2025年信息安全工程師職業(yè)技能水平評(píng)定試題及答案一、單項(xiàng)選擇題（共20題，每題2分，共40分。每題只有一個(gè)正確選項(xiàng)）1.以下哪種加密算法屬于非對(duì)稱加密？A.AES256B.RSAC.ChaCha20D.3DES2.某企業(yè)網(wǎng)絡(luò)中，攻擊者通過構(gòu)造特殊的HTTP請(qǐng)求，將惡意代碼注入數(shù)據(jù)庫查詢語句，導(dǎo)致數(shù)據(jù)泄露。這種攻擊方式屬于？A.XSS（跨站腳本攻擊）B.CSRF（跨站請(qǐng)求偽造）C.SQL注入攻擊D.DDoS（分布式拒絕服務(wù)攻擊）3.依據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行幾次檢測評(píng)估？A.1次B.2次C.3次D.4次4.以下哪項(xiàng)是零信任架構(gòu)（ZeroTrustArchitecture）的核心原則？A.網(wǎng)絡(luò)邊界內(nèi)所有設(shè)備默認(rèn)可信B.持續(xù)驗(yàn)證訪問請(qǐng)求的上下文（身份、設(shè)備狀態(tài)、位置等）C.僅通過防火墻實(shí)現(xiàn)網(wǎng)絡(luò)隔離D.依賴單一因素（如靜態(tài)密碼）進(jìn)行身份認(rèn)證5.若某系統(tǒng)采用哈希函數(shù)SHA256對(duì)用戶密碼進(jìn)行存儲(chǔ)，以下哪種攻擊方式最可能破解該密碼？A.彩虹表攻擊（RainbowTableAttack）B.重放攻擊（ReplayAttack）C.中間人攻擊（MITM）D.社會(huì)工程學(xué)攻擊6.以下關(guān)于SSL/TLS協(xié)議的描述，錯(cuò)誤的是？A.TLS1.3相比TLS1.2減少了握手延遲B.SSL3.0因存在POODLE漏洞已被棄用C.TLS協(xié)議僅用于加密HTTP流量D.服務(wù)器證書驗(yàn)證是TLS握手的關(guān)鍵步驟7.某企業(yè)發(fā)現(xiàn)其云服務(wù)器日志中存在大量異常SSH登錄嘗試，源IP來自多個(gè)國家且頻率極高。最可能的攻擊是？A.暴力破解攻擊B.漏洞利用攻擊（如CVE202321839）C.勒索軟件攻擊D.數(shù)據(jù)擦除攻擊8.依據(jù)《數(shù)據(jù)安全法》，國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行？A.一級(jí)保護(hù)B.二級(jí)保護(hù)C.三級(jí)保護(hù)D.分級(jí)保護(hù)9.以下哪種訪問控制模型最適用于需要?jiǎng)討B(tài)調(diào)整權(quán)限的復(fù)雜組織環(huán)境？A.自主訪問控制（DAC）B.強(qiáng)制訪問控制（MAC）C.基于角色的訪問控制（RBAC）D.基于屬性的訪問控制（ABAC）10.某物聯(lián)網(wǎng)設(shè)備使用弱口令（如“admin”），攻擊者通過默認(rèn)密碼登錄后植入惡意固件，導(dǎo)致設(shè)備被遠(yuǎn)程控制。該漏洞的根本原因是？A.缺乏固件完整性驗(yàn)證B.身份認(rèn)證機(jī)制薄弱C.未啟用加密通信D.日志審計(jì)功能缺失11.以下哪項(xiàng)是SCADA（監(jiān)控與數(shù)據(jù)采集系統(tǒng)）的典型安全風(fēng)險(xiǎn)？A.數(shù)據(jù)加密過度導(dǎo)致傳輸延遲B.協(xié)議開放性高（如Modbus未加密）C.用戶密碼復(fù)雜度要求過高D.物理隔離導(dǎo)致維護(hù)困難12.若需要對(duì)敏感數(shù)據(jù)進(jìn)行脫敏處理，以下哪種方法最適用于保留數(shù)據(jù)格式但隱藏真實(shí)信息（如將轉(zhuǎn)換為“1385678”）？A.加密B.匿名化C.去標(biāo)識(shí)化D.掩碼（Masking）13.以下關(guān)于漏洞掃描工具的描述，正確的是？A.漏洞掃描可以完全替代滲透測試B.開源工具（如Nessus）比商業(yè)工具（如Qualys）更全面C.掃描結(jié)果需結(jié)合人工驗(yàn)證以確認(rèn)漏洞真實(shí)性D.掃描目標(biāo)時(shí)無需提前獲得授權(quán)14.