2025年信息安全工程師專業(yè)技術(shù)資格考試試卷及答案一、單項(xiàng)選擇題（共20題，每題1分，共20分。每題只有一個(gè)正確選項(xiàng)）1.以下哪項(xiàng)不屬于信息安全的核心屬性？A.完整性B.可用性C.可追溯性D.保密性答案：C2.某系統(tǒng)采用AES256對用戶密碼進(jìn)行存儲加密，這種加密方式屬于：A.對稱加密B.非對稱加密C.哈希算法D.數(shù)字簽名答案：A3.下列攻擊中，屬于應(yīng)用層DDoS攻擊的是：A.SYNFloodB.ICMPFloodC.DNS反射攻擊D.HTTP慢速連接攻擊答案：D4.根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T222392019），第三級信息系統(tǒng)的安全通用要求中，“安全審計(jì)”應(yīng)滿足的最低要求是：A.僅記錄用戶登錄行為B.記錄重要用戶行為及系統(tǒng)資源訪問C.記錄所有用戶操作并保存6個(gè)月D.記錄關(guān)鍵操作并實(shí)時(shí)分析異常答案：B5.以下關(guān)于量子密碼的描述，錯(cuò)誤的是：A.基于量子不可克隆定理實(shí)現(xiàn)無條件安全B.主要應(yīng)用于密鑰分發(fā)（QKD）C.可完全替代傳統(tǒng)公鑰密碼體系D.易受環(huán)境噪聲影響導(dǎo)致傳輸距離受限答案：C6.某企業(yè)部署了入侵檢測系統(tǒng)（IDS），其檢測模式為“將當(dāng)前流量與已知攻擊特征庫比對”，這種檢測方式屬于：A.異常檢測B.誤用檢測C.行為檢測D.流量分析答案：B7.在ISO/IEC27001信息安全管理體系（ISMS）中，“風(fēng)險(xiǎn)評估”的核心步驟不包括：A.資產(chǎn)識別與賦值B.威脅與脆弱性分析C.安全控制措施選擇D.法律合規(guī)性審查答案：D8.以下哪種協(xié)議用于實(shí)現(xiàn)IP層的安全通信？A.SSL/TLSB.IPsecC.SSHD.HTTPS答案：B9.某網(wǎng)站用戶注冊時(shí)要求“密碼長度≥12位，包含大小寫字母、數(shù)字和特殊符號”，這主要是為了防范：A.暴力破解攻擊B.SQL注入攻擊C.XSS攻擊D.中間人攻擊答案：A10.關(guān)于區(qū)塊鏈的信息安全特性，以下描述正確的是：A.所有節(jié)點(diǎn)存儲完整數(shù)據(jù)，無法篡改B.共識機(jī)制（如PoW）確保交易不可抵賴C.智能合約不存在代碼漏洞風(fēng)險(xiǎn)D.私鑰丟失后可通過公鑰恢復(fù)答案：B11.以下哪項(xiàng)屬于操作系統(tǒng)的安全加固措施？A.開放所有默認(rèn)端口B.禁用不必要的服務(wù)和進(jìn)程C.保留默認(rèn)管理員賬戶（如Administrator）D.使用簡單易記的系統(tǒng)口令答案：B12.某單位需要保護(hù)用戶個(gè)人信息（PII），根據(jù)《個(gè)人信息保護(hù)法》，以下做法錯(cuò)誤的是：A.僅收集實(shí)現(xiàn)服務(wù)必要的最小化信息B.未經(jīng)用戶同意共享給第三方用于營銷C.對敏感信息（如身份證號）進(jìn)行去標(biāo)識化處理D.提供用戶信息查詢、更正和刪除的接口答案：B13.以下哈希算法中，已被證明存在碰撞漏洞且不推薦使用的是：A.SHA256B.SHA3C.MD5D.BLAKE3答案：C14.在云環(huán)境中，“多租戶隔離”的主要目標(biāo)是：A.提高云服務(wù)器計(jì)算性能B.防止不同租戶數(shù)據(jù)泄露或交叉訪問C.簡化云平臺管理操作D.降低云服務(wù)成本答案：B15.