葵花宝典CISSP真题录

葵花宝典C I S S P真题录HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】1．状态检测防火墙什么时候实施规则变更备份？BA 防火墙变更之前B 防火墙变更之后C 作为完全备份的一部分D 作为增量备份的一部分2．哪项违反了CEI？ BA 隐瞒之前的犯罪记录行为B CISSP从业者从事不道德行为3．FTP的风险？ BA 没有目标认证B 明文传输4．L2TP是为了通过什么协议实现？ AA PPPB PCP5．VOIP在语音通信过程当中，弱点? BA 没有目标认证B 没有源认证6．(1) 假如：T为IDS控制成本费用200000美元E为每年恢复数据节省费用50000美元R是为实施控制措施之前的每年恢复费用100000美元问：实际投资回报为：A -50000B -100000C 100000D 150000A (投资回报就是控制前-控制后, 投资回报负值就是省了多少，正值就是赚了多少)(2) 问年度预期损失ALE怎么计算： BA (R+E)/TB（R-E）+TC (R-T)*ED T/(R-E)7．ipsec隧道模式下的端到端加密，ip包头 BA 加密，数据不加密B和数据一起加密C 不加密，数据加密8．实施一个安全计划，最重要的是： BA 获取安全计划所需的资源B 与高层管理者访谈9．安全要求属于： BA. ST安全目标B. PPC . TOE10．TOE属于 AA CCB 可信计算机11．公司进行信息安全评估，打算把所有应用程序维护外包，问对服务提供商什么是最重要的？ CA BIAB 风险管理C SLA12．公司运维外包服务，问什么时候跟服务提供商确定安全要求？ AA 合同谈判B 合同定义1.外部审计师违反了公司安全要求，问惩罚判定来源： CA 公司安全要求B 外部审计公司要求C 双方协议2.公司实施一个纵深防御政策，问由内到外的层次设计？ A？A 边界场地出入口办公区计算机机房B 围墙场地出入口计算机机房办公区域3.802.1 b具有什么功能？共享密钥4.SSL协议双向认证，部分使用，除了客户端验证服务器，还有？ AA 服务器对客户端自我验证B 客户端对服务器自我验证5.可重复使用是在CMMI的哪个阶段？第二个A、不可预测B、可重复C、可定义D、可管理E、可优化6.可重复使用是在SDLC的哪个阶段？开发阶段（如果说的是对象的可重复使用的话）7.实现机密性，使用以下哪个算法？ C （DES不安全、SHA是散列函数，RSA速度慢，当然前提这道题目得有条件，如加密消息时）A. DESB. SHA-1C. AESD. RSA8.以下哪项可以实现数字签名、完整性？ AA. RSAB. DSA9.关于ECC算法的，概念题10.同步、异步令牌11.在PKI中哪个组件负责主体身份与公钥证书绑定？ BA 注册机构B 证书颁发机构23是怎么预防电缆产生的电磁辐射。

CISSP考试练习(习题卷1)说明：答案和解析在试卷最后第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]为什么必须很好地保护 Kerberos 服务器免受未经授权的访问?A)我不包含所有客户的密钥 。

B)它始终以根本 特权运作。

C)它包含所有服务的门票 。

D)它包含所有网络实体的互联网协议 (IP) 地址 。

2.[单选题]Data backup verification efforts should:数据备份验证工作应该:A)Have the smallest scope possible.尽可能有最小的范围B)Be based on the threats to the organization.基于组织面临的各种威胁C)Maximize impact on business.最大化对业务的影响D)Focus on user data.关注用户数据3.[单选题]审计期间将收集的数据量主要由A)审计范围。

B)审计师的经验 水平。

C)数据A的可用性。

D)数据的完整性。

4.[单选题]可能造成的事件或事件的系统或网络造成的损害称为A)劣势B)威胁代理C)威胁D)漏洞5.[单选题]As a security manger which of the following is the MOST effective practice for providing value to an organization? 作为安全经理，以下哪项是为组织提供价值的最有效实践？A)Assess business risk and apply security resources accordingly. 评估业务风险并相应地应用安全资源。

B)Coordinate security implementations with internal audit. 协调安全实施与内部审计。

C)Achieve compliance regardless of related technical issues实现法规遵从性，而不考虑相关的技术问题D)Identify confidential information and protect it. 识别机密信息并加以保护。

CISSP考试练习(习题卷23)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]哪些美国政府分类标签适用于一旦披露可能对国家安全造成严重损害并要求分类机构能够描述或识别将造成的损害的信息?A)机密B)秘密C)机密D)绝密答案:B解析:2.[单选题]在IKE / IPsec因特网密钥交换协议/网络网际安全协议中，关于预共享密钥身份验证，哪一项不是正确的？A)预共享密钥身份验证通常基于简单的密码。

B)需要一个PKI公钥基础设施来工作。

C)只需要一个对所有VPN连接的预共享密钥。

D)对庞大用户群体的昂贵的密钥管理。

答案:B解析:3.[单选题]互联网通常被称为一个全球的网络是由于：A)端点网络和互联网提供商覆盖全球B)限制网络和互联网提供商覆盖全球C)私有网络和互联网提供商覆盖全球D)公有网络和互联网提供商覆盖全球答案:D解析:<p>Internet It specifically refers to the global network of public networks and Internet Service Providers (ISPs) throughout the world.</p>4.[单选题]以下哪一项可能导致对凭据管理系统的拒绝服务 (DoS) 攻击?A)延迟撤销或销毁 凭据B)修改证书 撤销 名单C)未经授权的续订或 重新发行D)退役后令牌使用答案:B解析:5.[单选题]以下哪一项被认为是防止电子邮件欺骗的最佳做法?A)垃圾邮件过滤B)加密 签名C)统一资源定位器 (URL) 过滤D)反向域名服务 (DNS) 查找答案:B解析:the adopting organization?A)数据分类Data classificationB)网络控制Network controlC)应用层控制Application layer controlD)人身安全Physical security答案:A解析:7.[单选题]这个职位最能在下面的情况下：雇员从多个账户刮取小额资金，将资金存入自己的银行账户中？A)数据摆弄B)数据诡计C)数据隐藏D)数据屏蔽答案:B解析:8.[单选题]安全操作中心 (SOC)在服务器上收到事件响应通知,服务器上插有主动入侵者,该入侵者已植入后门。

CISSP考试练习(习题卷9)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]在业务连续性计划 (BCP) 的设计中编写计划程序的主要目的是什么?What is the MAIN purpose for writing planned procedures in the design of Business Continuity Plans (BCP)?A)尽量减少失败的风险。

Minimize the risk of failureB)消除不必要的决策。

Eliminate unnecessary decision making.C)建立责任线。

Establish lines of responsibility.D)加速恢复过程。

Accelerate the recovery process.答案:A解析:2.[单选题]以下哪项是正式信息分类计划的主要优势?A)一个。

它最大限度地减少了系统日志记录要求。

B)它支持风险评估。

C)它减少了资产漏洞。

D)它推动了审计流程。

答案:B解析:3.[单选题]Which of the following is MOST critical in a contract in a contract for data disposal on a hard drive with a third party? 在与第三方签订的硬盘数据处理合同中，以下哪项是最关键的？A)Authorized destruction times授权销毁时间B)Allowed unallocated disk space允许的未分配磁盘空间C)Amount of overwrites required所需覆盖量D)Frequency of recovered media恢复介质的频率答案:C解析:4.[单选题]When performing an investigation with the potential for legal action, what should be the analyst's FIRST consideration? 当进行可能采取法律行动的调查时，分析员应首先考虑什么？A)Chain-of-custody产销监管链B)Authorization to collect收款授权书C)Court admissibility法院受理D)Data decryption数据解密答案:A解析:5.[单选题]Between which pair of Open System Interconnection（OSI）Reference Model layers are routers used as a communications device? 路由器在哪对开放系统互连（OSI）参考模型层之间用作通信设备？A)Transport and Session传输层和会话层B)Data-Link and Transport数据链路层和传输层C)Network and Session网络层和会话层D)Physical and Data-Link物理层和数据链路层答案:B解析:6.[单选题]RAID 磁盘名称等级 1 将数据从一个磁盘组到一个磁盘组A)将数据复制到另一种磁盘或轴承上。

CISSP考试练习(习题卷8)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]以下所有项目都应包含在业务影响分析中,即 (BIA)调查问卷,以排除问题A)确定发生业务中断的风险B)确定业务流程的技术依赖性C)识别业务中断的运营影响D)识别业务中断的财务影响答案:B解析:2.[单选题](04143) 在变更生产系统的数据库模式时，应该执行以下哪些活动？A)在开发环境构建变更，进行用户验收测试，制定回退策略，在生产环境实施变更B)在开发环境构建变更，进行用户验收测试，制定回退策略，在生产环境实施变更C)在开发环境构建变更，进行用户验收测试，制定回退策略，在生产环境实施变更D)在开发环境构建变更，进行用户验收测试，制定回退策略，在生产环境实施变更答案:C解析:3.[单选题]Which of the following vulnerabilities can be BEST detected using automated analysis? 使用自动分析可以最好地检测以下哪种漏洞？A)Valid cross-site request forgery（CSRF）vulnerabilities有效的跨站点请求伪造（CSRF）漏洞B)Multi-step process attack vulnerabilities多步骤进程攻击漏洞C)Business logic flaw vulnerabilities业务逻辑缺陷漏洞D)Typical source code vulnerabilities典型的源代码漏洞答案:D解析:4.[单选题]测试自定义应用程序代码的最有效方法是什么?A)阴性 测试B)白盒 测试C)笔配对 测试D)黑匣子 测试答案:B解析:5.[单选题]This statement is the formal requirement for:橙皮书指出,"硬件和软件功能应提供可以用于定期验证[可信计算基]TCB的现场硬件和固件元素的正确操作"。

CISSP考试练习(习题卷3)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]你认为下列哪一个是最安全的身份验证方式？A)生物识别B)密码C)令牌D)票证授予答案:A解析:<p>Biometric authentication systems take advantage of an individual&#39;s unique physical characteristics in order to authenticate that person&#39;s identity. Various forms of biometric authentication include face, voice, eye, hand, signature, and fingerprint, each have their own advantages and disadvantages. When combined with the use of a PIN it can provide two factors authentication.</p>2.[单选题]Kevin 正在为他的组织制定持续的安全监控策略。

在确定评估和监测频率时,通常不使用以下哪一项?A)威胁情报B)系统分类/影响级别C)安全控制操作负担D)组织风险承受能力答案:C解析:根据 NIST SP 800-137,组织应使用以下因素来确定评估和监控频率:安全控制波动性、系统分类/影响级别、提供关键功能的安全控制或特定评估对象、已识别弱点的安全控制、组织风险容忍度、威胁信息、漏洞信息、风险评估结果、监控策略审查的输出和报告要求。

3.[单选题]Brenda 的组织最近完成了对竞争对手公司的收购。

以下哪一项任务最不可能成为收购期间处理的组织流程的一部分?Brenda’s organization recently completed the acquisition of a competitor firm. Which one of the following tasks would be LEAST likely to be part of the organizational processes addressed during the acquisition?A)安保职能的整合Consolidation of security functionsB)安全工具的集成Integration of security toolsC)知识产权保护Protection of intellectual propertyD)安全政策文件Documentation of security policies答案:C解析:与收购(一家公司购买另一家公司)相比,在资产剥离(子公司被分拆为一个独立的组织)期间,知识产权保护是一个更大的问题。

CISSP考试练习(习题卷17)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]攻击者最有可能以以下哪项为目标来获得对系统的特权访问?A)一个。

写入系统资源的程序B)写入用户目录的程序C)包含敏感信息的日志文件D)包含系统调用的日志文件答案:A解析:2.[单选题]组织进行安全审计的主要目的是什么? What is the PRIMARY purpose for an organization to conduct a security audit?A)确保组织遵守明确定义的标准To ensure the organization is adhering to a well-defined standardB)确保组织应用安全控制来减轻已识别的风险To ensure the organization is applying security controls to mitigate identified risksC)确保组织有效地配置信息系统To ensure the organization is configuring information systems efficientlyD)确保组织记录调查结果To ensure the organization is documenting findings答案:A解析:3.[单选题]Joanna是她所在组织的CISO,在她的安全运营监督角色中,她希望确保对与安全相关的变更进行管理监督。

在大多数组织中,她应该关注什么系统来跟踪此类数据?A)SIEM系统The SIEM systemB)IPS系统The IPS systemC)CMS工具The CMS toolD)ITSM工具The ITSM tool答案:D解析:IT服务管理或ITSM工具包括变更管理以及Joanna正在寻找的批准和审查流程的类型。

SIEM 帮助处理安全日志和事件,IPS查找入侵和不需要的流量,CMS是一种内容管理工具。

CISSP考试练习(习题卷13)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]Frank 的团队正在测试他公司的开发人员为其应用程序基础架构构建的新 API。

以下哪一项不是您希望Frank 的团队发现的常见 API 问题?A)不正确的加密B)对象级授权问题C)用户认证问题D)缺乏速率限制答案:A解析:2.[单选题]您的公司实施了一个基于生物识别的系统来控制对计算机房的访问。

当阈值(1 到 10)设置为 5 时,错误接受率 (FAR) 和错误拒绝率 (FRR) 成功 10 分之 5 。

以下哪一项是高级计算机房实体安全的最佳配置?(Wentz QOTD)A)降低交叉错误率(CER)B)提高等差错率(EER)。

C)降低可(敏感性)D)提高阈值(threshold)答案:D解析:3.[单选题]下列哪一项是安全的主要目标?A)网络的边界范围B)CIA 三元组C)独立系统D)互联网答案:B解析:安全的主要目的和目标是保密性、完整性和有效性,通常称为CIA 三元组。

4.[单选题]RAID磁盘阵列软件可以在操作系统中运行得更快，因为它既不使用硬件级的对等驱动器？A)简单涂磁也不磁盘镜像。

B)硬涂磁也不磁盘镜像C)简单奇偶校验也不磁盘镜像D)简单涂磁也不奇偶校验答案:A解析:<p>This is true, if we do not use parity in our RAID implementation, like RAID 1 (Mirroring) or RAID 0 (Stripping) we can improve performance because the CPU does not need waste cycles to make the parity calculations. For example this can be achieved in Windows 2000 server through the use of RAID 0 (No fault tolerance, just stripping in 64kb chunks) or RAID 1 (Mirroring through a file system driver). This is not the case of RAID 5 that actually use parity to provide fault tolerance.</p>5.[单选题]What do Capability Maturity Models（CMM）serve as a benchmark for in an organization? 能力成熟度模型（CMM）作为组织中的基准是什么？A)Experience in the industry行业经验B)Definition of security profiles安全配置文件的定义C)Human resource planning efforts人力资源规划工作D)Procedures in systems development系统开发过程答案:D解析:6.[单选题]All of the following items should be included in a Business ImpactAnalysis（BIA）questionnaire EXCEPT questions that以下所有项目都应包括在业务影响分析（BIA）问卷中，但以下问题除外：A)determine the risk of a business interruption occurring确定发生业务中断的风险B)determine the technological dependence of the business processes确定业务流程的技术依赖性C)Identify the operational impacts of a business interruption确定业务中断的运营影响D)Identify the financial impacts of a business interruption确定业务中断的财务影响答案:B解析:7.[单选题]为什么会发生缓冲区溢出？A)因为缓冲区只能容纳这么多的数据。

1．状态检测防火墙什么时候实施规则变更备份？ BA 防火墙变更之前B 防火墙变更之后C 作为完全备份的一部分D 作为增量备份的一部分2．哪项违反了CEI？ BA 隐瞒之前的犯罪记录行为B CISSP从业者从事不道德行为3．FTP的风险？ BA 没有目标认证B 明文传输4．L2TP是为了通过什么协议实现？ AA PPPB PCP5．VOIP在语音通信过程当中，弱点? BA 没有目标认证B 没有源认证6．(1) 假如：T为IDS控制成本费用200000美元E为每年恢复数据节省费用50000美元R是为实施控制措施之前的每年恢复费用100000美元问：实际投资回报为：A -50000B -100000C 100000D 150000A (投资回报就是控制前-控制后, 投资回报负值就是省了多少，正值就是赚了多少)(2) 问年度预期损失ALE怎么计算： BA (R+E)/TB（R-E）+TC (R-T)*ED T/(R-E)7．ipsec隧道模式下的端到端加密，ip包头 BA 加密，数据不加密B和数据一起加密C 不加密，数据加密8．实施一个安全计划，最重要的是： BA 获取安全计划所需的资源B 与高层管理者访谈9．安全要求属于： BA. ST安全目标B. PPC . TOE10．TOE属于 AA CCB 可信计算机11．公司进行信息安全评估，打算把所有应用程序维护外包，问对服务提供商什么是最重要的？ CA BIAB 风险管理C SLA12．公司运维外包服务，问什么时候跟服务提供商确定安全要求？ AA 合同谈判B 合同定义1.外部审计师违反了公司安全要求，问惩罚判定来源： CA 公司安全要求B 外部审计公司要求C 双方协议2.公司实施一个纵深防御政策，问由内到外的层次设计？ A？A 边界场地出入口办公区计算机机房B 围墙场地出入口计算机机房办公区域3.802.1 b具有什么功能？共享密钥4.SSL协议双向认证，部分使用，除了客户端验证服务器，还有？ AA 服务器对客户端自我验证B 客户端对服务器自我验证5.可重复使用是在CMMI的哪个阶段？第二个A、不可预测B、可重复C、可定义D、可管理E、可优化6.可重复使用是在SDLC的哪个阶段？开发阶段（如果说的是对象的可重复使用的话）7.实现机密性，使用以下哪个算法？ C （DES不安全、SHA是散列函数，RSA速度慢，当然前提这道题目得有条件，如加密消息时）A. DESB. SHA-1C. AESD. RSA8.以下哪项可以实现数字签名、完整性？ AA. RSAB. DSA9.关于ECC算法的，概念题10.同步、异步令牌11.在PKI中哪个组件负责主体身份与公钥证书绑定？ BA 注册机构B 证书颁发机构23是怎么预防电缆产生的电磁辐射。

