¶ 1.一个安全从业人员负责用加密算法来实施邮件安全。他选择了OpenPGP来实施。可采用以下哪个密码算法来创建用户的公钥?
B. International Data Encryption Algorithm (IDEA)IDEA算法
C. Advanced Encryption Standard (AES)AES算法
D. Triple Data Encryption Algorithm (3DES)
A. ElGamalElGamal算法
¶ 2.一个组织是独自占了一个位于一个大城市商业区的20层楼建筑。该组织有若干个有本地服务器的分支机构,距离总部办公室大约方圆1000英里 (1600公里) 内。所有工作人员,包括那些在分支办事处的员工都分配了身份识别卡,游客分配了临时徽章。安全人员来负责制定业务连续性计划/灾难恢复计划 (BCP/ DRP) 。下面BCP/ DRP哪个阶段将包括搬迁到主站点?
A. Assessment评估
C. Recovery
D. Initiation
B. Restoration还原
¶ 3.一个web应用的用户注意到,可以用书签收藏应用程序并返回到它,即使关闭电脑后,仍然有效。用户还注意到,用户的ID被嵌入在应用程序的URL。当改为另一个有效的用户ID,应用程序允许用户可以用其他用户的会话中的有效ID使用程序。这表明了编程存在什么缺陷?
A.The application assumes all users are logged-in.应用程序假定了所有用户都已经登录
C.The application fails open on authentication errors.应用程序在认证错误时打开失败
D.The application fails to a privileged state.应用程序失效进入特权状态
B.The application does not properly maintain session state.应用程序没有正确的维持会话状态
¶ 4.员工非自愿离职流程处理应当包括:
A list of all passwords used by the individual.个人所使用的所有密码的列表
B.A report on outstanding projects.未完成的项目交接报告
D.Signing a non-disclosure agreement.签署保密协议
C.The surrender of any company identification.归还任何公司的身份标识
¶ 5.两个操作员互相审查和批准对方的工作,这是什么控制?
A. Dual control
C. Two-fold control
D. Twin control
B. Two-man rule
¶ 6.哪种安全程序会迫使一个操作员勾结另一个不同类别的操作员来访问非授权数据?
A.Enforcing regular password changes
强制日常密码更改
B.Management monitoring of audit logs
审计日志的管理监控
D.Job rotation of people through different assignments
不同分工的人员的工作轮换
C.Limiting the specific accesses of operations personnel 限制操作人员的特定访问权限
¶ 7.传输层TCP数据的一个独立单元被称为:
B. TCP datagram TCP 数据报
C. TCP frame TCP 帧
D. TCP packet TCP 分组
A. TCP segment TCP 段
¶ 8.同时支持数据和语音通信 (VoIP) 的融合网络,根据其性质,提供了一个单独的通道来攻击数据和语音组件。下列哪项是最好的保障语音组件安全的机制?
A.Filter calls on the perimeter firewall
在边界防火墙上过滤呼叫
B.Use an analog voice system
使用模拟语音系统
C.Authenticate both voice and data users
验证语音用户和数据用户
D.Put voice on its own Virtual Local Area Network (VLAN) 把语音数据放在自己独立的虚拟局域网VLAN里
¶ 9.一个组织已经实施了一些新的安全控制。为了评估这些控制对安全体系有效性提升的影响,需要对信息安全的一些性能指标进行监控。下列哪一项是在这种情况下选择的性能指标时最重要的因素?
B.The ability to minimize false positives in the performance metric data
在性能测量指标数据中尽可能减少误报的能力
C.The ability to minimize false negatives in the performance metric data
在性能测量指标数据中尽可能减少漏报的能力
D.The performance metric has cross-platform applicability
性能测量指标有跨平台的适用性
A.The existence of baseline data for the performance metric 存在性能测量指标的基本数据
¶ 10.关于雇员解雇下列哪一项是最重要的?
A. Company property provided to the employee has been returned.
公司提供给雇员的财产已归还
B. User ID and passwords of the employee have been deleted.
雇员的用户名和密码已经删除
D. The details of employee have been removed from active payroll files.
雇员的详细情况从活跃的工资单中已被移除。
C. The appropriate company staff are notified about the termination.向公司相关的工作人员通知解雇
¶ 11.一个管理员负责数据运营中心,包括了500个终端的交换网络,一个Web服务器,电子邮件服务器,以及几个大的应用服务器。备份策略是每个星期天的早晨执行一次完全备份和周一至周五执行每日增量备份。环境中的所有服务器有五个SCSI磁盘驱动器,并设置为RAID 5作为热备。数据中心使用了高架地板,并在房间内配备了一个自足的HVAC系统,以及一个自动化的干管自动喷淋灭火系统来保护电脑。大约在星期天早上,Web服务器的一个硬盘出现了故障。为了让服务器返回到正常运行需要做什么?
A.Restore data from the last incremental backup.
从上次增量备份中恢复数据
B.Restore data from the last full backup.
从上次完全备份中恢复数据
C.Recover the data from the failed drive.
从故障磁盘中恢复数据
D.Replace the failed drive.更换故障的磁盘
¶ 12. 审计轨迹是什么类型的控制?
A. System, Manual 系统,手工
C. User, Technical 用户,技术
D. Detective, Manual 检测,手工
B. Detective, Technical检测,技术
¶ 13.在选择物理设施时,下面哪个地形特点最有利于物理安全?
A.Hilly with thick vegetation and other natural obstacles to protect entrance points
有茂密的植被和其他自然障碍的丘陵,来保护入口
B.Downhill slope to facilitate accessibility and visibility of the site
下坡地形能方便设施的进入和可见性
C.Flat with no thick vegetation and easy to access from various entrance points
没有茂密植被的平原,方便从不同的入口进出
D.Flat with no thick vegetation and a gentle rise in elevation up to the entrance point没有茂密植被的平原,入口略高于海拔
¶ 14.下面哪个是使用纵深防御原则的潜在缺陷?
B. Increased component failure rates
C. Redundant components are required
D. Lower intrusion detection performance
A. Increased system complexity
¶ 15.下面哪个是最安全的构建路由表的方法?
A. Distance vector
B. Link state 链路状态
C. Border Gateway Protocol (BGP)边界网关协议 (BGP)
D. Static 静态路由
¶ 16.在设计有效的安全控制时,下面哪项必须被考虑?
A. Speed of deployment部署的速度
B. Visibility 可视化
D. Authenticity 真实性
C. Ease of use 易用性
¶ 17.以下哪一项工具被用来判断一个系统是否存在会被已知攻击手段攻击的脆弱性?
A. Port scan 端口扫描
C. Honey Pots蜜罐
D. IDS
B. Vulnerability analysis
¶ 18.下面哪项关于道德的黑客的描述是不正确的?
A. An organization should use ethical hackers who do not sell auditing, consulting, hardware, software, firewall, hosting, and/or networking services
组织应该聘用道德的黑客,这些黑客不能销售审计,咨询,硬件,软件,防火墙,主机托管,和/或网络服务
B.The vast majority of tests are performed remotely
测试绝大多数是远程执行的
C.Ethical hacking should not involve writing to or modifying the target systems
道德的黑客不应写入或修改目标系统
D.Ethical hackers should never use tools that have potential of exploiting vulnerabilities in the organizations IT system.道德的黑客绝不能使用可能会导致组织IT系统漏洞被利用的工具。
¶ 19.下面哪个是渗透测试的主要目标?
B. Correction 纠正
C. Detection 检测
D. Protection保护
A. Assessment评估
¶ 20.渗透测试中的第一步应当做什么?
