域7-安全运营（第16-19章）（OSG）附有答案

域7-安全运营（第16-19章）（OSG）[复制]1.Mary正在审查系统架构的可用性控制。图中显示了哪种技术为数据库服务器提供了容错性？[单选题]*A.故障转移集群(正确答案)B.不间断电源（UPS）C.磁带备份D.冷备份站点答案解析：A.图示展示了一个故障切换集群的例子，其中DB1和DB2都配置为数据库服务器。在任何给定的时间，只有一个服务器会作为活动的数据库服务器，而另一个则准备好在第一个服务器发生故障时接管责任。虽然该环境可能使用UPS、磁带备份和冷备站点作为灾难恢复和业务连续性控制措施，但在图示中没有显示出来。2.Joe是一个企业资源计划（ERP）系统的安全管理员。他正准备为几个新员工创建账户。在创建这些账户时，他应该给予新员工什么默认权限？[单选题]*A.只读权限B.编辑权限C.管理员权限D.无访问权限(正确答案)答案解析：D.最小权限原则应该指导Joe在这种情况下。他应该默认不给予任何访问权限，然后根据每个用户的工作职责给予他们必要的权限。其中一个或多个用户可能需要只读、编辑和管理员权限，但这些权限应该根据业务需求而不是默认分配。3.Tim正在为他的组织配置一种特权账户管理解决方案。以下哪项不是应自动发送到超级用户行动日志的特权管理活动？[单选题]*A.清除日志条目B.从备份中恢复系统C.登录工作站(正确答案)D.管理用户账户答案解析：C.虽然大多数组织希望记录尝试登录工作站的行为，但这并不被视为特权的管理员活动，应该通过正常的日志记录流程处理。4.当Alice公司的一名员工打电话寻求支持时，她使用了一种公司约定的暗语，用于表示员工被迫执行某项操作。这种情况被称为什么？[单选题]*A.社交工程B.强迫(正确答案)C.不可抗力D.斯德哥尔摩综合征答案解析：B.在银行、珠宝店或其他攻击者可能试图强迫员工执行操作的组织中，威胁或受到其他限制是一个问题。预料到可能发生这种情况的组织通常会使用威胁代码词，让其他人知道他们是在受到威胁下执行操作。5.Jordan正在进行网络安全事件调查后准备将证据带入法庭。他负责准备物理证据，包括受影响的服务器和移动设备。下列哪种类型的证据完全由可以带入法庭的有形物品组成？[单选题]*A.文件证据B.口头证据C.证人证据D.实物证据(正确答案)答案解析：D.真实证据是指可以作为证据带入法庭的物品。例如，硬盘、武器和带有指纹的物品都属于真实证据。文档证据是指可能存在或不存在实体形式的书面物品。证人证据是指具有相关信息的证人口述证词。口头证据规则指的是当协议被书面形式确定时，假定书面文件包含了协议的所有条款。6.Lauren希望确保她的用户只运行组织批准的软件。她应该部署哪种技术？[单选题]*A.黑名单B.配置管理C.白名单(正确答案)D.灰名单答案解析：C.允许应用程序的白名单将确保Lauren的用户只能运行她预先批准的应用程序。黑名单将要求她维护一个不希望允许的每个应用程序的列表，这几乎是不可能的任务。灰名单不是一种技术选项，配置管理可以用于确保正确的应用程序安装在计算机上，但通常不能直接阻止用户运行不受欢迎的应用程序或程序。7.Colin负责管理他的组织对网络安全欺骗技术的使用。以下哪项技术应该在蜜罐系统中使用，以消耗攻击者的时间并向管理员发出警报？[单选题]*A.蜜网B.伪缺陷（Pseudoflaw）(正确答案)C.警示横幅D.暗网答案解析：B.伪漏洞是指系统中可能分散攻击者注意力的虚假漏洞。蜜罐网络是由多个蜜罐组成的网络，为入侵者提供了一个更复杂的环境进行探索，而不是Colin可以在蜜罐上使用的功能。暗网是未使用的网络地址空间的一个段，应该没有网络活动，因此可以轻松用于监视非法活动。警告横幅是一种法律工具，用于通知入侵者他们未经授权访问系统。8.Toni回应了一个用户报告系统活动缓慢的问题。在检查该系统的出站网络连接时，Toni注意到大量社交媒体流量源自该系统。该用户不使用社交媒体，当Toni检查相关账户时，发现它们包含奇怪的看似加密的消息。造成这种流量的最可能原因是什么？[单选题]*A.其他用户通过该用户的计算机中继社交媒体请求。B.该用户的计算机是僵尸网络的一部分。(正确答案)C.该用户在关于自己使用社交媒体的事情上撒谎。D.在该用户不在场时，有其他人使用了她的计算机。答案解析：B.社交媒体通常被用作僵尸网络活动的命令和控制系统。在这种情况下，最可能的情景是用户的计算机被恶意软件感染并加入了僵尸网络。这解释了异常的社交媒体流量和系统活动缓慢。9.John通过云基础设施服务提供商，在世界各地使用负载均衡器部署他的网站。他使用了哪个可用性概念？[单选题]*A.多个处理站点(正确答案)B.温暖站点C.冷备份站点D.蜜罐答案解析：A.John的设计提供了多个处理站点，将负载分布到多个地区。这不仅提供了业务连续性和灾难恢复功能，还意味着他的设计对于拒绝服务攻击更具弹性。10.Jim想要识别网络中可能参与僵尸网络的被入侵系统。他计划通过观察与已知的指挥与控制服务器建立的连接来实现这一目标。如果Jim可以访问已知服务器列表，以下哪种技术最有可能提供这些信息？[单选题]*A.NetFlow（网络流量）记录(正确答案)B.IDS日志C.身份验证日志D.RFC（请求评论记录）日志答案解析：A.NetFlow记录包含了网络上发生的每个通信会话的条目，并可以与已知的恶意主机列表进行比较。IDS日志可能包含相关记录，但可能性较低，因为它们只会在流量触发IDS时创建日志条目，而不是像NetFlow记录那样包含所有通信。身份验证日志和RFC日志不会记录任何网络流量。对于问题11-15，请参考以下情景：Gary最近被雇为一家地方政府机构的首席信息安全官（CISO）。该机构最近遭受了一次安全漏洞，正在努力建立一个新的信息安全计划。在设计这个计划时，Gary希望应用一些最佳实践来进行安全运营。11.当Gary决定为每个用户授予什么访问权限时，哪个原则应该指导他关于默认权限的决策？[单选题]*A.职责分离B.最小权限(正确答案)C.聚合D.特权分离答案解析：B.Gary应遵循最小权限原则，仅为用户分配完成工作职责所需的权限。聚合是指随着时间的推移，权限无意中积累，也称为权限蔓延。责任分离和权限分离是用于保护敏感流程的原则。12.当Gary设计这个计划时，他使用了这个矩阵。这个矩阵最直接帮助强制执行哪个信息安全原则？[单选题]*A.职责分离(正确答案)B.聚合C.两人控制D.防御深度答案解析：A.图示中的矩阵被称为职责分离矩阵。它用于确保一个人不会获得两个可能产生冲突的特权。聚合是指随着时间的推移，权限无意中累积的现象，也称为权限蔓延。双人控制是指两个人必须共同执行敏感操作的情况。防御深度是一种通用的安全原则，用于描述重叠的安全控制的理念。13.Gary正准备为一个新用户创建账户并为HR数据库分配权限。在授予这个访问权限之前，Gary必须验证哪两个信息元素？[单选题]*A.凭据和需知原则B.安全许可和需知原则(正确答案)C.密码和安全许可D.密码和生物特征扫描答案解析：B.在授予访问权限之前，Gary应验证用户是否拥有有效的安全许可和了解相关信息的业务需求。Gary正在执行授权任务，因此不需要验证用户的凭据，如密码或生物特征扫描。14.Gary准备在访问根加密密钥方面制定控制措施，并希望应用一个专门针对非常敏感操作设计的安全原则。他应该应用哪个原则？[单选题]*A.最小权限B.防御深度C.安全通过混淆D.两人控制(正确答案)答案解析：D.Gary应遵循双人控制原则，要求两个独立授权的人同时采取行动才能获得加密密钥的访问权限。他还应遵循最小权限和防御深度原则，但这些原则适用于所有操作，而不是特定于敏感操作。Gary应避免使用安全通过混淆原则，该原则依赖于安全机制的保密性来提供系统或流程的安全性。16.下列哪个术语经常用来描述一个大规模发布的不相关补丁集合？[单选题]*A.热补丁B.更新C.安全补丁D.服务包(正确答案)答案解析：D.热修复、更新和安全修复都是用于纠正单个问题的单个补丁的同义词。服务包是包含多个不同更新的集合，用作操作系统或应用程序的重大更新。17.Tonya正在从一系列参与网络安全事件的系统中收集证据。一位同事建议她在收集过程中使用法证磁盘控制器。这个设备的功能是什么？[单选题]*A.屏蔽存储设备报告的错误条件B.向存储设备发送写命令C.拦截、修改或丢弃发送到存储设备的命令(正确答案)D.防止从发送给设备的读操作中返回数据答案解析：C.取证磁盘控制器执行四个功能。其中之一是写入阻塞，它拦截发送给设备的写入命令，并阻止它们修改设备上的数据。其他三个功能包括返回读操作请求的数据，返回设备的访问相关信息，并将设备的错误报告给取证主机。18.Lydia正在处理她所在组织的访问控制请求。她遇到了一个请求，用户确实具备所需的安全许可，但没有业务上的合理理由来访问。Lydia拒绝了这个请求。她遵循的安全原则是什么？[单选题]*A.需知原则(正确答案)B.最小权限C.职责分离D.两人控制答案解析：A.Lydia遵循了需要知道的原则。虽然用户可能具有访问这些信息的适当安全许可，但没有提供业务上的理由，因此她不知道用户是否有适当的了解这些信息的需求。19.Helen被委托在她所在组织中实施安全控制，以防止内部欺诈活动。以下哪种机制对她的工作最没有用处？[单选题]*A.工作轮换B.强制休假C.事件响应(正确答案)D.两人控制答案解析：C.工作轮换和强制休假通过增加发现欺诈的可能性来阻止欺诈行为。双人控制通过要求两名员工勾结来阻止欺诈行为。事件响应通常不起到威慑机制的作用。20.Matt希望确保公司各处系统的关键网络流量优先于网页浏览和社交媒体使用。他可以使用什么技术来实现这一目标？[单选题]*A.VLAN（虚拟局域网）B.QoS（服务质量）(正确答案)C.VPN（虚拟专用网络）D.ISDN（数字集成业务网）答案解析：B.服务质量是路由器和其他网络设备上的一个功能，可以优先处理特定的网络流量。服务质量策略定义了哪些流量优先处理，然后根据策略处理流量。21.Tom正在应对最近发生的安全事件，并寻求有关对系统安全设置进行的最近修改的批准流程的信息。他最有可能在哪里找到这些信息？[单选题]*A.更改日志(正确答案)B.系统日志C.安全日志D.应用程序日志答案解析：A.变更日志包含关于已批准的变更和变更管理过程的信息。虽然其他日志可能包含有关变更影响的详细信息，但变更管理的审计跟踪记录将在变更日志中找到。22.Susan公司的员工经常国际出差，需要与公司系统建立连接进行工作。Susan认为由于公司正在开发的技术，这些用户可能成为企业间谍活动的目标，并希望在为国际旅行者提供的安全培训中包含建议。Susan应该推荐他们在旅行期间连接到网络时采用什么做法？[单选题]*A.仅连接到公共WiFi。B.对所有连接使用VPN。(正确答案)C.仅使用支持TLS的网站。D.不要在旅行中连接到网络。答案解析：B.虽然告诉员工根本不连接到任何网络可能很诱人，但Susan知道他们需要网络连接来完成工作。