A.Lack of data labeling procedures 缺少数据标签的程序
C.Ineffective security awareness program 无效的安全意识宣贯体系
D.Ineffective data encryption controls 无效的数据加密控制
B.Lack of Business Impact Analysis (BIA) 缺少业务影响分析
A. Network Layer
B. Link Layer
D. Presentation Layer
C. Transport Layer
B.Examine the original information collected
检查收集的原始信息
C.Encrypt the information before making a copy
在拷贝前加密信息
D.Encrypt the copy of the original information
加密原始信息的副本
A.Examine a copy of the information collected
检查收集的信息的副本
A. ICMP
C. UDP
D. IP
B. TCP
A. UDP
B. SNMP
D. IGP
C. TCP
A. list restrictions 列表限制
C. user authentication requirement 用户认证需求
D. directory restriction 目录限制
B. inherent security risks 固有安全风险
A. IP spoofing
B. Password sniffing
D. Denial of Service (DOS)
C. Data diddling
A. Brute force
B. Covert channel
D. Object reuse
C. Buffer overflow
保护缓冲区免受缓冲区溢出的攻击和影响的方法主要有以下几种:
编写正确的代码:编写安全的代码是防止缓冲区溢出的首要方法。避免使用不安全的函数,如gets()、strcpy()和strcat()等,这些函数不检查目标缓冲区的大小,容易导致溢出。使用更安全的函数,如fgets()、strncpy()和strncat(),这些函数会检查目标缓冲区的大小,从而避免溢出。
启用编译器的边界检查:许多现代编译器提供了边界检查功能,这可以帮助在编译阶段发现潜在的缓冲区溢出问题。启用这些功能可以帮助编写更安全的代码。
限制可执行代码的区域:通过操作系统限制可执行代码的区域,使得缓冲区不可执行,从而阻止攻击者植入攻击代码。这可以防止攻击者利用缓冲区溢出漏洞执行恶意代码。
使用栈随机化技术:栈随机化是一种通过随机化栈的位置来防止缓冲区溢出攻击的技术。这种方法可以增加攻击者预测和利用缓冲区溢出漏洞的难度。
使用安全编程库和工具:许多编程语言和平台提供了安全编程库和工具,如C语言的libsafe和C++的SafeBuf等。这些库和工具提供了更安全的字符串处理函数和数据结构,可以帮助防止缓冲区溢出。
进行安全审计和测试:对代码进行安全审计和测试,以发现潜在的缓冲区溢出漏洞。这包括代码审查、静态代码分析、动态代码分析和模糊测试等技术。
以上这些方法可以单独使用,也可以组合使用,以提高系统的安全性。然而,需要注意的是,没有任何一种方法可以完全消除缓冲区溢出的风险。因此,最好的策略是采取多种措施,以提高系统的安全性和鲁棒性。
A.The number of administrative accounts should be kept to a minimum
管理员账户的数量应当保持最少化
B.Administrators should use regular accounts when performing routing operations like reading mail
管理员应当在执行常规操作,比如阅读邮件时,使用普通账户
C.Permissions on tools that are likely to be used by hackers should be as restrictive as possible
有可能被黑客利用的工具的权限,应尽可能得到限制
D.Only data to and from critical systems and applications should be allowed through the firewall
只有进出关键系统和应用的数据应当被允许通过防火墙
A. Security techniques standards
B. Layer security protocol standards
C. Application-specific security 特定应用的安全
D. Firewall security standards 防火墙安全标准
A.Import all users from one organization’s directory service into the other organization’s directory service.
从一个组织的目录服务中导入所有用户身份到另一个组织的目录服务
B.Create a temporary security domain for both organizations.
为两个组织创建一个临时的安全域
D.Authenticate the application against Lightweight Directory Access Protocol (LDAP) server.
使用LDAP服务器来认证该应用系统
C.Integrate the application with Security Assertion Markup Language (SAML).使用SAML来集成该应用系统
B. Incremental backup method
C. differential backup method
D. RAID backup method RAID备份方法
A. full backup method 完全备份方法
A. Traffic analysis
C. Eavesdropping
D. Shoulder surfing
B. Masquerading
A. It only deals with identification of the requester of information.
它只处理信息申请者相关的身份识别
B. It only deals with authentication of the requester of information.
它只处理信息申请者相关的身份认证
D.Access control decisions are made by the individual owner of the object.
