CISSP考試練習(習題卷14)

試卷科目：CISSP考試練習CISSP考試練習(習題卷14)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考試練習第1部分：單項選擇題，共100題，每題只有一個正確答案,多選或少選均不得分。[單選題]1.以下哪一項能有效隱藏并保護網(wǎng)絡內部的計算機,避免來自網(wǎng)絡外部威脅的攻擊?A)ARP地址解析協(xié)議B)RARP反向地址解析協(xié)議C)DHP動態(tài)主機配置協(xié)議D)NAT網(wǎng)絡地址轉換答案:D解析:略章節(jié)：模擬考試202201[單選題]2.以下哪一項是滲透測試后最相關的風險指標?A)易受遠程利用攻擊的主機列表B)漏洞的詳細信息和建議的補救措施C)識別和掃描漏洞的網(wǎng)絡上的目標系統(tǒng)列表D)成功利用漏洞的詳細信息答案:D解析:[單選題]3.IsaacwantstoensurethathisVoIPsessioninitializationissecure.WhatProtocolshouldheensureisenabledandrequired?Isaac希望確保他的VoIP會話初始化是安全的。他應該確保啟用和需要什么協(xié)議？A)SVOIPB)PBSXC)SIPSD)SRTP答案:C解析:略章節(jié)：模擬考試202201[單選題]4.Nessus、OpenVAS和SAINT都是什么類型工具的例子?A)端口掃描器B)補丁管理套件C)端口映射器D)漏洞掃描器答案:D解析:Nessus、OpenVAS、開放漏洞評估掃描器和管理器以及SAINT都是漏洞掃描工具。它們都提供端口掃描功能,但不僅是簡單的端口掃描工具。Nessus,OpenVAS,theOpenVulnerabilityAssessmentscannerandmanager,andSAINTareallvulnerabilityscanningtools.Allprovideportscanningcapabilitiesaswellbutaremorethansimpleportscanningtools.[單選題]5.不具有計算機或通信設備，而具有地板，電寫入，空調等設備，要操作信息處理設備的異地備份設施最好被稱為？A)熱站B)重復處理設施C)冷站D)暖站答案:C解析:[單選題]6.MOM.WhichofthefollowingisnotacomponentofMOM?要理解犯罪的原因,很多時候必須了解MOM。下列哪一個不是MOM的組成因素?A)Means方式B)Opportunities機會C)Motivation動機D)Methods方法答案:D解析:[單選題]7.WhichlayeroftheOpenSystemsInterconnections（OSI）modelimplementationaddsinformationconcerningthelogicalconnectionbetweenthesenderandreceiver?開放系統(tǒng)互連（OSI）模型實現(xiàn)的哪一層添加了有關發(fā)送方和接收方之間邏輯連接的信息？A)Physical物理層B)Session會話層C)Transport傳輸層D)Data-Link數(shù)據(jù)鏈路層答案:C解析:[單選題]8.以下哪個角色有義務確保第三方提供商有能力安全地處理數(shù)據(jù)，并符合組織所指定的標準？Whichofthefollowingroleshastheobligationtoensurethatathirdpartyprovideriscapableofprocessingandhandlingdatainasecuremannerandmeetingthestandardssetbytheorganization?A)數(shù)據(jù)監(jiān)管者DataCustodianB)數(shù)據(jù)所有者DataOwnerC)數(shù)據(jù)創(chuàng)建者DataCreatorD)數(shù)據(jù)使用者DataUser答案:B解析:[單選題]9.(04125)在設計一個多用戶訪問的網(wǎng)絡信息系統(tǒng)時，確保所有訪問控制需求都得到處理的第一步是？A)建立訪問控制列表（ACL）B)建立訪問控制列表（ACL）C)建立訪問控制列表（ACL）D)建立訪問控制列表（ACL）答案:D解析:[單選題]10.Whywouldasystembestructuredtoisolatedifferentclassesofinformationfromoneanotherandsegregatethembyuserjurisdiction?為什么系統(tǒng)的結構會將不同類別的信息彼此隔離，并按用戶權限將其隔離？A)Theorganizationcanavoide-discoveryprocessesintheeventoflitigation.在發(fā)生訴訟時，公司可以避免電子查詢過程。B)Theorganization'sinfrastructureisclearlyarrangedandscopeofresponsibilityissimplified.組織的基礎設施安排明確，責任范圍簡化。C)Theorganizationcanvaryitssystempoliciestocomplywithconflictingnationallaws.該組織可以改變其系統(tǒng)政策，以符合相互沖突的國家法律。D)Theorganizationisrequiredtoprovidedifferentservicestovariousthird-partyorganizations.組織需要向各種第三方組織提供不同的服務。答案:C解析:[單選題]11.Susan的組織是一個聯(lián)合的一部分,該聯(lián)合允許來自多個組織的用戶訪問其他聯(lián)合站點上的資源和服務。