202601模拟题１（1-150)

1、一家总部在美国的医疗机构，在法国设有分支机构，组织需要在两个地方验证新药物的数据，哪种是最有效的处理数据方式?

数据共享数据脱敏后在美国测试数据存储在法国无法有效的实现

2、GDPR 规定，响应数据请求的时间？

14 天30 天90 天120 天

3、敏感开发项目经理的角色：

选择好的开发语言尽可能多的交付软件保障项目管理遵循项目开发计划

4、测试一个 web 程序，在输入窗口应该只能输入数字，但是在测试时候往里面输入字母，问是什么测试？

正面测试负面测试随机测试回归测试

5、公司经常重组，涉及职位和职责的变化，用了 RBAC，但仍有人具有不应该有的访问权限，问没考虑到什么？

职责分离特权账户审计部署防火墙账号合理授权

6、Which of the following is the BEST perimeter solution to protect against an external Denial of Service (DoS) attack?

下面哪项是最好的边界解决方案用以防止外部的拒绝服务攻击？Packet filter firewal 包过滤防火墙Stateful inspection firewall 状态检测防火墙Proxy firewall 应用代理防火墙Personal firewall 个人防火墙

7、以下哪一项最有效地防止电子邮件欺骗？

加密签名垃圾邮件过滤统一资源定位符 URL 过滤反向 DNS 查询

8、以下那个是敏捷宣言的内容

流程和工具高于个体和互动详尽的文档高于工作的软件合同谈判高于客户合作响应变化高于遵循计划

9、以下哪种方式处理残留数据的安全性最高

擦除、清除清除、销毁根除、销毁删除、销毁

10、企业采用了新的防火墙标准，安全人员如何验证技术人员正确实施了新标准？

合规性检查渗透测试向技术人员发放调查问卷质量分析

11、组织和一个 CSP (云服务提供商) 有一个短暂的服务协议，服务到期后数据的所有者可能会发生变化，组织应该如何做？

根据合同协议要求 CSP 保障数据擦除根据行业标准就该擦除的数据擦除对已经存在和正在进入的数据采用内部秘钥加密无需处理

12、你在国外不了解所在国法律，接到一个可疑的任务，应该怎么做？

尽职谨慎 (Due Diligence)了解东道国法律和道德按计算机道德理解的舒适程度拒绝执行

13、如何限制内网对外网的访问控制？

包过滤路由器代理防火墙使用 NATWAF

14、以下哪个协议为 EAP 提供了更好的安全性

TLSPEAPSSLPAP

15、封装安全载荷 ESP 能提供？

可用性与完整性完整性与机密性授权利完整性授权和机密性

16、传输模式下的封装安全载荷 (ESP) 的作用是？

加密和可选择验证整个 IP 包加密和可选择验证 IP 头部，而不是 IP 载荷加密和可选择验证 IP 载荷，而不是 IP 头部验证 IP 载荷及选择的部分 IP 头部

17、在 DRP 计划中，系统恢复在那个阶段启动

评估恢复现场评估灾难损失以后正式宣告灾难以后灾难发生之后

18、安全意识培训，发现公司培训效果不好咋办？

制定年培训计划并考试为安全人员分配对应的岗位分工提供小奖品以激励认真参与培训的学员每月培训，增加活跃度

19、一个 web 页面，有个输入框，用户输入了 “超过 web 应用程序能够处理” 长度的数据，这是什么攻击的体现？

XSS缓冲区溢出后门CSRF

20、以下哪个适合人机共存环境的喷水灭火系统？

湿管干管预作用集水

21、保护丢失的智能手机数据不被窃取最有效的方法:

加密远程擦除双因素验证备份

22、外部咨询正在做 BIA，输出要给 BC 和 DR 使用，问最重要的是得出什么？

RPORTO功能的关键程度安全措施

23、区隔会产生利益冲突的主体 (subject) 和对象 (object) 的安全模型是：

BLPClark- WilsonBrewer- NashBiba

24、DRP 怎么测试能够收集更多细节

桌面演练通读集中式的结构化走查并行测试

25、安全人员给 CIO 汇报，问以下哪个内容是最合适的？

政策及相关的详细情况基线及相关的配置信息方针，相关的政策、制度等的方向最新的 IT 行业动态和新技术趋势

26、一个公司采用的 IaaS 设施。审计发现部署在 IAAS 上的 OS 没有打补丁，问应该怎么做？

企业找 IaaS 厂商负责打补丁企业找外部供应商协助打补丁企业需要将打补丁加入到自己的控制措施范围内企业立刻为 OS 打补丁

27、攻击树的用处：

消减风险威胁建模单点故障漏洞分析

28、测试用例必须包含的是？

期望结果测试环境的描述测试所需的设备测试所需成本

29、如何确保 SLA 的质量得到保护？

漏洞扫描定期评估渗透测试无需关注

30、在 html 里面加入

跨站 XSS注入DOS冒用

31、多进程比单进程程序相比的弱点是？

缓冲区溢出竞争条件病毒继承

32、可以跨安全域共享身份凭据的技术是什么？

SSOSAMLXMLBYOD

33、哪个可以帮助检测入侵者接近某个设施

阳光直射设施设施周围开放空间设置出入口分割员工和访客停车区

34、以下哪一项能有效隐藏并保护网络内部的计算机，避免来自网络外部威胁的攻击？

ARP 地址解析协议RARP 反向地址解析协议DHCP 动态主机配置协议NAT 网络地址转换

35、系统重要性分级的意义在于？

有助于确定系统的所有者，消除对资产状态的困惑降低了关键系统的支持工作量并减少了维护补丁的时间有助于向执行管理层清晰地报告系统的状态有助于为系统的安全和维护任务安排恰当的优先级和时间进度

