CISSP官方模擬測試題

1.Angelaisaninformationsecurityarchitectatabankandhasbeenassignedto

ensurethattransactionsaresecureastheytraversethenetwork.She

recommendsthatalltransactionsuseTLS.Whatthreatisshemostlikely

attemptingtostop,andwhatmethodissheusingtoprotectagainstit?

Angela是一家銀行的信息安全架構(gòu)師，責(zé)任是確保交易在通過網(wǎng)絡(luò)時(shí)是安全的。她

建議所有交易使用TLS。在這場景中，她最有可能試圖阻止什么樣的威脅，以及她

用什么方法來防范呢？

A.Man-in-the-middle,VPN中間人，VPN

B.Packetinjection,encryption數(shù)據(jù)包注入,力口密

C.Sniffing,encryption嗅探，加密

D.Sniffing,TEMPEST嗅探,TEMPEST

Answer:C

Encryptionisoftenusedtoprotecttrafficlikebanktransactionsfromsniffing.

Whilepacketinjectionandman-in-the-middleattacksarepossible,theyarefar

lesslikelytooccur,andifaVPNwereused,itwouldbeusedtoprovide

encryption.TEMPESTisaspecificationfortechniquesusedtopreventspying

usingelectromagneticemissionsandwouldn'tbeusedtostopattacksatany

normalbank.

加密通常用于保護(hù)流量，如銀行交易免受嗅探。雖然數(shù)據(jù)包注入和中間人攻擊是可

能的，但它們發(fā)生的可能性要小得多，而且如果使用VPN,它將用于提供加密。

TEMPEST是用于防止使用電磁輻射進(jìn)行間諜活動(dòng)的技術(shù)規(guī)范，不會(huì)用于阻止任何

正常銀行的攻擊。

2.COBIT,ControlObjectivesforInformationandRelatedTechnology,isa

frameworkforITmanagementandgovernance.Whichdatamanagementroleis

mostlikelytoselectandapplyCOBITtobalancetheneedforsecuritycontrols

againstbusinessrequirements?

COBIT（信息和相關(guān)技術(shù)的控制目標(biāo)），是IT管理和治理的框架。哪個(gè)數(shù)據(jù)管理角

色最有可能選擇和應(yīng)用COBIT來平衡安全控制對(duì)業(yè)務(wù)需求的需求？

A.Businessowners企業(yè)所有者

B.Dataprocessors數(shù)據(jù)處理器

C.Dataowners數(shù)據(jù)所有者

D.Datastewards數(shù)據(jù)管理員

Answer:A

Businessownershavetobalancetheneedtoprovidevaluewithregulatory,

security,andotherrequirements.Thismakestheadoptionofacommon

frameworklikeCOBITattractive.Dataownersaremorelikelytoaskthatthose

responsibleforcontrolselectionidentifyastandardtouse.Dataprocessorsare

requiredtoperformspecificactionsunderregulationsliketheEUDPD.Finally,

inmanyorganizations,datastewardsareinternalrolesthatoverseehowdatais

used.

企業(yè)所有者必須平衡將價(jià)值與監(jiān)管、安全和其他需求相結(jié)合的需要。這使得像

COBIT這樣的通用框架具有吸引力。數(shù)據(jù)所有者更可能要求負(fù)責(zé)控制選擇的人員確

定要使用的標(biāo)準(zhǔn)。數(shù)據(jù)處理器需要根據(jù)歐盟DPD等法規(guī)執(zhí)行具體的行動(dòng)。最后，

在許多組織中，數(shù)據(jù)管理員是監(jiān)督數(shù)據(jù)如何使用的內(nèi)部角色。

3.Whattermisusedtodescribeastartingpointforaminimum-security

standard?

用什么術(shù)語來描述最低安全標(biāo)準(zhǔn)的出發(fā)點(diǎn)？

A.Outline大綱

B.Baseline基線

C.Policy政策（策略）

D.Configurationguide酉己置指南

Answer:B

Abaselineisusedtoensureaminimum-securitystandard.Apolicyisthe

foundationthatastandardmaypointtoforauthority,andaconfigurationguide

maybebuiltfromabaselinetohelpstaffwhoneedtoimplementittoaccomplish

theirtask.Anoutlineishelpful,butoutlineisn^thetermyou'relookingforhere.

基線用于確保最低安全標(biāo)準(zhǔn)。策略是標(biāo)準(zhǔn)可能指向權(quán)威的基礎(chǔ)，可以從基線構(gòu)建配

置指南，幫助需要實(shí)施它的人員完成任務(wù)。大綱是有幫助的，但大綱不是你在這里

尋找的術(shù)語。

4.Whenmediaislabeledbasedontheclassificationofthedataitcontains,what

ruleistypicallyappliedregardinglabels?

當(dāng)媒體（介質(zhì)）根據(jù)其所包含的數(shù)據(jù)分類（密級(jí)）進(jìn)行標(biāo)記時(shí)，通常應(yīng)用了哪些關(guān)

于標(biāo)簽的規(guī)則？

A.Thedataislabeledbasedonitsintegrityrequirements.數(shù)據(jù)根據(jù)其完整性要求

進(jìn)行標(biāo)記

B.Themediaislabeledbasedonthehighestclassificationlevelofthedatait

contains.媒體（介質(zhì)）根據(jù)其包含的數(shù)據(jù)的最高分類（密級(jí)）等級(jí)進(jìn)行標(biāo)記

C.Themediaislabeledwithalllevelsofclassificationofthedataitcontains.媒體

（介質(zhì)）上標(biāo)記它所包含數(shù)據(jù)的所有分類（密級(jí)）等級(jí)

D.Themediaislabeledwiththelowestlevelofclassificationofthedatait

contains.媒體（介質(zhì)）標(biāo)記所含數(shù)據(jù)的最低分類（密級(jí)）等級(jí)

Answer:B

Mediaistypicallylabeledwiththehighestclassificationlevelofdataitcontains.

