CISSP考試練習(xí)(習(xí)題卷32)

試卷科目：CISSP考試練習(xí)CISSP考試練習(xí)(習(xí)題卷32)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考試練習(xí)第1部分：單項(xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.Adevelopmentoperationsteamwouldliketostartbuildingnewapplicationsdelegatingthecybersecurityresponsibilityasmuchaspossibletotheserviceprovider.WhichofthefollowingenvironmentsBESTfitstheirneed?A)CloudVirtualMachines（VM）B)CloudapplicationcontainerwithinaVirtualMachine（VM）C)OnpremisesVirtualMachine（VM）D)Self-hostedVirtualMachine（VM）答案:A解析:[單選題]2.組織定期進(jìn)行自己的滲透測試。為了使測試有效,必須涵蓋以下哪些場景?Anorganizationregularlyconductsitsownpenetrationtests.WhichofthefollowingscenariosMUSTbecoveredforthetesttobeeffective?A)可以訪問系統(tǒng)的內(nèi)部攻擊者InternalattackerwithaccesstothesystemB)內(nèi)部用戶意外訪問數(shù)據(jù)InternaluseraccidentallyaccessingdataC)系統(tǒng)管理員訪問遭到破壞SystemadministratoraccesscompromisedD)有權(quán)訪問系統(tǒng)的第三方供應(yīng)商Third-partyvendorwithaccesstothesystem答案:A解析:[單選題]3.以下哪項(xiàng)最好的防御已知明文攻擊？A)加密前壓縮B)加密后壓縮C)加密前哈希D)機(jī)密后哈希答案:A解析:略章節(jié)：模擬考試202201[單選題]4.WhichofthefollowingisMOSTcriticalinacontractinacontractfordatadisposalonaharddrivewithathirdparty?在與第三方簽訂的硬盤數(shù)據(jù)處理合同中，以下哪項(xiàng)是最關(guān)鍵的？A)Authorizeddestructiontimes授權(quán)銷毀時(shí)間B)Allowedunallocateddiskspace允許的未分配磁盤空間C)Amountofoverwritesrequired所需覆蓋量D)Frequencyofrecoveredmedia恢復(fù)介質(zhì)的頻率答案:C解析:[單選題]5.當(dāng)使用數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)時(shí),下列哪項(xiàng)是初始化向量的特征?A)它必須保留到最后一個(gè)塊被傳輸。B)它可以作為一個(gè)隨機(jī)數(shù)以明文形式傳送。C)發(fā)送方和接收方都必須知道。D)它可以用來加密和解密信息答案:B解析:[單選題]6.您正在更新安全管理員的培訓(xùn)手冊,并希望添加對零日漏洞利用的描述。以下哪一項(xiàng)最能描述零日漏洞?A)利用沒有補(bǔ)丁或修復(fù)方法的漏洞的攻擊B)一個(gè)新發(fā)現(xiàn)的沒有補(bǔ)丁或修復(fù)的漏洞C)對沒有可用補(bǔ)丁的系統(tǒng)的攻擊D)在用戶啟動(dòng)應(yīng)用程序后傳送其有效負(fù)載的惡意軟件答案:A解析:[單選題]7.AuserdownloadsafilefromtheInternet,thenappliestheSecureHashAlgorithm3（SHA-3）?用戶從Internet下載文件，然后應(yīng)用安全哈希算法3（SHA-3）？A)Itverifiestheintegrityofthefile.它驗(yàn)證文件的完整性。B)Itchecksthefileformalware.它檢查文件中是否有惡意軟件。C)Itensurestheentirefiledownloaded.它確保下載整個(gè)文件。D)Itencryptstheentirefile.它對整個(gè)文件進(jìn)行加密。答案:A解析:[單選題]8.如何確保SLA的質(zhì)量得到保護(hù)？A)漏洞掃描B)定期評估C)滲透測試D)無需關(guān)注答案:B解析:略章節(jié)：模擬考試202201[單選題]9.如果部署了一臺正常工作的IDS,下列哪組由于缺乏系統(tǒng)的審計(jì)最能夠竊取敏感信息？A)惡意軟件B)黑客或破壞者C)心懷不滿的員工D)審計(jì)者答案:C解析:<p>Insiders(employees,contractors,etc.)canhaveaccesstoinformationthattheyshouldnotbeallowedtoandintheabsenceofauditing(logging)theiractionscangounnoticed.Encryptioncanprovidecontrolsoverunauthorizeddisclosure.Externalattacker(hackerorcracker)activityandmalwareusuallyraisealertsonintrusiondetectionsystems(IDS).Auditorsmayhavetheneedandauthorizationforthedisclosureofsensitiveinformationandthisaccessisoftenmonitored.</p>[單選題]10.相互認(rèn)證的過程涉及計(jì)算機(jī)系統(tǒng)對用戶進(jìn)行身份驗(yàn)證和對A)用戶對審核過程。B)計(jì)算機(jī)系統(tǒng)向用戶。C)用戶訪問所有授權(quán)對象。D)計(jì)算機(jī)系統(tǒng)對審計(jì)過程。答案:B解析:[單選題]11.Elaine在她的組織使用的產(chǎn)品中發(fā)現(xiàn)了一個(gè)以前未知的嚴(yán)重漏洞。她的組織對道德披露有著堅(jiān)定的承諾,Elaine希望遵循常見的道德披露實(shí)踐。她首先應(yīng)該做什么?Elainehasdiscoveredapreviouslyunknowncriticalvulnerabilityinaproductthatherorganizationuses.Herorganizationhasastrongcommitmenttoethicaldisclosure,andElainewantstofollowcommonethicaldisclosurepractices.Whatshouldshedofirst?A)建立內(nèi)部修補(bǔ)或控制,然后公開披露漏洞,提示供應(yīng)商快速修補(bǔ)Buildanin-houseremediationorcontrolandthenpubliclydisclosurethevulnerabilitytopromptthevendortopatchitquickly.B)建立內(nèi)部修補(bǔ)或控制,然后將問題通知供應(yīng)商Buildanin-houseremediationorcontrolandthennotifythevendoroftheissue.C)通知供應(yīng)商并給他們合理的時(shí)間來解決問題Notifythevendorandgivethemareasonableamountoftimetofixtheissue.D)公開披露漏洞,以便供應(yīng)商在適當(dāng)?shù)臅r(shí)間內(nèi)對其進(jìn)行修補(bǔ)Publiclydisclosethevulnerabilitysothatthevendorwillpatchitinanappropriateamountoftime.答案:C解析:道德(或負(fù)責(zé)任)披露規(guī)范包括通知供應(yīng)商并為他們提供合理的時(shí)間來修補(bǔ)問題。在大多數(shù)情況下,在通知供應(yīng)商之前或在短時(shí)間內(nèi)公開披露被認(rèn)為是不道德的。雖然這個(gè)時(shí)間框架各不相同,但由于軟件和其他技術(shù)的復(fù)雜性,90到120天在整個(gè)行業(yè)中是常見的。[單選題]12.basedontheorganizationalsecuritypolicy.Theaccesscontrolsmaybebasedon?非自主訪問控制。中央權(quán)威機(jī)構(gòu)樸據(jù)組織的安全政策確定什么主體可以訪問某些對象。訪問控制可以基于?A)Thesocieties'roleintheorganization.在組織中的社會角色B)Theindividual'sroleintheorganization.在組織中個(gè)人的角色C)Thegroup-dynamicsastheyrelatetotheindividual'sroleintheorganization.群體動(dòng)力,因?yàn)樗鼈兩婕暗浇M織中的個(gè)人的角色D)Thegroup-dynamicsastheyrelatetothemaster-slaveroleintheorganization群體動(dòng)力,因?yàn)榇鸢?B解析:[單選題]13.下一個(gè)最好的決定了個(gè)體的適用性？A)職位等級或職稱B)合伙關(guān)系與安全團(tuán)隊(duì)C)角色D)背景調(diào)查答案:D解析:<p>正確答案是?自由訪問控制?。基于身份的訪問控制是一種自由訪問控制，根據(jù)用戶的身份授予訪問權(quán)限。A<br/>相關(guān)類型的自主訪問控制是用戶控制的訪問控制，它賦予用戶<br/>用戶在一定的限制下更改對某些對象的訪問控制的權(quán)利</p>[單選題]14.業(yè)務(wù)連續(xù)性計(jì)劃(BCP)何時(shí)被視為有效?A)經(jīng)業(yè)務(wù)連續(xù)性(BC)經(jīng)理驗(yàn)證B)經(jīng)董事會確認(rèn)C)當(dāng)它已被所有威脅情景驗(yàn)證時(shí)D)當(dāng)它已經(jīng)被實(shí)際練習(xí)所驗(yàn)證時(shí)答案:D解析:[單選題]15.選擇保障，以下哪一項(xiàng)關(guān)于不是好標(biāo)準(zhǔn)？A)恢復(fù)恢復(fù)，不損壞資產(chǎn)的能力B)和操作識別符的膠帶C)恢復(fù)恢復(fù)，權(quán)限設(shè)置為允許所有的能力D)資產(chǎn)比較的潛在資產(chǎn)損失與成本保障答案:C解析:<p>解釋：正確答案是?從reset中恢復(fù)的能力<br/>設(shè)置為允許所有?。重置期間應(yīng)將權(quán)限設(shè)置為全部拒絕。<br/></p>[單選題]16.(04059)Asecurityprofessionalhasbeenaskedtoplanandimplementaserverlogmanagementsolutionforalargenetworkwithmorethan1,000serversManagementrequiresrealtimealertingcapabilitiesandthatthelogmanagementsystemhandlethisbycontactingtheoncallsecurityadministratorWhichofthefollowingisthePRIMARYconcernwhenconfiguringrealtimealerts?一個(gè)安全專業(yè)人士被要求來規(guī)劃和實(shí)施一個(gè)超過1,000臺服務(wù)器的大型網(wǎng)絡(luò)中的服務(wù)器日志管理解決方案。管理層要求具備實(shí)時(shí)的報(bào)警能力，日志管理系統(tǒng)會直接自動(dòng)電話呼叫安全管理員。下面哪項(xiàng)是配置實(shí)時(shí)報(bào)警時(shí)主要的擔(dān)心？A)Allsecurityrelatedeventsmustbeincluded.所有的安全相關(guān)事件都必須包括進(jìn)來B)Allsecurityrelatedeventsmustbeincluded.所有的安全相關(guān)事件都必須包括進(jìn)來C)Allsecurityrelatedeventsmustbeincluded.所有的安全相關(guān)事件都必須包括進(jìn)來D)Allsecurityrelatedeventsmustbeincluded.所有的安全相關(guān)事件都必須包括進(jìn)來答案:D解析:[單選題]17.以下哪一個(gè)不是數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)的操作模式?A)CBCB)CFBC)OFBD)AES答案:D解析:DES(數(shù)據(jù)加密標(biāo)準(zhǔn))的操作模式包括電子密碼本(ECB)、密碼塊鏈接(CBC)、密碼反饋(CFB)、輸出反饋(OFB)和計(jì)數(shù)器(CTR)。高級加密標(biāo)準(zhǔn)(AES)是一個(gè)單獨(dú)的加密算法。TheDESmodesofoperationareElectronicCodebook(ECB),CipherBlockChaining(CBC),CipherFeedback(CFB),OutputFeedback(OFB),andCounter(CTR).TheAdvancedEncryptionStandard(AES)isaseparateencryptionalgorithm.[單選題]18.為競爭原因，大船公司的客戶會向稱為"綜合國際安全航運(yùn)集裝箱公司"(IISSCC)運(yùn)送各種貨物并保持他們的隱私性。llSSCC使用以Bell-LaPadula訪問控制模型的為基礎(chǔ)的安全數(shù)據(jù)庫系統(tǒng)將這些信息進(jìn)行保密。在此數(shù)據(jù)庫中的不同信息分為不同級別。例如，一艘船出發(fā)的日期和時(shí)間標(biāo)記解除保密，所以客戶可以估計(jì)他們的貨物什么時(shí)候到達(dá)。但船上的所有集裝箱的內(nèi)容被標(biāo)記為絕密已保持不同托運(yùn)人無從查看對方的貨物。一個(gè)無良水果托運(yùn)人，"私人水果出口商協(xié)會有限公司"(APFEL)想要學(xué)習(xí)競爭對手"好水果公司"(FIGCO)是否在S.S.郵輪太平洋"(S.S.CP)船上運(yùn)載菠蘿"。APFEL因?yàn)樵L問模型的緣故能讀取IISSCC數(shù)據(jù)庫中的最高機(jī)密內(nèi)容。一個(gè)聰明的APFEL員工，試圖在數(shù)據(jù)庫中插入一條虛假的未標(biāo)記的記錄說FIGCO公司在S.S.CP船上運(yùn)載菠蘿，如果有己經(jīng)有這樣一條記錄則插入操作則提示失敗。但是該操作沒有成功，因此APFEL公司不能確信FIGCO公司是否運(yùn)載了菠蘿。什么是這種安全控制模型的特性以阻止APFEL公司讀取FIGCO公司的貨物信息？那中安全數(shù)據(jù)庫技術(shù)可以解釋為什么當(dāng)插入嘗試成功時(shí)，APFEL公司仍然不能確信FIGCO公司運(yùn)載了菠蘿？A)*-屬性和多態(tài)性B)強(qiáng)*-屬性和多實(shí)例C)簡單安全屬性和多實(shí)例D)簡單的安全屬性和多態(tài)性答案:C解析:<p>TheSimpleSecurityPropertystatesthatasubjectatagivenclearancemaynotreadanobjectatahigherclassification,sounclassifiedAPFELcouldnotreadFIGCO'stopsecretcargoinformation.</p><p>Polyinstantiationpermitsadatabasetohavetworecordsthatareidenticalexceptfortheirclassifications(i.e.,theprimarykeyincludestheclassification).Thus,APFEL'snewunclassifiedrecorddidnotcollidewiththereal；topsecretrecord,soAPFELwasnotabletolearnaboutFIGspineapples.</p>[單選題]19.Whichreportingtyperequiresaserviceorganizationtodescribeitssystemanddefineitscontrolobjectivesandcontrolsthatarerelevanttousersinternalcontroloverfinancialreporting?哪種報(bào)告類型要求服務(wù)組織描述其系統(tǒng)并定義其控制目標(biāo)和與用戶財(cái)務(wù)報(bào)告內(nèi)部控制相關(guān)的控制？A)StatementonAuditingStandards（SAS）70審計(jì)準(zhǔn)則聲明（SAS）70B)ServiceOrganizationControl1（SOC1）服務(wù)組織控制1（SOC1）C)ServiceOrganizationControl2（SOC2）服務(wù)組織控制2（SOC2）D)ServiceOrganizationControl3（SOC3）服務(wù)組織控制3（SOC3）答案:B解析:[單選題]20.(04086)AmultinationalorganizationhasrecentlyundergoneanexternalregulatoryauditTheorganizationhadnumeroussystemconfigurationauditfindingsatahigh-risklevelToverifythatthefindingsareaddressed,whatisitMOSTimportantthattheauditorsrequest?一個(gè)跨國組織最近要接受外部監(jiān)管審計(jì)。該組織有多個(gè)系統(tǒng)配置的高風(fēng)險(xiǎn)審計(jì)發(fā)現(xiàn)。要驗(yàn)證這些發(fā)現(xiàn)是否得到解決，審計(jì)師要求的最重要的是？A)Executivelevelsupporttoremediatethefindings高層支持以修補(bǔ)這些發(fā)現(xiàn)B)Executivelevelsupporttoremediatethefindings高層支持以修補(bǔ)這些發(fā)現(xiàn)C)Executivelevelsupporttoremediatethefindings高層支持以修補(bǔ)這些發(fā)現(xiàn)D)Executivelevelsupporttoremediatethefindings高層支持以修補(bǔ)這些發(fā)現(xiàn)答案:B解析:[單選題]21.AnorganizationisrequiredtocomplywiththePaymentCardIndustryDataSecurityStandard（PCI-DSS）,whatistheMOSTeffectiveapproachtosafeguarddigitalandpapermediathatcontainscardholderdata?組織需要遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS），保護(hù)包含持卡人數(shù)據(jù)的數(shù)字和紙質(zhì)媒體的最有效方法是什么？A)Useandregularityupdateantivirussoftware.使用并定期更新防病毒軟件。B)Maintainstrictcontroloverstorageofmedia嚴(yán)格控制介質(zhì)的存儲C)Mandateencryptionofcardholderdata.授權(quán)對持卡人數(shù)據(jù)進(jìn)行加密。D)Configurefirewallrulestoprotectthedata.配置防火墻規(guī)則以保護(hù)數(shù)據(jù)。答案:C解析:[單選題]22.Asecurityengineerisrequiredtointegratesecurityintoasoftwareprojectthatisimplementedbysmallgroupstestquickly,continuously,andindependentlydevelop,test,anddeploycodetothecloud.TheengineerwillMOSTlikelyintegratewithwhichsoftwaredevelopmentprocess'安全工程師需要將安全性集成到一個(gè)軟件項(xiàng)目中，該項(xiàng)目由小組實(shí)施，快速、連續(xù)、獨(dú)立地開發(fā)、測試代碼并將其部署到云。工程師最有可能與哪個(gè)軟件開發(fā)過程集成'A)Service-orientedarchitecture（SOA）面向服務(wù)的體系結(jié)構(gòu)（SOA）B)SpiralMethodology旋轉(zhuǎn)式C)StructuredWaterfallProgrammingDevelopment結(jié)構(gòu)化瀑布式編程開發(fā)D)DevopsIntegratedProductTeam（IPT）Devops綜合產(chǎn)品團(tuán)隊(duì)（IPT）答案:C解析:[單選題]23.在應(yīng)用程序的運(yùn)維過程中,建立軟件組件的初始基線依賴于A)安全審計(jì)規(guī)程B)軟件補(bǔ)丁規(guī)程C)配置控制規(guī)程D)應(yīng)用監(jiān)控規(guī)程答案:C解析:略章節(jié)：模擬考試202201[單選題]24.Lucca的經(jīng)理不想為其組織的Web應(yīng)用程序堆棧采用開源軟件包。在考慮開源軟件包時(shí),最重要的軟件安全優(yōu)勢是什么?Lucca?smanagerdoesnotwanttoadoptanopensourcesoftwarepackagefortheirorganization?swebapplicationstack.Whatsoftwaresecurityadvantageisthemostimportantwhenconsideringopensourcesoftwarepackages?A)代碼未編譯的事實(shí)ThefactthatthecodeisnotcompiledB)代碼是免費(fèi)的ThefactthecodeisfreeC)檢查代碼的能力TheabilitytoinspectthecodeD)更改代碼的能力Theabilitytochangethecode答案:C解析:[單選題]25.ComputerforensicsrequireswhichofthefollowingMAINsteps?計(jì)算機(jī)取證需要以下哪些主要步驟？A)Announcetheincidenttoresponsiblesections,analyzethedata,assimilatethedataforcorrelation向責(zé)任部門宣布事件，分析數(shù)據(jù)，吸收數(shù)據(jù)進(jìn)行關(guān)聯(lián)B)Takeactiontocontainthedamage,announcetheincidenttoresponsiblesections,analyzethedata采取措施控制損失，向責(zé)任部門宣布事件，分析數(shù)據(jù)C)Acquirethedatawithoutaltering,authenticatetherecovereddata,analyzethedata在不更改的情況下獲取數(shù)據(jù)，對恢復(fù)的數(shù)據(jù)進(jìn)行身份驗(yàn)證，分析數(shù)據(jù)D)Accessthedatabeforedestruction,assimilatethedataforcorrelation,takeactiontocontainthedamage銷毀前訪問數(shù)據(jù)，同化數(shù)據(jù)以進(jìn)行關(guān)聯(lián)，采取措施控制損壞答案:B解析:[單選題]26.Whatwouldasignificantbenefitbefromconductinganunannouncedpenetrationtest?從哪里進(jìn)行突然的滲透測試會有很大的益處?A)NetworksecuritywouldbeIna"beststale"posture網(wǎng)絡(luò)安全被認(rèn)為在最佳狀態(tài)的情況下B)Thesecurityanalystcouldnotprovideanhonestanalysis安全分析師未提供一個(gè)誠實(shí)的分析C)Theanalystcouldprovideanhonest.unpreparedassessmentofthetargetnetwork.分析師可能會經(jīng)供一個(gè)誠實(shí)的,毫無準(zhǔn)盔的評估對目標(biāo)網(wǎng)絡(luò)D)ltisbesttocatchcriticalinfrastructureunpatched;最好在關(guān)納是礎(chǔ)設(shè)施未打應(yīng)用補(bǔ)丁時(shí)答案:C解析:如果經(jīng)理有理由相信他的IT或安全人員沒有保持良好的安全狀態(tài),那么就有理由聘請外部分析師來執(zhí)行評估。