A.The approval of change control management.
变更控制管理的批准
B.The development of a detailed test plan.
详细测试计划的开发
D.The communication process among team members.
团队成员之间的沟通过程
C.The formulation of specific management objectives.制定具体的管理目标
¶ 21.下面哪个不是使用外部渗透服务公司比使用公司内部资源更好的原因?
A.They are more cost-effective
他们更具成本效益
B.They offer a lack of corporate bias
他们没有公司的偏见
D.They insure a more complete reporting
他们确保提供更完整的报告
C.They use highly talented ex-hackers 他们使用了天才的前黑客
¶ 22.下面哪个是针对加密硬件模块最有效的攻击方法?
A. Plain-text
B. Brute force
D. Man-in-the-middle (MITM)中间人攻击
C. Power analysis
¶ 23.审计师在执行一次合规性审计,申请查看系统中加密的密码,以验证密码是否符合政策。下列哪项是对审计师最好的回应?
A.Provide the encrypted passwords and analysis tools to the auditor for analysis.
提供加密的密码和分析工具给审计师进行分析
B.Analyze the encrypted passwords for the auditor and show them the results.
为审计师分析加密的密码,并给他们看结果
D.Demonstrate that non-compliant passwords cannot be encrypted in the system.
演示不符合政策的密码不能在系统里加密。
C.Demonstrate that non-compliant passwords cannot be created in the system.演示不符合政策的密码不能在系统里创建。
¶ 24.下列哪一项将最适合监督信息安全策略的部署?
A. System Administrators 系统管理员
B. Security administrators 安全管理员
D. Human resources 人力资源部
C. Security Officers 安全官
¶ 25.下面哪项是基于标准的合规框架的主要好处?
B.They reduce the need to audit the network.他们减少了审计网络的需求
C.They require fewer resources.他们需要更少的资源
D.They are easy to implement.他们易于实施
A.They identify gaps in existing controls.他们识别了现有控制的差距
¶ 26. 信息安全经理实施一个机制来对指定字段的信息进行合理性检查。这是以下哪种控制的例子?
A. IT General control
B. Availability control
D. Output control
C. Application control
业务负责的控制,包括:输入控制、处理过程中的控制、输出控制》(编辑检查属于处理过程中的控制,包括:合理性检查、有效性检查、范围检查、顺序检查、逻辑检查
¶ 27.最小特权的意图是执行最严格的用户权限
A. To execute system processes. 用于执行系统流程
B. By their job description. 基于他们的工作描述
D. By their security role. 基于他们的安全角色
C. To execute authorized tasks. 用于执行授权任务
¶ 28.这是一个在大型环境中常见的非常难以控制的安全问题。它发生在当用户拥有超出完成任务需要的更多的计算机权利、许可和特权。这说的是?
A. Excessive Rights 过多的权利
B. Excessive Access 过多的访问
C. Excessive Permissions过多的许可
D. Excessive Privileges 过多的特权
¶ 29.密码学本身并不关注:
B. Integrity 完整性
C. Confidentiality
D. Authenticity真实性
A. Availability可用性
¶ 30.下面哪一个措施能够最好地防范留在宾馆房间的笔记本电脑里的企业信息被窃取?
A.Lock the laptop in an in-room safe
将笔记本电脑锁在房间内的保险箱里
B.Use virtual desktop on the laptop
在笔记本电脑上使用虚拟化桌面
C.Use a cable lock on the laptop when it is unattended
在电脑无人看守时,使用笔记本线缆锁
D.Encrypt the data on the hard drive 加密硬盘上的数据
¶ 31.为了支持依赖于有风险的协议 (例如纯明文密码) 的遗留应用程序,下面哪个可以降低企业网络上的风险?
A.Implement strong centrally generated passwords to control use of the vulnerable applications.实施集中生成的强密码来对易受攻击的应用程序的使用进行控制。
C.Ensure that only authorized trained users have access to workstations through physical access control.通过物理访问控制,确保只有授权的经过培训的用户有权访问工作站。
D.Ensure audit logging is enabled on all hosts and applications with associated frequent log reviews.确保打开了所有主机和应用程序的审计日志,并经常进行日志审查
B.Implement a virtual private network (VPN) with controls on workstations joining the VPN.实现一个VPN,并对加入VPN的工作站进行控制。
¶ 32.测试灾难恢复计划 (DRP) 最重要的目标是?
A.Evaluating the efficiency of the plan
评价计划的效率
B.Identifying the benchmark required for restoration
识别恢复的标杆
D.Determining the Recovery Time Objective (RTO)
决定恢复时间目标 (RTO)
C.Validating the effectiveness of the plan> 验证计划的效果
¶ 33.下面哪个是审计轨迹的好处
B. Confidentiality 机密性
C. Non-repudiation抗抵赖性
D. Integrity 完整性
A. Accountability 可问责性
¶ 34.下面哪个是通用标准 (CC) 产品评价的安全弱点?
B.The product can be evaluated by labs in other countries 产品可以被其他国家的实验室来评价
C.The Target of Evaluation’s (TOE) testing environment is identical to the operating environment 评价目标 (TOE) 的测试环境等同于运营环境
D.The evaluations are expensive and time-consuming to perform 执行评价是昂贵并耗时的
A.The manufacturer can state what configuration of the product is to be evaluated 制造商可以声明产品的哪些配置是要被评价的
¶ 35.下图中展示的是哪种保护方法?
| 安全级别 | 航班号 | 货物 | 起飞时间 | 目的地 |
|---|---|---|---|---|
| 绝密 | OZ8790 | 武器 | 19:00 | 费城 |
| 未分类 | OZ8790 | 家具 | 22:00 | 洛杉矶 |
A. Polymorphism 多态性
C. Cohesiveness 内聚
D. Object classes 对象类
B. Polyinstantiation 多实例
¶ 36.一个维护服务,提供了电力、温度控制、高架地板和电话线,但是没有计算机和相关外设的场所,最好形容为
A. hot site 热站
C. warm site
D. reciprocal site
B. cold site冷站
¶ 37.在事件响应调查的早期,网络监视可以用来
A.prevent future incidents.
预防未来的事件
C.map the network and all trusted relationships.
映射网络和所有可信的关系
D.ensure compliance with usage policies.
确保使用策略的合规
B.confirm or dismiss suspicions about an incident.确认或解除对事件的怀疑
¶ 38.所有的访问必须被考虑,防止修改并验证其正确性,这说的是:
A. Secure model 安全的模型
B. Security locking安全锁定
D. Secure state 安全的状态
C. Security kernel 安全内核
¶ 39.下面哪个确保了当系统崩溃或其他系统错误发生时,安全不会被违反?
B. hot swappable
C. redundancy
D. secure boot
A. trusted recovery 可信恢复
¶ 40.“伪错误”指的是下面哪项?
B. An omission when generating Pseudo-code
产生伪代码时的遗漏
C.Used for testing for bounds violations in application programming
应用程序编程时用来测试越界侵犯
D.A Normally generated page fault causing the system halt
通常产生的页面故障,导致系统停机
A. An apparent loophole deliberately implanted in an operating system
故意在一个操作系统中植入一个明显的漏洞
“伪错误”(pseudo-bug)通常指的是故意在系统中植入的错误或漏洞,用于测试、调试或演示某些功能或安全性。这通常是在开发或测试阶段进行的,目的是确保系统能够正确地处理异常情况或潜在的错误。
¶ 41.下面哪项是在部署数字证书时最重要的?