36、组织做渗透测试，输出的测试报告里面，缺失了以下哪项最不可接受？

缺陷的风险消减方法的技术实现发现漏洞的 CVV 信息发现漏洞的 CVSS 信息对漏洞的造成影响的财务损失

37、RBAC 应该用什么管理？

人员角色绑定组管理基于账户的管理方式分散的基于资源的管理方式

38、一个员工，由于岗位变化，增加了额外的权限。问这个是什么概念？

权限提升（es 开头的单词）权限发展（advancement）授权过度认证混淆

39、管理员在 30 分钟之内登录提升提权之后，密码自动更换保证了什么

管理员身份认证管理员问责控制授权防止账号被盗用

40、S/MIME 靠什么交换秘钥？

共享证书IKESHA- 1

41、公司使用 VPN 给出差的员工访问公司网络， VPN 设备一般部署在哪里？

ISP内网DMZ单独的一个 VLAN

42、以下哪项最好的防御已知明文攻击？

加密前压缩加密后压缩加密前哈希机密后哈希

43、抗 ddos 攻击能阻断 50% 的攻击，其它控制措施缓解 50% ，残留风险是：

75%50%25%0

44、企业发现了离职员工的账户还是 active 状态，下一步应该做什么？

Access ReviewAccess Log ReviewAccount Policy ReviewAccount Process Review

45、独立测试的价值

提高发现隐藏风险点的可能性降低发现隐藏风险点的可能性直接导致成本增加测试缺乏全局性和协调

46、考虑存储空间和性价比最高，选择哪种备份？

增量差异全备份实时备份

47、一个黑客，公司有内鬼接应，问采用哪种攻击方式最容易？

自定义明文已知明文选择明文密文攻击

48、用【一组安全标识】来表征主体和客体的访问控制是什么？

ABACMACDACRBAC

49、企业防止关键数据泄露，应该做什么？

确保遵守数据政策防止员工将业务数据拷贝到个人闪存购买先进的安全设备建立员工的安全意识

50、如何保证第三方库的安全？

使用漏扫工具扫描所有库代码审计开源库，专有库打补丁修复开源库第三方库是安全的，无需担心

51、银行的新业务系统，需要对有相关业务的人员提供权限，设置要灵活，只要满足条件就能提供业务，但是只能在固定时间段访问业务系统，以下哪种模型适用？

RBACABACMACDAC

52、多个云供应商对接解决 IAM 身份和验证管理的措施是：

实施 SSO可传递信任使用时钟同步令牌使用异步令牌

53、VPN 使用中，代码中硬编码了秘钥，用什么解决比较好？

RSAECCDiffie- HellmanDSA

54、随机地址分配起到什么作用？

加速内存读取内存访问控制内存隔离防止内存滥用

55、VLAN 的作用域等同于？

广播域冲突域自治域不同交换机端口

56、问 DMZ 区域，怎样做最好避免攻击做横向移动？

VLAN权限管控包检测防火墙部署 IDS

57、基于域的邮件身份验证、报告和一致性 (DMARC) 系统，它的原理是？

实现身份认证实现了加密DKIM （服务器对邮件签名）防止钓鱼邮件

58、两家相同硬件和配置的组织的想要互为备站，需要什么？

SOW合作协议DR 协作协议BCP 协作协议

59、机构发现其已部署的开源软件在社区上已长时间无人维护，最好的解决办法是什么？

赏金计划雇佣人员维护该开源项目审查开源代码尝试联系开发人员

60、渗透测试报告中指出，可以通过 web 浏览器访问服务器敏感文件，如何做？

把文件 chmod 755禁止通过 web 形式访问服务器写 acl，控制访问人数实行最小特权

61、组织的年度强制培训，要求每个人都要参加。但是今年年底统计培训效果，很多人都没有参加。问为应对此风险，采用以下哪种应对最合适？

更新培训制度，并做风险应对提高培训频率给参与培训人员更多礼物对培训活动进行调整，以缓解和提高效果

62、SOC 报告哪个类型可以给公司营销部门使用？

SOC1 type1SOC1 type2SOC2SOC3

63、在选择安全控制措施时，为什么不能仅看 ALE？

忽视其他因子的离散性忽略了安全措施有效性带来的没有体现风险应对成本的投资回报率没有考虑高层的风险偏好

64、在信息系统分类中，谁决定谁可以访问什么？

CisoCio数据所有者安全管理员

65、公司经常重组，涉及职位和职责的变化，用了 RBAC，但仍有人具有不应该有的访问权限，问没考虑到什么？

职责分离特权账户审计部署防火墙账号合理授权

66、高层让公司在安全方面保持合规为了什么？

展示 DC－ DD (适度关注 / 勤勉)保护公司的架构应该是免于受到法律法规方面的处罚为了免责

67、你的企业 IT 人员很少，购买了 COTS 电子商务系统，你要对他进行测试，你的测试目的是什么？

测试软件是否影响资源有效性发现漏洞是否有可以改进的地方成熟软件无需测试

68、机房电气火灾应该使用什么灭火？

磷酸铵 + 碳酸氢钠碳酸氢钠 + 二氧化碳哈龙 + 干粉AERO-K+FM200

69、CIO 担心第三方审计人员，问怎么解决？

换第三方背景调查和 NDA放弃本次审计利用内部审计

70、那个组件提供了 SCAP 自动评估的漏洞信息

CVECVSSCCECPE

71、安全经理评估采购的新系统时发现，在系统规格说明书中有一些安全因素没有被考虑到。这最有可能是因为？

安全需求的描述不够充分供应商招标团队中缺乏安全专家采购人员缺乏技术知识采购过程中安全需求发生了变化

72、企业对于身份访问加强管理，问什么要求级别需要使用双因素？

身份认证级别 level 1（AAL level 1）身份认证级别 level 2（AAL level 2）任务认证 level 1任务认证 level 2

73、CSO 对评估报告不满意，发现漏洞不适用于操作系统，问题发生在评估过程的哪个阶段？

侦测发现枚举扫描

74、银行为所有使用网银的客户配备了硬件令牌，令牌每分钟更新一个 6 位的口令。客户必须使用这个口令登录网银，这种令牌是？

同步令牌异步令牌单点登录令牌挑战 / 应答令牌

75、以下哪种攻击方法能最有效地获得对一份复杂口令保护的资料的未授权访问？

字典攻击旁路攻击彩虹表社会工程

76、说攻击者可能启动报警装置，趁人员疏散的时候接触到最关键的资产。问当第一批响应者到达现场前，应该如何确保人员都疏散了？

提前做好疏散计划在集合点身份验证在备用站点启动确认人员都疏散了以远离威胁的方法

77、一个系统不允许非法用户，必须关注什么

FARFRRCERERR

78、审计报告给高层领导，部门经理不同意，问为什么不同意？

先报告要给 CISO 看，里面涵盖了非技术内容先报告给 CISO 看，里面涵盖了技术内容先报告给技术人员看，里面涵盖了技术内容先报告给高层看，里面含了非技术内容

79、浏览器在访问 web 服务中会生成会话标识，该标识最主要的作用是？

保密性可用性完整性不可否认性

80、The MAIN purpose of a Change Management Policy is to 变更管理策略的主要目的是？

verify that changes to the Information Technology (IT) infrastructure are approved 确认 IT 基础设施的变更得到审批identify the changes that may be made to the IT infrastructure 识别基础设施的变更assure management that changes to the IT infrastructure are necessary 确保基础设施的变更是必要的determine the necessity for implementing modifications to the IT infrastructure 判断实施基础设施修改的必要性

