导图社区 CISSP精品模拟题三
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
编辑于2024-08-19 13:42:05本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
本人在准备CISSP考试中自己总结的复习习题、各种模拟题中的重点、难点。本文内容除了书中内容意外还有很多从网上查找的补充内容,非常具有复习价值!
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
社区模板帮助中心,点此进入>>
本合集包含10篇项目管理精品文章合集,包括:PMO战略管理、PMO如何管理项目经理工作、PMO如何管理危机项目、项目团队行动指南、用看板管理大型项目、项目集管理、项目进度管理、如何项目复盘、IPD流程管理、项目经理面试准备。非常具有收藏价值。
本合集包含一篇精品文章AIGC介绍和四款阿里云AI产品介绍。
本合集详细介绍了腾讯云计算产品,包括:云服务器CVM、批量计算、高性能应用服务、Batch、高性能计算平台、高性能计算集群、专用宿主机、GPU云服务器、裸金属服务器、清凉应用服务器。非常具有收藏价值。
本人在准备CISSP考试中自己总结的复习习题、各种模拟题中的重点、难点。本文内容除了书中内容意外还有很多从网上查找的补充内容,非常具有复习价值!
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
第三套模拟题
题
1.The security practitioner is charged with implementing e-mail security using a cryptographic standard of the security practitioner’s choice. The security practitioner chooses an4 open Pretty Good Privacy (PGP) implementation. 一个安全从业人员负责用加密算法来实施邮件安全。他选择了OpenPGP来实施。 Which cryptographic algorithm is used to create the user's public key? 可采用以下哪个密码算法来创建用户的公钥? A. ElGamal ElGamal算法 B. International Data Encryption Algorithm (IDEA) IDEA算法 C. Advanced Encryption Standard (AES) AES算法 D. Triple Data Encryption Algorithm (3DES) 3DES算法 2.Which phase of the BCP/DRP would include relocation to the PRIMARY site? 一个组织是独自占了一个位于一个大城市商业区的20层楼建筑。该组织有若干个有本地服务器的分支机构,距离总部办公室大约方圆1000英里 (1600公里) 内。所有工作人员,包括那些在分支办事处的员工都分配了身份识别卡,游客分配了临时徽章。安全人员来负责制定业务连续性计划/灾难恢复计划 (BCP/ DRP) 。 下面BCP/ DRP哪个阶段将包括搬迁到主站点? A. Assessment 评估 B. Restoration 还原 C. Recovery 恢复 D. Initiation 启动 3.一个web应用的用户注意到,可以用书签收藏应用程序并返回到它,即使关闭电脑后,仍然有效。用户还注意到,用户的ID被嵌入在应用程序的URL。当改为另一个有效的用户ID,应用程序允许用户可以用其他用户的会话中的有效ID使用程序。 这表明了编程存在什么缺陷? A.The application assumes all users are logged-in. 应用程序假定了所有用户都已经登录 B.The application does not properly maintain session state. 应用程序没有正确的维持会话状态 C.The application fails open on authentication errors. 应用程序在认证错误时打开失败 D.The application fails to a privileged state. 应用程序失效进入特权状态 4.Employee involuntary termination processing should include 员工非自愿离职流程处理应当包括 A.A list of all passwords used by the individual. 个人所使用的所有密码的列表 B.A report on outstanding projects. 未完成的项目交接报告 C.The surrender of any company identification. 归还任何公司的身份标识 D.Signing a non-disclosure agreement. 签署保密协议
2
Restoration 还原 备 到 主 Recovery 恢复 主 到 备
5.When two operators review and approve the work of each other, this is known as? 两个操作员互相审查和批准对方的工作,这是什么控制? A. Dual control 双重控制 B. Two-man rule 双人规则 C. Two-fold control 重叠控制 D. Twin control 双生控制
5
Dual control 双重控制 通过知识分割实现 Two-man rule 双人规则 银行大额交易,A级柜员操作+B级柜员授权
Two-Person Control Two-person control (often called the two-man rule) requires the approval of two individuals for critical tasks. For example, safe deposit boxes in banks often require two keys. A bank employee controls one key and the customer holds the second key. Both keys are required to open the box, and bank employees allow a customer access to the box only after verifying the customer's identification. Using two-person controls within an organization ensures peer review and reduces the likelihood of collusion and fraud. For example, an organization can require two individuals within the company (such as the chief financial officer and the chief executive officer) to approve key business decisions. Additionally, some privileged activities can be configured so that they require two administrators to work together to complete a task. Split knowledge combines the concepts of separation of duties and two-person control into a single solution. The basic idea is that the information or privilege required to perform an operation be divided among two or more users. This ensures that no single person has sufficient privileges to compromise the security of the environment.
6.What security procedure forces an operator into collusion with an operator of a different category to have access to unauthorized data? 哪种安全程序会迫使一个操作员勾结另一个不同类别的操作员来访问非授权数据? A.Enforcing regular password changes 强制日常密码更改 B.Management monitoring of audit logs 审计日志的管理监控 C.Limiting the specific accesses of operations personnel 限制操作人员的特定访问权限 D.Job rotation of people through different assignments 不同分工的人员的工作轮换 7.What is the proper term to refer to a single unit of TCP data at the transport layer? 传输层TCP数据的一个独立单元被称为: A. TCP segment TCP 段 B. TCP datagram TCP 数据报 C. TCP frame TCP 帧 D. TCP packet TCP 分组 8.Converged networks supporting both data and Voice over Internet Protocol (VoIP), by their nature, provide a single channel to attack both the data and the voice components. Which of the following is the BEST mechanism to secure the voice component? 同时支持数据和语音通信 (VoIP) 的融合网络,根据其性质,提供了一个单独的通道来攻击数据和语音组件。下列哪项是最好的保障语音组件安全的机制? A.Filter calls on the perimeter firewall 在边界防火墙上过滤呼叫 B.Use an analog voice system 使用模拟语音系统 C.Authenticate both voice and data users 验证语音用户和数据用户 D.Put voice on its own Virtual Local Area Network (VLAN) 把语音数据放在自己独立的虚拟局域网VLAN里
9.一个组织已经实施了一些新的安全控制。为了评估这些控制对安全体系有效性提升的影响,需要对信息安全的一些性能指标进行监控。 下列哪一项是在这种情况下选择的性能指标时最重要的因素? A.The existence of baseline data for the performance metric 存在性能测量指标的基本数据 B.The ability to minimize false positives in the performance metric data 在性能测量指标数据中尽可能减少误报的能力 C.The ability to minimize false negatives in the performance metric data 在性能测量指标数据中尽可能减少漏报的能力 D.The performance metric has cross-platform applicability 性能测量指标有跨平台的适用性
9
此题考察的是指标的基本数据,因为没有数据没法衡量指标 而B和C是IDS的指标
10.Which of the following is the MOST important aspect relating to employee termination? 关于雇员解雇下列哪一项是最重要的? A. Company property provided to the employee has been returned. 公司提供给雇员的财产已归还 B. User ID and passwords of the employee have been deleted. 雇员的用户名和密码已经删除 C. The appropriate company staff are notified about the termination. 向公司相关的工作人员通知解雇 D. The details of employee have been removed from active payroll files. 雇员的详细情况从活跃的工资单中已被移除。 11.一个管理员负责数据运营中心,包括了500个终端的交换网络,一个Web服务器,电子邮件服务器,以及几个大的应用服务器。备份策略是每个星期天的早晨执行一次完全备份和周一至周五执行每日增量备份。环境中的所有服务器有五个SCSI磁盘驱动器,并设置为RAID 5作为热备。数据中心使用了高架地板,并在房间内配备了一个自足的HVAC系统,以及一个自动化的干管自动喷淋灭火系统来保护电脑。大约在星期天早上,Web服务器的一个硬盘出现了故障。为了让服务器返回到正常运行需要做什么? A.Restore data from the last incremental backup. 从上次增量备份中恢复数据 B.Restore data from the last full backup. 从上次完全备份中恢复数据 C.Recover the data from the failed drive. 从故障磁盘中恢复数据 D.Replace the failed drive. 更换故障的磁盘
