cissp中文版考試真題匯總題庫500題（導(dǎo)出附答案）

一'單選題

1.單選題哪個(gè)數(shù)據(jù)角色對(duì)組織中的數(shù)據(jù)負(fù)有最終責(zé)任？

A、系統(tǒng)所有者

B、業(yè)務(wù)所有者

C、數(shù)據(jù)所有者

D、任務(wù)所有者

答案：C

解析：數(shù)據(jù)所有者對(duì)組織的數(shù)據(jù)負(fù)有最終責(zé)任,這些人通常是CEO、總裁或其他

高級(jí)工作人員。業(yè)務(wù)和任務(wù)所有者通常負(fù)責(zé)業(yè)務(wù)過程或任務(wù)。系統(tǒng)所有者負(fù)責(zé)處

理敏感數(shù)據(jù)的系統(tǒng)。

2.Ben事先記錄數(shù)據(jù),然后在測(cè)試網(wǎng)站上重播它,通過真實(shí)的生產(chǎn)負(fù)荷來驗(yàn)證這

些數(shù)據(jù)是如何工作的,他進(jìn)行什么類型的1性能監(jiān)控？

A、被動(dòng)

B、主動(dòng)

C、反應(yīng)

D、重放

答案：B

解析：主動(dòng)監(jiān)測(cè)也稱為綜合監(jiān)測(cè)，使用記錄或生成的流量來測(cè)試系統(tǒng)和軟件。被

動(dòng)監(jiān)控使用網(wǎng)絡(luò)分析儀、網(wǎng)絡(luò)分流器或其他設(shè)備來捕獲要分析的流量。響應(yīng)和重

放不是監(jiān)控類型的專業(yè)術(shù)語。

3.#454

安全架構(gòu)師正在審查已實(shí)施的安全框架。審查后，安全架構(gòu)師希望通過實(shí)施職責(zé)

分離(SoD)來增強(qiáng)安全性，以解決欺詐保護(hù)問題。哪種安全模型最能保護(hù)數(shù)據(jù)的

完整性？

A、Brewer-Nash模型

B、Biba誠信模式

GBel1-LaPadula模型

D、克拉克-威爾遜模型

答案：D

4.單選題NeaI使用DynamoDB數(shù)據(jù)庫。數(shù)據(jù)庫的結(jié)構(gòu)不像關(guān)系數(shù)據(jù)庫,但允許Ne

al使用鍵值存儲(chǔ)數(shù)據(jù)。什么類型的數(shù)據(jù)庫是DynamoDB?

A、關(guān)系數(shù)據(jù)庫

B、圖形數(shù)據(jù)庫

C、分層數(shù)據(jù)庫

D、NoSQL數(shù)據(jù)庫

答案：D

解析：鍵值存儲(chǔ)是NoSQL數(shù)據(jù)庫的一個(gè)例子,它不遵循與傳統(tǒng)數(shù)據(jù)庫類似的關(guān)系

或?qū)哟文Ｐ汀D形數(shù)據(jù)庫是NoSQL數(shù)據(jù)庫的另一個(gè)例子，但它使用節(jié)點(diǎn)和邊來存

儲(chǔ)數(shù)據(jù),而不是鍵和值。

5.單選題1分Henry正在與一個(gè)Web應(yīng)用程序開發(fā)團(tuán)隊(duì)合作,為他們公司的新應(yīng)

用程序進(jìn)行身份驗(yàn)證和授權(quán)過程。該團(tuán)隊(duì)希望使會(huì)話ID盡可能安全。以下哪項(xiàng)

不是Henry應(yīng)該推薦的最佳實(shí)踐?

A、會(huì)話ID令牌應(yīng)該是可預(yù)測(cè)的

B、會(huì)話ID應(yīng)至少具有64位滴

C、會(huì)話長度應(yīng)至少為128位

D、會(huì)話ID應(yīng)該是無意義的

答案:A

解析：Web應(yīng)用程序開發(fā)最佳實(shí)踐目前建議使用具有足夠燈（隨機(jī)性）的長會(huì)話I

DCI28位或更長），以確保它們不會(huì)被輕易復(fù)制或暴力破解。確保會(huì)話ID本身沒

有意義也是一種最佳做法,以防止信息泄露攻擊。然而,會(huì)話ID應(yīng)該會(huì)過期,因?yàn)?/p>

即使所有這些建議都得到滿足,永不過期的會(huì)話最終可能會(huì)被暴力破解。

6.#16

哪種應(yīng)用程序類型被認(rèn)為是高風(fēng)險(xiǎn)的，并為惡意軟件和病毒提供了進(jìn)入網(wǎng)絡(luò)的常

用途徑？

A、即時(shí)通訊或聊天應(yīng)用程序

B、點(diǎn)對(duì)點(diǎn)（P2P）文件共享應(yīng)用程序

C、電子郵件申請(qǐng)

D、端到端應(yīng)用

答案：B

7.以下哪項(xiàng)僅用于加密通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù),并且不能用于加密靜止數(shù)據(jù)？

A、TKIP

B、AES

G3DES

D、RSA

答案：A

解析：TKIP僅用于加密傳輸中的數(shù)據(jù),而不用于靜止數(shù)據(jù)。RSA、AES和3DES適

用于靜止數(shù)據(jù)和傳輸中的數(shù)據(jù)。

8.單選題Bel1-LaPadula和Biba模型實(shí)現(xiàn)了什么狀態(tài)機(jī)模型？

A、信息流

B、不干擾

C、級(jí)聯(lián)

D、反饋

答案：A

9.#166

在進(jìn)行有可能采取法律行動(dòng)的調(diào)查時(shí)，解析師的首要考慮是什么？

A、數(shù)據(jù)解密

B、監(jiān)管鏈

C、授權(quán)收集

D、法院可受理性

答案：B

10.單選題在軟件配置管理程序中,CAB的主要作用是什么？

A、批準(zhǔn)開發(fā)者的憑據(jù)

B、促進(jìn)經(jīng)驗(yàn)教訓(xùn)會(huì)議

C、審查和批準(zhǔn).拒絕代碼更改

D、優(yōu)先考慮軟件開發(fā)工作

答案：C

解析：變更咨詢委員會(huì)(CAB)的目的是審查并批準(zhǔn)或拒絕提議的代碼變更。CAB

通常不參與開發(fā)人員證書的批準(zhǔn)、經(jīng)驗(yàn)教訓(xùn)會(huì)議的進(jìn)行或軟件開發(fā)工作的優(yōu)先級(jí)

順序。

11.單選題在下圖中,Harry寫入數(shù)據(jù)文件的請(qǐng)求被拒絕。Harry有機(jī)密安全許可,

該數(shù)據(jù)文件屬于秘密級(jí)別。BelI—LaPadula模型的什么原則阻止了該請(qǐng)求？

A、簡(jiǎn)單安全性屬性

B、簡(jiǎn)單完整性屬性

C、*安全性屬性*

D、自主安全屬性

答案：C

解析：“安全屬性規(guī)定個(gè)人不得寫入安全分類級(jí)別較低的文件。

12.單選題什么類型的軟件程序向任何人曝光代碼？

A、封閉源

B、開源

C、固定源

D、無限制源

答案：B

解析：開源軟件會(huì)將源代碼暴露給公眾，以便他們檢查和修改。開源社區(qū)包括主

要軟件包,包括Linux操作系統(tǒng)。

13.單選題參考如下火災(zāi)三角形,以下哪一個(gè)抑制材料通過移除燃料來抑制火災(zāi)？

A、水

B、酸堿

C、二氧化碳

D、哈龍

答案：B

解析：蘇打酸和其他干粉滅火器阻斷燃料與空氣的接觸。水可降低溫度，而哈龍

和二氧化碳可以阻斷氧氣。

14.#306

以下哪種攻擊類型可用于破壞傳輸過程中的數(shù)據(jù)完整性？

A、同步泛洪

B、會(huì)話劫持

C、鍵盤記錄

D、數(shù)據(jù)包嗅探

答案：B

15.單選題Barry是一名軟件測(cè)試人員,他使用公司開發(fā)的新游戲應(yīng)用。他在智能

手機(jī)上玩游戲,并在最能模擬正常最終用戶的環(huán)境中進(jìn)行測(cè)試，但他在進(jìn)行測(cè)試

時(shí)參考了源代碼。Barry進(jìn)行什么類型的測(cè)試？

A、白盒

B甲

C、藍(lán)盒

D、灰盒

答案：D

解析：在灰盒測(cè)試中，測(cè)試者從用戶角度評(píng)估軟件，但在進(jìn)行測(cè)試時(shí)可以訪問源代

碼。白盒測(cè)試也可以訪問源代碼，但從開發(fā)人員的角度進(jìn)行測(cè)試。黑盒測(cè)試是從

用戶的角度來評(píng)估軟件,并且不能訪問源代碼。藍(lán)盒是一種電話黑客工具,而不是

軟件測(cè)試技術(shù)。

16.Sally為千兆以太網(wǎng)網(wǎng)絡(luò)接線。她應(yīng)該做哪些布線選擇,來確保她的用戶可以

使用1000Mbps的網(wǎng)絡(luò)？

A、Cat5和Cat6

B、Cat5e和Cat6

C、Cat

D、Cat6和Cat7

答案：B

解析：5e類和6類的UTP電纜額定速率是1000Mbps。Cat5線纜的速率僅為100

Mbps,而Cat7線纜速率為WGbpSo不存在Cat4e0

17.#167

軟件定義網(wǎng)絡(luò)(SDN)的構(gòu)建塊需要以下哪一項(xiàng)？

A、SDN完全由客戶端-服務(wù)器對(duì)組成。

B、隨機(jī)存取內(nèi)存(RAM)優(yōu)先于虛擬內(nèi)存使用。

C、SDN主要由虛擬機(jī)(VM)組成。

D、虛擬內(nèi)存優(yōu)先于隨機(jī)存取內(nèi)存(RAM)。

答案：C

18.以下哪種工具最適合滲透測(cè)試的信息收集階段？

A、Whois

B、zzuf

CxNessus

D、Metasploit

答案：A

解析：在滲透測(cè)試的信息收集和發(fā)現(xiàn)階段，測(cè)試人員收集有關(guān)目標(biāo)的信息。Whoi

s可提供有關(guān)組織的信息,包括IP范圍、物理地址和員工聯(lián)系人。Nessus在漏洞

檢測(cè)階段很有用，Metasploit在開發(fā)過程中很有用。zzuf是一種Fuzzing工具,

不太可能在滲透測(cè)試中使用。

19.#358

以下哪一項(xiàng)是Bell-LaPadula模型的局限性？

A、職責(zé)分離(SoD)難以實(shí)施，因?yàn)椤敖归喿x”規(guī)則限制了對(duì)象訪問更高分類信

息的能力。

B、強(qiáng)制訪問控制(MAC)在所有級(jí)別強(qiáng)制執(zhí)行,因此無法實(shí)施自主訪問控制(DAC),,

C、它不包含更改數(shù)據(jù)訪問控制的規(guī)定或政策，并且僅適用于本質(zhì)上是靜態(tài)的訪

問系統(tǒng)。

D、它優(yōu)先考慮完整性而不是機(jī)密性，這可能導(dǎo)致無意的信息泄露。

答案:C

20.#79

垃圾箱潛水是滲透測(cè)試方法的哪個(gè)階段使用的一種技術(shù)？

A、攻擊

B、報(bào)告

C、規(guī)劃

D、發(fā)現(xiàn)

