cissp中文版考试真题题库500题（导出附答案）

cissp中文版考试真题汇总题库500题（导出附答案）

一'单选题

1.单选题哪个数据角色对组织中的数据负有最终责任？

A、系统所有者

B、业务所有者

C、数据所有者

D、任务所有者

答案：C

解析：数据所有者对组织的数据负有最终责任,这些人通常是CEO、总裁或其他

高级工作人员。业务和任务所有者通常负责业务过程或任务。系统所有者负责处

理敏感数据的系统。

2.Ben事先记录数据,然后在测试网站上重播它,通过真实的生产负荷来验证这

些数据是如何工作的,他进行什么类型的1性能监控？

A、被动

B、主动

C、反应

D、重放

答案：B

解析：主动监测也称为综合监测，使用记录或生成的流量来测试系统和软件。被

动监控使用网络分析仪、网络分流器或其他设备来捕获要分析的流量。响应和重

放不是监控类型的专业术语。

3.#454

安全架构师正在审查已实施的安全框架。审查后，安全架构师希望通过实施职责

分离(SoD)来增强安全性，以解决欺诈保护问题。哪种安全模型最能保护数据的

完整性？

A、Brewer-Nash模型

B、Biba诚信模式

GBel1-LaPadula模型

D、克拉克-威尔逊模型

答案：D

4.单选题NeaI使用DynamoDB数据库。数据库的结构不像关系数据库,但允许Ne

al使用键值存储数据。什么类型的数据库是DynamoDB?

A、关系数据库

B、图形数据库

C、分层数据库

D、NoSQL数据库

答案：D

解析：键值存储是NoSQL数据库的一个例子,它不遵循与传统数据库类似的关系

或层次模型。图形数据库是NoSQL数据库的另一个例子，但它使用节点和边来存

储数据,而不是键和值。

5.单选题1分Henry正在与一个Web应用程序开发团队合作,为他们公司的新应

用程序进行身份验证和授权过程。该团队希望使会话ID尽可能安全。以下哪项

不是Henry应该推荐的最佳实践?

A、会话ID令牌应该是可预测的

B、会话ID应至少具有64位滴

C、会话长度应至少为128位

D、会话ID应该是无意义的

答案:A

解析：Web应用程序开发最佳实践目前建议使用具有足够灯（随机性）的长会话I

DCI28位或更长），以确保它们不会被轻易复制或暴力破解。确保会话ID本身没

有意义也是一种最佳做法,以防止信息泄露攻击。然而,会话ID应该会过期,因为

即使所有这些建议都得到满足,永不过期的会话最终可能会被暴力破解。

6.#16

哪种应用程序类型被认为是高风险的，并为恶意软件和病毒提供了进入网络的常

用途径？

A、即时通讯或聊天应用程序

B、点对点（P2P）文件共享应用程序

C、电子邮件申请

D、端到端应用

答案：B

7.以下哪项仅用于加密通过网络传输的数据,并且不能用于加密静止数据？

A、TKIP

B、AES

G3DES

D、RSA

答案：A

解析：TKIP仅用于加密传输中的数据,而不用于静止数据。RSA、AES和3DES适

用于静止数据和传输中的数据。

8.单选题Bel1-LaPadula和Biba模型实现了什么状态机模型？

A、信息流

B、不干扰

C、级联

D、反馈

答案：A

9.#166

在进行有可能采取法律行动的调查时，解析师的首要考虑是什么？

A、数据解密

B、监管链

C、授权收集

D、法院可受理性

答案：B

10.单选题在软件配置管理程序中,CAB的主要作用是什么？

A、批准开发者的凭据

B、促进经验教训会议

C、审查和批准.拒绝代码更改

D、优先考虑软件开发工作

答案：C

解析：变更咨询委员会(CAB)的目的是审查并批准或拒绝提议的代码变更。CAB

通常不参与开发人员证书的批准、经验教训会议的进行或软件开发工作的优先级

顺序。

11.单选题在下图中,Harry写入数据文件的请求被拒绝。Harry有机密安全许可,

该数据文件属于秘密级别。BelI—LaPadula模型的什么原则阻止了该请求？

A、简单安全性属性

B、简单完整性属性

C、*安全性属性*

D、自主安全属性

答案：C

解析：“安全属性规定个人不得写入安全分类级别较低的文件。

12.单选题什么类型的软件程序向任何人曝光代码？

A、封闭源

B、开源

C、固定源

D、无限制源

答案：B

解析：开源软件会将源代码暴露给公众，以便他们检查和修改。开源社区包括主

要软件包,包括Linux操作系统。

13.单选题参考如下火灾三角形,以下哪一个抑制材料通过移除燃料来抑制火灾？

A、水

B、酸碱

C、二氧化碳

D、哈龙

答案：B

解析：苏打酸和其他干粉灭火器阻断燃料与空气的接触。水可降低温度，而哈龙

和二氧化碳可以阻断氧气。

14.#306

以下哪种攻击类型可用于破坏传输过程中的数据完整性？

A、同步泛洪

B、会话劫持

C、键盘记录

D、数据包嗅探

答案：B

15.单选题Barry是一名软件测试人员,他使用公司开发的新游戏应用。他在智能

手机上玩游戏,并在最能模拟正常最终用户的环境中进行测试，但他在进行测试

时参考了源代码。Barry进行什么类型的测试？

A、白盒

B甲

C、蓝盒

D、灰盒

答案：D

解析：在灰盒测试中，测试者从用户角度评估软件，但在进行测试时可以访问源代

码。白盒测试也可以访问源代码，但从开发人员的角度进行测试。黑盒测试是从

用户的角度来评估软件,并且不能访问源代码。蓝盒是一种电话黑客工具,而不是

软件测试技术。

16.Sally为千兆以太网网络接线。她应该做哪些布线选择,来确保她的用户可以

使用1000Mbps的网络？

A、Cat5和Cat6

B、Cat5e和Cat6

C、Cat

D、Cat6和Cat7

答案：B

解析：5e类和6类的UTP电缆额定速率是1000Mbps。Cat5线缆的速率仅为100

Mbps,而Cat7线缆速率为WGbpSo不存在Cat4e0

17.#167

软件定义网络(SDN)的构建块需要以下哪一项？

A、SDN完全由客户端-服务器对组成。

B、随机存取内存(RAM)优先于虚拟内存使用。

C、SDN主要由虚拟机(VM)组成。

D、虚拟内存优先于随机存取内存(RAM)。

答案：C

18.以下哪种工具最适合渗透测试的信息收集阶段？

A、Whois

B、zzuf

CxNessus

D、Metasploit

答案：A

解析：在渗透测试的信息收集和发现阶段，测试人员收集有关目标的信息。Whoi

s可提供有关组织的信息,包括IP范围、物理地址和员工联系人。Nessus在漏洞

检测阶段很有用，Metasploit在开发过程中很有用。zzuf是一种Fuzzing工具,

不太可能在渗透测试中使用。

19.#358

以下哪一项是Bell-LaPadula模型的局限性？

A、职责分离(SoD)难以实施，因为“禁止阅读”规则限制了对象访问更高分类信

息的能力。

B、强制访问控制(MAC)在所有级别强制执行,因此无法实施自主访问控制(DAC),,

C、它不包含更改数据访问控制的规定或政策，并且仅适用于本质上是静态的访

问系统。

D、它优先考虑完整性而不是机密性，这可能导致无意的信息泄露。

答案:C

20.#79

垃圾箱潜水是渗透测试方法的哪个阶段使用的一种技术？

A、攻击

B、报告

C、规划

D、发现

答案：D

21.#259

以下哪个是风险矩阵？

A、确定活动或系统风险管理决策的工具。

B、与特定信息系统相关的风险数据库。

C、组织、产品、项目或其他相关项目的二维风险图。

D、供管理层考虑的风险管理因素表。

答案:A

22.单选题MITRE的CVE数据库提供什么类型的信息？

A、当前版本的软件

B、应用程序的补丁信息

C、漏洞信息

D、为通用流程列出成本和所需努力的对比

答案：C

解析：公共漏洞和暴露(CVE)字典提供了安全漏洞和问题的中央资料库。应用程

序和软件版本的修补信息有时会使用中央补丁管理工具进行管理,但单个中央数

据库一般不能免费或公开使用。CVE并不关心成本和所需努力的对比。

23.#462

以下哪些是进行安全评估时的关键活动？

A、安排、收集、检查

B、面试、考试、模拟

C、收集、采访、测试

D、考试、面试、测试

答案：B

24.单选题以下哪个数据库键值用于执行表之间的完整性引用关系？

A、主键

B、候选键

C、外键

D、控制键

答案:C

解析：完整性引用确保记录被其他表中的外键引用时，该记录存在于副表中。外

键是用于严格保证引用完整性的机制。

25.多选题Susan想要使用一组不可路由的IP地址作为该位置的内部网络地址。

使用你对安全网络设计原则和IP网络的了解,以下哪些IP范围可用于此目的？

（选择所有符合条件的。）

A、172.16.0.0.12

B、192.168.0.0.16

G128.192.0.0.24

D、10.0.0.0.810.0.0.0.8

答案：C

解析：RFC1918将三个地址范围定义为私有（不可路由）IP地址范围：10.0.0.0.8s

172.16.0.012和192.168.0.0.16.这些之中的任何一个都可以工作，但许多组织

将192.168.0.0.16范围用于较小的站点,或者选择为多个远程站点划分到10.0.

0.0.8范围中。材料13:请参考以下场景，回答4个问题:Susan正在为她的组织

的分支机构设计新的网络基础架构

26.#14

一家公司参加了一项硬盘再利用计划，在该计划中，退役的设备在不再需要时被

卖回给供应商。

与不再运行的设备相比，供应商为正常运行的驱动器支付的费用更多。哪种数据

清理方法可以提供最安全的方法来防止未经授权的数据丢失，同时从供应商那里

获得最多的钱？

A、固定

B、单程擦拭

C、多道擦拭布

D、消磁

答案：C

27.#121

与传统网络相比，以下哪一项是软件定义网络(SDN)提供的与安全相关的好处？

A、集中式网络配置

B、扩展时减少网络延迟

C、集中网络管理控制

D、减少硬件占用空间和成本

答案：C

28.#253

一个组织正在计划一项模拟前网络管理员的恶意行为的渗透测试。需要什么样的

渗透测试？

A、功能测试

B、单元测试

C、灰盒

D、白盒

答案：C

29.#345

开放Web应用程序安全项目(OWASP)的软件保障成熟度模型(SAMM)允许组织实施

灵活的软件安全策略，以根据哪些风险管理方面衡量组织影响？

A、风险例外

B、风险承受能力

C、风险处理

D、风险应对

答案：D

30.单选题一般能够阻止大多数人攀越的围墙最低高度是多少？

A、3英尺

B、4英尺

C、5英尺

D、6英尺

答案：D

解析：围栏一般应至少高6英尺。如果一个物理安全系统需要明确阻止某类入侵

者,它应该至少8英尺高，顶部还应有三股铁丝网。

31.单选题在放到生产网络之前,应用程序开发人员可在隔离的虚拟化环境中对

应用程序使用什么测试技术?

A、渗透测试

B、沙箱

C、白盒测试

D、黑盒测试

答案：B

解析：沙箱提供了一个与生产系统相隔离的虚拟化环境,在此虚拟化环境中，应用

开发者（或不受信任的应用的接收者）可以执行代码测试。白盒测试、黑盒测试和

渗透测试都是常见的软件测试技术，但不需要使用隔商系统。

32.单选题Lucca构建的Web应用程序存在一个缺陷,会导致登录的用户能够执行

他们不应该执行的操作。该安全漏洞应归为哪种类型？

A、数据验证

B、会话管理

C、授权

D、错误处理

答案:C

解析：鉴于此处的选项列表,根本原因很可能是授权检查的问题,该检查未正确限

制用户应具有的权限。数据验证问题更可能允许注入攻击或允许输入错误数据，

而会话管理问题将允许会话劫持或实际上可能导致它们作为另一个用户登录。最

后,错误处理会在发生错误时显示为问题,而这个问题并未表示。

33.Alan正在考虑在其组织中使用新的身份证，用于物理访问控制。他看到一种

样品卡，但不确定该卡使用的技术。因此他打开卡片，看到了以下内部结构。这

是什么类型的卡?

A、智能卡

B、感应卡

C、磁条

D、相二卡

答案：B

解析：在卡内使用电磁线圈表示这是一个感应卡。

34.#395

以下哪项是联邦身份管理(FlM)实施模型的主要组成部分，用于建立网络

在几十个组织之间？

A、身份即服务(IDaaS)

B、基于属性的访问控制(ABAC)

C、交叉认证

D、可信第三方(TTP)

答案：C

35.#327

在过去的15年中，一家公司经历了三起电气故障。下面列出了与每个故障相关

的成本。以下哪项是合理的年度损失预期？

A、3,500

B、140,000

C、14,000

D、350,000

答案：C

36.#363

哪个(ISC)

在保护系统、应用程序和受托信息的价值同时避免利益冲突时，道德规范规范最

能体现吗？

A、为原则提供勤奋和称职的服务。

B、以光荣、诚实、公正、负责任和合法的方式行事。

C、推进和保护职业。

D、保护社会'联邦和基础设施。

答案：A

37.单选题Melissa希望以对用户透明的方式,在她的组织中将多个物理网络组

合起来，但允许根据需要为网络服务分配资源。她应该部署什么类型的网络？

A、iSICI

B、虚拟化网络

GSDWAN

D、A

答案：B

解析：虚拟网络可用于组合现有网络或将网络划分为多个网段。Melissa可以使

用虚拟网络来组合现有网络，然后使用软件定义的网络功能来分配和管理网络资

源。iSCSI是一种融合存储协议。SDWAN是软件定义的广域网，此问题没有指定L

AN或WAN技术。CDN是一个内容分发网络,有助于应对负载和拒绝服务攻击。

38.#198

软件开发公司交付软件产品的时间很短。软件开发团队决定使用开源软件库来减

少开发时间。软件开发人员在使用开源软件库时应该考虑什么概念？

A、开源库包含已知漏洞，攻击者经常在野外利用这些漏洞。

B、开源库是所有人都可以使用的，大家的共识是这些库中的漏洞不会被利用。

C、开源库包含未知漏洞，因此不应使用。

D、开源库不断更新，使得攻击者不太可能存在漏洞利用。

答案：A

39.单选题以下哪种方法移除数据的效果最差？

A、消磁

B、清除

C、擦除

D、清理

答案：C

解析：擦除（也称为删除）通常只是断开了文件的链接,并没有真正删除掉文件本

身的数据,这些数据会被留在存储介质中，如果系统新写入一部分数据,那么这些

新写入的数据可能覆盖掉旧的文件数据。消磁只能在磁性介质上进行。清除和清

理两者都描述了更复杂的移除过程。

40.单选题以下哪项是用于自动设计新软件测试并确保测试质量的方法？

A、代码审计

B、静态代码分析

C、回归测试

D、突变测试

答案：D

解析：突变测试通过修改程序的局部,测试该突变体来确定其能否按照预期运行。

静态代码分析和回归测试均是测试代码的方法,而代码审计是针对源代码的分析,

并非设计和测试软件的方法。

41.#117

质量保证(QA)部门人手不足，无法在应用程序的预期发布日期之前测试所有模块。

什么安全控制最有可能被违反？

A、变更管理

B、环境分离

C、方案管理

D、移动代码控制

答案：C

42.单选题以下哪种类型的软件测试通常最后发生,并针对测试场景执行？

A、单元测试

B、集成测试

C、用户验收测试

D、系统测试

答案：C

解析：用户验收测试(UAT)通常是测试过程的最后阶段。它验证所开发的解决方

案是否满足用户要求，并使用用例对其进行验证。单元测试、集成测试和系统测

试都在用户验收测试阶段之前实施。

43.#85

以下哪一项最能保护用于紧急维护的供应商帐户？

A、应在需要时禁用供应商访问

B、频繁监控供应商访问

C、基于角色的访问控制(RBAC)

D、路由表加密

答案:C

44.单选题James使用国防部的一个系统来工作,这个系统被授权同时处理归类

为机密和绝密级别的信息。他使用的是什么类型的系统？

A、单核

B、未加密

C、隔离

D、多核

答案：D

解析：经过认证的多核系统通过实施适当的保护机制来隔离数据,可同时处理来

自不同安全分类级别的数据。

45.#73

限制对计算系统上文件系统的访问的最佳方法是什么？

A、在每个级别使用最低权限来限制访问。

B、限制所有用户的访问。

C、允许用户组限制访问。

D、使用第三方工具限制访问。

答案：A

46.#153

以下哪个框架提供了漏洞度量和特征来支持国家漏洞数据库(NVD)?

A、常见漏洞和暴露(CVE)

B、互联网安全中心(CIS)

C、通用漏洞评分系统(CVSS)

D、开放Web应用程序安全项目(OWASP)

答案：C

47.单选题下列哪项正确地描述了非政府和政府使用的分类级别对应关系？

A、绝密-机密.私有秘密-私人机密-敏感

B、秘密-业务机密分级的-私有机密-内部业务

C、绝密-私有分级的-内部业务机密-私有业务

D、秘密-私有分级的-私人未加密-公开的

答案：A

解析：虽然许多非政府组织都创建了自己的分类计划，但只有一部分组织和美国

政府所使用的模型是一致的,如下所示。在四个选项中，B选项和D选项与美国政

府的绝密、秘密、机密模型不匹配，并且选项C把业务专有数据和机密数据错误

匹配,把业务敏感数据和最高机密数据错误匹配。内部业务通常就是敏感业务，

意味着它可以用来匹配两个分类级别。

48.#379

一项违规调查发现，一个网站被一个开源组件利用。可以防止这种违规行为的流

程中的第一步是什么?

A、应用程序白名单

B、漏洞修复

GWeb应用防火墙(WAF)

D、软件清单

答案：C

49.单选题1分如果允许OpenID信任方控制连接OpenID提供程序,会引发什么危

险？

A、错误选择适当的OpenlD提供程序

B、网络钓鱼攻击

C、窃取用户名和密码

D、不发送签名声明

答案：B

解析：有可能会发生网络钓鱼攻击。由于OpenID提供程序URL由客户端提供，

因此依赖方不能选择错误的提供程序。依赖方从未收到用户的密码,这意味着他

们不能窃取它。最后，依赖方接收到签名的声明，但不发送。

50.单选题Brenda的组织最近完成了对竞争对手公司的收购。在收购期间以下哪

项任务最不可能成为所涉及的组织过程的一部分？

A、安全功能的整合

B、安全工具的集成

C、知识产权的保护

D、安全策略的文件化

答案：C

解析：与收购(一家公司购买另一家公司)相比,在剥离(子公司被分拆为一个独立

的组织)期间,知识产权保护是一个更大的问题。收购问题包括整合安全功能和策

略，以及安全工具的集成。

51.#169

哪种安全审计标准为组织了解供应商信息系统(IS)的机密性、完整性和可用性提

供了最佳方式？

A、服务组织控制(S0O2

B、鉴证业务标准声明(SSAE)18

C、审计标准声明(SAS)70

D、服务组织控制(S0C)1

答案：A

52.#391

谁是审查开发的应用程序代码以确保它已经过测试和验证的最佳人选？

A、知道对应用程序的期望是什么的开发人员，但不是开发它的人。

B、质量保证(QA)成员应审查开发人员的代码。

C、了解应用程序需求文档并开发代码的开发人员。

D、管理者应该审查开发者的应用程序代码。

答案：B

53.#423

当怀疑发生事件时，事件响应团队应该采取的第一个行动是什么？

A、选择遏制策略。

B、记录有关该事件的所有事实。

C、尝试识别攻击者。

D、将事件通知管理层。

答案：B

54.#132

一家大型软件公司的项目经理获得了一份政府合同，该合同会生成大量受控非机

密信息(CUI)。该组织的信息安全经理收到了在不同安全等级的系统之间传输与

项目相关的CUI的请求。什么角色为本次转让提供权威指导？

A、下午

B、信息所有者

C、数据保管人

D、使命/企业主

答案：C

55.单选题1分在渗透测试期间,Chris恢复了一个散列密码文件，以下哪种攻击

是针对散列密码的？

A、暴力攻击

B、散列传递攻击

C、彩虹表攻击

D、盐恢复攻击

答案：C

解析：彩虹表是预先匹配好散列密码的数据库，具备高速查找的功能。由于可以

快速比较已知的散列与文件中的散列，使用彩虹表是最快捷的方法。暴力攻击有

可能成功，但特别缓慢。传递散列攻击依赖于嗅探获取的散列值,从而避免使用密

码。盐是添加到散列中的数据，使用盐可阻止彩虹表的使用。在密码中加入盐后,

散列值就无法和没有加入盐而得出的彩虹表匹配了。

56.单选题Fred的组织中，在一个项目完成后,允许重复使用这个系统。如果一个

秘密级别的项目使用的系统来自一个绝密项目，Fred应该注意什么？

A、绝密数据可能与秘密数据混合,导致需要重新标记系统

B、净化旧设备的成本可能超过新设备的成本

C、净化旧设备时可能会泄露数据

D、组织的DLP系统可能因为数据标签的不同重新标记新的系

答案：B

解析：由于难以确认数据净化工作是否已经完成,一般很少有组织会重复使用旧

的系统设备。因为需要完全擦除(或破坏)系统使用的介质,因此这意味着重复使

用的成本通常较高,甚至可能超过购买新系统的成本。清除的目的是确保没有数

据保留,所以数据混合和数据泄露都不在考虑范围内。数据丢失防护系统应该根

据标签标记数据,而不是根据它的系统进行标记。

57.#375

以下哪些文件从客户的角度具体说明了服务？

A、业务影响解析(BIA)

B、服务水平协议(SLA)

C、服务水平要求(SLR)

D、服务水平报告

答案：C

58.#432

在美国(US)开发电子健康记录(EHR)时，以下哪项是最佳信息来源

有什么合规要求吗？

A、世界卫生组织(WHO)

B、国际标准化组织(ISO)

C、健康与人类服务(HHS)

D、美国公共卫生协会(APHA)

答案：C

59.#393

确保云服务提供商不会访问存储在其基础架构中的客户数据的最有效方法是什

么？

A、使用组织的加密工具和数据管理控制。

B、确保云服务提供商根据合同不会访问数据，除非获得明确授权。

C、定期请求审计日志。

D、利用云提供商的密钥管理和弹性硬件安全模块(HSM)支持。

答案：B

60.#441

什么最能描述数据所有权？

A、地理主权

B、保密性和完整性

C、准确度和精密度

D、法律责任

答案：D

61.单选题对于已实施了最佳防护的组织来说,以下哪种人是最大的安全风险？

A、政治活动家

B、恶意的内部人员

C、脚本小子

D、激进的攻击者

答案:B

解析：虽然所有恶意黑客对组织都会构成风险，但内部恶意人员对组织安全构成

的威胁要远远超过他们。由于内部人员可以合法访问系统,因此这为攻击带来了

极大的便捷性,这一点是其他黑客做不到的。

62.单选题使用什么术语来描述软件没有漏洞的信任级别（这些漏洞可能在开发

生命周期内的任何时候有意或意外设计到软件中，而且软件以预期的方式运行）?

