CISSP考试练习(习题卷7)

试卷科目：CISSP考试练习CISSP考试练习(习题卷7)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.(04061)Asecurityprofessionalhasbeenaskedtoplanandimplementaserverlogmanagementsolutionforalargenetworkwithmorethan1,000servers一个安全专业人士被要求来规划和实施一个超过1,000台服务器的大型网络中的服务器日志管理解决方案。WhichofthefollowingistheMOSTcriticalissueassociatedwithacentralizeddatabasetocollectandprocessalltheserverloginformation?关于集中式数据库来搜集和处理所有的服务器日志信息，下面哪个是最关键的问题？A)Nointeroperabilityduetolackofestablishedstandards因为缺乏已建立的标准，导致没有互操作性B)Nointeroperabilityduetolackofestablishedstandards因为缺乏已建立的标准，导致没有互操作性C)Nointeroperabilityduetolackofestablishedstandards因为缺乏已建立的标准，导致没有互操作性D)Nointeroperabilityduetolackofestablishedstandards因为缺乏已建立的标准，导致没有互操作性答案:C解析:[单选题]2.AproxyfirewalloperatesatwhatlayeroftheOpenSystemInterconnection（OSI）model?代理防火墙在开放系统互连（OSI）模型的哪一层运行？A)Transport传输层B)Datalink数据链路层C)Network网络层D)Application应用层答案:D解析:[单选题]3.(04029)ABusinessImpactAnalysis(BIA)doesnot:业务影响分析（BIA）没有：A)Recommendtheappropriaterecoverysolution推荐合适的恢复解决方案B)Recommendtheappropriaterecoverysolution推荐合适的恢复解决方案C)Recommendtheappropriaterecoverysolution推荐合适的恢复解决方案D)Recommendtheappropriaterecoverysolution推荐合适的恢复解决方案答案:A解析:[单选题]4.以下哪一项对数据保密构成最大风险?A)未实施网络冗余B)安全意识培训尚未完成C)备份磁带生成未加密D)用户享有行政特权答案:C解析:[单选题]5.WhodeterminestherequiredlevelofindependenceforsecuritycontrolAssessors（SCA)?谁确定安全控制评估员（SCA）所需的独立性水平？A)ChiefInformationSecurityOfficer（CISC）首席信息安全官（CISC）B)Businessowner企业主C)AuthorizingOfficial（AO）授权官员（AO）D)Systemowner系统所有者答案:C解析:[单选题]6.以下哪一个是针对加密硬件模块的最有效攻击?A)明文B)蛮力C)电源分析D)中间人(MITM)答案:C解析:[单选题]7.以下哪项是缓解活动用户工作站数据被盗的最有效方法?A)一个。实施全磁盘加密B)启用多重身份验证C)部署文件完整性检查器D)禁用便携式设备答案:D解析:[单选题]8.对于员工卡，怎么防止克隆：A)PersonalidentifyVerification(PIV卡)B)DataProtectionCard(DPC卡)C)TokenAuthenticationCard(TAC卡)D)HashIntegrationCard(HID卡)答案:A解析:略章节：模拟考试202201[单选题]9.通常根据什么规则来标记介质？A)数据的完整性要求。B)介质中包含的最高数据分类级别。C)介质中包含的所有数据分类级别。D)介质中包含的最低数据分类级别。答案:B解析:略章节：模拟考试202201[单选题]10.whataretheminimumrequirementstorimplementingadatagradingsystem?实施一个数据分级体系的最低的要求是什么?A)Formationofadataclassificationteam/committee.形成一个数据分级的团队或委员会B)Definingoftherolesandresponsibilitiesofeachgroupengagedintheprogram.定义体系相关的每个组的角色和责任C)Developandapproveinformationsecuritypolicies.制定和批准信息安全策略D)Developandapproveprocedures.baselinesandstandards.制定和批准程序,基线和标准答案:C解析:[单选题]11.下列哪一种是常见的局域网介质访问方法？A)载波侦听多路访问B)网状结构C)UTPD)NFS答案:A解析:[单选题]12.你的组织担心由于工人把退休的设备带回家而导致的信息泄露。以下哪一种类型的内存在从计算机中删除后可能保留信息,因此存在安全风险?A)静随机存取存B)动态随机存取存储器C)辅助存储器D)实际内存答案:C解析:[单选题]13.Afterathoroughanalysis,itwasdiscoveredthataperpetratorcompromisedanetworkbygainingaccesstothenetworkthroughaSecureSocketLayer（SSL）VirtualPrivateNetwork（VPN）gateway.Theperpetratorguessedausernameandbruteforcedthepasswordtogainaccess.WhichofthefollowingBESTmitigatesthisissue?