CISSP考試練習(xí)(習(xí)題卷9)

試卷科目：CISSP考試練習(xí)CISSP考試練習(xí)(習(xí)題卷9)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考試練習(xí)第1部分：單項(xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.以下哪一項(xiàng)最好的定義了這種情況即信息的集合需要設(shè)定為比其他單個(gè)的信息具備更高的安全級(jí)別A)聚合B)聚類C)碰撞D)推理答案:A解析:<p>TheInternetSecurityGlossary(RFC2828)definesaggregationasacircumstanceinwhichacollectionofinformationitemsisrequiredtobeclassifiedatahighersecuritylevelthananyoftheindividualitemsthatcompriseit.</p>[單選題]2.以下哪一項(xiàng)是針對(duì)被動(dòng)網(wǎng)絡(luò)層攻擊的有效對(duì)策?A)聯(lián)邦安全和身份驗(yàn)證訪問控制B)可信的軟件開發(fā)和運(yùn)行時(shí)間完整性控制C)支持加密和安全的應(yīng)用程序D)飛地邊界保護(hù)和計(jì)算環(huán)境防御答案:C解析:[單選題]3.Whatisstaticanalysisintendedtodowhenanalyzinganexecutablefile?分析可執(zhí)行文件時(shí)，靜態(tài)分析的目的是什么？A)Collectevidenceoftheexecutablefile'susage,includingdatesofcreationandlastuse.收集可執(zhí)行文件使用情況的證據(jù)，包括創(chuàng)建日期和上次使用日期。B)Searchthedocumentsandfilesassociatedwiththeexecutablefile.搜索與可執(zhí)行文件關(guān)聯(lián)的文檔和文件。C)Analyzethepositionofthefileinthefilesystemandtheexecutablefile'slibraries.分析文件在文件系統(tǒng)和可執(zhí)行文件庫中的位置。D)Disassemblethefiletogatherinformationabouttheexecutablefile'sfunction.反匯編文件以收集有關(guān)可執(zhí)行文件功能的信息。答案:D解析:[單選題]4.在收集詳細(xì)日志信息時(shí),以下哪一個(gè)問題是主要問題?A)需要時(shí)可能不可用日志B)及時(shí)審查數(shù)據(jù)是潛在的困難C)大多數(shù)系統(tǒng)和應(yīng)用程序不支持日志記錄D)日志沒有提供系統(tǒng)和個(gè)人活動(dòng)的足夠細(xì)節(jié)答案:B解析:[單選題]5.檢查良好安全編程實(shí)踐以及對(duì)可能的后門進(jìn)行審計(jì)的最佳方法是進(jìn)行A)日志審計(jì)。B)代碼審查。C)影響評(píng)估。D)靜態(tài)分析。答案:B解析:[單選題]6.Windows操作系統(tǒng)的計(jì)算機(jī)已幾乎耗盡活動(dòng)進(jìn)程可用的物理內(nèi)存。為了避免耗盡所有可用內(nèi)存,操作系統(tǒng)應(yīng)該開始做什么?A)Swapping交換B)Paging分頁C)Deleteoldprocesses期除日的流程D)Runningthegarbagecollector運(yùn)行垃圾收集島答案:B解析:[單選題]7.ExtensibleAuthenticationProtocol-MessageDigest5（EAP-MD5）onlyprovideswhichofthefollowing?可擴(kuò)展身份驗(yàn)證協(xié)議消息摘要5（EAP-MD5）僅提供以下哪項(xiàng)？A)Mutualauthentication相互認(rèn)證B)Serverauthentication服務(wù)器認(rèn)證C)Userauthentication用戶認(rèn)證D)Streamingciphertextdata密文數(shù)據(jù)流答案:C解析:[單選題]8.Pauline正在審查她所在組織的應(yīng)急管理計(jì)劃。創(chuàng)建這些計(jì)劃時(shí),最優(yōu)先考慮什么?Paulineisreviewingherorganization'semergencymanagementplans.Whatshouldbethehighestprioritywhencreatingtheseplans?A)保護(hù)關(guān)鍵任務(wù)數(shù)據(jù)Protectionofmission-criticaldataB)操作系統(tǒng)的保護(hù)PreservationofoperationalsystemsC)證據(jù)收集CollectionofevidenceD)維護(hù)安全新Preservationofsafety答案:D解析:在制定應(yīng)急管理計(jì)劃時(shí),所有這些考慮因素都很重要。然而,人類生命的安全性應(yīng)該始終是壓倒一切的優(yōu)先事項(xiàng),高于所有其他考慮因素。[單選題]9.以下哪一項(xiàng)是實(shí)施IP語音(VoIP)網(wǎng)絡(luò)的主要考慮因素?A)使用統(tǒng)一消息傳遞。B)語音網(wǎng)絡(luò)使用分離。C)在交換機(jī)上使用網(wǎng)絡(luò)訪問控制(NAC)。D)使用請(qǐng)求評(píng)論(RFC)1918添加恢復(fù)。答案:B解析:[單選題]10.哪種類型的控制承認(rèn)交易金額根據(jù)公司政策過高?A)檢波B)預(yù)防C)調(diào)查D)校正答案:A解析:[單選題]11.用戶宣稱的身份是有效的并通常是在登錄時(shí)通過用戶密碼實(shí)現(xiàn)的驗(yàn)證被稱作什么？A)身份驗(yàn)證B)身份標(biāo)識(shí)C)完整性D)機(jī)密性答案:A解析:[單選題]12.馬克的公司卷入了一起民事案件。他可能需要滿足什么證據(jù)標(biāo)準(zhǔn)？A)Therealevidencestandard真實(shí)證據(jù)標(biāo)準(zhǔn)B)Beyondareasonabledoubt排除合理懷疑C)Preponderanceofevidence優(yōu)勢(shì)證據(jù)D)Thedocumentaryevidencestandard書證標(biāo)準(zhǔn)答案:C解析:略章節(jié)：模擬考試202201[單選題]13.以下哪項(xiàng)授權(quán)標(biāo)準(zhǔn)是為處理聯(lián)合身份管理(FIM)的應(yīng)用程序編程接口(API)訪問而構(gòu)建的?Whichofthefollowingauthorizationstandardsisbuilttohandleapplicationprogramminginterface(API)accessforFederatedidentitymanagement(FIM)?A)增強(qiáng)級(jí)終端訪問控制器訪問控制系統(tǒng)(TACACS+)TerminalAccessControllerAccessControlSystemPlus(TACACS+)B)開放式認(rèn)證(OAuth)OpenAuthentication(OAuth)C)影響員工的留用率Itaffectstheretentionrateofemployees.D)安全斷言標(biāo)記語言(SAML)SecurityAssertionMarkupLanguage(SAML)答案:B解析:[單選題]14.