1.下列哪一项匹配是错误的： •A. 功能测试—测试性能、负载、可靠性等 •B.回归测试——修改了旧代码后，重新进行测试以确认修改没有引入新的错误。 •C. 结构测试——测试者全面了解程序内部逻辑结构、对所有逻辑路径进行测试。 • D. 黑盒测试—涉及了软件在功能上正反两面的测试确认 2. 关于 DMARC（Domain-based Message Authentication Reporting and Conformance）正确说法是： • A. 一种基于零信任的域名管理系统，用于防止域名欺骗 • B. 一种数字签名算法，提供对PCIDSS的支持 • C.一种邮件验证协议，目的是提高电子邮件的安全性 • D. 一种加强的消息验证码（MAC），用于保护信息的完整性 3.企业构建PKI时，CA，RA和OCSP服务器正确的部署位置是： • A. CA, RA和OCSP服务器都部署在DMZ内 • B. CA， RA部署在内网，OCSP部署在DMZ • C. CA部署在内网，RA和OCSP部署在DMZ • D. OCSP部署在内网，CA和RA部署在DMZ

4. 司法取证的第一步是： • A. 镜像硬盘 • B. 拔电源 • C. 获取内存数据 • D. 正常关机 5.企业准备将之前自己维护的一个应用程序替换成使用SaaS供应商提供的软件，根据SP800-37r2 RMF 风险管理框架的要求，在替换之前，需要做以下哪一项？ • A. Approving To Operate / 批准运行 • B. Accreditation To Operate 认可运行 • C. Autohrization To Operate 授权运行 • D. Authorization To Use / 授权使用 6.购置软件如何进行安全评估？ • A. DLP策略 ( Data Leak Prevention policy ) • B. 软件保障策略（Software Assurance policy） • C. 持续监控 （Continual Monitoring） • D. 软件配置管理（Software Configuration Management）

7.公司把设备和科研转移到海外，安全官应担心什么？ • A.设备被盗 • B. 物理安全得不到保障 • C. 知识产权 • D. 缺少安全措施 8.渗透测试进入系统后，可能需要： • A. 管理评审 • B. 管理层审批 • C. 横向提权 • D. 纵向提权 9. VPN中使用端到端的加密有什么风险 • A.防火墙和监控软件识别不到应用数据 • B.在传输过程中每一跳先加密再解密，增加了密钥管理的复杂度 • C.报文的安全性因中间结点的不可靠而受到影响 • D.在网络层需要隔离的措施，进一步提高安全性

10.组织的服务器遇到flood攻击，以下方法哪项是快速有效的解决方法？ • A. 购买不同运营商的带宽 • B. 将服务下线 • C. 找安全供应商购买最新的安全软件 • D. 改变防火墙设置 11.组织打算获得ISO/IEC27001信息安全管理体系认证，考虑到风险和成本效益，打算只实施 27001附录A中的部分控制，这样做是否可行？ • A. 可行，但需要在证书范围中声明 • B. 可行，但需要管理评审批准 • C. 可行，但需要在适用性声明中说明 • D. 不可行，附录A中所有的控制都需要实施 12. 软件开发管理流程（SDLC）维持最新的硬件和软件清单主要用于支持： •A. 系统管理 •B. 变更管理 • C. 风险管理 • D. 质量管理

13.S/ MIME 靠什么交换密钥？ • A.共享 • B.证书 • C.IKE • D. SHA-1 14.最近在组织的网络上实施了身份验证系统，该组织进行了年度渗透测试，表明测试人员能够使用经过身份验证的凭据横向移动。最有可能使用哪种攻击方法来实现这一目标？ • A. Hash collision 哈希冲突 • B. Pass the ticket 传递票证 • C. Brute force 蛮力攻击 • D. Cross-Site Scripting （XSS）跨站点脚本 15.数据中心火灾风险高，用什么措施？ A. 手持 火器 • B. 干粉 • C. 干管 • D. 防火墙壁、防火天花板、防火地板

16.以下哪项能为变更提供控制： • A. 配置管理 • B. CMMI • C. 流程化 • D. 发布管理 17.进行安全意识培训程序的最后一步是？ • A.评估培训有效性 • B. 员工测试 • C. 收集员工的反馈 • D. 收集培训未涉及的内容以便将来的程序 18.一家公司聘请了一家外部供应商对新的工资单系统进行渗透测试。该公司的内部测试团队已经对系统进行了深入的应用和安全测试，并确定其符合安全要求。但是，外部供应商发现了重大的安全漏洞，其中敏感的个人数据以未加密的方式发送到税务处理系统。安全问题最可能的原因是什么？ • A. 性能测试不足 • B. 应用程序级别测试不足 • C. 未进行负向检测 • D.接口测试失败

19.进行安全评估的时候首先要进行以下哪个步骤？ • A. 执行业务影响分析 • B. 确定安全评估需求 • C. 买最先进的安全技术 • D. 获得管理层授权 20.已下哪项最好的防御已知明文攻击？ C A. 加密前压缩 C B. 加密后压缩 • C. 加密前哈希 • D. 加密后哈希 21.一项用于应对拒绝服务攻击（DOS）的控制可阻止30%的攻击，还能将攻击的影响降低60%。残余风险是多少？ A control to protect from a Denial-of-Service (DOS) attach has been determined to stop 30% of attacks, and additionally reduces the impact of an attack by 60%. What is the residual risk? • A. 42% • B. 28% • c. 18% • D. 10%

22. 对于跨国商业合作中的数据加密存储和传输应用，最有可能遇到的问题是？ • A. 国家与国家之间的加密标准规范不统一 • B. 部分国家的法规监管要求加密数据必须和密钥一起传送 • C. 部分国家的技术实力无法支持加密传输 • D. 很多国家地区的法规不允许过于强的加密，甚至可能不允许加密 23. 以下哪一项是供应商提供的软硬件的最后一个阶段？ • A. End of Sales 销售终止 • B. End of Support 支持终止 • C. End of Supply 供应终止 •D. End of Life 生命期终止 24. 以下哪项不是常用的避免SQL注入的方法？ OA.存储过程 • B.参数化SQL C.正则表达式 • D.禁用select

25. 电子传送 electronic vaulting 是： • A. 将交易数据实时传送到远程站点 • B. 将交易日志实时传送到远程站点 • C. 将变更后的文件实时传送到远程站点 • D. 将变更后的文件定期传送到远程站点 26.以下哪一项是在SLA之前建立的？ • A. SLR（服务级别需求） • B. OLA（运营级别协议） • C. UC（支持合同） • D. Service Report（服务报告） 27. 销售人员需要通过web应用访问客户信息，应该依据什么标准来确认web应用程序的分级？ • A. 加密算法 • B. 数据类型 C. 服务器安全级别 • D. 应用程序部署位置

28.新增加的软件（含自己开发/第三方开发/直接购买），实施之前应该做： • A. 静态测试 • B. 动态测试 • C. 代码审核 • D. 渗透测试 29.以下哪一项决定了CPU可直接寻址的内存空间大小： • A. CPU寄存器个数 • B. 地址总线的位数 • C. 10总线的位数 • D. 虚拟内存总数 30.信息安全从业人员正在实施一个新的防火墙。以下哪种故障方法最能优先考虑安全性？ • A. Fail-Open • B. Fail-Safe • C. Fail-Closed • D. Failover

31. 哪个角色负责项目的整体成功并支持整个组织的变更？ • A. Change approver 变更批准者 • B. Project manager 项目经理 • C. Program sponsor 方案发起人 • D. Change implementer变更实施者 32. 以下哪项 BEST 描述了组织何时应对新软件保护执行黑盒安全审核？ • A. 当组织希望检查非功能性合规性的时候 • B. 当组织想要枚举其基础设施中的已知安全漏洞时候 • C. 当组织确信最终源代码是完整的时候 • D. 当组织遇到安全事件的时候 33. WPA2有两种操作模式： •A. 分散式和集中式 •B. 企业模式和个人模式 • C. 网络模式和安全模式 • D. 受控模式和非受控模式

34.完整性检查器的缺陷是以下哪个 • A. 只读文件可能会被忽略 • B. 需要假定初始状态是完整的 • C. 难以确定一个修改 • D. 无法检查加密的文件 35.以下哪种恶意代码强调破坏作用本身，而实施破坏的程序通常不具有传染性： • A. 蠕虫 • B. 木马 • C. 逻辑炸弹 • D. 恶意广告 36.以下哪一项会引起 DRP/BCP评审： • A. 高导管理人员变更 • B. 安全委员会人员增加 • C. 业务连续性协调人离职 • D. 组织合并

37. 已知某程序有输入验证漏洞，以下最合适的做法是？ • A. 停止服务 • B. 代码修复 • C. 在IDS内更新特征 • D. 应用防火墙添加规则 38.从组织的角度来看，要求信息安全专家在工作中的公共场合尊重道德规范是因为： • A. 提高内部的安全措施执行效果 • B. 展示组织的形象 • C. 展示个人形象取得第三方信任的需要 • D. 展示个人诚信度 39. 下列哪个访问策略，系统根据用户对访问对象的固有安全属性确定访问权限： • A.能力表 • B. DAC • С. МАС • D. ACL

40. 手机上的企业数据和个人数据如何隔离最安全？ • A. 数据库隔离 • B. 加密隔离 • C. 存储分隔 • D. 应用程序隔离 41. 关于WPA2 的兼容性，说法正确的是： • A. 能兼容WPA和WEP • B. 能兼容WPA，但不能兼容WEP • C. 能兼容WEP，但不能兼容WPA • D. 既不能兼容WPA 也不能兼容WEP 42. 安全度量（metric）是为了： • A. 加速安全评估 • B. 量化评估安全措施的有效性 • C. 和最佳实践相一致 • D. 达到安全基线的最低要求

