第第PAGE\MERGEFORMAT1頁(yè)共NUMPAGES\MERGEFORMAT1頁(yè)aca安全題庫(kù)及答案解析（含答案及解析）姓名：科室/部門/班級(jí)：得分：題型單選題多選題判斷題填空題簡(jiǎn)答題案例分析題總分得分

一、單選題（共20分）

1.在ACA安全培訓(xùn)中，關(guān)于“物理訪問(wèn)控制”的說(shuō)法，以下哪項(xiàng)最符合標(biāo)準(zhǔn)要求？

（）A.會(huì)議室門禁采用指紋識(shí)別，員工可自由進(jìn)出

（）B.重要服務(wù)器機(jī)房設(shè)置生物識(shí)別門禁，訪客需登記并全程陪同

（）C.辦公區(qū)服務(wù)器柜未上鎖，方便IT團(tuán)隊(duì)隨時(shí)維護(hù)

（）D.保安僅負(fù)責(zé)大門開關(guān)，內(nèi)部區(qū)域無(wú)需額外監(jiān)控

2.處理敏感客戶信息時(shí)，以下哪項(xiàng)操作存在合規(guī)風(fēng)險(xiǎn)？

（）A.將客戶資料加密存儲(chǔ)在加密硬盤內(nèi)

（）B.通過(guò)公司內(nèi)部加密郵件傳輸合同草案

（）C.將客戶信息備份到個(gè)人U盤帶離辦公室

（）D.使用符合PCIDSS標(biāo)準(zhǔn)的支付終端處理信用卡信息

3.根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，以下哪類組織需設(shè)立首席信息安全官（CISO）？

（）A.年?duì)I收500萬(wàn)元的電商企業(yè)

（）B.涉及100萬(wàn)人以上個(gè)人信息的互聯(lián)網(wǎng)平臺(tái)

（）C.預(yù)算200萬(wàn)元的中小型制造業(yè)公司

（）D.未接入公共網(wǎng)絡(luò)的內(nèi)部系統(tǒng)運(yùn)維團(tuán)隊(duì)

4.在數(shù)據(jù)泄露事件響應(yīng)中，哪個(gè)環(huán)節(jié)屬于“事后補(bǔ)救”階段？

（）A.立即隔離受感染的服務(wù)器

（）B.通知監(jiān)管機(jī)構(gòu)并發(fā)布聲明

（）C.開展全員安全意識(shí)培訓(xùn)

（）D.評(píng)估漏洞成因并修復(fù)

5.使用密碼管理工具時(shí)，以下哪項(xiàng)做法最不安全？

（）A.為不同應(yīng)用設(shè)置不同強(qiáng)密碼

（）B.在手機(jī)端啟用生物識(shí)別登錄

（）C.將密碼導(dǎo)出并存儲(chǔ)在共享文檔

（）D.定期更換核心應(yīng)用密碼

6.根據(jù)等保2.0標(biāo)準(zhǔn)，三級(jí)等保系統(tǒng)的“安全審計(jì)”要求不包括：

（）A.記錄所有用戶登錄操作

（）B.對(duì)系統(tǒng)日志進(jìn)行6個(gè)月備份

（）C.實(shí)時(shí)監(jiān)控異常登錄行為

（）D.手動(dòng)定期核對(duì)操作日志

7.企業(yè)網(wǎng)絡(luò)邊界防護(hù)中，以下哪種設(shè)備最適合作為“第一道防線”？

（）A.入侵檢測(cè)系統(tǒng)（IDS）

（）B.防火墻（Firewall）

（）C.漏洞掃描儀

（）D.安全信息和事件管理（SIEM）平臺(tái)

8.在VPN部署場(chǎng)景中，IPSecVPN與OpenVPN的主要區(qū)別在于：

（）A.前者需購(gòu)買商業(yè)授權(quán)，后者開源免費(fèi)

（）B.前者傳輸速度更快，后者安全性更高

（）C.前者僅支持SSL協(xié)議，后者支持多種加密算法

（）D.前者適用于大型企業(yè)，后者適合家庭辦公

9.根據(jù)GDPR法規(guī)，數(shù)據(jù)主體“被遺忘權(quán)”要求企業(yè)必須在多少小時(shí)內(nèi)響應(yīng)刪除請(qǐng)求？

（）A.24小時(shí)

（）B.72小時(shí)

（）C.7個(gè)工作日

（）D.30天

10.企業(yè)進(jìn)行滲透測(cè)試時(shí)，以下哪種場(chǎng)景屬于“白盒測(cè)試”？

（）A.黑客模擬外部攻擊未授權(quán)訪問(wèn)

（）B.員工使用虛擬機(jī)練習(xí)釣魚攻擊

（）C.委托第三方僅提供域名無(wú)法訪問(wèn)系統(tǒng)

（）D.內(nèi)部員工利用測(cè)試賬號(hào)嘗試權(quán)限提升

11.防止勒索病毒感染的最佳實(shí)踐不包括：

（）A.禁用Windows自動(dòng)更新

（）B.定期備份關(guān)鍵數(shù)據(jù)

（）C.關(guān)閉所有共享文件夾

（）D.安裝多層級(jí)殺毒軟件

12.在BCP策劃中，“RTO”指標(biāo)主要衡量：

（）A.系統(tǒng)恢復(fù)后的數(shù)據(jù)完整率

（）B.業(yè)務(wù)中斷后的最大可接受時(shí)長(zhǎng)

（）C.備份數(shù)據(jù)的傳輸速度

（）D.應(yīng)急團(tuán)隊(duì)的響應(yīng)速度

13.根據(jù)行業(yè)安全規(guī)范，以下哪項(xiàng)操作會(huì)導(dǎo)致“權(quán)限過(guò)授”風(fēng)險(xiǎn)？

（）A.為新員工分配最小必要權(quán)限

（）B.將離職員工賬戶臨時(shí)凍結(jié)

（）C.將多個(gè)系統(tǒng)角色合并為單角色

（）D.定期審查用戶權(quán)限并撤銷冗余權(quán)限

14.部署2FA（雙因素認(rèn)證）時(shí)，以下哪種方法屬于“推送式認(rèn)證”？

（）A.短信驗(yàn)證碼

（）B.動(dòng)態(tài)口令器

（）C.手機(jī)應(yīng)用推送通知

（）D.硬件令牌

15.根據(jù)美國(guó)CISA指南，供應(yīng)鏈安全防護(hù)的重點(diǎn)不包括：

（）A.供應(yīng)商資質(zhì)審查

（）B.內(nèi)部員工背景調(diào)查

（）C.軟件成分分析（SCA）

（）D.對(duì)接廠商的應(yīng)急響應(yīng)計(jì)劃

16.在數(shù)據(jù)加密場(chǎng)景中，對(duì)稱加密與非對(duì)稱加密的主要區(qū)別是：

（）A.前者速度快，后者安全性高

（）B.前者無(wú)需密鑰，后者需公鑰

（）C.前者適用于大量數(shù)據(jù)，后者適用于小數(shù)據(jù)量

（）D.前者由NSA設(shè)計(jì)，后者由RSA公司提出

17.企業(yè)使用云存儲(chǔ)服務(wù)時(shí)，以下哪種場(chǎng)景屬于“數(shù)據(jù)主權(quán)”風(fēng)險(xiǎn)？

