2026年服务与安全测试题及答案

2026年服务与安全测试题及答案

一、单项选择题（每题2分，共20分）1.在IT服务连续性管理中，首要目标是A.降低IT成本 B.保证关键服务在灾难后恢复 C.提高服务台接通率 D.优化变更审批流程2.依据ISO/IEC27001:2022，信息安全管理体系的“持续改进”对应PDCA循环中的A.Plan B.Do C.Check D.Act3.服务级别协议（SLA）中必须包含的要素是A.供应商财务年报 B.服务可用性指标 C.员工考勤制度 D.机房温湿度曲线4.对DDoS攻击最有效的清洗部署位置是A.终端主机 B.本地防火墙 C.运营商近源清洗中心 D.数据库前段5.在ITIL4中，负责定义“价值主张”的实践是A.服务台 B.服务级别管理 C.关系管理 D.服务请求管理6.零信任架构的核心理念是A.默认信任内网 B.永不信任，持续验证 C.强化边界防火墙 D.降低加密开销7.对日志进行完整性保护应优先采用A.MD5 B.SHA-256+HMAC C.Base64 D.CRC328.云服务IaaS层安全责任通常由A.客户承担全部 B.云提供商承担全部 C.双方共担 D.第三方审计机构承担9.在DevSecOps流水线中，SAST工具最适合的插入点是A.生产环境监控 B.编译构建前 C.用户验收测试 D.灾备切换演练10.GDPR中对数据主体“删除权”的俗称是A.被遗忘权 B.可携带权 C.访问权 D.纠正权二、填空题（每题2分，共20分）11.ITIL4将服务管理划分为34项________。12.信息安全三要素中，确保信息未被非授权更改的属性称为________。13.在TCP/IP模型中，负责端到端连接与流量控制的层次是________。14.业务影响分析（BIA）的输出之一是________时间，用于确定灾难恢复目标。15.等级保护2.0把云计算扩展为________类对象。16.采用________模式可对云原生微服务进行细粒度身份验证。17.当RTO小于30分钟时，优先选择的容灾方案是________。18.对开源组件漏洞进行持续扫描的流程称为________管理。19.在IT服务财务管理中，将成本分摊到用户的常用模型是________成本法。20.依据NISTSP800-61，事件响应生命周期最后一个阶段是________。三、判断题（每题2分，共20分，正确打“√”，错误打“×”）21.COBIT2019仅适用于金融行业。22.双因子认证必须包含生物特征。23.在公有云环境中，客户始终拥有虚拟化层以下的控制权。24.变更顾问委员会（CAB）可以授权紧急变更。25.对称加密算法的计算效率通常高于非对称加密。26.ITIL4中的“实践”与“流程”是同一概念的不同翻译。27.日志留存期限越长越好，无需考虑隐私风险。28.渗透测试报告只需提交给技术部门，无需业务方确认。29.零日漏洞是指厂商已发布补丁但用户尚未安装的漏洞。30.服务目录是服务提供方与客户就服务范围达成一致的动态文档。四、简答题（每题5分，共20分）31.简述ITIL4中“价值流”与“流程”的区别与联系。32.概述信息安全风险评估的主要步骤及输出物。33.说明在DevSecOps中实现“安全即代码”的三项关键技术措施。34.列举并说明制定灾难恢复策略时必须考虑的四个组织级要素。五、讨论题（每题5分，共20分）35.结合实例讨论零信任架构对传统VPN部署模式的冲击与改造路径。36.分析多云环境下密钥生命周期管理的挑战，并提出治理建议。37.探讨IT服务连续性管理与业务连续性管理在目标、指标与治理层面的异同。38.面对勒索软件即服务（RaaS）产业化趋势，组织应如何重构其事件响应与备份体系？答案与解析一、单项选择题1.B 2.D 3.B 4.C 5.C 6.B 7.B 8.C 9.B 10.A二、填空题11.管理实践 12.完整性 13.传输层 14.最大可接受中断（MAO）或RTO 15.扩展 16.ServiceMesh或mTLS 17.热备或双活 18.软件成分分析（SCA） 19.分摊 20.事后总结（LessonsLearned）三、判断题21.× 22.× 23.× 24.√ 25.√ 26.× 27.× 28.× 29.× 30.√四、简答题（每题约200字）31.价值流是端到端跨实践的序列，聚焦价值创造；流程是重复执行的一组活动，聚焦效率和一致性。价值流可调用多个流程，流程支撑价值流的实现；二者共同构成服务价值链。32.步骤：资产识别→威胁识别→脆弱性识别→风险分析→风险评价→风险处置建议；输出：风险评估报告、风险处置计划、残余风险清单。33.1.将安全检测脚本嵌入CI/CD仓库，实现自动触发；2.使用PolicyasCode工具（如OPA）统一安全策略；3.对容器镜像进行签名与验证，确保运行时可追溯。34.1.业务优先级：确定关键业务及依赖系统；2.合规要求：满足行业与法规RTO/RPO；3.资源与预算：平衡成本与恢复能力；4.组织职责：明确危机指挥链与沟通机制。五、讨论题（每题约200字）35.零信任以身份与上下文为边界，VPN以网络为边界；实例：某央企取消VPN，改用身份感知代理+SDP，降低横向移动风险，改造路径包括身份治理、微分段、持续监测。36.挑战：密钥跨云漂移、策略不一致、厂商锁定；建议：建立企业级KMS联邦、采用BYOK/CMK模式、引入硬件根信任、定期做跨云密钥轮换与审计。37.目标：前者保服务，后者保业务；指标：前者重SLA、MTTR，后者重财务损失、声誉；治理：