2022年ISC2 CISSP 中文考試參考題庫(kù)（含答案）

PAGEPAGE1222022年ISC2CISSP中文考試參考題庫(kù)（含答案）一、單選題1.為服裝零售商員工提供用戶帳戶,這些帳戶提供對(duì)合作伙伴企業(yè)資源的訪問權(quán)限。所有合作伙伴企業(yè)都使用通用身份和訪問管理(IAM)協(xié)議和不同的技術(shù)。在擴(kuò)展身份原則下,合作伙伴企業(yè)之間允許此IAM操作的流程是什么?A、服裝零售商充當(dāng)用戶自助服務(wù),使用行業(yè)標(biāo)準(zhǔn)確認(rèn)用戶身份,然后將憑據(jù)發(fā)送給充當(dāng)服務(wù)提供商并允許訪問服務(wù)的合作伙伴企業(yè)。B、服裝零售商充當(dāng)身份提供者(IdP),使用行業(yè)標(biāo)準(zhǔn)確認(rèn)用戶身份,然后將憑據(jù)發(fā)送給充當(dāng)服務(wù)提供者并允許訪問服務(wù)的合作伙伴企業(yè)。C、服裝零售商充當(dāng)服務(wù)提供商,使用行業(yè)標(biāo)準(zhǔn)確認(rèn)用戶身份,然后將憑據(jù)發(fā)送給充當(dāng)身份提供商(IdP)并允許訪問資源的合作伙伴企業(yè)。D、服裝零售商充當(dāng)訪問控制提供商,使用行業(yè)標(biāo)準(zhǔn)確認(rèn)用戶的訪問權(quán)限,然后將憑據(jù)發(fā)送給充當(dāng)服務(wù)提供商并允許訪問資源的合作伙伴企業(yè)。答案：B2.在設(shè)計(jì)新的互聯(lián)網(wǎng)協(xié)議語(yǔ)音(VoIP)網(wǎng)絡(luò)時(shí),組織最關(guān)心的是防止未經(jīng)授權(quán)的用戶訪問VoIP

網(wǎng)絡(luò)。

以下哪項(xiàng)最有助于保護(hù)VoIP網(wǎng)絡(luò)?A、802.11g。B、Web應(yīng)用防火墻(WAF)。C、傳輸層安全性(TLS)。D、802.1x。答案：D3.首席信息安全官(CISO)將建立一個(gè)單一的、集中的、相關(guān)的存儲(chǔ)庫(kù),以保存有關(guān)軟件和硬件資產(chǎn)的所有信息。以下哪個(gè)s離子是最佳選擇?A、信息安全管理系統(tǒng)(ISMS)。B、配置管理數(shù)據(jù)庫(kù)(CMDB)。C、安全信息和事件管理(SIEM)。D、信息技術(shù)資產(chǎn)管理(ITAM)。答案：B4.一家按照敏捷原則工作的金融機(jī)構(gòu)為其外部客戶群開發(fā)了一個(gè)新的應(yīng)用程序,用于申請(qǐng)信貸額度。已要求安全分析師評(píng)估最小可行產(chǎn)品(MVP)的安全風(fēng)險(xiǎn)。分析師應(yīng)該評(píng)估的最重要的活動(dòng)是什么?A、軟件已由產(chǎn)品所有者簽署發(fā)布。B、該軟件已根據(jù)公司標(biāo)準(zhǔn)進(jìn)行了品牌化。C、該軟件具有正確的功能。D、軟件已經(jīng)過代碼審查。答案：D5.在過去的15年中,一家公司經(jīng)歷了三起電氣故障。下面列出了與每個(gè)故障相關(guān)的成本。以下哪項(xiàng)是合理的年度損失預(yù)期?A、3,500B、140,000C、14,000D、350,000答案：C6.以下哪項(xiàng)是根據(jù)預(yù)先確定的指標(biāo)收集信息,利用部分通過實(shí)施的安全控制容易獲得的信息而建立的?A、安全評(píng)估報(bào)告(SAR)。B、組織風(fēng)險(xiǎn)承受能力。C、風(fēng)險(xiǎn)評(píng)估報(bào)告。D、信息安全持續(xù)監(jiān)控(ISCM)。答案：D7.以下哪一項(xiàng)是針對(duì)中間人(MITM)互聯(lián)網(wǎng)協(xié)議語(yǔ)音(VoIP)攻擊的最佳緩解做法?A、使用安全外殼(SSH)協(xié)議。B、使用文件傳輸協(xié)議(FTP)。C、使用傳輸層安全(TLS)協(xié)議。D、使用媒體網(wǎng)關(guān)控制協(xié)議(MGCP)。答案：C8.以下哪種類型的防火墻僅在轉(zhuǎn)發(fā)流量之前檢查數(shù)據(jù)包之間的“握手”?A、代理防火墻。B、電路級(jí)防火墻。C、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)防火墻。D、基于主機(jī)的防火墻。答案：C9.在解決道德沖突時(shí),信息安全專業(yè)人員必須考慮許多因素。應(yīng)按什么順序優(yōu)先考慮考慮因素?A、公共安全、對(duì)個(gè)人的責(zé)任、對(duì)專業(yè)的責(zé)任和對(duì)校長(zhǎng)的責(zé)任。B、公共安全、對(duì)校長(zhǎng)的職責(zé)、對(duì)專業(yè)的職責(zé)和對(duì)個(gè)人的職責(zé)。C、公共安全、對(duì)校長(zhǎng)的職責(zé)、對(duì)個(gè)人的職責(zé)和對(duì)專業(yè)的職責(zé)。D、公共安全、對(duì)專業(yè)的職責(zé)、對(duì)校長(zhǎng)的職責(zé)和對(duì)個(gè)人的職責(zé)。答案：C10..一個(gè)組織正在設(shè)置一個(gè)安全評(píng)估范圍,目標(biāo)是開發(fā)一個(gè)安全管理程序(SMP)。下一步是選擇進(jìn)行風(fēng)險(xiǎn)評(píng)估的方法。以下哪種方法對(duì)SMP最有效?A、以控制管理為重點(diǎn)的安全控制驅(qū)動(dòng)評(píng)估。B、基于業(yè)務(wù)流程的風(fēng)險(xiǎn)評(píng)估,重點(diǎn)關(guān)注業(yè)務(wù)目標(biāo)。C、以資產(chǎn)為重點(diǎn)的資產(chǎn)驅(qū)動(dòng)風(fēng)險(xiǎn)評(píng)估。D、以數(shù)據(jù)為重點(diǎn)的數(shù)據(jù)驅(qū)動(dòng)風(fēng)險(xiǎn)評(píng)估。答案：C11.

以下哪項(xiàng)是數(shù)字調(diào)查最重要的規(guī)則?A、確保原始數(shù)據(jù)永遠(yuǎn)不會(huì)被修改。B、確保系統(tǒng)已通電。C、確保事件日志輪換。D、確保個(gè)人隱私受到保護(hù)。答案：A12.哪個(gè)變更管理角色負(fù)責(zé)項(xiàng)目的整體成功并支持整個(gè)組織的變更?A、更換驅(qū)動(dòng)程序。B、項(xiàng)目經(jīng)理。C、計(jì)劃贊助商。D、改變實(shí)施者。答案：B13.安全專業(yè)人員可以通過部署應(yīng)用程序并采用以下哪些控制措施來最好地降低使用商業(yè)現(xiàn)貨(COTS)解決方案的風(fēng)險(xiǎn)?A、網(wǎng)絡(luò)分段。B、黑名單申請(qǐng)。C、白名單申請(qǐng)。D、強(qiáng)化配置。答案：D14.以下哪項(xiàng)符合《通用數(shù)據(jù)保護(hù)條例》(GDPR)“被遺忘權(quán)”的例外情況?A、為建立、行使或辯護(hù)法律要求。B、個(gè)人資料經(jīng)過合法處理和收集。C、出于私人利益的原因。D、個(gè)人數(shù)據(jù)對(duì)于其收集目的仍然是必要的。答案：A15.最初的安全分類應(yīng)在系統(tǒng)生命周期的早期完成,并應(yīng)定期審查。為什么正確完成這項(xiàng)工作很重要?A、它確定了功能和操作要求。B、它決定了安全要求。C、它影響認(rèn)證和認(rèn)可過程中的其他步驟。D、系統(tǒng)工程過程與選定的安全控制一起工作。答案：C16.

為什么要構(gòu)建一個(gè)系統(tǒng)來將不同類別的信息相互隔離,并按用戶權(quán)限將它們隔離?A、組織需要為各種第三方組織提供不同的服務(wù)。B、組織可以在發(fā)生訴訟時(shí)避免電子發(fā)現(xiàn)流程。C、組織的基礎(chǔ)設(shè)施布局清晰,職責(zé)范圍簡(jiǎn)化。D、組織可以改變其系統(tǒng)政策以遵守相互沖突的國(guó)家法律。答案：D17.惡意用戶可以訪問Web服務(wù)器上未受保護(hù)的目錄。以下哪項(xiàng)最有可能是此次信息泄露的原因?A、認(rèn)證管理失效。B、安全配置錯(cuò)誤。C、跨站請(qǐng)求偽造(CSRF)。D、結(jié)構(gòu)化查詢語(yǔ)言注入(SQLi)。答案：B18.在允許人員從公司設(shè)備或用戶帳戶訪問社交媒體之前,組織要采取的第一步是什么?A、發(fā)布可接受的使用政策。B、發(fā)布社交媒體指南文件。C、提供安全意識(shí)培訓(xùn)。D、記錄訪問社交媒體網(wǎng)站的程序。答案：A19.以下哪項(xiàng)是為審計(jì)記錄生成選擇適當(dāng)詳細(xì)級(jí)別的主要原因?A、避免冗長(zhǎng)的審計(jì)報(bào)告。B、啟用糾正措施報(bào)告的生成。C、促進(jìn)根本原因分析(RCA)。D、降低整個(gè)系統(tǒng)開發(fā)生命周期(SDLC)的成本。答案：C20.軟件安全測(cè)試的總體目標(biāo)是什么?A、識(shí)別軟件的關(guān)鍵安全特性。B、確保所有軟件功能按規(guī)定執(zhí)行。C、減少軟件系統(tǒng)中的漏洞。D、使軟件開發(fā)更加敏捷。答案：B21.從中斷中恢復(fù)時(shí),就數(shù)據(jù)恢復(fù)而言,恢復(fù)點(diǎn)目標(biāo)(RPO)是什么?A、RPO是需要恢復(fù)的最小數(shù)據(jù)量。B、RPO是恢復(fù)可接受的丟失數(shù)據(jù)百分比所需的時(shí)間量。C、RPO的目標(biāo)是恢復(fù)目標(biāo)百分比的丟失數(shù)據(jù)。D、RPO是可接受的數(shù)據(jù)丟失的最長(zhǎng)時(shí)間。答案：D22.歐盟(EU)通用數(shù)據(jù)保護(hù)條例(GDPR)要求組織實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施,以確保適合風(fēng)險(xiǎn)的安全級(jí)別。因此,數(shù)據(jù)所有者應(yīng)考慮以下哪些要求?A、切勿將歐盟公民的個(gè)人數(shù)據(jù)存儲(chǔ)在歐盟之外。B、個(gè)人數(shù)據(jù)的數(shù)據(jù)屏蔽和加密。C、僅使用歐盟批準(zhǔn)的加密協(xié)議。D、將個(gè)人數(shù)據(jù)傳輸?shù)綒W盟以外的來源時(shí)的匿名化。答案：B23.醫(yī)院執(zhí)行公平信息實(shí)踐守則。什么樣的做法適用于從門戶網(wǎng)站請(qǐng)求醫(yī)療記錄的患者?A、目的規(guī)范。B、收集限制。C、使用限制。D、個(gè)人參與。答案：A24.測(cè)試災(zāi)難恢復(fù)計(jì)劃(DRP)的最低標(biāo)準(zhǔn)是什么?A、每季度或更頻繁,具體取決于信息安全經(jīng)理的建議。B、根據(jù)環(huán)境的穩(wěn)定性和業(yè)務(wù)要求,盡可能頻繁。C、根據(jù)審計(jì)部門的要求,每年或不那么頻繁。D、每半年一次,并與半年財(cái)政周期相一致。答案：C25.為電子發(fā)現(xiàn)調(diào)查復(fù)制硬盤驅(qū)動(dòng)器內(nèi)容時(shí),位級(jí)副本比文件級(jí)副本更可取的主要原因是什么?A、文件損壞的可能性較小。B、已刪除的文件將被轉(zhuǎn)移。C、保留文件和目錄結(jié)構(gòu)。D、文件級(jí)安全設(shè)置將被保留。答案：B26.在哪里可以找到相關(guān)漏洞的開放Web應(yīng)用程序安全項(xiàng)目(OWASP)列表?A、OWASP移動(dòng)項(xiàng)目。B、OWASP軟件保障成熟度模型(SAMM)項(xiàng)目。C、OWASP指南項(xiàng)目。D、OWASPTop10項(xiàng)目。答案：D27.以下哪一項(xiàng)是在線證書狀態(tài)協(xié)議(OCSP)的最常見用途?A、驗(yàn)證X.509數(shù)字證書的有效性。B、獲取X.509數(shù)字證書的到期日期。C、獲取X.509數(shù)字證書的撤銷狀態(tài)。D、獲取X.509數(shù)字證書的作者姓名。答案：C28.管理層已決定在個(gè)人蜂窩電話上使用核心應(yīng)用程序。作為實(shí)施要求,需要定期進(jìn)行安全態(tài)勢(shì)分析。管理層還指示實(shí)施持續(xù)監(jiān)測(cè)。完成管理層的指示需要以下哪項(xiàng)?A、用戶的移動(dòng)電話提供商生成的例行報(bào)告,詳細(xì)說明安全事件。B、應(yīng)用管理、配置管理(CM)和電話管理的嚴(yán)格集成。C、安裝在用戶手機(jī)上的管理應(yīng)用程序,用于跟蹤所有應(yīng)用程序事件和蜂窩流量。D、企業(yè)級(jí)安全信息和事件管理(SIEM)儀表板,提供手機(jī)活動(dòng)的完整可見性。答案：C29.在確定犯罪現(xiàn)場(chǎng)數(shù)字證據(jù)收集的優(yōu)先級(jí)時(shí),法醫(yī)檢查員應(yīng)首先執(zhí)行以下哪些活動(dòng)?A、收集物證。B、為現(xiàn)場(chǎng)人員分配責(zé)任。C、建立要檢查的文件列表。D、建立波動(dòng)的順序。答案：B30.應(yīng)用程序用于組織和第三方之間的資金轉(zhuǎn)移。在安全審計(jì)期間,審計(jì)員發(fā)現(xiàn)此應(yīng)用程序的業(yè)務(wù)連續(xù)性災(zāi)難恢復(fù)策略和程序存在問題。審核員應(yīng)向組織提交以下哪些報(bào)告?A、關(guān)于審計(jì)標(biāo)準(zhǔn)(SAS)70-1的聲明。B、審計(jì)標(biāo)準(zhǔn)聲明(SAS)70。C、服務(wù)組織控制(SOC)1D、服務(wù)組織控制(SOC)2.答案：D31.以下哪種實(shí)現(xiàn)將在網(wǎng)站中實(shí)現(xiàn)高可用性?A、在強(qiáng)化數(shù)據(jù)中心中使用冗余磁盤驅(qū)動(dòng)器對(duì)Web服務(wù)器進(jìn)行磁盤鏡像。B、Web服務(wù)器硬盤驅(qū)動(dòng)器和大量帶寬的磁盤條帶化。C、為故障轉(zhuǎn)移配置的多個(gè)地理位置分散的Web服務(wù)器。D、多個(gè)域名系統(tǒng)(DNS)條目解析到同一個(gè)Web服務(wù)器和大量帶寬。答案：C32..以下哪個(gè)是風(fēng)險(xiǎn)矩陣?A、確定活動(dòng)或系統(tǒng)風(fēng)險(xiǎn)管理決策的工具。B、與特定信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)。C、組織、產(chǎn)品、項(xiàng)目或其他相關(guān)項(xiàng)目的二維風(fēng)險(xiǎn)圖。D、供管理層考慮的風(fēng)險(xiǎn)管理因素表。答案：A33.使用自動(dòng)分析可以最好地檢測(cè)以下哪些漏洞?A、多步進(jìn)程攻擊漏洞。B、業(yè)務(wù)邏輯缺陷漏洞。C、有效的跨站請(qǐng)求偽造(CSRF)漏洞。D、典型的源代碼漏洞。答案：D34.利用社會(huì)工程和惡意統(tǒng)一資源定位器(URL)鏈接來利用受害者與Web應(yīng)用程序的現(xiàn)有瀏覽器會(huì)話的攻擊是以下哪種類型的攻擊的示例?A、點(diǎn)擊劫持。B、跨站請(qǐng)求偽造(CSRF)。C、跨站腳本(XSS)。D、注射。答案：B35.在評(píng)估應(yīng)用程序的審計(jì)能力時(shí),以下哪些活動(dòng)最重要?A、確定調(diào)查可疑活動(dòng)的程序。B、確定審計(jì)記錄是否包含足夠的信息。C、驗(yàn)證是否為審計(jì)記錄分配了足夠的存儲(chǔ)空間。D、審查安全計(jì)劃,以便在審核失敗時(shí)采取措施。答案：B36.一家金融服務(wù)組織聘請(qǐng)了一名安全顧問來審查各個(gè)團(tuán)隊(duì)的員工使用的流程。顧問采訪了一名應(yīng)用程序開發(fā)實(shí)踐的成員,發(fā)現(xiàn)他們的威脅模型存在差距。以下哪項(xiàng)正確代表了何時(shí)應(yīng)該修改威脅模型?A、應(yīng)用操作系統(tǒng)(OS)補(bǔ)丁后。B、新的開發(fā)人員被聘請(qǐng)到團(tuán)隊(duì)中。C、修改防火墻規(guī)則策略后。D、添加了一個(gè)新的數(shù)據(jù)存儲(chǔ)庫(kù)。答案：D37.首席信息官(CIO)已決定,作為業(yè)務(wù)現(xiàn)代化工作的一部分,該組織將轉(zhuǎn)向云架構(gòu)。所有關(guān)鍵業(yè)務(wù)數(shù)據(jù)將在未來兩年內(nèi)遷移到內(nèi)部或外部云服務(wù)。CIO主要有義務(wù)與擔(dān)任哪個(gè)角色的人員合作,以確保在云遷移期間和之后對(duì)數(shù)據(jù)進(jìn)行適當(dāng)保護(hù)?A、首席安全官(CSO)。B、信息所有者r.C、首席信息安全官(CISO)。D、總法律顧問。答案：C38.

