葵花寶典 CISSP真題錄資料

本文格式為Word版，下載可任意編輯——葵花寶典CISSP真題錄資料精品文檔

1．狀態(tài)檢測防火墻什么時候?qū)嵤┮?guī)則變更備份？BA防火墻變更之前B防火墻變更之后

C作為完全備份的一部分D作為增量備份的一部分

2．哪項違反了CEI？BA隱瞞之前的犯罪記錄行為BCISSP從業(yè)者從事不道德行為

3．FTP的風(fēng)險？BA沒有目標認證B明文傳輸

4．L2TP是為了通過什么協(xié)議實現(xiàn)？AAPPPBPCP

5．VOIP在語音通信過程當(dāng)中，弱點?BA沒有目標認證B沒有源認證

6．(1)假使：T為IDS控制成本費用200000美元E為每年恢復(fù)數(shù)據(jù)節(jié)省費用50000美元

R是為實施控制措施之前的每年恢復(fù)費用100000美元問：實際投資回報為：A-50000B-100000C100000D150000

A(投資回報就是控制前-控制后,投資回報負值就是省了多少，正值就是賺了多少)

(2)問年度預(yù)期損失ALE怎么計算：BA(R+E)/TB（R-E）+TC(R-T)*EDT/(R-E)

7．ipsec隧道模式下的端到端加密，ip包頭B

A加密，數(shù)據(jù)不加密B和數(shù)據(jù)一起加密C不加密，數(shù)據(jù)加密

8．實施一個安全計劃，最重要的是：B精品文檔

精品文檔

A獲取安全計劃所需的資源B與高層管理者訪談

9．安全要求屬于：B

A.ST安全目標B.PPC.TOE10．TOE屬于A

ACC

B可信計算機

11．公司進行信息安全評估，計劃把所有應(yīng)用程序維護外包，問對服務(wù)提供商什么是最重要的？C

ABIAB風(fēng)險管理CSLA

12．公司運維外包服務(wù)，問什么時候跟服務(wù)提供商確定安全要求？A

A合同談判B合同定義

1.外部審計師違反了公司安全要求，問教訓(xùn)判定來源：C

A公司安全要求B外部審計公司要求C雙方協(xié)議

2.公司實施一個縱深防衛(wèi)政策，問由內(nèi)到外的層次設(shè)計？A？

A邊界場地出入口辦公區(qū)計算機機房B圍墻場地出入口計算機機房辦公區(qū)域

3.802.1b具有什么功能？

共享密鑰

4.SSL協(xié)議雙向認證，部分使用，除了客戶端驗證服務(wù)器，還有？A

A服務(wù)器對客戶端自我驗證B客戶端對服務(wù)器自我驗證

5.可重復(fù)使用是在CMMI的哪個階段？其次個

A、不可預(yù)計B、可重復(fù)C、可定義D、可管理E、可優(yōu)化精品文檔

精品文檔

6.可重復(fù)使用是在SDLC的哪個階段？開發(fā)階段（假使說的是對象的可重復(fù)使用的話）

7.實現(xiàn)機密性，使用以下哪個算法？C（DES擔(dān)憂全、SHA是散列函數(shù)，RSA速度慢，

當(dāng)然前提這道題目得有條件，如加密消息時）A.DESB.SHA-1C.AESD.RSA

8.以下哪項可以實現(xiàn)數(shù)字簽名、完整性？A

A.RSAB.DSA9.關(guān)于ECC算法的，概念題10.同步、異步令牌

11.在PKI中哪個組件負責(zé)主體身份與公鑰證書綁定？B

A注冊機構(gòu)B證書頒發(fā)機構(gòu)

23是怎么預(yù)防電纜產(chǎn)生的電磁輻射。A套金屬管、B幾根線纜纏在一起等等。

25在醫(yī)院里面，使用了RFID技術(shù)確定人員和設(shè)備的位置，有什么好處？

可以更好的分辯藥品，另一個是：

A提高醫(yī)務(wù)人員的效率B實現(xiàn)MAC（介質(zhì)訪問控制）A

這個技術(shù)是通過什么技術(shù)實現(xiàn)控制？AAMAC介質(zhì)訪問控制BMPLS多標簽協(xié)議交換@26.一個公司設(shè)計滅火系統(tǒng)，要冒大量的水出來，問哪種適合、?A干管、B濕管、C豫反應(yīng)、D洪災(zāi)

