CISSP考試練習(xí)(習(xí)題卷12)

試卷科目：CISSP考試練習(xí)CISSP考試練習(xí)(習(xí)題卷12)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考試練習(xí)第1部分：單項(xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.各種組織保證各個(gè)安全努力的有效性和可測量'性是非常重要的。以下哪一項(xiàng)不是用于跟蹤安全努力成效的常見方法?A)服務(wù)級(jí)別協(xié)議B)投資回報(bào)率C)平衡計(jì)分卡系統(tǒng)D)資源調(diào)配系統(tǒng)答案:C解析:[單選題]2.SDLC在什么環(huán)境就應(yīng)該開始考慮安全需求A)需求分析確認(rèn)B)代碼編寫C)運(yùn)行維護(hù)D)結(jié)束廢棄答案:A解析:略章節(jié)：模擬考試202201[單選題]3.用戶發(fā)送電子郵件請(qǐng)求,要求只閱讀不被視為敏感的文件。已采用自由訪問控制(DAC)方法。管理員應(yīng)該采取哪種方法最合適?A)管理員向用戶訪問請(qǐng)求數(shù)據(jù)所有者批準(zhǔn)B)管理員應(yīng)請(qǐng)求管理器批準(zhǔn)用戶訪問C)管理員應(yīng)直接授予對(duì)非敏感文件的訪問權(quán)限D(zhuǎn))管理員應(yīng)評(píng)估用戶訪問需求,并授予or拒絕訪問權(quán)限答案:A解析:[單選題]4.以下哪些活動(dòng)最能識(shí)別操作問題、安全配置錯(cuò)誤和惡意攻擊?A)政策文件審查B)身份驗(yàn)證C)定期日志評(píng)論D)界面測試答案:C解析:[單選題]5.檢測出第一首信息系統(tǒng)的一個(gè)行為，對(duì)下面第一首信息哪一個(gè)？A)所有消除者訪問的方式B)控件控制C)確定系統(tǒng)和數(shù)據(jù)破壞的程度D)相關(guān)與進(jìn)行分區(qū)答案:B解析:[單選題]6.您組織的安全策略要求對(duì)存儲(chǔ)在服務(wù)器上的敏感數(shù)據(jù)使用對(duì)稱加密。他們正在實(shí)施以下哪一項(xiàng)指導(dǎo)方針?A)保護(hù)靜態(tài)數(shù)據(jù)B)保護(hù)傳輸中的數(shù)據(jù)C)保護(hù)使用中的數(shù)據(jù)D)保護(hù)數(shù)據(jù)生命周期答案:A解析:[單選題]7.處理CD上的數(shù)據(jù)的最安全的方式是？A)重新格式化B)清理C)物理破壞D)消磁答案:C解析:<p>SinceCD'scannotbesanitizedinawaytoremovealldata,theyshouldbephysicallydestroyed.Therearemanyproductsthatcandothis.SomeactuallyshredtheCD!</p>[單選題]8.AfinancialcompanyhasdecidedtomoveitsmainbusinessapplicationtotheCloud.Thelegaldepartmentobjects,arguingthatthemoveoftheplatformshouldcomplywithseveralregulatoryobligationssuchastheGeneralDataProtection（GDPR）andensuredataconfidentiality.TheChiefInformationSecurityOfficer（CISO）saysthatthecloudproviderhasmetallregulationsrequirementsandevenprovidesitsownencryptionsolutionwithinternally-managedencryptionkeystoaddressdataconfidentiality.DidtheCISOaddressallthelegalrequirementsinthissituation?一家金融公司決定將其主要業(yè)務(wù)應(yīng)用程序移動(dòng)到云上。法務(wù)部表示反對(duì)，認(rèn)為平臺(tái)的移動(dòng)應(yīng)遵守一些監(jiān)管義務(wù)，如一般數(shù)據(jù)保護(hù)（GDPR），并確保數(shù)據(jù)機(jī)密性。首席信息安全官（CISO）表示，云提供商已經(jīng)滿足了所有法規(guī)要求，甚至提供了自己的加密解決方案，其中包含內(nèi)部管理的加密密鑰，以解決數(shù)據(jù)機(jī)密性問題。CISO是否解決了這種情況下的所有法律要求？A)No,becausetheencryptionsolutionisinternaltothecloudprovider.否，因?yàn)榧用芙鉀Q方案是云提供商的內(nèi)部解決方案。B)Yes,becausethecloudprovidermeetsallregulationsrequirements.是，因?yàn)樵铺峁┥虧M足所有法規(guī)要求。C)Yes,becausethecloudproviderisGDPRcompliant.是，因?yàn)樵铺峁┥谭螱DPR。D)No,becausethecloudproviderisnotcertifiedtohostgovernmentdata.否，因?yàn)樵铺峁┥虥]有獲得托管政府?dāng)?shù)據(jù)的認(rèn)證。答案:B解析:[單選題]9.變更管理策略的主要目的是什么?A)為了確保管理層有必要更改信息技術(shù)(IT)基礎(chǔ)設(shè)施B)識(shí)別可能對(duì)信息技術(shù)(IT)基礎(chǔ)設(shè)施進(jìn)行更改C)驗(yàn)證信息技術(shù)(IT)基礎(chǔ)設(shè)施的t帽子更改已獲批準(zhǔn)D)確定對(duì)信息技術(shù)(IT)基礎(chǔ)設(shè)施進(jìn)行修改的必要性答案:C解析:[單選題]10.在設(shè)計(jì)安全的遠(yuǎn)程訪問系統(tǒng)時(shí)，以下哪一項(xiàng)是重要的要求？Whichofthefollowingisanimportantrequirementwhendesigningasecureremoteaccesssystem?A)配置DMZ，確保用戶流量與業(yè)務(wù)流量分離ConfigureaDemilitarizedZone(DMZ)toensurethatuserandservicetrafficisseparatedB)提供對(duì)計(jì)算機(jī)文件和系統(tǒng)的特權(quán)訪問權(quán)限ProvideprivilegedaccessrightstocomputerfilesandsystemsC)確保包括日志記錄和審計(jì)控制EnsurethatloggingandauditcontrolsareincludedD)通過密碼自助服務(wù)減少管理開銷Reduceadministrativeoverheadthroughpasswordselfservice答案:C解析:[單選題]11.羅杰的組織遭遇了客戶信用卡記錄的泄露。根據(jù)PCIDSS的條款,哪個(gè)組織可以選擇對(duì)此事進(jìn)行調(diào)查?Roger?sorganizationsufferedabreachofcustomercreditcardrecords.UnderthetermsofPCIDSS,whatorganizationmaychoosetopursueaninvestigationofthismatter?A)聯(lián)邦調(diào)查局FBIB)當(dāng)?shù)貓?zhí)法LocallawenforcementC)銀行BankD)PCISSC答案:C解析:[單選題]12.Whichoneofthefollowingisanadvantageofaneffectivereleasecontrolstrategyfromaconfigurationcontrolstandpoint?從配置控制的角度來看，以下哪一項(xiàng)是有效釋放控制策略的優(yōu)勢？