2025年信息安全工程師考試網(wǎng)絡(luò)安全題庫及答案一、單項(xiàng)選擇題1.以下哪種攻擊方式利用了TCP三次握手協(xié)議的缺陷？A.ICMP重定向攻擊B.SYNFlood攻擊C.ARP欺騙攻擊D.DNS緩存投毒攻擊答案：B解析：SYNFlood攻擊通過偽造大量源IP地址發(fā)送SYN請求，使目標(biāo)主機(jī)維護(hù)大量半連接隊(duì)列，耗盡資源。TCP三次握手的第三次ACK無法完成，導(dǎo)致服務(wù)拒絕，核心利用了協(xié)議中半連接狀態(tài)的資源消耗特性。2.某企業(yè)部署了基于角色的訪問控制（RBAC），以下哪項(xiàng)不符合RBAC原則？A.財(cái)務(wù)主管角色擁有查看所有員工薪資的權(quán)限B.新入職的實(shí)習(xí)生默認(rèn)分配“訪客”角色，無文件修改權(quán)限C.系統(tǒng)管理員角色同時(shí)具備用戶創(chuàng)建和權(quán)限分配功能D.離職員工的“銷售經(jīng)理”角色在3個(gè)工作日內(nèi)被撤銷答案：C解析：RBAC要求職責(zé)分離（SoD），系統(tǒng)管理員不應(yīng)同時(shí)擁有用戶創(chuàng)建和權(quán)限分配權(quán)限，否則存在權(quán)限濫用風(fēng)險(xiǎn)。其他選項(xiàng)均符合角色分配、最小權(quán)限和及時(shí)回收的原則。3.以下哈希算法中，已被證明存在碰撞漏洞且不建議用于數(shù)字簽名的是？A.SHA-256B.MD5C.SHA-3D.SM3答案：B解析：MD5算法在2004年被證明可快速構(gòu)造碰撞，2010年后已被RFC6151明確禁止用于需要抗碰撞的場景（如數(shù)字簽名）。SHA-256、SHA-3、SM3目前仍被視為安全。4.某Web應(yīng)用使用JWT（JSONWebToken）進(jìn)行身份認(rèn)證，若未對(duì)Token的“alg”字段進(jìn)行校驗(yàn)，可能導(dǎo)致哪種攻擊？A.重放攻擊B.算法混淆攻擊（AlgorithmConfusionAttack）C.CSRF攻擊D.XSS攻擊答案：B解析：攻擊者可將Token的“alg”字段從“HMAC-SHA256”修改為“none”（無簽名），或替換為服務(wù)器支持的其他算法（如RSA），若服務(wù)器未校驗(yàn)算法類型，可能接受偽造的Token，導(dǎo)致身份驗(yàn)證繞過。5.以下關(guān)于零信任架構(gòu)（ZeroTrust）的描述，錯(cuò)誤的是？A.默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外部的任何用戶、設(shè)備和系統(tǒng)B.所有訪問請求需經(jīng)過動(dòng)態(tài)驗(yàn)證（身份、設(shè)備狀態(tài)、位置等）C.強(qiáng)調(diào)“網(wǎng)絡(luò)邊界”的物理隔離，如傳統(tǒng)防火墻D.采用“持續(xù)驗(yàn)證”策略，而非一次性認(rèn)證答案：C解析：零信任的核心是“永不信任，始終驗(yàn)證”，打破傳統(tǒng)基于網(wǎng)絡(luò)邊界的信任模型，通過動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估控制訪問，而非依賴物理邊界隔離。二、判斷題（正確填“√”，錯(cuò)誤填“×”）1.防火墻的訪問控制列表（ACL）應(yīng)默認(rèn)拒絕所有流量，僅允許明確授權(quán)的流量通過。（）答案：√解析：“默認(rèn)拒絕”是安全設(shè)計(jì)的基本原則，可避免因未覆蓋的規(guī)則導(dǎo)致的潛在風(fēng)險(xiǎn)。2.漏洞掃描工具（如Nessus）可以完全替代滲透測試，發(fā)現(xiàn)所有潛在安全漏洞。（）答案：×解析：漏洞掃描依賴已知漏洞庫，無法發(fā)現(xiàn)0day漏洞或業(yè)務(wù)邏輯漏洞；滲透測試需人工模擬攻擊，二者互補(bǔ)而非替代。3.對(duì)稱加密算法（如AES）的密鑰分發(fā)問題可通過非對(duì)稱加密（如RSA）解決。（）答案：√解析：常用方法是用RSA加密AES密鑰，安全傳輸后雙方使用AES加密數(shù)據(jù)，結(jié)合了對(duì)稱加密的高效和非對(duì)稱加密的密鑰分發(fā)優(yōu)勢。4.數(shù)據(jù)脫敏的“去標(biāo)識(shí)化”處理可完全避免隱私泄露，因?yàn)閿?shù)據(jù)無法還原為原始信息。（）答案：×解析：去標(biāo)識(shí)化數(shù)據(jù)可能通過關(guān)聯(lián)外部數(shù)據(jù)集（如公開的人口統(tǒng)計(jì)信息）重新識(shí)別個(gè)人，因此需結(jié)合“匿名化”（不可逆）處理才能確保隱私。三、簡答題1.簡述SQL注入攻擊的原理及防御措施。答案：原理：攻擊者通過在用戶輸入中插入惡意SQL代碼，使后端未做安全處理的數(shù)據(jù)庫執(zhí)行非預(yù)期指令（如查詢、修改、刪除數(shù)據(jù)）。