信息安全概論習(xí)題及答案一、單項(xiàng)選擇題（每題2分，共20分）1.信息安全的核心目標(biāo)“CIA三元組”不包括以下哪項(xiàng)？A.保密性（Confidentiality）B.完整性（Integrity）C.可控性（Controllability）D.可用性（Availability）2.以下哪種攻擊方式屬于被動攻擊？A.DDoS攻擊B.網(wǎng)絡(luò)監(jiān)聽C.SQL注入D.緩沖區(qū)溢出3.對稱加密算法AES的密鑰長度不包括？A.128位B.192位C.256位D.512位4.以下哪項(xiàng)是基于角色的訪問控制（RBAC）的典型特征？A.每個用戶直接關(guān)聯(lián)權(quán)限B.權(quán)限與角色綁定，用戶通過角色獲得權(quán)限C.系統(tǒng)強(qiáng)制分配安全標(biāo)簽D.權(quán)限由資源所有者自主分配5.數(shù)字簽名的核心作用是？A.保證數(shù)據(jù)加密B.驗(yàn)證發(fā)送方身份和數(shù)據(jù)完整性C.實(shí)現(xiàn)密鑰交換D.防止重放攻擊6.以下哪種協(xié)議用于實(shí)現(xiàn)IP層的安全通信？A.HTTPSB.SSL/TLSC.IPSecD.SSH7.緩沖區(qū)溢出攻擊的本質(zhì)是？A.利用操作系統(tǒng)漏洞耗盡資源B.向內(nèi)存緩沖區(qū)寫入超出其容量的數(shù)據(jù)，覆蓋關(guān)鍵指令C.通過網(wǎng)絡(luò)洪水攻擊阻塞帶寬D.篡改數(shù)據(jù)庫查詢語句獲取敏感數(shù)據(jù)8.WPA3相對于WPA2的主要改進(jìn)是？A.支持WEP協(xié)議B.引入SAE（安全平等認(rèn)證）防止離線字典攻擊C.僅使用TKIP加密D.降低加密算法強(qiáng)度以提高速度9.以下哪種哈希函數(shù)已被證明存在碰撞漏洞，不建議使用？A.SHA256B.SHA3C.MD5D.SHA51210.操作系統(tǒng)安全中，“最小權(quán)限原則”指的是？A.用戶僅獲得完成任務(wù)所需的最低權(quán)限B.系統(tǒng)默認(rèn)關(guān)閉所有權(quán)限C.管理員擁有最高權(quán)限D(zhuǎn).權(quán)限按用戶等級線性分配二、多項(xiàng)選擇題（每題3分，共15分，少選、錯選均不得分）1.信息安全的基本屬性包括（）A.保密性B.完整性C.可用性D.不可否認(rèn)性2.以下屬于網(wǎng)絡(luò)層安全技術(shù)的有（）A.防火墻B.IPSecC.VPND.入侵檢測系統(tǒng)（IDS）3.非對稱加密算法的典型應(yīng)用場景包括（）A.數(shù)字簽名B.密鑰交換C.大規(guī)模數(shù)據(jù)加密D.哈希值計算4.常見的Web應(yīng)用安全威脅包括（）A.XSS（跨站腳本攻擊）B.CSRF（跨站請求偽造）C.DDoSD.弱口令爆破5.數(shù)據(jù)脫敏的常用技術(shù)包括（）A.替換（如將真實(shí)姓名替換為“用戶A”）B.加密（如對身份證號進(jìn)行AES加密）C.截斷（如只保留手機(jī)號前3位和后4位）D.亂序（如打亂地址字段的順序）三、判斷題（每題1分，共10分，正確填“√”，錯誤填“×”）1.信息安全是一個動態(tài)過程，需要持續(xù)維護(hù)而非一次性部署。（）2.對稱加密的密鑰分發(fā)比非對稱加密更安全。（）3.防火墻可以完全阻止內(nèi)部網(wǎng)絡(luò)的惡意攻擊。（）4.哈希函數(shù)的輸入長度可變，但輸出長度固定。（）5.強(qiáng)制訪問控制（MAC）中，用戶無法修改資源的安全標(biāo)簽。（）6.漏洞掃描工具可以自動修復(fù)系統(tǒng)漏洞。（）7.釣魚郵件攻擊屬于社會工程學(xué)攻擊的一種。（）8.量子計算可能對RSA等公鑰加密算法構(gòu)成威脅。（）9.數(shù)據(jù)備份的“321原則”指3份備份、2種介質(zhì)、1份異地存儲。（）10.零信任架構(gòu)的核心是“永不信任，始終驗(yàn)證”。（）四、簡答題（每題6分，共30分）1.簡述DES與AES算法的主要區(qū)別（至少列出3點(diǎn)）。2.說明SSL/TLS協(xié)議的工作流程（需包含握手階段的關(guān)鍵步驟）。3.訪問控制的三要素是什么？并分別解釋其含義。4.緩沖區(qū)溢出攻擊的原理是什么？列舉至少3種防范措施。5.什么是數(shù)字簽名？其實(shí)現(xiàn)需要依賴哪些密碼學(xué)技術(shù)？五、綜合分析題（每題15分，共25分）1.某企業(yè)計劃構(gòu)建內(nèi)部辦公網(wǎng)絡(luò)，需滿足以下需求：員工通過公司W(wǎng)iFi接入內(nèi)網(wǎng)，需防止非授權(quán)設(shè)備接入；財務(wù)部門服務(wù)器存儲敏感數(shù)據(jù)，需限制僅財務(wù)人員訪問；防范外部網(wǎng)絡(luò)的惡意掃描和攻擊。請設(shè)計一套綜合安全方案（需涵蓋網(wǎng)絡(luò)接入控制、訪問控制、邊界防護(hù)等層面）。2.分析SQL注入攻擊的原理，并結(jié)合具體示例說明如何防范（要求包含代碼層面的防御措施）。參考答案一、單項(xiàng)選擇題1.C（CIA三元組為保密性、完整性、可用性）2.B（被動攻擊主要是監(jiān)聽、截獲數(shù)據(jù)，不修改數(shù)據(jù)；主動攻擊包括篡改、偽造等）3.D（AES支持128/192/256位密鑰）4.B（RBAC通過角色關(guān)聯(lián)權(quán)限，降低權(quán)限管理復(fù)雜度）5.B（數(shù)字簽名用于驗(yàn)證發(fā)送方身份和數(shù)據(jù)未被篡改）6.C（IPSec工作在IP層，提供加密和認(rèn)證）7.B（緩沖區(qū)溢出通過覆蓋?？臻g改寫返回地址，執(zhí)行惡意代碼）8.B（WPA3的SAE機(jī)制防止離線字典攻擊，取代WPA2的PSK）9.C（MD5已被證明易碰撞，SHA2/SHA3為當(dāng)前推薦）10.A（最小權(quán)限原則要求用戶僅獲得完成任務(wù)所需的最低權(quán)限）二、多項(xiàng)選擇題1.ABCD（信息安全屬性還包括真實(shí)性、不可否認(rèn)性等）2.BC（IPSec和VPN工作在網(wǎng)絡(luò)層；防火墻多為網(wǎng)絡(luò)層/應(yīng)用層，IDS為檢測工具）3.AB（非對稱加密計算慢，適合小數(shù)據(jù)加密或密鑰交換；數(shù)字簽名是核心應(yīng)用）4.ABD（DDoS是網(wǎng)絡(luò)層攻擊，非Web應(yīng)用特有威脅）5.ABC（亂序可能無法保證數(shù)據(jù)可用性，非典型脫敏技術(shù)）三、判斷題1.√（信息安全需持續(xù)更新策略和補(bǔ)?。?.×（對稱加密需安全分發(fā)密鑰，非對稱可通過公鑰解決分發(fā)問題）3.×（防火墻無法防御內(nèi)部人員的惡意操作或已滲透的攻擊）4.√（哈希函數(shù)輸出固定長度，如SHA256輸出256位）5.√（MAC由系統(tǒng)強(qiáng)制分配標(biāo)簽，用戶無修改權(quán)限）6.×（漏洞掃描僅檢測漏洞，修復(fù)需人工或補(bǔ)丁管理系統(tǒng)）7.√（釣魚郵件通過欺騙用戶獲取信息，屬于社會工程學(xué)）8.√（量子計算可破解基于大整數(shù)分解的RSA算法）9.√（321原則是備份的經(jīng)典策略）10.√（零信任要求所有訪問均需驗(yàn)證身份和設(shè)備安全狀態(tài)）四、簡答題1.DES與AES的區(qū)別：密鑰長度：DES為56位（實(shí)際有效56位），AES支持128/192/256位；分組長度：DES分組64位，AES分組128位；安全性：DES因密鑰過短易被暴力破解（如“深網(wǎng)”攻擊），AES是當(dāng)前公認(rèn)安全的對稱加密標(biāo)準(zhǔn)；算法結(jié)構(gòu)：DES基于Feistel網(wǎng)絡(luò)，AES基于SP網(wǎng)絡(luò)（替代置換網(wǎng)絡(luò)）。2.SSL/TLS工作流程：客戶端發(fā)起連接，發(fā)送支持的協(xié)議版本、加密算法列表；服務(wù)器選擇算法，返回證書（含公鑰）；客戶端驗(yàn)證證書有效性，生成隨機(jī)數(shù)（預(yù)主密鑰），用服務(wù)器公鑰加密后發(fā)送；雙方基于預(yù)主密鑰生成會話密鑰（主密鑰→會話密鑰）；客戶端和服務(wù)器通過會話密鑰加密通信，完成握手。3.訪問控制三要素：主體（Subject）：提出訪問請求的實(shí)體（如用戶、進(jìn)程）；客體（Object）：被訪問的資源（如文件、數(shù)據(jù)庫）；控制策略（Policy）：決定主體能否訪問客體的規(guī)則（如“財務(wù)人員可訪問薪資表”）。4.緩沖區(qū)溢出原理及防范：原理：程序未檢查輸入數(shù)據(jù)長度，向緩沖區(qū)寫入超出容量的數(shù)據(jù)，覆蓋棧中的返回地址或函數(shù)指針，導(dǎo)致執(zhí)行惡意代碼。防范措施：使用安全編程語言（如Java自動管理內(nèi)存）、開啟棧保護(hù)（如GCC的Canary技術(shù)）、啟用地址空間隨機(jī)化（ASLR）、輸入長度校驗(yàn)。5.數(shù)字簽名及依賴技術(shù)：數(shù)字簽名是附加在數(shù)據(jù)上的一串代碼，用于驗(yàn)證數(shù)據(jù)來源和完整性。依賴技術(shù)：非對稱加密（用私鑰簽名，公鑰驗(yàn)證）、哈希函數(shù)（對數(shù)據(jù)計算哈希值，僅簽名哈希值以提高效率）。五、綜合分析題1.企業(yè)網(wǎng)絡(luò)安全方案設(shè)計：網(wǎng)絡(luò)接入控制：部署WPA3企業(yè)級認(rèn)證（如802.1X），要求員工使用域賬號+動態(tài)驗(yàn)證碼接入WiFi；啟用MAC地址白名單，僅允許注冊設(shè)備連接。訪問控制：對財務(wù)服務(wù)器采用基于角色的訪問控制（RBAC），為財務(wù)人員分配“財務(wù)訪問”角色，關(guān)聯(lián)服務(wù)器讀寫權(quán)限；設(shè)置最小權(quán)限原則，限制非財務(wù)人員僅能讀取公共文檔。邊界防護(hù)：部署下一代防火墻（NGFW），開啟入侵防御系統(tǒng)（IPS）檢測惡意掃描（如SQL注入特征、端口掃描）；在DMZ區(qū)部署Web應(yīng)用防火墻（WAF）保護(hù)內(nèi)部Web服務(wù)；定期更新防火墻規(guī)則，阻斷已知攻擊IP。附加措施：啟用網(wǎng)絡(luò)審計，記錄所有接入和訪問行為；對財務(wù)數(shù)據(jù)進(jìn)行加密存儲（如AES256），重要數(shù)據(jù)定期備份至離線存儲設(shè)備。2.SQL注入攻擊原理與防范：原理：攻擊者將惡意SQL代碼插入用戶輸入字段，欺騙服務(wù)器執(zhí)行非預(yù)期的SQL命令。例如，用戶登錄接口接收“用戶名=admin'&密碼=任意值”，其中“'”注釋掉后續(xù)代碼，使SQL變?yōu)椤癝ELECTFROMusersWHEREusername='admin'”，無需密碼即可登錄。防范措施：代碼層面：