2025年國際注冊信息系統(tǒng)審計師（CISA）資格考試（中文版）練習題及答案一、單項選擇題（每題1分，共60分）1.在COBIT2019治理體系中，最能體現(xiàn)“治理”與“管理”區(qū)別的關(guān)鍵維度是A.目標級聯(lián)?B.流程參考模型?C.RACI表?D.目標與指標的區(qū)分答案：D解析：治理負責設定方向、評估績效與風險，管理負責執(zhí)行與監(jiān)控；COBIT2019通過“目標”與“指標”的層級劃分，將治理目標（GovernanceObjectives）與管理目標（ManagementObjectives）清晰區(qū)分。2.某銀行計劃將核心信貸系統(tǒng)遷移至公有云，IS審計師最應優(yōu)先確認云服務提供商的哪份文件？A.SOC2TypeⅡ報告?B.ISO9001證書?C.云安全聯(lián)盟STAR自評?D.云原生應用白皮書答案：A解析：SOC2TypeⅡ報告覆蓋安全性、可用性、保密性、處理完整性與隱私五項信任服務標準，且經(jīng)過獨立審計師測試，最能滿足金融監(jiān)管機構(gòu)對第三方外包的合規(guī)要求。3.在審計企業(yè)補丁管理流程時，下列哪項指標最能直接反映“補丁時效性”？A.補丁下載成功率?B.漏洞平均修復時間（MTTR）?C.補丁回退率?D.資產(chǎn)清單準確率答案：B解析：MTTR從漏洞公開到系統(tǒng)修復完成計時，直接衡量補丁流程響應速度；其余指標分別衡量部署質(zhì)量、回退風險與資產(chǎn)覆蓋度。4.某制造企業(yè)采用工控系統(tǒng)（ICS）與ERP集成，IS審計師發(fā)現(xiàn)ERP可直接下發(fā)修改PLC參數(shù)指令且無二次審批。該情形最大風險是A.違反職責分離?B.數(shù)據(jù)完整性喪失?C.生產(chǎn)停機?D.未經(jīng)授權(quán)的物理訪問答案：B解析：PLC參數(shù)直接決定生產(chǎn)配方與工藝，若被惡意或錯誤修改，將導致產(chǎn)品一致性失控，屬于數(shù)據(jù)完整性風險；職責分離雖重要，但非最大風險。5.在審計數(shù)據(jù)分類分級制度時，IS審計師發(fā)現(xiàn)“公開”級數(shù)據(jù)被存儲在加密硬盤，“機密”級數(shù)據(jù)卻僅采用NTFS權(quán)限控制。該情形表明A.加密策略過度?B.分級標準缺失?C.控制措施倒置?D.備份策略不足答案：C解析：高密級數(shù)據(jù)應施加更強控制，現(xiàn)控制強度倒置，違反“比例原則”。6.某電商采用微服務架構(gòu)，審計追蹤用戶訂單時發(fā)現(xiàn)同一訂單號在A、B兩個服務日志中時間戳相差8小時。最可能原因是A.服務未啟用TLS?B.容器時區(qū)未同步?C.日志級別不一致?D.數(shù)據(jù)庫事務隔離級別錯誤答案：B解析：容器默認時區(qū)常繼承宿主機，若宿主機時區(qū)不同步，將造成跨服務日志時間漂移，影響取證與排障。7.在審計特權(quán)賬號管理（PAM）時，下列哪項發(fā)現(xiàn)最能說明“最小權(quán)限”原則未被遵循？A.共享root口令?B.三個月未改密?C.離職員工賬號未禁用?D.數(shù)據(jù)庫管理員擁有操作系統(tǒng)管理員權(quán)限答案：D解析：數(shù)據(jù)庫管理員僅需DB級權(quán)限，擁有OS管理員權(quán)限屬于權(quán)限膨脹，直接違反最小權(quán)限；A、B、C雖違規(guī)，但非最小權(quán)限核心。