1.在为灾备中心选址时，影响最小的因素是？ A．经过飞机航线的区域 B．所在地区的犯罪发生率 C．易受台风影响的区域 D．周边的建筑和商业情况

2.由数据所有者授予其他用户对数据的访问权限的访问控制方式是？ A.强制访问控制 MAC B.自主访问控制 DAC C.非自主访问控制 NDAC D.基于角色的访问控制 RBAC B

3.为了保护隐私数据，对数据元素进行替换的方法是？ A.字段级加密 field level encryption B.行级数加密row level encryption C.批量数据哈希batch hash D.数据标记化data tokenization D

4.当改变明文中的某一位时，密文中的多处会随之改变，这一特性是？ A．随机 Randomization B．扩散 Diffusion C．混淆 Confusion D．离散 Discrete B

5.在进行系统漏洞扫描时发现，有些通信端口在未授权的情况下被打开了。系统很可能是遭到了哪种攻击？ A.SYN洪泛攻击 B.暴力破解 C.端口扫描 D.木马 D

6.新雇佣的员工在登陆应用程序系统时使用了共享账号，这违反了公司政策。以下哪种方法能够最有效地控制此问题？ A. 监测访问控制 B. 对用户进行安全意识培训 C. 将责任分配到部门主管 D. 对IT人员进行培训

7.在审查入侵检测日志时，发现有些来自互联网的通信，其IP地址显示为公司工资服务器。以下哪项恶意活动最可能导致这类结果？ A．拒绝服务 (DoS) 攻击 B．端口扫描 C．中间人攻击 D．欺骗 (spoofing) D 8.在客户机／服务器架构中的“相互验证”指的是？ A.服务器和服务器之间的交叉验证 B.客户端和服务器端建立连接时的三次握手 C.客户端一旦被服务器端验证，则客户端可以访问系统内其他的资源 D.服务器端验证客户端，客户端验证服务器端 D 9.在物理访问控制中使用电子访问控制令牌的主要优点是？ A.在紧急情况下能自动锁定 B.可以监控门窗的打开情况 C.当检查到入侵时会自动触发报警 D.克服了钥匙管理问题 D 10.要防止IP地址欺骗攻击 (IP spoofing) ，应将防火墙配置为丢弃以下哪类数据包？ A．启用源路由字段的数据包。 B．在目标字段中拥有广播地址的数据包。 C．开启TCP连接的复位标记的数据包。 D．用动态路由替代静态路由的数据包。 A 11.通信网络中链路加密的特点是？ A．仅加密用户信息，不加密数据包头部、尾部、地址和路由信息 B．数据包在每一跳都进行解密，因此有更多脆弱点 C．加密发生在应用层 D．密钥分发和管理相对简单 B

12.HAL硬件抽象层属于： A.网络硬件 B.系统硬件 C.系统软件 D.应用软件 C

13.通过识别异常行为来检测病毒的防病毒软件属于： A.特征型 B.启发型 C.推理型 D.归纳型 B

14.某家安全要求极高的组织正在配置生物识别系统，以下哪一项性能指标最重要？ A．低错误接受率 (FAR) B．低错误拒绝率 (FRR) C．低相等错误率 (EER) D．低误判率 (FIR) 15.攻击者最有可能通过以下哪一项获得对系统的特权访问？ A.包含敏感信息的日志 B.包含系统调用的日志 C.写系统资源的程序 D.写用户目录的程序 16.当程序在特权模式下运行时面临的风险是？ A.可能执行恶意代码 B.破坏了职责分离 C.不必要的代码复杂性 D.不必要的进程隔离 17.业务连续性管理中，在完成了业务影响分析(BIA)之后，紧接着要做的是？ A.将BIA的结果报告给管理层，以获得业务连续性项目资金 B.识别并选择恢复策略 C.准备测试计划，测试灾难恢复能力 D.进行风险评估与分析

18.以下哪一项除了能进行传统的开机加密以及对硬盘加密外，还能对系统登录、应用软件登录进行加密？ A.可信赖平台模块 (TPM) B.密钥分发中心 (KDC) C.因特网协议的简单密钥管理 (SKIP) D.预启动执行环境 (PXE) A 19.SYN洪泛攻击发送的连接请求中使用了别人的有效地址，收到攻击的系统会将大量应答包发向哪里？ A.攻击者的地址 B.受攻击的本地系统 C.指明的源地址 D.默认的网关 C 20.审计计划的关键成功因素是？ A.识别已实施的安全控制 B.定义需要审计的范围 C.获得未合规系统的证据 D.与系统所有者一起分析新的控制 B 21.在采购第三方开发的软件时，以下哪一项可以提供更好的软件开发质量保障？ A.客户和供应商的重叠代码评审 B.在合同中明确知识产权保护条款 C.确保供应商参加开发计划会议 D.给供应商提供隔离的开发环境 A 22.系统管理员在进行渗透测试时发现，组织内的所有人都可以对一台存有敏感数据的服务器进行未授权访问时，他应该采取的行动是？ A.使用系统特权，修改对服务器的访问许可 B.立即记录该发现并报告给管理层 C.继续进行测试并在测试完成时报告IT管理层 D.终止渗透测试并将发现转交给服务器管理团队 B

23.在多级安全系统中，4个用户A、B、C、D的安全许可分别是：限制、机密、秘密、绝密，4个文件1、2、3、4的安全分级分别是限制、机密、秘密、绝密。 按照BLP 星规则，哪一个用户的写权限最受限制？ A.用户A B.用户B C.用户C D.用户D

24.类似于Kerberos依赖于KDC，SAML依赖于: A.TGS (Ticket Granting Server) B.IDP (Identity Provider) C.AS (Authentication Server) D.PAS (Privileged Attribute Server) B

25.以下哪一项是应对蛮力攻击的有效对策？ A.减少并发的用户会话数量 B.加强初始密码的分发控制 C.定期更新所有系统的登录口令 D.在登录系统失败后加入延时 D 26.不需要使用真正的病毒就能判断一个系统是否能够识别恶意代码的方法是？ A.安装多种防病毒软件 B.使用EICAR文件进行测试 C.使用ITF集成测试设施 D.使用僵尸网络进行测试 B 27.审计人员发现关键系统的一项安全控制中存在漏洞，最有可能导致这一问题的是？ A．安全指南的文档不全面 B．缺乏安全基线 C．基于主机的入侵防御系统存在缺陷 D．安全补丁没有及时更新 B

28.一个业务应用系统的业务用户可以执行业务功能，但不能执行管理功能，应用的维护管理员可以执行管理功能但不能执行业务功能，这属于： A．职责分离 B．最小授权 C．基于规则的访问控制 D．自主访问控制 A

29.定期评审审计日志的最佳理由是？ A.监控员工的工作效率 B.满足合规要求 C.识别异常的使用模式 D.验证日志运作良好 C 30.在应用程序的运维过程中，建立软件组件的初始基线依赖于： A.安全审计规程 B.软件补丁规程 C.配置控制规程 D.应用监控规程 C

31.确定保护静态数据是否有恰当的安全控制保护的第一步是？ A．识别法规要求 B．执行风险评估 C．评审安全基线配置 D．评审之前的审计报告 32.数据保留策略的主要目的是？ A.确保数据在预定的一段时间内的可用性和机密性 B.确保数据在预定的一段时间内的可用性和完整性 C.确保数据在预定的一段时间内的完整性和机密性 D.确保数据在预定的一段时间内的完整性、机密性和可用性 33.OSI的哪一层负责在通信网络上传输二进制数据？ A.物理层 B.数据链路层 C.网络层 D.传输层 A 34.使用DNS安全扩展 (DNSSEC)对记录进行签名的主要目的是？ A.机密性 B.完整性 C.可用性 D.可问责

35.对信息系统(IS)进行脆弱性测试的目的是？ A.利用IS的安全弱点 B.为DRP做准备 C.衡量安全控制薄弱的系统的性能 D.评价安全控制的有效性 D 36.以下哪一项说明生物识别身份验证遭到了重放攻击？ A.误接受率非常高 B.误拒绝率非常高 C.样本数量不充分 D.完全匹配 37.在虹膜验证过程中，以下哪一项用于识别和验证？ A.获得的眼底血管纹理的数据和之前存储的样本数据的比对 B.获得的细节模版和之前储存的样本模版的比对 C.获得的瞳孔的尺寸大小数据和之前样本的比对 D.计算的哈希值和预存于数据库中的数据的比对 B 38.当在组织异构的网络端点实施控制时，关键的一点是？ A．用户可以修改他们的安全软件配置 B．主机可以建立网络通信 C．运行在各个主机上的防火墙可由用户定制 D．所有主机上都实施了常用的软件安全组件 D 39.以下哪一项安全机制提供了限制执行特权活动的最佳方法？ A.生物识别访问控制 B.基于角色的访问控制 C.应用加固 D.联合身份管理

40.SSO不仅仅用于Web应用程序，它可用于任何类型的应用程序，只要有安全地传送身份信息的协议。这种通信方式的开放标准是: A.基于TLS的HTTP (HTTPS) B.标准通用标记语言 (SGML) C.安全断言标记语言 (SAML) D.可扩展标记语言 (XML) 41.识别数据泄漏的最大挑战是： A.对相关疑问的理解依赖于法律执行 B.高级管理层在调查可疑行为时的配合 C.文档化的资产分级策略和清晰地为资产赋予标签 D.对用户活动进行监控的可用技术工具 C 42.以下哪项最容易导致web应用相关的安全事件： A.第三方应用和变更控制 B.系统不兼容和补丁管理 C.不恰当的压力测试和应用接口 D.系统管理和操作系统 A 43.传输模式下的封装安全载荷(ESP)的作用是？ A.加密和可选择验证整个IP包 B.加密和可选择验证IP头部，而不是IP载荷 C.加密和可选择验证IP载荷，而不是IP头部 D.验证IP载荷及选择的部分IP头部 44.EAP-TTLS和EAP-TLS的主要区别是，EAP-TTLS： A.使用了Kerberos验证 B.只要求服务器端的数字证书 C.只要求客户端的数字证书 D.服务器端和客户端都需要数字证书 45.使用明文发送凭证的验证方法是： A.PAP口令验证协议 B.CHAP挑战握手身份验证协议 C.PEAP 保护的可扩展验证协议 D.EAP-TLS 可扩展验证协议-传输层安全 A 46.能用于创建数字签名的算法是？ A.DES B.DSA C.Diffie-Hellman D.IDEA B 47.渗透测试“枚举”之后是哪个阶段： A.发现 B.侦查 C.漏洞勘探 D.漏洞利用 C 48.关系型数据库管理系统，实现参照完整性主要依赖于对以下哪一项的约束？ A.主键 B.外键 C.候选键 D.Null 空值 B 49.为了防止因网络钓鱼而造成的非授权访问银行网银系统，最应该做的是什么? A.强身份验证 B.使用数字证书 C.安全意识培训 D.落实安全基线 C 50.L2TP隧道协议使用了何种加密？ A.MPPE B.RC4 C.IDEA D.L2TP不提供任何加密功能 D

51.关于测试，以下哪项风险最大？ A.在运行环境中测试 B.使用大量异常数据测试，导致系统崩溃 C.没能有效测试出程序中隐含的后门 D.在测试环境里用精确复制的生产数据

52.威胁建模STRIDE模型中的R代表了哪种威胁？ A.Reuse 重用 B.Revoke 注销 C.Replay 重放 D.Repudiation 抵赖 D 53.51％攻击针对的是： A.数字证书 B.消息验证码 C.数字签名 D.区块链网络 D 54.如何最好地利用从业务连续性培训和实际恢复事件中吸取的经验教训？ A.作为政策需求的指标 B.作为改进的手段 C.作为提高认识和培训的备选方案 D.作为业务功能差距指标 B 55.应用程序升级将随机生成的会话密钥替换为与后端服务器通信的基于证书的加密，其最大好处是什么？ A.效率 B.机密性 C.隐私 D.不可抵赖性 D

56.安全操作中心(SOC)在服务器上接收到事件响应通知，有一个活跃的入侵者设下了后门。已发送初始通知。在执行下一步之前，必须考虑或评估什么？ A.确定谁是事件的执行者比事件如何发生更重要 B.在散列服务器硬盘内容之前，必须通知执法部门 C.将硬盘上的内容复制到其他存储设备可能会损坏证据 D.从网络中移除服务器可能会妨碍抓获入侵者 57.安全策略和安全程序之间的主要区别是什么？ A．政策被用来强制执行违规行为，而程序会产生惩罚 B．政策指向指南，程序更具契约性 C．政策包括在意识培训中，程序提供指导 D．策略本质上是通用的，过程包含操作细节

58.以下哪一个模型基于完整性级别的晶格(lattice)？ A．Bell-LaPadula模型 B．Biba模型 C．取-予模型 D．Harrison-Ruzzo模型 B 59.检测编程语言中最常见的不正确初始化问题的最佳方法是什么？ A．通过确保任何数字输入在预期范围内，对任何数字输入执行输入验证 B．使用数据流分析来最小化误报的数量 C．使用并指定强字符编码 D．使用自动静态分析工具 60.通常情况下风险评估的执行间隔是多久？ A．持续执行 B．各个业务流程和子流程每年一次 C．关键业务流程每三至六个月一次 D．每年一次或出现重大变更时执行 61.以下哪一项能定期保存应用程序的状态和用户的信息。如果应用程序出现小故障，它拥有的必要的工具会帮助用户重回工作环境而不丢失数据？ A.Disk mirroring 磁盘镜像 B.Check point 检查点 C.Data dictionary 数据字典 D.Gold master 母盘 62.组织需要一个外包服务商，为满足合规要求，应该要做： A. 尽职关注 B. 尽职勤勉 C. 第三方托管 D. 独立审计 63.一个小型销售机构，一个中心多个分支，中央主服务器每小时接收从分支主服务器过来的数据，一个团队负责DRP，因灾难原因，一个或多个分支服务器和中央主服务器被损坏，哪种数据恢复方式最好？ A. 主冗余服务器放在异地 B. 中央主服务器数据存储到磁带，存放于异地 C. 分支服务器数据存储到磁带，存放于异地 D. 分支服务器和中央主服务器实现集群 64.关于(ISC)2道德，以下哪个做法是不道德的： A.获得证书后，为熟识的申请人背书 B.应聘面试时，向面试官出示过期的证书 C.考试时记住了一些考题，回到家中翻书对答案 D.证书已过期，在邮件签名栏仍然使用CISSP标识 D 65.数据分级的第一步是: A. 生成数据字典 B. 数据估值 C. 识别数据所有者 D. 风险评估

66.一单位弱电间和保洁公用，机架上用不同颜色标识了线缆用途，也没有配备UPS，问应该怎么做: A. 申请弱电间专用 B. 申购UPS C. 与保洁员签订保密协议 D. 风险评估 D 67.工控系统漏洞不能及时修复的原因: A. 一些纠正型的修复程序会影响其性能 B. 因为厂家无法测试修复程序的可靠性 C. 工控设备非常可靠，即使不修复补丁也能正常运行 D. 企业对于工控补丁测试所需要的资源无法做出承诺 D 68.验证头协议 (AH) 不能提供： A．数据完整性 B．数据机密性 C．数据源验证 D．免受重放攻击的保护 B 69.哪种是交互的验证： A．锁定功能 B．密码重置 C．口令短语 D．图形验证码 D 70.以下哪一项关于SDN软件定义网络的描述是错误的 A. OpenFlow协议是构建SDN解决方案的基础元素 B. SDN技术能够有效降低设备负载，协助网络运营商更好地控制基础设施，降低整体运营成本 C. SDN将络设备的控制面与数据面耦合，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能 D. SDN是一种动态、可管理、经济高效且适应性强的体系结构，非常适合应用的高带宽、动态需求 C 71.以下哪种数据中心服务于企业公司并提供以下服务： ·每年 99.995% 的正常运行时间 ·2N+1 完全冗余的基础架构 ·96小时断电保护 ·每年 26.3 分钟的停机时间。 A. Tier 1 data center B. Tier 2 data center C. Tier 3 data center D. Tier 4 data center D

72.根据欧盟的通用数据保护条例 (GDPR)，如果发生个人数据泄露，以下哪些类型的信息不需要通知监管机构？ A. 假名化数据。 B. 匿名化数据。 C. 去标识的数据 D. 重新标识的数据 73.基于角色的访问控制 (RBAC) 的核心组件必须由定义的数据元素构成。需要哪些元素? A.用户、权限、操作和受保护对象 Users, permissions, operations, and protected objects B.角色、帐户、权限和受保护对象 Roles, accounts, permissions, and protected objects C.用户、角色、操作和受保护对象 Users, roles, operations, and protected objects D.角色、操作、帐户和受保护对象 Roles, operations, accounts, and protected objects 74.如果组织需要评估财务报告的内部控制的设计是否有效，则应请求以下哪种服务组织控制 (SOC) 报告类型？ A. SOC 1 类型 1 B. SOC 1 类型 2 C. SOC 2 类型 1 D. SOC 2 类型 2

75.“基于设计的隐私” (缩写为 PbD) 包含旨在确保个人数据隐私，同时让用户更好地控制他们的个人信息的7项原则。以下哪一项不是其中之一？ A.主动而非被动，预防而非补救 B.嵌入风险管理的隐私保护 C. 完整的功能 — 正和，而不是零和 D. 可见性和透明度 — 保持开放 B 76.以下哪一项不属于 软件定义边界 (SDP) 的ABCD基本原则之一： A不假设任何事 (Assume nothing) B不相信任何人 (Believe nobody) C检查所有内容 (Check everything) D默认拒绝 (Default Deny) D

77.以下哪项是对数据保密性的最大风险？ A. 未实施网络冗余 B. 安全意识培训未完成 C. 生成的备份磁带未加密 D. 用户具有管理员权限 78.以下哪一项是开发信息安全管理体系时的首要考虑因素？ A. 确定相关的立法和监管合规要求 B. 了解信息资产的价值 C. 确定管理层可以容忍的残余风险水平 D. 确定适用于组织的合同安全义务 79.以下哪种灭火方法对环境友好且适合数据中心？ A. 惰性气体灭火系统 B. 哈龙气体灭火系统 C. 干管式洒水器 D. 湿管式洒水器 80.一段插入软件以触发恶意功能的代码，这是以下哪一项的定义？ A. 网络钓鱼 B. Salami攻击 C. 后门 D. 逻辑炸弹 D 81.建立记录保留计划(program)所需的第一步是什么？ A. 根据敏感性对记录进行分级 B. 识别和清点所有记录存储位置 C. 识别和清点所有记录 D. 起草记录保留政策

82.一个组织正在考虑将应用程序和数据外包给云服务提供商 (CSP)。以下哪一项是关于隐私的最重要的问题？ A. CSP 确定数据重要程度 B. CSP 提供端到端的加密服务 C. CSP 的隐私政策可能由组织制定 D. CSP 可能不受组织所在国家/地区法律的约束 D 83.在实现以下哪项的过程中，私钥和公钥的使用至关重要？ A.Diffie-Hellman算法 B.安全套接字层 (SSL) C.高级加密标准 (AES) D.信息摘要5 (MD5) B 84.要识别系统攻击，必须具备以下哪项条件？ A.状态防火墙 B.分布式防病毒 C.日志分析 D.被动蜜罐 C 85.如果组织未能履行尽职调查，缺少以下哪项选项可能会对组织的声誉、收入造成负面影响，并导致法律诉讼？ A.威胁建模方法 B.服务水平要求 (SLR) C.服务水平协议 (SLA) D.第三方风险管理 D 86.以下哪种模型使用唯一冲突类中包含的唯一组？ A. 中国墙 Chinese Wall B. 贝尔·拉帕杜拉 Bell-LaPadula C. 克拉克·威尔逊 Clark-Wilson D. 比巴 Biba A 87.实施数字签名时存在以下哪项威胁？ A. 欺骗Spoofing B. 替代 Substitution C. 窃听 Eavesdropping D. 内容篡改 Content tampering C 88.对 syslog 服务器的拒绝服务 (DoS) 攻击利用了以下哪些协议的弱点？ A. 点对点协议 (PPP) 和互联网控制消息协议 (ICMP) B. 传输控制协议 (TCP) 和用户数据报协议 (UDP) C. 地址解析协议 (ARP) 和反向地址解析协议 (RARP) D. 传输层安全 (TLS) 和安全套接字层 (SSL) B

89.以下哪一项是隐蔽安全测试的特征？ A. 比公开测试带来的风险更小 B. 专注于识别漏洞 C. 测试和验证组织中的所有安全控制 D. 测试员工对组织安全政策的了解和实施情况

90.哪种访问控制方案使用细粒度规则来指定授予对每个数据项或应用程序的访问权限的条件？ A. 强制访问控制 (MAC) B. 自主访问控制 (DAC) C. 基于角色的访问控制 (RBAC) D. 基于属性的访问控制 (ABAC) D 91.关于COTS(Commercial-Off-The-Shelf)商用现成品或技术，以下哪一项是正确的描述： A.可以采购到的具有开放式标准定义的接口的软件或硬件产品，可以节省成本和时间。 B.供应商提供的现成的商业软件，用于可用性较高的工业控制环境 C.供应商根据企业的具体情况，具体要求而定制开发的软件。 D.美国国防采办项目要求必须使用国防部颁布的军用标准与军用规范。 A 92.一种安全技术，它构建或链接到应用程序或应用程序运行时环境中，能够控制应用程序的执行、检测和防止实时攻击。这指的是以下哪一项？ A. 静态应用程序安全测试 SAST (Static Application Security Testing) B. 动态应用程序安全测试 DAST (Dynamic Application Security Testing) C. 交互式应用程序安全测试 IAST (Interactive Application Security Testing) D. 运行时应用程序安全保护RASP (Runtime application self-protection) D

93.TLS用来实现在不可信的网络上安全传输的协议。下面哪项最好的描述了在TLS连接建立流程上发生的情况？ A. 服务器创建会话密钥，并用客户公钥进行加密； B. 服务器创建会话密钥，并用服务器私钥进行加密； C. 客户端创建会话密钥，并用客户端私钥进行加密； D. 客户端创建会话密钥，并用服务器公钥进行加密； 94.一个大型组织使用唯一的身份标识，并要求他们在每次系统会话的开始时使用。应用程序访问是基于工作职责的分类。该组织定期对访问控制和违规进行独立的审核。该组织使用了有线和无线网络，以及远程访问。该组织还使用了到分支机构的安全连接，以及针对某些选择的信息和流程实施安全的备份和恢复策略。 按照最佳实践，在实施恢复策略时，下面哪个是选择备用站点最重要的考虑因素： A. 备用站点需要具备和主站点相同的处理能力 B. 在各分支机构间实现互惠协议以降低成本 C. 充分利用已有的网络安全连接，确保备用站点的网络可用性 D. 备用站点和主站点要间隔足够的距离以避免受到相同灾难的影响 95.RAID系统的不同级别控制不同类型的容错活动。哪一个级别是块级的奇偶校验？ A. RAID 0 B. RAID 3 C. RAID 5 D. RAID 10 C 96.有一些攻击可以用来攻击智能卡。下面哪个不是旁路攻击？ A. 差分功率分析 Differential power analysis B. 简单功耗分析 Simple power analysis C. 微探测分析 Microprobing analysis D. 时序分析Timing analysis C

97.以下哪项最有助于减少数据库中重复和不一致的数据？ A. 多态性 B. 范式化 C. 实施数据库视图 D. 去范式化 B 98.关系型数据库中元组(tuple)由主键值唯一确定，指的是？ A. 并发完整性 Concurrent integrity B. 参照完整性 Referential integrity C. 实体完整性 Entity integrity D. 语义完整性 Semantic integrity C

99.下面哪项关于引用监控器和安全内核的关系的描述是正确的？ A.引用监控器是可信计算基 (TCB) 的核心，由安全内核组成 B.引用监控器实现和增强了安全内核 C.安全内核也叫抽象机，实现了引用监控器的概念 D.安全内核实现和执行了引用监控器

100.下面哪种标记语言允许公司之间传递服务请求，接受公司为这些服务开通访问授权。 A. XML 可扩展标记语言 B. SPML 服务配置标记语言 C. SGML 标准通用标记语言 D. HTML 超文本标记语言 B 101.公司的软件开发流程已经文档化, 并且组织已经能够制定自己的软件流程的标准。这达到了CMMI软件成熟度集成模型哪一级？ A. 初始级 Initial B. 可重复级Repeatable C. 已定义级 Defined D. 可管理级Managed C 102.下面哪个不是VoIP的优点？ A. Cost 成本 B. Convergence 聚合 C. Flexibility 灵活性 D. Security 安全 D

103.以下哪项是业务连续性计划的最重要目标？ A.支持组织恢复关键业务功能 B.满足监管合规要求 C.使得组织可以确保业务的生存 D.支持组织保护生命并确保安全 104.下面哪项用于是向管理层提供的最重要的材料，用于获取他们对业务连续性计划(BCP)的支持？ A. 业务论证 Business case B. 业务影响分析 Business impact analysis C. 风险分析 Risk analysis D. 威胁报告 Threat report 105.使用联机事务处理OLTP时，以下哪一项描述了ACID原则中的原子性？ A.建立数据库安全策略中所规定的完整性规则 B.数据库作为一个单元来执行事务，而不会中断 C.确保回滚不会发生 D.防止同时进行的事务进程之间的相互干扰 B 106.当内核或者介质出现意外故障，而常规的恢复程序不能使系统恢复到一个更为稳定的状态时，需要管理员介入做下面哪一项工作？ A. 紧急系统重启 B. 可信恢复 C. 系统冷启动 D. 系统重启

107.当接到一个涉嫌犯罪的事情报告，事件响应团队应当首先采取的措施是？ A.建立这个事件的响应程序 B.召集取证专家 C.通知高级管理层 D.判断是否真的发生了犯罪活动 D 108.攻击者诱导受害者打开一个用恶意脚本的编程的URL链接以偷取敏感信息，这是哪种跨站攻击 (XSS) ？ A. 永久跨站型 B. 反射型 C. 存储型 D. DOM基于文件对象模型 B 109.公司需要选择一个新的机房地址，下面哪项在选择地址时不是一个重要的考虑因素？ A. 距离警察局和消防局的距离 B. 照明 C. 自然灾害 D. 犯罪率 B 110.咖啡店的墙上挂了一幅值钱的画，需要安装一个入侵检测系统保护这幅画，应该选下面哪种？ A. 声音探测系统 B. 邻近探测器 C. 光电系统 D. 振动传感器 B 111.以面哪个正确的描述了身份管理流程中的联合身份？ A.按照角色分配权限，不同的角色可拥有不同权限 B.由域名定义的一种身份，可以跨越业务边界使用 C.一种可移植的身份，能够跨越业务边界使用 D.在内部网络虚拟目录和身份存储中使用的一种身份 C

112.以下哪一项被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度： A．CC B．CVE C．CVSS D．BSIMM C 113.工控系统软件没有及时更新的最常见原因： A．工控系统软件的更新需要供应商提供支持, 而供应商缺乏due diligence B．工控系统很少停机，软件更新困难 C．工控系统是相对封闭的环境，不依赖通过更新软件来提升安全 D．工控系统在设计时就考虑了相对全面的安全要求，不需要频繁更新

