37.什么因素可以区分帧中继与X.25？

A:
帧中继通过单个WAN载波支持连接多个PVC
正确答案

B:
帧中继是一种小区交换技术，而X.25是分组交换技术

C:
帧中继不提供承诺信息速率(CIR)

D:
帧中继在供应商一端仅需要一个DTE即可
回答错误

```解析：
这题错说明我没弄懂帧中继和X.25之间的区别
WAN是广域网，帧中继和X.25都是WAN的连接技术。
WAN和LAN的边界连接设备也叫CSU/DSU通信服务单元/数据服务单元。这些设备把LAN信号转化为WAN网络能够识别的格式。
CSU/DSU中包含DTE/DCE数据终端设备/数据电路-终端设备，为LAN中的路由器（DTE）和WAN运营商的交换机（DCE）提供真实的连接点。
CSU/DCU充当转换器，存储转发设备，以及链路调节器。

电路交换：两个实体建立专门的物理连接，相当于专线。
分组交换：通过将信息拆分成很小的段，每个段又头部信息，进行转发。

PVC永久虚电路：在源和目的地址之间建立永久硬件地址连接，不用的时候都保持连接，但是是关闭状态。
SVC交换式虚电路：根据实时交换要求建立临时连接。
这两种方式都是使用分组交换的传输方式。

X.25：
一种分组交换技术，使用永久虚电路建立专门的点对点连接，是帧中继的前身。
吞吐量较少，网络性能较差。

帧中继：
也是一种分组交换技术，使用的也是永久虚电路。
帧中继在单一WAN运营商服务连接上支持多条PVC，也就是一个WAN口能够支持多个永久虚电路连接。
帧中继是数据链路层的技术，面向连接的分组交换传输技术。
帧中继中还有一个CIR概念，也叫承诺信息速率，是服务供应商向用户所保证的最低带宽。
帧中继的每个连接点都需要使用DTE/DCE。

ATM：
异步传输模式，一种信元交换WAN通信技术。
使用固定长度的信元，保证ATM高吞吐率，能够支持PVC和SVC。
一种随用随附的收费原则。

根据上面我们能够知道
A选项是最符合题意的，帧中继的确是单个WAN支持多个PVC，B选项X.25和帧中继都是分组交换技术。
C选项帧中继正是提供了CIR这个概念，D选项帧中继的每个连接点都需要DTE/DCE。故这题选择A。

57.Ben的工作是确保数据标有适当的敏感性标签。由于Ben在美国*工作，他必须将未分类、机密、秘密和绝密这四个标签应用于系统和介质。如果Ben被要求标记一个处理秘密、机密和未分类信息的系统，他应该如何标记？

A:
混合分类

B:
机密

C:
绝密
回答错误

D:
秘密
正确答案

```解析：
这题错没看清题目
我们要根据信息分类的最高等级来标记介质的保护等级。
军事：绝密-秘密-机密-未分类
商业：机密/专有-私有-敏感-公开

56.在电子发现过程的哪个阶段，组织对所收集的信息进行粗略剪切，以丢弃不相关的信息？

A:
保存

B:
识别

C:
收集
回答错误

D:
处理
正确答案

```解析：
这题做错，说明我对电子发现取证过程不熟悉。
电子发现：纸质档案盒电子记录及电子发现的过程促进电子信息的披露处理。
电子发现过程：信息治理-识别-保存-收集-处理-检查-分析-产生-呈现
信息治理：确保信息治理有良好组织。
识别：定位信息发现的位置。
保存：确保发现的信息不被篡改或删除。
收集：将敏感信息收集起来。
处理：过滤收集到的信息，进行”剪切“方式筛选
检查：检查剩下信息，确定敏感信息，移除律师和客户之间的信息保护。
分析：对剩余文档执行更深层次的检查。
产生：输出标准格式的信息。
呈现：向法院，证人展示信息。

104.分布式访问控制的主要优点是什么？

A:
它提供更好的冗余
回答错误

B:
它可以控制对资源更近的人员的访问。
正确答案

C:
它更便宜

D:
它提供了更细粒度的访问控制

```解析：
这题我不知道分布式访问控制是什么
身份管理技术分为两类：集中式和分散式/分布式
集中式：意味着所有授权验证都由系统内的单个实体执行。相当于MAC强制访问控制的集中管控。
分散式/分布式：意味着位于整个系统的各种实体执行授权的验证。相当于不同系统，不同的验证。
B选项的意思是比较好管控相对近的逻辑上的人的访问控制，并不是距离上的。

74.Susan的SMTP服务器在接受和中继电子邮件之前不验证发件人。这个安全配置问题是什么？

A:
电子邮件网关
回答错误

B:
SMTP中继

C:
X.400标准网关

D:
开放中继
正确答案

```解析：
做错这题是我不理解SMTP
SMTP使用的端口是25，也叫简单邮件传输协议。TCP/IP层协议，用来中转和发送邮件。
这个协议用于客户端向邮件服务器以及邮件服务器向另一个邮件服务器发送邮件。
开放中继：在接受和中继电子邮件之前并不对发送者进行身份认证的SMTP服务器。
开放中继同时是垃圾邮件发送这的主要目标，能够允许垃圾邮件发送者借助于不安全的电子邮件基础设施发送大量的邮件。
开放中继被锁定变为关闭或认证中继时，越来越多的SMTP攻击通过劫持认证用户账户而发生。
在转发消息之前没有对用户进行身份验证的SMTP服务器称为开放中继。 公开的中继在互联网上暴露，通常迅速利用发送电子邮件给垃圾邮件制造者。

73.米歇尔负责她的组织的移动设备管理工作，处理丢失和被盗的设备。以下哪项建议最能保证她的组织在设备被盗时数据不会丢失?

A:
强制密码和应用程序管理

B:
全设备加密和强制通行码
正确答案

C:
远程擦拭和GPS跟踪
回答错误

D:
启用GPS跟踪和全设备加密

```解析：
远程擦除在设备允许网络连接的情况下可用，但很不幸，几乎现在所有盗窃设备都有自己的流程，通常都是直接进行类似法拉第笼的信号拦截，许多现代盗贼会立即采取措施，确保设备在捕获数据或删除设备以转售之前不会被追踪或被允许连接到网络。
故这题我们一句题意的最好，我们使用全加密，能最好防止数据被丢失，因为加密技术的破解几乎很难。通行码也能在一定程度上防止数据泄密。
A选项数据防止对应用程序的攻击对设备的不必要访问。

96.下列哪项活动有助于减轻零日漏洞的威胁？

A:
发现漏洞

B:
实现传输层加密

C:
重新配置防火墙
回答错误

D:
发布安全补丁
正确答案

```解析：
零日漏洞：指的是系统或程序中的漏洞，没有修复补丁，软件供应商不知道的漏洞。
A选项发现漏洞，我们基本不可能发现零日漏洞的。B选项，实现TLS、、SSL不能够减轻零日漏洞的威胁。
防御零日漏洞通常只能通过打补丁，配置防火墙只能过滤流量，不能很好防御零日漏洞攻击，最好还是打补丁，所以D更优。

32.Don的公司正考虑使用对象存储系统，其中通过使用API调用将数据放置在供应商管理的存储环境中。他们使用的是什么类型的云计算服务？

A:
IaaS
正确答案

B:
PaaS

C:
CaaS

D:
SaaS
回答错误

```解析：
做错这题不确定题目的场景是基于那个模型来的
存储区域网（SAN）：使用磁盘阵列或磁带库于相关服务器连接起来的高速专用光纤网。
网络附加存储（NAS）：直接连接在计算机网络上，具备资料存储功能的设备。以数据为中心，集中管理数据。
对象存储系统（OSD）：通过数据通路和控制通路进行分离，构建存储系统，每个存储对象具有一定智能。相当于SAN和NAS的融合，能够依据对象分类存储。
在题目中我们能够知道布置对象存储系统属于操作管理系统层面，API数据操作应用层面，数据数据操作数据层面，故这题选择基础架构即服务。
在这个场景中，供应商提供了基于对象的存储，这是一个核心基础设施服务。 因此，这是一个基础设施即服务(IaaS)的示例。

121.访问控制的问责制有哪两个重要因素？

A:
标识和授权
回答错误

B:
身份验证和授权

C:
标识和身份验证
正确答案

D:
问责和身份验证

```解析：
做错这题说明我对问责制不够了解
问责：在实施审计使，用户和其它主体可以对其行为负责
书上原话：
问责制依赖于有效的身份识别和身份验证，但不需要有效的授权。
在识别和验证用户后，日志之类的问责机制可以跟踪他们的活动，即使他们试图访问他们未被授权访问的资源。
也就是说，问责制需要强有力的身份识别和身份验证，这样才能让主体为他们行动承担后果，授权不是必须的。
故这题我们选择身份识别和身份验证。

62.作为雇用新员工过程的一部分，Kathleen的身份管理团队创建了一个新的用户客体，并确保用户客体在需要它的目录和系统中可用。这个过程叫什么？

A:
注册
回答错误

B:
配置
正确答案

C:
账户

D:
身份验证加载