當Susan想要在合作伙伴站點使用服務時,使用哪個身份提供者?Susan'sorganizationispartofafederationthatallowsusersfrommultipleorganizationstoaccessresourcesandservicesatotherfederatedsites.WhenSusanwantstopartnersite,whichidentityproviderisused?A)Susan所在組織的身份提供者Susan'shomeorganization'sidentityproviderB)服務提供商的身份提供者Theserviceprovider'sidentityproviderC)他們的身份提供者和服務提供商的身份提供者Boththeiridentityproviderandtheserviceprovider'sidentityproviderD)服務提供者創(chuàng)建新身份Theserviceprovidercreatesanewidentity答案:A解析:[單選題]12.WhoshouldreceiveinitialbusinesscontinuityplantraininginanOrganization?誰應該在組織中接受初始業(yè)務連續(xù)性計劃培訓？A)Seniorexecutives高級管理人員B)Thosewithspecificbusinesscontinuityroles具有特定業(yè)務連續(xù)性角色的人員C)Everyoneintheorganization組織中的每個人D)Firstresponders第一響應者答案:C解析:組織中的每個人都應該接受關于業(yè)務連續(xù)性計劃的性質和范圍的基本培訓。那些具有特定角色的人，例如急救人員和高級管理人員，也應該接受詳細的.針對特定角色的培訓。章節(jié)：模擬考試202201[單選題]13.以下哪一項最能防止外包軟件開發(fā)中出現(xiàn)的安全缺陷?A)代碼質量的合同要求B)許可、代碼所有權和知識產權C)對所做工作的質量和準確性進行認證D)交貨日期、變更管理控制和預算控制答案:C解析:[單選題]14.代理防火墻在開放系統(tǒng)互連(OSI)模型的哪個層運行?A)運輸B)數(shù)據(jù)鏈接C)網(wǎng)絡D)應用答案:D解析:[單選題]15.Joanna是她所在組織的CISO,在她的安全運營監(jiān)督角色中,她希望確保對與安全相關的變更進行管理監(jiān)督。在大多數(shù)組織中,她應該關注什么系統(tǒng)來跟蹤此類數(shù)據(jù)?A)SIEM系統(tǒng)B)IPS系統(tǒng)C)CMS工具D)ITSM工具答案:D解析:[單選題]16.安全操作中心(SOC)在服務器上收到事件響應通知,服務器上插有主動入侵者,該入侵者已植入后門。發(fā)送初始通知并建立通信。在執(zhí)行下一步之前,必須考慮或評估什么?A)在堆套服務器硬盤內容之前,通知執(zhí)法至關重要B)確定誰執(zhí)行了該事件比事件發(fā)生方式更重要C)從網(wǎng)絡中刪除服務器可能會阻止捕獲入侵者D)將硬盤的內容復制到其他存儲設備可能會損壞證據(jù)答案:C解析:[單選題]17.WhileimpersonatinganInformationSecurityOfficer（ISO）,anattackerobtainsinformationfromcompanyemployeesabouttheirUserIDsandpasswords.Whichmethodofinformationgatheringhastheattackerused?攻擊者在模擬信息安全官員（ISO）時，從公司員工那里獲取有關其用戶ID和密碼的信息。攻擊者使用了哪種信息收集方法？A)Trustedpath可信路徑B)Maliciouslogic惡意邏輯C)Socialengineering社會工程學D)Passivemisuse被動濫用答案:C解析:[單選題]18.信息系統(tǒng)的計劃原因外在于哪一個設備？A)硬件故障B)自然災害C)人為錯誤D)軟件故障答案:A解析:[單選題]19.以下哪一個是使用安全指標的最佳理由?A)它們確保組織實現(xiàn)其安全目標。B)它們?yōu)樾畔⒓夹g(IT)治理提供了適當?shù)目蚣堋)他們加快了量化迭位風險評估的進程。D)它們量化了安全流程的有效性。答案:B解析:[單選題]20.Gary正準備圍繞對根加密密鑰的訪問開發(fā)控制,并希望應用專為非常敏感的操作設計的安全原則。他應該應用哪個原則?A)LeastprivilegeB)DefenseindepthC)SecuritythroughobscurityD)Two-personcontrol答案:D解析:Gary應遵循兩人控制的原則,要求兩個獨立的授權個人同時采取行動以訪問加密密鑰。他還應該應用最小特權和縱深防御的原則,但這些原則適用于所有操作,而不是特定于敏感操作。Gary應該避免通過晦澀原則實現(xiàn)安全,即依賴安全機制的保密性來為系統(tǒng)或進程提供安全性。[單選題]21.Whenassessinganorganization'ssecuritypolicyaccordingtostandardsestablishedbytheInternationalOrganizationforStandardization（ISO）27001and27002,whencanmanagementresponsibilitiesbedefined?當根據(jù)國際標準化組織（ISO）27001和27002制定的標準評估組織的安全政策時，何時可以定義管理責任？A)Onlywhenassetsareclearlydefined只有在明確定義資產時B)Onlywhenstandardsaredefined僅當定義了標準時C)Onlywhencontrolsareputinplace僅當控制裝置就位時D)Onlyproceduresaredefined僅定義了程序答案:A解析:[單選題]22.為什么編譯型代碼會比解釋型代碼帶來更大的風險？A)因為惡意代碼可以被嵌入在編譯型代碼中，而且難以檢測B)因為瀏覽器可以安全地執(zhí)行所有解釋型附屬程序C)因為編譯器不可靠D)事實并非如此，解釋型代碼會比編譯型代碼造成更多風險答案:A解析:[單選題]23.您的組織正在考慮部署一個DCE,以支持基于流行電影系列角色的大型多人在線角色扮演游戲(MMORPG)。DCE的主要關注點是什么,它可能允許惡意軟件的傳播,或者使敵對的旋轉和橫向移動變得容易?A)未經(jīng)授權的用戶訪問B)身份欺騙C)組件的互連性D)可憐的身份驗證答案:C解析:分布式計算環(huán)境(DCE)的主要安全問題是組件的互連性。這種配置也可能導致錯誤或惡意軟件的傳播。如果對手破壞了一個組成部分,它可能授予他們通過旋轉和橫向運動來破壞集體中的其他組成部分的能力。其他選項都不正確。未經(jīng)授權的用戶訪問、身份欺騙和糟糕的身份驗證是大多數(shù)系統(tǒng)的潛在弱點;它們不是DCE解決方案所特有的。