8.某市政府上線區(qū)塊鏈不動產(chǎn)登記系統(tǒng)，IS審計師驗證“不可篡改性”時，最有效的測試是A.比對鏈上哈希與鏈下源文件?B.模擬51%攻擊?C.檢查智能合約版本?D.驗證CA證書有效期答案：A解析：通過重新計算源文件哈希并與鏈上存儲值比對，可直接驗證數(shù)據(jù)是否被篡改；51%攻擊成本極高，非審計常規(guī)手段。9.在SDLC審計中，IS審計師發(fā)現(xiàn)敏捷團隊將安全需求寫入“DefinitionofDone”但無對應威脅建模記錄。該情形表明A.安全左移不足?B.迭代周期過長?C.回歸測試缺失?D.產(chǎn)品負責人授權(quán)不足答案：A解析：威脅建模應在需求階段完成，未記錄說明安全活動未左移，可能導致后期修復成本激增。10.某醫(yī)院采用AI輔助診斷，IS審計師關(guān)注模型“可解釋性”主要目的是A.降低訓練成本?B.滿足GDPR“自動化決策透明權(quán)”?C.提升模型準確率?D.減少推理延遲答案：B解析：GDPR第22條賦予數(shù)據(jù)主體對自動化決策的知情權(quán)，醫(yī)療AI若無法解釋決策邏輯，將直接違反法規(guī)。11.在審計云費用異常時，IS審計師發(fā)現(xiàn)某月對象存儲流量突增300%，但業(yè)務日志無對應訪問量。最可能風險是A.云憑證泄露被挖礦?B.生命周期策略失效?C.CDN配置錯誤?D.計費粒度變更答案：A解析：憑證泄露后攻擊者可批量下載或掃描存儲桶，產(chǎn)生巨額出流量；挖礦通常導致CPU費用異常，但存儲流量異常多指向憑證泄露。12.對采用零信任架構(gòu)的企業(yè)，IS審計師驗證“動態(tài)授權(quán)”有效性時，應重點檢查A.防火墻規(guī)則數(shù)量?B.訪問令牌有效期與屬性變更頻率?C.內(nèi)網(wǎng)VLAN劃分?D.堡壘機錄像完整度答案：B解析：零信任依賴身份、設備、環(huán)境等屬性動態(tài)生成令牌，令牌有效期與屬性實時變更頻率直接反映動態(tài)授權(quán)機制是否生效。13.某集團實施機器人流程自動化（RPA），IS審計師發(fā)現(xiàn)財務機器人使用員工域賬號操作ERP。該做法最大風險是A.無法審計人機分離?B.機器人效率低?C.軟件許可超標?D.界面元素變更導致異常答案：A解析：人機共用賬號導致審計日志混雜，無法區(qū)分人工與機器人操作，影響責任認定。14.在審計容器安全時，下列哪項發(fā)現(xiàn)最能說明鏡像供應鏈存在風險？A.使用latest標簽?B.基礎(chǔ)鏡像含CVE-2021-44228?C.容器運行時權(quán)限過高?D.未啟用資源限制答案：B解析：CVE-2021-44228為Log4Shell漏洞，若基礎(chǔ)鏡像未修復，表明供應鏈未做安全篩選；latest標簽雖不推薦，但非直接供應鏈風險。15.某證券公司采用DevSecOps，審計時發(fā)現(xiàn)生產(chǎn)環(huán)境Kubernetes集群啟用Dashboard且使用默認證書。該問題屬于A.加密強度不足?B.默認配置未加固?C.鏡像漏洞?D.網(wǎng)絡策略缺失答案：B解析：默認證書可被中間人攻擊，屬于典型默認配置風險；KubernetesDashboard若必須啟用，應替換證書并限制訪問源。16.