2025年综合类-中级系统集成项目管理工程师-信息系统安全管理历年真题摘选带答案(5卷单选一百题).docxVIP

2025年综合类-中级系统集成项目管理工程师-信息系统安全管理历年真题摘选带答案(5卷单选一百题)

2025年综合类-中级系统集成项目管理工程师-信息系统安全管理历年真题摘选带答案(篇1)

【题干1】在信息系统安全风险管理体系中，风险识别阶段常用的定性分析方法不包括以下哪项？

【选项】A.德尔菲法B.SWOT分析C.事件树分析D.漏洞扫描

【参考答案】C

【详细解析】风险识别的定性分析方法包括德尔菲法（专家意见汇总）、SWOT分析（优势/劣势/机会/威胁评估）和故障树分析（事故成因追溯）。事件树分析（EventTreeAnalysis,ETA）属于定量分析方法，用于评估事件发生的概率和影响程度，因此C选项不正确。

【题干2】根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），安全审计的审计对象不包括以下哪项？

【选项】A.安全策略B.安全管理制度C.安全事件响应D.安全设备日志

【参考答案】C

【详细解析】安全审计的核心对象是安全策略、管理制度、技术措施和人员操作。安全事件响应属于安全运维流程，其审计需通过事件记录和处置记录进行，而非直接作为独立审计对象，因此C选项错误。

【题干3】某企业采用RBAC（基于角色的访问控制）模型管理系统权限，用户申请访问财务系统时，需满足以下哪项条件？

【选项】A.用户所属部门与财务系统关联B.用户角色包含“财务审批员”权限C.用户密码复杂度达标D.用户最近一次登录时间在24小时内

【参考答案】B

【详细解析】RBAC的核心是角色与权限绑定。用户能否访问系统取决于其角色是否被赋予相关权限（如“财务审批员”），与部门关联、密码复杂度、登录时间等无关，因此B选项正确。

【题干4】在加密技术中，对称加密算法通常用于以下哪种场景？

【选项】A.电子邮件加密B.数字证书生成C.数据库表加密D.HTTPS协议

【参考答案】C

【详细解析】对称加密（如AES、DES）因加密速度快，适合加密大量数据（如数据库表）。非对称加密（如RSA）用于密钥交换或数字证书生成（如HTTPS握手阶段），因此C选项正确。

【题干5】某系统要求对敏感数据实施“一次一密”策略，该策略的核心技术是？

【选项】A.随机数生成B.一次一密（One-TimePassword,OTP）C.哈希算法D.数字签名

【参考答案】B

【详细解析】“一次一密”指每次会话使用唯一动态密码（如OTP），通过时间同步或挑战-响应机制实现，与随机数生成（基础但非核心）、哈希算法（固定输出）、数字签名（身份认证）无关，因此B选项正确。

【题干6】在网络安全事件处置中，属于主动防御措施的是？

【选项】A.防火墙规则更新B.事件回溯分析C.网络流量封禁D.备份恢复演练

【参考答案】A

【详细解析】主动防御指通过技术手段提前阻断威胁（如防火墙规则更新）。事件回溯（事后分析）、流量封禁（应急响应）、备份恢复（灾备）均属于被动或补救措施，因此A选项正确。

【题干7】根据《网络安全法》，网络运营者收集用户个人信息应遵循的原则不包括以下哪项？

【选项】A.经用户同意B.建立最小必要采集清单C.定期销毁数据D.向用户明示用途

【参考答案】C

【详细解析】《网络安全法》要求网络运营者遵循合法、正当、必要和诚信原则，明确收集范围（最小必要）、用户同意、明示用途（如隐私政策）。定期销毁数据属于数据生命周期管理要求，非直接法律原则，因此C选项错误。

【题干8】在物理安全中，以下哪项属于防尾随措施？

【选项】A.安装监控摄像头B.设置门禁权限分级C.安装防弹玻璃D.设置电子围栏

【参考答案】B

【详细解析】防尾随（Tailgating）指未经授权人员跟随合法人员进入restrictedarea。门禁权限分级（如刷卡+密码）可防止尾随者复制权限，其他选项（监控、防弹玻璃、电子围栏）属于物理防护或监控措施，因此B选项正确。

【题干9】某系统采用双因素认证（2FA），其密钥存储应满足以下哪项要求？

【选项】A.存储在云端服务器B.与主账户密码关联C.集成到硬件安全模块D.定期更换密钥

【参考答案】C

【详细解析】双因素认证的密钥（如动态令牌、硬件密钥）需存储在独立于主账户的硬件安全模块（HSM）中，以防止密钥泄露导致认证失效，因此C选项正确。

【题干10】在漏洞管理中，CVSS（通用漏洞评分系统）用于评估漏洞的哪项属性？

【选项】A.漏洞发现时间B.漏洞修复难度C.漏洞影