访问控制的决策是由单个客体所有者来决定的
C.Access control decisions are beyond the control of the individual owner of an object. 访问控制的决策超越了单个客体所有者的控制
A. Enrollment
C. Authorization0
D. Trust
B. Provisioning
A.Run software uninstall
使用软件卸载
C.Find and remove all installation files
找到并删除安装文件
D.Delete all cookies stored in the web browser cache
删除存储在浏览器缓存中的所有cookie
B.Re-image the computer重新安装计算机
A. Human resources policy
C. Code of ethics 道德准则
D. Access control policy 访问控制政策
B. Acceptable use policy可接受使用政策
B.Supervising their child’s use of the computer
监管员工子女对员工电脑的使用
C.Limiting computer’s access to only the employee
限制仅员工才能访问电脑
D.Ensuring employee understands their business conduct guidelines
确保员工理解公司行为指南
A.Removing employee’s full access to the computer
移除员工对电脑的完全访问权限
A. 强制访问控制 (MAC)
B. 自主访问控制 (DAC)
C. 基于角色的访问控制 (RBAC)
D. 基于属性的访问控制 (ABAC)
A.The perpetrator obtaining training & special knowledge.
行为人获得培训和专门的知识
C.Collusion with others in information processing
与他人在信息处理上串通共谋
D.System design flaws.
系统设计缺陷
B.Victim carelessness. 受害人粗心大意
A. First generation firewall systems.
B. Second generation firewall systems.
D. Fourth generation firewall systems.
C. Third generation firewall systems.
包过滤防火墙:这是第一代防火墙,其原理是在网络层对数据包进行选择,根据数据包头中的源地址、目的地址、端口号等信息来判断是否允许该数据包通过。
代理服务器防火墙:这是第二代防火墙,其原理是在应用层上建立代理服务,对于每个需要连接外部网络的应用,都由一个对应的代理服务来处理,这样可以实现更为细致的控制和审计。
状态监测防火墙:这是第三代防火墙,也称为动态包过滤防火墙。它在包过滤的基础上,增加了对数据包状态的检查,可以根据数据包的状态信息来决定是否允许其通过。
下一代防火墙(NGFW):这是近年来发展起来的一种新型防火墙,它在状态监测的基础上,增加了对应用层内容的识别和控制,可以实现对网络流量的深度分析和控制,提供更高级别的安全防护。
B. The use of physical force.
C. The operation of access control devices.
D. The need to detect unauthorized access.
A. The use of discriminating judgment.
A. Data recovery component
B. Key registry component密钥注册组件
C. Key escrow component密钥托管组件
D. User security component
A.Implement best practices for password retention
实施密码保留的最佳实践
B.Perform additional security assessments
执行附加的安全评估
C.Implement stronger password policies
实施强密码策略
D.Increase user awareness增加用户安全意识
A.Developing systems with adequate privacy
充分的隐私保护来开发系统
C.Developing systems according to security policy
根据安全策略来开发系统
D.Developing systems at minimum cost
以最小的成本来开发系统
B.Developing systems in a standardized manner 以标准化的方式来开发系统
A.Growing trend to customize authentication for each application
有增长的趋势需要为每个应用定制认证方式0
B.Resistance of the user community who want to keep their old ID’s
想要保持他们的旧ID的用户社区的抵制
C.Implementation of the standard protocols
标准协议的实施
D.Integration with legacy applications
与以前的应用系统的集成
A. Supplemental
C. Mandatory强制
D. System
B. Discretionary
A.One-Time-Password and Single Sign-On (SSO) applications
动态令牌和单点登录(SSO)应用程序
C.Hand scanners and network sniffers
手掌扫描器和网络嗅探器
D.Retinal scanners and port scanners
视网膜扫描器和端口扫描器
B.Key loggers and screen capture applications 键盘记录器和屏幕捕捉程序
A.Trusted software development and intrusion detection monitoring
可信软件开发和入侵检测监控 (IDS)
C.Virtual Private Networks (VPN) and anti-virus software
虚拟专网 (VPN) 和防病毒软件
D.Point-to-point Encryption and Public Key Infrastructure (PKI) enabled e-mail
点对点加密和应用公钥基础设施的电子邮件
B.Application-layer firewall and Intrusion Prevention System (IPS)
应用层防火墙和入侵防御系统 (IPS)
A. ISO 27001
B. ISO 27002
C. ISO 27003
D. ISO 27005
A. Screened subnet
B. Screened host屏蔽主机
D. Dual homed host
C. Dual gateway host
A. Broadband
B. Star
C. Baseband
D. Token Ring
A.Validation
C.Authorization
D.Identification
B.Authentication
A. Wireless access points (AP)
B. Full disc encryption 全磁盘加密
D. Trusted platforms 可信平台
C. Personal firewalls 个人防火墙
A.Reduce the system overhead for a crypto-system
减少加密系统的系统开销
B.Choose the correct algorithm for a specified purpose
选择用于特定目的的正确的算法
D.Develop secure crypto-systems
开发安全加密系统
C.Forge coded signals that will be accepted as authentic 伪造编码信号,使其能被当作真实的信号接受
A.Law enforcement
C.Auditing
D. HR
B.Computer security
A.Investigation
C.Data manipulation
D.Entrapping
B.Enticement
B.Stored in volatile media
存储在易失性介质上
C.Unable to capture and reproduce
不能捕捉和重现
D.Because of US law, Section 7 paragraph 154
因为美国法律,第七部分第154段
A.Difficult to detect electron tampering很难检测到电子篡改
A.The operating system cannot be easily penetrated by users.
