CISSP考試練習(習題卷26)

試卷科目：CISSP考試練習CISSP考試練習(習題卷26)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考試練習第1部分：單項選擇題，共100題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.5.TheTrustedComputerSecurityEvaluationCriteria(TBSEC)provides可信計算機系統(tǒng)評估準則(TCSEC)提供A)abasisforassessingtheeffectivenessofsecuritycontrolsbultintoautomaticdata-processingsystemproducts評估內置到自動數據處理系統(tǒng)產品的安全控制的有效性的基礎B)asystemanalyslsandpenetrationtechniquewherespeclfcationsanddocumentforthesystemareanalyzed.在系統(tǒng)規(guī)范和文檔進行分析的地方提供系統(tǒng)分析和滲透技術C)aformalstatictransitionmodelofcomputersecuritypolicythatdescribesasetofaccesscontrolules.計算機安全策略的正式的靜志轉換模型,用于描述一組訪問控制規(guī)則D)ameansofrestrictingaccesstoobjectsbasedontheidentityofsublectsandgroupstowhichtheybelong."基于主體的身份和所屬的組別提供一種限制訪問客體的方法答案:A解析:TBSEC提供了用于評估安全產品的指南。TBSEC指南處理了基本的安全功能,并允許評估人員度量和,評估系統(tǒng)的功能以及系統(tǒng)的可靠性。功能和保證是結合在一起的,而不是分開的,就像后面開發(fā)的標準一樣。TCSEC指南可用于評估供應商產品,或由供應商設計必要的功能到新產品中。[單選題]2.Aretailcompanyislookingtostartadevelopmentprojectthatwillutilizeopensourcecomponentsinitscodeforthefirsttime.Thedevelopmentteamhasalreadyacquiredseveral'opensourcecomponentsandutilizedtheminproofofconcept（POC）code.Theteamrecognizesthatthelegalandoperationalrisksareoutweighedbythebenefitsofopen-sourcesoftwareuse.WhatMUSTtheorganizationdonext?一家零售公司正在尋求啟動一個開發(fā)項目，該項目將首次在其代碼中使用開源組件。開發(fā)團隊已經獲得了幾個開源組件，并將它們用于概念驗證（POC）代碼中。該團隊認識到，使用開源軟件的好處超過了法律和運營風險。組織接下來必須做什么？A)Mandatethatallopen-sourcecomponentsbeapprovedbytheInformationSecurityManager（ISM）.要求所有開放源碼組件都要經過信息安全經理（ISM）的批準。B)Scanallopen-sourcecomponentsforsecurityvulnerabilities.掃描所有開源組件的安全漏洞。C)Establishanopen-sourcecompliancepolicy.制定開源合規(guī)政策。D)Requirecommercialsupportforallopen-sourcecomponents.需要所有開源組件的商業(yè)支持。答案:C解析:[單選題]3.以下哪一項不是磁帶備份的性質或問題？A)-個大的磁盤使用多個磁盤創(chuàng)建B)在備份和恢復期間數據傳輸緩慢C)服務器磁盤空間利用率擴展D)可能需要一些數據重新輸入。答案:A解析:<p>Thecorrectansweris"Onelargediskcreatedbyusingseveraldisks".RAIDlevel0stripingistheprocessofcreatingalargediskoutofseveralsmallerdisks.</p>[單選題]4.Acompanyhiredanexternalvendortoperformapenetrationtestofanewpayrollsystem.Thecompany'sinternaltestteamhadalreadyperformedanin-depthapplicationandsecuritytestofthesystemanddeterminedthatitmetsecurityrequirements.However,theexternalvendoruncoveredsignificantsecurityweaknesseswheresensitivepersonaldatawasbeingsentunencryptedtothetaxprocessingsystems.WhatistheMOSTlikelycauseofthesecurityissues?一家公司雇傭了一家外部供應商對一個新的工資系統(tǒng)進行滲透測試。該公司的內部測試團隊已經對該系統(tǒng)進行了深入的應用和安全測試，并確定其符合安全要求。然而，外部供應商發(fā)現(xiàn)了重大的安全漏洞，即未加密的敏感個人數據被發(fā)送到稅務處理系統(tǒng)。安全問題最可能的原因是什么？A)Failuretoperforminterfacetesting未能執(zhí)行接口測試B)Failuretoperformnegativetesting未能執(zhí)行陰性測試C)Inadequateperformancetesting性能測試不足D)Inadequateapplicationleveltesting應用程序級別測試不足答案:A解析:[單選題]5.在對應用程序進行100%覆蓋的自動功能測試后,最可能存在哪種類型的錯誤?A)業(yè)務邏輯錯誤B)輸入驗證錯誤C)運行時錯誤D)錯誤處理錯誤答案:A解析:業(yè)務邏輯錯誤最可能在自動功能測試時被漏掉。如果進行了完整覆蓋代碼測試,運行時錯誤、輸入驗證錯誤和錯誤處理問題很可能已經被自動化測試發(fā)現(xiàn)。任何自動化系統(tǒng)更可能會錯過業(yè)務邏輯錯誤,因為人們通常需要了解業(yè)務邏輯問題。Businesslogicerrorsaremostlikelytobemissedbyautomatedfunctionaltesting.Ifacompletecoveragecodetestwasconducted,runtime,inputvalidation,anderrorhandlingissuesarelikelytohavebeendiscoveredbyautomatedtesting.Anyautomatedsystemismorelikelytomissbusinesslogicerrors,becausehumansaretypicallynecessarytounderstandbusinesslogicissues.