A.经过飞机航线的区域 (只要不是临近机场,万米高空航线经过影响很小)
B.所在地区的犯罪发生率
C.易受台风影响的区域
D.周边的建筑和商业情况
A.强制访问控制 MAC (敏感标签系统性地执行访问控制,而不是由数据所有者或其他人自行决定)
B.自主访问控制 DAC
C.非自主访问控制 NDAC
D.基于角色的访问控制 RBAC
A.字段级加密 field level encryption
B.行级数加密row level encryption
C.批量数据哈希batch hash
D.数据标记化data tokenization(用随机数对敏感数据进行替换,进行脱敏处理)
A.随机 Randomization
B.扩散 Diffusion
C.混淆 Confusion
D.离散 Discrete
A.SYN洪泛攻击
B.暴力破解
C.端口扫描
D.木马
A. 监测访问控制
B. 对用户进行安全意识培训
C. 将责任分配到部门主管
D. 对IT人员进行培训
A.拒绝服务 (DoS) 攻击
B.端口扫描
C.中间人攻击
D.欺骗 (spoofing)
A.服务器和服务器之间的交叉验证
B.客户端和服务器端建立连接时的三次握手
C.客户端一旦被服务器端验证,则客户端可以访问系统内其他的资源
D.服务器端验证客户端,客户端验证服务器端
A.在紧急情况下能自动锁定
B.可以监控门窗的打开情况
C.当检查到入侵时会自动触发报警
D.克服了钥匙管理问题
B.在目标字段中拥有广播地址的数据包。
C.开启TCP连接的复位标记的数据包。
D.用动态路由替代静态路由的数据包。
A.启用源路由字段的数据包。
A.仅加密用户信息,不加密数据包头部、尾部、地址和路由信息
C.加密发生在应用层
D.密钥分发和管理相对简单
B.数据包在每一跳都进行解密,因此有更多脆弱点
A.网络硬件
B.系统硬件
D.应用软件
C.系统软件
A.特征型
C.推理型
D.归纳型
B.启发型
B.低错误拒绝率 (FRR)
C.低相等错误率 (EER)
D.低误判率 (FIR)
A.低错误接受率 (FAR)
A.包含敏感信息的日志
B.包含系统调用的日志
D.写用户目录的程序
C.写系统资源的程序
B.破坏了职责分离
C.不必要的代码复杂性
D.不必要的进程隔离
A.可能执行恶意代码
A.将BIA的结果报告给管理层,以获得业务连续性项目资金
C.准备测试计划,测试灾难恢复能力
D.进行风险评估与分析
B.识别并选择恢复策略
B.密钥分发中心 (KDC)
C.因特网协议的简单密钥管理 (SKIP)
D.预启动执行环境 (PXE)
A.可信赖平台模块 (TPM)
A.攻击者的地址
B.受攻击的本地系统
D.默认的网关
C.指明的源地址
A.识别已实施的安全控制
C.获得未合规系统的证据
D.与系统所有者一起分析新的控制
B.定义需要审计的范围
B.在合同中明确知识产权保护条款
C.确保供应商参加开发计划会议
D.给供应商提供隔离的开发环境
A.客户和供应商的重叠代码评审
A.使用系统特权,修改对服务器的访问许可
C.继续进行测试并在测试完成时报告IT管理层
D.终止渗透测试并将发现转交给服务器管理团队
B.立即记录该发现并报告给管理层
A.用户A
B.用户B
C.用户C
D.用户D
BLP:不能下写,不能上读
Biba:不能下读,不能上写
A.TGS (Ticket Granting Server)
C. AS (Authentication Server)
D.PAS (Privileged Attribute Server)
B.IDP (Identity Provider)
A.减少并发的用户会话数量
B.加强初始密码的分发控制
C.定期更新所有系统的登录口令
D.在登录系统失败后加入延时
A.安装多种防病毒软件
C.使用ITF集成测试设施
D.使用僵尸网络进行测试
B.使用EICAR文件进行测试
A.安全指南的文档不全面
C.基于主机的入侵防御系统存在缺陷
D.安全补丁没有及时更新
B.缺乏安全基线
B.最小授权
C.基于规则的访问控制
D.自主访问控制
A.职责分离
A.监控员工的工作效率
B.满足合规要求
D.验证日志运作良好
C.识别异常的使用模式
A.安全审计规程
B.软件补丁规程
D.应用监控规程
C.配置控制规程
A.识别法规要求
C.评审安全基线配置
D.评审之前的审计报告
B.执行风险评估
A.确保数据在预定的一段时间内的可用性和机密性
C.确保数据在预定的一段时间内的完整性和机密性
D.确保数据在预定的一段时间内的完整性、机密性和可用性
B.确保数据在预定的一段时间内的可用性和完整性
B.数据链路层