12.An audit trail is a category of what control? 审计轨迹是什么类型的控制? A. System, Manual 系统,手工 B. Detective, Technical 检测,技术 C. User, Technical 用户,技术 D. Detective, Manual 检测,手工
12
audit trail 是检测手段,一般认为是技术手段
13.When selecting site facilities, which terrain characteristics are most preferable for physical security? 在选择物理设施时,下面哪个地形特点最有利于物理安全? A.Hilly with thick vegetation and other natural obstacles to protect entrance points 有茂密的植被和其他自然障碍的丘陵,来保护入口 B.Downhill slope to facilitate accessibility and visibility of the site 下坡地形能方便设施的进入和可见性 C.Flat with no thick vegetation and easy to access from various entrance points 没有茂密植被的平原,方便从不同的入口进出 D.Flat with no thick vegetation and a gentle rise in elevation up to the entrance point 没有茂密植被的平原,入口略高于海拔 14.Which of the following is a potential drawback of using the defense-in-depth principle? 下面哪个是使用纵深防御原则的潜在缺陷? A. Increased system complexity 增加了系统复杂性 B. Increased component failure rates 增加了组件的故障率 C. Redundant components are required 需要冗余的组件 D. Lower intrusion detection performance 较低的入侵检测性能 15.Which of the following is the MOST secure method of building router tables? 下面哪个是最安全的构建路由表的方法? A. Distance vector 距离矢量 B. Link state 链路状态 C. Border Gateway Protocol (BGP) 边界网关协议 (BGP) D. Static 静态路由
16.Which of the following MUST be considered when designing effective security controls? 在设计有效的安全控制时,下面哪项必须被考虑? A. Speed of deployment 部署的速度 B. Visibility 可视化 C. Ease of use 易用性 D. Authenticity 真实性
16
不选D的原因是所有手段不一点是真实的,比如威慑性手段就一定是真实的
17.What tool do you use to determine whether a system is vulnerable to known attacks? 以下哪一项工具被用来判断一个系统是否存在会被已知攻击手段攻击的脆弱性? A. Port scan 端口扫描 B. Vulnerability analysis 漏洞分析 C. Honey Pots 蜜罐 D. IDS 入侵检测 18.Which of the following statements pertaining to ethical hacking is incorrect? 下面哪项关于道德的黑客的描述是不正确的? A.An organization should use ethical hackers who do not sell auditing, consulting, hardware, software, firewall, hosting, and/or networking services 组织应该聘用道德的黑客,这些黑客不能销售审计,咨询,硬件,软件,防火墙,主机托管,和/或网络服务 B.The vast majority of tests are performed remotely 测试绝大多数是远程执行的 C.Ethical hacking should not involve writing to or modifying the target systems 道德的黑客不应写入或修改目标系统 D.Ethical hackers should never use tools that have potential of exploiting vulnerabilities in the organizations IT system. 道德的黑客绝不能使用可能会导致组织IT系统漏洞被利用的工具。
19.Which one of the following is the PRIMARY objective of penetration testing? 下面哪个是渗透测试的主要目标? A. Assessment 评估 B. Correction 纠正 C. Detection 检测 D. Protection 保护 20.What is the FIRST step that should be considered in a penetration test? 渗透测试中的第一步应当做什么? A.The approval of change control management. 变更控制管理的批准 B.The development of a detailed test plan. 详细测试计划的开发 C.The formulation of specific management objectives. 制定具体的管理目标 D.The communication process among team members. 团队成员之间的沟通过程 21.Which of the following is not a valid reason to use external penetration service firms rather than corporate resources? 下面哪个不是使用外部渗透服务公司比使用公司内部资源更好的原因? A.They are more cost-effective 他们更具成本效益 B.They offer a lack of corporate bias 他们没有公司的偏见 C.They use highly talented ex-hackers 他们使用了天才的前黑客 D.They insure a more complete reporting 他们确保提供更完整的报告
19
OSG: Regularly staged penetration tests are a good way to evaluate the effectiveness of security controls used within an organization. CBK 4: The primary goal of penetration testing is to simulate an attack on a system or network to evaluate the risk profile of an environment. AIO : Penetration testing is a method of evaluating the security of a computer system or network by simulating an attack that a malicious hacker would carry out.
22.Which of the following is the MOST effective attack against cryptographic hardware modules? 下面哪个是针对加密硬件模块最有效的攻击方法? A. Plain-text 明文攻击 B. Brute force 暴力破解 C. Power analysis 功耗分析 D. Man-in-the-middle (MITM) 中间人攻击 23.Which of the following is the BEST response to the auditor? 审计师在执行一次合规性审计,申请查看系统中加密的密码,以验证密码是否符合政策。 下列哪项是对审计师最好的回应? A.Provide the encrypted passwords and analysis tools to the auditor for analysis. 提供加密的密码和分析工具给审计师进行分析 B.Analyze the encrypted passwords for the auditor and show them the results. 为审计师分析加密的密码,并给他们看结果 C.Demonstrate that non-compliant passwords cannot be created in the system. 演示不符合政策的密码不能在系统里创建。 D.Demonstrate that non-compliant passwords cannot be encrypted in the system. 演示不符合政策的密码不能在系统里加密。 24.Which of the following would be best suited to oversee the development of an information security policy? 下列哪一项将最适合监督信息安全策略的部署? A. System Administrators 系统管理员 B. Security administrators 安全管理员 C. Security Officers 安全官 D. Human resources 人力资源部 25.Which of the following is the PRIMARY benefit of standards-based compliance frameworks? 下面哪项是基于标准的合规框架的主要好处? A.They identify gaps in existing controls. 他们识别了现有控制的差距 B.They reduce the need to audit the network. 他们减少了审计网络的需求 C.They require fewer resources. 他们需要更少的资源 D.They are easy to implement. 他们易于实施
26.An information security manager implements mechanisms to perform reasonableness checks on types of information in designated fields. This is an example of which control? 信息安全经理实施一个机制来对指定字段的信息进行合理性检查。 这是以下哪种控制的例子? A. IT General control IT通用控制 B. Availability control 可用性控制 C. Application control 应用控制 D. Output control 输出控制
26
业务负责的控制,包括:输入控制、处理过程中的控制、输出控制(编辑检查属于处理过程中的控制,包括:合理性检查、有效性检查、范围检查、顺序检查、逻辑检查…) D 应该是输入控制不是输出控制