CISSP考试练习(习题卷18)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]当证书颁发机构创建Renee的数字证书时,它使用什么密钥对完成的证书进行数字签名?A)Renee的公钥B)Renee的私钥C)CA的公钥D)CA的私钥答案:D解析:证书创建过程的最后一步是数字签名。

在此步骤中,证书颁发机构使用自己的私钥对证书进行签名。

The last step of the certificate creation process is the digital signature.During this step, the certificate authority signs the certificate using its own private key.2.[单选题]媒体标记和媒体标签有何区别?A)媒体标记是指使用人可读的安全属性,而媒体 标记是指在内部数据结构中使用安全属性 。

B)媒体标记是指 使用人可读的安全属性,而媒体 标记是指在内部数据结构中使用安全属性 。

C)媒体标签是指公共政策/法律要求的安全属性,而媒体标记是指内部组织政策所要求的安全属性。

D)媒体标记是指公共政策/法律要求的安全属性,而媒体标记是指由内部组织政策重新标记的安全属性。

答案:D解析:3.[单选题]Computer programs based on human logic using if-then statements and inference engines, also known as?通过使用IF-then语句和推理引擎的,基于人类逻辑的计算机程序,也被称为?A)Expert system.专家系统B)Artificial neural network.人工神经网络C)Distributed computing environment.分布式计算环境D)Enterprise Java-beans.企业java bean答案:A解析:4.[单选题]以下哪项是实现使用中数据控件的主要好处?A)一个。

CISSP考试练习(习题卷2)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]实施最小特权原则的最终结果是指？A)用户可以访问所有系统。

B)用户只能访问他们需要知道的信息。

C)当用户职位改变时，会得到新增的特权D)授权蠕变答案:B解析:<p>The principle of least privilege refers to allowing users to have only the access they need and not anything more. Thus, certain users may have no need to access any of the files on specific systems.</p>2.[单选题]基于角色的访问控制 (RBAC)的一个重要特征是什么?A)支持强制访问控制 (MAC)B)简化访问权限管理C)依靠杜蒂的旋转D)需要两个因素 身份验证答案:B解析:3.[单选题]以下哪一选项不是合适用户账户管理的元素？A)用于跟踪访问权限的流程应予以实施。

B)在敏感职位定期重新筛选人员C)应该定期审查用户账户D)用户应该永远不会被转出了其当前职责答案:D解析:4.[单选题]Ed 负责确定一项服务,该项服务可为其雇主提供低延迟、高性能和高可用性的内容托管。

他应该采用什么类型的解决方案,以确保雇主的全球客户能够快捷、可靠地访问内容?A)热站点B)CDN(内容分发网络)C)冗余服务器D)P2P CDN(对等的内容分发网络)答案:B解析:内容分发网络(CDN)可提供可靠、低延迟、基于地理位置的内容分发。

CDN可以满足本题的要求。

企业一般不会选择P2P CDN(例如 BitTorrent)。

冗余服务器和热站点可以提供高可用性,但无法满足其他要求。

A Content Distribution Network (CDN) is designed to providereliable, low-latency,geographically distributed content distribution. In this scenario, a CDN is an ideal solution. A P2P CDN likeBitTorrent isn't a typical choice for a commercial entity,whereas redundant servers or a hot site can provide high availability but won't provide the remaining requirements.5.[单选题]IP 数据包可以分为两部分:报头和有效载荷。

