信息安全工程師每日一練試題及答案一、單項(xiàng)選擇題（每題2分，共20分）1.以下關(guān)于對稱加密算法的描述中，錯(cuò)誤的是（）。A.加密和解密使用相同密鑰B.計(jì)算效率高，適合大數(shù)據(jù)加密C.典型算法包括AES、DES、RSAD.密鑰分發(fā)存在安全風(fēng)險(xiǎn)2.某企業(yè)采用“最小權(quán)限原則”配置系統(tǒng)權(quán)限，其核心目的是（）。A.簡化權(quán)限管理流程B.降低因權(quán)限濫用導(dǎo)致的安全風(fēng)險(xiǎn)C.提高系統(tǒng)運(yùn)行效率D.滿足合規(guī)性要求3.下列網(wǎng)絡(luò)攻擊中，屬于“中間人攻擊”的是（）。A.攻擊者通過ARP欺騙截獲用戶與服務(wù)器之間的通信數(shù)據(jù)B.攻擊者向目標(biāo)服務(wù)器發(fā)送大量SYN請求，導(dǎo)致服務(wù)不可用C.攻擊者利用SQL注入漏洞獲取數(shù)據(jù)庫敏感信息D.攻擊者通過釣魚郵件誘導(dǎo)用戶點(diǎn)擊惡意鏈接4.數(shù)字簽名的主要作用是（）。A.保證數(shù)據(jù)機(jī)密性B.驗(yàn)證數(shù)據(jù)完整性和發(fā)送者身份C.防止數(shù)據(jù)被篡改但無法驗(yàn)證身份D.實(shí)現(xiàn)數(shù)據(jù)加密傳輸5.以下惡意軟件中，能夠自我復(fù)制并通過網(wǎng)絡(luò)傳播的是（）。A.木馬（Trojan）B.蠕蟲（Worm）C.勒索軟件（Ransomware）D.間諜軟件（Spyware）6.在ISO/IEC27001信息安全管理體系中，“風(fēng)險(xiǎn)評估”的核心步驟不包括（）。A.資產(chǎn)識別與賦值B.威脅與脆弱性分析C.安全控制措施選擇D.系統(tǒng)漏洞掃描7.以下關(guān)于防火墻的描述中，正確的是（）。A.包過濾防火墻工作在應(yīng)用層，可深度檢測內(nèi)容B.狀態(tài)檢測防火墻能跟蹤TCP連接狀態(tài)，增強(qiáng)安全性C.應(yīng)用級網(wǎng)關(guān)防火墻性能高，適合高并發(fā)場景D.防火墻無法防御來自內(nèi)部網(wǎng)絡(luò)的攻擊8.某系統(tǒng)日志顯示“用戶A嘗試登錄失敗3次后被鎖定”，這體現(xiàn)了（）安全機(jī)制。A.訪問控制B.審計(jì)與監(jiān)控C.身份認(rèn)證D.入侵檢測9.以下數(shù)據(jù)脫敏技術(shù)中，屬于“不可逆脫敏”的是（）。A.替換（如將姓名替換為“某先生”）B.掩碼（如銀行卡號顯示為“1234”）C.哈希（如使用SHA256對身份證號哈希處理）D.加密（如使用AES對手機(jī)號加密存儲）10.《網(wǎng)絡(luò)安全法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行（）次檢測評估。A.1B.2C.3D.4二、填空題（每題2分，共20分）1.PKI（公鑰基礎(chǔ)設(shè)施）的核心組件包括數(shù)字證書、證書頒發(fā)機(jī)構(gòu)（CA）、__________和證書存儲庫。2.ISO/IEC27001的全稱是《__________》。3.網(wǎng)絡(luò)安全領(lǐng)域的“CIA三元組”指的是機(jī)密性（Confidentiality）、完整性（Integrity）和__________。4.常見的訪問控制模型包括自主訪問控制（DAC）、強(qiáng)制訪問控制（MAC）和__________（RBAC）。5.漏洞掃描分為主動掃描和__________，其中__________需要目標(biāo)系統(tǒng)配合提供信息。