A)Ensuresthatthereisnolossoffunctionalitybetweenreleases確保在發(fā)布之間不會(huì)丟失功能B)Allowsforfutureenhancementstoexistingfeatures允許將來對(duì)現(xiàn)有功能進(jìn)行增強(qiáng)C)Enforcesbackwardcompatibilitybetweenreleases強(qiáng)制版本之間的向后兼容性D)Ensuresthatatraceforalldeliverablesismaintainedandauditable確保對(duì)所有可交付成果進(jìn)行跟蹤，并可進(jìn)行審核答案:C解析:[單選題]13.(04076)Whyarecomputergenerateddocumentsnotconsideredreliable?為什么計(jì)算機(jī)產(chǎn)生的文檔被認(rèn)為是不可靠的？A)Difficulttodetectelectrontampering很難檢測到電子篡改B)Difficulttodetectelectrontampering很難檢測到電子篡改C)Difficulttodetectelectrontampering很難檢測到電子篡改D)Difficulttodetectelectrontampering很難檢測到電子篡改答案:D解析:[單選題]14.工作站的法醫(yī)成像是通過什么啟動(dòng)？A)給機(jī)器安裝操作系統(tǒng)。B)給機(jī)器安裝操作系統(tǒng)軟盤。C)刪除硬盤驅(qū)動(dòng)器來查看法醫(yī)成像軟件的輸岀。D)指導(dǎo)法醫(yī)成像軟件輸出到小型計(jì)算機(jī)系統(tǒng)接口(SCSI)答案:D解析:[單選題]15.受限用戶界面有什么作用?A)防止未授權(quán)的用戶登錄B)它限制基于內(nèi)容的接口中的可見數(shù)據(jù)C)它根據(jù)用戶當(dāng)前正在執(zhí)行的活動(dòng)來限制他們的訪問權(quán)限D(zhuǎn))它根據(jù)權(quán)限來限制用戶的行為答案:D解析:受限用戶界面會(huì)根據(jù)用戶的權(quán)限來限制他們的查看或執(zhí)行等操作,因?yàn)橛脩舻姆欠ú僮骺赡軐?dǎo)致變灰顯示、缺失菜單項(xiàng)或其他界面更改,基于活動(dòng)的控件稱為上下文相關(guān)控件,而基于對(duì)象內(nèi)容的控件是內(nèi)容相關(guān)控件。防止未授權(quán)用戶登錄是一種基本的身份驗(yàn)證功能。Aconstraineduserinterfacerestrictswhatuserscanseeordobasedontheirprivileges.ThiscanresultinGrayed-outormissingmenuitems,orotherinterfacechanges.Activity-basedcontrolsarecalledcontext-dependentcontrols,whereascontrolsbasedonthecontentofanobjectarecontent-dependentcontrols.[單選題]16.下列哪一項(xiàng)不是數(shù)據(jù)隱藏的例子？A)防止授權(quán)的課題閱讀者刪除客體B)防止未經(jīng)授權(quán)的訪問者訪問數(shù)據(jù)庫C)限制較低分類級(jí)別的主體訪問較高分類級(jí)別的數(shù)據(jù)D)組織應(yīng)用程序直接訪問硬件答案:A解析:[單選題]17.lnformationsecurityofficer,preparedtoimplementacontroltodetectandpreventuserabuse,assignedtotheirpermissions,whichofthefollowingmeasuresbestmeetsthisneed?信息安全官,準(zhǔn)備實(shí)施一個(gè)控制來檢測和阻止用戶濫用,分配給他們的權(quán)限,下面哪個(gè)是最好的滿足這個(gè)需求的措施?A)Managementreview.管理層審核B)Two-factoridentificationandauthentication.雙因素識(shí)別和認(rèn)證C)Capturingthisdatainauditlogs.在審計(jì)日志中抓取這些數(shù)據(jù)D)lmplementationofastrongsecuritypolicy實(shí)施一個(gè)強(qiáng)安全策略答案:A解析:[單選題]18.ContinuityofoperationsisBESTsupportedbywhichofthefollowing?以下哪項(xiàng)最能支持運(yùn)營的連續(xù)性？A)Confidentiality,availability,andreliability機(jī)密性、可用性和可靠性B)Connectivity,reliability,andredundancy連接性、可靠性和冗余C)Connectivity,reliability,andrecovery連接性、可靠性和恢復(fù)D)Confidentiality,integrity,andavailability機(jī)密性、完整性和可用性答案:B解析:[單選題]19.已向客戶提交漏洞評(píng)估報(bào)告。客戶端表示,報(bào)告中缺少三分之一的主機(jī)。評(píng)估的哪個(gè)階段是這個(gè)錯(cuò)誤A)列舉B)報(bào)告C)檢波D)發(fā)現(xiàn)答案:A解析:[單選題]20.以下哪種媒體清理技術(shù)最有可能對(duì)使用公共云服務(wù)的組織有效?A)一個(gè)。低級(jí)格式B)安全級(jí)覆蓋擦除C)加密擦除D)驅(qū)動(dòng)器消磁答案:B解析:[單選題]21.Om正在評(píng)估與他管理的數(shù)據(jù)庫相關(guān)的安全風(fēng)險(xiǎn)。在檢查用戶訪問控制時(shí),他確定用戶可以訪問與其許可匹配的表中的單個(gè)記錄,但是如果他們提取多個(gè)記錄,則該事實(shí)集合的分類比單獨(dú)存在的任何這些事實(shí)的分類更高,并且超過了允許的訪問。湯姆發(fā)現(xiàn)了什么類型的問題?A)推理B)SQL注入C)多級(jí)安全D)聚合答案:D解析:[單選題]22.下列哪項(xiàng)沒有說明數(shù)據(jù)庫管理系統(tǒng)安全A)擾動(dòng)B)單元抑制C)填補(bǔ)單元D)分割答案:C解析:[單選題]23.微服務(wù)是一種架構(gòu)風(fēng)格,它將單體應(yīng)用程序劃分為一組具有明確定義的接口和操作的松散耦合的小服務(wù)。近年來,隨著組織希望變得更加敏捷并轉(zhuǎn)向云服務(wù),這一趨勢變得越來越流行。下列關(guān)于微服務(wù)的說法正確的是?(WentzQOTD)A)基于微服務(wù)的應(yīng)用比單體應(yīng)用的攻擊面更小。B)防火墻是部署用于公開和限制微服務(wù)的主要控制。C)微服務(wù)保持HTTP連接處于活動(dòng)狀態(tài)以進(jìn)行完整的中介。D)微服務(wù)通常部署到不可變的工作負(fù)載以支持彈性。答案:D解析:[單選題]24.攜帶包含個(gè)人身份信息、(PII)的筆記本電腦出國旅行時(shí),以下哪項(xiàng)是最佳做法?A)一個(gè)。使用拇指驅(qū)動(dòng)器從外部計(jì)算機(jī)傳輸信息。B)不要獲取不必要的信息,包括敏感信息。C)僅將筆記本電腦連接到酒店或公共網(wǎng)吧等知名網(wǎng)絡(luò)。D)要求國際聯(lián)系點(diǎn)在抵達(dá)時(shí)幫助掃描筆記本電腦,以確保其受到保護(hù)。答案:B解析:[單選題]25.(04017)Aglobalorganizationisimplementingsecurityfor1,000employeesManyusersaremobileandtravelbetweenlocationsSomeemployeesperformmorethanonejobfunctionWhichofthefollowingistheMOSTeffectiveadministrativecontrol?