CISSP官方模拟测试题

1.Angelaisaninformationsecurityarchitectatabankandhasbeenassignedto

ensurethattransactionsaresecureastheytraversethenetwork.She

recommendsthatalltransactionsuseTLS.Whatthreatisshemostlikely

attemptingtostop,andwhatmethodissheusingtoprotectagainstit?

Angela是一家银行的信息安全架构师，责任是确保交易在通过网络时是安全的。她

建议所有交易使用TLS。在这场景中，她最有可能试图阻止什么样的威胁，以及她

用什么方法来防范呢？

A.Man-in-the-middle,VPN中间人，VPN

B.Packetinjection,encryption数据包注入,力口密

C.Sniffing,encryption嗅探，加密

D.Sniffing,TEMPEST嗅探,TEMPEST

Answer:C

Encryptionisoftenusedtoprotecttrafficlikebanktransactionsfromsniffing.

Whilepacketinjectionandman-in-the-middleattacksarepossible,theyarefar

lesslikelytooccur,andifaVPNwereused,itwouldbeusedtoprovide

encryption.TEMPESTisaspecificationfortechniquesusedtopreventspying

usingelectromagneticemissionsandwouldn'tbeusedtostopattacksatany

normalbank.

加密通常用于保护流量，如银行交易免受嗅探。虽然数据包注入和中间人攻击是可

能的，但它们发生的可能性要小得多，而且如果使用VPN,它将用于提供加密。

TEMPEST是用于防止使用电磁辐射进行间谍活动的技术规范，不会用于阻止任何

正常银行的攻击。

2.COBIT,ControlObjectivesforInformationandRelatedTechnology,isa

frameworkforITmanagementandgovernance.Whichdatamanagementroleis

mostlikelytoselectandapplyCOBITtobalancetheneedforsecuritycontrols

againstbusinessrequirements?

COBIT（信息和相关技术的控制目标），是IT管理和治理的框架。哪个数据管理角

色最有可能选择和应用COBIT来平衡安全控制对业务需求的需求？

A.Businessowners企业所有者

B.Dataprocessors数据处理器

C.Dataowners数据所有者

D.Datastewards数据管理员

Answer:A

Businessownershavetobalancetheneedtoprovidevaluewithregulatory,

security,andotherrequirements.Thismakestheadoptionofacommon

frameworklikeCOBITattractive.Dataownersaremorelikelytoaskthatthose

responsibleforcontrolselectionidentifyastandardtouse.Dataprocessorsare

requiredtoperformspecificactionsunderregulationsliketheEUDPD.Finally,

inmanyorganizations,datastewardsareinternalrolesthatoverseehowdatais

used.

企业所有者必须平衡将价值与监管、安全和其他需求相结合的需要。这使得像

COBIT这样的通用框架具有吸引力。数据所有者更可能要求负责控制选择的人员确

定要使用的标准。数据处理器需要根据欧盟DPD等法规执行具体的行动。最后，

在许多组织中，数据管理员是监督数据如何使用的内部角色。

3.Whattermisusedtodescribeastartingpointforaminimum-security

standard?

用什么术语来描述最低安全标准的出发点？

A.Outline大纲

B.Baseline基线

C.Policy政策（策略）

D.Configurationguide酉己置指南

Answer:B

Abaselineisusedtoensureaminimum-securitystandard.Apolicyisthe

foundationthatastandardmaypointtoforauthority,andaconfigurationguide

maybebuiltfromabaselinetohelpstaffwhoneedtoimplementittoaccomplish

theirtask.Anoutlineishelpful,butoutlineisn^thetermyou'relookingforhere.

基线用于确保最低安全标准。策略是标准可能指向权威的基础，可以从基线构建配

置指南，帮助需要实施它的人员完成任务。大纲是有帮助的，但大纲不是你在这里

寻找的术语。

4.Whenmediaislabeledbasedontheclassificationofthedataitcontains,what

ruleistypicallyappliedregardinglabels?

当媒体（介质）根据其所包含的数据分类（密级）进行标记时，通常应用了哪些关

于标签的规则？

A.Thedataislabeledbasedonitsintegrityrequirements.数据根据其完整性要求

进行标记

B.Themediaislabeledbasedonthehighestclassificationlevelofthedatait

contains.媒体（介质）根据其包含的数据的最高分类（密级）等级进行标记

C.Themediaislabeledwithalllevelsofclassificationofthedataitcontains.媒体

（介质）上标记它所包含数据的所有分类（密级）等级

D.Themediaislabeledwiththelowestlevelofclassificationofthedatait

contains.媒体（介质）标记所含数据的最低分类（密级）等级

Answer:B

Mediaistypicallylabeledwiththehighestclassificationlevelofdataitcontains.

