP 使用基于 HMAC 算法的一次性密码标准。
4.基于智能手机的认证器应用程序:移动应用,生成一次性认证代码,并通过智能手机验证用户身份。
52.Fred 的新雇主聘请他担任一个能够访问其商业机密和机构内部机密数据的积位。如果他选择离职去竞争对手公司工作,他的雇主应该使用什么法律工具来帮助保护他们的数据? A. 暂停命令 B. 保密协议 (NDA) C. 使用政策(AUP) D. 加密
53.Mark 的公司涉及一起民事案件。他可能需要满足哪个证据标准? A. 真实证据标准 B.超出合理怀疑的标准 C.证据的优势标准 D. 文件证据标准
54,当使用具有8位二进制加密密钥的加密算法时,可能存在多少个可能的密 A. 16 B. 128 C. 256 D. 512
55.当根据IT系统的特定需求应用安全控制时,正在执行的活动是什么? A. 标准化 B. 基准化 C. 限定范围 D. 编辑
56.在电子发现过程的哪个阶段,组织会对收集到的信息进行初步剪辑,以丢弃无关的信息? A. 保存 B. 鉴定 C. 收集 D. 处理
57.Ben 的工作是确保数据标记有适当的敏感性标签。由于 Ben 为美国政府工作,他必须将 Unclassified、Confidential、Secret 和 Top Secret 等级的标签应用于系统和介质。如果要求 Ben 为处理 Secret、 Confidential 和 Unclassified 信息的系统标记标签,他应该如何标记它? A. 混合分类 B. 机密 C.最高机密 D. 机密
58.Susan 发现用于保护她工作场所的基于智能卡的锁定系统不起作用,因为工作人员会撑开门。她在门上放置提醒工作人员撑开门会造成安全问题的标志,并添加了如果门超过五分钟保持开启将会响起警报的控制措施。她采取了哪种类型的控制措施? A. 物理控制 B. 行政控制 C. 补偿控制 D. 恢复控制
59.Ben担心针对他的系统的密码破解攻击。他希望实施控制措施,防止攻击者轻易破解已获得的哈希值。哪两种控制措施最能满足这个目标? A. 更长的密码和加盐 B. 通过网络加密和使用 SHAI 替代 MD5 C. 加盐和使用MD5 D. 使用影子密码和加盐
60. 哪个群体最适合评估组织的行政控制,并向第三方提供可信的报告? A. 内部审计员 B.渗透测试员 C. 外部审计员 D.设计、实施和监控控制措施的员工
61. Lucca 的经理不想为组织的Web 应用程序堆栈采用开源软件包。在考虑开源软件包时,哪个软件安全优势最重要? A. 代码未编译 B.代码免费 C. 能够检查代码 D. 能够更改代码
记住
62. 作为雇佣新员工的一部分,Kathleen 的身份管理团队创建了一个新的用户对象,并确保该用户对象在需要的目录和系统中可用。这个过程被称为什么? A. 注册 B. 配置 C. 填充 D. 认证器加载
记住
63.在软件变更管理过程的哪个阶段,变更被最终确定? A. 请求控制 B. 配置控制 C. 发布控制 D.变更控制
64.Alice 正在为六个用户设计一个对称加密算法的密码系统,并希望任何两个用户能够相互通信而不必担心第三个用户窃听。她需要生成多少个对称加密密 A. 6 B. 12 C. 15 D. 30
65. 以下哪种知识产权保护机制在美国拥有最短的持续时间? A. 版权 B. 专利 C. 商标 D. 商业机密
66.Gordon 正在为一家制造公司的IT运营制定业务连续性计划。该公司位于北达科他州,目前正在评估地震风险。他们选择采取风险接受策略。以下哪项行动符合该策略? A. 购买地震保险 B. 将数据中心迁至更安全的区域 C. 记录决策过程 D. 重新设计设施以抵御地震冲击
67.Carol 希望实施一种控制措施,以保护组织在数据中心短暂停电时的情况。 哪种控制措施最适合她的需求? A. 冗余服务器 B. RAID C. UPS(不间断电源) D. 发电机
68. 尽管要求用户每30天更改密码,但 Ben 在他的组织中遇到了用户重复使用密码的问题。Ben 应该采用哪种类型的密码设置来帮助防止这个问题? A. 更长的最小密码使用期限 B. 增加密码复杂性 C. 实施密码历史记录 D. 实施密码长度要求
69.Chris 正在为他的组织进行风险评估,并确定了一次洪水可能给设施造成的损失金额。Chris 确定了哪个度量标准? A. 年度损失预期(ALE) B. 单次损失预期(SLE) C. 年度发生率(ARO) D. 平均价值 (AV)