使用VPN将他们的笔记本电脑和移动设备连接到可信网络，并确保所有流量都通过VPN进行隧道传输是她确保其互联网使用安全的最佳选择。Susan还可以确保他们携带的设备上没有包含敏感信息或文件，并在归还时对这些系统进行全面清除和审核。23.Ricky正在寻找关于应用程序、设备和操作系统的信息安全漏洞清单。以下哪个威胁情报来源对他最有用？[单选题]*A.OWASP（开放式Web应用安全项目）B.Bugtraq（漏洞跟踪）C.MicrosoftSecurityBulletins（微软安全公告）D.CVE（通用漏洞披露）(正确答案)答案解析：D.CVE（通用漏洞和暴露）字典包含了许多不同安全问题的标准化信息。OWASP（开放式Web应用安全项目）提供了有关Web应用安全问题的一般指导，但不追踪具体的漏洞，也没有超越Web应用范围。Bugtraq邮件列表和微软安全公告是获得漏洞信息的良好来源，但它们不是全面的已知问题数据库。25.Glenda想进行灾难恢复测试，并希望选择一种测试方法，既不会对正常的信息系统活动造成干扰，又能尽可能少地投入时间。她应该选择哪种类型的测试？[单选题]*A.桌面推演B.并行测试C.完全中断测试D.检查清单审查(正确答案)答案解析：D.检查清单审查是最不具干扰性的灾难恢复测试类型。在检查清单审查期间，团队成员各自独立地审查其灾难恢复检查清单的内容，并提出任何必要的更改。在桌面演练期间，团队成员聚在一起，按照某个场景进行演练，而不对信息系统进行任何更改。在并行测试期间，团队实际上激活灾难恢复站点进行测试，但主站点仍然正常运行。在完全中断测试期间，团队关闭主站点，并确认灾难恢复站点能够处理正常的运营。完全中断测试是最全面的测试，但也是最具干扰性的。26.以下哪项不是备份磁带轮换方案的例子？[单选题]*A.Grandfather/Father/Son（祖父/父亲/儿子）B.中间交汇(正确答案)C.汉诺塔D.每周六个磁盘盒答案解析：B.祖父/父亲/儿子、汉诺塔和每周六个存储盒方案都是不同的备份介质轮换方法，平衡了介质重复使用和数据保留的问题。Meet-in-the-middle是对2DES加密的密码攻击。27.Helen正在为在会计系统中授予员工管理权限的新安全机制进行实施。她设计了一个流程，要求员工的经理和会计经理在授权之前都必须批准请求。Helen正在强制执行哪个信息安全原则？[单选题]*A.最小权限B.两人控制(正确答案)C.工作轮换D.职责分离答案解析：B.在这种情况下，Helen设计了一个需要两个人共同执行敏感操作的流程。这是双人控制的一个例子。这与职责分离不同，职责分离要求一个人不得拥有两个独立的权限，而将其组合起来可能允许不希望的操作。对于这种情况的职责分离可能会说，同一人不得既具有发起请求的能力，又具有批准请求的能力。最小权限原则指出，个人应该只具有执行工作职能所需的必要权限。职位轮换是一种方案，用户定期在不同职责之间转换，以检测恶意行为。28.Frank正在考虑在即将到来的刑事案件中使用不同类型的证据。以下哪项不是证据在法庭上被允许的要求？[单选题]*A.证据必须相关。B.证据必须实质性。C.证据必须有形。(正确答案)D.证据必须经过合格获取。答案解析：C.在法庭上提供的证据必须与确定问题事实、与案件相关和在合规获取的证据有关。证据不需要是有形的。证人证词是法庭上可能提供的无形证据的一个例子。29.Harold最近完成了对一起安全事件的事后分析。接下来，他应该准备哪些文件？[单选题]*A.经验教训文件(正确答案)B.风险评估C.整改清单D.缓解检查表答案解析：A.事后总结审查后，通常会创建并分发一份经验教训文档，以确保参与事件的人员以及可能从中受益的其他人员知道他们可以采取什么措施来防止未来问题并改善应对。31.Sam负责备份公司的主文件服务器。他配置了一个备份计划，每周一晚上9点执行完全备份，其他工作日同一时间执行差异备份。根据以下图示所示的信息变化，星期三的备份将复制多少个文件？[单选题]*A.2个B.3个C.5个(正确答案)D.6个答案解析：C.在这种情况下，所有服务器上的文件将在周一晚上进行完整备份。然后，在周三进行的差异备份将复制自上次完整备份以来修改的所有文件。这些包括文件1、2、3、5和6，共计五个文件。32.以下哪个安全工具无法对安全事件产生主动响应？[单选题]*A.IPS（入侵防御系统）B.防火墙C.IDS（入侵检测系统）(正确答案)D.杀毒软件答案解析：C.入侵检测系统（IDS）只提供被动响应，例如向管理员发出疑似攻击的警报。而入侵预防系统和防火墙可以采取措施阻止攻击尝试。杀毒软件也可以通过隔离可疑文件来进行主动响应。33.Scott负责处理公司废弃的SAN（存储区域网络）上拆下来的磁盘驱动器。如果SAN上的数据被公司视为高度敏感，他应该避免以下哪个选项？[单选题]*A.对其进行物理销毁。B.与SAN供应商签订合同，要求适当的处置并提供认证过程。C.在离开组织之前对每个驱动器进行重新格式化。(正确答案)D.使用像DBAN这样的安全擦除工具。答案解析：C.物理销毁、与认证有关的适当合同和安全擦除都是合理的选项。在每种情况下，应进行仔细的清点和检查，以确保每个驱动器得到适当处理。重新格式化驱动器可能会留下残留数据，对于包含敏感数据的驱动器来说，这是一个较差的数据生命周期选择。34.用于描述在创建新账户时分配给用户的默认权限集合的术语是什么？[单选题]*A.聚合B.可传递性C.基线D.权益(正确答案)答案解析：D.权限是指在账户首次配置时授予用户的特权。35.