CISSP考试练习(习题卷21)

试卷科目：CISSP考试练习CISSP考试练习(习题卷21)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考试练习第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。[单选题]1.安全散列算法(SHA-1)产生了：A)来自于固定长度输入消息的固定长度的消息摘要B)来自于可变长度输入消息的可变长度的消息摘要C)自于可变长度输入消息的固定长度的消息摘要D)来自于固定长度输入消息的可变长度的消息摘要答案:C解析:<p>TheSecureHashAlgorithm(SHA-1)computesafixedlengthmessagedigestfromavariablelengthinputmessage.</p>[单选题]2.公司是否依法要求报告所有数据泄露?A)不,不同的司法管辖区有不同的规则。B)不,如果数据是加密的,则不会。C)不,公司的道德规范不需要它。D)不,只有当违规行为产生重大影响时。答案:A解析:[单选题]3.攻击矢量、复杂性、利用成熟度和需要多少用户交互等度量标准在什么评分系统中用到?A)CVEB)CVSSC)CNAD)NVD答案:B解析:通用漏洞评分系统(CVSS)使用攻击矢量、复杂性、利用成熟、需要多少用户交互等度量标准。CVE是公共漏洞和暴露字典,CNA是CVE编号管理机构,NVD是美国国家漏洞数据库。TheCommonVulnerabilityScoringSystem(CVSS)usesmeasuressuchasattackvector,complexity,exploitmaturity,andhowmuchuserinteractionisrequiredaswellasmeasuressuitedtolocalconcerns.CVEistheCommonVulnerabilitiesandExposuresdictionary,CNAistheCVENumberingAuthority,andNVDistheNationalVulnerabilityDatabase.[单选题]4.组织采用新的防火墙硬化标准。安全性如何专业验证技术人员是否正确执行了新标准?A)执行合规审查B)执行穿透测试C)培训技术人员D)调查技术人员答案:B解析:[单选题]5.Ahackercanusealockoutcapabilitytostartwhichofthefollowingattacks?黑客可以使用锁定功能启动以下哪种攻击？A)Denialofservice（DoS）拒绝服务（DoS）B)Dictionary词典C)Pingflood客以封包洪流D)Man-in-the-middle（MITM）中间人（MITM）答案:A解析:[单选题]6.依赖于启动位和停止位来管理数据传输的通信系统被称为什么类型的通信?A)模拟B)数字C)同步D)异步答案:D解析:异步通信依赖于启动位和停止位。这使得异步通信的效率比同步通信低,但异步通信可用于某些特定场合。Asynchronouscommunicationsrelyonaabuilt-instopandstartflagorbit.Thismakesasynchronouscommunicationslessefficientthansynchronouscommunications,butbettersuitedtosometypesofcommunication.[单选题]7.建立记录保留计划所需的第一步是：A)根据敏感度对记录进行分类B)确定并清点所有记录存储位置C)识别和清点所有记录D)起草记录保留政策答案:C解析:[单选题]8.Whennetworkmanagementisoutsourcedtothirdparties,whichofthefollowingistheMOSTeffectivemethodofprotectingcriticaldataassets?当网络管理外包给第三方时，以下哪种方法是保护关键数据资产的最有效方法？A)Providelinkstosecuritypolicies提供指向安全策略的链接B)Logallactivitiesassociatedwithsensitivesystems记录与敏感系统相关的所有活动C)Employstrongaccesscontrols采用强有力的访问控制D)Confirmthatconfidentialityagreementsaresigned确认已签署保密协议答案:C解析:[单选题]9.以下哪一步是事件响应过程中的第一步?A)确定事件的考本身B)将所涉及的系统与网络断开连接C)隔离并包含所涉及的系统D)调查所有症状以确认事件答案:D解析:[单选题]10.风险管理在SDLC的哪个阶段做安全成本最低？A)需求分析阶段B)设计C)开发D)维护答案:B解析:略章节：模拟考试202201[单选题]11.下面哪-种方法可以最好地避免云托管资源的数据剩余量泄露?A)数据删除后,强加密和删除密钥B)数据删除后,对虚拟主机进行强加密和删除。C)基于软件的双因素认证加密。D)物理服务器硬件加密。答案:A解析:[单选题]12.Kristen想要使用多个处理站点来处理她的数据,但不想为完整的数据中心付费。如果她希望能够将部分自定义应用程序环境快速迁移到多个国家/地区的设施,而无需等待发货或购买硬件,那么您会推荐以下哪一个作为她的最佳选择?A)云PaaS供应商B)托管数据中心提供商C)云IaaS供应商D)提供机架、电源和远程手持服务的数据中心供应商答案:C解析:云IaaS供应商将允许Kristen尽快设置基础设施并为其支付费用。PaaS供应商提供的平台需要她将自定义应用程序迁移到该平台,这可能比托管数据中心提供商花费的时间更长。一家提供机架、电源和远程手动协助的数据中心供应商未能通过测试,因为Kristen不想购买或运送硬件。[单选题]13.