70,在将计算机退役并作为剩余物品出售之前,从计算机中移除硬盘驱动器是哪种类型的操作? A. 清除(Purging) B. 消毒(Sanitization) C. 磁化抹除(Degaussing) D. 销毁(Destruction)
A P147 · 擦除:删除操作,实际数据仍保留在驱动器上 · 清理:清理或覆盖,不能使用传统恢复工具恢复数据 · 清除:在不太安全的环境中重用介质,不能恢复数据,和消磁组合,但是不被总是信任 · 消磁:磁带、硬盘都可以使用,但是CD、DVD等无用,硬盘可以换驱动器 · 销毁:介质生命周期的最后阶段,最安全的方法。 消毒一般是通过清理和清除的组合方式,以便介质能够在组织内重新使用。它比简单格式化或重新分区 更彻底。
1擦2清2消(销)
消毒这个定义查不到,记住
19. Chris 负责公司的工作站,并且知道其中一些工作站用于处理专有信息和高度敏感的商业机密。对于他负责的工作站,以下选项最能描述其生命周期结束 (EOL)时应该发生的事情? A. 擦除(Erasing) B. 清除(Clearing) C. 消毒(Sanitization) D.销毁(Destruction)
D
通过这两道题看出,一般是处理工作站或者电脑时候处理敏感数据并且处理存储介质时候采用消毒这种方式
71.在事件响应过釋的哪个阶段,组织会确定是否需要通知执法官员或其他监警机构有关事件的情况? A 检测 B. 恢复 C. 纠正 D. 报告
72. Charles 所在银行部门的员工每隔 90天更换任务,作为组织正常流程的一部分,以确保个人不会滥用其权限。他的组织正在从事哪种安全实践? A. 双重控制 B. 工作轮换 C. 交叉培训 D. 离究
73.Michelle负责组织的移动设备管理工作,并处理丢失和被盗设备。以下哪项建议能够为她的组织提供最大的保证,以防止数据在设备丢失时丢失? A. 强制要求使用密码和应用管理 B. 全盘设备加密和强制要求使用密码 C. 远程擦除和 GPS 跟踪 D. 启用 GPS 跟踪和全盘设备加密
74.Susan 的SMTP 服务器在接受和中继电子邮件之前不对发件人进行身份验证。这个安全配置问题被称为什么? A. 电子邮件网关 B. SMTP 中继 C. 符合X400 标准的网关 D. 开放中继
75.当发现入侵事件并审查日志时,发现攻击者已清除了他们入侵系统上的日志。如何在将来防止这种情况发生? A 对本地日志进行加密。 B.要求管理员访问权限才能更改日志。 C.启用日志轮换。 D. 将日志发送到堡垒主机。
76.lack 如何利用他所在组织的新集中日志记录系统来检测此类问题? A 部署和使用入侵检测系统(IDS)。 B.将日志发送到集中日志记录服务器。 C. 部署和使用安全信息和事件管理系统(SIEM)。 D. 使用 syslog。
SIEM (Security Information and Event Management) 是一个组合了多种工具和功能的技术,其主要目的是将分散在不同系统中的日志数据汇集到一个中央库中,并对其进行分析,以提取有价值的信息,以识别潜在的安全事件。SIEM 的主要服务包括:
1,集中化:将分散在不同系统中的日志文件汇总到一个中央库中,以便分析和监测。
2.标准化 :将不同系统生成的日志数据转换为一致的格式,以便搜索和关联。
3 关联和检测:通过特致据进行关联,以没现系统中的界地行坊科给那游在的安企
4.警报:一旦数据被分析处理,SIEM 将自动生成警报以提示分析人员进行调查,提高安全事件检测和响应的效率。
77. Jack 如何最好地确保环境中的系统操作负责任? A.审查日志并要求每个日志进行数字签名。 B. 要求对所有操作进行身份验证,并集中捕获日志。 C. 记录管理凭据的使用,并对日志数据进行加密传输。 D.要求授权,并集中捕获日志。
78.Ed的组织从其互联网服务提供商那里获得了个P地址,但需要将超过 100 台计算机和网络设备连接到互联网。他可以使用哪种技术将整个网络通过有限的IP地址集连接起来? A. IPsec B. PAT C. SDN D. IPX
79. 以下预防措施有助于防止哪种类型的攻击? 要求提供身份证明 要求语音通信的回拨授权 不通过语音通信更改密码 A. DoS 攻击 B. 蠕虫攻击 C. 社交工程攻击 D. 肩部冲浪攻击
80. CIS 基准是哪种类型的合规性工具的一个例子? A. 安全基线 B. 合规标准 C. 安全配置工具 D. 安全自动化工具