Thispreventsthedatafrombeinghandledoraccessibleatalowerclassification

level.Dataintegrityrequirementsmaybepartofaclassificationprocessbutdon't

independentlydrivelabelinginaclassificationscheme.

媒体（介质）通常以其所包含的最高分类（密级）等级的数据标记。这可以防止在

较低的分类（密级）级别处理或访问数据。数据完整性要求可能是分类（定级）过

程的一部分，但不能独立推动分类（定级）方案中的标签。

5.Theneedtoprotectsensitivedatadriveswhatadministrativeprocess?

保护敏感数据的需求驱动了什么管理性过程？

A.Informationclassification信息分类（定级）

B.Remanence残留

C.Transmittingdata数据传输

D.Clearing清除

Answer:A

Theneedtoprotectsensitivedatadrivesinformationclassification.Thisallows

organizationstofocusondatathatneedstobeprotectedratherthanspending

effortonlessimportantdata.Remanencedescribesdataleftonmediaafteran

attemptismadetoremovethedata.Transmittingdataisn'tadriverforan

administrativeprocesstoprotectsensitivedata,andclearingisatechnical

processforremovingdatafrommedia.

保护敏感数据的需要会驱动信息分类(定级)。这使得组织可以专注于需要保护的

数据，而不在不太重要的数据上费力。残留描述了在尝试删除数据后仍遗留在媒体

上的数据。数据传输不是保护敏感数据的管理过程的驱动程序，清除是从媒体中删

除数据的技术过程。

注意数据保留(retention)和数据残留(remanence)的区别，数据保留

(retention)是由于价值或审计监管的需求而要存下来，有“挽留”的感觉；数据残

留(remanence)是应消灭但技术上没能删除干净，有‘赶不走''的意思。

6.Howcanadataretentionpolicyhelptoreduceliabilities?

数据保留策略如何有助于减少负担？

A.Byensuringthatunneededdataisn'tretained通过确保不需要的数据不被保留

B.Byensuringthatincriminatingdataisdestroyed确保不合法的数据被销毁

C.Byensuringthatdataissecurelywipedsoitcannotberestoredforlegal

discovery通过确保数据安全地被擦除，无法合法恢复还原

D.Byreducingthecostofdatastoragerequiredbylaw通过降低法律要求的数据存

储成本

Answer:A

Adataretentionpolicycanhelptoensurethatoutdateddataispurged,removing

potentialadditionalcostsfordiscovery.Manyorganizationshaveaggressive

retentionpoliciestobothreducethecostofstorageandlimittheamountofdata

thatiskeptonhandanddiscoverable.Dataretentionpoliciesarenotdesignedto

destroyincriminatingdata,andlegalrequirementsfordataretentionmuststillbe

met.

数据保留策略可以帮助确保过期数据被清除，从而消除潜在的额外发现成本。许多

组织都采取积极的保留策略，既可以降低存储成本，又可以限制现有的可发现数据

量。数据保留策略的目的不仅是为了销毁不合法数据，还必须符合数据保留的法律

要求。

7.StaffinanITdepartmentwhoaredelegatedresponsibilityforday-to-daytasks

holdwhatdatarole?

负责日常任务的IT部门工作人员担任什么数据角色？

A.Businessowner业务所有者

B.User用户

C.Dataprocessor数据处理器

D.Custodian保管人

Answer:D

Custodiansaredelegatedtheroleofhandlingday-to-daytasksbymanagingand

overseeinghowdataishandled,stored,andprotected.Dataprocessorsare

systemsusedtoprocessdata.Businessownersaretypicallyprojectorsystem

ownerswhoaretaskedwithmakingsuresystemsprovidevaluetotheirusersor

customers.

通过管理和监督数据如何处理，存储和保护，托管人被赋予处理日常任务的角色。

数据处理器是用来处理数据的系统。业务所有者通常是负责确保系统为其用户或客

户提供价值的项目或系统的所有者。

8.SusanworksforanAmericancompanythatconductsbusinesswithcustomers

intheEuropeanUnion.Whatisshelikelytohavetodoifsheisresponsiblefor

handlingPIIfromthosecustomers?

Susan在一家与欧盟客户开展业务的美国公司工作。如果她负责处理这些客户的个

人身份信息，她可能需要做些什么？

A.Encryptthedataatalltimes.在任何时候加密数据

B.LabelandclassifythedataaccordingtoHIPAA.根据HIPAA标记和分类数据

C.ConductyearlyassessmentstotheEUDPDbaseline.对欧盟DPD基线进行年度

评估

D.ComplywiththeUS-EUSafeHarborrequirements.遵守美国-欧盟安全港协议

的要求

Answer:D

SafeHarborcompliancehelpsUScompaniesmeettheEUDataProtection

Directive.Yearlyassessmentsmaybeuseful,buttheyaren'trequired.HIPAAisa

USlawthatappliesspecificallytohealthcareandrelatedorganizations,and

encryptingalldataallthetimeisimpossible(atleastifyouwanttousethedata!).

符合安全港协议有助于美国公司达到欧盟数据保护指令。年度评估可能是有用的，

但不是必需的。HIPAA是一项专门适用于医疗保健和相关组织的美国法律。另外

始终加密所有数据是不可能的(至少如果您要使用这些数据的时候！)。

注：美国-欧盟安全港协议目前已被美国-欧盟隐私保护框架替代。

9.Benhasbeentaskedwithidentifyingsecuritycontrolsforsystemscoveredby

hisorganization'sinformationclassificationsystem.WhymightBenchooseto

useasecuritybaseline?

Ben的任务是确定其组织信息分类体系所涵盖的系统的安全控制。为什么Ben可以

选择使用安全基线？

A.Itappliesinallcircumstances,allowingconsistentsecuritycontrols.它适用于

所有情况，允许一致的安全控制

B.Theyareapprovedbyindustrystandardsbodies,preventingliability.由行业标

准机构批准，预防追责

C.Theyprovideagoodstartingpointthatcanbetailoredtoorganizationalneeds.

他们提供了一个可以根据组织需求量身定制的良好起点

D.Theyensurethatsystemsarealwaysinasecurestate.他们确保系统始终处于

安全状态

Answer:C

Securitybaselinesprovideastartingpointtoscopeandtailorsecuritycontrolsto

yourorganization'sneeds.Theyaren'talwaysappropriatetospecific

organizationalneeds,theycannotensurethatsystemsarealwaysinasecure

state,nordotheypreventliability.

安全基线提供了一个起点，可以根据组织的需求定制安全控制。它们并不总是适合

具体的组织需求，它们不能确保系统总是处于安全状态，也不能预防追责。

io.Whattermisusedtodescribeoverwritingmediatoallowforitsreuseinan

environmentoperatingatthesamesensitivitylevel?

哪个术语用来描述覆盖介质，以便在相同敏感级别的环境中重复使用？

A.Clearing清除

B.Erasing擦除

C.Purging消除

D.Sanitization净化

Answer:A

Clearingdescribespreparingmediaforreuse.Whenmediaiscleared,unclassified

dataiswrittenoveralladdressablelocationsonthemedia.Oncethat's

completed,themediacanbereused.Erasingisthedeletionoffilesormedia.

Purgingisamoreintensiveformofclearingforreuseinlowersecurityareas,and

sanitizationisaseriesofprocessesthatremovesdatafromasystemormedia

whileensuringthatthedataisunrecoverablebyanymeans.

清除准备介质重用。当介质被清除时，不涉密的数据被写在介质上的所有可寻址位

置上。一旦完成，媒体可以重复使用。擦除是删除文件或媒体。清除是在较低安全

区域进行更加密集的重用清理形式，清理是一系列从系统或媒体中删除数据的过

程，同时确保数据无法以任何方式恢复。

注：1）效果上erasing擦除〈clearing清除=overwriting复写〈purging消除

〈degaussing消磁＜destruction销毁，但destruction销毁的花费比degaussing消磁

要低；

2）erasing擦除、clearing清除、purging消除、degaussing消磁是针对数字介

质的，destruction销毁的对象也以数字介质为主，sanitization净化的对象就广泛

一些，可以是介质也可以是带存储介质的设备；

3）sanitization净化是可能包含purging消除、removing移除、destruction销

毁的一系列动作，目的是确保介质或设备中的数据无法被任何手段恢复，常见场景

是在物理资产报废（可能丢弃也可能做剩余价值回收resale）时必须摧毁物理资产

中存有的数据；

4）如果在相同的安全域中重用，clearing清除就够了，但如果介质或包含存

储介质的设备需要重用（reuse或resale）,又没有承诺保留在原安全域范围内，则

要求sanitization净化;

5）这一部分术语在中文版考试中的翻译用词不可预测，所以不要只按中文

记，考试的时候一定要看英文确认;

11.WhichofthefollowingclassificationlevelsistheUSgovernment's

classificationlabelfordatathatcouldcausedamagebutwouldn'tcauseseriousor

gravedamage?

以下哪个分类（密级）级别是美国政府的数据分类（密级）标签，代表受侵害后可

能会造成损害，但不会造成严重或特别严重的损害？

A.TopSecret绝密

B.Secret机密

C.Confidential秘密

D.Classified分类

Answer:C

TheUSgovernmentusesthelabelConfidentialfordatathatcouldcausedamage

ifitwasdisclosedwithoutauthorization.ExposureofTopSecretdatais

consideredtopotentiallycausegravedamage,whileSecretdatacouldcause

seriousdamage.ClassifiedisnotalevelintheUSgovernmentclassification

scheme.

美国政府（以及军方）使用“Confidential秘密”标签来查看未经授权而泄露的数

据。TopSecret最高机密数据的暴露被认为可能造成严重损害，而Secret机密数据

可能造成严重损害。Classified涉密不是美国政府分类（密级）方案中的一个级

别。

Confidential.Secret作为信息分类级别术语在中文版考试中的翻译用词不可预

测，一定要看英文！

12.Whatissueiscommontosparesectorsandbadsectorsonharddrivesaswell

asoverprovisionedspaceonmodernSSDs?

硬盘上的备件和坏扇区以及现代固态盘的过度配置空间有什么共同点？

A.Theycanbeusedtohidedata.它们可以用来隐藏数据

B.Theycanonlybedegaussed.它们只能被消磁

C.Theyarenotaddressable,resultingindataremanence.它们不可寻址,导致数

据残留

D.Theymaynotbecleared,resultingindataremanence.它们可能不被清除,导

致数据残留

Answer:D

Sparesectors,badsectors,andspaceprovidedforwearlevelingonSSDs

（overprovisionedspace）mayallcontaindatathatwaswrittentothespacethat

willnotbeclearedwhenthedriveiswiped.Mostwipingutilitiesonlydealwith

currentlyaddressablespaceonthedrive.SSDscannotbedegaussed,andwear

levelingspacecannotbereliablyusedtohidedata.Thesespacesarestill

addressablebythedrive,althoughtheymaynotbeseenbytheoperatingsystem.

备用扇区、坏扇区以及SSD上耗损均衡空间（过度配置空间）都可能包含写入该空

间的数据，这些数据在擦除驱动器时不会被清除。因为大多数擦除实用程序只处理

驱动器上当前可寻址的空间（操作系统可见的空间）。固态硬盘不能消磁，并且不

能平稳地使用耗损均衡空间来隐藏数据。尽管操作系统可能看不到这些空间，但对

于驱动器来说仍然是可寻址的。

注：可寻址与在操作系统层面可寻址还是有区别的

13.Whattermdescribesdatathatremainsafterattemptshavebeenmadeto

removethedata?

什么术语描述了在尝试删除数据之后仍然存在的数据？

A.Residualbytes剩余字节

B.Dataremanence数据残留（经常被翻译成“乘U磁"）

C.Slackspace松弛空间

D.Zerofill零填充

Answer:B.

Dataremanenceisatermusedtodescribedataleftafterattemptstoeraseor

removedata.Slackspacedescribesunusedspaceinadiskcluster,zerofinisa

wipingmethodologythatreplacesalldatabitswithzeroes,andresidualbytesisa

made-upterm.

Dataremanence数据残留是指试图擦除或删除数据后仍然剩下的数据；

S/ack5pace松弛空间表示磁盘簇中未使用的空间；

zerofill零填充是一种用零代替所有数据位的擦除方法；

residual柒妇6剩余字节是一个杜撰的术语。

14.Yourorganizationregularlyhandlesthreetypesofdata:informationthatit

shareswithcustomers,informationthatitusesinternallytoconductbusiness,

andtradesecretinformationthatofferstheorganizationsignificantcompetitive

advantages.Informationsharedwithcustomersisusedandstoredonweb

servers,whileboththeinternalbusinessdataandthetradesecretinformationare

storedoninternalfileserversandemployeeworkstations.

您的组织日常工作中会处理三种类型的数据：与客户共享的信息，内部用于开展业

务的信息以及为组织提供显着竞争优势的商业秘密信息。与客户共享的信息被使用

并存储在网络服务器上，而内部业务数据和商业秘密信息都存储在内部文件服务器

和员工工作站上。

Whatciviliandataclassificationsbestfitthisdata?

