2025年信息系统安全专家身份认证与访问控制架构设计专题试卷及解析.pdfVIP

2025年信息系统安全专家身份认证与访问控制架构设计专题试卷及解析1

2025年信息系统安全专家身份认证与访问控制架构设计专

题试卷及解析

2025年信息系统安全专家身份认证与访问控制架构设计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在零信任架构中，以下哪项是核心原则？

A、默认信任内部网络

B、基于边界的安全防护

C、从不信任，始终验证

D、一次性认证即可

【答案】C

【解析】正确答案是C。零信任架构的核心原则是”从不信任，始终验证”，即不默认

信任任何用户或设备，每次访问都需要验证。A选项是传统安全模型的缺陷；B选项是

传统边界安全的特点；D选项违背了零信任的持续验证原则。知识点：零信任架构基本

理念。易错点：容易将零信任与传统边界安全混淆。

2、在多因素认证(MFA)中，以下哪项不属于认证因素类型？

A、你知道的信息

B、你拥有的物品

C、你的生物特征

D、你的地理位置

【答案】D

【解析】正确答案是D。多因素认证的三种典型因素是：知识因素(密码)、拥有因

素(令牌)、生物特征因素(指纹)。地理位置虽然可以作为风险评估的补充，但不属于标

准认证因素。知识点：MFA认证因素分类。易错点：容易将风险评估因素误认为认证

因素。

3、在RBAC模型中，以下哪项描述是正确的？

A、权限直接分配给用户

B、通过角色间接分配权限

C、用户可以创建角色

D、角色继承是强制性的

【答案】B

【解析】正确答案是B。RBAC的核心是通过角色将用户与权限关联，实现权限的

间接分配。A选项是DAC模型的特点；C选项违反了最小权限原则；D选项角色继承

是可选特性。知识点：RBAC模型基本原理。易错点：容易混淆RBAC与DAC的权

限分配方式。

2025年信息系统安全专家身份认证与访问控制架构设计专题试卷及解析2

4、以下哪种协议主要用于单点登录(SSO)场景？

A、LDAP

B、Kerberos

C、SAML

D、OAuth

【答案】C

【解析】正确答案是C。SAML是专门为SSO设计的协议，支持跨域身份认证。

LDAP是目录服务协议；Kerberos主要用于内部网络认证；OAuth是授权协议而非认

证协议。知识点：SSO相关协议对比。易错点：容易混淆OAuth与SAML的功能定位。

5、在特权账号管理(PAM)中，以下哪项是最佳实践？

A、共享特权账号密码

B、定期轮换特权密码

C、永久授予特权访问

D、跳过特权会话审计

【答案】B

【解析】正确答案是B。定期轮换特权密码是PAM的基本要求，可以降低密码泄露

风险。A选项违反账号唯一性原则；C选项违反最小权限原则；D选项违反审计要求。

知识点：特权账号管理最佳实践。易错点：容易忽视特权账号的定期维护要求。

6、以下哪种访问控制模型适用于动态环境？

A、MAC

B、DAC

C、ABAC

D、RBAC

【答案】C

【解析】正确答案是C。ABAC基于属性动态决策，适合复杂环境。MAC过于静

态；DAC粒度太粗；RBAC难以处理动态场景。知识点：访问控制模型适用场景。易

错点：容易混淆ABAC与RBAC的灵活性差异。

7、在身份联邦中，以下哪项是身份提供者(IdP)的职责？

A、提供资源服务

B、验证用户身份

C、存储用户数据

D、管理访问策略

【答案】B

【解析】正确答案是B。IdP的核心职责是身份认证。A是SP的职责；C可能由

IdP或SP承担；D通常由策略引擎处理。知识点：身份联邦角色分工。易错点：容易

2025年信息系统安全专家身份认证与访问控制架构设计专题试卷及解析3

混淆IdP与SP的职责边