2014年国内培训班cissp认证模拟试卷及答案中文

2014CISSP（附参考答案在学的Kerchhoff假设中，系统的安全性仅依赖 通过对称算法进行安全消息传输的必要条件是 C．明文和密钥的每个bit异或AES在抵抗差分分析及线性分析的能力比DES更有效，已经替代DES成为新的数据加密标准。其算法的信息块长度和加密密钥是可变的，以下Alice有一个消息M通过密钥K2生成一个密文E（K2，M）然后用K1生成一个MAC为C（K1，E（K2，M）），Alice将密文和MAC发送给Bob，Bob用密钥K1和密文生成一个MAC并和Alice的MAC比较，假如相同再用K2解密Alice发送的密文，这个过程可以提供什么安全服务？仅提供PKI在验证一个数字时需要查 ，来确认该是否已经作废A．主要是使用对称密钥体制和X509数字技术保护信息传输的性和完C．主要适用于点对点之间的信息传输，常用WebServer方式D．包含三个主要协议：AH、EE用户在网络上共享了自己编写的一份Office用户使用加密对自己编写的Office文档进行加密，以其他人得到下列对Kerberos协议特点描述不正确的是：C．只要用户拿到了TGT并且该TGTTGT通过TGS完D．AS和TGSAS和TGS的性能和安全TACACS+协议提供了下列哪一种控制机制强制控自主控分布 控集中 控可以吸引或转移者的注意力，延缓他们对真正目标吸引者来、，同时不被觉察地将者的活动记录下可以进 检测和 可以对活动进行监视、检测和分 UDP需要使 下面对WAPI描述不正确的是：A．安全机制由WAI和WPI两部分组成B．WAI实现对用户的鉴别C．WPI实现对传输的数据加密D．WAI实现对传输的数据加密通常在设计VLAN时，以下哪一项不是VLAN的规划的方法？ 某个客户的网络现在可以正常Internet互联网，共有200台终端PC但此客户从ISP（互联网络服务提供商）里只获得了16个公有的IPv4地址，最多也只有16台PC可以互联网，要想让全部200台终端PCInternet互花的钱向ISP申请的IP地址路由器的标准控制列表以什么作为判别条C．数据包的端桥接或透明模式是目前比较流行的部署方式这种方式的优点不包括易于 上实现下面哪一项是对IDS的正确描述？统产生的误下列哪些选项不属于NIDS的常见技术？D．IP碎片从重组以下关于Linux超级权限的说明，不正确的是A．一般情况下，为了系统安全，对于一般常规级别的应用，不需要root用户普通用户可以通过su和sudo来获得系统的超级权限C．对系统日志的管理，添加和删除用户等管理工作，必须以root用户登录才D．root是系统的超级用户，无论是否为文件和程序的所有者都具有权Linux系统对文件的权限是以模式位的形式来表示，对于文件名为test的一个文件，属于admin组中user用户，以下哪个是该文件正确的模式表示？Windows系统下，哪项不是有效进行共享安全的防护措施？A．使用netshare\\\c$/delete命令，删除系统中的c$等管理共享，B．确保所有的共享都有高强度的防C．通过“空会话”连接以的方式列举用户、群组、系统配置和表 的连以下对Windows账号的描述，正确的是：A．Windows系统是采用SID（安全标识符）来标识用户对文件或文件夹的权B．Windows系统是采用用户名来标识用户对文件或文件夹的权限C．Windows系统默认会生成administrator和guest两个账号，两个账号都D．Windows系统默认生成administrator和guest两个账号，两个账号都以下哪一项不是IIS服务器支持的控制过渡类型网络地址控Web服务器C．NTFSDBMS提出一组完整性规在数据库安全性控制中，的数据对 ，子系统就越灵活专门负责数据库管理和的计算机系统称为ApacheWeb服务器的配置文件一般位于/usr/local/apache/conf 一种基于RSA的邮件加密一种基于白的反邮基于SSL 技加密技术 代码自身保护的重要机加密技术可以保证代码不被发加密技术可以保证代码不被破代码反技术描述正确的是反技术可以减少被发现的可能反技术可以避免所有杀毒的查反技术可以避免代码被清下列关于计算机能力的说法不正确的是 B．