43.以下哪项使用URI作为身份标识 • A. SAML • B. OAuth • C. OpenID • D. OIDC 44.关于安全基线的最佳描述： • A. 组织的高级别安全定义 • B. 用来信息安全管理的软件 • C. 用来支撑组织信息安全政策的实践证明 • D. 在组织实施一致的安全配置 45. 决定个人访问网络的权限是依据： • A. 风险矩阵 • B. 数据价值 • C. 业务需求 • D. 数据分类

46. 以下哪一项不是隐私增强技术（PET）？ • A. 同态加密 • B. 差分隐私 • C. 黑暗模式 • D. 安全多方计算 47. RTO能确定？ • A. 数据丢失的时间长短 • B. 发生数据丢失的起始时间点 • C. 恢复应用需要的时间 • D. 恢复应用的优先级 48. 对工控系统进行 fuzzing（模糊测试）可以： • A. 通过冗余提高工控系统的可用性 • B. 对敏感数据进行处理后降低信息泄漏的风险 • C. 发现精确设计的输入导致的缺陷或随机动态的数据处理缺陷 • D. 通过ITF集成测试设施，对实时生产环境进行

49.机构在需要进行数据恢复时，发现存储在磁带上的数据因为设备的原因无法被读取了。需要做的事情： • A. 数据已经泄露，需要及时对磁带进行消磁或者处理 • B. 需要寻求第三方专业机构，对数据进行恢复 • C. 说明机构的数据备份措施已经失效，需要重新建设数据备份系统 • D. 磁带存储说明数据已经有保留，不需要处理 50.DR（灾难恢复）培训的目的： • A.正确应对安全事件 • B. 针对具体事件做出正确的反应 • C. 提升员工安全意识 • D. 对未来执行DR计划做好准备 51. 哪一项攻击会影响 VOIP通道的完整性？ • A. 窃听 • B. 中间人攻击 • C. 资源耗尽 • D. DOS攻击

52. 进行系统数据隐私保护第一步： • A. 数据隐藏 • B. 数据最小化 • C. 加密 • D. 数据存储 53.以下哪一项最有助于企业降低供应链风险： • A. 严格执行企业的采购流程 • B. 与供应商签订SLA • C. 严格控制供应商的访问权限 • D. 持续的监控、管理和评估 54. BSI（Build Security In 内置安全）的核心思想是： • A. 安全集成到开发生命周期的每一个环节 • B. 风险管理和控制措施是结合在一起的 • C. 操作系统的内核要足够安全 • D. 治理、风险和合规都应该考虑业务的安全需求

55.僵尸网络根据不同的命令控制机制，可划分为三类：基于IRC（因特网中继聊天）协议，基于HTTP协议 和： • A. 基于P2P结构 • B. 基于C/S机构 • C. 基于时钟同步 • D. 基于挑战应答 56. 增强WLAN最好的方式 • A. 隐藏SSID • B. 使用RADIUS认证 • C. 使用WPA2 • D. 使用56位密钥 57. 威胁模型确定了一个中间人（MITM）暴露。信息系统安全官员应选择哪种对策，以减轻PHI（受保护的健康信息）数据泄漏的风险？ • A. 隐私监控 • B. 安全评估 • C. 匿名化 • D. 数据审计

58.数字不可抵赖需要什么？ • A. 可信第三方 • B.适当的安全策略 • C. 对称加密 • D. 多功能识别卡 59.数据分类第一步做什么？ • A. 创建数据字典 • B. 确定所有者 • C. 识别数据 • D. 数据标签 60. 使用OTP（One time password）的双因素认证防止了下面的什么攻击？ • A. 重放 • B. 暴力破解 • C. 洪泛攻击 • D. 木马攻击

61.为什么国际上对计算机犯罪难处理？ • A. 跨国犯罪的复杂性 • B. 国家的贸易保护 • C. 不同国家的法律法规 • D. 难以界定跨国责任 62.对于含有即时通信IM系统的网络，最大的安全性挑战是什么？ • A. 系统兼容性 • B. 信息泄漏 • C. 病毒攻击 • D. 安全补丁 63.数字取证中为什么使用多重散列？ • A. 通过多重散列提高了取证数据的可用性 • B. 通过多重散列，抗抵赖性可以得到更好保护 • C. 多重散列实现了重要证据的知识分割 • D. 一个散列被碰撞后，还有另外的散列可以防止失效

64.要持续改进和提升信息安全管理，使用哪个工具？ • A. SABSA安全架构 • B. COSO 内部控制整合框架 C C. 风险热图 • D. PDCA模型 65.移动终端面临的最大安全漏洞在于： • A. 系统硬件 • B. 移动操作系统 • C. 分布式中间件 • D. 互联网应用程序 66. 交换机进行安全数据收集，交换机数据在X端口，采集器在Y端口，怎样让采集器收集到数据情报： • A.端口映射 • B. 端口镜像 • C. 端口复用 • D. 端口扫描