以下哪种类型的协议是服务提供商和客户之间包含可用性和其他性能参数期望的最正式文件？[单选题]*A.服务级别协议（SLA）(正确答案)B.运营级别协议（OLA）C.谅解备忘录（MOU）D.工作说明书（SOW）答案解析：A.服务级别协议（SLA）是服务提供商与客户之间的协议，以正式记录关于可用性、性能和其他参数的期望。谅解备忘录（MOU）可能涵盖相同的事项，但不是正式的文件。运营级别协议（OLA）是内部服务组织之间的协议，不涉及客户。工作说明书（SOW）是合同的附录，描述要执行的工作。36.作为一家大型组织的CIO，Clara希望采用标准的流程来管理IT活动。以下哪个框架专注于IT服务管理，并包括变更管理、配置管理和服务级别协议等主题？[单选题]*A.ITIL（IT服务管理的最佳实践框架）(正确答案)B.PMBOK（项目管理知识体系指南）C.PCIDSS（支付卡行业数据安全标准）D.TOGAF（开放组织架构框架）答案解析：A.IT基础设施库（ITIL）框架关注IT服务管理。项目管理知识体系（PMBOK）提供了项目管理专业知识的共同核心。支付卡行业数据安全标准（PCIDSS）包含信用卡安全的规定。开放集团架构框架（TOGAF）关注IT架构问题。37.Richard在组织的网络上遇到了网络服务质量问题。主要症状是数据包从源到目的地的传输时间一直太长。以下哪个术语描述了Richard所面临的问题？[单选题]*A.抖动B.丢包C.干扰D.延迟(正确答案)答案解析：D.延迟是指从源到目的地传递数据包的延迟。抖动是指不同数据包之间延迟的变化。数据包丢失是指在传输过程中数据包的丢失，需要重新传输。干扰是指电气噪声或其他干扰导致数据包内容损坏。38.Joe想要测试一个他怀疑可能包含恶意软件的程序。他可以使用哪项技术在运行程序时进行隔离？[单选题]*A.ASLRB.沙箱技术(正确答案)C.切片D.进程隔离答案解析：B.在沙盒中运行程序可以提供安全隔离，防止恶意软件对其他应用程序或系统产生影响。如果Joe使用适当的仪器，他可以观察程序的行为、所做的更改以及可能尝试的任何通信。ASLR是一种内存位置随机化技术，进程隔离可以防止进程相互影响，但在这种情况下，沙盒通常提供更大的实用性，因为它可以被仪器化和管理，以更好地支持调查，并且clipping是信号处理中经常使用的术语。39.以下哪项是非自然灾害的例子？[单选题]*A.飓风B.洪水C.泥石流D.变压器爆炸(正确答案)答案解析：D.变压器爆炸是一种人造电气设备故障。洪水、泥石流和飓风都是自然灾害的例子。40.Anne希望通过收集分布在公司各处的一组Windows10工作站的数据，获取有关安全设置的信息，并建立对组织资产的整体视图。哪个Windows工具最适合进行这种类型的配置管理任务？[单选题]*A.SCCM（SystemCenterConfigurationManager，系统中心配置管理器）(正确答案)B.群组策略C.SCOM（SystemCenterOperationsManager，系统中心运维管理器）D.自定义PowerShell(任务自动化和配置管理框架)脚本答案解析：A.SystemCenterConfigurationManager(SCCM)提供了这种能力，旨在允许管理员评估Windows工作站和服务器的配置状态，并提供资产管理数据。SCOM主要用于监控健康状态和性能，组策略可用于部署设置和软件等各种任务，而自定义PowerShell脚本可以做到这一点，但不应要求进行配置检查。41.Javier正在验证只有IT系统管理员才能登录用于管理目的的服务器。他正在执行哪个信息安全原则？[单选题]*A.需知原则B.最小权限(正确答案)C.两人控制D.可传递信任答案解析：B.最小权限原则指出，个人应仅具备完成其工作职能所需的权限。从非管理员用户中移除管理权限是最小权限的一个例子。42.以下哪项不是保护系统和应用程序免受攻击的基本预防措施？[单选题]*A.实施入侵检测和预防系统B.在所有操作系统和应用程序上保持当前的补丁级别C.删除不必要的账户和服务D.对所有系统进行取证映像(正确答案)答案解析：D.没有必要作为一项预防措施进行取证镜像。相反，取证镜像应在事件响应过程中使用。维护补丁级别、实施入侵检测/预防以及删除不必要的服务和账户都是基本的预防措施。43.Tim是一名法证分析员，正在尝试从硬盘中检索信息。用户似乎试图擦除数据，Tim正试图重建它。Tim正在进行哪种类型的法证分析？[单选题]*A.软件分析B.媒体分析(正确答案)C.嵌入式设备分析D.网络分析答案解析：B.对硬盘进行取证检查是媒体分析的一个例子。嵌入式设备分析是针对包含在其他大型系统（如汽车或安全系统）中的计算机的分析。软件分析涉及对应用程序及其日志的分析。网络分析涉及对网络流量和日志的分析。45.Roland是一家拥有大量昂贵实验设备的组织中的物理安全专员，这些设备经常在设施内移动。以下哪种技术以经济有效的方式最大程度地自动化库存控制过程？[单选题]*A.IPS（入侵防御系统）B.WiFiC.RFID（无线射频识别）(正确答案)D.以太网答案解析：C.射频识别（RFID）技术是一种经济高效的跟踪设施内物品的方法。虽然WiFi也可以用于同样的目的，但实施起来会更昂贵。46.Connor的公司最近遭受了一次拒绝服务攻击，Connor认为这次攻击来自内部。如果属实，该公司经历了什么类型的事件？[单选题]*A.间谍活动B.机密性泄漏C.蓄意破坏(正确答案)D.完整性破坏答案解析：C.针对组织的内部人员（例如员工）所实施的攻击被称为破坏行为。