網(wǎng)絡(luò)安全模擬一

網(wǎng)絡(luò)安全模擬一1.一個(gè)安全從業(yè)人員負(fù)責(zé)用加密算法來(lái)實(shí)施郵件安全。他選擇了開(kāi)放PGP來(lái)實(shí)施。他采用了下面哪個(gè)密碼算法來(lái)創(chuàng)建用戶(hù)的公鑰（）?A.EIGamalEIGamal算法(正確答案)B.InternationalDataEncryptionAlgorithm(IDEA)IDEA算法C.AdvancedEncryptionStandard(AES)AES算法D.TripleDataEncryptionAlgorithm(3DES)3DES算法答案解析：非對(duì)稱(chēng)算法:ElGamal算法RSA算法ECC算法對(duì)稱(chēng)算法:IDEA算法AES算法3DES算法2.一個(gè)安全從業(yè)人員負(fù)責(zé)用加密算法來(lái)實(shí)施郵件安全。他選擇了開(kāi)放PGP來(lái)實(shí)施。CISSP應(yīng)當(dāng)選擇下面哪組算法來(lái)創(chuàng)建郵件的數(shù)字簽名（）?A.RSA和SHA-1聯(lián)合使用(正確答案)B.RSA和MD5聯(lián)合使用C.AES和SHA-1聯(lián)合使用D.AES和MD5聯(lián)合使用答案解析：MD5已經(jīng)不安全了3.組織正在決定是否需要配置管理系統(tǒng)(CMS),來(lái)同時(shí)支持操作系統(tǒng)和軟件配置管理(SCM)。目前的做法是,對(duì)環(huán)境通過(guò)故障排除,升級(jí)和打補(bǔ)丁來(lái)支持測(cè)試和生產(chǎn)的系統(tǒng)和軟件。組織擴(kuò)張導(dǎo)致了一個(gè)更復(fù)雜和相互關(guān)聯(lián)的信息系統(tǒng)(IS)環(huán)境。近日,由于配置不一致,導(dǎo)致關(guān)鍵業(yè)務(wù)的生產(chǎn)系統(tǒng)和應(yīng)用程序發(fā)生停機(jī)事故。該組織并沒(méi)有確定存在任何法律或監(jiān)管的要求,實(shí)行嚴(yán)格的配置管理控制,然而,新合同要求該公司的系統(tǒng)是安全穩(wěn)定允許的。管理層已要求安全部門(mén)介入。組織最關(guān)注的關(guān)于配置管理的要求是哪方面（）?A.theuseofconfidentialinformation.機(jī)密信息的使用B.dataintegrity.數(shù)據(jù)完整性C.systemavailability.系統(tǒng)可用性(正確答案)D.privacyissues..隱私問(wèn)題4.一個(gè)組織是獨(dú)自占了一個(gè)位于一個(gè)大城市商業(yè)區(qū)的20層樓建筑。該組織有若干個(gè)有本地服務(wù)器的分支機(jī)構(gòu),距離總部辦公室大約方圓1000英里(1600公里)內(nèi)。所有工作人員,包括那些在分支辦事處的員工都分配了身份識(shí)別卡,游客分配了臨時(shí)徽章。安全人員來(lái)負(fù)責(zé)制定業(yè)務(wù)連續(xù)性計(jì)劃/災(zāi)難恢復(fù)計(jì)劃(BCP/DRP).下面BCP/DRP哪個(gè)階段將包括搬遷到主站點(diǎn)（）?A.Assessment評(píng)估B.Restoration還原(正確答案)C.Recovery恢復(fù)D.Initiation啟動(dòng)答案解析：還原是各站點(diǎn)切回主站點(diǎn)恢復(fù)是主站點(diǎn)切到備站點(diǎn)5.下面哪項(xiàng)最好的解釋了為什么計(jì)算機(jī)信息系統(tǒng)經(jīng)常不能夠滿(mǎn)足用戶(hù)需求（）?A.不充分的質(zhì)量保證(QA)工具B.用戶(hù)需求經(jīng)常變化C.系統(tǒng)需求階段用戶(hù)參與不充分(正確答案)D.不充分的項(xiàng)目管理6.一個(gè)web應(yīng)用的用戶(hù)注意到,可以用書(shū)簽收藏應(yīng)用程序并返回到它,即使關(guān)閉電腦后,仍然有效。用戶(hù)還注意到,用戶(hù)的ID被嵌入在應(yīng)用程序的URL。當(dāng)改為另一個(gè)有效的用戶(hù)ID,應(yīng)用程序允許用戶(hù)可以用其他用的會(huì)話(huà)中的有效ID使用程序。這表明了編程存在什么缺陷（）?A.應(yīng)用程序假定了所有用戶(hù)都已經(jīng)登錄B.應(yīng)用程序沒(méi)有正確的維持會(huì)話(huà)狀態(tài)(正確答案)C.應(yīng)用程序在認(rèn)證錯(cuò)誤時(shí)打開(kāi)失敗D.應(yīng)用程序失效進(jìn)入特權(quán)狀態(tài)7.除了確保計(jì)算機(jī)系統(tǒng)的變更發(fā)生在可識(shí)別和可控的環(huán)境中,配置管理還提供了保障措施,保證未來(lái)的變化（）?A.應(yīng)用軟件不能繞過(guò)系統(tǒng)的安全特性B.不能對(duì)安全策略的實(shí)施造成不利影響(正確答案)C.操作系統(tǒng)總能收到獨(dú)立的驗(yàn)證和核查D.在技術(shù)文檔中維護(hù)對(duì)可信計(jì)算基的精準(zhǔn)描述8.下面哪組是配置管理的主要任務(wù)（）?A.程序管理、系統(tǒng)工程和質(zhì)量保證B.需求確認(rèn)、設(shè)計(jì)和系統(tǒng)集成、測(cè)試C.根據(jù)初始和后續(xù)的基線(xiàn)進(jìn)行獨(dú)立的核查和驗(yàn)證D.對(duì)配置項(xiàng)變更進(jìn)行識(shí)別、控制、配置狀態(tài)跟蹤和審計(jì)(正確答案)9.如果計(jì)算機(jī)系統(tǒng)中包含了機(jī)密信息,用戶(hù)必須不能（）?A.離開(kāi)計(jì)算機(jī)而不退出登錄(正確答案)B.Sharetheirdesks.共享他們的桌面C.Encrypttheirpasswords.加密他們的密碼D.Communicate通信10.下面哪項(xiàng)最不可能妨礙員工報(bào)告安全事件（）?A.他們害怕被卷入他們不想干涉的事情B.事件報(bào)告流程是集中的(正確答案)C.他們害怕因?yàn)樗麄儧](méi)有做而被起訴D.他們沒(méi)有意識(shí)到公司的安全策略和程序11.員工被動(dòng)離職流程處理應(yīng)當(dāng)包括（）?A.個(gè)人所使用的所有密碼的列表B.優(yōu)秀項(xiàng)目的報(bào)告C.歸還任何公司的身份標(biāo)識(shí)(正確答案)D.簽署保密協(xié)議12.兩個(gè)操作員互相審查和批準(zhǔn)對(duì)方的工作,這是什么控制（）?A.Dualcontrol雙重控制B.Two-mancontrol雙人控制(正確答案)C.Two-foldcontrol·重疊控制D.Twincontrol雙生控制13.哪種安全程序會(huì)迫使一個(gè)操作員勾結(jié)另一個(gè)不同類(lèi)別的操作員來(lái)訪問(wèn)非授權(quán)數(shù)據(jù)（）?A.強(qiáng)制日常密碼更改B.審計(jì)日志的管理監(jiān)控C.限制操作人員的特定訪問(wèn)權(quán)限(正確答案)D.不同分工的人員的工作輪換14.針對(duì)入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)(DSPS)報(bào)警的第一個(gè)響應(yīng)是什么（）?A.確保事件響應(yīng)計(jì)劃是可用的和最新的B.判斷流量的初始源,并阻斷合適的端口C.關(guān)閉或斷開(kāi)可疑的目標(biāo)和源系統(tǒng)D.確認(rèn)威脅并判斷攻擊的范圍(正確答案)15.職責(zé)分離的主要目標(biāo)是什么（）?A.防止員工泄露敏感信息B.確保訪問(wèn)控制得到實(shí)施C.確保一個(gè)人不能單獨(dú)危害系統(tǒng)(正確答案)D.確保審計(jì)記錄不被篡改16.什么是工作輪換的好處（）?A.Allofthechoices.以下所有選項(xiàng)(正確答案)B.Trainedbackupincaseofemergencies.緊急情況的培訓(xùn)備份C.Protectagainstfraud.防欺詐D.Crosstrainingtoemployees.員工交叉培訓(xùn)17.創(chuàng)建專(zhuān)線(xiàn)的容錯(cuò)的常用方法是將若干T-1與一個(gè)反向多路復(fù)用器組合在一起,這個(gè)多路復(fù)用器安裝在（）?A.連接的某一端B.連接的兩端(正確答案)C.在兩端之間的某個(gè)地方D.在連接的中間位置18.傳輸層TCP數(shù)據(jù)的一個(gè)獨(dú)立單元的術(shù)語(yǔ),正確的是（）?A.TCPsegmentTCP報(bào)文段(正確答案)B.TCPdatagramTCP數(shù)據(jù)報(bào)C.TCPframeTCP幀D.TCPpacketTCP數(shù)據(jù)包答案解析：UDP是數(shù)據(jù)報(bào)二層是數(shù)據(jù)幀三層是數(shù)據(jù)包19.同時(shí)支持?jǐn)?shù)據(jù)和語(yǔ)音通信(VoIP)的融合網(wǎng)絡(luò),根據(jù)其性質(zhì),提供了一個(gè)單獨(dú)的通道來(lái)攻擊數(shù)據(jù)和語(yǔ)音組件。下列哪項(xiàng)是最好的保障語(yǔ)音組件安全的機(jī)制（）?A.