cissp中文版考试真题汇总题库500题（导出附答案）

PAGEPAGE1cissp中文版考试真题汇总题库500题（导出附答案）一、单选题1.单选题哪个数据角色对组织中的数据负有最终责任?A、系统所有者B、业务所有者C、数据所有者D、任务所有者答案：C解析：数据所有者对组织的数据负有最终责任,这些人通常是CEO、总裁或其他高级工作人员。业务和任务所有者通常负责业务过程或任务。系统所有者负责处理敏感数据的系统。2.Ben事先记录数据,然后在测试网站上重播它,通过真实的生产负荷来验证这些数据是如何工作的,他进行什么类型的1性能监控?A、被动B、主动C、反应D、重放答案：B解析：主动监测也称为综合监测,使用记录或生成的流量来测试系统和软件。被动监控使用网络分析仪、网络分流器或其他设备来捕获要分析的流量。响应和重放不是监控类型的专业术语。3.#454

安全架构师正在审查已实施的安全框架。审查后，安全架构师希望通过实施职责分离(SoD)来增强安全性，以解决欺诈保护问题。哪种安全模型最能保护数据的完整性?A、Brewer-Nash模型B、Biba诚信模式C、Bell-LaPadula模型D、克拉克-威尔逊模型答案：D4.单选题Neal使用DynamoDB数据库。数据库的结构不像关系数据库,但允许Neal使用键值存储数据。什么类型的数据库是DynamoDB?A、关系数据库B、图形数据库C、分层数据库D、NoSQL数据库答案：D解析：键值存储是NoSQL数据库的一个例子,它不遵循与传统数据库类似的关系或层次模型。图形数据库是NoSQL数据库的另一个例子,但它使用节点和边来存储数据,而不是键和值。5.单选题1分Henry正在与一个Web应用程序开发团队合作,为他们公司的新应用程序进行身份验证和授权过程。该团队希望使会话ID尽可能安全。以下哪项不是Henry应该推荐的最佳实践?A、会话ID令牌应该是可预测的B、会话ID应至少具有64位滴C、会话长度应至少为128位D、会话ID应该是无意义的答案：A解析：Web应用程序开发最佳实践目前建议使用具有足够灯(随机性)的长会话ID(128位或更长),以确保它们不会被轻易复制或暴力破解。确保会话ID本身没有意义也是一种最佳做法,以防止信息泄露攻击。然而,会话ID应该会过期,因为即使所有这些建议都得到满足,永不过期的会话最终可能会被暴力破解。6.#16

哪种应用程序类型被认为是高风险的，并为恶意软件和病毒提供了进入网络的常用途径?A、即时通讯或聊天应用程序B、点对点(P2P)文件共享应用程序C、电子邮件申请D、端到端应用答案：B7.以下哪项仅用于加密通过网络传输的数据,并且不能用于加密静止数据?A、TKIPB、AESC、3DESD、RSA答案：A解析：TKIP仅用于加密传输中的数据,而不用于静止数据。RSA、AES和3DES适用于静止数据和传输中的数据。8.单选题Bell-LaPadula和Biba模型实现了什么状态机模型?A、信息流B、不干扰C、级联D、反馈答案：A9.#166

在进行有可能采取法律行动的调查时，解析师的首要考虑是什么?A、数据解密B、监管链C、授权收集D、法院可受理性答案：B10.单选题在软件配置管理程序中,CAB的主要作用是什么?A、批准开发者的凭据B、促进经验教训会议C、审查和批准.拒绝代码更改D、优先考虑软件开发工作答案：C解析：变更咨询委员会(CAB)的目的是审查并批准或拒绝提议的代码变更。CAB通常不参与开发人员证书的批准、经验教训会议的进行或软件开发工作的优先级顺序。11.单选题在下图中,Harry写入数据文件的请求被拒绝。Harry有机密安全许可,该数据文件属于秘密级别。Bell—LaPadula模型的什么原则阻止了该请求?A、简单安全性属性B、简单完整性属性C、*安全性属性*D、自主安全属性答案：C解析：“安全属性规定个人不得写入安全分类级别较低的文件。12.单选题什么类型的软件程序向任何人曝光代码?A、封闭源B、开源C、固定源D、无限制源答案：B解析：开源软件会将源代码暴露给公众,以便他们检查和修改。开源社区包括主要软件包,包括Linux操作系统。13.单选题参考如下火灾三角形,以下哪一个抑制材料通过移除燃料来抑制火灾?A、水B、酸碱C、二氧化碳D、哈龙答案：B解析：苏打酸和其他干粉灭火器阻断燃料与空气的接触。水可降低温度,而哈龙和二氧化碳可以阻断氧气。14.#306

以下哪种攻击类型可用于破坏传输过程中的数据完整性?A、同步泛洪B、会话劫持C、键盘记录D、数据包嗅探答案：B15.单选题Barry是一名软件测试人员,他使用公司开发的新游戏应用。他在智能手机上玩游戏,并在最能模拟正常最终用户的环境中进行测试,但他在进行测试时参考了源代码。Barry进行什么类型的测试?A、白盒B、黑盒C、蓝盒D、灰盒答案：D解析：在灰盒测试中,测试者从用户角度评估软件,但在进行测试时可以访问源代码。白盒测试也可以访问源代码,但从开发人员的角度进行测试。黑盒测试是从用户的角度来评估软件,并且不能访问源代码。蓝盒是一种电话黑客工具,而不是软件测试技术。16.Sally为干兆以太网网络接线。她应该做哪些布线选择,来确保她的用户可以使用1000Mbps的网络?A、Cat5和Cat6B、Cat5e和Cat6C、CatD、Cat6和Cat7答案：B解析：5e类和6类的UTP电缆额定速率是1000Mbps。Cat5线缆的速率仅为100Mbps,而Cat7线缆速率为10Gbps。不存在Cat4e。17.#167

软件定义网络(SDN)的构建块需要以下哪一项?A、SDN完全由客户端-服务器对组成。B、随机存取内存(RAM)优先于虚拟内存使用。C、SDN主要由虚拟机（VM）组成。D、虚拟内存优先于随机存取内存(RAM)。答案：C18.以下哪种工具最适合渗透测试的信息收集阶段?A、WhoisB、zzufC、NessusD、Metasploit答案：A解析：在渗透测试的信息收集和发现阶段,测试人员收集有关目标的信息。Whois可提供有关组织的信息,包括IP范围、物理地址和员工联系人。Nessus在漏洞检测阶段很有用,Metasploit在开发过程中很有用。zzuf是一种Fuzzing工具,不太可能在渗透测试中使用。19.#358

以下哪一项是Bell-LaPadula模型的局限性?A、职责分离(SoD)难以实施，因为“禁止阅读”规则限制了对象访问更高分类信息的能力。B、强制访问控制(MAC)在所有级别强制执行，因此无法实施自主访问控制(DAC)。C、它不包含更改数据访问控制的规定或政策，并且仅适用于本质上是静态的访问系统。D、它优先考虑完整性而不是机密性，这可能导致无意的信息泄露。答案：C20.#79

垃圾箱潜水是渗透测试方法的哪个阶段使用的一种技术?A、攻击B、报告C、规划D、发现答案：D21.#259

以下哪个是风险矩阵?A、确定活动或系统风险管理决策的工具。B、与特定信息系统相关的风险数据库。C、组织、产品、项目或其他相关项目的二维风险图。D、供管理层考虑的风险管理因素表。答案：A22.单选题MITRE的CVE数据库提供什么类型的信息?A、当前版本的软件B、应用程序的补丁信息C、漏洞信息D、为通用流程列出成本和所需努力的对比答案：C解析：公共漏洞和暴露(CVE)字典提供了安全漏洞和问题的中央资料库。应用程序和软件版本的修补信息有时会使用中央补丁管理工具进行管理,但单个中央数据库一般不能免费或公开使用。CVE并不关心成本和所需努力的对比。23.#462

以下哪些是进行安全评估时的关键活动?A、安排、收集、检查B、面试、考试、模拟C、收集、采访、测试D、考试、面试、测试答案：B24.单选题以下哪个数据库键值用于执行表之间的完整性引用关系?A、主键B、候选键C、外键D、控制键答案：C解析：完整性引用确保记录被其他表中的外键引用时,该记录存在于副表中。外键是用于严格保证引用完整性的机制。25.多选题Susan想要使用一组不可路由的IP地址作为该位置的内部网络地址。使用你对安全网络设计原则和IP网络的了解,以下哪些IP范围可用于此目的?(选择所有符合条件的。)A、.12B、.16C、.24D、.8.8答案：C解析：RFC1918将三个地址范围定义为私有(不可路由)IP地址范围:.8、12和.16.这些之中的任何一个都可以工作,但许多组织将.16范围用于较小的站点,或者选择为多个远程站点划分到.8范围中。材料13:请参考以下场景,回答4个问题:Susan正在为她的组织的分支机构设计新的网络基础架构26.#14

一家公司参加了一项硬盘再利用计划，在该计划中，退役的设备在不再需要时被卖回给供应商。

与不再运行的设备相比，供应商为正常运行的驱动器支付的费用更多。哪种数据清理方法可以提供最安全的方法来防止未经授权的数据丢失，同时从供应商那里获得最多的钱?A、固定B、单程擦拭C、多道擦拭布D、消磁答案：C27.#121

与传统网络相比，以下哪一项是软件定义网络(SDN)提供的与安全相关的好处?A、集中式网络配置B、扩展时减少网络延迟C、集中网络管理控制D、减少硬件占用空间和成本答案：C28.#253

一个组织正在计划一项模拟前网络管理员的恶意行为的渗透测试。需要什么样的渗透测试?A、功能测试B、单元测试C、灰盒D、白盒答案：C29.#345

开放Web应用程序安全项目(OWASP)的软件保障成熟度模型(SAMM)允许组织实施灵活的软件安全策略，以根据哪些风险管理方面衡量组织影响?A、风险例外B、风险承受能力C、风险处理D、风险应对答案：D30.单选题一般能够阻止大多数人攀越的围墙最低高度是多少?A、3英尺B、4英尺C、5英尺D、6英尺答案：D解析：围栏一般应至少高6英尺。如果一个物理安全系统需要明确阻止某类入侵者,它应该至少8英尺高,顶部还应有三股铁丝网。31.单选题在放到生产网络之前,应用程序开发人员可在隔离的虚拟化环境中对应用程序使用什么测试技术?A、渗透测试B、沙箱C、白盒测试D、黑盒测试答案：B解析：沙箱提供了一个与生产系统相隔离的虚拟化环境,在此虚拟化环境中,应用开发者(或不受信任的应用的接收者)可以执行代码测试。白盒测试、黑盒测试和渗透测试都是常见的软件测试技术,但不需要使用隔商系统。32.单选题Lucca构建的Web应用程序存在一个缺陷,会导致登录的用户能够执行他们不应该执行的操作。该安全漏洞应归为哪种类型?A、数据验证B、会话管理C、授权D、错误处理答案：C解析：鉴于此处的选项列表,根本原因很可能是授权检查的问题,该检查未正确限制用户应具有的权限。数据验证问题更可能允许注入攻击或允许输入错误数据,而会话管理问题将允许会话劫持或实际上可能导致它们作为另一个用户登录。最后,错误处理会在发生错误时显示为问题,而这个问题并未表示。33.Alan正在考虑在其组织中使用新的身份证，用于物理访问控制。他看到一种样品卡，但不确定该卡使用的技术。因此他打开卡片，看到了以下内部结构。这是什么类型的卡?A、智能卡B、感应卡C、磁条D、相二卡答案：B解析：在卡内使用电磁线圈表示这是一个感应卡。34.#395

以下哪项是联邦身份管理(FIM)实施模型的主要组成部分，用于建立网络

在几十个组织之间?A、身份即服务(IDaaS)B、基于属性的访问控制(ABAC)C、交叉认证D、可信第三方（TTP）答案：C35.#327

在过去的15年中，一家公司经历了三起电气故障。下面列出了与每个故障相关的成本。以下哪项是合理的年度损失预期?A、3,500B、140,000C、14,000D、350,000答案：C36.#363

哪个（ISC）

在保护系统、应用程序和受托信息的价值同时避免利益冲突时，道德规范规范最能体现吗?A、为原则提供勤奋和称职的服务。B、以光荣、诚实、公正、负责任和合法的方式行事。C、推进和保护职业。D、保护社会、联邦和基础设施。答案：A37.单选题Melissa希望以对用户透明的方式,在她的组织中将多个物理网络组合起来,但允许根据需要为网络服务分配资源。她应该部署什么类型的网络?A、iSICIB、虚拟化网络C、SDWAND、A答案：B解析：虚拟网络可用于组合现有网络或将网络划分为多个网段。Melissa可以使用虚拟网络来组合现有网络,然后使用软件定义的网络功能来分配和管理网络资源。iSCSI是一种融合存储协议。SDWAN是软件定义的广域网,此问题没有指定LAN或WAN技术。CDN是一个内容分发网络,有助于应对负载和拒绝服务攻击。38.#198

软件开发公司交付软件产品的时间很短。软件开发团队决定使用开源软件库来减少开发时间。软件开发人员在使用开源软件库时应该考虑什么概念?A、开源库包含已知漏洞，攻击者经常在野外利用这些漏洞。B、开源库是所有人都可以使用的，大家的共识是这些库中的漏洞不会被利用。C、开源库包含未知漏洞，因此不应使用。D、开源库不断更新，使得攻击者不太可能存在漏洞利用。答案：A39.单选题以下哪种方法移除数据的效果最差?A、消磁B、清除C、擦除D、清理答案：C解析：擦除(也称为删除)通常只是断开了文件的链接,并没有真正删除掉文件本身的数据,这些数据会被留在存储介质中,如果系统新写入一部分数据,那么这些新写入的数据可能覆盖掉旧的文件数据。消磁只能在磁性介质上进行。清除和清理两者都描述了更复杂的移除过程。40.单选题以下哪项是用于自动设计新软件测试并确保测试质量的方法?A、代码审计B、静态代码分析C、回归测试D、突变测试答案：D解析：突变测试通过修改程序的局部,测试该突变体来确定其能否按照预期运行。静态代码分析和回归测试均是测试代码的方法,而代码审计是针对源代码的分析,并非设计和测试软件的方法。41.#117

质量保证(QA)部门人手不足，无法在应用程序的预期发布日期之前测试所有模块。什么安全控制最有可能被违反?A、变更管理B、环境分离C、方案管理D、移动代码控制答案：C42.单选题以下哪种类型的软件测试通常最后发生,并针对测试场景执行?A、单元测试B、集成测试C、用户验收测试D、系统测试答案：C解析：用户验收测试(UAT)通常是测试过程的最后阶段。它验证所开发的解决方案是否满足用户要求,并使用用例对其进行验证。单元测试、集成测试和系统测试都在用户验收测试阶段之前实施。43.#85

以下哪一项最能保护用于紧急维护的供应商帐户?A、应在需要时禁用供应商访问B、频繁监控供应商访问C、基于角色的访问控制(RBAC)D、路由表加密答案：C44.单选题James使用国防部的一个系统来工作,这个系统被授权同时处理归类为机密和绝密级别的信息。他使用的是什么类型的系统?A、单核B、未加密C、隔离D、多核答案：D解析：经过认证的多核系统通过实施适当的保护机制来隔离数据,可同时处理来自不同安全分类级别的数据。45.#73

限制对计算系统上文件系统的访问的最佳方法是什么?A、在每个级别使用最低权限来限制访问。B、限制所有用户的访问。C、允许用户组限制访问。D、使用第三方工具限制访问。答案：A46.#153

以下哪个框架提供了漏洞度量和特征来支持国家漏洞数据库(NVD)?A、常见漏洞和暴露(CVE)B、互联网安全中心(CIS)C、通用漏洞评分系统(CVSS)D、开放Web应用程序安全项目(OWASP)答案：C47.单选题下列哪项正确地描述了非政府和政府使用的分类级别对应关系?A、绝密-机密.私有秘密-私人机密-敏感B、秘密-业务机密分级的-私有机密-内部业务C、绝密-私有分级的-内部业务机密-私有业务D、秘密-私有分级的-私人未加密-公开的答案：A解析：虽然许多非政府组织都创建了自己的分类计划,但只有一部分组织和美国政府所使用的模型是一致的,如下所示。在四个选项中,B选项和D选项与美国政府的绝密、秘密、机密模型不匹配,并且选项C把业务专有数据和机密数据错误匹配,把业务敏感数据和最高机密数据错误匹配。内部业务通常就是敏感业务,意味着它可以用来匹配两个分类级别。48.#379