其想法是,如果員工有時(shí)間在備外部評估,他們將加強(qiáng)安全,并確保一切都準(zhǔn)備好接受測試,這不顯對他們的網(wǎng)絡(luò)安全狀況的準(zhǔn)確評估。[單選題]27.(04091)WhichoneofthefollowingactionswouldBESTassistinthegatheringofinformationaboutthesecurityofequipmentinanarea?下面哪一個(gè)行動(dòng)能夠最好的協(xié)助收集一個(gè)區(qū)域里安全設(shè)備相關(guān)的信息？A)Implementout-of-hoursaccesscontrolstothearea.在區(qū)域內(nèi)實(shí)施下班后的訪問控制B)Implementout-of-hoursaccesscontrolstothearea.在區(qū)域內(nèi)實(shí)施下班后的訪問控制C)Implementout-of-hoursaccesscontrolstothearea.在區(qū)域內(nèi)實(shí)施下班后的訪問控制D)Implementout-of-hoursaccesscontrolstothearea.在區(qū)域內(nèi)實(shí)施下班后的訪問控制答案:C解析:[單選題]28.用戶已經(jīng)經(jīng)過了身份驗(yàn)證，攻擊者向用戶發(fā)送了惡意攻擊，從而造成用戶信任站點(diǎn)收到損失。這是以下那種攻擊方式？A)XSSB)CSRFC)暴力攻擊D)DDOS答案:B解析:跨站請求偽造（英語：Cross-siterequestforgery），也被稱為one-clickAttack或者sessionriding，通?？s寫為CSRF或者XSRF，是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。跟跨網(wǎng)站腳本（XSS）相比，XSS利用的是用戶對指定網(wǎng)站的信任，CSRF利用的是網(wǎng)站對用戶網(wǎng)頁瀏覽器的信任。章節(jié)：模擬考試202201[單選題]29.在使用第三方基于云的應(yīng)用程序和目錄解決方案時(shí)，以下哪種方法最有效地管理用戶帳戶？A)云目錄B)目錄同步C)保證框架D)輕量級目錄訪問協(xié)議(LDAP)答案:B解析:云目錄平臺是為中小企業(yè)管理和保護(hù)針對云服務(wù)器基礎(chǔ)設(shè)施等訪問打造的解決方案?；赟aaS的托管目錄服務(wù)通過LDAP協(xié)議集中用戶管理，提供單點(diǎn)登錄（SSO）、網(wǎng)絡(luò)準(zhǔn)入控制、多因素認(rèn)證（MFA）等功能。對于企業(yè)已有賬號體系的使用和管理這一老大難問題，管理員可以利用云目錄平臺搭建本地用戶源、企業(yè)社交賬號源的橋梁，將云目錄服務(wù)快速連接到企業(yè)AD或LDAP用戶源、釘釘、企業(yè)微信、飛書等[單選題]30.(04038)Whichofthefollowingdescribestherelationshipbetweentolerancetointerruptionofabusinessprocessandtheexpressionofvalueorcostinriskanalysis?下列哪項(xiàng)描述了業(yè)務(wù)流程中斷的容忍度和風(fēng)險(xiǎn)分析中表達(dá)的價(jià)值或成本之間的關(guān)系？A)Ahightoleranceisdirectlyrelatedtothehighcostofthehardwareandsoftware.對中斷的高容忍度與軟硬件的高成本直接相關(guān)B)Ahightoleranceisdirectlyrelatedtothehighcostofthehardwareandsoftware.對中斷的高容忍度與軟硬件的高成本直接相關(guān)C)Ahightoleranceisdirectlyrelatedtothehighcostofthehardwareandsoftware.對中斷的高容忍度與軟硬件的高成本直接相關(guān)D)Ahightoleranceisdirectlyrelatedtothehighcostofthehardwareandsoftware.對中斷的高容忍度與軟硬件的高成本直接相關(guān)答案:C解析:[單選題]31.訪問驗(yàn)證Web會話管理需要以下哪一項(xiàng)?A)日志時(shí)間戳B)實(shí)時(shí)會話流量C)會話狀態(tài)變量D)測試腳本答案:C解析:[單選題]32.許多密碼算法建立在大素?cái)?shù)乘積難以被因式分解的基礎(chǔ)上。就這道題具體而言，它們依靠的哪個(gè)特點(diǎn)？A)它包含擴(kuò)散B)它包含混淆C)它是一個(gè)單向函數(shù)D)它符合科克霍夫原則答案:C解析:[單選題]33.(04014)WhichofthefollowingisnotanOSIarchitecture-definedbroadcategoryofsecuritystandards?下面哪項(xiàng)不是OSI架構(gòu)定義的安全標(biāo)準(zhǔn)的廣義類別之一？A)Securitytechniquesstandards安全技術(shù)標(biāo)準(zhǔn)B)Securitytechniquesstandards安全技術(shù)標(biāo)準(zhǔn)C)Securitytechniquesstandards安全技術(shù)標(biāo)準(zhǔn)D)Securitytechniquesstandards安全技術(shù)標(biāo)準(zhǔn)答案:D解析:[單選題]34.以下哪一項(xiàng)不涉及安全模型的構(gòu)成原理A)級聯(lián)B)反饋C)迭代D)連接答案:C解析:安全模型構(gòu)成原理，級聯(lián)，反饋，連接[單選題]35.適當(dāng)?shù)脑L問控制需要一個(gè)結(jié)構(gòu)化用戶供應(yīng)流程。以下哪一項(xiàng)最恰當(dāng)?shù)孛枋隽擞脩艄?yīng)?A)對存在于一個(gè)或多個(gè)系統(tǒng)、目錄或應(yīng)用程序(響應(yīng)業(yè)務(wù)流程)的用戶客體和屬性進(jìn)行創(chuàng)建、維護(hù)和鈍化。B)對存在于一個(gè)或多個(gè)系統(tǒng)、目錄或應(yīng)用程序(響應(yīng)合規(guī)流程)的用戶客體和屬性進(jìn)行創(chuàng)建、維護(hù)、激活和授權(quán)。C)對存在于一個(gè)或多個(gè)系統(tǒng)、目錄或應(yīng)用程序(響應(yīng)業(yè)務(wù)流程)的用戶客體和屬性進(jìn)行維護(hù)。D)對存在于一個(gè)或多個(gè)系統(tǒng)、目錄或應(yīng)用程序(響應(yīng)業(yè)務(wù)流程)的用戶客體和屬性進(jìn)行創(chuàng)建和鈍化。答案:A解析:[單選題]36.以下哪一個(gè)是安全斷言標(biāo)記語言(SAML)的函數(shù)?A)文件分配B)冗余檢查C)擴(kuò)展驗(yàn)證D)政策執(zhí)行答案:D解析:[單選題]37.以下列出的步驟中，哪一個(gè)不屬于實(shí)施業(yè)務(wù)影響分析的步驟？A)為了數(shù)據(jù)收集選擇個(gè)人進(jìn)行約談B)備用站點(diǎn)選擇C)創(chuàng)建數(shù)據(jù)收集技術(shù)D)D．確定公司的關(guān)鍵業(yè)務(wù)功能答案:B解析:<p>SelectingandAlternateSitewouldnotbedonewithintheinitialBIA.ItwouldbedoneatalaterstageoftheBCPandDRPrecoveryeffort.AlloftheotherchoiceswerestepsthatwouldbeconductedduringtheBIA.SeebelowthelistofstepsthatwouldbedoneduringtheBIA.</p>[單選題]38.Aglobalorganizationwantstoimplementhardwaretokensaspartofamultifactorauthenticationsolutionforremoteaccess.ThePRIMARYadvantageofthisimplementationis一個(gè)全球性組織希望實(shí)現(xiàn)硬件令牌，作為遠(yuǎn)程訪問多因素身份驗(yàn)證解決方案的一部分。