CISP考试模拟题及答案.docxVIP

CISP考试模拟题及答案

一、单选题（共10题，每题2分）

以下哪项是CISP（注册信息安全专业人员）认证的核心宗旨？（）

A.培养网络攻击技术人才

B.保障信息系统安全与数据必威体育官网网址性、完整性、可用性

C.提升软件开发效率

D.优化网络架构设计

答案：B

解析：CISP认证聚焦信息安全领域，核心是通过专业能力培养，保障信息系统的安全属性（必威体育官网网址性、完整性、可用性），A选项攻击技术与认证宗旨相悖，C、D分别属于软件开发和网络架构领域，与信息安全核心无关。

在信息安全风险管理中，“识别潜在威胁与脆弱性”属于哪个环节？（）

A.风险评估

B.风险处理

C.风险监控

D.风险沟通

答案：A

解析：风险评估包含风险识别（识别威胁、脆弱性、资产）、风险分析、风险评价三个子环节，“识别潜在威胁与脆弱性”是风险识别的核心内容；B选项风险处理是针对评估出的风险采取措施，C是持续监控风险变化，D是风险相关信息的传递，均不符合题意。

下列哪种加密算法属于非对称加密算法？（）

A.DES

B.AES

C.RSA

D.3DES

答案：C

解析：非对称加密算法需使用公钥和私钥两对密钥，RSA是典型的非对称加密算法；A、B、D均为对称加密算法，仅需一套共享密钥进行加密和解密。

某企业为防止员工离职后泄露敏感数据，对内部重要文件设置“仅允许查看，禁止复制、下载”，这属于哪种访问控制策略？（）

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

答案：A

解析：自主访问控制（DAC）中，资源所有者可自主决定其他用户对资源的访问权限，企业作为文件所有者设置“仅查看”权限，符合DAC特点；B选项MAC由系统强制分配权限，与用户自主设置无关；C基于角色分配权限，D基于属性（如用户职位、时间）分配权限，均不符合题干描述。

根据《中华人民共和国网络安全法》，网络运营者应当对收集的用户信息采取的措施不包括（）

A.加密保护

B.定期备份

C.随意向第三方提供

D.防止信息泄露

答案：C

解析：《网络安全法》明确规定，网络运营者不得随意向第三方提供用户信息，需经用户同意或法律授权；A、B、D均为网络运营者对用户信息的法定保护义务。

下列哪种行为不属于网络攻击行为？（）

A.利用漏洞植入木马程序

B.对网站进行合法的渗透测试（经授权）

C.发送大量垃圾邮件导致服务器瘫痪

D.破解用户账号密码并窃取数据

答案：B

解析：经授权的渗透测试是合法的信息安全评估行为，目的是发现系统脆弱性并协助修复，不属于攻击；A、C、D分别属于恶意代码攻击、拒绝服务攻击、账号劫持攻击，均为非法网络攻击行为。

信息系统备份策略中，“每次仅备份自上一次备份后发生变化的数据”指的是哪种备份方式？（）

A.全量备份

B.增量备份

C.差异备份

D.实时备份

答案：B

解析：增量备份的特点是仅备份上一次备份（无论全量还是增量）后变化的数据；A全量备份是备份所有数据，C差异备份是备份上一次全量备份后变化的数据，D实时备份是持续备份数据变化，均不符合题干描述。

下列关于防火墙的说法，错误的是（）

A.防火墙可过滤非法网络流量

B.防火墙能防止内部网络感染病毒

C.防火墙不能防范来自内部网络的攻击

D.防火墙可实现网络地址转换（NAT）

答案：B

解析：防火墙主要基于网络流量的端口、协议、IP地址等规则进行过滤，无法检测和清除病毒（需杀毒软件等工具）；A、C、D均为防火墙的正确功能描述，防火墙对内部攻击无防范能力，且可通过NAT隐藏内部网络地址。

在信息安全事件响应中，“判断事件影响范围、严重程度，确定响应优先级”属于哪个阶段？（）

A.准备阶段

B.检测阶段

C.遏制阶段

D.分析阶段

答案：D

解析：分析阶段的核心是对已检测到的事件进行深入分析，包括影响范围、严重程度、事件原因等，以确定响应优先级；A是事件发生前的准备工作，B是发现异常事件，C是采取措施阻止事件扩大，均不符合题意。

下列哪项是信息安全“必威体育官网网址性”的典型体现？（）

A.确保数据在传输过程中不被篡改

B.确保授权用户能正常访问数据

C.确保敏感数据不被未授权用户查看

D.确保数据在丢失后可恢复

答案：C

解析：必威体育官网网址性核心是防止未授权访问，确保敏感信息不被泄露；A是完整性，B是可用性，D是数据恢复能力，均不属于必威体育官网网址性范畴。

二、多选题（共5题，每题4分，多选、少选、错选均不得分）

信息安全风险评估过程中，需要识别的核心要素包括（）

A.资产（如服务器、数据）

B