一项违规调查发现，一个网站被一个开源组件利用。可以防止这种违规行为的流程中的第一步是什么?A、应用程序白名单B、漏洞修复C、Web应用防火墙（WAF）D、软件清单答案：C49.单选题1分如果允许OpenID信任方控制连接OpenlD提供程序,会引发什么危险?A、错误选择适当的OpenID提供程序B、网络钓鱼攻击C、窃取用户名和密码D、不发送签名声明答案：B解析：有可能会发生网络钓鱼攻击。由于OpenID提供程序URL由客户端提供,因此依赖方不能选择错误的提供程序。依赖方从未收到用户的密码,这意味着他们不能窃取它。最后,依赖方接收到签名的声明,但不发送。50.单选题Brenda的组织最近完成了对竞争对手公司的收购。在收购期间以下哪项任务最不可能成为所涉及的组织过程的一部分?A、安全功能的整合B、安全工具的集成C、知识产权的保护D、安全策略的文件化答案：C解析：与收购(一家公司购买另一家公司)相比,在剥离(子公司被分拆为一个独立的组织)期间,知识产权保护是一个更大的问题。收购问题包括整合安全功能和策略,以及安全工具的集成。51.#169

哪种安全审计标准为组织了解供应商信息系统(IS)的机密性、完整性和可用性提供了最佳方式?A、服务组织控制(SOC)2B、鉴证业务标准声明(SSAE)18C、审计标准声明(SAS)70D、服务组织控制(SOC)1答案：A52.#391

谁是审查开发的应用程序代码以确保它已经过测试和验证的最佳人选?A、知道对应用程序的期望是什么的开发人员，但不是开发它的人。B、质量保证(QA)成员应审查开发人员的代码。C、了解应用程序需求文档并开发代码的开发人员。D、管理者应该审查开发者的应用程序代码。答案：B53.#423

当怀疑发生事件时，事件响应团队应该采取的第一个行动是什么?A、选择遏制策略。B、记录有关该事件的所有事实。C、尝试识别攻击者。D、将事件通知管理层。答案：B54.#132

一家大型软件公司的项目经理获得了一份政府合同，该合同会生成大量受控非机密信息(CUI)。该组织的信息安全经理收到了在不同安全等级的系统之间传输与项目相关的CUI的请求。什么角色为本次转让提供权威指导?A、下午B、信息所有者C、数据保管人D、使命/企业主答案：C55.单选题1分在渗透测试期间,Chris恢复了一个散列密码文件,以下哪种攻击是针对散列密码的?A、暴力攻击B、散列传递攻击C、彩虹表攻击D、盐恢复攻击答案：C解析：彩虹表是预先匹配好散列密码的数据库,具备高速查找的功能。由于可以快速比较已知的散列与文件中的散列,使用彩虹表是最快捷的方法。暴力攻击有可能成功,但特别缓慢。传递散列攻击依赖于嗅探获取的散列值,从而避免使用密码。盐是添加到散列中的数据,使用盐可阻止彩虹表的使用。在密码中加入盐后,散列值就无法和没有加入盐而得出的彩虹表匹配了。56.单选题Fred的组织中,在一个项目完成后,允许重复使用这个系统。如果一个秘密级别的项目使用的系统来自一个绝密项目,Fred应该注意什么?A、绝密数据可能与秘密数据混合,导致需要重新标记系统B、净化旧设备的成本可能超过新设备的成本C、净化旧设备时可能会泄露数据D、组织的DLP系统可能因为数据标签的不同重新标记新的系答案：B解析：由于难以确认数据净化工作是否已经完成,一般很少有组织会重复使用旧的系统设备。因为需要完全擦除(或破坏)系统使用的介质,因此这意味着重复使用的成本通常较高,甚至可能超过购买新系统的成本。清除的目的是确保没有数据保留,所以数据混合和数据泄露都不在考虑范围内。数据丢失防护系统应该根据标签标记数据,而不是根据它的系统进行标记。57.#375

以下哪些文件从客户的角度具体说明了服务?A、业务影响解析(BIA)B、服务水平协议(SLA)C、服务水平要求(SLR)D、服务水平报告答案：C58.#432

在美国(US)开发电子健康记录(EHR)时，以下哪项是最佳信息来源

有什么合规要求吗?A、世界卫生组织（WHO）B、国际标准化组织(ISO)C、健康与人类服务(HHS)D、美国公共卫生协会(APHA)答案：C59.#393

确保云服务提供商不会访问存储在其基础架构中的客户数据的最有效方法是什么?A、使用组织的加密工具和数据管理控制。B、确保云服务提供商根据合同不会访问数据，除非获得明确授权。C、定期请求审计日志。D、利用云提供商的密钥管理和弹性硬件安全模块(HSM)支持。答案：B60.#441

什么最能描述数据所有权?A、地理主权B、保密性和完整性C、准确度和精密度D、法律责任答案：D61.单选题对于已实施了最佳防护的组织来说,以下哪种人是最大的安全风险?A、政治活动家B、恶意的内部人员C、脚本小子D、激进的攻击者答案：B解析：虽然所有恶意黑客对组织都会构成风险,但内部恶意人员对组织安全构成的威胁要远远超过他们。由于内部人员可以合法访问系统,因此这为攻击带来了极大的便捷性,这一点是其他黑客做不到的。62.单选题使用什么术语来描述软件没有漏洞的信任级别(这些漏洞可能在开发生命周期内的任何时候有意或意外设计到软件中,而且软件以预期的方式运行)?A、验证B、认证C、信任区间D、保证答案：D解析：对于软件来说,“保证”是用来描述软件没有漏洞的信任级别,这些漏洞可能在开发生命周期内的任何时候有意或无意地设计加入软件中,另外用来描述软件以预期的方式运行。它通常用于军事和国防环境。63.单选题专注于系统不允许的功能的测试是什么类型的测试示例?A、用户用例测试B、手动测试C、误用用例测试D、动态测试答案：C解析：测试一个系统如何被误用,也即误用测试。用户用例测试用来验证系统是否实现了预期功能。动态测试用来确定程序运行中,代码是如何处理那些变量的。手动测试的含义十分直白,就是手动测试代码。64.单选题在下图中,Sally在写入数据时被Biba完整性模型所阻碍。Sally对机密性进行安全检查,该文件属于绝密类别。什么原则阻止她写入文件?A、简单安全属性B、简单完整性属性C、安全属性D、完整性属性答案：D解析：*完整性属性规定主体不能修改安全级别较高的客体。65.单选题以下哪一个是软件开发的瀑布模型中正确的步骤顺序?A、需求、设计、测试、编码、维护B、需求、设计、编码、测试、维护C、设计、需求、编码、测试、维护D、设计、需求、测试、编码、维护答案：B解析：在瀑布模型中,软件开发过程遵循五个顺序步骤,按顺序分别是:需求、设计、编码、测试和维护。66.单选题Sherry盘点她所在的组织中使用的密码技术,发现使用了以下这些算法和协议。为保障系统的安全性,她应该建议把以下哪项技术替换掉?A、MD5B、AESC、PGPD、WPA3答案：A解析：MD5散列算法具有已知的冲突,并且自2005年起,不再被认为是安全的。AES、PGP和WPA3算法仍然被认为是安全的。67.#445