CIS基准 CIS基准是一系列安全配置的基准和最佳实践,旨在帮助组织改善其网络安全防御功能。它由互联网安全性中心(CIS)开发,该中心是一个非营利实体,任务是“识别、开发、验证、升级及维持网络防卫的最佳做法解决方案”。CIS基准涵盖了多个方面的安全配置,包括操作系统、云计算平台等,以确保系统的安全性。 开发标准:CIS基准的开发遵循共识决策模型,整合了世界各地政府、企业和学术界的专业知识,以确保其标准和最佳实践的广泛认可和适用性。 应用范围:CIS基准不仅适用于企业环境,还适用于政府、学术界等各个领域,确保了其普遍性和权威性。 具体内容:例如,对于Microsoft Azure和Windows Server Hyper-V部署,CIS提供了具体的安全配置建议,包括但不限于生物识别身份验证机制的使用、系统服务的配置等,以确保系统的安全性。 认证和认可:CIS基准得到了多个国际标准的认可,如ISO 27001、ISO 27017、ISO 27018等,进一步证明了其在网络安全领域的权威性和重要性。 此外,CIS还提供了自我评估工具和其他资源,帮助组织评估其安全配置是否符合CIS基准的要求,从而确保其网络安全防御的有效性。通过遵循CIS基准,组织可以显著降低网络安全风险,保护其资产免受未经授权的访问、拒绝服务攻击等网络威胁。
81. 剩余数据是指在尝试擦除后仍然存在的什么类型的数据? A. 剩余数据 B. 主引导记录(MBR) C. 位烂 D. 残留数据
82. 下面哪种灾难恢复测试类型涉及实际启动灾难恢复设施? A. 模拟测试 B. 圆桌演练 C. 并行测试 D. 检查清单回顾
83哪种访问控制系统允许所有者决定谁可以访问他们拥有的对象? A. 基于角色的访问控制 B.基于任务的访问控制 C. 自主访问控制 D. 基于规则的访问控制
84. 使用可信通道和键路加密是防止哪种类型的访问控制攻击的方法? A. 暴力破解 B. 伪造的登录界面 C. 中间人攻击 D.宇典攻击
85.以下哪个不是(ISC)2道德规范的准则之一? A. 保护社会、共同利益、必要的公众信任和基础设施。 B. 光明正大、诚实、公正、负责任和合法。 C. 向委托人提供勤勉和胜任的服务。 D.记录所有调查和评估的有关资料。
86.组织的紧急响应指南应包含哪些组成部分? A. 紧急响应程序 B. 长期业务连续性协议 C.激活组织的冷备站点的程序 D. 订购设备的联系信息
87.Ben 正在集成一个联合身份管理系统,并需要交换基于浏览器的单点登录的身份验证和授权信息。他最好选择哪种技术? A. HTML B. XACML C. SAML D. SPML
联合身份管理和SSO 组织在联邦域内共享凭证,它使用SAML(安全断言标记语言)和SPML(服务供应标记语言)。 考试小贴士:思考一下为你的假期预订机票,你可以选择在同一网站上预订酒店。一旦你登录到酒店网站,它就不会再次要求你提供凭证,因为机票预订和酒店预订网站都在联邦域名下。 SAML:基于XML,用于在相关组织之间交换身份验证和授权。SAML主要用于浏览器, 是一种标记语言,SAML协议的核心是: IDP和SP通过用户的浏览器的重定向访问来实现交换数据。 SPML:基于XML,专门为交换用户信息而设计,用于联邦域内安全的单点登录。 XACML:可扩展访问控制标记语言,用于在XML格式中定义访问控制策略,它通常实现RBAC。 OpenID和OAuth:OpenID用于身份验证,OAuth用于授权。 *考试提示:SAML用于企业用途,OAuth用于商业用途(by us)
88.对于具有特定业务连续性角色的人员,组织应以多长时间间隔进行业务连续性计划的刷新培训? A. 每周 B. 每月 C. 每半年 D. 每年
记住
89.在软件测试过程中,通常测试哪三种类型的接口? A.网络、物理和应用程序接口 B. API、UI 和物理接口 C.网络接口、API和UI D.应用程序、编程和用户接口
90.Amanda 想要监视她的LDAP服务器,以确定哪些类型的查询引起了问题。 如果她希望能够使用生产服务器和实际流量进行测试,她应该使用哪种类型的监视? A.主动 B. 实时 C.被动 D.回放
记住
91.Steve正在开发一个输入验证例程,以保护支持Web 应用程序的数据库免受SQL注入攻击。Steve 应该将输入验证代码放在哪里? A. 嵌入在网页中的 JavaScript 中 B. Web 服务器上的后端代码 C. 数据库上的存储过程 D. 用户的 Web 浏览器中的代码