組織戰(zhàn)略風(fēng)險(xiǎn)評(píng)估的哪一部分最有可能包括影響組織成功的項(xiàng)目的信息?A、威脅分析。B、漏洞分析。C、關(guān)鍵績(jī)效指標(biāo)(KPI)。D、關(guān)鍵風(fēng)險(xiǎn)評(píng)估員(KRI)。答案：D39.兩臺(tái)計(jì)算機(jī),每臺(tái)計(jì)算機(jī)在同一個(gè)物理10Gb以太網(wǎng)網(wǎng)段上都有一個(gè)連接,需要相互通信。第一臺(tái)機(jī)器有一個(gè)單一的互聯(lián)網(wǎng)協(xié)議(IP)無類別域間路由(CIDR)地址/30,第二臺(tái)機(jī)器有一個(gè)IP/CIDR地址/30。以下哪項(xiàng)是正確的?A、由于每臺(tái)計(jì)算機(jī)位于不同的第3層網(wǎng)絡(luò)上,因此計(jì)算機(jī)之間的流量必須由網(wǎng)橋處理才能進(jìn)行通信。B、由于每臺(tái)計(jì)算機(jī)都在同一個(gè)第3層網(wǎng)絡(luò)上,因此計(jì)算機(jī)之間的流量可能由網(wǎng)絡(luò)路由器處理以進(jìn)行通信。C、由于每臺(tái)計(jì)算機(jī)都在同一個(gè)第3層網(wǎng)絡(luò)上,因此計(jì)算機(jī)之間的流量可以通過網(wǎng)橋處理以進(jìn)行通信。D、由于每臺(tái)計(jì)算機(jī)位于不同的第3層網(wǎng)絡(luò)上,因此計(jì)算機(jī)之間的流量必須由網(wǎng)絡(luò)路由器處理才能進(jìn)行通信。答案：D40.當(dāng)攻擊者能夠向意識(shí)到它的經(jīng)過身份驗(yàn)證的用戶發(fā)送精心設(shè)計(jì)的惡意請(qǐng)求時(shí),會(huì)發(fā)生以下哪種類型的基于Web的攻擊?A、進(jìn)程注入。B、跨站請(qǐng)求偽造(CSRF)。C、跨站腳本(XSS)。D、損壞的身份驗(yàn)證和會(huì)話管理。答案：B41.

在移除、修理或更換任何物品之前,應(yīng)在災(zāi)難現(xiàn)場(chǎng)完成以下哪一項(xiàng)?A、按照溝通計(jì)劃與媒體溝通。B、派遣人員到災(zāi)難恢復(fù)(DR)站點(diǎn)。C、拍下?lián)p壞的照片。D、通知全體董事會(huì)。答案：D42.安全架構(gòu)的正確執(zhí)行順序是什么?A、治理、戰(zhàn)略和計(jì)劃管理、運(yùn)營(yíng)、項(xiàng)目交付。B、治理、戰(zhàn)略和計(jì)劃管理、項(xiàng)目交付、運(yùn)營(yíng)。C、戰(zhàn)略和計(jì)劃管理、項(xiàng)目交付、治理、運(yùn)營(yíng)。D、戰(zhàn)略和計(jì)劃管理、治理、項(xiàng)目交付、運(yùn)營(yíng)。答案：C43.當(dāng)一個(gè)城市的電話通過單個(gè)交換機(jī)連接時(shí),呼叫者只能與總機(jī)接線員連接。話務(wù)員然后手動(dòng)連接呼叫。這是哪種類型的網(wǎng)絡(luò)拓?fù)涞氖纠?A、點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)。B、總線型。C、星型。D、樹型。答案：C44.以下哪個(gè)框架提供了漏洞度量和特征來支持國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)?A、常見漏洞和暴露(CVE)。B、互聯(lián)網(wǎng)安全中心(CIS)。C、通用漏洞評(píng)分系統(tǒng)(CVSS)。D、打開Web應(yīng)用程序安全項(xiàng)目(OWASP)。答案：A45.云服務(wù)提供商要求其客戶組織為其數(shù)據(jù)存儲(chǔ)服務(wù)啟用最大審計(jì)日志記錄,并將日志保留三個(gè)月。審計(jì)日志記錄基因具有極高的日志量。日志保留最合適的策略是什么?A、將所有日志保存在在線存儲(chǔ)中。B、將上周的日志保存在在線存儲(chǔ)中,其余的保存在離線存儲(chǔ)中。C、將上周的日志保存在在線存儲(chǔ)中,其余的保存在近線存儲(chǔ)中。D、將所有日志保存在離線存儲(chǔ)中。答案：B46.一位安全專家的任務(wù)是重建公司的無線基礎(chǔ)設(shè)施。在決定部署哪個(gè)無線頻譜時(shí),以下哪些是最重要的考慮因素?A、設(shè)施規(guī)模、互調(diào)和直接衛(wèi)星服務(wù)。B、性能、地理位置和無線電信號(hào)干擾。C、現(xiàn)有客戶端設(shè)備、制造商聲譽(yù)和電氣干擾。D、混合頻段、服務(wù)集標(biāo)識(shí)符(SSID)和插值。答案：B47.一家國(guó)際組織決定使用軟件即服務(wù)(SaaS)解決方案來支持其業(yè)務(wù)運(yùn)營(yíng)。組織應(yīng)使用以下哪些合規(guī)標(biāo)準(zhǔn)來評(píng)估解決方案的國(guó)際代碼安全性和數(shù)據(jù)隱私?A、服務(wù)組織控制(SOC)2B、信息保障技術(shù)框架(IATF)。C、健康保險(xiǎn)流通與責(zé)任法案(HIPAA)。D、支付卡行業(yè)(PCI)。答案：A48.增強(qiáng)與關(guān)鍵系統(tǒng)接口的單點(diǎn)登錄(SSO)解決方案的安全性的最有效方法是什么?A、雙重身份驗(yàn)證。B、應(yīng)用程序級(jí)身份驗(yàn)證的可重用令牌。C、高性能加密算法。D、用于所有通信的安全套接字層(SSL)。答案：A49.一個(gè)組織的內(nèi)部審計(jì)最近發(fā)現(xiàn)了一個(gè)用戶帳戶的惡意行為。經(jīng)過進(jìn)一步調(diào)查,確定違規(guī)用戶帳戶被多個(gè)地點(diǎn)的多人同時(shí)用于各種服務(wù)和應(yīng)用程序。將來防止此問題的最佳方法是什么?A、確保每個(gè)用戶都有自己唯一的帳戶。B、允許多個(gè)用戶共享一個(gè)通用帳戶。C、確保將安全信息和事件管理(SIEM)設(shè)置為警報(bào)。D、通知用戶一次只能有一個(gè)用戶使用該帳戶。答案：A50.在處理網(wǎng)絡(luò)犯罪時(shí),刑法難以執(zhí)行的主要原因是什么?A、管轄權(quán)很難界定。B、執(zhí)法機(jī)構(gòu)人手不足。C、引渡條約很少得到執(zhí)行。D、存在許多語(yǔ)言障礙。答案：A51.在測(cè)試環(huán)境中匿名個(gè)人身份信息(PII)的最佳方法是什么?A、交換數(shù)據(jù)。B、隨機(jī)化數(shù)據(jù)。C、編碼數(shù)據(jù)。D、加密數(shù)據(jù)。答案：B52.哪個(gè)開放系統(tǒng)互連(OSI)層最好對(duì)應(yīng)于傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)模型中的網(wǎng)絡(luò)訪問層?A、數(shù)據(jù)鏈路和物理層。B、會(huì)話層和網(wǎng)絡(luò)層。C、傳輸層。D、應(yīng)用層、表示層和會(huì)話層。答案：A53.以下哪些文件從客戶的角度指定了服務(wù)?A、業(yè)務(wù)影響分析(BIA)。B、服務(wù)水平協(xié)議(SLA)。C、服務(wù)水平要求(SLR)。D、服務(wù)水平報(bào)告。答案：B54.一個(gè)組織已經(jīng)確定其以前的軟件開發(fā)瀑布方法無法滿足業(yè)務(wù)需求。為了適應(yīng)產(chǎn)品交付所需的快速變化,該組織已決定轉(zhuǎn)向敏捷軟件開發(fā)和發(fā)布周期。為了確保敏捷方法論的成功,在為每個(gè)版本創(chuàng)建驗(yàn)收標(biāo)準(zhǔn)時(shí),誰(shuí)是最關(guān)鍵的?A、商業(yè)客戶。B、軟件開發(fā)人員。C、獨(dú)立測(cè)試人員。D、項(xiàng)目經(jīng)理。答案：A55.在美國(guó)(US)和英國(guó)(UK)設(shè)有分部的組織處理由居住在歐盟(EU)和美國(guó)的主體的個(gè)人信息組成的數(shù)據(jù)。哪些數(shù)據(jù)必須根據(jù)通用數(shù)據(jù)保護(hù)條例

(GDPR)的隱私保護(hù)來處理?A、只有英國(guó)公民的數(shù)據(jù)。B、只有歐盟居民的數(shù)據(jù)。C、僅在英國(guó)處理的數(shù)據(jù)。D、只有歐盟公民的數(shù)據(jù)。答案：B56.國(guó)際機(jī)構(gòu)制定了一項(xiàng)監(jiān)管計(jì)劃,定義了簽署方之間如何交換武器。它還涉及網(wǎng)絡(luò)武器,包括惡意軟件、命令和控制(C2)軟件和互聯(lián)網(wǎng)監(jiān)控軟件。這是對(duì)以下哪項(xiàng)的描述?A、國(guó)際武器貿(mào)易條例(ITAR)。B、巴勒莫公約。C、Wassenaar安排。D、通用數(shù)據(jù)保護(hù)條例(GDPR)。答案：C57.在為風(fēng)險(xiǎn)管理、法律發(fā)現(xiàn)和合規(guī)對(duì)信息和支持資產(chǎn)進(jìn)行分類時(shí),必須考慮哪些因素?A、系統(tǒng)所有者角色和職責(zé)、數(shù)據(jù)處理標(biāo)準(zhǔn)、存儲(chǔ)和安全開發(fā)生命周期要求。B、合規(guī)辦公室角色和職責(zé)、分類材料處理標(biāo)準(zhǔn)、存儲(chǔ)系統(tǒng)生命周期要求。C、數(shù)據(jù)管理角色、數(shù)據(jù)處理和存儲(chǔ)標(biāo)準(zhǔn)、數(shù)據(jù)生命周期要求。D、系統(tǒng)授權(quán)角色和職責(zé)、云計(jì)算標(biāo)準(zhǔn)、生命周期要求。答案：A58.最近離開該組織的一位同事向安全專業(yè)人員索要該組織的機(jī)密事件管理政策的副本。以下哪項(xiàng)是對(duì)該請(qǐng)求的最佳回應(yīng)?A、在公司發(fā)行的設(shè)備上訪問策略并讓前同事查看屏幕。B、將政策通過電子郵件發(fā)送給同事,因?yàn)樗麄円呀?jīng)是組織的一部分并且熟悉它。C、不承認(rèn)收到前同事的請(qǐng)求,不予理會(huì)。D、使用公司官方渠道提交請(qǐng)求,以確保政策可以分發(fā)。答案：D59.

安全工程師需要將安全集成到由小組實(shí)施的軟件項(xiàng)目中,這些小組可以快速、持續(xù)、獨(dú)立地開發(fā)、測(cè)試并將代碼部署到云中。工程師最有可能與哪個(gè)軟件開發(fā)過程集成?A、Devops集成產(chǎn)品團(tuán)隊(duì)(IPT)。B、結(jié)構(gòu)化瀑布程序開發(fā)。C、面向服務(wù)的架構(gòu)(SOA)。D、螺旋方法。答案：D60.為了監(jiān)控設(shè)施周邊內(nèi)埋地?cái)?shù)據(jù)線的安全性,以下哪項(xiàng)是最有效的控制措施?A、在所有入口點(diǎn)設(shè)置閉路電視(CCTV)攝像機(jī),在設(shè)施周圍設(shè)置圍欄。B、安裝地面?zhèn)鞲衅鞑⑾虬踩录芾?SEM)系統(tǒng)報(bào)告。C、定期掃描周邊,包括人工檢查電纜入口點(diǎn)。D、設(shè)施入口點(diǎn)周圍的鋼制外殼。答案：C61..在選擇基于不同射頻識(shí)別(RFID)漏洞類型的安全測(cè)試方法時(shí),以下哪項(xiàng)是最重要的考慮因素?A、對(duì)攻擊面的理解。B、測(cè)試工具對(duì)多種技術(shù)的適應(yīng)性。C、結(jié)果的質(zhì)量和工具的可用性。D、工具的性能和資源利用。答案：A62.滿足認(rèn)證業(yè)務(wù)標(biāo)準(zhǔn)聲明18(SSAE-18)保密類別的最佳控制措施是什么?A、文件散列。B、存儲(chǔ)加密。C、數(shù)據(jù)保留政策。D、數(shù)據(jù)處理。答案：B63.安全架構(gòu)師正在為客戶開發(fā)信息系統(tǒng)。其中一項(xiàng)要求是提供一個(gè)能夠緩解常見漏洞和攻擊的平臺(tái)。用于防止緩沖區(qū)溢出攻擊的最有效選項(xiàng)是什么?A、訪問控制機(jī)制。B、過程隔離。C、地址空間布局隨機(jī)化(ASLR)。D、處理器狀態(tài)。答案：C64.云托管提供商希望提供與其安全計(jì)劃相關(guān)的服務(wù)組織控制(SOC)報(bào)告。本報(bào)告應(yīng)為可自由分發(fā)的簡(jiǎn)略報(bào)告。哪種類型的報(bào)告最符合此要求?A、SOC1。B、SOC2類型1。C、SOC2類型2。D、SOC3。答案：D65.組織的零售網(wǎng)站提供其唯一的收入來源,因此災(zāi)難恢復(fù)計(jì)劃(DRP)必須記錄計(jì)劃中每個(gè)步驟的估計(jì)時(shí)間。DRP中的以下哪些步驟將列出服務(wù)全面運(yùn)行所需的最長(zhǎng)持續(xù)時(shí)間?A、更新網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)表。B、使用域名注冊(cè)商更新域名系統(tǒng)(DNS)服務(wù)器地址。C、更新邊界網(wǎng)關(guān)協(xié)議(BGP)自治系統(tǒng)編號(hào)。D、更新Web服務(wù)器網(wǎng)絡(luò)適配器配置。答案：B66.面向?qū)ο缶幊虨檐浖_發(fā)提供的良好縱深防御策略應(yīng)包括以下哪項(xiàng)?A、多態(tài)性。B、繼承。C、多實(shí)例化。D、封裝。答案：C67.在考慮實(shí)施軟件定義網(wǎng)絡(luò)(SDN)時(shí),安全問題是什么?A、它具有分散的架構(gòu)。B、它增加了攻擊足跡。C、它使用開源協(xié)議。D、它是基于云的。答案：B68.以下哪項(xiàng)漏洞評(píng)估活動(dòng)最能體現(xiàn)“檢查”評(píng)估方法?A、要求信息系統(tǒng)安全官(ISSO)描述組織的補(bǔ)丁管理流程B、確保系統(tǒng)審核日志捕獲安全控制基線所需的所有相關(guān)數(shù)據(jù)字段。C、使用默認(rèn)管理員帳戶和默認(rèn)密碼登錄Web服務(wù)器。D、對(duì)選定的網(wǎng)絡(luò)主機(jī)執(zhí)行端口掃描以枚舉活動(dòng)服務(wù)。答案：B69.一家醫(yī)療保險(xiǎn)組織選擇了一家供應(yīng)商來開發(fā)軟件應(yīng)用程序。在審查合同草案后,信息安全專業(yè)人員注意到軟件安全沒有得到解決。解決該問題的最佳方法是什么?A、更新合同以要求供應(yīng)商執(zhí)行安全代碼審查。B、更新服務(wù)水平協(xié)議(SLA),為組織提供審核供應(yīng)商的權(quán)利。C、更新合同,使供應(yīng)商有義務(wù)提供安全功能。D、更新服務(wù)水平協(xié)議(SLA)以要求供應(yīng)商提供安全功能。答案：B70.一個(gè)組織使用電氣和電子工程師協(xié)會(huì)(IEEE)802.1x實(shí)施網(wǎng)絡(luò)訪問控制(NAC),并發(fā)現(xiàn)打印機(jī)不支持IEEE802.1x標(biāo)準(zhǔn)。以下哪個(gè)是最佳分辨率?A、在打印機(jī)的交換機(jī)端口上實(shí)施端口安全。B、什么都不做;IEEE802.1x與打印機(jī)無關(guān)。C、為打印機(jī)安裝一個(gè)IEEE802.1x網(wǎng)橋。D、為打印機(jī)實(shí)施虛擬局域網(wǎng)(VLAN)。答案：D71.

在通用標(biāo)準(zhǔn)中,以下哪一項(xiàng)是表達(dá)一組獨(dú)立于實(shí)現(xiàn)的安全要求的正式文檔?A、組織安全政策。B、安全目標(biāo)(ST)。C、保護(hù)配置文件(PP)。D、評(píng)估目標(biāo)(TOE)。答案：C72.在購(gòu)買新軟件的過程中,必須在哪個(gè)過程中考慮安全性?A、征求建議書(RFP)。B、實(shí)施。C、供應(yīng)商選擇。D、合同談判。答案：A73.以下哪項(xiàng)是最強(qiáng)的物理訪問控制?A、生物識(shí)別、密碼和個(gè)人識(shí)別碼(PIN)。B、每個(gè)用戶的個(gè)人密碼。C、生物識(shí)別和徽章閱讀器。D、生物識(shí)別、密碼和徽章閱讀器。答案：D74.軟件定義網(wǎng)絡(luò)(SDN)的構(gòu)建塊需要以下哪一項(xiàng)?A、SDN完全由客戶端-服務(wù)器對(duì)組成。B、隨機(jī)存取內(nèi)存(RAM)優(yōu)先于虛擬內(nèi)存使用。C、SDN主要由虛擬機(jī)(VM)組成。D、虛擬內(nèi)存優(yōu)先于隨機(jī)存取內(nèi)存(RAM)。答案：C75.以下哪項(xiàng)可確保舊的日志數(shù)據(jù)不會(huì)被覆蓋?A、日志保留。B、實(shí)施系統(tǒng)日志。C、增加日志文件大小。D、日志保存。答案：A76.在確定數(shù)據(jù)和信息資產(chǎn)處理時(shí),無論使用何種特定工具集,以下哪一項(xiàng)是大數(shù)據(jù)的常見組件之一?A、分布式存儲(chǔ)位置。B、集中處理位置。C、分布式數(shù)據(jù)收集。D、綜合數(shù)據(jù)收集。答案：C77.垃圾箱潛水是滲透測(cè)試方法的哪個(gè)階段使用的一種技術(shù)?A、攻擊。B、報(bào)告。C、規(guī)劃。D、發(fā)現(xiàn)。答案：D78.以下哪項(xiàng)最佳描述了組織應(yīng)在何時(shí)對(duì)新軟件保護(hù)進(jìn)行黑盒安全審計(jì)?A、當(dāng)組織希望檢查非功能合規(guī)性時(shí)。B、當(dāng)組織想要枚舉其基礎(chǔ)架構(gòu)中的已知安全漏洞時(shí)。C、當(dāng)組織確信最終源代碼已完成時(shí)。D、當(dāng)組織發(fā)生安全事件時(shí)。答案：C79.一家大型軟件公司的項(xiàng)目經(jīng)理獲得了一份政府合同,該合同會(huì)生成大量受控非機(jī)密信息(CUI)。該組織的信息安全經(jīng)理收到了在不同安全等級(jí)的系統(tǒng)之間傳輸與項(xiàng)目相關(guān)的CUI的請(qǐng)求。什么角色為本次轉(zhuǎn)讓提供權(quán)威指導(dǎo)?A、下午。B、信息所有者。C、數(shù)據(jù)保管人。D、使命/企業(yè)主。答案：C80.首席執(zhí)行官(CEO)希望對(duì)公司的信息安全狀況進(jìn)行內(nèi)部審計(jì)。首席執(zhí)行官希望避免審計(jì)過程中的任何偏見;因此,已指派銷售總監(jiān)進(jìn)行審核。經(jīng)過數(shù)周的重大互動(dòng)后,審計(jì)得出結(jié)論認(rèn)為,公司的政策和程序是充分、健全和完善的。然后,CEO繼續(xù)聘請(qǐng)外部滲透測(cè)試公司,以展示該組織強(qiáng)大的信息安全立場(chǎng)。該練習(xí)揭示了幾個(gè)關(guān)鍵安全控制的重大缺陷,并表明事件響應(yīng)過程仍未記錄在案。造成審計(jì)結(jié)果和外部滲透測(cè)試結(jié)果差異的最可能原因是什么?A、審計(jì)團(tuán)隊(duì)缺乏對(duì)提供給他們的數(shù)據(jù)進(jìn)行有洞察力和客觀評(píng)估的技術(shù)經(jīng)驗(yàn)和培訓(xùn)。B、滲透測(cè)試活動(dòng)和內(nèi)部審計(jì)的范圍顯著不同。C、外部滲透測(cè)試公司使用了無法預(yù)測(cè)的自定義零日攻擊。D、信息技術(shù)(IT)和治理團(tuán)隊(duì)未能向內(nèi)部審計(jì)團(tuán)隊(duì)披露相關(guān)信息,導(dǎo)致制定的評(píng)估不完整。答案：A81.

以下哪項(xiàng)最佳描述了為什么軟件保障對(duì)于幫助防止組織的業(yè)務(wù)和任務(wù)風(fēng)險(xiǎn)增加至關(guān)重要?A、征求建議書(RFP)避免購(gòu)買不符合業(yè)務(wù)需求的軟件。B、合同流程消除了買方對(duì)安全漏洞的責(zé)任。C、舊軟件的退役降低了與技術(shù)債務(wù)相關(guān)的長(zhǎng)期成本。D、未按預(yù)期運(yùn)行的軟件可能會(huì)被利用,從而使其容易受到攻擊。答案：A82.安全運(yùn)營(yíng)中心(SOC)已收到可靠情報(bào),表明威脅行為者正計(jì)劃使用破壞性病毒的多種變體進(jìn)行攻擊。在獲得該病毒變種的樣本集并對(duì)其進(jìn)行逆向工程以了解它們的工作原理后,發(fā)現(xiàn)了一個(gè)共性。所有變體都被編碼為寫入特定的內(nèi)存位置。確定該病毒對(duì)組織沒有威脅,因?yàn)樗麄冇羞h(yuǎn)見,可以在所有端點(diǎn)上啟用什么功能?A、地址空間布局隨機(jī)化(ASLR)。B、可信平臺(tái)模塊(TPM)。C、虛擬化。D、過程隔離。答案：A83.以下哪項(xiàng)是保護(hù)組織數(shù)據(jù)資產(chǎn)的最佳方式?A、使用最新的加密算法加密傳輸中和靜止的數(shù)據(jù)。B、監(jiān)控并強(qiáng)制遵守安全政策。C、要求多重身份驗(yàn)證(MFA)和職責(zé)分離(SoD)。防火墻和強(qiáng)化堡壘主機(jī)創(chuàng)建非軍事區(qū)(DMZ)。答案：B84.在積極調(diào)查的數(shù)據(jù)收集過程中,最重要的標(biāo)準(zhǔn)是什么?A、維護(hù)監(jiān)管鏈。B、捕獲系統(tǒng)的圖像。C、概述調(diào)查期間采取的所有行動(dòng)。D、遵守組織的安全政策。答案：A85.