答案：D

21.#259

以下哪個(gè)是風(fēng)險(xiǎn)矩陣？

A、確定活動(dòng)或系統(tǒng)風(fēng)險(xiǎn)管理決策的工具。

B、與特定信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)數(shù)據(jù)庫。

C、組織、產(chǎn)品、項(xiàng)目或其他相關(guān)項(xiàng)目的二維風(fēng)險(xiǎn)圖。

D、供管理層考慮的風(fēng)險(xiǎn)管理因素表。

答案:A

22.單選題MITRE的CVE數(shù)據(jù)庫提供什么類型的信息？

A、當(dāng)前版本的軟件

B、應(yīng)用程序的補(bǔ)丁信息

C、漏洞信息

D、為通用流程列出成本和所需努力的對(duì)比

答案：C

解析：公共漏洞和暴露(CVE)字典提供了安全漏洞和問題的中央資料庫。應(yīng)用程

序和軟件版本的修補(bǔ)信息有時(shí)會(huì)使用中央補(bǔ)丁管理工具進(jìn)行管理,但單個(gè)中央數(shù)

據(jù)庫一般不能免費(fèi)或公開使用。CVE并不關(guān)心成本和所需努力的對(duì)比。

23.#462

以下哪些是進(jìn)行安全評(píng)估時(shí)的關(guān)鍵活動(dòng)？

A、安排、收集、檢查

B、面試、考試、模擬

C、收集、采訪、測(cè)試

D、考試、面試、測(cè)試

答案：B

24.單選題以下哪個(gè)數(shù)據(jù)庫鍵值用于執(zhí)行表之間的完整性引用關(guān)系？

A、主鍵

B、候選鍵

C、外鍵

D、控制鍵

答案:C

解析：完整性引用確保記錄被其他表中的外鍵引用時(shí)，該記錄存在于副表中。外

鍵是用于嚴(yán)格保證引用完整性的機(jī)制。

25.多選題Susan想要使用一組不可路由的IP地址作為該位置的內(nèi)部網(wǎng)絡(luò)地址。

使用你對(duì)安全網(wǎng)絡(luò)設(shè)計(jì)原則和IP網(wǎng)絡(luò)的了解,以下哪些IP范圍可用于此目的？

（選擇所有符合條件的。）

A、172.16.0.0.12

B、192.168.0.0.16

G128.192.0.0.24

D、10.0.0.0.810.0.0.0.8

答案：C

解析：RFC1918將三個(gè)地址范圍定義為私有（不可路由）IP地址范圍：10.0.0.0.8s

172.16.0.012和192.168.0.0.16.這些之中的任何一個(gè)都可以工作，但許多組織

將192.168.0.0.16范圍用于較小的站點(diǎn),或者選擇為多個(gè)遠(yuǎn)程站點(diǎn)劃分到10.0.

0.0.8范圍中。材料13:請(qǐng)參考以下場(chǎng)景，回答4個(gè)問題:Susan正在為她的組織

的分支機(jī)構(gòu)設(shè)計(jì)新的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

26.#14

一家公司參加了一項(xiàng)硬盤再利用計(jì)劃，在該計(jì)劃中，退役的設(shè)備在不再需要時(shí)被

賣回給供應(yīng)商。

與不再運(yùn)行的設(shè)備相比，供應(yīng)商為正常運(yùn)行的驅(qū)動(dòng)器支付的費(fèi)用更多。哪種數(shù)據(jù)

清理方法可以提供最安全的方法來防止未經(jīng)授權(quán)的數(shù)據(jù)丟失，同時(shí)從供應(yīng)商那里

獲得最多的錢？

A、固定

B、單程擦拭

C、多道擦拭布

D、消磁

答案：C

27.#121

與傳統(tǒng)網(wǎng)絡(luò)相比，以下哪一項(xiàng)是軟件定義網(wǎng)絡(luò)(SDN)提供的與安全相關(guān)的好處？

A、集中式網(wǎng)絡(luò)配置

B、擴(kuò)展時(shí)減少網(wǎng)絡(luò)延遲

C、集中網(wǎng)絡(luò)管理控制

D、減少硬件占用空間和成本

答案：C

28.#253

一個(gè)組織正在計(jì)劃一項(xiàng)模擬前網(wǎng)絡(luò)管理員的惡意行為的滲透測(cè)試。需要什么樣的

滲透測(cè)試？

A、功能測(cè)試

B、單元測(cè)試

C、灰盒

D、白盒

答案：C

29.#345

開放Web應(yīng)用程序安全項(xiàng)目(OWASP)的軟件保障成熟度模型(SAMM)允許組織實(shí)施

靈活的軟件安全策略，以根據(jù)哪些風(fēng)險(xiǎn)管理方面衡量組織影響？

A、風(fēng)險(xiǎn)例外

B、風(fēng)險(xiǎn)承受能力

C、風(fēng)險(xiǎn)處理

D、風(fēng)險(xiǎn)應(yīng)對(duì)

答案：D

30.單選題一般能夠阻止大多數(shù)人攀越的圍墻最低高度是多少？

A、3英尺

B、4英尺

C、5英尺

D、6英尺

答案：D

解析：圍欄一般應(yīng)至少高6英尺。如果一個(gè)物理安全系統(tǒng)需要明確阻止某類入侵

者,它應(yīng)該至少8英尺高，頂部還應(yīng)有三股鐵絲網(wǎng)。

31.單選題在放到生產(chǎn)網(wǎng)絡(luò)之前,應(yīng)用程序開發(fā)人員可在隔離的虛擬化環(huán)境中對(duì)

應(yīng)用程序使用什么測(cè)試技術(shù)?

A、滲透測(cè)試

B、沙箱

C、白盒測(cè)試

D、黑盒測(cè)試

答案：B

解析：沙箱提供了一個(gè)與生產(chǎn)系統(tǒng)相隔離的虛擬化環(huán)境,在此虛擬化環(huán)境中，應(yīng)用

開發(fā)者（或不受信任的應(yīng)用的接收者）可以執(zhí)行代碼測(cè)試。白盒測(cè)試、黑盒測(cè)試和

滲透測(cè)試都是常見的軟件測(cè)試技術(shù)，但不需要使用隔商系統(tǒng)。

32.單選題Lucca構(gòu)建的Web應(yīng)用程序存在一個(gè)缺陷,會(huì)導(dǎo)致登錄的用戶能夠執(zhí)行

他們不應(yīng)該執(zhí)行的操作。該安全漏洞應(yīng)歸為哪種類型？

A、數(shù)據(jù)驗(yàn)證

B、會(huì)話管理

C、授權(quán)

D、錯(cuò)誤處理

答案:C

解析：鑒于此處的選項(xiàng)列表,根本原因很可能是授權(quán)檢查的問題,該檢查未正確限

制用戶應(yīng)具有的權(quán)限。數(shù)據(jù)驗(yàn)證問題更可能允許注入攻擊或允許輸入錯(cuò)誤數(shù)據(jù)，

而會(huì)話管理問題將允許會(huì)話劫持或?qū)嶋H上可能導(dǎo)致它們作為另一個(gè)用戶登錄。最

后,錯(cuò)誤處理會(huì)在發(fā)生錯(cuò)誤時(shí)顯示為問題,而這個(gè)問題并未表示。

33.Alan正在考慮在其組織中使用新的身份證，用于物理訪問控制。他看到一種

樣品卡，但不確定該卡使用的技術(shù)。因此他打開卡片，看到了以下內(nèi)部結(jié)構(gòu)。這

是什么類型的卡?

A、智能卡

B、感應(yīng)卡

C、磁條

D、相二卡

答案：B

解析：在卡內(nèi)使用電磁線圈表示這是一個(gè)感應(yīng)卡。

34.#395

以下哪項(xiàng)是聯(lián)邦身份管理(FlM)實(shí)施模型的主要組成部分，用于建立網(wǎng)絡(luò)

在幾十個(gè)組織之間？

A、身份即服務(wù)(IDaaS)

B、基于屬性的訪問控制(ABAC)

C、交叉認(rèn)證

D、可信第三方(TTP)

答案：C

35.#327

在過去的15年中，一家公司經(jīng)歷了三起電氣故障。下面列出了與每個(gè)故障相關(guān)

的成本。以下哪項(xiàng)是合理的年度損失預(yù)期？

A、3,500

B、140,000

C、14,000

D、350,000

答案：C

36.#363

哪個(gè)(ISC)

在保護(hù)系統(tǒng)、應(yīng)用程序和受托信息的價(jià)值同時(shí)避免利益沖突時(shí)，道德規(guī)范規(guī)范最

能體現(xiàn)嗎？

A、為原則提供勤奮和稱職的服務(wù)。

B、以光榮、誠實(shí)、公正、負(fù)責(zé)任和合法的方式行事。

C、推進(jìn)和保護(hù)職業(yè)。

D、保護(hù)社會(huì)'聯(lián)邦和基礎(chǔ)設(shè)施。

答案：A

37.單選題Melissa希望以對(duì)用戶透明的方式,在她的組織中將多個(gè)物理網(wǎng)絡(luò)組

合起來，但允許根據(jù)需要為網(wǎng)絡(luò)服務(wù)分配資源。她應(yīng)該部署什么類型的網(wǎng)絡(luò)？

A、iSICI

B、虛擬化網(wǎng)絡(luò)

GSDWAN

D、A

答案：B

解析：虛擬網(wǎng)絡(luò)可用于組合現(xiàn)有網(wǎng)絡(luò)或?qū)⒕W(wǎng)絡(luò)劃分為多個(gè)網(wǎng)段。Melissa可以使

用虛擬網(wǎng)絡(luò)來組合現(xiàn)有網(wǎng)絡(luò)，然后使用軟件定義的網(wǎng)絡(luò)功能來分配和管理網(wǎng)絡(luò)資

源。iSCSI是一種融合存儲(chǔ)協(xié)議。SDWAN是軟件定義的廣域網(wǎng)，此問題沒有指定L

AN或WAN技術(shù)。CDN是一個(gè)內(nèi)容分發(fā)網(wǎng)絡(luò),有助于應(yīng)對(duì)負(fù)載和拒絕服務(wù)攻擊。

38.#198

軟件開發(fā)公司交付軟件產(chǎn)品的時(shí)間很短。軟件開發(fā)團(tuán)隊(duì)決定使用開源軟件庫來減

少開發(fā)時(shí)間。軟件開發(fā)人員在使用開源軟件庫時(shí)應(yīng)該考慮什么概念？

A、開源庫包含已知漏洞，攻擊者經(jīng)常在野外利用這些漏洞。

B、開源庫是所有人都可以使用的，大家的共識(shí)是這些庫中的漏洞不會(huì)被利用。

C、開源庫包含未知漏洞，因此不應(yīng)使用。

D、開源庫不斷更新，使得攻擊者不太可能存在漏洞利用。

答案：A

39.單選題以下哪種方法移除數(shù)據(jù)的效果最差？

A、消磁

B、清除

C、擦除

D、清理

答案：C

解析：擦除（也稱為刪除）通常只是斷開了文件的鏈接,并沒有真正刪除掉文件本

身的數(shù)據(jù),這些數(shù)據(jù)會(huì)被留在存儲(chǔ)介質(zhì)中，如果系統(tǒng)新寫入一部分?jǐn)?shù)據(jù),那么這些

新寫入的數(shù)據(jù)可能覆蓋掉舊的文件數(shù)據(jù)。消磁只能在磁性介質(zhì)上進(jìn)行。清除和清

理兩者都描述了更復(fù)雜的移除過程。

40.單選題以下哪項(xiàng)是用于自動(dòng)設(shè)計(jì)新軟件測(cè)試并確保測(cè)試質(zhì)量的方法？

A、代碼審計(jì)

