網(wǎng)絡(luò)安全模擬一

網(wǎng)絡(luò)安全模擬一一個(gè)安全從業(yè)人員負(fù)責(zé)用加密算法來實(shí)施郵件安全。他選擇了開放PGP來實(shí)施。他采用了下面哪個(gè)密碼算法來創(chuàng)建用戶的公鑰()?EIGamalEIGamal算法(正確答案)InternationalDataEncryptionAlgorithm(IDEA)IDEA算法AdvancedEncryptionStandard(AES)AES算法TripleDataEncryptionAlgorithm(3DES)3DES算法答案解析：非對稱算法:ElGamal算法RSA算法ECC算法對稱算法:IDEA算法AES算法3DES算法一個(gè)安全從業(yè)人員負(fù)責(zé)用加密算法來實(shí)施郵件安全。他選擇了開放PGP來實(shí)施。CISSP應(yīng)當(dāng)選擇下面哪組算法來創(chuàng)建郵件的數(shù)字簽名()?RSA和SHA-1聯(lián)合使用(正確答案)RSA和MD5聯(lián)合使用AES和SHA-1聯(lián)合使用AES和MD5聯(lián)合使用答案解析：MD5已經(jīng)不安全了組織正在決定是否需要配置管理系統(tǒng)(CMS)，來同時(shí)支持操作系統(tǒng)和軟件配置管理(SCM)。目前的做法是,對環(huán)境通過故障排除，升級和打補(bǔ)丁來支持測試和生產(chǎn)的系統(tǒng)和軟件。組織擴(kuò)張導(dǎo)致了一個(gè)更復(fù)雜和相互關(guān)聯(lián)的信息系統(tǒng)(IS)環(huán)境。近日,由于配置不一致,導(dǎo)致關(guān)鍵業(yè)務(wù)的生產(chǎn)系統(tǒng)和應(yīng)用程序發(fā)生停機(jī)事故。該組織并沒有確定存在任何法律或監(jiān)管的要求,實(shí)行嚴(yán)格的配置管理控制,然而,新合同要求該公司的系統(tǒng)是安全穩(wěn)定允許的。管理層已要求安全部門介入。組織最關(guān)注的關(guān)于配置管理的要求是哪方面()?theuseofconfidentialinformation.機(jī)密信息的使用dataintegrity.數(shù)據(jù)完整性systemavailability.系統(tǒng)可用性（正確答案）privacyissues..隱私問題一個(gè)組織是獨(dú)自占了一個(gè)位于一個(gè)大城市商業(yè)區(qū)的20層樓建筑。該組織有若干個(gè)有本地服務(wù)器的分支機(jī)構(gòu),距離總部辦公室大約方圓1000英里（1600公里）內(nèi)。所有工作人員,包括那些在分支辦事處的員工都分配了身份識別卡,游客分配了臨時(shí)徽章。安全人員來負(fù)責(zé)制定業(yè)務(wù)連續(xù)性計(jì)劃/災(zāi)難恢復(fù)計(jì)劃（BCP/DRP）.下面BCP/DRP哪個(gè)階段將包括搬遷到主站點(diǎn)（）?Assessment評估Restoration還原（正確答案）Recovery恢復(fù)Initiation啟動(dòng)答案解析：還原是各站點(diǎn)切回主站點(diǎn)恢復(fù)是主站點(diǎn)切到備站點(diǎn)下面哪項(xiàng)最好的解釋了為什么計(jì)算機(jī)信息系統(tǒng)經(jīng)常不能夠滿足用戶需求（）?不充分的質(zhì)量保證（QA）工具用戶需求經(jīng)常變化系統(tǒng)需求階段用戶參與不充分（正確答案）不充分的項(xiàng)目管理一個(gè)web應(yīng)用的用戶注意到，可以用書簽收藏應(yīng)用程序并返回到它，即使關(guān)閉電腦后，仍然有效。用戶還注意到,用戶的ID被嵌入在應(yīng)用程序的URL。當(dāng)改為另一個(gè)有效的用戶ID,應(yīng)用程序允許用戶可以用其他用的會話中的有效ID使用程序。這表明了編程存在什么缺陷（）?應(yīng)用程序假定了所有用戶都已經(jīng)登錄應(yīng)用程序沒有正確的維持會話狀態(tài)（正確答案）應(yīng)用程序在認(rèn)證錯(cuò)誤時(shí)打開失敗應(yīng)用程序失效進(jìn)入特權(quán)狀態(tài)除了確保計(jì)算機(jī)系統(tǒng)的變更發(fā)生在可識別和可控的環(huán)境中,配置管理還提供了保障措施,保證未來的變化（）?應(yīng)用軟件不能繞過系統(tǒng)的安全特性不能對安全策略的實(shí)施造成不利影響（正確答案）操作系統(tǒng)總能收到獨(dú)立的驗(yàn)證和核查在技術(shù)文檔中維護(hù)對可信計(jì)算基的精準(zhǔn)描述下面哪組是配置管理的主要任務(wù)（）?程序管理、系統(tǒng)工程和質(zhì)量保證需求確認(rèn)、設(shè)計(jì)和系統(tǒng)集成、測試根據(jù)初始和后續(xù)的基線進(jìn)行獨(dú)立的核查和驗(yàn)證對配置項(xiàng)變更進(jìn)行識別、控制、配置狀態(tài)跟蹤和審計(jì)（正確答案）如果計(jì)算機(jī)系統(tǒng)中包含了機(jī)密信息,用戶必須不能（）?離開計(jì)算機(jī)而不退出登錄（正確答案）Sharetheirdesks.共享他們的桌面Encrypttheirpasswords.加密他們的密碼Communicate通信下面哪項(xiàng)最不可能妨礙員工報(bào)告安全事件（）?他們害怕被卷入他們不想干涉的事情事件報(bào)告流程是集中的（正確答案）他們害怕因?yàn)樗麄儧]有做而被起訴他們沒有意識到公司的安全策略和程序員工被動(dòng)離職流程處理應(yīng)當(dāng)包括（）?個(gè)人所使用的所有密碼的列表優(yōu)秀項(xiàng)目的報(bào)告歸還任何公司的身份標(biāo)識（正確答案）簽署保密協(xié)議兩個(gè)操作員互相審查和批準(zhǔn)對方的工作,這是什么控制（）?Dualcontrol雙重控制Two-mancontrol雙人控制（正確答案）Two-foldcontrol?重疊控制Twincontrol雙生控制哪種安全程序會迫使一個(gè)操作員勾結(jié)另一個(gè)不同類別的操作員來訪問非授權(quán)數(shù)據(jù)（）?強(qiáng)制日常密碼更改審計(jì)日志的管理監(jiān)控限制操作人員的特定訪問權(quán)限（正確答案）不同分工的人員的工作輪換針對入侵檢測系統(tǒng)/入侵防御系統(tǒng)（DSPS）報(bào)警的第一個(gè)響應(yīng)是什么（）?確保事件響應(yīng)計(jì)劃是可用的和最新的判斷流量的初始源，并阻斷合適的端口關(guān)閉或斷開可疑的目標(biāo)和源系統(tǒng)確認(rèn)威脅并判斷攻擊的范圍（正確答案）職責(zé)分離的主要目標(biāo)是什么（）?防止員工泄露敏感信息確保訪問控制得到實(shí)施確保一個(gè)人不能單獨(dú)危害系統(tǒng)（正確答案）確保審計(jì)記錄不被篡改什么是工作輪換的好處（）?Allofthechoices.以下所有選項(xiàng)（正確答案）Trainedbackupincaseofemergencies.緊急情況的培訓(xùn)備份Protectagainstfraud.防欺詐Crosstrainingtoemployees.員工交叉培訓(xùn)創(chuàng)建專線的容錯(cuò)的常用方法是將若干T-1與一個(gè)反向多路復(fù)用器組合在一起，這個(gè)多路復(fù)用器安裝在（）?連接的某一端連接的兩端（正確答案）c.在兩端之間的某個(gè)地方D.在連接的中間位置18?傳輸層TCP數(shù)據(jù)的一個(gè)獨(dú)立單元的術(shù)語，正確的是（）?TCPsegmentTCP報(bào)文段（正確答案）TCPdatagramTCP數(shù)據(jù)報(bào)TCPframeTCP幀TCPpacketTCP數(shù)據(jù)包答案解析：UDP是數(shù)據(jù)報(bào)二層是數(shù)據(jù)幀三層是數(shù)據(jù)包同時(shí)支持?jǐn)?shù)據(jù)和語音通信（VoIP）的融合網(wǎng)絡(luò)，根據(jù)其性質(zhì)，提供了一個(gè)單獨(dú)的通道來攻擊數(shù)據(jù)和語音組件。