1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

2025年信息安全保障人员认证(CISAW)考试题库(附答案和详细解析)(1229).docxVIP

  • 0
  • 0
  • 约7.27千字
  • 约 10页
  • 2026-01-29 发布于江苏
  • 举报

2025年信息安全保障人员认证(CISAW)考试题库(附答案和详细解析)(1229).docx

    信息安全保障人员认证(CISAW)考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是ISO/IEC27001标准的核心内容?

    A.网络安全漏洞扫描技术

    B.信息安全管理体系(ISMS)的建立与实施

    C.密码算法的数学原理

    D.终端设备的物理防护措施

    答案:B

    解析:ISO/IEC27001是信息安全管理体系(ISMS)的国际标准,核心是通过建立、实施、监控和改进ISMS来保障信息安全。A为技术工具,C为密码学基础,D为物理安全措施,均非标准核心内容。

    零信任架构(ZeroTrustArchitecture)的核心原则是?

    A.信任网络内所有设备

    B.最小化攻击面,持续验证访问请求

    C.仅依赖边界防火墙防护

    D.对内部用户不进行身份验证

    答案:B

    解析:零信任的核心是“从不信任,始终验证”,要求对所有访问请求(无论内外)进行持续身份验证和授权,最小化攻击面。A、C、D均违背零信任“默认不信任”的原则。

    根据《中华人民共和国网络安全法》,关键信息基础设施的运营者应当在多久内向公安机关备案?

    A.30日

    B.60日

    C.90日

    D.120日

    答案:A

    解析:《网络安全法》第三十三条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查,并在30日内向公安机关备案。

    以下哪项不属于信息安全保障的“老三性”?

    A.保密性(Confidentiality)

    B.完整性(Integrity)

    C.可用性(Availability)

    D.不可否认性(Non-repudiation)

    答案:D

    解析:信息安全的基本属性(老三性)是保密性、完整性、可用性;不可否认性属于“新四性”(新增可控性)中的扩展属性。

    渗透测试的主要目的是?

    A.验证系统的防御能力,发现潜在漏洞

    B.完全破坏目标系统

    C.替代日常安全运维

    D.监控用户行为

    答案:A

    解析:渗透测试是模拟攻击行为,通过合法授权的测试发现系统漏洞,验证防御措施有效性。B是恶意攻击行为,C、D与渗透测试目标无关。

    以下哪种加密算法属于对称加密?

    A.RSA

    B.ECC(椭圆曲线加密)

    C.AES

    D.DH(Diffie-Hellman)

    答案:C

    解析:AES(高级加密标准)是典型的对称加密算法(密钥相同);RSA、ECC、DH均为非对称加密算法(公私钥对)。

    等级保护2.0中“一个中心”指的是?

    A.安全管理中心

    B.计算资源中心

    C.数据存储中心

    D.网络传输中心

    答案:A

    解析:等级保护2.0的“一个中心”是安全管理中心(集中管理身份认证、安全审计、策略配置),“三重防护”是计算环境、区域边界、通信网络防护。

    以下哪项属于信息安全管理中的“管理控制”措施?

    A.部署防火墙

    B.制定访问控制策略

    C.安装杀毒软件

    D.加固服务器操作系统

    答案:B

    解析:管理控制指通过制度、流程实现的安全措施(如策略制定、人员培训);A、C、D属于技术控制措施。

    数据脱敏的主要目的是?

    A.提升数据存储效率

    B.保护敏感信息,防止非授权披露

    C.增强数据加密强度

    D.优化数据传输速度

    答案:B

    解析:数据脱敏通过变形(如替换、掩码)处理敏感数据(如身份证号、手机号),使其在非授权场景下无法还原真实信息,核心目的是保护隐私。

    以下哪项是信息安全事件分级的主要依据?

    A.事件发生的时间

    B.事件涉及的人员数量

    C.事件对业务的影响程度

    D.事件的技术复杂度

    答案:C

    解析:信息安全事件分级通常基于事件对组织业务连续性、数据安全、声誉等的影响程度(如特别重大、重大、较大、一般事件)。

    二、多项选择题(共10题,每题2分,共20分)

    以下属于《数据安全法》规定的重要数据范围的有?

    A.人口健康数据

    B.金融关键业务数据

    C.企业内部会议记录

    D.地理信息数据

    答案:ABD

    解析:《数据安全法》规定的重要数据包括与国家安全、经济发展、公共利益相关的数据(如人口健康、金融关键业务、地理信息);企业内部非敏感会议记录不属于重要数据范畴。

    信息安全风险评估的主要方法包括?

    A.定性评估(如专家打分法)

    B.定量评估(如LEC法)

    C.漏洞扫描

    D.渗透测试

    答案:AB

    解析:风险评估方法分为定性(主观判断)和定量(数值计算);漏洞扫描和渗透测试是发现漏洞的技术手段,属于风险评估的支撑工具,非主要方法。

    以下哪些措施符合最小权限原则(PrincipleofLeastPrivilege)?

    A.为普通员工分配仅访问必要业务系统的权限

    B.管理员账户同时用于日常办公和系统管理

    C.临时用户权限在任务完成后及时回收

    D.所有用

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >