2025年CISSP信息系统安全师考试真题归总题库及答案.docxVIP

2025年CISSP信息系统安全师考试练习题归总题库及答案

1.某能源企业在部署工业控制系统（ICS）时，发现旧版本PLC设备仅支持ModbusRTU协议。为提升通信安全，最有效的措施是？

A.部署入侵检测系统（IDS）监控流量

B.在PLC与SCADA服务器间建立IPSecVPN

C.升级PLC固件以支持Modbus/TCP

D.对ModbusRTU流量实施AES-256加密

答案：B。ModbusRTU为串行协议，无法直接加密协议层，通过IPSec在网络层建立加密隧道是最可行方案；升级固件可能受硬件限制，直接加密应用层流量需设备支持，IDS仅监控无防护作用。

2.某电商平台用户数据库泄露事件中，攻击者通过未授权访问AWSS3存储桶获取数据。根据NISTSP800-61事件响应流程，在“检测与分析”阶段应优先完成哪项操作？

A.隔离受影响S3存储桶

B.检查访问日志确认泄露范围

C.通知受影响用户启动补偿流程

D.修补S3存储桶公共读权限漏洞

答案：B。检测与分析阶段核心是确认事件发生、范围及影响，访问日志分析可验证攻击路径和数据泄露量；隔离属于遏制阶段，修补是根除阶段，通知用户属后续阶段。

3.某医疗保险公司实施零信任架构（ZTA），要求所有远程访问电子健康记录（EHR）系统的终端必须满足：安装最新防病毒软件、操作系统补丁合规、设备未越狱/ROOT。此要求对应零信任的哪项原则？

A.持续验证动态环境

B.最小化特权访问

C.基于所有可用数据验证

D.资源访问授权

答案：C。零信任要求基于设备状态、用户身份、上下文等多维度数据验证访问请求，此处通过终端安全状态（防病毒、补丁、设备完整性）作为验证依据，属于“基于所有可用数据验证”原则。

4.某跨国企业使用SaaS人力资源系统（HRIS），需同步本地AD域用户到SaaS系统。为避免密码明文传输，最佳方案是？

A.部署LDAP代理服务器，通过TLS加密传输

B.使用SAML2.0进行联合身份认证

C.配置OAuth2.0客户端凭证授权模式

D.启用RADIUS协议进行远程认证

答案：B。SAML2.0通过断言（Assertion）在身份提供者（IdP）和服务提供者（SP）间传递用户身份信息，无需传输密码；LDAPoverTLS仍需传输凭证，OAuth2.0客户端凭证模式适用于机器到机器认证，RADIUS主要用于网络访问控制。

5.某银行开发核心交易系统时，采用静态代码分析工具检测到“SQL注入”漏洞。开发团队计划修复该漏洞，最根本的措施是？

A.对用户输入进行正则表达式过滤

B.使用预编译语句（PreparedStatement）

C.限制数据库账户权限为只读

D.在应用层部署Web应用防火墙（WAF）

答案：B。SQL注入的根本原因是应用将用户输入直接拼接到SQL语句中，预编译语句通过参数化查询分离代码与数据，从源头防止注入；输入过滤可能被绕过，权限限制无法阻止恶意操作，WAF属防御层非修复措施。

6.某政府机构需保护绝密文件的存储安全，要求即使存储介质物理丢失，文件内容也无法被读取。应采用哪种加密技术？

A.基于角色的访问控制（RBAC）

B.全磁盘加密（FDE）

C.文件级加密（FLE）

D.数据库字段加密

答案：B。全磁盘加密对整个存储介质（如硬盘、U盘）进行加密，未授权用户无法访问任何数据；文件级或字段加密仅保护特定文件/数据，介质丢失后其他未加密数据可能泄露；RBAC是访问控制机制，不涉及加密。

7.某云服务提供商（CSP）为客户提供Iaas服务，客户需对托管的虚拟机（VM）实施安全配置。根据CIS基准（CISBenchmarks），应优先完成的操作是？

A.禁用不必要的服务和端口

B.配置虚拟防火墙规则

C.定期备份VM快照

D.为VM分配专用宿主机

答案：A。CIS基准强调最小化攻击面，禁用不必要的服务和端口（如Telnet、默认共享）是基础安全配置；虚拟防火墙属于网络控制，备份是容灾措施，专用宿主机涉及资源隔离，均非优先项。

8.某企业安全团队发现员工通过个人云盘（如Dropbox）传输公司敏感文件，违反数据防泄露（DLP）政策。最有效的技术控制措施是？

A.部署网络DLP系统，阻断云盘域名解析

B.禁用员工终端的USB接口和无线网卡

C.实施应用白名单，仅允许企业认可的云服务

D.对敏感文件添加数字水印，追踪泄露源

答案：C。应用白名单可限制终端仅能使用企业授权的云服