导图社区 CISSP精品模拟题四
- 50
- 0
- 0
- 举报
CISSP精品模拟题四
本人在准备CISSP考试期间找到的精品模拟题,非常有价值。通过参与这套模拟题的练习,考生不仅能够熟悉CISSP考试的题型与难度,还能够查漏补缺,强化薄弱环节,为正式考试做好充分准备。预祝一位考生都能够在CISSP认证考试中取得优异成绩。
编辑于2024-08-23 09:56:05- CISSP
- 模拟题
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
CISSP精品模拟题四
社区模板帮助中心,点此进入>>
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
- 相似推荐
- 大纲
中心主题
题
1.一个组织制定了关于数据分类和数据处理相关的全面的政策和程序。但是,该组织还是因不当披露客户的隐私数据给第三方,遭到了许多客户的诉讼。这些泄露是没有恶意的。 以下哪项是这些泄露问题最可能的原因? A.Lack of data labeling procedures 缺少数据标签的程序 B.Lack of Business Impact Analysis (BIA) 缺少业务影响分析 C.Ineffective security awareness program 无效的安全意识宣贯体系 D.Ineffective data encryption controls 无效的数据加密控制 2.Which of the following layers provides end-to-end service? 下面哪个层次提供了端到端的服务? A. Network Layer 网络层 B. Link Layer 数链层 C. Transport Layer 传输层 D. Presentation Layer 表示层 3.Which of the following is considered best practice for a forensic investigation? 下面哪个被认为是取证调查的最佳实践? A.Examine a copy of the information collected 检查收集的信息的副本 B.Examine the original information collected 检查收集的原始信息 C.Encrypt the information before making a copy 在拷贝前加密信息 D.Encrypt the copy of the original information 加密原始信息的副本 4.Which of the following type of packets can *easily* be denied with a stateful packet filter? 下面哪个类型的包可以很容易的被状态包检测防火墙拒绝? A. ICMP B. TCP C. UDP D. IP 5.Telnet and rlogin use which protocol? Telnet和rlogin是用了哪种协议? A. UDP B. SNMP C. TCP D. IGP 6.Why do some sites choose not to implement Trivial File Transfer Protocol (TFTP)? 为什么一些站点不选择实施TFTP协议? A. list restrictions 列表限制 B. inherent security risks 固有安全风险 C. user authentication requirement 用户认证需求 D. directory restriction 目录限制 7.Which of the following computer crime is more often associated with insiders? 下面哪个计算机犯罪是与内部人员更加相关的? A. IP spoofing IP欺骗 B. Password sniffing 密码嗅探 C. Data diddling 数据欺骗 D. Denial of Service (DOS) 拒绝服务 (DOS) 8.A hardware feature is built into a Central Processing Unit (CPU) so that all memory locations used by a process can be marked with a non-executable attribute unless the location explicitly contains executable code. Which of the following attacks can this feature help prevent? 一项硬件功能被内置到一个中央处理单元(CPU),使一个进程使用的所有内存位置可以打上不可执行属性,除非该位置明确包含可执行代码。此功能可以帮助防止下列哪种攻击? A. Brute force 暴力破解 B. Covert channel 隐蔽通道 C. Buffer overflow 缓冲溢出 D. Object reuse 客体重用 9.Which of the following rules is less likely to support the concept of least privilege? 下面哪个规则最不可能支持了最小特权的概念 A.The number of administrative accounts should be kept to a minimum 管理员账户的数量应当保持最少化 B.Administrators should use regular accounts when performing routing operations like reading mail 管理员应当在执行常规操作,比如阅读邮件时,使用普通账户 C.Permissions on tools that are likely to be used by hackers should be as restrictive as possible 有可能被黑客利用的工具的权限,应尽可能得到限制 D.Only data to and from critical systems and applications should be allowed through the firewall 只有进出关键系统和应用的数据应当被允许通过防火墙 10.Which of the following is not an OSI architecture-defined broad category of security standards? 下面哪项不是OSI架构定义的安全标准的广义类别之一? A. Security techniques standards 安全技术标准 B. Layer security protocol standards 分层安全协议标准 C. Application-specific security 特定应用的安全 D. Firewall security standards 防火墙安全标准 11. 两个具有复杂的网络环境大型组织最近合并了。这两种环境的集成将需要数年时间,而且将是困难和昂贵的。在合并中,两个组织需要建设一个关键的应用系统来集成并让这两个组织的员工无缝地访问。此应用程序使用了面向服务的架构 (SOA) 和Web服务。安全团队需要来设计一个架构来完成这个整合目标。下面哪个是合并过程中实现联合身份管理的最好的方法? A.Import all users from one organization's directory service into the other organization's directory service. 从一个组织的目录服务中导入所有用户身份到另一个组织的目录服务 B.Create a temporary security domain for both organizations. 为两个组织创建一个临时的安全域 C.Integrate the application with Security Assertion Markup Language (SAML). 使用SAML来集成该应用系统 D.Authenticate the application against Lightweight Directory Access Protocol (LDAP) server. 使用LDAP服务器来认证该应用系统 12.Primarily run when time and tape space permits, and is used for the system archive or baselined tape sets is the: 主要在时间和磁带空间允许时运行,用于系统归档或基线磁带集的是 A. full backup method 完全备份方法 B. Incremental backup method 增量备份方法 C. differential backup method 差异备份方法 D. RAID backup method RAID备份方法 13.Which of the following is an example of an active attack? 下面哪个是主动攻击的例子? A. Traffic analysis 流量分析 B. Masquerading 伪装 C. Eavesdropping 窃听 D. Shoulder surfing 肩窥 14.Which of the following is TRUE regarding Mandatory Access Control (MAC)? 下面哪个关于强制访问控制 (MAC) 的描述是正确的? A.It only deals with identification of the requester of information. 它只处理信息申请者相关的身份识别 B.It only deals with authentication of the requester of information. 它只处理信息申请者相关的身份认证 C.Access control decisions are beyond the control of the individual owner of an object. 访问控制的决策超越了单个客体所有者的控制 D.Access control decisions are made by the individual owner of the object. 访问控制的决策是由单个客体所有者来决定的 15.Which of the following is the initial step in identity management that creates new accounts and provision them with appropriate privileges? 以下哪项是身份管理中创建新帐户并为其提供适当权限的初始步骤? A. Enrollment 注册 B. Provisioning 开通 C. Authorization 授权 D. Trust 信任 16.一个新员工的笔记本电脑具有完全的管理员权限。这名雇员在家里没有自己的个人电脑,并且他有一个孩子也使用这台电脑发送和接收电子邮件,在网上搜索,使用即时消息等。该组织的信息技术 (IT) 部门发现使用了该员工的访问权限安装了一个对等 (P2P) 程序。 下列哪种方法是从计算机上移除对等 (P2P) 程序的最有效的方法? A.Run software uninstall 使用软件卸载 B.Re-image the computer 重新安装计算机 C.Find and remove all installation files 找到并删除安装文件 D.Delete all cookies stored in the web browser cache 删除存储在浏览器缓存中的所有cookie 17.一个新员工的笔记本电脑具有完全的管理员权限。这名雇员在家里没有自己的个人电脑,并且他有一个孩子也使用这台电脑发送和接收电子邮件,在网上搜索,使用即时消息等。该组织的信息技术 (IT) 部门发现使用了该员工的访问权限安装了一个对等 (P2P) 程序。下面哪个文档解释了如何正确使用公司的资产? A. Human resources policy 人力资源政策 B. Acceptable use policy 可接受使用政策 C. Code of ethics 道德准则 D. Access control policy 访问控制政策
2
end-to-end是数据链路层 point-to-point是点到点,传输层和网络层都是
12
差异备份不改变归档位,仍为1
13
攻击手段分类 攻击手段可以根据它们的行为特征进行分类,主要分为两大类:被动攻击和主动攻击。 (1)被动攻击(Passive Attacks) 被动攻击的特征是攻击者不会主动干预或改变目标系统中的信息,而是侧重于秘密地获取信息。这类攻击主要威胁的是信息的机密性,即确保信息不被未授权的个体或系统访问。被动攻击包括但不限于以下几种方式: 监听(Eavesdropping):攻击者通过监听网络传输的数据包来获取信息,包括消息的内容或者分析业务流模式。 业务流分析(Traffic Analysis):虽然不获取实际的消息内容,但通过分析数据包的大小、频率和流向等,攻击者可以推断出有用的信息,例如用户的在线行为或通信模式。 (2)主动攻击(Active Attacks) 主动攻击则涉及到攻击者直接与目标系统交互,通过各种手段来破坏或操纵系统,这类攻击可以影响信息的完整性、真实性和可用性。主要的主动攻击方式包括: 中断(Denial of Service, DoS):通过消耗目标系统的资源或带宽,使得合法用户无法访问服务,从而影响系统的可用性。 篡改(Data Tampering):攻击者在数据传输过程中修改信息,破坏信息的原始状态,影响数据的完整性。 伪造(Fabrication):攻击者创建虚假信息,冒充合法实体发送信息,或者插入伪造的数据
14
访问控制
RBAC又被称为非自主访问控制。 Non-Discretionary Access Control(role-based access control (RBAC)) 这种安全控制模型是由一个单一的授权控制机构,根据用户所属的组或者在公司中的职责来确定对资源的访问许可,因此非常适合人员流动性大的公司。资源的访问许可是基于职责或者角色Role的,每个角色确定了本角色所需要的访问许可。 RBAC的特点是指派角色,根据角色来分配访问权限。 DAC不是中央授权,RBAC和MAC都是中央授权。 DAC的特点是由数据所有者决定访问权限。 MAC的特点是安全标签(敏感标签),主体赋予安全许可,客体赋予安全级别。
访问控制矩阵是一个由主体和客体组成的表, 这个表指示了每个主体可以对每个客体执行的动作或功能。 访问控制列表,就是只有一列的访问控制矩阵。例如,针对一个文件X的,然后表里有所有用户对X的访问权限。注意:此时表里只有关于X的访问权限,如果要查文件Y的相关权限,就不应该查这个表了。 能力表,就是只有一行的访问控制矩阵。例如,就是针对主体-用户Bob的,表里列出了Bob拥有的对所有客体的权限。注意这里没法查其他用户Tom的任何权限,你得到其他表去查了。
一、使用安全设计原则实施和管理工程过程 1、客体和主体 主体:发出访问资源请求的用户或进程 客体:用户或进程想要访问的资源 2、封闭系统和开放系统 封闭系统:windows 开放系统:linux 3、用于确保保密性、完整性和可用性的技术 confinement限制:沙箱,软件设计使用“进程限制”来约束程序的行为。 bound界限:用户态、内核态,在系统上运行的每个进程都有授权级别。 isolation隔离:进程隔离可确保隔离状态进程的任何行为仅影响与其关联的内存资源。 4、控制 为确保系统的安全性,主体只允许访问经过授权的客体。 MAC 强制访问控制:是否许可一个访问,由主体和客体的静态属性来决定。每个主体都拥有属性,用来定义其访问资源的授权。每个客体拥有属性,用来定义其分类。 DAC 自主访问控制:允许主体根据需要定义要访问的客体列表,可以允许主体添加对客体的访问规则。 5、信任和保证 可信系统:所有保护机制协同工作的系统,为许多类型的用户处理敏感数据,同时维护稳定和安全的计算环境。 保证:为了满足安全需求的可信程度,保证需要持续性的维护、更新和重新验证。 二、理解安全模型的基本概念 1、可信计算基 是一种系统架构,可信不等于安全 可信计算基(TCB):系统内提供某类安全并实施系统安全策略的所有硬件、软件和固件的组合。 安全边界:一种假想的边界,划分可信与不可信的边界 引用监控器:一个访问控制概念 安全内核:由位于TCB内的硬件、软件和固件组件构成,并且实现和实施引用监控器概念。足够小,减少攻击面 引用监视器概念是一个抽象机,它确保所有主体在访问客体之前拥有必要的访问权限。因此,引用监视器是主体对客体进行所有访问的中介。必须满足隔离、完整性和可验证性。 安全内核是实际实施引用监视器概念的机制。安全核心必须隔离实施引用监视器概念的进程,必须不会被篡改,必须针对每次访问企图进行调用,而且必须小到足以能正确地进行测试。 安全域:在可信域内共享单一的安全策略和单一的管理。保护域:用于保护程序免于所有未经授权的修改或外部干扰。 2、状态机模型 状态机模型描述一个系统,它无论处于什么状态总是安全的 有限状态机FSM,FSM将外部输入和内部机器状态相结合,为各种复杂系统建模,包括解析器、解码器、解释器 给定一个输入和一个状态,FSM会转换到另一个状态并可能产生一个输出 如果一个状态的所有方面都符合安全策略的要求,那么该状态就是安全的 安全状态机模型始终引导进入安全状态,在所有转换中保持安全状态,并允许主体仅以符合安全策略的方式访问资源 3、信息流模型 信息流模型是一种状态机模型 Bell-Lapadula和Biba模型都是信息流模型 Bell-Lapadula模型关注的是防止信息从高流向低 Biba模型关注的是防止信息从低流向高 信息流模型旨在防止未经授权、不安全或受限的信息流,通常在不同的安全级别之间。信息流模型允许所有已授权信息流,无论是在相同的分类级别内,还是分类级别之间 4、非干扰模型 非干扰模型大致基于信息流模型 非干扰模型并非关注信息流,而是关注较高安全级别的主体的动作,如何影响系统状态或较低级别的主体的动作 非干扰模型关注的是防止处在高安全分类水平的主体行为,影响处于低安全分类水平的系统状态 级联:一个系统的输入来自另一个系统的输出 反馈:系统A首先为系统B提供输入,然后系统B向系统A提供输入 连接:一个系统将输入发送给另一个系统,但也将系统输入发送到其他外部实体 5、Take-Grant模型 Take-Grant(获取-授予)模型使用有向图来规定如何将权限从一个主体传递到另一个主体 具有“授予”权限的主体可将他们拥有的任何权限授予另一个主体或客体 具有“获取”权限的主体可从另一个主体获取权限 Take-Grant模型的关键是使用这些规则可以让你了解系统中的权限何时可能更改或泄露的位置 6、访问控制矩阵 访问控制矩阵是主体和客体的列表,指示每个主体对客体执行的动作或功能 矩阵的每一列是ACL访问控制列表(与客体绑定),每一行是能力列表(与主体关联) 要删除一列ACL访问控制列表,需要对每个主体的访问权限进行更改 系统使用访问控制矩阵来快速确定主体对客体的请求是否被授权 7、Bell-LaPadula模型 Bell-Lapadula模型建立在状态机概念和信息流模型之上,还采用了强制访问控制和格子概念 格子层级是组织安全策略使用的分类级别 状态机支持多个状态,可明确在任何两个状态之间转换 Bell-Lapadula模型可防止机密信息泄露,或转移到较低的安全许可级别 Bell-Lapadula模型专注于维护客体的保密性 简单安全属性:规定主体不能读取较高级别的客体(不准上读) *安全属性:规定主体不能将信息写入较低级别的客体(不准下写) 自由安全属性:规定系统使用访问矩阵执行自主访问控制-只能访问相同等级客体 8、Biba模型 Biba模型解决的是完整性问题 Biba模型也建立在状态机概念上,基于信息流,是一个多级别模型 Biba模型和Bell-Lapadula模型方向相反 简单完整性属性:规定主体不能读取较低级别的客体(不准下毒) 完整性属性:规定主体不能修改更高级别的客体(不准上写,怕写脏了) 解决了完整性,但是没有解决保密性和可用性,不能阻止隐蔽隧道 9、Clark-Wilson模型 和Biba模型一样,解决完整性问题,为商业设计的模型 Clark-Wilson模型使用安全标签授予客体的访问权限,但仅限于通过转换过程和受限制的接口模型,受限制的接口模型使用基于分类的限制来提供特定主体的授权信息和功能 Clark-Wilson模型不需要使用格子结构,它使用被称为三元组的主体、程序、客体 主体无法直接访问客体,客体只能通过程序访问 标准格式的事务采用程序的形式,这有效的限制了主体的能力,俗称约束接口 受约束数据项CDI:是完整性受到安全模型保护的任何数据项 无约束数据项UDI:是不受安全模型控制的任何数据项(输入、输出、未验证的数据) 完整性验证过程IVP:是扫描数据项并确认其完整性的过程 转换过程TP:是唯一允许修改CDI的过程 良构事务(well-formed transactions):流程运作的顺序非常重要。如:接受员在没有接受到与订单相符的货物之前是不能签署送货单的(因为这样就等于允许供货方随便把他们想卖出去的任何货物卖给收货方),而会计人员在收到一份与实际收到货物相匹配的订单和送货单之前,也不能够开支票(因为如果我们没有订购某种货物,或者没有收到我们订购的货物,就不应该付款给供货方 )。而且,在大多数实例中,订单和送货单都需要某个被授权的人员来签订。委任专人按顺序准确执行以上步骤,就构成了一个良构事务。Clark-Wilson策略的目标是使内部数据与其外部(用户)期望保持一致。Clark和Wilson用受约束数据项(constrained data item)来表达他们的策略,受约束数据项由转变程序(transformation procedure)进行处理。转变程序就像一个监控器,对特定种类的数据项执行特定的操作;只有转变程序才能对这些数据项进行操作。转变程序通过确认这些操作已经执行来维持数据项的完成性。Clark和Wilson将这个策略定义为访问三元组(access triple):<userID,TPi,{CDIj,CDIk,...}>,通过他将转变程序、一个或多个受约束数据项以及用户识别结合起来,其中用户是指已经被授权且事务程序的方式操作数据项的人。 在Clark-Wilson安全模型中,数据完整性是通过良构事务来保证的。良构事务是一种特殊的事务,它具有特定的限制和约束,可以保证数据的完整性和一致性。在Clark-Wilson安全模型中,良构事务是通过职责分离的思想设计的,即良构事务只能执行特定的操作,而不能执行其他任何操作。这样,就可以保证数据的完整性,因为良构事务只能执行特定的操作,不能破坏数据的完整性。 10、Brewer and Nash模型-中国墙模型 为了允许访问控制可以基于用户先前的活动,而动态改变 该模型适用于单个集成的数据库,它试图创建对利益冲突概念敏感的安全域 该模型创建一类数据,这个数据类定义了哪些安全域存在潜在的冲突,对于能够访问某个属于特定冲突类的安全域的任何主体,阻止他们访问属于相同冲突类的其他任何安全域 11、Goguen-Meseguer模型 Goguen-Meseguer模型是一个不出名的完整性模型,没有Biba有名 Goguen-Meseguer模型是非干涉模型的代表 主体仅允许对预定的客体执行预定的动作,基于主体可以访问的预设的域或客体列表 一个主体域的成员不能干扰另一个主体域的成员 12、Sutherland模型 Sutherland模型是一个完整性模型,基于定义一组系统状态以及初始状态和状态转换,通过预定的安全状态来保护完整性和阻止干扰 例子:防止隐蔽隧道被用来影响过程或活动的结果 13、Graham-Denning模型 Graham-Denning模型专注于主体和客体的安全创建和删除 用于定义安全操作的边界(创建、删除、读取、授权、传输)