间谍活动和机密性违规涉及窃取敏感信息，而在此情况下并未提到。完整性违规涉及对信息的未经授权修改，在此情景中也未描述。47.Evan在组织中检测到对一台服务器的攻击，并检查了一系列数据包的TCP标志，如下图所示。最有可能发生了什么类型的攻击？[单选题]*A.SYN洪水攻击(正确答案)B.Ping洪水攻击C.Smurf攻击D.Fraggle攻击答案解析：A.在SYNFlood攻击中，攻击者向系统发送大量的SYN数据包，但不回应SYN/ACK数据包，试图通过半开连接来超负荷攻击系统的连接状态表。48.Florian正在为他的组织制定灾难恢复计划，并希望确定特定的IT服务在中断一段时间后不会对业务运营造成严重损害。Florian正在计算哪个变量？[单选题]*A.RTO（恢复时间目标）B.MTD（最大可容忍停机时间）(正确答案)C.RPO（恢复点目标）D.SLA（服务级别协议）答案解析：B.最大可容忍停机时间（MTD）是指在不对组织造成严重损害的情况下，IT服务或组件可能无法使用的最长时间。恢复时间目标（RTO）是指在故障发生后，将IT服务或组件恢复运行所需的时间。恢复点目标（RPO）确定在恢复过程中可能丢失的最大数据量（以时间衡量）。服务级别协议（SLA）是记录服务期望的书面合同。49.以下哪些通常被归类为零日攻击？（选择所有适用的）[单选题]*A.一个对黑客世界来说是新手的攻击者B.数据库攻击将日期设置为00/00/0000，以尝试利用业务逻辑中的缺陷C.安全界先前未知的攻击(正确答案)D.将操作系统的日期和时间设置为00/00/0000和00:00:00的攻击答案解析：C.零日攻击是指安全社区之前未知的攻击，因此没有可用的补丁。这些攻击特别危险，因为在解决方案可用之前，它们可能非常有效。其他描述的攻击都是已知的攻击，不会被归类为零日事件。50.Grant作为可能诉讼的准备的一部分正在收集记录，并担心他的团队可能花费过多的时间收集可能不相关的信息。根据《联邦民事诉讼规则》（FCRP）中的概念，确保在电子发现的过程中不会因为利益不超过成本而产生额外的时间和费用是什么？[单选题]*A.工具辅助审查B.合作C.毁损D.比例原则(正确答案)答案解析：D.额外的发现必须与其所需的额外成本成比例。这样可以防止额外的发现请求变得过于昂贵，并且请求者通常需要向主持案件的法官证明这些请求的合理性。51.在一次事件调查中，调查人员与一位可能拥有有关事件信息但并非嫌疑人的系统管理员会面。在此次会议期间，进行了哪种类型的对话？[单选题]*A.面试(正确答案)B.审问C.既是面试又是审问D.既不是面试也不是审问答案解析：A.面谈发生在调查人员与可能拥有与调查相关的信息但不是嫌疑人的个人会面时。如果这个人是嫌疑人，那么会面就是审讯。52.以下图像中使用了哪种技术来保护知识产权？[单选题]*A.隐写术B.切割C.采样D.数字水印(正确答案)答案解析：D.图片明显包含了美国地质调查局（USGS）的水印，以确保任何看到这张图片的人都知道其来源。仅通过查看图片无法确定是否使用了隐写术。采样和剪切是数据分析技术，不用于保护图片。53.作为业务连续性计划（BCP）工作的一部分，您正在评估一个地区的洪水风险。您查阅了联邦紧急事务管理局（FEMA）的洪水地图。根据这些地图，该地区位于一个200年一遇的洪水区域内。在该地区，洪水发生的年平均发生率（ARO）是多少？[单选题]*A.200B.0.01C.0.02D.0.005(正确答案)答案解析：D.年化发生率（ARO）是指每年预期发生的事件次数。对于200年一遇的洪水平原，规划者应该预计每200年发生一次洪水。这相当于每年发生洪水的概率为1/200，即每年发生0.005次洪水。54.在大多数防御良好的组织中，以下哪种个体对安全构成了最大风险？[单选题]*A.政治活动人士B.恶意内部人员(正确答案)C.程序小子D.刺激性攻击者答案解析：B.尽管所有恶意意图的黑客都对组织构成风险，但恶意内部人员对安全构成的风险最大，因为他们可能对敏感系统拥有合法访问权限，并可能将其用作发起攻击的起点。其他攻击者则没有这个优势。55.Veronica正在考虑实施一种顾问推荐的数据库恢复机制。在推荐的方法中，每天晚上自动化流程将数据库备份从主设施移动到离线位置。顾问描述的是哪种类型的数据库恢复技术？[单选题]*A.远程日志记录B.远程镜像C.电子保管(正确答案)D.事务日志记录答案解析：C.在电子保险库的方法中，自动化技术将数据库备份从主数据库服务器定期移动到远程站点，通常是每天一次。事务日志记录不是单独的恢复技术；它是用于生成远程日志传输中使用的日志的过程。远程日志传输以比电子保险库更频繁的方式将事务日志传输到远程站点，通常是每小时一次。远程镜像在备份站点维护一个实时数据库服务器，并在主站点上镜像所有事务。56.在设计访问控制方案时，Hilda设置了角色，以确保同一个人不具备同时创建新用户账户和分配超级用户权限的能力。Hilda遵循的是哪个信息安全原则？[单选题]*A.最小权限B.职责分离(正确答案)C.工作轮换D.安全性通过混淆答案解析：B.Hilda的设计遵循责任分离原则。给予一个用户创建新帐户和授予管理权限的能力将两个操作结合在一起，这将导致显著的安全变更，应该分配给两个用户进行处理。57.Patrick负责为他的组织实施威胁猎杀计划。在计划工作时，他应该使用以下哪项作为威胁猎杀计划的基本假设？[单选题]*A.安全控制是使用深度防御策略设计的。B.审计可能会揭示控制缺陷。C.