1：下列哪一项不正确 C
A.保密性的違反包括人为 错误
B.保密性的违反包括管理监督
C.保密性的违反仅限于直接故意攻击

2：STRIDE通常用于评估针对应用程序或操作系统的威胁有关，下列哪一项不包括STRIDE元素 D
解析:信息披露 不等于披露

3：下列哪一项是机密数据的最低军事数据分类 B
解析: 机密、秘密、绝密的统项为数据分类，機密低于秘密

4：数据分类都用于关注安全控制除了已下哪一个？D

5：下列哪一项不是有效的风险定义? B
A、几率、可能和机会的评估
B 移除脆弱性或防止一个(或多个)特定攻击发生的任何事情

解析: B属于风险实施过程

6、以下哪一项没有具体或直接关系到组织的安全功能管理? A
解析：安全管理通常包括预算、指标、资源、信息安全策略的评估以及评估安全程序的完整性和有效性

7、通过特定的威胁/脆弱性/风险关系已经执行叻基本的定量风险分析，选择一个可能的对策当再次计算时下列哪个因素会变化 D
对策直接影响年发生比，这主要是因为对策被设计用于組织风险的发生从而减少年发生比的频率

8、对于那些对业务连续性计划开发负责的人来说，第一步应该执行什么? B

解析：首先分析业务组織然后组件BCP团队，然后分析风险、制定BCP方案给最高领导人确定，最后实施和维护

9、下列哪一项BIA条款表示了特定风险每年预计损失的货幣量: C
解析：ALE = SLE * ARO 这里是我概念记混了.ALE为年度损失期望，SLE为单一损失期望

10、在哪个业务连续性计划任务中会设计流程和机制以减少BCP团队认定嘚不可接受的风险？ C
解析：预备和处理阶段BCP团队实际上位缓解的策略开发阶段认为不可接受的风险设计规程和机制

11、安装冗余通信链路，这是利用了什么类型的缓解条款? D
解析:这是替换系统的一个例子冗余通信链路是备用系统的一种形式。

12、那条法律首先要求美国联邦的楿关计算机系统操作者接受计算机安全问题的定期培训 A
B、国际基础设施保护法案
C、计算机欺诈和滥用法案
解析：《计算机安全法案》要求强制性的对涉及管理、使用或操作包含敏感信息的联邦计算机系统的所有人定期培训

13、什么是计算机系统最广泛的类别，这个类别收计算机欺诈和滥用方案(修正案)保护?
C、用于洲际贸易的系统
解析：《计算机滥用修正案》包括了州间贸易使用的素有系统这覆盖了美国的部汾的系统(但不是全部)

14、Mattew最近编写了一个创新算法去解决一个数学问题，并且他希望与全世界分享但是，在技术杂志上发布软件代码之前他想获得一些知识产权方面的保护，下列哪个保护最适合他
解析：版权法时Matthew可以使用的知识产权的唯一类型，商标不适合这种情况專利权不适合数学算法

15、什么法律禁止政府机构泄密个人提交给政府保护环境下的信息？
C、健康保险流通与责任法案
解析：美国的《隐私法案》限制了政府机构使用公民在某种情况下透露给他们的信息的方法

16、软件行业使用什么法律来正式的派发大量许可并试着标准化从 ┅个州到另一个州的使用？
B 统一计算机信息处理法案
C 数字千禧年版权法案
解析：《美国同意计算机信息处理法案》试图实施一个有关所有州都采纳的计算机处理的标准法律架构

17、以下哪一项许可协议类型不需要用户在执行之前确认他们已经阅读了协议
解析：B 收缩性薄膜包裝的许可证协议在用户打开软件包装时生效

18、在美国专利保护期是多长？
A、提交申请日开始14年
B、专利获得日开始14年
C、提交申请日开始20年
D、專利获得日开始20年
解析： 美国专利发从专利申请提交到专利和商标局的时候就开始提供20年的独家使用权
19、在处理关于欧盟数据隐私法令下嘚个人信息时以下哪一项不是有效的法律依据？
解析：欧盟隐私法指令的定义市场销售需要不是处理个人信息的有效基础

21、以下哪一項是对数据所有者确立的“行为规则”的最好定义？
A、确保用户只被授予对他们所需要东西的访问权
B、决定对系统有访问权的人
C、识别对數据的恰当使用和保护
D、对系统实施安全控制
解析:行为规则是被适当和保护数据的规则

22、在欧盟数据保护法的北京下以下哪一个是数据處理者？
A、代表数据控制者处理个人数据的实体
B、控制数据处理的实体
C、处理数据的计算系统
解析：欧盟保护法定义数据处理器为"仅代表數据控制器处理个人数据的自然人或法人"

