2022年ISC2 CISSP 中文考试参考题库（含答案）

PAGEPAGE1222022年ISC2CISSP中文考试参考题库（含答案）一、单选题1.为服装零售商员工提供用户帐户,这些帐户提供对合作伙伴企业资源的访问权限。所有合作伙伴企业都使用通用身份和访问管理(IAM)协议和不同的技术。在扩展身份原则下,合作伙伴企业之间允许此IAM操作的流程是什么?A、服装零售商充当用户自助服务,使用行业标准确认用户身份,然后将凭据发送给充当服务提供商并允许访问服务的合作伙伴企业。B、服装零售商充当身份提供者(IdP),使用行业标准确认用户身份,然后将凭据发送给充当服务提供者并允许访问服务的合作伙伴企业。C、服装零售商充当服务提供商,使用行业标准确认用户身份,然后将凭据发送给充当身份提供商(IdP)并允许访问资源的合作伙伴企业。D、服装零售商充当访问控制提供商,使用行业标准确认用户的访问权限,然后将凭据发送给充当服务提供商并允许访问资源的合作伙伴企业。答案：B2.在设计新的互联网协议语音(VoIP)网络时,组织最关心的是防止未经授权的用户访问VoIP

网络。

以下哪项最有助于保护VoIP网络?A、802.11g。B、Web应用防火墙(WAF)。C、传输层安全性(TLS)。D、802.1x。答案：D3.首席信息安全官(CISO)将建立一个单一的、集中的、相关的存储库,以保存有关软件和硬件资产的所有信息。以下哪个s离子是最佳选择?A、信息安全管理系统(ISMS)。B、配置管理数据库(CMDB)。C、安全信息和事件管理(SIEM)。D、信息技术资产管理(ITAM)。答案：B4.一家按照敏捷原则工作的金融机构为其外部客户群开发了一个新的应用程序,用于申请信贷额度。已要求安全分析师评估最小可行产品(MVP)的安全风险。分析师应该评估的最重要的活动是什么?A、软件已由产品所有者签署发布。B、该软件已根据公司标准进行了品牌化。C、该软件具有正确的功能。D、软件已经过代码审查。答案：D5.在过去的15年中,一家公司经历了三起电气故障。下面列出了与每个故障相关的成本。以下哪项是合理的年度损失预期?A、3,500B、140,000C、14,000D、350,000答案：C6.以下哪项是根据预先确定的指标收集信息,利用部分通过实施的安全控制容易获得的信息而建立的?A、安全评估报告(SAR)。B、组织风险承受能力。C、风险评估报告。D、信息安全持续监控(ISCM)。答案：D7.以下哪一项是针对中间人(MITM)互联网协议语音(VoIP)攻击的最佳缓解做法?A、使用安全外壳(SSH)协议。B、使用文件传输协议(FTP)。C、使用传输层安全(TLS)协议。D、使用媒体网关控制协议(MGCP)。答案：C8.以下哪种类型的防火墙仅在转发流量之前检查数据包之间的“握手”?A、代理防火墙。B、电路级防火墙。C、网络地址转换(NAT)防火墙。D、基于主机的防火墙。答案：C9.在解决道德冲突时,信息安全专业人员必须考虑许多因素。应按什么顺序优先考虑考虑因素?A、公共安全、对个人的责任、对专业的责任和对校长的责任。B、公共安全、对校长的职责、对专业的职责和对个人的职责。C、公共安全、对校长的职责、对个人的职责和对专业的职责。D、公共安全、对专业的职责、对校长的职责和对个人的职责。答案：C10..一个组织正在设置一个安全评估范围,目标是开发一个安全管理程序(SMP)。下一步是选择进行风险评估的方法。以下哪种方法对SMP最有效?A、以控制管理为重点的安全控制驱动评估。B、基于业务流程的风险评估,重点关注业务目标。C、以资产为重点的资产驱动风险评估。D、以数据为重点的数据驱动风险评估。答案：C11.

以下哪项是数字调查最重要的规则?A、确保原始数据永远不会被修改。B、确保系统已通电。C、确保事件日志轮换。D、确保个人隐私受到保护。答案：A12.哪个变更管理角色负责项目的整体成功并支持整个组织的变更?A、更换驱动程序。B、项目经理。C、计划赞助商。D、改变实施者。答案：B13.安全专业人员可以通过部署应用程序并采用以下哪些控制措施来最好地降低使用商业现货(COTS)解决方案的风险?A、网络分段。B、黑名单申请。C、白名单申请。D、强化配置。答案：D14.以下哪项符合《通用数据保护条例》(GDPR)“被遗忘权”的例外情况?A、为建立、行使或辩护法律要求。B、个人资料经过合法处理和收集。C、出于私人利益的原因。D、个人数据对于其收集目的仍然是必要的。答案：A15.最初的安全分类应在系统生命周期的早期完成,并应定期审查。为什么正确完成这项工作很重要?A、它确定了功能和操作要求。B、它决定了安全要求。C、它影响认证和认可过程中的其他步骤。D、系统工程过程与选定的安全控制一起工作。答案：C16.

为什么要构建一个系统来将不同类别的信息相互隔离,并按用户权限将它们隔离?A、组织需要为各种第三方组织提供不同的服务。B、组织可以在发生诉讼时避免电子发现流程。C、组织的基础设施布局清晰,职责范围简化。D、组织可以改变其系统政策以遵守相互冲突的国家法律。答案：D17.恶意用户可以访问Web服务器上未受保护的目录。以下哪项最有可能是此次信息泄露的原因?A、认证管理失效。B、安全配置错误。C、跨站请求伪造(CSRF)。D、结构化查询语言注入(SQLi)。答案：B18.在允许人员从公司设备或用户帐户访问社交媒体之前,组织要采取的第一步是什么?A、发布可接受的使用政策。B、发布社交媒体指南文件。C、提供安全意识培训。D、记录访问社交媒体网站的程序。答案：A19.以下哪项是为审计记录生成选择适当详细级别的主要原因?A、避免冗长的审计报告。B、启用纠正措施报告的生成。C、促进根本原因分析(RCA)。D、降低整个系统开发生命周期(SDLC)的成本。答案：C20.软件安全测试的总体目标是什么?A、识别软件的关键安全特性。B、确保所有软件功能按规定执行。C、减少软件系统中的漏洞。D、使软件开发更加敏捷。答案：B21.从中断中恢复时,就数据恢复而言,恢复点目标(RPO)是什么?A、RPO是需要恢复的最小数据量。B、RPO是恢复可接受的丢失数据百分比所需的时间量。C、RPO的目标是恢复目标百分比的丢失数据。D、RPO是可接受的数据丢失的最长时间。答案：D22.欧盟(EU)通用数据保护条例(GDPR)要求组织实施适当的技术和组织措施,以确保适合风险的安全级别。因此,数据所有者应考虑以下哪些要求?A、切勿将欧盟公民的个人数据存储在欧盟之外。B、个人数据的数据屏蔽和加密。C、仅使用欧盟批准的加密协议。D、将个人数据传输到欧盟以外的来源时的匿名化。答案：B23.医院执行公平信息实践守则。什么样的做法适用于从门户网站请求医疗记录的患者?A、目的规范。B、收集限制。C、使用限制。D、个人参与。答案：A24.测试灾难恢复计划(DRP)的最低标准是什么?A、每季度或更频繁,具体取决于信息安全经理的建议。B、根据环境的稳定性和业务要求,尽可能频繁。C、根据审计部门的要求,每年或不那么频繁。D、每半年一次,并与半年财政周期相一致。答案：C25.为电子发现调查复制硬盘驱动器内容时,位级副本比文件级副本更可取的主要原因是什么?A、文件损坏的可能性较小。B、已删除的文件将被转移。C、保留文件和目录结构。D、文件级安全设置将被保留。答案：B26.在哪里可以找到相关漏洞的开放Web应用程序安全项目(OWASP)列表?A、OWASP移动项目。B、OWASP软件保障成熟度模型(SAMM)项目。C、OWASP指南项目。D、OWASPTop10项目。答案：D27.以下哪一项是在线证书状态协议(OCSP)的最常见用途?A、验证X.509数字证书的有效性。B、获取X.509数字证书的到期日期。C、获取X.509数字证书的撤销状态。D、获取X.509数字证书的作者姓名。答案：C28.管理层已决定在个人蜂窝电话上使用核心应用程序。作为实施要求,需要定期进行安全态势分析。管理层还指示实施持续监测。完成管理层的指示需要以下哪项?A、用户的移动电话提供商生成的例行报告,详细说明安全事件。B、应用管理、配置管理(CM)和电话管理的严格集成。C、安装在用户手机上的管理应用程序,用于跟踪所有应用程序事件和蜂窝流量。D、企业级安全信息和事件管理(SIEM)仪表板,提供手机活动的完整可见性。答案：C29.在确定犯罪现场数字证据收集的优先级时,法医检查员应首先执行以下哪些活动?A、收集物证。B、为现场人员分配责任。C、建立要检查的文件列表。D、建立波动的顺序。答案：B30.应用程序用于组织和第三方之间的资金转移。在安全审计期间,审计员发现此应用程序的业务连续性灾难恢复策略和程序存在问题。审核员应向组织提交以下哪些报告?A、关于审计标准(SAS)70-1的声明。B、审计标准声明(SAS)70。C、服务组织控制(SOC)1D、服务组织控制(SOC)2.答案：D31.以下哪种实现将在网站中实现高可用性?A、在强化数据中心中使用冗余磁盘驱动器对Web服务器进行磁盘镜像。B、Web服务器硬盘驱动器和大量带宽的磁盘条带化。C、为故障转移配置的多个地理位置分散的Web服务器。D、多个域名系统(DNS)条目解析到同一个Web服务器和大量带宽。答案：C32..以下哪个是风险矩阵?A、确定活动或系统风险管理决策的工具。B、与特定信息系统相关的风险数据库。C、组织、产品、项目或其他相关项目的二维风险图。D、供管理层考虑的风险管理因素表。答案：A33.使用自动分析可以最好地检测以下哪些漏洞?A、多步进程攻击漏洞。B、业务逻辑缺陷漏洞。C、有效的跨站请求伪造(CSRF)漏洞。D、典型的源代码漏洞。答案：D34.利用社会工程和恶意统一资源定位器(URL)链接来利用受害者与Web应用程序的现有浏览器会话的攻击是以下哪种类型的攻击的示例?A、点击劫持。B、跨站请求伪造(CSRF)。C、跨站脚本(XSS)。D、注射。答案：B35.在评估应用程序的审计能力时,以下哪些活动最重要?A、确定调查可疑活动的程序。B、确定审计记录是否包含足够的信息。C、验证是否为审计记录分配了足够的存储空间。D、审查安全计划,以便在审核失败时采取措施。答案：B36.一家金融服务组织聘请了一名安全顾问来审查各个团队的员工使用的流程。顾问采访了一名应用程序开发实践的成员,发现他们的威胁模型存在差距。以下哪项正确代表了何时应该修改威胁模型?A、应用操作系统(OS)补丁后。B、新的开发人员被聘请到团队中。C、修改防火墙规则策略后。D、添加了一个新的数据存储库。答案：D37.首席信息官(CIO)已决定,作为业务现代化工作的一部分,该组织将转向云架构。所有关键业务数据将在未来两年内迁移到内部或外部云服务。CIO主要有义务与担任哪个角色的人员合作,以确保在云迁移期间和之后对数据进行适当保护?A、首席安全官(CSO)。B、信息所有者r.C、首席信息安全官(CISO)。D、总法律顾问。答案：C38.

