D5知识点正确率：58/48/64 综合：57 练习题链接如下，早起的鸟儿有虫吃～

• 单元D5-1测试
• 单元D5-2测试
• 单元D5-3测试

1、Jacob正在为组织规划生物识别认证系统，考虑使用视网膜扫描，这样做可能会存在什么问题？
视网膜扫描可以泄露个人医疗信息。（正确答案）
视网膜扫描可能有害健康，因为需要向用户的眼睛喷空气。
视网膜扫描仪是最昂贵的生物测定仪器。（我的选择）
视网膜扫描仪假阳性率较高。

视网膜扫描可能会泄露个人医疗隐私，包括高血压和怀孕。较新的视网膜扫描不需要喷气，视网膜扫描仪也不是最昂贵的生物测定仪器。假阳性率通常可在软件中调整。

2、以下哪项不是有效的LDAP DN（可识别名）？
cn=ben+ou=sales（我的选择）
ou=example
cn=ben,ou=example;（正确答案）
ou=example,dc=example,dc=com+dc=org

LDAP可识别名由零个或多个逗号分隔的部分组成，称为相对可分辨名称。cn = ben，ou = example;以分号结尾，不是有效的DN。

3、Susan的组织正在更新其密码策略，并希望尽可能使用安全性最强的密码。以下哪种做法可以有效的对抗暴力攻击？
将最大使用时间从1年更改为180天。
将最小密码长度从8个字符增加到16个字符。（正确答案）
增加密码复杂性，至少包含三个字符类（例如大写字母、小写字母、数字和符号）。（我的选择）
保留至少四个密码的密码历史记录，来防止重复使用。

密码复杂性由长度决定，每增加一个字符都会使得密码更难破解，例如，增加一个小写字母会使得密码的破解难度增加26倍。虽然其他设置对强密码策略有用，但是它们针对暴力攻击不像上述方法那样有效。

4、生物因素的存储样本被称为什么？
参考模板（正确答案）
令牌存储
生物识别密码（我的选择）
注册产品

生物因素的存储样本称为参考模板。其他答案都不是生物系统的常见术语。

5、下哪一对因素是用户接受生物识别系统的关键？
FAR
吞吐率和注册所需时间（正确答案）
CER和ERR（我的选择）
用户必须重新注册的频率和参考资料的要求

如果注册时间较长(几分钟)，且识别速度慢，那么生物识别系统的可用性就很差。
FAR和FRR在设计中可能很重要，但它们通常对用户不可见。
CER和ERR是相同的，是FAR和FRR相等时的交叉点。
参考资料要求是系统要求，而非用户要求。

6、当你输入用户ID和密码时，你在执行什么重要的身份和访问管理活动？
授权
验证
认证（正确答案）
登录（我的选择）

当你输入用户名和密码时，属于身份验证过程。
授权是确定用户被允许做什么的过程。
验证和登录不是最重要的身份和访问管理活动。

7、Lauren是一名信息安全分析师，负责为她的组织部署技术访问控制。以下哪项不是逻辑或技术的访问控制？
密码
防火墙
RAID阵列（正确答案）
路由器（我的选择）

防火墙、路由器和密码都是技术访问控制，是用于管理和保护访问的软件或硬件系统。
RAID-5是恢复控制。
如果你对“路由器是技术访问控制”有疑问，请记住路由访问控制列表经常用于控制网络访问和流量。

8、Susan工作的金融服务公司为其用户提供了一个门户网站。当用户需要验证他们的身份时，公司使用来自第三方的信息，根据他们过去的信用报告提出问题，例如“你在2007年居住过以下哪些街道？”Susan的组织使用哪个验证方法？
身份证明（正确答案）
密码验证
使用类型2认证因素进行认证（我的选择）
外带身份验证