23、以下的选项中哪一项可以在补牺牲安全性的情况下阻止丢失时间的发生？D
A、标记场外保存的介质
B、不要把数据存储在场地外
C、将场地外的备份全部摧毁
D、使用安全的场地外存储设备

23、在以下选项中、关于备份介质不遵守哪一项策畧 B
解析：人员没有遵守记录保留策略

24、高级加密标准使用的分块大小是多少？
解析：AES加密标准使用128块大小

25、什么类型的密码系统经常利鼡一个通道借助一本著名的书来加密秘钥？ B

解析：滚动秘钥密码使用书籍的一段话作为加密

27、John想要产生2048位的消息摘要并计划发送给Mary,如果使用SHA-1散列算法，这条特定消息的消息摘要长度是多少
解析：SHA-1散列总生成160的消息摘要

28、下列哪个算法不受数字签名标准支持？
解析： C 数芓签名允许的算法：数字签名算法RSA、 椭圆曲线DSA结合SHA-1散列函数生成的数字签名

29、系统鉴定是什么？
A、正式可接受的系统配置生命
B、为了每個硬件和软件组件都满足集成标准对制造商目标进行功能评价
C、证明计算机系统实施安全策略的可接受的测试结果
D、指定两台机器之间嘚安全通信过程
解析：A 鉴定是正式验收的过程

30、哪个Bell-LaPADULA属性阻止低级别的主体访问高级别的客体
解析： C ，不准向上读的属性也被称为简单安铨属性禁止主体读取更高安全级别的客体

31、许多PC操作系统提供一个功能，这个功能使他们能够支持但处理系统的多个应用程序同时执行什么术语描述这种能力？
解析：C 多任务处理指同事处理多个任务

32、什么技术为组织提供对BYOD设备的最佳控制
解析：B移动设备管理（MDM）是一種软件解决方案其他均为MDM解决方案的一部分

33、三个应用程序在支持多任务处理的单核单处理器系统上运行，这些应用程序的其中一个为攵字处理程序并同时管理两个线程，其他两个应用程序只使用一个线程来运行在任何给定时间有多少个应用线程在处理器上运行？
解析：A 单处理系统一次只能处理一个线程

34、什么类型的美国联邦计算机系统要求所有访问系统的个人都需要知道所有由系统处理的信息？
解析: A 专有系统中所有用户都是最高级别，对系统所处理全部信息的“知其所需”权限

35、减少移动设备上的数据丢失风险的最有效手段是什么例如笔记本电脑？
B、减少存储在移动设备上的敏感信息
解析： B 保持系统上最小敏感数据是降低风险的唯一方法

36、什么类型的电气部件作为构建动态RAM芯片的主要部分
解析：A 动态RAM上有很多电容器每个电容器上都存有电荷

37、在下列哪种安全模式中，你会放心所有用户都通過系统处理所有信息的访问权限但不必知道所有的信息
解析：B 所有用户必须具有对系统处理的所有信息的适当安全许可和访问特权，但昰只需要对系统处理的部分信息具有“知其所需”权限

38、什么类型的存储设备通常用于包含一台计算机的主板BIOS
解析：B 为了便于将阿里固件的更新，BIOS和设备固件通常被存储在EEPROM芯片上

39、什么类型的寻址方案是数据实际提供给CPU作为参数传递给指令
解析：立即寻址中，CPU实际上并鈈需要从存储器中检索任何数据数据就包含在指令本身中，可以被立即处理

40、为了维持最有效和安全的服务器机房一下哪一项不必是嫃的？
B、必须包括非水灭火装置的使用
C、湿度必须保持在40%-60%之间
D、温度必须保持在华氏60到75度
解析：为了保持有效性和安全性计算机机房不需要与人相协调，与人不协调的服务器机房提供了对攻击的更高的保护等级

41、周边安全设备或机制的最常见形式是什么 D

43 ——————防吙墙是第三代防火墙 B

44、关于防火墙，下列哪一项不是正确的 B
A、他们都能记录流量信息
C、他们能基于可疑攻击发出问题报警
D、他们仍不能防止内部攻击

46、————是一种数据链路层连接机制，使用分组交换技术在通信方之间建立虚电路 B
解析： 帧中继是二层连接机制使用分組交换和在通信端点之间建立虚电路

47、如果网络使用NAT代理、需要怎样才能允许外部客户端通过内部系统发起连接会话？
解析:需要静态模式嘚NAT来允许外部实体启动与NAT代理之后的内部系统的通信

48、除了维护、更新系统和进行物理访问控制下面哪一项是应对PBX欺骗和滥用最有效反の措施 B
D、录音和归档所有的会话
解析：更改PBX系统上的默认密码能够有效的增强安全性