[單選題]6.Afterfollowingtheprocessesdefinedwithinthechangemanagementplan,asuperuserhasupgradedadevicewithinanInformationsystem.WhatstepwouldbetakentoensurethattheupgradedidNOTaffectthenetworksecurityposture?遵循變更管理計劃中定義的流程后，超級用戶升級了信息系統(tǒng)中的設備。將采取什么步驟來確保升級不會影響網絡安全態(tài)勢？A)ConductanAssessmentandAuthorization（A&A）進行評估和授權（A＆A）B)Conductasecurityimpactanalysis進行安全影響分析C)Reviewtheresultsofthemostrecentvulnerabilityscan查看最新漏洞掃描的結果D)Conductagapanalysiswiththebaselineconfiguration與基線配置進行差距分析答案:B解析:[單選題]7.如果一個公司有一個名稱的數據錄入輸入員，那么發(fā)布有一個輸入錯誤，其?用戶錯誤?的威脅年發(fā)生率是多少？A)1200B)1C)120D)100答案:A解析:<p>如果100個文員中的每個人每年犯12次錯誤；它總共產生1200個錯誤。年化發(fā)生率(ARO)是一個值，表示預計威脅發(fā)生的估計<br/>頻率。范圍可以從0.0到一個很大的<br/>數字。每年平均有1200個錯誤意味著ARO為1200。</p>[單選題]8.TheorganizationwouldliketodeployanauthorizationmechanismforanInformationTechnology（IT）infrastructureprojectwithhighemployeeturnover.Whichaccesscontrolmechanismwouldbepreferred?該組織希望為員工流動率高的信息技術（IT）基礎設施項目部署授權機制。首選哪種訪問控制機制？A)AttributeBasedAccessControl（ABAC）基于屬性的訪問控制（ABAC）B)DiscretionaryAccessControl（DAC）自主訪問控制（DAC）C)MandatoryAccessControl（MAC）強制訪問控制（MAC）D)Role-BasedAccessControl（RBAC）基于角色的訪問控制（RBAC）答案:D解析:[單選題]9.IncludingaTrustedPlatformModule（TPM）inthedesignofacomputersystemisanexampleofatechniquetowhat?在計算機系統(tǒng)的設計中包含可信平臺模塊（TPM）是一種什么技術的示例？A)InterfacewiththePublicKeyInfrastructure（PKI）與公鑰基礎設施（PKI）的接口B)Improvethequalityofsecuritysoftware提高安全軟件的質量C)PreventDenialofService（DoS）attacks防止拒絕服務（DoS）攻擊D)Establishasecureinitialstate建立安全的初始狀態(tài)答案:D解析:[單選題]10.以下哪個過程的主要目的是識別過時的軟件版本、缺失的補丁和失效的系統(tǒng)更新?A)滲透測試B)漏洞管理C)軟件開發(fā)生命周期(SDLC)D)生命周期管理答案:B解析:[單選題]11.實施最小特權原則的最終結果是指？A)用戶可以訪問所有系統(tǒng)。B)用戶只能訪問他們需要知道的信息。C)當用戶職位改變時，會得到新增的特權D)授權蠕變答案:B解析:<p>Theprincipleofleastprivilegereferstoallowinguserstohaveonlytheaccesstheyneedandnotanythingmore.Thus,certainusersmayhavenoneedtoaccessanyofthefilesonspecificsystems.</p>[單選題]12.下列哪個訪問控制模型根據環(huán)境和情況決定訪問?A)基于風險的訪問控制B)強制訪問控制(MAC)C)RBAC(Role-BasedAccessControl)D)基于屬性的訪問控制(ABAC)答案:A解析:A.基于風險的訪問控制模型評估環(huán)境和情況,然后根據編碼策略做出訪問決策。MAC模型使用標簽授權訪問。RBAC模型使用定義良好的命名作業(yè)角色集合進行訪問控制。管理員向每個工作角色授予執(zhí)行其工作所需的特權。ABAC模型使用屬性來授權訪問,常用于軟件定義網絡(sdn)。[單選題]13.(04143)在變更生產系統(tǒng)的數據庫模式時，應該執(zhí)行以下哪些活動？A)在開發(fā)環(huán)境構建變更，進行用戶驗收測試，制定回退策略，在生產環(huán)境實施變更B)在開發(fā)環(huán)境構建變更，進行用戶驗收測試，制定回退策略，在生產環(huán)境實施變更C)在開發(fā)環(huán)境構建變更，進行用戶驗收測試，制定回退策略，在生產環(huán)境實施變更D)在開發(fā)環(huán)境構建變更，進行用戶驗收測試，制定回退策略，在生產環(huán)境實施變更答案:C解析:[單選題]14.(04126)封裝安全載荷(ESP)能提供？A)可用性和完整性B)可用性和完整性C)可用性和完整性D)可用性和完整性答案:B解析:[單選題]15.在什么類型的軟件許可下,軟件接收者具有復制,修改,分發(fā)或轉售軟件包的無限權利?A)GNU公共許可證B)免費軟件C)開源D)公共域答案:D解析:[單選題]16.以下哪項是使用靜態(tài)身份驗證的遠程訪問協(xié)議?A)一個。點對點隧道協(xié)議(PPTP)B)路由信息協(xié)議C)密碼身份驗證協(xié)議(PAP)D)質詢握手身份驗證協(xié)議(CHAP)答案:C解析:[單選題]17.關于點到點微波傳輸的正確的說法是？A)因為采用了多路復用技術,所以不容易被藍劫偵聽。B)因為有加密,所以不容易被攔截偵聽C)容易被攔截偵聽D)是否被攔截偵聽取決于信號強度答案:C解析:略章節(jié)：模擬考試202201[單選題]18.如果要實現(xiàn)系統(tǒng)的可破碎性，下面哪條是需要的？A)文檔中的通用準則B)授權C)系統(tǒng)設計的形式化驗證D)審計機制答案:D解析:<p>是一種能夠跟蹤用戶動作的手段。通過使用審計日志和其他工具<br/>記錄用戶操作，并在以后用于驗證執(zhí)行了哪些操作。<br/>責任是識別用戶和能夠跟蹤用戶操作。</p>[單選題]19.(04042)Byexaminingthe"state"and"context"oftheincomingdatapackets,ithelpstotracktheprotocolsthatareconsidered"connectionless",suchasUDP-basedapplicationsandRemoteProcedureCalls(RPC)Thistypeoffirewallsystemisusedin?通過檢查進入的數據包?狀態(tài)?和?上下文?，它有助于跟蹤被認為是?無連接?的協(xié)議，比如基于UDP的應用程序和遠程過程調用（RPC）。這種類型的防火墻系統(tǒng)中是？A)Firstgenerationfirewallsystems.第一代防火墻系統(tǒng)B)Firstgenerationfirewallsystems.第一代防火墻系統(tǒng)C)Firstgenerationfirewallsystems.第一代防火墻系統(tǒng)D)Firstgenerationfirewallsystems.第一代防火墻系統(tǒng)答案:D解析:[單選題]20.Alan正在考慮在其組織中使用新的身份證,用于物理訪問控制。他看到一種樣品卡,但不確定該卡使用的技術。因此他打開卡片,看到了以下內部結構。這是什么類型的卡?A)智能卡B)感應卡C)磁條D)相二卡答案:B解析:在卡內使用電磁線圈表示這是一個感應卡。、Theuseofaneletcromagneticcoilinsidethecardindicatesthatthisisaproximitycard.[單選題]21.當程序處于特權模式時,以下哪一個是潛在風險?A)它可能有助于創(chuàng)建不必要的代碼復雜性B)它不得執(zhí)行工作離職職責C)它可能會創(chuàng)建不必要的應用硬化D)它可能允許插入惡意代碼答案:D解析:[單選題]22.(04129)以下哪一項最有效地防止電子郵件欺騙？A)加密簽名B)加密簽名C)加密簽名D)加密簽名答案:B解析:[單選題]23.Asusersswitchroleswithinanorganization,theiraccountsaregivenadditionalpermissionstoperformthedutiesoftheirnewposition.Afterarecentaudit,itwasdiscoveredthatmanyoftheseaccountsmaintainedtheiroldpermissionsaswell.Theobsoletepermissionsidentifiedbytheaudithavebeenremediatedandaccountshaveonlytheappropriatepermissionstocompletetheirjobs.WhichofthefollowingistheBESTwaytopreventaccessprivilegecreep?當用戶在組織內切換角色時，他們的帳戶將被授予執(zhí)行其新職位職責的額外權限。在最近的一次審核后，發(fā)現(xiàn)其中許多帳戶也保留了其舊權限。已修復審核確定的過時權限，并且?guī)糁挥型瓿善渥鳂I(yè)的適當權限。以下哪項是防止訪問權限蠕變的最佳方法？A)ImplementingIdentityandAccessManagement（IAM）solution實施身份和訪問管理（IAM）解決方案B)Time-basedreviewandcertification基于時間的審查和認證C)Internetaudit互聯(lián)網審計D)Trigger-basedreviewandcertification基于觸發(fā)器的審查和認證答案:A解析:[單選題]24.下列哪項可以被定義為過程中重新運行測試場景或測試計劃的一部分，以確保更改或修正沒有引入新的錯誤？A)單元測試B)并行測試C)回歸測試D)引導測試答案:C解析:[單選題]25.TheMAINtaskofpromotingsecurityforPersonalComputers（PC）is促進個人電腦（PC）安全的主要任務是A)understandingthetechnicalcontrolsandensuringtheyarecorrectlyinstalled.了解技術控制裝置并確保其正確安裝。B)understandingtherequiredsystemsandpatchingprocessesfordifferentOperatingSystems（OS）.了解不同操作系統(tǒng)（OS）所需的系統(tǒng)和修補過程。C)makingsurethatusersareusingonlyvalid,authorizedsoftware,sothatthechanceofvirusinfection確保用戶只使用有效的、經授權的軟件，以防止病毒感染D)makingusersunderstandtheriskstothemachinesanddata,sotheywilltakeappropriatestepstoprojectthem.讓用戶了解機器和數據的風險，以便他們采取適當的步驟進行預測。答案:C解析:[單選題]26.Alargeorganization'shumanresourcesandsecurityteamsareplanningonimplementingtechnologytoeliminatemanualuseraccessreviewsandimprovecompliance.WhichofthefollowingoptionsisMOSTlikelytoresolvetheissuesassociatedwithuseraccess?一家大型組織的人力資源和安全團隊正在計劃實施技術，以消除手動用戶訪問審查并提高法規(guī)遵從性。以下哪個選項最有可能解決與用戶訪問相關的問題？A)Implementarole-basedaccesscontrol（RBAC）system.實現(xiàn)基于角色的訪問控制（RBAC）系統(tǒng)。B)Implementidentityandaccessmanagement（IAM）platform.實施身份和訪問管理（IAM）平臺。C)ImplementaPrivilegedAccessManagement（PAM）system.實施特權訪問管理（PAM）系統(tǒng)。D)Implementasinglesign-on（SSO）platform.實現(xiàn)單點登錄（SSO）平臺。答案:B解析:[單選題]27.以下哪項必須成為支持電子發(fā)現(xiàn)存儲在云環(huán)境中的數據的合同的一部分？A)與組織目錄服務集成以進行身份驗證B)數據的標記C)混合部署模式D)識別數據位置答案:D解析:略章節(jié)：模擬考試202201[單選題]28.一名安全團隊成員被選為組織變更控制委員會(CCB)的成員。以下哪一項是他們的職責之一?AsecurityteammemberwasselectedasamemberofaChangeControlBoard(CCB)foranorganization.Whichofthefollowingisoneoftheirresponsibilities?A)執(zhí)行請求的更改CarryingouttherequestedchangeB)批準或不批準變更ApprovingordisapprovingthechangeC)記錄更改LoggingthechangeD)確定變更的影響Determiningtheimpactofthechange答案:D解析:[單選題]29.在考慮了避免可能的數據暴露和敏感數據泄漏情況下，下面哪項提供了最好的壓力測試環(huán)境？