CISSP：错题汇总

1：下列哪一项不正确？ C
A.保密性的违反包括人为 错误
B.保密性的违反包括管理监督
C.保密性的违反仅限于直接故意攻击
D.当传输未正确加密时保密性违反可能发生javascript:void(null)

2：STRIDE通常用于评估针对应用程序或操作系统的威胁有关，下列哪一项不包括STRIDE元素？ D
A.欺骗
B.权限提升
C.否认
D.披露
解析:信息披露 不等于披露

3：下列哪一项是机密数据的最低军事数据分类 B
A.敏感
B.机密
C.专有
D.隐私
解析: 机密、秘密、绝密的统项为数据分类，机密低于秘密

4：数据分类都用于关注安全控制，除了已下哪一个？D
A：存储
B：处理
C：分层
D: 转移

5：下列哪一项不是有效的风险定义? B
A、几率、可能和机会的评估
B 移除脆弱性或防止一个(或多个)特定攻击发生的任何事情
C 风险 = 威胁 * 脆弱性
D 每个暴露实例

解析: B属于风险实施过程

6、以下哪一项没有具体或直接关系到组织的安全功能管理? A
A 、员工工作满意度
B、 度量
C、信息安全策略
D、预算
解析：安全管理通常包括预算、指标、资源、信息安全策略的评估以及评估安全程序的完整性和有效性

7、通过特定的威胁/脆弱性/风险关系，已经执行了基本的定量风险分析，选择一个可能的对策当再次计算时，下列哪个因素会变化 D
A、暴露因子
B、单一损失期望
C、资产价值
D、年发生比率
对策直接影响年发生比，这主要是因为对策被设计用于组织风险的发生，从而减少年发生比的频率

8、对于那些对业务连续性计划开发负责的人来说，第一步应该执行什么? B
A. 团队选择
B. 业务组织分析
C.资源需求分析
D.法律和法规性评估

解析：首先分析业务组织，然后组件BCP团队，然后分析风险、制定BCP方案，给最高领导人确定，最后实施和维护

9、下列哪一项BIA条款表示了特定风险每年预计损失的货币量: C
A、ARO
B、SLE
C、ALE
D、EF
解析：ALE = SLE * ARO ，这里是我概念记混了.ALE为年度损失期望，SLE为单一损失期望

10、在哪个业务连续性计划任务中，会设计流程和机制以减少BCP团队认定的不可接受的风险？ C
A、策略阶段
B、业务影响评估
C、条款和流程
D、资源优先级
解析：预备和处理阶段，BCP团队实际上位缓解的策略开发阶段认为不可接受的风险设计规程和机制

11、安装冗余通信链路，这是利用了什么类型的缓解条款? D
A 加固系统
B 定义系统
C 减轻系统
D 更换系统
解析:这是替换系统的一个例子，冗余通信链路是备用系统的一种形式。

12、那条法律首先要求美国联邦的相关计算机系统操作者接受计算机安全问题的定期培训？ A
A、计算机安全法案
B、国际基础设施保护法案
C、计算机欺诈和滥用法案
D、电子通信隐私法案
解析：《计算机安全法案》要求强制性的对涉及管理、使用或操作包含敏感信息的联邦计算机系统的所有人定期培训

13、什么是计算机系统最广泛的类别，这个类别收计算机欺诈和滥用方案(修正案)保护?
A、政府所属系统
B、联邦相关系统
C、用于洲际贸易的系统
D、美国境内系统
解析：《计算机滥用修正案》包括了州间贸易使用的素有系统，这覆盖了美国的部分的系统(但不是全部)

14、Mattew最近编写了一个创新算法去解决一个数学问题，并且他希望与全世界分享。但是，在技术杂志上发布软件代码之前，他想获得一些知识产权方面的保护，下列哪个保护最适合他？
A 版权
B 商标
C 专利
D 商业秘密
解析：版权法时Matthew可以使用的知识产权的唯一类型，商标不适合这种情况，专利权不适合数学算法

15、什么法律禁止政府机构泄密个人提交给政府保护环境下的信息？
A、隐私法案
B、电子通信隐私法案
C、健康保险流通与责任法案
D、Gramm-Leach-Bliley法案
解析：美国的《隐私法案》限制了政府机构使用公民在某种情况下透露给他们的信息的方法

16、软件行业使用什么法律来正式的派发大量许可，并试着标准化从 一个州到另一个州的使用？
A 计算机安全法案
B 统一计算机信息处理法案
C 数字千禧年版权法案
D Gramm-Leach-Blilry法案
解析：《美国同意计算机信息处理法案》试图实施一个有关所有州都采纳的计算机处理的标准法律架构

17、以下哪一项许可协议类型不需要用户在执行之前确认他们已经阅读了协议？
A、标准许可协议
B、拆封协议
C、单击许可协议
D、口头协议
解析：B 收缩性薄膜包装的许可证协议在用户打开软件包装时生效

18、在美国专利保护期是多长？
A、提交申请日开始14年
B、专利获得日开始14年
C、提交申请日开始20年
D、专利获得日开始20年
解析： 美国专利发从专利申请提交到专利和商标局的时候就开始提供20年的独家使用权
19、在处理关于欧盟数据隐私法令下的个人信息时，以下哪一项不是有效的法律依据？
A、合同
B、法律义务
C、市场需求
D、赞成
解析：欧盟隐私法指令的定义，市场销售需要不是处理个人信息的有效基础

20、以下哪一项基于Blowfish并能保护免受彩虹表袭击? C
A、3DES
B、AES
C、bcrypt
D、SCP
解析：bcrypt基于Blowfish,添加128位附加为作为盐以防止彩虹表攻击

21、以下哪一项是对数据所有者确立的“行为规则”的最好定义？
A、确保用户只被授予对他们所需要东西的访问权
B、决定对系统有访问权的人
C、识别对数据的恰当使用和保护
D、对系统实施安全控制
解析:行为规则是被适当和保护数据的规则

22、在欧盟数据保护法的北京下，以下哪一个是数据处理者？
A、代表数据控制者处理个人数据的实体
B、控制数据处理的实体
C、处理数据的计算系统
D、处理数据的网络
解析：欧盟保护法定义数据处理器为"仅代表数据控制器处理个人数据的自然人或法人"

