2025年計算機三級（信息安全技術）模擬題（附參考答案）一、單項選擇題（每題1分，共20題，總分20分）1.以下哪種加密算法屬于對稱加密算法？A.RSAB.ECCC.AESD.ElGamal2.數(shù)字簽名的核心目的是確保數(shù)據(jù)的：A.機密性B.完整性C.可用性D.不可否認性3.防火墻按照工作層次劃分，不包括以下哪類？A.包過濾防火墻B.應用層網關防火墻C.狀態(tài)檢測防火墻D.分布式防火墻4.以下哪項是緩沖區(qū)溢出攻擊的主要目標？A.修改程序執(zhí)行流程B.竊取用戶密碼C.破壞硬盤數(shù)據(jù)D.消耗網絡帶寬5.在Kerberos認證協(xié)議中，用戶首先需要向哪個服務請求票據(jù)？A.票據(jù)授予服務（TGS）B.認證服務（AS）C.密鑰分配中心（KDC）D.應用服務（AP）6.以下哪個哈希算法已被證明存在碰撞漏洞？A.SHA-256B.SHA-3C.MD5D.RIPEMD-1607.數(shù)據(jù)庫安全中，“臟讀”現(xiàn)象主要與哪種事務特性相關？A.原子性（Atomicity）B.一致性（Consistency）C.隔離性（Isolation）D.持久性（Durability）8.以下哪項不屬于操作系統(tǒng)安全的基本機制？A.訪問控制列表（ACL）B.內存保護C.進程隔離D.路由選擇9.網絡釣魚攻擊的主要手段是：A.利用系統(tǒng)漏洞植入惡意代碼B.通過偽造可信網站騙取用戶信息C.對目標服務器發(fā)起DDoS攻擊D.截獲并篡改網絡傳輸數(shù)據(jù)10.在PKI體系中，CA的主要職責是：A.生成用戶密鑰對B.頒發(fā)和管理數(shù)字證書C.提供在線證書狀態(tài)查詢D.執(zhí)行證書撤銷11.以下哪種訪問控制模型基于角色進行權限分配？A.自主訪問控制（DAC）B.強制訪問控制（MAC）C.基于角色的訪問控制（RBAC）D.基于屬性的訪問控制（ABAC）12.以下哪項是SQL注入攻擊的本質？A.向數(shù)據(jù)庫服務器發(fā)送大量請求導致拒絕服務B.通過拼接惡意SQL語句繞過應用層驗證C.利用數(shù)據(jù)庫備份文件竊取敏感數(shù)據(jù)D.篡改數(shù)據(jù)庫事務日志13.無線局域網（WLAN）中，WPA2協(xié)議使用的加密算法是：A.WEP（RC4）B.TKIP（RC4）C.CCMP（AES）D.DES14.以下哪種病毒類型會將自身代碼插入到宿主程序中？A.引導型病毒B.文件型病毒C.宏病毒D.蠕蟲病毒15.在信息安全風險評估中，“威脅”與“脆弱性”的關系是：A.威脅利用脆弱性導致風險B.脆弱性利用威脅導致風險C.威脅與脆弱性獨立存在D.威脅是脆弱性的表現(xiàn)形式16.以下哪項是操作系統(tǒng)安全加固的常用措施？A.開放所有不必要的服務端口B.定期更新系統(tǒng)補丁C.使用默認管理員賬戶（如Administrator）D.禁用防火墻17.數(shù)據(jù)脫敏技術中，“將身份證號的中間幾位替換為”屬于：A.隨機化B.掩碼處理C.泛化D.加密18.以下哪項屬于物理安全防護措施？A.部署入侵檢測系統(tǒng)（IDS）B.服務器機房安裝門禁系統(tǒng)C.對數(shù)據(jù)庫進行異地備份D.實施雙因素認證19.在滲透測試中，“信息收集”階段的主要目的是：A.驗證目標系統(tǒng)漏洞B.獲取系統(tǒng)最高權限C.了解目標網絡結構和弱點D.清除攻擊痕跡20.以下哪項符合“最小特權原則”的實踐？A.普通用戶擁有管理員權限B.數(shù)據(jù)庫管理員僅具備數(shù)據(jù)查詢權限C.服務器僅開放必要的服務端口D.所有員工訪問相同的文件目錄二、填空題（每空1分，共10題，總分10分）1.對稱加密算法AES的分組長度是______位，支持的密鑰長度包括128位、192位和256位。2.數(shù)字證書的標準格式是______（填寫具體標準編號）。3.防火墻的“狀態(tài)檢測”技術通過維護______表來跟蹤網絡連接狀態(tài)。4.緩沖區(qū)溢出攻擊中，攻擊者通常通過覆蓋______來改變程序執(zhí)行流程。5.操作系統(tǒng)的訪問控制機制中，______（填寫英文縮寫）用于記錄每個對象的訪問權限。