114.准则(guideline)和 规程(procedure)的特点是： A．准则(guideline)是灵活的，规程(procedure)是特定的,具体的 B．准则(guideline)是强制的，规程(procedure)是灵活的 C．准则(guideline)特定的,具体的，规程(procedure)是灵活的 D．准则(guideline)是一致的，规程(procedure)是不一致的 A 115.想了解一段时间内运营安全和隐私的控制是否有效运行，应该看哪种SOC报告？ A．SOC1，type1 B．SOC1，type2 C．SOC2，type1 D．SOC2，type2 D 116.IDC 机房空调等环境形成的“正气压”指什么？ A．IDC机房内的气流通过门缝跑出去 B．外边的气流想通过门缝跑进IDC机房 C．IDC 机房内的气压维持在一个恒定的值 D．IDC 机房内的空气清洁度达到预定指标 A 117.什么是唯一针对 语音电话的攻击？ A. phishing B. vishing C. whaling 捕鲸 D. spear phishing 鱼叉式钓鱼 B 118.哪种攻击看上去是合理的请求，利用了简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的这一用户身份验证的漏洞。 A．XSS 跨站脚本攻击 B．CSRF 跨站请求伪造 C．SQL注入攻击 D．生日攻击 B

119.以下哪一项符合基于上下文的访问控制： A．是内容相关的访问控制 B．访问决定基于连接状态 C．访问决定基于数据敏感度 D．访问决定基于规则分析 120.对实物资产最好的保护措施是： A．实施门禁系统 B．安排保安 C．上锁 D．纵深防御 D 121.数据报文(datagram)的源地址和目的地址是体现在OSI的哪一层： A．数据链路层 B．MAC子层 C．网络层 D．传输层 122.GRC(治理、风险、合规)的最后一道防线是： A．董事会评审 B．审计 C．持续监控 D．合规报告 123.如果企业想实施安全改进计划，第一步应该做的是： A．执行业务影响分析 B．进行安全评估 C．执行合规审计 D．修改安全策略 B 124.以下哪一项能够代替防病毒软件： A．蜜罐 B．沙箱 C．防火墙 D．入侵检测和防御系统 D 125.渗透测试信息搜集阶段会使用到以下那个命令： A.dig B.ipconfig C.ifconfig D.nbtstat

126.CC评估级别中的 EAL1，EAL2，EAL3 分别对应： A．功能测试，结构测试，半正式的设计和测试， B．结构测试, 功能测试，半正式的设计和测试， C．功能测试，结构测试，系统地测试和检查， D．结构测试, 功能测试，系统地测试和检查， C 127.RBAC支持的三个安全原则: A．最小权限、知所必须、责任分离 B．最小权限、知所必须、数据抽象 C．最小权限、责任分离、数据抽象 D．知所必须、责任分离、数据抽象 C 128.保护丢失的智能手机数据不被窃取最有效方法： A．加密 B．远程擦除 C．双因素验证 D．备份 A

129.外购应用程序可能存在的最大问题： A．软件许可很贵 B．拿不到源代码 C．应用漏洞很严重 D．和公司安全策略不符 130.代码签名针对应用程序的： A. 可用性 B. 机密性 C. 完整性 D. 不可否认性 131.与安全审查周期相关的审计的主要目的是什么? A. 确保组织的控制和政策按预期运行 B. 确保该组织仍然可以公开交易 C. 确保组织的执行团队不会被起诉 D. 确保组织满足合同要求 A 132.以下哪一项是实施基于角色的访问控制 (RBAC) 系统的最大好处？ A. 使用轻量级目录访问协议 (LDAP) 进行集成 B. 基于表单的用户注册(registration)流程 C. 与组织人力资源 (HR) 系统的整合 D. 一个相当简单的配置(provisioning)过程

133.结构化查询语言 (SQL) 通过以下哪种命令实现自主访问控制 (DAC) ： A. INSERT and DELETE B. GRANT and REVOKE C. PUBLIC and PRIVATE D. ROLLBACK and TERMINATE B 134.一个组织实施了一种新的备份过程，该过程通过加密存储在备份磁带上的信息来保护机密数据。在实施这一新的备份过程后，以下哪一项是主要的数据保密问题？ A. 备份磁带存放位置 B. 预先存在的备份磁带 C. 磁带备份压缩 D. 磁带备份轮换 B 135. 如果想确保在坏了两个盘的情况下，数据仍然不会丢失，应该使用哪种RAID？ A. RAID 10 B. RAID 2 C. RAID 4 D. RAID 6 D 136.“百年一遇洪泛区”一词对应急准备官员意味着什么？ A. 在任何给定年份，发生洪水的几率是 100 分之一 B. 该地区预计至少 100 年内不会发生洪水 C. 上一次袭击该地区的洪水是 100 多年前 D. 下一次大洪水很有可能在未来 100 年内发生 A 137.风险管理计划旨在将风险降到： A．收益率高于资产当前成本的水平 B．效益超过控制成本的水平 C．残余风险可以忽略的水平 D．组织织愿意接受的水平 D 138.应用程序的设计审查已经完成，可以发布。组织应该使用什么技术来确保应用程序的完整性？ A.设备加密 B.输入验证 C.身份验证 D.数字签名 D 139.为什么系统的关键性分类在大型组织中很重要？ A.它可以更容易地确定所有权，减少对资产状态的混淆。 B.它减少了关键的系统支持工作量，并减少了应用修补程序所需的时间。 C.它提供了安全和维护任务的适当优先顺序和调度 D.它允许与执行管理层进行清晰的系统状态通信。 C 140.对公司员工离职后系统用户的删除情况的及时性进行审计时，以下哪项最能获得有效证据？ A.与HR经理进行面谈，确认及时性 B.与系统管理员进行面谈，确认及时性 C.将离职记录与HR的离职表进行比较 D.将离职记录与系统操作日志进行比较 D 141.分析表明，攻击者通过TLS VPN网关获得了访问网络的权限后侵入了网络。攻击者是在猜出了用户名并使用了暴力破解得到了密码后获得访问权限的。以下哪一项最有助于降低这一风险？ A.在VPN上实施强密码验证 B.将VPN和集中身份存储集成 C.改用IPsec VPN D.使用双因素验证 D 142.轻量目录访问协议 (LDAP) 是以什么样的数据结构来存储数据的？ A.堆栈 B.二维表 C.指针链接 D.树状层次结构 D 143.洋葱路由网络 (Onion routing network) 的主要特点是？ A.匿名通信 B.可追踪 C.高冗余 D.不可抵赖性 A 144.在设计和评估自动取款机ATM的安全时首要考虑的是？ A.定期的维护流程 B.对电子硬件设备的物理访问控制 C.网络连接的高可用性 D.交易处理的延时 B 145.以下哪一项不是进行渗透测试的要求？ A.确定的目的 B.有限的时间段 C.秘密的方法 D.管理层批准 C 146.以下哪种传输介质最不容易遭到窃听？ A.同轴电缆 B.双绞线 C.光纤 D.微波 C

147.处理事件(incident)的基本目标是？ A.恢复受影响系统 B.判断事件发生时能否及时响应 C.需要计算机安全事件影团队评估损害情况 D.允许事件继续进行并沿着线索追溯到事件开始 148.对在网络上传输的数据是否需要加密的判断应该基于： A.传输的数据量 B.传输路径的安全性 C.数据的货币价值 D.数据的机密性级别 D 149.以下哪一项控制最能防止互联网嗅探器(sniffer)进行重放攻击？ A. 正确配置防火墙 B. 数据包过滤路由器 C. 基于哈希的消息验证码 D. 带时间戳的数据加密

150.以下哪一项对应用系统的更新进行定义、测试和实施？ A.回归测试 B.变更控制 C.用户验收测试 D.发布上线控制 B 151.The PRIMARY purpose of accreditation is to 认可的主要目的是？ A.allow senior management to make an informed decision regarding whether to accept the risk of operating the system. 让高层做一个正式的决定，来确认是否接受系统运行的风险 B.verify that all security controls have been implemented properly and are operating in the correct manner. 确认所有的安全控制得到正确的实施，并以正确的方式在运行 C.protect an organization's sensitive data. 保护组织的敏感数据 D.comply with applicable laws and regulations. 满足适用的法律和法规 A 152.Which of the following is a PRIMARY reason to motivate an organization to review its current cryptosystem implementation? 下面哪个是推动组织来评审它目前实施的加密系统的主要原因？ A.The use of Message Digest 5 (MD5) hashing MD5哈希算法的使用 B.A more efficient encryption algorithm is available 为了使用更加高效的加密算法 C.A new Certificate Revocation List (CRL) is available 为了使用一个新的证书撤销列表CRL D.Key strength is no longer safe against brute force attacks 密钥长度在对抗暴力破解攻击时不再安全 D 153.Which of the following is the BEST type of outsourcing agreement? 下面哪个是外包协议的最好的形式？ A.Face-to-face dialogue between chief executive officers 首席执行官之间面对面的对话 B.A Service Level Agreement (SLA) between two organizations 两个组织之间的服务水平协议 (SLA) C.A document that proposes the division of responsibilities between two organizations 两个组织之间的职责分工文档 D.A Business-to-Business (B2B) agreement between two parties 双方之间的B2B协议 B 154.The aggregation problem in database design occurs when 数据库设计时什么情况下会发生聚合问题？ A.an item that is not sensitive by itself but when combined with common knowledge is sensitive. 一个条目本身是不敏感的，但当它与常识相结合时，是敏感的。 B.two or more different items that are not sensitive individually but when combined become sensitive. 两个或更多条目单个本身是不敏感的，但当结合在一起是就变得敏感了 C.two or more instances of the same item that are not sensitive individually but when combined become sensitive. 同一个条目的两个或多个实例是不敏感的，但当结合起来就变得敏感了 D.one instance of the item is classified higher than another instance of the same item. 条目的一个实例比同一个条目的另一个实例的安全级别高 B 155.Given the following: 根据下面 D = Number of devices D=设备数量 T = Time spent fixing each device T=维修每个设备的时间花费 C = Hourly rate for the time spent C=每小时费率 I = Vulnerability impact I=漏洞影响 P = Probability of vulnerability exploitation P=漏洞利用的可能性 Which of the following equations determines the cost of recovery? 下面哪个公式决定了恢复成本 A. D * T * C B. D * P * C C. T * I * P D. T * C * P A 156.封装安全载荷 (ESP) 能提供？ A. 可用性和完整性 B. 完整性和机密性 C. 授权和完整性 D. 授权和机密性 B 157.组织是否必须向监管部门报告所有数据违规？ A. 组织的道德规范不一定要求必须报告 B. 只有产生重要影响的违规才需要报告 C. 不同的司法管辖有不同的要求 D. 如果数据是加密的，就不需要报告 C 158.临时密钥完整性协议(TKIP) 用于解决以下哪一项的不足？ A. WEP有线等效保密 B. PKI公钥基础设施 C. VPN虚拟专用网络 D. Kerberos 认证协议 A 159.使用安全验证和日志能够提供？ A. 职责分离 B. 可问责 C. 独立审计 D. 数据完整性 B 160.基于角色的访问控制 (RBAC) 的重要特征是： A．依赖于岗位轮换 B．简化了访问权限管理 C．需要双因素验证 D．支持强制访问控制 (MAC) B

1.以下哪一项是特权用户身份生命周期管理的重要措施？ A.基于多因素验证的账号访问管理 B.定期进行账号重新核验和审批 C.需要主管或部门经理提供账号信息 D.经常性地对账号日志进行审查

2.应对垃圾搜寻攻击的最有效措施是？ A.购买碎纸机器 B.垃圾箱加锁 C.安全意识培训 D.安装闭路电视监控系统CCTV 3.文件传输协议FTP的安全漏洞是？ A.允许匿名登录 B.传输命令允许使用通配符 C.验证过程没有加密 D.使用了UDP传输端口 4.以下哪一个因素会影响数据分级？ A．定义敏感标签 B．不同的数据提取方法 C．时间的流逝 D．访问数据的频率

5.使用通用漏洞评价体系CVSS进行代码评审时的主要问题是？ A.需要使用大量表格进行计算 B.需要预先定义有效的风险管理框架 C.漏洞评级的分级指标过于复杂 D.只能计算已公布的漏洞的风险 6.在制定信息安全方针时，方针应该是充分的、必要的，以及： A.可达成的 B.灵活的 C.强制的 D.可优化的

7.通信网络中端到端加密的特点是？ A．仅加密用户信息，不加密数据包头部、尾部、地址和路由信息 B．加密所有信息，包括用户信息、数据包头部、尾部、地址和路由信息 C．加密发生在数据链路层和物理层 D．加密发生在网络层 8.在环境温度发生变化的场所使用被动红外传感器时，应该？ A.提升被检测目标的温度，以区别背景温度 B.降低被检测目标的温度，以区别背景温度 C.不需要调整背景温度，被检测目标的温度和背景温度没有关系 D.在背景温度发生变化时，能够自动调整，补偿背景温度变化 9.以下哪一项是在进行安全测试和评估(ST&E)时对需求进行的正确分类？ A.观察、访谈、研讨 B.战略、战术、财务 C.标准、策略、步骤 D.管理、操作、技术 10.生日攻击针对的是下列哪一项？ A.分组密码 B.流密码 C.加密哈希 D.公钥基础设施PKI 11.使用双因素认证、服务器加固、采用IPsec VPN保护数据传输过程、进行日志审计，属于： A.保护数据完整性 B.保护数据机密性 C.保护数据可用性 D.纵深防御 12.以下哪一项是保护移动系统免受恶意代码攻击的有效对策? A.VPN B.沙箱 C.内存保护 D.数字证书 13.用于了解系统脆弱性的评估指标是？ A.识别系统中的安全缺陷数量 B.定量分析系统受到的威胁数量 C.攻击面分析得出的系统可用性指标 D.系统发生故障后的损失程度 14.发现交易系统的交易金额超过了预先设置的上限，触发SCARF (系统审计复核文件) 记录。这属于哪种控制？ A.预防性控制 B.检测性控制 C.纠正性控制 D.补偿性控制 15.版权保护的是？ A.新的发明 B.文学作品所表达的思想 C.思想的具体表述 D.发现的科学现象 16.以下哪一项是网络入侵检测技术: A.端口扫描 B.网络欺骗 C.统计异常 D.协议分析 17.安全经理在组织的网络中发现了基于客户端的攻击。以下哪一项是组织制定计划降低基于客户端的攻击的最佳理由？ A.客户端的加固比服务器端的加固更容易 B.客户端的特权管理比服务器端的特权管理更薄弱 C.客户端的攻击比服务器端的攻击更常见且更易实施 D.客户端的攻击会造成更大的财务损失 18.内核或者介质出现意外故障而常规的恢复程序不能使系统恢复到一个更为稳定的状态时，发生的启动为： A.紧急系统重启 B.可信恢复 C.冷启动 D.旁路重启

19.安全经理评估采购的新系统时发现，在系统规格说明书中有一些安全因素没有被考虑到。这最有可能是因为？ A.安全需求的描述不够充分 B.供应商招标团队中缺乏安全专家 C.采购人员缺乏技术知识 D.采购过程中安全需求发生了变化

20.以下哪一项包含的是针对口令的攻击？ A.暴力破解、动态口令、生物特征重放 B.色拉米、SYN洪泛攻击、死亡之ping C.字典攻击、钓鱼、键盘记录 D.彩虹表、泪滴攻击、战争拨号 21.一家公司需要让其众多员工能够在自己家中通过电脑访问公司的资源，以下哪一项以易于部署和较小的维护成本提供了安全保障？ A.使用IPsec VPN B.使用TLS VPN C.使用基于PKI的数字证书 D.使用SESAME双向身份认证系统 22.组织进行道德意识灌输以及实施相关方针。这样做的主要原因是应为这会影响？ A.员工的保留率 B.员工的士气 C.组织的声誉 D.组织的工作流程 23.在应用开发过程中的SwA(software assurance软件保障)用于？ A.防止产生易受攻击的软件 B.鼓励开发开源软件 C.有助于生成可信计算基(TCB)系统 D.有助于生成高可用性的系统 24.企业数据保护策略中定义的数据保留期限根据的是？ A.业务规程 B.应用停用 C.法规合规 D.数字证书到期 25.应对SQL注入攻击的有效手段是？ A.加密web服务器的流量 B.实施服务器端过滤 C.在边界防火墙过滤传出流量 D.加密服务器间通 26.配置域名服务系统(DNS)的一项重要安全实践是？ A.禁用所有在域名服务器上的递归查询 B.仅限区域传送到被授权的设备 C.阻止所有TCP连接 D.配置备用服务器作为主服务器的区域传送者 27.基于最佳实践，以下哪一项是进行信息安全合规审计的最佳人选？ A.灾难恢复小组 B.安全管理员 C.系统管理员 D.外部顾问

28.需要刷感应卡才能进入某个办公区域，这属于哪种控制？ A.物理控制 B.技术控制 C.行政控制 D.流程控制 29.在一家金融机构，谁对信息的分级负责？ A.首席信息官CIO B.首席财务官CFO C.信息的所有者 D.各部门领导 30.以下哪一项是对RTO恢复时间目标的恰当描述？ A.灾难发生后恢复数据的时间 B.灾难发生后恢复应用的时间 C.灾难发生后验证数据的时间 D.灾难发生后验证应用的时间 31.在DRP恢复过程中，备用站点关键系统的服务性能只有主站点的一半，但团队仍然通知管理层已恢复了关键系统。这是因为团队已经实现了： A.RPO 恢复点目标 B.RTO恢复时间目标 C.SDO服务交付目标 D.MTD可承受的最长中断时间 32.以下哪一项是目录服务在TCP/IP上的实现？ A.X.500 B.X.509 C.目录访问协议 DAP D.轻量目录访问协议 LDAP 33.以下哪一项在云计算环境下更难控制？ A.数据备份 B.数据恢复 C.数据处置 D.数据访问 34.遵循支付卡行业数据安全标准(PCI DSS)的组织在与其服务供应商共享持卡人信息时必须？ A.定期验证服务提供商遵循PCI DSS 合规的状态 B.对服务提供商进行年度PCI DSS评估 C.确保服务提供商按照PCI DSS要求更新和测试DRP D.验证服务供应商的安全策略和企业的安全策略保持一致

35.此图展示的是哪种RAID ？ A.RAID 1 B.RAID 0 C.RAID 10 D.RAID 01

36.嵌入式系统在没有采取恰当的信号保护的情况下最容易遭到以下哪种攻击？ A.拒绝服务攻击 B.篡改 C.暴力破解 D.信息泄漏

37.恢复点目标RPO可用于确定以下哪一项？ A.恢复备份的时间 B.可承受的最长数据丢失时间 C.可承受的最长停机时间 D.运营恢复能力的基准指标 38.以下哪一项加密保护了在网络中传输的敏感数据？ A.点对点协议 B.验证头部 C.载荷加密 D.加密哈希 39.有人值守的机房，灭火用？ A.惰性气体 B.二氧化碳 C.干管 D.湿管 40.关系型数据库，范式化程度越高，则： A.冗余度越高 B.检索速度越快 C.完整性越好 D.机密性越好

41.WRT (工作恢复时间) 这段时间内的工作内容最有可能涉及以下哪份文档？ A.COOP持续运营计划 B.DRP 灾难恢复计划 C.BRP 业务恢复计划 D.OEP 场所应急计划

42.PKI在什么情况下产⽣交叉数字证书? A.当CA需要获得根CA认证时 B.当CA需要认证RA时 C.当CA之间需要互相认证时 D.当数字证书在CA之间进⾏传输时 43.DRP测试中，停用主站点业务，将生产切换到备用站点运行的测试是： A.并行测试 B.全面测试 C.模拟测试 D.准备情况测试 44.在关键Web服务器中发现重大安全漏洞时，应该立即通知： A.系统所有者以采取改正行动 B.事故应对团队以进行调查 C.数据所有者以降低损害 D.Web应用开发团队以进行补救 45.为了给客户提供更快的查询，数据库管理员删除了引用完整性，以下哪项能够弥补删除引用完整性所带来的问题? A.定期检查表的链接 B.定于语义完整性约束规则 C.更加频繁的备份数据 D.对数据库实施性能监控 46.一家公司扣押了一个涉嫌欺诈的移动设备。取证人员使用什么方法将通电设备与网络隔离并保存证据？ A.取出SIM卡 B.将设备置于飞行模式 C.暂停在电信提供商的帐户 D.关闭设备

47.以下哪一项是评估组织漏洞管理计划有效性的最佳方法？ A.检查自动补丁部署报告 B.定期第三方脆弱性评估 C.由安全小组进行漏洞扫描 D.自动漏洞扫描

48.何时必须审查组织的信息安全战略计划？ A.主要应用发生重大变化时 B.业务发生重大变化时 C.每季度，当组织的战略计划更新时 D 每三年更新一次组织的战略计划 49.介质Marking和Labeling有什么区别？ A.Labeling指公共政策/法律要求的安全属性，Marking指组织内部政策要求的安全属性 B.Marking指公共政策/法律要求的安全属性，Labeling指组织内部策略要求的安全属性 C.Labeling指使用人类可读的安全属性，Marking指在内部数据结构中使用安全属性 D.Marking指使用人类可读的安全属性，Labeling指在内部数据结构中使用安全属性 50.使用原始轻量目录访问协议 (LDAP) 进行身份验证时，以下哪项是最大的弱点？ A.服务器响应中不包括授权 B.在网络上传递未添加盐的哈希 C.身份验证会话可以被重放 D.密码以明文形式传递 51.在确定谁可以接受与漏洞相关的风险时，以下哪项最重要？ A.信息所有权 B.对策有效性 C.潜在损失类型 D.事故可能性 52.以下哪种机制可以防止跨站请求伪造 (CSRF) 攻击？ A．参数化数据库查询 B．白名单输入值 C．同步会话令牌 D．使用强加密 53.基于行为的入侵检测系统，如果报警阈值设置得过高容易导致： A．无法应对零日攻击 B．无法阻断已识别出的攻击 C．误报 D．漏报 54.关于KryptoKnight以下哪项描述是不正确的： A．是提供SSO单点登录、身份验证和密钥分发服务的系统 B．依赖于一个知道所有主体/客体密钥的可信KDC来管理密钥和密钥分发 C．KDC和需要认证服务的主体/客体使用当前时间, 依赖时钟同步 D. KDC和需要认证服务的主体/客体在结构上是Peer-to-Peer(对等)的 55.RBAC访问控制模型重点关注的是： A．标识 identification B．验证 authentication C．授权 authorization D．问责 accountability 56.某企业最近研发出一种可带来重大竞争优势的突破性技术。以下哪一项最先用于指导企业内部如何保护此信息？ A.加密标准 B.访问控制政策 C.数据分类政策 D.可接受使用政策 57.以下哪一项能最有效降低字典攻击的风险？ A.实施密码历史记录 B.加密访问控制列表 C.使用密码短语 D.使用硬件令牌

58.以下哪一项不是敏捷开发中通常定义的角色？ A．产品经理 B．项目经理 C．敏捷教练 D．开发团队 59.当数据泄漏源是包含敏感文档的未标记文件柜时，以下哪项最有可能导致非恶意数据泄漏？ A．无效的数据分类 B．缺乏数据访问控制 C．身份管理控制无效 D．缺少DLP数据防泄漏工具 60.以下哪一项是政策未充分确定数据和系统所有权会导致的最大风险？ A．可能导致审计建议无法实施 B．导致无法建立明确的用户问责 C．可能无法进行有效的用户管理协调 D．未授权用户可能获得访问、修改或删除数据的权限 61.以下哪一项最能有效缓解控制风险？ A．持续监控 B．有效的安全意识计划 C．有效的变更管理程序 D．高级管理层支持控制实施 62.安全评估可以获取到的最高级别文档是： A．操作手册 B．政策 C．标准 D．指南 63.员工被辞退第一步干什么 A. 清除系统和应用访问权限 B. 监离公司 C. 退还公司财产 D. 收回物理访问权限

64.在一份漏洞评估报告中，以下哪一个是最常见的风险最大的问题 A. 发现开放了tcp 443端口 B. 使用没有许可证的软件 C. 使用已经不再维护的操作系统 D．防火墙的默认规则为拒绝 65.如果企业要把联合身份扩展到云目录，需要什么 A. 共享安全 B. 安全令牌 C. 同步工具 D. 通知工具

66.一个中心多个分支部署软件，安全管理员把消息摘要从签名里分离出来是为了什么 A. 对抗生日攻击. B. 应该给用户原始的源代码 C. 应确保给用户安装的代码跟开发的源版本一致 D. 获得授权的用户才能进行数字签名 67.什么是疏散总时间？ A. 发出火警，到火警解除 B. 激活BCP，到备用站点准备就绪 C. 发出集结指令到全部到达指定位置 D. 向高层汇报，到发出集结指令 68.封装安全载荷协议 (ESP) 不能提供 A．机密性 B．完整性 C．数据源验证 D．抗抵赖 69.对已关机的计算机，取证时最好的处理方式是： A．把相关文件复制到备份盘 B．重新开机，用专用取证工具取证 C．把硬盘拆除后带走 D．把计算机搬到实验室 70.在消防演习中，指定的门按计划旋转打开，以便员工更快地离开大楼。观察员注意到，此做法可让未授权人员进入公司而不被发现。改变此流程的最佳方式是： A．发生火灾时限制指定的门自动打开 B．发生火灾时将指定的门设置成fail-secure C．要求员工离开大楼时出示证章 D．分配专人在警报响起后守门

71.下面是哪种风险分析方法的示例？ A. 定量 Quantitative B. 定性 Qualitative C. 分级 Classification D. 分类 Categorize

72.IDaaS的关键特征是： A． IGA 身份治理和管理 B． 虚拟化 C． 容器化 D． OpenID 73.图形验证码 (CAPTCHA) 能防什么？ A. 击键记录 B. 网络钓鱼 C. DOS D. 恶意软件感染 74.以下哪种措施最可以有效地确认邮件在传输过程中未被修改？ A. 使用对称加密方法加密邮件 B. 用发送者公钥加密邮件哈希值 C. 用接受者公钥加密邮件哈希值 D. 用发送者私钥加密邮件哈希值 75. SSH不提供： A．可用性 B．压缩 C．完整性 D．机密性 76.哪种加密算法可以定义在任何循环群G上，其安全性取决于G上的离散对数难题。 A． RSA B． ECC C． Diffie-Hellman D． ElGamal 77.以下哪种 EAP 基于数字证书进行验证？ A． EAP-MD5 B． EAP-PSK C. EAP-GSS D． EAP-TLS 78.使用OAuth2.0进行验证时，用户为了访问储存在第三方应用中的数据时，需要向第三方应用提供？ A.口令 B.用户名 C.用户名和口令 D.访问令牌 79.选择控制措施需要执行以下哪项分析？ A.可行性分析 B.数据分析 C.成本效益分析 D.业务影响分析 80.802.1X 协议为以下哪一项提供了框架？ A.有线网络和无线网络的网络验证 B.仅无线网络的网络验证 C.使用AES的无线网络加密 D.使用TLS的无线网络加密 81.以下哪一项是对集成的电子邮件加密系统的替代方案： A.以附件的形式对敏感信息进行加密 B.将敏感信息分成多个邮件发送 C.对包含敏感信息的邮件进行数字签名 D.将要发送的敏感信息保存在加密的硬盘分区中 82.以下哪一项属于对系统的紧急变更的要求： A.必须立即实施变更并在系统日志中留下标记 B.必须立即执行变更然后提交给变更控制委员会 C.必须快速进行测试和口头批准 D.必须在下一次变更控制委员会的会议上优先讨论 83.以下哪种灾难恢复计划的测试最有效且风险最小： A.结构化穿行测试 B.模拟测试 C.全面中断测试 D.并行测试 84.PLC (可编程逻辑控制器)与以下哪一项最相关？ A.参考监视器 B.操作系统内核 C.中央处理器CPU D.工业控制系统 85.以下哪个是静态验证协议？ A. RIP B. PPTP C. PAP D. CHAP