下列哪一项不是(ISC)2道德守则的四个规范之A)避免可能危及公正性的利益冲突B)保护社会公共利益和维持必要的公众信任C)正直、诚实、公正、负责任和合法地行事D)为负责人提供高效优质的服务答案:A解析:(ISC)2道德守则的四个规则分别是:保护社会公共利益和维持必要的公众信任;正直、诚实、公正、负责任和合法地行事;为负责人提供高效优质的服务;推进和保护专业。Thefourcanonsofthe(ISC)2codeofethicsaretoprotectsociety,thecommongood,necessarypublictrustandconfidence,andtheinfrastructure;acthonorably,honestly,justly,responsibly,andlegally;providediligentandcompetentservicetoprincipals;andadvanceandprotecttheprofession.[单选题]14.下列哪一项不能与计算机事件处理共同进行？A)系统幵发活动B)服务台功能C)系统备份功能D)风险管理流程答案:A解析:[单选题]15.系统开发生命周期(SDLC)流程的安全认证任务在哪个阶段结束时完成?A)一个。系统采集和开发B)系统操作和维护C)系统启动D)系统实施答案:B解析:[单选题]16.当Jim进入其组织的数据中心时，他必须使用智能卡和密码进入，先通过第一组门，接着第一组门关闭，然后他必须再次使用他的卡通过第二组门。这是什么类型的控制，它叫什么？A)物理控制；单向活板门B)逻辑控制；双刷卡控制C)指令控制；单向通道走廊D)预防性访问控制；陷门答案:D解析:[单选题]17.(04090)WhichofthefollowingistheMOSTcommonmethodofmemoryprotection?下面哪个是最通用的内存保护方法？A)Segmentation分段B)Segmentation分段C)Segmentation分段D)Segmentation分段答案:C解析:[单选题]18.AnimportantprincipleofdefenseindepthisthatachievinginformationsecurityrequiresabalancedfocusonwhichPRIMARYelements?A)Development,testing,anddeploymentB)Prevention,detection,andremediationC)People,technology,andoperationsD)Certification,accreditation,andmonitoring答案:C解析:[单选题]19.管理层希望用户在访问基于云的资源时使用多因素身份验证。以下哪-种访问控制模型可以满足此需求?A)基于风险的访问控制B)强制访问控制(MAC)C)RBAC(Role-BasedAccessControl)D)自由访问控制(DAC)答案:A解析:A.基于风险的访问控制模型可能要求用户使用多因素身份验证进行身份验证。列出的其他访问控制模型都无法评估用户是如何登录的。MAC模型使用标签来授予访问权限。RBAC模型基于作业角色或组授予访问权限。在DAC模型中,所有者授予资源访问权。[单选题]20.Anetworkadministratorisdesigninganewdatacenterinadifferentregionthatwillneedtocommunicatetotheolddatacenterwithasecureconnection.WhichofthefollowingaccessmethodswouldprovidetheBESTsecurityforthisnewdatacenter?网络管理员正在另一个地区设计一个新的数据中心，该数据中心需要与旧数据中心进行安全连接。以下哪种访问方法可以为这个新的数据中心提供最佳的安全性？A)Virtualnetworkcomputing虚拟网络计算机B)SecureSocketShell安全接壳C)in-bandconnection带内连接D)Site-to-siteVPN站点到站点VPN答案:D解析:[单选题]21.当评估结果发现关键网络组件中的漏洞时,以下哪项是准确的陈述?A)整个网络面临重大攻击风险的可能性很小B)任何相邻连接的组件被攻击者破坏的可能性很低C)修复所有漏洞后应立即进行第二次评估D)每个其他主机都被充分加固的事实并没有改变网络面临攻击风险的事实答案:C解析:[单选题]22.防止两个高级权限的人在工作中合谋应对措施是？A)双人控制B)最小特权C)岗位轮换D)职责分离答案:D解析:略章节：模拟考试202201[单选题]23.Whenselectingadiskencryptiontechnology,whichofthefollowingMUSTalsobeassuredtobeencrypted?选择磁盘加密技术时，还必须确保对以下哪项进行加密？A)MasterBootRecord（MBR）主引导记录（MBR）B)Pre-bootenvironment预引导环境C)BasicInputOutputSystem（BIOS）基本输入输出系统（BIOS）D)Hibernationfile休眠文件答案:A解析:[单选题]24.Host-BasedIntrusionProtection（HIPS）systemsareoftendeployedinmonitoringorlearningmodeduringtheirinitialimplementation.Whatistheobjectiveofstartinginthismode?基于主机的入侵保护（HIPS）系统通常在其初始实现期间以监视或学习模式部署。在此模式下启动的目标是什么？A)Automaticallycreateexceptionsforspecificactionsorfiles自动为特定操作或文件创建异常B)Determinewhichfilesareunsafetoaccessandblacklistthem确定访问哪些文件不安全并将其列入黑名单C)Automaticallywhitelistactionsorfilesknowntothesystem自动将系统已知的操作或文件列入白名单D)Buildabaselineofnormalorsafesystemeventsforreview建立正常或安全系统事件的基线以供审查答案:D解析:[单选题]25.