CISSP考试练习(习题卷13)

试卷科目：CISSP考试练习CISSP考试练习(习题卷13)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.Atypeofpreventive/physicalaccesscontrolis:预防/物理访问控制类型是A)Biometricsforidentification用生物特征识别技术进行身份识别B)Anintrusiondetectionsystem入侵检测系统C)Biometricsforauthentication用生物特征识别技术进行身份验证D)Motiondetectors运动检测器答案:A解析:[单选题]2.以下哪项功能能最有效地防止企业移动设备上的数据盗取?WhichofthefollowingfeaturesisMOSTeffectiveinmitigatingagainsttheftofdataonacorporatemobiledeviceWhichhasstolen?A)带密钥托管的全设备加密WholedeviceencryptionwithkeyescrowB)带有设备擦除功能的移动设备管理(MDM)MobileDeviceManagement(MDM)withdevicewipeC)带地理定位的移动设备跟踪MobiledevicetrackingwithgeolocationD)带有流量加密的虚拟专用网络(VPN)VirtualPrivateNetwork(VPN)withtrafficencryption答案:B解析:[单选题]3.哪些安全模式在商业环境中最常用,因为它保护了财务和会计数据的完整性?A)比巴B)格雷厄姆-丹宁C)克拉克-威尔森D)贝勒-拉帕杜拉答案:C解析:[单选题]4.当数字敏感信息被存储在DVD-R时，确保数据不会消磁的方法是通过A)删除B)消磁C)储库破坏D)覆写答案:C解析:<p>CD、DVD等光介质必须物理销毁，确保无残留数据可销毁。由于本文中提到的介质是只读介质（一次性刻录）DVD，其上的信息不能被覆盖或删除。<br/>消磁可以减少或消除磁非介质中的数据剩磁。光学媒体。</p>[单选题]5.Darcy是Roscommon农产品公司的信息安全风险分析师。她目前正在试图决定公司是否应为其主数据中心购买升级的灭火系统。数据中心设施的重置成本为200万美元。与精算师、数据中心经理和消防专家协商后,Darcy了解到,如果发生一般火灾,那么可能需要更换建筑物内的所有设备,但不会导致重大的结构性损坏。他们一起估计,从火灾中恢复将需要75万美元。他们还确定,该公司每50年会发生一次这样的火灾。根据上述信息,Roscommon农产品数据中心的火灾年发生率是多少?A)0.002B)0.005C)0.02D)0.05答案:C解析:[单选题]6.TheconfigurationmanagementandcontroltaskofthecertificationandaccreditationprocessisincorporatedinwhichphaseoftheSystemDevelopmentLifeCycle(SDLC)?A)SystemacquisitionanddevelopmentB)SystemoperationsandmaintenanceC)SysteminitiationD)Systemimplementation答案:B解析:configurationmanagement[单选题]7.Alyssa的团队最近实施了一个新系统,该系统从各种不同的日志源收集信息,分析该信息,然后触发自动剧本以响应安全事件。哪个术语最能描述这项技术?Alyssa?steamrecentlyimplementedanewsystemthatgathersinformationfromavarietyofdifferentlogsources,analyzesthatinformation,andthentriggersautomatedplaybooksinresponsetosecurityevents.Whattermbestdescribesthistechnology?A)SIEMB)LogrepositoriesC)IPSD)SOAR答案:D解析:[单选题]8.Afteracquiringthelatestsecurityupdates,whatmustbedonebeforedeployingtoproductionsystems?在获取最新的安全更新后，在部署到生产系统之前必须执行哪些操作？A)Usetoolstodetectmissingsystempatches使用工具检测缺失的系统修补程序B)Installthepatchesonatestsystem在测试系统上安装修补程序C)Subscribetonotificationsforvulnerabilities订阅漏洞通知D)Assesstheseverityofthesituation评估情况的严重性答案:B解析:[单选题]9.以下哪项是法医从恶意软件中获取最多相关信息的最佳方法?A)检查代码以确定其来源。B)分析程序的行为。C)检查文件属性和权限。D)分析软件生成的日志。答案:B解析:[单选题]10.如果一条2048位明文消息通过EIGamal公钥密码系统加密，所得的密文消息有多长？A)1024位B)2048位C)4096位D)8192位答案:C解析:缺陷是会翻倍[单选题]11.针对系统控制问题,以下哪一个系统保证过程可以给出广为信任的独立第三方评估?Whichoneofthefollowingsystemsassuranceprocessesprovidesanindependentthird-partyevaluationofasystem'scontrolsthatmaybetrustedbymanydifferentorganizations?A)认证过程CertificationB)定义过程DefinitionC)验证过程VerificationD)鉴定过程Accreditation答案:C解析:验证过程与认证过程类似,因为它验证了安全控制。通过涉及第三方测试服务和得出广为信任的结果,验证可以进一步进行。鉴定是管理层正式接受评估的系统,而非评估系统本身的行为。