某企業(yè)郵件系統(tǒng)收到大量偽裝成“系統(tǒng)升級(jí)通知”的郵件，誘導(dǎo)用戶點(diǎn)擊鏈接輸入賬號(hào)密碼。這種攻擊屬于？A.釣魚攻擊（Phishing）B.魚叉式釣魚（SpearPhishing）C.水坑攻擊（WateringHole）D.勒索軟件攻擊15.以下哪種密鑰管理方式符合“最小特權(quán)原則”？A.所有管理員共享同一枚根密鑰B.開發(fā)人員持有生產(chǎn)環(huán)境數(shù)據(jù)庫的讀寫密鑰C.測試環(huán)境密鑰與生產(chǎn)環(huán)境密鑰嚴(yán)格分離D.密鑰長期使用不輪換16.依據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者因業(yè)務(wù)需要向境外提供個(gè)人信息的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估，或者按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行？A.風(fēng)險(xiǎn)自評(píng)估B.安全認(rèn)證C.合規(guī)審計(jì)D.技術(shù)檢測17.以下關(guān)于量子密碼學(xué)的描述，錯(cuò)誤的是？A.量子密鑰分發(fā)（QKD）基于量子不可克隆定理B.量子計(jì)算機(jī)可能破解RSA等公鑰加密算法C.量子密碼完全替代傳統(tǒng)密碼學(xué)是當(dāng)前主流趨勢(shì)D.BB84協(xié)議是經(jīng)典的量子密鑰分發(fā)協(xié)議18.某企業(yè)網(wǎng)絡(luò)中，攻擊者通過ARP欺騙（ARPSpoofing）攔截了主機(jī)A與網(wǎng)關(guān)之間的通信。為防范此類攻擊，最有效的措施是？A.啟用端口安全（PortSecurity）B.靜態(tài)綁定ARP表項(xiàng)C.部署入侵檢測系統(tǒng)（IDS）D.加密所有網(wǎng)絡(luò)流量19.以下哪項(xiàng)是容器化平臺(tái)（如Docker）特有的安全風(fēng)險(xiǎn)？A.宿主機(jī)內(nèi)核漏洞B.容器鏡像中包含惡意軟件C.網(wǎng)絡(luò)訪問控制策略失效D.物理服務(wù)器電源故障20.某系統(tǒng)采用雙因素認(rèn)證（2FA），用戶需同時(shí)提供密碼和動(dòng)態(tài)驗(yàn)證碼（如TOTP）。以下哪項(xiàng)最可能導(dǎo)致2FA失效？A.密碼復(fù)雜度不足B.手機(jī)SIM卡被克?。⊿IMJacking）C.動(dòng)態(tài)驗(yàn)證碼有效期過長（如300秒）D.未啟用HTTPS傳輸驗(yàn)證碼二、填空題（共10題，每題2分，共20分）1.信息安全的核心三要素是機(jī)密性、完整性和__________。2.常見的Web應(yīng)用防火墻（WAF）部署模式包括反向代理模式、透明模式和__________模式。3.依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)設(shè)置專門的__________管理機(jī)構(gòu)，并對(duì)機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。4.漏洞生命周期中，“未被廠商發(fā)現(xiàn)且未公開”的漏洞稱為__________漏洞（Zeroday）。5.傳輸層安全協(xié)議TLS1.3的握手過程最多需要__________個(gè)RTT（往返時(shí)間）。6.哈希函數(shù)的主要特性包括抗碰撞性、抗第二原像性和__________。7.工業(yè)控制系統(tǒng)（ICS）常用的通信協(xié)議中，__________協(xié)議因設(shè)計(jì)時(shí)未考慮安全因素，易受中間人攻擊。8.數(shù)據(jù)脫敏技術(shù)中，將“北京市海淀區(qū)”替換為“某直轄市某區(qū)”的方法稱為__________。9.云安全中的“共享責(zé)任模型”指云服務(wù)提供商（CSP）和用戶對(duì)__________的安全共同負(fù)責(zé)。10.依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T222392019），第三級(jí)信息系統(tǒng)的安全測評(píng)周期為__________年一次。