cissp考试复习资料1009.docx

cissp考试复习资料1009.docx

《cissp考试复习资料1009.docx》由会员分享，可在线阅读，更多相关《cissp考试复习资料1009.docx（33页珍藏版）》请在冰豆网上搜索。

cissp考试复习资料1009

1取款机首要的安全考虑是:

电子设备的物理安全网络可用性网络延迟

2问企业要通过其网络边界保护IM通讯，问对于企业来说最大的顾虑/问题是什么：

AIM客户端使用随机端口B运行某些IM客户端无需管理员权限C选项是允许im在不同的供应商之间通讯D某些IM不需要安装即可运行

3连续安全监控计划如何降低风险InformationSecurityContinuousMonitoring（ISCM/SCM）选项基本都不记得了，你们网上找一下，好像是美国政府的某个东西

4使用正式安全测试报告的结构和格式的主要好处是什么

a对高层如何如何b对高管如何如何c对技术团队如何如何d对技术团队如何如何抱歉实在不记得了，完全懵逼

5建立医疗保健设施主要的安全考虑是什么

a安全，容量，合规

b通风好，能源足够

c大平层，便于移动办公

d加固存储区域，适当通风，安全的收货区域

6序列号预测可能是哪种攻击

a拒绝服务

b中间人

c忘了

d身份盗用

7CTPED的前提是什么

a良好环境可以改善建筑周边犯罪率

b改进的物理安全可以改变访问此设施人员的行为，从而降低犯罪率

8-1某组织指派安全专家应对淹没攻击：

1以下哪种伙伴关系有助于快速缓解淹没攻击：

a和线路提供商

b和银行

3和供应商

4和用户

8-2关于淹没攻击，潜在的威胁是什么？

就记得一个，我选的，攻击的组织者可能勒索钱财

8-3安全专家需要关注的重点是什么？

就记得一个，我选的，防止僵尸网络的持续破坏

这个就是考APT了吧！

9还有关于USB传输的问题，习题上那个翻译非常有问题

原题是：

某企业管理层关注数据安全的问题，并有4个需求：

9-1要求传输到USB设备上的数据的安全

英语的关键字是transporteddatasecure

所以我选了使用加密的虚拟磁盘

那是有保密性要求

9-2还有个需求是如何保护数据完整性

我选了定期进行VALIDATION

其他选项大概是定期把磁带送到供应商处，设定备份周期

10还有问安全工程中哪个是对于系统安全要求的反馈源

我选了系统架构，还有的选项是CONOPS（好像是运维概念）

11软件工程中，SoftwareAssurance主要致力于干啥

选项是提供一致的安全需求列表

指派安全人员进行安全需求评估

亲自评估什么需要保护，什么人需要保护，需要保护多久

还有两个选项不记得了

12安全模型和网络，云考了很多

比如某个模式下数据丢失是谁的责任，数据泄漏引起的财务损失是谁的责任

法律基本没考

13妈蛋Ipsec考了大概10题，各种问法AHESP隧道模式传输模式

14链路加密和端到端加密考了，原题

15问一个有多个角色的联网信息系统，要实现可靠的访问控制，第一步要做什么A用户配置文件BACLC用于访问矩阵D基于角色的访问控制矩阵

16一直纠结的那个陷门，不是要搞什么合成交易，

而是要在生产系统里插入虚构但是可以识别的交易

所以我选了只能在开发环境使用

因为在生产环境使用陷门和插入虚假交易都是不允许的，尤其是后者

17对硬件加密模块最有效的攻击是：

功耗中间人还有两个忘了