使用第三方事实信息(类型1身份验证因素)来验证是一种身份证明。
带外身份验证将使用文本消息或电话呼叫，密码验证需要密码。

9、美国政府CAC是什么形式的类型2认证因素？
令牌
生物识别标识符
智能卡（正确答案）
PIV（我的选择）

美国政府的通用卡是一种智能卡。美国政府同样还发行PIV卡，也即个人身法验证卡。

10、什么类型的基于令牌的认证系统使用挑战/响应过程，其中必须在令牌上输入挑战？
异步（正确答案）
智能卡
同步
RFID（我的选择）

异步令牌使用质询/响应过程，其中系统发送质询，并且用户用PIN和计算的对质询的响应进行响应，服务器执行相同的计算，如果两者匹配，则用户通过身份验证。
同步令牌使用基于时间的计算来生成代码。
智能卡与读取器配对，并且不需要输入质询。
RFID设备不用于质询/响应令牌。

11、如果本图中显示的FAR和FRR不能满足组织的要求，Ben应该怎么办？
调整生物识别设备的敏感度。
评估其他生物特征系统进行比较。（正确答案）
移动CER。（我的选择）
在软件中调整FRR设置。

CER是用于评估生物测定设备的标准，如果该设备的CER不满足组织的需要，Ben应该评估其他生物识别系统，以找到具有较低CER的一个。
灵敏度已经在图表中显示出来了，Ben无法改变CER。
FRR也不是可在软件中设置的，因此Ben不可以使用这些方法。

12、在点B，可能会发生什么问题？
错误接受率将非常高。（正确答案）
错误拒绝率将非常高。（我的选择）
错误拒绝将非常低。
错误接受将非常低。

13、什么开放协议旨在替代RADIUS，用TCP代替UDP流量，并提供可扩展命令，但不保留与RADIUS的向后兼容性？
TACACS
RADIUS-NG（我的选择）
Kerberos
Diameter（正确答案）

Diameter旨在提供增强的、现代的功能来替代RADIUS，Diameter提供更好的可靠性和广泛的改进功能。
RADIUS-NG不存在。
Kerberos不是RADIUS的直接竞争对手。
TACACS不是开放协议。

1、Jim在公司内实施IDaaS，支持基于云的应用程序。 Jim的公司没有使用集中式身份服务，而是使用Active Directory进行AAA服务。 请问可以使用以下哪个去解决公司的现场身份认证问题？
使用OAuth集成现场系统。（我的选择）
使用预置的第三方身份服务。（正确答案）
使用SAML集成现场系统。
设计一个内部解决方案来处理组织的独特需求。

Jim的公司正在使用基于云的身份服务系统，因此使用预置的第三方身份服务可以集成身份服务系统。
此外公司使用的Active Directory还得到了第三方供应商的广泛支持。
OAuth用于使用现有凭据登录到第三方网站，与题意不符。
SAML是一种标记语言，不能满足AAA的全部需求。
由于组织使用Active Directory，定制的内部解决方案不太可能像先前存在的第三方解决方案一样有效，可能需要更多时间和费用来实施。

2、以下哪项不是Kerberos的弱点？
KDC是一个单点故障。（我的选择）
KDC的破坏会允许攻击者假冒任何用户。
认证信息不加密。（正确答案）
很容易猜到密码。

Kerberos使用密钥对消息进行加密，为身份验证流量提供保护。
KDC是一个单点故障，如果受到危害，可能导致问题。
因为密钥存储在KDC上，允许攻击者假冒任何用户。
像许多身份验证方法一样，Kerberos可能很容易进行密码猜测。

3、Kathleen需要设置Active Directory信任，从而允许使用现有Kerberos K5域进行身份认证，请问她需要创建什么类型的信任？
快捷信任
森林信任
外部信任（我的选择）
领域信任（正确答案）

Kerberos使用领域，并为需要连接到K5域的Active Directory环境设置的适当信任类型，这是一种领域信任。快捷信任是域树或部分树之间的传递信任，可缩短信任路径。森林信任是两个林根域之间的传递信任，外部信任是独立森林中AD域之间的非传递信任。

4、以下哪项不是单点登录？
Kerberos
ADFS（我的选择）
CAS
RADIUS（正确答案）

Kerberos、联合身份验证服务(ADFS)和中央身份验证服务(CAS)都是单点登录，而且一些供应商会在后台使用它们为专有SSO提供身份验证。
RADIUS不是单点登录。

5、图中的点A，客户端向KDC发送用户名和密码，请问该如何保护用户名和密码？
3DES加密
TLS加密（我的选择）
SSL加密
AES加密（正确答案）

Kerberos登录中的客户端在将用户名和密码发送到KDC之前，使用AES加密用户名和密码。

6、客户端在使用TGT之前必须执行哪些任务？
它必须生成TGT的散列和解密对称密钥。
它必须安装TGT和解密对称密钥。（正确答案）
它必须解密TGT和对称密钥。
它必须使用对称密钥向KDC发送一个有效的响应，同时需要安装TGT。（我的选择）

客户端需要安装TGT以供使用，还必须使用用户密码的散列来解密对称密钥。

7、为身份系统提供问责的最佳方式是什么？
记录（正确答案）
授权
数字签名（我的选择）
类型1认证

日志记录系统可通过跟踪账户执行的操作和更改等，为身份系统提供问责。

8、以下哪项是客户端/服务器协议，旨在允许网络访问服务器通过向中央服务器发送访问请求消息来验证远程用户？
Kerberos
EAP
RADIUS（正确答案）
OAuth（我的选择）

RADIUS是提供身份验证和授权的AAA协议，它通常用于调制解调器、无线网络和网络设备，它使用网络访问服务器，向中央RADIUS服务器发送访问请求。
Kerberos是基于票据的身份验证协议。
OAuth是一种开放的身份验证标准，允许使用来自第三方网站上的凭据。
EAP是可扩展身份验证协议，通常用于无线网络。

10、如果Alex的组织主要由非现场、外出用户组成，那么这会导致什么样的风险，他又该如何应对这一风险？
第三方集成不可靠；使用SSL和数字签名。
如果内部组织离线，外出用户将无法访问第三方应用；实现混合云/本地认证系统。（正确答案）
本地用户可能无法正确重定向到第三方服务；实现本地网关。（我的选择）
浏览器可能无法正确重定向；使用主机文件来确保重定向问题得到解决。

如果组织服务器离线，则依赖本地身份验证的第三方集成可能会失败。采用混合云/本地身份验证系统可以解决服务器中断，从而允许身份验证工作。
使用加密和签名的通信无法解决可用性问题，重定向是第三方配置问题，本地网关也不会处理远程用户。此外，主机文件不能帮助解决DNS以外的服务的可用性问题。

11、什么解决方案可以最好地帮助解决如图中步骤2所示的问题？
受信任第三方的安全意识培训（正确答案）
TLS（我的选择）
处理本地站点的重定向
实施IPS来捕获SSO重定向攻击

安全意识通常是最好的防御。
使用TLS将保持事务机密，但不会阻止重定向。
在本地处理重定向问题仅适用于本地托管网站，而且使用第三方服务需要非现场重定向。
IPS可能会检测攻击者的重定向，但也是具有挑战性的。此外，IPS依赖于对流量的可见性，并且SAML集成应该被加密，用于保证安全性。

12、Google同其他组织的服务进行整合，使用同一个身份认证系统，请问这属于什么？
PKI
联邦（正确答案）
单点登录（我的选择）
配置

Google与其他组织的应用程序整合起来，身份验证采用单点登录的方法。
PKI(公钥基础结构)用于证书管理。题目所述侧重的是联邦，而不是单点登录。
配置要求提供账户和相应的权限。

13、Jim将他的LDAP客户端配置连接到LDAP目录服务器。根据配置指南，他的客户端应该连接到服务器端口636。下面关于LDAP的说法哪个是正确的？
它需要通过SSL / TLS的连接。（正确答案）
它仅支持未加密的连接。
它提供全集目录服务。（我的选择）
它不提供全集目录服务。