组织战略风险评估的哪一部分最有可能包括影响组织成功的项目的信息?A、威胁分析。B、漏洞分析。C、关键绩效指标(KPI)。D、关键风险评估员(KRI)。答案：D39.两台计算机,每台计算机在同一个物理10Gb以太网网段上都有一个连接,需要相互通信。第一台机器有一个单一的互联网协议(IP)无类别域间路由(CIDR)地址/30,第二台机器有一个IP/CIDR地址/30。以下哪项是正确的?A、由于每台计算机位于不同的第3层网络上,因此计算机之间的流量必须由网桥处理才能进行通信。B、由于每台计算机都在同一个第3层网络上,因此计算机之间的流量可能由网络路由器处理以进行通信。C、由于每台计算机都在同一个第3层网络上,因此计算机之间的流量可以通过网桥处理以进行通信。D、由于每台计算机位于不同的第3层网络上,因此计算机之间的流量必须由网络路由器处理才能进行通信。答案：D40.当攻击者能够向意识到它的经过身份验证的用户发送精心设计的恶意请求时,会发生以下哪种类型的基于Web的攻击?A、进程注入。B、跨站请求伪造(CSRF)。C、跨站脚本(XSS)。D、损坏的身份验证和会话管理。答案：B41.

在移除、修理或更换任何物品之前,应在灾难现场完成以下哪一项?A、按照沟通计划与媒体沟通。B、派遣人员到灾难恢复(DR)站点。C、拍下损坏的照片。D、通知全体董事会。答案：D42.安全架构的正确执行顺序是什么?A、治理、战略和计划管理、运营、项目交付。B、治理、战略和计划管理、项目交付、运营。C、战略和计划管理、项目交付、治理、运营。D、战略和计划管理、治理、项目交付、运营。答案：C43.当一个城市的电话通过单个交换机连接时,呼叫者只能与总机接线员连接。话务员然后手动连接呼叫。这是哪种类型的网络拓扑的示例?A、点对点协议(PPP)。B、总线型。C、星型。D、树型。答案：C44.以下哪个框架提供了漏洞度量和特征来支持国家漏洞数据库(NVD)?A、常见漏洞和暴露(CVE)。B、互联网安全中心(CIS)。C、通用漏洞评分系统(CVSS)。D、打开Web应用程序安全项目(OWASP)。答案：A45.云服务提供商要求其客户组织为其数据存储服务启用最大审计日志记录,并将日志保留三个月。审计日志记录基因具有极高的日志量。日志保留最合适的策略是什么?A、将所有日志保存在在线存储中。B、将上周的日志保存在在线存储中,其余的保存在离线存储中。C、将上周的日志保存在在线存储中,其余的保存在近线存储中。D、将所有日志保存在离线存储中。答案：B46.一位安全专家的任务是重建公司的无线基础设施。在决定部署哪个无线频谱时,以下哪些是最重要的考虑因素?A、设施规模、互调和直接卫星服务。B、性能、地理位置和无线电信号干扰。C、现有客户端设备、制造商声誉和电气干扰。D、混合频段、服务集标识符(SSID)和插值。答案：B47.一家国际组织决定使用软件即服务(SaaS)解决方案来支持其业务运营。组织应使用以下哪些合规标准来评估解决方案的国际代码安全性和数据隐私?A、服务组织控制(SOC)2B、信息保障技术框架(IATF)。C、健康保险流通与责任法案(HIPAA)。D、支付卡行业(PCI)。答案：A48.增强与关键系统接口的单点登录(SSO)解决方案的安全性的最有效方法是什么?A、双重身份验证。B、应用程序级身份验证的可重用令牌。C、高性能加密算法。D、用于所有通信的安全套接字层(SSL)。答案：A49.一个组织的内部审计最近发现了一个用户帐户的恶意行为。经过进一步调查,确定违规用户帐户被多个地点的多人同时用于各种服务和应用程序。将来防止此问题的最佳方法是什么?A、确保每个用户都有自己唯一的帐户。B、允许多个用户共享一个通用帐户。C、确保将安全信息和事件管理(SIEM)设置为警报。D、通知用户一次只能有一个用户使用该帐户。答案：A50.在处理网络犯罪时,刑法难以执行的主要原因是什么?A、管辖权很难界定。B、执法机构人手不足。C、引渡条约很少得到执行。D、存在许多语言障碍。答案：A51.在测试环境中匿名个人身份信息(PII)的最佳方法是什么?A、交换数据。B、随机化数据。C、编码数据。D、加密数据。答案：B52.哪个开放系统互连(OSI)层最好对应于传输控制协议/互联网协议(TCP/IP)模型中的网络访问层?A、数据链路和物理层。B、会话层和网络层。C、传输层。D、应用层、表示层和会话层。答案：A53.以下哪些文件从客户的角度指定了服务?A、业务影响分析(BIA)。B、服务水平协议(SLA)。C、服务水平要求(SLR)。D、服务水平报告。答案：B54.一个组织已经确定其以前的软件开发瀑布方法无法满足业务需求。为了适应产品交付所需的快速变化,该组织已决定转向敏捷软件开发和发布周期。为了确保敏捷方法论的成功,在为每个版本创建验收标准时,谁是最关键的?A、商业客户。B、软件开发人员。C、独立测试人员。D、项目经理。答案：A55.在美国(US)和英国(UK)设有分部的组织处理由居住在欧盟(EU)和美国的主体的个人信息组成的数据。哪些数据必须根据通用数据保护条例