B、靜態(tài)代碼分析

C、回歸測(cè)試

D、突變測(cè)試

答案：D

解析：突變測(cè)試通過修改程序的局部,測(cè)試該突變體來確定其能否按照預(yù)期運(yùn)行。

靜態(tài)代碼分析和回歸測(cè)試均是測(cè)試代碼的方法,而代碼審計(jì)是針對(duì)源代碼的分析,

并非設(shè)計(jì)和測(cè)試軟件的方法。

41.#117

質(zhì)量保證(QA)部門人手不足，無法在應(yīng)用程序的預(yù)期發(fā)布日期之前測(cè)試所有模塊。

什么安全控制最有可能被違反？

A、變更管理

B、環(huán)境分離

C、方案管理

D、移動(dòng)代碼控制

答案：C

42.單選題以下哪種類型的軟件測(cè)試通常最后發(fā)生,并針對(duì)測(cè)試場(chǎng)景執(zhí)行？

A、單元測(cè)試

B、集成測(cè)試

C、用戶驗(yàn)收測(cè)試

D、系統(tǒng)測(cè)試

答案：C

解析：用戶驗(yàn)收測(cè)試(UAT)通常是測(cè)試過程的最后階段。它驗(yàn)證所開發(fā)的解決方

案是否滿足用戶要求，并使用用例對(duì)其進(jìn)行驗(yàn)證。單元測(cè)試、集成測(cè)試和系統(tǒng)測(cè)

試都在用戶驗(yàn)收測(cè)試階段之前實(shí)施。

43.#85

以下哪一項(xiàng)最能保護(hù)用于緊急維護(hù)的供應(yīng)商帳戶？

A、應(yīng)在需要時(shí)禁用供應(yīng)商訪問

B、頻繁監(jiān)控供應(yīng)商訪問

C、基于角色的訪問控制(RBAC)

D、路由表加密

答案:C

44.單選題James使用國防部的一個(gè)系統(tǒng)來工作,這個(gè)系統(tǒng)被授權(quán)同時(shí)處理歸類

為機(jī)密和絕密級(jí)別的信息。他使用的是什么類型的系統(tǒng)？

A、單核

B、未加密

C、隔離

D、多核

答案：D

解析：經(jīng)過認(rèn)證的多核系統(tǒng)通過實(shí)施適當(dāng)?shù)谋Ｗo(hù)機(jī)制來隔離數(shù)據(jù),可同時(shí)處理來

自不同安全分類級(jí)別的數(shù)據(jù)。

45.#73

限制對(duì)計(jì)算系統(tǒng)上文件系統(tǒng)的訪問的最佳方法是什么？

A、在每個(gè)級(jí)別使用最低權(quán)限來限制訪問。

B、限制所有用戶的訪問。

C、允許用戶組限制訪問。

D、使用第三方工具限制訪問。

答案：A

46.#153

以下哪個(gè)框架提供了漏洞度量和特征來支持國家漏洞數(shù)據(jù)庫(NVD)?

A、常見漏洞和暴露(CVE)

B、互聯(lián)網(wǎng)安全中心(CIS)

C、通用漏洞評(píng)分系統(tǒng)(CVSS)

D、開放Web應(yīng)用程序安全項(xiàng)目(OWASP)

答案：C

47.單選題下列哪項(xiàng)正確地描述了非政府和政府使用的分類級(jí)別對(duì)應(yīng)關(guān)系？

A、絕密-機(jī)密.私有秘密-私人機(jī)密-敏感

B、秘密-業(yè)務(wù)機(jī)密分級(jí)的-私有機(jī)密-內(nèi)部業(yè)務(wù)

C、絕密-私有分級(jí)的-內(nèi)部業(yè)務(wù)機(jī)密-私有業(yè)務(wù)

D、秘密-私有分級(jí)的-私人未加密-公開的

答案：A

解析：雖然許多非政府組織都創(chuàng)建了自己的分類計(jì)劃，但只有一部分組織和美國

政府所使用的模型是一致的,如下所示。在四個(gè)選項(xiàng)中，B選項(xiàng)和D選項(xiàng)與美國政

府的絕密、秘密、機(jī)密模型不匹配，并且選項(xiàng)C把業(yè)務(wù)專有數(shù)據(jù)和機(jī)密數(shù)據(jù)錯(cuò)誤

匹配,把業(yè)務(wù)敏感數(shù)據(jù)和最高機(jī)密數(shù)據(jù)錯(cuò)誤匹配。內(nèi)部業(yè)務(wù)通常就是敏感業(yè)務(wù)，

意味著它可以用來匹配兩個(gè)分類級(jí)別。

48.#379

一項(xiàng)違規(guī)調(diào)查發(fā)現(xiàn)，一個(gè)網(wǎng)站被一個(gè)開源組件利用。可以防止這種違規(guī)行為的流

程中的第一步是什么?

A、應(yīng)用程序白名單

B、漏洞修復(fù)

GWeb應(yīng)用防火墻(WAF)

D、軟件清單

答案：C

49.單選題1分如果允許OpenID信任方控制連接OpenID提供程序,會(huì)引發(fā)什么危

險(xiǎn)？

A、錯(cuò)誤選擇適當(dāng)?shù)腛penlD提供程序

B、網(wǎng)絡(luò)釣魚攻擊

C、竊取用戶名和密碼

D、不發(fā)送簽名聲明

答案：B

解析：有可能會(huì)發(fā)生網(wǎng)絡(luò)釣魚攻擊。由于OpenID提供程序URL由客戶端提供，

因此依賴方不能選擇錯(cuò)誤的提供程序。依賴方從未收到用戶的密碼,這意味著他

們不能竊取它。最后，依賴方接收到簽名的聲明，但不發(fā)送。

50.單選題Brenda的組織最近完成了對(duì)競(jìng)爭(zhēng)對(duì)手公司的收購。在收購期間以下哪

項(xiàng)任務(wù)最不可能成為所涉及的組織過程的一部分？

A、安全功能的整合

B、安全工具的集成

C、知識(shí)產(chǎn)權(quán)的保護(hù)

D、安全策略的文件化

答案：C

解析：與收購(一家公司購買另一家公司)相比,在剝離(子公司被分拆為一個(gè)獨(dú)立

的組織)期間,知識(shí)產(chǎn)權(quán)保護(hù)是一個(gè)更大的問題。收購問題包括整合安全功能和策

略，以及安全工具的集成。

51.#169

哪種安全審計(jì)標(biāo)準(zhǔn)為組織了解供應(yīng)商信息系統(tǒng)(IS)的機(jī)密性、完整性和可用性提

供了最佳方式？

A、服務(wù)組織控制(S0O2

B、鑒證業(yè)務(wù)標(biāo)準(zhǔn)聲明(SSAE)18

C、審計(jì)標(biāo)準(zhǔn)聲明(SAS)70

D、服務(wù)組織控制(S0C)1

答案：A

52.#391

誰是審查開發(fā)的應(yīng)用程序代碼以確保它已經(jīng)過測(cè)試和驗(yàn)證的最佳人選？

A、知道對(duì)應(yīng)用程序的期望是什么的開發(fā)人員，但不是開發(fā)它的人。

B、質(zhì)量保證(QA)成員應(yīng)審查開發(fā)人員的代碼。

C、了解應(yīng)用程序需求文檔并開發(fā)代碼的開發(fā)人員。

D、管理者應(yīng)該審查開發(fā)者的應(yīng)用程序代碼。

答案：B

53.#423

當(dāng)懷疑發(fā)生事件時(shí)，事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)該采取的第一個(gè)行動(dòng)是什么？

A、選擇遏制策略。

B、記錄有關(guān)該事件的所有事實(shí)。

C、嘗試識(shí)別攻擊者。

D、將事件通知管理層。

答案：B

54.#132

一家大型軟件公司的項(xiàng)目經(jīng)理獲得了一份政府合同，該合同會(huì)生成大量受控非機(jī)

密信息(CUI)。該組織的信息安全經(jīng)理收到了在不同安全等級(jí)的系統(tǒng)之間傳輸與

項(xiàng)目相關(guān)的CUI的請(qǐng)求。什么角色為本次轉(zhuǎn)讓提供權(quán)威指導(dǎo)？

A、下午

B、信息所有者

C、數(shù)據(jù)保管人

D、使命/企業(yè)主

答案：C

55.單選題1分在滲透測(cè)試期間,Chris恢復(fù)了一個(gè)散列密碼文件，以下哪種攻擊

是針對(duì)散列密碼的？

A、暴力攻擊

B、散列傳遞攻擊

C、彩虹表攻擊

D、鹽恢復(fù)攻擊

答案：C

解析：彩虹表是預(yù)先匹配好散列密碼的數(shù)據(jù)庫，具備高速查找的功能。由于可以

快速比較已知的散列與文件中的散列，使用彩虹表是最快捷的方法。暴力攻擊有

可能成功，但特別緩慢。傳遞散列攻擊依賴于嗅探獲取的散列值,從而避免使用密

碼。鹽是添加到散列中的數(shù)據(jù)，使用鹽可阻止彩虹表的使用。在密碼中加入鹽后,

散列值就無法和沒有加入鹽而得出的彩虹表匹配了。

56.單選題Fred的組織中，在一個(gè)項(xiàng)目完成后,允許重復(fù)使用這個(gè)系統(tǒng)。如果一個(gè)

秘密級(jí)別的項(xiàng)目使用的系統(tǒng)來自一個(gè)絕密項(xiàng)目，F(xiàn)red應(yīng)該注意什么？

A、絕密數(shù)據(jù)可能與秘密數(shù)據(jù)混合,導(dǎo)致需要重新標(biāo)記系統(tǒng)

B、凈化舊設(shè)備的成本可能超過新設(shè)備的成本

C、凈化舊設(shè)備時(shí)可能會(huì)泄露數(shù)據(jù)

D、組織的DLP系統(tǒng)可能因?yàn)閿?shù)據(jù)標(biāo)簽的不同重新標(biāo)記新的系

答案：B

解析：由于難以確認(rèn)數(shù)據(jù)凈化工作是否已經(jīng)完成,一般很少有組織會(huì)重復(fù)使用舊

的系統(tǒng)設(shè)備。因?yàn)樾枰耆脸?或破壞)系統(tǒng)使用的介質(zhì),因此這意味著重復(fù)使

用的成本通常較高,甚至可能超過購買新系統(tǒng)的成本。清除的目的是確保沒有數(shù)

據(jù)保留,所以數(shù)據(jù)混合和數(shù)據(jù)泄露都不在考慮范圍內(nèi)。數(shù)據(jù)丟失防護(hù)系統(tǒng)應(yīng)該根

據(jù)標(biāo)簽標(biāo)記數(shù)據(jù),而不是根據(jù)它的系統(tǒng)進(jìn)行標(biāo)記。

57.#375

以下哪些文件從客戶的角度具體說明了服務(wù)？

A、業(yè)務(wù)影響解析(BIA)

B、服務(wù)水平協(xié)議(SLA)

C、服務(wù)水平要求(SLR)

D、服務(wù)水平報(bào)告

答案：C

58.#432

在美國(US)開發(fā)電子健康記錄(EHR)時(shí)，以下哪項(xiàng)是最佳信息來源

有什么合規(guī)要求嗎？

A、世界衛(wèi)生組織(WHO)

B、國際標(biāo)準(zhǔn)化組織(ISO)

C、健康與人類服務(wù)(HHS)

D、美國公共衛(wèi)生協(xié)會(huì)(APHA)

答案：C

59.#393

確保云服務(wù)提供商不會(huì)訪問存儲(chǔ)在其基礎(chǔ)架構(gòu)中的客戶數(shù)據(jù)的最有效方法是什

么？

A、使用組織的加密工具和數(shù)據(jù)管理控制。

B、確保云服務(wù)提供商根據(jù)合同不會(huì)訪問數(shù)據(jù)，除非獲得明確授權(quán)。

C、定期請(qǐng)求審計(jì)日志。

D、利用云提供商的密鑰管理和彈性硬件安全模塊(HSM)支持。

答案：B

60.#441

什么最能描述數(shù)據(jù)所有權(quán)？

A、地理主權(quán)

B、保密性和完整性

C、準(zhǔn)確度和精密度

D、法律責(zé)任

答案：D

61.單選題對(duì)于已實(shí)施了最佳防護(hù)的組織來說,以下哪種人是最大的安全風(fēng)險(xiǎn)？

A、政治活動(dòng)家

B、惡意的內(nèi)部人員

C、腳本小子

D、激進(jìn)的攻擊者

答案:B

解析：雖然所有惡意黑客對(duì)組織都會(huì)構(gòu)成風(fēng)險(xiǎn)，但內(nèi)部惡意人員對(duì)組織安全構(gòu)成

的威脅要遠(yuǎn)遠(yuǎn)超過他們。由于內(nèi)部人員可以合法訪問系統(tǒng),因此這為攻擊帶來了

極大的便捷性,這一點(diǎn)是其他黑客做不到的。

62.單選題使用什么術(shù)語來描述軟件沒有漏洞的信任級(jí)別（這些漏洞可能在開發(fā)

生命周期內(nèi)的任何時(shí)候有意或意外設(shè)計(jì)到軟件中，而且軟件以預(yù)期的方式運(yùn)行）?

