CISSP考试练习(习题卷18)

试卷科目：CISSP考试练习CISSP考试练习(习题卷18)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.Joe担心电子邮件消息的机密性,因为他们将Internet从组织的服务器传输到最终目的地。Joe可以确保电子邮件机密性的最佳方法是什么?A)在客户端和服务器之间使用TLS。B)在客户端和服务器之间使用SSL。C)加密电子邮件内容。D)使用数字签名。答案:C解析:[单选题]2.大多数信息系统的计划外停机归因于下列哪一原因？A)硬件故障B)自然灾害C)人为错误D)软件故障答案:A解析:[单选题]3.Whatarethethreekeybenefitsthatapplicationdevelopersshouldderivefromthenorthboundapplicationprogramminginterface（API）ofsoftwaredefinednetworking（SDN）?应用程序开发人员应该从软件定义网络（SDN）的北行应用程序编程接口（API）中获得的三个关键好处是什么？A)Familiarsyntax,abstractionofnetworktopology,anddefinitionofnetworkprotocols熟悉的语法、网络拓扑的抽象和网络协议的定义B)Networksyntax,abstractionofnetworkflow,andabstractionofnetworkprotocols网络语法、网络流抽象和网络协议抽象C)Networksyntax,abstractionofnetworkcommands,andabstractionofnetworkprotocols网络语法、网络命令的抽象和网络协议的抽象D)Familiarsyntax,abstractionofnetworktopology,andabstractionofnetworkprotocols熟悉的语法、网络拓扑的抽象和网络协议的抽象答案:C解析:[单选题]4.以下哪一项最能支持在将补丁应用于组织系统时对修补程序兼容性进行有效测试?A)斯坦的配置设备sB)标准化补丁测试设备C)自动系统修补D)修补的管理支持答案:A解析:[单选题]5.安全架构师计划参考强制访问控制(MAC)模型进行实现。这表示正在优先处理以下哪些属性?A)一个。保密性B)正直C)可用性D)可及性答案:C解析:[单选题]6.获得未经授权访问具有长复杂密码保护的文件的最有效方法是什么?A)野蛮武力攻击B)弗雷克·恩西分析C)社会工程D)字典攻击答案:C解析:[单选题]7.intheprograminstructioncontainstheaddressofthefinaldesiredlocation?在内存寻址中以下哪项方式描述了程序指令包含了最终的位置地址?A)Indexedaddressing索引寻址B)Programaddressing程序寻址C)Indirectaddressing间接寻址D)Directaddressing直接寻址答案:C解析:[单选题]8.下列哪个正确地描述了角色型访问控制？A)它允许你以映射到你的用户配置文件组的方式规定和执行企业特定的安全策略B)它允许你以映射到组织结构的方式规定和执行企业特定的安全策略C)它允许你以映射到售票系统的方式规定和执行企业特定的安全策略D)它允许你以映射到ACL的方式规定和执行特定的安全策略答案:B解析:<p>Rolebasedaccesscontrol(RBAC)isanalternativetotraditionaldiscretionary(DAC)andmandatoryaccesscontrol(MAC)policies.TheprinciplemotivationbehindRBACisthedesiretospecifyandenforceenterprise-specificsecuritypoliciesinawaythatmapsnaturallytoanorganization'sstructure.Traditionally,managingsecurityhasrequiredmappinganorganization'ssecuritypolicytoarelativelylow-levelsetofcontrols,typicallyaccesscontrollists.</p>[单选题]9.知识产权主要涉及以下哪一项?A)所有者实现经济收益的能力B)所有者维护版权的能力C)所有者享受其创作的权利D)所有者控制交付方法的权利答案:D解析:[单选题]10.(04151)以下哪一项对组织的安全态度(安全立场)影响最大？A)国际和国内的合规要求B)国际和国内的合规要求C)国际和国内的合规要求D)国际和国内的合规要求答案:D解析:[单选题]11.当用户位于不同的地理位置时,以下哪种密钥分发方式最麻烦?A)迪菲-赫尔曼B)公钥加密C)离线D)托管答案:C解析:[单选题]12.在系统什么开发周期的哪个阶段，一个安全评估报告和认可申明被产生？A)项目初始和计划初始B)验收阶段C)系统设计说明阶段D)开发和文档阶段答案:B解析:<p>Notethequestionasksaboutan"evaluationreport"-whichdetailshowthesystemevaluated,andan"accreditationstatement"whichdescribesthelevelthesystemisallowedtooperateat.Becausethosetwoactivitiesareapartoftestingandtestingisapartoftheacceptancephase,theonlyanswerabovethatcanbecorrectis"acceptancephase".</p>[单选题]13.Scrum大师在敏捷开发中的主要角色是什么?A)选择主要发展语法B)选择综合发展环境C)将软件要求与交付计划相匹配D)项目管理软件交付答案:D解析:[单选题]14.下列哪种攻击类型取决于精确的时间?A)TOC/TOUB)SQL注入C)传递散列值D)跨站点脚本答案:A解析:[单选题]15.