第1页 / 共295页
第2页 / 共295页
第3页 / 共295页
第4页 / 共295页
第5页 / 共295页
第6页 / 共295页
第7页 / 共295页
第8页 / 共295页
CISSP中文考试题库1000题.docx
北京谷安天下科技有限公司
在一个生物系统内的虹膜图案的使用方面涉及到的虹膜扫描仪物理安装的一个潜在问题是:
光学设备必须被定位以便使太阳照进光圈
有一个相对较高的错误接受率。
虹膜图案随着一个人年龄的增长而变化。
关注激光束可能会导致眼睛损伤。答案 A
下列哪一项是系统可问责性不需要的?
在强制访问控制中,敏感标记包含什么信息?
对象的分级、分类设置以及区间设置
对象的分级和区问设置
对象的分级、分类设置
对象的分级设置答案: C
下面哪项是多级安全策略的必要组成部分吗?
适合于唯一客体的敏感标记和强制访问控制。
适合于主体与客体的敏感标记以及”高级别系统”评价。
主体安全声明&适合于唯一客体的敏感标记和强制访问控制。
适合于主体与客体的敏感标记和自主访问控制。答案 C
用户名和密码数据库。
以下哪个是系统问责所需要的?
向电脑安全软件验明身份的三种经典的认证方式是:你所知道的,你所拥有的和什么?
及时的复审系统访问审计记录是以下哪个安全功能的例子?
被用作鉴别因素来验证用户的身份的机密号码被称为?
个人问责不包括下列哪一项?
对于信息系统安全功能来说,向下列哪个职能组织级汇报架构是最没有效果的?
以下哪个是银行柜员使用的访问控制策略?
组织在允许外部通过互联网访问他们的局域网前应首先考虑什么?
计划选择适当的鉴别措施
计划提供用户账户使用信息
计划保护调制解调器池
计划实施工作站锁定机构定答案: A
以下哪项在基于主机的入侵检测中提供了最大的帮助?
防止密码嗅探攻击危害电脑系统的控制是以下哪一项?
一次性密码和加密。
静态和一次性密码。
加密和重复利用的密码
静态密码和重复利用的密码答案:A
在自主访问控制环境中,下列哪个实体用于授权其他人信息访问的权限。
下列哪个攻击能够捕获网络用户的密码?
下列哪项构建了网络管理员访问系统,密码使用的最好的例子?
视网膜扫描生物识别装置测量什么物理特性?
到达视网膜的光线亮度
被视网膜反射的光线亮度
眼睛后面血管的特征
眼睛后面光受体的特征答案: C
桶皮书基于的计算机安全策略模型是以下哪一项?
下列哪项不会被认为是一种拒绝服务攻击?
实施最小特权原则的最终结果意味着下列哪一项?
用户仅仅能够获得访问他们需要知道的信息
答案: A
下面哪项对双因素认证的描述是正确的?
没有使用单点登录技术。
需要两个子型测量
使用基于大质因子的整数RSA公钥签名。
它依赖于两个独立的身份证明。答案: D
票证更相似以下哪一项?
下列哪项是主体为客体提供访问权限的简单方法?
答案 :B
下列哪项使用定向图详细说明主体转移到客体,或主体从其他主体获得的权利?
在以下明ll个安全模型中是通过主体的声明与客体的分级想比较 , 这样可以应用来控制主体到客体
答案: D
下列哪项被开发用来解决Kerbe ros中的一些弱点, 使用公钥密码学进行密钥分配, 并提供额外的
访问控制支持?
适用于在欧洲|众厂商的安全系统
答案: B
单点登录的特点包括下列哪些优点?
便利性和集中数据管理
便利性和集中式网络管理
智能卡在PKI的主要作用是什么?
对原始数据进行快速的硬件加密
防篡改,移动存储及用户的私人密钥的应用
更新用户密钥透明化
较易在用户间分配证书
答案 :B
什么样的证书被用于验证用户的身份?
当我们选择一个生物识别系统时,以下哪项不是我们需要考虑的安全特性?
在生物识别系统中,最开始真正的有效识别很明显只能基于?
在生物特征识别系统中,真正有效识别只能根据一个人的物理属性进行。这突出两个必须回答的
人的性别和他的年龄多大
身体的什么部分被使用和如{可实现识别是可行的
人的声音的音调和他的习惯是什么
一个人的年龄多大和他的收入水平答案: B
在生物识别系统中,错误接受率与以下哪项有关?
信息系统和相关网络的访问控制对于保护他 们的以 F哪个选项是必要的?
真实性、保密性、完整性和可用性。
真实性、保密性、可用性
完整性、可用性
保密性、完整性、可用性答案: D
主体控制访问(活动的实体如个人或过程)客体(一个被动的实体,如文件)必须设置:
基于规则的访问控制( RuBAC )的访问是由规则决定的。这些规则适合什么类别的访问控制?
哪种访问控制类型具有一个中央授权未决定主体可以访问什么客体,以及是基于角色还是组织安
答案: B
具有值的最小上界和最大下界的几组元素的访问控制类型被称为?
答案: B
下列哪种控制配对强调“软”的机制,支持访问控制的目标?
下列哪种控制配对包括:组织的政策和程序,就业前的背景检查,严格的雇佣政策,就业协议,
下列哪个控制配对最好的描述了逻辑控制或技术控制?
技术控制,如加密和访问控制可以内置到操作系统,成为应用软件,或者可以辅助硬件/软件单元。
答案: C
是什么决定组织执行自主、强制或非自主访问控制模型:
通过调用先前授权的位置的数量,限制连接的访问保护系统被称为?
答案: A
用来限制用户可以访问的数据库中数据,动态的生成的一个逻辑的或者虚拟的表被称为?
只有一小部分键可被用户选择使用的键盘被称为什么?
答案: C
控制如岗位轮换,责任分担,回顾审计记录与以下哪项有关?
与意图揭示安全策略应用软件和硬件的违规行为的控制措施相关的是:
答案: D
外部一致性保证了数据库中存储的数据:
基于组织的安全政策,一个中央机构决定什么主体可以访问的某些客体,被称为
答案: A
用户向系统 表明身份的行动, 通常以注册ID形式表现, 被称为?
需要三个因素中的两个用于认证过程的行为是指
哪种密码类型提供最大安全性,因为对于每一个新登录都要求一个新密码?
答案: A
对于密码通常比分配的数字更长的一系列字符被称为?
密码令牌是为用户提供密码的电子设备或智能卡。令牌系统可以用于提供静态或动态口令。静态
令牌不是认证令牌所有者而是认证系统
所有者不会被令牌认证
所有者将向系统验证自己
所有者身份通过令牌被认证答案: D
同步动态口令令牌:
系统或工作站中的认证实体知道所有者密钥和PIN,并且这个实体可以验证在无效的时间窗格输入密码是无效的
令牌在固定的时间间隔生成一个新的唯一密码值(这个密码是基于密钥加密日期时间形成的)
唯一密码值没有随着所有者的PIN 输入到系统或工作站中。
令牌在固定的时间间隔生成一个新的非唯一的密码值(这个密码基于密钥加密的时间)。
以下哪个选项描述了一个挑战响应令牌生成?
在工作站或系统认证机制不能确定所有者是否应被鉴定。
用户随着系统提示加上适当的PIN 时输入令牌,工作站或系统生成一个随机的挑战的字符串
在密码系统中用于生产随即文本的特殊硬件设备。答案: B
什么被称为根据生理或行为特征识别或验证一个人的的身份的自动化方法?
生物计量学中,使用”一对一”搜索来验证由人制造的个人身份被认为是
下列对于生物计量学描述正确的是?
生物识别技术已经不存在逻辑控制的作用。
它是用于在物理控制和逻辑控制身份认证。
它是用于在物理控制和逻辑控制认证标识。
它用于在物理控制识别,不用于逻辑控制。答案: C
被生物认证系统错误拒绝的的有效样本的百分比被称为?
被生物认证系统错误接受的的无效样本的百分比被称为
答案: C
错误拒绝率和错误接受率相等的百分比被称为什么?
对于下列哪一项,当使用系统时,隐私、侵袭性、心理、身体舒适性是重要因素?
下列哪种生物特征不能用于唯→地验证一个人的身份?
下列哪种地址复杂的情况下,用户需要多次登录访问不同的资源?
答案: D
下列哪一项描述了许多单点登录(SSO )实施的主要缺点?
一旦用户通过初始登录获得对系统的访问,他们只需要登录到的一些应用。
一旦用户通过初始登录获得对系统的访问,他不得不退出所有其他的系统
初始登录过程过于繁琐可以阻止潜在的入侵者。
一旦通过初始登录获得对系统的访问,就可以获得账号许可的所布资源的访问权限
下列哪项是通过脚本实现回应用户多重登录,授权服务器验证用户身份或加密身份验证单来允许
答案: A
下列哪一项是在麻省理工学院的At hena 项目中 被开发的可信的第三方认证协议。
答案: A
答案: A
到的信息叫做一个票据) , 它将使用票据中的会话密钥和下列哪项进行交流:
当一个私钥在分配的时间窗口内被攻破
当KSD在分配的时间窗口内被攻破。
当一个公共密钥在分配的时间窗口内被泄露
当票证在分配的时间窗口内被攻破 答案: D .
客户端的认证,动态密码生成
客户端的认证和静态密码生成。
认证服务器以及静态和动态密码支持。答案: D
下列哪项保护密码免受窃昕和支持通信的加密?
用户ID和动态密码进行网络访问。
用户ID和不对称密码进行网络访问。
用户ID和静态密码进行网络访问。
用户ID和对称密码进行网络访问答案: C
下列哪项代表关系数据库表中的列?
数据库视图是以下哪项操作的结果?
下列哪项是用来监测网络流量或实时监控主机审计日志,以确定系统的安全策略违规行为的发
以下哪项进行实时监控网络流量?
答案: B
基于主机的IDS是部署在下列哪一项?
下列哪项通常提供可靠,实时的信息,而无需消耗网络或主机资源?
基于网络的IDS是下列哪一项?
基于网络的IDS检测数据包的有效载荷和头部确保了下列哪项?
下列哪个访问控制模型需要主体的安全级别声明?
什么被认为是基于主机的入侵检测系统(HIDS)的最大缺点?
几乎消除与加密有关的限制
显示在主机系统上的所有进程和活动
可能对主机操作系统侵害性很大
具有攻击特点的属性被存储用来作为以下哪 个入侵检测系统(IDS)的参考?
答案: D
下列哪项是基于特征的入侵检测系统的一个问题?