Thispreventsthedatafrombeinghandledoraccessibleatalowerclassification

level.Dataintegrityrequirementsmaybepartofaclassificationprocessbutdon't

independentlydrivelabelinginaclassificationscheme.

媒體（介質(zhì)）通常以其所包含的最高分類（密級(jí)）等級(jí)的數(shù)據(jù)標(biāo)記。這可以防止在

較低的分類（密級(jí)）級(jí)別處理或訪問數(shù)據(jù)。數(shù)據(jù)完整性要求可能是分類（定級(jí)）過

程的一部分，但不能獨(dú)立推動(dòng)分類（定級(jí)）方案中的標(biāo)簽。

5.Theneedtoprotectsensitivedatadriveswhatadministrativeprocess?

保護(hù)敏感數(shù)據(jù)的需求驅(qū)動(dòng)了什么管理性過程？

A.Informationclassification信息分類（定級(jí)）

B.Remanence殘留

C.Transmittingdata數(shù)據(jù)傳輸

D.Clearing清除

Answer:A

Theneedtoprotectsensitivedatadrivesinformationclassification.Thisallows

organizationstofocusondatathatneedstobeprotectedratherthanspending

effortonlessimportantdata.Remanencedescribesdataleftonmediaafteran

attemptismadetoremovethedata.Transmittingdataisn'tadriverforan

administrativeprocesstoprotectsensitivedata,andclearingisatechnical

processforremovingdatafrommedia.

保護(hù)敏感數(shù)據(jù)的需要會(huì)驅(qū)動(dòng)信息分類(定級(jí))。這使得組織可以專注于需要保護(hù)的

數(shù)據(jù)，而不在不太重要的數(shù)據(jù)上費(fèi)力。殘留描述了在嘗試刪除數(shù)據(jù)后仍遺留在媒體

上的數(shù)據(jù)。數(shù)據(jù)傳輸不是保護(hù)敏感數(shù)據(jù)的管理過程的驅(qū)動(dòng)程序，清除是從媒體中刪

除數(shù)據(jù)的技術(shù)過程。

注意數(shù)據(jù)保留(retention)和數(shù)據(jù)殘留(remanence)的區(qū)別，數(shù)據(jù)保留

(retention)是由于價(jià)值或?qū)徲?jì)監(jiān)管的需求而要存下來，有“挽留”的感覺；數(shù)據(jù)殘

留(remanence)是應(yīng)消滅但技術(shù)上沒能刪除干凈，有‘趕不走''的意思。

6.Howcanadataretentionpolicyhelptoreduceliabilities?

數(shù)據(jù)保留策略如何有助于減少負(fù)擔(dān)？

A.Byensuringthatunneededdataisn'tretained通過確保不需要的數(shù)據(jù)不被保留

B.Byensuringthatincriminatingdataisdestroyed確保不合法的數(shù)據(jù)被銷毀

C.Byensuringthatdataissecurelywipedsoitcannotberestoredforlegal

discovery通過確保數(shù)據(jù)安全地被擦除，無法合法恢復(fù)還原

D.Byreducingthecostofdatastoragerequiredbylaw通過降低法律要求的數(shù)據(jù)存

儲(chǔ)成本

Answer:A

Adataretentionpolicycanhelptoensurethatoutdateddataispurged,removing

potentialadditionalcostsfordiscovery.Manyorganizationshaveaggressive

retentionpoliciestobothreducethecostofstorageandlimittheamountofdata

thatiskeptonhandanddiscoverable.Dataretentionpoliciesarenotdesignedto

destroyincriminatingdata,andlegalrequirementsfordataretentionmuststillbe

met.

數(shù)據(jù)保留策略可以幫助確保過期數(shù)據(jù)被清除，從而消除潛在的額外發(fā)現(xiàn)成本。許多

組織都采取積極的保留策略，既可以降低存儲(chǔ)成本，又可以限制現(xiàn)有的可發(fā)現(xiàn)數(shù)據(jù)

量。數(shù)據(jù)保留策略的目的不僅是為了銷毀不合法數(shù)據(jù)，還必須符合數(shù)據(jù)保留的法律

要求。

7.StaffinanITdepartmentwhoaredelegatedresponsibilityforday-to-daytasks

holdwhatdatarole?

負(fù)責(zé)日常任務(wù)的IT部門工作人員擔(dān)任什么數(shù)據(jù)角色？

A.Businessowner業(yè)務(wù)所有者

B.User用戶

C.Dataprocessor數(shù)據(jù)處理器

D.Custodian保管人

Answer:D

Custodiansaredelegatedtheroleofhandlingday-to-daytasksbymanagingand

overseeinghowdataishandled,stored,andprotected.Dataprocessorsare

systemsusedtoprocessdata.Businessownersaretypicallyprojectorsystem

ownerswhoaretaskedwithmakingsuresystemsprovidevaluetotheirusersor

customers.

通過管理和監(jiān)督數(shù)據(jù)如何處理，存儲(chǔ)和保護(hù)，托管人被賦予處理日常任務(wù)的角色。

數(shù)據(jù)處理器是用來處理數(shù)據(jù)的系統(tǒng)。業(yè)務(wù)所有者通常是負(fù)責(zé)確保系統(tǒng)為其用戶或客

戶提供價(jià)值的項(xiàng)目或系統(tǒng)的所有者。

8.SusanworksforanAmericancompanythatconductsbusinesswithcustomers

intheEuropeanUnion.Whatisshelikelytohavetodoifsheisresponsiblefor

handlingPIIfromthosecustomers?

Susan在一家與歐盟客戶開展業(yè)務(wù)的美國公司工作。如果她負(fù)責(zé)處理這些客戶的個(gè)

人身份信息，她可能需要做些什么？

A.Encryptthedataatalltimes.在任何時(shí)候加密數(shù)據(jù)

B.LabelandclassifythedataaccordingtoHIPAA.根據(jù)HIPAA標(biāo)記和分類數(shù)據(jù)

C.ConductyearlyassessmentstotheEUDPDbaseline.對(duì)歐盟DPD基線進(jìn)行年度

評(píng)估

D.ComplywiththeUS-EUSafeHarborrequirements.遵守美國-歐盟安全港協(xié)議

的要求

Answer:D

SafeHarborcompliancehelpsUScompaniesmeettheEUDataProtection

Directive.Yearlyassessmentsmaybeuseful,buttheyaren'trequired.HIPAAisa

USlawthatappliesspecificallytohealthcareandrelatedorganizations,and

encryptingalldataallthetimeisimpossible(atleastifyouwanttousethedata!).

符合安全港協(xié)議有助于美國公司達(dá)到歐盟數(shù)據(jù)保護(hù)指令。年度評(píng)估可能是有用的，

但不是必需的。HIPAA是一項(xiàng)專門適用于醫(yī)療保健和相關(guān)組織的美國法律。另外

始終加密所有數(shù)據(jù)是不可能的(至少如果您要使用這些數(shù)據(jù)的時(shí)候！)。

注：美國-歐盟安全港協(xié)議目前已被美國-歐盟隱私保護(hù)框架替代。

9.Benhasbeentaskedwithidentifyingsecuritycontrolsforsystemscoveredby

hisorganization'sinformationclassificationsystem.WhymightBenchooseto

useasecuritybaseline?

Ben的任務(wù)是確定其組織信息分類體系所涵蓋的系統(tǒng)的安全控制。為什么Ben可以

選擇使用安全基線？

A.Itappliesinallcircumstances,allowingconsistentsecuritycontrols.它適用于

所有情況，允許一致的安全控制

B.Theyareapprovedbyindustrystandardsbodies,preventingliability.由行業(yè)標(biāo)

準(zhǔn)機(jī)構(gòu)批準(zhǔn)，預(yù)防追責(zé)

C.Theyprovideagoodstartingpointthatcanbetailoredtoorganizationalneeds.

他們提供了一個(gè)可以根據(jù)組織需求量身定制的良好起點(diǎn)

D.Theyensurethatsystemsarealwaysinasecurestate.他們確保系統(tǒng)始終處于

安全狀態(tài)

Answer:C

Securitybaselinesprovideastartingpointtoscopeandtailorsecuritycontrolsto

yourorganization'sneeds.Theyaren'talwaysappropriatetospecific

organizationalneeds,theycannotensurethatsystemsarealwaysinasecure

state,nordotheypreventliability.

安全基線提供了一個(gè)起點(diǎn)，可以根據(jù)組織的需求定制安全控制。它們并不總是適合

具體的組織需求，它們不能確保系統(tǒng)總是處于安全狀態(tài)，也不能預(yù)防追責(zé)。

io.Whattermisusedtodescribeoverwritingmediatoallowforitsreuseinan

environmentoperatingatthesamesensitivitylevel?

哪個(gè)術(shù)語用來描述覆蓋介質(zhì)，以便在相同敏感級(jí)別的環(huán)境中重復(fù)使用？

A.Clearing清除

B.Erasing擦除

C.Purging消除

D.Sanitization凈化

Answer:A

Clearingdescribespreparingmediaforreuse.Whenmediaiscleared,unclassified

dataiswrittenoveralladdressablelocationsonthemedia.Oncethat's

completed,themediacanbereused.Erasingisthedeletionoffilesormedia.

Purgingisamoreintensiveformofclearingforreuseinlowersecurityareas,and

sanitizationisaseriesofprocessesthatremovesdatafromasystemormedia

whileensuringthatthedataisunrecoverablebyanymeans.

清除準(zhǔn)備介質(zhì)重用。當(dāng)介質(zhì)被清除時(shí)，不涉密的數(shù)據(jù)被寫在介質(zhì)上的所有可尋址位

置上。一旦完成，媒體可以重復(fù)使用。擦除是刪除文件或媒體。清除是在較低安全

區(qū)域進(jìn)行更加密集的重用清理形式，清理是一系列從系統(tǒng)或媒體中刪除數(shù)據(jù)的過

程，同時(shí)確保數(shù)據(jù)無法以任何方式恢復(fù)。

注：1）效果上erasing擦除〈clearing清除=overwriting復(fù)寫〈purging消除

〈degaussing消磁＜destruction銷毀，但destruction銷毀的花費(fèi)比degaussing消磁

要低；

2）erasing擦除、clearing清除、purging消除、degaussing消磁是針對(duì)數(shù)字介

質(zhì)的，destruction銷毀的對(duì)象也以數(shù)字介質(zhì)為主，sanitization凈化的對(duì)象就廣泛

一些，可以是介質(zhì)也可以是帶存儲(chǔ)介質(zhì)的設(shè)備；

3）sanitization凈化是可能包含purging消除、removing移除、destruction銷

毀的一系列動(dòng)作，目的是確保介質(zhì)或設(shè)備中的數(shù)據(jù)無法被任何手段恢復(fù)，常見場景

是在物理資產(chǎn)報(bào)廢（可能丟棄也可能做剩余價(jià)值回收resale）時(shí)必須摧毀物理資產(chǎn)

中存有的數(shù)據(jù)；

4）如果在相同的安全域中重用，clearing清除就夠了，但如果介質(zhì)或包含存

儲(chǔ)介質(zhì)的設(shè)備需要重用（reuse或resale）,又沒有承諾保留在原安全域范圍內(nèi)，則

要求sanitization凈化;

5）這一部分術(shù)語在中文版考試中的翻譯用詞不可預(yù)測，所以不要只按中文

記，考試的時(shí)候一定要看英文確認(rèn);

11.WhichofthefollowingclassificationlevelsistheUSgovernment's

classificationlabelfordatathatcouldcausedamagebutwouldn'tcauseseriousor

gravedamage?