三、簡答題（共5題，每題6分，共30分）1.簡述“最小權(quán)限原則”（PrincipleofLeastPrivilege）的核心思想，并舉例說明其在服務(wù)器權(quán)限管理中的應(yīng)用。2.比較對(duì)稱加密算法（如AES）與非對(duì)稱加密算法（如RSA）的優(yōu)缺點(diǎn)，并說明二者通常如何結(jié)合使用。3.列舉三種常見的DDoS攻擊類型，并分別說明其攻擊原理。4.解釋“零信任網(wǎng)絡(luò)架構(gòu)”（ZeroTrustNetworkArchitecture,ZTNA）的核心設(shè)計(jì)理念，并簡述其關(guān)鍵技術(shù)組件。5.依據(jù)《個(gè)人信息保護(hù)法》，個(gè)人信息處理者在處理個(gè)人信息時(shí)應(yīng)遵循哪些基本原則？（至少列舉5項(xiàng)）四、綜合分析題（共2題，每題15分，共30分）1.某電商企業(yè)近期發(fā)生用戶數(shù)據(jù)泄露事件，泄露數(shù)據(jù)包括注冊(cè)手機(jī)號(hào)、加密后的密碼（SHA256加鹽）、收貨地址。經(jīng)初步調(diào)查，攻擊路徑指向企業(yè)數(shù)據(jù)庫服務(wù)器，日志顯示存在異常的數(shù)據(jù)庫查詢操作，且某運(yùn)維工程師的賬號(hào)在泄露事件發(fā)生前曾被暴力破解。要求：（1）分析此次數(shù)據(jù)泄露事件的可能原因（至少4點(diǎn)）；（2）提出針對(duì)性的防護(hù)措施（至少5項(xiàng)）。2.某制造企業(yè)計(jì)劃部署工業(yè)互聯(lián)網(wǎng)平臺(tái)，需連接生產(chǎn)車間的PLC（可編程邏輯控制器）、傳感器、管理系統(tǒng)（如ERP）和外部供應(yīng)商系統(tǒng)。請(qǐng)?jiān)O(shè)計(jì)該平臺(tái)的信息安全防護(hù)方案，需涵蓋網(wǎng)絡(luò)邊界防護(hù)、設(shè)備安全、數(shù)據(jù)安全、訪問控制四個(gè)方面的具體措施。2025年信息安全工程師職業(yè)技能水平評(píng)定試題答案一、單項(xiàng)選擇題1.B（RSA是非對(duì)稱加密算法，其余為對(duì)稱加密）2.C（SQL注入通過構(gòu)造惡意查詢語句攻擊數(shù)據(jù)庫）3.A（《網(wǎng)絡(luò)安全法》要求每年至少1次檢測評(píng)估）4.B（零信任核心是“持續(xù)驗(yàn)證所有訪問請(qǐng)求”）5.A（彩虹表攻擊針對(duì)哈希存儲(chǔ)的密碼）6.C（TLS可加密多種協(xié)議，不僅HTTP）7.A（大量異常SSH登錄嘗試是暴力破解特征）8.D（《數(shù)據(jù)安全法》規(guī)定數(shù)據(jù)分級(jí)保護(hù)）9.D（ABAC基于屬性動(dòng)態(tài)調(diào)整權(quán)限，適用于復(fù)雜環(huán)境）10.B（弱口令屬于身份認(rèn)證機(jī)制薄弱）11.B（SCADA常用協(xié)議如Modbus未加密，存在風(fēng)險(xiǎn)）12.D（掩碼技術(shù)保留格式但隱藏部分信息）13.C（漏洞掃描結(jié)果需人工驗(yàn)證）14.A（普通釣魚攻擊針對(duì)廣泛目標(biāo)）15.C（測試與生產(chǎn)環(huán)境密鑰分離符合最小特權(quán)）16.B（《個(gè)人信息保護(hù)法》要求安全認(rèn)證或評(píng)估）17.C（量子密碼尚未完全替代傳統(tǒng)密碼）18.B（靜態(tài)綁定ARP表可防范ARP欺騙）19.B（容器鏡像安全是容器化特有的風(fēng)險(xiǎn)）20.B（SIM卡克隆可竊取2FA驗(yàn)證碼）二、填空題1.可用性2.路由3.網(wǎng)絡(luò)安全4.零日（Zeroday）5.1（TLS1.3優(yōu)化后僅需1個(gè)RTT）6.單向性（抗原像性）7.Modbus（或DNP3等工業(yè)協(xié)議）8.泛化（或模糊化）9.不同層面（或特定領(lǐng)域）10.1三、簡答題1.核心思想：用戶或進(jìn)程僅獲得完成任務(wù)所需的最小權(quán)限，避免過度授權(quán)。應(yīng)用示例：服務(wù)器運(yùn)維中，為數(shù)據(jù)庫管理員分配僅讀寫特定表的權(quán)限，而非整個(gè)數(shù)據(jù)庫的管理權(quán)限；普通用戶僅獲得文件讀取權(quán)限，無修改或刪除權(quán)限。