CISSP考試練習(xí)(習(xí)題卷3)

試卷科目：CISSP考試練習(xí)CISSP考試練習(xí)(習(xí)題卷3)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.Andrew認(rèn)為屬于他的組織的數(shù)字證書(shū)已被盜用,并希望將其添加到證書(shū)吊銷列表中。誰(shuí)必須將證書(shū)添加到CRL?A)AndrewB)頂級(jí)域的根權(quán)限C)頒發(fā)證書(shū)的CAD)頂級(jí)域的撤銷授權(quán)答案:C解析:證書(shū)只能由創(chuàng)建數(shù)字證書(shū)的證書(shū)頒發(fā)機(jī)構(gòu)添加到證書(shū)吊銷列表中。CertificatesmayonlybeaddedtoaCertificateRevocationListbythecertificateauthoritythatcreatedthedigitalcertificate.[單選題]2.您正在實(shí)施IT服務(wù)來(lái)支持會(huì)議。參與者依靠無(wú)線服務(wù)來(lái)訪問(wèn)內(nèi)網(wǎng)資源和投屏。為提供方便且安全的無(wú)線服務(wù),以下哪一項(xiàng)最不受關(guān)注?A)802.1XB)Adhoc模式C)強(qiáng)制門戶D)自動(dòng)私有IP尋址(APIPA)答案:C解析:[單選題]3.DatabasesoftwareshouldmeettheAClDtestrequirements.Whyshouldatomictransactions,oneoftheACIDtestrequirements,beperformedwhenusingonlinetransactionprocessingorTP?數(shù)據(jù)庫(kù)軟件應(yīng)當(dāng)滿足ACID測(cè)試的要求,在使用聯(lián)機(jī)事務(wù)處理OITP時(shí),為什么應(yīng)當(dāng)執(zhí)行ACID測(cè)試要求之一的原子性事務(wù)?A)Establishintegrityrulesasspecifiedinthedatabasesecuritypolicy建立數(shù)據(jù)庫(kù)安全策略中所規(guī)定的完整性規(guī)則B)Sothatthedatabaseperformstransactionsasasingleunitwithoutinterruption.數(shù)據(jù)庫(kù)作為一個(gè)單元來(lái)執(zhí)行事務(wù),而不會(huì)中斷C)Toensurethatarollbackdoesnotoccur.來(lái)確?；貪L不會(huì)發(fā)生D)Topreventconcurrentprocessesfrominteractingwitheachother.來(lái)防止同時(shí)進(jìn)行的事務(wù)進(jìn)程之間的相互干擾答案:B解析:[單選題]4.bytheownersandcreatorsoffiles.Whatisthemajoradvantageanddisadvantageofsuchanapproach?您在辦公室正在實(shí)施一個(gè)基于分散管理的訪問(wèn)控制策略;該控制策略是由所有者和創(chuàng)建者直接控制文件.這種方法的主要優(yōu)點(diǎn)和缺點(diǎn)是什么?A)ltputsaccesscontrolintothehandsofthosemostaccountablefortheinformation,butrequiressecuritylabelsforenforcement.它把訪問(wèn)控制轉(zhuǎn)化為最負(fù)責(zé)的信息,但是需要安全標(biāo)簽強(qiáng)化B)ltputsaccesscontrolintothehandsofthosemostaccountablefortheinformation,butleadstoinconsistenciesinproceduresandcriteria.它將訪問(wèn)控制轉(zhuǎn)化為最負(fù)責(zé)的信息,但導(dǎo)致程序和標(biāo)準(zhǔn)的不一致C)ltputsaccesscontrolintothehandsoflTadministrators,butleadstoproceduresandcriteriathataretoorigidandinflexible.它將訪問(wèn)控制放在它的管理者手中,但導(dǎo)致程序和標(biāo)準(zhǔn)過(guò)于死板和化D)ItputsaccesscontrolintothehandsofTadministrators,butforcesthemtooverlyrelyuponthefileownerstoimplementtheaccesscontrolslTputsinplace.它將訪問(wèn)控制放在它的管理者手中;但強(qiáng)迫他們過(guò)度依賴文件所有者來(lái)實(shí)現(xiàn)訪問(wèn)控制答案:B解析:[單選題]5.在配置用于存儲(chǔ)個(gè)人員工數(shù)據(jù)的系統(tǒng)時(shí),以下哪些系統(tǒng)和數(shù)據(jù)庫(kù)管理員需要注意并應(yīng)用?A)企業(yè)用戶對(duì)數(shù)據(jù)的二次使用B)本組織的安全政策和標(biāo)準(zhǔn)C)使用數(shù)據(jù)的目的D)企業(yè)資源和數(shù)據(jù)的整體保護(hù)答案:B解析:[單選題]6.Javier正在驗(yàn)證只有IT系統(tǒng)管理員才能登錄用于管理目的的服務(wù)器。他執(zhí)行的信息安全原則是什么?A)NeedtoknowB)LeastprivilegeC)Two-personcontrolD)Transitivetrust答案:B解析:最小特權(quán)原則是指?jìng)€(gè)人應(yīng)僅擁有完成其工作職能所需的特權(quán)。從非管理用戶中刪除管理權(quán)限是最小權(quán)限的一個(gè)例子。[單選題]7.自從第一次完全備份以后，備份所有新的或被修改過(guò)的文件是A)增量備份B)父/子備份C)差異備份D)完全備份答案:C解析:<p>增量備份-僅備份自上次備份以來(lái)修改過(guò)的文件的過(guò)程。它確實(shí)刪除了存檔屬性。差異<br/>備份-備份自上次完整備份以來(lái)已修改的所有文件的過(guò)程。<br/>它不會(huì)刪除存檔屬性。<br/></p>[單選題]8.以下哪項(xiàng)最佳描述了所選的明文攻擊?A)一個(gè)。密碼分析師可以從任意文本生成密文。B)密碼分析師檢查來(lái)回發(fā)送的通信。C)密碼分析師可以選擇密鑰和算法來(lái)發(fā)起攻擊。D)向密碼分析器提供從中確定原始消息的密文。答案:A解析:[單選題]9.(04147)IT風(fēng)險(xiǎn)管理計(jì)劃最終必須由誰(shuí)簽字同意？A)執(zhí)行風(fēng)險(xiǎn)評(píng)估的IT審計(jì)師B)執(zhí)行風(fēng)險(xiǎn)評(píng)估的IT審計(jì)師C)執(zhí)行風(fēng)險(xiǎn)評(píng)估的IT審計(jì)師D)執(zhí)行風(fēng)險(xiǎn)評(píng)估的IT審計(jì)師答案:D解析:[單選題]10.Theprocessofmutualauthenticationinvolvesacomputersystemauthenticatingauserandauthenticatingthe相互認(rèn)證的過(guò)程涉及計(jì)算機(jī)系統(tǒng)對(duì)用戶進(jìn)行認(rèn)證，并對(duì)A)usertotheauditprocess.審核流程的用戶。B)computersystemtotheuser.計(jì)算機(jī)系統(tǒng)給用戶。C)user'saccesstoallauthorizedobjects.用戶對(duì)所有授權(quán)對(duì)象的訪問(wèn)權(quán)限。D)computersystemtotheauditprocess.計(jì)算機(jī)系統(tǒng)的審核過(guò)程。答案:B解析:[單選題]11.