以下哪個(gè)分類（密級(jí)）級(jí)別是美國政府的數(shù)據(jù)分類（密級(jí)）標(biāo)簽，代表受侵害后可

能會(huì)造成損害，但不會(huì)造成嚴(yán)重或特別嚴(yán)重的損害？

A.TopSecret絕密

B.Secret機(jī)密

C.Confidential秘密

D.Classified分類

Answer:C

TheUSgovernmentusesthelabelConfidentialfordatathatcouldcausedamage

ifitwasdisclosedwithoutauthorization.ExposureofTopSecretdatais

consideredtopotentiallycausegravedamage,whileSecretdatacouldcause

seriousdamage.ClassifiedisnotalevelintheUSgovernmentclassification

scheme.

美國政府（以及軍方）使用“Confidential秘密”標(biāo)簽來查看未經(jīng)授權(quán)而泄露的數(shù)

據(jù)。TopSecret最高機(jī)密數(shù)據(jù)的暴露被認(rèn)為可能造成嚴(yán)重?fù)p害，而Secret機(jī)密數(shù)據(jù)

可能造成嚴(yán)重?fù)p害。Classified涉密不是美國政府分類（密級(jí)）方案中的一個(gè)級(jí)

別。

Confidential.Secret作為信息分類級(jí)別術(shù)語在中文版考試中的翻譯用詞不可預(yù)

測，一定要看英文！

12.Whatissueiscommontosparesectorsandbadsectorsonharddrivesaswell

asoverprovisionedspaceonmodernSSDs?

硬盤上的備件和壞扇區(qū)以及現(xiàn)代固態(tài)盤的過度配置空間有什么共同點(diǎn)？

A.Theycanbeusedtohidedata.它們可以用來隱藏?cái)?shù)據(jù)

B.Theycanonlybedegaussed.它們只能被消磁

C.Theyarenotaddressable,resultingindataremanence.它們不可尋址,導(dǎo)致數(shù)

據(jù)殘留

D.Theymaynotbecleared,resultingindataremanence.它們可能不被清除,導(dǎo)

致數(shù)據(jù)殘留

Answer:D

Sparesectors,badsectors,andspaceprovidedforwearlevelingonSSDs

（overprovisionedspace）mayallcontaindatathatwaswrittentothespacethat

willnotbeclearedwhenthedriveiswiped.Mostwipingutilitiesonlydealwith

currentlyaddressablespaceonthedrive.SSDscannotbedegaussed,andwear

levelingspacecannotbereliablyusedtohidedata.Thesespacesarestill

addressablebythedrive,althoughtheymaynotbeseenbytheoperatingsystem.

備用扇區(qū)、壞扇區(qū)以及SSD上耗損均衡空間（過度配置空間）都可能包含寫入該空

間的數(shù)據(jù)，這些數(shù)據(jù)在擦除驅(qū)動(dòng)器時(shí)不會(huì)被清除。因?yàn)榇蠖鄶?shù)擦除實(shí)用程序只處理

驅(qū)動(dòng)器上當(dāng)前可尋址的空間（操作系統(tǒng)可見的空間）。固態(tài)硬盤不能消磁，并且不

能平穩(wěn)地使用耗損均衡空間來隱藏?cái)?shù)據(jù)。盡管操作系統(tǒng)可能看不到這些空間，但對(duì)

于驅(qū)動(dòng)器來說仍然是可尋址的。

注：可尋址與在操作系統(tǒng)層面可尋址還是有區(qū)別的

13.Whattermdescribesdatathatremainsafterattemptshavebeenmadeto

removethedata?

什么術(shù)語描述了在嘗試刪除數(shù)據(jù)之后仍然存在的數(shù)據(jù)？

A.Residualbytes剩余字節(jié)

B.Dataremanence數(shù)據(jù)殘留（經(jīng)常被翻譯成“乘U磁"）

C.Slackspace松弛空間

D.Zerofill零填充

Answer:B.

Dataremanenceisatermusedtodescribedataleftafterattemptstoeraseor

removedata.Slackspacedescribesunusedspaceinadiskcluster,zerofinisa

wipingmethodologythatreplacesalldatabitswithzeroes,andresidualbytesisa

made-upterm.

Dataremanence數(shù)據(jù)殘留是指試圖擦除或刪除數(shù)據(jù)后仍然剩下的數(shù)據(jù)；

S/ack5pace松弛空間表示磁盤簇中未使用的空間；

zerofill零填充是一種用零代替所有數(shù)據(jù)位的擦除方法；

residual柒婦6剩余字節(jié)是一個(gè)杜撰的術(shù)語。

14.Yourorganizationregularlyhandlesthreetypesofdata:informationthatit

shareswithcustomers,informationthatitusesinternallytoconductbusiness,

andtradesecretinformationthatofferstheorganizationsignificantcompetitive

advantages.Informationsharedwithcustomersisusedandstoredonweb

servers,whileboththeinternalbusinessdataandthetradesecretinformationare

storedoninternalfileserversandemployeeworkstations.

您的組織日常工作中會(huì)處理三種類型的數(shù)據(jù)：與客戶共享的信息，內(nèi)部用于開展業(yè)

務(wù)的信息以及為組織提供顯著競爭優(yōu)勢的商業(yè)秘密信息。與客戶共享的信息被使用

并存儲(chǔ)在網(wǎng)絡(luò)服務(wù)器上，而內(nèi)部業(yè)務(wù)數(shù)據(jù)和商業(yè)秘密信息都存儲(chǔ)在內(nèi)部文件服務(wù)器

和員工工作站上。

Whatciviliandataclassificationsbestfitthisdata?