應(yīng)用程序團(tuán)隊(duì)正在運(yùn)行測(cè)試以確保用戶輸入字段不會(huì)接受任何長(zhǎng)度的無效輸入。這是什么類型的負(fù)面測(cè)試的例子?A、允許的字符數(shù)。B、必填字段的數(shù)量。C、合理的數(shù)據(jù)。D、會(huì)話測(cè)試。答案：B86.風(fēng)險(xiǎn)評(píng)估報(bào)告(RAR)的基本要素是什么?A、執(zhí)行摘要、報(bào)告正文和附錄。B、執(zhí)行摘要、風(fēng)險(xiǎn)圖表和流程。C、目錄、測(cè)試標(biāo)準(zhǔn)和指標(biāo)。D、目錄、章節(jié)和執(zhí)行摘要。答案：A87.在系統(tǒng)安全工程中,模塊化的安全原則提供了什么?A、執(zhí)行功能的最小訪問權(quán)限。B、功能文檔。C、隔離的功能和數(shù)據(jù)。D、程序和數(shù)據(jù)的安全分發(fā)。答案：C88.在對(duì)組織信息安全管理系統(tǒng)(ISMS)進(jìn)行內(nèi)部審核期間,會(huì)發(fā)現(xiàn)不符合項(xiàng)。組織在以下哪些管理階段審查、評(píng)估和/或糾正不合格?A、評(píng)估。B、規(guī)劃。C、改進(jìn)。D、操作。答案：D89.由于創(chuàng)建的密鑰數(shù)量,以下哪項(xiàng)是最重要的密鑰管理問題?A、使用對(duì)稱密鑰時(shí)的指數(shù)增長(zhǎng)。B、使用非對(duì)稱密鑰時(shí)的指數(shù)增長(zhǎng)。C、密鑰的存儲(chǔ)需要更高的安全性。D、密鑰更難提供和撤銷。答案：A90.軟件開發(fā)公司交付軟件產(chǎn)品的時(shí)間很短。軟件開發(fā)團(tuán)隊(duì)決定使用開源軟件庫(kù)來減少開發(fā)時(shí)間。軟件開發(fā)人員在使用開源軟件庫(kù)時(shí)應(yīng)該考慮什么概念?A、開源庫(kù)包含已知漏洞,攻擊者經(jīng)常在野外利用這些漏洞。B、開源庫(kù)是所有人都可以使用的,大家的共識(shí)是這些庫(kù)中的漏洞不會(huì)被利用。C、開源庫(kù)包含未知漏洞,因此不應(yīng)使用。D、開源庫(kù)不斷更新,使得攻擊者不太可能存在漏洞利用。答案：A91.以下哪一項(xiàng)是實(shí)施使用中數(shù)據(jù)控制的好處?A、如果數(shù)據(jù)丟失,必須解密才能打開。B、查看數(shù)據(jù)時(shí),只能由授權(quán)用戶打印。C、在查看數(shù)據(jù)時(shí),可以使用安全協(xié)議對(duì)其進(jìn)行訪問。D、如果數(shù)據(jù)丟失,未經(jīng)授權(quán)的用戶可能無法訪問。答案：B92.風(fēng)險(xiǎn)管理的第一步是什么?A、確定可能影響業(yè)務(wù)的因素。B、確定所需的范圍和行動(dòng)。C、識(shí)別環(huán)境中的現(xiàn)有控制。D、建立利益相關(guān)者參與的期望。答案：C93.以下哪項(xiàng)包含在變更管理中?A、由企業(yè)主進(jìn)行技術(shù)審查。B、實(shí)施前的用戶驗(yàn)收測(cè)試(UAT)。C、實(shí)施后的成本效益分析(CBA)。D、業(yè)務(wù)連續(xù)性測(cè)試。答案：D94.幾年前,一個(gè)組織購(gòu)買了一個(gè)商業(yè)現(xiàn)貨(COTS)軟件。信息技術(shù)(IT)主管已決定將應(yīng)用程序遷移到云中,但擔(dān)心云服務(wù)提供商在組織專用環(huán)境中的軟件應(yīng)用程序安全性。

預(yù)防和糾正軟件安全漏洞的最佳方法是什么?A、遵循軟件的生命周期結(jié)束時(shí)間表。B、實(shí)施專用的COTS沙箱環(huán)境。C、將風(fēng)險(xiǎn)轉(zhuǎn)移給云服務(wù)提供商。D、檢查軟件更新和修補(bǔ)過程。答案：B95.哪個(gè)服務(wù)管理流程最能幫助信息技術(shù)(IT)組織降低成本、降低風(fēng)險(xiǎn)和改善客戶服務(wù)?A、看板。B、精益六西格碼。C、信息技術(shù)服務(wù)管理(ITSM)。D、信息技術(shù)基礎(chǔ)設(shè)施庫(kù)(ITIL)。答案：D96.什么超文本傳輸協(xié)議(HTTP)響應(yīng)標(biāo)頭可用于禁用內(nèi)聯(lián)JavaScript的執(zhí)行和eval()類型函數(shù)的執(zhí)行?A、X-XSS保護(hù)。B、內(nèi)容安全策略。C、X框架選項(xiàng)。D、嚴(yán)格的運(yùn)輸安全。答案：B97.一個(gè)組織為一個(gè)新項(xiàng)目申請(qǐng)了存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)磁盤。什么獨(dú)立磁盤冗余陣列(RAID)級(jí)別可提供最佳冗余和容錯(cuò)能力?A、RAID級(jí)別1。B、RAID級(jí)別3。C、RAID級(jí)別4。D、RAID級(jí)別5。答案：A98.安全信息和事件管理(SIEM)系統(tǒng)的管理員必須確保以下哪一項(xiàng)?A、所有源都與一個(gè)公共時(shí)間參考同步。B、所有來源都以完全相同的可擴(kuò)展標(biāo)記語(yǔ)言(XML)格式報(bào)告。C、數(shù)據(jù)源不包含違反隱私規(guī)定的信息。D、每個(gè)來源都使用相同的Internet協(xié)議(IP)地址進(jìn)行報(bào)告。答案：A99.對(duì)于使用第三方聯(lián)合身份服務(wù)的組織,以下哪項(xiàng)是正確的?A、組織單獨(dú)指定如何驗(yàn)證其他組織的用戶。B、組織定義了整體用戶識(shí)別的內(nèi)部標(biāo)準(zhǔn)。C、該組織與其他組織建立信任關(guān)系。D、組織對(duì)其他組織的用戶供應(yīng)實(shí)施規(guī)則。答案：C100.

使用網(wǎng)絡(luò)準(zhǔn)入控制(NAC)有什么好處?A、NAC僅支持Windows操作系統(tǒng)(OS)。B、NAC支持在允許會(huì)話進(jìn)入授權(quán)狀態(tài)之前驗(yàn)證端點(diǎn)的安全狀態(tài)。C、NAC在允許網(wǎng)絡(luò)準(zhǔn)入之前可能要求使用證書、密碼或兩者的組合。D、可以在允許網(wǎng)絡(luò)訪問之前驗(yàn)證操作系統(tǒng)(OS)版本。答案：B101.開源庫(kù)的資產(chǎn)是否存在漏洞,最有可能緩解以下哪些威脅?A、分布式拒絕服務(wù)(DDoS)攻擊。B、高級(jí)持續(xù)威脅(APT)嘗試。C、零日攻擊。D、網(wǎng)絡(luò)釣魚企圖。答案：C102.指派一名安全工程師與補(bǔ)丁和漏洞管理組一起工作。新補(bǔ)丁的部署已獲批準(zhǔn),需要應(yīng)用。研究完成,安全工程師提供了建議。補(bǔ)丁應(yīng)該首先應(yīng)用在哪里?A、較低的環(huán)境。B、桌面環(huán)境。C、服務(wù)器環(huán)境。D、生產(chǎn)環(huán)境答案：A103.在大型組織中,哪個(gè)業(yè)務(wù)部門最適合啟動(dòng)用戶帳戶的配置和取消配置?A、培訓(xùn)部。B、內(nèi)部審計(jì)。C、人力資源。D、信息技術(shù)(IT)。答案：C104.組織正在實(shí)施安全審查作為系統(tǒng)開發(fā)的一部分。以下哪項(xiàng)是最好的技術(shù)?A、執(zhí)行增量評(píng)估。B、聘請(qǐng)第三方審計(jì)公司。C、審查安全架構(gòu)。D、進(jìn)行滲透測(cè)試。答案：A105.在執(zhí)行有效的物理?yè)p失控制過程時(shí),首先生成什么文件?A、威懾控制清單。B、安全標(biāo)準(zhǔn)清單。C、資產(chǎn)評(píng)估清單。D、庫(kù)存清單。答案：D106.