在邊界防火墻上過(guò)濾呼叫B.使用模擬語(yǔ)音系統(tǒng)C.驗(yàn)證語(yǔ)音和數(shù)據(jù)用戶(hù)D.讓語(yǔ)音跑在自己獨(dú)立的虛擬局域網(wǎng)VLAN里(正確答案)20.一個(gè)組織已經(jīng)實(shí)施了一些新的安全控制。為了評(píng)估這些控制對(duì)安全體系有效性提升的影響,需要對(duì)信息安全的一些性能指標(biāo)進(jìn)行監(jiān)控。下列哪一項(xiàng)是在這種情況下選擇的性能指標(biāo)時(shí)最重要的因素（）?A.存在性能測(cè)量指標(biāo)的基本數(shù)據(jù)(正確答案)B.在性能測(cè)量指標(biāo)數(shù)據(jù)中盡可能減少誤報(bào)的能力C.在性能測(cè)量指標(biāo)數(shù)據(jù)中盡可能減少漏報(bào)的能力D.性能測(cè)量指標(biāo)有跨平臺(tái)的適用性21.公司寫(xiě)了一個(gè)策略來(lái)禁用無(wú)線(xiàn)網(wǎng)絡(luò)。在季度審計(jì)中發(fā)現(xiàn)該組織存在一個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)。那么組織的下一步應(yīng)該做什么（）?A.向法律部門(mén)報(bào)告發(fā)現(xiàn)的細(xì)節(jié)B.移除這個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)(正確答案)C.譴責(zé)用戶(hù)部署了無(wú)線(xiàn)網(wǎng)絡(luò)D.為了起訴保留無(wú)線(xiàn)網(wǎng)絡(luò)22.關(guān)于雇員解雇下列哪一項(xiàng)是最重要的（）?A.公司提供給雇員的財(cái)產(chǎn)已歸還B.雇員的用戶(hù)名和密碼已經(jīng)刪除C.向公司相關(guān)的工作人員通知解雇(正確答案)D.雇員的詳細(xì)情況從活躍的工資已被刪除.23.一個(gè)管理員負(fù)責(zé)數(shù)據(jù)運(yùn)營(yíng)中心,包括了500個(gè)終端的交換網(wǎng)絡(luò),一個(gè)Web服務(wù)器,電子郵件服務(wù)器,以及幾個(gè)大的應(yīng)用服務(wù)器。備份策略是每個(gè)星期天的早晨執(zhí)行一次完全備份和周一至周五執(zhí)行每日增量備份。環(huán)境中的所有服務(wù)器有五個(gè)SCSI磁盤(pán)驅(qū)動(dòng)器,并設(shè)置為RAID5作為熱備。數(shù)據(jù)中心使用了高架地板,并在房間內(nèi)配備了一個(gè)自足的HVAC系統(tǒng),以及一個(gè)自動(dòng)化的干管自動(dòng)噴淋滅火系統(tǒng)來(lái)保護(hù)電腦。大約在星期天早上,Web服務(wù)器的一個(gè)硬盤(pán)出現(xiàn)了故障。為了讓服務(wù)器返回到正常運(yùn)行需要做什么（）?A.從上次增量備份中恢復(fù)數(shù)據(jù)B.從上次完全備份中恢復(fù)數(shù)據(jù)C.從故障磁盤(pán)中恢復(fù)數(shù)據(jù)D.更換故障的磁盤(pán)(正確答案)24.一個(gè)安全控制應(yīng)當(dāng)（）?A.Allowformanyexceptions.允許很多例外情況B.Coverallcontingencies.覆蓋所有的偶然性C.Notrelyonthesecurityofitsmechanism.不依賴(lài)其機(jī)制的安全(正確答案)D.Changefrequently.變更頻繁25.哪一組原則是信息安全控制的基礎(chǔ)（）?A.認(rèn)證、審計(jì)軌跡和安全意識(shí)簡(jiǎn)報(bào)B.個(gè)人可問(wèn)責(zé)性、審計(jì)和職責(zé)分離C.知所必需,身份識(shí)別和真實(shí)性(正確答案)D.審計(jì)軌跡,有限任期和安全意識(shí)簡(jiǎn)報(bào)26.審計(jì)軌跡是什么類(lèi)型的控制（）?A.系統(tǒng),手工B.檢測(cè),技術(shù)(正確答案)C.用戶(hù),技術(shù)D.檢測(cè),手工27.使用操作安全檢測(cè)性控制時(shí),下面哪一種意外情況可以被發(fā)現(xiàn)（）?A.非授權(quán)人員看到了機(jī)密報(bào)告B.非授權(quán)人員銷(xiāo)毀了機(jī)密報(bào)告C.授權(quán)操作人員執(zhí)行非授權(quán)功能(正確答案)D.授權(quán)操作人員沒(méi)有響應(yīng)重要的控制臺(tái)信息28.在選擇物理設(shè)施時(shí),下面哪個(gè)地形特點(diǎn)有利于物理安全的（）?A.有茂密的植被和其他自然障礙的丘陵,來(lái)保護(hù)入口B.下坡地形能方便設(shè)施的進(jìn)入和可見(jiàn)性C.沒(méi)有茂密植被的平原,方便從不同的入口進(jìn)出D.沒(méi)有茂密植被的平原,入口略高于海拔(正確答案)29.下面哪個(gè)是使用縱深防御原則的潛在缺陷（）?A.Increasedsystemcomplexity增加了系統(tǒng)復(fù)雜性(正確答案)B.Increasedcomponentfailurerates增加了組件的故障率C.Redundantcomponentsarerequired需要冗余的組件D.Lowerintrusiondetectionperformance較低的入侵檢測(cè)性能30.下列哪項(xiàng)維護(hù)活動(dòng)負(fù)責(zé)定義、實(shí)施、測(cè)試應(yīng)用系統(tǒng)的升級(jí)（）?A.Programchangecontrol程序變更控制(正確答案)B.Regressiontesting回歸測(cè)試C.Exportexceptioncontrol輸出例外控制D.Useracceptancetesting用戶(hù)驗(yàn)收測(cè)試31.下面哪個(gè)是最安全的構(gòu)建路由表的方法（）?A.Distancevector距離矢量B.Linkstate鏈路狀態(tài)C.BorderGatewayProtocol(BGP)邊界網(wǎng)關(guān)協(xié)議(BGP)D.Static靜態(tài)路由(正確答案)32.為了保障關(guān)健業(yè)務(wù)連接的正常運(yùn)行時(shí)間,組織需要依賴(lài)下面哪項(xiàng)（）?A.AMemorandumofAgreement(MOA)協(xié)議備忘錄(MOA)B.AServiceLevelAgreement(SLA)服務(wù)水平協(xié)議(SLA)(正確答案)C.ANon-DisclosureAgreement(NDA)保密協(xié)議(NDA)D.ARequestforProposal(RFP)征求建議書(shū)(RFP)33.為建立一個(gè)信息安全程序,首先應(yīng)進(jìn)行（）?A.開(kāi)發(fā)員工安全意識(shí)培訓(xùn)計(jì)劃B.信息安全標(biāo)準(zhǔn)手冊(cè)的開(kāi)發(fā)與實(shí)施C.安全訪問(wèn)控制軟件的購(gòu)買(mǎi)D.企業(yè)信息安全策略聲明的采納(正確答案)34.代理防火墻是運(yùn)行在OSI模型的哪一層（）?A.Application應(yīng)用層(正確答案)B.Transport傳輸層C.Network網(wǎng)絡(luò)層D.DataLink數(shù)鏈層35.參考監(jiān)視器是特別設(shè)計(jì)用來(lái)（）?A.runundetected.未被發(fā)現(xiàn)的運(yùn)行B.runautonomously.自主的運(yùn)行C.beredundant.冗余D.betamperproof.防篡改(正確答案)36.在設(shè)計(jì)有效的安全控制時(shí),下面哪項(xiàng)必須被考慮（）?A.Speedofdeployment實(shí)施的速度B.Visibility可視化C.Easeofuse易用性(正確答案)D.Authenticity真實(shí)性37.可能會(huì)被利用的系統(tǒng)的缺失或薄弱環(huán)節(jié)被稱(chēng)為（）?A.威脅B.Exposure暴露C.Vulnerability漏洞(正確答案)D.Risk風(fēng)險(xiǎn)38.一般你用什么工具來(lái)判斷一個(gè)主機(jī)是否有漏洞會(huì)被已知攻擊手段攻擊（）?A.PaddedCells加厚的電池B.Vulnerabilityanalysis漏洞分析(正確答案)C.HoneyPots蜜罐D(zhuǎn).IDS入侵檢測(cè)39.下面哪項(xiàng)關(guān)于道德的黑客的描述是不正確的（）?A.組織應(yīng)該聘用道德的黑客,這些黑客不能銷(xiāo)售審計(jì),咨詢(xún),硬件,軟件,防火墻,主機(jī)托管,和/或網(wǎng)絡(luò)服務(wù)B.測(cè)試應(yīng)當(dāng)是在遠(yuǎn)程執(zhí)行C.道德的黑客不能參與目標(biāo)系統(tǒng)的編寫(xiě)或修改D.道德的黑客永遠(yuǎn)不應(yīng)該使用可能會(huì)導(dǎo)致組織IT系統(tǒng)漏洞被利用的工具。(正確答案)40.為什么信息安全策略要求通信測(cè)試設(shè)備得到控制（）?A.該設(shè)備容易受到損害B.該設(shè)備可以用來(lái)瀏覽網(wǎng)絡(luò)上的信息(正確答案)C.