CISSP第1/8知识点错题集
网络安全话题下的优秀答主
关注他
目前CISSP考试在国内有四个考点,报名费699美元,大约5000块钱,有点小贵。满分1000分,700分通过。考试时间6个小时,从上午9点开始,到下午3点结束。饿了可以申请出去吃东西,喝点红牛/乐虎提提神。总共300道单项选择题,360分钟基本够用,控制1分钟1道题的练习速度。
- 上海黄浦考点:上海市黄埔区汉口路650号亚洲大厦17层1701室
- 上海徐汇区考点:上海市徐汇区天钥桥路333号腾飞大厦8层805室
- 北京考点:北京市海淀区首体南路6号新世纪饭店写字楼11层1153室
- 广州考点:广州市越秀区中山六路218-222号捷泰广场1904室
CISSP官方学习指南(第8版) 计算机与互联网 清华大学
D1知识点正确率:71/78/69 综合:73 练习题链接如下,早起的鸟儿有虫吃~
1、以下哪一项原则把一个广泛的关注标准强加于个人,并且该原则在这种环境下与正常人所以期望的一致?
应尽职责(我选的)
职责划分
应尽关注(正确答案)
最小特权
应尽关注原则描述了一个人应该在一种情况下用正常人所期望的相同级别的关注来响应。这是一个非常广泛的标准。
应尽职责原则是应尽关注的一个更具体的组成部分,它描述被指派责任的个人应该以应尽关注的方式准确和及时的完成责任。
2、Acme Widgets公司正在对其财务部门施加新的控制。管理人员担心会计可能会向一个不存在的供应商开支票,从而窃取公司的钱款,哪种安全控制可以最有效的遏制这种情况?
强制假期
职责分离(正确答案)
深度防御
岗位轮换(我选的)
按照职责分离原则,组织将关键任务分成不同的部分,并确保每项任务都只能由一个人来完成。这可以防止某些人通过未授权方式来执行其他任务。
3、以下哪一个角色会成为信息安全项目最高级的负责人?
持有CISSP认证的分析师
首席信息官(CIO)(正确答案)
网络安全经理
总裁和首席执行官(我选的)
信息安全项目的负责人可能并不负责项目的具体实施,该负责人应该拥有高级职位,能很好地管理信息安全项目。总裁兼首席执行官不太可能有充足的时间来关心安全问题。在剩余的选择中,首席信息官(CIO)是最高级别的管理者。
4、Doolitte Industries的一名会计人员最近因挪用公款而被捕。该人员将钱转至个人账户并每天在其他账户之间转移钱款以掩盖罪行,犯罪时间长达数月。以下哪一个控制最有可能最早检测到该罪行?
职责分离(我选的)
最小特权
深度防御
强制假期(正确答案)
强制假期计划要求员工每年休息一段时间,并在此期间取消其系统特权。若内部工作人员企图做出不利于组织的事情,那么可能会在这段时间中被组织发现,从而规避组织系统遭受损害。职责分离、最小特权和深度防御控制都有助于防止欺诈,但不太可能高效地检测出已经发生的欺诈行为。
5、Ben需要一个信息安全控制方面的控制框架,并且被全世界广泛接受,以下哪一个框架可以满足他的要求?
ITIL(我选的)
ISO 27002(正确答案)
CMM
PMBOK指导
ISO 27002是一个侧重于信息安全的国际标准,标题为“信息技术-安全技术-信息安全管理实践守则”。
IT基础设施库(ITIL)确实包含安全管理实践,但它不是文档,而且ITIL所关注的安全问题都来源于ISO 27002。
能力成熟度模型(CMM)专注于软件开发。
项目管理知识体系(PMBOK)指南侧重于项目管理。
1、Fly Away Travel在欧盟和美国都有办公点,且需要定期在这些办公点之间传输个人信息。“国际安全港规定”在处理个人信息方面给出了七项原则,其中一项原则可以描述为:组织必须告知个人他们是如何使用个人的数据。请问这是哪项原则?
通知(正确答案)
选择(我的选择)
向前转移
执行
《国际安全港规定》的原则指出,组织必须告知个人他们如何使用收集到的个人信息。这些原则基于2000年美国商务部发布的《国际安全港规定》,这些原则用来帮助美国公司在收集、存储、处理和传输数据时达到欧盟的标准。
2、以下哪个身份认证因素和密码一同使用,从而实现多因素身份认证机制?
