(完整版)CISSP官方模拟测试题-Domain2

1、Angelaisaninformationsecurityarchitectatabankandhasbeenassignedtoensurethattransactionsaresecureastheytraversethenetwork.SherecommendsthatalltransactionsuseTLS.Whatthreatisshemostlikelyattemptingtostop,andwhatmethodissheusingtoprotectagainstit?Angela是一家银行的信息安全架构师，责任是确保交易在通过网络时是安全的。她建议所有交易使用TLS。在这场景中

2、，她最有可能试图阻止什么样的威胁，以及她用什么方法来防范呢？Man-in-the-middle,VPN中间人，VPNPacketinjection,encryption数据包注入，加密Sniffing,encryption嗅探，加密Sniffing,TEMPEST嗅探，TEMPESTAnswer:CEncryptionisoftenusedtoprotecttrafficlikebanktransactionsfromsniffing.Whilepacketinjectionandman-in-the-middleattacksarepossible,theyarefarlesslikelyt

3、ooccur,andifaVPNwereused,itwouldbeusedtoprovideencryption.TEMPESTisaspecificationfortechniquesusedtopreventspyingusingelectromagneticemissionsandwouldntbeusedtostopattacksatanynormalbank.加密通常用于保护流量，如银行交易免受嗅探。虽然数据包注入和中间人攻击是可能的，但它们发生的可能性要小得多，而且如果使用VPN，它将用于提供加密。TEMPEST是用于防止使用电磁辐射进行间谍活动的技术规范，不会用于阻止任何正常银

4、行的攻击。COBIT,ControlObjectivesforInformationandRelatedTechnology,isaframeworkforITmanagementandgovernance.WhichdatamanagementroleismostlikelytoselectandapplyCOBITtobalancetheneedforsecuritycontrolsagainstbusinessrequirements?COBIT（信息和相关技术的控制目标），是IT管理和治理的框架。哪个数据管理角色最有可能选择和应用COBIT来平衡安全控制对业务需求的需求？Busines

5、sowners企业所有者Dataprocessors数据处理器Dataowners数据所有者Datastewards数据管理员Answer:ABusinessownershavetobalancetheneedtoprovidevaluewithregulatory,security,andotherrequirements.ThismakestheadoptionofacommonframeworklikeCOBITattractive.Dataownersaremorelikelytoaskthatthoseresponsibleforcontrolselectionidentifyast

6、andardtouse.DataprocessorsarerequiredtoperformspecificactionsunderregulationsliketheEUDPD.Finally,inmanyorganizations,datastewardsareinternalrolesthatoverseehowdataisused.企业所有者必须平衡将价值与监管、安全和其他需求相结合的需要。这使得像COBIT这样的通用框架具有吸引力。数据所有者更可能要求负责控制选择的人员确定要使用的标准。数据处理器需要根据欧盟DPD等法规执行具体的行动。最后，在许多组织中，数据管理员是监督数据如何使用

7、的内部角色。Whattermisusedtodescribeastartingpointforaminimum-securitystandard?用什么术语来描述最低安全标准的出发点？Outline大纲Baseline基线Policy政策（策略）Configurationguide配置指南Answer:BAbaselineisusedtoensureaminimum-securitystandard.Apolicyisthefoundationthatastandardmaypointtoforauthority,andaconfigurationguidemaybebuiltfromabas

8、elinetohelpstaffwhoneedtoimplementittoaccomplishtheirtask.Anoutlineishelpful,butoutlineisntthetermyourelookingforhere.基线用于确保最低安全标准。策略是标准可能指向权威的基础，可以从基线构建配置指南，帮助需要实施它的人员完成任务。大纲是有帮助的，但大纲不是你在这里寻找的术语。Whenmediaislabeledbasedontheclassificationofthedataitcontains,whatruleistypicallyappliedregardinglabels?