23、以下的选项中，哪一项可以在补牺牲安全性的情况下阻止丢失时间的发生？D
A、标记场外保存的介质
B、不要把数据存储在场地外
C、将场地外的备份全部摧毁
D、使用安全的场地外存储设备

23、在以下选项中、关于备份介质不遵守哪一项策略？ B
A、介质销毁
B、记录保存
C、配置管理
D、版本控制
解析：人员没有遵守记录保留策略

24、高级加密标准使用的分块大小是多少？
A、32
B、64
C、128
D、可变
解析：AES加密标准使用128块大小

25、什么类型的密码系统经常利用一个通道，借助一本著名的书来加密秘钥？ B
A 、Vername 加密
B、轮换秘钥加密
C、Skipjack加密
D、Twofish加密

解析：滚动秘钥密码使用书籍的一段话作为加密

26、哪个入围的AES利用了预白造化和后白噪声化技术？ B
A、Rijndael
B、Twofish
C、Blowfish
D、Skipjack
解析：Twofish算法使用预白化合后白化技术

27、John想要产生2048位的消息摘要，并计划发送给Mary,如果使用SHA-1散列算法，这条特定消息的消息摘要长度是多少？
A、160位
B、512位
C、1024位
D、2048位
解析：SHA-1散列总生成160的消息摘要

28、下列哪个算法不受数字签名标准支持？
A、数字签名算法
B、RSA
C、EI Gammal DSA
D、Eliptic Curve DSA
解析： C 数字签名允许的算法：数字签名算法，RSA、 椭圆曲线DSA结合SHA-1散列函数生成的数字签名

29、系统鉴定是什么？
A、正式可接受的系统配置生命
B、为了每个硬件和软件组件都满足集成标准，对制造商目标进行功能评价
C、证明计算机系统实施安全策略的可接受的测试结果
D、指定两台机器之间的安全通信过程
解析：A 鉴定是正式验收的过程

30、哪个Bell-LaPADULA属性阻止低级别的主体访问高级别的客体
A、星安全属性
B、不准向上写属性
C、不准向上读属性
D、不准向下读属性
解析： C ，不准向上读的属性也被称为简单安全属性，禁止主体读取更高安全级别的客体

31、许多PC操作系统提供一个功能，这个功能使他们能够支持但处理系统的多个应用程序同时执行，什么术语描述这种能力？
A、多程序
B、多线程
C、多任务
D、多处理器
解析：C 多任务处理指同事处理多个任务

32、什么技术为组织提供对BYOD设备的最佳控制
A、应用白名单
B、移动设备管理
C、加密移动存储
D、地理标记
解析：B移动设备管理（MDM）是一种软件解决方案，其他均为MDM解决方案的一部分

33、三个应用程序在支持多任务处理的单核单处理器系统上运行，这些应用程序的其中一个为文字处理程序，并同时管理两个线程，其他两个应用程序只使用一个线程来运行，在任何给定时间有多少个应用线程在处理器上运行？
A、1
B、2
C、3
D、4
解析：A 单处理系统一次只能处理一个线程，

34、什么类型的美国联邦计算机系统要求所有访问系统的个人都需要知道所有由系统处理的信息？
A、专有模式
B、系统高级模式
C、间隔模式
D、多级模式
解析: A 专有系统中，所有用户都是最高级别，对系统所处理全部信息的“知其所需”权限

35、减少移动设备上的数据丢失风险的最有效手段是什么，例如笔记本电脑？
A、设置强登录密码
B、减少存储在移动设备上的敏感信息
C、使用一根电缆
D、加密硬盘
解析： B 保持系统上最小敏感数据是降低风险的唯一方法

36、什么类型的电气部件作为构建动态RAM芯片的主要部分
A、电容器
B、电阻器
C、触发器
D、晶体管
解析：A 动态RAM上有很多电容器，每个电容器上都存有电荷

37、在下列哪种安全模式中，你会放心所有用户都通过系统处理所有信息的访问权限，但不必知道所有的信息
A、专有模式
B、系统高级模式
C、间隔模式
D、多级模式
解析：B 所有用户必须具有对系统处理的所有信息的适当安全许可和访问特权，但是只需要对系统处理的部分信息具有“知其所需”权限

38、什么类型的存储设备通常用于包含一台计算机的主板BIOS？
A、PROM
B、EEPROM
C、ROM
D、EPROM
解析：B 为了便于将阿里固件的更新，BIOS和设备固件通常被存储在EEPROM芯片上

39、什么类型的寻址方案是数据实际提供给CPU作为参数传递给指令？
A、直接寻址
B、立即寻址
C、基址偏移
D、间接寻址
解析：立即寻址中，CPU实际上并不需要从存储器中检索任何数据，数据就包含在指令本身中，可以被立即处理

40、为了维持最有效和安全的服务器机房，一下哪一项不必是真的？
A、必须和人共存
B、必须包括非水灭火装置的使用
C、湿度必须保持在40%-60%之间
D、温度必须保持在华氏60到75度
解析：为了保持有效性和安全性，计算机机房不需要与人相协调，与人不协调的服务器机房提供了对攻击的更高的保护等级

41、周边安全设备或机制的最常见形式是什么？ D
A、保安人员
B、栅栏
C、CCTV
D、照明

42、以下哪一个不最不能抵抗EMI？ B
A、细缆
B、10Base-T UTP
C、10Base5
D、同轴电缆

43 ——————防火墙是第三代防火墙 B
A、应用级网关
B、状态监测
C、电路级网关
D、静态数据包过滤

44、关于防火墙，下列哪一项不是正确的？ B
A、他们都能记录流量信息
B、他们都能隔离病毒
C、他们能基于可疑攻击发出问题报警
D、他们仍不能防止内部攻击

45、下列哪个不是可路由协议？ D
A、OSFP
B、BGP
C、RPC
D、RIP

46、————是一种数据链路层连接机制，使用分组交换技术在通信方之间建立虚电路 B
A、ISDN
B、帧中继
C、SMDS
D、ATM
解析： 帧中继是二层连接机制，使用分组交换和在通信端点之间建立虚电路