C.网络层
D.传输层
A.物理层
A.机密性
C.可用性
D.可问责
B.完整性
A.利用IS的安全弱点
B.为DRP做准备
C.衡量安全控制薄弱的系统的性能
D.评价安全控制的有效性
A.误接受率非常高
B.误拒绝率非常高
C.样本数量不充分
D.完全匹配
A.获得的眼底血管纹理的数据和之前存储的样本数据的比对
C.获得的瞳孔的尺寸大小数据和之前样本的比对
D.计算的哈希值和预存于数据库中的数据的比对
B.获得的细节模版和之前储存的样本模版的比对
A.用户可以修改他们的安全软件配置
B.主机可以建立网络通信
C.运行在各个主机上的防火墙可由用户定制
D.所有主机上都实施了常用的软件安全组件
A.生物识别访问控制
C.应用加固
D.联合身份管理
B.基于角色的访问控制
A.基于TLS的HTTP (HTTPS)
B.标准通用标记语言 (SGML)
D.可扩展标记语言 (XML)
C.安全断言标记语言 (SAML)
A.对相关疑问的理解依赖于法律执行
B.高级管理层在调查可疑行为时的配合
D.对用户活动进行监控的可用技术工具
C.文档化的资产分级策略和清晰地为资产赋予标签
B.系统不兼容和补丁管理
C.不恰当的压力测试和应用接口
D.系统管理和操作系统
A.第三方应用和变更控制
A.加密和可选择验证整个IP包
B.加密和可选择验证IP头部,而不是IP载荷
D.验证IP载荷及选择的部分IP头部
C.加密和可选择验证IP载荷,而不是IP头部
A.使用了Kerberos验证
C.只要求客户端的数字证书
D.服务器端和客户端都需要数字证书
B.只要求服务器端的数字证书
EAP—TTLS:Extensible authentication protocol-Tunneled Transport Level Security
B.CHAP挑战握手身份验证协议
C.PEAP 保护的可扩展验证协议
D.EAP-TLS 可扩展验证协议-传输层安全
A.PAP口令验证协议
A.DES
C.Diffie-Hellman
D.IDEA
B.DSA
DH然也是非对称算法,但只能用于交换会话密钥,不能用于加密和做数字签名
A.发现
B.侦查
D.漏洞利用
C.漏洞勘探
发现/侦查、枚举、漏洞勘探 mapping、漏洞利用 explore、报告
A.主键
C.候选键
D.Null 空值
B.外键
A.强身份验证
B.使用数字证书
D.落实安全基线
C.安全意识培训
A.MPPE
B.RC4
C.IDEA
D.L2TP不提供任何加密功能
A.在运行环境中测试
B.使用大量异常数据测试,导致系统崩溃
C.没能有效测试出程序中隐含的后门
D.在测试环境里用精确复制的生产数据
A.Reuse 重用
B.Revoke 注销
C.Replay 重放
D.Repudiation 抵赖
欺骗身份(Spoofing):攻击者通过伪装成合法用户来获取未授权访问。
篡改数据(Tampering):攻击者修改数据流或数据存储中的数据。
否认(Repudiation):攻击者否认自己进行的操作或事件。
信息泄露(Information Disclosure):攻击者泄露敏感信息。
拒绝服务(Denial of Service):攻击者阻止合法用户对资源的访问。
权限提升(Elevation of Privilege):攻击者获得高于其授权级别的权限。
A.数字证书
B.消息验证码
C.数字签名
D.区块链网络
A.作为政策需求的指标
C.作为提高认识和培训的备选方案
D.作为业务功能差距指标
B.作为改进的手段
A.效率
B.机密性
C.隐私
D.不可抵赖性
A.确定谁是事件的执行者比事件如何发生更重要
B.在散列服务器硬盘内容之前,必须通知执法部门
C.将硬盘上的内容复制到其他存储设备可能会损坏证据
D.从网络中移除服务器可能会妨碍抓获入侵者
A.政策被用来强制执行违规行为,而程序会产生惩罚
B.政策指向指南,程序更具契约性
C.政策包括在意识培训中,程序提供指导
D.策略本质上是通用的,过程包含操作细节
A.Bell-LaPadula模型
C.取-予模型
D.Harrison-Ruzzo模型
B.Biba模型
A.通过确保任何数字输入在预期范围内,对任何数字输入执行输入验证
B.使用数据流分析来最小化误报的数量
C.使用并指定强字符编码
D.使用自动静态分析工具
A.持续执行
B.各个业务流程和子流程每年一次
C.关键业务流程每三至六个月一次
D.每年一次或出现重大变更时执行
A.Disk mirroring 磁盘镜像 (RAID1)
C.Data dictionary 数据字典
D.Gold master 母盘