9、当媒体（介质）根据其所包含的数据分类（密级）进行标记时，通常应用了哪些关于标签的规则？Thedataislabeledbasedonitsintegrityrequirements.数据根据其完整性要求进行标记Themediaislabeledbasedonthehighestclassificationlevelofthedataitcontains.媒体（介质）根据其包含的数据的最高分类（密级）等级进行标记Themediaislabeledwithalllevelsofclassificationofthedataitcontains.媒体（介质）上标记它所包含数据的所有分类（密级）等级T

10、hemediaislabeledwiththelowestlevelofclassificationofthedataitcontains.媒体（介质）标记所含数据的最低分类（密级）等级Answer:BMediaistypicallylabeledwiththehighestclassificationlevelofdataitcontains.Thispreventsthedatafrombeinghandledoraccessibleatalowerclassificationlevel.Dataintegrityrequirementsmaybepartofaclassification

11、processbutdontindependentlydrivelabelinginaclassificationscheme.媒体（介质）通常以其所包含的最高分类（密级）等级的数据标记。这可以防止在较低的分类（密级）级别处理或访问数据。数据完整性要求可能是分类（定级）过程的一部分，但不能独立推动分类（定级）方案中的标签。Theneedtoprotectsensitivedatadriveswhatadministrativeprocess?保护敏感数据的需求驱动了什么管理性过程？Informationclassification信息分类（定级）Remanence残留Transmittingd

12、ata数据传输Clearing清除Answer:ATheneedtoprotectsensitivedatadrivesinformationclassification.Thisallowsorganizationstofocusondatathatneedstobeprotectedratherthanspendingeffortonlessimportantdata.Remanencedescribesdataleftonmediaafteranattemptismadetoremovethedata.Transmittingdataisntadriverforanadministrat

13、iveprocesstoprotectsensitivedata,andclearingisatechnicalprocessforremovingdatafrommedia.保护敏感数据的需要会驱动信息分类(定级)。这使得组织可以专注于需要保护的数据，而不在不太重要的数据上费力。残留描述了在尝试删除数据后仍遗留在媒体上的数据。数据传输不是保护敏感数据的管理过程的驱动程序，清除是从媒体中删除数据的技术过程。注意数据保留(retention)和数据残留(remanence)的区别，数据保留(retention)是由于价值或审计监管的需求而要存下来，有“挽留”的感觉;数据残留(remanence)

14、是应消灭但技术上没能删除干净，有“赶不走”的意思。Howcanadataretentionpolicyhelptoreduceliabilities?数据保留策略如何有助于减少负担？Byensuringthatunneededdataisntretained通过确保不需要的数据不被保留Byensuringthatincriminatingdataisdestroyed确保不合法的数据被销毁Byensuringthatdataissecurelywipedsoitcannotberestoredforlegaldiscovery通过确保数据安全地被擦除，无法合法恢复还原Byreducingthe

15、costofdatastoragerequiredbylaw通过降低法律要求的数据存储成本Answer:AAdataretentionpolicycanhelptoensurethatoutdateddataispurged,removingpotentialadditionalcostsfordiscovery.Manyorganizationshaveaggressiveretentionpoliciestobothreducethecostofstorageandlimittheamountofdatathatiskeptonhandanddiscoverable.Dataretenti

16、onpoliciesarenotdesignedtodestroyincriminatingdata,andlegalrequirementsfordataretentionmuststillbemet.数据保留策略可以帮助确保过期数据被清除，从而消除潜在的额外发现成本。许多组织都采取积极的保留策略，既可以降低存储成本，又可以限制现有的可发现数据量。数据保留策略的目的不仅是为了销毁不合法数据，还必须符合数据保留的法律要求。StaffinanITdepartmentwhoaredelegatedresponsibilityforday-to-daytasksholdwhatdatarole?负责

17、日常任务的IT部门工作人员担任什么数据角色？Businessowner业务所有者User用户Dataprocessor数据处理器Custodian保管人Answer:DCustodiansaredelegatedtheroleofhandlingday-to-daytasksbymanagingandoverseeinghowdataishandled,stored,andprotected.Dataprocessorsaresystemsusedtoprocessdata.Businessownersaretypicallyprojectorsystemownerswhoaretaskedw