1．状态检测防火墙什么时候实施规则变更备份？BA 防火墙变更之前B 防火墙变更之后C 作为完全备份的一部分D 作为增量备份的一部分2．哪项违反了CEI？ BA 隐瞒之前的犯罪记录行为B CISSP从业者从事不道德行为3．FTP的风险？ BA 没有目标认证B 明文传输4．L2TP是为了通过什么协议实现？ AA PPPB PCP5．VOIP在语音通信过程当中，弱点? BA 没有目标认证B 没有源认证6．(1) 假如：T为IDS控制成本费用200000美元E为每年恢复数据节省费用50000美元R是为实施控制措施之前的每年恢复费用100000美元问：实际投资回报为：A -50000B -100000C 100000D 150000A (投资回报就是控制前-控制后, 投资回报负值就是省了多少，正值就是赚了多少)(2) 问年度预期损失ALE怎么计算： BA (R+E)/TB（R-E）+TC (R-T)*ED T/(R-E)7．ipsec隧道模式下的端到端加密，ip包头 BA 加密，数据不加密B和数据一起加密C 不加密，数据加密8．实施一个安全计划，最重要的是： BA 获取安全计划所需的资源B 与高层管理者访谈9．安全要求属于： BA. ST安全目标B. PPC . TOE10．TOE属于 AA CCB 可信计算机11．公司进行信息安全评估，打算把所有应用程序维护外包，问对服务提供商什么是最重要的？ CA BIAB 风险管理C SLA12．公司运维外包服务，问什么时候跟服务提供商确定安全要求？ AA 合同谈判B 合同定义1.外部审计师违反了公司安全要求，问惩罚判定来源： CA 公司安全要求B 外部审计公司要求C 双方协议2.公司实施一个纵深防御政策，问由内到外的层次设计？ A？A 边界场地出入口办公区计算机机房B 围墙场地出入口计算机机房办公区域3.802.1 b具有什么功能？共享密钥4.SSL协议双向认证，部分使用，除了客户端验证服务器，还有？ AA 服务器对客户端自我验证B 客户端对服务器自我验证5.可重复使用是在CMMI的哪个阶段？第二个A、不可预测B、可重复C、可定义D、可管理E、可优化6.可重复使用是在SDLC的哪个阶段？开发阶段（如果说的是对象的可重复使用的话）7.实现机密性，使用以下哪个算法？ C （DES不安全、SHA是散列函数，RSA速度慢，当然前提这道题目得有条件，如加密消息时）A. DESB. SHA-1C. AESD. RSA8.以下哪项可以实现数字签名、完整性？ AA. RSAB. DSA9.关于ECC算法的，概念题10.同步、异步令牌11.在PKI中哪个组件负责主体身份与公钥证书绑定？ BA 注册机构B 证书颁发机构23是怎么预防电缆产生的电磁辐射。

CISSP考试练习(习题卷10)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]物理安全设计，最好的原则？A)CPTEDB)成本最低C)最安全考虑D)方便救援答案:A解析:CPTED，“通过环境预防犯罪” ，该理论不期望 改变个体的犯罪动机，而是寄希望于积极的社会行为预防犯罪。

2.[单选题]在开放系统互连 (OSI)模型中,哪个层负责通过通信网络传输二进制数据?A)应用 层B)物理层C)数据链接层D)网络层答案:B解析:3.[单选题]信息技术 (IT) 专业人员参加关于当前事件响应方法的网络安全研讨会。

正在遵守什么道德规范规范?A)为校长提供勤奋和称职 的服务B)保护社会、 联邦和 基础设施C)推进和保护 职业D)行为可敬、诚实、公正、负责和 合法答案:C解析:4.[单选题]如果偏离了组织级的安全政策，就需要以下哪一项？A)风险减少B)风险控制C)风险分担D)风险接受答案:D解析:<p>A deviation from an organization-wide security policy requires you to manage the risk. If you deviate from the security policy then you are required to accept the risks that might occur.</p>5.[单选题]以下哪种方法是 减轻活跃用户工作站数据盗窃的最有效方法?A)实施全盘 加密B)启用多因素 身份验证C)部署文件完整性 检查器D)便携式设备的禁用答案:D解析:B)Vulnerabilities are proactively identified. 主动发现漏洞。

