2025年cissp認(rèn)證考試題庫

一、選擇題(每題只有一個(gè)正確答案，共50題，每題2分)

1.以下哪項(xiàng)不屬于CISControls框架的17個(gè)控制項(xiàng)？

A.身份認(rèn)證和訪問管理

B.數(shù)據(jù)安全

C.事件響應(yīng)

D.云計(jì)算安全

2.在信息安全管理體系中，PDCA循環(huán)指的是什么？

A規(guī)劃(Plan)、執(zhí)行(Do)、檢查(Check)>改進(jìn)(Act)

B.預(yù)防(Prevent)、檢測(cè)(Detect)>響應(yīng)(Respond)、恢復(fù)(Recover)

C.身份認(rèn)證(Identify)、授權(quán)(Authorize)、審計(jì)(Audit)、監(jiān)控

(Monitor)

D.數(shù)據(jù)加密(Encrypt)>解密(Decrypt)>傳輸(Transmit)>存儲(chǔ)(Store)

3.以下哪項(xiàng)不是常見的風(fēng)險(xiǎn)評(píng)估方法？

A.定性評(píng)估

B.定量評(píng)估

C.半定量評(píng)估

D.靜態(tài)評(píng)估

4.在密碼學(xué)中，刈稱加密算法指的是什么？

A.使用相同的密鑰進(jìn)行加密和解密

B.使用不同的密鑰進(jìn)行加密和解密

C.使用公鑰進(jìn)行加密，私鑰進(jìn)行解密

D.使用私鑰進(jìn)行加密，公鑰進(jìn)行解密

5.以下哪項(xiàng)不是常見的網(wǎng)絡(luò)攻擊類型？

A.DDoS攻擊

B.SQL注入

C跨站腳本(XSS)

D.物理入侵

6.在安全審計(jì)中，以下哪項(xiàng)不是常見的審計(jì)類型？

A.邏輯審計(jì)

B.物理審計(jì)

C.行為審計(jì)

D.系統(tǒng)審計(jì)

7.在安全意識(shí)培訓(xùn)中，以下哪項(xiàng)不是常見的培訓(xùn)內(nèi)容？

A.社交工程

B.軟件安裝規(guī)范

C.辦公室安全

D.天氣預(yù)報(bào)

8.在漏洞管理中，以下哪項(xiàng)不是常見的漏洞掃描工具？

A.Nessus

B.Nmap

C.Wireshark

D.OponVAS

9.在入侵檢測(cè)系統(tǒng)中，以卜哪項(xiàng)不是常見的檢測(cè)方法？

A.誤報(bào)(FalsePositive)

B.漏報(bào)(FalseNegative)

C.誤用檢測(cè)(MisuseDetection)

D.異常檢測(cè)(AnomalyDetection)

10.在數(shù)據(jù)備份策略中，以下哪項(xiàng)不是常見的備份類型？

A.完全備份

B.增量備份

C.差異備份

D.交叉?zhèn)浞?/p>

11.在災(zāi)難恢復(fù)計(jì)劃中，以下哪項(xiàng)不是常見的恢復(fù)H標(biāo)?

A.恢復(fù)時(shí)間目標(biāo)(RTO)

B.恢復(fù)點(diǎn)目標(biāo)(RPO)

C.業(yè)務(wù)連續(xù)性目標(biāo)(BCO)

D.數(shù)據(jù)完整性目標(biāo)(DTO)

12.在身份認(rèn)證管理中，以下哪項(xiàng)不是常見的認(rèn)證方法？

A.普通用戶名/密碼

B.多因素認(rèn)證(MFA)

C.生物識(shí)別

D.心理測(cè)試

13.在訪問控制模型中，以下哪項(xiàng)不是常見的模型？

A.自主訪問控制(DAC)

B.強(qiáng)制訪問控制(MAC)

C.基于角色的訪問控制(RBAC)

D.基于屬性的訪問控制(ABAC)

14.在數(shù)據(jù)加密技術(shù)中，以下哪項(xiàng)不是常見的加密算法?

