CISSP考试练习(习题卷32)

试卷科目：CISSP考试练习CISSP考试练习(习题卷32)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.Adevelopmentoperationsteamwouldliketostartbuildingnewapplicationsdelegatingthecybersecurityresponsibilityasmuchaspossibletotheserviceprovider.WhichofthefollowingenvironmentsBESTfitstheirneed?A)CloudVirtualMachines（VM）B)CloudapplicationcontainerwithinaVirtualMachine（VM）C)OnpremisesVirtualMachine（VM）D)Self-hostedVirtualMachine（VM）答案:A解析:[单选题]2.组织定期进行自己的渗透测试。为了使测试有效,必须涵盖以下哪些场景?Anorganizationregularlyconductsitsownpenetrationtests.WhichofthefollowingscenariosMUSTbecoveredforthetesttobeeffective?A)可以访问系统的内部攻击者InternalattackerwithaccesstothesystemB)内部用户意外访问数据InternaluseraccidentallyaccessingdataC)系统管理员访问遭到破坏SystemadministratoraccesscompromisedD)有权访问系统的第三方供应商Third-partyvendorwithaccesstothesystem答案:A解析:[单选题]3.以下哪项最好的防御已知明文攻击？A)加密前压缩B)加密后压缩C)加密前哈希D)机密后哈希答案:A解析:略章节：模拟考试202201[单选题]4.WhichofthefollowingisMOSTcriticalinacontractinacontractfordatadisposalonaharddrivewithathirdparty?在与第三方签订的硬盘数据处理合同中，以下哪项是最关键的？A)Authorizeddestructiontimes授权销毁时间B)Allowedunallocateddiskspace允许的未分配磁盘空间C)Amountofoverwritesrequired所需覆盖量D)Frequencyofrecoveredmedia恢复介质的频率答案:C解析:[单选题]5.当使用数据加密标准(DES)时,下列哪项是初始化向量的特征?A)它必须保留到最后一个块被传输。B)它可以作为一个随机数以明文形式传送。C)发送方和接收方都必须知道。D)它可以用来加密和解密信息答案:B解析:[单选题]6.您正在更新安全管理员的培训手册,并希望添加对零日漏洞利用的描述。以下哪一项最能描述零日漏洞?A)利用没有补丁或修复方法的漏洞的攻击B)一个新发现的没有补丁或修复的漏洞C)对没有可用补丁的系统的攻击D)在用户启动应用程序后传送其有效负载的恶意软件答案:A解析:[单选题]7.AuserdownloadsafilefromtheInternet,thenappliestheSecureHashAlgorithm3（SHA-3）?用户从Internet下载文件，然后应用安全哈希算法3（SHA-3）？A)Itverifiestheintegrityofthefile.它验证文件的完整性。B)Itchecksthefileformalware.它检查文件中是否有恶意软件。C)Itensurestheentirefiledownloaded.它确保下载整个文件。D)Itencryptstheentirefile.它对整个文件进行加密。答案:A解析:[单选题]8.如何确保SLA的质量得到保护？A)漏洞扫描B)定期评估C)渗透测试D)无需关注答案:B解析:略章节：模拟考试202201[单选题]9.如果部署了一台正常工作的IDS,下列哪组由于缺乏系统的审计最能够窃取敏感信息？A)恶意软件B)黑客或破坏者C)心怀不满的员工D)审计者答案:C解析:<p>Insiders(employees,contractors,etc.)canhaveaccesstoinformationthattheyshouldnotbeallowedtoandintheabsenceofauditing(logging)theiractionscangounnoticed.Encryptioncanprovidecontrolsoverunauthorizeddisclosure.Externalattacker(hackerorcracker)activityandmalwareusuallyraisealertsonintrusiondetectionsystems(IDS).Auditorsmayhavetheneedandauthorizationforthedisclosureofsensitiveinformationandthisaccessisoftenmonitored.</p>[单选题]10.相互认证的过程涉及计算机系统对用户进行身份验证和对A)用户对审核过程。B)计算机系统向用户。C)用户访问所有授权对象。D)计算机系统对审计过程。答案:B解析:[单选题]11.Elaine在她的组织使用的产品中发现了一个以前未知的严重漏洞。她的组织对道德披露有着坚定的承诺,Elaine希望遵循常见的道德披露实践。她首先应该做什么?Elainehasdiscoveredapreviouslyunknowncriticalvulnerabilityinaproductthatherorganizationuses.Herorganizationhasastrongcommitmenttoethicaldisclosure,andElainewantstofollowcommonethicaldisclosurepractices.Whatshouldshedofirst?A)建立内部修补或控制,然后公开披露漏洞,提示供应商快速修补Buildanin-houseremediationorcontrolandthenpubliclydisclosurethevulnerabilitytopromptthevendortopatchitquickly.B)建立内部修补或控制,然后将问题通知供应商Buildanin-houseremediationorcontrolandthennotifythevendoroftheissue.C)通知供应商并给他们合理的时间来解决问题Notifythevendorandgivethemareasonableamountoftimetofixtheissue.D)公开披露漏洞,以便供应商在适当的时间内对其进行修补Publiclydisclosethevulnerabilitysothatthevendorwillpatchitinanappropriateamountoftime.