81、VPN 如果不采用额外措施依然会发生什么？

公钥被获取DOS 攻击窃听没有影响

82、在进行灾难恢复 (DR) 规划的风险分析时，拥有一个全面的信息资产清单为什么是重要的？

为了在发生危机时能够联系资产的所有者为了帮助对业务流程以及相关的应用系统进行优先级分级为了确保 DR 规划软件工具是完全导入的为了建立替代恢复策略的财务模型

83、一个企业，需要对数据做审核，以下方式最能防止数据泄露？

数据最小化全盘加密脱敏删除数据

84、为什么基于拥有什么的验证比知道什么的验证强度高

更加易于控制复制更加困难可以由用户个人保存更加容易变更

85、那种设施不容易扫出漏洞

硬件软件内核源代码

86、哪项是 Center for Internet Security 提出的？

RMF 框架Scrum 流程安全控制基准ITIL

87、2 家公司想要在网上共享电子订单和电子库存记录，最佳的安全方案是？

在两家公司配置边界防火墙让两家公司签订服务级别协议 (SLA)为两家公司建立 FTP 文件传输连接为两家公司建立 VPN 连接

88、黑盒测试是什么

知道功能知道设计和功能知道功能和代码知道流程和框架

89、下面哪个是在涉及第三方硬盘数据清理的合同中最关键的？

Authorized destruction times 授权破坏时间Frequency of recovered media 恢复媒体的频率Amount of overwrites required 需要覆盖重写的数量Allowed unallocated disk space 允许的未分配的磁盘空间

90、在设计一个安全系统来阻止对数据库插入恶意信息时，应当采用下面哪个安全模型？

BibaBell- LaPadulaGraham- DenningBrewer and Nash

91、电子存储设备返还第三方修理时的有效做法是？

对包含敏感信息的介质进行物理破坏才能交给第三方修理对包含敏感信息的介质进行浸泡后才交给第三方修理确保存储设备上没有任何表明公司名字或 logo 的标签和第三方签订安全处理介质的合同