操作系统不能被用户很容易渗透
B.Changes to the kernel are not required as frequently.
对内核的变更不需要频繁进行
D.System performance and execution are enhanced.
系统性能和执行能够增强
C.Due to its compactness, the kernel is easier to formally verify.
由于其紧凑,内核更容易被正式的验证
A. Security model
B. Reference kernel
D. Information flow model
C. Security kernel
A. Reasonable Action
B. Security Mandate
D. Due Dilliengce
C. Due Care
A. Support of department managers
B. Are tactical in nature 属于战术性的
D. Developed after guidelines 在指南之后制定
C. Are strategic in nature 属于战略性的
A.Executive level support to remediate the findings
高层支持以修补这些发现
C.Technical resource availability to take corrective actions
技术资源可用性来采取纠正措施
D.System configuration standards be updated with best practice
根据最佳实践对系统配置标准的更新
B.Regular status updates on remediation activities
补救措施的日常状态更新
B. Legacy and lifecycle requirements 传统和生命周期的要求
C. Platform technologies and quantitative value
D. Administration and availability requirements
A. Sensitivity and criticality 敏感性和重要性
A.Use a thumb drive to transfer information from a foreign computer.
使用指纹驱动器从国外计算机传输信息。
C.Connect the laptop only to well known networks like the hotel or public Internet cafes.
笔记本电脑只连接众所周知的网络,如酒店或公共网吧。
D.Request international points of contact help scan the laptop on arrival to ensure it is protected.
抵达后请求国际联络点帮助扫描笔记本,以确保它是受保护的。
B. Do not take unnecessary information, including sensitive information.
不要带不必要的信息,包括敏感信息
B. Error correction
C. Compartmentalization
D. Virtual Local Area Network (VLAN) tagging
A. Segmentation
A.Implement out-of-hours access controls to the area.
在区域内实施下班后的访问控制
B.Maintain a list of equipment and serial numbers.
维护设备和序列号的列表
D.Interview the management and staff in the area.
与区域内的员工和经理进行面谈
C.Perform a physical security review.
执行一个物理安全检查
A. User accounts 用户账户
B. System accounts
D. Privileged accounts
C. Generic accounts
B. Scrum Master,质量保证团队和 Scrum团队
C. Scrum Master,需求经理和开发团队0
D. 系统所有者,Scrum Master 和开发团队
A. 产品所有者,Scrum Master 和 Scrum团队
产品所有者 (Product Owner):产品所有者代表利益所有者,负责最大化产品的价值。他们负责产品的愿景,维护产品待办事项列表,并确保开发团队始终了解下一步要做什么。
Scrum Master:Scrum Master 是 Scrum 的主要推动者。他们确保 Scrum 被理解和实施,帮助所有人理解 Scrum 的理论和实践,并移除任何阻碍团队进展的障碍。
开发团队 (Development Team):开发团队负责完成产品待办事项列表中的工作。他们是自组织的,并对自己如何完成这项工作负责。开发团队内部不应该有任何层级或角色。
A.Vendor locations, and the DRP team managers’ homes
供应商场所,和DRP团队经理的家中
B.Chief executive officer’s home, and the DRP team managers’ homes
CEO的家里,和DRP团队经理的家里
D.Vendor locations, and the DRP coordinator’s home
供应商场所,和DRP协调人的家里
C.DRP coordinator’s home, and the DRP team managers’ homes
DRP协调人的家里,和DRP团队经理的家里
A. It is made up of mechanisms that fall under the TCB and implements and enforces the reference monitor concept.
它是由遵循TCB的机制组成,实施并增强了参考监视器的概念。
B. It must provide isolation for the processes carrying out the reference monitor concept and they must be tamperproof
它必须对执行参考监视器概念的进程提供隔离,并且它们必须是防篡改的
C. It must be small enough to be able to be tested and verified in a complete and comprehensive manner
它必须足够小,才能够以完全和完备的方式被测试和验证
D. Is an access control concept, not an actual physical component
安全内核是一个访问控制概念,不是一个实际的物理组件
A.The opportunity to start a security certification program
一个启动安全认证体系的机会
B. An inexpensive and effective initial protection solution
一个便宜而且有效的初始保护解决方案
D.Common elements for comparing progress with other companies
与其他公司对比进展状况的通用要素
C.A foundation to measure the security program
一个测量安全体系的基础
A. EAP-Success/Failure
C. EAP-Response/Identity
D. EAP-Request/Response
B. EAP-Request/Identity
A. Physical detective 物理检测性
C. Administrative detective
D. Administrative preventive
B. Physical preventive 物理预防性
A. Man-in-the-Middle (MITM)
C. Dictionary 字典攻击
D. Ping flood
B. Denial of Service (DoS)
B. Security administration and data entry 安全管理和数据录入
C. Security administration and application programming
D. Application programming and data entry 应用编程和数据录入
A. Security administration and quality assurance
A.Examines the Access Control List (ACL)