(04102)Togainentryintoabuilding,individualsarerequiredtouseapalmscanThisisanexampleofwhichtypeofcontrol?為了進(jìn)入到一個(gè)建筑物，人們需要使用掌紋掃描。這是那種類型的控制實(shí)例？A)Physicaldetective物理檢測(cè)性B)Physicaldetective物理檢測(cè)性C)Physicaldetective物理檢測(cè)性D)Physicaldetective物理檢測(cè)性答案:D解析:[單選題]15.在安全威脅較低的情況下,使用包過濾防火墻?A)更方便.更靈活.透明B)配置更簡單C)設(shè)備更先進(jìn)D)功能更多答案:A解析:略章節(jié)：模擬考試202201[單選題]16.(04007)WhatprotocolwasUDPbasedandmainlyintendedtoprovidevalidationofdialupuserloginpasswords?下面哪個(gè)協(xié)議是基于UDP的，主要用來提供對(duì)撥號(hào)用戶登錄密碼的驗(yàn)證？A)PPTPB)PPTPC)PPTPD)PPTP答案:B解析:[單選題]17.在進(jìn)行業(yè)務(wù)影響分析時(shí),為什么需要確定業(yè)務(wù)流程的重要性?A)理解組織對(duì)業(yè)務(wù)流程的依賴關(guān)系B)便于對(duì)連續(xù)性策略進(jìn)行測(cè)試和維護(hù)C)定義在發(fā)生災(zāi)難時(shí),由誰來觸發(fā)BCPD)為高級(jí)管理層提供決策工具答案:A解析:略章節(jié)：模擬考試202201[單選題]18.使用6位加密密鑰的加密算法中存在多少個(gè)可能的密鑰?A)12B)16C)32D)64答案:D解析:二進(jìn)制的密鑰空間包含2^n個(gè)密鑰,n是二進(jìn)制的位數(shù)。2的6次方是64,所以一個(gè)6位的密鑰空間包含64個(gè)可能的密鑰。在大多數(shù)加密算法中,密鑰空間中可用的密鑰數(shù)量往往比較少,原因主要有兩方面:(1)存在奇偶校驗(yàn)位;(2)為安全起見,某些數(shù)值往往不能作為密鑰。Binarykeyspacescontainanumberofkeysequalto2raisedtothepowerofthenumberofbits.Twotothesixthpoweris64,soa6-bitkeyspacecontains64possiblekeys.[單選題]19.ImplementingbaselinecontrolsPRIMARLYprovideswhichofthefollowing?實(shí)施基線控制主要提供了下面哪項(xiàng)?A)Theopportunitytostartasecuritycertificationprogram.一個(gè)啟動(dòng)安全認(rèn)證體系的機(jī)會(huì)B)Aninexpensiveandeffectiveinitialprotectionsolution.一個(gè)便宜而且有效的初始保護(hù)解決方案C)Afoundationtomeasurethesecurityprogram.一個(gè)測(cè)量安全休系的基礎(chǔ)D)Commonelementsforcomparingprogresswithothercompanies.與其他公司對(duì)比進(jìn)展?fàn)顩r的通用要素答案:C解析:[單選題]20.recoveryofthehomestadium?通常有幾個(gè)團(tuán)隊(duì)參與執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃。哪個(gè)小組負(fù)責(zé)啟動(dòng)主場(chǎng)所的恢復(fù)?A)Damageassessmentteam.損失評(píng)估團(tuán)B)BCPteam.BCP團(tuán)隊(duì)C)Salvageteam救援團(tuán)隊(duì)D)Restorationteam.恢復(fù)團(tuán)隊(duì)答案:C解析:[單選題]21.(04160)把字典攻擊和暴力破解結(jié)合起來的，針對(duì)口令的攻擊是：A)社會(huì)工程B)社會(huì)工程C)社會(huì)工程D)社會(huì)工程答案:B解析:[單選題]22.進(jìn)入網(wǎng)絡(luò)的后門是指？A)在晚些時(shí)候由黑客創(chuàng)建的用來獲得網(wǎng)絡(luò)訪問的機(jī)制B)監(jiān)測(cè)在虛擬應(yīng)用程序?qū)嵤┑囊晕肭终叩姆桨窩)程序員用來調(diào)試應(yīng)用程序的無正式文件的指令D)主體社交工程密碼答案:A解析:[單選題]23.災(zāi)難恢復(fù)計(jì)劃(DRIP)的恢復(fù)策略必須與以下哪項(xiàng)保持一致?A)一個(gè)。硬件和軟件兼容性問題B)應(yīng)用的關(guān)鍵和停機(jī)時(shí)間容限C)預(yù)算限制和要求D)成本收益分析和業(yè)務(wù)目標(biāo)答案:D解析:[單選題]24.Alargehumanresourcesorganizationwantstointegratetheiridentitymanagementwithatrustedpartnerorganization.Thehumanresourcesorganizationwantstomaintainthecreationandmanagementoftheidentitiesandmaywanttosharewithotherpartnersinthefuture.WhichofthefollowingoptionsBESTservestheirneeds?大型人力資源組織希望將其身份管理與可信任的合作伙伴組織集成。人力資源組織希望保持身份的創(chuàng)建和管理，并可能希望將來與其他合作伙伴共享。以下哪個(gè)選項(xiàng)最能滿足他們的需求？A)Federatedidentity聯(lián)合身份B)CloudActiveDirectory（AD）云活動(dòng)目錄（AD）C)SecurityAssertionMarkupLanguage（SAML）安全斷言標(biāo)記語言（SAML）D)Singlesign-os（SSO）單點(diǎn)登錄操作系統(tǒng)（SSO）答案:A解析:[單選題]25.數(shù)據(jù)保留的最大痛點(diǎn)？A)法律法規(guī)隨著時(shí)間會(huì)更改，數(shù)據(jù)可能白保存了B)公司保存數(shù)據(jù)的成本太高C)用戶不了解數(shù)據(jù)價(jià)值D)提取數(shù)據(jù)的技術(shù)手段到時(shí)候不可用答案:D解析:略章節(jié)：模擬考試202201[單選題]26.ChangestoaTrustedComputingBase（TCB）systemthatcouldimpactthesecuritypostureofthatsystemandtriggerarecertificationactivityaredocumentedinthe對(duì)可信計(jì)算基礎(chǔ)（TCB）系統(tǒng)的更改可能會(huì)影響該系統(tǒng)的安全狀態(tài)并觸發(fā)重新認(rèn)證活動(dòng)，這些更改記錄在A)securityimpactanalysis.安全影響分析。