信息系统安全工程师认证考试题（中英对照版）.docx

《信息系统安全工程师认证考试题（中英对照版）.docx》由会员分享，可在线阅读，更多相关《信息系统安全工程师认证考试题（中英对照版）.docx（46页珍藏版）》请在课桌文档上搜索。

1、信息系统安全工程师认证考试题（中英对照版）单选题1. Whentestingpasswordstrength,WhichofthefolIowingiStheBESTmethodforbruteforcIngpasswords?在测试密码强度时，以下哪一种是暴力强制使用密码的最佳方法？A、Conductanofflineattackonthehashedpasswordinformation.对散列的密码信息进行离线攻击。B、Conductanonlinepasswordattackuntiltheaccountbeingusedislocked.执行在线密码攻击，直到正在使用的帐户被锁定为止

2、。C、Useaprehensivelistofwordstoattempttoguessthepassword.使用一个全面的单词列表来尝试猜测密码D、Usesocialengineeringmethodstoattempttoobtainthepassword.使用社会工程学的方法来尝试获取密码参考答案：C2. WhichofthefollowingisMosTcriticalinacontractinacontractfordatadiSposalonaharddrivewithathirdparty?在与第三方的硬盘数据处理合同中，以下哪项最关键？A、 Authorizeddestruc

3、tiontimes授权销毁时间B、 lIowedunallocateddiskspace允许未分配的磁盘空间C、 Amountofoverwritesrequired所需的覆盖量D、 Frequencyofrecoveredmedia恢复介质频率参考答案：C3. WhichofthefollowingvulnerabilitiescanbeBESTdetectedusingaUtomatedanalysis?使用自动分析可以最好地检测到以下哪些漏洞？Validcross-Siterequestforgery(CSRF)vulnerabiIities有效的跨站请求伪造(CSRF)漏洞B、 Mul

4、ti-Stepprocessattackvulnerabilities多步骤进程攻击漏洞C、 Businesslogicflawvulnerabilities业务逻辑缺陷漏洞D、TypicalSourcecodevulnerabilities典型的源代码漏洞参考答案：D4. TheinitialsecuritycategorizationshouldbedoneearlyinthesystemlifecycIeandshouldbereviewedperiodically.WhyisitimportantforthiStobedonecorrectly?初始的安全分类应该在系统生命周期的早期阶

5、段完成，并应定期进行审查。为什么要正确地做到这一点才很重要呢？Itdeterminesthesecurityrequirements.它确定了安全要求B、Itaffectsotherstepsinthecertificationandaccreditationproces5.它会影响认证和认证过程中的其他步骤C、Itdeterminesthefunctionalandoperationalrequirements.它决定了功能和操作方面的需求D、Thesystemengineeringprocessworkswithselectedsecuritycontrols.系统工程过程与选定的安全控制

6、装置一起工作参考答案：B5.WhattypeoftestassessesaDisasterRecovery(DR)planusingrealiSticdisasterscenarioswhilemaintainingminimalimpacttobusinesSoperations?什么类型的测试使用真实的灾难场景来评估灾难恢复(DR)计戈U,同时保持对业务运营的影响最小？Parallel并行的B、 Walkthrough演练CSimulation模拟D、Tabletop桌面参考答案：C6. Whichofthefollowingprovidestheminimumsetofprivilege

7、srequiredtoperformajobfUnctionandrestrictStheusertoadomainwiththerequiredprivileges?以下哪一项提供了执行作业函数所需的最低权限集，并将用户限制在具有所需权限的域中？Accessbasedonrules基于规则的访问B、ccessbasedonuser,srole基于用户角色的访问C、 Accessdeterminedbythesystem由系统确定的访问权限D、 Accessbasedondatasensitivity基于数据敏感性的访问参考答案：B7. Asoftwaredevelopmentpanyhasa

8、shorttimelIneinwhichtodeliverasoftwareproduct.ThesoftwaredevelopmentteamdecidestouseopenSourcesoftwarelibrariestoreducethedevelopmenttime.WhatconcePtshouldsoftwaredevelopersconsiderwhenusingopen-Sourcesoftwarelibraries?软件开发公司交付软件产品的时间很短。软件开发团队决定使用开源软件库来减少开发时间。软件开发人员在使用开源软件库时应该考虑什么概念？、Opensourcelibra

9、riescontainknownvulnerabilities,andadversariesregularIyexploitthosevulnerabiIitiesinthewild.开源库包含已知的漏洞，对手经常在野外利用这些漏洞。B、Opensourcelibrariescanbeusedbyeveryone,andthereiSamonunderstandingthatthevulnerabiIitiesintheselIbrarieswiIlNOTbeexploited.每个人都可以使用开源库，人们共同的理解是，这些库中的漏洞不会被利用。C、Opensourcelibrariesare