哪些民用數(shù)據(jù)分類（密級(jí)）最適合這些數(shù)據(jù)？

A.Unclassified,confidential,topsecret不涉密的，保密的,絕密的

B.Public,sensitive,private公開，敏感，私密

C.Public,sensitive,proprietary公開,敏感,專有

D.Public,confidential,private公開的，保密的，私有的

Answer:C

Informationsharedwithcustomersispublic,internalbusinesscouldbesensitive

orprivate,andtradesecretsareproprietary.Thuspublic,sensitive,proprietary

matchesthismostclosely.Confidentialisamilitaryclassification,whichremoves

twooftheremainingoptions,andtradesecretsaremoredamagingtolosethana

privateclassificationwouldallow.

與客戶共享的信息是公開的，內(nèi)部業(yè)務(wù)可以是敏感的或私有的，商業(yè)秘密是專有

的，因此“公開的、敏感的，專有的“最合適。秘密confidential是一種軍事分類

（密級(jí)），所以A和D都不對(duì)，而商業(yè)秘密受侵害的損失比私有private級(jí)別所對(duì)應(yīng)

的更大。

注：官方學(xué)習(xí)指南原文：

SomecommondataclassificationsusedbygovernmentsincludeTopSecret,

Secret,Confidential,andUnclassified.

Civilianclassificationsincludeconfidential（orproprietary）,private,sensitive,

andpublic.

政府使用的常見數(shù)據(jù)分類包括絕密，機(jī)密，秘密和不涉密。

民用數(shù)據(jù)分類（密級(jí)）包括秘密（或?qū)Ｓ校接?，敏感和公開。

也常翻譯成“分類.“未分類.

11絕密TopSecret

生+7一正涉密Classified機(jī)密Secret

蝴/軍方0,---------------4-----------------

Government/Military'/Confidential

15.Yourorganizationregularlyhandlesthreetypesofdata:informationthatit

shareswithcustomers,informationthatitusesinternallytoconductbusiness,

andtradesecretinformationthatofferstheorganizationsignificantcompetitive

advantages.Informationsharedwithcustomersisusedandstoredonweb

servers,whileboththeinternalbusinessdataandthetradesecretinformationare

storedoninternalfileserversandemployeeworkstations.

您的組織日常工作中會(huì)處理三種類型的數(shù)據(jù)：與客戶共享的信息，內(nèi)部用于開展業(yè)

務(wù)的信息以及為組織提供顯著競爭優(yōu)勢的商業(yè)秘密信息。與客戶共享的信息被使用

并存儲(chǔ)在網(wǎng)絡(luò)服務(wù)器上，而內(nèi)部業(yè)務(wù)數(shù)據(jù)和商業(yè)秘密信息都存儲(chǔ)在內(nèi)部文件服務(wù)器

和員工工作站上。

Whattechniquecouldyouusetomarkyourtradesecretinformationincaseit

wasreleasedorstolenandyouneedtoidentifyit?

你可以使用什么技術(shù)來標(biāo)記你的商業(yè)機(jī)密信息，以防當(dāng)它被泄漏或被盜時(shí)能夠識(shí)別

出來？

A.Classifcation分類（密級(jí)）

B.Symmetricencryption對(duì)稱加密

C.Watermarks水印

D.Metadata元數(shù)據(jù)

Answer:C

Awatermarkisusedtodigitallylabeldataandcanbeusedtoindicateownership.

Encryptionwouldhavepreventedthedatafrombeingaccessedifitwaslost,

whileclassificationispartofthesetofsecuritypracticesthatcanhelpmakesure

therightcontrolsareinplace.Finally,metadataisusedtolabeldataandmight

helpadatalosspreventionsystemflagitbeforeitleavesyourorganization.

水印用于對(duì)數(shù)據(jù)進(jìn)行數(shù)字標(biāo)記，并可用于指示所有權(quán)。如果數(shù)據(jù)丟失，加密將阻止

數(shù)據(jù)被訪問，而分類（密級(jí)）是一組安全實(shí)踐的一部分，可以幫助確保恰當(dāng)?shù)目?/p>

制。最后，元數(shù)據(jù)用于標(biāo)記數(shù)據(jù)，并可能幫助數(shù)據(jù)泄露防護(hù)系統(tǒng)在數(shù)據(jù)流出組織之

前對(duì)其進(jìn)行標(biāo)幟。

16.Yourorganizationregularlyhandlesthreetypesofdata:informationthatit

shareswithcustomers,informationthatitusesinternallytoconductbusiness,

andtradesecretinformationthatofferstheorganizationsignificantcompetitive

advantages.Informationsharedwithcustomersisusedandstoredonweb

servers,whileboththeinternalbusinessdataandthetradesecretinformationare

storedoninternalfileserversandemployeeworkstations.

您的組織日常工作中會(huì)處理三種類型的數(shù)據(jù)：與客戶共享的信息，內(nèi)部用于開展業(yè)

務(wù)的信息以及為組織提供顯著競爭優(yōu)勢的商業(yè)秘密信息。與客戶共享的信息被使用

并存儲(chǔ)在網(wǎng)絡(luò)服務(wù)器上，而內(nèi)部業(yè)務(wù)數(shù)據(jù)和商業(yè)秘密信息都存儲(chǔ)在內(nèi)部文件服務(wù)器

和員工工作站上。

Whattypeofencryptionshouldyouuseonthefileserversfortheproprietary

data,andhowmightyousecurethedatawhenitisinmotion?

