CISSP認證考試(訪問控制)模擬試卷1(題后含答案及解析)

CISSP認證考試(訪問控制)模擬試卷1(題后含答案及解析)題型有：1.1．Whichofthefollowingdoesnotcorrectlydescribeadirectoryservice?A．Itmanagesobjectswithinadirectorybyusingnamespaces.B．Itenforcessecuritypolicybycarryingoutaccesscontrolandidentitymanagementfunctions.C．ItassignsnamespacestoeachobjectindatabasesthatarebasedontheX.509standardandareaccessedbyLDAP.D．Itallowsanadministratortoconfigureandmanagehowidentificationtakesplacewithinthenetwork.正確答案：C解析：C正確。大多數(shù)企業(yè)都有包含公司網(wǎng)絡(luò)資源和用戶信息的某種類型的目錄?；赬.500標準(不是X.509)和一種協(xié)議類型，即輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol,LDAP),大多數(shù)目錄都遵循分層的數(shù)據(jù)庫結(jié)構(gòu)，允許主體和應用程序與這個目錄進行交互。應用程序可以通過向目錄提出一個LDAP請求來獲得某一特定用戶的信息；用戶也可以使用相似請求獲得某個特定資源的信息。目錄服務(wù)基于X.500標準，給數(shù)據(jù)庫中的每個客體分配一個LDAP可訪問的可分辨名稱(distinguishednames)。每一個可分辨名稱都代表著某個特定客體的屬性的集合，并作為一個條目存儲在目錄中。A不正確。因為層次數(shù)據(jù)庫中的客體都是通過日錄服務(wù)進行管理的。目錄服務(wù)允許管理員配置和管理網(wǎng)絡(luò)內(nèi)的身份識別、身份驗證、授權(quán)和訪問控制如何進行。目錄內(nèi)的客體都被貼上標簽并用命名空間來標識，這也是目錄服務(wù)保證客體有序的方式。B不正確。因為目錄服務(wù)的確通過控制訪問和身份管理功能加強了配置好的安全策略。例如,當用戶登錄到Windows環(huán)境中的一個域控制器時，目錄服務(wù)(活動目錄‘ActiveDirectory)便可以確定出他能訪問哪些網(wǎng)絡(luò)資源，不能訪問哪些資源。D不正確。因為目錄服務(wù)的確允許管理員配置和管理網(wǎng)絡(luò)內(nèi)部身份識別的方式。它同時也允許對身份驗證、授權(quán)和訪問控制進行配置和管理。知識模塊：訪問控制2.HannahhasbeenassignedthetaskofinstallingWebaccessmanagement(WAM)software.WhatisthebestdescriptionforwhatWAMiscommonlyusedfor?ControlexternalentitiesrequestingaccessthroughX.500databasesControlexternalentitiesrequestingaccesstointernalobjectsControlinternalentitiesrequestingaccessthroughX.500databasesControlinternalentitiesrequestingaccesstoexternalobjects正確答案：B解析：B正確。Web訪問管理(WebAccessManagement，WAM)軟件控制著用戶在使用Web瀏覽器與基于Web的企業(yè)資產(chǎn)進行交互時能訪問的內(nèi)容。隨著電子商務(wù)、在線銀行、內(nèi)容提供和Web服務(wù)等使用的日益增長，這類技術(shù)變得越來越強大，應用也越來越多。Web訪問控制管理流程中最基本的部分和活動如下：a）用戶向Web服務(wù)器發(fā)送證書；b）Web服務(wù)器驗證用戶的證書；c）用戶請求訪問某個資源（客體）；d）Web服務(wù)器使用安全策略確定是否允許該用戶執(zhí)行此操作：e）Web服務(wù)器允許/拒絕訪問請求訪問的資源。A不正確。因為目錄服務(wù)應該在X.500數(shù)據(jù)庫 不是Web訪問管理軟件 的目錄中進行訪問控制。目錄服務(wù)管理入口和數(shù)據(jù)，并通過實施強制訪問控制和身份管理功能來鞏固已配置的安全策略。活動目錄和NetWare目錄服務(wù)（NDS）就屬于目錄服務(wù)的例子。盡管基于Web的訪問請求可能針對的是數(shù)據(jù)庫中的客體，但WAM主要控制Web瀏覽器和服務(wù)器之間的通信。Web服務(wù)器通常通過目錄服務(wù)與后端數(shù)據(jù)庫進行通信。C不正確。因為當內(nèi)部實體使用LDAP請求訪問X.500數(shù)據(jù)庫時，目錄服務(wù)應該執(zhí)行訪問控制。這種類型的數(shù)據(jù)庫為所有客體（主體和資源）提供了一種分層結(jié)構(gòu)。目錄服務(wù)為每一個客體制定一個獨一無二的可分辨名稱，并根據(jù)需要將對應的屬性追加到每個客體后面。目錄服務(wù)實行安全策略（由管理員配置）來控制主體和客體的交互方式。如果基于Web的訪問請求針對的可能是數(shù)據(jù)庫中的客體，WAM主要控制的是Web瀏覽器和服務(wù)器之間的通信。盡管WAM可以用于內(nèi)部到內(nèi)部的通信，但它主要是為了外部到內(nèi)部的通信而開發(fā)的。B選項是這4個選項中的最佳答案。D不正確。因為WAM軟件主要用于控制外部實體對內(nèi)部客體的請求訪問，而不是這個答案項所描述的。例如，銀行可能會使用WAM控制顧客訪問后端賬戶數(shù)據(jù)。知識模塊：訪問控制3.Thereareseveraltypesofpasswordmanagementapproachesusedbyidentitymanagementsystems.Whichofthefollowingreduceshelp-deskcallvolume,butisalsocriticizedfortheeasewithwhichahackercouldgainaccesstomultipleresourcesifapasswordiscompromised?ManagementpasswordresetSelf-servicepasswordresetPasswordsynchronizationAssistedpasswordreset正確答案：C解析：C正確。密碼同步（passwordsynchronization）的設(shè)計初衷是為了減少不同系統(tǒng)使用不同密碼的復雜性。密碼同步技術(shù)允許用戶通過把密碼透明地同步到其他系統(tǒng)和應用程序，從而能夠為多個系統(tǒng)只維護一個密碼，而不必記住多個系統(tǒng)的多個密碼。這種方法減少了信息臺的電話量。這種方法的缺點是，因為只用一個密碼便可訪問不同的資源，那么黑客僅須破解這一個憑據(jù)集便可未經(jīng)授權(quán)訪問所有的資源。A不正確。因為沒有這樣的管理密碼重置。這是一個干擾項。最常見的密碼管理方法有密碼同步、自助密碼重置和輔助密碼重置。B不正確。因為自助密碼重置不一定需要處理多個密碼。然而，它的確有助于減低密碼有關(guān)信息臺的整體電話流量。在自助密碼重置的情況下，用戶可以重新設(shè)置他們的密碼。例如，如果一個用戶忘記了自己的密碼，他可能立即會被提示回答他在注冊過程中設(shè)定的問題。如果他的回答與他在注冊時提供的信息一致，那么他便可以更改密碼。D不正確。因為輔助密碼重置不一定需要處理多個密碼。它先讓信息臺驗證用戶的信息，然后才允許用戶重置密碼，這樣縮短了密碼問題的解決流程。必須通過密碼管理工具對呼叫者的身份進行識別和驗證后才能允許其更改密碼。一旦密碼被更新，正在認證用戶的這個系統(tǒng)應該要求該用戶再次更改其密碼。這樣可以確保只有該用戶(而不是其他用戶或信息中心的人)知道這個密碼。這種輔助密碼重置產(chǎn)品的目的是減少支持呼叫的成本，并確保所有的呼叫都以統(tǒng)一、連貫和安全的方式得到處理。知識模塊：訪問控制4．