缓解分布式拒绝服务(DDoS)攻击的最有效方法是什么?A、部署Web应用程序防火墙(WAF)。B、阻止访问受攻击的传输控制协议(TCP)端口。C、检测并阻止公司防火墙上的不良Internet协议(IP)子网。D、聘请上游互联网服务提供商(ISP)。答案：D68.单选题在第三方漏洞扫描和安全测试期间,Danielle的雇主最近发现,为管理公司新部署和安装的嵌入式系统存在严重的远程访问漏洞。制造商已经停业,并且没有针对这类设备的补丁或更新。Danielle应该建议她的雇主如何处理这些数以百计且易受攻击的设备?A、确定替换设备型号并更换每个设备B、关掉所有设备C、将设备移动到安全的网段D、对设备进行反向工程并构建内部补丁答案：C解析：最佳的选项是将设备移动到安全且隔离的网段。这将允许设备继续发挥其预期功能,同时防止被破坏。所有其他方案要么产生高额的新成本,要么不能使用组织购买这些设备所提供的功能。69.Mike正在构建容错服务器并希望实施RAID1,实施此方案需要多少个物理磁盘?A、1B、2C、3D、5答案：B解析：RAID1称为磁盘镜像,需要两个物理磁盘,其中一个物理磁盘是另一个的副本。70.单选题为什么除了实施无线安全技术(例如无线入侵检测系统)之外,还应进行被动扫描?A、它有助于识别流识设备B、它可以通过脚本攻击来测试无线网络的安全性C、它们在每个无线信道上的短驻留时间允许它们捕获更多分组D、他们有助于测试无线IDS或IPS系统答案：A解析：被动扫描可通过捕获与所部署设备不匹配的MAC地址供应商ID,通过利用硬件地址来验证系统与组织拥有的硬件库存是否匹配,以及通过监控流眠SSID或连接来帮助识别流氓设备。脚本攻击属于主动扫描,而不是被动扫描,主动扫描对于测试IDS或IPS系统很有用,而被动扫描将不会被检测系统检测到。较短的驻留时间实际上可以避开难以管控的流量71.单选题Amold正在创建一个新的软件包,并使用了OpenSSL库。哪项术语最能描述他正在使用的库?A、开源B、COTSC、第三方D、托管答案：A解析：OpensSL包是一个广泛使用的TLS加密的应用,并且可作为开源包使用。它不是商业现成软件(COTS).虽然它可能由第三方开发,但将其描述为开源更为准确。该库可作为代码免费使用,但不能作为托管服务。72.#125

工业控制系统(ICS)计算机应急响应小组(CERT)已发布有关专门通过基于Windows的业务网络传播的以ICS为重点的恶意软件的警报。当地一家自来水公司的技术人员注意到，他们的水坝、运河和水闸由内部监督机构控制

控制和数据采集(SCADA)系统出现故障。在事件响应(IR)和恢复过程中咨询了数字取证专家。

以下哪一项是这项调查中最具挑战性的方面?A、集团政策实施B、SCADA网络延迟C、对系统的物理访问D、数据的波动性答案：D73.Alice想获得一个对象的读取权限,并且她知道Bob已经拥有这些权限,她希望Bob能将这些权限提供给自己。如果Alice和Bob之间存在关系,Take-Grant保护模型中的哪个规则将允许她完成此操作?A、获取规则B、授予规则C、创建规则D、远程规则答案：A解析：获取规则允许主体获得其他客体的权限,据此如果Alice可以获取Bob拥有的权限,那么这意味着她可授予自己和Bob同样的权限。74.单选题Darcy的组织正在部署无服务器计算技术,为了更好地满足开发人员和用户的需求。在无服务器模型中,谁通常负责配置操作系统安全控制?A、软件开发人员B、网络安全专家C、云架构师D、供应商答案：D解析：在无服务器计算模型中,供应商不会向其客户公开操作系统的详细信息。因此,在云计算的责任共担模型下,供应商保留对其进行安全配置的全部责任。75.单选题当卫星互联网是唯一可用的选择时,需要高性能互联网连接的系统通常担心什么?A、安全性B、与LiFi等协议的兼容性C、与Zigbee等协议的兼容性D、延迟答案：D解析：大多数现有的卫星互联网系统具有相对较高的延迟。较新的低地球轨道卫星(如Starlin似乎比高轨道卫星提供更好的延迟,但对于基于卫星的系统来说,延迟和易受天气干扰都是常见的问题。76.#223

在购买新软件的过程中，必须在哪个过程中考虑安全性?A、征求建议书(RFP)B、实施C、供应商选择D、合同谈判答案：A77.#87

以下哪项最好地描述了软件取证的目的?A、解析恶意软件可能的恶意意图B、执行循环冗余校验(CRC)验证并检测更改的应用程序C、确定代码的作者和行为D、审查程序代码以确定后门的存在答案：C78.状态防火墙工作在OSI模型中的哪一层？A、网络层＋传输层B、数据链路层＋网络层C、应用层＋传输层D、应用层＋网络层答案：A79.单选题Ryan是保险公司的安全风险分析员。近期由于公司网站应用丢失补丁,黑客可能使用SQL注入袭击来破坏网站服务器,他最近正在进行安全检查。在该情况下,威胁是什么?A、未打补丁的网络应用B、网站破坏C、黑客D、操作系统答案：C解析：风险是威肋和脆弱性的结合,威肋是试图破坏系统安全的外部力量。在本题中,脆弱性指系统的内部漏洞,也就是没打补丁。此时,如果黑客(威胁)尝试针对未修补的服务器(漏洞)的SQL注入攻击,会引起网站崩溃。80.一家医药企业在自己的网站上，没有通知用户的情况下肆意收集信息，你作为企业的ciso应该参考什么政策予以指导A、hippaB、第四修正案C、GLBAD、不相关答案：A81.n使用什么速度和频率范围?A、54Mbps,5GHzB、200+Mbps,5GHzC、200+Mbps,2.4D、1Gbps,5GHz答案：C解析：802.11n可以超过200Mbps的速度运行,并且它可在2.4GHz和5GHz的频率范围上运行。802.11g使用2.4GHZ频率范围以54Mbps运行,而802.11ac可在5GHz范围内以1Gbps运行。802.11a和b都已经过时,它们在现代网络设备中不太可能遇到。82.单选题Tim是一个取证分析师,试图从硬盘驱动器检索信息。看起来,用户已试图擦除了数据,而Tim正在尝试重建它。Tim执行的是什么类型的取证分析?A、软件分析B、介质分析C、嵌入式设备分析D、网络分析答案：B解析：对硬盘驱动器进行取证分析是介质分析的例子。嵌入式设备分析会查看大型系统中的计算机,如汽车中的安全系统。软件分析涉及应用程序及其日志。网络分析考察的是网络流量及其日志。83.#364

为了执行安全审计，应存在以下哪项?A、审计师的中立B、审计所依据的行业框架C、外部（第三方）审计师D、内部认证审计师答案：B84.单选题Yolanda正在完成一个配置信息文件,该文件说明了组织中系统应该具备的最低水平的安全配置请问这属于什么类型的文件?A、策略B、基线C、指南D、程序答案：B解析：基线提供整个组织中每个系统必须满足的最低安全级别。85.#203

安全信息和事件管理(SIEM)系统的管理员必须确保以下哪一项?A、所有源都与一个公共时间参考同步。B、所有来源都以完全相同的可扩展标记语言(XML)格式报告。C、数据源不包含违反隐私规定的信息。D、每个来源都使用相同的Internet协议(IP)地址进行报告。答案：A86.单选题Helen的任务是在她的组织中实施安全控制,这些控制用于阻止内部欺诈活动。以下哪种机制对她的工作最无用?A、轮岗B、强制休假C、事件响应D、两人控制答案：C解析：工作轮换和强制休假通过增加检测的可能性来阻止欺诈。两人控制通过需要两名员工之间串通来阻止欺诈。事件响应通常不作为威摄机制。87.单选题Chris正在解决其组织的SIEM报告中的一个问题。在分析了这个问题之后,他认为来自不同系统的日志条目上的时间戳是不一致的。他可以使用什么协议来解决这个问题?A、SSHB、FTPC、TLSD、NTP答案：D解析：网络时间协议(TheNetworkTimeProtocol,NTP)允许系统时钟与标准化时间源同步。安全壳(SecureShell,SSH)协议提供与服务晶之间的加密管理连接。文件传输协议(FileTransferProtocol,FTP)用于数据交换。传输层安全性(TransportLayerSecurity,TLS)是一种加密过程,用于保护通过网络传输的信息。88.单选题以下哪些组织被广泛视为基于Web攻击载体信息的权威来源?A、(ISB、2C、ISACAD、OWASPE、Mozilla答案：C解析：开放Web应用程序安全项目(OWASP)被认为是Web应用程序安全问题最权威的来源。他们发布OWASPTop10,公布最重要的Web应用程序安全问题。89.单选题Bobby正在调查授权的数据库用户如何获取其正常许可级别以外的信息。Bobby认为用户正在使用一种总结数据的函数类型。什么术语描述这种类型的功能?A、推理B、多态C、聚合D、模块化答案：C解析：聚合函数总结大量数据,并且只以摘要形式展示出来。然而,精心设计的聚合函数可能在无意中揭露出敏感信息。90.#383

