cissp中文練習(xí)測(cè)試題附答案（一）

第頁(yè)cissp中文練習(xí)測(cè)試題附答案1.#223

在購(gòu)買新軟件的過程中，必須在哪個(gè)過程中考慮安全性?A、征求建議書(RFP)B、實(shí)施C、供應(yīng)商選擇D、合同談判【正確答案】：A2.話題一

問題#450

應(yīng)該利用軟件開發(fā)生命周期(SDLC)中的哪種安全技術(shù)來最好地確保整個(gè)項(xiàng)目的安全開發(fā)?A、動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）B、瀑布C、簡(jiǎn)單對(duì)象訪問協(xié)議D、靜態(tài)應(yīng)用安全測(cè)試（SAST）【正確答案】：D3.Chris被要求選擇PEAP和LEAP中的一個(gè),來進(jìn)行無線身份驗(yàn)證。他應(yīng)該選擇什么,為什么?A、LEAP,因?yàn)樗迯?fù)了TKIP的問題,導(dǎo)致更強(qiáng)的安全性B、PEAP,因?yàn)樗褂肅CMP實(shí)現(xiàn)安全性C、LEAP,因?yàn)樗褂肊AP-TLS實(shí)現(xiàn)端到端會(huì)話加密D、PEAP,因?yàn)樗赏ㄟ^封裝EAP方法提供一個(gè)TLS隧道,來保護(hù)整個(gè)會(huì)話【正確答案】：D解析：

PEAP(受保護(hù)的可擴(kuò)展身份驗(yàn)證協(xié)議)為EAP(可擴(kuò)展身份驗(yàn)證協(xié)議)方法提供加密,而且可以提供身份驗(yàn)證。它并不實(shí)現(xiàn)CCMP(計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議),因?yàn)镃CMP包含在WPA2標(biāo)準(zhǔn)中。因?yàn)樽?000年初以來出現(xiàn)了一些針對(duì)LEAP(輕量級(jí)可擴(kuò)展身體驗(yàn)證協(xié)議)的攻擊工具,LEAP就變得不安全了,因此不應(yīng)該使用它。4.公司最近經(jīng)歷了在Connor看來是來自內(nèi)部源的拒絕服務(wù)攻擊。如果是這樣,公司經(jīng)歷了什么類型的事故?A、間謀B、保密性破壞C、內(nèi)部破壞活動(dòng)D、完整性破壞【正確答案】：C解析：

內(nèi)部人員(如雇員)對(duì)組織的攻擊被稱為內(nèi)部破壞活動(dòng)。間謀和保密性破壞行為涉及盜竊敏感信息,但根據(jù)題意并沒有發(fā)生此類行為。完整性破壞涉及未經(jīng)授權(quán)的信息修改,題中也沒有提到。5.若Chris的公司在歐盟經(jīng)營(yíng),并已與第三方簽訂處理數(shù)據(jù)的合同,那么第三方充當(dāng)什么角色?A、業(yè)務(wù)所有者B、任務(wù)所有者C、數(shù)據(jù)處理者D、數(shù)據(jù)管理員【正確答案】：C解析：

根據(jù)歐盟數(shù)據(jù)保護(hù)指令,代表數(shù)據(jù)所有者處理個(gè)人數(shù)據(jù)的第三方組織稱為數(shù)據(jù)處理者。和數(shù)據(jù)處理者簽訂合同的組織稱為業(yè)務(wù)所有者,Chris組織中的其他人將擔(dān)任數(shù)據(jù)管理員的角色,數(shù)據(jù)管理員根據(jù)數(shù)據(jù)的操作流程和數(shù)據(jù)分類對(duì)數(shù)據(jù)授予訪問權(quán)限。材料6:根據(jù)以下場(chǎng)景,回答下面3個(gè)問題Chris最近被一家新的組織雇傭,該組織使用以下分類計(jì)劃(1)設(shè)置分類數(shù)據(jù)的標(biāo)準(zhǔn)(2)為每類數(shù)據(jù)指定所有者(3)分類數(shù)據(jù)(4)為每個(gè)類別選擇要求的控制(5)為組織選擇安全基線(6)研究并調(diào)整控制(7)應(yīng)用并執(zhí)行控制(8)授權(quán)并管理訪問6.#68

為什么數(shù)據(jù)分類控制對(duì)組織很重要?A、啟用數(shù)據(jù)發(fā)現(xiàn)B、確保安全控制符合組織的風(fēng)險(xiǎn)偏好C、確保其完整性、機(jī)密性和可用性D、根據(jù)組織政策和法規(guī)控制數(shù)據(jù)保留【正確答案】：C7.#192

減少網(wǎng)絡(luò)暴露于基于Internet控制消息協(xié)議(ICMP)的攻擊的第一步是什么?A、實(shí)施網(wǎng)絡(luò)訪問控制列表(ACL)。B、實(shí)施入侵防御系統(tǒng)(IPS)。C、實(shí)施Web應(yīng)用程序防火墻(WAF)。D、在組織的網(wǎng)絡(luò)邊界實(shí)施出口過濾?！菊_答案】：A8.#11

哪種廣域網(wǎng)(WAN)技術(shù)需要路徑中的第一個(gè)路由器來確定數(shù)據(jù)包將通過的完整路徑，從而無需為路徑中的其他路由器做出獨(dú)立判斷?A、同步光網(wǎng)絡(luò)(SONET)B、多協(xié)議標(biāo)簽交換(MPLS)C、以太網(wǎng)光纖通道(FCoE)D、會(huì)話發(fā)起協(xié)議(SIP)【正確答案】：B9.Gordon考慮黑客可能使用輻射來遠(yuǎn)程讀取他所在組織的計(jì)算機(jī)監(jiān)視器的內(nèi)容。什么技術(shù)能防止該類型的襲擊?A、TCSECB、SCSIC、GHOSTD、TEMPEST【正確答案】：D解析：

TEMPEST程序使用的技術(shù)不易受到VanEck盜用電話線路攻擊的影響,因?yàn)樗梢詼p少自然電磁輻射。10.根據(jù)以下情景回答后面的3個(gè)問題：Ben所在的組織有一個(gè)傳統(tǒng)的現(xiàn)場(chǎng)ActiveDirectory環(huán)境，該公司有350名員工，每增加一名員工都需要進(jìn)行手動(dòng)配置。隨著公司采用新技術(shù)，他們?cè)絹碓蕉嗟厥褂密浖捶?wù)應(yīng)用程序來替換其內(nèi)部開發(fā)的軟件堆棧。Ben的任務(wù)是設(shè)計(jì)一個(gè)身份管理系統(tǒng)，該系統(tǒng)允許公司使用云服務(wù)，同時(shí)應(yīng)該支持現(xiàn)有的系統(tǒng)。使用給出的邏輯圖，回答關(guān)于以下問題。當(dāng)Ben的組織向他們的電子商務(wù)云合作伙伴提供驗(yàn)證和授權(quán)時(shí)，可能會(huì)涉及哪些技術(shù)?ActiveB、SAMLC、RADIUSD、SPML【正確答案】：B解析：

安全聲明標(biāo)記語(yǔ)言（SAML）經(jīng)常用于集成云服務(wù)，并允許進(jìn)行身份驗(yàn)證和授權(quán)聲明。ActiveDirectory的集成是可能的，但云服務(wù)提供者很少提供該項(xiàng)服務(wù)，并且RADIUS（遠(yuǎn)程用戶撥號(hào)身份驗(yàn)證系統(tǒng)）并非專門用于這樣的集成。服務(wù)配置標(biāo)記語(yǔ)言（SPML）用于配置用戶、資源和服務(wù)，而不用于身份驗(yàn)證和授權(quán)。11.#90

以下哪項(xiàng)可確保舊的日志數(shù)據(jù)不會(huì)被覆蓋?A、日志保留B、實(shí)施系統(tǒng)日志C、增加日志文件大小D、日志保存【正確答案】：A12.在安全審計(jì)期間,Susan發(fā)現(xiàn)組織正使用手形幾何掃描儀作為其安全數(shù)據(jù)中心的訪問控制機(jī)制。Susan應(yīng)該對(duì)手形幾何掃描儀的使用提出什么建議?A、該項(xiàng)技術(shù)的FRR比較高,應(yīng)該換成其他技術(shù)B、應(yīng)該添加第二個(gè)因素,因?yàn)樵擁?xiàng)技術(shù)不能可靠地區(qū)分個(gè)體C、手形幾何掃描儀為數(shù)據(jù)中心提供適當(dāng)?shù)陌踩?應(yīng)考慮用于其他高安全性領(lǐng)域D、可能產(chǎn)生安全訪問問題,應(yīng)考慮備用的生物識(shí)別系統(tǒng)【正確答案】：B解析：

手形幾何掃描儀只檢測(cè)人手的物理尺寸,不會(huì)驗(yàn)證人的其他獨(dú)特因素,甚至不會(huì)去驗(yàn)證他們是否活著。這意味著手形幾何掃描儀不應(yīng)該作為唯一的身份驗(yàn)證因素。手形幾何掃描儀的FRR(錯(cuò)誤拒絕率)還可以接受,而且與其他生物識(shí)別系統(tǒng)相比,它簡(jiǎn)單易獲取。13.1分防火墻是什么類型的訪問控制機(jī)制的一個(gè)示例?A、強(qiáng)制訪問控制B、基于屬性的訪問控制C、自主訪問控制D、基于規(guī)則的訪問控制【正確答案】：D解析：

防火墻基于規(guī)則集運(yùn)行的,是基于規(guī)則的訪問控制方案的一個(gè)示例。14.VXLAN在數(shù)據(jù)中心環(huán)境中起到什么作用?A、它消除了以太網(wǎng)電纜最大距離的限制B、它允許多個(gè)子網(wǎng)存在在同-IP空間中的主機(jī)使用相同IP地址C、它在第3層網(wǎng)絡(luò)上建立第2層連接隨道,將它們延伸到底層的第3層網(wǎng)絡(luò)D、以上所有【正確答案】：C解析：

VXLAN通過第3層網(wǎng)絡(luò)傳輸?shù)?層連接,本質(zhì)上是將LAN擴(kuò)展到其可能無法正常工作的距離或網(wǎng)絡(luò)上。它沒有消除以太網(wǎng)電纜的距離限制,也不允許多個(gè)子網(wǎng)使用相同IP空間一這需要NAT或其他重新映射地址來避免沖突的技術(shù)。15.Robert報(bào)告BetaParticles的當(dāng)前狀態(tài)在SW-CMM的哪個(gè)階段?A、可定義B、可重復(fù)C、可優(yōu)化D、可管理【正確答案】：A解析：

SW—CMM定義階段的標(biāo)志是存在基本生命周期管理過程和代碼重用。它包括需求管理、軟件項(xiàng)目規(guī)劃、軟件質(zhì)量保證和配置管理。材料24:請(qǐng)參照以下情景,回答問題。Robert是一位顧問,幫助組織創(chuàng)建和開發(fā)成熟的軟件開發(fā)實(shí)踐。他喜歡使用軟件能力成熟度模型(SW—CMM)來評(píng)估使用獨(dú)立審查和自我評(píng)估的組織的當(dāng)前和未來狀態(tài)。他目前正在與兩個(gè)不同的客戶合作。AcmeWidgets不能很好地組織他們的軟件開發(fā)實(shí)踐。他們有一個(gè)專門的開發(fā)人員團(tuán)隊(duì)(做任何事情)來輸出軟件,但他們沒有任何正式的過程。BetaParticles是一家軟件開發(fā)公司,多年使用正式的、文檔化軟件開發(fā)過程。他們使用標(biāo)準(zhǔn)模型進(jìn)行軟件開發(fā),但沒有對(duì)這些過程進(jìn)行定量管理16.#3

一個(gè)組織想要實(shí)施一種授權(quán)機(jī)制將簡(jiǎn)化各種系統(tǒng)訪問權(quán)限的分配許多具有相似工作職責(zé)的用戶。哪種類型的授權(quán)機(jī)制將是組織實(shí)施的最佳選擇?A、基于角色的訪問控制(RBAC)B、自主訪問控制(DAC)C、依賴于內(nèi)容的訪問控制D、基于規(guī)則的訪問控制【正確答案】：A17.為了盡快預(yù)防漏洞，應(yīng)該在在系統(tǒng)工程生命周期的哪個(gè)階段？A、設(shè)計(jì)B、測(cè)試C、開發(fā)【正確答案】：A18.Bell-LaPadula和Biba模型實(shí)現(xiàn)了什么狀態(tài)機(jī)模型?TheBell-LaPadulaandBibamodelsimplementstatemachinesinafashionthatuseswhatspecificstatemachinemodel?A、信息流InformationflowB、不干擾NoninterferenceC、級(jí)聯(lián)CascadingD、反饋Feedback【正確答案】：A19.Frank的團(tuán)隊(duì)正在測(cè)試公司的開發(fā)團(tuán)隊(duì)為其應(yīng)用程序基礎(chǔ)架構(gòu)開發(fā)的新API。以下哪項(xiàng)不是你希望Frank的團(tuán)隊(duì)發(fā)現(xiàn)的常見API問題?A、不正確的加密B、客體級(jí)別授權(quán)問題C、用戶認(rèn)證問題D、缺乏速率限制【正確答案】：A解析：