49、用户登录ID和密码登录。登录ID的目的是什么
解析：D ，用户使用登录ID来申明身份登录ID和密码的组合提供身份认证，主体认证被授权访问客体记录和审计提供可问责性

解析：Kerberos的主要目的是認证 C

51、RADIUS架构中，网络接入服务器的功能是什么
解析：网络访问服务器是RADIUS架构中的客户端，RADIUS服务器是认证服务器 B

52、一个表包含多个客体和主体并确定每个主体具体访问时都有不同的客体，这个表被称为什么 B
解析：访问控制矩阵包含多个对象，列出主体对每个对象的访问访问控制矩阵内的任何特定对象的单个主体列表使访问控制列表

53、谁或什么根据自主访问控制模型授予权限给用户？ D
解析：访问控制列表包含多个对象并且列出主体对每个对象的访问

54、以下哪个模型也被称为基于身份的访问控制模型？ A
B、基于角色的访问控制
C、基于规则嘚访问控制
解析：自主访问控制模型是基于身份的访问控制模型

55、集中授权可以确定用户可以根据组织层级结构来访问哪些文件一下哪項最能说明这一点？ D
C、基于规则的访问控制列表
D、基于角色的访问控制列表
解析：基于角色的访问控制模型可以基于组织的层次结构将鼡户分组到角色，它是一个非自主访问控制模型

56、以下哪一项设计基于角色的访问控制模型 A
A、基于角色的访问控制模型允许多个组中的鼡户成员资格
B、基于角色的访问控制模型允许单个组里的用户成员资格
C、基于角色的访问控制模型是非分层的
D、基于角色的访问控制使用標签
解析：role-BAC模型是基于角色或组成员资格，用户可以是多个租的成员用不仅限于单个角色

57、什么类型的访问控制依赖于使用标签？ C
B、非洎主访问控制模型
D、基于角色的访问控制模型
解析：强制访问控制依赖于对主体和客体使用标签

58、以下哪一项最能说明强制访问控制模型嘚特点 D
解析：强制访问控制时禁止的，他使用标签而不是规则

59、为某个特定系统规划安全测试计划时不用考虑下列哪个因素
A、存储在系统上的信息的敏感度
C、利用新测试工具进行试验的意愿
D、系统对攻击者的吸引力
解析：C ，存储在系统上的敏感信息、执行测试的难度和攻击者针对系统的可能性都是计划安全测试任务时的有效考虑因素尝试新测试工具的需求不应影响生产测试计划

60、以下哪一项一般不包括在安全评估中？
解析：C安全评估包括旨在识别漏洞的许多类型的测试，评估报告通常包括缓解建议然而评估并不包括实际缓解这些漏洞

61、组织确保用户被授予仅需要执行具体工作任务的数据访问权限，他们是一下哪些原则
D、基于角色的访问控制
解析： C ： 知其所需：获取了解或拥有执行特定工作任务所要求的数据最小特权原则包括权限和许可，最小特权原则在IT安全中无效

62、下列选项中对于特殊权限什么不是相关的有效安全做法？
B、授予管理员和操作员同等访问权限
D、只授予受信员工访问权限
解析：B不应该向管理员和操作人员授予楿同权限，应该仅向个人授予执行工作所需的特权并且只应该向受信任的个人授予访问权限

63、组织使用的是软件即服务（Saas）这种基于云嘚服务来与其他组织共享，这种描述是以下哪种类型的部署模式
解析：C：公共云模型包括可供消费者出租或租赁的资产

64、下列哪一项是茬检测和确认事件发生后最好的响应？
解析:A：遏制是检测和验证时间后的第一步限制事件的影响和范围，修复可以采取步骤防止事件彩複发这不是第一步，重要是遏制事件时保护证据收集证据将在遏制后发生

65、下列哪一项描述了以未打补丁和未收保护的安全漏洞和错誤数据设计虚假网络以吸引攻击者？
解析：B蜜罐是单独的计算机，创建用于入侵者的现金的整个网络伪权限（由许多蜜罐和密网使用）是有意植入系统中以诱骗攻击者的错误漏洞

66、下列选项中，反恶意软件保护的最佳方式是什么
A、每个系统多个解决方案
B、整个组织一個解决方案
C、不同的位置部署反恶意软件保护
D、所有边界网络不折不扣的过滤内容
解析：多个解决方案提供最佳解决方案，这涉及在几个鈈同位置部署反恶意软件保护

67、什么可以用来减少使用非统计方法的日志或审计数据量
解析：A 阀值是非统计抽样的一种形式，抽样是一種从审计日志提取有意义数据的统计方法

68、什么是灾难恢复计划的最终目标
C、恢复正常的业务活动
解析：C，一旦灾难终端业务运行DRP目標是尽快恢复正常的业务活动。因此灾难恢复计划是在业务连续性计划停止的地方起作用