86.WEP容易受到哪种攻击： A. 密钥恢复 B. 字典攻击 C. 暴力破解 D. 彩虹表攻击

87.员工和来访人员要在涉密的办公区域工作，以下哪项作为强制控制？ A.由员工去接并带进来 B.禁止带书包 C.不允许在区域内讨论涉密内容 D.员工和来访人员都要出示ID卡 88.威胁建模 是 SDLC中哪个阶段的事 A. 设计 B. 开发 C. 需求分析 D. 实施 89.组织发布员工管理策略文件，上传到企业内网，并定期进行更新。这一做法的安全方面的顾虑是？ A.机密性 B.完整性 C.可用性 D.可问责性 90.对抗社会工程，需要 A. 改变个人行为 B. 评估安全培训 C. 提升员工士气 D. 宣传企业文化

91.以下哪一项评估DRP计划的测试使用了逼真的灾难场景，而且对业务运营的影响很小？ A.穿行测试 B.桌上推演 C.模拟测试 D.并行测试 92.IP源地址欺骗针对的是？ A.ARP地址解析协议 B.RARP 反向地址解析协议 C.基于地址的验证 D.SNMP简单网络管理协议 93.组织缺乏数据保留策略，找谁谈这方面的需求最合适？ A.数据库管理员 B.财务经理 C.隐私官 D.应用经理

94.以下哪项控制在跨网络传输中最能有效检测数据意外损坏？ A.顺序检查 B.校验数位 C.奇偶校验 D.循环冗余校验 95.WPA2使用的主要加密算法是？ A. TKIP临时密钥完整性协议 B. CCMP计数器模式密码块链消息完整码协议 C. RC4加密算法 D. IDEA 加密算法 96.管理评审为以下哪一项提供输入？ A.平衡计分卡 B.审计报告 C.改进计划 D.适用性声明 97.以下哪种解决方案基于 Gartner 定义的四个引擎而构建，分别是：工作流和协作、凭证和案例管理、编排和自动化以及威胁情报管理。 结合采用这些功能可以将人员、流程和技术融合在一起，进而提高 SOC 生产效率、缩短事件响应 (IR) 时间。 A.ISCM, 信息安全持续监控 B.SCARF，系统控制审计符合文件 C.SIEM，安全信息和事件管理 D.SOAR，安全协调、自动化和响应 98.一家由Tier 4 数据中心提供IT服务的公司正在准备全面的业务连续性计划。 IT经理应该关注以下哪些故障？ A. 应用 B. 储存 C. 电源 D. 网络 99.以下哪项关于服务组织控制 (SOC) 报告是正确的？ A. SOC 1 类型 2 报告评估组织控制的安全性、机密性、完整性和可用性 B. SOC 2 类型 2 报告包括服务组织管理层感兴趣的信息 C. SOC 2 类型 2 报告评估财务报告的内部控制 D. SOC 3 类型 2 报告评估财务报告的内部控制

100.同态加密 (homomorphic) 的潜在优势是什么？ A.它完美实现了加密时必要的职责分离。 B.加密信息无需先解密即可进行分析。 C.密文大小随着安全级别的增加而减小。 D.它实现了更高的加密安全性和更快的处理时间。 101.以下哪种技术可以阻止来自内部的横向攻击。通过服务器间的访问控制，阻断勒索病毒在内部网络中的蔓延，降低黑客的攻击面。 A．软件定义边界SDP (Software Defined Perimeter) B．POC概念验证 (Proof of concept) C．微隔离 (Micro Segmentation) D．黑核路由 (Black core routing) 102.以下哪种技术是为保护公共场所人员而提供的最具成本效益的被动控制 (reactive control) 方法？ A. 在建筑物入口处安装捕人陷阱 (mantrap) B. 用聚碳酸酯塑料围住人员进入区域 C. 为暴露于公众的人员提供胁迫报警 D. 聘请警卫保护公共区域 103.知识产权主要与以下哪项有关？ A. 所有者实现经济收益的能力 B. 所有者维护版权的能力 C. 所有者享有其创作的权利 D. 所有者控制交付方式的权利 104.当需要保留信息以供将来检索时，以下哪一项是主要问题？ A. 法律法规可能会在此期间发生变化，因此无需保留信息 B. 保留信息的费用可能使组织难以承受 C. 组织可能会丢失对信息的跟踪并且不能安全地处理它 D. 检索信息所需的技术可能在未来无法使用 105.哪种安全模式最常用于商业环境，因为它可以保护财务和会计数据的完整性？ A. Biba B. Graham-Denning C. Clark-Wilson D. Bell-LaPadula

106.以下哪一项是 (ISC)2 道德规范的内容？ A. 诚信为先，事事精益求精 B. 根据适用法律和最高道德标准执行所有专业活动和职责 C. 为委托人提供勤勉、称职的服务 D. 与他人合作交流知识和思想以实现共同安全 107.以下哪项将传输的原始数据拆散为加密数据包通过多条隧道交叉疏散传递，令攻击者的流量分析难上加难。 A.洋葱路由 B.大蒜路由 C.下水道路由 D.路由聚合

108.Secure Shell (SSH) 版本2协议支持 A. 可用性、责任、压缩和完整性 B. 身份验证、可用性、机密性和完整性 C. 问责制、压缩、机密性和完整性 D. 身份验证、压缩、机密性和完整性 109.以下哪项是转置密码(transposition ciphers)易于识别的原因？ A. 密钥 Key B. 块 Block C. 流 Stream D. 字符 Character 110.组织实施远程访问服务器 (RAS)。一旦用户连接到服务器，就使用数字证书来验证他们的身份。组织在此身份验证期间将使用哪种类型的可扩展身份验证协议 (EAP)？ A. 传输层安全 (TLS) B. 隧道传输层安全 (TTLS) C. 受保护的可扩展身份验证协议 (PEAP) D. 消息摘要5 (MD5) 111.作为应用程序渗透测试过程的一部分，会话劫持可以通过以下哪项最佳方式实现？ A. 已知明文攻击 B. 拒绝服务 (DoS) C. 操控Cookie D. 结构化查询语言 (SQL) 注入

112.了解产生出加密消息的最初语言可能有助于密码破译者(cryptanalyst)执行： A. 已知明文攻击 B. 已知密文攻击 C. 频率分析 D. 随机评估

113.以下哪项技术在测试或运行阶段分析应用程序的运行状态，模拟黑客行为对应用程序进行攻击，分析应用程序的反应，从而确定该Web应用是否易受攻击。 A. 静态应用程序安全测试 SAST (Static Application Security Testing) B. 动态应用程序安全测试 DAST (Dynamic Application Security Testing) C. 交互式应用程序安全测试 IAST (Interactive Application Security Testing) D. 运行时应用程序安全保护RASP (Runtime application self-protection) 114.下面哪种标记语言允许共享应用安全策略，来保证所有的应用程序能遵循同一个安全原则？ A．XML B．GML C．SPML D．XACML 115.以下哪个关于易熔环的自动喷水灭火系统的描述是正确的？ A.当水管内加压的空气压力减少时，干管系统水管将充满水，并直接从喷头喷洒出 B.当水管内加压的空气压力减少时，预作用灭火系统水管将充满水 C.喷淋系统的喷淋头保持打开，能够短时间内喷出大量的水 D.水管内总是充满了水的水管灭火系统 116.XSS跨站脚本攻击中最常见的类型是： A．注入型 XSS B．反射型 XSS C．存储型 XSS D．DOM型 XSS 117.用C语言开发的程序已经对缓冲区溢出攻击进行了有效预防，然而以下哪种情况还可能造成缓冲区溢出攻击： A．在程序中写入了硬凭证 B．在编程中调用了别的库 C．设定了运行的沙箱环境 D．程序中使用了多线程 118.有人值守的机房防火设施应该选： A．湿管 B．预响应式干管 C．泛滥式干管 D．FM200 119.ElGamal算法是： A．流加密 B．分组加密 C．非对称加密 D．哈希算法 120.对移动磁盘数据，使用了下列哪种处理方法后，用常规方法或复杂方法都很难恢复： A．删除 Delete B．净化Sanitizing C．覆写 D．加密 121.手机中数据的保护用什么加密算法比较好： A．RSA B．3DES C．ECC D．AES 122.利用ping 程序中使用的 ICMP 协议的攻击为? A．Fraggle 攻击 B．Smurf 攻击 C．Teardrop 攻击 D．SYN flood 攻击 123.基于 SaaS 的 IAM，提供云环境下的单点登录，便于安全地访问SaaS应用的是： A.沙箱 B.SAML C.IDaaS D.Docker 124.为IPSEC保障机密和完整性的安全机制是： A．AH B．ESP C．IKE D．SA

125.用户大量使用弱密码，应对的最佳安全措施： A．安全意识宣灌 B．明确密码长度要求 C．在系统上实施强口令验证 D．使用SSO单点登录

126.CMM的第2级 和 CMMI的第2级 分别是： A．已定义、已管理 B．已管理、已定义 C．可重复、已管理 D．已管理、可重复 127.公司希望部署IPS拦截网络中的攻击流量，IPS应该使用什么部署方式： A．串联 B．旁路 C．主动 D．被动 128.以下哪一项是 CHAP质询握手认证协议的特点： A．二次握手 B．只在链路建立的阶段进行验证 C．被认证方发起验证 D．密文发送认证信息 129.区隔会产生利益冲突的主体 (subject) 和对象 (object) 的安全模型是： A．BLP B．Clark-Wilson C．Brewer-Nash D．Biba

130.安全员设置下水路由是为了抵抗： A．DNS中毒 B．DDOS C．Sniffing D．Jamming

131.以下哪种数据最难被数字取证人员发现？ A. 闲置空间数据 B. 文件系统删除数据 C. 隐写数据 D. 以不同文件类型扩展名存储的数据 132.以下哪项最佳描述了用于在不同身份管理系统之间交换授权信息的标准？ A. 安全断言标记语言 (SAML) B. 面向服务的架构 (SOA) C. 可扩展标记语言 (XML) D. 无线认证协议 (WAP) 133.在信息技术安全评估的通用标准 (CC) 中，提高评估保证级别 (EAL) 会导致以下哪项？ A. 评估系统的增加 B. 提高互操作性 C. 增加功能 D. 资源需求增加 134.何时实施安全要求成本最低？ A. 由外部顾问确定时 B. 在应用程序上线阶段 C. 在项目周期的每个阶段 D. 当内置到应用程序设计中时 135.以下哪项是缓解跨站脚本 (XSS) 攻击的最有效方法？ A. 使用软件即服务 (SaaS) B. 验证数据输入 C. 验证数据输出 D. 要求客户证书 136.通过伪造来自可信来源的数据包来对一台机器进行身份验证的技术通常指的是？ A. 蓝精灵攻击 (Smurfing) B. 中间人攻击 (MITM) C. 重定向 (Redirect) D. 欺骗 (Spoofing) 137.纵深防御的一个重要原则是，实现信息安全需要关注三个主要方面的平衡。这是指？ A. 开发、测试和部署 B. 预防、检测和补救 C. 人员、技术和运营 D. 认证、认可和监督 138.在软件开发生命周期中，讨论DOS攻击是哪个里面的一个实例 A. 威胁建模 B. 漏洞分析 C. 数据防泄漏 D. 数据完整性 139.在SYN 洪泛攻击中，攻击者的目的是？ A.获得root权限 B.导致缓冲区溢出 C.进行会话劫持 D.使连接队列超过上限 140.对于云服务提供商而言，以下哪项最有效地解决了使用云计算的客户的保密问题？ A.文件系统权限 B.散列函数 C.不可抵赖控制 D.数据隔离 141.下列哪种访问控制模型最严格： A.DAC自主访问控制 B.MAC强制访问控制 C.RBAC基于角色的访问控制 D.ABAC基于属性的访问控制 142.Smurf攻击属于？ A.中间人攻击 B.DOS攻击 C.隐蔽通道 D.社会工程 143.在证据的监管链中对文件进行哈希保护的是？ A.可用性 B.完整性 C.机密性 D.抗抵赖 144.以下哪一项在传输层保护web交易安全？ A. 安全超文本传输协议(S-HTTP) B. 传输层安全 (TLS) C. 套接字安全 (SOCKS) D. 安全壳 (SSH) 145.以下哪一个标准最有助于降低数据破坏的风险？ A.ISO 9001 B.ISO 15504 C.ISO 20000 D.ISO 27001 146.系统和数据管理员在配置存储员工数据的系统时，应该遵照： A.使用这些数据的业务要求 B.组织的安全策略和标准 C.对企业资源和数据的全面保护 D.行业最佳实践的要求

147.组织打算升级所有防火墙以降低某项风险，以下哪一项最能支持这个观点？ A.有充分的IT预算 B.该项风险的年预期损失ALE非常低 C.该项风险的固有风险高于残余风险 D.该项风险的预期损失超过实施控制的成本 148.以下哪一项属于双因素验证？ A.虹膜扫描和指纹识别 B.视网膜扫描和智能卡 C.感应卡和钥匙 D.口令和PIN 149.对于在SDLC软件维护阶段发现的应用程序漏洞，必须采取的行动是？ A.监控应用并评审代码 B.将漏洞报告给产品负责人 C.在漏洞被修复前暂停应用 D.按照设计指南进行变更

150.以下哪种攻击方法能最有效地获得对一份复杂口令保护的资料的未授权访问？ A.字典攻击 B.旁路攻击 C.彩虹表 D.社会工程 151.银行为所有使用网银的客户配备了硬件令牌。令牌每分钟更新一个6位的口令。客户必须使用这个口令登录网银。这种令牌是？ A.同步令牌 B.异步令牌 C.单点登录令牌 D.挑战／应答令牌 152.最能体现公司安全管理情况的是？ A.渗透测试结果报告 B.内部审计师出的内审报告 C.外部审计师出的审计报告 D.IT服务台收集的安全事件报告 153.对SLA进行合规评审的周期是？ A.在进行安全审计前对SLA进行评审 B.在更新SLA时进行评审 C.在发生了安全违规后立即对SLA进行评审 D.定期安排评审会议，对SLA进行评审 154.关于黑盒测试的说法正确的是？ A.测试者只了解源代码 B.测试者只了解设计文档 C.测试者只了解功能说明书 D.测试者只了解设计文档和功能说明书 155.以下哪一项对组织的安全态度/立场影响最大？ A. 国际和国内的合规要求 B. 员工安全违规 C. 安全开支增加后导致的资源限制 D. 审计发现的安全控制漏洞 156.在追踪事件时发现，只能提供最近30天内的审计日志。这需要关注： A. 数据恢复 B. 数据保留 C. 数据处置 D. 数据审计 157.EAP MD5使用的身份验证方法： A. 基于散列值进行弱身份验证 B. 基于预共享密钥的弱身份验证 C. 基于OTP令牌设备的身份验证 D. 基于TLS的加密隧道身份验证 158.为何说数据所有者重要？ A. 鉴证 B. 分析 C. 责任 D. 合规 159.安全内核的实质： A. 用户 B. 进程 C. 完整性 D. 访问权限 160.符合X.509标准格式的数字证书中必定包括： A. 证书申请者的私钥 B. CA的公钥 C. CA的数字签名 D. 证书废止列表CRL

1 B 2 C 3 C 4 C 5 C 6 A 7 A 8 D 9 D 10 C 11 D 12 B 13 A 14 B 15 C 16 C 17 C 18 C 19 A 20 C 21 B 22 C 23 A 24 C 25 B 26 B 27 D 28 A 29 C 30 B 31 C 32 D 33 C 34 A 35 C 36 D 37 B 38 C 39 C 40 C 41 C 42 C 43 B 44 A 45 A 46 B 47 B 48 B 49 D 50 D 51 A 52 C 53 D 54 C 55 C 56 C 57 D 58 B 59 A 60 D 61 A 62 B 63 A 64 B 65 C 66 C 67 C 68 D 69 D 70 D 71 B 72 A 73 C 74 D 75 A 76 D 77 D 78 D 79 C 80 A 81 A 82 C 83 D 84 D 85 C 86 A 87 D 88 A 89 B 90 A 91 C 92 C 93 C 94 D 95 B 96 C 97 D 98 A 99 B 100 B 101 C 102 C 103 A 104 D 105 C 106 C 107 B 108 D 109 D 110 A 111 C 112 C 113 B 114 D 115 B 116 B 117 B 118 D 119 C 120 B 121 D 122 B 123 C 124 B 125 C 126 C 127 A 128 D 129 C 130 B 131 C 132 A 133 D 134 D 135 B 136 D 137 C 138 A 139 D 140 D 141 B 142 B 143 B 144 B 145 D 146 B 147 D 148 B 149 B 150 D 151 A 152 C 153 D 154 C 155 A 156 B 157 A 158 C 159 D 160 C

1.The security practitioner is charged with implementing e-mail security using a cryptographic standard of the security practitioner’s choice. The security practitioner chooses an4 open Pretty Good Privacy (PGP) implementation. 一个安全从业人员负责用加密算法来实施邮件安全。他选择了OpenPGP来实施。 Which cryptographic algorithm is used to create the user's public key? 可采用以下哪个密码算法来创建用户的公钥？ A. ElGamal ElGamal算法 B. International Data Encryption Algorithm (IDEA) IDEA算法 C. Advanced Encryption Standard (AES) AES算法 D. Triple Data Encryption Algorithm (3DES) 3DES算法 2.Which phase of the BCP/DRP would include relocation to the PRIMARY site? 一个组织是独自占了一个位于一个大城市商业区的20层楼建筑。该组织有若干个有本地服务器的分支机构，距离总部办公室大约方圆1000英里 (1600公里) 内。所有工作人员，包括那些在分支办事处的员工都分配了身份识别卡，游客分配了临时徽章。安全人员来负责制定业务连续性计划/灾难恢复计划 (BCP/ DRP) 。 下面BCP/ DRP哪个阶段将包括搬迁到主站点？ A. Assessment 评估 B. Restoration 还原 C. Recovery 恢复 D. Initiation 启动 3.一个web应用的用户注意到，可以用书签收藏应用程序并返回到它，即使关闭电脑后，仍然有效。用户还注意到，用户的ID被嵌入在应用程序的URL。当改为另一个有效的用户ID，应用程序允许用户可以用其他用户的会话中的有效ID使用程序。 这表明了编程存在什么缺陷？ A.The application assumes all users are logged-in. 应用程序假定了所有用户都已经登录 B.The application does not properly maintain session state. 应用程序没有正确的维持会话状态 C.The application fails open on authentication errors. 应用程序在认证错误时打开失败 D.The application fails to a privileged state. 应用程序失效进入特权状态 4.Employee involuntary termination processing should include 员工非自愿离职流程处理应当包括 A.A list of all passwords used by the individual. 个人所使用的所有密码的列表 B.A report on outstanding projects. 未完成的项目交接报告 C.The surrender of any company identification. 归还任何公司的身份标识 D.Signing a non-disclosure agreement. 签署保密协议

5.When two operators review and approve the work of each other, this is known as? 两个操作员互相审查和批准对方的工作，这是什么控制？ A. Dual control 双重控制 B. Two-man rule 双人规则 C. Two-fold control 重叠控制 D. Twin control 双生控制

6.What security procedure forces an operator into collusion with an operator of a different category to have access to unauthorized data? 哪种安全程序会迫使一个操作员勾结另一个不同类别的操作员来访问非授权数据？ A.Enforcing regular password changes 强制日常密码更改 B.Management monitoring of audit logs 审计日志的管理监控 C.Limiting the specific accesses of operations personnel 限制操作人员的特定访问权限 D.Job rotation of people through different assignments 不同分工的人员的工作轮换 7.What is the proper term to refer to a single unit of TCP data at the transport layer? 传输层TCP数据的一个独立单元被称为： A. TCP segment TCP 段 B. TCP datagram TCP 数据报 C. TCP frame TCP 帧 D. TCP packet TCP 分组 8.Converged networks supporting both data and Voice over Internet Protocol (VoIP), by their nature, provide a single channel to attack both the data and the voice components. Which of the following is the BEST mechanism to secure the voice component? 同时支持数据和语音通信 (VoIP) 的融合网络，根据其性质，提供了一个单独的通道来攻击数据和语音组件。下列哪项是最好的保障语音组件安全的机制？ A.Filter calls on the perimeter firewall 在边界防火墙上过滤呼叫 B.Use an analog voice system 使用模拟语音系统 C.Authenticate both voice and data users 验证语音用户和数据用户 D.Put voice on its own Virtual Local Area Network (VLAN) 把语音数据放在自己独立的虚拟局域网VLAN里

9.一个组织已经实施了一些新的安全控制。为了评估这些控制对安全体系有效性提升的影响，需要对信息安全的一些性能指标进行监控。 下列哪一项是在这种情况下选择的性能指标时最重要的因素？ A.The existence of baseline data for the performance metric 存在性能测量指标的基本数据 B.The ability to minimize false positives in the performance metric data 在性能测量指标数据中尽可能减少误报的能力 C.The ability to minimize false negatives in the performance metric data 在性能测量指标数据中尽可能减少漏报的能力 D.The performance metric has cross-platform applicability 性能测量指标有跨平台的适用性

10.Which of the following is the MOST important aspect relating to employee termination? 关于雇员解雇下列哪一项是最重要的？ A. Company property provided to the employee has been returned. 公司提供给雇员的财产已归还 B. User ID and passwords of the employee have been deleted. 雇员的用户名和密码已经删除 C. The appropriate company staff are notified about the termination. 向公司相关的工作人员通知解雇 D. The details of employee have been removed from active payroll files. 雇员的详细情况从活跃的工资单中已被移除。 11.一个管理员负责数据运营中心，包括了500个终端的交换网络，一个Web服务器，电子邮件服务器，以及几个大的应用服务器。备份策略是每个星期天的早晨执行一次完全备份和周一至周五执行每日增量备份。环境中的所有服务器有五个SCSI磁盘驱动器，并设置为RAID 5作为热备。数据中心使用了高架地板，并在房间内配备了一个自足的HVAC系统，以及一个自动化的干管自动喷淋灭火系统来保护电脑。大约在星期天早上，Web服务器的一个硬盘出现了故障。为了让服务器返回到正常运行需要做什么？ A.Restore data from the last incremental backup. 从上次增量备份中恢复数据 B.Restore data from the last full backup. 从上次完全备份中恢复数据 C.Recover the data from the failed drive. 从故障磁盘中恢复数据 D.Replace the failed drive. 更换故障的磁盘

12.An audit trail is a category of what control? 审计轨迹是什么类型的控制？ A. System, Manual 系统，手工 B. Detective, Technical 检测，技术 C. User, Technical 用户，技术 D. Detective, Manual 检测，手工

13.When selecting site facilities, which terrain characteristics are most preferable for physical security? 在选择物理设施时，下面哪个地形特点最有利于物理安全？ A.Hilly with thick vegetation and other natural obstacles to protect entrance points 有茂密的植被和其他自然障碍的丘陵，来保护入口 B.Downhill slope to facilitate accessibility and visibility of the site 下坡地形能方便设施的进入和可见性 C.Flat with no thick vegetation and easy to access from various entrance points 没有茂密植被的平原，方便从不同的入口进出 D.Flat with no thick vegetation and a gentle rise in elevation up to the entrance point 没有茂密植被的平原，入口略高于海拔 14.Which of the following is a potential drawback of using the defense-in-depth principle? 下面哪个是使用纵深防御原则的潜在缺陷？ A. Increased system complexity 增加了系统复杂性 B. Increased component failure rates 增加了组件的故障率 C. Redundant components are required 需要冗余的组件 D. Lower intrusion detection performance 较低的入侵检测性能 15.Which of the following is the MOST secure method of building router tables? 下面哪个是最安全的构建路由表的方法？ A. Distance vector 距离矢量 B. Link state 链路状态 C. Border Gateway Protocol (BGP) 边界网关协议 (BGP) D. Static 静态路由

16.Which of the following MUST be considered when designing effective security controls? 在设计有效的安全控制时，下面哪项必须被考虑？ A. Speed of deployment 部署的速度 B. Visibility 可视化 C. Ease of use 易用性 D. Authenticity 真实性

17.What tool do you use to determine whether a system is vulnerable to known attacks? 以下哪一项工具被用来判断一个系统是否存在会被已知攻击手段攻击的脆弱性？ A. Port scan 端口扫描 B. Vulnerability analysis 漏洞分析 C. Honey Pots 蜜罐 D. IDS 入侵检测 18.Which of the following statements pertaining to ethical hacking is incorrect? 下面哪项关于道德的黑客的描述是不正确的？ A.An organization should use ethical hackers who do not sell auditing, consulting, hardware, software, firewall, hosting, and/or networking services 组织应该聘用道德的黑客，这些黑客不能销售审计，咨询，硬件，软件，防火墙，主机托管，和/或网络服务 B.The vast majority of tests are performed remotely 测试绝大多数是远程执行的 C.Ethical hacking should not involve writing to or modifying the target systems 道德的黑客不应写入或修改目标系统 D.Ethical hackers should never use tools that have potential of exploiting vulnerabilities in the organizations IT system. 道德的黑客绝不能使用可能会导致组织IT系统漏洞被利用的工具。

19.Which one of the following is the PRIMARY objective of penetration testing? 下面哪个是渗透测试的主要目标？ A. Assessment 评估 B. Correction 纠正 C. Detection 检测 D. Protection 保护 20.What is the FIRST step that should be considered in a penetration test? 渗透测试中的第一步应当做什么？ A.The approval of change control management. 变更控制管理的批准 B.The development of a detailed test plan. 详细测试计划的开发 C.The formulation of specific management objectives. 制定具体的管理目标 D.The communication process among team members. 团队成员之间的沟通过程 21.Which of the following is not a valid reason to use external penetration service firms rather than corporate resources? 下面哪个不是使用外部渗透服务公司比使用公司内部资源更好的原因？ A.They are more cost-effective 他们更具成本效益 B.They offer a lack of corporate bias 他们没有公司的偏见 C.They use highly talented ex-hackers 他们使用了天才的前黑客 D.They insure a more complete reporting 他们确保提供更完整的报告

22.Which of the following is the MOST effective attack against cryptographic hardware modules? 下面哪个是针对加密硬件模块最有效的攻击方法？ A. Plain-text 明文攻击 B. Brute force 暴力破解 C. Power analysis 功耗分析 D. Man-in-the-middle (MITM) 中间人攻击 23.Which of the following is the BEST response to the auditor? 审计师在执行一次合规性审计，申请查看系统中加密的密码，以验证密码是否符合政策。 下列哪项是对审计师最好的回应？ A.Provide the encrypted passwords and analysis tools to the auditor for analysis. 提供加密的密码和分析工具给审计师进行分析 B.Analyze the encrypted passwords for the auditor and show them the results. 为审计师分析加密的密码，并给他们看结果 C.Demonstrate that non-compliant passwords cannot be created in the system. 演示不符合政策的密码不能在系统里创建。 D.Demonstrate that non-compliant passwords cannot be encrypted in the system. 演示不符合政策的密码不能在系统里加密。 24.Which of the following would be best suited to oversee the development of an information security policy? 下列哪一项将最适合监督信息安全策略的部署? A. System Administrators 系统管理员 B. Security administrators 安全管理员 C. Security Officers 安全官 D. Human resources 人力资源部 25.Which of the following is the PRIMARY benefit of standards-based compliance frameworks? 下面哪项是基于标准的合规框架的主要好处？ A.They identify gaps in existing controls. 他们识别了现有控制的差距 B.They reduce the need to audit the network. 他们减少了审计网络的需求 C.They require fewer resources. 他们需要更少的资源 D.They are easy to implement. 他们易于实施

26.An information security manager implements mechanisms to perform reasonableness checks on types of information in designated fields. This is an example of which control? 信息安全经理实施一个机制来对指定字段的信息进行合理性检查。 这是以下哪种控制的例子？ A. IT General control IT通用控制 B. Availability control 可用性控制 C. Application control 应用控制 D. Output control 输出控制