此實(shí)現(xiàn)的主要優(yōu)點(diǎn)是A)thescalabilityoftokenenrollment.令牌注冊的可擴(kuò)展性。B)increasedaccountabilityofendusers.加強(qiáng)最終用戶的問責(zé)制。C)itprotectsagainstunauthorizedaccess.它可以防止未經(jīng)授權(quán)的訪問。D)itsimplifiesuseraccessadministration.它簡化了用戶訪問管理。答案:C解析:[單選題]39.Whendealingwithshared,privilagedaccounts,especiallythoseforemergencies,whatistheBESTwaytoassurenon-repudiationoflogs?在處理共享的、私有的帳戶，尤其是緊急情況下的帳戶時(shí)，確保日志不可否認(rèn)性的最佳方法是什么？A)Regularitychangethepasswords.定期更改密碼。B)Implementapasswordvaultingsolution.實(shí)施密碼保險(xiǎn)存儲解決方案。C)Lockpasswordsintamperproofenvelopesinasafe.將密碼鎖在保險(xiǎn)箱中的防篡改信封中。D)Implementastrictaccesscontrolpolicy.實(shí)施嚴(yán)格的訪問控制策略。答案:B解析:[單選題]40.法醫(yī)專家如何排除在檢查中,將居住在目標(biāo)系統(tǒng)副本上的很大一部分操作系統(tǒng)文件排除在外?A)對有關(guān)媒體進(jìn)行另一次備份,然后刪除所有不相關(guān)的操作系統(tǒng)文件。B)創(chuàng)建具有相同操作系統(tǒng)和修補(bǔ)程序級別的系統(tǒng)中文件加密哈希的比較數(shù)據(jù)庫。C)在驅(qū)動(dòng)器圖像上生成消息摘要(MD)或安全哈希,以檢測正在檢查的媒體的篡改情況。D)丟棄操作擦除系統(tǒng)的無害文件,以及已知已安裝的程序。答案:B解析:[單選題]41.一個(gè)公司范圍內(nèi)的滲透測試結(jié)果顯示:客戶可以通過Web瀏覽器訪問和讀取文件。以下哪項(xiàng)可用于緩解此漏洞?Acompany-widepenetrationtestresultshowscustomerscouldaccessandreadfilesthroughawebbrowser.Whichofthefollowingcanbeusedtomitigatethisvulnerability?A)將文件的chmod強(qiáng)制為755Enforcethechmodoffilesto755.B)強(qiáng)制控制文件目錄/列表Enforcethecontroloffiledirector/listings.C)在Web服務(wù)器上實(shí)施訪問控制Implementaccesscontrolonthewebserver.D)在整個(gè)Web服務(wù)器中實(shí)施安全套接字層(SSL)證書ImplementSecureSocketsLayer(SSL)certificatesthroughoutthewebserver.答案:B解析:一般文件遍歷、任意文件讀取漏洞都是在WEB服務(wù)器上做限制[單選題]42.Whymightanetworkadministratorchoosedistributedvirtualswitchesinsteadofstand-aloneswitchesfornetworksegmentation?為什么網(wǎng)絡(luò)管理員會選擇分布式虛擬交換機(jī)而不是獨(dú)立的交換機(jī)來進(jìn)行網(wǎng)絡(luò)分段？A)Tostandardizeonasinglevendor對單個(gè)供應(yīng)商進(jìn)行標(biāo)準(zhǔn)化B)Toensureisolationofmanagementtraffic確保管理流量的隔離C)Tomaximizedataplaneefficiency最大限度地提高數(shù)據(jù)平面效率D)Toreducetheriskofconfigurationerrors降低配置錯(cuò)誤的風(fēng)險(xiǎn)答案:C解析:[單選題]43.Aninputvalidationandexceptionhandlingvulnerabilityhasbeendiscoveredonacriticalweb-basedsystem.WhichofthefollowingisMOSTsuitedtoquicklyimplementacontrol?在關(guān)鍵的基于web的系統(tǒng)上發(fā)現(xiàn)了輸入驗(yàn)證和異常處理漏洞。以下哪項(xiàng)最適合快速實(shí)施控制？A)Addanewruletotheapplicationlayerfirewall.向應(yīng)用層防火墻添加新規(guī)則。B)Blockaccesstotheservice.阻止對服務(wù)的訪問。C)InstallanIntrusionDetectionSystem（IDS）.安裝入侵檢測系統(tǒng)（IDS）。D)Patchtheapplicationsourcecode.修補(bǔ)應(yīng)用程序源代碼。答案:A解析:[單選題]44.公開公開這些自己定義的用戶單點(diǎn)登錄（SSO界面的功能組目標(biāo)。下哪一頊不是目標(biāo)，并可能代表漏洞之一？A)提供非用戶配置驗(yàn)證信息的用戶身份的變化。B)提供對主體的以建立默認(rèn)用戶配置文件支持。C)接口應(yīng)獨(dú)立于處理的身份驗(yàn)證信息類型。D)它應(yīng)該提前確定下次登錄的操作時(shí)間。答案:A解析:[單選題]45.Alaina正在定期對服務(wù)帳戶進(jìn)行審核。她最應(yīng)該關(guān)注以下哪些事件?A)服務(wù)帳戶的交互式登錄B)服務(wù)帳戶的密碼更改C)對服務(wù)帳戶權(quán)利的限制D)本地使用服務(wù)帳號答案:A解析:服務(wù)帳戶的交互式登錄是一個(gè)嚴(yán)重的警告信號,無論是妥協(xié)還是不良管理實(shí)踐。在任何一種情況下,Alaina都應(yīng)立即確定帳戶登錄的原因、發(fā)生的情況以及交互式登錄是遠(yuǎn)程還是本地完成的。在任何專業(yè)維護(hù)的環(huán)境中對服務(wù)帳戶進(jìn)行遠(yuǎn)程交互式登錄幾乎是妥協(xié)的保證。服務(wù)帳戶的密碼更改可以作為正在進(jìn)行的密碼過期過程的一部分進(jìn)行,應(yīng)始終限制設(shè)置服務(wù)帳戶權(quán)限以確保它們只是必需的,并且在本地使用服務(wù)帳戶作為服務(wù)的一部分是正常事件。[單選題]46.(04163)以下哪一項(xiàng)是應(yīng)對合謀的方法：A)職責(zé)分離B)職責(zé)分離C)職責(zé)分離D)職責(zé)分離答案:D解析:[單選題]47.Howcananattackerexploitoverflowtoexecutearbitrarycode?攻擊者如何利用溢出執(zhí)行任意代碼？A)Modifyafunction'sreturnaddress.修改函數(shù)的返回地址。B)Altertheaddressofthestack.更改堆棧的地址。C)Substituteelementsinthestack.替換堆棧中的元素。D)Movethestackpointer.移動(dòng)堆棧指針。答案:A解析:[單選題]48.下面哪一選項(xiàng)不是由RFC1976規(guī)定的，由互聯(lián)網(wǎng)號碼分配機(jī)構(gòu)(IANA)保留的不可路由的私人地址合法IP地址？A)-55B)-55C)-55D)-55答案:B解析:<p>TheotherthreeaddressrangescanbeusedforNetworkAddressTranslation(NAT).WhileNATis,initself,notaveryeffectivesecuritymeasure,alargenetworkcanbenefitfromusingNATwithDynamicHostConfigurationProtocol(DHCP)tohelppreventcertaininternalroutinginformationfrombeingexposed.Theaddressiscalledtheloopbackaddress.</p>[單選題]49.