2025年安全审计服务试题(附答案).docxVIP

2025年安全审计服务试题(附答案)

一、单项选择题（每题2分，共20分）

1.根据《网络安全法》《数据安全法》及《信息安全技术网络安全审计技术要求》（GB/T35273-2020），以下哪项不属于安全审计的核心目标？

A.验证信息系统是否符合法律法规要求

B.发现系统中存在的安全漏洞和异常行为

C.替代入侵检测系统（IDS）实现实时监控

D.为安全事件追溯提供可靠证据链

答案：C

2.某企业开展年度安全审计时，审计人员发现其生产系统日志仅保留7天，且未对管理员操作日志进行单独存储。根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），该问题最可能违反以下哪项要求？

A.安全通信网络-网络架构

B.安全区域边界-访问控制

C.安全计算环境-日志审计

D.安全管理中心-集中管控

答案：C

3.以下关于安全审计技术手段的描述中，错误的是？

A.流量镜像技术可用于捕获网络通信数据，但需注意镜像端口的流量负载问题

B.日志关联分析需结合设备类型、时间戳、用户身份等多维度信息，以识别跨系统攻击链

C.基于主机的审计（HBA）仅需采集操作系统日志，无需关注应用程序日志

D.数据库审计系统应支持对SQL语句的语法分析，识别高危操作（如DROPTABLE）

答案：C

4.在对某医疗行业客户进行数据安全审计时，重点需核查其是否符合《个人信息保护法》中“最小必要原则”。以下哪项行为最可能违反该原则？

A.医院信息系统仅收集患者姓名、身份证号、就诊记录

B.药房管理系统存储患者用药记录超过5年（诊疗数据保存期限为3年）

C.体检APP在用户注册时要求提供通讯录权限以“完善健康档案”

D.检验系统对患者血型信息进行加密存储

答案：C

5.某金融机构委托第三方开展渗透测试作为安全审计的一部分，以下操作不符合规范的是？

A.测试前签订书面协议，明确测试范围、时间窗口及应急响应流程

B.测试过程中发现高危漏洞（如未授权访问核心交易系统），立即向甲方安全主管口头报告

C.测试结束后，提交包含漏洞详情、修复建议及验证方法的正式报告

D.测试使用的工具和技术仅针对协议漏洞，未涉及社会工程学手段

答案：D（注：渗透测试可包含社会工程学手段，需在协议中明确）

6.安全审计报告中“风险等级”的划分通常基于哪两个维度？

A.漏洞技术难度、修复成本

B.资产价值、威胁发生可能性

C.用户投诉数量、媒体曝光度

D.系统宕机时间、数据丢失量

答案：B

7.以下关于云环境安全审计的描述，正确的是？

A.云服务提供商（CSP）需对客户数据的完整性负全部责任，客户无需审计

B.审计时需重点关注云租户隔离机制（如VPC网络隔离、IAM权限控制）

C.云日志审计仅需采集云平台的管理日志，无需关注客户应用日志

D.由于云环境的动态性，传统的合规性审计方法完全不适用

答案：B

8.某企业生产系统使用WindowsServer2022，审计人员需检查其账户管理合规性。以下哪项配置符合最佳实践？

A.管理员账户（Administrator）未禁用，但设置了15位复杂密码

B.普通用户账户默认权限为“读取”，需提权时通过审批流程申请

C.所有账户密码策略为“长度≥8位，每90天强制修改”

D.系统中存在3个未分配具体职责的“通用测试账户”

答案：B

9.在工业控制系统（ICS）安全审计中，以下哪项是重点关注对象？

A.操作站与工程师站之间的USB接口管控

B.办公网与生产网之间的邮件服务器配置

C.财务系统与ERP系统的数据同步频率

D.员工办公电脑的防病毒软件版本

答案：A

10.根据《关键信息基础设施安全保护条例》，关键信息基础设施运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行几次检测评估？

A.1次

B.2次

C.3次

D.4次

答案：A

二、多项选择题（每题3分，共15分，多选、错选不得分，少选得1分）

1.安全审计的“三性”原则包括以下哪些？

A.完整性

B.准确性

C.不可抵赖性

D.实时性

答案：ABC

2.以下哪些场景需要开展专项安全审计？

A.企业完成ISO27001认证后年度复评

B.发生数据泄露事件后追溯责任

C.上线新的客户关系管理系统（CRM）前

D.更换财务部门所有办公电脑操作系统

答案：BC

3.