下列哪種安全模式實(shí)施一種做法:一個(gè)對(duì)象的安全級(jí)別永遠(yuǎn)不變(稱為"強(qiáng)靜"屬性)?A)BibaB)Bell-LaPadulaC)Brewer-NashD)Noninterference答案:B解析:[單選題]12.(04034)Asecuritypractitionerhasbeenassignedwithassessingtheapplicationsecurityoftheorganization?snetworkWebandStructuredQueryLanguage(SQL)databaseserversareaprimaryconcernforexecutivemanagement,asalargeportionoftheirtransactionsaremadeontheInternetThepost-assessmentplancontainsthefollowingproposals:-UseanExtensibleMarkupLanguage(XML)applicationfirewalltoprotecttheorganizationsnetwork-UpgradeXMLtoSecurityAssertionMarkupLanguage(SAML)-Usecustom-builtapplicationsinsteadofcommercialones-PreventWebsitedefacementHowdoestheproposedapplicationfirewallpreventattacksusingExtensibleMarkupLanguage(XML)?一個(gè)安全從業(yè)者被要求來(lái)評(píng)估組織網(wǎng)絡(luò)的應(yīng)用系統(tǒng)安全性。Web服務(wù)器和結(jié)構(gòu)化查詢語(yǔ)言（SQL）數(shù)據(jù)庫(kù)服務(wù)器是執(zhí)行管理層最關(guān)注的，因?yàn)樗麄兊慕灰子泻艽笠徊糠质窃诨ヂ?lián)網(wǎng)上完成的。評(píng)估后的整改計(jì)劃中包含了以下議建議：-使用可擴(kuò)展標(biāo)記語(yǔ)言（XML）應(yīng)用防火墻來(lái)保護(hù)組織的網(wǎng)絡(luò)-升級(jí)XML到安全斷言標(biāo)記語(yǔ)言（SAML）-使用定制的應(yīng)用程序，而不是商業(yè)產(chǎn)品-防止網(wǎng)站被篡改。下面哪個(gè)攻擊類型是關(guān)于Web站點(diǎn)被篡改最擔(dān)心的？A)Crosssitescripting(XSS)跨站腳本B)Crosssitescripting(XSS)跨站腳本C)Crosssitescripting(XSS)跨站腳本D)Crosssitescripting(XSS)跨站腳本答案:B解析:[單選題]13.Brenda的組織最近完成了對(duì)競(jìng)爭(zhēng)對(duì)手公司的收購(gòu)。以下哪一項(xiàng)任務(wù)最不可能成為收購(gòu)期間處理的組織流程的一部分?Brenda?sorganizationrecentlycompletedtheacquisitionofacompetitorfirm.WhichoneofthefollowingtaskswouldbeLEASTlikelytobepartoftheorganizationalprocessesaddressedduringtheacquisition?A)安保職能的整合ConsolidationofsecurityfunctionsB)安全工具的集成IntegrationofsecuritytoolsC)知識(shí)產(chǎn)權(quán)保護(hù)ProtectionofintellectualpropertyD)安全政策文件Documentationofsecuritypolicies答案:C解析:與收購(gòu)(一家公司購(gòu)買另一家公司)相比,在資產(chǎn)剝離(子公司被分拆為一個(gè)獨(dú)立的組織)期間,知識(shí)產(chǎn)權(quán)保護(hù)是一個(gè)更大的問(wèn)題。收購(gòu)問(wèn)題包括整合安全功能和策略以及集成安全工具。[單選題]14.非氣候控制環(huán)境中使用的被動(dòng)紅外傳感器(PIR)應(yīng)A)降低與背景溫度相關(guān)的檢測(cè)對(duì)象溫度。B)根據(jù)背景溫度增加檢測(cè)對(duì)象溫度。C)自動(dòng)匹配地補(bǔ)償背景溫度的方差。D)檢測(cè)獨(dú)立于背景溫度的特定溫度的對(duì)象。答案:C解析:[單選題]15.以下哪一項(xiàng)為無(wú)線局域網(wǎng)(WLAN)提供有效的管理保證?A)維護(hù)授權(quán)接入點(diǎn)(AP)和連接設(shè)備的庫(kù)存B)將無(wú)線電頻率設(shè)置為所需的最小范圍C)在WLAN客戶端設(shè)備和VPN集中器之間建立虛擬專用網(wǎng)絡(luò)(VPN)隧道D)驗(yàn)證所有默認(rèn)密碼已更改答案:A解析:[單選題]16.組織的安全政策將分配哪些用戶角色有權(quán)訪問(wèn)特定資源的能力委托給數(shù)據(jù)所有者。正在使用何種類型的授權(quán)機(jī)制?A)自由訪問(wèn)控制(DAC)B)基于角色的訪問(wèn)控制(RBAC)C)媒體訪問(wèn)控制(MAC)D)強(qiáng)制性訪問(wèn)控制(MAC)答案:A解析:[單選題]17.Mike正在構(gòu)建容錯(cuò)服務(wù)器并希望實(shí)施RAID1,實(shí)施此方案需要多少個(gè)物理磁盤?A)1B)2C)3D)5答案:B解析:RAID1稱為磁盤鏡像,需要兩個(gè)物理磁盤,其中一個(gè)物理磁盤是另一個(gè)的副本。RAID1,diskmirroring,requirestwophysicaldisksthatwillcontaincopiesofthesamedata.[單選題]18.數(shù)據(jù)托管員在____為資源分配安全標(biāo)簽后負(fù)責(zé)確保資源安全。A)高管B)數(shù)據(jù)所有者C)審計(jì)員D)安全人員答案:B解析:[單選題]19.組織應(yīng)如何確定在進(jìn)行漏洞評(píng)估后其補(bǔ)救工作的優(yōu)先事項(xiàng)?A)使用基于影響的方法。B)使用基于風(fēng)險(xiǎn)的方法。C)使用基于批判性的方法。D)使用基于威脅的方法。答案:B解析:[單選題]20.攻擊樹(shù)對(duì)以下哪種樹(shù)最有用?A)德特采礦系統(tǒng)安全范圍B)生成攻擊庫(kù)C)列舉威脅D)評(píng)估拒絕服務(wù)(DOS)攻擊答案:A解析:[單選題]21.下列哪個(gè)是強(qiáng)制訪問(wèn)控制的一種類型？A)規(guī)則型訪問(wèn)控制B)角色型訪問(wèn)控制C)用戶為導(dǎo)向的訪問(wèn)控制D)格子型訪問(wèn)控制答案:D解析:[單選題]22.數(shù)據(jù)中心彈簧門在火災(zāi)發(fā)生時(shí)開(kāi)放。這是一個(gè)什么例子？A)自動(dòng)防故障B)自動(dòng)防故障C)失效安全D)防故障答案:A解析:<p>Fail-safemechanismsfocusesonfailingwithaminimumofharmtopersonnelwhilefail-securefocusesonfailinginacontrolledmannertoblockaccesswhilethesystemsisinaninconsistentstate.Forexample,datacenterdoorsystemswillfailsafetoensurethatpersonnelcanescapetheareawhentheelectricalpowerfails.Afail-securedoorwouldpreventpersonnelfromusingthedooratall,whichcouldputpersonnelinjeopardy.Fail-openandfail-closedarefailsafemechanisms.</p>[單選題]23.(04153)組織對(duì)應(yīng)用系統(tǒng)進(jìn)行認(rèn)證認(rèn)可，認(rèn)可的最后一步是：A)對(duì)漏洞進(jìn)行糾正B)對(duì)漏洞進(jìn)行糾正C)對(duì)漏洞進(jìn)行糾正D)對(duì)漏洞進(jìn)行糾正答案:D解析:[單選題]24.網(wǎng)絡(luò)掃描發(fā)現(xiàn)50%的系統(tǒng)存在一個(gè)或多個(gè)關(guān)鍵漏洞。以下哪一項(xiàng)代表最佳操作?A)評(píng)估漏洞風(fēng)險(xiǎn)和程序有效性。B)評(píng)估脆弱性風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)險(xiǎn)。C)斷開(kāi)所有具有嚴(yán)重漏洞的系統(tǒng)。D)斷開(kāi)漏洞最多的系統(tǒng)。答案:B解析:[單選題]25.確保電子郵件機(jī)密性的最佳方式是什么?A)在客戶端和服務(wù)器之間使用TLSB)在客戶端和服務(wù)器之間使用SSLC)加密電子郵件內(nèi)容D)使用數(shù)字簽名答案:C解析:SMTP(簡(jiǎn)單郵件傳輸協(xié)議)協(xié)議無(wú)法保證服務(wù)器之間的機(jī)密性,客戶端和服務(wù)器之間使用TLS(安全傳輸層協(xié)議)或SSL(安全套接層)只是部分措施。加密電子郵件內(nèi)容可提供機(jī)密性,數(shù)字簽名可以提供不可否認(rèn)性。TheSMTPprotocoldoesnotguaranteeconfidentialitybetweenservers,makingTLSorSSLbetweentheclientandserveronlyapartialmeasure.Encryptingtheemailcontentcanprovideconfidentiality;digitalsignaturescanprovidenonrepudiation.[單選題]26.Carrie正在分析基于Web的應(yīng)用程序的應(yīng)用程序日志,并發(fā)現(xiàn)以下字符串://///////etc/passwd可能對(duì)Carrie的應(yīng)用程序進(jìn)行了何種類型的攻擊?A)命令注入B)會(huì)話劫持C)目錄遍歷D)蠻力答案:C解析:[單選題]27.RSA算法是什么加密類型的例子？A)非對(duì)稱密鑰B)私鑰C)對(duì)稱密鑰D)密鑰答案:A解析:<p>AnAsymmetricKeyisanothernameforPublicKey,RSAisaPublicKeycryptographicsystem.</p>[單選題]28.InanIDEALencryptionsystem,whohassoleaccesstothedecryptionkey?在理想的加密系統(tǒng)中，誰(shuí)擁有解密密鑰的唯一訪問(wèn)權(quán)？A)Systemowner系統(tǒng)所有者B)Dataowner數(shù)據(jù)擁有者C)Datacustodian數(shù)據(jù)管理人D)Systemadministrator系統(tǒng)管理員答案:B解析:[單選題]29.以下哪個(gè)人會(huì)成為信息安全項(xiàng)目最高級(jí)的負(fù)責(zé)人?Whichoneofthefollowingindividualswouldbethemosteffectiveorganizationalownerforaninformationsecurityprogram?A)持有CISSP認(rèn)證的分析師CISSP-certifiedanalystB)首席信息官(CIO)Chiefinformationofficer(CIO)C)網(wǎng)絡(luò)安全經(jīng)理ManagerofnetworksecurityD)總裁和首席執(zhí)行官(CEO)PresidentandCEO答案:B解析:信息安全計(jì)劃的所有者可能不同于負(fù)責(zé)實(shí)施控制的人。此人應(yīng)盡可能資深,能夠?qū)Ｗ⒂诎踩?jì)劃的管理。總裁兼CEO不是一個(gè)合適的選擇,因?yàn)檫@個(gè)級(jí)別的高管不太可能有必要的時(shí)間專注于安全。在剩下的選擇中,CIO是最高級(jí)的職位,他將成為在執(zhí)行級(jí)別的最強(qiáng)有力倡導(dǎo)者。[單選題]30.AnIntrusionDetectionSystem（IDS）hasrecentlybeendeployedinaDemilitarizedZone（DMZ）.TheIDSdetectsafloodofmalformedpackets.WhichofthefollowingBESTdescribeswhathasoccurred?入侵檢測(cè)系統(tǒng)（IDS）最近部署在非軍事區(qū)（DMZ）。IDS檢測(cè)到大量格式錯(cuò)誤的數(shù)據(jù)包。以下哪項(xiàng)最能描述發(fā)生的情況？A)DenialofService（DoS）attack拒絕服務(wù)（DoS）攻擊B)AddressResolutionProtocol（ARP）spoof地址解析協(xié)議（ARP）欺騙C)Bufferoverflow緩沖區(qū)溢出D)PingfloodattackPing洪水攻擊答案:A解析:[單選題]31.sothatnootherprocesscaninteractwithitsinternalprogramcode?操作系統(tǒng)可以實(shí)現(xiàn)進(jìn)程隔離的不同方法。下面哪個(gè)方法是定義了兩個(gè)進(jìn)程乏間是如何交互的沒(méi)有其他進(jìn)程能夠與它的內(nèi)部程序代碼交互?A)mapping虛擬映射B)Encapsulationofobjects客體封裝C)Timemultiplexing時(shí)分復(fù)用D)Namingdistinctions命名識(shí)別答案:B解析:[單選題]32.以下哪一項(xiàng)是指一個(gè)國(guó)際組織,它幫助不同政府一起應(yīng)對(duì)經(jīng)濟(jì)全球化帶來(lái)的經(jīng)濟(jì)、社會(huì)和治理上的挑戰(zhàn),并提供有關(guān)隱私權(quán)的保護(hù)和個(gè)人數(shù)據(jù)的跨界流動(dòng)規(guī)則?A)全球理事會(huì)網(wǎng)絡(luò)犯罪公約B)歐洲理事會(huì)網(wǎng)絡(luò)犯罪公約C)經(jīng)濟(jì)合作與發(fā)展組織OrganizationforEconomicCo-operationandDevelopment,OECD)D)反網(wǎng)絡(luò)犯罪的合作與發(fā)展組織答案:C解析:[單選題]33.(04081)一個(gè)組織聘請(qǐng)了一個(gè)安全專家來(lái)開(kāi)發(fā)他們的信息安全體系。發(fā)現(xiàn)缺乏強(qiáng)制執(zhí)行的政策和程序后，該安全專家對(duì)工作區(qū)進(jìn)行了下班后的檢查，發(fā)現(xiàn)了一些無(wú)人關(guān)注的已登錄的機(jī)器，缺少屏幕保護(hù)程序，并容易獲得密碼。那么安全專家建議系統(tǒng)管理員首先應(yīng)采取什么行動(dòng)？A)Implementstrongpasswords.實(shí)施強(qiáng)密碼策略B)Implementstrongpasswords.實(shí)施強(qiáng)密碼策略C)Implementstrongpasswords.實(shí)施強(qiáng)密碼策略D)Implementstrongpasswords.實(shí)施強(qiáng)密碼策略答案:D解析:[單選題]34.由于不斷提高的計(jì)算能力，對(duì)加密密鑰的暴力攻擊也在增加。以下哪一項(xiàng)通常被認(rèn)為是對(duì)暴力密碼攻擊的很好保護(hù)？A)什么也不能抵御暴力密鑰攻擊。B)對(duì)暴力密鑰攻擊免疫的算法C)采用良好的密鑰生成器D)采用會(huì)話密鑰。答案:D解析:[單選題]35.功能安全測(cè)試在系統(tǒng)開(kāi)發(fā)生命周期SDLC的哪個(gè)階段最為關(guān)鍵？A)操作/維護(hù)B)實(shí)施C)獲取/開(kāi)發(fā)D)初始化答案:B解析:[單選題]36.WriteOnce,ReadMany（WORM）datastoragedevicesaredesignedtoBESTsupportwhichofthefollowingcoresecurityconcepts?