2025年信息系统安全专家CA第三方安全审计专题试卷及解析.pdfVIP

2025年信息系统安全专家CA第三方安全审计专题试卷及解析1

2025年信息系统安全专家CA第三方安全审计专题试卷及

解析

2025年信息系统安全专家CA第三方安全审计专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在CA第三方安全审计中，审计师首先需要确认的是被审计方的CA系统是否

符合国际通用标准。以下哪项标准是专门针对证书颁发机构（CA）的审计基准？

A、ISO/IEC27001

B、WebTrustforCertificationAuthorities

C、NISTSP80053

D、CommonCriteria(CC)

【答案】B

【解析】正确答案是B。WebTrustforCertificationAuthorities是由AICPA和CICA

联合制定的一项专门针对证书颁发机构（CA）的审计标准和认证程序，它详细规定了

CA在安全控制、运营管理、证书生命周期管理等方面应遵循的实践准则，是全球公认

的CA审计基准。A选项ISO/IEC27001是通用的信息安全管理体系标准，虽然CA

也需要遵循，但并非专门针对CA。C选项NISTSP80053是美国联邦政府的信息系统

安全控制建议，适用范围是政府机构。D选项CommonCriteria是IT产品安全评估的

国际标准，侧重于产品功能的安全保证，而非对运营机构的全面审计。知识点：CA审

计标准。易错点：考生容易混淆通用的信息安全标准（如ISO27001）和专门针对CA

的行业标准（如WebTrust），需要明确审计对象的特殊性。

2、某CA机构在进行第三方安全审计时，审计师发现其根密钥的生成和存储过程

存在风险。根据最佳实践，根密钥的生成和存储应采用哪种方式以确保最高级别的安

全？

A、在连接互联网的服务器上生成，并使用硬件安全模块（HSM）备份

B、在离线的、物理隔离的计算机上生成，私钥部分始终保存在硬件安全模块（HSM）

中

C、由多名操作员各自生成一部分密钥分量，然后在线组合成完整密钥

D、生成后存储在加密的文件中，并将文件分发给多名高级管理人员保管

【答案】B

【解析】正确答案是B。根密钥是整个PKI体系信任的基石，其安全性至关重要。最

佳实践要求根密钥必须在物理隔离（离线）的安全环境中生成，以杜绝网络攻击风险。生

成后，私钥部分必须自始至终存储在经过认证的硬件安全模块（HSM）内部，利用HSM

的防篡改和访问控制特性提供最高级别的保护。A选项错误在于“连接互联网的服务

器”，这会使密钥生成过程暴露于网络威胁之下。C选项描述的是“门限方案”（Threshold

2025年信息系统安全专家CA第三方安全审计专题试卷及解析2

Scheme），虽然可用于密钥恢复或操作授权，但根密钥本身通常不以此方式生成和存储。

D选项将私钥以软件形式存储，即使加密，其安全性也远低于HSM，且分发给多人保

管增加了泄露风险。知识点：根密钥安全管理。易错点：考生可能认为多人保管（D选

项）更安全，但对于根密钥这种最高级别的资产，物理隔离和硬件保护是首要原则，软

件加密和分治是次级或辅助手段。

3、在CA审计过程中，审计师需要验证证书撤销列表（CRL）的发布机制。以下

关于CRL的描述，哪一项是错误的？

A、CRL是由CA定期发布的，包含所有已被撤销但尚未过期的证书序列号列表

B、CRL的获取方式通常是在证书的“CRL分发点”扩展字段中指定一个URL

C、为了提高效率，CRL通常采用增量发布的方式，即只包含自上次发布以来新增

的撤销证书

D、依赖方（如浏览器）在验证证书时，必须下载并检查最新的CRL以确认证书

是否已被撤销

【答案】C

【解析】正确答案是C。CRL（CertificateRevocationList）的发布机制存在一个根

本性的问题：随着撤销证书数量的增加，CRL文件会变得越来越大，导致依赖方下载

和验证的延迟和性能开销。为了解决这个问题，业界提出了增量CRL（DeltaCR