2024年安全生产-安全防范行业职业技能鉴定-注册信息安全专业人员考试历年真题常考点试题1带答案.docxVIP

2024年安全生产-安全防范行业职业技能鉴定-注册信息安全专业人员考试历年真题常考点试题带答案

（图片大小可任意调节）

第1卷

一.单选题(共20题)

1.某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任（）？

A.部门经理

B.高级管理层

C.信息资产所有者

D.最终用户

2.一名攻击者试图通过暴力攻击来获取下列哪一项信息（）？

A.加密密钥

B.加密算法

C.公钥

D.密文

3.为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成（）？

A.确保风险评估过程是公平的

B.因为风险正是由于这些来自不同部门的人员所引起的，因此他们应该承担风险评估的职责

C.因为不同部门的人员对本部门所面临的风险最清楚，由此进行的风险评估也最接近于实际情况

D.风险评估团队不应该由来自不同部门的人员组成，而应该由一个来自公司外部的小型团队组成

4.下列哪一项不属于公钥基础设施（）的组件

A.CRL

B.RA

C.KDC

D.CA

5.下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？

A.强制访问控制（MAC）

B.集中式访问控制（DecentralizedAccessControl）

C.分布式访问控制（DistributedAccessControl）

D.自主访问控制（DAC）

6.安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型中的“简单安全规则”？

A.Biba模型中的不允许向上写

B.Biba模型中的不允许向下读

C.Bell-LaPadula模型中的不允许向下写

D.Bell-LaPadula模型中的不允许向上读

7.下列哪一项安全机制是一个抽象机，不但确保主体拥有必要的访问权限，而且确保对客体不会有未经授权的访问以及破坏性的修改行为（）

A.安全核心

B.可信计算基

C.引用监视器

D.安全域

8.对于在风险评估过程中发现的风险，下列哪一项不是适当的风险处置措施（）？

A.消减风险

B.接受风险

C.忽略风险

D.转移风险

9.某公司正在进行IT系统灾难恢复测试，下列问题中的哪个最应该引起关注（）

A.由于有限的测试时间窗，仅仅测试了最必须的系统，其他系统在今年的剩余时间里陆续单独测试

B.在测试过程中，有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败

C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间

D.每年都是由相同的员工执行此测试，由于所有的参与者都很熟悉每一个恢复步骤，因而没有使用灾难恢复计划（DRP）文档

10.某公司准备在业务环境中部署一种新的计算机产品，下列哪一项是授权过程的最后一步？

A.认证

B.定级

C.认可

D.识别

11.当一个关键文件服务器的存储增长没有被合理管理时，以下哪一项是最大的风险（）？

A.备份时间会稳定增长

B.备份成本会快速增长

C.存储成本会快速增长

D.服务器恢复工作不能满足恢复时间目标（RTO）的要求

12.作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权限，最应该采用下列哪一种访问控制模型？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色访问控制（RBAC）

D.最小特权（LeastPrivilege）

13.下列哪种类型的IDS能够监控网络流量中的行为特征，并能够创建新的数据库（）？

A.基于特征的IDS

B.基于神经网络的IDS

C.基于统计的IDS

D.基于主机的IDS

14.下列哪一项最好地描述了消息认证码、哈希算法、数字签名和对称密钥分别提供的功能？

A.系统认证和完整性，完整性，真实性和完整性，机密性和完整性

B.用户认证和完整性，完整性，真实性和完整性，机密性

C.系统认证和完整性，完整性，真实性和完整性，机密性

D.系统认证和完整性，完整性和机密性，真实性和完整性，机密性

15.下列哪一项最准确地描述了定量风险分析（）？

A.通过基于场景的分析方法来研究不同的安全威胁

B.一种将潜在的损失以及进行严格分级的分析方法

C.在风险分析时，将货币价值赋给信息资产

D.一种基于主观判断的风险分析方法

16.在Kerberos结构中，下列哪一项会引起单点故障（）？

A.E-Mail服务器

B.客户工作站

C.应用