下列哪項(xiàng)是最好的保障語音組件安全的機(jī)制（）?在邊界防火墻上過濾呼叫使用模擬語音系統(tǒng)驗(yàn)證語音和數(shù)據(jù)用戶讓語音跑在自己獨(dú)立的虛擬局域網(wǎng)VLAN里（正確答案）一個(gè)組織已經(jīng)實(shí)施了一些新的安全控制。為了評估這些控制對安全體系有效性提升的影響，需要對信息安全的一些性能指標(biāo)進(jìn)行監(jiān)控。下列哪一項(xiàng)是在這種情況下選擇的性能指標(biāo)時(shí)最重要的因素（）?存在性能測量指標(biāo)的基本數(shù)據(jù)（正確答案）在性能測量指標(biāo)數(shù)據(jù)中盡可能減少誤報(bào)的能力在性能測量指標(biāo)數(shù)據(jù)中盡可能減少漏報(bào)的能力性能測量指標(biāo)有跨平臺的適用性公司寫了一個(gè)策略來禁用無線網(wǎng)絡(luò)。在季度審計(jì)中發(fā)現(xiàn)該組織存在一個(gè)無線網(wǎng)絡(luò)。那么組織的下一步應(yīng)該做什么（）?向法律部門報(bào)告發(fā)現(xiàn)的細(xì)節(jié)移除這個(gè)無線網(wǎng)絡(luò)（正確答案）譴責(zé)用戶部署了無線網(wǎng)絡(luò)為了起訴保留無線網(wǎng)絡(luò)關(guān)于雇員解雇下列哪一項(xiàng)是最重要的（）?公司提供給雇員的財(cái)產(chǎn)已歸還雇員的用戶名和密碼已經(jīng)刪除向公司相關(guān)的工作人員通知解雇（正確答案）雇員的詳細(xì)情況從活躍的工資已被刪除.一個(gè)管理員負(fù)責(zé)數(shù)據(jù)運(yùn)營中心,包括了500個(gè)終端的交換網(wǎng)絡(luò)，一個(gè)Web服務(wù)器,電子郵件服務(wù)器,以及幾個(gè)大的應(yīng)用服務(wù)器。備份策略是每個(gè)星期天的早晨執(zhí)行一次完全備份和周一至周五執(zhí)行每日增量備份。環(huán)境中的所有服務(wù)器有五個(gè)SCSI磁盤驅(qū)動(dòng)器，并設(shè)置為RAID5作為熱備。數(shù)據(jù)中心使用了高架地板，并在房間內(nèi)配備了一個(gè)自足的HVAC系統(tǒng)，以及一個(gè)自動(dòng)化的干管自動(dòng)噴淋滅火系統(tǒng)來保護(hù)電腦。大約在星期天早上,Web服務(wù)器的一個(gè)硬盤出現(xiàn)了故障。為了讓服務(wù)器返回到正常運(yùn)行需要做什么（）?從上次增量備份中恢復(fù)數(shù)據(jù)從上次完全備份中恢復(fù)數(shù)據(jù)從故障磁盤中恢復(fù)數(shù)據(jù)更換故障的磁盤（正確答案）一個(gè)安全控制應(yīng)當(dāng)（）?Allowformanyexceptions.允許很多例外情況Coverallcontingencies.覆蓋所有的偶然性Notrelyonthesecurityofitsmechanism.不依賴其機(jī)制的安全（正確答案）Changefrequently.變更頻繁哪一組原則是信息安全控制的基礎(chǔ)（）?認(rèn)證、審計(jì)軌跡和安全意識簡報(bào)個(gè)人可問責(zé)性、審計(jì)和職責(zé)分離知所必需，身份識別和真實(shí)性（正確答案）審計(jì)軌跡，有限任期和安全意識簡報(bào)審計(jì)軌跡是什么類型的控制（）?系統(tǒng)，手工檢測，技術(shù)（正確答案）用戶，技術(shù)檢測，手工使用操作安全檢測性控制時(shí)，下面哪一種意外情況可以被發(fā)現(xiàn)（）?非授權(quán)人員看到了機(jī)密報(bào)告非授權(quán)人員銷毀了機(jī)密報(bào)告授權(quán)操作人員執(zhí)行非授權(quán)功能（正確答案）授權(quán)操作人員沒有響應(yīng)重要的控制臺信息在選擇物理設(shè)施時(shí)，下面哪個(gè)地形特點(diǎn)有利于物理安全的（）?有茂密的植被和其他自然障礙的丘陵，來保護(hù)入口下坡地形能方便設(shè)施的進(jìn)入和可見性沒有茂密植被的平原，方便從不同的入口進(jìn)出沒有茂密植被的平原，入口略高于海拔（正確答案）下面哪個(gè)是使用縱深防御原則的潛在缺陷（）?Increasedsystemcomplexity增加了系統(tǒng)復(fù)雜性（正確答案）Increasedcomponentfailurerates增加了組件的故障率Redundantcomponentsarerequired需要冗余的組件Lowerintrusiondetectionperformance較低的入侵檢測性能下列哪項(xiàng)維護(hù)活動(dòng)負(fù)責(zé)定義、實(shí)施、測試應(yīng)用系統(tǒng)的升級（）?Programchangecontrol程序變更控制（正確答案）Regressiontesting回歸測試Exportexceptioncontrol輸出例外控制Useracceptancetesting用戶驗(yàn)收測試下面哪個(gè)是最安全的構(gòu)建路由表的方法（）?Distancevector距離矢量Linkstate鏈路狀態(tài)BorderGatewayProtocol（BGP）邊界網(wǎng)關(guān)協(xié)議（BGP）D.Static靜態(tài)路由（正確答案）為了保障關(guān)健業(yè)務(wù)連接的正常運(yùn)行時(shí)間,組織需要依賴下面哪項(xiàng)（）?AMemorandumofAgreement（MOA）協(xié)議備忘錄（MOA）AServiceLevelAgreement（SLA）服務(wù)水平協(xié)議（SLA）（正確答案）ANon-DisclosureAgreement（NDA）保密協(xié)議（NDA）ARequestforProposal（RFP）征求建議書（RFP）為建立一個(gè)信息安全程序,首先應(yīng)進(jìn)行（）?開發(fā)員工安全意識培訓(xùn)計(jì)劃信息安全標(biāo)準(zhǔn)手冊的開發(fā)與實(shí)施安全訪問控制軟件的購買企業(yè)信息安全策略聲明的采納（正確答案）代理防火墻是運(yùn)行在OSI模型的哪一層（）?Application應(yīng)用層（正確答案）Transport傳輸層Network網(wǎng)絡(luò)層DataLink數(shù)鏈層參考監(jiān)視器是特別設(shè)計(jì)用來（）?runundetected.未被發(fā)現(xiàn)的運(yùn)行runautonomously.自主的運(yùn)行beredundant.冗余betamperproof.防篡改（正確答案）在設(shè)計(jì)有效的安全控制時(shí),下面哪項(xiàng)必須被考慮（）?Speedofdeployment實(shí)施的速度Visibility可視化Easeofuse易用性（正確答案）Authenticity真實(shí)性可能會被利用的系統(tǒng)的缺失或薄弱環(huán)節(jié)被稱為（）?威脅Exposure暴露Vulnerability漏洞（正確答案）Risk風(fēng)險(xiǎn)一般你用什么工具來判斷一個(gè)主機(jī)是否有漏洞會被已知攻擊手段攻擊（）?PaddedCells加厚的電池Vulnerabilityanalysis漏洞分析（正確答案）HoneyPots蜜罐IDS入侵檢測下面哪項(xiàng)關(guān)于道德的黑客的描述是不正確的（）?組織應(yīng)該聘用道德的黑客，這些黑客不能銷售審計(jì)，咨詢，硬件，軟件，防火墻,主機(jī)托管,和/或網(wǎng)絡(luò)服務(wù)測試應(yīng)當(dāng)是在遠(yuǎn)程執(zhí)行道德的黑客不能參與目標(biāo)系統(tǒng)的編寫或修改道德的黑客永遠(yuǎn)不應(yīng)該使用可能會導(dǎo)致組織IT系統(tǒng)漏洞被利用的工具。