用户名
个人识别码(PIN)(我的选择)
安全问题
指纹扫描(正确答案)
指纹扫描属于“你是什么”类型的因素,这可以和“你知道什么”类型的因素(密码)配对使用,从而实现多因素身份验证。
用户名不是身份验证的因素。
PIN和安全问题都是“你知道什么”这一因素,它们和密码同属于一种身份验证因素,无法满足多因素身份验证的要求。
3、Darcy正在设计一个容错系统,她使用了RAID-5。她用于创建该系统的物理硬盘最小数量是多少?
一
二
三(正确答案)
五(我的选择)
RAID级别5,也称为具有奇偶校验的磁盘条带化,需要至少三个物理硬盘。
4、以下哪种控制措施属于行政控制?
入侵检测系统
安全意识训练(正确答案)
防火墙
保安警卫人员(我的选择)
安全意识训练属于行政控制。
防火墙和入侵检测系统是技术控制。
保安则是物理控制。
5、Gary正在分析一个安全事故,在他的调查期间,他发现有一个用户否认他曾做的事。根据STRIDE模型,此时发生了什么类型的威胁?
否认(正确答案)
信息泄露(我的选择)
篡改
特权提升
否认威胁描述的是攻击者拒绝曾经做过某事,而另一方却无法反驳他。
6、专利的要求不包括以下哪项?
必须是新的。
必须由美国公民发明。(正确答案)
必须不是显而易见的。
必须是有用的。(我的选择,看错题目了)
不要求专利必须由美国公民发明。但专利发明必须是新的、非显而易见的、有用的。
7、Ryan是保险公司的安全风险分析员。近期由于公司网站应用丢失补丁,黑客可能使用SQL注入袭击来破坏网站服务器,他最近正在进行安全检查。在该情况下,威胁是什么?
未打补丁的网络应用(我的选择)
网站破坏
黑客(正确答案)
操作系统
风险是威胁和脆弱性的结合,威胁是试图破坏系统安全的外部力量。
在本题中,脆弱性指系统的内部漏洞,也就是没打补丁。此时,如果黑客(威胁)尝试针对未修补的服务器(漏洞)的SQL注入攻击,会引起网站崩溃。
8、以下哪种管理控制方式可以保护信息保密性?
加密(我的选择,题目问的是管理方式,大意了)
保密协议(正确答案)
防火墙
容错
保密协议(NDA)通过要求员工不得与第三方共享机密信息,从而保护组织的敏感信息,NDA通常在员工离开公司后仍然有效。
1、你在完成业务连续性计划时决定接受其中的一个风险。你接下来应该做什么?
执行新的安全控制来降低风险水平。
设计灾难恢复计划。(我的选择)
重复评估业务影响。
将你的决策过程文档化。(正确答案)
每当你选择接受风险时,你应该将风险接受过程写成详细文档,以便将来供审计师使用。这一步应该在实施安全控制、设计灾难恢复计划和重复业务影响分析(BIA)之前发生。
2、高级管理人员通常在业务连续性计划团队中发挥什么重要作用?
处理仲裁纠纷(正确答案)
评估法律环境
培训员工
设计故障控制(我的选择)
高级管理人员在业务连续性规划中负责多项任务,包括优先级设置、资源获取以及对团队成员之间的争议进行仲裁。
3、以下哪个问题通常不是在服务等级协议(SLA)中提出的?
客户信息的保密性(正确答案)
故障切换时间
正常运行时间(我的选择)
最大持续故障时间
SLA通常不涉及数据保密性问题,有关数据保密性的规定通常包括在不披露协议中。
4、以下哪种行为通常不是业务连续性计划的项目范围和计划阶段的一部分?
组织的结构分析
法律和管理环境审查(我的选择)
业务连续性计划团队的创建
计划文档(正确答案)
项目范围和规划阶段包括四个具体的行动:对组织进行结构分析、设立一个业务连续性计划小组、评估现有资源、分析法律和监管环境。
5、Becka最近签署了一份合同,合同规定如果组织发生灾难,供应商会向其公司提供备用的数据处理设备,该设备包括供热通风与空气调节系统、电力和通讯线路,但是不包括硬件。Becka使用的是什么类型的设备?
冷站点(正确答案)
温站点(我的选择)
热站点
移动热点
冷站点包括数据中心运行所需的基本要求:空间、电源、供热通风、空气调节和通信,但不包括恢复操作所需的任何硬件。
朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
扫一扫
133
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