A、驗(yàn)證

B、認(rèn)證

C、信任區(qū)間

D、保證

答案：D

解析：對(duì)于軟件來說，“保證”是用來描述軟件沒有漏洞的信任級(jí)別，這些漏洞可

能在開發(fā)生命周期內(nèi)的任何時(shí)候有意或無意地設(shè)計(jì)加入軟件中，另外用來描述軟

件以預(yù)期的方式運(yùn)行。它通常用于軍事和國防環(huán)境。

63.單選題專注于系統(tǒng)不允許的功能的測(cè)試是什么類型的測(cè)試示例？

A、用戶用例測(cè)試

B、手動(dòng)測(cè)試

C、誤用用例測(cè)試

D、動(dòng)態(tài)測(cè)試

答案：C

解析：測(cè)試一個(gè)系統(tǒng)如何被誤用，也即誤用測(cè)試。用戶用例測(cè)試用來驗(yàn)證系統(tǒng)是

否實(shí)現(xiàn)了預(yù)期功能。動(dòng)態(tài)測(cè)試用來確定程序運(yùn)行中，代碼是如何處理那些變量的。

手動(dòng)測(cè)試的含義十分直白，就是手動(dòng)測(cè)試代碼。

64.單選題在下圖中,Sally在寫入數(shù)據(jù)時(shí)被Biba完整性模型所阻礙。SaIIy對(duì)機(jī)

密性進(jìn)行安全檢查,該文件屬于絕密類別。什么原則阻止她寫入文件？

A、簡(jiǎn)單安全屬性

B、簡(jiǎn)單完整性屬性

C、安全屬性

D、完整性屬性

答案：D

解析：*完整性屬性規(guī)定主體不能修改安全級(jí)別較高的客體。

65.單選題以下哪一個(gè)是軟件開發(fā)的瀑布模型中正確的步驟順序？

A、需求、設(shè)計(jì)、測(cè)試'編碼、維護(hù)

B、需求、設(shè)計(jì)、編碼、測(cè)試、維護(hù)

C、設(shè)計(jì)、需求、編碼、測(cè)試、維護(hù)

D、設(shè)計(jì)、需求、測(cè)試、編碼'維護(hù)

答案：B

解析：在瀑布模型中，軟件開發(fā)過程遵循五個(gè)順序步驟，按順序分別是:需求、設(shè)

計(jì)、編碼、測(cè)試和維護(hù)。

66.單選題Sherry盤點(diǎn)她所在的組織中使用的密碼技術(shù),發(fā)現(xiàn)使用了以下這些算

法和協(xié)議。為保障系統(tǒng)的安全性,她應(yīng)該建議把以下哪項(xiàng)技術(shù)替換掉？

A、MD5

B、AES

C、PGP

D、WPA3

答案：A

解析：MD5散列算法具有已知的沖突,并且自2005年起，不再被認(rèn)為是安全的。A

ES、PGP和WPA3算法仍然被認(rèn)為是安全的。

67.#445

緩解分布式拒絕服務(wù)(DDoS)攻擊的最有效方法是什么？

A、部署Web應(yīng)用程序防火墻(WAF)o

B、阻止訪問受攻擊的傳輸控制協(xié)議(TCP)端口。

C、檢測(cè)并阻止公司防火墻上的不良Internet協(xié)議(IP)子網(wǎng)。

D、聘請(qǐng)上游互聯(lián)網(wǎng)服務(wù)提供商(ISP)。

答案：D

68.單選題在第三方漏洞掃描和安全測(cè)試期間,Danielle的雇主最近發(fā)現(xiàn),為管

理公司新部署和安裝的嵌入式系統(tǒng)存在嚴(yán)重的遠(yuǎn)程訪問漏洞。制造商已經(jīng)停業(yè)，

并且沒有針對(duì)這類設(shè)備的補(bǔ)丁或更新。DanielIe應(yīng)該建議她的雇主如何處理這

些數(shù)以百計(jì)且易受攻擊的設(shè)備?

A、確定替換設(shè)備型號(hào)并更換每個(gè)設(shè)備

B、關(guān)掉所有設(shè)備

C、將設(shè)備移動(dòng)到安全的網(wǎng)段

D、對(duì)設(shè)備進(jìn)行反向工程并構(gòu)建內(nèi)部補(bǔ)丁

答案：C

解析：最佳的選項(xiàng)是將設(shè)備移動(dòng)到安全且隔離的網(wǎng)段。這將允許設(shè)備繼續(xù)發(fā)揮其

預(yù)期功能，同時(shí)防止被破壞。所有其他方案要么產(chǎn)生高額的新成本,要么不能使用

組織購買這些設(shè)備所提供的功能。

69.Mike正在構(gòu)建容錯(cuò)服務(wù)器并希望實(shí)施RAID1,實(shí)施此方案需要多少個(gè)物理磁

盤？

A、1

B、2

C、3

D、5

答案:B

解析：RAID1稱為磁盤鏡像,需要兩個(gè)物理磁盤，其中一個(gè)物理磁盤是另一個(gè)的副

本。

70.單選題為什么除了實(shí)施無線安全技術(shù)（例如無線入侵檢測(cè)系統(tǒng)）之外,還應(yīng)進(jìn)

行被動(dòng)掃描？

A、它有助于識(shí)別流識(shí)設(shè)備

B、它可以通過腳本攻擊來測(cè)試無線網(wǎng)絡(luò)的安全性

C、它們?cè)诿總€(gè)無線信道上的短駐留時(shí)間允許它們捕獲更多分組

D、他們有助于測(cè)試無線IDS或IPS系統(tǒng)

答案：A

解析：被動(dòng)掃描可通過捕獲與所部署設(shè)備不匹配的MAC地址供應(yīng)商ID,通過利用

硬件地址來驗(yàn)證系統(tǒng)與組織擁有的硬件庫存是否匹配，以及通過監(jiān)控流眠SSID

或連接來幫助識(shí)別流氓設(shè)備。腳本攻擊屬于主動(dòng)掃描,而不是被動(dòng)掃描,主動(dòng)掃描

對(duì)于測(cè)試IDS或IPS系統(tǒng)很有用，而被動(dòng)掃描將不會(huì)被檢測(cè)系統(tǒng)檢測(cè)到。較短的

駐留時(shí)間實(shí)際上可以避開難以管控的流量

71.單選題Am。Id正在創(chuàng)建一個(gè)新的軟件包,并使用了OpenSSL庫。哪項(xiàng)術(shù)語最能

描述他正在使用的庫？

A、開源

B、COTS

C、第三方

D、托管

答案：A

解析：OpensSL包是一個(gè)廣泛使用的TLS加密的應(yīng)用，并且可作為開源包使用。

它不是商業(yè)現(xiàn)成軟件(COTS).雖然它可能由第三方開發(fā)，但將其描述為開源更為

準(zhǔn)確。該庫可作為代碼免費(fèi)使用，但不能作為托管服務(wù)。

72.#125

工業(yè)控制系統(tǒng)(ICS)計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)已發(fā)布有關(guān)專門通過基于Windo

ws的業(yè)務(wù)網(wǎng)絡(luò)傳播的以ICS為重點(diǎn)的惡意軟件的警報(bào)。當(dāng)?shù)匾患易詠硭镜?/p>

技術(shù)人員注意到，他們的水壩、運(yùn)河和水閘由內(nèi)部監(jiān)督機(jī)構(gòu)控制

控制和數(shù)據(jù)采集(SCADA)系統(tǒng)出現(xiàn)故障。在事件響應(yīng)(IR)和恢復(fù)過程中咨詢了數(shù)

字取證專家。

以下哪一項(xiàng)是這項(xiàng)調(diào)查中最具挑戰(zhàn)性的方面？

A、集團(tuán)政策實(shí)施

B、SCADA網(wǎng)絡(luò)延遲

C、對(duì)系統(tǒng)的物理訪問

D、數(shù)據(jù)的波動(dòng)性

答案:D

73.AIice想獲得一個(gè)對(duì)象的讀取權(quán)限,并且她知道Bob已經(jīng)擁有這些權(quán)限,她希

望Bob能將這些權(quán)限提供給自己。如果Alice和Bob之間存在關(guān)系,Take-Grant

保護(hù)模型中的哪個(gè)規(guī)則將允許她完成此操作？

A、獲取規(guī)則

B、授予規(guī)則

C、創(chuàng)建規(guī)則

D、遠(yuǎn)程規(guī)則

答案:A

解析：獲取規(guī)則允許主體獲得其他客體的權(quán)限,據(jù)此如果Alice可以獲取Bob擁

有的權(quán)限那么這意味著她可授予自己和Bob同樣的權(quán)限。

74.單選題Darcy的組織正在部署無服務(wù)器計(jì)算技術(shù)，為了更好地滿足開發(fā)人員

和用戶的需求。在無服務(wù)器模型中,誰通常負(fù)責(zé)配置操作系統(tǒng)安全控制？

A、軟件開發(fā)人員

B、網(wǎng)絡(luò)安全專家

G云架構(gòu)師

D、供應(yīng)商

答案：D

解析：在無服務(wù)器計(jì)算模型中，供應(yīng)商不會(huì)向其客戶公開操作系統(tǒng)的詳細(xì)信息。

因此,在云計(jì)算的責(zé)任共擔(dān)模型下，供應(yīng)商保留對(duì)其進(jìn)行安全配置的全部責(zé)任。

75.單選題當(dāng)衛(wèi)星互聯(lián)網(wǎng)是唯一可用的選擇時(shí),需要高性能互聯(lián)網(wǎng)連接的系統(tǒng)通

常擔(dān)心什么？

A、安全性

B、與LiFi等協(xié)議的兼容性

G與Zigbee等協(xié)議的兼容性

D、延遲

答案：D

解析：大多數(shù)現(xiàn)有的衛(wèi)星互聯(lián)網(wǎng)系統(tǒng)具有相對(duì)較高的延遲。較新的低地球軌道衛(wèi)

星(如Starlin似乎比高軌道衛(wèi)星提供更好的延遲，但對(duì)于基于衛(wèi)星的系統(tǒng)來說，

延遲和易受天氣干擾都是常見的問題。

76.#223

在購買新軟件的過程中，必須在哪個(gè)過程中考慮安全性？

A、征求建議書(RFP)