（）A.數(shù)據(jù)存儲(chǔ)在本地機(jī)房

（）B.使用跨國(guó)云服務(wù)商

（）C.數(shù)據(jù)加密傳輸

（）D.定期進(jìn)行數(shù)據(jù)脫敏

18.根據(jù)培訓(xùn)案例“某醫(yī)院信息系統(tǒng)被篡改”，最可能的技術(shù)手段是：

（）A.釣魚郵件誘導(dǎo)員工點(diǎn)擊惡意鏈接

（）B.利用未修復(fù)的SQL注入漏洞

（）C.通過(guò)物理接觸植入后門程序

（）D.模擬鍵盤輸入竊取密碼

19.在數(shù)據(jù)備份策略中，“3-2-1”原則指的是：

（）A.3臺(tái)服務(wù)器、2套存儲(chǔ)、1套異地備份

（）B.3種備份介質(zhì)、2種備份方式、1個(gè)本地備份

（）C.3年保留期、2次每日備份、1次每周備份

（）D.3備份副本、2種存儲(chǔ)介質(zhì)、1個(gè)異地存儲(chǔ)

20.根據(jù)等保測(cè)評(píng)標(biāo)準(zhǔn)，以下哪項(xiàng)屬于“技術(shù)測(cè)試項(xiàng)”？

（）A.制定安全管理制度

（）B.定期開展安全培訓(xùn)

（）C.檢查防火墻訪問(wèn)控制策略

（）D.審核應(yīng)急預(yù)案文檔

二、多選題（共15分，多選、錯(cuò)選均不得分）

21.以下哪些屬于CIA三要素？

（）A.機(jī)密性

（）B.完整性

（）C.可用性

（）D.可追溯性

（）E.可審計(jì)性

22.企業(yè)實(shí)施零信任架構(gòu)時(shí)，以下哪些措施是核心要求？

（）A.基于角色的動(dòng)態(tài)訪問(wèn)控制

（）B.對(duì)所有訪問(wèn)進(jìn)行多因素認(rèn)證

（）C.禁止任何內(nèi)部網(wǎng)絡(luò)直接訪問(wèn)

（）D.定期自動(dòng)撤銷所有訪問(wèn)權(quán)限

（）E.使用網(wǎng)絡(luò)分段隔離敏感區(qū)域

23.根據(jù)《個(gè)人信息保護(hù)法》，以下哪些屬于敏感個(gè)人信息？

（）A.生物識(shí)別信息

（）B.行蹤軌跡信息

（）C.銀行賬戶信息

（）D.電子郵箱地址

（）E.宗教信仰

24.滲透測(cè)試中，社會(huì)工程學(xué)攻擊通常包括：

（）A.魚叉式釣魚郵件

（）B.網(wǎng)絡(luò)釣魚

（）C.惡意軟件植入

（）D.情感操控

（）E.假冒客服

25.企業(yè)制定BCP時(shí)，以下哪些環(huán)節(jié)需考慮？

（）A.關(guān)鍵業(yè)務(wù)依賴分析

（）B.應(yīng)急資源清單

（）C.災(zāi)難恢復(fù)演練計(jì)劃

（）D.員工遠(yuǎn)程辦公指南

（）E.財(cái)務(wù)預(yù)算方案

26.云安全中，以下哪些屬于IaaS層面主要風(fēng)險(xiǎn)？

（）A.虛擬機(jī)逃逸

（）B.賬戶憑證泄露

（）C.存儲(chǔ)數(shù)據(jù)未加密

（）D.API訪問(wèn)控制不當(dāng)

（）E.操作系統(tǒng)漏洞

27.企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，以下哪些屬于風(fēng)險(xiǎn)處置選項(xiàng)？

（）A.接受風(fēng)險(xiǎn)

（）B.降低風(fēng)險(xiǎn)

（）C.轉(zhuǎn)移風(fēng)險(xiǎn)

（）D.拒絕風(fēng)險(xiǎn)

（）E.忽略風(fēng)險(xiǎn)

28.數(shù)據(jù)脫敏技術(shù)中，以下哪些方法屬于“遮蔽類”？

（）A.哈希加密

（）B.數(shù)據(jù)掩碼

（）C.K-匿名

（）D.T-相近性

（）E.替換為偽數(shù)據(jù)

29.根據(jù)等保2.0標(biāo)準(zhǔn)，三級(jí)等保系統(tǒng)需滿足的物理安全要求包括：

（）A.安裝視頻監(jiān)控系統(tǒng)

（）B.設(shè)置門禁系統(tǒng)

（）C.機(jī)房溫濕度控制

（）D.服務(wù)器BIOS密碼保護(hù)

（）E.線纜標(biāo)識(shí)管理

30.企業(yè)使用第三方SaaS服務(wù)時(shí)，需關(guān)注哪些安全條款？

（）A.數(shù)據(jù)處理協(xié)議

（）B.審計(jì)日志訪問(wèn)權(quán)

（）C.數(shù)據(jù)跨境傳輸限制

（）D.服務(wù)終止條款

（）E.免責(zé)聲明范圍

三、判斷題（共10分，每題0.5分）

31.使用生日攻擊破解6位純數(shù)字密碼，理論上最多嘗試100萬(wàn)次。

32.防火墻可以完全阻止所有網(wǎng)絡(luò)攻擊。

33.根據(jù)GDPR，數(shù)據(jù)主體有權(quán)要求企業(yè)刪除其所有歷史數(shù)據(jù)。

34.滲透測(cè)試前必須獲得客戶書面授權(quán)。

35.企業(yè)內(nèi)部網(wǎng)絡(luò)默認(rèn)可信，無(wú)需進(jìn)行訪問(wèn)控制。

36.2FA可以完全防止賬戶被盜用。

37.等保測(cè)評(píng)分為三級(jí)，三級(jí)系統(tǒng)安全性最高。

38.云服務(wù)中的數(shù)據(jù)加密責(zé)任完全由服務(wù)商承擔(dān)。

39.BCP文件必須每年更新，但無(wú)需演練。

40.勒索病毒通常通過(guò)郵件附件傳播。

四、填空題（共10空，每空1分，共10分）

41.企業(yè)處理敏感數(shù)據(jù)時(shí)，需遵循__________原則，確保最小必要訪問(wèn)。

42.根據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者需建立__________機(jī)制。

43.滲透測(cè)試報(bào)告應(yīng)包含__________、風(fēng)險(xiǎn)等級(jí)和修復(fù)建議。

44.雙因素認(rèn)證通常使用__________和密碼的組合驗(yàn)證。

45.云安全中，AWS、Azure和GCP屬于__________服務(wù)提供商。

46.等保2.0標(biāo)準(zhǔn)中，三級(jí)系統(tǒng)需部署__________和入侵檢測(cè)系統(tǒng)。

47.數(shù)據(jù)備份策略中，RPO指標(biāo)表示__________。

48.零信任架構(gòu)的核心思想是__________。

49.根據(jù)《個(gè)人信息保護(hù)法》，處理敏感個(gè)人信息需取得__________。

50.企業(yè)制定安全策略時(shí)，需明確__________和__________的權(quán)限劃分。

五、簡(jiǎn)答題（共3題，每題6分，共18分）

51.簡(jiǎn)述安全意識(shí)培訓(xùn)的三個(gè)關(guān)鍵要素，并說(shuō)明每個(gè)要素的作用。

52.企業(yè)部署VPN時(shí)，需考慮哪些技術(shù)選型和安全配置？

53.根據(jù)GDPR要求，企業(yè)需建立哪些數(shù)據(jù)泄露響應(yīng)流程？

六、案例分析題（共1題，共25分）

某電商公司因第三方供應(yīng)商系統(tǒng)漏洞導(dǎo)致50萬(wàn)用戶收貨地址泄露，事件發(fā)生后公司采取了以下措施：

-立即下線受影響供應(yīng)商API

-向用戶發(fā)送安全提醒郵件

-對(duì)泄露數(shù)據(jù)進(jìn)行加密處理

-審查所有供應(yīng)商安全協(xié)議

問(wèn)題：

（1）分析本案例中存在哪些安全漏洞？（4分）

（2）針對(duì)“供應(yīng)商協(xié)議審查”環(huán)節(jié)，應(yīng)重點(diǎn)關(guān)注哪些條款？（6分）

（3）為預(yù)防類似事件，該企業(yè)應(yīng)建立哪些長(zhǎng)效機(jī)制？（15分）

（4）若需向監(jiān)管機(jī)構(gòu)報(bào)告，需提交哪些核心材料？（4分）

參考答案及解析

一、單選題

1.B

解析：A選項(xiàng)未限制訪客權(quán)限；C選項(xiàng)違反物理訪問(wèn)控制要求；D選項(xiàng)僅靠大門無(wú)法防范內(nèi)部威脅。B選項(xiàng)符合“最小權(quán)限”原則。

2.C

解析：A、B、D均符合合規(guī)操作；C選項(xiàng)將敏感數(shù)據(jù)存儲(chǔ)在個(gè)人設(shè)備，存在丟失或被盜風(fēng)險(xiǎn)。

3.B

解析：根據(jù)《網(wǎng)絡(luò)安全法》第35條，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（含大型互聯(lián)網(wǎng)平臺(tái)）需設(shè)立CISO。