Theverificationprocessissimilartothecertificationprocessinthatitvalidatessecuritycontrols.Verificationmaygoastepfurtherbyinvolvingathird-partytestingserviceandcompilingresultsthatmaybetrustedbymanydifferentorganizations.Accreditationistheactofmanagementformallyacceptinganevaluatingsystem,notevaluatingthesystemitself.[单选题]12.(04056)Duringthedevelopmentofacontingencyplan,whichofthefollowingprocessesMUSTbeperformedpriortothedesignphase?在开发业务连续性计划时，下面哪个流程必须是在设计阶段之前执行的？A)Maintenanceanalysis维护分析B)Maintenanceanalysis维护分析C)Maintenanceanalysis维护分析D)Maintenanceanalysis维护分析答案:A解析:[单选题]13.(04010)WhydosomesiteschoosenottoimplementTrivialFileTransferProtocol(TFTP)?为什么一些站点不选择实施TFTP协议？A)listrestrictions列表限制B)listrestrictions列表限制C)listrestrictions列表限制D)listrestrictions列表限制答案:C解析:[单选题]14.马特在一家电信公司工作,一名联邦特工联系了马特,寻求协助根据搜查令窃听马特的一个客户。以下哪一项法律要求通信服务提供商配合执法请求?A)ECPAB)CALEAC)PrivacyActD)HITECHAct答案:B解析:[单选题]15.AtaMINIMUM,aformalreviewofanyDisasterRecoveryPlan（DRP）shouldbeconducted至少应对任何灾难恢复计划（DRP）进行正式审查A)monthly.每月一次B)quarterly.每季度一次C)annually.每年一次D)bi-annually.每两年一次答案:C解析:[单选题]16.Ben所在的组织有一个传统的现场ActiveDirectory环境,该公司有350名员工,每增加一名员工都需要进行手动配置。随着公司采用新技术,他们越来越多地使用软件即服务应用程序来替换其内部开发的软件堆栈。Ben的任务是设计一个身份管理系统,该系统允许公司使用云服务,同时应该支持现有的系统。使用给出的逻辑图,回答关于以下问题。如果组织最关心的是身份验证服务的可用性,那么Ben应该使用什么类型的身份验证平台?A)在线B)基于云的C)混合D)外包答案:C解析:混合身份验证服务可在云端和企业内部提供验证服务,可消除由于链路中断而导致的服务中断。现场验证服务在因特网中断期间可继续提供服务,但不允许电子商务网站进行身份验证。基于云的验证服务将使公司处于脱机状态。外包身份验证没有明确指出解决方案在组织内部还是在组织外部,因此含糊不清,不是。Ahybridauthenticationservicecanprovideauthenticationservicesinboththecloudandon-premise,ensuringthatserviceoutagesduetointerruptedlinksareminimized.[单选题]17.在为已识别风险确定适当对策时,以下哪项最重要?WhichofthefollowingisMOSTimportantwhendeterminingappropriatecountermeasuresforanidentifiedrisk?A)与现有控制的交互InteractionwithexistingcontrolsB)成本CostC)组织风险承受能力OrganizationalrisktoleranceD)补丁可用性Patchavailability答案:C解析:[单选题]18.组织执行安全授权流程的主要原因是A)组织必须做出有意识的风险决策。B)确保安全控制的有效性。C)确保存在正确的安全组织。D)强制组织争取管理支持。答案:A解析:[单选题]19.什么法案更新了《健康保险流通与责任法案》HIPAA的隐私和安全要求？A)HITECHB)CALEAC)CFAAD)CCCA答案:A解析:[单选题]20.什么是降低自定义软件中安全缺陷风险的一种方法?A)在Earned价值管理(EVM)合同中包括安全语言B)在服务级别协议(SLA)中包括安全保证条款C)仅购买商用现成(COTS)产品D)仅购买没有开源应用程序编程接口(API)的软件答案:B解析:[单选题]21.业务连续性计划(BCP)培训和意识计划的目标是A)提高创建、维护和执行计划所需的技能。B)规定在发生灾害时进行高水平的恢复。C)向新员工描述恢复组织。D)为每个恢复团队提供检查表和程序。答案:A解析:[单选题]22.哪种法律系统的特征依赖先前对法律的解释?A)侵权行为B)习惯法C)普通法D)民法(法典)答案:C解析:普通法律系统是唯一基于先前法律解释的。这意味着系统包括法律和法院在特定情况下的判决。侵权行为可以(通常)是普通法律系统的一部分,所以对此题而言只是一个不完整的回答。[单选题]23.关于模拟和数字信号之间的区别，下面哪一个声明是不正确的？A)数字信号产生波形波形。B)模拟信号不能用于数据通信。C)模拟信号大面积波形。D)模拟信号可以通过变化而变化。答案:B解析:<p>正确答案是?模拟信号不能用于数据通信?。其他答案都是模拟或数字信号的所有属性。</p>[单选题]24.对数据进行分类时,通常不考虑下列哪一项特征?A)价值B)客体的大小C)可用的生命周期D)对国家安全的影响答案:B解析:大小不是建立数据分类的标准。在对目标进行分类时,应该考虑价值、生命周期和安全。[单选题]25.下面关于数据加密作为保护数据的一种方法的陈述，哪项是正确的？