A)測試環(huán)境使用凈化的、實時的工作負載數據B)生產環(huán)境中使用的測試數據C)生產環(huán)境中使用凈化的、實時的工作負載數據D)測試環(huán)境中使用的測試數據答案:A解析:[單選題]30.(04005)Whattypeofsubsystemisanapplicationprogramthatoperatesoutsidetheoperatingsystemandcarriesoutfunctionsforagroupofusers,maintainssomecommondataforallusersinthegroup,andprotectsthedatafromimproperaccessbyusersinthegroup?什么類型的子系統(tǒng)是操作系統(tǒng)之外運行的應用程序，并為一組用戶執(zhí)行一些功能，為組中的所有用戶維護一些常見的數據，并防止組中的用戶不正當訪問數據？A)Preventedsubsystem阻止子系統(tǒng)B)Preventedsubsystem阻止子系統(tǒng)C)Preventedsubsystem阻止子系統(tǒng)D)Preventedsubsystem阻止子系統(tǒng)答案:B解析:[單選題]31.Rick最近聘請了他所在組織的每個業(yè)務部門的關鍵員工,要求他們在安全意識計劃方面提供挾制。他們將負責與同事分享安全信息,并回答有關網絡安全問題的問題。以下哪項術語最能描述這種關系?Rickrecentlyengagedcriticalemployeesineachofhisorganization'sbusinessunitstoaskfortheirassistancewithhissecurityawarenessprogram.Theywillberesponsibleforsharingsecuritymessageswiththeirpeersandansweringquestionsaboutcybersecuritymatters.Whattermbestdescribesthisrelationship?A)安全捍衛(wèi)者SecuritychampionB)安全專家SecurityexpertC)游戲化GamificationD)同行評審Peerreview答案:A解析:這是一個安全捍衛(wèi)者計劃的示例,該計劃使用在業(yè)務部門中擔任其他角色的個人來分享安全消息。擔任這些角色的個人不一定是安全專家,也沒有同行評審的角色。[單選題]32.那種路由協(xié)議能抵御DDOS攻擊A)鏈路狀態(tài)B)BGPC)靜態(tài)D)彈性答案:B解析:略章節(jié)：模擬考試202201[單選題]33.Anetworksecurityengineerneedstoensurethatasecuritysolutionanalyzestrafficforprotocolmanipulationandvarioussortsofcommonattacks.Inaddition,allUniformResourceLocator（URL）trafficmustbeinspectedanduserspreventedfrombrowsinginappropriatewebsites.Whichofthefollowingsolutionsshouldbeimplementedtoenableadministratorsthecapabilitytoanalyzetraffic,blacklistexternalsites,andlogusertrafficforlateranalysis?A)Intrusiondetectionsystem（IDS）B)Circuit-LevelProxyC)Application-LevelProxyD)Host-basedFirewall答案:B解析:[單選題]34.Gary正在分析一個安全事故，在他的調查期間，他發(fā)現(xiàn)有一個用戶否認他曾做的事。根據STRIDE模型，此時發(fā)生了什么類型的威脅？A)否認B)信息泄露C)篡改D)特權提升答案:A解析:略章節(jié)：模擬考試202201[單選題]35.(04110)HowdoesaHostBasedIntrusionDetectionSystem(HIDS)identifyapotentialattack?基于主機的入侵檢測HIDS是如何識別可能的攻擊的？A)ExaminestheAccessControlList(ACL)檢查訪問控制列表ACLB)ExaminestheAccessControlList(ACL)檢查訪問控制列表ACLC)ExaminestheAccessControlList(ACL)檢查訪問控制列表ACLD)ExaminestheAccessControlList(ACL)檢查訪問控制列表ACL答案:A解析:[單選題]36.使用正式的安全測試報告格式和結構的主要好處是什么?A)執(zhí)行受眾將了解測試結果以及采取糾正措施的最適當后續(xù)步驟B)技術團隊將了解與每個漏洞相關的測試目標、應用的測試策略以及業(yè)務風險C)管理團隊將了解測試目標和對組織的聲譽風險D)技術和管理團隊將更好地了解測試目標、每個測試階段的結果以及潛在的影響級別答案:D解析:[單選題]37.InorderforapplicationdeveloperstodetectpotentialvulnerabilitiesearlierduringtheSoftwareDevelopmentLifeCycle（SDLC）,whichofthefollowingsafeguardsshouldbeimplementedFIRSTaspartofacomprehensivetestingframework?為了讓應用程序開發(fā)人員在軟件開發(fā)生命周期（SDLC）中更早地檢測到潛在的漏洞，作為綜合測試框架的一部分，應首先實施以下哪項保障措施？A)Sourcecodereview源代碼審計B)Acceptancetesting驗收測試C)Threatmodeling威脅建模D)Automatedtesting自動測試答案:A解析:[單選題]38.Point-to-PointProtocol（PPP）wasdesignedtospecificallyaddresswhatissue?點對點協(xié)議（PPP）旨在專門解決什么問題？A)Acommondesignflawintelephonemodems電話調制解調器中的一個常見設計缺陷B)Speedandreliabilityissuesbetweendial-upusersandInternetServiceProviders（ISP）.撥號用戶和互聯(lián)網服務提供商（ISP）之間的速度和可靠性問題。C)Compatibilityissueswithpersonalcomputersandwebbrowsers與個人計算機和web瀏覽器的兼容性問題D)Thesecurityofdial-upconnectionstoremotenetworks遠程網絡撥號連接的安全性答案:B解析:[單選題]39.哪個安全訪問策略包含系統(tǒng)用于確定用戶訪問文件或對象的固定安全屬性?A)強制性訪問控制(MAC)B)訪問控制列表(ACL)C)自由訪問控制(DAC)D)授權用戶控制答案:A解析:[單選題]40.