隱秘隧道經(jīng)常使用以下哪些？A)存儲和分類B)存儲和許可C)存儲和底位D)存儲和時(shí)序答案:D解析:<p>TheOrangebookrequiresprotectionagainsttwotypesofcovertchannels,TimingandStorage.</p>[單選題]50.whichstageoftheCapabilityMaturityModel(CMM)ischaracterizedbyhavingorganizationalprocessesthatareproactive?能力成熟度模型(CMM)的哪個(gè)階段的特征是具有前瞻性的組織過程?A)Initial初始過程B)Managed托管C)Defined定義D)Optimizing優(yōu)化答案:C解析:[單選題]51.在該類型內(nèi)存尋址中，程序指令指定其地址位置，且該地址位置包含最終目標(biāo)位置的地址，下列哪項(xiàng)與此類內(nèi)存尋址相對應(yīng)？A)直接尋址B)間接尋址C)索引尋址D)程序?qū)ぶ反鸢?B解析:<p>Anaddressingmodefoundinmanyprocessors'instructionsetswheretheinstruction<br/>Containstheaddressofamemorylocationwhichcontainstheaddressoftheoperand(the<br/>"effectiveaddress")orspecifiesaregisterwhichcontainstheeffectiveaddress.Indirect<br/>Addressingisoftencombinedwithpre-orpost-incrementordecrementaddressing,<br/>Allowingtheaddressoftheoperandtobeincreasedordecreasedbyone(orsome<br/>Specifiednumber)eitherbeforeorafterusingit.</p>[單選題]52.Darcy是Roscommon農(nóng)產(chǎn)品公司的信息安全風(fēng)險(xiǎn)分析師。她目前正在試圖決定公司是否應(yīng)為其主數(shù)據(jù)中心購買升級的滅火系統(tǒng)。數(shù)據(jù)中心設(shè)施的重置成本為200萬美元。與精算師、數(shù)據(jù)中心經(jīng)理和消防專家協(xié)商后,Darcy了解到,如果發(fā)生一般火災(zāi),那么可能需要更換建筑物內(nèi)的所有設(shè)備,但不會導(dǎo)致重大的結(jié)構(gòu)性損壞。他們一起估計(jì),從火災(zāi)中恢復(fù)將需要75萬美元。他們還確定,該公司每50年會發(fā)生一次這樣的火災(zāi)。根據(jù)上述信息,火災(zāi)對Roscommon農(nóng)產(chǎn)品數(shù)據(jù)中心的影響的暴露因子是多少?A)7.5%B)15.0%C)27.5%D)37.5%答案:D解析:暴露因子是風(fēng)險(xiǎn)管理者預(yù)估的受損設(shè)施所占的百分比,如果風(fēng)險(xiǎn)真正發(fā)生,那么會有相應(yīng)百分比的財(cái)產(chǎn)遭受損失。暴露因子是用預(yù)估的損害金額除以資產(chǎn)總值計(jì)算得出的。在本題中,是用75萬美元的損失除以200萬美元的設(shè)施價(jià)值,即37.5%。Theexposurefactoristhepercentageofthefacilitythatriskmanagersexpectwillbedamagedifariskmaterializes.Itiscalculatedbydividingtheamountofdamagebytheassetvalue.Inthiscase,thatis$750,000indamagedividedbythe$2millionfacilityvalue,or37.5%.[單選題]53.以下哪一項(xiàng)與使用基于Web的客戶端輸入驗(yàn)證有關(guān)的威脅?A)驗(yàn)證發(fā)生后,用戶將能夠更改輸入B)網(wǎng)絡(luò)本身在傳輸后無法驗(yàn)證輸入C)客戶端系統(tǒng)可能會從Web服務(wù)器接收無效輸入D)Web服務(wù)器將無法接收來自客戶端的無效輸入答案:A解析:[單選題]54.測試災(zāi)難恢復(fù)計(jì)劃(DRP)的最重要目的是什么?A)一個(gè)。評估計(jì)劃的效率B)確定恢復(fù)所需的基準(zhǔn)C)驗(yàn)證計(jì)劃的有效性D)確定恢復(fù)時(shí)間目標(biāo)(RTO)答案:C解析:[單選題]55.HowcanlessonslearnedfrombusinesscontinuitytrainingandactualrecoveryincidentsBESTbeused?如何最好地利用從業(yè)務(wù)連續(xù)性培訓(xùn)和實(shí)際恢復(fù)事件中吸取的經(jīng)驗(yàn)教訓(xùn)？A)Asameansforimprovement作為改進(jìn)的手段B)Asalternativeoptionsforawarenessandtraining作為意識和培訓(xùn)的備選方案C)Asindicatorsofaneedforpolicy作為政策需要的指標(biāo)D)AsbusinessfunctiongapindicatorsAs業(yè)務(wù)職能差距指標(biāo)答案:A解析:[單選題]56.(04035)一個(gè)安全從業(yè)者被要求來評估組織網(wǎng)絡(luò)的應(yīng)用系統(tǒng)安全性。Web服務(wù)器和結(jié)構(gòu)化查詢語言（SQL）數(shù)據(jù)庫服務(wù)器是執(zhí)行管理層最關(guān)注的，因?yàn)樗麄兊慕灰子泻艽笠徊糠质窃诨ヂ?lián)網(wǎng)上完成的。評估后的整改計(jì)劃中包含了以下議建議：-使用可擴(kuò)展標(biāo)記語言（XML）應(yīng)用防火墻來保護(hù)組織的網(wǎng)絡(luò)-升級XML到安全斷言標(biāo)記語言（SAML）-使用定制的應(yīng)用程序，而不是商業(yè)產(chǎn)品-防止網(wǎng)站被篡改。哪個(gè)是轉(zhuǎn)換到SAML后最大的安全收益？A)Itlimitsunnecessarydataentryonwebforms.它限制了網(wǎng)頁表單上不需要的數(shù)據(jù)輸入B)Itlimitsunnecessarydataentryonwebforms.它限制了網(wǎng)頁表單上不需要的數(shù)據(jù)輸入C)Itlimitsunnecessarydataentryonwebforms.它限制了網(wǎng)頁表單上不需要的數(shù)據(jù)輸入D)Itlimitsunnecessarydataentryonwebforms.它限制了網(wǎng)頁表單上不需要的數(shù)據(jù)輸入答案:D解析:[單選題]57.(04095)Whichofthefollowingstatementspertainingtothesecuritykernelisincorrect?下面哪個(gè)關(guān)于安全內(nèi)核的描述是不正確的？A)ItismadeupofmechanismsthatfallundertheTCBandimplementsandenforcesthereferencemonitorconcept.它是由遵循TCB的機(jī)制組成，實(shí)施并增強(qiáng)了參考監(jiān)視器的概念。B)ItismadeupofmechanismsthatfallundertheTCBandimplementsandenforcesthereferencemonitorconcept.它是由遵循TCB的機(jī)制組成，實(shí)施并增強(qiáng)了參考監(jiān)視器的概念。C)ItismadeupofmechanismsthatfallundertheTCBandimplementsandenforcesthereferencemonitorconcept.它是由遵循TCB的機(jī)制組成，實(shí)施并增強(qiáng)了參考監(jiān)視器的概念。D)ItismadeupofmechanismsthatfallundertheTCBandimplementsandenforcesthereferencemonitorconcept.它是由遵循TCB的機(jī)制組成，實(shí)施并增強(qiáng)了參考監(jiān)視器的概念。