27.The intent of least privilege is to enforce the most restrictive user rights required 最小特权的意图是执行最严格的用户权限 A. To execute system processes. 用于执行系统流程 B. By their job description. 基于他们的工作描述 C. To execute authorized tasks. 用于执行授权任务 D. By their security role. 基于他们的安全角色 28.This is a common security issue that is extremely hard to control in large environments. It occurs when a user has more computer rights, permissions, and privileges that what is required for the tasks the user needs to fulfill. What best describes this scenario? 这是一个在大型环境中常见的非常难以控制的安全问题。它发生在当用户拥有超出完成任务需要的更多的计算机权利、许可和特权。这说的是? A. Excessive Rights 过多的权利 B. Excessive Access 过多的访问 C. Excessive Permissions 过多的许可 D. Excessive Privileges 过多的特权
29.Cryptography does not concern itself with: 密码学本身并不关注: A. Availability 可用性 B. Integrity 完整性 C. Confidentiality 机密性 D. Authenticity 真实性 30.Which of the following measures would be the BEST deterrent to the theft of corporate information from a laptop which was left in a hotel room? 下面哪一个措施能够最好地防范留在宾馆房间的笔记本电脑里的企业信息被窃取? A.Lock the laptop in an in-room safe 将笔记本电脑锁在房间内的保险箱里 B.Use virtual desktop on the laptop 在笔记本电脑上使用虚拟化桌面 C.Use a cable lock on the laptop when it is unattended 在电脑无人看守时,使用笔记本线缆锁 D.Encrypt the data on the hard drive 加密硬盘上的数据 31.为了支持依赖于有风险的协议 (例如纯明文密码) 的遗留应用程序,下面哪个可以降低企业网络上的风险? A.Implement strong centrally generated passwords to control use of the vulnerable applications. 实施集中生成的强密码来对易受攻击的应用程序的使用进行控制。 B.Implement a virtual private network (VPN) with controls on workstations joining the VPN. 实现一个VPN,并对加入VPN的工作站进行控制。 C.Ensure that only authorized trained users have access to workstations through physical access control. 通过物理访问控制,确保只有授权的经过培训的用户有权访问工作站。 D.Ensure audit logging is enabled on all hosts and applications with associated frequent log reviews. 确保打开了所有主机和应用程序的审计日志,并经常进行日志审查
29
A 密码学不保护可用性
30
D 加密是最好的方式
31
B 一般在题干中出现网络中,在网络中等环境,就是需要VPN保护
32.What is the MOST important purpose of testing the Disaster Recovery Plan (DRP)? 测试灾难恢复计划 (DRP) 最重要的目标是? A.Evaluating the efficiency of the plan 评价计划的效率 B.Identifying the benchmark required for restoration 识别恢复的标杆 C.Validating the effectiveness of the plan 验证计划的效果 D.Determining the Recovery Time Objective (RTO) 决定恢复时间目标 (RTO) 33.Which of the following is a benefit of audit trails? 下面哪个是审计轨迹的好处 A. Accountability 可问责性 B. Confidentiality 机密性 C. Non-repudiation 抗抵赖性 D. Integrity 完整性 34.Which of the following is a security weakness in the evaluation of Common Criteria (CC) products? 下面哪个是通用标准 (CC) 产品评价的安全弱点? A.The manufacturer can state what configuration of the product is to be evaluated 制造商可以声明产品的哪些配置是要被评价的 B.The product can be evaluated by labs in other countries 产品可以被其他国家的实验室来评价 C.The Target of Evaluation's (TOE) testing environment is identical to the operating environment 评价目标 (TOE) 的测试环境等同于运营环境 D.The evaluations are expensive and time-consuming to perform 执行评价是昂贵并耗时的 36.A subscription service which provides power, climate control, raised flooring, and telephone wiring but NOT the computer and peripheral equipment is BEST described as a 一个维护服务,提供了电力、温度控制、高架地板和电话线,但是没有计算机和相关外设的场所,最好形容为 A. hot site 热站 B. cold site 冷站 C. warm site 温站 D. reciprocal site 互惠站点 37.Early in an incident response investigation, network surveillance can be used to 在事件响应调查的早期,网络监视可以用来 A.prevent future incidents. 预防未来的事件 B.confirm or dismiss suspicions about an incident. 确认或解除对事件的怀疑 C.map the network and all trusted relationships. 映射网络和所有可信的关系 D.ensure compliance with usage policies. 确保使用策略的合规
34
通用准则CC CC将评估过程划分为功能和保证两部分,评估等级分为EAL1、EAL2、EAL3、EAL4、EAL5、EAL6和EAL7共七个等级。每一级均需评估7个功能类,分别是配置管理、分发和操作、开发过程、指导文献、生命期的技术支持、测试和脆弱性评估。 从EAL1到EAL7一共有7个等级。等级越高,表示通过认证需要满足的安全保证要求越多,系统的安全特性越可靠。EAL不衡量系统本身的安全性,只表示测试的严格程度。实现特定的EAL等级,产品或系统需要满足特定的安全保证要求。大多数要求包括设计文档、设计分析、功能测试、穿透测试。等级越高,需要越详细的文档、分析和测试。一般实现更高的EAL认证,需要耗费更多的时间和金钱。通过特定级别的EAL认证,表示产品或系统满足该级别的所有安全保证要求。 通用准则在评估过程中使用了保护样板。保护样板描述了对环境的假设、目标以及功能性和保障级别期望。 评估过程只是判断产品功能和保证的一个方面。一旦害怕获得了特定的评级,它只适用于特定的版本,只适用于该产品的某种配置。因为会受限产品部署的环境、配置限制,评估环境是一个最理想状态的评价,也只是针对某款产品。 通用准则的不同组成部分: 保护样板:描述所需的安全解决方案 评估目标(TOE):提供所需安全解决方案的建议产品 安全目标(ST):供应商的书面说明,解析满足所需安全解决方案的安全功能和保证机制。 安全功能要求(PP):产品必须提供的每一个安全功能。 安全保证要求:在对产品开发和评估过程中,为保证合乎所声称的安全功能的规定而采取的措施。 数据包(EAL):把功能和保证需求封装起来,以便今后使用。这部分详细描述要实现特定EAL评级所必须满足的要求。 EAL保障等级 评估保障级别(EAL):描述评定TOE保障要求满足情况的尺度,EAL级别大致代表了IT产品的安全功能的质量水平。EAL等级越高,表明质量水平越高,需要越详细的文档、分析和测试来提供质量水平的证明,产品的研发保证过程需要耗费更多的时间和金钱。从EAL1到EAL7一共有7个等级,等级越高,表示通过认证需要满足的安全保证要求越多,系统的安全特性越可信。 (1) 评估保证级1(EAL1)——功能测试; (2) 评估保证级2(EAL2)——结构测试; (3) 评估保证级3(EAL3)——系统地测试和检查; (4) 评估保证级4(EAL4)——系统地设计、测试和复查; (5) 评估保证级5(EAL5)——半形式化设计和测试; (6) 评估保证级6(EAL6)——半形式化验证的设计和测试; (7) 评估保证级7(EAL7)——形式化验证的设计和测试。
35.What type of protection method is illustrated in the graphic that follows? 下图中展示的是哪种保护方法? A. Polymorphism 多态性 B. Polyinstantiation 多实例 C. Cohesiveness 内聚 D. Object classes 对象类
38.The concept that all accesses must be meditated, protected from modification, and verifiable as correct is the concept of 所有的访问必须被考虑,防止修改并验证其正确性,这说的是: A. Secure model 安全的模型 B. Security locking 安全锁定 C. Security kernel 安全内核 D. Secure state 安全的状态
38
安全内核
39.Which of the following ensures that security is not breached when a system crash or other system failure occurs? 下面哪个确保了当系统崩溃或其他系统错误发生时,安全不会被违反? A. trusted recovery 可信恢复 B. hot swappable 热插拔 C. redundancy 冗余 D. secure boot 安全的启动 40.A 'Pseudo flaw' is which of the following? “伪错误”指的是下面哪项? A.An apparent loophole deliberately implanted in an operating system 故意在一个操作系统中植入一个明显的漏洞 B.An omission when generating Pseudo-code 产生伪代码时的遗漏 C.Used for testing for bounds violations in application programming 应用程序编程时用来测试越界侵犯 D.A Normally generated page fault causing the system halt 通常产生的页面故障,导致系统停机 41.Which of the following is MOST important when deploying digital certificates? 下面哪项是在部署数字证书时最重要的? A.Validate compliance with X.509 digital certificate standards 验证符合X.509数字证书标准 B.Use a third-party Certificate Authority (CA) 使用第三方CA C.Establish a certificate life cycle management framework 建立证书的生命周期管理框架 D.Use no less than 256-bit strength encryption when creating a certificate 创建证书时使用不少于256位长度的加密算法 42.Which of the following should NOT be a role of the Security Administrator? 