該設(shè)備必須始終可用,如果需要更換的話(huà)D.該設(shè)備可以用來(lái)重新配置網(wǎng)絡(luò)多路轉(zhuǎn)換器41.管理層可以預(yù)期滲透測(cè)試達(dá)到下面的目的,除了（）?A.identificationofsecurityflaws找出安全漏洞B.demonstrationoftheeffectsoftheflaws證明漏洞的影響C.amethodtocorrectthesecurityflaws.糾正安全漏洞的方法(正確答案)D.verificationofthelevelsofexistinginfiltrationresistance驗(yàn)證當(dāng)前的入侵防御水平42.下面哪個(gè)是一個(gè)滲透測(cè)試項(xiàng)目的特征（）?A.直到發(fā)現(xiàn)了所有已知的漏洞,項(xiàng)目無(wú)法結(jié)束B(niǎo).繪制項(xiàng)目時(shí)間安排來(lái)產(chǎn)生關(guān)鍵路徑C.項(xiàng)目任務(wù)是突破進(jìn)入目標(biāo)系統(tǒng)(正確答案)D.項(xiàng)目計(jì)劃由目標(biāo)用戶(hù)來(lái)復(fù)審43.下面哪個(gè)是滲透測(cè)試的主要目標(biāo)（）?A.Assessment評(píng)估(正確答案)B.Correction糾正C.Detection檢測(cè)D.Protection保護(hù)44.（看視頻）在滲透測(cè)試的缺陷假設(shè)方法論中,開(kāi)箱測(cè)試（白盒測(cè)試）一般用來(lái)分析（）?A.Routersandfirewalls路由器和防火墻B.Host-basedIDSsystems基于主機(jī)的入侵檢測(cè)系統(tǒng)C.Network-basedIDSsystems基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)D.Generalpurposeoperatingsystems一般用途的操作系統(tǒng)(正確答案)45.滲透測(cè)試中的第一步應(yīng)當(dāng)做什么（）?A.變更控制管理的批準(zhǔn)B.詳細(xì)測(cè)試計(jì)劃的開(kāi)發(fā)C.制定具體的滲透測(cè)試目標(biāo)(正確答案)D.團(tuán)隊(duì)成員之間的溝通過(guò)程答案解析：滲透測(cè)試不需要變更控制的批準(zhǔn)46.滲透測(cè)試通常包括（）?A.一般接受的審計(jì)實(shí)踐B.檢查PKI數(shù)字證書(shū)和加密C.社會(huì)工程、配置檢查和漏洞評(píng)估(正確答案)D.計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)流程47.下面哪個(gè)不是使用外部滲透服務(wù)公司比使用公司內(nèi)部資源更好的原因（）?A.他們更具成本效益B.他們沒(méi)有公司的偏見(jiàn)C.他們使用了天オ的外部黑客(正確答案)D.他們確保提供了一個(gè)更完整的報(bào)告48.下面哪個(gè)工具你可以用來(lái)評(píng)估網(wǎng)絡(luò)漏洞（）?A.ISSB.Allofthechoices.所有的選擇都是(正確答案)C.SATAND.Ballista49.如果你的財(cái)產(chǎn)保險(xiǎn)有實(shí)際成本評(píng)價(jià)(ACV)條款,你遭受損失的財(cái)產(chǎn)將根據(jù)什么進(jìn)行賠償（）?A.基于資產(chǎn)在遭受損失日期的價(jià)值B.基于新資產(chǎn)的價(jià)值,不管損失資產(chǎn)的新舊條件C.基于資產(chǎn)在損失前一個(gè)月的價(jià)值D.基于資產(chǎn)在遭受損失日期的價(jià)值,再加上10%(正確答案)50.下面哪個(gè)是針對(duì)加密硬件模塊最有效的攻擊方法（）?A.Plain-text明文攻擊B.Bruteforce暴力破解C.Poweranalysis功耗分析專(zhuān)理(正確答案)D.Man-in-the-middle(MITM)中間人攻擊51.審計(jì)師在執(zhí)行一次合規(guī)性審計(jì),申請(qǐng)查看系統(tǒng)中加密的密碼,以驗(yàn)證密碼是否符合政策。下列哪項(xiàng)是對(duì)審計(jì)師最好的回應(yīng)（）?A.提供加密的密碼和分析工具給審計(jì)師進(jìn)行分析B.為審計(jì)師分析加密的密碼,并給他們看結(jié)果C.演示不符合政策的密碼不能在系統(tǒng)里創(chuàng)建。(正確答案)D.演示不符合政策的密碼不能在系統(tǒng)里加密。52.下面哪個(gè)最好的描述了信息安全政策（）?A.政策是描述業(yè)界最佳安全實(shí)踐的指南B.政策是描述信息安全方法的高層級(jí)程序C.政策提供了信息安全實(shí)施體系的藍(lán)圖D.政策是描述信息體系目標(biāo)的高層級(jí)聲明(正確答案)53.了解到信息安全預(yù)算將在下一財(cái)年減少后,安全經(jīng)理重新調(diào)整下一年度預(yù)算。在進(jìn)行這種分析時(shí),以下哪項(xiàng)最影響安全經(jīng)理的決策過(guò)程（）?A.Trendanalysis趨勢(shì)分析B.Businessriskacceptance業(yè)務(wù)風(fēng)險(xiǎn)接受(正確答案)C.Securitybestpractices安全最佳實(shí)踐D.Vulnerabilityanalysis漏洞分析54.下列哪一項(xiàng)將最適合監(jiān)督信息安全策略的部署（）?A.SystemAdministrators系統(tǒng)管理員B.Securityadministrators安全管理員C.SecurityOfficers安全官(正確答案)D.Humanresources人力資源部55.下面哪項(xiàng)是基于標(biāo)準(zhǔn)的合規(guī)框架的主要好處（）?A.他們識(shí)別了現(xiàn)有規(guī)程的差距(正確答案)B.他們減少了審計(jì)網(wǎng)絡(luò)的需求C.他們需要更少的資源D.他們易于實(shí)施56.變更管理策略的主要目的是（）?A.確認(rèn)IT基礎(chǔ)設(shè)施的變更得到審批(正確答案)B.識(shí)別IT基礎(chǔ)設(shè)施的變更C.確保IT基礎(chǔ)設(shè)施的變更是必要的D.判斷實(shí)施IT基礎(chǔ)設(shè)施修改的必要性答案解析：變更管理策略的主要目的是評(píng)估和審批57.信息安全經(jīng)理實(shí)施一個(gè)機(jī)制來(lái)對(duì)執(zhí)行指定字段的信息進(jìn)行合理性檢查。這是哪種控制目標(biāo)的例子（）?A.保持信息的實(shí)用性B.保持?jǐn)?shù)據(jù)的可用性C.保持?jǐn)?shù)據(jù)的完整性(正確答案)D.保持信息的真實(shí)性答案解析：合理性與完整性更配58.哪個(gè)流程決定了在特定目的下誰(shuí)是可信的（）?A.Identification身份識(shí)別B.Authorization授權(quán)(正確答案)C.Authentication驗(yàn)證D.Accounting審計(jì)59.最小特權(quán)的意圖是執(zhí)行最嚴(yán)格的用戶(hù)所需權(quán)限來(lái)（）?A.Toexecutesystemprocesses.執(zhí)行系統(tǒng)流程B.Bytheirjobdescription.他們的工作描述C.Toexecuteauthorizedtasks.來(lái)執(zhí)行授權(quán)任務(wù)(正確答案)D.Bytheirsecurityrole.他們的安全角色60.這是一個(gè)在大型環(huán)境中常見(jiàn)的非常難以控制的安全問(wèn)題。它發(fā)生在當(dāng)用戶(hù)有超出任務(wù)需要的更多的計(jì)算機(jī)權(quán)利,權(quán)限和特權(quán)。什么最能說(shuō)明這種情況（）?A.ExcessiveRights過(guò)多的權(quán)利B.ExcessiveAccess過(guò)多的訪問(wèn)C.ExcessivePermissions過(guò)多的權(quán)限D(zhuǎn).ExcessivePrivileges過(guò)多的特權(quán)(正確答案)61.一個(gè)簡(jiǎn)化訪問(wèn)控制管理的方法是對(duì)下面哪項(xiàng)進(jìn)行分組（）?A.Capabilitiesandprivileges能力和特權(quán)B.Objectsandsubjects客體和主體(正確答案)C.Programsandtransactions程序和交易D.Administratorsandmanagers管理員和經(jīng)理62.密碼學(xué)不能解決（）?A.Availability可用性(正確答案)B.Integrity完整性C.Confidentiality機(jī)密性D.Authenticity真實(shí)性63.下面哪一個(gè)措施能夠最好的防范從留在賓館房間的筆記本上竊取企業(yè)信息（）?A.在磁盤(pán)上存放所有數(shù)據(jù),并將它們安全的鎖在房間內(nèi)B.移除筆記本的電池和電源線(xiàn),并與電腦分開(kāi)單獨(dú)存放C.在電腦無(wú)人值守時(shí),安裝筆記本的線(xiàn)纜鎖D.加密硬盤(pán)上的所有數(shù)據(jù)(正確答案)64.