18、ithmakingsuresystemsprovidevaluetotheirusersorcustomers.通过管理和监督数据如何处理，存储和保护，托管人被赋予处理日常任务的角色。数据处理器是用来处理数据的系统。业务所有者通常是负责确保系统为其用户或客户提供价值的项目或系统的所有者。SusanworksforanAmericancompanythatconductsbusinesswithcustomersintheEuropeanUnion.WhatisshelikelytohavetodoifsheisresponsibleforhandlingPIIfromthosecustomer

19、s?Susan在一家与欧盟客户开展业务的美国公司工作。如果她负责处理这些客户的个人身份信息，她可能需要做些什么？Encryptthedataatalltimes.在任何时候加密数据LabelandclassifythedataaccordingtoHIPAA.根据HIPAA标记和分类数据ConductyearlyassessmentstotheEUDPDbaseline.对欧盟DPD基线进行年度评估ComplywiththeUS-EUSafeHarborrequirements.遵守美国-欧盟安全港协议的要求Answer:DSafeHarborcompliancehelpsUScompanie

20、smeettheEUDataProtectionDirective.Yearlyassessmentsmaybeuseful,buttheyarentrequired.HIPAAisaUSlawthatappliesspecificallytohealthcareandrelatedorganizations,andencryptingalldataallthetimeisimpossible(atleastifyouwanttousethedata!).符合安全港协议有助于美国公司达到欧盟数据保护指令。年度评估可能是有用的，但不是必需的。HIPAA是一项专门适用于医疗保健和相关组织的美国法律

21、。另外始终加密所有数据是不可能的(至少如果您要使用这些数据的时候！)。注：美国-欧盟安全港协议目前已被美国-欧盟隐私保护框架替代。Benhasbeentaskedwithidentifyingsecuritycontrolsforsystemscoveredbyhisorganizationsinformationclassificationsystem.WhymightBenchoosetouseasecuritybaseline?Ben的任务是确定其组织信息分类体系所涵盖的系统的安全控制。为什么Ben可以选择使用安全基线？Itappliesinallcircumstances,allowi

22、ngconsistentsecuritycontrols.它适用于所有情况，允许一致的安全控制Theyareapprovedbyindustrystandardsbodies,preventingliability.由行业标准机构批准，预防追责Theyprovideagoodstartingpointthatcanbetailoredtoorganizationalneeds.他们提供了一个可以根据组织需求量身定制的良好起点Theyensurethatsystemsarealwaysinasecurestate.他们确保系统始终处于安全状态Answer:CSecuritybaselinespr

23、ovideastartingpointtoscopeandtailorsecuritycontrolstoyourorganizationsneeds.Theyarentalwaysappropriatetospecificorganizationalneeds,theycannotensurethatsystemsarealwaysinasecurestate,nordotheypreventliability.安全基线提供了一个起点，可以根据组织的需求定制安全控制。它们并不总是适合具体的组织需求，它们不能确保系统总是处于安全状态，也不能预防追责。Whattermisusedtodescri

24、beoverwritingmediatoallowforitsreuseinanenvironmentoperatingatthesamesensitivitylevel?哪个术语用来描述覆盖介质，以便在相同敏感级别的环境中重复使用？Clearing清除Erasing擦除Purging消除Sanitization净化Answer:AClearingdescribespreparingmediaforreuse.Whenmediaiscleared,unclassifieddataiswrittenoveralladdressablelocationsonthemedia.Oncethatsco

25、mpleted,themediacanbereused.Erasingisthedeletionoffilesormedia.Purgingisamoreintensiveformofclearingforreuseinlowersecurityareas,andsanitizationisaseriesofprocessesthatremovesdatafromasystemormediawhileensuringthatthedataisunrecoverablebyanymeans.清除准备介质重用。当介质被清除时，不涉密的数据被写在介质上的所有可寻址位置上。一旦完成，媒体可以重复使用。