什么安全原則解決了“默默無聞的安全”問題?A、開放式設(shè)計(jì)。B、基于角色的訪問控制(RBAC)。C、職責(zé)分離(SoD)。D、最小特權(quán)。答案：C107.商用現(xiàn)貨(COTS)軟件存在以下哪些額外的安全問題?A、供應(yīng)商對(duì)COTS軟件漏洞承擔(dān)責(zé)任。B、內(nèi)部開發(fā)的軟件本質(zhì)上不太安全。C、COTS軟件本質(zhì)上不太安全。D、COTS軟件的漏洞利用有據(jù)可查并且公開可用。答案：D108..一家大型制造組織安排購(gòu)買工業(yè)機(jī)器系統(tǒng)來生產(chǎn)新產(chǎn)品線。該系統(tǒng)包括由第三方組織提供給供應(yīng)商的軟件。開始生產(chǎn)的制造組織的財(cái)務(wù)風(fēng)險(xiǎn)很高。在購(gòu)買之前,制造組織應(yīng)該采取什么步驟來最大程度地降低其在新企業(yè)中的財(cái)務(wù)風(fēng)險(xiǎn)?A、要求軟件由經(jīng)過認(rèn)證的獨(dú)立軟件測(cè)試公司進(jìn)行全面測(cè)試。B、聘請(qǐng)性能測(cè)試人員在系統(tǒng)上執(zhí)行離線測(cè)試。C、計(jì)算由于軟件錯(cuò)誤和漏洞可能給組織帶來的收入損失,并將其與系統(tǒng)的整體價(jià)格進(jìn)行比較。D、將機(jī)器放在第3層防火墻后面。答案：C109.一個(gè)組織正在計(jì)劃一項(xiàng)模擬前網(wǎng)絡(luò)管理員的惡意行為的滲透測(cè)試。需要什么樣的滲透測(cè)試?A、功能測(cè)試。B、單元測(cè)試。C、灰盒。D、白盒。答案：C110.以下哪個(gè)標(biāo)準(zhǔn)可確保信息相對(duì)于其對(duì)組織的重要性得到保護(hù)?A、法律要求、價(jià)值、重要性和對(duì)未經(jīng)授權(quán)的披露或修改的敏感性。B、數(shù)據(jù)對(duì)組織高級(jí)管理層的價(jià)值。C、組織利益相關(guān)者,由管理委員會(huì)批準(zhǔn)分類。D、由組織總部所在地確定的法律要求。答案：A111.什么過程有助于在保護(hù)措施的運(yùn)營(yíng)和經(jīng)濟(jì)成本與任務(wù)能力增益之間取得平衡?A、性能測(cè)試。B、風(fēng)險(xiǎn)評(píng)估。C、安全審計(jì)。D、風(fēng)險(xiǎn)管理。答案：D112.針對(duì)設(shè)備的簡(jiǎn)單功率分析(SPA)攻擊直接觀察以下哪項(xiàng)?A、磁性。B、一代。C、消費(fèi)。D、靜電放電。答案：C113.云服務(wù)接受來自用戶的安全斷言標(biāo)記語(yǔ)言(SAML)斷言,以在安全域之間交換身份驗(yàn)證和授權(quán)數(shù)據(jù)。但是,攻擊者能夠欺騙網(wǎng)絡(luò)上的注冊(cè)帳戶并查詢SAML提供商。針對(duì)此缺陷的最常見攻擊是什么?A、攻擊者利用SAML斷言在安全域上注冊(cè)一個(gè)帳戶。B、攻擊者偽造請(qǐng)求以作為不同的用戶進(jìn)行身份驗(yàn)證。C、攻擊者在安全域之間交換身份驗(yàn)證和授權(quán)數(shù)據(jù)。D、攻擊者通過重復(fù)認(rèn)證為同一用戶對(duì)安全域進(jìn)行拒絕服務(wù)(DoS)。答案：B114.一家公司聘請(qǐng)外部供應(yīng)商對(duì)新工資系統(tǒng)進(jìn)行滲透測(cè)試。公司內(nèi)部測(cè)試團(tuán)隊(duì)已經(jīng)對(duì)該系統(tǒng)進(jìn)行了深入的應(yīng)用和安全測(cè)試,確定其滿足安全要求。然而,外部供應(yīng)商發(fā)現(xiàn)了重大的安全漏洞,敏感的個(gè)人數(shù)據(jù)被不加密地發(fā)送到稅務(wù)處理系統(tǒng)。安全問題最可能的原因是什么?A、性能測(cè)試不足。B、應(yīng)用程序級(jí)別測(cè)試不足。C、未能進(jìn)行陰性測(cè)試。D、未能執(zhí)行接口測(cè)試。答案：D115.哪個(gè)組織部門最終負(fù)責(zé)與電子郵件和其他電子記錄相關(guān)的信息治理?A、法律。B、審計(jì)。C、合規(guī)性。D、安全。答案：A116.組織的業(yè)務(wù)影響分析(BIA)中定義的有形資產(chǎn)可能包括以下哪一項(xiàng)?A、組織工作人員的個(gè)人物品。B、災(zāi)難恢復(fù)(DR)項(xiàng)目收入。C、基于云的應(yīng)用程序。D、供應(yīng)品存放在異地的遠(yuǎn)程設(shè)施中。答案：D117.在前往高風(fēng)險(xiǎn)國(guó)家旅行時(shí),以下哪項(xiàng)措施是保護(hù)計(jì)算機(jī)、智能手機(jī)和外部存儲(chǔ)設(shè)備數(shù)據(jù)的最佳方法?A、查看適用的目的地國(guó)家/地區(qū)法律,在旅行前對(duì)設(shè)備進(jìn)行取證清潔,并且僅在到達(dá)目的地后通過虛擬專用網(wǎng)絡(luò)(VPN)下載敏感數(shù)據(jù)。B、利用虛擬專用網(wǎng)絡(luò)(VPN)上的安全套接字層(SSL)連接在到達(dá)目的地時(shí)下載敏感數(shù)據(jù)。C、將不使用的筆記本電腦、外部存儲(chǔ)設(shè)備和智能手機(jī)放在酒店房間內(nèi)。D、使用多因素身份驗(yàn)證(MFA)訪問存儲(chǔ)在筆記本電腦或外部存儲(chǔ)設(shè)備上的數(shù)據(jù),并使用生物識(shí)別指紋訪問控制機(jī)制來解鎖智能手機(jī)。答案：D118.哪個(gè)軟件定義網(wǎng)絡(luò)(SDN)架構(gòu)組件負(fù)責(zé)轉(zhuǎn)換網(wǎng)絡(luò)需求?A、SDN控制器。B、SDN數(shù)據(jù)路徑。C、SDN北向接口。D、SDN應(yīng)用。答案：C119.一個(gè)組織希望實(shí)施一種授權(quán)機(jī)制,以簡(jiǎn)化為許多具有類似工作職責(zé)的用戶分配各種系統(tǒng)訪問權(quán)限的過程。哪種類型的授權(quán)機(jī)制將是組織實(shí)施的最佳選擇?A、基于角色的訪問控制(RBAC)。B、自主訪問控制(DAC)。C、內(nèi)容相關(guān)的訪問控制。D、基于規(guī)則的訪問控制。答案：A120.在軟件開發(fā)中,以下哪些實(shí)體通常會(huì)對(duì)代碼進(jìn)行簽名以保護(hù)代碼完整性?A、開發(fā)代碼的組織。B、質(zhì)量控制組。C、開發(fā)商。D、數(shù)據(jù)所有者。答案：A121.一個(gè)組織最近遭受了網(wǎng)絡(luò)應(yīng)用程序攻擊,導(dǎo)致用戶會(huì)話cookie信息被盜。當(dāng)用戶的瀏覽器在訪問受感染的網(wǎng)站時(shí)執(zhí)行腳本時(shí),攻擊者能夠獲取信息。最有可能發(fā)生哪種類型的攻擊?A、SQL注入(SQLi)。B、可擴(kuò)展標(biāo)記語(yǔ)言(XML)外部實(shí)體。C、跨站腳本(XSS)。D、跨站點(diǎn)請(qǐng)求偽造(CSRF)。答案：C122.在DevOps環(huán)境中,以下哪些操作對(duì)于對(duì)所做更改的質(zhì)量充滿信心是最必要的?A、準(zhǔn)備迅速采取糾正措施。B、自動(dòng)化功能測(cè)試。C、查看任何異常情況的日志。D、獲得變更審查委員會(huì)的批準(zhǔn)。答案：D123.用于定義數(shù)據(jù)在云中的地理位置存儲(chǔ)位置的術(shù)語(yǔ)是什么?A、數(shù)據(jù)隱私權(quán)。B、數(shù)據(jù)主權(quán)。C、數(shù)據(jù)倉(cāng)庫(kù)。D、數(shù)據(jù)主體權(quán)利。答案：B124.

什么是未安裝電涌保護(hù)器的補(bǔ)償控制?A、有雙線連接到該站點(diǎn)的網(wǎng)絡(luò)服務(wù)提供商。B、為站點(diǎn)提供熱災(zāi)難恢復(fù)(DR)環(huán)境。C、在站點(diǎn)的主動(dòng)-主動(dòng)集群中擁有網(wǎng)絡(luò)設(shè)備。D、在現(xiàn)場(chǎng)安裝備用柴油發(fā)電機(jī)。答案：B125.在設(shè)計(jì)內(nèi)部安全控制評(píng)估時(shí),以下哪一項(xiàng)被認(rèn)為是第一步?A、根據(jù)對(duì)已知違規(guī)的全面了解制定計(jì)劃。B、根據(jù)對(duì)組織基礎(chǔ)設(shè)施的偵察制定計(jì)劃。C、根據(jù)公認(rèn)的已知控制框架制定計(jì)劃。D、根據(jù)最近對(duì)相關(guān)系統(tǒng)的漏洞掃描制定計(jì)劃。答案：B126.一位安全專家審查了最近的現(xiàn)場(chǎng)評(píng)估,并注意到建筑物二樓的服務(wù)器機(jī)房在地面上安裝了供暖、通風(fēng)和空調(diào)(HVAC)進(jìn)風(fēng)口,并安裝了紫外線過濾器、Aero-KFire服務(wù)器機(jī)房?jī)?nèi)的滅火,以及服務(wù)器機(jī)房上方樓層的預(yù)行動(dòng)滅火。安全專家可以推薦以下哪些更改來降低與這些情況相關(guān)的風(fēng)險(xiǎn)?A、拆下HVAC進(jìn)氣口上的紫外線過濾器,將上層的滅火系統(tǒng)更換為干式系統(tǒng)。B、通過在其上方建造增壓室或外部豎井來提升HVAC進(jìn)氣口,并將服務(wù)器機(jī)房滅火轉(zhuǎn)換為預(yù)作用系統(tǒng)。C、在HVAC進(jìn)風(fēng)和回風(fēng)管道中添加額外的紫外線過濾器,并將服務(wù)器機(jī)房滅火改為FM-200D、在HVAC進(jìn)氣口周圍應(yīng)用額外的物理安全措施,并將上層滅火系統(tǒng)更新為FM-200答案：A127.安全軟件開發(fā)生命周期(SDLC)期望應(yīng)用程序代碼以一致的方式編寫,以便于審計(jì),以下哪一項(xiàng)?A、保護(hù)。B、抄襲。C、增強(qiáng)。D、執(zhí)行。答案：A128.首席信息官(CIO)已將系統(tǒng)安全責(zé)任委托給信息技術(shù)(IT)部門的負(fù)責(zé)人。雖然公司政策規(guī)定只有CIO才能對(duì)所需的數(shù)據(jù)保護(hù)級(jí)別做出決策,但技術(shù)實(shí)施決策則由IT部門負(fù)責(zé)人完成。以下哪項(xiàng)最能描述IT部門負(fù)責(zé)人擔(dān)任的安全角色?A、系統(tǒng)安全官。B、系統(tǒng)處理器。C、系統(tǒng)管理員。D、系統(tǒng)分析師。答案：C129.為了執(zhí)行安全審計(jì),應(yīng)存在以下哪項(xiàng)?A、審計(jì)員的中立性。B、審計(jì)的行業(yè)框架。C、外部(第三方)審計(jì)師。D、內(nèi)部認(rèn)證審計(jì)師。答案：B130..Wi-FiProtectedAccess2(WPA2)為用戶提供更高級(jí)別的保證,即他們的數(shù)據(jù)將通過使用

哪種協(xié)議得到保護(hù)?A、可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)。B、互聯(lián)網(wǎng)協(xié)議安全(IPsec)。C、安全套接層(SSL)。D、安全外殼(SSH)。答案：A131.旨在防止應(yīng)用程序從不可執(zhí)行的內(nèi)存區(qū)域執(zhí)行代碼的操作系統(tǒng)(OS)功能有什么好處?A、確定系統(tǒng)上仍需要安裝哪些安全補(bǔ)丁。B、降低多態(tài)病毒加密其有效載荷的風(fēng)險(xiǎn)。C、阻止內(nèi)存駐留病毒傳播其有效載荷。D、有助于防止某些將代碼存儲(chǔ)在緩沖區(qū)中的漏洞。答案：B132.依賴安全內(nèi)容自動(dòng)化協(xié)議(SCAP)的主要好處是什么?A、標(biāo)準(zhǔn)化軟件安全產(chǎn)品之間的規(guī)范。B、使組織符合國(guó)際標(biāo)準(zhǔn)。C、提高脆弱性評(píng)估能力。D、為組織節(jié)省安全成本。答案：C133.以下哪項(xiàng)攻擊如果成功,可以讓入侵者完全控制軟件定義網(wǎng)絡(luò)(SDN)架構(gòu)?A、對(duì)控制器的安全外殼(SSH)端口的暴力密碼攻擊。B、發(fā)送控制消息以打開不會(huì)從網(wǎng)絡(luò)內(nèi)受感染主機(jī)通過防火墻的流。C、遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)(RADIUS)令牌重放攻擊。D、嗅探網(wǎng)絡(luò)內(nèi)受感染主機(jī)的流量。答案：A134.以下哪一項(xiàng)是全盤加密(FDE)漏洞的示例?A、設(shè)備上的數(shù)據(jù)無法從備份中恢復(fù)。B、設(shè)備上的數(shù)據(jù)無法備份。C、當(dāng)用戶對(duì)設(shè)備進(jìn)行身份驗(yàn)證時(shí),傳輸中的數(shù)據(jù)已被泄露。D、當(dāng)用戶對(duì)設(shè)備進(jìn)行身份驗(yàn)證時(shí),靜態(tài)數(shù)據(jù)已被泄露。答案：D135.一個(gè)組織想要定義為物理邊界。如果組織的周邊必須經(jīng)濟(jì)高效地阻止臨時(shí)闖入者,那么應(yīng)該使用什么主要設(shè)備來實(shí)現(xiàn)這一目標(biāo)?A、帶有旋轉(zhuǎn)柵門的三到四英尺高的柵欄。B、六到七英尺高的柵欄,帶有彩繪的大門。C、由巡邏保安陪同的圍欄。D、用三股帶刺鐵絲網(wǎng)圍成八英尺或更高的柵欄。答案：D136.以下哪一項(xiàng)是減少系統(tǒng)網(wǎng)絡(luò)攻擊面的最佳選擇?A、禁用不必要的端口和服務(wù)。B、確保系統(tǒng)上沒有組帳戶。C、卸載系統(tǒng)上的默認(rèn)軟件。D、刪除不必要的系統(tǒng)用戶帳戶。答案：A137.應(yīng)用程序開發(fā)人員收到來自安全團(tuán)隊(duì)的報(bào)告,顯示他們的自動(dòng)化工具能夠成功地將意外數(shù)據(jù)輸入組織的客戶服務(wù)門戶,導(dǎo)致網(wǎng)站崩潰。這是哪種類型的測(cè)試的示例?A、一場(chǎng)表演。B、積極的。C、無功能。D、否定的。答案：D138.最近在一個(gè)組織的網(wǎng)絡(luò)上實(shí)施了使用挑戰(zhàn)和響應(yīng)的身份驗(yàn)證系統(tǒng),因?yàn)樵摻M織進(jìn)行了年度滲透

測(cè)試,表明測(cè)試人員能夠使用經(jīng)過身份驗(yàn)證的憑據(jù)橫向移動(dòng)。最有可能使用哪種攻擊方法來實(shí)現(xiàn)這一目標(biāo)?A、哈希沖突。B、通票。C、蠻力。D、跨站腳本(XSS)。答案：B139.在數(shù)據(jù)丟失防護(hù)(DLP)計(jì)劃中應(yīng)考慮的第一步是什么?A、政策制定。B、信息權(quán)限管理(IRM)。C、數(shù)據(jù)分類。D、配置管理(CM)。答案：C140.以下哪項(xiàng)陳述最能描述云環(huán)境中的最小權(quán)限原則?A、單個(gè)云管理員配置為訪問核心功能。B、檢查所有傳入和傳出數(shù)據(jù)包的Internet流量。C、路由配置會(huì)定期更新為最新的路由。D、如果不需要訪問互聯(lián)網(wǎng),則網(wǎng)段保持私有。答案：D141.以下哪項(xiàng)描述了維護(hù)組織內(nèi)軟件和硬件庫(kù)存的最佳方法?A、通過資產(chǎn)所有者訪談、開源系統(tǒng)管理和開源管理工具的組合來維護(hù)庫(kù)存。B、通過桌面配置、行政管理和采購(gòu)管理工具的組合來維護(hù)庫(kù)存。C、內(nèi)部存儲(chǔ)配置、云管理和合作伙伴管理工具的組合來維護(hù)庫(kù)存。D、通過系統(tǒng)配置、網(wǎng)絡(luò)管理和許可證管理工具的組合來維護(hù)庫(kù)存。答案：D142.哪種訪問控制方法基于用戶對(duì)系統(tǒng)資源發(fā)出訪問請(qǐng)求、分配給這些資源的功能、操作或情境上下文以及根據(jù)這些功能和上下文指定的一組策略?A、強(qiáng)制訪問控制(MAC)。B、基于屬性的訪問控制(ABAC)。C、基于角色的訪問控制(RBAC)。D、自主訪問控制(DAC)。答案：B143.