然而,這些問題可以通過適當?shù)脑O計、編碼和測試直接解決。然而,組件的互連性是DCE的固有特性,如果不拋棄DCE設計概念本身,就無法消除這種特性。[單選題]24.Howlongshouldtherecordsonaprojectberetained?項目記錄應保留多長時間？A)Forthedurationoftheproject,oratthediscretionoftherecordowner在項目期間，或由記錄所有人決定B)Untiltheyarenolongerusefulorrequiredbypolicy直到它們不再有用或政策不再需要C)Untilfiveyearsaftertheprojectends,thenmovetoarchives直到項目結束五年后，再轉移到檔案館D)Forthedurationoftheorganizationfiscalyear組織財政年度期間答案:B解析:[單選題]25.以下哪項密碼攻擊描述了攻擊者有明文的副本和相應的密文？A)強力攻擊B)密文C)選擇明文D)已知明文答案:D解析:<p>Thegoaltothistypeofattackistofindthecryptographickeythatwasusedtoencryptthemessage.Oncethekeyhasbeenfound,theattackerwouldthenbeabletodecryptallmessagesthathadbeenencryptedusingthatkey.</p>[單選題]26.以下哪項行為被用來定義網(wǎng)絡設備組織方便溝通的行為A)LAN媒體接入方法B)LAN變速協(xié)議C)LAN變速方法D)LAN拓撲答案:D解析:<p>Anetworktopologydefinesthemannerinwhichthenetworkdevicesareorganizedtofacilitate</p><p>communications.</p>[單選題]27.Alice是一個獨立Web服務器的管理員,按Ctrl+Alt+Del激活了登錄窗口,并通過質詢響應(challenge-response)身份驗證,使用她的本地用戶帳戶登錄到服務器。服務器最容易受到以下專利攻擊?A)側通道(SideChannel)B)Kerberos利用(Kerberosexploitation)C)傳遞哈希(Passthehash)D)故障注入(Faultinjection)答案:C解析:[單選題]28.信息和相關技術控制目標(COBIT)是信息技術(IT)管理和治理的框架。哪個數(shù)據(jù)管理角色最有可能選擇并應用COBIT來平衡安全控制需求與業(yè)務需求?A)業(yè)務所有者B)數(shù)據(jù)處理者C)數(shù)據(jù)所有者D)數(shù)據(jù)管理員答案:A解析:[單選題]29.TheMAINreasonanorganizationconductsasecurityauthorizationprocessisto組織執(zhí)行安全授權流程的主要原因是A)forcetheorganizationtomakeconsciousriskdecisions.迫使組織做出有意識的風險決策。B)assuretheeffectivenessofsecuritycontrols.確保安全控制的有效性。C)assurethecorrectsecurityorganizationexists.確保存在正確的安全組織。D)forcetheorganizationtoenlistmanagementsupport.強制組織獲得管理支持。答案:A解析:[單選題]30.Limitingtheprocessor,memory,andInput/output（I/O）capabilitiesofmobilecodeisknownas限制移動代碼的處理器、內存和輸入/輸出（I/O）能力稱為A)coderestriction.代碼限制。B)on-demandcompile.按需編譯。C)sandboxing.沙箱。D)compartmentalization.劃分。答案:C解析:[單選題]31.根據(jù)(ISC)2道德規(guī)范,CISSP應該如何行事?A)誠實、勤勉、負責、合法B)光榮地、誠實地、公正地、負責任地和合法地C)維護安全政策和保護組織D)值得信賴、忠誠、友好、禮貌答案:B解析:[單選題]32.關于資產安全和適當保留,以下三個初始領域中哪些領域是需要重點關注的?A)安全控制基線、訪問控制、員工意識和培訓B)人力資源、資產管理、生產管理C)供應鏈的發(fā)布時間、庫存控制、加密D)測謊儀、犯罪統(tǒng)計、法醫(yī)答案:A解析:[單選題]33.WhichWideAreaNetwork（WAN）technologyrequiresthefirstrouterinthepathtodeterminethefullpaththepacketwilltravel,removingtheneedforotherroutersinthepathtomakeindependentdeterminations?哪種廣域網(wǎng)（WAN）技術需要路徑中的第一個路由器來確定數(shù)據(jù)包將要傳輸?shù)耐暾窂剑恍枰窂街械钠渌酚善鱽磉M行獨立的確定？A)MultiprotocolLabelSwitching（MPLS）多協(xié)議標簽交換（MPLS）B)SynchronousOpticalNetworking（SONET）同步光網(wǎng)絡（SONET）C)SessionInitiationProtocol（SIP）會話啟動協(xié)議（SIP）D)FiberChannelOverEthernet（FCoE）以太網(wǎng)光纖通道（FCoE）答案:A解析:[單選題]34.Ifacontentmanagementsystem（CMC）isimplemented,whichoneofthefollowingwouldoccur?如果實施了內容管理系統(tǒng)（CMC），會出現(xiàn)以下哪種情況？