27.The intent of least privilege is to enforce the most restrictive user rights required 最小特权的意图是执行最严格的用户权限 A. To execute system processes. 用于执行系统流程 B. By their job description. 基于他们的工作描述 C. To execute authorized tasks. 用于执行授权任务 D. By their security role. 基于他们的安全角色 28.This is a common security issue that is extremely hard to control in large environments. It occurs when a user has more computer rights, permissions, and privileges that what is required for the tasks the user needs to fulfill. What best describes this scenario? 这是一个在大型环境中常见的非常难以控制的安全问题。它发生在当用户拥有超出完成任务需要的更多的计算机权利、许可和特权。这说的是？ A. Excessive Rights 过多的权利 B. Excessive Access 过多的访问 C. Excessive Permissions 过多的许可 D. Excessive Privileges 过多的特权

29.Cryptography does not concern itself with: 密码学本身并不关注： A. Availability 可用性 B. Integrity 完整性 C. Confidentiality 机密性 D. Authenticity 真实性 30.Which of the following measures would be the BEST deterrent to the theft of corporate information from a laptop which was left in a hotel room? 下面哪一个措施能够最好地防范留在宾馆房间的笔记本电脑里的企业信息被窃取？ A.Lock the laptop in an in-room safe 将笔记本电脑锁在房间内的保险箱里 B.Use virtual desktop on the laptop 在笔记本电脑上使用虚拟化桌面 C.Use a cable lock on the laptop when it is unattended 在电脑无人看守时，使用笔记本线缆锁 D.Encrypt the data on the hard drive 加密硬盘上的数据 31.为了支持依赖于有风险的协议 (例如纯明文密码) 的遗留应用程序，下面哪个可以降低企业网络上的风险？ A.Implement strong centrally generated passwords to control use of the vulnerable applications. 实施集中生成的强密码来对易受攻击的应用程序的使用进行控制。 B.Implement a virtual private network (VPN) with controls on workstations joining the VPN. 实现一个VPN，并对加入VPN的工作站进行控制。 C.Ensure that only authorized trained users have access to workstations through physical access control. 通过物理访问控制，确保只有授权的经过培训的用户有权访问工作站。 D.Ensure audit logging is enabled on all hosts and applications with associated frequent log reviews. 确保打开了所有主机和应用程序的审计日志，并经常进行日志审查

32.What is the MOST important purpose of testing the Disaster Recovery Plan (DRP)? 测试灾难恢复计划 (DRP) 最重要的目标是？ A.Evaluating the efficiency of the plan 评价计划的效率 B.Identifying the benchmark required for restoration 识别恢复的标杆 C.Validating the effectiveness of the plan 验证计划的效果 D.Determining the Recovery Time Objective (RTO) 决定恢复时间目标 (RTO) 33.Which of the following is a benefit of audit trails? 下面哪个是审计轨迹的好处 A. Accountability 可问责性 B. Confidentiality 机密性 C. Non-repudiation 抗抵赖性 D. Integrity 完整性 34.Which of the following is a security weakness in the evaluation of Common Criteria (CC) products? 下面哪个是通用标准 (CC) 产品评价的安全弱点？ A.The manufacturer can state what configuration of the product is to be evaluated 制造商可以声明产品的哪些配置是要被评价的 B.The product can be evaluated by labs in other countries 产品可以被其他国家的实验室来评价 C.The Target of Evaluation's (TOE) testing environment is identical to the operating environment 评价目标 (TOE) 的测试环境等同于运营环境 D.The evaluations are expensive and time-consuming to perform 执行评价是昂贵并耗时的 36.A subscription service which provides power, climate control, raised flooring, and telephone wiring but NOT the computer and peripheral equipment is BEST described as a 一个维护服务，提供了电力、温度控制、高架地板和电话线，但是没有计算机和相关外设的场所，最好形容为 A. hot site 热站 B. cold site 冷站 C. warm site 温站 D. reciprocal site 互惠站点 37.Early in an incident response investigation, network surveillance can be used to 在事件响应调查的早期，网络监视可以用来 A.prevent future incidents. 预防未来的事件 B.confirm or dismiss suspicions about an incident. 确认或解除对事件的怀疑 C.map the network and all trusted relationships. 映射网络和所有可信的关系 D.ensure compliance with usage policies. 确保使用策略的合规

35.What type of protection method is illustrated in the graphic that follows? 下图中展示的是哪种保护方法？ A. Polymorphism 多态性 B. Polyinstantiation 多实例 C. Cohesiveness 内聚 D. Object classes 对象类

38.The concept that all accesses must be meditated, protected from modification, and verifiable as correct is the concept of 所有的访问必须被考虑，防止修改并验证其正确性，这说的是： A. Secure model 安全的模型 B. Security locking 安全锁定 C. Security kernel 安全内核 D. Secure state 安全的状态

39.Which of the following ensures that security is not breached when a system crash or other system failure occurs? 下面哪个确保了当系统崩溃或其他系统错误发生时，安全不会被违反？ A. trusted recovery 可信恢复 B. hot swappable 热插拔 C. redundancy 冗余 D. secure boot 安全的启动 40.A 'Pseudo flaw' is which of the following? “伪错误”指的是下面哪项？ A.An apparent loophole deliberately implanted in an operating system 故意在一个操作系统中植入一个明显的漏洞 B.An omission when generating Pseudo-code 产生伪代码时的遗漏 C.Used for testing for bounds violations in application programming 应用程序编程时用来测试越界侵犯 D.A Normally generated page fault causing the system halt 通常产生的页面故障，导致系统停机 41.Which of the following is MOST important when deploying digital certificates? 下面哪项是在部署数字证书时最重要的？ A.Validate compliance with X.509 digital certificate standards 验证符合X.509数字证书标准 B.Use a third-party Certificate Authority (CA) 使用第三方CA C.Establish a certificate life cycle management framework 建立证书的生命周期管理框架 D.Use no less than 256-bit strength encryption when creating a certificate 创建证书时使用不少于256位长度的加密算法 42.Which of the following should NOT be a role of the Security Administrator? 下列哪一项不是安全管理员的任务 A. Authorizing access rights 授权访问权限 B. Implementing security rules 实施安全规则 C. Ensuring that local policies have been authorized by management 确保地方政策已经授权管理 D. Allocating access rights 分配访问权限 43.What is the PRIMARY purpose of using a web-based Transport Layer Security (TLS) certificate signed by a trusted Certificate Authority (CA)? 使用基于Web的由可信CA签发的TLS证书的主要目的是？ A.To ensure a reasonable strength of cryptographic key and algorithm 为了确保合理的密钥和算法长度 B.To ensure that clients can connect with many different types of browsers 为了确保客户端可以连接到多个不同类型的浏览器 C.To allow clients to reasonably authenticate the identity of the server 为了允许客户端能够合理的验证服务器的身份 D.To allow the server to authenticate the clients connecting via browsers 为了允许服务器能够验证通过浏览器连接的客户端的身份 44.Which choice MOST accurately describes a business continuity program? 下面哪个最准确的描述了一个业务连续性计划？ A.Ongoing process to identify the impact of potential losses and maintain viable recovery. 一个持续的过程，来确定潜在损失的影响，以及维持可行的恢复 B.Ongoing process to identify the mission, vision, and strategic goals of the organization. 一个持续的过程，来确定组织的任务、愿景和战略目标 C.Ongoing analysis of the effects of a disaster on physical, economic, and natural resources. 一个持续的分析，对于物理、经济和自然资源灾难的影响 D.Ongoing testing of plans that allows for rapid recovery during system interruption and data loss. 对计划的持续测试，允许在系统中断或数据丢失时进行快速恢复 45.The Common Criteria construct which allows prospective consumers or developers to create standardized sets of security requirements to meet their needs is 通用准则(CC)创建了下面哪项，允许潜在的消费者或开发者能够创建一套标准化的安全要求来满足需要 A. a Protection Profile (PP) 保护轮廓 B. a Security Target (ST) 安全目标 C. an evaluation Assurance Level (EAL) 评价保障等级 D. a Security Functionality Component Catalog (SFCC) 安全功能组件目录 46.Which of the following is the MOST important requirement to include in a contract if the vendor will be outsourcing some of the Information Technology (IT) support functions through a subcontracting arrangement? 如果供应商通过子合同将一些IT支持功能分包，下列哪一项是包括在合同中最重要的要求？ A.Subcontractor security provisions are the same as the main contract. 分包商合同的安全条款和主合同是一样的 B.Subcontractors sign Non-Disclosure Agreements (NDA). 分包商签署保密协议 C.Subcontractor contact information is included in the main contract. 分包商联系信息应包括在主合同中 D.Subcontractors must pass a background check. 分包商必须通过背景调查

47.Why MUST the Kerberos server be well protected from unauthorized access? 为什么Kerberos服务器必须得到很好的保护，防止非授权访问？ A.It contains the keys of all clients. 因为它包含了所有客户的密钥 B.It always operates at root privilege. 因为它总是在root权限下操作 C.It contains all the tickets for services. 因为它包含了服务的所有票据 D.It contains the Internet Protocol (IP) address of all network entities. 因为它包含了所有网络设备的IP地址 48.Type II errors occur when which of the following biometric system rates is high? 下面哪个是生物识别系统的第二类错误？ A. False accept rate 错误接受率 B. False reject rate 错误拒绝率 C. Crossover error rate 交叉错误率 D. Speed and throughput rate 速度和吞吐率 49.In the world of keystroke dynamics, what represents the amount of time it takes a person to switch between keys? 在击键动力学中，什么代表了一个人在按键之间切换的时间量？ A. Dynamic time 动态时间 B. Flight time 飞行时间 C. Dwell time 停留时间 D. Systems time. 系统时间 50.Which of the following helps security professionals select security products and services which are consistent with the organization's goals? 下面哪个可以帮助安全人员选择安全产品和服务，使其保持和公司的目标一致？ A.Choosing the lowest cost solution 选择最低成本的方案 B.Observing local laws and regulations 遵从本地的法律和法规 C.Identifying vendor specifications and contract agreements 识别供应商规格说明书和合同协议 D.Interviewing business process owners 与业务流程所有者面谈 51.Why is authentication by ownership stronger than authentication by knowledge? 为什么基于拥有什么的验证比知道什么的验证强度高？ A. It is simpler to control. 更加易于控制 B. It is more difficult to duplicate. 复制更加困难 C. It can be kept on the user's person. 可以由用户个人保存 D. It is easier to change. 更加容易变更 52.Which one of the following is an example of electronic piggybacking? 下面哪个是电子尾随攻击的例子？ A.Attaching to a communications line and substituting data. 附在通信线路上并替代数据 B.Abruptly terminating a dial-up or direct-connect session. 突然终止拨号或直接连接会话 C.Following an authorized user into the computer room. 跟随一个授权用户进入计算机室 D.Recording and playing back computer transactions. 录制并回放计算机交易 53.Which is not one of the primary goals of BIA? 哪项不是BIA的主要目标之一？ A.Criticality Prioritization 关键性优先级分级 B.Down time estimation 宕机时间预测 C.Determining requirements for critical business functions 决定关键业务功能的需求 D. Deciding on various test to be performed to validate Business Continuity Plan 决定执行各种测试来验证业务连续性计划 54.A system using Discretionary Access Control (DAC) is vulnerable to which one of the following attacks? 使用自主访问控制 (DAC) 的系统，容易受到下面哪种攻击？ A. Trojan horse 木马 B. Phreaking 盗用电话线路 C. Spoofing 欺骗 D. SYN flood SYN洪水 55.Which access control model enables the owner of the resource to specify what subjects can access specific resources? 哪种访问控制模型让资源的所有者来定义什么主体可以访问特定资源？ A. Discretionary Access Control 自主访问控制 B. Mandatory Access Control 强制访问控制 C. Sensitive Access Control 敏感访问控制 D. Role-based Access Control 基于角色的访问控制 56.Redundant Array of Independent Disks (RAID) 5 minimizes write bottlenecks by 廉价冗余磁盘阵列 (RAID5) 通过什么最小化了写的瓶颈？ A.using one drive in the array to store parity information. 使用阵列的一个磁盘来存储奇偶校验信息 B.using a larger stripe depth of two blocks instead of one. 使用两块大的条带深度，而不是一个 C.utilizing error correction code capabilities. 使用错误纠正码的能力 D.distributing parity stripes over a series of drives. 分发奇偶校验条带到一系列磁盘

57.Well-formed transactions and Separation of Duties (SoD) are mechanisms used in which of the following security models? 下面哪个安全模型使用了良好形式交易和职责分离的机制？ A. Chinese Wall 中国墙模型 B. Bell-LaPadula 贝尔-拉普杜拉模型 C. Clark-Wilson 克拉克-威尔逊模型 D. Biba 比巴模型 58.Which security access policy contains fixed security attributes that are used by the system to determine a user's access to a file or object? 哪个安全访问策略包含固定的安全属性，系统用来确定用户对文件或对象的访问？ A. Mandatory Access Control (MAC) 强制访问控制 B. Discretionary Access Control (DAC) 自主访问控制 C. Access Control List (ACL) 访问控制列表 D. Authorized user control 授权用户控制 59.Which of the following are MOST critical for a security manager to possess? 下面哪项是安全经理拥有的最关键技能？ A.Effective communication skills, strategic planning skills, and an understanding of organizational processes 有效的沟通技巧，策略规划技巧，以及对组织流程的理解 B.Good technical skills, project management expertise, and a strong audit background 良好的技术技能，项目管理经验，强大的审计背景 C.Compliance experience, formal management training, and network operations abilities 合规经验，正式的管理培训，和网络运维能力 D.Skills development capabilities, application development experience, and good people skills 技巧开发能力，应用开发经验和良好的人际交往能力 60.Which one of the following is the core element of a Trusted Computing Base (TCB)? 下面哪项是可信计算基TCB的核心要素？ A. Trusted path 可信路径 B. Security kernel 安全内核 C. Operating system 操作系统 D. Trusted computing system 可信计算系统 61.Mandatory Access Controls (MAC) are based on 强制访问控制 (MAC) 是基于 A.security classification and security clearance. 安全分级和安全许可 B.data labels and user access permissions. 数据标签和用户访问权限 C.user roles and data encryption. 用户角色和用户加密 D.data segmentation and data classification. 数据分段和数据分类

62.Which one of the following would be the MOST important component in negotiating an Internet Service Provider (ISP) Service Level Agreement (SLA) by a company that solely provides Voice over Internet Protocol (VoIP) services? 下列哪一个将是与只提供VoIP服务的公司协商互联网服务提供商 (ISP) 服务水平协议 (SLA) 的最重要的组成部分？ A. Guaranteed throughput level 确保吞吐量水平 B. Quality of service of applications 应用程序的服务质量 C. Availability of network services 网络服务的可用性 D. Response time to repair 维修响应时间 63.Why are international data transfers complicated? 为什么国际数据传输是比较复杂的？ A.Some nations subscribe to international conventions. 一些国际签署了国际公约 B.Rights of a nation in a jurisdiction are enforceable in all jurisdictions. 一个国家司法的权限在所有司法管辖区执行 C.Patent, copyright, and trade secret laws are not standardized. 专利、版权和商业秘密法律不是标准的 D.Rights of a nation to enforce in one jurisdiction apply in all jurisdictions. 一个国家在一个司法管辖区执行的权利应用到所有管辖区

64.A large online media organization is protected by firewalls, Intrusion Detection Systems (IDS), and antivirus solutions. Fraud is suspected to be occurring with public user accounts. What would be the BEST solution to confirm the fraud? 一个大的在线媒体组织通过防火墙、入侵检测系统和防病毒解决方案来进行保护。怀疑发生了与公众用户账户相关的欺诈行为。下面哪个是确认该欺诈的最好的解决方案？ A.Implement logging in the web application 实施Web应用程序级的日志 B.Review firewall logs regularly 常规检查防火墙日志 C.Verify web server patches are up-to-date 确认Web服务器补丁是最新的 D.Implement strong authentication for all users 实施所有用户的强验证 65.Which of the following are functions that are compatible in a properly segregated environment? 下面哪个是在一个正确职责分离的环境中可以兼容的职能？ A. Data entry and job scheduling 数据录入和作业调度 B. Database administration and systems security 数据库管理和系统安全 C. Systems analyst and application programming 系统分析和应用编程 D. Security administration and systems programming 安全管理和系统编程 66.一个来访的计算机科学家发现了大学的大型主机中的错误，可以使他们能够收集其他用户ID，访问他们的文件，他们的账单计算时间。在几个星期内，他们搜集了大量的用户ID，但从未访问他们的文件或票据的时间。临走时，科学家向同事揭示了这些发现，同事汇报了这些发现。根据 (ISC) 2道德规范，以下那个是正确的？ A.The act was ethically neutral because no one was harmed, privacy was not violated, and time was not fraudulently billed. 该行为是道德上中立，因为没有人收到伤害，没有侵犯隐私，没有欺诈收费时间。 B.The act was ethically wrong because the scientist did not immediately reveal the system flaw so steps could be taken to eliminate the vulnerability. 该行为道德上错误，因为该科学家没有马上揭示系统错误，使得可以采取步骤消除漏洞 C.The act was ethically correct because the scientist provided evidence of a system flaw that might have otherwise gone undetected. 该行为道德上是正确的，因为科学家提供了系统缺陷的证据，否则有可能未被发现。 D.The act was ethically wrong because the scientist made widely known a system flaw and increased the likelihood of further system abuse. 该行为道德上是错误的，因为科学家使得系统缺陷广为人知，增加了系统进一步滥用的可能性。 67.A customer of a financial institution denies that a transaction occurred. Which of the following is used to provide evidence that the customer performed the transaction? 金融机构的一个客户拒绝承认一个交易的发生。下面哪一个用来提供客户执行了交易的证据？ A. Authorization controls 授权控制 B. Two-factor authentication 双因素认证 C. Non-repudiation controls 抗抵赖控制 D. Access audit 访问审计 68.Which one of the following BEST protects vendor accounts that are used for emergency maintenance? 下面哪一个最好地保护了用来做应急维护的供应商账户？ A.Vendor access should be disabled until needed 供应商访问应当被禁用，需要时再激活 B.Frequent monitoring of vendor access 经常监控供应商的访问 C.Role Based Access Control (RBAC) 基于角色的访问控制 D.Encryption of routing tables 路由表加密 69.The International Data Encryption Algorithm (IDEA) encryption standard implements which of the following? 国际数据加密算法 (IDEA) 加密标准实施了下面哪个选项？ A. Variable key length cipher 可变密钥长度加密 B. Block cipher 分组加密 C. Digital Signature Standard (DSS) 数字签名标准 (DSS) D. Digital Signature Algorithm (DSA) 数字签名算法 (DSA) 70.Which of the following would be the FIRST step to take when implementing a patch management program? 在实施补丁管理程序时，应当第一步执行下面哪一项？ A.Perform automatic deployment of patches. 执行自动补丁部署 B.Monitor for vulnerabilities and threats. 监控漏洞和威胁 C.Prioritize vulnerability remediation. 漏洞修补方案优先级分级 D.Create a system inventory. 创建系统清单

71.A business continuity plan is an example of which of the following? 业务连续性计划是下面哪个控制的例子？ A. Corrective Control 纠正性控制 B. Detective Control 检测性控制 C. Preventive Control 预防性控制 D. Compensating Control 补偿性控制

72.Who is responsible for the security and privacy of data during a transmission on a public communications link? 谁对在公网链路上传输数据的安全性和隐私性负责？ A. The carrier 运营商 B. The sending 发送者 C. The receiving party 接收者 D. The local service provider 本地服务商 73.Which of the following best provides e-mail message authenticity and confidentiality? 下面哪个最好地提供了电子邮件信息的真实性和机密性？ A.Signing the message using the sender's public key and encrypting the message using the receiver's private key 使用发送者的公钥签名信息，并使用接收者的私钥加密信息 B.Signing the message using the sender's private key and encrypting the message using the receiver's public key 使用发送者的私钥签名信息，并使用接收者的公钥加密信息 C.Signing the message using the receiver's private key and encrypting the message using the sender's public key 使用接收者的私钥签名信息，并使用发送者的公钥加密信息 D.Signing the message using the receiver's public key and encrypting the message with the sender's private key 使用接受者的公钥签名信息，并使用发送者的私钥加密信息 74.Which of the following are PRIMARY elements that are required when designing a Disaster Recovery Plan (DRP)? 下面哪个是在设计灾难恢复计划 (DRP) 时，需要考虑的主要因素？ A.Back-up procedures, off-site storage, and data recover. 备份程序，异地存储，和数据恢复 B.Steering committee, emergency response team, and reconstruction team. 指导委员会，应急响应团队和重建团队 C.Impact assessment, recover strategy, and testing. 影响评估，恢复战略和测试 D.Insurance coverage, alternate site, and manual procedures. 保险覆盖，备份站点和人工程序 75.Which of the following is an example of a Time of Check/Time of Use (TOC/TOU) problem? 下面哪个是 检查时间/使用时间 (TOC/TOU) 问题的实例？ A.A user whose profile has been revoked logs on using the password of a valid user of the system. 已经被撤销概要的用户使用系统有效用户的密码来登陆 B.A user logs on with a valid profile which is revoked without termination of the session. 用户使用一个正确的概要登陆，该概要在撤销时没有终结会话 C.A user session is terminated immediately after the user profile is revoked. 用户的概要撤销后，用户的会话立即终止 D.A user session is not validated until after the log on. 只有在登陆以后，用户会话才被确认有效 76.Which of the following statements pertaining to dealing with the media after a disaster occurred and disturbed the organization's activities is incorrect? 下面哪一个关于在灾难发生并扰乱了组织的活动后，如何处理媒体关系的描述是不正确的？ A.The CEO should always be the spokesperson for the company during a disaster 在灾难时，CEO应该一直是公司的发言人 B.The disaster recovery plan must include how the media is to be handled during the disaster 灾难恢复计划必须包括灾难发生时如何处理媒体关系 C.The organization's spokesperson should report bad news before the press gets a hold of it through another channel 组织的发言人应该在媒体记者从另外的渠道了解之前，报告坏消息。 D.An emergency press conferepnce site should be planned ahead 应当提前规划一个紧急新闻发布会站点 77.为了让组织的安全策略有效，策略必须包括： A.对不合规的惩戒措施 B.明确定义问题的声明 C.所有适用于策略的标准的清单 D.策略文档的所有人和更新日期

78.一家企业的文档管理系统中对文档实施了分级管理系统，以下哪一项是保护分级文档机密性的最佳控制？ A.要求访问文档系统的人员签订保密协议(NDA) B.使用入侵检测系统(IDS)防止对文档的未授权访问 C.进行日志评审，对发现的违规文档访问进行调查 D.防止拥有高安全级别访问权限的人员将文档保存到低安全级别区域

79.应用级代理防火墙的主要特点是？ A.逻辑简单，成本低，易于安装使用 B.很难识别IP欺骗，安全性较低 C.使用规则导致性能下降 D.日志记录有限，安全性较低 80.网络安全评估能起到什么作用？ A.检查网络是否与行业标准相符合 B.准确衡量控制的有效性 C.识别所有网络中的漏洞 D.防止渗透测试导致网络失效 81.根据数据分级的策略，数据的所有者是？ A.最终用户 B.业务经理 C.安全经理 D.IT主管 82.测试BCP的恰当时机是？ A.当环境发生变化时 B.在进行信息系统审计前 C.在安装了安全补丁后 D.在新系统上线后

83.软件工程师编写了一个能生成多态病毒的工具，用于在受控的环境下测试公司的病毒扫描工具。该行为是？ A.道德的，因为这个工具有助于验证病毒扫描工具的有效性 B.道德的，因为任何有经验的程序员都能够创建这样的工具 C.不道德，因为该工具有可能被传播到互联网上 D.不道德，因为生成任何种类的病毒都是有害的 84.评价组织的漏洞管理程序是否有效的最佳方法是： A.自动漏洞扫描 B.评审自动补丁部署报告 C.定期由安全团队进行漏洞扫描 D.定期进行第三方漏洞评估 85.攻击者侵入企业内部网络后安装了嗅探器，如果企业之前实施了以下哪一项措施，就能有效防止攻击者获取更多信息？ A.实施包过滤防火墙 B.安装基于主机的入侵检测系统 C.用交换机实施逻辑网络分段 D.实施强身份验证技术 86.变更管理文档中最重要的一项是？ A.商业论证 B.利益相关方沟通 C.实施的变更数量 D.涉及的组件清单

87.要提升用户安全意识，要怎么培训? A.给员工群发邮件，提醒每日安全热点 B.安排员工参加安全意识培训 C.强制员工定期进行培训学习 D.将新培训材料融入安全意识培训 88.关于点到点微波传输的正确的说法是？ A.因为采用了多路复用技术，所以不容易被拦截侦听 B.因为有加密，所以不容易被拦截侦听 C.容易被拦截侦听 D.是否被拦截侦听取决于信号强度 89.在生命周期的开发阶段，推荐的渗透测试的方法是： A.黑盒测试 B.白盒测试 C.软件模糊测试 D.可视化测试 90.开放设计的原则是？ A.安全机制不应该依赖于设计和实施的保密性 B.掌握技能的用户应该被限制特权，以防止其损害安全 C.应该保护算法，以确保设计的系统的安全性和互操作性 D.分解、分析、反向工程能够揭示计算机系统的安全功能 91.两家公司想要在网上共享电子订单和电子库存记录，最佳的安全方案是？ A.在两家公司配置边界防火墙 B.让两家公司签订服务级别协议(SLA) C.为两家公司建立FTP文件传输连接 D.为两家公司建立VPN连接

92.通过SDN实现网络虚拟化通常需要完成三部分工作，包括： A.物理网络管理，网络资源虚拟化和网络隔离 B.物理网络管理，网络配置管理和网络隔离 C.物理网络管理，网络资源虚拟化和网络配置管理 D.网络配置管理，网络资源虚拟化和网络隔离 93.哪种服务组织控制 (SOC) 报告可以自由分发，供客户使用，以便客户获得对服务组织系统的信心？ A. SOC 1 类型 1 B. SOC 1 类型 2 C. SOC 2 D. SOC 3 94.阅读以下步骤： * 执行频繁的数据备份。 * 执行测试恢复以验证备份数据的完整性。 * 离线或在单独的服务器上维护备份数据。 这些步骤可以帮助组织从什么中恢复？ A. 网络钓鱼攻击 B. 授权错误 C. 勒索软件攻击 D. 被盗的加密密钥 95.PCI DSS 框架没有要求以下哪类控制？ A. 实施强资产控制协议。 B. 实施强访问控制措施。 C. 维护信息安全政策。 D. 维护漏洞管理计划。 96.以下哪项决定了应用于安全风险的安全控制的数量和复杂性？ A. 安全漏洞 B. 成本效益 C. 风险承受能力 D. 风险缓解 97.安全专业人员正在评估应用程序中的风险，并且没有考虑任何缓解或补偿控制。此类风险评级是以下哪项的示例？ A. 转移风险 B. 固有风险 C. 残余风险 D. 规避的风险 98.将资产所有权分配给部门时，以下哪项最重要？ A. 部门应向企业主报告 B. 应定期审查资产的所有权 C. 应确保个人问责制 D. 所有成员都应接受有关其职责的培训 99.对SSD固态硬盘的最佳的净化方法是： A.覆写 B.消磁 C.加密 D.粉碎

