2026年CISSP-安全评估笔试模拟题

2026年CISSP安全评估笔试模拟题一、单选题（共10题，每题2分）1.在中华人民共和国网络安全法中，以下哪项属于关键信息基础设施运营者的核心义务？A.每年进行一次外部渗透测试B.建立个人信息保护影响评估机制C.对所有员工进行定期的安全意识培训D.实施零信任架构以增强访问控制2.某跨国公司在中国和美国均设有分支机构，其数据跨境传输需遵循以下哪项法规？A.中国的《数据安全法》和美国的《网络安全法》B.中国的《个人信息保护法》和美国的《健康保险流通与责任法案》（HIPAA）C.中国的《网络安全法》和美国的《加州消费者隐私法案》（CCPA）D.中国的《数据安全法》和美国的《电子通信隐私法》（ECPA）3.在ISO27001信息安全管理体系中，以下哪项是风险评估的核心步骤？A.确定安全策略B.进行资产识别C.评估剩余风险D.选择控制措施4.某银行采用多因素认证（MFA）来保护其在线交易系统，以下哪种认证方式通常被认为是最安全的？A.知识因素（如密码）+拥有因素（如手机验证码）B.生物因素（如指纹）+知识因素（如密码）C.拥有因素（如智能卡）+生物因素（如虹膜扫描）D.知识因素（如密码）+生物因素（如人脸识别）5.在中华人民共和国《密码法》中，以下哪项属于商用密码的应用场景？A.政府机关的机密文件加密B.金融机构的数据库加密C.公共交通系统的信号传输加密D.电信运营商的骨干网加密6.某企业采用零信任架构（ZeroTrustArchitecture），其核心原则是？A.默认信任，严格验证B.默认拒绝，最小权限C.统一管理，集中控制D.分区隔离，内外有别7.在云计算环境中，以下哪种服务模式最能体现“按需付费”的经济性？A.基础设施即服务（IaaS）B.平台即服务（PaaS）C.软件即服务（SaaS）D.系统即服务（SaaS）8.某公司遭受勒索软件攻击，其数据备份策略应遵循以下哪项原则？A.7天本地备份，3天云端备份B.14天云端备份，7天磁带备份C.30天本地备份，15天云端备份D.60天云端备份，30天磁带备份9.在网络安全事件响应中，以下哪个阶段是记录和归档证据的关键步骤？A.准备阶段B.识别阶段C.分析阶段D.提高阶段10.某企业采用OAuth2.0协议进行API认证，其核心优势是？A.提供单点登录（SSO）功能B.支持跨域访问控制C.实现无状态认证D.增强双向TLS加密二、多选题（共5题，每题3分）1.在中华人民共和国《数据安全法》中，以下哪些行为属于数据出境的情形？A.将数据存储在境外服务器B.将数据传输至境外公司C.境外个人访问境内数据库D.境外组织获取境内数据2.ISO27005信息安全风险评估中，以下哪些因素属于威胁来源？A.自然灾害（如地震）B.黑客攻击C.内部人员舞弊D.软件漏洞3.在网络安全事件响应中，以下哪些步骤属于“遏制”阶段？A.隔离受感染系统B.关闭受影响服务C.收集恶意软件样本D.通知监管机构4.云计算环境中，以下哪些服务属于IaaS（基础设施即服务）的范畴？A.虚拟机B.存储服务C.数据库服务D.计算服务5.在网络安全法中，以下哪些主体需建立网络安全事件应急预案？A.关键信息基础设施运营者B.从事数据处理活动的企业C.政府机关D.个人用户三、简答题（共3题，每题4分）1.简述中华人民共和国《密码法》中“商用密码”的定义及其应用场景。2.在ISO27001信息安全管理体系中，简述风险评估的四个核心步骤。3.解释零信任架构（ZeroTrustArchitecture）的核心原则及其与传统网络安全模型的区别。四、案例分析题（共2题，每题6分）1.某跨国银行在中国和美国设有分支机构，其数据跨境传输需遵循中国的《数据安全法》和美国的《网络安全法》。假设该银行计划将客户交易数据存储在境外的云服务商（如AWS），请分析其需考虑的法律合规问题及解决方案。2.某制造企业遭受勒索软件攻击，导致其核心生产系统瘫痪。事后分析发现，攻击者通过员工邮箱中的钓鱼邮件入侵系统。请分析该企业应采取的安全措施及改进建议。答案与解析一、单选题1.B解析：根据《网络安全法》第22条，关键信息基础设施运营者需建立个人信息保护影响评估机制，这是其核心义务之一。2.C解析：中国和美国的数据跨境传输需分别遵循《网络安全法》和《加州消费者隐私法案》（CCPA）。3.C解析：ISO27001风险评估的核心步骤是评估剩余风险，即确定现有控制措施是否足够降低风险。4.C解析：拥有因素（智能卡）+生物因素（虹膜扫描）的认证方式结合了“拥有”和“生物”两类认证，安全性最高。5.B解析：根据《密码法》第3条，商用密码用于保护非国家秘密的商用信息和个人信息，金融机构的数据库加密属于此类。6.B解析：零信任架构的核心原则是“默认拒绝，最小权限”，即不信任任何内部或外部用户，仅授权必要权限。7.A解析：IaaS（基础设施即服务）最能体现按需付费，用户可灵活选择计算资源。8.A解析：7天本地备份+3天云端备份既能保证数据恢复速度，又能降低数据丢失风险。9.C解析：分析阶段是记录和归档证据的关键，用于后续调查和改进。10.A解析：OAuth2.0的核心优势是提供单点登录（SSO）功能，简化用户认证流程。二、多选题1.A,B,C,D解析：数据出境包括存储、传输、访问和获取等情形。2.A,B,C,D解析：威胁来源包括自然灾害、黑客攻击、内部人员舞弊和软件漏洞等。3.A,B解析：遏制阶段的核心是隔离和关闭受影响系统，收集证据属于“根除”阶段。4.A,B,D解析：IaaS包括虚拟机、存储和计算服务，数据库服务属于PaaS。5.A,B,C解析：关键信息基础设施运营者、数据处理企业和政府机关需建立应急预案，个人用户不在此列。三、简答题1.商用密码的定义及其应用场景-定义：根据《密码法》第3条，商用密码是指“用于保护非国家秘密的商用信息和个人信息的密码”。-应用场景：金融机构的数据库加密、企业内部通信加密、电子商务交易保护等。2.ISO27001风险评估的四个核心步骤-1.资产识别：确定需要保护的信息资产。-2.威胁识别：识别可能对资产造成威胁的因素。-3.脆弱性识别：发现资产存在的安全漏洞。-4.风险评估：评估风险发生的可能性和影响程度。3.零信任架构的核心原则及其与传统模型的区别-核心原则：-无信任默认（NeverTrust,AlwaysVerify）-最小权限（LeastPrivilege）-多重因素认证（MFA）-持续监控-与传统模型的区别：传统模型默认内部网络可信，而零信任架构对所有用户（无论内部或外部）都进行严格验证。四、案例分析题1.数据跨境传输的法律合规问题及解决方案-问题：-中国《数据安全法》要求数据出境需通过安全评估或获得个人信息主体同意。-美国法律对数据本地化有不同要求，需确保AWS符合相关合规标准。-解决方案：-进行数据安全评估，确保符合中国《数据安全法》要求。-与AWS签订数据保护协议，明确数据存储和处理规则。-考虑使用数据加密技术增强安全性。2.勒索软件攻击的安全措施及改进建议-安全措施：-加强