6.操作系統(tǒng)安全加固的關(guān)鍵措施包括禁用不必要的服務(wù)、關(guān)閉默認(rèn)共享、__________和定期更新補(bǔ)丁。7.無線局域網(wǎng)（WLAN）的常見安全協(xié)議中，WPA2采用__________加密算法，相比WEP安全性顯著提升。8.數(shù)據(jù)泄露防護(hù)（DLP）技術(shù)通過__________、監(jiān)控和阻斷敏感數(shù)據(jù)的非授權(quán)傳輸。9.安全審計(jì)的主要內(nèi)容包括系統(tǒng)日志審計(jì)、__________審計(jì)和用戶行為審計(jì)。10.《數(shù)據(jù)安全法》規(guī)定，國家建立數(shù)據(jù)分類分級保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實(shí)行__________保護(hù)。三、簡答題（每題8分，共40分）1.簡述TCSEC（可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)則）的分級標(biāo)準(zhǔn)，并說明C2級與B1級的核心區(qū)別。2.零信任架構(gòu)（ZeroTrustArchitecture）的核心原則是什么？請列舉3項(xiàng)關(guān)鍵實(shí)施措施。3.請描述SSL/TLS握手過程的主要步驟，并說明其如何實(shí)現(xiàn)通信雙方的身份認(rèn)證和密鑰協(xié)商。4.SQL注入攻擊的原理是什么？請列舉3種有效的防范措施。5.數(shù)據(jù)脫敏需要遵循哪些基本原則？請舉例說明“數(shù)據(jù)可用性”與“隱私保護(hù)”的平衡策略。四、案例分析題（共20分）某制造企業(yè)部署了ERP系統(tǒng)，存儲了客戶信息、訂單數(shù)據(jù)、產(chǎn)品設(shè)計(jì)圖紙等敏感信息。近期，企業(yè)IT部門發(fā)現(xiàn)以下異常情況：凌晨2點(diǎn)，某研發(fā)工程師的賬號在非工作時(shí)間登錄ERP系統(tǒng)，并下載了3份核心產(chǎn)品設(shè)計(jì)圖紙；日志顯示，該工程師的賬號密碼在登錄時(shí)未觸發(fā)二次驗(yàn)證；系統(tǒng)審計(jì)日志僅記錄了登錄時(shí)間和操作結(jié)果，未記錄具體操作內(nèi)容（如下載文件的路徑、大?。?；經(jīng)核查，該工程師已離職3個(gè)月，但賬號未及時(shí)注銷。問題：（1）請分析上述場景中存在的安全隱患（8分）；（2）提出針對性的整改措施（12分）。答案及解析一、單項(xiàng)選擇題1.答案：C解析：RSA是典型的非對稱加密算法，不屬于對稱加密。對稱加密算法包括AES、DES、3DES等。2.答案：B解析：最小權(quán)限原則要求用戶僅獲得完成任務(wù)所需的最小權(quán)限，目的是降低因權(quán)限過大導(dǎo)致的越權(quán)訪問、數(shù)據(jù)泄露等風(fēng)險(xiǎn)。3.答案：A解析：中間人攻擊（MITM）的核心是攻擊者截獲并可能篡改通信雙方的數(shù)據(jù)。ARP欺騙通過偽造MAC地址，使攻擊者成為通信雙方的“中間人”，符合這一特征。4.答案：B解析：數(shù)字簽名通過私鑰加密摘要，公鑰驗(yàn)證，可同時(shí)驗(yàn)證數(shù)據(jù)完整性（摘要匹配）和發(fā)送者身份（私鑰唯一性）。5.答案：B解析：蠕蟲無需宿主程序，可自動復(fù)制并通過網(wǎng)絡(luò)傳播（如“WannaCry”）；木馬需誘使用戶安裝，勒索軟件通過加密數(shù)據(jù)勒索，間諜軟件竊取信息，均不具備自主復(fù)制傳播特性。