67.审计师关注： • A.日志收集的数据范围 • B.日志收集的时间 • C.日志的可用性 • D.日志的完整性 68. Linda 正与该组织的一家欧盟业务合作伙伴合作，促进客户信息的交换。Linda 的组织位于美国。Linda 确保GDPR合规的最佳方法是什么？ • A. 具有约束力的公司规则（BCR） • В. 隐私盾 （Privacy Shield） • C. 标准合同条款（SCC） • D.安全港 (Safe harbor) 69. 猜测TCP序列号属于： • A. IP欺骗 • B. 中间人攻击 • C. 碎片攻击 • D. SYN洪泛攻击

70.组织需要共享一个高等级账户，应该 • A. 減少组成员 • B. 完整日志记录 • C. 使用签出程序 • D. 进行特权提升 71.数据挖掘的风险： • A. 可以分析不同来源的数据 • B. 每个数据库的隐私标准不同 • C. 容易导致聚合攻击 • D. 数据库可用性受影响 72. 802.11g的主要特点： • A. 能够提供与802.11b向后兼容 • B. 提供QOS功能 • C. 支持802.1X验证 • D. 是一个城域网MAN无线标准

73.对写入光存储介质的数据进行哪种措施，能够保障数据无法恢复？ • A. 消磁 • B.清理 • C. 清除 • D. 销毁 74.公司内部检测到大量基于客户端的攻击，未来有效的缓解措施是： • A. 外围用防火墙进行web漏洞防护 • B. 解决基于客户端侧的web漏洞 • C. 实施前对客户端本机的服务进行漏扫 • D. 发布加固的客户端镜像 75. 两个存储设备之间通信防止攻击的方法： • A. 链路加密 • B. 防火 • C.IPS • D.IDS

76. 一家医院执行OECD的隐私保护原则。以下哪一项适用于患者从医院门户网站请求医疗记录？ • A. 用途说明 • B. 收集限制 • C. 使用限制 • D. 个人参与 77. 在安全评估中，信息安全人员的职责是 • A. 为组织匹配风险等级 • B. 验证安全措施有效性 • C. 确保安全岗位职责分离 • D.对员工进行安全意识宣灌 78.移动设备取证难点？ • A.登录移动设备需要密码验证 • B. 数据可能被加密 • C. 可能安装了特殊的软件 • D. 数据可能被远程擦除

79. PEAP通过下面哪项弥补EAP的漏洞： • A. TLS • B. AES • C. RSA • D. PPTP 80. 安全系统项目开发团队必须要要关注的是 • A. 同行业或竞争对手采用的方法 • B. SDLC没有涵盖到的软件和应用 • C. 新的项目管理方法 • D. 尚未正式生效的法律法规和监管条文 81. 渗透测试发现阶段的目的： • A. 收集目标系统的信息 • B. 发现程序遗留的后门 • C. 发现可以被利用的漏洞 • D. 获取系统权限

82.ISO27001关注组织架构，安全策略，以下描述正确的是： • A 国际组织架构更复杂，要求的安全策略更多 • B 金融行业公司比互联网公司组织架构复杂，出现问题损失更大 • C. 如果忽略组织架构，那么安全策略可能不适用 • D. 安全策略有普适性，对不同的安全组织结构都适用 83.web安全通讯，实施哪个能提供更好的安全性？ • A. TLS • B. SHA • C. SSL • D. SET 84. 数据所有者的职责 • A. 数据恢复 • B. 数据可用性的实现 • C. 数据备份和存档 • D. 脱离技术角度的数据保护

85. 一个人有个木马病毒文件，怎么样能最全面的知道这个病毒的最多的信息？ • A. 行为分析 • B. 代码审计 • C. 逆向代码审计 • D. 特征匹配 86. 安全部署程序必须？ • A. 威胁建模和修复必须在生产系统进行 • B. 用户验收的时候必须修复漏洞 • C. 实施安全版本管理和配置管理 • D. 代码审计和代码加密 87. 安排工程师对一个新的web应用进行负向测试，需要做的是？ • A. 输入范围外的值来判断系统的反应 • B. web应用漏洞扫描 • C. 对web应用性能进行压力测试 • D.对web应用性能进行负载测试

88. 公司遭遇洪水攻击，攻击者的动机可能是： • A. 破坏入侵检测防御系统 • B. 篡改核心服务器配置 • C. 以停止服务为威胁进行勒索 • D. 获得生产服务器root权限 89.SSH的优势 • A. 实现远程登录 • B. 传输数据加密 • C. 匿名通信 •D. 抗DDOS攻击 90. 数据归档在SDLC的什么阶段？ •A. 处置 •B. 需求 • C. 开发 • D.维护

