CISSP官方模拟测试题Domain.docx

CISSP官方模拟测试题Domain.docx

《CISSP官方模拟测试题Domain.docx》由会员分享，可在线阅读，更多相关《CISSP官方模拟测试题Domain.docx（55页珍藏版）》请在冰豆网上搜索。

CISSP官方模拟测试题Domain

1.Angelaisaninformationsecurityarchitectatabankandhasbeenassignedtoensurethattransactionsaresecureastheytraversethenetwork.SherecommendsthatalltransactionsuseTLS.Whatthreatisshemostlikelyattemptingtostop,andwhatmethodissheusingtoprotectagainstit?

Angela是一家银行的信息安全架构师，责任是确保交易在通过网络时是安全的。

她建议所有交易使用TLS。

在这场景中，她最有可能试图阻止什么样的威胁，以及她用什么方法来防范呢？

A.Man-in-the-middle,VPN中间人，VPN

B.Packetinjection,encryption数据包注入，加密

C.Sniffing,encryption嗅探，加密

D.Sniffing,TEMPEST嗅探，TEMPEST

Answer:

C

Encryptionisoftenusedtoprotecttrafficlikebanktransactionsfromsniffing.Whilepacketinjectionandman-in-the-middleattacksarepossible,theyarefarlesslikelytooccur,andifaVPNwereused,itwouldbeusedtoprovideencryption.TEMPESTisaspecificationfortechniquesusedtopreventspyingusingelectromagneticemissionsandwouldn’tbeusedtostopattacksatanynormalbank.

加密通常用于保护流量，如银行交易免受嗅探。

虽然数据包注入和中间人攻击是可能的，但它们发生的可能性要小得多，而且如果使用VPN，它将用于提供加密。

TEMPEST是用于防止使用电磁辐射进行间谍活动的技术规范，不会用于阻止任何正常银行的攻击。

2.COBIT,ControlObjectivesforInformationandRelatedTechnology,isaframeworkforITmanagementandgovernance.WhichdatamanagementroleismostlikelytoselectandapplyCOBITtobalancetheneedforsecuritycontrolsagainstbusinessrequirements?

COBIT（信息和相关技术的控制目标），是IT管理和治理的框架。

哪个数据管理角色最有可能选择和应用COBIT来平衡安全控制对业务需求的需求？

A.Businessowners企业所有者

B.Dataprocessors数据处理器

C.Dataowners数据所有者

D.Datastewards数据管理员

Answer:

A

Businessownershavetobalancetheneedtoprovidevaluewithregulatory,security,andotherrequirements.ThismakestheadoptionofacommonframeworklikeCOBITattractive.Dataownersaremorelikelytoaskthatthoseresponsibleforcontrolselectionidentifyastandardtouse.DataprocessorsarerequiredtoperformspecificactionsunderregulationsliketheEUDPD.Finally,inmanyorganizations,datastewardsareinternalrolesthatoverseehowdataisused.

企业所有者必须平衡将价值与监管、安全和其他需求相结合的需要。

这使得像COBIT这样的通用框架具有吸引力。

数据所有者更可能要求负责控制选择的人员确定要使用的标准。

数据处理器需要根据欧盟DPD等法规执行具体的行动。

最后，在许多组织中，数据管理员是监督数据如何使用的内部角色。

3.Whattermisusedtodescribeastartingpointforaminimum-securitystandard?

用什么术语来描述最低安全标准的出发点？

A.Outline大纲

B.Baseline基线

C.Policy政策（策略）

D.Configurationguide配置指南

Answer:

B

Abaselineisusedtoensureaminimum-securitystandard.Apolicyisthefoundationthatastandardmaypointtoforauthority,andaconfigurationguidemaybebuiltfromabaselinetohelpstaffwhoneedtoimplementittoaccomplishtheirtask.Anoutlineishelpful,butoutlineisn’tthetermyou’relookingforhere.

基线用于确保最低安全标准。

策略是标准可能指向权威的基础，可以从基线构建配置指南，帮助需要实施它的人员完成任务。

大纲是有帮助的，但大纲不是你在这里寻找的术语。

4.Whenmediaislabeledbasedontheclassificationofthedataitcontains,whatruleistypicallyappliedregardinglabels?

当媒体（介质）根据其所包含的数据分类（密级）进行标记时，通常应用了哪些关于标签的规则？

A.Thedataislabeledbasedonitsintegrityrequirements.数据根据其完整性要求进行标记

B.Themediaislabeledbasedonthehighestclassificationlevelofthedataitcontains.媒体（介质）根据其包含的数据的最高分类（密级）等级进行标记

C.Themediaislabeledwithalllevelsofclassificationofthedataitcontains.媒体（介质）上标记它所包含数据的所有分类（密级）等级

D.Themediaislabeledwiththelowestlevelofclassificationofthedataitcontains.媒体（介质）标记所含数据的最低分类（密级）等级

Answer:

B

Mediaistypicallylabeledwiththehighestclassificationlevelofdataitcontains.Thispreventsthedatafrombeinghandledoraccessibleatalowerclassificationlevel.Dataintegrityrequirementsmaybepartofaclassificationprocessbutdon’tindependentlydrivelabelinginaclassificationscheme.

