1:下列哪一項不正確笼痹? C
A.保密性的違反包括人為 錯誤
B.保密性的違反包括管理監(jiān)督
C.保密性的違反僅限于直接故意攻擊
D.當傳輸未正確加密時保密性違反可能發(fā)生javascript:void(null)
2:STRIDE通常用于評估針對應(yīng)用程序或操作系統(tǒng)的威脅有關(guān)弦聂,下列哪一項不包括STRIDE元素棺牧? D
A.欺騙
B.權(quán)限提升
C.否認
D.披露
解析:信息披露 不等于披露
3:下列哪一項是機密數(shù)據(jù)的最低軍事數(shù)據(jù)分類 B
A.敏感
B.機密
C.專有
D.隱私
解析: 機密憔杨、秘密趁啸、絕密的統(tǒng)項為數(shù)據(jù)分類巨缘,機密低于秘密
4:數(shù)據(jù)分類都用于關(guān)注安全控制尿赚,除了已下哪一個散庶?D
A:存儲
B:處理
C:分層
D: 轉(zhuǎn)移
5:下列哪一項不是有效的風險定義? B
A蕉堰、幾率、可能和機會的評估
B 移除脆弱性或防止一個(或多個)特定攻擊發(fā)生的任何事情
C 風險 = 威脅 * 脆弱性
D 每個暴露實例
解析: B屬于風險實施過程
6督赤、以下哪一項沒有具體或直接關(guān)系到組織的安全功能管理? A
A 嘁灯、員工工作滿意度
B、 度量
C躲舌、信息安全策略
D丑婿、預算
解析:安全管理通常包括預算、指標没卸、資源羹奉、信息安全策略的評估以及評估安全程序的完整性和有效性
7、通過特定的威脅/脆弱性/風險關(guān)系约计,已經(jīng)執(zhí)行了基本的定量風險分析诀拭,選擇一個可能的對策當再次計算時,下列哪個因素會變化 D
A煤蚌、暴露因子
B耕挨、單一損失期望
C、資產(chǎn)價值
D尉桩、年發(fā)生比率
對策直接影響年發(fā)生比筒占,這主要是因為對策被設(shè)計用于組織風險的發(fā)生,從而減少年發(fā)生比的頻率
8蜘犁、對于那些對業(yè)務(wù)連續(xù)性計劃開發(fā)負責的人來說翰苫,第一步應(yīng)該執(zhí)行什么? B
A. 團隊選擇
B. 業(yè)務(wù)組織分析
C.資源需求分析
D.法律和法規(guī)性評估
解析:首先分析業(yè)務(wù)組織,然后組件BCP團隊这橙,然后分析風險奏窑、制定BCP方案,給最高領(lǐng)導人確定屈扎,最后實施和維護
9埃唯、下列哪一項BIA條款表示了特定風險每年預計損失的貨幣量: C
A、ARO
B鹰晨、SLE
C筑凫、ALE
D、EF
解析:ALE = SLE * ARO 并村,這里是我概念記混了.ALE為年度損失期望巍实,SLE為單一損失期望
10、在哪個業(yè)務(wù)連續(xù)性計劃任務(wù)中哩牍,會設(shè)計流程和機制以減少BCP團隊認定的不可接受的風險棚潦? C
A、策略階段
B膝昆、業(yè)務(wù)影響評估
C丸边、條款和流程
D叠必、資源優(yōu)先級
解析:預備和處理階段,BCP團隊實際上位緩解的策略開發(fā)階段認為不可接受的風險設(shè)計規(guī)程和機制
11妹窖、安裝冗余通信鏈路纬朝,這是利用了什么類型的緩解條款? D
A 加固系統(tǒng)
B 定義系統(tǒng)
C 減輕系統(tǒng)
D 更換系統(tǒng)
解析:這是替換系統(tǒng)的一個例子,冗余通信鏈路是備用系統(tǒng)的一種形式骄呼。
12共苛、那條法律首先要求美國聯(lián)邦的相關(guān)計算機系統(tǒng)操作者接受計算機安全問題的定期培訓? A
A蜓萄、計算機安全法案
B隅茎、國際基礎(chǔ)設(shè)施保護法案
C、計算機欺詐和濫用法案
D嫉沽、電子通信隱私法案
解析:《計算機安全法案》要求強制性的對涉及管理辟犀、使用或操作包含敏感信息的聯(lián)邦計算機系統(tǒng)的所有人定期培訓
13、什么是計算機系統(tǒng)最廣泛的類別绸硕,這個類別收計算機欺詐和濫用方案(修正案)保護?
A堂竟、政府所屬系統(tǒng)
B、聯(lián)邦相關(guān)系統(tǒng)
C玻佩、用于洲際貿(mào)易的系統(tǒng)
D跃捣、美國境內(nèi)系統(tǒng)
解析:《計算機濫用修正案》包括了州間貿(mào)易使用的素有系統(tǒng),這覆蓋了美國的部分的系統(tǒng)(但不是全部)
14夺蛇、Mattew最近編寫了一個創(chuàng)新算法去解決一個數(shù)學問題,并且他希望與全世界分享酣胀。但是刁赦,在技術(shù)雜志上發(fā)布軟件代碼之前,他想獲得一些知識產(chǎn)權(quán)方面的保護闻镶,下列哪個保護最適合他甚脉?
A 版權(quán)
B 商標
C 專利
D 商業(yè)秘密
解析:版權(quán)法時Matthew可以使用的知識產(chǎn)權(quán)的唯一類型,商標不適合這種情況铆农,專利權(quán)不適合數(shù)學算法
15牺氨、什么法律禁止政府機構(gòu)泄密個人提交給政府保護環(huán)境下的信息?
A墩剖、隱私法案
B猴凹、電子通信隱私法案
C、健康保險流通與責任法案
D岭皂、Gramm-Leach-Bliley法案
解析:美國的《隱私法案》限制了政府機構(gòu)使用公民在某種情況下透露給他們的信息的方法
16郊霎、軟件行業(yè)使用什么法律來正式的派發(fā)大量許可,并試著標準化從 一個州到另一個州的使用爷绘?
A 計算機安全法案
B 統(tǒng)一計算機信息處理法案
C 數(shù)字千禧年版權(quán)法案
D Gramm-Leach-Blilry法案
解析:《美國同意計算機信息處理法案》試圖實施一個有關(guān)所有州都采納的計算機處理的標準法律架構(gòu)
17书劝、以下哪一項許可協(xié)議類型不需要用戶在執(zhí)行之前確認他們已經(jīng)閱讀了協(xié)議进倍?
A、標準許可協(xié)議
B购对、拆封協(xié)議
C猾昆、單擊許可協(xié)議
D、口頭協(xié)議
解析:B 收縮性薄膜包裝的許可證協(xié)議在用戶打開軟件包裝時生效
18骡苞、在美國專利保護期是多長垂蜗?
A、提交申請日開始14年
B烙如、專利獲得日開始14年
C么抗、提交申請日開始20年
D、專利獲得日開始20年
解析: 美國專利發(fā)從專利申請?zhí)峤坏綄@蜕虡司值臅r候就開始提供20年的獨家使用權(quán)
19亚铁、在處理關(guān)于歐盟數(shù)據(jù)隱私法令下的個人信息時蝇刀,以下哪一項不是有效的法律依據(jù)?
A徘溢、合同
B吞琐、法律義務(wù)
C、市場需求
D然爆、贊成
解析:歐盟隱私法指令的定義站粟,市場銷售需要不是處理個人信息的有效基礎(chǔ)
20、以下哪一項基于Blowfish并能保護免受彩虹表襲擊? C
A曾雕、3DES
B奴烙、AES
C、bcrypt
D剖张、SCP
解析:bcrypt基于Blowfish,添加128位附加為作為鹽以防止彩虹表攻擊
21切诀、以下哪一項是對數(shù)據(jù)所有者確立的“行為規(guī)則”的最好定義?
A搔弄、確保用戶只被授予對他們所需要東西的訪問權(quán)
B幅虑、決定對系統(tǒng)有訪問權(quán)的人
C、識別對數(shù)據(jù)的恰當使用和保護
D顾犹、對系統(tǒng)實施安全控制
解析:行為規(guī)則是被適當和保護數(shù)據(jù)的規(guī)則
22倒庵、在歐盟數(shù)據(jù)保護法的北京下,以下哪一個是數(shù)據(jù)處理者炫刷?
A擎宝、代表數(shù)據(jù)控制者處理個人數(shù)據(jù)的實體
B、控制數(shù)據(jù)處理的實體
C浑玛、處理數(shù)據(jù)的計算系統(tǒng)
D认臊、處理數(shù)據(jù)的網(wǎng)絡(luò)
解析:歐盟保護法定義數(shù)據(jù)處理器為"僅代表數(shù)據(jù)控制器處理個人數(shù)據(jù)的自然人或法人"
23、以下的選項中锄奢,哪一項可以在補犧牲安全性的情況下阻止丟失時間的發(fā)生失晴?D
A剧腻、標記場外保存的介質(zhì)
B、不要把數(shù)據(jù)存儲在場地外
C涂屁、將場地外的備份全部摧毀
D书在、使用安全的場地外存儲設(shè)備
23、在以下選項中拆又、關(guān)于備份介質(zhì)不遵守哪一項策略儒旬? B
A、介質(zhì)銷毀
B帖族、記錄保存
C栈源、配置管理
D、版本控制
解析:人員沒有遵守記錄保留策略
24竖般、高級加密標準使用的分塊大小是多少甚垦?
A、32
B涣雕、64
C艰亮、128
D、可變
解析:AES加密標準使用128塊大小
25挣郭、什么類型的密碼系統(tǒng)經(jīng)常利用一個通道迄埃,借助一本著名的書來加密秘鑰? B
A 兑障、Vername 加密
B侄非、輪換秘鑰加密
C、Skipjack加密
D流译、Twofish加密
解析:滾動秘鑰密碼使用書籍的一段話作為加密
26逞怨、哪個入圍的AES利用了預白造化和后白噪聲化技術(shù)? B
A先蒋、Rijndael
B、Twofish
C宛渐、Blowfish
D竞漾、Skipjack
解析:Twofish算法使用預白化合后白化技術(shù)
27、John想要產(chǎn)生2048位的消息摘要窥翩,并計劃發(fā)送給Mary,如果使用SHA-1散列算法业岁,這條特定消息的消息摘要長度是多少?
A寇蚊、160位
B笔时、512位
C、1024位
D仗岸、2048位
解析:SHA-1散列總生成160的消息摘要
28允耿、下列哪個算法不受數(shù)字簽名標準支持借笙?
A、數(shù)字簽名算法
B较锡、RSA
C业稼、EI Gammal DSA
D、Eliptic Curve DSA
解析: C 數(shù)字簽名允許的算法:數(shù)字簽名算法蚂蕴,RSA低散、 橢圓曲線DSA結(jié)合SHA-1散列函數(shù)生成的數(shù)字簽名
29、系統(tǒng)鑒定是什么骡楼?
A熔号、正式可接受的系統(tǒng)配置生命
B、為了每個硬件和軟件組件都滿足集成標準鸟整,對制造商目標進行功能評價
C引镊、證明計算機系統(tǒng)實施安全策略的可接受的測試結(jié)果
D、指定兩臺機器之間的安全通信過程
解析:A 鑒定是正式驗收的過程
30吃嘿、哪個Bell-LaPADULA屬性阻止低級別的主體訪問高級別的客體
A祠乃、星安全屬性
B、不準向上寫屬性
C兑燥、不準向上讀屬性
D亮瓷、不準向下讀屬性
解析: C ,不準向上讀的屬性也被稱為簡單安全屬性降瞳,禁止主體讀取更高安全級別的客體
31嘱支、許多PC操作系統(tǒng)提供一個功能,這個功能使他們能夠支持但處理系統(tǒng)的多個應(yīng)用程序同時執(zhí)行挣饥,什么術(shù)語描述這種能力除师?
A、多程序
B扔枫、多線程
C汛聚、多任務(wù)
D、多處理器
解析:C 多任務(wù)處理指同事處理多個任務(wù)
32短荐、什么技術(shù)為組織提供對BYOD設(shè)備的最佳控制
A倚舀、應(yīng)用白名單
B、移動設(shè)備管理
C忍宋、加密移動存儲
D痕貌、地理標記
解析:B移動設(shè)備管理(MDM)是一種軟件解決方案,其他均為MDM解決方案的一部分
33糠排、三個應(yīng)用程序在支持多任務(wù)處理的單核單處理器系統(tǒng)上運行舵稠,這些應(yīng)用程序的其中一個為文字處理程序,并同時管理兩個線程,其他兩個應(yīng)用程序只使用一個線程來運行哺徊,在任何給定時間有多少個應(yīng)用線程在處理器上運行室琢?
A、1
B唉工、2
C研乒、3
D、4
解析:A 單處理系統(tǒng)一次只能處理一個線程淋硝,
34雹熬、什么類型的美國聯(lián)邦計算機系統(tǒng)要求所有訪問系統(tǒng)的個人都需要知道所有由系統(tǒng)處理的信息?
A谣膳、專有模式
B竿报、系統(tǒng)高級模式
C、間隔模式
D继谚、多級模式
解析: A 專有系統(tǒng)中烈菌,所有用戶都是最高級別,對系統(tǒng)所處理全部信息的“知其所需”權(quán)限
35花履、減少移動設(shè)備上的數(shù)據(jù)丟失風險的最有效手段是什么芽世,例如筆記本電腦?
A诡壁、設(shè)置強登錄密碼
B济瓢、減少存儲在移動設(shè)備上的敏感信息
C、使用一根電纜
D妹卿、加密硬盤
解析: B 保持系統(tǒng)上最小敏感數(shù)據(jù)是降低風險的唯一方法
36旺矾、什么類型的電氣部件作為構(gòu)建動態(tài)RAM芯片的主要部分
A、電容器
B、電阻器
C、觸發(fā)器
D蛹稍、晶體管
解析:A 動態(tài)RAM上有很多電容器,每個電容器上都存有電荷
37柬帕、在下列哪種安全模式中,你會放心所有用戶都通過系統(tǒng)處理所有信息的訪問權(quán)限狡门,但不必知道所有的信息
A陷寝、專有模式
B、系統(tǒng)高級模式
C融撞、間隔模式
D盼铁、多級模式
解析:B 所有用戶必須具有對系統(tǒng)處理的所有信息的適當安全許可和訪問特權(quán)粗蔚,但是只需要對系統(tǒng)處理的部分信息具有“知其所需”權(quán)限
38尝偎、什么類型的存儲設(shè)備通常用于包含一臺計算機的主板BIOS?
A、PROM
B致扯、EEPROM
C肤寝、ROM
D、EPROM
解析:B 為了便于將阿里固件的更新抖僵,BIOS和設(shè)備固件通常被存儲在EEPROM芯片上
39鲤看、什么類型的尋址方案是數(shù)據(jù)實際提供給CPU作為參數(shù)傳遞給指令?
A耍群、直接尋址
B义桂、立即尋址
C、基址偏移
D蹈垢、間接尋址
解析:立即尋址中慷吊,CPU實際上并不需要從存儲器中檢索任何數(shù)據(jù),數(shù)據(jù)就包含在指令本身中曹抬,可以被立即處理
40溉瓶、為了維持最有效和安全的服務(wù)器機房,一下哪一項不必是真的谤民?
A堰酿、必須和人共存
B、必須包括非水滅火裝置的使用
C张足、濕度必須保持在40%-60%之間
D触创、溫度必須保持在華氏60到75度
解析:為了保持有效性和安全性,計算機機房不需要與人相協(xié)調(diào)兢榨,與人不協(xié)調(diào)的服務(wù)器機房提供了對攻擊的更高的保護等級
41嗅榕、周邊安全設(shè)備或機制的最常見形式是什么? D
A吵聪、保安人員
B凌那、柵欄
C、CCTV
D吟逝、照明
42帽蝶、以下哪一個不最不能抵抗EMI? B
A块攒、細纜
B励稳、10Base-T UTP
C、10Base5
D囱井、同軸電纜
43 ——————防火墻是第三代防火墻 B
A驹尼、應(yīng)用級網(wǎng)關(guān)
B、狀態(tài)監(jiān)測
C庞呕、電路級網(wǎng)關(guān)
D新翎、靜態(tài)數(shù)據(jù)包過濾
44程帕、關(guān)于防火墻,下列哪一項不是正確的地啰? B
A愁拭、他們都能記錄流量信息
B、他們都能隔離病毒
C亏吝、他們能基于可疑攻擊發(fā)出問題報警
D岭埠、他們?nèi)圆荒芊乐箖?nèi)部攻擊
45、下列哪個不是可路由協(xié)議蔚鸥? D
A惜论、OSFP
B、BGP
C止喷、RPC
D来涨、RIP
46、————是一種數(shù)據(jù)鏈路層連接機制启盛,使用分組交換技術(shù)在通信方之間建立虛電路 B
A蹦掐、ISDN
B、幀中繼
C僵闯、SMDS
D卧抗、ATM
解析: 幀中繼是二層連接機制,使用分組交換和在通信端點之間建立虛電路
47鳖粟、如果網(wǎng)絡(luò)使用NAT代理社裆、需要怎樣才能允許外部客戶端通過內(nèi)部系統(tǒng)發(fā)起連接會話?
A向图、IPSec隧道
B泳秀、靜態(tài)NAT
C、靜態(tài)私有IP地址
D榄攀、反向域名解析
解析:需要靜態(tài)模式的NAT來允許外部實體啟動與NAT代理之后的內(nèi)部系統(tǒng)的通信
48嗜傅、除了維護、更新系統(tǒng)和進行物理訪問控制檩赢,下面哪一項是應(yīng)對PBX欺騙和濫用最有效反之措施 B
A吕嘀、加密通信
B、修改默認密碼
C贞瞒、使用傳輸日志
D偶房、錄音和歸檔所有的會話
解析:更改PBX系統(tǒng)上的默認密碼能夠有效的增強安全性
49、用戶登錄ID和密碼登錄军浆。登錄ID的目的是什么棕洋?
A、認證
B乒融、授權(quán)
C掰盘、問責
D尿这、識別
解析:D ,用戶使用登錄ID來申明身份庆杜,登錄ID和密碼的組合提供身份認證,主體認證被授權(quán)訪問客體碟摆,記錄和審計提供可問責性
50晃财、Kerberos的主要目的是什么?
A典蜕、機密性
B断盛、完整性
C、認證
D愉舔、可問責性
解析:Kerberos的主要目的是認證 C
51钢猛、RADIUS架構(gòu)中,網(wǎng)絡(luò)接入服務(wù)器的功能是什么轩缤?
A命迈、認證服務(wù)器
B、客戶端
C火的、AAA服務(wù)器
D壶愤、防火墻
解析:網(wǎng)絡(luò)訪問服務(wù)器是RADIUS架構(gòu)中的客戶端,RADIUS服務(wù)器是認證服務(wù)器 B
52馏鹤、一個表包含多個客體和主體征椒,并確定每個主體具體訪問時都有不同的客體,這個表被稱為什么湃累? B
A勃救、訪問控制列表
B、訪問控制矩陣
C治力、聯(lián)合
D蒙秒、蠕變特權(quán)
解析:訪問控制矩陣包含多個對象,列出主體對每個對象的訪問宵统,訪問控制矩陣內(nèi)的任何特定對象的單個主體列表使訪問控制列表
53税肪、誰或什么根據(jù)自主訪問控制模型授予權(quán)限給用戶? D
A榜田、管理員
B益兄、訪問控制列表
C、分配標簽
D箭券、數(shù)據(jù)監(jiān)管者
解析:訪問控制列表包含多個對象净捅,并且列出主體對每個對象的訪問
54、以下哪個模型也被稱為基于身份的訪問控制模型辩块? A
A蛔六、自主訪問控制
B荆永、基于角色的訪問控制
C、基于規(guī)則的訪問控制
D国章、強制訪問控制
解析:自主訪問控制模型是基于身份的訪問控制模型
55具钥、集中授權(quán)可以確定用戶可以根據(jù)組織層級結(jié)構(gòu)來訪問哪些文件,一下哪項最能說明這一點液兽? D
A骂删、自主訪問控制模型
B、訪問控制列表
C四啰、基于規(guī)則的訪問控制列表
D宁玫、基于角色的訪問控制列表
解析:基于角色的訪問控制模型可以基于組織的層次結(jié)構(gòu),將用戶分組到角色柑晒,它是一個非自主訪問控制模型
56欧瘪、以下哪一項設(shè)計基于角色的訪問控制模型? A
A匙赞、基于角色的訪問控制模型允許多個組中的用戶成員資格
B佛掖、基于角色的訪問控制模型允許單個組里的用戶成員資格
C、基于角色的訪問控制模型是非分層的
D涌庭、基于角色的訪問控制使用標簽
解析:role-BAC模型是基于角色或組成員資格苦囱,用戶可以是多個租的成員,用不僅限于單個角色
57脾猛、什么類型的訪問控制依賴于使用標簽撕彤? C
A、自主訪問控制模型
B猛拴、非自主訪問控制模型
C羹铅、強制訪問控制模型
D、基于角色的訪問控制模型
解析:強制訪問控制依賴于對主體和客體使用標簽
58愉昆、以下哪一項最能說明強制訪問控制模型的特點职员? D
A、采用顯示拒絕理念
B跛溉、寬松的
C焊切、基于規(guī)則的
D、靜止
解析:強制訪問控制時禁止的芳室,他使用標簽而不是規(guī)則
59专肪、為某個特定系統(tǒng)規(guī)劃安全測試計劃時不用考慮下列哪個因素?
A堪侯、存儲在系統(tǒng)上的信息的敏感度
B嚎尤、執(zhí)行測試的難度
C、利用新測試工具進行試驗的意愿
D伍宦、系統(tǒng)對攻擊者的吸引力
解析:C 芽死,存儲在系統(tǒng)上的敏感信息乏梁、執(zhí)行測試的難度和攻擊者針對系統(tǒng)的可能性都是計劃安全測試任務(wù)時的有效考慮因素,嘗試新測試工具的需求不應(yīng)影響生產(chǎn)測試計劃
60关贵、以下哪一項一般不包括在安全評估中遇骑?
A、漏洞掃描
B揖曾、風險評估
C落萎、漏洞緩解
D、威脅評估
解析:C翩肌,安全評估包括旨在識別漏洞的許多類型的測試,評估報告通常包括緩解建議禁悠,然而評估并不包括實際緩解這些漏洞
61念祭、組織確保用戶被授予僅需要執(zhí)行具體工作任務(wù)的數(shù)據(jù)訪問權(quán)限,他們是一下哪些原則
A碍侦、最小特權(quán)原則
B粱坤、職責分離
C、知其所需原則
D瓷产、基于角色的訪問控制
解析: C : 知其所需:獲取了解或擁有執(zhí)行特定工作任務(wù)所要求的數(shù)據(jù)站玄,最小特權(quán)原則包括權(quán)限和許可,最小特權(quán)原則在IT安全中無效
62濒旦、下列選項中株旷,對于特殊權(quán)限什么不是相關(guān)的有效安全做法?
A尔邓、監(jiān)控特權(quán)分配
B晾剖、授予管理員和操作員同等訪問權(quán)限
C、監(jiān)控特權(quán)使用
D梯嗽、只授予受信員工訪問權(quán)限
解析:B齿尽,不應(yīng)該向管理員和操作人員授予相同權(quán)限,應(yīng)該僅向個人授予執(zhí)行工作所需的特權(quán)灯节,并且只應(yīng)該向受信任的個人授予訪問權(quán)限
63循头、組織使用的是軟件即服務(wù)(Saas)這種基于云的服務(wù)來與其他組織共享,這種描述是以下哪種類型的部署模式炎疆?
A卡骂、共有
B、私有
C形入、共同
D偿警、混合
解析:C:公共云模型包括可供消費者出租或租賃的資產(chǎn)
64、下列哪一項是在檢測和確認事件發(fā)生后最好的響應(yīng)唯笙?
A螟蒸、控制它
B盒使、報告他
C、修復它
D七嫌、收集證據(jù)
解析:A:遏制是檢測和驗證時間后的第一步少办,限制事件的影響和范圍,修復可以采取步驟防止事件彩復發(fā)诵原,這不是第一步英妓,重要是遏制事件時保護證據(jù),收集證據(jù)將在遏制后發(fā)生
65绍赛、下列哪一項描述了以未打補丁和未收保護的安全漏洞和錯誤數(shù)據(jù)設(shè)計虛假網(wǎng)絡(luò)以吸引攻擊者蔓纠?
A、IDS
B吗蚌、密網(wǎng)
C腿倚、填充單元
D、偽權(quán)限
解析:B蚯妇,蜜罐是單獨的計算機敷燎,創(chuàng)建用于入侵者的現(xiàn)金的整個網(wǎng)絡(luò),偽權(quán)限(由許多蜜罐和密網(wǎng)使用)是有意植入系統(tǒng)中以誘騙攻擊者的錯誤漏洞
66箩言、下列選項中硬贯,反惡意軟件保護的最佳方式是什么?
A陨收、每個系統(tǒng)多個解決方案
B饭豹、整個組織一個解決方案
C、不同的位置部署反惡意軟件保護
D务漩、所有邊界網(wǎng)絡(luò)不折不扣的過濾內(nèi)容
解析:多個解決方案提供最佳解決方案墨状,這涉及在幾個不同位置部署反惡意軟件保護
67、什么可以用來減少使用非統(tǒng)計方法的日志或?qū)徲嫈?shù)據(jù)量
A菲饼、閥值級別
B肾砂、取樣
C、日志分析
D宏悦、報警觸發(fā)器
解析:A 镐确,閥值是非統(tǒng)計抽樣的一種形式,抽樣是一種從審計日志提取有意義數(shù)據(jù)的統(tǒng)計方法
68饼煞、什么是災(zāi)難恢復計劃的最終目標源葫?
A、防止業(yè)務(wù)中斷
B砖瞧、建立臨時業(yè)務(wù)運營
C息堂、恢復正常的業(yè)務(wù)活動
D、最小化災(zāi)難影響
解析:C,一旦災(zāi)難終端業(yè)務(wù)運行荣堰,DRP目標是盡快恢復正常的業(yè)務(wù)活動床未。因此,災(zāi)難恢復計劃是在業(yè)務(wù)連續(xù)性計劃停止的地方起作用
69振坚、下面有關(guān)業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復計劃的描述中哪一個是不正確的薇搁?
A、業(yè)務(wù)連續(xù)性計劃的重點是當災(zāi)難發(fā)生時保持業(yè)務(wù)功能不間斷
B渡八、企業(yè)可以選擇是否定制業(yè)務(wù)連續(xù)性計劃或災(zāi)難恢復計劃
C啃洋、業(yè)務(wù)連續(xù)性計劃彌補了災(zāi)難計劃的不是
D、災(zāi)難恢復計劃指導組織恢復主站點的正常運營
解析:災(zāi)難恢復計劃在業(yè)務(wù)連續(xù)性計劃終止時開始
70屎鳍、百年一遇洪水宏娄,對于應(yīng)急準備的官員是什么意思?
A逮壁、最后一次襲擊該區(qū)域的任何類型的洪水超過100年之久
B孵坚、在任何一年洪水發(fā)生的可能性在1/100的級別
C、預計該區(qū)域由于洪水帶來的問題至少100年是安全的
D貌踏、對該地區(qū)最后一次嚴重洪水襲擊已過100年之久
解析 B
71十饥、什么類型的備份包括所有文件自最近一次完整備份依賴存儲修改文件的拷貝窟勃?
A祖乳、差異備份
B、部分部分
C秉氧、增量備份
D眷昆、數(shù)據(jù)庫備份
解析:A ,差異備份中是存儲哪些自從最近一次完整備份依賴被修改過的所有文件的副本汁咏,無論間隔期內(nèi)是否創(chuàng)建了增量備份或差異備份
72亚斋、黑客行動主義者具有以下哪些因素驅(qū)使? B D
A攘滩、財務(wù)收益
B帅刊、快感
C、技能
D漂问、政治信仰
解析: 黑客行動注意者經(jīng)常將正值冬季和黑客的刺激結(jié)合在一起
73赖瞒、什么類型的事故的特點是獲得更多的特權(quán)級別?
A蚤假、危機
B栏饮、拒絕服務(wù)
C、惡意代碼
D磷仰、掃描
解析:A
74袍嬉、 什么是識別系統(tǒng)中異常和可疑的最好方法?
A、注意最新攻擊
B伺通、配置IDS檢測并報告所有的異常流量
C箍土、知道正常系統(tǒng)活動的樣子
D、研究主要攻擊活動類似的特征
解析:C
75泵殴、如果需要沒收一臺疑似不為組織工作的攻擊者計算機涮帘,什么法律渠道最合適?
A笑诅、員工簽訂同意協(xié)議
B调缨、搜查令
C、沒有合法渠道是必要的
D吆你、自愿同意
解析:B弦叶,因為不為組織工作職能使用搜查令
76、什么是道德妇多?D
A伤哺、強制要求履行的工作要求行動
B、專業(yè)操守的法律
C者祖、由專業(yè)機構(gòu)規(guī)定的條例
D立莉、個人行為的準則
解析;道德規(guī)范就是個人的行為規(guī)范 D
77七问、下列哪個操作被認為不可接受的蜓耻,并根據(jù)RFC1087 “道德規(guī)范與互聯(lián)網(wǎng)”是不道德的?
A械巡、行動危機機密信息的保密性
B刹淌、行動損害了用戶隱私
C、擾亂組織活動的行為
D讥耗、一臺被用于執(zhí)行違反規(guī)定的安全策略操作的計算機
解析: B確定了行為在RFC1087進行了說明
78有勾、以下哪個選項不屬于DevOps模型的三個組件之一?
A古程、信息安全
B蔼卡、軟件開發(fā)
C、質(zhì)量保證
D挣磨、IT運維
解析:A DevOps模型的三個要素是軟件開發(fā)雇逞、質(zhì)量保證和 IT操作
79、什么樣的數(shù)據(jù)庫技術(shù)可以組織“未授權(quán)用戶通過正常無權(quán)訪問信息的提示來確定信息級別”這樣的事情發(fā)生趋急?
A喝峦、推理
B、操縱
C呜达、多實例
D谣蠢、聚合
解析: C 多實例準許多條記錄的插入,看起來在一個數(shù)據(jù)庫中有相同的主鍵值
80、在軟件成熟度模型SW-CMM中眉踱,組織達到哪個階段就可以使用定量的方法獲得組織開發(fā)過程的詳細理解挤忙?
A、初始化
B谈喳、可重復
C册烈、可定義
D、可管理
解析:D 在可管理階段婿禽,SW-CMM的第四季赏僧,組織使用定量措施來詳細了解開發(fā)過程
81、當數(shù)據(jù)從一個較高分類級別到達一個較低分類級別時扭倾,數(shù)據(jù)庫會發(fā)生以下哪類安全風險淀零?
A、聚合
B膛壹、推理
C驾中、污染
D、多實例
解析: C 污染是指較高分類幾倍的數(shù)據(jù)和/或知其所需需求與來自較低分類級別的數(shù)據(jù)和/或須知需求的混合
82模聋、Tom建立了數(shù)據(jù)庫表坑傅,這個表包含名字瞳浦、電話號碼棘利、業(yè)務(wù)相關(guān)的客戶ID铐懊,這個表還包含了30個客戶的信息,請問這個表的度是多少侄柔?
A共啃、2
B占调、3
C暂题、30
D、未定義
解析: B 表的基數(shù)是指標中的行究珊,而表的度是列數(shù)
83薪者、在強制訪問控制中,敏感標記包含什么信息剿涮?
A言津、對象的分級、分類設(shè)置以及區(qū)間設(shè)置
B取试、對象的分級和區(qū)間設(shè)置
C悬槽、對象的分級、分類設(shè)置
D瞬浓、對象的分級設(shè)置
解析:C 敏感標記包含對象的分級(高危初婆、敏感)、分類設(shè)置(格子模型的安全域)
84、下面哪項是多級安全策略的必要組成部分磅叛?
A屑咳、適合于唯一客體的敏感標記和強制訪問控制
B、適合于主體域客體的敏感標記以及“高級別系統(tǒng)”評價
C弊琴、主體安全申明&適合于唯一客體的敏感標記和強制訪問標記
D兆龙、適合于主體與客體的敏感標記和自主訪問控制
解析:組織信息從較高安全級別流向較低安全級別的策略被稱為多級安全策略, C 具體原因不知
85敲董、下列哪一項是Kerberos提供的主要服務(wù)紫皇?
A、不可抵賴性
B腋寨、授權(quán)
C坝橡、認證
D、保密
解析: C精置, Kerberos提供授權(quán)和認證服務(wù)计寇,最主要的服務(wù)為認證服務(wù)
86、以下按個安全模型中通過主題的聲明與客體的分級相比較脂倦,這樣可以應(yīng)用來控制主體到客體的交互發(fā)生的控制番宁?
A、 訪問控制矩陣
B赖阻、Biba模型
C蝶押、獲取授予模型
D、Bell-LaPadula模型
解析:通過主題的聲明與客體的分級相比較為多級安全策略的概念火欧,bell-lapadula模型分類信息泄露或傳輸至較低的安全許可級別棋电,所以該題選D
87、什么樣的證書被用于驗證用戶的身份苇侵?
A赶盔、代碼簽名證書
B、根證書
C榆浓、屬性證書
D于未、公鑰證書
解析: D ,未找到理由陡鹃,可能是公鑰證書是密鑰對烘浦,通過密鑰對可以驗證用戶的身份
88、 主體控制訪訪問客體必須設(shè)置
A萍鲸、 訪問規(guī)則
B闷叉、接入終端
C、識別控制
D脊阴、訪問矩陣
解析:A握侧、訪問規(guī)則:控制使用訪問規(guī)則來限制主體對客體的訪問
89捌肴、 適用于用作備份媒體存儲的區(qū)域的對策是?
A藕咏、檢測/行政
B状知、預防/物理
C、預防/技術(shù)
D孽查、預防/行政
解析:A 饥悴,備份媒體存儲的區(qū)域?qū)Σ撸瑢儆陬A防/物理策略
90盲再、對于密碼通常比分配的數(shù)字更長的一系列字符被稱為西设?
A、真實的短語
B答朋、預期的短語
C贷揽、認知的短語
D、口令短語
解析:D梦碗,教材和網(wǎng)上未找到口令短語相關(guān)概念禽绪,記住便可
91、下列對于生物計量學描述正確的是洪规?
A印屁、生物識別技術(shù)已不存在邏輯控制的作用
B、它是用于在物理控制和邏輯控制身份認證
C斩例、它是用于在物理控制和邏輯控制認證標識
D雄人、他用于在物理控制識別,不用于邏輯控制
解析 : C 念赶,使用物理控制和邏輯控制認證標識
92础钠、下列哪項涉及Kerberos?
A、保密性和完整性
B叉谜、可審計性和完整性
C旗吁、身份驗證和可用性
D、驗證和完整性
解析:A ,Kerberos使用端對端的安全機制保障認證通信的機密性和完整性
93正罢、RADIUS包括下列哪些服務(wù)阵漏?
A驻民、認證服務(wù)器和PIN碼
B翻具、客戶端的認證,動態(tài)密碼生成
C回还、客戶端的認證和靜態(tài)密碼生成
D裆泳、認證服務(wù)器以及靜態(tài)和動態(tài)密碼支持
解析:D , RADIUS服務(wù)器為認證服務(wù)器柠硕,通過用戶發(fā)送過來的憑證進行認證用戶身份和特權(quán)工禾,用戶憑證可以是靜態(tài)也可以是動態(tài)密碼
94运提、那個訪問控制模型又被叫做非自主訪問控制?
A闻葵、基于晶格訪問控制
B民泵、基于標簽的訪問控制
C、基于角色的訪問控制
D槽畔、強制訪問控制
解析:C 栈妆, 非自主訪問控制包括:基于角色、基于規(guī)則厢钧、基于屬性鳞尔、強制訪問控制四種,講道理早直,這里應(yīng)該選C寥假、D
95、高安全級別且僅有管理員可以分配權(quán)限的環(huán)境下霞扬,下列哪種訪問控制模型最為合適糕韧?
A、 DAC自主訪問控制
B喻圃、TACACS
C兔沃、訪問控制矩陣
D、強制訪問控制
解析: D : 管理員分配權(quán)限级及,不屬于自主訪問控制乒疏;B為認證服務(wù)器,不符合饮焦;訪問控制矩陣屬于DAC怕吴,所以選D
96、哪種安全模型通過中央授權(quán)來決定那些客體可以訪問對應(yīng)的客體县踢?
A转绷、自主訪問控制
B、強制訪問控制措施
C硼啤、非自主訪問控制措施
D议经、中央訪問控制措施
解析:C ,A自主訪問控制措施非中央授權(quán)谴返,為所有者授權(quán)煞肾;強制訪問控制措施屬于非自主訪問控制措施;非自主訪問控制措施:任何一個不是可自由支配的模型都是非可任意支配模型嗓袱,這些模型包括基于規(guī)則籍救、角色和基于格子的訪問
97、數(shù)據(jù)視圖不是用來:
A渠抹、實施最小權(quán)限
B蝙昙、實現(xiàn)依賴于內(nèi)容的訪問限制
C闪萄、實現(xiàn)需知
D、實現(xiàn)參照完整性
解析:數(shù)據(jù)庫視圖使基于內(nèi)容的控制奇颠,最小權(quán)限败去,依賴內(nèi)容的訪問控制和實現(xiàn)需知都是內(nèi)容控制
電信與網(wǎng)絡(luò)安全
98 當提及一個數(shù)據(jù)包結(jié)構(gòu)時,以下哪項可以表示為一個TCP包在傳輸層的單個數(shù)據(jù)單元烈拒?
A为迈、TCP段
B、TCP包
C缺菌、TCP幀
D葫辐、TCP報文
解析:A、 在傳輸層伴郁,TCP被稱為段耿战,UDP被稱為報文
99 在OSI/ISO模型中,哪兩層設(shè)計SSL協(xié)議的設(shè)計和操作焊傅?
A剂陡、 應(yīng)用層/會話層
B、應(yīng)用/傳輸層
C狐胎、應(yīng)用/表示層
D鸭栖、應(yīng)用/網(wǎng)絡(luò)層
解析:SSL全名(加密套接字協(xié)議層)主要作用為加密傳輸數(shù)據(jù),加密屬于傳輸層
100握巢、在IKE和IPSec協(xié)議中晕鹊,關(guān)于PreShare Key認證一下哪項不正確的
A、在龐大的人群中使用昂貴的秘鑰管理系統(tǒng)
B暴浦、每個共享秘鑰都采用簡單的密碼
C溅话、需要PKI工作
D、只有一個共享秘鑰對需要所有的VPN連接
101歌焦、在數(shù)據(jù)報文中飞几,IP頭部都有會對協(xié)議的標識區(qū)域,如協(xié)議標識為51独撇,那么該數(shù)據(jù)報文屬于以下那類型屑墨?
A、ICMP協(xié)議
B纷铣、UDP協(xié)議
C卵史、TCP協(xié)議
D、認證頭部
解析:答案(D)关炼。 6=>TCP,17=>udp,ICMP=>1,AH=>51
102程腹、 TLS協(xié)議是一個二層接口層安全協(xié)議,包括TLS記錄協(xié)議和儒拂?
A寸潦、傳輸層安全(TLS)互連網(wǎng)協(xié)議
B、傳輸層安全數(shù)據(jù)(TLS)協(xié)議
C社痛、傳輸層安全連接協(xié)議
D见转、傳輸層安全握手協(xié)議
解析:安全傳輸層協(xié)議包括TLS記錄協(xié)議和TLS握手協(xié)議
103:以下哪種方式是用于IDS系統(tǒng)具有高速的錯誤識別率?
A蒜哀、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)
B斩箫、基于異常統(tǒng)計的入侵檢測
C、基于知識庫的入侵檢測
D撵儿、基于主機的入侵檢測
解析:C 入侵檢測:入侵檢測分為基于知識的入侵檢測和基于行為的入侵檢測乘客,
104: 什么是一個TFTP服務(wù)器最有用?
A淀歇、終端訪問文件服務(wù)器
B易核、終端訪問網(wǎng)絡(luò)設(shè)備
C、文件傳輸?shù)絎EB服務(wù)器
D浪默、配置傳輸?shù)骄W(wǎng)絡(luò)設(shè)備
解析: TFTP,客戶機與服務(wù)器之間進行簡單文件傳輸?shù)膮f(xié)議
105:什么類型的攻擊包括IP欺騙牡直,ICMP回應(yīng)和反彈網(wǎng)站
A、IP欺騙攻擊
B纳决、Teardrop攻擊
C碰逸、SYN攻擊
D、Smurf攻擊
解析:D阔加,smurf攻擊通過欺騙廣播ping對目標網(wǎng)絡(luò)產(chǎn)生巨大的流量
106:哪種類型的防火墻可以用來跟蹤連接協(xié)議如UDP何RPC饵史?
A、應(yīng)用級防火墻
B胜榔、電路級防火墻
C约急、狀態(tài)監(jiān)測防火墻
D、包過濾防火墻
解析:B
107:點對點隧道協(xié)議在OSI/IOS模型哪個層工作苗分?
A厌蔽、數(shù)據(jù)鏈路層
B、傳輸層
C摔癣、會話層
D奴饮、網(wǎng)絡(luò)層
解析: A:PPTP,是從撥號協(xié)議點對點協(xié)議開發(fā)出來的一種封裝協(xié)議择浊,工作在OSI模型的數(shù)據(jù)鏈路層(第二層)
軟件安全與開發(fā)
108 為了執(zhí)行測試和評估以驗證系統(tǒng)的安全級別戴卜,確認系統(tǒng)負荷、系統(tǒng)設(shè)計規(guī)范和安全需求琢岩,應(yīng)采取如下哪個活動投剥?
A、評估
B担孔、確認
C江锨、精確性
D吃警、證明
解析: B、評估只是過程啄育,確認是評估得到確定的結(jié)果
109酌心、對象關(guān)系和面向?qū)ο竽P透m合于管理復雜數(shù)據(jù),比如在以下哪種情況中挑豌?
A安券、計算機輔助處理與鏡像
B、計算機輔助開發(fā)與鏡像
C氓英、計算機輔助設(shè)計和鏡像
D侯勉、計算機輔助復制和鏡像
解析:C ,不清楚
110: 下面哪個選項不屬于關(guān)系數(shù)據(jù)庫的模型
A铝阐、被稱為標間參考關(guān)系驗證的安全結(jié)構(gòu)
B址貌、決定 有效范圍和值的若干限制
C、數(shù)據(jù)表饰迹、數(shù)據(jù)行芳誓、字段和值域
D、用于控制數(shù)據(jù)如何訪問操作的DML語句
解析: A,其中 B和C屬于關(guān)系數(shù)據(jù)庫模型 數(shù)據(jù)庫組件:DDL(數(shù)據(jù)定義語言)啊鸭,允許創(chuàng)建和更改數(shù)據(jù)庫的結(jié)構(gòu)锹淌,數(shù)據(jù)草種語言(DML),允許用戶與模式內(nèi)包含的數(shù)據(jù)交互
111: 數(shù)據(jù)庫描述被稱為schema,它采取如下那種方式進行定義:
A赠制、 數(shù)據(jù)操作語言(DML)
B赂摆、搜索查詢語言(SQL)
C、數(shù)據(jù)控制語言(DCL)
D钟些、數(shù)據(jù)定義語言(DDL)
解析:D 烟号,schema模式擁有定義或描述數(shù)據(jù)庫的數(shù)據(jù),模式使用數(shù)據(jù)定義語言(DDL)編寫
112政恍、對于數(shù)據(jù)庫來說汪拥,下面哪一項具有使代碼重用與系統(tǒng)分析變輕松和減少系統(tǒng)維護工作量的特征?
A篙耗、面向?qū)ο髷?shù)據(jù)庫
B迫筑、數(shù)據(jù)庫管理系統(tǒng)
C、關(guān)系型數(shù)據(jù)庫
D宗弯、對象關(guān)系型數(shù)據(jù)庫
解析:A脯燃,面向?qū)ο髷?shù)據(jù)庫,集合數(shù)據(jù)庫和面向?qū)ο蠊δ苊杀#奖懔舜a重用和故障處理分析辕棚,并減少了整體維護工作量,更適合支持設(shè)計多媒體、CAD逝嚎、視頻扁瓢、圖像和專家系統(tǒng)的復雜應(yīng)用
113、什么是RAD
A懈糯、系統(tǒng)復雜度測量方法
B涤妒、項目管理技術(shù)
C单雾、風險評估示意圖
D赚哗、一種開發(fā)方法
解析:D ,RAD硅堆,線性順序開發(fā)模型
114屿储、在系統(tǒng)項目中,下面哪個選項對于項目活動與資源的計劃于控制時恰當?shù)?br>
A渐逃、甘特圖
B够掠、項目評審技術(shù)(PERT)
C、關(guān)鍵路徑法(CPM)
D茄菊、功能點分析法(FPA)
解析:B疯潭,
甘特圖:不聽時間項目和調(diào)度之間的相互關(guān)系的條形圖,幫助提供計劃面殖、協(xié)調(diào)和跟蹤項目中特定任務(wù)的跳讀
計劃評審計劃(PERT)竖哩,為風險評估計算標準偏差,將每個組件的最小可能大小脊僚,最可能的大小以及最大可能大小聯(lián)系在一起
關(guān)鍵路徑法:制定組織對新設(shè)備的需求相叁,確定關(guān)鍵任務(wù)應(yīng)用、處理辽幌、操作和所有支撐要素之間的關(guān)系
功能點分析法:一種從用戶的角度對軟件開發(fā)進行度量的方法增淹。
115、下面哪個選項最佳解釋了為什么計算機信息系統(tǒng)經(jīng)常不能滿足用戶需求乌企?
A虑润、項目將會延期
B、項目無法滿足業(yè)務(wù)或用戶需求
C加酵、項目將與現(xiàn)有系統(tǒng)不兼容
D拳喻、項目將會超預算
解析:B
116、下面哪個選項是決策支持系統(tǒng)(DSS)關(guān)于威脅與風險分析的特征
A虽画、DSS目標在于解決高度結(jié)構(gòu)化的問題
B舞蔽、DSS結(jié)合了非傳統(tǒng)數(shù)據(jù)訪問和檢索功能模型
C、DSS只支持結(jié)構(gòu)化決策任務(wù)
D码撰、DSS強調(diào)了用戶決策的靈活性
解析:D渗柿,DSS分析業(yè)務(wù)數(shù)據(jù)并且以更容易做出業(yè)務(wù)決策的形式提供給用戶,是信息型應(yīng)用
117、下列選項中哪一個不能對應(yīng)建立在關(guān)系數(shù)據(jù)庫中標的主鍵值的數(shù)量
A朵栖、 行數(shù)
B颊亮、基數(shù)
C、元組數(shù)
D陨溅、階次
解析:D终惑,
行數(shù): 記錄或元祖數(shù)
基數(shù):關(guān)系中行的數(shù)量
階次:意義不明
118、下列哪個選項不是強調(diào)DBMS的安全性的门扇?
A雹有、擾動
B、單元抑制
C臼寄、填充單元
D霸奕、分割
解析:C
擾動: 在DBMS中插入錯誤或欺騙的數(shù)據(jù),從而重定向或阻擾信息機密性攻擊
單元抑制:對單獨的數(shù)據(jù)庫字段或單元隱藏或加強更安全的約束
填充單元:蜜罐的技術(shù)
分割:數(shù)據(jù)庫分區(qū)防止聚合吉拳、 推理和污染漏洞
119质帅、考慮到一個IT系統(tǒng)發(fā)展生命周期,安全應(yīng)該:
A留攒、開發(fā)階段考慮最多
B煤惩、啟動階段考慮最多
C、一旦涉及完成就添加
D炼邀、被當做總體系統(tǒng)設(shè)計的主要部分
解析:B
120魄揉、下列幾個“軟件開發(fā)生命周期”的階段中,哪個通常強調(diào)適度謹慎和適度勤勉
A汤善、軟件計劃和需求
B什猖、實施
C、產(chǎn)品設(shè)計
D红淡、系統(tǒng)可行性
解析: A
信息安全管理
121不狮、一個弱點或缺乏保護措施,可以被威脅利用在旱,對信息系統(tǒng)或網(wǎng)絡(luò)造成的危害被稱為
A摇零、風險
B、溢出
C桶蝎、威脅
D驻仅、脆弱性
解析:D,脆弱性登渣,是指弱點以及保護措施的缺失
121噪服、風險消減和降低風險的控制措施主要分為以下三種類別?
A胜茧、預防粘优、糾正和管理
B仇味、管理、操作和邏輯
C雹顺、檢測丹墨、糾正和物理
D、物理嬉愧、技術(shù)和管理
解析:D 贩挣,書上未找到具體原因, 理解為風險消除和降低主要通過物理控制没酣、邏輯控制和行政控制來實現(xiàn)
121王财、下列哪一項將最適合監(jiān)督信息安全策略的部署?
A四康、系統(tǒng)管理員
B搪搏、安全管理員
C狭握、安全官(security office)
D闪金、人力資源部
解析:C ,翻譯問題论颅,安全官= 安全專員哎垦,在我的理解中,應(yīng)該由審計來做監(jiān)督工作
121恃疯、下列哪項不是管理控制漏设?
A、變更控制程序
B今妄、政策郑口、標準,程序和指南開發(fā)
C盾鳞、人員篩選
D犬性、邏輯訪問控制機制
解析:D、 不是管理控制中腾仅,邏輯訪問控制機制最接近乒裆,邏輯訪問控制為主題對客體的訪問
121 根據(jù)私營部門數(shù)據(jù)分類級別,薪酬水平和醫(yī)療信息會被怎樣歸類推励?
A鹤耍、公開
B、私有
C验辞、保密
D稿黄、敏感
解析:B , 私營部門分類:機密跌造、隱私麦向、敏感崎场、公開
機密:極端敏感的和只能內(nèi)部使用的咕缎,泄露對公司有重大的負面影響
隱私:具有隱私性和個人特性以及僅供內(nèi)部使用周叮,泄密對公司或個人有重大負面影響
敏感:泄密對公司產(chǎn)生負面影響
121、下列哪項不是對數(shù)據(jù)管理員的職責扰才?
A、提供對數(shù)據(jù)庫的訪問授權(quán)
B、重組數(shù)據(jù)庫
C朝墩、維護數(shù)據(jù)庫
D、實現(xiàn)數(shù)據(jù)庫的規(guī)則訪問
解析:A伟姐,應(yīng)該是翻譯原因收苏,英文的意思應(yīng)該是管理員具有訪問數(shù)據(jù)庫的權(quán)限
121、下列哪項能作為一種管理控制分類愤兵?
A鹿霸、人員安全
B、物理和環(huán)境安全
C秆乳、文檔編制
D懦鼠、審查安全控制
解析:D,行政管理訪問控制也被叫做管理控制屹堰,包括策略肛冶、過程、雇傭準則扯键、背景調(diào)查睦袖、數(shù)據(jù)分類和標簽、安全意識和培訓效果荣刑、休假記錄馅笙、報告和回顧、工作監(jiān)督厉亏、人員控制以及測試董习。工作監(jiān)督包括審查安全控制
122、進行安全規(guī)劃的主要步驟包括以下除了哪一項叶堆?
A阱飘、確定備選的行動方案
B、創(chuàng)建一個安全審計功能
C虱颗、創(chuàng)建具體目標
D沥匈、列出規(guī)劃假設(shè)
解析:B ,安全規(guī)劃的步驟應(yīng)該是忘渔,創(chuàng)建具體目標高帖,規(guī)劃實現(xiàn)目標的假設(shè),然后制定行動方案
123畦粮、詳細步驟指令說明用來滿足控制要求稱為散址?
A乖阵、標準
B、指南
C预麸、程序
D瞪浸、方針
解析:C,
標準:戰(zhàn)術(shù)文檔吏祸,定義達到安全策略制定的目標和總體方向的步驟
指南:提供如何實現(xiàn)標準以及基準的建議
程序:規(guī)范化安全策略結(jié)構(gòu)的最后一個要素对蒲,是詳細的、按部就班的指導文檔贡翘,描述了實現(xiàn)特定安全機制蹈矮、控制或解決方案所需的確切行動
密碼學
123、下面哪一層提供不可抵賴服務(wù)鸣驱?
A泛鸟、網(wǎng)絡(luò)層
B、數(shù)據(jù)鏈路層
C踊东、傳輸層
D北滥、應(yīng)用層
解析:D,傳輸文件递胧、交換信息和連接遠程終端等任務(wù)所需的協(xié)議和服務(wù)都在這一層
124碑韵、數(shù)據(jù)加密標準(DES)加密算法具有以下哪個特點?