（正確答案）為什么信息安全策略要求通信測試設(shè)備得到控制（）?該設(shè)備容易受到損害該設(shè)備可以用來瀏覽網(wǎng)絡(luò)上的信息（正確答案）該設(shè)備必須始終可用，如果需要更換的話該設(shè)備可以用來重新配置網(wǎng)絡(luò)多路轉(zhuǎn)換器管理層可以預(yù)期滲透測試達(dá)到下面的目的，除了（）?identificationofsecurityflaws找出安全漏洞demonstrationoftheeffectsoftheflaws證明漏洞的影響amethodtocorrectthesecurityflaws.糾正安全漏洞的方法（正確答案）verificationofthelevelsofexistinginfiltrationresistance驗(yàn)證當(dāng)前的入侵防御水平下面哪個(gè)是一個(gè)滲透測試項(xiàng)目的特征（）?直到發(fā)現(xiàn)了所有已知的漏洞，項(xiàng)目無法結(jié)束繪制項(xiàng)目時(shí)間安排來產(chǎn)生關(guān)鍵路徑項(xiàng)目任務(wù)是突破進(jìn)入目標(biāo)系統(tǒng)（正確答案）項(xiàng)目計(jì)劃由目標(biāo)用戶來復(fù)審下面哪個(gè)是滲透測試的主要目標(biāo)（）?Assessment評估（正確答案）Correction纟糾正Detection檢測Protection保護(hù)（看視頻）在滲透測試的缺陷假設(shè)方法論中，開箱測試（白盒測試）一般用來分析（）?Routersandfirewalls路由器和防火墻Host-basedIDSsystems基于主機(jī)的入侵檢測系統(tǒng)Network-basedIDSsystems基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)Generalpurposeoperatingsystems一般用途的操作系統(tǒng)（正確答案）滲透測試中的第一步應(yīng)當(dāng)做什么（）?變更控制管理的批準(zhǔn)詳細(xì)測試計(jì)劃的開發(fā)制定具體的滲透測試目標(biāo)（正確答案）團(tuán)隊(duì)成員之間的溝通過程答案解析：滲透測試不需要變更控制的批準(zhǔn)滲透測試通常包括（）?一般接受的審計(jì)實(shí)踐檢查PKI數(shù)字證書和加密社會工程、配置檢查和漏洞評估（正確答案）計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)流程下面哪個(gè)不是使用外部滲透服務(wù)公司比使用公司內(nèi)部資源更好的原因（）?他們更具成本效益他們沒有公司的偏見他們使用了天才的外部黑客（正確答案）他們確保提供了一個(gè)更完整的報(bào)告下面哪個(gè)工具你可以用來評估網(wǎng)絡(luò)漏洞（）?ISSAllofthechoices.所有的選擇都是（正確答案）SATANBallista如果你的財(cái)產(chǎn)保險(xiǎn)有實(shí)際成本評價(jià)（ACV）條款,你遭受損失的財(cái)產(chǎn)將根據(jù)什么進(jìn)行賠償（）?基于資產(chǎn)在遭受損失日期的價(jià)值基于新資產(chǎn)的價(jià)值，不管損失資產(chǎn)的新舊條件基于資產(chǎn)在損失前一個(gè)月的價(jià)值基于資產(chǎn)在遭受損失日期的價(jià)值,再加上10%（正確答案）下面哪個(gè)是針對加密硬件模塊最有效的攻擊方法（）?Plain-text明文攻擊Bruteforce暴力破解Poweranalysis功耗分析專理（正確答案）Man-in-the-middle（MITM）中間人攻擊審計(jì)師在執(zhí)行一次合規(guī)性審計(jì),申請查看系統(tǒng)中加密的密碼,以驗(yàn)證密碼是否符合政策。下列哪項(xiàng)是對審計(jì)師最好的回應(yīng)（）?提供加密的密碼和分析工具給審計(jì)師進(jìn)行分析為審計(jì)師分析加密的密碼，并給他們看結(jié)果演示不符合政策的密碼不能在系統(tǒng)里創(chuàng)建。（正確答案）演示不符合政策的密碼不能在系統(tǒng)里加密。下面哪個(gè)最好的描述了信息安全政策（）?政策是描述業(yè)界最佳安全實(shí)踐的指南政策是描述信息安全方法的高層級程序政策提供了信息安全實(shí)施體系的藍(lán)圖政策是描述信息體系目標(biāo)的高層級聲明（正確答案）了解到信息安全預(yù)算將在下一財(cái)年減少后,安全經(jīng)理重新調(diào)整下一年度預(yù)算。在進(jìn)行這種分析時(shí),以下哪項(xiàng)最影響安全經(jīng)理的決策過程（）?Trendanalysis趨勢分析Businessriskacceptance業(yè)務(wù)風(fēng)險(xiǎn)接受（正確答案）Securitybestpractices安全最佳實(shí)踐Vulnerabilityanalysis漏洞分析下列哪一項(xiàng)將最適合監(jiān)督信息安全策略的部署（）?SystemAdministrators系統(tǒng)管理員Securityadministrators安全管理員SecurityOfficers安全官（正確答案）Humanresources人力資源部下面哪項(xiàng)是基于標(biāo)準(zhǔn)的合規(guī)框架的主要好處（）?他們識別了現(xiàn)有規(guī)程的差距（正確答案）他們減少了審計(jì)網(wǎng)絡(luò)的需求他們需要更少的資源他們易于實(shí)施變更管理策略的主要目的是（）?確認(rèn)IT基礎(chǔ)設(shè)施的變更得到審批（正確答案）識別IT基礎(chǔ)設(shè)施的變更確保IT基礎(chǔ)設(shè)施的變更是必要的判斷實(shí)施IT基礎(chǔ)設(shè)施修改的必要性答案解析：變更管理策略的主要目的是評估和審批信息安全經(jīng)理實(shí)施一個(gè)機(jī)制來對執(zhí)行指定字段的信息進(jìn)行合理性檢查。這是哪種控制目標(biāo)的例子（）?保持信息的實(shí)用性保持?jǐn)?shù)據(jù)的可用性保持?jǐn)?shù)據(jù)的完整性（正確答案）保持信息的真實(shí)性答案解析：合理性與完整性更配哪個(gè)流程決定了在特定目的下誰是可信的（）?Identification身份識別Authorization授權(quán)（正確答案）Authentication驗(yàn)證Accounting審計(jì)最小特權(quán)的意圖是執(zhí)行最嚴(yán)格的用戶所需權(quán)限來（）?Toexecutesystemprocesses.執(zhí)行系統(tǒng)流程Bytheirjobdescription.他們的工作描述Toexecuteauthorizedtasks.來執(zhí)行授權(quán)任務(wù)（正確答案）Bytheirsecurityrole.他們的安全角色這是一個(gè)在大型環(huán)境中常見的非常難以控制的安全問題。它發(fā)生在當(dāng)用戶有超出任務(wù)需要的更多的計(jì)算機(jī)權(quán)利,權(quán)限和特權(quán)。什么最能說明這種情況（）?ExcessiveRights過多的權(quán)利ExcessiveAccess過多的訪問ExcessivePermissions過多的權(quán)限ExcessivePrivileges過多的特權(quán)（正確答案）一個(gè)簡化訪問控制管理的方法是對下面哪項(xiàng)進(jìn)行分組（）?Capabilitiesandprivileges能力和特權(quán)Objectsandsubjects客體和主體（正確答案）Programsandtransactions程序和交易Administratorsandmanagers管理員和經(jīng)理密碼學(xué)不能解決（）?Availability可用性（正確答案）Integrity完整性Confidentiality機(jī)密性Authenticity真實(shí)性下面哪一個(gè)措施能夠最好的防范從留在賓館房間的筆記本上竊取企業(yè)信息（）?