2025年計(jì)算機(jī)信息安全工程師考試試題及答案一、單項(xiàng)選擇題（共20題，每題2分，共40分）1.以下哪項(xiàng)是AES256加密算法的密鑰長(zhǎng)度？A.128位B.192位C.256位D.512位2.在TCP/IP協(xié)議棧中，TLS協(xié)議主要工作在哪個(gè)層次？A.網(wǎng)絡(luò)層B.傳輸層C.應(yīng)用層D.數(shù)據(jù)鏈路層3.緩沖區(qū)溢出攻擊的核心目的是：A.竊取用戶隱私數(shù)據(jù)B.篡改程序執(zhí)行流程C.耗盡系統(tǒng)內(nèi)存資源D.破壞網(wǎng)絡(luò)帶寬4.以下哪種訪問(wèn)控制模型基于“最小權(quán)限原則”設(shè)計(jì)？A.自主訪問(wèn)控制（DAC）B.強(qiáng)制訪問(wèn)控制（MAC）C.基于角色的訪問(wèn)控制（RBAC）D.基于屬性的訪問(wèn)控制（ABAC）5.某企業(yè)數(shù)據(jù)庫(kù)日志中發(fā)現(xiàn)大量異常SQL查詢，特征為“'OR'1'='1”，最可能的攻擊類型是：A.XSS攻擊B.SQL注入攻擊C.CSRF攻擊D.DDoS攻擊6.以下哪項(xiàng)是PKI體系中CA的核心功能？A.生成用戶密鑰對(duì)B.頒發(fā)和管理數(shù)字證書(shū)C.實(shí)現(xiàn)數(shù)據(jù)加密傳輸D.驗(yàn)證用戶身份口令7.針對(duì)物聯(lián)網(wǎng)設(shè)備的“固件回滾攻擊”，最有效的防御措施是：A.啟用固件數(shù)字簽名驗(yàn)證B.限制設(shè)備網(wǎng)絡(luò)訪問(wèn)權(quán)限C.定期更新設(shè)備操作系統(tǒng)D.部署入侵檢測(cè)系統(tǒng)（IDS）8.以下哪種哈希算法已被證明存在碰撞漏洞，不推薦用于安全場(chǎng)景？A.SHA256B.SHA3C.MD5D.BLAKE39.在零信任架構(gòu)中，“持續(xù)驗(yàn)證”的核心要求是：A.用戶僅需登錄一次即可訪問(wèn)所有資源B.每次訪問(wèn)請(qǐng)求均需重新驗(yàn)證身份和設(shè)備狀態(tài)C.網(wǎng)絡(luò)邊界設(shè)置嚴(yán)格的防火墻規(guī)則D.所有數(shù)據(jù)傳輸必須通過(guò)VPN加密10.某系統(tǒng)日志顯示“SYN包數(shù)量激增但無(wú)ACK響應(yīng)”，最可能的攻擊是：A.SYNFloodB.ICMPFloodC.DNS放大攻擊D.ARP欺騙11.以下哪項(xiàng)是數(shù)據(jù)脫敏技術(shù)的典型應(yīng)用場(chǎng)景？A.數(shù)據(jù)庫(kù)備份加密B.測(cè)試環(huán)境使用真實(shí)用戶數(shù)據(jù)C.日志文件壓縮存儲(chǔ)D.敏感信息在外部系統(tǒng)的展示12.針對(duì)勒索軟件攻擊，最關(guān)鍵的防御措施是：A.安裝最新版殺毒軟件B.定期離線備份重要數(shù)據(jù)C.禁用系統(tǒng)遠(yuǎn)程桌面功能D.對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)13.以下哪種協(xié)議用于實(shí)現(xiàn)IPSec的身份認(rèn)證？A.AH（認(rèn)證頭）B.ESP（封裝安全載荷）C.IKE（互聯(lián)網(wǎng)密鑰交換）D.L2TP（第二層隧道協(xié)議）14.在移動(dòng)應(yīng)用安全中，“應(yīng)用加固”的主要目的是：A.提升應(yīng)用運(yùn)行速度B.防止反編譯和逆向工程C.優(yōu)化用戶界面交互D.減少應(yīng)用內(nèi)存占用15.以下哪項(xiàng)屬于“灰帽黑客”的行為特征？A.未經(jīng)授權(quán)入侵系統(tǒng)并勒索B.發(fā)現(xiàn)漏洞后主動(dòng)向廠商報(bào)告C.受雇于企業(yè)進(jìn)行滲透測(cè)試D.公開(kāi)傳播惡意軟件源代碼16.某企業(yè)采用“雙因素認(rèn)證（2FA）”，以下哪項(xiàng)組合符合要求？A.用戶名+密碼B.密碼+短信驗(yàn)證碼C.指紋識(shí)別+虹膜識(shí)別D.智能卡+USBKey17.以下哪種漏洞屬于“內(nèi)存安全漏洞”？A.跨站腳本（XSS）B.整數(shù)溢出C.路徑遍歷D.命令注入18.在云安全中，“責(zé)任共擔(dān)模型”指的是：A.云服務(wù)商和用戶共同承擔(dān)全部安全責(zé)任B.云服務(wù)商負(fù)責(zé)物理層安全，用戶負(fù)責(zé)應(yīng)用層安全C.云服務(wù)商和用戶按協(xié)議劃分安全責(zé)任邊界D.用戶需完全依賴云服務(wù)商的安全能力19.以下哪項(xiàng)是“隱私計(jì)算”的核心目標(biāo)？A.在不共享原始數(shù)據(jù)的前提下實(shí)現(xiàn)聯(lián)合計(jì)算B.對(duì)數(shù)據(jù)進(jìn)行高強(qiáng)度加密存儲(chǔ)C.限制數(shù)據(jù)的跨境流動(dòng)D.確保數(shù)據(jù)刪除后無(wú)法恢復(fù)20.針對(duì)AI模型的“對(duì)抗樣本攻擊”，主要影響的是模型的：A.訓(xùn)練效率B.泛化能力C.預(yù)測(cè)準(zhǔn)確性D.數(shù)據(jù)隱私性二、填空題（共10題，每題2分，共20分）1.常見(jiàn)的Web應(yīng)用防火墻（WAF）部署模式包括反向代理模式、透明橋模式和________模式。2.漏洞生命周期中，“0day漏洞”指的是________已知但未修復(fù)的漏洞。3.數(shù)據(jù)安全法規(guī)定，重要數(shù)據(jù)處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)進(jìn)行________，并按照要求報(bào)送相關(guān)情況。4.區(qū)塊鏈系統(tǒng)中，防止雙花攻擊的核心機(jī)制是________。5.惡意軟件的“免殺技術(shù)”主要通過(guò)修改________特征以繞過(guò)殺毒軟件檢測(cè)。6.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中，第三級(jí)信息系統(tǒng)的安全保護(hù)要求包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和________四個(gè)層面。7.無(wú)線局域網(wǎng)（WLAN）中，WPA3協(xié)議通過(guò)________技術(shù)解決了WPA2中PSK弱密碼的安全問(wèn)題。8.操作系統(tǒng)安全中，“沙箱（Sandbox）”技術(shù)的核心是________應(yīng)用程序的執(zhí)行環(huán)境。9.工業(yè)控制系統(tǒng)（ICS）中，常見(jiàn)的協(xié)議如Modbus、DNP3缺乏________機(jī)制，易被篡改或偽造。10.量子計(jì)算對(duì)現(xiàn)有密碼體系的主要威脅是能夠高效破解________加密算法（如RSA）。三、簡(jiǎn)答題（共5題，每題6分，共30分）1.簡(jiǎn)述零信任架構(gòu)的核心原則，并說(shuō)明其與傳統(tǒng)邊界安全的主要區(qū)別。2.比較對(duì)稱加密算法（如AES）與非對(duì)稱加密算法（如RSA）的優(yōu)缺點(diǎn)，并說(shuō)明二者在實(shí)際應(yīng)用中的典型組合方式。3.列舉常見(jiàn)的DDoS攻擊類型（至少4種），并分別說(shuō)明其攻擊原理。4.解釋“數(shù)據(jù)脫敏”與“數(shù)據(jù)加密”的區(qū)別，舉例說(shuō)明數(shù)據(jù)脫敏的常用技術(shù)（至少3種）。5.簡(jiǎn)述APT（高級(jí)持續(xù)性威脅）攻擊的特點(diǎn)，并提出企業(yè)應(yīng)對(duì)APT攻擊的防御策略（至少4條）。四、綜合分析題（共2題，每題15分，共30分）案例1：某電商平臺(tái)用戶數(shù)據(jù)泄露事件某電商平臺(tái)近日發(fā)現(xiàn)，約50萬(wàn)用戶的姓名、手機(jī)號(hào)、收貨地址信息被非法獲取。經(jīng)技術(shù)排查，日志顯示數(shù)據(jù)庫(kù)服務(wù)器在凌晨2點(diǎn)出現(xiàn)異常連接，連接源IP為海外某服務(wù)器，通過(guò)弱口令（admin/123456）登錄數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS），導(dǎo)出用戶數(shù)據(jù)后刪除日志。問(wèn)題：（1）分析該數(shù)據(jù)泄露事件的直接原因和間接原因（各至少2條）。（2）提出針對(duì)性的整改措施（至少5條）。案例2：企業(yè)云環(huán)境安全加固某企業(yè)將核心業(yè)務(wù)系統(tǒng)遷移至公有云，采用“云服務(wù)器（ECS）+關(guān)系型數(shù)據(jù)庫(kù)（RDS）+對(duì)象存儲(chǔ)（OSS）”架構(gòu)。近期安全檢測(cè)發(fā)現(xiàn)：ECS實(shí)例開(kāi)放了22號(hào)（SSH）、3389號(hào)（RDP）公網(wǎng)端口；RDS數(shù)據(jù)庫(kù)未啟用自動(dòng)備份；OSS存儲(chǔ)桶設(shè)置為“公共讀”權(quán)限；部分ECS實(shí)例未安裝最新安全補(bǔ)丁。問(wèn)題：（1）指出該云環(huán)境存在的安全風(fēng)險(xiǎn)（至少4條）。（2）設(shè)計(jì)云環(huán)境安全加固方案（需涵蓋計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、管理四個(gè)層面）。參考答案一、單項(xiàng)選擇題1.C2.B3.B4.C5.B6.B7.A8.C9.B10.A11.D12.B13.A14.B15.B16.B17.B18.C19.A20.C二、填空題1.路由2.廠商3.數(shù)據(jù)安全影響評(píng)估4.共識(shí)機(jī)制（或“最長(zhǎng)鏈規(guī)則”）5.特征碼（或“哈希”）6.安全管理中心7.SAE（安全自動(dòng)配置）8.隔離（或“限制”）9.身份認(rèn)證（或“加密”）10.公鑰（或“非對(duì)稱”）三、簡(jiǎn)答題1.零信任核心原則：持續(xù)驗(yàn)證、最小權(quán)限、動(dòng)態(tài)訪問(wèn)控制、信任不預(yù)設(shè)。與傳統(tǒng)邊界安全的區(qū)別：傳統(tǒng)安全依賴“網(wǎng)絡(luò)邊界”（如防火墻），假設(shè)內(nèi)部網(wǎng)絡(luò)可信；零信任假設(shè)“所有訪問(wèn)均不可信”，需對(duì)每次請(qǐng)求的身份、設(shè)備、環(huán)境等多因素進(jìn)行動(dòng)態(tài)驗(yàn)證。2.對(duì)稱加密：優(yōu)點(diǎn)是加密速度快，適合大數(shù)據(jù)量；缺點(diǎn)是密鑰分發(fā)困難，易泄露。非對(duì)稱加密：優(yōu)點(diǎn)是密鑰分發(fā)安全（公鑰可公開(kāi)）；缺點(diǎn)是計(jì)算復(fù)雜度高，適合小數(shù)據(jù)量。組合方式：用非對(duì)稱加密傳輸對(duì)稱加密的密鑰（如TLS握手過(guò)程），再用對(duì)稱加密傳輸數(shù)據(jù)。3.DDoS攻擊類型：SYNFlood：偽造大量SYN請(qǐng)求，耗盡服務(wù)器半連接資源；ICMPFlood：發(fā)送大量ICMP請(qǐng)求（如Ping），耗盡帶寬；DNS放大：利用DNS遞歸查詢，偽造源IP向DNS服務(wù)器發(fā)送請(qǐng)求，放大攻擊流量；HTTPFlood：模擬真實(shí)用戶發(fā)送大量HTTP請(qǐng)求，耗盡服務(wù)器處理能力。4.區(qū)別：數(shù)據(jù)加密是通過(guò)算法將數(shù)據(jù)轉(zhuǎn)換為密文，需密鑰解密；數(shù)據(jù)脫敏是對(duì)敏感數(shù)據(jù)進(jìn)行變形（如替換、掩碼），使其失去隱私價(jià)值，無(wú)需解密。常用技術(shù)：脫敏（如手機(jī)號(hào)“1381234”）、隨機(jī)化（替換為隨機(jī)值）、截?cái)啵ūＡ舨糠肿侄危?、泛化（將?5歲”改為“2030歲”）。5.APT特點(diǎn)：目標(biāo)明確（針對(duì)特定組織）、持續(xù)性（長(zhǎng)期潛伏）、高技術(shù)性（使用0day漏洞）、隱蔽性（繞過(guò)常規(guī)檢測(cè)）。防御策略：加強(qiáng)日志監(jiān)控與威脅情報(bào)分析；定期更新系統(tǒng)補(bǔ)?。粚?shí)施最小權(quán)限原則；對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行加密和多重備份；開(kāi)展員工安全意識(shí)培訓(xùn)。四、綜合分析題案例1（1）直接原因：數(shù)據(jù)庫(kù)弱口令（admin/123456）；日志被惡意刪除（缺乏日志審計(jì)保護(hù)）。間接原因：未啟用數(shù)據(jù)庫(kù)訪問(wèn)控制（如IP白名單）；未定期進(jìn)行弱口令檢測(cè)；安全意識(shí)培訓(xùn)不足（管理員使用簡(jiǎn)單密碼）。（2）整改措施：①?gòu)?qiáng)制修改數(shù)據(jù)庫(kù)賬號(hào)密碼（要求復(fù)雜度：8位以上，包含字母、數(shù)字、符號(hào)）；②啟用數(shù)據(jù)庫(kù)訪問(wèn)控制（設(shè)置IP白名單，僅允許內(nèi)部網(wǎng)絡(luò)訪問(wèn)）；③部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，記錄所有操作日志并進(jìn)行加密存儲(chǔ)，防止篡改；④對(duì)用戶數(shù)據(jù)進(jìn)行加密存儲(chǔ)（如對(duì)手機(jī)號(hào)、地址字段使用AES加密）；⑤定期開(kāi)展?jié)B透測(cè)試和漏洞掃描，重點(diǎn)檢查弱口令、未授權(quán)訪問(wèn)等風(fēng)險(xiǎn)；⑥對(duì)安全管理人員進(jìn)行專項(xiàng)培訓(xùn)，提升應(yīng)急響應(yīng)能力（如日志異常檢測(cè)、事件溯源）。案例2（1）安全風(fēng)險(xiǎn)：①ECS開(kāi)放公網(wǎng)SSH/RDP端口，易被暴力破解（如SSH爆破攻擊）；②RDS未啟用自動(dòng)備份，數(shù)據(jù)丟失后無(wú)法快速恢復(fù)；③OSS存儲(chǔ)桶“公共讀”權(quán)限導(dǎo)致敏感數(shù)據(jù)可能被未授權(quán)訪問(wèn)；④ECS未安裝安全補(bǔ)丁，存在已知漏洞（如CVE202XXXXX遠(yuǎn)程代碼執(zhí)行漏洞）。（2）加固方案：計(jì)算層面：關(guān)閉ECS公網(wǎng)22/3389端口，僅保留內(nèi)網(wǎng)訪問(wèn)；啟用云服務(wù)器安全組，限制僅特定IP訪問(wèn)管理端口；定期掃描并安裝系統(tǒng)補(bǔ)?。ㄍㄟ^(guò)云廠商提供的補(bǔ)丁管理服務(wù)）。存儲(chǔ)層面：RDS啟用自動(dòng)備份（設(shè)置每日全量備份+每小時(shí)增量備份），備份保留30天；OSS存儲(chǔ)桶改為“私有”權(quán)限，通過(guò)預(yù)簽名URL授權(quán)臨時(shí)訪問(wèn)；對(duì)敏感數(shù)據(jù)（如用戶信息）啟用加密