2026年CISM-安全架构设计习题集

2026年CISM安全架构设计习题集一、选择题（每题2分，共10题）1.在构建企业级安全架构时，以下哪项原则最能体现“纵深防御”理念？A.集中所有安全控制措施于单一防火墙B.在网络边界、主机层面和应用程序层实施分层防护C.仅依赖入侵检测系统（IDS）进行威胁检测D.将所有安全责任委托给第三方服务商2.根据NISTSP800-53，以下哪项安全控制功能最适合用于防止数据泄露？A.访问控制（AC）B.数据加密（DE）C.安全审计（AU）D.资产管理（AM）3.在设计云安全架构时，AWS的多区域部署策略主要解决以下哪个问题？A.降低带宽成本B.提高数据持久性和灾难恢复能力C.减少合规审查负担D.优化虚拟机性能4.ISO27001中定义的“安全域”概念，在架构设计中的主要作用是什么？A.减少网络设备采购成本B.划分不同安全级别的业务区域C.规避数据跨境传输的合规风险D.统一员工安全培训内容5.以下哪种架构模式最适合需要高可用性的关键业务系统？A.星型架构B.网状架构C.主从架构D.负载均衡架构二、简答题（每题5分，共5题）6.简述在安全架构设计中，如何平衡“安全性”与“业务连续性”的关系？7.解释“零信任架构”的核心原则，并说明其在现代企业中的必要性。8.某金融机构计划采用区块链技术保护交易数据，请列出至少三种架构设计时需考虑的安全因素。9.比较“微服务架构”与“单体架构”在安全防护方面的优缺点。10.假设某企业位于中国，需满足《网络安全法》要求，请简述在架构设计中应如何整合数据本地化策略。三、案例分析题（每题10分，共2题）11.某跨国零售企业遭遇供应链攻击，导致客户数据库泄露。请结合安全架构设计原则，分析该事件可能存在的设计缺陷，并提出改进建议。12.某政府机构需建设电子政务系统，要求支持跨部门数据共享，同时确保数据安全。请设计一个分层安全架构方案，并说明各层的关键安全控制措施。答案与解析一、选择题答案与解析1.答案：B解析：纵深防御强调多层防护，如网络边界（防火墙）、主机（防病毒、补丁管理）和应用程序（WAF）的协同，而非单一设备。选项A过于单一，选项C仅依赖IDS存在盲区，选项D违背“企业责任”。2.答案：B解析：数据加密通过算法保护数据机密性，直接防止泄露。选项A控制访问权限，选项C用于事后追溯，选项D管理资产清单。3.答案：B解析：AWS多区域部署通过地理冗余实现业务连续性，若主区域失效可自动切换至备用区域。选项A、C、D非其核心目标。4.答案：B解析：安全域划分基于业务敏感度，如将生产区与办公区隔离，限制横向移动。选项A、C、D与安全域定义无关。5.答案：B解析：网状架构通过冗余链路提高容错性，如电信网络。星型架构单点故障风险高，主从架构仅支持单向同步，负载均衡虽可用但非最高级别。二、简答题答案与解析6.答案：-分层控制：对核心业务部署高防护等级（如零信任），对非敏感业务简化流程。-冗余设计：关键系统采用双活或冷备，避免单点中断。-动态评估：业务需求变化时，定期审查安全策略是否适配。解析：平衡需考虑业务优先级，避免过度安全拖慢效率。7.答案：-核心原则：“从不信任，始终验证”（NeverTrust,AlwaysVerify）。-必要性：传统边界模糊（如远程办公、移动设备），传统认证易被绕过。解析：零信任适用于云、混合环境，符合CIS控制框架。8.答案：-加密传输：防止链上数据被窃听。-共识机制：防止篡改（如PoW、PBFT）。-访问控制：区块链账户需多因素认证。解析：区块链安全需结合密码学和共识逻辑。9.答案：-微服务：安全隔离（容器网络），但需管理更多节点。-单体：统一入口易防护，但漏洞影响全系统。解析：微服务适合敏捷开发，单体适合简单系统。10.答案：-数据库部署：根据数据类型选择本地化存储（如华东区）。-加密传输：整合SSL/TLS确保跨区域传输安全。解析：合规需结合地理分区和传输加密。三、案例分析题答案与解析11.答案：-缺陷：供应链未隔离（如第三方未零信任认证），API网关防护不足。-改进：采用SOAR集中管理供应链权限，API需身份验证+流量监控。解析：供应链是常见攻击入口，需端到端防护。12.答案：-架构：分为接入层（IAM）、业务层（微隔离）、数据层（