端口636是LDAP-S的默认端口，它提供基于SSL或TLS的LDAP，因此指示服务器支持加密连接。由于没有提供足够信息，我们不知道服务器是否提供对全局目录的支持。

14、X.500标准涵盖了什么类型的身份系统？
Kerberos（我的选择）
配置服务
生物识别认证系统
目录服务（正确答案）

X.500系列标准涵盖了目录服务。
Kerberos在RFC中描述。
生物识别系统包括ISO之类的各种标准，供应标准包括SCIM、SPML等。

15、Lauren负责建立一个银行网站，她应如何验证用户身份？
要求用户创建只有他们知道的唯一问题。
要求新用户亲自携带驾驶执照或护照到银行来。
使用银行和用户都有的信息。（正确答案）
呼叫用户的注册电话号码来验证真伪。

在身份验证时，组织可使用他们拥有的用户信息(如账号和个人信息)。
要求用户创建只有他们知道的问题，可以在用户重置密码时提供帮助。
使用电话验证无法确认用户真实身份。
面对面验证对于大多数网站来说是不现实的。

16、默认情况下，Open LDAP以什么格式存储userPassword属性的值？
明文（正确答案）
盐和散列（我的选择）
MD5散列
使用AES 256算法加密

默认情况下，OpenLDAP在清除时会存储userPassword属性。这意味着确保密码以安全格式提供给OpenLDAP是管理人员或程序员的职责，通常是由他们建立配置系统。

17、什么LDAP认证模式可以提供安全认证
匿名
SASL（正确答案）
简单
S-LDAP（我的选择）

LDAP的简单身份验证和安全层(SASL)提供对一系列身份验证类型(包括安全方法)的支持。
简单身份验证可通过SSL或TLS进行隧道传输，但不提供安全性。
S-LDAP不是LDAP协议。

18、如果允许OpenID信任方控制连接OpenID提供程序，会引发什么危险？
错误选择适当的OpenID提供程序。
网络钓鱼攻击。（正确答案）
窃取用户名和密码。（我的选择）
不发送签名声明。

有可能会发生网络钓鱼攻击。由于OpenID提供程序URL由客户端提供，因此依赖方不能选择错误的提供程序。
依赖方从未收到用户的密码，这意味着他们不能窃取它。
最后，依赖方接收到签名的声明，但不发送。

1、关注于主体，且标识出每个主体可以访问的客体。请问这是哪个访问控制模型的特点？
访问控制列表（我的选择）
隐式拒绝列表
能力表（正确答案）
权限管理矩阵

能力表列出分配给主体的权限，并标识出主体可以访问的客体。
访问控制列表是面向客体的，而不是主体。
隐式拒绝是一种原则，规定任何未明确允许的内容都会被拒绝。
权限管理矩阵不是访问控制模型。

2、在日志审查期间，Saria发现一系列日志显示登录失败，如下所示：
暴力破解攻击（我的选择）
中间人攻击
字典攻击（正确答案）
彩虹表攻击

字典攻击使用常用密码或者常用密码变体的字典来尝试假冒用户进行登录。题中显示的密码是各种单词的变体，因此很好辨认。
暴力攻击通常是简单的密码迭代。
而中间人攻击在身份验证日志中不可见。
当攻击者已经拥有密码散列时，会使用彩虹表攻击。

3、非集中式访问控制通常会导致什么主要问题？
可能发生访问中断。
控制不一致。（正确答案）
控制粒度太细。（我的选择）
培训成本高。

非集中式访问控制可能无法保证一致性，因为不同的个人对策略和需求的解释往往是不同的，执行起来更是千差万别。
这种情况下，也可能出现访问中断、粒度控制过细和产生培训成本，具体取决于实施，但这些都不是非集中式访问控制的主要问题。