47、如果网络使用NAT代理、需要怎样才能允许外部客户端通过内部系统发起连接会话？
A、IPSec隧道
B、静态NAT
C、静态私有IP地址
D、反向域名解析
解析:需要静态模式的NAT来允许外部实体启动与NAT代理之后的内部系统的通信

48、除了维护、更新系统和进行物理访问控制，下面哪一项是应对PBX欺骗和滥用最有效反之措施 B
A、加密通信
B、修改默认密码
C、使用传输日志
D、录音和归档所有的会话
解析：更改PBX系统上的默认密码能够有效的增强安全性

49、用户登录ID和密码登录。登录ID的目的是什么？
A、认证
B、授权
C、问责
D、识别
解析：D ，用户使用登录ID来申明身份，登录ID和密码的组合提供身份认证，主体认证被授权访问客体，记录和审计提供可问责性

50、Kerberos的主要目的是什么？
A、机密性
B、完整性
C、认证
D、可问责性
解析：Kerberos的主要目的是认证 C

51、RADIUS架构中，网络接入服务器的功能是什么？
A、认证服务器
B、客户端
C、AAA服务器
D、防火墙
解析：网络访问服务器是RADIUS架构中的客户端，RADIUS服务器是认证服务器 B

52、一个表包含多个客体和主体，并确定每个主体具体访问时都有不同的客体，这个表被称为什么？ B
A、访问控制列表
B、访问控制矩阵
C、联合
D、蠕变特权
解析：访问控制矩阵包含多个对象，列出主体对每个对象的访问，访问控制矩阵内的任何特定对象的单个主体列表使访问控制列表

53、谁或什么根据自主访问控制模型授予权限给用户？ D
A、管理员
B、访问控制列表
C、分配标签
D、数据监管者
解析：访问控制列表包含多个对象，并且列出主体对每个对象的访问

54、以下哪个模型也被称为基于身份的访问控制模型？ A
A、自主访问控制
B、基于角色的访问控制
C、基于规则的访问控制
D、强制访问控制
解析：自主访问控制模型是基于身份的访问控制模型

55、集中授权可以确定用户可以根据组织层级结构来访问哪些文件，一下哪项最能说明这一点？ D
A、自主访问控制模型
B、访问控制列表
C、基于规则的访问控制列表
D、基于角色的访问控制列表
解析：基于角色的访问控制模型可以基于组织的层次结构，将用户分组到角色，它是一个非自主访问控制模型

56、以下哪一项设计基于角色的访问控制模型？ A
A、基于角色的访问控制模型允许多个组中的用户成员资格
B、基于角色的访问控制模型允许单个组里的用户成员资格
C、基于角色的访问控制模型是非分层的
D、基于角色的访问控制使用标签
解析：role-BAC模型是基于角色或组成员资格，用户可以是多个租的成员，用不仅限于单个角色

57、什么类型的访问控制依赖于使用标签？ C
A、自主访问控制模型
B、非自主访问控制模型
C、强制访问控制模型
D、基于角色的访问控制模型
解析：强制访问控制依赖于对主体和客体使用标签

58、以下哪一项最能说明强制访问控制模型的特点？ D
A、采用显示拒绝理念
B、宽松的
C、基于规则的
D、静止
解析：强制访问控制时禁止的，他使用标签而不是规则

59、为某个特定系统规划安全测试计划时不用考虑下列哪个因素？
A、存储在系统上的信息的敏感度
B、执行测试的难度
C、利用新测试工具进行试验的意愿
D、系统对攻击者的吸引力
解析：C ，存储在系统上的敏感信息、执行测试的难度和攻击者针对系统的可能性都是计划安全测试任务时的有效考虑因素，尝试新测试工具的需求不应影响生产测试计划

60、以下哪一项一般不包括在安全评估中？
A、漏洞扫描
B、风险评估
C、漏洞缓解
D、威胁评估
解析：C，安全评估包括旨在识别漏洞的许多类型的测试，评估报告通常包括缓解建议，然而评估并不包括实际缓解这些漏洞

61、组织确保用户被授予仅需要执行具体工作任务的数据访问权限，他们是一下哪些原则
A、最小特权原则
B、职责分离
C、知其所需原则
D、基于角色的访问控制
解析： C ： 知其所需：获取了解或拥有执行特定工作任务所要求的数据，最小特权原则包括权限和许可，最小特权原则在IT安全中无效

62、下列选项中，对于特殊权限什么不是相关的有效安全做法？
A、监控特权分配
B、授予管理员和操作员同等访问权限
C、监控特权使用
D、只授予受信员工访问权限
解析：B，不应该向管理员和操作人员授予相同权限，应该仅向个人授予执行工作所需的特权，并且只应该向受信任的个人授予访问权限

63、组织使用的是软件即服务（Saas）这种基于云的服务来与其他组织共享，这种描述是以下哪种类型的部署模式？
A、共有
B、私有
C、共同
D、混合
解析：C：公共云模型包括可供消费者出租或租赁的资产

64、下列哪一项是在检测和确认事件发生后最好的响应？
A、控制它
B、报告他
C、修复它
D、收集证据
解析:A：遏制是检测和验证时间后的第一步，限制事件的影响和范围，修复可以采取步骤防止事件彩复发，这不是第一步，重要是遏制事件时保护证据，收集证据将在遏制后发生

65、下列哪一项描述了以未打补丁和未收保护的安全漏洞和错误数据设计虚假网络以吸引攻击者？
A、IDS
B、密网
C、填充单元
D、伪权限
解析：B，蜜罐是单独的计算机，创建用于入侵者的现金的整个网络，伪权限（由许多蜜罐和密网使用）是有意植入系统中以诱骗攻击者的错误漏洞

66、下列选项中，反恶意软件保护的最佳方式是什么？
A、每个系统多个解决方案
B、整个组织一个解决方案
C、不同的位置部署反恶意软件保护
D、所有边界网络不折不扣的过滤内容
解析：多个解决方案提供最佳解决方案，这涉及在几个不同位置部署反恶意软件保护

67、什么可以用来减少使用非统计方法的日志或审计数据量
A、阀值级别
B、取样
C、日志分析
D、报警触发器
解析：A ，阀值是非统计抽样的一种形式，抽样是一种从审计日志提取有意义数据的统计方法

