2021下半年(11月)信息安全工程師真題及答案(綜合知識)

姓名：__________考號：__________題號一二三四五總分評分一、單選題(共10題)1.以下哪個協議用于傳輸文件？()A.HTTPB.FTPC.SMTPD.DNS2.在計算機安全中，以下哪個屬于被動攻擊？()A.拒絕服務攻擊B.網絡監(jiān)聽C.密碼破解D.網絡欺騙3.以下哪個加密算法屬于對稱加密？()A.RSAB.AESC.DESD.SHA-2564.以下哪種攻擊方式屬于社會工程學攻擊？()A.中間人攻擊B.拒絕服務攻擊C.惡意軟件攻擊D.網絡釣魚5.在信息安全中，以下哪個術語表示未經授權的訪問？()A.漏洞B.漏洞利用C.突破D.攻擊6.以下哪個安全措施不屬于網絡安全防護范疇？()A.防火墻B.入侵檢測系統(tǒng)C.數據備份D.用戶認證7.在SSL/TLS協議中，以下哪個是客戶端使用的密鑰交換方式？()A.RSAB.DHEC.ECDHED.ECDH8.以下哪個是用于檢測系統(tǒng)漏洞的工具？()A.WiresharkB.NmapC.MetasploitD.JohntheRipper9.在信息安全中，以下哪個術語表示系統(tǒng)或網絡在遭受攻擊時能夠保持正常運行的能力？()A.安全性B.可靠性C.可用性D.保密性10.以下哪個安全事件屬于內部威脅？()A.網絡釣魚B.惡意軟件攻擊C.數據泄露D.網絡攻擊二、多選題(共5題)11.以下哪些屬于網絡安全的三大要素？()A.保密性B.完整性C.可用性D.可控性12.以下哪些屬于常見的網絡攻擊類型？()A.拒絕服務攻擊B.中間人攻擊C.惡意軟件攻擊D.社會工程學攻擊13.以下哪些加密算法屬于對稱加密？()A.AESB.RSAC.DESD.SHA-25614.以下哪些屬于信息安全風險評估的步驟？()A.確定資產價值B.識別威脅C.評估脆弱性D.評估影響15.以下哪些措施可以有效提高網絡安全？()A.使用強密碼B.定期更新軟件C.實施訪問控制D.進行安全培訓三、填空題(共5題)16.在信息安全領域，'CIA'模型通常指的是保密性、完整性和____。17.SSL/TLS協議中的'Handshake'過程主要目的是建立____。18.在密碼學中，'密鑰長度'是指____。19.在網絡安全防護中，'入侵檢測系統(tǒng)（IDS）'的主要功能是____。20.在信息安全中，'漏洞'是指____。四、判斷題(共5題)21.SSL/TLS協議可以完全保證數據傳輸的安全性。()A.正確B.錯誤22.數據備份是網絡安全防護措施中最重要的環(huán)節(jié)。()A.正確B.錯誤23.社會工程學攻擊主要是通過技術手段進行的。()A.正確B.錯誤24.所有類型的惡意軟件都屬于病毒。()A.正確B.錯誤25.防火墻可以防止所有類型的網絡攻擊。()A.正確B.錯誤五、簡單題(共5題)26.請簡述信息安全的三個基本要素。27.什么是社會工程學攻擊？請舉例說明。28.什么是入侵檢測系統(tǒng)（IDS）？它有哪些功能？29.什么是安全審計？它在信息安全中有什么作用？30.請簡述信息加密的基本原理。

2021下半年(11月)信息安全工程師真題及答案(綜合知識)一、單選題(共10題)1.【答案】B【解析】FTP（文件傳輸協議）是用于在網絡上進行文件傳輸的標準協議。2.【答案】B【解析】網絡監(jiān)聽是一種被動攻擊，攻擊者只是監(jiān)聽網絡傳輸的數據，而不對數據做任何修改。3.【答案】C【解析】DES（數據加密標準）和AES（高級加密標準）都是對稱加密算法，使用相同的密鑰進行加密和解密。4.【答案】D【解析】網絡釣魚是一種通過偽裝成可信實體來誘騙用戶提供敏感信息的社會工程學攻擊方式。5.【答案】C【解析】突破通常指未經授權的訪問或入侵系統(tǒng)，而漏洞是指系統(tǒng)中的弱點，漏洞利用則是利用這些弱點進行攻擊。6.【答案】C【解析】數據備份是數據恢復的一部分，而網絡安全防護通常關注的是防止未授權的訪問和攻擊。7.【答案】A【解析】RSA是SSL/TLS協議中客戶端常用的非對稱密鑰交換方式，用于建立安全的通信通道。8.【答案】B【解析】Nmap（網絡映射器）是一款用于掃描網絡服務、操作系統(tǒng)和漏洞的網絡安全工具。9.【答案】C【解析】可用性是指系統(tǒng)或網絡在遭受攻擊時能夠保持正常運行的能力，即用戶可以訪問和使用服務。10.【答案】C【解析】數據泄露通常是指內部人員故意或非故意地泄露敏感信息，屬于內部威脅。二、多選題(共5題)11.【答案】ABC【解析】網絡安全的三大要素包括保密性、完整性和可用性，這三個方面共同構成了網絡安全的基本要求。12.【答案】ABCD【解析】常見的網絡攻擊類型包括拒絕服務攻擊、中間人攻擊、惡意軟件攻擊和社會工程學攻擊等，這些攻擊方式對網絡安全構成威脅。13.【答案】AC【解析】AES和DES是對稱加密算法，使用相同的密鑰進行加密和解密。RSA是非對稱加密算法，而SHA-256是散列函數。14.【答案】ABCD【解析】信息安全風險評估通常包括確定資產價值、識別威脅、評估脆弱性和評估影響等步驟，以全面評估信息安全風險。15.【答案】ABCD【解析】提高網絡安全的有效措施包括使用強密碼、定期更新軟件、實施訪問控制和進行安全培訓等，這些措施有助于增強系統(tǒng)的安全性。三、填空題(共5題)16.【答案】可用性【解析】CIA模型是信息安全的基本模型，其中C代表機密性（Confidentiality）、I代表完整性（Integrity）、A代表可用性（Availability）。17.【答案】安全通信通道【解析】SSL/TLS協議中的Handshake過程是用來在客戶端和服務器之間建立加密的安全通信通道，確保數據傳輸的安全性。18.【答案】密鑰的位數【解析】密鑰長度是指密鑰中二進制位的數量，密鑰長度越長，密鑰的熵值越大，密碼的強度也越高。19.【答案】檢測和報告系統(tǒng)中的異?；顒印窘馕觥咳肭謾z測系統(tǒng)（IDS）通過分析網絡流量或系統(tǒng)日志來檢測潛在的惡意活動或違反安全策略的行為，并生成警報。20.【答案】系統(tǒng)或軟件中的弱點【解析】漏洞是指系統(tǒng)或軟件中存在的可以被攻擊者利用的弱點，可能導致信息泄露、系統(tǒng)損壞或其他安全威脅。四、判斷題(共5題)21.【答案】錯誤【解析】SSL/TLS協議雖然可以提供加密和認證，但并不能完全保證數據傳輸的安全性，因為仍然存在其他安全威脅，如中間人攻擊。22.【答案】錯誤【解析】雖然數據備份對于防止數據丟失非常重要，但它并不是網絡安全防護措施中最重要的環(huán)節(jié)，其他如訪問控制、加密等同樣重要。23.【答案】錯誤【解析】社會工程學攻擊通常不依賴于技術手段，而是利用人的心理弱點或社會工程學技巧來欺騙用戶泄露信息或執(zhí)行某些操作。24.【答案】錯誤【解析】惡意軟件是一個廣泛的術語，包括病毒、木馬、蠕蟲、間諜軟件等，并非所有惡意軟件都屬于病毒，病毒是一種特定的惡意軟件類型。25.【答案】錯誤【解析】防火墻是網絡安全的重要組成部分，但并不能防止所有類型的網絡攻擊，特別是那些針對特定漏洞或通過社會工程學進行的攻擊。五、簡答題(共5題)26.【答案】信息安全的三個基本要素包括保密性、完整性和可用性。保密性確保信息不被未授權的第三方訪問；完整性確保信息在傳輸或存儲過程中不被篡改；可用性確保授權用戶可以訪問到所需的信息。【解析】這三個要素是信息安全的核心，它們共同確保信息系統(tǒng)的安全可靠。27.【答案】社會工程學攻擊是指通過欺騙手段誘使用戶泄露敏感信息或執(zhí)行某些操作，從而獲取系統(tǒng)訪問權限或敏感數據。例如，冒充公司高層領導要求財務人員轉賬，或者發(fā)送偽裝成合法機構的釣魚郵件誘騙用戶點擊惡意鏈接?！窘馕觥可鐣こ虒W攻擊利用人的心理弱點，是信息安全中一個不可忽視的威脅。28.【答案】入侵檢測系統(tǒng)（IDS）是一種用于監(jiān)控網絡或系統(tǒng)的工具，它可以檢測、識別和響應惡意活動或違反安全策略的行為。IDS的主要功能包括檢測入侵行為、生成警報、記錄事件、提供事件分析等。【解析】IDS是網絡安全防御的重要手段之一，可以幫助組織及時發(fā)現和應對安全威脅。29.【答案】安全審計是對組織的信息系統(tǒng)進行的安全性和合規(guī)性審查。它可以幫助組織評估信息安全風