1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

2026年信息安全保障人员认证(CISAW)考试题库(附答案和详细解析)(0117).docxVIP

  • 2
  • 0
  • 约7.66千字
  • 约 11页
  • 2026-03-13 发布于上海
  • 举报

2026年信息安全保障人员认证(CISAW)考试题库(附答案和详细解析)(0117).docx

    信息安全保障人员认证(CISAW)考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    信息安全的核心三要素(CIA)是指以下哪项?

    A.机密性、可追溯性、可用性

    B.完整性、不可否认性、可控性

    C.机密性、完整性、可用性

    D.真实性、完整性、抗抵赖性

    答案:C

    解析:信息安全的核心三要素(CIA)是机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。选项A中的“可追溯性”、B中的“不可否认性”和D中的“真实性”均属于扩展安全属性,而非核心三要素。

    以下哪项是ISO27001标准的核心?

    A.风险评估与处理

    B.网络边界防护

    C.漏洞扫描频率

    D.员工安全意识培训

    答案:A

    解析:ISO27001(信息安全管理体系)的核心是基于风险的方法,通过风险评估识别信息安全风险,并采取控制措施处理风险。其他选项(B、C、D)是具体的安全措施,属于风险处理的一部分,而非标准核心。

    最小权限原则的核心要求是?

    A.用户仅获得完成工作所需的最低权限

    B.所有用户初始权限为零

    C.管理员拥有最高权限

    D.权限随用户级别自动提升

    答案:A

    解析:最小权限原则要求用户或进程仅被授予完成任务所需的最小权限,以降低误操作或恶意利用的风险。选项B是“零信任”的部分理念,C是权限分配的常规现象,D与最小权限原则相悖。

    数字签名的主要作用是?

    A.加密数据内容

    B.确认发送者身份和数据完整性

    C.防止数据被篡改

    D.实现数据的机密传输

    答案:B

    解析:数字签名通过私钥签名、公钥验证的机制,同时实现发送者身份确认(不可否认性)和数据完整性验证。选项A和D是加密技术的作用,C是完整性验证的部分目标,但未涵盖身份确认。

    等级保护2.0中“一个中心”指的是?

    A.安全管理中心

    B.边界安全防护中心

    C.计算环境安全中心

    D.通信网络安全中心

    答案:A

    解析:等级保护2.0的“一个中心”是安全管理中心(包括安全管理系统、日志审计系统等),“三重防护”包括计算环境、通信网络、区域边界。其他选项属于“三重防护”的组成部分。

    以下哪项不属于信息安全管理体系(ISMS)的PDCA循环阶段?

    A.计划(Plan)

    B.实施(Do)

    C.维护(Maintain)

    D.改进(Act)

    答案:C

    解析:PDCA循环包括计划(Plan)、实施(Do)、检查(Check)、改进(Act)。“维护”是持续运行中的常规操作,不属于PDCA的标准阶段。

    漏洞生命周期中,“0day漏洞”指的是?

    A.已公开但未修复的漏洞

    B.厂商已发布补丁的漏洞

    C.未被任何组织(包括厂商)发现的漏洞

    D.被攻击者首次利用但未被厂商知晓的漏洞

    答案:D

    解析:0day漏洞指漏洞被攻击者发现并利用后,厂商尚未知晓或未发布补丁的阶段(“0天”指厂商无响应时间)。选项C是“未被发现的漏洞”(Nday),A是“已公开未修复”(已过0day阶段)。

    以下哪种访问控制模型最适用于需要动态权限调整的场景?

    A.强制访问控制(MAC)

    B.自主访问控制(DAC)

    C.基于角色的访问控制(RBAC)

    D.基于属性的访问控制(ABAC)

    答案:D

    解析:ABAC(基于属性的访问控制)通过用户属性、环境属性等动态条件(如时间、位置)决定权限,适用于需要灵活调整的场景。MAC和DAC灵活性较低,RBAC基于固定角色。

    网络安全法要求关键信息基础设施运营者应在多长时间内向省级以上网信部门进行安全检测评估?

    A.每半年

    B.每年

    C.每两年

    D.每三年

    答案:B

    解析:《网络安全法》第三十八条规定,关键信息基础设施运营者应当自行或委托检测评估机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

    以下哪项是社会工程学攻击的典型手段?

    A.暴力破解密码

    B.发送伪装成银行的钓鱼邮件

    C.利用SQL注入攻击网站

    D.通过漏洞扫描发现系统弱点

    答案:B

    解析:社会工程学攻击通过心理操纵获取信任(如钓鱼邮件、电话诈骗)。其他选项(A、C、D)属于技术攻击手段,不涉及人为诱导。

    二、多项选择题(共10题,每题2分,共20分)

    信息安全风险评估的主要步骤包括?()

    A.资产识别与赋值

    B.威胁识别与分析

    C.脆弱性识别与评估

    D.风险计算与等级划分

    答案:ABCD

    解析:风险评估的标准流程包括:资产识别(确定保护对象)、威胁分析(可能的威胁源)、脆弱性评估(资产的弱点)、风险计算(威胁×脆弱性×资产价值)、等级划分(高/中/低风险)。

    以下属于《个人信息保护法》核心要求的有?()

    A.最小必要原则(仅收集必要信息)

    B.告知-同意原则(明确告知并获得用户同意)

    C.数据本地化存储(所

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >