第第PAGE\MERGEFORMAT1頁共NUMPAGES\MERGEFORMAT1頁信息安全名詞解釋題庫及答案解析（含答案及解析）姓名：科室/部門/班級：得分：題型單選題多選題判斷題填空題簡答題案例分析題總分得分

一、單選題（共15分）

1.在信息安全領域，"CIA三元組"指的是哪三個核心安全目標？

A.機密性、完整性、可用性

B.可控性、完整性、保密性

C.可用性、完整性、認證性

D.認證性、授權(quán)性、機密性

2.以下哪種加密方式屬于對稱加密？

A.RSA

B.AES

C.ECC

D.SHA-256

3.惡意軟件中，主要通過偽裝成合法軟件進行傳播的是？

A.蠕蟲

B.木馬

C.病毒

D.邏輯炸彈

4.根據(jù)ISO/IEC27001標準，信息安全管理體系的核心要素不包括？

A.風險評估

B.安全策略

C.物理安全

D.營銷計劃

5.在網(wǎng)絡攻擊中，"中間人攻擊"主要利用哪種技術(shù)？

A.重放攻擊

B.DNS劫持

C.ARP欺騙

D.暴力破解

6.企業(yè)信息安全事件響應計劃中，哪個階段屬于事后總結(jié)？

A.準備階段

B.檢測階段

C.分析階段

D.恢復與改進階段

7.以下哪種協(xié)議使用端口號443進行通信？

A.FTP

B.SMTP

C.HTTPS

D.Telnet

8.數(shù)據(jù)備份策略中，"3-2-1原則"指的是什么？

A.3份本地備份、2份異地備份、1份離線存儲

B.3種備份類型、2個備份窗口、1個備份介質(zhì)

C.3臺服務器、2個網(wǎng)絡、1個數(shù)據(jù)中心

D.3級權(quán)限、2次驗證、1次登錄

9.信息安全風險評估中，"可能性"指的是什么？

A.事件發(fā)生的概率

B.事件造成的損失

C.風險發(fā)生的條件

D.風險的可控性

10.以下哪種認證方式安全性最高？

A.用戶名+密碼

B.OTP動態(tài)令牌

C.指紋識別

D.密鑰文件

二、多選題（共20分，多選、錯選均不得分）

11.信息安全法律法規(guī)中，以下哪些屬于《網(wǎng)絡安全法》的監(jiān)管范圍？

A.互聯(lián)網(wǎng)信息服務提供商

B.電信運營商

C.金融機構(gòu)

D.物聯(lián)網(wǎng)設備制造商

12.企業(yè)信息系統(tǒng)安全等級保護制度中，三級系統(tǒng)的主要特征包括？

A.泄露非敏感信息會造成嚴重損失

B.系統(tǒng)一旦癱瘓會影響國計民生

C.存儲大量公民個人信息

D.系統(tǒng)規(guī)模較小，可自行保護

13.常見的網(wǎng)絡攻擊手段中，以下哪些屬于被動攻擊？

A.DDoS攻擊

B.數(shù)據(jù)竊取

C.拒絕服務攻擊

D.網(wǎng)絡釣魚

14.信息安全審計中，以下哪些內(nèi)容需要記錄？

A.用戶登錄日志

B.數(shù)據(jù)訪問記錄

C.系統(tǒng)配置變更

D.員工培訓記錄

15.云計算安全中，以下哪些屬于云服務商的責任范圍？

A.數(shù)據(jù)加密

B.網(wǎng)絡隔離

C.物理設施安全

D.客戶訪問控制

三、判斷題（共10分，每題0.5分）

16.信息安全等級保護制度中，二級系統(tǒng)的保護對象是重要機關、金融機構(gòu)等。（）

17.對稱加密算法的密鑰分發(fā)問題可以通過數(shù)字證書解決。（）

18.惡意軟件通常不會通過電子郵件附件傳播。（）

19.ISO27005是信息安全風險評估的國際標準。（）

20.安全意識培訓屬于信息安全技術(shù)防護措施。（）

21.VPN（虛擬專用網(wǎng)絡）可以有效防止中間人攻擊。（）

22.企業(yè)數(shù)據(jù)備份只需要進行一次完整備份即可。（）

23.信息安全事件響應中，"遏制"階段的主要目標是防止損失擴大。（）

24.雙因素認證是指密碼+驗證碼的登錄方式。（）

25.物理安全措施中，冷備份指將數(shù)據(jù)存儲在紙質(zhì)介質(zhì)上。（）

四、填空題（共10空，每空1分，共10分）

26.信息安全的基本屬性包括機密性、______、______和可控性。

27.在信息安全事件響應中，"______"階段的主要任務是識別和確認安全事件。

28.數(shù)字簽名技術(shù)基于______和散列函數(shù)實現(xiàn)身份認證和數(shù)據(jù)完整性校驗。

29.根據(jù)網(wǎng)絡安全等級保護制度，______級系統(tǒng)屬于重要信息系統(tǒng)。

30.信息安全策略的核心要素包括安全目標、______、______和責任分配。

31.在公鑰基礎設施（PKI）中，______負責頒發(fā)和管理數(shù)字證書。

32.企業(yè)信息系統(tǒng)安全等級保護中，______級系統(tǒng)要求具備災備恢復能力。

33.信息安全風險評估的三要素是______、影響和可管理性。

34.信息安全審計中，"日志分析"屬于______審計的主要工作內(nèi)容。

35.云計算安全中，"______"指的是云服務商和客戶共同承擔安全責任的模式。

五、簡答題（共25分）

36.簡述信息安全風險評估的四個主要步驟及其核心內(nèi)容。（6分）

37.結(jié)合實際案例，說明企業(yè)如何建立有效的安全意識培訓機制？（7分）

38.在信息系統(tǒng)建設過程中，如何落實網(wǎng)絡安全等級保護制度的要求？（6分）

39.比較對稱加密和非對稱加密技術(shù)的優(yōu)缺點。（6分）

六、案例分析題（共20分）

某金融機構(gòu)發(fā)現(xiàn)其核心業(yè)務系統(tǒng)存在數(shù)據(jù)泄露風險，系統(tǒng)日志顯示近期有多次異常登錄嘗試，且部分敏感數(shù)據(jù)存儲未加密。安全團隊需要制定應急響應方案，回答以下問題：

（1）分析該案例中的主要安全風險點有哪些？（5分）

（2）說明應急響應方案的五個主要階段及每個階段應采取的具體措施。（10分）

（3）針對該案例，提出預防類似事件再次發(fā)生的管理和技術(shù)建議。（5分）

參考答案及解析

一、單選題

1.A

解析：CIA三元組是信息安全領域的核心目標，包括機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。B選項中的“可控性”不屬于核心目標；C選項中的“認證性”是重要但非核心要素；D選項中的“授權(quán)性”屬于訪問控制范疇。

2.B

解析：AES（高級加密標準）屬于對稱加密算法，使用相同密鑰進行加密和解密。RSA、ECC屬于非對稱加密算法；SHA-256是哈希函數(shù)，用于數(shù)據(jù)完整性校驗。

3.B

解析：木馬病毒通過偽裝成正常軟件，誘騙用戶下載安裝后執(zhí)行惡意操作。蠕蟲利用網(wǎng)絡漏洞自動傳播；病毒依賴文件系統(tǒng)傳播；邏輯炸彈在特定條件下觸發(fā)破壞。

4.D

解析：ISO/IEC27001信息安全管理體系核心要素包括信息安全方針、組織安全、資產(chǎn)管理、人力資源安全、物理安全、通信與操作管理、訪問控制、開發(fā)與維護、供應管理、信息安全事件管理、業(yè)務連續(xù)性管理、合規(guī)性等。D選項中的“營銷計劃”不屬于安全管理體系范疇。

5.C

解析：中間人攻擊通過偽造中間節(jié)點，截取或篡改通信雙方數(shù)據(jù)。重放攻擊是捕獲并重放數(shù)據(jù)包；DNS劫持是篡改域名解析結(jié)果；暴力破解是嘗試密碼。ARP欺騙通過偽造ARP表項實現(xiàn)。

6.D

解析：信息安全事件響應計劃包括準備、檢測、分析、遏制、根除、恢復和改進階段?；謴团c改進階段屬于事后總結(jié)，涉及系統(tǒng)恢復、復盤優(yōu)化等。

7.C

解析：HTTPS（安全超文本傳輸協(xié)議）默認使用TCP端口443傳輸加密數(shù)據(jù)。FTP使用21端口；SMTP使用25端口；Telnet使用23端口。

