信息安全工程師試卷及答案一、單項(xiàng)選擇題（共20題，每題1分，共20分）1.以下哪種加密算法屬于對稱加密算法？A.RSAB.ECCC.AESD.SHA2562.數(shù)字簽名的主要目的是確保數(shù)據(jù)的：A.機(jī)密性B.完整性C.可用性D.不可否認(rèn)性3.防火墻的“狀態(tài)檢測”技術(shù)主要通過分析（）來實(shí)現(xiàn)對網(wǎng)絡(luò)連接的控制。A.數(shù)據(jù)包的源IP和目的IPB.傳輸層端口號C.會話的上下文狀態(tài)D.應(yīng)用層協(xié)議類型4.在訪問控制模型中，“基于角色的訪問控制”簡稱為：A.DACB.MACC.RBACD.ABAC5.以下哪項(xiàng)不屬于常見的Web應(yīng)用層攻擊？A.DDoS攻擊B.SQL注入C.XSS跨站腳本D.CSRF跨站請求偽造6.漏洞掃描工具Nessus的核心功能是：A.網(wǎng)絡(luò)流量監(jiān)控B.系統(tǒng)漏洞檢測與評估C.病毒查殺D.數(shù)據(jù)加密傳輸7.TLS協(xié)議的主要作用是：A.網(wǎng)絡(luò)路由選擇B.傳輸層數(shù)據(jù)加密與認(rèn)證C.應(yīng)用層數(shù)據(jù)壓縮D.網(wǎng)絡(luò)地址轉(zhuǎn)換8.以下哪種惡意軟件需要宿主程序才能運(yùn)行？A.蠕蟲B.木馬C.病毒D.勒索軟件9.在安全事件響應(yīng)流程中，“遏制階段”的主要目標(biāo)是：A.收集證據(jù)并分析攻擊來源B.防止事件影響進(jìn)一步擴(kuò)大C.恢復(fù)系統(tǒng)正常運(yùn)行D.更新安全策略與防護(hù)措施10.風(fēng)險(xiǎn)評估中，“資產(chǎn)價(jià)值（AV）×脆弱性被利用的概率（EF）×安全事件影響（IMP）”屬于（）的計(jì)算方式。A.定量風(fēng)險(xiǎn)評估B.定性風(fēng)險(xiǎn)評估C.殘余風(fēng)險(xiǎn)評估D.威脅評估11.以下哪項(xiàng)是操作系統(tǒng)安全加固的核心措施？A.安裝最新版辦公軟件B.禁用不必要的服務(wù)和端口C.增大系統(tǒng)內(nèi)存容量D.開啟屏幕保護(hù)程序12.數(shù)據(jù)庫的“事務(wù)隔離級別”主要用于解決（）問題。A.數(shù)據(jù)冗余B.并發(fā)訪問沖突C.數(shù)據(jù)備份D.權(quán)限管理13.物聯(lián)網(wǎng)設(shè)備的典型安全風(fēng)險(xiǎn)不包括：A.固件漏洞B.弱認(rèn)證機(jī)制C.大規(guī)模DDoS利用D.量子計(jì)算攻擊14.以下哪種加密算法基于橢圓曲線數(shù)學(xué)理論？A.DESB.RSAC.ECCD.MD515.安全審計(jì)的主要目的是：A.提高系統(tǒng)運(yùn)行速度B.記錄和監(jiān)控用戶操作行為C.壓縮系統(tǒng)日志大小D.優(yōu)化網(wǎng)絡(luò)帶寬使用16.在等級保護(hù)2.0標(biāo)準(zhǔn)中，第三級信息系統(tǒng)的安全保護(hù)要求屬于（）。A.用戶自主保護(hù)級B.系統(tǒng)審計(jì)保護(hù)級C.安全標(biāo)記保護(hù)級D.結(jié)構(gòu)化保護(hù)級17.以下哪項(xiàng)是零信任架構(gòu)的核心原則？A.內(nèi)網(wǎng)完全可信B.持續(xù)驗(yàn)證訪問請求C.僅開放單一入口D.依賴邊界防火墻18.量子通信的安全性基于（）。A.哈希算法的不可逆性B.量子不可克隆定理C.對稱加密的密鑰復(fù)雜度D.非對稱加密的大數(shù)分解困難性19.以下哪種備份方式恢復(fù)時間最短？A.完全備份B.增量備份C.差異備份D.快照備份20.移動應(yīng)用安全中，“應(yīng)用沙盒”機(jī)制的主要作用是：A.