记住
92. Ben 选择了一种加密算法来用于一个有10,000名员工的组织,他必须促进组织内任意两名员工之间的通信。下列哪种算法可以在密钥管理方面投入最少的时间来实现这个目标? A. RSA B. IDEA C. 3DES D. Skipjack
95. 下列哪项活动能将零日漏洞转变为较不危险的攻击途径? A. 发现漏洞 B. 实施传输层加密 c. 重新配置防火墙 D. 发布安全补丁
96.Ele的组织不得不转向远程工作。每个员工都需要访问特定的应用程序,并且由于快速转变,员工们正在使用可能是家庭系统或借来的笔记本电脑工作。 在像 Ele 面临的这种情况下,最佳的远程访问选项是什么? A IPsec VPN B. 向每个远程工作地点提供专用光纤连接 C. 基于 HTML5 的 VPN D. 使用远程桌面连接到公司办公楼中的现有工作站
97.Susan 想要监视 VMware 环境中系统之间的流量。哪种解决方案对她来说是最佳选择以监视这个流量? A. 使用传统的基于硬件的入侵防御系统(IPS)。 B. 在每个虚拟系统上安装 Wireshark。 C. 设置一个虚拟 SPAN端口,并使用虛拟机入侵检测系统(VMIDS)来捕获数据。 D.使用 netcat 来捕获虚拟机之间发送的所有流量。
对于问题 98-101,请参考以下场景: Matthew 和 Richard 是分别位于不同地点的朋友,他们希望开始使用密码学来保护彼此之间的通信的机密性。他们交换了数字证书以开始这个过程,并计划使用非对称加密算法来进行安全的电子邮件消息交换。 98. 当 Mathew 向 Richard 发送一条消息时,他应该使用哪个密钥来加密消 A. Matthew 的公钥 B. Matthew 的私钥 C. Richard 的公钥 D. Richard 的私钥 99. 当 Richard接收到来自Matthew 的消息时,他应该使用哪个密钥来解密消 A Matthew 的公钥 B. Matthew 的私钥 C.Richard 的公钥 D.Richard 的私钥 109Mathew希望通过为消息添加数字签名来增强通信的安全性。数字签名旨在实现密码学的哪个目标? A. 保密性 B.可用性 C.机密性 D. 不可抵赖性 101. 当Matthew 要在消息中添加数字签名时,他使用哪个加密密钥来创建数字签名? A. Matthew 的公钥 B. Matthew 的私钥 C.Richard的公钥 D. Richard 的私钥
102.当Jim 登录系统时,他的密码与存储在数据库中的哈希值进行比较。这个过程是什么? A. 鉴定 B.哈希化 C.令牌化 D.认证
103. 安全专业人员在考虑设施设计时的首要任务是什么? A. 限制只有经过批准的人员才能访问 B. 确保结构支持最小特权 C. 确保人员的安全 D. 限制天气或其他自然灾害对运营的影响
104.下列哪种类型的控制不描述一个人防门? A.威慑性 B.预防性 C. 补偿性 D. 物理性
105.2aly的组级需要能够证明某些员工发送了电子邮件,她希望采用一种技本,可以在不改变现有电子邮件系统的情况下提供这种功能。Sally作为电干能件系统的所有者需要实施的能力的技术术语是什么,她可以使用什么工具来來 A. 完整性;IMAP B. 否认;加密 C. 不可抵赖性;数字签名 D. 认证:DKIM
106.以下哪种背察调童通常不会在正常的招聘活动中进行? A 信用调查 B. 参考验证 C. 犯罪记录调查 D. 医疗记录调查
107.Naomi 的组织将数据访问限制在只有需要工作的角色的用户。这描述的是图个关键的安全操作实践? A. 最小特权 B. 特权帐户管理 C. 工作轮换 D. 特权升级
108.在 OSl 模型中,当数据包从数据流变为段或数据报时,它穿越了哪一层? A 传输层 B.应用层 C. 数据链路层 D.物理层
109.Tommy负责处理他的组织的访问控制请求。一个用户走向他,并解释说他鲁要访问人力资源数据库,以完成首席财务官要求的人员统计分析。用户对Tommy 展示了哪些成功的特征? A. 青除 B.职责分离 C.需要知道 D. 隔离
110 Kathleen 希望建立一个服务,使用一个集中的、开放的、供应商中立的、基于标准的系统来提供有关她组织的用户和服务的信息,这个技术选择中最好的选择是哪个? A. RADIUS B. LDAP C. Kerberos D. Active Directory