6.SQL注入攻擊的防御措施包括使用______（如PreparedStatement）和輸入驗證。7.無線局域網WPA3協(xié)議使用______加密算法替代了WPA2的CCMP。8.惡意軟件的傳播途徑包括電子郵件附件、______和移動存儲設備。9.信息安全管理體系（ISMS）的國際標準是______（填寫標準編號）。10.數(shù)據(jù)庫的事務隔離級別中，______級別允許讀取未提交的事務，可能導致臟讀。三、簡答題（每題6分，共5題，總分30分）1.簡述DES算法的主要缺陷及AES算法的改進點。2.比較SSL協(xié)議與TLS協(xié)議的區(qū)別，并說明TLS的主要改進。3.什么是零信任網絡架構（ZeroTrustArchitecture）？其核心原則有哪些？4.列舉數(shù)據(jù)庫安全的5項關鍵措施，并簡要說明。5.解釋“社會工程學攻擊”的概念，并舉出3種常見攻擊手段。四、綜合題（每題20分，共2題，總分40分）1.某企業(yè)計劃構建內部辦公網絡，需滿足以下安全需求：-防止外部非法用戶訪問內部核心業(yè)務系統(tǒng)；-保護內部員工終端免受惡意軟件感染；-記錄員工對重要文件的訪問操作；-確保關鍵服務器發(fā)生故障時業(yè)務快速恢復。請設計一套綜合安全防護方案，要求涵蓋邊界防護、終端安全、審計監(jiān)控和容災備份四個層面，給出具體技術措施。2.假設你是某公司的信息安全工程師，需為公司網站（采用B/S架構，后端使用MySQL數(shù)據(jù)庫）設計安全加固方案。請分析可能面臨的安全威脅（至少5種），并針對每種威脅提出具體的防護措施。參考答案一、單項選擇題1.C2.D3.D4.A5.B6.C7.C8.D9.B10.B11.C12.B13.C14.B15.A16.B17.B18.B19.C20.C二、填空題1.1282.X.5093.狀態(tài)4.返回地址（或EIP）5.ACL6.參數(shù)化查詢7.SAE（或AES-CCMPv2）8.網頁掛馬（或漏洞利用）9.ISO/IEC2700110.讀未提交（ReadUncommitted）三、簡答題1.DES算法的主要缺陷：-密鑰長度過短（56位），易受暴力破解；-弱密鑰和半弱密鑰問題；-分組長度較小（64位），不適合大數(shù)據(jù)加密。AES的改進點：-支持更長的密鑰長度（128/192/256位），增強抗攻擊性；-采用SPN（代替DES的Feistel結構），提高加密效率；-更靈活的分組處理，支持并行計算；-無弱密鑰問題，安全性更高。2.SSL與TLS的區(qū)別及TLS改進：-SSL（安全套接層）是TLS（傳輸層安全）的前身，由Netscape開發(fā)，TLS是IETF標準化的SSL后續(xù)版本（如TLS1.0對應SSL3.1）。-TLS的主要改進：①增強密鑰交換算法（如支持ECC）；②優(yōu)化握手過程，減少延遲；③增加對AEAD（認證加密）算法的支持（如AES-GCM）；④禁用不安全的加密套件（如DES、MD5）；⑤加強對重放攻擊和中間人攻擊的防護。3.零信任網絡架構：零信任是一種安全理念，假設網絡內部和外部均存在威脅，默認不信任任何設備或用戶，需通過持續(xù)驗證身份、設備狀態(tài)和訪問上下文來授權訪問。核心原則：-最小權限訪問：僅授予完成任務所需的最小權限；-持續(xù)驗證：每次訪問請求均需驗證身份、設備安全狀態(tài)和環(huán)境；-可見性與監(jiān)控：全程監(jiān)控所有訪問行為，實時分析風險；-動態(tài)策略調整：根據(jù)環(huán)境變化（如位置、時間）動態(tài)調整訪問控制策略。4.數(shù)據(jù)庫安全的關鍵措施：①訪問控制：通過角色（Role）和權限（Privilege）管理，限制用戶對表、視圖等對象的操作（如SELECT/INSERT/DELETE）；②加密保護：對敏感字段（如密碼、身份證號）進行靜態(tài)加密（存儲加密）和動態(tài)加密（傳輸加密）；③審計日志：記錄用戶對數(shù)據(jù)庫的所有操作（如查詢、修改），便于追溯和合規(guī)檢查；④漏洞修復：定期更新數(shù)據(jù)庫補丁（如MySQL的CVE漏洞修復），關閉不必要的存儲過程；⑤備份與恢復：采用全量備份+增量備份策略，定期測試恢復流程，防止數(shù)據(jù)丟失。