一個(gè)全球性組織正在為1000個(gè)員工實(shí)施安全措施。許多用戶是移動(dòng)辦公的，并在各辦公場所之間出差。一些員工負(fù)責(zé)了不只一個(gè)工作職責(zé)。下面哪個(gè)是最有效的管理控制措施？A)Securityawarenesstraining安全意識(shí)培訓(xùn)B)Securityawarenesstraining安全意識(shí)培訓(xùn)C)Securityawarenesstraining安全意識(shí)培訓(xùn)D)Securityawarenesstraining安全意識(shí)培訓(xùn)答案:A解析:[單選題]26.什么類型的運(yùn)動(dòng)檢測器使用高微波頻率信號(hào)傳輸來識(shí)別入侵者?A)紅外B)熱基C)波形D)電容答案:C解析:波形運(yùn)動(dòng)檢測器向監(jiān)控區(qū)域內(nèi)發(fā)送超聲波或微波信號(hào),通過觀察物體反射回來的信號(hào)來檢測物體的運(yùn)動(dòng)變化。Wavepatternmotiondetectorstransmitultrasonicormicrowavesignalsintothemonitorarea,watchingforchangesinthereturnedsignalsbouncingoffobjects.[單選題]27.Monica希望在她的組織中收集有關(guān)安全意識(shí)的信息。什么技術(shù)最常用于評(píng)估安全意識(shí)?問題是全面寬泛的,回答也是全面的,盡量別選片面的Monicawantstogatherinformationaboutsecurityawarenessinherorganization.Whattechniqueismostfrequentlyusedtoassesssecurityawareness?A)網(wǎng)絡(luò)釣魚模擬器PhishingsimulatorsB)游戲化應(yīng)用程序GamifiedapplicationsC)評(píng)估測試AssessmenttestsD)調(diào)查Surveys答案:D解析:大多數(shù)組織使用調(diào)查來評(píng)估安全意識(shí)。網(wǎng)絡(luò)釣魚模擬器也經(jīng)常使用,但只測試對(duì)網(wǎng)絡(luò)釣魚問題和技術(shù)的認(rèn)識(shí),而不是一般的安全意識(shí)。游戲化應(yīng)用程序越來越受歡迎,但調(diào)查的易用性和可用性使其成為最受歡迎的。最后,當(dāng)需要合規(guī)知識(shí)評(píng)估以滿足特定標(biāo)準(zhǔn)時(shí),可以使用評(píng)估測試,但測試不像調(diào)查那樣普遍。[單選題]28.ofcross-sitescriptingvulnerabilityissheexploiting?Mary在創(chuàng)建惡意代碼來修改原始客戶端的Java腳本.從而竊取用戶的cookies。她在利用的是哪種類型的跨站腳本(XSs)漏洞?A)Secondorder二階漏洞B)DOM-based文件對(duì)象模型漏洞C)Persistent持久性XSs漏洞D)Non-persistent非持久性XSs洞洞答案:B解析:[單選題]29.Auser'scredentialforanapplicationisstoredinarelationaldatabase.Whichcontrolprotectstheconfidentialityofthecredentialwhileitisstored?應(yīng)用程序的用戶憑據(jù)存儲(chǔ)在關(guān)系數(shù)據(jù)庫中。哪個(gè)控件在存儲(chǔ)憑據(jù)時(shí)保護(hù)其機(jī)密性？A)Validatepasswordsusingastoredprocedure.使用存儲(chǔ)過程驗(yàn)證密碼。B)Allowonlytheapplicationtohaveaccesstothepasswordfieldinordertoverifyuserauthentication.僅允許應(yīng)用程序訪問密碼字段，以驗(yàn)證用戶身份驗(yàn)證。C)Useasaltedcryptographichashofthepassword.使用密碼的salt加密哈希。D)Encrypttheentiredatabaseandembedanencryptionkeyintheapplication.加密整個(gè)數(shù)據(jù)庫并在應(yīng)用程序中嵌入加密密鑰。答案:C解析:[單選題]30.以下哪種類型的攻擊涉及到IP欺騙，ICMPECHO和網(wǎng)站反彈A)IP欺騙攻擊B)Smurf攻擊C)SYN攻擊D)Teardrop攻擊答案:B解析:[單選題]31.(04148)測試定制的應(yīng)用代碼的最有效方法是？A)黑盒測試B)黑盒測試C)黑盒測試D)黑盒測試答案:D解析:[單選題]32.道德意識(shí)和相關(guān)政策實(shí)施的主要原因是什么?A)它影響組織的工作流程。B)它影響組織的聲譽(yù)。C)它影響員工的保留率。D)它影響員工的士氣。答案:B解析:[單選題]33.由于市場份額的迅速增加,組織的規(guī)模增加了一倍。信息技術(shù)(IT)工作人員的規(guī)模一直與這一增長保持同步。該組織雇用了幾個(gè)承包商,他們的現(xiàn)場時(shí)間被我限制。IT部門已突破其構(gòu)建服務(wù)器和推出工作站的限制,并積壓了帳戶管理請(qǐng)求。哪份合同最適合從IT人員那里卸載任務(wù)?A)平臺(tái)作為服務(wù)(PaaS)B)身份作為服務(wù)(IDaaS)C)桌面服務(wù)(DaaS)D)軟件作為服務(wù)(SaaS)答案:B解析:[單選題]34.Whichoneofthefollowingeffectivelyobscuresnetworkaddressesfromexternalexposurewhenimplementedonafirewallorrouter?當(dāng)在防火墻或路由器上實(shí)施時(shí)，下列哪一項(xiàng)可以有效地屏蔽網(wǎng)絡(luò)地址，使其免受外部暴露？A)NetworkAddressTranslation（NAT）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）B)ApplicationProxy應(yīng)用代理C)RoutingInformationProtocol（RIP）Version2路由信息協(xié)議（RIP）版本2D)AddressMasking地址屏蔽答案:A解析:[單選題]35.在采購新信息系統(tǒng)期間,確定系統(tǒng)規(guī)范中未涉及某些安全要求。以下哪一個(gè)是最可能的原因?A)采購官缺乏技術(shù)知識(shí)。B)在采購過程中,安全要求發(fā)生了變化。C)供應(yīng)商的投標(biāo)團(tuán)隊(duì)中沒有安全專業(yè)人員。D)對(duì)安全要求的描述不夠充分。答案:D解析:[單選題]36.存儲(chǔ)和生成密碼、提供日志記錄和審計(jì)功能以及支持密碼檢入和檢出都是什么類型系統(tǒng)的特征?A)AAAB)憑據(jù)管理C)雙因素身份驗(yàn)證D)Kerberos答案:B解析:憑據(jù)管理系統(tǒng)提供了密碼管理、多因素身份驗(yàn)證、檢索密碼、日志記錄、審核和密碼輪換等多種功能。AAA系統(tǒng)是授權(quán)、身份驗(yàn)證和計(jì)費(fèi)系統(tǒng)。雙因素身份驗(yàn)證和Kerberos都屬于協(xié)議。Credentialmanageentsystemsprovidefeaturesdesignedtomakeusingandstoringcredentialsinasecureandcontrollableway.AAAsystemsareauthorization,authentication,andaccountingsystems.Two-factorauthenticationandKerberosareexamplesofprotocols.[單選題]37.AtwhatleveloftheOpenSystemInterconnection（OSI）modelisdataatrestonaStorageAreaNetwork（SAN）located?存儲(chǔ)區(qū)域網(wǎng)絡(luò)（SAN）上的靜態(tài)數(shù)據(jù)位于開放系統(tǒng)互連（OSI）模型的哪個(gè)級(jí)別？A)Linklayer鏈路層B)Physicallayer物理層C)Sessionlayer會(huì)話層D)Applicationlayer應(yīng)用層答案:D解析:[單選題]38.組織在其內(nèi)部網(wǎng)的存檔中發(fā)布并定期更新其員工策略。以下哪一個(gè)是主要安全問題?A)可用性B)保密性C)正直D)所有權(quán)答案:C解析:[單選題]39.企業(yè)最普遍應(yīng)用的物理安全手段?A)CCTVB)鎖設(shè)備C)紅外探頭D)雙門答案:B解析:略章節(jié)：模擬考試202201[單選題]40.Whileperformingasecurityreviewforanewproduct,aninformationsecurityprofessionaldiscoversthattheorganization'sproductdevelopmentteamisproposingtocollectgovernment-issuedidentification（ID）numbersfromcustomerstouseasuniquecustomeridentifiers.Whichofthefollowingrecommendationsshouldbemadetotheproductdevelopmentteam?在對(duì)新產(chǎn)品進(jìn)行安全審查時(shí)，信息安全專業(yè)人員發(fā)現(xiàn)，該組織的產(chǎn)品開發(fā)團(tuán)隊(duì)建議從客戶處收集政府發(fā)布的標(biāo)識(shí)（ID）號(hào)，以用作唯一的客戶標(biāo)識(shí)符。應(yīng)向產(chǎn)品開發(fā)團(tuán)隊(duì)提出以下哪項(xiàng)建議？A)Customeridentifiersshouldbeavariantoftheuser'sgovernment-issuedIDnumber.客戶標(biāo)識(shí)符應(yīng)該是用戶政府頒發(fā)的ID號(hào)的變體。B)Customeridentifiersthatdonotresembletheuser'sgovernment-issuedIDnumbershouldbeused.應(yīng)使用與用戶政府頒發(fā)的ID號(hào)不相似的客戶標(biāo)識(shí)符。C)Customeridentifiersshouldbeacryptographichashoftheuser'sgovernment-issuedIDnumber.客戶標(biāo)識(shí)符應(yīng)該是用戶政府頒發(fā)的ID號(hào)的加密哈希。D)Customeridentifiersshouldbeavariantoftheuser'sname,forexample,"jdoe"or"john.doe."客戶標(biāo)識(shí)符應(yīng)該是用戶名的變體，例如，?jdoe?或?john.doe?答案:C解析:[單選題]41.使用自動(dòng)應(yīng)用程序安全測試工具的主要優(yōu)勢是什么?A)該應(yīng)用程序可以在生產(chǎn)環(huán)境中得到保護(hù)。B)大量的代碼可以使用更少的資源進(jìn)行測試。C)使用這些工具進(jìn)行測試時(shí),應(yīng)用程序的故障會(huì)更少。D)德泰主導(dǎo)的代碼功能測試可以執(zhí)行。答案:B解析:[單選題]42.可重寫和可擦除(CDR/W)的光盤有時(shí)用于需短時(shí)間存儲(chǔ)的可變數(shù)據(jù)的備份，但需要？A)比磁帶快的文件訪問。B)比磁帶慢的文件訪問。C)比驅(qū)動(dòng)慢的文件訪問。D)比硬盤慢的文件訪問。答案:A解析:<p>Thisistrue,whenweuseopticalmedialikeCD'stomakeourbackupsweneedaconstantthroughputonthefileaccessanddatatransferinsidethediskbecauseoftherisktogetabufferoverrunerrorintheCDwriter.IfthebufferuserbytheCDburnerisemptyandtheHarddiskdoesnotprovidedataforthattime,theBackupwillbeunsuccessful.ThiscanbesolvedwithaTechnologyknownas"BumProof".</p>[單選題]43.WhenintheSoftwareDevelopmentLifeCycle（SDLC）MUSTsoftwaresecurityfunctionalrequirementsbedefined?在軟件開發(fā)生命周期（SDLC）中，何時(shí)必須定義軟件安全功能需求？A)Afterthesystempreliminarydesignhasbeendevelopedandthedatasecuritycategorizationhasbeenperformed在完成系統(tǒng)初步設(shè)計(jì)和數(shù)據(jù)安全分類后B)Afterthevulnerabilityanalysishasbeenperformedandbeforethesystemdetaileddesignbegins在進(jìn)行漏洞分析之后和系統(tǒng)詳細(xì)設(shè)計(jì)開始之前C)Afterthesystempreliminarydesignhasbeendevelopedandbeforethedatasecuritycategorizationbegins系統(tǒng)初步設(shè)計(jì)完成后，數(shù)據(jù)安全分類開始前D)Afterthebusinessfunctionalanalysisandthedatasecuritycategorizationhavebeenperformed執(zhí)行業(yè)務(wù)功能分析和數(shù)據(jù)安全分類后答案:D解析:[單選題]44.Fornetworkbasedevidence,whichofthefollowingcontainstrafficdetailsofallnetworksessionsinordertodetectanomalies?對(duì)于基于網(wǎng)絡(luò)的證據(jù)，以下哪項(xiàng)包含所有網(wǎng)絡(luò)會(huì)話的流量詳細(xì)信息以檢測異常？A)Alertdata報(bào)警數(shù)據(jù)B)Userdata用戶數(shù)據(jù)C)Contentdata內(nèi)容數(shù)據(jù)D)Statisticaldata統(tǒng)計(jì)數(shù)據(jù)答案:D解析:[單選題]45.應(yīng)用程序過濾防火墻的缺點(diǎn)是,它可能導(dǎo)致A)由于用戶活動(dòng)導(dǎo)致網(wǎng)絡(luò)崩潰。B)由于適用的規(guī)則,性能會(huì)降低。C)由于帶寬不足,網(wǎng)絡(luò)上的數(shù)據(jù)包丟失。D)互聯(lián)網(wǎng)協(xié)議(IP)被黑客欺騙。答案:B解析:[單選題]46.whatarethecharacteristicsoflinkencryptionincommunicationnetwork?通信網(wǎng)絡(luò)中鏈路加密的特點(diǎn)是?A)Onlyuserinformationisencrypted.Packetheader,tail,address,androutinginformationarenotencrypted.