哪些民用数据分类（密级）最适合这些数据？

A.Unclassified,confidential,topsecret不涉密的，保密的,绝密的

B.Public,sensitive,private公开，敏感，私密

C.Public,sensitive,proprietary公开,敏感,专有

D.Public,confidential,private公开的，保密的，私有的

Answer:C

Informationsharedwithcustomersispublic,internalbusinesscouldbesensitive

orprivate,andtradesecretsareproprietary.Thuspublic,sensitive,proprietary

matchesthismostclosely.Confidentialisamilitaryclassification,whichremoves

twooftheremainingoptions,andtradesecretsaremoredamagingtolosethana

privateclassificationwouldallow.

与客户共享的信息是公开的，内部业务可以是敏感的或私有的，商业秘密是专有

的，因此“公开的、敏感的，专有的“最合适。秘密confidential是一种军事分类

（密级），所以A和D都不对，而商业秘密受侵害的损失比私有private级别所对应

的更大。

注：官方学习指南原文：

SomecommondataclassificationsusedbygovernmentsincludeTopSecret,

Secret,Confidential,andUnclassified.

Civilianclassificationsincludeconfidential（orproprietary）,private,sensitive,

andpublic.

政府使用的常见数据分类包括绝密，机密，秘密和不涉密。

民用数据分类（密级）包括秘密（或专有），私有，敏感和公开。

也常翻译成“分类.“未分类.

11绝密TopSecret

生+7一正涉密Classified机密Secret

蝴/军方0,---------------4-----------------

Government/Military'/Confidential

15.Yourorganizationregularlyhandlesthreetypesofdata:informationthatit

shareswithcustomers,informationthatitusesinternallytoconductbusiness,

andtradesecretinformationthatofferstheorganizationsignificantcompetitive

advantages.Informationsharedwithcustomersisusedandstoredonweb

servers,whileboththeinternalbusinessdataandthetradesecretinformationare

storedoninternalfileserversandemployeeworkstations.

您的组织日常工作中会处理三种类型的数据：与客户共享的信息，内部用于开展业

务的信息以及为组织提供显着竞争优势的商业秘密信息。与客户共享的信息被使用

并存储在网络服务器上，而内部业务数据和商业秘密信息都存储在内部文件服务器

和员工工作站上。

Whattechniquecouldyouusetomarkyourtradesecretinformationincaseit

wasreleasedorstolenandyouneedtoidentifyit?

你可以使用什么技术来标记你的商业机密信息，以防当它被泄漏或被盗时能够识别

出来？

A.Classifcation分类（密级）

B.Symmetricencryption对称加密

C.Watermarks水印

D.Metadata元数据

Answer:C

Awatermarkisusedtodigitallylabeldataandcanbeusedtoindicateownership.

Encryptionwouldhavepreventedthedatafrombeingaccessedifitwaslost,

whileclassificationispartofthesetofsecuritypracticesthatcanhelpmakesure

therightcontrolsareinplace.Finally,metadataisusedtolabeldataandmight

helpadatalosspreventionsystemflagitbeforeitleavesyourorganization.

水印用于对数据进行数字标记，并可用于指示所有权。如果数据丢失，加密将阻止

数据被访问，而分类（密级）是一组安全实践的一部分，可以帮助确保恰当的控

制。最后，元数据用于标记数据，并可能帮助数据泄露防护系统在数据流出组织之

前对其进行标帜。

16.Yourorganizationregularlyhandlesthreetypesofdata:informationthatit

shareswithcustomers,informationthatitusesinternallytoconductbusiness,

andtradesecretinformationthatofferstheorganizationsignificantcompetitive

advantages.Informationsharedwithcustomersisusedandstoredonweb

servers,whileboththeinternalbusinessdataandthetradesecretinformationare

storedoninternalfileserversandemployeeworkstations.

您的组织日常工作中会处理三种类型的数据：与客户共享的信息，内部用于开展业

务的信息以及为组织提供显着竞争优势的商业秘密信息。与客户共享的信息被使用

并存储在网络服务器上，而内部业务数据和商业秘密信息都存储在内部文件服务器

和员工工作站上。

Whattypeofencryptionshouldyouuseonthefileserversfortheproprietary

data,andhowmightyousecurethedatawhenitisinmotion?

