第頁cissp中文練習測試題附答案1.#223

在購買新軟件的過程中，必須在哪個過程中考慮安全性?A、征求建議書(RFP)B、實施C、供應商選擇D、合同談判【正確答案】：A2.話題一

問題#450

應該利用軟件開發生命周期(SDLC)中的哪種安全技術來最好地確保整個項目的安全開發?A、動態應用安全測試（DAST）B、瀑布C、簡單對象訪問協議D、靜態應用安全測試（SAST）【正確答案】：D3.Chris被要求選擇PEAP和LEAP中的一個,來進行無線身份驗證。他應該選擇什么,為什么?A、LEAP,因為它修復了TKIP的問題,導致更強的安全性B、PEAP,因為它使用CCMP實現安全性C、LEAP,因為它使用EAP-TLS實現端到端會話加密D、PEAP,因為它可通過封裝EAP方法提供一個TLS隧道,來保護整個會話【正確答案】：D解析：

PEAP(受保護的可擴展身份驗證協議)為EAP(可擴展身份驗證協議)方法提供加密,而且可以提供身份驗證。它并不實現CCMP(計數器模式密碼塊鏈消息完整碼協議),因為CCMP包含在WPA2標準中。因為自2000年初以來出現了一些針對LEAP(輕量級可擴展身體驗證協議)的攻擊工具,LEAP就變得不安全了,因此不應該使用它。4.公司最近經歷了在Connor看來是來自內部源的拒絕服務攻擊。如果是這樣,公司經歷了什么類型的事故?A、間謀B、保密性破壞C、內部破壞活動D、完整性破壞【正確答案】：C解析：

內部人員(如雇員)對組織的攻擊被稱為內部破壞活動。間謀和保密性破壞行為涉及盜竊敏感信息,但根據題意并沒有發生此類行為。完整性破壞涉及未經授權的信息修改,題中也沒有提到。5.若Chris的公司在歐盟經營,并已與第三方簽訂處理數據的合同,那么第三方充當什么角色?A、業務所有者B、任務所有者C、數據處理者D、數據管理員【正確答案】：C解析：

根據歐盟數據保護指令,代表數據所有者處理個人數據的第三方組織稱為數據處理者。和數據處理者簽訂合同的組織稱為業務所有者,Chris組織中的其他人將擔任數據管理員的角色,數據管理員根據數據的操作流程和數據分類對數據授予訪問權限。材料6:根據以下場景,回答下面3個問題Chris最近被一家新的組織雇傭,該組織使用以下分類計劃(1)設置分類數據的標準(2)為每類數據指定所有者(3)分類數據(4)為每個類別選擇要求的控制(5)為組織選擇安全基線(6)研究并調整控制(7)應用并執行控制(8)授權并管理訪問6.#68

為什么數據分類控制對組織很重要?A、啟用數據發現B、確保安全控制符合組織的風險偏好C、確保其完整性、機密性和可用性D、根據組織政策和法規控制數據保留【正確答案】：C7.#192

減少網絡暴露于基于Internet控制消息協議(ICMP)的攻擊的第一步是什么?A、實施網絡訪問控制列表(ACL)。B、實施入侵防御系統(IPS)。C、實施Web應用程序防火墻(WAF)。D、在組織的網絡邊界實施出口過濾。【正確答案】：A8.#11

哪種廣域網(WAN)技術需要路徑中的第一個路由器來確定數據包將通過的完整路徑，從而無需為路徑中的其他路由器做出獨立判斷?A、同步光網絡(SONET)B、多協議標簽交換(MPLS)C、以太網光纖通道(FCoE)D、會話發起協議(SIP)【正確答案】：B9.Gordon考慮黑客可能使用輻射來遠程讀取他所在組織的計算機監視器的內容。什么技術能防止該類型的襲擊?A、TCSECB、SCSIC、GHOSTD、TEMPEST【正確答案】：D解析：

TEMPEST程序使用的技術不易受到VanEck盜用電話線路攻擊的影響,因為它可以減少自然電磁輻射。10.根據以下情景回答后面的3個問題：Ben所在的組織有一個傳統的現場ActiveDirectory環境，該公司有350名員工，每增加一名員工都需要進行手動配置。隨著公司采用新技術，他們越來越多地使用軟件即服務應用程序來替換其內部開發的軟件堆棧。Ben的任務是設計一個身份管理系統，該系統允許公司使用云服務，同時應該支持現有的系統。使用給出的邏輯圖，回答關于以下問題。當Ben的組織向他們的電子商務云合作伙伴提供驗證和授權時，可能會涉及哪些技術?ActiveB、SAMLC、RADIUSD、SPML【正確答案】：B解析：

安全聲明標記語言（SAML）經常用于集成云服務，并允許進行身份驗證和授權聲明。ActiveDirectory的集成是可能的，但云服務提供者很少提供該項服務，并且RADIUS（遠程用戶撥號身份驗證系統）并非專門用于這樣的集成。服務配置標記語言（SPML）用于配置用戶、資源和服務，而不用于身份驗證和授權。11.#90

以下哪項可確保舊的日志數據不會被覆蓋?A、日志保留B、實施系統日志C、增加日志文件大小D、日志保存【正確答案】：A12.在安全審計期間,Susan發現組織正使用手形幾何掃描儀作為其安全數據中心的訪問控制機制。Susan應該對手形幾何掃描儀的使用提出什么建議?A、該項技術的FRR比較高,應該換成其他技術B、應該添加第二個因素,因為該項技術不能可靠地區分個體C、手形幾何掃描儀為數據中心提供適當的安全性,應考慮用于其他高安全性領域D、可能產生安全訪問問題,應考慮備用的生物識別系統【正確答案】：B解析：

手形幾何掃描儀只檢測人手的物理尺寸,不會驗證人的其他獨特因素,甚至不會去驗證他們是否活著。這意味著手形幾何掃描儀不應該作為唯一的身份驗證因素。手形幾何掃描儀的FRR(錯誤拒絕率)還可以接受,而且與其他生物識別系統相比,它簡單易獲取。13.1分防火墻是什么類型的訪問控制機制的一個示例?A、強制訪問控制B、基于屬性的訪問控制C、自主訪問控制D、基于規則的訪問控制【正確答案】：D解析：

防火墻基于規則集運行的,是基于規則的訪問控制方案的一個示例。14.VXLAN在數據中心環境中起到什么作用?A、它消除了以太網電纜最大距離的限制B、它允許多個子網存在在同-IP空間中的主機使用相同IP地址C、它在第3層網絡上建立第2層連接隨道,將它們延伸到底層的第3層網絡D、以上所有【正確答案】：C解析：

VXLAN通過第3層網絡傳輸第2層連接,本質上是將LAN擴展到其可能無法正常工作的距離或網絡上。它沒有消除以太網電纜的距離限制,也不允許多個子網使用相同IP空間一這需要NAT或其他重新映射地址來避免沖突的技術。15.Robert報告BetaParticles的當前狀態在SW-CMM的哪個階段?A、可定義B、可重復C、可優化D、可管理【正確答案】：A解析：

SW—CMM定義階段的標志是存在基本生命周期管理過程和代碼重用。它包括需求管理、軟件項目規劃、軟件質量保證和配置管理。材料24:請參照以下情景,回答問題。Robert是一位顧問,幫助組織創建和開發成熟的軟件開發實踐。他喜歡使用軟件能力成熟度模型(SW—CMM)來評估使用獨立審查和自我評估的組織的當前和未來狀態。他目前正在與兩個不同的客戶合作。AcmeWidgets不能很好地組織他們的軟件開發實踐。他們有一個專門的開發人員團隊(做任何事情)來輸出軟件,但他們沒有任何正式的過程。BetaParticles是一家軟件開發公司,多年使用正式的、文檔化軟件開發過程。他們使用標準模型進行軟件開發,但沒有對這些過程進行定量管理16.#3

一個組織想要實施一種授權機制將簡化各種系統訪問權限的分配許多具有相似工作職責的用戶。哪種類型的授權機制將是組織實施的最佳選擇?A、基于角色的訪問控制(RBAC)B、自主訪問控制(DAC)C、依賴于內容的訪問控制D、基于規則的訪問控制【正確答案】：A17.為了盡快預防漏洞，應該在在系統工程生命周期的哪個階段？A、設計B、測試C、開發【正確答案】：A18.Bell-LaPadula和Biba模型實現了什么狀態機模型?TheBell-LaPadulaandBibamodelsimplementstatemachinesinafashionthatuseswhatspecificstatemachinemodel?A、信息流InformationflowB、不干擾NoninterferenceC、級聯CascadingD、反饋Feedback【正確答案】：A19.Frank的團隊正在測試公司的開發團隊為其應用程序基礎架構開發的新API。以下哪項不是你希望Frank的團隊發現的常見API問題?A、不正確的加密B、客體級別授權問題C、用戶認證問題D、缺乏速率限制【正確答案】：A解析：