用C．操过程是SQL语句的一个集合在一个名称下按独立单元方式执行。A．使用标准的C语言字符串库进行操作以下哪个问题不是导致DNS的原因之一A．DNS是一个分布式的系统B．为提高效率，DNS查询信息在系统中会缓存C．DNSD．DNS协议是缺乏严格的认证以下哪个是ARP可能导致的A．ARP可直接获得目标主机的控制 可导致目标主机无 网 可导致目标主机的系 可导致目标主机无 网D．ARP可导致目标主机死以下哪个步骤是IP（IPSpoof）系列中最关键和难度最高的？中间 B．Smurf中间 B．DNS记录C．whois数据库D．MIBs库下面哪一项不是在信息收集阶段使用的工具或命令 C．测试方案和应当成为开发项目文档的主要部分被妥善的保D．测试不仅应关注需要的功能是否可以被实现，还要注意是否有不需以下哪个不是SDL的思想之一：B．SDL要将安全思想和意识嵌入到团队和企业文化C．SDL要实现安全的可度量性D．SDL是对传 开发过程的重要补充，用于完善传 开发中的不通过向被者发送大量的ICMP回应请求，消耗被者的资源来进行响A．LandB．SmurfC．ofDeathD．ICMPFlood以下哪种方法不能有效提高WLAN的安全性：修改默认的服务区标识符 广播启用终端与AP间的双向认证AP的开放认证模式以下哪项是对抗ARP有效段使用静态的ARP缓存在网络上ARP报文的发安装杀毒并更新到的Linux系统提高安全性以下关于ISO/IEC27001标准说法不正确的是： 全管理体系环境管理体系管理体系都采用了相同的方法即PDCA下列哪一项安全控制措施不是用来检测的信息处理活动的网络RAID级别如果窗户被修好，真正出现的可能性会增C．如果窗户没有被修好，真正出现的可能性会下降D．如果窗户没有被修好，真正出现的可能性会增加在对安全控制进行分析时，下面哪个描述是确的对风险评估要素理解正确的是信息系统的安全仅包括人为故意、人为非故以下哪一项不是建筑物的自动化审计系统记录的日志的内容说明对组织的重要程 要抱怨且为 以下中，谁负有决定信息分类级别的责任0针对某个特定的因子（E）是%，该的年度发生率（ARO）为每01（AL是多少？A．0B．62100元C．140000元D．6210元下列哪些内容应包含在信息系略计划中配置网络检测系统以检测某些类型的违法或误用行使用防，并且保持更新为的特征将所有公 的服务放在网络非军事区计算机取证只能由机构才能执行，以确保计算机取证必须获得机关的才可进行以确保原A．2级——计划 B．3级——充分定义C．4级——量化控制D．5级——持续改进虑安全因素，在IT项目的立项阶段，以下哪一项不是必须进行的工作：明确业务对的要某在量突然增加时对用户连接数量进行了限制保证己登录的用户可在提款过程中ATM终端发生故障，银行业务系统及时对该用户的帐户某系统具有严格的审计功能可以确定哪个管理员在何时对交换机进业无法查看常见系统包含的元素是B.明要，信道，加密算法，算法C.明文，密文，密钥，加密算法，算法D.消息，密文，信道，加密算法，算下列哪一项是虚拟网络 ）的安全功验证，控制隧道，和拨号在OSI参考模型中有7个层次，提供了相应的安全服务来加强信息系统的安B表示层以下哪个一项数据传输方式难以通过网络获取信息FTP传输文件NET进行管URL以HTTPS开头的网页内容经过TACACS+认证和后建立在Unix系统中输入命令“is一altest在Unix系统中，/etc/service文件记录T什么内容?B.