A、验证

B、认证

C、信任区间

D、保证

答案：D

解析：对于软件来说，“保证”是用来描述软件没有漏洞的信任级别，这些漏洞可

能在开发生命周期内的任何时候有意或无意地设计加入软件中，另外用来描述软

件以预期的方式运行。它通常用于军事和国防环境。

63.单选题专注于系统不允许的功能的测试是什么类型的测试示例？

A、用户用例测试

B、手动测试

C、误用用例测试

D、动态测试

答案：C

解析：测试一个系统如何被误用，也即误用测试。用户用例测试用来验证系统是

否实现了预期功能。动态测试用来确定程序运行中，代码是如何处理那些变量的。

手动测试的含义十分直白，就是手动测试代码。

64.单选题在下图中,Sally在写入数据时被Biba完整性模型所阻碍。SaIIy对机

密性进行安全检查,该文件属于绝密类别。什么原则阻止她写入文件？

A、简单安全属性

B、简单完整性属性

C、安全属性

D、完整性属性

答案：D

解析：*完整性属性规定主体不能修改安全级别较高的客体。

65.单选题以下哪一个是软件开发的瀑布模型中正确的步骤顺序？

A、需求、设计、测试'编码、维护

B、需求、设计、编码、测试、维护

C、设计、需求、编码、测试、维护

D、设计、需求、测试、编码'维护

答案：B

解析：在瀑布模型中，软件开发过程遵循五个顺序步骤，按顺序分别是:需求、设

计、编码、测试和维护。

66.单选题Sherry盘点她所在的组织中使用的密码技术,发现使用了以下这些算

法和协议。为保障系统的安全性,她应该建议把以下哪项技术替换掉？

A、MD5

B、AES

C、PGP

D、WPA3

答案：A

解析：MD5散列算法具有已知的冲突,并且自2005年起，不再被认为是安全的。A

ES、PGP和WPA3算法仍然被认为是安全的。

67.#445

缓解分布式拒绝服务(DDoS)攻击的最有效方法是什么？

A、部署Web应用程序防火墙(WAF)o

B、阻止访问受攻击的传输控制协议(TCP)端口。

C、检测并阻止公司防火墙上的不良Internet协议(IP)子网。

D、聘请上游互联网服务提供商(ISP)。

答案：D

68.单选题在第三方漏洞扫描和安全测试期间,Danielle的雇主最近发现,为管

理公司新部署和安装的嵌入式系统存在严重的远程访问漏洞。制造商已经停业，

并且没有针对这类设备的补丁或更新。DanielIe应该建议她的雇主如何处理这

些数以百计且易受攻击的设备?

A、确定替换设备型号并更换每个设备

B、关掉所有设备

C、将设备移动到安全的网段

D、对设备进行反向工程并构建内部补丁

答案：C

解析：最佳的选项是将设备移动到安全且隔离的网段。这将允许设备继续发挥其

预期功能，同时防止被破坏。所有其他方案要么产生高额的新成本,要么不能使用

组织购买这些设备所提供的功能。

69.Mike正在构建容错服务器并希望实施RAID1,实施此方案需要多少个物理磁

盘？

A、1

B、2

C、3

D、5

答案:B

解析：RAID1称为磁盘镜像,需要两个物理磁盘，其中一个物理磁盘是另一个的副

本。

70.单选题为什么除了实施无线安全技术（例如无线入侵检测系统）之外,还应进

行被动扫描？

A、它有助于识别流识设备

B、它可以通过脚本攻击来测试无线网络的安全性

C、它们在每个无线信道上的短驻留时间允许它们捕获更多分组

D、他们有助于测试无线IDS或IPS系统

答案：A

解析：被动扫描可通过捕获与所部署设备不匹配的MAC地址供应商ID,通过利用

硬件地址来验证系统与组织拥有的硬件库存是否匹配，以及通过监控流眠SSID

或连接来帮助识别流氓设备。脚本攻击属于主动扫描,而不是被动扫描,主动扫描

对于测试IDS或IPS系统很有用，而被动扫描将不会被检测系统检测到。较短的

驻留时间实际上可以避开难以管控的流量

71.单选题Am。Id正在创建一个新的软件包,并使用了OpenSSL库。哪项术语最能

描述他正在使用的库？

A、开源

B、COTS

C、第三方

D、托管

答案：A

解析：OpensSL包是一个广泛使用的TLS加密的应用，并且可作为开源包使用。

它不是商业现成软件(COTS).虽然它可能由第三方开发，但将其描述为开源更为

准确。该库可作为代码免费使用，但不能作为托管服务。

72.#125

工业控制系统(ICS)计算机应急响应小组(CERT)已发布有关专门通过基于Windo

ws的业务网络传播的以ICS为重点的恶意软件的警报。当地一家自来水公司的

技术人员注意到，他们的水坝、运河和水闸由内部监督机构控制

控制和数据采集(SCADA)系统出现故障。在事件响应(IR)和恢复过程中咨询了数

字取证专家。

以下哪一项是这项调查中最具挑战性的方面？

A、集团政策实施

B、SCADA网络延迟

C、对系统的物理访问

D、数据的波动性

答案:D

73.AIice想获得一个对象的读取权限,并且她知道Bob已经拥有这些权限,她希

望Bob能将这些权限提供给自己。如果Alice和Bob之间存在关系,Take-Grant

保护模型中的哪个规则将允许她完成此操作？

A、获取规则

B、授予规则

C、创建规则

D、远程规则

答案:A

解析：获取规则允许主体获得其他客体的权限,据此如果Alice可以获取Bob拥

有的权限那么这意味着她可授予自己和Bob同样的权限。

74.单选题Darcy的组织正在部署无服务器计算技术，为了更好地满足开发人员

和用户的需求。在无服务器模型中,谁通常负责配置操作系统安全控制？

A、软件开发人员

B、网络安全专家

G云架构师

D、供应商

答案：D

解析：在无服务器计算模型中，供应商不会向其客户公开操作系统的详细信息。

因此,在云计算的责任共担模型下，供应商保留对其进行安全配置的全部责任。

75.单选题当卫星互联网是唯一可用的选择时,需要高性能互联网连接的系统通

常担心什么？

A、安全性

B、与LiFi等协议的兼容性

G与Zigbee等协议的兼容性

D、延迟

答案：D

解析：大多数现有的卫星互联网系统具有相对较高的延迟。较新的低地球轨道卫

星(如Starlin似乎比高轨道卫星提供更好的延迟，但对于基于卫星的系统来说，

延迟和易受天气干扰都是常见的问题。

76.#223

在购买新软件的过程中，必须在哪个过程中考虑安全性？

A、征求建议书(RFP)