4.B

解析：A、C、D屬于“事中響應(yīng)”，B項(xiàng)屬于“事后補(bǔ)救”環(huán)節(jié)（根據(jù)ISACA最佳實(shí)踐）。

5.C

解析：A、B、D均為安全做法；C選項(xiàng)存在數(shù)據(jù)泄露風(fēng)險(xiǎn)，違反密碼管理最佳實(shí)踐。

6.B

解析：A、C、D均為等保2.0要求；B選項(xiàng)僅要求3個(gè)月備份（根據(jù)GA評(píng)估要求）。

7.B

解析：防火墻是邊界防護(hù)的“第一道防線”，A、C屬于“縱深防御”中的后續(xù)層。

8.C

解析：IPSec僅支持ESP協(xié)議，OpenVPN支持多種加密算法；A、B、D均為非技術(shù)性區(qū)別。

9.B

解析：GDPR第33條規(guī)定72小時(shí)內(nèi)響應(yīng)刪除請(qǐng)求。

10.C

解析：白盒測(cè)試需提供系統(tǒng)內(nèi)部信息，C選項(xiàng)符合定義；A、B為黑盒/灰盒；D為內(nèi)部測(cè)試。

11.A

解析：禁用自動(dòng)更新會(huì)暴露漏洞，違反縱深防御原則；B、C、D均為有效措施。

12.B

解析：RTO（恢復(fù)時(shí)間目標(biāo)）定義業(yè)務(wù)中斷可接受時(shí)長(zhǎng)。

13.C

解析：合并角色會(huì)導(dǎo)致權(quán)限泛化，違反最小權(quán)限原則；A、B、D屬于合理做法。

14.C

解析：推送式認(rèn)證通過(guò)應(yīng)用通知用戶確認(rèn)；A為短信認(rèn)證，B為硬件令牌，D為動(dòng)態(tài)口令。

15.B

解析：CISA指南強(qiáng)調(diào)供應(yīng)商管理，但內(nèi)部背景調(diào)查屬于HR范疇。

16.A

解析：對(duì)稱加密速度快但密鑰分發(fā)困難，非對(duì)稱加密安全但計(jì)算量大。

17.B

解析：跨國(guó)云服務(wù)商可能將數(shù)據(jù)存儲(chǔ)在非本國(guó)，違反數(shù)據(jù)主權(quán)要求。

18.A

解析：案例中員工點(diǎn)擊鏈接是典型釣魚攻擊；B需先發(fā)現(xiàn)漏洞；C需物理接觸；D需密碼。

19.A

解析：“3-2-1”指3份數(shù)據(jù)、2種存儲(chǔ)介質(zhì)、1份異地備份。

20.C

解析：技術(shù)測(cè)試項(xiàng)直接驗(yàn)證系統(tǒng)配置，A、B、D屬于管理類要求。

二、多選題

21.ABC

解析：CIA三要素是信息安全核心框架；D、E屬于擴(kuò)展要求。

22.AB

解析：零信任核心是“永不信任，始終驗(yàn)證”；C、D過(guò)于絕對(duì)；E屬于輔助措施。

23.AB

解析：根據(jù)《個(gè)保法》第4條，AB屬于敏感信息；C屬于重要個(gè)人信息；D、E較為普通。

24.ABD

解析：社會(huì)工程學(xué)側(cè)重心理操控；C屬于惡意軟件范疇；E屬于釣魚的變種。

25.ABC