4、回拨家庭电话号码属于什么类型的因素？
类型1
你的位置（正确答案）
类型3
地理（我的选择）

对家庭电话号码的回拨属于“你的位置”因素，但可能会被呼叫转移，或受到VoIP系统欺骗。
类型1因素是“你知道什么”，类型3因素是生物特征。
地理因素通常基于IP地址或GPS。

5、下面列出了一些权限列表，请问这是什么类型的访问控制？
基于资源的访问控制（正确答案）
基于角色的访问控制
强制访问控制（我的选择）
基于规则的访问控制

基于资源的访问控制涉及资源(如存储卷)的权限，它在基础架构即服务环境中变得越来越普遍。由于不存在角色、规则、分类系统，表明基于角色、基于规则、强制访问控制都是不符合要求的。

6、有一台默认配置的RADIUS服务器，Angela使用嗅探器来监视该服务器的流量。她应该监控什么协议，可以读取到什么流量信息？
UDP；读取不到流量信息，因为所有RADIUS流量都被加密
TCP；除去密码外的所有流量，因为密码会被加密（我的选择）
UDP；除去密码外的所有流量，因为密码会被加密（正确答案）
TCP；读取不到流量信息，因为所有RADIUS流量都被加密

默认情况下，RADIUS使用UDP并且只加密密码。RADIUS支持TCP和TLS，但这不是默认设置。

7、以下哪项不是访问控制机制的常见威胁？
虚假登录页面
网络钓鱼（正确答案）
字典攻击
中间人攻击

网络钓鱼不是对访问控制机制的攻击。虽然网络钓鱼可能导致窃取证书，但攻击本身并非针对控制系统，而是针对被钓鱼的人。
字典攻击和中间人攻击都是目标访问控制系统。

8、以下哪些工具通常不用于验证组织的安全策略配置？
日志审查
人工审查权限
基于签名的检测（正确答案）
审查审计线索（我的选择）

虽然基于签名的检测用于检测攻击，但是配置过程的审查通常涉及检查日志、审查审计线索或执行人工审查权限。

9、Lauren在公司中开始了新的工作，但是她可以访问到工作之外的其他系统，请问她遇到了什么问题？
特权蠕变（我的选择）
权限冲突
最小特权
过多特权（正确答案）

当用户拥有的权限超出工作所需时，将发生过多特权问题，这违背了最小特权原则。与权限蠕变不同，这是一个权限管理问题。权限冲突是一个虚造的词。

10、什么类型的攻击是为了阻止状态令牌创建和交换的？
XSS
CSRF（正确答案）
SQL注入
XACML（我的选择）

在OAuth会话期间交换的防伪状态令牌旨在防止跨站点请求伪造。这样，具有来自Google OAuth服务的身份验证响应的唯一会话令牌可用于确认是用户(而不是攻击者)发出请求。
XSS攻击专注于脚本，并且涉及脚本标签，SQL注入将包含SQL代码。
XACML是可扩展的访问控制标记语言，而不是一种攻击类型。

11、Susan工作的公司的安全管理员已配置她使用的工作站，允许她只在工作时间登录。什么类型的访问控制最好描述了这种限制？
约束接口（我的选择）
上下文相关控制（正确答案）
内容相关控制
最小特权

基于时间的控制是上下文相关控制。
约束接口将限制Susan在应用程序或系统接口中能够做什么。
内容相关控制将限制她基于角色或权限访问内容。
最小特权用于确保用户只拥有他们履行职责所需的权利。

12、当Alex按照下图中显示的权限在Linux服务器上设置许可时，他使用了什么类型的访问控制模型？
基于角色的访问控制（我的选择）
基于规则的访问控制
强制访问控制
自主访问控制（正确答案）

Linux文件系统允许客体所有者确定主体对它们的访问权限，这是自主访问控制。
如果系统强行实施基于角色的访问控制，Alex将无法设置控制，他们将根据每个对象的角色来设置。
基于规则的访问控制系统将对整个系统应用一套规则。
强制访问控制系统使用分类标签。

本篇完～