CISSP最新官方习题集（中英对照）领域（2）：资产安全

前情回顾

CISSP最新官方习题集（中英对照）领域（1）：安全与风险管理

咱们老师整理了一份CISSP学习指南教材对应的8大考试领域，同学们可以自行领取

通过CISSP考试，听课是不够的，还需要配套的刷题来检验你的学习效果。上周我们已经公布了CISSP领域一的练习题：安全与风险管理。

接下来我们一起来看看CISSP领域（2）——资产安全 的官方习题

（1）Angela is an information security architect at a bank and has been assigned to ensure that transactions are secure as they traverse the network.Sherecommends that all transactions use TLS.What threat is she most likely attempting to stop，and what method is she most likely using to protect against it？

Angela是一家银行的信息安全架构师，贡任是确保交易在通过网络时是安全的。她建议所有交易使用TLS。在这场景中，她最有可能试图阻止什么样的威胁，以及她是用什么方法来防范？

A.Man-in-the-middle VPN中间人，VPN

B.Packet injection，encryption数据包注入，加密

C.Sniffing，encryption嗅探，加密

D.Sniffing，TEMPEST嗅探，TEMPEST

答案：C Encryption is often used to protect traffic like bank transactions from sniffing.

While packet injection and man-in-the-middle attacks are possible，they are far less likely to occur，and if a VPN were used，it would be used to provideencryption.TEMPEST is a specification for techniques used to prevent spying using electromagnetic emissions and wouldn"t be used to stop attacks at any normal bank.

加密通常用于保护流量，如银行交易免受嗅探。虽然数据包注入和中间人攻击是可能的，但它们发生的可能性要小得多，而且如果使用VPN，它将用于提供加密。TEMPEST是用于防止使用电磁辐射进行间谍活动的技术规范，不会用于阻止任何正常银行的攻击。

（2)Control Objectives for Information and Related Technology（COBIT）is a framework for information technology（IT）management and governance.Which data management role is most likely to select and apply COBIT to balance the need for security controls against business requirements？

COBIT（信息和相关技术的控制目标）是IT管理和治理的框架。哪个数据管理角色最有可能选择和应用COBIT来平衡安全控制对业务需求的需求？

A.Business owners业务所有者

B.Data processors数据处理者

C.Data owners数据所有者

D.Data stewards数据管理员

答案:A Business owners have to balance the need to provide value with regulatory，security，and other requirements.This makes the adoption of a common framework like COBIT attractive.Data owners are more likely to ask that those responsible for control selection identify a standard to use.Data processors are required to perform specific actions under regulations like the EU DPD.

Finally，in many organizations，data stewards are internal roles that oversee how data is used.

业务所有者必须平衡将价值与监管、安全和其他需求相结合的需要。这使得像COBIT这样的通用框架具有吸引力。数据所有者更可能要求负责控制选择的人员确定要使用的标准。数据处理者需要根据欧盟DPD等法规执行具体的行动。

最后，在许多组织中，数据管理员是监督数据如何使用的内部角色。

（3）Nadia"s company is operating a hybrid cloud environment with some on-site systems and some cloud-based systems.She has satisfactory monitoring on-site，but needs to apply security policies to both the activities her users engage in and to report on exceptions with her growing number of cloud services.What type of tool is best suited to this purpose？

Nadiat的公司正在运营一个混合云环境，包括一些现场系统和一些基于云的系统。她有令人满意的现场监控，但需要将安全策略应用到用户参与的活动中，并报告其云服务中数量不断增加的异常情况。什么类型的工具最适合此用途？

A.A NGFW下一代防火墙

B.A CASB（cloud access security broker）云访问安全代理

C.An IDS入侵检测设备

D.A SOAR（security operations and response）安全操作与响应系统

答案：B

Nadia的最佳选择是云访问安全代理（CASB）。CASB被设计成介于云环境和使用它的用户之间，它提供监控和策略实施功能。下一代防火墙（NGFW）、入侵检测系统（IDS）和安全操作与响应（SOAR）工具都可以提供一些关于正在发生的事情的监测分析，但它们并不像CASB那样是专门构建和设计的。NGFW和DS最有可能提供对流量模式和行为的洞察，而SOAR主要用于监控其他系统并集中数据进行响应，在该特定场景中可能最没有用处。

***新题，提醒关注术语CASE和SOAR

（4）When media is labeled based on the classification of the data it contains，what rule is typically applied regarding labels？

当媒体（介质）根据其所包含的数据分类（密级）进行标记时，通常应用了哪些关于标签的规则？

A.The data is labeled based on its integrity requirements.

数据根据其完整性要求进行标记

B.The media is labeled based on the highest classification level of the data it contains.

媒体（介质）根据其包含的数据的最高分类（密级）等级进行标记

C.The media is labeled with all levels of classification of the data it contains.

媒体（介质）上标记它所包含数据的所有分类（密级）等级

D.The media is labeled with the lowest level of classification of the data it contains.

媒体（介质）标记所含数据的最低分类（密级）等级

答案：B Media is typically labeled with the highest classification level of data it contains.This prevents the data from being handled or accessible at a lower classification level.Data integrity requirements may be part of a classification process but don"t independently drive labeling in a classification scheme

媒体（介质）通常以其所包含的最高分类（密级）等级的数据标记。这可以防止在较低的分类（密级）级别处理或访问数据。数据完整性要求可能是分类（定级）过程的一部分，但不能独立推动分类（定级）方案中的标签。

（5）Staff in an information technology（IT）department who are delegated responsibility for day-to-day tasks hold what data role？

负责日常任务的IT部门工作人员担任什么数据角色？

A.Business owner业务所有者

B.User用户

C.Data processor数据处理者

D.Custodian保管人

答案：D Custodians are delegated the role of handling day-to-day tasks by managing and overseeing how data is handled，stored，and protected.Data processors are systems used to process data.Business owners are typically project or system owners who are tasked with making sure systems provide value to their users or customers.

通过管理和监督数据如何处理，存储和保护，托管人被赋予处理日常任务的角色。数据处理者是用来处理数据的系统。业务所有者通常是负责确保系统为其用户或客户提供价值的项目或系统的所有者。