CISSP第3/8知识点错题集

颜若御

已于 2024-01-05 19:47:03 修改

阅读量103

点赞数

文章标签：网络数据库 web安全安全网络安全计算机网络系统安全

于 2023-10-25 11:38:52 首次发布

本文链接：https://blog.csdn.net/jennycisp/article/details/134031137

版权

一首「我的未来不是梦」送给大家，高考时候的校园里的歌曲，再回首，一切都变了。明明是校园里的骄子，毕业之后惨遭社会的毒打。昨晚接了一个付费咨询单子，一个30岁的小姐姐，需要找一个邮箱绑定的手机号。听了她的故事，原来是凄美的爱情故事。12年前，男主病重在国外治疗，失联2年后，女主结婚。8年后的现在，国外疫情，女主想起了曾经的男主，想通过邮箱联系男主的家人，但是那个邮箱却无法发进去任何消息。

你是不是像我一样在太阳下低头 流着汗水默默辛苦的工作
你是不是想像我就算受了冷漠 也不放弃自己想要的生活
你是不是像我整天忙着追求 追求一种意想不到的温柔
你是不是像我曾经迷茫失措 一次一次徘徊在十字街头

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

D3知识点正确率：55/65/73/81/73 综合：69 练习题链接如下，早起的鸟儿有虫吃～

1、Mathew是一家咨询公司的安全管理员，他必须基于用户先前的活动，利用访问控制来限制用户的访问。什么安全模型最适合Mathew的需求？
Clark-Wilson（我的选择）
Biba
Bell- LaPadula
Brewer-Nash（正确答案）

Brewer-Nash模型允许根据用户的行为来动态改变访问控制方式。

2、在下图中，Sally由于Biba完整性模型而受到阻拦无法读取文件。Sally拥有机密安全许可，这个文件属于秘密级。此时执行的是Biba模型的什么原则？
简单安全性属性（我的选择）
简单完整性属性（正确答案）
* 安全性属性
* 完整性属性

简单完整性属性规定个人不能读取比其安全许可级别低的文件。

3、Sonia最近从笔记本电脑上移除了加密的硬盘，并且由于硬件故障将其移至新的设备上。她在访问驱动器上加密内容时遇到了困难，尽管她知道用户的密码。以下哪项可能会引起这个问题？
TCB
TPM（正确答案）
NIACAP（我的选择）
RSA

可信平台模块(TPM)是一种硬件安全技术，它将加密密钥存储在主板的芯片上，然后将其安装在另一台计算机上，来防止某人访问加密的驱动器。

4、在下图中，Harry写入数据文件的请求被拒绝。Harry有机密安全许可，该数据文件属于秘密级别。Bell-LaPadula模型的什么原则阻止了该请求？
简单安全性属性（我的选择）
简单完整性属性
* 安全性属性（正确答案）
自主安全属性

“*安全属性”规定个人不得写入安全分类级别较低的文件。

5、在下图中，Sally在写入数据时被Biba完整性模型所阻碍。Sally对机密性进行安全检查，该文件属于绝密类别。什么原则阻止她写入文件？
简单安全属性（我的选择）
简单完整性属性
*安全属性
*完整性属性（正确答案）

*完整性属性规定主体不能修改安全级别较高的客体。

6、ames使用国防部的一个系统来工作，这个系统被授权同时处理归类为机密和绝密级别的信息。他使用的是什么类型的系统？
单核
未加密
隔离（我的选择）
多核（正确答案）

经过认证的多核系统通过实施适当的保护机制来隔离数据，可同时处理来自不同安全分类级别的数据。

7、Kyle获得授权访问军队的计算机系统，该计算机系统使用高级安全模式，下列关于Kyle的安全许可要求哪个说法是不正确的？
Kyle必须拥有系统最高级别的安全许可，(不考虑他的访问方式)。
Kyle必须拥有访问系统，处理所有信息的权限。（我的选择）
Kyle必须有有效的需要才能访问系统处理的所有信息。（正确答案）
Kyle必须拥有有效的安全许可。