在磁盤上存放所有數(shù)據(jù),并將它們安全的鎖在房間內(nèi)移除筆記本的電池和電源線，并與電腦分開單獨(dú)存放在電腦無人值守時(shí),安裝筆記本的線纜鎖加密硬盤上的所有數(shù)據(jù)（正確答案）為了支持依賴于有風(fēng)險(xiǎn)的協(xié)議（例如純明文密碼）的遺留應(yīng)用程序,下面哪個(gè)可以降低企業(yè)網(wǎng)絡(luò)上的風(fēng)險(xiǎn)（）?實(shí)施集中生成的強(qiáng)密碼來對易受攻擊的應(yīng)用程序的使用進(jìn)行控制。實(shí)現(xiàn)一個(gè)VPN,并對加入VPN的工作站進(jìn)行控制。（正確答案）通過物理訪問控制，確保只有授權(quán)的經(jīng)過培訓(xùn)的用戶有權(quán)訪問工作站。確保打開了所有主機(jī)和應(yīng)用程序的審計(jì)日志,并經(jīng)常進(jìn)行日志審查需要下面哪個(gè)來決定分類分級和所有權(quán)（）?能夠正確的識別系統(tǒng)和數(shù)據(jù)源（正確答案）違規(guī)訪問能夠被記錄并審計(jì)數(shù)據(jù)文件參考能夠被識別和鏈接系統(tǒng)安全控制能夠完全被集成66?測試災(zāi)難恢復(fù)計(jì)劃（DRP）最重要的目標(biāo)是（）?評價(jià)計(jì)劃的高效性識別恢復(fù)需求的標(biāo)準(zhǔn)驗(yàn)證計(jì)劃的有效性（正確答案）決定恢復(fù)時(shí)間目標(biāo)（RTO）安全套接層（SSL）和傳輸層安全（TLS）的特征是什么（）?SSL和TLS缺省提供了抗抵賴性;SSL和TLS提供了在TCP協(xié)議之上的通用的通道安全機(jī)制（正確答案）SSL和TLS對大部分路由協(xié)議沒有提供安全SSL和TLS提供了通過超文本傳輸協(xié)議（HTTP）的包頭加密下面哪個(gè)是審計(jì)軌跡的好處（）?Accountability可問責(zé)性（正確答案）Confidentiality機(jī)密性Non-repudiation抗抵賴性Integrity完整性（看視頻）下面哪個(gè)是抗抵賴流程中的最重要的組件（）?Header包頭Hashvalue哈希值Timestamp時(shí)間戳（正確答案）Messagetransferagent消息傳輸代理—個(gè)安全專家在根據(jù)國際標(biāo)準(zhǔn)化組織（ISO）27OO1和27002標(biāo)準(zhǔn)在評估組織的安全政策時(shí),他需要牢記的是什么（）?安全基線可以直接從國際標(biāo)準(zhǔn)中抽取國際標(biāo)準(zhǔn)對一個(gè)區(qū)域組織來說沒有什么價(jià)值所有領(lǐng)域的策略都需要有詳細(xì)的步驟細(xì)節(jié)；標(biāo)準(zhǔn)是一個(gè)起點(diǎn),可以根據(jù)需要應(yīng)用于組織；（正確答案）下面哪個(gè)系統(tǒng)組件實(shí)現(xiàn)了對目標(biāo)的訪問控制（）?Securityperimeter安全邊界Trusteddomain可信域Referencemonitor參考監(jiān)視器（正確答案）Accesscontrolmatrix訪問控制矩陣（看視頻）下面哪個(gè)是通用標(biāo)準(zhǔn)（CC）產(chǎn)品評價(jià)的安全弱點(diǎn)（）?制造商可以描述產(chǎn)品的哪些配置是要被評價(jià)的；（正確答案）產(chǎn)品可以被其他國家的實(shí)驗(yàn)室來評價(jià)；評價(jià)目標(biāo)（TOE）測試環(huán)境等同于操作環(huán)境評價(jià)的執(zhí)行是昂貴并耗時(shí)的下面哪個(gè)控制是可以用來保證所有的電子郵件附件得到檢查,如需要進(jìn)行刪除的（）?A.Technical技術(shù)（正確答案）Management管理Operational運(yùn)行Audit審計(jì)下面哪個(gè)是測試數(shù)據(jù)合適的來源（）?生產(chǎn)數(shù)據(jù)是安全的，并只在生產(chǎn)環(huán)境中維護(hù)與生產(chǎn)數(shù)據(jù)沒有相似性的測試數(shù)據(jù)與生產(chǎn)數(shù)據(jù)鏡像并保持同步的測試數(shù)據(jù)對生產(chǎn)數(shù)據(jù)進(jìn)行清洗，然后再載入到測試環(huán)境（正確答案）在進(jìn)行災(zāi)難恢復(fù)（DR）規(guī)劃的風(fēng)險(xiǎn)分析時(shí),擁有一個(gè)全面的信息資產(chǎn)清單為什么是重要的（）?為了在發(fā)生危機(jī)時(shí)能夠聯(lián)系資產(chǎn)的所有者為了幫助對業(yè)務(wù)流程以及相關(guān)的應(yīng)用系統(tǒng)進(jìn)行優(yōu)先級分級（正確答案）為了確保DR規(guī)劃軟件工具是完全導(dǎo)入的為了建立替代恢復(fù)策略的財(cái)務(wù)模型一個(gè)維護(hù)服務(wù)，提供了電力、溫度控制、高架地板和電話線，但是沒有計(jì)算機(jī)和相關(guān)外設(shè)的場所，最好形容為（）?hotsite.熱站coldsite.冷站（正確答案）warmsite.溫站reciprocalsite.互惠站點(diǎn)在事件響應(yīng)調(diào)查的早期，網(wǎng)絡(luò)監(jiān)視可以用來（）?預(yù)防未來的事件確認(rèn)或解除對事件的懷疑（正確答案）映射網(wǎng)絡(luò)和所有可信的關(guān)系確保使用策略的合規(guī)（看視頻）所有的訪問必須被考慮,防止修改并驗(yàn)證其正確性,這個(gè)概念是（）?Securemodel安全模型Securitylocking安全鎖定Securitykernel安全內(nèi)核（正確答案）Securestate安全狀態(tài)下面哪個(gè)確保了當(dāng)系統(tǒng)崩潰或其他系統(tǒng)錯(cuò)誤發(fā)生時(shí),安全不會被違反（）?trustedrecovery可信恢復(fù)（正確答案）hotswappable熱插拔redundancy冗余secureboot安全啟動(dòng)什么類型的子系統(tǒng)是操作系統(tǒng)之外運(yùn)行的應(yīng)用程序,并為一組用戶執(zhí)行一些功能,為組中的所有用戶維護(hù)一些常見的數(shù)據(jù),并防止組中的用戶不正當(dāng)訪問數(shù)據(jù)（）?Preventedsubsystem阻止子系統(tǒng)Protectedsubsystem保護(hù)子系統(tǒng)（正確答案）Filesubsystem文件子系統(tǒng)Directorysubsystem目錄子系統(tǒng)“偽錯(cuò)誤”指的是下面哪項(xiàng)（）?故意在一個(gè)操作系統(tǒng)中植入一個(gè)明顯的漏洞（正確答案）產(chǎn)生偽碼時(shí)的遺漏應(yīng)用程序編程時(shí)用來測試越界侵犯通常產(chǎn)生的頁故障,導(dǎo)致系統(tǒng)當(dāng)機(jī)下面哪項(xiàng)描述了參考監(jiān)視器（）?是一個(gè)訪問控制概念，指的是介入所有主體和客體的訪問的抽象機(jī)（正確答案）是一個(gè)審計(jì)概念,指的是監(jiān)控和記錄所有主體和客體的訪問是一個(gè)身份識別概念，指的是用戶提供的材料和他的參考配置文件的比較是一個(gè)網(wǎng)絡(luò)控制概念，對主體進(jìn)行授權(quán)來訪問客體認(rèn)可的主要目的是（）?讓高層做一個(gè)正式的決定，來確認(rèn)是否接受系統(tǒng)運(yùn)行的風(fēng)險(xiǎn)（正確答案）確認(rèn)所有的安全控制得到正確的實(shí)施，并以正確的方式在運(yùn)行保護(hù)組織的敏感數(shù)據(jù)滿足適用的法律和法規(guī)（看視頻）下面哪項(xiàng)是在部署數(shù)字證書時(shí)最重要的（）?