AP通常通過HTTPS為Web應用程序傳輸數據,這意味著API本身不負責加密。如果Frank的團隊發現TLS未啟用,他們將需要與基礎設施或系統管理團隊合作,以確保啟用并使用TLS,而不是更改API。對象訪問授權、身份驗證弱點和速率限制都是常見的API問題。如果你不熟悉在API中可能遇到的問題類型,可以在:.OWASP.API-Security.blob.master.2019.en.dist.owasp-api-security-top-10.pdf上的OWASPAPI安全性top10中閱讀有關它們的更多信息。20.#263

信息安全管理員希望阻止通過超文本傳輸協議(HTTP)隧道的對等(P2P)流量。開放系統互連(OSI)模型的以下哪些層需要檢查?A、申請B、運輸C、會議D、介紹【正確答案】：A21.Lauren的組織已經使用了流行的即時消息服務多年。最近,已經提出了對即時消息的使用的關注。使用下面的圖表,回答關于即時消息的問題,從A到B發送內部通信會引起什么安全問題?A、防火墻不能保護系統B、?C、系統C可以看到從系統A到B的廣播流量D、它通過未加密的協議傳播E、IM不提供不可否認性【正確答案】：C解析：

HTTP流量通常經由TCP80號端口發送。A和B之間的任何點都可以很容易地捕獲未加密的HTTP流量,這意味著這種即時消息解決方案不能為組織的公司通信提供機密性。材料12:Lauren的組織已經使用了流行的即時消息服務多年。最近,已經提出了對即時消息的使用的關注。使用下面的圖表,回答關于即時消息的問題22.#368

在允許Web應用程序進入生產環境之前，安全從業人員執行多種類型的測試以確認Web應用程序按預期執行。為了測試用戶名字段，安全從業人員創建了一個測試，在該字段中輸入的字符數超過了允許的字符數。以下哪項最好描述了所執行的測試類型?A、誤用案例測試B、接口測試C、Web會話測試D、滲透測試【正確答案】：A23.1分以下哪些工具通常不用于驗證組織的安全策略配置?A、日志審查B、人工審查權限C、基于簽名的檢測D、審查審計線索【正確答案】：C解析：

雖然基于簽名的檢測用于檢測攻擊,但是配置過程的審查通常涉及檢查日志、審查審計線索或執行人工審查權限。24.#115

以下哪項最適合收集零日攻擊的證據?A、蜜罐B、反垃圾郵件C、防病毒D、防火墻【正確答案】：A25.為保證報告階段不出問題，規劃階段中的核心問題是?A、使用哪種CVE格式B、如何存儲和發送漏洞數據C、哪些目標是范圍外的D、報告應該有多長時間【正確答案】：B解析：

滲透測試報告通常包括可能造成額外曝光的那些信息。因此，確定如何存儲和發送漏洞數據至關重要。漏洞評估和開發階段，目標之外發生的事情更可能導致問題，而且測試報告的篇幅不應受到限制，只要它們能夠達到測試目標即可。26.Chris負責整個公司的工作站,他知道公司的一些工作站用于處理專有信息和高度敏感的商業機密。以下哪項最能描述他負責的工作站在生命周期結束(EOL)時應該發生的情況?A、擦除B、清理C、凈化D、銷毀【正確答案】：D解析：

銷毀是確保數據無法泄露的最完整方法,組織通常選擇銷毀驅動器或整個工作站或設備,以確保數據無法恢復或泄露。凈化是一系列流程的組合,可確保無法通過任何方式恢復系統中的數據。擦除和清除都容易出現錯誤和技術問題,可能會導致殘留數據,并且對于處理專有信息的系統沒有意義。27.#145

安全運營中心(SOC)已收到可靠情報，表明威脅行為者正計劃使用破壞性病毒的多種變體進行攻擊。在獲得該病毒變種的樣本集并對其進行逆向工程以了解它們的工作原理后，發現了一個共性。所有變體都被編碼為寫入特定的內存位置。確定該病毒對組織沒有威脅，因為他們有遠見，可以在所有端點上啟用什么功能?A、地址空間布局隨機化(ASLR)B、可信平臺模塊(TPM)C、虛擬化D、進程隔離【正確答案】：A28.保險公司把PII數據處理外包給了外包商，外包商又把部分處理分包給了分銷商。請問主要哪一方負責數據的分類分級？A、公司B、外包商C、分銷商D、三方一起【正確答案】：A29.#58

哪種技術可以幫助系統設計人員考慮其系統和應用程序的潛在安全問題?A、威脅建模B、人工檢查和審查C、源代碼審查D、滲透測試【正確答案】：A30.#291

以下哪種類型的防火墻僅在轉發流量之前檢查數據包之間的“握手”?A、代理防火墻B、電路級防火墻C、網絡地址轉換(NAT)防火墻D、基于主機的防火墻【正確答案】：B31.以下哪個加利福尼亞法律要求在收集加利福尼亞居民個人信息的商業網站上明確公布隱私策略?A、個人信息保護和電子文件法案B、加利福尼亞在線隱私保護法案C、加利福尼亞在線網絡隱私法案D、加利福尼亞民法1798.82【正確答案】：B解析：

加利福尼亞在線隱私保護法案(COPPA)要求商業網站和服務運營商在收集加利福尼亞州居民的個人信息時必須醒目地公布隱私策略。個人信息保護和電子文件法案是加拿大的隱私法,加利福尼亞民法1798.82是需要違約通知的加利福尼亞州法律的一部分。不存在加利福尼亞在線網絡隱私法32.在防御彩虹表攻擊時,添加到密碼中的隨機值名稱是什么?A、散列B、鹽C、補充劑D、鋼筋【正確答案】：B解析：

鹽是在密碼被操作系統執行散列操作之前添加到密碼中的隨機值。然后,鹽存儲在帶有散列密碼的密碼文件中。這種方法增加了密碼分析攻擊的復雜性,可有效地抵抗使用預先計算的散列值(例如彩虹表)的攻擊。33.Susan希望通過多個互聯網服務提供商來保護她的通信流量,因為這些流量被發送到她公司的另外一個位置。她應該使用什么技術來保護站點之間始終在線、始終連接的流量?A、FCOEB、SDWANC、AD、Zigbee【正確答案】：C解析：

點對點IPsecVPN可以在兩個站點之間持續提供和建立一個安全、加密的通道,確保Susan的流量不會在其傳輸路徑上暴露。FCoE是以太網光纖通道,是一種存儲協議。SD—WAN是一種軟件定義的廣域網,而Zigbee是一種低功耗無線協議。這些都不能滿足Susan的需要。34.一個程序的什么部分包含存儲器和程序可能獲得的資源地址設置上的限制?A、邊界B、約束限制C、界定D、界限【正確答案】：D解析：

在系統上運行的每個進程都有物理或邏輯界限,例如存儲器。35.Ben的團隊正嘗試對事務標識問題進行分類,問題是由多個服務器共享的對稱密鑰導致的。這屬于什么STRIDE類別?A、信息泄露B、拒絕服務C、篡改D、否認【正確答案】：D解析：

由于共享對稱密鑰可被任何服務器使用,因此由共享密鑰引起的事務識別問題可能涉及否認問題。如果服務器無法唯一標識加密的事務,則不能證明其來自特定的服務器。用STRIDE來評估他們的軟件,并確定了威脅代理和這些威脅可能產生的業務影響。現在,他們正努力確定所標出的問題的適當控制方式。使用STRIDE模型回答以下三個問題36.以下真值表描述了什么邏輯操作?A、或B、和C、異或D、或非【正確答案】：C解析：

當且僅當輸入值中只有一個為真,另一個為假時,異或(XOR)運算結果為真。37.#323

一個組織計劃購買一個商業現貨(COTS)系統來替換他們老化的自制報告系統。組織的安全團隊應該在什么時候首先參與此次收購的生命周期?A、當系統被驗證和驗證時B、當表達了對系統的需求并且記錄了系統的目的時C、系統部署到生產時D、當系統被設計、購買、編程、開發或以其他方式建造時【正確答案】：B38.#233

在確定數據和信息資產處理時，無論使用何種特定工具集，以下哪一項是常見的

大數據的組成部分?A、分布式存儲位置B、集中處理地點C、分布式數據收集D、綜合數據收集【正確答案】：A39.Amold正在創建一個新的軟件包,并使用了OpenSSL庫。哪項術語最能描述他正在使用的庫?A、開源B、COTSC、第三方D、托管【正確答案】：A解析：

OpensSL包是一個廣泛使用的TLS加密的應用,并且可作為開源包使用。它不是商業現成軟件(COTS).雖然它可能由第三方開發,但將其描述為開源更為準確。該庫可作為代碼免費使用,但不能作為托管服務。40.要使用自動化工具測試Web瀏覽器對意外數據的處理,應該選擇什么工具?A、NmapB、zzufC、NessusD、Nikto【正確答案】：B解析：

zzuf是所有選項中唯一的模糊器,zzuf通過修改網絡和輸入到應用程序的文件,與Web瀏覽器和圖像瀏覽器等軟件協同工作。Nmap是一個端口掃描器,Nessus是一個漏洞掃描器,Nikto是一個Web服務器掃描晶。41.采用SCAP有什么好處？A、可以在系統中使用統一的安全語言B、減少安全開支【正確答案】：A42.一般能夠阻止大多數人攀越的圍墻最低高度是多少?A、3英尺B、4英尺C、5英尺D、6英尺【正確答案】：D解析：

圍欄一般應至少高6英尺。如果一個物理安全系統需要明確阻止某類入侵者,它應該至少8英尺高,頂部還應有三股鐵絲網。43.通過創建和交換令牌是為了阻止什么類型的攻擊?A、XSSB、CSRFC、SQL注入D、XACML【正確答案】：B解析：

在OAuth會話期間交換的防偽狀態令牌旨在防止跨站點請求偽造。這樣,具有來自GoogleOAuth服務的身份驗證響應的唯一會話令牌可用于確認是用戶(而不是攻擊者)發出請求。XSS攻擊專注于腳本,并且涉及腳本標簽,SQL注入將包含SQL代碼,XACML是可擴展的訪問控制標記語言,而不是一種攻擊類型。Chris是一家電子商務網站的身份架構師,這家網站希望利用社會身份。為此,他的團隊打算允許用戶在使用電子商務網站時,使用他們現有的Google賬戶作為主要賬戶。這意味著,當新用戶最初連接到電子商務平臺時,可以選擇使用他們的Google+賬戶,或在平臺上使用自己的電子郵件地址和自選的密碼創建一個新賬戶。使用該信息和下圖,回答問題。44.這里顯示了什么網絡拓撲?A、環型B、總線型C、星型D、網狀【正確答案】：C解析：

星型拓撲結構使用一個中心來連接其他設備。以太網網絡可能在物理上看起來像一顆星，但是邏輯上它們是一個總線拓撲。45.#280

安全工程師需要將安全集成到由小組實施的軟件項目中，這些小組可以快速、持續、獨立地開發、測試并將代碼部署到云中。工程師最有可能與哪個軟件開發過程集成?A、Devops集成產品團隊(IPT)B、結構化瀑布程序開發C、面向服務的架構（SOA）D、螺旋法【正確答案】：D46.#163

以下哪一項是系統或安全故障的最常見原因?A、缺乏物理安全控制B、缺乏變更控制C、缺乏日志記錄和監控D、缺乏系統文件【正確答案】：B47.#120

一個組織為一個新項目申請了存儲區域網絡(SAN)磁盤。什么獨立磁盤冗余陣列(RAID)級別可提供最佳冗余和容錯能力?A、RAID級別1B、RAID級別3C、RAID級別4D、RAID級別5【正確答案】：A48.#167

軟件定義網絡(SDN)的構建塊需要以下哪一項?A、SDN完全由客戶端-服務器對組成。B、隨機存取內存(RAM)優先于虛擬內存使用。C、SDN主要由虛擬機（VM）組成。D、虛擬內存優先于隨機存取內存(RAM)。【正確答案】：C49.Renee是一名軟件開發人員,為她的組織使用Node.js編寫代碼。該公司正在考慮從自托管的Node.js環境轉移到Renee由云供應商管理的應用服務器上,運行她的代碼環境。Renee的公司正在考慮哪種類型的云解決方案?A、laasB、CaasC、PaasD、Saas【正確答案】：C解析：

在平臺即服務解決方案中,客戶提供應用程序代碼,然后由供應商在自己的基礎設施上執行。50.當根據介質中所包含數據分類對該介質進行標記時,通常會應用什么規則來標記?A、基于數據的完整性需求來標記B、基于介質中包含的最高數據分類級別來標記C、基于介質中包含的所有數據分類級別來標記D、基于介質中包含的最低數據分類級別來標記【正確答案】：B解析：

介質通常根據其包含的數據最高分類級別來標記,這樣一來,可保護處于較低級別的數據。在數據分類過程中可能會對數據完整性有所要求,但這和介質標記是不一樣的。51.#320

使用網絡準入控制(NAC)有什么好處?A、NAC僅支持Windows操作系統(OS)。B、NAC支持在允許會話進入授權狀態之前驗證端點的安全狀態。C、NAC在允許網絡準入之前可能要求使用證書、密碼或兩者的組合。D、可以在允許網絡訪問之前驗證操作系統(OS)版本。【正確答案】：B52.#360

以下哪項最好的方法可確保對預期接收者的交易的完整性?A、公鑰基礎設施(PKI)B、區塊鏈技術C、預共享密鑰（PSK）D、信任網絡【正確答案】：A53.#466

以下哪項原則旨在培養具有遠見和主動響應能力的信息安全專業人員?A、信息安全意識B、信息安全計劃C、信息安全教育D、信息安全認證【正確答案】：C54.Helen是軟件工程師,正在開發限制在獨立沙箱中運行的代碼。Helen使用的是什么軟件開發技術?A、邊界B、輸入確認C、限制D、TCB【正確答案】：C解析：

使用沙箱屬于限制,使用沙箱時,系統會限制特定進程的訪問,從而限制該進程對同一系統上運行的其他進程的影響。55.A公司的規模逐漸龐大，根據其業務屬性需要制定以下兩種訪問控制方案，一方面想依據部門-人員角色來指定訪問權限；一方面需要根據系統本身的強制訪問屬性與分層關系來決定訪問權限，對應以下哪兩種訪問控制策略。A、dac和rabcB、rabc和macC、acbc和dacD、基于規則和rabc【正確答案】：B56.#56

以下哪個部門發起請求、批準和開通業務流程?A、運營B、安全C、人力資源(HR)D、信息技術（IT）【正確答案】：A57.Alice公司的一名員工致電請求支持,并且使用了公司約定的在員工被迫執行動作時的密語。這種場景是被稱為?A、社會工程學B、脅迫C、不可抗力D、斯德哥爾摩綜合征【正確答案】：B解析：

肋迫或被暴力等其他約束威肋是銀行、珠寶店等其他組織需關注的問題,在這些組織攻擊者能逼迫職員執行操作。有相關隱患的組織通常采用肋迫密語對外發出信號表示他們正受到威肋的情況下執行操作。58.Lauren和Nick的PC同時通過傳輸發送流量。哪個網絡名詞描述了可能受同一問題影響的網絡上的系統范圍?A、子網B、超網C、沖突域D、廣播域【正確答案】：C解析：

沖突域是一組系統,如果這些系統同時發送數據,則可能導致沖突。如果沖突域外的系統同時發送,則不會導致沖突。這一點很重要,隨著沖突域中系統數量的增加,沖突發生概率也大大提高,從而由此引發網絡擁塞的概率也大大提高。廣播域是可以彼此接收廣播的一組系統。子網是網絡的邏輯劃分,而超網則由兩個或多個網絡組成。59.Gordon正在為其組織進行風險評估,并確定每年洪水預計對其設施造成的損害程度。Gordon確定的是什么指標?ALE(年化損失預期值)B、ARO(年度發生率)C、SLE(單一損失預期)D、EF(暴露因子)【正確答案】：A解析：

年度損失預期值(ALE)是組織根據已知風險而估計出的每年損失金額。60.#117

質量保證(QA)部門人手不足，無法在應用程序的預期發布日期之前測試所有模塊。什么安全控制最有可能被違反?A、變更管理B、環境分離C、方案管理D、移動代碼控制【正確答案】：C61.#446

1X提供了哪些功能?A、網絡入侵檢測系統（NIDS）B、無線接入點(WAP)C、Wi-Fi保護訪問(WPA)D、網絡訪問控制(NAC)【正確答案】：D62.當一個事務向數據庫寫入一個值(這個值覆蓋了具有較早優先級的事務需要的一個值)時,會發生以下哪個數據庫問題?A、臟讀B、不正確的摘要C、丟失更新D、SQL注入【正確答案】：C解析：

當一個事務向數據庫寫入一個值時,若具有較早優先級的事務讀取的是修改之前的值,會導致這些事務會讀取到不正確的值,此時會發生丟失更新。當一個事務從數據庫中讀取數據時,若讀取到的數據由其他事務寫入,但該事務尚未提交,這時會出現臟讀現象。如果一個事務在使用聚合函數匯總存儲在數據庫中的數據,而另一個事務正在對數據庫進行修改,則會產生不正確的摘要。SQL注入是一個Web應用程序安全漏洞,而不是數據庫并發問題。63.#156

一家小型組織的首席信息安全官(CISO)正在提出建立安全運營中心(SOC)的案例。在內部、完全外包或混合能力之間進行辯論時，無論模型如何，以下哪一項將是主要考慮因素?A、人數和能力B、范圍和服務目錄C、技能組合和培訓D、工具和技術【正確答案】：B64.#186

解析可執行文件時，靜態解析的目的是什么?A、搜索與可執行文件關聯的文檔和文件。B、解析文件在文件系統中的位置和可執行文件的庫。C、收集可執行文件使用的證據，包括創建日期和最后使用日期。D、反匯編文件以收集有關可執行文件功能的信息。【正確答案】：D65.在什么軟件測試技術中,評估者每次在軟件變更時重新測試大量場景,并驗證結果是否與標準基線一致?A、正交陣列測試B、模式測試C、矩陣測試D、回歸測試【正確答案】：D解析：

回歸測試通常發生在開發人員更改應用程序之后,在回歸測試中會使用測試用例對新系統進行測試,并將結果與基準結果進行比較。正交陣列測試是一種基于統計分析生成測試用例的測試方法。模式測試使用過去軟件的錯誤記錄來幫助分析。矩陣測試把所有可能的輸入和輸出整理成一個矩陣,以幫助制定測試計劃。66.#373

以下哪些安全工具會監控設備并將信息記錄在中央數據庫中以供進一步解析?A、防病毒B、基于主機的入侵檢測系統（HIDS）C、安全編排自動化和響應D、端點檢測和響應(EDR)【正確答案】：D67.#383

以下哪項功能在防止企業移動設備上被盜的數據被盜方面最有效?A、具有設備擦除功能的移動設備管理(MDM)B、帶有地理位置的移動設備跟蹤C、具有流量加密的虛擬專用網絡(VPN)D、使用密鑰托管的全設備加密【正確答案】：A68.#409

為了防止智能手機受到惡意軟件攻擊，以下哪項措施最為關鍵?A、啟用強密碼。B、為手機安裝防病毒軟件。C、啟用生物認證。D、防止越獄或root。【正確答案】：B69.當用戶登錄賬戶時,Google會向用戶的手機發送帶有驗證碼的短信。這是什么類型的驗證?A、基于知識的驗證B、基于動態知識的驗證C、帶外身份驗證D、基于風險的身份證明【正確答案】：C解析：

帶外身份驗證需要用戶在初始環境下再提供身份證明。這種類型的驗證依賴于用戶的電話或電話號碼,但可有效地避免攻擊者利用因特網資源發動攻擊。基于知識的驗證需要用戶對簡單的問題進行回答,而基于動態知識的驗證使用用戶的信息來提出問題讓用戶自己回答。基于風險的身份證明使用一些風險參數來確定是否允許訪問,它主要用于限制金融交易中的欺詐行為(例如購買信用卡),這是一種有效的驗證方式,但不一定會像手機短信服務(SMS)那樣使用帶外信道。70.#475

電路級防火墻在開放系統互連(OSI)模型的哪一層運行?A、會話層B、網絡層C、應用層D、傳輸層【正確答案】：B71.Rick最近聘請了他所在組織的每個業務部門的關鍵員工,要求他們在安全意識計劃方面提供扶制。他們將負責與同事分享安全信息,并回答有關網絡安全問題的問題。以下哪項術語最能描述這種關系?A、安全衛者B、安全專家C、游戲化D、同行評審【正確答案】：A解析：

這是一個安全擇衛者計劃的示例,該計劃使用在業務部門中擔任其他角色的個人來分享安全消息。擔任這些角色的個人不一定是安全專家,也沒有同行評審的角色。72.#353

以下哪一項是針對中間人(MITM)互聯網協議語音(VoIP)攻擊的最佳緩解做法?A、使用安全外殼(SSH)協議B、使用文件傳輸協議(FTP)C、使用傳輸層安全(TLS)協議D、使用媒體網關控制協議(MGCP)【正確答案】：C73.根據該情景的信息,AtwoodLanding數據中心的龍卷風年度損失預期值是多少?A、$25000B、$50000C、$250000D、$500000【正確答案】：A解析：

年度損失預期值是通過將單一損失預期(SLE)乘以年度發生率(ARO)計算的。這種情況下,SLE為5000000美元,ARO為0.005。將這些數字相乘得到的ALE為25000美元。材料2:參考以下情景回答下面3個問題。Henry是美國中西部度假區AtwoodLanding的風險管理經理。該度假區的主要數據中心位于北印第安納州,該地區經常發生龍卷風。Henry進行了重置成本分析,并得出結論:重建數據中心將花費1000萬美收額元。Henry咨詢了龍卷風專家、數據中心專員和結構工程師,他們認為一般的龍卷風會造成大約500萬美元的經濟損失。氣象學家給出提示:該公司安裝設備的區域可能會每200年發生一次龍卷風74.在對其組織進行定性風險評估后,Sally建議購買網絡安全漏洞保險。她推薦了什么類型的風險應對措施?A、接受B、轉移C、減少D、拒絕【正確答案】：B解析：

購買保險是轉移風險的一種手段。如果Sally努力降低事件發生的可能性,她會使用減少或緩解風險的策略;如果簡單的繼續運行,那么組織將會接受風險的策略。拒絕或否認風險并不是一種有效的策略,即使它發生了!75.Alan正在考慮在其組織中使用新的身份證，用于物理訪問控制。他看到一種樣品卡，但不確定該卡使用的技術。因此他打開卡片，看到了以下內部結構。這是什么類型的卡?A、智能卡B、感應卡C、磁條D、相二卡【正確答案】：B解析：

在卡內使用電磁線圈表示這是一個感應卡。76.如果Alex雇用一名新員工,并且HR根據Alex提供的一系列表單手動將信息輸入配置系統,成功配置了該員工的賬戶,這里發生了哪種類型的配置?A、自主賬戶配置B、基于工作流的賬戶配置C、自動賬戶配置D、自助賬戶配置【正確答案】：B解析：

通過已建立的工作流(例如通過人力資源流程)進行的配置是基于工作流的賬戶配置。如果Alex在他管理的系統上為新員工設置了賬戶,他將使用自由賬戶配置。如果供應系統允許新員工自己注冊一個賬戶,他們將使用自助賬戶配置。如果有一個中央軟件來控制配置過程,而不是人力資源的那種形式,就屬于自動賬戶配置。77.Beth是一名人力資源專家,準備協助解雇員工。以下哪項通常不是終止流程的一部分?A、離職訪談B、資產的復原C、賬戶終止D、簽NCA【正確答案】：D解析：

通常在招聘時簽署競業禁止或保密協議。離職面談、組織財產的恢復和帳戶終止都是終止流程的常見要素。在離職面談期間,團隊可以選擇審查仍然有效的雇傭協議和策略,例如競業禁止或保密協議。78.Alice想要向Bob發送一個信息,他希望Bob知道該消息在傳輸期間沒有被改變。Alice想實現什么目的?A、保密性B、不可否認C、身份驗證D、完整性【正確答案】：D解析：

完整性確保在存儲或傳輸時不對數據進行未經授權的更改。79.#126

什么術語通常用于描述存儲在配置管理數據庫(CMDB)中的硬件和軟件資產?A、配置項B、配置元素C、分類帳項目D、資產登記【正確答案】：A80.#242

邏輯訪問控制的前兩個組件是什么?A、身份驗證和可用性B、認證和識別C、識別和保密D、保密和認證【正確答案】：B81.#128

在與僅提供Voiceover的組織協商Internet服務提供商(ISP)服務級別協議(SLA)時，這一點最為重要

互聯網協議(VoIP)服務?A、平均修復時間(MTTR)B、應用程序之間的服務質量(QoS)C、中斷情況下的經濟處罰D、網絡服務的可用性【正確答案】：D82.#48

以下哪些技術可用于監控和動態響應Web應用程序的潛在威脅?A、字段級標記化B、Web應用程序漏洞掃描器C、運行時應用程序自我保護（RASP）D、安全斷言標記語言(SAML)【正確答案】：C83.Saria的團隊向組織管理部門說明組織存在一些漏洞,這些漏洞可能會被黑客利用。如果她想執行一次現實攻擊做為滲透測試的一部分,應該執行什么類型的滲透測試?A、水晶盒B、灰盒C、白盒D、黑盒【正確答案】：D解析：