在審計IT服務連續(xù)性計劃時，IS審計師發(fā)現(xiàn)RTO為4小時，但最近一次演練恢復耗時12小時。缺失的關(guān)鍵文檔是A.業(yè)務影響分析（BIA）更新記錄?B.供應商合同?C.回退程序?D.通信樹答案：A解析：RTO與演練結(jié)果嚴重不符，說明BIA未隨系統(tǒng)變化更新，導致連續(xù)性要求與能力脫節(jié)。17.對采用多云戰(zhàn)略的企業(yè)，IS審計師評估“供應商鎖定”風險時，應優(yōu)先檢查A.數(shù)據(jù)出口費用條款?B.云原生API使用比例?C.財務月結(jié)單?D.員工云認證數(shù)量答案：B解析：云原生API比例越高，日后遷移成本越大；數(shù)據(jù)出口費用雖重要，但屬財務風險，非技術(shù)鎖定。18.在審計隱私合規(guī)時，IS審計師發(fā)現(xiàn)某APP在后臺每30秒收集一次GPS且未匿名化。直接違反的GDPR原則是A.存儲限制?B.數(shù)據(jù)最小化?C.準確性?D.問責制答案：B解析：高頻次GPS收集超出服務必需，違反數(shù)據(jù)最小化原則。19.某物流公司使用無人機配送，IS審計師發(fā)現(xiàn)無人機固件更新通過HTTP下載。該風險可導致A.固件被中間人替換?B.電池壽命縮短?C.飛行區(qū)域偏離?D.攝像頭分辨率下降答案：A解析：HTTP無完整性校驗，攻擊者可注入惡意固件，完全控制無人機。20.在審計身份即服務（IDaaS）時，IS審計師發(fā)現(xiàn)SAML斷言未簽名但使用了TLS。該情形A.足以防止篡改?B.無法防止斷言被重放?C.無法防止斷言被篡改?D.無法防止暴力破解答案：C解析：TLS僅保護傳輸層，斷言若未簽名，可被網(wǎng)關(guān)或內(nèi)部服務篡改。21.某零售企業(yè)使用邊緣計算節(jié)點處理門店客流分析，IS審計師發(fā)現(xiàn)節(jié)點日志僅保存7天。該做法最可能影響A.性能調(diào)優(yōu)?B.事件調(diào)查?C.模型訓練?D.能耗管理答案：B解析：7天日志無法滿足入侵取證或客戶投訴追溯需求，影響事件調(diào)查。22.在審計API安全時，下列哪項測試最能發(fā)現(xiàn)“越權(quán)訪問”漏洞？A.重放過期令牌?B.修改JWT中的user_id字段?C.刪除Content-Type?D.使用HTTP/0.9答案：B解析：修改JWT聲明字段可水平越權(quán)，直接測試授權(quán)邊界；重放令牌測試的是時效性。23.某金融科技公司采用同態(tài)加密保護用戶征信數(shù)據(jù)，IS審計師驗證“可檢索性”時，應檢查A.密文膨脹率?B.查詢響應時間?C.密鑰托管方案?D.隨機數(shù)發(fā)生器熵源答案：B解析：同態(tài)加密計算開銷大，響應時間直接反映可用性；密文膨脹率屬存儲指標。24.在審計數(shù)據(jù)湖安全時，IS審計師發(fā)現(xiàn)所有用戶均被授予S3桶List權(quán)限。該風險屬于A.信息泄露?B.完整性破壞?C.可用性喪失?D.不可否認性缺失答案：A解析：List權(quán)限可枚舉對象名稱，泄露敏感數(shù)據(jù)集結(jié)構(gòu)，屬于信息泄露。25.某視頻平臺采用CDN邊緣緩存，IS審計師發(fā)現(xiàn)緩存鍵未包含用戶ID?？赡軐е翧.用戶A看到用戶B的付費內(nèi)容?B.緩存命中率下降?C.源站帶寬增加?D.邊緣節(jié)點CPU升高答案：A解析：共享緩存鍵導致內(nèi)容混用，引發(fā)橫向越權(quán)。26.在審計量子通信項目時，IS審計師發(fā)現(xiàn)量子密鑰分發(fā)（QKD）鏈路未做認證。該風險可導致A.中間人攻擊?B.量子比特衰減?C.密鑰生成速率下降?D.光脈沖功率過高答案：A解析：QKD僅保證密鑰機密性，若未對經(jīng)典信道做認證，攻擊者可冒充節(jié)點。27.某車企實施車聯(lián)網(wǎng)OTA升級，IS審計師發(fā)現(xiàn)升級包使用RSA-1024簽名。該做法A.滿足合規(guī)?B.密鑰長度過時?C.簽名速度太慢?D.無法前向保密答案：B解析：NIST已建議RSA密鑰長度不低于2048位，1024位可被分解。28.在審計電子證據(jù)鏈時，IS審計師發(fā)現(xiàn)硬盤鏡像未計算SHA-256。該做法影響A.證據(jù)完整性驗證?B.證據(jù)可讀性?C.證據(jù)時效性?D.證據(jù)可采性答案：A解析：哈希值用于證明鏡像未被篡改，缺失則完整性無法驗證。29.某航空公司采用生物識別登機，IS審計師發(fā)現(xiàn)人臉模板以明文存儲。該風險屬于A.不可撤銷?B.不可逆?C.不可抵賴?D.不可追蹤答案：A解析：生物特征一旦泄露無法撤銷，需采用可撤銷生物特征變換技術(shù)。30.在審計紅藍對抗演練時，IS審計師發(fā)現(xiàn)藍隊未記錄攻擊指標（IoC）。該缺失影響A.演練成本?B.復盤改進?C.攻擊合法性?D.紅隊評分答案：B解析：IoC用于后續(xù)檢測規(guī)則優(yōu)化，缺失則無法提升防御。31.某能源集團部署工業(yè)防火墻，IS審計師發(fā)現(xiàn)規(guī)則集允許ICMP任意通過。該風險可導致A.信息收集與DoS?B.工控協(xié)議劫持?C.邏輯炸彈植入?D.電磁泄漏答案：A解析：ICMP可用于網(wǎng)絡掃描與DoS攻擊，尤其在工控網(wǎng)絡中應嚴格限制。32.在審計云原生數(shù)據(jù)庫時，IS審計師發(fā)現(xiàn)備份文件使用同一KMS密鑰加密。該做法A.滿足前向保密?B.密鑰輪換風險集中?C.降低延遲?D.提升吞吐量答案：B解析：所有備份依賴單密鑰，一旦泄露歷史數(shù)據(jù)全部暴露，應分段使用不同密鑰。33.某高校使用開源在線考試系統(tǒng)，IS審計師發(fā)現(xiàn)未禁用PHPinfo函數(shù)。該風險可導致A.泄露服務器配置?B.SQL注入?C.命令執(zhí)行?D.會話固定答案：A解析：PHPinfo暴露擴展、路徑、環(huán)境變量，為攻擊者提供情報。34.在審計數(shù)據(jù)脫敏流程時，IS審計師發(fā)現(xiàn)生產(chǎn)數(shù)據(jù)直接用于培訓。該做法違反A.數(shù)據(jù)最小化?B.目的限制?C.準確性?D.透明度答案：B解析：生產(chǎn)數(shù)據(jù)用于培訓超出原始收集目的，違反目的限制原則。35.某運營商部署5G專網(wǎng)，IS審計師發(fā)現(xiàn)UPF未啟用TLS。該風險可導致A.用戶面流量被竊聽?B.控制面信令風暴?C.基站脫網(wǎng)?D.計費話單丟失答案：A解析：UPF承載用戶面數(shù)據(jù)，缺失加密導致敏感業(yè)務明文傳輸。36.在審計暗數(shù)據(jù)治理時，IS審計師發(fā)現(xiàn)日志文件占用80%存儲卻未分析。