cissp考試真題考點(diǎn)與連線題匯總

1取款機(jī)首要的安全考慮是：

電子設(shè)備的物理安全網(wǎng)絡(luò)可用性網(wǎng)絡(luò)延遲

2問企業(yè)要通過其網(wǎng)絡(luò)邊界保護(hù)IM通訊，問對于企業(yè)來說最大的顧慮/問題是

什么：AIM客戶端使用隨機(jī)端口B運(yùn)行某些IM客戶端無需管理員權(quán)限C選

項(xiàng)是允許im在不同的供應(yīng)商之間通訊D某些IM不需要安裝即可運(yùn)行

3連續(xù)安全監(jiān)控計(jì)劃如何降低風(fēng)險(xiǎn)InformationSecurityContinuousMonitoring

(ISCM/SCM)選項(xiàng)基本都不記得了，你們網(wǎng)上找一下，好像是美國政府的

某個東西

4使用正式安全測試報(bào)告的結(jié)構(gòu)和格式的主要好處是什么

a對高層如何如何b對高管如何如何c對技術(shù)團(tuán)隊(duì)如何如何d對技術(shù)團(tuán)隊(duì)如

何如何抱歉實(shí)在不記得了，完全懵逼

5建立醫(yī)療保健設(shè)施主要的安全考慮是什么

a安全，容量，合規(guī)

b通風(fēng)好，能源足夠

c大平層，便于移動辦公

d加固存儲區(qū)域，適當(dāng)通風(fēng)，安全的收貨區(qū)域

6序列號預(yù)測可能是哪種攻擊

a拒絕服務(wù)

b中間人

c忘了

d身份盜用

7CTPED的前提是什么

a良好環(huán)境可以改善建筑周邊犯罪率

b改進(jìn)的物理安全可以改變訪問此設(shè)施人員的行為，從而降低犯罪率

8-1某組織指派安全專家應(yīng)對淹沒攻擊：

1以下哪種伙伴關(guān)系有助于快速緩解淹沒攻擊：

a和線路提供商

b和銀行

3和供應(yīng)商

4和用戶

8-2關(guān)于淹沒攻擊，潛在的威脅是什么？

就記得一個，我選的，攻擊的組織者可能勒索錢財(cái)

8-3安全專家需要關(guān)注的重點(diǎn)是什么？

就記得一個，我選的，防止僵尸網(wǎng)絡(luò)的持續(xù)破壞

這個就是考APT了吧！

9還有關(guān)于USB傳輸?shù)膯栴}，習(xí)題上那個翻譯非常有問題

原題是：

某企業(yè)管理層關(guān)注數(shù)據(jù)安全的問題，并有4個需求：

9-1要求傳輸?shù)経SB設(shè)備上的數(shù)據(jù)的安全

英語的關(guān)鍵字是transporteddatasecure

所以我選了使用加密的虛擬磁盤

那是有保密性要求

9-2還有個需求是如何保護(hù)數(shù)據(jù)完整性

我選了定期進(jìn)行VALIDATION

其他選項(xiàng)大概是定期把磁帶送到供應(yīng)商處，設(shè)定備份周期

10還有問安全工程中哪個是對于系統(tǒng)安全要求的反饋源

我選了系統(tǒng)架構(gòu)，還有的選項(xiàng)是CONOPS（好像是運(yùn)維概念）

11軟件工程中，SoftwareAssurance主要致力于干啥

選項(xiàng)是提供一致的安全需求列表

指派安全人員進(jìn)行安全需求評估

親自評估什么需要保護(hù)，什么人需要保護(hù)，需要保護(hù)多久

還有兩個選項(xiàng)不記得了

12安全模型和網(wǎng)絡(luò)，云考了很多

比如某個模式下數(shù)據(jù)丟失是誰的責(zé)任，數(shù)據(jù)泄漏引起的財(cái)務(wù)損失是誰的責(zé)任

法律基本沒考

13媽蛋Ipsec考了大概10題，各種問法AHESP隧道模式傳輸模式

14鏈路加密和端到端加密考了，原題

15問一個有多個角色的聯(lián)網(wǎng)信息系統(tǒng)，要實(shí)現(xiàn)可靠的訪問控制，第一步要做

什么A用戶配置文件BACLC用于訪問矩陣D基于角色的訪問控制矩陣

16一直糾結(jié)的那個陷門，不是要搞什么合成交易，

而是要在生產(chǎn)系統(tǒng)里插入虛構(gòu)但是可以識別的交易

所以我選了只能在開發(fā)環(huán)境使用

因?yàn)樵谏a(chǎn)環(huán)境使用陷門和插入虛假交易都是不允許的，尤其是后者

17對硬件加密模塊最有效的攻擊是：

功耗中間人還有兩個忘了

18取款機(jī)首要的安全考慮是

電子設(shè)備的物理安全網(wǎng)絡(luò)可用性網(wǎng)絡(luò)延遲

做題方法：

一，可能正確的答案：

選擇適當(dāng)?shù)目刂拼胧?/p>

根據(jù)實(shí)際情況選擇措施

基線

門檻

工作方法

二，可能不正確的答案：

所有

沒有

必須

Only只有

三，答案的三種類別：

1、預(yù)防性的

2、探測性的

3、事后的

盡量選預(yù)防的，盡量不要選事后性的

SDLC在什么階段，最可能發(fā)生審計(jì)行動？

A初始B開發(fā)C運(yùn)行維護(hù)D實(shí)施

SDLC在什么階段，可以更改安全保證內(nèi)容以保證開發(fā)過程中減少變更

A合同訂立B開發(fā)C運(yùn)行維護(hù)

SDLC在什么環(huán)境就應(yīng)該開始考慮安全需求

需求分析確認(rèn)實(shí)現(xiàn)運(yùn)行維護(hù)處理

真實(shí)性包括？

1完整性和驗(yàn)證（優(yōu)先）2完整性和不可否認(rèn)

防止內(nèi)部威脅最好的方法

A雙因素B按業(yè)務(wù)部門分割數(shù)據(jù)庫

測試BCP應(yīng)急響應(yīng)計(jì)劃的對象

A應(yīng)急疏散B系統(tǒng)備份C滲透測試D設(shè)置故障熱線

DR進(jìn)行功能響應(yīng)的測試：

A應(yīng)急疏散B滲透測試C.數(shù)據(jù)備份

DR培訓(xùn)的目的：

a正確應(yīng)對安全事件b針對具體事件做出正確的反應(yīng)

應(yīng)急計(jì)劃最重要的資產(chǎn)是？

A全員員工B防火設(shè)施C醬油D醬油

開始審計(jì)之前，審計(jì)團(tuán)隊(duì)的頭必須干什么？

A拿正式書面授權(quán)B跟高層管理者碰頭，商量預(yù)期結(jié)果

在Y有多用戶訪問的應(yīng)用，一下哪類是訪問控制的第一步？

A創(chuàng)建訪問控制矩陣ACMBACL

安全評估和授權(quán)過程中，硬件清單W軟件清單主要的目的是？

用于安全鑒證檢查系統(tǒng)邊界創(chuàng)建授權(quán)列表

Web應(yīng)用在使用什么協(xié)議對數(shù)據(jù)防泄漏是最大的挑戰(zhàn)？

HTTPXMLWEBSOCKET

在移動代碼開發(fā)過程中，什么階段決定了在哪類設(shè)備上開發(fā)？

A初始B開發(fā)C規(guī)劃D醬油

滲透測試發(fā)現(xiàn)漏洞，問最快速的解決方法？

A代碼修復(fù)B應(yīng)用防火墻加規(guī)則

已知某程序有輸入驗(yàn)證漏洞，以下最快速的做法

A停止服務(wù)B代碼修復(fù)C實(shí)施IDSD應(yīng)用防火墻添加規(guī)則

安全評估過程中，組織本身在評估過程中的作用？

A如果拋棄組織結(jié)構(gòu),安全策略將不適用B衡量與標(biāo)準(zhǔn)的差距

對于備份介質(zhì)，下列對稱加密方法最合適的是

ADESBAES

獨(dú)立測試的優(yōu)勢？

A增加隱藏功能被發(fā)現(xiàn)的概率/提口發(fā)現(xiàn)隱藏□險(xiǎn)點(diǎn)的可能性

B減少隱藏功能被發(fā)現(xiàn)的概率

以下哪項(xiàng)是預(yù)防性訪問控制？

A醬油

B在入口處設(shè)置陷阱（如果是陷門，雙門防護(hù)就是這個）

C訪問控制軟件

D□侵檢測系統(tǒng)

