2026年国际信息安全师认证考试题含答案

2026年国际信息安全师认证考试题含答案一、单选题（共10题，每题2分，合计20分）1.在《网络安全法》中，关于关键信息基础设施运营者的安全义务，以下哪项描述最为准确？A.仅需定期进行安全评估B.必须委托第三方机构进行安全防护C.应建立健全网络安全管理制度，采取技术措施，防止网络攻击、网络侵入D.仅需对员工进行安全意识培训2.某企业使用RSA-2048加密算法传输敏感数据，若攻击者通过暴力破解尝试破解密钥，理论上需要多长时间（假设计算能力每3年翻倍）？A.10年B.20年C.50年D.100年3.以下哪种威胁模型最适用于评估云服务提供商的安全责任边界？A.Bell-LaPadula模型B.Biba模型C.Clark-Wilson模型D.sharing模型（云共享模型）4.某银行采用多因素认证（MFA）提升交易安全性，其中密码、短信验证码、指纹属于哪种认证方式？A.知识因素认证B.拥有因素认证C.生物因素认证D.多层次认证5.在ISO27001标准中，关于“风险评估”，以下哪项是核心步骤？A.识别风险并记录B.评估风险并确定处理措施C.选择风险处理方案D.实施风险控制措施6.某企业遭受勒索软件攻击，数据被加密，以下哪种备份策略最能有效应对此类威胁？A.全量备份B.增量备份C.差异备份D.恢复点目标（RPO）优先备份7.在《数据安全法》中，关于敏感个人信息的处理，以下哪项行为属于禁止范围？A.经个人同意处理敏感信息B.为订立、履行合同所必需且已取得个人明确同意C.为公共利益或维护个人重大利益而处理D.直接向个人出售敏感个人信息8.某公司部署了Web应用防火墙（WAF），以下哪种攻击类型WAF最难以防御？A.SQL注入B.跨站脚本（XSS）C.零日漏洞攻击D.请求伪造9.在区块链技术中，以下哪种共识机制最适用于高并发场景？A.PoW（工作量证明）B.PoS（权益证明）C.DPoS（委托权益证明）D.PBFT（实用拜占庭容错）10.某企业使用零信任架构（ZeroTrust），以下哪种原则最符合其核心理念？A.“默认允许，验证拒绝”B.“默认拒绝，验证允许”C.“最小权限原则”D.“网络隔离原则”二、多选题（共5题，每题3分，合计15分）1.在《个人信息保护法》中，关于个人信息的处理，以下哪些行为需要取得个人同意？A.处理敏感个人信息B.向第三方提供个人信息C.自动化决策并作出对个人权益产生重大影响的决定D.为订立、履行合同所必需且已取得个人明确同意2.以下哪些属于常见的网络攻击类型？A.DDoS攻击B.APT攻击C.恶意软件（Malware）D.社交工程（SocialEngineering）3.在ISO27005标准中，关于信息安全风险评估，以下哪些属于风险处置措施？A.风险规避B.风险转移C.风险减轻D.风险接受4.某企业部署了入侵检测系统（IDS），以下哪些事件属于IDS的检测范围？A.网络流量异常B.已知漏洞利用尝试C.钓鱼邮件发送D.用户权限异常5.在零信任架构（ZeroTrust）中，以下哪些原则是核心组成部分？A.身份验证B.设备健康检查C.最小权限原则D.多因素认证三、判断题（共10题，每题1分，合计10分）1.加密算法AES-256比RSA-2048更适用于大文件加密。（正确/错误）2.在网络安全事件响应中，‘遏制’阶段的主要目标是防止损害扩大。（正确/错误）3.《网络安全法》适用于所有在中国境内运营的网络运营者。（正确/错误）4.云安全配置管理工具（如AWSSecurityHub）可以帮助企业自动检测和修复安全漏洞。（正确/错误）5.勒索软件攻击通常通过钓鱼邮件传播。（正确/错误）6.在ISO27001中，‘风险评估’和‘风险处理’是独立的过程。（正确/错误）7.区块链技术天然具备去中心化特性，因此无法被篡改。（正确/错误）8.多因素认证（MFA）可以完全消除账户被盗风险。（正确/错误）9.《数据安全法》要求企业对个人信息进行分类分级管理。（正确/错误）10.零信任架构（ZeroTrust）的核心思想是“网络分段”。（正确/错误）四、简答题（共4题，每题5分，合计20分）1.简述《个人信息保护法》中“敏感个人信息”的定义及其处理要求。2.解释什么是DDoS攻击，并列举三种常见的DDoS攻击类型。3.在ISO27001中，简述信息安全方针（InformationSecurityPolicy）的作用。