僅加密用戶信息,不加密數(shù)據(jù)包頭部、尾部、地址和路由信息B)Packetsaredecryptedateveryhop,sotherearemorecellweaknesses.數(shù)據(jù)包在每一跳都進(jìn)行解密,因此有更多胞弱點(diǎn)C)Encryptionoccursattheapplicationlayer.加密發(fā)生在應(yīng)用層D)Keydistributionandmanagementarerelativelysimple.秘鑰分發(fā)和管理相對(duì)簡單答案:B解析:[單選題]47.TheChiefInformationSecurityOfficer（CISO）ofasmallorganizationismakingacaseforbuildingasecurityoperationscenter（SOC）.Whiledebatingbetweenanin-house,fullyoutsourced,orahybridcapability,whichofthefollowingwouldbetheMAINconsideration,regardlessofthemodel?一家小型組織的首席信息安全官（CISO）正在為建立安全運(yùn)營中心（SOC）辯護(hù)。在討論內(nèi)部能力、完全外包能力或混合能力時(shí)，無論采用何種模式，以下哪項(xiàng)是主要考慮因素？A)Skillsetandtraining技能設(shè)置和培訓(xùn)B)Headcountandcapacity員工人數(shù)和能力C)Toolsandtechnologies工具及技術(shù)D)Scopeandservicecatalog范圍和服務(wù)目錄答案:C解析:[單選題]48.Anauditofanapplicationrevealsthatthecurrentconfigurationdoesnotmatchtheconfigurationoftheoriginallyimplementedapplication.WhichofthefollowingistheFIRSTactiontobetaken?對(duì)應(yīng)用程序的審核表明，當(dāng)前配置與最初實(shí)現(xiàn)的應(yīng)用程序的配置不匹配。以下哪項(xiàng)是第一個(gè)要采取的行動(dòng)？A)Recommendanupdatetothechangecontrolprocess.建議更新變更控制流程。B)Verifytheapprovaloftheconfigurationchange.驗(yàn)證配置更改的批準(zhǔn)。C)Rollbacktheapplicationtotheoriginalconfiguration.將應(yīng)用程序回滾到原始配置。D)Documentthechangestotheconfiguration.記錄對(duì)配置的更改。答案:B解析:[單選題]49.Ursula認(rèn)為,她組織中的許多人都以不安全的方式將敏感信息存儲(chǔ)在筆記本電腦上,開可能違反組織的安全政策。她可以使用什么控制方法來識(shí)別這些文件的存在?A)網(wǎng)絡(luò)DLPB)網(wǎng)絡(luò)IPSC)端點(diǎn)DLPD)端點(diǎn)IPS答案:C解析:數(shù)據(jù)丟失防護(hù)(DLP)系統(tǒng)專門用于識(shí)別敏感信息。這種情況下,Ursula想要識(shí)別端點(diǎn)設(shè)備上此信息的存在,因此她應(yīng)該選擇端點(diǎn)DLP控制?；诰W(wǎng)絡(luò)的DLP將不檢測所存儲(chǔ)的信息,除非用戶通過網(wǎng)絡(luò)發(fā)送它。入侵防御系統(tǒng)(IPS)旨在檢測和阻止正在進(jìn)行的攻擊,不一定涉及敏感信息。Datalassprevention(DLP)systemsspecializeintheidentificationofsensitiveinformation.Inthiscase,Ursulawouldliketoidentifythepresenceofthisinformationonendpointdevices,sosheshouldchaoseanendpointDLPcontrol.Network-basedDLPwouldnatdetectstoredinformationunlesstheusertransmitsitoverthenetwork.[單選題]50.哪個(gè)超文本標(biāo)記語言5(HTML5)選項(xiàng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)泄漏預(yù)防和/或監(jiān)控提出了安全挑戰(zhàn)?A)跨源資源共享(CORS)B)網(wǎng)絡(luò)插座C)文檔對(duì)象模型(DOM)樹D)網(wǎng)絡(luò)界面定義語言(IDL)答案:B解析:[單選題]51.要在對(duì)稱密鑰加密法中確保雙向通信安全，最少需要使用多少個(gè)密碼密鑰？A)1個(gè)B)2個(gè)C)3個(gè)D)4個(gè)答案:A解析:[單選題]52.確定控制在一個(gè)操作系統(tǒng)內(nèi)是如何運(yùn)作的最有效的方法是什么？A)采訪計(jì)算機(jī)操作人員B)審查軟件控制特性和/或參數(shù)C)審查操作系統(tǒng)手冊(cè)D)采訪產(chǎn)品供應(yīng)商答案:B解析:[單選題]53.Whendevelopingabusinesscaseforupdatingasecurityprogram,thesecurityprogramownerMUSTdowhichofthefollowing?當(dāng)開發(fā)更新安全程序的商業(yè)案例時(shí)，安全程序所有者必須執(zhí)行以下哪項(xiàng)操作？A)Identifyrelevantmetrics確定相關(guān)指標(biāo)B)Prepareperformancetestreports準(zhǔn)備性能測試報(bào)告C)Obtainresourcesforthesecurityprogram獲取安全計(jì)劃的資源D)Interviewexecutivemanagement采訪高管答案:A解析:[單選題]54.____指對(duì)個(gè)人身份信息或可能對(duì)他人造成傷害、令他人感到尷尬的信息加以保密。A)隔絕B)隱藏C)隱私D)關(guān)鍵性答案:C解析:隱私[單選題]55.在保管處理鏈中對(duì)文件進(jìn)行哈希時(shí),確保以下哪一項(xiàng)?A)可用性B)問責(zé)C)正直D)非反古迪亞蒂上答案:C解析:[單選題]56.組織進(jìn)行安全審計(jì)的主要目的是什么?WhatisthePRIMARYpurposeforanorganizationtoconductasecurityaudit?A)確保組織遵守明確定義的標(biāo)準(zhǔn)Toensuretheorganizationisadheringtoawell-definedstandardB)確保組織應(yīng)用安全控制來減輕已識(shí)別的風(fēng)險(xiǎn)ToensuretheorganizationisapplyingsecuritycontrolstomitigateidentifiedrisksC)確保組織有效地配置信息系統(tǒng)ToensuretheorganizationisconfiguringinformationsystemsefficientlyD)確保組織記錄調(diào)查結(jié)果Toensuretheorganizationisdocumentingfindings答案:A解析:[單選題]57.組織正在選擇一個(gè)服務(wù)提供商,以幫助整合多個(gè)計(jì)算站點(diǎn),包括開發(fā)、實(shí)施和持續(xù)支持各種計(jì)算機(jī)系統(tǒng)。信息保密部門必須核實(shí)以下哪些情況?A)服務(wù)提供商的政策與ISO/IEC27001一致,并且有證據(jù)表明服務(wù)提供商正在遵循這些政策。B)服務(wù)提供商將將數(shù)據(jù)分離到其系統(tǒng)中,并確保滿足每個(gè)區(qū)域的policies。