对于以系统高级模式运行的系统，用户必须对系统处理的所有信息拥有安全许可，还应该拥有对部分数据的访问权限。

8、一个程序的什么部分包含存储器和程序可能获得的资源地址设置上的限制？
边界
约束限制（我的选择）
界定
界限（正确答案）

在系统上运行的每个进程都有物理或逻辑界限，例如存储器。

9、关于Biba访问控制模型，以下哪个表述是正确的？
它强调保密性和完整性。
它强调完整性和可用性。（我的选择）
它阻止隐蔽信道攻击。
它关心的是保护物体不受外部威胁。（正确答案）

Biba模式只侧重于保护完整性，无法保护机密性和可用性。它也不提供针对隐蔽信道攻击的保护。Biba模型侧重于外部威胁，而且假设内部威胁是程序化的。

1、Helen是软件工程师，正在开发限制在独立沙箱中运行的代码。Helen使用的是什么软件开发技术？
边界
输入确认
限制（正确答案）
TCB（我的选择）

使用沙箱属于限制，使用沙箱时，系统会限制特定进程的访问，从而限制该进程对同一系统上运行的其他进程的影响。

2、Tom负责维护用于控制电厂中工业流程的系统安全。请问以下哪项用于描述这些系统？
POWER
SCADA（正确答案）
HAVAL（我的选择）
COBOL

监督控制和数据采集(SCADA)系统用于控制和收集工业过程的数据。它们通常存在于发电厂和其他工业环境中。

3、在通用标准下，以下哪项描述了产品的安全性需求？
TCSEC
ITSEC
PP（正确答案）
ST（我的选择）

保护轮廓（PP）规定了在通用标准下，被接受的产品必须具备的安全要求和保护。

4、Betty担心她的组织会受到缓冲区溢出攻击，以下哪个安全控制可以有效针对该攻击？
防火墙
入侵检测系统（我的选择）
参数检查（正确答案）
漏洞扫描

参数检查或输入验证用于确保用户提供给应用程序的输入与应用程序的预期输入相符。开发人员可使用参数检查来确保输入不超过预期长度，从而可以防止缓冲区溢出攻击。

5、针对系统控制问题，以下哪一个系统保证过程可以给出广为信任的独立第三方评估？
认证过程（我的选择）
定义过程
验证过程（正确答案）
鉴定过程

验证过程与认证过程类似，因为它验证了安全控制。通过涉及第三方测试服务和得出广为信任的结果，验证可以进一步进行。通过鉴定环节表明管理层正式接受了该评估系统。

6、在软件即服务的云计算环境中，通常由谁来负责确保防火墙已部署到位？
客户的安全团队（我的选择）
供应商（正确答案）
客户的网络团队
客户的基础设施管理团队

在软件即服务环境中，客户无法访问任何基础架构，因此防火墙管理是云计算共享责任模式下的供应商的责任。

7、在什么类型的攻击中，攻击者使用恶意程序代替计算机上的合法BIOS，使其能够控制系统？
Phlashing（正确答案）
Phreaking（我的选择）
Phishing
Phogging

在phlashing攻击中，攻击者使用特制的恶意BIOS，它可以使得攻击者获取被攻击系统的一定程度的控制权。
Phlashing 窃听是一种永久性的拒绝服务（DoS）攻击，利用基于网络的固件更新中的漏洞。目前，这种攻击是理论上的，但如果进行，则可能会使目标设备无法操作。

8、Rick是Python应用开发人员。他最近决定评估一项新的服务，他将他的Python代码提供给供应商，该供应商随后在他们的服务器环境中运行Python代码。该服务是什么类型的云计算环境？
SaaS（软件即服务）（我的选择）
PaaS（产品即服务）（正确答案）
IaaS（基础设施即服务）
CaaS（通讯即服务）