A.Validate compliance with X.509 digital certificate standards
验证符合X.509数字证书标准
B.Use a third-party Certificate Authority (CA)
使用第三方CA
D.Use no less than 256-bit strength encryption when creating a certificate
创建证书时使用不少于256位长度的加密算法
C.Establish a certificate life cycle management framework
建立证书的生命周期管理框架
¶ 42.下列哪一项不是安全管理员的任务
B. Implementing security rules
实施安全规则
C. Ensuring that local policies have been authorized by management
确保地方政策已经授权管理
D. Allocating access rights
分配访问权限
A. Authorizing access rights 授权访问权限
¶ 43.使用基于Web的由可信CA签发的TLS证书的主要目的是?
A. To ensure a reasonable strength of cryptographic key and algorithm
为了确保合理的密钥和算法长度
B. To ensure that clients can connect with many different types of browsers
为了确保客户端可以连接到多个不同类型的浏览器
D. To allow the server to authenticate the clients connecting via browsers
为了允许服务器能够验证通过浏览器连接的客户端的身份
C. To allow clients to reasonably authenticate the identity of the server为了允许客户端能够合理的验证服务器的身份
¶ 44.下面哪个最准确的描述了一个业务连续性计划?
B.Ongoing process to identify the mission, vision, and strategic goals of the organization.
一个持续的过程,来确定组织的任务、愿景和战略目标
C.Ongoing analysis of the effects of a disaster on physical, economic, and natural resources.
一个持续的分析,对于物理、经济和自然资源灾难的影响
D.Ongoing testing of plans that allows for rapid recovery during system interruption and data loss.
对计划的持续测试,允许在系统中断或数据丢失时进行快速恢复
A.Ongoing process to identify the impact of potential losses and maintain viable recovery.一个持续的过程,来确定潜在损失的影响,以及维持可行的恢复
¶ 45.通用准则(CC)创建了下面哪项,允许潜在的消费者或开发者能够创建一套标准化的安全要求来满足需要
B. a Security Target (ST) 安全目标
C. an evaluation Assurance Level (EAL) 评价保障等级
D. a Security Functionality Component Catalog (SFCC)
A. a Protection Profile (PP)保护轮廓
¶ 46.如果供应商通过子合同将一些IT支持功能分包,下列哪一项是包括在合同中最重要的要求?
B.Subcontractors sign Non-Disclosure Agreements (NDA).
分包商签署保密协议
C.Subcontractor contact information is included in the main contract.
分包商联系信息应包括在主合同中
D.Subcontractors must pass a background check.
分包商必须通过背景调查
A.Subcontractor security provisions are the same as the main contract.
分包商合同的安全条款和主合同是一样的
¶ 47.为什么Kerberos服务器必须得到很好的保护,防止非授权访问?
B. It always operates at root privilege.
因为它总是在root权限下操作
C. It contains all the tickets for services.
因为它包含了服务的所有票据0
D. It contains the Internet Protocol (IP) address of all network entities.
因为它包含了所有网络设备的IP地址
A. It contains the keys of all clients.因为它包含了所有客户的密钥
¶ 48.下面哪个是生物识别系统的第二类错误?
B. False reject rate
C. Crossover error rate
D. Speed and throughput rate
A. False accept rate
¶ 49.在击键动力学中,什么代表了一个人在按键之间切换的时间量?
A. Dynamic time
C. Dwell time
D. Systems time.
B. Flight time飞行时间
¶ 50.下面哪个可以帮助安全人员选择安全产品和服务,使其保持和公司的目标一致?
A.Choosing the lowest cost solution
选择最低成本的方案
B.Observing local laws and regulations
遵从本地的法律和法规
C.Identifying vendor specifications and contract agreements
识别供应商规格说明书和合同协议
D.Interviewing business process owners与业务流程所有者面谈
¶ 51.为什么基于拥有什么的验证比知道什么的验证强度高?
A. It is simpler to control.
C. It can be kept on the user’s person.可以由用户个人保存
D. It is easier to change.
B. It is more difficult to duplicate. 复制更加困难
¶ 52.下面哪个是电子尾随攻击的例子?
B.Abruptly terminating a dial-up or direct-connect session.
突然终止拨号或直接连接会话
C.Following an authorized user into the computer room.
跟随一个授权用户进入计算机室
D.Recording and playing back computer transactions.
录制并回放计算机交易
A.Attaching to a communications line and substituting data.
附在通信线路上并替代数据
¶ 53.哪项不是BIA的主要目标之一?
A.Criticality Prioritization
关键性优先级分级
B.Down time estimation
宕机时间预测
C.Determining requirements for critical business functions
决定关键业务功能的需求
D. Deciding on various test to be performed to validate Business Continuity Plan
决定执行各种测试来验证业务连续性计划
¶ 54.使用自主访问控制 (DAC) 的系统,容易受到下面哪种攻击?
B. Phreaking 盗用电话线路
C. Spoofing 欺骗
D. SYN flood SYN洪水
A. Trojan horse木马
¶ 55.哪种访问控制模型让资源的所有者来定义什么主体可以访问特定资源?
B. Mandatory Access Control 强制访问控制
C. Sensitive Access Control 敏感访问控制
D. Role-based Access Control 基于角色的访问控制
A. Discretionary Access Control 自主访问控制
¶ 56.廉价冗余磁盘阵列 (RAID5) 通过什么最小化了写的瓶颈?
A.using one drive in the array to store parity information.
使用阵列的一个磁盘来存储奇偶校验信息
B.using a larger stripe depth of two blocks instead of one.
使用两块大的条带深度,而不是一个
C.utilizing error correction code capabilities.
使用错误纠正码的能力
D.distributing parity stripes over a series of drives.
分发奇偶校验条带到一系列磁盘
¶ 57.下面哪个安全模型使用了良好形式交易和职责分离的机制?
A. Chinese Wall
B. Bell-LaPadula
D. Biba 比巴模型
C. Clark-Wilson 克拉克-威尔逊模型
¶ 58.哪个安全访问策略包含固定的安全属性,系统用来确定用户对文件或对象的访问?
B. Discretionary Access Control (DAC)自主访问控制
C. Access Control List (ACL) 访问控制列表
D. Authorized user control 授权用户控制
A. Mandatory Access Control (MAC)强制访问控制
¶ 59.下面哪项是安全经理拥有的最关键技能?
B.Good technical skills, project management expertise, and a strong audit background
良好的技术技能,项目管理经验,强大的审计背景
C.Compliance experience, formal management training, and network operations abilities
合规经验,正式的管理培训,和网络运维能力
D.Skills development capabilities, application development experience, and good people skills
技巧开发能力,应用开发经验和良好的人际交往能力
A.Effective communication skills, strategic planning skills, and an understanding of organizational processes
有效的沟通技巧,策略规划技巧,以及对组织流程的理解
¶ 60.下面哪项是可信计算基TCB的核心要素?
A. Trusted path
C. Operating system
D. Trusted computing system
B. Security kernel
¶ 61.强制访问控制 (MAC) 是基于
B.data labels and user access permissions.
数据标签和用户访问权限
C.user roles and data encryption.
用户角色和用户加密
D.data segmentation and data classification.
数据分段和数据分类
A.security classification and security clearance. 安全分级和安全许可
¶ 62.下列哪一个将是与只提供VoIP服务的公司协商互联网服务提供商 (ISP) 服务水平协议 (SLA) 的最重要的组成部分?