某企業(yè)使用OAuth2.0進(jìn)行第三方應(yīng)用授權(quán)，若授權(quán)碼（AuthorizationCode）被截獲，可能導(dǎo)致的風(fēng)險(xiǎn)是：A.第三方應(yīng)用獲得用戶長期訪問權(quán)限B.用戶密碼被破解C.企業(yè)內(nèi)部網(wǎng)絡(luò)被入侵D.DDoS攻擊答案：A16.以下關(guān)于APT（高級持續(xù)性威脅）的描述，錯(cuò)誤的是：A.攻擊目標(biāo)通常為關(guān)鍵信息基礎(chǔ)設(shè)施B.攻擊手段單一，僅使用惡意軟件C.具有長期潛伏和定向攻擊特征D.可能結(jié)合社會(huì)工程學(xué)獲取信任答案：B17.為防范物聯(lián)網(wǎng)（IoT）設(shè)備的安全風(fēng)險(xiǎn)，最關(guān)鍵的措施是：A.增加設(shè)備存儲容量B.定期更新設(shè)備固件C.開放設(shè)備遠(yuǎn)程管理端口D.使用默認(rèn)出廠密碼答案：B18.在數(shù)據(jù)庫安全中，“行級訪問控制”的作用是：A.限制用戶對特定表的訪問B.限制用戶對表中特定行記錄的訪問C.加密數(shù)據(jù)庫整體存儲數(shù)據(jù)D.防止SQL注入攻擊答案：B19.以下哪項(xiàng)屬于物理安全控制措施？A.防火墻策略配置B.數(shù)據(jù)中心門禁系統(tǒng)C.操作系統(tǒng)補(bǔ)丁更新D.員工安全意識培訓(xùn)答案：B20.某系統(tǒng)采用“雙因素認(rèn)證（2FA）”，其中“第二因素”可以是：A.用戶設(shè)置的登錄密碼B.手機(jī)短信接收的動(dòng)態(tài)驗(yàn)證碼C.用戶記憶的安全問題答案D.系統(tǒng)生成的靜態(tài)令牌答案：B二、多項(xiàng)選擇題（共10題，每題2分，共20分。每題有2個(gè)或2個(gè)以上正確選項(xiàng)，錯(cuò)選、漏選均不得分）21.以下屬于信息安全技術(shù)中的“主動(dòng)防御”手段的是：A.入侵防御系統(tǒng)（IPS）B.漏洞掃描C.蜜罐（Honeypot）D.防火墻答案：A、C22.密碼學(xué)中的“數(shù)字簽名”可實(shí)現(xiàn)的安全目標(biāo)包括：A.數(shù)據(jù)完整性B.身份認(rèn)證C.不可抵賴性D.數(shù)據(jù)保密性答案：A、B、C23.根據(jù)《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)運(yùn)營者應(yīng)履行的安全義務(wù)包括：A.制定內(nèi)部安全管理制度和操作規(guī)程B.采取技術(shù)措施防范網(wǎng)絡(luò)攻擊C.為用戶提供免費(fèi)的網(wǎng)絡(luò)安全培訓(xùn)D.保存用戶上網(wǎng)日志不少于6個(gè)月答案：A、B、D24.以下關(guān)于零信任架構(gòu)（ZeroTrust）的核心原則，正確的是：A.默認(rèn)不信任任何內(nèi)部或外部流量B.持續(xù)驗(yàn)證訪問請求的安全性C.僅信任經(jīng)過嚴(yán)格身份認(rèn)證的用戶D.網(wǎng)絡(luò)邊界防御是安全的主要防線答案：A、B、C25.常見的移動(dòng)應(yīng)用（APP）安全風(fēng)險(xiǎn)包括：A.敏感數(shù)據(jù)明文存儲（如本地緩存）B.未驗(yàn)證的第三方SDK漏洞C.HTTPS證書校驗(yàn)缺失D.應(yīng)用程序代碼混淆答案：A、B、C26.以下屬于云安全“共享責(zé)任模型”中，云服務(wù)提供商（CSP）的責(zé)任是：A.物理服務(wù)器的物理安全B.租戶數(shù)據(jù)的加密存儲C.