域7-安全運營（第16-19章）（OSG）附有答案

域7-安全運營（第16-19章）（OSG）[復(fù)制]1.Mary正在審查系統(tǒng)架構(gòu)的可用性控制。圖中顯示了哪種技術(shù)為數(shù)據(jù)庫服務(wù)器提供了容錯性？[單選題]*A.故障轉(zhuǎn)移集群(正確答案)B.不間斷電源（UPS）C.磁帶備份D.冷備份站點答案解析：A.圖示展示了一個故障切換集群的例子，其中DB1和DB2都配置為數(shù)據(jù)庫服務(wù)器。在任何給定的時間，只有一個服務(wù)器會作為活動的數(shù)據(jù)庫服務(wù)器，而另一個則準(zhǔn)備好在第一個服務(wù)器發(fā)生故障時接管責(zé)任。雖然該環(huán)境可能使用UPS、磁帶備份和冷備站點作為災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性控制措施，但在圖示中沒有顯示出來。2.Joe是一個企業(yè)資源計劃（ERP）系統(tǒng)的安全管理員。他正準(zhǔn)備為幾個新員工創(chuàng)建賬戶。在創(chuàng)建這些賬戶時，他應(yīng)該給予新員工什么默認(rèn)權(quán)限？[單選題]*A.只讀權(quán)限B.編輯權(quán)限C.管理員權(quán)限D(zhuǎn).無訪問權(quán)限(正確答案)答案解析：D.最小權(quán)限原則應(yīng)該指導(dǎo)Joe在這種情況下。他應(yīng)該默認(rèn)不給予任何訪問權(quán)限，然后根據(jù)每個用戶的工作職責(zé)給予他們必要的權(quán)限。其中一個或多個用戶可能需要只讀、編輯和管理員權(quán)限，但這些權(quán)限應(yīng)該根據(jù)業(yè)務(wù)需求而不是默認(rèn)分配。3.Tim正在為他的組織配置一種特權(quán)賬戶管理解決方案。以下哪項不是應(yīng)自動發(fā)送到超級用戶行動日志的特權(quán)管理活動？[單選題]*A.清除日志條目B.從備份中恢復(fù)系統(tǒng)C.登錄工作站(正確答案)D.管理用戶賬戶答案解析：C.雖然大多數(shù)組織希望記錄嘗試登錄工作站的行為，但這并不被視為特權(quán)的管理員活動，應(yīng)該通過正常的日志記錄流程處理。4.當(dāng)Alice公司的一名員工打電話尋求支持時，她使用了一種公司約定的暗語，用于表示員工被迫執(zhí)行某項操作。這種情況被稱為什么？[單選題]*A.社交工程B.強迫(正確答案)C.不可抗力D.斯德哥爾摩綜合征答案解析：B.在銀行、珠寶店或其他攻擊者可能試圖強迫員工執(zhí)行操作的組織中，威脅或受到其他限制是一個問題。預(yù)料到可能發(fā)生這種情況的組織通常會使用威脅代碼詞，讓其他人知道他們是在受到威脅下執(zhí)行操作。5.Jordan正在進行網(wǎng)絡(luò)安全事件調(diào)查后準(zhǔn)備將證據(jù)帶入法庭。他負(fù)責(zé)準(zhǔn)備物理證據(jù)，包括受影響的服務(wù)器和移動設(shè)備。下列哪種類型的證據(jù)完全由可以帶入法庭的有形物品組成？[單選題]*A.文件證據(jù)B.口頭證據(jù)C.證人證據(jù)D.實物證據(jù)(正確答案)答案解析：D.真實證據(jù)是指可以作為證據(jù)帶入法庭的物品。例如，硬盤、武器和帶有指紋的物品都屬于真實證據(jù)。文檔證據(jù)是指可能存在或不存在實體形式的書面物品。證人證據(jù)是指具有相關(guān)信息的證人口述證詞。口頭證據(jù)規(guī)則指的是當(dāng)協(xié)議被書面形式確定時，假定書面文件包含了協(xié)議的所有條款。6.Lauren希望確保她的用戶只運行組織批準(zhǔn)的軟件。她應(yīng)該部署哪種技術(shù)？[單選題]*A.黑名單B.配置管理C.白名單(正確答案)D.灰名單答案解析：C.允許應(yīng)用程序的白名單將確保Lauren的用戶只能運行她預(yù)先批準(zhǔn)的應(yīng)用程序。黑名單將要求她維護一個不希望允許的每個應(yīng)用程序的列表，這幾乎是不可能的任務(wù)?；颐麊尾皇且环N技術(shù)選項，配置管理可以用于確保正確的應(yīng)用程序安裝在計算機上，但通常不能直接阻止用戶運行不受歡迎的應(yīng)用程序或程序。7.Colin負(fù)責(zé)管理他的組織對網(wǎng)絡(luò)安全欺騙技術(shù)的使用。以下哪項技術(shù)應(yīng)該在蜜罐系統(tǒng)中使用，以消耗攻擊者的時間并向管理員發(fā)出警報？[單選題]*A.蜜網(wǎng)B.偽缺陷（Pseudoflaw）(正確答案)C.警示橫幅D.暗網(wǎng)答案解析：B.偽漏洞是指系統(tǒng)中可能分散攻擊者注意力的虛假漏洞。蜜罐網(wǎng)絡(luò)是由多個蜜罐組成的網(wǎng)絡(luò)，為入侵者提供了一個更復(fù)雜的環(huán)境進行探索，而不是Colin可以在蜜罐上使用的功能。暗網(wǎng)是未使用的網(wǎng)絡(luò)地址空間的一個段，應(yīng)該沒有網(wǎng)絡(luò)活動，因此可以輕松用于監(jiān)視非法活動。警告橫幅是一種法律工具，用于通知入侵者他們未經(jīng)授權(quán)訪問系統(tǒng)。8.Toni回應(yīng)了一個用戶報告系統(tǒng)活動緩慢的問題。在檢查該系統(tǒng)的出站網(wǎng)絡(luò)連接時，Toni注意到大量社交媒體流量源自該系統(tǒng)。該用戶不使用社交媒體，當(dāng)Toni檢查相關(guān)賬戶時，發(fā)現(xiàn)它們包含奇怪的看似加密的消息。造成這種流量的最可能原因是什么？[單選題]*A.其他用戶通過該用戶的計算機中繼社交媒體請求。B.該用戶的計算機是僵尸網(wǎng)絡(luò)的一部分。(正確答案)C.該用戶在關(guān)于自己使用社交媒體的事情上撒謊。D.在該用戶不在場時，有其他人使用了她的計算機。答案解析：B.社交媒體通常被用作僵尸網(wǎng)絡(luò)活動的命令和控制系統(tǒng)。在這種情況下，最可能的情景是用戶的計算機被惡意軟件感染并加入了僵尸網(wǎng)絡(luò)。這解釋了異常的社交媒體流量和系統(tǒng)活動緩慢。9.John通過云基礎(chǔ)設(shè)施服務(wù)提供商，在世界各地使用負(fù)載均衡器部署他的網(wǎng)站。他使用了哪個可用性概念？[單選題]*A.多個處理站點(正確答案)B.溫暖站點C.冷備份站點D.蜜罐答案解析：A.John的設(shè)計提供了多個處理站點，將負(fù)載分布到多個地區(qū)。這不僅提供了業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)功能，還意味著他的設(shè)計對于拒絕服務(wù)攻擊更具彈性。10.Jim想要識別網(wǎng)絡(luò)中可能參與僵尸網(wǎng)絡(luò)的被入侵系統(tǒng)。他計劃通過觀察與已知的指揮與控制服務(wù)器建立的連接來實現(xiàn)這一目標(biāo)。如果Jim可以訪問已知服務(wù)器列表，以下哪種技術(shù)最有可能提供這些信息？[單選題]*A.NetFlow（網(wǎng)絡(luò)流量）記錄(正確答案)B.IDS日志C.身份驗證日志D.RFC（請求評論記錄）日志答案解析：A.NetFlow記錄包含了網(wǎng)絡(luò)上發(fā)生的每個通信會話的條目，并可以與已知的惡意主機列表進行比較。IDS日志可能包含相關(guān)記錄，但可能性較低，因為它們只會在流量觸發(fā)IDS時創(chuàng)建日志條目，而不是像NetFlow記錄那樣包含所有通信。身份驗證日志和RFC日志不會記錄任何網(wǎng)絡(luò)流量。對于問題11-15，請參考以下情景：Gary最近被雇為一家地方政府機構(gòu)的首席信息安全官（CISO）。該機構(gòu)最近遭受了一次安全漏洞，正在努力建立一個新的信息安全計劃。在設(shè)計這個計劃時，Gary希望應(yīng)用一些最佳實踐來進行安全運營。11.當(dāng)Gary決定為每個用戶授予什么訪問權(quán)限時，哪個原則應(yīng)該指導(dǎo)他關(guān)于默認(rèn)權(quán)限的決策？[單選題]*A.職責(zé)分離B.最小權(quán)限(正確答案)C.聚合D.特權(quán)分離答案解析：B.Gary應(yīng)遵循最小權(quán)限原則，僅為用戶分配完成工作職責(zé)所需的權(quán)限。聚合是指隨著時間的推移，權(quán)限無意中積累，也稱為權(quán)限蔓延。責(zé)任分離和權(quán)限分離是用于保護敏感流程的原則。12.當(dāng)Gary設(shè)計這個計劃時，他使用了這個矩陣。這個矩陣最直接幫助強制執(zhí)行哪個信息安全原則？[單選題]*A.職責(zé)分離(正確答案)B.聚合C.兩人控制D.防御深度答案解析：A.圖示中的矩陣被稱為職責(zé)分離矩陣。它用于確保一個人不會獲得兩個可能產(chǎn)生沖突的特權(quán)。聚合是指隨著時間的推移，權(quán)限無意中累積的現(xiàn)象，也稱為權(quán)限蔓延。雙人控制是指兩個人必須共同執(zhí)行敏感操作的情況。防御深度是一種通用的安全原則，用于描述重疊的安全控制的理念。13.Gary正準(zhǔn)備為一個新用戶創(chuàng)建賬戶并為HR數(shù)據(jù)庫分配權(quán)限。在授予這個訪問權(quán)限之前，Gary必須驗證哪兩個信息元素？[單選題]*A.憑據(jù)和需知原則B.安全許可和需知原則(正確答案)C.密碼和安全許可D.密碼和生物特征掃描答案解析：B.在授予訪問權(quán)限之前，Gary應(yīng)驗證用戶是否擁有有效的安全許可和了解相關(guān)信息的業(yè)務(wù)需求。Gary正在執(zhí)行授權(quán)任務(wù)，因此不需要驗證用戶的憑據(jù)，如密碼或生物特征掃描。14.Gary準(zhǔn)備在訪問根加密密鑰方面制定控制措施，并希望應(yīng)用一個專門針對非常敏感操作設(shè)計的安全原則。他應(yīng)該應(yīng)用哪個原則？[單選題]*A.最小權(quán)限B.防御深度C.安全通過混淆D.兩人控制(正確答案)答案解析：D.Gary應(yīng)遵循雙人控制原則，要求兩個獨立授權(quán)的人同時采取行動才能獲得加密密鑰的訪問權(quán)限。他還應(yīng)遵循最小權(quán)限和防御深度原則，但這些原則適用于所有操作，而不是特定于敏感操作。Gary應(yīng)避免使用安全通過混淆原則，該原則依賴于安全機制的保密性來提供系統(tǒng)或流程的安全性。16.下列哪個術(shù)語經(jīng)常用來描述一個大規(guī)模發(fā)布的不相關(guān)補丁集合？[單選題]*A.熱補丁B.更新C.安全補丁D.服務(wù)包(正確答案)答案解析：D.熱修復(fù)、更新和安全修復(fù)都是用于糾正單個問題的單個補丁的同義詞。服務(wù)包是包含多個不同更新的集合，用作操作系統(tǒng)或應(yīng)用程序的重大更新。17.Tonya正在從一系列參與網(wǎng)絡(luò)安全事件的系統(tǒng)中收集證據(jù)。一位同事建議她在收集過程中使用法證磁盤控制器。這個設(shè)備的功能是什么？[單選題]*A.屏蔽存儲設(shè)備報告的錯誤條件B.向存儲設(shè)備發(fā)送寫命令C.攔截、修改或丟棄發(fā)送到存儲設(shè)備的命令(正確答案)D.防止從發(fā)送給設(shè)備的讀操作中返回數(shù)據(jù)答案解析：C.取證磁盤控制器執(zhí)行四個功能。其中之一是寫入阻塞，它攔截發(fā)送給設(shè)備的寫入命令，并阻止它們修改設(shè)備上的數(shù)據(jù)。其他三個功能包括返回讀操作請求的數(shù)據(jù)，返回設(shè)備的訪問相關(guān)信息，并將設(shè)備的錯誤報告給取證主機。18.Lydia正在處理她所在組織的訪問控制請求。她遇到了一個請求，用戶確實具備所需的安全許可，但沒有業(yè)務(wù)上的合理理由來訪問。Lydia拒絕了這個請求。她遵循的安全原則是什么？[單選題]*A.需知原則(正確答案)B.最小權(quán)限C.職責(zé)分離D.兩人控制答案解析：A.Lydia遵循了需要知道的原則。雖然用戶可能具有訪問這些信息的適當(dāng)安全許可，但沒有提供業(yè)務(wù)上的理由，因此她不知道用戶是否有適當(dāng)?shù)牧私膺@些信息的需求。19.Helen被委托在她所在組織中實施安全控制，以防止內(nèi)部欺詐活動。以下哪種機制對她的工作最沒有用處？[單選題]*A.工作輪換B.強制休假C.事件響應(yīng)(正確答案)D.兩人控制答案解析：C.工作輪換和強制休假通過增加發(fā)現(xiàn)欺詐的可能性來阻止欺詐行為。雙人控制通過要求兩名員工勾結(jié)來阻止欺詐行為。事件響應(yīng)通常不起到威懾機制的作用。20.Matt希望確保公司各處系統(tǒng)的關(guān)鍵網(wǎng)絡(luò)流量優(yōu)先于網(wǎng)頁瀏覽和社交媒體使用。他可以使用什么技術(shù)來實現(xiàn)這一目標(biāo)？[單選題]*A.VLAN（虛擬局域網(wǎng)）B.QoS（服務(wù)質(zhì)量）(正確答案)C.VPN（虛擬專用網(wǎng)絡(luò)）D.ISDN（數(shù)字集成業(yè)務(wù)網(wǎng)）答案解析：B.服務(wù)質(zhì)量是路由器和其他網(wǎng)絡(luò)設(shè)備上的一個功能，可以優(yōu)先處理特定的網(wǎng)絡(luò)流量。服務(wù)質(zhì)量策略定義了哪些流量優(yōu)先處理，然后根據(jù)策略處理流量。21.Tom正在應(yīng)對最近發(fā)生的安全事件，并尋求有關(guān)對系統(tǒng)安全設(shè)置進行的最近修改的批準(zhǔn)流程的信息。他最有可能在哪里找到這些信息？[單選題]*A.更改日志(正確答案)B.系統(tǒng)日志C.安全日志D.應(yīng)用程序日志答案解析：A.變更日志包含關(guān)于已批準(zhǔn)的變更和變更管理過程的信息。雖然其他日志可能包含有關(guān)變更影響的詳細(xì)信息，但變更管理的審計跟蹤記錄將在變更日志中找到。22.Susan公司的員工經(jīng)常國際出差，需要與公司系統(tǒng)建立連接進行工作。Susan認(rèn)為由于公司正在開發(fā)的技術(shù)，這些用戶可能成為企業(yè)間諜活動的目標(biāo)，并希望在為國際旅行者提供的安全培訓(xùn)中包含建議。Susan應(yīng)該推薦他們在旅行期間連接到網(wǎng)絡(luò)時采用什么做法？[單選題]*A.僅連接到公共WiFi。B.對所有連接使用VPN。(正確答案)C.僅使用支持TLS的網(wǎng)站。D.不要在旅行中連接到網(wǎng)絡(luò)。答案解析：B.雖然告訴員工根本不連接到任何網(wǎng)絡(luò)可能很誘人，但Susan知道他們需要網(wǎng)絡(luò)連接來完成工作。使用VPN將他們的筆記本電腦和移動設(shè)備連接到可信網(wǎng)絡(luò)，并確保所有流量都通過VPN進行隧道傳輸是她確保其互聯(lián)網(wǎng)使用安全的最佳選擇。Susan還可以確保他們攜帶的設(shè)備上沒有包含敏感信息或文件，并在歸還時對這些系統(tǒng)進行全面清除和審核。23.Ricky正在尋找關(guān)于應(yīng)用程序、設(shè)備和操作系統(tǒng)的信息安全漏洞清單。以下哪個威脅情報來源對他最有用？[單選題]*A.OWASP（開放式Web應(yīng)用安全項目）B.Bugtraq（漏洞跟蹤）C.MicrosoftSecurityBulletins（微軟安全公告）D.CVE（通用漏洞披露）(正確答案)答案解析：D.CVE（通用漏洞和暴露）字典包含了許多不同安全問題的標(biāo)準(zhǔn)化信息。OWASP（開放式Web應(yīng)用安全項目）提供了有關(guān)Web應(yīng)用安全問題的一般指導(dǎo)，但不追蹤具體的漏洞，也沒有超越Web應(yīng)用范圍。Bugtraq郵件列表和微軟安全公告是獲得漏洞信息的良好來源，但它們不是全面的已知問題數(shù)據(jù)庫。25.Glenda想進行災(zāi)難恢復(fù)測試，并希望選擇一種測試方法，既不會對正常的信息系統(tǒng)活動造成干擾，又能盡可能少地投入時間。她應(yīng)該選擇哪種類型的測試？[單選題]*A.桌面推演B.并行測試C.完全中斷測試D.檢查清單審查(正確答案)答案解析：D.檢查清單審查是最不具干擾性的災(zāi)難恢復(fù)測試類型。在檢查清單審查期間，團隊成員各自獨立地審查其災(zāi)難恢復(fù)檢查清單的內(nèi)容，并提出任何必要的更改。在桌面演練期間，團隊成員聚在一起，按照某個場景進行演練，而不對信息系統(tǒng)進行任何更改。在并行測試期間，團隊實際上激活災(zāi)難恢復(fù)站點進行測試，但主站點仍然正常運行。在完全中斷測試期間，團隊關(guān)閉主站點，并確認(rèn)災(zāi)難恢復(fù)站點能夠處理正常的運營。完全中斷測試是最全面的測試，但也是最具干擾性的。26.以下哪項不是備份磁帶輪換方案的例子？[單選題]*A.Grandfather/Father/Son（祖父/父親/兒子）B.中間交匯(正確答案)C.漢諾塔D.每周六個磁盤盒答案解析：B.祖父/父親/兒子、漢諾塔和每周六個存儲盒方案都是不同的備份介質(zhì)輪換方法，平衡了介質(zhì)重復(fù)使用和數(shù)據(jù)保留的問題。Meet-in-the-middle是對2DES加密的密碼攻擊。27.Helen正在為在會計系統(tǒng)中授予員工管理權(quán)限的新安全機制進行實施。她設(shè)計了一個流程，要求員工的經(jīng)理和會計經(jīng)理在授權(quán)之前都必須批準(zhǔn)請求。Helen正在強制執(zhí)行哪個信息安全原則？[單選題]*A.最小權(quán)限B.兩人控制(正確答案)C.工作輪換D.職責(zé)分離答案解析：B.在這種情況下，Helen設(shè)計了一個需要兩個人共同執(zhí)行敏感操作的流程。這是雙人控制的一個例子。這與職責(zé)分離不同，職責(zé)分離要求一個人不得擁有兩個獨立的權(quán)限，而將其組合起來可能允許不希望的操作。對于這種情況的職責(zé)分離可能會說，同一人不得既具有發(fā)起請求的能力，又具有批準(zhǔn)請求的能力。最小權(quán)限原則指出，個人應(yīng)該只具有執(zhí)行工作職能所需的必要權(quán)限。職位輪換是一種方案，用戶定期在不同職責(zé)之間轉(zhuǎn)換，以檢測惡意行為。28.Frank正在考慮在即將到來的刑事案件中使用不同類型的證據(jù)。以下哪項不是證據(jù)在法庭上被允許的要求？[單選題]*A.證據(jù)必須相關(guān)。B.證據(jù)必須實質(zhì)性。C.證據(jù)必須有形。(正確答案)D.證據(jù)必須經(jīng)過合格獲取。答案解析：C.在法庭上提供的證據(jù)必須與確定問題事實、與案件相關(guān)和在合規(guī)獲取的證據(jù)有關(guān)。證據(jù)不需要是有形的。證人證詞是法庭上可能提供的無形證據(jù)的一個例子。29.Harold最近完成了對一起安全事件的事后分析。接下來，他應(yīng)該準(zhǔn)備哪些文件？[單選題]*A.經(jīng)驗教訓(xùn)文件(正確答案)B.風(fēng)險評估C.整改清單D.緩解檢查表答案解析：A.事后總結(jié)審查后，通常會創(chuàng)建并分發(fā)一份經(jīng)驗教訓(xùn)文檔，以確保參與事件的人員以及可能從中受益的其他人員知道他們可以采取什么措施來防止未來問題并改善應(yīng)對。31.Sam負(fù)責(zé)備份公司的主文件服務(wù)器。他配置了一個備份計劃，每周一晚上9點執(zhí)行完全備份，其他工作日同一時間執(zhí)行差異備份。根據(jù)以下圖示所示的信息變化，星期三的備份將復(fù)制多少個文件？[單選題]*A.2個B.3個C.5個(正確答案)D.6個答案解析：C.在這種情況下，所有服務(wù)器上的文件將在周一晚上進行完整備份。然后，在周三進行的差異備份將復(fù)制自上次完整備份以來修改的所有文件。這些包括文件1、2、3、5和6，共計五個文件。32.以下哪個安全工具無法對安全事件產(chǎn)生主動響應(yīng)？[單選題]*A.IPS（入侵防御系統(tǒng)）B.防火墻C.IDS（入侵檢測系統(tǒng)）(正確答案)D.殺毒軟件答案解析：C.入侵檢測系統(tǒng)（IDS）只提供被動響應(yīng)，例如向管理員發(fā)出疑似攻擊的警報。而入侵預(yù)防系統(tǒng)和防火墻可以采取措施阻止攻擊嘗試。殺毒軟件也可以通過隔離可疑文件來進行主動響應(yīng)。33.Scott負(fù)責(zé)處理公司廢棄的SAN（存儲區(qū)域網(wǎng)絡(luò)）上拆下來的磁盤驅(qū)動器。如果SAN上的數(shù)據(jù)被公司視為高度敏感，他應(yīng)該避免以下哪個選項？[單選題]*A.對其進行物理銷毀。B.與SAN供應(yīng)商簽訂合同，要求適當(dāng)?shù)奶幹貌⑻峁┱J(rèn)證過程。C.在離開組織之前對每個驅(qū)動器進行重新格式化。(正確答案)D.使用像DBAN這樣的安全擦除工具。答案解析：C.物理銷毀、與認(rèn)證有關(guān)的適當(dāng)合同和安全擦除都是合理的選項。在每種情況下，應(yīng)進行仔細(xì)的清點和檢查，以確保每個驅(qū)動器得到適當(dāng)處理。重新格式化驅(qū)動器可能會留下殘留數(shù)據(jù)，對于包含敏感數(shù)據(jù)的驅(qū)動器來說，這是一個較差的數(shù)據(jù)生命周期選擇。34.用于描述在創(chuàng)建新賬戶時分配給用戶的默認(rèn)權(quán)限集合的術(shù)語是什么？[單選題]*A.聚合B.可傳遞性C.基線D.權(quán)益(正確答案)答案解析：D.權(quán)限是指在賬戶首次配置時授予用戶的特權(quán)。35.以下哪種類型的協(xié)議是服務(wù)提供商和客戶之間包含可用性和其他性能參數(shù)期望的最正式文件？[單選題]*A.服務(wù)級別協(xié)議（SLA）(正確答案)B.運營級別協(xié)議（OLA）C.諒解備忘錄（MOU）D.工作說明書（SOW）答案解析：A.服務(wù)級別協(xié)議（SLA）是服務(wù)提供商與客戶之間的協(xié)議，以正式記錄關(guān)于可用性、性能和其他參數(shù)的期望。諒解備忘錄（MOU）可能涵蓋相同的事項，但不是正式的文件。運營級別協(xié)議（OLA）是內(nèi)部服務(wù)組織之間的協(xié)議，不涉及客戶。工作說明書（SOW）是合同的附錄，描述要執(zhí)行的工作。36.作為一家大型組織的CIO，Clara希望采用標(biāo)準(zhǔn)的流程來管理IT活動。以下哪個框架專注于IT服務(wù)管理，并包括變更管理、配置管理和服務(wù)級別協(xié)議等主題？[單選題]*A.ITIL（IT服務(wù)管理的最佳實踐框架）(正確答案)B.PMBOK（項目管理知識體系指南）C.PCIDSS（支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）D.TOGAF（開放組織架構(gòu)框架）答案解析：A.IT基礎(chǔ)設(shè)施庫（ITIL）框架關(guān)注IT服務(wù)管理。項目管理知識體系（PMBOK）提供了項目管理專業(yè)知識的共同核心。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCIDSS）包含信用卡安全的規(guī)定。開放集團架構(gòu)框架（TOGAF）關(guān)注IT架構(gòu)問題。37.Richard在組織的網(wǎng)絡(luò)上遇到了網(wǎng)絡(luò)服務(wù)質(zhì)量問題。主要癥狀是數(shù)據(jù)包從源到目的地的傳輸時間一直太長。以下哪個術(shù)語描述了Richard所面臨的問題？[單選題]*A.抖動B.丟包C.干擾D.延遲(正確答案)答案解析：D.延遲是指從源到目的地傳遞數(shù)據(jù)包的延遲。抖動是指不同數(shù)據(jù)包之間延遲的變化。數(shù)據(jù)包丟失是指在傳輸過程中數(shù)據(jù)包的丟失，需要重新傳輸。干擾是指電氣噪聲或其他干擾導(dǎo)致數(shù)據(jù)包內(nèi)容損壞。38.Joe想要測試一個他懷疑可能包含惡意軟件的程序。他可以使用哪項技術(shù)在運行程序時進行隔離？[單選題]*A.ASLRB.沙箱技術(shù)(正確答案)C.切片D.進程隔離答案解析：B.在沙盒中運行程序可以提供安全隔離，防止惡意軟件對其他應(yīng)用程序或系統(tǒng)產(chǎn)生影響。如果Joe使用適當(dāng)?shù)膬x器，他可以觀察程序的行為、所做的更改以及可能嘗試的任何通信。ASLR是一種內(nèi)存位置隨機化技術(shù)，進程隔離可以防止進程相互影響，但在這種情況下，沙盒通常提供更大的實用性，因為它可以被儀器化和管理，以更好地支持調(diào)查，并且clipping是信號處理中經(jīng)常使用的術(shù)語。39.以下哪項是非自然災(zāi)害的例子？[單選題]*A.颶風(fēng)B.洪水C.泥石流D.變壓器爆炸(正確答案)答案解析：D.變壓器爆炸是一種人造電氣設(shè)備故障。洪水、泥石流和颶風(fēng)都是自然災(zāi)害的例子。40.Anne希望通過收集分布在公司各處的一組Windows10工作站的數(shù)據(jù)，獲取有關(guān)安全設(shè)置的信息，并建立對組織資產(chǎn)的整體視圖。哪個Windows工具最適合進行這種類型的配置管理任務(wù)？[單選題]*A.SCCM（SystemCenterConfigurationManager，系統(tǒng)中心配置管理器）(正確答案)B.群組策略C.SCOM（SystemCenterOperationsManager，系統(tǒng)中心運維管理器）D.自定義PowerShell(任務(wù)自動化和配置管理框架)腳本答案解析：A.SystemCenterConfigurationManager(SCCM)提供了這種能力，旨在允許管理員評估Windows工作站和服務(wù)器的配置狀態(tài)，并提供資產(chǎn)管理數(shù)據(jù)。SCOM主要用于監(jiān)控健康狀態(tài)和性能，組策略可用于部署設(shè)置和軟件等各種任務(wù)，而自定義PowerShell腳本可以做到這一點，但不應(yīng)要求進行配置檢查。41.Javier正在驗證只有IT系統(tǒng)管理員才能登錄用于管理目的的服務(wù)器。他正在執(zhí)行哪個信息安全原則？[單選題]*A.需知原則B.最小權(quán)限(正確答案)C.兩人控制D.可傳遞信任答案解析：B.最小權(quán)限原則指出，個人應(yīng)僅具備完成其工作職能所需的權(quán)限。從非管理員用戶中移除管理權(quán)限是最小權(quán)限的一個例子。42.以下哪項不是保護系統(tǒng)和應(yīng)用程序免受攻擊的基本預(yù)防措施？[單選題]*A.實施入侵檢測和預(yù)防系統(tǒng)B.在所有操作系統(tǒng)和應(yīng)用程序上保持當(dāng)前的補丁級別C.刪除不必要的賬戶和服務(wù)D.對所有系統(tǒng)進行取證映像(正確答案)答案解析：D.沒有必要作為一項預(yù)防措施進行取證鏡像。相反，取證鏡像應(yīng)在事件響應(yīng)過程中使用。維護補丁級別、實施入侵檢測/預(yù)防以及刪除不必要的服務(wù)和賬戶都是基本的預(yù)防措施。43.Tim是一名法證分析員，正在嘗試從硬盤中檢索信息。用戶似乎試圖擦除數(shù)據(jù)，Tim正試圖重建它。Tim正在進行哪種類型的法證分析？[單選題]*A.軟件分析B.媒體分析(正確答案)C.嵌入式設(shè)備分析D.網(wǎng)絡(luò)分析答案解析：B.對硬盤進行取證檢查是媒體分析的一個例子。嵌入式設(shè)備分析是針對包含在其他大型系統(tǒng)（如汽車或安全系統(tǒng)）中的計算機的分析。軟件分析涉及對應(yīng)用程序及其日志的分析。網(wǎng)絡(luò)分析涉及對網(wǎng)絡(luò)流量和日志的分析。45.Roland是一家擁有大量昂貴實驗設(shè)備的組織中的物理安全專員，這些設(shè)備經(jīng)常在設(shè)施內(nèi)移動。以下哪種技術(shù)以經(jīng)濟有效的方式最大程度地自動化庫存控制過程？[單選題]*A.IPS（入侵防御系統(tǒng)）B.WiFiC.RFID（無線射頻識別）(正確答案)D.以太網(wǎng)答案解析：C.射頻識別（RFID）技術(shù)是一種經(jīng)濟高效的跟蹤設(shè)施內(nèi)物品的方法。雖然WiFi也可以用于同樣的目的，但實施起來會更昂貴。46.Connor的公司最近遭受了一次拒絕服務(wù)攻擊，Connor認(rèn)為這次攻擊來自內(nèi)部。如果屬實，該公司經(jīng)歷了什么類型的事件？[單選題]*A.間諜活動B.機密性泄漏C.蓄意破壞(正確答案)D.完整性破壞答案解析：C.針對組織的內(nèi)部人員（例如員工）所實施的攻擊被稱為破壞行為。間諜活動和機密性違規(guī)涉及竊取敏感信息，而在此情況下并未提到。完整性違規(guī)涉及對信息的未經(jīng)授權(quán)修改，在此情景中也未描述。47.Evan在組織中檢測到對一臺服務(wù)器的攻擊，并檢查了一系列數(shù)據(jù)包的TCP標(biāo)志，如下圖所示。最有可能發(fā)生了什么類型的攻擊？[單選題]*A.SYN洪水攻擊(正確答案)B.Ping洪水攻擊C.Smurf攻擊D.Fraggle攻擊答案解析：A.在SYNFlood攻擊中，攻擊者向系統(tǒng)發(fā)送大量的SYN數(shù)據(jù)包，但不回應(yīng)SYN/ACK數(shù)據(jù)包，試圖通過半開連接來超負(fù)荷攻擊系統(tǒng)的連接狀態(tài)表。48.Florian正在為他的組織制定災(zāi)難恢復(fù)計劃，并希望確定特定的IT服務(wù)在中斷一段時間后不會對業(yè)務(wù)運營造成嚴(yán)重?fù)p害。Florian正在計算哪個變量？[單選題]*A.RTO（恢復(fù)時間目標(biāo)）B.MTD（最大可容忍停機時間）(正確答案)C.RPO（恢復(fù)點目標(biāo)）D.SLA（服務(wù)級別協(xié)議）答案解析：B.最大可容忍停機時間（MTD）是指在不對組織造成嚴(yán)重?fù)p害的情況下，IT服務(wù)或組件可能無法使用的最長時間?；謴?fù)時間目標(biāo)（RTO）是指在故障發(fā)生后，將IT服務(wù)或組件恢復(fù)運行所需的時間?；謴?fù)點目標(biāo)（RPO）確定在恢復(fù)過程中可能丟失的最大數(shù)據(jù)量（以時間衡量）。服務(wù)級別協(xié)議（SLA）是記錄服務(wù)期望的書面合同。49.以下哪些通常被歸類為零日攻擊？（選擇所有適用的）[單選題]*A.一個對黑客世界來說是新手的攻擊者B.數(shù)據(jù)庫攻擊將日期設(shè)置為00/00/0000，以嘗試?yán)脴I(yè)務(wù)邏輯中的缺陷C.安全界先前未知的攻擊(正確答案)D.將操作系統(tǒng)的日期和時間設(shè)置為00/00/0000和00:00:00的攻擊答案解析：C.零日攻擊是指安全社區(qū)之前未知的攻擊，因此沒有可用的補丁。這些攻擊特別危險，因為在解決方案可用之前，它們可能非常有效。其他描述的攻擊都是已知的攻擊，不會被歸類為零日事件。50.Grant作為可能訴訟的準(zhǔn)備的一部分正在收集記錄，并擔(dān)心他的團隊可能花費過多的時間收集可能不相關(guān)的信息。根據(jù)《聯(lián)邦民事訴訟規(guī)則》（FCRP）中的概念，確保在電子發(fā)現(xiàn)的過程中不會因為利益不超過成本而產(chǎn)生額外的時間和費用是什么？[單選題]*A.工具輔助審查B.合作C.毀損D.比例原則(正確答案)答案解析：D.額外的發(fā)現(xiàn)必須與其所需的額外成本成比例。這樣可以防止額外的發(fā)現(xiàn)請求變得過于昂貴，并且請求者通常需要向主持案件的法官證明這些請求的合理性。51.在一次事件調(diào)查中，調(diào)查人員與一位可能擁有有關(guān)事件信息但并非嫌疑人的系統(tǒng)管理員會面。在此次會議期間，進行了哪種類型的對話？[單選題]*A.面試(正確答案)B.審問C.既是面試又是審問D.既不是面試也不是審問答案解析：A.面談發(fā)生在調(diào)查人員與可能擁有與調(diào)查相關(guān)的信息但不是嫌疑人的個人會面時。如果這個人是嫌疑人，那么會面就是審訊。52.以下圖像中使用了哪種技術(shù)來保護知識產(chǎn)權(quán)？[單選題]*A.隱寫術(shù)B.切割C.采樣D.數(shù)字水印(正確答案)答案解析：D.圖片明顯包含了美國地質(zhì)調(diào)查局（USGS）的水印，以確保任何看到這張圖片的人都知道其來源。僅通過查看圖片無法確定是否使用了隱寫術(shù)。采樣和剪切是數(shù)據(jù)分析技術(shù)，不用于保護圖片。53.作為業(yè)務(wù)連續(xù)性計劃（BCP）工作的一部分，您正在評估一個地區(qū)的洪水風(fēng)險。您查閱了聯(lián)邦緊急事務(wù)管理局（FEMA）的洪水地圖。根據(jù)這些地圖，該地區(qū)位于一個200年一遇的洪水區(qū)域內(nèi)。在該地區(qū)，洪水發(fā)生的年平均發(fā)生率（ARO）是多少？[單選題]*A.200B.0.01C.0.02D.0.005(正確答案)答案解析：D.年化發(fā)生率（ARO）是指每年預(yù)期發(fā)生的事件次數(shù)。對于200年一遇的洪水平原，規(guī)劃者應(yīng)該預(yù)計每200年發(fā)生一次洪水。這相當(dāng)于每年發(fā)生洪水的概率為1/200，即每年發(fā)生0.005次洪水。54.在大多數(shù)防御良好的組織中，以下哪種個體對安全構(gòu)成了最大風(fēng)險？[單選題]*A.政治活動人士B.惡意內(nèi)部人員(正確答案)C.程序小子D.刺激性攻擊者答案解析：B.盡管所有惡意意圖的黑客都對組織構(gòu)成風(fēng)險，但惡意內(nèi)部人員對安全構(gòu)成的風(fēng)險最大，因為他們可能對敏感系統(tǒng)擁有合法訪問權(quán)限，并可能將其用作發(fā)起攻擊的起點。其他攻擊者則沒有這個優(yōu)勢。55.Veronica正在考慮實施一種顧問推薦的數(shù)據(jù)庫恢復(fù)機制。在推薦的方法中，每天晚上自動化流程將數(shù)據(jù)庫備份從主設(shè)施移動到離線位置。顧問描述的是哪種類型的數(shù)據(jù)庫恢復(fù)技術(shù)？[單選題]*A.遠(yuǎn)程日志記錄B.遠(yuǎn)程鏡像C.電子保管(正確答案)D.事務(wù)日志記錄答案解析：C.在電子保險庫的方法中，自動化技術(shù)將數(shù)據(jù)庫備份從主數(shù)據(jù)庫服務(wù)器定期移動到遠(yuǎn)程站點，通常是每天一次。事務(wù)日志記錄不是單獨的恢復(fù)技術(shù)；它是用于生成遠(yuǎn)程日志傳輸中使用的日志的過程。遠(yuǎn)程日志傳輸以比電子保險庫更頻繁的方式將事務(wù)日志傳輸?shù)竭h(yuǎn)程站點，通常是每小時一次。遠(yuǎn)程鏡像在備份站點維護一個實時數(shù)據(jù)庫服務(wù)器，并在主站點上鏡像所有事務(wù)。56.在設(shè)計訪問控制方案時，Hilda設(shè)置了角色，以確保同一個人不具備同時創(chuàng)建新用戶賬戶和分配超級用戶權(quán)限的能力。Hilda遵循的是哪個信息安全原則？[單選題]*A.最小權(quán)限B.職責(zé)分離(正確答案)C.工作輪換D.安全性通過混淆答案解析：B.Hilda的設(shè)計遵循責(zé)任分離原則。給予一個用戶創(chuàng)建新帳戶和授予管理權(quán)限的能力將兩個操作結(jié)合在一起，這將導(dǎo)致顯著的安全變更，應(yīng)該分配給兩個用戶進行處理。57.Patrick負(fù)責(zé)為他的組織實施威脅獵殺計劃。在計劃工作時，他應(yīng)該使用以下哪項作為威脅獵殺計劃的基本假設(shè)？[單選題]*A.安全控制是使用深度防御策略設(shè)計的。B.審計可能會揭示控制缺陷。C.攻擊者可能已經(jīng)存在于網(wǎng)絡(luò)中。(正確答案)D.防御機制可能存在未修補的漏洞。答案解析：C.