軟考信息安全工程師模擬題加答案一、單項選擇題（共50題，每題1分，共50分）1.以下關于信息安全基本屬性的描述中，錯誤的是（）。A.完整性指信息在存儲或傳輸過程中不被修改、破壞或丟失B.可用性指授權用戶在需要時能夠訪問信息或使用相關資源C.保密性指信息僅被授權對象訪問，非授權對象無法知曉內容D.不可抵賴性指信息發(fā)送方無法否認發(fā)送行為，但接收方可以否認接收行為答案：D解析：不可抵賴性（抗抵賴）要求發(fā)送方和接收方均無法否認發(fā)送或接收行為，確保行為的可追溯性。2.以下密碼算法中，屬于對稱加密算法的是（）。A.RSAB.ECCC.AESD.SHA256答案：C解析：AES（高級加密標準）是典型的對稱加密算法，密鑰長度支持128/192/256位；RSA和ECC為非對稱加密算法；SHA256為哈希算法。3.某企業(yè)采用“用戶名+短信驗證碼”進行身份認證，該機制主要提升了（）。A.身份認證的不可抵賴性B.身份認證的多因素性C.身份認證的完整性D.身份認證的保密性答案：B解析：短信驗證碼屬于“擁有物”因素（如手機），與用戶名（“所知”因素）結合，構成雙因素認證（2FA），提升認證強度。4.以下網絡攻擊中，屬于應用層攻擊的是（）。A.SYNFloodB.DNS放大攻擊C.SQL注入D.ICMP泛洪攻擊答案：C解析：SQL注入攻擊針對Web應用的數據庫層（應用層）；SYNFlood（傳輸層）、DNS放大（網絡層）、ICMP泛洪（網絡層）均屬于網絡層/傳輸層攻擊。5.某系統(tǒng)日志顯示大量“403Forbidden”狀態(tài)碼，最可能的原因是（）。A.目標URL不存在B.服務器內部錯誤C.用戶未授權訪問資源D.客戶端請求超時答案：C解析：HTTP403狀態(tài)碼表示“禁止訪問”，即用戶身份合法但無權限訪問目標資源。6.以下關于防火墻的描述中，錯誤的是（）。A.包過濾防火墻基于IP地址和端口號進行過濾B.狀態(tài)檢測防火墻能跟蹤TCP連接的狀態(tài)C.應用層網關防火墻工作在OSI模型的會話層D.下一代防火墻（NGFW）可識別應用類型并實施策略答案：C解析：應用層網關防火墻（代理防火墻）工作在OSI模型的應用層，可對應用層協(xié)議（如HTTP、SMTP）進行深度檢查。7.某企業(yè)數據庫存儲用戶身份證號，根據《個人信息保護法》，以下處理方式中合規(guī)的是（）。A.直接存儲明文，僅限制數據庫管理員訪問B.對身份證號進行哈希處理（無鹽值）后存儲C.采用AES加密存儲，并定期輪換密鑰D.將身份證號提供給合作廣告公司用于精準營銷答案：C解析：《個人信息保護法》要求對敏感個人信息（如身份證號）采取加密等嚴格保護措施；明文存儲、無鹽哈希（易碰撞）、未經同意共享均不合規(guī)。8.以下漏洞類型中，屬于OWASPTOP10（2021）中“不安全的設計”類別的是（）。A.跨站腳本（XSS）B.缺乏速率限制導致的暴力破解C.SQL注入D.未加密的敏感數據傳輸答案：B解析：OWASP2021將“不安全的設計”列為第二類，包括缺乏訪問控制、速率限制等設計缺陷；XSS和SQL注入屬于“注入”類，未加密傳輸屬于“安全配置錯誤”。9.某公司部署入侵檢測系統(tǒng)（IDS）后，發(fā)現大量誤報（FalsePositive），可能的原因是（）。A.IDS采用誤用檢測模式（特征檢測）B.IDS規(guī)則庫未及時更新C.IDS部署在核心交換機旁路監(jiān)聽D.IDS檢測閾值設置過于寬松答案：D解析：誤報是指合法流量被誤判為攻擊。閾值設置過松（如允許的連接數上限過高）會導致正常流量被誤報；特征檢測（誤用檢測）若規(guī)則庫更新及時，誤報率較低；旁路部署是IDS的標準方式，不影響誤報。10.以下關于數字簽名的描述中，正確的是（）。A.數字簽名使用發(fā)送方的公鑰加密哈希值B.數字簽名的驗證需要接收方的私鑰C.數字簽名可保證數據的完整性和不可抵賴性D.