CISA注冊信息系統(tǒng)審計師考試試題庫及答案(2025年湖南省)1.單選題（每題1分，共80分）1.1某省政務(wù)云采用IaaS模式，審計師在評估虛擬機遷移日志時發(fā)現(xiàn)，同一臺虛機在三個月內(nèi)被熱遷移7次，且每次遷移前后CPU利用率差異均小于2%。最可能表明：A.資源調(diào)度算法優(yōu)化不足B.宿主機負載均衡策略失效C.遷移日志被篡改D.虛機內(nèi)部存在隱蔽挖礦進程答案：C1.2湖南某三甲醫(yī)院2024年上線電子病歷區(qū)塊鏈存證系統(tǒng)，審計師驗證區(qū)塊哈希連續(xù)性時，發(fā)現(xiàn)第42317號區(qū)塊的PrevHash與第42316號區(qū)塊的CurrHash末六位不匹配。首要審計程序是：A.重新計算兩個區(qū)塊的Merkle根B.檢查節(jié)點時鐘同步誤差C.比對分布式節(jié)點賬本副本D.評估SM3算法碰撞概率答案：C1.3在評估某市“一網(wǎng)通辦”平臺個人敏感數(shù)據(jù)脫敏策略時，下列哪項最能證明“可逆脫敏”風險：A.脫敏字段仍保留格式一致性B.數(shù)據(jù)庫觸發(fā)器存在調(diào)用UDF解密函數(shù)C.前端頁面使用正則屏蔽中間四位D.接口返回數(shù)據(jù)帶掩碼標識符答案：B1.4某國企SAP系統(tǒng)審計中，發(fā)現(xiàn)批量用戶被賦予SAP_ALL且有效期設(shè)為9999-12-31，同時審計表USRZ未記錄對應(yīng)授權(quán)工單。最符合ISACA風險分類的類別是：A.授權(quán)風險B.變更風險C.配置風險D.物理風險答案：A1.5湖南某高校采用開源堡壘機，審計師檢查kubectl審計日志時發(fā)現(xiàn)，namespace=kube-system下pod被刪除的操作源IP屬于校園網(wǎng)段，但user=system:anonymous。首要判斷依據(jù)：A.RBAC綁定cluster-admin到匿名用戶B.網(wǎng)絡(luò)策略未限制APIServer源地址C.審計日志完整性校驗失敗D.堡壘機未開啟雙因子答案：A1.6某農(nóng)商銀行核心系統(tǒng)使用雙活數(shù)據(jù)中心，RPO=0，RTO<15分鐘。審計師驗證數(shù)據(jù)一致性時，發(fā)現(xiàn)備庫Oracle延遲應(yīng)用日志時間點比主庫晚3秒，但業(yè)務(wù)交易連續(xù)。應(yīng)建議：A.啟用ADG實時應(yīng)用B.調(diào)大Log_archive_max_processesC.增加心跳網(wǎng)絡(luò)帶寬D.接受3秒延遲符合RPO答案：D1.7在審查某省醫(yī)保移動APP隱私合規(guī)時，審計師發(fā)現(xiàn)初始化階段即申請READ_PHONE_STATE權(quán)限，而業(yè)務(wù)場景無需讀取IMEI。該情形與GDPR哪條原則沖突最直接：A.目的限制B.數(shù)據(jù)最小化C.存儲限制D.準確性答案：B1.8某制造企業(yè)MES數(shù)據(jù)庫采用MySQL8.0，審計師發(fā)現(xiàn)參數(shù)binlog_transaction_dependency_tracking=WRITESET，其潛在影響是：A.降低主從延遲B.增加磁盤I/OC.產(chǎn)生GTID沖突D.導致串行化死鎖答案：A1.9湖南某市智慧交通平臺使用Kafka傳輸車輛軌跡，審計師發(fā)現(xiàn)topic=vehicle-latency的partition=0的offset出現(xiàn)跳號，但checksum一致。最可能原因：A.