只有先前确定的攻击签名被检测。
签名数据库必须通过推理元素增强。
黑客可以绕过签名评估。答案: B
下列哪项是为网络或主机采集数据和定义“正常”使用配置文件的入侵检测系统?
下列哪项是基于统计异常入侵检测系统的缺点?
它可能检测出造成系统一个瞬间异常的非攻击事件。
它可能松散地检测出系统一个瞬间异常造成的非攻击事件
它可能会错误地检测出造成系统中的→个瞬间异常的非攻击事件。
它可能正确地检测出系统中的一个瞬间异常造成的非攻击事件。答案: C
下列哪项与决定最大有效的访问控制成本有关?
与基数vs.增量开 销布关的资金计划
管理有关数据的重要性的认识。
被保护的信息的价值。答案: D
下列哪项不是有关访问控制的一个因素?
下列哪项是最合适的通知外部用户会话监视正在被管理的选项?
下列哪项不是用来弥补内部和外部访问边规?
以下哪项使用技术强制执行访问控制策略?
在响应和处理事件的过程中,你负责确定事件的根源。你正处在哪一步?
访问控制机制集合是允许系统管理者行使指挥或限制违规的行为,使用和系统的内容造成的影响。
访问控制技术不包括以下边项?
访问控制技术不包括下列哪一项?
下面有关贝尔LaPadula安全模型的描述是错误的 (假设强星型规则没有被使用)?
属性限制可以通过暂时降级高水平主体逃离。
哪种类型的攻击最有可能会为攻击者提供多个密码进行身份验证?
以下哪项最能确f呆在一个系统或域中采取的行动的用户问责?
下面的语句有关生物识别哪些是假的?
用户可以通过独特的物理属性被认证。
用户可以通过他所知道的被验证。
生物特征识别系统的精度取决于其交叉错误率(CER)。答案: C
下列哪个生物识别装置提供最低的交叉错误率?
下列哪项是最少被用户接受的生物识别装置?
下列哪项是最弱的授权机制?
下面那一项关于访问控制的描述是错误的?
用户角色是一种有效的分配权限给一类执行特定任务的用户的方法。
访问权限应该基于一个公司对某个对方的信用级别被授予
用户访问数据应该以必须知道为基础。
如果没有被明确拒绝访问,它应该被隐式地允许。答案: D
下列哪项访问控制权限是基于敏感标签的?
那个访问控制模型又被叫做非自主访问控制?
下列哪一项访问模型在离职率高的公司最合适被采用?
在一个安全的上下文环境中数据视图是用来?
更加容易访问数据库的数据
限制用户访问数据库中的数据
为了提供审计线索
为了保证参照性完整答案: B
什么可以被定义为带有访问权限的对象列表,并且被授权访问特定对象?
访问控制列表和能力表的区别是?
访问控制列表跟主体相关,能 力表1m 客 体有关
访问控制列表跟客体相关,能力表跟主体有关
能力表被客体所使用,访问控制列表为用户所使用。
什么表格定义了主客体之间主体对客体可以采取的行动?
高安全级别且仅有管理员可以分配权限的环境下,下列哪种访问控制模型最为合适?
以下哪项是预防控制?
可以知道确定时间段有哪些类型的攻击进入系统,并且学习攻击技术来强化网络
诱惑黑客攻击未使用的系统答案: C
明|:种策略最合适用来防止战争拨号进攻的入侵或者损毁?
使用完全不同的语音数据访问号码
确保只有必要的电话号码被公开
要求用户验证
监控和审计此类活动答案: C
哪种访问控制模型提供访问能力的上下限?
存储卡与智能卡的区别?
记忆卡储存空间比智能卡要大
智能卡有双因素认证,记忆卡没有
记忆卡没有处理能力
缓冲溢出怎么发生的?
输入数据在输入时没有进行长度检测
它不涉及访问控制权限的管理
它不允许马上写
它不涉及通道转变
答案: B
入侵系统是什么类型的控制?
什么可以确保控制机制在整个信息系统生命周期正确的执行了安全策略?
下列哪项非自主访问控制的一种?
哪种安全模型通过中央授权来决定那些客体可以访问对应的客体?
哪种密码令牌涉及时间同步?
答案: A
下列哪种集中控制机制最不推荐给移动办公人员访问公司模拟线路上?
为了知道正在攻击的类型以及学习攻击技术以加固网络
合法用户访问网络服务通常会收到什么限制?
哪种访问控制模型引入了用户安全级别声明和数据分类?
以下哪种访问控制模型需要为主体进行安全级别声明
以下哪种访问控制模型需要定义客体分类?
访问控制环境中,门禁卡以及磁卡的例子是哪种控制?
答案 :A
答案 :B
当提及一个数据包结构时,以下哪项可以表示一个TCP包在传输层的单个数据单元?
答案 :A
数据报文层
数据链路层
传输层
骨干网超载
一个源抑制的报
答案 :A
哪项技术是凶拨系抗特有的弱点?
之间的线路输入
为减少内部网络的风险,下列哪一个工具是用来对外部接口的流量进出进行限制的?
答案 :D
下列那一项不是防火墙系统的主要功能组件?
协议过滤
日志扩展记录能力
组织中在允许外部网络通过互联网接入内部局域网之前应该首先要考虑到以下项内容?
对调制解调器进行保护
对实施的工作站进行锁定策略
为用户提供其他的账户信息
答案 :D
以F哪项功能不是大多数类型的防火墙能够控制的?
允许集中管理和控制服务
降低系统内部的威胁级别
防止的毒的传播
降低了恶意黑客攻击的风险
网络应
物理层
表示层
会话层
答案 :A
分组交换技术
电路交换服务
波分交换服务
分组交换服务
专用数字服务
答案 :D
以下哪项关于SSL的描述是不正确的
适用于在互联网上传输个人信息、数据和文件
答案 :C
传输层
会话层
!叶绍巨
物理层
应用/会话层
应用/传输!三
应用/表示层
应用/网络层
OSI模型中, 低层(物理、数据链路、网络层、传输层)无法防止以下那类攻击?
基]二内 容的J立市
蛮力攻击
拒绝服务攻击
驮回攻击
以下那个应用层协议需要两对非对称秘钥和两个数字证书
答案 :D
以下选项中,那个隧 道协议可以被描述为以下特点1.同一时间处理多个连接 2.提供安全认证和加
答案 :B
答案 :D
答案 :C
执行服务质量
数据签名
数据加密
在哪一个阶段是IKE协 议在执行对等身份认证?
没有同等的执行认证
预初始化阶段
答案 :D
在庞大的人群中使用昂贵的秘钥管理系统
每个共享秘钥都采用简单的密码
只有一个共享秘钥对需要所有的VPN连接
46
以下哪项对网络安全描述是正确的?
当今世界互联网中不需要防火墙
在当今世界网联网中不需要票Z雇肪义苟
网络层
物理层
数;;H拟各层
传输层
以下那个设备用于使用4-7层协议连接两个网络或者两个应用?
路由器
网桥
桥接器
{毛丰台后
网络层
物理层
应用层
何种攻击中, 攻击者使用被攻击目标的 IP地址作为源地址向广播地址发送请求, 为了让广播的每
答案 :D
定义了七层协议
为网络模型提供标准的通信
支持不同的网络进行通信
物理层、数据链路层、网络层、会话层、传输层、表示层、应用层
物理层、网络层、数据链路层、传输层、会话层、表示层、应用层
物理层、数据链路层、传输层、会话层、表示层、网络层、应用层
答案 :D
以下那项信息传输涉及到通讯和网络安全?
语音
数据和多媒体
语音和多媒体
在处理应急响应事故中,在那个步骤进行对事件发生的根源进行确定?
分析和跟踪
分类阶段
遏制阶段
恢复阶段
在入侵检测系统(IDS)中, 下列哪项不属于该设备的组件?
传感器
通讯装置
以下哪项对于网络入侵检测系统的优缺点评价是正确的?
基于网络的入侵检测系统不容易受攻击
大多数基于网络的入侵检测系统可以自动显示是否成功的攻击。
基于网络的入侵检测系统适用于现代基于交换的网络
足于网统的入侵检测系统的部署于现有网络影响不大
在OSI协议校中,以 下哪项不是在网络层实现的?
超文本传输协议
互联网协议
路由信息协议
开放最短路由优先
在数据报文中, IP 的头部都会有对协议的标识区域, 如果协议标识为51, 那么该数据报文属于以
答案 :B
条带化
扫描
答案 :C
以下那个级别RA ID中, 每个磁盘中均会存储数据和奇偶校验数据?
答案 :D
通常在以下哪种情况下会热备盘会替换故障盘?
在系统的静默并操作
在系统闲置并操作
系统运行并在单用户模式
系统启动并运行
答案 :D
独立于平行的
依赖于软件
依赖于操作系统
依赖于平台
在软件上更快
软硬件的速度相同
在硬件上速度快
在硬件上速度慢
为了将一些独立的服务器构建成为一个具有高可用、高性能、可扩展性强的单独的系统应该采用
服务器集群
主机集群
客户集群
客户端集群
以下哪种方式是当时间和磁盘空间允许时进行系统归档或基线磁带集?
磁带备份
差异备份
增量备份
如果备份时间很紧急,并且磁带空间非常,应选用以下那种备份方式?
完全备份
磁带备份
差异备份
以下哪种备份方式是备份最近一次完全备份后的改变内容,却不删除文件归档?
磁带备份
增量备份
完全备份
女主分备份
以下哪种备份方式无论是差分备份,还是增量备份均需要的各份是?
增量备份
补充备份
磁带备份
答案 :D
分层存储通常用于?
非常大的数据检索系统
大多数数据检索系统
较短的数据检索系统
非常小的数据检索系统
以下哪种电缆会因长度导致通信故障
同轴电联
光纤
额定线缆
以下哪种方式是通过拆分或者复制线缆实现流量路由来保证通信连续性的
替代路由
冗余
最后一英里保护
以下哪种加密技术是用于浏览器和Web服务器之间通信加密的?
答案 :D
以下哪种方式可以最好的保证邮件信息的真实性和保密性?
签名消息使用发送方的公开密钥和加密消息使用接收者的私钥
签名消息使用接收者的公钥和加密消息使用发送方的私钥
签名消息使用接收者的私有密钥和加密消息使用发送方的公开密钥
签名消息用发送;厅的 私有密切 手nJ111需消息 使用接收 ,高的公钥
TLS协议是一个二层接口层安全协议, 包括TLS记录协议和?
传输层安全(TLS)互联网协议
传输层安全(TLS)连接协 议
答案 :D
用于?
名称解析
对等识别
刊等认证
服务器认证
消息不可抵赖性
消息交错检查
消息的机密性
包过滤防火墙会检查源和目的的以下哪项?