B)structuredcodereview.結(jié)構(gòu)化代碼審查。C)routineselfassessment.常規(guī)自我評(píng)估。D)costbenefitanalysis.成本效益分析。答案:A解析:[單選題]27.組織和一個(gè)CSP（云服務(wù)提供商）有一個(gè)短暫的服務(wù)協(xié)議，服務(wù)到期后數(shù)據(jù)的所有者可能會(huì)發(fā)生變化，組織應(yīng)該如何做？A)根據(jù)合同協(xié)議要求CSP保障數(shù)據(jù)擦除B)根據(jù)行業(yè)標(biāo)準(zhǔn)就該擦除的數(shù)據(jù)擦除C)對(duì)已經(jīng)存在和正在進(jìn)入的數(shù)據(jù)采用內(nèi)部秘鑰加密D)無需處理答案:A解析:略章節(jié)：模擬考試202201[單選題]28.Gordon正在為其組織進(jìn)行風(fēng)險(xiǎn)評(píng)估,并確定每年洪水預(yù)計(jì)對(duì)其設(shè)施造成的損害程度。Gordon確定的什么指標(biāo)?A)ALE(年化損失預(yù)期值)B)ARO(年度發(fā)生率)C)SLE(單一損失預(yù)期)D)EF(暴露因子)答案:A解析:年化損失預(yù)期值(ALE)是組織根據(jù)已知風(fēng)險(xiǎn)而估計(jì)出的每年損失金額。TheannualizedlossexpectancyistheamountofdamagethattheorganizationexpectstooccureachYearastheresultofagivenrisk.[單選題]29.對(duì)于在組織的數(shù)據(jù)和功能方面被確定為關(guān)鍵的系統(tǒng),以下哪項(xiàng)控制最重要?Whichofthefollowingcontrolsisthemostforasystemidentifiedascriticalintermsofdataandfunctiontotheorganization?A)監(jiān)測(cè)控制MonitoringcontrolB)成本控制CostcontrolsC)預(yù)防控制PreventivecontrolsD)補(bǔ)償控制Compensatingcontrols答案:A解析:[單選題]30.(04064)Anorganizationisimplementingasmalldatacenterwith10serversand4StorageAreaNetworks(SAN)tohousetheircorporateaccountingsystemTheywanttobeabletotrackperformanceandanyconfigurationchangesmadetothesystemsinordertoadjustconfigurationstoobtainpeakperformance一個(gè)組織正在實(shí)施一個(gè)有10臺(tái)服務(wù)器和4個(gè)存儲(chǔ)區(qū)域網(wǎng)絡(luò)（SAN）的小型數(shù)據(jù)中心，以安置他們的企業(yè)會(huì)計(jì)系統(tǒng)。他們希望能夠跟蹤性能和任何系統(tǒng)配置變更，來調(diào)整配置獲得最佳的峰值性能。WhatwillimplementingaChangeManagementsystemwithversioncontrolprovide?實(shí)施帶有版本控制的變更管理系統(tǒng)能提供下面哪個(gè)功能？A)Rollbackability回滾能力B)Rollbackability回滾能力C)Rollbackability回滾能力D)Rollbackability回滾能力答案:C解析:[單選題]31.Aclienthasreviewedavulnerabilityassessmentreportandhasstateditisinaccurate.Theclientstatesthatthevulnerabilitieslistedarenotvalidbecausethehost'sOperatingsystem（OS）wasnotproperlydetected.WhereinthevulnerabilityassessmentprocessdidtheerrorMOSTlikelyoccur?一位客戶審查了一份脆弱性評(píng)估報(bào)告，并表示該報(bào)告不準(zhǔn)確?？蛻舳吮硎?，列出的漏洞無效，因?yàn)槲凑_檢測(cè)到主機(jī)的操作系統(tǒng)（OS）。在脆弱性評(píng)估過程中，錯(cuò)誤最有可能發(fā)生在哪里？A)Enumeration列舉B)Detection檢測(cè)C)Reporting報(bào)告D)Discovery發(fā)現(xiàn)答案:A解析:[單選題]32.董事會(huì)和首席信息安全官(CISO)已要求安全專業(yè)人員執(zhí)行內(nèi)部和外部滲透測(cè)試。什么是最佳行動(dòng)方案?AsecurityprofessionalhasbeenrequestedbytheBoardofDirectorsandChiefInformationSecurityOfficer(CISO)toperformaninternalandexternalpenetrationtest.WhatistheBESTcourseofaction?A)審查數(shù)據(jù)本地化要求和法規(guī)ReviewdatalocalizationrequirementsandregulationsB)審查公司安全政策和程序ReviewcorporatesecuritypoliciesandproceduresC)通知組織,先進(jìn)行內(nèi)部滲透測(cè)試,然后進(jìn)行外部測(cè)試Withnoticetotheorganization,performaninternalpenetrationtestfirst,thenanexternaltestD)通知組織,先進(jìn)行外部滲透測(cè)試,然后進(jìn)行內(nèi)部測(cè)試Withnoticetotheorganization,performanexternalpenetrationtestfirst,thenaninternaltest答案:D解析:[單選題]33.信息分類的主要好處A)繪出計(jì)算生態(tài)系統(tǒng)B)識(shí)別威脅和漏洞C)確定軟件D)確定需要保護(hù)的適當(dāng)水平答案:D解析:<p>信息分類是指區(qū)分不同類型的信息資產(chǎn)的做法，并就分類信息需要如何保護(hù)提供一些指導(dǎo)。漏洞掃描可用于繪制計(jì)算生態(tài)系統(tǒng)。<br/>威脅建模用于識(shí)別威脅和漏洞。配置管理<br/>可用于確定軟件基線。</p>[單選題]34.安全專業(yè)人員剛剛完成其組織的業(yè)務(wù)影響分析(BIA)。遵循業(yè)務(wù)連續(xù)性計(jì)劃/災(zāi)難恢復(fù)計(jì)劃(BCP/DRP)最佳實(shí)踐,專業(yè)人員的下一步行動(dòng)是什么?A)識(shí)別并選擇恢復(fù)組。B)將調(diào)查結(jié)果提交給管理層供資。C)為組織的恢復(fù)團(tuán)隊(duì)選擇成員。D)制定計(jì)劃,以測(cè)試組織恢復(fù)運(yùn)營的能力。答案:A解析:[單選題]35.(04060)Asecurityprofessionalhasbeenaskedtoplanandimplementaserverlogmanagementsolutionforalargenetworkwithmorethan1,000servers一個(gè)安全專業(yè)人士被要求來規(guī)劃和實(shí)施一個(gè)超過1,000臺(tái)服務(wù)器的大型網(wǎng)絡(luò)中的服務(wù)器日志管理解決方案。