8.A

解析：3-2-1備份原則指：至少3份數(shù)據(jù)備份、其中2份存儲在不同介質(zhì)、1份異地存儲。該策略可防止單點故障導致數(shù)據(jù)丟失。

9.A

解析：信息安全風險評估中的“可能性”指事件發(fā)生的概率，如“高、中、低”或具體百分比。B選項是“影響”；C選項是“條件”；D選項是“可控性”。

10.B

解析：OTP（一次性密碼）通過動態(tài)生成驗證碼，每次使用后即失效，安全性高于靜態(tài)密碼、生物識別（易被偽造）或密鑰文件（易丟失）。

二、多選題

11.ABC

解析：根據(jù)《網(wǎng)絡安全法》第六章“網(wǎng)絡運營者安全義務”，電信運營商（B）、互聯(lián)網(wǎng)信息服務提供商（A）、金融機構(gòu)（C）均需落實網(wǎng)絡安全主體責任。D選項中的物聯(lián)網(wǎng)設備制造商雖需合規(guī)，但監(jiān)管范圍未直接列舉。

12.ABC

解析：三級系統(tǒng)要求具備較高安全保護能力，特征包括：泄露非敏感信息造成嚴重損失（A）、涉及大量公民個人信息（C）、系統(tǒng)中斷可能影響重要業(yè)務（B）。D選項描述的是四級系統(tǒng)（核心骨干系統(tǒng)）的特征。

13.B

解析：被動攻擊指竊取信息而不破壞系統(tǒng)運行，如數(shù)據(jù)竊取（B）。主動攻擊包括拒絕服務攻擊（C）、DDoS攻擊（A）、網(wǎng)絡釣魚（D）。

14.ABC

解析：信息安全審計需記錄關鍵操作日志，包括用戶登錄（A）、數(shù)據(jù)訪問（B）、系統(tǒng)配置變更（C）。D選項中的培訓記錄屬于行政管理范疇，非核心審計內(nèi)容。

15.CD

解析：云安全責任模型中，物理設施安全（C）和客戶訪問控制（D）屬于云服務商和客戶共同責任。數(shù)據(jù)加密（A）和網(wǎng)絡隔離（B）通常由客戶負責實施。