只有出方向数据包
用户数据包
只有入方向数据包
答案 :D
一个包过滤防火墙会被认为以下哪项?
第四代防火墙
策’代耐火墙
第二代防火墙
第三代防火墙
应用层防火墙通常是一个运行了代理服务器软件的主机,这使得它成为一种?
代理客户端
代理服务器
代理系统
代理会话
一个代理会被认为是?
第一代防火墙
第四代防火墙
第三代防火墙
应用层防火墙工作在?
答案 :A
在一个状态检查防火墙中,数据包被检查号|擎检测发生在?
检查层
应用层
数据链路层
当一个出站请求的端口大于1023时,那 种防火墙会创建ACL临时允许在该端口的入站请求通过?
电路级代理
应用层代理
包过滤
答 案 :D
基于网络和基于客户
基于网络和基于客户端
基于服务器和基于客户端
以下哪项术语 分别描述了基于知识库和基于行为的IDS系统?
答案 :C
以下哪项是指IDS系统利用已有的攻击类型数据库,检 测异常流量匹配到数据库就会进行触发
答案 :A
以下那类入侵检测系统是使用基于与正常使用者比较是否有
答案 :C
人工智能识别系统
基于网络的入侵检测系统
老式的同轴电缆己经广泛的被非常容易使用并能避免多主机故障的双绞线所替代,特别是被应用
于哪个领域?
令牌环网络结构
点对点型网络结构
环形网络结构
答案 :D
下面哪个选项不是主要为了保证完整性的?
循环冗余校验
口合希算法
以下那种概念是入侵检测系统的最常见的?
基于行为的入侵检测
基于知识岸的入侵检测
基于异常统计的入侵检测
基于主机的入侵检测
以下哪种方式是用于IDS系统 具有高边的铅 误识别职?
基于网络的入侵检测系统
基1二异常统计的 入侵检测
基于知识库的入侵检测
基于主机的入侵检测
答案 :D
以下哪项是由多个相似的服务器组成的服务器集群使用一个单一的 IP地址为用户提供交互的
多台服务器
冗余的服务器
服务器的容错
以下哪种备份方法最适合异地归档?
离线备份的方法
增量备份的方法
完全各价的力;t
差异备份的方法
下列哪项是光纤的缺点?
在高速行驶时的有限的距离
它很容易被窃听
终端访问文件服务器
终端访问网络设备
所谓的攻击洪水攻击系统连接请求,但是当目标系统回复这些请求没有回应的攻击是什么
缓冲区溢出攻击
答案 :B
传输层
物理层
网络层
数据链跻层
网络层
传输层
应用层
网络层
网络接入层
主机到主机传输层
答案 :A
什么协议是用来匹配一个IP地址到适当的硬件地址的数据包的目的地,因此它可以发送?
路由表
互联网控制消息协议
逆向地址解析协议
答案 :D
下列哪项不允许一个工作站获得IP地 址?
答案 :A
应用级防火墙
电路级防火墙
包过滤防火墙
传输层
会话层
网络层
单播
覆盖
桥路由
网桥
路由
中;生m;
以下哪项可以防止Web会话劫持?
公钥加密算法
哪种攻击类型涉及限仿了用户或系统?
电子欺骗攻,!;-
垃圾邮件攻击
日臭探攻击
A.不足以引起系统用户的注意
D.需要多个攻击者同时进行攻击
7.如下哪个选项是使用高级语言编程的优点
8.一个部门经理有访问下属员工薪水的权限, 但不能访问其他部门人员的薪水数据, 实现这种的安全策略的数
9.在一个在线事务处理系统(OLTP)中, 当发现错误或非法交易时, 应该采取下面那一项活动?
11.. 在系统开发生命周期的那个阶段会出具安全评估报告和认可生命
A.安全
D.可扩展性答案 A
16.操作安全需要实施物理安全控制措施以控制:
A.在应用编程中用作范围测试
C.数据表
21.为了执行测试和评估以验证系统的安全级别,确 认系统负荷、系统设计规范和安全需求,应采取如下哪个活动
22.下面哪个选项是软件开发中最古老也最常见的, 至今仍是非常流行的问题?
B.机器语言代码注入
26.关联数据项的持久集合又被定义为 :
28.哪个选项定义了维护和提供数据库访问的软件 :
29.下面哪个选项代表了关系型数据库基础的数据表
30.在关系型数据库中, 下面哪个选项代表了数据表
31.币面哪个选项定义了数据库宇段的可允许值集合
A.数据表的域名服务
33.下面哪个选项在数据表中用于唯一标识一行记录的唯一属性
34.下面哪个选项用于定义数据表中的某个属性,他的值与另外一张数据表中的主键相 匹配
35.对于外键属性, 参考完整性要求
36.下面哪个选项中的匹配关系因为他们表示一张表到另一张表的映射参考关系,并且
38.对于关系型数据库操作中的查询功能,下面哪个选项代表了与查询底层操作相对应的实施程序:
39.对于使用结构化查询语言的关系型数据库操作而言, 下面那个选项时可以与SQL 语句中的占位符绑定的
41.如下哪个选项是数据库设计的重要组成部分, 它确保表宇段依赖唯-的主键值
A.消除对非键值的功能依赖,将他们存储到另外一张表。在这个操作层次上, 所有的非键值宇段都将依赖于主键
43.下面哪个选项用来在数据库中 建立和修改表结构和其他对象的结构:
46.涉及到多媒体、计算机辅助设计、视频、地图和专家系统的 复杂应用系统必须要满
47.对于数据库来说,下面那一项具有使代码重用与系统分析变轻松和减少系统维护工 作量的特征:
48.下面那个选项是面向对象技术与关系技术相结合的结果,并结合了二者的不同特点:
49.下面哪项技术允许数据库的一张表对未授权用户进行数据隐藏, 在这个数据库中, 同一张数据表的多行记录可
50.下面哪个选项在计算机上翻译一个源码命令并执行一次
52.下面哪项关于分布式计算环境的说法是错误的:
D.他使用UUID以唯一识别用户、资源和组件。答案 C
面哪个选项不是常见的数据库模型?
A.系统复杂度测量方法
66.下面哪一项不是预防控制措施:
68.下面哪个选项不是在项目计划编制期间使用的成本估算技术
69.下面哪 个选项最佳解释了为什么计算机信息系统经常不能满足用户需求
A.原型系统的变更控制复杂度经常不够
72.下面哪个选项是决策支持系统(DSS)关于威胁与风险分析的特征
73.对于软件测试而言,下 面哪个选项是从底向上方式相对于从上往下方式的 优点:
下列那个选项是分离测试和开发环境的最佳原因
下列那个选项不是内部程序员在开发软件时绕过正常安全控制的常见方法?
正确答案:D
下列选项中哪一个不能对应建立在关系数据库中表的主键值的数量
正确答案:D
以下哪个阶段是系统开发生命周期 。DLC)中对于应急计划是最重要的?
缓冲区溢出和边界条件错误是下列哪个选项的子集?
D.
安全需求是在以下 IT 系统生命周期的哪个阶 段开发的?
以下那个阶段是系统开发生命周期中最致力于注设良好的策略作为设计的 垦{itlJ ?
当考虑到一个 IT 系统发展生命周期,安 全应该:
在一个系统开发生命周期中,风险降低应该被用于:
下列哪个阶段是SDLC中最关心用户和进程保持适当的身份验证以确保适当的访问控制
什么可以定义为“它证实了用户的需求已经由提供的解决办法满足”?
下列选项中哪个关于软件测试的说法是错误的?
测试应该用真实数据执行以用来包括所有可能情况
测试数据应该是规范中的一部分
测试数据生成器能用来生成随机的测试数据以用来测试程序
当对模块进行设计时,单元测试应被考虑和提出
下列那个选项可以被定义为重新运行一部分测试场景的进程或测试计划以确保更改和
正确答案:B
下列哪个选项对于软件测试方法的陈述是正确的?
自上而下的方法能使关键模块的错误更早被检测到
测试计划和结果应该被保留作为系统的永久文档
黑盒测试是基于一次对程序细节的仔细检查
自下而上的方法能使界面错误更早被检测出来正确答案:B
以下那个选项确保了修改过的或新的系统包括适当的访问控制并且不引入任何可能影
下列几个软件开发生命周期的阶段中,哪个通常包含安全规范、确定访问控制和评估
在数据库管理系统( DBM S)中 ,“ 基数” 是什么?
在系统开发生命周期中,哪个基本阶段使安全需求生效?
.下列哪个选项最不可能包含于处于维护阶段的软件产品的变更控制子阶段中?
敏感性标签是哪种应用程序控制类型的实例?
通过结合低敏感性信息来获取高敏感性信息的行为叫做?
当→个给定的假设有效时,哪种专家系统操作模式允许决定?
正确答案:C
为什么编译代码形成的风险大过解释代码?
因为恶意代码可以嵌套在编译代码中并且很难被检测到
解释代码和编译代码没有风险区别
如果执行编译代码发生异常,那么它就可能危险的失效
因为编译员很不可靠正确答案:A
下列哪个选项不是软件能力成熟度模型中定义的成熟度等级?
正确答案:A
哪个软件开发模型实际上是一个包含了大量的软件开发模型的元模型?
下列选项中,哪个能用于数据库信息安全中的隐藏信息
哪个模型,是基于一个软件产品的质量是与其软件开发和维护过程相联系的一个直接
下列哪个有关数据库的特征的描述是不正确的?
正确答案:C
下列哪个选项是对“一个信息的集合比任何组成它的独立项更需要分在更高安全级别”
在应用程序的开发过程阶段哪个阶段应该让安全部门介入?
哪个是信息依赖内容保护的一个缺点?
java 在运行时不会检查字节代码或从客户机系统为程序隔 离提供其他安全机制
当互联网上的可执行文件被客户端系统下载时可以发起有意攻击
java 编译器在客户端系统不提供限制系统访问功能, 但小程序可以
一个己经被多次打补丁的系统文件感染了病毒。杀毒软件警告说要杀毒会损坏文件。
从备份中恢复一个为受感染的版本的补丁文件
研究这个病毒是否是良性的
从主媒介中用原始版本替换文件 正确答案:A
因为竞争的原因,一家大型海运公司(IISSCC)的客户想要他们运货时 保证各种货物是保密的。IIS
一个共享资源矩阵是一项技术,常用来定位?
哪个系统开发生命周期是获得安全认证的阶段?
什么是机密的从高级分区向低级分区传送信息的而不是通过正式沟通渠道传送信息
数据库知识发现(KDD )的许多方法是用来识别数据中有效和有用的模式的。这是一个
数据库中的业务规则可以通过什么来执行?