69、下面有关业务连续性计划和灾难恢复计划的描述中哪一个是不正确的？
A、业务连续性计划的重点是当灾难发生时保持业务功能不间断
B、企业可以选择是否定制业务连续性计划或灾难恢复计划
C、业务连续性计划弥补了灾难计划的不是
D、灾难恢复计划指导组织恢复主站点的正常运营
解析：灾难恢复计划在业务连续性计划終止时开始

70、百年一遇洪水对于应急准备的官员是什么意思？
A、最后一次袭击该区域的任何类型的洪水超过100年之久
B、在任何一年洪水发苼的可能性在1/100的级别
C、预计该区域由于洪水带来的问题至少100年是安全的
D、对该地区最后一次严重洪水袭击已过100年之久

71、什么类型的备份包括所有文件自最近一次完整备份依赖存储修改文件的拷贝
解析：A ，差异备份中是存储哪些自从最近一次完整备份依赖被修改过的所有文件的副本无论间隔期内是否创建了增量备份或差异备份

72、黑客行动主义者具有以下哪些因素驱使？ B D
解析： 黑客行动注意者经常将正值冬季和黑客的刺激结合在一起

73、什么类型的事故的特点是获得更多的特权级别

74、 什么是识别系统中异常和可疑的最好方法？
B、配置IDS检测并報告所有的异常流量
C、知道正常系统活动的样子
D、研究主要攻击活动类似的特征

75、如果需要没收一台疑似不为组织工作的攻击者计算机什么法律渠道最合适？
C、没有合法渠道是必要的
解析：B因为不为组织工作职能使用搜查令

A、强制要求履行的工作要求行动
C、由专业机构規定的条例
解析；道德规范就是个人的行为规范 D

77、下列哪个操作被认为不可接受的，并根据RFC1087 “道德规范与互联网”是不道德的
A、行动危機机密信息的保密性
B、行动损害了用户隐私
C、扰乱组织活动的行为
D、一台被用于执行违反规定的安全策略操作的计算机
解析： B确定了行为茬RFC1087进行了说明

78、以下哪个选项不属于DevOps模型的三个组件之一？
解析：A DevOps模型的三个要素是软件开发、质量保证和 IT操作

79、什么样的数据库技术可鉯组织“未授权用户通过正常无权访问信息的提示来确定信息级别”这样的事情发生
解析： C 多实例准许多条记录的插入，看起来在一个數据库中有相同的主键值

80、在软件成熟度模型SW-CMM中组织达到哪个阶段就可以使用定量的方法获得组织开发过程的详细理解？
解析：D 在可管悝阶段SW-CMM的第四季，组织使用定量措施来详细了解开发过程

81、当数据从一个较高分类级别到达一个较低分类级别时数据库会发生以下哪類安全风险？
解析： C 污染是指较高分类几倍的数据和/或知其所需需求与来自较低分类级别的数据和/或须知需求的混合

82、Tom建立了数据库表這个表包含名字、电话号码、业务相关的客户ID，这个表还包含了30个客户的信息请问这个表的度是多少？
解析: B 表的基数是指标中的行而表的度是列数

83、在强制访问控制中，敏感标记包含什么信息
A、对象的分级、分类设置以及区间设置
B、对象的分级和区间设置
C、对象的分級、分类设置
解析：C 敏感标记包含对象的分级（高危、敏感）、分类设置（格子模型的安全域）

84、下面哪项是多级安全策略的必要组成部汾？
A、适合于唯一客体的敏感标记和强制访问控制
B、适合于主体域客体的敏感标记以及“高级别系统”评价
C、主体安全申明&适合于唯一客體的敏感标记和强制访问标记
D、适合于主体与客体的敏感标记和自主访问控制
解析：组织信息从较高安全级别流向较低安全级别的策略被稱为多级安全策略 C 具体原因不知

85、下列哪一项是Kerberos提供的主要服务？
解析： C Kerberos提供授权和认证服务，最主要的服务为认证服务

86、以下按个咹全模型中通过主题的声明与客体的分级相比较这样可以应用来控制主体到客体的交互发生的控制？
解析：通过主题的声明与客体的分級相比较为多级安全策略的概念bell-lapadula模型分类信息泄露或传输至较低的安全许可级别，所以该题选D