B.Check point 检查点
A. 尽职关注
C. 第三方托管
D. 独立审计
B. 尽职勤勉
A. 主冗余服务器放在异地
C. 分支服务器数据存储到磁带,存放于异地
D. 分支服务器和中央主服务器实现集群
B. 中央主服务器数据存储到磁带,存放于异地
A.获得证书后,为熟识的申请人背书
B.应聘面试时,向面试官出示过期的证书
C.考试时记住了一些考题,回到家中翻书对答案
D.证书已过期,在邮件签名栏仍然使用CISSP标识1
A. 生成数据字典
B. 数据估值
C. 识别数据所有者
D. 风险评估1
A. 申请弱电间专用
B. 申购UPS
C. 与保洁员签订保密协议
D. 风险评估
A. 一些纠正型的修复程序会影响其性能
B. 因为厂家无法测试修复程序的可靠性
C. 工控设备非常可靠,即使不修复补丁也能正常运行
D. 企业对于工控补丁测试所需要的资源无法做出承诺
A.数据完整性
C.数据源验证
D.免受重放攻击的保护
B.数据机密性
A.锁定功能
B.密码重置
C.口令短语
D.图形验证码
A. OpenFlow协议是构建SDN解决方案的基础元素
B. SDN技术能够有效降低设备负载,协助网络运营商更好地控制基础设施,降低整体运营成本
D. SDN是一种动态、可管理、经济高效且适应性强的体系结构,非常适合应用的高带宽、动态需求
C. SDN将络设备的控制面与数据面耦合,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能
·每年 99.995% 的正常运行时间
·2N+1 完全冗余的基础架构
·96小时断电保护
·每年 26.3 分钟的停机时间。
A. Tier 1 data center
B. Tier 2 data center
C. Tier 3 data center
D. Tier 4 data center
Tier 1:Tier 1数据中心有单一路线供电和冷却,如果有的组件也是少数、且无备份。其预计运行时间为99.671%(每年停机时间为28.8小时)。
Tier 2:Tier 2数据中心有单一路线供电和冷却,但有一些冗余和备份组件。其预计运行时间为99.741%(每年停机时间为22小时)。
Tier 3:Tier 3数据中心有多条供电和冷却路线,并有系统在不离线的情况下进行更新和维护。其预计运行时间为99.982%(每年停机时间为1.6小时)。
Tier 4:Tier 4数据中心被建造成完全容错的,且所有组件都有冗余。其预计运行时间为99.995%(每年停机时间为26.3分钟)。
A. 假名化数据。
C. 去标识的数据
D. 重新标识的数据
B. 匿名化数据。
假名化数据:使用假名替代真实姓名,以保护个人隐私并降低数据风险。假名化通常以生成新字符的方式进行,使得在不借助额外信息的情况下无法识别出个人信息主体
A.用户、权限、操作和受保护对象
Users, permissions, operations, and protected objects
B.角色、帐户、权限和受保护对象
Roles, accounts, permissions, and protected objects
D.角色、操作、帐户和受保护对象
Roles, operations, accounts, and protected objects
C.用户、角色、操作和受保护对象
Users, roles, operations, and protected objects
B. SOC 1 类型 2
C. SOC 2 类型 1
D. SOC 2 类型 2
A. SOC 1 类型 1
SOC 1类型1:报告组织的一般内部控制,重点是财务相关的控制。
SOC 1类型2:报告组织的详细内部控制,包括财务和非财务控制。
SOC 2类型1:对服务组织内部控制的特定方面进行评估,通常涉及财务报告、合规性、资产完整性等。
SOC 2类型2:对服务组织的内部控制进行全面评估,包括财务、非财务和安全控制。
A.主动而非被动,预防而非补救
C. 完整的功能 — 正和,而不是零和
D. 可见性和透明度 — 保持开放
B.嵌入风险管理的隐私保护
1.积极主动,不被动;预防性的,非补救性的
2.隐私作为默认设置
3.隐私嵌入设计
4.全功能——正和,非零和
5.端到端安全——全生命周期保护
6.可见性和透明度—keepitopen
7.尊重用户隐私,以用户为中心
A不假设任何事 (Assume nothing)
B不相信任何人 (Believe nobody)
C检查所有内容 (Check everything)
D默认拒绝 (Default Deny)
