CISP_面试题库涵盖安全管理安全技术安全运维等.docxVIP

第PAGE页共NUMPAGES页

CISP面试题库：涵盖安全管理、安全技术、安全运维等

一、单选题（每题2分，共20题）

1.在信息安全管理体系中，ISO27001的核心要素不包括以下哪项？

A.风险评估与处理

B.安全事件管理

C.组织文化管理

D.安全策略制定

2.以下哪种加密算法属于对称加密？

A.RSA

B.AES

C.ECC

D.SHA-256

3.在BIM（建筑信息模型）项目中，数据安全的主要威胁来自哪里？

A.物理入侵

B.数据泄露

C.软件漏洞

D.以上都是

4.某企业采用MFA（多因素认证）技术，以下哪项不属于MFA的认证因素？

A.知识因素（密码）

B.拥有因素（手机验证码）

C.生物因素（指纹）

D.行为因素（操作习惯）

5.以下哪种安全审计日志不属于系统日志？

A.登录失败日志

B.文件访问日志

C.网络流量日志

D.员工考勤日志

6.在云计算环境中，IaaS、PaaS、SaaS的安全责任划分中，哪项由服务商承担？

A.数据加密

B.服务器补丁更新

C.访问控制策略

D.数据备份

7.某银行采用零信任架构，以下哪项原则不符合零信任理念？

A.基于角色的访问控制

B.每次访问都需要验证

C.最小权限原则

D.跨域访问优先

8.在勒索软件攻击中，哪项是最佳的防御措施？

A.备份所有数据

B.关闭所有系统

C.使用杀毒软件

D.限制外部访问

9.某企业使用PKI（公钥基础设施）技术，以下哪项属于非对称加密的应用？

A.数据传输加密

B.数字签名

C.身份认证

D.以上都是

10.在网络安全法律法规中，《网络安全法》适用于哪个国家或地区？

A.美国

B.中国

C.欧盟

D.日本

二、多选题（每题3分，共10题）

1.以下哪些属于数据分类分级的基本原则？

A.机密性

B.可用性

C.完整性

D.可追溯性

2.在物联网安全中，主要的安全威胁包括哪些？

A.设备弱口令

B.数据传输泄露

C.驱动程序漏洞

D.远程控制篡改

3.以下哪些属于风险评估的方法？

A.风险矩阵法

B.蒙特卡洛法

C.贝叶斯网络法

D.层次分析法

4.在网络安全防护中，以下哪些属于纵深防御策略？

A.边界防火墙

B.主机入侵检测系统

C.安全审计

D.数据加密

5.在ISO27001中，以下哪些属于信息安全策略的范畴？

A.安全方针

B.数据保护政策

C.应急响应计划

D.访问控制政策

6.在云安全中，以下哪些属于IaaS架构的安全风险？

A.虚拟机逃逸

B.密钥管理不当

C.存储数据泄露

D.网络隔离不足

7.在区块链安全中，以下哪些属于常见的攻击类型？

A.51%攻击

B.拒绝服务攻击

C.钓鱼攻击

D.重放攻击

8.在网络安全运维中，以下哪些属于安全监控的指标？

A.网络流量异常

B.主机CPU使用率

C.登录失败次数

D.数据备份状态

9.在数据安全合规中，以下哪些属于GDPR（通用数据保护条例）的要求？

A.数据最小化原则

B.数据主体权利

C.数据泄露通知

D.数据匿名化

10.在工控系统安全中，以下哪些属于常见的防护措施？

A.物理隔离

B.安全固件更新

C.访问权限控制

D.安全协议优化

三、判断题（每题1分，共20题）

1.ISO27005是针对信息安全管理体系的标准。（×）

2.AES-256是一种对称加密算法。（√）

3.在零信任架构中，默认信任所有内部用户。（×）

4.勒索软件通常通过钓鱼邮件传播。（√）

5.PKI技术只能用于数字签名。（×）

6.《网络安全法》适用于所有在中国境内运营的网络。（√）

7.数据分类分级的主要目的是为了提高数据价值。（×）

8.物联网设备的安全问题主要源于硬件设计缺陷。（√）

9.风险评估不需要考虑法律合规要求。（×）

10.纵深防御策略是指多层安全措施同时作用。（√）

11.云安全中的SaaS模式由用户负责所有安全责任。（×）

12.区块链技术无法防止51%攻击。（×）

13.安全审计日志可以用于事后追溯。（√）

14.GDPR适用于所有处理欧盟公民数据的组织。（√）

15.工控系统的安全防护不需要考虑物理隔离。（×）

16.多因素认证可以完全消除账户被盗风险。（×）

17.对称加密算法的密钥管理比非对称加密简单。（√）

18.数据备份不需要定期测试恢复效果。（×）

19.网络安全运维只需要关注技术防护。（×）

20.安全策略制定不需要考虑业务需求。（×