68、什么是灾难恢复计划的最终目标？
A、防止业务中断
B、建立临时业务运营
C、恢复正常的业务活动
D、最小化灾难影响
解析：C，一旦灾难终端业务运行，DRP目标是尽快恢复正常的业务活动。因此，灾难恢复计划是在业务连续性计划停止的地方起作用

69、下面有关业务连续性计划和灾难恢复计划的描述中哪一个是不正确的？
A、业务连续性计划的重点是当灾难发生时保持业务功能不间断
B、企业可以选择是否定制业务连续性计划或灾难恢复计划
C、业务连续性计划弥补了灾难计划的不是
D、灾难恢复计划指导组织恢复主站点的正常运营
解析：灾难恢复计划在业务连续性计划终止时开始

70、百年一遇洪水，对于应急准备的官员是什么意思？
A、最后一次袭击该区域的任何类型的洪水超过100年之久
B、在任何一年洪水发生的可能性在1/100的级别
C、预计该区域由于洪水带来的问题至少100年是安全的
D、对该地区最后一次严重洪水袭击已过100年之久
解析 B

71、什么类型的备份包括所有文件自最近一次完整备份依赖存储修改文件的拷贝？
A、差异备份
B、部分部分
C、增量备份
D、数据库备份
解析：A ，差异备份中是存储哪些自从最近一次完整备份依赖被修改过的所有文件的副本，无论间隔期内是否创建了增量备份或差异备份

72、黑客行动主义者具有以下哪些因素驱使？ B D
A、财务收益
B、快感
C、技能
D、政治信仰
解析： 黑客行动注意者经常将正值冬季和黑客的刺激结合在一起

73、什么类型的事故的特点是获得更多的特权级别？
A、危机
B、拒绝服务
C、恶意代码
D、扫描
解析：A

74、 什么是识别系统中异常和可疑的最好方法？
A、注意最新攻击
B、配置IDS检测并报告所有的异常流量
C、知道正常系统活动的样子
D、研究主要攻击活动类似的特征
解析：C

75、如果需要没收一台疑似不为组织工作的攻击者计算机，什么法律渠道最合适？
A、员工签订同意协议
B、搜查令
C、没有合法渠道是必要的
D、自愿同意
解析：B，因为不为组织工作职能使用搜查令

76、什么是道德？D
A、强制要求履行的工作要求行动
B、专业操守的法律
C、由专业机构规定的条例
D、个人行为的准则
解析；道德规范就是个人的行为规范 D

77、下列哪个操作被认为不可接受的，并根据RFC1087 “道德规范与互联网”是不道德的？
A、行动危机机密信息的保密性
B、行动损害了用户隐私
C、扰乱组织活动的行为
D、一台被用于执行违反规定的安全策略操作的计算机
解析： B确定了行为在RFC1087进行了说明

78、以下哪个选项不属于DevOps模型的三个组件之一？
A、信息安全
B、软件开发
C、质量保证
D、IT运维
解析：A DevOps模型的三个要素是软件开发、质量保证和 IT操作

79、什么样的数据库技术可以组织“未授权用户通过正常无权访问信息的提示来确定信息级别”这样的事情发生？
A、推理
B、操纵
C、多实例
D、聚合
解析： C 多实例准许多条记录的插入，看起来在一个数据库中有相同的主键值

80、在软件成熟度模型SW-CMM中，组织达到哪个阶段就可以使用定量的方法获得组织开发过程的详细理解？
A、初始化
B、可重复
C、可定义
D、可管理
解析：D 在可管理阶段，SW-CMM的第四季，组织使用定量措施来详细了解开发过程

81、当数据从一个较高分类级别到达一个较低分类级别时，数据库会发生以下哪类安全风险？
A、聚合
B、推理
C、污染
D、多实例
解析： C 污染是指较高分类几倍的数据和/或知其所需需求与来自较低分类级别的数据和/或须知需求的混合

82、Tom建立了数据库表，这个表包含名字、电话号码、业务相关的客户ID，这个表还包含了30个客户的信息，请问这个表的度是多少？
A、2
B、3
C、30
D、未定义
解析: B 表的基数是指标中的行，而表的度是列数

83、在强制访问控制中，敏感标记包含什么信息？
A、对象的分级、分类设置以及区间设置
B、对象的分级和区间设置
C、对象的分级、分类设置
D、对象的分级设置
解析：C 敏感标记包含对象的分级（高危、敏感）、分类设置（格子模型的安全域）

84、下面哪项是多级安全策略的必要组成部分？
A、适合于唯一客体的敏感标记和强制访问控制
B、适合于主体域客体的敏感标记以及“高级别系统”评价
C、主体安全申明&适合于唯一客体的敏感标记和强制访问标记
D、适合于主体与客体的敏感标记和自主访问控制
解析：组织信息从较高安全级别流向较低安全级别的策略被称为多级安全策略， C 具体原因不知

85、下列哪一项是Kerberos提供的主要服务？
A、不可抵赖性
B、授权
C、认证
D、保密
解析： C， Kerberos提供授权和认证服务，最主要的服务为认证服务

86、以下按个安全模型中通过主题的声明与客体的分级相比较，这样可以应用来控制主体到客体的交互发生的控制？
A、 访问控制矩阵
B、Biba模型
C、获取授予模型
D、Bell-LaPadula模型
解析：通过主题的声明与客体的分级相比较为多级安全策略的概念，bell-lapadula模型分类信息泄露或传输至较低的安全许可级别，所以该题选D

87、什么样的证书被用于验证用户的身份？
A、代码签名证书
B、根证书
C、属性证书
D、公钥证书
解析： D ，未找到理由，可能是公钥证书是密钥对，通过密钥对可以验证用户的身份

88、 主体控制访访问客体必须设置
A、 访问规则
B、接入终端
C、识别控制
D、访问矩阵
解析：A、访问规则：控制使用访问规则来限制主体对客体的访问

89、 适用于用作备份媒体存储的区域的对策是？
A、检测/行政
B、预防/物理
C、预防/技术
D、预防/行政
解析：A ，备份媒体存储的区域对策，属于预防/物理策略

90、对于密码通常比分配的数字更长的一系列字符被称为？
A、真实的短语
B、预期的短语
C、认知的短语
D、口令短语
解析：D，教材和网上未找到口令短语相关概念，记住便可