B、实施

C、供应商选择

D、合同谈判

答案:A

77.#87

以下哪项最好地描述了软件取证的目的？

A、解析恶意软件可能的恶意意图

B、执行循环冗余校验(CRC)验证并检测更改的应用程序

C、确定代码的作者和行为

D、审查程序代码以确定后门的存在

答案:C

78.状态防火墙工作在OSI模型中的哪一层？

A、网络层+传输层

B、数据链路层+网络层

C、应用层+传输层

D\应用层+网络层

答案:A

79.单选题Ryan是保险公司的安全风险分析员。近期由于公司网站应用丢失补丁,

黑客可能使用SQL注入袭击来破坏网站服务器,他最近正在进行安全检查。在该

情况下,威胁是什么？

A、未打补丁的网络应用

B、网站破坏

C、黑客

D、操作系统

答案：C

解析：风险是威肋和脆弱性的结合，威肋是试图破坏系统安全的外部力量。在本

题中,脆弱性指系统的内部漏洞,也就是没打补丁。此时,如果黑客（威胁）尝试针

对未修补的服务器（漏洞）的SQL注入攻击,会引起网站崩溃。

80.一家医药企业在自己的网站上，没有通知用户的情况下肆意收集信息，你作

为企业的ciso应该参考什么政策予以指导

A、hippa

B、第四修正案

C、GLBA

D、不相关

答案：A

81.n使用什么速度和频率范围？

A、54Mbps,5GHz

B、200+Mbps,5GHz

C、200+Mbps,2.4

D、1Gbps,5GHz

答案：c

解析:802.11n可以超过200Mbps的速度运行,并且它可在2.4GHz和5GHz的频

率范围上运行。802.11g使用2.4GHZ频率范围以54Mbps运行,而802.11ac可在

5GHz范围内以1Gbps运行。802.11a和b都已经过时,它们在现代网络设备中不

太可能遇到。

82.单选题Tim是一个取证分析师,试图从硬盘驱动器检索信息。看起来,用户已

试图擦除了数据，而Tim正在尝试重建它。Tim执行的是什么类型的取证分析?

A、软件分析

B、介质分析

C、嵌入式设备分析

D、网络分析

答案：B

解析：对硬盘驱动器进行取证分析是介质分析的例子。嵌入式设备分析会查看大

型系统中的计算机，如汽车中的安全系统。软件分析涉及应用程序及其日志。网

络分析考察的是网络流量及其日志。

83.#364

为了执行安全审计，应存在以下哪项？

A、审计师的中立

B、审计所依据的行业框架

C、外部（第三方）审计师

D、内部认证审计师

答案:B

84.单选题Yolanda正在完成一个配置信息文件,该文件说明了组织中系统应该

具备的最低水平的安全配置请问这属于什么类型的文件？

A、策略

B、基线

C、指南

D、程序

答案：B

解析：基线提供整个组织中每个系统必须满足的最低安全级别。

85.#203

安全信息和事件管理(SIEM)系统的管理员必须确保以下哪一项？

A、所有源都与一个公共时间参考同步。

B、所有来源都以完全相同的可扩展标记语言(XML)格式报告。

C、数据源不包含违反隐私规定的信息。

D、每个来源都使用相同的Internet协议(IP)地址进行报告。

答案：A

86.单选题Helen的任务是在她的组织中实施安全控制,这些控制用于阻止内部

欺诈活动。以下哪种机制对她的工作最无用？

A、轮岗

B、强制休假

C、事件响应

D、两人控制

答案:C

解析：工作轮换和强制休假通过增加检测的可能性来阻止欺诈。两人控制通过需

要两名员工之间串通来阻止欺诈。事件响应通常不作为威摄机制。

87.单选题Chris正在解决其组织的SIEM报告中的一个问题。在分析了这个问题

之后,他认为来自不同系统的日志条目上的时间戳是不一致的。他可以使用什么

协议来解决这个问题？

A、SSH

B、FTP

GTLS

D、NTP

答案：D

解析：网络时间协议(TheNetworkTimeProtocoI,NTP)允许系统时钟与标准化时间

源同步。安全壳(SecureShell,SSH)协议提供与服务晶之间的加密管理连接。文

件传输协议(FiIeTransferProtocol,FTP)用于数据交换。传输层安全性(Transp

ortLayerSecurity,TLS)是一种加密过程,用于保护通过网络传输的信息。

88.单选题以下哪些组织被广泛视为基于Web攻击载体信息的权威来源？

A、(IS

B、2

C、ISACA

D、0WASP

E、Mozilla

答案：C

解析：开放Web应用程序安全项目(0WASP)被认为是Web应用程序安全问题最权

威的来源。他们发布OWASPTopIO,公布最重要的Web应用程序安全问题。

89.单选题Bobby正在调查授权的数据库用户如何获取其正常许可级别以外的信

息。Bobby认为用户正在使用一种总结数据的函数类型。什么术语描述这种类型

的功能？

A、推理

B、多态

C、聚合

D、模块化

答案：c

解析：聚合函数总结大量数据,并且只以摘要形式展示出来。然而,精心设计的聚

合函数可能在无意中揭露出敏感信息。

90.#383

以下哪项功能在防止企业移动设备上被盗的数据被盗方面最有效？

A、具有设备擦除功能的移动设备管理(MDM)

B、带有地理位置的移动设备跟踪

C、具有流量加密的虚拟专用网络(VPN)

D、使用密钥托管的全设备加密

答案：A

91.单选题一个美国政府数据库包含秘密、机密和绝密数据,该数据库应该被分类

为哪个级别？

A、绝密

B、机密

C、秘密

D、混合分类

答案：A

解析：当存在多种分类级别时，应该按照最高的级别对数据进行分类。在这种情

况下，美国政府的最高分类是绝密。混合分类不是有效分类方案。

92.#216

在对组织信息安全管理系统（ISMS）进行内部审核期间，会发现不符合项。组织在

以下哪些管理阶段审查、评估和/或纠正不合格？

A、评估

B、规划

C、改进

D、操作

答案：D

93.Robert是一家小型企业的网络管理员,最近安装了一个新的防火墙。在看到

异常繁重的网络流量迹象后,他检查了入侵检测系统,报告说Smurf攻击正在进

行。Robert可通过哪些防火墙配置更改来最有效地防止这种攻击？

A、阻止攻击的源IP地址

B、阻止入站UDP流量

C、阻止攻击的目的IP地址

D、阻止入站ICMP流量

答案：D

解析：Smurf攻击结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标

系统,导致目标系统拒绝为正常系统服务。阻止此攻击的最有效方法是阻止入站

ICMP流量。阻止源地址是不可行的，因为攻击者可更换源地址。阻止目标地址可

能影响正常活动。Smurf攻击不使用UDP,因此阻止UDP流量没有作用。

94.单选题Joan正在试图保护她的一个电脑软件,该软件是根据知识产权法开发

的。以下哪种保护途径不适用于软件?