C)服務(wù)提供商將實(shí)施滿足或超過當(dāng)前系統(tǒng)控制的控制和保護(hù),并生成審核日志作為驗(yàn)證。D)服務(wù)提供商的政策即使與組織的當(dāng)前政策不同,也可以滿足新環(huán)境的要求。答案:D解析:[單選題]58.以下哪個(gè)是執(zhí)行業(yè)務(wù)影響分析最好的說明？A)對(duì)組織運(yùn)營的威脅影響。B)對(duì)組織的風(fēng)險(xiǎn)損失。C)對(duì)企業(yè)風(fēng)險(xiǎn)的影響。D)為另一種威脅的方式。答案:B解析:[單選題]59.Lynn計(jì)劃去旅行,因此她登錄一個(gè)網(wǎng)站購買機(jī)票。這個(gè)網(wǎng)站不僅提供機(jī)票價(jià)格,在她購票時(shí)還提供酒店客房和租車等服務(wù)。航空公司、酒店和租賃公司都是相互獨(dú)立的公司。Lynn決定同時(shí)通過這個(gè)網(wǎng)站購買酒店住宿。該網(wǎng)站使用安全斷言標(biāo)記語言來實(shí)現(xiàn)此類聯(lián)合身份管理功能。在該示例中,哪個(gè)實(shí)體是主體,哪個(gè)實(shí)體是身份提供者,哪個(gè)實(shí)體是服務(wù)提供者?A)門戶網(wǎng)站、Lynn、酒店B)Lynn、航空公司、酒店C)Lynn、酒店、航空公司D)門戶網(wǎng)站、Lynn、航空公司答案:B解析:[單選題]60.一種支持主體組的訪問權(quán)限管理的訪問控制類型是？A)自由訪問控制B)基于規(guī)則的訪問控制C)基于角色的訪問控制D)智能訪問控制答案:C解析:[單選題]61.為什么計(jì)劃是基于角色的訪問控制(RBAC)實(shí)現(xiàn)最關(guān)鍵的階段?WhyisplanningtheMOSTcriticalphaseofaRoleBasedAccessControl(RBAC)implementation?A)定義了衡量風(fēng)險(xiǎn)的標(biāo)準(zhǔn)Thecriteriaformeasuringriskisdefined.B)確定了為用戶群體要分配的角色Userpopulationstobeassignedtoeachroleisdetermined.C)執(zhí)行角色挖掘以定義通用訪問模式Roleminingtodefinecommonaccesspatternsisperformed.D)定義了基本標(biāo)準(zhǔn)Thefoundationalcriteriaaredefined.答案:B解析:[單選題]62.弗洛里安收到美國聯(lián)邦政府機(jī)構(gòu)的傳單,宣布一項(xiàng)新的行政法將影響他的業(yè)務(wù)運(yùn)營。他應(yīng)該去哪里尋找法律文本?FlorianreceivesaflyerfromaU.S.federalgovernmentagencyannouncingthatanewadministrativelawwillaffecthisbusinessoperations.Whereshouldhegotofindthetextofthelaw?A)美國法典UnitedStatesCodeB)最高法院的裁決SupremeCourtrulingsC)聯(lián)邦法規(guī)CodeofFederalRegulationsD)法律綱要CompendiumofLaws答案:C解析:[單選題]63.來自威脅的年預(yù)期損失怎么計(jì)算？A)年發(fā)生率X(單一損失預(yù)期-暴露因子)B)資產(chǎn)價(jià)值X暴露因子C)單一預(yù)期損失/暴露因子D)單一預(yù)期損失X年發(fā)生率答案:D解析:[單選題]64.以下哪一個(gè)是數(shù)據(jù)保留策略的主要目標(biāo)?A)確保數(shù)據(jù)被正確銷毀。B)確保數(shù)據(jù)恢復(fù)可以在數(shù)據(jù)A上完成。C)確保數(shù)據(jù)的完整性和可用性,以備不時(shí)之用。D)確保數(shù)據(jù)的完整性和保密性,以備不時(shí)之用。答案:C解析:[單選題]65.在已知明文攻擊中，密碼分析者具有以下哪些知識(shí)？A)密文和密鑰B)明文和算法C)明文和密鑰D)明文和消息的相關(guān)密文答案:D解析:<p>Inaknownplaintextattack,theattackerhastheplaintextandciphertextofoneormore<br/>Messages.Thegoalistodiscoverthekeyusedtoencryptthemessagessothatother<br/>Messagescanbedecipheredandread.</p>[單選題]66.T1線的傳輸速度是多少?A)64KbpsB)128KbpsC)1.544MbpsD)44.736Mbps答案:C解析:T1(DS1)線的額定速率為1.544Mbps。ISDN(綜合業(yè)務(wù)數(shù)字網(wǎng))通常為64或128Kbps,T3線路為44.736Mbps。AT1(DS1)lineisratedat1.544Mbps.ISDNisoften64or128Kbps,andT3linesare44.736Mbps.[單選題]67.在事件響應(yīng)過程的哪個(gè)階段，安全專業(yè)人員對(duì)過程本身進(jìn)行分析，以確定是否需要作出任何改進(jìn)？A)經(jīng)驗(yàn)教訓(xùn)B)修復(fù)C)恢復(fù)D)報(bào)告答案:A解析:[單選題]68.認(rèn)證和認(rèn)可過程的配置管理和控制任務(wù)被納入系統(tǒng)開發(fā)生命周期(SDLC)的哪個(gè)階段:A)一個(gè)。系統(tǒng)采集和開發(fā)B)系統(tǒng)操作和維護(hù)C)系統(tǒng)啟動(dòng)D)系統(tǒng)實(shí)施答案:A解析:[單選題]69.分布式拒絕服務(wù)(DDoS)攻擊的主要特征是A)利用弱身份驗(yàn)證來滲透網(wǎng)絡(luò)。B)可以通過簽名分析檢測。C)看起來像正常的網(wǎng)絡(luò)活動(dòng)。D)通常與病毒或病毒混淆。答案:C解析:[單選題]70.alargeorganizationusesbiometricstoallowaccesstoitsfacilities.Itadjuststhebiometricvalueforincorrectlygrantingordenyingaccesssothatthetwonumbersarethesame.Whatisthisvaluecalled?大型組織使用生物識(shí)別技術(shù)來訪問其設(shè)施。它會(huì)調(diào)整錯(cuò)誤授予或拒絕訪問的生物特征值，以便兩個(gè)數(shù)字相同。這個(gè)值叫什么？A)FalseRejectionRate（FRR）錯(cuò)誤拒絕率（FRR）B)Accuracyacceptancethreshold精度接受閾值C)Equalerrorrate相等錯(cuò)誤率D)FalseAcceptanceRate（FAR）錯(cuò)誤接受率（FAR）答案:C解析:[單選題]71.如果沒有適當(dāng)?shù)男盘?hào)保護(hù),嵌入式系統(tǒng)可能容易受到哪種類型的攻擊?A)蠻力B)篡改C)在編隊(duì)光盤肯定D)拒絕服務(wù)(DOS)答案:C解析:[單選題]72.什么原則規(guī)定個(gè)人應(yīng)盡一切努力準(zhǔn)確及時(shí)地完成其職責(zé)?Whatprinciplestatesthatanindividualshouldmakeeveryefforttocompletehisorherresponsibilitiesinanaccurateandtimelymanner?A)最小特權(quán)LeastprivilegeB)職責(zé)分離SeparationofdutiesC)應(yīng)盡關(guān)注DuecareD)應(yīng)盡職責(zé)Duediligence答案:D解析:[單選題]73.