黑盒測試是最符合實際的滲透測試類型,因為它不向滲透測試人員提供系統配置、系統設計、軟件以及網絡配置等系統內部信息。灰盒測試提供了一些信息,而白盒或水晶盒測試則向測試者提供了系統的大部分或全部信息。84.在與供應商的進一步討論中,Linda發現他們愿意糾正這個問題,但不知道如何更新軟件。什么技術能最有效地緩解此類針對應用程序脆弱性的攻擊?A、邊界檢查B、并行審查C、輸入驗證D、操作系統修補【正確答案】：C解析：

輸入驗證方法驗證用戶的輸入不能違反安全條件,這是防止跨站點腳本攻擊最有效的防御方法。邊界檢查是輸入驗證的一種形式,但它用于確保數字輸入處于可接受的范圍內,并且不適用于跨站點腳本攻擊。并行審查和操作系統修補都是良好的安全做法,但不太可能有效對抗跨站點腳本攻材料25:請根據以下場景,回答問題:Linda正在審核公司網站上用戶論壇的帖子,當她瀏覽某個帖子時,屏幕上的對話框會彈出一條“Alert消息。她查看該帖子的源代碼,并找到以下代碼段:85.Rhonda考慮在她的組織中為物理權限控制使用新的身份證。她偶爾發現一個軍事系統使用如下圖所示的卡,這是什么類型的卡?A、智能卡B、感應卡C、磁條卡D、相三卡【正確答案】：A解析：

圖像中顯示的卡在美國國旗下有一個智能芯片。因此,該卡屬于是智能卡。這是目前最安全的身份驗證技術。86.#164

首席信息官(CIO)已決定，作為業務現代化工作的一部分，該組織將轉向云架構。所有關鍵業務數據將在未來兩年內遷移到內部或外部云服務。CIO主要有義務與擔任哪個角色的人員合作，以確保在云遷移期間和之后對數據進行適當保護?A、首席安全官(CSO)B、信息所有者C、首席信息安全官(CISO)D、總法律顧問【正確答案】：C87.Grace想要在她的組織中執行應用控制技術。由于該組織的用戶經常需要安裝新應用來進行一些重要的研究和測試,她不想干擾研究和測試工作。但她想阻止已知惡意軟件。什么類型的應用控制可以實現這一目標?A、黑名單B、灰名單C、白名單D、藍名單【正確答案】：A解析：

應用程序控制的黑名單方法允許用戶安裝他們希望的任何軟件,但是由管理員特別標識的軟件包將被禁止。如果用戶希望能夠安裝和使用非惡意軟件,這將是一種較好的方法。88.#482

應用程序開發人員正在決定應用程序在超時前允許的空閑會話時間量。以下哪項是確定會話超時要求的最佳理由?A、申請要求B、行業最佳做法C、行業反饋D、管理反饋【正確答案】：B89.#9

以下哪項陳述最能描述云環境中的最小權限原則?A、單個云管理員被配置為訪問核心功能。B、檢查所有傳入和傳出數據包的Internet流量。C、路由配置會定期更新為最新的路由。D、如果不需要訪問互聯網，則網段保持私有。【正確答案】：D90.Henry想驗證他的備份是否有效。以下哪個選項是他確保備份在真正的災難恢復場景中有用的最佳方式?A、定期恢復隨機文件以確保備份工作正常B、定期檢查配置和設置以驗證備份設置C、查看備份日志以確保沒有發生錯誤D、定期從備份執行完整還原以驗證其成功【正確答案】：D解析：

所有這些都是備份策略的有用部分,但定期從備份執行完整還原是列出的最佳選項。如果定期執行恢復,而且單個文件將是可恢復的,但單個文件可能不會顯示更大的備份問題。配置和設置審查很重要,但不會驗證備份本身,錯誤消息可能表明存在問題,但也不會顯示完整的日志。91.Ryan正在考慮在他的Web應用程序測試程序中使用模糊測試。在做出決定時,Ryan應該考慮以下哪項模糊測試的限制?A、他們通常只發現簡單的錯誤。B、測試人員必須手動生成輸入。C、模糊測試器可能無法完全覆蓋代碼。D、模糊測試晶不能再現錯誤。【正確答案】：C解析：

模糊測試器能夠自動生成輸入序列以測試應用程序。因此,測試人員無需手動生成輸入,盡管他們愿意也可以這樣做。模糊測試器可以重現錯誤(因此,“模糊測試器不能重現錯誤”不是問題),但通常不會完全覆蓋代碼,因為代碼覆蓋率工具通常與模糊測試器配合用于驗證可能的覆蓋范圍。模糊通常只能發現簡單錯誤,因為它們不會去處理特定的業務邏輯和攻擊方法,而這些業務邏輯和攻擊方法往往需要應用程序用戶掌握相關知識。92.以下哪項不是歐盟通用數據保護條例(GDPR)原則之一?A、信息必須公平處理B、信息必須在獲取后一年內刪除C、必須安全維護信息D、信息必須準確【正確答案】：B解析：

GDPR確實包含了數據的公平處理、安全維護和準確等要求。但不包括要求在一年內刪除信息的要求,盡管它確實說明了信息不應超過必要的時間。93.如果Chris正在為應用程序編寫代碼,它在敏捷過程的哪個階段?A、規劃B、沖刺C、部署D、開發【正確答案】：B解析：

Chris正處于敏捷沖刺階段,他很可能會根據用戶故事開發代碼。計劃包括利益相關者的故事,以及設計和測試用例的準備。部署包括應用程序的實際部署,以及其他驗證和測試。94.#63

什么級別的獨立磁盤冗余陣列(RAID)主要配置用于高性能數據讀取和寫入?A、RAID-0B、RAID-1C、RAID-5D、RAID-6【正確答案】：A95.在數據中心和executive辦公室之間用光纖，怎么保證這之間光纖通訊安全？A、在光纖外面包一層反射的東西B、應用物理安全控制措施C、在兩端建立防火墻【正確答案】：B96.Gary考慮針對他組織中的移動設備應用一致安全設置,使用什么技術可以達到這一目的?A、MDM(移動設備管理)B、IPS(入侵防御系統)C、IDS(入侵檢測系統)D、SIEM(安全信息和事件管理)【正確答案】：A解析：

移動設備管理(MDM)產品可以對移動設備應用安全配置設置。移動設備管理(MDM)產品提供一個統一的集中式界面,用于將安全配置應用到移動設備中。97.#276

在多租戶云環境中，什么方法可以保護對資產的邏輯訪問?A、受控配置管理(CM)B、管理訪問的透明度/可審計性C、虛擬私有云（VPC）D、混合云【正確答案】：C98.關于個人的信息,如姓名、社會安全號碼、出生日期和地點或他們母親的婚前姓名,屬于什么類型的受保護信息?A、PHIB、專有數據C、PIID、EDI【正確答案】：C解析：

個人身份信息(PII)包括可用于區分或追蹤該人身份的數據,還包括其醫療、教育、財務和就業信息等信息。PHI是個人健康信息,EDI是電子數據交換,并且專有數據用于維持組織的競爭優勢。99.#436

組織需要評估在新系統上實施的安全控制的有效性。應擔任以下哪些角色

組織委托進行評估?A、授權官員(AO)B、系統所有者C、控制評估員D、信息系統安全官(ISSO)【正確答案】：C100.選擇題什么網絡工具可以用來保護客戶端的身份,同時通過接受客戶端請求,更改請求的源地址,將請求映射到客戶端以及將修改的請求發送到它們的目標來提供互聯網訪問?A、網關B、代理C、路由器D、防火墻【正確答案】：B解析：

代理是一種網關形式,它向客戶端提供過濾、緩存和其他服務,從而保護客戶端信息免受遠程系統的影響。路由器用于連接網絡,而防火墻使用規則來限制通過它的流量。網關在協議之間進行轉換。101.#444

“從不相信任何輸入”的防御策略對以下哪個基于Web的系統漏洞最有效?A、注入漏洞B、敏感數據暴露C、瀏覽器中間人攻擊D、破損的認證【正確答案】：A102.#201

為什么高級管理層清楚地傳達正式的最大可容忍停機時間(MTD)決定很重要?A、為每位經理提供選擇適當恢復方案的準確方向B、向董事會證明高級管理層致力于持續性恢復工作C、提供內部審計要求的高級管理層的正式聲明，以證明良好的商業慣例D、向監管機構證明公司重視業務連續性【正確答案】：A103.以下哪項管理流程可以幫助組織為敏感信息分配適當級別的安全控制措施?A、信息分類B、數據磁性殘留C、傳輸數據D、清理【正確答案】：A解析：