(GDPR)的隐私保护来处理?A、只有英国公民的数据。B、只有欧盟居民的数据。C、仅在英国处理的数据。D、只有欧盟公民的数据。答案：B56.国际机构制定了一项监管计划,定义了签署方之间如何交换武器。它还涉及网络武器,包括恶意软件、命令和控制(C2)软件和互联网监控软件。这是对以下哪项的描述?A、国际武器贸易条例(ITAR)。B、巴勒莫公约。C、Wassenaar安排。D、通用数据保护条例(GDPR)。答案：C57.在为风险管理、法律发现和合规对信息和支持资产进行分类时,必须考虑哪些因素?A、系统所有者角色和职责、数据处理标准、存储和安全开发生命周期要求。B、合规办公室角色和职责、分类材料处理标准、存储系统生命周期要求。C、数据管理角色、数据处理和存储标准、数据生命周期要求。D、系统授权角色和职责、云计算标准、生命周期要求。答案：A58.最近离开该组织的一位同事向安全专业人员索要该组织的机密事件管理政策的副本。以下哪项是对该请求的最佳回应?A、在公司发行的设备上访问策略并让前同事查看屏幕。B、将政策通过电子邮件发送给同事,因为他们已经是组织的一部分并且熟悉它。C、不承认收到前同事的请求,不予理会。D、使用公司官方渠道提交请求,以确保政策可以分发。答案：D59.

安全工程师需要将安全集成到由小组实施的软件项目中,这些小组可以快速、持续、独立地开发、测试并将代码部署到云中。工程师最有可能与哪个软件开发过程集成?A、Devops集成产品团队(IPT)。B、结构化瀑布程序开发。C、面向服务的架构(SOA)。D、螺旋方法。答案：D60.为了监控设施周边内埋地数据线的安全性,以下哪项是最有效的控制措施?A、在所有入口点设置闭路电视(CCTV)摄像机,在设施周围设置围栏。B、安装地面传感器并向安全事件管理(SEM)系统报告。C、定期扫描周边,包括人工检查电缆入口点。D、设施入口点周围的钢制外壳。答案：C61..在选择基于不同射频识别(RFID)漏洞类型的安全测试方法时,以下哪项是最重要的考虑因素?A、对攻击面的理解。B、测试工具对多种技术的适应性。C、结果的质量和工具的可用性。D、工具的性能和资源利用。答案：A62.满足认证业务标准声明18(SSAE-18)保密类别的最佳控制措施是什么?A、文件散列。B、存储加密。C、数据保留政策。D、数据处理。答案：B63.安全架构师正在为客户开发信息系统。其中一项要求是提供一个能够缓解常见漏洞和攻击的平台。用于防止缓冲区溢出攻击的最有效选项是什么?A、访问控制机制。B、过程隔离。C、地址空间布局随机化(ASLR)。D、处理器状态。答案：C64.云托管提供商希望提供与其安全计划相关的服务组织控制(SOC)报告。本报告应为可自由分发的简略报告。哪种类型的报告最符合此要求?A、SOC1。B、SOC2类型1。C、SOC2类型2。D、SOC3。答案：D65.组织的零售网站提供其唯一的收入来源,因此灾难恢复计划(DRP)必须记录计划中每个步骤的估计时间。DRP中的以下哪些步骤将列出服务全面运行所需的最长持续时间?A、更新网络地址转换(NAT)表。B、使用域名注册商更新域名系统(DNS)服务器地址。C、更新边界网关协议(BGP)自治系统编号。D、更新Web服务器网络适配器配置。答案：B66.面向对象编程为软件开发提供的良好纵深防御策略应包括以下哪项?A、多态性。B、继承。C、多实例化。D、封装。答案：C67.在考虑实施软件定义网络(SDN)时,安全问题是什么?A、它具有分散的架构。B、它增加了攻击足迹。C、它使用开源协议。D、它是基于云的。答案：B68.以下哪项漏洞评估活动最能体现“检查”评估方法?A、要求信息系统安全官(ISSO)描述组织的补丁管理流程B、确保系统审核日志捕获安全控制基线所需的所有相关数据字段。C、使用默认管理员帐户和默认密码登录Web服务器。D、对选定的网络主机执行端口扫描以枚举活动服务。答案：B69.一家医疗保险组织选择了一家供应商来开发软件应用程序。在审查合同草案后,信息安全专业人员注意到软件安全没有得到解决。解决该问题的最佳方法是什么?A、更新合同以要求供应商执行安全代码审查。B、更新服务水平协议(SLA),为组织提供审核供应商的权利。C、更新合同,使供应商有义务提供安全功能。D、更新服务水平协议(SLA)以要求供应商提供安全功能。答案：B70.一个组织使用电气和电子工程师协会(IEEE)802.1x实施网络访问控制(NAC),并发现打印机不支持IEEE802.1x标准。以下哪个是最佳分辨率?A、在打印机的交换机端口上实施端口安全。B、什么都不做;IEEE802.1x与打印机无关。C、为打印机安装一个IEEE802.1x网桥。D、为打印机实施虚拟局域网(VLAN)。答案：D71.

在通用标准中,以下哪一项是表达一组独立于实现的安全要求的正式文档?A、组织安全政策。B、安全目标(ST)。C、保护配置文件(PP)。D、评估目标(TOE)。答案：C72.在购买新软件的过程中,必须在哪个过程中考虑安全性?A、征求建议书(RFP)。B、实施。C、供应商选择。D、合同谈判。答案：A73.以下哪项是最强的物理访问控制?A、生物识别、密码和个人识别码(PIN)。B、每个用户的个人密码。C、生物识别和徽章阅读器。D、生物识别、密码和徽章阅读器。答案：D74.软件定义网络(SDN)的构建块需要以下哪一项?A、SDN完全由客户端-服务器对组成。B、随机存取内存(RAM)优先于虚拟内存使用。C、SDN主要由虚拟机(VM)组成。D、虚拟内存优先于随机存取内存(RAM)。答案：C75.以下哪项可确保旧的日志数据不会被覆盖?A、日志保留。B、实施系统日志。C、增加日志文件大小。D、日志保存。答案：A76.在确定数据和信息资产处理时,无论使用何种特定工具集,以下哪一项是大数据的常见组件之一?A、分布式存储位置。B、集中处理位置。C、分布式数据收集。D、综合数据收集。答案：C77.垃圾箱潜水是渗透测试方法的哪个阶段使用的一种技术?A、攻击。B、报告。C、规划。D、发现。答案：D78.以下哪项最佳描述了组织应在何时对新软件保护进行黑盒安全审计?A、当组织希望检查非功能合规性时。B、当组织想要枚举其基础架构中的已知安全漏洞时。C、当组织确信最终源代码已完成时。D、当组织发生安全事件时。答案：C79.一家大型软件公司的项目经理获得了一份政府合同,该合同会生成大量受控非机密信息(CUI)。该组织的信息安全经理收到了在不同安全等级的系统之间传输与项目相关的CUI的请求。什么角色为本次转让提供权威指导?A、下午。B、信息所有者。C、数据保管人。D、使命/企业主。答案：C80.首席执行官(CEO)希望对公司的信息安全状况进行内部审计。首席执行官希望避免审计过程中的任何偏见;因此,已指派销售总监进行审核。经过数周的重大互动后,审计得出结论认为,公司的政策和程序是充分、健全和完善的。然后,CEO继续聘请外部渗透测试公司,以展示该组织强大的信息安全立场。该练习揭示了几个关键安全控制的重大缺陷,并表明事件响应过程仍未记录在案。造成审计结果和外部渗透测试结果差异的最可能原因是什么?A、审计团队缺乏对提供给他们的数据进行有洞察力和客观评估的技术经验和培训。B、渗透测试活动和内部审计的范围显着不同。C、外部渗透测试公司使用了无法预测的自定义零日攻击。D、信息技术(IT)和治理团队未能向内部审计团队披露相关信息,导致制定的评估不完整。答案：A81.

