CISSP考試練習(xí)(習(xí)題卷1)

試卷科目：CISSP考試練習(xí)CISSP考試練習(xí)(習(xí)題卷1)PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpagesCISSP考試練習(xí)第1部分：?jiǎn)雾?xiàng)選擇題，共260題，每題只有一個(gè)正確答案,多選或少選均不得分。[單選題]1.在日志審查期間,Danielle發(fā)現(xiàn)了一系列顯示登錄失敗的日志:Jan3111:39:12ip-10-0-0-2sshd[29092]:Invaliduseradminfromremotehostpasswd=aaaaaaaaJan3111:39:20ip-10-0-0-2sshd[29098]:InvaliduseradmInfromremotehostpasswd=aaaaaaabJan3111:39:23ip-10-0-0-2sshd[29100]:InvaliduseradmInfromremotehostpasswd=aaaaaaacJan3111:39:31ip-10-0-0-2sshd[29106]:InvaliduseradmInfromremotehostpasswd=aaaaaaadJan3120:40:53ip-10-0-0-254sshd[30520]:InvaliduseraDminfromremotehostpasswd=aaaaaaadDanielle發(fā)現(xiàn)了什么類型的攻擊?A)傳遞散列攻擊B)暴力攻擊C)中間人攻擊D)字典攻擊[單選題]2.一名安全專業(yè)人員確定,從以前的合并中繼承的一些外包合同不符合當(dāng)前的安全要求。以下哪一項(xiàng)最能降低再次發(fā)生這種情況的風(fēng)險(xiǎn)?A)合并前核實(shí)所有合同B)指派合規(guī)官審查合并條件C)在合并后直接定義額外的安全控制D)在合并小組中包括一名采購(gòu)干事[單選題]3.在RAID硬盤驅(qū)動(dòng)器等級(jí)5中，替代驅(qū)動(dòng)器的備用驅(qū)動(dòng)器通常是故障驅(qū)動(dòng)器的，這意味著什么時(shí)候可以更換？A)系統(tǒng)啟動(dòng)和運(yùn)行時(shí)。B)系統(tǒng)睡眠和運(yùn)行時(shí)。C)系統(tǒng)在兩者之間和運(yùn)行時(shí)D)系統(tǒng)在中心和運(yùn)行時(shí)。[單選題]4.下列哪一項(xiàng)可以幫助確保只有需要的日志為了監(jiān)控而收集？A)閥值B)聚合C)XML解析D)推理[單選題]5.在一個(gè)組織中，誰是最終負(fù)責(zé)信息系統(tǒng)的安全性？A)培訓(xùn)團(tuán)隊(duì)B)管理團(tuán)隊(duì)C)運(yùn)營(yíng)團(tuán)隊(duì)D)技術(shù)支持團(tuán)隊(duì)[單選題]6.下列哪種病毒類型隨著病毒的傳播改變了它本身的一些特性？A)啟動(dòng)磁區(qū)B)寄生的C)隱蔽的D)多態(tài)的[單選題]7.Theuseofprivateandpublicencryptionkeysisfundamentalintheimplementationofwhichofthefollowing?私有和公共加密密鑰的使用是實(shí)現(xiàn)以下哪項(xiàng)的基礎(chǔ)？A)Diffie-HellmanalgorithmDiffie-Hellman算法B)SecureSocketsLayer（SSL）安全套接字層（SSL）C)AdvancedEncryptionStandard（AES）高級(jí)加密標(biāo)準(zhǔn)（AES）D)MessageDigest5（MD5）消息摘要5（MD5）[單選題]8.TheHardwareAbstractionLayer（HAL）isimplementedinthe硬件抽象層（HAL）在A)systemsoftware.系統(tǒng)軟件。B)systemhardware.系統(tǒng)硬件。C)applicationsoftware.應(yīng)用軟件。D)networkhardware.網(wǎng)絡(luò)硬件。[單選題]9.組織如何驗(yàn)證信息系統(tǒng)當(dāng)前的硬件和軟件是否與標(biāo)準(zhǔn)系統(tǒng)配置相匹配?A)通過在系統(tǒng)投入生產(chǎn)后查看配置B)通過在環(huán)境中的所有設(shè)備上運(yùn)行漏洞掃描工具C)通過將系統(tǒng)的實(shí)際配置與基線進(jìn)行比較D)通過驗(yàn)證已執(zhí)行的所有批準(zhǔn)的安全修補(bǔ)程序[單選題]10.以下哪一個(gè)是有線等效隱私(WEP)的弱點(diǎn)?A)初始化矢量長(zhǎng)度(IV)B)防止消息重播C)檢測(cè)消息篡改D)內(nèi)置準(zhǔn)備金以旋轉(zhuǎn)密鑰[單選題]11.在數(shù)字身份配置過程中,以下哪項(xiàng)第一步?WhichofthefollowingistheFIRSTstepduringdigitalidentityprovisioning?A)為實(shí)體授權(quán)訪問資源AuthorizingtheentityforresourceaccessB)同步目錄SynchronizingdirectoriesC)發(fā)布一個(gè)初始隨機(jī)密碼IssuinganinitialrandompasswordD)創(chuàng)建具有正確屬性的實(shí)體記錄Creatingtheentityrecordwiththecorrectattributes[單選題]12.在考慮業(yè)務(wù)連續(xù)性(BC)和災(zāi)難恢復(fù)(DR)培訓(xùn)計(jì)劃的有效性時(shí),最重要的元素是什么?A)管理支持B)考慮組織需要C)用于交付的技術(shù)D)目標(biāo)受眾[單選題]13.WhatisanimportantcharacteristicofRoleBasedAccessControl（RBAC）?基于角色的訪問控制（RBAC）的一個(gè)重要特征是什么？A)SupportsMandatoryAccessControl（MAC）支持強(qiáng)制訪問控制（MAC）B)Simplifiesthemanagementofaccessrights簡(jiǎn)化訪問權(quán)限的管理C)Reliesonrotationofduties依靠職責(zé)輪換D)Requirestwofactorauthentication需要雙因素身份驗(yàn)證[單選題]14.Anauditofanapplicationrevealsthatthecurrentconfigurationdoesnotmatchtheconfigurationoftheoriginallyimplementedapplication.WhichofthefollowingistheFIRSTactiontobetaken?對(duì)應(yīng)用程序的審核表明，當(dāng)前配置與最初實(shí)現(xiàn)的應(yīng)用程序的配置不匹配。以下哪項(xiàng)是第一個(gè)要采取的行動(dòng)？A)Recommendanupdatetothechangecontrolprocess.建議更新變更控制流程。B)Verifytheapprovaloftheconfigurationchange.驗(yàn)證配置更改的批準(zhǔn)。C)Rollbacktheapplicationtotheoriginalconfiguration.將應(yīng)用程序回滾到原始配置。D)Documentthechangestotheconfiguration.記錄對(duì)配置的更改。[單選題]15.云提供商向云消費(fèi)者提供云服務(wù)。下列哪項(xiàng)不屬于云提供商的服務(wù)模式?A)沒有預(yù)裝操作系統(tǒng)的虛擬機(jī)B)云消費(fèi)者可以上傳應(yīng)用的平臺(tái)C)公開可用的服務(wù)D)通過網(wǎng)絡(luò)界面的電子郵件服務(wù)[單選題]16.對(duì)數(shù)據(jù)進(jìn)行分類時(shí),通常不考慮下列哪一項(xiàng)特征?A)價(jià)值B)客體的大小C)可用的生命周期D)對(duì)國(guó)家安全的影響[單選題]17.Acriminalorganizationisplanninganattackonagovernmentnetwork.WhichofthefollowingistheMOSTsevereattacktothenetworkavailability?一個(gè)犯罪組織正在計(jì)劃對(duì)一個(gè)政府網(wǎng)絡(luò)進(jìn)行攻擊。以下哪項(xiàng)是對(duì)網(wǎng)絡(luò)可用性最嚴(yán)重的攻擊？A)Networkmanagementcommunicationsisdisruptedbyattacker網(wǎng)絡(luò)管理通信被攻擊者中斷B)Operatorlosescontrolofnetworkdevicestoattacker操作員失去了對(duì)網(wǎng)絡(luò)設(shè)備的控制，攻擊者C)Sensitiveinformationisgatheredonthenetworktopologybyattacker攻擊者在網(wǎng)絡(luò)拓?fù)渖鲜占舾行畔)Networkisfloodedwithcommunicationtrafficbyattacker網(wǎng)絡(luò)中充斥著攻擊者的通信流量[單選題]18.