91.WLAN中为什么用 ECC 而不是 RSA？ • A. ECC加密更强 • B. ECC密钥更短、加密更快 • C. ECC密钥更长 • D. RSA不安全 92.SQL的DAC自主访问方式下，给予用户“UPDATE”权限修改数据库的命令是： • A. DELEGATE • B. UPDATE • C. GRANT. • D. INVOKE 93.GDPR（一般数据保护条例）定义的公民在其个人数据信息不再有合法之需时拥有要求将其删除或不再使用的权利，这被称为： •A. 个人利益权 • B. 自愿选择权 • C. 被遗忘权 • D. 数据可携权

94.密码学的根基是： • A. ka (Entropy) • B. 加密 （Encryption） • C. 密码 （Cipher） • D. 哈希（Hash） 95.以下哪项不是微服务的特点？ • A. 将应用构建为一组小型服务 • B. 服务可独立部署 • C. 服务间使用ESB（企业服务总线）进行交互 • D. 去中心化 96. TCB（可信计算基）的核心是： • A. 引用监视器 • B. 安全内核 • C. 可信恢复 • D. 强制访问控制

97.企业一台互联网服务器遭到破坏，管理层收到报告后转给了安全经理，安全经理收到报告 之后首先要做的是： • A.用备份数据对互联网服务器进行恢复 • B. 对报告进行调查 • C. 更新配置管理中的服务器状态信息 • D. 启动数字取证流程 98. 敏捷模型的优势： • A. 关注流程 • B. 鼓励客户 • C. 明确需求 • D. 遵循计划 99.代码加密和代码隐藏是用来抵御： • A.逆向工程 • B. 隐蔽通道 • C. 木马攻击 • D. 程序后门

100. 对于员工卡，怎么防止克隆： • A. Personal Identify Verification (PIV卡) • B. Data Protection Card(DPC卡) • C. Token Authentication Card (TAC卡) • D. Hash Integration Card (HID卡) 101. EAP MD5 提供什么验证？ • A. 基于数字证书的验证 • B. 用户端验证服务器端 • C.服务器端验证用户端 • D. 双向验证 102. 和多个云供应商对接解决IAM身份和验证管理的措施是： • A. 实施SSO • B. 可传递信任 • C. 使用时钟同步令牌 • D. 使用异步令牌

103.客户端和服务器端需要共享密钥时，代码中硬编码了密钥，用什么解决比较好？ • A. RSA • B. ECC • C. Diffie-Hellman • D. DSA 104.实施企业身份和访问管理（IAM）的好处是： • A. 提高机密性 • B. 简化密码要求 • C. 自动执行职责分离 • D. 降低孤儿账户的风险 105.OWASP ASVL1 （Application Security Verification Levels） 应用安全验证级别1级的特点是： • A. 机会主义者会利用一切可能的简单漏洞 • B. 包含敏感信息的应用程序 • C. 需要最高保护级别的最关键应用 • D. 验证操作系统内核

106.Scrum方法论中的角色是什么？ • A. 产品经理，Scrum Master 和 开发团队 • B. 质量保证团队、Scrum Master 和 开发团队 • C. 项目经理，Scrum Master 和开发团队 • D. 系统所有者，Scrum Master 和开发团队 107. 一个软件模块中各部分的关联程度指的是？ • A. 内聚性 • B. 聚合性 • C. 耦合性 • D. 共生性 108. 攻击树的用处： • A. 简化分析 • B.威胁建模 • C. 单点故障 • D. 漏洞分析

109. 在软件开发生命周期中的需求收集阶段，下面哪个活动最适合用来降低风险？ • A. Create use cases 创建用例 • B. Identify regulatory needs 识别监管需求 • C. Review secure coding guidelines 审核安全编码指南 • D. Establish the development environment 建立开发环境 110. 保存用于硬盘加密的密钥， • A. 使用了冗余，提供更高的可用性 • B. 防篡改，保证秘钥完整性 • C. 通过数字签名，提供不可抵赖性 • D. 使用了混合加密，效率高 TPM（可信赖平台模块）相对 USB KEY 的优势： 111. 在为数据丢失防护（DLP）解决方案开发业务规则时，必须考虑以下哪一项？ • A. 数据可用性 • B. 数据敏感性 • C. 数据所有权 • D.数据完整性

112. 确定内部事故响应团队所需资源最有效的方式是： • A. 对标其他事故响应计划。 • B.聘请事故管理专家提供指导。 • C. 使用事件场景测试响应能力。 • D.确定事故响应的范围和章程。 113. 一名隐私工程师被要求查看一个在线账户登录页面。他发现，用户登录其在线账户时可以尝试的无效登录次数没有限制。 为了最大限度地减少这一弱点带来的潜在隐私风险，最好的建议是什么？ • A.实施验证码CAPTCHA系统。 • B.开发服务器端输入验证检查。 • C.强制执行强密码和帐户凭据。 • D.实施强大的传输层安全（TLS），以确保加密的链路。 114. 什么是访问控制列表？ • A.一个人访问资源所需的步骤列表。A list of steps necessary for an individual to access a resource. • B.表明授予每个人的许可类型的列表。A list that indicates the type of permission granted to each individual. • c.显示一个人有权访问的资源的列表。A list showing the resources that an individual has permission to access. • D.对资源的访问权限被撤销的个人列表。A list of individuals who have had their access privileges to a resource revoked.