AP通常通過HTTPS為Web應(yīng)用程序傳輸數(shù)據(jù),這意味著API本身不負(fù)責(zé)加密。如果Frank的團(tuán)隊(duì)發(fā)現(xiàn)TLS未啟用,他們將需要與基礎(chǔ)設(shè)施或系統(tǒng)管理團(tuán)隊(duì)合作,以確保啟用并使用TLS,而不是更改API。對(duì)象訪問授權(quán)、身份驗(yàn)證弱點(diǎn)和速率限制都是常見的API問題。如果你不熟悉在API中可能遇到的問題類型,可以在:.OWASP.API-Security.blob.master.2019.en.dist.owasp-api-security-top-10.pdf上的OWASPAPI安全性top10中閱讀有關(guān)它們的更多信息。20.#263

信息安全管理員希望阻止通過超文本傳輸協(xié)議(HTTP)隧道的對(duì)等(P2P)流量。開放系統(tǒng)互連(OSI)模型的以下哪些層需要檢查?A、申請(qǐng)B、運(yùn)輸C、會(huì)議D、介紹【正確答案】：A21.Lauren的組織已經(jīng)使用了流行的即時(shí)消息服務(wù)多年。最近,已經(jīng)提出了對(duì)即時(shí)消息的使用的關(guān)注。使用下面的圖表,回答關(guān)于即時(shí)消息的問題,從A到B發(fā)送內(nèi)部通信會(huì)引起什么安全問題?A、防火墻不能保護(hù)系統(tǒng)B、?C、系統(tǒng)C可以看到從系統(tǒng)A到B的廣播流量D、它通過未加密的協(xié)議傳播E、IM不提供不可否認(rèn)性【正確答案】：C解析：

HTTP流量通常經(jīng)由TCP80號(hào)端口發(fā)送。A和B之間的任何點(diǎn)都可以很容易地捕獲未加密的HTTP流量,這意味著這種即時(shí)消息解決方案不能為組織的公司通信提供機(jī)密性。材料12:Lauren的組織已經(jīng)使用了流行的即時(shí)消息服務(wù)多年。最近,已經(jīng)提出了對(duì)即時(shí)消息的使用的關(guān)注。使用下面的圖表,回答關(guān)于即時(shí)消息的問題22.#368

在允許Web應(yīng)用程序進(jìn)入生產(chǎn)環(huán)境之前，安全從業(yè)人員執(zhí)行多種類型的測(cè)試以確認(rèn)Web應(yīng)用程序按預(yù)期執(zhí)行。為了測(cè)試用戶名字段，安全從業(yè)人員創(chuàng)建了一個(gè)測(cè)試，在該字段中輸入的字符數(shù)超過了允許的字符數(shù)。以下哪項(xiàng)最好描述了所執(zhí)行的測(cè)試類型?A、誤用案例測(cè)試B、接口測(cè)試C、Web會(huì)話測(cè)試D、滲透測(cè)試【正確答案】：A23.1分以下哪些工具通常不用于驗(yàn)證組織的安全策略配置?A、日志審查B、人工審查權(quán)限C、基于簽名的檢測(cè)D、審查審計(jì)線索【正確答案】：C解析：

雖然基于簽名的檢測(cè)用于檢測(cè)攻擊,但是配置過程的審查通常涉及檢查日志、審查審計(jì)線索或執(zhí)行人工審查權(quán)限。24.#115

以下哪項(xiàng)最適合收集零日攻擊的證據(jù)?A、蜜罐B、反垃圾郵件C、防病毒D、防火墻【正確答案】：A25.為保證報(bào)告階段不出問題，規(guī)劃階段中的核心問題是?A、使用哪種CVE格式B、如何存儲(chǔ)和發(fā)送漏洞數(shù)據(jù)C、哪些目標(biāo)是范圍外的D、報(bào)告應(yīng)該有多長(zhǎng)時(shí)間【正確答案】：B解析：

滲透測(cè)試報(bào)告通常包括可能造成額外曝光的那些信息。因此，確定如何存儲(chǔ)和發(fā)送漏洞數(shù)據(jù)至關(guān)重要。漏洞評(píng)估和開發(fā)階段，目標(biāo)之外發(fā)生的事情更可能導(dǎo)致問題，而且測(cè)試報(bào)告的篇幅不應(yīng)受到限制，只要它們能夠達(dá)到測(cè)試目標(biāo)即可。26.Chris負(fù)責(zé)整個(gè)公司的工作站,他知道公司的一些工作站用于處理專有信息和高度敏感的商業(yè)機(jī)密。以下哪項(xiàng)最能描述他負(fù)責(zé)的工作站在生命周期結(jié)束(EOL)時(shí)應(yīng)該發(fā)生的情況?A、擦除B、清理C、凈化D、銷毀【正確答案】：D解析：

銷毀是確保數(shù)據(jù)無法泄露的最完整方法,組織通常選擇銷毀驅(qū)動(dòng)器或整個(gè)工作站或設(shè)備,以確保數(shù)據(jù)無法恢復(fù)或泄露。凈化是一系列流程的組合,可確保無法通過任何方式恢復(fù)系統(tǒng)中的數(shù)據(jù)。擦除和清除都容易出現(xiàn)錯(cuò)誤和技術(shù)問題,可能會(huì)導(dǎo)致殘留數(shù)據(jù),并且對(duì)于處理專有信息的系統(tǒng)沒有意義。27.#145

安全運(yùn)營(yíng)中心(SOC)已收到可靠情報(bào)，表明威脅行為者正計(jì)劃使用破壞性病毒的多種變體進(jìn)行攻擊。在獲得該病毒變種的樣本集并對(duì)其進(jìn)行逆向工程以了解它們的工作原理后，發(fā)現(xiàn)了一個(gè)共性。所有變體都被編碼為寫入特定的內(nèi)存位置。確定該病毒對(duì)組織沒有威脅，因?yàn)樗麄冇羞h(yuǎn)見，可以在所有端點(diǎn)上啟用什么功能?A、地址空間布局隨機(jī)化(ASLR)B、可信平臺(tái)模塊(TPM)C、虛擬化D、進(jìn)程隔離【正確答案】：A28.保險(xiǎn)公司把PII數(shù)據(jù)處理外包給了外包商，外包商又把部分處理分包給了分銷商。請(qǐng)問主要哪一方負(fù)責(zé)數(shù)據(jù)的分類分級(jí)？A、公司B、外包商C、分銷商D、三方一起【正確答案】：A29.#58

哪種技術(shù)可以幫助系統(tǒng)設(shè)計(jì)人員考慮其系統(tǒng)和應(yīng)用程序的潛在安全問題?A、威脅建模B、人工檢查和審查C、源代碼審查D、滲透測(cè)試【正確答案】：A30.#291

以下哪種類型的防火墻僅在轉(zhuǎn)發(fā)流量之前檢查數(shù)據(jù)包之間的“握手”?A、代理防火墻B、電路級(jí)防火墻C、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)防火墻D、基于主機(jī)的防火墻【正確答案】：B31.以下哪個(gè)加利福尼亞法律要求在收集加利福尼亞居民個(gè)人信息的商業(yè)網(wǎng)站上明確公布隱私策略?A、個(gè)人信息保護(hù)和電子文件法案B、加利福尼亞在線隱私保護(hù)法案C、加利福尼亞在線網(wǎng)絡(luò)隱私法案D、加利福尼亞民法1798.82【正確答案】：B解析：

加利福尼亞在線隱私保護(hù)法案(COPPA)要求商業(yè)網(wǎng)站和服務(wù)運(yùn)營(yíng)商在收集加利福尼亞州居民的個(gè)人信息時(shí)必須醒目地公布隱私策略。個(gè)人信息保護(hù)和電子文件法案是加拿大的隱私法,加利福尼亞民法1798.82是需要違約通知的加利福尼亞州法律的一部分。不存在加利福尼亞在線網(wǎng)絡(luò)隱私法32.在防御彩虹表攻擊時(shí),添加到密碼中的隨機(jī)值名稱是什么?A、散列B、鹽C、補(bǔ)充劑D、鋼筋【正確答案】：B解析：

鹽是在密碼被操作系統(tǒng)執(zhí)行散列操作之前添加到密碼中的隨機(jī)值。然后,鹽存儲(chǔ)在帶有散列密碼的密碼文件中。這種方法增加了密碼分析攻擊的復(fù)雜性,可有效地抵抗使用預(yù)先計(jì)算的散列值(例如彩虹表)的攻擊。33.Susan希望通過多個(gè)互聯(lián)網(wǎng)服務(wù)提供商來保護(hù)她的通信流量,因?yàn)檫@些流量被發(fā)送到她公司的另外一個(gè)位置。她應(yīng)該使用什么技術(shù)來保護(hù)站點(diǎn)之間始終在線、始終連接的流量?A、FCOEB、SDWANC、AD、Zigbee【正確答案】：C解析：

點(diǎn)對(duì)點(diǎn)IPsecVPN可以在兩個(gè)站點(diǎn)之間持續(xù)提供和建立一個(gè)安全、加密的通道,確保Susan的流量不會(huì)在其傳輸路徑上暴露。FCoE是以太網(wǎng)光纖通道,是一種存儲(chǔ)協(xié)議。SD—WAN是一種軟件定義的廣域網(wǎng),而Zigbee是一種低功耗無線協(xié)議。這些都不能滿足Susan的需要。34.一個(gè)程序的什么部分包含存儲(chǔ)器和程序可能獲得的資源地址設(shè)置上的限制?A、邊界B、約束限制C、界定D、界限【正確答案】：D解析：

在系統(tǒng)上運(yùn)行的每個(gè)進(jìn)程都有物理或邏輯界限,例如存儲(chǔ)器。35.Ben的團(tuán)隊(duì)正嘗試對(duì)事務(wù)標(biāo)識(shí)問題進(jìn)行分類,問題是由多個(gè)服務(wù)器共享的對(duì)稱密鑰導(dǎo)致的。這屬于什么STRIDE類別?A、信息泄露B、拒絕服務(wù)C、篡改D、否認(rèn)【正確答案】：D解析：

由于共享對(duì)稱密鑰可被任何服務(wù)器使用,因此由共享密鑰引起的事務(wù)識(shí)別問題可能涉及否認(rèn)問題。如果服務(wù)器無法唯一標(biāo)識(shí)加密的事務(wù),則不能證明其來自特定的服務(wù)器。用STRIDE來評(píng)估他們的軟件,并確定了威脅代理和這些威脅可能產(chǎn)生的業(yè)務(wù)影響。現(xiàn)在,他們正努力確定所標(biāo)出的問題的適當(dāng)控制方式。使用STRIDE模型回答以下三個(gè)問題36.以下真值表描述了什么邏輯操作?A、或B、和C、異或D、或非【正確答案】：C解析：

當(dāng)且僅當(dāng)輸入值中只有一個(gè)為真,另一個(gè)為假時(shí),異或(XOR)運(yùn)算結(jié)果為真。37.#323

一個(gè)組織計(jì)劃購(gòu)買一個(gè)商業(yè)現(xiàn)貨(COTS)系統(tǒng)來替換他們老化的自制報(bào)告系統(tǒng)。組織的安全團(tuán)隊(duì)?wèi)?yīng)該在什么時(shí)候首先參與此次收購(gòu)的生命周期?A、當(dāng)系統(tǒng)被驗(yàn)證和驗(yàn)證時(shí)B、當(dāng)表達(dá)了對(duì)系統(tǒng)的需求并且記錄了系統(tǒng)的目的時(shí)C、系統(tǒng)部署到生產(chǎn)時(shí)D、當(dāng)系統(tǒng)被設(shè)計(jì)、購(gòu)買、編程、開發(fā)或以其他方式建造時(shí)【正確答案】：B38.#233

在確定數(shù)據(jù)和信息資產(chǎn)處理時(shí)，無論使用何種特定工具集，以下哪一項(xiàng)是常見的

大數(shù)據(jù)的組成部分?A、分布式存儲(chǔ)位置B、集中處理地點(diǎn)C、分布式數(shù)據(jù)收集D、綜合數(shù)據(jù)收集【正確答案】：A39.Amold正在創(chuàng)建一個(gè)新的軟件包,并使用了OpenSSL庫(kù)。哪項(xiàng)術(shù)語(yǔ)最能描述他正在使用的庫(kù)?A、開源B、COTSC、第三方D、托管【正確答案】：A解析：

