《信息系统安全工程师认证考试题(中英对照版).docx》由会员分享,可在线阅读,更多相关《信息系统安全工程师认证考试题(中英对照版).docx(46页珍藏版)》请在优知文库上搜索。
1、信息系统安全工程师认证考试题(中英对照版)单选题1. Whentestingpasswordstrength,WhichofthefolIowingiStheBESTmethodforbruteforcIngpasswords?在测试密码强度时,以下哪一种是暴力强制使用密码的最佳方法?A、Conductanofflineattackonthehashedpasswordinformation.对散列的密码信息进行离线攻击。B、Conductanonlinepasswordattackuntiltheaccountbeingusedislocked.执行在线密码攻击,直到正在使用的帐户被锁定为止
2、。C、Useaprehensivelistofwordstoattempttoguessthepassword.使用一个全面的单词列表来尝试猜测密码D、Usesocialengineeringmethodstoattempttoobtainthepassword.使用社会工程学的方法来尝试获取密码参考答案:C2. WhichofthefollowingisMosTcriticalinacontractinacontractfordatadiSposalonaharddrivewithathirdparty?在与第三方的硬盘数据处理合同中,以下哪项最关键?A、 Authorizeddestruc
3、tiontimes授权销毁时间B、 lIowedunallocateddiskspace允许未分配的磁盘空间C、 Amountofoverwritesrequired所需的覆盖量D、 Frequencyofrecoveredmedia恢复介质频率参考答案:C3. WhichofthefollowingvulnerabilitiescanbeBESTdetectedusingaUtomatedanalysis?使用自动分析可以最好地检测到以下哪些漏洞?Validcross-Siterequestforgery(CSRF)vulnerabiIities有效的跨站请求伪造(CSRF)漏洞B、 Mul
4、ti-Stepprocessattackvulnerabilities多步骤进程攻击漏洞C、 Businesslogicflawvulnerabilities业务逻辑缺陷漏洞D、TypicalSourcecodevulnerabilities典型的源代码漏洞参考答案:D4. TheinitialsecuritycategorizationshouldbedoneearlyinthesystemlifecycIeandshouldbereviewedperiodically.WhyisitimportantforthiStobedonecorrectly?初始的安全分类应该在系统生命周期的早期阶
5、段完成,并应定期进行审查。为什么要正确地做到这一点才很重要呢?Itdeterminesthesecurityrequirements.它确定了安全要求B、Itaffectsotherstepsinthecertificationandaccreditationproces5.它会影响认证和认证过程中的其他步骤C、Itdeterminesthefunctionalandoperationalrequirements.它决定了功能和操作方面的需求D、Thesystemengineeringprocessworkswithselectedsecuritycontrols.系统工程过程与选定的安全控制
6、装置一起工作参考答案:B5.WhattypeoftestassessesaDisasterRecovery(DR)planusingrealiSticdisasterscenarioswhilemaintainingminimalimpacttobusinesSoperations?什么类型的测试使用真实的灾难场景来评估灾难恢复(DR)计戈U,同时保持对业务运营的影响最小?Parallel并行的B、 Walkthrough演练CSimulation模拟D、Tabletop桌面参考答案:C6. Whichofthefollowingprovidestheminimumsetofprivilege
7、srequiredtoperformajobfUnctionandrestrictStheusertoadomainwiththerequiredprivileges?以下哪一项提供了执行作业函数所需的最低权限集,并将用户限制在具有所需权限的域中?Accessbasedonrules基于规则的访问B、ccessbasedonuser,srole基于用户角色的访问C、 Accessdeterminedbythesystem由系统确定的访问权限D、 Accessbasedondatasensitivity基于数据敏感性的访问参考答案:B7. Asoftwaredevelopmentpanyhasa
8、shorttimelIneinwhichtodeliverasoftwareproduct.ThesoftwaredevelopmentteamdecidestouseopenSourcesoftwarelibrariestoreducethedevelopmenttime.WhatconcePtshouldsoftwaredevelopersconsiderwhenusingopen-Sourcesoftwarelibraries?软件开发公司交付软件产品的时间很短。软件开发团队决定使用开源软件库来减少开发时间。软件开发人员在使用开源软件库时应该考虑什么概念?、Opensourcelibra