10、constantlyupdated,makingitunlikeIythatavulnerabilityexiStsforanadversarytoexploit.开源库不断更新，这使得对手不太可能存在可利用的漏洞。OpensourcelibrariescontainunKnownvulnerabilities,sotheyshouIdNOTbeused.开源库包含未知的漏洞，因此不应该使用它们参考答案：A8. AfterfolIowingtheprocessesdefinedwithinthechangemanagementplan,asuperuserhasupgradedadevicew

11、ithinanlnfOrmationsystem.WhatstepwouldbetakentoensurethattheupgradedidNOTaffectthenetworksecurityposture?在遵循变更管理计划中定义的流程后，超级用户已经升级了信息系统中的设备。将采取什么步骤来确保升级不会影响网络安全态势？ConductanAssessmentandAuthorization(A&A)进行评估和授权(A&A)Conductasecurityimpactanalysis进行安全影响分析C、ReviewtheresultsofthemostrecentvulnerabiIitys

12、can查看最近的漏洞扫描的结果DConductagapanalysiswiththebase1ineconfiguration使用基线配置进行间隙分析参考答案：B9. WhenintheSoftwareDeve1OpmentLifeCyc1e(SDLC)MUSTsoftwareseCurityfunctionalrequirementsbedefined?在软件开发生命周期(SDLC)中必须定义软件安全功能要求？、AfterthesystempreliminarydesIgnhasbeendevelopedandthedataseCuritycategorizationhasbeenperfo

13、rmed系统初步设计，并进行了数据安全分类B、AfterthevulnerabilityanalysiShasbeenperformedandbeforethesyStemdetaileddesignbegins在执行漏洞分析之后和系统详细设计开始之前C、AfterthesystempreliminarydesIgnhasbeendevelopedandbeforethedatasecuritycategorizatIonbegins在系统初步设计开发之后和数据安全分类开始之前D、Afterthebusinessfunctionalanalysisandthedatasecuritycateg

14、oriZationhavebeenperformed在进行了业务功能分析和数据安全分类之后参考答案：D10. WhyisauthentiCationbyownershiPstrongerthanauthenticationbyKnowledge?为什么所有权认证比知识认证更强？A、Itiseasiertochange更容易改变1tcanbekeptontheuser,sperson它可以保存在用户的个人身上C、 Itismoredifficulttoduplicate它更难复制D、 Itissimplertocontrol更容易控制参考答案：B11. Apanyhiredanexternalv

15、endortoperformapenetrationtestofaneWpayrollsystem.Thepany,Sinternaltestteamhadalreadyperformedanin-depthappliCationandsecuritytestofthesyStemanddeterminedthatitmetsecurityrequirements.However,theexternalVendoruncoveredSignificantsecurityweaknesseswheresensitivepersonaldatawasbeIngsentunencryptedtoth

16、etaxprocessingsystems.WhatistheMOSTliRelycauseofthesecurityissues?一家公司雇佣了外部供应商对新的工资系统进行渗透测试。该公司的内部测试团队已经对该系统进行了深入的应用和安全测试，并确定其满足安全要求。然而，外部供应商发现了一些重大的安全弱点，即敏感的个人数据被未加密地发送到税务处理系统。造成安全问题的最可能的原因是什么？Failuretoperforminterfacetesting无法执行接口测试B、 FaiIuretoperformnegativetesting未进行阴性测试C、 Inadequateperformancet

17、esting性能测试不足D、 InadequateappIicationleve!testing应用程序级别测试不足参考答案：A12.Afiberlinkconnectingtwocampusnetworksisbroken.WhichofthefolIowingtoolsshouldanengineerusetodetecttheexactbreakpointOfthefiberlink?连接两个校园网的光纤链路中断。工程师应使用以下哪些工具来检测光纤链路的确切断点？A、 OTDR光时域反射仪B、 Tonegenerator音频发生器CFusionsplicer熔接机D、Cableteste

18、r电缆测试器EPoEinjectorPoE注射器参考答案：A13. Topreventinadvertentdisclosureofrestrictedinformation,whichofthefOllowingwouldbetheLEASTeffectiveprocessforeIiminatingdatapriortothemediabeingdiscarded?为了防止无意中受限信息的披露，以下哪一个将是在丢弃媒体之前消除数据的最不有效的过程？Multiple-passoverwriting多通道覆盖B、Degaussing消磁CHigh-Ievelformatting高级格式化D、P

19、hysicaldestruction物理破坏参考答案：C14. Informationsecuritypractitionersareinthemidstofimplementinganewfirewa11.Whichofthefo11owingfaiIuremethodswouldBESTprioritizesecurityintheeventoffailure?信息安全从业人员正在实施一个新的防火墙。以下哪种故障方法最能优先考虑安全性？A、 Fail-Closed故障关闭B、 Fail-Open故障打开C、 Fail-Safe故障安全DFailover故障转移参考答案：A15. Which

20、oneofthefollowingisafundamentalobjectiveinhandlinganincident?以下哪一项是处理一个事件的基本目标？Torestorecontroloftheaffectedsystems还原对受影响系统的控制B、Toconfiscatethesuspect,sputers没收嫌疑人的电脑C、 Toprosecutetheattacker起诉攻击者D、 Toperformful1backupsofthesystem执行系统的完整备份参考答案：A16. PanyAisevaluatingnewsoftwaretoreplaceanin-Housedeve

21、lopedapplication.DuringtheAcquisitionprocess.PanyAspecifiedthesecurityretirement,asweIlasthefunctionalRequirements.PanyBrespondedtotheacquisitionrequestwiththeirfIagshipproductthatrunsOnanOperatingSystem(OS)thatpanyAhasneverusednorevaluated.TheflagshipproductMeetsallsecurity-andfUnctionalrequirement

22、sasdefinedbypany.BaseduponpanyB,sResponse,Whatstepshou1dpanyAtake?A公司正在评估一种新的软件，以取代一个内部开发的应用程序。在收购过程中。A公司明确了担保退休，以及功能要求。B公司以其运行在A公司从未使用过或评估过的操作系统(OS)上的旗舰产品回应了收购请求。旗舰产品满足A公司定义的所有安全和功能要求。根据B公司的响应，A公司应采取什么步骤？、Moveaheadwiththeacpjisitionprocess,andpurchasethefIagshipsoftwareo继续推进收购程序，并购买旗舰软件Conductasecu

23、rityreviewoftheOS.对操作系统进行安全审查C、Performfunctionalitytesting.执行功能测试。D、EnterintocontractnegotiationsensuringServiceLevelAgreements(SLA)areestablishedtoincIudesecuritypatching签订合同谈判，确保建立了服务水平协议(SLA),以包括安全补丁参考答案：B17. WhichofthefolIowingisanexampleoftwo-factorauthentication?以下哪一个是双因素身份验证的例子？Retinascananda

24、palmprint视网膜扫描和掌纹B、 Fingerprintandasmartcard指纹和智能卡C、 MagneticstripecardandanIDbadge磁条卡和身份证章D、PasswordandpletelyAutomatedpublicTuringtesttotellputersandHUmansApart(CAPTCHA)密码和完全自动化的公共图灵测试来区分计算机和人类(CAPTCHA)参考答案：B18. WhichofthefollowingauthorizationstandardsisbuilttohandleApplicationprogrammingInterfac

25、e(API)accessfOrfederatedIdentitymanagement(FIM)?以下哪些授权标准用于处理联邦身份管理(FIM)的应用程序编程接口(API)访问?RemoteAuthenticationDial-InUserService(RADIUS)远程身份验证拨入用户服务(RADIUS)B、TerminalAccesscontrollerAccesscontrolSystemPlus(TCCS+)终端门禁控制器门禁系统升级版(TACACS+)C、OpenAuthentication(OAuth)开放式身份验证(OAUth)D、SecurityAssertionMarkupL

26、anguage(SAML)安全断言标记语言(SAML)参考答案：C19. InthesoftwareDevelopmentLifeCycle(SDLC),maintain!ngaccuratehardwareandsoftwareInventoriesisacriticalpartof:在软件开发生命周期(SDLC)中，保持准确的硬件和软件库存是()？Systemsintegration.系统集成B、riSkmanagement.风险管理C、qualityassurance.质量保证D、changemanagement.变更管理参考答案：D20. Anestablishinformationt

27、echnology(IT)ConsultingfirmisconsideringacquiringasuccessfUllocalstartup.Togainaprehensiveunderstandingofthestartup,ssecurityposture,WhichtypeofassessmentprovidestheBESTinformation?一家成熟的信息技术(IT)咨询公司正在考虑收购一家成功的本地创业公司。为了全面了解初创公司的安全状况，哪种评估类型提供了最佳信息？Asecurityaudit安全审计B、 Apenetrationtest渗透测试C、 Atabletope

28、xercise桌面练习D、 Asecuritythreatmodel一个安全威胁模型参考答案：A21.Asecuritypliancemanagerofalargeenterprisewantstoreducethetimeittakestoperformnetwork,system,andapplicationsecuritypIianceauditswhileincreasingqualityandeffectivenessoftheresuIts.WhatshouldbeimplementedtoBEsTachievethedesiredresults?大型企业的安全遵从性经理希望减少执

29、行网络、系统和应用程序安全遵从性审计所需的时间，同时提高结果的质量和有效性。应该实现什么来最好地达到期望的结果？A、 ConfigurationManagementDatabase(CMDB)配置管理数据库B、 Sourcecoderepository源代码存储库C、ConfiguratiOnManagementP1an(CMP)配置管理计划D、SystemperformancemonitoringappIication系统性能监控应用参考答案：A22. DuringwhichofthefollowingprocessesisleastprivilegeimplementedfOrausera

30、ccount?在以下哪个过程中，对用户帐户实现的权限最少？A、 Provision准备B、 Approve批准C、 Request请求D、 Review审查参考答案：A23. WhichoneofthefollowingactivitieswouldpresentasignificantSecurityrisktoorganizationswhenemployingaVirtualPrivateNetwork(VPN)solution?在使用虚拟专用网络(VPN)解决方案时，下列哪些活动之一会给组织带来重大的安全风险？VPNbandwidthVPN带宽B、 Simultaneousconnec

31、tiontoothernetworks同时连接到其他网络C、 UserswithlnternetProtocol(IP)addressingconflicts使用互联网协议(IP)解决冲突的用户D、 Remoteuserswithadministrativerights具有管理权限的远程用户参考答案：B24. TheSecureShell(SSH)version2protocolsupports.支持安全Shen(SSH)版本2协议。A、availability,accountability,pression,andintegrity.可用性、可问责制、压缩性和完整性B、authenticat

32、ion,avaiIability,confidentiality,andintegrity.身份验证、可用性、机密性和完整性。C、accountability,pression,confidentiality,andintegrity.问责制、压缩、机密性和完整性Dauthentication,pression,confidentiality,andintegrity.身份验证、压缩、机密性和完整性。参考答案：D25. AmobiledeviceapplicationthatrestrictsthestorageofuserinfOrmationtojustthatwhichisneededt

33、oacplishlawfulbusinessgoalsadherestowhatpriVacyprincipIe?一个移动设备应用程序，限制用户信息的存储，只是需要实现合法的业务目标，遵循什么隐私原则？A、Onwardtransfer向前转移CollectionLimitation收集限制C、CollectorAccountabi1ity收集器问责制DIndividualParticipation个人参与参考答案：B26. WhichofthefollowingistheBEsTwaytoprotectagainstStructuredQuerylanguage(SQL)injection?以

34、下哪一种是防止结构化查询语言(SQL)注入的最佳方法？Enforceboundarychecking.强制边界检查RatfriCtumofSELECTmand.选择命令的速率CRestrictHyperTextMarkupLanguage(HTML)sourcecode限制超文本标记语言(HTML)源代码D、Usestoredprocedures.使用存储过程参考答案：D27. WhileclassifyingcreditcarddatarelatedtoPaymentCardIndustryDataSecurityStandards(PCIDSS),Whichofthefollowingis

35、aPRIMARYsecurityrequirement?在对与支付卡行业数据安全标准(PCl-DSS)相关的信用卡数据进行分类时，以下哪一个是主要的安全要求？Processoragreementswithcardholders与持卡人签订的处理器协议Three-yearretentionofdata数据的三年保留C、Encryptionofdata数据加密DSpecificcarddisposalmethodology特定的卡片处理方法参考答案：C28. Whendeterminingdataandinformationassethandling,regardlesSofthespecific

36、toolsetbeingused,Whichofthefollowingisoneofthemonponentsofbigdata?在确定数据和信息资产处理时，无论使用的是特定的工具集，以下哪一个是大数据的共同组成部分之一？A、Consolidateddatacollection合并数据收集Distributedstoragelocations分布式存储位置C、Distributeddatacollection分布式数据收集DCentralizedprocessinglocation集中处理位置参考答案：C29. Whenperforminganinvestigationwiththepote

37、ntialforlegalaction,whatshouldbetheanalyst,SFIRSTconsideration?当进行可能采取法律行动的调查时，分析师首先考虑的是什么？A、Chain-of-custody监管链Authorizationtocollect收集授权C、Courtadmissibility法院可采性DDatadecryption数据解密参考答案：A30. AsasecuritymangerwhichofthefollowingistheMOSTeffectivepracticeforprovidingvalueToanorganization?作为一个安全经理，以下哪