在一個變更控制環(huán)境中，下一個選項降低了在生產狀態(tài)中適當變更源程序的保證？A)變更授權B)變更測試C)程序員的訪問D)變更的文檔答案:C解析:[單選題]41.請參閱下面的信息來回答問題。在多級安全(MLS)系統(tǒng)中,以下敏感性標簽用于提高敏感度:受限、機密、機密、最高機密。表A列出了四個用戶的清除級別,而表B列出了四個不同文件的安全級別。在貝爾-拉帕杜拉系統(tǒng)中,哪個用戶在將數據寫入四個文件中的任何一個時具有最強的限制?A)用戶AB)用戶BC)用戶CD)用戶D答案:D解析:[單選題]42.(04098)WhatMUSTthesoftwaredeveloperdowhenasecuritybugisfoundduringaunittest?當在單元測試中發(fā)現(xiàn)了一個安全漏洞時，軟件開發(fā)人員必須要做下面哪項？A)Performacomprehensivepeerreview執(zhí)行一個全面的同行評審B)Performacomprehensivepeerreview執(zhí)行一個全面的同行評審C)Performacomprehensivepeerreview執(zhí)行一個全面的同行評審D)Performacomprehensivepeerreview執(zhí)行一個全面的同行評審答案:A解析:[單選題]43.Inalargecompany,asystemadministratorneedstoassignusersaccesstofilesusingRoleBasedAccessControl（RBAC）.WhichoptionIsanexampleofRBAC?在大型公司中，系統(tǒng)管理員需要使用基于角色的訪問控制（RBAC）為用戶分配對文件的訪問權限。哪個選項是RBAC的一個示例？A)Mowingusersaccesstofilesbasedontheirgroupmembership割草用戶基于其組成員身份訪問文件B)Allowingusersaccesstofilesbasedonusername允許用戶基于用戶名訪問文件C)Allowingusersaccesstofilesbasedontheuserslocationattimeofaccess允許用戶根據訪問時的用戶位置訪問文件D)Allowingusersaccesstofilesbasedonthefiletype允許用戶根據文件類型訪問文件答案:A解析:[單選題]44.Yasmine被要求考慮入侵和攻擊模擬系統(tǒng)。她應該尋找什么類型的系統(tǒng)?Yasminehasbeenaskedtoconsiderabreachandattacksimulationsystem.Whattypeofsystemshouldshelookfor?A)旨在幫助管理事件的票證和變更管理系統(tǒng)AticketandchangemanagementsystemdesignedtohelpmanageincidentsB)為藍隊運行事件響應模擬以測試他們技能的系統(tǒng)AsystemthatrunsincidentresponsesimulationsforblueteamstotesttheirskillsC)將紅隊和藍隊技術與自動化相結合的系統(tǒng)AsystemthatcombinesredandblueteamtechniqueswithautomationD)安全操作和響應(SOAR)系統(tǒng)Asecurityoperationsandresponse(SOAR)system答案:C解析:BAS(入侵和攻擊模擬系統(tǒng)),是將紅隊和藍隊技術與自動化相結合的系統(tǒng),用于模擬針對你的環(huán)境運行的高級持續(xù)威脅和其他高級威脅參與者。這允許在一個環(huán)境中復制和評估各種威脅,而無需像人員配備齊全的紫色團隊那樣多的開銷。[單選題]45.Whointheorganizationisaccountableforclassificationofdatainformationassets?組織中誰負責數據信息資產的分類？A)Dataowner數據擁有者B)Dataarchitect數據架構師C)ChiefInformationSecurityOfficer（CISO）首席信息安全官（CISO）D)ChiefInformationOfficer（CIO）首席信息官（CIO）答案:A解析:[單選題]46.軟件能力成熟度模型(SW-CMM)在哪個階段用量化策略獲得對軟件開發(fā)過程的詳細了解？A)可重復級B)定義級C)管理級D)優(yōu)化級答案:C解析:優(yōu)化級使用了量化[單選題]47.Jerome正在進行取證調查,并正在審查數據庫服務器日志以調查查詢內容,來找出SQL注入攻擊的證據。他執(zhí)行什么類型的分析?A)硬件分析B)軟件分析C)網絡分析D)介質分析答案:B解析:應用程序日志的分析是軟件分析的核心任務之一,因為SQL注入攻擊就是應用程序攻擊[單選題]48.Assumethatacomputerwaspoweredoffwhenaninformationsecurityprofessionalarrivedatacrimescene.Whichofthefollowingactionsshouldbeperformedafterthecrimesceneisisolated?假設當信息安全專業(yè)人員到達犯罪現(xiàn)場時，計算機斷電。在隔離犯罪現(xiàn)場后，應執(zhí)行以下哪些操作？A)Turnthecomputeronandcollectvolatiledata.打開計算機并收集易失性數據。B)Turnthecomputeronandcollectnetworkinformation.打開電腦并收集網絡信息。C)Leavethecomputeroffandpreparethecomputerfortransportationtothelaboratory關閉計算機，準備將計算機運送到實驗室D)Removetheharddrive,prepareitfortransportation,andleavethehardwaretathescene.卸下硬盤驅動器，準備運輸，并將硬件ta留在現(xiàn)場。答案:C解析:[單選題]49.Inadataclassificationscheme,thedataisownedbythe在數據分類方案中，數據由A)systemsecuritymanagers系統(tǒng)安全管理器B)businessmanagers企業(yè)管理者C)InformationTechnology（IT）managers信息技術（IT）經理D)endusers最終用戶答案:B解析:[單選題]50.來自威脅的年份損失預期怎么計算？A)年發(fā)生率X（災難一暴露因子）B)資產價值X暴露因子C)顯式損失/顯式因子D)意外損失X年發(fā)生率答案:D解析:<p>單次損失預期x年化發(fā)生率。</p>[單選題]51.在漏洞評估期間,以下哪些活動最有可能被執(zhí)行?WhichofthefollowingactivitiesisMOSTlikelytobeperformedduringavulnerabilityassessment?A)建立來訪者身份驗證程序去驗證用戶身份Establishcallerauthenticationprocedurestoverifytheidentitiesofusers.B)通過與相關方進行面談來分析環(huán)境Analyzetheenvironmentbyconductinginterviewsessionswithrelevantparties.C)把不合規(guī)方式訪問的例外情況記錄為策略Documentpolicyexceptionsrequiredtoaccesssystemsinnon-compliantareas.D)審查漏洞評估團隊或供應商的專業(yè)證書Reviewprofessorialcredentialsofthevulnerabilityassessmentteamorvendor.答案:D解析:[單選題]52.Whyisasystem'scriticalityclassificationimportantinlargeorganizations?為什么系統(tǒng)的關鍵性分類在大型組織中很重要？A)Itprovidesforproperprioritizationandschedulingofsecurityandmaintenancetasks.它規(guī)定了安全和維護任務的適當優(yōu)先級和計劃。B)Itreducescriticalsystemsupportworkloadandreducesthetimerequiredtoapplypatches.它減少了關鍵的系統(tǒng)支持工作量，并減少了應用修補程序所需的時間。C)Itallowsforclearsystemsstatuscommunicationstoexecutivemanagement.它允許與執(zhí)行管理層進行清晰的系統(tǒng)狀態(tài)通信。D)Itprovidesforeasierdeterminationofownership,reducingconfusionastothestatusoftheasset.它可以更容易地確定所有權，減少對資產狀態(tài)的混淆。答案:A解析:[單選題]53.知識產權主要關注l以下哪一項?A)一個。所有者實現(xiàn)經濟收益的能力B)所有者維護版權的能力C)所有者享受其創(chuàng)作的權利D)所有者控制交付方式的權利答案:D解析:[單選題]54.一個組織發(fā)現(xiàn)用戶使用匿名代理訪問未經授權的網站。以下哪一個是最好的A)從代理中刪除匿名B)分析代理請求的互聯(lián)網協(xié)議(IP)流量C)禁用防火墻上的代理服務器D)阻止已知匿名代理的互聯(lián)網協(xié)議(IP)地址答案:C解析:[單選題]55.Ben的團隊正在嘗試對由使用多臺服務器共享的對稱密鑰引起的事務識別問題進行分類。這應該屬于哪個STRIDE類別?A)信息披露B)拒絕服務C)篡改D)否認答案:D解析:由于共享對稱密鑰可以被任何服務器使用,由共享密鑰引起的交易識別問題很可能涉及否認問題。如果加密交易不能由服務器唯一標識,則無法證明它們來自特定服務器。[單選題]56.Anengineerinasoftwarecompanyhascreatedaviruscreationtool.Thetoolcangeneratethousandsofpolymorhicviruses.Theengineerisplanningtousethetoolinacontrolledenvironmenttotestthecompany'snextgenerationvirusscanningsoftware.WhichwouldBESTdescribethebehavioroftheengineerandwhy?A)Thebehaviorisnotethicalbecausecreatinganykindofvirusisbad.B)Thebehaviorisethicalbecausethetoolwillbeusedtocreateabettervirusscanner.C)ThebehaviorisnotethicalbecausesuchatoolcouldbeleakedontheInternet.D)Thebehaviorisethicalbecauseanyexperiencedprogrammercouldcreatesuchatool.答案:B解析:[單選題]57.Michaeldevelopedadataclassificationsystemforhiscompany,sowhatshouldhedofirst?Michael為他的公司開發(fā)了個數據分類體系,那么他應當首先做什么?A)Understandthedifferentlevelsofprotectionthatmustbeprovided.了解必須提供的不同的保護級別有哪些B)Definedataclassificationcriteria.定義數據分類標準C)ldentifydatacustodians.識別數據管理員D)Determinetheprotectionmechanismforeachclassificationlevel.為每個分類級別確定保護機制答案:A解析:[單選題]58.衛(wèi)星技術提供各種服務,例如電信,廣播和數據通信。通過衛(wèi)星群(星座)提供互聯(lián)網訪問的商業(yè)產品正在興起。下面哪一個是不正確的?A)衛(wèi)星會導致光污染和太空碎片。B)將衛(wèi)星探測在地球靜止軌道(地球靜止軌道)上,以減少延遲(延遲)。C)衛(wèi)星使用轉發(fā)器(transponders)或收發(fā)器(transceivers)來接收和轉發(fā)信號。D)自由空間光通信(自由空間光通信)可用于衛(wèi)星間通信。答案:B解析:[單選題]59.Whenperforminganinvestigationwiththepotentialforlegalaction,whatshouldbetheanalyst'sFIRSTconsideration?當進行可能采取法律行動的調查時，分析員應首先考慮什么？A)Chain-of-custody產銷監(jiān)管鏈B)Authorizationtocollect收款授權書C)Courtadmissibility法院受理D)Datadecryption數據解密答案:A解析:[單選題]60.(04150)基于角色的訪問控制(RBAC)的重要特征是：A)依賴于崗位輪換B)依賴于崗位輪換C)依賴于崗位輪換D)依賴于崗位輪換答案:D解析:[單選題]61.在重復使用設備前,由于耗損均衡可能會導致SSD設備發(fā)生意外的數據泡落,可以采取什么措施來阻止這種泄露?A)重新格式化B)磁盤加密C)消磁D)物理毀壞答案:B解析:加密SSD驅動器上的數據可以防止損壞均衡磁盤格式化無法有效除設備中的數據,消磁僅對磁性介質有效。物理破壞驅動器會導致該設備無法重新使用。[單選題]62.以下哪一個解釋了為什么數據保留策略中包含記錄銷毀要求?A)遵守法律和業(yè)務要求B)節(jié)省存儲和備份成本C)符合銷毀準則D)驗證數據所有權答案:A解析:[單選題]63.在VoIP環(huán)境中,常用到實時傳輸協(xié)議(盯P)RTP控制協(xié)議(盯的。以下哪一項最好地描述了這兩種協(xié)議之間的差異?A)RTCP為通過網絡傳送音頻和視頻提供標準化的數據包格式。陽?提供帶外統(tǒng)計和控制信息,以反饋QoS級別。