18取款机首要的安全考虑是

电子设备的物理安全网络可用性网络延迟

做题方法：

一，可能正确的答案：

选择适当的控制措施

根据实际情况选择措施

基线

门槛

工作方法

二，可能不正确的答案：

所有

没有

必须

Only只有

三，答案的三种类别：

1、预防性的

2、探测性的

3、事后的

尽量选预防的，尽量不要选事后性的

在与其他组织建立一个联合单点登陆（SSO）解决方案，下列哪项是组织主要关注的？

A.       发送声明给身份供应商

B.       定义身份的映射方案

C.       从合作伙伴的域申请身份声明

D.       让资源供应商查询身份供应商

根据下列情况什么时候变更防火墙配置的哈希值？

A.       在防火墙配置变更之前做哈希

B.       防火墙配置做增量备份

C.       配置变更后更新

通信网络中端到端加密的缺点是如下？

A.       防火墙和流量监控系统无法识别数据类型

B.       导致需要提升大量带宽

C.       加密原因导致性能下降可能造成通信中断

在哪个阶段需要展示DRP计划？

？

A.沟通B.计划C.提交D.恢复

web系统的cookie，攻击者可以绕过什么验证？

A.  有身份检查B.  密码检查C.  授权检查啥的D.  认证

一家公司把他们的设备都搬到一个大的共享的机房里他们最重要做的是什么？

A.       设置互联网防火墙B.       加强服务器控制台的验证

C.       给线缆打标签D.       机柜加锁

有个外包公司的顾问，去你公司干活，违反了你们公司使用电脑的规章制度，问通过什么来惩罚他？

A. 用自己公司的政策规定B. 外包公司的政策规定C. 合同规定D. 法律规定

SDLC在什么阶段，最可能发生审计行动？

A初始B开发C运行维护D实施

SDLC在什么阶段，可以更改安全保证内容以保证开发过程中减少变更

A合同订立B开发C运行维护

SDLC在什么环境就应该开始考虑安全需求

需求分析确认实现运行维护处理

真实性包括？

1完整性和验证（优先）2完整性和不可否认

防止内部威胁最好的方法

A双因素B按业务部门分割数据库

测试BCP应急响应计划的对象

A应急疏散B系统备份C渗透测试D设置故障热线

DR进行功能响应的测试：

A应急疏散B渗透测试C.数据备份

DR培训的目的：

a正确应对安全事件b针对具体事件做出正确的反应

应急计划最重要的资产是？

A全员员工B防火设施C酱油D酱油

开始审计之前，审计团队的头必须干什么？

A拿正式书面授权B跟高层管理者碰头，商量预期结果

在一个有多用户访问的应用，一下哪类是访问控制的第一步？

A创建访问控制矩阵ACMBACL

安全评估和授权过程中，硬件清单和软件清单主要的目的是？

用于安全鉴证检查系统边界创建授权列表

Web应用在使用什么协议对数据防泄漏是最大的挑战？

HTTPXMLWEBSOCKET

使⽤html5，和下⾯那项，会带来⽹络数据泄露的挑战？

A.CrossOriginResourceSharing（CORS）

B.WebSockets

C.DocumentObjectModel（DOM）trees

D.WebInterfaceDefinitionLanguage（IDL））

在移动代码开发过程中，什么阶段决定了在哪类设备上开发?