A. Guaranteed throughput level
B. Quality of service of applications
D. Response time to repair
C. Availability of network services
¶ 63.为什么国际数据传输是比较复杂的?
A.Some nations subscribe to international conventions.
一些国际签署了国际公约
B.Rights of a nation in a jurisdiction are enforceable in all jurisdictions.
一个国家司法的权限在所有司法管辖区执行
D.Rights of a nation to enforce in one jurisdiction apply in all jurisdictions.
一个国家在一个司法管辖区执行的权利应用到所有管辖区
C.Patent, copyright, and trade secret laws are not standardized. 专利、版权和商业秘密法律不是标准的
¶ 64.一个大的在线媒体组织通过防火墙、入侵检测系统和防病毒解决方案来进行保护。怀疑发生了与公众用户账户相关的欺诈行为。下面哪个是确认该欺诈的最好的解决方案?
B.Review firewall logs regularly
常规检查防火墙日志
C.Verify web server patches are up-to-date
确认Web服务器补丁是最新的
D.Implement strong authentication for all users
实施所有用户的强验证
A.Implement logging in the web application> 实施Web应用程序级的日志
¶ 65.下面哪个是在一个正确职责分离的环境中可以兼容的职能?
A. Data entry and job scheduling 数据录入和作业调度
B. Database administration and systems security 数据库管理和系统安全
D. Security administration and systems programming安全管理和系统编程
C. Systems analyst and application programming 系统分析和应用编程
¶ 66.一个来访的计算机科学家发现了大学的大型主机中的错误,可以使他们能够收集其他用户ID,访问他们的文件,他们的账单计算时间。在几个星期内,他们搜集了大量的用户ID,但从未访问他们的文件或票据的时间。临走时,科学家向同事揭示了这些发现,同事汇报了这些发现。根据 (ISC) 2道德规范,以下那个是正确的?
A.The act was ethically neutral because no one was harmed, privacy was not violated, and time was not fraudulently billed.
该行为是道德上中立,因为没有人收到伤害,没有侵犯隐私,没有欺诈收费时间。
C.The act was ethically correct because the scientist provided evidence of a system flaw that might have otherwise gone undetected.
该行为道德上是正确的,因为科学家提供了系统缺陷的证据,否则有可能未被发现。
D.The act was ethically wrong because the scientist made widely known a system flaw and increased the likelihood of further system abuse.
该行为道德上是错误的,因为科学家使得系统缺陷广为人知,增加了系统进一步滥用的可能性。
B.The act was ethically wrong because the scientist did not immediately reveal the system flaw so steps could be taken to eliminate the vulnerability.该行为道德上错误,因为该科学家没有马上揭示系统错误,使得可以采取步骤消除漏洞
¶ 67.金融机构的一个客户拒绝承认一个交易的发生。下面哪一个用来提供客户执行了交易的证据?
A. Authorization controls 授权控制
B. Two-factor authentication 双因素认证
D. Access audit 访问审计
C. Non-repudiation controls 抗抵赖控制
¶ 68.面哪一个最好地保护了用来做应急维护的供应商账户?
B.Frequent monitoring of vendor access
经常监控供应商的访问
C.Role Based Access Control (RBAC)
基于角色的访问控制
D.Encryption of routing tables
路由表加密
A.Vendor access should be disabled until needed供应商访问应当被禁用,需要时再激活
¶ 69.国际数据加密算法 (IDEA) 加密标准实施了下面哪个选项?
A. Variable key length cipher 可变密钥长度加密
C. Digital Signature Standard (DSS) 数字签名标准 (DSS)
D. Digital Signature Algorithm (DSA) 数字签名算法 (DSA)
B. Block cipher 分组加密
¶ 70.在实施补丁管理程序时,应当第一步执行下面哪一项?
A.Perform automatic deployment of patches.
执行自动补丁部署
B.Monitor for vulnerabilities and threats.
监控漏洞和威胁
C.Prioritize vulnerability remediation.
漏洞修补方案优先级分级
D.Create a system inventory.创建系统清单
¶ 71.业务连续性计划是下面哪个控制的例子?
B. Detective Control 检测性控制
C. Preventive Control 预防性控制
D. Compensating Control 补偿性控制
A. Corrective Control 纠正性控制
¶ 72.谁对在公网链路上传输数据的安全性和隐私性负责?
A. The carrier
C. The receiving party接收者
D. The local service provider
B. The sending
¶ 73.下面哪个最好地提供了电子邮件信息的真实性和机密性?
A.Signing the message using the sender’s public key and encrypting the message using the receiver’s private key
使用发送者的公钥签名信息,并使用接收者的私钥加密信息
C.Signing the message using the receiver’s private key and encrypting the message using the sender’s public key
使用接收者的私钥签名信息,并使用发送者的公钥加密信息
D.Signing the message using the receiver’s public key and encrypting the message with the sender’s private key
使用接受者的公钥签名信息,并使用发送者的私钥加密信息
B.Signing the message using the sender’s private key and encrypting the message using the receiver’s public key
使用发送者的私钥签名信息,并使用接收者的公钥加密信息
¶ 74.下面哪个是在设计灾难恢复计划 (DRP) 时,需要考虑的主要因素?
A.Back-up procedures, off-site storage, and data recover.
备份程序,异地存储,和数据恢复
B.Steering committee, emergency response team, and reconstruction team.
指导委员会,应急响应团队和重建团队
D.Insurance coverage, alternate site, and manual procedures.
保险覆盖,备份站点和人工程序
C.Impact assessment, recover strategy, and testing.
影响评估,恢复战略和测试
¶ 75.下面哪个是 检查时间/使用时间 (TOC/TOU) 问题的实例?
A.A user whose profile has been revoked logs on using the password of a valid user of the system.
已经被撤销概要的用户使用系统有效用户的密码来登陆
C.A user session is terminated immediately after the user profile is revoked.
用户的概要撤销后,用户的会话立即终止
D.A user session is not validated until after the log on.
只有在登陆以后,用户会话才被确认有效
B.A user logs on with a valid profile which is revoked without termination of the session.
用户使用一个正确的概要登陆,该概要在撤销时没有终结会话
¶ 76.下面哪一个关于在灾难发生并扰乱了组织的活动后,如何处理媒体关系的描述是不正确的?
B.The disaster recovery plan must include how the media is to be handled during the disaster
灾难恢复计划必须包括灾难发生时如何处理媒体关系
C.The organization’s spokesperson should report bad news before the press gets a hold of it through another channel
组织的发言人应该在媒体记者从另外的渠道了解之前,报告坏消息。
D.An emergency press conferepnce site should be planned ahead
应当提前规划一个紧急新闻发布会站点
A.The CEO should always be the spokesperson for the company during a disaster
在灾难时,CEO应该一直是公司的发言人
¶ 77.为了让组织的安全策略有效,策略必须包括:
B.明确定义问题的声明
C.所有适用于策略的标准的清单
D.策略文档的所有人和更新日期
A.对不合规的惩戒措施
¶ 78.一家企业的文档管理系统中对文档实施了分级管理系统,以下哪一项是保护分级文档机密性的最佳控制?
A.要求访问文档系统的人员签订保密协议(NDA)
B.使用入侵检测系统(IDS)防止对文档的未授权访问
C.进行日志评审,对发现的违规文档访问进行调查
D.防止拥有高安全级别访问权限的人员将文档保存到低安全级别区域
¶ 79.应用级代理防火墙的主要特点是?
