信息系统安全工程师认证考试题（中英对照版）.docx

信息系统安全工程师认证考试题（中英对照版）单选题1. Whentestingpasswordstrength,WhichofthefolIowingiStheBESTmethodforbruteforcIngpasswords?在测试密码强度时，以下哪一种是暴力强制使用密码的最佳方法？A、Conductanofflineattackonthehashedpasswordinformation.对散列的密码信息进行离线攻击。B、Conductanonlinepasswordattackuntiltheaccountbeingusedislocked.执行在线密码攻击，直到正在使用的帐户被锁定为止。C、Useaprehensivelistofwordstoattempttoguessthepassword.使用一个全面的单词列表来尝试猜测密码D、Usesocialengineeringmethodstoattempttoobtainthepassword.使用社会工程学的方法来尝试获取密码参考答案：C2. WhichofthefollowingisMosTcriticalinacontractinacontractfordatadiSposalonaharddrivewithathirdparty?在与第三方的硬盘数据处理合同中，以下哪项最关键？A、 Authorizeddestructiontimes授权销毁时间B、 lIowedunallocateddiskspace允许未分配的磁盘空间C、 Amountofoverwritesrequired所需的覆盖量D、 Frequencyofrecoveredmedia恢复介质频率参考答案：C3. WhichofthefollowingvulnerabilitiescanbeBESTdetectedusingaUtomatedanalysis?使用自动分析可以最好地检测到以下哪些漏洞？Validcross-Siterequestforgery(CSRF)vulnerabiIities有效的跨站请求伪造(CSRF)漏洞B、 Multi-Stepprocessattackvulnerabilities多步骤进程攻击漏洞C、 Businesslogicflawvulnerabilities业务逻辑缺陷漏洞D、TypicalSourcecodevulnerabilities典型的源代码漏洞参考答案：D4. TheinitialsecuritycategorizationshouldbedoneearlyinthesystemlifecycIeandshouldbereviewedperiodically.WhyisitimportantforthiStobedonecorrectly?初始的安全分类应该在系统生命周期的早期阶段完成，并应定期进行审查。为什么要正确地做到这一点才很重要呢？Itdeterminesthesecurityrequirements.它确定了安全要求B、Itaffectsotherstepsinthecertificationandaccreditationproces5.它会影响认证和认证过程中的其他步骤C、Itdeterminesthefunctionalandoperationalrequirements.它决定了功能和操作方面的需求D、Thesystemengineeringprocessworkswithselectedsecuritycontrols.系统工程过程与选定的安全控制装置一起工作参考答案：B5.WhattypeoftestassessesaDisasterRecovery(DR)planusingrealiSticdisasterscenarioswhilemaintainingminimalimpacttobusinesSoperations?什么类型的测试使用真实的灾难场景来评估灾难恢复(DR)计戈U,同时保持对业务运营的影响最小？Parallel并行的B、 Walkthrough演练CSimulation模拟D、Tabletop桌面参考答案：C6. WhichofthefollowingprovidestheminimumsetofprivilegesrequiredtoperformajobfUnctionandrestrictStheusertoadomainwiththerequiredprivileges?以下哪一项提供了执行作业函数所需的最低权限集，并将用户限制在具有所需权限的域中？Accessbasedonrules基于规则的访问B、ccessbasedonuser,srole基于用户角色的访问C、 Accessdeterminedbythesystem由系统确定的访问权限D、 Accessbasedondatasensitivity基于数据敏感性的访问参考答案：B7. AsoftwaredevelopmentpanyhasashorttimelIneinwhichtodeliverasoftwareproduct.ThesoftwaredevelopmentteamdecidestouseopenSourcesoftwarelibrariestoreducethedevelopmenttime.WhatconcePtshouldsoftwaredevelopersconsiderwhenusingopen-Sourcesoftwarelibraries?软件开发公司交付软件产品的时间很短。软件开发团队决定使用开源软件库来减少开发时间。软件开发人员在使用开源软件库时应该考虑什么概念？、Opensourcelibrariescontainknownvulnerabilities,andadversariesregularIyexploitthosevulnerabiIitiesinthewild.开源库包含已知的漏洞，对手经常在野外利用这些漏洞。B、Opensourcelibrariescanbeusedbyeveryone,andthereiSamonunderstandingthatthevulnerabiIitiesintheselIbrarieswiIlNOTbeexploited.每个人都可以使用开源库，人们共同的理解是，这些库中的漏洞不会被利用。C、Opensourcelibrariesareconstantlyupdated,makingitunlikeIythatavulnerabilityexiStsforanadversarytoexploit.开源库不断更新，这使得对手不太可能存在可利用的漏洞。OpensourcelibrariescontainunKnownvulnerabilities,sotheyshouIdNOTbeused.开源库包含未知的漏洞，因此不应该使用它们参考答案：A8. AfterfolIowingtheprocessesdefinedwithinthechangemanagementplan,asuperuserhasupgradedadevicewithinanlnfOrmationsystem.WhatstepwouldbetakentoensurethattheupgradedidNOTaffectthenetworksecurityposture?在遵循变更管理计划中定义的流程后，超级用户已经升级了信息系统中的设备。将采取什么步骤来确保升级不会影响网络安全态势？ConductanAssessmentandAuthorization(A&A)进行评估和授权(A&A)Conductasecurityimpactanalysis进行安全影响分析C、ReviewtheresultsofthemostrecentvulnerabiIityscan查看最近的漏洞扫描的结果DConductagapanalysiswiththebase1ineconfiguration使用基线配置进行间隙分析参考答案：B9. WhenintheSoftwareDeve1OpmentLifeCyc1e(SDLC)MUSTsoftwareseCurityfunctionalrequirementsbedefined?在软件开发生命周期(SDLC)中必须定义软件安全功能要求？、AfterthesystempreliminarydesIgnhasbeendevelopedandthedataseCuritycategorizationhasbeenperformed系统初步设计，并进行了数据安全分类B、AfterthevulnerabilityanalysiShasbeenperformedandbeforethesyStemdetaileddesignbegins在执行漏洞分析之后和系统详细设计开始之前C、AfterthesystempreliminarydesIgnhasbeendevelopedandbeforethedatasecuritycategorizatIonbegins在系统初步设计开发之后和数据安全分类开始之前D、AfterthebusinessfunctionalanalysisandthedatasecuritycategoriZationhavebeenperformed在进行了业务功能分析和数据安全分类之后参考答案：D10. WhyisauthentiCationbyownershiPstrongerthanauthenticationbyKnowledge?为什么所有权认证比知识认证更强？A、Itiseasiertochange更容易改变1tcanbekeptontheuser,sperson它可以保存在用户的个人身上C、 Itismoredifficulttoduplicate它更难复制D、 Itissimplertocontrol更容易控制参考答案：B11. ApanyhiredanexternalvendortoperformapenetrationtestofaneWpayrollsystem.Thepany,Sinternaltestteamhadalreadyperformedanin-depthappliCationandsecuritytestofthesyStemanddeterminedthatitmetsecurityrequirements.However,theexternalVendoruncoveredSignificantsecurityweaknesseswheresensitivepersonaldatawasbeIngsentunencryptedtothetaxprocessingsystems.WhatistheMOSTliRelycauseofthesecurityissues?一家公司雇佣了外部供应商对新的工资系统进行渗透测试。该公司的内部测试团队已经对该系统进行了深入的应用和安全测试，并确定其满足安全要求。然而，外部供应商发现了一些重大的安全弱点，即敏感的个人数据被未加密地发送到税务处理系统。造成安全问题的最可能的原因是什么？Failuretoperformin