OpensSL包是一個(gè)廣泛使用的TLS加密的應(yīng)用,并且可作為開源包使用。它不是商業(yè)現(xiàn)成軟件(COTS).雖然它可能由第三方開發(fā),但將其描述為開源更為準(zhǔn)確。該庫(kù)可作為代碼免費(fèi)使用,但不能作為托管服務(wù)。40.要使用自動(dòng)化工具測(cè)試Web瀏覽器對(duì)意外數(shù)據(jù)的處理,應(yīng)該選擇什么工具?A、NmapB、zzufC、NessusD、Nikto【正確答案】：B解析：

zzuf是所有選項(xiàng)中唯一的模糊器,zzuf通過修改網(wǎng)絡(luò)和輸入到應(yīng)用程序的文件,與Web瀏覽器和圖像瀏覽器等軟件協(xié)同工作。Nmap是一個(gè)端口掃描器,Nessus是一個(gè)漏洞掃描器,Nikto是一個(gè)Web服務(wù)器掃描晶。41.采用SCAP有什么好處？A、可以在系統(tǒng)中使用統(tǒng)一的安全語(yǔ)言B、減少安全開支【正確答案】：A42.一般能夠阻止大多數(shù)人攀越的圍墻最低高度是多少?A、3英尺B、4英尺C、5英尺D、6英尺【正確答案】：D解析：

圍欄一般應(yīng)至少高6英尺。如果一個(gè)物理安全系統(tǒng)需要明確阻止某類入侵者,它應(yīng)該至少8英尺高,頂部還應(yīng)有三股鐵絲網(wǎng)。43.通過創(chuàng)建和交換令牌是為了阻止什么類型的攻擊?A、XSSB、CSRFC、SQL注入D、XACML【正確答案】：B解析：

在OAuth會(huì)話期間交換的防偽狀態(tài)令牌旨在防止跨站點(diǎn)請(qǐng)求偽造。這樣,具有來自GoogleOAuth服務(wù)的身份驗(yàn)證響應(yīng)的唯一會(huì)話令牌可用于確認(rèn)是用戶(而不是攻擊者)發(fā)出請(qǐng)求。XSS攻擊專注于腳本,并且涉及腳本標(biāo)簽,SQL注入將包含SQL代碼,XACML是可擴(kuò)展的訪問控制標(biāo)記語(yǔ)言,而不是一種攻擊類型。Chris是一家電子商務(wù)網(wǎng)站的身份架構(gòu)師,這家網(wǎng)站希望利用社會(huì)身份。為此,他的團(tuán)隊(duì)打算允許用戶在使用電子商務(wù)網(wǎng)站時(shí),使用他們現(xiàn)有的Google賬戶作為主要賬戶。這意味著,當(dāng)新用戶最初連接到電子商務(wù)平臺(tái)時(shí),可以選擇使用他們的Google+賬戶,或在平臺(tái)上使用自己的電子郵件地址和自選的密碼創(chuàng)建一個(gè)新賬戶。使用該信息和下圖,回答問題。44.這里顯示了什么網(wǎng)絡(luò)拓?fù)?A、環(huán)型B、總線型C、星型D、網(wǎng)狀【正確答案】：C解析：

星型拓?fù)浣Y(jié)構(gòu)使用一個(gè)中心來連接其他設(shè)備。以太網(wǎng)網(wǎng)絡(luò)可能在物理上看起來像一顆星，但是邏輯上它們是一個(gè)總線拓?fù)洹?5.#280

安全工程師需要將安全集成到由小組實(shí)施的軟件項(xiàng)目中，這些小組可以快速、持續(xù)、獨(dú)立地開發(fā)、測(cè)試并將代碼部署到云中。工程師最有可能與哪個(gè)軟件開發(fā)過程集成?A、Devops集成產(chǎn)品團(tuán)隊(duì)(IPT)B、結(jié)構(gòu)化瀑布程序開發(fā)C、面向服務(wù)的架構(gòu)（SOA）D、螺旋法【正確答案】：D46.#163

以下哪一項(xiàng)是系統(tǒng)或安全故障的最常見原因?A、缺乏物理安全控制B、缺乏變更控制C、缺乏日志記錄和監(jiān)控D、缺乏系統(tǒng)文件【正確答案】：B47.#120

一個(gè)組織為一個(gè)新項(xiàng)目申請(qǐng)了存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)磁盤。什么獨(dú)立磁盤冗余陣列(RAID)級(jí)別可提供最佳冗余和容錯(cuò)能力?A、RAID級(jí)別1B、RAID級(jí)別3C、RAID級(jí)別4D、RAID級(jí)別5【正確答案】：A48.#167

軟件定義網(wǎng)絡(luò)(SDN)的構(gòu)建塊需要以下哪一項(xiàng)?A、SDN完全由客戶端-服務(wù)器對(duì)組成。B、隨機(jī)存取內(nèi)存(RAM)優(yōu)先于虛擬內(nèi)存使用。C、SDN主要由虛擬機(jī)（VM）組成。D、虛擬內(nèi)存優(yōu)先于隨機(jī)存取內(nèi)存(RAM)。【正確答案】：C49.Renee是一名軟件開發(fā)人員,為她的組織使用Node.js編寫代碼。該公司正在考慮從自托管的Node.js環(huán)境轉(zhuǎn)移到Renee由云供應(yīng)商管理的應(yīng)用服務(wù)器上,運(yùn)行她的代碼環(huán)境。Renee的公司正在考慮哪種類型的云解決方案?A、laasB、CaasC、PaasD、Saas【正確答案】：C解析：

在平臺(tái)即服務(wù)解決方案中,客戶提供應(yīng)用程序代碼,然后由供應(yīng)商在自己的基礎(chǔ)設(shè)施上執(zhí)行。50.當(dāng)根據(jù)介質(zhì)中所包含數(shù)據(jù)分類對(duì)該介質(zhì)進(jìn)行標(biāo)記時(shí),通常會(huì)應(yīng)用什么規(guī)則來標(biāo)記?A、基于數(shù)據(jù)的完整性需求來標(biāo)記B、基于介質(zhì)中包含的最高數(shù)據(jù)分類級(jí)別來標(biāo)記C、基于介質(zhì)中包含的所有數(shù)據(jù)分類級(jí)別來標(biāo)記D、基于介質(zhì)中包含的最低數(shù)據(jù)分類級(jí)別來標(biāo)記【正確答案】：B解析：

介質(zhì)通常根據(jù)其包含的數(shù)據(jù)最高分類級(jí)別來標(biāo)記,這樣一來,可保護(hù)處于較低級(jí)別的數(shù)據(jù)。在數(shù)據(jù)分類過程中可能會(huì)對(duì)數(shù)據(jù)完整性有所要求,但這和介質(zhì)標(biāo)記是不一樣的。51.#320

使用網(wǎng)絡(luò)準(zhǔn)入控制(NAC)有什么好處?A、NAC僅支持Windows操作系統(tǒng)(OS)。B、NAC支持在允許會(huì)話進(jìn)入授權(quán)狀態(tài)之前驗(yàn)證端點(diǎn)的安全狀態(tài)。C、NAC在允許網(wǎng)絡(luò)準(zhǔn)入之前可能要求使用證書、密碼或兩者的組合。D、可以在允許網(wǎng)絡(luò)訪問之前驗(yàn)證操作系統(tǒng)(OS)版本。【正確答案】：B52.#360

以下哪項(xiàng)最好的方法可確保對(duì)預(yù)期接收者的交易的完整性?A、公鑰基礎(chǔ)設(shè)施(PKI)B、區(qū)塊鏈技術(shù)C、預(yù)共享密鑰（PSK）D、信任網(wǎng)絡(luò)【正確答案】：A53.#466

以下哪項(xiàng)原則旨在培養(yǎng)具有遠(yuǎn)見和主動(dòng)響應(yīng)能力的信息安全專業(yè)人員?A、信息安全意識(shí)B、信息安全計(jì)劃C、信息安全教育D、信息安全認(rèn)證【正確答案】：C54.Helen是軟件工程師,正在開發(fā)限制在獨(dú)立沙箱中運(yùn)行的代碼。Helen使用的是什么軟件開發(fā)技術(shù)?A、邊界B、輸入確認(rèn)C、限制D、TCB【正確答案】：C解析：

使用沙箱屬于限制,使用沙箱時(shí),系統(tǒng)會(huì)限制特定進(jìn)程的訪問,從而限制該進(jìn)程對(duì)同一系統(tǒng)上運(yùn)行的其他進(jìn)程的影響。55.A公司的規(guī)模逐漸龐大，根據(jù)其業(yè)務(wù)屬性需要制定以下兩種訪問控制方案，一方面想依據(jù)部門-人員角色來指定訪問權(quán)限；一方面需要根據(jù)系統(tǒng)本身的強(qiáng)制訪問屬性與分層關(guān)系來決定訪問權(quán)限，對(duì)應(yīng)以下哪兩種訪問控制策略。A、dac和rabcB、rabc和macC、acbc和dacD、基于規(guī)則和rabc【正確答案】：B56.#56

以下哪個(gè)部門發(fā)起請(qǐng)求、批準(zhǔn)和開通業(yè)務(wù)流程?A、運(yùn)營(yíng)B、安全C、人力資源(HR)D、信息技術(shù)（IT）【正確答案】：A57.Alice公司的一名員工致電請(qǐng)求支持,并且使用了公司約定的在員工被迫執(zhí)行動(dòng)作時(shí)的密語(yǔ)。這種場(chǎng)景是被稱為?A、社會(huì)工程學(xué)B、脅迫C、不可抗力D、斯德哥爾摩綜合征【正確答案】：B解析：

肋迫或被暴力等其他約束威肋是銀行、珠寶店等其他組織需關(guān)注的問題,在這些組織攻擊者能逼迫職員執(zhí)行操作。有相關(guān)隱患的組織通常采用肋迫密語(yǔ)對(duì)外發(fā)出信號(hào)表示他們正受到威肋的情況下執(zhí)行操作。58.Lauren和Nick的PC同時(shí)通過傳輸發(fā)送流量。哪個(gè)網(wǎng)絡(luò)名詞描述了可能受同一問題影響的網(wǎng)絡(luò)上的系統(tǒng)范圍?A、子網(wǎng)B、超網(wǎng)C、沖突域D、廣播域【正確答案】：C解析：

沖突域是一組系統(tǒng),如果這些系統(tǒng)同時(shí)發(fā)送數(shù)據(jù),則可能導(dǎo)致沖突。如果沖突域外的系統(tǒng)同時(shí)發(fā)送,則不會(huì)導(dǎo)致沖突。這一點(diǎn)很重要,隨著沖突域中系統(tǒng)數(shù)量的增加,沖突發(fā)生概率也大大提高,從而由此引發(fā)網(wǎng)絡(luò)擁塞的概率也大大提高。廣播域是可以彼此接收廣播的一組系統(tǒng)。子網(wǎng)是網(wǎng)絡(luò)的邏輯劃分,而超網(wǎng)則由兩個(gè)或多個(gè)網(wǎng)絡(luò)組成。59.Gordon正在為其組織進(jìn)行風(fēng)險(xiǎn)評(píng)估,并確定每年洪水預(yù)計(jì)對(duì)其設(shè)施造成的損害程度。Gordon確定的是什么指標(biāo)?ALE(年化損失預(yù)期值)B、ARO(年度發(fā)生率)C、SLE(單一損失預(yù)期)D、EF(暴露因子)【正確答案】：A解析：

年度損失預(yù)期值(ALE)是組織根據(jù)已知風(fēng)險(xiǎn)而估計(jì)出的每年損失金額。60.#117

質(zhì)量保證(QA)部門人手不足，無法在應(yīng)用程序的預(yù)期發(fā)布日期之前測(cè)試所有模塊。什么安全控制最有可能被違反?A、變更管理B、環(huán)境分離C、方案管理D、移動(dòng)代碼控制【正確答案】：C61.#446

1X提供了哪些功能?A、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）B、無線接入點(diǎn)(WAP)C、Wi-Fi保護(hù)訪問(WPA)D、網(wǎng)絡(luò)訪問控制(NAC)【正確答案】：D62.當(dāng)一個(gè)事務(wù)向數(shù)據(jù)庫(kù)寫入一個(gè)值(這個(gè)值覆蓋了具有較早優(yōu)先級(jí)的事務(wù)需要的一個(gè)值)時(shí),會(huì)發(fā)生以下哪個(gè)數(shù)據(jù)庫(kù)問題?A、臟讀B、不正確的摘要C、丟失更新D、SQL注入【正確答案】：C解析：

當(dāng)一個(gè)事務(wù)向數(shù)據(jù)庫(kù)寫入一個(gè)值時(shí),若具有較早優(yōu)先級(jí)的事務(wù)讀取的是修改之前的值,會(huì)導(dǎo)致這些事務(wù)會(huì)讀取到不正確的值,此時(shí)會(huì)發(fā)生丟失更新。當(dāng)一個(gè)事務(wù)從數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)時(shí),若讀取到的數(shù)據(jù)由其他事務(wù)寫入,但該事務(wù)尚未提交,這時(shí)會(huì)出現(xiàn)臟讀現(xiàn)象。如果一個(gè)事務(wù)在使用聚合函數(shù)匯總存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù),而另一個(gè)事務(wù)正在對(duì)數(shù)據(jù)庫(kù)進(jìn)行修改,則會(huì)產(chǎn)生不正確的摘要。SQL注入是一個(gè)Web應(yīng)用程序安全漏洞,而不是數(shù)據(jù)庫(kù)并發(fā)問題。63.#156