為了支持依賴(lài)于有風(fēng)險(xiǎn)的協(xié)議(例如純明文密碼)的遺留應(yīng)用程序,下面哪個(gè)可以降低企業(yè)網(wǎng)絡(luò)上的風(fēng)險(xiǎn)（）?A.實(shí)施集中生成的強(qiáng)密碼來(lái)對(duì)易受攻擊的應(yīng)用程序的使用進(jìn)行控制。B.實(shí)現(xiàn)一個(gè)VPN,并對(duì)加入VPN的工作站進(jìn)行控制。(正確答案)C.通過(guò)物理訪問(wèn)控制,確保只有授權(quán)的經(jīng)過(guò)培訓(xùn)的用戶(hù)有權(quán)訪問(wèn)工作站。D.確保打開(kāi)了所有主機(jī)和應(yīng)用程序的審計(jì)日志,并經(jīng)常進(jìn)行日志審查65.需要下面哪個(gè)來(lái)決定分類(lèi)分級(jí)和所有權(quán)（）?A.能夠正確的識(shí)別系統(tǒng)和數(shù)據(jù)源(正確答案)B.違規(guī)訪問(wèn)能夠被記錄并審計(jì)C.數(shù)據(jù)文件參考能夠被識(shí)別和鏈接D.系統(tǒng)安全控制能夠完全被集成66.測(cè)試災(zāi)難恢復(fù)計(jì)劃(DRP)最重要的目標(biāo)是（）?A.評(píng)價(jià)計(jì)劃的高效性B.識(shí)別恢復(fù)需求的標(biāo)準(zhǔn)C.驗(yàn)證計(jì)劃的有效性(正確答案)D.決定恢復(fù)時(shí)間目標(biāo)(RTO)67.安全套接層(SSL)和傳輸層安全(TLS)的特征是什么（）?A.SSL和TLS缺省提供了抗抵賴(lài)性;B.SSL和TLS提供了在TCP協(xié)議之上的通用的通道安全機(jī)制(正確答案)C.SSL和TLS對(duì)大部分路由協(xié)議沒(méi)有提供安全D.SSL和TLS提供了通過(guò)超文本傳輸協(xié)議(HTTP)的包頭加密68.下面哪個(gè)是審計(jì)軌跡的好處（）?A.Accountability可問(wèn)責(zé)性(正確答案)B.Confidentiality機(jī)密性C.Non-repudiation抗抵賴(lài)性D.Integrity完整性69.（看視頻）下面哪個(gè)是抗抵賴(lài)流程中的最重要的組件（）?A.Header包頭B.Hashvalue哈希值C.Timestamp時(shí)間戳(正確答案)D.Messagetransferagent消息傳輸代理70.一個(gè)安全專(zhuān)家在根據(jù)國(guó)際標(biāo)準(zhǔn)化組織(ISO)27001和27002標(biāo)準(zhǔn)在評(píng)估組織的安全政策時(shí),他需要牢記的是什么（）?A.安全基線(xiàn)可以直接從國(guó)際標(biāo)準(zhǔn)中抽取B.國(guó)際標(biāo)準(zhǔn)對(duì)一個(gè)區(qū)域組織來(lái)說(shuō)沒(méi)有什么價(jià)值C.所有領(lǐng)域的策略都需要有詳細(xì)的步驟細(xì)節(jié);D.標(biāo)準(zhǔn)是一個(gè)起點(diǎn),可以根據(jù)需要應(yīng)用于組織;(正確答案)71.下面哪個(gè)系統(tǒng)組件實(shí)現(xiàn)了對(duì)目標(biāo)的訪問(wèn)控制（）?A.Securityperimeter安全邊界B.Trusteddomain可信域C.Referencemonitor參考監(jiān)視器(正確答案)D.Accesscontrolmatrix訪問(wèn)控制矩陣72.（看視頻）下面哪個(gè)是通用標(biāo)準(zhǔn)（CC）產(chǎn)品評(píng)價(jià)的安全弱點(diǎn)（）?A.制造商可以描述產(chǎn)品的哪些配置是要被評(píng)價(jià)的;(正確答案)B.產(chǎn)品可以被其他國(guó)家的實(shí)驗(yàn)室來(lái)評(píng)價(jià);C.評(píng)價(jià)目標(biāo)(TOE)測(cè)試環(huán)境等同于操作環(huán)境D.評(píng)價(jià)的執(zhí)行是昂貴并耗時(shí)的73.下面哪個(gè)控制是可以用來(lái)保證所有的電子郵件附件得到檢查,如需要進(jìn)行刪除的（）?A.Technical技術(shù)(正確答案)B.Management管理C.Operational運(yùn)行D.Audit審計(jì)74.下面哪個(gè)是測(cè)試數(shù)據(jù)合適的來(lái)源（）?A.生產(chǎn)數(shù)據(jù)是安全的,并只在生產(chǎn)環(huán)境中維護(hù)B.與生產(chǎn)數(shù)據(jù)沒(méi)有相似性的測(cè)試數(shù)據(jù)C.與生產(chǎn)數(shù)據(jù)鏡像并保持同步的測(cè)試數(shù)據(jù)D.對(duì)生產(chǎn)數(shù)據(jù)進(jìn)行清洗,然后再載入到測(cè)試環(huán)境(正確答案)75.在進(jìn)行災(zāi)難恢復(fù)(DR)規(guī)劃的風(fēng)險(xiǎn)分析時(shí),擁有一個(gè)全面的信息資產(chǎn)清單為什么是重要的（）?A.為了在發(fā)生危機(jī)時(shí)能夠聯(lián)系資產(chǎn)的所有者B.為了幫助對(duì)業(yè)務(wù)流程以及相關(guān)的應(yīng)用系統(tǒng)進(jìn)行優(yōu)先級(jí)分級(jí)(正確答案)C.為了確保DR規(guī)劃軟件工具是完全導(dǎo)入的D.為了建立替代恢復(fù)策略的財(cái)務(wù)模型76.一個(gè)維護(hù)服務(wù),提供了電力、溫度控制、高架地板和電話(huà)線(xiàn),但是沒(méi)有計(jì)算機(jī)和相關(guān)外設(shè)的場(chǎng)所,最好形容為（）?A.hotsite.熱站B.coldsite.冷站(正確答案)C.warmsite.溫站D.reciprocalsite.互惠站點(diǎn)77.在事件響應(yīng)調(diào)查的早期,網(wǎng)絡(luò)監(jiān)視可以用來(lái)（）?A.預(yù)防未來(lái)的事件B.確認(rèn)或解除對(duì)事件的懷疑(正確答案)C.映射網(wǎng)絡(luò)和所有可信的關(guān)系D.確保使用策略的合規(guī)78.（看視頻）所有的訪問(wèn)必須被考慮,防止修改并驗(yàn)證其正確性,這個(gè)概念是（）?A.Securemodel安全模型B.Securitylocking安全鎖定C.Securitykernel安全內(nèi)核(正確答案)D.Securestate安全狀態(tài)79.下面哪個(gè)確保了當(dāng)系統(tǒng)崩潰或其他系統(tǒng)錯(cuò)誤發(fā)生時(shí),安全不會(huì)被違反（）?A.trustedrecovery可信恢復(fù)(正確答案)B.hotswappable熱插拔C.redundancy冗余D.secureboot安全啟動(dòng)80.什么類(lèi)型的子系統(tǒng)是操作系統(tǒng)之外運(yùn)行的應(yīng)用程序,并為一組用戶(hù)執(zhí)行一些功能,為組中的所有用戶(hù)維護(hù)一些常見(jiàn)的數(shù)據(jù),并防止組中的用戶(hù)不正當(dāng)訪問(wèn)數(shù)據(jù)（）?A.Preventedsubsystem阻止子系統(tǒng)B.Protectedsubsystem保護(hù)子系統(tǒng)(正確答案)C.Filesubsystem文件子系統(tǒng)D.Directorysubsystem目錄子系統(tǒng)81.“偽錯(cuò)誤”指的是下面哪項(xiàng)（）?A.故意在一個(gè)操作系統(tǒng)中植入一個(gè)明顯的漏洞(正確答案)B.產(chǎn)生偽碼時(shí)的遺漏C.應(yīng)用程序編程時(shí)用來(lái)測(cè)試越界侵犯D.通常產(chǎn)生的頁(yè)故障,導(dǎo)致系統(tǒng)當(dāng)機(jī)82.下面哪項(xiàng)描述了參考監(jiān)視器（）?A.是一個(gè)訪問(wèn)控制概念,指的是介入所有主體和客體的訪問(wèn)的抽象機(jī)(正確答案)B.是一個(gè)審計(jì)概念,指的是監(jiān)控和記錄所有主體和客體的訪問(wèn)C.是一個(gè)身份識(shí)別概念,指的是用戶(hù)提供的材料和他的參考配置文件的比較D.是一個(gè)網(wǎng)絡(luò)控制概念,對(duì)主體進(jìn)行授權(quán)來(lái)訪問(wèn)客體83.認(rèn)可的主要目的是（）?A.讓高層做一個(gè)正式的決定,來(lái)確認(rèn)是否接受系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)(正確答案)B.確認(rèn)所有的安全控制得到正確的實(shí)施,并以正確的方式在運(yùn)行C.保護(hù)組織的敏感數(shù)據(jù)D.滿(mǎn)足適用的法律和法規(guī)84.（看視頻）下面哪項(xiàng)是在部署數(shù)字證書(shū)時(shí)最重要的（）?A.驗(yàn)證符合X.509數(shù)字證書(shū)標(biāo)準(zhǔn)B.使用第三方CAC.建立證書(shū)的生命周期管理框架(正確答案)D.創(chuàng)建證書(shū)時(shí)使用不少于256位長(zhǎng)度的加密算法85.