18.一个新员工的笔记本电脑具有完全的管理员权限。这名雇员在家里没有自己的个人电脑,并且他有一个孩子也使用这台电脑发送和接收电子邮件,在网上搜索,使用即时消息等。该组织的信息技术 (IT) 部门发现使用了该员工的访问权限安装了一个对等 (P2P) 程序。 以下哪一项能最有效的防止电脑上安装P2P程序? A.Removing employee’s full access to the computer 移除员工对电脑的完全访问权限 B.Supervising their child’s use of the computer 监管员工子女对员工电脑的使用 C.Limiting computer’s access to only the employee 限制仅员工才能访问电脑 D.Ensuring employee understands their business conduct guidelines 确保员工理解公司行为指南
A 这是最彻底的方法,C感觉难以实施,因为员工登录以后把电脑给其他人是没法判断的。D太抽象了,不具体。
19.哪种访问控制方案使用细粒度规则来指定授予对每个数据项或应用程序的访问权限的条件? A. 强制访问控制 (MAC) B. 自主访问控制 (DAC) C. 基于角色的访问控制 (RBAC) D. 基于属性的访问控制 (ABAC) 20.Computer crime is generally made possible by which of the following? 计算机犯罪通常是由下列哪一项原因造成的? A.The perpetrator obtaining training & special knowledge. 行为人获得培训和专门的知识 B.Victim carelessness. 受害人粗心大意 C.Collusion with others in information processing 与他人在信息处理上串通共谋 D.System design flaws. 系统设计缺陷 21.By examining the "state" and "context" of the incoming data packets, it helps to track the protocols that are considered "connectionless", such as UDP-based applications and Remote Procedure Calls (RPC). This type of firewall system is used in? 通过检查进入的数据包“状态”和“上下文”,它有助于跟踪被认为是“无连接”的协议,比如基于UDP的应用程序和远程过程调用 (RPC) 。这种类型的防火墙系统中是? A. First generation firewall systems. 第一代防火墙系统 B. Second generation firewall systems. 第二代防火墙系统 C. Third generation firewall systems. 第三代防火墙系统 D. Fourth generation firewall systems. 第四代防火墙系统 22.Guards are appropriate whenever the function required by the security program involves which of the following? 安全体系中需要实现下面哪个功能时,使用警卫是合适的? A. The use of discriminating judgment. 需要辨别力判断 B. The use of physical force. 物理暴力的使用 C. The operation of access control devices. 访问控制设备的运行 D. The need to detect unauthorized access. 检测非授权访问的需要 23.In a Key Escrow solution, which of the following provides the encryption and decryption function? 在密钥托管体制中,下面哪个提供了加密和解密的功能? A. Data recovery component 数据恢复组件 B. Key registry component 密钥注册组件 C. Key escrow component 密钥托管组件 D. User security component 用户安全组件 24.An organization has performed a security analysis on recent incidents and determined that password disclosure was a major contributor to the incidents. Of the following, what is the BEST means to mitigate this problem? 一个组织已经对最近发生的事件进行了安全分析,并确定密码泄露是引发事件的主要问题。下面哪个是缓解这一问题的最佳手段? A.Implement best practices for password retention 实施密码保留的最佳实践 B.Perform additional security assessments 执行附加的安全评估 C.Implement stronger password policies 实施强密码策略 D.Increase user awareness 增加用户安全意识 25.The Systems Development Life Cycle (SDLC) process provides a methodology for what? 系统开发生命周期 (SDLC) 提供了哪方面的方法论? A.Developing systems with adequate privacy 充分的隐私保护来开发系统 B.Developing systems in a standardized manner 以标准化的方式来开发系统 C.Developing systems according to security policy 根据安全策略来开发系统 D.Developing systems at minimum cost 以最小的成本来开发系统 26.Which of the following is the PRIMARY challenge when implementing a Single Sign-On (SSO) solution? 实施单点登录 (SSO) 解决方案的主要挑战是下面哪项? A.Growing trend to customize authentication for each application 有增长的趋势需要为每个应用定制认证方式 B.Resistance of the user community who want to keep their old ID's 想要保持他们的旧ID的用户社区的抵制 C.Implementation of the standard protocols 标准协议的实施 D.Integration with legacy applications 与以前的应用系统的集成 27.Which of the following access control types gives "UPDATE" privileges on Structured Query Language (SQL) database objects to specific users or groups? 下面哪个访问控制类型给予特定用户或用户组“UPDATE”权限修改SQL数据库客体? A. Supplemental 补充 B. Discretionary 自主 C. Mandatory 强制 D. System 系统 28.Which of the following tools present the MOST potential risk for unethical use? 如果不道德的使用下面哪个工具,可能产生最大的风险? A.One-Time-Password and Single Sign-On (SSO) applications 动态令牌和单点登录(SSO)应用程序 B.Key loggers and screen capture applications 键盘记录器和屏幕捕捉程序 C.Hand scanners and network sniffers 手掌扫描器和网络嗅探器 D.Retinal scanners and port scanners 视网膜扫描器和端口扫描器 29.Which of the following are the MOST effective methods to protect against an active attack? 下面哪项是最有效的防止主动攻击的方法? A.Trusted software development and intrusion detection monitoring 可信软件开发和入侵检测监控 (IDS) B.Application-layer firewall and Intrusion Prevention System (IPS) 应用层防火墙和入侵防御系统 (IPS) C.Virtual Private Networks (VPN) and anti-virus software 虚拟专网 (VPN) 和防病毒软件 D.Point-to-point Encryption and Public Key Infrastructure (PKI) enabled e-mail 点对点加密和应用公钥基础设施的电子邮件 30.During a budgeting meeting an organization's management decides to prioritize security risks. Which of the following International Organization for Standardization (ISO) standards would provide the BEST guidance? 在组织管理层的预算会议上决定对安全风险进行优先级评级。下面哪项 ISO 标准可以提供最好的指南? A. ISO 27001 B. ISO 27002 C. ISO 27003 D. ISO 27005 31.Which of the following is not considered firewall deployment technology? 下面哪项不是防火墙部署技术? A. Screened subnet 屏蔽子网 B. Screened host 屏蔽主机 C. Dual gateway host 双重网关主机 D. Dual homed host 双宿主机 32.Which type of network topology passes all traffic through all active nodes? 哪种类型的网络拓扑是经过所有激活的节点来传输所有流量 A. Broadband 宽带 B. Star 星形 C. Baseband 基带 D. Token Ring 令牌环
19
RBAC又被称为非自主访问控制。 Non-Discretionary Access Control(role-based access control (RBAC)) 这种安全控制模型是由一个单一的授权控制机构,根据用户所属的组或者在公司中的职责来确定对资源的访问许可,因此非常适合人员流动性大的公司。资源的访问许可是基于职责或者角色Role的,每个角色确定了本角色所需要的访问许可。 RBAC的特点是指派角色,根据角色来分配访问权限。 DAC不是中央授权,RBAC和MAC都是中央授权。 DAC的特点是由数据所有者决定访问权限。 MAC的特点是安全标签(敏感标签),主体赋予安全许可(security clearance),客体赋予安全级别(security classification)。
访问控制矩阵是一个由主体和客体组成的表, 这个表指示了每个主体可以对每个客体执行的动作或功能。 访问控制列表,就是只有一列的访问控制矩阵。例如,针对一个文件X的,然后表里有所有用户对X的访问权限。注意:此时表里只有关于X的访问权限,如果要查文件Y的相关权限,就不应该查这个表了。 能力表,就是只有一行的访问控制矩阵。例如,就是针对主体-用户Bob的,表里列出了Bob拥有的对所有客体的权限。注意这里没法查其他用户Tom的任何权限,你得到其他表去查了。
21
第一代防火墙系统---静态包过滤 第二代防火墙系统---应用代理 第三代防火墙系统---状态检测 第四代防火墙系统---动态包过滤
23
密钥托管
密钥托管 目的:为了有效控制密码技术的使用,保证对个人没有绝对的隐私和绝对不可跟踪的匿名性。 用途:提供一个备用的解密途径,政府机构在需要时,可通过密钥托管技术解密用户的信息,而用户的密钥若丢失或损坏,也可通过密钥托管技术恢复自己的密钥。 密钥托管 密钥托管密码体制组成: (1)用户安全组件USC (user security component) 作用:提供数据加解密能力以及支持密钥托管功能; USC可用于通信和数据存储的密钥托管; USC使用的加密算法可以是保密的、专用的,也可以是公钥算法。 (2)密钥托管组件KEC (key escrow component) 作用:存储所有的数据恢复密钥,通过向DRC提供所需的数据和服务以支持DRC。 托管代理机构也为可信赖的第三方,需要在密钥托管中心注册。 职责:操作KEC,协调托管代理机构的操作或担当USC或DRC的联系点 (3)数据恢复组件DRC (data recovery component) 作用:由KEC提供的用于通过密文及DRF中的信息获得明文的算法、协议和仪器。 它仅在执行指定的已授权的恢复数据时使用。 Skipjack算法 Skipjack加密算法是一种对称分组加密算法,密钥长度为 80比特、明文和密文长度均为64比特、轮数为32轮。它在防篡改硬件中实现,是在Clipper芯片和Fortezza PC卡中使用的密钥加密算法。
25
混淆是C,感觉C应该是SAMM
30
ISO/IEC 27001-—信息安全管理体系标准 ISO/IEC 27002 信息技术—安全技术—信息安全管理实践规范(Information technology—Security techniques—ISMS Practice):提供了具体的安全控制措施和操作指南,帮助组织实现ISO 27001标准中的要求。 ISO/IEC 27003 信息安全管理体系—实施指南(ISMS Implementation guidelines):为组织提供实施ISO 27001的实用指南,包括组织结构、职责、培训和意识提升等方面的建议。 ISO/IEC 27004 信息安全管理体系—指标与测量(ISMS Metrics and measurement):帮助组织建立和实施用于评估ISMS性能的指标和测量方法。 ISO/IEC 27005 信息安全管理体系—风险管理(ISMS Risk management):提供风险管理的原则和方法,帮助组织识别、评估和管理信息安全风险。 ISO/IEC 27006 信息安全管理体系—认证机构的认可要求(Requirements for the accreditation of bodies providing certification):规定了认证机构应满足的条件和要求,以确保其对ISMS认证的公正性和有效性。 ISO/IEC 27007 信息技术—安全技术—信息安全管理体系审核员指南 ISO/IEC 27031-—ICT 业务连续性管理指南 ISO/IEC 27035——信息安全事件管理指南 ISO/IEC 27018 ——公有云中个人可识别信息保护管理体系认证 ISO/IEC 27701—隐私信息管理体系认证
31
要记住
33.The act of validating a user with a unique and specific identifier is called what? 通过一个独特的或特定的身份来确认一个用户,称作什么? A.Validation 确证 B.Authentication 身份验证 C.Authorization 授权 D.Identification 身份标识 34.A minimal implementation of endpoint security includes which of the following? 终端安全最小的实施应包括如下哪项? A. Wireless access points (AP) 无线接入点 B. Full disc encryption 全磁盘加密 C. Personal firewalls 个人防火墙 D. Trusted platforms 可信平台 35.Cryptanalysis is used to : 密码分析学被用来: A.Reduce the system overhead for a crypto-system 减少加密系统的系统开销 B.Choose the correct algorithm for a specified purpose 选择用于特定目的的正确的算法 C.Forge coded signals that will be accepted as authentic 伪造编码信号,使其能被当作真实的信号接受 D.Develop secure crypto-systems 开发安全加密系统 36.If an employee is suspected of computer crime and evidence need to be collected, which of the following departments must be involved with the procedure? 如果一个员工被怀疑参与计算机犯罪,需要搜集相关的证据,那么下面哪个部门必须要纳入到该程序? A.Law enforcement 法律部门 B.Computer security 计算机安全 C.Auditing 审计 HR 人力资源
33
authentication才能validate,而identication只能标识,切记
34
终端安全包括:local host firewall, anti-malware scanners, authentication, authorization, auditing, spam filters, and IDS/IPS services. 本地主机防火墙、反恶意软件扫描程序、身份验证、授权、审计、垃圾邮件过滤器和IDS/IPS服务。
35
本题考察点是密码攻击方式,不是密码算法,不能把密码分析学理解为算法 以后要注意!!!
密码攻击: 分析攻击:这是试图降低算法复杂性的一种代数操作。分析攻击的焦点是算法本身的逻辑。 执行攻击:这是探寻密码系统在执行过程中暴露的弱点的一种攻击。它着重于挖掘软件代码,其中不仅包括错误和缺陷,还涉及用来给加密系统编程的方法。 统计攻击:统计攻击探寻密码系统的统计学弱点,例如汗点错误和无力生成真随机数。统计攻击试图在承载密码应用的硬件或操作系统中找到漏洞。 蛮力攻击:蛮力攻击是直截了当的攻击。这种攻击尝试找出密钥或口令的每种可能的有效组合。攻击的实施涉及用大量处理能力来系统化猜测用于加密通信的密钥。 频率分析:频率分析一即计数每个字母在密文中出现的次数——被证明是可以帮助破解简单密码的一种技术手段。众所周知, E、T、A、O、I、N 是英语中的最常用字母; 攻击者就是借助这个知识来测试以下两个假设的: .如果这些字母也在密文中使用得最频繁,则密码可能是一种移位密码,即重新排列了明文字符而未加任何改动。 .如果密文中使用得最频繁的是其他字母,则密码可能是某种替换密码,即更换了明文字符。 唯密文攻击:攻击者拥有若干消息的密文,每条消息都是使用相同的加密算法加密的。攻击者目标是找出加密过程中使用的密钥, 仅有密文,进行密码分析攻击。 已知明文:攻击者拥有一条或多条消息的明文和相对应的密文。例如某些文本有固定的格式、起始和结束语句。拥有明文和其对应的密文,进行密码分析攻击 选择密文:在选择密文攻击中,攻击者能够解密密文消息中被选中的部分,然后用解密后的那部分消息来发现密钥。 选择明文:攻击者选择特定明文发给受害者,待受害者加此明文发送出去后,再截获之。不同于已知明文攻击在于输入可以由攻击者来选定 可以选择明文并得到输出的密文,进行密码分析攻击。 中间相遇:中间相遇攻击利用进行两轮加密的协议(被证明在攻击下不如标准DES更安全)。 攻击者可能通过中间相遇攻击手段来击败采用两轮加密的加密算法。因为这种攻击的出现,造成作为DES加密可行强化版的双重DES(2DES)很快被弃用,被三重DES(3DES)取代。 中间人攻击:欺骗通信双方,使他们都与攻击者通信,而不是相互直接通信。 生日攻击:试图找到散列函数的冲突点 重放攻击:攻击者捕获了某种类型的数据(通常是身份验证信息)并重新提交已通过的身份验证的信息, 欺骗接收设备误以为这是合法信息。
cryptography cryptanalysis
36
CISM : 计算机取证以及以系统性方法收集和处理与安全事故相关的信息和物理对象以使它们可在法院中用作证据,这一过程通常应由经过专内培训的工作人员、第三方专家、安全IRT(事故响应团队)或专业执法人员来执行。IMT(安全事故管理团队)通常由信息安全经理、指导委员会或咨询委员会、固定或专内团队成员,以及虚拟或临时团队成员组成。固定/专内团队成员在IMT内全职工作。他们执行IMT/IRT中的主要任务。虚拟/临时团队成员可具备专业技能并可在必要时征募来填补内部技能组合中的空缺。固定团队成员可以包括事故处理人员、调查人员和取证专家,以及IT和物理安全专家。虚拟团队成员通常由业务代表(例如,中层管理人员)、法律工作人员、传达人员(例如PR)、HR人员、其他安全组(例如,物理安全)、风险管理和I专家组成。
37.What is it called when a system has apparent flaws that were deliberately available for penetration and exploitation? 当一个系统有明显的漏洞,故意用来被渗透和利用,这叫什么? A.Investigation 调查 B.Enticement 诱惑 C.Data manipulation 数据操纵 D.Entrapping 诱捕 38.Why are computer generated documents not considered reliable? 为什么计算机产生的文档被认为是不可靠的? A.Difficult to detect electron tampering 很难检测到电子篡改 B.Stored in volatile media 存储在易失性介质上 C.Unable to capture and reproduce 不能捕捉和重现 D.Because of US law, Section 7 paragraph 154 因为美国法律,第七部分第154段 39.What is a PRIMARY reason for designing the security kernel to be as small as possible? 什么是设计安全内核时需要尽可能小的主要原因? A.The operating system cannot be easily penetrated by users. 操作系统不能被用户很容易渗透 B.Changes to the kernel are not required as frequently. 对内核的变更不需要频繁进行 C.Due to its compactness, the kernel is easier to formally verify. 由于其紧凑,内核更容易被正式的验证 D.System performance and execution are enhanced. 系统性能和执行能够增强
40.Which of the following implements the authorized access relationship between subjects and objects of a system? 下面哪项实现了系统的主体和客体之间的授权访问关系? A. Security model 安全模型 B. Reference kernel 参考内核 C. Security kernel 安全内核 D. Information flow model 信息流模型
40
安全模型(Security Model)是一种对计算机系统中安全策略和控制的概念化表示。它为设计和实现安全机制提供了一种理论框架,以防止未经授权的访问、保护数据的完整性和确保系统的可用性。 安全模型有很多种类型,下面列举了一些常见的安全模型: 访问控制模型(Access Control Models):访问控制模型描述了如何控制用户对资源的访问。常见的访问控制模型有: a. 自主访问控制(DAC,Discretionary Access Control):用户可以自主控制其拥有的资源的访问权限。访问决策基于资源拥有者的意愿。 b. 强制访问控制(MAC,Mandatory Access Control):访问决策由系统策略确定,资源拥有者不能自由更改访问权限。通常用于高度保密的环境,如军事系统。 c. 基于角色的访问控制(RBAC,Role-Based Access Control):访问权限基于用户角色。角色代表一组与特定职责相关的权限。 d. 基于属性的访问控制(ABAC,Attribute-Based Access Control):访问控制基于用户、资源和环境的属性。属性可以是静态的(如用户的职位)或动态的(如当前时间)。 信息流模型(Information Flow Models):信息流模型关注数据在系统中的传输和处理过程中的保密性。常见的信息流模型包括: a. 贝尔-拉帕杜拉模型(Bell-LaPadula Model):这是一个用于保护数据机密性的模型。它使用安全等级和访问控制矩阵来限制信息的流动。 b. 比伯模型(Biba Model):与贝尔-拉帕杜拉模型相反,比伯模型主要关注数据的完整性。它通过限制数据流来保护数据免受未经授权的修改。 安全状态机模型(Security State Machine Models):这类模型使用状态机表示法来描述系统的安全状态和状态之间的转换。它们通常用于描述系统的安全属性和分析潜在的安全威胁。 安全生命周期模型(Security Lifecycle Models):这类模型关注安全策略和控制在整个系统生命周期中的实施和管理。它们包括安全需求分析、设计、实施、测试、维护和废弃等阶段。 安全信任模型(Security Trust Models):这类模类模型关注系统中各个实体之间的信任关系。信任模型定义了如何建立、维护和撤销信任,并规定了在特定条件下实体之间的信任程度。常见的安全信任模型包括: a. 公钥基础设施(PKI,Public Key Infrastructure):PKI是一种基于非对称加密的信任模型,其中包括证书颁发机构(CA)和证书。CA负责验证实体的身份并颁发证书,证书中包含实体的公钥和其他身份信息。实体之间的信任是通过证书链和CA的信任来建立的。 b. 信任管理框架(Trust Management Frameworks):信任管理框架提供了一种在分布式系统中建立和管理信任关系的方法。这类框架通常包括一组信任度量、信任建立机制和信任决策算法。例如,PGP(Pretty Good Privacy)是一种基于“Web of Trust”概念的信任管理框架,用户之间可以相互签名以建立信任关系。 c. 社交信任模型(Social Trust Models):社交信任模型基于社交网络中的个体之间的信任关系。这类模型通常依赖于用户之间的直接或间接关系(如朋友、家人或同事)来评估信任度。一些在线社交网络(如Facebook和LinkedIn)采用社交信任模型来提供安全性和隐私保护。 d. 基于声誉的信任模型(Reputation-Based Trust Models):这类模型依赖于实体在过去的行为和其他实体的评价来评估信任度。基于声誉的信任模型常用于在线市场、P2P网络和在线社区等场景。
这道题感觉题干的重点是实现,所以选C
41.When an organization takes reasonable measures to ensure that it took precautions to protect its network and resources is called: 当一个组织采取合理措施,以确保它采取预防措施来保护其网络和资源,被称为: A. Reasonable Action 合理的行动 B. Security Mandate 安全要求 C. Due Care 应有的关注 D. Due Dilliengce 应有的勤勉 42.Which of below is associated with security policy? 下面哪个与安全策略相关? A. Support of department managers 部门经理的支持 B. Are tactical in nature 属于战术性的 C. Are strategic in nature 属于战略性的 D. Developed after guidelines 在指南之后制定 43.A multinational organization has recently undergone an external regulatory audit. The organization had numerous system configuration audit findings at a high-risk level. To verify that the findings are addressed, what is it MOST important that the auditors request? 一个跨国组织最近要接受外部监管审计。该组织有多个系统配置的高风险审计发现。要验证这些发现是否得到解决,审计师要求的最重要的是? A.Executive level support to remediate the findings 高层支持以修补这些发现 B.Regular status updates on remediation activities 补救措施的日常状态更新 C.Technical resource availability to take corrective actions 技术资源可用性来采取纠正措施 D.System configuration standards be updated with best practice 根据最佳实践对系统配置标准的更新 44.What is essential when developing access control policies and procedures? 在制定访问控制策略和程序时,什么是最重要的? A. Sensitivity and criticality 敏感性和重要性 B. Legacy and lifecycle requirements 传统和生命周期的要求 C. Platform technologies and quantitative value 平台技术和定量价值 D. Administration and availability requirements 管理和可用性要求 45.当带着有个人可识别身份信息 (PII) 的笔记本出国旅行时,下面哪个是最佳实践? A.Use a thumb drive to transfer information from a foreign computer. 使用指纹驱动器从国外计算机传输信息。 B.Do not take unnecessary information, including sensitive information. 不要带不必要的信息,包括敏感信息 C.Connect the laptop only to well known networks like the hotel or public Internet cafes. 笔记本电脑只连接众所周知的网络,如酒店或公共网吧。 D.Request international points of contact help scan the laptop on arrival to ensure it is protected. 抵达后请求国际联络点帮助扫描笔记本,以确保它是受保护的。 46.Which of the following is the MOST common method of memory protection? 下面哪个是最通用的内存保护方法? A. Segmentation 分段 B. Error correction 错误纠正 C. Compartmentalization 条块 D. Virtual Local Area Network (VLAN) tagging 虚拟局域网标记 47.Which one of the following actions would BEST assist in the gathering of information about the security of equipment in an area? 下面哪一个行动能够最好的协助收集一个区域里设备的安全信息? A.Implement out-of-hours access controls to the area. 在区域内实施下班后的访问控制 B.Maintain a list of equipment and serial numbers. 维护设备和序列号的列表 C.Perform a physical security review. 执行一个物理安全检查 D.Interview the management and staff in the area. 与区域内的员工和经理进行面谈 48.Which of the following violates identity and access management best practices? 下面哪个违反了身份与访问管理的最佳实践? A. User accounts 用户账户 B. System accounts 系统账户 C. Generic accounts 通用账户 D. Privileged accounts 特权账户 49.敏捷开放 Scrum 方法论中的角色是: A. 产品所有者,Scrum Master 和 Scrum团队 B. Scrum Master,质量保证团队和 Scrum团队 C. Scrum Master,需求经理和开发团队 D. 系统所有者,Scrum Master 和开发团队 50.The BEST solution for Disaster Recovery Plan (DRP) accessibility includes keeping a copy of the plan on the premises, at the hot site, and at which of the following? 