云平臺基礎(chǔ)設(shè)施的漏洞修復(fù)D.租戶應(yīng)用程序的安全配置答案：A、C27.物聯(lián)網(wǎng)（IoT）設(shè)備的典型安全威脅包括：A.固件漏洞導(dǎo)致設(shè)備被遠(yuǎn)程控制B.設(shè)備通信使用弱加密（如WEP）C.設(shè)備默認(rèn)開啟調(diào)試接口D.設(shè)備電池續(xù)航不足答案：A、B、C28.以下關(guān)于安全基線（SecurityBaseline）的描述，正確的是：A.是信息系統(tǒng)必須滿足的最低安全要求B.不同行業(yè)的安全基線可能不同C.基線配置后無需更新D.用于指導(dǎo)系統(tǒng)安全加固答案：A、B、D29.以下哪些技術(shù)可用于實(shí)現(xiàn)數(shù)據(jù)脫敏（DataMasking）？A.替換（如將“1381234”替換手機(jī)號）B.隨機(jī)化（生成偽造但格式一致的數(shù)據(jù)）C.加密（對敏感字段進(jìn)行AES加密）D.截?cái)啵ㄈ鐑H保留身份證號前6位）答案：A、B、D30.以下屬于工業(yè)控制系統(tǒng)（ICS）特有的安全風(fēng)險(xiǎn)是：A.操作指令被篡改導(dǎo)致設(shè)備異常B.控制系統(tǒng)與互聯(lián)網(wǎng)直接連接C.工程師站使用Windows系統(tǒng)的通用漏洞D.物理接觸設(shè)備修改配置答案：A、B三、案例分析題（共2題，每題15分，共30分）案例1：某電商平臺數(shù)據(jù)泄露事件2024年12月，某電商平臺用戶發(fā)現(xiàn)個(gè)人信息（姓名、手機(jī)號、收貨地址）在暗網(wǎng)出售，涉及約50萬用戶。經(jīng)調(diào)查，平臺日志顯示：數(shù)據(jù)庫服務(wù)器在事件發(fā)生前3天曾出現(xiàn)異常登錄，IP地址為境外某動(dòng)態(tài)IP；數(shù)據(jù)庫賬戶“backup_admin”的密碼為弱口令（“admin123”）；數(shù)據(jù)庫中用戶信息以明文形式存儲；安全審計(jì)日志僅保留7天，且未記錄數(shù)據(jù)庫操作的具體內(nèi)容。問題：（1）分析此次數(shù)據(jù)泄露的直接原因和間接原因；（8分）（2）提出至少5項(xiàng)針對性的整改措施。（7分）答案：（1）直接原因：①數(shù)據(jù)庫賬戶使用弱口令（“admin123”），被暴力破解；②用戶信息明文存儲，無加密保護(hù)；③異常登錄未觸發(fā)警報(bào)，缺乏實(shí)時(shí)監(jiān)控。間接原因：①安全管理制度缺失（如未強(qiáng)制要求復(fù)雜密碼）；②審計(jì)日志留存時(shí)間不足（僅7天，無法追溯長期攻擊）；③未對敏感數(shù)據(jù)（用戶信息）實(shí)施加密存儲策略。（2）整改措施：①強(qiáng)制修改數(shù)據(jù)庫賬戶密碼，要求符合復(fù)雜度（長度≥12位，包含大小寫、數(shù)字、符號）；②對用戶信息（姓名、手機(jī)號、地址）采用AES256加密存儲，關(guān)鍵字段（如手機(jī)號）進(jìn)行脫敏處理；③部署數(shù)據(jù)庫審計(jì)系統(tǒng)，記錄所有操作（增刪改查）的時(shí)間、用戶、IP、內(nèi)容，日志留存至少6個(gè)月；④啟用數(shù)據(jù)庫防火墻，對異常登錄（如連續(xù)5次錯(cuò)誤嘗試）自動(dòng)鎖定賬戶；⑤定期開展?jié)B透測試和漏洞掃描，重點(diǎn)檢查數(shù)據(jù)庫安全配置；⑥對安全團(tuán)隊(duì)進(jìn)行培訓(xùn)，提升對弱口令、明文存儲等高風(fēng)險(xiǎn)問題的識別能力。案例2：某企業(yè)遠(yuǎn)程辦公安全事件某企業(yè)為提升靈活性，2024年全面推廣遠(yuǎn)程辦公，員工通過VPN訪問內(nèi)部系統(tǒng)。2025年1月，多名員工登錄VPN時(shí)收到“證書無效”提示；訪問內(nèi)部文件服務(wù)器時(shí)，部分文件被篡改（如合同金額被修改）；企業(yè)郵箱收到大量釣魚郵件，內(nèi)容為“點(diǎn)擊鏈接重置VPN密碼”。問題：（1）分析可能的攻擊路徑及涉及的安全漏洞；（8分）（2）提出遠(yuǎn)程辦公場景下的安全加固方案。（7分）答案：（1）攻擊路徑及漏洞：①VPN證書被篡改或偽造：可能因企業(yè)未部署證書吊銷列表（CRL）或在線證書狀態(tài)協(xié)議（OCSP），攻擊者偽造合法證書，導(dǎo)致員工連接到釣魚VPN服務(wù)器；②文件篡改：內(nèi)部文件服務(wù)器未啟用完整性校驗(yàn)（如哈希值比對），或傳輸過程未使用TLS加密，攻擊者通過中間人（MITM）攻擊篡改數(shù)據(jù)；③釣魚郵件攻擊：員工安全意識不足，點(diǎn)擊釣魚鏈接后輸入VPN密碼，導(dǎo)致憑證泄露；企業(yè)未部署郵件過濾系統(tǒng)攔截釣魚內(nèi)容。（2）安全加固方案：①VPN安全：采用雙因素認(rèn)證（如VPN密碼+動(dòng)態(tài)令牌），定期更新VPN證書并部署CRL/OCSP驗(yàn)證；②數(shù)據(jù)傳輸：內(nèi)部系統(tǒng)與遠(yuǎn)程終端間強(qiáng)制使用TLS1.3加密，文件服務(wù)器啟用SHA256哈希校驗(yàn)，修改文件需重新計(jì)算哈希并比對；③郵件安全：部署基于AI的釣魚郵件過濾系統(tǒng)，標(biāo)記可疑鏈接并自動(dòng)隔離；對員工開展釣魚郵件識別培訓(xùn)（如驗(yàn)證發(fā)件人域名、不點(diǎn)擊陌生鏈接）；④終端安全：要求遠(yuǎn)程辦公終端安裝企業(yè)級殺毒軟件，啟用自動(dòng)更新；禁止使用公共WiFi連接VPN，推薦使用運(yùn)營商提供的專用APN；⑤監(jiān)控與響應(yīng)：在VPN網(wǎng)關(guān)部署入侵檢測系統(tǒng)（IDS），監(jiān)控異常連接（如同一賬戶多地登錄），觸發(fā)警報(bào)后自動(dòng)斷開連接并通知安全團(tuán)隊(duì)。四、綜合應(yīng)用題（共2題，每題15分，共30分）應(yīng)用1：設(shè)計(jì)企業(yè)級Web應(yīng)用的安全防護(hù)方案某企業(yè)計(jì)劃開發(fā)一款面向客戶的Web應(yīng)用（如在線商城），需設(shè)計(jì)完整的安全防護(hù)方案，涵蓋開發(fā)、部署、運(yùn)行全生命周期。要求：（1）列出開發(fā)階段需遵循的安全編碼規(guī)范；（5分）（2）描述部署階段的基礎(chǔ)設(shè)施安全配置；（5分）（3）提出運(yùn)行階段的持續(xù)安全監(jiān)控措施。（5分）答案：（1）開發(fā)階段安全編碼規(guī)范：①輸入驗(yàn)證：對所有用戶輸入（如表單、URL參數(shù)）進(jìn)行白名單校驗(yàn)，拒絕包含特殊字符（如“;”“”）或超出長度限制的輸入；②輸出編碼：對動(dòng)態(tài)輸出到前端的內(nèi)容進(jìn)行HTML/JS編碼（如使用OWASPJavaEncoder），防范XSS攻擊；③身份認(rèn)證：使用加鹽哈希（如bcrypt）存儲密碼，禁止明文存儲；會(huì)話管理采用HTTPSonly、HttpOnly的Cookie，設(shè)置合理過期時(shí)間；④訪問控制：實(shí)現(xiàn)基于角色的訪問控制（RBAC），對敏感操作（如支付、修改用戶信息）驗(yàn)證用戶權(quán)限；⑤日志記錄：記錄關(guān)鍵操作（登錄、支付、數(shù)據(jù)修改）的用戶ID、時(shí)間、IP，但避免記錄密碼等敏感信息。