¶ 1.以下哪一项是特权用户身份生命周期管理的重要措施?
A.基于多因素验证的账号访问管理
C.需要主管或部门经理提供账号信息
D.经常性地对账号日志进行审查
B.定期进行账号重新核验和审批
审批、创建、使用、核验、停用、撤销provisioning,de-provisioning
¶ 2.应对垃圾搜寻攻击的最有效措施是?
A.购买碎纸机器
B.垃圾箱加锁
D.安装闭路电视监控系统CCTV
C.安全意识培训
¶ 3.文件传输协议FTP的安全漏洞是?
A.允许匿名登录
B.传输命令允许使用通配符
D.使用了UDP传输端口
C.验证过程没有加密
¶ 4.以下哪一个因素会影响数据分级?
A.定义敏感标签
B.不同的数据提取方法
D.访问数据的频率
C.时间的流逝(信息的时效性)
¶ 5.使用通用漏洞评价体系CVSS进行代码评审时的主要问题是?
A.需要使用大量表格进行计算
B.需要预先定义有效的风险管理框架
D.只能计算已公布的漏洞的风险
C.漏洞评级的分级指标过于复杂
¶ 6.在制定信息安全方针时,方针应该是充分的、必要的,以及:
B.灵活的《指南是灵活的》
C.强制的《标准和基线是强制的》
D.可优化的
A.可达成的
¶ 7.通信网络中端到端加密的特点是?
B.加密所有信息,包括用户信息、数据包头部、尾部、地址和路由信息(链路加密)
C.加密发生在数据链路层和物理层(链路加密)
D.加密发生在网络层(ipsec)
A.仅加密用户信息,不加密数据包头部、尾部、地址和路由信息
¶ 8.在环境温度发生变化的场所使用被动红外传感器时,应该?
A.提升被检测目标的温度,以区别背景温度
B.降低被检测目标的温度,以区别背景温度
C.不需要调整背景温度,被检测目标的温度和背景温度没有关系
D.在背景温度发生变化时,能够自动调整,补偿背景温度变化
¶ 9.以下哪一项是在进行安全测试和评估(STE)时对需求进行的正确分类?
A.观察、访谈、研讨
B.战略、战术、财务
C.标准、策略、步骤(文档分类)
D.管理、操作、技术{.is-success}
安全评估的对象是控制,控制的分类,NISTSP800-53里的分类,物理性控制归在操作性控制这一类
¶ 10.生日攻击针对的是下列哪一项?
A.分组密码
B.流密码
D.公钥基础设施PKI
C.加密哈希
生日攻击:用不同的明文生成相同的哈希值,发生了碰撞
¶ 11.使用双因素认证、服务器加固、采用IPsecVPN保护数据传输过程、进行日志审计,属于:
A.保护数据完整性
B.保护数据机密性
C.保护数据可用性
D.纵深防御
¶ 12.以下哪一项是保护移动系统免受恶意代码攻击的有效对策?
A.VPN
C.内存保护
D.数字证书
B.
¶ 13.用于了解系统脆弱性的评估指标是?
B.定量分析系统受到的威胁数量
C.攻击面分析得出的系统可用性指标
D.系统发生故障后的损失程度
A.识别系统中的安全缺陷数量
¶ 14.发现交易系统的交易金额超过了预先设置的上限,触发SCARF(系统审计复核文件)记录。这属于哪种控制?
A.预防性控制
C.纠正性控制
D.补偿性控制
B.检测性控制
¶ 15.版权保护的是?
A.新的发明 (专利)
B.文学作品所表达的思想
D.发现的科学现象
C.思想的具体表述
¶ 16.以下哪一项是网络入侵检测技术:
A.端口扫描
B.网络欺骗
D.协议分析
C.统计异常
¶ 17.安全经理在组织的网络中发现了基于客户端的攻击。以下哪一项是组织制定计划降低基于客户端的攻击的最佳理由?
A.客户端的加固比服务器端的加固更容易
B.客户端的特权管理比服务器端的特权管理更薄弱
D.客户端的攻击会造成更大的财务损失
C.客户端的攻击比服务器端的攻击更常见且更易实施
¶ 18.内核或者介质出现意外故障而常规的恢复程序不能使系统恢复到一个更为稳定的状态时,发生的启动为:
A.紧急系统重启
B.可信恢复
D.旁路重启
C.冷启动
¶ 19.安全经理评估采购的新系统时发现,在系统规格说明书中有一些安全因素没有被考虑到。这最有可能是因为?
B.供应商招标团队中缺乏安全专家
C.采购人员缺乏技术知识
D.采购过程中安全需求发生了变化
A.安全需求的描述不够充分
¶ 20.以下哪一项包含的是针对口令的攻击?
A.暴力破解、动态口令、生物特征重放
B.色拉米、SYN洪泛攻击、死亡之ping
D.彩虹表、泪滴攻击、战争拨号
C.字典攻击、钓鱼、键盘记录
¶ 21.一家公司需要让其众多员工能够在自己家中通过电脑访问公司的资源,以下哪一项以易于部署和较小的维护成本提供了安全保障?
A.使用IPsecVPN
C.使用基于PKI的数字证书
D.使用SESAME双向身份认证系统
B.使用TLSVPN (SSL VPN)
¶ 22.组织进行道德意识灌输以及实施相关方针。这样做的主要原因是因为这会影响?
A.员工的保留率
B.员工的士气
D.组织的工作流程
C.组织的声誉
¶ 23.在应用开发过程中的SwA(softwareassurance软件保障)用于?
B.鼓励开发开源软件
C.有助于生成可信计算基(TCB)系统
D.有助于生成高可用性的系统
A.防止产生易受攻击的软件
¶ 24.企业数据保护策略中定义的数据保留期限根据的是?
A.业务规程
B.应用停用
D.数字证书到期
C.法规合规
¶ 25.应对SQL注入攻击的有效手段是?
A.加密web服务器的流量
C.在边界防火墙过滤传出流量
D.加密服务器间通
B.实施服务器端过滤
¶ 26.配置域名服务系统(DNS)的一项重要安全实践是?
A.禁用所有在域名服务器上的递归查询
C.阻止所有TCP连接
D.配置备用服务器作为主服务器的区域传送者
B.仅限区域传送到被授权的设备
¶ 27.基于最佳实践,以下哪一项是进行信息安全合规审计的最佳人选?
A.灾难恢复小组
B.安全管理员
C.系统管理员
D.外部顾问
¶ 28.需要刷感应卡才能进入某个办公区域,这属于哪种控制?
B.技术控制
C.行政控制
D.流程控制
A.物理控制
¶ 29.在一家金融机构,谁对信息的分级负责?
A.首席信息官CIO
B.首席财务官CFO
D.各部门领导
C.信息的所有者
¶ 30.以下哪一项是对RTO恢复时间目标的恰当描述?
A.灾难发生后恢复数据的时间
C.灾难发生后验证数据的时间
D.灾难发生后验证应用的时间
B.灾难发生后恢复应用的时间
¶ 31.在DRP恢复过程中,备用站点关键系统的服务性能只有主站点的一半,但团队仍然通知管理层已恢复了关键系统。这是因为团队已经实现了:
A.RPO恢复点目标
D.MTD可承受的最长中断时间
B.RTO恢复时间目标
C.SDO服务交付目标
备用站点的服务级别叫SDO,通常低于原始的SLA
¶ 32.以下哪一项是目录服务在TCP/IP上的实现?
A.X.500
B.X.509
C.目录访问协议DAP
D.轻量目录访问协议LDAP
¶ 33.以下哪一项在云计算环境下更难控制?
A.数据备份
B.数据恢复
D.数据访问
C.数据处置
¶ 34.遵循支付卡行业数据安全标准(PCIDSS)的组织在与其服务供应商共享持卡人信息时必须?
B.对服务提供商进行年度PCIDSS评估
C.确保服务提供商按照PCIDSS要求更新和测试DRP
D.验证服务供应商的安全策略和企业的安全策略保持一致
A.定期验证服务提供商遵循PCIDSS合规的状态
¶ 35.此图展示的是哪种RAID?
A.RAID1
B.RAID0
D.RAID01
C.RAID10
¶ 36.嵌入式系统在没有采取恰当的信号保护的情况下最容易遭到以下哪种攻击?
A.拒绝服务攻击
B.篡改
C.暴力破解
D.信息泄漏
¶ 37.恢复点目标RPO可用于确定以下哪一项?
A.恢复备份的时间
C.可承受的最长停机时间
D.运营恢复能力的基准指标
B.可承受的最长数据丢失时间
¶ 38.以下哪一项加密保护了在网络中传输的敏感数据?
A.点对点协议
B.验证头部
D.加密哈希
C.载荷加密
¶ 39.有人值守的机房,灭火用?
A.惰性气体
B.二氧化碳
D.湿管
C.干管
¶ 40.关系型数据库,范式化程度越高,则:
A.冗余度越高
B.检索速度越快
D.机密性越好
C.完整性越好
¶ 41.WRT(工作恢复时间)这段时间内的工作内容最有可能涉及以下哪份文档?
A.COOP持续运营计划
B.DRP灾难恢复计划
D.OEP场所应急计划
C.BRP业务恢复计划
¶ 42.PKI在什么情况下产⽣交叉数字证书?
A.当CA需要获得根CA认证时
B.当CA需要认证RA时
D.当数字证书在CA之间进⾏传输时
C.当CA之间需要互相认证时
¶ 43.DRP测试中,停用主站点业务,将生产切换到备用站点运行的测试是:
A.并行测试
C.模拟测试
D.准备情况测试
B.全面测试
¶ 44.在关键Web服务器中发现重大安全漏洞时,应该立即通知:
B.事故应对团队以进行调查
C.数据所有者以降低损害
D.Web应用开发团队以进行补救
A.系统所有者以采取改正行动
¶ 45.为了给客户提供更快的查询,数据库管理员删除了引用完整性,以下哪项能够弥补删除引用完整性所带来的问题?
B.定于语义完整性约束规则
C.更加频繁的备份数据
D.对数据库实施性能监控
A.定期检查表的链接
¶ 46.一家公司扣押了一个涉嫌欺诈的移动设备。取证人员使用什么方法将通电设备与网络隔离并保存证据?
A.取出SIM卡
C.暂停在电信提供商的帐户
D.关闭设备 (取证的原则:开机不关,关机不开)
B.将设备置于飞行模式
¶ 47.以下哪一项是评估组织漏洞管理计划有效性的最佳方法?
A.检查自动补丁部署报告
C.由安全小组进行漏洞扫描
D.自动漏洞扫描
B.定期第三方脆弱性评估
¶ 48.何时必须审查组织的信息安全战略计划?