D 阻止威胁(Defeatthreats)
A. 未实施网络冗余
B. 安全意识培训未完成
D. 用户具有管理员权限
C. 生成的备份磁带未加密
A. 确定相关的立法和监管合规要求
B. 了解信息资产的价值
D. 确定适用于组织的合同安全义务
C. 确定管理层可以容忍的残余风险水平
B. 哈龙气体灭火系统
C. 干管式洒水器
D. 湿管式洒水器
A. 惰性气体灭火系统
A. 网络钓鱼
B. Salami攻击
C. 后门
D. 逻辑炸弹
A. 根据敏感性对记录进行分级
B. 识别和清点所有记录存储位置
C. 识别和清点所有记录
D. 起草记录保留政策
A. CSP 确定数据重要程度
B. CSP 提供端到端的加密服务
C. CSP 的隐私政策可能由组织制定
D. CSP 可能不受组织所在国家地区法律的约束
A.Diffie-Hellman算法
C.高级加密标准 (AES)
D.信息摘要5 (MD5)
B.安全套接字层 (SSL)
A.状态防火墙
B.分布式防病毒
D.被动蜜罐
C.日志分析
A.威胁建模方法
B.服务水平要求 (SLR)
C.服务水平协议 (SLA)
D.第三方风险管理
B. 贝尔·拉帕杜拉 Bell-LaPadula
C. 克拉克·威尔逊 Clark-Wilson
D. 比巴 Biba
A. 中国墙 Chinese Wall
中国墙模型将对象分为不同的冲突类别。·lnitially,用户可以访问属于任何冲突类别的任何对象。但是,一旦用户访问一个对象,墙就会围绕着用户,用户无法访问任何其他与用户已经访问过的对象所在的当前类别冲突的类别的对象。
A. 欺骗Spoofing
B. 替代 Substitution
D. 内容篡改 Content tampering
C. 窃听 Eavesdropping
A. 点对点协议 (PPP) 和互联网控制消息协议 (ICMP)
C. 地址解析协议 (ARP) 和反向地址解析协议 (RARP)
D. 传输层安全 (TLS) 和安全套接字层 (SSL)
B. 传输控制协议 (TCP) 和用户数据报协议 (UDP)
A. 比公开测试带来的风险更小
B. 专注于识别漏洞
C. 测试和验证组织中的所有安全控制
D. 测试员工对组织安全政策的了解和实施情况
隐蔽安全测试(也称为黑帽测试)采用对抗性方法,在组织IT人员不知情的情况下,在高层管理人员完全知情和许可的情况下执行测试。这种类型的测试对于测试技术安全控制、IT员工对感知到的安全事件的响应以及员工对组织安全策略的了解和实施非常有用。隐蔽测试可以在有或没有警告的情况下进行。隐蔽测试的目的是检查对手可能造成的损害或影响一它并不专注于识别漏洞。这种类型的测试不会测试每个安全控制、识别每个漏洞或评估组织内的所有系统。隐蔽测试从对抗的角度检查组织,通常会识别和利用最基本的漏洞来获得网络访问权限
A. 强制访问控制 (MAC)
B. 自主访问控制 (DAC)
C. 基于角色的访问控制 (RBAC)
D. 基于属性的访问控制 (ABAC)
B.供应商提供的现成的商业软件,用于可用性较高的工业控制环境
C.供应商根据企业的具体情况,具体要求而定制开发的软件。
D.美国国防采办项目要求必须使用国防部颁布的军用标准与军用规范。
A.可以采购到的具有开放式标准定义的接口的软件或硬件产品,可以节省成本和时间。
COTS(商务现货供应)产品是指使用"不再做修理或改进"的模式出售的商务产品,这种产品设计的原则就是安装简便,并且可以在现有系统部件的条件下运行。平均水平的电脑用户所要买的软件几乎都可以是COTS类别的产品:操作系统、Ofice产品组合、字处理以及电子邮件程序就是其中的几个例子。COTS 软件的最大优点就是它的大量生产以及相对的低成本。
A. 静态应用程序安全测试 SAST (Static Application Security Testing)
B. 动态应用程序安全测试 DAST (Dynamic Application Security Testing)
C. 交互式应用程序安全测试 IAST (Interactive Application Security Testing)
D. 运行时应用程序安全保护RASP (Runtime application self-protection)
SAST:静态应用程序安全测试(StaticApplicationSecurityTesting)技术通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。《误报率高》