A、商标

B、版权

C、专利

D、商业密

答案:A

解析：商标会保护代表产品或服务的特定词语和图像，但不保护计算机软件，

95.Colleen正为组织进行业务影响评估。哪个指标描述了组织在服务崩溃的情

况下不造成巨大损害的最长时间？

A、MTD

B、ALE

C、RPO

D、RTO

答案:A

解析：最大允许停机时间(MTD)是在不造成严重损害的情况下组织能够接受的最

长停机时间,该指标有时也称为最大允许中断(MTO)。

96.单选题1分Jim的MicrosoftExchange环境包括位于世界各地多个业务办事

处的本地数据中心的服务器中，同时为不在这些办事处中的员工部署了Office3

650身份在这两种环境中创建和使用。Jim运行的是什么类型的联合系统？

A、一个主要的云系统

B、一个主要的内部署系统

C、一个混合系统

D、一个多租户系统

答案：C

解析：混合系统同时使用本地和云的身份和服务,在这两种环境中提供资源和工

具。虽然它们可能很复杂，但混合系统也为完全云部害或容错设计提供了迁移路

径,并且该设计可以在保持功能的同时,处理内部部署或云中断。

97.单选题Greg公司最近经历了涉及许多客户个人数据的重大泄露事件。他们应

该审查违反了哪些法律,以确保他们适当的行动？

A、他们违反总部所在州的法律

B、他们做生意的国家的违反法律

C、只违反了联邦的法律

D、违反法律仅涵盖政府机构,而非私营企业

答案：B

解析：一般而言,公司应该了解他们开展业务地区可能违反的任何法律。美国各

州有许多不同的法律和要求,这意味着在这种情况下,Greg的公司可能需要审阅

许多不同的可能违反的法律,以确定他们在各州内或与州居民开展业务时遵守那

些法律。

98.#22

哪些行业认可的文件可用作与数据安全和业务运营或进行安全评估相关的基准

参考？

A、服务组织控制(S0O1类型2

B、服务组织控制(S0O1类型1

C、服务组织控制(SOC)2类型2

D、服务组织控制(SOC)2类型1

答案：D

99.单选题以下哪项不是多层协议的问题？

A、它们可以允许绕过过滤器和规则

B、它们可以在更高的OSI级别运行

C、他们可以允许隐蔽随道

D、它们可以允许绕过网段边界

答案:B

解析：多层协议的共同问题是它们可以绕过过滤器，允许或创建隐蔽通道,并允许

绕过网段边界。在更高的OSI层级别运行的能力通常被认为是一种好处

100.#257

两台计算机，每台计算机在同一个物理10Gb以太网网段上都有一个连接，需要

相互通信。

第一台机器有一个单一的互联网协议(IP)无类别域间路由(CIDR)地址192.168.

1.3/30,第二台机器有一个IP/CIDR地址192.168.1.6/30。以下哪项是正确的？

A、由于每台计算机位于不同的第3层网络上，因此计算机之间的流量必须由网

桥处理才能进行通信

B、由于每台计算机都在同一个第3层网络上，因此计算机之间的流量可能由网

络路由器处理，以便进行通信

C、由于每台计算机都在同一个第3层网络上，因此计算机之间的流量可以通过

网桥进行处理，以便进行通信

D、由于每台计算机位于不同的第3层网络上，因此计算机之间的流量必须由网

络路由器处理才能进行通信

答案：D

101.#84

以下哪项是确保远程用户使用的端点设备在被允许进入网络之前符合组织批准

的策略的最有效方法？

A、网络访问控制(NAC)

B、特权访问管理(PAM)

C、组策略对象(GP0)

D、移动设备管理(MDM)

答案：A

102.#451

在设计访问控制系统的体系结构时，确定机密性和受控的信息访问是主要关注点。

以下哪个安全模型是组织的最佳选择？

A、毕巴诚信模式

B、克拉克-威尔逊模型

GBell-LaPadula模型

D、Brewer-Nash模型

答案：C

103.单选题材料11:Chris正在为他的组织设计分层的网络安全。使用下面的图

表,请回答下面3个问题问题。如果VPN授予远程用户与本地工作站具有相同的

网络和系统资源访问权限,Chris会提出什么安全问题？

A、VPN用户将无法访问Web服务晶

B、没有额外的安全问题;VPN集中晶的逻辑网络位置与工作站的逻辑网络位置匹

配。

C、VPN绕过了防火墙，造成额外风险

D、VPN用户只应从托管的PC连接

答案：D

解析：连接到受保护网络的远程PC在安全设置和标准方面应该和内部网络相匹

配。VPN集中器在逻辑上将远程用户放在防火墙后的受保护区域中，但这意味着

用户工作站（和用户）必须像本地工作站那样受信任。

104.单选题终端安全系统部署最常见的挑战是什么？

A、破坏

B、数据量

C、监控网络上的加密流量

D、处理非TCP协议

答案：B

解析：终端安全解决方案由于可以创建大量的数据而面临挑战。当每个工作站都

生成关于事件的数据时,这可能产生大量数据。终端安全解决方案应该在实际实

施时减少折中方案，而且在本地主机上解密后对流量进行监视将有助于解决数据

量带来的挑战。最后,非TCP协议在现代网络上相对少见,因此这些都不是终端安

全系统所担心的问题。

105.在TCSEC中，安全级别最高的控制措施是：

A、自主保护

B、标签保护

C、结构保护

D、验证保护

答案：D

106.单选题1分Kathleen需要设置ActiveDirectory信任,从而允许使用现有K

erberosK5域进行身份验证,请问她需要创建什么类型的信任？

A、快捷信任

B、森林信任

C、外部信任

D、领域信任

答案：D

解析：Kerberos使用领域,并为需要连接到K5域的ActiveDirectory环境设置

的适当信任类型,这是一种领域信任。快捷信任是域树或部分树之间的传递信任,

可缩短信任路径。森林信任是两个林根域之间的传递信任,外部信任是独立森林

中AD域之间的非传递信任。

107.#440

以下哪一项是关于数据管理角色和职责的关键目标之一？

A、确定数据质量指标。

B、定义重要数据的所有权而不考虑功能。

C、在项目的最后阶段建立数据所有权。

D、安装数据问责制。

答案:D

108.Nikto为什么会标记.test目录？

A、test目录允许对PHP的管理访问

B、它用于存储敏感数据

C、测试目录通常包含可被滥用的脚本

D、它表示潜在的危害

答案：C

解析：测试目录可能包括一些欠缺保护的脚本，或者包含一些可能被滥用的其他

数据。没有默认的测试目录允许对PHP的管理访问。测试目录通常不用于存储敏

感数据。测试目录并不代表危害。

109.#188

在测试工业控制系统（ICS）的安全漏洞时，主要考虑什么？

A、ICS通常在UNIX操作系统上运行。

B、ICS通常没有可用性要求。

C、ICS通常对意外流量很敏感。

D、ICS通常是孤立的，难以访问。

答案:C

110.单选题什么被动监控技术记录所有用户与应用程序或网站的交互,来确保质

量和性能？

A、客户端.服务器测试

B、真实用户监控

C、合成用户监控

D、被动用户记录

答案：B

解析：真实用户监控(RUM)是一种被动监控技术。RUM通常是部署实际用户界面

过程的一部分。其他答案选项都是虚造的,综合监控使用模拟的行为，但综合用户

监控并非测试方法。被动用户记录也不是专业术语，但被动监控是存在的，它监控

的是实际流量。客户端服务器测试仅描述一种可能的架构。

111.单选题上述这些数据的分类级别分别是什么？

A、未分类的、机密、绝密

B、公共、敏感、私有

C、公共、敏感、专有

D、公共、机密、私有

答案：C

解析：客户共享数据是公共的，内部业务数据敏感的或私有的，以及商业秘密是专

有的。因此,公共、敏感、专有的匹配最紧密。机密是一种军事分类,它排除了剩

余的两个选项,商业秘密比私有分类的数据在丢失后会带来更多损失。

112.单选题Ken很难将来自组织中不同安全团队的信息关联起来。具体来说,他

希望找到一种以一致方式来描述操作系统的方法。什么SCAP组件可以帮助他？

A、CVE

B、CPE

C、CWE

D、OVAL

答案：B

解析：SCAP的通用平台枚举(monPlatformEnumeration,CPE)组件提供了一种引

用操作系统和其他系统组件的一致方法。常见漏洞和暴露(monVulnerabiIities

andExposures,CVE)组件提供了一种引用安全漏洞的一致方法。常见的弱点列举

(monWeaknessEnumeration,CWE)组件有助于描述软件缺陷的根本原因。开放漏洞

和评估语言(OpenVenerabiIityandAssessmentLanguage,OVAL)标准化了漏洞评

估过程的步骤。

113.#367

哪种审计类型最适合评估安全计划的有效性？

A、解析

B、威胁

G评估

D、验证

答案：C

114.单选题什么类型的灭火器仅对普通可燃物有用？

A、A类

B、B类

C、C类

D、D类

答案：A

115.#353

以下哪一项是针对中间人(MITM)互联网协议语音(VoIP)攻击的最佳缓解做法？

A、使用安全外壳(SSH)协议

B、使用文件传输协议(FTP)

