PS:局部翻译及选项有出入，请各位见谅

CompTIA Security+ SYO-501 question(1~50)

1、安全管理员希望对位于数据中心的公司智能电话和终端服务器实施强大的安全性。将适用的控件拖放到每种资产类型。

Company Manager Smart Phone(移动设备安全控制)

Scerren Locks(屏幕锁)
Strong Password(强密码)
Device Encrption(磁盘加密)
Remote Wipe（远程擦除）
GPS Tracking（GPS跟踪）
Pop-up Blocker（弹框拦截器）
Antivirus（杀毒软件）

Data Center Terminal Server(数据中心堡垒机【跳板】)

Scerren Locks(屏幕锁)
Strong Password(强密码)
Host Based Firewall（基于主机的防火墙）
Cable Locks（线缆锁）
Antivirus（杀毒软件）
proximity reader （智能卡读取器【门禁】）
Sniffer(嗅探器)

2、从每个下拉列表中选择适当的攻击，以标记相应的图示攻击。

说明：攻击只能使用一次，如果选择，它将从下拉列表中消失。完成模拟后，请选择“完成”按钮提交。

• targeted ceo snf board members(目标是ceo) ----speak phishing(鱼叉式钓鱼攻击)/attackers gains confidential company information
• broad set of victims（目标是大量人群）----HOAX attacker posts link to fake AV software此问题中的骗局旨在使人们相信伪造的AV（防病毒）软件是正版
• phone-based victim(基于手机的受害者)----vishing（手机电话钓鱼）虚假信息是指使用电话试图欺骗用户放弃将用于身份盗用的私人信息的行为。诈骗者通常伪装成合法企业，并欺骗受害者以为他或她将从中获利。/attacker collecting credit card details
• broad set of recipents(大量的收件人)----phishing网络钓鱼是向用户虚假声称自己是合法企业的电子邮件，目的是诱骗用户放弃将用于身份盗用的私人信息。/attacker mass-mails product information to parties that have already opied out of receiving advertisements
• victims----PHISHING/pharming/attacker redrects name resqution entries from egitmate site to frauduient site
  网络钓鱼电子邮件将指导用户访问网站，要求他们更新合法组织已经拥有的个人信息，例如密码，信用卡，社会保险或银行帐号。但是，该网站是虚假的，其设置仅是为了窃取用户在页面上输入的信息。\

3、您的任务是为公司设计安全计划。将适当的安全控件拖放到平面图上。说明：必须使用所有物体，并且必须填充所有占位符。顺序无所谓。完成模拟后，请选择“完成”按钮提交。选择并放置：

Unsupervised Lab(无严格监控的实验室)----cable locks（电缆锁–在笔记本电脑和书桌之间添加电缆锁可以防止他人拿起并走开）
office----safe、Proximity Badge（门禁卡）
Data Center----CCTV（闭路电视可用作视频监控）、Proximity Badge（门禁卡）、Man Trap（双重门）、Locking Cabinets（上锁的柜子）、Biometric Reader
Employee laptop(员工的笔记本电脑)----Biometric reader(生物识别)

4、安全专家在检查服务器的证书后可以确定以下哪项？D
A. CA公钥
B. 服务器私钥
C. 企业社会责任
D. OID
服务器的公共密钥、查看证书时看到的第一件事就是OID

5、安全分析师正在诊断事件，其中系统受到外部IP地址的威胁。在防火墙上标识的套接字已追溯到207.46.130.0:6666。安全分析人员应采取以下哪项措施确定受感染系统是否仍具有活动连接？B
A. TRACERT
B. netstat的
C. 平
D. NSLOOKUP

在系统中打开cmd键入netstat -a这将向您显示连接以及它是在侦听，已建立还是Close_wait。问题是如何确定它是否仍在打开。netstat命令（网络统计信息的缩写）使您可以查看系统上TCP / IP协议的统计信息。它还使您能够查看活动的TCP / IP网络连接。许多攻击会建立从受感染计算机到远程计算机的连接。如果您怀疑这一点，通常可以使用netstat识别这些连接

6、在同一个垂直行业中运营的多个组织希望在员工访问其他组织时为其员工提供无缝的无线访问。如果所有组织都在其移动设备上使用本机802.1x客户端，则应实施以下哪项？B

A. Shibboleth
B. RADIUS联合
C. SAML
D. OAuth
E. ID连接
RADIUS联合身份验证-联合身份验证包含共享同一身份管理系统的两个或多个实体（例如公司）。用户可以登录一次并与其他实体访问共享资源，而无需再次登录。同样，可以使用802.1x和RADIUS服务器创建联盟。-来源：获得认证，提前获得-身份验证协议

7、以下哪个最佳描述了实施供应商多元化所带来的重要安全优势？c

A. 可持续发展
B. 同质性
C. 弹性
D. 可配置性
进行供应商多样化是为了实现深度防御（分层安全性）。DID通过提供保护层使系统更具弹性。

8、在一家每年使用几次高峰的公司中，首席信息官（CIO）要求一种经济高效的体系结构来处理可变容量需求。以下哪项特征可以最好地描述CIO的要求？A

A. 弹性
B. 可伸缩性
C. 高可用性
D. 冗余
弹性的定义是“指系统能够通过自主地调配和去分配资源，以便在每个时间点的可用资源的当前需求密切配合，以适应工作量的变化程度尽可能”。

9、安全工程师正在配置一个系统，该系统要求将X.509证书信息以Base64编码格式粘贴到表单字段中，以将其导入到系统中。工程师应使用以下哪种证书格式来获取所需格式的信息？B

A. PFX
B. PEM
C. THE
D. CER
CER不是ASCII，PEM文件是Base64编码的DER文件，它是相同的X.509证书，但以文本编码，以ASCII表示

10、以下哪项攻击会特别影响数据可用性？A
A. DDoS攻击
B. 特洛伊木马
C. 中间人
D. Rootkit的
分布式拒绝服务攻击差异很大，可以采用数千种不同的方式进行攻击（攻击向量）
大规模攻击

大规模攻击试图消耗目标网络/服务内部或目标网络/服务与Internet其余部分之间的带宽。这些攻击只是引起拥塞。

ICMP洪水
Ping泛洪，也称为ICMP泛洪，是一种常见的拒绝服务（DoS）攻击，攻击者通过使用ICMP回显请求（也称为ping）压倒受害者的计算机来关闭受害者的计算机。
IP / ICMP碎片
IP碎片攻击是拒绝服务攻击的一种常见形式，其中，攻击者利用数据报碎片机制来控制网络。
了解攻击始于了解IP分段过程，该过程是一种IP数据报被分解为小数据包，通过网络传输，然后重新组合成原始数据报的通信过程。
分段对于数据传输是必需的，因为每个网络对其可以处理的数据报的大小都有唯一的限制。此限制称为最大传输单位（MTU）。如果要发送的数据报大于接收服务器的MTU，则必须对其进行分段以完全传输
UDP泛洪
在UDP Traffic Flood攻击中，带有欺骗性源地址的UDP请求被广播到大量计算机上的随机端口。当计算机在请求的端口上找不到任何应用程序时，它们会向目标主机发送“ ICMP目标无法访问”数据包。
IPSec泛洪（IKE / ISAKMP关联尝试）
Internet密钥交换（IKE＆IKEv2）协议用于促进IPsec协议套件中对等设备之间的安全密钥交换。它可以看到多种安全隧道应用程序中的广泛使用和积极部署，例如来自主要供应商和开源项目的VPN产品。IKE依靠UDP协议，就其本质而言，它就像其他任何基于UDP的协议一样，提供了反射的机会。放大是对发送的内容与对接收的内容的度量，这种分辨率是使一个UDP协议对DDoS无效的原因，而其他协议则受到广泛欢迎，并在Internet上成千上万的活动中得到利用。

TCP状态消耗攻击
TCP状态耗尽攻击试图消耗连接状态表，该连接状态表存在于许多基础结构组件中，例如负载平衡器，防火墙和应用程序服务器本身。这些攻击甚至可以破坏能够维持数百万个连接状态的大容量设备。

同步洪水
TCP SYN泛洪攻击使Web服务器无法处理新的连接请求。它将所有目标服务器的通信端口驱动到半开状态。它通过防止每个端口上的客户端和服务器之间的TCP三向握手完成。来实现此结果。必须完全完成握手，客户端和服务器之间的通信端口才能完全打开并可用。
SSL失效
SSL（安全专有层）和TLS（传输层安全性）加密协议是Internet上安全服务的基础。由于这些协议占用大量资源，因此依赖它们的服务尤其容易受到资源攻击的攻击。在这些攻击期间，客户端发送小的请求，扩展服务器执行不成比例的大量工作来建立安全会话。
DNS查询/ NXDOMAIN泛洪
在DNS Flood中，攻击者将DNS用作UDP Flood的变体。攻击者以很高的数据包速率和很大数量的源IP地址发送有效但被欺骗的DNS请求数据包。由于这些请求显示为有效请求，因此受害者的DNS服务器继续响应所有请求。DNS服务器可能会被大量请求所淹没。这种攻击会消耗大量网络资源，耗尽DNS基础结构，直到其脱机，从而使受害者的Internet访问（www）中断。

应用层攻击
应用层攻击针对第7层的应用或服务的某些方面。这些是最致命的攻击，因为只有一台攻击机产生低流量，它们才能非常有效（这使这些攻击很难主动检测和缓解）。在过去的三到四年中，应用程序层攻击已盛行，简单的应用程序层洪水攻击（HTTP GET Flood等）已成为在野外看到的最常见的拒绝服务攻击。
如今，复杂的攻击者将对基础结构设备的容量，状态耗尽和应用程序层攻击混合在一个持续的攻击中。这些网络攻击之所以流行，是因为它们难以防御并且通常非常有效。
问题不止于此。根据Frost＆Sullivan的说法，DDoS攻击“越来越多地被用作针对性持久攻击的转移策略。” 攻击者正在使用DDoS工具分散网络和安全团队的关注，同时试图将高级恶意软件等持久性威胁注入网络，目的是窃取IP和/或重要的客户或财务信息。

BGP劫持
BGP劫持（有时称为初始劫持，路由劫持或IP劫持）是通过破坏使用边界网关协议（BGP）维护的Internet路由表对IP地址组的非法接管。
Slowloris
Slowloris攻击通过将一小部分HTTP请求标头发送到目标Web服务器太慢而耗尽了连接资源。按照设计，Web服务器必须等待所有标头块到达或超时HTTP请求。攻击客户端会在服务器的HTTP请求超时到期之前发送每个小的HTTP标头块。
当许多恶意主机从僵尸网络同时发起Slowloris攻击时，将立即打开与目标服务器的所有可用连接。结果，服务器无法处理合法的HTTP请求。
慢速发布
在慢速DDoS攻击中，攻击者发送有效的TCP-SYN数据包，并与受害者进行TCP三向握手，以在攻击者和受害者之间建立有效的会话。攻击者首先建立大量有效的会话，然后发送HTTP POST命令，并指定HTTP消息正文中将发送到服务器的字节数。然后，攻击机将开始以非常慢的速率发送消息正文的内容，通常一次一次发送1个字节，从而在接收服务器上消耗了过多的资源，因为每个会话都将被阻塞，直到消息正文的所有内容都已传递为止。为了使会话长时间保持打开状态，始终不会伪造慢速后攻击。
慢读
在慢读DDoS攻击中，攻击者发送有效的TCP-SYN数据包，并与受害者进行TCP三向握手，以在攻击者和受害者之间建立有效的会话。攻击者首先建立大量有效会话，并开始请求从每台攻击机下载文档或大对象。开始下载，攻击机将开始放慢对接收数据包的确认速度。攻击者将继续放慢数据包的接收速度，因为所有相关联的进程似乎都处于接收速度非常慢的网络中，因此这会浪费传递服务器上的过多资源。为了使会话连续保持打开状态，始终不会伪造慢读攻击。
HTTP / S洪水
攻击者每秒向服务器施加高HTTP / S请求，以使服务器响应。
低速和慢速攻击
低速和慢速攻击（也称为慢速攻击）涉及看起来非常合法的流量。这种类型的状态攻击以应用程序和服务器资源为目标，并且很难与正常流量区分开。
大型有效系数POST请求
攻击者上传大型文件或数据来保持服务器的连接，以替换服务器上的TCP或服务器资源。
模拟用户浏览
僵尸网络已成为当今网络空间中恶意活动的主要引擎。为了维持其僵尸网络并掩盖其恶意行为，僵尸网络所有者正在模仿合法的网络行为，以躲避雷达。