A.主要应用发生重大变化时
C.每季度,当组织的战略计划更新时
D.每三年更新一次组织的战略计划
B.业务发生重大变化时
¶ 49.介质Marking和Labeling有什么区别?
A.Labeling指公共政策/法律要求的安全属性,Marking指组织内部政策要求的安全属性
B.Marking指公共政策/法律要求的安全属性,Labeling指组织内部策略要求的安全属性
C.Labeling指使用人类可读的安全属性,Marking指在内部数据结构中使用安全属性
D.Marking指使用人类可读的安全属性,Labeling指在内部数据结构中使用安全属性
标记(Marking):标记是指对特定数据或信息的标识或标注,用于指示其重要性和敏感性,以及指导如何处理和保护该数据或信息。标记通常用于标识数据或信息的分类、级别和权限,以便在传输、存储和使用过程中采取相应的安全措施。
标签(Labeling):标签是一种将数据或信息与特定的安全类别、级别或权限相关联的过程。通过标签,可以明确指示数据或信息的处理和访问权限,以便更好地控制和管理敏感信息。在实施安全控制措施时,需要将标签与适当的权限和访问控制策略相结合,以确保只有经过授权的人员能够访问和使用敏感数据
¶ 50.使用原始轻量目录访问协议(LDAP)进行身份验证时,以下哪项是最大的弱点?
A.服务器响应中不包括授权《可以从服务器检索用户的角色列表,以授权用户访问系统信息库中的各种对象》
B.在网络上传递未添加盐的哈希《LDAP使用加盐的哈希值》
C.身份验证会话可以被重放《LDAP使用验证时间戳nonce:一串随机数,用于防御重放攻击,提高数据安全性》
D.密码以明文形式传递《LDAPv1,v2没有加密,v3才有加密》
¶ 51.在确定谁可以接受与漏洞相关的风险时,以下哪项最重要?
B.对策有效性
C.潜在损失类型
D.事故可能性
A.信息所有权
¶ 52.以下哪种机制可以防止跨站请求伪造(CSRF)攻击?
A.参数化数据库查询
B.白名单输入值
D.使用强加密
C.同步会话令牌
同步会话令牌是一种常用的防止CSRF攻击的方法。服务器为每个会话生成一个唯一的令牌,并将其存储在客户端(如Cookie中)。每次提交请求时,该令牌被发送到服务器进行验证。如果令牌不存在或与服务器上存储的不匹配,请求将被拒绝。
¶ 53.基于行为的入侵检测系统,如果报警阈值设置得过高容易导致:
A.无法应对零日攻击
B.无法阻断已识别出的攻击
C.误报
D.漏报
¶ 54.关于KryptoKnight以下哪项描述是不正确的:
A.是提供SSO单点登录、身份验证和密钥分发服务的系统
B.依赖于一个知道所有主体/客体密钥的可信KDC来管理密钥和密钥分发
D.KDC和需要认证服务的主体/客体在结构上是Peer-to-Peer(对等)的
C.KDC和需要认证服务的主体/客体使用当前时间,依赖时钟同步
¶ 55.RBAC访问控制模型重点关注的是:
A.标识identification
B.验证authentication
D.问责accountability
C.授权authorization
¶ 56.某企业最近研发出一种可带来重大竞争优势的突破性技术。以下哪一项最先用于指导企业内部如何保护此信息?
A.加密标准
B.访问控制政策
D.可接受使用政策
C.数据分类政策
访问控制需要根据数据分级决定
¶ 57.以下哪一项能最有效降低字典攻击的风险?
A.实施密码历史记录
B.加密访问控制列表
C.使用密码短语
D.使用硬件令牌
¶ 58.以下哪一项不是敏捷开发中通常定义的角色?
A.产品经理
C.敏捷教练
D.开发团队
B.项目经理
¶ 59.当数据泄漏源是包含敏感文档的未标记文件柜时,以下哪项最有可能导致非恶意数据泄漏?
B.缺乏数据访问控制
C.身份管理控制无效
D.缺少DLP数据防泄漏工具
A.无效的数据分类
¶ 60.以下哪一项是政策未充分确定数据和系统所有权会导致的最大风险?
A.可能导致审计建议无法实施
B.导致无法建立明确的用户问责
C.可能无法进行有效的用户管理协调
D.未授权用户可能获得访问、修改或删除数据的权限
¶ 61.以下哪一项最能有效缓解控制风险?
B.有效的安全意识计划
C.有效的变更管理程序
D.高级管理层支持控制实施
A.持续监控
¶ 62.安全评估可以获取到的最高级别文档是:
A.操作手册
C.标准
D.指南
B.政策
¶ 63.员工被辞退第一步干什么
B.监离公司
C.退还公司财产
D.收回物理访问权限
A.清除系统和应用访问权限
¶ 64.在一份漏洞评估报告中,以下哪一个是最常见的风险最大的问题
A.发现开放了tcp443端口
C.使用已经不再维护的操作系统
D.防火墙的默认规则为拒绝
B.使用没有许可证的软件
¶ 65.如果企业要把联合身份扩展到云目录,需要什么
A.共享安全
B.安全令牌
D.通知工具
C.同步工具
¶ 66.一个中心多个分支部署软件,安全管理员把消息摘要从签名里分离出来是为了什么?
A.对抗生日攻击.