26、擦除是删除文件或媒体。清除是在较低安全区域进行更加密集的重用清理形式，清理是一系列从系统或媒体中删除数据的过程，同时确保数据无法以任何方式恢复。注：1)效果上erasing擦除clearing清除=overwriting复写purging消除degaussing消磁tcintroC?y怎皿站心：SISIEQO冏SKurrtyOlrgcnzatonSeturffyLowSocurrtyC3legcr1?jbon間04电话日HildaleADestroy,validate,document销毁，验证，记录BClear,purge,document清除，消除，记录CPurge,document,va

27、lidate消除，记录，验证D.Purge,validate,document消除，验证，记录Answer:DTheNISTSP800-88processforsanitizationanddispositionshowsthatmediathatwillbereusedandwasclassifiedatamoderatelevelshouldbepurgedandthenthatpurgeshouldbevalidated.Finally,itshouldbedocumented.根据NISTSP800-88中对净化和处置过程的描述，被分类为中等级别（密级）的介质如果还需要重新使用的话，应

28、该执行消除操作，接着验证该消除操作，最后，操作应该被记录下来。Whatmethodsareoftenusedtoprotectdataintransit?哪些方法常被用来保护传输中的数据？Telnet,ISDN,UDPEncryptedstoragemedia加密存储介质AES,Serpent,IDEATLS,VPN,IPsecAnswer:DDataintransitisdatathatistraversinganetworkorisotherwiseinmotion.TLS,VPNs,andIPsectunnelsarealltechniquesusedtoprotectdataintra

29、nsit.AES,Serpent,andIDEAareallsymmetricalgorithms,whileTelnet,ISDN,andUDPareallprotocols.Encryptingyourstoragemediabeforeitistransportedisagoodpractice,buttransportingmediaisntthetypeoftransitthatismeantbythephrase.传输中的数据是穿越网络的或运动的数据。TLS,VPN和IPsec隧道都是用于保护传输过程中的数据的技术AES,Serpent和IDEA都是对称算法，而Telnet，ISD

30、N和UDP都是协议。在传递媒体（介质）之前加密存储媒体（介质）是一个很好的做法，但是媒体（介质）的传递并不是本题所指的传输类型。Whichdataroleisdescribedasthepersonwhohasultimateorganizationalresponsibilityfordata?哪个数据角色被描述为对数据负有最终组织责任的人？Systemowners系统所有者Businessowners企业所有者Dataowners数据所有者Missionowners使命所有者Answer:CThedataownerhasultimateresponsibilityfordatabelong

31、ingtoanorganizationandistypicallytheCEO,president,oranothersenioremployee.Businessandmissionownerstypicallyownprocessesorprograms.Systemownersownasystemthatprocessessensitivedata.数据所有者对属于某个组织的数据负有最终责任，通常是首席执行官，总裁或其他高级员工。企业和使命所有者通常拥有流程或程序。系统所有者拥有一个处理敏感数据的系统。WhatUSgovernmentagencyoverseescompliancewit

32、htheSafeHarborframeworkfororganizationswishingtousethepersonaldataofEUcitizens?哪一个美国政府机构负责监督希望使用欧盟公民个人数据的组织是否遵守安全港框架？TheFTC联邦贸易委员会TheFDA食品药品监督管理局TheDoD国防部TheDepartmentofCommerce商务部Answer:ATheFederalTradeCommission,orFTC,istheUSgovernmentagencythatdealswithSafeHarbor.TheFoodandDrugAdministration,Depa

33、rtmentofDefense,andDepartmentofCommercedonotoverseeSafeHarbor.联邦贸易委员会(FTC)是美国政府处理安全港事务的机构。美国食品和药物管理局,国防部和商务部不监督安全港。Chrishasrecentlybeenhiredintoaneworganization.TheorganizationthatChrisbelongstousesthefollowingclassificationprocess:Chris最近刚加入一家新的机构。该机构使用以下分类过程：Criteriaaresetforclassifyingdata.为数据分类设

34、定标准Dataownersareestablishedforeachtypeofdata.为每种类型的数据建立数据所有者Dataisclassified.分类数据Requiredcontrolsareselectedforeachclassification.为每个分类选择所需的控制Baselinesecuritystandardsareselectedfortheorganization.为组织选择基线安全标准Controlsarescopedandtailored.界定和裁剪控制措施的范围Controlsareappliedandenforced.应用和执行控制措施Accessisgran