91、下列对于生物计量学描述正确的是？
A、生物识别技术已不存在逻辑控制的作用
B、它是用于在物理控制和逻辑控制身份认证
C、它是用于在物理控制和逻辑控制认证标识
D、他用于在物理控制识别，不用于逻辑控制
解析 ： C ，使用物理控制和逻辑控制认证标识

92、下列哪项涉及Kerberos?
A、保密性和完整性
B、可审计性和完整性
C、身份验证和可用性
D、验证和完整性
解析:A ,Kerberos使用端对端的安全机制保障认证通信的机密性和完整性

93、RADIUS包括下列哪些服务？
A、认证服务器和PIN码
B、客户端的认证，动态密码生成
C、客户端的认证和静态密码生成
D、认证服务器以及静态和动态密码支持
解析：D ， RADIUS服务器为认证服务器，通过用户发送过来的凭证进行认证用户身份和特权，用户凭证可以是静态也可以是动态密码

94、那个访问控制模型又被叫做非自主访问控制？
A、基于晶格访问控制
B、基于标签的访问控制
C、基于角色的访问控制
D、强制访问控制
解析：C ， 非自主访问控制包括：基于角色、基于规则、基于属性、强制访问控制四种，讲道理，这里应该选C、D

95、高安全级别且仅有管理员可以分配权限的环境下，下列哪种访问控制模型最为合适？
A、 DAC自主访问控制
B、TACACS
C、访问控制矩阵
D、强制访问控制
解析： D ： 管理员分配权限，不属于自主访问控制；B为认证服务器，不符合；访问控制矩阵属于DAC，所以选D

96、哪种安全模型通过中央授权来决定那些客体可以访问对应的客体？
A、自主访问控制
B、强制访问控制措施
C、非自主访问控制措施
D、中央访问控制措施
解析：C ，A自主访问控制措施非中央授权，为所有者授权；强制访问控制措施属于非自主访问控制措施；非自主访问控制措施：任何一个不是可自由支配的模型都是非可任意支配模型，这些模型包括基于规则、角色和基于格子的访问

97、数据视图不是用来：
A、实施最小权限
B、实现依赖于内容的访问限制
C、实现需知
D、实现参照完整性
解析：数据库视图使基于内容的控制，最小权限，依赖内容的访问控制和实现需知都是内容控制

电信与网络安全

98 当提及一个数据包结构时，以下哪项可以表示为一个TCP包在传输层的单个数据单元？
A、TCP段
B、TCP包
C、TCP帧
D、TCP报文
解析：A、 在传输层，TCP被称为段，UDP被称为报文

99 在OSI/ISO模型中，哪两层设计SSL协议的设计和操作？
A、 应用层/会话层
B、应用/传输层
C、应用/表示层
D、应用/网络层
解析：SSL全名（加密套接字协议层）主要作用为加密传输数据，加密属于传输层

100、在IKE和IPSec协议中，关于PreShare Key认证一下哪项不正确的
A、在庞大的人群中使用昂贵的秘钥管理系统
B、每个共享秘钥都采用简单的密码
C、需要PKI工作
D、只有一个共享秘钥对需要所有的VPN连接

101、在数据报文中，IP头部都有会对协议的标识区域，如协议标识为51，那么该数据报文属于以下那类型？
A、ICMP协议
B、UDP协议
C、TCP协议
D、认证头部
解析：答案（D）。 6=>TCP,17=>udp,ICMP=>1,AH=>51

102、 TLS协议是一个二层接口层安全协议，包括TLS记录协议和？
A、传输层安全（TLS）互连网协议
B、传输层安全数据（TLS）协议
C、传输层安全连接协议
D、传输层安全握手协议
解析：安全传输层协议包括TLS记录协议和TLS握手协议

103：以下哪种方式是用于IDS系统具有高速的错误识别率？
A、基于网络的入侵检测系统
B、基于异常统计的入侵检测
C、基于知识库的入侵检测
D、基于主机的入侵检测
解析：C 入侵检测：入侵检测分为基于知识的入侵检测和基于行为的入侵检测，

104： 什么是一个TFTP服务器最有用？
A、终端访问文件服务器
B、终端访问网络设备
C、文件传输到WEB服务器
D、配置传输到网络设备
解析： TFTP,客户机与服务器之间进行简单文件传输的协议

105：什么类型的攻击包括IP欺骗，ICMP回应和反弹网站
A、IP欺骗攻击
B、Teardrop攻击
C、SYN攻击
D、Smurf攻击
解析：D，smurf攻击通过欺骗广播ping对目标网络产生巨大的流量

106：哪种类型的防火墙可以用来跟踪连接协议如UDP何RPC？
A、应用级防火墙
B、电路级防火墙
C、状态监测防火墙
D、包过滤防火墙
解析：B

107：点对点隧道协议在OSI/IOS模型哪个层工作？
A、数据链路层
B、传输层
C、会话层
D、网络层
解析： A:PPTP，是从拨号协议点对点协议开发出来的一种封装协议，工作在OSI模型的数据链路层（第二层）

软件安全与开发

108 为了执行测试和评估以验证系统的安全级别，确认系统负荷、系统设计规范和安全需求，应采取如下哪个活动？
A、评估
B、确认
C、精确性
D、证明
解析： B、评估只是过程，确认是评估得到确定的结果

109、对象关系和面向对象模型更适合于管理复杂数据，比如在以下哪种情况中？
A、计算机辅助处理与镜像
B、计算机辅助开发与镜像
C、计算机辅助设计和镜像
D、计算机辅助复制和镜像
解析：C ，不清楚

110： 下面哪个选项不属于关系数据库的模型
A、被称为标间参考关系验证的安全结构
B、决定 有效范围和值的若干限制
C、数据表、数据行、字段和值域
D、用于控制数据如何访问操作的DML语句
解析： A,其中 B和C属于关系数据库模型 数据库组件：DDL（数据定义语言），允许创建和更改数据库的结构，数据草种语言（DML），允许用户与模式内包含的数据交互

111： 数据库描述被称为schema,它采取如下那种方式进行定义：
A、 数据操作语言（DML）
B、搜索查询语言（SQL）
C、数据控制语言（DCL）
D、数据定义语言（DDL）
解析：D ，schema模式拥有定义或描述数据库的数据，模式使用数据定义语言（DDL）编写