这里显示了什么代码审查流程?A)静态检查B)Fagan检查C)动态检查D)接口测试答案:B解析:Fagan检查是一个高度形式化的审查和测试过程,使用规划、概述、准备、检查、返工和后续步骤。静态检查查看代码而不运行它,动态检查使用实时程序,接口测试会测试代码模块的交互。Faganinspectionisahighlyformalizedreviewandtestingprocessthatusesplanning,overview,preparation,inspection,rework,andfollow-upsteps.Staticinspectionlooksatcodewithoutrunningit,dynamicinspectionusesliveprograms,andinterfacetestingtestswherecodemodulesinteract.[单选题]16.如果受到损害,以下哪一项将导致对多个虚拟机器的开发?A)虚拟设备驱动程序B)虚拟机器莫尼托rC)虚拟机实例D)虚拟机器文件系统答案:B解析:[单选题]17.如何最好地利用从业务连续性培训和实际恢复事件中吸取的教训?A)作为改进的手段B)作为认识和培训的替代选择C)作为政策需要的指标D)作为业务功能差距指标答案:A解析:[单选题]18.以下哪类是针对物联网设备的恶意攻击的核心类别?A)节点捕获与结构化查询语言(SQL)注入B)数据包捕获与暴力攻击C)节点捕获和虚假数据注入D)包捕获和虚假数据注入答案:C解析:[单选题]19.Robert正在审查根据共同标准分配了EAL2评估保证级别的系统。他对系统的最高保证是什么?A)它已经完成了功能测试B)它已经完成了结构测试C)它已经完成了正式的验证、设计和测试D)它已经半正式地完成了设计和测试答案:B解析:EAL2可以保证系统通过结构测试,这是通用标准下的第二级别到最低级别的保证。EAL2assuranceapplieswhenthesystemhasbeenstructurallytested.Itisthesecond-to-lowestlevelofassuranceundertheCommonCriteria.[单选题]20.与更传统的控制框架相比,采用DevOps做法时,以下哪一项可视为最重大的安全挑战?A)实现服务级别协议(SLA),了解当发现安全漏洞时,修补程序的发布速度。B)保持职责隔离。C)用于记录、警报和安全指标的标准化配置。D)设计流程结束时,安全团队可进行最后一分钟的人工审核和审核。答案:B解析:[单选题]21.身份和访问提供生命周期的第二步是什么?A)供应B)回顾C)批准D)撤销答案:B解析:[单选题]22.Tamara最近决定购买网络安全保险,以便在发生数据泄露时支付公司的费用。她追求什么风险管理策略?A)风险接受B)风险缓解C)风险转移D)风险规避答案:C解析:风险转移涉及将潜在风险的影响从本组织中转移出去。保险是风险转移的常见例子。RisktransferenceinvolvesshiftingtheimpactofaPotentialriskfromtheorganizationincurringtheriskToanotherorganization.InsuranceisacommonExampleofrisktransference.[单选题]23.一个谁定义的模型定义了一个约束的数据，完整的验证和？A)授权模型B)Biba鼻子模型C)CIarkWilson模特D)Bell-LaPadula人体模型答案:C解析:[单选题]24.以下哪一网络攻击不是拒绝服务攻击？A)死亡之pingB)SMURF蓝精灵攻击C)TCPSYN传输层同步封包洪水式攻击D)蛮力攻击答案:D解析:[单选题]25.Whenassessingwebvulnerabilities,howcannavigatingthedarkwebaddvaluetoapenetrationtest?在评估web漏洞时，如何导航黑暗的web为渗透测试增加价值？A)Theactualoriginandtoolsusedforthetestcanbehidden.可以隐藏用于测试的实际原点和工具。B)Informationmaybefoundonrelatedbreachesandhacking.可能会发现有关违规和黑客行为的信息。C)Vulnerabilitiescanbetestedwithoutimpactonthetestedenvironment.可以在不影响测试环境的情况下测试漏洞。D)Informationmaybefoundonhiddenvendorpatches.可以在隐藏的供应商补丁上找到信息。答案:D解析:[单选题]26.ThePRIMARYsecurityconcernforhandhelddevicesisthe手持设备的主要安全问题是A)strengthoftheencryptionalgorithm.加密算法的强度。B)spreadofmalwareduringsynchronization.同步期间恶意软件的传播。C)abilitytobypasstheauthenticationmechanism.绕过身份验证机制的能力。D)strengthofthePersonalIdentificationNumber（PIN）.个人识别码（PIN）的强度。答案:C解析:[单选题]27.什么可以定义为一个枚举数据证书的数据结构，在到期之前就被发行者吊销并向CA进行申报？A)不受信证书列表B)机构吊销列表C)证书吊销树D)证书吊销列表答案:B解析:[单选题]28.Arecompanieslegallyrequiredtoreportalldatabreaches?法律是否要求公司报告所有数据泄露？A)No,differentjurisdictionshavedifferentrules.不，不同的司法管辖区有不同的规则。B)No,notifthedataisencrypted.不，如果数据已加密，则不会。C)No,companies'codesofethicsdon'trequireit.不，公司的道德准则并不要求这样做。