以下哪项功能在防止企业移动设备上被盗的数据被盗方面最有效?A、具有设备擦除功能的移动设备管理(MDM)B、带有地理位置的移动设备跟踪C、具有流量加密的虚拟专用网络(VPN)D、使用密钥托管的全设备加密答案：A91.单选题一个美国政府数据库包含秘密、机密和绝密数据,该数据库应该被分类为哪个级别?A、绝密B、机密C、秘密D、混合分类答案：A解析：当存在多种分类级别时,应该按照最高的级别对数据进行分类。在这种情况下,美国政府的最高分类是绝密。混合分类不是有效分类方案。92.#216

在对组织信息安全管理系统(ISMS)进行内部审核期间，会发现不符合项。组织在以下哪些管理阶段审查、评估和/或纠正不合格?A、评估B、规划C、改进D、操作答案：D93.Robert是一家小型企业的网络管理员,最近安装了一个新的防火墙。在看到异常繁重的网络流量迹象后,他检查了入侵检测系统,报告说Smurf攻击正在进行。Robert可通过哪些防火墙配置更改来最有效地防止这种攻击?A、阻止攻击的源IP地址B、阻止入站UDP流量C、阻止攻击的目的IP地址D、阻止入站ICMP流量答案：D解析：Smurf攻击结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,导致目标系统拒绝为正常系统服务。阻止此攻击的最有效方法是阻止入站ICMP流量。阻止源地址是不可行的,因为攻击者可更换源地址。阻止目标地址可能影响正常活动。Smurf攻击不使用UDP,因此阻止UDP流量没有作用。94.单选题Joan正在试图保护她的一个电脑软件,该软件是根据知识产权法开发的。以下哪种保护途径不适用于软件?A、商标B、版权C、专利D、商业密答案：A解析：商标会保护代表产品或服务的特定词语和图像,但不保护计算机软件,95.Colleen正为组织进行业务影响评估。哪个指标描述了组织在服务崩溃的情况下不造成巨大损害的最长时间?A、MTDB、ALEC、RPOD、RTO答案：A解析：最大允许停机时间(MTD)是在不造成严重损害的情况下组织能够接受的最长停机时间,该指标有时也称为最大允许中断(MTO)。96.单选题1分Jim的MicrosoftExchange环境包括位于世界各地多个业务办事处的本地数据中心的服务器中,同时为不在这些办事处中的员工部署了Office365。身份在这两种环境中创建和使用。Jim运行的是什么类型的联合系统?A、一个主要的云系统B、一个主要的内部署系统C、一个混合系统D、一个多租户系统答案：C解析：混合系统同时使用本地和云的身份和服务,在这两种环境中提供资源和工具。虽然它们可能很复杂,但混合系统也为完全云部害或容错设计提供了迁移路径,并且该设计可以在保持功能的同时,处理内部部署或云中断。97.单选题Greg公司最近经历了涉及许多客户个人数据的重大泄露事件。他们应该审查违反了哪些法律,以确保他们适当的行动?A、他们违反总部所在州的法律B、他们做生意的国家的违反法律C、只违反了联邦的法律D、违反法律仅涵盖政府机构,而非私营企业答案：B解析：一般而言,公司应该了解他们开展业务地区可能违反的任何法律。美国各州有许多不同的法律和要求,这意味着在这种情况下,Greg的公司可能需要审阅许多不同的可能违反的法律,以确定他们在各州内或与州居民开展业务时遵守那些法律。98.#22

哪些行业认可的文件可用作与数据安全和业务运营或进行安全评估相关的基准参考?A、服务组织控制(SOC)1类型2B、服务组织控制(SOC)1类型1C、服务组织控制(SOC)2类型2D、服务组织控制(SOC)2类型1答案：D99.单选题以下哪项不是多层协议的问题?A、它们可以允许绕过过滤器和规则B、它们可以在更高的OSI级别运行C、他们可以允许隐蔽随道D、它们可以允许绕过网段边界答案：B解析：多层协议的共同问题是它们可以绕过过滤器,允许或创建隐蔽通道,并允许绕过网段边界。在更高的OSI层级别运行的能力通常被认为是一种好处100.#257

两台计算机，每台计算机在同一个物理10Gb以太网网段上都有一个连接，需要相互通信。

第一台机器有一个单一的互联网协议(IP)无类别域间路由(CIDR)地址/30，第二台机器有一个IP/CIDR地址/30。以下哪项是正确的?A、由于每台计算机位于不同的第3层网络上，因此计算机之间的流量必须由网桥处理才能进行通信B、由于每台计算机都在同一个第3层网络上，因此计算机之间的流量可能由网络路由器处理，以便进行通信C、由于每台计算机都在同一个第3层网络上，因此计算机之间的流量可以通过网桥进行处理，以便进行通信D、由于每台计算机位于不同的第3层网络上，因此计算机之间的流量必须由网络路由器处理才能进行通信答案：D101.#84

以下哪项是确保远程用户使用的端点设备在被允许进入网络之前符合组织批准的策略的最有效方法?A、网络访问控制(NAC)B、特权访问管理(PAM)C、组策略对象(GPO)D、移动设备管理(MDM)答案：A102.#451

在设计访问控制系统的体系结构时，确定机密性和受控的信息访问是主要关注点。以下哪个安全模型是组织的最佳选择?A、毕巴诚信模式B、克拉克-威尔逊模型C、Bell-LaPadula模型D、Brewer-Nash模型答案：C103.单选题材料11:Chris正在为他的组织设计分层的网络安全。使用下面的图表,请回答下面3个问题问题。如果VPN授予远程用户与本地工作站具有相同的网络和系统资源访问权限,Chris会提出什么安全问题?A、VPN用户将无法访问Web服务晶B、没有额外的安全问题;VPN集中晶的逻辑网络位置与工作站的逻辑网络位置匹配。C、VPN绕过了防火墙,造成额外风险D、VPN用户只应从托管的PC连接答案：D解析：连接到受保护网络的远程PC在安全设置和标准方面应该和内部网络相匹配。VPN集中器在逻辑上将远程用户放在防火墙后的受保护区域中,但这意味着用户工作站(和用户)必须像本地工作站那样受信任。104.单选题终端安全系统部署最常见的挑战是什么?A、破坏B、数据量C、监控网络上的加密流量D、处理非TCP协议答案：B解析：终端安全解决方案由于可以创建大量的数据而面临挑战。当每个工作站都生成关于事件的数据时,这可能产生大量数据。终端安全解决方案应该在实际实施时减少折中方案,而且在本地主机上解密后对流量进行监视将有助于解决数据量带来的挑战。最后,非TCP协议在现代网络上相对少见,因此这些都不是终端安全系统所担心的问题。105.在TCSEC中，安全级别最高的控制措施是：A、自主保护B、标签保护C、结构保护D、验证保护答案：D106.单选题1分Kathleen需要设置ActiveDirectory信任,从而允许使用现有KerberosK5域进行身份验证,请问她需要创建什么类型的信任?A、快捷信任B、森林信任C、外部信任D、领域信任答案：D解析：Kerberos使用领域,并为需要连接到K5域的ActiveDirectory环境设置的适当信任类型,这是一种领域信任。快捷信任是域树或部分树之间的传递信任,可缩短信任路径。森林信任是两个林根域之间的传递信任,外部信任是独立森林中AD域之间的非传递信任。107.#440

以下哪一项是关于数据管理角色和职责的关键目标之一?A、确定数据质量指标。B、定义重要数据的所有权而不考虑功能。C、在项目的最后阶段建立数据所有权。D、安装数据问责制。答案：D108.Nikto为什么会标记.test目录?A、test目录允许对PHP的管理访问B、它用于存储敏感数据C、测试目录通常包含可被滥用的脚本D、它表示潜在的危害答案：C解析：测试目录可能包括一些欠缺保护的脚本，或者包含一些可能被滥用的其他数据。没有默认的测试目录允许对PHP的管理访问。测试目录通常不用于存储敏感数据。测试目录并不代表危害。109.#188