6.答案：D解析：風(fēng)險(xiǎn)評估包括資產(chǎn)識別、威脅/脆弱性分析、風(fēng)險(xiǎn)計(jì)算等步驟；漏洞掃描是技術(shù)檢測手段，屬于風(fēng)險(xiǎn)評估的支撐活動，但非核心步驟。7.答案：B解析：狀態(tài)檢測防火墻跟蹤TCP連接的狀態(tài)（如SYN、ESTABLISHED），能有效過濾非法連接；包過濾工作在網(wǎng)絡(luò)層，應(yīng)用級網(wǎng)關(guān)工作在應(yīng)用層但性能較低；防火墻可通過訪問控制策略防御內(nèi)部攻擊（如限制內(nèi)部主機(jī)訪問敏感服務(wù)器）。8.答案：C解析：登錄失敗鎖定屬于身份認(rèn)證的強(qiáng)化機(jī)制（如“三次錯(cuò)誤鎖定”），防止暴力破解。9.答案：C解析：哈希是不可逆的（無法從哈希值還原原始數(shù)據(jù)）；替換、掩碼、加密（可解密）均為可逆脫敏。10.答案：A解析：《網(wǎng)絡(luò)安全法》第三十八條明確要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者每年至少進(jìn)行一次檢測評估。二、填空題1.證書撤銷列表（CRL）或在線證書狀態(tài)協(xié)議（OCSP）2.信息技術(shù)安全技術(shù)信息安全管理體系要求3.可用性（Availability）4.基于角色的訪問控制5.被動掃描；被動掃描6.強(qiáng)化用戶權(quán)限管理（或“設(shè)置復(fù)雜密碼策略”）7.AES（高級加密標(biāo)準(zhǔn)）8.識別（或“分類”）9.應(yīng)用系統(tǒng)10.分級三、簡答題1.答案：TCSEC將系統(tǒng)安全等級從低到高分為D、C1、C2、B1、B2、B3、A1七級。C2級（受控訪問保護(hù)）的核心是實(shí)現(xiàn)細(xì)粒度的自主訪問控制（DAC），要求審計(jì)單個(gè)用戶的操作，并具備登錄驗(yàn)證和資源隔離能力；B1級（標(biāo)記安全保護(hù)）則引入強(qiáng)制訪問控制（MAC），要求所有敏感數(shù)據(jù)標(biāo)注安全標(biāo)簽（如密級），系統(tǒng)根據(jù)標(biāo)簽和用戶安全級別決定訪問權(quán)限，安全性更高。2.答案：核心原則：默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外部的任何設(shè)備、用戶或系統(tǒng)，必須通過持續(xù)驗(yàn)證確認(rèn)身份和安全狀態(tài)后再授權(quán)訪問。關(guān)鍵措施：①最小權(quán)限訪問：僅授予完成任務(wù)所需的最小權(quán)限；②持續(xù)身份驗(yàn)證：結(jié)合多因素認(rèn)證（MFA）、設(shè)備健康狀態(tài)檢查（如補(bǔ)丁更新、殺毒軟件運(yùn)行）動態(tài)驗(yàn)證；③微隔離（Microsegmentation）：將網(wǎng)絡(luò)劃分為小區(qū)域，限制橫向傳播；④全流量加密：所有內(nèi)外網(wǎng)通信強(qiáng)制使用TLS加密。3.答案：SSL/TLS握手過程主要步驟：①客戶端發(fā)送“ClientHello”，包含支持的TLS版本、加密算法列表、隨機(jī)數(shù)；②服務(wù)器響應(yīng)“ServerHello”，選擇具體版本和算法，發(fā)送服務(wù)器證書（含公鑰）及隨機(jī)數(shù)；③客戶端驗(yàn)證服務(wù)器證書（通過CA鏈），生成預(yù)主密鑰（PreMasterSecret）并用服務(wù)器公鑰加密后發(fā)送；④雙方基于預(yù)主密鑰和之前的隨機(jī)數(shù)生成主密鑰（MasterSecret），用于后續(xù)對稱加密；⑤客戶端發(fā)送“ChangeCipherSpec”，通知切換到加密通信；⑥服務(wù)器確認(rèn)并發(fā)送“Finished”消息，握手完成。