决定inetdB.PGP(PrettygoodPrivacy)下列哪一项不属于Fuzz测试的特性主要针对或可靠性错误进采用大量测试用例进行-相应测利用构造畸形的输入数据被测试目标产生异下面哪一项安全控制措施不是用来检测的信息处理活动A设置网 时以下选项中哪一项是对于风险采取的纠正机A控BB D防系如果窗户被修好，真正的出现的可能性会增如果窗户被修好，真正的出现的可能性会保持不 真正的出现的可能性会增包 源 日志 活动等重要信B、针对信息系统的方式发生重大变C、风险控制技术得到性的发D、除了性，信息的完整性和可用性也引起了人们的关 完整性机制可以防范以下哪种A、源地址或用户的地址PPDR模型不包括：hash算法的碰撞是指:以下哪一项都不是PKI/CA要解决的问题:A、可用性、B、可用性、与控制以下关 说法正确的是A 指的是用户自己租用线路，和公共网络完 的、安全的线B 是用户通过公用网络建立的临时的安全的连接C 不能做到信息验证和认 只能提供认证、不能提供加密数据的功下面对控制技术描述最准确的是D、保证系统资源的下列对自主控制说法不正确的是A、自 控制允许客体决定主体对该客体 权B、自主控制具有较好的灵活性扩展C、自主控制可以方便地调整安全策D、自主控制安全性不高，常用于商业系下列对常见强制控制模型说法不正确的是A、BLP模型影响了许多其他控制模型的发B、Clark-WilsonC、ChineseWallD、BibaBLP在一个使用ChineseWall模型建立控制的信息系统中数据W和数据X趣域中，数据Y和数据Z在另一个信息域中，那么可以确定一个A、只有了W之后，才可以B、只 了W之后，才可 Y和Z中的一 Y和Z中的一个D、无论是否W，都不能Y或Z以下对Kerberos协议过程说法正确的是：A、协议可以分为两个步骤:一是用户鉴别；二是获取请求服B、协议可以分为两个步骤:一是获得票据票据；二是获取请求服服 票 AB、使用单点登录技术用户只需在登录时进行一次，就可以多个应在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服A2包含下列哪个协议标准的所有安全特性?下面哪项不是IDS的主要功能：A、和分析用户和系统活CA社会工程B窃C电子D电子下列哪一项不是的载体D业务数据资产，目标，事设备 资产 D以上都不对下面中不属于抵赖行为的是DD聘用 专业公司提 外包服某公司正在进行风险评估,在决定信息资产的分类与分级时,谁负D最终用户D系统开发和以下关于“最小”安全管理原则理解正确的是 完一个人有且仅有其执行岗位所足够 和权D以下哪一个是对“岗位轮换“这一安全管理原则的正确理解对重要的工作进行分解，分配给不同完一个人有且仅有其执行岗位所足够的和权DD运行状态当发现信息系统被时，以下哪一项是首先应该做的切断所有可能导 的通信线 行D与有关部门联系DA对的承受能力高C恢复时间目标(RTO)C恢复点目标(RPOD恢复点目标(RPO A、 、分 、synfloodB、 、 C、之、macf1ooding、D、IP源地址、ARP、CC型D 确保属于以前职责的权限被撤DIATF深度防御的三个层面不包括下列哪些描述同SSL相关？SSL协议比IPSEC协议的优势在于：能支撑的应用层协下面对于“电子邮件”的解释最准确的是社会工程 式，具 内容的邮在短时间内发送大量邮件 ，可以造成目标邮箱爆在应用层协议中 可使用传输层的TCP协议，又可用UDP协议不、依附不、独立 、依附 、独立某种的缺点是没有办法从非常细微之处来分析数据包但它的优点是C.会话层D.滤NAT对应用层协议进 隐藏地D.解决IP地址不足问题某单位想用对net协议令进行限制，应选在什么类型的防火应用技术D.NAT技术某单位通过进行互联网接入，口地址为，内网口地这种情况下工作模式为精确地判断行为是否成监测到针对其他服务器 行B.一般情况下对它无法防范 “TCPSYNPlooding”建立大量处于半连接状态的TCP连接，其目标 性，某系统被者，初步怀疑为管理员存在弱口令者从终端以，D.IIS日志统计数据，对大多数计算机系统来说，最大的是和商业HTTPS采 在ITPDR模型和P2DR模型采用了动态循环的机制实现系统保护、检测和响应。A、模型已入了动态时间基线，符合发展理CC标准是目前国际通行的技术产品安全性评价规范关于其先进C、它不仅考虑了性评估要求，还考虑