作为访问控制的一种类型，下列哪个要求避免事件发生？A)预防性B)威慑性C)侵入性D)检测性答案:A解析:<p>Therearedifferenttypesofaccesscontrol.Accesscontrolscanbecategorizedasfollows:</p><p>Preventive(inordertoavoidoccurrence)</p><p>Detective(inordertodetectoridentifyoccurrences)</p><p>Deterrent(inordertodiscourageoccurrences)</p><p>Corrective(Inordertocorrectorrestorecontrols)</p><p>Recovery(inordertorestoreresources,capabilities,orlosses)</p>[单选题]26.DRP至少多久审批一次？A)高层变动B)按业务需求C)每季度D)每年或根据业务需求更少频次答案:D解析:略章节：模拟考试202201[单选题]27.Whenbuildingadatacenter,sitelocationandconstructionfactorsthatincreasethelevelofvulnerabilitytophysicalthreatsinclude在构建数据中心时，增加物理威胁脆弱性的站点位置和建设因素包括A)hardenedbuildingconstructionwithconsiderationofseismicfactors.考虑地震因素的硬化建筑结构。B)adequatedistancefromandlackofaccesstoadjacentbuildings.与相邻建筑物保持足够的距离，且无法进入相邻建筑物。C)curvedroadsapproachingthedatacenter.通往数据中心的弯道。D)proximitytohighcrimeareasofthecity.靠近城市的高犯罪率地区。答案:D解析:[单选题]28.TCP/IP三次握手序列的最后阶段是什么？A)SYN包B)ACK包C)NAK包D)SYN/ACK包答案:B解析:SYN->SYN/ACK->ACK[单选题]29.下列标准/准则中哪一项要求定义信息安全管理系统(ISMS)?A)国际标准化组织关于(ISO)27000个家庭B)信息技术基础设施图书馆C)支付卡行业数据安全标准(PCIDS)D)ISO/IEC20000答案:A解析:[单选题]30.公司把设备和科研移到海外，安全官应担⼼心什么？A)设备被B)物理安全C)知识产权D)缺少安全措施答案:C解析:略章节：模拟考试202201[单选题]31.Withoutpropersignalprotection,embeddedsystemsmaybepronetowhichtypeofattack?如果没有适当的信号保护，嵌入式系统可能容易受到哪种类型的攻击？A)Bruteforce暴力破解B)Tampering干扰C)Informationdisclosure信息披露D)DenialofService（DoS）拒绝服务（DoS）答案:C解析:[单选题]32.IndividualaccesstoanetworkisBESTdeterminedbasedon个人对网络的访问最好根据A)riskmatrix.风险矩阵。B)valueofthedata.数据的值。C)businessneed.业务需求。D)dataclassification.数据分类。答案:C解析:[单选题]33.为了控制业务连续性管理(BCM)系统的范围,安全从业人员应确定以下哪项?TocontrolthescopeofaBusinessContinuityManagement(BCM)system,asecuritypractitionershouldidentifywhichofthefollowing?A)组织的规模、性质和复杂性Size,nature,andcomplexityoftheorganizationB)安全组织的业务需求BusinessneedsofthesecurityorganizationC)所有可能的风险AllpossiblerisksD)未来恢复规划的适应模型Adaptationmodelforfuturerecoveryplanning答案:B解析:[单选题]34.以下哪项最符合?零信任?概念？WhichofthefollowingbestalignswithZeroTrustconcepts?A)将资源分为由分段网关(segmentationgateway)保护的较小分段GroupresourcesintosmallersegmentsprotectedbyasegmentationgatewayB)发布安全策略以禁止从公共场所（例如自助餐厅）连接Issueasecuritypolicytoprohibitconnectionsfrompublicplaces,e.g.,cafeteriaC)修改合同，要求供应商和承包商在现场工作Revisethecontracttorequirevendorsandcontractorstoworkon-siteD)仅允许远程工作者通过VPN连接到公司网络AllowremoteworkerstoconnecttocorporatenetworksbyVPNonly答案:A解析:[单选题]35.Ofthefollowing,whichBESTprovidesnon-repudiationwithregardstoaccesstoaserverroom?以下哪项最能提供服务器机房访问的不可否认性？