以下选项中哪个选项允许相同主键的多行存在一个关系表中?
让管理员用来捕获网络流量?
正确答案:D
下列选项哪个表述的是年度预期损失的计算?
总预期损失x 损失概率
实际重置成本-补救款项
资产价值 x 损失概率
单一预期损失x 年度发生概率
通信测试设备的控制应该通过安全策略明确的原因是什么?
测试设备可以用于浏览在网络上传递的信息
测试设备如果丢失或被盗很难替换
测试设备很容易被损坏
测试设备对于维修人员必须是永远可用的
在自主访问环境下,下列哪个实体有权授予其他人信息访问权限?
下列哪组代表了计算机犯罪造成损失的主要来源?
下列哪个是使用自动化的风险分析工具最好的理由?
自动化方法需要最小限度的风险分析知识培训
大部分软件工具有易于使用的用户界面
由于工具内置了大量的信息,信息收集过程将会缩减和加速
在评估期间大部分被收集的数据不能被重用为后续分析
在任何机构内,哪一项是计算机信息系统安全的根本原因
系统配置管理的主要目标是下列哪一个?
在一个组织内,谁应该衡量信息系统安全相关控制的有效性?
从组织范围的安全策略偏离需要下列哪项?
哪一个角色必须承担决定信息系统资源保护级别的主要责任?
在IT 安全的范围内, 下列哪项组合更好的定义了风险?
系统威胁和漏洞
系统威胁和安全漏洞
计算机安全隐患和攻击
系统威胁和计算机安全隐患
下列哪一项被认为是安全系统中最薄弱的环节?
基本安全措施的实施和认证
验证密码算法的评估标准
公钥基础设施的认证
信息安全管理体系
机密性、完整性、可用性
滥用、曝光、破坏
授权、不可抵赖性、完整性
信息披露、变更、破坏
公司的 100 名数据录入员, 每个人每月制造一次输入错误, 在这个情况下, 威胁
年率预期损失(ALE) 如何计算?
年度发生率X (单一预期损失-暴露因子)
单一预期损失x 年度发生率
单一预期损失/暴露因子
资产价值 X 暴露因子
残余风险意味着什么?
针对信息资产审计发现固有的安全风险没有实施控制措施
风险评估之后仍然存在风险
控制措施实施后仍然存在的安全风险
可以被系统威胁利用的资产的弱点
定量分析和定性风险分析有什么不同
定量分析可以提供正式的成本/收益分析,而定性风险分析不能
定量分析和定性风险分析没有不同
全部的定性风险分析是不可能的,而定量分析可以
定性风险分析可以使用强大的计算公式,而定量分析不能
在信息系统的机密性保护要求下,信息不可以向以下哪一项公开:
授权的人员和流程
授权人员
非授权人员
非授权人员或程序
下面哪一项不是完整性的目标?
防止未授权的用户或者己授权用户无意的对信息的修改
保护内部和外部的一致性
防止授权用户修改信息
防止未授权的用户对信息的修改
什么是潜在的对信息系统或网络可能造成损害的事件或活动
一个弱点或缺乏保护措施,可以被威胁利用,对信息系统或网络造成的危害称为
什么是信息系统威胁会发生的可能性?
风险消减和降低风险的控制措施主要分为以下哪三个类别?
预防、纠正和管理
管理、操作和逻辑
检测、纠正、和物理
物理、技术和管理
下列哪→项将最适合监督信息安全策略的部署?
系统管理员
安全管理员
安全官
人力资源部
关于雇员解雇下列哪一项是最主要的?
公司提供给雇员的财产己返回
雇员的用户名和密码己经删除
公司相关的工作人员通知解雇
雇员的详细情况从活跃的工资己被删除。
下列哪项应该不是雇员离职的做法?
返回出入证
从活跃工资表文件中除去职工
防止员工联合盗窃造成的损失
删除分配的登录帐号和密码来禁止系统访问
如果风险被定义为“一个给定的威胁会利用漏洞给资产或资产组的造成损失或损毁的潜在因素”,那么以下哪项不
风险的概率
对资产造成影响的威胁与脆弱性
针对威胁的控制措施
针对进程或资产的漏洞和威胁
为建立一个信息安全程序,首先应进行
开发员工安全意识培训计划
信息安全标准手册的开发与实施
安全访问控制软件的购买
企业信息安全策略声明的采纳
为什么许多组织要求每个员工强制休假一周甚至更多?
检查从业人员不正当或违法行为
为了让更多员工对整个系统有更深的认识
为其他员工提供适当的综合培训
通过给员工生活一个更好的质量来产生更大的生产率
下列哪一项不是安全管理员的任务
授权访问权限
实施安全规则
确保本地政策已经授权管理
分配访问权限
提供电子信息的访问权限的是?
网络管理员
数据拥有者
数据库管理员
安全管理员
下列哪项能确保只有获得授权才能访问数据?
关于信息安全,下列哪一项是与机密性相反的?
关于信息安全,下列哪一项是与完整性相反的?
下列哪项是确保数据在被需要的时候被访问?
关于信息安全,下列哪一项是于可用性相反的?
关于信息安全,防止未经授权的有意或者无意透露内容的是下列哪一项?
关于信息安全,下列哪一个例子是保证发出去的消息就是收到的消息,消息不会被
以下哪一项描述关于良好的配置管理过程的关键因素是不正确的:
确保变更,标准和需求是沟通及时且准确的
确保所有要求清晰,简洁,有效
控制系统硬件的修改,以防资源的变更
调整可重用的证明标准和最佳实践
变更控制程序
人员筛选
逻辑访问控制机制
下列哪项不是技术控制?
标识和身份验证方法
物理入侵监测
入侵检测系统
密码和资源管理
下列哪个最可能是物理控制?
标识和身份验证方法
逻辑访问控制机制
栅栏
系统行为的监控
下列哪项将不会违反尽职的概念?
按照补丁管理流程,为每台服务器安装最新的安全补丁
网络管理员没有执行两个星期的强制休假计划
数据拥有者没有实施基本的数据保护功能
安全策略过时
下列哪项能更好的定义缺少保护机制或保护机制存在缺陷可能被利用?
下列哪项能更好的定义威胁源利用漏洞的可能性?
哪种安全程序的实施方法能驱动公司员工担负保护公司的资产的责任?
自上而下的方法
自下而土的方法
技术方法
下列哪个不是风险分析中的一部分
识别风险
选择最好的控制措施
在风险影响和相关控制措施的成本之间提供经济平衡
潜在威胁的影响的量化分析
控制措施的成本大于风险的成本时,应如何控制风险?
执行其他风险分析
拒绝风险
哪一个数据分类应适应于商业贸易机密?
下列哪一角色对数据的维护和保护负有责任
谁应该决定一个公司应该如何对待安全以及实施什么样的安全措施?
下列哪个角色存在最多的安全问题?
什么是安全的三个基本元素?
可追溯性、机密性和完整性
完整性、可用性和可追溯性
机密性、完整性和可用性
可用性、贡可追溯性和机密性
风险管理的最好定义是?
风险评估的过程
风险转移的过程
风险消除的过程
减少风险到可以接受的等级的过程
在 CBK 的范围内,以 下哪一个提供一个最低的可以接受的安全级别?
根据私营部门数据分类的级别,薪酬水平和医疗信息会被怎样归类?
下列哪项将是在确定信息分级时最好的考虑标准?
下列哪项不是信息(数据)所有者的职责?
执行定期备份,并定期测试备份数据的有效性
向数据管理者委派数据保护的责任
根据业务需求,定期审查分级标准
确定相应级别信息需求
下列哪项是所布的人员都必须遵循的具体的操作?
谁负责向高级管理层提供安全控制的有效性报告?
下面哪个陈述有关定量风险分析是错误的?
它需要很少的经验的应用
它需要大量的信息
它包含复杂的运算
部分可以自动化
下列哪项不是内部程序员绕过正常的安全控制,进行软件开发的常用方法?
特洛伊木马
维护钩
后门
陷{]
哪个属性可以确保只有那些授权应该访问数据的人才可访问它?
确保数据不会由于事故或恶意行为而被意外更改
以F哪个选项, 是安全策略、标准和流程开发通常遵循的步骤?
设计、评估、审批、发布、实施
设计、开发、发布、编码和测试
可研、评估、开发、批准、发布、实施和维护
可行性、开发、批准、实施和集成
在一个普通的安全策略实施过程中,维护阶段的目标是什么?
写一个提案管理来声明政策的目标
介绍该文件的批准体
按指定的时间评审文件
组织内发布
建议性和规章性的安全策略之间的区别是什么?
它们之间没有区别
建议性策略是强制性的而规章性策略不是
规章性策略是高等级策略,而建议性政策是非常详细的
建议性策略不是强制性的,规章性策略是必须执行的
关于信息分级,什么是信息(数据)所有者的主要责任?
确定数据的敏感性或信息级别
定期检查数据的有效性和准确性
审计数据用户
运行定期数据备份
企业安全政策的主要目的是什么?
为所有的开发活动提供一个通用框架
提供执行具体行动的详细步骤
传达管理层关于信息安全的态度
向该组织所有用户转移信息安全责任
下列哪项选择不是安全策略的一部分?
管理意图的声明,支持信息安全的目标和原则
在信息安全领域所采用具体技术的描述
定义一般和具体的信息支全管理责任
下列哪项不是数据库管理员的职责?
提供对数据库的访问授权
重组数据库
维护数据库
实现数据库的规则访问
哪种安全和审计框架己经被一些组织采纳, 应对对萨班斯-奥 克斯利法案第404 条
反对虚假财务报告委员会发起组织委员会( COSO)
缺乏保护措施或系统中存在弱点可能被利用称为?
A.
所有的风险一定是:
实施控制:
消除风险和减少潜在的损失
降低风险和消除潜在的损失
降低风险和减少潜在的损失
消除风险和消除潜在的损失
什么可以被描述为衡量资产价值遭受损失或影响的大小?
以下哪个是计算机的安全性首要的:
覆盖所有确定的风险。
成本效益
审查货币和非货币的条款
以下哪一项作为风险管理的结果,最可能用经验去判断
当安全违规发生时,谁负责启动纠正措施及能力
哪一项被定义为最高层次的声明,信条,目标和目的
在组织中,信息安全职能应该:
是组织内信息系统职能的一部分
是独立的,但向信息系统功能报告
直接汇报给一个专门的业务部门,如法律,企业的安全或保障部门
不应该以分层的方式开发
可以定制以满足组织的安全目标
确保组织的每一个资产得到很好的保护。
很复杂
下列哪项不是一个完整性目标?