攻击者可能已经存在于网络中。(正确答案)D.防御机制可能存在未修补的漏洞。答案解析：C.尽管Patrick可能对这次练习有所有这些假设，但威胁狩猎练习的基本假设是所谓的被入侵的假设。这意味着Patrick应该假设攻击者已经成功进入了他的系统，然后寻找攻击者存在的迹象。58.Brian正在为组织的灾难恢复计划开发培训项目，并希望确保参与者了解灾难活动何时结束。以下哪个事件标志着灾难恢复过程的完成？[单选题]*A.保护财产和人身安全B.在备用设施中恢复运营C.在主设施中恢复运营(正确答案)D.解散第一响应人员答案解析：C.灾难恢复过程的最终目标是在主要设施中恢复正常的业务运营。其他列出的所有操作可能在灾难恢复过程中发生，但在组织再次在其主要设施中正常运行之前，该过程尚未完成。59.Melanie怀疑有人在使用恶意软件从她公司窃取计算资源。以下哪个安全工具最适合检测这种类型的事件？[单选题]*A.NIDS（网络入侵检测系统）B.防火墙C.HIDS（主机入侵检测系统）(正确答案)D.DLP（数据丢失预防）答案解析：C.基于主机的入侵检测系统（HIDS）可能能够检测到系统上运行的未经授权的进程。其他提到的控制，如网络入侵检测系统（NIDS）、防火墙和数据丢失防护系统（DLP），都是基于网络的，可能不会注意到恶意进程。60.Brandon观察到网络上一名经过授权的系统用户最近滥用了他的账户，利用系统漏洞攻击了一个共享服务器，从而获取了该服务器的超级用户权限。发生了什么类型的攻击？[单选题]*A.拒绝服务B.特权升级(正确答案)C.侦察D.暴力破解答案解析：B.场景描述了一种特权升级攻击，其中一个拥有授权访问系统的恶意内部人员滥用了访问权限以获取特权凭证。61.Carla在公司工作了15年，担任了各种不同的职位。每次她换职位时，她都会获得与该职位相关的新特权，但没有收回任何特权。以下哪个概念描述了她所积累的特权集合？[单选题]*A.权利B.特权蔓延(正确答案)C.传递性D.隔离答案解析：B.Carla的账户经历了权限累积，即特权随时间累积的情况。这种情况也被称为特权蔓延，很可能违反了最小权限原则。62.在事件响应过程的哪个阶段，管理员会采取措施限制事件的影响或范围？[单选题]*A.检测B.响应C.缓解(正确答案)D.恢复答案解析：C.事件响应的缓解阶段专注于采取行动以控制事故期间产生的损害，包括限制事故的范围和/或影响。检测阶段识别事故的发生。响应阶段包括组建团队和对事故进行分流的步骤。恢复阶段恢复正常运营。对于问题63-66，请参考以下场景：Ann是一家中型企业的安全专业人员，通常负责组织的日志分析和安全监控任务。她的一个职责是监视来自组织入侵检测系统的警报。该系统通常每天会产生几十个警报，但在她调查后，其中许多警报都被证明是误报。今天早上，入侵检测系统发出警报，因为网络开始接收异常高数量的入站流量。Ann收到了这个警报，并开始调查流量的来源。63.在事件响应过程中的这一点上，哪个术语最能描述Ann的组织发生了什么？[单选题]*A.安全事件B.安全事件C.安全事件(正确答案)D.安全入侵答案解析：C.在此过程中，Ann没有理由相信任何实际的安全妥协或违反政策的发生，因此这种情况不符合安全事件或入侵的标准。相反，入侵检测系统生成的警报只是需要进一步调查的安全事件。安全事件不是常用的事件处理术语。64.Ann继续调查并意识到警报产生的流量是在端口53上异常高的入站UDP流量。通常使用该端口的是哪种服务？[单选题]*A.DNS（域名系统）(正确答案)B.SSH/SCP（安全外壳协议/安全拷贝协议）C.SSL/TLS（安全套接层/传输层安全协议）D.HTTP（超文本传输协议）答案解析：A.DNS流量通常使用TCP和UDP通信的53号端口。SSH和SCP使用TCP22号端口。SSL和TLS没有为其分配端口，但通常在443号端口上用于HTTPS流量。未加密的HTTPWeb流量通常使用80号端口。65.当Ann进一步分析流量时，她意识到流量来自许多不同的来源，并且已经超载了网络，阻止了合法的使用。入站数据包是对她在出站流量中未看到的查询的响应。这些响应在其类型上异常大。Ann应该怀疑哪种类型的攻击？[单选题]*A.侦察B.恶意代码C.系统渗透D.拒绝服务(正确答案)答案解析：D.在此场景中描述的攻击具有拒绝服务攻击的特点。更具体地说，Ann的组织很可能遭受了DNS放大攻击，其中攻击者向第三方DNS服务器发送伪造的请求，使用一个属于目标系统的伪造源IP地址。由于攻击使用的是UDP请求，因此没有三次握手。攻击数据包被精心制作，以从短查询中引发长时间的响应。这些查询的目的是生成大量足以淹没目标网络或系统的响应。66.现在Ann了解到发生了一次违反组织安全策略的攻击，哪个术语最能描述Ann的组织发生了什么？[单选题]*A.安全事件B.安全事件(正确答案)C.安全事件D.安全入侵答案解析：B.现在Ann怀疑她的组织受到了攻击，她有足够的证据来宣布这是一个安全事件。正在进行的攻击似乎破坏了她网络的可用性，满足安全事件的一个标准。这是一个比安全事件更严重的升级，但没有达到入侵的程度，因为没有证据表明攻击者甚至尝试访问Ann网络上的系统。安全事件不是常用的事件处理术语。67.Frank试图在法庭上将一台黑客的笔记本电脑作为证据提交，证明黑客犯罪行为。该笔记本电脑确实包含日志，表明黑客犯罪行为，但法庭裁定搜查公寓的行为违宪，导致警方找到该笔记本电脑。哪个准入标准阻止Frank将该笔记本电脑作为证据提交？[单选题]*A.