B.应该给用户原始的源代码
D.获得授权的用户才能进行数字签名
C.应确保给用户安装的代码跟开发的源版本一致
¶ 67.什么是疏散总时间?
A.发出火警,到火警解除
B.激活BCP,到备用站点准备就绪
D.向高层汇报,到发出集结指令
C.发出集结指令到全部到达指定位置
¶ 68.封装安全载荷协议(ESP)不能提供
A.机密性
B.完整性
C.数据源验证
D.抗抵赖
¶ 69.对已关机的计算机,取证时最好的处理方式是:
A.把相关文件复制到备份盘
B.重新开机,用专用取证工具取证
C.把硬盘拆除后带走
D.把计算机搬到实验室
¶ 70.在消防演习中,指定的门按计划旋转打开,以便员工更快地离开大楼。观察员注意到,此做法可让未授权人员进入公司而不被发现。改变此流程的最佳方式是:
A.发生火灾时限制指定的门自动打开
B.发生火灾时将指定的门设置成fail-secure
C.要求员工离开大楼时出示证章
D.分配专人在警报响起后守门
在大楼失火的情况下,fail-safe系统可能会自动开锁,以便人员快速逃生和消防人员进入,而fail-secure系统则可能会自动上锁,以防止未授权的人员进入建筑物。
¶ 71.下面是哪种风险分析方法的示例?
A.定量Quantitative
C.分级Classification
D.分类Categorize
B.定性Qualitative
¶ 72.IDaaS的关键特征是:
B.虚拟化
C.容器化
D.OpenID
A.IGA身份治理和管理
¶ 73.图形验证码(CAPTCHA)能防什么?
A.击键记录
B.网络钓鱼
D.恶意软件感染
C.DOS
CAPTCHA这种机制使得黑客难以通过编写自动化脚本来进行大量的、重复的请求,从而有效地防止了DOS攻击。
¶ 74.以下哪种措施最可以有效地确认邮件在传输过程中未被修改?
A.使用对称加密方法加密邮件
B.用发送者公钥加密邮件哈希值
C.用接受者公钥加密邮件哈希值
D.用发送者私钥加密邮件哈希值
¶ 75.SSH不提供:
B.压缩
C.完整性
D.机密性
A.可用性
¶ 76.哪种加密算法可以定义在任何循环群G上,其安全性取决于G上的离散对数难题。
A.RSA
B.ECC
C.Diffie-Hellman
D.ElGamal
¶ 77.以下哪种EAP基于数字证书进行验证?
A.EAP-MD5
B.EAP-PSK (基于预共享密钥)
C.EAP-GSS (基于通用安全服务(GenericSecurityService),使用Kerberos)
D.EAP-TLS
¶ 78.使用OAuth2.0进行验证时,用户为了访问储存在第三方应用中的数据时,需要向第三方应用提供?
A.口令
B.用户名
C.用户名和口令
D.访问令牌
¶ 79.选择控制措施需要执行以下哪项分析?
A.可行性分析
B.数据分析
D.业务影响分析
C.成本效益分析
¶ 80.802.1X协议为以下哪一项提供了框架?
B.仅无线网络的网络验证
C.使用AES的无线网络加密
D.使用TLS的无线网络加密
A.有线网络和无线网络的网络验证
¶ 81.以下哪一项是对集成的电子邮件加密系统的替代方案:
B.将敏感信息分成多个邮件发送
C.对包含敏感信息的邮件进行数字签名
D.将要发送的敏感信息保存在加密的硬盘分区中
A.以附件的形式对敏感信息进行加密
邮件系统本身不提供加密,替代方案是用别的工具加密文件后,作为附件发送
¶ 82.以下哪一项属于对系统的紧急变更的要求:
A.必须立即实施变更并在系统日志中留下标记 (事后补变更记录)
B.必须立即执行变更然后提交给变更控制委员会 (《事后再开CAB会议)
D.必须在下一次变更控制委员会的会议上优先讨论
C.必须快速进行测试和口头批准
执行前需要被口头批准;必要的回退方案、必要的测试,,一个都不能少
¶ 83.以下哪种灾难恢复计划的测试最有效且风险最小:
A.结构化穿行测试
B.模拟测试
C.全面中断测试
D.并行测试
¶ 84.PLC(可编程逻辑控制器)与以下哪一项最相关?
A.参考监视器
B.操作系统内核
C.中央处理器CPU
D.工业控制系统
¶ 85.以下哪个是静态验证协议?
A.RIP
B.PPTP
D.CHAP
C.PAP
¶ 86.WEP容易受到哪种攻击:
B.字典攻击
C.暴力破解
D.彩虹表攻击
A.密钥恢复
¶ 87.员工和来访人员要在涉密的办公区域工作,以下哪项作为强制控制?
A.由员工去接并带进来
B.禁止带书包
C.不允许在区域内讨论涉密内容
D.员工和来访人员都要出示ID卡
¶ 88.威胁建模是SDLC中哪个阶段的事
B.开发
C.需求分析
D.实施
A.设计
¶ 89.组织发布员工管理策略文件,上传到企业内网,并定期进行更新。这一做法的安全方面的顾虑是?
A.机密性
C.可用性
D.可问责性
B.完整性
¶ 90.对抗社会工程,需要
B.评估安全培训
C.提升员工士气
D.宣传企业文化
A.改变个人行为
¶ 91.以下哪一项评估DRP计划的测试使用了逼真的灾难场景,而且对业务运营的影响很小?