@27哪個訪問控制模型是WELL-FORMED的？C

A：BLPB:BIBAC:CLARK-WILSON

28、有這樣一個場景：C（只要是數(shù)據(jù)劫持相關(guān)的，都是中間人,AD是用戶，C是攻擊者。B是路由器功能，防火墻支持路由，NAT，只是附加的功能）

ABC（網(wǎng)絡(luò)1）||

D（網(wǎng)絡(luò)2）

網(wǎng)絡(luò)1和網(wǎng)絡(luò)2都通過設(shè)備A訪問互聯(lián)網(wǎng)，設(shè)備B負責(zé)網(wǎng)絡(luò)1和網(wǎng)絡(luò)2之間的NAT，問：假使設(shè)備C利用設(shè)備D的IP地址進行操作，叫什么攻擊？CA.源欺詐B.ARPA中毒C,中間攻擊

29、某機構(gòu)需要設(shè)計安全控制來只允許高級數(shù)據(jù)的讀，以及限制低級數(shù)據(jù)的寫入，該機構(gòu)需要采用什么安全模型？B精品文檔

精品文檔

A.BLPB.BIBA

C.Clark-Wilson

D.中國墻

30、跨國數(shù)據(jù)傳輸需要考慮的問題？@法律法規(guī)的不一致

@31.對硬盤記憶取證之前，要考慮？CA是否有更多證據(jù)需要收集，擴展收集范圍B拆下硬盤，以及所有可以啟動的組件C進行HASH散列映像

32.任命安全隱私管CPO，第一步是：B（收集信息包括識別法律法規(guī)）A法律、法規(guī)，合規(guī)性B收集信息

33.數(shù)據(jù)庫管理員休假，其他人代替他的崗位，發(fā)現(xiàn)網(wǎng)絡(luò)中有好多隱蔽流量，防火墻規(guī)則被更改，問：最小特權(quán)、職責(zé)分開問題至少2道題

35.TCB相關(guān)2道題

36.ISO27001和ISO27002相關(guān)2道題

37.數(shù)據(jù)挖掘的風(fēng)險：BA可以分析不同來源的數(shù)據(jù)B每個數(shù)據(jù)庫的隱私標準不同

38.根據(jù)MTBF最大故障間隔時間選擇產(chǎn)品：AA高B中C低

@39.使用SAML的特點：AA擴展身份認證B強規(guī)則執(zhí)行

40.schema1個題目

41.反垃圾郵件機制，通過檢查郵件頭部以及相關(guān)內(nèi)容有效性，問使用下面哪個機制?BASMTP黑名單B郵件頭分析

模擬題一：610264647494850717594104123152153157168184185189190192193195211213214218232246248模擬題二：9495149精品文檔

精品文檔

42.光盤介質(zhì)使用哪種方式處理更完全？BA破壞B消磁

43.會話密鑰的傳輸方式:DH@

44.已知明文攻擊的概念：明文密文對破譯密鑰@

45.消息加密，部分數(shù)據(jù)為已知常量，問可以使用什么攻擊方式？A@A已知明文攻擊B已知密碼攻擊C密文攻擊

46.PCIDSS1個題目

47.殺毒軟件匹配內(nèi)部已知規(guī)則，問是哪種？AA基于簽名B行為

多實例、vpn、ipsec、L2TP、PPPesp、AH流密碼、安全內(nèi)核、各種安全模型、MAC（介質(zhì)訪問控制）至少3道題SSL、TLs

冷站、熱站、溫站對稱、非對稱算法Chappap、

MAC強制訪問控制模型中，一定要明白clearanceclassificationcategory的區(qū)別，做題的時候注意看英文，中文翻譯有出入

SDLC中，注意Verificationvalidation區(qū)別CC中注意certificationaccreditation區(qū)別

1.認證到認可是什么過程B

A.什么系統(tǒng)策略實施的過程B.管理層對確認風(fēng)險C.D忘掉拉

（描述有出入，大約就那個意思）

2.關(guān)于認可的最重要描述這類的，答案忘掉拉，我選的一個責(zé)任和可問責(zé)

3.情境題，一個公司規(guī)定“專利未發(fā)布前，知道此信