87、什么样的证书被用于验证用户的身份
解析： D ，未找到理由可能是公钥证书是密钥对，通过密钥对可以验证用户的身份

88、 主体控制访访问客体必须设置
解析：A、访问规则：控淛使用访问规则来限制主体对客体的访问

89、 适用于用作备份媒体存储的区域的对策是
解析：A ，备份媒体存储的区域对策属于预防/物理筞略

90、对于密码通常比分配的数字更长的一系列字符被称为？
解析：D教材和网上未找到口令短语相关概念，记住便可

91、下列对于生物计量学描述正确的是
A、生物识别技术已不存在逻辑控制的作用
B、它是用于在物理控制和逻辑控制身份认证
C、它是用于在物理控制和逻辑控淛认证标识
D、他用于在物理控制识别，不用于逻辑控制
解析 ： C 使用物理控制和逻辑控制认证标识

解析:A ,Kerberos使用端对端的安全机制保障认证通信的机密性和完整性

93、RADIUS包括下列哪些服务？
A、认证服务器和PIN码
B、客户端的认证动态密码生成
C、客户端的认证和静态密码生成
D、认证服务器以及静态和动态密码支持
解析：D ， RADIUS服务器为认证服务器通过用户发送过来的凭证进行认证用户身份和特权，用户凭证可以是静态也可鉯是动态密码

94、那个访问控制模型又被叫做非自主访问控制
B、基于标签的访问控制
C、基于角色的访问控制
解析：C ， 非自主访问控制包括：基于角色、基于规则、基于属性、强制访问控制四种讲道理，这里应该选C、D

95、高安全级别且仅有管理员可以分配权限的环境下下列哪种访问控制模型最为合适？
A、 DAC自主访问控制
解析： D ： 管理员分配权限不属于自主访问控制；B为认证服务器，不符合；访问控制矩阵属於DAC所以选D

96、哪种安全模型通过中央授权来决定那些客体可以访问对应的客体？
C、非自主访问控制措施
解析：C A自主访问控制措施非中央授权，为所有者授权；强制访问控制措施属于非自主访问控制措施；非自主访问控制措施：任何一个不是可自由支配的模型都是非可任意支配模型这些模型包括基于规则、角色和基于格子的访问

97、数据视图不是用来：
B、实现依赖于内容的访问限制
解析：数据库视图使基于內容的控制，最小权限依赖内容的访问控制和实现需知都是内容控制

98 当提及一个数据包结构时，以下哪项可以表示为一个TCP包在传输层的單个数据单元
解析：A、 在传输层，TCP被称为段UDP被称为报文

99 在OSI/ISO模型中，哪两层设计SSL协议的设计和操作
解析：SSL全名（加密套接字协议层）主要作用为加密传输数据，加密属于传输层

A、在庞大的人群中使用昂贵的秘钥管理系统
B、每个共享秘钥都采用简单的密码
D、只有一个共享秘钥对需要所有的VPN连接

101、在数据报文中IP头部都有会对协议的标识区域，如协议标识为51那么该数据报文属于以下那类型？

102、 TLS协议是一个②层接口层安全协议包括TLS记录协议和？
A、传输层安全（TLS）互连网协议
B、传输层安全数据（TLS）协议
C、传输层安全连接协议
D、传输层安全握掱协议
解析：安全传输层协议包括TLS记录协议和TLS握手协议

103：以下哪种方式是用于IDS系统具有高速的错误识别率
A、基于网络的入侵检测系统
B、基于异常统计的入侵检测
C、基于知识库的入侵检测
D、基于主机的入侵检测
解析：C 入侵检测：入侵检测分为基于知识的入侵检测和基于行为嘚入侵检测，

104： 什么是一个TFTP服务器最有用
A、终端访问文件服务器
C、文件传输到WEB服务器
D、配置传输到网络设备
解析： TFTP,客户机与服务器之间進行简单文件传输的协议

105：什么类型的攻击包括IP欺骗，ICMP回应和反弹网站
解析：Dsmurf攻击通过欺骗广播ping对目标网络产生巨大的流量

106：哪种类型嘚防火墙可以用来跟踪连接协议如UDP何RPC？

107：点对点隧道协议在OSI/IOS模型哪个层工作
解析： A:PPTP，是从拨号协议点对点协议开发出来的一种封装协议工作在OSI模型的数据链路层（第二层）

108 为了执行测试和评估以验证系统的安全级别，确认系统负荷、系统设计规范和安全需求应采取如丅哪个活动？
解析： B、评估只是过程确认是评估得到确定的结果

109、对象关系和面向对象模型更适合于管理复杂数据，比如在以下哪种情況中
A、计算机辅助处理与镜像
B、计算机辅助开发与镜像
C、计算机辅助设计和镜像
D、计算机辅助复制和镜像

110： 下面哪个选项不属于关系数據库的模型
A、被称为标间参考关系验证的安全结构
B、决定 有效范围和值的若干限制
C、数据表、数据行、字段和值域
D、用于控制数据如何访問操作的DML语句
解析： A,其中 B和C属于关系数据库模型 数据库组件：DDL（数据定义语言），允许创建和更改数据库的结构数据草种语言（DML），允許用户与模式内包含的数据交互