A)FobandPersonalIdentificationNumber（PIN）Fob和个人识别号（PIN）B)Lockedandsecuredcages锁定和固定的笼子C)Biometricreaders生物识别读卡器D)Proximityreaders接近读卡器答案:C解析:[单选题]36.Rivest-Shamir-Adleman(RSA)算法最适合以下哪种操作?TheRivest-Shamir-Adleman(RSA)algorithmisBESTsuitedforwhichofthefollowingoperations?A)批量数据加解密BulkdataencryptionanddecryptionB)用于用户和消息身份验证的单向安全散列One-waysecurehashingforuserandmessageauthenticationC)对称加密的安全密钥交换SecurekeyexchangeforsymmetriccryptographyD)为消息完整性创建数字校验和Creatingdigitalchecksumsformessageintegrity答案:C解析:[单选题]37.以下哪一种灭火系统的意外风险最天,有可能会损坏数据中心的设备?A)闭式系统B)于燥管道C)喷水D)预处理系统答案:A解析:干燥管道,喷水和预处理系统使用的管道在正常情况下是空的,一旦检测到火灾迹象,管道才死满水。闭式系统使用的管道-直充满水,如果管道损坏。可能会极坏设备。[单选题]38.下列哪一项不是防火墙技术？A)屏蔽子网B)屏蔽主机C)双网关主机D)双宿主主机答案:C解析:<p>Dualgatewayhostisnotconsideredfirewalltechnology.</p>[单选题]39.安全工程师的任务是实施新的身份解决方案。客户不想安装或维护基础设施。以下哪一项是最佳解决方案?A)微软身份管理器(MIM)B)Azure活动目录(AD)C)活动目录联合服务(ADFS)D)活动目录(AD)答案:B解析:[单选题]40.下面哪一项是使用自动风险分析工具的最佳理由？A)的审查期间收集的数据不能再用于分析。B)大多数软件训练具有易于使用的工具，并且不需要任何用户界面。C)自动化方法需要的培训和风险知识最少。D)由于大量信息将自己制造到工具中，信息收集将被最小化，并且是魔梯。答案:D解析:<p>工具的使用简化了这个过程。他们不仅通常拥有资产、<br/><br/>威胁和漏洞的数据库，而且还加快了整个流程。</p>[单选题]41.关于SSAE-16,以下哪些说法不正确?A)它规定了一个特定的控制集B)它是一个身份验证标准C)它用于外部审计D)它使用一个包括SOC1、SOC2和SOC3报告的框架答案:A解析:SSAE-16(《鉴证业务准则公告第16号)不声明具体的控制措施。相反,它对服务组织的内部控制进行严格审查。它是一种身份验证标准,用于外部审计,并且形成SOC-1、SOC-2和SOC-3报告的基础框架的一部分。SSAE-16doesnotassertspecificcontrals,Insteaditreviewstheuseandapplicationofcantrolsinanauditedorganization.Itisanattestatienstandard,usedforexternalaudits,andformspartoftheunderlyingframeworkforSOC1.2,and3reports.[单选题]42.以下哪一项将最大限度地降低攻击者利用缓冲区溢出的能力?A)内存审核B)代码审查C)消息部门D)缓冲区答案:B解析:[单选题]43.ConfiguringaWirelessAccessPoint（WAP）withthesameServiceSetIdentifier（SSID）asanotherWAPinordertohaveusersunknowinglyconnectisreferredtoaswhichofthefollowing?将无线接入点（WAP）配置为与另一个WAP具有相同的服务集标识符（SSID），以便用户在不知不觉中进行连接是指以下哪项？A)Jamming干扰B)Man-irHht-Middk（MITM）曼·伊赫特·米德克（MITM）C)Wardriving战争驱动D)InternetProtocol（IP）spoofingInternet协议（IP）欺骗答案:B解析:[单选题]44.Datamarts,databases,anddatawarehouseshavedistinctcharacteristics.Whichofthefollowingdoesnotcorrectlydescribeadatawarehouse?数据集市、数据库、和数据仓储有一些区别特征。下列哪个描述数据仓储是不正确的?A)Itcouldincreasetheriskofprivacyviolations.增加了侵犯隐私的风险B)Itisdevelopedtocarryoutanalysis.开发用于执行分析C)Itcontainsdatafromseveraldifferentsources.包含来自不同源的数据D)Itiscreatedandusedforproject-basedtacticalreasons.创建和使用基于项目战术的原因答案:D解析:[单选题]45.区隔会产生利益冲突的主体（subject）和对象（object）的安全模型是：A)BLPB)Clark-WilsonC)Brewer-NashD)Biba答案:C解析:略章节：模拟考试202201[单选题]46.知名作者的版权保护是多长时间?A)95年B)120年C)从作者死亡的70年D)从作者死亡的100年答案:C解析:若作品或作者十分著名,则在作者死亡后70年内该作者的作品仍然受版权保护。团体作者创作的作品的版权保护时间为出版后95年或创作后120年。Whentheauthorofaworkisknown,copyrightprotectsthatworkfor70yearsafterthedeathoftheauthor.Workscreatedbyacorporateauthorareprotectedfor95yearsfrompublicationor120yearsfromcreation,whicheverexpiresfirst.[单选题]47.哪种攻击导致凯撒密码最终失效？A)中间人攻击B)托管攻击C)频率分析攻击D)移位攻击答案:C解析:[单选题]48.在处理符合支付卡行业数据安全标准(PCI-DSS)时,一个与服务提供商共享持卡人信息的组织必须执行以下哪些内容?A)每年对服务提供商进行PCI-DSS评估。B)定期验证服务提供商的PCI-DSS合规状态。C)验证服务提供商的安全策略与组织的安全策略一致。D)确保服务提供商每年更新和测试其灾难恢复计划(DRP)。答案:B解析:[单选题]49.Operatingsystemscanbeprogrammedtocarryoutdifferentmethodsforprocessisolation.Whichofthefollowingreferstoamethodinwhichaninterfacedefineshowcommunicationcantakeplacebetweentwoprocessesandnoprocesscaninteractwiththeother'sinternalprogrammingcode?操作系统能够编程为进程隔离执行不同的方法。下列哪项提到了一个方法,这个方法定义了两个进程怎么进行通讯,以及他们之间内部编码不会互相影响?A)Virtualmapping虚拟映射B)Encapsulationofobjects对象封装C)Timemultiplexing时分复用D)Namingdistinctions名字区分答案:B解析:[单选题]50.公共关键基础设施(PKI)关键/证书生命周期管理的第二阶段是什么?A)实施阶段B)初始化阶段C)取消阶段D)发布阶段答案:D解析:[单选题]51.以下哪一项是测试业务连续性计划(BCP)的最佳实践?A)IT审核前的测试B)环境变化时测试C)安装安全修补程序后进行测试D)系统修补程序实施后进行测试答案:B解析:[单选题]52.在安全评估中，信息安全人员的职责是：A)为组织匹配风险等级B)验证安全措施有效性C)确保安全岗位职责分离D)对员工进行安全意识宣传与贯彻答案:B解析:[单选题]53.以下哪一个是双重身份验证示例?A)视网膜扫描和掌纹B)指纹和智能卡C)磁条卡和身份证D)密码和完全自动化的公共图灵测试,告诉计算机和人类分开(CAPTCHA)答案:B解析:[单选题]54.以下哪项不是漏洞评估的结果？A)定量损失评估B)确定关键支持领域C)业务连续性计划的范围和启动文件的正式批准D)定性风险损失评估答案:C解析:[单选题]55.一家在线零售公司为客户交易制定了创纪录的保留时间表。以下哪一项是客户交易保持在保留时间安排之外的有效原因?A)待定法律保留B)长期数据挖掘需求C)客户请求保留D)对未来的业务计划有用答案:A解析:[单选题]56.如果组织需要涵盖特定系统的安全性和可用性的时间段报告,则组织应请求以下哪种服务组织控制(SOC)报告类型?WhichofthefollowingServiceOrganizationControl(SOC)reporttypesshouldanorganizationrequestiftheyrequireaperiodoftimereportcoveringsecurityandavailabilityforaparticularsystem?A)SOC1类型2SOC1Type2B)SOC2类型2SOC2Type2C)SOC2类型1SOC2Type1D)SOC1类型1SOC1Type1答案:B解析:[单选题]57.如果SYN洪水攻击中的攻击者使用其他人的有效主机地址作为源地址,则受攻击的系统将向A)默认网关。B)攻击者的地址。C)本地接口受到攻击。D)指定的源地址。答案:D解析:[单选题]58.ARP协议是做什么的？A)取得MAC地址，发现可匹配的IP地址B)发送关于网络健康的信息到设备C)取得IP地址发现它的第二个MAC地址D)方便文件传输答案:C解析:<p>正确答案是?取一个IP地址，找出它所属的MAC地址?。ARP以IP地址开始，然后查询网络以查找其所属工作站的MAC或硬件地址。ICMP执行?向设备发送有关网络健康状况的消息<br/>?5.RARP执行?获取MAC地址并找到要匹配的IP地址?。FTP执行?促进文件传输?。</p>[单选题]59.以下哪一项保护运输层的Web交易安全?A)安全超文本传输协议(S-HTTP)B)安全插座层(SSL)C)插座安全(袜子)D)安全外壳(SSH)答案:B解析:[单选题]60.使用OAuth(开放标准授权)2.0集成第三方身份提供商以提供服务,未解决以下哪些问题?A)资源服务器需要使用密码来验证最终用户。B)撤销第三方某些用户的访问权限,而不是第三方的所有用户的访问权限。C)第三方的妥协意味着服务中所有用户的妥协。D)访客用户需要与第三方身份提供商进行身份验证。答案:C解析:[单选题]61.在包含XSS代码的论坛上发布消息的用户的可能动机是什么?A)侦察B)盗窃敏感信息C)凭证窃取D)社会工程学答案:A解析:[单选题]62.AmandawantstousecontactsfromtheexistingGmailaccountsthatnewusersforherapplicationalreadyhave.Whatprotocolfromthefollowingoptionsisusedtoprovidesecuredelegatedaccessforthistypeofusebymanycloudproviders?A)OpenIDB)KerberosC)OAuthD)SAML答案:C解析:[单选题]63.下列哪一个定义了维护和提供数据库访问权限的软件？A)数据库管理系统(DBMS)B)关系数据库管理系统(RDBMS)C)数据库识别系统(DBIS)D)接口定义语言系统(IDLS)答案:A解析:[单选题]64.什么安全控制可用于实施双人控制?A)强制休假B)职责分离C)最低特权D)深入防御答案:B解析:按照职责分离原则,组织将关键任务分开,并确保没有一个人能执行两个行动。这可以防止一个人以未授权方式执行该任务,也被称为双人控制。Whenfollowingtheseparation-of-dutiesprinciple,organizationsdividecriticaltasksintodiscretecomponentsandensurethatnooneindividalhastheabilitytoperformbothactions.Thispreventsasinglerogueindividualfromperformingthattaskinanunauthorizedmannerandisalsoknownastwo-personcontrol.[单选题]65.在以下哪个过程中为用户帐户实现了最小特权?A)一个。准备B)批准C)请求D)回顾答案:A解析:[单选题]66.一所大型大学需要让学生能够从家中访问学校资源,以下哪一项提供了能实现低维护和简易部署的最佳选项Alargeuniversityneedstoenablestudentaccesstouniversityresourcesfromtheirhomes.WhichofthefollowingprovidestheBESToptionforlowmaintenanceandeaseofdeployment?A)向学生提供互联网协议安全(IPSec)虚拟私有网络(VPN)客户端软件ProvidestudentswithInternetProtocolSecurity(IPSec)VirtualPrivateNetwork(VPN)clientsoftware.B)使用安全套接字协议(SSLsecuresocketslayer)VPN技术UseSecureSocketsLayer(SSL)VPNtechnology.C)使用带公钥/私钥的安全外壳(SSH)UseSecureShell(SSH)withpublic/privatekeys.D)要求学生购买具有VPN功能的家用路由器RequirestudentstopurchasehomeroutercapableofVPN.答案:B解析:[单选题]67.ltisnotunusualforbusinesscontinuityplanstobecomeoutofdate.Whichofthefollowingisnotareasonwhyplansbecomeoutdated?业务连续性计划变得过期是很正常的。下列哪项不是计划变过期的主要原因?A)Changesinhardware,software,andapplications硬件、软件和应用的改变B)Infrastructureandenvironmentchanges架构和环境的改变C)Personnelturnover人员轮换D)Thatthebusinesscontinuityprocessisintegratedintothechangemanagementprocess该业务连续性流程集成到了变更管理流程种答案:D解析:[单选题]68.检测到一个url/product.sap?id=1or1=1A)sql注入B)XSSC)CSRFD)缓存溢出答案:A解析:略章节：模拟考试202201[单选题]69.Buildingblocksforsoftware-definednetworks（SDN）requirewhichofthefollowing?软件定义网络（SDN）的构建块需要以下哪项？A)TheSDNismostlycomposedofvirtualmachines（VM）.SDN主要由虚拟机（VM）组成。B)TheSDNiscomposedentirelyofclient-serverpairs.SDN完全由客户机-服务器对组成。C)Virtualmemoryisusedinpreferencetorandom-accessmemory（RAM）.虚拟内存优先于随机存取内存（RAM）。D)Random-accessmemory（RAM）isusedinpreferencetovirtualmemory.随机存取存储器（RAM）优先于虚拟存储器使用。答案:C解析:[单选题]70.以下哪项控件是保护信息系统隐私的第一步?A)数据编校B)数据最小化C)数据加密D)数据存储答案:B解析:[单选题]71.Anauthenticationsystemthatuseschallengeandresponsewasrecentlyimplementedonanorganization'snetwork,becausetheorganizationconductedanannualpenetrationtestshowingthattesterswereabletomovelaterallyusingauthenticatedcredentials.WhichattackmethodwasMOSTlikelyusedtoachievethis?最近在一个组织的网络上实施了一种使用质询和响应的身份验证系统，因为该组织每年都进行渗透测试，表明测试人员能够使用经过身份验证的凭据进行横向移动。哪种攻击方法最有可能实现这一目标？A)Cross-SiteScripting（XSS）跨站点脚本（XSS）B)Passtheticket把票递给我C)Bruteforce暴力破解D)Hashcollision哈希冲突答案:B解析:[单选题]72.Afirmwithinthedefenseindustryhasbeendirectedtocomplywithcontractualrequirementsforencryptionofagovernmentclient'sControlledUnclassifiedInformation（CUI）.WhatencryptionstrategyrepresentshowtoprotectdataatrestintheMOSTefficientandcost-effectivemanner?