盡管Patrick可能對這次練習(xí)有所有這些假設(shè)，但威脅狩獵練習(xí)的基本假設(shè)是所謂的被入侵的假設(shè)。這意味著Patrick應(yīng)該假設(shè)攻擊者已經(jīng)成功進入了他的系統(tǒng)，然后尋找攻擊者存在的跡象。58.Brian正在為組織的災(zāi)難恢復(fù)計劃開發(fā)培訓(xùn)項目，并希望確保參與者了解災(zāi)難活動何時結(jié)束。以下哪個事件標(biāo)志著災(zāi)難恢復(fù)過程的完成？[單選題]*A.保護財產(chǎn)和人身安全B.在備用設(shè)施中恢復(fù)運營C.在主設(shè)施中恢復(fù)運營(正確答案)D.解散第一響應(yīng)人員答案解析：C.災(zāi)難恢復(fù)過程的最終目標(biāo)是在主要設(shè)施中恢復(fù)正常的業(yè)務(wù)運營。其他列出的所有操作可能在災(zāi)難恢復(fù)過程中發(fā)生，但在組織再次在其主要設(shè)施中正常運行之前，該過程尚未完成。59.Melanie懷疑有人在使用惡意軟件從她公司竊取計算資源。以下哪個安全工具最適合檢測這種類型的事件？[單選題]*A.NIDS（網(wǎng)絡(luò)入侵檢測系統(tǒng)）B.防火墻C.HIDS（主機入侵檢測系統(tǒng)）(正確答案)D.DLP（數(shù)據(jù)丟失預(yù)防）答案解析：C.基于主機的入侵檢測系統(tǒng)（HIDS）可能能夠檢測到系統(tǒng)上運行的未經(jīng)授權(quán)的進程。其他提到的控制，如網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）、防火墻和數(shù)據(jù)丟失防護系統(tǒng)（DLP），都是基于網(wǎng)絡(luò)的，可能不會注意到惡意進程。60.Brandon觀察到網(wǎng)絡(luò)上一名經(jīng)過授權(quán)的系統(tǒng)用戶最近濫用了他的賬戶，利用系統(tǒng)漏洞攻擊了一個共享服務(wù)器，從而獲取了該服務(wù)器的超級用戶權(quán)限。發(fā)生了什么類型的攻擊？[單選題]*A.拒絕服務(wù)B.特權(quán)升級(正確答案)C.偵察D.暴力破解答案解析：B.場景描述了一種特權(quán)升級攻擊，其中一個擁有授權(quán)訪問系統(tǒng)的惡意內(nèi)部人員濫用了訪問權(quán)限以獲取特權(quán)憑證。61.Carla在公司工作了15年，擔(dān)任了各種不同的職位。每次她換職位時，她都會獲得與該職位相關(guān)的新特權(quán)，但沒有收回任何特權(quán)。以下哪個概念描述了她所積累的特權(quán)集合？[單選題]*A.權(quán)利B.特權(quán)蔓延(正確答案)C.傳遞性D.隔離答案解析：B.Carla的賬戶經(jīng)歷了權(quán)限累積，即特權(quán)隨時間累積的情況。這種情況也被稱為特權(quán)蔓延，很可能違反了最小權(quán)限原則。62.在事件響應(yīng)過程的哪個階段，管理員會采取措施限制事件的影響或范圍？[單選題]*A.檢測B.響應(yīng)C.緩解(正確答案)D.恢復(fù)答案解析：C.事件響應(yīng)的緩解階段專注于采取行動以控制事故期間產(chǎn)生的損害，包括限制事故的范圍和/或影響。檢測階段識別事故的發(fā)生。響應(yīng)階段包括組建團隊和對事故進行分流的步驟?；謴?fù)階段恢復(fù)正常運營。對于問題63-66，請參考以下場景：Ann是一家中型企業(yè)的安全專業(yè)人員，通常負(fù)責(zé)組織的日志分析和安全監(jiān)控任務(wù)。她的一個職責(zé)是監(jiān)視來自組織入侵檢測系統(tǒng)的警報。該系統(tǒng)通常每天會產(chǎn)生幾十個警報，但在她調(diào)查后，其中許多警報都被證明是誤報。今天早上，入侵檢測系統(tǒng)發(fā)出警報，因為網(wǎng)絡(luò)開始接收異常高數(shù)量的入站流量。Ann收到了這個警報，并開始調(diào)查流量的來源。63.在事件響應(yīng)過程中的這一點上，哪個術(shù)語最能描述Ann的組織發(fā)生了什么？[單選題]*A.安全事件B.安全事件C.安全事件(正確答案)D.安全入侵答案解析：C.在此過程中，Ann沒有理由相信任何實際的安全妥協(xié)或違反政策的發(fā)生，因此這種情況不符合安全事件或入侵的標(biāo)準(zhǔn)。相反，入侵檢測系統(tǒng)生成的警報只是需要進一步調(diào)查的安全事件。安全事件不是常用的事件處理術(shù)語。64.Ann繼續(xù)調(diào)查并意識到警報產(chǎn)生的流量是在端口53上異常高的入站UDP流量。通常使用該端口的是哪種服務(wù)？[單選題]*A.DNS（域名系統(tǒng)）(正確答案)B.SSH/SCP（安全外殼協(xié)議/安全拷貝協(xié)議）C.SSL/TLS（安全套接層/傳輸層安全協(xié)議）D.HTTP（超文本傳輸協(xié)議）答案解析：A.DNS流量通常使用TCP和UDP通信的53號端口。SSH和SCP使用TCP22號端口。SSL和TLS沒有為其分配端口，但通常在443號端口上用于HTTPS流量。未加密的HTTPWeb流量通常使用80號端口。65.當(dāng)Ann進一步分析流量時，她意識到流量來自許多不同的來源，并且已經(jīng)超載了網(wǎng)絡(luò)，阻止了合法的使用。入站數(shù)據(jù)包是對她在出站流量中未看到的查詢的響應(yīng)。這些響應(yīng)在其類型上異常大。Ann應(yīng)該懷疑哪種類型的攻擊？[單選題]*A.偵察B.惡意代碼C.系統(tǒng)滲透D.拒絕服務(wù)(正確答案)答案解析：D.在此場景中描述的攻擊具有拒絕服務(wù)攻擊的特點。更具體地說，Ann的組織很可能遭受了DNS放大攻擊，其中攻擊者向第三方DNS服務(wù)器發(fā)送偽造的請求，使用一個屬于目標(biāo)系統(tǒng)的偽造源IP地址。由于攻擊使用的是UDP請求，因此沒有三次握手。攻擊數(shù)據(jù)包被精心制作，以從短查詢中引發(fā)長時間的響應(yīng)。這些查詢的目的是生成大量足以淹沒目標(biāo)網(wǎng)絡(luò)或系統(tǒng)的響應(yīng)。66.現(xiàn)在Ann了解到發(fā)生了一次違反組織安全策略的攻擊，哪個術(shù)語最能描述Ann的組織發(fā)生了什么？[單選題]*A.安全事件B.安全事件(正確答案)C.安全事件D.安全入侵答案解析：B.現(xiàn)在Ann懷疑她的組織受到了攻擊，她有足夠的證據(jù)來宣布這是一個安全事件。正在進行的攻擊似乎破壞了她網(wǎng)絡(luò)的可用性，滿足安全事件的一個標(biāo)準(zhǔn)。這是一個比安全事件更嚴(yán)重的升級，但沒有達到入侵的程度，因為沒有證據(jù)表明攻擊者甚至嘗試訪問Ann網(wǎng)絡(luò)上的系統(tǒng)。安全事件不是常用的事件處理術(shù)語。67.Frank試圖在法庭上將一臺黑客的筆記本電腦作為證據(jù)提交，證明黑客犯罪行為。該筆記本電腦確實包含日志，表明黑客犯罪行為，但法庭裁定搜查公寓的行為違憲，導(dǎo)致警方找到該筆記本電腦。哪個準(zhǔn)入標(biāo)準(zhǔn)阻止Frank將該筆記本電腦作為證據(jù)提交？[單選題]*A.實質(zhì)性（Materiality）B.