以下哪项最佳描述了为什么软件保障对于帮助防止组织的业务和任务风险增加至关重要?A、征求建议书(RFP)避免购买不符合业务需求的软件。B、合同流程消除了买方对安全漏洞的责任。C、旧软件的退役降低了与技术债务相关的长期成本。D、未按预期运行的软件可能会被利用,从而使其容易受到攻击。答案：A82.安全运营中心(SOC)已收到可靠情报,表明威胁行为者正计划使用破坏性病毒的多种变体进行攻击。在获得该病毒变种的样本集并对其进行逆向工程以了解它们的工作原理后,发现了一个共性。所有变体都被编码为写入特定的内存位置。确定该病毒对组织没有威胁,因为他们有远见,可以在所有端点上启用什么功能?A、地址空间布局随机化(ASLR)。B、可信平台模块(TPM)。C、虚拟化。D、过程隔离。答案：A83.以下哪项是保护组织数据资产的最佳方式?A、使用最新的加密算法加密传输中和静止的数据。B、监控并强制遵守安全政策。C、要求多重身份验证(MFA)和职责分离(SoD)。防火墙和强化堡垒主机创建非军事区(DMZ)。答案：B84.在积极调查的数据收集过程中,最重要的标准是什么?A、维护监管链。B、捕获系统的图像。C、概述调查期间采取的所有行动。D、遵守组织的安全政策。答案：A85.

应用程序团队正在运行测试以确保用户输入字段不会接受任何长度的无效输入。这是什么类型的负面测试的例子?A、允许的字符数。B、必填字段的数量。C、合理的数据。D、会话测试。答案：B86.风险评估报告(RAR)的基本要素是什么?A、执行摘要、报告正文和附录。B、执行摘要、风险图表和流程。C、目录、测试标准和指标。D、目录、章节和执行摘要。答案：A87.在系统安全工程中,模块化的安全原则提供了什么?A、执行功能的最小访问权限。B、功能文档。C、隔离的功能和数据。D、程序和数据的安全分发。答案：C88.在对组织信息安全管理系统(ISMS)进行内部审核期间,会发现不符合项。组织在以下哪些管理阶段审查、评估和/或纠正不合格?A、评估。B、规划。C、改进。D、操作。答案：D89.由于创建的密钥数量,以下哪项是最重要的密钥管理问题?A、使用对称密钥时的指数增长。B、使用非对称密钥时的指数增长。C、密钥的存储需要更高的安全性。D、密钥更难提供和撤销。答案：A90.软件开发公司交付软件产品的时间很短。软件开发团队决定使用开源软件库来减少开发时间。软件开发人员在使用开源软件库时应该考虑什么概念?A、开源库包含已知漏洞,攻击者经常在野外利用这些漏洞。B、开源库是所有人都可以使用的,大家的共识是这些库中的漏洞不会被利用。C、开源库包含未知漏洞,因此不应使用。D、开源库不断更新,使得攻击者不太可能存在漏洞利用。答案：A91.以下哪一项是实施使用中数据控制的好处?A、如果数据丢失,必须解密才能打开。B、查看数据时,只能由授权用户打印。C、在查看数据时,可以使用安全协议对其进行访问。D、如果数据丢失,未经授权的用户可能无法访问。答案：B92.风险管理的第一步是什么?A、确定可能影响业务的因素。B、确定所需的范围和行动。C、识别环境中的现有控制。D、建立利益相关者参与的期望。答案：C93.以下哪项包含在变更管理中?A、由企业主进行技术审查。B、实施前的用户验收测试(UAT)。C、实施后的成本效益分析(CBA)。D、业务连续性测试。答案：D94.几年前,一个组织购买了一个商业现货(COTS)软件。信息技术(IT)主管已决定将应用程序迁移到云中,但担心云服务提供商在组织专用环境中的软件应用程序安全性。

预防和纠正软件安全漏洞的最佳方法是什么?A、遵循软件的生命周期结束时间表。B、实施专用的COTS沙箱环境。C、将风险转移给云服务提供商。D、检查软件更新和修补过程。答案：B95.哪个服务管理流程最能帮助信息技术(IT)组织降低成本、降低风险和改善客户服务?A、看板。B、精益六西格码。C、信息技术服务管理(ITSM)。D、信息技术基础设施库(ITIL)。答案：D96.什么超文本传输协议(HTTP)响应标头可用于禁用内联JavaScript的执行和eval()类型函数的执行?A、X-XSS保护。B、内容安全策略。C、X框架选项。D、严格的运输安全。答案：B97.一个组织为一个新项目申请了存储区域网络(SAN)磁盘。什么独立磁盘冗余阵列(RAID)级别可提供最佳冗余和容错能力?A、RAID级别1。B、RAID级别3。C、RAID级别4。D、RAID级别5。答案：A98.安全信息和事件管理(SIEM)系统的管理员必须确保以下哪一项?A、所有源都与一个公共时间参考同步。B、所有来源都以完全相同的可扩展标记语言(XML)格式报告。C、数据源不包含违反隐私规定的信息。D、每个来源都使用相同的Internet协议(IP)地址进行报告。答案：A99.对于使用第三方联合身份服务的组织,以下哪项是正确的?A、组织单独指定如何验证其他组织的用户。B、组织定义了整体用户识别的内部标准。C、该组织与其他组织建立信任关系。D、组织对其他组织的用户供应实施规则。答案：C100.

使用网络准入控制(NAC)有什么好处?A、NAC仅支持Windows操作系统(OS)。B、NAC支持在允许会话进入授权状态之前验证端点的安全状态。C、NAC在允许网络准入之前可能要求使用证书、密码或两者的组合。D、可以在允许网络访问之前验证操作系统(OS)版本。答案：B101.开源库的资产是否存在漏洞,最有可能缓解以下哪些威胁?A、分布式拒绝服务(DDoS)攻击。B、高级持续威胁(APT)尝试。C、零日攻击。D、网络钓鱼企图。答案：C102.指派一名安全工程师与补丁和漏洞管理组一起工作。新补丁的部署已获批准,需要应用。研究完成,安全工程师提供了建议。补丁应该首先应用在哪里?A、较低的环境。B、桌面环境。C、服务器环境。D、生产环境答案：A103.在大型组织中,哪个业务部门最适合启动用户帐户的配置和取消配置?A、培训部。B、内部审计。C、人力资源。D、信息技术(IT)。答案：C104.组织正在实施安全审查作为系统开发的一部分。以下哪项是最好的技术?A、执行增量评估。B、聘请第三方审计公司。C、审查安全架构。D、进行渗透测试。答案：A105.在执行有效的物理损失控制过程时,首先生成什么文件?A、威慑控制清单。B、安全标准清单。C、资产评估清单。D、库存清单。答案：D106.