答案:C解析:道德(或负责任)披露规范包括通知供应商并为他们提供合理的时间来修补问题。在大多数情况下,在通知供应商之前或在短时间内公开披露被认为是不道德的。虽然这个时间框架各不相同,但由于软件和其他技术的复杂性,90到120天在整个行业中是常见的。[单选题]12.basedontheorganizationalsecuritypolicy.Theaccesscontrolsmaybebasedon?非自主访问控制。中央权威机构朴据组织的安全政策确定什么主体可以访问某些对象。访问控制可以基于?A)Thesocieties'roleintheorganization.在组织中的社会角色B)Theindividual'sroleintheorganization.在组织中个人的角色C)Thegroup-dynamicsastheyrelatetotheindividual'sroleintheorganization.群体动力,因为它们涉及到组织中的个人的角色D)Thegroup-dynamicsastheyrelatetothemaster-slaveroleintheorganization群体动力,因为答案:B解析:[单选题]13.下一个最好的决定了个体的适用性？A)职位等级或职称B)合伙关系与安全团队C)角色D)背景调查答案:D解析:<p>正确答案是?自由访问控制?。基于身份的访问控制是一种自由访问控制，根据用户的身份授予访问权限。A<br/>相关类型的自主访问控制是用户控制的访问控制，它赋予用户<br/>用户在一定的限制下更改对某些对象的访问控制的权利</p>[单选题]14.业务连续性计划(BCP)何时被视为有效?A)经业务连续性(BC)经理验证B)经董事会确认C)当它已被所有威胁情景验证时D)当它已经被实际练习所验证时答案:D解析:[单选题]15.选择保障，以下哪一项关于不是好标准？A)恢复恢复，不损坏资产的能力B)和操作识别符的胶带C)恢复恢复，权限设置为允许所有的能力D)资产比较的潜在资产损失与成本保障答案:C解析:<p>解释：正确答案是?从reset中恢复的能力<br/>设置为允许所有?。重置期间应将权限设置为全部拒绝。<br/></p>[单选题]16.(04059)Asecurityprofessionalhasbeenaskedtoplanandimplementaserverlogmanagementsolutionforalargenetworkwithmorethan1,000serversManagementrequiresrealtimealertingcapabilitiesandthatthelogmanagementsystemhandlethisbycontactingtheoncallsecurityadministratorWhichofthefollowingisthePRIMARYconcernwhenconfiguringrealtimealerts?一个安全专业人士被要求来规划和实施一个超过1,000台服务器的大型网络中的服务器日志管理解决方案。管理层要求具备实时的报警能力，日志管理系统会直接自动电话呼叫安全管理员。下面哪项是配置实时报警时主要的担心？A)Allsecurityrelatedeventsmustbeincluded.所有的安全相关事件都必须包括进来B)Allsecurityrelatedeventsmustbeincluded.所有的安全相关事件都必须包括进来C)Allsecurityrelatedeventsmustbeincluded.所有的安全相关事件都必须包括进来D)Allsecurityrelatedeventsmustbeincluded.所有的安全相关事件都必须包括进来答案:D解析:[单选题]17.以下哪一个不是数据加密标准(DES)的操作模式?A)CBCB)CFBC)OFBD)AES答案:D解析:DES(数据加密标准)的操作模式包括电子密码本(ECB)、密码块链接(CBC)、密码反馈(CFB)、输出反馈(OFB)和计数器(CTR)。高级加密标准(AES)是一个单独的加密算法。TheDESmodesofoperationareElectronicCodebook(ECB),CipherBlockChaining(CBC),CipherFeedback(CFB),OutputFeedback(OFB),andCounter(CTR).TheAdvancedEncryptionStandard(AES)isaseparateencryptionalgorithm.[单选题]18.为竞争原因，大船公司的客户会向称为"综合国际安全航运集装箱公司"(IISSCC)运送各种货物并保持他们的隐私性。llSSCC使用以Bell-LaPadula访问控制模型的为基础的安全数据库系统将这些信息进行保密。在此数据库中的不同信息分为不同级别。例如，一艘船出发的日期和时间标记解除保密，所以客户可以估计他们的货物什么时候到达。但船上的所有集装箱的内容被标记为绝密已保持不同托运人无从查看对方的货物。一个无良水果托运人，"私人水果出口商协会有限公司"(APFEL)想要学习竞争对手"好水果公司"(FIGCO)是否在S.S.邮轮太平洋"(S.S.CP)船上运载菠萝"。APFEL因为访问模型的缘故能读取IISSCC数据库中的最高机密内容。一个聪明的APFEL员工，试图在数据库中插入一条虚假的未标记的记录说FIGCO公司在S.S.CP船上运载菠萝，如果有己经有这样一条记录则插入操作则提示失败。但是该操作没有成功，因此APFEL公司不能确信FIGCO公司是否运载了菠萝。什么是这种安全控制模型的特性以阻止APFEL公司读取FIGCO公司的货物信息？那中安全数据库技术可以解释为什么当插入尝试成功时，APFEL公司仍然不能确信FIGCO公司运载了菠萝？A)*-属性和多态性B)强*-属性和多实例C)简单安全属性和多实例D)简单的安全属性和多态性答案:C解析:<p>TheSimpleSecurityPropertystatesthatasubjectatagivenclearancemaynotreadanobjectatahigherclassification,sounclassifiedAPFELcouldnotreadFIGCO'stopsecretcargoinformation.</p><p>Polyinstantiationpermitsadatabasetohavetworecordsthatareidenticalexceptfortheirclassifications(i.e.,theprimarykeyincludestheclassification).Thus,APFEL'snewunclassifiedrecorddidnotcollidewiththereal；topsecretrecord,soAPFELwasnotabletolearnaboutFIGspineapples.