答案:A解析:[單選題]58.Brad希望聘請第三方審計(jì)師來評估他的公司將與之簽訂合同的供應(yīng)商。如果Brad想要評估供應(yīng)商的安全策略和控制以及這些控制隨著時(shí)間的推移實(shí)施的有效性，他應(yīng)該要求審計(jì)員執(zhí)行什么SOC級別和類型？A)SOC1，類型2B)SOC2，類型1C)SOC1，類型1D)SOC2，類型2答案:D解析:SOC2評估著眼于影響安全的控制措施，2類報(bào)告驗(yàn)證控制措施的運(yùn)行有效性。SOC1業(yè)務(wù)評估可能影響財(cái)務(wù)報(bào)告的控制，而1類報(bào)告提供審計(jì)師對管理層在單個(gè)時(shí)間點(diǎn)提供的控制描述的意見，而不是控制的實(shí)際實(shí)施。章節(jié)：模擬考試202201[單選題]59.Ahealthcareinsuranceorganizationchoseavendortodevelopasoftwareapplication.Uponreviewofthedraftcontract,theinformationsecurityprofessionalnoticesthatsoftwaresecurityisnotaddressed.WhatistheBESTapproachtoaddresstheissue?一家醫(yī)療保險(xiǎn)組織選擇了一家供應(yīng)商來開發(fā)軟件應(yīng)用程序。在審查合同草案時(shí)，信息安全專業(yè)人員注意到軟件安全未得到解決。解決這個(gè)問題的最佳方法是什么？A)Updatetheservicelevelagreement（SLA）toprovidetheorganizationtherighttoauditthevendor.更新服務(wù)級別協(xié)議（SLA），使組織有權(quán)審核供應(yīng)商。B)Updatetheservicelevelagreement（SLA）torequirethevendortoprovidesecuritycapabilities.更新服務(wù)級別協(xié)議（SLA），要求供應(yīng)商提供安全功能。C)Updatethecontractsothatthevendorisobligatedtoprovidesecuritycapabilities.更新合同，以便供應(yīng)商有義務(wù)提供安全功能。D)Updatethecontracttorequirethevendortoperformsecuritycodereviews.更新合同，要求供應(yīng)商執(zhí)行安全代碼審查。答案:C解析:[單選題]60.John是公司新任命的軟件開發(fā)總監(jiān)。幾個(gè)專有應(yīng)用程序?yàn)閱T工提供單獨(dú)的服務(wù),但員工必須獨(dú)立登錄每個(gè)應(yīng)用程序才能訪問這些獨(dú)立的服務(wù)。John希望提供一種方法,讓這些獨(dú)立應(yīng)用程序提供的服務(wù)能被集中訪問和控制。以下哪項(xiàng)最恰當(dāng)?shù)孛枋隽薐ohn應(yīng)該部署的架構(gòu)?A)面向服務(wù)的架構(gòu)B)Web服務(wù)架構(gòu)C)單點(diǎn)登錄框架D)分層服務(wù)架構(gòu)答案:A解析:以這種方式使用Web服務(wù)可讓組織提供SOA環(huán)境。SOA是以連貫方式提供駐留在不同業(yè)務(wù)域不同系統(tǒng)中的獨(dú)立服務(wù)的方式。這個(gè)架構(gòu)包含一套設(shè)計(jì)和開發(fā)互操作服務(wù)形式軟件的原則和方法。[單選題]61.下列哪個(gè)陳述關(guān)于軟件測試是不正確的？A)測試數(shù)據(jù)生成器可以用來系統(tǒng)地生成可以用來測試程序的隨機(jī)測試數(shù)據(jù)。B)當(dāng)模塊正在在設(shè)計(jì)時(shí)，單元測試應(yīng)被說明和考慮。C)測試數(shù)據(jù)應(yīng)該規(guī)格說明書的一部分。D)測試應(yīng)該用實(shí)時(shí)數(shù)據(jù)執(zhí)行，去涵蓋所有可能的情況。答案:D解析:<p>Liveoractualfielddataisnotrecommendedforuseinthetestingproceduresbecausebothdatatypesmaynotcoveroutofrangesituationsandthecorrectoutputsofthetestareunknown.Livedatawouldnotbethebestdatatousebecauseofthelackofanomaliesandalsobecauseoftheriskofexposuretoyourlivedata.</p>[單選題]62.在該計(jì)劃中,緩解未來基于客戶端的內(nèi)部攻擊的最佳方法是什么?A)一個(gè)。阻止外圍的所有客戶端Web攻擊。B)從網(wǎng)絡(luò)中刪除所有非必要的客戶端Web服務(wù)C)在實(shí)施之前篩選客戶端服務(wù)的有害漏洞D)在部署之前強(qiáng)化客戶端映像答案:D解析:[單選題]63.(04165)業(yè)務(wù)連續(xù)性計(jì)劃（BCP）何時(shí)被視為有效(valid)？A)當(dāng)它被業(yè)務(wù)連續(xù)性經(jīng)理驗(yàn)證后B)當(dāng)它被業(yè)務(wù)連續(xù)性經(jīng)理驗(yàn)證后C)當(dāng)它被業(yè)務(wù)連續(xù)性經(jīng)理驗(yàn)證后D)當(dāng)它被業(yè)務(wù)連續(xù)性經(jīng)理驗(yàn)證后答案:C解析:[單選題]64.以下哪種技術(shù)與移動(dòng)設(shè)備管理(MDM)無關(guān)?A)選程擦除移動(dòng)設(shè)備的內(nèi)容B)獲得未注冊的BYOD移動(dòng)設(shè)備的控制C)強(qiáng)制使用設(shè)備加密D)管理設(shè)備備份答案:B解析:MDM(移動(dòng)設(shè)備管理)無法控制不受組織管理的設(shè)備,如果強(qiáng)行控制這些設(shè)備,相當(dāng)于黑客進(jìn)入他人擁有的設(shè)備,并可能構(gòu)成犯罪。MDMproductsdonothavethecapabilityofassumingcontrolofadevicenotcurrentlymanagedbytheorganization.Thiswouldbeequivalenttohackingintoadeviceownedbysomeoneelseandmightconstituteacrime.[單選題]65.WhowouldbetheBESTpersontoapproveanorganizationsinformationsecuritypolicy?誰是批準(zhǔn)組織信息安全策略的最佳人選？A)ChiefInformationOfficer（CIO）首席信息官（CIO）B)ChiefInformationSecurityOfficer（CISO）首席信息安全官（CISO）C)Chiefinternalauditor內(nèi)部總稽核D)ChiefExecutiveOfficer（CEO）首席執(zhí)行官（CEO）答案:B解析:[單選題]66.(04141)臨時(shí)密鑰完整性協(xié)議(TKIP)用于解決以下哪一項(xiàng)的不足？A)WEP有線等效保密B)WEP有線等效保密C)WEP有線等效保密D)WEP有線等效保密答案:D解析:[單選題]67.技術(shù)控制，如加密和訪問控制可以被內(nèi)置于操作系統(tǒng)、軟件應(yīng)用程序，或者可以是附加硬件/軟件單元。這樣一個(gè)控制，也被稱為邏輯控制，由下列哪個(gè)配對代表？A)預(yù)防性/技術(shù)配對B)偵探/技術(shù)配對C)預(yù)防/物理配對D)預(yù)防/管理配對答案:A解析:<p>Preventive/Technicalcontrolsarealsoknownaslogicalcontrolsandcanbebuiltintotheoperatingsystem,besoftwareapplications,orcanbesupplementalhardware/softwareunits.</p>[單選題]68.指對個(gè)人身份信息或可能對他人造成傷害、令他人感到尷尬的信息加以保密。A)隔絕B)隱藏C)隱私D)關(guān)鍵性答案:C解析:隱私指對個(gè)人身份信息保密,或?qū)赡苁顾耸艿絺Α⒆屗烁袆?dòng)尷尬或丟臉的信息保密。