什么安全原则解决了“默默无闻的安全”问题?A、开放式设计。B、基于角色的访问控制(RBAC)。C、职责分离(SoD)。D、最小特权。答案：C107.商用现货(COTS)软件存在以下哪些额外的安全问题?A、供应商对COTS软件漏洞承担责任。B、内部开发的软件本质上不太安全。C、COTS软件本质上不太安全。D、COTS软件的漏洞利用有据可查并且公开可用。答案：D108..一家大型制造组织安排购买工业机器系统来生产新产品线。该系统包括由第三方组织提供给供应商的软件。开始生产的制造组织的财务风险很高。在购买之前,制造组织应该采取什么步骤来最大程度地降低其在新企业中的财务风险?A、要求软件由经过认证的独立软件测试公司进行全面测试。B、聘请性能测试人员在系统上执行离线测试。C、计算由于软件错误和漏洞可能给组织带来的收入损失,并将其与系统的整体价格进行比较。D、将机器放在第3层防火墙后面。答案：C109.一个组织正在计划一项模拟前网络管理员的恶意行为的渗透测试。需要什么样的渗透测试?A、功能测试。B、单元测试。C、灰盒。D、白盒。答案：C110.以下哪个标准可确保信息相对于其对组织的重要性得到保护?A、法律要求、价值、重要性和对未经授权的披露或修改的敏感性。B、数据对组织高级管理层的价值。C、组织利益相关者,由管理委员会批准分类。D、由组织总部所在地确定的法律要求。答案：A111.什么过程有助于在保护措施的运营和经济成本与任务能力增益之间取得平衡?A、性能测试。B、风险评估。C、安全审计。D、风险管理。答案：D112.针对设备的简单功率分析(SPA)攻击直接观察以下哪项?A、磁性。B、一代。C、消费。D、静电放电。答案：C113.云服务接受来自用户的安全断言标记语言(SAML)断言,以在安全域之间交换身份验证和授权数据。但是,攻击者能够欺骗网络上的注册帐户并查询SAML提供商。针对此缺陷的最常见攻击是什么?A、攻击者利用SAML断言在安全域上注册一个帐户。B、攻击者伪造请求以作为不同的用户进行身份验证。C、攻击者在安全域之间交换身份验证和授权数据。D、攻击者通过重复认证为同一用户对安全域进行拒绝服务(DoS)。答案：B114.一家公司聘请外部供应商对新工资系统进行渗透测试。公司内部测试团队已经对该系统进行了深入的应用和安全测试,确定其满足安全要求。然而,外部供应商发现了重大的安全漏洞,敏感的个人数据被不加密地发送到税务处理系统。安全问题最可能的原因是什么?A、性能测试不足。B、应用程序级别测试不足。C、未能进行阴性测试。D、未能执行接口测试。答案：D115.哪个组织部门最终负责与电子邮件和其他电子记录相关的信息治理?A、法律。B、审计。C、合规性。D、安全。答案：A116.组织的业务影响分析(BIA)中定义的有形资产可能包括以下哪一项?A、组织工作人员的个人物品。B、灾难恢复(DR)项目收入。C、基于云的应用程序。D、供应品存放在异地的远程设施中。答案：D117.在前往高风险国家旅行时,以下哪项措施是保护计算机、智能手机和外部存储设备数据的最佳方法?A、查看适用的目的地国家/地区法律,在旅行前对设备进行取证清洁,并且仅在到达目的地后通过虚拟专用网络(VPN)下载敏感数据。B、利用虚拟专用网络(VPN)上的安全套接字层(SSL)连接在到达目的地时下载敏感数据。C、将不使用的笔记本电脑、外部存储设备和智能手机放在酒店房间内。D、使用多因素身份验证(MFA)访问存储在笔记本电脑或外部存储设备上的数据,并使用生物识别指纹访问控制机制来解锁智能手机。答案：D118.哪个软件定义网络(SDN)架构组件负责转换网络需求?A、SDN控制器。B、SDN数据路径。C、SDN北向接口。D、SDN应用。答案：C119.一个组织希望实施一种授权机制,以简化为许多具有类似工作职责的用户分配各种系统访问权限的过程。哪种类型的授权机制将是组织实施的最佳选择?A、基于角色的访问控制(RBAC)。B、自主访问控制(DAC)。C、内容相关的访问控制。D、基于规则的访问控制。答案：A120.在软件开发中,以下哪些实体通常会对代码进行签名以保护代码完整性?A、开发代码的组织。B、质量控制组。C、开发商。D、数据所有者。答案：A121.一个组织最近遭受了网络应用程序攻击,导致用户会话cookie信息被盗。当用户的浏览器在访问受感染的网站时执行脚本时,攻击者能够获取信息。最有可能发生哪种类型的攻击?A、SQL注入(SQLi)。B、可扩展标记语言(XML)外部实体。C、跨站脚本(XSS)。D、跨站点请求伪造(CSRF)。答案：C122.在DevOps环境中,以下哪些操作对于对所做更改的质量充满信心是最必要的?A、准备迅速采取纠正措施。B、自动化功能测试。C、查看任何异常情况的日志。D、获得变更审查委员会的批准。答案：D123.用于定义数据在云中的地理位置存储位置的术语是什么?A、数据隐私权。B、数据主权。C、数据仓库。D、数据主体权利。答案：B124.

什么是未安装电涌保护器的补偿控制?A、有双线连接到该站点的网络服务提供商。B、为站点提供热灾难恢复(DR)环境。C、在站点的主动-主动集群中拥有网络设备。D、在现场安装备用柴油发电机。答案：B125.在设计内部安全控制评估时,以下哪一项被认为是第一步?A、根据对已知违规的全面了解制定计划。B、根据对组织基础设施的侦察制定计划。C、根据公认的已知控制框架制定计划。D、根据最近对相关系统的漏洞扫描制定计划。答案：B126.一位安全专家审查了最近的现场评估,并注意到建筑物二楼的服务器机房在地面上安装了供暖、通风和空调(HVAC)进风口,并安装了紫外线过滤器、Aero-KFire服务器机房内的灭火,以及服务器机房上方楼层的预行动灭火。安全专家可以推荐以下哪些更改来降低与这些情况相关的风险?A、拆下HVAC进气口上的紫外线过滤器,将上层的灭火系统更换为干式系统。B、通过在其上方建造增压室或外部竖井来提升HVAC进气口,并将服务器机房灭火转换为预作用系统。C、在HVAC进风和回风管道中添加额外的紫外线过滤器,并将服务器机房灭火改为FM-200D、在HVAC进气口周围应用额外的物理安全措施,并将上层灭火系统更新为FM-200答案：A127.安全软件开发生命周期(SDLC)期望应用程序代码以一致的方式编写,以便于审计,以下哪一项?A、保护。B、抄袭。C、增强。D、执行。答案：A128.首席信息官(CIO)已将系统安全责任委托给信息技术(IT)部门的负责人。虽然公司政策规定只有CIO才能对所需的数据保护级别做出决策,但技术实施决策则由IT部门负责人完成。以下哪项最能描述IT部门负责人担任的安全角色?A、系统安全官。B、系统处理器。C、系统管理员。D、系统分析师。答案：C129.为了执行安全审计,应存在以下哪项?A、审计员的中立性。B、审计的行业框架。C、外部(第三方)审计师。D、内部认证审计师。答案：B130..Wi-FiProtectedAccess2(WPA2)为用户提供更高级别的保证,即他们的数据将通过使用

哪种协议得到保护?A、可扩展身份验证协议(EAP)。B、互联网协议安全(IPsec)。C、安全套接层(SSL)。D、安全外壳(SSH)。答案：A131.旨在防止应用程序从不可执行的内存区域执行代码的操作系统(OS)功能有什么好处?A、确定系统上仍需要安装哪些安全补丁。B、降低多态病毒加密其有效载荷的风险。C、阻止内存驻留病毒传播其有效载荷。D、有助于防止某些将代码存储在缓冲区中的漏洞。答案：B132.依赖安全内容自动化协议(SCAP)的主要好处是什么?A、标准化软件安全产品之间的规范。B、使组织符合国际标准。C、提高脆弱性评估能力。D、为组织节省安全成本。答案：C133.以下哪项攻击如果成功,可以让入侵者完全控制软件定义网络(SDN)架构?A、对控制器的安全外壳(SSH)端口的暴力密码攻击。B、发送控制消息以打开不会从网络内受感染主机通过防火墙的流。C、远程验证拨入用户服务(RADIUS)令牌重放攻击。D、嗅探网络内受感染主机的流量。答案：A134.以下哪一项是全盘加密(FDE)漏洞的示例?A、设备上的数据无法从备份中恢复。B、设备上的数据无法备份。C、当用户对设备进行身份验证时,传输中的数据已被泄露。D、当用户对设备进行身份验证时,静态数据已被泄露。答案：D135.一个组织想要定义为物理边界。如果组织的周边必须经济高效地阻止临时闯入者,那么应该使用什么主要设备来实现这一目标?A、带有旋转栅门的三到四英尺高的栅栏。B、六到七英尺高的栅栏,带有彩绘的大门。C、由巡逻保安陪同的围栏。D、用三股带刺铁丝网围成八英尺或更高的栅栏。答案：D136.以下哪一项是减少系统网络攻击面的最佳选择?A、禁用不必要的端口和服务。B、确保系统上没有组帐户。C、卸载系统上的默认软件。D、删除不必要的系统用户帐户。答案：A137.应用程序开发人员收到来自安全团队的报告,显示他们的自动化工具能够成功地将意外数据输入组织的客户服务门户,导致网站崩溃。这是哪种类型的测试的示例?A、一场表演。B、积极的。C、无功能。D、否定的。答案：D138.最近在一个组织的网络上实施了使用挑战和响应的身份验证系统,因为该组织进行了年度渗透

测试,表明测试人员能够使用经过身份验证的凭据横向移动。最有可能使用哪种攻击方法来实现这一目标?A、哈希冲突。B、通票。C、蛮力。D、跨站脚本(XSS)。答案：B139.在数据丢失防护(DLP)计划中应考虑的第一步是什么?A、政策制定。B、信息权限管理(IRM)。C、数据分类。D、配置管理(CM)。答案：C140.以下哪项陈述最能描述云环境中的最小权限原则?A、单个云管理员配置为访问核心功能。B、检查所有传入和传出数据包的Internet流量。C、路由配置会定期更新为最新的路由。D、如果不需要访问互联网,则网段保持私有。答案：D141.以下哪项描述了维护组织内软件和硬件库存的最佳方法?A、通过资产所有者访谈、开源系统管理和开源管理工具的组合来维护库存。B、通过桌面配置、行政管理和采购管理工具的组合来维护库存。C、内部存储配置、云管理和合作伙伴管理工具的组合来维护库存。D、通过系统配置、网络管理和许可证管理工具的组合来维护库存。答案：D142.哪种访问控制方法基于用户对系统资源发出访问请求、分配给这些资源的功能、操作或情境上下文以及根据这些功能和上下文指定的一组策略?A、强制访问控制(MAC)。B、基于属性的访问控制(ABAC)。C、基于角色的访问控制(RBAC)。D、自主访问控制(DAC)。答案：B143.

