CISSP考試練習(xí)(習(xí)題卷24)

試卷科目：CISSP考試練習(xí)CISSP考試練習(xí)(習(xí)題卷24)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共100題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.通過交換機(jī)集線器,VLAN或防火牆的傳統(tǒng)網(wǎng)絡(luò)分段方式可改善網(wǎng)絡(luò)性能和管理。但是,它不能提供精細(xì)和動(dòng)態(tài)的安全性強(qiáng)制措施來滿足多樣化和動(dòng)態(tài)的業(yè)務(wù)環(huán)境。作為安全專家,您擔(dān)心受到高級(jí)持續(xù)威脅(APT)的攻擊。以下哪項(xiàng)最不可能減輕威脅?A)採用零信任基礎(chǔ)架構(gòu)B)將網(wǎng)路微分段(micro-segment)以支援橫向運(yùn)動(dòng)(lateralmovement)C)強(qiáng)化並證明合規(guī)(compliance),例如HIPAA,PCI-DSS或SOXD)使用單獨(dú)的軟件環(huán)境,例如開發(fā),測(cè)試和過渡環(huán)境答案:B解析:[單選題]2.Anewsite'sgatewayisn'tabletoformatunneltotheexistingsite-to-siteInternetProtocolSecurity（IPsec）virtualprivatenetwork（VPN）deviceatheadquarters.DevicesatthenewsitehavenoproblemaccessingresourcesontheInternet.Whentestingconnectivitybetweentheremotesite'sgateway,itwasobservedthattheexternalInternetProtocol（IP）addressofthegatewaywassetto.andwasconfiguredtosendoutboundtraffictotheInternetServiceProvider（ISP）gatewayat.2.WhichofthefollowingwouldbetheBESTwaytoresolvetheissueandgettheremotesiteconnected?新站點(diǎn)的網(wǎng)關(guān)無法形成到總部現(xiàn)有站點(diǎn)到站點(diǎn)Internet協(xié)議安全（IPsec）虛擬專用網(wǎng)（VPN）設(shè)備的隧道。新站點(diǎn)上的設(shè)備訪問Internet上的資源沒有問題。測(cè)試遠(yuǎn)程站點(diǎn)網(wǎng)關(guān)之間的連接時(shí)，發(fā)現(xiàn)網(wǎng)關(guān)的外部Internet協(xié)議（IP）地址設(shè)置為。并配置為將出站流量發(fā)送到Internet服務(wù)提供商（ISP）網(wǎng)關(guān)at.2。以下哪項(xiàng)是解決問題并連接遠(yuǎn)程站點(diǎn)的最佳方法？A)EnableIPSectunnelmodeontheVPNdevicesatthenewsiteandthecorporateheadquarters.在新站點(diǎn)和公司總部的VPN設(shè)備上啟用IPSec隧道模式。B)EnableLayer2.TunnelingProtocol（L2TP）ontheVPNdevicesatthenewsiteandthecorporateheadquarters.啟用第2層。新站點(diǎn)和公司總部VPN設(shè)備上的隧道協(xié)議（L2TP）。C)EnablePoint-to-PointTunnelingProtocol（PPTP）ontheVPNdevicesatthenewsiteandthecorporateheadquarters.在新站點(diǎn)和公司總部的VPN設(shè)備上啟用點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）。D)EnableNetworkAddressTranslation（NAT）-TraversalontheVPNdevicesatthenewsiteandthecorporateheadquarters.啟用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）-在新站點(diǎn)和公司總部的VPN設(shè)備上進(jìn)行遍歷。答案:A解析:正確答案C[單選題]3.硬件抽象層(HAL)在A)系統(tǒng)軟件。B)系統(tǒng)硬件。C)應(yīng)用程序軟件。D)網(wǎng)絡(luò)硬件。答案:A解析:[單選題]4.?關(guān)鍵應(yīng)用程序?必須A)為組織的生存維持持續(xù)運(yùn)作B)經(jīng)受持續(xù)的項(xiàng)目維護(hù)C)進(jìn)行持續(xù)的風(fēng)險(xiǎn)評(píng)估D)被運(yùn)營人員管理不斷監(jiān)控答案:A解析:[單選題]5.在軟件開發(fā)生存周期(SDLC)中,是否必須定義軟件安A)系統(tǒng)初步設(shè)計(jì)完成,數(shù)據(jù)安全分類已執(zhí)行全功能需求?B)業(yè)務(wù)功能分析和數(shù)據(jù)安全分類完成后C)在進(jìn)行漏洞分析之后、系統(tǒng)詳細(xì)設(shè)計(jì)開始之前D)系統(tǒng)初步設(shè)計(jì)開發(fā)完成之后,數(shù)據(jù)安全分類開始之前答案:B解析:[單選題]6.以下哪一個(gè)是最好的解決方案,為電信鏈接提供冗余?A)提供來自同一電信供應(yīng)商的多個(gè)鏈接。B)確保電信鏈接在一個(gè)位置連接到網(wǎng)絡(luò)。C)確保電信鏈接連接到多個(gè)位置的網(wǎng)絡(luò)。D)提供來自多個(gè)電信供應(yīng)商的多個(gè)鏈接。答案:D解析:[單選題]7.Foraserviceprovider,whichofthefollowingMOSTeffectivelyaddressesconfidentialityconcernsforcustomersusingcloudcomputing?對(duì)于服務(wù)提供商，以下哪項(xiàng)最有效地解決了使用云計(jì)算的客戶的保密問題？A)Hashfunctions散列函數(shù)B)Datasegregation資料的隔離C)Filesystempermissions文件系統(tǒng)權(quán)限D(zhuǎn))Non-repudiationcontrols不可否認(rèn)性控制答案:B解析:[單選題]8.在為環(huán)境設(shè)計(jì)物理安全時(shí),重要的是關(guān)注應(yīng)該使用控制的功能順序。以下哪項(xiàng)是六種常見物理安全控制機(jī)制的正確順序?A)決定、延遲、拒絕、檢測(cè)、阻止、確定B)阻止、拒絕、檢測(cè)、延遲、確定、決定C)拒絕、阻止、延遲、檢測(cè)、決定、確定D)決定、檢測(cè)、拒絕、決定、阻止、延遲答案:B解析:[單選題]9.兒童在線隱私保護(hù)法COPPA旨在保護(hù)使用互聯(lián)網(wǎng)的兒童的隱私。在未經(jīng)父母同意的情況下，公司可從孩子身上手機(jī)個(gè)人身份信息的最低年齡是A)13B)14C)15D)16答案:A解析:[單選題]10.AbreachinvestigationawebsitewasexploitedthroughanopensouredIsTheFIRBStanIntheProcessthatcouldhavepreventedthisbreach?違規(guī)調(diào)查。。。。。。一個(gè)網(wǎng)站是通過一個(gè)開放的soured。。。。。FIRBStan是否正在進(jìn)行本可以防止此次違規(guī)的過程？