考试A Flashcards
(42 cards)
QUESTION NO: 1449 以下哪一项不用于确定要在组织中应用的访问控制类型?A. 职责分离 B. 组织政策 C. 最小特权 D. 关系类别
D 解释:项目,关系类别,是一个干扰项。其他选项是组织中访问控制实施的重要决定因素。
问题编号:1450 以下哪个选项不是普遍接受的安全意识、培训和教育的好处?A. 安全意识和培训计划可以帮助组织减少错误和遗漏的数量和严重性。B. 安全意识和培训计划将有助于防止自然灾害的发生。C. 安全意识计划可以帮助操作员了解信息的价值。D. 安全教育计划可以帮助系统管理员识别未经授权的入侵企图。
B 解释:有效的计算机安全意识和培训计划需要适当的规划、实施、维护和定期评估。一般而言,计算机安全意识和培训计划应包括以下七个步骤: 1. 确定计划范围、目标和目的。2 确定培训人员。3. 确定目标受众。4. 激励管理层和员工。5. 管理程序。6. 维护程序。7. 评估程序。来源:NIST 特别出版物 800-14,保护信息技术系统的公认原则和实践。
问题编号:1451 在生物识别技术中,用于验证个人身份声明的一对一搜索称为: A. 审计跟踪审查。B. 问责制。C. 认证。D. 聚合。
C 解释:正确答案是认证。回答“审计跟踪审查”。是对审计系统数据的审查,通常在事后进行。答案“问责制”是让个人对自己的行为负责,答案d是从一些敏感度较低的信息中获取敏感度较高的信息。
问题编号:1452 关于终端访问控制器访问控制系统 (TACACS) 和 TACACS+,下列哪一项陈述是正确的?A. TACACS 支持提示更改密码。B. TACACS+ 使用用户 ID 和静态密码。C. TACACS+ 使用令牌进行两因素动态密码验证。D. TACACS 使用令牌进行两因素动态密码验证。
C 解释:正确答案是“TACACS+ 使用令牌进行两因素动态密码认证”。TACACS 使用用户 ID 和静态密码,不支持提示更改密码或使用动态密码令牌。
问题编号:1453 关于风险分析过程中的保障选择,以下哪项陈述不正确?A. 最普遍考虑的标准是保障措施的成本效益。B. 无论成本如何,都应始终实施最好的保障措施。C. 在确定保障的总成本时需要包括维护成本。D. 在确定保障的总成本时需要考虑许多因素。
B 解释:正确答案是“无论成本如何,都应始终实施尽可能好的保护措施。”。在实施之前对提议的保障措施进行成本效益分析至关重要。所提供的安全级别很容易超过提议的保障措施的价值。在保障选择过程中需要考虑其他因素,例如问责制、可审计性以及维护或操作保障所需的手动操作水平。
以下哪个答案是对单一预期损失 (SLE) 的最佳描述?A. 确定组织因威胁而遭受的预期年度损失的算法 B. 表示威胁对资产造成损失程度的算法 C. 用于确定每次威胁发生的货币影响的算法 D . 一种算法,表示预计威胁发生的年度频率
C 解释:正确答案是“用于确定每次发生威胁的货币影响的算法”。作为业务影响评估 (BIA) 的结果,可以创建单一损失预期(或风险)数据。SLE 仅代表特定威胁事件的单次发生的估计金钱损失。SLE 是通过将资产的价值乘以其暴露因子来确定的。这给出了威胁将导致一次事件的预期损失。答案 a 描述了曝光因子 (EF)。EF 表示为由于已实现的威胁事件而损失的资产的预期价值或功能的百分位数。这个数字用于计算上面的 SLE。回答“一种算法,表示预计威胁发生的年度频率” 描述了年化发生率 (ARO)。这是对特定威胁事件每年发生频率的估计。例如,预计每周发生一次的威胁的 ARO 为 52。预计每五年发生一次的威胁的 ARO 为 1/5 或 0.2。该数字用于确定 ALE。答案 d 描述了年化损失预期 (ALE)。ALE 是通过将 SLE 乘以其 ARO 得出的。该值代表年度威胁事件的预期风险因素。然后将该数字整合到风险管理过程中。该数字用于确定 ALE。答案 d 描述了年化损失预期 (ALE)。ALE 是通过将 SLE 乘以其 ARO 得出的。该值代表年度威胁事件的预期风险因素。然后将该数字整合到风险管理过程中。该数字用于确定 ALE。答案 d 描述了年化损失预期 (ALE)。ALE 是通过将 SLE 乘以其 ARO 得出的。该值代表年度威胁事件的预期风险因素。然后将该数字整合到风险管理过程中。
以下哪一项不是数据网络的类型? A. WAN B. MAN C. LAN D. GAN
D 解释:正确答案是 d。GAN 不存在。LAN 代表局域网,WAN 代表广域网,MAN 代表城域网。
以下哪个选项不是高层政策制定的关注点?A. 识别关键业务资源 B. 定义组织中的角色 C. 确定每个角色的能力和功能 D. 识别用于外围安全的防火墙类型