一家小型組織的首席信息安全官(CISO)正在提出建立安全運(yùn)營(yíng)中心(SOC)的案例。在內(nèi)部、完全外包或混合能力之間進(jìn)行辯論時(shí)，無論模型如何，以下哪一項(xiàng)將是主要考慮因素?A、人數(shù)和能力B、范圍和服務(wù)目錄C、技能組合和培訓(xùn)D、工具和技術(shù)【正確答案】：B64.#186

解析可執(zhí)行文件時(shí)，靜態(tài)解析的目的是什么?A、搜索與可執(zhí)行文件關(guān)聯(lián)的文檔和文件。B、解析文件在文件系統(tǒng)中的位置和可執(zhí)行文件的庫(kù)。C、收集可執(zhí)行文件使用的證據(jù)，包括創(chuàng)建日期和最后使用日期。D、反匯編文件以收集有關(guān)可執(zhí)行文件功能的信息?！菊_答案】：D65.在什么軟件測(cè)試技術(shù)中,評(píng)估者每次在軟件變更時(shí)重新測(cè)試大量場(chǎng)景,并驗(yàn)證結(jié)果是否與標(biāo)準(zhǔn)基線一致?A、正交陣列測(cè)試B、模式測(cè)試C、矩陣測(cè)試D、回歸測(cè)試【正確答案】：D解析：

回歸測(cè)試通常發(fā)生在開發(fā)人員更改應(yīng)用程序之后,在回歸測(cè)試中會(huì)使用測(cè)試用例對(duì)新系統(tǒng)進(jìn)行測(cè)試,并將結(jié)果與基準(zhǔn)結(jié)果進(jìn)行比較。正交陣列測(cè)試是一種基于統(tǒng)計(jì)分析生成測(cè)試用例的測(cè)試方法。模式測(cè)試使用過去軟件的錯(cuò)誤記錄來幫助分析。矩陣測(cè)試把所有可能的輸入和輸出整理成一個(gè)矩陣,以幫助制定測(cè)試計(jì)劃。66.#373

以下哪些安全工具會(huì)監(jiān)控設(shè)備并將信息記錄在中央數(shù)據(jù)庫(kù)中以供進(jìn)一步解析?A、防病毒B、基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）C、安全編排自動(dòng)化和響應(yīng)D、端點(diǎn)檢測(cè)和響應(yīng)(EDR)【正確答案】：D67.#383

以下哪項(xiàng)功能在防止企業(yè)移動(dòng)設(shè)備上被盜的數(shù)據(jù)被盜方面最有效?A、具有設(shè)備擦除功能的移動(dòng)設(shè)備管理(MDM)B、帶有地理位置的移動(dòng)設(shè)備跟蹤C(jī)、具有流量加密的虛擬專用網(wǎng)絡(luò)(VPN)D、使用密鑰托管的全設(shè)備加密【正確答案】：A68.#409

為了防止智能手機(jī)受到惡意軟件攻擊，以下哪項(xiàng)措施最為關(guān)鍵?A、啟用強(qiáng)密碼。B、為手機(jī)安裝防病毒軟件。C、啟用生物認(rèn)證。D、防止越獄或root?！菊_答案】：B69.當(dāng)用戶登錄賬戶時(shí),Google會(huì)向用戶的手機(jī)發(fā)送帶有驗(yàn)證碼的短信。這是什么類型的驗(yàn)證?A、基于知識(shí)的驗(yàn)證B、基于動(dòng)態(tài)知識(shí)的驗(yàn)證C、帶外身份驗(yàn)證D、基于風(fēng)險(xiǎn)的身份證明【正確答案】：C解析：

帶外身份驗(yàn)證需要用戶在初始環(huán)境下再提供身份證明。這種類型的驗(yàn)證依賴于用戶的電話或電話號(hào)碼,但可有效地避免攻擊者利用因特網(wǎng)資源發(fā)動(dòng)攻擊。基于知識(shí)的驗(yàn)證需要用戶對(duì)簡(jiǎn)單的問題進(jìn)行回答,而基于動(dòng)態(tài)知識(shí)的驗(yàn)證使用用戶的信息來提出問題讓用戶自己回答?；陲L(fēng)險(xiǎn)的身份證明使用一些風(fēng)險(xiǎn)參數(shù)來確定是否允許訪問,它主要用于限制金融交易中的欺詐行為(例如購(gòu)買信用卡),這是一種有效的驗(yàn)證方式,但不一定會(huì)像手機(jī)短信服務(wù)(SMS)那樣使用帶外信道。70.#475

電路級(jí)防火墻在開放系統(tǒng)互連(OSI)模型的哪一層運(yùn)行?A、會(huì)話層B、網(wǎng)絡(luò)層C、應(yīng)用層D、傳輸層【正確答案】：B71.Rick最近聘請(qǐng)了他所在組織的每個(gè)業(yè)務(wù)部門的關(guān)鍵員工,要求他們?cè)诎踩庾R(shí)計(jì)劃方面提供扶制。他們將負(fù)責(zé)與同事分享安全信息,并回答有關(guān)網(wǎng)絡(luò)安全問題的問題。以下哪項(xiàng)術(shù)語(yǔ)最能描述這種關(guān)系?A、安全衛(wèi)者B、安全專家C、游戲化D、同行評(píng)審【正確答案】：A解析：

這是一個(gè)安全擇衛(wèi)者計(jì)劃的示例,該計(jì)劃使用在業(yè)務(wù)部門中擔(dān)任其他角色的個(gè)人來分享安全消息。擔(dān)任這些角色的個(gè)人不一定是安全專家,也沒有同行評(píng)審的角色。72.#353

以下哪一項(xiàng)是針對(duì)中間人(MITM)互聯(lián)網(wǎng)協(xié)議語(yǔ)音(VoIP)攻擊的最佳緩解做法?A、使用安全外殼(SSH)協(xié)議B、使用文件傳輸協(xié)議(FTP)C、使用傳輸層安全(TLS)協(xié)議D、使用媒體網(wǎng)關(guān)控制協(xié)議(MGCP)【正確答案】：C73.根據(jù)該情景的信息,AtwoodLanding數(shù)據(jù)中心的龍卷風(fēng)年度損失預(yù)期值是多少?A、$25000B、$50000C、$250000D、$500000【正確答案】：A解析：

年度損失預(yù)期值是通過將單一損失預(yù)期(SLE)乘以年度發(fā)生率(ARO)計(jì)算的。這種情況下,SLE為5000000美元,ARO為0.005。將這些數(shù)字相乘得到的ALE為25000美元。材料2:參考以下情景回答下面3個(gè)問題。Henry是美國(guó)中西部度假區(qū)AtwoodLanding的風(fēng)險(xiǎn)管理經(jīng)理。該度假區(qū)的主要數(shù)據(jù)中心位于北印第安納州,該地區(qū)經(jīng)常發(fā)生龍卷風(fēng)。Henry進(jìn)行了重置成本分析,并得出結(jié)論:重建數(shù)據(jù)中心將花費(fèi)1000萬美收額元。Henry咨詢了龍卷風(fēng)專家、數(shù)據(jù)中心專員和結(jié)構(gòu)工程師,他們認(rèn)為一般的龍卷風(fēng)會(huì)造成大約500萬美元的經(jīng)濟(jì)損失。氣象學(xué)家給出提示:該公司安裝設(shè)備的區(qū)域可能會(huì)每200年發(fā)生一次龍卷風(fēng)74.在對(duì)其組織進(jìn)行定性風(fēng)險(xiǎn)評(píng)估后,Sally建議購(gòu)買網(wǎng)絡(luò)安全漏洞保險(xiǎn)。她推薦了什么類型的風(fēng)險(xiǎn)應(yīng)對(duì)措施?A、接受B、轉(zhuǎn)移C、減少D、拒絕【正確答案】：B解析：

購(gòu)買保險(xiǎn)是轉(zhuǎn)移風(fēng)險(xiǎn)的一種手段。如果Sally努力降低事件發(fā)生的可能性,她會(huì)使用減少或緩解風(fēng)險(xiǎn)的策略;如果簡(jiǎn)單的繼續(xù)運(yùn)行,那么組織將會(huì)接受風(fēng)險(xiǎn)的策略。拒絕或否認(rèn)風(fēng)險(xiǎn)并不是一種有效的策略,即使它發(fā)生了!75.Alan正在考慮在其組織中使用新的身份證，用于物理訪問控制。他看到一種樣品卡，但不確定該卡使用的技術(shù)。因此他打開卡片，看到了以下內(nèi)部結(jié)構(gòu)。這是什么類型的卡?A、智能卡B、感應(yīng)卡C、磁條D、相二卡【正確答案】：B解析：

在卡內(nèi)使用電磁線圈表示這是一個(gè)感應(yīng)卡。76.如果Alex雇用一名新員工,并且HR根據(jù)Alex提供的一系列表單手動(dòng)將信息輸入配置系統(tǒng),成功配置了該員工的賬戶,這里發(fā)生了哪種類型的配置?A、自主賬戶配置B、基于工作流的賬戶配置C、自動(dòng)賬戶配置D、自助賬戶配置【正確答案】：B解析：

通過已建立的工作流(例如通過人力資源流程)進(jìn)行的配置是基于工作流的賬戶配置。如果Alex在他管理的系統(tǒng)上為新員工設(shè)置了賬戶,他將使用自由賬戶配置。如果供應(yīng)系統(tǒng)允許新員工自己注冊(cè)一個(gè)賬戶,他們將使用自助賬戶配置。如果有一個(gè)中央軟件來控制配置過程,而不是人力資源的那種形式,就屬于自動(dòng)賬戶配置。77.Beth是一名人力資源專家,準(zhǔn)備協(xié)助解雇員工。以下哪項(xiàng)通常不是終止流程的一部分?A、離職訪談B、資產(chǎn)的復(fù)原C、賬戶終止D、簽NCA【正確答案】：D解析：

通常在招聘時(shí)簽署競(jìng)業(yè)禁止或保密協(xié)議。離職面談、組織財(cái)產(chǎn)的恢復(fù)和帳戶終止都是終止流程的常見要素。在離職面談期間,團(tuán)隊(duì)可以選擇審查仍然有效的雇傭協(xié)議和策略,例如競(jìng)業(yè)禁止或保密協(xié)議。78.Alice想要向Bob發(fā)送一個(gè)信息,他希望Bob知道該消息在傳輸期間沒有被改變。Alice想實(shí)現(xiàn)什么目的?A、保密性B、不可否認(rèn)C、身份驗(yàn)證D、完整性【正確答案】：D解析：

完整性確保在存儲(chǔ)或傳輸時(shí)不對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的更改。79.#126

什么術(shù)語(yǔ)通常用于描述存儲(chǔ)在配置管理數(shù)據(jù)庫(kù)(CMDB)中的硬件和軟件資產(chǎn)?A、配置項(xiàng)B、配置元素C、分類帳項(xiàng)目D、資產(chǎn)登記【正確答案】：A80.#242

邏輯訪問控制的前兩個(gè)組件是什么?A、身份驗(yàn)證和可用性B、認(rèn)證和識(shí)別C、識(shí)別和保密D、保密和認(rèn)證【正確答案】：B81.#128

在與僅提供Voiceover的組織協(xié)商Internet服務(wù)提供商(ISP)服務(wù)級(jí)別協(xié)議(SLA)時(shí)，這一點(diǎn)最為重要

互聯(lián)網(wǎng)協(xié)議(VoIP)服務(wù)?A、平均修復(fù)時(shí)間(MTTR)B、應(yīng)用程序之間的服務(wù)質(zhì)量(QoS)C、中斷情況下的經(jīng)濟(jì)處罰D、網(wǎng)絡(luò)服務(wù)的可用性【正確答案】：D82.#48

以下哪些技術(shù)可用于監(jiān)控和動(dòng)態(tài)響應(yīng)Web應(yīng)用程序的潛在威脅?A、字段級(jí)標(biāo)記化B、Web應(yīng)用程序漏洞掃描器C、運(yùn)行時(shí)應(yīng)用程序自我保護(hù)（RASP）D、安全斷言標(biāo)記語(yǔ)言(SAML)【正確答案】：C83.Saria的團(tuán)隊(duì)向組織管理部門說明組織存在一些漏洞,這些漏洞可能會(huì)被黑客利用。如果她想執(zhí)行一次現(xiàn)實(shí)攻擊做為滲透測(cè)試的一部分,應(yīng)該執(zhí)行什么類型的滲透測(cè)試?A、水晶盒B、灰盒C、白盒D、黑盒【正確答案】：D解析：

黑盒測(cè)試是最符合實(shí)際的滲透測(cè)試類型,因?yàn)樗幌驖B透測(cè)試人員提供系統(tǒng)配置、系統(tǒng)設(shè)計(jì)、軟件以及網(wǎng)絡(luò)配置等系統(tǒng)內(nèi)部信息?；液袦y(cè)試提供了一些信息,而白盒或水晶盒測(cè)試則向測(cè)試者提供了系統(tǒng)的大部分或全部信息。84.在與供應(yīng)商的進(jìn)一步討論中,Linda發(fā)現(xiàn)他們?cè)敢饧m正這個(gè)問題,但不知道如何更新軟件。什么技術(shù)能最有效地緩解此類針對(duì)應(yīng)用程序脆弱性的攻擊?A、邊界檢查B、并行審查C、輸入驗(yàn)證D、操作系統(tǒng)修補(bǔ)【正確答案】：C解析：