例如，用戶輸入用戶名時(shí)填寫“'OR1=1--”，可能導(dǎo)致SQL語句變?yōu)椤癝ELECTFROMusersWHEREusername=''OR1=1--ANDpassword='xxx'”，繞過密碼驗(yàn)證。防御措施：①使用預(yù)編譯語句（PreparedStatement）或ORM框架，參數(shù)化輸入，避免SQL拼接；②對(duì)用戶輸入進(jìn)行嚴(yán)格校驗(yàn)（如白名單過濾特殊字符）；③限制數(shù)據(jù)庫賬戶權(quán)限（如僅授予查詢權(quán)限，禁止DROP等危險(xiǎn)操作）；④開啟數(shù)據(jù)庫審計(jì)日志，監(jiān)控異常查詢行為；⑤定期進(jìn)行SQL注入漏洞掃描（如使用OWASPZAP）。2.列舉5種常見的DDoS攻擊類型，并說明其核心攻擊目標(biāo)。答案：①帶寬耗盡型攻擊（如UDPFlood）：通過發(fā)送大量UDP數(shù)據(jù)包占用網(wǎng)絡(luò)帶寬，目標(biāo)是使目標(biāo)IP/端口的入向或出向帶寬飽和；②連接耗盡型攻擊（如SYNFlood）：偽造大量TCPSYN請求，耗盡目標(biāo)主機(jī)的半連接隊(duì)列資源，目標(biāo)是使服務(wù)進(jìn)程無法處理正常連接；③應(yīng)用層攻擊（如HTTPFlood）：模擬真實(shí)用戶發(fā)送大量HTTP請求（如GET/POST），消耗應(yīng)用服務(wù)器的CPU、內(nèi)存資源，目標(biāo)是使應(yīng)用程序響應(yīng)延遲或崩潰；④ICMPFlood（PingFlood）：發(fā)送大量ICMPEchoRequest包，利用目標(biāo)主機(jī)的響應(yīng)消耗帶寬和計(jì)算資源；⑤DNS放大攻擊：偽造源IP為目標(biāo)地址，向開放DNS服務(wù)器發(fā)送遞歸查詢請求（如ANY類型），利用DNS響應(yīng)包的放大效應(yīng)（如1:50倍）攻擊目標(biāo)。3.簡述《數(shù)據(jù)安全法》中“重要數(shù)據(jù)”的定義及處理要求。答案：定義：重要數(shù)據(jù)是指一旦泄露、破壞、篡改或非法獲取，可能危害國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)。具體目錄由國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌確定（如關(guān)鍵信息基礎(chǔ)設(shè)施的核心數(shù)據(jù)、人口健康數(shù)據(jù)等）。處理要求：①數(shù)據(jù)處理者需建立重要數(shù)據(jù)識(shí)別、分類、保護(hù)制度；②向境外提供重要數(shù)據(jù)前，應(yīng)通過國家網(wǎng)信部門組織的安全評(píng)估；③發(fā)生重要數(shù)據(jù)泄露等安全事件時(shí)，需立即采取補(bǔ)救措施，72小時(shí)內(nèi)向有關(guān)部門報(bào)告；④重要數(shù)據(jù)處理活動(dòng)需符合法律、行政法規(guī)的額外安全要求（如加密存儲(chǔ)、訪問控制等）。四、綜合分析題某電商平臺(tái)近期頻繁出現(xiàn)用戶賬戶被盜用事件，表現(xiàn)為用戶未操作的情況下，賬戶內(nèi)余額被轉(zhuǎn)賬至陌生賬戶。經(jīng)初步排查，發(fā)現(xiàn)以下線索：-被盜賬戶均曾在平臺(tái)的“商品評(píng)論”功能中提交過含鏈接的評(píng)論；-平臺(tái)后端日志顯示，被盜賬戶登錄時(shí)的IP地址與用戶常用IP差異較大；-部分用戶反饋收到過“賬戶異常，點(diǎn)擊鏈接驗(yàn)證”的短信。請分析可能的攻擊路徑，并提出至少5項(xiàng)針對(duì)性的防御措施。答案：可能的攻擊路徑分析：①釣魚攻擊：攻擊者通過短信發(fā)送偽造的“賬戶驗(yàn)證”鏈接（如仿冒電商平臺(tái)登錄頁），誘導(dǎo)用戶輸入賬號(hào)密碼，竊取憑證；②跨站腳本（XSS）攻擊：用戶在“商品評(píng)論”中提交含惡意JavaScript代碼的鏈接（如<script>document.cookie</script>），若平臺(tái)未對(duì)評(píng)論內(nèi)容做HTML轉(zhuǎn)義，代碼會(huì)在其他用戶訪問該評(píng)論時(shí)執(zhí)行，竊取受害者的會(huì)話Cookie；③會(huì)話劫持：攻擊者通過XSS獲取受害者的Cookie后，利用不同IP地址模擬登錄，繞過簡單的IP綁定機(jī)制，完成盜刷。防御措施：①輸入輸出過濾：對(duì)“商品評(píng)論”功能的用戶輸入進(jìn)行嚴(yán)格的HTML轉(zhuǎn)義（如將“<”替換為“<”），防止XSS代碼執(zhí)行；②釣魚鏈接檢測：在短信網(wǎng)關(guān)部署URL安全檢測系統(tǒng)（如集成騰訊安全云庫），識(shí)別仿冒平臺(tái)的釣魚鏈接并攔截；③多因素認(rèn)證（MFA）：對(duì)敏感操作（如余額轉(zhuǎn)賬、修改密碼）強(qiáng)制啟用短信驗(yàn)證碼或硬件令牌驗(yàn)證，僅憑賬號(hào)密碼無法完成操作；④會(huì)話安全加固：設(shè)置Co