A)Applicationwhitelisting應(yīng)用白名單B)Webapplicationfirewall（WAF）Web應(yīng)用程序防火墻（WAF）C)Vulnerabilityremediation漏洞修復(fù)D)Softwareinventory軟件清單答案:B解析:[單選題]11.Asonecomponentofaphysicalsecuritysystem,anElectronicAccessControl（EAC）tokenisBESTknownforitsabilityto作為物理安全系統(tǒng)的一個(gè)組成部分，電子訪問控制（EAC）令牌以其能夠A)overcometheproblemsofkeyassignments.克服關(guān)鍵任務(wù)的問題。B)monitortheopeningofwindowsanddoors.監(jiān)視車窗和車門的打開情況。C)triggeralarmswhenintrudersaredetected.檢測(cè)到入侵者時(shí)觸發(fā)警報(bào)。D)lockdownafacilityduringanemergency.在緊急情況下鎖定設(shè)施。答案:A解析:[單選題]12.Whatpartofanorganization'sstrategicriskassessmentMOSTlikelyincludesinformationonitemsaffectingthesuccessoftheorganization?組織戰(zhàn)略風(fēng)險(xiǎn)評(píng)估的哪一部分最可能包括影響組織成功的項(xiàng)目的信息？A)KeyRiskIndicator（KRI）關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（KRI）B)Threatanalysis威脅分析C)Vulnerabilityanalysis弱點(diǎn)分析D)KeyPerformanceIndicator（KPI）關(guān)鍵績(jī)效指標(biāo)（KPI）答案:A解析:[單選題]13.以下哪一位人員通常負(fù)責(zé)履行高級(jí)管理層委派的操作數(shù)據(jù)保護(hù)職責(zé)，例如驗(yàn)證數(shù)據(jù)完整性測(cè)試備份和管理安全策略？A)Datacustodian數(shù)據(jù)保管人B)Dataowner數(shù)據(jù)擁有者C)User用戶D)Auditor審核員答案:A解析:數(shù)據(jù)保管人角色分配給負(fù)責(zé)實(shí)施策略和高級(jí)管理層定義的安全控制的個(gè)人。數(shù)據(jù)所有者確實(shí)對(duì)這些任務(wù)承擔(dān)最終責(zé)任，但數(shù)據(jù)所有者通常是將運(yùn)營責(zé)任委派給數(shù)據(jù)保管人的高級(jí)領(lǐng)導(dǎo)。章節(jié)：模擬考試202201[單選題]14.以下哪種攻擊方法能最有效地獲得對(duì)一份復(fù)雜口令保護(hù)的資料的未授權(quán)訪問？A)字典攻擊B)旁路攻擊C)彩虹表D)社會(huì)工程答案:D解析:略章節(jié)：模擬考試202201[單選題]15.Aninformationtechnology（IT）employeewhotravelsfrequentlytovariousiesremotelytoanorganization'thefollowingsolutionsBESTservesasasecurecontrolmechanismtomeettheorganization'srequirements?totroubleshootpWhichofthefollowingsolutionsBESTservesasasecurecontrolmechanisntomeettheorganization'srequirements?信息技術(shù)（IT）員工經(jīng)常遠(yuǎn)程訪問不同的ies到組織?以下解決方案最適合作為安全控制機(jī)制來滿足組織的要求？?？要解決p問題，以下哪種解決方案最適合作為安全控制機(jī)制來滿足組織的要求？A)UpdatethefirewallrulestoincludethestaticInternetProtocol（IP）addressesofthelocationswheretheemployeeconnectsfrom.更新防火墻規(guī)則，以包括員工連接位置的靜態(tài)Internet協(xié)議（IP）地址。B)Installathird-partyscreensharingsolutionthatprovidesremoteconnectionfromapublicwebsite.安裝第三方屏幕共享解決方案，提供從公共網(wǎng)站的遠(yuǎn)程連接。C)ImplementaDynamicDomainNameServices（DDNS）accounttoinitiateavirtualprivatenetwork（VPN）usingtheDDNSrecord.實(shí)現(xiàn)動(dòng)態(tài)域名服務(wù)（DDNS）帳戶以使用DDNS記錄啟動(dòng)虛擬專用網(wǎng)絡(luò)（VPN）。D)Installabastionhostinthedemilitarizedzone（DMZ）andallowmulti-factorauthentication（MFA）access.在非軍事區(qū)（DMZ）安裝堡壘主機(jī)，并允許多因素身份驗(yàn)證（MFA）訪問。答案:D解析:[單選題]16.在開放系統(tǒng)互連(OSI)模型的哪一層處理數(shù)據(jù)報(bào)的源地址和目標(biāo)地址?AtwhichlayeroftheOpenSystemsInterconnect(OSI)modelarethesourceanddestinationaddressforadatagramhandled?A)傳輸層TransportLayerB)數(shù)據(jù)鏈路層Data-LinkLayerC)網(wǎng)絡(luò)層NetworkLayerD)應(yīng)用層ApplicationLayer答案:C解析:[單選題]17.以下哪項(xiàng)是點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)的對(duì)等體身份驗(yàn)證方法?WhichofthefollowingisapeerentityauthenticationmethodforPoint-to-PointProtocol(PPP)?A)挑戰(zhàn)握手認(rèn)證協(xié)議(CHAP)ChallengeHandshakeAuthenticationProtocol(CHAP)B)消息認(rèn)證碼(MAC)MessageAuthenticationCode(MAC)C)傳輸層安全(TLS)握手協(xié)議TransportLayerSecurity(TLS)handshakeprotocolD)挑戰(zhàn)-響應(yīng)認(rèn)證機(jī)制Challenge-responseauthenticationmechanism答案:A解析:[單選題]18.電氣系統(tǒng)操作是計(jì)算機(jī)哪家電力供應(yīng)商的。持續(xù)的清潔、穩(wěn)定的維持適當(dāng)?shù)拿}管環(huán)境以及維持?jǐn)?shù)字。這不是可以威脅電力系統(tǒng)的元素嗎？A)UPSB)接地故障C)限電D)瞬時(shí)態(tài)噪聲答案:A解析:[單選題]19.Brenda的組織最近完成了對(duì)競(jìng)爭(zhēng)對(duì)手公司的收購。在收購期間以下哪項(xiàng)任務(wù)最不可能成為所涉及的組織過程的一部分?Brenda'sorganizationrecentlycompletedtheacquisitionofacompetitorfirm.WhichoneofthefollowingtaskswouldbeLEASTlikelytobepartoftheorganizationalprocessesaddressedduringtheacquisition?A)安全功能的整合ConsolidationofsecurityfunctionsB)安全工具的集成IntegrationofsecuritytoolsC)知識(shí)產(chǎn)權(quán)的保護(hù)ProtectionofintellectualpropertyD)安全策略的文件化Documentationofsecuritypolicies答案:C解析:與收購(一家公司購買另一家公司)相比,在剝離(子公司被分拆為一個(gè)獨(dú)立的組織)期間,知識(shí)產(chǎn)權(quán)保護(hù)是一個(gè)更大的問題。