A缎脾、64位塊和一個64位總秘鑰長度
B、128位秘鑰和8位用于奇偶校驗
C占卧、64位數(shù)據(jù)輸入和56位加密輸出
D遗菠、56位數(shù)據(jù)輸入使用56位加密輸出
解析: A,B不正確华蜒,C是64位數(shù)據(jù)輸入和64位加密輸出辙纬,D不正確,故選A
125叭喜、一個公鑰加密算法包括了加密和數(shù)字簽名是以下哪一個贺拣?
A、 DES
B捂蕴、 IDEA
C譬涡、 Diffe-Hellman
D、RSA
解析:數(shù)字簽名加密算法: RSA,ECDSA(橢圓曲線數(shù)字簽名算法)
126啥辨、為了遵守IETF標準的IPSEC協(xié)議涡匀,以下哪種秘鑰交換方法必須被使用?
A溉知、 Diffie-Hellman
B陨瘩、ISAKMP(網(wǎng)絡(luò)安全協(xié)會和秘鑰管理協(xié)議)
C腕够、IKE
D、以上都不對
127舌劳、下列哪一項不屬于IKE和IPSec的認證方法帚湘?
A、公鑰認證
B甚淡、基于證書的認證
C客们、CHAP
D、預共享秘鑰
解析:C材诽,因為CHAP是PPP連接上使用的一種身份認證
128底挫、下列哪個選項不是IKE/IPSec協(xié)議愚公像秘鑰認證的特征?
A脸侥、大規(guī)模用戶群組的秘鑰管理代價高
B建邓、對于全部VPN連接僅需要一個預共享秘鑰
C、預共享秘鑰認證常痴稣恚基于弱口令
D官边、需要與PKI協(xié)同工作
答案:D,因為PKI(公鑰基礎(chǔ)設(shè)施)是證書協(xié)議管理外遇,
129注簿、下列哪一種加密方案應(yīng)用在S/MIME標準中?
A跳仿、基于公鑰的混合加密方案
B诡渴、非對稱加密方案
C、基于橢圓曲線的加密
D菲语、基于口令的加密方案
解析:A妄辩,因為S/MIME是基于RSA公鑰加密以及x.509證書交換密碼系統(tǒng)秘鑰
130、哪一種證書被用來驗證用戶的身份山上?
A眼耀、代碼簽名證書
B、公鑰證書
C佩憾、根證書
D哮伟、屬性證書
解析:B,公鑰證書,公鑰證書通過密鑰對妄帘,實現(xiàn)驗證用戶身份
131楞黄、下列哪一項是對“證書路徑驗證”最好的描述?
A寄摆、驗證相關(guān)證書的撤銷狀態(tài)
B谅辣、驗證所有關(guān)聯(lián)的根證書的完整性
C、驗證相關(guān)私鑰的完整性
D婶恼、驗證根證書下某一證書鏈中所有證書的有效性桑阶?
解析:D柏副,證書路徑驗證(CPV)指的是從原始起點或可信根源至相關(guān)服務(wù)器或客戶端的證書路徑中的每個證書都應(yīng)當考慮其是否有效與合法
132、以下哪一個不是Rijndael分組加密算法的屬性蚣录?
A割择、秘鑰長度不需要分配分組長度
B、最大秘鑰長度512位
C萎河、最大秘鑰長度是256位
D荔泳、秘鑰長度可以是32位的任意倍數(shù)
解析:B,Rijndael秘鑰準許使用三種秘鑰強度:128虐杯、192玛歌、256
132 以下哪個寫實提供無線通信安全?
A擎椰、WDP
B支子、WSP
C、S-WAP
D达舒、WTLS
解析:D,WTLS無線傳輸層安全值朋,能夠提供TLS和SSL相似的安全通信服務(wù)
133 公鑰基礎(chǔ)設(shè)施(PKI)如何發(fā)布公鑰的?
A巩搏、通過e-mail發(fā)布
B昨登、不發(fā)布
C、通過數(shù)字證書發(fā)布
D贯底、所有者親自來取
解析:C丰辣,PKI通過數(shù)字證書發(fā)布
134 關(guān)于分組密碼以下哪個陳述是錯誤的?
A丈甸、對固定長度明文進行操作
B糯俗、某些分組密碼內(nèi)部是流密碼操作
C、用公鑰加密睦擂,私鑰解密
D、適合用軟件而不是硬件來實現(xiàn)
解析:C杖玲, 對固定長度明文進行操作正確顿仇,這是分組的概念,B摆马,分組密碼內(nèi)部是流密碼操作臼闻,正確,D囤采,適合硬件來實現(xiàn)述呐,正確B,是公鑰密碼的概念
135蕉毯、Clipper芯片使用秘鑰的長度是多少乓搬?
A思犁、 64bits
B、 80 bits
C进肯、56 bits
D激蹲、 40 bits
解析: B,clipper基于skipjack加密方法江掩,秘鑰長度為80bits
136学辱、以下哪個加密算法不涉及離散對數(shù)?
A环形、Elliptic Curve 橢圓曲線
B策泣、Diffe-Hellman
C、RSA
D抬吟、EI Gamal
解析:C 萨咕,RSA通過大質(zhì)數(shù)分析,
物理與環(huán)境安全
137拗军、下列哪一項是撲滅電容火災(zāi)的最佳選擇任洞?
A、 二氧化碳发侵,蘇打酸和哈龍
B交掏、 水和蘇打酸
C、 ADC配比化學干粉式滅火劑
D刃鳄、二氧化碳
解析:D盅弛、 蘇打酸,A哈龍會導致電容設(shè)備異常叔锐, 水不適合電容類型設(shè)備挪鹏, C干粉滅火器可能導致電容設(shè)備異常
138、 下列哪一項是通過干擾化學鏈式反應(yīng)抑制燃燒而達到滅火的作用愉烙?
A讨盒、 蘇打酸
B、哈龍
C步责、二氧化碳
D返顺、水
解析: B 哈龍
139、下列哪一個防護設(shè)備用于保護離目標幾英尺之內(nèi)區(qū)域的定點保護蔓肯,而非整個房間的安全監(jiān)控遂鹊?
A、微波式移動偵測器
B蔗包、電容偵測器
C秉扑、近距供電設(shè)備
D、音頻偵測器
解析:B 调限,未在教材中找到電容偵測器設(shè)備說明
140舟陆、 什么溫度開始傷害到磁盤設(shè)備误澳?
A、華氏100度
B吨娜、華氏150度
C脓匿、華氏175度
D、華氏125度
解析:A
141宦赠、通過環(huán)境設(shè)計預防犯罪的概念里陪毡,‘地域性’這個概念的最佳描述是?
A勾扭、所有者
B毡琉、用不同的方法保護特定區(qū)域
C、局部的排放
D妙色、邊界的折中
解析: A
安全架構(gòu)設(shè)計
142桅滋、以下哪些是生命周期保證需要的?
A身辨、配置管理和可信設(shè)施管理
B丐谋、系統(tǒng)架構(gòu)以及設(shè)計規(guī)范
C、安全測試和隱蔽通道分析
D煌珊、安全測試和可信分析
解析:D号俐,生命周期保證: 系統(tǒng)的整個生命周期內(nèi)正確的實現(xiàn)安全策略的保證
143、以下哪一項不是系統(tǒng)架構(gòu)的基礎(chǔ)組件定庵?
A吏饿、輸入輸出設(shè)備
B、存儲設(shè)備
C蔬浙、中央處理器
D猪落、主板
解析:D
144、如果所有的用戶都有安全申明或授權(quán)畴博,基于志氣必須來訪問所有數(shù)據(jù)笨忌,那么系統(tǒng)運行在哪種安全模式?
A俱病、 分隔化的安全模式
B蜜唾、多級安全模式
C、 專用的安全模式
D庶艾、 高系統(tǒng)安全性模式
解析:C
145、Clark-Wilson安全模型關(guān)注擎勘?
A咱揍、 保密性
B、可追溯性
C棚饵、可用性
D煤裙、完整性
解析:D掩完,Clark-Wilson為商業(yè)環(huán)境設(shè)計的模型,使用多層面途徑實施數(shù)據(jù)的完整性
146硼砰、*(星)規(guī)則在Biba模型中的意思是什么且蓬?
A、不向下讀
B题翰、不向上寫
C恶阴、不向上讀
D、不向下寫
解析: B 豹障,簡單屬性總與讀操作有關(guān)冯事,星號屬性總與寫操作有關(guān)
147、以下哪個安全模型是對運行操作劃分為不同的部分血公,并要求不同部分由不同用戶執(zhí)行昵仅?
A、 bell-Lapadula模型
B累魔、 Biba 模型
C摔笤、 Clark-Wilson模型
D、非干擾模型
解析:C
148垦写、引用監(jiān)視器必須滿足三個條件時什么吕世?
A、 隔離梯澜、完備性和可驗證性
B寞冯、 隔離、分層和抽象
C晚伙、 政策吮龄、機制和保證
D、保密性咆疗、可用性和完整性
解析: A
操作安全
150漓帚、下列哪一項不是一個操作控制的一個例子?
