官方模拟题速记 · 手机版

☰ 目录

官方模拟题 · 考点速记

CISSP Official Practice Tests 第4版 · 易错题型精华

📝 1300+ 题提炼 · 手机离线版
📝 知识域导航
D1安全与风险管理 D2资产安全 D3安全架构与工程 D4通信与网络安全 D5身份与访问管理 D6安全评估与测试 D7安全运营 D8软件开发安全
这本是 1300+ 道官方模拟题的精华提炼,不是教材。按 8 域整理最高频易错题型陷阱选项。橙红卡片标记:★ 必记结论、✗ 陷阱选项、▸ 答题技巧。配合前 4 本教材精读,刷题查漏补缺。点右上「☰ 目录」跳转。
🛡️ 知识域 1

Domain 1 · 安全与风险管理

高频易错题型
Domain 1 安全与风险管理总览
Domain 1 安全与风险管理总览点击查看高清画报
🧮

① 风险计算题(必出)

资产50万,某威胁暴露因子30%,一年发生2次,求 ALE?
SLE=50万×30%=15万;ALE=15万×2=30万。
★ 必记
  • SLE=AV×EF;ALE=SLE×ARO。先算 SLE 再乘 ARO。
  • 对策值得买 = (旧ALE − 新ALE) > 年成本。
✗ 陷阱

题目给一堆数字,只有 AV/EF/ARO 是有用的,别被多余数字干扰。EF 用百分比,ARO 是次数。

👔

② "谁负责"类题(管理者视角)

谁批准接受剩余风险?
高级管理层(Senior Management),不是安全官、不是数据所有者。
谁对数据分类负责?
数据所有者(Data Owner),业务/管理层角色。
✗ 陷阱
  • "安全经理/CISO"常是诱饵,最终风险责任在高级管理层
  • "执行/维护"=托管员;"决策/分类"=所有者,别搞反。
📋

③ 文档与流程顺序题

▸ 答题技巧
  • 策略Policy(方向)→标准Standard(强制)→基线Baseline(最低)→指南Guideline(建议)→程序Procedure(步骤)。
  • 只有指南是非强制的,其余都强制。
  • BCP 顺序:项目启动→BIA→策略→计划→测试。BIA 永远在做计划之前。
↑ 顶部Domain 2 →
📦 知识域 2

Domain 2 · 资产安全

高频易错题型
Domain 2 资产安全总览
Domain 2 资产安全总览点击查看高清画报
🗑️

① 介质清除题(超高频)

SSD 固态盘怎么安全清除?
加密擦除或厂商 Secure Erase。消磁对 SSD 无效(非磁介质)。
磁盘要复用给低密级环境,选哪种?
净化 Purging(防实验室恢复)。要彻底淘汰则物理销毁。
✗ 陷阱

"消磁 Degaussing"看到 SSD 就是错的;消磁只对磁带/HDD 有效。

🌍

② 数据主权/隐私角色题

★ 必记
  • 数据存在哪国就受哪国法律管(所辖权 > 所有权)。
  • GDPR:控制者 Controller 定目的,处理者 Processor 执行,违规主罚控制者
  • 跨境隐私冲突的技术手段=数据脱敏 Masking
▸ 答题技巧

一堆已标记介质里混一个未标记的→按最高密级处理。

← Domain 1Domain 3 →
🏗️ 知识域 3

Domain 3 · 安全架构与工程

高频易错题型
Domain 3 安全架构与工程总览
Domain 3 安全架构与工程总览点击查看高清画报
🏛️

① 安全模型题(超高频)

要防止低密级用户读到高密级数据,用哪个模型?
Bell-LaPadula(机密性,no read up)。
要防止低完整性数据污染高完整性数据?
Biba(完整性,no write up / no read down)。
✗ 陷阱
  • 看到"机密性/防泄密"=BLP;"完整性/防篡改"=Biba。问反了就选反。
  • * 星属性是规则;简单属性是规则。
🔑

② 密码学应用题

既要加密又要验证真实性,选哪个模式?
GCM 或 CCM(认证加密)。ECB 最不安全。
不可否认性靠什么实现?
数字签名(私钥签),不是加密、不是哈希。
★ 必记
  • AES=当前主流对称;RSA/ECC=非对称;SHA-256=哈希。
  • 科克霍夫原则:安全只依赖密钥保密,不靠算法保密。
  • 对称密钥数 n(n-1)/2;混合加密=公钥传对称密钥。
✗ 陷阱

MD5/SHA-1/DES/RC4 出现在"安全"选项里基本都是错的(已淘汰)。

🏢

③ 物理安全/消防题

机房防止误喷损坏服务器,用哪种喷淋?
预动作 Pre-action(二次确认才喷)。
▸ 答题技巧
  • 涉及人命→永远选保护人(Fail-Safe、疏散)。
  • 哈龙替代品=FM-200。湿管最快,干管有延迟。
  • 门禁:保命场景 Fail-Safe(解锁);保资产 Fail-Secure(锁死)。
← Domain 2Domain 4 →
🌐 知识域 4

Domain 4 · 通信与网络安全

高频易错题型
Domain 4 通信与网络安全总览
Domain 4 通信与网络安全总览点击查看高清画报
📚

① OSI 分层定位题

路由器/交换机/集线器分别在第几层?
路由器=3层;交换机=2层;集线器=1层。
SYN Flood 攻击在哪一层?
传输层(第4层,TCP三次握手)。
✗ 陷阱