一次寫入、多次讀?。╓ORM）數(shù)據(jù)存儲(chǔ)設(shè)備的設(shè)計(jì)最能支持以下哪種核心安全概念？A)lntegrity完整性B)Scalability可擴(kuò)展性C)Availability可用性D)Confidentiality保密性答案:A解析:[單選題]37.以下哪一項(xiàng)原則對(duì)個(gè)人施加了一種寬泛的.等同于人們?cè)谶@種情況下對(duì)一個(gè)有理智的人的期望的謹(jǐn)慎標(biāo)準(zhǔn)？A)Duediligence盡職調(diào)查B)Separationofduties職責(zé)分離C)Duecare適度關(guān)注D)Leastprivilege最小特權(quán)答案:C解析:適度關(guān)注原則規(guī)定，個(gè)人應(yīng)對(duì)某種情況采取與任何有理智的人預(yù)期相同的注意水平。這是一個(gè)非常廣泛的標(biāo)準(zhǔn)。而盡職調(diào)查原則是應(yīng)有注意的一個(gè)更具體的組成部分，它規(guī)定被分配責(zé)任的個(gè)人應(yīng)行使應(yīng)有的注意以準(zhǔn)確及時(shí)地完成它。章節(jié)：模擬考試202201[單選題]38.以下哪種方法為用戶憑據(jù)提供了最受保護(hù)的保護(hù)?A)基于表格的認(rèn)證B)文摘認(rèn)證C)基本身份驗(yàn)證D)自我注冊(cè)答案:B解析:[單選題]39.Ben被要求清理數(shù)據(jù)以刪除其組織不再需要的數(shù)據(jù)。Ben最有可能在數(shù)據(jù)生命周期的哪個(gè)階段操作?Benhasbeenaskedtoscrubdatatoremovedatathatisnolongerneededbyhisorganization.WhatphaseofthedatalifecycleisBenmostlikelyoperatingin?A)數(shù)據(jù)保留DataretentionB)數(shù)據(jù)維護(hù)DatamaintenanceC)數(shù)據(jù)殘留DataremanenceD)數(shù)據(jù)收集Datacollection答案:B解析:在典型數(shù)據(jù)生命周期的數(shù)據(jù)維護(hù)階段,會(huì)發(fā)生數(shù)據(jù)清理等活動(dòng),以刪除不需要、不正確或過(guò)時(shí)的數(shù)據(jù)。數(shù)據(jù)保留不是一個(gè)階段;相反,它是組織基于需求、法律或他們自己需要做出的決定。數(shù)據(jù)殘留也不是一個(gè)階段。數(shù)據(jù)殘留描述了數(shù)據(jù)被移除后數(shù)據(jù)仍然存在的問(wèn)題。最后,在數(shù)據(jù)收集階段,數(shù)據(jù)被采集并可能被清理,但問(wèn)題描述了在不再需要數(shù)據(jù)之后發(fā)生的過(guò)程,而不是在采集過(guò)程中發(fā)生的過(guò)程。[單選題]40.在基于Web的關(guān)鍵系統(tǒng)上發(fā)現(xiàn)了輸入驗(yàn)證和異常處理漏洞。以下哪一項(xiàng)最適合快速實(shí)施控制?A)在應(yīng)用層防火墻中添加新規(guī)則B)阻止訪問(wèn)服務(wù)C)安裝入侵檢測(cè)系統(tǒng)(IDS)D)修補(bǔ)應(yīng)用程序源代碼答案:A解析:[單選題]41.Valerie在她的網(wǎng)絡(luò)上的交換機(jī)上啟用端口安全。她最有可能試圖阻止什么類型的攻擊?A)IPspoofingB)MACaggregationC)CAMtablefloodingD)VLANhopping答案:C解析:[單選題]42.Alicia的公司已使用SMS消息來(lái)提供數(shù)字代碼,實(shí)現(xiàn)多因素身份驗(yàn)證。Alicia會(huì)想表達(dá)關(guān)于此設(shè)計(jì)的主要安全問(wèn)題是什么?Alicia'scompanyhasimplementedmultifactorauthenticationusingSMSmessagestoprovideanumericcode.WhatistheprimarysecurityconcernthatAliciamaywanttoexpressaboutthisdesign?A)SMS消息未加密SMSmessagesarenotencrypted.B)SMS消息可能會(huì)被發(fā)件人欺騙SMSmessagescanbespoofedbysenders.C)SMS消息可能會(huì)被多部手機(jī)接收SMSmessagesmaybereceivedbymorethanonephone.D)SMS消息可能存儲(chǔ)在接收手機(jī)上SMSmessagesmaybestoredonthereceivingphone.答案:A解析:SMS消息未加密,這意味著它們會(huì)被嗅探和捕獲。雖然使用兩個(gè)因素比單一因素更安全,但SMS是實(shí)現(xiàn)雙因素身份驗(yàn)證的不太安全的方法之一。SMS消息可能會(huì)被欺騙,可能會(huì)被多部手機(jī)接收,并且通常存儲(chǔ)在接收者手機(jī)上。然而,這些的主要威脅是未加密的消息本身。SMSmessagesarenotencrypted,meaningthattheycouldbesniffedandcaptured.Whileusingtwofactorsismoresecurethanasinglefactor,SMSisoneofthelesssecurewaystoimplementtwo-factorauthenticationbecauseofthis.SMSmessagescanbespoofed,canbereceivedbymorethanonephone,andaretypicallystoredontherecipient'sphone.Theprimarythreathere,however,istheunencryptedmessageitself.[單選題]43.在下面哪項(xiàng)模型中，主體和對(duì)象是指定的，且指定應(yīng)用于每個(gè)主體/對(duì)象組合的權(quán)限？這樣的模型可以用于快速匯總主體對(duì)不同系統(tǒng)對(duì)象的權(quán)限。A)Bell-LaPadula模型B)Biba模型C)授權(quán)模型D)訪問(wèn)控制矩陣模型答案:D解析:<p>Anaccesscontrolmatrixisatableofsubjectsandobjectsindicatingwhatactionsindividualsubjectscantakeuponindividualobjects.Matricesaredatastructuresthatprogrammersimplementastablelookupsthatwillbeusedandenforcedbytheoperatingsystem.</p>[單選題]44.隱蔽通道竊聽(tīng)指？A)使用一個(gè)隱藏的，未經(jīng)授權(quán)的網(wǎng)絡(luò)連接來(lái)進(jìn)行未經(jīng)授權(quán)的信息交流B)使用雙因素密碼C)非商業(yè)的或個(gè)人的互聯(lián)網(wǎng)使用D)從ISP互聯(lián)網(wǎng)服務(wù)提供商處獲取社會(huì)工程密碼答案:A解析:<p>Thecorrectansweris"Usingahidden,unauthorizednetworkconnectiontocommunicate<br/>Unauthorizedinformation".ACovertChannelisaconnectionintentionallycreatedto<br/>Transmitunauthorizedinformationfrominsideatrustednetworktoapartneratanoutside,<br/>Untrustednode.Answer''SociallyengineeringpasswordsfromanISP"iscalled<br/>Masquerading.