A)Developerswouldnolongerhaveaccesstoproductionsystems開發(fā)人員將無法再訪問生產系統(tǒng)B)Theapplicationsplacedintoproductionwouldbesecure投入生產的應用程序將是安全的C)Patchingthesystemswouldbecompletedmorequickly修補系統(tǒng)將更快完成D)Thetestandproductionsystemswouldberunningthesamesoftware測試和生產系統(tǒng)將運行相同的軟件答案:D解析:[單選題]35.Managementsupportiscriticaltothesuccessofabusinesscontinuityplan.Whichofthefollowingisthemostimportanttobeprovidedtoleadershiptoobtaintheirsupport?業(yè)務連續(xù)性計劃關鍵的成功因素是管理層支持,下面哪項是向領導層提供的最重要的材料來獲取他們的支持?A)Businesscase業(yè)務案例B)Businessimpactanalysis業(yè)務影響分析C)Riskanalysis風險分析D)Threatreport威脅報告答案:A解析:[單選題]36.下面的所有選項中除了一個選項以外，都是安全策略的組件嗎？A)問??題的定義和相關條款的聲明B)角色和職責的聲明C)適用性和合規(guī)性要求的聲明D)特征和需求執(zhí)行的聲明答案:C解析:<p>政策被認為是第一和最高級別的文檔，標準、程序和指南的較低級別元素從該文件中流出。然而，這個順序并不<br/>意味著策略比低級元素更重要。這些更高級別的政策，<br/>是更一般的政策和聲明，應該在流程中首先創(chuàng)建<br/>出于戰(zhàn)略原因，然后可以遵循更多的戰(zhàn)術元素。</p>[單選題]37.以下哪項在筆記本電腦被盜時提供最強的保護,防止敏感信息的數(shù)據(jù)被盜?A)一個。設置BIOS和操作系統(tǒng)密碼B)加密可存儲機密文件的虛擬驅動器C)實施強制策略,其中敏感數(shù)據(jù)不能存儲在便攜式計算機上,而只能存儲在公司網(wǎng)絡上D)加密整個磁盤并在一定次數(shù)的失敗訪問嘗試后刪除內容答案:D解析:[單選題]38.Christopher擁有一家奶酪蛋糕店,他的會計員無法查看員工個人的薪水信息,但會計員想知道新員工的薪水。會計員在新人被雇用之前提取了工資支付期間的總工資支出,然后在下一個工資支付期內也提取了總工資支出。他通過計算這兩個金額之間的差額來確定新員工的薪水。發(fā)生了什么類型的攻擊?A)聚合B)數(shù)據(jù)填充C)推理D)社會工程答案:C解析:[單選題]39.新安全計劃的成本效益分析(CBA)的結果是什么？WhatdoestheresultofCost-BenefitAnalysis(CBA)onnewsecurityinitiativesprovide?A)可量化的理由QuantifiablejustificationB)基線改進BaselineimprovementC)風險評估RiskevaluationD)正式接受Formalizedacceptance答案:A解析:[單選題]40.以下哪項控制在檢測零日攻擊方面最有效?A)基于簽名的入侵檢測B)基于異常的入侵檢測C)強大的補丁管理D)全盤加密答案:B解析:基于異常的入侵檢測系統(tǒng)可以識別零日漏洞,因為異?；顒用黠@不同于正常活動模式?；诤灻臋z測方法沒什么用,因為沒有針對零日漏洞的簽名。強大的補丁管理不會有什么幫助,因為根據(jù)定義,沒有針對零日漏洞的補丁。全磁盤加密不會檢測出攻擊,因為它不是檢測控制措施。Anomaly-basedintrusiondetectionsystemsmayidentifyazero-dayvulnerabilitybecauseitdeviatesfromnormalpatternsofactivity.Signature-baseddetectionmethodswouldnotbeeffectivebecausetherearenosignaturesforzero-dayvulnerabilities.Strongpatchmanagementwouldnotbehelpfulbecause,bydefinition,zero-dayvulnerabilitiesdonothavepatchesavailable[單選題]41.在OSI模型,邏輯鏈路控制層(LLC)的功能是什么?A)為網(wǎng)絡層協(xié)議提供標準接口B)為數(shù)據(jù)鏈路層提供幀功能C)在封裝過程中提供數(shù)據(jù)包的尋址D)提供將"位"轉換為電信號的功能答案:A解析:[單選題]42.自主訪問控制(DAC)基于以下哪項?A)信息源和目標B)受試者和目標的識別C)安全標簽和權限D)標準和指南答案:B解析:[單選題]43.Followingapenetrationtest,whatshouldanorganizationdoFIRST?滲透測試之后，組織首先應該做什么？A)Reviewallsecuritypoliciesandprocedures.審查所有安全政策和程序。B)Ensurestaffistrainedinsecurity.確保員工接受過安全培訓。C)Determineifyouneedtoconductafullsecurityassessment.確定是否需要進行全面的安全評估。D)Evaluatetheproblemsidentifiedinthetestresult.評估測試結果中發(fā)現(xiàn)的問題。答案:D解析:[單選題]44.業(yè)務連續(xù)性計劃可以通過一些測試來進行評估。哪種測試類型是持續(xù)進行,直到真正地搬到了異地設施處并真正配置了替換設備為止?A)Paralleltest并行測試B)Checklisttest檢查表測試C)Structuredwalk-throughtest組織排練測試D)Simulationtest模擬測試答案:A解析:略章節(jié)：模擬考試202201[單選題]45.下面哪一個選項地描述了系統(tǒng)信息和最佳之間的區(qū)別？A)系統(tǒng)負責制定信息合理使用的規(guī)則。B)信息定義負責系統(tǒng)的運行參數(shù)。C)一個系統(tǒng)可以有多個信息。D)系統(tǒng)關系和信息之間是一對的。答案:C解析:[單選題]46.以下哪一項由信息所有者負責?A)確保用戶和人員完成訪問信息系統(tǒng)所需的安全培訓(IS)B)定義對信息系統(tǒng)(IS)的正確訪問,包括特權或訪問權限C)管理常見安全控制的識別、實施和評估D)確保信息系統(tǒng)(IS)按照商定的安全要求運行答案:C解析:[單選題]47.Regardingbusinesscontinuity,whichofthefollowingactivitiespresentsinformationabouttheBCPIDRPprogram?關于業(yè)務連續(xù)性,下列哪一項活動展示了BCP/DRP計劃的相關信息?A)Planning計劃B)Communication溝通C)upgrade升級D)Start啟動答案:B解析:[單選題]48.Forprivacyprotecteddata,whichofthefollowingroleshasthehighestauthorityforestablishingdisseminationrulesforthedata?對于受隱私保護的數(shù)據(jù)，以下哪個角色在制定數(shù)據(jù)傳播規(guī)則方面擁有最高權限？A)InformationSystemsSecurityOfficer信息系統(tǒng)安全官B)DataOwner數(shù)據(jù)擁有者C)SystemSecurityArchitect系統(tǒng)安全架構師D)SecurityRequirementsAnalyst安全需求分析師答案:B解析:[單選題]49.大型金融機構的安全分析師正在審查與事件相關的網(wǎng)絡流量。分析師確定流量與調查無關,但在轉速過程中,分析師還發(fā)現(xiàn),包括完整信用卡持卡人數(shù)據(jù)在內的應用程序數(shù)據(jù)以清晰文本在服務器和用戶桌面之間傳輸。分析師知道這違反了支付卡行業(yè)數(shù)據(jù)安全標準(PCI-DSS)。分析師的下一步是以下哪一個?A)將日志文件同事發(fā)送以供同行評審B)在事件報告中包括完整的網(wǎng)絡流量日志C)遵循組織流程,提醒適當?shù)膱F隊解決問題。D)忽略數(shù)據(jù),因為它不在調查范圍和分析師的角色范圍之外。答案:C解析:[單選題]50.下列哪一個是使用了高級編程語言的好處？A)它需要程序控制存儲管理B)它降低了程序執(zhí)行的實際C)它實施了標準編碼D)它允許程序員定義語法答案:C解析:<p>Codingstandardsareenforcedbecauseaspecificordertostatementsarerequiredandthereisrequiredsyntaxthatalsomustbeused.High-Levellanguagesareeasiertoreadbecauseoftheenglishlikestatements.</p>[單選題]51.Whicheventmagnitudeisdefinedasdeadly,destructive,anddisruptivewhenahazardinteractswithhumanvulnerability?當危險與人類脆弱性相互作用時，哪種事件級別被定義為致命、破壞性和破壞性？A)Disaster災難B)Catastrophe浩劫C)Crisis危機D)Accident意外答案:B解析:[單選題]52.(04124)在設計計算機系統(tǒng)時，引入TPM可信任平臺模塊(TrustedPlatformModule)的目的是？A)建立一個安全的初始狀態(tài)B)建立一個安全的初始狀態(tài)C)建立一個安全的初始狀態(tài)D)建立一個安全的初始狀態(tài)答案:D解析:[單選題]53.以下哪個of是滲透測試計劃的第一步?A)分析目標網(wǎng)絡的網(wǎng)絡圖B)通知公司客戶C)獲得公司管理層的批準D)在影響最小的期間安排滲透測試答案:C解析:[單選題]54.在什么類型的軟件測試中,攻擊者在開始測試之前對系統(tǒng)有了徹底了解?A)黑盒B)藍盒C)灰盒D)白盒答案:D解析:在白盒測試中,攻擊者在開始測試之前可以訪問系統(tǒng)的完整實現(xiàn)細節(jié),包括源代碼。灰盒測試中,攻擊者只擁有部分知識。在黑盒測試中,攻擊者完全不了解系統(tǒng),只是從用戶角度來測試它。藍盒是手機黑客工具,不用于軟件測試。Inawhiteboxtest,theattackerhasaccesstofullimplementationdetailsofthesystem,includingsourcecode,priortobeginningthetest.Ingrayboxtesting,theattackerhaspartialknowledge.Inblackboxtesting,theattackerhasnoknowledgeofthesystemandtestsitfromauserperspective.Blueboxesareaphonehackingtoolandarenotusedinsoftwaretesting.[單選題]55.單一共享相同的資源訪問的流程被稱為：A)可信計算基數(shù)（TCB）B)保護域C)訪問控制三聯(lián)D)訪問控制列表答案:B解析:[單選題]56.securityiscommonlycalled去除不必要的進程,分離的進程間通信,并降低執(zhí)行權限,增加系統(tǒng)的安全性通常被稱為:A)Hardening強化B)Segmenting分段C)Aggregating聚合D)Kerneling內核化答案:A解析:[單選題]57.Mark計劃為他的組織進行災難恢復測試。他想對災難恢復設施進行實時測試,但不想干擾主要設施的運行。Mark應該選擇什么類型的測試?A)全中斷測試B)清單審查C)并行測試D)桌面練習答案:C解析:在并行測試期間,團隊實際上激活災難恢復站點進行測試,但主站點仍然保持運行。在完全中斷測試期間,團隊會清除主站點,并確認災難恢復站點能夠處理常規(guī)操作,完全中斷測試是最徹底的測試,但也最具破壞性。清單審核是最少破壞性的災難恢復測試類型,在清單審核期間,由團隊成員自己來審核災難恢復清單的內容,并對系統(tǒng)是否需要改進給出建議。在桌面練習期間,團隊成員會聚在一起討論,而不對信息系統(tǒng)進行任何更改。Duringaparalleltest,theteamactuallyactivatesthedisasterrecoverysitefortesting,buttheprimarysiteremainsoperational.Duringafullinterruptiontest,theteamtakesdowntheprimarysiteandconfirmsthatthedisasterrecoverysiteiscapableofhandlingregularoperations.