4.解释零信任架构（ZeroTrust）的核心原则，并说明其在企业中的优势。五、案例分析题（共2题，每题10分，合计20分）1.某电商平台遭受SQL注入攻击，导致用户数据库泄露。事件发生后，企业采取了以下措施：-立即下线受影响系统-更新数据库安全配置-通报用户并建议修改密码-聘请第三方机构调查攻击源头请分析上述措施中哪些属于“事件响应”阶段，哪些属于“事后改进”阶段，并说明理由。2.某金融机构计划迁移至云平台，但担心数据安全和合规性问题。请结合《网络安全法》《数据安全法》和ISO27001标准，提出至少三项安全建议。答案及解析一、单选题答案及解析1.C解析：《网络安全法》第21条明确要求关键信息基础设施运营者“采取技术措施，防止网络攻击、网络侵入”。选项A、B、D均不完整或错误。2.C解析：RSA-2048的密钥空间为2^2048，根据当前计算能力，破解难度理论需50年（参考NIST报告）。3.D解析：云共享模型（sharingmodel）强调责任边界划分，适用于云安全评估。其他模型侧重不同领域（如Bell-LaPadula偏向保密性）。4.A解析：密码属于“你知道的”（知识因素），短信验证码属于“你拥有的”（拥有因素），指纹属于“你身体的”（生物因素）。5.B解析：ISO27005风险评估的核心是“评估风险并确定处理措施”，选项A仅是第一步，C、D属于后续阶段。6.A解析：全量备份可完全恢复数据，增量/差异备份依赖链式恢复，RPO优先备份牺牲恢复速度。7.D解析：《数据安全法》第40条明确禁止“向他人提供或者出售个人信息”，其他选项符合合法处理条件。8.C解析：WAF基于规则防御已知攻击，零日漏洞攻击无规则可循，最难以防御。9.D解析：PBFT支持每秒数千笔交易，适用于高并发场景；PoW效率低，PoS和DPoS仍需验证环节。10.B解析：零信任原则是“默认拒绝，验证允许”，强调持续验证。二、多选题答案及解析1.A、B、C解析：根据《个人信息保护法》第7条，处理敏感信息、向第三方提供、自动化决策需取得同意；选项D属于合法处理情形。2.A、B、C、D解析：DDoS攻击、APT攻击、恶意软件、社交工程均为常见威胁类型。3.A、B、C、D解析：ISO27005风险管理包含规避、转移、减轻、接受四种处置措施。4.A、B、D解析：IDS检测网络流量异常、漏洞利用、权限异常，钓鱼邮件通常由邮件系统处理。5.A、B、C、D解析：零信任包含身份验证、设备健康、最小权限、多因素认证等原则。三、判断题答案及解析1.正确解析：AES-256对称加密效率高，适合大文件；RSA非对称加密密钥长，不适合大文件。2.正确解析：事件响应的遏制阶段通过隔离等措施阻止损害扩大。3.正确解析：《网络安全法》第2条覆盖境内网络运营者。4.正确解析：云安全配置管理工具可自动检测不合规配置并修复。5.正确解析：勒索软件通过钓鱼邮件传播是常见途径。6.错误解析：ISO27001要求风险评估与风险处理联动。7.正确解析：区块链通过共识机制防篡改，但中心化应用仍可能存在漏洞。8.错误解析：MFA降低风险但不能完全消除（如设备丢失仍可能被盗）。9.正确解析：《数据安全法》第23条要求分类分级管理。10.错误解析：零信任核心是“永不信任，始终验证”。四、简答题答案及解析1.敏感个人信息定义及处理要求-定义：《个人信息保护法》第4条定义为“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等。”-处理要求：①需取得个人“单独同意”；②采取严格的加密、去标识化等保护措施；③不得公开，除非取得个人同意或法律授权。2.DDoS攻击类型-volumetricattack（流量攻击）：如UDP洪水，消耗带宽。-application-layerattack（应用层攻击）：如HTTP洪水，消耗服务器资源。-statefulprotocolattack（协议攻击）：如SYNFlood，耗尽连接队列。3.信息安全方针作用-明确组织信息安全目标与原则；-为安全策略和操作提供依据；-确保员工理解并遵守安全要求；-体现管理层对信息安全的承诺。4.零信任核心原则及优势-原则：①“永不信任，始终验证”；②身份验证；③设备健康检查；④最小权限；⑤微分段。-优势：①减少横向移动风险；②适应混合云环境；③提升合规性。五、案例分析题答案及解析1.事件