應(yīng)用程序開發(fā)人員應(yīng)該從軟件定義網(wǎng)絡(luò)(SDN)的北向應(yīng)用程序編程接口(API)中獲得哪些三個(gè)關(guān)鍵優(yōu)勢(shì)?A、網(wǎng)絡(luò)語(yǔ)法、網(wǎng)絡(luò)流的抽象、網(wǎng)絡(luò)協(xié)議的抽象。B、網(wǎng)絡(luò)語(yǔ)法、網(wǎng)絡(luò)命令抽象和網(wǎng)絡(luò)協(xié)議抽象。C、熟悉的語(yǔ)法、網(wǎng)絡(luò)拓?fù)涞某橄蠛途W(wǎng)絡(luò)協(xié)議的定義。D、熟悉的語(yǔ)法、網(wǎng)絡(luò)拓?fù)涞某橄?、網(wǎng)絡(luò)協(xié)議的抽象。答案：A144.以下哪個(gè)部門發(fā)起請(qǐng)求、批準(zhǔn)和開通業(yè)務(wù)流程?A、運(yùn)營(yíng)。B、安全。C、人力資源(HR)。D、信息技術(shù)(IT)。答案：A145.查看安全日志時(shí),顯示的管理登錄事件密碼為'OR''1'='1'--。這是以下哪種攻擊的示例?A、結(jié)構(gòu)化查詢語(yǔ)言(SQL)注入。B、蠻力攻擊。C、彩虹桌攻擊。D、跨站腳本(XSS)。答案：A146.在設(shè)計(jì)業(yè)務(wù)連續(xù)性計(jì)劃(BCP)時(shí),確定最大可容忍停機(jī)時(shí)間(MTD)的公式是什么?A、估計(jì)最大損失(EML)+恢復(fù)時(shí)間目標(biāo)(RTO)。B、業(yè)務(wù)影響分析(BIA)+恢復(fù)點(diǎn)目標(biāo)(RPO)。C、年損失預(yù)期(ALE)+工作恢復(fù)時(shí)間(WRT)。D、恢復(fù)時(shí)間目標(biāo)(RTO)+工作恢復(fù)時(shí)間(WRT)。答案：D147.員工的家庭住址應(yīng)根據(jù)以下哪個(gè)參考進(jìn)行分類?A、員工簽署的同意書條款和條件。B、人力資源的組織安全計(jì)劃。C、現(xiàn)有員工數(shù)據(jù)分類。D、組織的數(shù)據(jù)分類模型。答案：D148.進(jìn)行業(yè)務(wù)影響分析(BIA)的主要目的是什么?A、確定修復(fù)受損信息系統(tǒng)的成本。B、確定恢復(fù)業(yè)務(wù)關(guān)鍵操作所需的控制。C、確定在指定時(shí)間段內(nèi)從事件中恢復(fù)所需的關(guān)鍵資源。D、確定關(guān)鍵任務(wù)信息系統(tǒng)故障對(duì)核心業(yè)務(wù)流程的影響。答案：D149.評(píng)估所購(gòu)軟件的安全影響的最佳方法是什么?A、威脅建模。B、常見漏洞審查。C、軟件安全合規(guī)性驗(yàn)證。D、供應(yīng)商評(píng)估。答案：A150.一項(xiàng)違規(guī)調(diào)查發(fā)現(xiàn),一個(gè)網(wǎng)站被一個(gè)開源組件利用。可以防止這種違規(guī)行為的流程中的第一步是什么?A、應(yīng)用程序白名單。B、漏洞修復(fù)。C、Web應(yīng)用防火墻(WAF)。D、軟件清單。答案：C151.以下哪項(xiàng)是最常用的內(nèi)存保護(hù)方法?A、糾錯(cuò)。B、虛擬局域網(wǎng)(VLAN)標(biāo)記。C、細(xì)分。D、劃分。答案：C152.信息安全專業(yè)人員會(huì)使用以下哪項(xiàng)來識(shí)別內(nèi)容更改,尤其是未經(jīng)授權(quán)的更改?A、文件完整性檢查器。B、安全信息和事件管理(SIEM)系統(tǒng)。C、審計(jì)日志。D、入侵檢測(cè)系統(tǒng)(IDS)。答案：B153.一個(gè)組織實(shí)施了密碼復(fù)雜性和帳戶鎖定策略,在十分鐘內(nèi)強(qiáng)制執(zhí)行五次不正確的登錄嘗試。網(wǎng)

絡(luò)用戶報(bào)告說帳戶鎖定顯著增加。該公司影響以下哪些安全原則?A、保密。B、誠(chéng)信。C、可用性。D、認(rèn)證。答案：C154.以下哪項(xiàng)是在虛擬系統(tǒng)上實(shí)現(xiàn)多個(gè)服務(wù)器的最佳方法?A、每個(gè)虛擬服務(wù)器實(shí)現(xiàn)一個(gè)主要功能,并為每個(gè)虛擬服務(wù)器應(yīng)用單獨(dú)的安全配置。B、在同一個(gè)虛擬服務(wù)器中實(shí)現(xiàn)多個(gè)功能,并對(duì)每個(gè)功能應(yīng)用單獨(dú)的安全配置。C、每個(gè)虛擬服務(wù)器實(shí)現(xiàn)一個(gè)主要功能,并在主機(jī)操作系統(tǒng)上應(yīng)用高安全配置。D、每個(gè)虛擬服務(wù)器實(shí)現(xiàn)多個(gè)功能,并為每個(gè)虛擬服務(wù)器應(yīng)用相同的安全配置。答案：A155.在測(cè)試期間,通知上級(jí)組織、執(zhí)法部門和計(jì)算機(jī)事件響應(yīng)團(tuán)隊(duì)的要求記錄在哪里?A、安全評(píng)估報(bào)告(SAR)。B、安全評(píng)估計(jì)劃。C、單元測(cè)試結(jié)果。D、系統(tǒng)集成計(jì)劃。答案：A156.以下哪一項(xiàng)是Bell-LaPadula模型的局限性?A、職責(zé)分離(SoD)難以實(shí)施,因?yàn)椤敖归喿x”規(guī)則限制了對(duì)象訪問更高分類信息的能力。B、強(qiáng)制訪問控制(MAC)在所有級(jí)別強(qiáng)制執(zhí)行,因此無法實(shí)施自主訪問控制(DAC)。C、它不包含更改數(shù)據(jù)訪問控制的規(guī)定或政策,并且僅適用于本質(zhì)上是靜態(tài)的訪問系統(tǒng)。D、它優(yōu)先考慮完整性而不是機(jī)密性,這可能導(dǎo)致無意的信息泄露。答案：C157.一個(gè)組織計(jì)劃購(gòu)買一個(gè)商業(yè)現(xiàn)貨(COTS)系統(tǒng)來替換他們老化的自制報(bào)告系統(tǒng)。組織的安全團(tuán)隊(duì)?wèi)?yīng)該在什么時(shí)候首先參與此次收購(gòu)的生命周期?A、當(dāng)系統(tǒng)被驗(yàn)證和驗(yàn)證時(shí)。B、當(dāng)表達(dá)了對(duì)系統(tǒng)的需求并且記錄了系統(tǒng)的目的時(shí)。C、當(dāng)系統(tǒng)部署到生產(chǎn)中時(shí)。D、當(dāng)系統(tǒng)被設(shè)計(jì)、購(gòu)買、編程、開發(fā)或以其他方式建造時(shí)。答案：B158.以下哪項(xiàng)法規(guī)規(guī)定了如何處理數(shù)據(jù)泄露?A、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)。B、美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)。C、薩班斯-奧克斯利法案(SOX)。D、通用數(shù)據(jù)保護(hù)條例(GDPR)。答案：D159.組織與顧問簽訂合同,對(duì)其內(nèi)部安全控制執(zhí)行系統(tǒng)組織控制(SOC)2審計(jì)。審核員記錄與執(zhí)行與系統(tǒng)范圍或目標(biāo)不一致的操作的應(yīng)用程序編程接口(API)相關(guān)的發(fā)現(xiàn)。哪種信任服務(wù)原則最適用于這種情況?A、保密。B、處理完整性。C、安全。D、可用性。答案：B160.公司沒有正式的數(shù)據(jù)銷毀政策。這將在刑事法律程序的哪個(gè)階段產(chǎn)生最大影響?A、量刑。B、審判。C、發(fā)現(xiàn)。D、傳訊。答案：C161.何時(shí)必須審查組織的信息安全戰(zhàn)略計(jì)劃?A、每當(dāng)業(yè)務(wù)發(fā)生重大變化時(shí)。B、每季度更新一次組織的戰(zhàn)略計(jì)劃。C、每三年更新一次組織的戰(zhàn)略計(jì)劃。D、每當(dāng)主要應(yīng)用程序發(fā)生重大變化時(shí)。答案：A162.最近,一個(gè)未知事件破壞了跨越兩個(gè)地理位置不同的數(shù)據(jù)中心的單個(gè)第2層網(wǎng)絡(luò)。網(wǎng)絡(luò)工程師已請(qǐng)求幫助確定事件的根本原因。以下哪項(xiàng)是最可能的原因?A、藍(lán)精靈攻擊。B、配置錯(cuò)誤的路由協(xié)議。C、廣播域太大。D、地址欺騙。答案：D163.Web開發(fā)人員正在將應(yīng)用程序發(fā)布到生產(chǎn)環(huán)境之前完成新的Web應(yīng)用程序安全檢查表。禁用不必要的服務(wù)的任務(wù)在清單上。此操作正在緩解哪個(gè)Web應(yīng)用程序威脅?A、會(huì)話劫持。B、安全配置錯(cuò)誤。C、損壞的訪問控制。D、敏感數(shù)據(jù)暴露。答案：B164.在處理安全事件的后果時(shí),以下哪些安全控制措施最合適?A、偵查和恢復(fù)控制。B、糾正和恢復(fù)控制。C、預(yù)防和糾正控制。D、恢復(fù)和主動(dòng)控制。答案：B165.以下哪一項(xiàng)是分配給管理企業(yè)數(shù)據(jù)湖的數(shù)據(jù)管理員的主要職責(zé)?A、確保企業(yè)數(shù)據(jù)湖中收集和存儲(chǔ)的數(shù)據(jù)的正確業(yè)務(wù)定義、價(jià)值和使用。B、確保對(duì)企業(yè)數(shù)據(jù)湖應(yīng)用足夠的安全控制。C、確保存儲(chǔ)在企業(yè)數(shù)據(jù)湖中的每個(gè)數(shù)據(jù)元素具有適當(dāng)且可識(shí)別的數(shù)據(jù)所有者。D、確保在remit內(nèi)傳遞的任何數(shù)據(jù)都按照業(yè)務(wù)規(guī)則和規(guī)定使用。答案：A166.以下哪項(xiàng)陳述最能區(qū)分有狀態(tài)數(shù)據(jù)包檢測(cè)防火墻和無狀態(tài)數(shù)據(jù)包過濾防火墻?A、SPI逐個(gè)數(shù)據(jù)包地檢查流量。B、SPI檢查傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)數(shù)據(jù)包的標(biāo)志。C、SPI能夠根據(jù)預(yù)定義的規(guī)則集丟棄數(shù)據(jù)包。D、SPI檢查會(huì)話上下文中的流量。答案：D167.假設(shè)個(gè)人已采取所有步驟來保持其互聯(lián)網(wǎng)連接的私密性,那么以下哪項(xiàng)是最好的私密瀏覽網(wǎng)絡(luò)?A、在個(gè)人設(shè)備上存儲(chǔ)有關(guān)瀏覽活動(dòng)的信息。B、防止有關(guān)瀏覽活動(dòng)的信息存儲(chǔ)在個(gè)人設(shè)備上。C、防止有關(guān)瀏覽活動(dòng)的信息存儲(chǔ)在云中。D、將瀏覽活動(dòng)存儲(chǔ)在云端。答案：C168.在實(shí)施基于云的應(yīng)用程序時(shí),以下哪些安全工具將確保將授權(quán)數(shù)據(jù)發(fā)送到應(yīng)用程序?A、基于主機(jī)的入侵防御系統(tǒng)(HIPS)。B、訪問控制列表(ACL)。C、數(shù)據(jù)丟失防護(hù)(DLP)。D、文件完整性監(jiān)控(FIM)。答案：C169.犯罪組織正計(jì)劃對(duì)政府網(wǎng)絡(luò)發(fā)起攻擊。以下哪種情況會(huì)給組織帶來最高風(fēng)險(xiǎn)?A、組織失去對(duì)其網(wǎng)絡(luò)設(shè)備的控制。B、網(wǎng)絡(luò)被攻擊者的通信流量淹沒。C、網(wǎng)絡(luò)管理通信中斷。D、攻擊者訪問有關(guān)網(wǎng)絡(luò)拓?fù)涞拿舾行畔ⅰ４鸢福篈170.以下哪項(xiàng)是確定補(bǔ)丁管理過程成功與否的最佳方法?A、變更管理。B、配置管理(CM)。C、分析和影響評(píng)估。D、審計(jì)和評(píng)估。答案：C171.進(jìn)行安全評(píng)估最重要的目標(biāo)是什么?A、使安全計(jì)劃與組織的風(fēng)險(xiǎn)偏好保持一致。B、向高級(jí)管理層展示安全控制和流程的適當(dāng)功能。C、使組織為外部審計(jì)做好準(zhǔn)備,尤其是監(jiān)管實(shí)體的審計(jì)。D、發(fā)現(xiàn)未緩解的安全漏洞,并提出緩解這些漏洞的途徑。答案：B172.在為組織制定信息安全控制措施時(shí),以下哪項(xiàng)最重要?A、在組織中使用行業(yè)標(biāo)準(zhǔn)最佳實(shí)踐進(jìn)行安全控制。B、對(duì)所有風(fēng)險(xiǎn)管理信息進(jìn)行盡職調(diào)查,以調(diào)整適當(dāng)?shù)目刂?。C、查看所有當(dāng)?shù)睾蛧?guó)際標(biāo)準(zhǔn),并根據(jù)地點(diǎn)選擇最嚴(yán)格的標(biāo)準(zhǔn)。D、進(jìn)行風(fēng)險(xiǎn)評(píng)估并選擇解決現(xiàn)有差距的標(biāo)準(zhǔn)。答案：C173..以下哪項(xiàng)根據(jù)基礎(chǔ)設(shè)施層的狀態(tài)確定流量應(yīng)如何流動(dòng)?A、控制平面。B、應(yīng)用平面。C、交通飛機(jī)。D、數(shù)據(jù)平面。答案：A174.以下哪一項(xiàng)是數(shù)據(jù)所有者在實(shí)施數(shù)據(jù)保留政策之前應(yīng)首先考慮的要求?A、存儲(chǔ)e.B、培訓(xùn)。C、法律。D、商業(yè)。答案：C175.分析可執(zhí)行文件時(shí),靜態(tài)分析的目的是什么?A、搜索與可執(zhí)行文件關(guān)聯(lián)的文檔和文件。B、分析文件在文件系統(tǒng)中的位置和可執(zhí)行文件的庫(kù)。C、收集可執(zhí)行文件使用的證據(jù),包括創(chuàng)建日期和最后使用日期。D、反匯編文件以收集有關(guān)可執(zhí)行文件功能的信息。答案：D176.以下哪個(gè)是日志審查、綜合事務(wù)和代碼審查的常用術(shù)語(yǔ)?A、應(yīng)用程序開發(fā)。B、螺旋式開發(fā)功能測(cè)試。C、安全控制測(cè)試。D、DevOps集成產(chǎn)品團(tuán)隊(duì)(IPT)開發(fā)。答案：C177.安全從業(yè)人員檢測(cè)到對(duì)組織網(wǎng)絡(luò)的端點(diǎn)攻擊。減輕未來端點(diǎn)攻擊的最合理方法是什么?A、從網(wǎng)絡(luò)中刪除所有非必要的客戶端Web服務(wù)。B、在部署之前強(qiáng)化客戶端映像。C、在實(shí)施之前篩選客戶端服務(wù)的有害利用。D、在外圍阻止所有客戶端Web攻擊。答案：C178.

