1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 网络信息安全

2026年信息安全保障人员认证(CISAW)考试题库(附答案和详细解析)(0111).docxVIP

  • 1
  • 0
  • 约8.34千字
  • 约 12页
  • 2026-03-14 发布于上海
  • 举报

2026年信息安全保障人员认证(CISAW)考试题库(附答案和详细解析)(0111).docx

    信息安全保障人员认证(CISAW)考试试卷

    一、单项选择题(共10题,每题1分,共10分)

    以下哪项是ISO27001标准的核心目标?

    A.规范网络设备安全配置

    B.建立信息安全管理体系(ISMS)

    C.定义密码算法技术要求

    D.认证信息安全产品合规性

    答案:B

    解析:ISO27001是国际通用的信息安全管理体系标准,核心目标是通过建立、实施、维护和改进ISMS,实现信息安全风险的系统化管理。A为具体技术规范,C为密码标准(如ISO18033),D为产品认证(如FCC),均非ISO27001核心。

    根据《网络安全法》,关键信息基础设施的运营者应当自行或委托第三方每年至少进行几次网络安全检测评估?

    A.1次

    B.2次

    C.3次

    D.4次

    答案:A

    解析:《网络安全法》第三十八条明确规定,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。其他选项不符合法律原文。

    以下哪种访问控制模型中,主体的访问权限由系统强制分配,用户无法修改?

    A.自主访问控制(DAC)

    B.强制访问控制(MAC)

    C.基于角色的访问控制(RBAC)

    D.基于属性的访问控制(ABAC)

    答案:B

    解析:MAC模型中,访问权限由系统根据安全标签(如密级)强制分配,用户无权修改;DAC允许用户自主设置权限(如文件所有者授权),RBAC基于角色分配权限(如“管理员”角色),ABAC基于属性动态决策(如用户位置+时间)。

    风险评估的关键步骤中,“确定资产价值”属于哪个阶段?

    A.风险识别

    B.风险分析

    C.风险评价

    D.风险处置

    答案:A

    解析:风险评估流程通常包括风险识别(资产识别、威胁识别、脆弱性识别)、风险分析(计算风险值)、风险评价(等级划分)、风险处置(控制措施)。确定资产价值是资产识别的核心任务,属于风险识别阶段。

    APT(高级持续性威胁)攻击的最主要特征是?

    A.利用0day漏洞快速爆发

    B.针对特定目标长期渗透

    C.大规模分布式拒绝服务

    D.加密通信躲避检测

    答案:B

    解析:APT的核心特征是“持续性”和“针对性”,攻击者对特定目标(如政府、金融机构)进行长期(数月至数年)渗透,而非短期爆发(如勒索软件)或大规模攻击(如DDoS)。0day利用和加密通信是APT的常用手段,但非最主要特征。

    以下哪种技术属于数据脱敏的典型方法?

    A.数据库加密

    B.哈希算法(如SHA-256)

    C.随机替换(如将“张三”替换为“用户123”)

    D.防火墙访问控制

    答案:C

    解析:数据脱敏是对敏感数据进行变形处理(如替换、掩码),使其失去识别性但保留可用性。A为数据加密(可逆,需密钥解密),B为哈希(不可逆但用于验证而非脱敏),D为网络控制技术,均不属于脱敏。

    零信任架构的核心假设是?

    A.内部网络绝对安全

    B.所有访问请求都不可信

    C.设备身份无需验证

    D.仅验证用户身份即可

    答案:B

    解析:零信任的核心原则是“永不信任,始终验证”,假设网络中没有绝对可信的实体(包括内部用户、设备),所有访问请求必须经过动态验证(身份、设备状态、环境等)。A是传统边界安全的假设,C、D违背零信任多因素验证要求。

    依据《信息安全技术安全审计产品技术要求》(GB/T20271),安全审计的核心功能不包括?

    A.事件记录

    B.事件分析

    C.事件响应

    D.事件存储

    答案:C

    解析:安全审计的核心功能是对安全事件进行记录、分析和存储,为事后追溯提供依据;事件响应(如自动阻断攻击)属于入侵检测或防火墙的功能,非审计产品核心。

    电子认证服务中,数字证书的主要作用是?

    A.实现数据加密传输

    B.验证通信双方身份真实性

    C.防止数据被篡改

    D.确保消息不可抵赖

    答案:B

    解析:数字证书由CA颁发,包含用户公钥及身份信息,主要用于验证通信方的身份真实性(如网站HTTPS证书验证服务器身份)。A由对称加密(如AES)或非对称加密(如RSA)实现,C由哈希算法(如SHA-256)实现,D由数字签名(私钥签名+公钥验证)实现。

    灾难恢复计划(DRP)中,确定“恢复时间目标(RTO)”的主要依据是?

    A.系统停机的最大可接受时长

    B.数据丢失的最大可接受量

    C.灾难发生的概率

    D.恢复成本的预算

    答案:A

    解析:RTO(恢复时间目标)指系统从灾难发生到恢复可用的最长允许时间,直接反映业务对停机时间的容忍度;B是RPO(恢复点目标)的定义,C、D是风险评估和成本效益分析的考虑因素。

    二、多项选择题(共10题,每题2分,共20分)

    信息安全的核心三要素(CIA)包括?

    A.保密性(Confidentiality)

    B.完整性(Integrity)

    C.可用性

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >