CISSP考试练习习题库(2025年第2部分).pdfVIP

考试

CISSP考试练习习题库(2025年第2部分)

(该部分共500题)

1.[单选题]以下哪一项不是对SQL注入攻击的有效控制?

A)Escaping

B)客户端输入验证

C)参数化

D)限制数据库权限

答案:B

解析:客户端输入验证不能有效控制任何类型的攻击,因为攻击者可以通过更改客户端上的代码轻松绕过验证。转义受

限字符可防止它们被传递到数据库,参数化也是如此。限制数据库权限可防止执行危险代码。

2.[单选题]Alargeorganizationshumanresourcesandsecurityteamsareplanningonimplementing

technologytoeliminatemanualuseraccessreviewsandimprovecompliance.Whichofthefollowing

optionsisMOSTlikelytoresolvetheissuesassociatedwithuseraccess?一家大型组织的人力资源和安全团

队正在计划实施技术，以消除手动用户访问审查并提高法规遵从性。以下哪个选项最有可能解决与用户访问相关的问题

？

A)Implementarole-basedaccesscontrol（RBAC）system.实现基于角色的访问控制（RBAC）系统。

B)Implementidentityandaccessmanagement（IAM）platform.实施身份和访问管理（IAM）平台。

C)ImplementaPrivilegedAccessManagement（PAM）system.实施特权访问管理（PAM）系统。

D)Implementasinglesign-on（SSO）platform.实现单点登录（SSO）平台。

答案:B

解析:

3.[单选题]智能卡是什么类型的身份验证因素例子?

A)类型1

B)类型2

C)类型3

D)类型4

答案:B

解析:类型2身份验证因素是“你拥有什么”,例如智能卡或硬件令牌。类型1身份验证因素是“你知道什么”。类型3

身份验证因素是“你是什么”,如生物识别标识符。没有类型4身份验证因素。

AType2issomethingyouhave,likeasmartcardorhardwaretoken.AType1authenticationfactoris

somethingyouknow.AType3authenticationfactorissomethingyouare,likeabiometric

identifier.ThereisnosuchthingasaType4authenticationfactor.

4.[单选题]假设您是域管理员并且正在选择一名员工来执行备份。哪种访问控制方法最适合这种情况?

Supposeyouareadomainadministratorandarechoosinganemployeetocarryoutbackups.Whichaccess

controlmethodwouldbeBESTforthisscenario?

A)RBAC-基于角色的访问控制

B)MAC-强制访问控制

C)DAC-自主访问控制

D)RBAC-基于规则的访问控制

答案:A

解析:

5.[单选题]Susan担心她所使用的生物识别技术的错误接受率(FAR)。什么是处理错误接受率的最好方法?

1/99

考试

A)调整交叉错误率(CER)

B)改变系统的灵敏度以降低错误拒绝率(FRR)

C)添加第二个因素

D)更换生物识别系统

答案:C

解析:添加第二个因素可提高错