Howcanthelogmanagementsystemresultinconsiderablecostsavingsifdesignedandimplementedproperly?如果日志管理系統(tǒng)設(shè)計(jì)和實(shí)施得當(dāng)?shù)脑?，如何產(chǎn)生可觀的成本節(jié)約？A)Bypreventingnetworkintrusions通過阻止網(wǎng)絡(luò)入侵B)Bypreventingnetworkintrusions通過阻止網(wǎng)絡(luò)入侵C)Bypreventingnetworkintrusions通過阻止網(wǎng)絡(luò)入侵D)Bypreventingnetworkintrusions通過阻止網(wǎng)絡(luò)入侵答案:A解析:[單選題]36.Isaac希望確保他的VoIP會(huì)話初始化是安全的。他應(yīng)該確保啟用和需要什么協(xié)議?IsaacwantstoensurethathisVoIPsessioninitializationissecure.Whatprotocolshouldheensureisenabledandrequired?A)SVOIPB)PBSXC)SIPSD)SRTP答案:C解析:[單選題]37.Whenasystemchangessignificantly,whoisPRIMARILYresponsibleforassessingthesecurityimpact?當(dāng)系統(tǒng)發(fā)生重大變化時(shí)，誰主要負(fù)責(zé)評(píng)估安全影響？A)ChiefInformationSecurityOfficer（CISO）首席信息安全官（CISO）B)InformationSystemOwner信息系統(tǒng)所有者C)InformationSystemSecurityOfficer（ISSO）信息系統(tǒng)安全官員（ISSO）D)AuthorizingOfficial授權(quán)官員答案:B解析:[單選題]38.WhichofthefollowingBESTdescribesachosenplaintextattack?以下哪項(xiàng)最能描述選定的明文攻擊？A)Thecryptanalystcangenerateciphertextfromarbitrarytext.密碼分析員可以從任意文本生成密文。B)Thecryptanalystexaminesthecommunicationbeingsentbackandforth.密碼分析員檢查來回發(fā)送的通信。C)Thecryptanalystcanchoosethekeyandalgorithmtomounttheattack.密碼分析師可以選擇密鑰和算法來發(fā)起攻擊。D)Thecryptanalystispresentedwiththeciphertextfromwhichtheoriginalmessageisdetermined.密碼分析員會(huì)收到用來確定原始消息的密文。答案:A解析:[單選題]39.Althoughcodeusingaspecificprogramlanguagemaynotbesusceptibletoabufferoverflowattack,雖然使用特定程序語言的代碼可能不會(huì)受到緩沖區(qū)溢出攻擊，A)mostcallstoplug-inprogramsaresusceptible.大多數(shù)對(duì)插件程序的調(diào)用都是易受影響的。B)mostsupportingapplicationcodeissusceptible.大多數(shù)支持的應(yīng)用程序代碼都是易受影響的。C)thegraphicalimagesusedbytheapplicationcouldbesusceptible.應(yīng)用程序使用的圖形圖像可能會(huì)受到影響。D)thesupportingvirtualmachinecouldbesusceptible.支持的虛擬機(jī)可能易受影響。答案:C解析:[單選題]40.Susan的團(tuán)隊(duì)通過手動(dòng)審查缺陷代碼來執(zhí)行代碼分析。他們執(zhí)行什么類型的分析?A)灰盒B)靜態(tài)C)動(dòng)態(tài)D)模糊答案:B解析:Susan的團(tuán)隊(duì)正在進(jìn)行靜態(tài)分析,分析代碼而不運(yùn)行它。動(dòng)態(tài)分析會(huì)運(yùn)行代碼,而灰盒評(píng)估是在完全不了解程序的情況下對(duì)此程序進(jìn)行的評(píng)估。Fuzzing作為動(dòng)態(tài)分析的一部分將意外輸入提供給程序。Susan'steamisperformingstaticanalysis,whichanalyzesnonrunningcode.Dynamicanalysisusesrunningcode,whereasgrayboxassessmentsareatypeofassessmentdonewithoutfullknowledge.Fuzzingfeedsunexpectedinputstoaprogramaspartofdynamicanalysis.[單選題]41.Ifcompromised,whichofthefollowingwouldleadtotheexploitationofmultiplevirtualmachines?如果受到威脅，以下哪項(xiàng)會(huì)導(dǎo)致多個(gè)虛擬機(jī)被利用？A)Virtualdevicedrivers虛擬設(shè)備驅(qū)動(dòng)程序B)Virtualmachinemonitor虛擬機(jī)管理器C)Virtualmachineinstance虛擬機(jī)實(shí)例D)Virtualmachinefilesystem虛擬機(jī)文件系統(tǒng)答案:B解析:[單選題]42.如果操作系統(tǒng)允許執(zhí)行對(duì)象不用刷新，被多個(gè)用戶同時(shí)使用，最有可能存在的安全問題是什么？A)殘余數(shù)據(jù)的泄露B)未經(jīng)授權(quán)而獲得的特權(quán)執(zhí)行狀態(tài)C)通過秘密渠道的數(shù)據(jù)泄露D)通過死鎖拒絕服務(wù)答案:A解析:<p>Thisisawell-knownissueknewbymanyprogrammers,sincetheoperatingsystemisallowingtheexecutablestobeusedbymanyusersindifferentsessionsatthesametime,andthereisnotrefreshingeverycertaintime,therewillbeadisclosureofresidualdata.Tofixthisweneedtogetsurethatobjectsarerefreshedfrequently,foraddedsecurityitsbetteranOSthatdoesnotallowtheuseofanexecutableobjectbymanyusersatthesametime.</p>[單選題]43.Insystemssecurityengineering,whatdoesthesecurityprincipleofmodularityprovide?在系統(tǒng)安全工程中，模塊化的安全原則提供了什么？A)Documentationoffunctions職能文件B)Isolatedfunctionsanddata隔離的功能和數(shù)據(jù)C)Securedistributionofprogramsanddata程序和數(shù)據(jù)的安全分發(fā)D)Minimalaccesstoperformafunction執(zhí)行功能的最小訪問權(quán)限答案:A解析:[單選題]44.在公司內(nèi)部,桌面客戶端通過動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)接收互聯(lián)網(wǎng)協(xié)議(IP)地址。以下哪一項(xiàng)代表幫助保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問的有效措施?A)實(shí)施路徑管理B)通過802.1倍實(shí)現(xiàn)基于端口的安全C)實(shí)施DHCP,將IP地址分配給服務(wù)器系統(tǒng)D)實(shí)施變更管理答案:B解析:[單選題]45.Alargebankdeployshardwaretokenstoallcustomersthatusetheironlinebankingsystem.Thetokengeneratesanddisplaysasixdigitnumericpasswordevery60.seconds.Thecustomersmustlogintotheirbankaccountsusingthisnumericpassword.Thisisanexampleof大型銀行向使用其網(wǎng)上銀行系統(tǒng)的所有客戶部署硬件代幣。令牌每60生成并顯示一個(gè)六位數(shù)的數(shù)字密碼。秒?？蛻舯仨毷褂么藬?shù)字密碼登錄其銀行帳戶。這是A)asynchronoustoken.異步令牌。B)SingleSign-On（SSO）token.單點(diǎn)登錄（SSO）令牌。C)singlefactorauthenticationtoken.單因素身份驗(yàn)證令牌。D)synchronoustoken.同步令牌。答案:D解析:[單選題]46.以下哪一項(xiàng)是有關(guān)標(biāo)記語言的真實(shí)描述?A)超文本標(biāo)記語言陽阻)來源于通用標(biāo)記語言(G阻),而后者來源于標(biāo)準(zhǔn)通用標(biāo)記語言(SGML)B)超文本標(biāo)記語言HTML)來源于標(biāo)準(zhǔn)通用標(biāo)記語言(SGML),而后者來源于通用標(biāo)記語言(GML)C)標(biāo)準(zhǔn)通用標(biāo)記語言(SGML)來源于超文本標(biāo)記語言HTML),而后者來源于通用標(biāo)記語言(GML)D)標(biāo)準(zhǔn)通用標(biāo)記語言(SGML)來源于通用標(biāo)記語言(GML),而后者來源于超文本標(biāo)記語言(HTML)答案:B解析:[單選題]47.以下哪一項(xiàng)被認(rèn)為是防止電子郵件欺騙的最佳做法?A)垃圾郵件過濾B)加密簽名C)統(tǒng)一資源定位器(URL)過濾D)反向域名服務(wù)(DNS)查找答案:B解析:[單選題]48.什么被稱為錯(cuò)誤接受的無效客體的百分比？A)誤拒絕率(FRR)或1類錯(cuò)誤B)誤接受率(FAR)或2類錯(cuò)誤C)交叉錯(cuò)誤率(CER)D)正確接受率(TAR)或3類錯(cuò)誤答案:B解析:[單選題]49.確保殘留數(shù)據(jù)無法被恢復(fù)的最有效介質(zhì)處置方式是什么?Whatisthemosteffectiveformofmediasanitizationtoensureresidualdatacannotberetrieved?A)清掃ClearingB)破壞DestroyingC)清除PurgingD)處置Disposal答案:B解析:[單選題]50.以下哪項(xiàng)是變更管理文檔最重要的元素?A)一個(gè)。涉及的組件列表B)正在執(zhí)行的更改數(shù)C)業(yè)務(wù)案例論證D)利益相關(guān)者溝通答案:C解析:[單選題]51.采用SAML可以提供以下：A)特權(quán)訪問策略控制B)混合云數(shù)字身份共享C)標(biāo)準(zhǔn)協(xié)議D)安全的信息傳輸答案:A解析:略章節(jié)：模擬考試202201[單選題]52.這種類型的備份管理類似WORM,（一次寫入，多次讀?。霉鈱W(xué)或磁帶?點(diǎn)唱機(jī)?提供了一個(gè)連續(xù)的在線備份，是指以下哪項(xiàng)？A)分層存儲(chǔ)管理（HSM）B)分層資源管理（HRMC)分層訪問管理（HAM）D)分層實(shí)例管理（HIM）答案:A解析:[單選題]53.以下哪一項(xiàng)是業(yè)務(wù)影響評(píng)估流程的第一步？A)確定優(yōu)先級(jí)B)可能性評(píng)估C)風(fēng)險(xiǎn)識(shí)別D)資源優(yōu)先級(jí)排序答案:A解析:確定優(yōu)先級(jí)是業(yè)務(wù)影響評(píng)估流程的第一步[單選題]54.以下哪項(xiàng)防止一個(gè)進(jìn)程訪問其他進(jìn)程的數(shù)據(jù)？A)引用監(jiān)視器B)內(nèi)存分割C)進(jìn)程隔離D)數(shù)據(jù)隱藏答案:C解析:[單選題]55.在各種網(wǎng)站上,一一一常用來作為數(shù)據(jù)的圖形表示形式。它被表示為一些傾制字符,必須由人工輸入,從而證明主體是人,不是一種類似軟件機(jī)器人的自動(dòng)化工具。A)反欺騙的符號(hào)B)CAPTCHAC)垃圾郵件的反欺騙符號(hào)D)CAPCHAT答案:B解析:[單選題]56.什么是ARP投毒？A)交換網(wǎng)絡(luò)的泛洪B)使用DNS死亡之ping的拒絕服務(wù)C)將IP變?yōu)镸AC的解決方案D)在ARP表中插入一個(gè)虛假的IP和MAC地址答案:D解析:略章節(jié)：模擬考試202201[單選題]57.一家總部位于美國(US)并在法國設(shè)有分支機(jī)構(gòu)的國際醫(yī)療組織希望在這兩個(gè)國家/地區(qū)測(cè)試一種藥物。組織可以對(duì)測(cè)試對(duì)象的數(shù)據(jù)做什么?A)將其聚合到美國的一個(gè)數(shù)據(jù)庫中B)在美國處理,但在法國存儲(chǔ)信息C)與第三方共享D)將其匿名并在美國處理答案:C解析:[單選題]58.WhatIstheFIRSTstepinestablishinganinformationsecurityprogram?建立信息安全計(jì)劃的第一步是什么？A)Establishaninformationsecuritypolicy.制定信息安全策略。B)Identifyfactorsaffectinginformationsecurity.確定影響信息安全的因素。C)Establishbaselinesecuritycontrols.建立基線安全控制。D)Identifycriticalsecurityinfrastructure.確定關(guān)鍵的安全基礎(chǔ)架構(gòu)。答案:A解析:[單選題]59.AtwhatstageoftheSoftwareDevelopmentLifeCycle（SDLC）doessoftwarevulnerabilityremediationMOSTlikelycosttheleasttoimplement?在軟件開發(fā)生命周期（SDLC）的哪個(gè)階段，軟件漏洞修復(fù)的實(shí)施成本最可能最低？A)Development發(fā)展B)Testing測(cè)試C)Deployme部署D)Design設(shè)計(jì)答案:D解析:[單選題]60.Richard在其組織的網(wǎng)絡(luò)上遇到網(wǎng)絡(luò)服務(wù)質(zhì)量問題。