1 取款机首要的安全考虑是 :
电子设备的物理安全  网络可用性 网络延迟
2 问企业要通过其网络边界保护IM通讯,问对于企业来说最大的顾虑/问题是什么:A IM客户端使用随机端口 B 运行某些IM客户端无需管理员权限 C选项是允许im在不同的供应商之间通讯 D某些IM不需要安装即可运行
3连续安全监控计划如何降低风险Information Security Continuous Monitoring(ISCM/SCM)选项基本都不记得了,你们网上一下,好像是美国政府的某个东西
4 使用正式安全测试报告的结构和格式的主要好处是什么
a 对高层如何如何 b对高管如何如何  c 对技术团队如何如何 d 对技术团队如何如何 抱歉实在不记得了,完全懵逼
5 建立医疗保健设施主要的安全考虑是什么
a 安全,容量, 合规
b 通风好,能源足够
c 大平层,便于移动办公
d 加固存储区域,适当通风,安全的收货区域
6 序列号预测可能是哪种攻击
a 拒绝服务
b 中间人
c 忘了
d 身份盗用
7 CTPED的前提是什么
a 良好环境可以改善建筑周边犯罪率
b 改进的物理安全可以改变访问此设施人员的行为,从而降低犯罪率
8 -1某组织指派安全专家应对淹没攻击:
1 以下哪种伙伴关系有助于快速缓解淹没攻击:
a 和线路提供商
b 和银行
3 和供应商
4 和用户
8-2 关于淹没攻击,潜在的威胁是什么?
就记得一个,我选的,攻击的组织者可能钱财
8-3 安全专家需要关注的重点是什么?
就记得一个,我选的,防止僵尸网络的持续破坏
这个就是考APT了吧!
9还有关于USB传输的问题,习题上那个翻译非常有问题
原题是:
某企业管理层关注数据安全的问题,并有4个需求:
9-1 要求传输到USB设备上的数据的安全
英语的关键字是 transported data secure
所以我选了 使用加密的虚拟磁盘
那是有保密性要求
9-2 还有个需求是如何保护数据完整性
我选了定期进行VALIDATION
其他选项大概是 定期把磁带送到供应商处 , 设定备份周期
10还有问 安全工程中 哪个是对于系统安全要求的反馈源
我选了系统架构, 还有的选项是CONOPS(好像是 运维概念)
11软件工程中, Software Assurance主要致力于干啥
选项是 提供一致的安全需求列表
指派安全人员进行安全需求评估
亲自评估什么需要保护,什么人需要保护,需要保护多久
还有两个选项不记得了
             
12 安全模型和网络,云考了很多
比如某个模式下数据丢失是谁的责任,数据泄漏引起的财务损失是谁的责任
法律基本没考
13 Ipsec考了大概10题,各种问法 AH ESP 隧道模式 传输模式
14链路加密和端到端加密考了,原题
15问一个有多个角的联网信息系统,要实现可靠的访问控制,第一步要做什么 A 用户配置文件 B ACL C 用于访问矩阵 D 基于角的访问控制矩阵
16一直纠结的那个陷门,不是要搞什么合成交易,
而是要在生产系统里插入虚构但是可以识别的交易
所以我选了 只能在开发环境使用
因为在生产环境使用陷门和插入虚假交易都是不允许的,尤其是后者
17对硬件加密模块最有效的攻击是:
功耗 中间人 还有两个忘了
18取款机首要的安全考虑是
电子设备的物理安全  网络可用性 网络延迟
做题方法:
一,可能正确的答案:
选择适当的控制措施
根据实际情况选择措施
基线
门槛
工作方法
二,可能不正确的答案:
所有
没有
必须
Only 只有
三,答案的三种类别:
1、预防性的
2、探测性的
3、事后的
尽量选预防的,尽量不要选事后性的
SDLC在什么阶段,最可能发生审计行动?
A 初始  B 开发  C 运行维护   D实施
SDLC在什么阶段,可以更改安全保证内容以保证开发过程中减少变更
A 合同订立  B 开发  C 运行维护
SDLC 在什么环境就应该开始考虑安全需求
需求分析确认  实现    运行维护  处理
真实性包括
1完整性验证(优先)    2完整性和不可否认
防止内部威胁最好的方法
A 双因素      B 按业务部门分割数据库
测试BCP应急响应计划的对象
A 应急疏散  B 系统备份  C 渗透测试  D 设置故障热线
DR 进行功能响应的测试:
A应急疏散  B渗透测试  C.数据备份
DR 培训的目的:
a 正确应对安全事件    b 针对具体事件做出正确的反应
应急计划最重要的资产是?
A 全员员工  B 防火设施 C 酱油 D 酱油
开始审计之前,审计团队头必须干什么?
A 正式书面授权    B 跟高层管理者碰头,商量预期结果
一个多用户访问的应用,一下哪类是访问控制的第一步?
A 创建访问控制矩阵ACM    B ACL
安全评估和授权过程中,硬件清单和软件清单主要的目的是?
用于安全鉴证      检查系统边界      创建授权列表
Web应用在使用什么协议对数据防泄漏是最大的挑战
HTTP      XML      WEBSOCKET
移动代码开发过程中,什么阶段决定了在哪类设备上开发?
A 初始      B 开发      C 规划      D 酱油
渗透测试发现漏洞,问最快速的解决方法?
A 代码修复    B 应用防火墙加规则
已知某程序有输入验证漏洞,以下最快速的做法
A    停止服务  B 代码修复  C    实施 IDS    D 应用防火墙添加规则
安全评估过程中,组织本身在评估过程中的作用?
A 如果抛弃组织结构,安全策略将不适用    B 衡量与标准的差距
对于备份介质下列对称加密方法最合适的是
A DES    B AES
独立测试的优势?
A 增加隐藏功能发现的概率/提⾼发现隐藏⻛险点的可能性
B 减少隐藏功能被发现的概率
以下哪项是预防性访问控制?
A 酱油
B 在入口处设置陷阱(如果是陷门,双门防护就是这个)
C 访问控制软件
D ⼊侵检测系统
一个攻击者通过企业VPN开始攻击网络服务器,以下哪种访问控制措施可以防护浏览web是什么意思这类攻击?

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。