B、實(shí)施

C、供應(yīng)商選擇

D、合同談判

答案:A

77.#87

以下哪項(xiàng)最好地描述了軟件取證的目的？

A、解析惡意軟件可能的惡意意圖

B、執(zhí)行循環(huán)冗余校驗(yàn)(CRC)驗(yàn)證并檢測(cè)更改的應(yīng)用程序

C、確定代碼的作者和行為

D、審查程序代碼以確定后門的存在

答案:C

78.狀態(tài)防火墻工作在OSI模型中的哪一層？

A、網(wǎng)絡(luò)層+傳輸層

B、數(shù)據(jù)鏈路層+網(wǎng)絡(luò)層

C、應(yīng)用層+傳輸層

D\應(yīng)用層+網(wǎng)絡(luò)層

答案:A

79.單選題Ryan是保險(xiǎn)公司的安全風(fēng)險(xiǎn)分析員。近期由于公司網(wǎng)站應(yīng)用丟失補(bǔ)丁,

黑客可能使用SQL注入襲擊來破壞網(wǎng)站服務(wù)器,他最近正在進(jìn)行安全檢查。在該

情況下,威脅是什么？

A、未打補(bǔ)丁的網(wǎng)絡(luò)應(yīng)用

B、網(wǎng)站破壞

C、黑客

D、操作系統(tǒng)

答案：C

解析：風(fēng)險(xiǎn)是威肋和脆弱性的結(jié)合，威肋是試圖破壞系統(tǒng)安全的外部力量。在本

題中,脆弱性指系統(tǒng)的內(nèi)部漏洞,也就是沒打補(bǔ)丁。此時(shí),如果黑客（威脅）嘗試針

對(duì)未修補(bǔ)的服務(wù)器（漏洞）的SQL注入攻擊,會(huì)引起網(wǎng)站崩潰。

80.一家醫(yī)藥企業(yè)在自己的網(wǎng)站上，沒有通知用戶的情況下肆意收集信息，你作

為企業(yè)的ciso應(yīng)該參考什么政策予以指導(dǎo)

A、hippa

B、第四修正案

C、GLBA

D、不相關(guān)

答案：A

81.n使用什么速度和頻率范圍？

A、54Mbps,5GHz

B、200+Mbps,5GHz

C、200+Mbps,2.4

D、1Gbps,5GHz

答案：c

解析:802.11n可以超過200Mbps的速度運(yùn)行,并且它可在2.4GHz和5GHz的頻

率范圍上運(yùn)行。802.11g使用2.4GHZ頻率范圍以54Mbps運(yùn)行,而802.11ac可在

5GHz范圍內(nèi)以1Gbps運(yùn)行。802.11a和b都已經(jīng)過時(shí),它們?cè)诂F(xiàn)代網(wǎng)絡(luò)設(shè)備中不

太可能遇到。

82.單選題Tim是一個(gè)取證分析師,試圖從硬盤驅(qū)動(dòng)器檢索信息。看起來,用戶已

試圖擦除了數(shù)據(jù)，而Tim正在嘗試重建它。Tim執(zhí)行的是什么類型的取證分析?

A、軟件分析

B、介質(zhì)分析

C、嵌入式設(shè)備分析

D、網(wǎng)絡(luò)分析

答案：B

解析：對(duì)硬盤驅(qū)動(dòng)器進(jìn)行取證分析是介質(zhì)分析的例子。嵌入式設(shè)備分析會(huì)查看大

型系統(tǒng)中的計(jì)算機(jī)，如汽車中的安全系統(tǒng)。軟件分析涉及應(yīng)用程序及其日志。網(wǎng)

絡(luò)分析考察的是網(wǎng)絡(luò)流量及其日志。

83.#364

為了執(zhí)行安全審計(jì)，應(yīng)存在以下哪項(xiàng)？

A、審計(jì)師的中立

B、審計(jì)所依據(jù)的行業(yè)框架

C、外部（第三方）審計(jì)師

D、內(nèi)部認(rèn)證審計(jì)師

答案:B

84.單選題Yolanda正在完成一個(gè)配置信息文件,該文件說明了組織中系統(tǒng)應(yīng)該

具備的最低水平的安全配置請(qǐng)問這屬于什么類型的文件？

A、策略

B、基線

C、指南

D、程序

答案：B

解析：基線提供整個(gè)組織中每個(gè)系統(tǒng)必須滿足的最低安全級(jí)別。

85.#203

安全信息和事件管理(SIEM)系統(tǒng)的管理員必須確保以下哪一項(xiàng)？

A、所有源都與一個(gè)公共時(shí)間參考同步。

B、所有來源都以完全相同的可擴(kuò)展標(biāo)記語言(XML)格式報(bào)告。

C、數(shù)據(jù)源不包含違反隱私規(guī)定的信息。

D、每個(gè)來源都使用相同的Internet協(xié)議(IP)地址進(jìn)行報(bào)告。

答案：A

86.單選題Helen的任務(wù)是在她的組織中實(shí)施安全控制,這些控制用于阻止內(nèi)部

欺詐活動(dòng)。以下哪種機(jī)制對(duì)她的工作最無用？

A、輪崗

B、強(qiáng)制休假

C、事件響應(yīng)

D、兩人控制

答案:C

解析：工作輪換和強(qiáng)制休假通過增加檢測(cè)的可能性來阻止欺詐。兩人控制通過需

要兩名員工之間串通來阻止欺詐。事件響應(yīng)通常不作為威攝機(jī)制。

87.單選題Chris正在解決其組織的SIEM報(bào)告中的一個(gè)問題。在分析了這個(gè)問題

之后,他認(rèn)為來自不同系統(tǒng)的日志條目上的時(shí)間戳是不一致的。他可以使用什么

協(xié)議來解決這個(gè)問題？

A、SSH

B、FTP

GTLS

D、NTP

答案：D

解析：網(wǎng)絡(luò)時(shí)間協(xié)議(TheNetworkTimeProtocoI,NTP)允許系統(tǒng)時(shí)鐘與標(biāo)準(zhǔn)化時(shí)間

源同步。安全殼(SecureShell,SSH)協(xié)議提供與服務(wù)晶之間的加密管理連接。文

件傳輸協(xié)議(FiIeTransferProtocol,FTP)用于數(shù)據(jù)交換。傳輸層安全性(Transp

ortLayerSecurity,TLS)是一種加密過程,用于保護(hù)通過網(wǎng)絡(luò)傳輸?shù)男畔ⅰ?/p>

88.單選題以下哪些組織被廣泛視為基于Web攻擊載體信息的權(quán)威來源？

A、(IS

B、2

C、ISACA

D、0WASP

E、Mozilla

答案：C

解析：開放Web應(yīng)用程序安全項(xiàng)目(0WASP)被認(rèn)為是Web應(yīng)用程序安全問題最權(quán)

威的來源。他們發(fā)布OWASPTopIO,公布最重要的Web應(yīng)用程序安全問題。

89.單選題Bobby正在調(diào)查授權(quán)的數(shù)據(jù)庫用戶如何獲取其正常許可級(jí)別以外的信

息。Bobby認(rèn)為用戶正在使用一種總結(jié)數(shù)據(jù)的函數(shù)類型。什么術(shù)語描述這種類型

的功能？

A、推理

B、多態(tài)

C、聚合

D、模塊化

答案：c

解析：聚合函數(shù)總結(jié)大量數(shù)據(jù),并且只以摘要形式展示出來。然而,精心設(shè)計(jì)的聚

合函數(shù)可能在無意中揭露出敏感信息。

90.#383

以下哪項(xiàng)功能在防止企業(yè)移動(dòng)設(shè)備上被盜的數(shù)據(jù)被盜方面最有效？

A、具有設(shè)備擦除功能的移動(dòng)設(shè)備管理(MDM)

B、帶有地理位置的移動(dòng)設(shè)備跟蹤

C、具有流量加密的虛擬專用網(wǎng)絡(luò)(VPN)

D、使用密鑰托管的全設(shè)備加密

答案：A

91.單選題一個(gè)美國政府?dāng)?shù)據(jù)庫包含秘密、機(jī)密和絕密數(shù)據(jù),該數(shù)據(jù)庫應(yīng)該被分類

為哪個(gè)級(jí)別？

A、絕密

B、機(jī)密

C、秘密

D、混合分類

答案：A

解析：當(dāng)存在多種分類級(jí)別時(shí)，應(yīng)該按照最高的級(jí)別對(duì)數(shù)據(jù)進(jìn)行分類。在這種情

況下，美國政府的最高分類是絕密。混合分類不是有效分類方案。

92.#216

在對(duì)組織信息安全管理系統(tǒng)（ISMS）進(jìn)行內(nèi)部審核期間，會(huì)發(fā)現(xiàn)不符合項(xiàng)。組織在

以下哪些管理階段審查、評(píng)估和/或糾正不合格？

A、評(píng)估

B、規(guī)劃

C、改進(jìn)

D、操作

答案：D

93.Robert是一家小型企業(yè)的網(wǎng)絡(luò)管理員,最近安裝了一個(gè)新的防火墻。在看到

異常繁重的網(wǎng)絡(luò)流量跡象后,他檢查了入侵檢測(cè)系統(tǒng),報(bào)告說Smurf攻擊正在進(jìn)

行。Robert可通過哪些防火墻配置更改來最有效地防止這種攻擊？

A、阻止攻擊的源IP地址

B、阻止入站UDP流量

C、阻止攻擊的目的IP地址

D、阻止入站ICMP流量

答案：D

解析：Smurf攻擊結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)

系統(tǒng),導(dǎo)致目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)服務(wù)。阻止此攻擊的最有效方法是阻止入站

ICMP流量。阻止源地址是不可行的，因?yàn)楣粽呖筛鼡Q源地址。阻止目標(biāo)地址可

能影響正常活動(dòng)。Smurf攻擊不使用UDP,因此阻止UDP流量沒有作用。

94.單選題Joan正在試圖保護(hù)她的一個(gè)電腦軟件,該軟件是根據(jù)知識(shí)產(chǎn)權(quán)法開發(fā)

的。以下哪種保護(hù)途徑不適用于軟件?