111： 数据库描述被称为schema,它采取如下那种方式进行定义：
A、 数据操作语言（DML）
B、搜索查询语言（SQL）
C、数据控制語言（DCL）
D、数据定义语言（DDL）
解析：D schema模式拥有定义或描述数据库的数据，模式使用数据定义语言（DDL）编写

112、对于数据库来说下面哪一項具有使代码重用与系统分析变轻松和减少系统维护工作量的特征？
解析：A面向对象数据库，集合数据库和面向对象功能方便了代码偅用和故障处理分析，并减少了整体维护工作量更适合支持设计多媒体、CAD、视频、图像和专家系统的复杂应用

A、系统复杂度测量方法
解析：D ，RAD线性顺序开发模型

114、在系统项目中，下面哪个选项对于项目活动与资源的计划于控制时恰当的
B、项目评审技术（PERT）
C、关键路径法（CPM）
D、功能点分析法（FPA）
甘特图：不听时间项目和调度之间的相互关系的条形图帮助提供计划、协调和跟踪项目中特定任务的跳读
计划評审计划（PERT），为风险评估计算标准偏差将每个组件的最小可能大小，最可能的大小以及最大可能大小联系在一起
关键路径法：制定组織对新设备的需求确定关键任务应用、处理、操作和所有支撑要素之间的关系
功能点分析法：一种从用户的角度对软件开发进行度量的方法。
115、下面哪个选项最佳解释了为什么计算机信息系统经常不能满足用户需求
B、项目无法满足业务或用户需求
C、项目将与现有系统不兼容

116、下面哪个选项是决策支持系统（DSS）关于威胁与风险分析的特征
A、DSS目标在于解决高度结构化的问题
B、DSS结合了非传统数据访问和检索功能模型
C、DSS只支持结构化决策任务
D、DSS强调了用户决策的灵活性
解析：D，DSS分析业务数据并且以更容易做出业务决策的形式提供给用户是信息型应用

117、下列选项中哪一个不能对应建立在关系数据库中标的主键值的数量

118、下列哪个选项不是强调DBMS的安全性的？
扰动： 在DBMS中插入错误或欺骗的数据从而重定向或阻扰信息机密性攻击
单元抑制：对单独的数据库字段或单元隐藏或加强更安全的约束
分割：数据库分区防止聚匼、 推理和污染漏洞
119、考虑到一个IT系统发展生命周期，安全应该：
C、一旦涉及完成就添加
D、被当做总体系统设计的主要部分
120、下列几个“軟件开发生命周期”的阶段中哪个通常强调适度谨慎和适度勤勉

121、一个弱点或缺乏保护措施，可以被威胁利用对信息系统或网络造成嘚危害被称为
解析：D，脆弱性是指弱点以及保护措施的缺失

121、风险消减和降低风险的控制措施主要分为以下三种类别？
解析：D 书上未找到具体原因， 理解为风险消除和降低主要通过物理控制、逻辑控制和行政控制来实现

121、下列哪一项将最适合监督信息安全策略的部署
解析：C ，翻译问题安全官= 安全专员，在我的理解中应该由审计来做监督工作

121、下列哪项不是管理控制？
B、政策、标准程序和指南开發
解析：D、 不是管理控制中，逻辑访问控制机制最接近逻辑访问控制为主题对客体的访问

121 根据私营部门数据分类级别，薪酬水平和医疗信息会被怎样归类
解析：B ， 私营部门分类：机密、隐私、敏感、公开
机密：极端敏感的和只能内部使用的泄露对公司有重大的负面影響
隐私：具有隐私性和个人特性以及仅供内部使用，泄密对公司或个人有重大负面影响
敏感：泄密对公司产生负面影响

121、下列哪项不是对數据管理员的职责
A、提供对数据库的访问授权
D、实现数据库的规则访问
解析：A，应该是翻译原因英文的意思应该是管理员具有访问数據库的权限

121、下列哪项能作为一种管理控制分类？
解析：D行政管理访问控制也被叫做管理控制，包括策略、过程、雇佣准则、背景调查、数据分类和标签、安全意识和培训效果、休假记录、报告和回顾、工作监督、人员控制以及测试工作监督包括审查安全控制

122、进行安铨规划的主要步骤包括以下除了哪一项？
A、确定备选的行动方案
B、创建一个安全审计功能
解析：B 安全规划的步骤应该是，创建具体目标规划实现目标的假设，然后制定行动方案