解析：BCP核心要素；D屬于應(yīng)急響應(yīng)內(nèi)容；E屬于財(cái)務(wù)規(guī)劃。

26.ABC

解析：IaaS層風(fēng)險(xiǎn)主要來(lái)自虛擬化環(huán)境和賬戶管理；D、E屬于PaaS/SaaS層風(fēng)險(xiǎn)。

27.ABCD

解析：風(fēng)險(xiǎn)處置標(biāo)準(zhǔn)選項(xiàng)；E屬于違規(guī)行為。

28.BC

解析：遮蔽類通過(guò)修改數(shù)據(jù)本身；A是加密；C、D是匿名化技術(shù)。

29.ABC

解析：物理安全要求；D屬于邏輯安全；E屬于運(yùn)維要求。

30.ABCD

解析：SaaS安全關(guān)注數(shù)據(jù)處理、審計(jì)、合規(guī)和責(zé)任邊界；E屬于法律條款。

三、判斷題

31.√

解析：6位純數(shù)字密碼有1億種組合，生日攻擊理論需要1.17萬(wàn)次（平方根原理）。

32.×

解析：防火墻無(wú)法防御非授權(quán)訪問(wèn)（如內(nèi)部威脅、零日漏洞）。

33.×

解析：GDPR第17條允許刪除“當(dāng)前必要”數(shù)據(jù)，非全部。

34.√

解析：滲透測(cè)試需書面授權(quán)，違反規(guī)定可能承擔(dān)法律責(zé)任。

35.×

解析：內(nèi)部網(wǎng)絡(luò)需劃分安全域，默認(rèn)可信違反縱深防御原則。

36.×

解析：2FA無(wú)法阻止釣魚攻擊或憑證泄露等場(chǎng)景。

37.×

解析：三級(jí)系統(tǒng)需滿足更高要求，但并非絕對(duì)安全（等保分級(jí)是能力要求）。

38.×

解析：云服務(wù)商僅負(fù)責(zé)基礎(chǔ)設(shè)施安全，客戶需負(fù)責(zé)應(yīng)用和數(shù)據(jù)安全。

39.×

解析：BCP必須結(jié)合演練驗(yàn)證有效性，否則形同虛設(shè)。

40.√

解析：勒索病毒主要通過(guò)郵件附件、惡意下載傳播。

四、填空題

41.最小必要

解析：源于《個(gè)保法》和CIA三要素中的必要性原則。

42.安全事件應(yīng)急響應(yīng)

解析：根據(jù)《網(wǎng)絡(luò)安全法》第35條要求。

43.漏洞詳情

解析：滲透測(cè)試報(bào)告核心內(nèi)容之一（參考ISACAGP6.1）。

44.生物特征信息

解析：如指紋、面容識(shí)別等。

45.IaaS

解析：InfrastructureasaService（基礎(chǔ)設(shè)施即服務(wù)）。

46.防火墻

解析：等保2.0三級(jí)系統(tǒng)要求部署網(wǎng)絡(luò)防火墻。

47.最小恢復(fù)點(diǎn)目標(biāo)

解析：RPO定義數(shù)據(jù)丟失容忍量。

48.“從不信任，始終驗(yàn)證”

解析：零信任架構(gòu)核心思想。

49.明確同意

解析：根據(jù)《個(gè)保法》第6條處理敏感信息需單獨(dú)同意。

50.員工/部門

解析：需明確不同角色的權(quán)限劃分