经过彻底分析，发现犯罪人通过安全套接字层（SSL）虚拟专用网（VPN）网关访问网络，从而破坏了网络。肇事者猜测到用户名，并强行输入密码以获取访问权限。以下哪项最能缓解此问题？A)ImplementstrongpasswordsauthenticationforVPN为VPN实现强密码身份验证B)IntegratetheVPNwithcentralizedcredentialstores将VPN与集中式凭据存储集成C)ImplementanInternetProtocolSecurity（IPSec）client实现Internet协议安全（IPSec）客户端D)Usetwo-factorauthenticationmechanisms使用双因素身份验证机制答案:D解析:[单选题]14.Forafederatedidentitysolution,athird-partyIdentityProvider（IdP）isPRIMARILYresponsibleforwhichofthefollowing?对于联合身份解决方案，第三方身份提供商（IdP）主要负责以下哪项？A)AccessControl访问控制B)AccountManagement账户管理C)Authentication认证D)Authorization授权答案:C解析:[单选题]15.安全从业者的任务是保护组织的无线接入点(WAP)。以下哪种是将此环境限制为授权用户的最有效方法?A)禁用服务集标识符(SSID)名称的广播B)将服务集标识符(SSID)的名称更改为与组织无关的随机值C)基于媒体访问控制(MAC)地址创建访问控制列表(ACL)D)在无线接入点上启用Wi-FiProtectedAccess2(WPA2)加密答案:C解析:[单选题]16.在实施安全断言标记语言(SAML)时,在本地环境和外部身份提供商服务之间实现身份集成时,常见的挑战是什么?A)某些用户未被配置到service中。B)SAML令牌由本地身份提供商提供。C)单个用户不能从服务中撤销。D)SAML令牌包含用户信息。答案:A解析:[单选题]17.下列哪个系统是为了故意吸引攻击者而包含敏感信息的?A)HoneynetB)DarknetC)蜜罐D)Pseudoflaw答案:C解析:蜜罐是用于引诱入侵者攻击的诱饵计算机系统。蜜罐是一个由多个蜜罐组成的网络,为入侵者提供了更复杂的环境。Pseudoflaw是系统中用来吸引攻击者的假漏洞。Darknet是未使用的网络地址空间的一部分,这部分地址空间应该没有网络活动,因此可用于监视非法活动。Ahoneypotisadecoycomputersystemusedtobaitintrudersintoattacking.Ahoneynetisanetworkofmultiplehoneypotsthatcreatesamoresophisticatedenvironmentforintruderstoexplore.Apseudoflawisafalsevulnerabilityinasystemthatmayattractanattacker.[单选题]18.AttacktreesareMOSTusefulforwhichofthefollowing?攻击树对以下哪项最有用？A)Determiningsystemsecurityscopes确定系统安全范围B)Generatingattacklibraries生成攻击库C)Enumeratingthreats列举威胁D)EvaluatingDenialofService（DoS）attacks评估拒绝服务（DoS）攻击答案:C解析:[单选题]19.生物识别在什么方面是最常见的测量方法？A)FRR和FARB)FAC和ERRC)IER和FARD)FRR和GIC答案:A解析:<p>生物识别性能最常用的衡量方法有两种：错误拒绝率（FRR）、<br/>和错误接受率（FAR）。FRR是您未通过身份验证<br/>访问您的帐户的概率。一个严格的定义表明，FRR是配对<br/><br/>比较（即同一手指的2个生物特征样本）错误地确定存在<br/>不匹配<br/><br/>的概率/p>[单选题]20.(04172)IDaaS的关键特征是：A)IGA身份治理和管理B)IGA身份治理和管理C)IGA身份治理和管理D)IGA身份治理和管理答案:D解析:[单选题]21.确保在何时何地都能访问数据是下列哪一项？A)保密性B)完整性C)可接受性D)可用性答案:D解析:[单选题]22.Knowingthelanguageinwhichanencryptedmessagewasoriginallyproducedmighthelpacryptanalysttoperforma了解最初生成加密消息的语言可能有助于密码分析员执行A)clear-textattack.明文攻击。B)knowncipherattack.已知密码攻击。C)frequencyanalysis.频率分析。D)stochasticassessment.随机评估。答案:C解析:[单选题]23.敏捷开发关注什么？A)基于流程而不是个体互动B)遵循计划而不是相互合作C)详细文档而不是工作软件D)交付软件而不是及时变更答案:D解析:略章节：模拟考试202201[单选题]24.Whichtestingmethodrequiresverylimitedornoinformationaboutthenetworkinfrastructure?哪种测试方法需要非常有限或没有关于网络基础设施的信息？A)Whilebox白盒B)Static静止C)Blackbox黑盒D)Stress强调答案:C解析:[单选题]25.(04116)Whichoneofthefollowingentailsperiodicaltransmittingcopiesofon-linetransactionstoaremotecomputerfacilityforbackup?下列哪一个定期发送交易副本到远程的计算机备份设施？A)Archivalstoragemanagement(ASM)档案存储管理B)Archivalstoragemanagement(ASM)档案存储管理C)Archivalstoragemanagement(ASM)档案存储管理D)Archivalstoragemanagement(ASM)档案存储管理答案:C解析:[单选题]26.