收購問題包括整合安全功能和策略,以及安全工具的集成。Theprotectionofintellectualpropertyisagreaterconcernduringadivestiture,whereasubsidiaryisbeingspunoffintoaseparateorganization,thananacquisition,whereonefirmhaspurchasedanother.Acquisitionconcernsincludeconsolidatingsecurityfunctionsandpoliciesaswellasintegratingsecuritytools.[單選題]20.封裝安全有效載荷(ESP)提供以下哪一項(xiàng)?A)授權(quán)和完整性B)可用性和完整性C)誠信和保密D)授權(quán)和保密答案:C解析:[單選題]21.Sam負(fù)責(zé)備份他公司的主文件服務(wù)器。他配置了一個(gè)備份計(jì)劃,在每個(gè)星期一晚上9點(diǎn)執(zhí)行完全備份,同時(shí)在一周的其他日子執(zhí)行差異備份。文件根據(jù)下圖所示信息被更改。在星期三的備份中將復(fù)制多少個(gè)文件?FileModificationsMonday8am.-File1createdMonday10am.-File2createdMonday11am.-File3createdMonday4p.m.-File1modifiedMonday5p.m.-File4createdTuesday8am.-File1modifiedTuesday9am.-File2modifiedTuesday10am.-File5createdWednesday8am.-File3modifiedWednesday9am.-File6createdA)2B)3C)5D)6答案:C解析:[單選題]22.Ian構(gòu)建的系統(tǒng)用隨機(jī)字符串替換數(shù)據(jù)庫字段中的數(shù)據(jù),該字符串對(duì)于該數(shù)據(jù)的每個(gè)實(shí)例都保持相同。他用了什么技術(shù)?A)DatamaskingB)TokenizationC)AnonymizationD)DES答案:B解析:[單選題]23.以下哪項(xiàng)最能描述組織內(nèi)直接負(fù)責(zé)數(shù)據(jù)的角色?A)數(shù)據(jù)保管人B)信息所有者C)數(shù)據(jù)庫管理員D)質(zhì)控答案:A解析:[單選題]24.使用在線證書狀態(tài)協(xié)議(OCSP)的動(dòng)機(jī)是什么?A)控制對(duì)證書吊銷列表(CRL)請(qǐng)求的訪問B)更快地頒發(fā)X.509v3證書C)為證書查詢提供及時(shí)的最新響應(yīng)D)返回多個(gè)證書的信息答案:B解析:[單選題]25.根據(jù)最佳實(shí)踐,在生產(chǎn)環(huán)境中實(shí)施第三方軟件的最佳做法是？A)將第三方軟件托管B)和供應(yīng)商簽訂關(guān)于補(bǔ)丁的合同C)掃描第三方的應(yīng)用軟件以發(fā)現(xiàn)漏洞D)協(xié)商最終用戶使用應(yīng)用的培訓(xùn)答案:C解析:略章節(jié)：模擬考試202201[單選題]26.Whichapplicationtypeisconsideredhighriskandprovidesacommonwayformalwareandvirusestoenteranetwork?哪種應(yīng)用程序類型被認(rèn)為是高風(fēng)險(xiǎn)的，并為惡意軟件和病毒進(jìn)入網(wǎng)絡(luò)提供了常見的途徑？A)Instantmessagingorchatapplications即時(shí)消息或聊天應(yīng)用程序B)E-mailapplications電子郵件應(yīng)用程序C)Peer-to-Peer（P2P）filesharingapplications對(duì)等（P2P）文件共享應(yīng)用程序D)End-to-endapplications端到端應(yīng)用程序答案:A解析:[單選題]27.Iftravelingabroadandacustomsofficialdemandstoexamineapersonalcomputer,whichofthefollowingshouldbeassumed?如果出國旅行時(shí)海關(guān)官員要求檢查個(gè)人電腦，應(yīng)假設(shè)以下哪項(xiàng)？A)Theharddrivehasbeenstolen.硬盤被偷了。B)TheInternetProtocol（IP）addresshasbeencopied.已復(fù)制Internet協(xié)議（IP）地址。C)Theharddrivehasbeencopied.硬盤驅(qū)動(dòng)器已被復(fù)制。D)TheMediaAccessControl（MAC）addresswasstolen媒體訪問控制（MAC）地址被盜答案:C解析:[單選題]28.Tom認(rèn)為其互聯(lián)網(wǎng)服務(wù)提供商的客戶已經(jīng)利用他系統(tǒng)中的漏洞來讀取其他客戶的電子郵件。如果是真的,該客戶最可能違反什么法律?A)ECPAB)CAREAC)HITECHD)隱私法答案:A解析:《電子通信隱私法》(ECPA)規(guī)定侵犯?jìng)€(gè)人的電子隱私是一種犯罪行為。它禁止未經(jīng)授權(quán)監(jiān)視電子郵件和語音郵件。TheElectronicCommunicationsPrivacyAct(ECPA)makesitacrimetoinvadetheelectronicprivacyofanindividual.Itprohibitstheunauthorizedmonitoringofemailandvoicemailcommunications.[單選題]29.Informationsecuritypractitionersareinthemidstofimplementinganewfirewall.WhichofthefollowingfailuremethodswouldBESTprioritizesecurityintheeventoffailure?信息安全從業(yè)人員正在實(shí)施新的防火墻。以下哪種故障方法最適合在發(fā)生故障時(shí)優(yōu)先考慮安全性？A)Fail-Closed出故障時(shí)自動(dòng)關(guān)閉的B)Fail-Open出故障時(shí)自動(dòng)打開C)Fail-Safe失效保護(hù)D)Failover故障保護(hù)答案:A解析:[單選題]30.WhichistheBESTcontroltomeettheStatementonStandardsforAttestationEngagements18（SSAE-18）confidentialitycategory?哪一項(xiàng)是滿足《認(rèn)證業(yè)務(wù)標(biāo)準(zhǔn)聲明18》（SSAE-18）保密類別的最佳控制？A)Dataprocessing數(shù)據(jù)處理B)Storageencryption存儲(chǔ)加密C)Filehashing文件哈希D)Dataretentionpolicy數(shù)據(jù)保留策略答案:C解析:[單選題]31.安全合規(guī)的目的A)提高安全態(tài)勢(shì)/更少的監(jiān)管B)增強(qiáng)安全態(tài)勢(shì)/提高攻擊防御C)滿足高層要求D)提升安全策略/提高攻擊防御答案:B解析:略章節(jié)：模擬考試202201[單選題]32.