災(zāi)難恢復(fù)計(jì)劃(DRP)培訓(xùn)材料應(yīng)為A)一個(gè)。一致,以便所有受眾接受相同的培訓(xùn)。B)存放在防火保險(xiǎn)箱中,以確保在需要時(shí)可用。C)僅以紙質(zhì)形式交付。D)以專業(yè)的方式呈現(xiàn)。[單選題]19.下面決定哪些人最好訪問和個(gè)人的適用性A)職位等級(jí)或職稱B)合伙人與安全團(tuán)隊(duì)的關(guān)系C)角色D)背景調(diào)查[單選題]20.(04096)Whenoutsourcinganorganization'ssecurityfunctions,itisMOSTimportantthat當(dāng)組織外包安全職能時(shí)，最重要的是A)contractualobligationsareclearlydefined.清晰定義了合同的義務(wù)B)contractualobligationsareclearlydefined.清晰定義了合同的義務(wù)C)contractualobligationsareclearlydefined.清晰定義了合同的義務(wù)D)contractualobligationsareclearlydefined.清晰定義了合同的義務(wù)[單選題]21.在SSD驅(qū)動(dòng)器廢棄時(shí),為什么要物理破壞SSD驅(qū)動(dòng)器以防止數(shù)據(jù)泄露?A)消磁只能部分擦除SSD上的數(shù)據(jù)B)SSD沒有數(shù)據(jù)殘留C)SSD無法進(jìn)行零填充D)內(nèi)置的擦除命令在一些SSD上不是完全有效的[單選題]22.使用原生輕量級(jí)目錄訪問協(xié)議(LDAP)進(jìn)行身份驗(yàn)證時(shí),以下哪一個(gè)是最大的弱點(diǎn)?A)服務(wù)器響應(yīng)中不包括授權(quán)B)無鹽的哈希通過網(wǎng)絡(luò)傳遞C)身份驗(yàn)證會(huì)話可以重播D)密碼以明確文本傳遞[單選題]23.Retainingsystemlogsforsixmonthsorlongercanbevaluableforwhatactivities?將系統(tǒng)日志保留六個(gè)月或更長(zhǎng)時(shí)間對(duì)哪些活動(dòng)有價(jià)值？A)Disasterrecoveryandbusinesscontinuity災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃B)Forensicsandincidentresponse取證和事件響應(yīng)C)Identityandauthorizationmanagement身份和授權(quán)管理D)Physicalandlogicalaccesscontrol物理及邏輯訪問控制[單選題]24.以下哪一項(xiàng)不是Jim需要將管理服務(wù)過渡到云端考慮的問題?A)云服務(wù)器所在國(guó)家的隱私和數(shù)據(jù)違反的法律B)效率、性能、可靠性、可擴(kuò)展性和安全性的損失C)在服務(wù)方面的安全條款D)相對(duì)于當(dāng)前系統(tǒng)的所有權(quán)總成本[單選題]25.以下哪一項(xiàng)對(duì)于成功的審計(jì)計(jì)劃最為關(guān)鍵?A)定義要執(zhí)行的審計(jì)范圍B)確定要實(shí)施的安全控制C)與系統(tǒng)所有者合作制定新的控件D)獲取不符合規(guī)定的系統(tǒng)證據(jù)[單選題]26.什么滲透測(cè)試技術(shù)可以最大限度地幫助評(píng)估安全培訓(xùn)和意識(shí)問題?A)端口掃描B)發(fā)現(xiàn)C)社會(huì)工程D)漏洞掃描[單選題]27.一個(gè)全球性組織希望實(shí)現(xiàn)硬件令牌,作為遠(yuǎn)程訪問的多因素身份驗(yàn)證解決方案的一部分。此實(shí)施的主要優(yōu)點(diǎn)是A)令牌注冊(cè)的可擴(kuò)展性。B)增加最終用戶的責(zé)任。C)它防止未經(jīng)授權(quán)的訪問。D)它簡(jiǎn)化了用戶訪問管理。[單選題]28.Valerie在其網(wǎng)絡(luò)的交換機(jī)上啟用端口安全。她最有可能試圖阻止什么類型的攻擊?Valerieenablesportsecurityontheswitchesonhernetwork.Whattypeofattackisshemostlikelytryingtoprevent?A)IP欺騙IPspoofingB)MAC聚合MACaggregationC)CAM表泛洪CAMtablefloodingD)VLAN跳躍VLANhopping[單選題]29.認(rèn)證流程的主要結(jié)果是它提供了有文件記錄的A)系統(tǒng)缺陷的補(bǔ)救。B)安全評(píng)估、測(cè)試和流程評(píng)估標(biāo)準(zhǔn)。C)互聯(lián)系統(tǒng)及其實(shí)施的安全控制。D)安全是做出基于風(fēng)險(xiǎn)的決定所需的一個(gè)解體。[單選題]30.InFederatedIdentityManagement（FIM）,whichofthefollowingrepresentstheconceptoffederation?在聯(lián)合身份管理（FIM）中，以下哪項(xiàng)代表聯(lián)合的概念？A)Collectionofinformationlogicallygroupedintoasingleentity邏輯分組為單個(gè)實(shí)體的信息集合B)Collection,maintenance,anddeactivationofuserobjectsandattributesinoneormoresystems,directoriesorapplications在一個(gè)或多個(gè)系統(tǒng)、目錄或應(yīng)用程序中收集、維護(hù)和停用用戶對(duì)象和屬性C)Collectionofinformationforcommonidentitiesinasystem為系統(tǒng)中的通用標(biāo)識(shí)收集信息D)Collectionofdomainsthathaveestablishedtrustamongthemselves在它們之間建立信任的域的集合[單選題]31.下列等式使用的是什么運(yùn)算?A)MODB)XORC)NANDD)DIV[單選題]32.您的組織剛剛為一個(gè)主要客戶簽訂了一份新合同。這將涉及增加主要設(shè)施的生產(chǎn)運(yùn)營(yíng),這將需要容納有價(jià)值的數(shù)字和物理資產(chǎn)。您需要確保這些新資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)。下列哪一項(xiàng)不是使用保安人員的缺點(diǎn)?A)保安人員通常不知道設(shè)施內(nèi)的操作范圍。B)并非所有環(huán)境和設(shè)施都支持保安。C)并非所有的保安人員本身都是可靠的。D)預(yù)篩選、結(jié)合和培訓(xùn)并不能保證有效和可靠的保安人員。[單選題]33.以下哪種調(diào)查類型對(duì)收集和保存信息的標(biāo)準(zhǔn)最為寬松?A)民事調(diào)查B)業(yè)務(wù)調(diào)查C)刑事調(diào)查D)監(jiān)管調(diào)查[單選題]34.以下哪一項(xiàng)對(duì)實(shí)施輸入身份和訪問管理(IAM)解決方案有利?A)密碼要求簡(jiǎn)化。B)與孤兒帳戶相關(guān)的風(fēng)險(xiǎn)降低。C)職責(zé)隔離自動(dòng)執(zhí)行。D)數(shù)據(jù)保密性增加。[單選題]35.WhenconfiguringExtensibleAuthenticationProtocol（EAP）inaVoiceoverInternetProtocol（VoIP）network,whichofthefollowingauthenticationtypesistheMOSTsecure?在Internet語音協(xié)議（VoIP）網(wǎng)絡(luò)中配置可擴(kuò)展身份驗(yàn)證協(xié)議（EAP）時(shí)，以下哪種身份驗(yàn)證類型最安全？A)EAP-TransportLayerSecurity（TLS）EAP傳輸層安全（TLS）B)EAP-FlexibleAuthenticationviaSecureTunneling通過安全隧道實(shí)現(xiàn)EAP靈活身份驗(yàn)證C)EAP-TunneledTransportLayerSecurity（TLS）EAP隧道傳輸層安全（TLS）D)EAP-ProtectedExtensibleAuthenticationProtocol（PEAP）EAP保護(hù)的可擴(kuò)展身份驗(yàn)證協(xié)議（PEAP）[單選題]36.一個(gè)個(gè)安全專業(yè)人士被要求來規(guī)劃和實(shí)施一個(gè)超過1,000合服務(wù)器的大型對(duì)絡(luò)中的服務(wù)器日志管理解決方案。