A)通常很容易管理B)对系统资源的需求很少C)它需要细心的密钥管理D)它有时也会被用作密码文件答案:C解析:[单选题]26.InanorganizationwhereNetworkAccessControl（NAC）hasbeendeployed,adevicetryingtoconnecttothenetworkisbeingplacedintoanisolateddomain.Whatcouldbedoneonthisdeviceinordertoobtainproperconnectivity?在部署了网络访问控制（NAC）的组织中，试图连接到网络的设备被放置到隔离域中。为了获得正确的连接，可以在该设备上执行哪些操作？A)Connectthedevicetoanothernetworkjack将设备连接到另一个网络插孔B)Applyremediation'saccordingtosecurityrequirements根据安全要求应用补救措施C)ApplyOperatingSystem（OS）patches应用操作系统（OS）修补程序D)ChangetheMessageAuthenticationCode（MAC）addressofthenetworkinterface更改网络接口的消息身份验证码（MAC）地址答案:B解析:[单选题]27.企业中最常使用什么类型的工具将资产与用户和所有者进行匹配?A)企业内容管理工具B)条形码属性标签C)基于RFID的财产标签D)系统清单答案:D解析:[单选题]28.Ken正在为他的团队开发的软件设计测试流程。他正在设计一个测试来验证每一行代码在测试过程中都得到了执行。肯进行什么类型的分析?A)分支机构覆盖B)条件覆盖C)功能覆盖D)声明范围答案:D解析:[单选题]29.Alex已经在大学工作10年以上。在那段时间,他一直是一个系统管理员和数据库管理员,在大学的服务台工作。他现在是运行大学Web应用程序的团队经理。使用此处显示的配置图,回答以下问题。Alex可以访问B、C和D。他应该向大学的身份管理团队提出什么问题?A)配置系统没有给他所需的权利B)他有过多的特权C)特权蠕变可能正在发生D)日志未正确启用答案:C解析:因为Alex的角色发生了改变,但他之前的访问权限仍保留不变。配置系统已经向他提供了管理工作站和应用程序服务器所需的权限,但是他已经不再管理数据库了,因此系统不应该继续保留他的数据库管理权限。由于没有指定权限级别,因此我们无法确定他是否拥有过多权限。日志记录可能启用,也可能未启用,该信息无法从图表或问题中得知。Alexhaschangedroles,heretainedaccesstosystemsthathenolongeradministers.Theprovisioningsystemhasprovidedrightstoworkstationsandtheapplicationservershemanages,butheshouldnothaveaccesstothedatabaseshenolongeradministers.Privilegelevelsarenotspecified,sowecan'tdetermineifhehasexcessiverights.[单选题]30.AtaMINIMUM,aformalreviewofanyDisasterRecoveryPlan（DRP）shouldbeconducted至少应对任何灾难恢复计划（DRP）进行正式审查A)quarterly.每季一次B)bi-annually.每两年一次。C)monthly.每月一次D)annually.每年一次答案:D解析:[单选题]31.下列哪一项不被视为违反保密'性?A)窃取密码B)窃听C)破坏硬件D)社会工程答案:C解析:硬件破坏是对可用性和完整性的破坏。违反保密性的行为包括捕获网络流量、窃取密码文件、社会工程、端口扫描、肩窥、窃听和嗅探。[单选题]32.以下哪项流程关注的是，不仅找出根本原因，但也解决根本问题？A)事件管理B)问题管理C)变更管理D)配置管理答案:B解析:<p>Whileincidentmanagementisconcernedprimarilywithmanaginganadverseevent,<br/>Problemmanagementisconcernedwithtrackingthateventbacktoarootcauseand<br/>Addressingtheunderlyingproblem.Maintainingsystemintegrityisaccomplishedthroughtheprocessofchangecontrolmanagement.Configurationmanagementisaprocessof<br/>Identifyinganddocumentinghardwarecomponents,software,andtheassociatedsettings</p>[单选题]33.访问控制技术不包括以下哪一个选项？A)相关访问控制B)自主访问控制C)强制访问控制D)基于格的访问控制答案:A解析:[单选题]34.使用DES算法加密的电子密码本模式的特征是？A)-个特定的明文块和一个特定的密钥始终生成相同的密文。B)前面DES的输出被作为输入使用。C)通过结合早期加密常规输出和明文，对单个字符进行编码。D)重复加密掩盖了任何可能己经出现在明文中的重复模式。答案:A解析:<p>Agivenmessageandkeyalwaysproducethesameciphertext.</p>[单选题]35.(04168)基于角色的访问方法最有效地减轻了以下哪项安全风险？A)业务应用程序中的职责分离冲突B)业务应用程序中的职责分离冲突C)业务应用程序中的职责分离冲突D)业务应用程序中的职责分离冲突答案:A解析:[单选题]36.WhattypeoftestassessesaDisasterRecovery（DR）planusingrealisticdisasterscenarioswhilemaintainingminimalimpacttobusinessoperations?什么类型的测试使用真实的灾难场景评估灾难恢复（DR）计划，同时保持对业务运营的最小影响？A)Parallel平行B)Walkthrough代码走查C)Simulation模拟仿真D)Tabletop图上作业答案:C解析:[单选题]37.一个组织已将其财务交易处理外包给云服务提供商(CSP),后者将为他们提供软件作为服务(SaaS)。