35、tedandmanaged.授权和管理对数据的访问Chrishasrecentlybeenhiredintoaneworganization.TheorganizationthatChrisbelongstousesthefollowingclassificationprocess:Chris最近刚加入一家新的机构。该机构使用以下分类过程：Criteriaaresetforclassifyingdata.为数据分类设定标准Dataownersareestablishedforeachtypeofdata.为每种类型的数据建立数据所有者Dataisclassified.分类数据Requiredc

36、ontrolsareselectedforeachclassification.为每个分类选择所需的控制Baselinesecuritystandardsareselectedfortheorganization.为组织选择基线安全标准Controlsarescopedandtailored.界定和裁剪控制措施的范围Controlsareappliedandenforced.应用和执行控制措施Accessisgrantedandmanaged.授权和管理对数据的访问IfChrisisoneofthedataownersfortheorganization,whatstepsinthisproc

37、essishemostlikelyresponsiblefor?如果Chris是组织的数据所有者之一，那么他最有可能在这个过程中执行哪些步骤？Heisresponsibleforsteps3,4,and5.他负责步骤3,4和5Heisresponsibleforsteps1,2,and3.他负责步骤1,2和3Heisresponsibleforsteps5,6,and7.他负责步骤5,6和7Allofthestepsarehisdirectresponsibility所有的步骤都是他的直接责任Answer:AChrisismostlikelytoberesponsibleforclassify

38、ingthedatathatheownsaswellasassistingwithoradvisingthesystemownersonsecurityrequirementsandcontrolselection.Inanorganizationwithmultipledataowners,Chrisisunlikelytosetcriteriaforclassifyingdataonhisown.Asadataowner,Chriswillalsonottypicallyhavedirectresponsibilityforscoping,tailoring,applying,orenfo

39、rcingthosecontrols.Chris最有可能负责对他拥有的数据进行分类，并且就安全要求和控制措施的选择对系统负责人提供协助或建议。在拥有多个数据所有者的组织中，Chris不太可能为自己的数据分类设定标准。作为数据所有者，Chris通常也不会直接负责界定和裁剪范围，以及应用或执行控制措施。Chrishasrecentlybeenhiredintoaneworganization.TheorganizationthatChrisbelongstousesthefollowingclassificationprocess:Chris最近刚加入一家新的机构。该机构使用以下分类过程：Crit

40、eriaaresetforclassifyingdata.为数据分类设定标准Dataownersareestablishedforeachtypeofdata.为每种类型的数据建立数据所有者Dataisclassified.分类数据Requiredcontrolsareselectedforeachclassification.为每个分类选择所需的控制Baselinesecuritystandardsareselectedfortheorganization.为组织选择基线安全标准Controlsarescopedandtailored.界定和裁剪控制措施的范围Controlsareappli

41、edandenforced.应用和执行控制措施Accessisgrantedandmanaged.授权和管理对数据的访问Chrismanagesateamofsystemadministrators.Whatdatarolearetheyfulfillingiftheyconductsteps6,7,and8oftheclassificationprocess?Chris管理一个系统管理员团队。如果他们执行分类过程步骤6,7和&那么履行的是什么样的数据角色？Theyaresystemownersandadministrators.系统所有者和管理员Theyareadministratorsan

42、dcustodians.管理员和保管人Theyaredataownersandadministrators.数据所有者和管理员Theyarecustodiansandusers.保管人和使用人Answer:BThesystemadministratorsareactingintherolesofdataadministratorswhograntaccessandwillalsoactascustodianswhoaretaskedwiththeday-to-dayapplicationofsecuritycontrols.Theyarenotactingasdataownerswhoownt

43、hedataitself.Typically,systemadministratorsaredelegatedauthoritybysystemowners,suchasadepartmenthead,andofcoursetheyaretaskedwithprovidingaccesstousers.系统管理员执行数据管理员的角色从而负责访问权限的授予，同时作为保管人负责安全控制措施的日常应用。他们不作为拥有数据本身的数据所有者。通常，系统管理员由系统所有者(如部门主管)委派，理所当然的，他们被委派了为用户的提供访问权限的任务。Chrishasrecentlybeenhiredintoane