D)No,onlyifthebreachhadamaterialimpact.不，只有在违规行为产生重大影响的情况下。答案:A解析:[单选题]29.安全从业人员的任务是建立组织资产处理流程。应该考虑哪项因素会对这些流程的开发产生较大影响?Asecuritypractitionerhasbeentaskedwithestablishingorganizationalassethandlingprocedures.WhatshouldbeconsideredthatwouldhavetheGREATESTimpacttothedevelopmentoftheseprocedures?A)介质处理程序MediahandlingproceduresB)用户角色和职责UserrolesandresponsibilitiesC)可接受使用政策(AUP)AcceptableUsePolicy(AUP)D)信息分类方案Informationclassificationscheme答案:D解析:[单选题]30.Virtualizationoffersmanybenefits.Whichofthefollowingincorrectlydescribesvirtualization?虚拟化提供了很多好处。下面关于虚拟化描述不正确的是?A)Virtualizationsimplifiesoperatingsystempatching.虚拟化能简化操作系统补丁B)Virtualizationcanbeusedtobuildcalculatingplatform.虚拟化可用于构建一个安全的计算平台C)Virtualizationcanprovidedefectsanderrorcontainment.虚拟机可以遏制缺陷和错误D)Virtualmachinesprovidepowerfuldebuggingcapabilities.虚拟机可以提供强大的调试能力答案:A解析:[单选题]31.在设计漏洞测试时,以下哪一个测试可能最清楚地说明当前网络上运行的组件是什么?A)拓扑图B)映射工具C)资产登记册D)平测试答案:B解析:[单选题]32.下列哪项提供了基于主体的物理特征的认证?A)帐户IDB)生物识别技术C)令牌D)销答案:B解析:B.指纹、虹膜扫描等物理生物识别方法为受试者提供身份验证。帐户ID提供身份识别。令牌是您拥有的东西,它创建一次性密码,但它与物理特征无关。个人识别号码(PIN)是你知道的东西。[单选题]33.(04087)Whatisessentialwhendevelopingaccesscontrolpoliciesandprocedures?在制定访问控制策略和程序时，什么是最重要的？A)Sensitivityandcriticality敏感性和重要性B)Sensitivityandcriticality敏感性和重要性C)Sensitivityandcriticality敏感性和重要性D)Sensitivityandcriticality敏感性和重要性答案:A解析:[单选题]34.Chris工作的公司在每道门上张贴通知,提醒员工要小心,要求他们不允许其他人进入。哪种类型的控制能最恰当地描述这一点?A)探测B)物理C)预防D)指令答案:D解析:通知和程序(像在Chris公司张贴的通知)属于指令访问控制。探测控制一般发生在事实之后。该公司的门和锁都是物理控制的例子。预防性控制用于阻止事件的发生,包括门锁。NotificationsandprocedureslikethesignspostedatthecompanyChrisworksforareexamplesofdirectiveaccesscontrols.Detectivecontrolsaredesignedtooperateafterthefact.Thedoorsandthelocksonthemareexamplesofphysicalcontrols.Preventivecontrolsaredesignedtostopanevent,andcouldalsoincludethelocksthatarepresentonthedoors.[单选题]35.HowdoesEncapsulatingSecurityPayload（ESP）intransportmodeaffecttheInternetProtocol（IP）?在传输模式下封装安全有效负载（ESP）如何影响Internet协议（IP）？A)EncryptsandoptionallyauthenticatestheIPheader,butnottheIPpayload加密并可选地验证IP标头，但不验证IP有效负载B)EncryptsandoptionallyauthenticatestheIPpayload,butnottheIPheader加密并可选地验证IP有效负载，但不验证IP标头C)AuthenticatestheIPpayloadandselectedportionsoftheIPheader验证IP有效负载和IP标头的选定部分D)EncryptsandoptionallyauthenticatesthecompleteIPpacket加密并可选地验证完整的IP数据包答案:B解析:[单选题]36.Alyssa的团队最近实施了一个新系统,该系统从各种不同的日志源收集信息,分析这些信息,然后触发自动脚本响应安全事件。什么术语最能描述这项技术?Alyssa'steamrecentlyimplementedanewsystemthatgathersinformationfromavarietyofdifferentlogsources,analyzesthatinformation,andthentriggersautomatedplaybooksinresponsetosecurityevents.Whattermbestdescribesthistechnology?A)SIEMSIEMB)日常存储库LogrepositoriesC)IPSIPSD)SOARSOAR答案:D解析:安全信息和事件管理(SIEM)系统确实将来自多个来源的信息关联起来并执行分析,但它们无法提供自动脚本响应。这就是安全编排、自动化和响应(SOAR)平台的领域。