检查访问控制列表ACL
B.Matches traffic patterns to virus signature files
将流量与病毒签名文件进行对比
D.Monitors alarms sent to the system administrator
监控发给系统管理员的报警
C.Examines log messages or other indications on the system
检查系统的日志消息或其他提示
B. Only one role
C. A token role
D. A security token
A. One or more roles
A. Based on labels.
B. All equal
D. Based on flows.
C. Hierarchical
A. Archival storage management (ASM) 档案存储管理
C. Hierarchical storage management (HSM) 分层存储管理
D. Data compression 数据压缩
B. Electronic vaulting 电子跳跃
电子跳跃(Electronic vaulting)是一种远程备份解决方案,它涉及定期将数据的副本发送到远程的计算机备份设施。这种备份方式有助于确保数据的安全性和可用性,尤其是在本地设备发生故障或数据丢失的情况下。
A. It allows you to specify and enforce enterprise-specific security policies in a way that maps to your user profile groups.
它允许你定义和执行企业特定的安全策略,这些策略对应于你的用户配置文件组
C. It allows you to specify and enforce enterprise-specific security policies in a way that maps to your ticketing system.
它允许你定义和执行企业特定的安全策略,对应于你的票证系统
D. It allows you to specify and enforce enterprise-specific security policies in a way that maps to your ACL.
它允许你定义和执行企业特定的安全策略,对应于你的访问控制列表
B. It allows you to specify and enforce enterprise-specific security policies in a way that maps to your organizations structure.
它允许你定义和执行企业特定的安全策略,这些策略对应于你的组织架构
A. Least privilege 最小特权
B. Lattice Based Access Control (LBAC) 基于格子的访问控制
D. Lightweight Directory Access Control (LDAP) 轻量目录访问控制
C. Role Based Access Control (RBAC) 基于角色的访问控制
B. Security classification 安全的分类
C. Denied access attempts
D. Associated clearance相关的身份级别
A. Time of the access 访问的时间
A. 在退出系统时进行验证
B. 运行每个业务流程时进行验证
C. 在会话过程中定期进行验证
D. 在一段不活跃期后进行验证
B.防止拒绝服务攻击
C.与公共密钥基础设施(PKI)建立接口
D.提高安全软件的质量
A.建立一个安全的初始状态
A. 存储设备不容易遭到可用性攻击
B. 数据流量的机密性得到了更好的保护
C. 消除了对存储设备的spoofing攻击
D. 网络流量更容易遭到嗅探
A.验证服务级别协议
B.发现系统脆弱性
D.验证运营指标
C.培训相关人员明确角色职责
B.垃圾邮件过滤
C.统一资源定位符URL过滤
D.反向DNS查询
A.加密签名
A. 首席信息安全官
B. 数据保管人
C. 数据/信息/业务所有者
D. 执行管理层
A. 解释所有合规要求都是需要被强制执行的
C. 确保安全培训的内容包括了所有相关内容
D. 解释黑客是如果利用安全漏洞进行攻击的
B. 识别安全消息及其受众,解释安全的必要性
A.配置管理 (configuration management)
B.网络拓扑 (network topology)
D.ping测试 (ping testing)
C.勘探工具 (mapping tools)
A. 进行软件许可、代码知识产权保护
C. 进行交付日期控制、变更管理控制和预算控制
D. 定义代码质量的合同要求
B. 对工作的准确性和交付质量进行认证
A. 企业用于保护隐私信息的规程
B. 企业当前与隐私保护相关的安全方针
D. 由被认可的安全标准组织发布的隐私保护最佳实践
C. 对企业适用的政府机构颁布的隐私相关的法规
A. 点对点协议(PPP)
B. 密码验证协议 (PAP)
C. 可扩展验证协议(EAP)
D. 挑战握手验证协议(CHAP)
A. 旁路攻击
B. 色拉米攻击
C. 碎片攻击
D. 隐蔽通道
B. 对所有部门的规程进行评审
C. 对所有培训规程进行评审
D. 对HR招聘新员工的策略以及验证新员工能力的
A. 安排有经验的管理员对所有系统进行评审方法进行评审
A. 物理层
B. 会话层
D. 数据链路层
C. 传输层
A.建立岗位轮换机制《检测性控制》
B.监控和评审特权会话舌《检测性控制》
C.建立VPN隧道连接
D.建立沙箱环境《预防性控制》
A.对日志进行审计
B.影响分析
C.静态分析
D.代码评审
A. 如果所有测试都通过了,说明公司已经完全准备好应对灾难了。
B. 在测试时,需要停止其他的开发工作。
C. 只有在全部灾难计划能够被测试后才能开展测试
D. 如果部分测试出现故障,测试仍应该继续
A.执行风险评估的IT审计师
C.CIO 首席信息官
D.CISO首席信息安全官
B.高级管理层
B. 光电探测
C. 红外探测
D. 紫外火焰探测
A. 离子探测
A. 大部分系统和应用不支持日志记录
B. 日志无法提供关于系统和应用活动的足够细节
D. 在需要日志的时候日志不可用的可能性增大
C. 及时评审日志比较困难
A. 用户ID和密码没有设置有效期
B. 补丁难以保持一致
D. 网络管理的职责分派给了系统管理员
C. 网络拓扑图没有及时更新
A. 对漏洞进行纠正
C. 采用标准化的策略和规程
D. 信息安全官的批准
B. 进行授权的官员接受风险
A. 识别系统威胁、漏洞和可接受的风险水平
B. 正式确认风险分析和风险缓解已完成
D. 验证系统架构以及与其他系统关联的有效性
C. 正式确认对安全策略和标准的符合性
A.降低行政管理开支
B.降低基础设施资本成本
D.改进身份互操作
C.控制系统配置
B. 分级继承
C. BLP安全模型
D. Clark-Wilson 安全模型
A. 动态职责分离
A. 对相关疑问的理解依赖于法律执行
B. 高级管理层在调查可疑行为时的配合
D. 对用户活动进行监控的可用技术工具
C. 文档化的资产分级策略和清晰地为资产赋予标签
A. 社会工程
C. 彩虹表攻击
D. 水坑攻击
B. 混合攻击
A. 最小上界和下界
B. 最大上界和下界
C. 最小下界,最大上界
D. 最小上界,最大下界
A. 数据链路层
B. 传输层
C. 会话层
D. 应用层
B. 安装补丁所需的成本将降低
C. 系统易受攻击的时间将缩短
D. 覆盖大范围地理区域的能力得到提
A. 系统或应用程序不兼容的可能性将降低
A. 当它被业务连续性经理验证后
B. 当它被经董事会验证后
C. 当它被所有的威胁场景验证后
D. 当它被现实的演练验证后
A.缺少软件文档
B.许可协议到期
C.与软件支持相关的成本
D.要求发布修改代码的许可协议
A.业务应用程序中的职责分离冲突
C.缺少系统管理员活动监视
D.不适当的访问请求
B.对系统和数据的过度访问权限
A.去标识化 de-identification
C.微聚合 Micro-aggregation
D.黑暗模式 dark patten
B.差分隐私 differential privacy
A. 通过对持续数据完整性的定期审计来确保质量和验证 (审计师)
B. 维护基本数据可用性,包括数据存储和归档(数据保管员)
C. 确保适当用户的可访问性,保持适当的数据安全级别(数据保管员)
D. 确定信息对组织使命的影响
A.很难为数据分配所有权
B.该过程将被视为有价值
D.很难同时适用于硬件和软件
C.该过程将需要太多资源
A. 加密个人笔记本电脑上的磁盘
B. 发行用于个人笔记本电脑的电缆锁
D. 监控个人笔记本电脑的关键信息
C. 制定处理个人笔记本电脑关键信息的政策
A. 授予对前应用程序所有者帐户的临时访问权限
C. 限制对系统的访问,直到聘用了替代应用程序所有者
D. 在聘用替代应用程序所有者之前,防止更改机密数据
B. 为系统分配一个临时应用程序所有者
A. 检查设备是否被物理篡改
C. 清除或重新映像硬盘驱动器
D. 更改访问口令
B. 实施更严格的基线配置
A. 基于属性的访问控制 (ABAC)
B. 自主访问控制 (DAC)
C. 强制访问控制 (MAC)
D. 基于角色的访问控制 (RBAC)
A. 未经批准修改源代码
C. 开发人员未经批准签出(check out)源代码
D. 未经批准使用快速应用程序开发 (RAD) 方法的开发人员
B. 未经批准将程序推向生产
B. 未经授权的交易和过时的硬件
C. 发生火灾和意外更改数据
D. 未经授权的交易和拒绝服务攻击
A. 拒绝服务 (DoS) 攻击和过时的硬件
A. 传输中数据的端到端加密
B. 持续监测潜在漏洞
C. 强大的数据泄露通知流程
D. 对个人机密数据的有限收集
A. 通知用户最新的恶意软件威胁
C. 遵守组织信息安全政策
D. 为参加培训者做好获得认证的准备
B. 告知用户信息保障责任
B. 开发独立模块
C. 接受基础设施安全控制
D. 加固网络边界
A. 最小化攻击面
经验证的应用程序安全原则通常包括那些能够减少安全漏洞、提高应用程序抵御攻击的能力,以及降低潜在损害的实践。在提供的选项中:
A. 最小化攻击面 - 这是一个关键的安全原则。通过最小化攻击面,开发人员和管理员可以减少潜在攻击者可利用的系统、应用程序或网络服务的数量和类型。这通常涉及限制不必要的服务、端口和协议,以及实施最小权限原则,确保系统和应用程序只使用它们完成工作所必需的最少权限。
B. 开发独立模块 - 虽然模块化开发可以提高代码的可维护性和可重用性,但它本身并不直接等同于一个经验证的应用程序安全原则。模块化开发可以间接促进安全,因为它有助于隔离和限制潜在的安全问题,但这并不是其主要目的。
C. 接受基础设施安全控制 - 这是一个重要的安全考虑因素,但它更多地与整体信息安全策略和系统管理相关,而不是一个专门针对应用程序开发的安全原则。基础设施安全控制通常包括物理安全、网络安全和访问控制等。
D. 加固网络边界 - 这也是一个关键的安全实践,但它更多地关注于保护整个网络架构的安全,而不仅仅是应用程序本身。加固网络边界通常涉及部署防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等安全设备,以及实施严格的访问控制策略。