</p>[单选题]19.Whichreportingtyperequiresaserviceorganizationtodescribeitssystemanddefineitscontrolobjectivesandcontrolsthatarerelevanttousersinternalcontroloverfinancialreporting?哪种报告类型要求服务组织描述其系统并定义其控制目标和与用户财务报告内部控制相关的控制？A)StatementonAuditingStandards（SAS）70审计准则声明（SAS）70B)ServiceOrganizationControl1（SOC1）服务组织控制1（SOC1）C)ServiceOrganizationControl2（SOC2）服务组织控制2（SOC2）D)ServiceOrganizationControl3（SOC3）服务组织控制3（SOC3）答案:B解析:[单选题]20.(04086)AmultinationalorganizationhasrecentlyundergoneanexternalregulatoryauditTheorganizationhadnumeroussystemconfigurationauditfindingsatahigh-risklevelToverifythatthefindingsareaddressed,whatisitMOSTimportantthattheauditorsrequest?一个跨国组织最近要接受外部监管审计。该组织有多个系统配置的高风险审计发现。要验证这些发现是否得到解决，审计师要求的最重要的是？A)Executivelevelsupporttoremediatethefindings高层支持以修补这些发现B)Executivelevelsupporttoremediatethefindings高层支持以修补这些发现C)Executivelevelsupporttoremediatethefindings高层支持以修补这些发现D)Executivelevelsupporttoremediatethefindings高层支持以修补这些发现答案:B解析:[单选题]21.AnorganizationisrequiredtocomplywiththePaymentCardIndustryDataSecurityStandard（PCI-DSS）,whatistheMOSTeffectiveapproachtosafeguarddigitalandpapermediathatcontainscardholderdata?组织需要遵守支付卡行业数据安全标准（PCI-DSS），保护包含持卡人数据的数字和纸质媒体的最有效方法是什么？A)Useandregularityupdateantivirussoftware.使用并定期更新防病毒软件。B)Maintainstrictcontroloverstorageofmedia严格控制介质的存储C)Mandateencryptionofcardholderdata.授权对持卡人数据进行加密。D)Configurefirewallrulestoprotectthedata.配置防火墙规则以保护数据。答案:C解析:[单选题]22.Asecurityengineerisrequiredtointegratesecurityintoasoftwareprojectthatisimplementedbysmallgroupstestquickly,continuously,andindependentlydevelop,test,anddeploycodetothecloud.TheengineerwillMOSTlikelyintegratewithwhichsoftwaredevelopmentprocess'安全工程师需要将安全性集成到一个软件项目中，该项目由小组实施，快速、连续、独立地开发、测试代码并将其部署到云。工程师最有可能与哪个软件开发过程集成'A)Service-orientedarchitecture（SOA）面向服务的体系结构（SOA）B)SpiralMethodology旋转式C)StructuredWaterfallProgrammingDevelopment结构化瀑布式编程开发D)DevopsIntegratedProductTeam（IPT）Devops综合产品团队（IPT）答案:C解析:[单选题]23.在应用程序的运维过程中,建立软件组件的初始基线依赖于A)安全审计规程B)软件补丁规程C)配置控制规程D)应用监控规程答案:C解析:略章节：模拟考试202201[单选题]24.Lucca的经理不想为其组织的Web应用程序堆栈采用开源软件包。在考虑开源软件包时,最重要的软件安全优势是什么?Lucca?smanagerdoesnotwanttoadoptanopensourcesoftwarepackagefortheirorganization?swebapplicationstack.Whatsoftwaresecurityadvantageisthemostimportantwhenconsideringopensourcesoftwarepackages?A)代码未编译的事实ThefactthatthecodeisnotcompiledB)代码是免费的ThefactthecodeisfreeC)检查代码的能力TheabilitytoinspectthecodeD)更改代码的能力Theabilitytochangethecode答案:C解析:[单选题]25.ComputerforensicsrequireswhichofthefollowingMAINsteps?计算机取证需要以下哪些主要步骤？A)Announcetheincidenttoresponsiblesections,analyzethedata,assimilatethedataforcorrelation向责任部门宣布事件，分析数据，吸收数据进行关联B)Takeactiontocontainthedamage,announcetheincidenttoresponsiblesections,analyzethedata采取措施控制损失，向责任部门宣布事件，分析数据C)Acquirethedatawithoutaltering,authenticatetherecovereddata,analyzethedata在不更改的情况下获取数据，对恢复的数据进行身份验证，分析数据D)Accessthedatabeforedestruction,assimilatethedataforcorrelation,takeactiontocontainthedamage销毁前访问数据，同化数据以进行关联，采取措施控制损坏答案:B解析:[单选题]26.Whatwouldasignificantbenefitbefromconductinganunannouncedpenetrationtest?从哪里进行突然的渗透测试会有很大的益处?A)NetworksecuritywouldbeIna"beststale"posture网络安全被认为在最佳状态的情况下B)Thesecurityanalystcouldnotprovideanhonestanalysis安全分析师未提供一个诚实的分析C)Theanalystcouldprovideanhonest.unpreparedassessmentofthetargetnetwork.