国防工业内的一家公司已被指示遵守政府客户受控非保密信息（CUI）加密的合同要求。什么样的加密策略代表了如何以最高效、最经济的方式保护静止的数据？A)Performphysicalseparationofprograminformationandencryptonlyinformationdeemedcriticalbythedefenseclient对程序信息进行物理分离，并仅加密国防客户端认为重要的信息B)Performlogicalseparationofprograminformation,usingvirtualizedstoragesolutionswithbuilt-inencryptionatthevirtualizationlayer使用在虚拟化层具有内置加密的虚拟化存储解决方案，执行程序信息的逻辑分离C)Performlogicalseparationofprograminformation,usingvirtualizedstoragesolutionswithencryptionmanagementintheback-enddisksystems在后端磁盘系统中使用带加密管理的虚拟化存储解决方案，对程序信息执行逻辑分离D)Implementdataatrestencryptionacrosstheentirestorageareanetwork（SAN）跨整个存储区域网络（SAN）实施静态数据加密答案:C解析:[单选题]73.Refertotheinformationbelowtoanswerthequestion.Alarge,multinationalorganizationhasdecidedtooutsourceaportionoftheirInformationTechnology（IT）organizationtoathird-partyprovider'sfacility.Thisproviderwillberesponsibleforthedesign,development,testing,andsupportofseveralcritical,customer-basedapplicationsusedbytheorganization.Theorganizationshouldensurethatthethirdparty'sphysicalsecuritycontrolsareinplacesothatthey请参阅以下信息以回答问题。一家大型跨国组织决定将其信息技术（IT）组织的一部分外包给第三方提供商的设施。该提供商将负责设计、开发、测试和支持组织使用的几个关键的、基于客户的应用程序。组织应确保第三方的物理安全控制措施到位，以便A)aremorerigorousthantheoriginalcontrols.比原来的控制更严格。B)areabletolimitaccesstosensitiveinformation.能够限制对敏感信息的访问。C)allowaccessbytheorganizationstaffatanytime.允许组织员工随时访问。D)cannotbeaccessedbysubcontractorsofthethirdparty.第三方分包商无法访问。答案:B解析:[单选题]74.Acustomercontinuestoexperienceattacksontheiremail,web,andFileTransferProtocol（FTP）servers.Theseattacksareimpactingtheirbusinessoperations.WhichofthefollowingistheBESTrecommendationtomake?客户的电子邮件、web和文件传输协议（FTP）服务器继续遭受攻击。这些攻击正在影响他们的业务运营。以下哪项是最好的建议？A)Configureanintrusiondetectionsystem（IDS）.配置入侵检测系统（IDS）。B)Createademilitarizedzone（DMZ）.创建非军事区（DMZ）。C)Deployabastionhost.部署堡垒主机。D)Setupanetworkfirewall.设置网络防火墙。答案:C解析:[单选题]75.为了纠正安全控制评估期间发现的任何已通告过的缺陷,以下哪个文档描述了已实施或计划采取的措施?Whatisthedocumentthatdescribesthemeasuresthathavebeenimplementedorplannedtocorrectanydeficienciesnotedduringtheassessmentofthesecuritycontrols?A)商业影响分析(BIA)BusinessImpactAnalysis(BIA)B)安全评估报告(SAR)SecurityAssessmentReport(SAR)C)行动计划和里程碑(POA&M)PlanofActionandMilestones(POA&M)D)安全评估计划(SAP)SecurityAssessmentPlan(SAP)答案:C解析:[单选题]76.以下哪篇是最杰出的可信计算机系统评价准则TCSEC类别，其中，系统必须防止隐蔽通知（但紧急隐蔽通知）？A)B2B)B1C)B3D)A1答案:A解析:<p><br/>橙皮书中引用的B2类是正式的安全策略模型，基于<br/>可以使用DAC（自由访问控制）和MAC（强制访问控制）的设备标签<br/>）。它提供有关隐蔽通道控制的功能。它不需要隐蔽的<br/>定时通道。您可以查看橙皮书的B2部分</p>[单选题]77.以下哪一项是CHAP质询握手认证协议的特点:A)二次握手B)只在链路建立的阶段进行验证C)被认证方发起验证D)密文发送认证信息答案:D解析:[单选题]78.