A.穿行测试
B.桌上推演
D.并行测试
C.模拟测试
¶ 92.IP源地址欺骗针对的是?
A.ARP地址解析协议
B.RARP反向地址解析协议
D.SNMP简单网络管理协议
C.基于地址的验证
¶ 93.组织缺乏数据保留策略,找谁谈这方面的需求最合适?
A.数据库管理员 (执行策略)
B.财务经理
D.应用经理
C.隐私官
¶ 94.以下哪项控制在跨网络传输中最能有效检测数据意外损坏?
A.顺序检查
B.校验数位
C.奇偶校验
D.循环冗余校验
¶ 95.WPA2使用的主要加密算法是?
A.TKIP临时密钥完整性协议(WPA)
C.RC4加密算法去(WEP)
D.IDEA加密算法(PGP)
B.CCMP计数器模式密码块链消息完整码协议(CCMP基于CBC-MAC和AES算法)
¶ 96.管理评审为以下哪一项提供输入?
A.平衡计分卡
B.审计报告
D.适用性声明
C.改进计划
审计报告→管理评审→改进计划
¶ 97.以下哪种解决方案基于Gartner定义的四个引擎而构建,分别是:工作流和协作、凭证和案例管理、编排和自动化以及威胁情报管理。结合采用这些功能可以将人员、流程和技术融合在一起,进而提高SOC生产效率、缩短事件响应(IR)时间。
A.ISCM,信息安全持续监控
B.SCARF,系统控制审计符合文件
C.SIEM,安全信息和事件管理
D.SOAR,安全协调、自动化和响应
¶ 98.一家由Tier4数据中心提供IT服务的公司正在准备全面的业务连续性计划。IT经理应该关注以下哪些故障?
B.储存
C.电源
D.网络
A.应用
¶ 99.以下哪项关于服务组织控制(SOC)报告是正确的?
A.SOC1类型2报告评估组织控制的安全性、机密性、完整性和可用性
C.SOC2类型2报告评估财务报告的内部控制
D.SOC3类型2报告评估财务报告的内部控制
B.SOC2类型2报告包括服务组织管理层感兴趣的信息
¶ 100.同态加密(homomorphic)的潜在优势是什么?
A.它完美实现了加密时必要的职责分离。
C.密文大小随着安全级别的增加而减小。
D.它实现了更高的加密安全性和更快的处理时间。
B.加密信息无需先解密即可进行分析。
同态加密的最大优势在于它允许用户在不解密数据的情况下对加密数据进行计算。这意味着,即使数据被加密,用户仍然可以对数据进行各种操作(如加法、乘法等),而无需先解密。这种特性使得同态加密在处理敏感数据或隐私保护方面非常有用,因为它可以避免数据在传输或存储过程中被泄露。
¶ 101.以下哪种技术可以阻止来自内部的横向攻击。通过服务器间的访问控制,阻断勒索病毒在内部网络中的蔓延,降低黑客的攻击面。
A.软件定义边界SDP(SoftwareDefinedPerimeter)
B.POC概念验证(Proofofconcept)
D.黑核路由(Blackcorerouting)
C.微隔离(MicroSegmentation)
¶ 102.以下哪种技术是为保护公共场所人员而提供的最具成本效益的被动控制(reactivecontrol)方法?
A.在建筑物入口处安装捕人陷阱(mantrap)
B.用聚碳酸酯塑料围住人员进入区域
D.聘请警卫保护公共区域
C.为暴露于公众的人员提供胁迫报警
用户需要说出一句预设的暗语(如"Everything is awesome")来取消报警。如果用户跳过暗语直接要求取消报警,系统就会认为用户可能处于被胁迫的状态,从而触发相应的安全响应措施。
¶ 103.知识产权主要与以下哪项有关?
B.所有者维护版权的能力
C.所有者享有其创作的权利
D.所有者控制交付方式的权利
A.所有者实现经济收益的能力
¶ 104.当需要保留信息以供将来检索时,以下哪一项是主要问题?
A.法律法规可能会在此期间发生变化,因此无需保留信息
B.保留信息的费用可能使组织难以承受
C.组织可能会丢失对信息的跟踪并且不能安全地处理它
D.检索信息所需的技术可能在未来无法使用
¶ 105.哪种安全模式最常用于商业环境,因为它可以保护财务和会计数据的完整性?
A.Biba
B.Graham-Denning
D.Bell-LaPadula
C.Clark-Wilson
A. Biba - 这个模型主要是基于信息的完整性,确保低级别的进程不能修改高级别的信息。它对于保护数据的完整性是有用的,但可能不是专门针对财务和会计数据的。
B. Graham-Denning - 这个模型是基于Bell-LaPadula模型的改进,引入了审计跟踪来记录所有访问请求和决策。虽然审计跟踪对于事后分析很有用,但它本身并不直接强调财务数据的完整性。
C. Clark-Wilson - 这个模型强调数据完整性和保护组织的数据。它定义了数据完整性规则,这些规则可以确保只有授权的用户能够执行特定的操作,这对于保护财务和会计数据是非常有用的。
D. Bell-LaPadula - 这个模型主要关注信息的保密性,通过“不向上读,不向下写”的原则来确保信息的安全。虽然这有助于防止敏感信息泄露,但它不直接关注数据的完整性。
¶ 106.以下哪一项是(ISC)2道德规范的内容?