A初始B开发C规划D酱油

渗透测试发现漏洞，问最快速的解决方法？

A代码修复B应用防火墙加规则

已知某程序有输入验证漏洞，以下最快速的做法

A停止服务B代码修复C实施IDSD应用防火墙添加规则

安全评估过程中，组织本身在评估过程中的作用？

A如果抛弃组织结构，安全策略将不适用B衡量与标准的差距

对于备份介质，下列对称加密方法最合适的是

ADESBAES

独立测试的优势？

A增加隐藏功能被发现的概率/提⾼发现隐藏⻛险点的可能性

B减少隐藏功能被发现的概率

如果电脑被盗了，下列哪个方法能够最有效的保证数据不泄密？

A设置BIOS密码B文件加密C全磁盘加密

以下哪项是预防性访问控制？

A酱油

B在入口处设置陷阱（如果是陷门，双门防护就是这个）

C访问控制软件

D⼊侵检测系统

一个攻击者通过企业VPN开始攻击网络服务器，以下哪种访问控制措施可以防护这类攻击？

A防火墙上通过限制有效范围外的IP访问

D网络服务器上通过使用用户名密码

关于安全基线的最佳描述：

A组织的高级别安全定义

B用来信息安全管理的软件

C用来支撑组织信息安全政策的实践证明

D在组织实施一致的安全配置

软件开发管理流程（SDLC）维持最新的硬件和软件清单是：

（争议）

A系统管理的重要XXXX

B变更管理的重要XXXX

C风险管理的重要XXXX

D质量管理的重要XXXX

数据标记（marking）和数据标签（labeling）的区别是

A数据标记是人类可读的，数据标签是内部数据结构使用的

B数据标签是人类可读的，介质标签是内部数据结构使用的

C数据标记是公开的法律/法规定义的，数据标签是内部信息安全政策定义的

D数据标签是公开的法律/法规定义的，数据标记是内部信息安全政策定义的

关于组织最大的数据保留风险是：

A保留超过数据有效期但是有数据取证需要的数据

B保留超过数据有效期但是没有数据取证需要的数据

C删除超过数据有效期但是有数据取证需要的数据

D删除超过数据有效期但是没有数据取证需要的数据

场景是管理层对介质管理提出要求

1）USB传输的数据必须要有安全管控

2）备份数据要保证完整性

问题1：

对于第一个要求应该怎么做：

A只允许传输只读文件B使用虚拟硬盘

C定期格式化硬盘D禁用USB

问题2：

对于第二个要求应该怎么做：

A定期将备份磁带运到异地场所

B定期对备份数据进行校验

下列哪个访问策略是系统用于用户对访问对象的固有安全（fixedsecure）属性

AMACBDACCACLD授权用户访问

Whichsecurityaccesspolicycontainsfixedsecurityattributesthatareusedbythe

systemtodetermineauser'saccesstoafileorobject?