综上所述,最符合“经验证的应用程序安全原则”的描述是 A. 最小化攻击面。这个原则强调通过减少潜在攻击者可利用的系统和服务的数量来降低安全风险。
B. 已记录
C. 已验证
D. 经过测试
A. 不可信
A. 第 2 层隧道协议 (L2TP)
C. 质询握手认证协议 (CHAP)
D. 数据包传输协议 (PTP)
B. 链路控制协议 (LCP)
A. 远程验证拨入用户服务 (RADIUS)
B. 终端访问控制器访问控制系统加 (TACACS+)
D. 安全断言标记语言 (SAML)
C. 开放授权 (OAuth)
OAuth是一个开放标准,用于授权第三方应用访问用户存储在另一服务提供者上的信息,而不需要将用户名和密码提供给第三方应用。它是为了API访问而设计的,允许用户让第三方应用访问他们的资源,而无需共享他们的凭据。
A. 聚合到美国的一个数据库中
B. 在美国处理,但在法国存储信息
C. 与第三方共享
D. 匿名化并在美国处理
在处理涉及不同国家的数据时,组织必须遵守各个国家的数据保护法律和规定。特别是在医疗领域,数据隐私和安全尤为重要。
考虑到总部位于美国并在法国设有分支机构的国际医疗组织,我们首先要考虑的是两国的数据保护法律:美国的HIPAA(健康保险流动性和责任法案)和欧洲的GDPR(通用数据保护条例)。
选项A提出了将数据聚合到美国的一个数据库中。这可能会违反GDPR的规定,因为GDPR要求在欧洲经济区(EEA)内处理的数据必须在EEA内部存储,除非有特定的例外情况。
选项B提出在美国处理数据,但在法国存储信息。这同样可能违反GDPR,因为处理和存储都被视为数据处理的一部分,而GDPR要求这样的活动必须在EEA内部进行。
选项C提出与第三方共享数据。这是非常敏感的,因为医疗数据通常被视为高度敏感的信息,需要严格的保护措施。在美国,HIPAA严格限制医疗数据的共享,而在欧洲,GDPR也要求数据共享必须得到明确的同意和遵循严格的规定。
选项D提出将数据进行匿名化并在美国处理。这是一个较为安全的方法,因为匿名化数据通常不受GDPR和HIPAA的严格限制。然而,这也取决于匿名化的程度和方法,必须确保数据确实无法被识别为特定的个人。
综上所述,考虑到数据保护和隐私法律的要求,最可能符合规定的选项是D,即匿名化并在美国处理数据。但这也需要确保匿名化过程符合所有相关的法律和规定。
A. 工作轮换
C. 最小特权
D. 强制性假期
B. 职责分离
这是一种控制措施,通过将不相容的职责分配给不同的个人来减少错误和欺诈的风险。职责分离确保没有单个员工能够单独完成一项敏感任务或交易的所有步骤。这是为了防止欺诈和滥用权力。
A. 强制访问控制 (MAC)
B. 自主访问控制 (DAC)
C. 基于角色的访问控制 (RBAC)
D. 基于属性的访问控制 (ABAC)
B. 开通. (provisioning)
C. 验证. (authentication)
D. 标识. (identification)
A. 注册. (enrollment)
A. 注册. (enrollment) - 这个阶段通常涉及收集用户的个人信息,包括生物特征信息(如指纹、面部识别等)。注册的目的是为了建立一个用户账户和相关的身份验证信息,以供后续使用。
B. 开通. (provisioning) - 开通通常指的是为用户账户配置所需的资源或权限。这个阶段可能涉及分配访问权限、设置账户参数等,但并不直接涉及采集生物特征。
C. 验证. (authentication) - 验证是在用户试图访问系统或服务时进行的,目的是确认用户的身份。虽然生物特征可能在验证阶段被使用,但采集生物特征通常发生在注册阶段。
D. 标识. (identification) - 标识通常指的是确定一个实体(人或系统)的身份。这个过程可能涉及使用各种信息(包括生物特征)来识别用户,但采集生物特征并不是标识阶段的直接任务。
综上所述,采集生物特征通常发生在注册阶段,因为这是建立用户账户和收集必要身份验证信息的阶段。
A.维护PAS
B.建立SA安全关联
C.使用RPC远程过程调用
D.用户至少在一个provider上注册
A.回拨
B.搭线窃听
D.战争驾驶
C.战争拨号
A.回拨(Callback):这通常用于验证远程用户的身份。当远程用户尝试访问系统时,系统会回拨一个预设的电话号码来确认用户身份。这种方法主要用于电话线路的身份验证,而不是用来识别未授权的调制解调器。
B.搭线窃听(Tapping):这是一种非法的行为,涉及到截取和监听电话线路或数据传输。虽然这可能会检测到调制解调器的使用,但它不是系统管理员用来识别未授权设备的合法方法。
C.战争拨号(War Dialing):这是一种用于自动拨打一系列电话号码来寻找调制解调器或其他设备的方法。通过扫描特定的电话号段,系统管理员可以检测到未授权的调制解调器,因为调制解调器通常会在电话线上产生特定的音频信号。
D.战争驾驶(War Driving):这是一种无线网络安全的术语,指的是在特定区域内驾驶并尝试连接不同的无线网络。这与识别电话线上的未授权调制解调器无关。
A.是一个非开放的基于软件安全实践模块的框架
B.是一个安全产品评估的概念模型
D.是一个为软件安全漏洞提供严重程度的评级模型
C.了解、执行、计划软件安全开发的积极行动
A.用于指导信息安全管理体系的风险评估活动0
C.是一个关于企业IT治理的框架标准
D.是一个评估软件开发的成熟度模型的标准
B. 用于评价目标产品的安全保护等级
A.没有通过防火墙管理的 AP
B.没有使用 WEP加密的 AP
D.被某种特洛伊木马或者恶意软件感染的 AP
C.接入交换机但是没有网络管理员管理的 AP
A.数据保留
B.文档处置
D.文件保留
C.数据处置
A.主动红外探测
B.生物识别门禁系统