驗(yàn)證符合X.509數(shù)字證書標(biāo)準(zhǔn)使用第三方CA建立證書的生命周期管理框架（正確答案）創(chuàng)建證書時(shí)使用不少于256位長度的加密算法下列哪一項(xiàng)不是安全管理員的任務(wù)（）?授權(quán)訪問權(quán)限（正確答案）實(shí)施安全規(guī)則確保地方政策已經(jīng)授權(quán)管理分配訪問權(quán)限在評估一個(gè)應(yīng)用程序的審計(jì)能力時(shí)，下面哪個(gè)活動(dòng)是最重要的（）?識別程序來調(diào)查可疑的行為確認(rèn)是否分配了充足的存儲空間來存放審計(jì)記錄判斷審計(jì)記錄是否包含了充分的信息（正確答案）審核在審計(jì)失效發(fā)生時(shí)將要采取的安全行動(dòng)計(jì)劃哪種安全程序的實(shí)施方法能驅(qū)動(dòng)公司員工擔(dān)負(fù)保護(hù)公司的資產(chǎn)的責(zé)任（）?Thetop-downapproach自上而下的方法（正確答案）TheDelphiapproachDelphi方法Thebottom-upapproach自下而上的方法Thetechnologyapproach技術(shù)方法使用基于Web的由可信CA簽發(fā)的SSL證書的主要目的是（）?為了確保合理的密鑰和算法長度為了確?？蛻舳丝梢赃B接到多個(gè)不同類型的瀏覽器為了允許客戶端能夠合理的認(rèn)證服務(wù)器的身份(正確答案)為了允許服務(wù)器能夠認(rèn)證通過瀏覽器連接的客戶端的身份下面哪個(gè)是推動(dòng)組織來審核它目前的加密系統(tǒng)實(shí)施的主要原因()?MD5哈希算法的使用為了使用更加有效的加密算法為了使用一個(gè)新的證書撤銷列表CRL密鑰長度在對抗暴力破解攻擊時(shí)不再安全(正確答案)下面哪個(gè)是開發(fā)用來支持多協(xié)議,以及提供登陸、密碼和錯(cuò)誤糾正能力()?PasswordAuthenticationProtocol(PAP)密碼驗(yàn)證協(xié)議PAPChallengeHandshakeAuthenticationProtocol(CHAP)挑戰(zhàn)握手認(rèn)證協(xié)議CHAPPoint-to-PointProtocol(PPP)點(diǎn)對點(diǎn)協(xié)議PPP(正確答案)PostOfficeProtocol(POP)郵局協(xié)議POP答案解析：1)PPP具有動(dòng)態(tài)分配IP地址的能力，允許在連接時(shí)刻協(xié)商IP地址。2)PPP支持多種網(wǎng)絡(luò)協(xié)議，比如TCP/IPNETBEUI.INLink等。3)PPP具有錯(cuò)誤檢測以及糾錯(cuò)能力，支持?jǐn)?shù)據(jù)壓縮。4)PPP具有身份驗(yàn)證功能。5)PPP可用于各種類型物理介質(zhì)上只在下面哪個(gè)情況下允許使用一個(gè)公共的無線局域網(wǎng)WLAN來連接一個(gè)私有網(wǎng)絡(luò)()?客戶端機(jī)器裝有防病毒軟件，并且已經(jīng)做了掃描來判斷是否有非授權(quán)的端口開放無線接入點(diǎn)(AP)是部署在內(nèi)部私有網(wǎng)絡(luò)上的客戶端機(jī)器裝有個(gè)人防火墻，并且使用虛擬專用網(wǎng)VPN來連接網(wǎng)絡(luò)(正確答案)使用擴(kuò)展認(rèn)證協(xié)議EAP來認(rèn)證用戶下列哪項(xiàng)能更好的定義可能被利用的由于缺少或存在漏洞的保護(hù)機(jī)制（）?Anexposure暴露Arisk風(fēng)險(xiǎn)Avulnerability脆弱性（正確答案）Athreat威脅下面哪個(gè)是適當(dāng)?shù)淖兏刂瞥绦颍ǎ?記錄關(guān)鍵源代碼庫的大小限制只有授權(quán)用戶可以變更（正確答案）在生產(chǎn)系統(tǒng)存儲源代碼的最新版本在進(jìn)入測試階段前,刪除源代碼里的開發(fā)者批注下面哪一個(gè)是對一個(gè)計(jì)算機(jī)用戶問責(zé)最需要的（）?對重要數(shù)據(jù)文件進(jìn)行分類使用它們自己的身份來執(zhí)行任務(wù)（正確答案）與合適的人共享他們的登陸密碼保護(hù)他們訪問的系統(tǒng)應(yīng)用程序下面哪個(gè)最準(zhǔn)確的描述了一個(gè)業(yè)務(wù)連續(xù)性體系（）?一個(gè)持續(xù)的過程，來確定潛在損失的影響，以及維持可行的恢復(fù)（正確答案）一個(gè)持續(xù)的過程，來確定組織的任務(wù)、愿景和戰(zhàn)略目標(biāo)一個(gè)持續(xù)的分析，對于物理、經(jīng)濟(jì)和自然資源災(zāi)難的影響一個(gè)持續(xù)的測試計(jì)劃,，允許在系統(tǒng)中斷或數(shù)據(jù)丟失時(shí)進(jìn)行快速恢復(fù)（看視頻）通用準(zhǔn)則（CC）創(chuàng)建了下面哪項(xiàng)，允許潛在的消費(fèi)者或開發(fā)人員能夠創(chuàng)建一套標(biāo)準(zhǔn)的安全要求來滿足需要（）?aProtectionProfile（PP）.保護(hù)輪廓（正確答案）aSecurityTarget（ST）.安全目標(biāo)anevaluationAssuranceLevel（EAL）.評價(jià)保障等級aSecurityFunctionalityComponentCatalog（SFCC）.安全功能組件目錄如果供應(yīng)商通過子合同將一些IT支持功能分包，下列哪一項(xiàng)是包括在合同中最重要的要求（）?分包商合同的安全條款和主合同是一樣的（正確答案）分包商簽看保密協(xié)議分包商聯(lián)系信息應(yīng)包括在主合同中分包商必須通過背景調(diào)查為了最好的檢測到一個(gè)通過郵件非授權(quán)泄露敏感數(shù)據(jù)的事件,組織應(yīng)當(dāng)考慮采用下面哪個(gè)安全工具（）?數(shù)據(jù)泄露保護(hù)（DLP）方案（正確答案）惡意軟件檢測方案狀態(tài)包檢測（SPI）防火墻日志監(jiān)控方案為什么Kerberos服務(wù)器必須得到很好的保護(hù)，防止非授權(quán)訪問（）？因?yàn)樗怂锌蛻舳说拿荑€（正確答案）因?yàn)樗偸窃趓oot權(quán)限下操作因?yàn)樗朔?wù)的所有的票據(jù)因?yàn)樗怂芯W(wǎng)絡(luò)設(shè)備的IP地址答案解析：票據(jù)是臨時(shí)生成的，密鑰是最主要的下面哪個(gè)是外包協(xié)議的最好的形式（）?首席執(zhí)行官之間面對面的對話兩個(gè)組織之間的服務(wù)水平協(xié)議（SLA）（正確答案）兩個(gè)組織之間的職貴分工文檔雙方之間的B2B協(xié)議（看視頻）在執(zhí)行一個(gè)有效的物理損失控制流程時(shí)，下面哪個(gè)文件是首先產(chǎn)生的（）?SecurityStandardslist安全標(biāo)準(zhǔn)列表AssetValuationlist資產(chǎn)價(jià)值表Inventorylist資產(chǎn)列表（正確答案）DeterrentControlslist威懾控制列表根據(jù)下面：。=設(shè)備數(shù)量；T=維修每個(gè)設(shè)備的時(shí)間花費(fèi)；C=每小時(shí)費(fèi)率;1=漏洞影響；P=漏洞利用的可能性;下面哪個(gè)公式?jīng)Q定了恢復(fù)成本（）?DTC（正確答案）DPCTIPTCP視網(wǎng)膜掃描生物識別裝置的物理特性是什么（）?到達(dá)視網(wǎng)膜的光的數(shù)最視網(wǎng)膜反射的光的數(shù)量視網(wǎng)膜的大小，曲率和形狀眼睛后面的血管的圖案（正確答案）下面哪個(gè)是生物識別系統(tǒng)的二型錯(cuò)誤（）?Falseacceptrate錯(cuò)誤接受率（正確答案）Falserejectrate錯(cuò)誤拒絕率Crossovererrorrate交叉錯(cuò)誤率Speedandthroughputrate速度和吞吐率在擊鍵動(dòng)力學(xué)中,什么代表了一個(gè)人在鍵之間切換的時(shí)間量（）?Dynamictime動(dòng)態(tài)時(shí)間Flighttime飛行時(shí)間（正確答案）Dwelltime停留時(shí)間Systemstime.