防止路径可能被不恰当的泄漏
防止授权用户做出不当的修改
保持内部和外部的一致性
防止未经授权的用户进行修改。
下列谁负责确保适当的控制被实施以保证信息系统和数据的完整性、机密性和可用
业务和职能管理人员
首席信息宫
系统和信息所有者
答案:C
下列哪项是定性风险分析相比定量风险分析的优点?
它区分风险优先级,并识别需要立即实施解决漏洞的整改措施
它提供了具体的可量化的测量影响的大小。
它使一个成本效益分析更容易
有效的信息安全策略不应该有以下特点?
具有短期至中期的关注
包含职责分离
可以被股东所理解和支持
指定特定的责任和权力
关于一个组织的信息安全策略,以下哪个选择通常不被询问?
是谁负责监督遵守组织的安全策略?
谁参与建立的安全策略?
在哪里定义组织的安全策略?
在发生灾难的情况下要执行的行动,需要是什么?
以下哪项能最好涉及到的资源在期望被使用时使用?
下列哪项最关注人员安全?
以下哪项最能作为一种管理控制分类?
人员安全
物理和环境保护
审查安全控制
什么可以被定义为一个可能导致信息系统损害的事件?
下面哪个有关安全策略的陈述是不正确的
它指应该在整个组织内如何使用硬件和软件
它的主要目的是要通知用户,管理员和经理保护技术和信息资产的义务要
它需要各级组织内员工的认同和支持,以使它是适当和有效的
它必须是灵活的,适应不断变化的环境。
以下哪个最好定义了附加的安全
物理安全补充逻辑安全措施
信息系统已经运作后实施保护机制
分层的安全
保护机制实现是一个信息系统不可分割的一部分。
进行安全规划的主要步骤包括以下除哪一项
确定备选的行动方案
创建一个安全审计功能
创建具体目标
列出规划假设
详细步骤指令说明用来满足控制要求被称为:
安全意识计划的目的之一是要提升:
的态度
员工对企业安全态势的态度与行为
的态度
对企业安全态势的管理方法
哪个角色负责执行信息分级?
在风险建模的重点是获得可靠和可用的风险描述。以下哪一个不是用于执行此功
它是可信的吗?
多久会发生呢?
有多严重?
会发生什么?
哪种类型的安全控制也被成为“逻辑”控制?
职贡分离描述的过程是:
划分职责,因此只有一个人可以有效完成一个或多个任务
职责划分,不止一个人去完成一项至关重要的任务
创建职责,至少有一个人可以完成所有需要完成任务,而无需依赖另一个人
职责划分,只有相互冲突的任务可以由一个人完成
以下哪一项是信息秘密的传递,从一个更高的级别到一个较低的级别间无需通过正
一个系统的所有者应该对系统将根据其规范运行有信心。这一过程被称为:
下列哪项是以减少合谋风险而采用的最佳实践?
下列哪项不列为”安全和审计框架和方法论”
它在ticket 获得授权后对数据进行加密, 但是密码的交换是明文方式。
它依赖于对称加密。
它是一种第二方的认证系统
它使用公钥密码学。答案:B
加密的两种方式是?
换位和置换
替代和置换
换位和替代
换位和转换答案:C
双方没有共享的密钥以及大量的敏感信息需要传输,最有效的用于信息传输的的
使用由硬件加密加速器协助的软件加密
使用接受方的公钥进行加密以及使用接受者的私钥既你想那个解密
使用公钥加密来加密秘密会话密钥,并且使用秘密会话密钥来加密信息
使用椭圆曲线加密答案:C
公钥基础设施( PKI)在各方之间使用非对称密钥加密。发起人加密信息使用接收者
对发送方和接收方已达成共同协议的加密密钥进行交换,以便他们之后使用。
消息的发送方是唯一的可以提供收件人的私钥的其他人员。
收件人的身份可以被快速核实并告知发送者。
确保信息流传输安全的渠道。答案:C
下面哪一层提供不可抵赖性服务?
以下哪一项关于使用数据加密作为保护数据的一种方式的描述是正确的?。
通常容易管理
需要严格的对密钥进行管理
有时候可以用来对密码文件
它对系统资源有一定的要求答案:B
哪种类型的算法被认为是具有最高安全强度的非对称算法?
在密码文件中对用户密码使用哈希运算的主要目的是?
可以防止未经授权的人尝试多个密码的登陆
可以防止未授权人阅读和修改密码
最小化用于存储用户密码的硬盘存储量
最小化加密密码所需要的时间。答案:B
以下哪一个问题不是数字签名的功能?
保密破解密钥的能力取决于计算机的性能。以下哪一项是普遍认为一个比较好的
用好的密钥生成器
算法免疫暴力破解密码攻击
没有什么方式可以抵御暴力破解密码攻击
使用会话密钥答案:D
数据加密标准(DES)加密 算法 具有以下那个特点?
非对称加密算法
对称密钥分发系统
对称加密算法答案 D
一个公钥加密算法包括了加密和数字签名是以下哪一个?
他是用来在因特网上传输私人信息,数据以及文件
是传输层安全协议的前身答案:A
密钥交换方法必须被使用?
提供不可抵赖性?
32.下列哪个选项是一种密钥协商协议, 该协议能够在不安全的通信介质中,由两个实体通过协商生成一个会话密钥
A.3-DES
答案: D
A.使用 16 轮或更多轮数的加密
C.消息摘要长度依赖于消息的大小
A.从可变长度的输入消息中创建固定长度的消息摘要
A.PKCS# l O 手日X.509
B.对等认证和密钥交换
A.没有表示对等认证的阶段
A.公钥认证
C.CHAP
A.大规模用户群组的密钥管理代价高
C.预共享密钥认证常常基于弱口令
45.在一个层次型结构的 PKI 中, 最高级CA 通常叫做根 CA, 它也常常指的是下列哪一项?
答案: C
B.与第二个根 CA 建立直接信任关系
A.基于公钥的混合加密方案
B.要求对所有终端用户密钥进行恢复
A.可能仅通过暴力破解
A.证书持有者的密钥对
C.部门的电话号码
A.PKCS#17799
C.增量CRL
64.下列哪一项不是非对称加密算法?
B.Blowfish
A.不可否认性
C.SSH
73.What is the RESULT of a hash algorithm being app
使用三重 DES 加密,最多 用几个不同的密钥?
以下哪一个是对称加密算法?
密钥长度不需要匹配分组长度
以下哪种方式是最安全的三重DES 加密?
以下哪个算法是流密码?
钥,该密钥用于会话中的通信保密。
以下哪种方式了主体名和公钥值?
答案 C
c 类火灾灭火器比A 类灭火器更适用于以下哪一种情况?
答案 C
答案 C
侦测器?
项电磁干扰噪声是源于火线和地线之间电压差产生的辐射?
下列哪一
答案C
晋i国噪声横向噪声
答案 C
答案 C
秒的瞬时低电压称之为
答案C
答案 C
为普通电缆在火灾事件中会产生有害气体,因此在起增温、通风和空气调节(有时称为HVAC) 作用的空气循
答案 C
骤、防护服务器间或计算机房、电缆的保护、门和窗户磁性开关的使用等等此类 的控制措施称之为
减少数据中心火灾的风险,计划应用热敏感的火灾侦测器以尽早警告可能会发生火灾,则需要选择哪一种传感器并
答案 C
答案 C
答案 C
防盗窃机制, 入侵检测系统, 及其相关的安全流程。下列l哪一项不属于物理 安全的一部分?
环境保护包括人员、设备、数据、通讯设备、电源和电线等方面内容。必要的保护
板是水泥,则主要关注点是物理承重和防火率,那么此类地板能承重多少?
的电源是维持适合的人员工作环境和数据操作的必要条件。系统下列哪一项不是供电系统的威胁因素?
172
丢失的最小静电电压是多少
的报警通过当地市立火灾或警察的报警线路传到本地警察/消防机构和恰当的领导
控制措施?
吗?
是否安装合适的火灾抑制和防护设备且设备有效?
计算机监视设备是否安装以消除未授权的偷窥?
下列哪一项对于火灾抑制系统的描述是对的
常有效的。
间的墙须至少2 小时
答案 C
的?
强制访问控制需要敏感性标识被标识在所有客体,以下哪一个将在访问控制系统上标识
6.What mechanism does a system use to compare the
系统使用什么机制来比较的主体和客体的安全标识?
12.What does it mean to say that sensitivitγlabel
17.What does it mean if a system uses "Trusted Recove
主板答案:D
69.What is it called when a computer uses more than o
哪个安全模型只允许使用程序来对客体进行访问?
哪个安全模型可确保在一个更高的安全级别进行的操作并不影响发生在较低级别的行
以下哪个安全模型不考虑本数据的流动?
如果所有的用户都有安全声明或授权,基于知所必需来访问所有数据,那么系统运行在哪种安全模式?
以下哪个是代表桶皮书评级的最高信任水平?
桶皮书的另一个名字是什么?
答案: C
下列哪一项是最不可能出现在桶皮书?
由管理层对系统的整体安全性进行正式接受是指?
不向上写不向上读
A.
计算机系统或网络内用来给经过授权的信息进行传送的通道是什么?
以干:哪个描述是最符合:在可信域内共享单一的安全政策和单一的管理?
下面哪项描述了一个技术,将几个处理器集成到一个计算机系统中,来增加
下面哪个是一个抽象机,它必须介入所有主体对客体的访问?
答案是: A
下列哪一项使用保护轮廓和安全目标?
根据cc 标准, 什么可以被称为安全要求组件的中间组合?
什么样的访问控制技术也称之为多级安全?
以下哪个访问控制模型是被设计为加强政府以及军队的访问控制能力?
哪个访问控制模型是通过标准格式的交易以及职责分离未获得数据完整性?
以下哪个安全操作模式中的涉及风险最高?
有关的安全内核,下面哪一项是不正确?
安全内核必须提供的隔离,以使用引用监视器理念,并他们必须具布防篡改性。
安全内核必须足够小,以便能够用完整和全面性的方式进行测试和验证。
安全内核是访问控制概念,而不是实际的物理组件。
以下安全模式的操作并不需要所有用户都必须有安全声明,来处理所有信息?
是什么防止进程访问另一个进程的数据?
计算机的保护机制总和,包括硬件、固件和软件这个定义是?
可信系统并不涉及以下哪一项?
关于安全政策执行机制独立核查证据是足够的和有效的。
安全策略的强制执行。
保证以可靠和高效率的方式执行的安全策略。
什么可以被描述为一条假设边界, 这个边界将TCB 的信任组件与不受信任组件隔离开?
引用监视器必须满足的三个条件是什么?