</p>[單選題]45.認(rèn)證和認(rèn)證流程的配置管理和控制任務(wù)是否納入系統(tǒng)開(kāi)發(fā)生命周期(SDLC)的哪個(gè)階段?A)系統(tǒng)采集和發(fā)展B)系統(tǒng)操作和維護(hù)C)系統(tǒng)啟動(dòng)D)系統(tǒng)實(shí)現(xiàn)答案:A解析:[單選題]46.為了確保最小特權(quán)，要求被標(biāo)識(shí)出來(lái)A)用戶特權(quán)擁有什么B)用戶工作是什么C)用戶成本是什么D)用戶組是什么答案:B解析:[單選題]47.理想的濕度范圍在40%至60%。高于60%的濕度將導(dǎo)致計(jì)算機(jī)部件發(fā)生以下哪項(xiàng)故障？A)靜電B)元素電鍍C)能量電鍍D)腐蝕答案:D解析:[單選題]48.定期檢查用戶賬戶管理不能確定：A)符合最小特權(quán)的概念B)活動(dòng)賬戶是否被使用C)用戶選擇密碼的強(qiáng)度D)管理授權(quán)是否是最新的答案:C解析:密碼策略是拿來(lái)干？[單選題]49.BCP業(yè)務(wù)連續(xù)性計(jì)劃基于？A)關(guān)于災(zāi)難恢復(fù)要求事項(xiàng)的檢測(cè)表B)同行業(yè)的BCP業(yè)務(wù)連續(xù)性計(jì)劃實(shí)踐C)方針和規(guī)程手冊(cè)D)對(duì)業(yè)務(wù)流程和規(guī)范的評(píng)審答案:D解析:略章節(jié)：模擬考試202201[單選題]50.Jim希望允許合作組織的ActiveDirectory森林(B)訪問(wèn)他的域森林(A)的資源,但不希望允許其域中的用戶訪問(wèn)B的資源。他也不希望信任在形成時(shí)通過(guò)域樹(shù)向上流動(dòng)。他應(yīng)該怎么做?A)建立一個(gè)雙向傳遞信任B)建立單向傳遞信任C)建立單向不可轉(zhuǎn)移信任D)建立雙向不可轉(zhuǎn)移信任答案:C解析:允許一個(gè)森林域訪問(wèn)另一個(gè)森林域的資源而不希望反過(guò)來(lái)的訪問(wèn),是單向信任的例子。因?yàn)镴im不希望信任路徑隨著域樹(shù)形成而流動(dòng),所以這種信任必須是不可轉(zhuǎn)移的。Atrustthatallowsoneforesttoaccessanother'sresourceswithoutthereversebeingpossibleisanexampleofaone-waytrust.SinceJimdoesn'twantthetrustpathtoflowasthedomaintreeisformed,thistrusthastobenontransitive.[單選題]51.組織將組項(xiàng)目數(shù)據(jù)文件存儲(chǔ)在中央SAN上。許多項(xiàng)目有許多共同的文件,但被組織到單獨(dú)的項(xiàng)目容器中。事件響應(yīng)團(tuán)隊(duì)的一名成員正在嘗試在惡意軟件感染后從SAN恢復(fù)文件。但是,許多文件無(wú)法恢復(fù)。這個(gè)問(wèn)題最可能的原因是什么?A)使用光纖通道B)執(zhí)行實(shí)時(shí)備份C)使用文件加密D)重復(fù)數(shù)據(jù)刪除答案:D解析:[單選題]52.下列哪一項(xiàng)不是CSMA載波偵聽(tīng)多路訪問(wèn)的屬性？A)工作站連續(xù)監(jiān)測(cè)線B)工作站不允許傳輸，直到它們被從主要主機(jī)獲得許可C)它不具有避免工作站控制對(duì)話這一問(wèn)題的特性D)工作站傳送數(shù)據(jù)包時(shí)，它認(rèn)為線是免費(fèi)的答案:B解析:<p>Thecorrectansweris"Workstationsarenotpermittedtotransmituntiltheyaregivenpermissionfromtheprimaryhost".Thepollingtransmissiontypeusesprimaryandsecondaryhosts,andthesecondarymustwaitforpermissionfromtheprimarybeforetransmitting.</p>[單選題]53.公司安全策略的主要目標(biāo)是什么？A)傳達(dá)管理層關(guān)于信息安全的意圖B)對(duì)于執(zhí)行明確的行為提供了詳細(xì)的步驟C)對(duì)所有開(kāi)發(fā)行為提供一個(gè)普遍的框架D)對(duì)組織所有用戶傳遞信息安全相關(guān)責(zé)任答案:A解析:<p>ACorporateSecurityPolicyisahighleveldocumentthatindicateswhataremanagement'sintentionsinregardtoInformationSecuritywithintheorganization.Itishighlevelinpurpose,itdoesnotgiveyoudetailsaboutspecificproductsthatwouldbeuse,specificsteps,etc.</p>[單選題]54.Jim正在設(shè)計(jì)其組織的日志管理系統(tǒng),并且知道他需要仔細(xì)計(jì)劃來(lái)處理組織的日志數(shù)據(jù)。以下哪個(gè)不是吉姆應(yīng)該關(guān)注的因素?A)日志數(shù)據(jù)量B)缺乏足夠的日志源C)數(shù)據(jù)存儲(chǔ)安全要求D)網(wǎng)絡(luò)帶寬答案:B解析:[單選題]55.Ben希望自動(dòng)提供關(guān)于其組織的風(fēng)險(xiǎn)暴露的預(yù)測(cè)信息,作持續(xù)的組織風(fēng)險(xiǎn)管理計(jì)劃的一部分。他應(yīng)該怎么做?A)KRIB)定量風(fēng)險(xiǎn)評(píng)估C)KPID)滲透測(cè)試答案:A解析:主要風(fēng)險(xiǎn)指標(biāo)(KRI)可以被組織用于建立持續(xù)風(fēng)險(xiǎn)管理計(jì)劃。使用自動(dòng)化數(shù)據(jù)收集工具,使得處理和匯總數(shù)據(jù)變得十分便捷,還可以提供關(guān)于組織風(fēng)險(xiǎn)如何變化的預(yù)測(cè)信息。KPI是關(guān)鍵性能指標(biāo),用于評(píng)估組織的績(jī)效。定量風(fēng)險(xiǎn)評(píng)估和詳細(xì)的評(píng)估體系配套使用,而滲透測(cè)試將提供組織的安全控制工作的詳細(xì)程度。Keyriskindicators(KRIs)areoftenusedtomonitorriskfororganizationsthatestablishanongoingriskmanagementprogram.Usingautomateddatagatheringandtoolsthatallowdatatobedigestedandsummarizedcanprovidepredictiveinformationabouthaworganizationalrisksarechanging.[單選題]56.銀行岀納員的訪問(wèn)控制策略是實(shí)施下列哪一選項(xiàng)的例子？A)基于規(guī)則的策略B)基于身份的策略C)基于用戶的策略D)基于角色的策略答案:D解析:[單選題]57.貴公司啟動(dòng)了一個(gè)開(kāi)發(fā)客戶關(guān)系管理系統(tǒng)(CRM)的項(xiàng)目。作為一名安全專家,您被邀請(qǐng)加入該項(xiàng)目。