C)Risk is lowered to an acceptable level. 风险降低到可接受的水平。

CISSP考试练习(习题卷21)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]哪种攻击是公钥加密系统中最常用的攻击方式?A)选择明文攻击B)仅密文攻击C)选择密文攻击D)自适应选择明文攻击答案:A解析:A chosen-ciphertext attack is one in which cryptannlyst may choose a piece of ciphertext and attempt to obtain the corresponding decrypted plantext.This type of attack is generally most applicable to public-key cryptosystems.2.[单选题]用来限制统计数据库查询的信息推论的保护机制是A)指定最大的查询集大小B)指定最小的查询集大小，但禁止所有的查询，除了在数据库中的记录C)指定最小的查询集大小D)指定最大的查询集大小，但禁止所有的查询，除了在数据库中的记录答案:B解析:3.[单选题]以下哪项限制了个人执行特定过程的所有步骤的能力?A)一个。

工作轮换B)职责分离C)最小特权D)强制性假期答案:B解析:4.[单选题]什么加密算法将为储存于USB 盘上的数据提供强大保护？A)TLSB)SHA1C)AESD)DES答案:C解析:略章节：模拟考试2022015.[单选题]Activity to baseline, tailor, and scope security controls tikes place dring which National Institute of Standards and Technology（NIST）Risk Management Framework（RMF）step? 制定基线、调整和范围安全控制的活动表明，国家标准与技术研究所（NIST）风险管理框架（RMF）采取了哪一步？A)Authorize IS. 授权IS。

CISSP考试练习(习题卷7)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]Shandra wants to secure an encryption key. Which location would be the most difficult to protect, if the key was kept and used in that location?A)On a local networkB)On diskC)In memoryD)On a public network答案:C解析:2.[单选题]以下哪一位人员通常负责履行高级管理层委派的操作数据保护职责， 例如验证数据完整性测试备份和管理安全策略？A)Data custodian数据保管人B)Data owner数据拥有者C)User用户D)Auditor审核员答案:A解析:数据保管人角色分配给负责实施策略和高级管理层定义的安全控制的个人。

数据所有者确实对这些任务承担最终责任， 但数据所有者通常是将运营责任委派给数据保管人的高级领导。

章节：模拟考试2022013.[单选题]使用自主访问控制(DAC)的系统容易受到下列哪一选项的攻击？A)特洛伊木马B)电话截断C)电子欺骗D)同步洪流答案:C解析:<p>An attempt to gain access to a system by posing as an authorized user. Synonymous with impersonating, masquerading, or mimicking. Spoofing - The act of replacing the valid source and/or destination IP address and node numbers with false ones. Spoofing attack - any attack that involves spoofed or modified packets.</p>4.[单选题]应急预案演习的目的是做以下哪项?A)培训人员的作用和职责B)验证服务水平协议C)培训维护人员D)验证操作度量答案:A解析:5.[单选题]以下哪项是使用手动补丁而不是自动补丁管理的最佳理由?Which of the following is the BEST reason to apply patches manually instead of automated patch management?A)安装补丁所需的成本将会降低The cost required to install patches will be reduced.B)系统易受攻击的时间将减少The time during which systems will remain vulnerable to an exploit will be decreased.C)目标系统驻留在隔离网络中The target systems reside within isolated networks.D)增加覆盖大的地理区域的能力The ability to cover large geographic areas is increased.答案:C解析:隔离网络里,不能连接补丁服务器,只能手动打补丁。

CISSP考试练习(习题卷31)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]在市售软件包中通常包含哪些功能专为访问控制而设计?A)密码或加密B)文件 加密C)源库 控制D)文件 身份验证答案:A解析:2.[单选题](04160) 把字典攻击和暴力破解结合起来的，针对口令的攻击是：A)社会工程B)社会工程C)社会工程D)社会工程答案:B解析:3.[单选题]用户需要访问权限,以便查看员工群体的平均工资。

哪种控制会阻止用户获得员工个人的工资?A)限制对预定义 查询的访问B)将数据库分离成一个小麻木的分区,每个分区都有单独的安全 级别C)实施基于角色的访问控制 (RBAC)D)减少出于统计目的访问系统的人数答案:C解析:4.[单选题]以下哪一个是使用配置管理的主要原因?A)提供集中 管理B)减少更改次数C)减少升级过程中的错误D)在安全控制方面提供一致性答案:D解析:5.[单选题]Robert 负责保护用于处理信用卡信息的系统。