A、商標(biāo)

B、版權(quán)

C、專利

D、商業(yè)密

答案:A

解析：商標(biāo)會(huì)保護(hù)代表產(chǎn)品或服務(wù)的特定詞語和圖像，但不保護(hù)計(jì)算機(jī)軟件，

95.Colleen正為組織進(jìn)行業(yè)務(wù)影響評(píng)估。哪個(gè)指標(biāo)描述了組織在服務(wù)崩潰的情

況下不造成巨大損害的最長時(shí)間？

A、MTD

B、ALE

C、RPO

D、RTO

答案:A

解析：最大允許停機(jī)時(shí)間(MTD)是在不造成嚴(yán)重?fù)p害的情況下組織能夠接受的最

長停機(jī)時(shí)間,該指標(biāo)有時(shí)也稱為最大允許中斷(MTO)。

96.單選題1分Jim的MicrosoftExchange環(huán)境包括位于世界各地多個(gè)業(yè)務(wù)辦事

處的本地?cái)?shù)據(jù)中心的服務(wù)器中，同時(shí)為不在這些辦事處中的員工部署了Office3

650身份在這兩種環(huán)境中創(chuàng)建和使用。Jim運(yùn)行的是什么類型的聯(lián)合系統(tǒng)？

A、一個(gè)主要的云系統(tǒng)

B、一個(gè)主要的內(nèi)部署系統(tǒng)

C、一個(gè)混合系統(tǒng)

D、一個(gè)多租戶系統(tǒng)

答案：C

解析：混合系統(tǒng)同時(shí)使用本地和云的身份和服務(wù),在這兩種環(huán)境中提供資源和工

具。雖然它們可能很復(fù)雜，但混合系統(tǒng)也為完全云部害或容錯(cuò)設(shè)計(jì)提供了遷移路

徑,并且該設(shè)計(jì)可以在保持功能的同時(shí),處理內(nèi)部部署或云中斷。

97.單選題Greg公司最近經(jīng)歷了涉及許多客戶個(gè)人數(shù)據(jù)的重大泄露事件。他們應(yīng)

該審查違反了哪些法律,以確保他們適當(dāng)?shù)男袆?dòng)？

A、他們違反總部所在州的法律

B、他們做生意的國家的違反法律

C、只違反了聯(lián)邦的法律

D、違反法律僅涵蓋政府機(jī)構(gòu),而非私營企業(yè)

答案：B

解析：一般而言,公司應(yīng)該了解他們開展業(yè)務(wù)地區(qū)可能違反的任何法律。美國各

州有許多不同的法律和要求,這意味著在這種情況下,Greg的公司可能需要審閱

許多不同的可能違反的法律,以確定他們?cè)诟髦輧?nèi)或與州居民開展業(yè)務(wù)時(shí)遵守那

些法律。

98.#22

哪些行業(yè)認(rèn)可的文件可用作與數(shù)據(jù)安全和業(yè)務(wù)運(yùn)營或進(jìn)行安全評(píng)估相關(guān)的基準(zhǔn)

參考？

A、服務(wù)組織控制(S0O1類型2

B、服務(wù)組織控制(S0O1類型1

C、服務(wù)組織控制(SOC)2類型2

D、服務(wù)組織控制(SOC)2類型1

答案：D

99.單選題以下哪項(xiàng)不是多層協(xié)議的問題？

A、它們可以允許繞過過濾器和規(guī)則

B、它們可以在更高的OSI級(jí)別運(yùn)行

C、他們可以允許隱蔽隨道

D、它們可以允許繞過網(wǎng)段邊界

答案:B

解析：多層協(xié)議的共同問題是它們可以繞過過濾器，允許或創(chuàng)建隱蔽通道,并允許

繞過網(wǎng)段邊界。在更高的OSI層級(jí)別運(yùn)行的能力通常被認(rèn)為是一種好處

100.#257

兩臺(tái)計(jì)算機(jī)，每臺(tái)計(jì)算機(jī)在同一個(gè)物理10Gb以太網(wǎng)網(wǎng)段上都有一個(gè)連接，需要

相互通信。

第一臺(tái)機(jī)器有一個(gè)單一的互聯(lián)網(wǎng)協(xié)議(IP)無類別域間路由(CIDR)地址192.168.

1.3/30,第二臺(tái)機(jī)器有一個(gè)IP/CIDR地址192.168.1.6/30。以下哪項(xiàng)是正確的？

A、由于每臺(tái)計(jì)算機(jī)位于不同的第3層網(wǎng)絡(luò)上，因此計(jì)算機(jī)之間的流量必須由網(wǎng)

橋處理才能進(jìn)行通信

B、由于每臺(tái)計(jì)算機(jī)都在同一個(gè)第3層網(wǎng)絡(luò)上，因此計(jì)算機(jī)之間的流量可能由網(wǎng)

絡(luò)路由器處理，以便進(jìn)行通信

C、由于每臺(tái)計(jì)算機(jī)都在同一個(gè)第3層網(wǎng)絡(luò)上，因此計(jì)算機(jī)之間的流量可以通過

網(wǎng)橋進(jìn)行處理，以便進(jìn)行通信

D、由于每臺(tái)計(jì)算機(jī)位于不同的第3層網(wǎng)絡(luò)上，因此計(jì)算機(jī)之間的流量必須由網(wǎng)

絡(luò)路由器處理才能進(jìn)行通信

答案：D

101.#84

以下哪項(xiàng)是確保遠(yuǎn)程用戶使用的端點(diǎn)設(shè)備在被允許進(jìn)入網(wǎng)絡(luò)之前符合組織批準(zhǔn)

的策略的最有效方法？

A、網(wǎng)絡(luò)訪問控制(NAC)

B、特權(quán)訪問管理(PAM)

C、組策略對(duì)象(GP0)

D、移動(dòng)設(shè)備管理(MDM)

答案：A

102.#451

在設(shè)計(jì)訪問控制系統(tǒng)的體系結(jié)構(gòu)時(shí)，確定機(jī)密性和受控的信息訪問是主要關(guān)注點(diǎn)。

以下哪個(gè)安全模型是組織的最佳選擇？

A、畢巴誠信模式

B、克拉克-威爾遜模型

GBell-LaPadula模型

D、Brewer-Nash模型

答案：C

103.單選題材料11:Chris正在為他的組織設(shè)計(jì)分層的網(wǎng)絡(luò)安全。使用下面的圖

表,請(qǐng)回答下面3個(gè)問題問題。如果VPN授予遠(yuǎn)程用戶與本地工作站具有相同的

網(wǎng)絡(luò)和系統(tǒng)資源訪問權(quán)限,Chris會(huì)提出什么安全問題？

A、VPN用戶將無法訪問Web服務(wù)晶

B、沒有額外的安全問題;VPN集中晶的邏輯網(wǎng)絡(luò)位置與工作站的邏輯網(wǎng)絡(luò)位置匹

配。

C、VPN繞過了防火墻，造成額外風(fēng)險(xiǎn)

D、VPN用戶只應(yīng)從托管的PC連接

答案：D

解析：連接到受保護(hù)網(wǎng)絡(luò)的遠(yuǎn)程PC在安全設(shè)置和標(biāo)準(zhǔn)方面應(yīng)該和內(nèi)部網(wǎng)絡(luò)相匹

配。VPN集中器在邏輯上將遠(yuǎn)程用戶放在防火墻后的受保護(hù)區(qū)域中，但這意味著

用戶工作站（和用戶）必須像本地工作站那樣受信任。

104.單選題終端安全系統(tǒng)部署最常見的挑戰(zhàn)是什么？

A、破壞

B、數(shù)據(jù)量

C、監(jiān)控網(wǎng)絡(luò)上的加密流量

D、處理非TCP協(xié)議

答案：B

解析：終端安全解決方案由于可以創(chuàng)建大量的數(shù)據(jù)而面臨挑戰(zhàn)。當(dāng)每個(gè)工作站都

生成關(guān)于事件的數(shù)據(jù)時(shí),這可能產(chǎn)生大量數(shù)據(jù)。終端安全解決方案應(yīng)該在實(shí)際實(shí)

施時(shí)減少折中方案，而且在本地主機(jī)上解密后對(duì)流量進(jìn)行監(jiān)視將有助于解決數(shù)據(jù)

量帶來的挑戰(zhàn)。最后,非TCP協(xié)議在現(xiàn)代網(wǎng)絡(luò)上相對(duì)少見,因此這些都不是終端安

全系統(tǒng)所擔(dān)心的問題。

105.在TCSEC中，安全級(jí)別最高的控制措施是：

A、自主保護(hù)

B、標(biāo)簽保護(hù)

C、結(jié)構(gòu)保護(hù)

D、驗(yàn)證保護(hù)

答案：D

106.單選題1分Kathleen需要設(shè)置ActiveDirectory信任,從而允許使用現(xiàn)有K

erberosK5域進(jìn)行身份驗(yàn)證,請(qǐng)問她需要?jiǎng)?chuàng)建什么類型的信任？

A、快捷信任

B、森林信任

C、外部信任

D、領(lǐng)域信任

答案：D

解析：Kerberos使用領(lǐng)域,并為需要連接到K5域的ActiveDirectory環(huán)境設(shè)置

的適當(dāng)信任類型,這是一種領(lǐng)域信任。快捷信任是域樹或部分樹之間的傳遞信任,

可縮短信任路徑。森林信任是兩個(gè)林根域之間的傳遞信任,外部信任是獨(dú)立森林

中AD域之間的非傳遞信任。

107.#440

以下哪一項(xiàng)是關(guān)于數(shù)據(jù)管理角色和職責(zé)的關(guān)鍵目標(biāo)之一？

A、確定數(shù)據(jù)質(zhì)量指標(biāo)。

B、定義重要數(shù)據(jù)的所有權(quán)而不考慮功能。

C、在項(xiàng)目的最后階段建立數(shù)據(jù)所有權(quán)。

D、安裝數(shù)據(jù)問責(zé)制。

答案:D

108.Nikto為什么會(huì)標(biāo)記.test目錄？

A、test目錄允許對(duì)PHP的管理訪問

B、它用于存儲(chǔ)敏感數(shù)據(jù)

C、測(cè)試目錄通常包含可被濫用的腳本

D、它表示潛在的危害

答案：C

解析：測(cè)試目錄可能包括一些欠缺保護(hù)的腳本，或者包含一些可能被濫用的其他

數(shù)據(jù)。沒有默認(rèn)的測(cè)試目錄允許對(duì)PHP的管理訪問。測(cè)試目錄通常不用于存儲(chǔ)敏

感數(shù)據(jù)。測(cè)試目錄并不代表危害。

109.#188

在測(cè)試工業(yè)控制系統(tǒng)（ICS）的安全漏洞時(shí)，主要考慮什么？

A、ICS通常在UNIX操作系統(tǒng)上運(yùn)行。

B、ICS通常沒有可用性要求。

C、ICS通常對(duì)意外流量很敏感。

D、ICS通常是孤立的，難以訪問。

答案:C

110.單選題什么被動(dòng)監(jiān)控技術(shù)記錄所有用戶與應(yīng)用程序或網(wǎng)站的交互,來確保質(zhì)

量和性能？

A、客戶端.服務(wù)器測(cè)試

B、真實(shí)用戶監(jiān)控

C、合成用戶監(jiān)控

D、被動(dòng)用戶記錄

答案：B

解析：真實(shí)用戶監(jiān)控(RUM)是一種被動(dòng)監(jiān)控技術(shù)。RUM通常是部署實(shí)際用戶界面

過程的一部分。其他答案選項(xiàng)都是虛造的,綜合監(jiān)控使用模擬的行為，但綜合用戶

監(jiān)控并非測(cè)試方法。被動(dòng)用戶記錄也不是專業(yè)術(shù)語，但被動(dòng)監(jiān)控是存在的，它監(jiān)控

的是實(shí)際流量。客戶端服務(wù)器測(cè)試僅描述一種可能的架構(gòu)。

111.單選題上述這些數(shù)據(jù)的分類級(jí)別分別是什么？

A、未分類的、機(jī)密、絕密

B、公共、敏感、私有

C、公共、敏感、專有

D、公共、機(jī)密、私有

答案：C

解析：客戶共享數(shù)據(jù)是公共的，內(nèi)部業(yè)務(wù)數(shù)據(jù)敏感的或私有的，以及商業(yè)秘密是專

有的。因此,公共、敏感、專有的匹配最緊密。機(jī)密是一種軍事分類,它排除了剩

余的兩個(gè)選項(xiàng),商業(yè)秘密比私有分類的數(shù)據(jù)在丟失后會(huì)帶來更多損失。

112.單選題Ken很難將來自組織中不同安全團(tuán)隊(duì)的信息關(guān)聯(lián)起來。具體來說,他

希望找到一種以一致方式來描述操作系統(tǒng)的方法。什么SCAP組件可以幫助他？

A、CVE

B、CPE

C、CWE

D、OVAL

答案：B

解析：SCAP的通用平臺(tái)枚舉(monPlatformEnumeration,CPE)組件提供了一種引

用操作系統(tǒng)和其他系統(tǒng)組件的一致方法。常見漏洞和暴露(monVulnerabiIities

andExposures,CVE)組件提供了一種引用安全漏洞的一致方法。常見的弱點(diǎn)列舉

(monWeaknessEnumeration,CWE)組件有助于描述軟件缺陷的根本原因。開放漏洞

和評(píng)估語言(OpenVenerabiIityandAssessmentLanguage,OVAL)標(biāo)準(zhǔn)化了漏洞評(píng)

估過程的步驟。

113.#367

哪種審計(jì)類型最適合評(píng)估安全計(jì)劃的有效性？

A、解析

B、威脅

G評(píng)估

D、驗(yàn)證

答案：C

114.單選題什么類型的滅火器僅對(duì)普通可燃物有用？

A、A類

B、B類

C、C類

D、D類

答案：A

115.#353

以下哪一項(xiàng)是針對(duì)中間人(MITM)互聯(lián)網(wǎng)協(xié)議語音(VoIP)攻擊的最佳緩解做法？

A、使用安全外殼(SSH)協(xié)議

B、使用文件傳輸協(xié)議(FTP)

C、使用傳輸層安全(TLS)協(xié)議

D、使用媒體網(wǎng)關(guān)控制協(xié)議(MGCP)

答案：C

116.#97

公司需要向外部業(yè)務(wù)合作伙伴提供對(duì)云存儲(chǔ)上敏感數(shù)據(jù)的共享訪問。以下哪種身

份模型最適合盲人身份提供者(IdP)和依賴方(RP),以免泄露其他方的訂戶名單?