該問題A.增加成本?B.隱藏威脅?C.降低RPO?D.提升RTO答案：B解析：暗數(shù)據(jù)可能包含攻擊痕跡，未分析則無法檢測APT。37.某跨境電商將歐盟用戶數(shù)據(jù)備份至新加坡，IS審計師應優(yōu)先確認A.充分性決定?B.標準合同條款（SCC）?C.綁定企業(yè)規(guī)則（BCR）?D.用戶明示同意答案：B解析：歐盟未對新加坡作出充分性決定，需采用SCC或BCR，SCC更常見。38.在審計AI模型安全時，IS審計師發(fā)現(xiàn)訓練數(shù)據(jù)含對抗樣本。該風險可導致A.模型漂移?B.模型竊取?C.模型誤判?D.模型壓縮失敗答案：C解析：對抗樣本故意誤導模型輸出，造成誤判。39.某銀行使用短信驗證碼，IS審計師發(fā)現(xiàn)驗證碼長度為4位且有效期30分鐘。該做法A.滿足PCIDSS?B.易被暴力破解?C.符合NISTSP800-63?D.具備防重放答案：B解析：4位數(shù)字僅1萬種組合，30分鐘窗口足夠暴力破解。40.在審計云函數(shù)（Serverless）時，IS審計師發(fā)現(xiàn)函數(shù)執(zhí)行角色附加了AdministratorAccess。該風險屬于A.權(quán)限膨脹?B.冷啟動延遲?C.并發(fā)限制?D.運行時超時答案：A解析：Serverless函數(shù)應遵循最小權(quán)限，AdministratorAccess導致權(quán)限膨脹。41.某游戲公司采用NFT實現(xiàn)道具確權(quán)，IS審計師發(fā)現(xiàn)智能合約可升級。應關(guān)注A.私鑰托管?B.升級邏輯后門?C.Gas消耗?D.跨鏈橋安全答案：B解析：可升級合約意味著邏輯可被篡改，需審查升級機制多簽或時間鎖。42.在審計數(shù)字孿生平臺時，IS審計師發(fā)現(xiàn)傳感器數(shù)據(jù)未簽名。該風險可導致A.虛擬模型失真?B.3D渲染延遲?C.帶寬浪費?D.存儲膨脹答案：A解析：數(shù)據(jù)被篡改后數(shù)字孿生模型無法反映真實狀態(tài)，影響決策。43.某保險公司使用RPA自動理賠，IS審計師發(fā)現(xiàn)機器人可修改理賠限額參數(shù)。該缺失的控制是A.參數(shù)白名單?B.二次審批?C.職責分離?D.版本控制答案：B解析：關(guān)鍵參數(shù)應由人工審批，機器人同時擁有修改與提交權(quán)限，缺失二次審批。44.在審計云托管DNS時，IS審計師發(fā)現(xiàn)未啟用DNSSEC。該風險可導致A.緩存投毒?B.DDoS放大?C.區(qū)域傳輸?D.域名劫持答案：A解析：DNSSEC防止偽造響應，缺失可被投毒。45.某證券APP使用人臉識別開戶，IS審計師發(fā)現(xiàn)活體檢測由客戶端完成。該做法A.降低服務器壓力?B.可被重放攻擊?C.提升用戶體驗?D.減少帶寬答案：B解析：客戶端活體檢測結(jié)果可被篡改或重放，應在服務端二次校驗。46.在審計云成本優(yōu)化時，IS審計師發(fā)現(xiàn)開發(fā)賬號可創(chuàng)建GPU實例。該風險屬于A.資源濫用?B.網(wǎng)絡隔離?C.數(shù)據(jù)殘留?D.許可過期答案：A解析：GPU實例成本高，開發(fā)賬號無需此類資源，存在濫用風險。47.某電視臺采用IP化制播，IS審計師發(fā)現(xiàn)ST2110流未啟用組播認證。該風險可導致A.