A.诚信为先,事事精益求精
B.根据适用法律和最高道德标准执行所有专业活动和职责
D.与他人合作交流知识和思想以实现共同安全
C.为委托人提供勤勉、称职的服务
保护社会、公共利益、必要的公共信任和信心、以及基础设施。
行为得体、诚实、公正、负责和遵守法律。
为委托人提供尽职的和胜任的服务工作。
发展和保护职业声誉。
¶ 107.以下哪项将传输的原始数据拆散为加密数据包通过多条隧道交叉疏散传递,令攻击者的流量分析难上加难。
A.洋葱路由
C.下水道路由
D.路由聚合
B.大蒜路由
¶ 108.SecureShell(SSH)版本2协议支持
A.可用性、责任、压缩和完整性
B.身份验证、可用性、机密性和完整性
C.问责制、压缩、机密性和完整性
D.身份验证、压缩、机密性和完整性
¶ 109.以下哪项是转置密码(transpositionciphers)易于识别的原因?
A.密钥Key
B.块Block
C.流Stream
D.字符Character
转置密码(Transposition Ciphers)是一种加密方法,其通过重新排列明文中的字母或符号的顺序来创建密文,而不是通过替换字母或符号。
¶ 110.组织实施远程访问服务器(RAS)。一旦用户连接到服务器,就使用数字证书来验证他们的身份。组织在此身份验证期间将使用哪种类型的可扩展身份验证协议(EAP)?
B.隧道传输层安全(TTLS)
C.受保护的可扩展身份验证协议(PEAP)
D.消息摘要5(MD5)
A.传输层安全(TLS)
¶ 111.作为应用程序渗透测试过程的一部分,会话劫持可以通过以下哪项最佳方式实现?
A.已知明文攻击
B.拒绝服务(DoS)
D.结构化查询语言(SQL)注入
C.操控Cookie
¶ 112.了解产生出加密消息的最初语言可能有助于密码破译者(cryptanalyst)
执行:
A.已知明文攻击
B.已知密文攻击
D.随机评估
C.频率分析
¶ 113.以下哪项技术在测试或运行阶段分析应用程序的运行状态,模拟黑客行为对应用程序进行攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击。
A.静态应用程序安全测试SAST(StaticApplicationSecurityTesting)
C.交互式应用程序安全测试IAST(InteractiveApplicationSecurityTesting)
D.运行时应用程序安全保护RASP(Runtimeapplicationself-protection)
B.动态应用程序安全测试DAST(DynamicApplicationSecurityTesting)
¶ 114.下面哪种标记语言允许共享应用安全策略,来保证所有的应用程序能遵循同一个安全原则?
A.XML
B.GML
C.SPML
D.XACML
¶ 115.以下哪个关于易熔环的自动喷水灭火系统的描述是正确的?
A.当水管内加压的空气压力减少时,干管系统水管将充满水,并直接从喷头喷洒出
C.喷淋系统的喷淋头保持打开,能够短时间内喷出大量的水
D.水管内总是充满了水的水管灭火系统
B.当水管内加压的空气压力减少时,预作用灭火系统水管将充满水
¶ 116.XSS跨站脚本攻击中最常见的类型是:
A.注入型XSS
C.存储型XSS
D.DOM型XSS
B.反射型XSS
¶ 117.用C语言开发的程序已经对缓冲区溢出攻击进行了有效预防,然而以下哪种情况还可能造成缓冲区溢出攻击:
A.在程序中写入了硬凭证
C.设定了运行的沙箱环境
D.程序中使用了多线程
B.在编程中调用了别的库
A.在程序中写入了硬凭证: 这个选项与缓冲区溢出攻击没有直接关系。硬凭证(hardcoded credentials)通常指的是在代码中直接写入的敏感信息,如用户名和密码,这可能导致其他类型的安全问题,如凭证泄露,但不是缓冲区溢出攻击的直接原因。
B.在编程中调用了别的库: 这个选项可能会引起缓冲区溢出攻击,如果调用的库存在安全漏洞,特别是如果这些库在处理字符串或缓冲区时没有采取适当的安全措施。如果攻击者能够利用这些漏洞执行恶意代码,那么即使主程序对缓冲区溢出有预防措施,也可能受到攻击。
C.设定了运行的沙箱环境: 通常,沙箱环境(sandboxing)是用来限制程序运行时的权限和能力的,以减少其对系统的影响。如果沙箱环境设置得当,它可以有效地防止缓冲区溢出攻击导致的恶意代码执行。因此,设定了沙箱环境通常不是造成缓冲区溢出攻击的原因,而是预防措施。
D.程序中使用了多线程: 多线程本身并不直接导致缓冲区溢出攻击,但如果多线程的实现或管理不当,可能会导致资源竞争条件(race conditions),这可能会使得缓冲区溢出攻击更容易发生。然而,这通常与多线程编程的具体实现和同步机制有关,而不是多线程本身。
¶ 118.有人值守的机房防火设施应该选:
A.湿管
B.预响应式干管
C.泛滥式干管
D.FM200
¶ 119.ElGamal算法是:
A.流加密
B.分组加密
D.哈希算法
C.非对称加密
¶ 120.对移动磁盘数据,使用了下列哪种处理方法后,用常规方法或复杂方法都很难恢复:
A.删除Delete
D.加密
B.净化Sanitizing
C.覆写
¶ 121.手机中数据的保护用什么加密算法比较好:
A.RSA
B.3DES
C.ECC
D.AES
¶ 122.利用ping程序中使用的ICMP协议的攻击为?