风险消减和降低风险的控制措施主要分为以下哪三个类别?A)Preventive,corrective,andadministrative预防、纠正和管理B)Administrative,operational,andlogical管理、操作和逻辑C)Detective,corrective,andphysical检测、纠正、和物理D)Physical,technical,andadministrative物理、技术和管理答案:D解析:[单选题]79.当组织开发自己的软件时，以下哪一项是与使用身份即服务(IDaaS)相关的最大安全风险？A)由于可用性降低而拒绝访问B)与联合身份管理(FIM)不兼容C)增加泄露机密的可能性D)安全断言标记语言(SAML)集成答案:C解析:[单选题]80.WhatisacharacteristicofSecureSocketLayer（SSL）andTransportLayerSecurity（TLS）?安全套接字层（SSL）和传输层安全性（TLS）的特点是什么？A)SSLandTLSprovideagenericchannelsecuritymechanismontopofTransmissionControlProtocol（TCP）.SSL和TLS在传输控制协议（TCP）之上提供了通用的通道安全机制。B)SSLandTLSprovidenonrepudiationbydefault.默认情况下，SSL和TLS提供不可否认性。C)SSLandTLSdonotprovidesecurityformostroutedprotocols.SSL和TLS不能为大多数路由协议提供安全性。D)SSLandTLSprovideheaderencapsulationoverHyperTextTransferProtocol（HTTP）.SSL和TLS通过超文本传输协议（HTTP）提供标头封装。答案:A解析:[单选题]81.本地和远程基础设施以及云服务的复杂性模糊了企业的边界。它导致了零信任方法的出现,以开发新的安全模型来解决这个问题。以下关于零信任的说法不正确的是?A)零信任安全假设远程用户不如内部用户可信。B)零信任安全以动态和细粒度的方式控制对资源的访问。C)零信任是一套工作流、系统设计和操作的指导原则。D)零信任实施有利于混合零信任/基于边界的模式。答案:A解析:[单选题]82.下列哪项对确保静态数据的机密性提供最佳保障?Whichofthefollowingprovidesthebestprotectiontoensuretheconfidentialityofdataatrest?A)破坏DestructionB)加密EncryptionC)净化SanitizationD)标记Marking答案:B解析:[单选题]83.僵尸网络的定义。A)一组特殊定义的网络B)外网和内网之间的区域（DMZ）C)因为中毒而不能使用的终端D)一组被控制的，用于攻击的电脑集群答案:D解析:略章节：模拟考试202201[单选题]84.一个中央机关决定着基于组织的安全策略，哪些主体可以访问某些客体的访问控制类型叫什么？A)强制访问控制B)自主访问控制C)非自主访问控制vD)规则型访问控制答案:C解析:<p>Non-DiscretionaryAccessControl.Acentralauthoritydetermineswhatsubjectscanhaveaccesstocertainobjectsbasedonorganizationalsecuritypolicy.TheaccesscontrolsmaybebasedontheindividuaTsroleintheorganization(role-based)orthesubjectsresponsibilitiesandduties(task-based).</p>[单选题]85.以下哪项不是用于执行渗透测试的技术？A)链路填充B)扫描和探测C)战争拨号D)嗅探答案:A解析:<p>Trafficpaddingisacountermeasuretotrafficanalysis.</p>[单选题]86.Ifanidentificationprocessusingabiometricsystemdetectsa100%matchbetweenapresentedtemplateandastoredtemplate,whatistheinterpretationofthisresult?如果使用生物识别系统的识别过程检测到呈现的模板和存储的模板之间100%匹配，那么对该结果的解释是什么？A)Usererror用户错误B)Suspectedtampering怀疑篡改C)Accurateidentification精准的身份识别D)Unsuccessfulidentification标识不成功答案:B解析:[单选题]87.下面哪项在事件响应调查中授权事件发现者进行调查?A)事件响应计划B)事件响应策略C)内审D)安全操作中⼼答案:B解析:略章节：模拟考试202201[单选题]88.下列哪一项可能引起对凭据管理系统的拒绝服务(DoS)攻击?A)延迟撤销或销毁凭据B)修改证书吊销列表C)未经授权的续期或补发D)停止使用后的令牌使用答案:B解析:[单选题]89.在系统审计期间,Casey注意到她组织的Web服务器的私钥已存储在公共AmazonS3存储bucket中一年多了。她应该首先采取以下哪一项行动?A)从bucket中取出钥匙。B)通知所有客户他们的数据可能已经暴露。C)使用新密钥申请新证书。D)什么都不做,因为私钥应该可以访问以进行验证。答案:C解析:[单选题]90.WhatdocumentationisproducedFIRSTwhenperforminganeffectivephysicallosscontrolprocess?在执行有效的实际损失控制流程时，首先生成哪些文档？A)Deterrentcontrolslist威慑控制列表B)Securitystandardslist安全标准列表C)inventorylist盘存清单D)Assetvaluationlist资产评估清单答案:C解析:[单选题]91.是一种在XML中实施的声明性访问控制第略语言和处理模型,它描述如何解释安全策略。是一种XML型框架,由OASI