A、代理聯(lián)盟

B、動(dòng)態(tài)注冊(cè)

C、聯(lián)邦當(dāng)局

D、靜態(tài)注冊(cè)

答案：A

117.單選題1分Alex已被他的公司聘用了十多年,并在公司擔(dān)任過多個(gè)職位。在

審計(jì)期間，發(fā)現(xiàn)由于他以前的角色,他能訪問共享文件夾和應(yīng)用程序。Alex的公

司遇到了什么問題？

A、過度服務(wù)開通

B、未授權(quán)訪問

C、特權(quán)蠕變

D、賬戶審查

答案：C

解析：當(dāng)用戶從以前擁有的角色中保留他們不需要完成當(dāng)前作業(yè)的權(quán)限時(shí),會(huì)發(fā)

生特權(quán)蠕變。未授權(quán)的用戶訪問文件時(shí)會(huì)發(fā)生未經(jīng)授權(quán)的訪問。過度服務(wù)開通不

是用于描述權(quán)限問題的術(shù)語,而賬戶審查有助于發(fā)現(xiàn)這樣的問題。

118.#225

在前往高風(fēng)險(xiǎn)國家旅行時(shí)，以下哪項(xiàng)措施是保護(hù)計(jì)算機(jī)、智能手機(jī)和外部存儲(chǔ)設(shè)

備數(shù)據(jù)的最佳方法？

A、查看適用的目的地國家/地區(qū)法律，在旅行前對(duì)設(shè)備進(jìn)行取證清潔，并且僅在

到達(dá)目的地后通過虛擬專用網(wǎng)絡(luò)(VPN)下載敏感數(shù)據(jù)。

B、利用虛擬專用網(wǎng)絡(luò)(VPN)上的安全套接字層(SSL)連接在到達(dá)目的地時(shí)下載敏

感數(shù)據(jù)。

C、將不使用的筆記本電腦、外部存儲(chǔ)設(shè)備和智能手機(jī)放在酒店房間內(nèi)。

D、使用多因素身份驗(yàn)證(MFA)訪問存儲(chǔ)在筆記本電腦或外部存儲(chǔ)設(shè)備上的數(shù)據(jù),

并使用生物識(shí)別指紋訪問控制機(jī)制來解鎖智能手機(jī)。

答案：D

119.單選題Alan正在將Java代碼部署到他環(huán)境中的各種機(jī)器上，同時(shí)必須首先

在這些機(jī)器上安裝JVMo在這種情況下,哪個(gè)術(shù)語最恰當(dāng)描述了JVM?

A、存儲(chǔ)庫

B、變更管理器

C、運(yùn)行時(shí)

D、沙盒

答案：C

解析:JVM是運(yùn)行時(shí)虛擬機(jī),允許在設(shè)備上執(zhí)行Java代碼。JVM實(shí)現(xiàn)了Java沙箱,

但這只是其眾多功能之一。JVM本身不是變更管理器或代碼存儲(chǔ)庫。

120.單選題Elaine在她的組織使用的產(chǎn)品中發(fā)現(xiàn)了一個(gè)以前未知的嚴(yán)重漏洞。

她的組織對(duì)道德披露有著堅(jiān)定的承諾,Elaine希望遵循常見的道德披露實(shí)踐。她

首先應(yīng)該做什么？

A、建立內(nèi)部修補(bǔ)或控制,然后公開披露漏洞,提示供應(yīng)商快速修補(bǔ)

B、建立內(nèi)部修補(bǔ)或控制,然后將問題通知供應(yīng)商

C、通知供應(yīng)商并給他們合理的時(shí)間來解決問題

D、公開披露漏洞，以便供應(yīng)商在適當(dāng)?shù)臅r(shí)間內(nèi)對(duì)其進(jìn)行修補(bǔ)

答案：C

解析：道德（或負(fù)責(zé)任）披露規(guī)范包括通知供應(yīng)商并為他們提供合理的時(shí)間來修補(bǔ)

問題。在大多數(shù)情況下,在通知供應(yīng)商之前或在短時(shí)間內(nèi)公開披露被認(rèn)為是不道

德的。雖然這個(gè)時(shí)間框架各不相同，但由于軟件和其他技術(shù)的復(fù)雜性,90至IJ120

天在整個(gè)行業(yè)中是常見的。

121.單選題根據(jù)該情景的信息,AtwoodLanding數(shù)據(jù)中心的龍卷風(fēng)影響暴露因子

是多少？

A、10%

B、25%

G50%

D、75%

答案：C

解析：在災(zāi)難發(fā)生時(shí)，預(yù)估財(cái)產(chǎn)損失值占總資產(chǎn)的比重稱為暴露因子。它是用預(yù)

估的財(cái)產(chǎn)損失值除以斐產(chǎn)總值計(jì)算出來的，這種情況下，預(yù)估損失為500萬美元,

除以1000萬美元的總價(jià)值,結(jié)果為50%。材料13:請(qǐng)參考以下場(chǎng)景，回答4個(gè)問題:

Susan正在為她的組織的分支機(jī)構(gòu)設(shè)計(jì)新的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

122.單選題Lauren使用ping工具檢查遠(yuǎn)程系統(tǒng)是否開啟以及是否可作為滲透測(cè)

試實(shí)踐的一部分。如果她想要通過協(xié)議過濾找出Ping,應(yīng)該從數(shù)據(jù)包嗅探日志中

過濾出什么協(xié)議？

A、UDP

B、TCP

C、IP

D、ICMP

答案：D

解析：Ping使用ICMP（因特網(wǎng)控制報(bào)文協(xié)議）來確定系統(tǒng)是否正常響應(yīng)以及在源

系統(tǒng)和遠(yuǎn)程系統(tǒng)之間存在多少跳。Lauren只需要過濾出ICMP即可達(dá)到要求，而

不用直接尋找pingo

123.#157

組織希望確保所有新用戶在創(chuàng)建時(shí)都應(yīng)用了預(yù)定義的部門訪問模板。該組織還希

望在每個(gè)項(xiàng)目的基礎(chǔ)上授予用戶額外的訪問權(quán)限。哪種類型的用戶訪問管理最適

合滿足組織的需求？

A、去中心化

B、混合

C、集中式

D、聯(lián)合的

答案：B

124.單選題什么加密算法既可用于BitLocker也可用于Microsoft的加密文件系

統(tǒng)？

AvBIowfish

B、Serpent

C、AES

D、3DES

答案:c

解析：默認(rèn)情況下,BitLocker和Microsoft的加密文件系統(tǒng)(EFS)都使用AES(高

級(jí)加密標(biāo)準(zhǔn))，這是NIST批準(zhǔn)的DES(數(shù)據(jù)加密標(biāo)準(zhǔn))的替代版本。Serpent是AES

的競(jìng)爭(zhēng)對(duì)手,3DES是作為DES的替代品。

125.單選題Florian接到美國聯(lián)邦政府機(jī)構(gòu)的通知,新的行政法律將影響他的業(yè)

務(wù)運(yùn)營。他應(yīng)該在哪里尋找該法律文本？

A、美國法典

B、聯(lián)邦最高法院規(guī)則

C、聯(lián)邦管理法規(guī)

D、法律綱要

答案：C

解析：聯(lián)邦管理法規(guī)(CFR)包含聯(lián)邦機(jī)構(gòu)須布的所有行政法律文本。美國法典包

含刑法和民法。最高法院的裁決只包含對(duì)法律的解釋,而不是法律文本本身,不存

在法律綱要。

126.單選題Chris管理一個(gè)系統(tǒng)管理員團(tuán)隊(duì)。若他們執(zhí)行分類程序的步驟6、7

和8,他們履行的是什么數(shù)據(jù)角色?

A、他們是系統(tǒng)所有者和管理員

B、他們是管理員

C、他們是數(shù)據(jù)所有者和管理員

D、他們是管理員和用戶

答案：B

解析：系統(tǒng)管理員在上述流程中的主要工作是授予數(shù)據(jù)管理員訪問權(quán)限,其次負(fù)

責(zé)落實(shí)安全控制措施。他們不直接擁有數(shù)據(jù)本身,因此不是數(shù)據(jù)所有者。通常，

系統(tǒng)管理員由系統(tǒng)所有者（例如部門主管）授予權(quán)限。材料6:根據(jù)以下場(chǎng)景,回答

下面3個(gè)問題Chris最近被一家新的組織雇傭，該組織使用以下分類計(jì)劃⑴設(shè)置

分類數(shù)據(jù)的標(biāo)準(zhǔn)⑵為每類數(shù)據(jù)指定所有者⑶分類數(shù)據(jù)⑷為每個(gè)類別選擇要求

的控制⑸為組織選擇安全基線⑹研究并調(diào)整控制⑺應(yīng)用并執(zhí)行控制⑻授權(quán)

并管理訪問

127.#250

在IDEAL加密系統(tǒng)中，誰可以單獨(dú)訪問解密密鑰？

A、數(shù)據(jù)保管人

B、系統(tǒng)所有者

C、系統(tǒng)管理員

D、數(shù)據(jù)所有者

答案：D

128.#50

在季度系統(tǒng)訪問審查中，發(fā)現(xiàn)了一個(gè)在生產(chǎn)系統(tǒng)的先前審查中不存在的活動(dòng)特權(quán)

帳戶。

該帳戶是在上次訪問審核后一小時(shí)創(chuàng)建的。除了季度訪問審查之外，以下哪一項(xiàng)