A.逻辑简单,成本低,易于安装使用
B.很难识别IP欺骗,安全性较低
D.日志记录有限,安全性较低
C.使用规则导致性能下降
¶ 80.网络安全评估能起到什么作用?
A.检查网络是否与行业标准相符合
C.识别所有网络中的漏洞
D.防止渗透测试导致网络失效
B.准确衡量控制的有效性
¶ 81.根据数据分级的策略,数据的所有者是?
A.最终用户
C.安全经理
D.IT主管
B.业务经理
¶ 82.测试BCP的恰当时机是?
B.在进行信息系统审计前
C.在安装了安全补丁后
D.在新系统上线后
A.当环境发生变化时
¶ 83.软件工程师编写了一个能生成多态病毒的工具,用于在受控的环境下测试公司的病毒扫描工具。该行为是?
B.道德的,因为任何有经验的程序员都能够创建这样的工具
C.不道德,因为该工具有可能被传播到互联网上
D.不道德,因为生成任何种类的病毒都是有害的
A.道德的,因为这个工具有助于验证病毒扫描工具的有效性
¶ 84.评价组织的漏洞管理程序是否有效的最佳方法是:
A.自动漏洞扫描
B.评审自动补丁部署报告
C.定期由安全团队进行漏洞扫描
D.定期进行第三方漏洞评估
¶ 85.攻击者侵入企业内部网络后安装了嗅探器,如果企业之前实施了以下哪一项措施,就能有效防止攻击者获取更多信息?
A.实施包过滤防火墙
B.安装基于主机的入侵检测系统
D.实施强身份验证技术
C.用交换机实施逻辑网络分段
¶ 86.变更管理文档中最重要的一项是?
B.利益相关方沟通
C.实施的变更数量
D.涉及的组件清单
A.商业论证
¶ 87.要提升用户安全意识,要怎么培训?
A.给员工群发邮件,提醒每日安全热点
B.安排员工参加安全意识培训
C.强制员工定期进行培训学习
D.将新培训材料融入安全意识培训
¶ 88.关于点到点微波传输的正确的说法是?
A.因为采用了多路复用技术,所以不容易被拦截侦听
B.因为有加密,所以不容易被拦截侦听
D.是否被拦截侦听取决于信号强度
C.容易被拦截侦听
¶ 89.在生命周期的开发阶段,推荐的渗透测试的方法是:
A.黑盒测试
C.软件模糊测试
D.可视化测试
B.白盒测试
¶ 90.开放设计的原则是?
B.掌握技能的用户应该被限制特权,以防止其损害安全
C.应该保护算法,以确保设计的系统的安全性和互操作性
D.分解、分析、反向工程能够揭示计算机系统的安全功能
A.安全机制不应该依赖于设计和实施的保密性
¶ 91.两家公司想要在网上共享电子订单和电子库存记录,最佳的安全方案是?
A.在两家公司配置边界防火墙
B.让两家公司签订服务级别协议(SLA)
C.为两家公司建立FTP文件传输连接
D.为两家公司建立VPN连接
¶ 92.通过SDN实现网络虚拟化通常需要完成三部分工作,包括:
B.物理网络管理,网络配置管理和网络隔离
C.物理网络管理,网络资源虚拟化和网络配置管理
D.网络配置管理,网络资源虚拟化和网络隔离
A.物理网络管理,网络资源虚拟化和网络隔离
¶ 93.哪种服务组织控制 (SOC) 报告可以自由分发,供客户使用,以便客户获得对服务组织系统的信心?
A.SOC 1 类型 1
B.SOC 1 类型 2
C.SOC 2
D.SOC 3
SOC 3:是在SOC 1 Type 2或SOC 2 Type 2审计结束后,由第三方审计机构出具的审计结论的摘要版本。SOC 3报告适用于需要了解CSP(云服务提供商)内部控制有效性但并不需要完整版SOC 2报告的客户。
¶ 94.阅读以下步骤:
- 执行频繁的数据备份。
- 执行测试恢复以验证备份数据的完整性。
- 离线或在单独的服务器上维护备份数据。
这些步骤可以帮助组织从什么中恢复?
A. 网络钓鱼攻击
B. 授权错误
D. 被盗的加密密钥
C. 勒索软件攻击
¶ 95.PCI DSS 框架没有要求以下哪类控制?
B. 实施强访问控制措施。
C. 维护信息安全政策。
D. 维护漏洞管理计划。
A. 实施强资产控制协议。
1.建立和维护安全网络和系统(Build and Maintain a Secure Network and Systems)
安装和维护防火墙配置以保护持卡人数据
不要使用厂商提供的默认系统密码和其他安全参数
2.保护持卡人数据(Protect Cardholder Data)
保护存储的持卡人数据
在开放的公共网络上加密传输持卡人数据
3。维护一个漏洞管理计划(Maintain a Vulnerability Management Program)
保护所有系统免受恶意软件的攻击,并定期更新防病毒软件或程序
4.实施强访问控制措施(Implement Strong Access Control Measures)
根据业务需要知道的原则限制对持卡人数据的访问
5.定期监控和测试网络(Regularly Monitor and Test Networks)
这个类别通常包括定期进行安全评估、渗透测试、和监控网络流量以检测异常活动等要求
6.维护信息安全政策(Maintain an Information Security Policy)
制定、维护和传达信息安全政策,为员工提供培训,并确保所有员工都了解并遵循这些政策
¶ 96.以下哪项决定了应用于安全风险的安全控制的数量和复杂性?
A. 安全漏洞
B. 成本效益
D. 风险缓解
C. 风险承受能力
¶ 97.安全专业人员正在评估应用程序中的风险,并且没有考虑任何缓解或补偿控制。此类风险评级是以下哪项的示例?
A. 转移风险
C. 残余风险
D. 规避的风险
B. 固有风险
¶ 98.将资产所有权分配给部门时,以下哪项最重要?
A. 部门应向企业主报告
B. 应定期审查资产的所有权
D. 所有成员都应接受有关其职责的培训
C. 应确保个人问责制
¶ 99.对SSD固态硬盘的最佳的净化方法是:
A.覆写
B.消磁
C.加密
D.粉碎
¶ 100.哪种技术可以成功隐藏发件人的IP地址,用于欺骗电子邮件来源?
A. 虚拟专用网 (VPN) Virtual Private Network
B. 更改回复数据 Change In-Reply-To data
D. 网络爬取 Web crawling
C. 洋葱路由 Onion routing
¶ 101.具有IP地址10.102.10.2 的系统的物理地址为 00:00:08:00:12:13:14:2f。将以下静态条目添加到地址解析协议(ARP)表中:10.102.10.6 : 00:00:08:00:12:13:14:2f。这可能是什么形式的攻击?
A. 针对网关路由器的拒绝服务(DoS)攻击,因为路由器不再接受来自10.102.10.2的数据包
B. 针对10.102.10.2的拒绝服务(DoS)攻击,因为它无法正确响应ARP请求
C. 阻止10.102.10.6地址解析的传输层攻击
D. 将用于10.102.10.6的数据包发送到10.102.10.2 的伪装攻击
¶ 102.以下哪种攻击依赖于先攻破次要目标,再攻破主要目标?