DAST:动态应用程序安全测试(Dynamic Application SecurityTesting)技术在测试或运行阶段分析应用程序的动态运行状态。 它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击。
IAST:交互式应用程序安全测试(InteractiveApplicationSecurityTesting)是2012年Gartner公司提出的一种新的应用程序安全测试方案,通过代理、VPN或者在服务端部署Agent程序,收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。
RASP:运行时应用程序安全保护,它在应用程序内部运行,但它不是测试工具,而是安全性工具。它插入到应用程序或其运行时环境中,并且可以控制应用程序的执行。RASP允许应用程序对其自身进行连续的安全检查,并通过终止攻击者的会话并警告防御者攻击来对实时攻击做出响应。
A. 服务器创建会话密钥,并用客户公钥进行加密;
B. 服务器创建会话密钥,并用服务器私钥进行加密;
C. 客户端创建会话密钥,并用客户端私钥进行加密;
D. 客户端创建会话密钥,并用服务器公钥进行加密;
A. 备用站点需要具备和主站点相同的处理能力
B. 在各分支机构间实现互惠协议以降低成本
C. 充分利用已有的网络安全连接,确保备用站点的网络可用性
D. 备用站点和主站点要间隔足够的距离以避免受到相同灾难的影响
A. RAID 0
B. RAID 3 (字节级奇偶校验)
D. RAID 10
C. RAID 5
A. 差分功率分析 Differential power analysis
B. 简单功耗分析 Simple power analysis
D. 时序分析Timing analysis
C. 微探测分析 Microprobing analysis
使用针头和超声波振动来去除智能卡电路上的外层保护材料。一旦成功,便可直接窃听卡内的ROM芯片以访问和操纵数据
A. 多态性
C. 实施数据库视图
D. 去范式化
B. 范式化
A. 并发完整性 Concurrent integrity
B. 参照完整性 Referential integrity
D. 语义完整性 Semantic integrity
C. 实体完整性 Entity integrity
A.引用监控器是可信计算基 (TCB) 的核心,由安全内核组成
B.引用监控器实现和增强了安全内核
C.安全内核也叫抽象机,实现了引用监控器的概念
D.安全内核实现和执行了引用监控器
A. XML 可扩展标记语言
C. SGML 标准通用标记语言
D. HTML 超文本标记语言
B. SPML 服务配置标记语言
A. 初始级 Initial
B. 可重复级Repeatable
D. 可管理级Managed
C. 已定义级 Defined
CMM(Capability Maturity Model )的五个等级分别是:
初始级(Initial):软件过程是无序的,有时甚至是混乱的,对过程几乎没有定义,成功取决于个人努力。管理是反应式的。
可重复级(Repeatable):建立了基本的项目管理过程来跟踪费用、进度和功能特性。制定了必要的过程纪律,能重复早先类似应用项目取得的成功经验。所有项目均使用经批准、剪裁的标准软件过程来开发和维护软件,软件产品的生产在整个软件过程是可见的。
已定义级(Defined):已将软件管理和工程两方面的过程文档化、标准化,并综合成该组织的标准软件过程。所有项目均使用经批准、剪裁的标准软件过程来开发和维护软件,软件产品的生产在整个软件过程是可见的。
量化管理级(Managed):分析对软件过程和产品质量的详细度量数据,对软件过程和产品都有定量的理解与控制。管理有一个作出结论的客观依据,管理能够在定量的范围内预测性能。
优化管理级(Optimizing):过程的量化反馈和先进的新思想、新技术促使过程持续不断改进。
CMMI(Capability Maturity Model Integration)分为五个等级,从低到高分别为:
初始级(Level 1 - Initial):在这一级,组织的软件过程是非结构化的,没有明确的规范和标准。项目的成功往往依赖于个别人员的经验和技能,而缺乏统一的方法和流程。这种情况下,组织的软件过程容易出现混乱和不可预测的问题,导致项目的延期和质量问题。
可管理级(Level 2 - Managed):在这一级,组织开始建立一些基本的软件流程和标准,并对这些流程和标准进行管理和监控。组织能够提供一定的项目管理和配置管理,但仍然存在一些不稳定性和不一致性。