哪个安全访问策略包含固定的安全属性，系统⽤来确定⽤户对⽂件或对象的访问？

A.强制访问控制B.⾃主访问控制C.访问控制列表D.授权⽤户控制

（固定了客体，应该选ACL，如果固定了主体，就是能⼒表，不固定主体和客体，

才是ACM）

使用一次性密码本的双因素认证防止了下面的什么攻击

A重放B暴力破解

以下哪个定义了恶意的AP

A没有通过防火墙管理的AP

B没有使用WEP和3DES加密的AP

C接入交换机但是没有网络管理员管理的AP

D被某种特洛伊木马或者恶意软件感染的AP

场景是企业有一些服务器放在互联网，然后某天有一台互联网服务器遭到破坏，管理层收到报告，并由管理层转给了安全经理

问题1：

安全经理收到报告之后首先要做的是：

C用备份数据对互联网服务器进行恢复

D对报告进行调查

问题2：

破坏是由于缺少一个安全修复程序引起，在打上补丁之后，什么时候对系统进行上线：

A对该漏洞进行全面评估和测试后

B对互联网服务器进行漏洞渗透测试和评估之后

C立即上线保证业务的连续性

D检验互联网服务器的完整性并获得相应的授权之后

网络管理外包最有效保障安全的措施：

（争议）

A增强安全访问控制

B签订保密协议

C把所有跟敏感信息相关的内容记录下来

D链接安全策略

端口扫描时会出现什么意想不到的事情？

a.开启以前未开启的端口

b.拒绝服务

c.开通管理员权限

漏洞扫描可能会造成以下：

A、打开端口

B、拒绝服务DOS

如何进行客户端的安全控制选择有（我选客户端漏洞扫描）

关闭不必要和web服务、

对客户端扫描漏洞进安全评估

wifi802.11g那个版本有什么特点？

A向后兼容801.11b

B提供更快速率

C支持令牌

个人对网络的访问是基于？

A风险矩阵B数据分类C数据价值D业务需求

一个组织想采用WEB程序来让员工访问客户信息数据，决定其安全级别的是：

a.数据价值b加密要求c服务器要求d访问控制方式

某些高级语言不易产生缓冲区攻击，但什么情况还是会造成缓冲区攻击？

A第三方库（优先）BpluginCsupportingapplication

哪一项攻击会影响VOIP通道的完整性？

A、影响机密性的选项B、中间人（影响完整性及机密性）C、资源耗尽

审计师要求软件留后门（trapdoor）以方便合成交易，在使用trapdoor的时候要注意什么？

b需要有良好的访问控制，在生产环境使用（争议）

c在开发环境使用

d要确保做好单向散列，在系统生命周期结束之后要剔除

收集个人隐私在系统中保存的时候怎么做比较增加安全性：

列加密collunn加密Tokenization

组织的服务器遇到flood攻击，以下方法可以有效解决的是

a购买不同运营商的带宽

b将你的服务下线

c找安全供应商购买最新的安全软件

d应⽤防⽕墙设置

组织的服务器遇到flood攻击，以下⽅法是快速有效解决⽅法

a购买不同运营商的带宽

b将你的服务下线

c找安全供应商购买最新的安全软件

d应⽤防⽕墙设置

组织服务器遇到flood攻击，服务器在遇到大量请求的时候会做的是（flood是泛洪）

a目前服务器的端口上尝试不断进行回应

b保留资源来等待后续请求

组织服务器遇到源地址不可达的syn攻击，服务器在遇到大量请求的时候会做的是 （半开）

a目前服务器的端口上尝试不断进行回应

b保留资源来等待后续请求

对于组织来说如果对于在采用了对应某个安全合规要求的所有措施后，可能出现的结果是

a安全隐患的解决b成本大幅增加

c风险相关d投资回报（ROI）的增加

采用所有可能的安全措施后可能：

a与业务保持一致b总体风险降低cROI增加

对于数据库的信息保护，哪个更彻底？

AC其实都可以用来保护隐私（争议）

A数据库透明加密B列加密

C标记化D数据元素级别替换

以下哪个能最好说明了最小特权？

A.员工跟管理员审查自己的所有的权限B.员工给部门负责人审查自己所有的权限

C.管理员审查员工的所有权限D.管理员列出所有员工的权限给部门负责人审查

密码加密存储依赖：

加密密码单项哈希

异地备份的优点

A.可用性B易操作C易恢复

对于安全培训和教育实施最好的是

A强制员工定期进行培训学习（效果最好）

B给员工群发邮件，题型每日安全热点

C组织员工参加安全意识培训

使用第三方身份管理的好处

A．Web登录B．自动化账号管理C.目录同步

内存中组织低级别进程向高级别进程访问，增加的单独的安全机制是：

A异步执行B内存分段C多态处理器

组织要跟合作伙伴共享一些信息，信息系统打通，有验证、授权、审计的需求、基于什么技术实现？

ASAMLBXACML

购买PEN-TEST需要考略什么：

A网络渗透和应用程序渗透不一样  B任何时候不要把计划给系统管理员

数据包头使用隐写术，可以会被利用来干嘛

A、改变路由方向B、隐蔽通道C、增加包头字段D、隐藏包头

⽹络层协议的保留字段被使⽤（类似含义），会带来什么问题？

A、改变路由方向B、隐蔽通道C、增加包头字段D、隐藏包头

在进行渗透测试时，测试人员对一下哪一项信息最感兴趣？

A工作申请宣传册B安装后门的位置

C主要的网络接入点D能够攻击弱点的漏洞

XSS影响的是？

A服务器B用户C网络D打酱油

用一种编程语言降低缓存区溢出，但是

A需要图片支持B需要代码支持3需要机器支持4需要打酱油支持

系统保护隐私的第一步是干嘛？

A尽量减少收集B加密C数据隐藏D数据存储

在安全威胁较低的情况下，使⽤包过滤防⽕墙？

A更⽅便、更灵活、可以解决IP欺骗攻击

B更⽅便、更灵活、透明

“鉴证”（Accreditation就是认可）是什么意思？

管理层在知情的状况下决定是否接收⻛险

用于局域网间的端口认证，单点…..