92、是否必须向监管部门报告所有数据违规？

组织的道德规范不一定要求必须报告只有产生重要影响的违规才需要报告评估不同的司法管辖有不同的要求如果数据是加密的，就不需要报告

93、在审核系统管理时，审计师发现系统管理员没有经过必要的培训，为了确保系统的完整性，需要立即采取哪项行动？

建议安排有经验的管理员，并对所有信息系统进行评审对所有部门的规程进行评审对所有培训规程进行评审对 HR 招聘新员工的策略以及验证新员工能力的方法进行评审

94、以下哪一项对组织的安全态度 (安全立场) 影响最大？

国际和国内的合规要求员工安全违规安全开支增加后导致的资源限制审计发现的安全控制漏洞

95、企业的生产环境和开发环境连在一起，开发环境兼做 DR 环境，现在有人点了勒索病毒，病毒正在传播，问哪种方法能确保恢复

把感染的计算机断网确保备份数据完整性立刻关机报告高层

96、一个旧系统，开发各个功能模块测试过了，但是跟旧系统通信问题，问那种测试能发现问题？

单元测试回归测试系统测试集成测试

97、防止两个高级权限的人在工作中合谋应对措施是？

双人控制最小特权岗位轮换职责分离

98、BCP 培训的最后一步是什么？

员工反馈意见员工测试员工演练员工聚餐

99、XSS 跨站脚本攻击最终受害者是：

用户浏览器服务器操作系统

100、取证现场有一部手机，首先要怎么做？

插上电源，防止关机和数据丢失马上关机，保存证据保持原状，装在法拉第笼袋里进行备份和漏扫

101、检测到一个 url http://xxx. xxx. com/product. sap? id=1 or 1 = 1

sql 注入XSSCSRF缓存溢出

102、现在你在做供应链管理，你给所有的货柜都装上了传感器，你需要保证传感器的什么 CIA 属性？

可用性完整性机密性原发性

103、业务影响分析第一步是什么？

计算各业务功能的风险识别关键业务功能创建数据收集技术识别业务功能的漏洞和威胁

104、黑客窃取了 ceo 的网页浏览记录，威胁不给费用就公开浏览记录，问是哪种攻击？

社工窃取跨站脚本DOS

105、业务连续性计划可以通过一些测试来进行评估。哪种测试类型是持续进行，直到真正地搬到了异地设施处并真正配置了替换设备为止？

并行测试检查表测试组织排练测试模拟测试

106、部署一堆 IOT 设备时，应该注意？

服务器安全IOT 设备的访问控制IOT 设备的用户权限为 IOT 设备打补丁

107、你是一家诊所，你存储 PHI，你想要去除掉检查单上的病例编号，你需要在数据库里对 PHI 做什么？

部分匿名化完全匿名化保持原文保持数据完整性

108、保存标识符的时候做了 HASH 处理，问这是采用了什么技术？

匿名化掩码去标识化加密处理

109、通信网络中链路加密特点？

仅加密用户信息，不加密数据包头部、尾部、地址和路由信息数据包在每一跳都进行加解密加密发生在应用层秘钥分发和管理相对简单

110、企业开发的 Web 应用，什么样的方式能给用户提供即安全又快速的登录？

SAMLAD 目录使用邮箱作为标识符，提供验证码认证使用手机号作为标识符，短信验证码作为认证

111、业务连续性管理中，在完成了业务影响分析之后，紧接着要做的是？

将 BIA 的结果报告给管理层，以获得业务连续性项目资金识别并选择恢复策略准备测试计划，测试灾难恢复能力进行风险评估与分析

112、公司把设备和科研移到海外，安全官应担心什么？

设备风险物理安全知识产权缺少安全措施

113、审计人员发现关键系统的一项有可能导致问题的是？

安全指南的文档不全面缺乏安全基线基于主机的入侵防御系统存在缺陷安全补丁没有及时更新

114、在应用程序的运维过程中，建立软件组件的基线依赖于

安全审计规程软件补丁规程配置控制规程应用监控规程

115、确定保护静态数据是否有恰当的安全控制保护的第一步是？

识别法规要求执行风险评估评审安全基线配置评审之前的审计报告

116、企业管理层得知目前使用的商业现货软件的开发团队去了其他公司 (似乎记得说得是团队被其他公司并购)，需要做什么？

执行漏洞扫描咨询原来的软件开发商问有什么变更等COTS 优先需要确认合同，要求供应商提供代码完整性证明在得到明确变化之前，维持原样

117、以下哪一项为使用联合身份和安全断言语言系统抵御重放攻击？

数字证书和硬件令牌会话时间控制和安全传输层协议 SSL双因素验证带特殊字符的口令

118、以下哪个是 SCADA 可以控制的？

可编程逻辑控制器WLANABAC访问用户

119、防止 XSS 的有效方式是

白名单输入校验输出数据校验禁止引用跨站脚本服务器系统更新补丁

120、使用双身份验证的分布式文件系统与主机文件系统的区别？

不依赖操作系统，且不可以窃听依赖操作系统且不可以窃听不依赖操作系统且可以窃听依赖操作系统且可以窃听

121、以下哪一项加密保护了在网络中传输的敏感数据

点对点协议 PPP 保护验证头部 AH载荷加密 ESP加密哈希

122、关于点到点微波传输的正确的说法是？

因为采用了多路复用技术，所以不容易被拦截侦听因为有加密，所以不容易被拦截侦听容易被拦截侦听是否被拦截侦听取决于信号强度

123、PKI 在什么情况下对 CA 的认证产生交叉数字证书

PKI 需要权威认证当 CA 之间需要互相认证当证书需要 CA 确认真实性和有效性当数字证书在 CA 之间进行传输

124、网络传输中最能保证传输信息的完整性和机密性的使用什么

ssltlsipsec数字签名

125、使用 DNS 安全扩展 (DNSSEC) 对记录进行签名的主要目的是？

机密性完整性可用性可问责

126、在虹膜验证过程中，以下哪一项用于识别和验证

获得眼底血管纹理的数据和之前存储的样本数据的对比获得的细节模版和之前储存的样本模版的比对获得的瞳孔的尺寸大小数据和之前样本的比对计算的哈希值和预存于数据库中的数据的比对

127、SSL 是一个事实上的协议，用来实现在不可信的网络上安全传输。下面哪项最好的描述了在 SSL 连接建立流程上发生的情况？

The server creates a session key and encrypts it with a public key. 服务器创建会话密钥，并用公钥进行加密The server creates a session key and encrypts it with a private key. 服务器创建会话密钥，并用私钥进行加密The client creates a session key and encrypts it with a private key 客户端创建会话密钥，并用私钥进行加密客户端创建会话密钥，并用公钥进行加密

128、Which of the following occurs in a PKI environment? 下面哪项是 PKI 环境中发生的？

The RA creates the certificate, and the CA signs it. RA 创建证书，CA 签署CA 签署证书The RA signs the certificate. RA 签署证书The user signs the certificate. 用户签署证书

129、SDLC 在什么环境就应该开始考虑安全需求

需求分析确认代码编写运行维护结束废弃

130、Which of the following is a critical first step in disaster recovery and contingency planning?