什么類型的滅火器可用于防止液體火災(zāi)?A)A類B)B類C)C類D)D類答案:B解析:B類滅火器使用二氧化碳、哈龍或蘇打酸作為其抑制材料,可用于防止液體火災(zāi)。水不可用于液體火災(zāi),因?yàn)樗赡軐?dǎo)致燃燒液體飛濺,并且許多燃燒液體(例如油)會(huì)漂浮在水上。ClassBfireextinguishersusecarbondioxide,halon,orsodaacidastheirsuppressionmaterialandareusefulagainstliquid-basedfires.Watermaynotbeusedagainstliquid-basedfiresbecauseitmaycausetheburningliquidtosplash,andmanyburningliquids,suchasoil,willfloatonwater.[單選題]74.Whichprogrammingmethodologyallowsaprogrammertousepre-determinedblocksofcodeendconsequentlyreducingdevelopmenttimeandprogrammingcosts?哪種編程方法允許程序員使用預(yù)先確定的代碼塊結(jié)束，從而減少開發(fā)時(shí)間和編程成本？A)Applicationsecurity應(yīng)用安全B)Objectoriented物件導(dǎo)向C)Blockedalgorithm塊算法D)Assemblylanguage匯編語言答案:B解析:[單選題]75.(04173)圖形驗(yàn)證碼（CAPTCHA）能防什么？A)擊鍵記錄B)擊鍵記錄C)擊鍵記錄D)擊鍵記錄答案:B解析:[單選題]76.(04002)AnorganizationhascomprehensivepoliciesandproceduresregardingdataclassificationandhandlingHowever,theorganizationhassufferedfromanumberofcustomerlawsuitsduetoimproperdisclosureofcustomerprivatedatatothirdpartiesThisdisclosurewasnotmaliciousThecustomerdatadisclosedwasappropriatelylabeledasconfidentialWhichofthefollowingistheMOSTlikelyreasonforthedisclosure?一個(gè)組織制定了關(guān)于數(shù)據(jù)分類和數(shù)據(jù)處理相關(guān)的全面的政策和程序。但是，該組織還是因不當(dāng)披露客戶的隱私數(shù)據(jù)給第三方，遭到了許多客戶的訴訟。這些泄露是沒有惡意的。這些泄露的客戶數(shù)據(jù)已經(jīng)標(biāo)識(shí)為機(jī)密。下面哪項(xiàng)是泄露問題最可能的原因？A)Improperdataclassification不正確的數(shù)據(jù)分類B)Improperdataclassification不正確的數(shù)據(jù)分類C)Improperdataclassification不正確的數(shù)據(jù)分類D)Improperdataclassification不正確的數(shù)據(jù)分類答案:D解析:[單選題]77.高級(jí)管理層要求數(shù)據(jù)庫管理員對(duì)會(huì)計(jì)系統(tǒng)數(shù)據(jù)庫執(zhí)行特定更改。系統(tǒng)明確指示管理員不要跟蹤或證明票證中的更改。以下哪項(xiàng)是最佳行動(dòng)方案?A)一個(gè)。忽略該請(qǐng)求,并且不執(zhí)行更改。B)根據(jù)請(qǐng)求執(zhí)行更改,并依靠下一次審核來檢測和報(bào)告情況。C)執(zhí)行更改,但無論如何都要?jiǎng)?chuàng)建更改票證,以確保具有完全的可追溯性。D)使用公司舉報(bào)人流程直接通知審計(jì)委員會(huì)或內(nèi)部審計(jì)。答案:C解析:[單選題]78.那個(gè)模型將操作分解成不同的環(huán)節(jié)并要求由每個(gè)單獨(dú)的環(huán)節(jié)由不同的用戶來執(zhí)行？A)Bell-LaPadula模型B)非干擾模型C)CIark-Wilson模型D)Biba模型答案:C解析:<p>TheClark-Wilsonmodelusesseparationofduties,whichdividesanoperationintodifferentpartsandrequiresdifferentuserstoperformeachpart.Thispreventsauthorizedusersfrommakingunauthorizedmodificationstodata,therebyprotectingitsintegrity.</p>[單選題]79.Whendeterminingdataandinformationassethandling,regardlessofthespecifictoolsetbeingused,whichofthefollowingisoneofthecommoncomponentsofbigdata?在確定數(shù)據(jù)和信息資產(chǎn)處理時(shí)，無論使用何種特定工具集，以下哪項(xiàng)是大數(shù)據(jù)的常見組件？A)Consolidateddatacollection合并數(shù)據(jù)收集B)Distributedstoragelocations分布式存儲(chǔ)位置C)Distributeddatacollection分布式數(shù)據(jù)采集D)Centralizedprocessinglocation集中處理位置答案:C解析:[單選題]80.Anengineernoticessomelatecollisionsonahalf-duplexlink.Theengineerverifiesthatthedevicesonbothendsoftheconnectionareconfiguredforhalfduplex.WhichofthefollowingistheMOSTlikelycauseofthisissue?工程師注意到半雙工鏈路上出現(xiàn)一些延遲沖突。工程師驗(yàn)證連接兩端的設(shè)備是否配置為半雙工。以下哪項(xiàng)最有可能導(dǎo)致此問題？A)Thelinkisimproperlyterminated鏈接未正確終止B)Oneofthedevicesismisconfigured其中一個(gè)設(shè)備配置錯(cuò)誤C)Thecablelengthisexcessive.電纜長度過長。D)Oneofthedeviceshasahardwareissue.其中一個(gè)設(shè)備存在硬件問題。答案:A解析:[單選題]81.以下哪種陳述是針對(duì)基于狀態(tài)的分析作為功能軟件測試技術(shù)的?A)它可用于測試通信協(xié)議和圖形用戶界面。B)它的特點(diǎn)是在函數(shù)中執(zhí)行的過程的無狀態(tài)行為。C)測試輸入來自給定功能規(guī)范的衍生邊界。D)整個(gè)分區(qū)可以通過僅考慮該分區(qū)中的一個(gè)代表性值來涵蓋。答案:A解析:[單選題]82.Whattermiscommonlyusedtodescribehardwareandsoftwareassetsthatarestoredinaconfigurationmanagementdatabase（CMDB）?什么術(shù)語通常用于描述存儲(chǔ)在配置管理數(shù)據(jù)庫（CMDB）中的硬件和軟件資產(chǎn)？A)Configurationelement配置元素B)Assetregister資產(chǎn)清冊(cè)C)Ledgeritem分類科目D)Configurationitem配置項(xiàng)答案:D解析:[單選題]83.