身份認(rèn)證：服務(wù)器通過證書（CA簽名）證明身份；客戶端認(rèn)證可選（需客戶端證書）。密鑰協(xié)商：通過非對稱加密（服務(wù)器公鑰加密預(yù)主密鑰）傳遞關(guān)鍵參數(shù)，生成對稱密鑰，避免密鑰明文傳輸。4.答案：原理：攻擊者將惡意SQL代碼插入用戶輸入字段，使后端數(shù)據(jù)庫執(zhí)行非預(yù)期的SQL命令（如查詢、修改、刪除數(shù)據(jù)）。防范措施：①參數(shù)化查詢（預(yù)編譯語句）：將用戶輸入與SQL語句分離，避免代碼注入；②輸入驗(yàn)證：對輸入內(nèi)容進(jìn)行格式、長度、特殊字符（如單引號、分號）過濾；③最小權(quán)限原則：數(shù)據(jù)庫賬戶僅授予執(zhí)行必要操作的權(quán)限（如查詢權(quán)限，無刪除權(quán)限）；④存儲過程：封裝常用SQL邏輯，減少直接拼接語句；⑤數(shù)據(jù)庫防火墻：檢測并阻斷異常SQL請求。5.答案：數(shù)據(jù)脫敏基本原則：①隱私保護(hù)優(yōu)先：確保脫敏后數(shù)據(jù)無法還原真實(shí)信息（不可逆）；②數(shù)據(jù)可用性：脫敏后數(shù)據(jù)仍能滿足業(yè)務(wù)需求（如統(tǒng)計(jì)分析、測試）；③場景適配：根據(jù)使用場景選擇脫敏粒度（如測試環(huán)境可部分脫敏，公開數(shù)據(jù)需完全脫敏）；④合規(guī)性：符合《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等法規(guī)要求。平衡策略示例：某電商需將用戶訂單數(shù)據(jù)提供給第三方進(jìn)行銷量分析。原始數(shù)據(jù)包含姓名、手機(jī)號、地址，脫敏時(shí)可將姓名替換為“用戶X”，手機(jī)號掩碼為“1381234”，地址保留到市級（如“上海市”），既保護(hù)了用戶隱私，又保留了地域分布、銷量趨勢等分析所需的關(guān)鍵信息。四、案例分析題（1）安全隱患分析：①賬號生命周期管理缺失：離職員工賬號未及時(shí)注銷，存在身份冒用風(fēng)險(xiǎn)（非法登錄）；②身份認(rèn)證強(qiáng)度不足：敏感系統(tǒng)未啟用二次驗(yàn)證（如短信驗(yàn)證碼、動態(tài)令牌），易被暴力破解或冒用；③審計(jì)日志不完整：未記錄具體操作內(nèi)容（如下載文件的路徑、大?。?，無法追溯數(shù)據(jù)泄露細(xì)節(jié)；④異常行為監(jiān)測缺失：非工作時(shí)間登錄且下載核心文件未觸發(fā)告警，未能及時(shí)發(fā)現(xiàn)可疑操作；⑤權(quán)限管理漏洞：研發(fā)工程師可能被授予過高權(quán)限（如未限制非工作時(shí)間訪問或敏感文件下載權(quán)限）。（2）整改措施：①完善賬號生命周期管理：建立離職流程與IT系統(tǒng)解綁定機(jī)制（如OA離職審批觸發(fā)賬號自動禁用），定期核查賬號有效性（每月一次）；②強(qiáng)化身份認(rèn)證：對ERP系統(tǒng)敏感操作（如下載設(shè)計(jì)圖紙）強(qiáng)制啟用多因素認(rèn)證（MFA），如“密碼+動態(tài)令牌”或“密碼+短信驗(yàn)證碼”；③優(yōu)化審計(jì)日志記錄：擴(kuò)展日志字段，記錄操作時(shí)間、用戶IP、操作類型