下列哪一項(xiàng)不是安全管理員的任務(wù)（）?A.授權(quán)訪問(wèn)權(quán)限(正確答案)B.實(shí)施安全規(guī)則C.確保地方政策已經(jīng)授權(quán)管理D.分配訪問(wèn)權(quán)限86.在評(píng)估一個(gè)應(yīng)用程序的審計(jì)能力時(shí),下面哪個(gè)活動(dòng)是最重要的（）?A.識(shí)別程序來(lái)調(diào)查可疑的行為B.確認(rèn)是否分配了充足的存儲(chǔ)空間來(lái)存放審計(jì)記錄C.判斷審計(jì)記錄是否包含了充分的信息(正確答案)D.審核在審計(jì)失效發(fā)生時(shí)將要采取的安全行動(dòng)計(jì)劃87.哪種安全程序的實(shí)施方法能驅(qū)動(dòng)公司員工擔(dān)負(fù)保護(hù)公司的資產(chǎn)的責(zé)任（）?A.Thetop-downapproach自上而下的方法(正確答案)B.TheDelphiapproachDelphi方法C.Thebottom-upapproach自下而上的方法D.Thetechnologyapproach技術(shù)方法88.使用基于Web的由可信CA簽發(fā)的SSL證書(shū)的主要目的是（）?A.為了確保合理的密鑰和算法長(zhǎng)度B.為了確保客戶(hù)端可以連接到多個(gè)不同類(lèi)型的瀏覽器C.為了允許客戶(hù)端能夠合理的認(rèn)證服務(wù)器的身份(正確答案)D.為了允許服務(wù)器能夠認(rèn)證通過(guò)瀏覽器連接的客戶(hù)端的身份89.下面哪個(gè)是推動(dòng)組織來(lái)審核它目前的加密系統(tǒng)實(shí)施的主要原因（）?A.MD5哈希算法的使用B.為了使用更加有效的加密算法C.為了使用一個(gè)新的證書(shū)撤銷(xiāo)列表CRLD.密鑰長(zhǎng)度在對(duì)抗暴力破解攻擊時(shí)不再安全(正確答案)90.下面哪個(gè)是開(kāi)發(fā)用來(lái)支持多協(xié)議,以及提供登陸、密碼和錯(cuò)誤糾正能力（）?A.PasswordAuthenticationProtocol(PAP)密碼驗(yàn)證協(xié)議PAPB.ChallengeHandshakeAuthenticationProtocol(CHAP)挑戰(zhàn)握手認(rèn)證協(xié)議CHAPC.Point-to-PointProtocol(PPP)點(diǎn)對(duì)點(diǎn)協(xié)議PPP(正確答案)D.PostOfficeProtocol(POP)郵局協(xié)議POP答案解析：1）PPP具有動(dòng)態(tài)分配IP地址的能力，允許在連接時(shí)刻協(xié)商IP地址。2）PPP支持多種網(wǎng)絡(luò)協(xié)議，比如TCP/IPNETBEUI.INLink等。3）PPP具有錯(cuò)誤檢測(cè)以及糾錯(cuò)能力，支持?jǐn)?shù)據(jù)壓縮。4）PPP具有身份驗(yàn)證功能。5）PPP可用于各種類(lèi)型物理介質(zhì)上91.只在下面哪個(gè)情況下允許使用一個(gè)公共的無(wú)線(xiàn)局域網(wǎng)WLAN來(lái)連接一個(gè)私有網(wǎng)絡(luò)（）?A.客戶(hù)端機(jī)器裝有防病毒軟件,并且已經(jīng)做了掃描來(lái)判斷是否有非授權(quán)的端口開(kāi)放B.無(wú)線(xiàn)接入點(diǎn)(AP)是部署在內(nèi)部私有網(wǎng)絡(luò)上的C.客戶(hù)端機(jī)器裝有個(gè)人防火墻,并且使用虛擬專(zhuān)用網(wǎng)VPN來(lái)連接網(wǎng)絡(luò)(正確答案)D.使用擴(kuò)展認(rèn)證協(xié)議EAP來(lái)認(rèn)證用戶(hù)92.下列哪項(xiàng)能更好的定義可能被利用的由于缺少或存在漏洞的保護(hù)機(jī)制（）?A.Anexposure暴露B.Arisk風(fēng)險(xiǎn)C.Avulnerability脆弱性(正確答案)D.Athreat威脅93.下面哪個(gè)是適當(dāng)?shù)淖兏刂瞥绦颍ǎ?A.記錄關(guān)鍵源代碼庫(kù)的大小B.限制只有授權(quán)用戶(hù)可以變更(正確答案)C.在生產(chǎn)系統(tǒng)存儲(chǔ)源代碼的最新版本D.在進(jìn)入測(cè)試階段前,刪除源代碼里的開(kāi)發(fā)者批注94.下面哪一個(gè)是對(duì)一個(gè)計(jì)算機(jī)用戶(hù)問(wèn)責(zé)最需要的（）?A.對(duì)重要數(shù)據(jù)文件進(jìn)行分類(lèi)B.使用它們自己的身份來(lái)執(zhí)行任務(wù)(正確答案)C.與合適的人共享他們的登陸密碼D.保護(hù)他們?cè)L問(wèn)的系統(tǒng)應(yīng)用程序95.下面哪個(gè)最準(zhǔn)確的描述了一個(gè)業(yè)務(wù)連續(xù)性體系（）?A.一個(gè)持續(xù)的過(guò)程,來(lái)確定潛在損失的影響,以及維持可行的恢復(fù)(正確答案)B.一個(gè)持續(xù)的過(guò)程,來(lái)確定組織的任務(wù)、愿景和戰(zhàn)略目標(biāo)C.一個(gè)持續(xù)的分析,對(duì)于物理、經(jīng)濟(jì)和自然資源災(zāi)難的影響D.一個(gè)持續(xù)的測(cè)試計(jì)劃,,允許在系統(tǒng)中斷或數(shù)據(jù)丟失時(shí)進(jìn)行快速恢復(fù)96.（看視頻）通用準(zhǔn)則（CC）創(chuàng)建了下面哪項(xiàng),允許潛在的消費(fèi)者或開(kāi)發(fā)人員能夠創(chuàng)建一套標(biāo)準(zhǔn)的安全要求來(lái)滿(mǎn)足需要（）?A.aProtectionProfile(PP).保護(hù)輪廓(正確答案)B.aSecurityTarget(ST).安全目標(biāo)C.anevaluationAssuranceLevel(EAL).評(píng)價(jià)保障等級(jí)D.aSecurityFunctionalityComponentCatalog(SFCC).安全功能組件目錄97.如果供應(yīng)商通過(guò)子合同將一些IT支持功能分包,下列哪一項(xiàng)是包括在合同中最重要的要求（）?A.分包商合同的安全條款和主合同是一樣的(正確答案)B.分包商簽看保密協(xié)議C.分包商聯(lián)系信息應(yīng)包括在主合同中D.分包商必須通過(guò)背景調(diào)查98.為了最好的檢測(cè)到一個(gè)通過(guò)郵件非授權(quán)泄露敏感數(shù)據(jù)的事件,組織應(yīng)當(dāng)考慮采用下面哪個(gè)安全工具（）?A.數(shù)據(jù)泄露保護(hù)(DLP)方案(正確答案)B.惡意軟件檢測(cè)方案C.狀態(tài)包檢測(cè)(SPI)防火墻D.日志監(jiān)控方案99.為什么Kerberos服務(wù)器必須得到很好的保護(hù),防止非授權(quán)訪問(wèn)（）?A.因?yàn)樗怂锌蛻?hù)端的密鑰(正確答案)B.因?yàn)樗偸窃趓oot權(quán)限下操作C.因?yàn)樗朔?wù)的所有的票據(jù)D.因?yàn)樗怂芯W(wǎng)絡(luò)設(shè)備的IP地址答案解析：票據(jù)是臨時(shí)生成的，密鑰是最主要的100.下面哪個(gè)是外包協(xié)議的最好的形式（）?A.首席執(zhí)行官之間面對(duì)面的對(duì)話(huà)B.兩個(gè)組織之間的服務(wù)水平協(xié)議(SLA)(正確答案)C.兩個(gè)組織之間的職貴分工文檔D.雙方之間的B2B協(xié)議101.（看視頻）在執(zhí)行一個(gè)有效的物理?yè)p失控制流程時(shí),下面哪個(gè)文件是首先產(chǎn)生的（）?A.SecurityStandardslist安全標(biāo)準(zhǔn)列表B.AssetValuationlist資產(chǎn)價(jià)值表C.Inventorylist資產(chǎn)列表(正確答案)D.DeterrentControlslist威懾控制列表102.根據(jù)下面:D=設(shè)備數(shù)量;T=維修每個(gè)設(shè)備的時(shí)間花費(fèi);C=每小時(shí)費(fèi)率;I=漏洞影響;P=漏洞利用的可能性;下面哪個(gè)公式?jīng)Q定了恢復(fù)成本（）?A.DTC(正確答案)B.DPCC.TIPD.TCP103.視網(wǎng)膜掃描生物識(shí)別裝置的物理特性是什么（）?A.到達(dá)視網(wǎng)膜的光的數(shù)最B.視網(wǎng)膜反射的光的數(shù)量C.視網(wǎng)膜的大小，曲率和形狀D.眼睛后面的血管的圖案(正確答案)104.下面哪個(gè)是生物識(shí)別系統(tǒng)的二型錯(cuò)誤（）?A.Falseacceptrate錯(cuò)誤接受率(正確答案)B.Falserejectrate錯(cuò)誤拒絕率C.Crossovererrorrate交叉錯(cuò)誤率D.Speedandthroughputrate速度和吞吐率105.在擊鍵動(dòng)力學(xué)中,什么代表了一個(gè)人在鍵之間切換的時(shí)間量（）?A.Dynamictime動(dòng)態(tài)時(shí)間B.Flighttime飛行時(shí)間(正確答案)C.Dwelltime停留時(shí)間D.Systemstime.系統(tǒng)時(shí)間106.