2025年信息系统安全专家NIST框架身份管理与访问控制专题试卷及解析.pdfVIP

2025年信息系统安全专家NIST框架身份管理与访问控制专题试卷及解析1

2025年信息系统安全专家NIST框架身份管理与访问控制

专题试卷及解析

2025年信息系统安全专家NIST框架身份管理与访问控制专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、根据NIST网络安全框架（CSF）中的身份管理与访问控制（IA）子类别，以下

哪项最准确地描述了“身份验证和证明”的核心目标？

A、确保用户只能访问其完成工作所需的最小权限

B、验证用户、设备和系统声称的身份是否真实可信

C、记录和监控所有与身份相关的活动

D、管理身份从创建到撤销的完整生命周期

【答案】B

【解析】正确答案是B。NISTCSF中的“身份验证和证明（IA.AV）”子类别，其核

心目标是在允许访问之前，对请求访问的实体（如用户、设备）的身份进行核实，确保

其声称的身份是真实且可信的。这通常通过密码、多因素认证、证书等方式实现。

知识点：NISTCSF核心功能之一“保护（Protect）”下的“身份管理与访问控制（IA）”

类别，以及其子类别的具体定义。

易错点：考生容易将“身份验证和证明”与“访问控制策略（IA.AC）”混淆。A选项描

述的是最小权限原则，属于访问控制的范畴；C选项描述的是“身份管理和访问控制审

计（IA.MA）”；D选项描述的是“身份管理流程和程序（IA.ID）”。

2、在实施基于风险的身份管理时，组织应优先考虑以下哪个因素来决定身份验证

的强度？

A、用户的职位级别

B、访问请求的地理位置

C、被访问资产的风险等级

D、一天中的访问时间

【答案】C

【解析】正确答案是C。基于风险的身份管理（RiskBasedIdentityManagement）的

核心思想是，身份验证措施的强度应与被访问资产或信息的敏感度以及访问行为本身

的风险水平相匹配。高价值、高风险的资产需要更强的身份验证机制。

知识点：基于风险的身份管理、自适应认证、风险评估。

易错点：虽然B、D选项可以作为风险评估的输入因素，但它们不是决定验证强度

的根本依据。A选项（职位级别）是一种常见的简化模型，但不如基于资产风险等级的

方法精确和安全。最核心的驱动因素始终是资产的风险。

2025年信息系统安全专家NIST框架身份管理与访问控制专题试卷及解析2

3、NIST特别出版物80063B《数字身份指南》中，对“认证器”进行了分类。以下

哪项不属于NIST定义的认证器类型？

A、记忆密码

B、生物特征

C、地理位置令牌

D、查找表秘密

【答案】C

【解析】正确答案是C。NISTSP80063B将认证器分为记忆密码（如密码、PIN）、

查找表秘密（如安全问题）、outofband设备（如通过短信发送的一次性代码）、生物特

征（如指纹、人脸）以及拥有物（如硬件令牌、智能卡）等几大类。地理位置本身不被视

为一种独立的认证器类型，而是可以作为风险评估或上下文感知访问控制的输入信号。

知识点：NISTSP80063系列标准、认证器类型、多因素认证（MFA）。

易错点：考生可能会认为地理位置是一种认证因素，因为它确实能增强安全性。但

在NIST的严格定义中，它是一种上下文信息，而非认证器。认证器是用户拥有、知道

或是其本身的东西。

4、在特权访问管理（PAM）中，“特权账号保险库”的主要功能是什么？

A、自动发现网络中所有的特权账号

B、为特权账号提供按时的、临时的访问权限

C、集中存储和管理特权账号的凭证，并对其进行加密保护

D、监控特权用户会话的所有活动

【答案】C

【解析】正确答案是C。特权账号保险库（PrivilegedAccountVault）是PAM解决

方案的核心组件，其主要职责是安全地、集中地存储所有特权账号（如管理员账号、服

务账号）的用户名和密码，并对这些敏感凭证进行高强度加密。只有经过授权的用户或

系统，才能在特定条件下从保险库中获取凭证。

知识点：特权访问管理（