A80211B802.1xC802.1qD802.3z

某场景，移动代码安全需要关注的⽅⾯？

Web浏览器、电⼦邮件、即时消息、媒体播放器

道德基于？

A⺠法B刑法C个⼈诚信D合规性

SPA是什么？

（简单电⼒分析，简单功耗分析）

A静电放电，B功耗，C发电，D磁场

SPA是在密码或别的安全相关操作时直接观察功耗，可以得知设备运⾏时的信息如密钥资料。

路由器对应OSI模型中7层⾥⾯的那两层之间？

数据链路层与传输层

TCP/IP的应⽤层对于OSI模型中除了应⽤层外还有哪⼏层？

表示层和会话层

CC（通⽤准则）⾥⾯哪⼀个定义了可重⽤的安全需求？

PP、TOE、ST

⽹络传输中最能保证传输信息的完整性和机密性？

TLS、SSL、IPSEC

安全度量是什么？

量化安全⼯作的有效性加速安全评估

企业的dns服务器有两个事件发⽣

a、dns服务器收到⼤量针对的解析请求

b、dns服务器对这些请求返回错误的反馈

问题1：

如果此时企业的⽤户访问，会发⽣什么？

A、浏览器没反应

B、显示dns出错

C、被正确解析

D、被解析成错误的⽹站

问题2：

dns服务器受到了什么攻击？

A、ddosB、缓存中毒

使⽤SAML⾄少需要？

⽤户⾄少在⼀个商户上注册（关注此选项，依靠IDP）已经有了一个provisionid

场景题：

组织采用了云安全供应商的云主机服务，云服务商供了第三方的身份认证服务

题目一，企业对于使⽤云服务造成了数据残留的⻛险，由谁负最终的责任？

A数据所有者、B数据处理者、C保管员

题目二，因身份认证问题导致金钱损失谁负责：

A组织B云服务商C身份认证服务提供商

IPSEC哪个协议提供机密性和完整性？

A,AHB,ESP

一个员工上传病毒到内网，司法鉴定人员应该怎么做最佳：

A、断掉员工电脑网络连接B、内部公告病毒影响D、扣留该员工电脑

下列哪⼀项最有助于降低某设备获取其他设备的数据包的可能性？

A过滤器B交换机（PS：

一个口一个广播域）C路由器D防⽕墙

安全委员会的职责：

确保安全符合法律法规对安全措施起督导作⽤

IDC机房空调等环境形成的“正⽓压”指什么？

（空气只往外流）

选项：

A、IDC内的⽓流想通过窗⼦跑出来；C、外边的⽓流想通过窗⼦跑进去

⼀个系统不允许⾮法⽤户，必须关注什么

选项：

A,FARB,FRR《选FAR，第⼆类错误，错误的接受》

那种路由协议能抵御DDOS攻击

链路状态BGP（可以流量清洗）静态弹性

哪种路由最安全？

静态路由距离⽮量链路状态BGP

猜测序列号是什么攻击

窃听中间⼈

DRP（还是BCP）培训的最后⼀步是什么？

员⼯反馈意⻅员⼯测试

组织的安全策略应该怎样？

被管理层认可员⼯接收

嵌⼊式系统容易发⽣什么？

信息泄露

系统攻击是由于没打安全补丁，问怎么打补丁

测试后再打

打完补丁的服务器应当：

直接上线测试完整性并取得授权后再上线执行漏洞测试后上线

（黑客）为什么使用硬件keylogger而不是软件keylogger（键盘记录器）？

物理安全、适合多个用户、可以通过网络传送数据、保存数据

公司把设备和科研移到海外，安全官应担⼼什么？

A.设备被盗B.物理安全得不到保障C.知识产权D.缺少安全措施

哪个更容易监测出来漏洞？

硬件内核软件

哪种设施更容易监测出来漏洞：

硬件、软件、内核

