2017 CISSP经典题库：数据保护与安全策略

在2017年的CISSP (Certified Information Systems Security Professional) 考试中，题库包含了一系列针对信息安全领域专业知识的考察题目。CISSP 是全球认可的信息安全专业认证，测试候选人对信息安全策略、安全工程、通信和网络、身份与访问管理、安全评估与措施、安全操作、业务连续性和物理安全等多个方面的理解。 首先，第【1】题考察的是数据保护方法。选项A，透明数据库加密 (TDE)，是通过在整个数据库级别上加密数据来保护个人可识别信息 (PII)，确保即使数据库被盗，未经授权的用户也无法直接读取数据。选项B，列级数据库加密，是只对特定列或字段进行加密，提供更细粒度的保护；选项C，卷加密则是在磁盘或存储设备级别保护数据，对整个存储单元进行加密；而选项D，数据脱敏（Datatokenization），则是将原始数据转换为无法识别其原始形式的令牌，以达到保护PII的目的。这一题主要关注数据保护方法中的不同层次和针对性。 第二题涉及的是欧盟-美国隐私保护协议 (Safe Harbor) 的合规要求。根据题意，必须包含的元素是【C】，即解释收集信息的组织所遵循的监管框架和合规标准。这表明，一个组织在跨境数据传输时，必须明确说明其符合欧洲通用数据保护条例 (GDPR) 和类似美国的法律法规，以保障数据主体的权利。 第三题讨论了移动系统对抗恶意代码攻击的有效对策。答案是【A】，沙箱 (Sandbox)，它是一种隔离环境，用于在其中运行可疑的应用或代码，限制其对系统资源的访问，从而防止恶意行为对整个系统的破坏。沙箱技术能有效检测并控制潜在威胁。 最后，第【4】题提问的是防范网络钓鱼攻击的最佳防御措施。答案可能包括但不限于【B】，变更控制 (Change Control)，因为它强调了对系统更改的严谨管理和审查，可以减少因误操作或恶意意图导致的信息泄露风险。同时，用户教育和多因素认证也是重要的防范手段。 这些题目展示了CISSP考试对信息安全实践的深入考察，不仅涵盖了加密技术、隐私政策合规、恶意软件防护以及网络攻击防范等核心知识点，还强调了实际情境下的应用和最佳实践。对于准备参加CISSP考试的专业人士来说，理解和掌握这些概念至关重要。