[單選題]58.以下哪一項對審核員在審查系統(tǒng)配置時的最大幫助?A)更改管理流程B)用戶管理程序C)操作系統(tǒng)(OS)基線D)系統(tǒng)m備份文檔答案:A解析:[單選題]59.Mark的公司已被告知他們的Web應用程序存在缺陷。匿名個人已通知他們,他們有兩周的時間修復漏洞,然后將漏洞的詳細信息與示例漏洞利用代碼一起發(fā)布。聯(lián)系Mark公司的個人違反了什么行業(yè)規(guī)范?A)零日報告B)道德披露C)道德黑客D)(ISC)2漏洞披露道德聲明答案:B解析:[單選題]60.橙皮書描述了信息系統(tǒng)分類的四個等級層次，以下哪些級別需要強制性保護？A)A,B和CB)D和BC)B和CD)A和B答案:D解析:<p>LevelBisthefirsttorequireMandatoryProtection.Becausethehigherlevelsalsoinherittherequirementsofalllowerlevels,levelAalsorequiresMandatoryProtection.</p>[單選題]61.按照最佳做法,應在哪里指定每個部門和職務分類組合的允許訪問?A)一個。安全程序B)安全標準C)人力資源政策D)人力資源標準答案:B解析:[單選題]62.在一個組織中，誰是最終負責信息系統(tǒng)的安全性？A)培訓團隊B)管理團隊C)運營團隊D)技術支持團隊答案:B解析:<p>Ifthereisnosupportbymanagementtoimplement,execute,andenforcesecuritypoliciesandprocedure,thentheywon'twork.Seniormanagementmustbeinvolvedinthisbecausetheyhaveanobligationtotheorganizationtoprotecttheassets.Therequirementhereisformanagementtoshow"duediligence7'inestablishinganeffectivecompliance,orsecurityprogram.</p>[單選題]63.IT安全領域，隨隨便便能最好地定義？A)威脅突破B)威脅利用安全漏洞C)漏洞利用攻擊D)威脅漏洞答案:D解析:[單選題]64.國際?安全港?隱私原則包括七條原則。以下哪個選項是正確的?A)意識、選擇、控制、安全、數(shù)據(jù)完整性、訪問、執(zhí)行B)通知、選擇、向前轉移、安全、數(shù)據(jù)完整性、訪問、執(zhí)行C)隱私、安全、控制、通知、數(shù)據(jù)完整性、訪問、執(zhí)行D)提交、編輯、更新、機密性、完整性、安全、訪問答案:B解析:歐洲數(shù)據(jù)保護指令的七個宗旨是:通知、選擇、向前轉移、安全、數(shù)據(jù)完整性、訪問、執(zhí)行。TheEuropeanDataProtectionDirective'ssevenprimarytenetsare:Notice/Choice/Onwardtransfer/Security/Dataintegrity/Access/Enforcement[單選題]65.高級管理人員通常在業(yè)務連續(xù)性計劃團隊中擔任什么重要職能?Whatimportantfunctiondoseniormanagersnormallyfillonabusinesscontinuityplanningteam?A)仲裁關鍵性爭議ArbitratingdisputesaboutcriticalityB)評估法律環(huán)境EvaluatingthelegalenviromentC)培訓人員TrainningstaffD)設計故障控制Designingfaiurecontrols答案:A解析:[單選題]66.Jim開始了一個系統(tǒng)工程師的新工作,他的老板向他提供了一份題為《取證響應指南》的文件。下列哪一個陳述是不正確的?A)Jim必須遵守本文檔中的信息B)該文件包含有關取證檢查的信息C)Jim應該徹底閱讀文件D)該文件可能是基于行業(yè)的最佳實踐答案:A解析:指南根據(jù)整個行業(yè)的多年實踐為組織的實踐提供最佳建議,但不是強制性的。不遵守指南也是可以的。Guidelinesprovideadvicebasedonbestpracticesdevelopedthroughoutindustryandorganizations,buttheyarenotcompulsory.Compliancewithguidelines[單選題]67.Anattackerisabletoremainindefinitelyloggedintoaexploitingtoremainonthewebservice?攻擊者能夠無限期地登錄到漏洞中，以保持在web服務上？A)Alertmanagement警報管理B)Passwordmanagement密碼管理C)Sessionmanagement會話管理D)Identitymanagement（IM）身份管理（IM）答案:C解析:[單選題]68.下列哪個是執(zhí)行業(yè)務影響分析BIA最好說明的？A)對組織運營的威脅影響B(tài))對組織的風險損失C)對企業(yè)風險的影響D)為消除威脅的成本效益方式答案:B解析:[單選題]69.下列哪一項是CIA三元組中的原則,代表授權主體被授予及時和不間斷地訪問客體的權限?A)標識B)可用性C)加密D)分層防御答案:B解析:可用性指被授權的主體能及時和不間斷地訪問客體。[單選題]70.匿名者聯(lián)盟使用的低軌離子炮(LOIC)攻擊工具利用眾多家用PC攻擊其選定的目標。這是一個什么類型的網(wǎng)絡攻擊例子?A)DdoSB)電離C)僵尸部落D)淚滴答案:A解析:LOIC是分布式拒絕服務攻擊的一個例子。它使用很多系統(tǒng)來攻擊目標,并且由于攻擊者的數(shù)量和種類眾多而使得阻止攻擊變得很難。電離和僵尸部落攻擊都是生造出來的答案。淚滴攻擊是一種較老的攻擊方法,屬于拒絕服務攻擊,它會向目標機器發(fā)送損壞的IP包。LOICisanexampleofadistributeddenial-of-serviceattack.Itusesmanysystemstoattacktargets,combiningtheirbandwidthandmakingitdifficulttoshutdowntheattackbecauseofthenumberandvarietyofattackers.lonizationandZombiehordeattacksarebothmade-upanswers.[單選題]71.在通過環(huán)境設計預防犯罪（CPTED）中，以下哪一項最好的描述了屬地的概念？A)、保護具體區(qū)域使用不同的措施B)極端性C)習慣的習慣D)自主權答案:D解析:<p>通過環(huán)境設計預防犯罪（CPTED）是一個鼓勵<br/>個人對他們認為占據(jù)的領土感到主人翁和尊重的概念。通過<br/>鼓勵使用表達所有權的物理屬性，個人更容易<br/>在該環(huán)境中保護和了解<br/></p>[單選題]72.Individualshavebeenidentifiedanddeterminedashavinganeed-to-knowfortheinformation.WhichofthefollowingaccesscontrolmethodsMUSTincludeaconsistentsetofrulesforcontrollingandlimitingaccess?已確定并確定需要了解信息的個人。以下哪種訪問控制方法必須包含一組一致的訪問控制和限制規(guī)則？A)AttributeBasedAccessControl（ABAC）基于屬性的訪問控制（ABAC）B)Role-BasedAccessControl（RBAC）基于角色的訪問控制（RBAC）C)DiscretionaryAccessControl（DAC）自主訪問控制（DAC）D)MandatoryAccessControl（MAC）強制訪問控制（MAC）答案:D解析:[單選題]73.一家總部在美國的醫(yī)療機構，在法國設有分支機構，組織需要在兩個地方驗證新藥物的數(shù)據(jù)，哪種是最有效的處理數(shù)據(jù)方式?A)數(shù)據(jù)共享B)數(shù)據(jù)脫敏后在美國測試C)數(shù)據(jù)存儲在法國D)無法有效的實現(xiàn)答案:B解析:略章節(jié)：模擬考試202201[單選題]74.組織允許ping流量進出其網(wǎng)絡。攻擊者已在網(wǎng)絡上安裝一個程序,該程序使用ping數(shù)據(jù)包的有效載荷部分將數(shù)據(jù)移入和移出網(wǎng)絡。組織經(jīng)歷了什么類型的攻擊?A)數(shù)據(jù)泄漏B)未經(jīng)過濾的通道C)數(shù)據(jù)傳發(fā)出D)隱蔽通道答案:D解析:[單選題]75.RAID磁盤名稱等級1將數(shù)據(jù)從一個磁盤組到一個磁盤組A)將數(shù)據(jù)復制到另一種磁盤或軸承上。B)將數(shù)據(jù)移動到其他磁盤或軸承。C)建立連接到另一種磁盤或軸承。D)建立雙尋址到磁盤或石墨。答案:A解析:通過復制過程同時[單選題]76.計算機法律將計算機相關犯罪分類三類,下面哪一類是作為附帶計算機犯罪的一個案例？A)Carryingoutabufferoverflowtotakecontrolofsystem進行緩沖區(qū)溢出來控制系統(tǒng)B)Theelectronicdistributionofchildpornography兒童色情物品的數(shù)字發(fā)行C)Attackingfinancialsystemstostealfunds攻擊金融系統(tǒng)以偷取資金D)Capturingpasswordsastheyaresenttotheauthenticationserver在密碼被發(fā)送到驗證服務器時截獲它們答案:B解析:略章節(jié)：模擬考試202201[單選題]77.關于數(shù)字簽名的哪項描述是最準確的？A)它是把手寫簽名轉換成電子媒體的一種藝術.B)它允許接收者證明數(shù)據(jù)來源和數(shù)據(jù)的完整性.C)它是一個加密機密數(shù)據(jù)的方法.D)它可以用作一個簽名系統(tǒng)和一個加密系統(tǒng)答案:B解析:[單選題]78.網(wǎng)卡設置了混合模式,但只收到自己的網(wǎng)絡信息?A)防火墻禁止嗅探B)網(wǎng)絡使用交換機連接模式C)網(wǎng)絡使用集線器D)當前沒有通訊數(shù)據(jù)答案:B解析:略章節(jié)：模擬考試202201[單選題]79.下一個選項指的是?偽缺陷?？A)作為給峽灣者的故意導入程序中的B)生成偽代碼時的遺漏C)測試應用程序中的惡意行為D)一個引導系統(tǒng)錯誤中止通常生成的頁面答案:A解析:[單選題]80.為實現(xiàn)其目標,Jack最適合遵循哪種ISO/IEC標準?A)ISO/IEC27002B)ISO/IEC27004C)ISO/IEC27005D)ISO/IEC27006答案:C解析:[單選題]81.當筆記本電腦被第三方檢查，默認最可能發(fā)生了什么？A)硬盤被復制B)硬盤被盜C)MAC地址被盜D)IP地址被盜答案:A解析:移動設備最大的風險是文件泄露[單選題]82.(04016)TwolargeorganizationswithcomplexnetworkenvironmentshaverecentlymergedTheintegrationofbothenvironmentswilltakeyearsandwillbedifficultandexpensiveDuringthemerger,bothorganizationsneedacriticalapplicationtobeintegratedandaccessedseamlesslybyemployeesofbothorganizationsThisapplicationusesServiceOrientedArchitecture(SOA)andWebservicesThesecurityteamhasbeenrequestedtoproposeanarchitecturetoachievethisintegrationgoalWhichofthefollowingistheBESTapproachtoachievefederatedidentitymanagementduringthemerger?兩個具有復雜的網(wǎng)絡環(huán)境大型組織最近合并了。這兩種環(huán)境的集成將需要數(shù)年時間，而且將是困難和昂貴的。在合并中，兩個組織需要建設一個關鍵的應用系統(tǒng)來集成并讓這兩個組織的員工無縫地訪問。此應用程序使用了面向服務的架構(SOA)和Web服務。安全團隊需要來設計一個架構來完成這個整合目標。下面哪個是合并過程中實現(xiàn)聯(lián)合身份管理的最好的方法？A)Importallusersfromoneorganization'sdirectoryserviceintotheotherorganization'sdirectoryservice.從一個組織的目錄服務中導入所有用戶身份到另一個組織的目錄服務B)Importallusersfromoneorganization'sdirectoryserviceintotheotherorganization'sdirectoryservice.從一個組織的目錄服務中導入所有用戶身份到另一個組織的目錄服務C)Importallusersfromoneorganization'sdirectoryserviceintotheotherorganization'sdirectoryservice.從一個組織的目錄服務中導入所有用戶身份到另一個組織的目錄服務D)Importallusersfromoneorganization'sdirectoryserviceintotheotherorganization'sdirectoryservice.從一個組織的目錄服務中導入所有用戶身份到另一個組織的目錄服務答案:A解析:[單選題]83.WhendeployingenIntrusionDetectionSystem（IDS）onahigh-volumenetwork,theneedtodistributetheloadacrossmultiplesensorswouldcreatewhichtechnicalproblem?在大容量網(wǎng)絡上部署入侵檢測系統(tǒng)（IDS）時，需要在多個傳感器之間分配負載，這會產生哪個技術問題？A)Sessioncontinuity會話連續(xù)性B)Proxyauthenticationfailure代理身份驗證失敗C)Sensoroverload傳感器過載D)Synchronizedsensorupdates同步傳感器更新答案:A解析:[單選題]84.為什么在使用多用戶計算機之前必須確定所有用戶的身份?A)提供對系統(tǒng)權限的訪問B)提供對操作系統(tǒng)的訪問C)以確保未經(jīng)授權的persons無法訪問計算機D)確保管理層知道當前登錄的用戶是什么答案:C解析:[單選題]85.在RAID5磁盤陣列級別5中，替代故障驅動器的備用驅動器通常是熱插拔的，這意味著何時可以更換服務器上的磁盤？A)系統(tǒng)啟動和運行時B)系統(tǒng)停機和運行時C)系統(tǒng)在兩者之間和運行時D)系統(tǒng)在中心和運行時答案:A解析:[單選題]86.WhatisthePRIMARYadvantageofusingautomatedapplicationsecuritytestingtools?使用自動化應用程序安全測試工具的主要優(yōu)勢是什么？A)Theapplicationcanbeprotectedintheproductionenvironment.可以在生產環(huán)境中保護應用程序。B)Largeamountsofcodecanbetestedusingfewerresources.可以使用較少的資源測試大量代碼。C)Theapplicationwillfaillesswhentestedusingthesetools.當使用這些工具進行測試時，應用程序的失敗率會降低。D)Detailedtestingofcodefunctionscanbeperformed.可以執(zhí)行代碼功能的詳細測試。答案:B解析:[單選題]87.誰必須承擔確定的信息系統(tǒng)資源所需保護級別的主要責任？A)系統(tǒng)審計師B)信息系統(tǒng)安全專家C)高級管理人員D)高級安全分析師答案:C解析:<p>fthereisnosupportbyseniormanagementtoimplement,execute,andenforcesecuritypoliciesandprocedure,thentheywon'twork.Seniormanagementmustbeinvolvedinthisbecausetheyhaveanobligationtotheorganizationtoprotecttheassets.Therequirementhereisformanagementtoshow"duediligence"inestablishinganeffectivecompliance,orsecurityprogram.Itisseniormanagementthatcouldfacelegalrepercussionsiftheydonothavesufficientcontrolsinplace.</p>[單選題]88.以下哪一項包含的是針對口令的攻擊?A)暴力破解.動態(tài)口令.生物特征重放B)色拉米.SYN洪泛攻擊.死亡之pingC)字典攻擊.釣魚.鍵盤記錄D)彩虹表.淚滴攻擊.戰(zhàn)爭撥號答案:C解析:略章節(jié)：模擬考試202201[單選題]89.以下哪一項與智能卡實施相關的主要安全問題?A)卡片的內存有限B)供應商應用程序兼容性C)卡片可能放錯地方了D)移動代碼可以嵌入到卡中答案:C解析:[單選題]90.以下哪些網(wǎng)絡設備允許通過簡單的MAC地址轉化的方式將兩個或更多局域網(wǎng)進行連接。A)防火墻B)路由器C)網(wǎng)橋D)網(wǎng)關答案:C解析:<p>Bridgesaresimple,protocol-dependentnetworkingdevicesthatareusedtoconnecttwoormorehomogeneousLANstoformanextendedLAN.</p>[單選題]91.WhohasthePRIMARYresponsibilitytoensurethatsecurityobjectivesarealignedwithorganizationgoals?誰對確保安全目標與組織目標保持一致負有主要責任？A)Seniormanagement高級管理層B)Informationsecuritydepartment信息安全部門C)Auditcommittee審計委員會D)Allusers全部用戶答案:C解析:[單選題]92.John