在测试工业控制系统(ICS)的安全漏洞时，主要考虑什么?A、ICS通常在UNIX操作系统上运行。B、ICS通常没有可用性要求。C、ICS通常对意外流量很敏感。D、ICS通常是孤立的，难以访问。答案：C110.单选题什么被动监控技术记录所有用户与应用程序或网站的交互,来确保质量和性能?A、客户端.服务器测试B、真实用户监控C、合成用户监控D、被动用户记录答案：B解析：真实用户监控(RUM)是一种被动监控技术。RUM通常是部署实际用户界面过程的一部分。其他答案选项都是虚造的,综合监控使用模拟的行为,但综合用户监控并非测试方法。被动用户记录也不是专业术语,但被动监控是存在的,它监控的是实际流量。客户端服务器测试仅描述一种可能的架构。111.单选题上述这些数据的分类级别分别是什么?A、未分类的、机密、绝密B、公共、敏感、私有C、公共、敏感、专有D、公共、机密、私有答案：C解析：客户共享数据是公共的,内部业务数据敏感的或私有的,以及商业秘密是专有的。因此,公共、敏感、专有的匹配最紧密。机密是一种军事分类,它排除了剩余的两个选项,商业秘密比私有分类的数据在丢失后会带来更多损失。112.单选题Ken很难将来自组织中不同安全团队的信息关联起来。具体来说,他希望找到一种以一致方式来描述操作系统的方法。什么SCAP组件可以帮助他?A、CVEB、CPEC、CWED、OVAL答案：B解析：SCAP的通用平台枚举(monPlatformEnumeration,CPE)组件提供了一种引用操作系统和其他系统组件的一致方法。常见漏洞和暴露(monVulnerabilitiesandExposures,CVE)组件提供了一种引用安全漏洞的一致方法。常见的弱点列举(monWeaknessEnumeration,CWE)组件有助于描述软件缺陷的根本原因。开放漏洞和评估语言(OpenVenerabilityandAssessmentLanguage,OVAL)标准化了漏洞评估过程的步骤。113.#367

哪种审计类型最适合评估安全计划的有效性?A、解析B、威胁C、评估D、验证答案：C114.单选题什么类型的灭火器仅对普通可燃物有用?A、A类B、B类C、C类D、D类答案：A115.#353

以下哪一项是针对中间人(MITM)互联网协议语音(VoIP)攻击的最佳缓解做法?A、使用安全外壳(SSH)协议B、使用文件传输协议(FTP)C、使用传输层安全(TLS)协议D、使用媒体网关控制协议(MGCP)答案：C116.#97

公司需要向外部业务合作伙伴提供对云存储上敏感数据的共享访问。以下哪种身份模型最适合盲人身份提供者(IdP)和依赖方(RP)，以免泄露其他方的订户名单?A、代理联盟B、动态注册C、联邦当局D、静态注册答案：A117.单选题1分Alex已被他的公司聘用了十多年,并在公司担任过多个职位。在审计期间,发现由于他以前的角色,他能访问共享文件夹和应用程序。Alex的公司遇到了什么问题?A、过度服务开通B、未授权访问C、特权蠕变D、账户审查答案：C解析：当用户从以前拥有的角色中保留他们不需要完成当前作业的权限时,会发生特权蠕变。未授权的用户访问文件时会发生未经授权的访问。过度服务开通不是用于描述权限问题的术语,而账户审查有助于发现这样的问题。118.#225

在前往高风险国家旅行时，以下哪项措施是保护计算机、智能手机和外部存储设备数据的最佳方法?A、查看适用的目的地国家/地区法律，在旅行前对设备进行取证清洁，并且仅在到达目的地后通过虚拟专用网络(VPN)下载敏感数据。B、利用虚拟专用网络(VPN)上的安全套接字层(SSL)连接在到达目的地时下载敏感数据。C、将不使用的笔记本电脑、外部存储设备和智能手机放在酒店房间内。D、使用多因素身份验证(MFA)访问存储在笔记本电脑或外部存储设备上的数据，并使用生物识别指纹访问控制机制来解锁智能手机。答案：D119.单选题Alan正在将Java代码部署到他环境中的各种机器上,同时必须首先在这些机器上安装JVM。在这种情况下,哪个术语最恰当描述了JVM?A、存储库B、变更管理器C、运行时D、沙盒答案：C解析：JVM是运行时虚拟机,允许在设备上执行Java代码。JVM实现了Java沙箱,但这只是其众多功能之一。JVM本身不是变更管理器或代码存储库。120.单选题Elaine在她的组织使用的产品中发现了一个以前未知的严重漏洞。她的组织对道德披露有着坚定的承诺,Elaine希望遵循常见的道德披露实践。她首先应该做什么?A、建立内部修补或控制,然后公开披露漏洞,提示供应商快速修补B、建立内部修补或控制,然后将问题通知供应商C、通知供应商并给他们合理的时间来解决问题D、公开披露漏洞,以便供应商在适当的时间内对其进行修补答案：C解析：道德(或负责任)披露规范包括通知供应商并为他们提供合理的时间来修补问题。在大多数情况下,在通知供应商之前或在短时间内公开披露被认为是不道德的。虽然这个时间框架各不相同,但由于软件和其他技术的复杂性,90到120天在整个行业中是常见的。121.单选题根据该情景的信息,AtwoodLanding数据中心的龙卷风影响暴露因子是多少?A、10%B、25%C、50%D、75%答案：C解析：在灾难发生时,预估财产损失值占总资产的比重称为暴露因子。它是用预估的财产损失值除以资产总值计算出来的,这种情况下,预估损失为500万美元,除以1000万美元的总价值,结果为50%。材料13:请参考以下场景,回答4个问题:Susan正在为她的组织的分支机构设计新的网络基础架构122.单选题Lauren使用ping工具检查远程系统是否开启以及是否可作为渗透测试实践的一部分。如果她想要通过协议过滤找出ping,应该从数据包嗅探日志中过滤出什么协议?A、UDPB、TCPC、IPD、ICMP答案：D解析：Ping使用ICMP(因特网控制报文协议)来确定系统是否正常响应以及在源系统和远程系统之间存在多少跳。Lauren只需要过滤出ICMP即可达到要求,而不用直接寻找ping。123.#157

组织希望确保所有新用户在创建时都应用了预定义的部门访问模板。该组织还希望在每个项目的基础上授予用户额外的访问权限。哪种类型的用户访问管理最适合满足组织的需求?A、去中心化B、混合C、集中式D、联合的答案：B124.单选题什么加密算法既可用于BitLocker也可用于Microsoft的加密文件系统?A、BlowfishB、SerpentC、AESD、3DES答案：C解析：默认情况下,BitLocker和Microsoft的加密文件系统(EFS)都使用AES(高级加密标准),这是NIST批准的DES(数据加密标准)的替代版本。Serpent是AES的竞争对手,3DES是作为DES的替代品。125.单选题Florian接到美国联邦政府机构的通知,新的行政法律将影响他的业务运营。他应该在哪里寻找该法律文本?A、美国法典B、联邦最高法院规则C、联邦管理法规D、法律纲要答案：C解析：联邦管理法规(CFR)包含联邦机构须布的所有行政法律文本。美国法典包含刑法和民法。最高法院的裁决只包含对法律的解释,而不是法律文本本身,不存在法律纲要。126.单选题Chris管理一个系统管理员团队。若他们执行分类程序的步骤6、7和8,他们履行的是什么数据角色?A、他们是系统所有者和管理员B、他们是管理员C、他们是数据所有者和管理员D、他们是管理员和用户答案：B解析：系统管理员在上述流程中的主要工作是授予数据管理员访问权限,其次负责落实安全控制措施。他们不直接拥有数据本身,因此不是数据所有者。通常,系统管理员由系统所有者(例如部门主管)授予权限。材料6:根据以下场景,回答下面3个问题Chris最近被一家新的组织雇佣,该组织使用以下分类计划(1)设置分类数据的标准(2)为每类数据指定所有者(3)分类数据(4)为每个类别选择要求的控制(5)为组织选择安全基线(6)研究并调整控制(7)应用并执行控制(8)授权并管理访问127.#250

在IDEAL加密系统中，谁可以单独访问解密密钥?A、数据保管人B、系统所有者C、系统管理员D、数据所有者答案：D128.#50

在季度系统访问审查中，发现了一个在生产系统的先前审查中不存在的活动特权帐户。

该帐户是在上次访问审核后一小时创建的。除了季度访问审查之外，以下哪一项是降低总体风险的最佳选择?A、实施双年度审查。B、创建系统访问策略。C、实施和审查基于风险的警报。D、提高日志记录级别。答案：B129.#193