44、worganization.TheorganizationthatChrisbelongstousesthefollowingclassificationprocess:Chris最近刚加入一家新的机构。该机构使用以下分类过程：Criteriaaresetforclassifyingdata.为数据分类设定标准Dataownersareestablishedforeachtypeofdata.为每种类型的数据建立数据所有者Dataisclassified.分类数据Requiredcontrolsareselectedforeachclassification.为每个分类选择所需的控制Basel

45、inesecuritystandardsareselectedfortheorganization.为组织选择基线安全标准Controlsarescopedandtailored.界定和裁剪控制措施的范围Controlsareappliedandenforced.应用和执行控制措施Accessisgrantedandmanaged.授权和管理对数据的访问IfChrisscompanyoperatesintheEuropeanUnionandhasbeencontractedtohandlethedataforathirdparty,whatroleishiscompanyoperatingin

46、whenitusesthisprocesstoclassifyandhandledata?如果Chris的公司在欧盟经营，并且已经签约处理第三方的数据，那么当他的公司使用这个流程来分类和处理数据时，它的作用是什么？Businessowners企业所有者Missionowners使命所有者Dataprocessors数据处理器Dataadministrators数据管理员Answer:CAccordingtotheEuropeanUnionsDataProtectionDirective,thirdpartyorganizationsthatprocesspersonaldataonbehalf

47、ofadatacontrollerareknownasdataprocessors.Theorganizationthattheyarecontractingwithwouldactintheroleofthebusinessormissionowners,andotherswithinChrissorganizationwouldhavetheroleofdataadministrators,grantingaccessasneededtothedatabasedontheiroperationalproceduresanddataclassification.根据欧盟数据保护指令，代表数据

48、控制器处理个人数据的第三方组织被称为数据处理器。与其签订合同的组织将扮演业务或任务所有者的角色，而克里斯组织内的其他组织将扮演数据管理员的角色，根据数据的操作过程和数据分类授予数据访问权限。WhichofthefollowingisnotapartoftheEuropeanUnionsDataProtectionprinciples?下列哪一项不属于欧盟数据保护原则的一部分？Notice通知Reason理由Security安全Access访问Answer:BTheEuropeanDataProtectionDirectivehassevenprimarytenets:欧洲数据保护指令有七个主要

49、原则：Notice通知Choice选择Onwardtransfer前转Security安全Dataintegrity数据完整性Access访问Enforcement执法Reasonisnotincludedinthislist.“理由”不包括在此列表中。Benscompany,whichisbasedintheEU,hiresathird-partyorganizationthatprocessesdataforit.Whohasresponsibilitytoprotecttheprivacyofthedataandensurethatitisntusedforanythingotherth

50、anitsintendedpurpose?Ben的公司总部位于欧盟，公司雇用了一个为其处理数据的第三方机构。谁有责任保护数据的隐私，并确保它不被用于除预定目的之外的其他任何用途？BenscompanyisresponsibleBen的公司负责Thethird-partydataprocessorisresponsible.第三方数据处理器负责Thedatacontrollerisresponsible.数据控制器负责Bothorganizationsbearequalresponsibility.两个组织承担同等的责任Answer:BUndertheEUsDPD,dataprocessorsl

51、ikethethird-partycompanyinthisquestionbearresponsibilityforensuringthatthedataisnotusedforanythingotherthanthepurposeforwhichitisintended.Benscompanyisthedatacontroller,whilethethirdpartyisthedataprocessor,leavingthethirdpartywiththatrole.根据欧盟的DPD，数据处理器负责确保数据不用于除了目的之外的任何其他用途。Ben的公司是数据控制器，而第三方是数据处理器，