D.使用动态令牌
C.佩带RFID工卡
A.报告
C.枚举
D.利用
B.发现
A.断掉员工电脑网络连接
B.内部公告病毒影响
C.进行针对病毒的渗透测试
D.扣留该员工电脑
B.声誉
C.信息
D.信用
A.设备
A.与组织目录服务集成以进行身份验证
B.数据的标记
C.混合部署模式
D.识别数据位置
B.CWE
C.CVSS
D.NVD
A.CVE
A.僵尸网络
B.捕鲸攻击
D.CSRF跨站请求伪造攻击
C.水坑攻击
A.保留超过数据有效期但是有数据取证需要的数据
B.保留超过数据有效期但是没有数据取证需要的数据
D.删除超过数据有效期但是没有数据取证需要的数据
C.删除超过数据有效期但是有数据取证需要的数据
A. 观察静电放电量
B. 磁场变化分析
C. 测量大量的密文和功耗曲线进行统计分析 (DPA)
D. 直接从测量的功耗曲线分析密钥信息
A.社会工程
C.功耗分析
D.旁路攻击
B.击键记录
A.衍生边界内的数据进行测试
C.选择超过有效值域边界外的输入进行测试
D.选择输入值的无效组合进行测试
B.找一个代表的数据进行测试
等价类分析是一种黑盒测试方法,它根据输入数据的等价类来设计和执行测试用例。等价类指的是在输入数据中可以相互替换的值的集合,这些值对于程序的输出结果是相同的。
A. 衍生边界内的数据进行测试 - 这个描述不太准确,因为等价类分析并不仅仅是针对边界内的数据进行测试。它还包括对有效等价类和无效等价类的测试。
B. 找一个代表的数据进行测试 - 这是等价类分析的一个核心特点。对于每个等价类,我们只需要选择一个或多个代表性的输入进行测试,因为该等价类内的所有其他输入都将产生相同的结果。
C. 选择超过有效值域边界外的输入进行测试 - 这描述的是边界值分析的一个特点,而不是等价类分析的特点。边界值分析是另一种测试方法,它特别关注输入值的边界。
D. 选择输入值的无效组合进行测试 - 这更接近于因果图或状态转换测试的特点,而不是等价类分析。等价类分析主要关注输入的有效和无效值,而不是它们的组合。
A.网络层
B.数据链路层
D.传输层
C.物理层
A.取代了以前的SAS70的关于服务运营控制的财务审计报告
B.关于企业内部控制有效性的外部第三方审计报告
D.服务运营组织内部的不对外公开的控制自评估报告
C.关于安全和运营的对外公开的不包含详细信息的审计报告
A. 支付卡行业数据安全标准 (PCI-DSS)
B. 可信计算机安全评价标准 (TCSEC)
C. 信息安全管理体系 (ISMS)
D. 信息技术安全评估通用标准 (CC)
B. 使用沙箱隔离
C. 单点维修
D. 遏制以防止传播
A. 消除单点故障
A.密码短语 Passphrase
C.认知密码 Cognitive password
D.密码文本 Cyphertext
B.一次性密码 One-time password
A. 安全策略Security Policy
C. 备份信息处理设施的可用性 Availability of backup information processing facilities
D. 员工培训 Staff training
B. 管理层支持 Management Support
A. Critical-channel analysis
B. Critical-route analysis
D. Critical-conduit analysis
C. Critical-path analysis
B.Determine critical and necessary business functions and their resource dependencies
决定关键和必须的业务功能,以及他们依赖的资源
C.Identify critical computer applications and the associated outage tolerance
识别关键计算机应用和相关的当机容忍度
D.Estimate the financial and operation impact of a disruption
预测中断带来的财务和运营影响
A.Recommend the appropriate recovery solution
推荐合适的恢复解决方案
A. Improve product development
C. Decrease IT budget 降低IT预算
D. Improve service delivery 提升服务交付
B. Increase customer trust 增加客户信任度
A. PPP
B. RARP
C. L2F
D. ICMP
A. Network layer
C. Session layer
D. Data link layer
B. Physical layer
B.When personnel changes occur
人员发生变更的时候
C.Before and after disaster recovery test
灾难恢复测试之前和之后
D.Every six months
每六个月
A.When major changes occur on systems
系统发生重大变更的时候
A. Maintenance analysis
B. Document flow analysis
C. Financial impact analysis
D. Requirements analysis
A. an operational issue.
C. a training issue.
D. a technical issue.
B. a management issue.
B. Pepper 胡椒
C. Grains 谷物
D. MD5 hashes
A. Salts 盐
