2025年計(jì)算機(jī)等級考試(三級信息安全技術(shù)與管理)試卷（附答案）一、單項(xiàng)選擇題（每題2分，共30分）1.信息安全的核心三要素中，“可用性”主要關(guān)注的是？A.數(shù)據(jù)不被非授權(quán)修改B.數(shù)據(jù)在需要時(shí)可被訪問C.數(shù)據(jù)來源的真實(shí)性D.數(shù)據(jù)內(nèi)容的保密性2.以下哪種攻擊方式屬于被動(dòng)攻擊？A.DDoS攻擊B.網(wǎng)絡(luò)嗅探C.SQL注入D.釣魚郵件3.某企業(yè)采用AES-256對用戶數(shù)據(jù)加密，其密鑰長度為？A.128位B.192位C.256位D.512位4.零信任架構(gòu)的核心原則是？A.信任內(nèi)部網(wǎng)絡(luò)所有設(shè)備B.持續(xù)驗(yàn)證訪問請求的合法性C.僅允許管理員訪問關(guān)鍵系統(tǒng)D.依賴傳統(tǒng)邊界防火墻防護(hù)5.數(shù)據(jù)脫敏技術(shù)中，將“身份證號”中的出生年月替換為“”屬于？A.隨機(jī)化B.掩碼處理C.泛化D.加密6.以下哪個(gè)協(xié)議用于安全的電子郵件傳輸？A.SMTPB.POP3C.S/MIMED.FTP7.某系統(tǒng)日志顯示“Failedloginattemptfrom00:54321”，最可能的攻擊類型是？A.暴力破解B.緩沖區(qū)溢出C.跨站腳本（XSS）D.社會(huì)工程學(xué)8.依據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或委托第三方每年至少進(jìn)行幾次網(wǎng)絡(luò)安全檢測評估？A.1次B.2次C.3次D.4次9.以下哪種漏洞掃描工具屬于專用型掃描器？A.NessusB.WiresharkC.SQLMapD.Nmap10.區(qū)塊鏈技術(shù)中，防止雙花攻擊的核心機(jī)制是？A.共識算法（如PoW）B.智能合約C.哈希函數(shù)D.非對稱加密11.某企業(yè)部署了入侵檢測系統(tǒng)（IDS），當(dāng)檢測到異常流量時(shí)，系統(tǒng)僅記錄日志而不采取阻斷操作，該IDS屬于？A.基于主機(jī)的IDS（HIDS）B.基于網(wǎng)絡(luò)的IDS（NIDS）C.主動(dòng)式IDSD.被動(dòng)式IDS12.移動(dòng)終端安全中，“沙盒（Sandbox）”技術(shù)的主要作用是？A.加速應(yīng)用運(yùn)行B.隔離惡意應(yīng)用的操作范圍C.增強(qiáng)設(shè)備硬件性能D.提高電池續(xù)航13.云安全中，“數(shù)據(jù)所在位置不確定性”帶來的主要風(fēng)險(xiǎn)是？A.數(shù)據(jù)泄露風(fēng)險(xiǎn)增加B.計(jì)算資源分配不均C.網(wǎng)絡(luò)延遲增大D.服務(wù)可用性下降14.以下哪項(xiàng)不屬于物理安全防護(hù)措施？A.服務(wù)器機(jī)房安裝門禁系統(tǒng)B.關(guān)鍵設(shè)備使用UPS電源C.對員工進(jìn)行安全意識培訓(xùn)D.部署視頻監(jiān)控系統(tǒng)15.某系統(tǒng)采用RBAC（基于角色的訪問控制），其核心是？A.根據(jù)用戶身份直接授權(quán)B.根據(jù)用戶所屬角色分配權(quán)限C.根據(jù)用戶終端IP地址授權(quán)D.根據(jù)用戶登錄時(shí)間動(dòng)態(tài)調(diào)整權(quán)限二、填空題（每空2分，共20分）1.信息安全風(fēng)險(xiǎn)評估的三個(gè)基本要素是資產(chǎn)、威脅和__________。2.常見的數(shù)字簽名算法中，RSA基于__________數(shù)學(xué)難題，ECC基于橢圓曲線離散對數(shù)問題。3.網(wǎng)絡(luò)層安全協(xié)議IPSec的兩種工作模式是傳輸模式和__________模式。4.操作系統(tǒng)安全中，“最小權(quán)限原則”要求用戶僅擁有完成任務(wù)所需的__________權(quán)限。5.數(shù)據(jù)庫安全中，防止未授權(quán)用戶訪問敏感數(shù)據(jù)的核心技術(shù)是__________。