信息系统安全工程师认证考试题(中英对照版).docx
信息系统安全工程师认证考试题(中英对照版)单选题1. Whentestingpasswordstrength,WhichofthefolIowingiStheBESTmethodforbruteforcIngpasswords?在测试密码强度时,以下哪一种是暴力强制使用密码的最佳方法?A、Conductanofflineattackonthehashedpasswordinformation.对散列的密码信息进行离线攻击。B、Conductanonlinepasswordattackuntiltheaccountbeingusedislocked.执行在线密码攻击,直到正在使用的帐户被锁定为止。C、Useaprehensivelistofwordstoattempttoguessthepassword.使用一个全面的单词列表来尝试猜测密码D、Usesocialengineeringmethodstoattempttoobtainthepassword.使用社会工程学的方法来尝试获取密码参考答案:C2. WhichofthefollowingisMosTcriticalinacontractinacontractfordatadiSposalonaharddrivewithathirdparty?在与第三方的硬盘数据处理合同中,以下哪项最关键?A、 Authorizeddestructiontimes授权销毁时间B、 lIowedunallocateddiskspace允许未分配的磁盘空间C、 Amountofoverwritesrequired所需的覆盖量D、 Frequencyofrecoveredmedia恢复介质频率参考答案:C3. WhichofthefollowingvulnerabilitiescanbeBESTdetectedusingaUtomatedanalysis?使用自动分析可以最好地检测到以下哪些漏洞?Validcross-Siterequestforgery(CSRF)vulnerabiIities有效的跨站请求伪造(CSRF)漏洞B、 Multi-Stepprocessattackvulnerabilities多步骤进程攻击漏洞C、 Businesslogicflawvulnerabilities业务逻辑缺陷漏洞D、TypicalSourcecodevulnerabilities典型的源代码漏洞参考答案:D4. TheinitialsecuritycategorizationshouldbedoneearlyinthesystemlifecycIeandshouldbereviewedperiodically.WhyisitimportantforthiStobedonecorrectly?初始的安全分类应该在系统生命周期的早期阶段完成,并应定期进行审查。为什么要正确地做到这一点才很重要呢?Itdeterminesthesecurityrequirements.它确定了安全要求B、Itaffectsotherstepsinthecertificationandaccreditationproces5.它会影响认证和认证过程中的其他步骤C、Itdeterminesthefunctionalandoperationalrequirements.它决定了功能和操作方面的需求D、Thesystemengineeringprocessworkswithselectedsecuritycontrols.系统工程过程与选定的安全控制装置一起工作参考答案:B5.WhattypeoftestassessesaDisasterRecovery(DR)planusingrealiSticdisasterscenarioswhilemaintainingminimalimpacttobusinesSoperations?什么类型的测试使用真实的灾难场景来评估灾难恢复(DR)计戈U,同时保持对业务运营的影响最小?Parallel并行的B、 Walkthrough演练CSimulation模拟D、Tabletop桌面参考答案:C6. WhichofthefollowingprovidestheminimumsetofprivilegesrequiredtoperformajobfUnctionandrestrictStheusertoadomainwiththerequiredprivileges?以下哪一项提供了执行作业函数所需的最低权限集,并将用户限制在具有所需权限的域中?Accessbasedonrules基于规则的访问B、ccessbasedonuser,srole基于用户角色的访问C、 Accessdeterminedbythesystem由系统确定的访问权限D、 Accessbasedondatasensitivity基于数据敏感性的访问参考答案:B7. AsoftwaredevelopmentpanyhasashorttimelIneinwhichtodeliverasoftwareproduct.ThesoftwaredevelopmentteamdecidestouseopenSourcesoftwarelibrariestoreducethedevelopmenttime.WhatconcePtshouldsoftwaredevelopersconsiderwhenusingopen-Sourcesoftwarelibraries?软件开发公司交付软件产品的时间很短。软件开发团队决定使用开源软件库来减少开发时间。软件开发人员在使用开源软件库时应该考虑什么概念?、Opensourcelibrariescontainknownvulnerabilities,andadversariesregularIyexploitthosevulnerabiIitiesinthewild.开源库包含已知的漏洞,对手经常在野外利用这些漏洞。B、Opensourcelibrariescanbeusedbyeveryone,andthereiSamonunderstandingthatthevulnerabiIitiesintheselIbrarieswiIlNOTbeexploited.每个人都可以使用开源库,人们共同的理解是,这些库中的漏洞不会被利用。C、Opensourcelibrariesareconstantlyupdated,makingitunlikeIythatavulnerabilityexiStsforanadversarytoexploit.