相關(guān)性（Relevance）C.傳聞（Hearsay）D.能力（Competence）(正確答案)答案解析：D.為了被接受為證據(jù)，證據(jù)必須具有相關(guān)性、實質(zhì)性和合法性。在這種情況下，筆記本電腦顯然是實質(zhì)性的，因為它包含與所討論的犯罪相關(guān)的日志。它也是相關(guān)的，因為它提供了與黑客與犯罪相關(guān)的證據(jù)。它不合法，因為這些證據(jù)并非合法獲得的。68.Gordon懷疑一名黑客侵入了他公司的系統(tǒng)。該系統(tǒng)不包含任何受監(jiān)管的信息，Gordon想代表公司進行調(diào)查。他得到了主管的許可進行調(diào)查。以下哪種說法是正確的？[單選題]*A.Gordon在開始調(diào)查之前，法律上有義務(wù)與執(zhí)法部門聯(lián)系。B.Gordon不能進行自己的調(diào)查。C.Gordon的調(diào)查可能包括檢查硬盤、網(wǎng)絡(luò)流量和公司的任何其他系統(tǒng)或信息的內(nèi)容。(正確答案)D.Gordon在確定了肇事者后可以合法地執(zhí)行“反擊”活動。答案解析：C.Gordon可以根據(jù)自己的意愿進行調(diào)查，并使用任何合法獲得的信息，包括屬于雇主的信息和系統(tǒng)。他沒有義務(wù)與執(zhí)法機構(gòu)聯(lián)系。然而，Gordon不可以進行"反向黑客"活動，因為這可能構(gòu)成違法行為和/或（ISC）2的道德準(zhǔn)則違規(guī)行為。69.以下哪種工具為組織提供了最大程度的保護，以防止軟件供應(yīng)商破產(chǎn)？[單選題]*A.服務(wù)級別協(xié)議（SLA）B.托管協(xié)議(正確答案)C.相互援助協(xié)議（MAA）D.PCIDSS合規(guī)協(xié)議答案解析：B.軟件托管協(xié)議將軟件包的源代碼副本交給獨立的第三方，如果供應(yīng)商停止業(yè)務(wù)運營，第三方將將代碼交給客戶。如果供應(yīng)商倒閉，服務(wù)級別協(xié)議、相互援助協(xié)議和合規(guī)協(xié)議的有效性會受到一定程度或全部損失。70.Fran正在考慮為她的銀行制定新的人力資源政策，以遏制欺詐行為。她計劃實施強制休假政策。通常認(rèn)為最短的有效強制休假期限是多久？[單選題]*A.兩天B.四天C.一周(正確答案)D.一個月答案解析：C.大多數(shù)安全專家建議休假至少一周，最好是兩周，以防止欺詐行為。這樣做的理念是在員工離開且沒有執(zhí)行掩蓋行為所需的訪問權(quán)限的時間內(nèi)，會揭示出欺詐計劃。73.Allie負(fù)責(zé)審核組織網(wǎng)絡(luò)的身份驗證日志。她沒有時間查看所有日志，所以她決定只選擇那些出現(xiàn)四次或更多次無效身份驗證嘗試的記錄。Allie使用了什么技術(shù)來減小日志池的大??？[單選題]*A.采樣（Sampling）B.隨機選擇（Randomselection）C.剪輯（Clipping）(正確答案)D.統(tǒng)計分析（Statisticalanalysis）答案解析：C.從大量記錄中選擇進一步分析的兩種主要方法是抽樣和剪輯。抽樣使用統(tǒng)計技術(shù)選擇代表整個數(shù)據(jù)集的樣本，而剪輯使用閾值值選擇那些超過預(yù)定義閾值的記錄，因為它們可能是分析人員最感興趣的記錄。74.在對網(wǎng)絡(luò)上的潛在僵尸感染進行調(diào)查時，您想對網(wǎng)絡(luò)內(nèi)部和互聯(lián)網(wǎng)上的不同系統(tǒng)之間傳遞的信息進行取證分析。您認(rèn)為這些信息很可能已加密。您是在活動結(jié)束后開始調(diào)查的。獲得此信息來源的最佳且最簡單的方法是什么？[單選題]*A.報文捕獲B.NetFlow（網(wǎng)絡(luò)流量分析）數(shù)據(jù)(正確答案)C.入侵檢測系統(tǒng)日志D.集中身份驗證記錄答案解析：B.NetFlow數(shù)據(jù)包含有關(guān)所有網(wǎng)絡(luò)通信的源地址、目的地址和大小，并且通常作為正?；顒颖４?。數(shù)據(jù)包捕獲數(shù)據(jù)將提供相關(guān)信息，但必須在可疑活動期間進行捕獲，并且除非組織已經(jīng)進行100%的數(shù)據(jù)包捕獲（這很少見），否則無法在事后重新創(chuàng)建。此外，使用加密會限制數(shù)據(jù)包捕獲的效果。入侵檢測系統(tǒng)日志不太可能包含相關(guān)信息，因為加密的流量可能不會與入侵檢測簽名匹配。集中身份驗證記錄不包含與網(wǎng)絡(luò)流量相關(guān)的信息。75.以下哪種工具通過為操作系統(tǒng)和應(yīng)用程序提供標(biāo)準(zhǔn)、安全的配置設(shè)置模板，幫助系統(tǒng)管理員？[單選題]*A.安全指南B.安全策略C.基線配置(正確答案)D.運行配置答案解析：C.基線配置用作配置安全系統(tǒng)和應(yīng)用程序的起點。它們包含遵守組織安全政策所需的安全設(shè)置，并可以根據(jù)實現(xiàn)的特定需求進行定制。雖然安全政策和準(zhǔn)則可能包含用于保護系統(tǒng)所需的信息，但它們不包含可應(yīng)用于系統(tǒng)的一組配置設(shè)置。系統(tǒng)的運行配置是當(dāng)前應(yīng)用的設(shè)置集，可能是安全的，也可能不是。在這種情況下，Allie只選擇超過無效登錄閾值的記錄，這是剪輯的一個例子。她沒有使用統(tǒng)計技術(shù)選擇記錄的子集，因此這不是抽樣的例子。76.哪種類型的災(zāi)難恢復(fù)測試會啟用備用處理設(shè)施并使用其進行交易，但主要站點仍在運行？[單選題]*A.完全中斷測試B.并行測試(正確答案)C.清單審查D.桌面推演答案解析：B.并行測試中，團隊實際上會啟動災(zāi)難恢復(fù)站點進行測試，但主站點仍然正常運行。完全中斷測試中，團隊關(guān)閉主站點并確認(rèn)災(zāi)難恢復(fù)站點能夠處理正常運營。完全中斷測試是最徹底的測試，但也是最具破壞性的。清單審查是最不具破壞性的災(zāi)難恢復(fù)測試類型。在清單審查期間，團隊成員各自審查其災(zāi)難恢復(fù)清單的內(nèi)容，并提出任何必要的更改。在桌面推演期間，團隊成員聚集在一起，按照情景進行演練，而不對信息系統(tǒng)進行任何更改。77.在事件響應(yīng)過程的哪個階段，分析師會接收入侵檢測系統(tǒng)的警報并驗證其準(zhǔn)確性？[單選題]*A.響應(yīng)B.緩解C.檢測(正確答案)D.報告答案解析：C.在事件響應(yīng)過程的檢測階段，既會接收警報，也會驗證其準(zhǔn)確性。78.Kevin正在為組織制定持續(xù)安全監(jiān)控策略。在確定評估和監(jiān)控頻率時，通常不使用以下哪項？[單選題]*A.威脅情報B.系統(tǒng)分類/影響級別C.安全控制運營負(fù)擔(dān)(正確答案)D.組織的風(fēng)險容忍度答案解析：C.根據(jù)NISTSP800-137，組織應(yīng)使用以下因素來確定評估和監(jiān)控頻率：安全控制的變動性、系統(tǒng)分類/影響級別、提供關(guān)鍵功能的安全控制或特定評估對象、已知弱點的安全控制、組織的風(fēng)險容忍度、威脅信息、漏洞信息、風(fēng)險評估結(jié)果、監(jiān)控策略審查的輸出以及報告要求。79.Hunter正在審查他組織的監(jiān)控策略，并確定他們可能部署的新技術(shù)。他的評估顯示，公司在監(jiān)控終端設(shè)備上的員工活動方面做得還不夠。以下哪種技術(shù)最能滿足他的需求？[單選題]*A.EDR（終端檢測與響應(yīng)）B.IPS（入侵預(yù)防系統(tǒng)）C.IDS（入侵檢測系統(tǒng)）D.UEBA（用戶行為分析）(正確答案)答案解析：D.所有這些技術(shù)都有潛力監(jiān)視終端設(shè)備上的用戶行為?；卮疬@個問題的關(guān)鍵是要意識到對用戶的重視。入侵檢測和預(yù)防系統(tǒng)(IDS/IPS)側(cè)重于網(wǎng)絡(luò)和主機行為。端點檢測與響應(yīng)(EDR)系統(tǒng)側(cè)重于終端設(shè)備。用戶和實體行為分析(UEBA)解決方案側(cè)重于用戶，因此是滿足Hunter要求的最佳方式。80.Bruce在他的網(wǎng)絡(luò)上看到了相當(dāng)多的可疑活動。在查閱SIEM中的記錄后，似乎有外部實體正嘗試使用TCP連接在端口22上連接他的所有系統(tǒng)。外部人員很可能在進行哪種類型的掃描？[單選題]*A.FTP（文件傳輸協(xié)議）掃描B.Telnet（遠(yuǎn)程登錄協(xié)議）掃描C.SSH（安全外殼協(xié)議）掃描(正確答案)D.HTTP（超文本傳輸協(xié)議）掃描答案解析：C.SSH使用TCP端口22，因此這種攻擊很可能是在嘗試掃描開放或安全性較弱的SSH服務(wù)器。FTP使用端口20和21。Telnet使用端口23，HTTP使用端口80。81.Dylan認(rèn)為他的環(huán)境中的數(shù)據(jù)庫服務(wù)器遭到了SQL注入攻擊。在攻擊的修復(fù)階段，Dylan最有可能采取以下哪種行動？[單選題]*A.從備份中重建數(shù)據(jù)庫B.為Web應(yīng)用程序添加輸入驗證(正確答案)C.審查防火墻日志D.審查數(shù)據(jù)庫日志答案解析：B.糾正措施旨在解決導(dǎo)致事件發(fā)生的問題。在這種情況下，問題是一個容易受到SQL注入攻擊的Web應(yīng)用程序。添加輸入驗證旨在糾正這個漏洞。重新構(gòu)建數(shù)據(jù)庫是一種恢復(fù)操作，而審查日志是作為檢測和響應(yīng)工作的一部分進行的。82.Roger最近接受了一家在IaaS（基礎(chǔ)設(shè)施即服務(wù)）環(huán)境中運行其整個IT基礎(chǔ)設(shè)施的公司的安全專業(yè)人員職位。以下哪項最有可能是Roger公司的責(zé)任？[單選題]*A.配置網(wǎng)絡(luò)防火墻B.應(yīng)用虛擬化程序更新C.打補丁操作系統(tǒng)(正確答案)D.清除處理前的磁盤答案解析：C.在基礎(chǔ)設(shè)施即服務(wù)環(huán)境中，供應(yīng)商負(fù)責(zé)硬件和網(wǎng)絡(luò)相關(guān)的責(zé)任。這包括配置網(wǎng)絡(luò)防火墻、維護虛擬機監(jiān)視程序和管理物理設(shè)備?？蛻糌?fù)責(zé)在其虛擬機實例上打補丁操作系統(tǒng)。83.應(yīng)用程序開發(fā)人員可以使用什么技術(shù)在生產(chǎn)網(wǎng)絡(luò)允許應(yīng)用程序之前，在一個隔離的虛擬化環(huán)境中對其進行測試？[單選題]*A.滲透測試B.沙箱化(正確答案)C.白盒測試D.黑盒測試答案解析：B.沙箱是一種技術(shù)，應(yīng)用程序開發(fā)人員（或不信任應(yīng)用程序的接收者）可以在與生產(chǎn)系統(tǒng)隔離的虛擬環(huán)境中測試代碼。白盒測試、黑盒測試和滲透測試都是常見的軟件測試技術(shù)，但不需要使用隔離的系統(tǒng)。84.Gina是一家小型企業(yè)的防火墻管理員，最近安裝了一臺新的防火墻。在發(fā)現(xiàn)異常的大量網(wǎng)絡(luò)流量跡象后，她檢查了入侵檢測系統(tǒng)，系統(tǒng)報告稱正在進行SYN（同步）洪泛攻擊。Gina可以進行哪種防火墻配置更有效地防止這種攻擊？[單選題]*A.阻止來自已知IP的SYN（同步）B.阻止來自未知IP的SYN（同步）C.在防火墻上啟用SYN-ACK（同步-確認(rèn)）欺騙(正確答案)D.禁用TCP（傳輸控制協(xié)議）答案解析：C.雖然這可能不是最直觀的答案，但許多防火墻都內(nèi)置了防止SYN洪水攻擊的功能，它會代表受保護系統(tǒng)響應(yīng)SYN請求。一旦遠(yuǎn)程系統(tǒng)通過繼續(xù)三次握手證明是一個合法的連接，TCP會話的其余部分將被傳遞。如果連接被證明是攻擊，防火墻將使用適當(dāng)?shù)木徑饧夹g(shù)處理額外的負(fù)載。阻塞來自已知或未知IP地址的SYN可能會導(dǎo)致與應(yīng)該能夠連接的系統(tǒng)出現(xiàn)問題，而關(guān)閉TCP將破壞大多數(shù)現(xiàn)代網(wǎng)絡(luò)服務(wù)！86.Alan正在評估在他的網(wǎng)絡(luò)安全計劃中使用機器學(xué)習(xí)和人工智能的潛力。以下哪項活動最有可能從這項技術(shù)中受益？[單選題]*A.入侵檢測(正確答案)B.帳號設(shè)置C.防火墻規(guī)則修改D.媒體清除答案解析：A.雖然任何網(wǎng)絡(luò)安全活動都有可能從機器學(xué)習(xí)和人工智能技術(shù)中獲益，但這項技術(shù)在用于模式檢測和異常檢測問題時表現(xiàn)突出。入侵檢測系統(tǒng)就是進行這種活動的系統(tǒng)，因此這個系統(tǒng)從使用機器學(xué)習(xí)/人工智能技術(shù)中受益最多。87.TimberIndustries最近與一位客戶發(fā)生爭議。在與其客戶代表的會議上，客戶站起來宣稱：“沒有其他解決方案。我們必須將這個問題提交法院?！比缓笏x開了房間。TimberIndustries何時有責(zé)任開始保存證據(jù)？[單選題]*A.立即(正確答案)B.收到對方律師的訴訟通知后C.收到傳票后D.收到法院命令后答案解析：A.公司有責(zé)任在他們相信訴訟威脅即將出現(xiàn)時保留證據(jù)?？蛻羲f的“我們將不得不將此事提交法庭”明確是對訴訟的威脅，應(yīng)觸發(fā)保留相關(guān)文件和記錄的操作。88.Candace正在為她所在組織的文件服務(wù)器設(shè)計備份策略。她希望每個工作日進行一次備份，并使其所需的存儲空間盡可能小。她應(yīng)該進行什么類型的備份？[單選題]*A.增量備份(正確答案)B.完全備份C.差異備份D.事務(wù)日志備份答案解析：A.增量備份提供的選項包含的數(shù)據(jù)量最小。在這種情況下，只包括自最近一次增量備份以來修改的數(shù)據(jù)。差異備份將備份自上次全備份以來修改的所有數(shù)據(jù)，這是相當(dāng)大的數(shù)據(jù)量。全備份將包括服務(wù)器上的所有信息。事務(wù)日志備份專門用于支持?jǐn)?shù)據(jù)庫服務(wù)器，對文件服務(wù)器不起作用。89.Darcy是一位計算機安全專家，正在協(xié)助起訴一名黑客。檢察官要求