數字簽名與消息加密必須使用同一算法答案：C解析：數字簽名流程為：發(fā)送方用私鑰加密消息哈希值（簽名），接收方用公鑰解密哈希值并與消息哈希比對。其核心作用是驗證完整性（哈希比對）和不可抵賴（私鑰僅發(fā)送方持有）。二、案例分析題（共4題，每題12.5分，共50分）案例1：企業(yè)網絡安全事件響應某制造企業(yè)2023年10月發(fā)生一起數據泄露事件：財務部門員工王某的辦公電腦感染勒索病毒，導致存儲的2000條客戶信息（含姓名、手機號、訂單金額）被加密，部分文件被攻擊者外傳至境外服務器。經調查，王某電腦未開啟自動更新，近3個月未安裝系統(tǒng)補??；訪問公司內部財務系統(tǒng)時使用弱口令（“123456”）；電腦未啟用磁盤加密功能。問題1：請分析此次數據泄露事件的直接原因和間接原因（5分）。問題2：請列出應急響應的主要步驟（4分）。問題3：為防止類似事件再次發(fā)生，應采取哪些技術措施（3.5分）。答案：問題1：直接原因：①辦公電腦感染勒索病毒（惡意軟件入侵）；②客戶信息被加密并外傳（數據泄露）。間接原因：①系統(tǒng)補丁未及時更新（漏洞未修復）；②弱口令導致攻擊者可遠程登錄（身份認證脆弱）；③未啟用磁盤加密（數據存儲未保護）；④終端安全管理缺失（未部署防病毒/EDR）。問題2：應急響應步驟：①隔離受感染終端（斷開網絡連接，防止病毒擴散）；②保存證據（備份日志、內存數據、磁盤鏡像，確?？勺匪荩?；③通知相關方（管理層、受影響客戶、監(jiān)管機構如網信辦）；④恢復數據（使用備份還原加密文件，若未備份需評估是否支付贖金）；⑤修復漏洞（安裝系統(tǒng)補丁，修改弱口令，啟用加密）；⑥總結報告（分析事件根源，完善安全策略）。問題3：技術措施：①部署終端檢測與響應（EDR）系統(tǒng)，實時監(jiān)控終端異常行為；②啟用自動補丁管理（如WSUS/SCCM），確保系統(tǒng)漏洞及時修復；③實施多因素認證（MFA），替代弱口令（如“用戶名+動態(tài)令牌”）；④對敏感數據（客戶信息）實施靜態(tài)加密（如BitLocker/FileVault）和傳輸加密（TLS1.3）；⑤部署網絡入侵檢測/防御系統(tǒng)（NIDS/NIPS），阻斷勒索病毒通信（如C2服務器連接）。案例2：移動應用安全測試某互聯(lián)網公司開發(fā)了一款社交APP（iOS/Android），計劃上線前進行安全測試。測試團隊發(fā)現以下問題：APP請求“讀取通話記錄”“訪問位置”權限，但功能描述中未說明用途；客戶端與服務器通信使用HTTP協(xié)議，敏感數據（如用戶密碼）以明文傳輸；安卓版本APK文件可被反編譯，核心業(yè)務邏輯（如支付接口）未做混淆處理。問題1：根據《常見類型移動互聯(lián)網應用程序必要個人信息范圍規(guī)定》，“社交APP”的必要個人信息包括哪些？（3分）問題2：針對通信協(xié)議缺陷，應如何整改？（4分）問題3：為防止APK被反編譯，可采取哪些技術措施？（5.5分）答案：問題1：社交APP的必要個人信息包括：①注冊用戶移動電話號碼；②賬號信息（用戶名、頭像）；③用于身份驗證的密碼或生物特征信息（如指紋）。（注：“讀取通話記錄”“訪問位置”非必要信息，需用戶單獨授權并明確用途。）問題2：通信協(xié)議整改措施：①強制使用HTTPS協(xié)議（TLS1.2及以上版本），禁用HTTP；②對敏感數據（如密碼）在客戶端進行二次加密（如AES）后再通過HTTPS傳輸；③實施證書綁定（PinCertificate），防止中間人攻擊（MITM）；④在服務器端配置HSTS（嚴格傳輸安全）頭，強制客戶端使用HTTPS。