开源库不断更新,这使得对手不太可能存在可利用的漏洞。OpensourcelibrariescontainunKnownvulnerabilities,sotheyshouIdNOTbeused.开源库包含未知的漏洞,因此不应该使用它们参考答案:A8. AfterfolIowingtheprocessesdefinedwithinthechangemanagementplan,asuperuserhasupgradedadevicewithinanlnfOrmationsystem.WhatstepwouldbetakentoensurethattheupgradedidNOTaffectthenetworksecurityposture?在遵循变更管理计划中定义的流程后,超级用户已经升级了信息系统中的设备。将采取什么步骤来确保升级不会影响网络安全态势?ConductanAssessmentandAuthorization(A&A)进行评估和授权(A&A)Conductasecurityimpactanalysis进行安全影响分析C、ReviewtheresultsofthemostrecentvulnerabiIityscan查看最近的漏洞扫描的结果DConductagapanalysiswiththebase1ineconfiguration使用基线配置进行间隙分析参考答案:B9. WhenintheSoftwareDeve1OpmentLifeCyc1e(SDLC)MUSTsoftwareseCurityfunctionalrequirementsbedefined?在软件开发生命周期(SDLC)中必须定义软件安全功能要求?、AfterthesystempreliminarydesIgnhasbeendevelopedandthedataseCuritycategorizationhasbeenperformed系统初步设计,并进行了数据安全分类B、AfterthevulnerabilityanalysiShasbeenperformedandbeforethesyStemdetaileddesignbegins在执行漏洞分析之后和系统详细设计开始之前C、AfterthesystempreliminarydesIgnhasbeendevelopedandbeforethedatasecuritycategorizatIonbegins在系统初步设计开发之后和数据安全分类开始之前D、AfterthebusinessfunctionalanalysisandthedatasecuritycategoriZationhavebeenperformed在进行了业务功能分析和数据安全分类之后参考答案:D10. WhyisauthentiCationbyownershiPstrongerthanauthenticationbyKnowledge?为什么所有权认证比知识认证更强?A、Itiseasiertochange更容易改变1tcanbekeptontheuser,sperson它可以保存在用户的个人身上C、 Itismoredifficulttoduplicate它更难复制D、 Itissimplertocontrol更容易控制参考答案:B11. ApanyhiredanexternalvendortoperformapenetrationtestofaneWpayrollsystem.Thepany,Sinternaltestteamhadalreadyperformedanin-depthappliCationandsecuritytestofthesyStemanddeterminedthatitmetsecurityrequirements.However,theexternalVendoruncoveredSignificantsecurityweaknesseswheresensitivepersonaldatawasbeIngsentunencryptedtothetaxprocessingsystems.WhatistheMOSTliRelycauseofthesecurityissues?一家公司雇佣了外部供应商对新的工资系统进行渗透测试。该公司的内部测试团队已经对该系统进行了深入的应用和安全测试,并确定其满足安全要求。然而,外部供应商发现了一些重大的安全弱点,即敏感的个人数据被未加密地发送到税务处理系统。造成安全问题的最可能的原因是什么?Failuretoperforminterfacetesting无法执行接口测试B、 FaiIuretoperformnegativetesting未进行阴性测试C、 Inadequateperformancetesting性能测试不足D、 InadequateappIicationleve!testing应用程序级别测试不足参考答案:A12.Afiberlinkconnectingtwocampusnetworksisbroken.WhichofthefolIowingtoolsshouldanengineerusetodetecttheexactbreakpointOfthefiberlink?连接两个校园网的光纤链路中断。工程师应使用以下哪些工具来检测光纤链路的确切断点?A、 OTDR光时域反射仪B、 Tonegenerator音频发生器CFusionsplicer熔接机D、Cabletester电缆测试器EPoEinjectorPoE注射器参考答案:A13. Topreventinadvertentdisclosureofrestrictedinformation,whichofthefOllowingwouldbetheLEASTeffectiveprocessforeIiminatingdatapriortothemediabeingdiscarded?为了防止无意中受限信息的披露,以下哪一个将是在丢弃媒体之前消除数据的最不有效的过程?Multiple-passoverwriting多通道覆盖B、Degaussing消磁CHigh-Ievelformatting高级格式化D、Physicaldestruction物理破坏参考答案:C14. Informationsecuritypractitionersareinthemidstofimplementinganewfirewa11.Whichofthefo11owingfaiIuremethodswouldBESTprioritizesecurityintheeventoffailure?信息安全从业人员正在实施一个新的防火墙。