应用程序开发人员应该从软件定义网络(SDN)的北向应用程序编程接口(API)中获得哪些三个关键优势?A、网络语法、网络流的抽象、网络协议的抽象。B、网络语法、网络命令抽象和网络协议抽象。C、熟悉的语法、网络拓扑的抽象和网络协议的定义。D、熟悉的语法、网络拓扑的抽象、网络协议的抽象。答案：A144.以下哪个部门发起请求、批准和开通业务流程?A、运营。B、安全。C、人力资源(HR)。D、信息技术(IT)。答案：A145.查看安全日志时,显示的管理登录事件密码为'OR''1'='1'--。这是以下哪种攻击的示例?A、结构化查询语言(SQL)注入。B、蛮力攻击。C、彩虹桌攻击。D、跨站脚本(XSS)。答案：A146.在设计业务连续性计划(BCP)时,确定最大可容忍停机时间(MTD)的公式是什么?A、估计最大损失(EML)+恢复时间目标(RTO)。B、业务影响分析(BIA)+恢复点目标(RPO)。C、年损失预期(ALE)+工作恢复时间(WRT)。D、恢复时间目标(RTO)+工作恢复时间(WRT)。答案：D147.员工的家庭住址应根据以下哪个参考进行分类?A、员工签署的同意书条款和条件。B、人力资源的组织安全计划。C、现有员工数据分类。D、组织的数据分类模型。答案：D148.进行业务影响分析(BIA)的主要目的是什么?A、确定修复受损信息系统的成本。B、确定恢复业务关键操作所需的控制。C、确定在指定时间段内从事件中恢复所需的关键资源。D、确定关键任务信息系统故障对核心业务流程的影响。答案：D149.评估所购软件的安全影响的最佳方法是什么?A、威胁建模。B、常见漏洞审查。C、软件安全合规性验证。D、供应商评估。答案：A150.一项违规调查发现,一个网站被一个开源组件利用。可以防止这种违规行为的流程中的第一步是什么?A、应用程序白名单。B、漏洞修复。C、Web应用防火墙(WAF)。D、软件清单。答案：C151.以下哪项是最常用的内存保护方法?A、纠错。B、虚拟局域网(VLAN)标记。C、细分。D、划分。答案：C152.信息安全专业人员会使用以下哪项来识别内容更改,尤其是未经授权的更改?A、文件完整性检查器。B、安全信息和事件管理(SIEM)系统。C、审计日志。D、入侵检测系统(IDS)。答案：B153.一个组织实施了密码复杂性和帐户锁定策略,在十分钟内强制执行五次不正确的登录尝试。网

络用户报告说帐户锁定显着增加。该公司影响以下哪些安全原则?A、保密。B、诚信。C、可用性。D、认证。答案：C154.以下哪项是在虚拟系统上实现多个服务器的最佳方法?A、每个虚拟服务器实现一个主要功能,并为每个虚拟服务器应用单独的安全配置。B、在同一个虚拟服务器中实现多个功能,并对每个功能应用单独的安全配置。C、每个虚拟服务器实现一个主要功能,并在主机操作系统上应用高安全配置。D、每个虚拟服务器实现多个功能,并为每个虚拟服务器应用相同的安全配置。答案：A155.在测试期间,通知上级组织、执法部门和计算机事件响应团队的要求记录在哪里?A、安全评估报告(SAR)。B、安全评估计划。C、单元测试结果。D、系统集成计划。答案：A156.以下哪一项是Bell-LaPadula模型的局限性?A、职责分离(SoD)难以实施,因为“禁止阅读”规则限制了对象访问更高分类信息的能力。B、强制访问控制(MAC)在所有级别强制执行,因此无法实施自主访问控制(DAC)。C、它不包含更改数据访问控制的规定或政策,并且仅适用于本质上是静态的访问系统。D、它优先考虑完整性而不是机密性,这可能导致无意的信息泄露。答案：C157.一个组织计划购买一个商业现货(COTS)系统来替换他们老化的自制报告系统。组织的安全团队应该在什么时候首先参与此次收购的生命周期?A、当系统被验证和验证时。B、当表达了对系统的需求并且记录了系统的目的时。C、当系统部署到生产中时。D、当系统被设计、购买、编程、开发或以其他方式建造时。答案：B158.以下哪项法规规定了如何处理数据泄露?A、支付卡行业数据安全标准(PCI-DSS)。B、美国国家标准与技术研究院(NIST)。C、萨班斯-奥克斯利法案(SOX)。D、通用数据保护条例(GDPR)。答案：D159.组织与顾问签订合同,对其内部安全控制执行系统组织控制(SOC)2审计。审核员记录与执行与系统范围或目标不一致的操作的应用程序编程接口(API)相关的发现。哪种信任服务原则最适用于这种情况?A、保密。B、处理完整性。C、安全。D、可用性。答案：B160.公司没有正式的数据销毁政策。这将在刑事法律程序的哪个阶段产生最大影响?A、量刑。B、审判。C、发现。D、传讯。答案：C161.何时必须审查组织的信息安全战略计划?A、每当业务发生重大变化时。B、每季度更新一次组织的战略计划。C、每三年更新一次组织的战略计划。D、每当主要应用程序发生重大变化时。答案：A162.最近,一个未知事件破坏了跨越两个地理位置不同的数据中心的单个第2层网络。网络工程师已请求帮助确定事件的根本原因。以下哪项是最可能的原因?A、蓝精灵攻击。B、配置错误的路由协议。C、广播域太大。D、地址欺骗。答案：D163.Web开发人员正在将应用程序发布到生产环境之前完成新的Web应用程序安全检查表。禁用不必要的服务的任务在清单上。此操作正在缓解哪个Web应用程序威胁?A、会话劫持。B、安全配置错误。C、损坏的访问控制。D、敏感数据暴露。答案：B164.在处理安全事件的后果时,以下哪些安全控制措施最合适?A、侦查和恢复控制。B、纠正和恢复控制。C、预防和纠正控制。D、恢复和主动控制。答案：B165.以下哪一项是分配给管理企业数据湖的数据管理员的主要职责?A、确保企业数据湖中收集和存储的数据的正确业务定义、价值和使用。B、确保对企业数据湖应用足够的安全控制。C、确保存储在企业数据湖中的每个数据元素具有适当且可识别的数据所有者。D、确保在remit内传递的任何数据都按照业务规则和规定使用。答案：A166.以下哪项陈述最能区分有状态数据包检测防火墙和无状态数据包过滤防火墙?A、SPI逐个数据包地检查流量。B、SPI检查传输控制协议(TCP)和用户数据报协议(UDP)数据包的标志。C、SPI能够根据预定义的规则集丢弃数据包。D、SPI检查会话上下文中的流量。答案：D167.假设个人已采取所有步骤来保持其互联网连接的私密性,那么以下哪项是最好的私密浏览网络?A、在个人设备上存储有关浏览活动的信息。B、防止有关浏览活动的信息存储在个人设备上。C、防止有关浏览活动的信息存储在云中。D、将浏览活动存储在云端。答案：C168.在实施基于云的应用程序时,以下哪些安全工具将确保将授权数据发送到应用程序?A、基于主机的入侵防御系统(HIPS)。B、访问控制列表(ACL)。C、数据丢失防护(DLP)。D、文件完整性监控(FIM)。答案：C169.犯罪组织正计划对政府网络发起攻击。以下哪种情况会给组织带来最高风险?A、组织失去对其网络设备的控制。B、网络被攻击者的通信流量淹没。C、网络管理通信中断。D、攻击者访问有关网络拓扑的敏感信息。答案：A170.以下哪项是确定补丁管理过程成功与否的最佳方法?A、变更管理。B、配置管理(CM)。C、分析和影响评估。D、审计和评估。答案：C171.进行安全评估最重要的目标是什么?A、使安全计划与组织的风险偏好保持一致。B、向高级管理层展示安全控制和流程的适当功能。C、使组织为外部审计做好准备,尤其是监管实体的审计。D、发现未缓解的安全漏洞,并提出缓解这些漏洞的途径。答案：B172.在为组织制定信息安全控制措施时,以下哪项最重要?A、在组织中使用行业标准最佳实践进行安全控制。B、对所有风险管理信息进行尽职调查,以调整适当的控制。C、查看所有当地和国际标准,并根据地点选择最严格的标准。D、进行风险评估并选择解决现有差距的标准。答案：C173..以下哪项根据基础设施层的状态确定流量应如何流动?A、控制平面。B、应用平面。C、交通飞机。D、数据平面。答案：A174.以下哪一项是数据所有者在实施数据保留政策之前应首先考虑的要求?A、存储e.B、培训。C、法律。D、商业。答案：C175.分析可执行文件时,静态分析的目的是什么?A、搜索与可执行文件关联的文档和文件。B、分析文件在文件系统中的位置和可执行文件的库。C、收集可执行文件使用的证据,包括创建日期和最后使用日期。D、反汇编文件以收集有关可执行文件功能的信息。答案：D176.以下哪个是日志审查、综合事务和代码审查的常用术语?A、应用程序开发。B、螺旋式开发功能测试。C、安全控制测试。D、DevOps集成产品团队(IPT)开发。答案：C177.安全从业人员检测到对组织网络的端点攻击。减轻未来端点攻击的最合理方法是什么?A、从网络中删除所有非必要的客户端Web服务。B、在部署之前强化客户端映像。C、在实施之前筛选客户端服务的有害利用。D、在外围阻止所有客户端Web攻击。答案：C178.