媒体（介质）通常以其所包含的最高分类（密级）等级的数据标记。

这可以防止在较低的分类（密级）级别处理或访问数据。

数据完整性要求可能是分类（定级）过程的一部分，但不能独立推动分类（定级）方案中的标签。

5.Theneedtoprotectsensitivedatadriveswhatadministrativeprocess?

保护敏感数据的需求驱动了什么管理性过程？

A.Informationclassification信息分类（定级）

B.Remanence残留

C.Transmittingdata数据传输

D.Clearing清除

Answer:

A

Theneedtoprotectsensitivedatadrivesinformationclassification.Thisallowsorganizationstofocusondatathatneedstobeprotectedratherthanspendingeffortonlessimportantdata.Remanencedescribesdataleftonmediaafteranattemptismadetoremovethedata.Transmittingdataisn’tadriverforanadministrativeprocesstoprotectsensitivedata,andclearingisatechnicalprocessforremovingdatafrommedia.

保护敏感数据的需要会驱动信息分类（定级）。

这使得组织可以专注于需要保护的数据，而不在不太重要的数据上费力。

残留描述了在尝试删除数据后仍遗留在媒体上的数据。

数据传输不是保护敏感数据的管理过程的驱动程序，清除是从媒体中删除数据的技术过程。

注意数据保留（retention）和数据残留（remanence）的区别，数据保留（retention）是由于价值或审计监管的需求而要存下来，有“挽留”的感觉；数据残留（remanence）是应消灭但技术上没能删除干净，有“赶不走”的意思。

6.Howcanadataretentionpolicyhelptoreduceliabilities?

数据保留策略如何有助于减少负担？

A.Byensuringthatunneededdataisn’tretained通过确保不需要的数据不被保留

B.Byensuringthatincriminatingdataisdestroyed确保不合法的数据被销毁

C.Byensuringthatdataissecurelywipedsoitcannotberestoredforlegaldiscovery通过确保数据安全地被擦除，无法合法恢复还原

D.Byreducingthecostofdatastoragerequiredbylaw通过降低法律要求的数据存储成本

Answer:

A

Adataretentionpolicycanhelptoensurethatoutdateddataispurged,removingpotentialadditionalcostsfordiscovery.Manyorganizationshaveaggressiveretentionpoliciestobothreducethecostofstorageandlimittheamountofdatathatiskeptonhandanddiscoverable.Dataretentionpoliciesarenotdesignedtodestroyincriminatingdata,andlegalrequirementsfordataretentionmuststillbemet.

数据保留策略可以帮助确保过期数据被清除，从而消除潜在的额外发现成本。

许多组织都采取积极的保留策略，既可以降低存储成本，又可以限制现有的可发现数据量。

数据保留策略的目的不仅是为了销毁不合法数据，还必须符合数据保留的法律要求。

7.StaffinanITdepartmentwhoaredelegatedresponsibilityforday-to-daytasksholdwhatdatarole?

负责日常任务的IT部门工作人员担任什么数据角色？

A.Businessowner业务所有者

B.User用户

C.Dataprocessor数据处理器

D.Custodian保管人

Answer:

D

Custodiansaredelegatedtheroleofhandlingday-to-daytasksbymanagingandoverseeinghowdataishandled,stored,andprotected.Dataprocessorsaresystemsusedtoprocessdata.Businessownersaretypicallyprojectorsystemownerswhoaretaskedwithmakingsuresystemsprovidevaluetotheirusersorcustomers.

通过管理和监督数据如何处理，存储和保护，托管人被赋予处理日常任务的角色。

数据处理器是用来处理数据的系统。

业务所有者通常是负责确保系统为其用户或客户提供价值的项目或系统的所有者。

8.SusanworksforanAmericancompanythatconductsbusinesswithcustomersintheEuropeanUnion.WhatisshelikelytohavetodoifsheisresponsibleforhandlingPIIfromthosecustomers?

Susan在一家与欧盟客户开展业务的美国公司工作。

如果她负责处理这些客户的个人身份信息，她可能需要做些什么？

A.Encryptthedataatalltimes.在任何时候加密数据

B.LabelandclassifythedataaccordingtoHIPAA.根据HIPAA标记和分类数据

C.ConductyearlyassessmentstotheEUDPDbaseline.对欧盟DPD基线进行年度评估

D.ComplywiththeUS-EUSafeHarborrequirements.遵守美国-欧盟安全港协议的要求

Answer:

D

SafeHarborcompliancehelpsUScompaniesmeettheEUDataProtectionDirective.Yearlyassessmentsmaybeuseful,buttheyaren’trequired.HIPAAisaUSlawthatappliesspecificallytohealthcareandrelatedorganizations,andencryptingalldataallthetimeisimpossible（atleastifyouwanttousethedata!