Anumberofattackscanbeperformedagainstsmartcards.Side-channelisaclassofattacksthatdoesn'ttrytocompromiseaflaworweakness.Whichofthefollowingisnotaside-channelattack?A．DifferentialpoweranalysisB．MicroprobinganalysisC．TiminganalysisD．Electromagneticanalysis正確答案：B解析：B正確。非侵入性攻擊是指攻擊者觀察事物的工作方式以及不同情況下的反應方式、而不是指采取更多的侵入措施試圖侵入的攻擊方式。旁道攻擊的例子有故障生成、差分功率分析、電磁分析、時序分析和軟件攻擊等。這種類型的攻擊常用來發(fā)現(xiàn)關(guān)于組件在不破解任何類型的缺陷或弱點的情況下如何工作的敏感信息。更具攻擊性的智能卡攻擊是微探測(microprobing)攻擊。微探測使甩針頭和超聲波振動去除智能卡電路上的外層保護材料。一旦成功，便可通過直接接入卡的ROM芯片訪問和操縱數(shù)據(jù)。A不正確。因為差分功率風險(DifferentialPowerAnalysis，DPA)是一種非侵入式攻擊。DPA涉及檢查處理過程中的功率發(fā)射。例如，攻擊者通過統(tǒng)計分析來自多重加密操作的數(shù)據(jù)，能夠確定加密運算中的中間值。攻擊者甚至無須了解目標設(shè)備的設(shè)計方式便可以做到。因此，攻擊者能夠從卡上提取加密密鑰或其他敏感信息。C不正確。因為時序分析是一種非侵入式攻擊。它指的是計算某一特定功能完成它的任務(wù)所花費的時間。這種攻擊基于測量不同加密算法所需的時間。例如，通過觀察一張智能卡傳輸密鑰信息的時間，有時便可能判斷出這種情況下的密鑰長度。D不正確。因為電磁分析需要檢查發(fā)射頻率，屬于非侵入式攻擊。所有電流都會發(fā)射電磁放射物。因此，在智能卡中，功耗和電磁場會隨著數(shù)據(jù)的處理而變化。電磁分析試圖通過找出數(shù)據(jù)和電磁發(fā)射的關(guān)系，從而發(fā)現(xiàn)智能卡上的密鑰或其他敏感信息。知識模塊：訪問控制5．Whichofthefollowingdoesnotdescribeprivacy-awarerole-basedaccesscontrol?A．Itisanexampleofadiscretionaryaccesscontrolmodel.B．Detailedaccesscontrolsindicatethetypeofdatathatuserscanaccessbasedonthedata'slevelofprivacysensitivity.C．Itisanextensionofrole-basedaccesscontrol.D．Itshouldbeusedtointegrateprivacypoliciesandaccesscontrolpolicies.正確答案：A解析：A正確。使用自主訪問控制(DiscretionaryAccessControl，DAC)的系統(tǒng)允許資源的所有者指定哪些主體能夠訪問特定的資源。這個模式之所以稱為自主是因為訪問控制是建立在所有者的判斷的基礎(chǔ)之上。在很多情況下，部門經(jīng)理或者業(yè)務(wù)部門經(jīng)理就是他們特定部門的數(shù)據(jù)所有者。作為所有者，他們能指定誰應該擁有訪問權(quán)，誰不應該擁有訪問權(quán)。具有隱私意識的角色訪問控制是基于角色訪問控制(Role-BasedAccessControl,RBAC)的一個延伸。訪問控制模式主要有三種：DAC、強制訪問控制(MandatoryAccessControl,MAC)和RBAC。具有隱私意識的角色訪問控制是RBAC的一種，而不屬于DAC。B不正確。因為具有隱私意識的角色訪問控制基于的是一種詳細的訪問控制，該訪問控制根據(jù)數(shù)據(jù)的隱私敏感程度，指明了用戶可以訪問的數(shù)據(jù)類型。其他訪問控制模式，如MAC、DAC和RBAC，自己本身并不保護數(shù)據(jù)隱私，而是提供用戶可以執(zhí)行的功能來保護數(shù)據(jù)隱私。例如，經(jīng)理們可能可以訪問某個隱私文件，但更詳細的訪問控制也是必需的，例如經(jīng)理們可以訪問的是客戶的家庭住址而不是社會保險號碼。當涉及諸如社會保險號碼和信用卡信息等敏感隱私信息時，該行業(yè)已經(jīng)發(fā)展到需要更加專注細節(jié)的訪問控制，這也是為什么具有隱私意識的角色訪問控制得以發(fā)展的原因。C不正確。因為具有隱私意識的角色訪問控制是基于角色訪問控制的擴展。訪問權(quán)利是基于用戶在公司內(nèi)的角色和職責，以及他們需要訪問數(shù)據(jù)的隱私程度來確定的。D不正確。因為在使用具有隱私意識的角色訪問控制時，隱私策略和訪問控制策略所用的語言應該相同或者兼容。使用具有隱私意識的角色訪問控制的目的是使得訪問控制更加具體并專注于隱私相關(guān)的數(shù)據(jù)，因此，它應該使用與組織最初的訪問控制策略和標準相同類型的術(shù)語和語言。知識模塊：訪問控制6．WhatwasthedirectpredecessortoStandardGeneralizedMarkupLanguage(SGML)?A．HypertextMarkupLanguage(HTML)B．ExtensibleMarkupLanguage(XML)C．LaTeXD．GeneralizedMarkupLanguage(GML)正確答案：D解析：D正確。標記語言是一種規(guī)定文本結(jié)構(gòu)以及文本如何顯示的方法。當你在使用Word處理器來調(diào)整邊距和其他格式時，你就是在使用Word處理器的標記語言來標記該文本。網(wǎng)頁開發(fā)也是在使用某種標記語言。你可以控制它的外觀以及頁面提供的某些實際功能。超文本標記語言(HypertextMarkupLanguage，HTML)出現(xiàn)于20世紀90年代初期，它源于標準通用標記語言 (StandardGeneralizedMarkupLanguage，SGML)，而后者則源于通用標記語言(GeneralizedMarkupLanguage，GML)。GML是20世紀60年代為IBM的文本格式SCRIPT/VS開發(fā)的一種宏語言。GML標記簡化了對文檔顯示(字體、結(jié)構(gòu)等)的描述。一旦某個文檔被標記了，則無須修改該文檔便可以將它格式化為適用于不同設(shè)備(如打印機)的格式。GML常被用作行業(yè)制定SGML的基礎(chǔ)。盡管GML是一種結(jié)構(gòu)化文檔描述語言，但SGML卻是創(chuàng)建這種語言的一套規(guī)則。SGML的出現(xiàn)是為了共享可機讀的文檔。它廣泛應用于多種行業(yè)，包括政府、軍事和法律。A不正確。因為HTML來自于SGML。HTML出現(xiàn)于20世紀90年代早期，并逐漸發(fā)展成為一個注釋網(wǎng)頁文本的體系。SGML是一個ISO標準，它定義了通用的文檔標記語言。HTML是物理學家TimBerners-Lee在歐洲粒子物理研究所（EuropeanOrganizationforNuclearResearch,CERN）時創(chuàng)建的，其日的是文檔的共享和使用。HTML是基于SGML的一個內(nèi)部版本，叫SGMLguid，所以它最初被定義為SGML的一種應用。如今，Web瀏覽器常用文本和圖像格式化語言來動態(tài)地格式化網(wǎng)頁。B不正確。因為可擴展標記語言（ExtensibleMarkupLanguage，XML）出現(xiàn)在SGML之后，并發(fā)展成一種創(chuàng)建各種標記語言的規(guī)范。根據(jù)這個規(guī)范，更具體的XML標準被創(chuàng)建，能夠為不同行業(yè)提供他們所需的功能。不同行業(yè)對標記語言的使用方式有不同的需求。SGML不是一個旨在創(chuàng)建個性和不同標記語言的規(guī)范。C不正確。因為作為TeX繼任者的LaTeX編寫于20世紀80年代早期。它是與TeX排版程序一起使用的標記語言和文檔準備系統(tǒng)。LaTeX最為常見的用戶是學術(shù)學者。LaTeX與TeX一起為大家提供了高質(zhì)量的排版系統(tǒng)。