112、对于数据库来说，下面哪一项具有使代码重用与系统分析变轻松和减少系统维护工作量的特征？
A、面向对象数据库
B、数据库管理系统
C、关系型数据库
D、对象关系型数据库
解析：A，面向对象数据库，集合数据库和面向对象功能，方便了代码重用和故障处理分析，并减少了整体维护工作量，更适合支持设计多媒体、CAD、视频、图像和专家系统的复杂应用

113、什么是RAD
A、系统复杂度测量方法
B、项目管理技术
C、风险评估示意图
D、一种开发方法
解析：D ，RAD，线性顺序开发模型

114、在系统项目中，下面哪个选项对于项目活动与资源的计划于控制时恰当的
A、甘特图
B、项目评审技术（PERT）
C、关键路径法（CPM）
D、功能点分析法（FPA）
解析：B，
甘特图：不听时间项目和调度之间的相互关系的条形图，帮助提供计划、协调和跟踪项目中特定任务的跳读
计划评审计划（PERT），为风险评估计算标准偏差，将每个组件的最小可能大小，最可能的大小以及最大可能大小联系在一起
关键路径法：制定组织对新设备的需求，确定关键任务应用、处理、操作和所有支撑要素之间的关系
功能点分析法：一种从用户的角度对软件开发进行度量的方法。
115、下面哪个选项最佳解释了为什么计算机信息系统经常不能满足用户需求？
A、项目将会延期
B、项目无法满足业务或用户需求
C、项目将与现有系统不兼容
D、项目将会超预算
解析：B

116、下面哪个选项是决策支持系统（DSS）关于威胁与风险分析的特征
A、DSS目标在于解决高度结构化的问题
B、DSS结合了非传统数据访问和检索功能模型
C、DSS只支持结构化决策任务
D、DSS强调了用户决策的灵活性
解析：D，DSS分析业务数据并且以更容易做出业务决策的形式提供给用户，是信息型应用

117、下列选项中哪一个不能对应建立在关系数据库中标的主键值的数量
A、 行数
B、基数
C、元组数
D、阶次
解析：D，
行数： 记录或元祖数
基数：关系中行的数量
阶次：意义不明

118、下列哪个选项不是强调DBMS的安全性的？
A、扰动
B、单元抑制
C、填充单元
D、分割
解析：C
扰动： 在DBMS中插入错误或欺骗的数据，从而重定向或阻扰信息机密性攻击
单元抑制：对单独的数据库字段或单元隐藏或加强更安全的约束
填充单元：蜜罐的技术
分割：数据库分区防止聚合、 推理和污染漏洞
119、考虑到一个IT系统发展生命周期，安全应该：
A、开发阶段考虑最多
B、启动阶段考虑最多
C、一旦涉及完成就添加
D、被当做总体系统设计的主要部分
解析：B
120、下列几个“软件开发生命周期”的阶段中，哪个通常强调适度谨慎和适度勤勉
A、软件计划和需求
B、实施
C、产品设计
D、系统可行性
解析： A

信息安全管理

121、一个弱点或缺乏保护措施，可以被威胁利用，对信息系统或网络造成的危害被称为
A、风险
B、溢出
C、威胁
D、脆弱性
解析：D，脆弱性，是指弱点以及保护措施的缺失

121、风险消减和降低风险的控制措施主要分为以下三种类别？
A、预防、纠正和管理
B、管理、操作和逻辑
C、检测、纠正和物理
D、物理、技术和管理
解析：D ，书上未找到具体原因， 理解为风险消除和降低主要通过物理控制、逻辑控制和行政控制来实现

121、下列哪一项将最适合监督信息安全策略的部署？
A、系统管理员
B、安全管理员
C、安全官（security office）
D、人力资源部
解析：C ，翻译问题，安全官= 安全专员，在我的理解中，应该由审计来做监督工作

121、下列哪项不是管理控制？
A、变更控制程序
B、政策、标准，程序和指南开发
C、人员筛选
D、逻辑访问控制机制
解析：D、 不是管理控制中，逻辑访问控制机制最接近，逻辑访问控制为主题对客体的访问

121 根据私营部门数据分类级别，薪酬水平和医疗信息会被怎样归类？
A、公开
B、私有
C、保密
D、敏感
解析：B ， 私营部门分类：机密、隐私、敏感、公开
机密：极端敏感的和只能内部使用的，泄露对公司有重大的负面影响
隐私：具有隐私性和个人特性以及仅供内部使用，泄密对公司或个人有重大负面影响
敏感：泄密对公司产生负面影响

121、下列哪项不是对数据管理员的职责？
A、提供对数据库的访问授权
B、重组数据库
C、维护数据库
D、实现数据库的规则访问
解析：A，应该是翻译原因，英文的意思应该是管理员具有访问数据库的权限

121、下列哪项能作为一种管理控制分类？
A、人员安全
B、物理和环境安全
C、文档编制
D、审查安全控制
解析：D，行政管理访问控制也被叫做管理控制，包括策略、过程、雇佣准则、背景调查、数据分类和标签、安全意识和培训效果、休假记录、报告和回顾、工作监督、人员控制以及测试。工作监督包括审查安全控制

122、进行安全规划的主要步骤包括以下除了哪一项？
A、确定备选的行动方案
B、创建一个安全审计功能
C、创建具体目标
D、列出规划假设
解析：B ，安全规划的步骤应该是，创建具体目标，规划实现目标的假设，然后制定行动方案

123、详细步骤指令说明用来满足控制要求称为？
A、标准
B、指南
C、程序
D、方针
解析：C，
标准：战术文档，定义达到安全策略制定的目标和总体方向的步骤
指南：提供如何实现标准以及基准的建议
程序：规范化安全策略结构的最后一个要素，是详细的、按部就班的指导文档，描述了实现特定安全机制、控制或解决方案所需的确切行动

密码学

123、下面哪一层提供不可抵赖服务？
A、网络层
B、数据链路层
C、传输层
D、应用层
解析：D，传输文件、交换信息和连接远程终端等任务所需的协议和服务都在这一层