下列哪項(xiàng)代表了最好的編程方式A)低內(nèi)聚，低耦合B)高內(nèi)聚，高耦合C)高內(nèi)聚，低耦合D)低內(nèi)聚，高耦合答案:C解析:<p>Thebestprogrammingusesthemostcohesivemodulespossible,butbecausedifferentmodulesneedtopassdataandcommunicate,theyusuallycannotbetotallycohesive.Also,thelowerthecoupling,thebetterthesoftwaredesign,becauseitpromotesmoduleindependence.Themoreindependentacomponentis,thelesscomplextheapplicationisandtheeasieritistomodifyandtroubleshoot</p>[單選題]33.當(dāng)通過公共網(wǎng)絡(luò)傳輸信息時(shí),加密信息的決定應(yīng)基于A)信息的估計(jì)貨幣價(jià)值。B)是否有瞬態(tài)節(jié)點(diǎn)中繼傳輸。C)信息的保密程度。D)信息量。答案:C解析:[單選題]34.(04077)WhichofthefollowingisusedbySecureShell(SSH)protocolforkeyexchange?SSH協(xié)議用以下哪一項(xiàng)交換密鑰？A)Diffie-HellmanDH算法B)Diffie-HellmanDH算法C)Diffie-HellmanDH算法D)Diffie-HellmanDH算法答案:B解析:[單選題]35.以下哪一項(xiàng)是來自互聯(lián)網(wǎng)體系結(jié)構(gòu)委員會(huì)(IAB)道德和互聯(lián)網(wǎng)(RFC1087)?A)訪問和使用互聯(lián)網(wǎng)是一種特權(quán)，系統(tǒng)的所有用戶都應(yīng)這樣對(duì)待。B)必須有方法防止有意獲得的個(gè)人信息被使用，或未經(jīng)當(dāng)事人許可，不得獲取個(gè)人信息用于其他意圖。C)不得有秘密存在的個(gè)人數(shù)據(jù)記錄系統(tǒng)。D)用戶應(yīng)用與其職業(yè)的最高標(biāo)準(zhǔn)相一致的方式執(zhí)行其責(zé)任。答案:A解析:[單選題]36.以下哪種類型的網(wǎng)絡(luò)拓?fù)渫ㄟ^所有活動(dòng)的網(wǎng)絡(luò)節(jié)點(diǎn)傳送所有流量？A)寬帶B)星型C)基帶D)令牌環(huán)答案:D解析:<p>Tokenringpassesalltrafficthroughnodes.</p>[單選題]37.Themajorityofcommercialintrusiondetectionsystemsare:大多數(shù)的商業(yè)入侵檢測(cè)系統(tǒng)是:A)identity-based基于身份的B)Network-based基于網(wǎng)絡(luò)的C)Host-based基于主機(jī)的D)Signature-based基于簽名的答案:B解析:[單選題]38.什么訪問管理概念定義了用戶具有的權(quán)限?A)標(biāo)識(shí)B)可問責(zé)C)授權(quán)D)身份驗(yàn)證答案:C解析:授權(quán)定規(guī)定了主體能做什么和不能做什么。標(biāo)識(shí)發(fā)生在主體聲明身份時(shí)。問責(zé)由日志和審計(jì)記錄提供。當(dāng)用戶身份被驗(yàn)證時(shí)發(fā)生授權(quán)。Authorizationdefineswhatasubjectcanorcan'tdo.Identificationoccurswhenasubjectclaimsanidentity,accountabilityisprovidedbythelogsandaudittrailthattrackwhatoccursonasystem,andauthorizationoccurswhenthatidentityisvalidated.[單選題]39.Sally的任務(wù)是為她的組織中的無線網(wǎng)絡(luò)服務(wù)部署身份驗(yàn)證、授權(quán)和計(jì)費(fèi)服務(wù)器,需要避免使用專有技術(shù)。她應(yīng)該選擇什么技術(shù)?A)OAuthB)RADIUSC)XTACACSD)TACACS+答案:B解析:[單選題]40.BCPbusinesscontinuityplanisbasedon?BCP業(yè)務(wù)連續(xù)性計(jì)劃是基于?A)Checklistfordisasterrecoveryrequirements.關(guān)于災(zāi)難恢復(fù)要求事項(xiàng)的檢測(cè)表B)BCPbusinesscontinuityplanningpracticesintheindustry.同行業(yè)的BCP業(yè)務(wù)連續(xù)性計(jì)劃實(shí)踐C)Handbookofpoliciesandprocedures.方針和規(guī)程手冊(cè)D)Reviewofbusinessprocessesandprocedures.對(duì)業(yè)務(wù)流程和規(guī)程的評(píng)審答案:D解析:[單選題]41.攻擊樹的用處：A)消減風(fēng)險(xiǎn)B)威脅建模C)單點(diǎn)故障D)漏洞分析答案:A解析:略章節(jié)：模擬考試202201[單選題]42.什么時(shí)候安全要求的實(shí)施成本最低？WhenaresecurityrequirementstheLEASTexpensivetoimplement?A)由外部顧問確定時(shí)WhenidentifiedbyexternalconsultantsB)在應(yīng)用程序執(zhí)行階段DuringtheapplicationrolloutphaseC)在項(xiàng)目周期的每個(gè)階段DuringeachphaseoftheprojectcycleD)當(dāng)內(nèi)置于應(yīng)用程序設(shè)計(jì)中時(shí)Whenbuiltintoapplicationdesign答案:D解析:[單選題]43.在以下哪些程序中,包括收集安全過程數(shù)據(jù)最重要?A)季度訪問評(píng)論B)安全持續(xù)監(jiān)控C)業(yè)務(wù)連續(xù)性測(cè)試D)年度安全培訓(xùn)答案:A解析:[單選題]44.在災(zāi)難之后，誰應(yīng)該立即指揮短期恢復(fù)行為？A)首席執(zhí)行官B)災(zāi)難恢復(fù)經(jīng)理C)首席運(yùn)營官D)首席信息官答案:B解析:<p>TheDisasterRecoveryManagershouldalsobeamemberoftheteamthatassistedinthedevelopmentoftheDisasterRecoveryPlan.Senior-levelmanagementneedtosupporttheprocessbutwouldnotbeinvolvedwiththeinitialprocess.</p>[單選題]45.以下哪一項(xiàng)是與進(jìn)行代碼審查相關(guān)的常見漏洞評(píng)分系統(tǒng)(CVSS)的限制?A)它已使嚴(yán)重性評(píng)級(jí)正常化。B)它有許多工作表和實(shí)踐要執(zhí)行。C)它旨在計(jì)算公眾對(duì)漏洞的風(fēng)險(xiǎn)。D)它需要建立一個(gè)強(qiáng)有力的風(fēng)險(xiǎn)管理框架。答案:C解析:[單選題]46.(04049)TheSystemsDevelopmentLifeCycle(SDLC)processprovidesamethodologyforwhat?系統(tǒng)開發(fā)生命周期（SDLC）提供了哪方面的方法論？