编译型代码会比解释型代码带来更多的风险吗？A)因为恶意代码可以被嵌入在编译模型中，并且，并且。B)因为浏览器可以安全地执行所有类型的附属程序C)因为编译器不可靠。D)事实代码并非如此。解释型代码会比编译型造成更多风险答案:A解析:[单选题]27.遇到海关检查你的电脑，问最有可能发生的是什么A)硬盘拷贝B)硬盘丢失C)MAC地址被拷贝D)IP地址被拷贝答案:A解析:略章节：模拟考试202201[单选题]28.安全评估报告和认证声明产生于系统开发生命周期的以下哪些阶段？A)项目启动和规划阶段B)验收阶段C)系统设计规范阶段D)开发和文件化阶段答案:B解析:<p>Notethequestionasksaboutan"evaluationreport"-whichdetailshowthesystemevaluated,andan"accreditationstatement"whichdescribesthelevelthesystemisallowedtooperateat.Becausethosetwoactivitiesareapartoftestingandtestingisapartoftheacceptancephase,theonlyanswerabovethatcanbecorrectis"acceptancephase".</p>[单选题]29.Asecuritycompliancemanagerofalargeenterprisewantstoreducethetimeittakestoperformnetwork,system,andapplicationsecuritycomplianceauditswhileincreasingqualityandeffectivenessoftheresults.WhatshouldbeimplementedtoBESTachievethedesiredresults?大型企业的安全法规遵从性经理希望减少执行网络、系统和应用程序安全法规遵从性审核所需的时间，同时提高结果的质量和有效性。应该采取什么措施才能最好地实现预期的结果？A)ConfigurationManagementDatabase（CMDB）配置管理数据库（CMDB）B)Sourcecoderepository源代码储存库C)ConfigurationManagementPlan（CMP）管理计划配置（CMP）D)Systemperformancemonitoringapplication系统性能监控应用程序答案:A解析:[单选题]30.以下哪一项是网络入侵检测技术A)端口扫描B)网络欺骗C)统计异常D)协议分析答案:C解析:略章节：模拟考试202201[单选题]31.Inaquarterlysystemaccessreview,anactiveprivilegedaccountwasdiscoveredthatdidnotexistinthepriorreviewontheproductionsystem.Theaccountwascreatedonehourafterthepreviousaccessreview.WhichofthefollowingistheBESToptiontoreduceoverallriskinadditiontoquarterlyaccessreviews?在每季度的系统访问审查中，发现一个活动的特权帐户，该帐户在先前对生产系统的审查中不存在。该帐户是在上次访问检查后一小时创建的。除了季度访问审查外，以下哪项是降低总体风险的最佳选择？A)Increaselogginglevels.提高日志记录级别。B)Implementbi-annualreviews.实施两年一次的审查。C)Createpoliciesforsystemaccess.创建系统访问策略。D)Implementandreviewrisk-basedalerts.实施和审查基于风险的警报。答案:D解析:[单选题]32.以下哪项方法用于自动设计新的软件测试并确保测试质量?Whichofthefollowingisamethodusedtoautomaticallydesignnewsoftwaretestsandtoensurethequalityoftests?A)代码审计CodeauditingB)静态代码分析StaticcodeanalysisC)回归测试RegressiontestingD)突变测试Mutationtesting答案:D解析:突变测试通过修改程序的局部,测试该突变体来确定其能否按照预期运行。静态代码分析和回归测试均是测试代码的方法,而代码审计是针对源代码的分析,并非设计和测试软件的方法。[单选题]33.灾难恢复规划(DRIP)的恢复策略必须与以下哪一项保持一致?A)硬件和软件兼容性问题B)应用程序的批判性和停机时间公差C)预算限制和要求D)成本/效益分析和业务目标答案:D解析:[单选题]34.哪一项不是DSL的标准类型？A)HDSLB)FDSLC)ADSLD)VDSL答案:B解析:<p>ThecorrectanswerisFDSLFDSLdoesnotexist.</p>[单选题]35.系统配置管理的主要目标是以下哪个？A)系统维护B)系统操作C)系统追踪D)系统稳定性答案:D解析:<p>AmajorobjectivewithConfigurationManagementisstability.Thechangestothesystemarecontrolledsothattheydon'tleadtoweaknessesorfaultsinthesystem.</p>[单选题]36.以下哪一项最能描述直接负责组织内数据的角色?A)数据保管人B)信息所有者C)数据库管理员D)质量控制答案:A解析:[单选题]37.Cathy的雇主要求她对第三方供应商的政策和程序进行文件审查。该供应商只是软件供应链中的最后一环。他们的组件被用作为高端客户运营的在线服务的关键要素。Cathy发现了供应商的几个严重问题,例如没有要求对所有通信进行加密,并且不需要在管理接口上进行多因素身份验证。针对这一发现,Cathy应该怎么做?A)撰写报告并将其提交给CIO。B)作废供应商的ATO。C)要求供应商审查他们的条款和条件。