輸入驗(yàn)證方法驗(yàn)證用戶的輸入不能違反安全條件,這是防止跨站點(diǎn)腳本攻擊最有效的防御方法。邊界檢查是輸入驗(yàn)證的一種形式,但它用于確保數(shù)字輸入處于可接受的范圍內(nèi),并且不適用于跨站點(diǎn)腳本攻擊。并行審查和操作系統(tǒng)修補(bǔ)都是良好的安全做法,但不太可能有效對(duì)抗跨站點(diǎn)腳本攻材料25:請(qǐng)根據(jù)以下場(chǎng)景,回答問題:Linda正在審核公司網(wǎng)站上用戶論壇的帖子,當(dāng)她瀏覽某個(gè)帖子時(shí),屏幕上的對(duì)話框會(huì)彈出一條“Alert消息。她查看該帖子的源代碼,并找到以下代碼段:85.Rhonda考慮在她的組織中為物理權(quán)限控制使用新的身份證。她偶爾發(fā)現(xiàn)一個(gè)軍事系統(tǒng)使用如下圖所示的卡,這是什么類型的卡?A、智能卡B、感應(yīng)卡C、磁條卡D、相三卡【正確答案】：A解析：

圖像中顯示的卡在美國(guó)國(guó)旗下有一個(gè)智能芯片。因此,該卡屬于是智能卡。這是目前最安全的身份驗(yàn)證技術(shù)。86.#164

首席信息官(CIO)已決定，作為業(yè)務(wù)現(xiàn)代化工作的一部分，該組織將轉(zhuǎn)向云架構(gòu)。所有關(guān)鍵業(yè)務(wù)數(shù)據(jù)將在未來兩年內(nèi)遷移到內(nèi)部或外部云服務(wù)。CIO主要有義務(wù)與擔(dān)任哪個(gè)角色的人員合作，以確保在云遷移期間和之后對(duì)數(shù)據(jù)進(jìn)行適當(dāng)保護(hù)?A、首席安全官(CSO)B、信息所有者C、首席信息安全官(CISO)D、總法律顧問【正確答案】：C87.Grace想要在她的組織中執(zhí)行應(yīng)用控制技術(shù)。由于該組織的用戶經(jīng)常需要安裝新應(yīng)用來進(jìn)行一些重要的研究和測(cè)試,她不想干擾研究和測(cè)試工作。但她想阻止已知惡意軟件。什么類型的應(yīng)用控制可以實(shí)現(xiàn)這一目標(biāo)?A、黑名單B、灰名單C、白名單D、藍(lán)名單【正確答案】：A解析：

應(yīng)用程序控制的黑名單方法允許用戶安裝他們希望的任何軟件,但是由管理員特別標(biāo)識(shí)的軟件包將被禁止。如果用戶希望能夠安裝和使用非惡意軟件,這將是一種較好的方法。88.#482

應(yīng)用程序開發(fā)人員正在決定應(yīng)用程序在超時(shí)前允許的空閑會(huì)話時(shí)間量。以下哪項(xiàng)是確定會(huì)話超時(shí)要求的最佳理由?A、申請(qǐng)要求B、行業(yè)最佳做法C、行業(yè)反饋D、管理反饋【正確答案】：B89.#9

以下哪項(xiàng)陳述最能描述云環(huán)境中的最小權(quán)限原則?A、單個(gè)云管理員被配置為訪問核心功能。B、檢查所有傳入和傳出數(shù)據(jù)包的Internet流量。C、路由配置會(huì)定期更新為最新的路由。D、如果不需要訪問互聯(lián)網(wǎng)，則網(wǎng)段保持私有?！菊_答案】：D90.Henry想驗(yàn)證他的備份是否有效。以下哪個(gè)選項(xiàng)是他確保備份在真正的災(zāi)難恢復(fù)場(chǎng)景中有用的最佳方式?A、定期恢復(fù)隨機(jī)文件以確保備份工作正常B、定期檢查配置和設(shè)置以驗(yàn)證備份設(shè)置C、查看備份日志以確保沒有發(fā)生錯(cuò)誤D、定期從備份執(zhí)行完整還原以驗(yàn)證其成功【正確答案】：D解析：

所有這些都是備份策略的有用部分,但定期從備份執(zhí)行完整還原是列出的最佳選項(xiàng)。如果定期執(zhí)行恢復(fù),而且單個(gè)文件將是可恢復(fù)的,但單個(gè)文件可能不會(huì)顯示更大的備份問題。配置和設(shè)置審查很重要,但不會(huì)驗(yàn)證備份本身,錯(cuò)誤消息可能表明存在問題,但也不會(huì)顯示完整的日志。91.Ryan正在考慮在他的Web應(yīng)用程序測(cè)試程序中使用模糊測(cè)試。在做出決定時(shí),Ryan應(yīng)該考慮以下哪項(xiàng)模糊測(cè)試的限制?A、他們通常只發(fā)現(xiàn)簡(jiǎn)單的錯(cuò)誤。B、測(cè)試人員必須手動(dòng)生成輸入。C、模糊測(cè)試器可能無法完全覆蓋代碼。D、模糊測(cè)試晶不能再現(xiàn)錯(cuò)誤。【正確答案】：C解析：

模糊測(cè)試器能夠自動(dòng)生成輸入序列以測(cè)試應(yīng)用程序。因此,測(cè)試人員無需手動(dòng)生成輸入,盡管他們?cè)敢庖部梢赃@樣做。模糊測(cè)試器可以重現(xiàn)錯(cuò)誤(因此,“模糊測(cè)試器不能重現(xiàn)錯(cuò)誤”不是問題),但通常不會(huì)完全覆蓋代碼,因?yàn)榇a覆蓋率工具通常與模糊測(cè)試器配合用于驗(yàn)證可能的覆蓋范圍。模糊通常只能發(fā)現(xiàn)簡(jiǎn)單錯(cuò)誤,因?yàn)樗鼈儾粫?huì)去處理特定的業(yè)務(wù)邏輯和攻擊方法,而這些業(yè)務(wù)邏輯和攻擊方法往往需要應(yīng)用程序用戶掌握相關(guān)知識(shí)。92.以下哪項(xiàng)不是歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)原則之一?A、信息必須公平處理B、信息必須在獲取后一年內(nèi)刪除C、必須安全維護(hù)信息D、信息必須準(zhǔn)確【正確答案】：B解析：

GDPR確實(shí)包含了數(shù)據(jù)的公平處理、安全維護(hù)和準(zhǔn)確等要求。但不包括要求在一年內(nèi)刪除信息的要求,盡管它確實(shí)說明了信息不應(yīng)超過必要的時(shí)間。93.如果Chris正在為應(yīng)用程序編寫代碼,它在敏捷過程的哪個(gè)階段?A、規(guī)劃B、沖刺C、部署D、開發(fā)【正確答案】：B解析：

Chris正處于敏捷沖刺階段,他很可能會(huì)根據(jù)用戶故事開發(fā)代碼。計(jì)劃包括利益相關(guān)者的故事,以及設(shè)計(jì)和測(cè)試用例的準(zhǔn)備。部署包括應(yīng)用程序的實(shí)際部署,以及其他驗(yàn)證和測(cè)試。94.#63

什么級(jí)別的獨(dú)立磁盤冗余陣列(RAID)主要配置用于高性能數(shù)據(jù)讀取和寫入?A、RAID-0B、RAID-1C、RAID-5D、RAID-6【正確答案】：A95.在數(shù)據(jù)中心和executive辦公室之間用光纖，怎么保證這之間光纖通訊安全？A、在光纖外面包一層反射的東西B、應(yīng)用物理安全控制措施C、在兩端建立防火墻【正確答案】：B96.Gary考慮針對(duì)他組織中的移動(dòng)設(shè)備應(yīng)用一致安全設(shè)置,使用什么技術(shù)可以達(dá)到這一目的?A、MDM(移動(dòng)設(shè)備管理)B、IPS(入侵防御系統(tǒng))C、IDS(入侵檢測(cè)系統(tǒng))D、SIEM(安全信息和事件管理)【正確答案】：A解析：

移動(dòng)設(shè)備管理(MDM)產(chǎn)品可以對(duì)移動(dòng)設(shè)備應(yīng)用安全配置設(shè)置。移動(dòng)設(shè)備管理(MDM)產(chǎn)品提供一個(gè)統(tǒng)一的集中式界面,用于將安全配置應(yīng)用到移動(dòng)設(shè)備中。97.#276

在多租戶云環(huán)境中，什么方法可以保護(hù)對(duì)資產(chǎn)的邏輯訪問?A、受控配置管理(CM)B、管理訪問的透明度/可審計(jì)性C、虛擬私有云（VPC）D、混合云【正確答案】：C98.關(guān)于個(gè)人的信息,如姓名、社會(huì)安全號(hào)碼、出生日期和地點(diǎn)或他們母親的婚前姓名,屬于什么類型的受保護(hù)信息?A、PHIB、專有數(shù)據(jù)C、PIID、EDI【正確答案】：C解析：

個(gè)人身份信息(PII)包括可用于區(qū)分或追蹤該人身份的數(shù)據(jù),還包括其醫(yī)療、教育、財(cái)務(wù)和就業(yè)信息等信息。PHI是個(gè)人健康信息,EDI是電子數(shù)據(jù)交換,并且專有數(shù)據(jù)用于維持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)。99.#436

組織需要評(píng)估在新系統(tǒng)上實(shí)施的安全控制的有效性。應(yīng)擔(dān)任以下哪些角色

組織委托進(jìn)行評(píng)估?A、授權(quán)官員(AO)B、系統(tǒng)所有者C、控制評(píng)估員D、信息系統(tǒng)安全官(ISSO)【正確答案】：C100.選擇題什么網(wǎng)絡(luò)工具可以用來保護(hù)客戶端的身份,同時(shí)通過接受客戶端請(qǐng)求,更改請(qǐng)求的源地址,將請(qǐng)求映射到客戶端以及將修改的請(qǐng)求發(fā)送到它們的目標(biāo)來提供互聯(lián)網(wǎng)訪問?A、網(wǎng)關(guān)B、代理C、路由器D、防火墻【正確答案】：B解析：

代理是一種網(wǎng)關(guān)形式,它向客戶端提供過濾、緩存和其他服務(wù),從而保護(hù)客戶端信息免受遠(yuǎn)程系統(tǒng)的影響。路由器用于連接網(wǎng)絡(luò),而防火墻使用規(guī)則來限制通過它的流量。網(wǎng)關(guān)在協(xié)議之間進(jìn)行轉(zhuǎn)換。101.#444

“從不相信任何輸入”的防御策略對(duì)以下哪個(gè)基于Web的系統(tǒng)漏洞最有效?A、注入漏洞B、敏感數(shù)據(jù)暴露C、瀏覽器中間人攻擊D、破損的認(rèn)證【正確答案】：A102.#201

為什么高級(jí)管理層清楚地傳達(dá)正式的最大可容忍停機(jī)時(shí)間(MTD)決定很重要?A、為每位經(jīng)理提供選擇適當(dāng)恢復(fù)方案的準(zhǔn)確方向B、向董事會(huì)證明高級(jí)管理層致力于持續(xù)性恢復(fù)工作C、提供內(nèi)部審計(jì)要求的高級(jí)管理層的正式聲明，以證明良好的商業(yè)慣例D、向監(jiān)管機(jī)構(gòu)證明公司重視業(yè)務(wù)連續(xù)性【正確答案】：A103.以下哪項(xiàng)管理流程可以幫助組織為敏感信息分配適當(dāng)級(jí)別的安全控制措施?A、信息分類B、數(shù)據(jù)磁性殘留C、傳輸數(shù)據(jù)D、清理【正確答案】：A解析：

如果組織需要保護(hù)敏感數(shù)據(jù),那么可使用信息分類。這樣一來,組織就可以集中精力重點(diǎn)保護(hù)敏感的數(shù)據(jù)。數(shù)據(jù)磁性殘留指的是在刪除數(shù)據(jù)后殘留在存儲(chǔ)介質(zhì)上的數(shù)據(jù)。傳輸數(shù)據(jù)無法保護(hù)敏感數(shù)據(jù),清理是從介質(zhì)中刪除數(shù)據(jù)的過程。104.Matthew所在組織的網(wǎng)絡(luò)發(fā)生了網(wǎng)絡(luò)服務(wù)的質(zhì)量問題。主要的癥狀是,數(shù)據(jù)包有時(shí)需要很長(zhǎng)時(shí)間才能從源地址到達(dá)目的地。什么術(shù)語(yǔ)用來描述Matthew遇到的問題?A、延遲B、抖動(dòng)C、數(shù)據(jù)包丟失D、干擾【正確答案】：B解析：

延遲指的是分組從源地址到目的地址的發(fā)送延遲。抖動(dòng)指的是不同分組的延遲往往會(huì)有所不同。數(shù)據(jù)包丟失是指在傳輸中需要重傳的數(shù)據(jù)包發(fā)生丟失。干擾指的是造成數(shù)據(jù)包內(nèi)容損毀的電噪聲等干擾。105.#372