如果出现数据泄露,谁应对货币损失负责?A)数据保护局B)云服务提供商(CSP)C)应用程序开发人员D)数据所有者答案:B解析:[单选题]38.以下哪项是使用第三方身份服务的主要优势?A)一个。多个提供商的整合B)目录同步C)基于网络的登录D)自动化帐户管理答案:D解析:[单选题]39.在确定应评估或监控自动控制的频率时，以下哪一项是主要考虑因素？A)自动控制的取值范围B)自动化控制的复杂性C)自动化控制的波动性D)控制的自动化程度答案:D解析:[单选题]40.敏捷开发中的最高优先级是什么?WhatistheHIGHESTpriorityinagiledevelopment?A)选择合适的编码语言SelectingappropriatecodinglanguageB)管理产品交付成本ManagingcostsofproductdeliveryC)软件提早和持续的交付EarlyandcontinuousdeliveryofsoftwareD)最大化的代码交付量Maximizingtheamountofcodedelivered答案:C解析:[单选题]41.通信网络中链接加密的一个优点是A)使关键管理和分发更加容易。B)通过整个网络自始至终保护数据。C)提高传输效率。D)将所有信息(包括标题和路由信息传导)都包含在一起。答案:D解析:[单选题]42.Steven'sstaffhasaskedforfundingtoimplementtechnologythatprovidesMobilelP.Steven'sstaffhasaskedforfundingtoimplementtechnologythatprovidesMobilelP.whichofthefollowingwouldbeareasonforemployingthistypeoftechnology?史提芬的工作人员已经要求提供资金以实施提供移动IP技术,下列哪项是采用这种技术的原因?A)Employeescanmovefromonenetworktoanother员工可以从一个网络移动到另一个网络B)Peer-to-peernetworkswouldnotbeallowed不允许对等网络C)Securitystaffcouldcarryoutsniffing安全人员可以进行嗅D)Userswouldnotbeallowedtomovetheirwirelessdevicesandstillstayconnectedtothenetwork用户将不被允许移动他们的无线设备,并仍然保持连接到网络答案:A解析:[单选题]43.Matchthetypesofe-authenticationtokenstotheirdescription.将电子身份验证令牌的类型与其描述相匹配。A)Drageache-authenticationtokenonthelefttoitscorrespondingdescriptionontheright.将左侧的每个电子身份验证令牌拖动到右侧的相应描述。B)Look-upsecrettoken-Aphysicalorelectronictokenthatstoresasetofsecretsbetweentheclaimantandthecredentialserviceprovider查找秘密令牌-在申请人和凭证服务提供商之间存储一组秘密的物理或电子令牌C)Out-of-BandToken-Aphysicaltokenthatisuniquelyaddressableandcanreceiveaverifier-selectedsecretforone-timeuse带外令牌-唯一可寻址的物理令牌，可接收验证器选择的机密以供一次性使用D)Pre-registeredKnowledgeToken-Aseriesofresponsestoasetofpromptsorchallengesestablishedbythesubscriberandcredentialserviceproviderduringtheregistrationprocess预注册知识令牌-对订阅者和凭证服务提供商在注册过程中建立的一组提示或质询的一系列响应答案:D解析:[单选题]44.AprojectmanagerforalargesoftwarefirmhasacquiredagovernmentcontractthatgenerateslargeamountsofControlledUnclassifiedInformation（CUI）.Theorganization'sinformationsecuritymanagerhasreceivedarequesttotransferproject-relatedCUIbetweensystemsofdifferingsecurityclassifications.Whatroleprovidestheauthoritativeguidanceforthistransfer?一家大型软件公司的项目经理获得了一份政府合同，该合同可生成大量受控非保密信息（CUI）。该组织的信息安全经理收到了在不同安全分类的系统之间传输项目相关CUI的请求。什么角色为此次转移提供了权威指导？A)Informationowner信息拥有者B)PM项目经理C)DataCustodian数据管理人D)Mission/BusinessOwner任务/业务负责人答案:C解析:[单选题]45.(04040)Computercrimeisgenerallymadepossiblebywhichofthefollowing?计算机犯罪通常由于下面哪项原因导致可能性？A)Theperpetratorobtainingtraining&specialknowledge.行为人获得培训和专门的知识B)Theperpetratorobtainingtraining&specialknowledge.行为人获得培训和专门的知识C)Theperpetratorobtainingtraining&specialknowledge.行为人获得培训和专门的知识D)Theperpetratorobtainingtraining&specialknowledge.行为人获得培训和专门的知识答案:D解析:[单选题]46.当敏感信息不再重要，但仍是记录政策范围之内，这些信息最好A)粗体B)重新分类C)消磁D)发布答案:B解析:[单选题]47.