偽造信號源?B.畫面延遲?C.帶寬溢出?D.幀丟失答案：A解析：組播缺失認證可被注入偽造流，搶占畫面。48.在審計數(shù)據(jù)主權(quán)合規(guī)時，IS審計師發(fā)現(xiàn)跨境數(shù)據(jù)流動未記錄數(shù)據(jù)出境日志。該缺失影響A.稅務申報?B.審計追蹤?C.性能調(diào)優(yōu)?D.容量規(guī)劃答案：B解析：日志是審計追蹤關(guān)鍵證據(jù)，缺失無法滿足監(jiān)管抽查。49.某IoT廠商使用MQTT，IS審計師發(fā)現(xiàn)未設置用戶名密碼。該風險可導致A.任意設備訂閱?B.消息積壓?C.遺囑消息泄露?D.QoS降級答案：A解析：MQTT無認證意味著任何客戶端可訂閱主題，泄露敏感數(shù)據(jù)。50.在審計云原生監(jiān)控時，IS審計師發(fā)現(xiàn)Prometheus未啟用TLS。該風險可導致A.指標被篡改?B.采樣頻率降低?C.存儲壓縮失敗?D.高基數(shù)標簽答案：A解析：明文傳輸可被中間人修改指標，掩蓋攻擊。51.某市政府上線“一網(wǎng)通辦”，IS審計師發(fā)現(xiàn)接口返回用戶身份證號未掩碼。該風險屬于A.信息泄露?B.越權(quán)?C.注入?D.失效認證答案：A解析：身份證號屬敏感數(shù)據(jù)，未掩碼直接泄露。52.在審計云硬盤加密時，IS審計師發(fā)現(xiàn)密鑰與數(shù)據(jù)在同一云賬號。該做法A.滿足分離原則?B.密鑰托管風險集中?C.降低延遲?D.提升吞吐量答案：B解析：密鑰與數(shù)據(jù)同賬號意味著單點失守即全盤解密，應使用獨立KMS賬號。53.某車企使用V2X通信，IS審計師發(fā)現(xiàn)證書吊銷列表（CRL）分發(fā)延遲1天。該風險可導致A.撤銷失效?B.通信延遲?C.證書鏈過長?D.簽名驗證失敗答案：A解析：CRL延遲使已撤銷證書仍被信任，導致撤銷失效。54.在審計云函數(shù)冷啟動時，IS審計師發(fā)現(xiàn)函數(shù)包含1GB機器學習模型。該做法A.提升精度?B.增加冷啟動延遲?C.降低并發(fā)?D.節(jié)省成本答案：B解析：大包導致下載與解壓時間增加，冷啟動延遲顯著上升。55.某銀行使用語音客服，IS審計師發(fā)現(xiàn)聲紋特征未加密存儲。該風險屬于A.生物特征泄露?B.語音識別錯誤?C.通話延遲?D.語音合成攻擊答案：A解析：聲紋屬生物特征，明文存儲一旦泄露無法撤銷。56.在審計云原生網(wǎng)絡策略時，IS審計師發(fā)現(xiàn)默認允許所有Pod出網(wǎng)。該風險可導致A.數(shù)據(jù)外泄?B.服務發(fā)現(xiàn)失敗?C.DNS污染?D.負載不均答案：A解析：Pod可任意連接外部C&C，增加數(shù)據(jù)外泄風險。57.某電商使用Flink實時計算，IS審計師發(fā)現(xiàn)Checkpoint未加密。該風險可導致A.狀態(tài)被篡改?B.計算延遲?C.內(nèi)存溢出?D.序列化失敗答案：A解析：Checkpoint含狀態(tài)數(shù)據(jù)，未加密可被篡改，影響結(jié)果準確性。58.在審計云托管HSM時，IS審計師發(fā)現(xiàn)分區(qū)密鑰由云商管理員與租戶各持一半。該做法A.滿足雙控?B.云商可恢復密鑰?C.降低可用性?D.增加延遲答案：A解析：半密鑰機制實現(xiàn)雙控，任何一方無法單獨使用，符合合規(guī)。59.某證券使用內(nèi)存數(shù)據(jù)庫，IS審計師發(fā)現(xiàn)未啟用持久化。該風險可導致A.數(shù)據(jù)丟失?B.查詢延遲?C.內(nèi)存泄漏?D.索引失效答案：A解析：宕機時未持久化數(shù)據(jù)全部丟失，違反可恢復性要求。60.在審計云原生密鑰注入時，IS審計師發(fā)現(xiàn)應用通過環(huán)境變量讀取密鑰。該做法A.易被進程查看?B.支持熱更新?C.降低耦合?D.提升性能答案：A解析：環(huán)境變量可被/proc/<pid>/environ讀取，泄露風險高。二、案例情景題（每題5分，共40分）【案例一】背景：某大型零售集團2025年啟動“全渠道庫存共享”項目，采用混合云架構(gòu)：?私有云部署ERP核心，公有云部署電商前端與AI推薦；?通過API網(wǎng)關(guān)實現(xiàn)庫存實時同步，接口使用JWT令牌；?庫存數(shù)據(jù)庫采用主從復制，公有云為只讀實例；?所有日志統(tǒng)一發(fā)送至云上Elasticsearch，保存30天；?安全團隊部署了CWPP（云工作負載保護平臺）與容器鏡像掃描。審計發(fā)現(xiàn)：1.API網(wǎng)關(guān)未啟用請求體大小限制，曾導致6月促銷期間服務降級；2.JWT簽名算法被配置為none，且有效期設為7天；3.鏡像掃描報告顯示基礎(chǔ)鏡像含30個HIGH漏洞，但開發(fā)以“業(yè)務緊急”為由未修復；4.Elasticsearch集群可被任意子網(wǎng)訪問，且無字段級加密；5.庫存同步接口返回JSON含倉庫內(nèi)部IP地址；6.私有云到公有云使用IPSecVPN，但僅啟用AES-128，未使用GCM模式；7.數(shù)據(jù)庫復制使用明文賬號復制器/repl123；8.安全團隊未對AI推薦模型進行偏見測試。問題：61.針對JWT簽名算法為none，IS審計師應提出的最嚴重風險是A.令牌重放?B.令牌偽造?C.令牌過期?D.令牌吊銷答案：B解析：算法為none意味著簽名被忽略，攻擊者可任意偽造令牌，橫向越權(quán)訪問所有門店庫存接口。62.對于鏡像漏洞未修復，IS審計師最應建議A.立即下線服務?B.建立SLA與例外管理流程?C.接受風險?D.轉(zhuǎn)移至虛擬機答案：B解析：業(yè)務緊急與漏洞修復需平衡，應建立例外流程，明確修復時限與臨時補償控制，如虛擬補丁。63.Elasticsearch可被任意子網(wǎng)訪問，最直接的合規(guī)風險是A.違反PCIDSS網(wǎng)絡分段?B.違反GDPR數(shù)據(jù)最小化?C.違反ISO27001訪問控制?D.違反SOX職責分離答案：C解析：日志可能含用戶敏感行為，任意訪問違反ISO27001訪問控制要求。64.庫存接口返回內(nèi)部IP，可導致A.網(wǎng)絡拓撲泄露?B.SQL注入?C.DoS攻擊?D.計費錯誤答案：A解析：內(nèi)部IP暴露網(wǎng)絡段，為攻擊者提供橫向移動目標清單。65.對于AI模型未做偏見測試，可能引發(fā)的監(jiān)管處罰依據(jù)是A.《個人信息保護法》第51條?B.《數(shù)據(jù)安全法》第21條?C.《反壟斷法》?D.《消費者權(quán)益保護法》答案：A解析：個保法要求對自動化決策進行合規(guī)審計，防止不合理差別待遇?！