让灾难恢复计划 (DRP) 可访问的最佳解决方案包括提前保存该计划到热站和下列哪些地方? A.Vendor locations, and the DRP team managers' homes 供应商场所,和DRP团队经理的家中 B.Chief executive officer's home, and the DRP team managers' homes CEO的家里,和DRP团队经理的家里 C.DRP coordinator's home, and the DRP team managers' homes DRP协调人的家里,和DRP团队经理的家里 D.Vendor locations, and the DRP coordinator's home 供应商场所,和DRP协调人的家里 51.Which of the following statements pertaining to the security kernel is incorrect? 下面哪个关于安全内核的描述是不正确的? A.It is made up of mechanisms that fall under the TCB and implements and enforces the reference monitor concept. 它是由遵循TCB的机制组成,实施并增强了参考监视器的概念。 B.It must provide isolation for the processes carrying out the reference monitor concept and they must be tamperproof 它必须对执行参考监视器概念的进程提供隔离,并且它们必须是防篡改的 C.It must be small enough to be able to be tested and verified in a complete and comprehensive manner 它必须足够小,才能够以完全和完备的方式被测试和验证 D.Is an access control concept, not an actual physical component 安全内核是一个访问控制概念,不是一个实际的物理组件 52.Implementing baseline controls PRIMARLY provides which of the following? 实施基线控制主要提供了下面哪项? A.The opportunity to start a security certification program 一个启动安全认证体系的机会 B.An inexpensive and effective initial protection solution 一个便宜而且有效的初始保护解决方案 C.A foundation to measure the security program 一个测量安全体系的基础 D.Common elements for comparing progress with other companies 与其他公司对比进展状况的通用要素
43
定期的,经常的,常规的更新
44
针对客体的敏感性和重要性制定
51
可信计算基(TCB):系统内提供某类安全并实施系统安全策略的所有硬件、软件和固件的组合。 安全边界:一种假想的边界,划分可信与不可信的边界 引用监控器:一个访问控制概念 安全内核:由位于TCB内的硬件、软件和固件组件构成,并且实现和实施引用监控器概念。 引用监视器概念是一个抽象机,它确保所有主体在访问客体之前拥有必要的访问权限。因此,引用监视器是主体对客体进行所有访问的中介。必须满足隔离、完整性和可验证性。
52
安全基线 • 安全基线与英文排版的基线类似,是一条参考标准线。 • 安全基线表达了最基本需要满足的安全要求。
53.The initial handshake with Extensible Authentication Protocol (EAP) uses which of the following message types? 扩展认证协议 (EAP) 的初始握手使用了下面哪个消息类型? A. EAP-Success/Failure EAP-成功/失败 B. EAP-Request/Identity EAP-请求/身份 C. EAP-Response/Identity EAP-响应/身份 D. EAP-Request/Response EAP-请求/响应 54.To gain entry into a building, individuals are required to use a palm scan. This is an example of which type of control? 为了进入到一个建筑物,人们需要使用掌纹扫描。这是那种类型的控制实例? A. Physical detective 物理检测性 B. Physical preventive 物理预防性 C. Administrative detective 管理检测性 D. Administrative preventive 管理预防性 55.A hacker can use a lockout capability to start which of the following attacks? 黑客可以使用锁定能力来开始下面哪个攻击类型? A. Man-in-the-Middle (MITM) 中间人攻击 B. Denial of Service (DoS) 拒绝服务攻击 C. Dictionary 字典攻击 D. Ping flood ping洪水攻击 56.Which of the following are functions that are compatible in a properly segregated environment? 下面哪个是在一个正确职责分离的环境中可以兼容的职能? A. Security administration and quality assurance 安全管理和质量保障 B. Security administration and data entry 安全管理和数据录入 C. Security administration and application programming 安全管理和应用编程 D. Application programming and data entry 应用编程和数据录入
53
EAP(Extensible Authentication Protocol),可扩展认证协议,是一种普遍使用的支持多种认证方法的认证框架协议,主要用于网络接入认证。 该协议一般运行在数据链路层上,即可以直接运行于PPP或者IEEE 802之上,不必依赖于IP。EAP可应用于无线、有线网络中。 EAP的架构非常灵活,在Authenticator(认证方)和Supplicant(客户端)交互足够多的信息之后,才会决定选择一种具体的认证方法,即允许协商所希望的认证方法。认证方不用支持所有的认证方法,因为EAP架构允许使用一个后端的认证服务器(也就是AAA服务器),此时认证方将在客户端和认证服务器之间透传消息。 EAP认证方法目前大约有40种,IETF的RFC中定义的方法包括:EAP-MD5、 EAP-OTP、EAP-GTC、EAP-TLS、EAP-SIM和EAP-AKA, 还包括一些厂商提供的方法和新的建议。 EAP的典型过程如下: 1、Authenticator发送请求报文EAP-Request给Supplicant(客户端),表明EAP认证开始。该请求由一个字段标明需要请求的数据是什么。这个字段包含Identity(询问对端的身份), MD5-challenge(MD5挑战字)等。上述发送EAP-Request的步骤在某些情况下也可省去,比如在有线网络中,Authenticator(有时也称为NAS)已经根据客户端连接的端口识别用户身份,或者通过MAC地址,IMSI卡等识别用户身份的情况下。 2、Supplicant针对Authenticator发过来的请求回应一个响应消息EAP-Response,该消息包含了请求消息中请求的字段信息,如身份识别信息。 3、Authenticator继续发送EAP-Request消息,消息中包含具体EAP Type及其协议数据,Supplicant对此做出响应。根据EAP Method的不同,此步骤可能会交互多次。 EAP交互过程是Supplicant与Authenticator一来一往的过程,每次只能处理一个EAP报文,在收到响应之前不能发送新的请求,即锁步机制(Lockstep)。因此Authenticator要负责请求消息的重传。如果重传一定次数后都没有收到应答消息,这次的EAP过程就要被终结。重传后收到应答消息或者一直没有收到应答消息,Authenticator都不发送成功或者失败消息。 4、交互多次之后,会出现两种情形:Authenticator不能确认Supplicant的接入权限,此时必须发送EAP-Failure,终结此次的EAP过程;或者确认接入权限,此时必须发送EAP-Success消息。 Authenticator也可以作为Pass Through设备,透传EAP报文。这种情形下Authenticator检查EAP的Code,Id及Length并将报文转发出去。Authenticator需要将EAP Code为2(Response)的报文转给后端的认证服务器,将EAP Code=1(Request),3(Success),4(Failure)的报文转给Supplicant。在这个处理过程中除非Pass Through Authenticator实现了某种EAP Methods,一般是只将消息转发,并不去检查EAP Methods Layer的的消息头(即EAP Type)。
55
攻击后锁定能力和系统,所以选B
56
子主题
57.How does a Host Based Intrusion Detection System (HIDS) identify a potential attack? 基于主机的入侵检测HIDS是如何识别可能的攻击的? A.Examines the Access Control List (ACL) 检查访问控制列表ACL B.Matches traffic patterns to virus signature files 将流量与病毒签名文件进行对比 C.Examines log messages or other indications on the system 检查系统的日志消息或其他提示 D.Monitors alarms sent to the system administrator 监控发给系统管理员的报警 58.With RBAC, each user can be assigned: 根据RBAC,每个用户可以被分配: A. One or more roles 一个或多个角色 B. Only one role 只有一个角色 C. A token role 一个令牌角色 D. A security token 一个安全令牌 59.With RBAC, roles are: 根据RBAC,角色是? A. Based on labels. 基于标签的 B. All equal 所有都一样的 C. Hierarchical 分层级的 D. Based on flows. 基于流的 60.Which one of the following entails periodical transmitting copies of on-line transactions to a remote computer facility for backup? 下列哪一个定期发送交易副本到远程的计算机备份设施? A. Archival storage management (ASM) 档案存储管理 B. Electronic vaulting 电子跳跃 C. Hierarchical storage management (HSM) 分层存储管理 D. Data compression 数据压缩
61.下面哪项正确描述了基于角色的访问控制? A.It allows you to specify and enforce enterprise-specific security policies in a way that maps to your user profile groups. 它允许你定义和执行企业特定的安全策略,这些策略对应于你的用户配置文件组 B.It allows you to specify and enforce enterprise-specific security policies in a way that maps to your organizations structure. 它允许你定义和执行企业特定的安全策略,这些策略对应于你的组织架构 C.It allows you to specify and enforce enterprise-specific security policies in a way that maps to your ticketing system. 它允许你定义和执行企业特定的安全策略,对应于你的票证系统 D.It allows you to specify and enforce enterprise-specific security policies in a way that maps to your ACL. 它允许你定义和执行企业特定的安全策略,对应于你的访问控制列表 62.一个大型组织使用唯一的身份标识,并要求他们在每次系统会话的开始时使用。应用程序访问是基于工作职责的分类。该组织定期对访问控制和违规进行独立的审核。该组织使用了有线和无线网络,以及远程访问。该组织还使用了到分支机构的安全连接,以及针对某些选择的信息和流程实施安全的备份和恢复策略。以下哪项最好的描述了该组织采用的访问控制方法? A. Least privilege 最小特权 B. Lattice Based Access Control (LBAC) 基于格子的访问控制 C. Role Based Access Control (RBAC) 基于角色的访问控制 D. Lightweight Directory Access Control (LDAP) 轻量目录访问控制 63.一个大型组织使用唯一的身份标识,并要求他们在每次系统会话的开始时使用。应用程序访问是基于工作职责的分类。该组织定期对访问控制和违规进行独立的审核。该组织使用了有线和无线网络,以及远程访问。该组织还使用了到分支机构的安全连接,以及针对某些选择的信息和流程实施安全的备份和恢复策略。 访问控制日志除了身份标识外还必须包含什么内容? A. Time of the access 访问的时间 B. Security classification 安全的分类 C. Denied access attempts 拒绝访问尝试 D. Associated clearance 相关的身份级别 64.一个大型组织使用唯一的身份标识,并要求他们在每次系统会话的开始时使用。应用程序访问是基于工作职责的分类。该组织定期对访问控制和违规进行独立的审核。该组织使用了有线和无线网络,以及远程访问。该组织还使用了到分支机构的安全连接,以及针对某些选择的信息和流程实施安全的备份和恢复策略。 除了要在每个用户会话前进行身份验证外,最佳实践的做法,应该在何时进行重新验证? A. 在退出系统时进行验证 B. 运行每个业务流程时进行验证 C. 在会话过程中定期进行验证 D. 在一段不活跃期后进行验证
61
应该是看错行,选B无疑
63
时间
64
记住
65.在设计计算机系统时,引入TPM可信任平台模块(Trusted Platform Module)的目的是? A.建立一个安全的初始状态 B.防止拒绝服务攻击 C.与公共密钥基础设施(PKI)建立接口 D.提高安全软件的质量 66.相对于 FC SAN 而言,IP SAN ? A. 存储设备不容易遭到可用性攻击 B. 数据流量的机密性得到了更好的保护 C. 消除了对存储设备的spoofing攻击 D. 网络流量更容易遭到嗅探 67.应急计划演练的目的是? A.验证服务级别协议 B.发现系统脆弱性 C.培训相关人员明确角色职责 D.验证运营指标 68.以下哪一项最有效地防止电子邮件欺骗? A.加密签名 B.垃圾邮件过滤 C.统一资源定位符URL过滤 D.反向DNS查询
69.谁对确保信息资产被正确分类并有适当的保护措施这件事负有最终责任? A. 首席信息安全官 B. 数据保管人 C. 数据/信息/业务所有者 D. 执行管理层 70.对企业相关人员进行安全意识教育时必须: A. 解释所有合规要求都是需要被强制执行的 B. 识别安全消息及其受众,解释安全的必要性 C. 确保安全培训的内容包括了所有相关内容 D. 解释黑客是如果利用安全漏洞进行攻击的
69
D就是管理层
70
记住