知識模塊：訪問控制7．Brianhasbeenaskedtoworkonthevirtualdirectoryofhiscompany'snewidentitymanagementsystem.Whichofthefollowingbestdescribesavirtualdirectory?A．Meta-directoryB．UserattributeinformationstoredinanHRdatabaseC．VirtualcontainerfordatafrommultiplesourcesD．Aservicethatallowsanadministratortoconfigureandmanagehowidentificationtakesplace正確答案：C解析：C正確。網(wǎng)絡(luò)目錄是一個用戶和網(wǎng)絡(luò)資源的容器。一個目錄無法包含（或知道）企業(yè)內(nèi)的所有用戶和資源，因此，必須使用一個目錄集。虛擬目錄從遍布于整個網(wǎng)絡(luò)資源處搜集必要的信息，并把它們存儲在一個中央虛擬目錄（虛擬容器）中。這樣就能提供整個企業(yè)所有用戶數(shù)字身份信息的統(tǒng)一視圖。這個虛擬目錄會定期與所有的身份存儲中心（單個的網(wǎng)絡(luò)目錄）進行同步，從而確保企業(yè)內(nèi)所有應用程序和身份管理組件使用的都是最新的信息。A不正確。因為雖然虛擬目錄與元目錄很相似，但元目錄是與一個目錄一起工作而虛擬目錄是與多個數(shù)據(jù)源一起工作。當某個身份管理組件向某個虛擬目錄發(fā)起請求時，它能夠瀏覽整個企業(yè)內(nèi)部不同的目錄，而元目錄僅僅能瀏覽與之關(guān)聯(lián)的一個目錄。B不正確。因為這個答案是對身份存儲中心的最佳描述。存儲在某個身份管理目錄中的大量信息散布于整個企業(yè)。用戶屬性信息（員工狀態(tài)、工作描述、部門，等等）通常存儲在HR數(shù)據(jù)庫中，驗證信息可能位于某個Kerberos服務(wù)器中，角色和分組識別信息可能在SQL數(shù)據(jù)庫中，而與資源有關(guān)的驗證信息則可能存儲于控制器的活動目錄中。這些通常都被稱為身份存儲中心，并位于網(wǎng)絡(luò)的不同地方。許多身份管理產(chǎn)品使用虛擬目錄來調(diào)用這些身份存儲中心里的數(shù)據(jù)。D不正確。因為這個答案描述的是目錄服務(wù)。目錄服務(wù)允許管理員配置和管理在網(wǎng)絡(luò)內(nèi)部如何進行身份識別、身份驗證、授權(quán)和訪問控制。目錄服務(wù)利用命名空間來管理目錄內(nèi)的客體，并通過執(zhí)行訪問控制和身份管理功能來落實已配置的安全策略。知識模塊：訪問控制8．Emilyislisteningtonetworktrafficandcapturingpasswordsastheyaresenttotheauthenticationserver.Sheplanstousethepasswordsaspartofafutureattack.Whattypeofattackisthis?A．Brute-forceattackB．DictionaryattackC．SocialengineeringattackD．Replayattack正確答案：D解析：D正確。重放攻擊即入侵者獲取并存儲信息，之后再用這些信息獲得未經(jīng)授權(quán)的訪問。在這種場景中，Emily使用的是一種叫做電子監(jiān)視(嗅探)的技術(shù)獲取了通過網(wǎng)絡(luò)發(fā)送給驗證服務(wù)器的密碼。之后她就可以用這密碼來訪問網(wǎng)絡(luò)資源。即使該密碼是加密的，有效憑證的重發(fā)仍能訪問這些網(wǎng)絡(luò)資源。A不正確。因為窮舉攻擊通常是使用循環(huán)嘗試所有可能的字母、數(shù)字和符號組合來試圖發(fā)現(xiàn)密碼的工具實現(xiàn)的。一個防止窮舉攻擊成功的方法就是限制系統(tǒng)登錄嘗試的次數(shù)。管理員可以設(shè)置某個用戶被鎖定前登錄失敗數(shù)日的操作參數(shù)，這是一種限制級別(clippinglevel)。B不正確。因為字典攻擊指的是自動將用戶密碼和成千上萬個單詞進行對比，直到發(fā)現(xiàn)匹配對的為止。字典攻擊之所以能成功是因為用戶往往選擇使用較短、單個單詞，或者字典中單詞可以預見的變體作為密碼。C不正確。因為在社會工程攻擊中，攻擊者欺騙性地讓別人相信他擁有訪問特定資源的權(quán)限。社會工程攻擊是直接針對人的，所以不被認為是一種技術(shù)攻擊。抵抗社會工程攻擊的最佳做法是用戶教育。應該安排講述密碼要求、保護和生成等問題的安全意識課程，讓用戶理解他們應該保護自己的密碼的原因以及密碼如何被盜等。知識模塊：訪問控制9．Whichofthefollowingcorrectlydescribesafederatedidentityanditsrolewithinidentitymanagementprocesses?A．AnonportableidentitythatcanbeusedacrossbusinessboundariesB．AportableidentitythatcanbeusedacrossbusinessboundariesC．AnidentitythatcanbeusedwithinintranetvirtualdirectoriesandidentitystoresD．Anidentityspecifiedbydomainnamesthatcanbeusedacrossbusinessboundaries正確答案：B解析：B正確。聯(lián)合身份是一種便攜式身份，它與其相關(guān)授權(quán)一起可以跨業(yè)務(wù)使用。聯(lián)合身份允許用戶擁有多個IT系統(tǒng)和企業(yè)的身份認證。身份聯(lián)合是把一個用戶在兩個或多個地點的其他不同身份聯(lián)系起來而無須同步或合并目錄信息。聯(lián)合身份為企業(yè)和消費者提供了一個更為便捷的訪問分布式資源的方式，它也是電子商務(wù)的一個關(guān)鍵組成部分。A不正確。因為聯(lián)合身份是便攜式的。如果不是便攜式的，它也就不可能在多種業(yè)務(wù)中使用——這是聯(lián)合身份的關(guān)鍵所在。隨著技術(shù)使人們和公司之間更為緊密，世界也不斷變得越來越小。很多時候當我們只與一個網(wǎng)站交互時，我們實際上在與幾個不同的公司交互——只是我們不知道而已。而我們不知道的原因就是這些公司共享我們的身份和驗證信息。這種做法提高了用戶使用的便捷性。C不正確。因為聯(lián)合身份旨在跨業(yè)務(wù)邊界使用，而不是在組織內(nèi)部使用。換句話說，聯(lián)合身份的應用不局限于擁有用戶數(shù)據(jù)的組織。使用聯(lián)合身份，使用不同目錄服務(wù)、安全和身份驗證技術(shù)的組織之間也可以共享應用程序，因此，用戶使用相同的用戶ID、密碼等便可登錄不同的應用程序。D不正確。因為聯(lián)合身份不由一個域名指定。聯(lián)合身份是一個便攜式身份和與之有關(guān)的權(quán)利。它包括登錄某個應用程序所需要的用戶名、密碼和其他私人標識信息。知識模塊：訪問控制10．Phishingandpharmingaresimilar.Whichofthefollowingcorrectlydescribesthedifferencebetweenphishingandpharming?A．Personalinformationiscollectedfromvictimsthroughlegitimate-lookingWebsitesinphishingattacks,whilepersonalinformationiscollectedfromvictimsviae-mailinpharmingattacks.B．Phishingattackspointe-mailrecipientstoaformwherevictimsinputpersonalinformation,whilepharmingattacksusepop-upformsatlegitimateWebsitestocollectpersonalinformationfromvictims.C．