數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)什么情況下會(huì)發(fā)生聚合問(wèn)題（）?A.一個(gè)條目本身是不敏感的,但當(dāng)它與常識(shí)相結(jié)合時(shí),是敏感的。B.兩個(gè)或更多條目單個(gè)本身是不敏感的,但當(dāng)結(jié)合在一起是就變得敏感了(正確答案)C.同一個(gè)條目的兩個(gè)或多個(gè)實(shí)例是不敏感的,但當(dāng)結(jié)合起來(lái)就變得敏感了D.條目的一個(gè)實(shí)例比同一個(gè)條目的另一個(gè)實(shí)例的安全級(jí)別高107.下面哪個(gè)是使用密碼學(xué)時(shí)的主要挑戰(zhàn)（）?A.密鑰管理(正確答案)B.算法選擇C.選擇密鑰長(zhǎng)度D.確保數(shù)據(jù)通信108.下面哪個(gè)可以幫助安全人員選擇安全產(chǎn)品和服務(wù),使其保持和公司的目標(biāo)一致（）?A.選擇最低成本的方案B.遵從本地的法律和法規(guī)C.識(shí)別供應(yīng)商規(guī)格說(shuō)明書(shū)和合同協(xié)議D.與業(yè)務(wù)流程所有者面談(正確答案)109.為什么基于擁有什么的驗(yàn)證比知道什么的驗(yàn)證強(qiáng)度高（）?A.Itissimplertocontrol.更加易于控制B.Itismoredifficulttoduplicate.復(fù)制更加困難(正確答案)C.Itcanbekeptontheuser'sperson.可以由用戶(hù)個(gè)人保存D.Itiseasiertochange.更加容易變更110.實(shí)施一個(gè)數(shù)據(jù)分級(jí)體系的最低的要求是什么（）?A.形成一個(gè)數(shù)據(jù)分級(jí)的團(tuán)隊(duì)或委員會(huì)B.定義體系相關(guān)的每個(gè)組的角色和責(zé)任C.制定和批準(zhǔn)信息安全策略(正確答案)D.制定和批準(zhǔn)程序、基線(xiàn)和標(biāo)準(zhǔn)答案解析：策略方針是最低要求111.下面哪個(gè)是電子尾隨攻擊（electronicpiggybacking）——蹭網(wǎng)的例子（）?A.附在通信線(xiàn)路上并替代數(shù)據(jù)(正確答案)B.突然終止撥號(hào)或直接連接會(huì)話(huà)C.跟隨一個(gè)授權(quán)用戶(hù)進(jìn)入計(jì)算機(jī)室D.錄制并回放計(jì)算機(jī)交易112.哪項(xiàng)不是BIA的主要目標(biāo)之一（）?A.關(guān)鍵性?xún)?yōu)先級(jí)分級(jí)B.宕機(jī)時(shí)間預(yù)測(cè)C.決定關(guān)鍵業(yè)務(wù)功能的需求D決定執(zhí)行不同的測(cè)試來(lái)驗(yàn)證業(yè)務(wù)連續(xù)性計(jì)劃(正確答案)113.使用自主訪問(wèn)控制（DAC）的系統(tǒng),容易受到下面哪種攻擊（）?A.Trojanhorse木馬(正確答案)B.Phreaking盜用電話(huà)線(xiàn)路C.Spoofing欺騙D.SYNfloodSYN洪水114.哪種訪問(wèn)控制模型讓資源的所有者來(lái)定義什么主體可以訪問(wèn)特定資源（）?A.DiscretionaryAccessControl自主訪問(wèn)控制(正確答案)B.MandatoryAccessControl強(qiáng)制訪問(wèn)控制C.SensitiveAccessControl敏感訪問(wèn)控制D.Role-basedAccessControl基于角色的訪問(wèn)控制115.基于個(gè)人身份的自主訪問(wèn)控制也稱(chēng)作（）?A.ldentity-basedaccesscontrol基于身份的訪問(wèn)控制(正確答案)B.Rule-basedaccesscontrol基于規(guī)則的訪問(wèn)控制C.Non-Discretionaryaccesscontrol非自主訪問(wèn)控制D.Lattice-basedaccesscontrol基于柵格的訪問(wèn)控制116.廉價(jià)冗余磁盤(pán)陣列(RAID5)通過(guò)什么最小化了寫(xiě)的瓶頸（）?A.使用陣列的一個(gè)磁盤(pán)來(lái)存儲(chǔ)奇偶校驗(yàn)信息B.使用兩塊大的條帶深度,而不是一個(gè)C.使用錯(cuò)誤糾正碼的能力D.分發(fā)奇偶校驗(yàn)條帶到一系列磁盤(pán)(正確答案)117.下面哪個(gè)安全模型使用了良好形式交易和職責(zé)分離的機(jī)制（）?A.ChineseWall中國(guó)墻模型B.Bell-LaPadula貝爾-拉普杜拉模型C.Clark-Wilson克拉克-威爾遜模型(正確答案)D.Biba畢巴模型答案解析：A是解決利益沖突C是原話(huà)118.哪個(gè)安全訪問(wèn)策略包含固定的安全屬性，系統(tǒng)用來(lái)確定用戶(hù)對(duì)文件或?qū)ο蟮脑L問(wèn)?（）?A.強(qiáng)制訪問(wèn)控制(MAC)(正確答案)B.自主訪問(wèn)控制(DAC)C.訪問(wèn)控制列表(ACL)D.授權(quán)用戶(hù)控制119.哪個(gè)密碼破解方法不管密碼多么復(fù)雜都可以找到密碼（）?A.Bruteforce暴力破解(正確答案)B.Dictionary字典攻擊C.Hybrid混合攻擊D.Birthday生日攻擊120.下面哪個(gè)是組織合規(guī)方面最好的證據(jù)（）?A.與合規(guī)違規(guī)相關(guān)的罰款數(shù)目的減少B.直接對(duì)應(yīng)到合規(guī)要求的文件化的規(guī)程(正確答案)C.已報(bào)告的安全合規(guī)事件數(shù)量的增加D.安全合規(guī)的管理層批準(zhǔn)121.下列哪個(gè)不是風(fēng)險(xiǎn)分析中的一部分（）?A.Identifyrisks識(shí)別風(fēng)險(xiǎn)B.Choosethebestcountermeasure選擇最好的控制措施(正確答案)C.在風(fēng)險(xiǎn)影響和相關(guān)控制措施的成本之間提供經(jīng)濟(jì)平衡D.潛在威脅的影響的量化分析122.下面哪項(xiàng)是安全經(jīng)理?yè)碛械淖铌P(guān)健技能（）?A.有效的溝通技巧,策略規(guī)劃技巧,以及對(duì)組織流程的理解(正確答案)B.良好的技術(shù)技能,項(xiàng)目管理經(jīng)驗(yàn),強(qiáng)大的審計(jì)背景C.合規(guī)經(jīng)驗(yàn),正式的管理培訓(xùn),和網(wǎng)絡(luò)運(yùn)維能力D.技巧開(kāi)發(fā)能力,應(yīng)用開(kāi)發(fā)經(jīng)驗(yàn)和良好的人際交往能力123.下面哪項(xiàng)是可信計(jì)算基TCB的核心要素（）?A.可信路徑B.Securitykernel安全內(nèi)核(正確答案)C.Operatingsystem操作系統(tǒng)D.Trustedcomputingsystem可信計(jì)算系統(tǒng)124.下面哪個(gè)物理安全措施是在保護(hù)公司資產(chǎn)方面最通用的（）?A.視頻攝像機(jī)B.Lockingdevices鎖(正確答案)C.Personnelverification人工確認(rèn)D.Biometrics生物識(shí)別125.強(qiáng)制訪問(wèn)控制(MAC)是基于（）?A.安全分級(jí)和安全許可(正確答案)B.數(shù)據(jù)標(biāo)簽和用戶(hù)訪問(wèn)權(quán)限C.用戶(hù)角色和用戶(hù)加密D.數(shù)據(jù)分段和數(shù)據(jù)分類(lèi)答案解析：強(qiáng)制訪問(wèn)控制的特點(diǎn)是主體有許可客體有分級(jí)。數(shù)據(jù)標(biāo)簽不同于敏感標(biāo)簽，強(qiáng)制訪問(wèn)控制基于的是敏感標(biāo)簽126.RAID3和RAID5運(yùn)行（）?A.在硬件上更快(正確答案)B.在硬件上更慢C.在軟件上更快D.在軟件和硬件速度一樣127.根據(jù)需要復(fù)制的數(shù)據(jù)量,完全備份到磁帶可能需要（）?A.太多的時(shí)間量(正確答案)B.一個(gè)可信的時(shí)間量C.一個(gè)理想的時(shí)間量D一個(gè)專(zhuān)用的時(shí)間量128.業(yè)務(wù)連續(xù)性計(jì)劃的備用處理策略可以通過(guò)熱站,冷站,或下面哪個(gè)來(lái)提供所需備用的計(jì)算能力（）?A.Adial-upservicesprogram.撥號(hào)服務(wù)程序B.Anoff-sitestoragereplacement.異地存儲(chǔ)替換C.Anonlinebackupprogram.在線(xiàn)備用程序(正確答案)D.箱子和船舶替換答案解析：在線(xiàn)備用程序指的是冗余站點(diǎn)、鏡像站點(diǎn)129.更換故障驅(qū)動(dòng)器的備用驅(qū)動(dòng)器通常都支持熱插拔,這意味著在以下哪個(gè)情況下可以在服務(wù)器上更換故障驅(qū)動(dòng)器（）?A.systemisupandrunning系統(tǒng)啟動(dòng)和運(yùn)行(正確答案)B.systemisquiescedbutoperational系統(tǒng)靜止但是運(yùn)行C.systemisidlebutoperational系統(tǒng)空閑但是運(yùn)行D.systemisupandinsingle-user-mode系統(tǒng)啟動(dòng)和單用戶(hù)模式130.