一個攻擊者通過企業(yè)VPN開始攻擊網(wǎng)絡(luò)服務(wù)器，以下哪種訪問控制措施可以防護(hù)這類攻擊？

A防火墻上通過限制有效范圍外的IP訪問

D網(wǎng)絡(luò)服務(wù)器上通過使用用戶名密碼

軟件開發(fā)管理流程（SDLC）維持最新的硬件和軟件清單是：（爭議）

A系統(tǒng)管理的重要XXXX

B變更管理的重要XXXX

C風(fēng)險(xiǎn)管理的重要XXXX

D質(zhì)量管理的重要XXXX

使用一次性密碼本的雙因素認(rèn)證防止了下面的什么攻擊

A重放B暴力破解

場景是企業(yè)有一些服務(wù)器放在互聯(lián)網(wǎng)，然后某天有一臺互聯(lián)網(wǎng)服務(wù)器遭到破壞，管理層收到報(bào)告，

并由管理層轉(zhuǎn)給了安全經(jīng)理

問題1：安全經(jīng)理收到報(bào)告之后首先要做的是：

C用備份數(shù)據(jù)對互聯(lián)網(wǎng)服務(wù)器進(jìn)行恢復(fù)

D對報(bào)告進(jìn)行調(diào)查

網(wǎng)絡(luò)管理外包最有效保障安全的措施：（爭議）

A增強(qiáng)安全訪問控制

B簽訂保密協(xié)議

C把所有跟敏感信息相關(guān)的內(nèi)容記錄下來

D鏈接安全策略

如何進(jìn)行客戶端的安全控制選擇有（我選客戶端漏洞掃描）

關(guān)閉不必要和web服務(wù)、

對客戶端掃描漏洞進(jìn)安全評估

某些高級語言不易產(chǎn)生緩沖區(qū)攻擊，但什么情況還是會造成緩沖區(qū)攻擊？

A第三方庫（優(yōu)先）BpluginCsupportingapplication

哪一項(xiàng)攻擊會影響VOIP通道的完整性？

A、影響機(jī)密性的選項(xiàng)B、中間人（影響完整性及機(jī)密性）C、資源耗盡

審計(jì)師要求軟件留后門（trapdoor）以方便合成交易，在使用trapdoor的時(shí)候要注意什么？

b需要有良好的訪問控制，在生產(chǎn)環(huán)境使用（爭議）

c在開發(fā)環(huán)境使用

d要確保做好單向散列，在系統(tǒng)生命周期結(jié)束之后要剔除

對于組織來說如果對于在采用了對應(yīng)某個安全合規(guī)要求的所有措施后，可能出現(xiàn)的結(jié)果是

a安全隱患的解決b成本大幅增加

c風(fēng)險(xiǎn)相關(guān)d投資回報(bào)（ROI）的增加

采用所有可能的安全措施后可能：

a與業(yè)務(wù)保持一致b總體風(fēng)險(xiǎn)降低cROI增加

對于數(shù)據(jù)庫的信息保護(hù)，哪個更徹底？AC其實(shí)都可以用來保護(hù)隱私（爭議）

A數(shù)據(jù)庫透明加密B列加密

C標(biāo)記化D數(shù)據(jù)元素級別替換

以下哪個能最好說明了最小特權(quán)?