VictimsarepointedtoafakeWebsitewithadomainnamethatlookssimilartoalegitimatesite'sinaphishingattack,whilevictimsaredirectedtoafakeWebsiteasaresultofalegitimatedomainnamebeingincorrectlytranslatedbytheDNSserverD．Phishingisatechnicalattack,whilepharmingisatypeofsocialengineering.正確答案：C解析：C正確。在釣魚攻擊(phishingattack)和網(wǎng)址嫁接攻擊(pharmingattack)中，攻擊者都是通過創(chuàng)建與合法網(wǎng)站非常相似的網(wǎng)站，試圖獲取受害人的個人信息。在釣魚攻擊中，攻擊者提供的帶域名的URL看起來與合法網(wǎng)站的地址非常相似。例如，www.amazon,com可能變成?；蛘咛貏e放置一個@符號。如@可能會把受害人帶到網(wǎng)站，并誘使用戶輸入網(wǎng)站上的用戶名。而在上有效的用戶名在上卻不是有效的用戶名，所以受害人將看到的主頁?，F(xiàn)在，是一個看起來和非常相似的非法網(wǎng)站。受害者感覺自己訪問的是合法網(wǎng)站，于是再次使用他的證書登錄。而在網(wǎng)址嫁接攻擊中，受害者得到的是一個合法域名，這個合法域名又因為DNS中毒的原因重定向到攻擊者的網(wǎng)站上。如果DNS服務(wù)器中毒了并執(zhí)行網(wǎng)址嫁接攻擊，導致記錄被修改，以至于它向發(fā)送的是一個看似合法、但實則是攻擊者創(chuàng)建的虛假的IP地址，而不是正確的IP地址。A不正確。因為網(wǎng)址嫁接攻擊通常并不是利用電子郵件收集信息。實際上，網(wǎng)址嫁接攻擊給攻擊者帶來的好處就是他無須發(fā)送電子郵件便可以感染大量受害者。與釣魚攻擊一樣，網(wǎng)址嫁接攻擊利用一個看似合法實則偽造的網(wǎng)址。主機名由于DNS中毒而被錯誤地更改了解析，導致受害者被重定向到一個偽造的網(wǎng)站上。B不正確。因為兩種對釣魚攻擊的描述都是正確的。網(wǎng)址嫁接攻擊不使用彈出式窗口。不過，當受害者瀏覽某個合法網(wǎng)址時，有些釣魚攻擊會使用彈出式窗口。因此，假設(shè)你在瀏覽真的銀行網(wǎng)站時遇到一個彈出窗口，詢問你的一些敏感信息，這時你可能不會擔心，因為你正在與真正的銀行網(wǎng)站交互。你可能認為這個窗口來自于銀行的網(wǎng)絡(luò)服務(wù)器，于是你按照指導填寫了信息。但是，這個彈出窗口可能來自于完全不同的另一個來源，而且你的數(shù)據(jù)可能已經(jīng)到達攻擊者手中，而不是銀行的手中。D不正確。因為這兩種攻擊都是執(zhí)行社會工程攻擊的技術(shù)方法。釣魚工具是社會工程攻擊的一種，目的是獲取個人信息、憑證、信用卡號碼或者金融數(shù)據(jù)。攻擊者使用各種不同的方法引誘或者垂釣敏感信息，比如電子郵件和彈出式窗口等。網(wǎng)址嫁接攻擊牽涉DNS中毒。攻擊者修改DNS服務(wù)器中的記錄，可以把一個主機名解析為一個不正確的IP地址。受害者的系統(tǒng)向中毒的DNS服務(wù)器發(fā)送一個請求，這樣DNS會將受害者引到另外一個網(wǎng)址。這個網(wǎng)址看似與受害者請求訪問的網(wǎng)站一樣，所以用戶輸入用戶名和密碼之后看到的可能是看似合法的網(wǎng)頁。知識模塊：訪問控制11．Securitycountermeasuresshouldbetransparenttousersandattackers.Whichofthefollowingdoesnotdescribetransparency?A．Useractivitiesaremonitoredandtrackedwithoutnegativelyaffectingsystemperformance.B．Useractivitiesaremonitoredandtrackedwithouttheuserknowingaboutthemechanismthatiscarryingthisout.C．Usersareallowedaccessinamannerthatdoesnotnegativelyaffectbusinessprocesses.D．Unauthorizedaccessattemptsaredeniedandloggedwithouttheintruderknowingaboutthemechanismthatiscarryingthisout.正確答案：A解析：A正確。安全組件通常會以這樣或那樣的方式影響系統(tǒng)性能，盡管大多數(shù)情況下用戶察覺不到。如果系統(tǒng)的性能顯著變慢，那么很有可能是安全對策正在起作用?？刂浦詰撏该魇且驗橹挥羞@樣，用戶和入侵者才不至于知道得太多而禁用或者繞過它們?？刂埔膊粦摲恋K公司履行它必須履行的職能。B不正確。因為透明性指的是正在執(zhí)行監(jiān)督和跟蹤的活動是在用戶不知情的情況下進行的。雖然告訴用戶他們的計算機是否正被監(jiān)督是最佳做法，但卻沒有必要告訴他們是如何監(jiān)督的。如果用戶意識到監(jiān)督他們活動的這個機制，他們有可能會試圖禁用或者繞過它們。C不正確。因為安全性和可用性之間必須保持一個平衡。這意味著在不影響業(yè)務(wù)流程的情況下，只要適合應該允許用戶訪問。他們應該有能力完成自己的工作。D不正確。因為你不希望入侵者知道這個拒絕和記錄未經(jīng)授權(quán)的訪問企圖的機制正在工作。入侵者利用這個信息便可禁用或者繞過這個機制，從而成功地獲取未經(jīng)授權(quán)訪問網(wǎng)絡(luò)資源的權(quán)利。知識模塊：訪問控制12．Whatmarkuplanguageallowsforthesharingofapplicationsecuritypoliciestoensurethatallapplicationsarefollowingthesamesecurityrules?A．XMLB．SPMLC．XACMLD．GML正確答案：C解析：C正確。兩個或多個公司可以建立一個信任模式來共享身份標識、授權(quán)和身份驗證方法。這意味著如果Bill通過了他們公司軟件的驗證，那么這個軟件便可以將認證參數(shù)傳遞給公司合作伙伴的軟件。這使得Bill無須再次驗證便可以與合作伙伴的軟件進行交互。這可以通過可擴展訪問控制標記語言(eXtensibleAccessControlMarkupLanguage,XACML)來實現(xiàn)，它允許兩個或多個組織基于他們的信任模式來共享應用程序安全策略。XACML是一種在XML中實現(xiàn)的標記語言和處理模式。它聲明了訪問控制策略,并說明了如何解釋這些策略。A不正確。因為XML是一種利用電子方式編碼文檔和表示類似Web服務(wù)里面的數(shù)據(jù)結(jié)構(gòu)的方法。XML并非用于安全信息共享。它是一個開放的標準,比它的前身HTML更強健。XML本身不僅是一種標記語言，還是制定其他行業(yè)應用的XML標準的基礎(chǔ)。XML允許公司使用滿足它們不同需求的標記語言,同時還能保證彼此可以通信。B不正確。因為公司使用服務(wù)配置標記語言(ServiceProvisioningMarkupLanguage，SPML)來交換用戶、資源和服務(wù)配置信息而非應用安全信息。SPML是一種基于XML的框架，由結(jié)構(gòu)化信息標準促進組織(OrganizationfortheAdvancementofStructuredInformationStandards，OASIS)開發(fā)，其目標是允許企業(yè)平臺(如Web門戶和應用程序服務(wù)器)能夠生成跨不同公司的配置請求，從而安全快速地建立網(wǎng)絡(luò)服務(wù)和應用程序。D不正確。因為通用標記語言(GML)是IBM創(chuàng)建的文檔格式化的方法。它根據(jù)文檔的各個組成部分(章節(jié)、段落和列表等)以及它們之間的關(guān)系(標題級別)來描述文檔。GML是SGML和HTML的前身。知識模塊：訪問控制13．