（看視頻）在系統(tǒng)安全設(shè)計(jì)的第一階段要確保（）?A.適當(dāng)?shù)陌踩刂?安全目標(biāo)和安全目的是否正確啟動(dòng)。(正確答案)B.安全目的,適當(dāng)?shù)陌踩刂?并驗(yàn)證是否正確啟動(dòng)。C.安全目標(biāo),安全目的,以及系統(tǒng)測(cè)試是否正確進(jìn)行D.適當(dāng)?shù)陌踩刂?安全目的和故障緩解措施是否正確進(jìn)行131.哪個(gè)是在Internet上建立身份的最好的方法（）?A.挑戰(zhàn)握手認(rèn)證協(xié)議(CHAP)和強(qiáng)密碼B遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù)(RADIUS)服務(wù)器,采用硬件令牌(正確答案)C.互聯(lián)網(wǎng)郵件訪問(wèn)協(xié)議(IMAP),使用3DES算法D.遠(yuǎn)程用戶(hù)認(rèn)證,使用簡(jiǎn)單目標(biāo)訪問(wèn)協(xié)議(SOAP)132.證明一個(gè)公司對(duì)于潛在客戶(hù)的安全水平的最好的方法是（）?A.外部審計(jì)師的報(bào)告(正確答案)B.客戶(hù)安全調(diào)查問(wèn)卷的結(jié)果C.內(nèi)部審計(jì)師的正式的報(bào)告D.客戶(hù)安全團(tuán)隊(duì)的現(xiàn)場(chǎng)訪問(wèn)133.下面哪個(gè)最好的定義了身份管理架構(gòu)生命周期最后一個(gè)階段（）?A.Approval批準(zhǔn)B.Auditing審計(jì)(正確答案)C.Communication溝通D.Training培訓(xùn)134.下面哪一個(gè)將是與只提供VOIP服務(wù)的公司協(xié)商互聯(lián)網(wǎng)服務(wù)提供商(ISP)服務(wù)水平協(xié)議(SLA)的最重要的組成部分（）?A.確保吞吐量水平B.Qualityofservicebetweenapplications應(yīng)用程序間的服務(wù)質(zhì)量(QOS)C.Availabilityofnetworkservices網(wǎng)絡(luò)服務(wù)的可用性(正確答案)D.Responsetimetorepair維修響應(yīng)時(shí)間135.為什么國(guó)際數(shù)據(jù)傳輸是比較復(fù)雜的（）?A.一些國(guó)際簽署了國(guó)際公約B.一個(gè)國(guó)家司法的權(quán)限在所有司法管轄區(qū)執(zhí)行C.專(zhuān)利、版權(quán)和商業(yè)秘密法律不是標(biāo)準(zhǔn)的(正確答案)D.一個(gè)國(guó)家在一個(gè)司法管轄區(qū)執(zhí)行的權(quán)利應(yīng)用到所有管轄區(qū)136.基于角色的訪問(wèn)控制簡(jiǎn)化了用戶(hù)配置，因?yàn)椋ǎ?A.舊的訪問(wèn)控制規(guī)則可以被有效的處置B.新員工的訪問(wèn)基于預(yù)定義的規(guī)則列表C.員工訪問(wèn)可以基于職能或組織架構(gòu)來(lái)建立模型(正確答案)D.職責(zé)比職位的角色變更更加頻繁137.一個(gè)大的在線(xiàn)媒體組織通過(guò)防火墻、入侵檢測(cè)系統(tǒng)(IDS)和防病毒解決方案來(lái)進(jìn)行保護(hù)。懷疑發(fā)生了與公眾用戶(hù)賬戶(hù)相關(guān)的欺詐行為。下面哪個(gè)是確認(rèn)該欺詐的最好的解決方案（）?A.實(shí)施Web應(yīng)用程序級(jí)的日志(正確答案)B.常規(guī)檢查防火墻日志C.確認(rèn)Web服務(wù)器補(bǔ)丁是最新的D.實(shí)施所有用戶(hù)的強(qiáng)認(rèn)證138.下面哪個(gè)是在一個(gè)正確職貴分離的環(huán)境中可以兼容的職能（）?A.數(shù)據(jù)錄入和作業(yè)調(diào)度B.數(shù)據(jù)庫(kù)管理和系統(tǒng)安全C.系統(tǒng)分析和應(yīng)用編程(正確答案)D.安全管理和系統(tǒng)編程139.控制措施的成本大于風(fēng)險(xiǎn)的成本時(shí),應(yīng)如何控制風(fēng)險(xiǎn)（）?A.Reducetherisk降低風(fēng)險(xiǎn)B.Accepttherisk接受風(fēng)險(xiǎn)(正確答案)C.Performanotherriskanalysis執(zhí)行其他風(fēng)險(xiǎn)分析D.Rejecttherisk拒絕風(fēng)險(xiǎn)140.控制是實(shí)施用來(lái)（）?A.消除風(fēng)險(xiǎn),以及減少可能的損失B.緩解風(fēng)險(xiǎn),以及消除可能的損失C.緩解風(fēng)險(xiǎn),以及降低可能的損失(正確答案)D.消除風(fēng)險(xiǎn),以及消除可能的損失141.下列哪項(xiàng)不是技術(shù)控制（）?A.Identificationandauthenticationmethods標(biāo)識(shí)和身份驗(yàn)證方法B.Monitoringforphysicalintrusion物理入侵監(jiān)測(cè)(正確答案)C.IntrusionDetectionSystems入侵檢測(cè)系統(tǒng)D.Passwordandresourcemanagement密碼和資源管理142.一個(gè)來(lái)訪的計(jì)算機(jī)科學(xué)家發(fā)現(xiàn)了大學(xué)的大型主機(jī)中的錯(cuò)誤,可以使他們能夠收集其他用戶(hù),訪問(wèn)他們的文件,他們的賬單計(jì)算時(shí)間。在幾個(gè)星期內(nèi),他們搜集了大量的用戶(hù)ID,但從未訪問(wèn)他們的文件或票據(jù)的時(shí)間。臨走時(shí),科學(xué)家向同事揭示了這些發(fā)現(xiàn),同事匯報(bào)了這些發(fā)現(xiàn)。根據(jù)(ISC)2道德規(guī)范,以下那個(gè)是正確的（）?A.該行為是道德上中立,因?yàn)闆](méi)有人收到傷害,沒(méi)有侵犯隱私,沒(méi)有欺詐收費(fèi)時(shí)間。B.該行為道德上錯(cuò)誤,因?yàn)樵摽茖W(xué)家沒(méi)有馬上揭示系統(tǒng)錯(cuò)誤,來(lái)采取步驟消除漏洞(正確答案)C.該行為道德上是正確的,因?yàn)榭茖W(xué)家提供了系統(tǒng)缺陷的證據(jù),否則有可能未被發(fā)現(xiàn)。D.該行為道德上是錯(cuò)誤的,因?yàn)榭茖W(xué)家使得系統(tǒng)缺陷廣為人知,增加了系統(tǒng)進(jìn)一步濫用的可能性。143.下面哪項(xiàng)不是業(yè)務(wù)影響分析（BIA）的四個(gè)步驟之一（）?A.通知高級(jí)管理層B.收集需要的評(píng)估材料C.執(zhí)行漏洞評(píng)估D.分析編輯的信息E.以上都是BIA的步驟(正確答案)144.金融機(jī)構(gòu)的一個(gè)客戶(hù)拒絕承認(rèn)一個(gè)交易的發(fā)生。下面哪一個(gè)用來(lái)提供客戶(hù)執(zhí)行了交易的證據(jù)（）?A.授權(quán)控制B.雙因素認(rèn)證C.抗抵賴(lài)控制(正確答案)D.訪問(wèn)審計(jì)145.下面哪一個(gè)最好的保護(hù)了用來(lái)做應(yīng)急維護(hù)的供應(yīng)商賬戶(hù)（）?A.供應(yīng)商訪問(wèn)應(yīng)當(dāng)被禁止,需要時(shí)再打開(kāi)(正確答案)B.經(jīng)常監(jiān)控供應(yīng)商的訪問(wèn)C.基于角色的訪問(wèn)控制D.路由表加密146.（看視頻）國(guó)際數(shù)據(jù)加密算法（IDEA）加密標(biāo)準(zhǔn)實(shí)施了下面哪個(gè)選項(xiàng)（）?A.可變密鑰長(zhǎng)度加密B.分組加密(正確答案)C.數(shù)字簽名標(biāo)準(zhǔn)(DSS)D.數(shù)字簽名算法(DSA)147.在實(shí)施補(bǔ)丁管理程序時(shí),應(yīng)當(dāng)?shù)谝徊綀?zhí)行下面哪一項(xiàng)（）?A.執(zhí)行自動(dòng)補(bǔ)丁部署B(yǎng).監(jiān)控漏洞和威脅C.漏洞修補(bǔ)方案優(yōu)先級(jí)分級(jí)D.創(chuàng)建系統(tǒng)清單(正確答案)148.你有非常嚴(yán)格的物理訪問(wèn)控制。同時(shí)邏輯訪問(wèn)控制很寬松。這樣的設(shè)置下什么是正確的（）?A.所有選項(xiàng)都不對(duì)B.Itcan100%secureyourenvironment.你的環(huán)境是100%安全的C.它可以保護(hù)你的環(huán)境D.它不能保護(hù)你的環(huán)境(正確答案)149.下面哪個(gè)不是一個(gè)檢測(cè)性技術(shù)控制（）?A.Intrusiondetectionsystem入侵檢測(cè)系統(tǒng)B.Violationreports違規(guī)報(bào)告C.Honeypot蜜罐D(zhuǎn).Noneofthechoices.