124、数据加密标准（DES）加密算法具有以下哪个特点？
A、64位块和一个64位总秘钥长度
B、128位秘钥和8位用于奇偶校验
C、64位数据输入和56位加密输出
D、56位数据输入使用56位加密输出
解析： A，B不正确，C是64位数据输入和64位加密输出，D不正确，故选A

125、一个公钥加密算法包括了加密和数字签名是以下哪一个？
A、 DES
B、 IDEA
C、 Diffe-Hellman
D、RSA
解析：数字签名加密算法: RSA,ECDSA(椭圆曲线数字签名算法)

126、为了遵守IETF标准的IPSEC协议，以下哪种秘钥交换方法必须被使用？
A、 Diffie-Hellman
B、ISAKMP（网络安全协会和秘钥管理协议）
C、IKE
D、以上都不对

127、下列哪一项不属于IKE和IPSec的认证方法？
A、公钥认证
B、基于证书的认证
C、CHAP
D、预共享秘钥
解析：C，因为CHAP是PPP连接上使用的一种身份认证

128、下列哪个选项不是IKE/IPSec协议愚公像秘钥认证的特征？
A、大规模用户群组的秘钥管理代价高
B、对于全部VPN连接仅需要一个预共享秘钥
C、预共享秘钥认证常常基于弱口令
D、需要与PKI协同工作
答案：D，因为PKI（公钥基础设施）是证书协议管理，

129、下列哪一种加密方案应用在S/MIME标准中？
A、基于公钥的混合加密方案
B、非对称加密方案
C、基于椭圆曲线的加密
D、基于口令的加密方案
解析：A，因为S/MIME是基于RSA公钥加密以及x.509证书交换密码系统秘钥

130、哪一种证书被用来验证用户的身份？
A、代码签名证书
B、公钥证书
C、根证书
D、属性证书
解析：B,公钥证书，公钥证书通过密钥对，实现验证用户身份

131、下列哪一项是对“证书路径验证”最好的描述？
A、验证相关证书的撤销状态
B、验证所有关联的根证书的完整性
C、验证相关私钥的完整性
D、验证根证书下某一证书链中所有证书的有效性？
解析：D，证书路径验证（CPV）指的是从原始起点或可信根源至相关服务器或客户端的证书路径中的每个证书都应当考虑其是否有效与合法

132、以下哪一个不是Rijndael分组加密算法的属性？
A、秘钥长度不需要分配分组长度
B、最大秘钥长度512位
C、最大秘钥长度是256位
D、秘钥长度可以是32位的任意倍数
解析：B，Rijndael秘钥准许使用三种秘钥强度：128、192、256

132 以下哪个写实提供无线通信安全？
A、WDP
B、WSP
C、S-WAP
D、WTLS
解析：D,WTLS无线传输层安全，能够提供TLS和SSL相似的安全通信服务

133 公钥基础设施（PKI）如何发布公钥的？
A、通过e-mail发布
B、不发布
C、通过数字证书发布
D、所有者亲自来取
解析：C，PKI通过数字证书发布

134 关于分组密码以下哪个陈述是错误的？
A、对固定长度明文进行操作
B、某些分组密码内部是流密码操作
C、用公钥加密，私钥解密
D、适合用软件而不是硬件来实现
解析：C， 对固定长度明文进行操作正确，这是分组的概念，B，分组密码内部是流密码操作，正确，D，适合硬件来实现，正确B，是公钥密码的概念

135、Clipper芯片使用秘钥的长度是多少？
A、 64bits
B、 80 bits
C、56 bits
D、 40 bits
解析： B，clipper基于skipjack加密方法，秘钥长度为80bits

136、以下哪个加密算法不涉及离散对数？
A、Elliptic Curve 椭圆曲线
B、Diffe-Hellman
C、RSA
D、EI Gamal
解析：C ，RSA通过大质数分析，

物理与环境安全

137、下列哪一项是扑灭电容火灾的最佳选择？
A、 二氧化碳，苏打酸和哈龙
B、 水和苏打酸
C、 ADC配比化学干粉式灭火剂
D、二氧化碳
解析：D、 苏打酸，A哈龙会导致电容设备异常， 水不适合电容类型设备， C干粉灭火器可能导致电容设备异常

138、 下列哪一项是通过干扰化学链式反应抑制燃烧而达到灭火的作用？
A、 苏打酸
B、哈龙
C、二氧化碳
D、水
解析： B 哈龙

139、下列哪一个防护设备用于保护离目标几英尺之内区域的定点保护，而非整个房间的安全监控？
A、微波式移动侦测器
B、电容侦测器
C、近距供电设备
D、音频侦测器
解析：B ，未在教材中找到电容侦测器设备说明

140、 什么温度开始伤害到磁盘设备？
A、华氏100度
B、华氏150度
C、华氏175度
D、华氏125度
解析：A
141、通过环境设计预防犯罪的概念里，‘地域性’这个概念的最佳描述是？
A、所有者
B、用不同的方法保护特定区域
C、局部的排放
D、边界的折中
解析： A

安全架构设计

142、以下哪些是生命周期保证需要的？
A、配置管理和可信设施管理
B、系统架构以及设计规范
C、安全测试和隐蔽通道分析
D、安全测试和可信分析
解析：D，生命周期保证： 系统的整个生命周期内正确的实现安全策略的保证

143、以下哪一项不是系统架构的基础组件？
A、输入输出设备
B、存储设备
C、中央处理器
D、主板
解析：D

144、如果所有的用户都有安全申明或授权，基于志气必须来访问所有数据，那么系统运行在哪种安全模式？
A、 分隔化的安全模式
B、多级安全模式
C、 专用的安全模式
D、 高系统安全性模式
解析：C

image.png

145、Clark-Wilson安全模型关注？
A、 保密性
B、可追溯性
C、可用性
D、完整性
解析：D，Clark-Wilson为商业环境设计的模型，使用多层面途径实施数据的完整性

146、*(星)规则在Biba模型中的意思是什么？
A、不向下读
B、不向上写
C、不向上读
D、不向下写
解析： B ，简单属性总与读操作有关，星号属性总与写操作有关

147、以下哪个安全模型是对运行操作划分为不同的部分，并要求不同部分由不同用户执行？
A、 bell-Lapadula模型
B、 Biba 模型
C、 Clark-Wilson模型
D、非干扰模型
解析：C