A.Fraggle攻击
B.Smurf攻击
C.Teardrop攻击
D.SYNflood攻击
B.Smurf攻击
A.Fraggle攻击:这是一种利用IP分片机制进行的拒绝服务(DoS)攻击。攻击者发送大量具有不同IP分片偏移量的IP分片到目标主机,导致目标主机消耗大量资源来重组这些分片,从而无法处理正常的网络请求。
B.Smurf攻击:这是一种利用ICMP回显请求(ping)进行的拒绝服务攻击。攻击者将源IP地址伪造为受害者的IP地址,然后向一个广播地址(如一个子网内的所有主机)发送大量的ICMP回显请求。当这些回显响应返回时,它们都会发送到受害者的机器上,从而导致受害者的机器遭受拒绝服务攻击。
C.Teardrop攻击:这也是一种利用IP分片机制进行的拒绝服务攻击。与Fraggle攻击不同的是,Teardrop攻击发送的是重叠的IP分片,这样目标主机在重组这些分片时会遇到问题,并可能导致内存耗尽或系统崩溃。
D.SYNflood攻击:这是一种利用TCP三次握手过程进行的拒绝服务攻击。攻击者发送大量的伪造的SYN包给目标服务器,但不完成三次握手过程,这样目标服务器会为每个未完成的连接保留资源,最终耗尽资源并拒绝为正常用户提供服务。
¶ 123.基于SaaS的IAM,提供云环境下的单点登录,便于安全地访问SaaS应用的是:
A.沙箱
B.SAML
D.Docker
C.IDaaS
¶ 124.为IPSEC保障机密和完整性的安全机制是:
A.AH
C.IKE
D.SA
B.ESP
¶ 125.用户大量使用弱密码,应对的最佳安全措施:
A.安全意识宣灌
B.明确密码长度要求
D.使用SSO单点登录
C.在系统上实施强口令验证
¶ 126.CMM的第2级和CMMI的第2级分别是:
A.已定义、已管理
B.已管理、已定义
D.已管理、可重复
C.可重复、已管理
¶ 127.公司希望部署IPS拦截网络中的攻击流量,IPS应该使用什么部署方式:
B.旁路
C.主动
D.被动
A.串联
¶ 128.以下哪一项是CHAP质询握手认证协议的特点:
A.二次握手
B.只在链路建立的阶段进行验证
C.被认证方发起验证
D.密文发送认证信息
¶ 129.区隔会产生利益冲突的主体(subject)和对象(object)的安全模型是:
A.BLP
B.Clark-Wilson
D.Biba
C.Brewer-Nash
¶ 130.安全员设置下水路由是为了抵抗:
A.DNS中毒
B.DDOS
C.Sniffing
D.Jamming
¶ 131.以下哪种数据最难被数字取证人员发现?
A.闲置空间数据
B.文件系统删除数据
D.以不同文件类型扩展名存储的数据
C.隐写数据
A. 闲置空间数据(Slack Space Data):
在计算机存储中,"闲置空间"或"松弛空间"通常指的是文件系统中分配给一个文件但实际未被该文件内容占用的空间。例如,如果一个文件系统以块为单位分配空间,并且一个文件的大小不是块大小的整数倍,那么文件的最后一个块中就会有一些未使用的空间,这就是闲置空间。有时,旧文件的数据或删除文件的片段可能会留在这些闲置空间中。
C. 隐写数据(Steganographic Data):
隐写术是一种将信息隐藏在其他信息中的技术。隐写数据指的是使用隐写术隐藏的数据。这种数据通常不是直接可见的,而是需要特定的工具或方法来提取。例如,图像、音频或视频文件中可能隐藏着额外的信息。
¶ 132.以下哪项最佳描述了用于在不同身份管理系统之间交换授权信息的标准?
B.面向服务的架构(SOA)
C.可扩展标记语言(XML)
D.无线认证协议(WAP)
A.安全断言标记语言(SAML)
¶ 133.在信息技术安全评估的通用标准(CC)中,提高评估保证级别(EAL)会导致以下哪项?
A.评估系统的增加
B.提高互操作性
C.增加功能
D.资源需求增加
¶ 134.何时实施安全要求成本最低?
A.由外部顾问确定时
B.在应用程序上线阶段
C.在项目周期的每个阶段
D.当内置到应用程序设计中时
¶ 135.以下哪项是缓解跨站脚本(XSS)攻击的最有效方法?
A.使用软件即服务(SaaS)
C.验证数据输出
D.要求客户证书
B.验证数据输入
¶ 136.通过伪造来自可信来源的数据包来对一台机器进行身份验证的技术通常指的是?
A.蓝精灵攻击(Smurfing)
B.中间人攻击(MITM)
C.重定向(Redirect)
D.欺骗(Spoofing)
¶ 137.纵深防御的一个重要原则是,实现信息安全需要关注三个主要方面的平衡。这是指?
A.开发、测试和部署
B.预防、检测和补救
D.认证、认可和监督
C.人员、技术和运营
¶ 138.在软件开发生命周期中,讨论DOS攻击是哪个里面的一个实例
B.漏洞分析
C.数据防泄漏
D.数据完整性
A.威胁建模
¶ 139.在SYN洪泛攻击中,攻击者的目的是?