A. 鱼叉式网络钓鱼
B. 地址解析协议(ARP)中毒
D. 暴力破解
C. 水坑攻击
水坑攻击(Watering hole)是一种计算机入侵手法,其针对的目标多为特定的团体(如组织、行业、地区等)。黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
由于此种攻击借助了目标团体所信任的网站,攻击成功率很高,即便是那些对鱼叉攻击或其他形式的钓鱼攻击具有防护能力的团体也可能遭受攻击。水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。
水坑攻击一般分为四个阶段:信息收集、准备、攻击和感染。在信息收集阶段,攻击者会对他们的目标受害者群体进行“画像”,收集信息,了解受害者最常用的网站。在准备阶段,攻击者通过代码注入或DNS欺骗等各种手段来感染网站,改变网站的执行进程或目标网址。在攻击阶段,攻击者利用网站的弱点在其中植入攻击代码,一旦受害者访问该网站,就会触发攻击代码的执行。在感染阶段,攻击代码利用浏览器的缺陷,使受害者的终端被植入恶意程序或者直接被盗取个人重要信息。
因此,水坑攻击相对于通过社会工程方式引诱目标用户访问恶意网站更具欺骗性,效率也更高。为了防范水坑攻击,个人和组织应该加强网络安全意识,及时更新和维护软件的安全补丁,避免使用不安全的网络连接,以及不轻易点击来自不可信来源的链接或下载未知的文件。
¶ 103.以下哪项是点对点协议(PPP)可以使用的对等实体身份验证方法?
A. 质询-响应验证机制 (Challenge-Response)
B. 消息验证码 (MAC)
D. 传输层安全 (TLS) 握手协议
C. 质询握手验证协议 (CHAP)
¶ 104.对于联合身份解决方案,第三方身份提供者 (IdP) 主要负责以下哪项?
A. 访问控制 Access Control
B. 账户管理 Account Management
D. 授权 Authorization
C. 认证 Authentication
¶ 105.进行内部安全审计的主要目的是什么?
A. 验证所有系统和标准操作程序(SOP)均已正确记录
B. 验证所有支持系统的人员都了解他们的职责
C. 验证是否按照最佳实践建立了安全控制
D. 验证适用的安全控制措施已实施且有效
¶ 106.安全团队需要针对前端面向外部的应用程序执行接口测试,并且需要验证所有输入字段是否可以防止无效输入。以下哪项最有助于此过程?
B. 指令集模拟测试 Instruction set simulation
C. 回归测试 Regression testing
D. 健全性测试 Sanity testing
A. 应用程序模糊测试 Application fuzzing
¶ 107.以下哪项是及时安装软件补丁最重要的原因?
A. 补丁仅在特定时间可用
B. 补丁可能与专有软件不兼容
D. 攻击者可能正在进行网络分析
C. 攻击者对补丁进行逆向工程利用漏洞
¶ 108.最大可容忍停机时间 (MTD) 决定什么?
A. 在客户受到影响之前,关键业务数据库可以保持关闭的估计时间段。
B. 公司在没有任何灾难恢复计划的情况下可以承受灾难的固定时间长度
D. 在使用冗余系统之前,灾难恢复过程中的固定时间长度
C. 企业可以保持中断的估计时间段,超过该时间段可能永远无法恢复
¶ 109.以下哪个因素导致有线等效隐私 (WEP) 协议的弱点?
B. WEP 使用MD5消息摘要
C. WEP 使用 Diffie-Hellman 算法
D. WEP 没有使用初始化向量 (IV)
A. WEP 使用小范围初始化向量 (IV)
WEP使用一个48位的初始化向量(IV)来开始加密过程。由于IV的长度较短,并且由于其结构,它很容易受到暴力攻击和重放攻击。攻击者可以通过捕获足够数量的数据包来预测未来的IV值,并利用这些预测值解密数据包。
¶ 110.在以下哪个流程中为用户帐户实施了最小特权 (least privilege) ?
B. 批准 Approve
C. 请求 Request
D. 审查 Review
A. 配置 Provision
访问配置生命周期指的是账户和访问权限的配置、管理和维护的过程,这个过程涵盖了账户的创建、权限的分配、定期的审核和撤销等环节。这个生命周期的目的是确保用户根据任务要求拥有适当的权限,同时遵循最小特权原则,以减少安全风险。
¶ 111.使用在线证书状态协议 (OCSP) 的动机是什么?
A. 控制对证书撤销列表 (CRL) 请求的访问
B. 返回证书撤销列表 (CRL)的查询结果
C. 更快地查询符合X.500标准的数字证书的撤销状态
D. 及时提供对证书查询的最新响应
在线证书状态协议(英语:OnlineCertificateStatusProtocol,缩写:OCSP)是一个用于获取X.509数字证书撤销状态的网际协议,在RFC6960中定义,作为证书吊销列表(CRL)的替代品解决了在公开密钥基础建设(PKI)中使用证书吊销列表而带来的多个问题。协议数据传输过程中使用ASN.1编码,并通常创建在HTTP协议上,此消息类型分为“请求消息”和"响应消息”,因此致OCSP服务器被称为"OCSP响应端"
¶ 112.通常,面向Internet的服务器应放置在非军事区 (DMZ)。 DMZ的主要目的是什么?
A. 减轻与暴露的服务器相关的风险.
B. 为服务器准备应对潜在的攻击。
D. 绕过防火墙的需要。
C. 降低内部系统的风险。
¶ 113.当道德黑客不了解目标系统但在测试前通知测试目标时,正在执行哪种类型的安全测试?
A. 反向
B. 灰盒
D. 白盒
C. 盲测
¶ 114.渗透测试最常发生在:
A.设计阶段
B.开发阶段
C.验收阶段
D.操作和维护阶段
¶ 115.以下哪个不是防御 CSRF 攻击的策略:
A.在请求地址中添加 token 并验证
B.验证 HTTP Referer 字段
C.在 HTTP 头中自定义属性并验证
D.在HTTP头部加入消息验证码
在HTTP头部加入消息验证码:这个选项描述得不太明确。如果是指像验证码那样需要用户输入的内容,那么这不是防御CSRF攻击的有效策略,因为CSRF攻击的关键在于攻击者能够绕过用户的交互,直接发送请求。如果是指服务器在响应中设置一个验证码,并要求客户端在后续的请求中包含这个验证码,那么这可以是一种防御策略,但这与CSRF攻击的本质不同,更接近于防御其他类型的攻击,如XSRF(Cross-Site Request Forgery with Verification)。
¶ 116.GDPR中明确要求,一旦发生个人数据泄露 (Data breach) ,如果可能对自然人的权力和自由造成一定风险,须通知监管机构,通知要求的时间限制是?
A. 24小时内
B. 48小时内
D. A.S.A.P. 尽可能快
C. 72小时内
¶ 117.CPTED通过环境设计预防犯罪的定义是什么?
A.通过良好的逻辑访问控制来降低犯罪的可能性
B.通过监控设备的升级来降低犯罪的可能性
C.通过目标强化来降低犯罪的可能
D.通过环境的健康化来降低犯罪的可能性
¶ 118.以下哪个不是敏捷宣言的选项:
A.个体和互动
C.客户协作
D.响应变化
B.流程和工具
敏捷宣言的四个核心价值观是:
1. 个体和交互 胜过 过程和工具
2. 可工作的软件 胜过 面面俱到的文档
3. 客户协作 胜过 合同谈判
4. 响应变化 胜过 遵循计划
¶ 119.安全级别较高的文件授予只读权限,安全级别较低的文件授予可写权限,属于:
A.BLP模型
C.Clark-Wilson模型
D.中国墙模型
B.BIBA模型
¶ 120.网络层协议的保留字段被利用,会带来什么问题?