問題3：防止APK反編譯的技術措施：①代碼混淆（如使用ProGuard或R8工具），將類名、方法名替換為無意義字符，增加逆向難度；②加殼保護（如愛加密、梆梆安全），對APK文件進行加密打包，運行時動態(tài)解密；③嵌入Native代碼（C/C++），將核心邏輯（如支付接口）遷移至.so文件，利用NDK編譯為機器碼；④檢測反編譯環(huán)境（如Xposed框架、IDA調試器），觸發(fā)防御機制（如退出APP、記錄日志）；⑤使用代碼簽名（APK簽名v2/v3），防止篡改后重打包。案例3：企業(yè)網絡安全架構設計某企業(yè)計劃構建新的數據中心，包含研發(fā)區(qū)（存儲核心代碼）、辦公區(qū)（員工日常辦公）、DMZ區(qū)（部署對外Web服務器）。要求實現“安全分區(qū)、最小權限”原則。問題1：請畫出簡化的網絡拓撲圖（用文字描述區(qū)域劃分及邊界設備）（4分）。問題2：研發(fā)區(qū)與辦公區(qū)之間應部署何種安全設備？需配置哪些策略？（4.5分）問題3：DMZ區(qū)Web服務器的安全加固措施包括哪些？（4分）答案：問題1：網絡拓撲描述：核心交換機連接三個邏輯區(qū)域：研發(fā)區(qū)、辦公區(qū)、DMZ區(qū)；研發(fā)區(qū)與核心交換機之間部署內網防火墻（FW1）；辦公區(qū)與核心交換機之間部署內網防火墻（FW2）；DMZ區(qū)與核心交換機之間部署DMZ防火墻（FW3），DMZ區(qū)通過邊界防火墻（FW4）連接互聯(lián)網；各區(qū)域間通過防火墻隔離，僅開放必要端口。問題2：研發(fā)區(qū)與辦公區(qū)之間應部署內網防火墻（如FW1）。需配置的策略：①訪問控制策略：僅允許辦公區(qū)指定用戶（如研發(fā)部門員工）通過特定端口（如SSH22、RDP3389）訪問研發(fā)區(qū)；②流量審計策略：記錄研發(fā)區(qū)與辦公區(qū)之間的所有通信流量，留存至少6個月；③異常檢測策略：啟用入侵檢測（IDS）功能，監(jiān)控是否存在非法文件傳輸（如代碼外傳）；④最小權限策略：禁止辦公區(qū)普通員工訪問研發(fā)區(qū)服務器，僅開放給授權賬號。問題3：DMZ區(qū)Web服務器安全加固措施：①系統(tǒng)層面：關閉不必要的服務（如Telnet、FTP），僅保留HTTP/HTTPS；②應用層面：安裝Web應用防火墻（WAF），過濾SQL注入、XSS等攻擊；③數據層面：對數據庫中的用戶信息（如密碼）進行哈希存儲（加鹽SHA256）；④配置層面：禁用默認賬戶（如admin），設置復雜口令（長度≥12位，包含大小寫字母、數字、符號）；⑤監(jiān)控層面：啟用日志審計（記錄訪問IP、操作時間、請求內容），集成SIEM系統(tǒng)實時分析異常。案例4：數據安全合規(guī)管理某醫(yī)療科技公司收集患者電子病歷（含姓名、診斷結果、用藥記錄），并計劃將部分數據用于AI輔助診斷研究。根據《數據安全法》《個人信息保護法》，需完成以下合規(guī)流程。問題1：數據收集階段需滿足哪些“最小必要”原則？（3分）問題2：數據共享給第三方（AI研究機構）前，需履行哪些義務？（4.5分）問題3：若發(fā)生數據泄露，需向哪些部門報告？報告內容包括哪些？（5分）答案：問題1：“最小必要”原則要求：①僅收集與AI輔助診斷直接相關的信息（如診斷結果、用藥記錄），不收集無關信息（如患者家庭住址）；②收集范圍最小化（僅收集參與研究的患者數據，非全體患者）；③收集方式必要（通過患者授權的電子表單填寫，而非強制收集額外信息）。問題2：數據共享前需履行的義務：①告知義務：向患者明確告知共享目的（AI研究）、接收方（研究機構名稱）、數據類型（診斷結果等）、共享期限；②授權同意：獲得患者書面或電子形式的單獨同意（不可捆綁其他功能授權）；③安全評估：對數據共享的安全風險進行評估（如研究機構的安全防護能力、數據泄露可能性），形成評估報告；④簽訂協(xié)議：與研究機構簽訂數據安全協(xié)議，要求其僅用于約定目的，采取加密、訪問控制等保護措施；⑤去標識化處理：對共享數據進行去標識化（如替換患者姓名為編號），降低個人信息泄露風險