关于应用程序控制，哪一个问题不是正确的？A)它以?只有特定的屏幕显示?这样的方式限制了应用程序的终端用户B)只有特定的记录才能被要求选择。C)应用程序的特定用途可记录审计目的。D)对最终应用程序是不透明的，因此需要对所涉及的应用程序进行。答案:D解析:<p>应用程序控制在需要更改时为端点应用程序提供透明的感觉<br/>；这是它的特点之一。通过应用程序控制，您可以审核某些<br/>所涉及的应用程序的使用，并且只指定您选择的记录。还有<br/>可以限制最终用户应用程序仅提供对某些屏幕的访问。</p>[单选题]48.克里斯正在为他所在组织的旅行者提供建议，他们将访问海外许多不同的国家。他担心遵守出口管制法。以下哪种技术最有可能触发这些规定？A)Memorychips内存芯片B)Officeproductivityapplications办公生产力应用C)Harddrives硬盘驱动器D)Encryptionsoftware加密软件答案:D解析:有些国家安全相关法律法规中不允许加密章节：模拟考试202201[单选题]49.以下哪一选项不是合适用户账户管理的元素？A)用于跟踪访问权限的流程应予以实施。B)在敏感职位定期重新筛选人员C)应该定期审查用户账户D)用户应该永远不会被转出了其当前职责答案:D解析:[单选题]50.AVirtualMachine（VM）environmenthasfiveguestOperatingSystems（OS）andprovidesstrongisolation.WhatMUSTanadministratorreviewtoauditauser'saccesstodatafiles?虚拟机（VM）环境有五个客户操作系统（OS），并提供强大的隔离。管理员必须审核哪些内容才能审核用户对数据文件的访问权限？A)HostVMmonitorauditlogs主机VM监视器审核日志B)GuestOSaccesscontrols来宾操作系统访问控制C)HostVMaccesscontrols主机VM访问控制D)GuestOSauditlogs来宾操作系统审核日志答案:A解析:[单选题]51.SDN实现的哪一层使用程序通过API来传达对资源的需求?A)数据平面B)控制平面C)应用平面D)监控平面答案:C解析:软件定义网络(SDN)的应用程序平面是应用程序运行的地方,这些应用程序使用应用程序编程接口(API)与SDN就所需资源进行通信。控制平面接收指令并将其发送到网络。最后一个公共平面是设备本身。[单选题]52.(04079)WhatisaPRIMARYreasonfordesigningthesecuritykerneltobeassmallaspossible?什么是设计安全内核时需要尽可能小的主要原因？A)Theoperatingsystemcannotbeeasilypenetratedbyusers.操作系统不能被用户很容易渗透B)Theoperatingsystemcannotbeeasilypenetratedbyusers.操作系统不能被用户很容易渗透C)Theoperatingsystemcannotbeeasilypenetratedbyusers.操作系统不能被用户很容易渗透D)Theoperatingsystemcannotbeeasilypenetratedbyusers.操作系统不能被用户很容易渗透答案:A解析:[单选题]53.移动终端面临的最大安全漏洞在于：A)系统硬件B)移动操作系统C)分布式中间件D)互联网应用程序答案:D解析:略章节：模拟考试202201[单选题]54.以下哪一项是数据管理员的责任?A)确保数据治理工作与组织协调。B)对组织进行数据治理访谈。C)文档数据治理要求。D)确保将d影响的数据决策传达给组织。答案:A解析:[单选题]55.TheBESTmethodtomitigatetheriskofadictionaryattackonasystemisto减轻系统字典攻击风险的最佳方法是A)Useahardwaretoken.使用硬件令牌。B)Usecomplexpassphrases.使用复杂的密码短语。C)Implementpasswordhistory.实现密码历史记录。D)Encrypttheaccesscontrollist（ACL）加密访问控制列表（ACL）答案:A解析:[单选题]56."Stateful"differsfrom"Static"packetfilteringfirewallsbybeingawareofwhichofthefollowing??Stateful?与?Static?包过滤防火墙的区别在于了解以下哪一项？A)Differencebetweenanewandanestablishedconnection新连接和已建立连接之间的差异B)Originatingnetworklocation发起网络位置C)Differencebetweenamaliciousandabenignpacketpayload恶意和良性数据包负载之间的区别D)Originatingapplicationsession发起应用程序会话答案:A解析:[单选题]57.WhatHypertextTransferProtocol（HTTP）responseheadercanbeusedtodisabletheexecutionofinlineJavaScriptandtheexecutionofeval（）-typefunctions?什么超文本传输协议（HTTP）响应头可用于禁用内联JavaScript的执行和eval（）类型函数的执行？A)Strict-Transport-Security严格的运输安全B)X-XSS-ProtectionX-XSS-保护C)X-Frame-OptionsX帧选项D)Content-Security-Policy内容安全策略答案:D解析:[单选题]58.谁最适合批准组织信息安全政策?A)首席信息官B)首席信息安全官C)首席内部审计师D)首席执行官(首席执行官)答案:B解析:[单选题]59.下面哪一个模型实际上是一个包含模型软件开发的模型的元模型？A)瀑布模型。B)修改后的瀑布模型。C)螺旋模型。D)关键路径模型（CPM）。答案:C解析:[单选题]60.允许数据对象所有者允许其他用户访问该对象的做法通常会提供A)强制性访问控制(MAC)。