您應(yīng)該在文件服務(wù)器上使用哪種類型的加密方式來處理專有數(shù)據(jù)，以及如何在數(shù)據(jù)

流轉(zhuǎn)時(shí)保護(hù)數(shù)據(jù)？

A.TLSatrestandAESinmotion靜止時(shí)使用TLS和流轉(zhuǎn)時(shí)使用AES

B.AESatrestandTLSinmotion靜止時(shí)使用AES和流轉(zhuǎn)時(shí)使用TLS

C.VPNatrestandTLSinmotion靜止時(shí)使用VPN和流轉(zhuǎn)時(shí)使用TLS

D.DESatrestandAESinmotion靜止時(shí)使用DES和流轉(zhuǎn)時(shí)使用AES

Answer:B

AESisastrongmodernsymmetricencryptionalgorithmthatisappropriatefor

encryptingdataatrest.TLSisfrequentlyusedtosecuredatawhenitisintransit.

Avirtualprivatenetworkisnotnecessarilyanencryptedconnectionandwouldbe

usedfordatainmotion,whileDESisanoutdatedalgorithmandshouldnotbe

usedfordatathatneedsstrongsecurity.

AES是一種強(qiáng)大的現(xiàn)代對(duì)稱加密算法，適用于靜態(tài)數(shù)據(jù)加密。TLS通常用于在傳輸

過程中保護(hù)數(shù)據(jù)。虛擬專用網(wǎng)絡(luò)不一定是加密連接，可用于移動(dòng)數(shù)據(jù)，而DES是過

時(shí)的算法，不應(yīng)用于需要強(qiáng)大安全性的數(shù)據(jù)。

17.WhatdoeslabelingdataallowaDLPsystemtodo?

給數(shù)據(jù)設(shè)置標(biāo)簽使得DLP系統(tǒng)能夠起到什么作用？

A.TheDLPsystemcandetectlabelsandapplyappropriateprotections.DLP系統(tǒng)

可以檢測標(biāo)簽并應(yīng)用適當(dāng)?shù)谋Ｗo(hù)措施

B.TheDLPsystemcanadjustlabelsbasedonchangesintheclassification

scheme.DLP系統(tǒng)可以根據(jù)分類（密級(jí)）方案的變化調(diào)整標(biāo)簽

C.TheDLPsystemcannotifythefirewallthattrafficshouldbeallowedthrough.

DLP系統(tǒng)可以通知防火墻應(yīng)允許流量通過

D.TheDLPsystemcandeleteunlabeleddata.DLP系統(tǒng)可以刪除未標(biāo)記的數(shù)據(jù)

Answer:A

Datalossprevention（DLP）systemscanuselabelsondatatodeterminethe

appropriatecontrolstoapplytothedata.DLPsystemswon'tmodifylabelsinreal

timeandtypicallydon'tworkdirectlywithfirewallstostoptraffic.Deleting

unlabeleddatawouldcausebigproblemsfororganizationsthathaven'tlabeled

everypieceofdata!

數(shù)據(jù)丟失防護(hù)（DLP）系統(tǒng)可以使用數(shù)據(jù)上的標(biāo)簽來確定適用于數(shù)據(jù)的控制措施。

DLP系統(tǒng)不會(huì)實(shí)時(shí)修改標(biāo)簽，通常不會(huì)直接與防火墻配合工作來阻止流量。刪除沒

有標(biāo)簽的數(shù)據(jù)會(huì)給僅為部分?jǐn)?shù)據(jù)分配了標(biāo)簽的組織造成很大的問題！

18.Whyisitcosteffectivetopurchasehigh-qualitymediatocontainsensitive

data?

為什么說購買高質(zhì)量的媒體（介質(zhì)）來保存敏感數(shù)據(jù)是成本有效的（俗稱‘劃算

的”）?

A.Expensivemediaislesslikelytofail.昂貴的媒體（介質(zhì)）不太可能失敗

B.Thevalueofthedataoftenfarexceedsthecostofthemedia.數(shù)據(jù)的價(jià)值往往

遠(yuǎn)遠(yuǎn)超過媒體（介質(zhì)）的成本

C.Expensivemediaiseasiertoencrypt.昂貴的媒體（介質(zhì)）更容易加密

D.Moreexpensivemediatypicallyimprovesdataintegrity.更昂貴的媒體（介

質(zhì)）通常會(huì)提高數(shù)據(jù)的完整性

Answer:B

Thevalueofthedatacontainedonmediaoftenexceedsthecostofthemedia,

makingmoreexpensivemediathatmayhavealongerlifespanoradditional

capabilitieslikeencryptionsupportagoodchoice.Whileexpensivemediamaybe

lesslikelytofail,thereasonitmakessenseisthevalueofthedata,notjustthatit

islesslikelytofail.Ingeneral,thecostofthemediadoesn'thaveanythingtodo

withtheeaseofencryption,anddataintegrityisn'tensuredbybettermedia.

媒體（介質(zhì)）中包含的數(shù)據(jù)的價(jià)值往往超過媒體（介質(zhì)）的成本，使更昂貴的媒體

（介質(zhì)），可能會(huì)有更長的使用壽命或額外的功能，如加密支持一個(gè)不錯(cuò)的選擇。

雖然昂貴的媒體（介質(zhì)）可能不太可能出現(xiàn)故障，但是其合理的原因是數(shù)據(jù)的價(jià)

值，而不僅僅是失敗的可能性較小。一般來說，媒體（介質(zhì)）的成本與加密的便利

性沒有任何關(guān)系，數(shù)據(jù)的完整性不是由更好的媒體（介質(zhì)）來保證的。

19.Chrisisresponsibleforworkstationsthroughouthiscompanyandknowsthat

someofthecompanysworkstationsareusedtohandleproprietaryinformation.

Whichoptionbestdescribeswhatshouldhappenattheendoftheirlifecyclefor

workstationsheisresponsiblefor?