分析师可能会经供一个诚实的,毫无准盔的评估对目标网络D)ltisbesttocatchcriticalinfrastructureunpatched;最好在关纳是础设施未打应用补丁时答案:C解析:如果经理有理由相信他的IT或安全人员没有保持良好的安全状态,那么就有理由聘请外部分析师来执行评估。其想法是,如果员工有时间在备外部评估,他们将加强安全,并确保一切都准备好接受测试,这不显对他们的网络安全状况的准确评估。[单选题]27.(04091)WhichoneofthefollowingactionswouldBESTassistinthegatheringofinformationaboutthesecurityofequipmentinanarea?下面哪一个行动能够最好的协助收集一个区域里安全设备相关的信息？A)Implementout-of-hoursaccesscontrolstothearea.在区域内实施下班后的访问控制B)Implementout-of-hoursaccesscontrolstothearea.在区域内实施下班后的访问控制C)Implementout-of-hoursaccesscontrolstothearea.在区域内实施下班后的访问控制D)Implementout-of-hoursaccesscontrolstothearea.在区域内实施下班后的访问控制答案:C解析:[单选题]28.用户已经经过了身份验证，攻击者向用户发送了恶意攻击，从而造成用户信任站点收到损失。这是以下那种攻击方式？A)XSSB)CSRFC)暴力攻击D)DDOS答案:B解析:跨站请求伪造（英语：Cross-siterequestforgery），也被称为one-clickAttack或者sessionriding，通常缩写为CSRF或者XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS利用的是用户对指定网站的信任，CSRF利用的是网站对用户网页浏览器的信任。章节：模拟考试202201[单选题]29.在使用第三方基于云的应用程序和目录解决方案时，以下哪种方法最有效地管理用户帐户？A)云目录B)目录同步C)保证框架D)轻量级目录访问协议(LDAP)答案:B解析:云目录平台是为中小企业管理和保护针对云服务器基础设施等访问打造的解决方案。基于SaaS的托管目录服务通过LDAP协议集中用户管理，提供单点登录（SSO）、网络准入控制、多因素认证（MFA）等功能。对于企业已有账号体系的使用和管理这一老大难问题，管理员可以利用云目录平台搭建本地用户源、企业社交账号源的桥梁，将云目录服务快速连接到企业AD或LDAP用户源、钉钉、企业微信、飞书等[单选题]30.(04038)Whichofthefollowingdescribestherelationshipbetweentolerancetointerruptionofabusinessprocessandtheexpressionofvalueorcostinriskanalysis?下列哪项描述了业务流程中断的容忍度和风险分析中表达的价值或成本之间的关系？A)Ahightoleranceisdirectlyrelatedtothehighcostofthehardwareandsoftware.对中断的高容忍度与软硬件的高成本直接相关B)Ahightoleranceisdirectlyrelatedtothehighcostofthehardwareandsoftware.对中断的高容忍度与软硬件的高成本直接相关C)Ahightoleranceisdirectlyrelatedtothehighcostofthehardwareandsoftware.对中断的高容忍度与软硬件的高成本直接相关D)Ahightoleranceisdirectlyrelatedtothehighcostofthehardwareandsoftware.对中断的高容忍度与软硬件的高成本直接相关答案:C解析:[单选题]31.访问验证Web会话管理需要以下哪一项?A)日志时间戳B)实时会话流量C)会话状态变量D)测试脚本答案:C解析:[单选题]32.许多密码算法建立在大素数乘积难以被因式分解的基础上。就这道题具体而言，它们依靠的哪个特点？A)它包含扩散B)它包含混淆C)它是一个单向函数D)它符合科克霍夫原则答案:C解析:[单选题]33.(04014)WhichofthefollowingisnotanOSIarchitecture-definedbroadcategoryofsecuritystandards?下面哪项不是OSI架构定义的安全标准的广义类别之一？A)Securitytechniquesstandards安全技术标准B)Securitytechniquesstandards安全技术标准C)Securitytechniquesstandards安全技术标准D)Securitytechniquesstandards安全技术标准答案:D解析:[单选题]34.以下哪一项不涉及安全模型的构成原理A)级联B)反馈C)迭代D)连接答案:C解析:安全模型构成原理，级联，反馈，连接[单选题]35.适当的访问控制需要一个结构化用户供应流程。以下哪一项最恰当地描述了用户供应?A)对存在于一个或多个系统、目录或应用程序(响应业务流程)的用户客体和属性进行创建、维护和钝化。B)对存在于一个或多个系统、目录或应用程序(响应合规流程)的用户客体和属性进行创建、维护、激活和授权。C)对存在于一个或多个系统、目录或应用程序(响应业务流程)的用户客体和属性进行维护。D)对存在于一个或多个系统、目录或应用程序(响应业务流程)的用户客体和属性进行创建和钝化。答案:A解析:[单选题]36.以下哪一个是安全断言标记语言(SAML)的函数?A)文件分配B)冗余检查C)扩展验证D)政策执行答案:D解析:[单选题]37.以下列出的步骤中，哪一个不属于实施业务影响分析的步骤？A)为了数据收集选择个人进行约谈B)备用站点选择C)创建数据收集技术D)D．确定公司的关键业务功能答案:B解析:<p>SelectingandAlternateSitewouldnotbedonewithintheinitialBIA.ItwouldbedoneatalaterstageoftheBCPandDRPrecoveryeffort.AlloftheotherchoiceswerestepsthatwouldbeconductedduringtheBIA.SeebelowthelistofstepsthatwouldbedoneduringtheBIA.</p>[单选题]38.Aglobalorganizationwantstoimplementhardwaretokensaspartofamultifactorauthenticationsolutionforremoteaccess.ThePRIMARYadvantageofthisimplementationis一个全球性组织希望实现硬件令牌，作为远程访问多因素身份验证解决方案的一部分。此实现的主要优点是A)thescalabilityoftokenenrollment.令牌注册的可扩展性。B)increasedaccountabilityofendusers.加强最终用户的问责制。C)itprotectsagainstunauthorizedaccess.它可以防止未经授权的访问。D)itsimplifiesuseraccessadministration.它简化了用户访问管理。答案:C解析:[单选题]39.Whendealingwithshared,privilagedaccounts,especiallythoseforemergencies,whatistheBESTwaytoassurenon-repudiationoflogs?在处理共享的、私有的帐户，尤其是紧急情况下的帐户时，确保日志不可否认性的最佳方法是什么？A)Regularitychangethepasswords.定期更改密码。B)Implementapasswordvaultingsolution.实施密码保险存储解决方案。C)Lockpasswordsintamperproofenvelopesinasafe.将密码锁在保险箱中的防篡改信封中。D)Implementastrictaccesscontrolpolicy.实施严格的访问控制策略。答案:B解析:[单选题]40.法医专家如何排除在检查中,将居住在目标系统副本上的很大一部分操作系统文件排除在外?A)对有关媒体进行另一次备份,然后删除所有不相关的操作系统文件。B)创建具有相同操作系统和修补程序级别的系统中文件加密哈希的比较数据库。C)在驱动器图像上生成消息摘要(MD)或安全哈希,以检测正在检查的媒体的篡改情况。D)丢弃操作擦除系统的无害文件,以及已知已安装的程序。答案:B解析:[单选题]41.一个公司范围内的渗透测试结果显示:客户可以通过Web浏览器访问和读取文件。以下哪项可用于缓解此漏洞?Acompany-widepenetrationtestresultshowscustomerscouldaccessandreadfilesthroughawebbrowser.Whichofthefollowingcanbeusedtomitigatethisvulnerability?A)将文件的chmod强制为755Enforcethechmodoffilesto755.B)强制控制文件目录/列表Enforcethecontroloffiledirector/listings.C)在Web服务器上实施访问控制Implementaccesscontrolonthewebserver.D)在整个Web服务器中实施安全套接字层(SSL)证书ImplementSecureSocketsLayer(SSL)certificatesthroughoutthewebserver.答案:B解析:一般文件遍历、任意文件读取漏洞都是在WEB服务器上做限制[单选题]42.Whymightanetworkadministratorchoosedistributedvirtualswitchesinsteadofstand-aloneswitchesfornetworksegmentation?为什么网络管理员会选择分布式虚拟交换机而不是独立的交换机来进行网络分段？A)Tostandardizeonasinglevendor对单个供应商进行标准化B)Toensureisolationofmanagementtraffic确保管理流量的隔离C)Tomaximizedataplaneefficiency最大限度地提高数据平面效率D)Toreducetheriskofconfigurationerrors降低配置错误的风险答案:C解析:[单选题]43.Aninputvalidationandexceptionhandlingvulnerabilityhasbeendiscoveredonacriticalweb-basedsystem.WhichofthefollowingisMOSTsuitedtoquicklyimplementacontrol?在关键的基于web的系统上发现了输入验证和异常处理漏洞。以下哪项最适合快速实施控制？A)Addanewruletotheapplicationlayerfirewall.向应用层防火墙添加新规则。B)Blockaccesstotheservice.阻止对服务的访问。C)InstallanIntrusionDetectionSystem（IDS）.安装入侵检测系统（IDS）。D)Patchtheapplicationsourcecode.修补应用程序源代码。答案:A解析:[单选题]44.公开公开这些自己定义的用户单点登录（SSO界面的功能组目标。下哪一顼不是目标，并可能代表漏洞之一？A)提供非用户配置验证信息的用户身份的变化。B)提供对主体的以建立默认用户配置文件支持。C)接口应独立于处理的身份验证信息类型。D)它应该提前确定下次登录的操作时间。答案:A解析:[单选题]45.Alaina正在定期对服务帐户进行审核。她最应该关注以下哪些事件?A)服务帐户的交互式登录B)服务帐户的密码更改C)对服务帐户权利的限制D)本地使用服务帐号答案:A解析:服务帐户的交互式登录是一个严重的警告信号,无论是妥协还是不良管理实践。在任何一种情况下,Alaina都应立即确定帐户登录的原因、发生的情况以及交互式登录是远程还是本地完成的。在任何专业维护的环境中对服务帐户进行远程交互式登录几乎是妥协的保证。服务帐户的密码更改可以作为正在进行的密码过期过程的一部分进行,应始终限制设置服务帐户权限以确保它们只是必需的,并且在本地使用服务帐户作为服务的一部分是正常事件。[单选题]46.(04163)以下哪一项是应对合谋的方法：A)职责分离B)职责分离C)职责分离D)职责分离答案:D解析:[单选题]47.Howcananattackerexploitoverflowtoexecutearbitrarycode?攻击者如何利用溢出执行任意代码？A)Modifyafunction'sreturnaddress.修改函数的返回地址。B)Altertheaddressofthestack.更改堆栈的地址。C)Substituteelementsinthestack.替换堆栈中的元素。D)Movethestackpointer.移动堆栈指针。答案:A解析:[单选题]48.下面哪一选项不是由RFC1976规定的，由互联网号码分配机构(IANA)保留的不可路由的私人地址合法IP地址？A)-55B)-55C)-55D)-55答案:B解析:<p>TheotherthreeaddressrangescanbeusedforNetworkAddressTranslation(NAT).WhileNATis,initself,notaveryeffectivesecuritymeasure,alargenetworkcanbenefitfromusingNATwithDynamicHostConfigurationProtocol(DHCP)tohelppreventcertaininternalroutinginformationfrombeingexposed.Theaddressiscalledtheloopbackaddress.</p>[单选题]49.隐秘隧道经常使用以下哪些？A)存储和分类B)存储和许可C)存储和底位D)存储和时序答案:D解析:<p>TheOrangebookrequiresprotectionagainsttwotypesofcovertchannels,TimingandStorage.</p>[单选题]50.whichstageoftheCapabilityMaturityModel(CMM)ischaracterizedbyhavingorganizationalprocessesthatareproactive?能力成熟度模型(CMM)的哪个阶段的特征是具有前瞻性的组织过程?A)Initial初始过程B)Managed托管C)Defined定义D)Optimizing优化答案:C解析:[单选题]51.在该类型内存寻址中，程序指令指定其地址位置，且该地址位置包含最终目标位置的地址，下列哪项与此类内存寻址相对应？A)直接寻址B)间接寻址C)索引寻址D)程序寻址答案:B解析:<p>Anaddressingmodefoundinmanyprocessors'instructionsetswheretheinstruction<br/>Containstheaddressofamemorylocationwhichcontainstheaddressoftheoperand(the<br/>"effectiveaddress")orspecifiesaregisterwhichcontainstheeffectiveaddress.Indirect<br/>Addressingisoftencombinedwithpre-orpost-incrementordecrementaddressing,<br/>Allowingtheaddressoftheoperandtobeincreasedordecreasedbyone(orsome<br/>Specifiednumber)eitherbeforeorafterusingit.</p>[单选题]52.Darcy是Roscommon农产品公司的信息安全风险分析师。她目前正在试图决定公司是否应为其主数据中心购买升级的灭火系统。数据中心设施的重置成本为200万美元。与精算师、数据中心经理和消防专家协商后,Darcy了解到,如果发生一般火灾,那么可能需要更换建筑物内的所有设备,但不会导致重大的结构性损坏。他们一起估计,从火灾中恢复将需要75万美元。他们还确定,该公司每50年会发生一次这样的火灾。根据上述信息,火灾对Roscommon农产品数据中心的影响的暴露因子是多少?A)7.5%B)15.0%C)27.5%D)37.5%答案:D解析:暴露因子是风险管理者预估的受损设施所占的百分比,如果风险真正发生,那么会有相应百分比的财产遭受损失。暴露因子是用预估的损害金额除以资产总值计算得出的。在本题中,是用75万美元的损失除以200万美元的设施价值,即37.5%。Theexposurefactoristhepercentageofthefacilitythatriskmanagersexpectwillbedamagedifariskmaterializes.Itiscalculatedbydividingtheamountofdamagebytheassetvalue.Inthiscase,thatis$750,000indamagedividedbythe$2millionfacilityvalue,or37.5%.[单选题]53.以下哪一项与使用基于Web的客户端输入验证有关的威胁?A)验证发生后,用户将能够更改输入B)网络本身在传输后无法验证输入C)客户端系统可能会从Web服务器接收无效输入D)Web服务器将无法接收来自客户端的无效输入答案:A解析:[单选题]54.测试灾难恢复计划(DRP)的最重要目的是什么?A)一个。评估计划的效率B)确定恢复所需的基准C)验证计划的有效性D)确定恢复时间目标(RTO)答案:C解析:[单选题]55.HowcanlessonslearnedfrombusinesscontinuitytrainingandactualrecoveryincidentsBESTbeused?如何最好地利用从业务连续性培训和实际恢复事件中吸取的经验教训？A)Asameansforimprovement作为改进的手段B)Asalternativeoptionsforawarenessandtraining作为意识和培训的备选方案C)Asindicatorsofaneedforpolicy作为政策需要的指标D)AsbusinessfunctiongapindicatorsAs业务职能差距指标答案:A解析:[单选题]56.(04035)一个安全从业者被要求来评估组织网络的应用系统安全性。Web服务器和结构化查询语言（SQL）数据库服务器是执行管理层最关注的，因为他们的交易有很大一部分是在互联网上完成的。评估后的整改计划中包含了以下议建议：-使用可扩展标记语言（XML）应用防火墙来保护组织的网络-升级XML到安全断言标记语言（SAML）-使用定制的应用程序，而不是商业产品-防止网站被篡改。哪个是转换到SAML后最大的安全收益？A)Itlimitsunnecessarydataentryonwebforms.它限制了网页表单上不需要的数据输入B)Itlimitsunnecessarydataentryonwebforms.它限制了网页表单上不需要的数据输入C)Itlimitsunnecessarydataentryonwebforms.它限制了网页表单上不需要的数据输入D)Itlimitsunnecessarydataentryonwebforms.它限制了网页表单上不需要的数据输入答案:D解析:[单选题]57.(04095)Whichofthefollowingstatementspertainingtothesecuritykernelisincorrect?下面哪个关于安全内核的描述是不正确的？A)ItismadeupofmechanismsthatfallundertheTCBandimplementsandenforcesthereferencemonitorconcept.它是由遵循TCB的机制组成，实施并增强了参考监视器的概念。B)ItismadeupofmechanismsthatfallundertheTCBandimplementsandenforcesthereferencemonitorconcept.它是由遵循TCB的机制组成，实施并增强了参考监视器的概念。C)ItismadeupofmechanismsthatfallundertheTCBandimplementsandenforcesthereferencemonitorconcept.它是由遵循TCB的机制组成，实施并增强了参考监视器的概念。