主要癥狀是數(shù)據(jù)包從源到目的地傳輸?shù)臅r(shí)間總是太長。哪個(gè)術(shù)語描述了理查德面臨的問題?A)抖動(dòng)B)丟包C)干擾D)延遲答案:D解析:延遲是數(shù)據(jù)包從源到目的地的傳輸延遲。抖動(dòng)是不同數(shù)據(jù)包延遲的變化。數(shù)據(jù)包丟失是傳輸過程中需要重新傳輸?shù)臄?shù)據(jù)包的消失。干擾是電噪聲或其他破壞數(shù)據(jù)包內(nèi)容的中斷。[單選題]61.BetweenwhichpairofOpenSystemInterconnection（OSI）ReferenceModellayersareroutersusedasacommunicationsdevice?路由器在哪對(duì)開放系統(tǒng)互連（OSI）參考模型層之間用作通信設(shè)備？A)TransportandSession傳輸層和會(huì)話層B)Data-LinkandTransport數(shù)據(jù)鏈路層和傳輸層C)NetworkandSession網(wǎng)絡(luò)層和會(huì)話層D)PhysicalandData-Link物理層和數(shù)據(jù)鏈路層答案:B解析:[單選題]62.在災(zāi)難恢復(fù)(DR)和業(yè)務(wù)連續(xù)性培訓(xùn)中,哪個(gè)最能描述功能演練?A)緊急事件及其后續(xù)響應(yīng)功能的全面模擬B)由各個(gè)應(yīng)急功能的響應(yīng)團(tuán)隊(duì)進(jìn)行的特定測(cè)試C)人員功能疏散D)備份站點(diǎn)的激活答案:B解析:[單選題]63.Avehicleofaprivatecouriercompanythattransportsbackupdataforoffsitestoragewasrobbedwhileintransportbackupdataforoffsitewasrobbedwhileintransit.Theincidentmanagementteamisnowresponsibletoestimatetherobbery,whichofthefollowingwouldhelptheincidentmanagementteamtoMOSTeffectivelyanalyzethebusinessimpactoftherobbery?一家私人快遞公司的一輛運(yùn)輸異地存儲(chǔ)備份數(shù)據(jù)的車輛在運(yùn)輸途中被搶劫，而異地備份數(shù)據(jù)在運(yùn)輸途中被搶劫。事件管理團(tuán)隊(duì)現(xiàn)在負(fù)責(zé)評(píng)估搶劫案，以下哪項(xiàng)有助于事件管理團(tuán)隊(duì)最有效地分析搶劫案的業(yè)務(wù)影響？A)Logofbackupadministrativeactions備份管理操作日志B)Logofthetransportedmediaanditsclassificationmarking運(yùn)輸介質(zhì)日志及其分類標(biāo)記C)LogofthetransportedmediaandItsdetailedcontents傳輸介質(zhì)日志及其詳細(xì)內(nèi)容D)Logofbackedupdataandtheirrespectivedatacustodians備份數(shù)據(jù)及其各自數(shù)據(jù)保管人的日志答案:B解析:[單選題]64.Whenconductingariskassessment,whichoneofthefollowingisNOTanacceptablesocialengineeringpractice?在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),以下哪一選項(xiàng)不是一個(gè)可接受的社會(huì)工程實(shí)踐?A)Shouldersurfing白窺B)Misrepresentation誤傳C)Subversion顛童D)Dumpsterdiving垃圾按尋答案:A解析:攻擊者可以通過網(wǎng)絡(luò)監(jiān)視、肩窺、竊取密碼文件和社會(huì)工程來破壞保密機(jī)制。這些主題將在后面的章節(jié)中進(jìn)行更深入的討論,肩膀沖浪是指一個(gè)人越過另一個(gè)人的肩膀,看著屏幕上出現(xiàn)的擊鍵或數(shù)據(jù)。社會(huì)工程是通過曾充授權(quán)個(gè)人來編取他人的機(jī)密信息。[單選題]65.加密適用于以下所有OSI/ISO層，除了：A)網(wǎng)絡(luò)層B)物理層C)會(huì)話層D)數(shù)據(jù)鏈路層答案:B解析:<p>ThePhysicalLayerdescribesthephysicalpropertiesofthevariouscommunicationsmedia,<br/>Aswellastheelectricalpropertiesandinterpretationoftheexchangedsignals.Ex:thislayer<br/>DefinesthesizeofEthernetcoaxialcable,thetypeofBNCconnectorused,andthe<br/>Terminationmethod.Youcannotencryptnothingatthislayerbecauseit'sphysical,itisnot<br/>Protocol/softwarebased.Network,Datalinkandtransportlayersupportsencryption</p>[單選題]66.Howshouldanorganizationdeterminethepriorityofitsremediationeffortsafteravulnerabilityassessmenthasbeenconducted?在進(jìn)行脆弱性評(píng)估后，組織應(yīng)如何確定其補(bǔ)救工作的優(yōu)先級(jí)？A)Useanimpact-basedapproach.使用基于影響的方法。B)Usearisk-basedapproach.使用基于風(fēng)險(xiǎn)的方法。C)Useacriticality-basedapproach.使用基于關(guān)鍵性的方法。D)Useathreat-basedapproach.使用基于威脅的方法。答案:B解析:[單選題]67.橢圓曲線加密(ECC)的優(yōu)勢(shì)是什么?A)不需要固定長度密鑰的加密方法B)不依賴于算法保密的軍事強(qiáng)度安全C)使用較短的鍵進(jìn)行相同級(jí)別的安全性的機(jī)會(huì)D)能夠使用更長的密鑰來增強(qiáng)安全性答案:C解析:[單選題]68.Thestrategyofforminglayersofprotectionaroundanassetorfacilityisknownas:周圍形成的資產(chǎn)或設(shè)施保護(hù)層的策略被稱為:A)SecuredPerimeter安全周邊B)Defense-in-Depth防御縱深C)ReinforcedBarrierDeterrent增強(qiáng)威懾璋礙D)ReasonableAssetProtection合理資產(chǎn)保護(hù)答案:B解析:[單選題]69.下列關(guān)于Kerberos的哪一選項(xiàng)是正確的？A)它使用公鑰加密學(xué)B)它在被授予票證后加密數(shù)據(jù)，但是密碼在以明文方式交換C)它取決于對(duì)稱密碼D)它是一個(gè)第二方身份驗(yàn)證系統(tǒng)答案:C解析:[單選題]70.