以下哪种故障方法最能优先考虑安全性?A、 Fail-Closed故障关闭B、 Fail-Open故障打开C、 Fail-Safe故障安全D>Failover故障转移参考答案:A15. Whichoneofthefollowingisafundamentalobjectiveinhandlinganincident?以下哪一项是处理一个事件的基本目标?Torestorecontroloftheaffectedsystems还原对受影响系统的控制B、Toconfiscatethesuspect,sputers没收嫌疑人的电脑C、 Toprosecutetheattacker起诉攻击者D、 Toperformful1backupsofthesystem执行系统的完整备份参考答案:A16. PanyAisevaluatingnewsoftwaretoreplaceanin-Housedevelopedapplication.DuringtheAcquisitionprocess.PanyAspecifiedthesecurityretirement,asweIlasthefunctionalRequirements.PanyBrespondedtotheacquisitionrequestwiththeirfIagshipproductthatrunsOnanOperatingSystem(OS)thatpanyAhasneverusednorevaluated.TheflagshipproductMeetsallsecurity-andfUnctionalrequirementsasdefinedbypany.BaseduponpanyB,sResponse,Whatstepshou1dpanyAtake?A公司正在评估一种新的软件,以取代一个内部开发的应用程序。在收购过程中。A公司明确了担保退休,以及功能要求。B公司以其运行在A公司从未使用过或评估过的操作系统(OS)上的旗舰产品回应了收购请求。旗舰产品满足A公司定义的所有安全和功能要求。根据B公司的响应,A公司应采取什么步骤?、Moveaheadwiththeacpjisitionprocess,andpurchasethefIagshipsoftwareo继续推进收购程序,并购买旗舰软件ConductasecurityreviewoftheOS.对操作系统进行安全审查C、Performfunctionalitytesting.执行功能测试。D、EnterintocontractnegotiationsensuringServiceLevelAgreements(SLA)areestablishedtoincIudesecuritypatching签订合同谈判,确保建立了服务水平协议(SLA),以包括安全补丁参考答案:B17. WhichofthefolIowingisanexampleoftwo-factorauthentication?以下哪一个是双因素身份验证的例子?Retinascanandapalmprint视网膜扫描和掌纹B、 Fingerprintandasmartcard指纹和智能卡C、 MagneticstripecardandanIDbadge磁条卡和身份证章D、PasswordandpletelyAutomatedpublicTuringtesttotellputersandHUmansApart(CAPTCHA)密码和完全自动化的公共图灵测试来区分计算机和人类(CAPTCHA)参考答案:B18. WhichofthefollowingauthorizationstandardsisbuilttohandleApplicationprogrammingInterface(API)accessfOrfederatedIdentitymanagement(FIM)?以下哪些授权标准用于处理联邦身份管理(FIM)的应用程序编程接口(API)访问?RemoteAuthenticationDial-InUserService(RADIUS)远程身份验证拨入用户服务(RADIUS)B、TerminalAccesscontrollerAccesscontrolSystemPlus(TCCS+)终端门禁控制器门禁系统升级版(TACACS+)C、OpenAuthentication(OAuth)开放式身份验证(OAUth)D、SecurityAssertionMarkupLanguage(SAML)安全断言标记语言(SAML)参考答案:C19. InthesoftwareDevelopmentLifeCycle(SDLC),maintain!ngaccuratehardwareandsoftwareInventoriesisacriticalpartof:在软件开发生命周期(SDLC)中,保持准确的硬件和软件库存是()?Systemsintegration.系统集成B、riSkmanagement.风险管理C、qualityassurance.质量保证D、changemanagement.变更管理参考答案:D20. Anestablishinformationtechnology(IT)ConsultingfirmisconsideringacquiringasuccessfUllocalstartup.Togainaprehensiveunderstandingofthestartup,ssecurityposture,WhichtypeofassessmentprovidestheBESTinformation?一家成熟的信息技术(IT)咨询公司正在考虑收购一家成功的本地创业公司。为了全面了解初创公司的安全状况,哪种评估类型提供了最佳信息?Asecurityaudit安全审计B、 Apenetrationtest渗透测试C、 Atabletopexercise桌面练习D、 Asecuritythreatmodel一个安全威胁模型参考答案:A21.Asecuritypliancemanagerofalargeenterprisewantstoreducethetimeittakestoperformnetwork,system,andapplicationsecuritypIianceauditswhileincreasingqualityandeffectivenessoftheresuIts.WhatshouldbeimplementedtoBEsTachievethedesiredresults?