A)Developingsystemswithadequateprivacy充分的隱私保護(hù)來開發(fā)系統(tǒng)B)Developingsystemswithadequateprivacy充分的隱私保護(hù)來開發(fā)系統(tǒng)C)Developingsystemswithadequateprivacy充分的隱私保護(hù)來開發(fā)系統(tǒng)D)Developingsystemswithadequateprivacy充分的隱私保護(hù)來開發(fā)系統(tǒng)答案:D解析:[單選題]47.關(guān)于選擇保障，以下哪一項(xiàng)不是好的標(biāo)準(zhǔn)？A)復(fù)位恢復(fù)，不損壞資產(chǎn)的能力B)跟蹤和識(shí)別操作符的問責(zé)功能C)復(fù)位恢復(fù)，權(quán)限設(shè)置為允許所有的能力D)比較資產(chǎn)的潛在資金損失與成本保障答案:C解析:[單選題]48.WhendesigningaCyber-PhysicalSystem（CPS）,whichofthefollowingshouldbeasecuritypractitioner'sfirstconsideration?設(shè)計(jì)網(wǎng)絡(luò)物理系統(tǒng)（CPS）時(shí)，安全從業(yè)者應(yīng)首先考慮以下哪項(xiàng)？A)Detectionofsophisticatedattackers檢測(cè)復(fù)雜攻擊者B)Resiliencyofthesystem系統(tǒng)彈性C)Topologyofthenetworkusedforthesystem用于系統(tǒng)的網(wǎng)絡(luò)拓?fù)銬)Riskassessmentofthesystem系統(tǒng)風(fēng)險(xiǎn)評(píng)估答案:B解析:[單選題]49.下列哪個(gè)備份方法最適合異地歸檔？A)增量備份法。B)異地備份法。C)完整備份法。D)差異備份法。答案:C解析:[單選題]50.Kayla最近完成了對(duì)其團(tuán)隊(duì)開發(fā)的軟件的徹底風(fēng)險(xiǎn)分析和緩解審查,并確定了三個(gè)持續(xù)存在的問題:跨站腳本、SQL注入、緩沖區(qū)溢出;這些問題在她的團(tuán)隊(duì)工作中發(fā)現(xiàn)的最重要的缺陷是什么?A)缺乏API安全性B)錯(cuò)誤處理不當(dāng)C)不正確或缺失的輸入驗(yàn)證D)源代碼設(shè)計(jì)問題答案:C解析:[單選題]51.以下哪一個(gè)在開放系統(tǒng)互連(OSI)模型的會(huì)話、傳輸或網(wǎng)絡(luò)層中運(yùn)行?A)休息加密數(shù)據(jù)B)配置管理C)完整性檢查軟件D)循環(huán)冗余檢查(CRC)答案:D解析:[單選題]52.Ryan的組織希望確保進(jìn)行適當(dāng)?shù)膸艄芾?但沒有部署中央身份和訪問管理工具。Ryan進(jìn)行驗(yàn)證過程的時(shí)間有限。作為內(nèi)部審計(jì)的一部分,他測(cè)試帳戶管理流程的最佳選擇是什么?Ryan'sorganizationwantstoensurethatproperaccountmanagementisoccurringbutdoesnothaveacentralidentityandaccessmanagementtoolinplace.Ryanhasalimitedamountoftimetodohisverificationprocess.Whatishisbestoptiontotesttheaccountmanagementprocessaspartofaninternalaudit?A)驗(yàn)證過去90天內(nèi)更改的所有帳戶Validateallaccountschangedinthepast90days.B)選擇高價(jià)值的管理帳戶進(jìn)行驗(yàn)證Selecthigh-valueadministrativeaccountsforvalidation.C)驗(yàn)證過去180天內(nèi)的所有帳戶更改Validateallaccountchangesinthepast180days.D)驗(yàn)證帳戶的隨機(jī)樣本答案:D解析:如果無法驗(yàn)證所有帳戶,則建議對(duì)帳戶進(jìn)行隨機(jī)抽樣。僅選擇最近更改的帳戶不會(huì)識(shí)別長(zhǎng)期問題或歷史問題,并且僅檢查高價(jià)值的帳戶不會(huì)顯示其他帳戶類型是否存在問題或不良行為。[單選題]53.(04070)Aminimalimplementationofendpointsecurityincludeswhichofthefollowing?終端安全最小的實(shí)施應(yīng)包括如下哪項(xiàng)？A)Wirelessaccesspoints(AP)無線接入點(diǎn)B)Wirelessaccesspoints(AP)無線接入點(diǎn)C)Wirelessaccesspoints(AP)無線接入點(diǎn)D)Wirelessaccesspoints(AP)無線接入點(diǎn)答案:D解析:[單選題]54.Whymustallusersbepositivelyidentifiedpriortousingmulti-usercomputers?為什么在使用多用戶計(jì)算機(jī)之前必須確定所有用戶的身份？A)Toprovideaccesstosystemprivileges提供對(duì)系統(tǒng)權(quán)限的訪問B)Toprovideaccesstotheoperatingsystem提供對(duì)操作系統(tǒng)的訪問C)Toensurethatunauthorizedpersonscannotaccessthecomputers確保未經(jīng)授權(quán)的人員無法訪問計(jì)算機(jī)D)Toensurethatmanagementknowswhatusersarecurrentlyloggedon確保管理層了解當(dāng)前登錄的用戶答案:C解析:[單選題]55.以下哪個(gè)協(xié)議為EAP提供了更好的安全性A)TLSB)PEAPC)SSLD)PAP答案:B解析:略章節(jié)：模擬考試202201[單選題]56.(04117)WhichofthefollowingcorrectlydescribeRolebasedaccesscontrol?下面哪項(xiàng)正確描述了基于角色的訪問控制？A)Itallowsyoutospecifyandenforceenterprise-specificsecuritypoliciesinawaythatmapstoyouruserprofilegroups.它允許你定義和執(zhí)行企業(yè)特定的安全策略，這些策略對(duì)應(yīng)于你的用戶配置文件組B)Itallowsyoutospecifyandenforceenterprise-specificsecuritypoliciesinawaythatmapstoyouruserprofilegroups.它允許你定義和執(zhí)行企業(yè)特定的安全策略，這些策略對(duì)應(yīng)于你的用戶配置文件組C)Itallowsyoutospecifyandenforceenterprise-specificsecuritypoliciesinawaythatmapstoyouruserprofilegroups.它允許你定義和執(zhí)行企業(yè)特定的安全策略，這些策略對(duì)應(yīng)于你的用戶配置文件組D)Itallowsyoutospecifyandenforceenterprise-specificsecuritypoliciesinawaythatmapstoyouruserprofilegroups.它允許你定義和執(zhí)行企業(yè)特定的安全策略，這些策略對(duì)應(yīng)于你的用戶配置文件組答案:B解析:[單選題]57.在實(shí)施信息安全持續(xù)監(jiān)控(ISCM)解決方案時(shí),應(yīng)以多高的頻率監(jiān)控控制?A)一個(gè)。