原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
2025年注册信息系统安全专家(CISSP)考试题库(附答案和详细解析)(0912)
注册信息系统安全专家(CISSP)考试试卷
一、单项选择题(共10题,每题1分,共10分)
在CIA三元组中,“C”代表的核心安全目标是:
A.机密性确保信息仅被授权用户访问。
B.完整性防止未授权的数据修改。
C.可用性保证系统和信息在需要时可访问。
D.认证验证用户的身份真实性。
答案:A
解析:CIA三元组是信息安全核心原则,C代表机密性(Confidentiality),指保护信息不被未授权访问。选项A正确;选项B描述完整性,是”I”的代表;选项C描述可用性,是”A”的代表;选项D描述认证,属于访问控制范畴,非CIA直接元素。
ISO/IEC27001标准主要涉及:
A.密码算法的实施规范。
B.信息安全管理系统(ISMS)的框架和要求。
C.网络防火墙的配置标准。
D.物理安全控制的评估方法。
答案:B
解析:ISO/IEC27001是国际标准,定义信息安全管理系统(ISMS)的建立和实施要求。选项B正确;选项A和C涉及具体技术,非ISO27001主要范围;选项D属于ISO27001的补充标准ISO27002。
在访问控制模型中,基于角色的访问控制(RBAC)最核心的特征是:
A.权限由系统管理员手动分配。
B.权限基于用户的职位或角色分配。
C.权限基于数据的敏感性动态调整。
D.权限由用户自行决定。
答案:B
解析:RBAC中访问权限基于用户角色(如管理员、用户)分配,提高管理效率。选项B正确;选项A描述自主访问控制(DAC);选项C是情景敏感访问控制;选项D是DAC的缺陷。
公钥基础设施(PKI)的关键组件是:
A.对称密钥分发中心。
B.数字签名和证书颁发机构(CA)。
C.物理令牌设备。
D.入侵检测系统(IDS)。
答案:B
解析:PKI用于管理公钥密码学,核心包括数字证书和CA来验证身份。选项B正确;选项A描述对称密钥系统;选项C是身份验证方法;选项D是安全监控工具。
安全开发生命周期(SDLC)在哪个阶段应集成安全测试?
A.需求分析阶段。
B.编码和实现阶段。
C.测试和部署阶段。
D.维护和淘汰阶段。
答案:C
解析:在SDLC中,测试阶段是安全集成关键点,通过渗透测试等确保漏洞检测。选项C正确;选项A强调安全需求定义;选项B和D非最佳实践时机。
纵深防御(Defense-in-Depth)策略的核心原则是:
A.依赖单一强大技术保障安全。
B.使用多层安全控制相互补充。
C.仅关注网络边界防护。
D.外包所有安全功能给第三方。
答案:B
解析:纵深防御通过多层次防御(如防火墙、访问控制)降低风险。选项B正确;选项A违反该策略;选项C忽略内部防护;选项D可能增加风险。
在风险评估中,定性分析重点关注:
A.概率和影响的主观评估。
B.精确数值计算损失价值。
C.仅使用自动化工具。
D.忽略人为因素。
答案:A
解析:定性风险分析使用主观方法评估可能性/影响,非数值。选项A正确;选项B描述定量分析;选项C和D错误,因定性分析涉及人工判断。
安全策略的最高级文档通常称为:
A.操作手册。
B.程序指南。
C.信息安全管理策略。
D.技术配置标准。
答案:C
解析:信息安全管理策略是顶层策略文件,定义组织安全方向。选项C正确;选项A和B是衍生文档;选项D属技术层。
数据丢失防护(DLP)技术主要通过:
A.防火墙规则实施。
B.内容检测和阻断敏感数据流出。
C.身份验证强化。
D.物理访问控制。
答案:B
解析:DLP系统扫描和阻止敏感数据传播。选项B正确;选项A是网络层;选项C和D不直接关联。
OWASPTop10主要涉及:
A.网络层攻击分类。
B.物理安全漏洞。
C.Web应用常见安全风险。
D.云服务配置标准。
答案:C
解析:OWASPTop10列举Web应用高风险漏洞(如注入攻击)。选项C正确;选项A和D覆盖范围过宽;选项B非Web焦点。
一、多项选择题(共10题,每题2分,共20分)
以下哪些是CISSP域中的“安全与风险管理”核心任务?(多选)
A.制定业务连续性计划。
B.实施对称密钥加密算法。
C.进行风险评估和处置。
D.部署入侵检测系统。
答案:AC
解析:正确选项为A(业务连续性计划是风险响应)和C(风险评估核心任务)。错误选项B属密码学域;D属安全操作域。
以下属于强制性访问控制(MAC)特点的是哪些?(多选)
A.基于安全标签分配权限。
B.用户可自由更改权限。
C.支持最小特权原则。
D.通常用于Bell-LaPadula模型。
答案:ACD
解析:正确选项为A(使用标签如机
文档评论(0)