A.員工跟管理員審查自己的所有的權(quán)限B.員工給部門負(fù)責(zé)人審查自己所有的權(quán)限

C.管理員審查員工的所有權(quán)限D(zhuǎn).管理員列出所有員工的權(quán)限給部門負(fù)責(zé)人審查

密碼加密存儲依賴：

加密密碼單項(xiàng)哈希

對于安全培訓(xùn)和教育實(shí)施最好的是

A強(qiáng)制員工定期進(jìn)行培訓(xùn)學(xué)習(xí)（效果最好）

B給員工群發(fā)郵件，題型每日安全熱點(diǎn)

C組織員工參加安全意識培訓(xùn)

使用第三方身份管理的好處

A.Web登錄B.自動化賬號管理C.目錄同步

內(nèi)存中組織低級別進(jìn)程向高級別進(jìn)程訪問，增加的單獨(dú)的安全機(jī)制是：

A異步執(zhí)行B內(nèi)存分段C多態(tài)處理器

購買PEN-TEST需要考略什么：

A網(wǎng)絡(luò)滲透和應(yīng)用程序滲透不一樣B任何時(shí)候不要把計(jì)劃給系統(tǒng)管理員

在進(jìn)行滲透測試時(shí)，測試人員對一下哪一項(xiàng)信息最感興趣？

A工作申請宣傳冊B安裝后門的位置

C主要的網(wǎng)絡(luò)接入點(diǎn)D能夠攻擊弱點(diǎn)的漏洞

XSS影響的是？

A服務(wù)器B用戶C網(wǎng)絡(luò)D基礎(chǔ)設(shè)施

用一種編程語言降低緩存區(qū)溢出，但是

A需要圖片支持B需要代碼支持3需要機(jī)器支持4需要打醬油支持

系統(tǒng)保護(hù)隱私的第一步是干嘛？

A盡量減少收集B加密C數(shù)據(jù)隱藏D數(shù)據(jù)存儲

在安全威脅較低的情況下，使口包過濾防口墻？

A更口便、更靈活、可以解決IP欺騙攻擊

B更口便、更靈活、透明

"鑒證"（Accreditation就是認(rèn)可）是什么意思?

管理層在知情的狀況下決定是否接收風(fēng)險(xiǎn)

用于局域網(wǎng)間的端口認(rèn)證，單點(diǎn)..…

A80211B802.1XC802.1qD802.3z

某場景，移動代碼安全需要關(guān)注的口口？

Web瀏覽器、電口郵件、即眥肖息、媒體播放器

道德基于？

A口法B刑法C個□誠信D合規(guī)性

SPA是什么？（簡單電□分析，簡單功耗分析）

A靜電放電，B功耗，C發(fā)電，D磁場

SPA是在密碼或別的安全相關(guān)操作時(shí)直接觀察功耗，可以得知設(shè)備運(yùn)口時(shí)的信息如密鑰資料。

路由器對應(yīng)OSI模型中7層口口的那兩層之間？

數(shù)據(jù)鏈路層與傳輸層

TCP/IP的應(yīng)口層對于OSI模型中除了應(yīng)口層外還有哪口層？

表示層和會話層

CC（通口準(zhǔn)則）□□哪口個定義了可重口的安全需求？

PP、TOE、ST

安全度量是什么？

量化安全□作的有效性加速安全評估

使口SAML□少需要？

□戶口少在口個商戶上注冊（關(guān)注此選項(xiàng),依靠IDP）已經(jīng)有了Tprovisionid

場景題：組織采用了云安全供應(yīng)商的云主機(jī)服務(wù)，云服務(wù)商供了第三方的身份認(rèn)證服務(wù)

題目一，企業(yè)對于使口云服務(wù)造成了數(shù)據(jù)殘留的□險(xiǎn)，由誰負(fù)最終的責(zé)任？

A數(shù)據(jù)所有者、B數(shù)據(jù)處理者、C保管員

題目二，因身份認(rèn)證問題導(dǎo)致金錢損失誰負(fù)責(zé)：

A組織B云服務(wù)商C身份認(rèn)科艮務(wù)提供商

一個員工上傳病毒到內(nèi)網(wǎng)，司法鑒定人員應(yīng)該怎么做最佳：

A、斷掉員工電腦網(wǎng)絡(luò)連接B、內(nèi)部公告病毒影響D、扣留該員工電腦

下列哪口項(xiàng)最有助于降低某設(shè)備獲取其他設(shè)備的數(shù)據(jù)包的可能性？

A過濾器B交換機(jī)（PS:一個口一個廣播域）C路由器D防□墻

安全委員會的職責(zé)：

確保安全符合法律法規(guī)對安全措施起督導(dǎo)作口

IDC機(jī)房空調(diào)等環(huán)境形成的"正口壓"指什么？（空氣只往外流）

選項(xiàng)：A、IDC內(nèi)的口流想通過窗口跑出來；C、外邊的口流想通過窗口跑進(jìn)去

□個系統(tǒng)不允許口法口戶，必須關(guān)注什么

選項(xiàng)：A,FARB,FRR《選FAR,第口類錯誤，錯誤的接受》

那種路由協(xié)議能抵御DDOS攻擊

鏈路狀態(tài)BGP（可以流量清洗）靜態(tài)彈性

猜測序列號是什么攻擊

竊聽中間口

DRP（還是BCP）培訓(xùn)的最后口步是什么？

員□反饋意口員口測試

組織的安全策略應(yīng)該怎樣？

被管理層認(rèn)可員口接收

嵌口式系統(tǒng)容易發(fā)口什么？

信息泄露

系統(tǒng)攻擊是由于沒打安全補(bǔ)丁，問怎么打補(bǔ)丁

測試后再打

打完補(bǔ)丁的服務(wù)器應(yīng)當(dāng)：

直接上線測試完整性并取得授權(quán)后再上線執(zhí)行漏洞測試后上線

（黑客）為什么使用硬件keylogger而不是軟件keylogger（鍵盤記錄器）？

物理安全、適合多個用戶、可以通過網(wǎng)絡(luò)傳送數(shù)據(jù)、保存數(shù)據(jù)

公司把設(shè)備和科研移到海外，安全官應(yīng)擔(dān)口什么？

A.設(shè)備被盜B.物理安全得不到保障C.知識產(chǎn)權(quán)D.缺少安全措施

哪個更容易監(jiān)測出來漏洞？

硬件內(nèi)核軟件

SCADA刃的口控系統(tǒng)打補(bǔ)丁最口風(fēng)險(xiǎn)是?

A沒有補(bǔ)丁缺乏口家口持B□舊設(shè)備

□卡設(shè)置了混合模式，但只收到口口的口絡(luò)信息，原因是什么？

防口墻禁口嗅探口絡(luò)使口交換機(jī)模式

NIC混合模式可能導(dǎo)致的安全風(fēng)險(xiǎn)：（解釋：抓包需要先講網(wǎng)卡設(shè)置為混合模式，可以收到更多到

本機(jī)的包）

A.嗅探B.欺騙C.中間人D.DOS

定期檢查網(wǎng)卡NIC,是為了

A、防嗅探B、中間人

使口saml最起碼的要求是什么？

□戶口少在口個商戶上注冊

哪口個是對所有的過程和口件的變更進(jìn)口控制

配置管理CMMI流程化

記錄所有硬件和軟件的資產(chǎn)主要口于

配置管理變更管理□險(xiǎn)評估

認(rèn)可是在SDLC的哪個階段結(jié)束后完成

運(yùn)口和維護(hù)驗(yàn)證實(shí)施

給軟件打補(bǔ)丁是由誰來執(zhí)行：

安全人員運(yùn)維人員管理層審計(jì)人員

哪個組件提供了SCAP□動評估的漏洞信息？

CVE

□層讓公司在安全口口保持合規(guī)為了什么？

展示DC-DD（適度關(guān)注/勤勉）保護(hù)公司的架構(gòu)

PPP□持多點(diǎn)、多協(xié)議認(rèn)證

哪個提供多協(xié)議認(rèn)證加密支持：PPP

身份建口需要什么？

PROVISION（條款）

有web業(yè)務(wù)，需要認(rèn)證授權(quán)和審計(jì)，需要那個服務(wù)/協(xié)議？

Ldapsaml

在口個有口有計(jì)算機(jī)的地口的防口設(shè)施選哪個？

A濕管B預(yù)制CFM200

嵌口式系統(tǒng)容易受到什么攻擊？

硬件加密容易最容易被什么攻擊？

弓I□口個錯誤后，對硬件電流、輻射進(jìn)口分析屬于什么口法？

都是功耗攻擊（旁路的）

計(jì)算機(jī)口戶對什么內(nèi)容負(fù)最主要責(zé)任

a數(shù)據(jù)分類b□戶賬號的操作c賬號管理

PKI在什么情況下對CA的認(rèn)證產(chǎn)口交叉數(shù)字證書？

B當(dāng)CA之間需要互相認(rèn)證D當(dāng)數(shù)字證書在CA之間進(jìn)口傳輸

通過環(huán)境設(shè)計(jì)預(yù)防犯罪的定義是什么這題很賤有兩個選項(xiàng)

a通過環(huán)境的健康化（單詞health）來降低才（2罪的可能性

b通過優(yōu)化設(shè)施（facility）的優(yōu)化改進(jìn)，來減少才巳罪

進(jìn)口安全評估的時(shí)候口先要進(jìn)口以下哪個步驟

abiab確定安全評估需求c買最先進(jìn)的安全技術(shù)

審計(jì)口員進(jìn)口安全審計(jì)的時(shí)候第口步要做啥（爭議）

a和管理層溝通說明審計(jì)要達(dá)到的效果

b確定訪談口員

c獲取關(guān)于安全規(guī)范的最佳實(shí)踐

業(yè)務(wù)口員(staffmembers)《應(yīng)該翻譯成員口》對數(shù)據(jù)中口有問題的設(shè)備進(jìn)口下線的

時(shí)候，以下哪個是合規(guī)

a只有管理層有權(quán)限

b需要適當(dāng)?shù)氖跈?quán)口員的審批

c只有特定設(shè)備可以下線

d需要業(yè)務(wù)經(jīng)理(staffmemberManager)的審批《應(yīng)該翻譯成員口經(jīng)理》

從組織的口度來看，要求安全口作口員在口作中尊重isc的安全道德是為了什么

組織的聲譽(yù)安全□作□員的形象

進(jìn)口安全意識培訓(xùn)程序的最后口部是

a評估培訓(xùn)有效性b收集員口的反饋c收集培訓(xùn)未涉及的內(nèi)容以便將來的程序改進(jìn)

某個程序的語口已經(jīng)對緩沖區(qū)溢出攻擊進(jìn)口了有效預(yù)防，然口以下哪類問題還會可能造

成緩沖區(qū)溢出攻擊？

b在編程中調(diào)口了別的庫d使口這口程序語口實(shí)現(xiàn)的應(yīng)口程序

基于單向散列的密碼認(rèn)證系統(tǒng)依賴于？

單向函數(shù)的可靠性

1、使口TPM□USB的好處

防篡改速度快使口更□密鑰

在帶寬受限的情況下，使口那種口法傳遞斷口

SAMLoauth的accesstoken(更高效)

如何獲取口于法庭的證據(jù)？

e-discovery強(qiáng)行逼供硬盤虛擬化交換協(xié)議

滲透測試進(jìn)口系統(tǒng)后，為了xx需要XX?

L橫向提升特權(quán)，2縱向提升特權(quán)，3特權(quán)賬號,4系統(tǒng)管理員賬號

DRP最少多久審批一次：

高層變動每季度每年或根據(jù)業(yè)務(wù)需求更少頻次按業(yè)務(wù)需求

個人或組帳戶權(quán)限評審頻率：

a.升職b離職c持續(xù)D每年一次或更低頻率

讓SLA發(fā)揮效用的……:

管理層叩prove管理層review雙方公開雙方認(rèn)可

被DDOS攻擊后，采取安全策略的第一個步驟是

執(zhí)行可彳推分析

了解現(xiàn)有網(wǎng)絡(luò)運(yùn)營和技術(shù)

采購抗DDOS設(shè)備

對安全滲透公司提供的方案進(jìn)行評估

安全度量（metric）是為了：

量化安全措施的有效性加速安全評估

以下哪項(xiàng)是機(jī)密性必須包含的

A數(shù)據(jù)保留B文檔處置數(shù)據(jù)處置文件保留

合規(guī)的目的：

提高（improve）態(tài)勢/減少監(jiān)管提高態(tài)勢/減少攻擊影響

減少態(tài)勢/減少監(jiān)管減少策略/減少攻擊影響

哪兩個職責(zé)需要分離：

a系統(tǒng)開發(fā)和系統(tǒng)維護(hù)b生產(chǎn)控制和數(shù)據(jù)控制

存儲和處理PH時(shí)以下哪個選項(xiàng)是最重要的考慮因素？

A加密和散列所有PH,以避免泄露和篡改

B將PII儲存不超過一年

C避免在云服務(wù)提供商中儲存pn

D遵守收集限制法律法規(guī)