B)所有者管理的控制。C)依赖所有者的访问控制。D)可自由裁量权控制(DAC)。答案:D解析:[单选题]61.以下哪一项不是对SQL注入攻击的有效控制?A)EscapingB)客户端输入验证C)参数化D)限制数据库权限答案:B解析:客户端输入验证不能有效控制任何类型的攻击,因为攻击者可以通过更改客户端上的代码轻松绕过验证。转义受限字符可防止它们被传递到数据库,参数化也是如此。限制数据库权限可防止执行危险代码。[单选题]62.Databackupverificationeffortsshould:数据备份验证工作应该:A)Havethesmallestscopepossible.尽可能有最小的范围B)Bebasedonthethreatstotheorganization.基于组织面临的各种威胁C)Maximizeimpactonbusiness.最大化对业务的影响D)Focusonuserdata.关注用户数据答案:B解析:[单选题]63.如果允许OpenID信任方控制连接OpenID提供程序,会引发什么危险?WhatdangeriscreatedbyallowingtheOpenIDrelyingpartytocontroltheconnectiontotheOpenIDprovider?A)错误选择适当的OpenID提供程序ItmaycauseincorrectselectionoftheproperOpenIDprovider.B)网络钓鱼攻击ItcreatesthepossibilityofaphishingattackbysendingdatatoafakeOpenIDprovider.C)窃取用户名和密码Therelyingpartymaybeabletostealtheclient'susernameandpassword.D)不发送签名声明Therelyingpartymaynotsendasignedassertion.答案:B解析:有可能会发生网络钓鱼攻击。由于OpenID提供程序URL由客户端提供,因此依赖方不能选择错误的提供程序。依赖方从未收到用户的密码,这意味着他们不能窃取它。最后,依赖方接收到签名的声明,但不发送。[单选题]64.Meganwantstopreparemediatoallowforitsreuseinanenvironmentoperatingatthesamesensitivitylevel.Whichofthefollowingisthebestoptiontomeetherneeds?A)ClearingB)ErasingC)PurgingD)Sanitization答案:A解析:[单选题]65.下列哪一项不是有效的风险定义？A)对概率、可能性或机会的评估B)任何消除脆弱性或免受一个或多个特定威胁的东西C)风险=威胁*脆弱性D)每一个暴露实例答案:B解析:[单选题]66.执行应用程序接口测试时,以下哪项是最重要的安全目标?A)检查与外部接口相关的错误条件,以防止应用程序详细信息泄漏B)确认所有平台均得到支持并正常运行C)评估系统或组件是否相互正确传递数据和控制D)验证软件、硬件和网络连接的兼容性答案:C解析:[单选题]67.Howdoessecurityinadistributedfilesystemusingmutualauthenticationdifferfromfilesecurityinamulti-userhost?使用相互身份验证的分布式文件系统中的安全性与多用户主机中的文件安全性有何不同？A)AccesscontrolcanrelyontheOperatingSystem（OS）,buteavesdroppingis访问控制可以依赖于操作系统（OS），但窃听是B)AccesscontrolcannotrelyontheOperatingSystem（OS）,andeavesdropping访问控制不能依赖于操作系统（OS）和窃听C)AccesscontrolcanrelyontheOperatingSystem（OS）,andeavesdroppingis访问控制可以依赖于操作系统（OS），而窃听是D)AccesscontrolcannotrelyontheOperatingSystem（OS）,andeavesdropping访问控制不能依赖于操作系统（OS）和窃听答案:C解析:[单选题]68.Doug正在选择一个软件开发生命周期模型,用于开发新业务应用程序。他有非常明确的要求,并希望选择一种早期强调开发全面文件的方法。他不需要生产快速原型或迭代改进。哪种模型最适合这种情况?A)敏捷B)瀑布C)螺旋D)DevOps答案:B解析:瀑布模型使用一种顺序开发软件的方法,会在需求设计上花费很多时间。螺旋和敏捷模型关注迭代开发,当需求不明确或首选迭代开发时可以选择这种模型。DevOps是一种集成开发和操作活动的方法,而不是SDLC(系统生命周期)模型。Thewaterfallmodelusesanapproachthatdevelopssoftwaresequentially,spendingquiteabitoftimeupfrontonthedevelopmentanddocumentationofrequirementsanddesign.Thespiralandagilemodelsfocusoniterativedevelopmentandareappropriatewhenrequirementsarenotwellunderstoodoriterativedevelopmentispreferred.[单选题]69.Asoftwaredeveloperinstallsagameontheirorganization-providedsmartphone.Uponinstallingthegame,thesoftwaredeveloperispromptedtoallowthegameaccesstocalllogs,ShortMessageService（SMS）messaging,andGlobalPositioningSystem（GPS）locationdata.WhathasthegameMOSTlikelyintroducedtothesmartphone?软件开发人员在其组织提供的智能手机上安装游戏。安装游戏后，系统会提示软件开发人员允许游戏访问通话记录、短消息服务（SMS）消息和全球定位系统（GPS）位置数据。