入侵防御平台的范围更有限,允许根据IPS本身执行的分析阻止流量。日志存储库只收集日志信息,不执行分析。[单选题]37.一旦事务处理在所有的系统上和被验证为能正确的,它就会被提交,并且数据库无法回滚。A)i、iiB)i、iiiC)ii、ivD)iv答案:D解析:D。下面是ACID测试的正确特点:原子性(atomicity)将事务处理分成多个工作单元,并确保所有修改都生效或都不生效。要么所有修改都提交,要么数据库回滚。-致性(consistency)事务处理必须遵守为特定数据库制定的完整性策略,并且确保在不同数据库中所有数据的一致性。隔离性(solation)事务处理完全隔离执行直至完成.事务处理之间互不影响。在事务处理完成前,修改的结果不会生效。持久性(durability)一旦事务处理在所有的系统上都被验证为是正确的,它就会被提交,并且数据库无法回滚。[单选题]38.WhichHyperTextMarkupLanguage5.（HTML5）optionpresentsasecuritychallengefornetworkdataleakagepreventionand/ormonitoring?哪种超文本标记语言5。（HTML5）选项对网络数据泄漏预防和/或监控提出了安全挑战？A)CrossOriginResourceSharing（CORS）跨源资源共享（CORS）B)WebSocketsC)DocumentObjectModel（DOM）trees文档对象模型（DOM）树D)WebInterfaceDefinitionLanguage（IDL）Web界面定义语言（IDL）答案:B解析:[单选题]39.The802.1xstandardprovidesaframeworkforwhat?802.1x标准为什么提供了框架？A)Networkauthenticationforonlywirelessnetworks仅用于无线网络的网络身份验证B)Networkauthenticationforwiredandwirelessnetworks有线和无线网络的网络身份验证C)WirelessencryptionusingtheAdvancedEncryptionStandard（AES）使用高级加密标准（AES）进行无线加密D)WirelessnetworkencryptionusingSecureSocketsLayer（SSL）使用安全套接字层（SSL）的无线网络加密答案:B解析:[单选题]40.Inanenvironmentwherethereisnotfulladministrativecontroloverallnetworkconnectedendpoints,suchasauniversitywherenon-corporatedevicesareused,whatistheBESTwaytorestrictaccesstothenetwork?在没有对所有网络连接端点进行完全管理控制的环境中，例如使用非公司设备的大学，限制访问网络的最佳方式是什么？A)Useswitchportsecuritytolimitdevicesconnectedtoaparticularswitchport.使用交换机端口安全性来限制连接到特定交换机端口的设备。B)Useofvirtuallocalareanetworks（VLAN）tosegregateusers.使用虚拟局域网（VLAN）隔离用户。C)Useaclient-basedNetworkAccessControl（NAC）solution.使用基于客户端的网络访问控制（NAC）解决方案。D)UseaclientlessNetworkAccessControl（NAC）solution使用无客户端网络访问控制（NAC）解决方案答案:A解析:[单选题]41.哪种备份策略组合可以提供最快的备份恢复时间?A)完全备份和差异备份B)部分备份和增量备份C)完全备份和增量备份D)增量备份和差异备份答案:A解析:任何备份策略都必须在过程中的某个时刻包含完全备份。如果同时使用完全备份和差异备份,则最多只能恢复两个备份。如果选择了完全备份和增量备份的组合,则所需恢复的数量可能会很大。[单选题]42.哪个合规责任与信息卡信息的处理有关？A)SOXB)HIPAAC)PCIDSSD)FERPA答案:C解析:PCIDSS支付卡行业数据安全标准[单选题]43.John想要生成他计划发送给Mary的2,048字节消息的消息摘要。如果他使用SHA-2散列算法,生成的消息摘要的可能大小是多少?A)160位B)512位C)1,024位D)2,048位答案:B解析:[单选题]44.Onereasonanorganizationwouldconsideradistributedapplicationis:一个组织会考虑分布式应用的原因之一是;A)Somecomponentsareeasiertooperate一些组件更容易操作B)Distributedapplicationshaveasimplerarchitecturethanothertypesofapplications分布式应用程序比其他类型的应用程序有一个更简单的架构C)someapplicationcomponentsareownedandoperatedbyotherorganizations一些应用程序组件是由其他姐织拥有和操作的D)Distributedapplicationsareeasiertosecure分布式应用程序更容易获得安全答案:C解析:[单选题]45.通过仔细对齐锁中的引脚,以下哪一个定义在没有正确密钥的情况下打开机械锁?A)锁定平宁B)L袜子采摘C)锁碰撞D)锁砖答案:B解析:[单选题]46.在购买商用现成(COTS)软件时,应首先执行以下步骤中的哪一个?A)作为授权流程的一部分进行安全评估B)制定风险管理战略C)硬化托管服务器,并执行软管和应用程序漏洞扫描D)制定系统和服务获取的政策和程序答案:D解析:[单选题]47.SecureSocketsLayer（SSL）encryptionprotects安全套接字层（SSL）加密保护A)dataatrest.静态数据。B)thesourceIPaddress.源IP地址。C)datatransmitted.传输的数据。D)dataavailability.数据可用性。答案:C解析:[单选题]48.一个典型的安全管理员最可执行的以下哪一项功能？A)设置用户许可和初始密码B)添加和删除系统用户C)设置或更改文件的敏感度标签D)审查审计数据答案:B解析:[单选题]49.在应用软件更新生产系统之前，这是最重要的：A)充分披露威胁的地址是可用的B)维修过程记录C)生产系统备份D)一个独立的证明的有效性答案:C解析:[单选题]50.在调查恶意事件时,从上个月开始只有六天的审核日志可用。应该更新什么策略来解决此问题?Whileinvestigatingamaliciousevent,onlysixdaysofauditlogsfromthelastmonthwereavailable.Whatpolicyshouldbeupdatedtoaddressthisproblem?A)保留RetentionB)报告ReportingC)恢复RecoveryD)补救Remediation答案:A解析:[单选题]51.在设计已获得软件的程序和验收标准时,以下哪一项是重要标准?A)代码质量、安全性和原产地B)架构、硬件和固件C)数据质量、来源和扩展D)分布式、敏捷和本ch测试答案:A解析:[单选题]52.以下四个迭代步骤中的哪一个是在第三方供应商的持续基础上进行的？A)调查、评估、响应、监控B)框架、评估、响应、监控C)框架、评估、修复、监控D)调查、评估、补救、监控答案:C解析:首先需要有计划，评估后，如果有偏差需要纠正，并持续监控[单选题]53.警卫是适当的，只要安全程序所需的功能包括以下哪一项？A)使用鉴别判断。B)使用武力。C)访问控制设备的操作。D)需要检测未经授权的访问答案:A解析:<p>Thisisthecorrectanswer,wedon'thaveguardsonlytousephysicalforce,thatisnottherealfunctionalityofthemifyoursecuritypolicyiswelloriented.Theyarenotonlytheretooperatecontroldevicesandtodetectunauthorizedaccess,asstatedinCISSPdocumentation,theappropriatefunctionofaguardinsideasecurityprogramistheuseofdiscriminatingjudgment.</p>[单选题]54.虽然使用特定程序语言的代码可能不易受到缓冲器溢出攻击,A)大多数对插件程序的呼叫都容易受到影响。B)大多数支持应用程序代码是易受影响的。C)应用程序使用的图形图像可能是可理解的。D)支持虚拟机器可能易受感染。答案:C解析:[单选题]55.Cameron负责备份公司的主文件服务器。他配置了一个备份计划,该计划在每个星期一晚上9:00执行完全备份,同时在一周的其他天执行增量备份。在星期三的备份中将复制多少个文件?A)1B)2C)5D)6答案:B解析:这种情况下,服务器上的所有文件将在完全备份期的星期一晚上备份。星期二的增量备份会包括自星期一的完全备份以来更改的所有文件:文件1.2和5。星期三的增量备份会包括自星期二增量备份以来修改的所有文件:文件3和6。Inthisscenarío,allofthefilesontheserverwillbebackeduponMondayeveningduringthefullbackup.Tuesday'sincrementalbackupwillincludeallfileschangedsinceMonday'sfullbackup:files1,2,and5.Wednesday'sincrernentalbackupwillthenincludeallfilesmodifiedsinceTuesday'sincrementalbackup:files3and6.[单选题]56.以下哪一项不是备份方式类型？A)增量备份法B)反应备份法C)全部备份法D)差异备份法答案:B解析:<p>ThecorrectanswerisReactive.Reactiveisnotabackupmethod.</p>[单选题]57.Asecuritypractitionerneedstoimplementationsolutiontoverifyendpointsecurityprotectionsandoperatingsystem（0S）versions.WhichofthefollowingistheBESTsolutiontoimplement?安全从业者需要实施解决方案来验证端点安全保护和操作系统（0S）版本。以下哪一项是要实施的最佳解决方案？A)Anintrusiondetectionsystem（IDS）入侵检测系统（IDS）B)Anintrusionpreventionsystem（IPS）入侵防御系统（IPS）C)NetworkAccessControl（NAC）网络访问控制（NAC）D)Afirewall防火墙答案:B解析:[单选题]58.Ben为一家小型咖啡店连锁店提供网络和安全服务。这家咖啡连锁店希望为客户提供安全、免费的无线网络。如果Ben不需要担心协议支持问题,以下哪项是Ben可以使用的最佳选择,允许客户安全地连接到他的无线网络而无需用户帐户?A)在PSK模式下使用WPA2。B)在SAE模式下使用WPA3。C)在企业模式下使用WPA2。D)使用强制门户。答案:B解析:WPA3?snewSAE(simultaneousauthenticationofequals)modeimprovesonWPA2?sPSKmodebyallowingforsecureauthenticationbetweenclientsandthewirelessnetworkwithoutenterpriseuseraccounts.1/214、FrancineisasecurityspecialistforanonlineserviceproviderintheUnitedStates.Sherecentlyreceivedaclaimfromacopyrightholderthatauserisstoringinformationonherservicethatviolatesthethirdparty?scopyright.WhatlawgovernstheactionsthatFrancinemusttake?A)CopyrightActB)LanhamActC)DigitalMillenniumCopyrightActD)GrammLeachBlileyAct正确答案C[单选题]59.作为一名DBA,Amy在其组织中的数据角色包括数据策略和标准的技术实施,以及管理存储数据的数据结构。什么数据角色最适合Amy的工作?AsaDBA,Amy'sdataroleinherorganizationincludestechnicalimplementationsofthedatapoliciesandstandards,aswellasmanagingthedatastructuresthatthedataisstoredin.WhatdatarolebestfitswhatAmydoes?A)数据监管者DatacustodianB)数据所有者DataownerC)数据处理者DataprocessorD)数据使用者Datauser答案:A解析:Amy是一名数据监管者,负责技术环境,这包括数据库结构和数据策略的技术实现等。一些组织可能会与其他数据角色重叠,包括数据控制者或数据管理员,但这里最好的答案:是数据监管者。Amy不是数据用户,也不是代表数据控制者使用数据的数据处理者。Amyisadatacustodianandisresponsibleforthetechnicalenvironment,includingthingslikedatabasestructuresandthetechnicalimplementationsofdatapolicies.Someorganizationsmayoverlapotherdataroles,includingdatacontrollersordatastewards,butthebestanswerhereisadatacustodian.Amyisnotadatauserandisnotadataprocessorwhousesthedataonbehalfofadatacontroller.[单选题]60.哪种技术是在联合身份解决方案中填充基于云的目录的先决条件？Whichtechnologyisaprerequisiteforpopulatingthecloud-baseddirectoryinafederatedidentitysolution?A)通知工具NotificationtoolB)安全令牌工具SecuritytokentoolC)同步工具SynchronizationtoolD)消息队列工具Messagequeuingtool答案:B解析:[单选题]61.信息分类系统的一个共同局限性是无法A)限制分类的数量B)在磁盘上生成内部标签C)在适当的时候解密信息D)建立信息所有权答案:C解析:[单选题]62.ssh的优势A)实现远程登录B)传输数据加密C)匿名通信D)抗DDOS攻击答案:B解析:略章节：模拟考试202201[单选题]63.Chris想要验证他下载的软件包是否与原始版本匹配。如果他认为技术复杂的攻击者可能已经用包含后门的版本替换了软件包,他应该使用什么散列工具?A)MD5B)3DESC)SHA1D)SHA256答案:D解析:[单选题]64.根据Gartner的说法,云访问安全代理(CASB)是本地部署,即基于云的安全策略实施点,位于云服务使用者和云服务提供商之间,以在访问基于云的资源时合并和插入企业安全策略。以下哪项是最不常见的CASB实施?A)安装一台服务器,作为来自客户端的请求的中介。B)安装一台服务器,代替客户端从一台或多台服务器提取资源。C)安装一台服务器,接受来自客户端的建立VPN连线的请求。D)安装一台服务器,通过API提供对云应用程序的直接安全访问。答案:C解析:[单选题]65.以下哪一个是针对暴力登录攻击的最佳对策?A)更改所有规范密码B)减少并发用户会话的数量C)仅亲自限制初始密码传递D)系统访问尝试失败后,我已尝试延迟答案:D解析:[单选题]66.以下哪一个是使用配置管理的主要原因?A)提供集中管理B)减少更改次数C)减少升级过程中的错误D)在安全控制方面提供一致性答案:D解析:[单选题]67.下列哪些不是DevOps模型的三个组件之一?A)软件开发B)变更管理C)质量保证D)操作答案:B解析:DevOps模型的三个组件是软件开发、操作和质量保证。ThethreecomponentsoftheDevOpsmodelaresoftwaredevelopment,operations,andqualityassurance.[单选题]68.Roger的组织遭遇了客户信用卡记录的泄露。根据PCIDSS的条款,哪个组织可以选择对此事进行调查?Roger'sorganizationsufferedabreachofcustomercreditcardrecords.UnderthetermsofPCIDSS,whatorganizationmaychoosetopursueaninvestigationofthismatter?A)FBIFBIB)当地执法部门LocallawenforcementC)银行BankD)PCISSCPCISSC答案:C解析:PCIDSS是支付卡行业安全标准委员会(PCISSC)颁布的一项标准,但通过商家与其银行之间的合同关系强制被执行。因此,根据PCIDSS银行是启动调查的适当实体。如果情况需要,地方和联邦执法机构(例如FBI)可以决定进行刑事调查,但他们无权执行PCIDSS要求。PCIDSSisastandardpromulgatedbythePaymentCardIndustrySecurityStandardsCouncil(PCISSC),butisenforcedthroughcontractualrelationshipsbetweenmerchantsandtheirbanks.Therefore,thebankwouldbetheappropriateentitytoinitiateaninvestigationunderPCIDSS.Localandfederallawenforcementagencies(suchastheFBI)coulddecidetopursueacriminalinvestigationifthecircumstanceswarrant,buttheydonothavetheauthoritytoenforcePCIDSSrequirements.[单选题]69.组织将执行哪种类型的测试,以便定位和定位可利用的缺陷?A)渗透B)系统C)性能D)脆弱性答案:A解析:[单选题]70.知识产权主要关注以下哪一项?A)-个,所有者实现经济收益的能力B)所有者维护版权的能力C)所有者享受其创作的权利D)所有者控制交付方式的权利答案:D解析:[单选题]71.什么类型的漏洞扫描从它运行的系统访问配置信息以及可以通过网络提供的服务访问的信息?A)认证扫描B)Web应用程序扫描C)未经身份验证的扫描D)端口扫描答案:A解析:经过身份验证的扫描使用只读帐户访问配置文件,从而可以更准确地测试漏洞。Web应用程序扫描、未经身份验证的扫描和端口扫描无权访问配置文件,除非它们被无意暴露。[单选题]72.认证过程的主要结果在于能提供有记录的ThePRIMARYoutcomeofacertificationprocessisthatitprovidesdocumentedA)系统弱点以供修正Systemweaknessesforremediation.B)用于安全评估,测试和流程评估的标准Standardsforsecurityassessment,testing,andprocessevaluation.C)互联系统及其实施的安全控制Interconnectedsystemsandtheirimplementedsecuritycontrols.D)制定基于风险的决策所需要的安全分析Securityanalysesneededtomakearisk-baseddecision.答案:D解析:[单选题]73.Inafinancialinstitution,whohastheresponsibilityforassigningtheclassificationtoapieceofinformation?在金融机构中，谁负责将分类分配给一条信息？A)ChiefFinancialOfficer（CFO）首席财务官（CFO）B)ChiefInformationSecurityOfficer（CISO）首席信息安全官（CISO）C)Originatorornominatedowneroftheinformation信息的发起人或指定所有者D)Departmentheadresponsibleforensuringtheprotectionoftheinformation负责确保信息保护的部门负责人答案:C解析:[单选题]74.以下哪项限制了个人执行特定过程的所有步骤的能力?A)一个。工作轮换B)职责分离C)最小特权D)强制性假期答案:B解析:[单选题]75.可以描述为一个抽象机器必须调解所有主体对客体的访问？A)安全边界B)安全内核C)引用监视器D)安全域答案:C解析:[单选题]76.Whattestingtechniqueenablesthedesignertodevelopmitigationstrategiesforpotentialvulnerabilities?什么样的测试技术使设计师能够针对潜在漏洞制定缓解策略？A)Manualinspectionsandreviews手动检查和审查B)Penetrationtesting渗透测试C)Threatmodeling威胁建模D)Sourcecodereview源代码审计答案:C解析:[单选题]77.以下哪几项描述了安全计算系统所采用的一种逻辑划分形式？A)进程的输入和输出设备使用不同的安全等级。B)隐藏进程数据并计算时隐藏进程外部的访问C)受到访问限制，这样每个进程都不能被许可域的对象D)进程的访问权限是基于粒度的控制对象答案:C解析:[单选题]78.受试者可以与对象进行授权交互的类型是A)控制。B)许可。C)程序。D)协议。答案:B解析:[单选题]79.Whomustapprovemodificationstoanorganization'sproductioninfrastructureconfiguration?谁必须批准对组织生产基础架构配置的修改？A)Technicalmanagement技术管理B)Changecontrolboard变更控制委员会C)Systemoperations系统操作D)Systemusers系统用户答案:B解析:[单选题]80.以下哪一个是阻碍成功数据分类计划的关键因素?A)行政赞助B)信息安全赞助C)最终用户接受度D)内部审计验收答案:A解析:[单选题]81.Anauditorcarryingoutacomplianceauditrequestspasswordsthatareencryptedinthesystemtoverifythatthepasswordsarecompliantwithpolicy.WhichofthefollowingistheBESTresponsetotheauditor?执行合规性审核的审计员请求在系统中加密的密码，以验证密码是否符合策略。以下哪项是对审计师的最佳回应？A)Providetheencryptedpasswordsandanalysistoolstotheauditorforanalysis.向审计员提供加密密码和分析工具进行分析。B)Analyzetheencryptedpasswordsfortheauditorandshowthemtheresults.分析审计员的加密密码，并向他们显示结果。C)Demonstratethatnon-compliantpasswordscannotbecreatedinthesystem.演示无法在系统中创建不合规密码。D)Demonstratethatnon-compliantpasswordscannotbeencryptedinthesystem.演示无法在系统中加密不合规密码。答案:C解析:[单选题]82.AnInformationTechnology（IT）professionalattendsacybersecurityseminaroncurrentincidentresponsemethodologies.Whatcodeofethicscanonisbeingobserved?一位信息技术（IT）专业人士参加了一个关于当前事件响应方法的网络安全研讨会。遵守什么道德准则？A)Providediligentandcompetentservicetoprincipals对雇主提供勤勉和胜任的服务B)Protectsociety,thecommonwealth,andtheinfrastructure保护社会、联邦和基础设施C)Advanceandprotecttheprofession促进和保护职业D)Acthonorable,honesty,justly,responsibly,andlegally行为正直、诚实、公正、负责、合法答案:A解析:[单选题]83.Susan的组织正在更新其密码策略,并希望使用最强的密码。什么密码要求可以最大限度的防止暴力攻击?A)将最大年龄从1岁更改为180天。B)将最小密码长度从8个字符增加到16个字符。C)增加密码复杂度,至少需要三个字符类(如大写、小写、数字和符号)。D)保留至少四个密码的密码历史记录以防止重复使用。答案:B解析:[单选题]84.对于所有受影响的个人，除了下列哪一项之外，个人都有知情权？A)限制个人电子邮件B)录音电话交谈C)收集有关上网习惯的信息D)用于保存电子邮件的备份机制答案:D解析:[单选题]85.InaTransmissionControlProtocol/InternetProtocol（TCP/IP）stack,whichlayerisresponsiblefornegotiatingandestablishingaconnectionwithanothernode?在传输控制协议/互联网协议（TCP/IP）堆栈中，哪一层负责与另一个节点协商并建立连接？A)Transportlayer传输层B)Applicationlayer应用层C)Networklayer网络层D)Sessionlayer会话层答案:A解析:[单选题]86.保留系统日志六个月或更长时间对于哪些活动可能很有价值?A)灾后恢复和业务连续性B)法医和事件反应C)身份和授权管理D)物理和逻辑访问控制答案:B解析:[单选题]87.以下哪项仅用于加密通过网络传输的数据,并且不能用于加密静止数据?A)TKIPB)AESC)3DESD)RSA答案:A解析:TKIP仅用于加密传输中的数据,而不用于静止数据。RSA、AES和3DES适用于静止数据和传输中的数据。TKIPisonlyusedasameanstoencrypttransmissionsandisnotusedfordataatrest.RSA,AES,and3DESareallusedondataatrestaswellasdataintransit.[单选题]88.Asystemsengineerisdesigningawideareanetwork（WAN）environmentforaneworganization.TheWANwillconnectsitesholdinginformationatvariouslevelsofsensitivity,frompubliclyavailabletohighlyconfidential.Theorganizationrequiresahighdegreeofinterconnectednesstosupportexistingbusinessprocesses.WhatistheBESTdesignapproachtosecuringthisenvironment?一位系统工程师正在为一个新组织设计广域网（WAN）环境。WAN将连接具有不同敏感度的站点，从公开到高度机密。组织需要高度的互联性来支持现有的业务流程。保护此环境的最佳设计方法是什么？A)Placefirewallsaroundcriticaldevices,isolatingthemfromtherestoftheenvironment.在关键设备周围放置防火墙，将其与环境的其他部分隔离。B)Layermultipledetectiveandpreventativetechnologiesattheenvironmentperimeter.在环境周边部署多种检测和预防技术。C)Usereverseproxiestocreateasecondary"shadow"environmentforcriticalsystems.使用反向代理为关键系统创建辅助?影子?环境。D)Alignriskacrossallinterconnectedelementstoensurecriticalthreatsaredetectedandhandled.协调所有互联要素的风险，以确保检测和处理关键威胁。答案:B解析:[单选题]89.马修最近编写了一个解决数学问题的创新算法,他想与世界分享它。然而,在技术期刊上发表软件代码之前,他希望获得某种知识产权(IP)保护。哪种保护措施最适合他的需要?A)版权B)商标C)专利D)商业秘密答案:A解析:[单选题]90.哪个行业最直接受到《Gramm-Leach-Bliley法案》条款的影响？A)医疗保健B)银行C)执法机构D)国防承包商答案:B解析:规定了金融机构处理个人信息[单选题]91.(04134)以下哪一项能最有效的防止外包软件开发中的安全缺陷？A)进行软件许可、代码知识产权保护B)进行软件许可、代码知识产权保护C)进行软件许可、代码知识产权保护D)进行软件许可、代码知识产权保护答案:C解析:[单选题]92.防止无意中披露受限制的信息,以下哪一项是媒体被丢弃之前消除数据的最不有效的流程?A)多路过写B)消磁C)高级格式设置D)物理破坏n答案:C解析:[单选题]93.接近识别设备的两种一般类型是什么?A)生物测定设备和访问控制设备B)刷卡设备和被动元器件C)预置码装置与无线装置D)用户激活设备和系统传感设备答案:D解析:D。用户激活式系统要求用