原创力文档- 0
- 0
- 约6.79千字
- 约 10页
- 2026-03-05 发布于上海
- 举报
信息安全保障人员认证(CISAW)考试试卷
一、单项选择题(共10题,每题1分,共10分)
信息安全保障的核心三要素是以下哪项?
A.技术、设备、流程
B.人、技术、管理
C.数据、网络、终端
D.策略、标准、指南
答案:B
解析:信息安全保障体系强调“人、技术、管理”的协同作用(参考《信息安全保障概论》)。A选项“设备”是技术的载体,非核心要素;C选项是安全防护的对象;D选项是管理的具体形式。
以下哪项不属于ISO27001信息安全管理体系(ISMS)的核心过程?
A.风险评估
B.安全事件响应
C.业务连续性管理
D.漏洞扫描工具部署
答案:D
解析:ISO27001的核心过程包括风险评估(A)、安全事件管理(B)、业务连续性(C)等,而漏洞扫描工具部署是技术实施手段(非体系核心过程)。
强制访问控制(MAC)的典型特征是?
A.主体自主决定客体访问权限
B.基于角色分配权限
C.系统根据安全标签统一控制访问
D.按用户组划分权限
答案:C
解析:MAC由系统根据预先定义的安全标签(如密级)强制控制访问(《访问控制技术指南》)。A是自主访问控制(DAC);B是基于角色的访问控制(RBAC);D是组策略控制,属于DAC的扩展。
以下哪种密码算法属于对称加密?
A.RSA
B.ECC
C.AES
D.SHA-256
答案:C
解析:AES(高级加密标准)是典型的对称加密算法(密钥相同)。RSA(A)和ECC(B)是非对称加密;SHA-256(D)是哈希算法。
等级保护2.0中,第三级信息系统的安全测评周期是?
A.每年至少1次
B.每2年至少1次
C.每3年至少1次
D.每5年至少1次
答案:A
解析:根据《信息安全等级保护管理办法》,三级系统需每年至少开展1次安全测评,四级系统每半年1次,二级每2年1次。
安全审计的主要目的是?
A.发现系统漏洞
B.验证安全策略执行情况
C.提升网络传输速度
D.加密存储数据
答案:B
解析:安全审计通过记录和分析系统活动,验证安全策略是否被遵守(《信息安全审计标准》)。A是漏洞扫描的目的;C与安全无关;D是加密技术的功能。
以下哪项属于网络安全应急响应的“抑制阶段”关键操作?
A.制定应急预案
B.隔离受攻击主机
C.恢复业务系统
D.总结事件报告
答案:B
解析:应急响应流程包括准备、检测、抑制、根除、恢复、总结。抑制阶段的核心是阻止攻击扩散(如隔离主机)。A属于准备阶段;C是恢复阶段;D是总结阶段。
云安全中“多租户隔离”的主要目标是?
A.提高云服务器计算性能
B.防止不同租户数据泄露
C.简化云平台管理界面
D.降低云服务带宽成本
答案:B
解析:多租户隔离通过技术手段(如虚拟化隔离、资源分区)确保不同租户的数据和操作互不干扰(《云计算安全指南》)。其他选项与安全目标无关。
根据《数据安全法》,重要数据处理者应当按照规定对其数据处理活动定期开展?
A.数据备份演练
B.数据安全影响评估
C.数据加密强度测试
D.数据存储容量审计
答案:B
解析:《数据安全法》第三十条明确要求重要数据处理者定期开展数据安全影响评估并报送结果。其他选项是具体安全措施,非法定要求。
零信任架构(ZeroTrust)的核心原则是?
A.默认信任内网所有设备
B.持续验证访问请求的合法性
C.仅开放必要的网络端口
D.依赖边界防火墙防护
答案:B
解析:零信任的核心是“永不信任,持续验证”(NISTSP800-207),强调对每个访问请求(无论内外网)进行身份、设备、环境等多维度验证。A、D是传统边界安全的特征;C是最小权限原则的体现。
二、多项选择题(共10题,每题2分,共20分)
信息安全风险管理的主要步骤包括?
A.风险识别
B.风险分析
C.风险处置
D.风险转移
答案:ABC
解析:风险管理标准流程为“识别-分析-评估-处置-监控”(ISO27005)。D“风险转移”是风险处置的一种方式(如购买保险),非独立步骤。
以下属于访问控制模型的有?
A.自主访问控制(DAC)
B.强制访问控制(MAC)
C.基于角色的访问控制(RBAC)
D.基于属性的访问控制(ABAC)
答案:ABCD
解析:四类均为典型访问控制模型。DAC由主体自主授权;MAC由系统强制控制;RBAC基于角色分配权限;ABAC基于属性(如时间、位置)动态控制。
密码学的基本功能包括?
A.机密性(Confidentiality)
B.完整性(Integrity)
C.可用性(Availability)
D.不可否认性(Non-repudiation)
答案:ABD
解析:密码学通过加密(机密性)、哈希(完整性)、数
文档评论(0)