6.無線局域網(wǎng)（WLAN）中，WPA3協(xié)議相比WPA2增強(qiáng)了對__________攻擊的防護(hù)。7.依據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)處理者應(yīng)當(dāng)按照__________原則，明確數(shù)據(jù)處理的目的、方式和范圍。8.漏洞生命周期中，“0day漏洞”指的是未被__________知曉的漏洞。9.云計(jì)算服務(wù)模式中，提供完整運(yùn)行環(huán)境（包括操作系統(tǒng)、數(shù)據(jù)庫、中間件）的是__________（PaaS）。10.物聯(lián)網(wǎng)安全中，終端設(shè)備資源受限，通常采用輕量級加密算法如__________（舉例一種）。三、簡答題（每題8分，共40分）1.簡述對稱加密與非對稱加密的主要區(qū)別，并各舉一例常見算法。2.說明網(wǎng)絡(luò)釣魚攻擊的典型步驟，并提出至少3種防范措施。3.簡述企業(yè)實(shí)施訪問控制的主要流程（從需求分析到落地實(shí)施）。4.列舉《個(gè)人信息保護(hù)法》中對個(gè)人信息處理者的五項(xiàng)核心義務(wù)。5.對比入侵檢測系統(tǒng)（IDS）與入侵防御系統(tǒng)（IPS）的功能差異，并說明各自適用場景。四、綜合分析題（每題15分，共30分）1.某企業(yè)近期遭遇勒索軟件攻擊，部分核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)被加密，攻擊者要求支付比特幣贖金。假設(shè)你是該企業(yè)的信息安全主管，請完成以下任務(wù)：（1）分析勒索軟件可能的入侵路徑（至少3種）；（2）設(shè)計(jì)應(yīng)急響應(yīng)流程（需包含關(guān)鍵步驟）；（3）提出長期防護(hù)措施（至少4條）。2.某高校計(jì)劃建設(shè)新的校園網(wǎng)，要求滿足教學(xué)、科研、師生生活等多場景需求，同時(shí)需符合《網(wǎng)絡(luò)安全等級保護(hù)2.0》要求。請?jiān)O(shè)計(jì)該校園網(wǎng)的安全防護(hù)體系，需涵蓋物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面，每個(gè)層面至少提出2項(xiàng)具體措施。參考答案一、單項(xiàng)選擇題1.B2.B3.C4.B5.B6.C7.A8.A9.C10.A11.D12.B13.A14.C15.B二、填空題1.脆弱性2.大整數(shù)分解3.隧道4.最小5.訪問控制（或權(quán)限管理）6.暴力破解（或字典攻擊）7.最小必要8.廠商（或修復(fù)方）9.平臺即服務(wù)10.ChaCha20（或AES-CCM等）三、簡答題1.區(qū)別：對稱加密使用相同密鑰加密和解密，加密速度快但密鑰分發(fā)困難；非對稱加密使用公鑰加密、私鑰解密，解決了密鑰分發(fā)問題但計(jì)算復(fù)雜度高。示例：對稱加密（AES）；非對稱加密（RSA）。2.典型步驟：①偽造可信來源（如仿冒銀行官網(wǎng)）；②發(fā)送誘導(dǎo)信息（如“賬戶異常需驗(yàn)證”）；③誘導(dǎo)用戶輸入敏感信息（賬號、密碼）；④竊取信息并利用。防范措施：①郵件/鏈接驗(yàn)證（查看發(fā)件人域名、懸停查看鏈接真實(shí)地址）；②部署反釣魚郵件網(wǎng)關(guān)；③員工安全培訓(xùn)（識別仿冒頁面特征）；④使用多因素認(rèn)證（MFA）。3.流程：①需求分析（明確系統(tǒng)資產(chǎn)、訪問主體與客體）；②策略制定（定義角色/權(quán)限規(guī)則，遵循最小權(quán)限原則）；③技術(shù)選型（選擇RBAC/ABAC等模型，部署訪問控制設(shè)備如防火墻、IAM系統(tǒng)）；④實(shí)施配置（分配角色權(quán)限，測試驗(yàn)證）；⑤監(jiān)控與維護(hù)（定期審計(jì)權(quán)限，調(diào)整策略）。4.