100.哪种技术可以成功隐藏发件人的IP地址，用于欺骗电子邮件来源？ A. 虚拟专用网 (VPN) Virtual Private Network B. 更改回复数据 Change In-Reply-To data C. 洋葱路由 Onion routing D. 网络爬取 Web crawling 101.具有IP地址10.102.10.2 的系统的物理地址为 00:00:08:00:12:13:14:2f。将以下静态条目添加到地址解析协议(ARP)表中：10.102.10.6 : 00:00:08:00:12:13:14:2f。这可能是什么形式的攻击？ A. 针对网关路由器的拒绝服务(DoS)攻击，因为路由器不再接受来自10.102.10.2的数据包 B. 针对10.102.10.2的拒绝服务(DoS)攻击，因为它无法正确响应ARP请求 C. 阻止10.102.10.6地址解析的传输层攻击 D. 将用于10.102.10.6的数据包发送到10.102.10.2 的伪装攻击 102.以下哪种攻击依赖于先攻破次要目标，再攻破主要目标？ A. 鱼叉式网络钓鱼 B. 地址解析协议(ARP)中毒 C. 水坑攻击 D. 暴力破解 103.以下哪项是点对点协议(PPP)可以使用的对等实体身份验证方法？ A. 质询-响应验证机制 (Challenge-Response) B. 消息验证码 (MAC) C. 质询握手验证协议 (CHAP) D. 传输层安全 (TLS) 握手协议 104.对于联合身份解决方案，第三方身份提供者 (IdP) 主要负责以下哪项？ A. 访问控制 Access Control B. 账户管理 Account Management C. 认证 Authentication D. 授权 Authorization 105.进行内部安全审计的主要目的是什么？ A. 验证所有系统和标准操作程序(SOP)均已正确记录 B. 验证所有支持系统的人员都了解他们的职责 C. 验证是否按照最佳实践建立了安全控制 D. 验证适用的安全控制措施已实施且有效 106.安全团队需要针对前端面向外部的应用程序执行接口测试，并且需要验证所有输入字段是否可以防止无效输入。以下哪项最有助于此过程？ A. 应用程序模糊测试 Application fuzzing B. 指令集模拟测试 Instruction set simulation C. 回归测试 Regression testing D. 健全性测试 Sanity testing 107.以下哪项是及时安装软件补丁最重要的原因？ A. 补丁仅在特定时间可用 B. 补丁可能与专有软件不兼容 C. 攻击者对补丁进行逆向工程利用漏洞 D. 攻击者可能正在进行网络分析 108.最大可容忍停机时间 (MTD) 决定什么？ A. 在客户受到影响之前，关键业务数据库可以保持关闭的估计时间段。 B. 公司在没有任何灾难恢复计划的情况下可以承受灾难的固定时间长度 C. 企业可以保持中断的估计时间段，超过该时间段可能永远无法恢复 D. 在使用冗余系统之前，灾难恢复过程中的固定时间长度 109.以下哪个因素导致有线等效隐私 (WEP) 协议的弱点？ A. WEP 使用小范围初始化向量 (IV) B. WEP 使用MD5消息摘要 C. WEP 使用 Diffie-Hellman 算法 D. WEP 没有使用初始化向量 (IV) 110.在以下哪个流程中为用户帐户实施了最小特权 (least privilege) ？ A. 配置 Provision B. 批准 Approve C. 请求 Request D. 审查 Review 111.使用在线证书状态协议 (OCSP) 的动机是什么？ A. 控制对证书撤销列表 (CRL) 请求的访问 B. 返回证书撤销列表 (CRL)的查询结果 C. 更快地查询符合X.500标准的数字证书的撤销状态 D. 及时提供对证书查询的最新响应 112.通常，面向Internet的服务器应放置在非军事区 (DMZ)。 DMZ的主要目的是什么？ A. 减轻与暴露的服务器相关的风险。 B. 为服务器准备应对潜在的攻击。 C. 降低内部系统的风险。 D. 绕过防火墙的需要。

113.当道德黑客不了解目标系统但在测试前通知测试目标时，正在执行哪种类型的安全测试？ A. 反向 B. 灰盒 C. 盲测 D. 白盒 114.渗透测试最常发生在： A．设计阶段 B．开发阶段 C．验收阶段 D．操作和维护阶段 115.以下哪个不是防御 CSRF 攻击的策略： A．在请求地址中添加 token 并验证 B．验证 HTTP Referer 字段 C．在 HTTP 头中自定义属性并验证 D．在HTTP头部加入消息验证码

116.GDPR中明确要求，一旦发生个人数据泄露 (Data breach) ，如果可能对自然人的权力和自由造成一定风险，须通知监管机构，通知要求的时间限制是？ A. 24小时内 B. 48小时内 C. 72小时内 D. A.S.A.P. 尽可能快 117.CPTED通过环境设计预防犯罪的定义是什么？ A．通过良好的逻辑访问控制来降低犯罪的可能性 B．通过监控设备的升级来降低犯罪的可能性 C．通过目标强化来降低犯罪的可能 D．通过环境的健康化来降低犯罪的可能性 118.以下哪个不是敏捷宣言的左项： A．个体和互动 B．流程和工具 C．客户协作 D．响应变化 119.安全级别较高的文件授予只读权限，安全级别较低的文件授予可写权限，属于： A．BLP模型 B．BIBA模型 C．Clark-Wilson模型 D．中国墙模型 120.网络层协议的保留字段被利用，会带来什么问题？ A．拒绝服务攻击 B．隐蔽通道 C．碎片攻击 D．洪泛攻击

121.哪种种设施最不容易扫出漏洞： A．硬件 B．系统软件 C．应用软件 D．内核

122.在安全威胁较低的情况下，使用包过滤防火墙的原因？ A．可以解决 IP 欺骗攻击 B．可以防止ICMP攻击 C．能根据连接状态进行判断 D．方便、透明 123.光纤数据泄露怎么判断？ A. 光束分离法 B. 散射法 C. 震动检测工具 D. 光损耗测量 124.PKI在什么情况下对CA的认证产生交叉数字证书？ A．OCSP需要更新时 B．当CA之间需要互相认证时 C．追溯根CA时 D．更新CRL列表时 125.道德观念基于？ A．民法 B．刑法 C．个人诚信 D．合规性 126.防止两个高级权限的人在工作中合谋的应对措施是？ A．双人控制 B．最小特权 C．岗位轮换 D．职责分离 127.在应用程序开发期间，应该运行哪种类型的测试以获得快速反馈？ A．回归测试 B．压力测试 C．冒烟测试 D．端到端测试 128.风险评估 (Risk Assessment) 包括： A．风险分析、风险评价、风险处置 B．风险识别、风险缓解、风险接受 C．风险识别、风险分析、风险评价 D．风险识别、风险评价、风险排序 129.以下哪个标记语言基于XML，用于在不同的安全域(security domain)之间交换认证和授权数据。 A．SAML B．SGML C．SPML D．XACML 130.Which of the following best explains why computerized information systems frequently fail to meet the needs of users? 下面哪项最好的解释了为什么计算机信息系统经常不能够满足用户需求？ A.Inadequate quality assurance (QA) tools 不充分的质量保证 (QA) 工具 B.Constantly changing user needs 用户需求经常变化 C.Inadequate user participation in defining the system's requirements 系统需求阶段用户参与不充分 D.Inadequate project management. 不充分的项目管理 131.把恶意IP流量分流，引入到单一的IP地址，对这些流量进行进一步分析的做法： A．蜜罐 B．黑洞 C．下水道路由 D．加密设备 132.安全架构师计划参考强制访问控制 (MAC) 模型进行实施。这表明以下哪项属性被优先考虑？ A. 机密性 B. 完整性 C. 可用性 D. 可访问性 133.谁有责任确保第三方供应商有能力以安全的、符合组织的要求的方式处理数据？ A.数据保管者 B.数据创建人 C.数据所有者 D.数据的用户 134.以下哪一个是联合身份的标准？ A.Kerberos B.LDAP 轻量目录访问协议 C.SESAME D.SAML 安全断言标记语言 135.为了保护审计信息，以下哪一项必须配置为只允许读访问: A.日志配置文件 B.用户帐号配置文件 C.访问控制列表 D.交易日志文件 136.对系统进行重新认证和重新认可的主要理由是？ A.验证系统的安全保护仍然在组织安全方针可以接受的范围内 B.帮助安全团队决定是接受还是拒绝新系统的实施上线 C.让软件开发团队确信所有安全问题都已得到解决 D.帮助数据负责人决定未来的数据敏感性和重要性 137.在以下哪种攻击中，攻击者通常会用十六进制 (或其他编码方式) 将链接编码，以免用户怀疑它的合法性？ A.XSS跨站脚本攻击 B.DOS拒绝服务攻击 C.Rootkit 根工具包 D.Smurf 攻击 138.对电子邮件进行加密和签名保障的是？ A.不可抵赖、真实性、授权 B.不可抵赖、机密性、授权 C.机密性、真实性、授权 D.机密性、不可抵赖、真实性 139.以下哪一项安全控制容易被合谋所破坏？ A.双因素验证 B.岗位轮换 C.职责分离 D.最小授权 140.在不了解一个国家文化的情况下，客户要求服务提供方做出存在疑惑的决策，服务提供方应该怎么做？ A.答应客户的要求，因为这是服务合同的要求 B.拒绝客户的要求，因为这样做有导致法律违规的高风险 C.根据最高职业道德规范和要求做决策 D.做这个决策前，应先做尽职调查 141.Which of the following is NOT a property of a one-way hash function? 下面哪个不是单向哈希函数的特性？ A.It converts a message of a fixed length into a message digest of arbitrary length 它将一个固定长度的消息转换成任意长度的消息摘要 B.It is computationally infeasible to construct two different messages with the same digest 构建两个不同的消息，使其具有相同摘要，从计算上讲是不可行的 C.It converts a message of arbitrary length into a message digest of a fixed length 它将任意长度的消息转换成固定长度的消息摘要 D.Given a digest value, it is computationally infeasible to find the corresponding message 给定一个摘要值，要发现相关的消息，从计算上讲是不可行的 142.Role Based Access Control (RBAC) simplifies user provisioning because 基于角色的访问控制简化了用户配置，因为 A.old access control rules can be disposed of efficiently. 旧的访问控制规则可以被有效的处置 B.access for new employees is based on a list of predefined rules. 新员工的访问基于预定义的规则列表 C.employee access can be modeled based on functional or organizational structures. 员工访问可以基于职能或组织架构来建立模型 D.duties change more frequently than the roles within positions. 职责比职位的角色变更更加频繁 143.Which physical security countermeasure is MOST commonly used in protecting corporate assets? 下面哪个物理安全措施是在保护公司资产方面最通用的？ A. Video cameras 视频摄像机 B. Locking devices 锁 C. Personnel verification 人工确认 D. Biometrics 生物识别 144.RAID levels 3 and 5 run: RAID3和RAID5运行 A. faster on hardware 在硬件上更快 B. slower on hardware 在硬件上更慢 C. faster on software 在软件上更快 D. at the same speed on software and hardware 在软件和硬件速度一样 145.The BEST method of demonstrating a company's security level to potential customers is 证明一个公司对于潜在客户的安全水平的最好的方法是 A.a report from an external auditor. 外部审计师的报告 B.responding to a customer's security questionnaire. 客户安全调查问卷的结果 C.a formal report from an internal auditor. 内部审计师的正式的报告 D.a site visit by a customer's security team. 客户安全团队的现场访问 146.Which of the following would be less likely to prevent an employee from reporting an incident? 下面哪项最不可能妨碍员工报告安全事件？ A.They are afraid of being pulled into something they don't want to be involved with 他们害怕被卷入他们不想被涉及的事情 B.The process of reporting incidents is centralized 事件报告流程是集中的 C.They are afraid of being accused of something they didn't do 他们害怕因为他们没有做某事而被责备 D.They are unaware of the company's security policies and procedures 他们没有意识到公司的安全策略和程序 147.Which of the following would be the first step in establishing an information security program? 为建立一个信息安全程序，首先应进行 A. Development of a security awareness-training program for employees. 开发员工安全意识培训计划 B. Development and implementation of an information security standards manual. 开发与实施信息安全标准手册的 C. Purchase of security access control software. 购买安全访问控制软件 D. Adoption of a corporate information security policy statement. 采纳企业信息安全策略声明 148.A proxy firewall operates at what layer of the Open System Interconnection (OSI) model? 代理防火墙是运行在OSI模型的哪一层？ A. Application 应用层 B. Transport 传输层 C. Network 网络层 D. Data Link 数链层 149.The absence or weakness in a system that may possibly be exploited is called a(n)? 可能会被利用的系统的缺失或薄弱环节被称为？ A. Threat 威胁 B. Exposure 暴露 C. Vulnerability 漏洞 D. Risk 风险 150.Which of the following BEST describes information security policies? 下面哪个最好地描述了信息安全政策？ A.Policies are guidelines that describe the best security practices in the industry. 政策是描述业界最佳安全实践的指南 B.Policies are high-level procedures that describe the information security approaches. 政策是描述信息安全方法的高层级程序 C.Policies provide the blueprints for the information security implementation program. 政策提供了信息安全实施体系的蓝图 D.Policies are high-level statements that describe the goals of the information security program. 政策是描述信息体系目标的高层级声明 151.After learning that the security budget will decrease in the next fiscal year, the security manager reprioritizes the upcoming budget. In conducting this analysis, which of the following MOST influences the security manager's decision process? 了解到信息安全预算将在下一财年减少后，安全经理重新调整下一年度预算。在进行这种分析时，以下哪项最影响安全经理的决策过程？ A. Trend analysis 趋势分析 B. Business risk acceptance 业务风险接受 C. Security best practices 安全最佳实践 D. Vulnerability analysis 漏洞分析 152.Which of the following are required to determine classification and ownership? 需要下面哪个来决定分类分级和所有权？ A.System and data resources are properly identified 能够正确的识别系统和数据源 B.Access violations are logged and audited 违规访问能够被记录并审计 C.Data file references are identified and linked 数据文件参考能够被识别和链接 D.System security controls are fully integrated 系统安全控制能够完全被集成 153.一个安全专家在根据国际标准化组织 (ISO) 27001和27002标准在评估组织的安全政策时，他需要牢记的是什么？ A.Security baselines can be derived directly from international standards. 安全基线可以直接从国际标准中抽取 B.International standards do not provide value to a regional organization. 国际标准对一个区域组织来说没有什么价值 C.Policies need to have step-by-step procedural details for all areas. 所有领域的策略都需要有详细的步骤细节 D.Standards are a starting point and are applied to the organization as necessary. 标准是一个起点，可以根据需要应用于组织 154.Which of the following is an appropriate source for test data? 下面哪个是测试数据合适的来源？ A.Production data that is secured and maintained only in the production environment. 生产数据是安全的，并只在生产环境中维护 B.Test data that has no similarities to production data. 与生产数据没有相似性的测试数据 C.Test data that is mirrored and kept up-to-date with production data. 与生产数据镜像并保持同步的测试数据 D.Production data that has been sanitized before loading into a test environment. 对生产数据进行清洗，然后再载入到测试环境 155.Which one of the following describes a reference monitor? 下面哪项描述了参考监视器 A.Access control concept that refers to an abstract machine that mediates all accesses to objects by subjects. 是一个访问控制概念，指的是促成所有主体和客体的访问的抽象机 B.Audit concept that refers to monitoring and recording of all accesses to objects by subjects. 是一个审计概念，指的是监控和记录所有主体和客体的访问 C.Identification concept that refers to the comparison of material supplied by a user with its reference profile. 是一个身份识别概念，指的是用户提供的材料和他的参考配置文件的比较 D.Network control concept that distributes the authorization of subject accesses to objects. 是一个网络控制概念，对主体进行授权来访问客体

156.路由器在开放系统互连 (OSI) 参考模型哪两层之间用作通信设备？ A.传输和会话 B.数据链路和传输 C.网络和会话 D.物理和数据链路 157.以下哪一项是识别在调查中扣押的每件物品的文件，包括扣押日期和时间、扣押该物品的人的名字，以及该物品的详细描述？ A. 财产登记簿 Property book B. 监管链表格 Chain of custody form C. 搜查令归还 Search warrant return D. 证据标签 Evidence tag

158.以下哪项为虚拟专用网络 (VPN) 连接提供最高级别的数据安全性？ A. 互联网协议有效负载压缩 (IPComp) B. 互联网协议安全 (IPsec) C. 可扩展认证协议 (EAP) D. 远程验证拨入用户服务 (RADIUS) 159.新安全举措的成本效益分析 (CBA) 结果提供了什么？ A. 可量化的理由 B. 基线改进 C. 风险评估 D. 正式验收 160.检测到一个URL, http://xxx.xxx.com/product.asp? Id=1 or 1=1 这可能是哪种攻击？ A．SQL注入 B．XSS C．CSRF D．缓存溢出

1 A 2 B 3 B 4 C 5 B 6 C 7 A 8 D 9 A 10 C 11 D 12 B 13 D 14 A 15 D 16 C 17 B 18 D 19 A 20 C 21 C 22 C 23 C 24 C 25 A 26 C 27 C 28 D 29 A 30 D 31 B 32 C 33 A 34 A 35 B 36 B 37 B 38 C 39 A 40 A 41 C 42 A 43 C 44 A 45 A 46 A 47 A 48 A 49 B 50 D 51 B 52 A 53 D 54 A 55 A 56 D 57 C 58 A 59 A 60 B 61 A 62 C 63 C 64 A 65 C 66 B 67 C 68 A 69 B 70 D 71 A 72 B 73 B 74 C 75 B 76 A 77 A 78 D 79 C 80 B 81 B 82 A 83 A 84 D 85 C 86 A 87 D 88 C 89 B 90 A 91 D 92 A 93 D 94 C 95 A 96 C 97 B 98 C 99 D 100 C 101 D 102 C 103 C 104 C 105 D 106 A 107 C 108 C 109 A 110 A 111 D 112 C 113 C 114 D 115 D 116 C 117 D 118 B 119 B 120 B 121 A 122 D 123 D 124 B 125 C 126 C 127 C 128 C 129 A 130 C 131 C 132 A 133 C 134 D 135 D 136 A 137 A 138 D 139 C 140 D 141 A 142 C 143 B 144 A 145 A 146 B 147 D 148 A 149 C 150 D 151 B 152 A 153 D 154 D 155 A 156 B 157 D 158 B 159 A 160 A

1.一个组织制定了关于数据分类和数据处理相关的全面的政策和程序。但是，该组织还是因不当披露客户的隐私数据给第三方，遭到了许多客户的诉讼。这些泄露是没有恶意的。 以下哪项是这些泄露问题最可能的原因？ A.Lack of data labeling procedures 缺少数据标签的程序 B.Lack of Business Impact Analysis (BIA) 缺少业务影响分析 C.Ineffective security awareness program 无效的安全意识宣贯体系 D.Ineffective data encryption controls 无效的数据加密控制 2.Which of the following layers provides end-to-end service? 下面哪个层次提供了端到端的服务？ A. Network Layer 网络层 B. Link Layer 数链层 C. Transport Layer 传输层 D. Presentation Layer 表示层 3.Which of the following is considered best practice for a forensic investigation? 下面哪个被认为是取证调查的最佳实践？ A.Examine a copy of the information collected 检查收集的信息的副本 B.Examine the original information collected 检查收集的原始信息 C.Encrypt the information before making a copy 在拷贝前加密信息 D.Encrypt the copy of the original information 加密原始信息的副本 4.Which of the following type of packets can *easily* be denied with a stateful packet filter? 下面哪个类型的包可以很容易的被状态包检测防火墙拒绝？ A. ICMP B. TCP C. UDP D. IP 5.Telnet and rlogin use which protocol? Telnet和rlogin是用了哪种协议？ A. UDP B. SNMP C. TCP D. IGP 6.Why do some sites choose not to implement Trivial File Transfer Protocol (TFTP)? 为什么一些站点不选择实施TFTP协议？ A. list restrictions 列表限制 B. inherent security risks 固有安全风险 C. user authentication requirement 用户认证需求 D. directory restriction 目录限制 7.Which of the following computer crime is more often associated with insiders? 下面哪个计算机犯罪是与内部人员更加相关的？ A. IP spoofing IP欺骗 B. Password sniffing 密码嗅探 C. Data diddling 数据欺骗 D. Denial of Service (DOS) 拒绝服务 (DOS) 8.A hardware feature is built into a Central Processing Unit (CPU) so that all memory locations used by a process can be marked with a non-executable attribute unless the location explicitly contains executable code. Which of the following attacks can this feature help prevent? 一项硬件功能被内置到一个中央处理单元(CPU)，使一个进程使用的所有内存位置可以打上不可执行属性，除非该位置明确包含可执行代码。此功能可以帮助防止下列哪种攻击？ A. Brute force 暴力破解 B. Covert channel 隐蔽通道 C. Buffer overflow 缓冲溢出 D. Object reuse 客体重用 9.Which of the following rules is less likely to support the concept of least privilege? 下面哪个规则最不可能支持了最小特权的概念 A.The number of administrative accounts should be kept to a minimum 管理员账户的数量应当保持最少化 B.Administrators should use regular accounts when performing routing operations like reading mail 管理员应当在执行常规操作，比如阅读邮件时，使用普通账户 C.Permissions on tools that are likely to be used by hackers should be as restrictive as possible 有可能被黑客利用的工具的权限，应尽可能得到限制 D.Only data to and from critical systems and applications should be allowed through the firewall 只有进出关键系统和应用的数据应当被允许通过防火墙 10.Which of the following is not an OSI architecture-defined broad category of security standards? 下面哪项不是OSI架构定义的安全标准的广义类别之一？ A. Security techniques standards 安全技术标准 B. Layer security protocol standards 分层安全协议标准 C. Application-specific security 特定应用的安全 D. Firewall security standards 防火墙安全标准 11. 两个具有复杂的网络环境大型组织最近合并了。这两种环境的集成将需要数年时间，而且将是困难和昂贵的。在合并中，两个组织需要建设一个关键的应用系统来集成并让这两个组织的员工无缝地访问。此应用程序使用了面向服务的架构 (SOA) 和Web服务。安全团队需要来设计一个架构来完成这个整合目标。下面哪个是合并过程中实现联合身份管理的最好的方法？ A.Import all users from one organization's directory service into the other organization's directory service. 从一个组织的目录服务中导入所有用户身份到另一个组织的目录服务 B.Create a temporary security domain for both organizations. 为两个组织创建一个临时的安全域 C.Integrate the application with Security Assertion Markup Language (SAML). 使用SAML来集成该应用系统 D.Authenticate the application against Lightweight Directory Access Protocol (LDAP) server. 使用LDAP服务器来认证该应用系统 12.Primarily run when time and tape space permits, and is used for the system archive or baselined tape sets is the: 主要在时间和磁带空间允许时运行，用于系统归档或基线磁带集的是 A. full backup method 完全备份方法 B. Incremental backup method 增量备份方法 C. differential backup method 差异备份方法 D. RAID backup method RAID备份方法 13.Which of the following is an example of an active attack? 下面哪个是主动攻击的例子？ A. Traffic analysis 流量分析 B. Masquerading 伪装 C. Eavesdropping 窃听 D. Shoulder surfing 肩窥 14.Which of the following is TRUE regarding Mandatory Access Control (MAC)? 下面哪个关于强制访问控制 (MAC) 的描述是正确的？ A.It only deals with identification of the requester of information. 它只处理信息申请者相关的身份识别 B.It only deals with authentication of the requester of information. 它只处理信息申请者相关的身份认证 C.Access control decisions are beyond the control of the individual owner of an object. 访问控制的决策超越了单个客体所有者的控制 D.Access control decisions are made by the individual owner of the object. 访问控制的决策是由单个客体所有者来决定的 15.Which of the following is the initial step in identity management that creates new accounts and provision them with appropriate privileges？ 以下哪项是身份管理中创建新帐户并为其提供适当权限的初始步骤? A. Enrollment 注册 B. Provisioning 开通 C. Authorization 授权 D. Trust 信任 16.一个新员工的笔记本电脑具有完全的管理员权限。这名雇员在家里没有自己的个人电脑，并且他有一个孩子也使用这台电脑发送和接收电子邮件，在网上搜索，使用即时消息等。该组织的信息技术 (IT) 部门发现使用了该员工的访问权限安装了一个对等 (P2P) 程序。 下列哪种方法是从计算机上移除对等 (P2P) 程序的最有效的方法？ A.Run software uninstall 使用软件卸载 B.Re-image the computer 重新安装计算机 C.Find and remove all installation files 找到并删除安装文件 D.Delete all cookies stored in the web browser cache 删除存储在浏览器缓存中的所有cookie 17.一个新员工的笔记本电脑具有完全的管理员权限。这名雇员在家里没有自己的个人电脑，并且他有一个孩子也使用这台电脑发送和接收电子邮件，在网上搜索，使用即时消息等。该组织的信息技术 (IT) 部门发现使用了该员工的访问权限安装了一个对等 (P2P) 程序。下面哪个文档解释了如何正确使用公司的资产？ A. Human resources policy 人力资源政策 B. Acceptable use policy 可接受使用政策 C. Code of ethics 道德准则 D. Access control policy 访问控制政策

18.一个新员工的笔记本电脑具有完全的管理员权限。这名雇员在家里没有自己的个人电脑，并且他有一个孩子也使用这台电脑发送和接收电子邮件，在网上搜索，使用即时消息等。该组织的信息技术 (IT) 部门发现使用了该员工的访问权限安装了一个对等 (P2P) 程序。 以下哪一项能最有效的防止电脑上安装P2P程序？ A.Removing employee’s full access to the computer 移除员工对电脑的完全访问权限 B.Supervising their child’s use of the computer 监管员工子女对员工电脑的使用 C.Limiting computer’s access to only the employee 限制仅员工才能访问电脑 D.Ensuring employee understands their business conduct guidelines 确保员工理解公司行为指南