71.进行渗透测试时,以下哪一项能指明网络上正运行了哪些组件? A.配置管理 (configuration management) B.网络拓扑 (network topology) C.勘探工具 (mapping tools) D.ping测试 (ping testing) 72.以下哪一项能最有效的防止外包软件开发中的安全缺陷? A. 进行软件许可、代码知识产权保护 B. 对工作的准确性和交付质量进行认证 C. 进行交付日期控制、变更管理控制和预算控制 D. 定义代码质量的合同要求 73.企业在收集隐私保护相关信息以明确其在隐私保护方面所负有的法律责任时,最相关的信息是? A. 企业用于保护隐私信息的规程 B. 企业当前与隐私保护相关的安全方针 C. 对企业适用的政府机构颁布的隐私相关的法规 D. 由被认可的安全标准组织发布的隐私保护最佳实践 74.以下哪个验证协议为每一个会话创建一个新的随机数? A. 点对点协议(PPP) B. 密码验证协议 (PAP) C. 可扩展验证协议(EAP) D. 挑战握手验证协议(CHAP) 75.组织的安全策略允许ping数据流经网络。攻击者在网络上利用ping 数据包的载荷在网络间传输数据。这种攻击方法被称为: A. 旁路攻击 B. 色拉米攻击 C. 碎片攻击 D. 隐蔽通道 76.在审核系统管理时,审计师发现系统管理员没有经过必要的培训,为了确保系统的完整性,需要立即采取哪项行动? A. 安排有经验的管理员对所有系统进行评审 B. 对所有部门的规程进行评审 C. 对所有培训规程进行评审 D. 对HR招聘新员工的策略以及验证新员工能力的方法进行评审 77.OSI模型中,在发送方和接收方之间建立逻辑连接的是哪一层? A. 物理层 B. 会话层 C. 传输层 D. 数据链路层 78.以下哪一项是最小授权原则的运用? A. 建立岗位轮换机制 B. 监控和评审特权会话 C. 建立VPN隧道连接 D. 建立沙箱环境
79.检查安全编程的实践是否被贯彻,例如审计是否存在后门的最佳方法是? A.对日志进行审计 B.影响分析 C.静态分析 D.代码评审 80.以下哪一项关于DRP测试的描述是正确的? A. 如果所有测试都通过了,说明公司已经完全准备好应对灾难了。 B. 在测试时,需要停止其他的开发工作。 C. 只有在全部灾难计划能够被测试后才能开展测试 D. 如果部分测试出现故障,测试仍应该继续 81.IT风险管理计划最终必须由谁签字同意? A.执行风险评估的IT审计师 B.高级管理层 C.CIO 首席信息官 D.CISO首席信息安全官 82.哪种火灾探测设备能够最快探测火灾: A. 离子探测 B. 光电探测 C. 红外探测 D. 紫外火焰探测 83.收集详细日志信息的主要问题是? A. 大部分系统和应用不支持日志记录 B. 日志无法提供关于系统和应用活动的足够细节 C. 及时评审日志比较困难 D. 在需要日志的时候日志不可用的可能性增大 84.以下哪一项是网络配置管理中常见的风险? A. 用户ID和密码没有设置有效期 B. 补丁难以保持一致 C. 网络拓扑图没有及时更新 D. 网络管理的职责分派给了系统管理员
79
软件测试
代码评审和测试
测试技术
白盒(结构性测试/开箱测试) vs. 黑 盒测试(功能性测试/闭箱测试)
动态测试 VS. 静态测试 Dynamic Testing vs. Static Testing
静态
程序不需要运行 分析源代码或编译后的程序 通常需要自动化检测工具 无法发现程序的逻辑错误
动态
程序处于运行中的测试 例如,使用合成交易(synthetic transaction)的测试
手工 vs. 自动化 Manual Testing vs. Automated Testing
规划和设计阶段 During Planning and Design
架构安全评审
先决条件:架构模型 优点:验证架构偏离安全标准
威胁建模 Threat Modeling
先决条件:业务用例或使用场景 识别威胁、及其影响以及具体到软件产品开发过程中的潜在控制措施。 STRIDE 模型
应用开发阶段 During Application Development
Static Source Code Analysis and Manual Code Review (静态代码分析和 手动代码评审)
不执行程序而分析应用源代码,查找漏洞。 先决条件:有应用源代码
Static Binary Code Analysis and Manual Binary Review (静态二进制代码分析和手工二进制审查)
对已编译的应用进行分析来发现弱点, 并不执行应用 不精确且不提供修复建议
在测试环境中可执行 Executable in a Test Environment
手工或自动化渗透测试
像攻击者一样发送数据并发现其行为。 优点:在部署的应用上识别大量的弱点;
自动化漏洞扫描
测试使用已知不安全的系统组件或配置的应用。 设定预攻击模式,分析系统指纹。 优点:检测已知漏洞
Fuzz Testing模糊测试
优点:检测至关重要的应用程序的崩溃(例如,由缓冲区溢出引起的)
发送随机数据(常常远比应用所期望的更大块)到应用输入渠道来引起应用的崩溃。
用例和误用例
用例 Use cases
站在正常用户使用系统的角度的测试用例
误用例 misuse case:
来自对系统怀有恶意的人员视角的用例
正向测试方法 Positive testing
确定应用按照所期待的方式进行工作, 如果在正向测试中发现错误则失败
负向测试 N egati v e testing
确保应用可以妥善处理无效输入或非预期用户行为
代码级别的测试 Code-based testing
结构化测试 (“白盒”测试/水晶盒 测试)开箱测试
结构化测试主要是放在模块级别的测试; 结构化测试级别可以用被测试的软件结构的百分比来作为指标来衡量;
白盒测试检查程序的内部逻辑结构并逐行检查代码, 分析程序是否存在潜在错误。白盒测试的关键属性是 测试人员可以访问源代码。《OSG 第20章》
测试用例基于从源代码、细节设计规格说明和其他开发文档中获得的知识;
Common structural coverage 测试覆盖率(适用于白盒)
判定(分支)覆盖率 Decision(Branch) Coverage 条件覆盖率 Condition Coverage 函数覆盖率 Function Coverage 循环覆盖率 Loop Coverage 语句覆盖率 Statement Coverage
软件功能测试 functional software testing
功能性测试或“黑盒”测试/闭箱测试 (functional testing or blackbox testing)
测试用例基于软件产品具体要做什么来定义的 测试用例的主要挑战是预期用途和程序功能以及程序的内外部接口; 功能性测试应用于任意级别的软件测试,从单元测试到系统级别的测试 黑盒测试通过提供各种输入场景并检查输出, 从用户的角度检查程序。 黑盒测试人员无权 访问内部代码。 在系统交付之前进行的最终 验收测试是黑盒测试的一个常见示例。《OSG 第20章》
Normal Case 普通用例
Output Forcing 输出要求, Robustness 鲁棒性
Combinations of Inputs 输入组合
weakness 弱点
很难将结构化和功能化测试的完成标准与软件产品的可靠性链接起来
灰盒测试
灰盒测试结合了白盒测试和黑盒测试这两种方法,在软件验证中很流行。在这种方法中,测试人员从用户的角度检查软件,分析输入和输出。他们还可以访问源代码并使用它来帮助设计他们的测试。但是,他们在测试期间不会分析程序的内部工作原理。
网站监测
真实用户监控RUM
Web监控方法,旨在捕获或分析Web或应用上每个用户的每笔交易,又称为real-user measurement真实用户测量, real-user metrics真实用户指标 passive monitoring被动监控的方式
合成交易
proactive monitoring 主动或预响应监控的方式
包含使用外部代理(agent)运行脚本交易的方式而不是Web应用
这些脚本依照典型用户体验,如用户搜索、查看产品、登录和支付等方式来评估用户体验
综合监控是轻量级和低水平的代理方式, 但很Web浏览器有必要运行发生在页面上处理JavaScript, CSS, and AJAX调用
并不追踪真实的用户会话
在一个已知的位置以固定的时间间隔执行一组已知的步骤, 其性能是可预测的。 比RUM更适合评估站点可用性和网络问题
客户端完全可控 full control over the client
不像沙盒JAVA脚本方式驱动的RUM,细 节的获得可以更客观
提升价值
了解远程站点是否可达 理解第三方服务对业务应用系统造成的性能影响 监控SaaS应用的性能和可用性 测试使用SOAP、REST或其他Web服务的 B2B Web站点 监控关键数据库的可用性 衡量服务级别协议(SLAs) 在低业务流量时段作为对真实用户监控的补偿 建立性能基线,进行性能趋势分析 7x24 系统可用性监控
软件变更测试
原因
调试发现的问题并进行纠正; 新的或变化的需求; 发现设计的修改能更高效或有效实施
目的
变更已正确实施 未对其他部分造成不利影响 回归分析:确定变更的影响,基于相关文档(软件规格说明、设计规格、源代码等)的评审,也是为识别运用必要的回归测试; 回归测试:运用之前程序执行正确的测试用例,比对现有结果和以前的结果发现软件变化的非预期结果。
接口测试(interface test)
主要检查应用或系统开发的不同组件彼此是否同步; 从技术层面接口测试主要用于确定不同功能诸如数据在系统的不同元素中是否按照设计进行传输 用于确保软件的质量
严格和完整的测试 (V字模型)
验收测试
UAT(用户验收测试) QAT(质量保证测试)
System level testing 系统测试
安全和隐私(例如,加密功能、安全日志报告) 性能问题(例如,响应时间、可靠性测量) 压力情况下的反应(例如,最大载荷下的表现) 内外部安全特征的操作 恢复步骤的有效性 易用性 Usability; 不同配置下的表现 文档的准确性 与其他软件的兼容性
Integration level testing 集成测试(测模块之间的接口)
自上而下(Top-Down) 自下而上 (Bottom-Up) 三明治方法
Unit (module or component) level testing 单元测试
Web应用安全测试技术
SAST
SAST(静态应用程序安全测试)是指在开发过程中执行的安全测试。 它使用程序分析技术来检查源代码,以发现可能存在安全风险的代码, 例如SQL注入漏洞,跨站脚本攻击,跨站请求伪造等攻击。 业界商业级的SAST工具误报率普遍在30%以上,误报会降低工具的实用性, 可能需要花费更多的时间来清除误报而不是修复漏洞。 SAST的误报率高是因为它在检测源代码时采用的程序分析技术具有某种局限性。 它可能报告错误的漏洞,因为它无法考虑到运行时的环境,内部状态或程序的动态输入
DAST
DAST(动态应用程序安全测试)是一种对Web应用程序进行安全测试的方法, 它用于发现和报告潜在的安全漏洞。DAST技术会模拟攻击者,从而检测Web 应用程序的安全漏洞。
IAST
IAST(交互式应用程序安全测试 Interactive Application Security Testing)是2012年 Gartner公司提出的一种应用程序安全测试方案,通过代理、VPN或者在服务端部署Agent程序, 收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确 的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。 IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术
注意与 RASP 的区别
RASP(运行时应用程序安全保护)是一种实时监控和保护Web应用程序的技术。 它实施在正在运行的应用程序上,可以实时监控和保护应用程序,以防止未经授 权的访问,破坏和其他攻击行为。 RASP可以被认为是应用程序安全的安全防护, 它可以检测和阻止攻击者的攻击。
80
C可以部分先测试 D-记住
84
C-记住
85.组织对应用系统进行认证认可,认可的最后一步是: A. 对漏洞进行纠正 B. 进行授权的官员接受风险 C. 采用标准化的策略和规程 D. 信息安全官的批准 86.进行安全认证的主要目的是: A. 识别系统威胁、漏洞和可接受的风险水平 B. 正式确认风险分析和风险缓解已完成 C. 正式确认对安全策略和标准的符合性 D. 验证系统架构以及与其他系统关联的有效性 87.以下哪一项是本地部署身份管理系统的优点? A.降低行政管理开支 B.降低基础设施资本成本 C.控制系统配置 D.改进身份互操作 88.组织使用了基于角色的访问控制(RBAC),以下哪一项能防止不恰当的特权聚集? A. 动态职责分离 B. 分级继承 C. BLP安全模型 D. Clark-Wilson 安全模型 89.识别数据泄漏的最大挑战是: A. 对相关疑问的理解依赖于法律执行 B. 高级管理层在调查可疑行为时的配合 C. 文档化的资产分级策略和清晰地为资产赋予标签 D. 对用户活动进行监控的可用技术工具
90.把字典攻击和暴力破解结合起来的,针对口令的攻击是: A. 社会工程 B. 混合攻击 C. 彩虹表攻击 D. 水坑攻击 91.点阵(lattice)模型的主要特征是: A. 最小上界和下界 B. 最大上界和下界 C. 最小下界,最大上界 D. 最小上界,最大下界 92.SIP 会话初始协议 (Session Initiation Protocol) 属于哪一层协议: A. 数据链路层 B. 传输层 C. 会话层 D. 应用层 93.以下哪项是使用手动补丁安装而不是自动补丁安装程序的原因? A. 系统或应用程序不兼容的可能性将降低 B. 安装补丁所需的成本将降低 C. 系统易受攻击的时间将缩短 D. 覆盖大范围地理区域的能力得到提 94.业务连续性计划 (BCP) 何时被视为有效(valid)? A. 当它被业务连续性经理验证后 B. 当它被经董事会验证后 C. 当它被所有的威胁场景验证后 D. 当它被现实的演练验证后 95.以下哪项是在商业软件构建中使用开源软件的主要风险? A.缺少软件文档 B.许可协议到期 C.与软件支持相关的成本 D.要求发布修改代码的许可协议 96.基于角色的访问方法最有效地减轻了以下哪项安全风险? A.业务应用程序中的职责分离冲突 B.对系统和数据的过度访问权限 C.缺少系统管理员活动监视 D.不适当的访问请求 97.以下哪种技术在处理数据时添加一些随机性,使得个人数据无法被准确识别,但又能保证统计特征较为准确? A.去标识化 de-identification B.差分隐私 differential privacy C.微聚合 Micro-aggregation D.黑暗模式 dark patten 98.以下哪项是数据所有者的责任? A. 通过对持续数据完整性的定期审计来确保质量和验证 B. 维护基本数据可用性,包括数据存储和归档 C. 确保适当用户的可访问性,保持适当的数据安全级别 D. 确定信息对组织使命的影响 99.在实施数据分级程序时,为什么避免过细的粒度很重要? A.很难为数据分配所有权 B.该过程将被视为有价值 C.该过程将需要太多资源 D.很难同时适用于硬件和软件 100.一位组织高管的个人笔记本电脑从办公室被盗,其中包含人事和项目记录。应首先执行以下哪项以缓解未来发生这类情况的风险? A. 加密个人笔记本电脑上的磁盘 B. 发行用于个人笔记本电脑的电缆锁 C. 制定处理个人笔记本电脑关键信息的政策 D. 监控个人笔记本电脑的关键信息
90
B,想多了 彩虹表是一种密码破解技术,用于破解密码哈希的安全性。 它通过预先计算大量的哈希值和对应的明文密码,并将结果存储在一个庞大的表中,从而能够快速破解加密密码,尤其是当使用弱密码时。
91
最小上界,最大下界,记住
92
应用层
95
开源软件要求更改后的代码也要开源,所以存在违约风险
97
A. 去标识化是《个人信息保护法》里的定义,和GDPR的假名化接近,只有匿名化的数据才不是个人数据。去标识化并不是万无一失的。在某些情况下,恶意攻击者可能会采用各种技术手段来还原去标识化后的数据中的个人信息。因此,在实施去标识化的过程中,需要采取额外的安全措施来确保数据的安全性和完整性。 C. 微聚合就是使用聚合后的数据,可以减少个人信息的暴露。 D. 黑暗模式/暗黑模式,使用带有欺骗和误导性质的用户界面,不当地获取更多的用户信息。