連續(xù)無一例外地進(jìn)行所有安全控制B)每次更改控件之前和之后C)與安全控制的波動(dòng)性同時(shí)進(jìn)行D)僅在系統(tǒng)實(shí)施和退役期間答案:B解析:[單選題]58.哪些美國政府分類標(biāo)簽適用于一旦披露可能對(duì)國家安全造成嚴(yán)重?fù)p害并要求分類機(jī)構(gòu)能夠描述或識(shí)別將造成的損害的信息?A)機(jī)密B)秘密C)機(jī)密D)絕密答案:B解析:[單選題]59.下面哪一項(xiàng)，在一個(gè)計(jì)算機(jī)應(yīng)用安全中是最有效和經(jīng)濟(jì)的？A)系統(tǒng)在開始的時(shí)候被設(shè)計(jì)提供必要的安全B)系統(tǒng)為到達(dá)特定安全威脅被自定義C)系統(tǒng)現(xiàn)成的自我獲取D)在增加安全之前系統(tǒng)被優(yōu)化答案:A解析:<p>Theearlierintheprocessthatsecurityisplannedforandimplementthecheaperitis.Itisalsomuchmoreefficientifsecurityisaddressedineachphaseofthedevelopmentcycleratherthananadd-onbecauseitgetsmorecomplicatedtoaddattheend.Ifsecurityplanisdevelopedatthebeginningitensuresthatsecuritywon'tbeoverlooked.</p>[單選題]60.ThesecurityaccreditationtaskoftheSystemDevelopmentLifeCycle（SDLC）processiscompletedattheendofwhichphase?系統(tǒng)開發(fā)生命周期（SDLC）過程的安全認(rèn)證任務(wù)在哪個(gè)階段結(jié)束時(shí)完成？A)Systemacquisitionanddevelopment系統(tǒng)獲取和開發(fā)B)Systemoperationsandmaintenance系統(tǒng)操作和維護(hù)C)Systeminitiation系統(tǒng)啟動(dòng)D)Systemimplementation系統(tǒng)實(shí)現(xiàn)答案:B解析:[單選題]61.作為業(yè)務(wù)連續(xù)性計(jì)劃的一部分，可以采取以下哪一項(xiàng)行動(dòng)？A)Restoringfrombackuptapes從備份磁帶恢復(fù)B)ImplementingRAID實(shí)施RAIDC)Relocatingtoacoldsite搬遷到冷站點(diǎn)D)Restartingbusinessoperations重啟業(yè)務(wù)運(yùn)營答案:B解析:RAID技術(shù)為硬盤故障提供容錯(cuò)能力，是業(yè)務(wù)連續(xù)性行動(dòng)的一個(gè)例子。從備份磁帶中恢復(fù).遷移到冷站點(diǎn)以及重新啟動(dòng)業(yè)務(wù)運(yùn)營都是災(zāi)難恢復(fù)操作。章節(jié)：模擬考試202201[單選題]62.使用互聯(lián)網(wǎng)瀏覽器訪問基于云的服務(wù)時(shí),以下哪一個(gè)問題是主要問題?A)應(yīng)用P漫游界面(API)的不安全實(shí)現(xiàn)B)管理密鑰的不當(dāng)使用和存儲(chǔ)C)允許未經(jīng)授權(quán)的訪問的基礎(chǔ)設(shè)施配置錯(cuò)誤D)可能泄露機(jī)密數(shù)據(jù)的協(xié)議中的漏洞答案:D解析:[單選題]63.Brian正在為其組織的災(zāi)難恢復(fù)計(jì)劃制定培訓(xùn)計(jì)劃,并希望確保參與者了解災(zāi)難活動(dòng)何時(shí)結(jié)束。以下哪一個(gè)事件標(biāo)志著災(zāi)難恢復(fù)過程的完成?A)保障財(cái)產(chǎn)和生命安全B)在備用設(shè)施中恢復(fù)操作C)主要設(shè)施的恢復(fù)操作D)停止急救人員答案:C解析:[單選題]64.以下哪一項(xiàng)是應(yīng)建立的Web應(yīng)用程序控制,以防止對(duì)操作系統(tǒng)(OS)bug的利用?A)檢查函數(shù)調(diào)用中的參數(shù)B)環(huán)境安全修補(bǔ)程序級(jí)別測(cè)試C)包括記錄功能D)數(shù)字lly在每個(gè)應(yīng)用程序模塊上簽名答案:B解析:[單選題]65.Jane懷疑一名員工將敏感數(shù)據(jù)發(fā)給公司的一個(gè)競(jìng)爭(zhēng)對(duì)手。該員工需要在日常活動(dòng)中用到這些數(shù)據(jù),因此該員工的訪問權(quán)限很難被恰當(dāng)?shù)叵拗?。在這個(gè)場(chǎng)景中,哪一項(xiàng)能最好地描述公司的脆弱性、威脅、風(fēng)險(xiǎn)和必要的控制?A)脆弱性是員工的訪問權(quán)限,威脅是內(nèi)部實(shí)體濫用特權(quán)的訪問,風(fēng)險(xiǎn)是數(shù)據(jù)丟失對(duì)業(yè)務(wù)的影響,而必要的控制是詳細(xì)的網(wǎng)絡(luò)流量監(jiān)控。B)脆弱性是寬松的訪問權(quán)限,威脅是內(nèi)部實(shí)體濫用特權(quán)的訪問,風(fēng)險(xiǎn)是數(shù)據(jù)丟失對(duì)業(yè)務(wù)的影響,而必要的控制是詳細(xì)用戶監(jiān)控。C)脆弱性是員工的訪問權(quán)限,威脅是內(nèi)部員工濫用特權(quán)的訪問,風(fēng)險(xiǎn)是泄密對(duì)業(yè)務(wù)的影響,而必要的控制是多因素身份驗(yàn)證。D)脆弱性是員工的訪問權(quán)限,威脅是內(nèi)部用戶濫用特權(quán)的訪問,風(fēng)險(xiǎn)是泄密對(duì)業(yè)務(wù)的影響,而必要的控制是CCTV答案:B解析:脆弱性指缺乏控制或控制薄弱。在本題中訪問控制本質(zhì)上是弱的,因此是可利用的。脆弱性指必須被賦予敏感數(shù)據(jù)訪問權(quán)限的用戶未被適當(dāng)監(jiān)控以預(yù)防和檢測(cè)故意的安全違約行為。威脅是任何內(nèi)部實(shí)體可能濫用被賦予的訪問權(quán)限。風(fēng)險(xiǎn)是丟失敏感數(shù)據(jù)的業(yè)務(wù)影響?？刹扇〉囊粋€(gè)控制措施是監(jiān)控,從而密切關(guān)注訪問活動(dòng)[單選題]66.Kim正在對(duì)其組織開發(fā)的Web應(yīng)用程序進(jìn)行測(cè)試,并希望確保它可以從所有常用的Web瀏覽器訪問。她應(yīng)該進(jìn)行什么類型的測(cè)試?A)回歸測(cè)試B)接口測(cè)試C)模糊測(cè)試D)白盒測(cè)試答案:B解析:[單選題]67.(04119)AlargeorganizationusesuniqueidentifiersandrequiresthematthestartofeverysystemsessionApplicationaccessisbasedonjobclassificationTheorganizationissubjecttoperiodicindependentreviewsofaccesscontrolsandviolationsTheorganizationuseswiredandwirelessnetworksandremoteaccessTheorganizationalsousessecureconnectionstobranchofficesandsecurebackupandrecoverystrategiesforselectedinformationandprocessesWhichofthefollowingBESTdescribestheaccesscontrolmethodologyused?一個(gè)大型組織使用唯一的身份標(biāo)識(shí)，并要求他們?cè)诿看蜗到y(tǒng)會(huì)話的開始時(shí)使用。應(yīng)用程序訪問是基于工作職責(zé)的分類。