D是微软的,不是开放的
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
111 资企业中,最常用的工具类型用于将资产与用户和所有者匹配? A 企业內容管理工具 B. 条形码财产标签 C 基于 RFID 的财产标签 D. 系统清单
记住
112. Alice 想向安全模型添加另一个对象,并授予自己对该对象的权限。在Take-Grant 保护模型中,哪一条规则允许她完成这个操作? A. 接管规则 B. 授权规则 C.创建规则 D. 移除规则
113.在渗透测试人员建议在测试过程中使用 Metasploit 时,以下哪一项不应该是Amanda 关注的潜在问题之一? A. Metasploit 只能测试它具有插件的漏洞。 B.渗透测试只涵盖组织安全的某个时间点。 C. 像 Metasploit 这样的工具可能导致拒绝服务问题。 D.渗透测试无法测试流程和策略。
114. Colin 正在审查一个已被评为Common Criteria 下的 EAL7 评估保证等级的系统。对于这个系统,他对系统的可靠性可以有多高的保证? A.它已经通过功能测试。 B. 它已经经过系统测试和检查。 C. 它已经经过系统的设计、测试和审核。 D. 它已经经过形式化验证、设计和测试。
115. 当 Alex 使用智能卡为上游身份验证服务提供证书时,他预计会看到使用哪个 ITU-T 标准? A. X.500 B. SPML C. X.509 D. SAML
排除法:X.500是LDAP前身 只有C
116.COPPA 的条款适用于哪种类型的网站? A. 非金融机构运营的金融网站 B. 收集个人信息的医疗保健网站 C. 面向儿童的网站 D. 国际组织运营的政府网站
117,Tracy 最近接受了一份与国防部在机密政府事务上密切合作的联邦政府机构的IT 合规职位。以下哪项法律最不可能适用于 Tracy 所在的机构? A. HIPAA(美国健康保险可移植性与责任法案) B. FISMA(联邦信息安全管理法案) C. HSA(家庭存款保险法案) D. CFAA(计算机欺诈和滥用法案)
A. 人防门 B. 入侵防御系统 C. 旋转门 D. 入口
119. 访问控制的问责制依赖于哪两个重要因素? A. 身份验证和授权 B. 认证和授权 C. 身份识别和认证 D. 问责制和认证
120. 在CIA 三元素中,校验和支持哪个部分 A. 可用性 B. 完整性 C. 保密性 D. 真实性
121.Scott的组织将外部IP地址配置为192.168.1.25。当流量发送到他们的ISP时,它从未到达目的地。Scott 的组织遇到了什么问题? A.BGP没有正确设置。 B. 他们没有向ISP 注册他们的IP 地址。 C. 该IP地址是私有的,不可路由的地址。 D.192.168.1.25 是家庭路由器保留的地址。
122.Jack的组织每天多次合并主要应用程序的更新,然后将其部署为通过软件开发流水线检入和测试的代码。这是哪种类型的模型? A. 瀑布模型 B. CVCD(持续集成/持续交付) C. SCM(软件配置管理) D.IDE(集成开发环境)
123.Sue的组织最近未通过安全评估,因为他们的网络是一个单一的扁平广播域,杀同的功能组之间可以进行数据噢採。她应该推荐哪个解决方案来帮助防止发现的问题? A. 使用 VLAN。 B. 更改所有系统的子网掩码。 C. 部署网关。 D. 打开端口安全。
124.以下哪个术语最能描述IP 地址10.14.124.240? A. 公共 IP 地址 B. 私有 IP 地址 C. APIPA 地址 D. 回环地址
125.Jim 正在对他的公司进行安全评估,并希望使用一种测试工具进行Web 漏洞扫描。以下哪种工具最适合满足这个需求? A. Nmap B. Hydra C. Metasploit D. Nikto
答案
1-20 DCBDB DBACC CCADA AABCC 21-40 BBBBD ADCDB BABAC СВВСВ 41-60 DCDDC DBACB CBCCC DDCAC 61-80 СВССВ СССВВ DBBDD СВВСА 81-100 DCCCD ACDBC BADDD CCCDD 101-120 BDCCC DAACB DCADC CACCB 121-125 CBABD