A.拒绝服务攻击
C.碎片攻击
D.洪泛攻击
B.隐蔽通道
¶ 121.哪种种设施最不容易扫出漏洞:
A.硬件0
B.系统软件
C.应用软件
D.内核
¶ 122.在安全威胁较低的情况下,使用包过滤防火墙的原因?
A.可以解决 IP 欺骗攻击
B.可以防止ICMP攻击
C.能根据连接状态进行判断0
D.方便、透明
¶ 123.光纤数据泄露怎么判断?
A. 光束分离法
B. 散射法0
C. 震动检测工具
D. 光损耗测量
¶ 124.PKI在什么情况下对CA的认证产生交叉数字证书?
A.OCSP需要更新时
B.当CA之间需要互相认证时0
C.追溯根CA时
D.更新CRL列表时
¶ 125.道德观念基于?
A.民法
B.刑法
C.个人诚信0
D.合规性
¶ 126.防止两个高级权限的人在工作中合谋的应对措施是?
A.双人控制
B.最小特权
C.岗位轮换0
D.职责分离
¶ 127.在应用程序开发期间,应该运行哪种类型的测试以获得快速反馈?
A.回归测试
B.压力测试
C.冒烟测试0
D.端到端测试
¶ 128.风险评估 (Risk Assessment) 包括:
A.风险分析、风险评价、风险处置
B.风险识别、风险缓解、风险接受
D.风险识别、风险评价、风险排序
C.风险识别、风险分析、风险评价
¶ 129.以下哪个标记语言基于XML,用于在不同的安全域(security domain)之间交换认证和授权数据。
B.SGML
C.SPML
D.XACML
A.SAML
SAML (Security Assertion Markup Language) 和 SPML (Service Provisioning Markup Language) 都是用于管理和交换标识、访问控制、权限和属性等安全相关信息的XML标准。这两个标准在网络和分布式计算环境中扮演着重要的角色。
SAML (Security Assertion Markup Language)
SAML 是一种基于XML的开放标准,用于在不同的安全域之间交换认证和授权数据。SAML 定义了安全断言的格式,这些断言包含了关于用户、他们的认证状态、授权决策以及其他与安全相关的信息。SAML 通常用于单点登录 (SSO) 场景,其中用户可以在多个应用程序之间无缝切换,而无需重新进行身份验证。
SAML 主要包含以下几个组成部分:
断言 (Assertions): 包含关于用户或实体的信息。
协议 (Protocols): 定义了如何在实体之间传输断言。
绑定 (Bindings): 定义了如何在特定的传输协议(如HTTP)上发送和接收SAML消息。
配置文件 (Profiles): 定义了SAML的特定使用场景。
SPML (Service Provisioning Markup Language)
SPML 是一种用于自动化管理网络服务和资源的XML标准。它允许服务提供者和服务消费者之间交换关于服务配置、用户管理和访问控制的信息。SPML 通常用于管理网络中的服务和资源,包括添加、删除、修改和查询用户帐户、角色和权限等。
SPML 的主要特点包括:
服务管理: 支持对服务进行配置、监控和管理。
用户管理: 支持用户帐户的创建、修改和删除等操作。
角色和权限管理: 支持角色和权限的分配、修改和撤销等操作。
同步和异步操作: 支持同步和异步的服务管理和用户管理操作。
SAML 和 SPML 虽然都是基于XML的标准,但它们的关注点不同。SAML 主要关注身份验证和授权信息的交换,而 SPML 则更侧重于服务和资源的自动化管理。在实际应用中,这两个标准可以相互补充,共同实现更全面的身份和访问管理解决方案。
¶ 130.下面哪项最好的解释了为什么计算机信息系统经常不能够满足用户需求?
A.Inadequate quality assurance (QA) tools
不充分的质量保证 (QA) 工具
B.Constantly changing user needs
用户需求经常变化
D.Inadequate project management.
不充分的项目管理
C.Inadequate user participation in defining the system’s requirements
系统需求阶段用户参与不充分
¶ 131.把恶意IP流量分流,引入到单一的IP地址,对这些流量进行进一步分析的做法:
A.蜜罐
B.黑洞
D.加密设备
C.下水道路由
下水道路由(DDoS防范技术)
比较流行的防范方法是网络下水道技术。网络下水道技术应用网络上的Honey Pot收集发向ISP 的垃圾流量, 并通过对这些垃圾信息的分析来判断是否有人在扫描网络或进行攻击,从而实现预警和防范功能。如果有攻击者正在对ISP 网络展开攻击,网络下水道技术可将攻击的网络流量引导“下水道”通过一台路由来实现,可以是缺省的路由,也可以是一个特定的子网,ISP网络无法识别的网络流量都会送到这里。
对于ISP来说,这些网络流量可能隐藏着许多有用的信息,想要获取这些信息可以在路由后面加上一个网络分析器, 如Linux下著名的IDS软件Snort,并配合Tcpdump协议分析工具,就可实现数据的截取和分析。如果ISP在监视过程中发现有攻击者正在攻击一个子网的网段,可以用BGP通知其他路由,把指向该子网的网络流量都送到下水道路由,从而改变攻击方向。
¶ 132.安全架构师计划参考强制访问控制 (MAC) 模型进行实施。这表明以下哪项属性被优先考虑?
B. 完整性
C. 可用性
D. 可访问性
A. 机密性
¶ 133.谁有责任确保第三方供应商有能力以安全的、符合组织的要求的方式处理数据?
A.数据保管者
B.数据创建人
D.数据的用户
C.数据所有者
¶ 134.以下哪一个是联合身份的标准?
A.Kerberos
B.LDAP 轻量目录访问协议
C.SESAME
D.SAML 安全断言标记语言
¶ 135.为了保护审计信息,以下哪一项必须配置为只允许读访问:
A.日志配置文件
B.用户帐号配置文件
C.访问控制列表
D.交易日志文件
¶ 136.对系统进行重新认证和重新认可的主要理由是?
B.帮助安全团队决定是接受还是拒绝新系统的实施上线
C.让软件开发团队确信所有安全问题都已得到解决
D.帮助数据负责人决定未来的数据敏感性和重要性
A.验证系统的安全保护仍然在组织安全方针可以接受的范围内
¶ 137.在以下哪种攻击中,攻击者通常会用十六进制 (或其他编码方式) 将链接编码,以免用户怀疑它的合法性?
B.DOS拒绝服务攻击
C.Rootkit 根工具包
D.Smurf 攻击
A.XSS跨站脚本攻击
¶ 138.对电子邮件进行加密和签名保障的是?
A.不可抵赖、真实性、授权
B.不可抵赖、机密性、授权
C.机密性、真实性、授权
D.机密性、不可抵赖、真实性
¶ 139.以下哪一项安全控制容易被合谋所破坏?
A.双因素验证
B.岗位轮换
D.最小授权
C.职责分离
¶ 140.在不了解一个国家文化的情况下,客户要求服务提供方做出存在疑惑的决策,服务提供方应该怎么做?
A.答应客户的要求,因为这是服务合同的要求
B.拒绝客户的要求,因为这样做有导致法律违规的高风险
C.根据最高职业道德规范和要求做决策
D.做这个决策前,应先做尽职调查
¶ 141.下面哪个不是单向哈希函数的特性?
B. It is computationally infeasible to construct two different messages with the same digest
构建两个不同的消息,使其具有相同摘要,从计算上讲是不可行的
C. It converts a message of arbitrary length into a message digest of a fixed length
它将任意长度的消息转换成固定长度的消息摘要
D.Given a digest value, it is computationally infeasible to find the corresponding message
给定一个摘要值,要发现相关的消息,从计算上讲是不可行的
A. It converts a message of a fixed length into a message digest of arbitrary length
它将一个固定长度的消息转换成任意长度的消息摘要
¶ 142.基于角色的访问控制简化了用户配置,因为
A.old access control rules can be disposed of efficiently.