下列哪一项不是安全管理员的任务 A. Authorizing access rights 授权访问权限 B. Implementing security rules 实施安全规则 C. Ensuring that local policies have been authorized by management 确保地方政策已经授权管理 D. Allocating access rights 分配访问权限 43.What is the PRIMARY purpose of using a web-based Transport Layer Security (TLS) certificate signed by a trusted Certificate Authority (CA)? 使用基于Web的由可信CA签发的TLS证书的主要目的是? A.To ensure a reasonable strength of cryptographic key and algorithm 为了确保合理的密钥和算法长度 B.To ensure that clients can connect with many different types of browsers 为了确保客户端可以连接到多个不同类型的浏览器 C.To allow clients to reasonably authenticate the identity of the server 为了允许客户端能够合理的验证服务器的身份 D.To allow the server to authenticate the clients connecting via browsers 为了允许服务器能够验证通过浏览器连接的客户端的身份 44.Which choice MOST accurately describes a business continuity program? 下面哪个最准确的描述了一个业务连续性计划? A.Ongoing process to identify the impact of potential losses and maintain viable recovery. 一个持续的过程,来确定潜在损失的影响,以及维持可行的恢复 B.Ongoing process to identify the mission, vision, and strategic goals of the organization. 一个持续的过程,来确定组织的任务、愿景和战略目标 C.Ongoing analysis of the effects of a disaster on physical, economic, and natural resources. 一个持续的分析,对于物理、经济和自然资源灾难的影响 D.Ongoing testing of plans that allows for rapid recovery during system interruption and data loss. 对计划的持续测试,允许在系统中断或数据丢失时进行快速恢复 45.The Common Criteria construct which allows prospective consumers or developers to create standardized sets of security requirements to meet their needs is 通用准则(CC)创建了下面哪项,允许潜在的消费者或开发者能够创建一套标准化的安全要求来满足需要 A. a Protection Profile (PP) 保护轮廓 B. a Security Target (ST) 安全目标 C. an evaluation Assurance Level (EAL) 评价保障等级 D. a Security Functionality Component Catalog (SFCC) 安全功能组件目录 46.Which of the following is the MOST important requirement to include in a contract if the vendor will be outsourcing some of the Information Technology (IT) support functions through a subcontracting arrangement? 如果供应商通过子合同将一些IT支持功能分包,下列哪一项是包括在合同中最重要的要求? A.Subcontractor security provisions are the same as the main contract. 分包商合同的安全条款和主合同是一样的 B.Subcontractors sign Non-Disclosure Agreements (NDA). 分包商签署保密协议 C.Subcontractor contact information is included in the main contract. 分包商联系信息应包括在主合同中 D.Subcontractors must pass a background check. 分包商必须通过背景调查
40
Pseudo flaw
47.Why MUST the Kerberos server be well protected from unauthorized access? 为什么Kerberos服务器必须得到很好的保护,防止非授权访问? A.It contains the keys of all clients. 因为它包含了所有客户的密钥 B.It always operates at root privilege. 因为它总是在root权限下操作 C.It contains all the tickets for services. 因为它包含了服务的所有票据 D.It contains the Internet Protocol (IP) address of all network entities. 因为它包含了所有网络设备的IP地址 48.Type II errors occur when which of the following biometric system rates is high? 下面哪个是生物识别系统的第二类错误? A. False accept rate 错误接受率 B. False reject rate 错误拒绝率 C. Crossover error rate 交叉错误率 D. Speed and throughput rate 速度和吞吐率 49.In the world of keystroke dynamics, what represents the amount of time it takes a person to switch between keys? 在击键动力学中,什么代表了一个人在按键之间切换的时间量? A. Dynamic time 动态时间 B. Flight time 飞行时间 C. Dwell time 停留时间 D. Systems time. 系统时间 50.Which of the following helps security professionals select security products and services which are consistent with the organization's goals? 下面哪个可以帮助安全人员选择安全产品和服务,使其保持和公司的目标一致? A.Choosing the lowest cost solution 选择最低成本的方案 B.Observing local laws and regulations 遵从本地的法律和法规 C.Identifying vendor specifications and contract agreements 识别供应商规格说明书和合同协议 D.Interviewing business process owners 与业务流程所有者面谈 51.Why is authentication by ownership stronger than authentication by knowledge? 为什么基于拥有什么的验证比知道什么的验证强度高? A. It is simpler to control. 更加易于控制 B. It is more difficult to duplicate. 复制更加困难 C. It can be kept on the user's person. 可以由用户个人保存 D. It is easier to change. 更加容易变更 52.Which one of the following is an example of electronic piggybacking? 下面哪个是电子尾随攻击的例子? A.Attaching to a communications line and substituting data. 附在通信线路上并替代数据 B.Abruptly terminating a dial-up or direct-connect session. 突然终止拨号或直接连接会话 C.Following an authorized user into the computer room. 跟随一个授权用户进入计算机室 D.Recording and playing back computer transactions. 录制并回放计算机交易 53.Which is not one of the primary goals of BIA? 哪项不是BIA的主要目标之一? A.Criticality Prioritization 关键性优先级分级 B.Down time estimation 宕机时间预测 C.Determining requirements for critical business functions 决定关键业务功能的需求 D. Deciding on various test to be performed to validate Business Continuity Plan 决定执行各种测试来验证业务连续性计划 54.A system using Discretionary Access Control (DAC) is vulnerable to which one of the following attacks? 使用自主访问控制 (DAC) 的系统,容易受到下面哪种攻击? A. Trojan horse 木马 B. Phreaking 盗用电话线路 C. Spoofing 欺骗 D. SYN flood SYN洪水 55.Which access control model enables the owner of the resource to specify what subjects can access specific resources? 哪种访问控制模型让资源的所有者来定义什么主体可以访问特定资源? A. Discretionary Access Control 自主访问控制 B. Mandatory Access Control 强制访问控制 C. Sensitive Access Control 敏感访问控制 D. Role-based Access Control 基于角色的访问控制 56.Redundant Array of Independent Disks (RAID) 5 minimizes write bottlenecks by 廉价冗余磁盘阵列 (RAID5) 通过什么最小化了写的瓶颈? A.using one drive in the array to store parity information. 使用阵列的一个磁盘来存储奇偶校验信息 B.using a larger stripe depth of two blocks instead of one. 使用两块大的条带深度,而不是一个 C.utilizing error correction code capabilities. 使用错误纠正码的能力 D.distributing parity stripes over a series of drives. 分发奇偶校验条带到一系列磁盘
47
A KDC包含所有用户的用户名和密码
50
D 与业务所有者沟通才可以
52
A 排除法 B是回拨 call-back C是物理尾随 D是重放攻击
54
A DAC容易收到社会工程和木马攻击
55
自主访问控制模型 (DAC)
数据所有者自主决定谁能访问数据 基于用户和资源标识 直接面向用户进行限制
面临问题:木马、社会工程
强制访问控制模型 (MAC)
MAC依赖于安全标签(敏感标签) 安全级别较高场合:军队/政府机构 (客体有分级 security classification), 同时只允许高于客体级别的用访问 (主体有许可 scrurity clearance) (固有属性)
只有管理员可以更改客体级别,而不是数据所有者(data owner)
基于角色访问控制模型 (RBAC)
使用集中访问控制决定主客体的访问 ,建立在用户角色的基础上
基于工作职责的权限分配,可以和组织结构关联,用户或组对应角色,赋予角色某些权限 最小特权:这种方法通过防止权限蔓延来帮助实施最小特权原则。 权限蔓延是用户随着角色和访问需求的变化而逐渐积累特权的趋势。
类别
核心RBAC:用户、角色、权限、操作和会话,应根据策略进行定义和对应
层次化RBAC
角色关系定义了用户成员和权限集成 反应组织机构和功能描述
有限层次---单角色继承 普通层次---多角色继承
受限RBAC
引入职责分离
RBAC中的静态职责分离
示例:会计和出纳,防止欺诈
RBAC中的动态职责分离