Theimportanceofprotectingauditlogsgeneratedbycomputersandnetworkdevicesishighlightedbythefactthatitisrequiredbymanyoftoday'sregulations.Whichofthefollowingdoesnotexplainwhyauditlogsshouldbeprotected?A．Ifnotproperlyprotected,theselogsmaynotbeadmissibleduringaprosecution.B．Auditlogscontainsensitivedataandshouldonlybeaccessibletoacertainsubsetofpeople.C．Intrudersmayattempttoscrubthelogstohidetheiractivities.D．Theformatofthelogsshouldbeunknownandunavailabletotheintruder.正確答案：D解析：D正確。審計工具是跟蹤網(wǎng)絡(luò)內(nèi)某個網(wǎng)絡(luò)設(shè)備或者某一臺計算機上的活動的技術(shù)控制。盡管審計不是一個可以拒絕某個實體訪問網(wǎng)絡(luò)或計算機的活動，但它會跟蹤活動，使得安全管理員能夠了解所發(fā)生訪問的類型、識別安全漏洞，或者向管理員警告有可疑活動發(fā)生。這些信息可以用來指出其他技術(shù)控制的疏忽之處，幫助管理員了解什么地方必須做出調(diào)整以保證環(huán)境內(nèi)所需的安全級別。入侵者也可以利用該信息來發(fā)現(xiàn)這些漏洞，所以審計日志應該通過許可、權(quán)利和完整性控制等方法進行保護，正如散列算法中的一樣。不過，所有相似系統(tǒng)的系統(tǒng)日志格式通常都是標準化的。隱藏日志格式不是一個常用的對策，也并非保護審計日志文件的原因。A不正確。因為審計日志必須小心保護，以便它們可以在法庭．上作為呈堂證供。審計跟蹤可以用來警報任何可稍后研究的可疑活動。除此之外，審計日志在準確確定攻擊已持續(xù)的時間和破壞的程度方面也很有價值。確保維護一個合適的監(jiān)管鏈至關(guān)重要，因為這樣可以保證任何被收集的數(shù)據(jù)在以后需要時一一比如刑事訴訟或調(diào)查等一一能夠及時準確地呈現(xiàn)。B不正確。因為只有管理員和安全人員才能夠查看、修改或刪除審計跟蹤信息。其他任何人都應該無權(quán)查看該數(shù)據(jù)，更別說修改或刪除它。數(shù)據(jù)的完整性可以通過數(shù)字簽名、信息摘要工具和強大的訪問控制工具實現(xiàn)。在需要的情況下，數(shù)據(jù)的保密性可以通過加密和訪問控制進行保護，并可以把數(shù)據(jù)存儲在一次性寫入的介質(zhì)，以防止丟失或者被修改。對審計日志未經(jīng)授權(quán)的訪問嘗試也應該捕獲并報告。C不正確。因為這個陳述是正確的。如果一個入侵者闖進了你的房子，他會盡可能地不留下指紋或者其他將他與犯罪活動相關(guān)聯(lián)的線索以掩藏蹤跡。計算機詐騙和非法活動也是如此。入侵者會盡力掩藏他的蹤跡。通常，入侵者會刪除記錄他的犯罪信息的審計日志。刪除審計日志中特定犯罪數(shù)據(jù)的行為稱為Scrubbing(擦除)。刪除這些信息不僅使得管理員未警覺或不知道安全違規(guī)行為，而且還可能破壞有價值的數(shù)據(jù)。因此，審計日志應該受到嚴格訪問控制的保護。知識模塊：訪問控制14．Harrisonisevaluatingaccesscontrolproductsforhiscompany.Whichofthefollowingisnotafactorheneedstoconsiderwhenchoosingtheproducts?A．ClassificationlevelofdataB．LeveloftrainingthatemployeeshavereceivedC．LogicalaccesscontrolsprovidedbyproductsD．Legalandregulationissues正確答案：B解析：B正確。在公司確定自己所需的訪問控制產(chǎn)品的類型時，他們首先應該了解公司的法律規(guī)定、需要保護系統(tǒng)上的數(shù)據(jù)敏感程度，以及訪問控制系統(tǒng)使用的技術(shù)控制類型等。然而，訪問控制系統(tǒng)的選擇不應該基于員工以前接受的培訓。員工應該在訪問控制系統(tǒng)首次展示后進行培訓，但是在本題目所列出的問題中，培訓是最不重要的一個。A不正確。因為對公司而言，在選擇訪問控制產(chǎn)品時考慮數(shù)據(jù)的分類級別十分重要。不同安全機制提供的可用性、完整性和機密性也不盡相同。為了保證公司購買的安全機制合理并得到正確的應用，必須對環(huán)境、待保護的數(shù)據(jù)分類和安全目標進行評估以確保購買和應用正確的安全機制。許多公司常常因為沒有遵循這些步驟而去購買最近上市的所謂的新而“炫”產(chǎn)品，從而浪費了大量時間和金錢。C不正確。因為公司應該考慮身份標識、身份驗證、授權(quán)和可問責性需求所必需的邏輯訪問控制。邏輯訪問控制是為系統(tǒng)、程序、流程和信息推行訪問控制措施的軟件組件。邏輯訪問控制可以嵌入到操作系統(tǒng)、應用程序、附加安全包、數(shù)據(jù)庫和電信管理系統(tǒng)中。D不正確。因為在選擇和創(chuàng)建訪問控制產(chǎn)品時，法律法規(guī)事宜是必須要考慮的。公司必須確保妥善地對待那些對敏感的、處于不同法律法規(guī)保護下的數(shù)據(jù)的訪問控制。這些措施可以使公司免受因數(shù)據(jù)泄露而導致的罰款和其他處罰。知識模塊：訪問控制15．Thereareseveraltypesofintrusiondetectionsystems(IDSs).WhattypeofIDSbuildsaprofileofanenvironment'snormalactivitiesandassignsananomalyscoretopacketsbasedontheprofile?A．State-basedB．Statisticalanomaly-basedC．MisusedetectionsystemD．Protocolsignature-based正確答案：B解析:B正確?；诮y(tǒng)計異常的入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDSs)是一種基于行為的檢測系統(tǒng)。基于行為的IDS產(chǎn)品并不使用預定義的簽名(signature),而是放置在一個學習模式中構(gòu)建環(huán)境“正?！被顒拥呐渲梦募＿@個配置文件通過不斷提取該環(huán)境的活動樣本構(gòu)建而成。在大多數(shù)情況下，IDS被置于學習模式中的時間越長,它構(gòu)建的配置文件越精確,提供的保護也就越強。這個配置文件構(gòu)建完之后,未來所有流量和活動都會與之進行對比。IDS借助復雜的統(tǒng)計算法尋找網(wǎng)絡(luò)流量或者用戶活動中的異常情況。每個數(shù)據(jù)包都被賦予一個異常值,這個值表明了它的不規(guī)則程度。如果這個值高于“正?！毙袨榈募榷ㄩ撝?，那么便會采取預先配置的行為。A不正確。因為基于狀態(tài)IDS的規(guī)則規(guī)定了怎樣的狀態(tài)轉(zhuǎn)換序列應該發(fā)出警報。初始狀態(tài)指的是攻擊發(fā)生之前的狀態(tài),而被攻擊狀態(tài)指的是成功侵入之后的狀態(tài)。發(fā)生在初始狀態(tài)和受損狀態(tài)之間的活動正是基于狀態(tài)IDS所要尋找的活動。如果其中任何狀態(tài)轉(zhuǎn)換序列與預先配置的規(guī)則相匹配，IDS便會發(fā)出警告。C不正確。因為誤用檢測系統(tǒng)(misuse-detectionsystem)只是基于簽名的檢測系統(tǒng)(signature-basedIDS)的另一個名稱，它指的是把網(wǎng)絡(luò)或系統(tǒng)活動與攻擊的特征或模式相比較。不被認為是攻擊的任何活動都被認為是可接受的?；诤灻腎DS是當前最受歡迎的IDS產(chǎn)品，與殺毒軟件一樣，它們的有效性依賴于不斷定期更新該軟件中的新簽名。這種類型的IDS對新型攻擊的抵抗力很弱，因為它僅能識別那些預定義的并且已經(jīng)擁有簽名的攻擊。