实质性（Materiality）B.相关性（Relevance）C.传闻（Hearsay）D.能力（Competence）(正确答案)答案解析：D.为了被接受为证据，证据必须具有相关性、实质性和合法性。在这种情况下，笔记本电脑显然是实质性的，因为它包含与所讨论的犯罪相关的日志。它也是相关的，因为它提供了与黑客与犯罪相关的证据。它不合法，因为这些证据并非合法获得的。68.Gordon怀疑一名黑客侵入了他公司的系统。该系统不包含任何受监管的信息，Gordon想代表公司进行调查。他得到了主管的许可进行调查。以下哪种说法是正确的？[单选题]*A.Gordon在开始调查之前，法律上有义务与执法部门联系。B.Gordon不能进行自己的调查。C.Gordon的调查可能包括检查硬盘、网络流量和公司的任何其他系统或信息的内容。(正确答案)D.Gordon在确定了肇事者后可以合法地执行“反击”活动。答案解析：C.Gordon可以根据自己的意愿进行调查，并使用任何合法获得的信息，包括属于雇主的信息和系统。他没有义务与执法机构联系。然而，Gordon不可以进行"反向黑客"活动，因为这可能构成违法行为和/或（ISC）2的道德准则违规行为。69.以下哪种工具为组织提供了最大程度的保护，以防止软件供应商破产？[单选题]*A.服务级别协议（SLA）B.托管协议(正确答案)C.相互援助协议（MAA）D.PCIDSS合规协议答案解析：B.软件托管协议将软件包的源代码副本交给独立的第三方，如果供应商停止业务运营，第三方将将代码交给客户。如果供应商倒闭，服务级别协议、相互援助协议和合规协议的有效性会受到一定程度或全部损失。70.Fran正在考虑为她的银行制定新的人力资源政策，以遏制欺诈行为。她计划实施强制休假政策。通常认为最短的有效强制休假期限是多久？[单选题]*A.两天B.四天C.一周(正确答案)D.一个月答案解析：C.大多数安全专家建议休假至少一周，最好是两周，以防止欺诈行为。这样做的理念是在员工离开且没有执行掩盖行为所需的访问权限的时间内，会揭示出欺诈计划。73.Allie负责审核组织网络的身份验证日志。她没有时间查看所有日志，所以她决定只选择那些出现四次或更多次无效身份验证尝试的记录。Allie使用了什么技术来减小日志池的大小？[单选题]*A.采样（Sampling）B.随机选择（Randomselection）C.剪辑（Clipping）(正确答案)D.统计分析（Statisticalanalysis）答案解析：C.从大量记录中选择进一步分析的两种主要方法是抽样和剪辑。抽样使用统计技术选择代表整个数据集的样本，而剪辑使用阈值值选择那些超过预定义阈值的记录，因为它们可能是分析人员最感兴趣的记录。74.在对网络上的潜在僵尸感染进行调查时，您想对网络内部和互联网上的不同系统之间传递的信息进行取证分析。您认为这些信息很可能已加密。您是在活动结束后开始调查的。获得此信息来源的最佳且最简单的方法是什么？[单选题]*A.报文捕获B.NetFlow（网络流量分析）数据(正确答案)C.入侵检测系统日志D.集中身份验证记录答案解析：B.NetFlow数据包含有关所有网络通信的源地址、目的地址和大小，并且通常作为正常活动保存。数据包捕获数据将提供相关信息，但必须在可疑活动期间进行捕获，并且除非组织已经进行100%的数据包捕获（这很少见），否则无法在事后重新创建。此外，使用加密会限制数据包捕获的效果。入侵检测系统日志不太可能包含相关信息，因为加密的流量可能不会与入侵检测签名匹配。集中身份验证记录不包含与网络流量相关的信息。75.以下哪种工具通过为操作系统和应用程序提供标准、安全的配置设置模板，帮助系统管理员？[单选题]*A.安全指南B.安全策略C.基线配置(正确答案)D.运行配置答案解析：C.基线配置用作配置安全系统和应用程序的起点。它们包含遵守组织安全政策所需的安全设置，并可以根据实现的特定需求进行定制。虽然安全政策和准则可能包含用于保护系统所需的信息，但它们不包含可应用于系统的一组配置设置。系统的运行配置是当前应用的设置集，可能是安全的，也可能不是。在这种情况下，Allie只选择超过无效登录阈值的记录，这是剪辑的一个例子。她没有使用统计技术选择记录的子集，因此这不是抽样的例子。76.哪种类型的灾难恢复测试会启用备用处理设施并使用其进行交易，但主要站点仍在运行？[单选题]*A.完全中断测试B.并行测试(正确答案)C.清单审查D.桌面推演答案解析：B.并行测试中，团队实际上会启动灾难恢复站点进行测试，但主站点仍然正常运行。完全中断测试中，团队关闭主站点并确认灾难恢复站点能够处理正常运营。完全中断测试是最彻底的测试，但也是最具破坏性的。清单审查是最不具破坏性的灾难恢复测试类型。在清单审查期间，团队成员各自审查其灾难恢复清单的内容，并提出任何必要的更改。在桌面推演期间，团队成员聚集在一起，按照情景进行演练，而不对信息系统进行任何更改。77.在事件响应过程的哪个阶段，分析师会接收入侵检测系统的警报并验证其准确性？[单选题]*A.响应B.缓解C.检测(正确答案)D.报告答案解析：C.在事件响应过程的检测阶段，既会接收警报，也会验证其准确性。78.Kevin正在为组织制定持续安全监控策略。在确定评估和监控频率时，通常不使用以下哪项？[单选题]*A.威胁情报B.系统分类/影响级别C.安全控制运营负担(正确答案)D.组织的风险容忍度答案解析：C.