A.获得root权限
B.导致缓冲区溢出
C.进行会话劫持
D.使连接队列超过上限
¶ 140.对于云服务提供商而言,以下哪项最有效地解决了使用云计算的客户的保密问题?
A.文件系统权限
B.散列函数
C.不可抵赖控制
D.数据隔离
¶ 141.下列哪种访问控制模型最严格:
A.DAC自主访问控制
C.RBAC基于角色的访问控制
D.ABAC基于属性的访问控制
B.MAC强制访问控制
¶ 142.Smurf攻击属于?
A.中间人攻击
C.隐蔽通道
D.社会工程
B.DOS攻击
¶ 143.在证据的监管链中对文件进行哈希保护的是?
A.可用性
C.机密性
D.抗抵赖
B.完整性
¶ 144.以下哪一项在传输层保护web交易安全?
A.安全超文本传输协议(S-HTTP)
C.套接字安全(SOCKS)
D.安全壳(SSH)
B.传输层安全(TLS)
¶ 145.以下哪一个标准最有助于降低数据破坏的风险?
A.ISO9001
B.ISO15504
C.ISO20000
D.ISO27001
¶ 146.系统和数据管理员在配置存储员工数据的系统时,应该遵照:
A.使用这些数据的业务要求
C.对企业资源和数据的全面保护
D.行业最佳实践的要求
B.组织的安全策略和标准
¶ 147.组织打算升级所有防火墙以降低某项风险,以下哪一项最能支持这个观点?
A.有充分的IT预算
B.该项风险的年预期损失ALE非常低
C.该项风险的固有风险高于残余风险
D.该项风险的预期损失超过实施控制的成本
¶ 148.以下哪一项属于双因素验证?
A.虹膜扫描和指纹识别
C.感应卡和钥匙
D.口令和PIN
B.视网膜扫描和智能卡
¶ 149.对于在SDLC软件维护阶段发现的应用程序漏洞,必须采取的行动是?
A.监控应用并评审代码
C.在漏洞被修复前暂停应用
D.按照设计指南进行变更
B.将漏洞报告给产品负责人
¶ 150.以下哪种攻击方法能最有效地获得对一份复杂口令保护的资料的未授权访问?
A.字典攻击
B.旁路攻击
C.彩虹表
D.社会工程
¶ 151.银行为所有使用网银的客户配备了硬件令牌。令牌每分钟更新一个6位的口令。客户必须使用这个口令登录网银。这种令牌是?
B.异步令牌
C.单点登录令牌
D.挑战/应答令牌
A.同步令牌
挑战应答令牌,也被称为异步认证方式,它的主要原理是:用户登录前,依据用户私人身份信息,并引入随机数产生随机变化的口令,使每次登录过程中传送的口令信息都不同,以提高登录过程中用户身份认证的安全性。挑战应答方式一般比时间/事件同步方式操作相对繁琐,实现相对复杂,一般用于对安全性要求更高的场合,比如登录网上银行等需要附加认证的情形。当用户需要访问系统时,远程认证服务器根据用户的电子令牌资料产生一个随机的数字串,即“挑战码”,用户将该数字串输入到电子令牌中。电子令牌利用内置的种子密钥和算法计算出相应的应答数(通常也是一个数字串),用户再将该应答数输入系统。
而同步令牌,通常也被称为CSRF令牌或抗-CSRF令牌,主要用于防止跨站请求伪造攻击。它的工作原理是:网站服务生成令牌并存储它,将该令牌静态设置到表单的隐藏字段中,用户提交表单时,POST请求体中包含该令牌。网站服务将以前生成并存储的令牌和请求体中的令牌进行比较,如果令牌匹配,则请求合法;如果令牌不匹配,则请求不合法并被拒绝。这种防护方法能阻止跨站请求伪造攻击的原因是,攻击者必须猜中令牌才能成功地诱骗受害者发起合法请求。
¶ 152.最能体现公司安全管理情况的是?
A.渗透测试结果报告
B.内部审计师出的内审报告
D.IT服务台收集的安全事件报告
C.外部审计师出的审计报告
¶ 153.对SLA进行合规评审的周期是?
A.在进行安全审计前对SLA进行评审
B.在更新SLA时进行评审
C.在发生了安全违规后立即对SLA进行评审
D.定期安排评审会议,对SLA进行评审
¶ 154.关于黑盒测试的说法正确的是?
A.测试者只了解源代码
B.测试者只了解设计文档
D.测试者只了解设计文档和功能说明书
C.测试者只了解功能说明书
¶ 155.以下哪一项对组织的安全态度/立场影响最大?
B.员工安全违规
C.安全开支增加后导致的资源限制
D.审计发现的安全控制漏洞
A.国际和国内的合规要求
¶ 156.在追踪事件时发现,只能提供最近30天内的审计日志。这需要关注:
A.数据恢复
C.数据处置
D.数据审计
B.数据保留
¶ 157.EAPMD5使用的身份验证方法:
B.基于预共享密钥的弱身份验证
C.基于OTP令牌设备的身份验证
D.基于TLS的加密隧道身份验证
A.基于散列值进行弱身份验证
¶ 158.为何说数据所有者重要?
A.鉴证
B.分析
D.合规
C.责任
¶ 159.安全内核的实质:
A.用户
B.进程
C.完整性
D.访问权限
¶ 160.符合X.509标准格式的数字证书中必定包括:
A.证书申请者的私钥
B.CA的公钥
D.证书废止列表CRL
C.CA的数字签名