隔离、完备性和可验证性
隔离、分层和抽象
政策、机制和保证
保密性、可用性和完整性答案A
下列哪一项是取代了多个不同标准的 ISO 标准产品评价准则?
可信任的计算机系统评估标准
信息技术安全评估标准
通用标准答案 D
关于如下描述: 详细检查和测试IT 系统或产品,以 确保正确地和有效地工作, 并且不显
下列哪一项不是常见的完整性目标?
防止可能导致不恰当泄露的路径。
防止授权的用户进行不恰当的修改。
防止未经授权的用户进行修改。
保持内部和外部的一致性。答案 A
什么是用于保护程序免于所有未经授权的修改或外部干扰?
一个系统能够检测出己发生故障并能够更正故障或类似操作,这种系统叫做?
故障安全系统
故障恢复系统
容错系统
故障弱化系统答案C
关于企业数据,桶皮书不包括:
下面哪个完整性模型定义了约束的数据项、完整性核查程序和转换程序?
由硬件、固件和软件组成的可信计算基来执行号|用监控器概念,这个是?
保护环
安全内核
保护域
引用监视器答案 B
简单安全规则
安静规则
限制规则
保密规则答案 C
下列哪一项最好定义为由指定授权发布的管理声明,信息系统经批准后可以在具有特定
可控的安全模式也称为:
高系统安全模式
专用的安全模式
多级安全模式
分区的安全模式答案 D
引用验证机制,以确保主体与客体之间是经过授权的联系,这是实行了以下哪个概念?
以下哪个模型不包括数据完整性或利益冲突的?
14.Which of the following is true related to network
16.Which of the following is NOT a media viability co
17.Which of the following are the two commonly
has been erased?
下列哪项是指媒介已被删除后,在媒介上留下的数据?
19.Which of the following ensures that security is no
下列哪个在系统崩溃或其他系统发生故障时确保安全性不受破坏?
20.Which of the following ensures that a TCB is desig
下列哪项确保一个 TCB 通过正式的受控标准来设计, 开发和维护,从而实现 在
21.Which of the following is the lowest TCSEC class w
下列哪个是最低的 TCSEC 级别 其中系统必须支持单独的操作员和系统管理员
22.Which of the following a「e NOT a countermeasure to
下列哪项不是对抗流量分析攻击的策略?
C.Eavesdropping. 窃昕
29.Which of the following effectively doubles the amo
30.Which of the following is used to create parity in
34.The high availability of multiple all-inclusive, e
36.Which of the following would be BEST to use when a
37.Which of the following computer crime is MORE ofte
B.A recovery control. 恢复性控制
41.What is the main objective of proper separation of
适当的职责分离的主要目标是什么?
43.Which of the following is not a component of a Ope
下列哪项不是一个操作安全“三元组”的一个组成部分?
B.Threat威胁
44.Which of the following Operation Security controls
C.Output Controls 输出控制
46.When two operators review and approve the work of
47.Configuration Management is a requirement for the
48.Which level of ”le ast privilege" enables operator
B.Storage 存储
51.This type of vulnerability enables the intruder to
52.What best describes a scenario when an employee ha
53.When attempting to establish Liability, which of t
当试图建立责任时,下列哪一项会被形容为当进行必要的日常维护,能使工作
54.Which of the following is not a critical security
trols? 下列哪项不是关于操作控制安全的一个关键的安全方面?
答案 B
下面哪项基线描述是为某些类型的错误或失误设置门限,从而在被认为可疑的
D.Threshold level 阔值水平
56.In order to enable users to pe 『 form tasks and du
61.What is the essential difference between a self-au
64.What is the main issue with media reuse? 介质重用
65.Which of the following should NOT be pe斤。rmed by a
68.Which of the following is not a preventive operati
培训。
71.Which of the following questions is less likely to
72.Which of the following questions are least likely
74.Which of the following rules is least likely to s
只有数据和关键系统和应用程序,应被允许通过防火墙。
75.Ensuring that printed reports reach proper users a
确保在敏感文件被释放前,打印报告可以到达适当的用户和并保证收据被签收
76.Which of the following is a communication path tha
下列哪项是通过系统的正常安全机制的不能保护的通信路径?
77.According to the Orange Book, trusted facility man
根据
78.According to the Orange Book, which security level
角色分离?
79.Which trusted facility management concept implies
80.Under the TCSEC rating, which of the following fun
A Setting user clearances and initial passwords 设置
81.According to the Orange Book, which security level
82.According to the Orange Book, which security level
87.Which of the following is used to interrupt oppo时u
88.Which of the following security controls might for
95.Separation of Duties describes the process of:职 责
96.The Loki attack exploits a covert channel using wh
洛基攻击利用一个隐蔽的通道,使用的是下面哪项网络协议?
97.Of the various types of“Hackers” that exist, the o
有各种类型的“黑客”存在,下面哪种黑客不担心被抓,并在监狱里度过?
A Backs up data labeled with archive bit O and cha
备份归档位 0 的数据, 并更新归档位为 1
以下哪一个团体代表了计算机犯罪损失的主要来源?
以下哪一个因素最可能导致计算机犯罪?
在美国的法律中,下列哪种场景可以在法庭上使用调查员的笔记?
当调查员不愿意作证时。
调查员在作证时,用来帮助回忆。
如果被告方不反对。
当其他形式的物理证据无效时。
当一个员工受到怀疑时,除了人力资源部门,哪个公司职能应协作收集物理证据?
工业安全
被法庭采纳的计算机证据必须是?
典型的计算机诈骗者通常具有哪一项特性?
他们具有被信任的职位
他们有同谋
他们早先与执法部门有过接触
他们偏离社会可接受的规范
一旦证据被获取,执法部门官员应该强调什么?
正在进行计算机事故处理时,以下哪一项活动不能协调或同时开展?
以下哪一项处理工业和企业间谍活动?
以下哪一项规定了数据收集限制、数据质量、数据收集的目的说明、数据使
下列哪一项不包含在通用信息安全准则(GAISP)中?
系统所有者在组织外部有安全责任。
计算机安全的职责和l可稽核性应被明确。
计算机安全被社会因素约束。
计算机安全从根本上是高级管理层的职责。
不滥用他们在工作过程中接触到的信息,并保持他们被认定拥有的所有信息
恰当报告他们认为的非法职业相关活动,并协助相应的调查。
按照职业最高标准行使职责。
不要使用计算机去危害他人或妨碍他人的计算机工作。
系统的所有用户都应将访问和使用互联网视为一种特权。
不得有秘密存在的个人数据记录系统。
必须有一种方法,使个人可防止在没有得到他们同意的情况下,因某种目的获
在某种程度上,用户应按照他们职业的最高标准执行职责。
定义为不可接受的、不道德的行为?
在进行因特网实验时出现过失
破坏计算机信息的完整性
通过有目的的行为浪费资源,如人、容量和计算机
使用计算机进行偷窃
下列哪一项是用在之前没有任何秘密或通信的实体之间,使两个实体通过不安全介质同意、并生成会话密钥的密钥
在计算机攻击的证据收集过程中,一个系统管理员进行了如下列出的一系列
黑客不大可能使用以下哪种工具?
下列哪一种计算机犯罪更多与内部人员有关?
以下哪一种攻击最有可能向攻击者提供大量的密码以通过系统认证?
对加密的密码文件发动宇典攻击
“爱虫”和“梅莉莎”这两种病毒攻击有什么相同之处?
他们都是伪装攻击。
他们都是社会工程攻击。
他们都是拒绝服务攻击。
他们没有什么相同。
现在的骇客通常对什么最感兴趣?
下列哪一个对商业秘密的陈述是错误的?
如果一个资源未被很多人所知,而且它要求专门的技术、精巧,并且/或者花费 了金钱和精力进行开发,它便可
商业秘密法通常保护资源含义的表达。
许多公司为了保护商业秘密,要求他们的员工签署保密协议。
一个公司想使某资源具备商业秘密资格,该资源必须给公司提供一些竞价值或
事故处理的主要目标是什么?
提高公司应对威胁和灾难的能力
改进公司的灾难恢复计划
遏制并修复由事件造成的损害
成功检索所有可用于起诉的证据
以下哪一项不太可能阻碍员工报告事件?
事件报告流程是集中的。
他们害怕被牵扯到一些他们不想参与的事情中。
他们不清楚公司的安全策略和程序。
他们害怕被指控一些他们没做过的事。
以下哪一项概括了高级管理层应如何为他们制定的计算机与信息安全决策,以及在组织中实际发生的事负责?
维护收集证据的保管链的主要原因是什么?
确保没有证据去夫。
确保给予事件处理应有的关注和努力。
确保证据可被法庭采纳。
确保所有可能的证据都汇集了。
下列哪种逻辑访问的风险涉及了以前或输入计算机时的数据更改?
答案D
评估实施保障措施的法律要求的标准是,比 较建立保护的成本(C)与利用相应脆弱点造成的估计损失(L)
如果合理的根据存在,并且证据有可能即将被破坏,警务人员可在没有许可
哪一类型的证据是证据的复印件或对其内容的口头描述,不如最佳证据可靠?
以下哪一项通过基于证人五官感觉收集的信息的口头证供,证明或反驳了」
不是基于证人个人的第一手资料,而是从其他来源获得的证据叫什么?
这是一个常见的、在大型环境中非常难控制的安全问题。用户拥有比完成工
飞客是专攻电话欺诈的黑客,哪种类型的电话欺诈/攻击利用产生音调的设备模拟向付费电话投币,从而欺骗系统
答案C
当几个公司以某个整合的方式(如外联网)共同工作时,必须采取专门的措
这种类型的支持证据是用来帮助证明一个想法或观点,但它本身并不成立,
根据知识产权法,将公司保密的、带来竞争优势的信息叫做什么?
商业秘密
哪一种类的法律也被叫做侵权行为法?
什么类别的法律处理监管表现和行为的规范标准?政府机构建立这些标准,
答案A
版权法(“原创作者的原创作品”)保护所有者的权利,以下哪一项不受保
要理解犯罪中的“为什么” , 很多时候必须理解MOM 。下列哪一项不是MOM
飞客是专攻电话欺诈的黑客。什么类型的电话欺诈操纵线路电压以获得免费电
红盒子黑盒子白盒子蓝盒子
在下面的语句中填空:在修订的第版中规定了执法机构在搜查及检取个人财产
纸质的业务记录,于册和印刷品应划分为哪类证据?
在法律领域内,以下哪个法规对证据收集作出规主?
计算机生成的证据属于
若要保证计算机证据在法庭上被认可,下列哪一项是最重要的?