根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)，以下哪個(gè)目標(biāo)代表了風(fēng)險(xiǎn)管理的現(xiàn)代轉(zhuǎn)變?A、提供改進(jìn)的任務(wù)完成方法。B、關(guān)注不斷變化、不斷演變且充滿新威脅的運(yùn)營(yíng)環(huán)境。C、使管理層能夠做出明智的基于風(fēng)險(xiǎn)的決策，證明安全支出的合理性。D、保護(hù)存儲(chǔ)、集中或傳輸組織信息的信息技術(shù)(IT)系統(tǒng)。【正確答案】：B106.以下哪項(xiàng)不能決定數(shù)據(jù)分類?A、數(shù)據(jù)分類的成本B、數(shù)據(jù)的敏感性C、數(shù)據(jù)泄露可能產(chǎn)生的影響D、數(shù)據(jù)對(duì)于組織機(jī)構(gòu)的價(jià)值【正確答案】：A解析：

應(yīng)根據(jù)對(duì)數(shù)據(jù)對(duì)組織的價(jià)值、數(shù)據(jù)敏感性以及數(shù)據(jù)泄露可能產(chǎn)生的影響這三個(gè)標(biāo)準(zhǔn)來分類。在實(shí)施控制時(shí)應(yīng)考慮成本,而且要和數(shù)據(jù)泄露造成的影響進(jìn)行權(quán)衡。107.下面的圖表是缺失了步驟4的NIST風(fēng)險(xiǎn)管理框架。丟失的步驟是什么?A、評(píng)估安全控制B、確定控制間C、調(diào)整控制間隙D、用戶行為【正確答案】：A解析：

NIST風(fēng)險(xiǎn)管理框架的第四步是評(píng)估安全控制。108.Chris的組織會(huì)有很多同事去往國(guó)外,根據(jù)出口控制法律的規(guī)定,Chris給他們提出了一些建議,建議的內(nèi)容可能會(huì)和以下哪一項(xiàng)有關(guān)?A、存儲(chǔ)芯片B、辦公自動(dòng)化應(yīng)用C、硬盤驅(qū)動(dòng)器D、加密軟件【正確答案】：D解析：

向某些國(guó)家.地區(qū)出口加密軟件,會(huì)受到美國(guó)出口管制法的監(jiān)管。這些法規(guī)不太可能涵蓋內(nèi)存芯片、辦公自動(dòng)化應(yīng)用和硬盤驅(qū)動(dòng)器。109.下列哪些不是DevOps模型的三個(gè)組件之一?A、軟件開發(fā)B、變更管理C、質(zhì)量保證D、操作【正確答案】：B解析：

DevOps模型的三個(gè)組件是軟件開發(fā)、操作和質(zhì)量保證。110.#193

一家大型組織的人力資源和安全團(tuán)隊(duì)正計(jì)劃實(shí)施技術(shù)以消除手動(dòng)用戶訪問審查并提高合規(guī)性。以下哪個(gè)選項(xiàng)最有可能解決與用戶訪問相關(guān)的問題?A、實(shí)施特權(quán)訪問管理(PAM)系統(tǒng)。B、實(shí)施基于角色的訪問控制(RBAC)系統(tǒng)。C、實(shí)施身份和訪問管理(IAM)平臺(tái)。D、實(shí)施單點(diǎn)登錄(SSO)平臺(tái)?！菊_答案】：C111.Melissa希望以對(duì)用戶透明的方式,在她的組織中將多個(gè)物理網(wǎng)絡(luò)組合起來,但允許根據(jù)需要為網(wǎng)絡(luò)服務(wù)分配資源。她應(yīng)該部署什么類型的網(wǎng)絡(luò)?A、iSICIB、虛擬化網(wǎng)絡(luò)C、SDWAND、A【正確答案】：B解析：

虛擬網(wǎng)絡(luò)可用于組合現(xiàn)有網(wǎng)絡(luò)或?qū)⒕W(wǎng)絡(luò)劃分為多個(gè)網(wǎng)段。Melissa可以使用虛擬網(wǎng)絡(luò)來組合現(xiàn)有網(wǎng)絡(luò),然后使用軟件定義的網(wǎng)絡(luò)功能來分配和管理網(wǎng)絡(luò)資源。iSCSI是一種融合存儲(chǔ)協(xié)議。SDWAN是軟件定義的廣域網(wǎng),此問題沒有指定LAN或WAN技術(shù)。CDN是一個(gè)內(nèi)容分發(fā)網(wǎng)絡(luò),有助于應(yīng)對(duì)負(fù)載和拒絕服務(wù)攻擊。112.#358

以下哪一項(xiàng)是Bell-LaPadula模型的局限性?A、職責(zé)分離(SoD)難以實(shí)施，因?yàn)椤敖归喿x”規(guī)則限制了對(duì)象訪問更高分類信息的能力。B、強(qiáng)制訪問控制(MAC)在所有級(jí)別強(qiáng)制執(zhí)行，因此無法實(shí)施自主訪問控制(DAC)。C、它不包含更改數(shù)據(jù)訪問控制的規(guī)定或政策，并且僅適用于本質(zhì)上是靜態(tài)的訪問系統(tǒng)。D、它優(yōu)先考慮完整性而不是機(jī)密性，這可能導(dǎo)致無意的信息泄露?！菊_答案】：C113.#4

在處理網(wǎng)絡(luò)犯罪時(shí)，刑法難以執(zhí)行的主要原因是什么?A、管轄權(quán)很難界定。B、執(zhí)法機(jī)構(gòu)人手不足。C、引渡條約很少得到執(zhí)行。D、存在許多語(yǔ)言障礙?！菊_答案】：A114.什么類型的監(jiān)控使用網(wǎng)站的模擬流量來監(jiān)控性能?A、日志分析B、綜合監(jiān)測(cè)C、被動(dòng)監(jiān)測(cè)D、模擬事務(wù)分析【正確答案】：B解析：

綜合監(jiān)測(cè)使用仿真的事務(wù)來監(jiān)控響應(yīng)時(shí)間、功能以及其他性能的變化。被動(dòng)監(jiān)測(cè)使用調(diào)試端口或其他方法來復(fù)制流量并實(shí)時(shí)監(jiān)控它。日志分析通常處理實(shí)際日志數(shù)據(jù),但也可在模擬流量中發(fā)現(xiàn)問題。模擬事務(wù)分析不是專業(yè)術(shù)語(yǔ)。115.以下哪個(gè)是代碼而非密碼的例子?A、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)B、OneC、單詞重組【正確答案】：B解析：

代碼和密碼之間的主要區(qū)別是密碼是在字符或位這種級(jí)別來改變數(shù)據(jù),而不是字級(jí)別。DES、移位密碼和單詞重組處理的都是字符或者位,因此都是密碼。“Oneifbyland;twoifbysea是美國(guó)獨(dú)立戰(zhàn)爭(zhēng)期間的典故,是一種傳遞隱秘消息的方法,屬于代碼的范疇。116.#388

哪種機(jī)制提供了針對(duì)內(nèi)存緩沖區(qū)溢出攻擊的最佳保護(hù)?A、地址空間布局隨機(jī)化(ASLR)B、內(nèi)存管理單元C、棧和堆分配D、動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器（DRAM）【正確答案】：A117.#39

從中斷中恢復(fù)時(shí)，就數(shù)據(jù)恢復(fù)而言，恢復(fù)點(diǎn)目標(biāo)(RPO)是什么?A、RPO是需要恢復(fù)的最小數(shù)據(jù)量。B、RPO是恢復(fù)可接受的丟失數(shù)據(jù)百分比所需的時(shí)間量。C、RPO的目標(biāo)是恢復(fù)目標(biāo)百分比的丟失數(shù)據(jù)。D、RPO是可接受的數(shù)據(jù)丟失的最長(zhǎng)時(shí)間?！菊_答案】：D118.#350

以下哪項(xiàng)是安全從業(yè)人員可以用來確保系統(tǒng)和子系統(tǒng)優(yōu)雅地處理無效輸入的最佳方法?A、單元測(cè)試B、驗(yàn)收測(cè)試C、集成測(cè)試D、陰性測(cè)試【正確答案】：D119.哪種Kerberos服務(wù)生成新的票據(jù)和會(huì)話密鑰并將它們發(fā)送到客戶端?A、KDC(密鑰分發(fā)中心)B、TGT(票據(jù)授予票據(jù))C、AS(身份驗(yàn)證服務(wù))D、TGS(票據(jù)授予服務(wù))【正確答案】：D解析：

TGS(票據(jù)授予服務(wù))從客戶端接收TGT(票據(jù)授予票據(jù)),它通常與KDC(密鑰分發(fā)中心)處在同一個(gè)服務(wù)器上。TGS會(huì)驗(yàn)證TGT和用戶的訪問權(quán)限,然后TGS會(huì)向客戶端發(fā)出票據(jù)和會(huì)話密鑰。AS即身份驗(yàn)證服務(wù)器,將用戶名轉(zhuǎn)發(fā)給KDC。需注意客戶端不與KDC直接通信,而是與TGT和AS進(jìn)行通信,這也解釋了KDC不是合理的選項(xiàng)。120.Alex負(fù)責(zé)SAML與主要第三方合作伙伴的整合,為他的組織提供各種商業(yè)服務(wù)。使用以下圖表和你掌握的SAML集成和安全體系結(jié)構(gòu)設(shè)計(jì)知識(shí),回答問題。Alex關(guān)注SAML流量竊聽問題和偽造聲明問題,為對(duì)抗這兩種攻擊,請(qǐng)問他應(yīng)該怎么做?A、使用SAML的安全模式來提供安全身份驗(yàn)證B、使用強(qiáng)密碼套件實(shí)施TLS,這可以防止這兩種類型的攻擊C、使用強(qiáng)密碼套件實(shí)現(xiàn)TLS,并使用數(shù)字簽名D、使用強(qiáng)密碼套件實(shí)現(xiàn)TLS和消息散列【正確答案】：C解析：

TLS提供消息機(jī)密性和完整性,可防止竊聽。數(shù)字簽名可提供完整性和身份驗(yàn)證,可以阻止偽造的聲明攻擊。SAML沒有安全模式,其依賴TLS和數(shù)字簽名來確保安全。沒有簽名的消息散列將有助于防止對(duì)消息的非法修改,但這樣無法提供驗(yàn)證。Alex負(fù)責(zé)SAML與主要第三方合作伙伴的整合,為他的組織提供各種商業(yè)服務(wù)。使用以下圖表和你掌握的SAML集成和安全體系結(jié)構(gòu)設(shè)計(jì)知識(shí),回答問題。121.Alan正在安裝一個(gè)滅火系統(tǒng),該滅火系統(tǒng)會(huì)在火災(zāi)爆發(fā)之后啟動(dòng),并保護(hù)數(shù)據(jù)中心中的設(shè)備免受嚴(yán)重?fù)p壞。Alan試圖降低什么指標(biāo)?A、可能性B、RTOC、RPOD、影響【正確答案】：D解析：

滅火系統(tǒng)無法阻止火災(zāi)發(fā)生,但會(huì)減少火災(zāi)造成的傷害。這是通過降低事件的影響來降低風(fēng)險(xiǎn)的例子。122.公司要求Charles降低某個(gè)存儲(chǔ)設(shè)備的安全級(jí)別,該設(shè)備存儲(chǔ)的是私人數(shù)據(jù)。Charles應(yīng)遵循什么流程?A、將驅(qū)動(dòng)器消磁,然后標(biāo)記為較低的分類級(jí)別B、粉碎驅(qū)動(dòng)器,然后根據(jù)所含的數(shù)據(jù)重新分類C、遵循公司的清除流程,然后降級(jí)并更換標(biāo)簽D、重新標(biāo)記設(shè)備,然后遵循公司的清除流程以確保設(shè)備與標(biāo)簽相匹配【正確答案】：C解析：

如果組織允許存儲(chǔ)設(shè)備降低安全級(jí)別,應(yīng)該首次清除,然后重新標(biāo)記介質(zhì)。消磁可用于磁性介質(zhì),但不能處理所有類型的介質(zhì)。粉碎會(huì)破壞介質(zhì),防止重復(fù)使用。首先進(jìn)行重新標(biāo)記可能導(dǎo)致故障,導(dǎo)致組織使用未清除的介質(zhì)。123.#442

一名高級(jí)安全工程師的任務(wù)是確保組織最有價(jià)值的個(gè)人身份信息(PII)的機(jī)密性和完整性。此數(shù)據(jù)存儲(chǔ)在組織數(shù)據(jù)中心內(nèi)的本地文件和數(shù)據(jù)庫(kù)服務(wù)器上。已實(shí)施以下安全措施以確保檢測(cè)和記錄未經(jīng)授權(quán)的訪問。

?數(shù)據(jù)庫(kù)和文件服務(wù)器的網(wǎng)絡(luò)分段和增強(qiáng)的訪問日志記錄

?實(shí)施靜態(tài)數(shù)據(jù)加密

?對(duì)進(jìn)出敏感網(wǎng)段的網(wǎng)絡(luò)流量進(jìn)行全包捕獲

?確保所有事務(wù)日志數(shù)據(jù)和數(shù)據(jù)包捕獲都備份到企業(yè)備份網(wǎng)段內(nèi)的企業(yè)備份設(shè)備

以下哪項(xiàng)是最有可能在避免檢測(cè)的同時(shí)泄露PII的方法?A、通過SecureShell(SSH)未經(jīng)授權(quán)訪問文件服務(wù)器B、通過受感染的Web應(yīng)用程序未經(jīng)授權(quán)訪問數(shù)據(jù)庫(kù)服務(wù)器C、通過受感染的用戶帳戶未經(jīng)授權(quán)訪問數(shù)據(jù)庫(kù)服務(wù)器D、通過受感染的服務(wù)帳戶未經(jīng)授權(quán)訪問備份服務(wù)器【正確答案】：D124.在圖中表明最可能使用的即時(shí)消息流量協(xié)議是什么?A、SLACKB、HTTPC、SMTPD、HTTPS【正確答案】：B解析：

TCP80號(hào)端口通常是HTTP。125.#104

哪個(gè)組織部門最終負(fù)責(zé)與電子郵件和其他電子記錄相關(guān)的信息治理?A、法律B、審計(jì)C、合規(guī)D、安全【正確答案】：C126.作為信息安全專業(yè)人員,Susan被要求確定組織的無線網(wǎng)絡(luò)中可供訪問的區(qū)域,即使這個(gè)區(qū)域是無意的。Susan應(yīng)該怎樣確定組織的無線網(wǎng)絡(luò)的哪些部分可訪問?A、現(xiàn)場(chǎng)調(diào)查B、戰(zhàn)爭(zhēng)漫步C、戰(zhàn)爭(zhēng)駕駛D、設(shè)計(jì)地圖【正確答案】：A解析：

戰(zhàn)爭(zhēng)漫步和戰(zhàn)爭(zhēng)駕駛都是用于定位無線網(wǎng)絡(luò)的方法,但通常不會(huì)像調(diào)查網(wǎng)站那樣詳細(xì)和徹底。設(shè)計(jì)地圖是一個(gè)虛構(gòu)的詞語(yǔ)。127.#394

禁止以下哪種技術(shù)最有助于防止用戶使用統(tǒng)計(jì)查詢獲取機(jī)密數(shù)據(jù)?A、重復(fù)引用同一人群的查詢序列B、訪問多個(gè)數(shù)據(jù)庫(kù)的重復(fù)查詢C、從表中選擇所有記錄并顯示所有列D、運(yùn)行訪問敏感數(shù)據(jù)的查詢【正確答案】：D128.#216

在對(duì)組織信息安全管理系統(tǒng)(ISMS)進(jìn)行內(nèi)部審核期間，會(huì)發(fā)現(xiàn)不符合項(xiàng)。組織在以下哪些管理階段審查、評(píng)估和/或糾正不合格?A、評(píng)估B、規(guī)劃C、改進(jìn)D、操作【正確答案】：D129.#221

使用帶有身份驗(yàn)證標(biāo)頭(AH)的虛擬專用網(wǎng)絡(luò)(VPN)時(shí)提供以下哪項(xiàng)保護(hù)?A、發(fā)件人不可否認(rèn)性B、多因素身份驗(yàn)證(MFA)C、有效載荷加密D、發(fā)件人保密【正確答案】：A130.#194

云服務(wù)接受來自用戶的安全斷言標(biāo)記語(yǔ)言(SAML)斷言，以在安全域之間交換身份驗(yàn)證和授權(quán)數(shù)據(jù)。但是，攻擊者能夠欺騙網(wǎng)絡(luò)上的注冊(cè)帳戶并查詢SAML提供商。針對(duì)此缺陷的最常見攻擊是什么?A、攻擊者利用SAML斷言在安全域上注冊(cè)一個(gè)帳戶。B、攻擊者偽造請(qǐng)求以作為不同的用戶進(jìn)行身份驗(yàn)證。C、攻擊者在安全域之間交換身份驗(yàn)證和授權(quán)數(shù)據(jù)。D、攻擊者通過重復(fù)認(rèn)證為同一用戶對(duì)安全域進(jìn)行拒絕服務(wù)(DoS)?！菊_答案】：B131.什么類型的活動(dòng)旨在培養(yǎng)員工主動(dòng)安全意識(shí)．能夠做到事前防御，并獲得安全專業(yè)技能。（也描述為：?jiǎn)T工能有安全意識(shí)，并有足夠的能力對(duì)安全事件做出響應(yīng)可通過以下哪項(xiàng)活動(dòng)？）A、意識(shí)B、培訓(xùn)C、教育D、信息系統(tǒng)安全認(rèn)證【正確答案】：D132.1分Alex已被他的公司聘用了十多年,并在公司擔(dān)任過多個(gè)職位。在審計(jì)期間,發(fā)現(xiàn)由于他以前的角色,他能訪問共享文件夾和應(yīng)用程序。Alex的公司遇到了什么問題?A、過度服務(wù)開通B、未授權(quán)訪問C、特權(quán)蠕變D、賬戶審查【正確答案】：C解析：

當(dāng)用戶從以前擁有的角色中保留他們不需要完成當(dāng)前作業(yè)的權(quán)限時(shí),會(huì)發(fā)生特權(quán)蠕變。未授權(quán)的用戶訪問文件時(shí)會(huì)發(fā)生未經(jīng)授權(quán)的訪問。過度服務(wù)開通不是用于描述權(quán)限問題的術(shù)語(yǔ),而賬戶審查有助于發(fā)現(xiàn)這樣的問題。133.#435

組織將供應(yīng)鏈風(fēng)險(xiǎn)管理(SCRM)實(shí)施到系統(tǒng)開發(fā)生命周期(SDLC)的所有階段。哪種方法對(duì)確保滿足SCRM要求最重要?A、供應(yīng)商自我評(píng)估B、采購(gòu)評(píng)估C、脆弱性評(píng)估D、第三方評(píng)估【正確答案】：D134.面向?qū)ο蟮木幊陶Z(yǔ)言使用黑盒方法來開發(fā),用戶不必知道對(duì)象的具體執(zhí)行細(xì)節(jié)。什么詞可用來描述該概念?A、分層B、抽象C、數(shù)據(jù)隱藏D、程序隔商【正確答案】：B解析：

抽象使用黑盒方法來隱藏客體的具體實(shí)現(xiàn)細(xì)節(jié)。135.#347

在為電子發(fā)現(xiàn)復(fù)制硬盤驅(qū)動(dòng)器內(nèi)容時(shí)，位級(jí)副本比文件級(jí)副本更可取的主要原因是什么調(diào)查?A、文件損壞的可能性較小。B、已刪除的文件將被轉(zhuǎn)移。C、保留文件和目錄結(jié)構(gòu)。D、文件級(jí)安全設(shè)置將被保留?！菊_答案】：B136.在一個(gè)工作日中,流行的ApacheWeb服務(wù)發(fā)布了一個(gè)零日漏洞通告。Jacob擔(dān)任信息安全分析師的角色,他需要快速掃描網(wǎng)絡(luò),以確定哪些服務(wù)器易受該漏洞的影響。Jacob快速識(shí)別存在漏洞系統(tǒng)的最佳途徑是什么?A、立即針對(duì)所有服務(wù)器運(yùn)行Nessus,以確定哪些系統(tǒng)易受攻擊。B、查看CVE數(shù)據(jù)庫(kù)以查找漏洞信息和修補(bǔ)程序信息。C、創(chuàng)建自定義IDS或IPS簽名。D、識(shí)別受影響的版本,并使用自動(dòng)掃描程序檢查該版本號(hào)的系統(tǒng)。【正確答案】：D解析：

在許多情況下,當(dāng)最初的漏洞利用被報(bào)告時(shí),漏洞掃描程序沒有預(yù)先構(gòu)建的簽名或檢測(cè)并且CVE數(shù)據(jù)庫(kù)可能不會(huì)立即獲得有關(guān)攻擊的信息。Jacob的最佳選擇是根據(jù)當(dāng)前配置快速收集信息,并查看可能存在漏洞的服務(wù)器。隨著更多信息的出現(xiàn),可能會(huì)發(fā)布簽名和CVE信息。不幸的是,對(duì)于Jacob來說,IDS和IPS簽名只能檢測(cè)到攻擊,但不會(huì)檢測(cè)系統(tǒng)是否存在漏洞,除非他看到利用系統(tǒng)漏洞發(fā)起的攻擊。137.#172

就所使用的屬性而言，以下哪些因素應(yīng)被視為基于屬性的訪問控制(ABAC)的特征?A、強(qiáng)制訪問控制(MAC)和自主訪問控制(DAC)B、自主訪問控制(DAC)和訪問控制列表(ACL)C、基于角色的訪問控制(RBAC)和強(qiáng)制訪問控制(MAC)D、基于角色的訪問控制(RBAC)和訪問控制列表(ACL)【正確答案】：D138.Morgan正在實(shí)施一個(gè)漏洞管理系統(tǒng),該系統(tǒng)使用基于標(biāo)準(zhǔn)的組件,對(duì)發(fā)現(xiàn)的漏洞進(jìn)行評(píng)分和評(píng)估。以下哪項(xiàng)最常用于提供漏洞的嚴(yán)重性評(píng)分?A、CCEB、CVSSCPED、OVAL【正確答案】：B解析：

CVSS(通用漏洞評(píng)分系統(tǒng)),用于描述安全漏洞的嚴(yán)重程度。CCE(通用配置枚舉),一種用于對(duì)配置問題命名的系統(tǒng)。CPE是通用平臺(tái)枚舉,它命名操作系統(tǒng)、應(yīng)用程序和設(shè)備。OVAL是一種用于描述安全測(cè)試程序的語(yǔ)言。139.Susan正為需要使用藍(lán)牙的組織編寫最佳實(shí)踐聲明。她知道藍(lán)牙有許多潛在的安全問題,并希望可以提出最好的建議。Susan的建議應(yīng)該包括以下哪幾點(diǎn)?A、使用藍(lán)牙的內(nèi)置強(qiáng)加密,更改設(shè)備上的默認(rèn)PIN,關(guān)閉發(fā)現(xiàn)模式以及在藍(lán)牙未使用時(shí)關(guān)閉藍(lán)牙B、僅對(duì)非機(jī)密活動(dòng)使用藍(lán)牙,更改設(shè)備上的默認(rèn)PIN,關(guān)閉發(fā)現(xiàn)模式以及在未使用藍(lán)牙時(shí)關(guān)閉藍(lán)牙C、使用藍(lán)牙的內(nèi)置強(qiáng)加密,使用擴(kuò)展(8位或更長(zhǎng))藍(lán)牙PIN,關(guān)閉發(fā)現(xiàn)模式以及在未使用時(shí)關(guān)閉藍(lán)牙D、僅對(duì)非機(jī)密活動(dòng)使用藍(lán)牙,使用擴(kuò)展(8位或更長(zhǎng))藍(lán)牙PIN,關(guān)閉發(fā)現(xiàn)模式以及在未使用藍(lán)牙時(shí)關(guān)閉藍(lán)牙【正確答案】：B解析：

由于藍(lán)牙不提供強(qiáng)加密,因此它只應(yīng)用于非機(jī)密的活動(dòng)。藍(lán)牙PIN是四位數(shù)的代碼,通常默認(rèn)為0000。關(guān)閉它并確保設(shè)備不處于發(fā)現(xiàn)模式可以幫助防止藍(lán)牙攻擊。140.為實(shí)現(xiàn)組織的國(guó)際化,Jim正在確定組織的審計(jì)標(biāo)準(zhǔn),以下哪項(xiàng)不是他們應(yīng)該使用的IT標(biāo)準(zhǔn)?A、COBITB、SSAE-16C、ITILD、ISO27002【正確答案】：C解析：

ITIL指的是IT基礎(chǔ)設(shè)施庫(kù),是一套用于IT服務(wù)管理的方法,通常不用于審計(jì)。COBIT(信息系統(tǒng)和技術(shù)控制目標(biāo))、ISO27002和SSAE-18(鑒證業(yè)務(wù)準(zhǔn)則公告第18號(hào))都用于審計(jì)。141.Harold最近主導(dǎo)完成了對(duì)一件安全事件的事后審查工作。他接下來應(yīng)該準(zhǔn)備什么文件?A、經(jīng)驗(yàn)教訓(xùn)文件B、風(fēng)險(xiǎn)評(píng)估C、補(bǔ)救清單D、緩解檢查清單【正確答案】：A解析：

總結(jié)經(jīng)驗(yàn)教訓(xùn)文件通常在事后審查后創(chuàng)建并分發(fā)給相關(guān)方,以確保參與事件的人和可能從經(jīng)驗(yàn)中受益的其他人知道他們可以做些什么來預(yù)防未來問題,并改善應(yīng)對(duì)措施。142.Tim所在的組織最近和政府外包商合作,達(dá)成一份合同?，F(xiàn)在什么法律適用于該合同中涉及的信息系統(tǒng)?A、聯(lián)邦信息安全管理法案B、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)C、健康保險(xiǎn)流通和責(zé)任法案D、政府信息安全改革法案【正確答案】：A解析：