A午磁、審計
B尝抖、操作規(guī)程
C、備份和恢復
D迅皇、應(yīng)急計劃
解析:A昧辽,審計屬于檢測性控制
151、哪種備份方法通常在歸檔已備份后登颓,重置歸檔位
A搅荞、磁帶備份方法
B、差分備份方法
C、局部備份方法
D咕痛、增量備份方法
解析:D
完整備份: 歸檔比特都會被重置痢甘、關(guān)閉或設(shè)置為0
增量備份: 歸檔比特被打開、啟用或設(shè)置為1的文件茉贡,備份完成塞栅,文件的歸檔比特都會被重置、關(guān)閉或設(shè)置為0
差異備份: 復制歸檔畢業(yè)被打開腔丧、啟用或設(shè)置為1放椰,備份過程不改變歸檔位
151、下列哪項不是一種預防性的操作控制悔据?
A庄敛、進行安全意識和技術(shù)培訓
B、保護筆記本電腦科汗,個人電腦和工作站
C藻烤、控制數(shù)據(jù)的介質(zhì)訪問和處理
D、控制軟件病毒
解析:A头滔, 安全意識和技術(shù)培訓屬于行政管理性訪問控制
預防性訪問控制
檢測性訪問控制
糾正性訪問控制
威懾性訪問控制
恢復性訪問控制
指令性訪問控制
補償性訪問控制
行政管理性訪問控制
邏輯/技術(shù)性訪問控制
物理性訪問控制
152怖亭、根據(jù)TCSEC的評級,以下功能是不太可能被一個典型的安全管理員執(zhí)行坤检?
A兴猩、設(shè)置用戶許可和初始密碼
B、設(shè)置或更改文件敏感標簽
C早歇、復查審計數(shù)據(jù)
D倾芝、添加和刪除系統(tǒng)用戶
解析:D,添加和刪除系統(tǒng)用戶屬于管理員執(zhí)行箭跳,安全管理員偏向安全相關(guān)的工作
153晨另、 哪一個安全級別是第一個要求可信恢復的?
A谱姓、 A1
B借尿、B1
C、B3
D屉来、B2
解析:C
法律法規(guī)路翻、符合性和調(diào)查
154、以下哪一項處理工業(yè)和企業(yè)間諜活動茄靠?
A茂契、1996年的美國經(jīng)濟和專利信息保護法案
B、通用系統(tǒng)安全準則
C慨绳、1980年的經(jīng)濟合作與發(fā)展組織
D账嚎、1970年的滅國詐騙影響和腐敗組織法案
解析: A
155莫瞬、黑客不大可能使用以下哪種工具?
A郭蕉、Nmap
B、Nessus
C喂江、Tripwire
D召锈、Saint
解析:C ,Tripwire是unix下的完整性檢測工具
156获询、哪一類型的證據(jù)是證據(jù)的復印件或?qū)ζ鋬?nèi)容的口頭描述涨岁,不如最佳證據(jù)可靠?
A吉嚣、次要證據(jù)
B梢薪、直接證據(jù)
C、傳聞證據(jù)
D尝哆、間接證據(jù)秉撇、
解析:A
次要證據(jù): 最佳證據(jù)內(nèi)容的證據(jù)副本或口頭說明
直接證據(jù):通過基于證人五官感知收集信息的言辭證據(jù)或反駁特定行為的證據(jù)
傳聞證據(jù):其他人在庭外告訴證人的內(nèi)容所形成的證據(jù),沒有經(jīng)過系統(tǒng)管理員驗證的計算機日志文件也可能被認為傳聞證據(jù)
157秋泄、飛客是專攻電話欺詐的黑客琐馆,哪種類型的電話欺詐/攻擊利用產(chǎn)生音調(diào)的設(shè)備模擬向付費電話投幣,從而欺騙系統(tǒng)完成免費通話恒序?
A瘦麸、 白盒子
B、藍盒子
C歧胁、 紅盒子
D滋饲、黑盒子
解析:C
黑盒: 操縱電壓,以便竊取長途服務(wù)
紅盒:模擬硬幣存入付費電話的聲音
藍盒: 模擬與電話網(wǎng)絡(luò)主干系統(tǒng)直接互動的2500HZ聲音
白盒:控制電話系統(tǒng)
158喊巍、紙質(zhì)的業(yè)務(wù)記錄屠缭、手冊和印刷品應(yīng)該劃分為哪類證據(jù)?
A玄糟、文本性證據(jù)(文檔性證據(jù))
B勿她、實物性證據(jù)
C、說明性證據(jù)
D阵翎、直接證據(jù)
解析:A
159逢并、在法律領(lǐng)域內(nèi),以下哪個法規(guī)對證據(jù)收集做出規(guī)定郭卫?
A砍聊、調(diào)查規(guī)則
B、傳聞規(guī)則
C贰军、排除規(guī)則
D玻蝌、最佳證據(jù)規(guī)則
解析:C
160蟹肘、美國哪項法案規(guī)定對機構(gòu)高級管理層在預防和檢測過程中的不作為處以最高2億美元的罰款?
A俯树、1987年美國計算機安全法案
B帘腹、1996年美國國家信息基礎(chǔ)設(shè)施保護法
C、1991年美國聯(lián)邦量刑指南
D许饿、1986年美國計算機欺詐和濫用法
解析: C
業(yè)務(wù)連續(xù)性
161 下列哪項不是一個交易冗余的實現(xiàn)方法阳欲?
A、數(shù)據(jù)庫副本
B陋率、遠程日志
C球化、電子傳送
D、現(xiàn)場鏡像
解析:D瓦糟,鏡像并非服務(wù)器實例
162 下列哪個提供企業(yè)管理的優(yōu)先名單的時間關(guān)鍵業(yè)務(wù)流程筒愚,并估計每個關(guān)鍵過程的時間和企業(yè)支持這些過程組件恢復時間目標?
A菩浙、現(xiàn)狀評估
B巢掺、業(yè)務(wù)風險評估
C、業(yè)務(wù)影響評估
D芍耘、風險緩解評估
解析:C址遇,決定組織的持續(xù)發(fā)展的資源,以及對這些資源的威脅斋竞,評估威脅實際出現(xiàn)的可能性以及出現(xiàn)的威脅對業(yè)務(wù)的影響
164倔约、一個公司的計算機系統(tǒng)災(zāi)難恢復計劃(DRP)通常聚焦在?
A坝初、熱站兼容設(shè)備的可用性
B浸剩、它的重點是在替代站點恢復操作
C、災(zāi)難發(fā)生的概率
D鳄袍、長期性的戰(zhàn)略規(guī)劃
解析:B
165绢要、下列哪一項針對IT系統(tǒng)部是常見的威脅分類/類別?
A拗小、技術(shù)
B重罪、黑客
C、人
D哀九、自然
解析:B
166剿配、下面哪項對IT應(yīng)急計劃維護陳述不正確的?
A阅束、 該計劃每年至少一次的準確性和完整性進行審查
B呼胚、應(yīng)該保持嚴格的版本控制
C、應(yīng)急計劃的協(xié)調(diào)者應(yīng)確保每個員工有這一計劃的最新副本
D息裸、計劃的副本應(yīng)該提供給恢復人員以便離線存儲在家和辦公室
解析:C
167蝇更、 以下哪項最好幫助組織獲取其生存的直觀重要的功能的普遍共識
A沪编、業(yè)務(wù)評估
B、業(yè)務(wù)影響分析
C年扩、風險評估
D蚁廓、災(zāi)難恢復計劃
168、業(yè)務(wù)影響分析(BIA)期間常遂,什么是最不可能被執(zhí)行的纳令?
A、評估財務(wù)和運營中斷的影響
B克胳、確定一個功能的恢復時間目標
C、確定組織的市場份額和企業(yè)形象的影響
D圈匆、識別合規(guī)暴露
解析:B漠另,BIA的過程為:確定優(yōu)先級、風險識別跃赚、可能性評估笆搓、影響評估、資源優(yōu)先級劃分
169纬傲、下列哪項是業(yè)務(wù)影響分析不去識別的?
A、災(zāi)難發(fā)生后企業(yè)可以容忍的停機時間
B击喂、災(zāi)難發(fā)生時要聯(lián)系個體的名稱
C绍坝、對企業(yè)生存起關(guān)鍵作用的系統(tǒng)
D、災(zāi)難發(fā)生后遭受最大的財務(wù)或經(jīng)營虧損的領(lǐng)域
解析:B
170汁雷、什么是電子跳躍
A净嘀、信息在一個小時之內(nèi)備份到磁帶上并且存儲在在線資源庫
B、信息在一天之內(nèi)備份到磁帶上并且存儲在在線資源庫
C侠讯、傳輸電子日志或交易記錄到一個離線存儲設(shè)施
D挖藏、把大量信息傳輸?shù)揭粋€遠程中央設(shè)施里
解析:D