148、引用监视器必须满足三个条件时什么？
A、 隔离、完备性和可验证性
B、 隔离、分层和抽象
C、 政策、机制和保证
D、保密性、可用性和完整性
解析： A

操作安全

150、下列哪一项不是一个操作控制的一个例子？
A、审计
B、操作规程
C、备份和恢复
D、应急计划
解析：A，审计属于检测性控制

151、哪种备份方法通常在归档已备份后，重置归档位
A、磁带备份方法
B、差分备份方法
C、局部备份方法
D、增量备份方法
解析：D
完整备份： 归档比特都会被重置、关闭或设置为0
增量备份： 归档比特被打开、启用或设置为1的文件，备份完成，文件的归档比特都会被重置、关闭或设置为0
差异备份： 复制归档毕业被打开、启用或设置为1，备份过程不改变归档位

151、下列哪项不是一种预防性的操作控制？
A、进行安全意识和技术培训
B、保护笔记本电脑，个人电脑和工作站
C、控制数据的介质访问和处理
D、控制软件病毒
解析：A， 安全意识和技术培训属于行政管理性访问控制
预防性访问控制
检测性访问控制
纠正性访问控制
威慑性访问控制
恢复性访问控制
指令性访问控制
补偿性访问控制
行政管理性访问控制
逻辑/技术性访问控制
物理性访问控制

152、根据TCSEC的评级，以下功能是不太可能被一个典型的安全管理员执行？
A、设置用户许可和初始密码
B、设置或更改文件敏感标签
C、复查审计数据
D、添加和删除系统用户
解析：D，添加和删除系统用户属于管理员执行，安全管理员偏向安全相关的工作

153、 哪一个安全级别是第一个要求可信恢复的？
A、 A1
B、B1
C、B3
D、B2
解析：C

法律法规、符合性和调查

154、以下哪一项处理工业和企业间谍活动？
A、1996年的美国经济和专利信息保护法案
B、通用系统安全准则
C、1980年的经济合作与发展组织
D、1970年的灭国诈骗影响和腐败组织法案
解析： A

155、黑客不大可能使用以下哪种工具？
A、Nmap
B、Nessus
C、Tripwire
D、Saint
解析：C ，Tripwire是unix下的完整性检测工具

156、哪一类型的证据是证据的复印件或对其内容的口头描述，不如最佳证据可靠？
A、次要证据
B、直接证据
C、传闻证据
D、间接证据、
解析：A
次要证据： 最佳证据内容的证据副本或口头说明
直接证据：通过基于证人五官感知收集信息的言辞证据或反驳特定行为的证据
传闻证据：其他人在庭外告诉证人的内容所形成的证据，没有经过系统管理员验证的计算机日志文件也可能被认为传闻证据

157、飞客是专攻电话欺诈的黑客，哪种类型的电话欺诈/攻击利用产生音调的设备模拟向付费电话投币，从而欺骗系统完成免费通话？
A、 白盒子
B、蓝盒子
C、 红盒子
D、黑盒子
解析：C
黑盒： 操纵电压，以便窃取长途服务
红盒：模拟硬币存入付费电话的声音
蓝盒： 模拟与电话网络主干系统直接互动的2500HZ声音
白盒：控制电话系统

158、纸质的业务记录、手册和印刷品应该划分为哪类证据？
A、文本性证据（文档性证据）
B、实物性证据
C、说明性证据
D、直接证据
解析:A

159、在法律领域内，以下哪个法规对证据收集做出规定？
A、调查规则
B、传闻规则
C、排除规则
D、最佳证据规则
解析：C

160、美国哪项法案规定对机构高级管理层在预防和检测过程中的不作为处以最高2亿美元的罚款？
A、1987年美国计算机安全法案
B、1996年美国国家信息基础设施保护法
C、1991年美国联邦量刑指南
D、1986年美国计算机欺诈和滥用法
解析： C

业务连续性

161 下列哪项不是一个交易冗余的实现方法？
A、数据库副本
B、远程日志
C、电子传送
D、现场镜像
解析：D，镜像并非服务器实例

162 下列哪个提供企业管理的优先名单的时间关键业务流程，并估计每个关键过程的时间和企业支持这些过程组件恢复时间目标？
A、现状评估
B、业务风险评估
C、业务影响评估
D、风险缓解评估
解析：C，决定组织的持续发展的资源，以及对这些资源的威胁，评估威胁实际出现的可能性以及出现的威胁对业务的影响

164、一个公司的计算机系统灾难恢复计划（DRP）通常聚焦在？
A、热站兼容设备的可用性
B、它的重点是在替代站点恢复操作
C、灾难发生的概率
D、长期性的战略规划
解析：B

165、下列哪一项针对IT系统部是常见的威胁分类/类别？
A、技术
B、黑客
C、人
D、自然
解析：B

166、下面哪项对IT应急计划维护陈述不正确的？
A、 该计划每年至少一次的准确性和完整性进行审查
B、应该保持严格的版本控制
C、应急计划的协调者应确保每个员工有这一计划的最新副本
D、计划的副本应该提供给恢复人员以便离线存储在家和办公室
解析：C

167、 以下哪项最好帮助组织获取其生存的直观重要的功能的普遍共识
A、业务评估
B、业务影响分析
C、风险评估
D、灾难恢复计划

168、业务影响分析（BIA）期间，什么是最不可能被执行的？
A、评估财务和运营中断的影响
B、确定一个功能的恢复时间目标
C、确定组织的市场份额和企业形象的影响
D、识别合规暴露
解析：B，BIA的过程为：确定优先级、风险识别、可能性评估、影响评估、资源优先级划分

169、下列哪项是业务影响分析不去识别的？
A、灾难发生后企业可以容忍的停机时间
B、灾难发生时要联系个体的名称
C、对企业生存起关键作用的系统
D、灾难发生后遭受最大的财务或经营亏损的领域
解析：B

170、什么是电子跳跃
A、信息在一个小时之内备份到磁带上并且存储在在线资源库
B、信息在一天之内备份到磁带上并且存储在在线资源库
C、传输电子日志或交易记录到一个离线存储设施
D、把大量信息传输到一个远程中央设施里
解析：D