B)RTP為通過網絡傳送數據提供標準化的數據包格式。RTCP提供控制信息,以反饋QoS級別。C)為通過MPLS網絡傳送音頻和視頻提供標準化的數據包格式。盯CP提供控制信息,以反饋QoS級別。D)RTP為通過網絡傳送音頻和視頻提供標準化的數據包格式。盯CP提供帶外統(tǒng)計和控制信息,以反饋QoS級別。答案:D解析:[單選題]64.在IKE/IPsec因特網密鑰交換協(xié)議/網絡網際安全協(xié)議中，關于預共享密鑰身份驗證，哪一項不是正確的？A)預共享密鑰身份驗證通常基于簡單的密碼。B)需要一個PKI公鑰基礎設施來工作。C)只需要一個對所有VPN連接的預共享密鑰。D)對龐大用戶群體的昂貴的密鑰管理。答案:B解析:[單選題]65.以下哪個管理流程允許用戶執(zhí)行任務、更改默認用戶密碼和設置服務器以檢索防病毒更新所需的服務?A)配置B)身份C)合規(guī)D)補丁答案:A解析:[單選題]66.Matt正在監(jiān)督冗余通信連接的安裝,以回應其組織BIA期間的一個發(fā)現(xiàn)。馬特監(jiān)督的是哪種類型的緩解條款?A)淬火系統(tǒng)B)定義系統(tǒng)C)減少系統(tǒng)D)選擇系統(tǒng)答案:D解析:這是替代系統(tǒng)的一個例子。冗余通信電路提供在主電路不可用時可以使用的備份鏈[單選題]67.WhattypeofattacksendsInternetControlMessageProtocol（ICMP）echorequeststothetargetmachinewithalargerpayloadthanthetargetcanhandle?哪種類型的攻擊將Internet控制消息協(xié)議（ICMP）回送請求發(fā)送到目標計算機，其有效負載超過目標計算機的處理能力？A)Man-in-the-Middle（MITM）中間人（MITM）B)DenialofService（DoS）拒絕服務（DoS）C)DomainNameServer（DNS）poisoning域名服務器（DNS）中毒D)Bufferoverflow緩沖區(qū)溢出答案:B解析:[單選題]68.什么攻擊技術經常被高級持續(xù)威脅組織利用,但其他攻擊者(例如腳本小子和黑客行動主義者)不常用?A)零日漏洞利用B)社會工程學C)特洛伊木馬D)SQL注入答案:A解析:盡管高級持續(xù)威脅(APT)可能會利用這些攻擊中的任何一種,但由于發(fā)現(xiàn)或購買它們所需的研究成本和復雜性,它們與零日攻擊最密切相關。許多不同類型的攻擊者經常嘗試社會工程、特洛伊木馬(和其他惡意軟件)和SQL注入攻擊。[單選題]69.經過徹底分析,發(fā)現(xiàn)犯罪人通過安全插座層(SSL)虛擬Private網絡(VPN)網關訪問網絡,從而損害了網絡。肇事者猜到了用戶名,野蠻人強迫密碼進入。以下哪一個最佳緩解了此問題?A)為VPN實施強密碼身份驗證B)將VPN與集中式憑證商店集成C)實施互聯(lián)網協(xié)議安全(IPSec)客戶端D)使用雙重身份驗證機制答案:D解析:[單選題]70.Greg正在為其組織制定災難恢復計劃,并希望確定在中斷后恢復特定IT服務所需的時間。Greg計算的是什么變量?A)MTDB)RTOC)RPOD)SLA答案:B解析:恢復時間目標(RTO)是指IT服務或組件在發(fā)生故障后恢復運行所需的時間。最長可容忍停機時間(MTD)是IT服務或組件不可用且不會對組織造成嚴重損害的最長時間。恢復點目標(RPO)確定了在恢復工作期間可能丟失的最大數據量(按時間測量)[單選題]71.(04136)以下哪個驗證協(xié)議為每一個會話創(chuàng)建一個新的隨機數？A)點對點協(xié)議(PPP)B)點對點協(xié)議(PPP)C)點對點協(xié)議(PPP)D)點對點協(xié)議(PPP)答案:B解析:[單選題]72.WhatisanimportantcharacteristicofRoleBasedAccessControl（RBAC）?基于角色的訪問控制（RBAC）的一個重要特征是什么？A)SupportsMandatoryAccessControl（MAC）支持強制訪問控制（MAC）B)Simplifiesthemanagementofaccessrights簡化訪問權限的管理C)Reliesonrotationofduties依靠職責輪換D)Requirestwofactorauthentication需要雙因素身份驗證答案:B解析:[單選題]73.位置、時間和之前的訪問歷史等因素的函數的訪問控制是：A)信息流B)依賴于上下文的C)積極的D)依賴于內容的答案:B解析:[單選題]74.在制定災后恢復計劃(DRP)時,以下哪一項是最重要的考慮因素?A)系統(tǒng)的動態(tài)重新配置B)停機成本C)所有業(yè)務流程的恢復策略D)遏制戰(zhàn)略答案:C解析:[單選題]75.具有Internet協(xié)議(IP)地址的系統(tǒng)的物理地址為00:00:08:00:12:13:14:2f。以下靜態(tài)條目添加到其地址解析協(xié)議(ARP)表::00:00:08:00:12:13:14:2f。這代表什么形式的攻擊?A)針對網關路由器的拒絕服務(DoS)攻擊,因為路由器無法再接受來自的數據包B)一種阻止地址解析的傳輸層攻擊C)針對的拒絕服務(DoS)攻擊,因為它無法正確響應ARP請求D)將發(fā)往的數據包發(fā)送到的偽裝攻擊答案:C解析:[單選題]76.傳輸層安全(TLS)為遠程訪問服務器提供了以下哪些c可訪問性?A)運輸層握手壓縮B)應用層談判C)同行身份認證D)數字證書撤銷答案:C解析:[單選題]77.Whatphysicalcharacteristicdoesaretinalscanbiometricdevicemeasure?視網膜掃描生物識別設備測量的物理特征是什么？A)Theamountoflightreflectedbytheretina視網膜反射的光量B)Thesize,curvature,andshapeoftheretina視網膜的大小、曲率和形狀C)Thepatternofbloodvesselsatthebackoftheeye眼底血管的形態(tài)D)Thepatternoflightreceptorsatthebackoftheeye眼睛后部的光受體模式答案:C解析:[單選題]78.(04053)WhichofthefollowingtoolspresenttheMOSTpotentialriskforunethicaluse?如果不道德的使用下面哪個工具，可能產生最大的風險？A)RootkitsandSingleSign-On(SSO)applicationsRootkits和單點登錄（SSO）應用程序B)RootkitsandSingleSign-On(SSO)applicationsRootkits和單點登錄（SSO）應用程序C)RootkitsandSingleSign-On(SSO)applicationsRootkits和單點登錄（SSO）應用程序D)RootkitsandSingleSign-On(SSO)applicationsRootkits和單點登錄（SSO）應用程序答案:C解析:[單選題]79.IntellectualpropertyrightsarePRIMARYconcernedwithwhichofthefollowing?