在IDEAL加密系统中,谁可以单独访问解密密钥?A、数据保管人。B、系统所有者。C、系统管理员。D、数据所有者。答案：D179.信息安全从业人员正在实施新的防火墙。以下哪种故障方法在发生故障时最能优先考虑安全性?A、故障转移。B、失败关闭。C、故障安全。D、失效打开。答案：B180.在审核软件开发生命周期(SDLC)时,以下哪个是高级审核阶段之一?A、规划。B、风险评估。C、尽职调查。D、要求。答案：D181.使用带有身份验证标头(AH)的虚拟专用网络(VPN)时提供以下哪项保护?A、发件人不可否认性。B、多因素身份验证(MFA)。C、有效载荷加密。D、发件人保密。答案：A182.组织希望确保所有新用户在创建时都应用了预定义的部门访问模板。该组织还希望在每个项目的基础上授予用户额外的访问权限。哪种类型的用户访问管理最适合满足组织的需求?A、去中心化。B、混合。C、集中式。D、联合的。答案：B183.物理屏障、卡和个人识别码(PIN)访问系统、摄像头、警报器和保安人员的存在最好地描述这种安全方法?A、访问控制。B、安全信息和事件管理(SIEM)。C、纵深防御。D、安全边界。答案：D184.在多租户云环境中,什么方法可以保护对资产的逻辑访问?A、受控配置管理(CM)。B、管理访问的透明度/可审计性。C、虚拟私有云(VPC)。D、混合云。答案：C185.以下哪项最好地描述了边界网关协议(BGP)的用途?A、向相邻的第3层设备提供路由信息协议(RIP)第2版通告。B、维护互联网路由器之间的网络路径列表。C、为支持云的应用程序提供防火墙服务。D、维护自治系统之间的有效网络路径列表。答案：D186.安全架构师正在设计和实施一个内部证书颁发机构来为所有员工生成数字证书。以下哪项是安全存储私钥的最佳解决方案?A、物理安全的存储设备。B、可信平台模块(TPM)。C、加密闪存驱动器。D、公钥基础设施(PKI)。答案：D187.以下哪项是安全控制波动性?A、提及安全控制的影响。B、提及安全控制发生变化的可能性。C、提及安全控制的不可预测性。D、对安全控制稳定性的参考。答案：B188.安全架构师正在审查恢复点目标(RPO)为15分钟的应用程序的计划。当前的设计将所有应用程序基础设施都放在一个托管数据中心内。架构师目前正在评估哪种安全原则?A、灾难恢复(DR)。B、可用性。C、冗余。D、业务连续性(BC)。答案：B189.以下关于SecureShell(SSH)的说法正确的是?A、SSH支持端口转发,可用于保护安全性较低的协议。B、SSH不能防止中间人(MITM)攻击。C、SSH很容易部署,因为它只需要一个Web浏览器。D、SSH几乎可以用于任何应用程序,因为它与维护电路有关。答案：A190.当网络管理外包给第三方时,以下哪项是保护关键数据资产最有效的方法?A、确认已签署保密协议。B、采用强大的访问控制C、记录与敏感系统相关的所有活动。D、提供安全策略的链接。答案：B191.以下哪一项是域名系统(DNS)设计中的主要安全漏洞?A、每个DNS服务器都必须保存根服务器的地址。B、DNS服务器可以在拒绝服务(DoS)攻击中被禁用。C、DNS服务器不验证信息源。D、DNS服务器数据库可以注入伪造的校验和。答案：C192.在测试工业控制系统(ICS)的安全漏洞时,主要考虑什么?A、ICS通常在UNIX操作系统上运行。B、ICS通常没有可用性要求。C、ICS通常对意外流量很敏感。D、ICS通常是孤立的,难以访问。答案：C193.什么样的测试技术使设计人员能够针对潜在漏洞制定缓解策略?A、源代码审查。B、威胁建模。C、渗透测试。D、人工检查和审查。答案：B194.以下哪一项是新产品的安全设计原则?A、限制使用模块化。B、不要依赖以前使用过的代码。C、建立适当级别的容错能力。D、尽可能使用混淆。答案：C195.限制对计算系统上文件系统的访问的最佳方法是什么?A、在每个级别使用最低权限来限制访问。B、限制所有用户的访问。C、允许用户组限制访问。D、使用第三方工具限制访问。答案：A196.以下哪项关于信息资产的陈述最准确?A、国际标准化组织(ISO)27001合规性规定了哪些信息资产必须包含在资产清单中。B、信息资产包括对组织有价值的任何信息。C、建立信息资产登记册是一项资源密集型工作。D、风险评估不需要信息资产清单。答案：B197.已指派安全专家来评估Web应用程序。评估报告建议切换到安全断言标记语言(SAML)。切换到SAML的主要安全优势是什么?A、它为Web应用程序启用单点登录(SSO)。B、它使用传输层安全性(TLS)来解决机密性问题。C、它限制了Web表单上不必要的数据输入。D、用户的密码在认证过程中没有通过。答案：D198.