52、所以这个情形下由第三方的承担责任。MajorHunter,amemberoftheUSarmedforces,hasbeenentrustedwithinformationthat,ifexposed,couldcauseseriousdamagetonationalsecurity.UnderUSgovernmentclassificationstandards,howshouldthisdatabeclassified?亨特少将作为美国军方的一员被委托了一些信息，这些信息如果暴露，可能会对国家安全造成严重损害(seriousdamage)。根据美国政府的分类标准，这些数据应该如何分类？Un

53、classified未分类(不涉密)TopSecret绝密Confidential秘密Secret机密Answer:DTheUSgovernmentspecifiesSecretastheclassificationlevelforinformationthat,ifdisclosed,couldcauseseriousharmtonationalsecurity.TopSecretisreservedforinformationthatcouldcauseexceptionallygraveharm,whileconfidentialdatacouldbeexpectedtocauseles

54、sharm.Unclassifiedisnotanactualclassificationbutonlyindicatesthatthedatamaybereleasedtounclassifiedindividuals.Organizationsmaystillrestrictaccesstounclassifiedinformation.美国政府规定“机密”分类级别的信息，如果披露，可能会对国家安全造成严重危害。最高机密是保留的信息，可能会造成特别严重的伤害，而秘密数据可能会造成更少的伤害。未分类不是实际的分类，而只是表示数据可能被发布给未分类的个人。组织可能仍然限制访问未分类的信息。Wh

55、enacomputerisremovedfromserviceanddisposedof,theprocessthatensuresthatallstoragemediahasbeenremovedordestroyedisknownaswhat?当一台计算机从服务中被移除并被处理时，确保所有存储介质已被移除或销毁的过程被称为什么？Sanitization净化Purging消除Destruction销毁Declassification解密(不再保密)Answer:ASanitizationisthecombinationofprocessesusedtoremovedatafromasyste

56、mormedia.WhenaPCisdisposedof,sanitizationincludestheremovalordestructionofdrives,media,andanyotherstoragedevicesitmayhave.Purging,destruction,anddeclassificationareallotherhandlingmethods.净化是用于从系统或媒体中删除数据的过程的组合。处理报废PC时，净化包括消除或销毁驱动器、介质以及可能存在的其他存储设备。清除，销毁和解密都是其他的处理方法。Linuxsystemsthatusebcryptareusinga

57、toolbasedonwhatDESalternativeencryptionscheme?3DESAESDiffie-HellmanBlowfishAnswer:DBcryptisbasedonBlowfish(thebisakeyhinthere).AESand3DESarebothreplacementsforDES,whileDiffie-Hellmanisaprotocolforkeyexchange.使用bcrypt的Linux系统是正在使用基于哪一个DES替代方案的加密工具？3DESAESDiffie-HellmanBlowfish答案:DBcrypt基于Blowfish(b是这

58、里的一个关键提示)。AES和3DES都是DES的替代方案，而Diffie-Hellman是密钥交换协议。Susanworksinanorganizationthatlabelsallremovablemediawiththeclassificationlevelofthedataitcontains,includingpublicdata.WhywouldSusansemployerlabelallmediainsteadoflabelingonlythemediathatcontainsdatathatcouldcauseharmifitwasexposed?Susan所在的组织按所包含的数

59、据的分类级别标记所有可移动介质，包括公共数据。为什么Susan的雇主将所有介质贴上标签，而不是只标注包含那些如果泄漏会导致危害的数据的介质呢？Itischeapertoorderallprelabeledmedia.订购所有预贴标签的介质更便宜Itpreventssensitivemediafromnotbeingmarkedbymistake.防止敏感的介质不因工作失误而未作标记Itpreventsreuseofpublicmediaforsensitivedata.防止重复使用公开介质用于存储敏感数据LabelingallmediaisrequiredbyHIPAA标记所有介质是HIPAA

60、的要求Answer:BRequiringallmediatohavealabelmeansthatwhenunlabeledmediaisfound,itshouldimmediatelybeconsideredsuspicious.Thishelpstopreventmistakesthatmightleavesensitivedataun-labeled.Prelabeledmediaisnotnecessarilycheaper(normayitmakesensetobuy!),whilereusingpublicmediasimplymeansthatitmustbeclassifie