信息安全經(jīng)理（互聯(lián)網(wǎng)）崗位招聘考試試卷及答案試卷部分一、填空題（共10題，每題1分）1.ISO27001標準中，安全控制域分為______個。2.部署在內(nèi)外網(wǎng)邊界的防火墻類型是______防火墻。3.常用對稱加密算法中，適用于數(shù)據(jù)傳輸?shù)氖莀_____（舉1個）。4.網(wǎng)絡(luò)安全等級保護2.0將安全等級分為______級。5.涉及用戶個人敏感信息的數(shù)據(jù)屬于______級數(shù)據(jù)。6.滲透測試核心階段不包括______（填“信息收集”“系統(tǒng)開發(fā)”“漏洞利用”）。7.IDS與IPS的核心區(qū)別是IPS具備______能力。8.零信任架構(gòu)的核心原則是“______”。9.GDPR適用范圍包括______（填“歐盟境內(nèi)企業(yè)”“向歐盟用戶提供服務(wù)的非歐盟企業(yè)”“所有企業(yè)”）。10.應(yīng)急響應(yīng)中“事件根除”的下一個步驟是______。二、單項選擇題（共10題，每題2分）1.等保2.0核心要求不包括（）A.安全物理環(huán)境B.安全通信網(wǎng)絡(luò)C.安全計算環(huán)境D.安全業(yè)務(wù)開發(fā)2.屬于DDoS防御技術(shù)的是（）A.WAFB.CDNC.蜜罐D(zhuǎn).加密3.SQL注入攻擊的主要原因是（）A.未做輸入驗證B.未開防火墻C.未加密數(shù)據(jù)D.未定期備份4.造成100萬以上經(jīng)濟損失的安全事件屬于（）A.一般事件B.較大事件C.重大事件D.特別重大事件5.可用于服務(wù)器身份驗證的SSL證書類型是（）A.DVB.OVC.EVD.所有類型6.蜜罐的主要作用是（）A.攔截攻擊B.收集攻擊情報C.加密數(shù)據(jù)D.備份數(shù)據(jù)7.企業(yè)遠程訪問常用VPN類型是（）A.IPsecVPNB.SSLVPNC.PPTPVPND.L2TPVPN8.容器安全核心風(fēng)險不包括（）A.鏡像漏洞B.容器逃逸C.權(quán)限過大D.數(shù)據(jù)備份9.互聯(lián)網(wǎng)企業(yè)合規(guī)檢查重點不包括（）A.等保合規(guī)B.GDPR合規(guī)C.數(shù)據(jù)脫敏D.員工考勤10.屬于多因素認證的是（）A.用戶名+密碼B.密碼+短信驗證碼C.指紋識別D.人臉識別三、多項選擇題（共10題，每題2分，多選/少選/錯選不得分）1.等保2.0“安全物理環(huán)境”要求包括（）A.機房選址B.設(shè)備防盜C.溫濕度控制D.網(wǎng)絡(luò)帶寬2.常見Web攻擊類型有（）A.SQL注入B.XSSC.CSRFD.緩沖區(qū)溢出3.數(shù)據(jù)安全防護措施包括（）A.數(shù)據(jù)加密B.數(shù)據(jù)脫敏C.訪問控制D.定期備份4.應(yīng)急響應(yīng)流程步驟有（）A.事件監(jiān)測B.事件分析C.事件根除D.事后總結(jié)5.零信任核心原則有（）A.永不信任，始終驗證B.最小權(quán)限C.持續(xù)評估D.網(wǎng)絡(luò)分段6.GDPR主要要求包括（）A.用戶數(shù)據(jù)訪問權(quán)B.數(shù)據(jù)可攜帶權(quán)C.數(shù)據(jù)刪除權(quán)D.數(shù)據(jù)最小化7.容器安全防護措施有（）A.鏡像掃描B.容器隔離C.權(quán)限控制D.漏洞補丁8.安全審計內(nèi)容包括（）A.訪問日志記錄B.操作行為審計C.漏洞掃描D.事件溯源9.DDoS常見類型有（）A.流量型B.應(yīng)用型C.勒索型D.