景咐勘尘埃?025年某跨國制藥集團將臨床試驗數(shù)據(jù)從本地遷移至多云數(shù)據(jù)湖（AWSS3+AzureDataLake），采用AWSGlue與AzureDatabricks進行ETL，數(shù)據(jù)科學家通過JupyterHub分析。合規(guī)要求：FDA21CFRPart11、GDPR、HIPAA。審計發(fā)現(xiàn)：1.S3桶開啟BucketKey，但KMS密鑰未啟用自動輪換；2.Databricks集群啟用透明加密，但筆記本保存至用戶私有Git倉庫；3.數(shù)據(jù)湖含患者PII，但未做數(shù)據(jù)主權(quán)標記；4.數(shù)據(jù)科學家可下載CSV至本地筆記本；5.審計日志僅保存于AWSCloudTrail，未同步至Azure；6.未對數(shù)據(jù)湖進行數(shù)據(jù)血緣掃描；7.未簽署業(yè)務伙伴協(xié)議（BAA）即與第三方AI公司共享去標識化數(shù)據(jù)；8.未建立數(shù)據(jù)湖分級策略，所有用戶可訪問“原始”與“清洗”區(qū)。問題：66.針對KMS密鑰未輪換，IS審計師應提出的風險是A.密鑰泄露導致歷史數(shù)據(jù)全部被解密?B.加密性能下降?C.密鑰丟失?D.密鑰長度不足答案：A解析：長期固定密鑰一旦泄露，所有歷史對象可被批量解密。67.筆記本保存至私有Git，違反A.FDA21CFRPart11“封閉系統(tǒng)”要求?B.GDPR數(shù)據(jù)最小化?C.HIPAA技術(shù)保障?D.ISO27001答案：A解析：私有Git屬非受控系統(tǒng)，導致審計軌跡與簽名記錄脫離監(jiān)管視野。68.未簽署B(yǎng)AA共享數(shù)據(jù)，直接違反A.HIPAA?B.GDPR?C.FDA?D.SOX答案：A解析：HIPAA要求覆蓋實體與業(yè)務伙伴簽署B(yǎng)AA，明確PHI保護責任。69.數(shù)據(jù)科學家可下載CSV，最可能違反A.GDPR數(shù)據(jù)最小化?B.FDAALCOA原則?C.HIPAA訪問控制?D.所有選項答案：D解析：下載導致數(shù)據(jù)擴散，違反最小化、ALCOA可追溯、HIPAA技術(shù)保障。70.未做數(shù)據(jù)血緣掃描，導致A.無法追蹤PII流向?B.存儲成本增加?C.計算延遲?D.網(wǎng)絡擁堵答案：A解析：血緣缺失使監(jiān)管機構(gòu)詢問數(shù)據(jù)用途時無法舉證，增加合規(guī)風險?！景咐勘尘埃?025年某城市智慧交通系統(tǒng)采用車路協(xié)同（V2X）架構(gòu)，邊緣計算節(jié)點部署于路口機柜，通過5G回傳至城市大腦。系統(tǒng)收集車牌、人臉、軌跡，用于信號優(yōu)化與違法抓拍。審計發(fā)現(xiàn)：1.邊緣節(jié)點使用Ubuntu20.04，內(nèi)核未打補丁，存在CVE-2025-1234本地提權(quán)；2.V2X證書采用PKI，但離線CRL更新周期為72小時；3.人臉圖片在邊緣節(jié)點暫存，未加密，丟失后可被路人提??；4.城市大腦API未限速，曾遭爬蟲批量下載軌跡；5.未建立數(shù)據(jù)刪除機制，違法圖片保存超過3年；6.邊緣節(jié)點遠程維護使用TeamViewerID與固定口令；7.未對V2X消息進行簽名驗證；8.未評估算法對特定車牌顏色的誤識率。問題：71.針對TeamViewer固定口令，IS審計師應建議A.