大型企业的安全遵从性经理希望减少执行网络、系统和应用程序安全遵从性审计所需的时间,同时提高结果的质量和有效性。应该实现什么来最好地达到期望的结果?A、 ConfigurationManagementDatabase(CMDB)配置管理数据库B、 Sourcecoderepository源代码存储库C、ConfiguratiOnManagementP1an(CMP)配置管理计划D、SystemperformancemonitoringappIication系统性能监控应用参考答案:A22. DuringwhichofthefollowingprocessesisleastprivilegeimplementedfOrauseraccount?在以下哪个过程中,对用户帐户实现的权限最少?A、 Provision准备B、 Approve批准C、 Request请求D、 Review审查参考答案:A23. WhichoneofthefollowingactivitieswouldpresentasignificantSecurityrisktoorganizationswhenemployingaVirtualPrivateNetwork(VPN)solution?在使用虚拟专用网络(VPN)解决方案时,下列哪些活动之一会给组织带来重大的安全风险?VPNbandwidthVPN带宽B、 Simultaneousconnectiontoothernetworks同时连接到其他网络C、 UserswithlnternetProtocol(IP)addressingconflicts使用互联网协议(IP)解决冲突的用户D、 Remoteuserswithadministrativerights具有管理权限的远程用户参考答案:B24. TheSecureShell(SSH)version2protocolsupports.支持安全Shen(SSH)版本2协议。A、availability,accountability,pression,andintegrity.可用性、可问责制、压缩性和完整性B、authentication,avaiIability,confidentiality,andintegrity.身份验证、可用性、机密性和完整性。C、accountability,pression,confidentiality,andintegrity.问责制、压缩、机密性和完整性Dauthentication,pression,confidentiality,andintegrity.身份验证、压缩、机密性和完整性。参考答案:D25. AmobiledeviceapplicationthatrestrictsthestorageofuserinfOrmationtojustthatwhichisneededtoacplishlawfulbusinessgoalsadherestowhatpriVacyprincipIe?一个移动设备应用程序,限制用户信息的存储,只是需要实现合法的业务目标,遵循什么隐私原则?A、Onwardtransfer向前转移CollectionLimitation收集限制C、CollectorAccountabi1ity收集器问责制DIndividualParticipation个人参与参考答案:B26. WhichofthefollowingistheBEsTwaytoprotectagainstStructuredQuerylanguage(SQL)injection?以下哪一种是防止结构化查询语言(SQL)注入的最佳方法?Enforceboundarychecking.强制边界检查RatfriCtumofSELECTmand.选择命令的速率CRestrictHyperTextMarkupLanguage(HTML)sourcecode限制超文本标记语言(HTML)源代码D、Usestoredprocedures.使用存储过程参考答案:D27. WhileclassifyingcreditcarddatarelatedtoPaymentCardIndustryDataSecurityStandards(PCIDSS),WhichofthefollowingisaPRIMARYsecurityrequirement?在对与支付卡行业数据安全标准(PCl-DSS)相关的信用卡数据进行分类时,以下哪一个是主要的安全要求?Processoragreementswithcardholders与持卡人签订的处理器协议Three-yearretentionofdata数据的三年保留C、Encryptionofdata数据加密DSpecificcarddisposalmethodology特定的卡片处理方法参考答案:C28. Whendeterminingdataandinformationassethandling,regardlesSofthespecifictoolsetbeingused,Whichofthefollowingisoneofthemonponentsofbigdata?在确定数据和信息资产处理时,无论使用的是特定的工具集,以下哪一个是大数据的共同组成部分之一?A、Consolidateddatacollection合并数据收集Distributedstoragelocations分布式存储位置C、Distributeddatacollection分布式数据收集DCentralizedprocessinglocation集中处理位置参考答案:C29. Whenperforminganinvestigationwiththepotentialforlegalaction,whatshouldbetheanalyst,SFIRSTconsideration?当进行可能采取法律行动的调查时,分析师首先考虑的是什么?A、Chain-of-custody监管链Authorizationtocollect收集授权C、Courtadmissibility法院可采性DDatadecryption数据解密参考答案:A30. AsasecuritymangerwhichofthefollowingistheMOSTeffectivepracticeforprovidingvalueToanorganization?