2025年信息安全保障人员认证（CISAW）考试题库（附答案和详细解析）（1224）.docxVIP

信息安全保障人员认证（CISAW）考试试卷

一、单项选择题（共10题，每题1分，共10分）

信息安全管理体系（ISMS）的核心框架依据是以下哪项标准？

A.ISO/IEC27001

B.ISO/IEC20000

C.ISO9001

D.ISO14001

答案：A

解析：ISO/IEC27001是信息安全管理体系的国际标准，规定了ISMS的要求和实施指南；ISO20000是IT服务管理标准，ISO9001是质量管理标准，ISO14001是环境管理标准，均与信息安全管理体系无关。

以下哪种风险评估方法属于定性评估？

A.故障树分析（FTA）

B.德尔菲法（Delphi）

C.资产价值量化计算

D.威胁发生概率统计

答案：B

解析：德尔菲法通过专家主观判断评估风险等级，属于定性方法；FTA、资产量化和概率统计均依赖数值计算，属于定量评估。

数据脱敏技术中，“将身份证号的中间8位替换为‘****’”属于以下哪种方法？

A.加密

B.截断

C.替换

D.掩码

答案：D

解析：掩码是通过替换部分字符隐藏敏感信息（如身份证号中间位）；加密是通过算法转换数据，截断是删除部分数据，替换是用固定值替代原数据（如将“男”替换为“M”）。

等保2.0中，第三级信息系统的安全保护要求不包括以下哪项？

A.结构化保护级

B.安全标记保护级

C.系统审计保护级

D.访问验证保护级

答案：C

解析：等保2.0三级对应“安全标记保护级”（二级为“系统审计保护级”，四级为“结构化保护级”，五级为“访问验证保护级”），因此C是二级要求。

以下哪项是入侵检测系统（IDS）的主要功能？

A.阻止恶意流量

B.监控网络行为并报警

C.隔离感染主机

D.加密传输数据

答案：B

解析：IDS主要用于监控和分析网络/系统活动，发现异常后报警；阻止流量是防火墙（FW）或入侵防御系统（IPS）的功能，隔离主机需人工干预，加密由VPN等实现。

最小特权原则（PrincipleofLeastPrivilege）的核心要求是？

A.用户仅获得完成任务所需的最小权限

B.管理员拥有所有系统权限

C.权限按角色分配，无需动态调整

D.普通用户可访问关键业务数据

答案：A

解析：最小特权原则要求用户权限仅满足当前任务需求，避免过度授权；B违反该原则，C忽略动态调整（如任务变更），D属于权限过大。

以下哪种密码算法属于非对称加密？

A.AES

B.RSA

C.DES

D.SHA-256

答案：B

解析：RSA是典型的非对称加密算法（公钥加密、私钥解密）；AES和DES是对称加密，SHA-256是哈希算法。

安全事件响应流程的第一步是？

A.事件分析

B.事件报告

C.事件确认

D.事件遏制

答案：C

解析：响应流程通常为：确认（验证是否为真实事件）→报告→分析→遏制→根除→恢复→总结；因此第一步是事件确认。

云安全中“责任共担模型”的核心是？

A.云服务商承担全部安全责任

B.用户承担全部安全责任

C.云服务商负责基础设施安全，用户负责数据和应用安全

D.双方按合同约定分摊责任，但无明确边界

答案：C

解析：责任共担模型明确云服务商（IaaS层负责物理设备、网络等）与用户（负责数据、应用、账户等）的安全责任边界；A、B、D均不符合该模型定义。

移动终端安全中，“应用沙盒（Sandbox）”的主要作用是？

A.加速应用运行

B.限制应用对系统资源的访问

C.存储用户隐私数据

D.防止终端硬件损坏

答案：B

解析：沙盒通过隔离机制限制应用访问系统文件、网络等资源，防止恶意应用破坏系统；A是性能优化，C是数据存储，D是硬件保护，均非沙盒功能。

二、多项选择题（共10题，每题2分，共20分）

信息安全风险评估的基本要素包括？（）

A.资产

B.威胁

C.脆弱性

D.控制措施

答案：ABC

解析：风险评估三要素为资产（需保护对象）、威胁（可能破坏资产的因素）、脆弱性（资产的弱点）；控制措施是风险处理的手段，非评估要素。

ISO27001要求的ISMS关键过程包括？（）

A.风险评估

B.安全策略制定

C.合规性管理

D.员工安全意识培训

答案：ABCD

解析：ISMS实施需覆盖安全策略、风险评估、控制措施选择、运行维护、合规性检查、人员培训等全流程，四选项均为关键过程。

数据安全保护的关键技术包括？（）

A.数据加密

B.数据脱敏

C.数据备份与恢复

D.数据流量监控

答案：ABC

解析：数据加密（静态/传输态保护）、脱敏（隐私保护）、备份（防止数据丢失）是核心技术；流量监控属于网络安全范畴，非数据安全专属技术。

网络安全防护体系的组成要素包括？（）

A.