2025年信息安全期末考試題及答案一、單項選擇題（每題2分，共20分）1.2024年某金融機構(gòu)因未部署零信任架構(gòu)，導(dǎo)致內(nèi)部系統(tǒng)被外部滲透。以下哪項不屬于零信任“持續(xù)驗證”的核心要求？A.終端完整性檢查（如系統(tǒng)補丁狀態(tài)）B.用戶行為異常檢測（如非工作時間登錄）C.網(wǎng)絡(luò)流量加密（如強制TLS1.3）D.動態(tài)權(quán)限調(diào)整（如根據(jù)環(huán)境變更權(quán)限）答案：C（網(wǎng)絡(luò)加密屬于基礎(chǔ)防護，非零信任特有的持續(xù)驗證環(huán)節(jié)）2.量子計算機若實現(xiàn)實用化，對現(xiàn)有公鑰密碼體系威脅最大的算法是？A.AES-256（對稱加密）B.RSA（基于大整數(shù)分解）C.ChaCha20（流加密）D.HMAC-SHA256（消息認證碼）答案：B（量子計算機可通過Shor算法快速分解大整數(shù)，破解RSA）3.某企業(yè)部署威脅情報平臺時，發(fā)現(xiàn)攻擊者使用新型C2服務(wù)器域名（如“example[.]com”中插入不可見字符）。此類威脅情報屬于？A.戰(zhàn)略情報（長期趨勢）B.戰(zhàn)術(shù)情報（攻擊手法）C.技術(shù)情報（IOCs）D.運營情報（響應(yīng)流程）答案：C（不可見字符域名屬于可觀測指標IOCs）4.某電商平臺用戶反饋“提交訂單時跳轉(zhuǎn)到惡意支付頁面”，經(jīng)檢測為服務(wù)端請求偽造（SSRF）漏洞。以下哪項是該漏洞的典型利用場景？A.攻擊者偽造用戶Cookie登錄后臺B.攻擊者誘導(dǎo)服務(wù)器訪問內(nèi)網(wǎng)Redis未授權(quán)接口C.攻擊者通過XSS竊取用戶會話IDD.攻擊者暴力破解數(shù)據(jù)庫弱口令答案：B（SSRF核心是利用服務(wù)器訪問內(nèi)部資源）5.某移動應(yīng)用因深度鏈接（DeepLink）未做來源校驗，導(dǎo)致攻擊者通過惡意鏈接劫持用戶交易。以下防護措施中最有效的是？A.限制應(yīng)用僅允許HTTPS鏈接B.對所有深度鏈接參數(shù)進行簽名校驗C.增加應(yīng)用啟動時的設(shè)備指紋驗證D.關(guān)閉應(yīng)用的外部鏈接跳轉(zhuǎn)功能答案：B（來源校驗需通過簽名確保鏈接合法性）6.IoT設(shè)備固件安全中，以下哪項措施無法有效防止固件被篡改？A.對固件進行SHA-256哈希校驗B.采用硬件安全模塊（HSM）存儲私鑰C.啟用固件回滾保護（防降級攻擊）D.使用開源固件代碼便于社區(qū)審計答案：D（開源代碼無法直接防止篡改，需結(jié)合簽名等技術(shù)）7.某醫(yī)療系統(tǒng)需對患者姓名、身份證號脫敏處理，以下哪種方法不符合“不可逆性”要求？A.對身份證號后四位用“”替換B.使用哈希函數(shù)（如SHA-256）提供摘要C.基于規(guī)則的隨機置換（如將“張三”替換為“張X”）D.采用差分隱私技術(shù)添加隨機噪聲答案：C（規(guī)則置換可能通過統(tǒng)計分析還原原始數(shù)據(jù)）8.某聯(lián)盟鏈因共識機制設(shè)計缺陷，導(dǎo)致惡意節(jié)點偽造交易記錄。以下哪種共識機制最易受此類攻擊？A.工作量證明（PoW）B.權(quán)益證明（PoS）C.實用拜占庭容錯（PBFT）D.委托權(quán)益證明（DPoS）答案：C（PBFT依賴節(jié)點間通信，若惡意節(jié)點超過1/3可偽造共識）9.AI模型訓(xùn)練中，攻擊者通過插入特定樣本（如添加微小噪聲的圖片）使模型識別錯誤。此類攻擊屬于？A.數(shù)據(jù)投毒（訓(xùn)練階段注入惡意數(shù)據(jù)）B.對抗樣本（測試階段干擾預(yù)測）C.模型竊取（提取模型參數(shù)）D.后門攻擊（特定觸發(fā)條件下錯誤輸出）答案：B（對抗樣本攻擊發(fā)生在推理階段，通過擾動輸入欺騙模型）10.云環(huán)境中，某企業(yè)因未配置“數(shù)據(jù)駐留策略”被監(jiān)管部門約談。以下哪項是“數(shù)據(jù)駐留”的核心要求？A.數(shù)據(jù)加密存儲（如AES-256）B.數(shù)據(jù)副本分布在不同可用區(qū)C.數(shù)據(jù)物理位置符合地域法規(guī)D.數(shù)據(jù)訪問日志保留180天以上答案：C（數(shù)據(jù)駐留強制數(shù)據(jù)存儲在指定地理區(qū)域）二、填空題（每題2分，共20分）1.國密算法SM9主要用于______場景（身份標識密碼，或基于標識的加密/簽名）。答案：基于標識的加密（或身份認證）2.零信任架構(gòu)的核心原則是“______”（默認不信任任何內(nèi)外部實體）。答案：從不信任，始終驗證3.TLS1.3握手過程中，客戶端與服務(wù)器僅需______次往返（RTT）即可完成密鑰協(xié)商。答案：14.隱私計算主要包括聯(lián)邦學(xué)習(xí)、安全多方計算（MPC）和______三種技術(shù)路徑（可信執(zhí)行環(huán)境/TEE）。答案：可信執(zhí)行環(huán)境（或TEE）5.漏洞生命周期中，“漏洞被公開但未修復(fù)”的階段稱為______（可利用階段/公開階段）。答案：可利用階段（或公開未修復(fù)階段）6.IoT設(shè)備的國際安全認證標準中，______（如FCC、CE）通常包含無線電頻率合規(guī)要求，而______（如PSACertified）側(cè)重網(wǎng)絡(luò)安全能力。答案：電磁兼容認證；網(wǎng)絡(luò)安全認證（或具體標準如PSACertified）7.中國《數(shù)據(jù)出境安全評估辦法》規(guī)定，處理100萬人以上個人信息的數(shù)據(jù)處理者向境外提供數(shù)據(jù)，需通過______（安全評估）。答案：國家網(wǎng)信部門數(shù)據(jù)出境安全評估8.區(qū)塊鏈51%攻擊的核心危害是______（雙花交易/篡改交易記錄）。答案：雙花攻擊（或篡改區(qū)塊數(shù)據(jù)）9.AI模型后門攻擊的典型特征是：模型在正常輸入時表現(xiàn)正常，但遇到______（特定觸發(fā)模式）時輸出錯誤結(jié)果。答案：特定觸發(fā)條件（或特定模式輸入）10.云安全中“最小權(quán)限原則”要求，用戶或服務(wù)僅被授予______（完成任務(wù)所需的最小權(quán)限集合）。答案：完成當前任務(wù)所需的最小權(quán)限三、簡答題（每題8分，共40分）1.簡述量子計算對RSA和ECC算法的具體威脅，并說明后量子密碼（PQC）的應(yīng)對策略。答案：量子計算通過Shor算法可高效分解大整數(shù)（破解RSA）和求解橢圓曲線離散對數(shù)（破解ECC），使現(xiàn)有公鑰密碼失效。后量子密碼策略包括：①標準化抗量子算法（如NIST已選定CRYSTALS-Kyber、FALCON等基于格的算法）；②混合加密（傳統(tǒng)算法與PQC算法并行使用，過渡期間保障安全）；③系統(tǒng)升級（改造現(xiàn)有協(xié)議如TLS，支持PQC密鑰交換）。2.零信任架構(gòu)實施需遵循哪些關(guān)鍵步驟？請結(jié)合企業(yè)內(nèi)網(wǎng)改造場景說明。答案：步驟包括：①資產(chǎn)梳理（明確所有終端、應(yīng)用、數(shù)據(jù)資產(chǎn)）；②身份基線（建立用戶/設(shè)備的可信身份庫，如多因素認證）；③訪問策略建模（基于“身份+設(shè)備狀態(tài)+環(huán)境”動態(tài)授權(quán)，如僅允許安裝最新補丁的設(shè)備訪問財務(wù)系統(tǒng)）；④持續(xù)監(jiān)測（部署端點檢測響應(yīng)EDR、網(wǎng)絡(luò)流量分析NTA，實時評估風(fēng)險）；⑤自動化響應(yīng)（如檢測到異常登錄時，自動終止會話并觸發(fā)人工核查）。例如，企業(yè)將原“內(nèi)網(wǎng)完全信任”改為“每次訪問ERP系統(tǒng)需驗證用戶位置、設(shè)備健康狀態(tài)（如無惡意軟件）、當前操作是否符合角色權(quán)限”。3.分析SSRF漏洞的原理及防御措施，舉例說明其在云環(huán)境中的特殊風(fēng)險。答案：原理：攻擊者誘導(dǎo)服務(wù)器端發(fā)起任意HTTP/HTTPS請求（如訪問內(nèi)部IP、文件系統(tǒng)），利用服務(wù)器的內(nèi)網(wǎng)訪問權(quán)限繞過外部網(wǎng)絡(luò)限制。防御措施：①輸入校驗（限制URL協(xié)議、IP范圍，如禁止訪問/8等內(nèi)網(wǎng)段）；②禁用危險協(xié)議（如file://、gopher://）；③配置網(wǎng)絡(luò)訪問控制（服務(wù)器僅允許訪問必要的外部服務(wù)）；④使用安全代理（如通過反向代理統(tǒng)一管理請求）。云環(huán)境中特殊風(fēng)險：若服務(wù)器位于VPC內(nèi)，SSRF可能訪問云數(shù)據(jù)庫（如RDS）、元數(shù)據(jù)服務(wù)（如AWS的54），導(dǎo)致密鑰泄露或?qū)嵗俪帧?.隱私計算如何解決“數(shù)據(jù)可用不可見”問題？對比聯(lián)邦學(xué)習(xí)與安全多方計算（MPC）的適用場景。答案：隱私計算通過加密或安全協(xié)議，在不暴露原始數(shù)據(jù)的前提下完成計算。聯(lián)邦學(xué)習(xí)：各參與方在本地訓(xùn)練模型，僅交換模型參數(shù)（如梯度），適用于“數(shù)據(jù)量分布廣、需聯(lián)合建?！眻鼍埃ㄈ玢y行聯(lián)合反欺詐）。MPC：通過加密協(xié)議（如秘密分享）在多方間協(xié)同計算，結(jié)果僅在計算完成后解密，適用于“需精確計算結(jié)果”場景（如多方聯(lián)合統(tǒng)計用戶年齡分布）。兩者區(qū)別：聯(lián)邦學(xué)習(xí)側(cè)重模型訓(xùn)練，MPC側(cè)重具體數(shù)值計算；聯(lián)邦學(xué)習(xí)計算效率較高，MPC安全性理論更強但復(fù)雜度高。5.云原生安全需重點關(guān)注哪些技術(shù)點？結(jié)合Kubernetes集群說明防護措施。答案：技術(shù)點包括：容器安全（鏡像漏洞、運行時逃逸）、微服務(wù)安全（服務(wù)間認證、流量加密）、API安全（接口濫用、越權(quán)訪問）、云資源管理（IAM策略、權(quán)限最小化）。以Kubernetes為例：①容器鏡像：使用Trivy等工具掃描CVE漏洞，啟用鏡像簽名（如Cosign）防止篡改；②運行時安全：通過Falco監(jiān)控容器異常操作（如非法文件寫入）；③服務(wù)間通信：啟用mTLS雙向認證，通過Istio服務(wù)網(wǎng)格加密南北/東西向流量；④權(quán)限管理：使用RBAC限制Pod對APIServer的訪問（如僅允許讀取ConfigMap）；⑤日志與監(jiān)控：集成Prometheus+Grafana監(jiān)控集群異常指標（如Pod重啟頻率），結(jié)合ELK分析審計日志。四、綜合分析題（每題10分，共20分）1.某電商企業(yè)發(fā)生用戶數(shù)據(jù)泄露事件，泄露數(shù)據(jù)包含姓名、手機號、訂單金額（部分未脫敏）。經(jīng)初步調(diào)查，攻擊者通過釣魚郵件誘導(dǎo)員工點擊惡意鏈接，植入遠控木馬后橫向移動至數(shù)據(jù)庫服務(wù)器，最終下載數(shù)據(jù)。請分析：（1）可能的攻擊路徑關(guān)鍵薄弱點；（2）應(yīng)急響應(yīng)的核心步驟；（3）長期防護建議。答案：（1）薄弱點：①員工安全意識不足（未識別釣魚郵件）；②終端防護缺失（未部署EDR阻止木馬執(zhí)行）；③網(wǎng)絡(luò)隔離失效（木馬可從辦公終端橫向移動至數(shù)據(jù)庫）；④數(shù)據(jù)脫敏不到位（訂單金額未做部分隱藏）；⑤數(shù)據(jù)庫權(quán)限過大（攻擊者可能以高權(quán)限賬戶訪問）。（2）應(yīng)急響應(yīng)步驟：①隔離受影響系統(tǒng)（斷開數(shù)據(jù)庫服務(wù)器網(wǎng)絡(luò)，終止異常進程）；②取證分析（保存木馬樣本、日志文件，確定數(shù)據(jù)泄露范圍）；③漏洞修復(fù)（補丁終端系統(tǒng)、更新數(shù)據(jù)庫密碼、啟用多因素認證）；④用戶通知（按《個人信息保護法》48小時內(nèi)告知用戶風(fēng)險）；⑤上報監(jiān)管（向網(wǎng)安部門提交事件報告）。（3）長期防護：①零信任架構(gòu)：訪問數(shù)據(jù)庫需驗證員工身份（MFA）、終端健康狀態(tài)（無惡意軟件）、操作上下文（如僅允許白天訪問）；②數(shù)據(jù)安全治理：對敏感字段（手機號）實施脫敏（如“1381234”），部署DLP（數(shù)據(jù)丟失防護）監(jiān)控外發(fā)數(shù)據(jù)；③員工培訓(xùn)：定期開展釣魚郵件模擬測試，提升安全意識；④威脅檢測：部署SIEM（安全信息與事件管理）系統(tǒng)，關(guān)聯(lián)分析終端日志、網(wǎng)絡(luò)流量，及時發(fā)現(xiàn)異常（如非工作時間數(shù)據(jù)庫大文件下載）。2.設(shè)計一款智能醫(yī)療設(shè)備（如可穿戴式心率監(jiān)測儀）的安全方案，需涵蓋硬件、通信、數(shù)據(jù)、生命周期管理及合規(guī)性要求。答案：（1）硬件安全：①集成安全芯片（如SE安全元件）存儲設(shè)備唯一標識（UID）和加密密鑰；②啟用安全啟動（SecureBoot），驗證固件簽名防止篡改；③可信執(zhí)行環(huán)境（TEE）處理敏感計算（如心率數(shù)據(jù)加密），與普通操作系統(tǒng)（REE）隔離。（2）通信安全：①設(shè)備與手機APP通信采用TLS1.3+國密SM4加密，禁止使用BLE默認配對（易被嗅探）；②設(shè)備與云端通信通過IoT平臺（如華為IoT）接入，使用X.509證書雙向認證；③限制通信端口（僅開放443端口），禁用UDP廣播。（3）數(shù)據(jù)安全：①本地存儲：心率原始數(shù)據(jù)加密（AES-256），僅保留最近7天記錄；②上傳云端：用戶敏感信息（如姓名）去標識化（替換為匿名ID），關(guān)鍵指標（如異常心率）脫敏（僅上傳“異常”標簽）；③數(shù)據(jù)共享：需用戶授權(quán)（彈窗確認），通過隱私計算（如聯(lián)邦學(xué)習(xí)）與醫(yī)院聯(lián)合分析時不傳輸原始數(shù)據(jù)。（4）生命周期管理：