系統(tǒng)時(shí)間數(shù)據(jù)庫設(shè)計(jì)時(shí)什么情況下會發(fā)生聚合問題（）?一個(gè)條目本身是不敏感的，但當(dāng)它與常識相結(jié)合時(shí)，是敏感的。兩個(gè)或更多條目單個(gè)本身是不敏感的，但當(dāng)結(jié)合在一起是就變得敏感了（正確答案）同一個(gè)條目的兩個(gè)或多個(gè)實(shí)例是不敏感的，但當(dāng)結(jié)合起來就變得敏感了條目的一個(gè)實(shí)例比同一個(gè)條目的另一個(gè)實(shí)例的安全級別高下面哪個(gè)是使用密碼學(xué)時(shí)的主要挑戰(zhàn)（）?密鑰管理（正確答案）算法選擇選擇密鑰長度確保數(shù)據(jù)通信下面哪個(gè)可以幫助安全人員選擇安全產(chǎn)品和服務(wù),使其保持和公司的目標(biāo)一致（）?選擇最低成本的方案遵從本地的法律和法規(guī)識別供應(yīng)商規(guī)格說明書和合同協(xié)議與業(yè)務(wù)流程所有者面談（正確答案）為什么基于擁有什么的驗(yàn)證比知道什么的驗(yàn)證強(qiáng)度高（）?Itissimplertocontrol.更加易于控制Itismoredifficulttoduplicate.復(fù)制更加困難（正確答案）Itcanbekeptontheuser'sperson.可以由用戶個(gè)人保存Itiseasiertochange.更加容易變更實(shí)施一個(gè)數(shù)據(jù)分級體系的最低的要求是什么（）?形成一個(gè)數(shù)據(jù)分級的團(tuán)隊(duì)或委員會定義體系相關(guān)的每個(gè)組的角色和責(zé)任制定和批準(zhǔn)信息安全策略（正確答案）制定和批準(zhǔn)程序、基線和標(biāo)準(zhǔn)答案解析：策略方針是最低要求下面哪個(gè)是電子尾隨攻擊（electronicpiggybacking） 蹭網(wǎng)的例子（）?附在通信線路上并替代數(shù)據(jù)（正確答案）突然終止撥號或直接連接會話跟隨一個(gè)授權(quán)用戶進(jìn)入計(jì)算機(jī)室錄制并回放計(jì)算機(jī)交易哪項(xiàng)不是BIA的主要目標(biāo)之一（）?關(guān)鍵性優(yōu)先級分級宕機(jī)時(shí)間預(yù)測決定關(guān)鍵業(yè)務(wù)功能的需求D決定執(zhí)行不同的測試來驗(yàn)證業(yè)務(wù)連續(xù)性計(jì)劃（正確答案）113?使用自主訪問控制（DAC）的系統(tǒng)，容易受到下面哪種攻擊（）?Trojanhorse木馬（正確答案）Phreaking盜用電話線路Spoofing欺騙SYNfloodSYN洪水哪種訪問控制模型讓資源的所有者來定義什么主體可以訪問特定資源（）?DiscretionaryAccessControl自主訪問控制（正確答案）MandatoryAccessControl強(qiáng)制訪問控制SensitiveAccessControl敏感訪問控制Role-basedAccessControl基于角色的訪問控制基于個(gè)人身份的自主訪問控制也稱作（）?ldentity-basedaccesscontrol基于身份的訪問控制（正確答案）Rule-basedaccesscontrol基于規(guī)則的訪問控制Non-Discretionaryaccesscontrol非自主訪問控制Lattice-basedaccesscontrol基于柵格的訪問控制廉價(jià)冗余磁盤陣列（RAID5）通過什么最小化了寫的瓶頸（）?使用陣列的一個(gè)磁盤來存儲奇偶校驗(yàn)信息使用兩塊大的條帶深度,而不是一個(gè)使用錯(cuò)誤糾正碼的能力分發(fā)奇偶校驗(yàn)條帶到一系列磁盤（正確答案）下面哪個(gè)安全模型使用了良好形式交易和職責(zé)分離的機(jī)制（）?ChineseWall中國墻模型Bell-LaPadula貝爾-拉普杜拉模型Clark-Wilson克拉克-威爾遜模型（正確答案）Biba畢巴模型答案解析：A是解決利益沖突C是原話哪個(gè)安全訪問策略包含固定的安全屬性，系統(tǒng)用來確定用戶對文件或?qū)ο蟮脑L問?（）?強(qiáng)制訪問控制（MAC）（正確答案）自主訪問控制（DAC）訪問控制列表（ACL）授權(quán)用戶控制哪個(gè)密碼破解方法不管密碼多么復(fù)雜都可以找到密碼（）?Bruteforce暴力破解（正確答案）Dictionary字典攻擊Hybrid混合攻擊Birthday生日攻擊下面哪個(gè)是組織合規(guī)方面最好的證據(jù)（）?與合規(guī)違規(guī)相關(guān)的罰款數(shù)目的減少直接對應(yīng)到合規(guī)要求的文件化的規(guī)程（正確答案）已報(bào)告的安全合規(guī)事件數(shù)量的增加安全合規(guī)的管理層批準(zhǔn)下列哪個(gè)不是風(fēng)險(xiǎn)分析中的一部分（）?Identifyrisks識別風(fēng)險(xiǎn)Choosethebestcountermeasure選擇最好的控制措施（正確答案）在風(fēng)險(xiǎn)影響和相關(guān)控制措施的成本之間提供經(jīng)濟(jì)平衡潛在威脅的影響的量化分析下面哪項(xiàng)是安全經(jīng)理擁有的最關(guān)健技能（）?有效的溝通技巧，策略規(guī)劃技巧，以及對組織流程的理解（正確答案）良好的技術(shù)技能,項(xiàng)目管理經(jīng)驗(yàn)，強(qiáng)大的審計(jì)背景

合規(guī)經(jīng)驗(yàn)，正式的管理培訓(xùn)，和網(wǎng)絡(luò)運(yùn)維能力技巧開發(fā)能力，應(yīng)用開發(fā)經(jīng)驗(yàn)和良好的人際交往能力下面哪項(xiàng)是可信計(jì)算基TCB的核心要素（）？可信路徑Securitykernel安全內(nèi)核（正確答案）Operatingsystem操作系統(tǒng)Trustedcomputingsystem可信計(jì)算系統(tǒng)下面哪個(gè)物理安全措施是在保護(hù)公司資產(chǎn)方面最通用的視頻攝像機(jī)Lockingdevices鎖（正確答案）Personnelverification人工確認(rèn)Biometries生物識別強(qiáng)制訪問控制（MAC）是基于（）?安全分級和安全許可（正確答案）數(shù)據(jù)標(biāo)簽和用戶訪問權(quán)限用戶角色和用戶加密數(shù)據(jù)分段和數(shù)據(jù)分類答案解析：強(qiáng)制訪問控制的特點(diǎn)是主體有許可客體有分級于敏感標(biāo)簽，強(qiáng)制訪問控制基于的是敏感標(biāo)簽RAID3和RAID5運(yùn)行（）?在硬件上更快（正確答案）在硬件上更慢在軟件上更快在軟件和硬件速度一樣根據(jù)需要復(fù)制的數(shù)據(jù)量，完全備份到磁帶可能需要（）?太多的時(shí)間量（正確答案））?數(shù)據(jù)標(biāo)簽不同一個(gè)可信的時(shí)間量）?數(shù)據(jù)標(biāo)簽不同一個(gè)理想的時(shí)間量D—個(gè)專用的時(shí)間量業(yè)務(wù)連續(xù)性計(jì)劃的備用處理策略可以通過熱站,冷站,或下面哪個(gè)來提供所需備用的計(jì)算能力（）?Adial-upservicesprogram.撥號服務(wù)程序Anoff-sitestoragereplacement.異地存儲替換Anonlinebackupprogram.