）.

符合安全港协议有助于美国公司达到欧盟数据保护指令。

年度评估可能是有用的，但不是必需的。

HIPAA是一项专门适用于医疗保健和相关组织的美国法律。

另外始终加密所有数据是不可能的（至少如果您要使用这些数据的时候！

）。

注：

美国-欧盟安全港协议目前已被美国-欧盟隐私保护框架替代。

9.Benhasbeentaskedwithidentifyingsecuritycontrolsforsystemscoveredbyhisorganization’sinformationclassificationsystem.WhymightBenchoosetouseasecuritybaseline?

Ben的任务是确定其组织信息分类体系所涵盖的系统的安全控制。

为什么Ben可以选择使用安全基线？

A.Itappliesinallcircumstances,allowingconsistentsecuritycontrols.它适用于所有情况，允许一致的安全控制

B.Theyareapprovedbyindustrystandardsbodies,preventingliability.由行业标准机构批准，预防追责

C.Theyprovideagoodstartingpointthatcanbetailoredtoorganizationalneeds.他们提供了一个可以根据组织需求量身定制的良好起点

D.Theyensurethatsystemsarealwaysinasecurestate.他们确保系统始终处于安全状态

Answer:

C

Securitybaselinesprovideastartingpointtoscopeandtailorsecuritycontrolstoyourorganization’sneeds.Theyaren’talwaysappropriatetospecificorganizationalneeds,theycannotensurethatsystemsarealwaysinasecurestate,nordotheypreventliability.

安全基线提供了一个起点，可以根据组织的需求定制安全控制。

它们并不总是适合具体的组织需求，它们不能确保系统总是处于安全状态，也不能预防追责。

10.Whattermisusedtodescribeoverwritingmediatoallowforitsreuseinanenvironmentoperatingatthesamesensitivitylevel?

哪个术语用来描述覆盖介质，以便在相同敏感级别的环境中重复使用？

A.Clearing清除

B.Erasing擦除

C.Purging消除

D.Sanitization净化

Answer:

A

Clearingdescribespreparingmediaforreuse.Whenmediaiscleared,unclassifieddataiswrittenoveralladdressablelocationsonthemedia.Oncethat’scompleted,themediacanbereused.Erasingisthedeletionoffilesormedia.Purgingisamoreintensiveformofclearingforreuseinlowersecurityareas,andsanitizationisaseriesofprocessesthatremovesdatafromasystemormediawhileensuringthatthedataisunrecoverablebyanymeans.

清除准备介质重用。

当介质被清除时，不涉密的数据被写在介质上的所有可寻址位置上。

一旦完成，媒体可以重复使用。

擦除是删除文件或媒体。

清除是在较低安全区域进行更加密集的重用清理形式，清理是一系列从系统或媒体中删除数据的过程，同时确保数据无法以任何方式恢复。

注：

1）效果上erasing擦除

2）erasing擦除、clearing清除、purging消除、degaussing消磁是针对数字介质的，destruction销毁的对象也以数字介质为主，sanitization净化的对象就广泛一些，可以是介质也可以是带存储介质的设备；

3）sanitization净化是可能包含purging消除、removing移除、destruction销毁的一系列动作，目的是确保介质或设备中的数据无法被任何手段恢复，常见场景是在物理资产报废（可能丢弃也可能做剩余价值回收resale）时必须摧毁物理资产中存有的数据；

4）如果在相同的安全域中重用，clearing清除就够了，但如果介质或包含存储介质的设备需要重用（reuse或resale），又没有承诺保留在原安全域范围内，则要求sanitization净化；

5）这一部分术语在中文版考试中的翻译用词不可预测，所以不要只按中文记，考试的时候一定要看英文确认；

11.WhichofthefollowingclassificationlevelsistheUSgovernment’sclassificationlabelfordatathatcouldcausedamagebutwouldn’tcauseseriousorgravedamage?

以下哪个分类（密级）级别是美国政府的数据分类（密级）标签，代表受侵害后可能会造成损害，但不会造成严重或特别严重的损害？

A.TopSecret绝密

B.Secret机密

C.Confidential秘密

D.Classified分类

Answer:

C

TheUSgovernmentusesthelabelConfidentialfordatathatcouldcausedamageifitwasdisclosedwithoutauthorization.ExposureofTopSecretdataisconsideredtopotentiallycausegravedamage,whileSecretdata