5.社會工程學攻擊：通過心理操縱而非技術漏洞，誘使用戶泄露敏感信息或執(zhí)行危險操作的攻擊方式。常見手段：①釣魚郵件：偽造公司IT部門郵件，要求用戶點擊鏈接輸入賬號密碼；②冒充客服：致電用戶聲稱“賬戶異常”，誘導提供短信驗證碼；③水坑攻擊：在目標常訪問的網站植入惡意代碼，感染訪問用戶；④物理滲透：假扮維修人員進入機房，直接獲取服務器訪問權限（任選3種即可）。四、綜合題1.企業(yè)內部網絡安全防護方案設計：（1）邊界防護層面-部署硬件防火墻（如CheckPoint、PaloAlto），配置訪問控制列表（ACL），僅允許HTTP/HTTPS、SMTP等必要端口通過；-啟用入侵防御系統(tǒng)（IPS），檢測并阻斷SQL注入、XSS等攻擊；-對內部核心業(yè)務系統(tǒng)（如OA、ERP）劃分獨立VLAN，通過三層交換機限制跨VLAN訪問；-外部接入采用VPN（如IPSecVPN或SSLVPN），要求員工通過雙因素認證（如動態(tài)令牌+密碼）登錄。（2）終端安全層面-安裝企業(yè)級殺毒軟件（如卡巴斯基、賽門鐵克），開啟實時監(jiān)控和定期全盤掃描；-部署終端管理系統(tǒng)（如華為ManageOne），強制統(tǒng)一安裝系統(tǒng)補丁，禁用不必要的服務（如遠程桌面）；-啟用文件訪問控制（如WindowsEFS或LinuxACL），限制普通員工訪問財務、研發(fā)等敏感目錄；-對移動存儲設備實施管控（如禁用USB存儲或僅允許注冊設備接入）。（3）審計監(jiān)控層面-部署日志審計系統(tǒng)（如ELKStack），收集防火墻、路由器、服務器的日志，保留至少6個月；-對重要文件（如合同、設計文檔）啟用WindowsServer的“文件服務器資源管理器”，記錄訪問時間、用戶和操作類型；-配置異常行為檢測（如同一賬號多地登錄、非工作時間訪問敏感文件），觸發(fā)警報并阻斷；-定期進行安全審計，生成合規(guī)報告（如滿足等保2.0要求）。（4）容災備份層面-關鍵服務器采用雙機熱備（如WindowsServer故障轉移群集），確保主服務器宕機時自動切換到備機；-數(shù)據(jù)庫采用主從復制（如MySQL主從同步），實時同步數(shù)據(jù)；-重要數(shù)據(jù)每日增量備份至本地磁盤，每周全量備份至異地數(shù)據(jù)中心（符合3-2-1備份原則）；-每季度進行災難恢復演練，驗證備份數(shù)據(jù)的可用性和恢復時間目標（RTO）。2.公司網站安全加固方案（1）面臨的安全威脅及防護措施①SQL注入攻擊：威脅：攻擊者通過網頁表單提交惡意SQL語句（如“'OR1=1--”），獲取數(shù)據(jù)庫敏感數(shù)據(jù)。防護：使用參數(shù)化查詢（如Java的PreparedStatement），禁止拼接SQL字符串；對輸入內容進行正則表達式校驗（如限制特殊字符）；啟用數(shù)據(jù)庫防火墻（如DBProtect）攔截異常查詢。②XSS（跨站腳本）攻擊：威脅：攻擊者在網頁中注入惡意腳本（如<script>alert(document.cookie)</script>），竊取用戶Cookie。防護：對用戶輸入內容進行HTML轉義（如將“<”替換為“<”）；設置Cookie的HttpOnly屬性，禁止JavaScript訪問；啟用瀏覽器安全頭（如Content-Security-Policy），限制腳本來源。③DDoS攻擊：威脅：攻擊者通過大量偽造請求（如HTTPGET）耗盡服務器資源，導致網站無法訪問。防護：使用CDN（如Cloudflare）分散流量，隱藏源IP；部署DDoS清洗設備（如F5BIG-IP），識別并過濾異常流量；限制單IP的請求頻率（如Nginx的limit_req模塊）。④弱密碼與暴力破解：威脅：攻擊者通過工具猜測管理員賬號密碼（如“admin/123456”），登錄后臺管理系統(tǒng)。防護：強制密碼復雜度（至少8位，包含字母、數(shù)字、符號）；啟用失敗登錄鎖定（如連續(xù)5次錯誤鎖定30分鐘）；實施雙因素認證（如短信驗證碼+密碼）。