2022注册信息安全专业人员试卷(含答案)

注册信息安全专业人员试卷及答案

卷面总分：100分答题时间：90分钟试卷得分

一、单选题(共50题，共100分)

1.

当一个关键文件服务器的存储增长没有被合理管理时，以下哪一项是最大的风险()?

A.备份时间会稳定增长

B.备份成本会快速增长

C.存储成本会快速增长

D.服务器恢复工作不能满足恢复时间目标(RTO)的要求

正确答案：D

2.

某公司正在进行IT系统灾难恢复测试，下列问题中的哪个最应该引起关注()

A.由于有限的测试时间窗，仅仅测试了最必须的系统，其他系统在今年的剩余时间里陆续单

独测试

B.在测试过程中，有些备份系统有缺陷或者不能正常工作，从而导致这些系统的测试失败

C.在开启备份站点之前关闭和保护原生产站点的过程比计划需要多得多的时间

D.每年都是由相同的员工执行此测试，由于所有的参与者都很熟悉每一个恢复步骤，因而

没有使用灾难恢复计划(DRP)文档

正确答案：D

3.

为了达到组织灾难恢复的要求，备份时间间隔不能超过()

A.服务水平目标(SLO)

B.恢复时间目标(RTO)

C.恢复点目标(RPO)

D.停用的最大可接受程度(MAO)

正确答案：C

4.

下列哪一项最准确地描述了灾难恢复计划()应该包括的内容？

A.硬件，软件，人员，应急流程，恢复流程

B.人员，硬件，备份站点

C.硬件，软件，备份介质，人员

D.硬件，软件，风险，应急流程

正确答案：A

5.

对于在风险评估过程中发现的风险，下列哪一项不是适当的风险处置措施()?

A.消减风险

B.接受风险

C.忽略风险

D.转移风险

正确答案：C

6.

剩余风险应该如何计算？

A.威胁X风险X资产价值

B.(威胁X资产价值X脆弱性)X风险

C.单次损失值X频率

D.(威胁X脆弱性X资产价值)X控制空隙

正确答案：D

7.

下列哪一项准确地描述了标准、基线、指南和规程的定义()?

A.标准是完成某项任务的详细步骤，规程是建议性的操作指导

B.基线是强制性的规定，指南是建议性的操作指导

C.标准是强制性的规定，规程是完成某项任务的详细步骤

D.规程是建议性的操作指导，基线是必须具备的最低安全水平

正确答案：C

8.

实施安全程序能够加强下列所有选项，除了()

A.数据完整性

B.安全意识教育

C.数据准确性

D.保护资产

正确答案：C

9.

组织在实施与维护信息安全的流程中，下列哪一项不属于高级管理层的职责？

A.明确的支持

B.执行风险分析

C.定义目标和范围

D.职责定义与授权

正确答案：B

10.

某公司在执行灾难恢复测试时，信息安全专业人员注意到灾难恢复站点的服务器的运行速度

缓慢，为了找到根本原因，他应该首先检查()

A.灾难恢复站点的错误事件报告

B.灾难恢复测试计划

C.灾难恢复计划(DRP)

D.主站点和灾难恢复站点的配置文件

正确答案：A

11.

下列哪一项准确定义了安全基线()?

A.指明应该做什么和不应该做什么的规定

B.最低水平的安全需求

C.安全措施的操作手册

D.安全建议

正确答案：B

12.

为什么一个公司内部的风险评估团队应该由来自不同部门的人员组成()？

A.确保风险评估过程是公平的

B.因为风险正是由于这些来自不同部门的人员所引起的，因此他们应该承担风险评估的职责

C.因为不同部门的人员对本部门所面临的风险最清楚，由此进行的风险评估也最接近于实际

情况

D.风险评估团队不应该由来自不同部门的人员组成，而应该由一个来自公司外部的小型团队

组成

正确答案：C

13.

下列哪一项最准确地描述了定量风险分析（）？

A.通过基于场景的分析方法来研究不同的安全威胁

B.一种将潜在的损失以及进行严格分级的分析方法

C.在风险分析时，将货币价值赋给信息资产

D.一种基于主观判断的风险分析方法

正确答案：C

14.

某公司正在进行信息安全风险评估，在决定信息资产的分类与分级时，谁负有最终责任（）？

A.部门经理

B.高级管理层

C.信息资产所有者

D.最终用户

正确答案：C

15.

下列哪种渗透性测试对有效的评估一个组织对事件处理和响应的能力（）?

A.目标测试

B.外部测试

C.内部测试

D.双盲测试

正确答案：D

16.

执行一个Smurf攻击需要下列哪些组件（）？

A.攻击者，受害者，放大网络

B.攻击者，受害者，数据包碎片，放大网络

C.攻击者，受害者，数据包碎片

D.攻击者，受害者，带外数据

正确答案：A

17.

在数据中心环境中，下列哪一种灭火系统最应该被采用（）

A.干管喷淋灭火系统

B.湿管喷淋灭火系统

C.Halon灭火系统

D.二氧化碳气体

正确答案：A

18.

当一名入侵者紧跟着一位授权人员，在没有经过访问控制系统认证的情况下通过入口的行为

称为()

A眉充

B.尾随

C.截获

D.欺骗

正确答案：B

19.

下列哪一项不是一种预防性物理控制()?

A.安全警卫

B.警犬

C.访问登记表

D.围栏

正确答案：C

20.

数据库管理员在检查数据库时发现数据库的性能不理想，他准备通过对部分数据表实施去除

规范化(denormanization)操作来提高数据库性能，这样做将增加下列哪项风险()?

A.访问的不一致

B.死锁

C.对数据的非授权访问

D.数据完整性的损害

正确答案：D

21.

下列哪一项能够最好的保证防火墙日志的完整性。？

A.只授予管理员访问日志信息的权限

B.在操作系统层获取日志事件

C.将日志信息传送到专门的第三方日志服务器

D.在不同的存储介质中写入两套日志

正确答案：C

22.

从部署结构来看，下列哪一种类型的防火墙提供了最高安全性()?

A.屏蔽路由器

B.双宿堡垒主机

C.屏蔽主机防火墙

D.屏蔽子网防火墙

正确答案：D

23.

在下列哪一项访问控制技术中，数据库是基于数据的敏感性来决定谁能够访问数据()?

A.基于角色访问控制

B.基于内容访问控制

C.基于上下文访问控制

D.自主访问控制

正确答案：B

24.

在Kerberos结构中，下列哪一项会引起单点故障()?

A.E-Mail服务器

B.客户工作站

C.应用服务器

D.密钥分发中心(KDC)

正确答案：D

25.

下列哪种方法最能够满足双因子认证的需求()?

A.智能卡和用户PIN

B.用户ID与密码

C.虹膜扫描和指纹扫描

D.磁卡和用户PIN

正确答案：A

26.

某单位在评估生物识别系统时，对安全性提出了非常高的要求。据此判断，下列哪一项技术

指标对于该单位来说是最重要的()?

A.错误接收率(FAR)

B.平均错误率(EER)

C.错误拒绝率(FRR)

D.错误识别率(FIR)

正确答案：A

27.

在对生物识别技术中的错误拒绝率(FRR)和错误接收率(FAR)的定义中，下列哪一项的

描述是最准确的？

A.FAR属于类型I错误，FRR属于类型II错误

B.FAR是指授权用户被错误拒绝的比率，FRR属于类型I错误

C.FRR属于类型I错误，FAR是指冒充者被拒绝的次数

D.FRR是指授权用户被错误拒绝的比率，FAR属于类型II错误

正确答案：D

28.

访问控制模型应遵循下列哪一项逻辑流程()?

A.识别，授权，认证

B.授权，识别，认证

C.识别，认证，授权

D.认证，识别，授权

正确答案：C

29.

下列哪种类型的IDS能够监控网络流量中的行为特征，并能够创建新的数据库。？

A.基于特征的IDS

B.基于神经网络的IDS

C.基于统计的IDS

D.基于主机的IDS

正确答案：B

30.

下列哪一项能够被用来检测过去没有被识别过的新型攻击()?

A.基于特征的IDS

B.基于知识的IDS

C.基于行为的IDS

D.专家系统

正确答案：C

31.

TACACS+协议提供了下列哪一种访问控制机制？

A.强制访问控制

B.自主访问控制

C.分布式访问控制

D.集中式访问控制

正确答案：D

32.

在对消息的发送者进行认证时，下列哪一项安全机制是最可靠的()?

A.数字签名

B.非对■称加密算法

C.数字证书

D.消息认证码

正确答案：C

33.

不同类型的加密算法使用不同类型的数学方法,数学方法越复杂,计算所需要的资源就越高。

下列哪一种非对称加密算法因需要最少的资源而具有最高效率()?

A.RSA

B.ECC

C.Blowfish

D.IDEA

正确答案：B

34.

一名攻击者试图通过暴力攻击来获取下列哪一项信息()?

A.加密密钥

B.加密算法

C.公钥

D.密文

正确答案：A

35.

下列哪一项最好地描述了SSL连接机制()?