123、详细步骤指令说明用来满足控制要求称为
标准：战术文档，定义达到安全策略制定的目标囷总体方向的步骤
指南：提供如何实现标准以及基准的建议
程序：规范化安全策略结构的最后一个要素是详细的、按部就班的指导文档，描述了实现特定安全机制、控制或解决方案所需的确切行动

123、下面哪一层提供不可抵赖服务
解析：D，传输文件、交换信息和连接远程終端等任务所需的协议和服务都在这一层

124、数据加密标准（DES）加密算法具有以下哪个特点
A、64位块和一个64位总秘钥长度
B、128位秘钥和8位用于渏偶校验
C、64位数据输入和56位加密输出
D、56位数据输入使用56位加密输出
解析： A，B不正确C是64位数据输入和64位加密输出，D不正确故选A

125、一个公鑰加密算法包括了加密和数字签名是以下哪一个？
解析：数字签名加密算法: RSA,ECDSA(椭圆曲线数字签名算法)

126、为了遵守IETF标准的IPSEC协议以下哪种秘钥茭换方法必须被使用？
B、ISAKMP（网络安全协会和秘钥管理协议）

127、下列哪一项不属于IKE和IPSec的认证方法
解析：C，因为CHAP是PPP连接上使用的一种身份认證

128、下列哪个选项不是IKE/IPSec协议愚公像秘钥认证的特征
A、大规模用户群组的秘钥管理代价高
B、对于全部VPN连接仅需要一个预共享秘钥
C、预共享秘钥认证常常基于弱口令
D、需要与PKI协同工作
答案：D，因为PKI（公钥基础设施）是证书协议管理

129、下列哪一种加密方案应用在S/MIME标准中？
A、基於公钥的混合加密方案
C、基于椭圆曲线的加密
D、基于口令的加密方案
解析：A因为S/MIME是基于RSA公钥加密以及x.509证书交换密码系统秘钥

130、哪一种证書被用来验证用户的身份？
解析：B,公钥证书公钥证书通过密钥对，实现验证用户身份

131、下列哪一项是对“证书路径验证”最好的描述
A、验证相关证书的撤销状态
B、验证所有关联的根证书的完整性
C、验证相关私钥的完整性
D、验证根证书下某一证书链中所有证书的有效性？
解析：D证书路径验证（CPV）指的是从原始起点或可信根源至相关服务器或客户端的证书路径中的每个证书都应当考虑其是否有效与合法

132、鉯下哪一个不是Rijndael分组加密算法的属性？
A、秘钥长度不需要分配分组长度
B、最大秘钥长度512位
C、最大秘钥长度是256位
D、秘钥长度可以是32位的任意倍数
解析：BRijndael秘钥准许使用三种秘钥强度：128、192、256

132 以下哪个写实提供无线通信安全？
解析：D,WTLS无线传输层安全能够提供TLS和SSL相似的安全通信服務

133 公钥基础设施（PKI）如何发布公钥的？
解析：CPKI通过数字证书发布

134 关于分组密码以下哪个陈述是错误的？
A、对固定长度明文进行操作
B、某些分组密码内部是流密码操作
C、用公钥加密私钥解密
D、适合用软件而不是硬件来实现
解析：C， 对固定长度明文进行操作正确这是分组嘚概念，B分组密码内部是流密码操作，正确D，适合硬件来实现正确B，是公钥密码的概念

137、下列哪一项是扑灭电容火灾的最佳选择
A、 二氧化碳，苏打酸和哈龙
C、 ADC配比化学干粉式灭火剂
解析：D、 苏打酸A哈龙会导致电容设备异常， 水不适合电容类型设备 C干粉灭火器可能导致电容设备异常

138、 下列哪一项是通过干扰化学链式反应抑制燃烧而达到灭火的作用？

139、下列哪一个防护设备用于保护离目标几英尺之內区域的定点保护而非整个房间的安全监控？
解析：B 未在教材中找到电容侦测器设备说明

140、 什么温度开始伤害到磁盘设备？
141、通过环境设计预防犯罪的概念里‘地域性’这个概念的最佳描述是？
B、用不同的方法保护特定区域

142、以下哪些是生命周期保证需要的
A、配置管理和可信设施管理
B、系统架构以及设计规范
C、安全测试和隐蔽通道分析
D、安全测试和可信分析
解析：D，生命周期保证： 系统的整个生命周期内正确的实现安全策略的保证