以下哪一項(xiàng)您會(huì)優(yōu)先建議項(xiàng)目經(jīng)理將其納入項(xiàng)目日程安排中?Yourcompanyinitiatesaprojecttodevelopacustomerrelationshipmanagement(CRM)system.Asasecurityprofessional,youareinvitedtojointheproject.Whichofthefollowingwillyousuggestfirstsothattheprojectmanagercanincorporateitintotheprojectschedule?A)識(shí)別利害關(guān)系人及安全角色I(xiàn)dentifystakeholdersandsecurityrolesB)評(píng)鑒該系統(tǒng)對(duì)業(yè)務(wù)的沖擊(businessimpact)AssessthebusinessimpactofthesystemC)找出這個(gè)系統(tǒng)所處理的資訊型態(tài)(informationtypes)IdentifyinformationtypesprocessedbythesystemD)對(duì)系統(tǒng)設(shè)計(jì)進(jìn)行基于風(fēng)險(xiǎn)(risk-based)的審查Conductarisk-basedreviewofthesystem?sdesign答案:A解析:/2021/06/06/cissp-practice-questions-20210606/[單選題]58.AnInternetsoftwareapplicationrequiresauthenticationbeforeauserispermittedtoutilizetheresource.WhichtestingscenarioBESTvalidatesthefunctionalityoftheapplication?在允許用戶使用資源之前，Internet軟件應(yīng)用程序需要身份驗(yàn)證。哪個(gè)測(cè)試場(chǎng)景最能驗(yàn)證應(yīng)用程序的功能？A)Reasonabledatatesting合理的數(shù)據(jù)測(cè)試B)Inputvalidationtesting輸入驗(yàn)證測(cè)試C)WebsessiontestingWeb會(huì)話測(cè)試D)Alloweddataboundsandlimitstesting允許的數(shù)據(jù)界限和限制測(cè)試答案:B解析:[單選題]59.以下哪項(xiàng)是組織為確保安全性成為整個(gè)組織文化的一部分而執(zhí)行的最重要的活動(dòng)?A)與高級(jí)管理層合作,實(shí)現(xiàn)業(yè)務(wù)目標(biāo)。B)確保向所有員工發(fā)布安全策略。C)對(duì)安全事件進(jìn)行正式審查。D)管理安全審計(jì)計(jì)劃答案:C解析:[單選題]60.Forthepurposeofclassification,whichofthefollowingisusedtodividetrustdomainandtrustboundaries?為了分類，以下哪項(xiàng)用于劃分信任域和信任邊界？A)Networkarchitecture網(wǎng)絡(luò)架構(gòu)B)Integrity完整性C)IdentityManagement（IdM）身份管理（IdM）D)Confidentialitymanagement保密管理答案:A解析:[單選題]61.Gina最近參加了CISSP認(rèn)證考試,然后寫了一篇博客文章,其中包含有關(guān)考題的一些內(nèi)容。這種情況下,她直接違反(ISC)2道德守則的哪個(gè)方面?A)推進(jìn)和保護(hù)專業(yè)B)正直、誠(chéng)實(shí)、公正、負(fù)責(zé)任和合法地行事C)保護(hù)社會(huì)公共利益和維持必要的公眾信任D)為負(fù)責(zé)人提供高效優(yōu)質(zhì)的服務(wù)答案:A解析:Gina的行為破壞了審查過(guò)程的完整性,會(huì)對(duì)CISSP認(rèn)證和信息安全社區(qū)造成傷害。Gina的行為不僅是不誠(chéng)實(shí)的,而且這種違反道德規(guī)范的行為會(huì)對(duì)行業(yè)造成極大的傷害。Gina'sactionsharmtheCISSPcertificationandinformationsecuritycommunitybyunderminingtheintegrityoftheexaminationprocess.WhileGinaalsoisactingdishonestly,theharmtotheprofessionismoreofadirectviolationofthecodeofethics.[單選題]62.什么類型的惡意軟件專門用于利用竊取的計(jì)算能力為攻擊者謀取經(jīng)濟(jì)利益?Whattypeofmalicioussoftwareisspecificallyusedtoleveragestolencomputingpowerfortheattacker?sfinancialgain?A)RATB)PUPC)CryptomalwareD)Worm答案:C解析:盡管任何惡意軟件都可能被用來(lái)獲取經(jīng)濟(jì)利益,但取決于其有效負(fù)載,加密惡意軟件是專門為此目的而設(shè)計(jì)的。它竊取計(jì)算能力并用它來(lái)挖掘加密貨幣。遠(yuǎn)程訪問(wèn)木馬(RAT)旨在授予攻擊者對(duì)系統(tǒng)的遠(yuǎn)程管理訪問(wèn)權(quán)限。潛在有害程序(PUP)是任何類型的軟件,最初由用戶批準(zhǔn),但隨后執(zhí)行了不受歡迎的操作。蠕蟲(chóng)是惡意代碼對(duì)象,它們靠自己的力量在系統(tǒng)之間移動(dòng)。[單選題]63.最近對(duì)貴組織設(shè)施的安全審計(jì)揭示了一些需要解決的問(wèn)題。其中一些與您的主要數(shù)據(jù)中心有關(guān)。但是你認(rèn)為至少有一個(gè)發(fā)現(xiàn)是假陽(yáng)性。為了維護(hù)最高效和最安全的服務(wù)器機(jī)房,以下哪項(xiàng)不需要為真?A)它必須針對(duì)工人進(jìn)行優(yōu)化。B)它必須包括使用非水滅火劑。C)濕度必須保持在20%到80%之間。D)溫度必須保持在59到89.6華氏度之間。答案:A解析:[單選題]64.請(qǐng)參閱以下信息以回答問(wèn)題。新員工可獲得一臺(tái)具有完全管理員訪問(wèn)的筆記本電腦。該員工家里沒(méi)有個(gè)人電腦,有孩子使用計(jì)算機(jī)收發(fā)電子郵件、搜索網(wǎng)頁(yè)和即時(shí)messaging。該組織的信息技術(shù)(IT)部門發(fā)現(xiàn),使用員工的訪問(wèn)權(quán)限,計(jì)算機(jī)上已安裝了點(diǎn)對(duì)點(diǎn)程序。以下哪一項(xiàng)最有可能阻止在計(jì)算機(jī)上安裝點(diǎn)對(duì)點(diǎn)(P2P)程序?A)刪除電子mployee對(duì)計(jì)算r的完全訪問(wèn)權(quán)限B)監(jiān)督孩子使用計(jì)算機(jī)C)限制計(jì)算機(jī)僅訪問(wèn)員工D)確保員工了解其業(yè)務(wù)行為準(zhǔn)則答案:A解析:[單選題]65.WhatIstheFIRSTstepforadigitalinvestigatortoperformwhenusingbestpracticestocollectdigitalevidencefromapotentialcrimescene?當(dāng)使用最佳實(shí)踐從潛在犯罪現(xiàn)場(chǎng)收集數(shù)字證據(jù)時(shí)，數(shù)字調(diào)查員要執(zhí)行的第一步是什么？A)Consulttheleadinvestigatetoteamthedetailsofthecaseandrequiredevidence.咨詢首席調(diào)查團(tuán)隊(duì)，了解案件詳情和所需證據(jù)。B)Assurethatgroundingprocedureshavebeenfollowedtoreducethelossofdigitaldataduetostaticelectricitydischarge.確保遵守接地程序，以減少靜電放電導(dǎo)致的數(shù)字?jǐn)?shù)據(jù)丟失。C)UpdatetheBasicInputOutputSystem（BIOS）andOperatingSystem（OS）ofanytoolsusedtoassureevidenceadmissibility.更新用于確保證據(jù)可采性的任何工具的基本輸入輸出系統(tǒng)（BIOS）和操作系統(tǒng)（OS）。