```解析：
这题错是我不知道还有配置这一过程。
注册：当用户首次获得身份时，将发生注册过程。也就是新员工在招聘过程中使用适当的文档证明自己的身份。人力资源为其创建用户ID的过程。注册发生在用户在生物识别系统登记时
配置过程：就是为用户分配权限，能够访问什么内容。包括从应用程序、系统和目录中创建、维护和删除用户对象。
这题CD项都属于迷惑选项，A选项在题目中确实提到了，但是重点时为用户分分配权限的过程。所以选择B

13.Angie正在其网络上配置出口监控，以提供更高的安全性。 Angie应该允许以下哪一种数据包类型离开网络进入Internet？

A:
源地址为Angie公共IP地址的数据包
正确答案

B:
目的地址为Angie公共IP地址的数据包

C:
源地址不是Angie地址块的数据包

D:
源地址为Angie私有地址的数据包
回答错误

```解析：
这题错说明我对流量逻辑不清楚，这题涉及到了NAT知识。
NAT是网络地址转换协议，也就是说吧私网地址转换为公网地址。替换原来包的源IP为NAT端口的公网IP地址。
题目怒说注重安全性，那么肯定不会允许外来流量进入。还有说的情景是属于离开的数据包。
B选项属于进入的情况，并不是离开的数据包，所以排除。
C选项源地址不是内网地址，最好也要过滤，一般情况下不可能出现这种情况。
D选项是发送数据包出去是不能够回包的，因为私网是不能去除正确路由的。
一般出去防火墙的包，都是先NAT再进行过滤。故只有A选项正确。

59.Ben关注他的系统并对系统进行密码破解攻击。他希望实施安全控制，防止攻击者获得这些散列值来破解系统。哪两个控制将最好地实现这一目标？

A:
更长的密码以及更长的盐
正确答案

B:
线上加密，并用SHA1替代MD5

C:
使用盐和MD5

D:
使用shadow密码和盐
回答错误

```解析：
这题错误说明我想得太简单
先回忆一下hash的知识点：
散列函数：提取一条可能回比较长的长消息，然后从消息内容中衍生出一个唯一输出值。可以用于验证完整性和执行数字签名。
散列函数的要求：
1.输入可以是任何长度      2.输出有一个固定长度      3.为任何输入计算散列函数都相对容易      4.散列函数是单向的      5.散列函数无冲突
目前市场上的MD5破解就是使用一条消息，生成MD5值，去进行跟hash之后的消息对比，如果hash值相同，则代表明文内容一致。
所以这题我们要根据MD5破解的流程来得到答案，首先只要我们使用更长的密码，那么市面上的MD5破解就更难以对比得到我们的密码，款且还有加盐这一操作。
shadow密码也叫影子密码，在Unix和Linux系统上使用，是一种hash加密，一般root用户可读，所以一旦黑客访问到只有加盐，不比A的效果强。
MD5和SHA1都是现今不太安全的hash算法，一般最好不要选择。

114.Alice想要向安全模型添加另一个客体，并授予自己对该客体的权限。Take-Grant保护模型中的哪个规则将允许她完成此操作？

A:
获取规则

B:
授予规则
回答错误

C:
创建规则
正确答案

D:
删除规则

```解析：
这个类型的题我错了第二次了！
首先这是基于Take-Great模型，有四个规则。用来规定如果将权限从一个主体传递到另一个主体或主体传递到客体。
获取规则：允许主体获取客体的权限
授予规则：允许主体想客体授予权限
创建规则：允许主体创建新权限
删除规则：允许主体删除其拥有的权限。
在这个题目中，的确提到了授予权限，但是主体创建了新的客体，并创建自己对客体的权限，这属于创建权限。
如果是授予权限应该是这一描述，主体授予客体权限，让客体去访问另一个，这种情况下才使用授予权限。

41.哪两种逻辑网络拓扑可以在物理上部署成星型结构？

A:
总线和网格
回答错误

B:
环形和网格

C:
总线和环形
正确答案

D:
不可能将其他网络拓扑部署成星型

```解析：
这题是我没更深理解拓扑
环形拓扑：将每个系统连接为一个圆形的形状。
      连接传输只能单向传输，使用令牌进行传输流量。
      具有单点故障，可以采用双环路。
总线拓扑：将每个系统连接到干线或主干电缆。
      采用冲突避免机制，也就是CSMA/CA机制。
            CSMA/CA：检测线路是否有介质传输，并请求传输，如果传输过程中，冲突了那么会随机一段时间再传输。
      单个段故障不会影响其它段通信，但总线路存在单点故障。
      总线拓扑存在两种类型：树形和线性
星形拓扑：采用集中式连接设备，每个系统连接到*集线器。任何一个段失败，其它段可以继续允许，但*集线器也存在单点故障。
网状拓扑：使用多个路径将系统连接起来。提供冗余连接，即使多个段错误，也不会严重影响连接。