A.客户端创建一个会话密钥并用一个公钥来加密这个会话密钥

B.客户端创建一个会话密钥并用一个私钥来加密这个会话密钥

C.服务器创建一个会话密钥并用一个公钥来加密这个会话密钥

D.务器创建一个会话密钥并用一个私钥来加密这个会话密钥

正确答案：A

36.

如果一名攻击者截获了一个公钥，然后他将这个公钥替换为自己的公钥并发送给接收者，这

种情况属于那一种攻击？

A.重放攻击

B.Smurf攻击

C.字典攻击

D.中间人攻击

正确答案：D

37.

下列哪一项不属于公钥基础设施()的组件

A.CRL

B.RA

C.KDC

D.CA

正确答案：C

38.

电子邮件的机密性与真实性是通过下列哪一项实现的()?

A.用发送者的私钥对消息进行签名，用接收者的公钥对消息进行加密

B.用发送者的公钥对消息进行签名，用接收者的私钥对消息进行加密

C.用接收者的私钥对消息进行签名，用发送者的公钥对消息进行加密

D.用接收者的公钥对消息进行签名，用发送者的私钥对消息进行加密

正确答案：A

39.

数字签名不能提供下列哪种功能（）?

A.机密性

B.完整性

C.真实性

D.不可否认性

正确答案：A

40.

关于对称加密算法和非对称加密算法，下列哪一种说法是正确的（）?

A.对称加密算法更快，因为使用了替换密码和置换密码

B.对称加密算法更慢，因为使用了替换密码和置换密码

C.非对称加密算法的密钥分发比对称加密算法更困难

D.非对称加密算法不能提供认证和不可否认性

正确答案：A

41.

IPSec中包括AH（认证头）和ESP（封装安全载荷）这2个主要协议，其中AH提供下列哪

些功能？

A.机密性与认证

B.机密性与可靠性

C.完整性与可靠性

D.完整性与认证

正确答案：D

42.

下列哪一项最好地描述了消息认证码、哈希算法、数字签名和对称密钥分别提供的功能？

A.系统认证和完整性，完整性，真实性和完整性，机密性和完整性

B.用户认证和完整性，完整性，真实性和完整性，机密性

C.系统认证和完整性，完整性，真实性和完整性，机密性

D.系统认证和完整性，完整性和机密性，真实性和完整性，机密性

正确答案：C

43.

下列哪一种访问控制模型是通过访问控制矩阵来控制主体与客体之间的交互？

A.强制访问控制（MAC）

B.集中式访问控制（DecentralizedAccessControl）

C.分布式访问控制（DistributedAccessControl）

D.自主访问控制（DAC）

正确答案：D

44.

作为一名信息安全专业人员，你正在为某公司设计信息资源的访问控制策略。由于该公司的

人员流动性较大，你准备根据用户所属的组以及在公司中的职责来确定对信息资源的访问权

限，最应该采用下列哪一种访问控制模型？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色访问控制（RBAC）

D.最小特权（LeastPrivilege）

正确答案：C

45.

某公司的业务部门用户需要访问业务数据，这些用户不能直接访问业务数据，而只能通过外

部程序来操作业务数据，这种情况属于下列哪种安全模型的一部分？

A.Bell-LaPadula模型

B.Biba模型

C.信息流模型

D.CIark-Wilson模型

正确答案：D

46.

为了防止授权用户不会对数据进行未经授权的修改，需要实施对数据的完整性保护，下列哪

一项最好地描述了星或（）完整性原则？

A.Bell-LaPadula模型中的不允许向下写

B.Bell-LaPadula模型中的不允许向上读

C.Biba模型中的不允许向上写

D.Biba模型中的不允许向下读

正确答案：C

47.

安全模型明确了安全策略所需的数据结构和技术，下列哪一项最好地描述了安全模型中的

“简单安全规则”？

A.Biba模型中的不允许向上写

B.Biba模型中的不允许向下读

C.Bell-LaPadula模型中的不允许向下写

D.Bell-LaPadula模型中的不允许向上读

正确答案：D

48.

下列哪一项安全机制是一个抽象机，不但确保主体拥有必要的访问权限，而且确保对客体不

会有未经授权的访问以及破坏性的修改行为()

A.安全核心

B,可信计算基

C.引用监视器

D.安全域

正确答案：C

49.

下列哪一项准确地描述了可信计算基()

A.TCB只作用于固件(Firmware)

B.TCB描述了一个系统提供的安全级别

C.TCB描述了一个系统内部的保护机制

D.TCB通过安全标签来表示数据的敏感性

正确答案：C

50.