115. Secure ShelI（SSH-2）支持身份验证、压缩、机密性和完整性，SSH通常用作以下所有协议的安全替代方案，除了： • A. telnet • B.rlogin • C.rsh • D. https 116. 下列哪项不是内部程序员绕过正常的安全控制，进行软件开发的常用方法？ • A. A Trojan horse 特洛伊木马 • B. A maintenance hook 维护钩 • C.A back door 后门 • D.A trap door 陷门 117. 以下哪一项不属于软件架构： • A. 客户端/服务器端 • B. 微服务 • C. 微隔离 • D. 为内核

118.运维团队负责决定什么数据需要备份，以及备份的频率。下面哪个类型的备份流程是备份自从上次所有数据备份以来的修改过的文件？ • A. Incremental backup 增量备份 • B. Full backup 完全备份 • C. Partial backup 部分备份 • D. Differential process 差异备份 119. 业务连续性计划经常会变得过时，下面哪项不是导致计划会变得过时的原因？ • A. 硬件、软件和应用的变化 Changes in hardware, software, and applications • B. 基础设施和环境的变化 Infrastructure and environment changes • C. 人员的流动 Personnel turnover • D. 业务连续性流程集成到变更管理流程中 That the business continuity process is integrated into the change management process 120.当应用程序错误地允许无效的输入被写入堆栈，返回的指针被指向恶意代码，发生了哪种攻击？ • A. Traffic analysis 流量分析 • B. Race condition 竞争条件 • C. Covert storage 隐蔽存储 • D. Buffer overflow \ФШ

121. RAID系统使用了一系列技术来实现冗余和性能。下面哪个活动是把数据分离写在几个驱动器上？ • A. Parity 奇偶校验 • B. Mirroring 镜像 • C. Striping 条带化 • D. Hot-swapping 热插拔 122.Bob最近实施了一种入侵预防系统（IPS），旨在阻止常见的网络攻击对他的组织造成影响。 Bob正在追求哪种类型的风险管理策略？ • A. 风险接受 • B. 风险避免 • C. 风险缓解 • D. 风险转移 123.以下哪项是编写信息安全策略的最佳理由？ • A. 支持信息安全治理 • B. 减少审计发现的数量 • C. 降低安全成本 • D. 实施有效的信息安全控制

124.X公司最近开发了一种新的微处理器制造工艺。该公司希望将该技术授权给其他公司使用，但希望防止未经授权使用该技术。什么类型的知识产权保护最适合这种情况？ • A. 专利 • B. 商业秘密 • C.版权 • D.商标 125. 在对某初创公司的自带办公设备BYOD实务进行风险评估期间，风险从业人员注意到，在第三方云应用上运行信用卡账号查询之前，数据库管理员将他的个人设备上的社交媒体网站最小化。风险从业人员应建议企业： • A. 开发和部署BYOD可接受使用政策 • B. 在每台移动设备上设置虚拟化桌面 • C. 将社交网站加入隔离区DMZ内设备的黑名单中 • D.为数据库管理员提供用户意识培训 126. 在灾难恢复过程中，由于之前备份的数据量太大，导致这部分数据恢复没能在既定的时间完成，这是没有达成哪一个目标？ • A. RTO 恢复时间目标 • B. RPO 恢复点目标 • C. SDO 服务交付目标 • D. WRT 工作恢复时间

127. PPTP 使用哪项加密技术： • A. L2TP • B. MPLS • C. MPPE • D. IPSec 128. 构建防火墻的第一步是？ • A. 了解并比较现有的防火墙技术 • B. 进行风险分析，识别需要解决的问题 • C.进行渗透测试，进行攻击面分析 • D. 明确防火墙管理员的角色和职责 129.0SI网络层能执行什么？ • A. 应用过滤 • B. 端口控制 • C. 数据包过滤 • D.RPC远程过程调用

130. Of the following, what is the primary item that a capability list is based upon? 能力表是基于下面哪项主要条目来建立的？ • A. A subject 一个主体 • B. An object 一个客体 • C. A product 一个产品 • D. An application 一个应用 131. 哪种类型的测试用于验证程序组件的数据结构、逻辑和边界条件？ • A. Acceptance testing 验收测试 • B. Regression testing 回归测试 • C. Integration testing 集成测试 • D. Unit testing 单元测试 132. 以下哪种技术可以隐藏信息还可隐藏技术本身？ • A.加密哈希 • B. 数据签名 • C. 隐写术 • D. 混合加密