旧的访问控制规则可以被有效的处置
B.access for new employees is based on a list of predefined rules.
新员工的访问基于预定义的规则列表
D.duties change more frequently than the roles within positions.
职责比职位的角色变更更加频繁
C.employee access can be modeled based on functional or organizational structures.
员工访问可以基于职能或组织架构来建立模型
¶ 143.下面哪个物理安全措施是在保护公司资产方面最通用的?
A. Video cameras 视频摄像机
C. Personnel verification人工确认
D. Biometrics 生物识别
B. Locking devices 锁
¶ 144.RAID3和RAID5运行
B. slower on hardware在硬件上更慢
C. faster on software在软件上更快
D. at the same speed on software and hardware 在软件和硬件速度一样
A. faster on hardware在硬件上更快
¶ 145.证明一个公司对于潜在客户的安全水平的最好的方法是
B.responding to a customer’s security questionnaire.
客户安全调查问卷的结果
C.a formal report from an internal auditor.
内部审计师的正式的报告
D.a site visit by a customer’s security team.
客户安全团队的现场访问
A.a report from an external auditor.
外部审计师的报告
¶ 146.下面哪项最不可能妨碍员工报告安全事件?
A.They are afraid of being pulled into something they don’t want to be involved with
他们害怕被卷入他们不想被涉及的事情
C.They are afraid of being accused of something they didn’t do
他们害怕因为他们没有做某事而被责备
D.They are unaware of the company’s security policies and procedures
他们没有意识到公司的安全策略和程序
B.The process of reporting incidents is centralized
事件报告流程是集中的
一个集中的事件报告流程应该是为了方便员工报告事件而设立的。如果流程是清晰和集中的,它实际上可能会鼓励员工报告事件,因为它提供了明确的指导和路径。事件报告流程是集中的。因为一个集中化的流程通常是为了提高效率和便利性而设计的,而不是成为报告的障碍。
¶ 147.为建立一个信息安全程序,首先应进行
A. Development of a security awareness-training program for employees.
开发员工安全意识培训计划
B. Development and implementation of an information security standards manual.
开发与实施信息安全标准手册的
C. Purchase of security access control software.
购买安全访问控制软件
D. Adoption of a corporate information security policy statement.
采纳企业信息安全策略声明
¶ 148.代理防火墙是运行在OSI模型的哪一层?
B. Transport 传输层
C. Network 网络层
D. Data Link 数链层
A. Application应用层
¶ 149.可能会被利用的系统的缺失或薄弱环节被称为?
A. Threat 威胁
B. Exposure
D. Risk风险
C. Vulnerability漏洞
A. Threat(威胁) - 这通常指的是潜在的恶意行为或事件,它可能对系统造成损害。威胁是由某些外部因素引起的,如黑客、恶意软件等。
B. Exposure - 这个词在信息安全中并不常用来描述系统的弱点。它更可能指的是系统或数据的暴露程度,而不是具体的漏洞。
C. Vulnerability(漏洞) - 这是最符合描述的选项。漏洞是系统中的缺陷或弱点,可以被攻击者利用来执行未经授权的访问、篡改数据或执行恶意代码。
D. Risk(风险) - 风险通常指的是特定威胁利用特定漏洞可能对组织造成的影响和可能性。它涵盖了威胁和漏洞两个方面。
¶ 150.下面哪个最好地描述了信息安全政策?
A.Policies are guidelines that describe the best security practices in the industry.
政策是描述业界最佳安全实践的指南
B.Policies are high-level procedures that describe the information security approaches.
政策是描述信息安全方法的高层级程序
C.Policies provide the blueprints for the information security implementation program.
政策提供了信息安全实施体系的蓝图
D.Policies are high-level statements that describe the goals of the information security program.
政策是描述信息体系目标的高层级声明
¶ 151.了解到信息安全预算将在下一财年减少后,安全经理重新调整下一年度预算。在进行这种分析时,以下哪项最影响安全经理的决策过程?
A. Trend analysis
C. Security best practices安全最佳实践
D. Vulnerability analysis 漏洞分析
B. Business risk acceptance 业务风险接受
¶ 152.需要下面哪个来决定分类分级和所有权?
B.Access violations are logged and audited
违规访问能够被记录并审计
C.Data file references are identified and linked
数据文件参考能够被识别和链接
D.System security controls are fully integrated
系统安全控制能够完全被集成
A.System and data resources are properly identified
能够正确的识别系统和数据源
¶ 153.一个安全专家在根据国际标准化组织 (ISO) 27001和27002标准在评估组织的安全政策时,他需要牢记的是什么?
A.Security baselines can be derived directly from international standards.
安全基线可以直接从国际标准中抽取
B.International standards do not provide value to a regional organization.
国际标准对一个区域组织来说没有什么价值
C.Policies need to have step-by-step procedural details for all areas.
所有领域的策略都需要有详细的步骤细节
D.Standards are a starting point and are applied to the organization as necessary.
标准是一个起点,可以根据需要应用于组织
¶ 154.下面哪个是测试数据合适的来源?
A.Production data that is secured and maintained only in the production environment.
生产数据是安全的,并只在生产环境中维护
B.Test data that has no similarities to production data.
与生产数据没有相似性的测试数据
C.Test data that is mirrored and kept up-to-date with production data.
与生产数据镜像并保持同步的测试数据
D.Production data that has been sanitized before loading into a test environment. 对生产数据进行清洗,然后再载入到测试环境
¶ 155.下面哪项描述了参考监视器
B.Audit concept that refers to monitoring and recording of all accesses to objects by subjects.
是一个审计概念,指的是监控和记录所有主体和客体的访问
C.Identification concept that refers to the comparison of material supplied by a user with its reference profile.
是一个身份识别概念,指的是用户提供的材料和他的参考配置文件的比较
D.Network control concept that distributes the authorization of subject accesses to objects.
是一个网络控制概念,对主体进行授权来访问客体
A.Access control concept that refers to an abstract machine that mediates all accesses to objects by subjects. 是一个访问控制概念,指的是促成所有主体和客体的访问的抽象机。
¶ 156.路由器在开放系统互连 (OSI) 参考模型哪两层之间用作通信设备?
A.传输和会话
C.网络和会话
D.物理和数据链路
B.数据链路和传输
¶ 157.以下哪一项是识别在调查中扣押的每件物品的文件,包括扣押日期和时间、扣押该物品的人的名字,以及该物品的详细描述?
A. 财产登记簿 Property book
B. 监管链表格 Chain of custody form
C. 搜查令归还 Search warrant return
D. 证据标签 Evidence tag
¶ 158.以下哪项为虚拟专用网络 (VPN) 连接提供最高级别的数据安全性?
A. 互联网协议有效负载压缩 (IPComp)
C. 可扩展认证协议 (EAP)
D. 远程验证拨入用户服务 (RADIUS)
B. 互联网协议安全 (IPsec)
¶ 159.新安全举措的成本效益分析 (CBA) 结果提供了什么?
B. 基线改进
C. 风险评估
D. 正式验收
A. 可量化的理由
¶ 160.检测到一个URL http://xxx.xxx.com/product.asp?Id=1 or 1=1这可能是哪种攻击?
B.XSS
C.CSRF
D.缓存溢出
A.SQL注入