11、安全分析师正在加固安装了目录服务角色的服务器。分析人员必须确保不能监视或监听LDAP通信，并保持与LDAP客户端的兼容性。分析人员应满足以下哪些要求？（选择两个。）AD
A. 生成由受信任的CA签名的X.509兼容证书。
B. 在LDAP服务器上安装和配置SSH隧道。
C. 确保使用通讯在客户端和服务器之间打开端口389。
D. 确保使用通信在客户端和服务器之间打开端口636。
E. 从服务器远程LDAP目录服务角色。
X.509标准是数字证书使用最广泛的标准
确定要考虑的端口的问题的关键是提到“确保不能监视或监听LDAP流量”的部分。如果已加密，则无法查看未加密的流量。SSL或StartTLS（作为扩展操作）应用于保护LDAP流量（LDAP）。端口636是SSL的已知TCP端口。
由于违反LDAP可能非常严重，因此某些组织使用安全LDAP。使用安全LDAP（LDAPS）时，所有LDAP通信均使用SSL / TLS加密，并使用端口636。端口636是TLS和LDAP的组合

12、下列哪个威胁行为者最有可能窃取公司的专有信息以获取市场优势并缩短上市时间吗？A
A. 竞争对手
B. 黑客行动主义
C. 内幕
D. 有组织犯罪。

13、渗透测试人员正在爬网可供公众使用的目标网站。以下哪项代表渗透测试人员正在执行的操作？B
A. URL劫持
B. Reconnaissance(侦察)
C. 白盒测试
D. 特权升级
被动侦察使用开源情报收集有关目标系统，网络或组织的信息。这包括查看有关目标，新闻报道甚至组织网站的社交媒体资源。

14、以下哪个特征将彩虹攻击与暴力攻击区分开？（选择两个。）BE
答：
A. Rainbow表攻击大大减少了攻击时的计算周期。
B. Rainbow表必须包含预先计算的哈希。
C. Rainbow表攻击不需要访问哈希密码。
D. Rainbow table攻击必须在网络上执行。
E. Rainbow表攻击绕过最大失败登录限制。
暴力攻击不会绕过最大的失败登录限制，Rainbow Table攻击假设攻击者已经拥有密码的哈希值。然后，将哈希与彩虹表（充满哈希的表）进行比较，以找出密码是什么。因此，永远不会增加密码尝试次数计数器。

15、以下哪项最能描述从字符串中删除分号，破折号，引号和逗号的例程？C
A. 错误处理以防止程序被利用
B. 防止XSRF攻击的异常处理。
C. 输入验证以防止SQL注入。
D. 填充以防止字符串缓冲区溢出。
在SQL注入攻击中，攻击者将其他数据输入到网页表单中以生成不同的SQL语句。SQL查询语言使用分号（;）表示SQL行的结尾，并使用两个破折号（-）作为忽略的注释。有了这些知识，攻击者就可以将不同的信息输入到Web表单中。

16、安全分析人员希望提高FTP服务器的安全性。当前，到FTP服务器的所有流量都是未加密的。连接到FTP服务器的用户使用各种现代的FTP客户端软件。
安全分析人员希望保持相同的端口和协议，同时还允许未加密的连接。以下哪项将最好地实现这些目标？C
答：
A. 要求SFTP协议连接到文件服务器。
B. 在FTP服务器上使用隐式TLS。
C. 使用显式FTPS进行连接。
D. 使用SSH隧道加密FTP流量。
显式FTPS使用端口21，而隐式FTPS使用端口990。” TLS / SSL显式模式通常使用与普通（不安全）模式相同的端口。TLS / SSL隐式模式需要专用端口。TLS / SSL隐式模式不能与TLS / SSL显式模式在同一端口上运行。... TLS / SSL协议在显式和隐式模式下都是相同的。

17、以下哪一项解释了为什么供应商在提供软件补丁供客户通过Internet下载时会发布MD5值？A
答 ：
A. 收件人可以验证软件补丁程序的完整性。
B. 收件人可以验证用于下载补丁的站点的真实性。
C. 接收者可以使用发布的MD5值请求将来对软件的更新。
D. 收件人可以成功激活新的软件补丁。
（MD5）是一种常见的哈希算法，可产生128位哈希。您可以使用哈希验证完整性。散列是对诸如文件或消息之类的数据执行以产生称为散列的数字（有时称为校验和）的算法。散列用于验证数据没有被修改，篡改或损坏。换句话说，您可以验证数据是否保持完整性。

18、请参考以下代码：

如果执行此操作，将会发生以下哪些漏洞？D
A. 页面异常
B. 指针尊重
C. NullPointerException异常
D. 缺少空检查
缺少空检查。虽然此代码将发生NullPointerException错误，但它要求的是产生的漏洞，而不是代码错误。

19、多名员工收到一封带有恶意附件的电子邮件，该电子邮件在打开时开始加密其硬盘驱动器并映射其设备上的共享。
网络和安全团队执行以下操作：
✑关闭所有网络共享。
✑运行电子邮件搜索，以识别接收到该恶意消息的所有员工。
✑重新映像属于打开附件的用户的所有设备。
接下来，团队要重新启用网络共享。以下哪个最佳描述了事件响应过程的这一阶段？C
A. 根除
B. 遏制
C. 恢复
D. 吸取的教训

20、组织已确定它最多可以承受三个小时的停机时间。指定了以下哪个？A
A. RTO
B. RPO
C. MTBF
D. MTTR
MTBF（平均故障间隔时间）是一个度量标准，它涉及故障到下次发生之间的平均时间。MTTR{平均修复时间)是发生故障后进行修复所需的时间。RTO(恢复时间目标)该指标有助于计算灾难后恢复业务的IT基础架构和服务所需的速度，以维持业务连续性。RPO(恢复点目标)是对丢失的最大可容许数据量的度量。

21、在密钥托管中可以找到以下哪种类型的密钥？B
A. Public
B. Private
C. Shared
D. Session
密钥托管是在满足某些条件之前将机密密钥或私钥交给第三方保管的概念。

22、安全分析员正在审查IPS的以下输出：

鉴于此输出，可以得出以下哪些结论？（选择两个）BC
A. 攻击的源IP是从250.19.18.22来。
B. 攻击的源IP来自250.19.18.71。
C. 攻击者发送了格式错误的IGAP数据包，从而触发了警报。
D. 攻击者发送了格式错误的TCP数据包，从而触发了警报。
E. TTL值超出预期范围，从而触发警报。
IGAP是IGMPv2的一种变体，它添加了用户身份验证。IGAP使IP多播服务提供商可以根据用户信息对加入特定多播组的请求进行身份验证。根据IGMPv2要求，所有IGAP消息都将IP TTL字段设置为1并在其IP标头中使用IP路由器警报选项。

23、尽管已实施了密码策略，用户仍继续设置相同的弱密码并重用旧密码。以下哪项技术控制措施可以帮助防止违反这些政策？（选择两个）CD
A. 密码过期
B. 密码长度
C. 密码复杂度
D. 密码历史
E. 密码锁定

24、下列哪种类型的云基础架构将允许具有相同结构和兴趣的几个组织实现共享存储和资源的好处？D
A. 私人
B. 混合
C. 公众
D. 社区
基于部署模型，我们可以将云分类为：公共，私有，混合社区云基于云模型提供的服务，我们所说的是：IaaS（基础架构即服务）PaaS（平台即服务）服务）SaaS（软件即服务）或存储，数据库，信息，流程，应用程序，集成，安全性，管理，测试即服务

25、公司当前正在使用以下配置：
with具有基于证书的EAP-PEAP和MSCHAP的IAS服务器
via通过PAP进行未加密的身份验证
安全管理员需要使用以下配置来配置新的无线设置：
✑PAP身份验证方法
✑PEAP和EAP提供两因素身份
验证正在使用以下哪种身份验证形式？（选择两个。）AC
A. PAP
B. PEAP
C. MSCHAP
D. PEAP- MSCHAP
E. EAP
F. EAP-PEAP
Internet身份验证服务（IAS）是Windows Server操作系统的一个组件，提供集中的用户身份验证，授权和记帐。由于这是Windows环境，因此您肯定需要使用MS-chap。新配置需要PAP身份验证。PAP本身未加密。但是，使用MSCHAP，您可以使用PEAP将EAP封装在TLS隧道中，从而为PAP提供加密

26、审核员希望通过运行将显示以下内容的工具来测试组织的安全状况：

应该使用以下哪个命令？A
A. 使用nbtstat
B. NC
C. ARP
D. IPCONFIG
nbtstat -A <IP地址>命令使用目标IP地址而不是名称来执行相同的功能。Nbtstat是基于TCP / IP的NetBIOS的诊断工具。它包含在多个版本的Microsoft Windows中。它的主要设计是帮助解决NetBIOS名称解析问题

27、公司确定遵守新的信用卡规定的费用过高。相反，公司决定购买保险以支付任何潜在损失的费用。公司正在执行以下哪项？A
A. Transferring the risk
B. Accepting the risk
C. Avoiding the risk
D. Migrating the risk

28、公司正在使用移动设备部署模型，在该模型中，员工可以自行决定使用其个人设备进行工作。公司遇到的一些问题包括：
✑没有标准化。
✑员工要求赔偿其设备。
✑员工更换设备的频率不足以保持其有效运行。
✑公司对设备没有足够的控制权。
以下哪个部署模型可以帮助公司克服这些问题？D
A. BYOD
B. VDI
C. 应对
D. CYOD
COPE（公司拥有的个人拥有的）是一种业务模型，其中组织为员工提供移动计算设备，并允许员工像使用个人笔记本电脑，平板电脑或智能手机一样使用它们。
CYOD（选择自己的设备）采用CYOD策略可使公司对员工使用移动设备的控制更多。CYOD允许员工从批准的移动设备列表中进行选择，并且公司提供津贴或报销政策以支付部分或全部费用

29、僵尸网络攻击了一个受欢迎的网站，其中包含大量GRE封装的数据包，以进行DDoS攻击。新闻媒体发现某种类型的冰箱已被利用，并用于将出站数据包发送到崩溃的网站。冰箱属于以下哪几类？C
A. 片上系统
B. ICS
C. 物联网
D. MFD
SOC : system on a chip. the fridge might be using an SOC but it is not a category per say. as anything can use SOC.
MFD is multi function device ( ex brother,, HP etc printer scanner copier and fax

30、用户报告浏览到公司的安全网站时出现以下消息：无法信任此网站。安全分析师应采取以下哪些操作来解决这些消息？（选择两个。）AC
答：
A. 验证证书尚未在服务器上过期。
B. 确保证书在服务器上具有.pfx扩展名。
C. 将根证书更新到客户端计算机证书存储中。
D. 在Web服务器上安装更新的私钥。
E.让 用户清除其浏览历史记录并重新启动会话。

31、尝试登录公司的新票务系统时，某些员工收到以下消息：拒绝访问：并发太多。票务系统最近安装在仅具有建议的硬件规格的小型VM上。以下哪个是MOST会话可能导致此错误消息的？C
答：
A. 已超过网络资源。
B. 该软件未获得许可。
C. VM没有足够的处理能力。
D. 防火墙配置错误。

32、雇员乔希望向同事展示他对智能手机的了解程度。Joe演示了一个从第三方安装在公司智能手机上的免费电影应用程序。Joe的同事无法在应用程序商店中找到该应用程序。以下哪一项允许Joe安装该应用程序？（选择两个。）BE