聯(lián)邦信息安全管理法案(FISMA)主要適用于政府外包商。政府信息安全改革法案(IGRA)是FISMA的前身,并于2002年11月到期失效。健康保險(xiǎn)流通和責(zé)任法案(HIPAA)和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)分別適用于醫(yī)療保健和信用卡信息。143.哪個(gè)流程負(fù)責(zé)確保軟件變更,也包括驗(yàn)收測(cè)試?A、請(qǐng)求控制B、變更控制C、發(fā)布控制D、配置控制【正確答案】：C解析：

發(fā)布控制過程的職責(zé)之一是確保該過程包含驗(yàn)證測(cè)試,驗(yàn)證測(cè)試是為了確保在代碼發(fā)布之前,對(duì)終端用戶工作任務(wù)的任何更改都能被正確理解和運(yùn)行。請(qǐng)求控制、變更控制和配置控制過程不包括驗(yàn)收測(cè)試。144.Richard所在組織的網(wǎng)絡(luò)上出現(xiàn)網(wǎng)絡(luò)服務(wù)質(zhì)量方面的問題。主要的癥狀是,數(shù)據(jù)包從源頭到目的地的傳輸時(shí)間過長(zhǎng)。用什么術(shù)語(yǔ)描述Richard面臨的問題?A、抖動(dòng)B、數(shù)據(jù)包丟失C、干擾D、延遲【正確答案】：D解析：

延遲指的是數(shù)據(jù)包從源地址到目的地址的發(fā)送延遲。抖動(dòng)指的是不同數(shù)據(jù)包的延遲往往會(huì)有所不同。數(shù)據(jù)包丟失是指在傳輸中需要重傳的數(shù)據(jù)包發(fā)生丟失。干擾指的是造成數(shù)據(jù)包內(nèi)容損毀的電噪聲等干擾。145.Aaron想要驗(yàn)證他是否符合PCI—DSS的合規(guī)性。他的公司是一家大型商業(yè)組織,每年的交易額達(dá)數(shù)百萬美元。對(duì)大型組織進(jìn)行此類測(cè)試的最常用方法是什么?A、自我評(píng)估B、使用COBIT進(jìn)行第三方評(píng)估C、與另一家公司合作,并在組織之間進(jìn)行貿(mào)易評(píng)估D、使用合格的安全評(píng)估者進(jìn)行第三方評(píng)估【正確答案】：D解析：

大型組織雇傭QSA或合格的安全評(píng)估員來進(jìn)行合規(guī)性檢查。PCI—DSS要求大型組織進(jìn)行第三方認(rèn)證,但小型組織可以自我認(rèn)證146.1分Jim想要實(shí)施一個(gè)訪問控制方案,以確保用戶不能委托訪問。他還希望在操作系統(tǒng)級(jí)別實(shí)施訪問控制。什么訪問控制機(jī)制最適合這些要求?A、基于角色的訪問控制B、自主訪問控制C、強(qiáng)制訪問控制D、基于屬性的訪問控制【正確答案】：C解析：

在強(qiáng)制訪問控制系統(tǒng)中,操作系統(tǒng)強(qiáng)制執(zhí)行訪問控制,用戶不能委托權(quán)限,自主訪問控制允許用戶委托權(quán)限,而基于屬性或基于角色的訪問控制都沒有專門滿足這些要求。147.#225

在前往高風(fēng)險(xiǎn)國(guó)家旅行時(shí)，以下哪項(xiàng)措施是保護(hù)計(jì)算機(jī)、智能手機(jī)和外部存儲(chǔ)設(shè)備數(shù)據(jù)的最佳方法?A、查看適用的目的地國(guó)家/地區(qū)法律，在旅行前對(duì)設(shè)備進(jìn)行取證清潔，并且僅在到達(dá)目的地后通過虛擬專用網(wǎng)絡(luò)(VPN)下載敏感數(shù)據(jù)。B、利用虛擬專用網(wǎng)絡(luò)(VPN)上的安全套接字層(SSL)連接在到達(dá)目的地時(shí)下載敏感數(shù)據(jù)。C、將不使用的筆記本電腦、外部存儲(chǔ)設(shè)備和智能手機(jī)放在酒店房間內(nèi)。D、使用多因素身份驗(yàn)證(MFA)訪問存儲(chǔ)在筆記本電腦或外部存儲(chǔ)設(shè)備上的數(shù)據(jù)，并使用生物識(shí)別指紋訪問控制機(jī)制來解鎖智能手機(jī)?！菊_答案】：D148.在下圖中,Harry寫入數(shù)據(jù)文件的請(qǐng)求被拒絕。Harry有機(jī)密安全許可,該數(shù)據(jù)文件屬于秘密級(jí)別。Bell—LaPadula模型的什么原則阻止了該請(qǐng)求?A、簡(jiǎn)單安全性屬性B、簡(jiǎn)單完整性屬性C、*安全性屬性*D、自主安全屬性【正確答案】：C解析：

“安全屬性規(guī)定個(gè)人不得寫入安全分類級(jí)別較低的文件。149.在滲透測(cè)試期間,Saria打電話給她的目標(biāo)的服務(wù)臺(tái),聲稱她是公司官員的高級(jí)助理。她請(qǐng)求服務(wù)臺(tái)重置官員的密碼,因?yàn)樗墓P記本電腦在旅行時(shí)出現(xiàn)問題,并說服他們這樣做。她成功完成了什么類型的攻擊?A、零知識(shí)B、服務(wù)臺(tái)欺騙C、社會(huì)工程D、黑盒【正確答案】：C解析：

Saria使用社會(huì)工程攻擊成功地說服了一名工作人員在服務(wù)臺(tái)為她重置了密碼,而服務(wù)臺(tái)的工作人員不僅看不到Saria,而且無法驗(yàn)證她。黑盒和零知識(shí)都是描述滲透測(cè)試的術(shù)語(yǔ),這兩種測(cè)試方法不包含有關(guān)組織或系統(tǒng)的信息,而服務(wù)臺(tái)欺騙則不是一個(gè)專業(yè)術(shù)語(yǔ)。150.Michael負(fù)責(zé)犯罪調(diào)查,正在調(diào)查一個(gè)涉及公司網(wǎng)站復(fù)改的中級(jí)安全事件。網(wǎng)站服務(wù)器運(yùn)行在虛擬平臺(tái)上,并且市場(chǎng)團(tuán)隊(duì)想要網(wǎng)站盡快啟動(dòng)和運(yùn)行。Michael接下來采取的最合理步驟是什么?A、保持網(wǎng)站下線,直至調(diào)查結(jié)束B、讓虛擬平臺(tái)下線,然后采集證據(jù)C、獲取破壞系統(tǒng)的快照,用于調(diào)查中使用D、忽視該事件,快速恢復(fù)網(wǎng)站【正確答案】：C解析：

Michael應(yīng)該進(jìn)行調(diào)查,然而又要迫切地將網(wǎng)站重新上線。最合理的行動(dòng)方法是獲取受損系統(tǒng)的快照,并使用快照進(jìn)行調(diào)查,盡快恢復(fù)網(wǎng)站運(yùn)行,同時(shí)使用調(diào)查結(jié)果來提高網(wǎng)站的安全性。151.#87

以下哪項(xiàng)最好地描述了軟件取證的目的?A、解析惡意軟件可能的惡意意圖B、執(zhí)行循環(huán)冗余校驗(yàn)(CRC)驗(yàn)證并檢測(cè)更改的應(yīng)用程序C、確定代碼的作者和行為D、審查程序代碼以確定后門的存在【正確答案】：C152.Linda與供應(yīng)商聯(lián)系,并確定沒有可用的補(bǔ)丁來糾正此漏洞。以下哪個(gè)設(shè)備最能幫助她保護(hù)應(yīng)用程序免受進(jìn)一步攻擊?A、VPNB、WAFC、DLPD、IDS【正確答案】：B解析：

Web應(yīng)用程序防火墻(WAF)位于Web應(yīng)用程序的前面,并且可以監(jiān)視潛在的惡意Web攻擊,包括跨站點(diǎn)腳本,然后他們阻止流量到達(dá)Web應(yīng)用程序。入侵檢測(cè)系統(tǒng)(IDS)可以檢測(cè)攻擊,但它不能采取行動(dòng)來防止它。DLP和VPN解決方案無法檢測(cè)Web應(yīng)用程序攻擊。材料25:請(qǐng)根據(jù)以下場(chǎng)景,回答問題:Linda正在審核公司網(wǎng)站上用戶論壇的帖子,當(dāng)她瀏覽某個(gè)帖子時(shí),屏幕上的對(duì)話框會(huì)彈出一條“Alert消息。她查看該帖子的源代碼,并找到以下代碼段:153.#405

加拿大一家領(lǐng)先的制藥公司最近聘請(qǐng)了首席數(shù)據(jù)官(CDO)來監(jiān)督其數(shù)據(jù)隱私計(jì)劃。CDO發(fā)現(xiàn)該公司的營(yíng)銷部門一直在未經(jīng)個(gè)人知情和同意的情況下通過公司網(wǎng)站收集個(gè)人信息。以下哪些隱私法規(guī)應(yīng)與CDO就此做法相關(guān)?A、健康保險(xiǎn)流通與責(zé)任法案(HIPAA)B、1974年隱私法C、公平信息實(shí)踐原則(FIPPs)D、個(gè)人信息保護(hù)和電子文件法(PIPEDA)【正確答案】：D154.Mark正在考慮用云計(jì)算中的可用的新產(chǎn)品替換其組織的客戶關(guān)系管理(CRM)解決方案。這個(gè)新的解決方案完全由供應(yīng)商管理,Mark的公司將無需編寫任何代碼或管理任何物理資源。Mark考慮采用什么類型的云解決方案?A、laasB、CaasC、PaasD、Saas【正確答案】：D解析：

在軟件即服務(wù)解決方案中,供應(yīng)商管理物理基礎(chǔ)設(shè)施和完整的應(yīng)用程序堆棧,為客戶提供對(duì)完全托管應(yīng)用程序的訪問155.當(dāng)一個(gè)事務(wù)讀取由第二個(gè)事務(wù)(該事務(wù)從不提交)寫入數(shù)據(jù)庫(kù)的信息時(shí),會(huì)發(fā)生以下哪個(gè)數(shù)據(jù)庫(kù)一致性問題?A、丟失更新B、SQL注入C、不正確的摘要D、臟讀【正確答案】：D解析：

當(dāng)一個(gè)事務(wù)從數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)時(shí),若讀取到的數(shù)據(jù)是由其他事務(wù)寫入的但該事務(wù)尚未提交,將會(huì)出現(xiàn)臟讀現(xiàn)象。當(dāng)一個(gè)事務(wù)向數(shù)據(jù)庫(kù)寫入一個(gè)值時(shí),若具有較早優(yōu)先級(jí)的事務(wù)讀取的是修改前的值,會(huì)導(dǎo)致這些事務(wù)讀取到不正確的值,此時(shí)會(huì)發(fā)生丟失更新。當(dāng)一個(gè)事務(wù)使用聚合函數(shù)匯總存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù)時(shí),若另一個(gè)事務(wù)正在對(duì)數(shù)據(jù)庫(kù)進(jìn)行修改,就會(huì)產(chǎn)生不正確的摘要。SQL注入是一個(gè)Web應(yīng)用程序安全漏洞,而不是數(shù)據(jù)庫(kù)并發(fā)問題。156.通常使用什么方法來評(píng)估所使用的測(cè)試用例是否對(duì)應(yīng)用程序進(jìn)行了很好的覆蓋?A、覆蓋測(cè)試分析B、源代碼審查C、模糊分析D、代碼審查報(bào)告【正確答案】：A解析：

覆蓋測(cè)試分析通常反映了所使用的測(cè)試用例是否對(duì)應(yīng)用程序進(jìn)行了很好的覆蓋。源代碼審查的目的是找到程序錯(cuò)誤,側(cè)重點(diǎn)并不是用例分析。模糊分析測(cè)試的是無效的輸入。代碼審查報(bào)告可能會(huì)作為源代碼審查的一部分來生成。157.Chris正在設(shè)計(jì)公司內(nèi)部使用的密碼系統(tǒng)。公司有1000名員工,他們計(jì)劃使用非對(duì)稱加密系統(tǒng)。他們總共需要多少密鑰?A、500B、1000C、2000D、4950【正確答案】：C解析：

不對(duì)稱密碼系統(tǒng)對(duì)每個(gè)用戶使用一對(duì)密鑰。這種情況下,對(duì)于1000個(gè)用戶,系統(tǒng)將需要2000個(gè)密鑰。158.Sarah正在手動(dòng)審核TCP流量的包捕獲,并發(fā)現(xiàn)系統(tǒng)在短時(shí)間內(nèi)重復(fù)發(fā)送的TCP包中設(shè)置了RST標(biāo)志。這個(gè)標(biāo)志在TCP包頭中是什