19.哪种访问控制方案使用细粒度规则来指定授予对每个数据项或应用程序的访问权限的条件？ A. 强制访问控制 (MAC) B. 自主访问控制 (DAC) C. 基于角色的访问控制 (RBAC) D. 基于属性的访问控制 (ABAC) 20.Computer crime is generally made possible by which of the following? 计算机犯罪通常是由下列哪一项原因造成的？ A.The perpetrator obtaining training & special knowledge. 行为人获得培训和专门的知识 B.Victim carelessness. 受害人粗心大意 C.Collusion with others in information processing 与他人在信息处理上串通共谋 D.System design flaws. 系统设计缺陷 21.By examining the "state" and "context" of the incoming data packets, it helps to track the protocols that are considered "connectionless", such as UDP-based applications and Remote Procedure Calls (RPC). This type of firewall system is used in? 通过检查进入的数据包“状态”和“上下文”，它有助于跟踪被认为是“无连接”的协议，比如基于UDP的应用程序和远程过程调用 (RPC) 。这种类型的防火墙系统中是？ A. First generation firewall systems. 第一代防火墙系统 B. Second generation firewall systems. 第二代防火墙系统 C. Third generation firewall systems. 第三代防火墙系统 D. Fourth generation firewall systems. 第四代防火墙系统 22.Guards are appropriate whenever the function required by the security program involves which of the following? 安全体系中需要实现下面哪个功能时，使用警卫是合适的？ A. The use of discriminating judgment. 需要辨别力判断 B. The use of physical force. 物理暴力的使用 C. The operation of access control devices. 访问控制设备的运行 D. The need to detect unauthorized access. 检测非授权访问的需要 23.In a Key Escrow solution, which of the following provides the encryption and decryption function? 在密钥托管体制中，下面哪个提供了加密和解密的功能？ A. Data recovery component 数据恢复组件 B. Key registry component 密钥注册组件 C. Key escrow component 密钥托管组件 D. User security component 用户安全组件 24.An organization has performed a security analysis on recent incidents and determined that password disclosure was a major contributor to the incidents. Of the following, what is the BEST means to mitigate this problem? 一个组织已经对最近发生的事件进行了安全分析，并确定密码泄露是引发事件的主要问题。下面哪个是缓解这一问题的最佳手段？ A.Implement best practices for password retention 实施密码保留的最佳实践 B.Perform additional security assessments 执行附加的安全评估 C.Implement stronger password policies 实施强密码策略 D.Increase user awareness 增加用户安全意识 25.The Systems Development Life Cycle (SDLC) process provides a methodology for what? 系统开发生命周期 (SDLC) 提供了哪方面的方法论？ A.Developing systems with adequate privacy 充分的隐私保护来开发系统 B.Developing systems in a standardized manner 以标准化的方式来开发系统 C.Developing systems according to security policy 根据安全策略来开发系统 D.Developing systems at minimum cost 以最小的成本来开发系统 26.Which of the following is the PRIMARY challenge when implementing a Single Sign-On (SSO) solution? 实施单点登录 (SSO) 解决方案的主要挑战是下面哪项？ A.Growing trend to customize authentication for each application 有增长的趋势需要为每个应用定制认证方式 B.Resistance of the user community who want to keep their old ID's 想要保持他们的旧ID的用户社区的抵制 C.Implementation of the standard protocols 标准协议的实施 D.Integration with legacy applications 与以前的应用系统的集成 27.Which of the following access control types gives "UPDATE" privileges on Structured Query Language (SQL) database objects to specific users or groups? 下面哪个访问控制类型给予特定用户或用户组“UPDATE”权限修改SQL数据库客体？ A. Supplemental 补充 B. Discretionary 自主 C. Mandatory 强制 D. System 系统 28.Which of the following tools present the MOST potential risk for unethical use? 如果不道德的使用下面哪个工具，可能产生最大的风险？ A.One-Time-Password and Single Sign-On (SSO) applications 动态令牌和单点登录(SSO)应用程序 B.Key loggers and screen capture applications 键盘记录器和屏幕捕捉程序 C.Hand scanners and network sniffers 手掌扫描器和网络嗅探器 D.Retinal scanners and port scanners 视网膜扫描器和端口扫描器 29.Which of the following are the MOST effective methods to protect against an active attack? 下面哪项是最有效的防止主动攻击的方法？ A.Trusted software development and intrusion detection monitoring 可信软件开发和入侵检测监控 (IDS) B.Application-layer firewall and Intrusion Prevention System (IPS) 应用层防火墙和入侵防御系统 (IPS) C.Virtual Private Networks (VPN) and anti-virus software 虚拟专网 (VPN) 和防病毒软件 D.Point-to-point Encryption and Public Key Infrastructure (PKI) enabled e-mail 点对点加密和应用公钥基础设施的电子邮件 30.During a budgeting meeting an organization's management decides to prioritize security risks. Which of the following International Organization for Standardization (ISO) standards would provide the BEST guidance? 在组织管理层的预算会议上决定对安全风险进行优先级评级。下面哪项 ISO 标准可以提供最好的指南？ A. ISO 27001 B. ISO 27002 C. ISO 27003 D. ISO 27005 31.Which of the following is not considered firewall deployment technology? 下面哪项不是防火墙部署技术？ A. Screened subnet 屏蔽子网 B. Screened host 屏蔽主机 C. Dual gateway host 双重网关主机 D. Dual homed host 双宿主机 32.Which type of network topology passes all traffic through all active nodes? 哪种类型的网络拓扑是经过所有激活的节点来传输所有流量 A. Broadband 宽带 B. Star 星形 C. Baseband 基带 D. Token Ring 令牌环

33.The act of validating a user with a unique and specific identifier is called what? 通过一个独特的或特定的身份来确认一个用户，称作什么？ A.Validation 确证 B.Authentication 身份验证 C.Authorization 授权 D.Identification 身份标识 34.A minimal implementation of endpoint security includes which of the following? 终端安全最小的实施应包括如下哪项？ A. Wireless access points (AP) 无线接入点 B. Full disc encryption 全磁盘加密 C. Personal firewalls 个人防火墙 D. Trusted platforms 可信平台 35.Cryptanalysis is used to ： 密码分析学被用来： A.Reduce the system overhead for a crypto-system 减少加密系统的系统开销 B.Choose the correct algorithm for a specified purpose 选择用于特定目的的正确的算法 C.Forge coded signals that will be accepted as authentic 伪造编码信号，使其能被当作真实的信号接受 D.Develop secure crypto-systems 开发安全加密系统 36.If an employee is suspected of computer crime and evidence need to be collected, which of the following departments must be involved with the procedure? 如果一个员工被怀疑参与计算机犯罪，需要搜集相关的证据，那么下面哪个部门必须要纳入到该程序？ A.Law enforcement 法律部门 B.Computer security 计算机安全 C.Auditing 审计 HR 人力资源

37.What is it called when a system has apparent flaws that were deliberately available for penetration and exploitation? 当一个系统有明显的漏洞，故意用来被渗透和利用，这叫什么？ A.Investigation 调查 B.Enticement 诱惑 C.Data manipulation 数据操纵 D.Entrapping 诱捕 38.Why are computer generated documents not considered reliable? 为什么计算机产生的文档被认为是不可靠的？ A.Difficult to detect electron tampering 很难检测到电子篡改 B.Stored in volatile media 存储在易失性介质上 C.Unable to capture and reproduce 不能捕捉和重现 D.Because of US law, Section 7 paragraph 154 因为美国法律，第七部分第154段 39.What is a PRIMARY reason for designing the security kernel to be as small as possible? 什么是设计安全内核时需要尽可能小的主要原因？ A.The operating system cannot be easily penetrated by users. 操作系统不能被用户很容易渗透 B.Changes to the kernel are not required as frequently. 对内核的变更不需要频繁进行 C.Due to its compactness, the kernel is easier to formally verify. 由于其紧凑，内核更容易被正式的验证 D.System performance and execution are enhanced. 系统性能和执行能够增强

40.Which of the following implements the authorized access relationship between subjects and objects of a system? 下面哪项实现了系统的主体和客体之间的授权访问关系？ A. Security model 安全模型 B. Reference kernel 参考内核 C. Security kernel 安全内核 D. Information flow model 信息流模型

41.When an organization takes reasonable measures to ensure that it took precautions to protect its network and resources is called: 当一个组织采取合理措施，以确保它采取预防措施来保护其网络和资源，被称为： A. Reasonable Action 合理的行动 B. Security Mandate 安全要求 C. Due Care 应有的关注 D. Due Dilliengce 应有的勤勉 42.Which of below is associated with security policy? 下面哪个与安全策略相关？ A. Support of department managers 部门经理的支持 B. Are tactical in nature 属于战术性的 C. Are strategic in nature 属于战略性的 D. Developed after guidelines 在指南之后制定 43.A multinational organization has recently undergone an external regulatory audit. The organization had numerous system configuration audit findings at a high-risk level. To verify that the findings are addressed, what is it MOST important that the auditors request? 一个跨国组织最近要接受外部监管审计。该组织有多个系统配置的高风险审计发现。要验证这些发现是否得到解决，审计师要求的最重要的是？ A.Executive level support to remediate the findings 高层支持以修补这些发现 B.Regular status updates on remediation activities 补救措施的日常状态更新 C.Technical resource availability to take corrective actions 技术资源可用性来采取纠正措施 D.System configuration standards be updated with best practice 根据最佳实践对系统配置标准的更新 44.What is essential when developing access control policies and procedures? 在制定访问控制策略和程序时，什么是最重要的？ A. Sensitivity and criticality 敏感性和重要性 B. Legacy and lifecycle requirements 传统和生命周期的要求 C. Platform technologies and quantitative value 平台技术和定量价值 D. Administration and availability requirements 管理和可用性要求 45.当带着有个人可识别身份信息 (PII) 的笔记本出国旅行时，下面哪个是最佳实践？ A.Use a thumb drive to transfer information from a foreign computer. 使用指纹驱动器从国外计算机传输信息。 B.Do not take unnecessary information, including sensitive information. 不要带不必要的信息，包括敏感信息 C.Connect the laptop only to well known networks like the hotel or public Internet cafes. 笔记本电脑只连接众所周知的网络，如酒店或公共网吧。 D.Request international points of contact help scan the laptop on arrival to ensure it is protected. 抵达后请求国际联络点帮助扫描笔记本，以确保它是受保护的。 46.Which of the following is the MOST common method of memory protection? 下面哪个是最通用的内存保护方法？ A. Segmentation 分段 B. Error correction 错误纠正 C. Compartmentalization 条块 D. Virtual Local Area Network (VLAN) tagging 虚拟局域网标记 47.Which one of the following actions would BEST assist in the gathering of information about the security of equipment in an area? 下面哪一个行动能够最好的协助收集一个区域里设备的安全信息？ A.Implement out-of-hours access controls to the area. 在区域内实施下班后的访问控制 B.Maintain a list of equipment and serial numbers. 维护设备和序列号的列表 C.Perform a physical security review. 执行一个物理安全检查 D.Interview the management and staff in the area. 与区域内的员工和经理进行面谈 48.Which of the following violates identity and access management best practices? 下面哪个违反了身份与访问管理的最佳实践？ A. User accounts 用户账户 B. System accounts 系统账户 C. Generic accounts 通用账户 D. Privileged accounts 特权账户 49.敏捷开放 Scrum 方法论中的角色是： A. 产品所有者，Scrum Master 和 Scrum团队 B. Scrum Master，质量保证团队和 Scrum团队 C. Scrum Master，需求经理和开发团队 D. 系统所有者，Scrum Master 和开发团队 50.The BEST solution for Disaster Recovery Plan (DRP) accessibility includes keeping a copy of the plan on the premises, at the hot site, and at which of the following? 让灾难恢复计划 (DRP) 可访问的最佳解决方案包括提前保存该计划到热站和下列哪些地方？ A.Vendor locations, and the DRP team managers' homes 供应商场所，和DRP团队经理的家中 B.Chief executive officer's home, and the DRP team managers' homes CEO的家里，和DRP团队经理的家里 C.DRP coordinator's home, and the DRP team managers' homes DRP协调人的家里，和DRP团队经理的家里 D.Vendor locations, and the DRP coordinator's home 供应商场所，和DRP协调人的家里 51.Which of the following statements pertaining to the security kernel is incorrect? 下面哪个关于安全内核的描述是不正确的？ A.It is made up of mechanisms that fall under the TCB and implements and enforces the reference monitor concept. 它是由遵循TCB的机制组成，实施并增强了参考监视器的概念。 B.It must provide isolation for the processes carrying out the reference monitor concept and they must be tamperproof 它必须对执行参考监视器概念的进程提供隔离，并且它们必须是防篡改的 C.It must be small enough to be able to be tested and verified in a complete and comprehensive manner 它必须足够小，才能够以完全和完备的方式被测试和验证 D.Is an access control concept, not an actual physical component 安全内核是一个访问控制概念，不是一个实际的物理组件 52.Implementing baseline controls PRIMARLY provides which of the following? 实施基线控制主要提供了下面哪项？ A.The opportunity to start a security certification program 一个启动安全认证体系的机会 B.An inexpensive and effective initial protection solution 一个便宜而且有效的初始保护解决方案 C.A foundation to measure the security program 一个测量安全体系的基础 D.Common elements for comparing progress with other companies 与其他公司对比进展状况的通用要素

53.The initial handshake with Extensible Authentication Protocol (EAP) uses which of the following message types? 扩展认证协议 (EAP) 的初始握手使用了下面哪个消息类型？ A. EAP-Success/Failure EAP-成功/失败 B. EAP-Request/Identity EAP-请求/身份 C. EAP-Response/Identity EAP-响应/身份 D. EAP-Request/Response EAP-请求/响应 54.To gain entry into a building, individuals are required to use a palm scan. This is an example of which type of control? 为了进入到一个建筑物，人们需要使用掌纹扫描。这是那种类型的控制实例？ A. Physical detective 物理检测性 B. Physical preventive 物理预防性 C. Administrative detective 管理检测性 D. Administrative preventive 管理预防性 55.A hacker can use a lockout capability to start which of the following attacks? 黑客可以使用锁定能力来开始下面哪个攻击类型？ A. Man-in-the-Middle (MITM) 中间人攻击 B. Denial of Service (DoS) 拒绝服务攻击 C. Dictionary 字典攻击 D. Ping flood ping洪水攻击 56.Which of the following are functions that are compatible in a properly segregated environment? 下面哪个是在一个正确职责分离的环境中可以兼容的职能？ A. Security administration and quality assurance 安全管理和质量保障 B. Security administration and data entry 安全管理和数据录入 C. Security administration and application programming 安全管理和应用编程 D. Application programming and data entry 应用编程和数据录入

57.How does a Host Based Intrusion Detection System (HIDS) identify a potential attack? 基于主机的入侵检测HIDS是如何识别可能的攻击的？ A.Examines the Access Control List (ACL) 检查访问控制列表ACL B.Matches traffic patterns to virus signature files 将流量与病毒签名文件进行对比 C.Examines log messages or other indications on the system 检查系统的日志消息或其他提示 D.Monitors alarms sent to the system administrator 监控发给系统管理员的报警 58.With RBAC, each user can be assigned: 根据RBAC，每个用户可以被分配： A. One or more roles 一个或多个角色 B. Only one role 只有一个角色 C. A token role 一个令牌角色 D. A security token 一个安全令牌 59.With RBAC, roles are: 根据RBAC，角色是？ A. Based on labels. 基于标签的 B. All equal 所有都一样的 C. Hierarchical 分层级的 D. Based on flows. 基于流的 60.Which one of the following entails periodical transmitting copies of on-line transactions to a remote computer facility for backup? 下列哪一个定期发送交易副本到远程的计算机备份设施？ A. Archival storage management (ASM) 档案存储管理 B. Electronic vaulting 电子跳跃 C. Hierarchical storage management (HSM) 分层存储管理 D. Data compression 数据压缩

61.下面哪项正确描述了基于角色的访问控制？ A.It allows you to specify and enforce enterprise-specific security policies in a way that maps to your user profile groups. 它允许你定义和执行企业特定的安全策略，这些策略对应于你的用户配置文件组 B.It allows you to specify and enforce enterprise-specific security policies in a way that maps to your organizations structure. 它允许你定义和执行企业特定的安全策略，这些策略对应于你的组织架构 C.It allows you to specify and enforce enterprise-specific security policies in a way that maps to your ticketing system. 它允许你定义和执行企业特定的安全策略，对应于你的票证系统 D.It allows you to specify and enforce enterprise-specific security policies in a way that maps to your ACL. 它允许你定义和执行企业特定的安全策略，对应于你的访问控制列表 62.一个大型组织使用唯一的身份标识，并要求他们在每次系统会话的开始时使用。应用程序访问是基于工作职责的分类。该组织定期对访问控制和违规进行独立的审核。该组织使用了有线和无线网络，以及远程访问。该组织还使用了到分支机构的安全连接，以及针对某些选择的信息和流程实施安全的备份和恢复策略。以下哪项最好的描述了该组织采用的访问控制方法？ A. Least privilege 最小特权 B. Lattice Based Access Control (LBAC) 基于格子的访问控制 C. Role Based Access Control (RBAC) 基于角色的访问控制 D. Lightweight Directory Access Control (LDAP) 轻量目录访问控制 63.一个大型组织使用唯一的身份标识，并要求他们在每次系统会话的开始时使用。应用程序访问是基于工作职责的分类。该组织定期对访问控制和违规进行独立的审核。该组织使用了有线和无线网络，以及远程访问。该组织还使用了到分支机构的安全连接，以及针对某些选择的信息和流程实施安全的备份和恢复策略。 访问控制日志除了身份标识外还必须包含什么内容？ A. Time of the access 访问的时间 B. Security classification 安全的分类 C. Denied access attempts 拒绝访问尝试 D. Associated clearance 相关的身份级别 64.一个大型组织使用唯一的身份标识，并要求他们在每次系统会话的开始时使用。应用程序访问是基于工作职责的分类。该组织定期对访问控制和违规进行独立的审核。该组织使用了有线和无线网络，以及远程访问。该组织还使用了到分支机构的安全连接，以及针对某些选择的信息和流程实施安全的备份和恢复策略。 除了要在每个用户会话前进行身份验证外，最佳实践的做法，应该在何时进行重新验证？ A. 在退出系统时进行验证 B. 运行每个业务流程时进行验证 C. 在会话过程中定期进行验证 D. 在一段不活跃期后进行验证

65.在设计计算机系统时，引入TPM可信任平台模块(Trusted Platform Module)的目的是？ A.建立一个安全的初始状态 B.防止拒绝服务攻击 C.与公共密钥基础设施(PKI)建立接口 D.提高安全软件的质量 66.相对于 FC SAN 而言，IP SAN ？ A. 存储设备不容易遭到可用性攻击 B. 数据流量的机密性得到了更好的保护 C. 消除了对存储设备的spoofing攻击 D. 网络流量更容易遭到嗅探 67.应急计划演练的目的是？ A．验证服务级别协议 B．发现系统脆弱性 C．培训相关人员明确角色职责 D．验证运营指标 68.以下哪一项最有效地防止电子邮件欺骗？ A．加密签名 B．垃圾邮件过滤 C．统一资源定位符URL过滤 D．反向DNS查询

69.谁对确保信息资产被正确分类并有适当的保护措施这件事负有最终责任？ A. 首席信息安全官 B. 数据保管人 C. 数据/信息/业务所有者 D. 执行管理层 70.对企业相关人员进行安全意识教育时必须： A. 解释所有合规要求都是需要被强制执行的 B. 识别安全消息及其受众，解释安全的必要性 C. 确保安全培训的内容包括了所有相关内容 D. 解释黑客是如果利用安全漏洞进行攻击的

71.进行渗透测试时，以下哪一项能指明网络上正运行了哪些组件？ A.配置管理 (configuration management) B.网络拓扑 (network topology) C.勘探工具 (mapping tools) D.ping测试 (ping testing) 72.以下哪一项能最有效的防止外包软件开发中的安全缺陷？ A. 进行软件许可、代码知识产权保护 B. 对工作的准确性和交付质量进行认证 C. 进行交付日期控制、变更管理控制和预算控制 D. 定义代码质量的合同要求 73.企业在收集隐私保护相关信息以明确其在隐私保护方面所负有的法律责任时，最相关的信息是？ A. 企业用于保护隐私信息的规程 B. 企业当前与隐私保护相关的安全方针 C. 对企业适用的政府机构颁布的隐私相关的法规 D. 由被认可的安全标准组织发布的隐私保护最佳实践 74.以下哪个验证协议为每一个会话创建一个新的随机数？ A. 点对点协议(PPP) B. 密码验证协议 (PAP) C. 可扩展验证协议(EAP) D. 挑战握手验证协议(CHAP) 75.组织的安全策略允许ping数据流经网络。攻击者在网络上利用ping 数据包的载荷在网络间传输数据。这种攻击方法被称为： A. 旁路攻击 B. 色拉米攻击 C. 碎片攻击 D. 隐蔽通道 76.在审核系统管理时，审计师发现系统管理员没有经过必要的培训，为了确保系统的完整性，需要立即采取哪项行动？ A. 安排有经验的管理员对所有系统进行评审 B. 对所有部门的规程进行评审 C. 对所有培训规程进行评审 D. 对HR招聘新员工的策略以及验证新员工能力的方法进行评审 77.OSI模型中，在发送方和接收方之间建立逻辑连接的是哪一层？ A. 物理层 B. 会话层 C. 传输层 D. 数据链路层 78.以下哪一项是最小授权原则的运用？ A. 建立岗位轮换机制 B. 监控和评审特权会话 C. 建立VPN隧道连接 D. 建立沙箱环境

79.检查安全编程的实践是否被贯彻，例如审计是否存在后门的最佳方法是？ A.对日志进行审计 B.影响分析 C.静态分析 D.代码评审 80.以下哪一项关于DRP测试的描述是正确的？ A. 如果所有测试都通过了，说明公司已经完全准备好应对灾难了。 B. 在测试时，需要停止其他的开发工作。 C. 只有在全部灾难计划能够被测试后才能开展测试 D. 如果部分测试出现故障，测试仍应该继续 81.IT风险管理计划最终必须由谁签字同意？ A．执行风险评估的IT审计师 B．高级管理层 C．CIO 首席信息官 D．CISO首席信息安全官 82.哪种火灾探测设备能够最快探测火灾： A． 离子探测 B． 光电探测 C． 红外探测 D． 紫外火焰探测 83.收集详细日志信息的主要问题是？ A. 大部分系统和应用不支持日志记录 B. 日志无法提供关于系统和应用活动的足够细节 C. 及时评审日志比较困难 D. 在需要日志的时候日志不可用的可能性增大 84.以下哪一项是网络配置管理中常见的风险？ A. 用户ID和密码没有设置有效期 B. 补丁难以保持一致 C. 网络拓扑图没有及时更新 D. 网络管理的职责分派给了系统管理员

85.组织对应用系统进行认证认可，认可的最后一步是： A. 对漏洞进行纠正 B. 进行授权的官员接受风险 C. 采用标准化的策略和规程 D. 信息安全官的批准 86.进行安全认证的主要目的是： A. 识别系统威胁、漏洞和可接受的风险水平 B. 正式确认风险分析和风险缓解已完成 C. 正式确认对安全策略和标准的符合性 D. 验证系统架构以及与其他系统关联的有效性 87.以下哪一项是本地部署身份管理系统的优点？ A．降低行政管理开支 B．降低基础设施资本成本 C．控制系统配置 D．改进身份互操作 88.组织使用了基于角色的访问控制(RBAC)，以下哪一项能防止不恰当的特权聚集？ A. 动态职责分离 B. 分级继承 C. BLP安全模型 D. Clark-Wilson 安全模型 89.识别数据泄漏的最大挑战是： A. 对相关疑问的理解依赖于法律执行 B. 高级管理层在调查可疑行为时的配合 C. 文档化的资产分级策略和清晰地为资产赋予标签 D. 对用户活动进行监控的可用技术工具

90.把字典攻击和暴力破解结合起来的，针对口令的攻击是： A. 社会工程 B. 混合攻击 C. 彩虹表攻击 D. 水坑攻击 91.点阵(lattice)模型的主要特征是： A. 最小上界和下界 B. 最大上界和下界 C. 最小下界，最大上界 D. 最小上界，最大下界 92.SIP 会话初始协议 (Session Initiation Protocol) 属于哪一层协议： A. 数据链路层 B. 传输层 C. 会话层 D. 应用层 93.以下哪项是使用手动补丁安装而不是自动补丁安装程序的原因？ A. 系统或应用程序不兼容的可能性将降低 B. 安装补丁所需的成本将降低 C. 系统易受攻击的时间将缩短 D. 覆盖大范围地理区域的能力得到提 94.业务连续性计划 (BCP) 何时被视为有效(valid)？ A. 当它被业务连续性经理验证后 B. 当它被经董事会验证后 C. 当它被所有的威胁场景验证后 D. 当它被现实的演练验证后 95.以下哪项是在商业软件构建中使用开源软件的主要风险？ A．缺少软件文档 B．许可协议到期 C．与软件支持相关的成本 D．要求发布修改代码的许可协议 96.基于角色的访问方法最有效地减轻了以下哪项安全风险？ A．业务应用程序中的职责分离冲突 B．对系统和数据的过度访问权限 C．缺少系统管理员活动监视 D．不适当的访问请求 97.以下哪种技术在处理数据时添加一些随机性，使得个人数据无法被准确识别，但又能保证统计特征较为准确？ A．去标识化 de-identification B．差分隐私 differential privacy C．微聚合 Micro-aggregation D．黑暗模式 dark patten 98.以下哪项是数据所有者的责任？ A. 通过对持续数据完整性的定期审计来确保质量和验证 B. 维护基本数据可用性，包括数据存储和归档 C. 确保适当用户的可访问性，保持适当的数据安全级别 D. 确定信息对组织使命的影响 99.在实施数据分级程序时，为什么避免过细的粒度很重要？ A.很难为数据分配所有权 B.该过程将被视为有价值 C.该过程将需要太多资源 D.很难同时适用于硬件和软件 100.一位组织高管的个人笔记本电脑从办公室被盗，其中包含人事和项目记录。应首先执行以下哪项以缓解未来发生这类情况的风险？ A. 加密个人笔记本电脑上的磁盘 B. 发行用于个人笔记本电脑的电缆锁 C. 制定处理个人笔记本电脑关键信息的政策 D. 监控个人笔记本电脑的关键信息

101.处理机密数据的系统的应用程序所有者离开了组织。预计将在大约六个月内聘用替代人员。在此期间，组织应该做以下哪一项？ A. 授予对前应用程序所有者帐户的临时访问权限 B. 为系统分配一个临时应用程序所有者 C. 限制对系统的访问，直到聘用了替代应用程序所有者 D. 在聘用替代应用程序所有者之前，防止更改机密数据 102.在前往高风险区域之前，以下哪些措施可以降低笔记本电脑的风险？ A. 检查设备是否被物理篡改 B. 实施更严格的基线配置 C. 清除或重新映像硬盘驱动器 D. 更改访问口令 103.组织希望为员工离职率高的IT基础设施项目部署授权机制。首选哪种访问控制机制？ A. 基于属性的访问控制 (ABAC) B. 自主访问控制 (DAC) C. 强制访问控制 (MAC) D. 基于角色的访问控制 (RBAC) 104.以下哪项最有可能导致对生产程序进行未经授权的变更？ A. 未经批准修改源代码 B. 未经批准将程序推向生产 C. 开发人员未经批准签出(check out)源代码 D. 未经批准使用快速应用程序开发 (RAD) 方法的开发人员 105.以下哪项会对可用性产生最大的负面影响？ A. 拒绝服务 (DoS) 攻击和过时的硬件 B. 未经授权的交易和过时的硬件 C. 发生火灾和意外更改数据 D. 未经授权的交易和拒绝服务攻击 106.哪种安全方法最能最大程度地减少数据泄露(data breach)造成的个人身份信息 (PII) 损失？ A. 传输中数据的端到端加密 B. 持续监测潜在漏洞 C. 强大的数据泄露通知流程 D. 对个人机密数据的有限收集

107.信息安全意识和培训的主要目标是什么？ A. 通知用户最新的恶意软件威胁 B. 告知用户信息保障责任 C. 遵守组织信息安全政策 D. 为参加培训者做好获得认证的准备

108.经验证的应用程序安全原则包括以下哪一项？ A. 最小化攻击面 B. 开发独立模块 C. 接受基础设施安全控制 D. 加固网络边界 109.从安全的角度来看，对于应用程序的输入必须做出以下哪种假设？ A. 不可信 B. 已记录 C. 已验证 D. 经过测试 110.点对点协议 (PPP) 使用以下哪项来确定数据包格式？ A. 第 2 层隧道协议 (L2TP) B. 链路控制协议 (LCP) C. 质询握手认证协议 (CHAP) D. 数据包传输协议 (PTP) 111.以下哪个授权标准是为处理联合身份管理 (FIM) 的应用程序编程接口 (API) 访问而构建的？ A. 远程验证拨入用户服务 (RADIUS) B. 终端访问控制器访问控制系统加 (TACACS+) C. 开放授权 (OAuth) D. 安全断言标记语言 (SAML) 112.一家总部位于美国 (US) 并在法国设有分支机构的国际医疗组织希望在这两个国家测试一种药物。允许组织对测试对象的数据做什么？ A. 聚合到美国的一个数据库中 B. 在美国处理，但在法国存储信息 C. 与第三方共享 D. 匿名化并在美国处理

113.以下哪项限制了个人执行特定过程的所有步骤的能力？ A. 工作轮换 B. 职责分离 C. 最小特权 D. 强制性假期

114.只允许企业内特定岗位职责的员工在某个限定的时间访问系统，使用哪种访问控制？ A. 强制访问控制 (MAC) B. 自主访问控制 (DAC) C. 基于角色的访问控制 (RBAC) D. 基于属性的访问控制 (ABAC) 115.创建身份时，采集生物特征是在哪个阶段？ A. 注册. (enrollment) B. 开通. (provisioning) C. 验证. (authentication) D. 标识. (identification) 116.使用 SAML 需要？ A．维护PAS B．建立SA安全关联 C．使用RPC远程过程调用 D．用户至少在一个provider上注册