2.對(duì)稱加密優(yōu)點(diǎn)：速度快、適合大數(shù)據(jù)加密；缺點(diǎn)：密鑰分發(fā)困難、無法實(shí)現(xiàn)數(shù)字簽名。非對(duì)稱加密優(yōu)點(diǎn)：密鑰分發(fā)安全、支持?jǐn)?shù)字簽名；缺點(diǎn)：速度慢、適合小數(shù)據(jù)加密。結(jié)合使用：通過非對(duì)稱加密交換對(duì)稱加密的密鑰（如TLS握手），再用對(duì)稱加密傳輸數(shù)據(jù)。3.（1）SYNFlood：攻擊者發(fā)送大量SYN包但不完成三次握手，耗盡服務(wù)器半連接資源；（2）UDPFlood：向目標(biāo)發(fā)送大量偽造源IP的UDP包，消耗帶寬和處理能力；（3）HTTPFlood：模擬真實(shí)用戶發(fā)送大量HTTP請(qǐng)求，耗盡Web服務(wù)器資源。4.核心理念：默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外部任何設(shè)備或用戶，所有訪問需經(jīng)過身份、設(shè)備狀態(tài)、位置等多因素驗(yàn)證。關(guān)鍵組件：身份認(rèn)證系統(tǒng)（如IAM）、設(shè)備健康檢測（如端點(diǎn)安全）、動(dòng)態(tài)訪問控制策略引擎、微隔離技術(shù)（Segmentation）。5.原則：合法正當(dāng)必要原則、最小必要原則、公開透明原則、準(zhǔn)確性原則、責(zé)任原則、用戶同意原則（需明確告知處理規(guī)則并獲得同意）。四、綜合分析題1.（1）可能原因：運(yùn)維工程師賬號(hào)密碼復(fù)雜度不足，導(dǎo)致暴力破解成功；數(shù)據(jù)庫服務(wù)器未啟用登錄失敗鎖定機(jī)制，允許無限次嘗試；數(shù)據(jù)庫訪問日志審計(jì)不完整，未及時(shí)發(fā)現(xiàn)異常查詢；加密后的密碼雖加鹽，但可能使用靜態(tài)鹽或鹽值長度不足（需動(dòng)態(tài)鹽）；數(shù)據(jù)庫權(quán)限管理松弛，運(yùn)維賬號(hào)擁有過高權(quán)限（如直接訪問用戶數(shù)據(jù)表）。（2）防護(hù)措施：強(qiáng)制運(yùn)維賬號(hào)使用復(fù)雜密碼（長度≥12位，包含大小寫、數(shù)字、符號(hào)），并啟用雙因素認(rèn)證（2FA）；數(shù)據(jù)庫設(shè)置登錄失敗鎖定策略（如5次失敗鎖定30分鐘）；部署數(shù)據(jù)庫審計(jì)系統(tǒng)，監(jiān)控并記錄所有查詢操作，設(shè)置異常查詢（如全表掃描）告警；采用PBKDF2、BCrypt等更安全的密碼哈希算法替代SHA256（加鹽且迭代次數(shù)≥10萬次）；實(shí)施最小權(quán)限原則，限制運(yùn)維賬號(hào)僅能訪問必要數(shù)據(jù)表，禁用超級(jí)管理員直接操作生產(chǎn)數(shù)據(jù)庫；定期進(jìn)行滲透測試和漏洞掃描，修復(fù)數(shù)據(jù)庫系統(tǒng)及周邊應(yīng)用的安全漏洞。2.防護(hù)方案設(shè)計(jì)：（1）網(wǎng)絡(luò)邊界防護(hù)：部署工業(yè)防火墻，對(duì)生產(chǎn)網(wǎng)（PLC/傳感器）與管理網(wǎng)（ERP）、外部網(wǎng)進(jìn)行邏輯隔離，基于工業(yè)協(xié)議（如Modbus、Profinet）設(shè)置白名單策略；外部供應(yīng)商系統(tǒng)通過VPN接入，要求IPSec加密并驗(yàn)證身份，限制僅能訪問指定接口和數(shù)據(jù)。（2）設(shè)備安全：PLC/傳感器啟用固件簽名驗(yàn)證，定期更新官方安全補(bǔ)??；為設(shè)備設(shè)置唯一身份標(biāo)識(shí)（如UUID），接入時(shí)需通過設(shè)備身份認(rèn)證（如證書或預(yù)共享密鑰）；禁用設(shè)備默認(rèn)口令，強(qiáng)制使用復(fù)雜密碼并定期輪換。（3）數(shù)據(jù)安全：生產(chǎn)數(shù)據(jù)（如傳感器采集的溫度、壓力）在傳輸時(shí)使用TLS1.3加密，存儲(chǔ)時(shí)采用AES256加密并分區(qū)分