某公司准备在业务环境中部署一种新的计算机产品，下列哪一项是授权过程的最后一步？

A.认证

B.定级

C.认可

D.识别

正确答案：C

附：职业人士学习方法分享

“学习专业知识”本身并不难，不少学员曾遇到的困难在于：如何培养和长

久保持浓厚的学习兴趣，养成良好的学习习惯，稳定在一个良好的学习状态中？!

一、有明确的职业生涯规划蓝图、学习目的，知道自己正稳步朝目标迈进，

就能够安心学习

不妨找一些文章和一些亲友好好探讨一下这个问题，让自己明确为什么说学

财税专业的前景是光明的，出路是宽广的：大多数优秀企业的首脑都是至少懂财

务的，学好财税知识，进可攻一一做企业管理或经济管理、行政管理;退可守一一

做财务，税务，审计，或人力资源，行政文秘,”，擅长与数字打交道的可以做财税、

审计、统计，擅长交际或写作的可以做记者或编辑，爱学习的可以做教师或专家

学者。

人与生俱来就渴望成功，追求卓越!谁不想要精彩的人生，优秀的自己？！

学习目的可以有三个：一、学以致用，为今后的工作打基础;二、充实自己，

证实自己学习能力强，是个优秀的人才!三、给自己未来的或正在成长的小孩做

个好榜样，让自己的亲友为自己感到骄傲！二、克服畏难情绪，培养兴趣，树立

考试必胜的信心

有的人一看书就困或有畏难情绪，很可能是起点不对，没有从适合自己那本

书开始，个别人***尤其是非会计专业转学财务或税务时***_基础会计一都还没学

明白，直接学注税或注会，自然容易产生畏难情绪，自学中基础较差，学习较弱，

信心不是很足的人，可以拿一基础会计」会计初/中级实务的教材和辅导书先打

一下基础，再正式学注税或注会。因为就象看外语小说一样，直接看生词太多的

原著，总得查字典，不易看出兴趣和成就感，换简易本、中英文对照本后，学出

兴趣和信心后，再读原著，就更容易看进去了。如果起初学财税知识的兴趣不是

很浓，一看书就困或皱眉，可以拿手机上个闹钟，先花十分钟学学自己更感兴趣

的知识，如背几个英汉对照的励志短句，或做一道有趣的数学题，兴奋起来了，

就可以“爱A及B”地，开始学财税知识了。学的时候，可以把它想象成自己最

感兴趣、最爱学的知识，学一段时间，真正学进去了，体味到收获新知的乐趣，

就会真的学习兴趣越来越浓厚了。

三、制订合理的学习目标、学习计划，化压力为动力

报名了，当然希望报几门过几门，但有时因各种主客观因素，往往难以如愿，

其中一个原因就是心理压力太大，把结果看得太重，心思放到不必要的地方去了。

有的人总想着，时间一天天过去，自己看书的状态和进度还是这么不理想，估计

考试过关或报几门过几门的希望越来越渺茫，如果考不过，多让人笑话，多影响

前程””哎!好焦急，好没信心啊！

其实，就象棋盘里放麦粒，学习状态肯定是越来越好的，第一天学半页，第

二天学1页，第三天学2页，第四天学4页，第五天学6页,”，算算看，每天进一

小步，一个月就是进一大步，到考试时，肯定时间就来得及了！要对自己有信心!

如果你实在学不进专业，也不要去看电视，喝酒，蹦迪，打游戏，搓麻”,，可以找

些励志书籍或短文，每天看看、背背格言警句，让帮自己强化好学上进的心。

当脑子里总是充满了“自己应该勤奋学习、积极上进、我能行、我肯定能

做最好的自己、我一定要成功、我要立即付诸行动！”这些信息时，自然就会想

看书，爱学习了！

给自己制订一个学习计戈U，规定每天要看多少书，做多少题，如果完成得好，

就两科或多科交叉进行，同步学习，如果完成得不好，就选择近期最急用先学,

或自己最感兴趣，或最容易学进去的科目专一地学习。这样，自己今年至少能过

一门，来年这个时候的学习能力一定比现在强，明年过两三门可能也没问题，这

样一来，是不是觉得前景好多了、信心也更足了？！四、把学专业、给心灵充电、

休息、锻炼的时间均匀分配好，养成作息规律的好习惯1、在固定的时间、安静

的环境中专心学专业

每天晚饭后花10分钟整理一下内务，然后先散步十分钟***保护好自己的胃

***,再学2〜3小时专业，在复习资料上做记号，标明学习起止时间及位置。当

天学过的知识，一小时后复习一遍，第二天，早起20~30分钟，把前一天学过的

知识再复习一遍。学过的知识，一周后再复习一遍，这样按记忆规律，就能花最

少的时间，把知识记得最牢，学习效率很高！

学习时不要开其它网页，更不能开聊天工具***最