三、判斷題

16.√

解析：根據(jù)《網(wǎng)絡安全等級保護條例》（征求意見稿），二級系統(tǒng)包括重要機關、金融機構(gòu)等關鍵信息基礎設施。

17.√

解析：數(shù)字證書基于非對稱加密技術(shù)，可解決密鑰分發(fā)問題，實現(xiàn)身份認證和加密傳輸。

18.×

解析：木馬病毒常通過郵件附件、惡意網(wǎng)站、可移動介質(zhì)傳播。

19.√

解析：ISO27005是信息安全風險評估的國際標準，基于風險處理框架。

20.×

解析：安全意識培訓屬于管理措施，技術(shù)防護措施包括防火墻、入侵檢測等。

21.√

解析：VPN通過加密隧道傳輸數(shù)據(jù)，可有效防止中間人攻擊。

22.×

解析：數(shù)據(jù)備份需結(jié)合增量備份、差異備份和定期完整備份，單一完整備份無法滿足持續(xù)保護需求。

23.√

解析：遏制階段通過隔離受感染系統(tǒng)、阻止攻擊擴散等方式防止損失擴大。

24.×

解析：雙因素認證通常指“密碼+動態(tài)令牌/生物識別”組合，驗證碼僅屬單因素認證。

25.×

解析：冷備份指將數(shù)據(jù)備份到離線介質(zhì)（如磁帶），冷備份（ColdBackup）與紙質(zhì)介質(zhì)無關。

四、填空題

26.完整性、可用性

解析：信息安全基本屬性為CIA（機密性、完整性、可用性）+可控性。

27.檢測與確認

解析：事件響應第一階段是檢測并確認安全事件的存在，如通過日志分析、監(jiān)控告警發(fā)現(xiàn)異常。

28.非對稱密鑰

解析：數(shù)字簽名基于非對稱密鑰對（公鑰/私鑰）和散列函數(shù)實現(xiàn)，私鑰簽名，公鑰驗證。

29.三

解析：根據(jù)《網(wǎng)絡安全等級保護條例》（征求意見稿），三級系統(tǒng)屬于重要信息系統(tǒng)。

30.安全角色、訪問權(quán)限

解析：信息安全策略需明確目標、角色職責、權(quán)限控制、違規(guī)處理等要素。

31.CA（證書頒發(fā)機構(gòu)）

解析：CA負責頒發(fā)、管理、吊銷數(shù)字證書，是PKI的核心組件。

32.四

解析：四級系統(tǒng)（核心骨干系統(tǒng)）要求具備災備恢復能力，需滿足RTO/RPO等指標。

33.風險

解析：風險評估三要素為風險=可能性×影響，需綜合評估兩者。

34.技術(shù)或操作

解析：日志分析屬于技術(shù)審計范疇，通過分析系統(tǒng)日志發(fā)現(xiàn)異常行為。

35.共享責任模型

解析：云安全共享責任模型（SharedResponsibilityModel）明確云服務商和客戶各自的安全職責。

五、簡答題

36.信息安全風險評估步驟

①資產(chǎn)識別：確定系統(tǒng)中的關鍵資產(chǎn)（如硬件、軟件、數(shù)據(jù)），評估其價值。

②威脅識別：分析可能影響資產(chǎn)的威脅（如黑客攻擊、病毒）。

③脆弱性分析：檢查系統(tǒng)存在的安全漏洞（如配置錯誤）。

④風險計算：結(jié)合可能性、影響評估風險等級（如“高、中、低”）。

解析：該過程需基于《信息安全風險評估指南》（GB/T20984）進行，最終輸出風險處理建議。

37.安全意識培訓機制

①分層培訓：針對不同崗位（如管理員、普通員工）定制培訓內(nèi)容（如管理員需培訓權(quán)限管理，普通員工需培訓密碼安全）。

②案例教學：結(jié)合企業(yè)內(nèi)部或行業(yè)真實安全事件（如釣魚郵件攻擊），講解防范方法。

③定期考核：通過模擬測試（如選擇“不點擊可疑鏈接”）檢驗培訓效果，不合格者補訓。

④制度約束：將安全意識納入績效考核，如違規(guī)操作需受處罰。

解析：培訓需符合《信息安全意識教育規(guī)范》（ISO27035）要求，強調(diào)“預防為主”。

38.落實等級保護制度

①定級備案：根據(jù)系統(tǒng)重要性確定安全保護等級（如金融系統(tǒng)屬三級），向網(wǎng)信部門備案。

②建設整改：按等級保護要求進行安全建設，如部署防火墻、入侵檢測、數(shù)據(jù)加密。

③等級測評：定期委托第三方機構(gòu)開展安全測評（每年一次），出具報告。

④持續(xù)改進：根據(jù)測評結(jié)果優(yōu)化安全措施，如漏洞修復、策略更新。

解析：需遵循《網(wǎng)絡安全等級保護條例》及對應標準（如三級系統(tǒng)需滿足物理安全、通信安全等要求）。

39.對稱與非對稱加密對比

對稱加密：優(yōu)點（加密解密速度快，適用于大數(shù)據(jù)量）；缺點（密鑰分發(fā)困難，一方泄露則全部不安全）。典型算法：AES、DES。

非對稱加密：優(yōu)點（密鑰分發(fā)簡單，可用于數(shù)字簽名）；缺點（效率低，適用于小數(shù)據(jù)量）。典型算法：RSA、ECC。

解析：實際應用中常結(jié)合兩者（如SSL/TLS先協(xié)商對稱密鑰，再用非對稱密鑰加密對稱密鑰）。

六、案例分析題

（1）主要風險點

①未加密存儲：敏感數(shù)據(jù)未加密，一旦數(shù)據(jù)庫被攻破，數(shù)據(jù)易泄露。

②異常登錄：日志顯示多次嘗試，可能存在暴力破解或憑證泄露。

③安全策略缺失：未明確訪問控制規(guī)則，導致越權(quán)操作可能。

解析：需結(jié)合《網(wǎng)絡安全等級保護條例》要求，企業(yè)需對敏感數(shù)據(jù)進行加密存儲。

（2）應急響應方案五階段

①準備階段：組建響應團隊，制定預案，備份數(shù)據(jù)，測試工