133.在进行安全风险评估时为组织在日常安全所面临的挑战给出最好的指标的是？ • A. 内部安全测试 • B. 外部安全测试 • C. 公开安全测试 • D. 隐蔽安全测试 134.当危害（hazard）与人类脆弱性（vulnerability）相互作用时，哪种事件规模被定义为致命（deadly）、毁灭性（destructive）和引起混乱的（disruptive）？ • A. Crisis / ft. • B. Catastrophe / 77 • C. Accident / 事故 • D. Disaster 135. 以下哪项最能描述软件取证的目的？ • A. 分析恶意软件可能的恶意意图 • B. 执行循环冗余校验（CRC）验证并检测更改的应用程序 • C. 确定代码的作者和行为 • D. 审查程序代码以确定是否存在后门

136.以下哪一项不属于基于行为特征的生物识别验证方式？ • A. 击键力学 • B. 签字力学 • c. 语音识别 • D. 步态验证 137.哪一项最能防止硬行闯入： • A. 警报系统 • B. 旋转门 • C. 捕人陷阱 • D. 安全意识宣贯 138.最近离开组织的一位同事向安全专业人员索要该组织机密事件管理策略（confidentialincident management policy）的副本。以下哪项是对此请求的最佳响应？ • A. 在公司发行的设备上访问策略，并让前同事查看屏幕。 • B.通过电子邮件将策略发送给同事，因为他们已经是组织的一部分并且熟悉它。 • C. 不回应收到前同事的请求，并忽略它们。 • D. 使用公司官方渠道提交请求，以确保政策可以分发。

139.开发信用卡和医疗业务软件，要保障知识产权可以参考： • A. 27002 • B. HIPPA • C. PCI DSS • D. COBIT 140. Management can expect penetration tests to provide all of the following EXCEPT 管理层可以预期渗透测试达到下面的目的，除了： • A.identification of security flaws 找出安全漏洞 • B. demonstration of the effects of the flaws 证明漏洞的影响 • C. finding a method to correct the security flaws. 找到纠正安全漏洞的方法 • D. verification of the levels of existing infiltration resistance 验证当前的入侵防御水平 141. Which one of the following is a characteristic of a penetration testing project? 下面哪个是渗透测试项目的特征？ • A. The project is open-ended until all known vulnerabilities are identified. 直到发现了所有已知的漏洞，项目无法结束 • B. The project schedule is plotted to produce a critical path. 绘制项目时间安排来产生关键路径 • C. The project tasks are to break into a targeted system. 项目任务是突破进入目标系统 • D. The project plan is reviewed with the target audience. 项目计划由目标用户来评审

142. What type of risk analysis approach does the following graphic provide? 下面图示提供的是那种风险分析方法？ • A. Quantitative $= • B. Qualitative ZI • C. Classification >4 • D. Categorize S$ 143. For which one of the following is a computer user MOST accountable? 下面哪项是对一个计算机用户问责最需要的？ • A. Classifying important data files 对重要数据文件进行分类 • B. Actions performed with their identification 使用他们自己的身份来执行任务 • C. Sharing their logon password with appropriate persons 与合适的人共享他们的登陆密码 • D. Protecting system applications that are accessed 保护他们访问的系统应用程序 144. What should be the INITIAL response to Intrusion Detection System/Intrusion Prevention System (IDS/IPS) alerts? 针对入侵检测系统/入侵防御系统（IDS/IPS）报警的第一个响应是什么？ • A. Ensure that the Incident Response Plan is available and current. 确保事件响应计划是可用的和最新的 • B. Determine the traffic's initial source and block the appropriate port. 判断流量的初始源，并阻断合适的端口 • C. Disable or disconnect suspected target and source systems. 关闭或断开可疑的目标和源系统 • D. Verify the threat and determine the scope of the attack. 确认威胁并判断攻击的范围

145.以下哪一项是关于隐私信息管理体系（PIMS）的标准？ • A. ISO/IEC 27001. • B. ISO/IEC 27002 • C. ISO/IEC 27701 • D. ISO/IEC 29151 146. 以下哪项最好地保护了敏感信息泄漏？ • A. 安全哈希算法（SHA） • B. 传输层安全协议（TLS） • C. 有线等效保密协议（WEP） • D. 邮件协议（POP） 147. Which of the following BEST defines the final stage of the identity management architecture lifecycle?下面哪个最好的定义了身份管理架构生命周期最后一个阶段？ • A. Approval 批准 • B. Auditing 审计 • C. Communication i • D. Training 培训