A.AES

B.RSA

C.DES

D.MD5

15.在網(wǎng)絡(luò)安全設(shè)備中，以下哪項(xiàng)不是常見的設(shè)備？

A.防火墻

B.入侵檢測(cè)系統(tǒng)(IDS)

C.負(fù)載均衡器

D.代理服務(wù)器

16.在安全策略中，以下哪項(xiàng)不是常見的策略類型？

A.安全政策

B.安全程序

C.安全指南

D.安全配置

17.在安全事件響應(yīng)中，以下哪項(xiàng)不是常見的響應(yīng)階段?

A.準(zhǔn)備階段

B.識(shí)別階段

C.分析階段

D.恢復(fù)階段

18.在安全評(píng)估中，以下哪項(xiàng)不是常見的評(píng)估方法?

A.滲透測(cè)試

B.漏洞掃描

C.社交工程

D.文件歸檔

19.在安全管理中，以下哪項(xiàng)不是常見的管理活動(dòng)？

A.風(fēng)險(xiǎn)評(píng)估

B.安全審計(jì)

C.安全培訓(xùn)

D.安全預(yù)算

20.在安全運(yùn)維中，以下哪項(xiàng)不是常見的運(yùn)維活動(dòng)？

A.系統(tǒng)監(jiān)控

B.漏洞修補(bǔ)

C.安全配置

D.用戶管理

21.在安全開發(fā)中，以下哪項(xiàng)不是常見的開發(fā)階段？

A.需求分析

B.設(shè)計(jì)階段

C.編碼階段

D.法律咨詢

22.在安全測(cè)試中，以下哪項(xiàng)不是常見的測(cè)試類型？

A.黑盒測(cè)試

B.白盒測(cè)試

C.滲透測(cè)試

D.性能測(cè)試

23.在安全運(yùn)維中，以下哪項(xiàng)不是常見的運(yùn)維工具？

A.Nagios

B.Zabbix

C.SolarWinds

D.Visio

24.在安全審計(jì)中，以下哪項(xiàng)不是常見的審計(jì)內(nèi)容？

A.訪問日志

B.操作日志

C.安全策略

D.用戶手冊(cè)

25.在安全意識(shí)培訓(xùn)中，以下哪項(xiàng)不是常見的培訓(xùn)方式?

A.在線培訓(xùn)

B.面授培訓(xùn)

C.案例分析

D.體育比賽

26.在漏洞管理中，以下哪項(xiàng)不是常見的漏洞類型？

A.SQL注入

B.跨站腳本(XSS)

C.DDoS攻擊

D.權(quán)限提升

27.在入侵檢測(cè)系統(tǒng)中，以下哪項(xiàng)不是常見的檢測(cè)規(guī)則？

A.異常流量

B.異常登錄

C.異常操作

D.異常天氣

28.在數(shù)據(jù)備份策略中,以下哪項(xiàng)不是常見的備份工具？

A.Veeam

B.Acronis

C.Commvau1t

D.MicrosoftWord

29.在災(zāi)難恢復(fù)計(jì)劃中，以下哪項(xiàng)不是常見的恢復(fù)策略？

A.熱備份

B.溫備份

C.冷備份

D.混合備份

30.在身份認(rèn)證管理中，以下哪項(xiàng)不是常見的認(rèn)證協(xié)議？

A.Kerberos

B.LDAP

C.OAuth

D.Telnet

31.在訪問控制模型中,以下哪項(xiàng)不是常見的控制方法?

A.自主訪問控制(DAC)

B.強(qiáng)制訪問控制(MAC)

C.基于角色的訪問控制(RBAC)

D.基于時(shí)間的訪問控制(TBAC)

32.在數(shù)據(jù)加密技術(shù)中，以下哪項(xiàng)不是常見的加密模式？

A.電文加密

B.代碼加密

C.對(duì)稱加密

D.非對(duì)稱加密

33.在網(wǎng)絡(luò)安全設(shè)備中，以下哪項(xiàng)不是常見的設(shè)備功能?

A.包過濾

B.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）

C.路由

D.數(shù)據(jù)分析

34.在安全策略中，以下哪項(xiàng)不是常見的策略內(nèi)容？

A.安全目標(biāo)

B.安全責(zé)任

C.安全措施

D.安全預(yù)算

35.在安全事件響應(yīng)中，以下哪項(xiàng)不是常見的響應(yīng)措施?

A.隔離受感染系統(tǒng)

B.收集證據(jù)

C.清除威脅

D.發(fā)布廣告

36.在安全評(píng)估中，以下哪項(xiàng)不是常見的評(píng)估指標(biāo)？

A.風(fēng)險(xiǎn)等級(jí)

B.風(fēng)險(xiǎn)值

C.風(fēng)險(xiǎn)概率

D.風(fēng)險(xiǎn)影響

37.在安全管理中，以下哪項(xiàng)不是常見的管理工具？

A.SIEM

B.SOAR

C.IAM

D.CRM

38.在安全運(yùn)維中，以下哪項(xiàng)不是常見的運(yùn)維流程？

A.事件管理

B.問題管理

C.變更管理

D.項(xiàng)目管理

39.在安全開發(fā)中，以下哪項(xiàng)不是常見的開發(fā)方法？

A.安全編碼

B.安全測(cè)試

C.安全運(yùn)維

【）.安全配置

40.在安全測(cè)試中，以下哪項(xiàng)不是常見的測(cè)試工具？

A.BurpSuite

B.OWASPZAP

C.Nessus

D.Wireshark

41.在安全運(yùn)維中，以下哪項(xiàng)不是常見的運(yùn)維指標(biāo)?

A.系統(tǒng)可用性

B.系統(tǒng)性能

C.系統(tǒng)安全性

D.系統(tǒng)可靠性

42.在安全審計(jì)中，以下哪項(xiàng)不是常見的審計(jì)工具？

A.Auditd

B.Wireshark

C.Nessus

D.SolarWinds

43.在安全意識(shí)培訓(xùn)中，以下哪項(xiàng)不是常見的培訓(xùn)內(nèi)容?

A.社交工程

B.軟件安裝規(guī)范

C.辦公室安全

D.法律法規(guī)

44.在漏洞管理中，以下哪項(xiàng)不是常見的漏洞利用方式?

A.手動(dòng)利用

B.自動(dòng)利用

C.模糊測(cè)試

D.模擬攻擊

45.在入侵檢測(cè)系統(tǒng)中，以下哪項(xiàng)不是常見的檢測(cè)技術(shù)?

A.誤報(bào)(FalsePositive)

B.漏報(bào)(FalseNegative)

C.誤用檢測(cè)(MisuseDetection)

D.異常檢測(cè)(Anoma1yDetection)

46.在數(shù)據(jù)備份策略中,以下哪項(xiàng)不是常見的備份目標(biāo)？

A.數(shù)據(jù)完整性

B.數(shù)據(jù)可用性

C.數(shù)據(jù)安全性

D.數(shù)據(jù)隱私性

47.在災(zāi)難恢復(fù)計(jì)劃中，以下哪項(xiàng)不是常見的恢復(fù)資源?

A.數(shù)據(jù)備份

B.系統(tǒng)鏡像

C.網(wǎng)絡(luò)設(shè)備

D.用戶手冊(cè)

48.在身份認(rèn)證管理中，以下哪項(xiàng)不是常見的認(rèn)證因素？

A.知識(shí)因素

B.擁有因素

C.生物因素

D.心理因素

49.在訪問控制模型中，以下哪項(xiàng)不是常見的控制策略?

A.自主訪問控制(DAC)

B.強(qiáng)制訪問控制(MAC)

C.基于角色的訪問控制(RBAC)

D.基于時(shí)間的訪問控制(TBAC)

50.在數(shù)據(jù)加密技術(shù)中，以下哪項(xiàng)不是常見的加密服務(wù)?

A.保密性

B.完整性

C,可用性

D.可追溯性

二、判斷題（每題只有一個(gè)正確答案，共50題，每題2分）

1.CISControls框架的17個(gè)控制項(xiàng)涵蓋了信息安全管理的各個(gè)方面。

2.風(fēng)險(xiǎn)評(píng)估的目的是確定風(fēng)險(xiǎn)的可能性和影響。（V）

3.對(duì)稱加密算法的安全性低于非對(duì)稱加密算法。（X）

4.DDoS攻擊是一種常見的網(wǎng)絡(luò)攻擊類型。（V）

5.安全審計(jì)的B的是確保安全策略的執(zhí)行情況。（V）

6.社交工程是一種常見的安全威脅。（J）

7.漏洞掃描是一種常見的安全評(píng)估方法。（J）

8.入侵檢測(cè)系統(tǒng)可以實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)中的異常行為。（J）

9.數(shù)據(jù)備份的目的是防止數(shù)據(jù)丟失。（J）

10.災(zāi)難恢復(fù)計(jì)劃的目的是確保業(yè)務(wù)連續(xù)性。（J）

11.身份認(rèn)證的目的是驗(yàn)證用戶的身份。（J）

12.訪問控制模型的H的是限制用戶對(duì)資源的訪問。（J）

13.數(shù)據(jù)加密的目的是保護(hù)數(shù)據(jù)的機(jī)密性。（J）

14.網(wǎng)絡(luò)安全設(shè)備的目的是保護(hù)網(wǎng)絡(luò)安全。（V）

15.安全策略的目的是指導(dǎo)信息安全管理工作。（J）

16.安全事件響應(yīng)的目的是快速響應(yīng)安全事件。（V）

17.安全評(píng)估的目的是評(píng)估信息系統(tǒng)的安全性。（V）

18.安全管理的目的是確保信息安全。（J）

19.安全運(yùn)維的目的是確保信息系統(tǒng)的正常運(yùn)行。（7）

20.安全開發(fā)的目的是開發(fā)安全的應(yīng)用程序。（J）

21.安全測(cè)試的目的是測(cè)試信息系統(tǒng)的安全性。（V）

22.安全運(yùn)維的目的是確保信息系統(tǒng)的正常運(yùn)行。（J）

23.安全審計(jì)的目的是確保安全策略的執(zhí)行情況。（7）

24.安全意識(shí)培訓(xùn)的目的是提高員工的安全意識(shí)。（J）

25.漏洞管理的目的是管理信息系統(tǒng)的漏洞。（J）

26.入侵檢測(cè)系統(tǒng)的目的是檢測(cè)網(wǎng)絡(luò)中的異常行為。（V）

27.數(shù)據(jù)備份的目的是防止數(shù)據(jù)丟失。（J）

28.災(zāi)難恢復(fù)計(jì)劃的目的是魂保業(yè)務(wù)連續(xù)性。（J）

29.身份認(rèn)證的目的是驗(yàn)證用戶的身份。（J）

30.訪問控制模型的目的是限制用戶對(duì)資源的訪問。（J）

31.數(shù)據(jù)加密的目的是保護(hù)數(shù)據(jù)的機(jī)密性。（V）

32.網(wǎng)絡(luò)安全設(shè)備的目的是保護(hù)網(wǎng)絡(luò)安全。（J）

33.安全策略的目的是指導(dǎo)信息安全管理工作。（J）

34.安全事件響應(yīng)的目的是快速響應(yīng)安全事件。（J）

35.安全評(píng)估的目的是評(píng)估信息系統(tǒng)的安全性。（J）

36.安全管理的目的是確保信息安全。（J）

37.安全運(yùn)維的目的是確保信息系統(tǒng)的正常運(yùn)行。（J）

38.安全開發(fā)的目的是開發(fā)安全的應(yīng)用程序。（J）

39.安全測(cè)試的H的是測(cè)試信息系統(tǒng)的安全性。（J）

40.安全運(yùn)維的H的是確保信息系統(tǒng)的正常運(yùn)行。（J）

41.安全審計(jì)的目的是確保安全策略的執(zhí)行情況。（V）

42.安全意識(shí)培訓(xùn)的目的是提高員工的安全意識(shí)。（7）

43.漏洞管理的目的是管理信息系統(tǒng)的漏洞。（J）

44.入侵檢測(cè)系統(tǒng)的目的是檢測(cè)網(wǎng)絡(luò)中的異常行為。（J）

45.數(shù)據(jù)備份的目的是防止數(shù)據(jù)丟失。（J）

46.災(zāi)難恢復(fù)計(jì)劃的目的是麗保業(yè)務(wù)連續(xù)性。（J）

47.身份認(rèn)證的目的是驗(yàn)證用戶的身份。（V）

48.訪問控制模型的目的是限制用戶對(duì)資源的訪?問。（4）

49.數(shù)據(jù)加密的目的是保護(hù)數(shù)據(jù)的機(jī)密性。（V）

50.網(wǎng)絡(luò)安全設(shè)備的目的是保護(hù)網(wǎng)絡(luò)安全。（V）

三、簡(jiǎn)答題（每題5分，共5題）

1.簡(jiǎn)述CISControls框架的17個(gè)控制項(xiàng)及其作用。

2.簡(jiǎn)述風(fēng)險(xiǎn)評(píng)估的步驟及其目的。

3.簡(jiǎn)述數(shù)據(jù)備份的策略及其目標(biāo)。

4.簡(jiǎn)述安全事件響應(yīng)的流程及其目的。

5.簡(jiǎn)述訪問控制模型的類型及其特點(diǎn)。

四、論述題（每題10分，共2題）

1.論述信息安全管理體系的作用及其組成部分。

2.論述安全運(yùn)維的重要性及其常見活動(dòng)。

答案和解析

一、選擇題

1.D

2.A

3.D

4.A

5.D

6.A

7.D

8.C

9.A

10.D

11.D

12.D

13.C

14.D

15.C

16.D

17.A

18.D

19.D

20.D

21.D

22.D

23.D

24.D

25.D

26.C

27.1)

28.1)

29.1)

30.D

31.D

32.B

33.D

34.D

35.D

36.D

37.D

38.D

39.D

40.D

41.D

42.D

43.D

44.D

45.D

46.D

47.D

48.D

49.D

50.D

二、判斷題

1.J

2.J

3.X

4.J

5.V

6.J

7.V

8.J

9.J

10.J

11.J

12.J

13.J

14.V

15.J

16.V

17.V

18.V

19.V

20.V

21.J

22.V

23.J

24.V

25.J

26.V

27.V

28.V

29.J

30.J

31.V

32.V

33.V

34.V

35.V

36.V

37.V

38.J

39.J

40.J

41.J

42.V

43.J

44.V

45.V

46.V

47.V

48.V

49.V

50.V

三、簡(jiǎn)答題

l.CISControls框架的17個(gè)控制項(xiàng)及其作用:

-控制項(xiàng)1：組織架構(gòu)和治理

-控制項(xiàng)2：資產(chǎn)識(shí)別管理

-控制項(xiàng)3：軟件資產(chǎn)管理

-控制項(xiàng)4：漏洞管理

-控制項(xiàng)5：補(bǔ)丁管理

-控制項(xiàng)6：網(wǎng)絡(luò)隔離和分段

-控制項(xiàng)7：日志和監(jiān)控管理

-控制項(xiàng)8：入侵檢測(cè)和防御

-控制項(xiàng)9：身份認(rèn)證和訪問管理

-控制項(xiàng)10：數(shù)據(jù)安全

-控制項(xiàng)11：數(shù)據(jù)備份和恢復(fù)

-控制項(xiàng)12：事件響應(yīng)

-控制項(xiàng)13：漏洞管理

-控制項(xiàng)14：威脅情報(bào)

-控制項(xiàng)15：安全意識(shí)和培訓(xùn)

-控制項(xiàng)16：安全運(yùn)維

-控制項(xiàng)17：軟件開發(fā)安全

2.風(fēng)險(xiǎn)評(píng)估的步驟及其目的：

一步驟1：資產(chǎn)識(shí)別和評(píng)估

一步驟2：威脅識(shí)別和