一家大型组织的人力资源和安全团队正计划实施技术以消除手动用户访问审查并提高合规性。以下哪个选项最有可能解决与用户访问相关的问题?A、实施特权访问管理(PAM)系统。B、实施基于角色的访问控制(RBAC)系统。C、实施身份和访问管理(IAM)平台。D、实施单点登录(SSO)平台。答案：C130.在对系统进行修改之前,哪项业务流程通常需要管理员签字同意?A、SDNB、发布管理C、变更管理D、版本控制答案：C解析：变更管理通常需要在更改之前由管理员或主管签字。这有助于确保适当的意识和沟通。SDN代表软件定义的网络,发布管理是新软件发布所接受的过程,版本控制用于区分软件、代码或其他对象的版本。131.单选题建立了无线网络之后,Susan继续确保网络即使发生中断也能保持运行。如果发生断电或其他临时电源问题,她可以确保她的网络设备(包括她的路由器、接入点和网络交换机)保持工作状态的最简单方法是什么?A、购买并安装带有自动启动功能的发电机B、为所有网络设备部署双电源C、安装UPS系统以覆盖所有必须保持在线的网络设备D、与多个不同的电力公司签订冗余电力合同。答案：C解析：UPS系统或不间断电源设计用于在短暂的电源中断期间提供备用电源,范围从电源骤降和断电到临时电源故障,对于更长时间的停电,如果可能的话,Susan仍然需要一台发电机,甚至需要来自另一个电网或供应商的辅助电源,但对于目前这个常见,UPS将满足她的需求。当一个电源失去电力时,双电源会有所帮助,这对于她最关键的网络设备来说是一个好方案,但很少为接入点或边缘交换机等边缘设备配备双电源。材料13:请参考以下场景,回答4个问题:Susan正在为她的组织的分支机构设计新的网络基础架构132.单选题分段、序列和错误检查都发生在与SSL、TLS和UDP相关联的OSI模型的第几层?A、传输层B、网络层C、会话层D、表示层答案：A解析：传输层提供设备之间的逻辑连接以确保数据被成功地传递,包括端到端的传输服务。传输层协议包括TCP、UDP、SSL和TLS。133.根据“数字千年版权法案”(DMCA)的条款,下列哪个群体有资格获得安全港保护?A、音乐制作人B、图书出版商C、互联网服务提供商D、银行答案：C解析：“数字千年版权法案(DMCA)为提供互联网服务的运营商提供安全港保护,这些ISP只作为以传输为目的的公共载体来处理信息。134.单选题Andrea运行的自动化代码测试和集成(作为组织CI.CD管道的一部分)出错了。如果公司需要代码立即上线,Andrea应该如何处理这些代码?A、手动绕过测试B、查看错误日志以确定问题C、重新运行测试以查看它是否有效D、将代码发送回开发人员进行修复答案：B解析：虽然处理错误和异常可能是一门艺术,但在这种情况下要做的第一件事是查看错误日志和通知,尝试找出问题所在。从那里,Andrea可以决定修复问题、发回代码以进行修复或采取其他措施。如果错误发生在测试完成后并且与流程或其他非关键元素有关,她甚至可能会选择向前转发代码,但只有在她绝对确定情况确实如此时才会这样做。135.单选题在漏洞扫描时发现系统关键漏洞后,应该执行哪些步骤?A、修补B、报告C、补救D、验证答案：D解析：一旦漏洞扫描程序识别出潜在问题,接着需要进行验证,以验证问题是否存在。漏洞被确认后,可执行报告、修补或其他补救措施。136.#209

在处理安全事件的后果时，以下哪些安全控制措施最合适?A、侦查和恢复控制B、纠正和恢复控制C、预防和纠正控制D、恢复和主动控制答案：B137.单选题A、的规定。青少年在互联网上提供个人信息时,需要征得父母的同意,其年龄要求是多少岁以下?B、13C、15D、17E、18答案：A解析：COPPA(儿童在线隐私保护法案)要求网站在收集13岁以下儿童的个人信息时需要事先征得其家长同意。138.单选题以下真值表描述了什么逻辑操作?A、或B、和C、异或D、或非答案：C解析：当且仅当输入值中只有一个为真,另一个为假时,异或(XOR)运算结果为真。139.小明是A公司的安全管理员，他们公司有着比较多的专有数据，但是fbi怀疑他们公司数据库藏有犯罪线索，小明也怀疑自己的家人可能与犯罪相关，小明应该怎么办？A、不予理会，公司资料隐私法保护B、让fbi找法务处理C、把全部的数据库资料展示给fbiD、只把部分相关资料展示给fbi答案：B140.单选题以下哪种测试方法通常不必访问源代码即可正常工作?A、动态测试B、静态测试C、白盒测试D、代码审查答案：A解析：软件动态测试通常发生在黑盒环境中,测试程序无法访问源代码。静态测试、白盒测试和代码审查方法都需要访问应用程序的源代码。141.单选题以下哪个选项会使用自签名数字证书?A、电子商务网站B、银行应用C、内部计划应用D、客户门户答案：C解析：自签名数字证书只应用于面向内部的应用程序,其中用户信任由组织内部生成的数字证书。142.要培养目标远大，应急能力强的安全人员，需要A、培训B、信息安全认证C、教育D、意识答案：A143.单选题Ron领导着一个软件开发团队,他们发现自己经常重新创建执行常见功能的代码。他可以使用什么软件开发工具来最好地解决这种情况?A、代码存储库B、代码库C、IDD、DESE、DAST答案：B解析：代码库是可重用功能的包,可以合并到各个开发项目中。Ron可以使用库在他的团队之间轻松共享代码。代码存储库可用于管理这些库的分发和更新,但这是第二选择,因此代码库才是最佳答案。集成开发环境(IDE)是开发人员用来创建软件的工具,而动态应用程序安全测试(DAST)则用于验证代码的正确实现。144.单选题Henry想验证他的备份是否有效。以下哪个选项是他确保备份在真正的灾难恢复场景中有用的最佳方式?A、定期恢复随机文件以确保备份工作正常B、定期检查配置和设置以验证备份设置C、查看备份日志以确保没有发生错误D、定期从备份执行完整还原以验证其成功答案：D解析：所有这些都是备份策略的有用部分,但定期从备份执行完整还原是列出的最佳选项。如果定期执行恢复,而且单个文件将是可恢复的,但单个文件可能不会显示更大的备份问题。配置和设置审查很重要,但不会验证备份本身,错误消息可能表明存在问题,但也不会显示完整的日志。145.单选题安全团队可在蜜罐系统上使用以下哪种方式来消耗攻击者的时间,同时提醒管理员?A、蜜罐网络B、圈套C、警告横幅D、暗网答案：B解析：圈套是系统中的一个假漏洞,它可能引起攻击者的注意。蜜罐网络是由多个蜜罐组成的网络,为入侵者营造了更复杂的环境。暗网是未使用的网络地址空间的一部分,这部分空间中没有网络活动,因此可以方便地用于监视非法活动。警告横幅是一个法律工具,它用于通知入侵者:他们未被授权访问系统。146.#195

组织正在实施安全审查作为系统开发的一部分。以下哪项是最好的技术?A、执行增量评估。B、聘请第三方审计公司。C、审查安全架构。D、进行渗透测试。答案：A147.单选题在端口扫描期间,Susan发现,一个系统在工作时需要使用以下端口:TCP和UDP的137~139端口、TCP445端口和TCP1433端口。请问这可能是什么系统?A、一个Linux电子邮件服务器B、一个WindowsC、一个Linux文件服务器D、一个Windows工作站答案：B解析：TCP和UDP的137-139端口用于NetBIOS服务,而445端口用于ActiveDirectory服务。TCP1433是MicrosoftSQL的默认端口,表示这可能是提供SQL服务的Windows服务器。148.什么原则要求一个人应该尽力准确和及时地履行他的职责?A、最低特权B、职责分离C、应尽关注D、应尽职责答案：D解析：“应尽关注”原则规定,一个谨慎明智的人在处理问题时的谨慎程度应该和该问题的重要级别成正比,这其实是一个非常宽泛的标准。“应尽职责”原则是“应尽关注”原则的一种更具体的体现,它规定一个人一旦被分配了任务,应该准确和及时地完成任务。149.#221

使用带有身份验证标头(AH)的虚拟专用网络(VPN)时提供以下哪项保护?A、发件人不可否认性B、多因素身份验证(MFA)C、有效载荷加密D、发件人保密答案：A150.为了预防利益冲突而设定的安全模型是A、blpB、bibaC、长城（Brewer＆Nash）D、不是clack另一个不相关的答案：C151.单选题网络设备、Linux系统和Unix系统等通常使用哪种消息日志记录标准?A、SyslogB、NetlogC、EventlogD、远程日志协议(RLP)答案：A解析：Syslog是一种广泛使用的事件和消息记录协议。Eventlog、Netlog和远程日志协议都是虚构的术语。152.#4