生產(chǎn)者啟用冪等寫入B.消費者組重平衡C.日志清理策略deleteD.壓縮算法lz4答案：A1.10某省級政務(wù)大數(shù)據(jù)局采用Hadoop3.x，審計師檢查NameNode審計日志aop.log時，發(fā)現(xiàn)大量“getfileinfo”調(diào)用源IP為HiveServer2，但操作用戶為hadoop。合理結(jié)論：A.Hive啟用doAs=falseB.NameNode未開啟kerberosC.存在越權(quán)查詢D.審計日志字段錯位答案：A（以下單題略，共80題，覆蓋IT治理、風險管理、訪問控制、加密、業(yè)務(wù)連續(xù)性、敏捷開發(fā)、云安全、數(shù)據(jù)隱私、AI模型審計、DevSecOps、零信任、國密算法、區(qū)塊鏈、IoT、5G邊緣計算、勒索軟件防護、紅色演練、供應(yīng)鏈安全、日志取證、電子簽名法、個人信息保護法、密碼法、等保2.0、關(guān)基保護條例、湖南省政務(wù)數(shù)據(jù)管理辦法等。）2.多選題（每題2分，共40分）2.1某省衛(wèi)健委建設(shè)健康大數(shù)據(jù)平臺，審計師評估數(shù)據(jù)分類分級策略時，下列哪些屬于“核心數(shù)據(jù)”范疇：A.基因測序原始FASTQ文件B.14歲以下未成年人電子病歷C.醫(yī)保結(jié)算單D.罕見病用藥清單E.醫(yī)生科室排班表答案：ABD2.2在審計某市“城市大腦”算法模型時，發(fā)現(xiàn)人臉識別模型訓練集包含夜間低照度圖片，審計師應(yīng)關(guān)注哪些風險：A.訓練數(shù)據(jù)代表性不足B.模型過擬合C.對抗樣本攻擊面擴大D.違反《人臉識別技術(shù)應(yīng)用安全規(guī)范》E.模型推理延遲增加答案：ABCD2.3某國企使用華為云OBS存儲，審計師驗證桶加密合規(guī)性，應(yīng)檢查：A.SSE-KMS密鑰輪換策略B.桶策略是否拒絕HTTPC.服務(wù)端加密算法是否為SM4D.訪問日志是否投遞至LTSE.多AZ冗余配置答案：ABCD2.4湖南某高校開展AI科研，審計師評估科研數(shù)據(jù)出境風險，需關(guān)注：A.是否通過省教育廳評估B.是否使用VPN隧道C.是否涉及人類遺傳資源D.是否完成數(shù)據(jù)出境安全評估申報E.是否采用同態(tài)加密答案：ACD2.5某金融租賃公司核心系統(tǒng)采用容器化部署，審計師檢查鏡像安全，應(yīng)包含：A.鏡像簽名驗證B.基礎(chǔ)鏡像CVE掃描C.運行時Seccomp配置D.鏡像倉庫訪問IP白名單E.Sidecar容器資源限制答案：ABCD（以下多題略，共20題，覆蓋數(shù)據(jù)出境、隱私計算、云原生、微服務(wù)、API網(wǎng)關(guān)、國密、零信任、AI倫理、開源治理、供應(yīng)鏈、勒索軟件、關(guān)基保護、個人信息保護、電子證據(jù)、區(qū)塊鏈跨鏈、5G切片、邊緣節(jié)點、數(shù)字孿生、數(shù)字水印、聯(lián)邦學習等。）3.判斷題（每題1分，共20分）3.1湖南省政務(wù)云要求云服務(wù)商每年至少開展一次商用密碼應(yīng)用安全性評估，否則不得續(xù)簽。答案：正確3.2等保2.0中，三級系統(tǒng)若部署在私有云，可免除云服務(wù)商側(cè)測評。答案：錯誤3.3根據(jù)《個人信息保護法》，個人信息處理者向境外提供個人信息，必須通過國家網(wǎng)信部門安全評估，不得采用認證或標準合同路徑。答案：錯誤3.4在Oracle數(shù)據(jù)庫審計中，統(tǒng)一審計策略開啟后，傳統(tǒng)AUD$表將不再寫入記錄。