D)让供应商签署保密协议。答案:B解析:在这种情况下,Cathy应取消该供应商的运营授权(ATO)。这种情况描述了这样一个事实,即供应商没有满足保护服务及其客户所必需的最低安全要求。写一份报告并不是对这一发现的充分回应。您可能已经假设凯茜有权或没有权力执行任何其他选项,但没有迹象表明凯茜在组织中的职位。CEO要求CISO进行这样的评估是合理的。无论如何,报告应该提交给CISO,而不是CIO,CIO的重点主要是确保有效地使用信息来实现业务目标,而不是确保这种使用是安全的。在这种情况下,审查条款和条件不会有任何区别,因为这些条款和条件通常适用于客户,而不是内部运营。审查并不一定会导致不安全实践的改变或改进。供应商签署的保密协议与这种情况无关。[单选题]38.Frank负责管理一台Web服务器的安全,该服务器向世界各地的人们提供新闻和信息。他的服务器收到了异常高的流量,以至于无法处理,于是服务器不得不拒绝请求。Frank追溯流量的来源,最后查出是僵尸网络。请问他的服务器受到了什么类型的攻击?A)拒绝服务B)侦察C)损害D)恶意内部人员答案:A解析:题中描述的情况属于拒绝服务攻击,流向系统的流量很大,以至于系统拒绝合法用户的访问。它不属于侦察攻击,因为攻击者已经对系统造成了很大影响。它同样没有对系统造成损害,因为攻击者并没有尝试访问该系统。没有信息表明这是恶意的内部人员所为。Thisisaclearexampleofadenial-of-serviceattack-denyinglegitimateusersauthorizedaccesstothesystemthroughtheuseofoverwhelmingtraffic.Itgoesbeyondareconnaissanceattackbecausetheattackerisaffectingthesystem[单选题]39.withbyte-level?RAID的不同级别决定了将在RAID系统中发生的活动类型。下面哪个级别与字节级别相关联?A)RAIDLevel0B)RAIDLevel3C)RAIDLevel5D)RAIDLevel10答案:B解析:[单选题]40.可防止用户在一台电脑上看到所有的项目或目录，且在UNIX/Linux环境中最常见软件是A)外壳套件B)根工具包C)抓包D)影子数据答案:D解析:<p>Shadowing,usedforUnixpasswordfileshidesthepasswordhash.<br/> </p>[单选题]41.Toprotectauditableinformation,whichofthefollowingMUSTbeconfiguredtoonlyallowreadaccess?要保护可审核信息，必须将以下哪项配置为仅允许读取访问？A)Loggingconfigurations日志记录配置B)Transactionlogfiles事务日志文件C)Useraccountconfigurations用户帐户配置D)Accesscontrollists（ACL）访问控制列表（ACL）答案:B解析:[单选题]42.组织中谁负责数据信息资产的分类?A)数据所有者B)数据架构C)首席信息安全官D)首席信息官答案:A解析:[单选题]43.Whenwritingsecurityassessmentprocedures,whatistheMAINpurposeofthetestoutputsandreports?编写安全评估程序时，测试输出和报告的主要目的是什么？A)Toforcethesoftwaretofailanddocumenttheprocess强制软件失败并记录过程B)Tofindareasofcompromiseinconfidentialityandintegrity在保密性和完整性方面找到妥协的地方C)Toallowforobjectivepassorfaildecisions.考虑客观的通过或失败决策。D)Toidentifymalwareorhiddencodewithinthetestresults.识别测试结果中的恶意软件或隐藏代码。答案:C解析:[单选题]44.函数、语句、分支和条件和以下哪个选项有关?A)渗透测试方法B)Fuzzing技术C)代码覆盖率测量D)合成事务分析答案:C解析:函数、语句、分支和条件可用来度量代码覆盖率。渗透测试方法会包含计划、发现、扫描、利用和报告这些阶段。Fuzzing技术专注于提供意外的输入,而合成事务分析用于验证应用程序性能。Function,statement,branch,andconditionarealltypesofcodecoveragemetrics.Penetrationtestingmethodologiesusephaseslíkeplanning,discovery,scanning,exploit,andreporting.Fuzzingtechniquesfocusonwaystoprovideunexpectedinputs,whereassynthetictransactionsaregeneratedtestdataprovidedtovalidateapplicationsandperformance.[单选题]45.以下哪项是防止软件许可证违规的最好方式？A)实现针对版权侵权和软件使用的公司政策B)要求所有的PC机都是无盘工作站C)在局域网上安装测量软件，以便应用程序可以通过测量软件被访问D)定期扫描被使用的PC机，以确保未经授权的软件副本没有加载到PC机上答案:D解析:[单选题]46.什么样的物理安全控制不断地广播虚假辐射来掩盖来自计算设备的真实电磁辐射的存在?A)法拉第笼B)浸铜窗C)屏蔽布线D)白噪声答案:D解析:[单选题]47.以下哪项可防止在基于角色的访问控制(RBAC)中不正确地聚合权限?A)一个。分层继承B)动态职责分离C)克拉克-威尔逊安全模型D)贝尔-拉帕杜拉安全模型答案:B解析:[单选题]48.以下哪个数据角色最可能分配权限，使用户能访问数据？A)管理员B)托管员C)所有者D)用户答案:A解析:[单选题]49.