D 解释:其他选项是最高级别政策制定的要素。关键业务资源将在风险评估过程中确定。然后定义各种角色以确定对这些资源的各种访问级别。回答“确定每个角色的能力和功能”是策略创建过程的最后一步,它结合了步骤 a 和“定义组织中的角色”。它确定哪个组可以访问每个资源以及为其成员分配的访问权限。对资源的访问应该基于角色,而不是个人身份。资料来源:生存安全:如何整合人员、流程和技术,作者:Mandy Andress(Sams Publishing,2001 年)。
进入网络的后门指的是什么?A. 黑客创建的用于稍后获得网络访问权的机制 B. 监控在虚拟应用程序上实施以引诱入侵者的程序 C. 程序员用于调试应用程序的未记录指令 D. 来自对象的社会工程密码
A 解释:后门很难追踪,因为入侵者通常会在网络中创建多个途径以供以后利用。确保在攻击后关闭这些途径的唯一真正方法是从原始媒体恢复操作系统、应用补丁并恢复所有数据和应用程序。* 社会工程是一种用于操纵用户泄露密码等信息的技术。* 回答“程序员用于调试应用程序的未记录指令”是指陷阱门,它是应用程序中未记录的挂钩,用于帮助程序员进行调试。尽管是无意的,但这些都可以被入侵者利用。*“在虚拟应用程序上实施以引诱入侵者的监控程序”是一个蜜罐或填充单元。蜜罐使用带有虚假应用程序的虚拟服务器作为入侵者的诱饵。资料来源:Donn B. Parker 的《打击计算机犯罪》(Wiley,1998 年)。
一种支持对主题组访问权限进行管理的访问控制类型是:A. 自主 B. 基于规则 C. 基于角色 D. 强制
C 解释:基于角色的访问控制将相同的权限分配给用户组。这种方法简化了访问权限的管理,尤其是在组成员发生变化时。因此,访问权限分配给角色,而不是个人。个人作为特定组的成员进入并被分配该组的访问权限。在 answer Discretionary 中,对对象的访问权限由所有者根据所有者的判断分配。对于职责和参与可能频繁变化的大量人员,这种访问控制可能会变得笨拙。强制性访问控制,答案 c,使用分配给数据项的安全标签或分类以及分配给用户的许可。用户对分类等于或小于用户的数据项具有访问权限 s 清关。另一个限制是用户必须有需要知道的信息;这一要求与最小特权原则相同。答案“基于规则的访问控制”根据规定的规则分配访问权限。规则的一个示例是对商业机密数据的访问仅限于公司官员、数据所有者和法律部门。
以下哪一项不是 CSMA 的财产?A. 工作站持续监控线路。B. 工作站在获得主要主机许可之前不得进行传输。C. 它没有避免一个工作站主导对话的问题。D. 工作站认为线路空闲时发送数据包。
B 解释:正确答案是“工作站在获得主主机许可之前不得进行传输”。轮询传输类型使用primary和secondary主机,secondary必须等待primary的许可才能传输。
以下哪个选项不是 NIST 的 33 条 IT 安全原则之一?A. 假设外部系统不安全。B. 最小化要信任的系统元素。C. 实施最小特权。D. 完全消除任何级别的风险。
D 解释:风险永远无法完全消除。NIST IT 安全原则 #4 指出:将风险降低到可接受的水平。美国国家标准与技术研究院 (NIST) 信息技术实验室 (ITL) 于 2001 年 6 月发布了 NIST 特别出版物 (SP) 800-27,信息技术安全工程原理 (EP-ITS),以协助安全设计、开发、信息系统的部署和生命周期。它提出了 33 条安全原则,这些原则从信息系统或应用程序的设计阶段开始,一直持续到系统退役和安全处置。其他 33 条原则包括: 原则 1. 建立健全的安全策略作为设计的基础。原则 2. 将安全视为整个系统设计的一个组成部分。原则 5。假设外部系统不安全。原则 6:确定降低风险和增加成本与降低运营效率的其他方面之间的潜在权衡。原则 7. 实施分层安全(确保没有单点漏洞)。原则 11. 最小化要信任的系统元素。原则 16. 将公共访问系统与关键任务资源(例如,数据、流程等)隔离开来。原则 17. 使用边界机制来分离计算系统和网络基础设施。原则 22. 对用户和流程进行身份验证,以确保在域内和跨域做出适当的访问控制决策。原则 23. 使用独特的身份来确保问责制。原则 24. 实施最小特权。资料来源:NIST 特别出版物 800-27,
探测的用途是什么?A. 诱使用户采取不正确的操作 B. 用尽目标的所有资源 C. 秘密监听传输 D. 为攻击者提供网络路线图
D 解释:正确答案是“给攻击者一张网络的路线图”。探测是入侵者运行程序扫描网络以创建网络映射以供以后入侵的过程。回答“诱使用户采取不正确的行为”是欺骗,c 是 DoS 攻击的目标,d 是被动窃听。