题中考察点是添加随机性 差分隐私(Differential privacy)最早于2008年由Dwork 提出,通过严格的数学证明,使用随机应答(Randomized Response)方法确保数据集在输出信息时受单条记录的影响始终低于某个阈值,从而使第三方无法根据输出的变化判断单条记录的更改或增删,被认为是目前基于扰动的隐私保护方法中安全级别最高的方法。 差分隐私保护的是数据源中一点微小的改动导致的隐私泄露问题。差分隐私,顾名思义就是用来防范差分攻击的。 举个简单的例子,假设现在有一个婚恋数据库,2个单身8个已婚,只能查有多少人单身。刚开始的时候查询发现,2个人单身;现在张三跑去登记了自己婚姻状况,再一查,发现3个人单身。所以张三单身。这里张三作为一个样本的的出现,使得攻击者获得了奇怪的知识。而差分隐私需要做到的就是使得攻击者获得的知识不会因为这些新样本的出现而发生变化。 差分隐私分类 客户端侧采用的差分隐私机制一般被称为本地化(Local)差分隐私 通过可信中间节点进行扰动可以被称为分布式( Distributed)差分隐私 由服务器完成的扰动被称为中心化(Centralized)差分隐私 而融合了上述两种或以上的差分隐私方法则被称为混合( Hybrid )差分隐私
差分攻击 差分攻击是一种攻击密码算法的方法,通过比较分析有特定区别的明文在通过加密后的变化传播情况来攻击密码算法。 差分攻击是针对对称分组加密算法提出的攻击方法,看起来是最有效的攻击DES的方法,但需要很大的空间复杂度。 差分攻击的基本原理是通过选择特定形式的明文对(选择明文攻击),分析它的差对密文差的影响来获得可能性最大的密钥。例如,在DES算法中,差分攻击通过异或运算定义差分运算,通过分析特定明文差分对相对应密文差分的影响来提取密钥。
99
粒度细成本高
100
有方针策略的先选方针策略,而且可能是加密后被盗的
101.处理机密数据的系统的应用程序所有者离开了组织。预计将在大约六个月内聘用替代人员。在此期间,组织应该做以下哪一项? A. 授予对前应用程序所有者帐户的临时访问权限 B. 为系统分配一个临时应用程序所有者 C. 限制对系统的访问,直到聘用了替代应用程序所有者 D. 在聘用替代应用程序所有者之前,防止更改机密数据 102.在前往高风险区域之前,以下哪些措施可以降低笔记本电脑的风险? A. 检查设备是否被物理篡改 B. 实施更严格的基线配置 C. 清除或重新映像硬盘驱动器 D. 更改访问口令 103.组织希望为员工离职率高的IT基础设施项目部署授权机制。首选哪种访问控制机制? A. 基于属性的访问控制 (ABAC) B. 自主访问控制 (DAC) C. 强制访问控制 (MAC) D. 基于角色的访问控制 (RBAC) 104.以下哪项最有可能导致对生产程序进行未经授权的变更? A. 未经批准修改源代码 B. 未经批准将程序推向生产 C. 开发人员未经批准签出(check out)源代码 D. 未经批准使用快速应用程序开发 (RAD) 方法的开发人员 105.以下哪项会对可用性产生最大的负面影响? A. 拒绝服务 (DoS) 攻击和过时的硬件 B. 未经授权的交易和过时的硬件 C. 发生火灾和意外更改数据 D. 未经授权的交易和拒绝服务攻击 106.哪种安全方法最能最大程度地减少数据泄露(data breach)造成的个人身份信息 (PII) 损失? A. 传输中数据的端到端加密 B. 持续监测潜在漏洞 C. 强大的数据泄露通知流程 D. 对个人机密数据的有限收集
107.信息安全意识和培训的主要目标是什么? A. 通知用户最新的恶意软件威胁 B. 告知用户信息保障责任 C. 遵守组织信息安全政策 D. 为参加培训者做好获得认证的准备
培训的作用一般都是告知
108.经验证的应用程序安全原则包括以下哪一项? A. 最小化攻击面 B. 开发独立模块 C. 接受基础设施安全控制 D. 加固网络边界 109.从安全的角度来看,对于应用程序的输入必须做出以下哪种假设? A. 不可信 B. 已记录 C. 已验证 D. 经过测试 110.点对点协议 (PPP) 使用以下哪项来确定数据包格式? A. 第 2 层隧道协议 (L2TP) B. 链路控制协议 (LCP) C. 质询握手认证协议 (CHAP) D. 数据包传输协议 (PTP) 111.以下哪个授权标准是为处理联合身份管理 (FIM) 的应用程序编程接口 (API) 访问而构建的? A. 远程验证拨入用户服务 (RADIUS) B. 终端访问控制器访问控制系统加 (TACACS+) C. 开放授权 (OAuth) D. 安全断言标记语言 (SAML) 112.一家总部位于美国 (US) 并在法国设有分支机构的国际医疗组织希望在这两个国家测试一种药物。允许组织对测试对象的数据做什么? A. 聚合到美国的一个数据库中 B. 在美国处理,但在法国存储信息 C. 与第三方共享 D. 匿名化并在美国处理
113.以下哪项限制了个人执行特定过程的所有步骤的能力? A. 工作轮换 B. 职责分离 C. 最小特权 D. 强制性假期
不选最小特权的原因是:可能最小特权后的权利还是包括了所有的步骤
114.只允许企业内特定岗位职责的员工在某个限定的时间访问系统,使用哪种访问控制? A. 强制访问控制 (MAC) B. 自主访问控制 (DAC) C. 基于角色的访问控制 (RBAC) D. 基于属性的访问控制 (ABAC) 115.创建身份时,采集生物特征是在哪个阶段? A. 注册. (enrollment) B. 开通. (provisioning) C. 验证. (authentication) D. 标识. (identification) 116.使用 SAML 需要? A.维护PAS B.建立SA安全关联 C.使用RPC远程过程调用 D.用户至少在一个provider上注册
117.系统管理员用以用以下哪一项识别未授权的调制解调器: A.回拨 B.搭线窃听 C.战争拨号 D.战争驾驶
战争驾驶就是指使用相应的硬件和软件打造的无线局域网侦察平台,通过徒步或利用相应交通工具的方式在各个城镇的每个街道寻找不设防的无线访问点(AP)的一种统称。
战争拨号器(wardialer)是一个用于识别可以成功连接到调制解调器的电话号码的电脑程序。这个程序可以自动的拨叫一定范围内的电话号码,并且将那些成功连接到调制解调器的号码记录并存入一个数据库中。
118.关于 BSIMM (Building Security In Maturity Model) 的正确描述是: A.是一个非开放的基于软件安全实践模块的框架 B.是一个安全产品评估的概念模型 C.了解、执行、计划软件安全开发的积极行动 D.是一个为软件安全漏洞提供严重程度的评级模型 119.关于ISO/IEC 15408的正确描述是: A.用于指导信息安全管理体系的风险评估活动 B. 用于评价目标产品的安全保护等级 C.是一个关于企业IT治理的框架标准 D.是一个评估软件开发的成熟度模型的标准 120.以下哪个定义了恶意的 AP (访问接入点) : A.没有通过防火墙管理的 AP B.没有使用 WEP加密的 AP C.接入交换机但是没有网络管理员管理的 AP D.被某种特洛伊木马或者恶意软件感染的 AP
118
BSIMM( The Building Security In Maturity Model) 软件安全构建成熟度模型 (BSIMM) 是一项针对当前软件安全方案或计划开展的研究。BSIMM 量化不同行业、规模和地域的众多组织的应用安全 (appsec) 实践,并识别各个组织独特的差异。 作为一套随时间的不断发展演进的数据驱动的描述性模型,BSIMM的唯一目标就是观察和报告。其通过对大量企业进行评估得出的统计数据,进行分类归纳,形成的软件安全评估模型。 用途 BSIMM的最重要的用途是作为一个标尺来确定企业目前采用的方法相对于其他企业处于何种位置。企业只需要梳理已经开展了哪些活动,在软件安全框架中找到这些活动,然后再构建自己的记分卡并将其与BSIMM记分卡进行比较,就可以发现自身的不足之处。 BSIMM 是一套随时间的不断发展演进的数据驱动的模型。随着本项目的演进,不断根据所观察到的数据来添加、删除和调整各类活动的级别。 BSIMM主要是用于观察企业开发的安全活动与行业进行一个比较,给企业开发组织反馈一份的分析报告。
119
通用准测(CC),ISO/IEC 15408 7个评估保证级别(EAL) EAL1 功能测试 EAL2 结构测试 EAL3 系统地测试和检查 EAL4 系统地设计、测试和复查 EAL5 半正式地设计和测试 EAL6 半正式地验证设计和测试 EAL7 正式地验证设计和测试 2. 某款产品被分配了保证级别,还应该被正确配置 3. CC的组成部分 PP(保护样板,Protection Profile,OSG称保护范畴):客户的安全要求 TOE(评估目标):提供安全解决方案的产品 ST(安全目标):供应商的书面说明(即产品的功能和如何实现这些功能) 安全功能要求:产品必须提供的每一个安全功能 安全保证要求:为保证所声称的安全功能而采取的措施 数据包(即EAL) 4. ISO/IEC 15408的三个部分 ISO/IEC 15408-1 入门和通用评估模型,即确定TOE的核心概念 ISO/IEC 15408-2 安全功能组件,即要评估的安全功能要求 ISO/IEC 15408-3 安全保证组件,即考量TOE保证的标杆 5. 对产品进行评估的原因:独立第三方的全面检测 6. 认证(Certification)与认可(Accrediation,OSG称鉴定) 认证:对安全组件全面的技术评估,目标是确保产品能够适合客户的目的 认可:管理对系统整体安全和功能的充分性的认定 这里还有个概念Validation,验证产品是否满足实际需求 7. (OSG P211)TESEC,可信计算机系统评估标准 可与EAL7个等级进行类比 D 最小保护 C1 自主保护 C2 受控访问保护(介质清除) B1 标签化安全 B2 结构化保护(不能存在隐蔽通道) B3 安全域 A1 已验证保护 B1、B2、B3基于安全标签
120
恶意的 AP的定义就是没有网络管理员的AP
121.以下哪项是机密性必须包含的? A.数据保留 B.文档处置 C.数据处置 D.文件保留 122.如何最快速便捷清点员工人数? A.主动红外探测 B.生物识别门禁系统 C.佩带RFID工卡 D.使用动态令牌 123.获得一个操作系统版本是centos 5.1,这是在渗透测试的那个阶段? A.报告 B.发现 C.枚举 D.利用 124.一个员工制作并上传病毒到内网, 司法鉴定人员应该: A.断掉员工电脑网络连接 B.内部公告病毒影响 C.进行针对病毒的渗透测试 D.扣留该员工电脑 125.以下组织遇到的哪类安全问题最可能造成直接金钱上的损失? A.设备 B.声誉 C.信息 D.信用 126.以下哪项必须成为支持电子发现存储在云环境中的数据的合同的一部分? A.与组织目录服务集成以进行身份验证 B.数据的标记 C.混合部署模式 D.识别数据位置 127.哪个组件提供了 SCAP (Security Content Automation Protocol 安全内容自动化协议) 的漏洞信息: A.CVE B.CWE C.CVSS D.NVD 128.针对特定的团体目标,攻击者首先通过猜测或观察,确定这组目标经常访问的网站,并入侵其中一个或多个,植入恶意软件,最后达到感染该组目标中部分成员的目的。这是: A.僵尸网络 B.捕鲸攻击 C.水坑攻击 D.CSRF跨站请求伪造攻击 129.关于组织数据保留最大的风险是: A.保留超过数据有效期但是有数据取证需要的数据 B.保留超过数据有效期但是没有数据取证需要的数据 C.删除超过数据有效期但是有数据取证需要的数据 D.删除超过数据有效期但是没有数据取证需要的数据 130.SPA(简单功耗分析)用的方法是: A. 观察静电放电量 B. 磁场变化分析 C. 测量大量的密文和功耗曲线进行统计分析 D. 直接从测量的功耗曲线分析密钥信息
121
数据保留:完整性 数据处置:保密性、可用性
123
渗透测试需要好好再看一遍书 1、计划阶段: 计划阶段没有实际的测试发生,但是为渗透测试的成功奠定了基础,主要工作成果包括: 1)识别测试的范围和规则,确保测试团队和管理层对测试的性质达成一致; 2)获得和记录管理层的明确的授权。 2、发现阶段: 发现阶段一般又被分为两个部分, 第一部分通常被称为“发现和侦察”,收集有关目标的信息。这一部分不产生可能触发警觉的不寻常流量,一般通过OSINT或正常的访问系统功能和内容来进行,包括: 1)社交媒体,以确定目标或有用的个人细节,用于网络钓鱼。 2)公共记录,如域名系统(DNS)或公司网站的服务或位置信息,常用工具whois; 3)攻击面数据,如列举与目标的DNS记录相关的IP地址,以及关于使用中的服务的潜在细节,常用工具nslookup、dig、搜索引擎等 4)实际观察,如监测员工的行动,拍照,开车经过,或观察设施,或在垃圾箱里翻找以获得信息的硬拷贝。 第二部分是扫描和探测,目的是识别潜在目标并收集更详细的信息,这会需要向目标系统发送一些不同于普通访问的流量,这就引入了被目标组织的安全程序发现的风险。这个阶段可能使用的工具和资源常见如下: 1)网络踩点(footprinting),测试人员识别存在哪些端点以及在这些端点上运行的服务,常用工具Nmap、ping、tracerouter、telnet、war dialing等; 2)banner抓取,测试人员分析目标返回的信息,如软件名称和版本等,后续测试会用的上; 3)漏洞扫描,虽然是一种比较容易被发现的方法,但使用漏洞扫描器可以提高效率。自动化的漏洞扫描工具一般也包含了网络踩点和banner抓取的功能。 3、攻击阶段: 使用手动或自动的利用工具,证实可击败系统安全。这是渗透测试超越漏洞扫描的地方,因为漏洞扫描并不试图实际利用检测到的漏洞。 攻击阶段又可细化为4个子阶段,这4个子阶段以及发现阶段与攻击阶段之间,形成了两个反馈回路(feedback loop)。 4、报告阶段: 在测试结束后,编制报告描述所发现的漏洞,给出风险评级,并给出改进建议。 需要注意的是,报告要考虑受众!!! 跟技术层谈细节,跟高管层谈影响、谈钱钱~~ 根据NIST SP 800-115 8.2节: Security testing results should be documented and made available to the appropriate staff, which may include the CIO, CISO, and ISSO as well as appropriate program managers or system owners. 安全测试结果应形成正式文件,并提供给适当的人员,其中可能包括CIO、CISO和ISSO以及适当的项目经理或系统所有者。 Because a report may have multiple audiences, multiple report formats may be required to ensure that all are appropriately addressed. 由于一份报告可能有多个受众,因此可能需要多种报告格式,以确保所有报告都得到适当的处理。
125
没审清题,就是设备,设备的损失是直接的经济损失
126
电子发现(eDiscovery) 在诉讼过程中,任何一方都有责任保留与案件相关的证据,并在发现过程中在控诉双方分享信息。 这个发现过程应该用纸质档案和电子记录及电子发现的过程促进电子信息披露的处理。 电子发现参考模型描述了发现的标准过程,共需要如下9 步: (1) 信息治理 确保信息系统针对将来的发现有良好的组织。 (2) 识别 当组织相信起诉很有可能时,要指出电子发现请求信息的位置。 (3) 保存 确保潜在的发现信息不会受到篡改或删除。 (4) 收集 将敏感信息收集起来用于电子发现过程。 (5) 处理 过滤收集到的信息并进行无关信息的“粗剪",减少需要详细检查的信息。 (6) 检查 检查剩下的信息,确定哪些信息是敏感的请求,并移除律师与客户之间保护的信息。 (7) 分析 对剩余的内容和文档执行更深层次的检查。 (8) 产生 用需要分享他人的信息标准格式产生信息。 (9) 呈现 向证人、法院和其他当事方展示信息。 进行eDiscovery 是一个复杂过程,需要在IT 专业人员和法律顾问之间精心协调。
127