什么最好地描述了机密性、完整性、可用性三元组?A、漏洞评估以了解组织数据的保护情况。B、确定组织风险级别的三步法。C、实施保护组织数据的安全系统。D、用于帮助了解如何保护组织数据的工具。答案：C199.当怀疑两个组织之间存在恶意行为时,适用什么类型的调查?A、监管。B、可操作的。C、民事。D、犯罪。答案：C200.哪种算法从在有限域中计算离散对数的困难中获得了安全性,并用于分发密钥,但不能用于加密或解密消息?A、Kerberos。B、数字签名算法(DSA)。C、迪菲-赫尔曼。D、Rivest-Shamir-Adleman(RSA)。答案：C201.如果广域网(WAN)支持诸如Internet协议语音(VoIP)之类的融合应用程序,那么以下哪一项对于网络的保障更为重要?A、边界路由。B、无类域间路由(CIDR)。C、互联网协议(IP)路由查找。D、确定性路由g.答案：C202.移动设备最常见的安全风险是什么?A、数据欺骗。B、恶意软件感染。C、不安全的通信链路。D、数据泄露。答案：D203.灾难恢复(DR)过程应始终包括:A、定期库存审查。B、财务数据分析。C、计划维护。D、定期供应商审查。答案：C204.一家医院允许远程数据库开发人员访问虚拟专用网络(VPN)。在审核内部配置后,网络管理员发现启用了拆分隧道。这个配置有什么问题?A、网络入侵检测系统(NIDS)将无法检查安全套接字层(SSL)流量。B、远程会话不需要多层认证。C、允许远程客户端与公共和专用网络交换流量。D、在特定情况下可以利用多个Internet协议安全(IPSec)隧道。答案：C205.一家大型组织的人力资源和安全团队正计划实施技术以消除手动用户访问审查并提高合规性。以下哪个选项最有可能解决与用户访问相关的问题?A、实施特权访问管理(PAM)系统。B、实施基于角色的访问控制(RBAC)系统。C、实施身份和访问管理(IAM)平台。D、实施单点登录(SSO)平台。答案：C206.用户可以访问标有“财务预测”的文件,但仅限于周一至周五上午9:00至下午5:00之间。应该使用哪种类型的访问机制来实现这一点?A、最小访问控制。B、有限的基于角色的访问控制(RBAC)。C、访问控制列表(ACL)。D、基于规则的访问控制。答案：D207.在设计信息物理系统(CPS)时,安全从业人员应首先考虑以下哪项?A、检测老练的攻击者。B、用于系统的网络拓扑。C、系统风险评估。D、系统的弹性。答案：D208.通知安全团队网络上的设备感染了恶意软件。以下哪项在使设备能够快速定位和修复方面最有效?A、数据丢失保护(DLP)。B、入侵检测。C、漏洞扫描器r。D、信息技术资产管理(ITAM)。答案：D209.一个组织希望通过Internet与其合作伙伴安全地共享数据。通常使用哪个标准端口来满足此要求?A、在用户数据报协议(UDP)端口69上设置服务器B、在传输控制协议(TCP)端口21上设置服务器C、在传输控制协议(TCP)端口22上设置服务器D、在传输控制协议(TCP)端口80上设置服务器答案：C210.从安全运营的角度来看,以下哪些外包协议条款具有最高优先级?A、防止使用分包商的条件。B、发生灾难时重新谈判合同的条款。C、应用程序性能问题的根本原因分析。D、事件期间问题解决的升级流程。答案：D211.国防工业中的一家公司已被指示遵守对政府客户的受控非机密信息(CUI)加密的合同要求。什么加密策略代表了如何以最有效和最具成本效益的方式保护静态数据?A、执行节目信息的逻辑分离,在后端磁盘系统中使用具有加密管理的虚拟化存储解决方案。B、执行程序信息的逻辑分离,在虚拟化层使用内置加密的虚拟化存储解决方案。C、对程序信息进行物理分离,只加密国防客户认为关键的信息。D、在整个存储区域网络(SAN)中实施静态数据加密。答案：D212.强制访问控制(MAC)有什么用?A、允许基于敏感度的强制性用户身份和密码。B、允许强制系统管理员对对象进行访问控制。C、允许标记敏感用户帐户以进行访问控制。D、允许基于标签表示的敏感度的对象安全性。答案：D213..对于已经获得网络访问权并试图转向其他资源的黑客,最有效的反应是什么?A、警告用户违规。B、重置所有密码。C、分割网络。D、关闭网络。答案：C214.实施安全程序时,最合适的文档层次结构是什么?A、方针、组织原则、标准、方针。B、标准、政策、组织原则、指南。C、组织原则、方针、标准、方针。D、组织原则、方针、政策、标准。答案：C215.一家决定迁移到云的公司的首席信息安全官(CISO)的任务是确保最佳的安全级别。以下哪一项是首要考虑因素?A、分析公司的应用程序和数据库以确定相关的控制要求。B、要求独立第三方完成对云供应商的安全风险评估。C、定义云迁移路线图并确定应将哪些应用程序和数据存储库迁移到云中。D、确保云供应商与公司之间的合同明确规定了运营安全控制的责任。答案：C216.安全设计过程在系统开发生命周期(SDLC)内确保以下哪一项?A、适当地启动适当的安全控制、安全目标和安全目标。B、正确进行安全目标、安全目标和系统测试。C、正确执行适当的安全控制、安全目标和故障缓解。D、正确启动安全目标、适当的安全控制和验证。答案：A217.什么类型的风险与组织中进行的增值和管理活动的顺序相关?A、控制风险。B、需求风险。C、供应风险。D、过程风险。答案：D218.确保物理周边保护的最佳设计是什么?A、闭路电视(CCTV)。B、业务连续性计划(BCP)。C、屏障、栅栏、大门和墙壁。D、通过环境设计预防犯罪(CPTED)。答案：D219.软件开发人员希望编写能够安全且仅按预期执行的代码。以下哪种编程语言类型最有可能实现这一目标?A、弱类型。B、动态类型。C、强类型。D、静态类型。答案：C220.企业正在制定其供应商在获得合同之前必须满足的基线网络安全标准。以下关于基线网络安全标准的陈述中哪一项是正确的?A、应表述为一般要求。B、应表述为技术要求。C、应该用商业术语来表达。D、应该用法律术语来表达。答案：B221.员工培训、风险管理和数据处理程序和政策可以被描述为哪种类型的安全措施?A、预防性的。B、管理。C、非必要的。D、行政。答案：D222.首席信息安全官(CISO)要求具有身份和访问管理(IAM)职责的系统安全专家(CISSP)对Web应用程序执行漏洞评估,以通过支付卡行业(PCI)审核。CISSP以前从未这样做过。根据(ISC)职业道德准则,CISSP应执行以下哪项?A、通知CISO他们无法执行任务,因为他们应该只提供他们完全胜任和合格的服务。B、由于他们是CISSP认证的,他们有足够的知识来协助请求,但需要帮助才能及时完成。C、在继续完成之前查看执行漏洞评估的CISSP指南。D、在执行漏洞评估之前查看PCI要求。答案：A223.在季度系统访问审查中,发现了一个在生产系统的先前审查中不存在的活动特权帐户。该帐户是在上次访问审核后一小时创建的。除了季度访问审查之外,以下哪一项是降低总体风险的最佳选择?A、实施双年度审查。B、创建系统访问策略。C、实施和审查基于风险的警报。D、提高日志记录级别。答案：B224.以下哪项最适合收集零日攻击的证据?A、蜜罐。B、反垃圾邮件。C、防病毒。D、防火墙。答案：A225.路由器上的访问控制列表(ACL)是最类似于哪种类型的防火墙的功能?A、状态防火墙。B、包过滤防火墙。C、应用网关防火墙。D、启发式防火墙。答案：B226.

为安全意识、培训和教育计划创建和报告指标的主要目的是什么?A、衡量项目对组织员工的影响。B、让所有利益相关者了解项目的进展。C、促进对定期培训活动的监督。D、遵守法律法规并记录安全实践中的尽职调查。答案：A227.以下哪个示例最适合最小化客户私人信息的攻击面?A、数据屏蔽。B、认证。C、混淆。D、收集限制。答案：D228.以下哪一项是支持数字签名文档的不可否认性所需的主要加密类型?A、散列。B、消息摘要(MD)。C、对称的。D、不对称。答案：D229.什么级别的独立磁盘冗余阵列(RAID)主要配置用于高性能数据读取和写入?A、RAID-0。B、RAID-1。C、RAID-5。D、RAID-6。答案：A230.以下哪一项是在设施内安装捕鼠器的主要目的?A、控制交通。B、控制气流。C、防止捎带。D、防止快速移动。答案：C231.以下哪种攻击类型可用于破坏传输过程中的数据完整性?A、同步泛洪。B、会话劫持。C、键盘记录。D、数据包嗅探。答案：B232.以下哪一项最能保护用于紧急维护的供应商帐户?A、应在需要时禁用供应商访问。B、经常监控供应商访问。C、基于角色的访问控制(RBAC)。D、路由表的加密。答案：C233.在制定组织的信息安全预算时,重要的是:A、请求的资金与预期的违规成本相等。B、预期风险可以通过分配的资金进行适当的管理。C、申请的资金是与其他领域共享资金池的一部分。D、对组织的预期风险不超过分配的资金。答案：B234.在进行有可能采取法律行动的调查时,分析师的首要考虑是什么?A、数据解密。B、监管链。C、授权收集。D、法院可受理性。答案：B235.在允许Web应用程序进入生产环境之前,安全从业人员执行多种类型的测试以确认Web应用程序按预期执行。为了测试用户名字段,安全从业人员创建了一个测试,在该字段中输入的字符数超过了允许的字符数。以下哪项最好描述了所执行的测试类型?A、误用案例测试。B、接口测试。C、Web会话测试。D、渗透测试。答案：A236.一家公司正在从V模型转向敏捷开发。信息安全部门如何最好地确保在新方法中实施安全设计原则?A、信息安全要求包含在强制性用户故事中。B、所有开发人员都接受强制性的针对性信息安全培训。C、信息安全部门在每个sprint之后进行信息安全评估。D、新模型的非金融信息安全要求仍然是强制性的。答案：A237.一名新员工正式向组织安全团队报告了可疑行为。该报告声称,与该组织无关的人正在询问该成员的工作地点、工作年限和建筑物访问控制。员工的报告最有可能是以下哪项的结果?A、安全工程。B、安全意识。C、网络钓鱼。D、风险规避。答案：B238.一个组织正在使用对称密码实施数据加密,首席信息官(CIO)担心使用一个密钥来保护所有敏感数据的风险。安全从业人员的任务是推荐解决CIO顾虑的解决方案。以下哪一项是通过加密所有敏感数据来实现目标的最佳方法?A、使用安全散列算法256(SHA-256)。B、使用Rivest-Shamir-Adleman(RSA)密钥。C、使用加密密钥的层次结构。D、使用散列消息验证码(HMAC)密钥。