已定义级(Level 3 - Defined):在这一级,组织已经将软件管理和工程两方面的过程文档化、标准化,并综合成该组织的标准软件过程。所有项目都使用经批准、剪裁的标准软件过程来开发和维护软件,软件产品的生产在整个软件过程是可见的。
量化管理级(Level 4 - Quantitatively Managed):在这一级,组织分析对软件过程和产品质量的详细度量数据,对软件过程和产品都有定量的理解与控制。管理有一个作出结论的客观依据,能够在定量的范围内预测性能。
优化管理级(Level 5 - Optimizing):在这一级,过程的量化反馈和先进的新思想、新技术促使过程持续不断改进。
A. Cost 成本
B. Convergence 聚合
C. Flexibility 灵活性
D. Security 安全
A.支持组织恢复关键业务功能
B.满足监管合规要求
C.使得组织可以确保业务的生存
D.支持组织保护生命并确保安全
B. 业务影响分析 Business impact analysis
C. 风险分析 Risk analysis
D. 威胁报告 Threat report
A. 业务论证 Business case
A.建立数据库安全策略中所规定的完整性规则
C.确保回滚不会发生
D.防止同时进行的事务进程之间的相互干扰
B.数据库作为一个单元来执行事务,而不会中断
A. 紧急系统重启
B. 可信恢复
D. 系统重启
C. 系统冷启动
A.建立这个事件的响应程序
B.召集取证专家
C.通知高级管理层
D.判断是否真的发生了犯罪活动
A.永久跨站型《二阶漏洞,恶意代码已存储在服务器的数据库里》
C.存储型《二阶漏洞》
D.DOM基于文件对象模型《攻击者使用文件对象模型(DOM)环境来修改客户端JavaScript。导致受害者的浏览器执行被篡改的JavaScript代码。》
B.反射型《非永久跨站漏洞》
A. 距离警察局和消防局的距离
C. 自然灾害
D. 犯罪率
B. 照明
A. 声音探测系统
C. 光电系统
D. 振动传感器
B. 邻近探测器
A.按照角色分配权限,不同的角色可拥有不同权限
B.由域名定义的一种身份,可以跨越业务边界使用
D.在内部网络虚拟目录和身份存储中使用的一种身份
C.一种可移植的身份,能够跨越业务边界使用
A.CC
B.CVE
D.BSIMM
C.CVSS(Common Vulnerability Scoring System)是“通用漏洞评分系统”,
A.工控系统软件的更新需要供应商提供支持, 而供应商缺乏due diligence
C.工控系统是相对封闭的环境,不依赖通过更新软件来提升安全
D.工控系统在设计时就考虑了相对全面的安全要求,不需要频繁更新
B.工控系统很少停机,软件更新困难
B.准则(guideline)是强制的,规程(procedure)是灵活的
C.准则(guideline)特定的,具体的,规程(procedure)是灵活的
D.准则(guideline)是一致的,规程(procedure)是不一致的
A.准则(guideline)是灵活的,规程(procedure)是特定的,具体的
A.SOC1,type1
B.SOC1,type2
C.SOC2,type1
D.SOC2,type2
B.外边的气流想通过门缝跑进IDC机房
C.IDC 机房内的气压维持在一个恒定的值
D.IDC 机房内的空气清洁度达到预定指标
A.IDC机房内的气流通过门缝跑出去
A. phishing
C. whaling 捕鲸
D. spear phishing 鱼叉式钓鱼
B. vishing
Vishing(语音网络钓鱼)是一种新型的智能攻击形式,其攻击目的是诱骗受害者泄漏个人敏感信息。攻击者通过使用电话、手机、网络通信工具等发送经过伪装的语音信息来进行网络钓鱼。
A.XSS 跨站脚本攻击
C.SQL注入攻击
D.生日攻击
B.CSRF 跨站请求伪造
A.是内容相关的访问控制 (无状态防火墙)
C.访问决定基于数据敏感度
D.访问决定基于规则分析
B.访问决定基于连接状态 (有状态防火墙)
A.实施门禁系统
B.安排保安
C.上锁
D.纵深防御
A.数据链路层
B.MAC子层
D.传输层
C.网络层
B.审计
C.持续监控
D.合规报告
A.董事会评审
A.执行业务影响分析
C.执行合规审计
D.修改安全策略
B.进行安全评估
A.蜜罐
C.防火墙
D.入侵检测和防御系统
B.沙箱
B.ipconfig
C.ifconfig
D.nbtstat
A.dig
A.功能测试,结构测试,半正式的设计和测试,
B.结构测试, 功能测试,半正式的设计和测试,
D.结构测试, 功能测试,系统地测试和检查,
