2025年综合类-中级系统集成项目管理工程师-信息系统安全管理历年真题摘选带答案(5卷单选题百道集合.docxVIP

2025年综合类-中级系统集成项目管理工程师-信息系统安全管理历年真题摘选带答案(5卷单选题百道集合)

2025年综合类-中级系统集成项目管理工程师-信息系统安全管理历年真题摘选带答案(篇1)

【题干1】在信息系统安全策略制定过程中，最基础且必须遵循的依据是？

【选项】A.法律法规要求；B.用户需求优先；C.行业标准规范；D.技术发展趋势

【参考答案】A

【详细解析】信息系统安全策略的制定需以法律法规为根本依据，如《网络安全法》《数据安全法》等明确规定了安全义务。其他选项如用户需求、行业标准和技术趋势虽需考虑，但法律要求是强制性的基础。

【题干2】信息安全风险评估中，属于定性分析方法的是？

【选项】A.模糊综合评价法；B.漏洞扫描技术；C.渗透测试；D.安全基线比对

【参考答案】A

【详细解析】模糊综合评价法通过专家经验进行风险等级划分，属于定性分析。漏洞扫描、渗透测试和安全基线比对均为定量或技术性评估手段。

【题干3】在加密技术应用中，对称加密算法通常用于？

【选项】A.电子邮件加密；B.数字证书颁发；C.会话密钥交换；D.文件完整性校验

【参考答案】C

【详细解析】对称加密算法（如AES）计算速度快，适用于实时通信中的会话密钥加密。数字证书颁发需非对称加密（如RSA），电子邮件加密多采用PGP等非对称方案。

【题干4】安全审计中，属于事前控制措施的是？

【选项】A.日志记录分析；B.访问权限复核；C.应急响应演练；D.审计报告发布

【参考答案】B

【详细解析】访问权限复核在系统运行前完成，属于事前控制。日志分析（事后）、应急演练（事中）和审计报告（事后）均非事前措施。

【题干5】以下哪项是物理安全的核心防护目标？

【选项】A.防止数据篡改；B.阻断外部网络攻击；C.限制非授权物理接触；D.确保系统高可用性

【参考答案】C

【详细解析】物理安全的核心是防止未经授权的物理接触（如机房门禁、生物识别），而数据篡改（A）属逻辑安全范畴，网络攻击（B）属网络安全，高可用性（D）依赖冗余设计。

【题干6】在安全协议中，用于保护传输层数据机密性的协议是？

【选项】A.SSL；B.SSH；C.IPSec；D.TLS

【参考答案】D

【详细解析】TLS（TransportLayerSecurity）直接作用于传输层，提供端到端加密。SSL（SecureSocketsLayer）是TLS的早期版本，IPSec（InternetProtocolSecurity）工作于网络层，SSH（SecureShell）用于远程登录。

【题干7】信息安全事件响应流程中，第一步应完成的是？

【选项】A.事件根因分析；B.影响范围确认；C.法律义务通知；D.备份恢复执行

【参考答案】B

【详细解析】响应流程遵循“4R”原则（识别、遏制、根除、恢复），第一步需明确事件影响范围以制定后续措施。根因分析（A）在遏制阶段进行，备份恢复（D）属恢复阶段。

【题干8】在访问控制模型中，基于角色划分权限的模型是？

【选项】A.DAC；B.RBAC；C.BAC；D.MAC

【参考答案】B

【详细解析】RBAC（Role-BasedAccessControl）通过角色分配权限，适用于企业组织架构。DAC（DiscretionaryAccessControl）由资源所有者自主控制，MAC（MandatoryAccessControl）由系统强制实施。

【题干9】安全策略中的“最小权限原则”主要针对？

【选项】A.系统配置；B.用户身份认证；C.数据访问权限；D.网络拓扑结构

【参考答案】C

【详细解析】最小权限原则要求用户仅拥有完成工作所需的最小数据访问权限，直接关联权限管控。系统配置（A）涉及安全基线，身份认证（B）属访问控制环节。

【题干10】信息安全审计中，通常每季度至少执行一次的是？

【选项】A.漏洞扫描；B.应急演练；C.权限复核；D.日志分析

【参考答案】C

【详细解析】权限复核需定期检查用户权限与岗位匹配性，符合ISO27001等标准要求。漏洞扫描（A）可月度执行，应急演练（B）建议每半年一次，日志分析（D）频率依业务需求而定。

【题干11】在加密技术中，用于数字签名的是？

【选项】A.哈希算法；B.对称加密算法；C.非对称加密算法；D.数字证书

【参考答案】C

【详细解析】非对称加密（如RSA）支持公钥加密、私钥解密，并可用于生成数字签名。哈希算法（A）生成数据摘要，数字证书（D）是加密公钥的电子凭证。

【题干12】安全事件分类中，属于主动攻击的是？

【选项】A