作为一个安全经理,以下哪一种是为组织提供价值的最有效的做法?A、 Assessbusinessriskandapplysecurityresourcesaccordingly评估业务风险并相应地应用安全资源B、 Coordinatesecurityimplementationswithinternalaudit协调安全实施与内部审计C、 Achieveplianceregardlesofrelatedtechnicalissuses实现相关技术问题的合规性D、 Identifyconfidentialinformationandprotectit识别机密信息并加以保护参考答案:D31.InwhichprocessMusTsecuritybeconsideredduringtheacquisitionofnewsoftware?在购买新软件时,在哪个过程必须考虑安全性?Contractnegotiation合同谈判B、 Requestforproposal(RFP)申请提案(RFP)C、 Implementation实施D、 Vendorselection供应商选择参考答案:B32. WhatistheFlRsTstepthatshouldbeconsideredinaDataLossPrevention(DLP)program?在数据丢失预防(DLP)计划中,应该考虑的第一步是什么?ConfiguratiOnmanagement(CM)配置管理(CM)B、InformationRightsManagement(IRM)信息权限管理(IRM)C、Policycreation创建策略D、Dataclassification数据分类参考答案:D33. WhichofthefollowingstatementsisTRUEregardingequivalencecIasstesting?关于等价类测试,下面哪些语句是正确的?Testinputsareobtainedfromthederivedboundariesofthegivenfunctionalspecif!cations.测试输入是从给定的功能规范的导出边界中获得的B、Itischaracterizedbythestatelessbehaviorofaprocessimplementedinafunction.它的特征是在一个函数中实现的进程的无状态行为C、AnentirepartitioncanbecoveredbyconsideringonlyonerepresentatiVevaluefromthatpartition.通过只考虑该分区中的一个代表值,就可以覆盖整个分区D、Itisusefulfortestingmunicationsprotocolsandgraphicaluserinterfaces.它对测试通信协议和图形用户界面很有用参考答案:C34. Whiledealingwiththeconsequencesofasecurityincident,whichOfthefollowingsecuritycontrolsareMOSTappropriate?在处理安全事件的后果时,下列哪一种安全控制最合适?Detectiveandrecoverycontrols侦查和恢复控制B、Correctiveandrecoverycontrols纠正和恢复控制CPreventativeandcorrectivecontrols预防性和纠正性控制D、Recoveryandproactivecontrols恢复和主动控制参考答案:C35. AnorganizationisrequiredtoplywiththePaymentCardIndustryDataSecurityStandard(PCI-DSS),WhatistheMosTeffectiveapproachtosafeguarddigitalandpapermediathatcontainscardholderdata?一个组织机构必须遵守支付卡行业数据安全标准(PCI-DSS),保护包含持卡人数据的数字和纸质媒体的最有效的方法是什么?Useandregularityupdateantivirussoftware.使用和定期更新防病毒软件Maintainstrictcontroloverstorageofmedia.保持对媒体存储的严格控制CMandateencryptionofcardholderdata.对持卡人的数据进行强制加密DConfigurefirewalIrulestoprotectthedata.配置防火墙规则以保护数据参考答案:C36. Avulnerabilityassessmentreporthasbeensubmittedtoaclient.TheclientindicatesthatonethirdofthehoststhatwereinscopearemiSsingfromthereport.InwhichphaseoftheassessmentwasthiserrorMOSTlikelymade?已向客户端提交了一个漏洞评估报告。客户端指示报告中缺少三分之一的主机。在评估的哪个阶段最可能出错?Enumeration列举B、 Reporting报告C、 Detection侦查D、 Discovery发现参考答案:A37. WhichofthefollowingBEsTdescribesRecoveryTimeObjective(RT0)?以下哪一项最能描述恢复时间目标(RTo)?Timeofdatavalidationafterdisaster.灾难发生后的数据验证时间B、Timeofdatarestorationfrombackupafterdisaster.灾难后备份数据恢复时间C、Timeofapplicationresumptionafterdisaster.灾难发生后申请恢复的时间D、Timeofapplicationverificationafterdisaster.灾难发生后的应用程序验证时间参考答案:C38. Apanyisattemptingtoenhancethesecurityofitsuserauthenticationprocesses.Afterevaluatingseveraloptions,thepanyhasdecidCdtoutilizeIdentityasaService(IDaaS).WhichofthefollowingfactorsIeadsthepanytochooseanlDaaSastheirsolution?一家公司正试图增强其用户认证过程的安全性。在评估了几种选项后,该公司决定使用身份即服务(IDaaS)。以下哪些因素导致公司选择IDaaS作为其解决方案?In-housedevelopmentprovidesmorecontrol.内部开发提供了更多的控制能力B、 In-housete