您应该在文件服务器上使用哪种类型的加密方式来处理专有数据，以及如何在数据

流转时保护数据？

A.TLSatrestandAESinmotion静止时使用TLS和流转时使用AES

B.AESatrestandTLSinmotion静止时使用AES和流转时使用TLS

C.VPNatrestandTLSinmotion静止时使用VPN和流转时使用TLS

D.DESatrestandAESinmotion静止时使用DES和流转时使用AES

Answer:B

AESisastrongmodernsymmetricencryptionalgorithmthatisappropriatefor

encryptingdataatrest.TLSisfrequentlyusedtosecuredatawhenitisintransit.

Avirtualprivatenetworkisnotnecessarilyanencryptedconnectionandwouldbe

usedfordatainmotion,whileDESisanoutdatedalgorithmandshouldnotbe

usedfordatathatneedsstrongsecurity.

AES是一种强大的现代对称加密算法，适用于静态数据加密。TLS通常用于在传输

过程中保护数据。虚拟专用网络不一定是加密连接，可用于移动数据，而DES是过

时的算法，不应用于需要强大安全性的数据。

17.WhatdoeslabelingdataallowaDLPsystemtodo?

给数据设置标签使得DLP系统能够起到什么作用？

A.TheDLPsystemcandetectlabelsandapplyappropriateprotections.DLP系统

可以检测标签并应用适当的保护措施

B.TheDLPsystemcanadjustlabelsbasedonchangesintheclassification

scheme.DLP系统可以根据分类（密级）方案的变化调整标签

C.TheDLPsystemcannotifythefirewallthattrafficshouldbeallowedthrough.

DLP系统可以通知防火墙应允许流量通过

D.TheDLPsystemcandeleteunlabeleddata.DLP系统可以删除未标记的数据

Answer:A

Datalossprevention（DLP）systemscanuselabelsondatatodeterminethe

appropriatecontrolstoapplytothedata.DLPsystemswon'tmodifylabelsinreal

timeandtypicallydon'tworkdirectlywithfirewallstostoptraffic.Deleting

unlabeleddatawouldcausebigproblemsfororganizationsthathaven'tlabeled

everypieceofdata!

数据丢失防护（DLP）系统可以使用数据上的标签来确定适用于数据的控制措施。

DLP系统不会实时修改标签，通常不会直接与防火墙配合工作来阻止流量。删除没

有标签的数据会给仅为部分数据分配了标签的组织造成很大的问题！

18.Whyisitcosteffectivetopurchasehigh-qualitymediatocontainsensitive

data?

为什么说购买高质量的媒体（介质）来保存敏感数据是成本有效的（俗称‘划算

的”）?

A.Expensivemediaislesslikelytofail.昂贵的媒体（介质）不太可能失败

B.Thevalueofthedataoftenfarexceedsthecostofthemedia.数据的价值往往

远远超过媒体（介质）的成本

C.Expensivemediaiseasiertoencrypt.昂贵的媒体（介质）更容易加密

D.Moreexpensivemediatypicallyimprovesdataintegrity.更昂贵的媒体（介

质）通常会提高数据的完整性

Answer:B

Thevalueofthedatacontainedonmediaoftenexceedsthecostofthemedia,

makingmoreexpensivemediathatmayhavealongerlifespanoradditional

capabilitieslikeencryptionsupportagoodchoice.Whileexpensivemediamaybe

lesslikelytofail,thereasonitmakessenseisthevalueofthedata,notjustthatit

islesslikelytofail.Ingeneral,thecostofthemediadoesn'thaveanythingtodo

withtheeaseofencryption,anddataintegrityisn'tensuredbybettermedia.

媒体（介质）中包含的数据的价值往往超过媒体（介质）的成本，使更昂贵的媒体

（介质），可能会有更长的使用寿命或额外的功能，如加密支持一个不错的选择。

虽然昂贵的媒体（介质）可能不太可能出现故障，但是其合理的原因是数据的价

值，而不仅仅是失败的可能性较小。一般来说，媒体（介质）的成本与加密的便利

性没有任何关系，数据的完整性不是由更好的媒体（介质）来保证的。

19.Chrisisresponsibleforworkstationsthroughouthiscompanyandknowsthat

someofthecompanysworkstationsareusedtohandleproprietaryinformation.

Whichoptionbestdescribeswhatshouldhappenattheendoftheirlifecyclefor

workstationsheisresponsiblefor?