公司生產(chǎn)環(huán)境準(zhǔn)備接入了一個第三方軟件，該公司怎么做為最佳：

A.執(zhí)行軟件漏洞掃描B.和第三方公司簽署修復(fù)合同C.進(jìn)行軟件備份托管

用戶驗(yàn)收測試時(shí)發(fā)現(xiàn)了bug,軟件開發(fā)人員要做什么？

a.執(zhí)行一個全面的同行評審b發(fā)郵件通知開發(fā)團(tuán)隊(duì)的頭兒

c.修補(bǔ)漏洞d.用變更管理工具做記錄

當(dāng)在單元測試中發(fā)現(xiàn)了一個安全漏洞時(shí)，軟件開發(fā)人員必須要做下面哪項(xiàng)？

A.執(zhí)行一個全面的同行評審B.修補(bǔ)該漏洞，并通知開發(fā)團(tuán)隊(duì)

C.將漏洞細(xì)節(jié)電子郵件發(fā)送給開發(fā)團(tuán)隊(duì)負(fù)責(zé)人D.使用變更管理工具記錄該問題

什么會引起Dr評審：

a高導(dǎo)管理人員變更b安全委員會人員增加c組織合并

移動終端面臨的最大安全漏洞：

a操作系統(tǒng)b互聯(lián)網(wǎng)應(yīng)用程序

計(jì)算機(jī)管理中，有一個管理組需要共享使用一組高級別的憑據(jù)，哪個是最佳實(shí)踐：

a對使用憑據(jù)的程序進(jìn)行checkout《checkin,checkout,就知道是誰在用了》

b記錄使用日志

S/MIME靠什么交換密鑰？

A共享B證書《數(shù)字證書》CIKE《口于IPSec》

為什么用多重散列？

一個散列被碰撞后，還有其他散列可以防止失效

企業(yè)中，常見的物理防護(hù)設(shè)備是哪個？

攝像頭、門鎖、醬油

項(xiàng)目（系統(tǒng)）已經(jīng)啟動了，DR的順序是什么？（具體情況具體分析）

風(fēng)險(xiǎn)分析戰(zhàn)略開發(fā)計(jì)劃實(shí)施測試和維護(hù)

風(fēng)險(xiǎn)評估-業(yè)務(wù)影響分析-制定策略-開發(fā)計(jì)劃-培訓(xùn)測試-維護(hù)

什么是信息安全政策？

A特定的情況給予的特定步驟，B所有行業(yè)接受的特定規(guī)則，C代表管理層所發(fā)表的聲明原則

郵件服務(wù)還有文件傳輸服務(wù)是哪層的？

應(yīng)用層網(wǎng)絡(luò)層傳輸層數(shù)據(jù)鏈路層

最大中斷時(shí)間的定義：

A允許業(yè)務(wù)中斷的最大時(shí)間，如果該時(shí)間無法恢復(fù)那么該業(yè)務(wù)就無法進(jìn)行恢復(fù)

滲透測試發(fā)生在操作和維護(hù)階段

下面哪個最好的描述了緊急情況？

A、非法或不道德的用來捕獲嫌疑犯的行為或方法

B、誘捕(Enticement)是用來捕獲嫌疑人行動的

C、黑客沒有真正傷害任何人

D、因?yàn)閾?dān)心嫌疑人試圖破壞證據(jù)，那么執(zhí)法人員會迅速扣押證據(jù)

哪個身份管理流程是由主體的身份建立的？

A、注冊Enrollment

B、開通Provisioning

C、授權(quán)Authorization

D、信任Trust

恢復(fù)測試至少多長時(shí)間進(jìn)行評審？

A、每季度B、持續(xù)C、在高級管理層指導(dǎo)下開展D、僅在變更時(shí)

