原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
注册信息系统安全专家(CISSP)模拟试卷
一、单项选择题(共10题,每题1分,共10分)
以下哪项是“最小权限原则”的核心要求?
A.授予用户超过任务需求的权限以提高效率
B.仅授予完成任务所需的最低必要权限
C.默认拒绝所有访问请求,仅允许明确授权的操作
D.根据用户职位高低分配不同等级的权限
答案:B
解析:最小权限原则(PrincipleofLeastPrivilege)要求用户或进程仅获得完成其任务所需的最小权限,以降低误操作或恶意行为的影响。选项A错误,因超过需求的权限违背原则;选项C是“默认拒绝”原则的描述;选项D是基于角色的访问控制(RBAC)的特征,而非最小权限的核心。
在安全控制分类中,防火墙属于哪种类型的控制?
A.管理控制
B.技术控制
C.操作控制
D.补偿控制
答案:B
解析:技术控制(TechnicalControls)是通过技术手段实现的安全措施,如防火墙、加密、访问控制列表(ACL)等。管理控制(如安全策略、培训)和操作控制(如日志审计、物理访问管理)属于非技术类控制;补偿控制是替代原有控制的措施。因此选B。
以下哪种加密算法属于对称加密?
A.RSA
B.AES
C.ECC
D.DSA
答案:B
解析:对称加密算法使用相同的密钥进行加密和解密,典型代表为AES(高级加密标准)。RSA、ECC(椭圆曲线加密)、DSA(数字签名算法)均为非对称加密算法,使用公钥和私钥对。因此选B。
安全基线(SecurityBaseline)的主要作用是?
A.定义系统的最高安全等级
B.提供所有系统必须满足的最低安全要求
C.记录安全事件的处理流程
D.评估安全控制的有效性
答案:B
解析:安全基线是为特定类型系统定义的最低安全配置要求(如操作系统、数据库的标准配置),确保所有系统至少达到基本安全水平。选项A错误,因基线是“最低”而非“最高”;选项C是事件响应计划的内容;选项D是安全评估的目标。因此选B。
以下哪项属于“纵深防御”(DefenseinDepth)策略的典型应用?
A.仅在网络边界部署防火墙
B.在终端安装杀毒软件,同时在网络层部署入侵检测系统(IDS)
C.仅依赖强密码验证用户身份
D.定期进行安全培训但不实施技术控制
答案:B
解析:纵深防御要求在多个层次(如物理、网络、系统、应用、数据)部署重叠的安全控制。选项B中终端杀毒(系统层)与网络IDS(网络层)的结合符合多层面防御;选项A、C、D仅依赖单一层次控制,不符合纵深防御原则。
身份与访问管理(IAM)中,“强制访问控制(MAC)”的核心特征是?
A.由数据所有者决定访问权限
B.基于用户角色分配权限
C.由系统根据安全标签(如密级)强制实施访问规则
D.允许用户自主修改权限
答案:C
解析:MAC由系统管理员或安全策略强制定义主体(用户)和客体(资源)的安全标签(如“绝密”“机密”),访问决策基于标签匹配(如仅允许“绝密”用户访问“绝密”文件)。选项A是DAC(自主访问控制)的特征;选项B是RBAC(基于角色的访问控制)的特征;选项D是DAC的典型行为。因此选C。
以下哪项是“零信任模型”(ZeroTrust)的核心假设?
A.内部网络是安全可信的
B.所有访问请求(无论内外)都需验证
C.仅验证外部用户身份
D.信任已认证的设备无需持续监控
答案:B
解析:零信任模型的核心是“永不信任,持续验证”,即默认不信任任何用户、设备或网络(无论内外),所有访问请求必须通过动态验证(如设备健康状态、用户位置、行为分析)后才授予权限。选项A、C、D均违背零信任原则。
业务连续性计划(BCP)与灾难恢复计划(DRP)的主要区别是?
A.BCP关注长期业务恢复,DRP关注IT系统快速恢复
B.BCP仅涉及技术措施,DRP涉及管理措施
C.BCP是DRP的子集
D.BCP不包含风险评估,DRP包含
答案:A
解析:BCP(业务连续性计划)是组织级计划,关注灾难发生后如何维持核心业务功能(如人员转移、替代办公场所);DRP(灾难恢复计划)是BCP的子集,专注于IT系统(如服务器、数据)的快速恢复。选项B错误,BCP包含管理和操作措施;选项C错误,DRP是BCP的子集;选项D错误,两者均需风险评估。
以下哪种攻击属于“中间人攻击(MITM)”?
A.向目标发送大量ICMP请求导致服务中断
B.截获并篡改用户与服务器之间的通信数据
C.通过社会工程获取用户密码
D.利用软件漏洞执行任意代码
答案:B
解析:MITM攻击中,攻击者插入到通信双方之间,截获、篡改或伪造数据(如通过ARP欺骗劫持网络流量)。选项A是DDoS攻击;选项C是社会工程攻击;选项D是漏洞利用攻击。因此选
您可能关注的文档
最近下载
- 小班美工《图形添画》PPT课件.ppt VIP
- 专修篇上 掌握市场TOM WILLIAMS《MASTER THE MARKET》.pdf VIP
- 取照空白sro第一部分.pdf VIP
- 新人教版九年级物理《焦耳定律》ppt+flashPPT课件.pptx VIP
- 保险科技(复旦)大学MOOC慕课 客观题答案.pdf VIP
- 专题07 解题技巧专题:待定系数法求二次函数的解析式之六大考点(解析版).pdf VIP
- 江苏开放大学中国政治思想史第二次形考作业.pdf VIP
- SY5974-2014 钻井井场、设备、作业安全技术规程.docx VIP
- 口袋书英文绘本Today is So Boring!.pdf VIP
- ro取照空白2010模拟题.pdf VIP
文档评论(0)