核心義務(wù)：①遵循最小必要原則收集個(gè)人信息；②公開處理規(guī)則并取得用戶同意；③采取技術(shù)措施保障信息安全（如加密、訪問控制）；④建立個(gè)人信息泄露應(yīng)急響應(yīng)機(jī)制；⑤提供用戶信息查詢、更正、刪除的渠道；⑥定期進(jìn)行合規(guī)審計(jì)（任選五項(xiàng)）。5.功能差異：IDS僅檢測并報(bào)警異常行為，不主動(dòng)干預(yù)；IPS可在檢測到攻擊時(shí)實(shí)時(shí)阻斷（如丟棄惡意數(shù)據(jù)包）。適用場景：IDS適用于需要審計(jì)追蹤的場景（如合規(guī)要求）；IPS適用于需要實(shí)時(shí)防護(hù)的關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)（如數(shù)據(jù)中心入口）。四、綜合分析題1.（1）入侵路徑：①釣魚郵件：員工點(diǎn)擊帶惡意附件的郵件，執(zhí)行勒索軟件；②漏洞利用：未及時(shí)修復(fù)的系統(tǒng)漏洞（如Windows遠(yuǎn)程桌面RDP漏洞）被攻擊者利用；③弱口令攻擊：服務(wù)器或數(shù)據(jù)庫使用簡單密碼，被暴力破解后植入惡意程序；④移動(dòng)存儲設(shè)備：感染勒索軟件的U盤接入內(nèi)網(wǎng)終端。（2）應(yīng)急響應(yīng)流程：①隔離受感染設(shè)備：斷開網(wǎng)絡(luò)連接，防止攻擊擴(kuò)散；②啟動(dòng)備份恢復(fù)：使用最近的未感染備份數(shù)據(jù)恢復(fù)業(yè)務(wù)系統(tǒng)（需驗(yàn)證備份完整性）；③分析攻擊樣本：提取勒索軟件特征，上報(bào)公安網(wǎng)安部門；④支付決策評估：評估數(shù)據(jù)重要性、贖金金額及法律風(fēng)險(xiǎn)，原則上不建議支付；⑤系統(tǒng)修復(fù)：修補(bǔ)漏洞、更新補(bǔ)丁，修改所有弱口令；⑥復(fù)盤總結(jié)：形成報(bào)告，優(yōu)化安全策略。（3）長期防護(hù)措施：①定期備份與驗(yàn)證：采用“3-2-1”備份策略（3份拷貝、2種介質(zhì)、1份離線），每周驗(yàn)證備份可用性；②漏洞管理：建立漏洞掃描與修復(fù)流程（高危漏洞24小時(shí)內(nèi)修復(fù)）；③終端安全防護(hù)：部署EDR（端點(diǎn)檢測與響應(yīng)）系統(tǒng)，禁止安裝非授權(quán)軟件；④員工培訓(xùn)：每月開展勒索軟件防范培訓(xùn)，模擬釣魚測試；⑤網(wǎng)絡(luò)分段：將核心業(yè)務(wù)系統(tǒng)與辦公網(wǎng)隔離，限制橫向移動(dòng)；⑥多因素認(rèn)證：關(guān)鍵系統(tǒng)強(qiáng)制啟用MFA（如短信驗(yàn)證碼+硬件令牌）。2.安全防護(hù)體系設(shè)計(jì)：物理安全：①機(jī)房建設(shè)符合GB50174標(biāo)準(zhǔn)，部署門禁系統(tǒng)（指紋+密碼雙重認(rèn)證）；②關(guān)鍵設(shè)備（如核心交換機(jī)、服務(wù)器）安裝環(huán)境監(jiān)控（溫濕度、煙霧報(bào)警），配備UPS和備用發(fā)電機(jī)。網(wǎng)絡(luò)安全：①劃分安全域（教學(xué)區(qū)、科研區(qū)、公共區(qū)），域間通過防火墻策略控制訪問（如限制公共區(qū)訪問科研區(qū)）；②部署下一代防火墻（NGFW），開啟入侵防御（IPS）、應(yīng)用層過濾（如阻斷P2P下載）；③無線局域網(wǎng)（WLAN）采用WPA3加密，SSID隱藏，設(shè)置隔離訪客網(wǎng)絡(luò)。主機(jī)安全：①服務(wù)器操作系統(tǒng)啟用安全配置（關(guān)閉不必要服務(wù)、禁用默認(rèn)賬戶），定期更新補(bǔ)?。虎诓渴鹬鳈C(jī)入侵檢測系統(tǒng)（HIDS），監(jiān)控進(jìn)程異常行為（如異常文件讀寫、端口開放）；③數(shù)據(jù)庫服務(wù)器啟用審計(jì)功能，記錄所有增刪改操作。應(yīng)用安全：①教學(xué)管理系統(tǒng)采用OWASPTop10防護(hù)（如防止SQL注入、XSS攻擊），使用參數(shù)化查詢；②登錄功能啟用多因素認(rèn)證（MFA），密碼策略要求至少12位（包