D不正確。因為基于協(xié)議簽名的IDS不是一個正式的IDS，這是一個干擾項。知識模塊:訪問控制16．Arule-basedIDStakesadifferentapproachthanasignature-basedoranomalybasedsystem.Whichofthefollowingischaracteristicofarule-basedIDS?A．UsesIF/THENprogrammingwithinexpertsystemsB．IdentifiesprotocolsusedoutsideoftheircommonboundsC．ComparespatternstoseveralactivitiesatonceD．Candetectnewattacks正確答案:A解析：A正確?；谝?guī)則的入侵檢測通常與專家系統(tǒng)一起聯(lián)合使用。專家系統(tǒng)是由一個知識庫、一個推理引擎和基于規(guī)則的程序組成。知識表示成規(guī)則，待分析的數(shù)據(jù)稱為事實。該系統(tǒng)的知識是用基于規(guī)則的程序編寫的(IF情況THEN行為)。這些規(guī)則將用于事實、來自于傳感器的數(shù)據(jù)或者被監(jiān)控的系統(tǒng)。例如，IDS從系統(tǒng)的審計日志中提取數(shù)據(jù)，并將其臨時存在它的事實數(shù)據(jù)庫中。然后，將預定義的規(guī)則應用到這個數(shù)據(jù)，并判斷是否發(fā)生了可疑活動。在這種場景中，規(guī)則為：“IF某個根用戶創(chuàng)建了File1ANDFile2SUCHTHATtheyareinthesamedirectoryTHENthereisacalltoAdministrativeToolTRIGGERsendalert.”這個規(guī)則定義的是：如果某個根用戶在同一個目錄中創(chuàng)建了兩個文件，并調(diào)用某個特定的管理工具，那么就應該發(fā)出警報。B不正確。因為基于協(xié)議異常的IDS定義了在通常邊界外使用的協(xié)議。這種IDS具有它將監(jiān)督的每個協(xié)議的特定知識。協(xié)議異常與協(xié)議的格式和行為有關(guān)。如果某個協(xié)議的格式發(fā)生了變換或者表現(xiàn)出不正常的行為，那么IDS便會發(fā)出警報。C不正確。因為狀態(tài)匹配型的IDS一次會將模式和若干種活動進行對比。它是基于簽名IDS的一種，即它與反病毒軟件一樣進行模式匹配。狀態(tài)是操作系統(tǒng)中在易失性存儲器、半永久存儲位置和永久存儲位置上數(shù)值的快照。在基于狀態(tài)的IDS中，初始狀態(tài)是指攻擊實施前的狀態(tài)，受損狀態(tài)是成功侵入后的狀態(tài)。IDS擁有一些指明哪些狀態(tài)轉(zhuǎn)換序列應該報警的規(guī)則。D不正確。因為基于規(guī)則的IDS不能檢測出新型的攻擊?；诋惓５腎DS能夠檢測新型攻擊，因為這種類型的IDS并不依賴于預定義好的規(guī)則和簽名，而這些規(guī)則和簽名是安全研究人員利用充分時間研究某一個攻擊之后才總結(jié)出來的。相反，基于異常的IDS會學習環(huán)境中的“正常”活動，只有當它檢測出異常的活動時才會發(fā)出警報。基于異常的IDS的3種類型是基于統(tǒng)計異常的IDS、基于協(xié)議異常的IDS和基于流量異常的IDS。它們也被稱為基于行為的或啟發(fā)式IDS。知識模塊：訪問控制17．Samplanstoestablishmobilephoneserviceusingthepersonalinformationhehasstolenfromhisformerboss.Whattypeofidentitytheftisthis?A．PhishingB．TruenameC．PharmingD．Accounttakeover正確答案：B解析：B正確。身份竊取(IdentityTheft)指的是某些人獲取個人信息的關(guān)鍵內(nèi)容，比如駕照號碼、銀行賬戶號碼、憑證或者社會保險號碼等，然后用這些信息仿冒他人的情況。一般來說，進行身份竊取的人會利用這些個人信息，并以受害者名義獲取信用、商品或服務(wù)。這會導致受害者信用等級受損、產(chǎn)生錯誤的犯罪記錄或簽發(fā)錯誤的逮捕令。身份竊取分為兩種：真實姓名(truename)接管和賬號接管(accounttakeover)。真實姓名身份竊取指的是竊賊利用個人信息開設(shè)新的賬戶。該竊賊可能會開設(shè)一個新的信用卡賬戶、像Sam一樣開肩移動電話服務(wù)或開設(shè)一個新的支票賬戶以獲取空白支票。A不正確。因為釣魚(phishing)攻擊是一種社會工程攻擊，其目的是獲取個人信息、個人憑證、信用卡號碼或金融數(shù)據(jù)。攻擊者利用各種方式引誘或垂釣敏感信息。釣魚的目的是欺騙受害者交出他的個人信息，而身份竊取的目的是利用個人信息獲取個人或經(jīng)濟利益。攻擊者可以利用釣魚攻擊作為手段進行身份竊取。C不正確。因為網(wǎng)址嫁接(pharming)是一種技術(shù)攻擊，其目的是欺騙受害者把他們的個人信息通過非法網(wǎng)站發(fā)送給攻擊者。受害者在瀏覽器中鍵入網(wǎng)址，如,受害者的系統(tǒng)向已中毒的DNS服務(wù)器發(fā)起一個請求，而這個中毒的服務(wù)器會把受害者引向受攻擊者控制的網(wǎng)站上。因為這個網(wǎng)站看似與請求登錄的網(wǎng)站一樣，所以用戶會輸入他的個人信息，攻擊者便可以利用該信息進行身份竊取。D不正確。因為賬戶接管式身份竊取指的是冒名頂替者利用個人信息訪問該人現(xiàn)有的賬戶，而不是開設(shè)一個新賬戶。通常，竊賊會更改賬戶的郵寄地址，并在身份被盜的這個人意識到有問題之前進行一大筆消費?；ヂ?lián)網(wǎng)使得身份竊取人可以更加容易地利用盜取的信息，因為交易可在沒有人員交流的情況下進行。知識模塊：訪問控制18.Ofthefollowing,whatistheprimaryitemthatacapabilitylistingisbasedupon?A．AsubjectB．AnobjectC．AproductD．Anapplication正確答案：A解析：A正確。功能表(capabilitytable)說明了特定客體對某些具體客體所擁有的訪問權(quán)限。功能列表(capabilitylist，功能表的另一稱呼)與訪問控制列表(AccessControlList，ACL)不用，因為主體受限于功能表，而客體受限于ACL。功能的形式可以是令牌(token)、票證(ticket)或密鑰(key)。當主體調(diào)用某個功能組件時，操作系統(tǒng)(或應用程序)會審查訪問權(quán)限和功能組件所描述的操作，并允許主體僅執(zhí)行這些功能。功能組件是一個包含唯一的客體標識符與主體擁有的對那個客體訪問權(quán)限的數(shù)據(jù)結(jié)構(gòu)。該客體可能是一個文件、一個數(shù)組、一個內(nèi)存段或者一個端口。B不正確。因為客體是與訪問控制列表而不是功能組件綁定。ACL常用于好幾種操作系統(tǒng)、應用程序和路由器配置。ACL都是被授權(quán)訪問某一具體客體的主體列表，它們定義了被授予權(quán)限的級別。身份驗證可以針對某個個體或某個組。ACL將訪問控制矩陣的值映射到客體。功能對應的是訪問控制矩陣中的行，ACL則對應著該矩陣的列。C不正確。因為產(chǎn)品可以是客體也可以是主體。如果用戶試圖訪問一個產(chǎn)品(比如一個程序)，則該用戶是主體，而該產(chǎn)品是客體。如果某個產(chǎn)品試圖訪問一個數(shù)據(jù)庫，那么該產(chǎn)品是主體，數(shù)據(jù)庫是客體。例如，當產(chǎn)品是功能列表中的一個主體時，最佳答案是A。功能列表指明了某一主體能夠訪問的客體以及對于那些客體可以執(zhí)行的操作。D不正確。因為這個答案與選項C相似。如果用戶試圖訪問某一應用程序，那么用戶是主體，應用程序是客體。如果應用程序試圖訪問數(shù)據(jù)庫，則應用程序是主體，數(shù)據(jù)庫是客體。例如，當應用程序是功能列表中的一個主體時，最佳答案是A。功能列表指明了某一主體能夠訪問的客體以及對于這些客體可以進行的操作。知識模塊：訪問控制19．