下列哪部一項(xiàng)對(duì)解決方案的功能的影響最大?A)Methodusedtoinstalltheagent.用來安裝代理的方法B)Theconfigurationoflocallogrecordfilteringoptions.本地日志記錄過資選項(xiàng)的配置C)Thelocationofthelogmanagementserver.日志管理服務(wù)蓉的位置D)Theoperatingsystemusedforthelogmanagementserver.日志管理服務(wù)器所用的操作系統(tǒng)[單選題]37.(04110)HowdoesaHostBasedIntrusionDetectionSystem(HIDS)identifyapotentialattack?基于主機(jī)的入侵檢測(cè)HIDS是如何識(shí)別可能的攻擊的？A)ExaminestheAccessControlList(ACL)檢查訪問控制列表ACLB)ExaminestheAccessControlList(ACL)檢查訪問控制列表ACLC)ExaminestheAccessControlList(ACL)檢查訪問控制列表ACLD)ExaminestheAccessControlList(ACL)檢查訪問控制列表ACL[單選題]38.數(shù)據(jù)重工是指以下哪一個(gè)?A)其余光子在安全傳輸后留在光纖電纜中。B)法律或法規(guī)要求的保留期。C)從服務(wù)器或個(gè)人計(jì)算機(jī)上刪除網(wǎng)絡(luò)連接時(shí)產(chǎn)生的磁通量。D)刪除或擦除后留在磁存儲(chǔ)介質(zhì)上的殘留信息。[單選題]39.recoveryofthehomestadium?通常有幾個(gè)團(tuán)隊(duì)參與執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃。哪個(gè)小組負(fù)責(zé)啟動(dòng)主場(chǎng)所的恢復(fù)?A)Damageassessmentteam.損失評(píng)估團(tuán)B)BCPteam.BCP團(tuán)隊(duì)C)Salvageteam救援團(tuán)隊(duì)D)Restorationteam.恢復(fù)團(tuán)隊(duì)[單選題]40.Arecompanieslegallyrequiredtoreportalldatabreaches?法律是否要求公司報(bào)告所有數(shù)據(jù)泄露？A)No,differentjurisdictionshavedifferentrules.不，不同的司法管轄區(qū)有不同的規(guī)則。B)No,notifthedataisencrypted.不，如果數(shù)據(jù)已加密，則不會(huì)。C)No,companies'codesofethicsdon'trequireit.不，公司的道德準(zhǔn)則并不要求這樣做。D)No,onlyifthebreachhadamaterialimpact.不，只有在違規(guī)行為產(chǎn)生重大影響的情況下。[單選題]41.變更管理策略的主要目的是什么?A)為了確保管理層有必要更改信息技術(shù)(IT)基礎(chǔ)設(shè)施B)識(shí)別可能對(duì)信息技術(shù)(IT)基礎(chǔ)設(shè)施進(jìn)行更改C)驗(yàn)證信息技術(shù)(IT)基礎(chǔ)設(shè)施的t帽子更改已獲批準(zhǔn)D)確定對(duì)信息技術(shù)(IT)基礎(chǔ)設(shè)施進(jìn)行修改的必要性[單選題]42.在計(jì)算機(jī)系統(tǒng)設(shè)計(jì)中包括一個(gè)受信任的平臺(tái)模塊(TPM)是技術(shù)的一個(gè)例子,以什么?A)與公共關(guān)鍵基礎(chǔ)設(shè)施(PKI)的接口B)提高安全軟件的質(zhì)量C)防止拒絕服務(wù)(DOS)攻擊D)建立安全的初始狀態(tài)[單選題]43.編寫在VisualBasic應(yīng)用程序語言(VBA)中的宏病毒是一個(gè)主要的問題，因?yàn)锳)軟盤可以傳播這樣的病毒B)這些病毒可以感染許多類型的環(huán)境C)防毒軟件可用來刪除病毒代碼D)這些病毒幾乎只影響到操作系統(tǒng)[單選題]44.哪個(gè)低音是使用靜態(tài)身份驗(yàn)證的遠(yuǎn)程訪問協(xié)議?A)點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)B)路由信息協(xié)議(RIP)C)密碼身份驗(yàn)證協(xié)議(PAP)D)挑戰(zhàn)握手身份驗(yàn)證協(xié)議(CHAP)[單選題]45.Joanna是她所在組織的CISO,在她的安全運(yùn)營(yíng)監(jiān)督角色中,她希望確保對(duì)與安全相關(guān)的變更進(jìn)行管理監(jiān)督。在大多數(shù)組織中,她應(yīng)該關(guān)注什么系統(tǒng)來跟蹤此類數(shù)據(jù)?A)SIEM系統(tǒng)B)IPS系統(tǒng)C)CMS工具D)ITSM工具[單選題]46.Kailey正在審查她的組織維護(hù)的一組舊記錄,并希望安全地處理它們。她不確定該組織應(yīng)將記錄保留多長(zhǎng)時(shí)間,因?yàn)樗鼈兩婕岸悇?wù)數(shù)據(jù)。Kailey如何確定是否可以處置這些記錄?A)查閱組織的記錄保留政策。B)咨詢IRS要求。C)保留記錄至少七年。D)永久保留記錄。[單選題]47.軟件公司的一名工程師創(chuàng)建了病毒創(chuàng)建工具。該工具可以生成數(shù)千種多態(tài)病毒。該工程師計(jì)劃在受控環(huán)境中使用該工具來測(cè)試該公司的下一代病毒掃描軟件。哪個(gè)最能描述工程師的行為,為什么?A)這種行為是合乎道德的,因?yàn)樵摴ぞ邔⒂糜趧?chuàng)建更好的病毒掃描儀。B)這種行為是合乎道德的,因?yàn)槿魏斡薪?jīng)驗(yàn)的程序員都可以創(chuàng)建這樣的工具。C)這種行為是沒有道德的,因?yàn)橹圃烊魏晤愋偷牟《臼遣缓玫?。D)這種行為是不合道德的,因?yàn)檫@種工具可能會(huì)在互聯(lián)網(wǎng)上泄露。[單選題]48.AnInternetsoftwareapplicationrequiresauthenticationbeforeauserispermittedtoutilizetheresource.WhichtestingscenarioBESTvalidatesthefunctionalityoftheapplication?在允許用戶使用資源之前，Internet軟件應(yīng)用程序需要身份驗(yàn)證。哪個(gè)測(cè)試場(chǎng)景最能驗(yàn)證應(yīng)用程序的功能？A)Reasonabledatatesting合理的數(shù)據(jù)測(cè)試B)Inputvalidationtesting輸入驗(yàn)證測(cè)試C)WebsessiontestingWeb會(huì)話測(cè)試D)Alloweddataboundsandlimitstesting允許的數(shù)據(jù)界限和限制測(cè)試[單選題]49.ILOVEYOU和梅麗莎病毒有什么共同之處？A)他們都是偽裝攻擊B)他們都是社會(huì)工程攻擊C)他們都是拒絕服務(wù)攻擊D)他們沒有共同之處[單選題]50.TCP/IP模型的應(yīng)用層對(duì)應(yīng)OSI模型的應(yīng)用層和？A)會(huì)話層.表現(xiàn)層B)傳輸層.會(huì)話層C)表現(xiàn)層.數(shù)據(jù)鏈路層D)表現(xiàn)層.傳輸層[單選題]51.Alicia的公司已使用SMS消息來提供數(shù)字代碼,實(shí)現(xiàn)多因素身份驗(yàn)證。Alicia會(huì)想表達(dá)關(guān)于此設(shè)計(jì)的主要安全問題是什么?Alicia'scompanyhasimplementedmultifactorauthenticationusingSMSmessagestoprovideanumericcode.WhatistheprimarysecurityconcernthatAliciamaywanttoexpressaboutthisdesign?A)SMS消息未加密SMSmessagesarenotencrypted.B)SMS消息可能會(huì)被發(fā)件人欺騙SMSmessagescanbespoofedbysenders.C)SMS消息可能會(huì)被多部手機(jī)接收SMSmessagesmaybereceivedbymorethanonephone.D)SMS消息可能存儲(chǔ)在接收手機(jī)上SMSmessagesmaybestoredonthereceivingphone.[單選題]52.Darcy是Roscommon農(nóng)產(chǎn)品公司的信息安全風(fēng)險(xiǎn)分析師。她目前正在試圖決定公司是否應(yīng)為其主數(shù)據(jù)中心購(gòu)買升級(jí)的滅火系統(tǒng)。數(shù)據(jù)中心設(shè)施的重置成本為200萬美元。