在IDEAL加密系統(tǒng)中,誰(shuí)可以單獨(dú)訪問解密密鑰?A、數(shù)據(jù)保管人。B、系統(tǒng)所有者。C、系統(tǒng)管理員。D、數(shù)據(jù)所有者。答案：D179.信息安全從業(yè)人員正在實(shí)施新的防火墻。以下哪種故障方法在發(fā)生故障時(shí)最能優(yōu)先考慮安全性?A、故障轉(zhuǎn)移。B、失敗關(guān)閉。C、故障安全。D、失效打開。答案：B180.在審核軟件開發(fā)生命周期(SDLC)時(shí),以下哪個(gè)是高級(jí)審核階段之一?A、規(guī)劃。B、風(fēng)險(xiǎn)評(píng)估。C、盡職調(diào)查。D、要求。答案：D181.使用帶有身份驗(yàn)證標(biāo)頭(AH)的虛擬專用網(wǎng)絡(luò)(VPN)時(shí)提供以下哪項(xiàng)保護(hù)?A、發(fā)件人不可否認(rèn)性。B、多因素身份驗(yàn)證(MFA)。C、有效載荷加密。D、發(fā)件人保密。答案：A182.組織希望確保所有新用戶在創(chuàng)建時(shí)都應(yīng)用了預(yù)定義的部門訪問模板。該組織還希望在每個(gè)項(xiàng)目的基礎(chǔ)上授予用戶額外的訪問權(quán)限。哪種類型的用戶訪問管理最適合滿足組織的需求?A、去中心化。B、混合。C、集中式。D、聯(lián)合的。答案：B183.物理屏障、卡和個(gè)人識(shí)別碼(PIN)訪問系統(tǒng)、攝像頭、警報(bào)器和保安人員的存在最好地描述這種安全方法?A、訪問控制。B、安全信息和事件管理(SIEM)。C、縱深防御。D、安全邊界。答案：D184.在多租戶云環(huán)境中,什么方法可以保護(hù)對(duì)資產(chǎn)的邏輯訪問?A、受控配置管理(CM)。B、管理訪問的透明度/可審計(jì)性。C、虛擬私有云(VPC)。D、混合云。答案：C185.以下哪項(xiàng)最好地描述了邊界網(wǎng)關(guān)協(xié)議(BGP)的用途?A、向相鄰的第3層設(shè)備提供路由信息協(xié)議(RIP)第2版通告。B、維護(hù)互聯(lián)網(wǎng)路由器之間的網(wǎng)絡(luò)路徑列表。C、為支持云的應(yīng)用程序提供防火墻服務(wù)。D、維護(hù)自治系統(tǒng)之間的有效網(wǎng)絡(luò)路徑列表。答案：D186.安全架構(gòu)師正在設(shè)計(jì)和實(shí)施一個(gè)內(nèi)部證書頒發(fā)機(jī)構(gòu)來為所有員工生成數(shù)字證書。以下哪項(xiàng)是安全存儲(chǔ)私鑰的最佳解決方案?A、物理安全的存儲(chǔ)設(shè)備。B、可信平臺(tái)模塊(TPM)。C、加密閃存驅(qū)動(dòng)器。D、公鑰基礎(chǔ)設(shè)施(PKI)。答案：D187.以下哪項(xiàng)是安全控制波動(dòng)性?A、提及安全控制的影響。B、提及安全控制發(fā)生變化的可能性。C、提及安全控制的不可預(yù)測(cè)性。D、對(duì)安全控制穩(wěn)定性的參考。答案：B188.安全架構(gòu)師正在審查恢復(fù)點(diǎn)目標(biāo)(RPO)為15分鐘的應(yīng)用程序的計(jì)劃。當(dāng)前的設(shè)計(jì)將所有應(yīng)用程序基礎(chǔ)設(shè)施都放在一個(gè)托管數(shù)據(jù)中心內(nèi)。架構(gòu)師目前正在評(píng)估哪種安全原則?A、災(zāi)難恢復(fù)(DR)。B、可用性。C、冗余。D、業(yè)務(wù)連續(xù)性(BC)。答案：B189.以下關(guān)于SecureShell(SSH)的說法正確的是?A、SSH支持端口轉(zhuǎn)發(fā),可用于保護(hù)安全性較低的協(xié)議。B、SSH不能防止中間人(MITM)攻擊。C、SSH很容易部署,因?yàn)樗恍枰粋€(gè)Web瀏覽器。D、SSH幾乎可以用于任何應(yīng)用程序,因?yàn)樗c維護(hù)電路有關(guān)。答案：A190.當(dāng)網(wǎng)絡(luò)管理外包給第三方時(shí),以下哪項(xiàng)是保護(hù)關(guān)鍵數(shù)據(jù)資產(chǎn)最有效的方法?A、確認(rèn)已簽署保密協(xié)議。B、采用強(qiáng)大的訪問控制C、記錄與敏感系統(tǒng)相關(guān)的所有活動(dòng)。D、提供安全策略的鏈接。答案：B191.以下哪一項(xiàng)是域名系統(tǒng)(DNS)設(shè)計(jì)中的主要安全漏洞?A、每個(gè)DNS服務(wù)器都必須保存根服務(wù)器的地址。B、DNS服務(wù)器可以在拒絕服務(wù)(DoS)攻擊中被禁用。C、DNS服務(wù)器不驗(yàn)證信息源。D、DNS服務(wù)器數(shù)據(jù)庫(kù)可以注入偽造的校驗(yàn)和。答案：C192.在測(cè)試工業(yè)控制系統(tǒng)(ICS)的安全漏洞時(shí),主要考慮什么?A、ICS通常在UNIX操作系統(tǒng)上運(yùn)行。B、ICS通常沒有可用性要求。C、ICS通常對(duì)意外流量很敏感。D、ICS通常是孤立的,難以訪問。答案：C193.什么樣的測(cè)試技術(shù)使設(shè)計(jì)人員能夠針對(duì)潛在漏洞制定緩解策略?A、源代碼審查。B、威脅建模。C、滲透測(cè)試。D、人工檢查和審查。答案：B194.以下哪一項(xiàng)是新產(chǎn)品的安全設(shè)計(jì)原則?A、限制使用模塊化。B、不要依賴以前使用過的代碼。C、建立適當(dāng)級(jí)別的容錯(cuò)能力。D、盡可能使用混淆。答案：C195.限制對(duì)計(jì)算系統(tǒng)上文件系統(tǒng)的訪問的最佳方法是什么?A、在每個(gè)級(jí)別使用最低權(quán)限來限制訪問。B、限制所有用戶的訪問。C、允許用戶組限制訪問。D、使用第三方工具限制訪問。答案：A196.以下哪項(xiàng)關(guān)于信息資產(chǎn)的陳述最準(zhǔn)確?A、國(guó)際標(biāo)準(zhǔn)化組織(ISO)27001合規(guī)性規(guī)定了哪些信息資產(chǎn)必須包含在資產(chǎn)清單中。B、信息資產(chǎn)包括對(duì)組織有價(jià)值的任何信息。C、建立信息資產(chǎn)登記冊(cè)是一項(xiàng)資源密集型工作。D、風(fēng)險(xiǎn)評(píng)估不需要信息資產(chǎn)清單。答案：B197.已指派安全專家來評(píng)估Web應(yīng)用程序。評(píng)估報(bào)告建議切換到安全斷言標(biāo)記語(yǔ)言(SAML)。切換到SAML的主要安全優(yōu)勢(shì)是什么?A、它為Web應(yīng)用程序啟用單點(diǎn)登錄(SSO)。B、它使用傳輸層安全性(TLS)來解決機(jī)密性問題。C、它限制了Web表單上不必要的數(shù)據(jù)輸入。D、用戶的密碼在認(rèn)證過程中沒有通過。答案：D198.