在線備用程序（正確答案）箱子和船舶替換答案解析：在線備用程序指的是冗余站點(diǎn)、鏡像站點(diǎn)更換故障驅(qū)動(dòng)器的備用驅(qū)動(dòng)器通常都支持熱插拔,這意味著在以下哪個(gè)情況下可以在服務(wù)器上更換故障驅(qū)動(dòng)器（）?systemisupandrunning系統(tǒng)啟動(dòng)和運(yùn)行（正確答案）systemisquiescedbutoperational系統(tǒng)靜止但是運(yùn)行systemisidlebutoperational系統(tǒng)空閑但是運(yùn)行systemisupandinsingle-user-mode系統(tǒng)啟動(dòng)和單用戶模式（看視頻）在系統(tǒng)安全設(shè)計(jì)的第一階段要確保（）?適當(dāng)?shù)陌踩刂?，安全目?biāo)和安全目的是否正確啟動(dòng)。（正確答案）安全目的，適當(dāng)?shù)陌踩刂疲Ⅱ?yàn)證是否正確啟動(dòng)。安全目標(biāo)，安全目的，以及系統(tǒng)測試是否正確進(jìn)行適當(dāng)?shù)陌踩刂?，安全目的和故障緩解措施是否正確進(jìn)行哪個(gè)是在Internet上建立身份的最好的方法（）？挑戰(zhàn)握手認(rèn)證協(xié)議（CHAP）和強(qiáng)密碼B遠(yuǎn)程認(rèn)證撥號用戶服務(wù)（RADIUS）服務(wù)器，采用硬件令牌（正確答案）互聯(lián)網(wǎng)郵件訪問協(xié)議（IMAP），使用3DES算法遠(yuǎn)程用戶認(rèn)證，使用簡單目標(biāo)訪問協(xié)議（SOAP）證明一個(gè)公司對于潛在客戶的安全水平的最好的方法是（）?A.外部審計(jì)師的報(bào)告（正確答案）客戶安全調(diào)查問卷的結(jié)果內(nèi)部審計(jì)師的正式的報(bào)告客戶安全團(tuán)隊(duì)的現(xiàn)場訪問下面哪個(gè)最好的定義了身份管理架構(gòu)生命周期最后一個(gè)階段（）?Approval批準(zhǔn)Auditing審計(jì)（正確答案）Communication溝通Training培訓(xùn)下面哪一個(gè)將是與只提供VOIP服務(wù)的公司協(xié)商互聯(lián)網(wǎng)服務(wù)提供商（ISP）服務(wù)水平協(xié)議（SLA）的最重要的組成部分（）?確保吞吐量水平Qualityofservicebetweenapplications應(yīng)用程序間的服務(wù)質(zhì)量（QOS）Availabilityofnetworkservices網(wǎng)絡(luò)服務(wù)的可用性（正確答案）Responsetimetorepair維修響應(yīng)時(shí)間為什么國際數(shù)據(jù)傳輸是比較復(fù)雜的（）?一些國際簽署了國際公約一個(gè)國家司法的權(quán)限在所有司法管轄區(qū)執(zhí)行專利、版權(quán)和商業(yè)秘密法律不是標(biāo)準(zhǔn)的（正確答案）一個(gè)國家在一個(gè)司法管轄區(qū)執(zhí)行的權(quán)利應(yīng)用到所有管轄區(qū)基于角色的訪問控制簡化了用戶配置，因?yàn)椋ǎ?舊的訪問控制規(guī)則可以被有效的處置新員工的訪問基于預(yù)定義的規(guī)則列表員工訪問可以基于職能或組織架構(gòu)來建立模型（正確答案）職責(zé)比職位的角色變更更加頻繁一個(gè)大的在線媒體組織通過防火墻、入侵檢測系統(tǒng)（IDS）和防病毒解決方案來進(jìn)行保護(hù)。懷疑發(fā)生了與公眾用戶賬戶相關(guān)的欺詐行為。下面哪個(gè)是確認(rèn)該欺詐的最好的解決方案（）?實(shí)施Web應(yīng)用程序級的日志（正確答案）常規(guī)檢查防火墻日志確認(rèn)Web服務(wù)器補(bǔ)丁是最新的實(shí)施所有用戶的強(qiáng)認(rèn)證下面哪個(gè)是在一個(gè)正確職貴分離的環(huán)境中可以兼容的職能（）?數(shù)據(jù)錄入和作業(yè)調(diào)度數(shù)據(jù)庫管理和系統(tǒng)安全系統(tǒng)分析和應(yīng)用編程（正確答案）安全管理和系統(tǒng)編程控制措施的成本大于風(fēng)險(xiǎn)的成本時(shí),應(yīng)如何控制風(fēng)險(xiǎn)（）?Reducetherisk降低風(fēng)險(xiǎn)Accepttherisk接受風(fēng)險(xiǎn)（正確答案）Performanotherriskanalysis執(zhí)行其他風(fēng)險(xiǎn)分析Rejecttherisk拒絕風(fēng)險(xiǎn)控制是實(shí)施用來（）?消除風(fēng)險(xiǎn)，以及減少可能的損失緩解風(fēng)險(xiǎn)，以及消除可能的損失緩解風(fēng)險(xiǎn)，以及降低可能的損失（正確答案）消除風(fēng)險(xiǎn)，以及消除可能的損失下列哪項(xiàng)不是技術(shù)控制（）?Identificationandauthenticationmethods標(biāo)識和身份驗(yàn)證方法Monitoringforphysicalintrusion物理入侵監(jiān)測（正確答案）IntrusionDetectionSystems入侵檢測系統(tǒng)Passwordandresourcemanagement密碼和資源管理一個(gè)來訪的計(jì)算機(jī)科學(xué)家發(fā)現(xiàn)了大學(xué)的大型主機(jī)中的錯(cuò)誤，可以使他們能夠收集其他用戶，訪問他們的文件，他們的賬單計(jì)算時(shí)間。在幾個(gè)星期內(nèi)，他們搜集了大量的用戶ID,但從未訪問他們的文件或票據(jù)的時(shí)間。臨走時(shí)，科學(xué)家向同事揭示了這些發(fā)現(xiàn)，同事匯報(bào)了這些發(fā)現(xiàn)。根據(jù)（ISC）2道德規(guī)范，以下那個(gè)是正確的（）?該行為是道德上中立，因?yàn)闆]有人收到傷害,沒有侵犯隱私，沒有欺詐收費(fèi)時(shí)間。該行為道德上錯(cuò)誤，因?yàn)樵摽茖W(xué)家沒有馬上揭示系統(tǒng)錯(cuò)誤，來采取步驟消除漏洞（正確答案）該行為道德上是正確的，因?yàn)榭茖W(xué)家提供了系統(tǒng)缺陷的證據(jù)，否則有可能未被發(fā)現(xiàn)。該行為道德上是錯(cuò)誤的，因?yàn)榭茖W(xué)家使得系統(tǒng)缺陷廣為人知，增加了系統(tǒng)進(jìn)一步濫用的可能性。下面哪項(xiàng)不是業(yè)務(wù)影響分析（BIA）的四個(gè)步驟之一（）?通知高級管理層收集需要的評估材料執(zhí)行漏洞評估分析編輯的信息以上都是BIA的步驟（正確答案）金融機(jī)構(gòu)的一個(gè)客戶拒絕承認(rèn)一個(gè)交易的發(fā)生。下面哪一個(gè)用來提供客戶執(zhí)行了交易的證據(jù)（）?授權(quán)控制雙因素認(rèn)證抗抵賴控制（正確答案）訪問審計(jì)下面哪一個(gè)最好的保護(hù)了用來做應(yīng)急維護(hù)的供應(yīng)商賬戶（）?供應(yīng)商訪問應(yīng)當(dāng)被禁止,需要時(shí)再打開（正確答案）經(jīng)常監(jiān)控供應(yīng)商的訪問基于角色的訪問控制路由表加密（看視頻）國際數(shù)據(jù)加密算法（IDEA）加密標(biāo)準(zhǔn)實(shí)施了下面哪個(gè)選項(xiàng)（）？可變密鑰長度加密分組加密（正確答案）數(shù)字簽名標(biāo)準(zhǔn)（DSS）數(shù)字簽名算法（DSA）在實(shí)施補(bǔ)丁管理程序時(shí),應(yīng)當(dāng)?shù)谝徊綀?zhí)行下面哪一項(xiàng)（）?執(zhí)行自動(dòng)補(bǔ)丁部署監(jiān)控漏洞和威脅漏洞修補(bǔ)方案優(yōu)先級分級創(chuàng)建系統(tǒng)清單（正確答案）你有非常嚴(yán)格的物理訪問控制。同時(shí)邏輯訪問控制很寬松。這樣的設(shè)置下什么是正確的（）?所有選項(xiàng)都不對Itcan100%secureyourenvironment.