根据激活的会话中的角色,动态限制另外的职责分离的权限
基于规则的访问控制 (RuBAC)
基于 if x then y
使用特定的规则来指示主体和对象之间能发生什么以及不能发生什么。 基于规则的访问控制不一定是基于身份的。 许多路由器和防火墙使用规则来确定哪些类型的数据包被允许进入网络/被拒绝。
(ABAC)基于属性的访问控制
新型的访问控制,解决RBAC的不足, 每个资源和用户都赋予一系列属性,基于对用户属性的比较评估, 比如时间、职务和位置,来确定该用户是否能访问某个资源。
更细颗粒度
56
RAID
各种raid
RAID 3 and 4
RAID 3的字节级和RAID 4的块级校验 需要三个或更多驱动器才能实现。 条带化
奇偶校验盘
奇偶校验信息写在一个盘上
奇偶校验驱动器是阿喀琉斯之踵,因为它可能成为瓶颈,通常会比其他驱动器 更早出现故障。
57.Well-formed transactions and Separation of Duties (SoD) are mechanisms used in which of the following security models? 下面哪个安全模型使用了良好形式交易和职责分离的机制? A. Chinese Wall 中国墙模型 B. Bell-LaPadula 贝尔-拉普杜拉模型 C. Clark-Wilson 克拉克-威尔逊模型 D. Biba 比巴模型 58.Which security access policy contains fixed security attributes that are used by the system to determine a user's access to a file or object? 哪个安全访问策略包含固定的安全属性,系统用来确定用户对文件或对象的访问? A. Mandatory Access Control (MAC) 强制访问控制 B. Discretionary Access Control (DAC) 自主访问控制 C. Access Control List (ACL) 访问控制列表 D. Authorized user control 授权用户控制 59.Which of the following are MOST critical for a security manager to possess? 下面哪项是安全经理拥有的最关键技能? A.Effective communication skills, strategic planning skills, and an understanding of organizational processes 有效的沟通技巧,策略规划技巧,以及对组织流程的理解 B.Good technical skills, project management expertise, and a strong audit background 良好的技术技能,项目管理经验,强大的审计背景 C.Compliance experience, formal management training, and network operations abilities 合规经验,正式的管理培训,和网络运维能力 D.Skills development capabilities, application development experience, and good people skills 技巧开发能力,应用开发经验和良好的人际交往能力 60.Which one of the following is the core element of a Trusted Computing Base (TCB)? 下面哪项是可信计算基TCB的核心要素? A. Trusted path 可信路径 B. Security kernel 安全内核 C. Operating system 操作系统 D. Trusted computing system 可信计算系统 61.Mandatory Access Controls (MAC) are based on 强制访问控制 (MAC) 是基于 A.security classification and security clearance. 安全分级和安全许可 B.data labels and user access permissions. 数据标签和用户访问权限 C.user roles and data encryption. 用户角色和用户加密 D.data segmentation and data classification. 数据分段和数据分类
62.Which one of the following would be the MOST important component in negotiating an Internet Service Provider (ISP) Service Level Agreement (SLA) by a company that solely provides Voice over Internet Protocol (VoIP) services? 下列哪一个将是与只提供VoIP服务的公司协商互联网服务提供商 (ISP) 服务水平协议 (SLA) 的最重要的组成部分? A. Guaranteed throughput level 确保吞吐量水平 B. Quality of service of applications 应用程序的服务质量 C. Availability of network services 网络服务的可用性 D. Response time to repair 维修响应时间 63.Why are international data transfers complicated? 为什么国际数据传输是比较复杂的? A.Some nations subscribe to international conventions. 一些国际签署了国际公约 B.Rights of a nation in a jurisdiction are enforceable in all jurisdictions. 一个国家司法的权限在所有司法管辖区执行 C.Patent, copyright, and trade secret laws are not standardized. 专利、版权和商业秘密法律不是标准的 D.Rights of a nation to enforce in one jurisdiction apply in all jurisdictions. 一个国家在一个司法管辖区执行的权利应用到所有管辖区
62
C VOIP依赖网络
63
C 每个国家的法律不同
64.A large online media organization is protected by firewalls, Intrusion Detection Systems (IDS), and antivirus solutions. Fraud is suspected to be occurring with public user accounts. What would be the BEST solution to confirm the fraud? 一个大的在线媒体组织通过防火墙、入侵检测系统和防病毒解决方案来进行保护。怀疑发生了与公众用户账户相关的欺诈行为。下面哪个是确认该欺诈的最好的解决方案? A.Implement logging in the web application 实施Web应用程序级的日志 B.Review firewall logs regularly 常规检查防火墙日志 C.Verify web server patches are up-to-date 确认Web服务器补丁是最新的 D.Implement strong authentication for all users 实施所有用户的强验证 65.Which of the following are functions that are compatible in a properly segregated environment? 下面哪个是在一个正确职责分离的环境中可以兼容的职能? A. Data entry and job scheduling 数据录入和作业调度 B. Database administration and systems security 数据库管理和系统安全 C. Systems analyst and application programming 系统分析和应用编程 D. Security administration and systems programming 安全管理和系统编程 66.一个来访的计算机科学家发现了大学的大型主机中的错误,可以使他们能够收集其他用户ID,访问他们的文件,他们的账单计算时间。在几个星期内,他们搜集了大量的用户ID,但从未访问他们的文件或票据的时间。临走时,科学家向同事揭示了这些发现,同事汇报了这些发现。根据 (ISC) 2道德规范,以下那个是正确的? A.The act was ethically neutral because no one was harmed, privacy was not violated, and time was not fraudulently billed. 该行为是道德上中立,因为没有人收到伤害,没有侵犯隐私,没有欺诈收费时间。 B.The act was ethically wrong because the scientist did not immediately reveal the system flaw so steps could be taken to eliminate the vulnerability. 该行为道德上错误,因为该科学家没有马上揭示系统错误,使得可以采取步骤消除漏洞 C.The act was ethically correct because the scientist provided evidence of a system flaw that might have otherwise gone undetected. 该行为道德上是正确的,因为科学家提供了系统缺陷的证据,否则有可能未被发现。 D.The act was ethically wrong because the scientist made widely known a system flaw and increased the likelihood of further system abuse. 该行为道德上是错误的,因为科学家使得系统缺陷广为人知,增加了系统进一步滥用的可能性。 67.A customer of a financial institution denies that a transaction occurred. Which of the following is used to provide evidence that the customer performed the transaction? 金融机构的一个客户拒绝承认一个交易的发生。下面哪一个用来提供客户执行了交易的证据? A. Authorization controls 授权控制 B. Two-factor authentication 双因素认证 C. Non-repudiation controls 抗抵赖控制 D. Access audit 访问审计 68.Which one of the following BEST protects vendor accounts that are used for emergency maintenance? 下面哪一个最好地保护了用来做应急维护的供应商账户? A.Vendor access should be disabled until needed 供应商访问应当被禁用,需要时再激活 B.Frequent monitoring of vendor access 经常监控供应商的访问 C.Role Based Access Control (RBAC) 基于角色的访问控制 D.Encryption of routing tables 路由表加密 69.The International Data Encryption Algorithm (IDEA) encryption standard implements which of the following? 国际数据加密算法 (IDEA) 加密标准实施了下面哪个选项? A. Variable key length cipher 可变密钥长度加密 B. Block cipher 分组加密 C. Digital Signature Standard (DSS) 数字签名标准 (DSS) D. Digital Signature Algorithm (DSA) 数字签名算法 (DSA) 70.Which of the following would be the FIRST step to take when implementing a patch management program? 在实施补丁管理程序时,应当第一步执行下面哪一项? A.Perform automatic deployment of patches. 执行自动补丁部署 B.Monitor for vulnerabilities and threats. 监控漏洞和威胁 C.Prioritize vulnerability remediation. 漏洞修补方案优先级分级 D.Create a system inventory. 创建系统清单
