CISP 模拟试题及详细答案解析.docxVIP

CISP模拟试题及详细答案解析

一、单项选择题（共10题，每题3分，共30分）

以下哪项不属于信息安全保障体系中的“安全管理”核心内容？（）

A.安全策略制定与维护

B.漏洞扫描与补丁管理

C.人员安全意识培训

D.安全合规性审计

在信息系统安全等级保护中，二级信息系统的“灾难恢复能力”要求是？（）

A.数据零丢失，业务实时恢复

B.数据丢失量可控，业务在12小时内恢复

C.数据丢失量较小，业务在72小时内恢复

D.数据可部分恢复，业务恢复时间无明确要求

以下哪种加密算法属于非对称加密算法？（）

A.AES

B.DES

C.RSA

D.3DES

信息安全风险评估中，“脆弱性”是指？（）

A.威胁源利用漏洞造成损害的可能性

B.信息系统自身存在的可能被威胁利用的缺陷

C.威胁发生后对组织造成的损失程度

D.用于抵御威胁的安全措施有效性

关于防火墙的功能，以下说法错误的是？（）

A.可实现网络访问控制

B.能有效防范内部网络攻击

C.可过滤特定端口的网络流量

D.能对部分应用层协议进行检测

以下哪项是《网络安全法》中要求网络运营者必须履行的义务？（）

A.强制使用国产安全设备

B.定期进行网络安全等级测评

C.向社会公开网络安全应急预案

D.对所有用户数据进行加密存储

数据备份策略中，“增量备份”的特点是？（）

A.备份所有数据，恢复速度最快

B.仅备份上一次全量备份后变化的数据

C.仅备份上一次备份（全量或增量）后变化的数据

D.备份关键业务数据，忽略非核心数据

以下哪种攻击方式属于“中间人攻击”？（）

A.伪造服务器证书骗取用户信任，截取通信数据

B.发送大量请求导致服务器资源耗尽

C.利用缓冲区溢出漏洞获取系统权限

D.猜测用户密码登录系统

信息安全工程中，“安全需求分析”的核心目的是？（）

A.确定信息系统的安全预算

B.明确信息系统需要抵御的威胁和应具备的安全能力

C.选择合适的安全产品和技术

D.制定安全运维流程

关于个人信息保护，以下做法不符合合规要求的是？（）

A.收集个人信息前明确告知收集目的和范围

B.未经用户同意将个人信息共享给第三方

C.对收集的个人信息进行脱敏处理

D.定期清理过期的个人信息

二、多项选择题（共5题，每题4分，共20分，多选、少选、错选均不得分）

信息安全的“CIA三元组”核心目标包括？（）

A.保密性（Confidentiality）

B.完整性（Integrity）

C.可用性（Availability）

D.可控性（Controllability）

以下哪些属于网络安全应急响应的主要阶段？（）

A.检测与预警

B.遏制与消除

C.恢复与重建

D.总结与改进

以下哪些措施可用于防范SQL注入攻击？（）

A.对用户输入进行参数化查询

B.禁用数据库不必要的存储过程

C.开启Web服务器的安全日志

D.对输入数据进行过滤和转义

安全策略文档应包含的核心内容有？（）

A.组织的安全目标和原则

B.各部门的安全职责

C.具体的安全技术配置细节

D.安全违规的处罚规则

以下哪些属于信息系统安全运维的日常工作？（）

A.安全日志审计

B.漏洞扫描与修复

C.安全设备固件升级

D.安全需求变更管理

三、判断题（共5题，每题2分，共10分，正确打“√”，错误打“×”）

信息安全的核心是技术，只要部署足够先进的安全产品，就能实现绝对安全。（）

等级保护的“三级等保”适用于涉及国家安全、公共利益、经济建设等重要领域的信息系统。（）

对称加密算法的加密和解密使用不同的密钥，加密效率较低。（）

安全风险评估应定期开展，且在信息系统发生重大变更后需重新评估。（）

云计算环境下，用户无需承担任何信息安全责任，全部由云服务商负责。（）

四、简答题（共3题，每题10分，共30分）

简述信息安全风险评估的主要流程。

结合实际应用场景，说明防火墙与入侵检测系统（IDS）的区别与联系。

简述《数据安全法》对企业数据处理活动的核心要求。

五、案例分析题（共1题，10分）

某电商平台近期发生用户信息泄露事件，泄露数据包括用户姓名、手机号、收货地址等，部分用户反映遭遇诈骗。经调查，泄露原因是平台某业务系统存在SQL注入漏洞，被黑客利用获取了数据库权限。请结合CISP相关知识，分析该平台在信息安全管理和技术层面存在的问题，并提出整改建议。

答案及解析

一、单项选择题

答案：B

解析：漏洞扫描与补丁管理属于“安全技术运维”范