B. Blowfish 河豚算法
C. Triple Data Encryption Standard (3DES) 3DES算法
D. Rivest Cipher 4 (RC4) RC4算法
A. Diffie-Hellman DH算法
A.a MAC 消息完整性检查
B.a MD5 hash MD5哈希
C.a digital signature
D.a watermark 数字水印
A.Develop an after-hours access control policy.
制定下班后的访问控制策略
C.Report the violations to Human Resources.
向人力资源部门汇报违规
D.Develop access control scripts.
制定访问控制脚本
B.Document the findings in a management report.
在管理报告中记录发现
A. Implement strong passwords.
B. Revoke the effected accounts.
C. Review access permissions for least privilege.
D. Enforce screen saver timeouts.
B.Action taken to change gathered evidence must be logged and documented and the documentary evidence must be presented in court.
采取的行动来改变收集的证据必须被记录,记录和单据必须在法庭上出示
C.Data seized which is not relevant to the case may be retained by law enforcement until the completion of the case.
与案件不相关的数据可能会由法律部门保留,直到案件全部结束
D.Data seized which is not relevant to the case must not be retained by law enforcement.
与案件不相关的数据不能够由法律部门保留
A.Action taken by law investigators or their agents shall not change data held on media which may subsequently be relied upon in court.
法律调查员或他们的代理人采取的任何行动,不应当更改介质上的数据,其可能随后成为呈堂证供。
B.vulnerability scanning is performed regularly.
漏洞扫描是日常执行的
C.knowledge transfer processes occur internally.
执行内部的知识传递流程
D.standards are reviewed for applicability.
审核适用的标准
A.contractual obligations are clearly defined.
清晰定义了合同的义务
A. top-down security.
B. holistic security.
D. centralized security.
C. defense-in-depth security.
A. preventive, corrective, and administrative
预防、纠正和管理
B. Administrative, operational, and logical
管理、操作和逻辑
C. detective, corrective, and physical
检测、纠正、和物理
D. Physical, technical, and administrative
物理、技术和管理
A. less expensive and faster.
C. more expensive and faster.
D. more expensive and slower.
B. less expensive and slower.
A.Encrypt communications between the servers
服务器间的通信加密
B.Encrypt the web server traffic
Web服务器流量加密
D.Filter outgoing traffic at the perimeter firewall
在边界防火墙过滤外出流量
C.Implement server-side filtering
实施服务器端的过滤
A.High performance encryption algorithms
高性能加密算法
B.Reusable tokens for application-level authentication
应用级认证的可重用令牌
C.Transport Layer Security (TLS) for all communications
所有通信采用TLS加密
D.Two-factor authentication 双因素验证
A. Policy name策略名称
B. Rules 规则
D. Sensitivity label
C. Role name 角色名称
A. CVSS (Common Vulnerability Scoring System)0
C. CVE (Common Vulnerabilities and Exposures)
D. CWE (Common Weakness Enumeration)
B. CC (Common Criteria)