71.A business continuity plan is an example of which of the following? 业务连续性计划是下面哪个控制的例子? A. Corrective Control 纠正性控制 B. Detective Control 检测性控制 C. Preventive Control 预防性控制 D. Compensating Control 补偿性控制
71
A BCP是检测性控制 补偿性控制:补偿性控制需要相对于主控制而言,需要先有一个措施
72.Who is responsible for the security and privacy of data during a transmission on a public communications link? 谁对在公网链路上传输数据的安全性和隐私性负责? A. The carrier 运营商 B. The sending 发送者 C. The receiving party 接收者 D. The local service provider 本地服务商 73.Which of the following best provides e-mail message authenticity and confidentiality? 下面哪个最好地提供了电子邮件信息的真实性和机密性? A.Signing the message using the sender's public key and encrypting the message using the receiver's private key 使用发送者的公钥签名信息,并使用接收者的私钥加密信息 B.Signing the message using the sender's private key and encrypting the message using the receiver's public key 使用发送者的私钥签名信息,并使用接收者的公钥加密信息 C.Signing the message using the receiver's private key and encrypting the message using the sender's public key 使用接收者的私钥签名信息,并使用发送者的公钥加密信息 D.Signing the message using the receiver's public key and encrypting the message with the sender's private key 使用接受者的公钥签名信息,并使用发送者的私钥加密信息 74.Which of the following are PRIMARY elements that are required when designing a Disaster Recovery Plan (DRP)? 下面哪个是在设计灾难恢复计划 (DRP) 时,需要考虑的主要因素? A.Back-up procedures, off-site storage, and data recover. 备份程序,异地存储,和数据恢复 B.Steering committee, emergency response team, and reconstruction team. 指导委员会,应急响应团队和重建团队 C.Impact assessment, recover strategy, and testing. 影响评估,恢复战略和测试 D.Insurance coverage, alternate site, and manual procedures. 保险覆盖,备份站点和人工程序 75.Which of the following is an example of a Time of Check/Time of Use (TOC/TOU) problem? 下面哪个是 检查时间/使用时间 (TOC/TOU) 问题的实例? A.A user whose profile has been revoked logs on using the password of a valid user of the system. 已经被撤销概要的用户使用系统有效用户的密码来登陆 B.A user logs on with a valid profile which is revoked without termination of the session. 用户使用一个正确的概要登陆,该概要在撤销时没有终结会话 C.A user session is terminated immediately after the user profile is revoked. 用户的概要撤销后,用户的会话立即终止 D.A user session is not validated until after the log on. 只有在登陆以后,用户会话才被确认有效 76.Which of the following statements pertaining to dealing with the media after a disaster occurred and disturbed the organization's activities is incorrect? 下面哪一个关于在灾难发生并扰乱了组织的活动后,如何处理媒体关系的描述是不正确的? A.The CEO should always be the spokesperson for the company during a disaster 在灾难时,CEO应该一直是公司的发言人 B.The disaster recovery plan must include how the media is to be handled during the disaster 灾难恢复计划必须包括灾难发生时如何处理媒体关系 C.The organization's spokesperson should report bad news before the press gets a hold of it through another channel 组织的发言人应该在媒体记者从另外的渠道了解之前,报告坏消息。 D.An emergency press conferepnce site should be planned ahead 应当提前规划一个紧急新闻发布会站点 77.为了让组织的安全策略有效,策略必须包括: A.对不合规的惩戒措施 B.明确定义问题的声明 C.所有适用于策略的标准的清单 D.策略文档的所有人和更新日期
78.一家企业的文档管理系统中对文档实施了分级管理系统,以下哪一项是保护分级文档机密性的最佳控制? A.要求访问文档系统的人员签订保密协议(NDA) B.使用入侵检测系统(IDS)防止对文档的未授权访问 C.进行日志评审,对发现的违规文档访问进行调查 D.防止拥有高安全级别访问权限的人员将文档保存到低安全级别区域
78
D 题干中考察的机密性,依照BLP规则所以选D
79.应用级代理防火墙的主要特点是? A.逻辑简单,成本低,易于安装使用 B.很难识别IP欺骗,安全性较低 C.使用规则导致性能下降 D.日志记录有限,安全性较低 80.网络安全评估能起到什么作用? A.检查网络是否与行业标准相符合 B.准确衡量控制的有效性 C.识别所有网络中的漏洞 D.防止渗透测试导致网络失效 81.根据数据分级的策略,数据的所有者是? A.最终用户 B.业务经理 C.安全经理 D.IT主管 82.测试BCP的恰当时机是? A.当环境发生变化时 B.在进行信息系统审计前 C.在安装了安全补丁后 D.在新系统上线后
83.软件工程师编写了一个能生成多态病毒的工具,用于在受控的环境下测试公司的病毒扫描工具。该行为是? A.道德的,因为这个工具有助于验证病毒扫描工具的有效性 B.道德的,因为任何有经验的程序员都能够创建这样的工具 C.不道德,因为该工具有可能被传播到互联网上 D.不道德,因为生成任何种类的病毒都是有害的 84.评价组织的漏洞管理程序是否有效的最佳方法是: A.自动漏洞扫描 B.评审自动补丁部署报告 C.定期由安全团队进行漏洞扫描 D.定期进行第三方漏洞评估 85.攻击者侵入企业内部网络后安装了嗅探器,如果企业之前实施了以下哪一项措施,就能有效防止攻击者获取更多信息? A.实施包过滤防火墙 B.安装基于主机的入侵检测系统 C.用交换机实施逻辑网络分段 D.实施强身份验证技术 86.变更管理文档中最重要的一项是? A.商业论证 B.利益相关方沟通 C.实施的变更数量 D.涉及的组件清单
83
C
85
C VLAN隔离
86
A 记住
87.要提升用户安全意识,要怎么培训? A.给员工群发邮件,提醒每日安全热点 B.安排员工参加安全意识培训 C.强制员工定期进行培训学习 D.将新培训材料融入安全意识培训 88.关于点到点微波传输的正确的说法是? A.因为采用了多路复用技术,所以不容易被拦截侦听 B.因为有加密,所以不容易被拦截侦听 C.容易被拦截侦听 D.是否被拦截侦听取决于信号强度 89.在生命周期的开发阶段,推荐的渗透测试的方法是: A.黑盒测试 B.白盒测试 C.软件模糊测试 D.可视化测试 90.开放设计的原则是? A.安全机制不应该依赖于设计和实施的保密性 B.掌握技能的用户应该被限制特权,以防止其损害安全 C.应该保护算法,以确保设计的系统的安全性和互操作性 D.分解、分析、反向工程能够揭示计算机系统的安全功能 91.两家公司想要在网上共享电子订单和电子库存记录,最佳的安全方案是? A.在两家公司配置边界防火墙 B.让两家公司签订服务级别协议(SLA) C.为两家公司建立FTP文件传输连接 D.为两家公司建立VPN连接
92.通过SDN实现网络虚拟化通常需要完成三部分工作,包括: A.物理网络管理,网络资源虚拟化和网络隔离 B.物理网络管理,网络配置管理和网络隔离 C.物理网络管理,网络资源虚拟化和网络配置管理 D.网络配置管理,网络资源虚拟化和网络隔离 93.哪种服务组织控制 (SOC) 报告可以自由分发,供客户使用,以便客户获得对服务组织系统的信心? A. SOC 1 类型 1 B. SOC 1 类型 2 C. SOC 2 D. SOC 3 94.阅读以下步骤: * 执行频繁的数据备份。 * 执行测试恢复以验证备份数据的完整性。 * 离线或在单独的服务器上维护备份数据。 这些步骤可以帮助组织从什么中恢复? A. 网络钓鱼攻击 B. 授权错误 C. 勒索软件攻击 D. 被盗的加密密钥 95.PCI DSS 框架没有要求以下哪类控制? A. 实施强资产控制协议。 B. 实施强访问控制措施。 C. 维护信息安全政策。 D. 维护漏洞管理计划。 96.以下哪项决定了应用于安全风险的安全控制的数量和复杂性? A. 安全漏洞 B. 成本效益 C. 风险承受能力 D. 风险缓解 97.安全专业人员正在评估应用程序中的风险,并且没有考虑任何缓解或补偿控制。此类风险评级是以下哪项的示例? A. 转移风险 B. 固有风险 C. 残余风险 D. 规避的风险 98.将资产所有权分配给部门时,以下哪项最重要? A. 部门应向企业主报告 B. 应定期审查资产的所有权 C. 应确保个人问责制 D. 所有成员都应接受有关其职责的培训 99.对SSD固态硬盘的最佳的净化方法是: A.覆写 B.消磁 C.加密 D.粉碎
92
B 记住
95
A PCI DSS,全称为Payment Card Industry Data Security Standard(支付卡行业数据安全标准),是由支付卡行业安全标准委员会(PCI Security Standards Council)制定的一套安全标准,旨在保护信用卡信息免受欺诈和数据泄露的威胁。PCI DSS适用于所有存储、处理或传输持卡人数据的实体,无论其规模大小。 PCI DSS的最新版本是4.0,这一版本引入了一些更新和增强的安全措施,以应对不断变化的威胁环境。PCI DSS的核心要求包括: 建立和维护安全网络和系统 安装和维护防火墙配置以保护持卡人数据。 不使用供应商的默认设置,例如默认密码和安全参数。 保护持卡人数据 加密传输中的持卡人数据。 加密存储在系统中的持卡人数据。 保护存放在物理环境中的持卡人数据。 维护一个防病毒程序 安装防病毒软件并定期更新病毒定义和软件。 实施强大的访问控制措施 分配唯一ID给拥有系统访问权限的每个人。 限制物理和逻辑访问至持卡人数据。 加强访问权限的管理,包括定期审查和撤销离职员工的访问权限。 定期监控和测试网络 使用入侵检测和预防系统。 定期进行系统和网络的漏洞扫描和渗透测试。 维护信息安全管理政策 实施书面的信息安全管理政策和程序。 传达安全政策给所有相关人员,包括员工和承包商。
97
B 记住 参与风险是控制措施实施之后的
98
C 问责制