答案：正確3.5國密SM9標識密碼算法適用于電子郵件加密場景，無需PKI證書體系。答案：正確（以下判斷略，共20題。）4.填空題（每空1分，共20分）4.1根據(jù)《湖南省政務(wù)數(shù)據(jù)共享管理辦法》，政務(wù)部門應(yīng)當在數(shù)據(jù)產(chǎn)生之日起____個工作日內(nèi)編制數(shù)據(jù)資源目錄，并在____個工作日內(nèi)完成掛載。答案：10，54.2等保2.0安全區(qū)域邊界要求，三級系統(tǒng)應(yīng)對網(wǎng)絡(luò)行為進行____檢測，并至少保存____個月日志。答案：異常，64.3國密SM2曲線推薦參數(shù)采用____位素域，其私鑰長度為____位。答案：256，2564.4《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》規(guī)定，關(guān)基運營者應(yīng)當____年至少開展一次網(wǎng)絡(luò)安全檢測評估。答案：每年4.5零信任架構(gòu)中，SDP協(xié)議默認采用____端口進行控制器通信。答案：443（以下填空略，共20空。）5.簡答題（每題10分，共30分）5.1某省醫(yī)保平臺采用微服務(wù)架構(gòu)，審計師發(fā)現(xiàn)API網(wǎng)關(guān)未對敏感字段脫敏，且日志中留存?zhèn)€人身份證號。請列出審計程序并指出適用法規(guī)條款。答案：1.識別敏感字段：依據(jù)《個人信息保護法》第28條，身份證號屬于敏感個人信息。2.檢查脫敏策略：調(diào)用網(wǎng)關(guān)/openapi/v1/audit接口，驗證返回字段是否掩碼。3.檢查日志留存期限：比對《網(wǎng)絡(luò)安全法》第21條，要求留存不少于6個月，超期需刪除。4.檢查訪問權(quán)限：確認日志查看角色是否經(jīng)最小授權(quán)。5.提出整改：建議采用格式保留加密或Token化，日志中替換為不可逆哈希。5.2湖南某高校使用開源人臉識別門禁，審計師懷疑算法偏見。請給出測試步驟。答案：1.數(shù)據(jù)集審查：抽樣夜間、戴口罩、少數(shù)民族照片比例。2.基準測試：使用LFW、CFP-FP、AgeDB-30標準集，計算FRR、FAR。3.交叉驗證：按膚色、性別、年齡分組，比較TPR差異。4.對抗測試：使用Fast-Gradient方法生成對抗樣本，觀察置信度下降。5.報告結(jié)論：若TPR差異>5%，認定存在偏見，建議重訓練并引入公平性約束Loss。5.3某市“城市大腦”項目使用AI模型預測交通流量，審計師需評估模型可解釋性。請列出方法。答案：1.SHAP值分析：計算每個特征對預測結(jié)果邊際貢獻。2.LIME局部解釋：對高峰時段樣本生成鄰域數(shù)據(jù)集，訓練可解釋模型。3.可視化熱圖：展示路段傳感器權(quán)重。4.對比實驗：關(guān)閉某攝像頭特征，觀察MAPE變化。5.文檔化：要求算法廠商提供模型卡，記錄訓練數(shù)據(jù)、性能、限制。6.案例分析題（每題20分，共40分）6.1案例背景：2025年3月，湖南省某農(nóng)商銀行核心系統(tǒng)遭勒索軟件攻擊，攻擊者使用竊取的VPN賬號凌晨3點登錄，橫向移動至AD服務(wù)器，投放定制版LockBit-NG變種，對ESXi虛擬磁盤進行加密，導致業(yè)務(wù)中斷6小時。事后溯源發(fā)現(xiàn)，該VPN賬號為外包運維人員所有，因未禁用離職人員賬號；ESXi未開啟虛擬化安全加固；備份系統(tǒng)與生產(chǎn)域共用AD，備份服務(wù)器亦被加密；勒索軟件使用SM4算法加密密鑰，并要求支付數(shù)字貨幣。