117.系统管理员用以用以下哪一项识别未授权的调制解调器： A．回拨 B．搭线窃听 C．战争拨号 D．战争驾驶

118.关于 BSIMM (Building Security In Maturity Model) 的正确描述是： A．是一个非开放的基于软件安全实践模块的框架 B．是一个安全产品评估的概念模型 C．了解、执行、计划软件安全开发的积极行动 D．是一个为软件安全漏洞提供严重程度的评级模型 119.关于ISO/IEC 15408的正确描述是： A．用于指导信息安全管理体系的风险评估活动 B． 用于评价目标产品的安全保护等级 C．是一个关于企业IT治理的框架标准 D．是一个评估软件开发的成熟度模型的标准 120.以下哪个定义了恶意的 AP (访问接入点) ： A．没有通过防火墙管理的 AP B．没有使用 WEP加密的 AP C．接入交换机但是没有网络管理员管理的 AP D．被某种特洛伊木马或者恶意软件感染的 AP

121.以下哪项是机密性必须包含的？ A．数据保留 B．文档处置 C．数据处置 D．文件保留 122.如何最快速便捷清点员工人数？ A．主动红外探测 B．生物识别门禁系统 C．佩带RFID工卡 D．使用动态令牌 123.获得一个操作系统版本是centos 5.1，这是在渗透测试的那个阶段？ A．报告 B．发现 C．枚举 D．利用 124.一个员工制作并上传病毒到内网， 司法鉴定人员应该： A．断掉员工电脑网络连接 B．内部公告病毒影响 C．进行针对病毒的渗透测试 D．扣留该员工电脑 125.以下组织遇到的哪类安全问题最可能造成直接金钱上的损失？ A．设备 B．声誉 C．信息 D．信用 126.以下哪项必须成为支持电子发现存储在云环境中的数据的合同的一部分？ A．与组织目录服务集成以进行身份验证 B．数据的标记 C．混合部署模式 D．识别数据位置 127.哪个组件提供了 SCAP (Security Content Automation Protocol 安全内容自动化协议) 的漏洞信息： A．CVE B．CWE C．CVSS D．NVD 128.针对特定的团体目标，攻击者首先通过猜测或观察，确定这组目标经常访问的网站，并入侵其中一个或多个，植入恶意软件，最后达到感染该组目标中部分成员的目的。这是： A．僵尸网络 B．捕鲸攻击 C．水坑攻击 D．CSRF跨站请求伪造攻击 129.关于组织数据保留最大的风险是： A．保留超过数据有效期但是有数据取证需要的数据 B．保留超过数据有效期但是没有数据取证需要的数据 C．删除超过数据有效期但是有数据取证需要的数据 D．删除超过数据有效期但是没有数据取证需要的数据 130.SPA(简单功耗分析)用的方法是： A． 观察静电放电量 B． 磁场变化分析 C． 测量大量的密文和功耗曲线进行统计分析 D． 直接从测量的功耗曲线分析密钥信息

131.发现键盘与PC间多了物理设备，可能是遭到了哪种攻击？ A．社会工程 B．击键记录 C．功耗分析 D．旁路攻击 132.等价类分析的特点： A.衍生边界内的数据进行测试 B.找一个代表的数据进行测试 C.选择超过有效值域边界外的输入进行测试 D.选择输入值的无效组合进行测试 133.光纤属于哪一层设备： A．网络层 B．数据链路层 C．物理层 D．传输层 134.关于SOC3 描述正确的是： A．取代了以前的SAS70的关于服务运营控制的财务审计报告 B．关于企业内部控制有效性的外部第三方审计报告 C．关于安全和运营的对外公开的不包含详细信息的审计报告 D．服务运营组织内部的不对外公开的控制自评估报告 135.哪个是评估安全产品和系统的最佳国际公认标准？ A. 支付卡行业数据安全标准 (PCI-DSS) B. 可信计算机安全评价标准 (TCSEC) C. 信息安全管理体系 (ISMS) D. 信息技术安全评估通用标准 (CC) 136.容错(fault tolerance)的主要目标是什么？ A. 消除单点故障 B. 使用沙箱隔离 C. 单点维修 D. 遏制以防止传播 137.以下哪项被认为是最安全的密码password技术？ A.密码短语 Passphrase B.一次性密码 One-time password C.认知密码 Cognitive password D.密码文本 Cyphertext 138.What is the most critical piece to disaster recovery and continuity planning? 灾难恢复和业务连续性计划中最关键的部分是什么？ A. 安全策略Security Policy B. 管理层支持 Management Support C. 备份信息处理设施的可用性 Availability of backup information processing facilities D. 员工培训 Staff training 139.The environment that must be protected includes all personnel, equipment, data, communication devices, power supply and wiring. The necessary level of protection depends on the value of data, the computer systems, and the company assets within the facility. This can be determined by what type of analysis? 环境必须得到保护，包括所有的人员，设备，数据，通信设备，电力供应和布线等。必要的保护水平取决于该设施内的数据价值，计算机系统，以及公司资产。这可以通过什么分析来决定？ A. Critical-channel analysis 关键渠道分析 B. Critical-route analysis 关键路由分析 C. Critical-path analysis 关键路径分析 D. Critical-conduit analysis 关键管道分析 140.A Business Impact Analysis (BIA) does not: 业务影响分析 (BIA) 没有： A.Recommend the appropriate recovery solution 推荐合适的恢复解决方案 B.Determine critical and necessary business functions and their resource dependencies 决定关键和必须的业务功能，以及他们依赖的资源 C.Identify critical computer applications and the associated outage tolerance 识别关键计算机应用和相关的当机容忍度 D.Estimate the financial and operation impact of a disruption 预测中断带来的财务和运营影响 141.Which of the following is the BEST reason for a sales-focused organization to implement a certified Information Security Management System (ISMS)? 下面哪个是一个销售导向的组织实施一个ISMS信息安全管理体系认证的最好的理由？ A. Improve product development 提升产品开发 B. Increase customer trust 增加客户信任度 C. Decrease IT budget 降低IT预算 D. Improve service delivery 提升服务交付 142.Which of the following protocols does not operate at the data link layer (layer 2)? 下面哪个协议没有运行在数链层 (2层) ？ A. PPP B. RARP C. L2F D. ICMP 143.Encryption is applicable to all of the following OSI/ISO layers except: 加密可以适用在所有下面的OSI/ISO层，除了？ A. Network layer 网络层 B. Physical layer 物理层 C. Session layer 会话层 D. Data link layer 数链层 144.When would the Information Technology (IT) department of an organization review the Disaster Recovery Plan (DRP)? 什么时候组织的IT部门应当评审灾难恢复计划 (DRP) ？ A.When major changes occur on systems 系统发生重大变更的时候 B.When personnel changes occur 人员发生变更的时候 C.Before and after disaster recovery test 灾难恢复测试之前和之后 D.Every six months 每六个月 145.During the development of a contingency plan, which of the following processes MUST be performed prior to the design phase? 在开发业务连续性计划时，下面哪个流程必须是在设计阶段之前执行的？ A. Maintenance analysis 维护分析 B. Document flow analysis 文件流程分析 C. Financial impact analysis 财务影响分析 D. Requirements analysis 需求分析 146.Who is ultimately responsible for the security of a computer-based information system? 哪一项是计算机信息系统安全的根本问题? A. an operational issue. 操作问题 B. a management issue. 管理问题 C. a training issue. 培训问题 D. a technical issue. 技术问题 147.Which of the following is frequently used to increase the randomness of Linux passwords? 通常在Linux密码中加入以下哪一项来增加它们的随机性？ A. Salts 盐 B. Pepper 胡椒 C. Grains 谷物 D. MD5 hashes MD5哈希 148.Which of the following is used by Secure Shell (SSH) protocol for key exchange? SSH协议用以下哪一项交换密钥？ A. Diffie-Hellman DH算法 B. Blowfish 河豚算法 C. Triple Data Encryption Standard (3DES) 3DES算法 D. Rivest Cipher 4 (RC4) RC4算法 149.What is a commercial application of steganography that is used to identify pictures or verify their authenticity? 什么是隐写术的商业应用，用来识别图片或验证他们的真实性？ A.a MAC 消息完整性检查 B.a MD5 hash MD5哈希 C.a digital signature 数字签名 D.a watermark 数字水印 150.一个组织聘请了一个安全专家来开发他们的信息安全体系。发现缺乏强制执行的政策和程序后，该安全专家对工作区进行了下班后的检查，发现了一些无人关注的已登录的机器，缺少屏幕保护程序，并容易获得密码。 What is the FIRST step for the security professional to perform? 安全专家执行的第一步是什么？ A.Develop an after-hours access control policy. 制定下班后的访问控制策略 B.Document the findings in a management report. 在管理报告中记录发现 C.Report the violations to Human Resources. 向人力资源部门汇报违规 D.Develop access control scripts. 制定访问控制脚本 151.一个组织聘请了一个安全专家来开发他们的信息安全体系。发现缺乏强制执行的政策和程序后，该安全专家对工作区进行了下班后的检查，发现了一些无人关注的已登录的机器，缺少屏幕保护程序，并容易获得密码。 那么安全专家建议系统管理员首先应采取什么行动？ A. Implement strong passwords. 实施强密码策略 B. Revoke the effected accounts. 撤销受影响的账户 C. Review access permissions for least privilege. 评审访问权限实现最小特权 D. Enforce screen saver timeouts. 执行超时屏幕保护 152.下面哪个是收集计算机证据的基本原则？ A.Action taken by law investigators or their agents shall not change data held on media which may subsequently be relied upon in court. 法律调查员或他们的代理人采取的任何行动，不应当更改介质上的数据，其可能随后成为呈堂证供。 B.Action taken to change gathered evidence must be logged and documented and the documentary evidence must be presented in court. 采取的行动来改变收集的证据必须被记录，记录和单据必须在法庭上出示 C.Data seized which is not relevant to the case may be retained by law enforcement until the completion of the case. 与案件不相关的数据可能会由法律部门保留，直到案件全部结束 D.Data seized which is not relevant to the case must not be retained by law enforcement. 与案件不相关的数据不能够由法律部门保留

153.When outsourcing an organization's security functions, it is MOST important that 当组织外包安全职能时，最重要的是 A.contractual obligations are clearly defined. 清晰定义了合同的义务 B.vulnerability scanning is performed regularly. 漏洞扫描是日常执行的 C.knowledge transfer processes occur internally. 执行内部的知识传递流程 D.standards are reviewed for applicability. 审核适用的标准

154.The concept that the MOST effective security is achieved by multiple, overlapping security systems is 由实施多个重叠的安全体系来达到最有效的安全的概念是 A. top-down security. 自上而下的安全 B. holistic security. 全面的安全 C. defense-in-depth security. 纵深防御的安全 D. centralized security. 中央集中的安全 155.Risk mitigation and risk reduction controls for providing information security are classified within three main categories, which of the following are being used? 风险消减和降低风险的控制措施主要分为以下哪三个类别？ A. preventive, corrective, and administrative 预防、纠正和管理 B. Administrative, operational, and logical 管理、操作和逻辑 C. detective, corrective, and physical 检测、纠正、和物理 D. Physical, technical, and administrative 物理、技术和管理 156.Compared with hardware cryptography, software cryptography is generally 与硬件加密相比，软件加密一般 A. less expensive and faster. 更便宜、更快 B. less expensive and slower. 更便宜、更慢 C. more expensive and faster. 更贵、更快 D. more expensive and slower. 更贵、更慢 157.在调查组织的网站数据库被盗事件期间，尽管已经采用了客户端脚本输入验证，但确定黑客仍使用了SQL注入技术。以下哪项提供了最大的保护，防止再次发生同样的攻击？ A.Encrypt communications between the servers 服务器间的通信加密 B.Encrypt the web server traffic Web服务器流量加密 C.Implement server-side filtering 实施服务器端的过滤 D.Filter outgoing traffic at the perimeter firewall 在边界防火墙过滤外出流量

158.What is the MOST effective method to enhance security of a Single Sign-On (SSO) solution that interfaces with critical systems? 下面哪个是最有效的方法，来增强关键系统的单点登录解决方案的安全性？ A.High performance encryption algorithms 高性能加密算法 B.Reusable tokens for application-level authentication 应用级认证的可重用令牌 C.Transport Layer Security (TLS) for all communications 所有通信采用TLS加密 D.Two-factor authentication 双因素验证

159.Under Role based access control, access rights are grouped by: 在基于角色的访问控制模型下，访问权限通过什么来分组？ A. Policy name 策略名称 B. Rules 规则 C. Role name 角色名称 D. Sensitivity label 敏感性标签 160.以下哪项提供了软件安全评估的模型？ A. CVSS (Common Vulnerability Scoring System) B. CC (Common Criteria for Information Technology Security Evaluation) C. CVE (Common Vulnerabilities and Exposures) D. CWE (Common Weakness Enumeration)

1 C 2 C 3 A 4 B 5 C 6 B 7 C 8 C 9 D 10 D 11 C 12 A 13 B 14 C 15 B 16 B 17 B 18 A 19 D 20 B 21 C 22 A 23 D 24 D 25 B 26 D 27 B 28 B 29 B 30 D 31 C 32 D 33 B 34 C 35 C 36 B 37 B 38 A 39 C 40 C 41 C 42 C 43 B 44 A 45 B 46 A 47 C 48 C 49 A 50 C 51 D 52 C 53 B 54 B 55 B 56 A 57 C 58 A 59 C 60 B 61 B 62 C 63 A 64 D 65 A 66 D 67 C 68 A 69 D 70 B 71 C 72 B 73 C 74 D 75 D 76 A 77 C 78 D 79 D 80 D 81 B 82 A 83 C 84 C 85 B 86 C 87 C 88 A 89 C 90 B 91 D 92 D 93 A 94 D 95 D 96 B 97 B 98 D 99 C 100 C 101 B 102 B 103 D 104 B 105 A 106 D 107 B 108 A 109 A 110 B 111 C 112 D 113 B 114 D 115 A 116 D 117 C 118 C 119 B 120 C 121 C 122 C 123 B 124 D 125 A 126 D 127 A 128 C 129 C 130 D 131 B 132 B 133 C 134 C 135 D 136 A 137 B 138 B 139 C 140 A 141 B 142 D 143 B 144 A 145 D 146 B 147 A 148 A 149 D 150 B 151 D 152 A 153 A 154 C 155 D 156 B 157 C 158 D 159 C 160 B

1.下列哪一项匹配是错误的： •A. 功能测试—测试性能、负载、可靠性等 •B.回归测试——修改了旧代码后，重新进行测试以确认修改没有引入新的错误。 •C. 结构测试——测试者全面了解程序内部逻辑结构、对所有逻辑路径进行测试。 • D. 黑盒测试—涉及了软件在功能上正反两面的测试确认 2. 关于 DMARC（Domain-based Message Authentication Reporting and Conformance）正确说法是： • A. 一种基于零信任的域名管理系统，用于防止域名欺骗 • B. 一种数字签名算法，提供对PCIDSS的支持 • C.一种邮件验证协议，目的是提高电子邮件的安全性 • D. 一种加强的消息验证码（MAC），用于保护信息的完整性 3.企业构建PKI时，CA，RA和OCSP服务器正确的部署位置是： • A. CA, RA和OCSP服务器都部署在DMZ内 • B. CA， RA部署在内网，OCSP部署在DMZ • C. CA部署在内网，RA和OCSP部署在DMZ • D. OCSP部署在内网，CA和RA部署在DMZ

4. 司法取证的第一步是： • A. 镜像硬盘 • B. 拔电源 • C. 获取内存数据 • D. 正常关机 5.企业准备将之前自己维护的一个应用程序替换成使用SaaS供应商提供的软件，根据SP800-37r2 RMF 风险管理框架的要求，在替换之前，需要做以下哪一项？ • A. Approving To Operate / 批准运行 • B. Accreditation To Operate 认可运行 • C. Autohrization To Operate 授权运行 • D. Authorization To Use / 授权使用 6.购置软件如何进行安全评估？ • A. DLP策略 ( Data Leak Prevention policy ) • B. 软件保障策略（Software Assurance policy） • C. 持续监控 （Continual Monitoring） • D. 软件配置管理（Software Configuration Management）

7.公司把设备和科研转移到海外，安全官应担心什么？ • A.设备被盗 • B. 物理安全得不到保障 • C. 知识产权 • D. 缺少安全措施 8.渗透测试进入系统后，可能需要： • A. 管理评审 • B. 管理层审批 • C. 横向提权 • D. 纵向提权 9. VPN中使用端到端的加密有什么风险 • A.防火墙和监控软件识别不到应用数据 • B.在传输过程中每一跳先加密再解密，增加了密钥管理的复杂度 • C.报文的安全性因中间结点的不可靠而受到影响 • D.在网络层需要隔离的措施，进一步提高安全性

10.组织的服务器遇到flood攻击，以下方法哪项是快速有效的解决方法？ • A. 购买不同运营商的带宽 • B. 将服务下线 • C. 找安全供应商购买最新的安全软件 • D. 改变防火墙设置 11.组织打算获得ISO/IEC27001信息安全管理体系认证，考虑到风险和成本效益，打算只实施 27001附录A中的部分控制，这样做是否可行？ • A. 可行，但需要在证书范围中声明 • B. 可行，但需要管理评审批准 • C. 可行，但需要在适用性声明中说明 • D. 不可行，附录A中所有的控制都需要实施 12. 软件开发管理流程（SDLC）维持最新的硬件和软件清单主要用于支持： •A. 系统管理 •B. 变更管理 • C. 风险管理 • D. 质量管理

13.S/ MIME 靠什么交换密钥？ • A.共享 • B.证书 • C.IKE • D. SHA-1 14.最近在组织的网络上实施了身份验证系统，该组织进行了年度渗透测试，表明测试人员能够使用经过身份验证的凭据横向移动。最有可能使用哪种攻击方法来实现这一目标？ • A. Hash collision 哈希冲突 • B. Pass the ticket 传递票证 • C. Brute force 蛮力攻击 • D. Cross-Site Scripting （XSS）跨站点脚本 15.数据中心火灾风险高，用什么措施？ A. 手持 火器 • B. 干粉 • C. 干管 • D. 防火墙壁、防火天花板、防火地板

16.以下哪项能为变更提供控制： • A. 配置管理 • B. CMMI • C. 流程化 • D. 发布管理 17.进行安全意识培训程序的最后一步是？ • A.评估培训有效性 • B. 员工测试 • C. 收集员工的反馈 • D. 收集培训未涉及的内容以便将来的程序 18.一家公司聘请了一家外部供应商对新的工资单系统进行渗透测试。该公司的内部测试团队已经对系统进行了深入的应用和安全测试，并确定其符合安全要求。但是，外部供应商发现了重大的安全漏洞，其中敏感的个人数据以未加密的方式发送到税务处理系统。安全问题最可能的原因是什么？ • A. 性能测试不足 • B. 应用程序级别测试不足 • C. 未进行负向检测 • D.接口测试失败

19.进行安全评估的时候首先要进行以下哪个步骤？ • A. 执行业务影响分析 • B. 确定安全评估需求 • C. 买最先进的安全技术 • D. 获得管理层授权 20.已下哪项最好的防御已知明文攻击？ C A. 加密前压缩 C B. 加密后压缩 • C. 加密前哈希 • D. 加密后哈希 21.一项用于应对拒绝服务攻击（DOS）的控制可阻止30%的攻击，还能将攻击的影响降低60%。残余风险是多少？ A control to protect from a Denial-of-Service (DOS) attach has been determined to stop 30% of attacks, and additionally reduces the impact of an attack by 60%. What is the residual risk? • A. 42% • B. 28% • c. 18% • D. 10%

22. 对于跨国商业合作中的数据加密存储和传输应用，最有可能遇到的问题是？ • A. 国家与国家之间的加密标准规范不统一 • B. 部分国家的法规监管要求加密数据必须和密钥一起传送 • C. 部分国家的技术实力无法支持加密传输 • D. 很多国家地区的法规不允许过于强的加密，甚至可能不允许加密 23. 以下哪一项是供应商提供的软硬件的最后一个阶段？ • A. End of Sales 销售终止 • B. End of Support 支持终止 • C. End of Supply 供应终止 •D. End of Life 生命期终止 24. 以下哪项不是常用的避免SQL注入的方法？ OA.存储过程 • B.参数化SQL C.正则表达式 • D.禁用select

25. 电子传送 electronic vaulting 是： • A. 将交易数据实时传送到远程站点 • B. 将交易日志实时传送到远程站点 • C. 将变更后的文件实时传送到远程站点 • D. 将变更后的文件定期传送到远程站点 26.以下哪一项是在SLA之前建立的？ • A. SLR（服务级别需求） • B. OLA（运营级别协议） • C. UC（支持合同） • D. Service Report（服务报告） 27. 销售人员需要通过web应用访问客户信息，应该依据什么标准来确认web应用程序的分级？ • A. 加密算法 • B. 数据类型 C. 服务器安全级别 • D. 应用程序部署位置

28.新增加的软件（含自己开发/第三方开发/直接购买），实施之前应该做： • A. 静态测试 • B. 动态测试 • C. 代码审核 • D. 渗透测试 29.以下哪一项决定了CPU可直接寻址的内存空间大小： • A. CPU寄存器个数 • B. 地址总线的位数 • C. 10总线的位数 • D. 虚拟内存总数 30.信息安全从业人员正在实施一个新的防火墙。以下哪种故障方法最能优先考虑安全性？ • A. Fail-Open • B. Fail-Safe • C. Fail-Closed • D. Failover

31. 哪个角色负责项目的整体成功并支持整个组织的变更？ • A. Change approver 变更批准者 • B. Project manager 项目经理 • C. Program sponsor 方案发起人 • D. Change implementer变更实施者 32. 以下哪项 BEST 描述了组织何时应对新软件保护执行黑盒安全审核？ • A. 当组织希望检查非功能性合规性的时候 • B. 当组织想要枚举其基础设施中的已知安全漏洞时候 • C. 当组织确信最终源代码是完整的时候 • D. 当组织遇到安全事件的时候 33. WPA2有两种操作模式： •A. 分散式和集中式 •B. 企业模式和个人模式 • C. 网络模式和安全模式 • D. 受控模式和非受控模式

34.完整性检查器的缺陷是以下哪个 • A. 只读文件可能会被忽略 • B. 需要假定初始状态是完整的 • C. 难以确定一个修改 • D. 无法检查加密的文件 35.以下哪种恶意代码强调破坏作用本身，而实施破坏的程序通常不具有传染性： • A. 蠕虫 • B. 木马 • C. 逻辑炸弹 • D. 恶意广告 36.以下哪一项会引起 DRP/BCP评审： • A. 高导管理人员变更 • B. 安全委员会人员增加 • C. 业务连续性协调人离职 • D. 组织合并

37. 已知某程序有输入验证漏洞，以下最合适的做法是？ • A. 停止服务 • B. 代码修复 • C. 在IDS内更新特征 • D. 应用防火墙添加规则 38.从组织的角度来看，要求信息安全专家在工作中的公共场合尊重道德规范是因为： • A. 提高内部的安全措施执行效果 • B. 展示组织的形象 • C. 展示个人形象取得第三方信任的需要 • D. 展示个人诚信度 39. 下列哪个访问策略，系统根据用户对访问对象的固有安全属性确定访问权限： • A.能力表 • B. DAC • С. МАС • D. ACL

40. 手机上的企业数据和个人数据如何隔离最安全？ • A. 数据库隔离 • B. 加密隔离 • C. 存储分隔 • D. 应用程序隔离 41. 关于WPA2 的兼容性，说法正确的是： • A. 能兼容WPA和WEP • B. 能兼容WPA，但不能兼容WEP • C. 能兼容WEP，但不能兼容WPA • D. 既不能兼容WPA 也不能兼容WEP 42. 安全度量（metric）是为了： • A. 加速安全评估 • B. 量化评估安全措施的有效性 • C. 和最佳实践相一致 • D. 达到安全基线的最低要求

43.以下哪项使用URI作为身份标识 • A. SAML • B. OAuth • C. OpenID • D. OIDC 44.关于安全基线的最佳描述： • A. 组织的高级别安全定义 • B. 用来信息安全管理的软件 • C. 用来支撑组织信息安全政策的实践证明 • D. 在组织实施一致的安全配置 45. 决定个人访问网络的权限是依据： • A. 风险矩阵 • B. 数据价值 • C. 业务需求 • D. 数据分类

46. 以下哪一项不是隐私增强技术（PET）？ • A. 同态加密 • B. 差分隐私 • C. 黑暗模式 • D. 安全多方计算 47. RTO能确定？ • A. 数据丢失的时间长短 • B. 发生数据丢失的起始时间点 • C. 恢复应用需要的时间 • D. 恢复应用的优先级 48. 对工控系统进行 fuzzing（模糊测试）可以： • A. 通过冗余提高工控系统的可用性 • B. 对敏感数据进行处理后降低信息泄漏的风险 • C. 发现精确设计的输入导致的缺陷或随机动态的数据处理缺陷 • D. 通过ITF集成测试设施，对实时生产环境进行

49.机构在需要进行数据恢复时，发现存储在磁带上的数据因为设备的原因无法被读取了。需要做的事情： • A. 数据已经泄露，需要及时对磁带进行消磁或者处理 • B. 需要寻求第三方专业机构，对数据进行恢复 • C. 说明机构的数据备份措施已经失效，需要重新建设数据备份系统 • D. 磁带存储说明数据已经有保留，不需要处理 50.DR（灾难恢复）培训的目的： • A.正确应对安全事件 • B. 针对具体事件做出正确的反应 • C. 提升员工安全意识 • D. 对未来执行DR计划做好准备 51. 哪一项攻击会影响 VOIP通道的完整性？ • A. 窃听 • B. 中间人攻击 • C. 资源耗尽 • D. DOS攻击

52. 进行系统数据隐私保护第一步： • A. 数据隐藏 • B. 数据最小化 • C. 加密 • D. 数据存储 53.以下哪一项最有助于企业降低供应链风险： • A. 严格执行企业的采购流程 • B. 与供应商签订SLA • C. 严格控制供应商的访问权限 • D. 持续的监控、管理和评估 54. BSI（Build Security In 内置安全）的核心思想是： • A. 安全集成到开发生命周期的每一个环节 • B. 风险管理和控制措施是结合在一起的 • C. 操作系统的内核要足够安全 • D. 治理、风险和合规都应该考虑业务的安全需求

55.僵尸网络根据不同的命令控制机制，可划分为三类：基于IRC（因特网中继聊天）协议，基于HTTP协议 和： • A. 基于P2P结构 • B. 基于C/S机构 • C. 基于时钟同步 • D. 基于挑战应答 56. 增强WLAN最好的方式 • A. 隐藏SSID • B. 使用RADIUS认证 • C. 使用WPA2 • D. 使用56位密钥 57. 威胁模型确定了一个中间人（MITM）暴露。信息系统安全官员应选择哪种对策，以减轻PHI（受保护的健康信息）数据泄漏的风险？ • A. 隐私监控 • B. 安全评估 • C. 匿名化 • D. 数据审计

58.数字不可抵赖需要什么？ • A. 可信第三方 • B.适当的安全策略 • C. 对称加密 • D. 多功能识别卡 59.数据分类第一步做什么？ • A. 创建数据字典 • B. 确定所有者 • C. 识别数据 • D. 数据标签 60. 使用OTP（One time password）的双因素认证防止了下面的什么攻击？ • A. 重放 • B. 暴力破解 • C. 洪泛攻击 • D. 木马攻击