游戏最有可能将什么引入智能手机？A)Alerting告警B)Vulnerability懦弱性C)Geo-fencing区域限定D)Monitoring监视答案:B解析:[单选题]70.(04128)应急计划演练的目的是？A)验证服务级别协议B)验证服务级别协议C)验证服务级别协议D)验证服务级别协议答案:D解析:[单选题]71.Chris负责整个公司的工作站,并且知道公司的一些工作站用于处理专有信息和高度敏感的商业机密。哪个选项最能描述他负责的工作站在生命周期结束(EOL)时应该做的的操作?A)ErasingB)ClearingC)SanitizationD)Destruction答案:D解析:[单选题]72.以下哪种方法是避免磁性媒体数据再利用的有效方法?A)消磁B)加密C)数据损失预防(DLP)D)认证答案:A解析:[单选题]73.哪些信息安全管理任务可确保有效满足组织的数据保护要求?A)账户管理B)备份验证C)日志审查D)关键绩效指标答案:B解析:[单选题]74.以下关于密码管理的陈述哪项是错误的？A)一个密钥使用得越多，其生生存期就越短B)在紧急情况下密钥应该进行备份或进行第三方保存C)当不使用完整地密钥空间时，密钥应该是非常随机的D)一个密钥的生存期应该它所保护数据的敏感性有关答案:C解析:<p>Akeyshouldalwaysbeusingthefullspectrumofthekeyspaceandbeextremelyrandom.Otherstatementsarecorrect.</p>[单选题]75.如果安全机制提供了可用性,它就提供了高度保障,授权的主体可以一一一数据、客体和资源。A)控制B)审计C)访问D)否认答案:C解析:数据、对象和资源的可访问性是可用性的目标。如果安全机制提供了可用性,那么它就提供了对数据、对象和资源可被授权主体访问的高度保证。[单选题]76.Whenusingthird-partysoftwaredevelopers,whichofthefollowingistheMOSTeffectivemethodofprovidingsoftwaredevelopmentQualityAssurance（QA）?使用第三方软件开发人员时，以下哪种方法是提供软件开发质量保证（QA）的最有效方法？A)Retainintellectualpropertyrightsthroughcontractualwording.通过合同条款保留知识产权。B)Performoverlappingcodereviewsbybothparties.执行双方的重叠代码审查。C)Verifythatthecontractorsattenddevelopmentplanningmeetings.验证承包商是否参加开发计划会议。D)Createaseparatecontractordevelopmentenvironment.创建一个单独的承包商开发环境。答案:B解析:[单选题]77.以下哪种工具最适合渗透测试的信息收集阶段?A)WhoisB)zzufC)NessusD)Metasploit答案:A解析:在渗透测试的信息收集和发现阶段,测试人员收有关目标的信息。Whois可提供有关组织的信息,包括IP范围、物理地址和员工联系人。Nessus在漏洞检测阶段很有用,Metasploit在开发过程中很有用。zzuf是一种Fuzzing工具,不太可能在渗透测试中使用。Duringtheinformationgatheringanddiscoveryphaseofapenetrationtest,testerswillgatherinformationaboutthetargetWhoiscanprovideinformationaboutanorganization,indudingIPranges,physicaladdresses,andstaffcontacts.Nessuswouldbeusefulduringavulnerabilitydetectionphase,andMetasploitwouldbeusefulduringexploitation.[单选题]78.Danielle正在测试税务软件,测试过程中要求她输入各种实际税务表格,以验证软件生成正确的答案。Danielle正在执行什么类型的测试?A)用例测试B)动态测试C)FuzzingD)误用测试答案:A解析:涉及功能的测试是用例测试。动态测试用于测试随时间变化的变量。误用测试的重点是代码如何测试误用情况。Fuzzing将意外数据作为输入,以查看代码如何响应。Testingfordesiredfunctionalityisusecasetesting.Dynamictestingisusedtodeterminehowcodehandlesvariablesthatchangeovertime.Misusetestingfocusesonhowcodehandlesexamplesofmisuse,andfuzzingfeedsunexpecteddataasaninputtoseehowthecoderesponds.[单选题]79.(04072)WhichofthefollowingisfrequentlyusedtoincreasetherandomnessofLinuxpasswords?通常在Linux密码中加入以下哪一项来增加它们的随机性？A)Salts盐B)Salts盐C)Salts盐D)Salts盐答案:D解析:[单选题]80.什么渗透测试技术可以最大限度地帮助评估安全培训和意识问题?A)端口扫描B)发现C)社会工程D)漏洞扫描答案:C解析:社会工程最符合题目的要求。渗透测试人员会使用社会工程学攻击来检测组织的员工是否受到了良好的安全培训,是否具备了一定的安全防范意识。端口和漏洞扫描发现是技术问题,并不与安全意识直接相关。?发现?涉及端口扫描或其他数据收集工作,但似乎和安全培训以及安全意识关系不大。