根据NISTSP800-137，组织应使用以下因素来确定评估和监控频率：安全控制的变动性、系统分类/影响级别、提供关键功能的安全控制或特定评估对象、已知弱点的安全控制、组织的风险容忍度、威胁信息、漏洞信息、风险评估结果、监控策略审查的输出以及报告要求。79.Hunter正在审查他组织的监控策略，并确定他们可能部署的新技术。他的评估显示，公司在监控终端设备上的员工活动方面做得还不够。以下哪种技术最能满足他的需求？[单选题]*A.EDR（终端检测与响应）B.IPS（入侵预防系统）C.IDS（入侵检测系统）D.UEBA（用户行为分析）(正确答案)答案解析：D.所有这些技术都有潜力监视终端设备上的用户行为。回答这个问题的关键是要意识到对用户的重视。入侵检测和预防系统(IDS/IPS)侧重于网络和主机行为。端点检测与响应(EDR)系统侧重于终端设备。用户和实体行为分析(UEBA)解决方案侧重于用户，因此是满足Hunter要求的最佳方式。80.Bruce在他的网络上看到了相当多的可疑活动。在查阅SIEM中的记录后，似乎有外部实体正尝试使用TCP连接在端口22上连接他的所有系统。外部人员很可能在进行哪种类型的扫描？[单选题]*A.FTP（文件传输协议）扫描B.Telnet（远程登录协议）扫描C.SSH（安全外壳协议）扫描(正确答案)D.HTTP（超文本传输协议）扫描答案解析：C.SSH使用TCP端口22，因此这种攻击很可能是在尝试扫描开放或安全性较弱的SSH服务器。FTP使用端口20和21。Telnet使用端口23，HTTP使用端口80。81.Dylan认为他的环境中的数据库服务器遭到了SQL注入攻击。在攻击的修复阶段，Dylan最有可能采取以下哪种行动？[单选题]*A.从备份中重建数据库B.为Web应用程序添加输入验证(正确答案)C.审查防火墙日志D.审查数据库日志答案解析：B.纠正措施旨在解决导致事件发生的问题。在这种情况下，问题是一个容易受到SQL注入攻击的Web应用程序。添加输入验证旨在纠正这个漏洞。重新构建数据库是一种恢复操作，而审查日志是作为检测和响应工作的一部分进行的。82.Roger最近接受了一家在IaaS（基础设施即服务）环境中运行其整个IT基础设施的公司的安全专业人员职位。以下哪项最有可能是Roger公司的责任？[单选题]*A.配置网络防火墙B.应用虚拟化程序更新C.打补丁操作系统(正确答案)D.清除处理前的磁盘答案解析：C.在基础设施即服务环境中，供应商负责硬件和网络相关的责任。这包括配置网络防火墙、维护虚拟机监视程序和管理物理设备。客户负责在其虚拟机实例上打补丁操作系统。83.应用程序开发人员可以使用什么技术在生产网络允许应用程序之前，在一个隔离的虚拟化环境中对其进行测试？[单选题]*A.渗透测试B.沙箱化(正确答案)C.白盒测试D.黑盒测试答案解析：B.沙箱是一种技术，应用程序开发人员（或不信任应用程序的接收者）可以在与生产系统隔离的虚拟环境中测试代码。白盒测试、黑盒测试和渗透测试都是常见的软件测试技术，但不需要使用隔离的系统。84.Gina是一家小型企业的防火墙管理员，最近安装了一台新的防火墙。在发现异常的大量网络流量迹象后，她检查了入侵检测系统，系统报告称正在进行SYN（同步）洪泛攻击。Gina可以进行哪种防火墙配置更有效地防止这种攻击？[单选题]*A.阻止来自已知IP的SYN（同步）B.阻止来自未知IP的SYN（同步）C.在防火墙上启用SYN-ACK（同步-确认）欺骗(正确答案)D.禁用TCP（传输控制协议）答案解析：C.虽然这可能不是最直观的答案，但许多防火墙都内置了防止SYN洪水攻击的功能，它会代表受保护系统响应SYN请求。一旦远程系统通过继续三次握手证明是一个合法的连接，TCP会话的其余部分将被传递。如果连接被证明是攻击，防火墙将使用适当的缓解技术处理额外的负载。阻塞来自已知或未知IP地址的SYN可能会导致与应该能够连接的系统出现问题，而关闭TCP将破坏大多数现代网络服务！86.Alan正在评估在他的网络安全计划中使用机器学习和人工智能的潜力。以下哪项活动最有可能从这项技术中受益？[单选题]*A.入侵检测(正确答案)B.帐号设置C.防火墙规则修改D.媒体清除答案解析：A.虽然任何网络安全活动都有可能从机器学习和人工智能技术中获益，但这项技术在用于模式检测和异常检测问题时表现突出。入侵检测系统就是进行这种活动的系统，因此这个系统从使用机器学习/人工智能技术中受益最多。87.TimberIndustries最近与一位客户发生争议。在与其客户代表的会议上，客户站起来宣称：“没有其他解决方案。我们必须将这个问题提交法院。”然后他离开了房间。TimberIndustries何时有责任开始保存证据？[单选题]*A.立即(正确答案)B.收到对方律师的诉讼通知后C.收到传票后D.收到法院命令后答案解析：A.公司有责任在他们相信诉讼威胁即将出现时保留证据。客户所说的“我们将不得不将此事提交法庭”明确是对诉讼的威胁，应触发保留相关文件和记录的操作。88.Candace正在为她所在组织的文件服务器设计备份策略。她希望每个工作日进行一次备份，并使其所需的存储空间尽可能小。她应该进行什么类型的备份？[单选题]*A.增量备份(正确答案)B.完全备份C.差异备份D.事务日志备份答案解析：A.增量备份提供的选项包含的数据量最小。在这种情况下，只包括自最近一次增量备份以来修改的数据。差异备份将备份自上次全备份以来修改的所有数据，这是相当大的数据量。全备份将包括服务器上的所有信息。事务日志备份专门用于支持数据库服务器，对文件服务器不起作用。89.Darcy是一位计算机安全专家，正在协助起诉一名黑客。检察官要求