以下哪种技术可以最好地防止缓冲区溢出?WhichofthefollowingtechniquesBESTpreventsbufferoverflows?A)边界和边缘偏移BoundaryandperimeteroffsetB)字符集编码CharactersetencodingC)代码审计CodeauditingD)变量类型和位长Varianttypeandbitlength答案:B解析:[单选题]50.DiscretionaryAccessControl（DAC）restrictsaccessaccordingto自主访问控制（DAC）根据A)dataclassificationlabeling.数据分类标签。B)pageviewswithinanapplication.应用程序中的页面视图。C)authorizationsgrantedtotheuser.授予用户的授权。D)managementaccreditation.管理认证。答案:C解析:[单选题]51.ThecorecomponentofRoleBasedAccessControl（RBAC）mustbeconstructedofdefineddataelements.Whichelementsarerequired?基于角色的访问控制（RBAC）的核心组件必须由定义的数据元素构成。需要哪些要素？A)Users,permissions,operations,andprotectedobjects用户、权限、操作和受保护对象B)Roles,accounts,permissions,andprotectedobjects角色、帐户、权限和受保护对象C)Users,roles,operations,andprotectedobjects用户、角色、操作和受保护对象D)Roles,operations,accounts,andprotectedobjects角色、操作、帐户和受保护对象答案:C解析:[单选题]52.(04123)一个大型组织使用唯一的身份标识，并要求他们在每次系统会话的开始时使用。应用程序访问是基于工作职责的分类。该组织定期对访问控制和违规进行独立的审核。该组织使用了有线和无线网络，以及远程访问。该组织还使用了到分支机构的安全连接，以及针对某些选择的信息和流程实施安全的备份和恢复策略。按照最佳实践，在实施恢复策略时，下面哪个是选择备用站点最重要的考虑因素：A)备用站点需要具备和主站点相同的处理能力B)备用站点需要具备和主站点相同的处理能力C)备用站点需要具备和主站点相同的处理能力D)备用站点需要具备和主站点相同的处理能力答案:B解析:[单选题]53.一个组织采用了新的防火墙加固标准。安全专业人员如何验证技术人员正确实施了新标准?Anorganizationadoptsanewfirewallhardeningstandard.Howcanthesecurityprofessionalverifythatthetechnicalstaffcorrectimplementedthenewstandard?A)执行合规性审查PerformacompliancereviewB)执行渗透测试PerformapenetrationtestC)培训技术人员TrainthetechnicalstaffD)调查技术人员Surveythetechnicalstaff答案:A解析:合规是检查实施的结果[单选题]54.文件和应用程序在哪里？A)最小特权的概念B)因为他们不能被操作者访问C)因为他们可能包含依靠D)?由于知道其需要?的概念答案:C解析:[单选题]55.以下哪一项解决方案最好地整合并满足了场景中的身份验证需求?A)TLSB)IPSecC)802.1xD)SASL答案:D解析:简单身份验证和安全层(SimpleAuthenticationand民山ityLayer.SASL)是一个独立于协议的身份验证框架。它是net协议内的一个身份验证和数据安全框架。它使身份验证机制脱离应用程序协议,允许SASL支持的任何身份验证机制用于任何使用SASL的应用程序协议。SASL旨在允许新协议重复使用己有机制而无须重新设计机制,也允许己有协议使用新机制而无须重新设计协议。[单选题]56.在软件测试期间,Jack绘制了黑客可能如何接近他正在审查的应用程序的图表,并确定黑客可能有什么要求。然后,他测试系统将如何响应攻击者可能的行为。杰克进行什么类型的测试?Duringsoftwaretesting,Jackdiagramshowahackermightapproachtheapplicationheisreviewinganddetermineswhatrequirementsthehackermighthave.Hethentestshowthesystemwouldrespondtotheattacker?slikelybehavior.WhattypeoftestingisJackconducting?A)误用案例测试MisusecasetestingB)用例测试UsecasetestingC)黑客用例测试HackeruescasetestingD)静态代码分析Staticcodeanalysis答案:A解析:Jack正在执行误用案例分析,这是一个根据代码在被误用而不是正确使用时的表现来测试代码的过程。用例测试测试有效的用例,而静态代码分析涉及检查代码本身是否存在缺陷,而不是测试实时软件。黑客用例测试不是一种测试类型的行业术语。[单选题]57.哪个是纠正控制的安全措施？A)保安抓走小偷B)灯光吓走小偷C)警声吓走小偷D)CCTV回放答案:A解析:A选项可以起到事中发现并采取纠正措施抓住小偷，减轻损失；B和C选项都是通过威慑提前预防的措施，D是监测措施，不能减轻损失，只能事后追责。[单选题]58.Dylan正在审查他的组织当前使用的安全控制,并意识到他缺乏一种工具可以识别最终用户采取的异常操作。什么类型的工具最能满足这种需求?A)EDRB)完整性监控C)签名检测D)UEBA答案:D解析:[单选题]59.可信平台模块(TPM)的哪些功能会创建系统配置的哈希摘要以验证未进行更改?A)远程认证B)绑定C)密封D)随机数答案:A解析:[单选题]60.MAC模型使用三种类型的环境。以下哪项不是强制性访问控制设计?A)分层B)包围C)分区D)混合答案:B解析:强制访问控制系统可以是分层的,其中每个域都是有序的,并且与前后的其他域相关;它也可以是分区的,其中每个域之间没有关系;它还可以是混合的,其中使用层次结构和隔离。强制访问控制设计中没有包围的概念。