如果組織需要保護敏感數據,那么可使用信息分類。這樣一來,組織就可以集中精力重點保護敏感的數據。數據磁性殘留指的是在刪除數據后殘留在存儲介質上的數據。傳輸數據無法保護敏感數據,清理是從介質中刪除數據的過程。104.Matthew所在組織的網絡發生了網絡服務的質量問題。主要的癥狀是,數據包有時需要很長時間才能從源地址到達目的地。什么術語用來描述Matthew遇到的問題?A、延遲B、抖動C、數據包丟失D、干擾【正確答案】：B解析：

延遲指的是分組從源地址到目的地址的發送延遲。抖動指的是不同分組的延遲往往會有所不同。數據包丟失是指在傳輸中需要重傳的數據包發生丟失。干擾指的是造成數據包內容損毀的電噪聲等干擾。105.#372

根據美國國家標準與技術研究院(NIST)，以下哪個目標代表了風險管理的現代轉變?A、提供改進的任務完成方法。B、關注不斷變化、不斷演變且充滿新威脅的運營環境。C、使管理層能夠做出明智的基于風險的決策，證明安全支出的合理性。D、保護存儲、集中或傳輸組織信息的信息技術(IT)系統。【正確答案】：B106.以下哪項不能決定數據分類?A、數據分類的成本B、數據的敏感性C、數據泄露可能產生的影響D、數據對于組織機構的價值【正確答案】：A解析：

應根據對數據對組織的價值、數據敏感性以及數據泄露可能產生的影響這三個標準來分類。在實施控制時應考慮成本,而且要和數據泄露造成的影響進行權衡。107.下面的圖表是缺失了步驟4的NIST風險管理框架。丟失的步驟是什么?A、評估安全控制B、確定控制間C、調整控制間隙D、用戶行為【正確答案】：A解析：

NIST風險管理框架的第四步是評估安全控制。108.Chris的組織會有很多同事去往國外,根據出口控制法律的規定,Chris給他們提出了一些建議,建議的內容可能會和以下哪一項有關?A、存儲芯片B、辦公自動化應用C、硬盤驅動器D、加密軟件【正確答案】：D解析：

向某些國家.地區出口加密軟件,會受到美國出口管制法的監管。這些法規不太可能涵蓋內存芯片、辦公自動化應用和硬盤驅動器。109.下列哪些不是DevOps模型的三個組件之一?A、軟件開發B、變更管理C、質量保證D、操作【正確答案】：B解析：

DevOps模型的三個組件是軟件開發、操作和質量保證。110.#193

一家大型組織的人力資源和安全團隊正計劃實施技術以消除手動用戶訪問審查并提高合規性。以下哪個選項最有可能解決與用戶訪問相關的問題?A、實施特權訪問管理(PAM)系統。B、實施基于角色的訪問控制(RBAC)系統。C、實施身份和訪問管理(IAM)平臺。D、實施單點登錄(SSO)平臺。【正確答案】：C111.Melissa希望以對用戶透明的方式,在她的組織中將多個物理網絡組合起來,但允許根據需要為網絡服務分配資源。她應該部署什么類型的網絡?A、iSICIB、虛擬化網絡C、SDWAND、A【正確答案】：B解析：

虛擬網絡可用于組合現有網絡或將網絡劃分為多個網段。Melissa可以使用虛擬網絡來組合現有網絡,然后使用軟件定義的網絡功能來分配和管理網絡資源。iSCSI是一種融合存儲協議。SDWAN是軟件定義的廣域網,此問題沒有指定LAN或WAN技術。CDN是一個內容分發網絡,有助于應對負載和拒絕服務攻擊。112.#358

以下哪一項是Bell-LaPadula模型的局限性?A、職責分離(SoD)難以實施，因為“禁止閱讀”規則限制了對象訪問更高分類信息的能力。B、強制訪問控制(MAC)在所有級別強制執行，因此無法實施自主訪問控制(DAC)。C、它不包含更改數據訪問控制的規定或政策，并且僅適用于本質上是靜態的訪問系統。D、它優先考慮完整性而不是機密性，這可能導致無意的信息泄露。【正確答案】：C113.#4

在處理網絡犯罪時，刑法難以執行的主要原因是什么?A、管轄權很難界定。B、執法機構人手不足。C、引渡條約很少得到執行。D、存在許多語言障礙。【正確答案】：A114.什么類型的監控使用網站的模擬流量來監控性能?A、日志分析B、綜合監測C、被動監測D、模擬事務分析【正確答案】：B解析：

綜合監測使用仿真的事務來監控響應時間、功能以及其他性能的變化。被動監測使用調試端口或其他方法來復制流量并實時監控它。日志分析通常處理實際日志數據,但也可在模擬流量中發現問題。模擬事務分析不是專業術語。115.以下哪個是代碼而非密碼的例子?A、數據加密標準(DES)B、OneC、單詞重組【正確答案】：B解析：

代碼和密碼之間的主要區別是密碼是在字符或位這種級別來改變數據,而不是字級別。DES、移位密碼和單詞重組處理的都是字符或者位,因此都是密碼。“Oneifbyland;twoifbysea是美國獨立戰爭期間的典故,是一種傳遞隱秘消息的方法,屬于代碼的范疇。116.#388

哪種機制提供了針對內存緩沖區溢出攻擊的最佳保護?A、地址空間布局隨機化(ASLR)B、內存管理單元C、棧和堆分配D、動態隨機存取存儲器（DRAM）【正確答案】：A117.#39

從中斷中恢復時，就數據恢復而言，恢復點目標(RPO)是什么?A、RPO是需要恢復的最小數據量。B、RPO是恢復可接受的丟失數據百分比所需的時間量。C、RPO的目標是恢復目標百分比的丟失數據。D、RPO是可接受的數據丟失的最長時間。【正確答案】：D118.#350

以下哪項是安全從業人員可以用來確保系統和子系統優雅地處理無效輸入的最佳方法?A、單元測試B、驗收測試C、集成測試D、陰性測試【正確答案】：D119.哪種Kerberos服務生成新的票據和會話密鑰并將它們發送到客戶端?A、KDC(密鑰分發中心)B、TGT(票據授予票據)C、AS(身份驗證服務)D、TGS(票據授予服務)【正確答案】：D解析：

TGS(票據授予服務)從客戶端接收TGT(票據授予票據),它通常與KDC(密鑰分發中心)處在同一個服務器上。TGS會驗證TGT和用戶的訪問權限,然后TGS會向客戶端發出票據和會話密鑰。AS即身份驗證服務器,將用戶名轉發給KDC。需注意客戶端不與KDC直接通信,而是與TGT和AS進行通信,這也解釋了KDC不是合理的選項。120.Alex負責SAML與主要第三方合作伙伴的整合,為他的組織提供各種商業服務。使用以下圖表和你掌握的SAML集成和安全體系結構設計知識,回答問題。Alex關注SAML流量竊聽問題和偽造聲明問題,為對抗這兩種攻擊,請問他應該怎么做?A、使用SAML的安全模式來提供安全身份驗證B、使用強密碼套件實施TLS,這可以防止這兩種類型的攻擊C、使用強密碼套件實現TLS,并使用數字簽名D、使用強密碼套件實現TLS和消息散列【正確答案】：C解析：

TLS提供消息機密性和完整性,可防止竊聽。數字簽名可提供完整性和身份驗證,可以阻止偽造的聲明攻擊。SAML沒有安全模式,其依賴TLS和數字簽名來確保安全。沒有簽名的消息散列將有助于防止對消息的非法修改,但這樣無法提供驗證。Alex負責SAML與主要第三方合作伙伴的整合,為他的組織提供各種商業服務。使用以下圖表和你掌握的SAML集成和安全體系結構設計知識,回答問題。121.Alan正在安裝一個滅火系統,該滅火系統會在火災爆發之后啟動,并保護數據中心中的設備免受嚴重損壞。Alan試圖降低什么指標?A、可能性B、RTOC、RPOD、影響【正確答案】：D解析：

滅火系統無法阻止火災發生,但會減少火災造成的傷害。這是通過降低事件的影響來降低風險的例子。122.公司要求Charles降低某個存儲設備的安全級別,該設備存儲的是私人數據。Charles應遵循什么流程?A、將驅動器消磁,然后標記為較低的分類級別B、粉碎驅動器,然后根據所含的數據重新分類C、遵循公司的清除流程,然后降級并更換標簽D、重新標記設備,然后遵循公司的清除流程以確保設備與標簽相匹配【正確答案】：C解析：

如果組織允許存儲設備降低安全級別,應該首次清除,然后重新標記介質。消磁可用于磁性介質,但不能處理所有類型的介質。粉碎會破壞介質,防止重復使用。首先進行重新標記可能導致故障,導致組織使用未清除的介質。123.#442