什么样的安全控制框架应该指导他的行动？A)HIPAAB)PCI DSSC)SOXD)GLBA答案:B解析:支付卡行业数据安全标准 (PCI DSS) 管理信用卡信息的存储. 处理和传输。

Sarbanes Oxley (SOX) 法案规范上市公司的财务报告活动。

《健康保险流通与责任法案》 (HIPAA) 规范了受保护健康信息(PHI) 的处理。

Gramm Leach Bliley 法案 (GLBA) 规范个人财务信息的处理。

章节：模拟考试2022016.[单选题]suspicious code within the operating system?下面哪种病毒检测技术是业界最近采用的,监控可疑代码在操作系统内的执行?A)Behavior blocking行为封锁B)Fingerprint detection指纹探测C)Feature based detection基于特征检测D)Heuristic detection 启发式检测答案:A解析:7.[单选题]以下抑制火灾的方法中,哪种方法对环境友好且最适合数据中心?A)惰性气体灭火 系统B)哈龙气体灭火 系统C)干管 洒水器D)湿管 洒水器答案:C解析:8.[单选题]以下哪种技术可以最好地防止缓冲区溢出?Which of the following techniques BEST prevents buffer overflows?A)边界和边缘偏移Boundary and perimeter offsetB)字符集编码Character set encodingC)代码审计Code auditingD)变量类型和位长Variant type and bit length答案:B解析:9.[单选题]下面哪一个模型实际上是一个包含模型软件开发的模型的元模型？A)瀑布模型。

CISSP考试练习(习题卷22)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]During an internal audit of an organizational Information Security Management System（ISMS）, nonconformities are identified. In which of the following management stages are nonconformities reviewed, assessed and/or corrected by the organization? 在对组织信息安全管理系统（ISMS）进行内部审计期间，发现了不符合项。

组织在以下哪个管理阶段审查、评估和/或纠正不符合项？A)Planning计划B)Operation活动C)Assessment评估D)Improvement改善答案:B解析:2.[单选题]如果，选择静态的连接到一个终端，使用哪个技术是安全的？A)443B)22C)80D)21答案:B解析:22端口是SSH协议应用，SSH 为建立在应用层基础上的安全协议。

SSH 是较可靠，专为远程登录会话和其他网络服务提供安全性的协议。

利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

SSH最初是UNIX系统上的一个程序，后来又迅速扩展到其他操作平台。

3.[单选题]Jim希望允许合作组织的ActiveDirectory森林(B)访问他的域森林(A)的资源,但不希望允许其域中的用户访问B的资源。

他也不希望信任在形成时通过域树向上流动。

他应该怎么做?A)建立一个双向传递信任B)建立单向传递信任C)建立单向不可转移信任D)建立双向不可转移信任答案:C解析:允许一个森林域访问另一个森林域的资源而不希望反过来的访问,是单向信任的例子。

因为Jim 不希望信任路径随着域树形成而流动,所以这种信任必须是不可转移的。

CISSP考试练习(习题卷32)第1部分：单项选择题，共100题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]在数据分类方案中,数据归A)信息技术 (IT) 经理。

B)业务经理。

C)最终用户。

D)系统证券经理 。

答案:B解析:2.[单选题]Kathleen工作的公司已将大多数员工转移到远程工作,并希望确保他们用于语音、视频和基于文本的协作的多媒体协作平台是安全的。

以下哪些安全选项将提供最佳用户体验,同时为通信提供适当的安全性?The company that Kathleen works for has moved to remote work for most employees and wants to ensure that the multimedia collaboration platform that they use for voice, video, and text-based collaboration is secure. Which of the following security options will provide the best user experience while providing appropriate security for communications?A)需要将基于软件的VPN连接到企业网络,以供所有的协作平台使用。

Require software-based VPN to the corporate network for all use of the collaboration platform.B)要求对所有通信使用SIPS和SRTPRequire the use of SIPS and SRTP for all communications.C)对协作平台的所有流量使用TLSUse TLS for all traffic for the collaboration platform.D)将安全 VPN 端点部署到每个远程位置并使用点对点 VPN 进行通信。