Mandatoryaccesscontrolsystemscanbehierarchical,whereeachdomainisorderedandrelatedtootherdomainsaboveandbelowit;compartmentalized,wherethereisnorelationshipbetweeneachdomain;orhybrid,wherebathhierarchyandcompartmentsareused.Thereisnoconceptofbracketinginmandatoryaccesscontroldesign.[单选题]61.有哪些不符合安全规定的通讯方式并且其不受系统规定的限制？A)-个维护钩子B)--个隐蔽信道C)一个保护域D)一个可信的路径答案:B解析:<p>隐蔽通道是系统内部的一条非预期的通信路径，因此不受系统正常安全机制的保护。隐蔽渠道是一种传递信息的秘密方式。隐蔽通道从TCSEC级别B2开始处理。</p>[单选题]62.Whenresolvingethicalconflicts,theinformationsecurityprofessionalMUSTconsidermanyfactors.Inwhatordershouldtheseconsiderationsbeprioritized?在解决道德冲突时，信息安全专业人员必须考虑许多因素。这些考虑应按什么顺序优先考虑？A)Publicsafety,dutiestoindividuals,dutiestotheprofession,anddutiestoprincipals公共安全、个人责任、专业责任和校长责任B)Publicsafety,dutiestoprincipals,dutiestoindividuals,anddutiestotheprofession公共安全、负责人职责、个人职责和专业职责C)Publicsafety,dutiestotheprofession,dutiestoprincipals,anddutiestoindividuals公共安全、对专业的责任、对校长的责任和对个人的责任D)Publicsafety,dutiestoprincipals,dutiestotheprofession,anddutiestoindividuals公共安全、校长职责、专业职责和个人职责答案:C解析:[单选题]63.对脆弱性和风险的评估基于以下哪种威胁?A)CIA三元组的一个或多个原则B)数据有效性C)应尽关心D)尽责程度答案:A解析:对脆弱性和风险评估都基于它们对一个或多个CIA三元组的威胁。[单选题]64.Whatarethestepsofariskassessment?风险评估的步骤是什么？A)identification,analysis,evaluation识别、分析、评估B)analysis,evaluation,mitigation分析、评估、缓解C)classification,identification,riskmanagement分类、识别、风险管理D)identification,evaluation,mitigation识别、评估、缓解答案:A解析:[单选题]65.Whoisresponsibleforsettinguserclearancestocomputer-basedinformation?谁负责设置基于计算机的信息的用户许可?A)Securityadministrators安全管理员B)Operators操作员C)Dataowners数据所有者D)Datacustodians数据保管员答案:A解析:[单选题]66.Aspartofanapplicationpenetrationtestingprocess,sessionhijackingcanBESTbeachievedbywhichofthefollowing?作为应用程序渗透测试过程的一部分，会话劫持可以通过以下哪种方式实现？A)Known-plaintextattack已知明文攻击B)DenialofService（DoS）拒绝服务（DoS）C)CookiemanipulationCookie篡改D)StructuredQueryLanguage（SQL）injection结构化查询语言（SQL）注入答案:C解析:[单选题]67.下列哪一类安全数据删除技术将包括消磁?A)清理B)收缩C)清除D)销毁答案:C解析:数据销毁的三种方法分别是:(1)?清理?,用非敏感数据来覆盖敏感数据;(2)?清除?,删除所有数据;(3)?销毁?,物理破坏存储介质。去磁只是一种清除技术。Thethreecategoriesofdatadestructionareclear(overwritingwithnonsensitivedata),purge(removingalldata),anddestroy(physicaldestructionofthemedia).Degaussingisanexampleofapurgingtechnique.[单选题]68.高级管理人员签署了涵盖安全的内部服务级别协议(SLA),并已就绪。何时应审查对SLA的遵守情况,以确保提供良好的安全态势?A)作为SLA续订流程的一部分B)在计划的安全审核之前C)安全漏洞发生后立即D)定期安排的会议答案:D解析:[单选题]69.Frank的团队正在测试公司的开发团队为其应用程序基础架构开发的新API。以下哪项不是你希望Frank的团队发现的常见API问题?Frank'steamistestinganewAPIthathiscompany'sdevelopershavebuiltfortheirapplicationinfrastructure.WhichofthefollowingisnotacommonAPIissuethatyouwouldexpectFrank'steamtofind?A)不正确的加密ImproperencryptionB)客体级别授权问题Object-levelauthorizationissuesC)用户认证问题UserauthenticationissuesD)缺乏速率限制Lackofratelimiting答案:A解析:API通常通过HTTPS为Web应用程序传输数据,这意味着API本身不负责加密。如果Frank的团队发现TLS未启用,他们将需要与基础设施或系统管理团队合作,以确保启用并使用TLS,而不是更改API。对象访问授权、身份验证弱点和速率限制都是常见的API问题。如果你不熟悉在API中可能遇到的问题类型,可以在:[单选题]70.入侵检测具有下列哪组特征？A)它更具适应性，而不是预防性。B)它更具行政管理性，而不是预防性。C)它更具破坏性，而不是预防性D)它更具检测性，而不是预防性。答案:D解析:[单选题]71.公司内部监测到大量基于客户端的攻击，未来有效的缓解措施是：A)外围用防火墙进行web漏洞防护B)解决基于客户端侧的web漏洞C)实施前对客户端本机的服务进行漏扫D)发布加固的客户端镜像答案:D解析:[单选题]72.一般来说,面向互联网的服务器应置于非军事区(DMZ)。DMZ的主要用途是什么?A)降低内部系统的风险。B)为服务器准备潜在攻击。C)降低与暴露服务器相关的风险。D)绕过防火墙的需要。答案:A解析:[单选题]73.WhichcombinationofcryptographicalgorithmsarecompliantwithFederalInformationProcessingStandard（FIPS）Publication140-2.fornon-legacysystems?哪种密码算法组合符合联邦信息处理标准（FIPS）出版物140-2。对于非遗留系统？A)Diffie-hellman（DH）keyexchange:DH（>=2048.bits）SymmetricKey:AdvancedEncryptionStandard（AES）>128.bitsDigitalSignature:Rivest-Shamir-Adleman（RSA）（1024.bits）Diffie-hellman（DH）密钥交换：DH（>=2048位）对称密钥：高级加密标准（AES）>128。bits数字签名：RivestShamirAdleman（RSA）（1024位）B)Diffie-hellman（DH）keyexchange:DH（>=2048.bits）SymmetricKey:AdvancedEncryptionStandard（AES）>128.bitsDigitalSignature:DigitalSignatureAlgorithm（DSA）（>=2048.bits）Diffie-hellman（DH）密钥交换：DH（>=2048位）对称密钥：高级加密标准（AES）>128。bits数字签名：数字签名算法（DSA）（>=2048位）C)Diffie-hellman（DH）keyexchange:DH（<=1024.bits）SymmetricKey:BlowfishDigitalSignature:Rivest-Shamir-Adleman（RSA）（>=2048.bits）Diffie-hellman（DH）密钥交换：DH（<=1024位）对称密钥：河豚数字签名：RivestShamirAdleman（RSA）（>=2048位）D)Diffie-hellman（DH）keyexchange:DH（>=2048.bits）SymmetricKey:AdvancedEncryptionStandard（AES）<128.bitsDigitalSignature:EllipticCurveDigitalSignatureAlgorithm（ECDSA）（>=256.bits）Diffie-hellman（DH）密钥交换：DH（>=2048位）对称密钥：高级加密标准（AES）<128。bits数字签名：椭圆曲线数字签名算法（ECDSA）（>=256位）答案:C解析:[单选题]74.在评估第三方应用程序时,以下哪一项是信息安全的最大责任?A)代表组织接受风险。B)向企业报告调查结果,以确定安全漏洞。C)量化产品选择对业务的风险。D)批准最符合安全要求的应用程序。答案:C解析:[单选题]75.为了使安全政策在组织内有效,必须包括A)明确界定问题的有力声明。B)适用于策略的所有标准的列表。C)所有者信息和上次修订的日期。D)纪律处分f或不遵守。答案:D解析:[单选题]76.Insoftwaredevelopment,developersshouldusewhichtypeofqueriestopreventaStructuredQueryLanguage（SQL）injection?在软件开发中，开发人员应该使用哪种类型的查询来防止结构化查询语言（SQL）注入？A)Parameterised参数B)Dynamic动态C)Static静态D)Controlled控制答案:A解析:[单选题]77.哪种密码算法是EIGamal密码系统的基础？A)RSAB)Diffie-HellmanC)3DESD)IDEA答案:B解析:[单选题]78.信息MD5的长度是？A)取决于该消息的大小B)128位C)160位D)256位答案:B解析:[单选题]79.以下哪一个是身份识别服务(IDaas)解决方案的共同功能?A)单个登录(SSO)身份验证支持B)特权用户身份验证支持C)密码重置服务支持D)终端访问控制器访问控制系统(TACACS)身份验证支持答案:A解析:[单选题]80.以下哪一个描述粒度?A)访问控制列表(ACL)中可用的最大条目数量B)受信任系统可以验证用户的精细性C)违规次数除以总访问次数D)可调整访问控制系统的精细度答案:D解析:[单选题]81.ThePRIMARYpurposeofasecurityawarenessprogramisto安全意识计划的主要目的是A)ensurethateveryoneunderstandstheorganization'spoliciesandprocedures.确保每个人都了解组织的政策和程序。B)communicatethataccesstoinformationwillbegrantedonaneed-to-knowbasis.传达在需要了解的基础上允许访问信息。C)warnallusersthataccesstoallsystemswillbemonitoredonadailybasis.警告所有用户，将每天监控对所有系统的访问。D)complywithregulationsrelatedtodataandinformationprotection.遵守有关数据和信息保护的法规。答案:A解析:[单选题]82.一个持续的信息安全监控程序可以通过以下哪一项来最好的降低风险?AcontinuousinformationsecuritymonitoringprogramcanBESTreduceriskthroughwhichofthefollowing?A)收集安全事件并关联它们以识别异常CollectingsecurityeventsandcorrelatingthemtoidentifyanomaliesB)促进对关键用户帐户活动的全系统可见性Facilitatingsystem-widevisibilityintotheactivitiesofcriticaluseraccountsC)包括人员、流程和技术Encompassingpeople,process,andtechnologyD)记录计划的和计划外的系统更改Loggingbothscheduledandunscheduledsystemchanges答案:C解析:[单选题]83.Asystemisdevelopedsothatitsbusinessuserscanperformbusinessfunctionsbutnotuseradministrationfunctions.Applicationadministratorscanperformadministrationfunctionsbutnotuserbusinessfunctions.ThesecapabilitiesareBESTdescribedas开发一个系统，使其业务用户可以执行业务功能，但不能执行用户管理功能。应用程序管理员可以执行管理功能，但不能执行用户业务功能。这些功能最好描述为A)leastprivilege.最低权限。B)rulebasedaccesscontrols.基于规则的访问控制。C)MandatoryAccessControl（MAC）.强制访问控制（MAC）。D)separationofduties.职责分离。答案:D解析:[单选题]84.(04103)Ahackercanusealockoutcapabilitytostartwhichofthefollowingattacks?黑客可以使用锁定能力来开始下面哪个攻击类型？A)Man-in-the-Middle(MITM)中间人攻击B)Man-in-the-Middle(MITM)中间人攻击C)Man-in-the-Middle(MITM)中间人攻击D)Man-in-the-Middle(MITM)中间人攻击答案:B解析:[单选题]85.高级管理人员要求数据库管理员对会计系统数据库进行特定更改。特别指示管理员不要跟踪或证明票据中的更改。以下哪项是最佳的行动方案?A)直接使用公司举报人流程通知审计委员会或内部审计。B)执行变更,但无论如何都要创建变更单,以确保具有完整的可追溯性。C)按照要求执行变更,并依靠下一次审计来发现和报告情况。D)忽略请求,不执行更改。答案:A解析:[单选题]86.PGP采用以下哪项对数据进行加密？A)非对称加密算法B)X.509数字证书C)对称密钥分配系统D)对称加密算法答案:D解析:<p>NoticethatthequestionspecificallyaskswhatPGPusestoencrypt.Forthis,PGPusesasymmetrickeyalgorithm.PGPthenusesanasymmetrickeyalgorithmtoencryptthesessionkeyandthensenditsecurelytothereceiver.Itisahybridsystemwherebothtypesofciphersarebeingusedfordifferentpurposes.</p>[单选题]87.侵害网站的攻击者经常获取散列密码的数据库。什么技术可以最好地保护这些密码免受使用预先计算值的自动密码破解攻击A)使用MD5散列算法B)使用SHA-1散列算法C)盐D)双散列答案:C解析:使用盐会在散列化之前向密码添加一个指定的值,这使得执行预计算变得更困难。MD5和SHA-1都是常用的散列算法,因此使用它们不会加强安全性。双重散列只会对攻击者造成轻微的不便,而且不会像使用盐那样有效。Saltingaddsrandomtexttothepasswordbeforehashinginanattempttodefeatautomatedpasswordcrackingattacksthatuseprecomputedvalues.MDSandSHA-1arebothcommonhashingalgorithms,sousingthemdoesnotaddanysecurity.Double-hashingwouldonlybeaminorinconvenienceforanattackerandwouldnotbeaseffectiveastheuseofsalting.[单选题]88.(04096)Whenoutsourcinganorganization'ssecurityfunctions,itisMOSTimportantthat当组织外包安全职能时，最重要的是A)contractualobligationsareclearlydefined.清晰定义了合同的义务B)contractualobligationsareclearlydefined.清晰定义了合同的义务C)contractualobligationsareclearlydefined.清晰定义了合同的义务D)contractualobligationsareclearlydefined.清晰定义了合同的义务答案:C解析:[单选题]89.Gavin是一名内部审计师,负责检查其组织的变革管理实践。他想查看对软件包所做的一系列更改,以确定它们是否已正确记录。他应该从哪里获得对每个提议更改的描述?A)CABB)RFCC)SOARD)SIEM答案:B解析:每个变更都应该是经过审查和批准的变更请求(RFC)的结果。这些RFC可能会得到变更咨询委员会(CAB)的批准。组织使用的安全信息和事件管理(SIEM)以及安全编排、自动化和响应(SOAR)平台通常不会包含有关变更管理流程。[单选题]90.(04039)Whichoneofthefollowingdescribesgranu