以下哪種攻擊類型利用了晚作系統(tǒng)網(wǎng)絡(luò)分段功能中的漏洞?A)SmurfB)LandC)淚滴D)Fraggle答案:C解析:在淚滴收擊中,攻擊者通過將流量分段,使得操作系統(tǒng)無法重新組裝它們,若系統(tǒng)運(yùn)行的是現(xiàn)代操作系統(tǒng),則不容易受到這種攻擊,但這種攻擊說明了一個(gè)道理:指望用戶遵循規(guī)范而不進(jìn)行適當(dāng)?shù)漠惓Ｌ幚硎窍裎ｋU(xiǎn)的.Inateardropartack,theatrackerfragmentstrafficinsuchawaythatthesystemisunabietoreassembleThem.Modernsystemsarenotvulnerabletothisattackiftheyruncurrentoperatingsystems,buttheconceptofthisattackillustratesthedangerofrelyinguponusersfollowingprotocolspecificationsinsteadofperformingproperexceptionhandling.[單選題]84.Aninformationsecurityprofessionalisreviewinguseraccesscontrolsonacustomer-facingapplication.Theapplicationmusthavemulti-factorauthentication（MFA）inplace.Theapplicationcurrentlyrequiresausernameandpasswordtologin.WhichofthefollowingoptionswouldBESTimplementMFA?信息安全專業(yè)人員正在審查面向客戶的應(yīng)用程序上的用戶訪問控制。應(yīng)用程序必須具有多因素身份驗(yàn)證（MFA）。應(yīng)用程序當(dāng)前需要用戶名和密碼才能登錄。以下哪個(gè)選項(xiàng)最適合實(shí)施MFA？A)Geolocatetheuserandcomparetopreviouslogins地理定位用戶并與以前的登錄進(jìn)行比較B)Requireapre-selectednumberaspartofthelogin登錄時(shí)需要預(yù)選號(hào)碼C)Havetheuseranswerasecretquestionthatisknowntothem讓用戶回答他們知道的秘密問題D)Enteranautomaticallygeneratednumberfromahardwaretoken輸入從硬件令牌自動(dòng)生成的數(shù)字答案:C解析:[單選題]85.將安全補(bǔ)丁應(yīng)用于先前在通用標(biāo)準(zhǔn)(CC)評(píng)估保證級(jí)別(EAL)4中驗(yàn)證的產(chǎn)品將0分A)一個(gè)。需要更新保護(hù)配置文件(PP)。B)需要重新認(rèn)證。C)保留其當(dāng)前的EAL評(píng)級(jí)。D)將產(chǎn)品降低到EAL3。答案:B解析:[單選題]86.-個(gè)組織正在選擇-個(gè)服務(wù)提供商,以協(xié)助合并多個(gè)計(jì)算站點(diǎn),包括各種計(jì)算機(jī)系統(tǒng)的開發(fā)、實(shí)現(xiàn)和持續(xù)支持。以下哪項(xiàng)必須經(jīng)信息安全部門核實(shí)?A)服務(wù)供應(yīng)商的政第與ISOIEC27001一致,有證據(jù)表明服務(wù)供應(yīng)新遵低這些政策。B)服務(wù)供應(yīng)商將隔商其蕊統(tǒng)內(nèi)的數(shù)據(jù),并確保符合每個(gè)區(qū)域的政策.C)服務(wù)提供商格實(shí)施符合或超出當(dāng)前系統(tǒng)控制拍的控制和保護(hù),開生成審核日志作為驗(yàn)證。D)服務(wù)供應(yīng)商的政策可以滿足新環(huán)境捉出的要求,即使它們與組織當(dāng)前的政餓不同.答案:D解析:[單選題]87.在業(yè)務(wù)連續(xù)性規(guī)劃(BCP)中,記錄業(yè)務(wù)流程的重要性是什么?A)為高級(jí)管理層提供決策工具B)建立并采用持續(xù)的測試和維護(hù)策略C)定義誰將在災(zāi)難或緊急情況下執(zhí)行哪些功能。D)提供對(duì)組織相互依存關(guān)系的理解答案:D解析:[單選題]88.在確定誰可以接受與漏洞相關(guān)的風(fēng)險(xiǎn)時(shí)，以下哪項(xiàng)最重要？A)對(duì)策有效性B)潛在損失類型C)事件可能性D)信息所有權(quán)答案:C解析:風(fēng)險(xiǎn)評(píng)估重要的是明確風(fēng)險(xiǎn)的可能性和影響[單選題]89.MonicaisthelTdirectorofalargeprintingpress.Shehasbeenmadeawareofseveralattemptsofbruteforcepasswordattackswithinthepastweeks.WhichofthefollowingreactionswouldsuitMonicabest?莫妮卡是大型印刷廠的IT總監(jiān),她已經(jīng)意識(shí)到在過去一周發(fā)生了幾次暴力密碼攻擊的嘗試,下列哪種反應(yīng)更適合莫妮卡?A)Reducetheclippinglevel減少剪輯級(jí)別B)Findamoreeffectiveencryptionmechanism找到一種更有效的加密機(jī)制C)Increaseemployeeawarenessthroughwarningbannersandtraining通過警告標(biāo)語和培訓(xùn)增強(qiáng)員工的意識(shí)D)implementspywareprotectionthatisintegratedintothecurrentantivirusproduct實(shí)施間諜軟件保護(hù),集成防病毒產(chǎn)品答案:A解析:[單選題]90.Renee正在與她的董事會(huì)討論他們審查網(wǎng)絡(luò)安全控制的責(zé)任。什么規(guī)則要求高級(jí)管理人員對(duì)信息安全事務(wù)承擔(dān)個(gè)人責(zé)任?Reneeisspeakingtoherboardofdirectorsabouttheirresponsibilitiestoreviewcyber-securitycontrols.Whatrulerequiresthatseniorexecutivestakepersonalresponsibilityforinformationsecuritymatters?A)應(yīng)盡職責(zé)規(guī)則DuediligenceruleB)個(gè)人責(zé)任規(guī)則PersonalliabilityruleC)謹(jǐn)慎人規(guī)則PrudentmanruleD)應(yīng)盡程序規(guī)則Dueprocessrule答案:C解析:謹(jǐn)慎人規(guī)則要求高級(jí)管理人員承擔(dān)個(gè)人責(zé)任,為了確保普通、謹(jǐn)慎的個(gè)人在相同情況下會(huì)表現(xiàn)出應(yīng)盡關(guān)注。該規(guī)則最初適用于財(cái)務(wù)事項(xiàng),但聯(lián)邦量刑指南于1991年將其應(yīng)用于美國的信息安全事項(xiàng)。Theprudentmanrulerequiresthatseniorexecutivestakepersonalresponsibilityforensuringtheduecarethatordinary,prudentindividualswouldexerciseinthesamesituation.Theruleoriginallyappliedtofinancialmatters,buttheFederalSentencingGuidelinesappliedthemtoinformationsecuritymattersintheUnitedStatesin1991.[單選題]91.Duringafingerprintverificationprocess,whichofthefollowingisusedtoverifyid