Chris負(fù)責(zé)整個(gè)公司的工作站，并且知道公司的一些工作站是用來處理專有信息

的。哪個(gè)選項(xiàng)最好地描述了他所負(fù)責(zé)的工作站在其生命周期結(jié)束時(shí)應(yīng)該怎么處理？

A.Erasing擦除

B.Clearing清除

C.Sanitization凈化

D.Destruction銷毀

Answer:C

Sanitizationisacombinationofprocessesthatensurethatdatafromasystem

cannotberecoveredbyanymeans.Erasingandclearingarebothproneto

mistakesandtechnicalproblemsthatcanresultinremnantdataanddon'tmake

senseforsystemsthathandledproprietaryinformation.Destructionisthemost

completemethodofensuringthatdatacannotbeexposed,andsome

organizationsopttodestroytheentireworkstation,butthatisnotatypical

solutionduetothecostinvolved.

凈化是確保來自系統(tǒng)的數(shù)據(jù)無法以任何方式恢復(fù)的過程的組合。擦除和清除都容易

出現(xiàn)錯(cuò)誤和技術(shù)問題，可能會(huì)導(dǎo)致殘留數(shù)據(jù)，對(duì)于處理專有信息的系統(tǒng)是沒有意義

的。銷毀是確保數(shù)據(jù)無法公開的最徹底的方法，有些組織選擇銷毀整個(gè)工作站，但

由于涉及成本問題，這不是一個(gè)典型的解決方案。

注：見前面總結(jié)，本題的對(duì)象是工作站，所以erasing擦除、clearing清除、

destruction銷毀都不合適，就只有sanitization凈化可選。

20.WhichistheproperorderfromleasttomostsensitiveforUSgovernment

classifications?

美國政府的數(shù)據(jù)分類（密級(jí)）按敏感程度由低到高的順序是什么？

A.Confidential,Secret,TopSecret秘密，機(jī)密，絕密

B.Confidential,Classified,Secret秘密，分類，機(jī)密

C.TopSecret,Secret,Classified,Public,Classified,TopSecret絕密，機(jī)密,涉

密，公開，涉密，絕密

D.Public,Unclassified,Classified,TopSecret公開，不涉密，涉密，最高機(jī)密

Answer:A

TheUSgovernment'sclassificationlevelsfromleasttomostsensitiveare

Confidential,Secret,andTopSecret.

美國政府的信息分類（密級(jí)）敏感程度從低到高是秘密，機(jī)密和絕密。

21.Whatscenariodescribesdataatrest?

什么樣的情景描述了靜止的數(shù)據(jù)？

A.DatainanIPsectunnelIPsec隧道中的數(shù)據(jù)

B.Datainane-commercetransaction電子商務(wù)交易中的數(shù)據(jù)

C.Datastoredonaharddrive存儲(chǔ)在硬盤上的數(shù)據(jù)

D.DatastoredinRAM存儲(chǔ)在RAM中的數(shù)據(jù)

Answer:C

Dataatrestisinactivedatathatisphysicallystored.DatainanIPsectunnelorpart

ofane-commercetransactionisdatainmotion.DatainRAMisephemeralandis

notinactive

靜止數(shù)據(jù)是物理存儲(chǔ)的非活動(dòng)數(shù)據(jù)。IPsec隧道中的數(shù)據(jù)或電子商務(wù)交易的一部分

是運(yùn)動(dòng)中的數(shù)據(jù)。RAM中的數(shù)據(jù)是短暫的，且并非不活動(dòng)的。

22.IfyouareselectingasecuritystandardforaWindows10systemthat

processescreditcards,whatsecuritystandardisyourbestchoice?

如果您正在為處理信用卡的Windows10系統(tǒng)選擇安全標(biāo)準(zhǔn)，那么您的最佳選擇是

什么安全標(biāo)準(zhǔn)？

A.Microsoft'sWindowsiosecuritybaseline微軟的Windowsio安全基線

B.TheCISWindowsiobaselineCIS的Windowsio安全基線

C.PCIDSS支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)

D.TheNSAWindowsiobaselineNSA的Windowsio安全基線

Answer:C

PCIDSS,thePaymentCardIndustryDataSecurityStandard,providesthesetof

requirementsforcreditcardprocessingsystems.TheMicrosoft,NSA,andCIS

baselineareallusefulforbuildingaWindows10securitystandard,buttheyaren't

asgoodofananswerasthePCIDSSstandarditself.

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)PCIDSS提供了信用卡處理系統(tǒng)的一套要求。Microsoft,

NSA和CIS基線對(duì)構(gòu)建Windows10安全標(biāo)準(zhǔn)都很有用，但是它們不如PCIDSS標(biāo)

準(zhǔn)本身那么合適。

23.TheCenterforInternetSecurity(CIS)workswithsubjectmatterexpertsfrom

avarietyofindustriestocreatelistsofsecuritycontrolsforoperatingsystems,

mobiledevices,serversoftware,andnetworkdevices.Yourorganizationhas

decidedtousetheCISbenchmarksforyoursystems.

互聯(lián)網(wǎng)安全中心(CIS)與來自不同行業(yè)的專家合作，為操作系統(tǒng)，移動(dòng)設(shè)備，服務(wù)

器軟件和網(wǎng)絡(luò)設(shè)備創(chuàng)建安全控制列表，您的組織決定將CIS基線應(yīng)用于信息系統(tǒng)。

TheCISbenchmarksareanexampleofwhatpractice?