Alexworksforachemicaldistributorthatassignsemployeestasksthatseparatetheirdutiesandroutinelyrotatesjobassignments.Whichofthefollowingbestdescribesthedifferencesbetweenthesecountermeasures?A．Theyarethesamethingwithdifferenttitles.B．Theyareadministrativecontrolsthatenforceaccesscontrolandprotectthecompany'sresources.C．Separationofdutiesensuresthatonepersoncannotperformahigh-risktaskalone,andjobrotationcanuncoverfraudbecausemorethanonepersonknowsthetasksofaposition.D．Jobrotationensuresthatonepersoncannotperformahigh-risktaskalone,andseparationofdutiescanuncoverfraudbecausemorethanonepersonknowsthetasksofaposition.正確答案：C解析：C正確。職責分離和工作輪換是公司內(nèi)部常用的兩個防止和檢測欺詐的安全控制手段。職責分離是為了確保某個實體不能執(zhí)行那些會給公司帶來破壞或風險的任務(wù)。它要求兩個或多個人聚在一起，各司其職然后完成總體任務(wù)。工作輪換有助于確保一個人不會在一個崗位上呆太長時間，因為那樣他可能最終會對某一業(yè)務(wù)部門有太多的控制權(quán)?？刂铺鄷е缕垓_、數(shù)據(jù)修改和資源濫用。A不正確。因為職責分離和工作輪換是兩個不同的概念。然而，它們卻都能夠減少欺騙、破壞、信息濫用、偷竊和其他安全漏洞發(fā)生的可能性。職責分離確保一個個體不可能一個人完成一個關(guān)鍵任務(wù)。當潛艇船長需要發(fā)射核魚雷時，往往會要求3個不同的高級機組成員往發(fā)射系統(tǒng)中輸入3個代碼。這就是一個職責分離的例子。工作輪換確保一個人不會因為在一個職位上時間過長而最終對某一業(yè)務(wù)部門擁有太多的控制權(quán)。B不正確。因為選項C更為詳細和明確。選項C正確描述出了這兩種控制手段及它們的差異。這兩種控制本質(zhì)上都是管理手段，目的是控制對公司資產(chǎn)的訪問，但是CISSP考試需要在4個選項中找出最佳答案。D不正確。因為這個描述顛倒了。職責分離而不是工作輪換確保一個人無法單獨執(zhí)行一個高風險的任務(wù)。工作輪換使人們在一個具體角色中流動，從而確保不會發(fā)生欺騙活動。知識模塊：訪問控制20．Whattypeofmarkuplanguageallowscompanyinterfacestopassservicerequestsandthereceivingcompanyprovisionaccesstotheseservices?A．XMLB．SPMLC．SGMLD．HTML正確答案：B解析：B正確。服務(wù)配置標記語言(ServiceProvisioningMarkupLanguage，SPML)是一種構(gòu)建于XML框架之上的標記語言，它交換了用戶應該訪問什么資源和服務(wù)的信息。例如，汽車公司和輪胎公司僅允許汽車公司內(nèi)部的庫存經(jīng)理訂購輪胎。如果Bob登錄汽車公司的庫存軟件并訂購40個輪胎，那么輪胎公司如何知道這個請求是來自一個授權(quán)的供應商和庫存經(jīng)理群中的用戶呢?汽車公司軟件能夠把用戶和群的身份信息傳給輪胎公司的軟件。輪胎公司使用這個身份信息做一個授權(quán)決定，并允許Bob填寫訂購40個輪胎的請求。由于發(fā)送和接收公司都遵循一個標準(XML)，所以這種相互操作類型能夠發(fā)生。A不正確。因為這個答案不是這個問題的最佳答案。基于XML的SPML允許公司接口傳遞服務(wù)請求和接收公司對這些服務(wù)配置訪問。這種相互的可操作性之所以可能是因為這兩個公司使用的都是XML。XML是一套電子文檔編碼和網(wǎng)絡(luò)通信的規(guī)則，它也可以用于編碼網(wǎng)絡(luò)服務(wù)中任意的數(shù)據(jù)結(jié)構(gòu)。XML還允許團隊或公司創(chuàng)建類似SPML的信息模式，進而使得使用一致方式共享數(shù)據(jù)成為可能。C不正確。因為標準通用標記語言(StandardGeneralizedMarkupLanguage，SGML)是最早開發(fā)出來的標記語言之一。它并不向用戶提供訪問或配置功能。SGML是一個定義文檔通用標記標簽的標準，它是通用標記語言(GeneralizedMarkupLanguage，GML)的后繼者，但比XML或SPML早很多。D不正確。因為超文本標記語言(HypertextMarkupLanguage，HTML)是為注釋網(wǎng)頁而開發(fā)的。HTML是XML和SGML的先驅(qū)。HTML提供了一個注釋網(wǎng)頁上發(fā)現(xiàn)的文本和其他元素的結(jié)構(gòu)語義的方式。它可以用于嵌入圖像和客體，或創(chuàng)建交互式表單。但是，它不允許公司接口傳遞服務(wù)請求，也不允許接受公司對這些服務(wù)的配置訪問。知識模塊：訪問控制21．Thereareseveraldifferenttypesofcentralizedaccesscontrolprotocols.Whichofthefollowingisillustratedinthegraphicthatfollows?A．DiameterB．WatchdogC．RADIUSD．TACACS+正確答案：A解析：A正確。Diameter是一種身份驗證、授權(quán)和審計(authentication，authorization,auditing,AAA)協(xié)議，它提供與遠程身份驗證撥入用戶服務(wù)(RemoteAuthenticationDial-InUserService，RADIUS)和終端訪問控制器訪問控制系統(tǒng)(TerminalAccessControllerAccessControlSystem，TACACS+)相同的功能，但提供更多的靈活性和功能以滿足當今復雜多元網(wǎng)絡(luò)的新需求。與此同時，所有遠程通信都通過公私合作關(guān)系(Public-PrivatePartnership，PPP)和串行線路網(wǎng)絡(luò)協(xié)議(SerialLineInternetProtocol，SLIP)連接而發(fā)生，用戶自己通過密碼認證協(xié)議(PasswordAuthenticationProtocol，PAP)或者挑戰(zhàn)握手認證協(xié)議(ChallengeHandshakeAuthenticationProtocol，CHAP)來驗證自己的身份。現(xiàn)如今，技術(shù)變得更加復雜，可供選擇的設(shè)備和協(xié)議比以往任何時候都多。Diameter協(xié)議允許無線設(shè)備、智能電話和其他設(shè)備等使用漫游協(xié)議、移動IP,以太網(wǎng)(通過PPP)、IP電話(VolP)等進行自我網(wǎng)絡(luò)驗證。B不正確。因為看門狗定時器(Watchdogtimers)通常用于檢測軟件故障，比如某進程是否非正常結(jié)束或掛起無響應?？撮T狗功能通過發(fā)送一種“心跳”數(shù)據(jù)包來判斷服務(wù)是否響應。如果沒有響應，則該服務(wù)進程會被終止或重置。這種數(shù)據(jù)包有助于防止軟件死鎖、無限循環(huán)和進程優(yōu)先級問題的發(fā)生。AAA協(xié)議可以使用該功能判斷數(shù)據(jù)包是否需要重新發(fā)送以及出現(xiàn)問題的連接是否應該被關(guān)閉和重啟，但它本身卻不是一個訪問控制協(xié)議。C不正確。因為RADIUS(RemoteAuthenticationDial-InUserService)是一個網(wǎng)絡(luò)協(xié)議，為遠程用戶提供客戶端／服務(wù)器驗證、授權(quán)和審計。