與精算師、數(shù)據(jù)中心經(jīng)理和消防專家協(xié)商后,Darcy了解到,如果發(fā)生一般火災(zāi),那么可能需要更換建筑物內(nèi)的所有設(shè)備,但不會(huì)導(dǎo)致重大的結(jié)構(gòu)性損壞。他們一起估計(jì),從火災(zāi)中恢復(fù)將需要75萬美元。他們還確定,該公司每50年會(huì)發(fā)生一次這樣的火災(zāi)。根據(jù)上述信息,Roscommon農(nóng)產(chǎn)品數(shù)據(jù)中心的年化損失預(yù)期值是多少?A)15000美元B)25000美元C)75000美元D)750000美元[單選題]53.組織在其內(nèi)聯(lián)網(wǎng)的存檔中發(fā)布并定期更新其員工策略。以下哪一個(gè)是原始安全c曾經(jīng)?A)所有權(quán)B)保密性C)可用性D)正直[單選題]54.Elle的組織不得不轉(zhuǎn)向遠(yuǎn)程工作。每個(gè)工作人員都需要訪問特定的應(yīng)用程序,并且由于輪班很快,工作人員在可能是家庭系統(tǒng)或借來的筆記本電腦的系統(tǒng)上工作。在Elle面臨的情況下,遠(yuǎn)程訪問的最佳選擇是什么?A)IPsecVPNB)到每個(gè)遠(yuǎn)程工作地點(diǎn)的專用光纖連接C)基于HTML5的VPND)使用遠(yuǎn)程桌面連接到公司辦公樓現(xiàn)有的工作站[單選題]55.Sally為千兆以太網(wǎng)網(wǎng)絡(luò)接線。她應(yīng)該做哪些布線選擇,來確保她的用戶可以使用1000Mbps的網(wǎng)絡(luò)?A)Cat5和Cat6B)Cat5e和Cat6C)Cat4e和Cat5eD)Cat6和Cat7[單選題]56.對(duì)于所有受影響的個(gè)人，除了下列哪一項(xiàng)之外，個(gè)人都有知情權(quán)？A)限制個(gè)人電子郵件B)錄音電話交談C)收集有關(guān)上網(wǎng)習(xí)慣的信息D)用于保存電子郵件的備份機(jī)制[單選題]57.下列哪種方式是從諸如磁帶、盒式磁帶等磁存儲(chǔ)介質(zhì)消除數(shù)據(jù)的最可靠、安全的方式？A)消磁B)奇偶校驗(yàn)位操作C)認(rèn)證D)緩沖區(qū)溢出[單選題]58.以下哪一項(xiàng)是CHAP質(zhì)詢握手認(rèn)證協(xié)議的特點(diǎn):A)二次握手B)只在鏈路建立的階段進(jìn)行驗(yàn)證C)被認(rèn)證方發(fā)起驗(yàn)證D)密文發(fā)送認(rèn)證信息[單選題]59.Whatisacommonmistakeinrecordsretention?記錄保留中的常見錯(cuò)誤是什么？A)Havingtheorganizationlegaldepartmentcreatearetentionpolicy讓組織法律部門創(chuàng)建保留策略B)Adoptingaretentionpolicybasedonapplicableorganizationrequirements根據(jù)適用的組織要求采用保留策略C)HavingtheHumanResource（HR）departmentcreatearetentionpolicy讓人力資源（HR）部門制定保留政策D)Adoptingaretentionpolicywiththelongestrequirementperiod采用要求期限最長(zhǎng)的保留策略[單選題]60.Anenterpriseisdevelopingabaselinecybersecuritystandarditssuppliersmustmeetbeforebeingawardedacontract.WhichofthefollowingstatementsisTRUEaboutthebaselinecybersecuritystandard?一家企業(yè)正在制定一項(xiàng)基線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，其供應(yīng)商在獲得合同之前必須滿足該標(biāo)準(zhǔn)。關(guān)于基線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，以下哪項(xiàng)陳述是正確的？A)Itshouldbeexpressedasgeneralrequirements.應(yīng)表示為一般要求。B)Itshouldbeexpressedinlegalterminology.它應(yīng)該用法律術(shù)語來表達(dá)。C)Itshouldbeexpressedinbusinessterminology.它應(yīng)該用商業(yè)術(shù)語來表達(dá)。D)Itshouldbeexpressedastechnicalrequirements.應(yīng)表示為技術(shù)要求。[單選題]61.在系統(tǒng)開發(fā)生命周期中，是安全提供了最大的生命體驗(yàn)嗎？A)系統(tǒng)需求定義階段。B)系統(tǒng)設(shè)計(jì)階段C)程序開發(fā)階段。D)程序測(cè)試階段。[單選題]62.如果Alejandro的初步調(diào)查確定可能發(fā)生安全事件,那么下一步應(yīng)該是什么?A)調(diào)查根本原因B)提交書面報(bào)告C)激活事件響應(yīng)小組D)嘗試將系統(tǒng)恢復(fù)到正常操作[單選題]63.以下哪一個(gè)變更管理流程是由用戶而不是開發(fā)人員發(fā)起的?A)變更請(qǐng)求B)變更控制C)釋放控制D)設(shè)計(jì)審查[單選題]64.管理以下人員可能會(huì)顯示測(cè)試提供所有選項(xiàng)，除了A)識(shí)別安全缺陷B)證明缺陷的影響C)翻譯安全缺陷的方法D)驗(yàn)證數(shù)字的滲電阻的程度[單選題]65.可信任分布的目的是？A)確保從一個(gè)中央辦公室發(fā)送到遠(yuǎn)程位置的郵件免于被篡改。B)確保在可信計(jì)算基收到的郵件不是老舊的。C)為了防止數(shù)據(jù)的嗅探，因?yàn)樗ㄟ^一個(gè)不可信賴的網(wǎng)絡(luò)路線傳播至一個(gè)可信任的網(wǎng)絡(luò)。D)為了確?？尚庞?jì)算基在運(yùn)輸或安裝過程中沒有被篡改。[單選題]66.Whyarepacketfilteringroutersusedinlow-riskenvironments?為什么在低風(fēng)險(xiǎn)環(huán)境中使用包過濾路由器？A)Theyarehigh-resolutionsourcediscriminationandidentificationtools.它們是高分辨率的源識(shí)別和識(shí)別工具。B)Theyarefastandflexible,andprotectagainstInternetProtocol（IP）spoofing.它們快速且靈活，可防止互聯(lián)網(wǎng)協(xié)議（IP）欺騙。C)Theyarefast,flexible,andtransparent.它們快速、靈活、透明。D)Theyenforcestronguserauthenticationandaudittoggeneration.它們強(qiáng)制執(zhí)行強(qiáng)大的用戶身份驗(yàn)證和審核tog生成。[單選題]67.操作安全力圖關(guān)鍵點(diǎn)哪一個(gè)選項(xiàng)？A)客重用B)設(shè)施災(zāi)難C)發(fā)射漏氣D)資產(chǎn)威脅[單選題]68.PKI在什么情況下對(duì)CA的認(rèn)證產(chǎn)生交叉數(shù)字證書A)PKI需要權(quán)威認(rèn)證B)當(dāng)CA之間需要互相認(rèn)證C)當(dāng)證書需要CA確認(rèn)真實(shí)性和有效性D)當(dāng)數(shù)字證書在CA之間進(jìn)行傳輸[單選題]69.Alex確保所有工作人員簽署了保密協(xié)議,以保護(hù)其組織的知識(shí)產(chǎn)權(quán)和數(shù)據(jù)。Alex在處理什么潛在問題?A)數(shù)據(jù)過濾B)人員保留C)數(shù)據(jù)泄露D)非專有數(shù)據(jù)共享[單選題]70.以下哪一項(xiàng)必須到位才能識(shí)別系統(tǒng)攻擊?A)狀態(tài)防火墻B)分布式殺毒軟件C)日志分析D)被動(dòng)蜜罐[單選題]71.定制的軟件適合用什么測(cè)試A)白盒B)黑盒C)灰盒D)模糊測(cè)試[單選題]72.董事會(huì)和首席信息安全官(CISO)已要求安全專業(yè)人員執(zhí)行內(nèi)部和外部滲透測(cè)試。什么是最佳行動(dòng)方案?AsecurityprofessionalhasbeenrequestedbytheBoardofDirectorsandChiefInformationSecurityOfficer(CISO)toperformaninternalandexternalpenetrationtest.WhatistheBESTcourseofaction?A)審查數(shù)據(jù)本地化要求和法規(guī)ReviewdatalocalizationrequirementsandregulationsB)審查公司安全政策和程序ReviewcorporatesecuritypoliciesandproceduresC)通知組織,先進(jìn)行內(nèi)部滲透測(cè)試,然后進(jìn)行外部測(cè)試Withnoticetotheorganization,performaninternalpenetrationtestfirst,thenanexternaltestD)通知組織,先進(jìn)行外部滲透測(cè)試,然后進(jìn)行內(nèi)部測(cè)試Withnoticetotheorganization,performanexternalpenetrationtestfirst,thenaninternaltest[單選題]73.