NVD(National Vulnerability Database)的重要性: NVD的主要目标之一是提供一个全面且及时的漏洞信息库,帮助安全专业人员更好地了解和管理已知的漏洞。这有助于: 1. 漏洞识别和管理: NVD收集并展示了各种软件和硬件中的漏洞信息。这些信息包括漏洞的严重性、影响的范围、可能的解决方案以及相关的参考资料。这使得企业和组织能够及早识别并适当地管理可能影响其系统和应用程序的漏洞。 2. 安全补丁发布: 厂商和开发者可以通过参考NVD中的漏洞信息,为其产品创建并发布补丁。这有助于修复漏洞,提高系统和软件的安全性,并减少受到攻击的风险。 3. 漏洞研究: 安全研究人员可以利用NVD的信息来深入了解不同漏洞的工作原理,从而更好地理解攻击技术并开发相应的防御策略。 4. 决策支持: 企业和政府可以根据NVD中的信息,制定安全策略、风险评估和漏洞修复计划,以保护其关键信息基础设施。 NVD的结构和内容: NVD的内容包括丰富的漏洞信息,每个漏洞都有一份详细的报告,其中包括以下关键信息: 1. 漏洞标识符: 每个漏洞都有一个唯一的标识符,例如CVE(通用漏洞和暴露,Common Vulnerabilities and Exposures)标识符。这有助于快速识别和引用漏洞。 2. 漏洞描述: 提供了漏洞的详细描述,包括漏洞的性质、可能的攻击方式以及受影响的组件或系统。 3. 漏洞评分: 使用CVSS(通用漏洞评分系统,Common Vulnerability Scoring System)对漏洞进行评分,以衡量其严重性。这有助于组织确定哪些漏洞需要优先处理。 4. 参考资料: 提供了与漏洞相关的链接、参考文档和厂商公告,有助于进一步研究和解决漏洞。 5. 漏洞解决方案: 对于一些漏洞,可能会提供建议的解决方案或临时措施,以减轻漏洞带来的风险。
SCAP: SCAP(Security Content Automation Protocol)是一种安全自动化协议,是由NIST建立的一套规范,主要用于处理网络安全漏洞和安全信息。它提供了一种标准的方法来描述、交换和管理网络安全数据,以便自动检测、响应和缓解网络安全威胁。 1.CVE(Common Vulnerabilities and Exposures)通用漏洞披露是一种通用的漏洞和暴露标 识符体系,用于标识计算机系统中的漏洞和安全性问题。CVE 分配给漏洞唯一的标识符,方便 供应商、研究人员和用户跟踪和引用。 2.CVSS(Common Vulnerability Scoring System)通用漏洞评分系统是一种被广泛接受的 漏洞评分系统,用于标识漏洞的严重程度。 CVSS评分标准由三个维度构成,分别是基础分 (Base Score)、环境分(Environmental Score)和改进分(Temporal Score)。 3.CCE(Common Configuration Enumeration)通用配置枚举是一种关于计算机配置的通用标准。 CCE 使用命名约定来命名特定的计算机配置项,方便各个安全方案的测试工具和流程之间共享相关信息。 4.CPE(Common Platform Enumeration)通用平台枚举是一种关于计算机系统平台的通用描述和 分类的标准。CPE 描述计算机系统及其应用程序的特征和版本信息,方便各个安全方案识别系统 中的软件和硬件,以便更好地分析和评估风险。 5.XCCDF (eXtensible Configuration Checklist Description Format)可扩展配置清单描述 格式是一种描述配置数据和评估结果的格式。它提供了一种标准的格式来定义针对某些安全策略 的检查清单。这些检查清单可以针对不同的系统和产品,确保对所有系统应用相同的安全策略, 并帮助进行自动化风险和合规性评估。 6. OVAL(Open Vulnerability and Assessment Language)开放式漏洞和评估语言是一种用来 定义检查项、脆弱点等技术细节的描述语言。OVAL同样使用标准的XML格式组织其内容。 OVAL 能够清晰地对与安全相关的检查点作出描述,并且这种描述是机器可读的,能够直接应用到自 动化的安全扫描中。
128
水坑攻击的概念 水坑攻击(Watering Hole Attack)是一种网络攻击方法,其名称来源于自然界的捕食方式。 攻击者会通过前期的调查或各种社会工程手段,分析被攻击者的网络活动规律,确定被攻击者(往往是一个特定群体)经常访问的一些网站,并在网站上部署恶意程序,等待被攻击者来访时实施攻击,当受害者访问被部署了恶意程序的网站时即会被感染。此类攻击行为类似于:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。 水坑攻击属于APT((Advanced Persistent Threats)是指高级持久性威胁攻击,是一种非常复杂和隐蔽的攻击方式)攻击的一种,与其他社会工程手段(例如网络钓鱼)相比,水坑攻击的危险性来源于其利用的是不会被列入黑名单的合法网站。黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强,更难被发现。访问者出于对这些网站的一贯信任,更容易放松警惕,继而落入水坑陷阱之中。 由于水坑攻击的实现需要具备很多条件(比如被攻击者访问的网站存在漏洞,浏览器或者其他程序存在漏洞等),因此目前并不常见。通常情况下,攻击低安全性目标以接近高安全性目标是其典型的攻击模式。低安全性目标可能是业务合作伙伴、连接到企业网络的供应商,或者是靠近目标的咖啡店内不安全的无线网络。
129
C的风险比B大
130
侧信道攻击 1.1.概述 侧信道攻击属于密码学的物理攻击(Physical Attack)范畴,是密码学中的一个重要分支。这种攻击利用计算设备在执行密码算法时泄露的物理信息,如功耗、时间、电磁辐射、声波等,来推测内部的秘密数据(如密钥)。与传统的密码分析不同,侧信道攻击并不直接针对算法的数学结构,而是利用实现过程中不可避免的物理信息泄漏。 1.2.侧信道攻击的起源与发展 侧信道攻击的概念起源于20世纪90年代末。1996年,保罗·科彻(Paul Kocher)发表了关于时序攻击的论文,揭示了通过测量加密操作的执行时间来推断密钥信息的可能性。这标志着侧信道攻击研究的开端。随后,他与他人合作,提出了差分功耗分析(Differential Power Analysis, DPA),这进一步推动了侧信道攻击的研究和发展。 1.3.侧信道攻击的详细分类及介绍 侧信道攻击是通过分析加密设备在执行操作时泄漏的物理信息来获取敏感数据的技术。以下是侧信道攻击的几种主要类型及其详细介绍: 1.3.1功耗分析攻击(Power Analysis Attacks) 功耗分析攻击通过测量设备在执行加密操作时消耗的电力来获取信息。这类攻击分为简单功耗分析(SPA)和差分功耗分析(DPA)。 简单功耗分析(Simple Power Analysis, SPA) 原理:SPA利用设备在执行不同操作时功耗变化的直接观测。攻击者可以通过观察这些变化,推断出加密过程中具体操作的类型和顺序。例如,在执行加密算法时,设备在处理不同数据位时的功耗可能会有所不同。 举例:假设一个设备在处理二进制“1”时消耗的功率比处理“0”时高。通过观察功耗图,可以推断出每一位是“1”还是“0”,从而推断出整个密钥。 差分功耗分析(Differential Power Analysis, DPA) 原理:DPA更加复杂和强大。攻击者收集大量功耗曲线,并利用统计方法分析功耗数据中的微小差异。通过对这些差异进行统计处理,攻击者可以找出与密钥相关的信息。 举例:攻击者可以使用数千次加密操作的功耗数据,计算每次操作的平均功耗。然后,通过对不同密钥假设下的功耗进行统计比较,找到最有可能的密钥。 1.3.2.电磁分析攻击(Electromagnetic Analysis, EMA) 电磁分析攻击通过测量设备在执行操作时产生的电磁辐射来获取信息。这类攻击分为简单电磁分析(SEMA)和差分电磁分析(DEMA)。 简单电磁分析(Simple Electromagnetic Analysis, SEMA) 原理:SEMA类似于SPA,利用设备在执行不同操作时产生的电磁辐射变化来获取信息。攻击者通过观察这些变化,推断出加密过程中具体操作的类型和顺序。 举例:通过在设备附近放置一个电磁探头,攻击者可以记录设备在执行加密操作时产生的电磁信号。通过分析这些信号的强度和频率变化,可以推断出密钥信息。 差分电磁分析(Differential Electromagnetic Analysis, DEMA) 原理:DEMA类似于DPA,通过收集大量电磁辐射数据,并利用统计方法分析其中的微小差异。通过对这些差异进行统计处理,攻击者可以找出与密钥相关的信息。 举例:攻击者收集数千次加密操作的电磁辐射数据,通过统计方法比较不同密钥假设下的电磁信号,找到最有可能的密钥。 1.3.3.时序攻击(Timing Attacks) 时序攻击通过测量设备在执行操作时所需的时间来获取信息。 原理:不同的操作或相同操作处理不同数据所需的时间可能不同。攻击者可以通过测量这些时间差异,推断出内部操作细节和密钥信息。 举例:某些加密算法的执行时间取决于输入数据和密钥。通过多次测量加密操作的执行时间,攻击者可以推断出密钥的某些部分。例如,RSA加密算法中的模幂运算时间可能会泄露关于密钥的信息。 1.3.4.缓存攻击(Cache Attacks) 缓存攻击通过分析处理器缓存的行为来获取信息。 原理:加密算法在执行过程中会访问缓存,不同数据访问模式会导致不同的缓存命中率和访问时间。攻击者可以通过分析这些访问模式,推断出密钥信息。 举例:一个常见的缓存攻击是“Prime+Probe”攻击。攻击者首先将自己的数据加载到缓存中,然后让加密算法运行。通过测量加密算法运行后自己数据的访问时间,攻击者可以推断出加密算法访问缓存的模式,从而推断出密钥。 1.3.5.声学攻击(Acoustic Attacks) 声学攻击通过分析设备在执行操作时产生的声波来获取信息。 原理:不同操作可能会产生不同的声音模式,攻击者可以通过测量和分析这些声音,推断出内部操作和密钥信息。 举例:某些设备在执行不同的加密操作时会产生不同频率或强度的声音。通过使用麦克风记录这些声音,并进行频谱分析,攻击者可以推断出加密操作的类型和密钥。 1.3.6.光学攻击(Optical Attacks) 光学攻击通过观察设备的光学辐射(如LED指示灯的闪烁)来获取信息。 原理:设备在执行不同操作时可能会发出不同的光学信号。攻击者可以通过测量这些光信号的变化,推断出内部操作和密钥信息。 举例:某些设备的LED指示灯在执行加密操作时可能会闪烁不同的模式。通过使用高速摄像设备记录这些闪烁模式,并进行分析,攻击者可以推断出加密操作的类型和密钥。 2.侧信道攻击的防御 为了防御侧信道攻击,可以采取多种技术和策略,包括但不限于: 2.1.掩码技术(Masking) 原理:在计算过程中引入随机掩码,使得泄露的信息与实际密钥无关。即使攻击者获得了侧信道信息,也无法直接推断出密钥。 具体措施:在加密过程中,使用随机数对密钥进行掩码处理,使得功耗、时间或其他物理特征不再直接与密钥相关联。 2.2.均衡功耗技术(Balancing Power Consumption) 原理:通过设计电路和算法,使得不同操作消耗的功率尽可能一致,从而减少功耗分析的有效性。 具体措施:设计硬件电路时,确保所有加密操作的功耗变化保持在一个固定范围内,避免特定操作的功耗差异过大。 2.3.时间均衡技术(Balancing Timing) 原理:确保所有操作的执行时间尽可能一致,防止时序攻击。 具体措施:通过添加伪随机延迟或固定所有操作的执行时间,使得攻击者无法通过时间测量推断出密钥信息。 2.4.噪声引入(Noise Injection) 原理:在侧信道信号中引入随机噪声,增加攻击者提取有用信息的难度。 具体措施:在加密设备的输出中添加随机噪声信号,使得实际操作的物理特征被噪声掩盖。 2.5.硬件防护(Hardware Countermeasures) 原理:通过设计更安全的硬件架构,如使用电磁屏蔽和物理隔离,来减少侧信道信息的泄漏。 具体措施:在芯片设计中加入电磁屏蔽层,减少电磁辐射泄漏;通过物理隔离技术,降低功耗和时序信息的外部可观测性。
131.发现键盘与PC间多了物理设备,可能是遭到了哪种攻击? A.社会工程 B.击键记录 C.功耗分析 D.旁路攻击 132.等价类分析的特点: A.衍生边界内的数据进行测试 B.找一个代表的数据进行测试 C.选择超过有效值域边界外的输入进行测试 D.选择输入值的无效组合进行测试 133.光纤属于哪一层设备: A.网络层 B.数据链路层 C.物理层 D.传输层 134.关于SOC3 描述正确的是: A.取代了以前的SAS70的关于服务运营控制的财务审计报告 B.关于企业内部控制有效性的外部第三方审计报告 C.关于安全和运营的对外公开的不包含详细信息的审计报告 D.服务运营组织内部的不对外公开的控制自评估报告 135.哪个是评估安全产品和系统的最佳国际公认标准? A. 支付卡行业数据安全标准 (PCI-DSS) B. 可信计算机安全评价标准 (TCSEC) C. 信息安全管理体系 (ISMS) D. 信息技术安全评估通用标准 (CC) 136.容错(fault tolerance)的主要目标是什么? A. 消除单点故障 B. 使用沙箱隔离 C. 单点维修 D. 遏制以防止传播 137.以下哪项被认为是最安全的密码password技术? A.密码短语 Passphrase B.一次性密码 One-time password C.认知密码 Cognitive password D.密码文本 Cyphertext 138.What is the most critical piece to disaster recovery and continuity planning? 灾难恢复和业务连续性计划中最关键的部分是什么? A. 安全策略Security Policy B. 管理层支持 Management Support C. 备份信息处理设施的可用性 Availability of backup information processing facilities D. 员工培训 Staff training 139.The environment that must be protected includes all personnel, equipment, data, communication devices, power supply and wiring. The necessary level of protection depends on the value of data, the computer systems, and the company assets within the facility. This can be determined by what type of analysis? 环境必须得到保护,包括所有的人员,设备,数据,通信设备,电力供应和布线等。必要的保护水平取决于该设施内的数据价值,计算机系统,以及公司资产。这可以通过什么分析来决定? A. Critical-channel analysis 关键渠道分析 B. Critical-route analysis 关键路由分析 C. Critical-path analysis 关键路径分析 D. Critical-conduit analysis 关键管道分析 140.A Business Impact Analysis (BIA) does not: 业务影响分析 (BIA) 没有: A.Recommend the appropriate recovery solution 推荐合适的恢复解决方案 B.Determine critical and necessary business functions and their resource dependencies 决定关键和必须的业务功能,以及他们依赖的资源 C.Identify critical computer applications and the associated outage tolerance 识别关键计算机应用和相关的当机容忍度 D.Estimate the financial and operation impact of a disruption 预测中断带来的财务和运营影响 141.Which of the following is the BEST reason for a sales-focused organization to implement a certified Information Security Management System (ISMS)? 下面哪个是一个销售导向的组织实施一个ISMS信息安全管理体系认证的最好的理由? A. Improve product development 提升产品开发 B. Increase customer trust 增加客户信任度 C. Decrease IT budget 降低IT预算 D. Improve service delivery 提升服务交付 142.Which of the following protocols does not operate at the data link layer (layer 2)? 