2020.11.26/27域7错题分析

73.下列哪项事件将构成安全事故?
1.企图进行的网络入侵
2.数据库入侵成功
3.恶意软件感染
4.违反保密政策
5.从安全区域尝试移除信息失败

A:
2 3 4
回答错误

B:
1 2 3

C:
4和5

D:
以上都是
正确答案
答案解析： 任何破坏组织安全或违反安全策略的行为都是安全事故。所描述的每个事件都符合此定义，应将其视为一个事故。（个人觉得有争议，选A）

76.您正在对网络上的潜在僵尸网络感染进行调查，并希望对网络上不同系统和互联网上的不同系统之间传递的信息进行取证分析。你认为这些信息可能是加密的。你是在活动结束后开始调查的。获得这些信息来源的最佳和最简单的方法是什么?

A:
数据包捕获
回答错误

B:
Netflow数据
正确答案

C:
入侵检测系统日志

D:
集中的身份验证记录

```解析：
做错这题是没好好看题，也不熟悉netflow日志。
netflow：指数据交换方式，提供网络会话视图，记录TCP/IP事务信息。能够监控网上的IP flow流数据。通过实时监控数据流量，与历史记录模式匹配，或与异常流量匹配，让网络管理员查看网络状态。
数据包捕获：指通过wireshark或者tcpdump之类的工具进行抓包，往往能抓完整的流量，但是不同的是需要实时抓取，不能抓去历史记录的包。
入侵检测系统日志：可能抓到，但是也可能抓不到包，经过了加密的包，系统难以辨别。
D选项与题意无关。

73.下列哪项事件将构成安全事故?
1.企图进行的网络入侵
2.数据库入侵成功
3.恶意软件感染
4.违反保密政策
5.从安全区域尝试移除信息失败

A:
2 3 4
回答错误

B:
1 2 3

C:
4和5

D:
以上都是
正确答案
答案解析： 任何破坏组织安全或违反安全策略的行为都是安全事故。所描述的每个事件都符合此定义，应将其视为一个事故。（个人觉得有争议，选A）

76.您正在对网络上的潜在僵尸网络感染进行调查，并希望对网络上不同系统和互联网上的不同系统之间传递的信息进行取证分析。你认为这些信息可能是加密的。你是在活动结束后开始调查的。获得这些信息来源的最佳和最简单的方法是什么?

A:
数据包捕获
回答错误

B:
Netflow数据
正确答案

C:
入侵检测系统日志

D:
集中的身份验证记录

```解析：
做错这题是没好好看题，也不熟悉netflow日志。
netflow：指数据交换方式，提供网络会话视图，记录TCP/IP事务信息。能够监控网上的IP flow流数据。通过实时监控数据流量，与历史记录模式匹配，或与异常流量匹配，让网络管理员查看网络状态。
数据包捕获：指通过wireshark或者tcpdump之类的工具进行抓包，往往能抓完整的流量，但是不同的是需要实时抓取，不能抓去历史记录的包。
入侵检测系统日志：可能抓到，但是也可能抓不到包，经过了加密的包，系统难以辨别。
D选项与题意无关。

82.布鲁斯发现他的网络上有很多可疑的活动。看起来外部实体试图使用端口22上的TCP连接连接到他的所有系统。外部人可能会进行什么样的扫描?

A:
FTP扫描

B:
Telnet扫描
回答错误

C:
SSH扫描
正确答案

D:
HTTP扫描

```解析：
这题我是记错端口了，对端口不熟悉
20/21都是TFP端口，FTP数据传输。
22是SSH登陆端口，比较安全。
23玉树tlenet端口，不安全。

92.下列哪一种技术通常不用于从磁带中删除不想要的残余数据?

A:
物理破坏
回答错误

B:
消磁

C:
覆盖

D:
格式化
正确答案

```解析：
这题是不清楚磁带的数据剩磁处理。
磁带是能够被消磁的，并且消磁后是没有出具剩磁，覆盖操作的话也能够把数据全都替换成不敏感的数据。物理破坏时最直接的，直接能够让数据消失。
所以这题只有格式化不对，因为格式化不能够防止数据剩磁。

98.攻击者在何种类型的攻击中设法插入用户和合法网站之间的连接?

A:
Man-in-the-middle
正确答案

B:
Fraggle

C:
Wardriving

D:
Meet-in-the-middle
回答错误

```解析：
这题纯属大意了。
A术语man-in-the-middle攻击，翻译过来就是中间人攻击，正好符合题意。
B选项时DOS攻击方式的一种，使用UDP端口进行反射攻击。
C术语战争驾驶，也就是发现无线网络的方式。
D是中间相遇攻击，专门针对3DES的攻击方式。
在中间人攻击中，攻击者设法将自己插入用户和合法网站之间的连接中，在窃听连接的同时中继双方之间的流量。尽管名称类似，中间相遇攻击是一种加密攻击，不一定涉及到连接篡改。Fraggle是一种使用UDP数据包的基于网络的拒绝服务攻击。Wardriving是一种发现开放或弱安全无线网络的侦察技术。

101.联邦民事诉讼规则(FCRP)中的什么概念有助于确保当收益不超过成本时，作为电子发现的一部分不会产生额外的时间和费用?

A:
工具辅助审查
回答错误

B:
合作

C:
抢劫

D:
比例

```解析：
这题是书上没提及的，我也不懂。
只需要相对应有个印象就行
额外发现的好处必须与所需的额外成本成比例。这可以防止额外的发现请求变得过于昂贵，请求者通常必须向主持案件的法官证明这些请求的合理性。

102.Anne想要收集关于安全设置的信息，并通过收集分布在她公司的一组Windows 10工作站的数据来建立她组织资产的整体视图。什么Windows工具最适合这种类型的配置管理任务?

A:
SCCM
正确答案

B:
组策略
回答错误

C:
SCOM

D:
自定义的PowerShell脚本

```解析：
这题是不知道相关知识点
SCCM是系统中心配置管理器，对计算机资源实现自动化管理，实现终端设备标准化，并在第一阶段主要实现计算机资源管理、补丁管理、软件分发和远程控制等几项主要功能。旨在让管理员评估Windows工作站和服务器的配置状态，并提供资产管理数据。
组管理：可以实现许多任务，但不提供能够收集信息。
SCOM：微软系统中心操作系统，主要用于监视运行状况和性能，类似于虚拟机管理程序。
自定义PowerShell脚本可以执行此操作，但配置检查不需要它。

103.Scott负责处理从公司的SAN中取出的磁盘驱动器。如果组织认为SAN上的数据高度敏感，他应该避免下列哪个选项?

A:
物理上摧毁它们

B:
与SAN供应商签署一份需要适当处理并提供认证过程的合同
回答错误

C:
在每个驱动器离开组织之前重新格式化
正确答案

D:
使用安全擦除工具，如DBAN

```解析：
这题是我以为B选项会泄密，但是如果泄密，供应商将承担赔偿。
每个驱动器进行格式化不能够解决数据残留问题。所以选择B选项是最好的。