C.功能测试,结构测试,系统地测试和检查,
EAL1代表功能测试级,适用于对正确运行要求有一定信心的场合,并且认为安全威胁并不严重。
EAL2代表结构测试级,需要在交付设计信息和测试结果时与开发人员合作,但不需要在超出良好商业运作的一致性方面花费过多精力。
EAL3代表系统测试和检查级,允许一位尽责的开发人员在设计阶段从正确的安全工程中获得最大限度的保证,同时在不大量更改已有合理才开发实现的前提下进行工作。
EAL4代表系统设计、测试和复查级,使开发人员从正确的安全工程中获得最大限度的保证。这种安全工程基于良好的商业开发实践,这种实践很严格,但并不需要大量专业知识、技巧和其他资源。
EAL5代表半形式化设计和测试级,开发者能从安全工程中获得最大限度的安全保证,该安全工程是基于严格的商业开发实践,靠适度应用专业安全工程技术来支持的。EAL5以上的级别是军用信息设备,用于公开密钥基础设施的信息设备应达到的标准。
EAL6代表半形式化验证设计和测试级,开发者通过安全工程技术的应用和严格的开发环境获得高度的认证,保护高价值的资产能够对抗重大风险。
EAL7代表形式化验证设计和测试级,适用于风险非常高或有高价值资产值得更高开销的地方。
A.最小权限、知所必须、责任分离
B.最小权限、知所必须、数据抽象
D.知所必须、责任分离、数据抽象
C.最小权限、责任分离、数据抽象
A.加密
B.远程擦除
D.备份
C.双因素验证
A.软件许可很贵
C.应用漏洞很严重
D.和公司安全策略不符
B.拿不到源代码
A. 可用性
B. 机密性
D. 不可否认性
C. 完整性
B. 确保该组织仍然可以公开交易
C. 确保组织的执行团队不会被起诉
D. 确保组织满足合同要求
A. 确保组织的控制和政策按预期运行
A. 使用轻量级目录访问协议 (LDAP) 进行集成
B. 基于表单的用户注册(registration)流程
C. 与组织人力资源 (HR) 系统的整合
D. 一个相当简单的配置(provisioning)过程
A. INSERT and DELETE
C. PUBLIC and PRIVATE
D. ROLLBACK and TERMINATE
B. GRANT and REVOKE
A. 备份磁带存放位置
C. 磁带备份压缩
D. 磁带备份轮换
B. 预先存在的备份磁带
A. 提高效率
B. 机密性
C. 隐私保护
D. 不可否认性
B. 该地区预计至少 100 年内不会发生洪水
C. 上一次袭击该地区的洪水是 100 多年前
D. 下一次大洪水很有可能在未来 100 年内发生
A. 在任何给定年份,发生洪水的几率是 100 分之一
A.收益率高于资产当前成本的水平
B.效益超过控制成本的水平
C.残余风险可以忽略的水平
D.组织织愿意接受的水平
A.设备加密
B.输入验证
C.身份验证
D.数字签名
A.它可以更容易地确定所有权,减少对资产状态的混淆。
B.它减少了关键的系统支持工作量,并减少了应用修补程序所需的时间。
D.它允许与执行管理层进行清晰的系统状态通信。
C.它提供了安全和维护任务的适当优先顺序和调度
通过识别系统的关键性,组织可以确定哪些系统需要优先的安全和维护关注,从而确保关键系统的稳定性和安全性
A.与HR经理进行面谈,确认及时性
B.与系统管理员进行面谈,确认及时性
C.将离职记录与HR的离职表进行比较
D.将离职记录与系统操作日志进行比较
A.在VPN上实施强密码验证
B.将VPN和集中身份存储集成
C.改用IPsec VPN
D.使用双因素验证
A.堆栈
B.二维表
C.指针链接
D.树状层次结构
B.可追踪
C.高冗余
D.不可抵赖性
A.匿名通信
A.定期的维护流程
C.网络连接的高可用性
D.交易处理的延时
B.对电子硬件设备的物理访问控制
A.确定的目的
B.有限的时间段
D.管理层批准
C.秘密的方法
A.同轴电缆
B.双绞线
D.微波
C.光纤
B.判断事件发生时能否及时响应
C.需要计算机安全事件影团队评估损害情况
D.允许事件继续进行并沿着线索追溯到事件开始
A.恢复受影响系统
A.传输的数据量
B.传输路径的安全性
C.数据的货币价值
D.数据的机密性级别
A. 正确配置防火墙
B. 数据包过滤路由器
C. 基于哈希的消息验证码
D. 带时间戳的数据加密
A.回归测试
C.用户验收测试
D.发布上线控制
B.变更控制
B.verify that all security controls have been implemented properly and are operating in the correct manner.