在处理网络犯罪时，刑法难以执行的主要原因是什么?A、管辖权很难界定。B、执法机构人手不足。C、引渡条约很少得到执行。D、存在许多语言障碍。答案：A153.单选题什么类型的策略描述了数据销毁前保留的时长?A、分类B、审查C、记录保留D、有效性答案：C解析：记录保留策略描述了组织应保留数据的时长,还可以指定销毁方式和销毁时间。分类策略描述了分类方式、分类原因和分类负责人,同时可用性和审计策略用于特定的目的。154.Ben打算运行一个开放(未加密)的无线网络,请问他应该如何将商业设备连接到此无线网络中去?A、在同-SSID上运行WPA2B、使用WPA2设置单独的SSIDC、在企业模式下运行开放网络D、使用WEP设置单独的无线网络答案：B解析：许多现代无线路由器可提供多个SSID(服务集标识)。Ben可为他的业务操作创建一个私人的、安全的网络,但他需要确保客户使用的网络和业务使用的网络由防火墙隔开,在逻辑上保证彼此分离。在不创建另一个无线网络的情况下,不可能在单个SSID上运行WPA2,因为SSID没有强制要求是唯一的,因此会对客户造成混淆。在企业模式下运行的网络一般不是开放网络。WEP(有线等效保密)由于其很容易受到攻击,因此已经过时。材料27:根据以下情景回答后面的3个问题:Ben拥有一家咖啡馆,他希望为客户提供无线上网服务。Ben的网络很简单,按照商业电缆数据合同,将无线路由器和有线调制解调器连接起来。使用Ben的网络信息,回答以下问题。155.单选题Nikto、BurpSuite和Wapiti都是什么类型工具?A、Web应用程序漏洞扫描器B、代码审查工具C、漏洞扫描器D、端口扫描器答案：A解析：Nikto、BurpSuite和Wapiti都是Web应用程序漏洞扫描器,是用于专门扫描Web服务晶和应用程序的工具。虽然这些工具共有一些漏洞扫描體和端口扫描晶的功能和特性,但有着各自的关注点。156.单选题Joe在一家大型药物研发公司工作,负责制定数据保留策略。公司必须遵守美国联邦食品药物管理法案第21条,要求保留带电子签名的记录,请问为什么作出如此规定?A、它保证有人查看过该数据B、它提供了保密性C、它保证了数据未曾变更D、它证实是谁批准了该数据答案：D解析：本题中所用的电子签名可证明谁审核过数据。作为FDA(美国联邦食品药物管理局)专用代码的一部分,电子签名是用来确保电子记录“可信赖、可靠并且相当于手写签名”。签名不能提供机密性或完整性,而且无法确保某人审查过该数据。157.单选题Harry想要从使用m=4且n=8的n分之m控制的数据库中取回丢失的加密密钥。取回该密钥要求的最少第三方代理人数是多少?A、2B、4C、8D、12答案：B解析：在n分之m的控制系统中,至少有n分之m个代理人协作才能从托管数据库中检索加密密钥。158.#267

系统工程师正在为新组织设计广域网(WAN)环境。WAN将连接持有各种敏感级别信息的站点，从公开可用到高度机密。组织需要高度的互连性来支持现有的业务流程。保护这种环境的最佳设计方法是什么?A、使用反向代理为关键系统创建辅助“影子”环境。B、在关键设备周围放置防火墙，将它们与环境的其余部分隔离。C、在环境周边分层多种检测和预防技术。D、协调所有相互关联的元素的风险，以确保检测和处理关键威胁。答案：B159.单选题Gina正在努力保护公司将用于推出新产品的logo,她对该logo的知识产权保护流程有疑问。哪个美国政府机构最能回答她的问题?A、美国专利商标局B、国会图书馆C、美国国家安全局D、国家标准与技术研究所答案：A解析：首先,你必须意识到商标是logo的正确知识产权保护机制。因此,Gina应联系负责商标注册的美国专利商标局(USPTO)。国会图书馆管理版权计划。美国国家安全局(NSA)和国家标准与技术研究所(NIST)在知识产权保护方面没有发挥任何作用。160.单选题Lauren的公司如何最好地满足内部系统A和C的用户安全即时消息的需求?A、使用第三方即时消息服务B、实现和使用本地托管的IM服务C、使用HTTPSD、停止使用IM，改为使用电子邮件，这样更安全答案：B解析：如果业务需要即时消息，那么使用本地即时消息服务器是最好的选择。这可防止流量传输到第三方服务器，并可提供额外好处，例如记录、归档和控制安全，控制安全的方法之一就是使用加密。161.单选题在端口扫描期间,Lauren发现TCP443端口打开。以下哪个工具可以扫描该端口?A、zzufB、NiktoC、MetasploitD、Sqimap答案：B解析：TCP的443端口通常用来指示HTTPS服务器。Nikto对于扫描Web服务器和应用程序的漏洞很有用,是用于Web服务器的最佳选择。Metasploit包括一些扫描功能,但不是一个专用于扫描漏洞的工具。zzuf是一个模糊工具,与漏洞扫描无关,sqlmap是一个SQL注入测试工具。162.#335

医院的建筑控制系统监控和操作环境设备，以保持安全和舒适的环境。以下哪项可用于将公用事业供应中断的风险降至最低?A、能够最大限度地减少对关键公用设施的不利影响的数字保护和控制设备B、与医院网络高度连接的标准化楼宇控制系统软件C、将可能影响关键公用事业供应的建筑控制系统访问锁定为维护人员D、可以关闭设备并持续快速循环以增加供应并隐藏医院网络活动的数字设备答案：A163.单选题Lauren希望对她正在使用的应用程序使用软件审查流程。如果她是一名与其他团队工作时间不同的远程工作人员,以下哪种流程最有效?A、传递B、结对编程C、团队审查D、Fagan检查法答案：A解析：传递审查通常通过电子邮件或使用中央代码审查系统完成,允许开发人员异步审查代码。结对编程需要两个程序员一起工作,一个编写代码,另一个审查和跟踪进度。团队审查通常在一个小组中完成,而Fagan检查是一个正式的审查流程,涉及开发人员和团队使用正式流程审查代码。164.单选题合成和被动监控有什么主要区别?A、合成监控只有在发生问题后才能工作B、被动监控无法检测功能问题C、被动监控只有在发生问题后才能工作D、合成监控不能检测功能问题答案：C解析：由于需要实际的流量信息,被动监控只有在问题发生后才能工作。综合监控使用模拟或记录的流量,因此可用来主动识别问题。综合监控和被动监控都可以用来检测功能问题。165.什么标记语言使用请求权限、供应服务点和供应服务目标的概念来处理其核心功能?A、SAMLB、SAMPLC、SPMLD、XACML答案：C解析：服务配置标记语言(SPML)使用请求权限向配置服务点发出SPML请求。配置服务的目标通常是用户账户,并且在配置服务时数据必须要有唯一标识。SAML(安全声明标记语言)用于安全声明,SAMPL是一种代数建模语言,XACML(扩展访问控制标记语言)是一种访问控制标记语言,它采用XML格式来描述和处理访问控制策略。166.单选题Ursula是一名在政府工作的Web开发人员,她最近创建了一个提供属性记录的公共应用程序。她想让开发人员可以用到,并且可以集成到他们的应用程序中。Ursula创建了什么可使开发人员更容易地直接调用她的代码,并将输出集成到收量他们的应用程序中?A、对象模型B、数据字典C、APID、主键答案：C解析：虽然Ursula可能在她的开发工作中使用对象模型、数据字典和主键,但外部开发人员不能直接使用它们来访问她的代码。应用程序编程接口(API)允许其他开发人员在自己内部调用Ursula的代码,而不必知道Ursula的实现细节。167.#289

系统开发人员要求应用程序在用户笔记本电脑上访问应用程序之前检查安全数字签名。哪种安全机制可以满足这一要求?A、可信平台模块(TPM)B、证书撤销列表(CRL)政策C、密钥交换D、硬件加密答案：A168.#292

强制访问控制(MAC)有什么用?A、允许基于敏感度的强制性用户身份和密码B、允许强制系统管理员对对象进行访问控制C、允许标记敏感用户帐户以进行访问控制D、允许基于标签表示的敏感度的对象安全性答案：C169.单选题Robert正与Be