D)Confirmthattheappropriatewarrantswereissuedtothesubjectoftheinvestigationtoeliminateillegalsearchclaims.確認(rèn)向調(diào)查對(duì)象發(fā)出了適當(dāng)?shù)乃巡榱?，以消除非法搜查指控。答?D解析:[單選題]66.確保生產(chǎn)計(jì)劃及其數(shù)據(jù)安全的最有效方法是什么?A)禁用默認(rèn)帳戶并實(shí)施訪問(wèn)控制列表(ACL)B)硬化應(yīng)用程序并加密數(shù)據(jù)C)禁用未使用的服務(wù)并實(shí)施隧道D)硬化服務(wù)器并備份數(shù)據(jù)答案:B解析:[單選題]67.ThegoalofaBusinessContinuityPlan（BCP）trainingandawarenessprogramisto業(yè)務(wù)連續(xù)性計(jì)劃（BCP）培訓(xùn)和意識(shí)計(jì)劃的目標(biāo)是A)enhancetheskillsrequiredtocreate,maintain,andexecutetheplan.提高創(chuàng)建、維護(hù)和執(zhí)行計(jì)劃所需的技能。B)provideforahighlevelofrecoveryincaseofdisaster.在發(fā)生災(zāi)難時(shí)提供高級(jí)別的恢復(fù)。C)describetherecoveryorganizationtonewemployees.向新員工描述恢復(fù)組織。D)provideeachrecoveryteamwithchecklistsandprocedures.向每個(gè)恢復(fù)團(tuán)隊(duì)提供檢查表和程序。答案:A解析:[單選題]68.對(duì)于單向哈希哪項(xiàng)功能描述是不正確的？A)它提供了消息的認(rèn)證B)哈希應(yīng)不能通過(guò)產(chǎn)生的哈希至逆向得到消息C)單向哈希的結(jié)果是消息摘要D)它提供了消息的完整性答案:A解析:<p>Aonewayhashingfunctioncanonlybeusedfortheintegrityofamessageandnotforauthenticationorconfidentiality.Becausethehashcreatesjustafingerprintofthemessagewhichcannotbereversedanditisalsoverydifficulttocreateasecondmessagewiththesamehash.</p>[單選題]69.WhatisthePRIMARYobjectiveofthepost-incidentphaseoftheincidentresponseprocessinthesecurityoperationscenter（SOC）?安全運(yùn)營(yíng)中心（SOC）事件響應(yīng)過(guò)程的事件后階段的主要目標(biāo)是什么？A)improvetheIRprocess.改進(jìn)IR流程。B)CommunicatetheIRdetailstothestakeholders.向利益相關(guān)者傳達(dá)IR詳細(xì)信息。C)ValidatetheintegrityoftheIR.驗(yàn)證IR的完整性。D)FinalizetheIR.完成IR。答案:A解析:[單選題]70.下列哪一選項(xiàng)指的是介質(zhì)被清除后仍留在介質(zhì)中的數(shù)據(jù)？A)剩磁B)恢復(fù)C)粘著位D)半隱性答案:A解析:[單選題]71.最低時(shí),應(yīng)安排對(duì)個(gè)人或團(tuán)體賬戶的權(quán)限進(jìn)行審核A)每年B)與員工晉升相符C)以配合終止D)不斷答案:A解析:[單選題]72.Fromanassetsecurityperspective,whatistheBESTcountermeasuretopreventdatatheftduetodataremanencewhenasensitivedatastoragemediaisnolongerneeded?從資產(chǎn)安全的角度來(lái)看，當(dāng)不再需要敏感數(shù)據(jù)存儲(chǔ)介質(zhì)時(shí)，防止因數(shù)據(jù)剩磁而導(dǎo)致數(shù)據(jù)被盜的最佳對(duì)策是什么？A)Returnthemediatothesystemowner.將介質(zhì)返還給系統(tǒng)所有者。B)Deletethesensitivedatafromthemedia.從媒體中刪除敏感數(shù)據(jù)。C)Physicallydestroytheretiredmedia.物理銷毀失效的媒體。D)Encryptdatabeforeitisstoredonthemedia.在將數(shù)據(jù)存儲(chǔ)到介質(zhì)之前對(duì)其進(jìn)行加密。答案:C解析:[單選題]73.什么是可承受的持續(xù)時(shí)間（MTD）A)需要完成應(yīng)用程序數(shù)據(jù)的最長(zhǎng)運(yùn)行時(shí)間B)需要完成應(yīng)用程序的運(yùn)行時(shí)間C)需要從實(shí)時(shí)中斷中移動(dòng)至主站點(diǎn)的持續(xù)運(yùn)行時(shí)間D)可以并仍然的最長(zhǎng)業(yè)務(wù)時(shí)間答案:D解析:<p>MTD是業(yè)務(wù)功能或流程在其恢復(fù)能力受到質(zhì)疑之前可以保持中斷的時(shí)間段。<br/></p>[單選題]74.Elaine在她的組織使用的產(chǎn)品中發(fā)現(xiàn)了一個(gè)以前未知的嚴(yán)重漏洞。她的組織對(duì)道德披露有著堅(jiān)定的承諾,Elaine希望遵循常見(jiàn)的道德披露實(shí)踐。她首先應(yīng)該做什么?A)建立內(nèi)部補(bǔ)救或控制,然后公開(kāi)披露漏洞以提示供應(yīng)商快速修補(bǔ)它。B)建立內(nèi)部補(bǔ)救或控制,然后將問(wèn)題通知供應(yīng)商。C)通知供應(yīng)商并給他們合理的時(shí)間來(lái)解決問(wèn)題。D)公開(kāi)披露漏洞,以便供應(yīng)商在適當(dāng)?shù)臅r(shí)間內(nèi)對(duì)其進(jìn)行修補(bǔ)。答案:C解析:[單選題]75.Chris希望為他正在設(shè)計(jì)的設(shè)備使用低功耗、個(gè)人局域網(wǎng)的無(wú)線協(xié)議。以下哪種無(wú)線協(xié)議最適合創(chuàng)建小型、低功耗設(shè)備,這些設(shè)備可以跨建筑物或房間以相對(duì)較短的距離相互連接?藍(lán)牙為低功耗協(xié)議Chriswantstousealow-power,personalareanetworkwirelessprotocolforadeviceheisdesigning.Whichofthefollowingwirelessprotocolsisbestsuitedtocreatingsmall,low-powerdevicesthatcanconnecttoeachotheratrelativelyshortdistancesacrossbuildingsorrooms?A)WiFiB)ZigbeeC)NFCD)紅外線答案:B解析:Zigbee專為這種類型的低功耗物聯(lián)網(wǎng)網(wǎng)絡(luò)而設(shè)計(jì),將是Chris的最佳選擇。某些版本的藍(lán)牙也設(shè)計(jì)為在低功耗模式下運(yùn)行,但藍(lán)牙不在此答案:列表中。WiFi需要更多功耗;NFC距離很短,無(wú)法跨越建筑物或房間工作;紅外線需要視線,并且很少使用。Zigbeeisdesignedforthistypeoflow-power,InternetofThingsnetwork,andwouldbethebestoptionforChris.SomeversionsofBluetootharedesignedtooperateinlow-powermodeaswell,butBluetoothisn'tinthislistofanswers.WiFirequiresmorepower,NFCisveryshortrangeandwouldnotworkacrossabuildingorroom,andinfraredrequireslineofsightandisrarelyusedforthatreason.