加速應(yīng)用運(yùn)行B.限制應(yīng)用的資源訪問范圍C.增強(qiáng)應(yīng)用數(shù)據(jù)加密D.優(yōu)化應(yīng)用界面交互二、多項(xiàng)選擇題（共10題，每題2分，共20分。每題至少有2個正確選項(xiàng)，錯選、漏選均不得分）1.以下屬于非對稱加密算法的有：A.AESB.RSAC.ECCD.DES2.常見的DDoS攻擊類型包括：A.SYNFloodB.ICMPFloodC.HTTPFloodD.SQL注入3.操作系統(tǒng)安全加固的措施包括：A.關(guān)閉默認(rèn)共享B.定期更新系統(tǒng)補(bǔ)丁C.啟用賬戶復(fù)雜度策略D.安裝多個殺毒軟件4.數(shù)據(jù)庫安全防護(hù)技術(shù)包括：A.數(shù)據(jù)脫敏B.備份與恢復(fù)C.訪問控制D.日志審計(jì)5.ISO/IEC27001信息安全管理體系的核心要素包括：A.風(fēng)險(xiǎn)評估B.安全策略C.資產(chǎn)清單D.網(wǎng)絡(luò)拓?fù)鋱D6.以下屬于無線局域網(wǎng)（WLAN）安全協(xié)議的有：A.WEPB.WPAC.WPA2D.TLS7.惡意軟件的傳播途徑包括：A.電子郵件附件B.移動存儲設(shè)備C.漏洞利用D.合法軟件捆綁8.云安全的關(guān)鍵挑戰(zhàn)包括：A.數(shù)據(jù)隔離B.多租戶安全C.云服務(wù)商可信度D.物理服務(wù)器硬件故障9.網(wǎng)絡(luò)釣魚攻擊的常見手段有：A.偽造官方網(wǎng)站B.發(fā)送誘導(dǎo)性郵件C.利用社交媒體獲取信息D.暴力破解登錄密碼10.安全運(yùn)維的主要內(nèi)容包括：A.日志分析與監(jiān)控B.補(bǔ)丁管理C.權(quán)限審計(jì)D.網(wǎng)絡(luò)帶寬優(yōu)化三、簡答題（共5題，每題8分，共40分）1.簡述對稱加密與非對稱加密的核心區(qū)別，并各舉2例常用算法。2.說明防火墻的主要類型及其適用場景（至少3種）。3.描述滲透測試的主要階段及各階段的關(guān)鍵任務(wù)。4.列舉數(shù)據(jù)庫安全的5項(xiàng)主要防護(hù)措施，并簡要說明其作用。5.解釋“最小權(quán)限原則”在信息系統(tǒng)安全中的應(yīng)用，并舉例說明。四、綜合分析題（共2題，每題10分，共20分）1.某企業(yè)核心業(yè)務(wù)系統(tǒng)近期頻繁出現(xiàn)數(shù)據(jù)庫敏感數(shù)據(jù)泄露事件，經(jīng)初步排查發(fā)現(xiàn)：數(shù)據(jù)庫賬號使用弱密碼（如“123456”）；應(yīng)用系統(tǒng)存在SQL注入漏洞；數(shù)據(jù)庫未開啟審計(jì)日志；部分員工通過非授權(quán)終端訪問數(shù)據(jù)庫。請結(jié)合上述場景，設(shè)計(jì)一套針對性的整改方案，要求涵蓋技術(shù)措施與管理措施。2.假設(shè)你是某電商平臺的信息安全工程師，需為平臺設(shè)計(jì)一套基于零信任架構(gòu)的用戶登錄與支付安全方案。請說明方案的核心設(shè)計(jì)要點(diǎn)（至少5點(diǎn)），并簡述各要點(diǎn)的實(shí)現(xiàn)方式。參考答案一、單項(xiàng)選擇題15:CDCCA610:BBCBA1115:BBDCB1620:DBBAB二、多項(xiàng)選擇題1.BC2.ABC3.ABC4.ABCD5.ABC6.ABC7.ABCD8.ABC9.ABC10.ABC三、簡答題1.核心區(qū)別：對稱加密使用相同密鑰進(jìn)行加密和解密，密鑰管理復(fù)雜度高；非對稱加密使用公鑰（加密）和私鑰（解密），密鑰管理更安全但計(jì)算效率低。示例：對稱加密（AES、DES）；非對稱加密（RSA、ECC）。2.