是降低總體風(fēng)險(xiǎn)的最佳選擇？

A、實(shí)施雙年度審查。

B、創(chuàng)建系統(tǒng)訪問策略。

C、實(shí)施和審查基于風(fēng)險(xiǎn)的警報(bào)。

D、提高日志記錄級(jí)別。

答案:B

129.#193

一家大型組織的人力資源和安全團(tuán)隊(duì)正計(jì)劃實(shí)施技術(shù)以消除手動(dòng)用戶訪問審查

并提高合規(guī)性。以下哪個(gè)選項(xiàng)最有可能解決與用戶訪問相關(guān)的問題？

A、實(shí)施特權(quán)訪問管理(PAM)系統(tǒng)。

B、實(shí)施基于角色的訪問控制(RBAC)系統(tǒng)。

C、實(shí)施身份和訪問管理(IAM)平臺(tái)。

D、實(shí)施單點(diǎn)登錄(SSO)平臺(tái)。

答案:C

130.在對(duì)系統(tǒng)進(jìn)行修改之前,哪項(xiàng)業(yè)務(wù)流程通常需要管理員簽字同意？

A、SDN

B、發(fā)布管理

C、變更管理

D、版本控制

答案：C

解析：變更管理通常需要在更改之前由管理員或主管簽字。這有助于確保適當(dāng)?shù)?/p>

意識(shí)和溝通。SDN代表軟件定義的網(wǎng)絡(luò),發(fā)布管理是新軟件發(fā)布所接受的過程,版

本控制用于區(qū)分軟件、代碼或其他對(duì)象的版本。

131.單選題建立了無線網(wǎng)絡(luò)之后,Susan繼續(xù)確保網(wǎng)絡(luò)即使發(fā)生中斷也能保持運(yùn)

行。如果發(fā)生斷電或其他臨時(shí)電源問題,她可以確保她的網(wǎng)絡(luò)設(shè)備（包括她的路由

器'接入點(diǎn)和網(wǎng)絡(luò)交換機(jī)）保持工作狀態(tài)的最簡(jiǎn)單方法是什么？

A、購買并安裝帶有自動(dòng)啟動(dòng)功能的發(fā)電機(jī)

B、為所有網(wǎng)絡(luò)設(shè)備部署雙電源

C、安裝UPS系統(tǒng)以覆蓋所有必須保持在線的網(wǎng)絡(luò)設(shè)備

D、與多個(gè)不同的電力公司簽訂冗余電力合同。

答案：C

解析：UPS系統(tǒng)或不間斷電源設(shè)計(jì)用于在短暫的電源中斷期間提供備用電源,范

圍從電源驟降和斷電到臨時(shí)電源故障,對(duì)于更長時(shí)間的停電,如果可能的話,Susa

n仍然需要一臺(tái)發(fā)電機(jī),甚至需要來自另一個(gè)電網(wǎng)或供應(yīng)商的輔助電源,但對(duì)于

目前這個(gè)常見,UPS將滿足她的需求。當(dāng)一個(gè)電源失去電力時(shí),雙電源會(huì)有所幫助,

這對(duì)于她最關(guān)鍵的網(wǎng)絡(luò)設(shè)備來說是一個(gè)好方案，但很少為接入點(diǎn)或邊緣交換機(jī)等

邊緣設(shè)備配備雙電源。材料13:請(qǐng)參考以下場(chǎng)景，回答4個(gè)問題:Susan正在為她

的組織的分支機(jī)構(gòu)設(shè)計(jì)新的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

132.單選題分段、序列和錯(cuò)誤檢查都發(fā)生在與SSL、TLS和UDP相關(guān)聯(lián)的OSI模

型的第幾層？

A、傳輸層

B、網(wǎng)絡(luò)層

C\會(huì)話層

D、表示層

答案：A

解析：傳輸層提供設(shè)備之間的邏輯連接以確保數(shù)據(jù)被成功地傳遞,包括端到端的

傳輸服務(wù)。傳輸層協(xié)議包括TCP、UDP、SSL和TLS。

133.根據(jù)“數(shù)字千年版權(quán)法案”（DMCA）的條款，下列哪個(gè)群體有資格獲得安全港

保護(hù)？

A、音樂制作人

B、圖書出版商

C、互聯(lián)網(wǎng)服務(wù)提供商

D、銀行

答案：C

解析：“數(shù)字千年版權(quán)法案（DMCA）為提供互聯(lián)網(wǎng)服務(wù)的運(yùn)營商提供安全港保護(hù)，

這些ISP只作為以傳輸為目的的公共載體來處理信息。

134.單選題Andrea運(yùn)行的自動(dòng)化代碼測(cè)試和集成（作為組織Cl.CD管道的一部分）

出錯(cuò)了。如果公司需要代碼立即上線,Andrea應(yīng)該如何處理這些代碼？

A、手動(dòng)繞過測(cè)試

B、查看錯(cuò)誤日志以確定問題

C、重新運(yùn)行測(cè)試以查看它是否有效

D、將代碼發(fā)送回開發(fā)人員進(jìn)行修復(fù)

答案：B

解析：雖然處理錯(cuò)誤和異常可能是一門藝術(shù),但在這種情況下要做的第一件事是

查看錯(cuò)誤日志和通知,嘗試找出問題所在。從那里,Andrea可以決定修復(fù)問題、

發(fā)回代碼以進(jìn)行修復(fù)或采取其他措施。如果錯(cuò)誤發(fā)生在測(cè)試完成后并且與流程或

其他非關(guān)鍵元素有關(guān),她甚至可能會(huì)選擇向前轉(zhuǎn)發(fā)代碼，但只有在她絕對(duì)確定情

況確實(shí)如此時(shí)才會(huì)這樣做。

135.單選題在漏洞掃描時(shí)發(fā)現(xiàn)系統(tǒng)關(guān)鍵漏洞后,應(yīng)該執(zhí)行哪些步驟？

A、修補(bǔ)

B、報(bào)告

G補(bǔ)救

D、驗(yàn)證

答案：D

解析：一旦漏洞掃描程序識(shí)別出潛在問題,接著需要進(jìn)行驗(yàn)證,以驗(yàn)證問題是否存

在。漏洞被確認(rèn)后，可執(zhí)行報(bào)告、修補(bǔ)或其他補(bǔ)救措施。

136.#209

在處理安全事件的后果時(shí)，以下哪些安全控制措施最合適？

A、偵查和恢復(fù)控制

B、糾正和恢復(fù)控制

C、預(yù)防和糾正控制

D、恢復(fù)和主動(dòng)控制

答案：B

137.單選題

A、的規(guī)定。青少年在互聯(lián)網(wǎng)上提供個(gè)人信息時(shí)，需要征得父母的同意，其年齡要

求是多少歲以下？

B、13

C、15

D、17

E、18

答案:A

解析:COPPA(兒童在線隱私保護(hù)法案)要求網(wǎng)站在收集13歲以下兒童的個(gè)人信息

時(shí)需要事先征得其家長同意。

138.單選題以下真值表描述了什么邏輯操作？

A、或

B、和

C、異或

D、或非

答案:C

解析：當(dāng)且僅當(dāng)輸入值中只有一個(gè)為真,另一個(gè)為假時(shí),異或(XOR)運(yùn)算結(jié)果為真。

139.小明是A公司的安全管理員，他們公司有著比較多的專有數(shù)據(jù)，但是fbi

懷疑他們公司數(shù)據(jù)庫藏有犯罪線索，小明也懷疑自己的家人可能與犯罪相關(guān)，小

明應(yīng)該怎么辦？

A、不予理會(huì)，公司資料隱私法保護(hù)

B、讓fbi找法務(wù)處理

C、把全部的數(shù)據(jù)庫資料展示給fbi

D、只把部分相關(guān)資料展示給fbi

答案：B

140.單選題以下哪種測(cè)試方法通常不必訪問源代碼即可正常工作？

A、動(dòng)態(tài)測(cè)試

B、靜態(tài)測(cè)試

C、白盒測(cè)試

D、代碼審查

答案：A

解析：軟件動(dòng)態(tài)測(cè)試通常發(fā)生在黑盒環(huán)境中,測(cè)試程序無法訪問源代碼。靜態(tài)測(cè)

試'白盒測(cè)試和代碼審查方法都需要訪問應(yīng)用程序的源代碼。

141.單選題以下哪個(gè)選項(xiàng)會(huì)使用自簽名數(shù)字證書？

A、電子商務(wù)網(wǎng)站

B、銀行應(yīng)用

C、內(nèi)部計(jì)劃應(yīng)用

D、客戶門戶

答案：C

解析：自簽名數(shù)字證書只應(yīng)用于面向內(nèi)部的應(yīng)用程序,其中用戶信任由組織內(nèi)部

生成的數(shù)字證書。

142.要培養(yǎng)目標(biāo)遠(yuǎn)大，應(yīng)急能力強(qiáng)的安全人員，需要

A、培訓(xùn)

B、信息安全認(rèn)證

C、教育

D、意識(shí)

答案：A

143.單選題Ron領(lǐng)導(dǎo)著一個(gè)軟件開發(fā)團(tuán)隊(duì),他們發(fā)現(xiàn)自己經(jīng)常重新創(chuàng)建執(zhí)行常見

功能的代碼。他可以使用什么軟件開發(fā)工具來最好地解決這種情況？

A、代碼存儲(chǔ)庫

B、代碼庫

C、ID

D、DES

E、DAST

答案：B

解析：代碼庫是可重用功能的包，可以合并到各個(gè)開發(fā)項(xiàng)目中。Ron可以使用庫

在他的團(tuán)隊(duì)之間輕松共享代碼。代碼存儲(chǔ)庫可用于管理這些庫的分發(fā)和更新，但

這是第二選擇,因此代碼庫才是最佳答案o集成開發(fā)環(huán)境(IDE)是開發(fā)人員用來創(chuàng)

建軟件的工具,而動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)則用于驗(yàn)證代碼的正確實(shí)現(xiàn)。

144.單選題Henry想驗(yàn)證他的備份是否有效。以下哪個(gè)選項(xiàng)是他確保備份在真正

的災(zāi)難恢復(fù)場(chǎng)景中有用的最佳方式？

A、定期恢復(fù)隨機(jī)文件以確保備份工作正常

B、定期檢查配置和設(shè)置以驗(yàn)證備份設(shè)置

C、查看備份日志以確保沒有發(fā)生錯(cuò)誤

D、定期從備份執(zhí)行完整還原以驗(yàn)證其成功

答案：D

解析：所有這些都是備份策略的有用部分，但定期從備份執(zhí)行完整還原是列出的

最佳選項(xiàng)。如果定期執(zhí)行恢復(fù),而且單個(gè)文件將是可恢復(fù)的，但單個(gè)文件可能不會(huì)

顯示更大的備份問題。配置和設(shè)置審查很重要，但不會(huì)驗(yàn)證備份本身,錯(cuò)誤消息可

能表明存在問題,但也不會(huì)顯示完整的日志。

145.單選題安全團(tuán)隊(duì)可在蜜罐系統(tǒng)上使用以下哪種方式來消耗攻擊者的時(shí)間，同

時(shí)提醒管理員？

A、蜜罐網(wǎng)絡(luò)

B、圈套

C、警告橫幅

D、暗網(wǎng)

答案：B

解析：圈套是系統(tǒng)中的一個(gè)假漏洞，它可能引起攻擊者的注意。蜜罐網(wǎng)絡(luò)是由多

個(gè)蜜罐組成的網(wǎng)絡(luò),為入侵者營造了更復(fù)雜的環(huán)境。暗網(wǎng)是未使用的網(wǎng)絡(luò)地址空

間的一部分,這部分空間中沒有網(wǎng)絡(luò)活動(dòng),因此可以方便地用于監(jiān)視非法活動(dòng)。警

告橫幅是一個(gè)法律工具，它用于通知入侵者:他們未被授權(quán)訪問系統(tǒng)。

146.#195

組織正在實(shí)施安全審查作為系統(tǒng)開發(fā)的一部分。以下哪項(xiàng)是最好的技術(shù)？

A、執(zhí)行增量評(píng)估。

B、聘請(qǐng)第三方審計(jì)公司。

C、審查安全架構(gòu)。

D、進(jìn)行滲透測(cè)試。

答案：A

147.單選題在端口掃描期間,Susan發(fā)現(xiàn),一個(gè)系統(tǒng)在工作時(shí)需要