問題：1.指出該事件違反的法規(guī)及條款。2.給出審計師在事前、事中、事后應(yīng)執(zhí)行的審計程序。3.提出改進建議，并說明如何驗證有效性。答案：1.違反條款：a.《網(wǎng)絡(luò)安全法》第21條：未采取防范計算機病毒和網(wǎng)絡(luò)攻擊行為的技術(shù)措施。b.《個人信息保護法》第51條：未對外包運維人員權(quán)限進行定期復核。c.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第19條：未對關(guān)基實施災難備份。2.審計程序：事前：-每季度審查AD禁用賬號，比對HR離職清單。-檢查VPN雙因子、源IP白名單、會話超時策略。-對ESXi進行CIS基準核查，驗證vTPM、虛擬化防病毒開啟。-審查備份系統(tǒng)網(wǎng)絡(luò)隔離，驗證備份域獨立AD。事中：-監(jiān)控SIEM告警，發(fā)現(xiàn)異常RDP、PowerShell加密行為。-檢查備份系統(tǒng)完整性，驗證備份數(shù)據(jù)不可變存儲。-啟動紅色演練，模擬勒索軟件，驗證應(yīng)急響應(yīng)手冊。事后：-取證鏡像，使用Volatility分析內(nèi)存，提取勒索軟件配置JSON。-審查日志鏈完整性，使用SHA-256校驗，確保證據(jù)未被篡改。-評估業(yè)務(wù)中斷損失，比對RTO、RPO指標。3.改進建議：-實施零信任網(wǎng)絡(luò)，VPN替換為SDP，所有訪問基于身份與設(shè)備信任。-備份系統(tǒng)采用物理隔離、離線磁帶庫，備份數(shù)據(jù)使用WORM技術(shù)。-ESXi啟用虛擬化安全啟動、vTPM、虛擬機加密，防止篡改VMDK。-建立外包人員生命周期管理，使用IAM系統(tǒng)自動化禁用賬號。-每半年開展勒索軟件演練，驗證恢復時間。驗證有效性：-使用紅隊模擬攻擊，驗證橫向移動路徑是否被阻斷。-檢查備份恢復演練報告，驗證30分鐘內(nèi)恢復核心交易。-審計日志留存，確認所有操作可追溯到自然人。6.2案例背景：2025年5月，湖南省某三甲醫(yī)院上線AI輔助診斷系統(tǒng)，采用聯(lián)邦學習架構(gòu)，醫(yī)院A、B、C共同訓練模型，數(shù)據(jù)不出域。上線兩個月后，醫(yī)院A發(fā)現(xiàn)模型對罕見病X的召回率從92%降至74%。審計師調(diào)查發(fā)現(xiàn)，醫(yī)院C在本地訓練時引入了大量公開數(shù)據(jù)集，其中包含合成噪聲標簽；聯(lián)邦聚合算法未對參數(shù)進行異常檢測；模型更新未做版本回滾；醫(yī)院A未對本地驗證集進行漂移監(jiān)控。問題：1.指出該場景下數(shù)據(jù)治理缺失點。2.給出聯(lián)邦學習審計程序。3.提出改進方案并說明如何持續(xù)監(jiān)控。答案：1.數(shù)據(jù)治理缺失：-醫(yī)院C未對公開數(shù)據(jù)集進行質(zhì)量標注審查。-聯(lián)邦學習未建立數(shù)據(jù)標簽質(zhì)量準入標準。-模型更新缺乏AB測試與回滾策略。-未設(shè)置模型性能基線告警。2.審計程序：-檢查醫(yī)院C數(shù)據(jù)標簽來源，抽樣1000例，人工復核準確率。-審查聯(lián)邦聚合日志，驗證是否使用Trim-mean或Median異常檢測。-檢查模型版本倉庫，驗證是否使用Git-LFS存儲權(quán)重，是否可回滾。-檢查醫(yī)院A驗證集漂移監(jiān)控腳本，驗證PSI指標是否>0.2觸發(fā)告警。-審查模型卡，驗證是否記錄訓練數(shù)據(jù)