2025年大學《信息與計算科學》專業(yè)題庫——信息與計算科學專業(yè)安全架構考試時間：______分鐘總分：______分姓名：______一、選擇題（每小題2分，共20分。請將正確選項的字母填在括號內(nèi)）1.在信息安全領域，CIA三元組通常指代的核心目標不包括以下哪一項？A.機密性(Confidentiality)B.完整性(Integrity)C.可用性(Availability)D.可追溯性(Traceability)2.以下哪種安全模型主要側重于防止未授權的用戶向內(nèi)（向下）傳遞信息，但允許授權用戶向外（向上）傳遞信息？A.Bell-LaPadula模型B.Biba模型C.Biba模型D.Clark-Wilson模型3.以下哪項技術通常用于確保只有擁有正確密鑰的用戶才能讀取加密后的信息？A.哈希函數(shù)B.對稱加密C.非對稱加密D.數(shù)字簽名4.在網(wǎng)絡通信中，VPN（虛擬專用網(wǎng)絡）主要利用哪種技術來在公網(wǎng)上建立安全的通信通道？A.物理隔離B.漏洞利用C.訪問控制列表(ACL)D.密碼封裝協(xié)議(如IPsec或SSL/TLS)5.以下哪種攻擊方式通常通過發(fā)送大量看似合法的請求來耗盡目標系統(tǒng)的資源，使其無法響應正常用戶？A.SQL注入B.跨站腳本(XSS)C.分布式拒絕服務(DDoS)D.中間人攻擊6.“最小權限原則”的核心思想是？A.賦予用戶盡可能多的權限以提高效率B.賦予用戶完成其任務所必需的最少權限C.禁止所有用戶訪問所有資源D.定期更換所有用戶的密碼7.用于將網(wǎng)絡劃分為不同安全區(qū)域，并根據(jù)策略控制區(qū)域間訪問的設備通常是？A.路由器B.交換機C.防火墻D.網(wǎng)橋8.數(shù)字簽名主要依靠什么來驗證消息的真實性和完整性？A.公鑰加密B.哈希函數(shù)C.訪問控制列表D.會話密鑰9.在縱深防御策略中，以下哪一層通常是第一道防線，主要通過物理和邏輯隔離來保護內(nèi)部資源？A.應用層安全B.網(wǎng)絡層安全C.主機/系統(tǒng)層安全D.數(shù)據(jù)層安全10.對比對稱加密和非對稱加密，以下哪項是其主要區(qū)別之一？A.加密和解密使用相同的密鑰B.加密和解密使用不同的密鑰C.非對稱加密通常比對稱加密更快D.非對稱加密主要用于加密大量數(shù)據(jù)二、簡答題（每小題5分，共25分。請簡要回答下列問題）11.簡述風險評估的主要步驟。12.解釋什么是“縱深防御”安全架構理念及其優(yōu)勢。13.什么是“安全域”？劃分安全域的主要依據(jù)是什么？14.簡述防火墻的基本工作原理。15.什么是SQL注入攻擊？其基本原理是什么？三、分析題（每小題10分，共30分。請根據(jù)要求進行分析和闡述）16.假設一個公司內(nèi)部網(wǎng)絡（私有網(wǎng)段/24）需要通過互聯(lián)網(wǎng)訪問外部的一個公共服務網(wǎng)站（例如）。為了保證內(nèi)部用戶訪問該網(wǎng)站時的數(shù)據(jù)傳輸安全，公司決定部署VPN。請簡述采用VPN技術實現(xiàn)此目標的關鍵步驟和涉及的關鍵技術點。17.某企業(yè)部署了一個基于角色的訪問控制（RBAC）系統(tǒng)。請分析在這種架構下，如何實現(xiàn)“最小權限原則”？并說明RBAC模型通常包含哪些核心要素。18.分析在一個典型的三層安全架構（網(wǎng)絡層、主機層、應用層）中，如果網(wǎng)絡層的安全措施失效（例如防火墻被繞過），可能對主機層和應用層安全造成哪些直接影響？請舉例說明。四、論述題（15分）19.隨著云計算的普及，云環(huán)境下的安全架構面臨著與傳統(tǒng)本地環(huán)境不同的挑戰(zhàn)。請論述云安全架構的主要特點，并分析至少三個云環(huán)境中常見的安全風險及其相應的安全架構設計考量。試卷答案一、選擇題1.D2.A3.B4.D5.C6.B7.C8.A9.B10.B二、簡答題11.風險評估的主要步驟通常包括：風險識別（識別潛在威脅和脆弱性）、風險分析（評估威脅發(fā)生的可能性和潛在影響）、風險評價（根據(jù)發(fā)生可能性和影響程度判斷風險等級）、風險處理（選擇規(guī)避、轉(zhuǎn)移、減輕或接受等策略）。12.縱深防御是指在網(wǎng)絡的不同層面（如網(wǎng)絡邊界、主機、應用、數(shù)據(jù)）部署多層、多種類的安全措施，形成一個相互關聯(lián)、相互補充的防御體系。其優(yōu)勢在于即使某一層防御被突破，其他層仍然可以提供保護，增加攻擊者突破整個防御體系的難度，從而提高整體安全性。13.安全域是指在一個網(wǎng)絡中根據(jù)安全策略劃分的、具有相似安全級別和信任關系的區(qū)域集合。劃分安全域的主要依據(jù)包括物理位置、邏輯功能、數(shù)據(jù)敏感性、訪問控制需求等。14.防火墻通過設置訪問控制策略（規(guī)則），監(jiān)控和控制進出網(wǎng)絡或安全域的數(shù)據(jù)包。它根據(jù)源/目的IP地址、端口、協(xié)議等信息，決定允許或阻斷特定的網(wǎng)絡流量，從而實現(xiàn)網(wǎng)絡隔離和訪問控制。15.SQL注入攻擊是一種利用應用程序?qū)τ脩糨斎氲腟QL查詢拼接處理不當?shù)穆┒?，將惡意SQL代碼注入到用戶輸入中，從而繞過應用層的驗證，直接操作底層數(shù)據(jù)庫的攻擊方式。其基本原理是欺騙應用程序?qū)⒂脩舻膼阂廨斎胱鳛楹戏ǖ腟QL命令一部分執(zhí)行。三、分析題16.關鍵步驟和關鍵技術點：首先，在內(nèi)外網(wǎng)邊界部署VPN網(wǎng)關設備或配置支持VPN的服務。其次，配置VPN網(wǎng)關，生成密鑰對（對于非對稱加密）或共享密鑰（對于對稱加密），并建立VPN隧道。接著，配置內(nèi)部網(wǎng)絡中的客戶端或路由器以連接到VPN網(wǎng)關。用戶通過VPN客戶端或配置路由，使其網(wǎng)絡流量通過VPN隧道傳輸。關鍵技術點包括：隧道協(xié)議（如IPsec,OpenVPN,WireGuard）、加密算法（如AES,RSA）、身份認證機制（如用戶名密碼、證書）。17.在RBAC下實現(xiàn)最小權限原則：首先，根據(jù)職責和任務需求，定義不同的角色（如管理員、普通用戶、審計員）。其次，為每個角色分配完成其工作所必需的最小權限集（如訪問特定文件、執(zhí)行特定命令、操作特定數(shù)據(jù)庫）。然后，將用戶分配給相應的角色。這樣，用戶只能訪問其角色被授權的資源，限制了其權限范圍。RBAC核心要素通常包括：角色（Role）、用戶（User）、權限（Permission/Privilege）、資源（Resource）、角色繼承/層次（RoleHierarchy）。18.網(wǎng)絡層安全失效可能導致的直接影響：1)內(nèi)部網(wǎng)絡與外部網(wǎng)絡的隔離被破壞，外部攻擊者可以直接掃描或攻擊內(nèi)部網(wǎng)絡主機，增加橫向移動的風險。2)數(shù)據(jù)包過濾、狀態(tài)檢測等功能失效，可能導致內(nèi)部敏感數(shù)據(jù)通過防火墻泄露。3)VPN、NAT等網(wǎng)絡服務中斷，影響遠程訪問和地址翻譯。例如，防火墻被繞過后，攻擊者可能直接攻擊內(nèi)部Web服務器（應用層），即使該服務器本身配置了安全策略，也可能因網(wǎng)絡層防護失效而暴露。四、論述題19.云安全架構特點：云安全架構具有分布式、虛擬化、共享責任模型、按需擴展、多租戶等特征。安全風險：1)數(shù)據(jù)泄露風險：云中存儲的大量敏感數(shù)據(jù)可能因配置錯誤、不安全的傳輸、惡意內(nèi)部人員或外部攻擊導致泄露。安全架構考量：加強數(shù)據(jù)加密（傳輸和存儲）、實施數(shù)據(jù)分類分級、使用密鑰管理服務、啟用數(shù)據(jù)脫敏和匿名化技術。2)訪問控制風險：