IP源地址和目的地址在哪一層被處理？網(wǎng)絡(luò)層

連線拖圖題

ip掩碼—隱藏IP地址

ip偽造一一偽造源或者目的IP地址

Ip重定向——路由重定向訪問IP地址

x頭（x標(biāo)記）一一郵件服務(wù)器中轉(zhuǎn)時(shí)候加上的內(nèi)容

郵件頭--郵件發(fā)送客戶端加上的內(nèi)容

信封頭一一郵件接收服務(wù)器加上的內(nèi)容

云目錄既能本地也能云端使用帳號登錄

目錄同步類似于Id叩找AD同步信息

云帳號云的單點(diǎn)登錄，關(guān)鍵詞SSO

CC評估保證級別，7級

EAL1功能測試

EAL2結(jié)構(gòu)測試

EAL3系統(tǒng)測試和檢查

EAL4系統(tǒng)設(shè)計(jì)測試和回顧

EAL5半正式設(shè)計(jì)和測試

EAL6半正式驗(yàn)證，設(shè)計(jì)和測試

EAL7正式驗(yàn)證，設(shè)計(jì)和測試

拖圖：網(wǎng)絡(luò)拓?fù)?/p>

Untrust外網(wǎng)，訪問用戶

DMZ緩沖區(qū)，應(yīng)用服務(wù)器

Trust內(nèi)網(wǎng)

訪問控制方法：

對象是設(shè)備系統(tǒng)信息數(shù)據(jù)人建筑

右邊的方法是：加密，物理控制，意識培訓(xùn)，等等方法

設(shè)備防火墻

系統(tǒng)認(rèn)證、認(rèn)可

信息加密

數(shù)據(jù)加密或者XX

人意識培訓(xùn)

建筑物理控制

安全控制策略對應(yīng)關(guān)系

信息------加密

設(shè)施------窗戶/柵欄

設(shè)備------防火墻

系統(tǒng)------認(rèn)證（認(rèn)證，認(rèn)可）

人員角色：

審計(jì)委員會由董事會任命，以幫助其審查和評估公司內(nèi)部運(yùn)作、內(nèi)部審計(jì)系統(tǒng)報(bào)表的透明度

和準(zhǔn)確性，使公司的投資者、客戶和債權(quán)人繼續(xù)保持對組織機(jī)構(gòu)的信心

外部審計(jì)師往往代表法律機(jī)構(gòu)，確保組織符合法律要求

內(nèi)部審計(jì)師內(nèi)部人員，負(fù)責(zé)測試和認(rèn)證安全策略是否被正確實(shí)現(xiàn)，以及相關(guān)的安全解決方案

是否合適。

執(zhí)行管理層c開頭的管理者，CEO/CFO/CPO/CIO等

合規(guī)官關(guān)注于法律法規(guī)的人理解為要我做

安全官關(guān)注于安全的人理解為我要做

安全委員會決策并批準(zhǔn)安全相關(guān)事務(wù)、策略、標(biāo)準(zhǔn)、指南和程序。

數(shù)據(jù)分類排序：

第一步：記錄信息資產(chǎn)（第一步：定義數(shù)據(jù)分配級別）

第二步：分配分類級別（第二步：記錄信息資產(chǎn)）

第三步：應(yīng)用適當(dāng)安全標(biāo)記

第四步：定期進(jìn)行分類評審

第五步：信息分類解除

帶外令牌類似于短信驗(yàn)證碼，（帶外，獨(dú)立于通道外的另一條通道）

秘密令牌銀行的口令卡，密保卡

一次性密碼設(shè)備同步或異步令牌

加密設(shè)備U盾

查詢令牌查詢信息的令牌

預(yù)登記令牌先登錄的令牌

什么類型的訪問控制策略？

技術(shù)------生物識別

邏輯------受限用戶界面

管理------數(shù)據(jù)標(biāo)簽分類

物理------RFID卡

測試的種類

回歸測試一一^修改了舊代碼后，重新進(jìn)行測試以確認(rèn)修改沒有引入新的錯誤或?qū)е缕渌a產(chǎn)生錯

誤。

結(jié)構(gòu)測試——又稱白盒測試，測試者全面了解程序內(nèi)部邏輯結(jié)構(gòu)、對所有邏輯路徑進(jìn)行測試。

非功能測試—所有其他方