該組織定期對(duì)訪問控制和違規(guī)進(jìn)行獨(dú)立的審核。該組織使用了有線和無線網(wǎng)絡(luò)，以及遠(yuǎn)程訪問。該組織還使用了到分支機(jī)構(gòu)的安全連接，以及針對(duì)某些選擇的信息和流程實(shí)施安全的備份和恢復(fù)策略。以下哪項(xiàng)最好的描述了該組織采用的訪問控制方法？A)Leastprivilege最小特權(quán)B)Leastprivilege最小特權(quán)C)Leastprivilege最小特權(quán)D)Leastprivilege最小特權(quán)答案:D解析:[單選題]68.以下哪些因素導(dǎo)致有線等效隱私(WEP)協(xié)議的薄弱?A)WEP使用小范圍初始化矢量(IV)B)WEP使用消息摘要5(MD5)C)韋普使用迪菲-赫爾曼D)WEP不使用任何初始化矢量(IV)答案:A解析:[單選題]69.在評(píng)估防護(hù)措施時(shí),下列哪項(xiàng)不是需要考慮的有效問題?Whichofthefollowingisnotavalidissuetoconsiderwhenevaluatingasafeguard?A)成本效益分析Cost/benefitanalysisB)符合現(xiàn)有基線CompliancewithexistingbaselinesC)法律責(zé)任與應(yīng)盡關(guān)注LegalliabilityandprudentduecareD)與IT基礎(chǔ)架構(gòu)的兼容性CompatibilitywithITinfrastructure答案:B解析:[單選題]70.單點(diǎn)登錄如何增加安全性?A)減少主體所需的賬戶數(shù)量B)它有助于降低用戶寫下密碼的可能性C)它為連接到的每個(gè)系統(tǒng)提供日志記錄D)它為身份驗(yàn)證數(shù)據(jù)提供更好的加密答案:B解析:研究一致表明,如果用戶更容易有特別多的賬戶,那么他們很可能把密碼寫下來。如果出現(xiàn)問題,單個(gè)賬戶的中央控制也更容易關(guān)閉。簡(jiǎn)單地減少主體所需的賬戶數(shù)量不會(huì)提高自身的安全性,SSO不保證單個(gè)系統(tǒng)日志記錄,盡管它應(yīng)提供SSO活動(dòng)的中央日志記錄。由于沒有指定SSO系統(tǒng),因此沒有辦法確定給定的SSO系統(tǒng)是否為身份驗(yàn)證數(shù)據(jù)提供更好或更差的加密。Studiesconsistentlyshowthatusersaremorelikelytowritedownpasswordsiftheyhavemoreaccounts.Centralcontrolofasingleaccountisalsoeasiertoshutoffifsomethingdoesgowrong.[單選題]71.其維護(hù)程序是其相關(guān)軟件的一個(gè)軟件開發(fā)和產(chǎn)品的質(zhì)量的直接功能，以下模型包含了根據(jù)不同的等級(jí)，其中軟件的評(píng)估涉及到某個(gè)軟件的成熟度？A)整體質(zhì)量模型（TQM）B)理想模型C)軟件能力成熟度模型D)螺旋模型答案:C解析:[單選題]72.以下哪種做法是當(dāng)員工被最細(xì)化時(shí)管理用戶帳戶的最有效做法?A)實(shí)施自動(dòng)刪除已終止員工訪問權(quán)限的流程。B)終止后刪除員工網(wǎng)絡(luò)和系統(tǒng)ID。C)手動(dòng)刪除已終止的員工用戶訪問所有系統(tǒng)和應(yīng)用程序。D)禁用已終止的員工網(wǎng)絡(luò)ID以刪除所有訪問。答案:B解析:[單選題]73.InFederatedIdentityManagement（FIM）,whichofthefollowingrepresentstheconceptoffederation?在聯(lián)合身份管理（FIM）中，以下哪項(xiàng)代表聯(lián)合的概念？A)Collectionofinformationlogicallygroupedintoasingleentity邏輯分組為單個(gè)實(shí)體的信息集合B)Collection,maintenance,anddeactivationofuserobjectsandattributesinoneormoresystems,directoriesorapplications在一個(gè)或多個(gè)系統(tǒng)、目錄或應(yīng)用程序中收集、維護(hù)和停用用戶對(duì)象和屬性C)Collectionofinformationforcommonidentitiesinasystem為系統(tǒng)中的通用標(biāo)識(shí)收集信息D)Collectionofdomainsthathaveestablishedtrustamongthemselves在它們之間建立信任的域的集合答案:D解析:[單選題]74.Susan擔(dān)心她所使用的生物識(shí)別技術(shù)的錯(cuò)誤接受率(FAR)。什么是處理錯(cuò)誤接受率的最好方法?A)調(diào)整交叉錯(cuò)誤率(CER)B)改變系統(tǒng)的靈敏度以降低錯(cuò)誤拒絕率(FRR)C)添加第二個(gè)因素D)更換生物識(shí)別系統(tǒng)答案:C解析:添加第二個(gè)因素可提高錯(cuò)誤接受率(FAR),這樣一來,原先可能被錯(cuò)誤接受的用戶就可以被識(shí)別出來而不被授予訪問權(quán)。交叉錯(cuò)誤率(CER)是錯(cuò)誤接受率和錯(cuò)誤拒絕率(FRR)二者的交叉點(diǎn),并用來測(cè)量生物測(cè)定系統(tǒng)的準(zhǔn)確性。改變靈敏度以降低錯(cuò)誤拒絕率可能增加錯(cuò)誤接受率。另外,替換生物測(cè)定系統(tǒng)可能會(huì)花費(fèi)大量的時(shí)間和金錢。Addingasecondfactorcanensurethatuserswhomightbeincorrectlyacceptedarenotgivenaccessduetoahigherthandesiredfalseacceptancerate(FAR)fromaccessingasystem.TheCERisthecrossoverbetweenthefalseacceptanceandfalserejectionrate(FRR),andisusedasawaytomeasuretheaccuracyofbiometricsystems.[單選題]75.AtaMINIMUM,auditsofpermissionstoindividualorgroupaccountsshouldbescheduled至少應(yīng)安排對(duì)個(gè)人或集團(tuán)帳戶權(quán)限的審核A)annually一年一次地B)tocorrespondwithstaffpromotions與員工晉升相對(duì)應(yīng)C)tocorrespondwithterminations與終端相對(duì)應(yīng)D)continually不斷地答案:A解析:[單選題]76.在使用容器和隱式權(quán)限繼承(基于非任意支配模型)的環(huán)境中,會(huì)實(shí)施哪種訪問控制策略?A)基于規(guī)則B)基于角色C)基于身份D)強(qiáng)制性答案:B解析:角色就好比用戶的容器。管理員或安全專家創(chuàng)建角色并為其分配權(quán)力,然后把用戶分配到容器。用戶繼承來自這個(gè)容器(角色)的權(quán)力和權(quán)限,這是隱式獲取權(quán)限的方式。[單選題]77.以后操作安全模式不需要所有用戶都可以處理系統(tǒng)上的所有信息？A)專用安全模式B)高性能安全模式C)高級(jí)系統(tǒng)安全模式D)多等級(jí)安全模式答案:D解析:<p>多級(jí)安全模式允許兩個(gè)或多個(gè)分類級(jí)別的信息在所有比e用戶沒有正式權(quán)限的情況下同時(shí)處理<br/>批準(zhǔn)訪問所有系統(tǒng)正在處理的信息。</p>[單選題]78.