143、以下哪一项不是系统架构的基础组件

144、如果所有的用户都有安全申明或授权，基于志气必须来访问所有数据那么系统运行在哪种安全模式？
A、 分隔化的安全模式
D、 高系统安全性模式

解析：DClark-Wilson为商业环境设计的模型，使用多层面途径实施数据的完整性

146、*(星)规则在Biba模型中的意思是什么
解析： B ，简单属性总与读操作有关星号属性总与写操作有关

147、以下哪个安全模型是对運行操作划分为不同的部分，并要求不同部分由不同用户执行

148、引用监视器必须满足三个条件时什么？
A、 隔离、完备性和可验证性
B、 隔離、分层和抽象
C、 政策、机制和保证
D、保密性、可用性和完整性

150、下列哪一项不是一个操作控制的一个例子
解析：A，审计属于检测性控淛

151、哪种备份方法通常在归档已备份后重置归档位
完整备份： 归档比特都会被重置、关闭或设置为0
增量备份： 归档比特被打开、启用或設置为1的文件，备份完成文件的归档比特都会被重置、关闭或设置为0
差异备份： 复制归档毕业被打开、启用或设置为1，备份过程不改变歸档位

151、下列哪项不是一种预防性的操作控制
A、进行安全意识和技术培训
B、保护笔记本电脑，个人电脑和工作站
C、控制数据的介质访问囷处理
解析：A 安全意识和技术培训属于行政管理性访问控制

152、根据TCSEC的评级，以下功能是不太可能被一个典型的安全管理员执行
A、设置鼡户许可和初始密码
B、设置或更改文件敏感标签
D、添加和删除系统用户
解析：D，添加和删除系统用户属于管理员执行安全管理员偏向安铨相关的工作

153、 哪一个安全级别是第一个要求可信恢复的？

法律法规、符合性和调查

154、以下哪一项处理工业和企业间谍活动
A、1996年的美国經济和专利信息保护法案
C、1980年的经济合作与发展组织
D、1970年的灭国诈骗影响和腐败组织法案

156、哪一类型的证据是证据的复印件或对其内容的ロ头描述，不如最佳证据可靠
次要证据： 最佳证据内容的证据副本或口头说明
直接证据：通过基于证人五官感知收集信息的言辞证据或反驳特定行为的证据
传闻证据：其他人在庭外告诉证人的内容所形成的证据，没有经过系统管理员验证的计算机日志文件也可能被认为传聞证据

157、飞客是专攻电话欺诈的黑客哪种类型的电话欺诈/攻击利用产生音调的设备模拟向付费电话投币，从而欺骗系统完成免费通话
嫼盒： 操纵电压，以便窃取长途服务
红盒：模拟硬币存入付费电话的声音
蓝盒： 模拟与电话网络主干系统直接互动的2500HZ声音

158、纸质的业务记錄、手册和印刷品应该划分为哪类证据
A、文本性证据（文档性证据）

159、在法律领域内，以下哪个法规对证据收集做出规定

160、美国哪项法案规定对机构高级管理层在预防和检测过程中的不作为处以最高2亿美元的罚款？
A、1987年美国计算机安全法案
B、1996年美国国家信息基础设施保護法
C、1991年美国联邦量刑指南
D、1986年美国计算机欺诈和滥用法

161 下列哪项不是一个交易冗余的实现方法
解析：D，镜像并非服务器实例

162 下列哪个提供企业管理的优先名单的时间关键业务流程并估计每个关键过程的时间和企业支持这些过程组件恢复时间目标？
解析：C决定组织的歭续发展的资源，以及对这些资源的威胁评估威胁实际出现的可能性以及出现的威胁对业务的影响

164、一个公司的计算机系统灾难恢复计劃（DRP）通常聚焦在？
A、热站兼容设备的可用性
B、它的重点是在替代站点恢复操作

165、下列哪一项针对IT系统部是常见的威胁分类/类别

166、下面哪项对IT应急计划维护陈述不正确的？
A、 该计划每年至少一次的准确性和完整性进行审查
B、应该保持严格的版本控制
C、应急计划的协调者应確保每个员工有这一计划的最新副本
D、计划的副本应该提供给恢复人员以便离线存储在家和办公室

167、 以下哪项最好帮助组织获取其生存的矗观重要的功能的普遍共识

168、业务影响分析（BIA）期间什么是最不可能被执行的？
A、评估财务和运营中断的影响
B、确定一个功能的恢复时間目标
C、确定组织的市场份额和企业形象的影响
解析：BBIA的过程为：确定优先级、风险识别、可能性评估、影响评估、资源优先级划分

169、丅列哪项是业务影响分析不去识别的？
A、灾难发生后企业可以容忍的停机时间
B、灾难发生时要联系个体的名称
C、对企业生存起关键作用的系统
D、灾难发生后遭受最大的财务或经营亏损的领域

170、什么是电子跳跃
A、信息在一个小时之内备份到磁带上并且存储在在线资源库
B、信息茬一天之内备份到磁带上并且存储在在线资源库
C、传输电子日志或交易记录到一个离线存储设施
D、把大量信息传输到一个远程中央设施里