Chris负责整个公司的工作站，并且知道公司的一些工作站是用来处理专有信息

的。哪个选项最好地描述了他所负责的工作站在其生命周期结束时应该怎么处理？

A.Erasing擦除

B.Clearing清除

C.Sanitization净化

D.Destruction销毁

Answer:C

Sanitizationisacombinationofprocessesthatensurethatdatafromasystem

cannotberecoveredbyanymeans.Erasingandclearingarebothproneto

mistakesandtechnicalproblemsthatcanresultinremnantdataanddon'tmake

senseforsystemsthathandledproprietaryinformation.Destructionisthemost

completemethodofensuringthatdatacannotbeexposed,andsome

organizationsopttodestroytheentireworkstation,butthatisnotatypical

solutionduetothecostinvolved.

净化是确保来自系统的数据无法以任何方式恢复的过程的组合。擦除和清除都容易

出现错误和技术问题，可能会导致残留数据，对于处理专有信息的系统是没有意义

的。销毁是确保数据无法公开的最彻底的方法，有些组织选择销毁整个工作站，但

由于涉及成本问题，这不是一个典型的解决方案。

注：见前面总结，本题的对象是工作站，所以erasing擦除、clearing清除、

destruction销毁都不合适，就只有sanitization净化可选。

20.WhichistheproperorderfromleasttomostsensitiveforUSgovernment

classifications?

美国政府的数据分类（密级）按敏感程度由低到高的顺序是什么？

A.Confidential,Secret,TopSecret秘密，机密，绝密

B.Confidential,Classified,Secret秘密，分类，机密

C.TopSecret,Secret,Classified,Public,Classified,TopSecret绝密，机密,涉

密，公开，涉密，绝密

D.Public,Unclassified,Classified,TopSecret公开，不涉密，涉密，最高机密

Answer:A

TheUSgovernment'sclassificationlevelsfromleasttomostsensitiveare

Confidential,Secret,andTopSecret.

美国政府的信息分类（密级）敏感程度从低到高是秘密，机密和绝密。

21.Whatscenariodescribesdataatrest?

什么样的情景描述了静止的数据？

A.DatainanIPsectunnelIPsec隧道中的数据

B.Datainane-commercetransaction电子商务交易中的数据

C.Datastoredonaharddrive存储在硬盘上的数据

D.DatastoredinRAM存储在RAM中的数据

Answer:C

Dataatrestisinactivedatathatisphysicallystored.DatainanIPsectunnelorpart

ofane-commercetransactionisdatainmotion.DatainRAMisephemeralandis

notinactive

静止数据是物理存储的非活动数据。IPsec隧道中的数据或电子商务交易的一部分

是运动中的数据。RAM中的数据是短暂的，且并非不活动的。

22.IfyouareselectingasecuritystandardforaWindows10systemthat

processescreditcards,whatsecuritystandardisyourbestchoice?

如果您正在为处理信用卡的Windows10系统选择安全标准，那么您的最佳选择是

什么安全标准？

A.Microsoft'sWindowsiosecuritybaseline微软的Windowsio安全基线

B.TheCISWindowsiobaselineCIS的Windowsio安全基线

C.PCIDSS支付卡行业数据安全标准

D.TheNSAWindowsiobaselineNSA的Windowsio安全基线

Answer:C

PCIDSS,thePaymentCardIndustryDataSecurityStandard,providesthesetof

requirementsforcreditcardprocessingsystems.TheMicrosoft,NSA,andCIS

baselineareallusefulforbuildingaWindows10securitystandard,buttheyaren't

asgoodofananswerasthePCIDSSstandarditself.

支付卡行业数据安全标准PCIDSS提供了信用卡处理系统的一套要求。Microsoft,

NSA和CIS基线对构建Windows10安全标准都很有用，但是它们不如PCIDSS标

准本身那么合适。

23.TheCenterforInternetSecurity(CIS)workswithsubjectmatterexpertsfrom

avarietyofindustriestocreatelistsofsecuritycontrolsforoperatingsystems,

mobiledevices,serversoftware,andnetworkdevices.Yourorganizationhas

decidedtousetheCISbenchmarksforyoursystems.

互联网安全中心(CIS)与来自不同行业的专家合作，为操作系统，移动设备，服务

器软件和网络设备创建安全控制列表，您的组织决定将CIS基线应用于信息系统。

TheCISbenchmarksareanexampleofwhatpractice?