(04055)Duringabudgetingmeetinganorganization'smanagementdecidestoprioritizesecurityrisksWhichofthefollowingInternationalOrganizationforStandardization(ISO)standardswouldprovidetheBESTguidance?在組織管理層的預(yù)算會(huì)議上決定對(duì)安全風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)評(píng)級(jí)。下面哪項(xiàng)ISO標(biāo)準(zhǔn)可以提供最好的指南？A)ISO27001B)ISO27001C)ISO27001D)ISO27001[單選題]74.通過計(jì)算代碼中的bug來評(píng)估第三方的風(fēng)險(xiǎn)可能不是衡量供應(yīng)鏈中攻擊表面的最佳指標(biāo)。以下哪一項(xiàng)與攻擊表面關(guān)聯(lián)最小?A)輸入?yún)f(xié)議B)目標(biāo)流程C)錯(cuò)誤消息D)訪問權(quán)限[單選題]75.為實(shí)現(xiàn)其目標(biāo),Jack最適合遵循哪種ISO/IEC標(biāo)準(zhǔn)?A)ISO/IEC27002B)ISO/IEC27004C)ISO/IEC27005D)ISO/IEC27006[單選題]76.Ausersendsane-mailrequestaskingforread-onlyaccesstofilesthatarenotconsideredsensitive.ADiscretionaryAccessControl（DAC）methodologyisinplace.WhichistheMOSTsuitableapproachthattheadministratorshouldtake?用戶發(fā)送電子郵件請(qǐng)求，請(qǐng)求對(duì)不敏感的文件進(jìn)行只讀訪問。有一種自主訪問控制（DAC）方法。管理員應(yīng)該采取哪種最合適的方法？A)Administratorshouldrequestdataownerapprovaltotheuseraccess管理員應(yīng)請(qǐng)求數(shù)據(jù)所有者批準(zhǔn)用戶訪問B)Administratorshouldrequestmanagerapprovalfortheuseraccess管理員應(yīng)請(qǐng)求管理員批準(zhǔn)用戶訪問權(quán)限C)Administratorshoulddirectlygranttheaccesstothenon-sensitivefiles管理員應(yīng)直接授予對(duì)非敏感文件的訪問權(quán)限D(zhuǎn))Administratorshouldassesstheuseraccessneedandeithergrantordenytheaccess管理員應(yīng)評(píng)估用戶訪問需求，并授予或拒絕訪問權(quán)限[單選題]77.在部署網(wǎng)絡(luò)訪問控制(NAC)的組織中,試圖連接到網(wǎng)絡(luò)的設(shè)備被放置到一個(gè)孤立的域中。為了獲得適當(dāng)?shù)倪B接,本設(shè)備可以做些什么?A)將設(shè)備連接到另一個(gè)網(wǎng)絡(luò)插孔B)根據(jù)安全要求應(yīng)用補(bǔ)救措施C)應(yīng)用操作系統(tǒng)(OS)修補(bǔ)程序D)更改網(wǎng)絡(luò)界面的消息身份驗(yàn)證碼(MAC)地址[單選題]78.基于角色的訪問控制(RBAC)為訪問審查過程提供了以下哪些好處?A)審核后降低訪問請(qǐng)求量B)對(duì)撤銷階段給予更多控制C)對(duì)訪問進(jìn)行更細(xì)粒度的訪問分析D)減少審核項(xiàng)目數(shù)[單選題]79.關(guān)于點(diǎn)到點(diǎn)微波傳輸?shù)恼_的說法是？A)因?yàn)椴捎昧硕嗦窂?fù)用技術(shù),所以不容易被藍(lán)劫偵聽。B)因?yàn)橛屑用?所以不容易被攔截偵聽C)容易被攔截偵聽D)是否被攔截偵聽取決于信號(hào)強(qiáng)度[單選題]80.Wi-FiProtectedAccess2.（WPA2）providesuserswithahigherlevelofassurancethattheirdatawillremainprotectedbyusingwhichprotocol?Wi-Fi保護(hù)訪問2。（WPA2）為用戶提供了更高級(jí)別的保證，即他們的數(shù)據(jù)將通過使用哪種協(xié)議保持保護(hù)？A)SecureShell（SSH）安全Shell（SSH）B)InternetProtocolSecurity（IPsec）Internet協(xié)議安全（IPsec）C)SecureSocketsLayer（SSL）安全套接字層（SSL）D)ExtensibleAuthenticationProtocol（EAP）可擴(kuò)展身份驗(yàn)證協(xié)議（EAP）[單選題]81.哪種攻擊手段是通過攻擊次要目標(biāo)以實(shí)現(xiàn)攻擊到主要目標(biāo)。A)xssB)水坑C)捕鯨D)smurfing[單選題]82.哈希消息驗(yàn)證碼(HMAC)中使用以下哪種加密類型進(jìn)行密鑰分發(fā)?WhichofthefollowingencryptiontypesisusedinHashMessageAuthenticationCode(HMAC)forkeydistribution?A)對(duì)稱SymmetricB)非對(duì)稱AsymmetricC)短暫EphemeralD)永久Permanent[單選題]83.打開系統(tǒng)互連(OSI)模型的哪個(gè)層是處理數(shù)據(jù)圖的源端和目的地地址?A)運(yùn)輸層B)數(shù)據(jù)鏈接層C)網(wǎng)絡(luò)萊耶rD)應(yīng)用層[單選題]84.在什么云計(jì)算模型中,客戶在自己的數(shù)據(jù)中心中構(gòu)建云計(jì)算環(huán)境或在另一個(gè)數(shù)據(jù)中心中構(gòu)建供客戶專用的環(huán)境?A)公共云B)私有云C)混合云D)共享云[單選題]85.以下哪些安全啟動(dòng)機(jī)制主要旨在阻止攻擊?A)定時(shí)B)冷啟動(dòng)C)側(cè)通道D)聲學(xué)加密分析[單選題]86.Managementsupportiscriticaltothesuccessofabusinesscontinuityplan.Whichofthefollowingisthemostimportanttobeprovidedtoleadershiptoobtaintheirsupport?業(yè)務(wù)連續(xù)性計(jì)劃關(guān)鍵的成功因素是管理層支持,下面哪項(xiàng)是向領(lǐng)導(dǎo)層提供的最重要的材料來獲取他們的支持?A)Businesscase業(yè)務(wù)案例B)Businessimpactanalysis業(yè)務(wù)影響分析C)Riskanalysis風(fēng)險(xiǎn)分析D)Threatreport威脅報(bào)告[單選題]87.Lynn計(jì)劃去旅行,因此她登錄一個(gè)網(wǎng)站購(gòu)買機(jī)票。這個(gè)網(wǎng)站不僅提供機(jī)票價(jià)格,在她購(gòu)票時(shí)還提供酒店客房和租車等服務(wù)。航空公司、酒店和租賃公司都是相互獨(dú)立的公司。Lynn決定同時(shí)通過這個(gè)網(wǎng)站購(gòu)買酒店住宿。該網(wǎng)站使用安全斷言標(biāo)記語言來實(shí)現(xiàn)此類聯(lián)合身份管理功能。在該示例中,哪個(gè)實(shí)體是主體,哪個(gè)實(shí)體是身份提供者,哪個(gè)實(shí)體是服務(wù)提供者?A)門戶網(wǎng)站、Lynn、酒店B)Lynn、航空公司、酒店C)Lynn、酒店、航空公司D)門戶網(wǎng)站、Lynn、航空公司[單選題]88.您正在為客戶進(jìn)行一個(gè)時(shí)程緊迫的雙盲(double-blind)滲透測(cè)試。你目前正試圖控制DMZ中的一臺(tái)伺服器。以下哪種情況最不可能發(fā)生?