知識產權主要涉及以下哪一項？A)Owner'sabilitytorealizefinancialgain所有者實現(xiàn)財務收益的能力B)Owner'sabilitytomaintaincopyright所有者維護版權的能力C)Rightoftheownertoenjoytheircreation所有者享有其創(chuàng)作的權利D)Rightoftheownertocontroldeliverymethod業(yè)主控制交付方式的權利答案:C解析:[單選題]80.磁盤集群中的未使用空間在媒體分析中很重要,因為它可能包含以下哪一個空間?A)剩余數據尚未被覆蓋B)隱藏的病毒和特洛伊木馬C)有關文件分配表(FAT)的信息D)有關系統(tǒng)修補程序和升級的信息答案:A解析:[單選題]81.以下哪一項最好通過使用易失訪問標記語言(XACML)實現(xiàn)?A)盡量減少來自第三方的惡意攻擊B)管理資源權限C)在混合云中共享數字身份D)定義標準協(xié)議答案:D解析:[單選題]82.從安全角度來看,配置域名服務(DNS)系統(tǒng)的最佳實踐是什么?A)配置輔助服務器以使用主服務器作為區(qū)域轉發(fā)器。B)阻止所有傳輸控制協(xié)議(TCP)連接。C)在名稱服務器上進行所有遞歸式查詢。D)限制區(qū)域傳輸到授權設備。答案:D解析:[單選題]83.Asabestpractice,theSecurityAssessmentReport（SAR）shouldincludewhichofthefollowingsections?作為最佳實踐，安全評估報告（SAR）應包括以下哪一部分？A)Dataclassificationpolicy數據分類策略B)Softwareandhardwareinventory軟件和硬件清單C)Remediationrecommendations補救建議D)Namesofparticipants參與者姓名答案:B解析:[單選題]84.Colin是一家非營利組織的首席隱私官,正在協(xié)助團隊過渡到?隱私設計?方法。在這種方法下,團隊不應該遵循以下哪些原則?A)Proactive,notreactiveB)PrivacyasthedefaultsettingC)End-to-endsecurityD)Defenseindepth答案:D解析:[單選題]85.WhichistheMOSTeffectivecountermeasuretopreventelectromagneticemanationsonunshieldeddatacable?防止非屏蔽數據電纜上電磁輻射的最有效對策是什么？A)Movecableareawayfromexteriorfacingwindows移動電纜，使其遠離朝外的車窗B)Encaseexposedcablerunsinmetalconduit將外露電纜敷設在金屬導管中C)EnablePoweroverEthernet（PoE）toincreasevoltage啟用以太網供電（PoE）以增加電壓D)Bundleexposedcablestogethertodisguisetheirsignals將裸露的電纜捆綁在一起以隱藏其信號答案:B解析:[單選題]86.(04004)Whichofthefollowingisconsideredbestpracticeforaforensicinvestigation?下面哪個被認為是取證調查的最佳實踐？A)Examineacopyoftheinformationcollected檢查收集的信息的副本B)Examineacopyoftheinformationcollected檢查收集的信息的副本C)Examineacopyoftheinformationcollected檢查收集的信息的副本D)Examineacopyoftheinformationcollected檢查收集的信息的副本答案:C解析:[單選題]87.Selah的組織在臺式PC所在的交換機上部署了VoIP電話。這會造成什么安全問題,什么解決方案會有所幫助?A)VLANhopping;使用物理上分離的switches。B)VLANhopping;使用加密。C)來電顯示欺騙;MAC過濾。D)拒絕服務攻擊;在網絡之間使用防火墻。答案:A解析:[單選題]88.WhenMUSTanorganization'sinformationsecuritystrategicplanbereviewed?何時必須審查組織的信息安全戰(zhàn)略計劃？A)Quarterly,whentheorganization'sstrategicplanisupdated每季度，當組織的戰(zhàn)略計劃更新時B)Whenevertherearesignificantchangestoamajorapplication當主要應用程序發(fā)生重大更改時C)Everythreeyears,whentheorganization'sstrategicplanisupdated每三年，當組織的戰(zhàn)略計劃更新時D)Whenevertherearemajorchangestothebusiness每當業(yè)務發(fā)生重大變化時答案:D解析:[單選題]89.ACertifiedInformationSystemsSecurityProfessional（CISSP）withidentityandaccessmanagement（IAM）responsibilitiesisaskedbytheChiefInformationSecurityOfficer（CISO）to4.performavulnerabilityassessmentonawebapplicationtopassaPaymentCardIndustry（PCI）audit.TheCISSPhasneverperformedthisbefore.Accordingtothe（ISC）?CodeofProfessionalEthics,whichofthefollowingshouldtheCISSPdo?首席信息安全官（CISO）要求具有身份和訪問管理（IAM）職責的認證信息系統(tǒng)安全專業(yè)人員（CISSP）4。對web應用程序執(zhí)行漏洞評估，以通過支付卡行業(yè)（PCI）審核。CISSP以前從未執(zhí)行過此操作。根據（ISC）？職業(yè)道德準則，CISSP應執(zhí)行以下哪項？A)ReviewtheCISSPguidelinesforperformingavulnerabilityassessmentbeforeproceedingtocompleteit在繼續(xù)完成漏洞評估之前，請查看CISSP的漏洞評估指南B)ReviewthePCIrequirementsbeforeperformingthevulnerabilityassessment在執(zhí)行漏洞評估之前，請查看PCI要求C)InformtheCISOthattheyareunabletoperformthetaskbecausetheyshouldrenderonlythoseservicesforwhichtheyarefullycompetentandqualified通知CISO他們無法執(zhí)行任務，因為他們只能提供他們完全勝任和合格的服務D)SincetheyareCISSPcertified,theyhave