A. 近场通信。
B. 生根/越狱
C. 临时连接
D.网络 共享
E. 侧面加载

33、可以向AAA系统提供以下哪个身份验证阶段？A

A. 用户名
B. 权限
C. 一次性令牌
D. 私人证书

34、下列哪个实现了双重身份验证？B

A. 需要PIN才能拨打电话的电话系统
B. 在ATM上需要信用卡和PIN
C. 需要用户名和密码的计算机
D. 需要指纹和虹膜扫描的数据中心陷阱
信用卡（所拥有的）pIN(所知道的)

35、在应用程序服务器的未授权端口上检测到来自内部网络的恶意流量。
工程师应考虑实施以下哪些基于网络的安全控制？A

A. ACL(访问控制列表)
B. HIPS
C. 地址 转换
D. MAC过滤
关键词：基于网络

36、网络管理员希望实现一种保护内部路由的方法。管理员应实施以下哪项？C

A. DMZ
B. NAT
C. VPN
D. PAT
DMZ隔离网络并保护资源NAT / PAT隐藏IP地址VPN是剩下的唯一答案，它可以通过隧道某种程度地路由内部流量,VPN通常用于公司中以保护内部数据。

37、安全管理员正在开发控件，以创建审计跟踪并跟踪是否发生PHI数据泄露。管理员已获得以下要求：
✑所有访问都必须与用户帐户相关联。
✑必须将所有用户帐户分配给一个人。
must必须记录用户对PHI数据的访问。
must必须报告PHI数据访问中的异常。
cannot日志和记录无法删除或修改。
管理员应满足以下哪些要求？（选择三个。）ACG

A. 消除共享帐户。
B. 为帐户创建一个标准的命名约定。
C. 实施使用情况审核和审查。
D. 启用帐户锁定阈值。
E. 将日志实时复制到安全的WORM驱动器。
F. 实施时间限制。
G. 进行定期权限审核和审查。
A出于通过身份验证的目的，这使得B成为冗余，因为B出于用户活动策略而成为A C的子集，并且这使得Worm驱动器变得多余，因为针对USer活动策略实施了蠕虫驱动器为了防止权限泛滥的用户权限策略，哪个用户通过显示G，谁，什么，何时何地来审核用户活动

38、PKI通常使用以下哪种加密方法来安全地保护密钥？C

A. 椭圆曲线
B. 数字签名
C. 不对称
D. 混淆
在所有情况下，Web或电子邮件都使用非对称加密来发送私钥（会话密钥）。椭圆曲线是一种生成非对称密钥的方法。虽然这是一个措辞不佳的问题，并且很难真正指出答案，但很可能是不对称的。

39、一个组织正在使用一种工具来执行源代码审查。以下哪项描述了该工具错误地识别漏洞的情况？C

A. 假阴性
B. 真阴性
C. 假阳性
D. 真阳性
误报：测试结果错误地指示存在特定条件或属性

40、组织的内部审计员发现，最近已向管理层不认识的供应商支付了大笔款项。要求IT安全部门对组织的组织ERP系统进行调查，以确定如何使用应付帐款模块进行这些供应商付款。
IT安全部门为应付帐款模块找到以下安全配置：
✑新供应商条目“”必需角色：应付帐款
✑✑新供应商批准“”必需角色：应付帐款职员
✑供应商付款条目“”必需角色：应付帐款职员
✑供应商付款批准“”的必需角色：
对应付帐款模块的安全配置进行以下哪项更改可以最好地减轻风险？A

41、春季学期的第一天，一所大学的系主任辞职。随后确定部门主管在关闭校园时从基于服务器的主目录中删除了许多文件和目录。下列哪些政策或程序可以阻止这种情况的发生？C
A. 时段限制
B. 权限审核和审查
C. 离职
D. 帐户到期

42、数据库备份计划包括在周六的凌晨12:00执行的每周完整备份和在凌晨12:00进行的每日差异备份。如果在星期二下午恢复了数据库，则以下哪个是需要的单个备份的数量应用于完成数据库恢复？B
A. 1
B. 2
C. 3
D. 4
差异备份是自上次完整备份以来所有更改的累积备份，即自上次完整备份以来的差异。这样做的好处是恢复时间更快，只需要完整备份和最后一次差异备份即可还原整个数据存储库。从星期二凌晨2点开始，只需安装一个完整的备份和一个差异备份。完整备份发生在星期六。通常没有人在周末工作，因此不需要在周日凌晨2点或周一凌晨2点进行差异备份，因为这些备份涵盖了周末

43、虹膜扫描仪提供以下哪些安全控制？D
A. 逻辑
B. 行政
C. 纠正
D. 身体（物理）
E. 侦探
F. 威慑

44、作为新行业法规的一部分，要求公司使用安全的标准化操作系统设置。技术人员必须确保操作系统设置得到加强。
以下哪项是执行此操作的最佳方法？B
答：
A. 使用漏洞扫描程序。
B. 使用配置符合性扫描程序。
C. 使用被动式在线扫描仪。
D. 使用协议分析器。
符合性检查将扫描目标，并根据目标是否符合要求（基于为扫描选择的标准）来返回结果。这使管理员可以查看系统的配置方式以及它们是否符合公司的标准。另一方面，漏洞扫描会提供有关目标是否具有已知漏洞的信息。

45、用户尝试访问的分类级别高于当前被授权访问的用户帐户的分类级别。以下哪个访问控制模型已应用于该用户的帐户？A
A. MAC
B. DAC
C. RBAC
D. ABAC
强制访问控制（MAC）是由系统控制对系统资源的访问。规则被硬编码到系统中。在这种情况下，通过分类。DAC由用户决定访问权限。其他两个选项RBAC和ABAC专门描述了角色和属性，而问题没有。

46、安全顾问发现组织正在使用PCL协议通过默认驱动程序和打印设置来打印文档。在这种情况下，可能带来以下哪些风险？B
答：
A. 攻击者可以访问和更改打印机的配置。
B. 离开打印机的SNMP数据将无法正确加密。
C. MITM攻击可以泄露敏感信息。
D. 攻击者可以轻松地将恶意代码注入打印机固件。
E. 攻击者可以使用PCL协议绕过客户端计算机的防火墙。
SNMP漏洞还允许仅通过干扰网络的社区名称来获取密码。Nmap和SNMP工具以及UDP扫描可以发现网络中的许多打印机。...网络打印机很容易被利用来获得对数据和Wi-Fi引脚设置的未授权访问

47、一个组织发现，由于在不同系统上运行的各种应用程序，大多数服务台呼叫都与帐户锁定有关。管理层正在寻找一种解决方案，以减少帐户锁定次数，同时提高安全性。以下哪个是该组织的最佳解决方案？C
A. 为每个用户创建多个应用程序帐户。
B. 提供安全令牌。
C. 实施SSO。
D. 利用基于角色的访问控制。
各种在不同系统上的应用程序和主要要求不同的密码。因此，为减轻这种SSO（Single Sign On，单点登录）采取了行动。

48、用户通过欺骗授权系统的MAC地址来怀疑有人未经许可便正在访问家庭网络。在尝试确定授权用户是否登录到家庭网络时，该用户检查了无线路由器，该路由器显示下表显示了当前在家庭网络上的系统。

接下来的以下哪一项是确定网络上是否存在未授权用户的下一步？C(B选项有争议)
A. 应用MAC过滤，看看路由器是否丢弃了任何系统。
B. 物理检查每个授权系统，以确定它们是否已登录到网络。
C. 拒绝“未知”主机，因为主机名未知并且MAC过滤未应用于该主机。
D. 对每个授权系统执行ping扫描，看看是否收到回声响应。
不是要拒绝阻止，而是要确定和识别未经授权的用户。由于这是一个家庭网络，因此已插入4台设备。最好的下一步操作是对设备进行物理检查，以找出合法的设备。

49、在工作站上执行数据采集时，应基于内存易失性捕获以下哪项？（选择两个。）BE
A. USB连接的硬盘
B. 交换/页面文件
C. 挂载的网络存储
D. ROM
E. RAM
树的结构类似于“高速缓存内存”>“页面交换”>“ Ram”>“ HDD”>“远程系统（或网络数据）”>，并存储在备份介质中（例如，磁盘，DVD）

50、已指示安全管理员Ann对公司的应用程序执行基于模糊测试。
以下哪项最能描述她的工作？A
A. 向应用程序中输入随机或无效数据，以尝试导致其故障
B. 与开发人员合作消除横向特权升级的机会
C. 测试应用程序是否存在开发商留下的内置后门
D. 哈希应用程序以验证它不会对HIPS造成误报
模糊测试是一种自动软件测试技术，涉及提供无效，意外或随机数据作为计算机程序的输入。

CompTIA Security+ SYO-501 question(51~100)

51、攻击者破坏了公共CA并为Company.com颁发了未经授权的X.509证书。将来，Company.com希望减轻类似事件的影响。以下哪项将有助于Company.com实现其目标？A
A. 证书固定
B. 证书装订
C. 证书链
D. 扩展验证证书
我认为正确的答案是D。“具有扩展验证的证书”将有助于company.com实现其目标。A.证书固定（今天是错误的。此答案一直适用到2017年.2017年弃用了技术。）B.证书装订（错误）C.证书链接（错误）D.具有扩展验证的证书（自2017年以来一直有效，具有扩展验证的Certificate_Transparency证书代替了证书固定。GoogleChrome浏览器要求2015年1月1日之后颁发的所有EV证书都符合证书透明度（CT）。）

52、系统管理员正在尝试从数据中心的灾难性故障中恢复。要恢复域控制器，系统管理员需要提供域管理员凭据。系统管理员使用以下哪种帐户类型？C
A. 共享帐户
B. 访客帐号
C. 服务帐号
D. 用户帐号

53、安全管理员在已知属于恶意软件的环境中找到了一个哈希。然后，管理员发现此文件位于OS的preupdate区域中，这表明该文件是从*修补程序系统中推送的。
文件：winx86_adobe_flash_upgrade.exe
哈希：99ac28bede43ab869b853ba62c4ea243
管理员从修补程序管理系统中提取具有以下输出的报告：

鉴于上述输出，以下哪个MOST可能发生了？B
答 ：
A. 文件离开修补程序系统后已损坏。
B. 补丁管理器下载文件后，文件被感染。
C. 该文件未在应用程序白名单系统中批准。
D. 该文件嵌入了逻辑炸弹，以逃避检测。
补丁程序管理系统上显示的哈希与Flash的恶意软件版本匹配

54、小型办公室的网络管理员希望简化连接到加密无线网络的移动客户端的配置。在管理员不想向员工提供无线密码或他的证书的情况下，应实施以下哪一项？A
A. WPS
B. 802.1X
C. WPA2-PSK
D. TKIP
Wi-Fi保护设置（WPS）使用户无需输入密码即可配置无线网络。它试图使路由器和无线设备之间的连接更快，更轻松。WPS仅适用于使用通过WPA Personal或WPA2 Personal安全协议加密的密码的无线网络。

55、连接到安全WAP时，连接到WPA2-PSK时最有可能配置以下哪种加密技术？B
A. DES
B. AES
C. MD5
D. WEP
根据规范，WPA2网络默认情况下必须使用CCMP（WPA2-CCMP），CCMP（也称为AES CCMP）是已取代TKIP的加密机制。

56、一家公司拥有一个数据分类系统，其中包含“私人”和“公共”的定义。该公司的安全政策概述了如何根据类型保护数据。该公司最近添加了数据类型“专有”。
公司添加此数据类型的最可能以下原因是？C
A. 降低成本
B. 更多可搜索的数据
C. 更好的数据分类
D. 扩大隐私官的权限

57、在强制访问控制环境中配置设置时，以下哪个指定了可以访问特定数据对象的主题？C
A. 所有者
B. 系统
C. 管理员
D. 用户
通过强制访问控制，此安全策略由安全策略管理员集中控制；用户无权覆盖该策略

58、最近，一个高安全性的防御设施开始使用大型警犬，这种警犬一丝不苟地兴奋地大声咆哮。此BEST描述了以下哪种控制类型？A
A. 威慑
B. 预防
C. 侦探
D. 补偿

59、在五次失败的登录尝试后，将启用公司的用户锁定策略。服务台会通知用户在一个工作周的过程中反复被锁定。联系用户后，服务台会发现用户正在休假并且没有网络访问权限。最有可能发生以下哪种类型的攻击？（选择两个。）CE
A. 重播
B. 彩虹表
C. 蛮力
D. 传递哈希
E. 字典

60、Ann的薪资部门的一名员工已联系服务台，指出其设备存在多个问题，包括：
performance性能
低下✑Word文档，PDF和图像不再打开
✑弹出窗口
Ann指出在打开发票后问题就开始了供应商通过电子邮件发送给她。打开发票后，她必须单击几个安全警告才能在她的文字处理器中查看它。MOST可能被下列哪些设备感染？D(B有争议)
A. 间谍软件
B. 加密恶意软件
C. Rootkit的
D. 后门

61、公司正在终止员工的不当行为。从该员工脱离接触的过程中，以下哪个步骤最重要？C
答：
A. 获取员工使用的密码列表。
B. 生成有关员工处理的优秀项目的报告。
C. 拥有员工投降的公司标识。
D. 让员工在离职前签署一份保密协议。

62、一家公司正在开发一种新的安全技术，并且要求隔离用于开发的计算机。为了提供MOST安全环境，应实施以下哪一项？B
A. 外围防火墙和IDS
B. 空缺的计算机网络
C. 驻留在DMZ中的蜜罐
D. 具有NAT的自组织网络
E. 堡垒主机

63、在将所有安装程序包从测试环境迁移到生产环境之前，以下哪一项是重要的步骤？B
A. 回滚测试环境中的更改
B. 验证文件的哈希
C. 存档和压缩文件
D. 更新安全基准

64、用户单击指向网站的电子邮件链接后，工作站感染了病毒。该病毒会加密用户可以访问的所有网络共享。该病毒并未被公司的电子邮件过滤器，网站过滤器或防病毒软件删除或阻止。以下哪项描述发生了什么？D
答：
A. 该用户的帐户具有特权。
B. 错误的错误处理在所有三个控件中均引发了误报。
C. 电子邮件源自没有恶意软件保护的私人电子邮件服务器。
D. 该病毒是零日攻击。

65、组织希望为其名称解析服务提供更好的安全性。以下哪种技术可以最好地支持组织中DNSSEC的部署？ C
A. LDAP
B. TPM
C. TLS
D. SSL
E. PKI

66、一家公司雇用了一家咨询公司，以使用非域帐户爬网其Active Directory网络来寻找未打补丁的系统。积极地控制系统超出了范围，创建新的管理员帐户也是如此。公司雇用咨询公司的原因有哪些？A
A. 漏洞扫描
B. 渗透测试
C. 应用程序模糊
D. 用户权限审核
关键词：主动控制系统已超出范围，创建新管理员帐户也已超出范围

67、管理员正在更换无线路由器。在停止运行之前，未记录旧无线路由器的配置。连接到无线网络的设备使用的旧版旧设备是在802.11i标准发布之前制造的。管理员应为新的无线路由器选择以下哪个配置选项？C
A. WPA + CCMP
B. WPA2 + CCMP
C. WPA TKIP +
D. WPA2 TKIP +
虽然WPA通常使用TKIP，而WPA2通常使用CCMP，但是WPA2可以使用TKIP。该网站指出，如果您的旧设备无法连接到新的方法，那么使用WPA2 / TKIP是一个好主意

68、应用程序团队正在下班时间对关键应用程序执行负载平衡测试，并已请求访问负载平衡器以检查哪些服务器已启动，而无需管理员召集。由于负载平衡器上正在运行其他关键应用程序，因此安全分析师不愿为应用程序团队提供完全访问权限。以下哪个是安全分析人员处理请求的最佳解决方案？C
答：
A. 在下班时间向应用程序团队管理员授予访问权限。
B. 在授予团队访问权限之前，请禁用其他关键应用程序。
C. 授予应用程序团队只读访问权限。
D. 与应用团队共享帐户。
当您不希望某人修改任何重要文档时，尤其是在其“下班时间”并且您不在的情况下，您可以使某人只读访问。此外，要重点关注的关键部分是“由于负载平衡器上正在运行其他关键应用程序，因此安全分析师会犹豫是否给予应用程序组完全访问权限” –当有人犹豫时，要让每个人都容易做到，只需给他们“只读”

69、下列哪种加密攻击会使密码变盐无效？C
A. 蛮力
B. 字典
C. 彩虹表
D. 生日
Rainbow表密码加盐密码加盐是一种保护“密码散列”的过程，称为“彩虹表攻击”。非加盐密码的问题在于它们不具有自己独有的属性，也就是说，如果某人具有预先计算的具有通用密码哈希的彩虹表，则他们可以轻松地将它们与数据库进行比较，并查看谁使用了哪个普通密码。彩虹表是预生成的哈希输入到输出的列表，以便能够快速从哈希中查找输入（在这种情况下为密码）。但是，彩虹表攻击仅是可能的，因为哈希函数的输出对于相同的输入始终是相同的。那么，如何使数据库中每个哈希密码唯一？我们在哈希函数的输入中添加了一个称为salt的东西。

70、安全分析师正在加强身份验证服务器。主要要求之一是确保相互认证和委派。鉴于这些要求，分析师应推荐和配置以下哪些技术 B
A. LDAP服务
B. Kerberos服务
C. NTLM服务
D. CHAP服务
仅Kerberos可以执行相互身份验证和委派，LDAP提供了一种管理存储在Active Directory中的用户和组成员身份的方法。LDAP是一种协议，用于认证和授权对IT资源的细粒度访问，而Active Directory是用户和组信息的数据库。LDAP用于目录服务。Kerberos在Microsoft的Active Directory和代理中提供身份验证

71、两个用户需要通过不安全的渠道互相发送电子邮件。系统应支持不可否认性原则。应使用以下哪项对用户的证书进行签名？B
A. RA
B. CA
C. CRL
D. 企业社会责任

72、以下哪种攻击类型最好地描述了一种客户端攻击，该攻击用于通过Web浏览器使用JavaScript代码操纵HTML iframe？C
A. 缓冲区溢出
B. 中间人
C. XSS
D. SQLI

73、事件响应者收到用户的呼叫，该用户报告计算机出现与恶意软件感染一致的症状。响应者应执行以下哪些步骤？A
A. 捕获并记录必要的信息以帮助做出响应。
B. 请求用户捕获并提供症状的屏幕快照或记录。
C. 使用远程桌面客户端实时收集和分析恶意软件。
D. 要求用户备份文件以供以后恢复。

74、一个高级事件响应管理器收到一个有关在下班时间与内部计算机进行通信的某些外部IP的呼叫。下列哪种恶意软件最有可能导致此问题？A
A. 僵尸网络
B. 勒索软件
C. 多态恶意软件
D. 装甲病毒
僵尸网络旨在在非工作时间进行攻击，它是从命令中心手动控制的。所有其他人都不会随时攻击。

75、以下哪种技术使用SAML？（选择两个。）AB
A. 单点登录
B. 联合身份验证
C. LDAP
D. 安全令牌
Ë RADIUS

76、以下哪项专门描述了利用交互过程访问OS的其他受限区域？D
A. 特权提升
B. 旋转
C. 过程亲和力
D. 缓冲区溢出
缓冲区溢出始终需要一个INTERACTIVE应用程序发出提示，该提示无法检查响应长度。通过特权升级，黑客可以使用非交互程序（应用程序）来获取访问权限。当恶意用户利用应用程序（批处理程序或交互式程序）或操作系统系统实用程序中的错误，设计缺陷或配置错误，以获取对该用户通常不可用的资源的更高访问权限时，特权升级就会发生。他们通过接管另一个帐户并滥用授予其他用户的合法特权来扩展特权，或者他们试图获得更多的许可权或使用已经受到破坏的现有帐户访问

77、用户报告存储的计算机性能后，系统管理员将检测到可疑文件，该文件是作为免费软件包的一部分安装的。
系统管理员检查以下输出：

根据以上信息，用户计算机上安装了以下哪种类型的恶意软件？A
A. RAT
B. Keylogger（键盘记录）
C. Spyware（间谍软件）
D. Worm（蠕虫）
E. Bot

78、以下哪个网络漏洞扫描指示器可以最佳地验证成功的主动扫描？B
答 ：
A. 扫描作业计划在非高峰时间运行。
B. 扫描输出列出了SQL注入攻击向量。
C. 扫描数据标识特权用户凭据的使用。
D. 扫描结果标识主机名和IP地址。
它可以识别攻击向量。如我们所知，传输是由主动扫描程序通过调查响应将数据分发到网络的节点，以指示专有节点是否在网络中占据了弱点。网络管理员还可以利用活动的扫描程序来复制网络中的攻击，从而暴露出可能检测到可能的黑客的漏洞，并且他还可以在攻击后调查节点，以了解黑客如何破坏安全性。 。因此，选项（B）是绝对正确的答案。A是错误的，因为当我们计划扫描作业时它不会有任何意义，也不会表示扫描成功。C是错误的，因为扫描数据无法识别特权用户凭据的使用。

79、分析人员希望为办公室访问点实现更安全的无线身份验证。下列哪种技术允许通过TLS对无线客户端进行加密身份验证？A
A. PEAP
B. EAP
C. WPA2
D. 半径
EAP本身只是一个认证框架。
PEAP（受保护的可扩展身份验证协议）完全封装了EAP，并设计为在TLS（传输层安全性）隧道中工作，该隧道可能已加密但已通过身份验证。创建PEAP背后的主要动机是帮助纠正EAP中发现的缺陷，因为该协议假定通信通道受到保护。结果，当能够以“明文”方式发现EAP消息时，它们将不提供协议最初编写时所假定的保护。
PEAP，EAP-TTLS和EAP-TLS在SSL / TLS会话中“保护”内部EAP身份验证。

80、如果原始供应商不支持系统，硬件或软件，则此漏洞称为：B
A. 系统蔓延
B. 报废系统
C. 资源枯竭
D. 默认配置

81、公司有三个部门，每个部门都有自己的网络和服务。该公司决定使所有员工都能使用其现有的用户名和密码访问其安全的Web门户。安全管理员已选择使用SAML支持身份验证。在这种情况下，当用户尝试向门户进行身份验证时，将发生以下哪些情况？（选择两个。） CD
答 ：
A. 门户将充当服务提供商并请求身份验证声明。
B. 门户将充当身份提供者并发出身份验证声明。
C. 门户将向每个可传递信任的网络请求身份验证票证。
D. 后端网络将充当身份提供者并发出身份验证声明。
E. 后端网络将向门户请求身份验证票证，该门户将充当第三方服务提供商身份验证存储。
F. 后端网络将验证由充当身份提供者的门户发布的声明令牌。

82、以下哪项是对为什么控制多样性在纵深防御体系结构中如此重要的最佳解释？D
答：
A. 社会工程学被用来绕过技术控制，因此控制的多样性可以最大程度地降低人口统计学剥削的风险
B. 黑客通常会影响一个以上控件的有效性，因此拥有单个控件的多个副本可提供冗余
C. 几乎每天都会发布破坏控制的技术漏洞；控制多样性提供了重叠的保护。
D. 纵深防御依靠控制多样性来提供允许用户域分段的多层网络层次结构

83、系统管理员希望在无线网络的安全性和可用性之间取得平衡。管理员担心某些员工使用的较旧设备的无线加密兼容性。在访问无线网络时，以下哪项将提供强大的安全性和向后兼容性？B
A. 开放的无线网络和SSL VPN
B. 使用预共享密钥的WPA
C. WPA2使用RADIUS后端进行802.1x身份验证
D. 带40位密钥的WEP
旧设备的兼容性-强安全性和向后兼容性D-否-WEP-弱安全性C-否-WPA2，Radius-强安全性但向后兼容性问题B-否-WPA-PSK-中度安全性和实际问题A-是-开放网络兼容传统-SSL VPN提供强大的安全性

84、信息安全专家正在审查Linux服务器的以下输出。

根据以上信息，服务器上安装了以下哪种恶意软件？A
A. 逻辑炸弹
B. 特洛伊木马
C. 后门
D. 勒索软件
E. Rootkit的
〜$ CRONTAB -1始终是逻辑炸弹的标志

85、在加密数据方面，以下哪项最佳描述是通过在存储中添加随机数据来保护密码数据的一种方式？A
A. 使用盐
B. 使用哈希算法
C. 实现椭圆曲线
D. 实现PKI
salt是一串由随机字符组成的字符串，在对哈希值进行哈希处理之前会添加到该字符串中。这样的结果是，即使两个用户使用相同的密码，所产生的哈希也不会相同。这样可以防止彩虹表攻击，因为您不能预先计算常用密码的哈希值，因为盐会改变生成的哈希值。

86、系统管理员希望在邀请外部发言人向员工和非员工的混合听众进行演示的事件中提供和实施无线访问责任制。管理员应实施以下哪项？D
A. 共享帐户
B. 预共享密码
C. 最低特权
D. 赞助嘉宾

87、在无凭据的漏洞扫描中，最可能会出现以下哪项？D
A. 自签名证书
B. 缺少补丁
C. 审核参数
D. 无效的本地帐户

88、安全分析员在员工工作站的日志中观察到以下事件：

根据提供的信息，以下哪个MOST可能发生在工作站上？A
答：
A. 应用程序白名单控件阻止了漏洞有效载荷的执行。
B. 防病毒软件找到并隔离了三个恶意软件文件。
C. 自动更新已启动，但由于未获批准而失败。
D. SIEM日志代理未正确调整，并报告了误报。

89、在确定公司最有价值的资产作为BIA的一部分时，应优先考虑以下哪项？A
A. 生存
B. 知识产权
C. 敏感数据
D. 公众声誉

90、组织需要实施大型PKI。网络工程师担心OCSP的重复传输会影响网络性能。
安全分析师应建议以下哪一项代替OCSP？B
A. 企业社会责任
B. CRL
C. CA
D. OID
OCSP和CRL是两种公认的撤销方法

91、在考虑第三方云服务提供商时，以下哪项标准是安全评估流程中最好的标准？（选择两个。）BC
A. 绩效分析的使用
B. 遵守法规
C. 数据保留政策
D. 法人规模
E. 应用程序支持的广度

92、当Web应用程序的安全性依赖JavaScript进行输入验证时，会发生以下哪些情况？A
答 ：
A. 数据的完整性受到威胁。
B. 应用程序的安全性取决于防病毒软件。
C. 需要基于主机的防火墙。
D. 该应用程序容易受到竞争条件的影响。

93、分析师正在将一个简单程序审查为潜在的安全漏洞，然后再将其部署到Windows服务器。使用以下代码：

存在以下哪些漏洞？B
A. 错误的内存指针
B. 缓冲区溢出
C. 整数溢出
D. 后门

94、组织的文件服务器已虚拟化以降低成本。以下哪种备份类型最适合特定的文件服务器？C
A. 快照
B. 满
C. 增量
D. 差异

95、无线网络使用连接到身份验证器的RADIUS服务器，该身份验证器又连接到请求方。以下哪个代表正在使用的身份验证体系结构？D
A. 开放系统认证
B. 专属门户
C. RADIUS联合会
D. 802.1X

96、雇主要求员工使用智能手机上的密钥生成应用程序登录公司应用程序。就个人身份验证而言，这种访问策略的最佳定义为：A
A. 你有的东西。
B. 你知道的东西。
C. 您要做的事情。
D. 你是什​​么。

97、遵循分层安全方法，受控访问设施聘用了安全卫士，他们会验证进入该设施的所有人员的授权。
以下哪个术语能最好地描述所采用的安全控制？A
A. 行政
B. 纠正
C. 威慑
D. 补偿

98、安全分析师正在加固Web服务器，该服务器应允许使用组织的PKI基础结构进行基于证书的安全会话。Web服务器还应该利用最新的安全技术和标准。鉴于这组要求，分析人员应采用以下哪些技术才能
最佳地满足这些要求？（选择两个。）AC
A. 安装X-509兼容证书。
B. 使用授权的CA实施CRL。
C. 在服务器上启用和配置TLS。
D. 安装由公共CA签名的证书。
E. 配置Web服务器以使用主机头。

99、经理想要将报告分发给公司内的其他几位经理。其中一些驻留在未连接到域但具有本地服务器的远程位置。由于报告中包含敏感数据，并且报告的大小超出了电子邮件附件大小的限制，因此无法通过电子邮件发送报告。应该采用以下哪种协议安全地分发报告？（选择三个。）BDF
A.S / MIME
B. SSH
C. SNMPv3的
D. FTPS
E. SRTP
F. HTTPS
G. LDAPS

100、审核员正在审查密码破解工具的以下输出：

审核员MOST可能使用以下哪种方法？A
A. 混合
B. 字典
C. 蛮力
D. 彩虹桌

CompTIA Security+ SYO-501 question(101~150)

101、为了使证据在法庭上可被接受，以下哪一项必须完整无缺？A
A. 监管链
B. 波幅
C. 合法持有
D. 保存
产销监管链可确保证据在收集后已得到适当控制和处理。它记录了谁处理证据以及何时处理。法定保留权是法院命令，要求保留数据作为证据。

102、利用其运行服务的访问级别来更好地评估组织中多个资产之间的漏洞的漏洞扫描程序正在执行以下任务 A
A. 凭证扫描。
B. 非侵入式扫描。
C. 特权升级测试。
D. 被动扫描。

103、下列哪种加密算法将产生固定长度，不可逆的输出？D
A. AES
B. 3DES
C. RSA
D. MD5

104、技术人员怀疑系统已受到威胁。技术人员查看以下日志条目：
警告-哈希不匹配：C：\ Window \ SysWOW64 \ user32.dll
警告-哈希不匹配：C：\ Window \ SysWOW64 \ kernel32.dll
仅基于上述信息，属于以下类型系统上最有可能安装了大多数恶意软件？A
A. Rootkit的
B. 勒索软件
C. 特洛伊木马
D. 后门

105、一个新的防火墙已在组织中投入使用。但是，尚未在防火墙上输入配置。新防火墙覆盖的网段中的员工报告他们无法访问网络。为了完成此问题，应完成以下哪些步骤？A
答 ：
A. 应将防火墙配置为防止用户流量形式与隐式拒绝规则匹配。
B. 应该为防火墙配置访问列表，以允许入站和出站流量。
C. 防火墙应配置端口安全性以允许流量。
D. 防火墙应配置为包含明确的拒绝规则。

106、安全分析师正在对example.org上comptia.org上的局域网内的Windows和Linux系统进行未经授权的DNS区域传输测试。安全分析人员应使用以下哪个命令？（选择两个。）AC

107、系统管理员为何在将补丁程序应用到生产服务器之前在过渡环境中安装安全补丁程序的主要原因？（选择两个。）AD
A. 防止服务器可用性问题
B. 验证是否安装了适当的补丁
C. 修补后生成新的基准哈希
D. 允许用户测试功能
E. 确保对用户进行新功能培训

108、首席信息官（CIO）起草该组织与其员工之间的协议。该协议概述了未经同意和/或批准而发布信息的后果。以下哪种BEST可以描述这种协议？B
A. ISA
B. NDA
C. 谅解备忘录
D. SLA
NDA =非公开协议

109、以下哪项满足多因素身份验证的要求？B
A. 用户名，PIN和员工ID号
B. 指纹和密码
C. 智能卡和硬件令牌
D. 语音识别和视网膜扫描、

110、经理怀疑具有较高数据库访问权限的IT员工可能在有意为竞争对手谋取利益的情况下修改财务交易。经理应采取以下哪种做法来验证问题？A
A. 职责分离
B. 强制性休假
C. 背景调查
D. 安全意识培训

111、渗透测试人员发现公司的电子邮件客户端登录凭据以明文形式发送。要向电子邮件服务器提供加密的登录名，应执行以下哪一项操作？D
A. 启用IPSec并配置SMTP。
B. 启用S​​SH和LDAP凭据。
C. 启用MIME服务和POP3。
D. 为IMAP服务启用SSL证书。
TLS或SSL，用于加密登录名

112、在检测到感染之前，有几台被感染的设备试图访问与公司名称相似但插入了两个字母的URL。以下哪个最佳描述了用于感染设备的攻击媒介？C
A. 跨站点脚本
B. DNS中毒
C. 错字抢注
D. URL劫持

113、系统管理员正在从受到感染的服务器中查看以下信息：

鉴于以上信息，通过远程缓冲区溢出攻击最有可能利用了以下哪个进程？A
A. 阿帕奇
B. LSASS
C. MySQL的
D. TFTP

114、安全管理员Joe需要扩展组织的远程访问功能，以供员工在旅途中使用。Joe需要为内部，外部和VOIP服务维护单独的访问控制功能。以下哪一项代表Joe使用的最佳访问技术？B
A. RADIUS
B. TACACS +
C. 直径
D. Kerberos的
在TACACS +中，身份验证和授权是分开的。它还支持两种方法，可以按用户或按组控制路由器命令的授权。在Radius中，将身份验证和授权结合在一起，并且Radius也不支持对路由器CLI命令的访问。

115、系统的可用性已被标记为最高优先级。为了确保该目标，应将以下哪项重点放在MOST上？B
A. 认证
B. HVAC
C. 全盘加密
D. 文件完整性检查
HVAC（供暖，通风和空调）是室内和车辆环境舒适的技术。其目标是提供热舒适性和可接受的室内空气质量。

116、作为SDLC的一部分，雇用了第三方来进行渗透测试。第三方将有权访问源代码，集成测试和网络图。以下哪个最佳描述了正在执行的评估？C
A. 黑匣子
B. 回归
C. 白盒
D. 起毛

117、垃圾收集者从公司恢复了几个硬盘驱动器，并能够从其中一个硬盘驱动器获取机密数据。然后，该公司发现其信息已在线发布。以下哪种方法可能会使MOST阻止数据公开？D
A. 从硬盘驱动器的机箱中卸下硬盘驱动器
B. 使用软件反复重写磁盘空间
C. 在硬盘驱动器上使用Blowfish加密
D. 使用磁场擦除数据

118、以下哪些是在Web应用程序服务器环境中实现HA的方法？（选择两个。）AB
A. 负载均衡器
B. 应用层防火墙
C. 反向代理
D. VPN 集中器
E. 路由器

119、应用程序开发人员正在设计一个涉及从一项服务到另一项服务的安全传输的应用程序，该服务将通过端口80进行请求。
开发人员最可能使用以下哪个安全协议？C
A. FTPS
B. SFTP
C. SSL
D. LDAPS
E. SSH
FTPS：FTPS协议使用两个端口20和21，其中TCP用于传输数据，而21用于传输控制信息。
SFTP：SFTP本身没有单独的守护程序2113，必须使用sshd守护程序（默认端口号为22）来完成相应的连接和答复操作，因此从某种意义上5261讲，SFTP并不像服务器程序，并且更像是一个客户端程序。

120、下列哪项预防措施可最大程度地降低针对多功能打印机的网络攻击风险以及对功能的影响？A
A. 使用VLAN隔离系统
B. 在所有设备上安装基于软件的IPS
C. 启用全盘加密
D. 实施唯一的用户PIN访问功能

121、在发现安全漏洞之后，分析人员的任务是启动IR流程。分析员应采取以下哪一步？B
A. 恢复
B. 鉴定
C. 准备
D. 文件
E. 升级

122、一家公司最近受到第三方审计。审计发现该公司的网络设备正在以明文形式传输文件。公司应使用以下哪些协议传输文件？C
A. HTTPS
B. LDAPS
C. SCP
D. SNMPv3的
安全复制协议（SCP）是一种在本地主机和远程主机之间或两个远程主机之间安全地传输计算机文件的方法。它基于安全外壳（SSH）协议。“ SCP”通常指安全复制协议和程序本身。

123、在每月一次的漏洞扫描中，服务器被标记为容易受到Apache Struts攻击。经过进一步调查，负责服务器的开发人员通知安全团队该服务器上未安装Apache Struts。以下哪个最佳方法描述了安全团队应如何处理此事件？A
答：
A. 该发现是错误的肯定，可以忽略不计
B. Struts模块需要在服务器上进行加固
C. 服务器上的Apache软件需要修补和更新
D. 服务器已被恶意软件入侵，需要隔离。

124、系统管理员希望保护存储在移动设备上的数据，这些数据用于扫描和记录仓库中的资产。如果移动设备离开仓库，控件必须自动销毁其安全容器。管理员应实施以下哪项？（选择两个。）AE
A. 地理围栏
B. 远程擦拭
C. 近场通讯
D. 推送通知服务
E. 集装箱化
因为它指出移动设备上已经有一个安全的容器，所以为什么是否需要再次实施集装箱化？他们也希望您知道某些容器化软件允许结合地理围栏进行自动删除。非常遥不可及，并且超出了Comptia证书的范围。

125、安全分析师正在执行定量风险分析。风险分析应显示每次威胁或事件发生时潜在的金钱损失。鉴于此要求，以下哪个概念将有助于分析师确定该价值？（选择两个。）AC
A. ALE
B. AV
C. ARO
D. EF
E. 投资回报率
需要资产价值和风险敞口因子。计算ALE（年度预期损失）是定量风险分析的一个示例。输入是货币形式的暴露因子（EF）形式的AV（资产价值）（百分比），年发生率（ARO）（硬数字）。

126、以下哪种AES操作模式提供身份验证？（选择两个。）AC
A. CCM
B. 加拿大广播公司
C. GCM
D. DSA
E. CFB
索AES密码模式-AES是一种具有5种操作模式的块加密算法-ECB，CBC，CFB，OFB和CTR。CBC密码块链接和CFB密码反馈是正确的答案。

127、在整个公司范围内进行审核之后，几名员工更改了角色。在审核过程中，发现以下与访问机密数据有关的缺陷：

以下哪种方法是将来防止类似审核结果的最佳方法？D(A有争议)
A. 实行工资部门职责分离。
B. 在薪资和人力资源服务器上实施DLP解决方案。
C. 在人力资源服务器上实施基于规则的访问控制。
D. 实施定期权限审核和审查。

128、安全工程师正在配置一个无线网络，该无线网络必须在用户提供凭据之前支持无线客户端和身份验证服务器的相互身份验证。无线网络还必须支持使用用户名和密码的身份验证。安全工程师必须选择以下哪种身份验证协议？C
A. EAP-FAST
B. EAP-TLS
C. PEAP
D. EAP
PEAP-客户端（用户）通过用户名和密码进行身份验证-服务器通过CA进行身份验证。EAP-TLS身份验证是自动的，无需用户参与。PEAP EAP本身仅仅是一个认证框架。PEAP（受保护的可扩展身份验证协议）完全封装了EAP，并设计为在TLS（传输层安全性）隧道中工作，该隧道可能已加密但已通过身份验证。创建PEAP背后的主要动机是帮助纠正EAP中发现的缺陷，因为该协议假定通信通道受到保护。结果，当能够以“明文”方式发现EAP消息时，它们不提供协议最初编写时所假定的保护。PEAP，EAP-TTLS和EAP-TLS在SSL / TLS会话中“保护”内部EAP身份验证。

129、系统管理员已完成防火墙ACL的配置，以允许访问新的Web服务器。

安全管理员从以下数据包捕获中确认，有从Internet到Web服务器的网络流量：

公司的内部审计员发布安全发现并要求立即采取措施。MOST与以下哪个审核员有关？B
A. 配置错误的防火墙
B. 明文凭证（清除文本凭据）
C. 隐式否认
D. 默认配置

130、最容易受到威胁的是以下哪种漏洞类型的被称为脚本小子的黑客类型？B
A. 写在键盘底部的密码
B. 未修补的可利用的面向互联网的服务
C. 未加密的备份磁带
D. 放错位置的硬件令牌

131、内部渗透测试人员正在使用数据包捕获设备来侦听网络通信。这是一个示例：A
A. 被动侦察
B. 持久性
C. 特权升级
D. 利用交换机
被动侦察：收集有关恶意黑客的预定目标的信息而目标不知道正在发生什么的过程。典型的被动侦察包括对企业建筑物的物理观察，对废弃的计算机设备进行分类以试图找到包含数据或带有用户名和密码的废弃纸张的设备，窃听员工的对话，通过通用的互联网工具（如Whois，冒充员工试图收集信息和嗅探数据包。

132、黑帽黑客正在枚举网络，并希望在此过程中保持秘密。黑客启动漏洞扫描。鉴于手头的任务需要隐秘，以下哪条陈述最佳表明漏洞扫描满足了这些要求？C
答 ：
A. 漏洞扫描程序正在执行经过身份验证的扫描。
B. 漏洞扫描程序正在执行本地文件完整性检查。
C. 漏洞扫描程序正在网络嗅探器模式下执行。
D. 漏洞扫描程序正在执行横幅抓取。

133、开发团队对项目采用了一种新方法，其中反馈是迭代的，并且在应用程序的整个生命周期内提供了多次部署迭代。开发团队使用以下哪种软件开发方法？B
A. 瀑布
B. 敏捷
C. 快速
D. 极限
敏捷软件开发是指基于迭代开发的一组软件开发方法，其中需求和解决方案通过自组织的跨职能团队之间的协作来发展。

134、首席执行官（CEO）怀疑在实验室测试环境中有人在下班后没有人在附近时正在窃取机密信息。以下哪项操作可以帮助防止这种特定威胁？D
A. 实施时段限制。
B. 审核文件访问时间。
C. 秘密安装隐藏的监控摄像机。
D. 需要进入刷卡才能进入实验室。

135、一家公司聘请第三方公司对暴露于Internet的漏洞进行评估。该公司通知该公司，存在一个FTP服务器的漏洞，该FTP服务器安装了八年前的版本。该公司决定无论如何都要保持系统在线，因为不存在供应商的升级。以下哪个最佳描述了此漏洞存在的原因？ B
A. 默认配置
B. 报废系统
C. 弱密码套件
D. 零日威胁

136、组织使用SSO身份验证来使员工访问网络资源。当员工辞职时，根据组织的安全策略，员工对所有网络资源的访问将立即终止。两周后，该前雇员向服务台发送了一封电子邮件，要求重设密码以从人力资源服务器访问薪资信息。以下哪项代表最佳行动方案？C
答 ：
A. 批准前员工的请求，因为密码重置将使前员工只能访问人力资源服务器。
B. 拒绝前雇员的请求，因为密码重置请求来自外部电子邮件地址。
C. 拒绝前员工的请求，因为重设密码将使员工能够访问所有网络资源。
D. 批准前雇员的请求，因为前雇员获得对网络资源的访问不会出现安全问题。

137、用户Joe希望通过电子方式发送另一位用户Ann的机密文件。Joe应该采取以下哪项措施来保护文档免遭窃听？D
A. 用乔的私钥加密
B. 用Joe的公钥加密
C. 用Ann的私钥加密
D. 用Ann的公钥加密

138、投资者关系总监正在审查有关几项近期违规的报告。主管编辑以下统计信息-
初始IR参与时间范围-
执行管理层通知发出之前的时间长度
-IR阶段平均完成
主管希望使用数据来缩短响应时间。以下哪一项可以实现？D
A. CSIRT
B. 遏制阶段
C. 升级通知
D. 桌面运动
桌面练习是基于讨论的会议，团队成员在非正式的教室中开会，讨论他们在紧急情况下的角色以及对特定紧急情况的响应。主持人引导参与者讨论一种或多种情况。桌上锻炼的持续时间取决于听众，所锻炼的主题和锻炼目标。许多桌面练习可以在几个小时内完成，因此它们是验证计划和功能的经济高效的工具。

139、为了减少磁盘消耗，组织的法律部门最近批准了一项新政策，将已发送电子邮件的数据保留期设置为六个月。
以下哪项是确保达到此目标的最佳方法？A
答：
A.创建相关电子邮件的每日加密备份。
B. 配置电子邮件服务器以删除相关的电子邮件。
C. 将相关电子邮件迁移到“已存档”文件夹中。
D. 在电子邮件服务器上实现自动磁盘压缩。

140、安全管理员正在配置一个新的网段，其中包含将由外部用户访问的设备，例如Web和FTP服务器。
以下哪项代表配置新网段的MOST安全方式？D。
答 ：网段应放置在单独的VLAN上，并且防火墙规则应配置为允许外部流量。
B. 该网段应放置在现有内部VLAN中，以仅允许内部流量。
C. 该网段应放置在Intranet上，并且防火墙规则应配置为允许外部流量。
D. 该网段应放置在Extranet上，并且防火墙规则应配置为允许内部和外部通信。

141、在服务器上安装rootkit之前，以下哪种攻击类型？C
A. 药物
B. DDoS攻击
C. 特权升级
D. 拒绝服务
Rootikits是使用不同技术的恶意软件；最常见的技术是利用安全漏洞来实现特权升级

142、下列哪种加密算法是不可逆的？B
A. RC4
B. SHA-256
C. DES
D. AES
SHA-256算法生成几乎唯一的固定大小的256位（32字节）哈希。哈希是一种单向函数–无法解密。

143、安全分析师从WAF接收到具有以下有效负载的警报：var data =“ ” ++ <../../../../../../ etc / passwd>“
这是以下哪几种攻击？D
A. 跨站点请求伪造
B. 缓冲区溢出
C. SQL 注入
D. JavaScript数据插入
E. 防火墙规避脚本

144、工作站发出网络请求以定位另一个系统。网络上的黑客Joe在实际系统之前做出了回应，并诱使工作站与他进行通信。以下哪个最佳描述发生了什么？D
答 ：
A. 黑客使用了竞争条件。
B. 黑客使用了哈希传递攻击。
C. 黑客利用不当的密钥管理。
D. 黑客利用了弱交换机配置。

145、一家小公司的漏洞扫描软件的审核日志显示以下发现：
扫描的目标：
-Server001-内部人力资源工资服务器
-Server101-面向Internet的Web服务器
-Server201- SQL101 for Server101
-Server301-Jumpbox，系统管理员可从以下位置访问内部网络
已找到已验证的漏洞：
-Server001-易于缓冲溢出漏洞，可能允许攻击者安装软件
-Server101-易于缓冲溢出漏洞，可能允许攻击者安装软件
-Server201-OS更新不是最新
-Server301-可从内部网络访问，而无需使用跳箱
-Server301-易受高度宣传的利用，可以提高用户特权。
假设获取未经授权信息的外部攻击者最为关注，那么应首先解决以下哪些服务器？B
A. 服务器001
B. 服务器101
C. 服务器201
D. 服务器301

146、安全分析师希望加强公司的VoIP PBX。分析人员担心，当IP电话通过BPX进行身份验证时，凭据可能会被拦截并被破坏。以下哪项最能防止这种情况发生？A
A. 在电话和PBX之间实现SRTP。
B. 将电话和PBX放在自己的VLAN中。
C. 限制电话与集团电话的连接。
D. 在与集团电话的连接上需要SIPS。

147、一个组织正在比较和对比从标准桌面配置到平台最新版本的迁移。在此之前，
首席信息安全官（CISO）表示需要评估较新的桌面平台的功能，以确保与组织所使用的现有软件的互操作性。CISO参与以下哪些架构和设计原则？B
A. 动态分析
B. 变更管理
C. 基准
D. 瀑布式
变更管理是管理变更的人员方面以实现所需业务成果的过程，工具和技术。变更管理结合了组织工具，可用于帮助个人成功进行个人过渡，从而实现并实现变更

148、安全管理员怀疑旨在模仿默认网关的MITM攻击正在进行中。管理员应使用以下哪些工具检测此攻击？（选择两个。）BC
A. ping
B. IPCONFIG
C. 特雷特
D. Netstat
E. 开挖
F. Nslookup的

149、用户是在新员工入职过程中呈现以下项目：
-笔记本电脑
-安全USB驱动器
-硬件动态令牌
-外部大容量硬盘
-密码复杂性策略
-Acceptable使用政策
-HASP关键
-电缆锁
以下哪项是多因素身份验证的一个组成部分？C
A. 安全USB驱动器
B. 电缆锁
C. 硬件OTP令牌
D. HASP关键

150、组织要求用户提供其指纹才能访问应用程序。为了提高安全性，应用程序开发人员打算实施多因素身份验证。应执行以下哪项？B
A. 使用相机进行面部识别
B. 让用户自然签名
C. 需要手掌几何扫描
D. 实现虹膜识别

CompTIA Security+ SYO-501 question(151~200)

151、网络技术人员正在建立一个分段网络，该分段网络将利用单独的ISP为公司提供对公共区域的无线访问。技术人员应实施以下哪种无线安全方法，以提供对公共网络访问的基本责任制？D
A. 预共享密钥
B. 企业
C. Wi-Fi保护设置
D. 强制门户
强制门户是一个网页，公共访问网络的用户必须在授予访问权限之前查看并与之交互。强制门户通常用于商务中心，机场，酒店大堂，咖啡店和其他为Internet用户提供免费Wi-Fi热点的场所。

152、经过例行审核后，一家公司发现工程文档已在特定端口上离开网络。公司必须允许在此端口上的出站流量，因为它具有合法的业务用途。阻塞端口会导致中断。公司应实施以下哪些技术控制措施？C
A. NAC
B. 网络代理
C. DLP
D. ACL
数据丢失防护（DLP）是一种确保最终用户不会在公司网络外部发送敏感或重要信息的策略。该术语还用于描述可帮助网络管理员控制最终用户可以传输哪些数据的软件产品。

153、安全分析师已从HIDS设备收到以下警报摘要：

鉴于上述日志，以下哪些是造成攻击的原因？B
答 ：
A. 目标上的TCP端口都已打开
B. FIN，URG和PSH标志在数据包头中设置
C. TCP MSS配置不当
D. 第2层细分不正确
Xmas扫描是从数据包中打开的一组标志中得出其名称的。这些扫描旨在处理TCP标头的PSH，URG和FIN标志

154、安全分析人员检查以下输出：

分析人员将哈希加载到SIEM中，以发现此哈希是否在网络的其他部分中可见。检查大量文件后，安全分析人员将报告以下内容：

可能是在其他区域中找到哈希的MOST可能是以下哪种？B
A. 简·史密斯是一个内部威胁
B. 有MD5哈希冲突****
C. 文件已加密
D. 存在卷影副本

155、公司的AUP要求：
✑密码必须满足复杂性要求。
✑每六个月至少更改一次密码。
密码必须至少八个字符。
审核员正在审阅以下报告：

审核员建议采用以下哪些控制措施来实施AUP？C
A. 帐户锁定阈值
B. 帐户恢复
C. 密码过期
D. 禁止密码重用

156、由于HVAC故障，组织的主要数据中心正在经历两天的停机。数据中心中的节点已断电且无法运行，从而影响了所有用户连接到备用数据中心的能力。下列哪个BIA概念最能代表这种情况下描述的风险？A
A. SPOF
B. RTO
C. 平均无故障时间
D. MTTR
单点故障（SPOF）是系统的一部分，如果出现故障，将使整个系统停止工作。SPOF在任何以高可用性或可靠性为目标的系统中都是不可取的，无论是业务实践，软件应用程序还是其他工业系统。

157、安全分析师注意到组织中的多个工作站有异常活动。在确定并遏制该问题之后，安全分析员应该对以下哪项进行下一步？D
A. 将工作站记录并锁定在安全区域中，以建立监管链
B. 通知IT部门要对工作站进行重新映像，并还原数据以供重复使用
C. 通知IT部门，工作站可能已重新连接到网络，以便用户继续工作
D. 在后续行动和经验教训报告中记录发现和过程

158、一名员工收到一封电子邮件，该电子邮件似乎来自首席执行官（CEO），要求为所有用户提供安全凭证报告。
最有可能发生以下哪种类型的攻击？D
A. 违反政策
B. 社会工程
C. 捕鲸
D. 鱼叉式网络钓鱼

159、信息安全分析师需要与一名员工合作，该员工可以回答有关特定系统的数据如何在企业中使用的问题。分析人员应寻找具有以下职责的员工：B
A. 管家
B. 业主
C. 隐私官
D. 系统管理员

160、一组非营利性机构希望实施云服务，以彼此共享资源并使成本最小化。以下哪种云部署模型可以最好地描述这种工作方式？C
A. 公众
B. 混合
C. 社区
D. 私人

161、管理员正在配置对位于名为“ Bowman”的网络文件服务器上的信息的访问。这些文件位于名为“ BalkFiles”的文件夹中。这些文件仅供“ Matthews”部门使用，并且应为只读。安全策略要求在文件系统层管理共享的权限，并且还要求根据最小特权模型设置这些权限。此数据类型的安全策略还要求系统上的管理员级别帐户对文件具有完全访问权限。
管理员根据下表配置文件共享：以下

哪几行配置错误？D
A. 第1行
B. 第2行
C. 第3行
D. 第4行
E. 第5行
管理员正在配置对位于名为“ Bowman” *的网络文件服务器上的信息的访问。这些文件位于名为“ BalkFiles”的文件夹中。这些文件仅供“ Matthews” ***部门使用，并且应为>>>>只读<<<<<<<。第4行应该是Bowman \ Matthews ++++ read ++++

162、最近在IT部门的一台打印机上找到了一份高度机密的工资报告。人力资源部门没有将此特定打印机映射到其设备，并且怀疑IT部门的员工浏览了该报表所在的共享并未经授权打印了该共享。下列哪种技术控制将是立即阻止这种情况再次发生的最佳选择？B
A. 实施DLP解决方案并将报告归类为机密，仅限制对人力资源人员的访问
B. 仅限于人力资源员工访问报告所在的共享并启用审核
C. 让所有IT部门的成员审查并签署AUP和纪律政策
D. 将人力资源计算机放置在受限制的VLAN上，并配置ACL以防止IT部门进行访问

163、公司正在开发一种新系统，当授权用户坐在计算机前时，该系统将自动为计算机解锁，然后在用户离开时将其锁定。用户不必执行任何操作即可发生此过程。以下哪项技术可提供此功能？A
A. 面部识别
B. 指纹采集仪
C. 运动探测器
D. 智能卡

164、安全分析师访问公司网页并以表格形式输入随机数据。收到的响应包括使用的数据库类型和数据库接受的SQL命令。安全分析人员应使用以下哪项预防此漏洞？C
A. 应用程序模糊
B. 错误处理
C. 输入验证
D. 指针取消引用

165、以下哪项将碰撞攻击与彩虹表攻击区分开来？A
A. 彩虹表攻击执行哈希查找
B. 彩虹表攻击使用哈希作为密码
C. 在碰撞攻击中，哈希和输入数据是等效的
D. 在碰撞攻击中，相同的输入导致不同的哈希

166、服务台正在对用户报告的疑难解答进行故障排除，该报告是公司网站在员工和客户访问网站时向他们显示不受信任的证书错误。如果证书未过期，则以下最可能是此错误的最可能原因？C
答 ：证书是自签名的，并且CA不是由员工或客户导入的
B. 根CA已撤销中间CA的证书
C. 证书的有效期限已过，并且尚未颁发新证书
D. 密钥托管服务器已阻止证书通过验证

167、安全分析师正在调查可疑的安全漏洞，并在可能受到威胁的服务器的日志中发现以下内容：

将来，以下哪种方法是防止此类可疑攻击的最佳方法？C
A. 实现密码过期
B. 对共享凭据实施限制
C. 实施帐户锁定设置
D. 在此服务器上实施时间限制

168、DRAG DROP-为
安全管理员提供了正在部署的服务器的安全性和可用性配置文件。
1.将每种RAID类型与正确的配置和最少的驱动器数量匹配。
2.查看服务器配置文件，并根据完整性，可用性，I / O，存储要求将它们与适当的RAID类型进行匹配。说明：
✑可以根据需要将所有驱动器定义多次拖动
✑并非RAID复选框中的所有占位符都可以填写
✑如果需要奇偶校验，请选择适当的奇偶校验数
✑服务器配置文件只能被拖动一次
如果您想随时恢复仿真的初始状态，请选择“重置”按钮。完成模拟后，请选择“完成”按钮提交。提交模拟后，请选择“下一步”继续。
选择并放置：

RAID-0被称为条带化。它不是容错解决方案，但确实可以提高磁盘性能以进行读/写操作。条带化至少需要两个磁盘，并且不使用奇偶校验。
RAID-0可以用于容错性能要求较高的地方，例如媒体流服务器。
RAID-1之所以称为镜像是因为将相同的数据写入两个磁盘，以便两个磁盘具有相同的数据。这是一种容错解决方案，可将存储空间减半。至少两个磁盘用于镜像，并且不使用奇偶校验。RAID-1可以用于要求容错性能的地方，例如在身份验证服务器上。RAID-5是使用奇偶校验和条带化的容错解决方案。RAID-5至少需要三个磁盘，其中一个磁盘的空间可用于奇偶校验信息。但是，奇偶校验信息分布在所有磁盘上。RAID-5可以从单个磁盘故障中恢复。
RAID-6是使用双重奇偶校验和条带化的容错解决方案。RAID-6至少需要四个磁盘。双奇偶校验允许RAID-6从最多两个磁盘的同时故障中恢复。关键数据应存储在RAID-6系统上。http://www.adaptec.com/en-us/solutions/raid_levels.html

169、安全管理员正在尝试加密通信。出于以下哪种原因，管理员应该利用证书的主题备用名称（SAM）属性？ B
答：
A. 它可以保护多个域
B. 提供扩展的站点验证
C. 它不需要受信任的证书颁发机构
D. 它保护无限的子域

170、两家公司合并后，要求安全分析师确保该组织的系统不受任何在过渡期间终止的前雇员的渗透。
为了加强应用程序以防止前雇员的渗透，以下哪种操作最适合？（选择两个）CF
A. 监控VPN客户端访问
B. 减少失败的注销设置
C. 制定和实施更新的访问控制策略
D. 查看并解决无效的登录尝试
E. 增加密码复杂度要求
F. 评估并消除无效账户

171、内部正在开发一种新的移动应用程序。安全审查没有发现任何重大缺陷，但是漏洞扫描结果显示了在项目周期结束时的根本问题。
还应该执行以下哪些安全活动来发现生命周期中的较早漏洞？ D
A. 架构审查
B. 风险评估
C. 协议分析
D. 代码审查

172、安全管理员正在公司防火墙接口之一上创建一个子网以用作DMZ，该区最多可容纳14个物理主机。
以下哪个子网最能满足要求？ B
A. 192.168.0.16 255.25.255.248
B. 192.168.0.16/28
C. 192.168.1.50 255.255.25.240
D. 192.168.2.32/27
IPv4子网网络192.168.0.16/28（C类）网络掩码255.255.255.240指定的网络主机地址范围192.168.0.17-192.168.0.30（14个主机）广播192.168.0.31

173、公司有一个安全策略，该策略指定应为所有端点计算设备分配一个唯一的标识符，可以通过库存管理系统对其进行跟踪。航空公司安全法规的最新变更已导致公司中的许多高管乘坐迷你平板电脑而不是笔记本电脑旅行。这些平板电脑设备很难标记和跟踪。平板电脑使用RDP应用程序连接公司网络。
为了满足安全策略要求，应实施以下哪项？E
A. 虚拟桌面基础结构（IDI）
B. WS-安全性和地理围栏
C. 硬件安全模块（HSM）
D. RFID标签系统
E. MDM软件
F. 安全需求追踪矩阵（SRTM）
动设备管理是用于管理移动设备（例如智能手机，平板电脑和笔记本电脑）的行业术语。MDM通常是通过使用第三方产品来实现的，该产品具有针对特定移动设备供应商的管理功能

174、安全管理员从同事那里收到有关非公司帐户的电子邮件，其中指出某些报告无法正确导出。电子邮件的附件是示例报告文件，其中包含多个客户的姓名和带有PIN的信用卡号。
以下哪项是最佳的技术控制措施，可以帮助减轻泄露敏感数据的风险？C
A. 将邮件服务器配置为要求每封电子邮件都使用TLS连接，以确保所有传输数据都已加密
B. 创建一个用户培训计划，以识别电子邮件的正确使用并进行定期审核以确保合规性
C. 在电子邮件网关上实施DLP解决方案以扫描电子邮件并删除敏感数据或文件
D. 根据敏感度对所有数据进行分类，并告知用户禁止共享的数据

175、技术人员正在配置无线访客网络。应用最新更改后，技术人员会发现新设备无法再按名称查找无线网络，但是现有设备仍可以使用无线网络。
技术人员可能会实施以下哪种安全措施导致此情况？A
A. 停用SSID广播
B. 降低WAP信号输出功率
C. 使用RADIUS激活802.1X
D. MAC过滤的实现
E. 信标间隔减少

176、已指派安全管理员来审查虚拟机的标准公司系统映像的安全状态。安全管理员会对VM映像的系统日志，安装过程和网络配置进行彻底检查。查看访问日志和用户帐户后，安全管理员确定不会在生产中使用多个帐户。
以下哪项将纠正缺陷？C
A. 强制访问控制
B. 禁用远程登录
C. 主机强化
D. 禁用服务
主机强化包括禁用或删除未使用的帐户。

177、尽管启用了Web的应用程序似乎仅允许Web表单的注释字段中的字母，但恶意用户仍然可以通过Web注释字段发送特殊字符来进行SQL注入攻击。
应用程序程序员未能实现以下哪项？C
A. 版本控制系统
B. 客户端异常处理
C. 服务器端验证
D. 服务器强化

178、攻击者发现企业应用程序中的新漏洞。攻击者通过开发新的恶意软件来利用此漏洞。安装恶意软件后，攻击者就可以访问受感染的计算机。
描述了以下哪项？A
A. 零时差攻击
B. 远程执行代码
C. 会话劫持
D. 命令注入
黑客编写代码来针对特定的安全漏洞。他们将其打包为称为“零时差攻击”的恶意软件。恶意软件利用漏洞来破坏计算机系统或导致意外行为。

179、短暂休假返回的安全管理员在尝试登录计算机时收到帐户锁定消息。在解锁帐户后，安全管理员会立即注意到大量电子邮件警报，这些警报与过去三天被锁定的几个不同用户帐户有关。安全管理员使用系统日志来确定锁定是由于对先前已登录该计算机的所有帐户的暴力攻击所致。
可以采用以下哪种方法来减少这种攻击未被发现的可能性？B
A. 密码复杂度规则
B. 持续监测
C. 用户访问评论
D. 帐户锁定政策
连续监控（自动）-人机交互与自动攻击的行为截然不同。不能通过查看所访问URL的行为或路径来检测到这一点，而可以更具体地观察用户（或机器人）对浏览器和应用程序所做的各个方面。问题在于，行为指纹方法不仅需要高水平的传感能力，而且还需要专门针对大量传感器数据的实时评估任务而优化的大规模并行计算基础架构。如果没有如此大规模的实时分析功能，就不可能遥不可及地跟上当今攻击的速度和演变。

180、当客户要开设新帐户时，银行要求出纳员获得经理批准。最近的审计显示，去年有四起柜员未经管理层批准而开设账户的案例。银行行长认为，职责分工可以防止这种情况的发生。
为了实现真正的职责分离，银行可以：C
A. 要求使用由两个不同的个人持有的两个不同的密码来开设一个帐户
B. 在基于角色的访问控制方法上管理帐户创建
C. 要求所有新帐户必须由柜员以外的其他人处理，因为他们的职责不同
D. 基于基于规则的访问控制方法管理帐户创建

181、安全管理员的任务是改善与网络上台式机有关的整体安全状况。审计人员最近发现，在一天的过程中，无人看管了几台屏幕上显示的具有机密客户信息的机器。
安全管理员可以采取以下哪项措施来降低与发现相关的风险？C
A. 实施清洁台政策
B. 安全培训，以防止肩膀冲浪
C. 启用基于组策略的屏幕保护程序超时
D. 在监视器上安装隐私屏幕

182、公司政策要求使用“如果密码短语”代替“密码”。
为了促进密码短语的使用，必须采用以下哪种技术控制措施？B(D有争议)
A. 重用
B. 长度
C. 历史
D. 复杂性

183、在例行审核期间，发现有人使用过时的管理员帐户登录到很少使用的服务器。该人一直在使用服务器查看禁止最终用户使用的不合适网站。
以下哪项最能防止这种情况再次发生？D
A. 凭证管理
B. 组策略管理
C. 可接受的使用政策
D. 帐户过期政策

184、以下哪项应标识关键系统和组件？D
A. 谅解备忘录
B. BPA
C. ITCP
D. BCP
业务连续性计划（BCP）是创建预防和从公司潜在威胁中恢复的系统所涉及的过程。该计划可确保人员和资产得到保护，并在发生灾难时能够快速运行。
业务流程分析（BPA）是对业务流程进行分析和建模以进行改进。

185、通过在系统上植入软件，以下哪些工作有效，但会延迟执行直到满足特定的条件集？A
A. 逻辑炸弹
B. 特洛伊木马
C. 恐吓软件
D. 勒索软件

186、Web应用程序配置为以浏览器为目标，并允许访问银行帐户以将钱提取到外国帐户。
这是以下哪种攻击的示例？C
A. SQL 注入
B. 标头操作
C. 跨站点脚本
D. Flash Cookie开发

187、使用公司数据中心托管服务器的技术人员越来越多地抱怨触碰与硬盘故障有关的金属物品时遭受电击。
要解决此问题，应实施以下哪项操作？B
A. 降低室温
B. 增加房间的湿度
C. 利用更好的热/冷通道配置
D. 实施EMI屏蔽

188、已经确定便携式数据存储设备具有恶意固件。
以下哪项是确保数据机密性的最佳选择？C
A. 格式化设备
B. 重新映像设备
C. 在设备中执行病毒扫描
D. 物理破坏设备
重新格式化不会更改固件。重新映像不会更改固件。病毒扫描不会更改固件，尽管它们有时可以尝试删除恶意软件，但没有迹象表明任何AV软件都可以有效解决固件恶意软件。您必须销毁它。

189、安全管理员必须实施一个系统，以确保自定义开发的应用程序不会使用无效的证书。即使没有Internet访问，系统也必须能够检查证书的有效性。
为了支持此要求，必须实施以下哪一项？C
A. 企业社会责任
B. OCSP
C. CRL
D. SSH

190、技术人员已在连接到公司域的服务器上安装了新的漏洞扫描程序软件。漏洞扫描程序能够提供所有公司客户补丁程序状态的可见性。
使用以下哪个？C
A. 灰箱漏洞测试
B. 被动扫描
C. 凭证扫描
D. 绕过安全控制

191、一家跨国银行公司的首席安全官（CISO）正在审查一项升级整个公司IT基础结构的计划。该体系结构由一个托管大量数据的集中式云环境，每个公司位置的小型服务器集群来处理大多数客户交易处理，ATM和一个新的移动银行应用程序组成，该应用程序可以通过HTTP从智能手机，平板电脑和Internet访问。该公司的业务具有不同的数据保留和隐私法律。
为实现MOST数据的全面保护，应实施以下哪项技术修改和相应的安全控制措施？C
A. 撤销现有的根证书，重新颁发新的客户证书，并确保所有交易都经过数字签名以最大程度地减少欺诈，对数据中心之间的数据传输进行加密
B. 确保按照适用的最严格的法规指南对所有数据进行加密，对数据中心之间的传输中的数据实施加密，通过在每个公司位置之间复制所有数据，交易数据和日志来提高数据可用性
C. 根据国界存储客户数据，确保ATM，最终用户和服务器之间的端到端加密，测试冗余度和COOP计划，以确保数据不会无意间从一个合法管辖区转移到另一个具有更严格法规的管辖区
D. 安装冗余服务器来处理公司客户的处理，对所有客户数据进行加密以简化从一个国家到另一个国家的转移，在移动应用程序和云之间实施端到端加密。

192、在审查每月的互联网使用情况时，请注意，分类为“未知”的流量有很大的增长，似乎不在组织可接受使用政策的范围之内。
以下哪种工具或技术最适合获得有关该流量的更多信息？B
A. 防火墙日志
B. IDS日志
C. 增加垃圾邮件过滤
D. 协议分析仪

193、网络管理员希望确保用户不要将任何未经授权的设备连接到公司网络。每个办公桌都需要连接VoIP电话和计算机。
以下哪个是完成此操作的最佳方法？A
A. 对网络设备强制执行身份验证
B. 在一个VLAN上配置电话，在另一个VLAN上配置计算机
C. 启用和配置端口通道
D. 让用户签署可接受的使用协议

194、管理员对主要使用智能手机工作的旅行销售团队有所担心。
考虑到他们工作的敏感性，在丢失或失窃的情况下，以下哪一项将最好地阻止对数据的访问？B
A. 在不使用电话时启用屏幕保护程序锁定，以防止未经授权的访问
B. 配置智能手机，以便可以从集中位置销毁存储的数据
C. 配置智能手机，以便将所有数据保存到可移动媒体并与设备分开存放
D. 在所有智能手机上启用GPS跟踪，以便可以快速定位和恢复它们

195、无线网络的用户无法访问该网络。症状是：
1.）无法同时连接内部资源和Internet资源
2.）无线图标显示连接性但无网络访问权限
无线网络是WPA2 Enterprise，用户必须是无线安全组的成员才能进行身份验证。
MOST可能是下列哪些导致连接问题的？C
答 ：
A. 无线信号不够强
B. 对RADIUS服务器的远程DDoS攻击正在发生
C. 用户的笔记本电脑仅支持WPA和WEP
D. DHCP作用域已满
E. 用户离线时，动态加密密钥未更新

196、首席财务官（CFO）已要求首席信息官（CISO）对最近的审计报告作出回应，该报告详细说明了组织安全控制方面的缺陷。首席财务官想知道组织可以如何改进其授权控制。
根据CFO的要求，CISO在报告中应重点关注以下哪些控制措施？（选择三个）DFI
A. 密码复杂度政策
B. 硬件令牌
C. 生物识别系统
D. 基于角色的权限
E. 一次性密码
F. 职责分离
G. 多因素认证
H. 单点登录
I. 租赁特权

197、移动设备用户担心地理位置信息包含在流行社交网络平台上的用户之间发送的消息中。
用户关闭了应用程序中的功能，但要确保应用程序在用户不知情的情况下无法重新启用设置。
用户应禁用以下哪些移动设备功能以实现所述目标？D
A. 设备访问控制
B. 基于位置的服务
C. 应用程序控制
D. 地理标记

198、Joe是数字取证小组的成员，到达犯罪现场并准备收集系统数据。在关闭系统电源之前，Joe知道他必须首先收集最不稳定的日期。
以下哪一项是Joe收集数据的正确顺序？D
A.CPU 缓存，分页/交换文件，RAM，远程日志记录数据
B. RAM，CPU缓存。远程记录数据，分页/交换文件
C. 分页/交换文件，CPU缓存，RAM，远程日志记录数据
D. CPU缓存，RAM，页面/交换文件，远程日志记录数据

199、一个组织雇用了渗透测试仪来测试其十台Web服务器的安全性。渗透测试器能够通过利用与SMTP，POP，DNS，FTP，Telnet和IMAP的实现相关的漏洞来获得多台服务器中的root /管理访问权限。
渗透测试人员应向组织提供以下哪些建议，以在将来更好地保护其Web服务器？B
A. 使用蜜罐
B. 禁用不必要的服务
C. 实现传输层安全
D. 增加应用程序事件记录

200、安全工程师面临着来自网络小组和数据库管理员的相互竞争的要求。为了便于管理，数据库管理员希望在同一子网上有十个应用程序服务器，而网络组希望将所有应用程序彼此分割。
安全管理员应采取以下哪项措施纠正此问题？B
A. 建议对每个应用程序执行安全评估，并且仅对漏洞最严重的应用程序进行细分
B. 建议将每个应用程序分类为相似的安全组，并将这些组彼此分割
C. 建议分割每个应用程序，因为这是最安全的方法
D. 建议仅对具有最小安全功能的应用程序进行分段以保护它们

PS:据可靠消息，SYO-601将于2021年7月上线，考试题目也会有所改动