（2）部署階段基礎(chǔ)設(shè)施安全配置：①服務(wù)器加固：關(guān)閉不必要的端口（如默認(rèn)8080），僅開放443（HTTPS）、22（SSH，限制IP訪問）；禁用默認(rèn)賬戶（如root直接登錄），使用密鑰認(rèn)證；②數(shù)據(jù)庫安全：采用主從備份架構(gòu)，主庫僅允許應(yīng)用服務(wù)器訪問，從庫用于查詢；啟用數(shù)據(jù)庫審計(jì)，記錄所有SQL操作；③Web服務(wù)器配置：Nginx/Apache關(guān)閉目錄列表功能，設(shè)置合理的超時(shí)時(shí)間（如連接超時(shí)30秒），禁用TRACE方法防范XST攻擊；④證書管理：使用可信CA頒發(fā)的SSL證書（如DigiCert），啟用HSTS頭強(qiáng)制HTTPS連接，證書有效期不超過1年；⑤依賴庫管理：檢查第三方庫（如Spring、jQuery）版本，及時(shí)升級修復(fù)已知漏洞（如使用OWASPDependencyCheck工具）。（3）運(yùn)行階段持續(xù)安全監(jiān)控措施：①實(shí)時(shí)流量監(jiān)控：部署Web應(yīng)用防火墻（WAF），基于規(guī)則或AI模型檢測SQL注入、XSS等攻擊，攔截異常流量；②日志分析：收集服務(wù)器、數(shù)據(jù)庫、WAF日志至集中日志平臺（如ELK），通過正則表達(dá)式或SIEM系統(tǒng)（如Splunk）分析異常模式（如同一IP頻繁登錄失?。?；③漏洞掃描：每周使用自動(dòng)化工具（如Nessus、OWASPZAP）掃描Web應(yīng)用，每月開展人工滲透測試，重點(diǎn)檢查未授權(quán)訪問、文件上傳漏洞；④應(yīng)急響應(yīng)：制定《安全事件響應(yīng)預(yù)案》，明確漏洞發(fā)現(xiàn)驗(yàn)證修復(fù)通知的流程（如高危漏洞需24小時(shí)內(nèi)修復(fù)）；⑤用戶反饋：在應(yīng)用內(nèi)設(shè)置“安全反饋”入口，鼓勵(lì)用戶報(bào)告可疑鏈接或功能（如支付頁面跳轉(zhuǎn)異常），經(jīng)核實(shí)后給予獎(jiǎng)勵(lì)。應(yīng)用2：設(shè)計(jì)某高校學(xué)生信息管理系統(tǒng)的隱私保護(hù)方案某高校計(jì)劃升級學(xué)生信息管理系統(tǒng)（存儲學(xué)生姓名、身份證號、成績、聯(lián)系方式等），需滿足《個(gè)人信息保護(hù)法》及《教育領(lǐng)域數(shù)據(jù)安全指南》要求，設(shè)計(jì)隱私保護(hù)方案。要求：（1）明確需保護(hù)的“敏感個(gè)人信息”范圍；（3分）（2）提出數(shù)據(jù)收集、存儲、使用、共享的隱私控制措施；（8分）（3）設(shè)計(jì)用戶（學(xué)生）的個(gè)人信息權(quán)益保障機(jī)制。（4分）答案：（1）敏感個(gè)人信息范圍：根據(jù)《個(gè)人信息保護(hù)法》，學(xué)生信息中的身份證號、聯(lián)系方式（手機(jī)號、郵箱）、成績（涉及學(xué)業(yè)隱私）屬于敏感個(gè)人信息；姓名雖為一般信息，但與其他敏感信息關(guān)聯(lián)后可能構(gòu)成敏感數(shù)據(jù)。（2）數(shù)據(jù)全生命周期隱私控制措施：①收集階段：遵循“最小必要”原則，僅收集與教育管理直接相關(guān)的信息（如姓