D)ItismadeupofmechanismsthatfallundertheTCBandimplementsandenforcesthereferencemonitorconcept.它是由遵循TCB的机制组成，实施并增强了参考监视器的概念。答案:A解析:[单选题]58.Brad希望聘请第三方审计师来评估他的公司将与之签订合同的供应商。如果Brad想要评估供应商的安全策略和控制以及这些控制随着时间的推移实施的有效性，他应该要求审计员执行什么SOC级别和类型？A)SOC1，类型2B)SOC2，类型1C)SOC1，类型1D)SOC2，类型2答案:D解析:SOC2评估着眼于影响安全的控制措施，2类报告验证控制措施的运行有效性。SOC1业务评估可能影响财务报告的控制，而1类报告提供审计师对管理层在单个时间点提供的控制描述的意见，而不是控制的实际实施。章节：模拟考试202201[单选题]59.Ahealthcareinsuranceorganizationchoseavendortodevelopasoftwareapplication.Uponreviewofthedraftcontract,theinformationsecurityprofessionalnoticesthatsoftwaresecurityisnotaddressed.WhatistheBESTapproachtoaddresstheissue?一家医疗保险组织选择了一家供应商来开发软件应用程序。在审查合同草案时，信息安全专业人员注意到软件安全未得到解决。解决这个问题的最佳方法是什么？A)Updatetheservicelevelagreement（SLA）toprovidetheorganizationtherighttoauditthevendor.更新服务级别协议（SLA），使组织有权审核供应商。B)Updatetheservicelevelagreement（SLA）torequirethevendortoprovidesecuritycapabilities.更新服务级别协议（SLA），要求供应商提供安全功能。C)Updatethecontractsothatthevendorisobligatedtoprovidesecuritycapabilities.更新合同，以便供应商有义务提供安全功能。D)Updatethecontracttorequirethevendortoperformsecuritycodereviews.更新合同，要求供应商执行安全代码审查。答案:C解析:[单选题]60.John是公司新任命的软件开发总监。几个专有应用程序为员工提供单独的服务,但员工必须独立登录每个应用程序才能访问这些独立的服务。John希望提供一种方法,让这些独立应用程序提供的服务能被集中访问和控制。以下哪项最恰当地描述了John应该部署的架构?A)面向服务的架构B)Web服务架构C)单点登录框架D)分层服务架构答案:A解析:以这种方式使用Web服务可让组织提供SOA环境。SOA是以连贯方式提供驻留在不同业务域不同系统中的独立服务的方式。这个架构包含一套设计和开发互操作服务形式软件的原则和方法。[单选题]61.下列哪个陈述关于软件测试是不正确的？A)测试数据生成器可以用来系统地生成可以用来测试程序的随机测试数据。B)当模块正在在设计时，单元测试应被说明和考虑。C)测试数据应该规格说明书的一部分。D)测试应该用实时数据执行，去涵盖所有可能的情况。答案:D解析:<p>Liveoractualfielddataisnotrecommendedforuseinthetestingproceduresbecausebothdatatypesmaynotcoveroutofrangesituationsandthecorrectoutputsofthetestareunknown.Livedatawouldnotbethebestdatatousebecauseofthelackofanomaliesandalsobecauseoftheriskofexposuretoyourlivedata.</p>[单选题]62.在该计划中,缓解未来基于客户端的内部攻击的最佳方法是什么?A)一个。阻止外围的所有客户端Web攻击。B)从网络中删除所有非必要的客户端Web服务C)在实施之前筛选客户端服务的有害漏洞D)在部署之前强化客户端映像答案:D解析:[单选题]63.(04165)业务连续性计划（BCP）何时被视为有效(valid)？A)当它被业务连续性经理验证后B)当它被业务连续性经理验证后C)当它被业务连续性经理验证后D)当它被业务连续性经理验证后答案:C解析:[单选题]64.以下哪种技术与移动设备管理(MDM)无关?A)选程擦除移动设备的内容B)获得未注册的BYOD移动设备的控制C)强制使用设备加密D)管理设备备份答案:B解析:MDM(移动设备管理)无法控制不受组织管理的设备,如果强行控制这些设备,相当于黑客进入他人拥有的设备,并可能构成犯罪。MDMproductsdonothavethecapabilityofassumingcontrolofadevicenotcurrentlymanagedbytheorganization.Thiswouldbeequivalenttohackingintoadeviceownedbysomeoneelseandmightconstituteacrime.[单选题]65.WhowouldbetheBESTpersontoapproveanorganizationsinformationsecuritypolicy?谁是批准组织信息安全策略的最佳人选？A)ChiefInformationOfficer（CIO）首席信息官（CIO）B)ChiefInformationSecurityOfficer（CISO）首席信息安全官（CISO）C)Chiefinternalauditor内部总稽核D)ChiefExecutiveOfficer（CEO）首席执行官（CEO）答案:B解析:[单选题]66.(04141)临时密钥完整性协议(TKIP)用于解决以下哪一项的不足？A)WEP有线等效保密B)WEP有线等效保密C)WEP有线等效保密D)WEP有线等效保密答案:D解析:[单选题]67.技术控制，如加密和访问控制可以被内置于操作系统、软件应用程序，或者可以是附加硬件/软件单元。这样一个控制，也被称为逻辑控制，由下列哪个配对代表？A)预防性/技术配对B)侦探/技术配对C)预防/物理配对D)预防/管理配对答案:A解析:<p>Preventive/Technicalcontrolsarealsoknownaslogicalcontrolsandcanbebuiltintotheoperatingsystem,besoftwareapplications,orcanbesupplementalhardware/softwareunits.</p>[单选题]68.指对个人身份信息或可能对他人造成伤害、令他人感到尴尬的信息加以保密。A)隔绝B)隐藏C)隐私D)关键性答案:C解析:隐私指对个人身份信息保密,或对可能使他人受到伤害、让他人感动尴尬或丢脸的信息保密。隔绝是把东西存放在不可到达的地方。