148.一个组织制定了关于数据分类和数据处理相关的全面的政策和程序。但是，该组织还是因不当披露客户的隐私数据给第三方，遭到了许多客户的诉讼。这些泄露是没有恶意的。这些泄露的客户数据已经标识为机密。下面哪项是泄露问题最可能的原因？ • A. Improper data classification 不正确的数据分类 • B. Improper data retention 不正确的数据保留 • C. Improper data access controls 不正确的数据访问控制 • D. Improper data handling 不正确的数据处理 149. 小步快走，快速试错，送代周期短，需求变化频繁，是以下哪种开发方法的特点： • A. 螺旋开发模型 • B. 快速原型法 • C. 敏捷开发 • D. V字模型 150. 以下哪个角色在访问数据时必须十分谨慎并严格遵循安全策略和数据分类规则，他/她不能决定、维护或评价控制 • A. Data owner 数据所有者 • B. Data custodian 数据管理者 • C. Data user 数据使用者 • D. Information systems auditor 信息系统审计师

151. 以下哪些信息必须提供给用户帐户开通（provisioning）？ • A. 全名 • B. 唯一标识符 • C. 安全问题 • D. 出生日期 152.将安全补丁应用于之前经过通用标准（CC）评估保证级别（EAL）4级验证的产品，应该： • A. require an update of the Protection Profile （PP）. 要求更新保护配置文件（PP） • B. require recertification.要求重新认证 • C. retain its current EAL rating. 保留其当前的EAL评级 • D. reduce the product to EAL 3. 将产品降低至EAL 3 153.对于使用公共云服务的组织来说，以下哪种介质净化技术最有效？ • A. Low-level formatting 低级别格式化 • B. Secure-grade overwrite erasure 安全级别覆写擦除 • C. Cryptographic erasure 加密擦除 • D. Drive degaussing 驱动消磁

154.什么类型的攻击最能描述电磁脉冲（EMP）攻击？ • A. Radio Frequency （RF） attack / 射频（RF）攻击 • B. Denial of Service （DoS） attack / 拒绝服务（DoS）攻击 • C. Data modification attack / 数据修改攻击 • D. Application-layer attack / 应用层攻击 155. Determining outage costs caused by a disaster can BEST be measured by the: 确定由灾难造成的停机成本最好通过： • A. cost of redundant systems and backups. 冗余系统和备份的成本。 • B. cost to recover from an outage. 从中断中恢复的成本。 • C. overall impact of the outage. 中断的总体影响。 • D. revenue lost during the outage. 中断期间损失的收入。 156.谁主要负责确保安全目标与组织目标一致？ • A. 高级管理层 • B. 信息安全部 • C. 审计委员会 • D. 所有用户

157. 在高噪音、堆满物体的环境中，建议使用以下哪种报警系统来检测通过窗户的入侵？ • A. 声传感器 Acoustic sensor • B. 运动传感器 Motion sensor • C. 震动传感器 Shock sensor • D. 光电传感器 Photoelectric sensor 158. 当员工被解雇时，以下哪项是管理用户帐户的最有效做法？ • A. 实施流程以自动移除（remove）已离职员工的访问权限。 • B. 离职时删除（delete）员工网络和系统 ID。 • C. 手动移除（remove）离职员工对所有系统和应用程序的访问权限。 • D.禁用（disable）离职员工的网络ID以移除（remove）所有访问权限。 159.以下哪一项是为员工做好紧急情况准备的意识和培训计划中最重要的部分？ • A. 为普通员工建立紧急联系人以获取信息 • B. 为那些直接参与恢复的人员进行业务连续性和灾难恢复培训 • c. 为不同的受众设计业务连续性和灾难恢复培训计划 • D. 在企业网站上发布企业业务连续性和灾难恢复计划

160.从系统或存储设备中移除（removing）敏感数据以使数据无法通过任何已知技术重建的过程是什么？ • A. 清除 / Purging • B. 加密 / Encryption • C. 格式化 / Formatting • D. 清理 / Clearing 161. 系统开发生命周期（SDLC）流程的安全认可在哪个阶段的未期完成？ The security accreditation task of the System Development Life Cycle (SDLC) process is completed at the end of which phase? • A. 系统获取和开发 • B. 系统运维 • C. 系统初始 • D. 系统实施 162.Bob 的组织最近完成了对一家竞争对手公司的收购。以下哪项任务最不可能成为收购过程中组织流程关注的一部分？ • A. 合并安全职能 • B. 集成安全工具 • C. 保护知识产权 • D. 整合安全政策

163. 一个组织计划购买由小型供应商开发的定制软件产品以支持其业务模型。在创建合同协议时，考虑到与这种依赖关系相关的潜在长期风险，应特别关注以下哪项？ • A. 对技术文档的访问 • B. 要求对软件源代码进行独立审查的权利 • C. 要求提供符合安全要求声明的尽职调查表 • D. 源代码托管条款 164.应用程序的设计审查已经完成，准备发布。组织应该使用什么技术来确保应用程序的完整性？ • A.应用程序身份验证 • B.输入验证 • C.数字签名 • D.设备加密 165.两个公司之间出现了恶意行为，适用哪种法？ • A.刑法 • B. 民法 • C.监管法 • D.行政法