2025年信息安全工程師認證考試試卷及答案一、單項選擇題（共20題，每題1分，共20分。每題只有一個正確選項）1.以下關(guān)于對稱加密算法的描述中，錯誤的是：A.AES256的密鑰長度為256位B.DES的有效密鑰長度為56位C.3DES通過三次DES加密實現(xiàn)更高安全性D.RC4是一種流加密算法，常用于WPA2協(xié)議2.某企業(yè)網(wǎng)絡(luò)中，員工終端頻繁收到包含惡意鏈接的釣魚郵件，最有效的防護措施是：A.部署郵件網(wǎng)關(guān)的SPF/DKIM/DMARC驗證B.增加防火墻的端口過濾規(guī)則C.定期更新終端操作系統(tǒng)補丁D.啟用網(wǎng)絡(luò)流量的深度包檢測（DPI）3.依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T222392019），第三級信息系統(tǒng)的安全通信網(wǎng)絡(luò)要求中，不屬于必須實現(xiàn)的是：A.網(wǎng)絡(luò)設(shè)備支持訪問控制列表（ACL）B.關(guān)鍵網(wǎng)絡(luò)設(shè)備冗余部署C.網(wǎng)絡(luò)邊界部署入侵檢測系統(tǒng)（IDS）D.重要通信鏈路采用加密傳輸4.以下哪種攻擊方式利用了操作系統(tǒng)或應(yīng)用程序的緩沖區(qū)溢出漏洞？A.SQL注入B.跨站腳本（XSS）C.棧溢出攻擊D.地址解析協(xié)議欺騙（ARP欺騙）5.零信任架構(gòu)（ZeroTrustArchitecture）的核心假設(shè)是：A.網(wǎng)絡(luò)內(nèi)部完全可信，只需保護邊界B.所有訪問請求（無論內(nèi)外）均不可信，需持續(xù)驗證C.僅對外部用戶進行身份認證，內(nèi)部用戶免驗證D.依賴單一的防火墻實現(xiàn)整體安全6.某系統(tǒng)日志中出現(xiàn)大量“401Unauthorized”狀態(tài)碼，最可能的原因是：A.目標資源不存在（404錯誤）B.用戶未提供有效認證憑證C.服務(wù)器內(nèi)部錯誤（500錯誤）D.請求被防火墻阻斷（403錯誤）7.以下關(guān)于數(shù)字簽名的描述，正確的是：A.數(shù)字簽名僅需使用發(fā)送方的私鑰加密B.數(shù)字簽名的驗證需要發(fā)送方的公鑰C.數(shù)字簽名用于保證數(shù)據(jù)的完整性和不可否認性D.數(shù)字簽名與消息加密是同一過程的兩個名稱8.在滲透測試中，“信息收集”階段的主要任務(wù)不包括：A.掃描目標網(wǎng)絡(luò)開放的端口B.分析目標組織的公開招聘信息C.利用社會工程學(xué)獲取內(nèi)部員工郵箱D.植入后門程序并獲取系統(tǒng)權(quán)限9.依據(jù)《個人信息保護法》，處理敏感個人信息時，除取得個人單獨同意外，還需滿足的條件是：A.公開處理規(guī)則B.制定并實施嚴格的保護措施C.向省級網(wǎng)信部門備案D.告知個人處理的必要性及對其權(quán)益的影響10.以下哪項屬于物聯(lián)網(wǎng)（IoT）設(shè)備特有的安全風(fēng)險？A.弱口令或默認密碼未修改B.固件更新不及時導(dǎo)致漏洞暴露C.設(shè)備資源受限，難以部署復(fù)雜安全機制D.遭受DDoS攻擊導(dǎo)致服務(wù)中斷11.某企業(yè)采用哈希算法存儲用戶密碼，以下哪種哈希方式安全性最高？A.MD5（無鹽值）B.SHA1（固定鹽值）C.bcrypt（動態(tài)鹽值+迭代哈希）D.SHA256（無鹽值）12.以下關(guān)于虛擬專用網(wǎng)絡(luò)（VPN）的描述，錯誤的是：A.IPsecVPN通常工作在網(wǎng)絡(luò)層B.SSLVPN主要用于遠程訪問場景C.VPN無法防止內(nèi)部人員的非法訪問D.VPN隧道加密可以完全避免中間人攻擊13.某數(shù)據(jù)庫系統(tǒng)出現(xiàn)“臟讀”現(xiàn)象，最可能是由于未正確實現(xiàn)：A.事務(wù)的原子性（Atomicity）B.事務(wù)的一致性（Consistency）C.事務(wù)的隔離性（Isolation）D.