你的環(huán)境是100%安全的它可以保護(hù)你的環(huán)境它不能保護(hù)你的環(huán)境（正確答案）下面哪個(gè)不是一個(gè)檢測性技術(shù)控制（）?Intrusiondetectionsystem入侵檢測系統(tǒng)Violationreports違規(guī)報(bào)告Honeypot蜜罐Noneofthechoices.所有選項(xiàng)都不對（正確答案）業(yè)務(wù)連續(xù)性計(jì)劃是下面哪個(gè)控制的例子（）?糾正性控制（正確答案）檢測性控制預(yù)防性控制補(bǔ)償性控制誰對在公網(wǎng)鏈路上傳輸數(shù)據(jù)的安全性和隱私性負(fù)責(zé)（）?Thecarrier運(yùn)營商Thesending發(fā)送者（正確答案）Thereceivingparty接收者Thelocalserviceprovider本地服務(wù)商下面哪個(gè)最好的提供了電子郵件信息的真實(shí)性和機(jī)密性（）?使用發(fā)送者的公鑰簽名信息，并使用接收者的私鑰加密信息使用發(fā)送者的私鑰簽名信息，并使用接收者的公鑰加密信息（正確答案）使用接收者的私鑰簽名信息，并使用發(fā)送者的公鑰加密信息使用接受者的公鑰簽名信息，并使用發(fā)送者的私鑰加密信息下面哪個(gè)不是單向哈希函數(shù)的特性（）?它將一個(gè)固定長度的消息轉(zhuǎn)換成任意長度的消息摘要（正確答案）構(gòu)建兩個(gè)不同的消息，使其具有相同摘要，從計(jì)算上講是不可行的它將任意長度的消息轉(zhuǎn)換成固定長度的消息摘要給定一個(gè)摘要值，要發(fā)現(xiàn)相關(guān)的消息，從計(jì)算上講是不可行的56位加密是40位加密安全性的多少倍（）?16timesl6倍256times256倍32768times32768倍65，536times65536倍（正確答案）下面哪個(gè)是在設(shè)計(jì)災(zāi)難恢復(fù)計(jì)劃（DRP）時(shí)，需要考慮的主要因素（）?備份程序，異地存儲，和數(shù)據(jù)懨復(fù)指導(dǎo)委員會，應(yīng)急響應(yīng)團(tuán)隊(duì)和重建團(tuán)隊(duì)影響評估，恢復(fù)戰(zhàn)略和測試（正確答案）保險(xiǎn)覆蓋,備份站點(diǎn)和人工程序系統(tǒng)開發(fā)生命周期（SDLC）中安全認(rèn)可的任務(wù)是在哪個(gè)階段的結(jié)束時(shí)完成的）?系統(tǒng)運(yùn)行和維護(hù)階段系統(tǒng)獲取和開發(fā)階段系統(tǒng)實(shí)施階段（正確答案）系統(tǒng)啟動(dòng)階段157?下面哪個(gè)是檢查時(shí)間/使用時(shí)間（TOC/TOU）問題的實(shí)例（）？已經(jīng)被撤銷概要的用戶使用系統(tǒng)有效用戶的密碼來登陸用戶使用一個(gè)正確的概要登陸，該概要在撤銷時(shí)沒有終結(jié)會話；（正確答案）用戶的概要撤銷后,用戶的會話立即終止；用戶會話沒有被驗(yàn)證，直到登陸以后下面哪一個(gè)關(guān)于在災(zāi)難發(fā)生并擾亂了組織的活動(dòng)后,如何處理媒體關(guān)系的描述是不正確的（）?在災(zāi)難時(shí),CEO應(yīng)該一直是公司的發(fā)言人（正確答案）災(zāi)難恢復(fù)計(jì)劃必須包括災(zāi)難發(fā)生時(shí)如何處理媒體關(guān)系組織的發(fā)言人應(yīng)該在媒體記者從另外的渠道了解之前,報(bào)告壞消息。應(yīng)當(dāng)提前規(guī)劃一個(gè)緊急新聞發(fā)布會站點(diǎn)（看視頻）為了讓組織的安全策略有效,策略必須包括（）?對不合規(guī)的懲戒措施（正確答案）明確定義問題的聲明所有適用于策略的標(biāo)準(zhǔn)的清單策略文檔的所有人和更新日期一家企業(yè)的文檔管理系統(tǒng)中對文檔實(shí)施了分級管理系統(tǒng),以下哪一項(xiàng)是保護(hù)分級文檔機(jī)密性的最佳控制（）?要求訪問文檔系統(tǒng)的人員簽訂保密協(xié)議（NDA）使用入侵檢測系統(tǒng)（IDS）防止對文檔的未授權(quán)訪問進(jìn)行日志評審，對發(fā)現(xiàn)的違規(guī)文檔訪問進(jìn)行調(diào)查防止擁有高安全級別訪問權(quán)限的人員將文檔保存到低安全級別區(qū)域（正確答案）以下哪種災(zāi)難恢復(fù)站點(diǎn)是最難進(jìn)行測試的（）?冗余站點(diǎn)熱站溫站冷站（正確答案）一位開發(fā)人員具有可訪問生產(chǎn)環(huán)境操作系統(tǒng)命令行的操作員權(quán)限。以下哪項(xiàng)控制最能檢測出對生產(chǎn)環(huán)境進(jìn)行的未經(jīng)授權(quán)的程序變更（）?記錄在命令行中輸入的命令。計(jì)算程序的哈希值,并與程序的最新授權(quán)版本的哈希鍵值進(jìn)行匹配。（正確答案）使用預(yù)先批準(zhǔn)的權(quán)限通過訪問權(quán)限限制工具來授予訪問操作系統(tǒng)命令行的權(quán)限。軟件開發(fā)工具和編譯器已從生產(chǎn)環(huán)境中刪除。以下哪一項(xiàng)安全控制容易被合謀所破壞（）?雙因素驗(yàn)證崗位輪換職責(zé)分離（正確答案）最小授權(quán)應(yīng)用級代理防火墻的特點(diǎn)是（）?邏輯簡單、成本低、易于安裝使用很難識別IP欺騙，安全性較低使用規(guī)則導(dǎo)致性能下降（正確答案）日志記錄有限，安全性較低答案解析：ABD是包過濾防火墻的特點(diǎn)網(wǎng)絡(luò)安全評估能起到什么作用（）?檢查網(wǎng)絡(luò)是否與行業(yè)標(biāo)準(zhǔn)相符合準(zhǔn)確衡量控制的有效性（正確答案）識別所有網(wǎng)絡(luò)中的漏洞防止?jié)B透測試導(dǎo)致網(wǎng)絡(luò)失效根據(jù)數(shù)據(jù)分級的策略,數(shù)據(jù)的所有者是（）?最終用戶業(yè)務(wù)經(jīng)理（正確答案）安全經(jīng)理IT主管167?測試BCP的恰當(dāng)時(shí)機(jī)是（）？當(dāng)環(huán)境發(fā)生變化時(shí)（正確答案）在進(jìn)行信息系統(tǒng)審計(jì)前在安裝了安全補(bǔ)丁后在新系統(tǒng)上線后對電子郵件進(jìn)行加密和簽名保障的是（）?不可抵賴、真實(shí)性、授權(quán)不可抵賴、機(jī)密性、授權(quán)機(jī)密性、真實(shí)性、授權(quán)機(jī)密性、不可抵賴、真實(shí)性（正確答案）檢測到一個(gè)用戶帳號在幾分鐘內(nèi)有近300次嘗試登錄失敗,抓包分析發(fā)現(xiàn)每次嘗試登錄使用的是不同的密碼。這最有可能是（）?木馬安裝的后門分布式拒絕服務(wù)攻擊（DDOS）字典攻擊（正確答案）篡改攻擊應(yīng)對IDS告警的第一步是（）?停用或斷網(wǎng)受攻擊的系統(tǒng)激活連續(xù)性計(jì)劃驗(yàn)證威脅并確定攻擊的范圍（正確答案）確定流量來源并阻止相關(guān)端口以下哪一項(xiàng)是關(guān)于信息安全管理體系（ISMS）的標(biāo)準(zhǔn)或指引（）？ITILCOBITISO/IEC20000ISO/EC27000系列（正確答案）軟件工程師編寫了一個(gè)能生成多態(tài)病毒的工具,用于在受控的環(huán)境下測試公司的病毒掃描工具。該行為是（）?道德的，因?yàn)檫@個(gè)工具有助于驗(yàn)證病毒掃描工具的有效性（正確答案）道德的，因?yàn)槿魏斡薪?jīng)驗(yàn)的程序員都能夠創(chuàng)建這樣的工具不道德，因?yàn)樵摴ぞ哂锌赡鼙粋鞑サ交ヂ?lián)網(wǎng)上不道德，因?yàn)樯扇魏畏N類的病毒都是有害的評價(jià)組織的漏洞管理程序是否有效的最佳方法是（）?自動(dòng)漏洞掃描評審自動(dòng)補(bǔ)丁部署報(bào)告定期由安全團(tuán)隊(duì)進(jìn)行