问"在哪层加密/网关代理"=应用层(7);问 IP 路由=网络层(3)。别把 MAC(2层)和 IP(3层)搞混。

🧱

② 防火墙/VPN/无线题

★ 必记
  • IPsec 隧道模式加密整个原始包;传输模式只加密载荷。
  • WPA2=AES/CCMP;WPA3=SAE(防离线字典)。WEP 已废。
  • IDS 只报警;IPS 主动阻断(内联)。
✗ 陷阱

应用代理防火墙"最安全但最慢";包过滤"最快但最粗"。问最安全别选包过滤。

← Domain 3Domain 5 →
🔑 知识域 5

Domain 5 · 身份与访问管理

高频易错题型
Domain 5 身份与访问管理总览
Domain 5 身份与访问管理总览点击查看高清画报
🎫

① 协议辨析题(最易错)

OAuth 做认证还是授权?
只做授权!认证要用 OIDC(OpenID Connect)。
企业给合作方做单点登录,用什么?
SAML(联合身份/SSO)。
✗ 陷阱(最高频)
  • "OAuth 用于认证"→错!OAuth=授权。
  • SAML=企业/SSO;OAuth=授权;OIDC=现代认证。
🪪

② 生物识别 + 访问模型题

生物识别哪个错误最危险?
Type II / FAR(误纳率)——把坏人当成合法用户放进来。
★ 必记
  • FRR=Type I(误拒);FAR=Type II(误纳,最危险);CER 越低越好。
  • MAC=标签最严(军方);DAC=属主决定;RBAC=按岗位;ABAC=按属性。
  • Kerberos 依赖时间同步,KDC 是单点。
← Domain 4Domain 6 →
🔍 知识域 6

Domain 6 · 安全评估与测试

高频易错题型
Domain 6 安全评估与测试总览
Domain 6 安全评估与测试总览点击查看高清画报
🎯

① 测试方法辨析题

渗透测试前第一步做什么?
取得书面授权、明确范围(Rules of Engagement)。
内部 Web 应用扫不出漏洞,怎么办?
认证扫描(带登录凭证),否则只能看到登录页。
✗ 陷阱
  • SAST=静态查源码(不运行);DAST=动态运行测。别搞反。
  • 漏洞评估≠渗透测试:前者列清单,后者真利用。
📊

② 审计报告/指标题

★ 必记
  • SOC 1=财务;SOC 2=安全性(Type II 看一段时间最有价值);SOC 3=公开版。
  • KPI=过去表现;KRI=未来风险预警。
  • 大量畸形输入找崩溃=模糊测试 Fuzzing。
← Domain 5Domain 7 →
⚙️ 知识域 7

Domain 7 · 安全运营

高频易错题型
Domain 7 安全运营总览
Domain 7 安全运营总览点击查看高清画报
🚨

① 事件响应顺序题(超高频)

检测到入侵后第一个动作是?
遏制 Containment(防止扩散),不是马上修复或断电取证。
★ IR 七步

检测→响应→遏制→报告→恢复→修复→总结教训。

✗ 陷阱

"立即重装系统/拔电源"常是错的——会破坏证据。先遏制,取证按易失性(内存优先)。

💾

② RTO/RPO + 备份题

"最多能丢1小时数据"指的是?
RPO(数据丢失量)。RTO 是能停机多久。
✗ 陷阱(最易混)
  • RTO=时间(多久恢复);RPO=数据(丢多少)。
  • RAID 不是备份;RAID 6 容忍2盘坏,RAID 5 仅1盘。
▸ 答题技巧

DRP 测试强度:通读→桌面→模拟→并行→完全中断(最彻底也最危险)。

👥

③ 行政管控题

★ 必记
  • 强制休假/岗位轮换的目的=发现舞弊
  • 职责分离防单人作案;双人控制(M of N)保护关键操作。
  • 最小特权 + 知所必需(Need to Know)。
← Domain 6Domain 8 →
💻 知识域 8

Domain 8 · 软件开发安全

高频易错题型
Domain 8 软件开发安全总览
Domain 8 软件开发安全总览点击查看高清画报
🐛

① 漏洞与防护题

防 SQL 注入最有效的手段?
参数化查询/预编译语句 + 输入验证。
防止用户重复提交/被冒用请求?
CSRF→反CSRF令牌;XSS→输出编码+CSP。
★ 必记
  • 所有外部输入都当不可信(输入验证黄金法则)。
  • 蠕虫自传播;病毒需宿主;木马伪装;逻辑炸弹条件触发。
🔄

② SDLC + 数据库题

▸ 答题技巧
  • 安全要左移,需求/设计阶段就介入最省钱。
  • 推理 Inference(由低推高)vs 聚合 Aggregation(碎片拼整体)。
  • 多实例化 Polyinstantiation 防推理攻击。
  • 第三方组件:SCA 成分分析 + SBOM 物料清单。
🎉

③ 刷题收尾

★ 5 本资料全部完成

恭喜!你现在有完整的备考组合:OSG10 + AIO9(深度精读)、DestCert(考前冲刺)、For Dummies(小白入门)、官方模拟题(刷题查漏)。理论 + 题感全覆盖,祝早日上岸 🏆

▸ 临场答题总原则
  • 管理者视角:人命 > 风险/资产 > 技术。
  • 选最根本/最先的动作(先policy、先评估、先授权)。
  • 预防 > 检测 > 纠正;根因 > 临时补丁。
← Domain 7回顶部 ↑
🎉 CISSP 官方模拟题 · 考点速记手机版 · 全 8 域已完成
基于 Official Practice Tests 第4版提炼,备考请以官方最新考纲为准
可双指缩放,横向拖动查看细节