C、使用传输层安全(TLS)协议

D、使用媒体网关控制协议(MGCP)

答案：C

116.#97

公司需要向外部业务合作伙伴提供对云存储上敏感数据的共享访问。以下哪种身

份模型最适合盲人身份提供者(IdP)和依赖方(RP),以免泄露其他方的订户名单?

A、代理联盟

B、动态注册

C、联邦当局

D、静态注册

答案：A

117.单选题1分Alex已被他的公司聘用了十多年,并在公司担任过多个职位。在

审计期间，发现由于他以前的角色,他能访问共享文件夹和应用程序。Alex的公

司遇到了什么问题？

A、过度服务开通

B、未授权访问

C、特权蠕变

D、账户审查

答案：C

解析：当用户从以前拥有的角色中保留他们不需要完成当前作业的权限时,会发

生特权蠕变。未授权的用户访问文件时会发生未经授权的访问。过度服务开通不

是用于描述权限问题的术语,而账户审查有助于发现这样的问题。

118.#225

在前往高风险国家旅行时，以下哪项措施是保护计算机、智能手机和外部存储设

备数据的最佳方法？

A、查看适用的目的地国家/地区法律，在旅行前对设备进行取证清洁，并且仅在

到达目的地后通过虚拟专用网络(VPN)下载敏感数据。

B、利用虚拟专用网络(VPN)上的安全套接字层(SSL)连接在到达目的地时下载敏

感数据。

C、将不使用的笔记本电脑、外部存储设备和智能手机放在酒店房间内。

D、使用多因素身份验证(MFA)访问存储在笔记本电脑或外部存储设备上的数据,

并使用生物识别指纹访问控制机制来解锁智能手机。

答案：D

119.单选题Alan正在将Java代码部署到他环境中的各种机器上，同时必须首先

在这些机器上安装JVMo在这种情况下,哪个术语最恰当描述了JVM?

A、存储库

B、变更管理器

C、运行时

D、沙盒

答案：C

解析:JVM是运行时虚拟机,允许在设备上执行Java代码。JVM实现了Java沙箱,

但这只是其众多功能之一。JVM本身不是变更管理器或代码存储库。

120.单选题Elaine在她的组织使用的产品中发现了一个以前未知的严重漏洞。

她的组织对道德披露有着坚定的承诺,Elaine希望遵循常见的道德披露实践。她

首先应该做什么？

A、建立内部修补或控制,然后公开披露漏洞,提示供应商快速修补

B、建立内部修补或控制,然后将问题通知供应商

C、通知供应商并给他们合理的时间来解决问题

D、公开披露漏洞，以便供应商在适当的时间内对其进行修补

答案：C

解析：道德（或负责任）披露规范包括通知供应商并为他们提供合理的时间来修补

问题。在大多数情况下,在通知供应商之前或在短时间内公开披露被认为是不道

德的。虽然这个时间框架各不相同，但由于软件和其他技术的复杂性,90至IJ120

天在整个行业中是常见的。

121.单选题根据该情景的信息,AtwoodLanding数据中心的龙卷风影响暴露因子

是多少？

A、10%

B、25%

G50%

D、75%

答案：C

解析：在灾难发生时，预估财产损失值占总资产的比重称为暴露因子。它是用预

估的财产损失值除以斐产总值计算出来的，这种情况下，预估损失为500万美元,

除以1000万美元的总价值,结果为50%。材料13:请参考以下场景，回答4个问题:

Susan正在为她的组织的分支机构设计新的网络基础架构

122.单选题Lauren使用ping工具检查远程系统是否开启以及是否可作为渗透测

试实践的一部分。如果她想要通过协议过滤找出Ping,应该从数据包嗅探日志中

过滤出什么协议？

A、UDP

B、TCP

C、IP

D、ICMP

答案：D

解析：Ping使用ICMP（因特网控制报文协议）来确定系统是否正常响应以及在源

系统和远程系统之间存在多少跳。Lauren只需要过滤出ICMP即可达到要求，而

不用直接寻找pingo

123.#157

组织希望确保所有新用户在创建时都应用了预定义的部门访问模板。该组织还希

望在每个项目的基础上授予用户额外的访问权限。哪种类型的用户访问管理最适

合满足组织的需求？

A、去中心化

B、混合

C、集中式

D、联合的

答案：B

124.单选题什么加密算法既可用于BitLocker也可用于Microsoft的加密文件系

统？

AvBIowfish

B、Serpent

C、AES

D、3DES

答案:c

解析：默认情况下,BitLocker和Microsoft的加密文件系统(EFS)都使用AES(高

级加密标准)，这是NIST批准的DES(数据加密标准)的替代版本。Serpent是AES

的竞争对手,3DES是作为DES的替代品。

125.单选题Florian接到美国联邦政府机构的通知,新的行政法律将影响他的业

务运营。他应该在哪里寻找该法律文本？

A、美国法典

B、联邦最高法院规则

C、联邦管理法规

D、法律纲要

答案：C

解析：联邦管理法规(CFR)包含联邦机构须布的所有行政法律文本。美国法典包

含刑法和民法。最高法院的裁决只包含对法律的解释,而不是法律文本本身,不存

在法律纲要。

126.单选题Chris管理一个系统管理员团队。若他们执行分类程序的步骤6、7

和8,他们履行的是什么数据角色?