什么最好地描述了機(jī)密性、完整性、可用性三元組?A、漏洞評(píng)估以了解組織數(shù)據(jù)的保護(hù)情況。B、確定組織風(fēng)險(xiǎn)級(jí)別的三步法。C、實(shí)施保護(hù)組織數(shù)據(jù)的安全系統(tǒng)。D、用于幫助了解如何保護(hù)組織數(shù)據(jù)的工具。答案：C199.當(dāng)懷疑兩個(gè)組織之間存在惡意行為時(shí),適用什么類型的調(diào)查?A、監(jiān)管。B、可操作的。C、民事。D、犯罪。答案：C200.哪種算法從在有限域中計(jì)算離散對(duì)數(shù)的困難中獲得了安全性,并用于分發(fā)密鑰,但不能用于加密或解密消息?A、Kerberos。B、數(shù)字簽名算法(DSA)。C、迪菲-赫爾曼。D、Rivest-Shamir-Adleman(RSA)。答案：C201.如果廣域網(wǎng)(WAN)支持諸如Internet協(xié)議語(yǔ)音(VoIP)之類的融合應(yīng)用程序,那么以下哪一項(xiàng)對(duì)于網(wǎng)絡(luò)的保障更為重要?A、邊界路由。B、無類域間路由(CIDR)。C、互聯(lián)網(wǎng)協(xié)議(IP)路由查找。D、確定性路由g.答案：C202.移動(dòng)設(shè)備最常見的安全風(fēng)險(xiǎn)是什么?A、數(shù)據(jù)欺騙。B、惡意軟件感染。C、不安全的通信鏈路。D、數(shù)據(jù)泄露。答案：D203.災(zāi)難恢復(fù)(DR)過程應(yīng)始終包括:A、定期庫(kù)存審查。B、財(cái)務(wù)數(shù)據(jù)分析。C、計(jì)劃維護(hù)。D、定期供應(yīng)商審查。答案：C204.一家醫(yī)院允許遠(yuǎn)程數(shù)據(jù)庫(kù)開發(fā)人員訪問虛擬專用網(wǎng)絡(luò)(VPN)。在審核內(nèi)部配置后,網(wǎng)絡(luò)管理員發(fā)現(xiàn)啟用了拆分隧道。這個(gè)配置有什么問題?A、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)將無法檢查安全套接字層(SSL)流量。B、遠(yuǎn)程會(huì)話不需要多層認(rèn)證。C、允許遠(yuǎn)程客戶端與公共和專用網(wǎng)絡(luò)交換流量。D、在特定情況下可以利用多個(gè)Internet協(xié)議安全(IPSec)隧道。答案：C205.一家大型組織的人力資源和安全團(tuán)隊(duì)正計(jì)劃實(shí)施技術(shù)以消除手動(dòng)用戶訪問審查并提高合規(guī)性。以下哪個(gè)選項(xiàng)最有可能解決與用戶訪問相關(guān)的問題?A、實(shí)施特權(quán)訪問管理(PAM)系統(tǒng)。B、實(shí)施基于角色的訪問控制(RBAC)系統(tǒng)。C、實(shí)施身份和訪問管理(IAM)平臺(tái)。D、實(shí)施單點(diǎn)登錄(SSO)平臺(tái)。答案：C206.用戶可以訪問標(biāo)有“財(cái)務(wù)預(yù)測(cè)”的文件,但僅限于周一至周五上午9:00至下午5:00之間。應(yīng)該使用哪種類型的訪問機(jī)制來實(shí)現(xiàn)這一點(diǎn)?A、最小訪問控制。B、有限的基于角色的訪問控制(RBAC)。C、訪問控制列表(ACL)。D、基于規(guī)則的訪問控制。答案：D207.在設(shè)計(jì)信息物理系統(tǒng)(CPS)時(shí),安全從業(yè)人員應(yīng)首先考慮以下哪項(xiàng)?A、檢測(cè)老練的攻擊者。B、用于系統(tǒng)的網(wǎng)絡(luò)拓?fù)?。C、系統(tǒng)風(fēng)險(xiǎn)評(píng)估。D、系統(tǒng)的彈性。答案：D208.通知安全團(tuán)隊(duì)網(wǎng)絡(luò)上的設(shè)備感染了惡意軟件。以下哪項(xiàng)在使設(shè)備能夠快速定位和修復(fù)方面最有效?A、數(shù)據(jù)丟失保護(hù)(DLP)。B、入侵檢測(cè)。C、漏洞掃描器r。D、信息技術(shù)資產(chǎn)管理(ITAM)。答案：D209.一個(gè)組織希望通過Internet與其合作伙伴安全地共享數(shù)據(jù)。通常使用哪個(gè)標(biāo)準(zhǔn)端口來滿足此要求?A、在用戶數(shù)據(jù)報(bào)協(xié)議(UDP)端口69上設(shè)置服務(wù)器B、在傳輸控制協(xié)議(TCP)端口21上設(shè)置服務(wù)器C、在傳輸控制協(xié)議(TCP)端口22上設(shè)置服務(wù)器D、在傳輸控制協(xié)議(TCP)端口80上設(shè)置服務(wù)器答案：C210.從安全運(yùn)營(yíng)的角度來看,以下哪些外包協(xié)議條款具有最高優(yōu)先級(jí)?A、防止使用分包商的條件。B、發(fā)生災(zāi)難時(shí)重新談判合同的條款。C、應(yīng)用程序性能問題的根本原因分析。D、事件期間問題解決的升級(jí)流程。答案：D211.國(guó)防工業(yè)中的一家公司已被指示遵守對(duì)政府客戶的受控非機(jī)密信息(CUI)加密的合同要求。什么加密策略代表了如何以最有效和最具成本效益的方式保護(hù)靜態(tài)數(shù)據(jù)?A、執(zhí)行節(jié)目信息的邏輯分離,在后端磁盤系統(tǒng)中使用具有加密管理的虛擬化存儲(chǔ)解決方案。B、執(zhí)行程序信息的邏輯分離,在虛擬化層使用內(nèi)置加密的虛擬化存儲(chǔ)解決方案。C、對(duì)程序信息進(jìn)行物理分離,只加密國(guó)防客戶認(rèn)為關(guān)鍵的信息。D、在整個(gè)存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)中實(shí)施靜態(tài)數(shù)據(jù)加密。答案：D212.強(qiáng)制訪問控制(MAC)有什么用?A、允許基于敏感度的強(qiáng)制性用戶身份和密碼。B、允許強(qiáng)制系統(tǒng)管理員對(duì)對(duì)象進(jìn)行訪問控制。C、允許標(biāo)記敏感用戶帳戶以進(jìn)行訪問控制。D、允許基于標(biāo)簽表示的敏感度的對(duì)象安全性。答案：D213..對(duì)于已經(jīng)獲得網(wǎng)絡(luò)訪問權(quán)并試圖轉(zhuǎn)向其他資源的黑客,最有效的反應(yīng)是什么?A、警告用戶違規(guī)。B、重置所有密碼。C、分割網(wǎng)絡(luò)。D、關(guān)閉網(wǎng)絡(luò)。答案：C214.實(shí)施安全程序時(shí),最合適的文檔層次結(jié)構(gòu)是什么?A、方針、組織原則、標(biāo)準(zhǔn)、方針。B、標(biāo)準(zhǔn)、政策、組織原則、指南。C、組織原則、方針、標(biāo)準(zhǔn)、方針。D、組織原則、方針、政策、標(biāo)準(zhǔn)。答案：C215.一家決定遷移到云的公司的首席信息安全官(CISO)的任務(wù)是確保最佳的安全級(jí)別。以下哪一項(xiàng)是首要考慮因素?A、分析公司的應(yīng)用程序和數(shù)據(jù)庫(kù)以確定相關(guān)的控制要求。B、要求獨(dú)立第三方完成對(duì)云供應(yīng)商的安全風(fēng)險(xiǎn)評(píng)估。C、定義云遷移路線圖并確定應(yīng)將哪些應(yīng)用程序和數(shù)據(jù)存儲(chǔ)庫(kù)遷移到云中。D、確保云供應(yīng)商與公司之間的合同明確規(guī)定了運(yùn)營(yíng)安全控制的責(zé)任。答案：C216.安全設(shè)計(jì)過程在系統(tǒng)開發(fā)生命周期(SDLC)內(nèi)確保以下哪一項(xiàng)?A、適當(dāng)?shù)貑?dòng)適當(dāng)?shù)陌踩刂啤踩繕?biāo)和安全目標(biāo)。B、正確進(jìn)行安全目標(biāo)、安全目標(biāo)和系統(tǒng)測(cè)試。C、正確執(zhí)行適當(dāng)?shù)陌踩刂啤踩繕?biāo)和故障緩解。D、正確啟動(dòng)安全目標(biāo)、適當(dāng)?shù)陌踩刂坪万?yàn)證。答案：A217.什么類型的風(fēng)險(xiǎn)與組織中進(jìn)行的增值和管理活動(dòng)的順序相關(guān)?A、控制風(fēng)險(xiǎn)。B、需求風(fēng)險(xiǎn)。C、供應(yīng)風(fēng)險(xiǎn)。D、過程風(fēng)險(xiǎn)。答案：D218.確保物理周邊保護(hù)的最佳設(shè)計(jì)是什么?A、閉路電視(CCTV)。B、業(yè)務(wù)連續(xù)性計(jì)劃(BCP)。C、屏障、柵欄、大門和墻壁。D、通過環(huán)境設(shè)計(jì)預(yù)防犯罪(CPTED)。答案：D219.軟件開發(fā)人員希望編寫能夠安全且僅按預(yù)期執(zhí)行的代碼。以下哪種編程語(yǔ)言類型最有可能實(shí)現(xiàn)這一目標(biāo)?A、弱類型。B、動(dòng)態(tài)類型。C、強(qiáng)類型。D、靜態(tài)類型。答案：C220.企業(yè)正在制定其供應(yīng)商在獲得合同之前必須滿足的基線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。以下關(guān)于基線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的陳述中哪一項(xiàng)是正確的?A、應(yīng)表述為一般要求。B、應(yīng)表述為技術(shù)要求。C、應(yīng)該用商業(yè)術(shù)語(yǔ)來表達(dá)。D、應(yīng)該用法律術(shù)語(yǔ)來表達(dá)。答案：B221.員工培訓(xùn)、風(fēng)險(xiǎn)管理和數(shù)據(jù)處理程序和政策可以被描述為哪種類型的安全措施?A、預(yù)防性的。B、管理。C、非必要的。D、行政。答案：D222.首席信息安全官(CISO)要求具有身份和訪問管理(IAM)職責(zé)的系統(tǒng)安全專家(CISSP)對(duì)Web應(yīng)用程序執(zhí)行漏洞評(píng)估,以通過支付卡行業(yè)(PCI)審核。CISSP以前從未這樣做過。根據(jù)(ISC)職業(yè)道德準(zhǔn)則,CISSP應(yīng)執(zhí)行以下哪項(xiàng)?A、通知CISO他們無法執(zhí)行任務(wù),因?yàn)樗麄儜?yīng)該只提供他們完全勝任和合格的服務(wù)。B、由于他們是CISSP認(rèn)證的,他們有足夠的知識(shí)來協(xié)助請(qǐng)求,但需要幫助才能及時(shí)完成。C、在繼續(xù)完成之前查看執(zhí)行漏洞評(píng)估的CISSP指南。D、在執(zhí)行漏洞評(píng)估之前查看PCI要求。答案：A223.在季度系統(tǒng)訪問審查中,發(fā)現(xiàn)了一個(gè)在生產(chǎn)系統(tǒng)的先前審查中不存在的活動(dòng)特權(quán)帳戶。該帳戶是在上次訪問審核后一小時(shí)創(chuàng)建的。除了季度訪問審查之外,以下哪一項(xiàng)是降低總體風(fēng)險(xiǎn)的最佳選擇?A、實(shí)施雙年度審查。B、創(chuàng)建系統(tǒng)訪問策略。C、實(shí)施和審查基于風(fēng)險(xiǎn)的警報(bào)。D、提高日志記錄級(jí)別。答案：B224.以下哪項(xiàng)最適合收集零日攻擊的證據(jù)?A、蜜罐。B、反垃圾郵件。C、防病毒。D、防火墻。答案：A225.路由器上的訪問控制列表(ACL)是最類似于哪種類型的防火墻的功能?A、狀態(tài)防火墻。B、包過濾防火墻。C、應(yīng)用網(wǎng)關(guān)防火墻。D、啟發(fā)式防火墻。答案：B226.

為安全意識(shí)、培訓(xùn)和教育計(jì)劃創(chuàng)建和報(bào)告指標(biāo)的主要目的是什么?A、衡量項(xiàng)目對(duì)組織員工的影響。B、讓所有利益相關(guān)者了解項(xiàng)目的進(jìn)展。C、促進(jìn)對(duì)定期培訓(xùn)活動(dòng)的監(jiān)督。D、遵守法律法規(guī)并記錄安全實(shí)踐中的盡職調(diào)查。答案：A227.以下哪個(gè)示例最適合最小化客戶私人信息的攻擊面?A、數(shù)據(jù)屏蔽。B、認(rèn)證。C、混淆。D、收集限制。答案：D228.以下哪一項(xiàng)是支持?jǐn)?shù)字簽名文檔的不可否認(rèn)性所需的主要加密類型?A、散列。B、消息摘要(MD)。C、對(duì)稱的。D、不對(duì)稱。答案：D229.什么級(jí)別的獨(dú)立磁盤冗余陣列(RAID)主要配置用于高性能數(shù)據(jù)讀取和寫入?A、RAID-0。B、RAID-1。C、RAID-5。D、RAID-6。答案：A230.以下哪一項(xiàng)是在設(shè)施內(nèi)安裝捕鼠器的主要目的?A、控制交通。B、控制氣流。C、防止捎帶。D、防止快速移動(dòng)。答案：C231.以下哪種攻擊類型可用于破壞傳輸過程中的數(shù)據(jù)完整性?A、同步泛洪。B、會(huì)話劫持。C、鍵盤記錄。D、數(shù)據(jù)包嗅探。答案：B232.以下哪一項(xiàng)最能保護(hù)用于緊急維護(hù)的供應(yīng)商帳戶?A、應(yīng)在需要時(shí)禁用供應(yīng)商訪問。B、經(jīng)常監(jiān)控供應(yīng)商訪問。C、基于角色的訪問控制(RBAC)。D、路由表的加密。答案：C233.在制定組織的信息安全預(yù)算時(shí),重要的是:A、請(qǐng)求的資金與預(yù)期的違規(guī)成本相等。B、預(yù)期風(fēng)險(xiǎn)可以通過分配的資金進(jìn)行適當(dāng)?shù)墓芾怼、申請(qǐng)的資金是與其他領(lǐng)域共享資金池的一部分。D、對(duì)組織的預(yù)期風(fēng)險(xiǎn)不超過分配的資金。答案：B234.在進(jìn)行有可能采取法律行動(dòng)的調(diào)查時(shí),分析師的首要考慮是什么?A、數(shù)據(jù)解密。B、監(jiān)管鏈。C、授權(quán)收集。D、法院可受理性。答案：B235.在允許Web應(yīng)用程序進(jìn)入生產(chǎn)環(huán)境之前,安全從業(yè)人員執(zhí)行多種類型的測(cè)試以確認(rèn)Web應(yīng)用程序按預(yù)期執(zhí)行。為了測(cè)試用戶名字段,安全從業(yè)人員創(chuàng)建了一個(gè)測(cè)試,在該字段中輸入的字符數(shù)超過了允許的字符數(shù)。以下哪項(xiàng)最好描述了所執(zhí)行的測(cè)試類型?A、誤用案例測(cè)試。B、接口測(cè)試。C、Web會(huì)話測(cè)試。D、滲透測(cè)試。答案：A236.一家公司正在從V模型轉(zhuǎn)向敏捷開發(fā)。信息安全部門如何最好地確保在新方法中實(shí)施安全設(shè)計(jì)原則?A、信息安全要求包含在強(qiáng)制性用戶故事中。B、所有開發(fā)人員都接受強(qiáng)制性的針對(duì)性信息安全培訓(xùn)。C、信息安全部門在每個(gè)sprint之后進(jìn)行信息安全評(píng)估。D、新模型的非金融信息安全要求仍然是強(qiáng)制性的。答案：A237.一名新員工正式向組織安全團(tuán)隊(duì)報(bào)告了可疑行為。該報(bào)告聲稱,與該組織無關(guān)的人正在詢問該成員的工作地點(diǎn)、工作年限和建筑物訪問控制。員工的報(bào)告最有可能是以下哪項(xiàng)的結(jié)果?A、安全工程。B、安全意識(shí)。C、網(wǎng)絡(luò)釣魚。D、風(fēng)險(xiǎn)規(guī)避。答案：B238.一個(gè)組織正在使用對(duì)稱密碼實(shí)施數(shù)據(jù)加密,首席信息官(CIO)擔(dān)心使用一個(gè)密鑰來保護(hù)所有敏感數(shù)據(jù)的風(fēng)險(xiǎn)。安全從業(yè)人員的任務(wù)是推薦解決CIO顧慮的解決方案。以下哪一項(xiàng)是通過加密所有敏感數(shù)據(jù)來實(shí)現(xiàn)目標(biāo)的最佳方法?A、使用安全散列算法256(SHA-256)。B、使用Rivest-Shamir-Adleman(RSA)密鑰。C、使用加密密鑰的層次結(jié)構(gòu)。D、使用散列消息驗(yàn)證碼(HMAC)密鑰。