虛擬機(jī)(VM)環(huán)境具有五個(gè)來賓操作系統(tǒng)(OS),并提供強(qiáng)隔離,管理員必須審核哪些內(nèi)容才能審核用戶對(duì)數(shù)據(jù)文科的訪問權(quán)限?A)一個(gè)。主機(jī)虛擬機(jī)監(jiān)視器審核日志B)來賓操作系統(tǒng)訪問控制C)主機(jī)虛擬機(jī)訪問控制D)來賓操作系統(tǒng)審核日志答案:A解析:[單選題]71.以下哪一選項(xiàng)與確定訪問控制的最大有效成本是最相關(guān)的？A)受保護(hù)信息的價(jià)值B)關(guān)于數(shù)據(jù)重要性的管理認(rèn)知C)基礎(chǔ)有關(guān)的預(yù)算規(guī)劃與額外預(yù)算D)替換損失數(shù)據(jù)的成本答案:A解析:[單選題]72.(04068)Whichtypeofnetworktopologypassesalltrafficthroughallactivenodes?哪種類型的網(wǎng)絡(luò)拓?fù)涫墙?jīng)過所有激活的節(jié)點(diǎn)來傳輸所有流量A)Broadband寬帶B)Broadband寬帶C)Broadband寬帶D)Broadband寬帶答案:D解析:[單選題]73.InternetProtocol(IP)sourceaddressspoofingisusedtodefeatA)ReverseAddressResolutionProtocol(RARP).B)address-basedauthentication.C)TransmissionControlProtocol(TCP)hijacking.D)AddressResolutionProtocol(ARP).答案:B解析:[單選題]74.認(rèn)證和認(rèn)可發(fā)生在SDLC的階段？A)啟動(dòng)B)開發(fā)C)實(shí)施D)運(yùn)行答案:C解析:略章節(jié)：模擬考試202201[單選題]75.在重新使用驅(qū)動(dòng)器之前,您可以采取什么措施來防止由于SSD設(shè)備上的磨損均衡而導(dǎo)致意外數(shù)據(jù)泄露?A)重新格式化B)磁盤加密C)消磁D)物理銷毀答案:B解析:[單選題]76.一個(gè)部門經(jīng)理有讀取他的部門員工工資的權(quán)限，但沒有讀取其他部門員工的權(quán)限。下列哪一個(gè)數(shù)據(jù)庫安全機(jī)制實(shí)施了這個(gè)策略？A)內(nèi)容訪問控制B)上下文訪問控制C)最小特權(quán)訪問控制D)所有權(quán)訪問控制答案:A解析:<p>Whenaccesscontrolisbasedonthecontentofanobject,itisconsideredtobecontentdependentaccesscontrol.</p><p>Content-dependentaccesscontrolisbasedonthecontentitself.</p>[單選題]77.組織使用了基于角色的訪問控制(RBAC),以下哪一項(xiàng)能防不恰當(dāng)?shù)奶貦?quán)聚集?A)動(dòng)態(tài)職責(zé)分離B)分級(jí)繼承C)BLP安全模型D)Clark-Wilson安全模型答案:A解析:略章節(jié)：模擬考試202201[單選題]78.AcloudserviceacceptsSecurityAssertionMarkupLanguage（SAML）assertionsfromuserstoonandsecurityHowever,anattackerwasabletospoofaregisteredaccountonthenetworkandquerytheSAMLprovider.WhatistheMOSTcommonattackleverageagainstthisflaw?云服務(wù)接受來自用戶的安全斷言標(biāo)記語言（SAML）斷言，但攻擊者能夠欺騙網(wǎng)絡(luò)上的注冊(cè)帳戶并查詢SAML提供程序。針對(duì)此缺陷最常見的攻擊手段是什么？A)Attackerforgesrequeststoauthenticateasadifferentuser.攻擊者偽造請(qǐng)求以作為其他用戶進(jìn)行身份驗(yàn)證。B)AttackerleveragesSAMLassertiontoregisteranaccountonthesecuritydomain.攻擊者利用SAML斷言在安全域上注冊(cè)帳戶。C)Attackerconductsdenial-of-service（DoS）againstthesecuritydomainbyauthenticatingasthesameuserrepeatedly.攻擊者通過反復(fù)驗(yàn)證同一用戶身份，對(duì)安全域執(zhí)行拒絕服務(wù)（DoS）。D)Attackerexchangesauthenticationandauthorizationdatabetweensecuritydomains.攻擊者在安全域之間交換身份驗(yàn)證和授權(quán)數(shù)據(jù)。答案:A解析:[單選題]79.盡管使用特定編程語言的代碼可能不容易受到緩沖區(qū)溢出攻擊A)一個(gè)。大多數(shù)對(duì)插件程序的調(diào)用都是易受攻擊的。B)大多數(shù)支持的應(yīng)用程序代碼都容易受到影響。C)應(yīng)用程序使用的圖形圖像可能容易受到影響。D)支持虛擬機(jī)可能容易受到影響。答案:C解析:[單選題]80.Owen最近設(shè)計(jì)了一種安全訪問控制結(jié)構(gòu),防止單個(gè)用戶同時(shí)擁有創(chuàng)建新供應(yīng)商所需的角色和執(zhí)行檢查所需的角色。Owen執(zhí)行什么原則?A)兩人控制B)最小特權(quán)C)職責(zé)分離D)工作輪換答案:C解析:這種情況描述了職責(zé)的分離,當(dāng)兩個(gè)角色組合起來容易引發(fā)安全問題時(shí),組織不允許同一個(gè)人擁有兩個(gè)角色。雖然兩人控制是一個(gè)類似的概念,但在這種情況下不適用,因?yàn)樵摲桨覆⒉槐硎救我徊僮鞫夹枰?jīng)過兩個(gè)用戶的同意。Thisscenariodescribesseparationofduties-notallowingthesamepersontoholdtworolesthat,whencombined,aresensitive.Whiletwo-personcontrolisasimilarconcept,itdoesnotapplyinthiscasebecausethescenariodoesnotsaythateitheractionrequirestheconcurrenceoftwousers.