網(wǎng)絡(luò)可能擁有訪問服務(wù)器、DSL、ISDN或供遠程用戶通信專用的Tl線。訪問服務(wù)器要求遠程用戶的登錄憑證，再把該憑證傳回存儲了用戶名和密碼值的RADIUS服務(wù)器。該遠程用戶是訪問服務(wù)器的客戶，而該訪問服務(wù)器是RADIUS服務(wù)器的客戶。D不正確。因為TACACS+提供的功能與RADIUS基本相同。RADIUS協(xié)議綜合了驗證和授權(quán)功能。TACACS+使用真正的身份驗證、授權(quán)、會計和審計(AAA)體系結(jié)構(gòu)，并把每個功能分離開來。這賦予網(wǎng)絡(luò)管理員在涉及遠程用戶如何驗證的方式上以更多靈活性。對于需要通過VolP、移動IP或其他類似協(xié)議類型通信的設(shè)備而言，TACACS+和RADIUS都不能提供這些服務(wù)。知識模塊：訪問控制22．Anaccesscontrolmatrixisusedinmanyoperatingsystemsandapplicationstocontrolaccessbetweensubjectsandobjects.Whatisthecolumninthistypeofmatrixreferredtoas?A．CapabilitytableB．ConstrainedinterfaceC．Role-basedvalueD．ACL正確答案：D解析：D正確。訪問控制列表(Accesscontrollists,ACL)將訪問控制矩陣的值與客體進行映射。功能對應著訪問控制矩陣中的行，而ACL對應著該矩陣中的列。ACL可用于幾個操作系統(tǒng)、應用程序和路由器配置中。它們是被授權(quán)訪問具體客體的主體的列表，它們定義了授予被授權(quán)的級別。授權(quán)可以針對一個個體，也可以針對一個組。所以ACL與客體綁定，并指明什么主體能夠訪問它，而功能表是與主體綁定，指明主體能夠訪問什么客體。A不正確。因為功能的形式可以是令牌(token)、票證(ticket)或密鑰(key),它是訪問控制矩陣中的行。當主體調(diào)用某個功能組件時，操作系統(tǒng)(或應用程序)會審查這些訪問權(quán)限和功能組件所描述的操作，然后允許主體僅執(zhí)行這些功能。功能組件是一個數(shù)據(jù)結(jié)構(gòu)，它包含了唯一的客體標識符和主體擁有的對那個客體的訪問權(quán)限。客體可能是一個文件、一個數(shù)組、一個內(nèi)存段或者一個端口。功能系統(tǒng)中的每個用戶、進程和應用程序都有一個它能執(zhí)行的功能的列表。B不正確。因為限制性用戶接口(constraineduserinterface)限制了用戶的訪問能力，它不允許用戶請求使用某些功能或信息，或者訪問特定的系統(tǒng)資源。存在三種主要的限制性接口：菜單和shell、數(shù)據(jù)庫視圖(databaseviews)和物理限制接口。在使用菜單和shell限制時，給用戶的選項是用戶能夠執(zhí)行的命令。例如，如果管理員希望用戶僅能夠執(zhí)行一個程序，那么該程序?qū)遣藛紊衔ㄒ豢捎玫倪x項。如果使用限制性shell，那么這個shell將僅包括管理員希望用戶能夠執(zhí)行的那些命令。C不正確。因為基于角色的訪問控制(role一basedaccesscontrol，RBAC)模式，也叫做非自主訪問控制(nondiscretionaryaccesscontrol)，使用一套集中管理的控制來決定主體和客體的交互方式。這種模式使得對資源的訪問權(quán)限基于用戶在公司內(nèi)所扮演的角色。它之所以叫非自主訪問控制，是因為給用戶分配角色難免會有強加的成分。這意味著如果你被分配去做公司里承包商的角色，你無法改變它。在決定你將被分配什么角色方面，你沒有自主權(quán)。知識模塊：訪問控制23．Whattechnologywithinidentitymanagementisillustratedinthegraphicthatfollows?A．UserprovisioningB．FederatedidentityC．DirectoriesD．Webaccessmanagement正確答案：B解析：B正確。聯(lián)合身份和與其相關(guān)的權(quán)利是一種便攜式身份，可以跨業(yè)務(wù)邊界使用。它允許用戶在多個IT系統(tǒng)和企業(yè)中進行身份認證。身份聯(lián)合是把一個用戶在兩個或多個地點的不同身份聯(lián)系起來而無須同步或合并目錄信息。聯(lián)合身份向企業(yè)和消費者提供了一個更為便捷的訪問分布式資源的方式，是電子商務(wù)的一個關(guān)鍵組成部分。A不正確。用戶身份配置(userprovisioning)指創(chuàng)建、維護和刪除存在于一個或多個與業(yè)務(wù)流程有關(guān)的系統(tǒng)、目錄或應用程序中的用戶客體和屬性。用戶身份配置軟件可以包括一個或多個下列組件：變更傳播、自助服務(wù)工作流、統(tǒng)一用戶管理、委托用戶管理和聯(lián)合變更控制。用戶客體指雇員、承建商、供應商、合作伙伴、顧客或其他服務(wù)接收者。服務(wù)包括電子郵件、訪問數(shù)據(jù)庫、訪問文件服務(wù)器或中央處理器等。用戶身份配置可以是聯(lián)合身份識別功能，但圖中沒有提到這一點。C不正確。大多數(shù)公司都有某種類型的包括公司網(wǎng)絡(luò)資源和用戶信息的目錄。大多數(shù)目錄都遵循層級數(shù)據(jù)庫結(jié)構(gòu)且基于X.500標準和一種協(xié)議類型，正如輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol,LDAP)中的那樣，允許主體和應用程序用這個目錄進行交互。應用程序可以通過向目錄提出LDAP請求而要求獲得某一特定用戶的信息；用戶也可以通過使用相似請求而要求獲得某一特定資源的信息。目錄能夠在一個聯(lián)合構(gòu)架中運行，但這個圖中沒有顯示這一點。D不正確。Web訪問管理(WebAccessManagement,WAM)軟件控制著用戶在用Web瀏覽器與基于Web的企業(yè)資產(chǎn)交互時能訪問什么。這類技術(shù)變得越來越強大,配置越來越高。這是因為電子商務(wù)、在線銀行、內(nèi)容提供、Web服務(wù)等日益增多的緣故。隨著用戶可以進行身份驗證的方式(密碼、數(shù)字證書、令牌和其他)的增多、可供用戶使用的資源和服務(wù)(轉(zhuǎn)移資金、購買產(chǎn)品、更新資料等)的增多以及必要的基礎(chǔ)設(shè)施組件的增多,復雜性也與日俱增。基礎(chǔ)設(shè)施通常是由一個Web服務(wù)器場(許多服務(wù)器)、一個包含用戶賬戶和屬性的目錄、一個數(shù)據(jù)庫、幾個防火墻和一些路由器組成,它們?nèi)堪捶謱邮襟w系結(jié)構(gòu)排列。知識模塊：訪問控制24.Thereareseveraldifferenttypesofsinglesign-onprotocolsandtechnologiesinusetoday.Whattypeoftechnologyisillustratedinthegraphicthatfollows?KerberosDiscretionaryaccesscontrolSESAMEMandatoryaccesscontrol正確答案：C解析：C正確。多廠商環(huán)境下歐洲安全應用系統(tǒng)(SecureEuropeanSystemforApplicationinaMultivendorEnvironment,SESAME)項目是為拓展Kerberos功能和改進其弱點而開發(fā)的單點登錄(Singlesign-on,SSO)技術(shù)。SESAME使用對稱和非對稱加密技術(shù)來驗證主體對網(wǎng)絡(luò)資源的訪問身份。Kerberos使用票證來驗證主體訪問客體的身份，而SESAME使用特權(quán)屬性證書(PrivilegedAttributeCertificates,PAC)來驗證，PAC包括主體的身份、訪問客體的功能、訪問時限和PAC的生命周期。PAC是數(shù)字簽名，因此客體可以驗證它是否來自于可信任的驗證服務(wù)器，即特權(quán)屬性服務(wù)器(PrivilegedAttributeSe