9、riescontainknownvulnerabilities,andadversariesregularIyexploitthosevulnerabiIitiesinthewild.开源库包含已知的漏洞,对手经常在野外利用这些漏洞。B、Opensourcelibrariescanbeusedbyeveryone,andthereiSamonunderstandingthatthevulnerabiIitiesintheselIbrarieswiIlNOTbeexploited.每个人都可以使用开源库,人们共同的理解是,这些库中的漏洞不会被利用。C、Opensourcelibrariesare
10、constantlyupdated,makingitunlikeIythatavulnerabilityexiStsforanadversarytoexploit.开源库不断更新,这使得对手不太可能存在可利用的漏洞。OpensourcelibrariescontainunKnownvulnerabilities,sotheyshouIdNOTbeused.开源库包含未知的漏洞,因此不应该使用它们参考答案:A8. AfterfolIowingtheprocessesdefinedwithinthechangemanagementplan,asuperuserhasupgradedadevicew
11、ithinanlnfOrmationsystem.WhatstepwouldbetakentoensurethattheupgradedidNOTaffectthenetworksecurityposture?在遵循变更管理计划中定义的流程后,超级用户已经升级了信息系统中的设备。将采取什么步骤来确保升级不会影响网络安全态势?ConductanAssessmentandAuthorization(A&A)进行评估和授权(A&A)Conductasecurityimpactanalysis进行安全影响分析C、ReviewtheresultsofthemostrecentvulnerabiIitys
12、can查看最近的漏洞扫描的结果DConductagapanalysiswiththebase1ineconfiguration使用基线配置进行间隙分析参考答案:B9. WhenintheSoftwareDeve1OpmentLifeCyc1e(SDLC)MUSTsoftwareseCurityfunctionalrequirementsbedefined?在软件开发生命周期(SDLC)中必须定义软件安全功能要求?、AfterthesystempreliminarydesIgnhasbeendevelopedandthedataseCuritycategorizationhasbeenperfo
13、rmed系统初步设计,并进行了数据安全分类B、AfterthevulnerabilityanalysiShasbeenperformedandbeforethesyStemdetaileddesignbegins在执行漏洞分析之后和系统详细设计开始之前C、AfterthesystempreliminarydesIgnhasbeendevelopedandbeforethedatasecuritycategorizatIonbegins在系统初步设计开发之后和数据安全分类开始之前D、Afterthebusinessfunctionalanalysisandthedatasecuritycateg
14、oriZationhavebeenperformed在进行了业务功能分析和数据安全分类之后参考答案:D10. WhyisauthentiCationbyownershiPstrongerthanauthenticationbyKnowledge?为什么所有权认证比知识认证更强?A、Itiseasiertochange更容易改变1tcanbekeptontheuser,sperson它可以保存在用户的个人身上C、 Itismoredifficulttoduplicate它更难复制D、 Itissimplertocontrol更容易控制参考答案:B11. Apanyhiredanexternalv
15、endortoperformapenetrationtestofaneWpayrollsystem.Thepany,Sinternaltestteamhadalreadyperformedanin-depthappliCationandsecuritytestofthesyStemanddeterminedthatitmetsecurityrequirements.However,theexternalVendoruncoveredSignificantsecurityweaknesseswheresensitivepersonaldatawasbeIngsentunencryptedtothetaxprocessingsystems.WhatistheMOSTliRelycauseofthesecurityissues?一家公司雇佣了外部供应商对新的工资系统进行渗透测试。该公司的内部测试团队已经对该系统进行了深入的应用和安全测试,并确定其满足安全要求。然而,外部供应商发现了一些重大的安全弱点,即敏感的个人数据被未加密地发送到税务处理系统。造成安全问题的最可能的原因是什么?Failuretoperformin
免费区 