下面哪个协议没有运行在数链层 (2层) ? A. PPP B. RARP C. L2F D. ICMP 143.Encryption is applicable to all of the following OSI/ISO layers except: 加密可以适用在所有下面的OSI/ISO层,除了? A. Network layer 网络层 B. Physical layer 物理层 C. Session layer 会话层 D. Data link layer 数链层 144.When would the Information Technology (IT) department of an organization review the Disaster Recovery Plan (DRP)? 什么时候组织的IT部门应当评审灾难恢复计划 (DRP) ? A.When major changes occur on systems 系统发生重大变更的时候 B.When personnel changes occur 人员发生变更的时候 C.Before and after disaster recovery test 灾难恢复测试之前和之后 D.Every six months 每六个月 145.During the development of a contingency plan, which of the following processes MUST be performed prior to the design phase? 在开发业务连续性计划时,下面哪个流程必须是在设计阶段之前执行的? A. Maintenance analysis 维护分析 B. Document flow analysis 文件流程分析 C. Financial impact analysis 财务影响分析 D. Requirements analysis 需求分析 146.Who is ultimately responsible for the security of a computer-based information system? 哪一项是计算机信息系统安全的根本问题? A. an operational issue. 操作问题 B. a management issue. 管理问题 C. a training issue. 培训问题 D. a technical issue. 技术问题 147.Which of the following is frequently used to increase the randomness of Linux passwords? 通常在Linux密码中加入以下哪一项来增加它们的随机性? A. Salts 盐 B. Pepper 胡椒 C. Grains 谷物 D. MD5 hashes MD5哈希 148.Which of the following is used by Secure Shell (SSH) protocol for key exchange? SSH协议用以下哪一项交换密钥? A. Diffie-Hellman DH算法 B. Blowfish 河豚算法 C. Triple Data Encryption Standard (3DES) 3DES算法 D. Rivest Cipher 4 (RC4) RC4算法 149.What is a commercial application of steganography that is used to identify pictures or verify their authenticity? 什么是隐写术的商业应用,用来识别图片或验证他们的真实性? A.a MAC 消息完整性检查 B.a MD5 hash MD5哈希 C.a digital signature 数字签名 D.a watermark 数字水印 150.一个组织聘请了一个安全专家来开发他们的信息安全体系。发现缺乏强制执行的政策和程序后,该安全专家对工作区进行了下班后的检查,发现了一些无人关注的已登录的机器,缺少屏幕保护程序,并容易获得密码。 What is the FIRST step for the security professional to perform? 安全专家执行的第一步是什么? A.Develop an after-hours access control policy. 制定下班后的访问控制策略 B.Document the findings in a management report. 在管理报告中记录发现 C.Report the violations to Human Resources. 向人力资源部门汇报违规 D.Develop access control scripts. 制定访问控制脚本 151.一个组织聘请了一个安全专家来开发他们的信息安全体系。发现缺乏强制执行的政策和程序后,该安全专家对工作区进行了下班后的检查,发现了一些无人关注的已登录的机器,缺少屏幕保护程序,并容易获得密码。 那么安全专家建议系统管理员首先应采取什么行动? A. Implement strong passwords. 实施强密码策略 B. Revoke the effected accounts. 撤销受影响的账户 C. Review access permissions for least privilege. 评审访问权限实现最小特权 D. Enforce screen saver timeouts. 执行超时屏幕保护 152.下面哪个是收集计算机证据的基本原则? A.Action taken by law investigators or their agents shall not change data held on media which may subsequently be relied upon in court. 法律调查员或他们的代理人采取的任何行动,不应当更改介质上的数据,其可能随后成为呈堂证供。 B.Action taken to change gathered evidence must be logged and documented and the documentary evidence must be presented in court. 采取的行动来改变收集的证据必须被记录,记录和单据必须在法庭上出示 C.Data seized which is not relevant to the case may be retained by law enforcement until the completion of the case. 与案件不相关的数据可能会由法律部门保留,直到案件全部结束 D.Data seized which is not relevant to the case must not be retained by law enforcement. 与案件不相关的数据不能够由法律部门保留
139
安全设旌计划 (securefacility plan)需要列出组织的安全需求,并突出用于保障安全的方法 及机制。该计划是通过风险评估和关键路径分析来制订的。关键路径分析(criticalpath analysis) 是一项系统性工作,用于找出任务关键型应用程序、流程、运营以及所有必要的支撑元素间 的关系。例如,线上商店依赖千互联网接入、计算机硬件、电力、温度控制、存储设备等。 如果关键路径分析执行得当,我们就能完整绘制出组织正常运行所必需的相互依赖、相 互作用的图像。设计安全 IT 基础设施的第一步是满足组织妳境及信息设备的安全要求。这些 基本要求包括电力、环境控制(建筑、空调、供暧、湿度控制等)以及供水/排水。
153.When outsourcing an organization's security functions, it is MOST important that 当组织外包安全职能时,最重要的是 A.contractual obligations are clearly defined. 清晰定义了合同的义务 B.vulnerability scanning is performed regularly. 漏洞扫描是日常执行的 C.knowledge transfer processes occur internally. 执行内部的知识传递流程 D.standards are reviewed for applicability. 审核适用的标准
153
合同规定高于D
154.The concept that the MOST effective security is achieved by multiple, overlapping security systems is 由实施多个重叠的安全体系来达到最有效的安全的概念是 A. top-down security. 自上而下的安全 B. holistic security. 全面的安全 C. defense-in-depth security. 纵深防御的安全 D. centralized security. 中央集中的安全 155.Risk mitigation and risk reduction controls for providing information security are classified within three main categories, which of the following are being used? 风险消减和降低风险的控制措施主要分为以下哪三个类别? A. preventive, corrective, and administrative 预防、纠正和管理 B. Administrative, operational, and logical 管理、操作和逻辑 C. detective, corrective, and physical 检测、纠正、和物理 D. Physical, technical, and administrative 物理、技术和管理 156.Compared with hardware cryptography, software cryptography is generally 与硬件加密相比,软件加密一般 A. less expensive and faster. 更便宜、更快 B. less expensive and slower. 更便宜、更慢 C. more expensive and faster. 更贵、更快 D. more expensive and slower. 更贵、更慢 157.在调查组织的网站数据库被盗事件期间,尽管已经采用了客户端脚本输入验证,但确定黑客仍使用了SQL注入技术。以下哪项提供了最大的保护,防止再次发生同样的攻击? A.Encrypt communications between the servers 服务器间的通信加密 B.Encrypt the web server traffic Web服务器流量加密 C.Implement server-side filtering 实施服务器端的过滤 D.Filter outgoing traffic at the perimeter firewall 在边界防火墙过滤外出流量
158.What is the MOST effective method to enhance security of a Single Sign-On (SSO) solution that interfaces with critical systems? 下面哪个是最有效的方法,来增强关键系统的单点登录解决方案的安全性? A.High performance encryption algorithms 高性能加密算法 B.Reusable tokens for application-level authentication 应用级认证的可重用令牌 C.Transport Layer Security (TLS) for all communications 所有通信采用TLS加密 D.Two-factor authentication 双因素验证
158
一般出现所有的可能会有问题 双因素认证是最适合的答案
159.Under Role based access control, access rights are grouped by: 在基于角色的访问控制模型下,访问权限通过什么来分组? A. Policy name 策略名称 B. Rules 规则 C. Role name 角色名称 D. Sensitivity label 敏感性标签 160.以下哪项提供了软件安全评估的模型? A. CVSS (Common Vulnerability Scoring System) B. CC (Common Criteria for Information Technology Security Evaluation) C. CVE (Common Vulnerabilities and Exposures) D. CWE (Common Weakness Enumeration)
160
1.CVE(Common Vulnerabilities and Exposures)通用漏洞披露是一种通用的漏洞和暴露标 识符体系,用于标识计算机系统中的漏洞和安全性问题。CVE 分配给漏洞唯一的标识符,方便 供应商、研究人员和用户跟踪和引用。 2.CVSS(Common Vulnerability Scoring System)通用漏洞评分系统是一种被广泛接受的 漏洞评分系统,用于标识漏洞的严重程度。 CVSS评分标准由三个维度构成,分别是基础分 (Base Score)、环境分(Environmental Score)和改进分(Temporal Score)。 3.CCE(Common Configuration Enumeration)通用配置枚举是一种关于计算机配置的通用标准。 CCE 使用命名约定来命名特定的计算机配置项,方便各个安全方案的测试工具和流程之间共享相关信息。 4.CPE(Common Platform Enumeration)通用平台枚举是一种关于计算机系统平台的通用描述和 分类的标准。CPE 描述计算机系统及其应用程序的特征和版本信息,方便各个安全方案识别系统 中的软件和硬件,以便更好地分析和评估风险。 5.XCCDF (eXtensible Configuration Checklist Description Format)可扩展配置清单描述 格式是一种描述配置数据和评估结果的格式。它提供了一种标准的格式来定义针对某些安全策略 的检查清单。这些检查清单可以针对不同的系统和产品,确保对所有系统应用相同的安全策略, 并帮助进行自动化风险和合规性评估。 6. OVAL(Open Vulnerability and Assessment Language)开放式漏洞和评估语言是一种用来 定义检查项、脆弱点等技术细节的描述语言。OVAL同样使用标准的XML格式组织其内容。 OVAL 能够清晰地对与安全相关的检查点作出描述,并且这种描述是机器可读的,能够直接应用到自 动化的安全扫描中。
答案
1 C 2 C 3 A 4 B 5 C 6 B 7 C 8 C 9 D 10 D 11 C 12 A 13 B 14 C 15 B 16 B 17 B 18 A 19 D 20 B 21 C 22 A 23 D 24 D 25 B 26 D 27 B 28 B 29 B 30 D 31 C 32 D 33 B 34 C 35 C 36 B 37 B 38 A 39 C 40 C 41 C 42 C 43 B 44 A 45 B 46 A 47 C 48 C 49 A 50 C 51 D 52 C 53 B 54 B 55 B 56 A 57 C 58 A 59 C 60 B 61 B 62 C 63 A 64 D 65 A 66 D 67 C 68 A 69 D 70 B 71 C 72 B 73 C 74 D 75 D 76 A 77 C 78 D 79 D 80 D 81 B 82 A 83 C 84 C 85 B 86 C 87 C 88 A 89 C 90 B 91 D 92 D 93 A 94 D 95 D 96 B 97 B 98 D 99 C 100 C 101 B 102 B 103 D 104 B 105 A 106 D 107 B 108 A 109 A 110 B 111 C 112 D 113 B 114 D 115 A 116 D 117 C 118 C 119 B 120 C 121 C 122 C 123 B 124 D 125 A 126 D 127 A 128 C 129 C 130 D 131 B 132 B 133 C 134 C 135 D 136 A 137 B 138 B 139 C 140 A 141 B 142 D 143 B 144 A 145 D 146 B 147 A 148 A 149 D 150 B 151 D 152 A 153 A 154 C 155 D 156 B 157 C 158 D 159 C 160 B