灾难恢复和业务连续性计划中，什么是关键的第一步？

Plan testing and drills. 计划测试和演练Complete a business impact analysis. 完成业务影响分析Determine offsite backup facility alternatives. 决定异地可替代恢复场所Organize and create relevant documentation. 组织和创建相关文档

131、网卡设置了混合模式，但只收到自己的网络信息？

防火墙禁止嗅探网络使用交换机连接模式网络使用集线器当前没有通讯数据

132、信息安全官准备实施一个控制来检测和阻止用户滥用分配给他们的权限，下面哪个是最好的满足这个需求的措施？

管理层评估确认双因素识别和认证在审计日志中抓取这些数据实施一个强安全策略

133、在进行业务影响分析时，为什么需要确定业务流程的重要性？

理解组织对业务流程的依赖关系便于对连续性策略进行测试和维护定义在发生灾难时，由谁来触发 BCP为高级管理层提供决策工具

134、发现交易系统的交易金额超过了预先设置的上限，触发 SCARE 文件记录这属于哪种控制？

预防性控制检测性控制纠正性控制补偿性控制

135、以下哪一项是网络入侵检测技术

端口扫描网络欺骗统计异常协议分析

136、以下哪一项包含的是针对口令的攻击？

暴力破解、动态口令、生物特征重放色拉米、SYN 洪泛攻击、死亡之 ping字典攻击、钓鱼、键盘记录彩虹表、泪滴攻击、战争拨号

137、一个敏感（critical-related）基础设施企业需要一个软件，考虑安全性，建议以下哪个？

外包，要求满足 OAWSP 标准和软件应用安全标准，其他行业标准外包，要求满足 ISO 标准外包，要求满足 CMMI 最高成熟度自研，要求满足 OAWSP 标准

138、哪种演练不影响业务运营？

桌面演练模拟演练并行测试完全中断

139、根据最佳实践，在生产环境中实施第三方软件的最佳做法是？

将第三方软件托管和供应商签订关于补丁的合同扫描第三方的应用软件以发现漏洞协商最终用户使用应用的培训

140、组织使用了基于角色的访问控制 (RBAC), 以下哪一项能防不恰当的特权聚集？

动态职责分离分级继承BLP 安全模型Clark- Wilson 安全模型

141、Which of the following is considered best practice for a forensic investigation?

下面哪个被认为是取证调查的最佳实践？检查收集的信息的副本检查收集信息的原始信息在拷贝前加密信息加密原始信息的副本

142、Which of the following is an example of an active attack? 下面哪个是主动攻击的例子？

流量分析伪装窃听肩窥

143、Which of the following is a valid control against program threats? 下面哪个是针对编程威胁的正确控制

代码重用、模块化和链接合适的招聘实践，阶段检查，和分层结构同行评审，测试和配置管理分组代码检查，危害分析和验收测试

144、(Accreditation)“鉴证 (认可) ” 是什么意思？

管理层在知情的状况下决定是否接收风险请专家评估系统安全性过程符合要求工作绩效良好

145、What MUST the software developer do when a security bug is found 当在单元测试中发现了一个安全漏洞时，软件开发人员必须要做下面哪项？

执行一个全面的同行评审修补该漏洞，并通知开发团队将漏洞细节电子邮件发送给开发团队负责人Record the problem using a change management tool 使用变更管理工具记录该问题

146、在安全威胁较低的情况下，使用包过滤防火墙？

更方便、更灵活、透明配置更简单设备更先进功能更多

147、基于角色的访问控制，以保护数据库中的数据机密性可以由以下哪项技术来加以实现？

视图加密散列屏蔽

148、什么是 ARP 投毒？

交换网络的泛洪使用 DNS 死亡之 ping 的拒绝服务将 IP 变为 MAC 的解决方案在 ARP 表中插入一个虚假的 IP 和 MAC 地址

149、以下哪类的攻击涉及到 IP 欺骗，ICMP ECHO 和网站反弹？

IP 欺骗攻击Smurf 攻击SYN 攻击Teardrop 攻击

150、什么加密算法将为储存于 USB 盘上的数据提供强大保护？

TLSSHA1AESDES

更多问卷复制此问卷