所有選項(xiàng)都不對(duì)(正確答案)150.業(yè)務(wù)連續(xù)性計(jì)劃是下面哪個(gè)控制的例子（）?A.糾正性控制(正確答案)B.檢測(cè)性控制C.預(yù)防性控制D.補(bǔ)償性控制151.誰(shuí)對(duì)在公網(wǎng)鏈路上傳輸數(shù)據(jù)的安全性和隱私性負(fù)責(zé)（）?A.Thecarrier運(yùn)營(yíng)商B.Thesending發(fā)送者(正確答案)C.Thereceivingparty接收者D.Thelocalserviceprovider本地服務(wù)商152.下面哪個(gè)最好的提供了電子郵件信息的真實(shí)性和機(jī)密性（）?A.使用發(fā)送者的公鑰簽名信息,并使用接收者的私鑰加密信息B.使用發(fā)送者的私鑰簽名信息,并使用接收者的公鑰加密信息(正確答案)C.使用接收者的私鑰簽名信息,并使用發(fā)送者的公鑰加密信息D.使用接受者的公鑰簽名信息,并使用發(fā)送者的私鑰加密信息153.下面哪個(gè)不是單向哈希函數(shù)的特性（）?A.它將一個(gè)固定長(zhǎng)度的消息轉(zhuǎn)換成任意長(zhǎng)度的消息摘要(正確答案)B.構(gòu)建兩個(gè)不同的消息,使其具有相同摘要,從計(jì)算上講是不可行的C.它將任意長(zhǎng)度的消息轉(zhuǎn)換成固定長(zhǎng)度的消息摘要D.給定一個(gè)摘要值,要發(fā)現(xiàn)相關(guān)的消息,從計(jì)算上講是不可行的154.56位加密是40位加密安全性的多少倍（）?A.16times16倍B.256times256倍C.32768times32768倍D.65,536times65536倍(正確答案)155.下面哪個(gè)是在設(shè)計(jì)災(zāi)難恢復(fù)計(jì)劃(DRP)時(shí),需要考慮的主要因素（）?A.備份程序,異地存儲(chǔ),和數(shù)據(jù)懨復(fù)B.指導(dǎo)委員會(huì),應(yīng)急響應(yīng)團(tuán)隊(duì)和重建團(tuán)隊(duì)C.影響評(píng)估,恢復(fù)戰(zhàn)略和測(cè)試(正確答案)D.保險(xiǎn)覆蓋,備份站點(diǎn)和人工程序156.系統(tǒng)開(kāi)發(fā)生命周期(SDLC)中安全認(rèn)可的任務(wù)是在哪個(gè)階段的結(jié)束時(shí)完成的（）?A.系統(tǒng)運(yùn)行和維護(hù)階段B.系統(tǒng)獲取和開(kāi)發(fā)階段C.系統(tǒng)實(shí)施階段(正確答案)D.系統(tǒng)啟動(dòng)階段157.下面哪個(gè)是檢查時(shí)間/使用時(shí)間(TOC/TOU)問(wèn)題的實(shí)例（）?A.已經(jīng)被撤銷(xiāo)概要的用戶(hù)使用系統(tǒng)有效用戶(hù)的密碼來(lái)登陸B(tài).用戶(hù)使用一個(gè)正確的概要登陸,該概要在撤銷(xiāo)時(shí)沒(méi)有終結(jié)會(huì)話(huà);(正確答案)C.用戶(hù)的概要撤銷(xiāo)后,用戶(hù)的會(huì)話(huà)立即終止;D.用戶(hù)會(huì)話(huà)沒(méi)有被驗(yàn)證,直到登陸以后158.下面哪一個(gè)關(guān)于在災(zāi)難發(fā)生并擾亂了組織的活動(dòng)后,如何處理媒體關(guān)系的描述是不正確的（）?A.在災(zāi)難時(shí),CEO應(yīng)該一直是公司的發(fā)言人(正確答案)B.災(zāi)難恢復(fù)計(jì)劃必須包括災(zāi)難發(fā)生時(shí)如何處理媒體關(guān)系C.組織的發(fā)言人應(yīng)該在媒體記者從另外的渠道了解之前,報(bào)告壞消息。D.應(yīng)當(dāng)提前規(guī)劃ー個(gè)緊急新聞發(fā)布會(huì)站點(diǎn)159.（看視頻）為了讓組織的安全策略有效,策略必須包括（）?A.對(duì)不合規(guī)的懲戒措施(正確答案)B.明確定義問(wèn)題的聲明C.所有適用于策略的標(biāo)準(zhǔn)的清單D.策略文檔的所有人和更新日期160.一家企業(yè)的文檔管理系統(tǒng)中對(duì)文檔實(shí)施了分級(jí)管理系統(tǒng),以下哪一項(xiàng)是保護(hù)分級(jí)文檔機(jī)密性的最佳控制（）?A.要求訪問(wèn)文檔系統(tǒng)的人員簽訂保密協(xié)議(NDA)B.使用入侵檢測(cè)系統(tǒng)(IDS)防止對(duì)文檔的未授權(quán)訪問(wèn)C.進(jìn)行日志評(píng)審,對(duì)發(fā)現(xiàn)的違規(guī)文檔訪問(wèn)進(jìn)行調(diào)查D.防止擁有高安全級(jí)別訪問(wèn)權(quán)限的人員將文檔保存到低安全級(jí)別區(qū)域(正確答案)161.以下哪種災(zāi)難恢復(fù)站點(diǎn)是最難進(jìn)行測(cè)試的（）?A.冗余站點(diǎn)B.熱站C.溫站D.冷站(正確答案)162.一位開(kāi)發(fā)人員具有可訪問(wèn)生產(chǎn)環(huán)境操作系統(tǒng)命令行的操作員權(quán)限。以下哪項(xiàng)控制最能檢測(cè)出對(duì)生產(chǎn)環(huán)境進(jìn)行的未經(jīng)授權(quán)的程序變更（）?A.記錄在命令行中輸入的命令。B.計(jì)算程序的哈希值,并與程序的最新授權(quán)版本的哈希鍵值進(jìn)行匹配。(正確答案)C.使用預(yù)先批準(zhǔn)的權(quán)限通過(guò)訪問(wèn)權(quán)限限制工具來(lái)授予訪問(wèn)操作系統(tǒng)命令行的權(quán)限。D.軟件開(kāi)發(fā)工具和編譯器已從生產(chǎn)環(huán)境中刪除。163.以下哪一項(xiàng)安全控制容易被合謀所破壞（）?A.雙因素驗(yàn)證B.崗位輪換C.職責(zé)分離(正確答案)D.最小授權(quán)164.應(yīng)用級(jí)代理防火墻的特點(diǎn)是（）?A.邏輯簡(jiǎn)單、成本低、易于安裝使用B.很難識(shí)別IP欺騙，安全性較低C.使用規(guī)則導(dǎo)致性能下降(正確答案)D.日志記錄有限,安全性較低答案解析：ABD是包過(guò)濾防火墻的特點(diǎn)165.網(wǎng)絡(luò)安全評(píng)估能起到什么作用（）?A.檢查網(wǎng)絡(luò)是否與行業(yè)標(biāo)準(zhǔn)相符合B.準(zhǔn)確衡量控制的有效性(正確答案)C.識(shí)別所有網(wǎng)絡(luò)中的漏洞D.防止?jié)B透測(cè)試導(dǎo)致網(wǎng)絡(luò)失效166.根據(jù)數(shù)據(jù)分級(jí)的策略,數(shù)據(jù)的所有者是（）?A.最終用戶(hù)B.業(yè)務(wù)經(jīng)理(正確答案)C.安全經(jīng)理D.IT主管167.測(cè)試BCP的恰當(dāng)時(shí)機(jī)是（）?A.當(dāng)環(huán)境發(fā)生變化時(shí)(正確答案)B.在進(jìn)行信息系統(tǒng)審計(jì)前C.在安裝了安全補(bǔ)丁后D.在新系統(tǒng)上線(xiàn)后168.對(duì)電子郵件進(jìn)行加密和簽名保障的是（）?A.不可抵賴(lài)、真實(shí)性、授權(quán)B.不可抵賴(lài)、機(jī)密性、授權(quán)C.機(jī)密性、真實(shí)性、授權(quán)D.機(jī)密性、不可抵賴(lài)、真實(shí)性(正確答案)169.檢測(cè)到一個(gè)用戶(hù)帳號(hào)在幾分鐘內(nèi)有近300次嘗試登錄失敗,抓包分析發(fā)現(xiàn)每次嘗試登錄使用的是不同的密碼。這最有可能是（）?A.木馬安裝的后門(mén)B.分布式拒絕服務(wù)攻擊(DDOS)C.字典攻擊(正確答案)D.篡改攻擊170.應(yīng)對(duì)IDS告警的第一步是（）?A.停用或斷網(wǎng)受攻擊的系統(tǒng)B.激活連續(xù)性計(jì)劃C.驗(yàn)證威脅并確定攻擊的范圍(正確答案)D.確定流量來(lái)源并阻止相關(guān)端口171.以下哪一項(xiàng)是關(guān)于信息安全管理體系(ISMS)的標(biāo)準(zhǔn)或指引（）?A.ITILB.COBITC.ISO/IEC20000D.ISO/EC27000系列(正確答案)172.軟件工程師編寫(xiě)了一個(gè)能生成多態(tài)病毒的工具,用于在受控的環(huán)境下測(cè)試公司的病毒掃描工具。該行為是（）?A.道德的,因?yàn)檫@個(gè)工具有助于驗(yàn)證病毒掃描工具的有效性(正確答案)B.道德的,因?yàn)槿魏斡薪?jīng)驗(yàn)的程序員都能夠創(chuàng)建這樣的工具C.不道德,因?yàn)樵摴ぞ哂锌赡鼙粋鞑サ交ヂ?lián)網(wǎng)上D.不道德,因?yàn)樯扇魏畏N類(lèi)的病毒都是有害的173.評(píng)價(jià)組織的漏洞管理程序是否有效的最佳方法是（）?A.自動(dòng)漏洞掃描B.評(píng)審自動(dòng)補(bǔ)丁部署報(bào)告C.定期由安全團(tuán)隊(duì)進(jìn)行漏洞掃描D.定期進(jìn)行第三方漏洞評(píng)估(正確答案)174.在BCP/DRP測(cè)試中,功能測(cè)試指的是（）?A.職能團(tuán)隊(duì)的人員疏散撤離B.激活備用站點(diǎn)的測(cè)試C.全面的模擬緊急情況及后續(xù)響應(yīng)功能D由響