裁剪级别用于: A. 减少审核日志中要评估的数据量。B. 限制回调系统中的错误。C. 限制密码中的字母数量。D. 设置电压变化的阈值。
A 解释:正确的答案是根据定义减少要评估的数据量。回答“限制密码中的字母数量”是不正确的,因为剪辑级别与密码中的字母无关。回答“为电压变化设置阈值”是不正确的,因为在这种情况下削波电平与控制电压电平无关。回答“限制回调系统中的错误”是不正确的,因为它们不用于限制回调错误。
可以针对远程用户的回调访问控制进行的攻击是: A. 重拨。B. 呼叫转移。C. 维护挂钩。D. 特洛伊木马。
B 解释:正确答案是呼叫转移。破解者可以将某人的呼叫转移到另一个号码以阻止回拨系统。回答“特洛伊木马”是不正确的,因为它是嵌入有用代码的恶意代码示例。回答“维护挂钩”是不正确的,因为它可能会通过用于调试或维护的方式绕过系统控制。答案 重拨是不正确的,因为它会分散注意力。
CHAP 的定义是: A. 机密散列验证协议。B. 挑战握手批准协议。C. 机密握手批准协议。D. 质询握手认证协议。
D
以下哪一项不是远程计算技术?A. xDSL B. ISDN C. 无线 D. PGP
D 解释:正确答案是 PGP。PGP 代表 Pretty Good Privacy,一种电子邮件加密技术。
关系数据库可以通过视图关系提供安全性。意见执行什么信息安全原则?A. 最小特权 B. 推理 C. 聚合 D. 职责分离
A 解释:最小特权原则指出,主体被允许访问执行授权任务所需的最少信息量。当涉及政府安全许可时,它被称为需要知道。* 聚合,被定义为在一个敏感度级别上组装或编译信息单元,并具有比单个组件更高的敏感度级别的数据整体。职责分离要求两个或更多主题是授权活动或任务所必需的。推断,是指主体从授权给该主体的信息中推断出该主体未授权访问的信息的能力。
关于实施分层安全架构的原因,以下哪项陈述是准确的?答:分层方法并不能真正改善组织的安全状况。B. 分层安全方法旨在增加攻击者的工作因素。C. 一个好的包过滤路由器将消除实施分层安全架构的需要。D. 使用 COTS 产品时不需要分层安全方法。
B 解释:安全设计应考虑采用分层方法来解决或防范特定威胁或减少漏洞。例如,将包过滤路由器与应用程序网关和入侵检测系统结合使用,可以增加攻击者成功攻击系统所必须花费的工作因子。当使用商业现货 (COTS) 产品时,分层保护的需求很重要。COTS 产品中当前最先进的安全质量不能提供针对复杂攻击的高度保护。可以通过在级别中放置多个控件来帮助缓解这种情况,这需要攻击者进行额外的工作来实现他们的目标。资料来源:NIST 特别出版物 800-27,
以下哪个选项不是 OSI 参考模型会话层协议、标准或接口?A. SQL B. DNA SCP C. RPC D. MIDI E. ASP
D 解释:乐器数字接口 (MIDI) 标准是数字化音乐的表示层标准。其他答案都是会话层协议或标准。SQL 是指最初由 IBM 开发的结构化查询语言数据库标准。Answer RPC 是指远程客户端的远程过程调用重定向机制。ASP 是 AppleTalk 会话协议。DNA SCP 是指 DECnet 的数字网络架构会话控制协议。资料来源:Laura Chappell 编辑的 Cisco 路由器配置简介(Cisco Press,1999 年)。
可接受的生物识别吞吐率是: A. 每两分钟一个对象。B. 每分钟五个科目。C. 每分钟十个科目。D. 每分钟两个科目。
c
验证是: A. 不是通过使用密码来完成的。B. 将用户 ID 呈现给系统。C. 验证声称的身份是有效的。D. 仅适用于远程用户。
C 解释:正确答案是“所声称的身份有效的验证。”。回答“向系统显示用户 ID”是不正确的,因为它是一种识别行为。答案 c 不正确,因为可以通过使用密码来完成身份验证。回答“仅适用于远程用户”不正确,因为身份验证适用于本地和远程用户。
以下关于 VPN 隧道的哪项陈述不正确?A. 可以通过实施节点认证系统来创建。B. 只能通过实现 IPSec 设备来创建。C. 它可以通过实施密钥和证书交换系统来创建。D. 可以通过在客户端或网络上安装软件或硬件代理来创建。
B 解释:正确答案是“只能通过实现 IPSec 设备来创建”。IPSec 兼容和非 IPSec 兼容设备用于创建 VPN。其他三个答案都是可以创建 VPN 的方式
星形接线拓扑不正确的是什么?A. 它比 BUS 拓扑具有更大的弹性。B. 10BaseT 以太网是星形连接的。C. 布线终端错误会导致整个网络崩溃。D. 网络节点连接到中央 LAN 设备。
C 解释:正确答案是“布线终端错误会导致整个网络崩溃”。布线终端错误是总线拓扑网络的固有问题。