保管的证据链必须出示谁收集,保护,控制,处理,运送的证据,而且没有被篡改。
它必须证明一个事实,对于这个案例是无关紧要的
必须证明它的可靠性答案: A
请记住, 仅在CBK范围中, 当针对委员会而非个人时, 它们提供信息。在下列陈述
罪或协同犯罪行为。
用并维护。
服务。
由(ISC) 2认证的所有信息系统安全专业人员应当促进审慎的信息安全保障措施的
的还是暗示的。
任和信心。
的服务。答案: C
在哪能看到“阻止危险的实践”的标语?
以下欧洲联盟(欧盟)关于个人信息保护的原则是不正确的?
个人有权纠正包含在他们的个人资料里的错误。
只要有必要,只要数据永远不与收集组织的外部通信,组织收集的数据就可用于任
禁止将个人信息传输到不具备同等保护条件的地方。
由个人保存的记录应该是准确和最新的。答案: B
系统所有者即使在组织外也有安全责任。
计算机安全支持组织的的使命。
计算机病毒和蠕虫的概念是不道德的。
计算机安全应符合成本效益答案: C
以下哪项最能描述次要证据?
为什么内存转储会作为证据在法庭上被接纳?
因为它是用来识别系统状态的。
因为它是用来证明内容的真实性。
因为内存状态不能作为证据使用。
由于互斥规则。答案: A
竞争性情报攻击应划分为一下那种类型?
尽职关注与以下哪项没有关系?
下列哪项不是被动攻击:
当发现机构信息系统受到入侵时,应当首先采取以下那种操作?
确定系统和数据受损害程度
与有关各方沟通。
切断入侵访问路径。
控制入侵。答案: A
对首次发现的入侵进行分析时确认该入侵为真时,如果想在法庭上起诉攻击者的入
备份受损害系统。
确定入侵访问攻击。
捕捉和记录系统信息。
隔离受损系统。答案: C
为了能够成功起诉入侵者:
尽可能对受侵害资源的拷贝进行分析,而不是原资源,这样就能避免无意中毁坏证
按照预定程序收集证据。
妥善保管证据链。
应与执法及其他部门积极沟通
为了妥善保管证据链:
包含有关入侵信息的日志文件至少和普通业务记录保留相同时间长度,如果需要持
可验证的文档表示个人谁处理一件证据的顺序应该可用。
应当听取执法官员对如何以及何时收集关键信息的建议。
按照相关法律法规的预定程序收集证据。
当发生系统或网络入侵时,应当首先通知一下那一项?
人力资源
系统管理员和网络管理员
内部公共关系接洽人员
执法机构答案: C
入侵妥善处理后何时应召开报告审查会议?
完成入侵调查后的第一周内。
完成入侵调查后的第一个月内。
完成入侵调查后的三个月内。
起诉入侵者后的第一个星期内,无论起诉成功与否。
如果一个组织想要监控员工的电子邮件,它不应该:
规定邮件系统的正确使用。
规定谁可以阅读电子邮件和邮件备份周期。
通知所有员工邮件系统己被监视。
只对部分员工进行邮件监控。答案: D
美国哪项法案规定对机构高级管理层在预防和检测过程中的不作为处以最高2.亿美
按照证据生命周期的一般做法,如果员工使用电脑作案,硬盘可被作为证据,当调
计算机调查存在以下哪一项问题?
证据容易聚集。
电脑生成记录只能作为次要证据,因此不如最佳证据可靠。
在多数情况下,专家或专家不是必需的。
信息是有形的。答案: B
以下哪一项是对其他中间或相关事实的推断?
以下哪些条款不太可能使证据(如审计日志和审计跟踪)被采纳,并根据传闻证据
收集记录在常规的商业行为。
收集记录或附近发生的行为被查处自动生成报告的时间。
您可以证明没有人能够改变的记录/数据/日志收集。
收集记录由高级或执行管理。答案: D
下列哪项是用来检测软件许可违规的最好方法?
要求所有PC都是无盘工作站。
定期扫描使用中的电脑,以 确保未经授权的软件副本尚未加载到PC。
在局域网上安装计量软件,以便应用程序可以通过计量软件访问。
实施有效控制版权侵犯和软件使用的企业策略。答案: B
以下哪一类黑客的危害最大?
将安全事故向有关部门报告的组织。
协调和支持对安全事件做出响应的组织。
将事件相关信息传播给客户和相关各方的组织。
为接收有关涉嫌安全事故的报告提供安全渠道的组织。
根据有罪疏忽的原则,高管因计算机系统漏洞造成损失是要被追究法律责任的,如
他们未能妥善确保计算机资源不受损失。
他们没有尽职保护计算机资源。
该公司不是一个多国公司。
公司不起诉造成损失的黑客。答案: B
为使计算机证据在法庭仨有效,必须满足以下哪一要素?
互联网构建委员会(IAB)将如下那项认定为互联网用户的非道德行为?
似乎在包被发送到一个未知的互联网地址(IP), 是不是在你的网络从一个自己的
关闭端口到数据库并开始进行计算机取证
在外国封锁的IP地址, 并创建一个位级副本的数据库服务器。数据库上运行病毒扫
措, 并添加到IPS规则自动阻止类似的交通。
联系联邦调查局或美国特勤局给予指导上应采取什么样的步骤
让连接熬夜,因为你不希望扰乱空房情况答案: 8
美国卫生部门,教育和福利发展公平信息的做法,专注于个别的隐私,个人辨识之
必须有一个人找出什么关于他们的信息是否存在,以及它是如何使用的一种方式。
必须有一个人的一种方式,以防止有关他们的信息,这是一个目的,正在使用或用
任何组织创建,维护,使用或传播个人辨识之资料记录必须确保其拟运用途的数据
必须有备案制的个人资料的存在应当保密的。
通过诱导用户做出不正确安全决定来实施攻击是以下哪一种?
答案: C
美国-欧洲安全港流程是用来解决如下哪个问题的?
保护美国和欧洲公司的个人数据传输的安全
确保美国和世界各公司之间信息传递的保密性
确保美国和欧洲公司之间信息传递的保密性
确保美国和欧洲|公司之间信息传递的整体性答案: A
垃圾搜寻是什么?
搜寻垃圾桶
执行删除的项目取证
通过搜集另一个人的垃圾丢弃的文件、资料和其他以前的项目来攻击该人或公司
执行介质分析答案: C
以下哪一项是ISC2道德规范标准中最重要的一点?
为雇主提供尽职卓越的服务
行为要体面、诚信、公允、负责、合法
保护社会,国家和基础设施
持续提升并保护整个行业
以F 哪一种云开发模式组成用来供给多个用户(公司)的单一组织的云基础架构, 这种云开发模式可以是某
对于各种云计算服务模型,用户根本不需要管理和控制底层云基础设施,比如网络,
根据不同司法系统和不同案件类型(侵权案件,刑事案件)的不同,证据许可性的
真实性,可推敲,完整性,可信性和可接受性
真实性,准确性,完整性,可信性和可接受性
真实性,准确性,完整性,可信性和可审计性
可译码性,准确性,完整性,可信性和可接受性答案: B
足够接近的用户服务
下列哪个提供企业管理的优先名单的时间关键业务流程,并估计每个关键过程的 时间和企业支持这些过程组件恢
下列哪个步骤是不是一个业务影响评估的八个具体步骤:
该公司所拥有的一个站点,镜像原始生产站点被称为:
以下结果中最具破坏性的业务中断是?
在进行灾难恢复期间,下列哪个是最关键的选项?
通讯链路
下列哪些定义为最近的时间点,数据必须同步,而不影响组织(财务或运营的影
恢复点目标关键时间目标时间目标点
信息系统必须运行在备用站点的时间点
应用程序数据必须恢复到业务交易的时间点
完成应用程序的数据恢复的最大的时间要求
应用数据必须恢复到系统运行操作的时间点答案B
有价证券保险范围不包括以下哪种损坏?
下列哪个是犯罪保险政策所覆盖的?
最大的时间需求,在中断后迁回主站点
最大的业务延迟容忍时间,并仍然保持运行
所需最小时间,来完成恢复应用程序数据答案C
确定要执行各种测试来验证业务恢复计划
关键优先级排序
确定关键业务功能的要求
停机时间估计答案A
规划审批和实施
业务连续性计划开发
业务影响分析
确定范围和计划启动答案C
下列哪一项不是一个脆弱性分析的成果之一?
定量损失评估
业务中断造成的定性损失通常不包括:
所有恢复计划之间的相似性是:
他们需要通过业务连续专家开发
他们创造就业机会
他们至少每两年需要充分的测试一次答案A
那个不是热站点的弊端之一?
需要安全控制,因为它通常包含现场生产数据的镜像副本
冗余的硬件,软件,通信线路和应用程序是非常昂贵的
他们是管理资源密集型的,作为交易冗余控制应保持数据更新
答 案 B
风险评估
答案: C
影响业务功能正常运转的最常见的威胁是:
下列哪项对灾难恢复的陈述是不正确的?
当恢复到主站点,最关键的应用程序应该首先被恢复
灾难恢复计划应包括该企业将如何从备用站点恢复到主站点
一个救援团队的任务是确保在主站点返回到正常处理条件下
一个恢复团队的主要任务是在备份处理站点恢复预定义的关键业务功能
下面哪一项关于业务连续性计划的开发是正确的
开发业务连续程序的第一步是执行业务影响分析。
业务连续性计划主要关注组织的信息系统
一般来说, 每个运行应用程序的IT 平台需要一个恢复策略
下列哪一个陈述是温站概念背后最重要的假设
一个站点,准备的工作空间,有通讯设备,局域网,终端,以及工作终端。
答案:B
测试和灾难恢复演练应该多久执行一次?
业务影响评估是业务连续性计划中的一个妥素。业务影响分析的三个主要目标是
优先级排序,停机时间预估和资源需求
启动范围和计划,业务连续型计划的开发和计划的批准和实施
数据处理连续性计划,数据恢复计划维护和灾难恢复性计划测试
设备需求计划,设备安全管理和管理人员控制
在灾难恢复计划的测试期,IT 系统同时在备用站点建立。结果与在原始站点的常
在业务影响分析期可以推断系统最大的容许停机时间是2 个小时。这一系统被分
哪种类型的备用站点将是最好的策略,如果你有的业务应用程序无法接受任何停
业务影响分析是关于
各领域的研究,你准备向高级管理人员呈递计划。在演示会上,你尽职尽责创建 的计划没有收到积极的响应。高
\
、、、-,
gooann.com
一 一您身边的 IT 风险管理 专家
国际信息安全专家培训
练习题〈内部使用〉
北京谷安天下科技有限公司
1.A potential p「oblem related to the physical installation of the Iris Scanner in regards to the usage of
the iris pattern within a biometric system is:
在一个生物系统内的虹膜图案的使用方面涉及到的虹膜扫描仪物理安装的一个潜在问题是:
A.the optical unit must be positioned so that the sun does not shine into the aperture.