事務(wù)的持久性（Durability）14.以下哪種惡意軟件通過感染可執(zhí)行文件進行傳播？A.蠕蟲（Worm）B.木馬（Trojan）C.病毒（Virus）D.勒索軟件（Ransomware）15.依據(jù)《數(shù)據(jù)安全法》，重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展：A.數(shù)據(jù)泄露風(fēng)險評估B.數(shù)據(jù)安全影響評估C.數(shù)據(jù)跨境流動備案D.數(shù)據(jù)分類分級審核16.在云安全防護中，“安全組（SecurityGroup）”的主要作用是：A.監(jiān)控云服務(wù)器的性能指標B.限制云資源的網(wǎng)絡(luò)訪問策略C.加密云存儲中的敏感數(shù)據(jù)D.實現(xiàn)云服務(wù)的負載均衡17.以下關(guān)于入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）的區(qū)別，正確的是：A.IDS僅檢測攻擊，IPS可主動阻斷攻擊B.IDS工作在應(yīng)用層，IPS工作在網(wǎng)絡(luò)層C.IDS需要旁路部署，IPS需要串接部署D.IDS基于特征檢測，IPS基于行為檢測18.某企業(yè)部署了基于角色的訪問控制（RBAC），其核心是：A.根據(jù)用戶身份直接分配權(quán)限B.根據(jù)用戶所屬角色分配權(quán)限C.根據(jù)用戶的地理位置分配權(quán)限D(zhuǎn).根據(jù)用戶的登錄時間分配權(quán)限19.以下哪種密碼學(xué)原語用于實現(xiàn)消息的完整性驗證？A.對稱加密（如AES）B.非對稱加密（如RSA）C.哈希函數(shù)（如SHA3）D.數(shù)字簽名（如ECDSA）20.某網(wǎng)絡(luò)中，攻擊者通過偽造合法用戶的MAC地址，導(dǎo)致交換機將流量轉(zhuǎn)發(fā)至攻擊者的設(shè)備，這種攻擊屬于：A.DNS劫持B.ARP欺騙C.SYN洪水攻擊D.中間人攻擊（MITM）二、填空題（共10題，每題2分，共20分。請將答案填寫在橫線處）1.常見的抗DDoS攻擊技術(shù)中，通過將流量分散到多個服務(wù)器處理的方法稱為__________。2.依據(jù)《信息安全技術(shù)個人信息安全規(guī)范》（GB/T352732020），個人信息的最小必要原則要求處理個人信息的__________、__________、頻率等應(yīng)限于實現(xiàn)處理目的的最小范圍。3.公鑰基礎(chǔ)設(shè)施（PKI）的核心組件包括證書頒發(fā)機構(gòu)（CA）、__________和證書存儲庫。4.緩沖區(qū)溢出攻擊的本質(zhì)是向程序分配的內(nèi)存區(qū)域?qū)懭氤銎淙萘康臄?shù)據(jù)，覆蓋__________或__________，導(dǎo)致程序執(zhí)行流程被篡改。5.物聯(lián)網(wǎng)（IoT）設(shè)備的安全防護通常需考慮資源受限特性，因此常用__________加密算法（如ChaCha20）替代計算復(fù)雜度高的RSA。6.網(wǎng)絡(luò)安全等級保護中，第三級信息系統(tǒng)的安全建設(shè)需滿足“一個中心，三重防護”框架，其中“一個中心”指__________。7.數(shù)據(jù)庫安全中，__________技術(shù)通過將敏感數(shù)據(jù)替換為虛構(gòu)但保持格式一致的數(shù)據(jù)，實現(xiàn)測試環(huán)境中的數(shù)據(jù)脫敏。8.依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行__________次檢測評估。9.無線局域網(wǎng)（WLAN）中，WPA3協(xié)議相比WPA2增強了安全性，主要體現(xiàn)在支持__________認證（SAE）以抵御離線字典攻擊。10.