主要類型及場景：包過濾防火墻：基于IP和端口控制，適用于基礎(chǔ)網(wǎng)絡(luò)邊界防護(hù)；應(yīng)用層網(wǎng)關(guān)（代理防火墻）：深度解析應(yīng)用層協(xié)議，適用于對Web、郵件等應(yīng)用的細(xì)粒度控制；狀態(tài)檢測防火墻：跟蹤會話狀態(tài)，適用于動態(tài)連接（如P2P）的安全防護(hù)；下一代防火墻（NGFW）：集成入侵檢測、應(yīng)用識別等功能，適用于復(fù)雜網(wǎng)絡(luò)環(huán)境。3.滲透測試階段：前期準(zhǔn)備：明確目標(biāo)、簽訂協(xié)議、收集公開信息；信息收集：通過掃描工具（如Nmap）獲取目標(biāo)IP、開放端口、服務(wù)版本；漏洞探測：使用漏洞掃描器（Nessus）或手動測試（如SQL注入）發(fā)現(xiàn)弱點(diǎn)；漏洞利用：嘗試通過漏洞獲取權(quán)限（如提權(quán)、數(shù)據(jù)竊取）；后滲透階段：擴(kuò)大控制范圍（如橫向移動）、清除痕跡；報(bào)告編寫：總結(jié)漏洞、修復(fù)建議及風(fēng)險(xiǎn)評估。4.數(shù)據(jù)庫安全防護(hù)措施：訪問控制：通過角色（Role）或用戶組分配權(quán)限，限制數(shù)據(jù)操作范圍；數(shù)據(jù)加密：對敏感字段（如身份證號）進(jìn)行靜態(tài)加密（存儲時）或動態(tài)加密（傳輸時）；漏洞修復(fù)：定期更新數(shù)據(jù)庫補(bǔ)?。ㄈ鏜ySQL、Oracle的安全更新）；審計(jì)日志：記錄用戶登錄、查詢、修改等操作，用于追溯和故障排查；備份與恢復(fù)：制定全量+增量備份策略，確保數(shù)據(jù)可恢復(fù)（如使用RMAN工具）。5.最小權(quán)限原則：指用戶或進(jìn)程僅被授予完成任務(wù)所需的最小權(quán)限，避免過度授權(quán)導(dǎo)致的安全風(fēng)險(xiǎn)。示例：財(cái)務(wù)系統(tǒng)中，普通會計(jì)僅能查詢和錄入憑證，無法刪除或修改歷史數(shù)據(jù)；數(shù)據(jù)庫管理員（DBA）的賬號不用于日常查詢操作，僅在維護(hù)時使用。四、綜合分析題1.整改方案：技術(shù)措施：密碼策略強(qiáng)化：啟用復(fù)雜度要求（8位以上，包含字母、數(shù)字、符號），定期強(qiáng)制修改（如90天）；漏洞修復(fù)：對應(yīng)用系統(tǒng)進(jìn)行代碼審計(jì)，修復(fù)SQL注入漏洞（如使用預(yù)編譯語句、輸入校驗(yàn)）；審計(jì)日志開啟：配置數(shù)據(jù)庫審計(jì)（如MySQL的general_log或Oracle的AuditVault），記錄所有增刪改操作；訪問控制加固：部署數(shù)據(jù)庫防火墻（DBFW），限制非授權(quán)終端IP訪問；啟用多因素認(rèn)證（MFA），如密碼+動態(tài)令牌。管理措施：安全培訓(xùn)：組織員工學(xué)習(xí)《數(shù)據(jù)安全法》及企業(yè)數(shù)據(jù)訪問規(guī)范，強(qiáng)調(diào)弱密碼風(fēng)險(xiǎn)；權(quán)限審計(jì)：每月核查數(shù)據(jù)庫賬號權(quán)限，刪除冗余賬號（如測試賬號）；事件響應(yīng)流程：制定數(shù)據(jù)泄露應(yīng)急預(yù)案，明確發(fā)現(xiàn)、上報(bào)、溯源、修復(fù)的責(zé)任人和時限。2.零信任登錄與支付安全方案設(shè)計(jì)要點(diǎn)：持續(xù)身份驗(yàn)證：用戶登錄時需提供多因素認(rèn)證（如密碼+指紋+短信驗(yàn)證碼），支付時再次驗(yàn)證（如動態(tài)口令）；設(shè)備可信評估：檢測登錄設(shè)備是否安裝官方應(yīng)用、是否存在惡意軟件（通過SDK獲取設(shè)備指紋、安全芯片