CIS基準(zhǔn)是一個(gè)什么實(shí)踐的例子？

A.Conductingariskassessment進(jìn)行風(fēng)險(xiǎn)評(píng)估

B.Implementingdatalabeling實(shí)施數(shù)據(jù)標(biāo)簽

C.Propersystemownership適當(dāng)?shù)南到y(tǒng)所有權(quán)

D.Usingsecuritybaselines使用安全基線

Answer:D

TheCISbenchmarksareanexampleofasecuritybaseline.Ariskassessment

wouldhelpidentifywhichcontrolswereneeded,andpropersystemownershipis

animportantpartofmakingsurebaselinesareimplementedandmaintained.Data

labelingcanhelpensurethatcontrolsareappliedtotherightsystemsanddata.

互聯(lián)網(wǎng)安全中心（CIS）基準(zhǔn)是一個(gè)安全基線的例子。風(fēng)險(xiǎn)評(píng)估將有助于確定需要哪

些控制措施，適當(dāng)?shù)南到y(tǒng)所有權(quán)是確保實(shí)施和維護(hù)基線的重要組成部分。數(shù)據(jù)標(biāo)簽

可以幫助確?？刂七m用于正確的系統(tǒng)和數(shù)據(jù)。

24.TheCenterforInternetSecurity（CIS）workswithsubjectmatterexpertsfrom

avarietyofindustriestocreatelistsofsecuritycontrolsforoperatingsystems,

mobiledevices,serversoftware,andnetworkdevices.Yourorganizationhas

decidedtousetheCISbenchmarksforyoursystems.

互聯(lián)網(wǎng)安全中心（CIS）與來自不同行業(yè)的專家合作，為操作系統(tǒng)，移動(dòng)設(shè)備，服務(wù)

器軟件和網(wǎng)絡(luò)設(shè)備創(chuàng)建安全控制列表，您的組織決定將CIS基線應(yīng)用于信息系統(tǒng)。

AdjustingtheCISbenchmarkstoyourorganization'smissionandyourspecificIT

systemswouldinvolvewhattwoprocesses?

將CIS基準(zhǔn)調(diào)整到組織的任務(wù)和特定的IT系統(tǒng)將涉及哪兩個(gè)過程？

A.Scopingandselection范圍和選擇

B.Scopingandtailoring范圍和裁剪

C.Baseliningandtailoring基線化和裁剪

D.Tailoringandselection裁剪和選擇

Answer:B

ScopinginvolvesselectingonlythecontrolsthatareappropriateforyourIT

systems,whiletailoringmatchesyourorganization'smissionandthecontrolsfrom

aselectedbaseline.Baseliningistheprocessofconfiguringasystemorsoftwareto

matchabaseline,orbuildingabaselineitself.Selectionisn'tatechnicaltermused

foranyoftheseprocesses.

范圍涉及選擇僅僅適合于你的IT系統(tǒng)的控制措施，而剪裁是將您組織的使命和控制

措施與從一個(gè)選定的基線相適配。基線化是配置系統(tǒng)或軟件與基線的過程，或基線

的自身建設(shè)。選擇不是用于這些過程中的任何一個(gè)技術(shù)術(shù)語。

25.TheCenterforInternetSecurity（CIS）workswithsubjectmatterexpertsfrom

avarietyofindustriestocreatelistsofsecuritycontrolsforoperatingsystems,

mobiledevices,serversoftware,andnetworkdevices.Yourorganizationhas

decidedtousetheCISbenchmarksforyoursystems.

互聯(lián)網(wǎng)安全中心（CIS）與來自不同行業(yè)的專家合作，為操作系統(tǒng)，移動(dòng)設(shè)備，服務(wù)

器軟件和網(wǎng)絡(luò)設(shè)備創(chuàng)建安全控制列表，您的組織決定將CIS基線應(yīng)用于信息系統(tǒng)。

Howshouldyoudeterminewhatcontrolsfromthebaselineagivensystemor

softwarepackageshouldreceive?

要為選定的系統(tǒng)或軟件包從基線中選擇控制措施，你應(yīng)該如何決策？

A.Consultthecustodiansofthedata.咨詢數(shù)據(jù)的保管人

B.Selectbasedonthedataclassificationofthedataitstoresorhandles.根據(jù)所存

儲(chǔ)或處理的數(shù)據(jù)的分類（密級(jí)）進(jìn)行選擇

C.Applythesamecontrolstoallsystems.將相同的控制應(yīng)用于所有系統(tǒng)

D.Consultthebusinessowneroftheprocessthesystemordatasupports.咨詢系

統(tǒng)或數(shù)據(jù)支持過程的企業(yè)所有者

Answer:B

Thecontrolsimplementedfromasecuritybaselineshouldmatchthedata

classificationofthedatausedorstoredonthesystem.Custodiansaretrustedto

ensuretheday-to-daysecurityofthedataandshoulddosobyensuringthatthe

baselineismetandmaintained.Businessownersoftenhaveaconflictofinterest

betweenfunctionalityanddatasecurity,andofcourse,applyingthesamecontrols

everywhereisexpensiveandmaynotmeetbusinessneedsorbearesponsibleuse

ofresources.

從安全基線實(shí)施的控制應(yīng)與在系統(tǒng)上使用或存儲(chǔ)的數(shù)據(jù)的分類（密級(jí)）相匹配。保

管人受委托以確保數(shù)據(jù)的日常安全，并應(yīng)通過確保基線得到滿足和維持來做到這一

點(diǎn)。企業(yè)所有者通常在功能和數(shù)據(jù)安全之間存在利益沖突。當(dāng)然，在任何地方應(yīng)用

相同的控制是高成本的，而且可能無法滿足業(yè)務(wù)需求或負(fù)責(zé)任地使用資源。

26.WhatproblemwithFTPandTelnetmakesusingSFTPandSSHbetter

alternatives?

FTP和Telnet有什么缺點(diǎn)使得使用SFTP和SSH是更好的選擇？

A.FTPandTelnetaren'tinstalledonmanysystems.許多系統(tǒng)沒有安裝FTP和

Telnet