[單選題]81.IdentifytheINCORRECTstatementfrombelowmentionedtestingtypes從下面提到的測(cè)試類型錯(cuò)誤的語句是:A)LoadTesting-Testinganapplicationwithlargequantitiesofdatatoevaluateitsperformanceduringpeakhour負(fù)載測(cè)試--測(cè)試應(yīng)用程序使用大量的數(shù)據(jù)來評(píng)估其在高峰時(shí)的性能B)Volumetesting-Studyingtheimpactontheapplicationbytestingwithanincrementalvolumeofrecordstodeterminethemaximumvolumeofrecordsthatapplicationcanprocess批量測(cè)試--學(xué)習(xí)對(duì)被測(cè)試的應(yīng)用程序的影響與增量的記錄來確定該應(yīng)用程序可以處理的最大批量記錄C)StressTesting-Studyingtheimpactontheapplicationbytestingwithanincrementalnumberofconcurrentusers/servicesontheapplicationtodeterminemaximumnumberofconcurrentuser/servicetheapplicationcanprocess壓力測(cè)試--通過一個(gè)并發(fā)用戶數(shù)服務(wù)應(yīng)用程序增量的測(cè)試,來確定應(yīng)用程序可以處理最大并發(fā)用戶數(shù)量/服務(wù),并研究其影響D)RecoveryTesting-Makingsurethemodified/newsystemIncludesprovisionsforappropriateaccesscontrolanddoesnotintroduceanysecurityholesthatmightcompromiseothersystems恢復(fù)測(cè)試--確保修改/新系統(tǒng)包括規(guī)定適當(dāng)?shù)脑L問控制和不引入可能影響其他系統(tǒng)任何安全漏洞答案:B解析:這個(gè)問題中使用的關(guān)鍵詞是?不正確?。您需要找出上面指定的錯(cuò)誤選項(xiàng)。恢復(fù)測(cè)試這個(gè)術(shù)語在上面的選項(xiàng)中定義不正確。恢復(fù)測(cè)試的正確描述是:恢復(fù)測(cè)試-檢查系統(tǒng)在軟件或硬件故障后的恢復(fù)能力。RegressionTesting回歸測(cè)試功能測(cè)試:又叫黑盒測(cè)試,測(cè)試對(duì)象是產(chǎn)品的各個(gè)功能,不需要考慮整個(gè)產(chǎn)品的系統(tǒng)結(jié)構(gòu)和代碼;按照項(xiàng)目啟動(dòng)時(shí)的需求文檔和概要設(shè)計(jì),對(duì)一個(gè)個(gè)功能點(diǎn)和需求點(diǎn)進(jìn)行測(cè)試系統(tǒng)測(cè)試:將整個(gè)硬件、軟件、用戶作為一個(gè)整體測(cè)試對(duì)象,測(cè)試整個(gè)用戶操作流程。也包括功能、性能、負(fù)載、可服務(wù)性等DFx功能測(cè)試[單選題]82.對(duì)于一個(gè)數(shù)據(jù)庫管理系統(tǒng)，下列哪一項(xiàng)經(jīng)常被用于加裝多級(jí)別的安全A)信任前端B)控制器C)信任后端D)內(nèi)核答案:A解析:<p>Ifyouare"retrofitting"thatmeansyouareaddingtoanexistingdatabasemanagementsystem(DBMS).YoucouldgobackandredesigntheentireDBMSbutthecostofthatcouldbeexpensiveandthereisnotellingwhattheeffectwillbeonexistingapplications,butthatisredesigningandthequestionstatesretrofitting.Themostcosteffectivewaywiththeleasteffectonexistingapplicationswhileaddingalayerofsecurityontopisthroughatrustedfronbend.</p>[單選題]83.Linda正在為她的組織選擇災(zāi)難恢復(fù)設(shè)施,她希望盡可能保持與其他組織的獨(dú)立性。她想選擇一個(gè)平衡成本和恢復(fù)時(shí)間的設(shè)施,允許在宣布災(zāi)難后大約一周內(nèi)激活。她應(yīng)該選擇什么類型的設(shè)施?A)冷站點(diǎn)B)暖站點(diǎn)C)互助協(xié)議D)熱站點(diǎn)答案:B解析:Linda應(yīng)該選用溫站點(diǎn)的方法,這種方法平衡成本和恢復(fù)時(shí)間。冷站點(diǎn)需要很長時(shí)間才能激活,多達(dá)數(shù)周甚至數(shù)月。熱站點(diǎn)可立即激活,但相當(dāng)昂貴?；ブ鷧f(xié)議取決于另一個(gè)組織的支持。Lindashouldchooseawarmsite.Thisapproachbalancescostandrecoverytíme.Coldsitestakeaverylongtimetoactivate,measuredinweeksormonths.Hotsitesactivateimmediatelybutarequiteexpensive.Mutualassistanceagreementsdependonthesupportofanotherorganization.[單選題]84.以下哪一選項(xiàng)是建立信息安全計(jì)劃的第一步？A)采用公司信息安全策略聲明B)制定與實(shí)施信息安全標(biāo)準(zhǔn)手冊(cè)C)制定安全意識(shí)培訓(xùn)計(jì)劃D)采購安全訪問控制軟件答案:A解析:[單選題]85.WhoshouldperformthedesignreviewtouncoversecuritydesignflawsaspartoftheSoftwareDevelopmentLifeCycle（SDLC）?作為軟件開發(fā)生命周期（SDLC）的一部分，誰應(yīng)該執(zhí)行設(shè)計(jì)審查以發(fā)現(xiàn)安全設(shè)計(jì)缺陷？A)Thebusinessowner企業(yè)所有者B)securitysubjectmatterexpert（SME）安全主題專家（SME）C)Theapplicationowner應(yīng)用程序所有者D)Adevelopersubjectmatterexpert（SME）開發(fā)人員主題專家（SME）答案:B解析:[單選題]86.當(dāng)員工擁有相同級(jí)別的安全許可時(shí),控制訪問高度敏感信息的最佳方法是什么?A)審計(jì)日志B)基于角色的訪問控制(RBAC)C)雙重身份驗(yàn)證D)應(yīng)用最少的特權(quán)答案:B解析:[單選題]87.滲透測(cè)試的總體目標(biāo)是確定系統(tǒng)的A)承受攻擊的能力。B)容量管理。C)錯(cuò)誤恢復(fù)功能。D)可靠性在壓力下。答案:A解析:[單選題]88.S0C2報(bào)告通常涵蓋多長時(shí)間?A)時(shí)間點(diǎn)B)6個(gè)月C)12個(gè)月D)3個(gè)月答案:C解析:SOC2報(bào)告通常涵蓋6個(gè)月的業(yè)務(wù)。SOC1報(bào)告僅涵蓋了一個(gè)時(shí)間點(diǎn)。SOC2reportstypicalycover6monthsofoperations.SOC1reportscoverapointintime.[單選題]89.身份驗(yàn)證因素是?你擁有什么?,通常包括微處理器以及一個(gè)或多個(gè)證書,請(qǐng)問這是什么類型的驗(yàn)證器?A)智能卡B)令牌C)I類驗(yàn)證器D)類型Ill身份驗(yàn)證器答案:A解析:智能卡屬于第二類身份驗(yàn)證因素,并且包括微處理器和至少一個(gè)證書。由于它們是你所擁有的,因此不是第一類或第三類身份驗(yàn)證因素。令牌不一定包含證書。SmartcardsareaTypeIIauthenticationfactor,andincludebothamicroprocessorandatleastonecertificate.Sincetheyaresomethingyouhave,they'r