按順序排列風險評估步驟。
識別威脅和漏洞以及威脅與漏洞的匹配 答案 1
在實施安全控制之前,建立基準,以指示風險 答案 2
與正在進行的風險評估進行比較,作爲風險管理有效性的評估手段 答案 3
反饋
Refer to curriculum topic: 10.2.4
風險評估中的一項強制性活動是識別威脅和漏洞,並將威脅與漏洞相匹配,也稱爲威脅-漏洞 (T-V) 配對。在實施安全控制之前,將使用 T-V 配對作爲基準,以指示風險。然後,可將此基準與正在進行的風險評估進行比較,作爲風險管理有效性的評估手段。
正確答案是:識別威脅和漏洞以及威脅與漏洞的匹配 → 第 1 步, 在實施安全控制之前,建立基準,以指示風險 → 第 2 步, 與正在進行的風險評估進行比較,作爲風險管理有效性的評估手段 → 第 3 步
哪種防惡意軟件方法可以識別已知惡意軟件文件的各種特徵,以檢測威脅?
選擇一項:
基於路由
基於行爲
基於簽名
基於啓發式方法
反饋
Refer to curriculum topic: 10.1.1
防惡意軟件程序可能使用三種不同的方法檢測病毒:
基於簽名 - 通過識別已知惡意軟件文件的各種特徵
基於啓發式方法 - 通過識別各種惡意軟件共有的通用功能
基於行爲 - 通過分析可疑活動
正確答案是:基於簽名
填空題。
應用 黑名單 可以指定不允許在主機上運行的用戶應用。
在解決已識別風險時,哪種戰略旨在通過採取措施減少漏洞來降低風險?
選擇一項:
分攤風險
保留風險
降低風險
規避風險
反饋
Refer to curriculum topic: 10.2.4
有四項策略可用來應對已識別的風險:
規避風險 - 停止執行會帶來風險的活動。
降低風險 - 通過採取措施減少漏洞來降低風險。
分攤風險 - 將部分風險轉移給其他方。
保留風險 - 接受風險及其後果。
正確答案是:降低風險
哪種 HIDS 爲基於開源的產品?
選擇一項:
Tripwire
OSSEC
思科 AMP
AlienVault USM
反饋
Refer to curriculum topic: 10.1.2
開源 HIDS 安全 (OSSEC) 軟件是一個開源 HIDS,使用待監控主機上安裝的中央管理服務器和代理。
正確答案是:OSSEC
在 Windows 防火牆中,何時應用域配置文件?
選擇一項:
當主機訪問互聯網時
當主機檢查來自企業郵件服務器的郵件時
當主機連接可信網絡(如內部企業網絡)時
當主機通過其他安全設備從互聯網連接至隔離網絡時
反饋
Refer to curriculum topic: 10.1.2
Windows 防火牆配置中的域配置文件用於連接到可信網絡(如企業網絡),假定其擁有足夠的安全基礎設施。
正確答案是:當主機連接可信網絡(如內部企業網絡)時
漏洞管理生命週期中的哪個步驟對整個網絡中的所有資產進行盤存並確定主機詳細信息(包括操作系統和開放式服務)?
選擇一項:
評估
發現
補救
確定資產的優先順序
反饋
Refer to curriculum topic: 10.2.4
漏洞管理生命週期包括以下步驟:
發現 - 盤存整個網絡中的所有資產並確定主機詳細信息(包括操作系統和開放式服務),以識別漏洞
確定資產的優先順序 - 將資產分類爲組或業務單元,並根據資產組對於業務運營的重要性向其分配業務價值
評估 - 確定基線風險概況,以基於資產重要性、漏洞威脅和資產分類消除風險
報告 - 根據您的安全策略,衡量與您的資產相關的業務風險級別。記錄安全計劃,監控可疑活動並描述已知漏洞
補救- 根據業務風險確定優先順序,並按風險順序修復漏洞
驗證 - 驗證是否已通過後續審覈消除了威脅
正確答案是:發現
CVSS 提供哪些功能?
選擇一項:
風險評估
滲透測試
漏洞評估
中央安全管理服務
反饋
Refer to curriculum topic: 10.2.2
通用漏洞評分系統 (CVSS) 是一種風險評估工具,旨在傳達計算機硬件和軟件系統的通用屬性和漏洞嚴重程度。
正確答案是:風險評估
在網絡安全評估中,哪種類型的測試可用於評估漏洞給特定組織帶來的風險,包括攻擊的可能性以及成功進行漏洞攻擊對組織的影響等評估?
選擇一項:
風險分析
端口掃描
滲透測試
漏洞評估
反饋
Refer to curriculum topic: 10.2.1
在風險分析中,安全分析師對漏洞給特定組織帶來的風險進行評估。風險分析包括評估攻擊的可能性,確定可能的威脅發起者的類型,評估成功利用威脅將對組織造成的影響。
正確答案是:風險分析
根據美國系統網絡安全協會 (SANS) 所述,哪種受攻擊面包括物聯網設備使用的有線和無線協議中的漏洞?
選擇一項:
人類受攻擊面
互聯網受攻擊面
網絡受攻擊面
軟件受攻擊面
反饋
Refer to curriculum topic: 10.1.3
美國系統網絡安全協會描述了受攻擊面的三個部分:
網絡受攻擊面 - 利用網絡中的漏洞
軟件受攻擊面 - 利用 Web、雲或基於主機的軟件應用中的漏洞
人類受攻擊面 - 利用用戶行爲中的弱點
正確答案是:網絡受攻擊面
哪些合規性法規規定了美國政府系統和美國政府承包商的安全標準?
選擇一項:
金融服務現代化法案 (GLBA)
2002 年薩班斯-奧克斯利法案 (SOX)
健康保險轉移與責任法案 (HIPAA)
2002 年聯邦信息安全管理法案 (FISMA)
反饋
Refer to curriculum topic: 10.2.3
有五大合規性法規:
2002 年聯邦信息安全管理法案 (FISMA) - 規定美國政府系統和美國政府承包商的安全標準。
2002 年薩班斯-奧克斯利法案 (SOX) - 針對公司控制和披露財務信息的方式,爲所有美國上市公司董事會、管理層和會計師事務所設定新的要求或擴展的要求。
金融服務現代化法案 (GLBA) - 確定金融機構必須確保客戶信息的安全性和保密性;保護此類信息的安全性或完整性不受到任何預期的威脅或危害;防止客戶信息遭到未經授權的訪問或使用而對客戶造成重大損害或不便。
健康保險轉移與責任法案 (HIPAA) - 要求以確保患者隱私和保密性的方式存儲、維護並傳輸患者的所有可識別身份的醫療保健信息。
正確答案是:2002 年聯邦信息安全管理法案 (FISMA)
哪三種設備是網絡終端的可能示例?(選擇三項。)
選擇一項或多項:
路由器
傳感器
無線接入點
物聯網控制器
VPN 設備
網絡安全攝像頭
反饋
Refer to curriculum topic: 10.1.1
物聯網組件(如傳感器、控制器和網絡安全攝像頭)在連接網絡時是網絡終端。路由器、VPN 設備和無線接入點是中間設備的示例。
正確答案是:傳感器, 物聯網控制器, 網絡安全攝像頭
分析服務器時,什麼定義了應用允許在服務器上執行的操作或運行的內容?
選擇一項:
用戶帳戶
偵聽端口
服務帳戶
軟件環境
反饋
Refer to curriculum topic: 10.2.1
服務器配置文件的服務賬戶元素定義了應用允許在給定主機上運行的服務類型。
正確答案是:服務帳戶
CVSS 基礎指標組的哪一類指標定義了漏洞攻擊的特點,例如漏洞攻擊所需的媒介、複雜程度和用戶交互?
選擇一項:
影響
可利用性
修正基礎指標
漏洞攻擊代碼成熟度
反饋
Refer to curriculum topic: 10.2.2
CVSS 的基礎指標組代表漏洞的特徵,這些特徵不隨時間和環境變化而變化。它包含兩類指標:
可利用性指標 - 漏洞攻擊的特點,例如攻擊所需的媒介、複雜程度和用戶交互
影響指標 - 漏洞攻擊對 CIA 保密性、完整性和可用性三要素的影響
正確答案是:可利用性
.
.
.
.
.
*—————— 素質三連~~~orz// ——————
*—— 歡迎點擊關注 cookie 的博客!orz// ——
————— 關注即可查看更多 —————
*————— 記得常來康康!orz// —————
———— 後續還將更新更多實用乾貨! ————