隐藏是指藏匿或防止泄露的行为。信息的关键程度是其关键性的衡量标准。[单选题]69.Whatcapabilitywouldtypicallybeincludedinacommerciallyavailablesoftwarepackagedesignedforaccesscontrol?为访问控制设计的商用软件包通常包括哪些功能？A)Passwordencryption密码加密B)Fileencryption文件加密C)Sourcelibrarycontrol源库控件D)Fileauthentication文件身份验证答案:A解析:[单选题]70.双因素身份验证的一个例子是：A)ID和PINoB)PIN和ATM卡。C)指纹。D)密码和ID答案:B解析:[单选题]71.Mike想使用在此交换过程中获得的信息向Renee发送私人消息。他应该使用什么密钥来加密消息?A)Renee的公钥B)Renee的私钥C)CA的公钥D)CA的私钥答案:A解析:Mike应该使用他从Renee数字证书中提取的公钥来加密他想要发送给Renee的消息。MikeusesthepublickeythatheextractedfromRenee'sdigitalcertificatetoencryptthemessagethathewouldliketosendtoRenee.[单选题]72.Anapplicationdeveloperreceivesareportbackfromthesecurityteamshowingtheirautomatedtoolswereabletosuccessfullyenterunexpecteddataintotheorganization'scustomerserviceportal,causingthesitetocrash.Thisisanexampleofwhichtypeoftesting?应用程序开发人员收到安全团队返回的报告，显示他们的自动化工具能够成功地将意外数据输入组织的客户服务门户，从而导致网站崩溃。这是哪种类型测试的示例？A)Non-functional不起作用的B)Positive自信的C)Performance表演D)Negative消极答案:D解析:[单选题]73.以下哪项技术旨在防止硬盘驱动器成为系统中的单点故障?A)负载平衡B)双电源C)IPSD)RAID答案:D解析:廉价磁盘冗余阵列(RAID)被设计成允许系统在硬盘驱动器出现故障的情况下继续操作而且不会主夫数据,负载平衡是在多个服务器之间传播工作。入侵防御系统IPSI监控系统和网络的潜在攻击。双电源用于防止电源成为单点故障。RedundantAraysofInexpensiveDisks:(RAIDTisdesignedtorallowwassystemta-comtinue-operatingwithoutdatalossinthereuentofraharddrivefatlureLoadbalancingeis-designed-tarsprend-workacrossmultioteserversmintrusionroreventtón-systems=(1P55)monftoersystemssandtoernetvorkssforrpotenttat[单选题]74.谁最终负责确保对信息资产进行分类并采取适当措施保护它们?A)一个。数据托管人B)执行管理层C)首席信息安全官D)数据/信息/企业主答案:B解析:[单选题]75.WhatrequirementMUSTbemetduringinternalsecurityauditstoensurethatallinformationprovidedisexpressedasanobjectiveassessmentwithoutriskofretaliation?在内部安全审计期间，必须满足哪些要求，以确保提供的所有信息都以客观评估的形式表达，而不存在报复风险？A)Theauditormustbeindependentandreportdirectlytothemanagement.审计员必须是独立的，并直接向管理层报告。B)Theauditormustutilizeautomatedtoolstobacktheirfindings.审核员必须利用自动化工具来支持他们的调查结果。C)TheauditormustworkcloselywithboththeinformationTechnology（IT）andsecuritysectionsofanorganization.审计员必须与组织的信息技术（IT）和安全部门密切合作。D)Theauditormustperformmanualreviewsofsystemsandprocesses.审核员必须对系统和过程进行手动审查。答案:A解析:[单选题]76.为什么在低风险环境中使用包过滤路由器?A)它们是高分辨率的源鉴别和识别工具B)它们快速而灵活,可以防止互联网协议(IP)欺骗C)它们快速、灵活且透明D)他们强制执行强用户身份验证和审计日志生成答案:C解析:[单选题]77.一家制造组织希望与其20家不同的供应商公司建立联合身份管理(FIM)系统。以下哪一个是制造组织的最佳解决方案?A)受信任的第三方认证B)轻量级目录访问协议(LDAP)C)安全断言标记语言(SAML)D)交叉认证答案:C解析:[单选题]78.Whichevidencecollectingtechniquewouldbeutilizedwhenitisbelievedanattackerisemployingarootkitandaquickanalysisisneeded?当认为攻击者正在使用rootkit并且需要快速分析时，将使用哪种证据收集技术？A)Memorycollection内存集合B)Forensicdiskimaging法医磁盘成像C)Malwareanalysis恶意软件分析D)Liveresponse开机取证答案:A解析:[单选题]79.(04092)Whichofthefollowingviolatesidentityandaccessmanagementbestpractices?下面哪个违反了身份与访问管理的最佳实践？A)Useraccounts用户账户B)Useraccounts用户账户C)Useraccounts用户账户D)Useraccounts用户账户答案:C解析:[单选题]80.以下哪一个机制最有效,在迅速从大型安全设施撤离期间,对所有工作人员负责?A)使用面部识别技术识别离开的个人群体的大咒语B)每个员工在每个出口门扫描传感器所佩戴的Radio频率识别(RFID)传感器C)紧急出口,每个出口都有带坐标的推杆,可根据预先定义的列表检查个人D)卡激活的旋转门,个人在退出时经过验证答案:B解析:[单选题]81.下列哪种病毒类型随着病毒的传播改变了它本身的一些特性？A)启动磁区B)寄生的C)隐蔽的D)多态的答案:D解析:[单选题]82.根据最佳实践,以下哪些组在执行信息安全合规性审计方面最有效?A)内部安全管理员B)内部网络团队C)灾难恢复(DR)团队D)外部顾问答案:D解析:[单选题]83.审计人员发现关键系统的一项安全控制中存在漏洞,最有可