A、他们是系统所有者和管理员

B、他们是管理员

C、他们是数据所有者和管理员

D、他们是管理员和用户

答案：B

解析：系统管理员在上述流程中的主要工作是授予数据管理员访问权限,其次负

责落实安全控制措施。他们不直接拥有数据本身,因此不是数据所有者。通常，

系统管理员由系统所有者（例如部门主管）授予权限。材料6:根据以下场景,回答

下面3个问题Chris最近被一家新的组织雇佣，该组织使用以下分类计划⑴设置

分类数据的标准⑵为每类数据指定所有者⑶分类数据⑷为每个类别选择要求

的控制⑸为组织选择安全基线⑹研究并调整控制⑺应用并执行控制⑻授权

并管理访问

127.#250

在IDEAL加密系统中，谁可以单独访问解密密钥？

A、数据保管人

B、系统所有者

C、系统管理员

D、数据所有者

答案：D

128.#50

在季度系统访问审查中，发现了一个在生产系统的先前审查中不存在的活动特权

帐户。

该帐户是在上次访问审核后一小时创建的。除了季度访问审查之外，以下哪一项

是降低总体风险的最佳选择？

A、实施双年度审查。

B、创建系统访问策略。

C、实施和审查基于风险的警报。

D、提高日志记录级别。

答案:B

129.#193

一家大型组织的人力资源和安全团队正计划实施技术以消除手动用户访问审查

并提高合规性。以下哪个选项最有可能解决与用户访问相关的问题？

A、实施特权访问管理(PAM)系统。

B、实施基于角色的访问控制(RBAC)系统。

C、实施身份和访问管理(IAM)平台。

D、实施单点登录(SSO)平台。

答案:C

130.在对系统进行修改之前,哪项业务流程通常需要管理员签字同意？

A、SDN

B、发布管理

C、变更管理

D、版本控制

答案：C

解析：变更管理通常需要在更改之前由管理员或主管签字。这有助于确保适当的

意识和沟通。SDN代表软件定义的网络,发布管理是新软件发布所接受的过程,版

本控制用于区分软件、代码或其他对象的版本。

131.单选题建立了无线网络之后,Susan继续确保网络即使发生中断也能保持运

行。如果发生断电或其他临时电源问题,她可以确保她的网络设备（包括她的路由

器'接入点和网络交换机）保持工作状态的最简单方法是什么？

A、购买并安装带有自动启动功能的发电机

B、为所有网络设备部署双电源

C、安装UPS系统以覆盖所有必须保持在线的网络设备

D、与多个不同的电力公司签订冗余电力合同。

答案：C

解析：UPS系统或不间断电源设计用于在短暂的电源中断期间提供备用电源,范

围从电源骤降和断电到临时电源故障,对于更长时间的停电,如果可能的话,Susa

n仍然需要一台发电机,甚至需要来自另一个电网或供应商的辅助电源,但对于

目前这个常见,UPS将满足她的需求。当一个电源失去电力时,双电源会有所帮助,

这对于她最关键的网络设备来说是一个好方案，但很少为接入点或边缘交换机等

边缘设备配备双电源。材料13:请参考以下场景，回答4个问题:Susan正在为她

的组织的分支机构设计新的网络基础架构

132.单选题分段、序列和错误检查都发生在与SSL、TLS和UDP相关联的OSI模

型的第几层？

A、传输层

B、网络层

C\会话层

D、表示层

答案：A

解析：传输层提供设备之间的逻辑连接以确保数据被成功地传递,包括端到端的

传输服务。传输层协议包括TCP、UDP、SSL和TLS。

133.根据“数字千年版权法案”（DMCA）的条款，下列哪个群体有资格获得安全港

保护？

A、音乐制作人

B、图书出版商

C、互联网服务提供商

D、银行

答案：C

解析：“数字千年版权法案（DMCA）为提供互联网服务的运营商提供安全港保护，

这些ISP只作为以传输为目的的公共载体来处理信息。

134.单选题Andrea运行的自动化代码测试和集成（作为组织Cl.CD管道的一部分）

出错了。如果公司需要代码立即上线,Andrea应该如何处理这些代码？

A、手动绕过测试

B、查看错误日志以确定问题

C、重新运行测试以查看它是否有效

D、将代码发送回开发人员进行修复

答案：B

解析：虽然处理错误和异常可能是一门艺术,但在这种情况下要做的第一件事是

查看错误日志和通知,尝试找出问题所在。从那里,Andrea可以决定修复问题、

发回代码以进行修复或采取其他措施。如果错误发生在测试完成后并且与流程或

其他非关键元素有关,她甚至可能会选择向前转发代码，但只有在她绝对确定情

况确实如此时才会这样做。

135.单选题在漏洞扫描时发现系统关键漏洞后,应该执行哪些步骤？

A、修补

B、报告

G补救

D、验证

答案：D

解析：一旦漏洞扫描程序识别出潜在问题,接着需要进行验证,以验证问题是否存

在。漏洞被确认后，可执行报告、修补或其他补救措施。

136.#209

在处理安全事件的后果时，以下哪些安全控制措施最合适？

A、侦查和恢复控制

B、纠正和恢复控制

C、预防和纠正控制

D、恢复和主动控制

答案：B

137.单选题

A、的规定。青少年在互联网上提供个人信息时，需要征得父母的同意，其年龄要

求是多少岁以下？

B、13

C、15

D、17

E、18

答案:A

解析:COPPA(儿童在线隐私保护法案)要求网站在收集13岁以下儿童的个人信息

时需要事先征得其家长同意。

138.单选题以下真值表描述了什么逻辑操作？

A、或

B、和

C、异或

D、或非

答案:C

解析：当且仅当输入值中只有一个为真,另一个为假时,异或(XOR)运算结果为真。

139.小明是A公司的安全管理员，他们公司有着比较多的专有数据，但是fbi

怀疑他们公司数据库藏有犯罪线索，小明也怀疑自己的家人可能与犯罪相关，小

明应该怎么办？

A、不予理会，公司资料隐私法保护

B、让fbi找法务处理

C、把全部的数据库资料展示给fbi

D、只把部分相关资料展示给fbi

答案：B

140.单选题以下哪种测试方法通常不必访问源代码即可正常工作？

A、动态测试

B、静态测试

C、白盒测试

D、代码审查

答案：A

解析：软件动态测试通常发生在黑盒环境中,测试程序无法访问源代码。静态测

试'白盒测试和代码审查方法都需要访问应用程序的源代码。

141.单选题以下哪个选项会使用自签名数字证书？

A、电子商务网站

B、银行应用

C、内部计划应用

D、客户门户

答案：C

解析：自签名数字证书只应用于面向内部的应用程序,其中用户信任由组织内部

生成的数字证书。

142.要培养目标远大，应急能力强的安全人员，需要

A、培训

B、信息安全认证

C、教育

D、意识

答案：A

143.单选题Ron领导着一个软件开发团队,他们发现自己经常重新创建执行常见

功能的代码。他可以使用什么软件开发工具来最好地解决这种情况？

A、代码存储库

B、代码库

C、ID

D、DES

E、DAST

答案：B

解析：代码库是可重用功能的包，可以合并到各个开发项目中。Ron可以使用库

在他的团队之间轻松共享代码。代码存储库可用于管理这些库的分发和更新，但

这是第二选择,因此代码库才是最佳答案o集成开发环境(IDE)是开发人员用来创

建软件的工具,而动态应用程序安全测试(DAST)则用于验证代码的正确实现。

144.单选题Henry想验证他的备份是否有效。以下哪个选项是他确保备份在真正

的灾难恢复场景中有用的最佳方式？

A、定期恢复随机文件以确保备份工作正常

B、定期检查配置和设置以验证备份设置

C、查看备份日志以确保没有发生错误

D、定期从备份执行完整还原以验证其成功

答案：D

解析：所有这些都是备份策略的有用部分，但定期从备份执行完整还原是列出的

最佳选项。如果定期执行恢复,而且单个文件将是可恢复的，但单个文件可能不会

显示更大的备份问题。配置和设置审查很重要，但不会验证备份本身,错误消息可

能表明存在问题,但也不会显示完整的日志。

145.单选题安全团队可在蜜罐系统上使用以下哪种方式来消耗攻击者的时间，同

时提醒管理员？

A、蜜罐网络

B、圈套

C、警告横幅

D、暗网

答案：B

解析：圈套是系统中的一个假漏洞，它可能引起攻击者的注意。蜜罐网络是由多

个蜜罐组成的网络,为入侵者营造了更复杂的环境。暗网是未使用的网络地址空

间的一部分,这部分空间中没有网络活动,因此可以方便地用于监视非法活动。警

告横幅是一个法律工具，它用于通知入侵者:他们未被授权访问系统。

146.#195

组织正在实施安全审查作为系统开发的一部分。以下哪项是最好的技术？

A、执行增量评估。

B、聘请第三方审计公司。

C、审查安全架构。

D、进行渗透测试。

答案：A

147.单选题在端口扫描期间,Susan发现,一个系统在工作时需要