(WentzQOTD)Youareconductingpenetrationtestingforacustomerwithatightschedule.YouarenowtryingtogaincontroloveraserverintheDMZ.Whichofthefollowingisleastlikelytohappen?A)使用nmap掃描端口(port)ScanportsusingnmapB)使用nslookup收集主機(jī)信息GatherhostinformationusingnslookupC)使用ping發(fā)送帶有路由的ICMP訊息SendICMPmessageswithroutesusingpingD)安裝武器載荷(payload)並重啟生效Installtheweaponpayloadandreboottotakeeffect[單選題]89.下一個(gè)選項(xiàng)可以確保發(fā)生系統(tǒng)崩潰或其他系統(tǒng)故障時(shí)不違反性？A)可靠恢復(fù)B)熱交換C)費(fèi)用D)安全啟動(dòng)[單選題]90.這里顯示了什么代碼審查流程?A)靜態(tài)檢查B)Fagan檢查C)動(dòng)態(tài)檢查D)接口測(cè)試[單選題]91.以下哪一個(gè)通常表示使用生物識(shí)別認(rèn)證的dealing時(shí)重播攻擊?A)錯(cuò)誤接受率(FAR)大于100,000中的1B)錯(cuò)誤拒絕率(FRR)大于100中的5C)未指定的模板D)確切匹配[單選題]92.Jim正在為他的組織實(shí)施IDaaS解決方案。他使用了什么類型的技術(shù)?A)身份即服務(wù)B)員工ID作為服務(wù)C)基于云的RADIUSD)OAuth[單選題]93.死亡之Ping、Smurf攻擊和Pingflood都濫用了哪個(gè)協(xié)議的重要功能?A)IGMPB)UDPC)IPD)ICMP[單選題]94.在應(yīng)用開發(fā)過程中的軟件擔(dān)保(softwareassurance)用于?A)防止產(chǎn)生易受攻擊的軟件B)鼓勵(lì)開發(fā)開源軟件C)有助于生成可信計(jì)算基(TCB)系統(tǒng)D)有助于生成高可用性的系統(tǒng)[單選題]95.WhichRadioFrequencyInterference（RFI）phenomenonassociatedwithbundledcablerunscancreateinformationleakage?哪種與捆綁電纜相關(guān)的射頻干擾（RFI）現(xiàn)象會(huì)造成信息泄漏？A)Transference傳輸B)Covertchannel隱蔽信道C)Bleeding滲透D)Cross-talk串?dāng)_[單選題]96.在實(shí)施信息安全持續(xù)監(jiān)控(ISCM)解決方案時(shí),應(yīng)以多高的頻率監(jiān)控控制?A)一個(gè)。連續(xù)無一例外地進(jìn)行所有安全控制B)每次更改控件之前和之后C)與安全控制的波動(dòng)性同時(shí)進(jìn)行D)僅在系統(tǒng)實(shí)施和退役期間[單選題]97.以下哪些活動(dòng)最能識(shí)別操作問題、安全配置錯(cuò)誤和惡意攻擊?A)政策文件審查B)身份驗(yàn)證C)定期日志評(píng)論D)界面測(cè)試[單選題]98.單一共享相同的資源訪問的流程被稱為：A)可信計(jì)算基數(shù)（TCB）B)保護(hù)域C)訪問控制三聯(lián)D)訪問控制列表[單選題]99.以下哪項(xiàng)需要識(shí)別數(shù)據(jù)和到業(yè)務(wù)流程、應(yīng)用程序和數(shù)據(jù)存儲(chǔ)的鏈接,以及分配所有權(quán)和責(zé)任?A)安全治理B)證券投資組合管理C)風(fēng)險(xiǎn)評(píng)估D)風(fēng)險(xiǎn)管理[單選題]100.以下哪一項(xiàng)確保活動(dòng)或事件的主體不能否認(rèn)事件的發(fā)生?A)CIA三元組B)抽象C)不可否認(rèn)性D)散列值[單選題]101.敏捷開發(fā)中的最高優(yōu)先級(jí)是什么?WhatistheHIGHESTpriorityinagiledevelopment?A)選擇合適的編碼語言SelectingappropriatecodinglanguageB)管理產(chǎn)品交付成本ManagingcostsofproductdeliveryC)軟件提早和持續(xù)的交付EarlyandcontinuousdeliveryofsoftwareD)最大化的代碼交付量Maximizingtheamountofcodedelivered[單選題]102.自從第一次完全備份以后，備份所有新的或被修改過的文件是A)增量備份B)父/子備份C)差異備份D)完全備份[單選題]103.Whywouldasystembestructuredtoisolatedifferentclassesofinformationfromoneanotherandsegregatethembyuserjurisdiction?為什么系統(tǒng)的結(jié)構(gòu)會(huì)將不同類別的信息彼此隔離，并按用戶權(quán)限將其隔離？A)Theorganizationcanavoide-discoveryprocessesintheeventoflitigation.在發(fā)生訴訟時(shí)，公司可以避免電子查詢過程。B)Theorganization'sinfrastructureisclearlyarrangedandscopeofresponsibilityissimplified.組織的基礎(chǔ)設(shè)施安排明確，責(zé)任范圍簡(jiǎn)化。C)Theorganizationcanvaryitssystempoliciestocomplywithconflictingnationallaws.該組織可以改變其系統(tǒng)政策，以符合相互沖突的國(guó)家法律。D)Theorganizationisrequiredtoprovidedifferentservicestovariousthird-partyorganizations.組織需要向各種第三方組織提供不同的服務(wù)。[單選題]104.參考信息below回答問題。一家大型跨國(guó)組織決定將其信息技術(shù)(IT)組織的一部分外包給第三方提供商的設(shè)施。此提供商將負(fù)責(zé)設(shè)計(jì)、開發(fā)、測(cè)試ng以及支持組織使用的幾個(gè)關(guān)鍵、基于客戶的應(yīng)用程序。第三方需要有A)與執(zhí)行外包的組織相同的流程。B)訪問組織工作人員的原始人員。C)以他們熟悉的語言維護(hù)所有應(yīng)用程序的能力。D)訪問與組織使用的編程語言一致的技能集。[單選題]105.Asusersswitchroleswithinanorganization,theiraccountsaregivenadditionalpermissionstoperformthedutiesoftheirnewposition.Afterarecentaudit,itwasdiscoveredthatmanyoftheseaccountsmaintainedtheiroldpermissionsaswell.Theobsoletepermissionsidentifiedbytheaudithavebeenremediatedandaccountshaveonlytheappropriatepermissionstocompletetheirjobs.WhichofthefollowingistheBESTwaytopreventaccessprivilegecreep?當(dāng)用戶在組織內(nèi)切換角色時(shí)，他們的帳戶將被授予執(zhí)行其新職位職責(zé)的額外權(quán)限。在最近的一次審核后，發(fā)現(xiàn)其中許多帳戶也保留了其舊權(quán)限。已修復(fù)審核確定的過時(shí)權(quán)限，并且?guī)糁挥型瓿善渥鳂I(yè)的適當(dāng)權(quán)限。以下哪項(xiàng)是防止訪問權(quán)限蠕變的最佳方法？A)ImplementingIdentityandAccessManagement（IAM）solution實(shí)施身份和訪問管理（IAM）解決方案B)Time-basedreviewandcertification基于時(shí)間的審查和認(rèn)證C)Internetaudit互聯(lián)網(wǎng)審計(jì)D)Trigger-basedreviewandcertification基于觸發(fā)器的審查和認(rèn)證[單選題]106.Nathan最近完成了一個(gè)軟件開發(fā)項(xiàng)目,他將組織的網(wǎng)絡(luò)運(yùn)營(yíng)堆棧與其開發(fā)流程相集成。因此,開發(fā)人員可以根據(jù)需要從他們的代碼中修改防火墻規(guī)則。以下哪個(gè)術(shù)語最能描述這種現(xiàn)象?A)Agile敏捷B)IaC基礎(chǔ)設(shè)施即代碼C)SDS軟件定義安全D)DevOps[單選題]107.什么樣的分布式計(jì)算環(huán)境組件提供一種機(jī)制來確保只有正確指定方才能使用服務(wù)？A)目錄服務(wù)B)遠(yuǎn)程過程調(diào)用服務(wù)C)分布式文件服務(wù)D)身份驗(yàn)證和控制服務(wù)[單選題]108.數(shù)字簽名執(zhí)行的三個(gè)最重要的功能是什么？A)完整性，身份驗(yàn)證和不可否認(rèn)性B)授權(quán)，檢測(cè)和問責(zé)性C)授權(quán)，身份驗(yàn)證和不可否認(rèn)性D)完整性，機(jī)密性和授權(quán)[單選題]109.當(dāng)將影響值分配給信息類型的安全目標(biāo)時(shí),需要什么流程?A)定性分析B)定量分析C)修復(fù)D)系統(tǒng)安全分類[單選題]110.WPA2的計(jì)數(shù)器模式密碼塊鏈接消息認(rèn)證模式協(xié)議（CCMP）是基于哪種通用加密方案？A)DESB)3DESC)AESD)TLS[單選題]111.組織使用了基于角色的訪問控制(RBAC),以下哪一項(xiàng)能防不恰當(dāng)?shù)奶貦?quán)聚集?A)動(dòng)態(tài)職責(zé)分離B)分級(jí)繼承C)BLP安全模型D)Clark-Wilson安全模型[單選題]112.下列哪個(gè)正確地描述了SSO的特點(diǎn)？A)更高效的登錄B)管理成本更高C)設(shè)置成本更高D)涉及更多的密鑰交換[單選題]113.按照最佳實(shí)踐,應(yīng)該在哪里指定每個(gè)部門和職務(wù)分類組合的訪問權(quán)限許可?Followingbestpractice,whereshouldthepermittedaccessforeachdepartmentandjobclassificationcombinationbespecified?A)安全程序SecurityproceduresB)安全標(biāo)準(zhǔn)SecuritystandardsC)人力資源策略HumanresourcepolicyD)人力資源標(biāo)準(zhǔn)Humanresourcestandards[單選題]114.Whencontinuousavailability(24hours-a-dayprocessing)isrequired,whichoneofthefollowingprovidesagoodalternativetotapebackups?當(dāng)需要持續(xù)可用性(一天24小時(shí)處理)時(shí),下列哪一選項(xiàng)是磁帶備份的好的備選方案?A)Diskmirroring磁盤鏡燎B)BackuptoJukebox備份到媒體柜C)Opticaldiskbackup光盤備D)Dallyarchiving日常存檔[單選題]115.以下哪一項(xiàng)最能描述該場(chǎng)景：雇員從多個(gè)賬戶刮取小額款項(xiàng)，將資金存入自己的銀行賬戶中？A)數(shù)據(jù)擺弄B)數(shù)據(jù)欺騙C)數(shù)據(jù)隱藏D)數(shù)據(jù)屏蔽[單選題]116.當(dāng)用戶位于不同的地理位置時(shí),以下哪種密鑰分發(fā)方式最麻煩?A)迪菲-赫爾曼B)公鑰加密C)離線D)托管[單選題]117.下列哪個(gè)是執(zhí)行業(yè)務(wù)影響分析BIA最好說明的？A)對(duì)組織運(yùn)營(yíng)的威脅影響B(tài))對(duì)組織的風(fēng)險(xiǎn)損失C)對(duì)企業(yè)風(fēng)險(xiǎn)的影響D)為消除威脅的成本效益方式[單選題]118.以下哪一項(xiàng)是質(zhì)詢/響應(yīng)身份驗(yàn)證過程的特征？Whichofthefollowingisacharacteristicofachallenge/responesauthenticationprocess?A)要求使用不連續(xù)的數(shù)字字符Requiringtheuseofnon-consecutivenumericcharactersB)傳輸基于用戶密碼的哈希Transmittingahashbasedontheuser'spasswordC)呈現(xiàn)扭曲的文字圖形以供認(rèn)證PresentingdistortedgraphicsoftextforauthenticationD)使用密碼歷史黑名單Usingapasswordhistoryblacklist[單選題]119.以下哪一選項(xiàng)與確定訪問控制的最大有效成本是最相關(guān)的？A)受保護(hù)信息的價(jià)值B)關(guān)于數(shù)據(jù)重要性的管理認(rèn)知C)基礎(chǔ)有關(guān)的預(yù)算規(guī)劃與額外預(yù)算D)替換損失數(shù)據(jù)的成本[單選題]120.ThecorecomponentofRoleBasedAccessControl（RBAC）mustbeconstructedofdefineddataelements.Whichelementsarerequired?基于角色的訪問控制（RBAC）的核心組件必須由定義的數(shù)據(jù)元素構(gòu)成。需要哪些要素？A)Users,permissions,operations,andprotectedobjects用戶、權(quán)限、操作和受保護(hù)對(duì)象B)Roles,accounts,permissions,andprotectedobjects角色、帳戶、權(quán)限和受保護(hù)對(duì)象C)Users,roles,operations,andprotectedobjects用戶、角色、操作和受保護(hù)對(duì)象D)Roles,operations,accounts,andprotectedobjects角色、操作、帳戶和受保護(hù)對(duì)象[單選題]121.DuringarecentassessmentanorganizationhasdiscoveredthatthewirelesssignalcanbedetectedoutsidethecampusareAWhatlogicalcontrolshouldbeimplementedinordertoBFSTprotectOneconfidentialityofinformationtravelingOnewirelesstransmissionmedia?在最近的一次評(píng)估中，一個(gè)組織發(fā)現(xiàn)，可以在校園外檢測(cè)到無線信號(hào)，為了保護(hù)一個(gè)無線傳輸媒體上傳輸?shù)男畔⒌臋C(jī)密性，應(yīng)該實(shí)施什么樣的邏輯控制？A)Configureafirewalltologicallyseparatethedataattheboundary.配置防火墻以在邏輯上分隔邊界處的數(shù)據(jù)。B)ConfiguretheAccessPoints（AP）touseWi-FiProtectedAccess2.（WPA2）encryption.將接入點(diǎn)（AP）配置為使用受Wi-Fi保護(hù)的接入2。（WPA2）加密。C)DisabletheServiceSetIdentifier（SSID）broadcastontheAccessPoints（AP）.禁用在接入點(diǎn)（AP）上廣播的服務(wù)集標(biāo)識(shí)符（SSID）。D)PerformregulartechnicalassessmentsontheWirelessLocalAreaNetwork（WLAN）.定期對(duì)無線局域網(wǎng)（WLAN）進(jìn)行技術(shù)評(píng)估。[單選題]122.主體的身份管理流程在哪些方面建立?A)信任B)供應(yīng)C)授權(quán)D)招生[單選題]123.特蕾西正在為組織的年度業(yè)務(wù)連續(xù)性演習(xí)做準(zhǔn)備,但遇到了一些經(jīng)理的阻力,他們認(rèn)為演習(xí)不重要,而且覺得這是浪費(fèi)資源。她已經(jīng)告訴經(jīng)理,他們的員工只需要半天時(shí)間就可以參加。特蕾西有什么理由能最好地解決這些問題?A)這是政策所要求的。B)演習(xí)已經(jīng)安排好了,取消很難。C)演習(xí)對(duì)于確保組織為緊急情況做好準(zhǔn)備至關(guān)重要。D)這個(gè)練習(xí)不會(huì)很耗時(shí)[單選題]124.光盤介質(zhì)怎么銷毀？A)消磁B)銷毀C)刪除D)清除[單選題]125.NISTSP800-53討論的一系列安全控制屬于哪種類型?A)配置列表B)威脅管理策略C)基線D)CIS標(biāo)準(zhǔn)[單選題]126.(04076)Whyarecomputergenerateddocumentsnotconsideredreliable?為什么計(jì)算機(jī)產(chǎn)生的文檔被認(rèn)為是不可靠的？A)Difficulttodetectelectrontampering很難檢測(cè)到電子篡改B)Difficulttodetectelectrontampering很難檢測(cè)到電子篡改C)Difficulttodetectelectrontampering很難檢測(cè)到電子篡改D)Difficulttodetectelectrontampering很難檢測(cè)到電子篡改[單選題]127.(04071)Whichofthefollowingisthebestreasonfortheuseofanautomatedriskanalysistool?下列哪個(gè)是使用自動(dòng)化的風(fēng)險(xiǎn)分析工具最好的理由？A)Automatedmethodologiesrequireminimaltrainingandknowledgeofriskanalysis.自動(dòng)化方法需要最小限度的風(fēng)險(xiǎn)分析知識(shí)培訓(xùn)B)Automatedmethodologiesrequireminimaltrainingandknowledgeofriskanalysis.自動(dòng)化方法需要最小限度的風(fēng)險(xiǎn)分析知識(shí)培訓(xùn)C)Automatedmethodologiesrequireminimaltrainingandknowledgeofriskanalysis.自動(dòng)化方法需要最小限度的風(fēng)險(xiǎn)分析知識(shí)培訓(xùn)D)Automatedmethodologiesrequireminimaltrainingandknowledgeofriskanalysis.自動(dòng)化方法需要最小限度的風(fēng)險(xiǎn)分析知識(shí)培訓(xùn)[單選題]128.下列哪些不是DevOps模型的三個(gè)組件之一?A)軟件開發(fā)B)變更管理C)質(zhì)量保證D)操作[單選題]129.以下哪項(xiàng)將對(duì)數(shù)據(jù)分類和數(shù)據(jù)所有權(quán)策略的定義和創(chuàng)建產(chǎn)生最大影響？WhichofthefollowingwillhavetheMOSTinfluenceonthedefinitionandcreationofdataclassificationanddataownershippolicies?A)數(shù)據(jù)訪問控制策略DataaccesscontrolpoliciesB)威脅建模ThreatmodelingC)通用標(biāo)準(zhǔn)CCCommonCriteriaD)業(yè)務(wù)影響分析BIABusinessImpactAnalysis[單選題]130.當(dāng)筆記本電腦被第三方檢查，默認(rèn)最可能發(fā)生了什么？A)硬盤被復(fù)制B)硬盤被盜C)MAC地址被盜D)IP地址被盜[單選題]131.Whendevelopinganexternalfacingweb-basedsystem,whichofthefollowingwouldbetheMAINfocusofthesecurityassessmentpriortoimplementationandproduction?在開發(fā)面向外部的基于web的系統(tǒng)時(shí)，在實(shí)施和生產(chǎn)之前，以下哪項(xiàng)是安全評(píng)估的主要重點(diǎn)？A)AssessingtheUniformResourceLocator（URL）評(píng)估統(tǒng)一資源定位器（URL）B)EnsuringSecureSocketsLayer（SSL）certificatesaresignedbyacertificateauthority確保安全套接字層（SSL）證書由證書頒發(fā)機(jī)構(gòu)簽名C)Ensuringthatinputvalidationisenforced確保實(shí)施輸入驗(yàn)證D)EnsuringSecureSocketsLayer（SSL）certificatesareinternallysigned確保對(duì)安全套接字層（SSL）證書進(jìn)行內(nèi)部簽名[單選題]132.什么技術(shù)確保操作系統(tǒng)能給系統(tǒng)上每個(gè)應(yīng)用程序分配單獨(dú)使用的存儲(chǔ)空間?A)抽象B)分層C)數(shù)據(jù)隱藏D)程序隔離[單選題]133.如果一條2048位明文消息通過EIGamal公鑰密碼系統(tǒng)加密，所得的密文消息有多長(zhǎng)？A)1024位B)2048位C)4096位D)8192位[單選題]134.維護(hù)活動(dòng)負(fù)責(zé)定義、實(shí)施和測(cè)試更新應(yīng)用系統(tǒng)?A)程序更改控制B)回歸測(cè)試C)出口例外控制D)用戶接受測(cè)試[單選題]135.最近在非軍事區(qū)(DMZ)部署了入侵檢測(cè)系統(tǒng)(IDS)。IDS檢測(cè)大量畸形數(shù)據(jù)包。以下哪一個(gè)是最好的描述發(fā)生了什么?A)拒絕服務(wù)(DOS)攻擊B)地址解決協(xié)議(ARP)欺騙C)緩沖區(qū)溢出D)平洪水襲擊[單選題]136.磁盤集群中的未使用空間在媒體分析中很重要,因?yàn)樗赡馨韵履囊粋€(gè)空間?A)剩余數(shù)據(jù)尚未被覆蓋B)隱藏的病毒和特洛伊木馬C)有關(guān)文件分配表(FAT)的信息D)有關(guān)系統(tǒng)修補(bǔ)程序和升級(jí)的信息[單選題]137.Ben希望自動(dòng)提供關(guān)于其組織的風(fēng)險(xiǎn)暴露的預(yù)測(cè)信息,作持續(xù)的組織風(fēng)險(xiǎn)管理計(jì)劃的一部分。他應(yīng)該怎么做?A)KRIB)定量風(fēng)險(xiǎn)評(píng)估C)KPID)滲透測(cè)試[單選題]138.Whichmediasanitizationmethodsshouldbeusedfordatawithahighsecuritycategorization?對(duì)于具有高安全性分類的數(shù)據(jù)，應(yīng)使用哪些媒體清理方法？A)Clearordestroy清除或銷毀B)Clearorpurge清除或清除C)Destroyordelete銷毀或刪除D)Purgeordestroy清除或銷毀[單選題]139.HowdoesEncapsulatingSecurityPayload（ESP）intransportmodeaffecttheInternetProtocol（IP）?在傳輸模式下封裝安全有效負(fù)載（ESP）如何影響Internet協(xié)議（IP）？A)EncryptsandoptionallyauthenticatestheIPheader,butnottheIPpayload加密并可選地驗(yàn)證IP標(biāo)頭，但不驗(yàn)證IP有效負(fù)載B)EncryptsandoptionallyauthenticatestheIPpayload,butnottheIPheader加密并可選地驗(yàn)證IP有效負(fù)載，但不驗(yàn)證IP標(biāo)頭C)AuthenticatestheIPpayloadandselectedportionsoftheIPheader驗(yàn)證IP有效負(fù)載和IP標(biāo)頭的選定部分D)EncryptsandoptionallyauthenticatesthecompleteIPpacket加密并可選地驗(yàn)證完整的IP數(shù)據(jù)包[單選題]140.下列哪一項(xiàng)不是IPSec的元素？A)封裝安全負(fù)載B)認(rèn)證頭C)第二層隧道協(xié)議D)安全聯(lián)盟[單選題]141.Whiledealingwiththeconsequencesofasecurityincident,whichofthefollowingsecuritycontrolsareMOSTappropriate?在處理安全事件的后果時(shí)，以下哪項(xiàng)安全控制最合適？A)Detectiveandrecoverycontrols檢測(cè)和恢復(fù)控制B)Correctiveandrecoverycontrols糾正和恢復(fù)控制C)Preventativeandcorrectivecontrols預(yù)防和糾正控制D)Recoveryandproactivecontrols恢復(fù)和主動(dòng)控制[單選題]142.下列哪一項(xiàng)關(guān)于一個(gè)IT持續(xù)性計(jì)劃的描述是不正確的？A)計(jì)劃應(yīng)在每年至少一次審核其準(zhǔn)確性和完整性。B)應(yīng)保持嚴(yán)格的版本控制。C)當(dāng)存儲(chǔ)脫機(jī)時(shí)計(jì)劃副本應(yīng)在家庭和辦公室提供給恢復(fù)人員。D)應(yīng)急計(jì)劃協(xié)調(diào)人應(yīng)該確保每一位員工得到該計(jì)劃的一個(gè)最新副本。[單選題]143.數(shù)據(jù)分類可用在除哪一項(xiàng)之外的所有安全控制中？A)存儲(chǔ)B)處理C)分層D)傳輸[單選題]144.Susan的軟件測(cè)試人員團(tuán)隊(duì)需要測(cè)試每條代碼路徑,包括那些僅在發(fā)生錯(cuò)誤情況時(shí)才會(huì)使用的代碼路徑。她的團(tuán)隊(duì)需要什么類型的測(cè)試環(huán)境來確保完整的代碼覆蓋率?A)白盒B)灰盒C)黑盒D)動(dòng)態(tài)[單選題]145.Cathy的雇主要求她對(duì)第三方供應(yīng)商的政策和程序進(jìn)行文件審查。該供應(yīng)商只是軟件供應(yīng)鏈中的最后一環(huán)。他們的組件被用作為高端客戶運(yùn)營(yíng)的在線服務(wù)的關(guān)鍵要素。Cathy發(fā)現(xiàn)了供應(yīng)商的幾個(gè)嚴(yán)重問題,例如沒有要求對(duì)所有通信進(jìn)行加密,并且不需要在管理接口上進(jìn)行多因素身份驗(yàn)證。針對(duì)這一發(fā)現(xiàn),Cathy應(yīng)該怎么做?A)撰寫報(bào)告并將其提交給CIO。B)作廢供應(yīng)