[單選題]76.Whatprinciplerequiresthatchangestotheplaintextaffectmanypartsoftheciphertext?什么原則要求對(duì)明文的更改影響密文的許多部分？A)Diffusion擴(kuò)散B)Encapsulation封裝C)Obfuscation模糊處理D)Permutation排列答案:A解析:[單選題]77.TheBESTwaytocheckforgoodsecurityprogrammingpractices,aswellasauditingforpossiblebackdoors,istoconduct檢查良好的安全編程實(shí)踐以及審核可能的后門的最佳方法是A)logauditing.日志審核。B)codereviews.代碼審查。C)impactassessments.影響評(píng)估。D)staticanalysis.靜態(tài)分析。答案:B解析:[單選題]78.Hannah的組織正在實(shí)施一種依賴SAML的新用戶身份驗(yàn)證方法。她希望防止對(duì)該流量的竊聽(tīng)，并確保SAML流量不會(huì)被攻擊者偽造。她應(yīng)該怎么做才能抵御這兩種類型的攻擊？A)使用SAML的安全模式提供安全認(rèn)證。B)使用強(qiáng)大的密碼套件實(shí)現(xiàn)TLS，這將防止這兩種類型的攻擊。C)使用強(qiáng)大的密碼套件實(shí)現(xiàn)TLS并使用數(shù)字簽名。D)使用強(qiáng)大的密碼套件和消息散列實(shí)現(xiàn)TLS。答案:C解析:TLS提供消息機(jī)密性和完整性，可以防止竊聽(tīng)。當(dāng)與提供完整性和身份驗(yàn)證的數(shù)字簽名配對(duì)時(shí)，偽造的斷言也可以被擊敗。SAML沒(méi)有安全模式，需要時(shí)依靠TLS和數(shù)字簽名來(lái)確保安全。沒(méi)有簽名的消息散列將有助于防止修改消息，但不一定提供身份驗(yàn)證。章節(jié)：模擬考試202201[單選題]79.(04118)Withnon-continuousbackupsystems,datathatwasenteredafterthelastbackuppriortoasystemcrashwillhavetobe:根據(jù)非連續(xù)備份系統(tǒng)，系統(tǒng)崩潰前最后一次備份之后輸入的數(shù)據(jù)必須要A)recreated重建B)recreated重建C)recreated重建D)recreated重建答案:B解析:[單選題]80.Ben打算運(yùn)行一個(gè)開(kāi)放(未加密)的無(wú)線網(wǎng)絡(luò),請(qǐng)問(wèn)他應(yīng)該如何將商業(yè)設(shè)備連接到此無(wú)線網(wǎng)絡(luò)中去?A)在同-SSID上運(yùn)行WPA2B)使用WPA2設(shè)置單獨(dú)的SSIDC)在企業(yè)模式下運(yùn)行開(kāi)放網(wǎng)絡(luò)D)使用WEP設(shè)置單獨(dú)的無(wú)線網(wǎng)絡(luò)答案:B解析:許多現(xiàn)代無(wú)線路由器可提供多個(gè)SSID(服務(wù)集標(biāo)識(shí))。Ben可為他的業(yè)務(wù)操作創(chuàng)建一個(gè)私人的、安全的網(wǎng)絡(luò),但他需要確?？蛻羰褂玫木W(wǎng)絡(luò)和業(yè)務(wù)使用的網(wǎng)絡(luò)由防火墻隔開(kāi),在邏輯上保證彼此分離。在不創(chuàng)建另一個(gè)無(wú)線網(wǎng)絡(luò)的情況下,不可能在單個(gè)SSID上運(yùn)行WPA2,因?yàn)镾SID沒(méi)有強(qiáng)制要求是唯一的,因此會(huì)對(duì)客戶造成混淆。在企業(yè)模式下運(yùn)行的網(wǎng)絡(luò)一般不是開(kāi)放網(wǎng)絡(luò)。WEP(有線等效保密)由于其很容易受到攻擊,因此已經(jīng)過(guò)時(shí)。ManymodernwirelessrouterscanprovidemultipleSSIDs.Bencancreateaprivate,securenetworkforhisbusinessoperations,buthewillneedtomakesurethatthecustomerandbusinessnetworksarefirewalledorotherwiselogicallyseparatedfromeachother[單選題]81.服務(wù)器集群是？A)磁帶陣列備份的實(shí)現(xiàn)B)一群WORM光學(xué)自動(dòng)點(diǎn)唱機(jī)C)反映其數(shù)據(jù)到輔助服務(wù)器的主服務(wù)器D)一組作為單一系統(tǒng)來(lái)管理的獨(dú)立服務(wù)器答案:D解析:<p>Thecorrectansweris"Agroupofindependentserversthataremanagedasasinglesystem".Aserverclusterisagroupofserversthatappearstobeasingleservertotheuser.AnswernAprimaryserverthatmirrorsitsdatatoasecondaryserver"referstoredundantservers.</p>[單選題]82.Avulnerabilityassessmentreporthasbeensubmittedtoaclient.Theclientindicatesthatonethirdofthehoststhatwereinscopearemissingfromthereport.InwhichphaseoftheassessmentwasthiserrorMOSTlikelymade?已向客戶提交漏洞評(píng)估報(bào)告?？蛻舳酥甘緢?bào)告中缺少范圍內(nèi)三分之一的主機(jī)。在評(píng)估的哪個(gè)階段最有可能出現(xiàn)這種錯(cuò)誤？A)Enumeration列舉B)Reporting報(bào)告C)Detection檢測(cè)D)Discovery發(fā)現(xiàn)答案:A解析:[單選題]83.聯(lián)合身份用什么協(xié)議最好A)SAMLB)SSOC)XACMLD)Oauth2.0答案:A解析:略章節(jié)：模擬考試202201[單選題]84.使用SDLC時(shí),你應(yīng)該在其他步驟之前采取哪一個(gè)步驟?A)功能需求確定B)控制規(guī)范開(kāi)發(fā)C)代碼審查D)設(shè)計(jì)審查答案:A解析:包括七個(gè)階段,按照以下的順序進(jìn)行:概念定義、功能需求確定、控制規(guī)范開(kāi)發(fā)、設(shè)計(jì)審查、代碼審查、系統(tǒng)測(cè)試審查以及維護(hù)和變更管理。[單選題]85.Aaron工作的銀行希望允許客戶使用他們正在合作的第三方合作伙伴提供的新附加應(yīng)用程序。由于并不是每個(gè)客戶都想要或需要一個(gè)帳戶,Aaron建議銀行使用基于SAML的工作流程,在用戶下載應(yīng)用程序并嘗試登錄時(shí)創(chuàng)建一個(gè)帳戶。他建議使用哪種類型的供應(yīng)系統(tǒng)?A)JITJITB)OpenIDOpenIDC)OAuthOAuthD)KerberosKerberos答案:A解析:JIT(即時(shí)供應(yīng)機(jī)制)會(huì)在需要時(shí)創(chuàng)建賬戶,而不是提前創(chuàng)建賬戶。這是一種限制所維護(hù)賬戶數(shù)量的有效方法,如果用戶賬號(hào)是許可協(xié)議的一部分,則該方法非常有用。問(wèn)題中未提及OAuth、OpenID和Kerberos。[單選題]86.在法庭上，可以哪家的計(jì)算機(jī)證明是以下幾項(xiàng)？A)有罪的證據(jù)B)編輯過(guò)的C)的加密D)相關(guān)的答案:D解析:[單選題]87.Thescopeandfocusofthebusinesscontinuityplandepe