數(shù)據(jù)泄露型10.多因素認證類型包括（）A.知識因素（密碼）B.possession因素（短信）C.生物因素（指紋）D.位置因素四、判斷題（共10題，每題2分，√/×）1.ISO27001是強制信息安全標準。（）2.等保2.0等級越高要求越嚴格。（）3.防火墻可防御所有網(wǎng)絡(luò)攻擊。（）4.加密后的數(shù)據(jù)一定安全。（）5.蜜罐僅被動收集情報，無法主動防御。（）6.VPN可完全保障遠程訪問安全。（）7.數(shù)據(jù)脫敏是對敏感數(shù)據(jù)加密。（）8.滲透測試必須獲得明確授權(quán)。（）9.互聯(lián)網(wǎng)企業(yè)安全只需關(guān)注內(nèi)部系統(tǒng)，無需第三方供應(yīng)商。（）10.GDPR適用于所有全球運營企業(yè)。（）五、簡答題（共4題，每題5分）1.簡述信息安全管理體系（ISMS）的核心要素。2.等保2.0“安全通信網(wǎng)絡(luò)”包含哪些具體要求？3.簡述應(yīng)急響應(yīng)的基本流程。4.數(shù)據(jù)分類分級的主要步驟是什么？六、討論題（共2題，每題5分）1.某互聯(lián)網(wǎng)公司遭遇用戶敏感數(shù)據(jù)泄露，作為安全經(jīng)理，你會采取哪些immediate措施？2.如何平衡互聯(lián)網(wǎng)業(yè)務(wù)快速迭代與信息安全合規(guī)的矛盾？---答案部分一、填空題答案1.142.邊界3.AES（或DES、3DES）4.55.高（或敏感）6.系統(tǒng)開發(fā)7.主動防御（阻斷攻擊）8.永不信任，始終驗證9.歐盟境內(nèi)企業(yè)及向歐盟用戶提供服務(wù)的非歐盟企業(yè)10.事后總結(jié)（恢復(fù)）二、單項選擇題答案1.D2.B3.A4.C5.D6.B7.B8.D9.D10.B三、多項選擇題答案1.ABC2.ABC3.ABCD4.ABCD5.ABCD6.ABCD7.ABCD8.ABD9.ABC10.ABCD四、判斷題答案1.×2.√3.×4.×5.×6.×7.×8.√9.×10.×五、簡答題答案1.ISMS核心要素：①信息安全方針（明確目標范圍）；②風(fēng)險評估（識別資產(chǎn)、威脅、脆弱性）；③安全控制（實施對應(yīng)措施）；④培訓(xùn)意識（提升員工認知）；⑤監(jiān)控評審（跟蹤控制有效性）；⑥持續(xù)改進（基于評審優(yōu)化）。形成閉環(huán)保障安全。2.安全通信網(wǎng)絡(luò)要求：①網(wǎng)絡(luò)架構(gòu)（合理分段、邊界防護）；②傳輸安全（加密、完整性校驗）；③設(shè)備安全（加固、補丁）；④訪問控制（權(quán)限劃分、審計）；⑤異常檢測（流量、攻擊監(jiān)測）。3.應(yīng)急響應(yīng)流程：①監(jiān)測（發(fā)現(xiàn)告警）；②分析（確認類型、影響）；③遏制（控制擴散）；④根除（清除攻擊源、修復(fù)漏洞）；⑤恢復(fù)（系統(tǒng)/數(shù)據(jù)正常）；⑥總結(jié)（復(fù)盤優(yōu)化）。4.分類分級步驟：①資產(chǎn)識別（梳理數(shù)據(jù)資產(chǎn)）；②分類（按業(yè)務(wù)屬性分類型）；③分級（按敏感度分公開/內(nèi)部/敏感/核心）；④評審（驗證準確性）；⑤標記（分級標記）；⑥管控（按等級防護）。六、討論題答案1.immediate措施：①遏制（斷開疑似泄露系統(tǒng)網(wǎng)絡(luò)）；②確認影響（核實泄露數(shù)據(jù)范圍、用戶數(shù)）；③合規(guī)上報（向監(jiān)管、用戶通報）；④應(yīng)急處置（修復(fù)漏洞、清除攻擊痕跡）；⑤用戶安撫（官方渠道