Socialengineeringisthebestanswer,asitcanbeusefultopenetrationtesterswhoareaskedtoassesswhetherstaffmembersareapplyingsecuritytrainingandhaveabsorbedtheawarenessmessagestheorganizationuses.Portandvulnerabilityscanningfindtechnicalissuesthatmayberelatedtoawarenessortrainingissues[单选题]81.AninternationalmedicalorganizationwithheadquartersintheUnitedStates（US）andbranchesinFrancewantstotestadruginbothcountries.Whatistheorganizationallowedtodowiththetestsubject'sdata?一家总部位于美国、分支机构位于法国的国际医疗组织希望在这两个国家测试一种药物。组织可以对受试者的数据做什么？A)AggregateitintoonedatabaseintheUS在美国将其聚合到一个数据库中B)ProcessitintheUS,butstoretheinformationinFrance在美国处理，但在法国存储信息C)Shareitwithathirdparty与第三方共享D)AnonymizeitandprocessitintheUS匿名化并在美国进行处理答案:B解析:[单选题]82.(04031)AnewemployeeisgivenalaptopcomputerwithfulladministratoraccessThisemployeedoesnothaveapersonalcomputerathomeandhasachildthatusesthecomputertosendandreceivee-mail,searchtheweb,anduseinstantmessagingTheorganizationsInformationTechnology(IT)departmentdiscoversthatapeer-to-peerprogramhasbeeninstalledonthecomputerusingtheemployee'saccessWhichofthefollowingdocumentsexplainstheproperuseoftheorganization'sassets?一个新员工的笔记本电脑具有完全的管理员权限。这名雇员在家里没有自己的个人电脑，并且他有一个孩子也使用这台电脑发送和接收电子邮件，在网上搜索，使用即时消息等。该组织的信息技术（IT）部门发现使用了该员工的访问权限安装了一个对等（P2P）程序。下面哪个文档解释了如何正确使用公司的资产？A)Humanresourcespolicy人力资源政策B)Humanresourcespolicy人力资源政策C)Humanresourcespolicy人力资源政策D)Humanresourcespolicy人力资源政策答案:C解析:[单选题]83.下列哪个生物参数在很长一段时间内更适合身份验证使用？A)虹膜B)声纹C)动态签名D)视网膜答案:A解析:[单选题]84.在将资产所有权分配给部门时,以下哪一项最为重要?A)部门应向企业主报告B)应定期审查资产所有权C)应确保个人问责制D)所有成员都应接受责任培训答案:B解析:[单选题]85.假设您是域管理员并且正在选择一名员工来执行备份。哪种访问控制方法最适合这种情况?Supposeyouareadomainadministratorandarechoosinganemployeetocarryoutbackups.WhichaccesscontrolmethodwouldbeBESTforthisscenario?A)RBAC-基于角色的访问控制B)MAC-强制访问控制C)DAC-自主访问控制D)RBAC-基于规则的访问控制答案:A解析:[单选题]86.Dataremanenceisthebiggestthreatinwhichofthefollowingscenarios?在以下哪种情况下，数据剩磁是最大的威胁？A)Aphysicaldiskdrivehasbeenoverwrittenandreusedwithinadatacenter.数据中心内的物理磁盘驱动器已被覆盖和重用。B)Aphysicaldiskdrivehasbeendegaussed,verified,andreleasedtoathirdpartyfordest物理磁盘驱动器已消磁、验证并发布给第三方用于dest。。。。。。。C)Aflashdrivehasbeenoverwritten,verified,andreusedwithinadatacenter.闪存驱动器已在数据中心内被覆盖、验证和重用。D)Aflashdrivehasbeenoverwrittenandreleasedtoathirdpartyfordestruction.闪存驱动器已被覆盖并发布给第三方进行销毁。答案:D解析:[单选题]87.以下竞争情报攻击最好分类为性质类型的攻击？A)商业攻击B)知识攻击C)财务攻击D)恶意攻击答案:A解析:<p>既然我们说的是竞争情报攻击，我们可以将其归类为商业攻击，因为它正在扰乱商业活动。情报攻击是最<br/>最常用于伤害公司的攻击之一，在其信息中伤害更大。</p>[单选题]88.以下哪个适合人机共存环境的喷水灭火系统？A)湿管B)干管C)预作用D)集水答案:C解析:略章节：模拟考试202201[单选题]89.使用Web客户端输入验证的风险是?A)web服务器端可能无法验证接收到的客户端输入B)web服务器端可能会从web客户端接收到无效的输入C)Web客户端可能会从web服务器端接收到无效的输入D)输入内容在进行了客户端验证后,用户能够对其进行改变答案:D解析:略章节：模拟考试202201[单选题]90.Whichsectionoftheassessmentreportaddressesseparatevulnerabilities,weaknesses,andgaps?评估报告的哪一部分涉及单独的脆弱性、弱点和差距？A)Keyfindingssection主要调查结果部分B)Executivesummarywithfulldetails全面详细的执行摘要C)Riskreviewsection风险审查科D)Findingsdefinitionsection调查结果定义部分答案:A解析:[单选题]91.(04043)Guards