100.哪种技术可以成功隐藏发件人的IP地址,用于欺骗电子邮件来源? A. 虚拟专用网 (VPN) Virtual Private Network B. 更改回复数据 Change In-Reply-To data C. 洋葱路由 Onion routing D. 网络爬取 Web crawling 101.具有IP地址10.102.10.2 的系统的物理地址为 00:00:08:00:12:13:14:2f。将以下静态条目添加到地址解析协议(ARP)表中:10.102.10.6 : 00:00:08:00:12:13:14:2f。这可能是什么形式的攻击? A. 针对网关路由器的拒绝服务(DoS)攻击,因为路由器不再接受来自10.102.10.2的数据包 B. 针对10.102.10.2的拒绝服务(DoS)攻击,因为它无法正确响应ARP请求 C. 阻止10.102.10.6地址解析的传输层攻击 D. 将用于10.102.10.6的数据包发送到10.102.10.2 的伪装攻击 102.以下哪种攻击依赖于先攻破次要目标,再攻破主要目标? A. 鱼叉式网络钓鱼 B. 地址解析协议(ARP)中毒 C. 水坑攻击 D. 暴力破解 103.以下哪项是点对点协议(PPP)可以使用的对等实体身份验证方法? A. 质询-响应验证机制 (Challenge-Response) B. 消息验证码 (MAC) C. 质询握手验证协议 (CHAP) D. 传输层安全 (TLS) 握手协议 104.对于联合身份解决方案,第三方身份提供者 (IdP) 主要负责以下哪项? A. 访问控制 Access Control B. 账户管理 Account Management C. 认证 Authentication D. 授权 Authorization 105.进行内部安全审计的主要目的是什么? A. 验证所有系统和标准操作程序(SOP)均已正确记录 B. 验证所有支持系统的人员都了解他们的职责 C. 验证是否按照最佳实践建立了安全控制 D. 验证适用的安全控制措施已实施且有效 106.安全团队需要针对前端面向外部的应用程序执行接口测试,并且需要验证所有输入字段是否可以防止无效输入。以下哪项最有助于此过程? A. 应用程序模糊测试 Application fuzzing B. 指令集模拟测试 Instruction set simulation C. 回归测试 Regression testing D. 健全性测试 Sanity testing 107.以下哪项是及时安装软件补丁最重要的原因? A. 补丁仅在特定时间可用 B. 补丁可能与专有软件不兼容 C. 攻击者对补丁进行逆向工程利用漏洞 D. 攻击者可能正在进行网络分析 108.最大可容忍停机时间 (MTD) 决定什么? A. 在客户受到影响之前,关键业务数据库可以保持关闭的估计时间段。 B. 公司在没有任何灾难恢复计划的情况下可以承受灾难的固定时间长度 C. 企业可以保持中断的估计时间段,超过该时间段可能永远无法恢复 D. 在使用冗余系统之前,灾难恢复过程中的固定时间长度 109.以下哪个因素导致有线等效隐私 (WEP) 协议的弱点? A. WEP 使用小范围初始化向量 (IV) B. WEP 使用MD5消息摘要 C. WEP 使用 Diffie-Hellman 算法 D. WEP 没有使用初始化向量 (IV) 110.在以下哪个流程中为用户帐户实施了最小特权 (least privilege) ? A. 配置 Provision B. 批准 Approve C. 请求 Request D. 审查 Review 111.使用在线证书状态协议 (OCSP) 的动机是什么? A. 控制对证书撤销列表 (CRL) 请求的访问 B. 返回证书撤销列表 (CRL)的查询结果 C. 更快地查询符合X.500标准的数字证书的撤销状态 D. 及时提供对证书查询的最新响应 112.通常,面向Internet的服务器应放置在非军事区 (DMZ)。 DMZ的主要目的是什么? A. 减轻与暴露的服务器相关的风险。 B. 为服务器准备应对潜在的攻击。 C. 降低内部系统的风险。 D. 绕过防火墙的需要。
113.当道德黑客不了解目标系统但在测试前通知测试目标时,正在执行哪种类型的安全测试? A. 反向 B. 灰盒 C. 盲测 D. 白盒 114.渗透测试最常发生在: A.设计阶段 B.开发阶段 C.验收阶段 D.操作和维护阶段 115.以下哪个不是防御 CSRF 攻击的策略: A.在请求地址中添加 token 并验证 B.验证 HTTP Referer 字段 C.在 HTTP 头中自定义属性并验证 D.在HTTP头部加入消息验证码
113
C
114
D •运行(Operation)/维护(Maintenance)阶段: > 系统在实施阶段应该有关于系统硬件、软件以及固件配置的基线> 在运行和维护阶段必须有持续的监控措施以保障符合这些基线; > 定义配置管理和变更控制程序帮助系统满足系统的基线要求; > 应该在此阶段执行漏洞评估以及渗透测试 • 废弃(Disposal)阶段 > 当系统不再提供所需的功能时,应开发系统及其数据如何迁移的计划; >数据可能会被迁移到别的系统、或者归档、废弃或者销毁等; > 包括信息、介质以及软硬件的销毁。
115
D 消息验证码MAC不能被加到HTTP头部
116.GDPR中明确要求,一旦发生个人数据泄露 (Data breach) ,如果可能对自然人的权力和自由造成一定风险,须通知监管机构,通知要求的时间限制是? A. 24小时内 B. 48小时内 C. 72小时内 D. A.S.A.P. 尽可能快 117.CPTED通过环境设计预防犯罪的定义是什么? A.通过良好的逻辑访问控制来降低犯罪的可能性 B.通过监控设备的升级来降低犯罪的可能性 C.通过目标强化来降低犯罪的可能 D.通过环境的健康化来降低犯罪的可能性 118.以下哪个不是敏捷宣言的左项: A.个体和互动 B.流程和工具 C.客户协作 D.响应变化 119.安全级别较高的文件授予只读权限,安全级别较低的文件授予可写权限,属于: A.BLP模型 B.BIBA模型 C.Clark-Wilson模型 D.中国墙模型 120.网络层协议的保留字段被利用,会带来什么问题? A.拒绝服务攻击 B.隐蔽通道 C.碎片攻击 D.洪泛攻击
121.哪种种设施最不容易扫出漏洞: A.硬件 B.系统软件 C.应用软件 D.内核
121
A 难度 硬件>内核>系统软件>应用软件
122.在安全威胁较低的情况下,使用包过滤防火墙的原因? A.可以解决 IP 欺骗攻击 B.可以防止ICMP攻击 C.能根据连接状态进行判断 D.方便、透明 123.光纤数据泄露怎么判断? A. 光束分离法 B. 散射法 C. 震动检测工具 D. 光损耗测量 124.PKI在什么情况下对CA的认证产生交叉数字证书? A.OCSP需要更新时 B.当CA之间需要互相认证时 C.追溯根CA时 D.更新CRL列表时 125.道德观念基于? A.民法 B.刑法 C.个人诚信 D.合规性 126.防止两个高级权限的人在工作中合谋的应对措施是? A.双人控制 B.最小特权 C.岗位轮换 D.职责分离 127.在应用程序开发期间,应该运行哪种类型的测试以获得快速反馈? A.回归测试 B.压力测试 C.冒烟测试 D.端到端测试 128.风险评估 (Risk Assessment) 包括: A.风险分析、风险评价、风险处置 B.风险识别、风险缓解、风险接受 C.风险识别、风险分析、风险评价 D.风险识别、风险评价、风险排序 129.以下哪个标记语言基于XML,用于在不同的安全域(security domain)之间交换认证和授权数据。 A.SAML B.SGML C.SPML D.XACML 130.Which of the following best explains why computerized information systems frequently fail to meet the needs of users? 下面哪项最好的解释了为什么计算机信息系统经常不能够满足用户需求? A.Inadequate quality assurance (QA) tools 不充分的质量保证 (QA) 工具 B.Constantly changing user needs 用户需求经常变化 C.Inadequate user participation in defining the system's requirements 系统需求阶段用户参与不充分 D.Inadequate project management. 不充分的项目管理 131.把恶意IP流量分流,引入到单一的IP地址,对这些流量进行进一步分析的做法: A.蜜罐 B.黑洞 C.下水道路由 D.加密设备 132.安全架构师计划参考强制访问控制 (MAC) 模型进行实施。这表明以下哪项属性被优先考虑? A. 机密性 B. 完整性 C. 可用性 D. 可访问性 133.谁有责任确保第三方供应商有能力以安全的、符合组织的要求的方式处理数据? A.数据保管者 B.数据创建人 C.数据所有者 D.数据的用户 134.以下哪一个是联合身份的标准? A.Kerberos B.LDAP 轻量目录访问协议 C.SESAME D.SAML 安全断言标记语言 135.为了保护审计信息,以下哪一项必须配置为只允许读访问: A.日志配置文件 B.用户帐号配置文件 C.访问控制列表 D.交易日志文件 136.对系统进行重新认证和重新认可的主要理由是? A.验证系统的安全保护仍然在组织安全方针可以接受的范围内 B.帮助安全团队决定是接受还是拒绝新系统的实施上线 C.让软件开发团队确信所有安全问题都已得到解决 D.帮助数据负责人决定未来的数据敏感性和重要性 137.在以下哪种攻击中,攻击者通常会用十六进制 (或其他编码方式) 将链接编码,以免用户怀疑它的合法性? A.XSS跨站脚本攻击 B.DOS拒绝服务攻击 C.Rootkit 根工具包 D.Smurf 攻击 138.对电子邮件进行加密和签名保障的是? A.不可抵赖、真实性、授权 B.不可抵赖、机密性、授权 C.机密性、真实性、授权 D.机密性、不可抵赖、真实性 139.以下哪一项安全控制容易被合谋所破坏? A.双因素验证 B.岗位轮换 C.职责分离 D.最小授权 140.在不了解一个国家文化的情况下,客户要求服务提供方做出存在疑惑的决策,服务提供方应该怎么做? A.答应客户的要求,因为这是服务合同的要求 B.拒绝客户的要求,因为这样做有导致法律违规的高风险 C.根据最高职业道德规范和要求做决策 D.做这个决策前,应先做尽职调查 141.Which of the following is NOT a property of a one-way hash function? 下面哪个不是单向哈希函数的特性? A.It converts a message of a fixed length into a message digest of arbitrary length 它将一个固定长度的消息转换成任意长度的消息摘要 B.It is computationally infeasible to construct two different messages with the same digest 构建两个不同的消息,使其具有相同摘要,从计算上讲是不可行的 C.It converts a message of arbitrary length into a message digest of a fixed length 它将任意长度的消息转换成固定长度的消息摘要 D.Given a digest value, it is computationally infeasible to find the corresponding message 给定一个摘要值,要发现相关的消息,从计算上讲是不可行的 142.Role Based Access Control (RBAC) simplifies user provisioning because 基于角色的访问控制简化了用户配置,因为 A.old access control rules can be disposed of efficiently. 旧的访问控制规则可以被有效的处置 B.access for new employees is based on a list of predefined rules. 新员工的访问基于预定义的规则列表 C.employee access can be modeled based on functional or organizational structures. 员工访问可以基于职能或组织架构来建立模型 D.duties change more frequently than the roles within positions. 职责比职位的角色变更更加频繁 143.Which physical security countermeasure is MOST commonly used in protecting corporate assets? 下面哪个物理安全措施是在保护公司资产方面最通用的? A. Video cameras 视频摄像机 B. Locking devices 锁 C. Personnel verification 人工确认 D. Biometrics 生物识别 144.RAID levels 3 and 5 run: RAID3和RAID5运行 A. faster on hardware 在硬件上更快 B. slower on hardware 在硬件上更慢 C. faster on software 在软件上更快 D. at the same speed on software and hardware 在软件和硬件速度一样 145.The BEST method of demonstrating a company's security level to potential customers is 证明一个公司对于潜在客户的安全水平的最好的方法是 A.a report from an external auditor. 外部审计师的报告 B.responding to a customer's security questionnaire. 客户安全调查问卷的结果 C.a formal report from an internal auditor. 