一名高級安全工程師的任務是確保組織最有價值的個人身份信息(PII)的機密性和完整性。此數據存儲在組織數據中心內的本地文件和數據庫服務器上。已實施以下安全措施以確保檢測和記錄未經授權的訪問。

?數據庫和文件服務器的網絡分段和增強的訪問日志記錄

?實施靜態數據加密

?對進出敏感網段的網絡流量進行全包捕獲

?確保所有事務日志數據和數據包捕獲都備份到企業備份網段內的企業備份設備

以下哪項是最有可能在避免檢測的同時泄露PII的方法?A、通過SecureShell(SSH)未經授權訪問文件服務器B、通過受感染的Web應用程序未經授權訪問數據庫服務器C、通過受感染的用戶帳戶未經授權訪問數據庫服務器D、通過受感染的服務帳戶未經授權訪問備份服務器【正確答案】：D124.在圖中表明最可能使用的即時消息流量協議是什么?A、SLACKB、HTTPC、SMTPD、HTTPS【正確答案】：B解析：

TCP80號端口通常是HTTP。125.#104

哪個組織部門最終負責與電子郵件和其他電子記錄相關的信息治理?A、法律B、審計C、合規D、安全【正確答案】：C126.作為信息安全專業人員,Susan被要求確定組織的無線網絡中可供訪問的區域,即使這個區域是無意的。Susan應該怎樣確定組織的無線網絡的哪些部分可訪問?A、現場調查B、戰爭漫步C、戰爭駕駛D、設計地圖【正確答案】：A解析：

戰爭漫步和戰爭駕駛都是用于定位無線網絡的方法,但通常不會像調查網站那樣詳細和徹底。設計地圖是一個虛構的詞語。127.#394

禁止以下哪種技術最有助于防止用戶使用統計查詢獲取機密數據?A、重復引用同一人群的查詢序列B、訪問多個數據庫的重復查詢C、從表中選擇所有記錄并顯示所有列D、運行訪問敏感數據的查詢【正確答案】：D128.#216

在對組織信息安全管理系統(ISMS)進行內部審核期間，會發現不符合項。組織在以下哪些管理階段審查、評估和/或糾正不合格?A、評估B、規劃C、改進D、操作【正確答案】：D129.#221

使用帶有身份驗證標頭(AH)的虛擬專用網絡(VPN)時提供以下哪項保護?A、發件人不可否認性B、多因素身份驗證(MFA)C、有效載荷加密D、發件人保密【正確答案】：A130.#194

云服務接受來自用戶的安全斷言標記語言(SAML)斷言，以在安全域之間交換身份驗證和授權數據。但是，攻擊者能夠欺騙網絡上的注冊帳戶并查詢SAML提供商。針對此缺陷的最常見攻擊是什么?A、攻擊者利用SAML斷言在安全域上注冊一個帳戶。B、攻擊者偽造請求以作為不同的用戶進行身份驗證。C、攻擊者在安全域之間交換身份驗證和授權數據。D、攻擊者通過重復認證為同一用戶對安全域進行拒絕服務(DoS)。【正確答案】：B131.什么類型的活動旨在培養員工主動安全意識．能夠做到事前防御，并獲得安全專業技能。（也描述為：員工能有安全意識，并有足夠的能力對安全事件做出響應可通過以下哪項活動？）A、意識B、培訓C、教育D、信息系統安全認證【正確答案】：D132.1分Alex已被他的公司聘用了十多年,并在公司擔任過多個職位。在審計期間,發現由于他以前的角色,他能訪問共享文件夾和應用程序。Alex的公司遇到了什么問題?A、過度服務開通B、未授權訪問C、特權蠕變D、賬戶審查【正確答案】：C解析：

當用戶從以前擁有的角色中保留他們不需要完成當前作業的權限時,會發生特權蠕變。未授權的用戶訪問文件時會發生未經授權的訪問。過度服務開通不是用于描述權限問題的術語,而賬戶審查有助于發現這樣的問題。133.#435

組織將供應鏈風險管理(SCRM)實施到系統開發生命周期(SDLC)的所有階段。哪種方法對確保滿足SCRM要求最重要?A、供應商自我評估B、采購評估C、脆弱性評估D、第三方評估【正確答案】：D134.面向對象的編程語言使用黑盒方法來開發,用戶不必知道對象的具體執行細節。什么詞可用來描述該概念?A、分層B、抽象C、數據隱藏D、程序隔商【正確答案】：B解析：

抽象使用黑盒方法來隱藏客體的具體實現細節。135.#347

在為電子發現復制硬盤驅動器內容時，位級副本比文件級副本更可取的主要原因是什么調查?A、文件損壞的可能性較小。B、已刪除的文件將被轉移。C、保留文件和目錄結構。D、文件級安全設置將被保留。【正確答案】：B136.在一個工作日中,流行的ApacheWeb服務發布了一個零日漏洞通告。Jacob擔任信息安全分析師的角色,他需要快速掃描網絡,以確定哪些服務器易受該漏洞的影響。Jacob快速識別存在漏洞系統的最佳途徑是什么?A、立即針對所有服務器運行Nessus,以確定哪些系統易受攻擊。B、查看CVE數據庫以查找漏洞信息和修補程序信息。C、創建自定義IDS或IPS簽名。D、識別受影響的版本,并使用自動掃描程序檢查該版本號的系統。【正確答案】：D解析：

在許多情況下,當最初的漏洞利用被報告時,漏洞掃描程序沒有預先構建的簽名或檢測并且CVE數據庫可能不會立即獲得有關攻擊的信息。Jacob的最佳選擇是根據當前配置快速收集信息,并查看可能存在漏洞的服務器。隨著更多信息的出現,可能會發布簽名和CVE信息。不幸的是,對于Jacob來說,IDS和IPS簽名只能檢測到攻擊,但不會檢測系統是否存在漏洞,除非他看到利用系統漏洞發起的攻擊。137.#172

就所使用的屬性而言，以下哪些因素應被視為基于屬性的訪問控制(ABAC)的特征?A、強制訪問控制(MAC)和自主訪問控制(DAC)B、自主訪問控制(DAC)和訪問控制列表(ACL)C、基于角色的訪問控制(RBAC)和強制訪問控制(MAC)D、基于角色的訪問控制(RBAC)和訪問控制列表(ACL)【正確答案】：D138.Morgan正在實施一個漏洞管理系統,該系統使用基于標準的組件,對發現的漏洞進行評分和評估。以下哪項最常用于提供漏洞的嚴重性評分?A、CCEB、CVSSCPED、OVAL【正確答案】：B解析：

CVSS(通用漏洞評分系統),用于描述安全漏洞的嚴重程度。CCE(通用配置枚舉),一種用于對配置問題命名的系統。CPE是通用平臺枚舉,它命名操作系統、應用程序和設備。OVAL是一種用于描述安全測試程序的語言。139.Susan正為需要使用藍牙的組織編寫最佳實踐聲明。她知道藍牙有許多潛在的安全問題,并希望可以提出最好的建議。Susan的建議應該包括以下哪幾點?A、使用藍牙的內置強加密,更改設備上的默認PIN,關閉發現模式以及在藍牙未使用時關閉藍牙B、僅對非機密活動使用藍牙,更改設備上的默認PIN,關閉發現模式以及在未使用藍牙時關閉藍牙C、使用藍牙的內置強加密,使用擴展(8位或更長)藍牙PIN,關閉發現模式以及在未使用時關閉藍牙D、僅對非機密活動使用藍牙,使用擴展(8位或更長)藍牙PIN,關閉發現模式以及在未使用藍牙時關閉藍牙【正確答案】：B解析：

由于藍牙不提供強加密,因此它只應用于非機密的活動。藍牙PIN是四位數的代碼,通常默認為0000。關閉它并確保設備不處于發現模式可以幫助防止藍牙攻擊。140.為實現組織的國際化,Jim正在確定組織的審計標準,以下哪項不是他們應該使用的IT標準?A、COBITB、SSAE-16C、ITILD、ISO27002【正確答案】：C解析：

ITIL指的是IT基礎設施庫,是一套用于IT服務管理的方法,通常不用于審計。COBIT(信息系統和技術控制目標)、ISO27002和SSAE-18(鑒證業務準則公告第18號)都用于審計。141.Harold最近主導完成了對一件安全事件的事后審查工作。他接下來應該準備什么文件?A、經驗教訓文件B、風險評估C、補救清單D、緩解檢查清單【正確答案】：A解析：

總結經驗教訓文件通常在事后審查后創建并分發給相關方,以確保參與事件的人和可能從經驗中受益的其他人知道他們可以做些什么來預防未來問題,并改善應對措施。142.Tim所在的組織最近和政府外包商合作,達成一份合同。現在什么法律適用于該合同中涉及的信息系統?A、聯邦信息安全管理法案B、支付卡行業數據安全標準C、健康保險流通和責任法案D、政府信息安全改革法案【正確答案】：A解析：