云計算的“共享責(zé)任模型”中，云服務(wù)提供商（CSP）通常負責(zé)__________的安全（如物理服務(wù)器、網(wǎng)絡(luò)設(shè)備），而客戶負責(zé)__________的安全（如應(yīng)用程序、數(shù)據(jù)）。三、簡答題（共5題，每題8分，共40分。請簡明扼要回答）1.簡述SSL/TLS協(xié)議的作用及握手過程的主要步驟。2.列舉三種常見的Web應(yīng)用安全漏洞，并分別說明其防護措施。3.什么是“零日漏洞（ZerodayVulnerability）”？企業(yè)應(yīng)如何應(yīng)對零日漏洞威脅？4.簡述數(shù)據(jù)脫敏與數(shù)據(jù)加密的區(qū)別，并舉例說明各自的應(yīng)用場景。5.依據(jù)《網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)運營者在個人信息保護方面需履行哪些義務(wù)？四、綜合題（共1題，20分）某制造企業(yè)計劃將核心生產(chǎn)管理系統(tǒng)遷移至公有云（如阿里云），請設(shè)計一套針對該系統(tǒng)的云安全防護方案，需涵蓋以下內(nèi)容：（1）數(shù)據(jù)安全防護措施（存儲、傳輸、使用環(huán)節(jié)）；（2）網(wǎng)絡(luò)安全防護措施（云內(nèi)網(wǎng)絡(luò)、云與本地網(wǎng)絡(luò)互聯(lián)）；（3）訪問控制措施（身份認證、權(quán)限管理）；（4）監(jiān)控與響應(yīng)措施（日志審計、事件處置）。答案及解析一、單項選擇題1.D（WPA2使用AESCCMP或TKIP，RC4用于WEP/WPA）2.A（釣魚郵件的核心防護是郵件網(wǎng)關(guān)的發(fā)件人身份驗證）3.C（三級要求部署入侵防御系統(tǒng)（IPS），而非IDS）4.C（緩沖區(qū)溢出包括棧溢出和堆溢出）5.B（零信任的核心是“永不信任，持續(xù)驗證”）6.B（401表示未認證，403表示認證但無權(quán)限）7.C（數(shù)字簽名需發(fā)送方私鑰簽名，接收方公鑰驗證，保證完整性和不可否認性）8.D（植入后門屬于“漏洞利用”階段）9.B（《個人信息保護法》第29條規(guī)定需制定嚴格保護措施）10.C（IoT設(shè)備資源受限，難以運行復(fù)雜安全協(xié)議是特有風(fēng)險）11.C（bcrypt通過動態(tài)鹽值和迭代哈希增強安全性）12.D（VPN隧道加密可降低MITM風(fēng)險，但無法完全避免配置錯誤等情況）13.C（隔離性不足會導(dǎo)致臟讀、不可重復(fù)讀等問題）14.C（病毒需要宿主程序，通過感染可執(zhí)行文件傳播）15.B（《數(shù)據(jù)安全法》第30條規(guī)定需開展數(shù)據(jù)安全影響評估）16.B（安全組用于定義云資源的入站/出站規(guī)則）17.A（IDS檢測并告警，IPS檢測并阻斷；IDS旁路，IPS串接）18.B（RBAC的核心是“角色”作為權(quán)限分配的中間層）19.C（哈希函數(shù)生成消息摘要，用于驗證完整性）20.B（ARP欺騙通過偽造MAC地址實施中間人攻擊）二、填空題1.流量清洗/負載均衡2.類型、數(shù)量3.證書注冊機構(gòu)（RA）/證書撤銷列表（CRL）4.棧指針、返回地址（或堆內(nèi)存、函數(shù)指針）5.輕量級/輕量型6.安全管理中心7.數(shù)據(jù)掩碼/數(shù)據(jù)變形8.一9.安全遠程密碼（SRE）/SimultaneousAuthenticationofEquals10.基礎(chǔ)設(shè)施層（IaaS層）、應(yīng)用及數(shù)據(jù)層（PaaS/SaaS層）三、簡答題1.作用：SSL/TLS是安全傳輸協(xié)議，用于在客戶端和服務(wù)器之間建立加密通信，保證數(shù)據(jù)的機密性、完整性和身份認證。握手過程：①客戶端發(fā)送支持的加密套件和隨機數(shù)（ClientHello）；②服務(wù)器選擇加密套件，發(fā)送證書和隨機數(shù)（ServerHello）；③客戶端驗證證書，生成預(yù)主密鑰并通過服務(wù)器公鑰加密發(fā)送；④雙方基于預(yù)主密鑰和隨機數(shù)生成會話密鑰；⑤客戶端和服務(wù)器發(fā)送握手完成消息，確認加密通道建立。2.常見漏洞及防護：①SQL注入：用戶輸入未過濾，導(dǎo)致數(shù)據(jù)庫執(zhí)行惡意SQL。防護措施：使用預(yù)編譯語句（PreparedStatement）、輸入校驗、Web應(yīng)用防火墻（WAF）。②跨站腳本（XSS）：頁面輸出未轉(zhuǎn)義，嵌入惡意腳本。防護措施：對用戶輸入進行HTML轉(zhuǎn)義、使用CSP（內(nèi)容安全策略）。③文件上傳漏洞：未限制上傳文件類型或路徑，導(dǎo)致執(zhí)行惡意文件。防護措施：限制文件擴展名、檢查文件MIME類型、存儲路徑限制執(zhí)行權(quán)限。3.零日漏洞：指未被軟件廠商發(fā)現(xiàn)或修復(fù)的漏洞，攻擊者可利用其發(fā)起未被防御的攻擊。應(yīng)對措施：①建立漏洞情報收集機制，關(guān)注CVE、CNVD等平臺；②部署入侵檢測系統(tǒng)（IDS）和沙箱分析，監(jiān)測異常行為；③對關(guān)鍵系統(tǒng)實施白名單策略（僅允許信任程序運行）；④與廠商建立快速響應(yīng)通道，優(yōu)先獲取補丁；⑤定期開展?jié)B透測試，主動發(fā)現(xiàn)潛在漏洞。4.區(qū)別：數(shù)據(jù)脫敏是對敏感數(shù)據(jù)進行變形（如替換、掩碼），使其在非生產(chǎn)環(huán)境中不可還原真實信息；數(shù)據(jù)加密是使用密鑰對數(shù)據(jù)進行編碼，需密鑰解密后恢復(fù)原文。場景舉例：脫敏：將測試環(huán)境中的用戶手機號替換為“1385678”，用于開發(fā)測試；加密：生產(chǎn)環(huán)境中用戶銀行卡號通過AES256加密存儲，僅授權(quán)系統(tǒng)使用私鑰解密。5.義務(wù)：①制定內(nèi)部安全管理制度和操作規(guī)程，確定負責(zé)人；②采取技術(shù)措施（如加密、訪問控制）保護個人信息；③公開收集、使用規(guī)則，明示目的、方式和范圍；④不得泄露、篡改、毀損收集的個人信息；⑤在發(fā)生個人信息泄露時，立即采取補救措施并告知用戶；⑥對其工作人員進行安全培訓(xùn)，限制其訪問權(quán)限。四、綜合題云安全防護方案設(shè)計（1）數(shù)據(jù)安全防護：存儲環(huán)節(jié)：采用云服務(wù)提供的加密存儲（如阿里云OSS服務(wù)器端加密），敏感數(shù)據(jù)（如客戶信息、生產(chǎn)配方）使用AES256加密，密鑰由企業(yè)KMS（密鑰管理服務(wù)）自主管理；對非結(jié)構(gòu)化數(shù)據(jù)（如日志）進行分類分級，核心數(shù)據(jù)標記為“機密”并設(shè)置更高訪問權(quán)限。傳輸環(huán)節(jié)：云內(nèi)服務(wù)間通信強制使用TLS1.3加密（禁用TLS1.0/1.1）；云與本地數(shù)據(jù)中心互聯(lián)通過IPsecVPN加密，密鑰定期輪換（如每季度）；API接口使用HMAC簽名驗證請求來源。使用環(huán)節(jié)：應(yīng)用程序訪問數(shù)據(jù)庫時，通過中間件（如數(shù)據(jù)庫代理）進行SQL審計，禁止明文輸出敏感字段；測試環(huán)境使用數(shù)據(jù)脫敏工具（如阿里云DataWorks脫敏功能），替換真實姓名、手機號為虛構(gòu)數(shù)據(jù)。（2）網(wǎng)絡(luò)安全防護：云內(nèi)網(wǎng)絡(luò)：劃分VPC（虛擬私有云）并配置子網(wǎng)（如生產(chǎn)子網(wǎng)、管理子網(wǎng)、DMZ區(qū)），子網(wǎng)間通過安全組（SecurityGroup）限制流量（如僅允許管理子網(wǎng)訪問生產(chǎn)子網(wǎng)的22/3389端口）；關(guān)鍵服務(wù)（如數(shù)據(jù)庫）部署在專有網(wǎng)絡(luò)（VPC）內(nèi)，不直接暴露公網(wǎng)IP，通過NAT網(wǎng)關(guān)訪問互聯(lián)網(wǎng)。云與本地