當(dāng)你將無線擴(kuò)展配置到內(nèi)部局域網(wǎng)時(shí),一旦你將WPA-2配置為802.1x的身份驗(yàn)證后,您可以實(shí)施哪些額外的安全步驟來提供額外的可靠安全性?Whenyouareconfiguringawirelessextensiontoanintranet,onceyou?veconfiguredWPA-2with802.1xauthentication,whatadditionalsecuritystepcouldyouimplementinordertoofferadditionalreliablesecurity?A)依賴VPN。RequireaVPN.B)禁用SSID廣播。DisableSSIDbroadcast.C)發(fā)布靜態(tài)IP地址。IssuestaticIPaddresses.D)使用MAC過濾。UseMACfiltering.答案:D解析:[單選題]79.代碼中硬編碼了密鑰,用什么解決比較好?A)RSAB)ECCC)Diffie-HellmanD)DSA答案:C解析:[單選題]80.哪個(gè)模型通過格式化交易和職責(zé)分離以實(shí)現(xiàn)數(shù)據(jù)完整性？A)CIark-Wilson模型B)Biba模型C)非干擾模型D)Sutherland模型答案:A解析:[單選題]81.KeenanSystems最近開發(fā)了一種新的微處理器制造工藝。該公司希望將該技術(shù)許可給其他公司使用，但希望防止未經(jīng)授權(quán)使用該技術(shù)。什么樣的知識(shí)產(chǎn)權(quán)保護(hù)最適合這種情況？A)Patent專利B)Tradesecret商業(yè)秘密C)Copyright版權(quán)D)Trademark商標(biāo)答案:A解析:專利和商業(yè)秘密都可以保護(hù)與制造過程相關(guān)的知識(shí)產(chǎn)權(quán)。只有在組織內(nèi)部可以嚴(yán)格控制細(xì)節(jié)時(shí)，商業(yè)秘密才是合適的，因此在這種情況下，專利是合適的解決方案。版權(quán)用于保護(hù)創(chuàng)意作品，而商標(biāo)用于保護(hù)名稱.徽標(biāo)和符號(hào)。章節(jié)：模擬考試202201[單選題]82.Greg正為組織制定災(zāi)難恢復(fù)計(jì)劃,并希望確定在中斷后恢復(fù)特定IT服務(wù)所需的時(shí)間。Greg計(jì)算的是什么變量?A)MTOB)RTOC)RPOD)SLA答案:B解析:恢復(fù)時(shí)間目標(biāo)(RTO)是指發(fā)生故障后IT服務(wù)或組件恢復(fù)正常所需的時(shí)間量。最大允許停機(jī)時(shí)間(MTD)是是在不造成嚴(yán)重?fù)p害的情況下組織能接受的最長(zhǎng)停機(jī)時(shí)間。恢復(fù)點(diǎn)目標(biāo)(RPO)描述的是恢復(fù)期間可以丟失的最大數(shù)據(jù)量(一般按天數(shù)來計(jì)算)。服務(wù)級(jí)協(xié)議(SLA)是網(wǎng)絡(luò)服務(wù)供應(yīng)商和客戶之間的一份合同,其中規(guī)定了服務(wù)類型、服務(wù)質(zhì)量和客戶付款等。Therecoverytimeobjective(RTO)istheamountoftimeexpectedtoreturnanITserviceorcomponenttooperationafterafailure.Themaximumtolerabledowntime(MTD)isthelongestamountoftimethatanITserviceorcomponentmaybeunavailablewithoutcausingseriousdamagetotheorganization.[單選題]83.以下哪一項(xiàng)是故障樹分析的真實(shí)特性?A)故障樹故障,為可能發(fā)生在一系列業(yè)務(wù)流程上的錯(cuò)誤分配定性值。B)故障樹是被分配失敗模式的值。C)故障樹是被標(biāo)記的每種情況可能出現(xiàn)的實(shí)際概率數(shù)字。D)故障樹是用于軟件調(diào)試的階梯方式。答案:C解析:故障樹分析遵循通用流程,首先將不想要的影響放到邏輯樹的根部或者頂部。然后,將可能導(dǎo)致那種影響出現(xiàn)的情況添加到樹上。之后,在故障樹上標(biāo)上每種情況可能出現(xiàn)的概率數(shù)字。[單選題]84.以下哪一項(xiàng)是用于限制不同執(zhí)行域內(nèi)給定主體可用的對(duì)象范圍的主要機(jī)制?WhichofthefollowingisthePRIMARYmechanismusedtolimittherangeofobjectsavailabletoagivensubjectwithindifferentexecutiondomains?A)使用離散分層和應(yīng)用程序編程接口(API)UseofdiscretelayeringandApplicationProgrammingInterfaces(API)B)數(shù)據(jù)隱藏和抽象DatahidingandabstractionC)進(jìn)程隔離ProcessisolationD)虛擬專用網(wǎng)(VPN)VirtualPrivateNetwork(VPN)、答案:A解析:[單選題]85.Jim想要實(shí)施一個(gè)訪問控制方案,以確保用戶不能委托訪問。他還希望在操作系統(tǒng)級(jí)別實(shí)施訪問控制。什么訪問控制機(jī)制最適合這些要求?Jimwantstoimplementanaccesscontrolschemethatwillensurethatuserscannotdelegateaccess.Healsowantstoenforceaccesscontrolattheoperatingsystemlevel.Whataccesscontrolmechanismbestfitstheserequirements?A)基于角色的訪問控制Role-basedaccesscontrolB)自主訪問控制DiscretionaryaccesscontrolC)強(qiáng)制訪問控制MandatoryaccesscontrolD)基于屬性的訪問控制Attribute-basedaccesscontrol答案:C解析:在強(qiáng)制訪問控制系統(tǒng)中,操作系統(tǒng)強(qiáng)制執(zhí)行訪問控制,用戶不能委托權(quán)限。自主訪問控制允許用戶委托權(quán)限,而基于屬性或基于角色的訪問控制都沒有專門滿足這些要求。職責(zé)分離,完整性三元組:主體程序客體/主體接口對(duì)象Tp修改cdi[單選題]86.(04108)WhichofthefollowingisaPRIMARYsecurityweaknessesinthedesignofDomainNameSystem(DNS)service?在設(shè)計(jì)域名系統(tǒng)（DNS）服務(wù)中，下面哪個(gè)是主要的安全弱點(diǎn)？A)ADNSserver'srecordscanbecorruptedbyclients'maliciousrequests.DNS服務(wù)器的記錄可能被客戶端的惡意請(qǐng)求污染B)ADNSserver'srecordscanbecorruptedbyclients'maliciousrequests.DNS服務(wù)器的記錄可能被客戶端的惡意請(qǐng)求污染C)ADNSserver'srecordscanbecorruptedbyclients'maliciousrequests.DNS服務(wù)器的記錄可能被客戶端的惡意請(qǐng)求污染D)ADNSserver'srecordscanbecorruptedbyclients'maliciousrequests.DNS服務(wù)器的記錄可能被客戶端的惡意請(qǐng)求污染答案:D解析:[單選題]87.下列哪個(gè)安全模型是首個(gè)安全模型通過多級(jí)安全策略用于定義安全狀態(tài)的概念，訪問的模式和授權(quán)的規(guī)則？A)Bell-LaPadula模型B)CIarkandWilson模型C)RivestandShamir