聯邦信息安全管理法案(FISMA)主要適用于政府外包商。政府信息安全改革法案(IGRA)是FISMA的前身,并于2002年11月到期失效。健康保險流通和責任法案(HIPAA)和支付卡行業數據安全標準(PCIDSS)分別適用于醫療保健和信用卡信息。143.哪個流程負責確保軟件變更,也包括驗收測試?A、請求控制B、變更控制C、發布控制D、配置控制【正確答案】：C解析：

發布控制過程的職責之一是確保該過程包含驗證測試,驗證測試是為了確保在代碼發布之前,對終端用戶工作任務的任何更改都能被正確理解和運行。請求控制、變更控制和配置控制過程不包括驗收測試。144.Richard所在組織的網絡上出現網絡服務質量方面的問題。主要的癥狀是,數據包從源頭到目的地的傳輸時間過長。用什么術語描述Richard面臨的問題?A、抖動B、數據包丟失C、干擾D、延遲【正確答案】：D解析：

延遲指的是數據包從源地址到目的地址的發送延遲。抖動指的是不同數據包的延遲往往會有所不同。數據包丟失是指在傳輸中需要重傳的數據包發生丟失。干擾指的是造成數據包內容損毀的電噪聲等干擾。145.Aaron想要驗證他是否符合PCI—DSS的合規性。他的公司是一家大型商業組織,每年的交易額達數百萬美元。對大型組織進行此類測試的最常用方法是什么?A、自我評估B、使用COBIT進行第三方評估C、與另一家公司合作,并在組織之間進行貿易評估D、使用合格的安全評估者進行第三方評估【正確答案】：D解析：

大型組織雇傭QSA或合格的安全評估員來進行合規性檢查。PCI—DSS要求大型組織進行第三方認證,但小型組織可以自我認證146.1分Jim想要實施一個訪問控制方案,以確保用戶不能委托訪問。他還希望在操作系統級別實施訪問控制。什么訪問控制機制最適合這些要求?A、基于角色的訪問控制B、自主訪問控制C、強制訪問控制D、基于屬性的訪問控制【正確答案】：C解析：

在強制訪問控制系統中,操作系統強制執行訪問控制,用戶不能委托權限,自主訪問控制允許用戶委托權限,而基于屬性或基于角色的訪問控制都沒有專門滿足這些要求。147.#225

在前往高風險國家旅行時，以下哪項措施是保護計算機、智能手機和外部存儲設備數據的最佳方法?A、查看適用的目的地國家/地區法律，在旅行前對設備進行取證清潔，并且僅在到達目的地后通過虛擬專用網絡(VPN)下載敏感數據。B、利用虛擬專用網絡(VPN)上的安全套接字層(SSL)連接在到達目的地時下載敏感數據。C、將不使用的筆記本電腦、外部存儲設備和智能手機放在酒店房間內。D、使用多因素身份驗證(MFA)訪問存儲在筆記本電腦或外部存儲設備上的數據，并使用生物識別指紋訪問控制機制來解鎖智能手機。【正確答案】：D148.在下圖中,Harry寫入數據文件的請求被拒絕。Harry有機密安全許可,該數據文件屬于秘密級別。Bell—LaPadula模型的什么原則阻止了該請求?A、簡單安全性屬性B、簡單完整性屬性C、*安全性屬性*D、自主安全屬性【正確答案】：C解析：

“安全屬性規定個人不得寫入安全分類級別較低的文件。149.在滲透測試期間,Saria打電話給她的目標的服務臺,聲稱她是公司官員的高級助理。她請求服務臺重置官員的密碼,因為他的筆記本電腦在旅行時出現問題,并說服他們這樣做。她成功完成了什么類型的攻擊?A、零知識B、服務臺欺騙C、社會工程D、黑盒【正確答案】：C解析：

Saria使用社會工程攻擊成功地說服了一名工作人員在服務臺為她重置了密碼,而服務臺的工作人員不僅看不到Saria,而且無法驗證她。黑盒和零知識都是描述滲透測試的術語,這兩種測試方法不包含有關組織或系統的信息,而服務臺欺騙則不是一個專業術語。150.Michael負責犯罪調查,正在調查一個涉及公司網站復改的中級安全事件。網站服務器運行在虛擬平臺上,并且市場團隊想要網站盡快啟動和運行。Michael接下來采取的最合理步驟是什么?A、保持網站下線,直至調查結束B、讓虛擬平臺下線,然后采集證據C、獲取破壞系統的快照,用于調查中使用D、忽視該事件,快速恢復網站【正確答案】：C解析：

Michael應該進行調查,然而又要迫切地將網站重新上線。最合理的行動方法是獲取受損系統的快照,并使用快照進行調查,盡快恢復網站運行,同時使用調查結果來提高網站的安全性。151.#87

以下哪項最好地描述了軟件取證的目的?A、解析惡意軟件可能的惡意意圖B、執行循環冗余校驗(CRC)驗證并檢測更改的應用程序C、確定代碼的作者和行為D、審查程序代碼以確定后門的存在【正確答案】：C152.Linda與供應商聯系,并確定沒有可用的補丁來糾正此漏洞。以下哪個設備最能幫助她保護應用程序免受進一步攻擊?A、VPNB、WAFC、DLPD、IDS【正確答案】：B解析：

Web應用程序防火墻(WAF)位于Web應用程序的前面,并且可以監視潛在的惡意Web攻擊,包括跨站點腳本,然后他們阻止流量到達Web應用程序。入侵檢測系統(IDS)可以檢測攻擊,但它不能采取行動來防止它。DLP和VPN解決方案無法檢測Web應用程序攻擊。材料25:請根據以下場景,回答問題:Linda正在審核公司網站上用戶論壇的帖子,當她瀏覽某個帖子時,屏幕上的對話框會彈出一條“Alert消息。她查看該帖子的源代碼,并找到以下代碼段:153.#405

加拿大一家領先的制藥公司最近聘請了首席數據官(CDO)來監督其數據隱私計劃。CDO發現該公司的營銷部門一直在未經個人知情和同意的情況下通過公司網站收集個人信息。以下哪些隱私法規應與CDO就此做法相關?A、健康保險流通與責任法案(HIPAA)B、1974年隱私法C、公平信息實踐原則(FIPPs)D、個人信息保護和電子文件法(PIPEDA)【正確答案】：D154.Mark正在考慮用云計算中的可用的新產品替換其組織的客戶關系管理(CRM)解決方案。這個新的解決方案完全由供應商管理,Mark的公司將無需編寫任何代碼或管理任何物理資源。Mark考慮采用什么類型的云解決方案?A、laasB、CaasC、PaasD、Saas【正確答案】：D解析：

在軟件即服務解決方案中,供應商管理物理基礎設施和完整的應用程序堆棧,為客戶提供對完全托管應用程序的訪問155.當一個事務讀取由第二個事務(該事務從不提交)寫入數據庫的信息時,會發生以下哪個數據庫一致性問題?A、丟失更新B、SQL注入C、不正確的摘要D、臟讀【正確答案】：D解析：

當一個事務從數據庫中讀取數據時,若讀取到的數據是由其他事務寫入的但該事務尚未提交,將會出現臟讀現象。當一個事務向數據庫寫入一個值時,若具有較早優先級的事務讀取的是修改前的值,會導致這些事務讀取到不正確的值,此時會發生丟失更新。當一個事務使用聚合函數匯總存儲在數據庫中的數據時,若另一個事務正在對數據庫進行修改,就會產生不正確的摘要。SQL注入是一個Web應用程序安全漏洞,而不是數據庫并發問題。156.通常使用什么方法來評估所使用的測試用例是否對應用程序進行了很好的覆蓋?A、覆蓋測試分析B、源代碼審查C、模糊分析D、代碼審查報告【正確答案】：A解析：

覆蓋測試分析通常反映了所使用的測試用例是否對應用程序進行了很好的覆蓋。源代碼審查的目的是找到程序錯誤,側重點并不是用例分析。模糊分析測試的是無效的輸入。代碼審查報告可能會作為源代碼審查的一部分來生成。157.Chris正在設計公司內部使用的密碼系統。公司有1000名員工,他們計劃使用非對稱加密系統。他們總共需要多少密鑰?A、500B、1000C、2000D、4950【正確答案】：C解析：

不對稱密碼系統對每個用戶使用一對密鑰。這種情況下,對于1000個用戶,系統將需要2000個密鑰。158.Sarah正在手動審核TCP流量的包捕獲,并發現系統在短時間內重復發送的TCP包中設置了RST標志。這個標志在TCP包頭中是什