38、一种是为组织提供价值的最有效的做法？A、 Assessbusinessriskandapplysecurityresourcesaccordingly评估业务风险并相应地应用安全资源B、 Coordinatesecurityimplementationswithinternalaudit协调安全实施与内部审计C、 Achieveplianceregardlesofrelatedtechnicalissuses实现相关技术问题的合规性D、 Identifyconfidentialinformationandprotectit识别机密信息并加以保护参考答案：D31.InwhichprocessMu

39、sTsecuritybeconsideredduringtheacquisitionofnewsoftware?在购买新软件时，在哪个过程必须考虑安全性？Contractnegotiation合同谈判B、 Requestforproposal(RFP)申请提案(RFP)C、 Implementation实施D、 Vendorselection供应商选择参考答案：B32. WhatistheFlRsTstepthatshouldbeconsideredinaDataLossPrevention(DLP)program?在数据丢失预防(DLP)计划中，应该考虑的第一步是什么？Configurati

40、Onmanagement(CM)配置管理(CM)B、InformationRightsManagement(IRM)信息权限管理(IRM)C、Policycreation创建策略D、Dataclassification数据分类参考答案：D33. WhichofthefollowingstatementsisTRUEregardingequivalencecIasstesting?关于等价类测试，下面哪些语句是正确的？Testinputsareobtainedfromthederivedboundariesofthegivenfunctionalspecif!cations.测试输入是从给定的功

41、能规范的导出边界中获得的B、Itischaracterizedbythestatelessbehaviorofaprocessimplementedinafunction.它的特征是在一个函数中实现的进程的无状态行为C、AnentirepartitioncanbecoveredbyconsideringonlyonerepresentatiVevaluefromthatpartition.通过只考虑该分区中的一个代表值，就可以覆盖整个分区D、Itisusefulfortestingmunicationsprotocolsandgraphicaluserinterfaces.它对测试通信协议和图

42、形用户界面很有用参考答案：C34. Whiledealingwiththeconsequencesofasecurityincident,whichOfthefollowingsecuritycontrolsareMOSTappropriate?在处理安全事件的后果时，下列哪一种安全控制最合适？Detectiveandrecoverycontrols侦查和恢复控制B、Correctiveandrecoverycontrols纠正和恢复控制CPreventativeandcorrectivecontrols预防性和纠正性控制D、Recoveryandproactivecontrols恢复和主动控

43、制参考答案：C35. AnorganizationisrequiredtoplywiththePaymentCardIndustryDataSecurityStandard(PCI-DSS),WhatistheMosTeffectiveapproachtosafeguarddigitalandpapermediathatcontainscardholderdata?一个组织机构必须遵守支付卡行业数据安全标准(PCI-DSS),保护包含持卡人数据的数字和纸质媒体的最有效的方法是什么？Useandregularityupdateantivirussoftware.使用和定期更新防病毒软件Maint

44、ainstrictcontroloverstorageofmedia.保持对媒体存储的严格控制CMandateencryptionofcardholderdata.对持卡人的数据进行强制加密DConfigurefirewalIrulestoprotectthedata.配置防火墙规则以保护数据参考答案：C36. Avulnerabilityassessmentreporthasbeensubmittedtoaclient.TheclientindicatesthatonethirdofthehoststhatwereinscopearemiSsingfromthereport.Inwhichp

45、haseoftheassessmentwasthiserrorMOSTlikelymade?已向客户端提交了一个漏洞评估报告。客户端指示报告中缺少三分之一的主机。在评估的哪个阶段最可能出错？Enumeration列举B、 Reporting报告C、 Detection侦查D、 Discovery发现参考答案：A37. WhichofthefollowingBEsTdescribesRecoveryTimeObjective(RT0)?以下哪一项最能描述恢复时间目标(RTo)?Timeofdatavalidationafterdisaster.灾难发生后的数据验证时间B、Timeofdatare

46、storationfrombackupafterdisaster.灾难后备份数据恢复时间C、Timeofapplicationresumptionafterdisaster.灾难发生后申请恢复的时间D、Timeofapplicationverificationafterdisaster.灾难发生后的应用程序验证时间参考答案：C38. Apanyisattemptingtoenhancethesecurityofitsuserauthenticationprocesses.Afterevaluatingseveraloptions,thepanyhasdecidCdtoutilizeIdentityasaService(IDaaS).WhichofthefollowingfactorsIeadsthepanytochooseanlDaaSastheirsolution?一家公司正试图增强其用户认证过程的安全性。在评估了几种选项后,该公司决定使用身份即服务(IDaaS)。以下哪些因素导致公司选择IDaaS作为其解决方案？In-housedevelopmentprovidesmorecontrol.内部开发提供了更多的控制能力B、 In-housete