CIS基准是一个什么实践的例子？

A.Conductingariskassessment进行风险评估

B.Implementingdatalabeling实施数据标签

C.Propersystemownership适当的系统所有权

D.Usingsecuritybaselines使用安全基线

Answer:D

TheCISbenchmarksareanexampleofasecuritybaseline.Ariskassessment

wouldhelpidentifywhichcontrolswereneeded,andpropersystemownershipis

animportantpartofmakingsurebaselinesareimplementedandmaintained.Data

labelingcanhelpensurethatcontrolsareappliedtotherightsystemsanddata.

互联网安全中心（CIS）基准是一个安全基线的例子。风险评估将有助于确定需要哪

些控制措施，适当的系统所有权是确保实施和维护基线的重要组成部分。数据标签

可以帮助确保控制适用于正确的系统和数据。

24.TheCenterforInternetSecurity（CIS）workswithsubjectmatterexpertsfrom

avarietyofindustriestocreatelistsofsecuritycontrolsforoperatingsystems,

mobiledevices,serversoftware,andnetworkdevices.Yourorganizationhas

decidedtousetheCISbenchmarksforyoursystems.

互联网安全中心（CIS）与来自不同行业的专家合作，为操作系统，移动设备，服务

器软件和网络设备创建安全控制列表，您的组织决定将CIS基线应用于信息系统。

AdjustingtheCISbenchmarkstoyourorganization'smissionandyourspecificIT

systemswouldinvolvewhattwoprocesses?

将CIS基准调整到组织的任务和特定的IT系统将涉及哪两个过程？

A.Scopingandselection范围和选择

B.Scopingandtailoring范围和裁剪

C.Baseliningandtailoring基线化和裁剪

D.Tailoringandselection裁剪和选择

Answer:B

ScopinginvolvesselectingonlythecontrolsthatareappropriateforyourIT

systems,whiletailoringmatchesyourorganization'smissionandthecontrolsfrom

aselectedbaseline.Baseliningistheprocessofconfiguringasystemorsoftwareto

matchabaseline,orbuildingabaselineitself.Selectionisn'tatechnicaltermused

foranyoftheseprocesses.

范围涉及选择仅仅适合于你的IT系统的控制措施，而剪裁是将您组织的使命和控制

措施与从一个选定的基线相适配。基线化是配置系统或软件与基线的过程，或基线

的自身建设。选择不是用于这些过程中的任何一个技术术语。

25.TheCenterforInternetSecurity（CIS）workswithsubjectmatterexpertsfrom

avarietyofindustriestocreatelistsofsecuritycontrolsforoperatingsystems,

mobiledevices,serversoftware,andnetworkdevices.Yourorganizationhas

decidedtousetheCISbenchmarksforyoursystems.

互联网安全中心（CIS）与来自不同行业的专家合作，为操作系统，移动设备，服务

器软件和网络设备创建安全控制列表，您的组织决定将CIS基线应用于信息系统。

Howshouldyoudeterminewhatcontrolsfromthebaselineagivensystemor

softwarepackageshouldreceive?

要为选定的系统或软件包从基线中选择控制措施，你应该如何决策？

A.Consultthecustodiansofthedata.咨询数据的保管人

B.Selectbasedonthedataclassificationofthedataitstoresorhandles.根据所存

储或处理的数据的分类（密级）进行选择

C.Applythesamecontrolstoallsystems.将相同的控制应用于所有系统

D.Consultthebusinessowneroftheprocessthesystemordatasupports.咨询系

统或数据支持过程的企业所有者

Answer:B

Thecontrolsimplementedfromasecuritybaselineshouldmatchthedata

classificationofthedatausedorstoredonthesystem.Custodiansaretrustedto

ensuretheday-to-daysecurityofthedataandshoulddosobyensuringthatthe

baselineismetandmaintained.Businessownersoftenhaveaconflictofinterest

betweenfunctionalityanddatasecurity,andofcourse,applyingthesamecontrols

everywhereisexpensiveandmaynotmeetbusinessneedsorbearesponsibleuse

ofresources.

从安全基线实施的控制应与在系统上使用或存储的数据的分类（密级）相匹配。保

管人受委托以确保数据的日常安全，并应通过确保基线得到满足和维持来做到这一

点。企业所有者通常在功能和数据安全之间存在利益冲突。当然，在任何地方应用

相同的控制是高成本的，而且可能无法满足业务需求或负责任地使用资源。

26.WhatproblemwithFTPandTelnetmakesusingSFTPandSSHbetter

alternatives?

FTP和Telnet有什么缺点使得使用SFTP和SSH是更好的选择？

A.FTPandTelnetaren'tinstalledonmanysystems.许多系统没有安装FTP和

Telnet