隔絕是把東西存放在不可到達(dá)的地方。隱藏是指藏匿或防止泄露的行為。信息的關(guān)鍵程度是其關(guān)鍵性的衡量標(biāo)準(zhǔn)。[單選題]69.Whatcapabilitywouldtypicallybeincludedinacommerciallyavailablesoftwarepackagedesignedforaccesscontrol?為訪問控制設(shè)計(jì)的商用軟件包通常包括哪些功能？A)Passwordencryption密碼加密B)Fileencryption文件加密C)Sourcelibrarycontrol源庫控件D)Fileauthentication文件身份驗(yàn)證答案:A解析:[單選題]70.雙因素身份驗(yàn)證的一個(gè)例子是：A)ID和PINoB)PIN和ATM卡。C)指紋。D)密碼和ID答案:B解析:[單選題]71.Mike想使用在此交換過程中獲得的信息向Renee發(fā)送私人消息。他應(yīng)該使用什么密鑰來加密消息?A)Renee的公鑰B)Renee的私鑰C)CA的公鑰D)CA的私鑰答案:A解析:Mike應(yīng)該使用他從Renee數(shù)字證書中提取的公鑰來加密他想要發(fā)送給Renee的消息。MikeusesthepublickeythatheextractedfromRenee'sdigitalcertificatetoencryptthemessagethathewouldliketosendtoRenee.[單選題]72.Anapplicationdeveloperreceivesareportbackfromthesecurityteamshowingtheirautomatedtoolswereabletosuccessfullyenterunexpecteddataintotheorganization'scustomerserviceportal,causingthesitetocrash.Thisisanexampleofwhichtypeoftesting?應(yīng)用程序開發(fā)人員收到安全團(tuán)隊(duì)返回的報(bào)告，顯示他們的自動(dòng)化工具能夠成功地將意外數(shù)據(jù)輸入組織的客戶服務(wù)門戶，從而導(dǎo)致網(wǎng)站崩潰。這是哪種類型測試的示例？A)Non-functional不起作用的B)Positive自信的C)Performance表演D)Negative消極答案:D解析:[單選題]73.以下哪項(xiàng)技術(shù)旨在防止硬盤驅(qū)動(dòng)器成為系統(tǒng)中的單點(diǎn)故障?A)負(fù)載平衡B)雙電源C)IPSD)RAID答案:D解析:廉價(jià)磁盤冗余陣列(RAID)被設(shè)計(jì)成允許系統(tǒng)在硬盤驅(qū)動(dòng)器出現(xiàn)故障的情況下繼續(xù)操作而且不會主夫數(shù)據(jù),負(fù)載平衡是在多個(gè)服務(wù)器之間傳播工作。入侵防御系統(tǒng)IPSI監(jiān)控系統(tǒng)和網(wǎng)絡(luò)的潛在攻擊。雙電源用于防止電源成為單點(diǎn)故障。RedundantAraysofInexpensiveDisks:(RAIDTisdesignedtorallowwassystemta-comtinue-operatingwithoutdatalossinthereuentofraharddrivefatlureLoadbalancingeis-designed-tarsprend-workacrossmultioteserversmintrusionroreventtón-systems=(1P55)monftoersystemssandtoernetvorkssforrpotenttat[單選題]74.誰最終負(fù)責(zé)確保對信息資產(chǎn)進(jìn)行分類并采取適當(dāng)措施保護(hù)它們?A)一個(gè)。數(shù)據(jù)托管人B)執(zhí)行管理層C)首席信息安全官D)數(shù)據(jù)/信息/企業(yè)主答案:B解析:[單選題]75.WhatrequirementMUSTbemetduringinternalsecurityauditstoensurethatallinformationprovidedisexpressedasanobjectiveassessmentwithoutriskofretaliation?在內(nèi)部安全審計(jì)期間，必須滿足哪些要求，以確保提供的所有信息都以客觀評估的形式表達(dá)，而不存在報(bào)復(fù)風(fēng)險(xiǎn)？A)Theauditormustbeindependentandreportdirectlytothemanagement.審計(jì)員必須是獨(dú)立的，并直接向管理層報(bào)告。B)Theauditormustutilizeautomatedtoolstobacktheirfindings.審核員必須利用自動(dòng)化工具來支持他們的調(diào)查結(jié)果。C)TheauditormustworkcloselywithboththeinformationTechnology（IT）andsecuritysectionsofanorganization.審計(jì)員必須與組織的信息技術(shù)（IT）和安全部門密切合作。D)Theauditormustperformmanualreviewsofsystemsandprocesses.審核員必須對系統(tǒng)和過程進(jìn)行手動(dòng)審查。答案:A解析:[單選題]76.為什么在低風(fēng)險(xiǎn)環(huán)境中使用包過濾路由器?A)它們是高分辨率的源鑒別和識別工具B)它們快速而靈活,可以防止互聯(lián)網(wǎng)協(xié)議(IP)欺騙C)它們快速、靈活且透明D)他們強(qiáng)制執(zhí)行強(qiáng)用戶身份驗(yàn)證和審計(jì)日志生成答案:C解析:[單選題]77.一家制造組織希望與其20家不同的供應(yīng)商公司建立聯(lián)合身份管理(FIM)系統(tǒng)。以下哪一個(gè)是制造組織的最佳解決方案?A)受信任的第三方認(rèn)證B)輕量級目錄訪問協(xié)議(LDAP)C)安全斷言標(biāo)記語言(SAML)D)交叉認(rèn)證答案:C解析:[單選題]78.Whichevidencecollectingtechniquewouldbeutilizedwhenitisbelievedanattackerisemployingarootkitandaquickanalysisisneeded?當(dāng)認(rèn)為攻擊者正在使用rootkit并且需要快速分析時(shí)，將使用哪種證據(jù)收集技術(shù)？A)Memorycollection內(nèi)存集合B)Forensicdiskimaging法醫(yī)磁盤成像C)Malwareanalysis惡意軟件分析D)Liveresponse開機(jī)取證答案:A解析:[單選題]79.(04092)Whichofthefollowingviolatesidentityandaccessmanagementbestpractices?下面哪個(gè)違反了身份與訪問管理的最佳實(shí)踐？A)Useraccounts用戶賬戶B)Useraccounts用戶賬戶C)Useraccounts用戶賬戶D)Useraccounts用戶賬戶答案:C解析:[單選題]80.以下哪一個(gè)機(jī)制最有效,在迅速從大型安全設(shè)施撤離期間,對所有工作人員負(fù)責(zé)?A)使用面部識別技術(shù)識別離開的個(gè)人群體的大咒語B)每個(gè)員工在每個(gè)出口門掃描傳感器所佩戴的Radio頻率識別(RFID)傳感器C)緊急出口,每個(gè)出口都有帶坐標(biāo)的推桿,可根據(jù)預(yù)先定義的列表檢查個(gè)人D)卡激活的旋轉(zhuǎn)門,個(gè)人在退出時(shí)經(jīng)過驗(yàn)證答案:B解析:[單選題]81.下列哪種病毒類型隨著病毒的傳播改變了它本身的一些特性？A)啟動(dòng)磁區(qū)B)寄生的C)隱蔽的D)多態(tài)的答案:D解析:[單選題]82.根據(jù)最佳實(shí)踐,以下哪些組在執(zhí)行信息安全合規(guī)性審計(jì)方面最有效?A)內(nèi)部安全管理員B)內(nèi)部網(wǎng)絡(luò)團(tuán)隊(duì)C)災(zāi)難恢復(fù)(DR)團(tuán)隊(duì)D)外部顧問答案:D解析:[單選題]83.審計(jì)人員發(fā)現(xiàn)關(guān)鍵系統(tǒng)的一項(xiàng)安全控制中存在漏洞,最有可