确认所有的安全控制得到正确的实施,并以正确的方式在运行
C.protect an organization’s sensitive data.
保护组织的敏感数据
D.comply with applicable laws and regulations.
满足适用的法律和法规
A.allow senior management to make an informed decision regarding whether to accept the risk of operating the system. 让高层做一个正式的决定,来确认是否接受系统运行的风险
A.The use of Message Digest 5 (MD5) hashing
MD5哈希算法的使用
B.A more efficient encryption algorithm is available
为了使用更加高效的加密算法
C.A new Certificate Revocation List (CRL) is available
为了使用一个新的证书撤销列表CRL
D.Key strength is no longer safe against brute force attacks
密钥长度在对抗暴力破解攻击时不再安全
A.Face-to-face dialogue between chief executive officers 首席执行官之间面对面的对话
C.A document that proposes the division of responsibilities between two organizations 两个组织之间的职责分工文档
D.A Business-to-Business (B2B) agreement between two parties 双方之间的B2B协议
B.A Service Level Agreement (SLA) between two organizations 两个组织之间的服务水平协议 (SLA)
A. an item that is not sensitive by itself but when combined with common knowledge is sensitive. 一个条目本身是不敏感的,但当它与常识相结合时,是敏感的。
C.two or more instances of the same item that are not sensitive individually but when combined become sensitive. 同一个条目的两个或多个实例是不敏感的,但当结合起来就变得敏感了
D.one instance of the item is classified higher than another instance of the same item. 条目的一个实例比同一个条目的另一个实例的安全级别高
B.two or more different items that are not sensitive individually but when combined become sensitive. 两个或更多条目单个本身是不敏感的,但当结合在一起是就变得敏感了
D = Number of devices D=设备数量
T = Time spent fixing each device T=维修每个设备的时间花费
C = Hourly rate for the time spent C=每小时费率
I = Vulnerability impact I=漏洞影响
P = Probability of vulnerability exploitation P=漏洞利用的可能性
Which of the following equations determines the cost of recovery
下面哪个公式决定了恢复成本
B. D P C
C. T I P
D. T C P
A. D T C
A. 可用性和完整性
C. 授权和完整性
D. 授权和机密性
B. 完整性和机密性
A. 组织的道德规范不一定要求必须报告
B. 只有产生重要影响的违规才需要报告
D. 如果数据是加密的,就不需要报告
C. 不同的司法管辖有不同的要求
B. PKI公钥基础设施
C. VPN虚拟专用网络
D. Kerberos 认证协议
A. WEP有线等效保密
A. 职责分离
C. 独立审计
D. 数据完整性
B. 可问责
A.依赖于岗位轮换
C.需要双因素验证
D.支持强制访问控制 (MAC)
B.简化了访问权限管理