61.为什么国际上对计算机犯罪难处理？ • A. 跨国犯罪的复杂性 • B. 国家的贸易保护 • C. 不同国家的法律法规 • D. 难以界定跨国责任 62.对于含有即时通信IM系统的网络，最大的安全性挑战是什么？ • A. 系统兼容性 • B. 信息泄漏 • C. 病毒攻击 • D. 安全补丁 63.数字取证中为什么使用多重散列？ • A. 通过多重散列提高了取证数据的可用性 • B. 通过多重散列，抗抵赖性可以得到更好保护 • C. 多重散列实现了重要证据的知识分割 • D. 一个散列被碰撞后，还有另外的散列可以防止失效

64.要持续改进和提升信息安全管理，使用哪个工具？ • A. SABSA安全架构 • B. COSO 内部控制整合框架 C C. 风险热图 • D. PDCA模型 65.移动终端面临的最大安全漏洞在于： • A. 系统硬件 • B. 移动操作系统 • C. 分布式中间件 • D. 互联网应用程序 66. 交换机进行安全数据收集，交换机数据在X端口，采集器在Y端口，怎样让采集器收集到数据情报： • A.端口映射 • B. 端口镜像 • C. 端口复用 • D. 端口扫描

67.审计师关注： • A.日志收集的数据范围 • B.日志收集的时间 • C.日志的可用性 • D.日志的完整性 68. Linda 正与该组织的一家欧盟业务合作伙伴合作，促进客户信息的交换。Linda 的组织位于美国。Linda 确保GDPR合规的最佳方法是什么？ • A. 具有约束力的公司规则（BCR） • В. 隐私盾 （Privacy Shield） • C. 标准合同条款（SCC） • D.安全港 (Safe harbor) 69. 猜测TCP序列号属于： • A. IP欺骗 • B. 中间人攻击 • C. 碎片攻击 • D. SYN洪泛攻击

70.组织需要共享一个高等级账户，应该 • A. 減少组成员 • B. 完整日志记录 • C. 使用签出程序 • D. 进行特权提升 71.数据挖掘的风险： • A. 可以分析不同来源的数据 • B. 每个数据库的隐私标准不同 • C. 容易导致聚合攻击 • D. 数据库可用性受影响 72. 802.11g的主要特点： • A. 能够提供与802.11b向后兼容 • B. 提供QOS功能 • C. 支持802.1X验证 • D. 是一个城域网MAN无线标准

73.对写入光存储介质的数据进行哪种措施，能够保障数据无法恢复？ • A. 消磁 • B.清理 • C. 清除 • D. 销毁 74.公司内部检测到大量基于客户端的攻击，未来有效的缓解措施是： • A. 外围用防火墙进行web漏洞防护 • B. 解决基于客户端侧的web漏洞 • C. 实施前对客户端本机的服务进行漏扫 • D. 发布加固的客户端镜像 75. 两个存储设备之间通信防止攻击的方法： • A. 链路加密 • B. 防火 • C.IPS • D.IDS

76. 一家医院执行OECD的隐私保护原则。以下哪一项适用于患者从医院门户网站请求医疗记录？ • A. 用途说明 • B. 收集限制 • C. 使用限制 • D. 个人参与 77. 在安全评估中，信息安全人员的职责是 • A. 为组织匹配风险等级 • B. 验证安全措施有效性 • C. 确保安全岗位职责分离 • D.对员工进行安全意识宣灌 78.移动设备取证难点？ • A.登录移动设备需要密码验证 • B. 数据可能被加密 • C. 可能安装了特殊的软件 • D. 数据可能被远程擦除

79. PEAP通过下面哪项弥补EAP的漏洞： • A. TLS • B. AES • C. RSA • D. PPTP 80. 安全系统项目开发团队必须要要关注的是 • A. 同行业或竞争对手采用的方法 • B. SDLC没有涵盖到的软件和应用 • C. 新的项目管理方法 • D. 尚未正式生效的法律法规和监管条文 81. 渗透测试发现阶段的目的： • A. 收集目标系统的信息 • B. 发现程序遗留的后门 • C. 发现可以被利用的漏洞 • D. 获取系统权限

82.ISO27001关注组织架构，安全策略，以下描述正确的是： • A 国际组织架构更复杂，要求的安全策略更多 • B 金融行业公司比互联网公司组织架构复杂，出现问题损失更大 • C. 如果忽略组织架构，那么安全策略可能不适用 • D. 安全策略有普适性，对不同的安全组织结构都适用 83.web安全通讯，实施哪个能提供更好的安全性？ • A. TLS • B. SHA • C. SSL • D. SET 84. 数据所有者的职责 • A. 数据恢复 • B. 数据可用性的实现 • C. 数据备份和存档 • D. 脱离技术角度的数据保护

85. 一个人有个木马病毒文件，怎么样能最全面的知道这个病毒的最多的信息？ • A. 行为分析 • B. 代码审计 • C. 逆向代码审计 • D. 特征匹配 86. 安全部署程序必须？ • A. 威胁建模和修复必须在生产系统进行 • B. 用户验收的时候必须修复漏洞 • C. 实施安全版本管理和配置管理 • D. 代码审计和代码加密 87. 安排工程师对一个新的web应用进行负向测试，需要做的是？ • A. 输入范围外的值来判断系统的反应 • B. web应用漏洞扫描 • C. 对web应用性能进行压力测试 • D.对web应用性能进行负载测试

88. 公司遭遇洪水攻击，攻击者的动机可能是： • A. 破坏入侵检测防御系统 • B. 篡改核心服务器配置 • C. 以停止服务为威胁进行勒索 • D. 获得生产服务器root权限 89.SSH的优势 • A. 实现远程登录 • B. 传输数据加密 • C. 匿名通信 •D. 抗DDOS攻击 90. 数据归档在SDLC的什么阶段？ •A. 处置 •B. 需求 • C. 开发 • D.维护

91.WLAN中为什么用 ECC 而不是 RSA？ • A. ECC加密更强 • B. ECC密钥更短、加密更快 • C. ECC密钥更长 • D. RSA不安全 92.SQL的DAC自主访问方式下，给予用户“UPDATE”权限修改数据库的命令是： • A. DELEGATE • B. UPDATE • C. GRANT. • D. INVOKE 93.GDPR（一般数据保护条例）定义的公民在其个人数据信息不再有合法之需时拥有要求将其删除或不再使用的权利，这被称为： •A. 个人利益权 • B. 自愿选择权 • C. 被遗忘权 • D. 数据可携权

94.密码学的根基是： • A. ka (Entropy) • B. 加密 （Encryption） • C. 密码 （Cipher） • D. 哈希（Hash） 95.以下哪项不是微服务的特点？ • A. 将应用构建为一组小型服务 • B. 服务可独立部署 • C. 服务间使用ESB（企业服务总线）进行交互 • D. 去中心化 96. TCB（可信计算基）的核心是： • A. 引用监视器 • B. 安全内核 • C. 可信恢复 • D. 强制访问控制

97.企业一台互联网服务器遭到破坏，管理层收到报告后转给了安全经理，安全经理收到报告 之后首先要做的是： • A.用备份数据对互联网服务器进行恢复 • B. 对报告进行调查 • C. 更新配置管理中的服务器状态信息 • D. 启动数字取证流程 98. 敏捷模型的优势： • A. 关注流程 • B. 鼓励客户 • C. 明确需求 • D. 遵循计划 99.代码加密和代码隐藏是用来抵御： • A.逆向工程 • B. 隐蔽通道 • C. 木马攻击 • D. 程序后门

100. 对于员工卡，怎么防止克隆： • A. Personal Identify Verification (PIV卡) • B. Data Protection Card(DPC卡) • C. Token Authentication Card (TAC卡) • D. Hash Integration Card (HID卡) 101. EAP MD5 提供什么验证？ • A. 基于数字证书的验证 • B. 用户端验证服务器端 • C.服务器端验证用户端 • D. 双向验证 102. 和多个云供应商对接解决IAM身份和验证管理的措施是： • A. 实施SSO • B. 可传递信任 • C. 使用时钟同步令牌 • D. 使用异步令牌

103.客户端和服务器端需要共享密钥时，代码中硬编码了密钥，用什么解决比较好？ • A. RSA • B. ECC • C. Diffie-Hellman • D. DSA 104.实施企业身份和访问管理（IAM）的好处是： • A. 提高机密性 • B. 简化密码要求 • C. 自动执行职责分离 • D. 降低孤儿账户的风险 105.OWASP ASVL1 （Application Security Verification Levels） 应用安全验证级别1级的特点是： • A. 机会主义者会利用一切可能的简单漏洞 • B. 包含敏感信息的应用程序 • C. 需要最高保护级别的最关键应用 • D. 验证操作系统内核

106.Scrum方法论中的角色是什么？ • A. 产品经理，Scrum Master 和 开发团队 • B. 质量保证团队、Scrum Master 和 开发团队 • C. 项目经理，Scrum Master 和开发团队 • D. 系统所有者，Scrum Master 和开发团队 107. 一个软件模块中各部分的关联程度指的是？ • A. 内聚性 • B. 聚合性 • C. 耦合性 • D. 共生性 108. 攻击树的用处： • A. 简化分析 • B.威胁建模 • C. 单点故障 • D. 漏洞分析

109. 在软件开发生命周期中的需求收集阶段，下面哪个活动最适合用来降低风险？ • A. Create use cases 创建用例 • B. Identify regulatory needs 识别监管需求 • C. Review secure coding guidelines 审核安全编码指南 • D. Establish the development environment 建立开发环境 110. 保存用于硬盘加密的密钥， • A. 使用了冗余，提供更高的可用性 • B. 防篡改，保证秘钥完整性 • C. 通过数字签名，提供不可抵赖性 • D. 使用了混合加密，效率高 TPM（可信赖平台模块）相对 USB KEY 的优势： 111. 在为数据丢失防护（DLP）解决方案开发业务规则时，必须考虑以下哪一项？ • A. 数据可用性 • B. 数据敏感性 • C. 数据所有权 • D.数据完整性

112. 确定内部事故响应团队所需资源最有效的方式是： • A. 对标其他事故响应计划。 • B.聘请事故管理专家提供指导。 • C. 使用事件场景测试响应能力。 • D.确定事故响应的范围和章程。 113. 一名隐私工程师被要求查看一个在线账户登录页面。他发现，用户登录其在线账户时可以尝试的无效登录次数没有限制。 为了最大限度地减少这一弱点带来的潜在隐私风险，最好的建议是什么？ • A.实施验证码CAPTCHA系统。 • B.开发服务器端输入验证检查。 • C.强制执行强密码和帐户凭据。 • D.实施强大的传输层安全（TLS），以确保加密的链路。 114. 什么是访问控制列表？ • A.一个人访问资源所需的步骤列表。A list of steps necessary for an individual to access a resource. • B.表明授予每个人的许可类型的列表。A list that indicates the type of permission granted to each individual. • c.显示一个人有权访问的资源的列表。A list showing the resources that an individual has permission to access. • D.对资源的访问权限被撤销的个人列表。A list of individuals who have had their access privileges to a resource revoked.

115. Secure ShelI（SSH-2）支持身份验证、压缩、机密性和完整性，SSH通常用作以下所有协议的安全替代方案，除了： • A. telnet • B.rlogin • C.rsh • D. https 116. 下列哪项不是内部程序员绕过正常的安全控制，进行软件开发的常用方法？ • A. A Trojan horse 特洛伊木马 • B. A maintenance hook 维护钩 • C.A back door 后门 • D.A trap door 陷门 117. 以下哪一项不属于软件架构： • A. 客户端/服务器端 • B. 微服务 • C. 微隔离 • D. 为内核

118.运维团队负责决定什么数据需要备份，以及备份的频率。下面哪个类型的备份流程是备份自从上次所有数据备份以来的修改过的文件？ • A. Incremental backup 增量备份 • B. Full backup 完全备份 • C. Partial backup 部分备份 • D. Differential process 差异备份 119. 业务连续性计划经常会变得过时，下面哪项不是导致计划会变得过时的原因？ • A. 硬件、软件和应用的变化 Changes in hardware, software, and applications • B. 基础设施和环境的变化 Infrastructure and environment changes • C. 人员的流动 Personnel turnover • D. 业务连续性流程集成到变更管理流程中 That the business continuity process is integrated into the change management process 120.当应用程序错误地允许无效的输入被写入堆栈，返回的指针被指向恶意代码，发生了哪种攻击？ • A. Traffic analysis 流量分析 • B. Race condition 竞争条件 • C. Covert storage 隐蔽存储 • D. Buffer overflow \ФШ

121. RAID系统使用了一系列技术来实现冗余和性能。下面哪个活动是把数据分离写在几个驱动器上？ • A. Parity 奇偶校验 • B. Mirroring 镜像 • C. Striping 条带化 • D. Hot-swapping 热插拔 122.Bob最近实施了一种入侵预防系统（IPS），旨在阻止常见的网络攻击对他的组织造成影响。 Bob正在追求哪种类型的风险管理策略？ • A. 风险接受 • B. 风险避免 • C. 风险缓解 • D. 风险转移 123.以下哪项是编写信息安全策略的最佳理由？ • A. 支持信息安全治理 • B. 减少审计发现的数量 • C. 降低安全成本 • D. 实施有效的信息安全控制

124.X公司最近开发了一种新的微处理器制造工艺。该公司希望将该技术授权给其他公司使用，但希望防止未经授权使用该技术。什么类型的知识产权保护最适合这种情况？ • A. 专利 • B. 商业秘密 • C.版权 • D.商标 125. 在对某初创公司的自带办公设备BYOD实务进行风险评估期间，风险从业人员注意到，在第三方云应用上运行信用卡账号查询之前，数据库管理员将他的个人设备上的社交媒体网站最小化。风险从业人员应建议企业： • A. 开发和部署BYOD可接受使用政策 • B. 在每台移动设备上设置虚拟化桌面 • C. 将社交网站加入隔离区DMZ内设备的黑名单中 • D.为数据库管理员提供用户意识培训 126. 在灾难恢复过程中，由于之前备份的数据量太大，导致这部分数据恢复没能在既定的时间完成，这是没有达成哪一个目标？ • A. RTO 恢复时间目标 • B. RPO 恢复点目标 • C. SDO 服务交付目标 • D. WRT 工作恢复时间

127. PPTP 使用哪项加密技术： • A. L2TP • B. MPLS • C. MPPE • D. IPSec 128. 构建防火墻的第一步是？ • A. 了解并比较现有的防火墙技术 • B. 进行风险分析，识别需要解决的问题 • C.进行渗透测试，进行攻击面分析 • D. 明确防火墙管理员的角色和职责 129.0SI网络层能执行什么？ • A. 应用过滤 • B. 端口控制 • C. 数据包过滤 • D.RPC远程过程调用

130. Of the following, what is the primary item that a capability list is based upon? 能力表是基于下面哪项主要条目来建立的？ • A. A subject 一个主体 • B. An object 一个客体 • C. A product 一个产品 • D. An application 一个应用 131. 哪种类型的测试用于验证程序组件的数据结构、逻辑和边界条件？ • A. Acceptance testing 验收测试 • B. Regression testing 回归测试 • C. Integration testing 集成测试 • D. Unit testing 单元测试 132. 以下哪种技术可以隐藏信息还可隐藏技术本身？ • A.加密哈希 • B. 数据签名 • C. 隐写术 • D. 混合加密

133.在进行安全风险评估时为组织在日常安全所面临的挑战给出最好的指标的是？ • A. 内部安全测试 • B. 外部安全测试 • C. 公开安全测试 • D. 隐蔽安全测试 134.当危害（hazard）与人类脆弱性（vulnerability）相互作用时，哪种事件规模被定义为致命（deadly）、毁灭性（destructive）和引起混乱的（disruptive）？ • A. Crisis / ft. • B. Catastrophe / 77 • C. Accident / 事故 • D. Disaster 135. 以下哪项最能描述软件取证的目的？ • A. 分析恶意软件可能的恶意意图 • B. 执行循环冗余校验（CRC）验证并检测更改的应用程序 • C. 确定代码的作者和行为 • D. 审查程序代码以确定是否存在后门

136.以下哪一项不属于基于行为特征的生物识别验证方式？ • A. 击键力学 • B. 签字力学 • c. 语音识别 • D. 步态验证 137.哪一项最能防止硬行闯入： • A. 警报系统 • B. 旋转门 • C. 捕人陷阱 • D. 安全意识宣贯 138.最近离开组织的一位同事向安全专业人员索要该组织机密事件管理策略（confidentialincident management policy）的副本。以下哪项是对此请求的最佳响应？ • A. 在公司发行的设备上访问策略，并让前同事查看屏幕。 • B.通过电子邮件将策略发送给同事，因为他们已经是组织的一部分并且熟悉它。 • C. 不回应收到前同事的请求，并忽略它们。 • D. 使用公司官方渠道提交请求，以确保政策可以分发。

139.开发信用卡和医疗业务软件，要保障知识产权可以参考： • A. 27002 • B. HIPPA • C. PCI DSS • D. COBIT 140. Management can expect penetration tests to provide all of the following EXCEPT 管理层可以预期渗透测试达到下面的目的，除了： • A.identification of security flaws 找出安全漏洞 • B. demonstration of the effects of the flaws 证明漏洞的影响 • C. finding a method to correct the security flaws. 找到纠正安全漏洞的方法 • D. verification of the levels of existing infiltration resistance 验证当前的入侵防御水平 141. Which one of the following is a characteristic of a penetration testing project? 下面哪个是渗透测试项目的特征？ • A. The project is open-ended until all known vulnerabilities are identified. 直到发现了所有已知的漏洞，项目无法结束 • B. The project schedule is plotted to produce a critical path. 绘制项目时间安排来产生关键路径 • C. The project tasks are to break into a targeted system. 项目任务是突破进入目标系统 • D. The project plan is reviewed with the target audience. 项目计划由目标用户来评审

142. What type of risk analysis approach does the following graphic provide? 下面图示提供的是那种风险分析方法？ • A. Quantitative $= • B. Qualitative ZI • C. Classification >4 • D. Categorize S$ 143. For which one of the following is a computer user MOST accountable? 下面哪项是对一个计算机用户问责最需要的？ • A. Classifying important data files 对重要数据文件进行分类 • B. Actions performed with their identification 使用他们自己的身份来执行任务 • C. Sharing their logon password with appropriate persons 与合适的人共享他们的登陆密码 • D. Protecting system applications that are accessed 保护他们访问的系统应用程序 144. What should be the INITIAL response to Intrusion Detection System/Intrusion Prevention System (IDS/IPS) alerts? 针对入侵检测系统/入侵防御系统（IDS/IPS）报警的第一个响应是什么？ • A. Ensure that the Incident Response Plan is available and current. 确保事件响应计划是可用的和最新的 • B. Determine the traffic's initial source and block the appropriate port. 判断流量的初始源，并阻断合适的端口 • C. Disable or disconnect suspected target and source systems. 关闭或断开可疑的目标和源系统 • D. Verify the threat and determine the scope of the attack. 确认威胁并判断攻击的范围

145.以下哪一项是关于隐私信息管理体系（PIMS）的标准？ • A. ISO/IEC 27001. • B. ISO/IEC 27002 • C. ISO/IEC 27701 • D. ISO/IEC 29151 146. 以下哪项最好地保护了敏感信息泄漏？ • A. 安全哈希算法（SHA） • B. 传输层安全协议（TLS） • C. 有线等效保密协议（WEP） • D. 邮件协议（POP） 147. Which of the following BEST defines the final stage of the identity management architecture lifecycle?下面哪个最好的定义了身份管理架构生命周期最后一个阶段？ • A. Approval 批准 • B. Auditing 审计 • C. Communication i • D. Training 培训

148.一个组织制定了关于数据分类和数据处理相关的全面的政策和程序。但是，该组织还是因不当披露客户的隐私数据给第三方，遭到了许多客户的诉讼。这些泄露是没有恶意的。这些泄露的客户数据已经标识为机密。下面哪项是泄露问题最可能的原因？ • A. Improper data classification 不正确的数据分类 • B. Improper data retention 不正确的数据保留 • C. Improper data access controls 不正确的数据访问控制 • D. Improper data handling 不正确的数据处理 149. 小步快走，快速试错，送代周期短，需求变化频繁，是以下哪种开发方法的特点： • A. 螺旋开发模型 • B. 快速原型法 • C. 敏捷开发 • D. V字模型 150. 以下哪个角色在访问数据时必须十分谨慎并严格遵循安全策略和数据分类规则，他/她不能决定、维护或评价控制 • A. Data owner 数据所有者 • B. Data custodian 数据管理者 • C. Data user 数据使用者 • D. Information systems auditor 信息系统审计师

151. 以下哪些信息必须提供给用户帐户开通（provisioning）？ • A. 全名 • B. 唯一标识符 • C. 安全问题 • D. 出生日期 152.将安全补丁应用于之前经过通用标准（CC）评估保证级别（EAL）4级验证的产品，应该： • A. require an update of the Protection Profile （PP）. 要求更新保护配置文件（PP） • B. require recertification.要求重新认证 • C. retain its current EAL rating. 保留其当前的EAL评级 • D. reduce the product to EAL 3. 将产品降低至EAL 3 153.对于使用公共云服务的组织来说，以下哪种介质净化技术最有效？ • A. Low-level formatting 低级别格式化 • B. Secure-grade overwrite erasure 安全级别覆写擦除 • C. Cryptographic erasure 加密擦除 • D. Drive degaussing 驱动消磁

154.什么类型的攻击最能描述电磁脉冲（EMP）攻击？ • A. Radio Frequency （RF） attack / 射频（RF）攻击 • B. Denial of Service （DoS） attack / 拒绝服务（DoS）攻击 • C. Data modification attack / 数据修改攻击 • D. Application-layer attack / 应用层攻击 155. Determining outage costs caused by a disaster can BEST be measured by the: 确定由灾难造成的停机成本最好通过： • A. cost of redundant systems and backups. 冗余系统和备份的成本。 • B. cost to recover from an outage. 从中断中恢复的成本。 • C. overall impact of the outage. 中断的总体影响。 • D. revenue lost during the outage. 中断期间损失的收入。 156.谁主要负责确保安全目标与组织目标一致？ • A. 高级管理层 • B. 信息安全部 • C. 审计委员会 • D. 所有用户

157. 在高噪音、堆满物体的环境中，建议使用以下哪种报警系统来检测通过窗户的入侵？ • A. 声传感器 Acoustic sensor • B. 运动传感器 Motion sensor • C. 震动传感器 Shock sensor • D. 光电传感器 Photoelectric sensor 158. 当员工被解雇时，以下哪项是管理用户帐户的最有效做法？ • A. 实施流程以自动移除（remove）已离职员工的访问权限。 • B. 离职时删除（delete）员工网络和系统 ID。 • C. 手动移除（remove）离职员工对所有系统和应用程序的访问权限。 • D.禁用（disable）离职员工的网络ID以移除（remove）所有访问权限。 159.以下哪一项是为员工做好紧急情况准备的意识和培训计划中最重要的部分？ • A. 为普通员工建立紧急联系人以获取信息 • B. 为那些直接参与恢复的人员进行业务连续性和灾难恢复培训 • c. 为不同的受众设计业务连续性和灾难恢复培训计划 • D. 在企业网站上发布企业业务连续性和灾难恢复计划

160.从系统或存储设备中移除（removing）敏感数据以使数据无法通过任何已知技术重建的过程是什么？ • A. 清除 / Purging • B. 加密 / Encryption • C. 格式化 / Formatting • D. 清理 / Clearing 161. 系统开发生命周期（SDLC）流程的安全认可在哪个阶段的未期完成？ The security accreditation task of the System Development Life Cycle (SDLC) process is completed at the end of which phase? • A. 系统获取和开发 • B. 系统运维 • C. 系统初始 • D. 系统实施 162.Bob 的组织最近完成了对一家竞争对手公司的收购。以下哪项任务最不可能成为收购过程中组织流程关注的一部分？ • A. 合并安全职能 • B. 集成安全工具 • C. 保护知识产权 • D. 整合安全政策

163. 一个组织计划购买由小型供应商开发的定制软件产品以支持其业务模型。在创建合同协议时，考虑到与这种依赖关系相关的潜在长期风险，应特别关注以下哪项？ • A. 对技术文档的访问 • B. 要求对软件源代码进行独立审查的权利 • C. 要求提供符合安全要求声明的尽职调查表 • D. 源代码托管条款 164.应用程序的设计审查已经完成，准备发布。组织应该使用什么技术来确保应用程序的完整性？ • A.应用程序身份验证 • B.输入验证 • C.数字签名 • D.设备加密 165.两个公司之间出现了恶意行为，适用哪种法？ • A.刑法 • B. 民法 • C.监管法 • D.行政法

恶意软件

病毒

逻辑炸弹

木马

蠕虫

间谍软件和广告软件

勒索软件

恶意脚本

零日攻击

反恶意软件

SQL注入攻击

代码注入攻击

命令注入攻击

不安全的直接对象引用

目录遍历

文件包含

XSS 跨站脚本

请求伪造

会话劫持

输入验证

web应用防火墙

数据库安全

代码安全

源代码注释

错误处理

硬编码凭证

内存管理

编程语言

库

开发工具集

面向对象编程 OOP

保证

避免和抑制系统故障

甘特图和PERT

变更和配置管理

API

软件测试

代码仓库

服务水平协议

第三方软件采购

数据库

行政

刑事

民事

监管

行业标准

电子取证 eDiscovery

证据类型

证据链

工件、证据收集和取证程序

收集证据

请求执法

实施调查

约谈个人

数据的完整性和保存

报告和记录调查

兴奋攻击

黑客

恶意攻击

组织的道德规范

ISC的道德规范

道德规范和互联网

事件-计算机安全事件

步骤

不包括对攻击者的反击

DNS中毒 smurf攻击 fraggle攻击（UDP 7和19端口）

死亡之ping-超大包 泪滴-数据包打碎 land攻击-受害者的ip作为源和目的地址，发送SYN

基于知识/基于签名 knowledge-based detection/signature-based detection

基于行为的/统计入侵检测/异常检测/启发式检测 behavior-based detection

IDS响应

基于主机的IDS 基于网络的IDS（其中一种基于应用的IDS）

蜜罐/蜜网 honeypot

警示

反恶意软件

黑名单和白名单

防火墙

沙箱

第三方安全服务

授予用户执行工作所需数据或资源的访问权限

与安全许可关联 security clearance

子主题

主体被授予制定工作所需要的特权

确保个体无法完全控制关键功能或系统

双人制 two-person control

威胁和检测机制

威胁和检测机制

Windows下

Linux

powershell脚本提升特权，使用SIEM检测发警报

通过监控提升特权可以发现

CMS 自动配置管理系统

媒介保护

配置

基线

保证变更不会导致意外的中断

变更前批准，且测试和记录

未经授权的影响可用性

流程

补丁管理流程

漏洞管理

类型

保护日志数据

监测的作用

监测技术

SOAR

杀伤链

MITRE ATT&CK

威胁馈送

验证某项控制措施是否政策运行， 包括：自动化扫描、工具辅助的渗透测试、破坏安全的手动测试

渗透测试可以每年一次

系统、应用程序、其他待测环境的安全性的全面检查

一般包括：自动化扫描和手工渗透测试

还包括：威胁环境、当前和未来风险、目标环境价值的细致审查

为了向第三方证明控制措施的有效性而进行的评估

内部审计

外部审计

第三方审计

审计标准

漏洞描述

漏洞扫描

渗透测试

合规性检查

测试软件

实施安全管理流程

隐式拒绝

访问控制矩阵

能力表