2025年計(jì)算機(jī)四級(jí)信息安全工程師考試題庫(kù)及答案一、單項(xiàng)選擇題（每題1分，共20題）1.以下哪項(xiàng)不屬于信息安全的基本屬性？A.完整性B.可用性C.可追溯性D.保密性答案：C解析：信息安全基本屬性包括保密性、完整性、可用性（CIA三元組），可追溯性屬于擴(kuò)展屬性。2.對(duì)稱加密算法AES-256的密鑰長(zhǎng)度是？A.128位B.192位C.256位D.512位答案：C解析：AES支持128/192/256位密鑰，AES-256明確對(duì)應(yīng)256位密鑰長(zhǎng)度。3.網(wǎng)絡(luò)層常用的安全協(xié)議是？A.SSLB.IPsecC.TLSD.HTTPS答案：B解析：IPsec工作在網(wǎng)絡(luò)層，提供數(shù)據(jù)加密和身份認(rèn)證；SSL/TLS在傳輸層，HTTPS是應(yīng)用層協(xié)議。4.緩沖區(qū)溢出攻擊的主要目標(biāo)是？A.破壞文件系統(tǒng)B.覆蓋棧中的返回地址C.耗盡系統(tǒng)內(nèi)存D.篡改數(shù)據(jù)庫(kù)記錄答案：B解析：緩沖區(qū)溢出通過(guò)向緩沖區(qū)寫(xiě)入超出容量的數(shù)據(jù)，覆蓋棧中的返回地址以劫持程序執(zhí)行流程。5.以下哪種漏洞屬于應(yīng)用層漏洞？A.ARP欺騙B.SQL注入C.碎片攻擊D.SYN洪泛答案：B解析：SQL注入發(fā)生在Web應(yīng)用與數(shù)據(jù)庫(kù)交互階段，屬于應(yīng)用層漏洞；其他選項(xiàng)分別為鏈路層、網(wǎng)絡(luò)層、傳輸層攻擊。6.數(shù)字證書(shū)的簽發(fā)機(jī)構(gòu)是？A.CAB.RAC.CRLD.OCSP答案：A解析：CA（證書(shū)頒發(fā)機(jī)構(gòu)）負(fù)責(zé)數(shù)字證書(shū)的簽發(fā)和管理；RA是注冊(cè)機(jī)構(gòu)，CRL是證書(shū)撤銷(xiāo)列表，OCSP是在線證書(shū)狀態(tài)協(xié)議。7.以下哪項(xiàng)是零信任架構(gòu)的核心原則？A.網(wǎng)絡(luò)分段B.最小權(quán)限訪問(wèn)C.邊界防護(hù)D.靜態(tài)IP認(rèn)證答案：B解析：零信任強(qiáng)調(diào)“永不信任，始終驗(yàn)證”，核心是最小權(quán)限原則，默認(rèn)不授予任何訪問(wèn)權(quán)限。8.惡意軟件分析中，動(dòng)態(tài)分析的主要手段是？A.反匯編代碼B.監(jiān)控運(yùn)行時(shí)行為C.檢查文件哈希值D.分析資源段數(shù)據(jù)答案：B解析：動(dòng)態(tài)分析通過(guò)在沙箱中運(yùn)行惡意軟件，監(jiān)控其進(jìn)程、網(wǎng)絡(luò)連接、文件操作等實(shí)時(shí)行為。9.數(shù)據(jù)脫敏技術(shù)中，將“身份證號(hào)44010619900101XXXX”處理為“440106XXXX”屬于？A.替換B.掩碼C.泛化D.加密答案：B解析：掩碼技術(shù)通過(guò)隱藏部分敏感字符（如用替代）保護(hù)隱私，保持?jǐn)?shù)據(jù)格式完整性。10.以下哪項(xiàng)是Linux系統(tǒng)的安全加固措施？A.啟用root用戶遠(yuǎn)程登錄B.關(guān)閉不必要的服務(wù)和端口C.保留默認(rèn)的/etc/passwd文件權(quán)限D(zhuǎn).使用空密碼的用戶賬戶答案：B解析：關(guān)閉非必要服務(wù)和端口可減少攻擊面；其他選項(xiàng)均為安全風(fēng)險(xiǎn)操作。11.物聯(lián)網(wǎng)設(shè)備的典型安全風(fēng)險(xiǎn)不包括？A.固件漏洞B.弱認(rèn)證機(jī)制C.5G網(wǎng)絡(luò)延遲D.未加密的通信協(xié)議答案：C解析：5G網(wǎng)絡(luò)延遲屬于性能問(wèn)題，非安全風(fēng)險(xiǎn)；其他選項(xiàng)均為物聯(lián)網(wǎng)設(shè)備常見(jiàn)安全隱患。12.依據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或委托第三方每年至少進(jìn)行幾次安全檢測(cè)評(píng)估？A.1次B.2次C.3次D.4次答案：A解析：《網(wǎng)絡(luò)安全法》第三十八條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者需每年至少開(kāi)展一次安全檢測(cè)評(píng)估。13.以下哪種訪問(wèn)控制模型最適用于組織結(jié)構(gòu)穩(wěn)定的企業(yè)？A.自主訪問(wèn)控制（DAC）B.強(qiáng)制訪問(wèn)控制（MAC）C.基于角色的訪問(wèn)控制（RBAC）D.基于屬性的訪問(wèn)控制（ABAC）答案：C解析：RBAC通過(guò)角色關(guān)聯(lián)權(quán)限，適合部門(mén)和崗位職責(zé)明確的組織；DAC由用戶自主控制，MAC用于高安全等級(jí)場(chǎng)景，ABAC適用于動(dòng)態(tài)屬性場(chǎng)景。14.滲透測(cè)試的最后階段是？A.信息收集B.漏洞利用C.清理痕跡D.報(bào)告編寫(xiě)答案：D解析：滲透測(cè)試流程為：前期交互→信息收集→漏洞分析→漏洞利用→后滲透→清理痕跡→報(bào)告編寫(xiě)。15.以下哪項(xiàng)是國(guó)密算法SM4的應(yīng)用場(chǎng)景？A.數(shù)字簽名B.密鑰交換C.無(wú)線局域網(wǎng)安全D.時(shí)間戳服務(wù)答案：C解析：SM4是對(duì)稱加密算法，主要用于WAPI（無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)）標(biāo)準(zhǔn)；SM2用于數(shù)字簽名，SM3是哈希算法，SM9用于標(biāo)識(shí)密碼。16.數(shù)據(jù)庫(kù)安全中，行級(jí)訪問(wèn)控制屬于？A.物理安全B.邏輯安全C.介質(zhì)安全D.環(huán)境安全答案：B解析：邏輯安全通過(guò)訪問(wèn)控制策略限制數(shù)據(jù)訪問(wèn)，行級(jí)控制屬于邏輯安全范疇；物理安全涉及設(shè)備防護(hù)，介質(zhì)安全關(guān)注存儲(chǔ)介質(zhì)管理。17.以下哪種攻擊利用了DNS協(xié)議的無(wú)狀態(tài)性？A.DNS緩存投毒B.DNS劫持C.DNS放大攻擊D.DNS遞歸查詢答案：A解析：DNS緩存投毒通過(guò)向遞歸服務(wù)器發(fā)送偽造的響應(yīng)包，利用其無(wú)狀態(tài)特性覆蓋正確緩存記錄。18.移動(dòng)應(yīng)用安全中，防止二次打包的關(guān)鍵技術(shù)是？A.代碼混淆B.數(shù)據(jù)加密C.數(shù)字簽名校驗(yàn)D.反調(diào)試答案：C解析：二次打包會(huì)修改應(yīng)用程序后重新簽名，原應(yīng)用通過(guò)校驗(yàn)數(shù)字簽名可檢測(cè)是否被篡改。19.云安全中的“數(shù)據(jù)主權(quán)”主要關(guān)注？A.數(shù)據(jù)存儲(chǔ)位置B.數(shù)據(jù)加密強(qiáng)度C.數(shù)據(jù)傳輸速度D.數(shù)據(jù)備份策略答案：A解析：數(shù)據(jù)主權(quán)指數(shù)據(jù)應(yīng)受所在國(guó)法律管轄，核心是數(shù)據(jù)存儲(chǔ)的地理區(qū)域合規(guī)性。20.安全審計(jì)的主要目的是？A.提高系統(tǒng)性能B.驗(yàn)證安全策略執(zhí)行情況C.加密傳輸數(shù)據(jù)D.修復(fù)系統(tǒng)漏洞答案：B解析：安全審計(jì)通過(guò)記錄和分析系統(tǒng)活動(dòng)，驗(yàn)證安全策略是否被正確執(zhí)行，實(shí)現(xiàn)可追溯性。二、多項(xiàng)選擇題（每題2分，共10題）1.以下屬于信息安全管理體系（ISMS）核心要素的有？A.風(fēng)險(xiǎn)評(píng)估B.安全策略C.物理環(huán)境D.事件響應(yīng)答案：ABD解析：ISMS依據(jù)ISO27001標(biāo)準(zhǔn)，核心包括風(fēng)險(xiǎn)評(píng)估、安全策略、控制措施、事件響應(yīng)等；物理環(huán)境屬于具體控制措施。2.以下哪些是常見(jiàn)的哈希算法？A.MD5B.SHA-256C.AESD.RSA答案：AB解析：MD5和SHA系列是哈希算法；AES是對(duì)稱加密，RSA是非對(duì)稱加密。3.網(wǎng)絡(luò)防火墻的主要功能包括？A.包過(guò)濾B.應(yīng)用層代理C.病毒查殺D.流量監(jiān)控答案：ABD解析：防火墻主要實(shí)現(xiàn)包過(guò)濾、應(yīng)用代理、NAT、流量監(jiān)控等；病毒查殺通常由殺毒軟件完成。4.操作系統(tǒng)安全加固措施包括？A.禁用不必要的用戶賬戶B.定期更新系統(tǒng)補(bǔ)丁C.啟用自動(dòng)登錄功能D.設(shè)置復(fù)雜的賬戶密碼答案：ABD解析：?jiǎn)⒂米詣?dòng)登錄會(huì)降低安全性，其他選項(xiàng)均為有效加固措施。5.以下哪些屬于個(gè)人信息主體的權(quán)利？A.查閱權(quán)B.刪除權(quán)C.復(fù)制權(quán)D.更正權(quán)答案：ABCD解析：《個(gè)人信息保護(hù)法》規(guī)定，個(gè)人信息主體享有查閱、復(fù)制、更正、刪除等權(quán)利。6.無(wú)線局域網(wǎng)（WLAN）的安全協(xié)議包括？A.WEPB.WPAC.WPA2D.WPA3答案：ABCD解析：WEP是早期協(xié)議，WPA/WPA2/WPA3是后續(xù)改進(jìn)版本，均屬于WLAN安全協(xié)議。7.數(shù)據(jù)庫(kù)安全控制措施包括？A.備份與恢復(fù)B.角色權(quán)限分配C.存儲(chǔ)加密D.表結(jié)構(gòu)設(shè)計(jì)優(yōu)化答案：ABC解析：表結(jié)構(gòu)優(yōu)化屬于性能優(yōu)化，非安全控制措施；其他選項(xiàng)均為數(shù)據(jù)庫(kù)安全核心措施。8.以下哪些是社會(huì)工程學(xué)攻擊手段？A.釣魚(yú)郵件B.電話詐騙C.緩沖區(qū)溢出D.水坑攻擊答案：ABD解析：社會(huì)工程學(xué)利用人性弱點(diǎn)實(shí)施攻擊，緩沖區(qū)溢出是技術(shù)攻擊手段。9.云計(jì)算的安全威脅包括？A.多租戶隔離失效B.數(shù)據(jù)泄露C.云服務(wù)商內(nèi)部人員違規(guī)操作D.物理服務(wù)器老化答案：ABC解析：物理服務(wù)器老化屬于設(shè)備維護(hù)問(wèn)題，非安全威脅；其他選項(xiàng)均為云計(jì)算特有安全風(fēng)險(xiǎn)。10.以下哪些是IDS（入侵檢測(cè)系統(tǒng)）的檢測(cè)方法？A.誤用檢測(cè)B.異常檢測(cè)C.流量整形D.包過(guò)濾答案：AB解析：IDS檢測(cè)方法包括誤用檢測(cè)（基于特征庫(kù)）和異常檢測(cè)（基于基線模型）；流量整形和包過(guò)濾是防火墻功能。三、判斷題（每題1分，共10題）1.信息安全的“最小權(quán)限原則”要求用戶僅獲得完成任務(wù)所需的最低權(quán)限。（）答案：√解析：最小權(quán)限原則是信息安全的核心原則之一，通過(guò)限制權(quán)限降低潛在風(fēng)險(xiǎn)。2.數(shù)字簽名可以保證信息的保密性。（）答案：×解析：數(shù)字簽名用于驗(yàn)證信息的完整性和發(fā)送者身份，保密性需通過(guò)加密實(shí)現(xiàn)。3.防火墻可以完全阻止內(nèi)部網(wǎng)絡(luò)的攻擊。（）答案：×解析：防火墻主要防御外部攻擊，對(duì)內(nèi)部網(wǎng)絡(luò)的惡意行為（如內(nèi)部人員違規(guī)操作）防護(hù)能力有限。4.操作系統(tǒng)的安全補(bǔ)丁僅需安裝最新版本，舊版本補(bǔ)丁無(wú)需關(guān)注。（）答案：×解析：舊版本補(bǔ)丁可能修復(fù)未被最新補(bǔ)丁覆蓋的漏洞，需按廠商指導(dǎo)完整安裝。5.數(shù)據(jù)脫敏后的數(shù)據(jù)可以直接用于數(shù)據(jù)分析，不會(huì)泄露敏感信息。（）答案：√解析：數(shù)據(jù)脫敏通過(guò)技術(shù)手段去除或隱藏敏感信息，處理后的數(shù)據(jù)可安全用于分析。6.無(wú)線局域網(wǎng)中，WPA3協(xié)議比WEP協(xié)議更安全。（）答案：√解析：WPA3采用SAE（安全認(rèn)證交換）和AES加密，解決了WEP的弱密鑰和易破解問(wèn)題。7.滲透測(cè)試需要在目標(biāo)系統(tǒng)所有者授權(quán)下進(jìn)行。（）答案：√解析：未經(jīng)授權(quán)的滲透測(cè)試可能觸犯法律，必須獲得明確授權(quán)。8.云存儲(chǔ)中，數(shù)據(jù)加密后存儲(chǔ)可以完全避免數(shù)據(jù)泄露風(fēng)險(xiǎn)。（）答案：×解析：加密可保護(hù)數(shù)據(jù)內(nèi)容，但密鑰管理不當(dāng)（如泄露）仍可能導(dǎo)致數(shù)據(jù)泄露。9.社會(huì)工程學(xué)攻擊主要依賴技術(shù)漏洞，與人員意識(shí)無(wú)關(guān)。（）答案：×解析：社會(huì)工程學(xué)攻擊利用人員的心理弱點(diǎn)（如輕信、好奇），人員安全意識(shí)是關(guān)鍵防護(hù)點(diǎn)。10.安全審計(jì)日志應(yīng)長(zhǎng)期保存，無(wú)需考慮存儲(chǔ)成本。（）答案：×解析：安全審計(jì)日志需根據(jù)法規(guī)要求（如《網(wǎng)絡(luò)安全法》要求至少保存6個(gè)月）和實(shí)際需求確定保存周期，需平衡存儲(chǔ)成本與合規(guī)性。四、簡(jiǎn)答題（每題5分，共5題）1.簡(jiǎn)述SSL/TLS協(xié)議的握手過(guò)程。答案：SSL/TLS握手過(guò)程主要包括以下步驟：（1）客戶端發(fā)起握手請(qǐng)求（ClientHello），發(fā)送支持的協(xié)議版本、加密套件、隨機(jī)數(shù)等信息；（2）服務(wù)器響應(yīng)（ServerHello），選擇具體的協(xié)議版本和加密套件，發(fā)送服務(wù)器證書(shū)和隨機(jī)數(shù)；（3）客戶端驗(yàn)證服務(wù)器證書(shū)有效性（檢查CA簽名、有效期、域名匹配等），若通過(guò)則生成預(yù)主密鑰（Pre-MasterSecret），用服務(wù)器公鑰加密后發(fā)送；（4）服務(wù)器用私鑰解密預(yù)主密鑰，雙方基于預(yù)主密鑰和各自隨機(jī)數(shù)生成主密鑰（MasterSecret）；（5）客戶端和服務(wù)器分別發(fā)送ChangeCipherSpec消息，通知對(duì)方后續(xù)使用新生成的會(huì)話密鑰加密通信；（6）客戶端發(fā)送Finished消息，驗(yàn)證握手過(guò)程的完整性；（7）服務(wù)器發(fā)送Finished消息，完成握手，后續(xù)通信使用會(huì)話密鑰加密。2.列舉5種常見(jiàn)的Web應(yīng)用安全漏洞，并說(shuō)明其危害。答案：常見(jiàn)Web應(yīng)用安全漏洞及危害：（1）SQL注入：攻擊者通過(guò)輸入惡意SQL語(yǔ)句，可獲取、修改或刪除數(shù)據(jù)庫(kù)數(shù)據(jù)，甚至控制數(shù)據(jù)庫(kù)服務(wù)器；（2）XSS（跨站腳本）：注入惡意腳本到網(wǎng)頁(yè)，可竊取用戶Cookie、會(huì)話信息，或進(jìn)行釣魚(yú)攻擊；（3）文件上傳漏洞：允許上傳可執(zhí)行文件（如PHP、JSP），攻擊者可上傳Webshell，控制服務(wù)器；（4）CSRF（跨站請(qǐng)求偽造）：誘導(dǎo)用戶執(zhí)行非自愿操作（如轉(zhuǎn)賬、修改密碼），利用用戶已登錄狀態(tài)；（5）路徑遍歷：通過(guò)構(gòu)造特殊路徑（如../../）訪問(wèn)服務(wù)器敏感文件（如/etc/passwd），導(dǎo)致信息泄露。3.說(shuō)明訪問(wèn)控制的三種主要模型及其特點(diǎn)。答案：（1）自主訪問(wèn)控制（DAC）：由資源所有者自主決定訪問(wèn)權(quán)限，靈活性高但易因用戶誤操作導(dǎo)致權(quán)限失控；（2）強(qiáng)制訪問(wèn)控制（MAC）：系統(tǒng)根據(jù)安全標(biāo)簽（如密級(jí)）強(qiáng)制分配權(quán)限，適用于高安全等級(jí)場(chǎng)景（如軍事系統(tǒng)），但靈活性低；（3）基于角色的訪問(wèn)控制（RBAC）：通過(guò)角色關(guān)聯(lián)權(quán)限，用戶根據(jù)職位分配角色，適合組織結(jié)構(gòu)穩(wěn)定的企業(yè)，便于集中管理。4.簡(jiǎn)述惡意軟件的主要分類及特征。答案：惡意軟件主要分類及特征：（1）病毒（Virus）：依賴宿主程序傳播，需用戶執(zhí)行宿主文件激活，具有自我復(fù)制能力；（2）蠕蟲(chóng)（Worm）：獨(dú)立運(yùn)行，通過(guò)網(wǎng)絡(luò)（如漏洞、郵件附件）自主傳播，消耗網(wǎng)絡(luò)資源；（3）木馬（Trojan）：偽裝成合法軟件，竊取信息或遠(yuǎn)程控制主機(jī)，通常不自我復(fù)制；（4）勒索軟件（Ransomware）：加密用戶文件，索要贖金解密，利用高強(qiáng)度加密（如AES+RSA）；（5）間諜軟件（Spyware）：監(jiān)控用戶行為（如鍵盤(pán)記錄、屏幕截圖），竊取敏感信息。5.依據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)處理者應(yīng)履行哪些安全義務(wù)？答案：《數(shù)據(jù)安全法》規(guī)定的數(shù)據(jù)處理者義務(wù)包括：（1）建立健全數(shù)據(jù)安全管理制度，明確責(zé)任人和管理流程；（2）開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，定期向有關(guān)部門(mén)報(bào)告評(píng)估結(jié)果；（3）采取技術(shù)措施（如加密、訪問(wèn)控制）保障數(shù)據(jù)安全；（4）制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，發(fā)生事件時(shí)及時(shí)報(bào)告并采取補(bǔ)救措施；（5）對(duì)重要數(shù)據(jù)出境履行安全評(píng)估或認(rèn)證義務(wù)；（6）加強(qiáng)員工數(shù)據(jù)安全培訓(xùn)，落實(shí)數(shù)據(jù)安全責(zé)任。五、綜合分析題（每題10分，共2題）1.某企業(yè)部署了基于Linux的Web服務(wù)器，近期頻繁遭受SSH暴力破解攻擊。請(qǐng)?jiān)O(shè)計(jì)一套完整的防護(hù)方案，包括技術(shù)措施和管理措施。答案：防護(hù)方案設(shè)計(jì)：技術(shù)措施：（1）修改SSH默認(rèn)端口（如從22改為非標(biāo)準(zhǔn)端口），降低被掃描概率；（2）啟用SSH密鑰認(rèn)證替代密碼認(rèn)證，配置僅允許密鑰登錄（禁用PasswordAuthentication）；（3）部署入侵檢測(cè)系統(tǒng)（IDS）或入侵防御系統(tǒng)（IPS），監(jiān)控SSH登錄嘗試，對(duì)短時(shí)間內(nèi)多次失敗的IP地址實(shí)施封禁（如使用fail2ban工具設(shè)置：600秒內(nèi)5次失敗則封禁3600秒）；（4）限制SSH登錄源IP，僅允許企業(yè)辦公網(wǎng)、運(yùn)維終端等信任IP訪問(wèn)，配置iptables規(guī)則：iptables-AINPUT-ptcp--dport2222-s/24-jACCEPTiptables-AINPUT-ptcp--dport2222-jDROP（5）升級(jí)OpenSSH服務(wù)到最新版本，修復(fù)已知漏洞（如CVE-2023-25136）；（6）啟用SSH會(huì)話日志審計(jì)，記錄登錄用戶、IP、時(shí)間等信息（修改/etc/ssh/sshd_config，設(shè)置LogLevelVERBOSE）。管理措施：（1）制定《SSH訪問(wèn)管理規(guī)范》，明確運(yùn)維人員必須使用密鑰登錄，禁止共享密鑰；（2）定期輪換SSH密鑰（建議每90天更換一次），舊密鑰及時(shí)從服務(wù)器刪除；（3）對(duì)運(yùn)維人員開(kāi)展安全培訓(xùn)，強(qiáng)調(diào)暴力破解的風(fēng)險(xiǎn)及防護(hù)措施；（4）每周審查SSH登錄日志，發(fā)現(xiàn)異常登錄（如非工作時(shí)間登錄）及時(shí)排查；（5）將SSH服務(wù)納入企業(yè)安全監(jiān)控平臺(tái)，實(shí)現(xiàn)實(shí)時(shí)告警（如登錄失敗次數(shù)超過(guò)閾值觸發(fā)短信/郵件通知）。2.某電商平臺(tái)用戶數(shù)據(jù)庫(kù)存儲(chǔ)了姓名、手機(jī)號(hào)、收貨地址等個(gè)人信息，近期發(fā)生數(shù)據(jù)泄露事件。請(qǐng)分析可能的泄露原因，并提出5條針對(duì)性的防護(hù)措施。答案