光学设备必须被定位以便使太阳照进光圈
B.there is a relatively high rate of false accepts.
有一个相对较高的错误接受率。
C.the iris pattern changes as a person grows older.
虹膜图案随着一个人年龄的增长而变化。
D. concern that the laser beam may cause eye damage.
关注激光束可能会导致眼睛损伤。
答案 A
2.Which of the following isnot needed for System Accountability?
下列哪一项是系统可问责性不需要的?
A.Audit ing 审计
B. Identification 识别
C.Aut hori zat ion 授权
D. Aut hent ication 鉴 别
答案 C
3.ln Mandatory Access Control, sensitivity labels contain what information?
在强制访问控制中,敏感标记包含什么信息?
A.the item's classification, category set and compartment set
对象的分级、分类设置以及区间设置
B. the it em’sclassification and its compartment
对象的分级和区问设置
C.the item's classification and category set
对象的分级、分类设置
D.the item's classification
对象的分级设置
答案: C
1
a Multi-Level Security Policy?
4.Which of the following are necessary components of
下面哪项是多级安全策略的必要组成部分吗?
A.Sensitivity Labels for only objects and Mandatory Access Control.
适合于唯一客体的敏感标记和强制访问控制。
B. Sensitivity Labels for subjects & objects and a "system high" evaluation.
适合于主体与客体的敏感标记以及”高级别系统”评价。
C. Security Clearances for subjects & Security Labels for objects and Mandatory Access Control.
主体安全声明&适合于唯一客体的敏感标记和强制访问控制。
D. Sensitivity Labels for subjects & objects and Discretionary Access Control.
适合于主体与客体的敏感标记和自主访问控制。
答案 C
5.Which of the following is not part of the Kerberos Key Distribution Service (KDS)?
下列哪一项不是KDS C Kerbero s 密钥分发服务)的一部分。
A.Kerberos Ticket Granting Server (TGS).
Kerbero s票务授予服务器(TGS)。
B. database with user names and passwords.
用户名和密码数据库。
C. Kerberos Ticket Revocation Server (TRS).
Ke「bero s票证吊销服务器(TRS)。
D. Kerberos Authentication Server (KAS).
Kerbero s身份验证服务器(KAS)。
答案 C
6.Which of the following is needed for System Accountability?
以下哪个是系统问责所需要的?
A.Aut horizat ion. 授 权
B. Formal verification of system design. 系统设计的形式验证
C. Documented design as laid out in the Common Crit eria. 用通用标准陈列设计的文档
D. Audit mechanisms. 审计机制
答案: D
The three classic ways of authenticating yourself to the computer security software are by
7.
something you know, by something you have, and by something:
向电脑安全软件验明身份的三种经典的认证方式是:你所知道的,你所拥有的和什么?
Aγou can get. 你所获得的
B.non-t rivia l. 有意义的
C. you are. 你是什么
D. you need. 你所需要的
2
答案:C
8.A timely review of system access audit records would be an example of which of the basic security
functions?
及时的复审系统访问审计记录是以下哪个安全功能的例子?
A.prevent ion. 预防
B. avoi danc e. 避免
C. detect ion. 检测
D.det errence. 威 慑
答案: C
9.A confidential number used as an authentication factor to verify a user ’s identity is called a:
被用作鉴别因素来验证用户的身份的机密号码被称为?
A.PIN 个人识别号码(Personal Identification Number)
B.Password 密 码
C.Cha llenge 挑战值
D.User ID 用户标识
答案:A
10.lndividual accountability does not include which of the following?
个人问责不包括下列哪一项?
A . audit trails. 审 计跟踪
B .
C .
D . access rules. 访问规则答
案: B
policies & procedures. 政策与程序
unique identifi ers. 唯一识别符
IS quality assurance. 信息系统质量保证
11.Which one of the following functions provides the least effective organizational reporting structure
for the Information Sγstems SeCl』「it y function?
对于信息系统安全功能来说,向下列哪个职能组织级汇报架构是最没有效果的?
A.
B . Corporate securit y. 企业安全
C .
D .
答案: D
IS resource manag ement. 信息系统资源管理
IS o perat ions. 信息系统运维
An access control policy for a bank teller is an example of the implementation of which of
12.
the following?
以下哪个是银行柜员使用的访问控制策略?
A . rule-based policy. 基于原则的策略
B .
identity-based policy. 基于身份的策略
3
user-based pol icy. 基于用户的策略
role-based policy. 基于角色的策略
C .
D .
答案: D
plan for considering proper authentication options.
13.0 「 ganizat ions should consider which of the following first before allowing external access to their
LANs via the Internet?
组织在允许外部通过互联网访问他们的局域网前应首先考虑什么?
A.
计划选择适当的鉴别措施
B . plan for providing the user with his account usage info 「 mat ion.
计划提供用户账户使用信息
C .
计划保护调制解调器池
D. plan fo「 implementing workstation locking mechanisms.
计划实施工作站锁定机构定
答案: A
plan for protecting the modem pool.
14.Which of the following would assist the most in Host Based int「usion detection?
以下哪项在基于主机的入侵检测中提供了最大的帮助?
A . host-based aut henticat
B.
audit trails. 审计跟踪
C .
access control list s. 访问控制列表
D .
security clearances. 安全声明(级别)
答案: B.
ion. 基于主机的认证
15. Controls to keep password sniffing attacks from compromising computer systems include
which of the following?
防止密码嗅探攻击危害电脑系统的控制是以下哪一项?
A.one-time passwords and encryption.
一次性密码和加密。
B. static and one-time passwords.
静态和一次性密码。
C. encryption and recurring passwords.
加密和重复利用的密码
D.static and recurring passwords.
静态密码和重复利用的密码
答案:A
16.ln discretionary access environments, which of the following entities is authorized to grant
4
information access to other people?
在自主访问控制环境中,下列哪个实体用于授权其他人信息访问的权限。
A. M anager 管理人员
B. Data Owner 数据所有者
C.Security M anager 安全管理人员
D. Group Lea der 组长
答案: B
17.Which of the following attacks could capture network user passwords?
下列哪个攻击能够捕获网络用户的密码?
A. IP Spoofing 地址欺骗
B. Smurfing Smurf攻击
C.Sniff ing 嗅探
D. Data diddling 数据欺骗
答案:C
·
18.Which of the following would constitute the best example of a password to use for access to a
system by a network administrator?
下列哪项构建了网络管理员访问系统,密码使用的最好的例子?
A. Christmas12
B. Jenny
C. GyN19Za!
D.holiday
答案:C
19.What physical characteristic does a retinal scan biometric device measure?
视网膜扫描生物识别装置测量什么物理特性?
A.The amount of light reaching the retina
到达视网膜的光线亮度
B. The amount of light reflected by the retina
被视网膜反射的光线亮度
C. The pattern of blood vessels at the back of the eγe
眼睛后面血管的特征
The pattern of light receptors at the back of the eye
眼睛后面光受体的特征
答案: C
The Computer Security Policy Model the Orange Book is based on is which of the following?
20.
桶皮书基于的计算机安全策略模型是以下哪一项?
5
A9.Data Encryption St an dard 数据加密标准
B. Kerberos 寇伯拉斯
C. Tempest 电磁风暴
D. Bell-LaPadula 贝尔拉普杜 拉
答案: D
21. Which of the following would NOT be considered a Denial of Service Attack?
下列哪项不会被认为是一种拒绝服务攻击?
A.Zone Transf er 区域转换
B.TearDrop
C.SynFlood 洪水攻击
D.Smurf
答案:A
Smurf攻击(DOS攻击的一种)
TearDrop攻击
22.
The end result of implementing the principle of least privilege means which ofthe
following?
实施最小特权原则的最终结果意味着下列哪一项?
A.Users would get access to only the info for which they have a need to know
用户仅仅能够获得访问他们需要知道的信息
B.Authorization cree p. 授权蔓延
C.Users can access all syst ems. 用户能够访问所有系统
D.Users get new privileges added when they change positions.
当用户改变位置能够获得新被添加的特权
答案: A
23. Which of the following is true of two-factor authentication?
下面哪项对双因素认证的描述是正确的?
A.It does not use single sign-on technology.
没有使用单点登录技术。
B. It requires two measurements of hand geometry.
需要两个子型测量
C.It uses the RSA public-key signature based on integers with large prime factors.
使用基于大质因子的整数RSA公钥签名。
D.lt relies on two independent proofs of identity.
它依赖于两个独立的身份证明。
答案: D
The primary service provided by Ke「be「os is which of the following?
24.
下列哪一项是Kerberos提供的主要服务?
A.non-repudiat ion 不可抵赖性
6
B. Authori zat ion 授权
C. Authent ication 认 证
D. Co nfi dentialit y 保密
答案:C
There are parallels between the trust models in Kerberos and Public Key Infrastructure (PKI).
25.
When we compare them side by side, Kerberos tickets correspond most closely to which of the
following?
在Kerbero s和公共密钥基础设施(PKI )的信 任模型之间有相似之处。当对比两样技术, Kerbero s
票证更相似以下哪一项?
A.private keys 私钥
B. public-key cert ifi cates 公钥认证
C.private-key cert ifi cates 私钥认证
D. public keys 公 钥
答案:B
26. Which of the following is a straightforward approach that provides access rights to subjects for
objects?
下列哪项是主体为客体提供访问权限的简单方法?
A.Take-Grant model 获得授权模型
B. Access Matrix model 访问矩阵模型
C.Bell-LaPadula model Bell-LaPadula模型
D.Biba model Biba 模型
答案 :B
27. Which of the following uses a d 「i ected graph to specify the rights that a subject can transfer to
an object, or that a subject can take from anot he 「 subject?
下列哪项使用定向图详细说明主体转移到客体,或主体从其他主体获得的权利?
A.Take-Grant model 票据授予模型
B.Bell-LaPadula model 贝尔拉普杜拉模型
C.Biba model Bibaf 莫型
D.Access Matrix model 访问矩阵模型
答案:A
28. In which of the following security models is the subject's clearance compared to the object’s
classification such that specific rules can be applied to control how the subject-to-object interactions
take place?
在以下明ll个安全模型中是通过主体的声明与客体的分级想比较 , 这样可以应用来控制主体到客体
的交互发生的控制?
A.Access Matrix model 访问矩阵模型
B.Biba model Biba 模型
C.Take-Grant model 获取授予模型
7
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