内部审计师的正式的报告 D.a site visit by a customer's security team. 客户安全团队的现场访问 146.Which of the following would be less likely to prevent an employee from reporting an incident? 下面哪项最不可能妨碍员工报告安全事件? A.They are afraid of being pulled into something they don't want to be involved with 他们害怕被卷入他们不想被涉及的事情 B.The process of reporting incidents is centralized 事件报告流程是集中的 C.They are afraid of being accused of something they didn't do 他们害怕因为他们没有做某事而被责备 D.They are unaware of the company's security policies and procedures 他们没有意识到公司的安全策略和程序 147.Which of the following would be the first step in establishing an information security program? 为建立一个信息安全程序,首先应进行 A. Development of a security awareness-training program for employees. 开发员工安全意识培训计划 B. Development and implementation of an information security standards manual. 开发与实施信息安全标准手册的 C. Purchase of security access control software. 购买安全访问控制软件 D. Adoption of a corporate information security policy statement. 采纳企业信息安全策略声明 148.A proxy firewall operates at what layer of the Open System Interconnection (OSI) model? 代理防火墙是运行在OSI模型的哪一层? A. Application 应用层 B. Transport 传输层 C. Network 网络层 D. Data Link 数链层 149.The absence or weakness in a system that may possibly be exploited is called a(n)? 可能会被利用的系统的缺失或薄弱环节被称为? A. Threat 威胁 B. Exposure 暴露 C. Vulnerability 漏洞 D. Risk 风险 150.Which of the following BEST describes information security policies? 下面哪个最好地描述了信息安全政策? A.Policies are guidelines that describe the best security practices in the industry. 政策是描述业界最佳安全实践的指南 B.Policies are high-level procedures that describe the information security approaches. 政策是描述信息安全方法的高层级程序 C.Policies provide the blueprints for the information security implementation program. 政策提供了信息安全实施体系的蓝图 D.Policies are high-level statements that describe the goals of the information security program. 政策是描述信息体系目标的高层级声明 151.After learning that the security budget will decrease in the next fiscal year, the security manager reprioritizes the upcoming budget. In conducting this analysis, which of the following MOST influences the security manager's decision process? 了解到信息安全预算将在下一财年减少后,安全经理重新调整下一年度预算。在进行这种分析时,以下哪项最影响安全经理的决策过程? A. Trend analysis 趋势分析 B. Business risk acceptance 业务风险接受 C. Security best practices 安全最佳实践 D. Vulnerability analysis 漏洞分析 152.Which of the following are required to determine classification and ownership? 需要下面哪个来决定分类分级和所有权? A.System and data resources are properly identified 能够正确的识别系统和数据源 B.Access violations are logged and audited 违规访问能够被记录并审计 C.Data file references are identified and linked 数据文件参考能够被识别和链接 D.System security controls are fully integrated 系统安全控制能够完全被集成 153.一个安全专家在根据国际标准化组织 (ISO) 27001和27002标准在评估组织的安全政策时,他需要牢记的是什么? A.Security baselines can be derived directly from international standards. 安全基线可以直接从国际标准中抽取 B.International standards do not provide value to a regional organization. 国际标准对一个区域组织来说没有什么价值 C.Policies need to have step-by-step procedural details for all areas. 所有领域的策略都需要有详细的步骤细节 D.Standards are a starting point and are applied to the organization as necessary. 标准是一个起点,可以根据需要应用于组织 154.Which of the following is an appropriate source for test data? 下面哪个是测试数据合适的来源? A.Production data that is secured and maintained only in the production environment. 生产数据是安全的,并只在生产环境中维护 B.Test data that has no similarities to production data. 与生产数据没有相似性的测试数据 C.Test data that is mirrored and kept up-to-date with production data. 与生产数据镜像并保持同步的测试数据 D.Production data that has been sanitized before loading into a test environment. 对生产数据进行清洗,然后再载入到测试环境 155.Which one of the following describes a reference monitor? 下面哪项描述了参考监视器 A.Access control concept that refers to an abstract machine that mediates all accesses to objects by subjects. 是一个访问控制概念,指的是促成所有主体和客体的访问的抽象机 B.Audit concept that refers to monitoring and recording of all accesses to objects by subjects. 是一个审计概念,指的是监控和记录所有主体和客体的访问 C.Identification concept that refers to the comparison of material supplied by a user with its reference profile. 是一个身份识别概念,指的是用户提供的材料和他的参考配置文件的比较 D.Network control concept that distributes the authorization of subject accesses to objects. 是一个网络控制概念,对主体进行授权来访问客体
156.路由器在开放系统互连 (OSI) 参考模型哪两层之间用作通信设备? A.传输和会话 B.数据链路和传输 C.网络和会话 D.物理和数据链路 157.以下哪一项是识别在调查中扣押的每件物品的文件,包括扣押日期和时间、扣押该物品的人的名字,以及该物品的详细描述? A. 财产登记簿 Property book B. 监管链表格 Chain of custody form C. 搜查令归还 Search warrant return D. 证据标签 Evidence tag
156
B 没看清题,B的中间是网络层
157
D All evidence collected at the crime scene should be tagged. If the item cannot be tagged then it should be labeled or marked. Consistency should always be adhered to in the information that is used for marking and labeling the evidence. description of item police case number or identifier date location of collection collectors name and identifier brand name any serial number or garment information
158.以下哪项为虚拟专用网络 (VPN) 连接提供最高级别的数据安全性? A. 互联网协议有效负载压缩 (IPComp) B. 互联网协议安全 (IPsec) C. 可扩展认证协议 (EAP) D. 远程验证拨入用户服务 (RADIUS) 159.新安全举措的成本效益分析 (CBA) 结果提供了什么? A. 可量化的理由 B. 基线改进 C. 风险评估 D. 正式验收 160.检测到一个URL, http://xxx.xxx.com/product.asp? Id=1 or 1=1 这可能是哪种攻击? A.SQL注入 B.XSS C.CSRF D.缓存溢出
答案
1 A 2 B 3 B 4 C 5 B 6 C 7 A 8 D 9 A 10 C 11 D 12 B 13 D 14 A 15 D 16 C 17 B 18 D 19 A 20 C 21 C 22 C 23 C 24 C 25 A 26 C 27 C 28 D 29 A 30 D 31 B 32 C 33 A 34 A 35 B 36 B 37 B 38 C 39 A 40 A 41 C 42 A 43 C 44 A 45 A 46 A 47 A 48 A 49 B 50 D 51 B 52 A 53 D 54 A 55 A 56 D 57 C 58 A 59 A 60 B 61 A 62 C 63 C 64 A 65 C 66 B 67 C 68 A 69 B 70 D 71 A 72 B 73 B 74 C 75 B 76 A 77 A 78 D 79 C 80 B 81 B 82 A 83 A 84 D 85 C 86 A 87 D 88 C 89 B 90 A 91 D 92 A 93 D 94 C 95 A 96 C 97 B 98 C 99 D 100 C 101 D 102 C 103 C 104 C 105 D 106 A 107 C 108 C 109 A 110 A 111 D 112 C 113 C 114 D 115 D 116 C 117 D 118 B 119 B 120 B 121 A 122 D 123 D 124 B 125 C 126 C 127 C 128 C 129 A 130 C 131 C 132 A 133 C 134 D 135 D 136 A 137 A 138 D 139 C 140 D 141 A 142 C 143 B 144 A 145 A 146 B 147 D 148 A 149 C 150 D 151 B 152 A 153 D 154 D 155 A 156 B 157 D 158 B 159 A 160 A