SCADA那种⼯控系统打补丁最⼤⻛险是？

A没有补丁缺乏⼚家⽀持B⽼旧设备

秘密级别较低的⽂件授予可写权限，适合什么安全模型？

BIBABLPCW无干扰

秘密级别较⾼的⽂件授予只读权限，秘密级别较低的⽂件授予可写权限，适合什么安全

模型？

A.BLPB.BibaC.clark-wilson

vpn对数据通信进⾏了加密，但如果不采⽤其他措施，可以能会导致什么?

ddos服务盗窃公钥被盗加密秘钥被修改

⽹卡设置了混合模式，但只收到⾃⼰的⽹络信息，原因是什么?

防⽕墙禁⽌嗅探⽹络使⽤交换机模式

NIC混合模式可能导致的安全风险：

（解释：

抓包需要先讲网卡设置为混合模式，可以收到更多到本机的包）

A.嗅探B.欺骗C.中间人D.DOS

定期检查网卡NIC，是为了

A、防嗅探B、中间人

使⽤saml最起码的要求是什么?

⽤户⾄少在⼀个商户上注册

哪⼀个是对所有的过程和⽂件的变更进⾏控制

配置管理CMMI流程化

记录所有硬件和软件的资产主要⽤于

配置管理变更管理⻛险评估

认可是在SDLC的哪个阶段结束后完成

运⾏和维护验证实施

软件补丁是要什么部⻔去发布

安全运维

给软件打补丁是由谁来执行：

安全人员运维人员管理层审计人员

哪个组件提供了SCAP⾃动评估的漏洞信息？

CVE

⾼层让公司在安全⽅⾯保持合规为了什么？

展示DC－DD（适度关注/勤勉）保护公司的架构

wifi安全选择算法ECC而不是RSA：

aECC密钥长度更长bECC速度快、资源占用少

c提供更强的加密dRAS有安全漏洞

PPP⽀持多点、多协议认证

哪个提供多协议认证加密支持：

PPP

身份建⽴需要什么？

PROVISION（条款）

有web业务，需要认证授权和审计，需要那个服务/协议？

Ldapsaml

在⼀个有⼈有计算机的地⽅的防⽕设施选哪个？

A湿管B预制CFM200

嵌⼊式系统容易受到什么攻击？

硬件加密容易最容易被什么攻击？

引⼊⼀个错误后，对硬件电流、辐射进⾏分析属于什么⽅法？

都是功耗攻击（旁路的）

联合身份认证的标准是什么，

a、802.11ib、kerberosc、ldep、d、saml

以下哪个协议在互联⽹上提供最好的机密性和安全性

AtlsBshaCsslDcbc-mac

计算机⽤户对什么内容负最主要责任

a数据分类b⽤户账号的操作c账号管理

PKI在什么情况下对CA的认证产⽣交叉数字证书?

B当CA之间需要互相认证D当数字证书在CA之间进⾏传输

通过环境设计预防犯罪的定义是什么这题很贱有两个选项

a通过环境的健康化（单词health）来降低犯罪的可能性

b通过优化设施（facility）的优化改进，来减少犯罪

进⾏安全评估的时候⾸先要进⾏以下哪个步骤

abiab确定安全评估需求c买最先进的安全技术

审计⼈员进⾏安全审计的时候第⼀步要做啥（争议）

a和管理层沟通说明审计要达到的效果

b确定访谈⼈员

c获取关于安全规范的最佳实践

业务⼈员（staffmembers）《应该翻译成员⼯》对数据中⼼有问题的设备进⾏下线的

时候，以下哪个是合规

a只有管理层有权限

b需要适当的授权⼈员的审批

c只有特定设备可以下线

d需要业务经理（staffmemberManager）的审批《应该翻译成员⼯经理》

对于跨国商业合作中的数据加密存储和传输应⽤，最有可能遇到的问题