計算機2025年信息安全工程師專項訓練考試時間：______分鐘總分：______分姓名：______一、單項選擇題（每題1分，共25分）1.信息安全的基本屬性不包括以下哪一項？A.機密性B.完整性C.可用性D.可追溯性2.在非對稱加密算法中，用于加密信息的密鑰和用于解密信息的密鑰是不同的。這種密鑰使用方式稱為？A.對稱加密B.證書加密C.密鑰分置D.密鑰協(xié)商3.以下哪種哈希函數(shù)被認為是目前安全性最高的，并廣泛用于數(shù)字簽名等領域？A.MD5B.SHA-1C.SHA-256D.CRC-324.基于角色的訪問控制（RBAC）模型中，權(quán)限通過什么進行關聯(lián)？A.用戶與設備B.用戶與角色C.角色與資源D.用戶與策略5.以下哪種攻擊方式利用系統(tǒng)或網(wǎng)絡中存在的邏輯漏洞，誘騙用戶輸入錯誤信息或執(zhí)行非預期操作？A.拒絕服務攻擊（DoS）B.SQL注入C.網(wǎng)絡掃描D.中間人攻擊6.防火墻工作在網(wǎng)絡層，它主要通過檢查數(shù)據(jù)包的什么信息來決定是否允許其通過？A.應用層數(shù)據(jù)內(nèi)容B.源/目的IP地址和端口C.用戶名和密碼D.網(wǎng)絡協(xié)議類型7.入侵檢測系統(tǒng)（IDS）的主要功能是？A.阻止網(wǎng)絡入侵行為B.發(fā)現(xiàn)和告警網(wǎng)絡入侵行為C.自動修復系統(tǒng)漏洞D.管理網(wǎng)絡設備配置8.在VPN技術(shù)中，IPSec協(xié)議工作在哪個網(wǎng)絡層？A.應用層B.傳輸層C.網(wǎng)絡層D.數(shù)據(jù)鏈路層9.無線局域網(wǎng)（WLAN）中，WPA3協(xié)議相比WPA2的主要安全增強體現(xiàn)在哪里？A.提供了更強的加密算法B.引入了企業(yè)級認證方式C.改進了密碼破解難度D.增強了針對物理層攻擊的防護10.Web應用防火墻（WAF）主要保護網(wǎng)站免受哪些攻擊？A.DDoS攻擊B.網(wǎng)絡層漏洞攻擊C.跨站腳本（XSS）、SQL注入等應用層攻擊D.操作系統(tǒng)漏洞攻擊11.在操作系統(tǒng)安全加固中，以下哪項措施是無效的？A.禁用不必要的服務和端口B.設置復雜的root密碼C.移除系統(tǒng)中的所有共享功能D.定期更新系統(tǒng)補丁12.數(shù)據(jù)庫安全中，確保只有授權(quán)用戶能夠訪問特定數(shù)據(jù)的核心機制是？A.數(shù)據(jù)加密B.審計日志記錄C.訪問控制D.數(shù)據(jù)備份13.云計算安全模型中，由云服務提供商負責管理大部分基礎設施和平臺安全的是？A.IaaS模型B.PaaS模型C.SaaS模型D.IaaS和PaaS模型14.以下哪種技術(shù)主要用于檢測和阻止終端設備上的惡意軟件？A.防火墻B.入侵檢測系統(tǒng)（IDS）C.防病毒軟件（AV/EDR）D.安全信息和事件管理（SIEM）15.物聯(lián)網(wǎng)（IoT）設備面臨的主要安全挑戰(zhàn)之一是？A.設備計算能力過強B.設備通常采用高強度加密C.設備資源受限、固件更新困難D.設備數(shù)量較少16.安全開發(fā)生命周期（SDL）強調(diào)在軟件開發(fā)的哪個階段就應該融入安全考慮？A.測試階段B.部署階段C.設計和編碼階段D.維護階段17.在信息安全管理體系（ISO27001）中，組織需要識別、評估和處理的風險類型是？A.戰(zhàn)略風險、市場風險B.操作風險、財務風險C.信息安全風險D.法律風險、聲譽風險18.信息安全風險評估的第一步通常是？A.確定風險處置方案B.識別資產(chǎn)和威脅C.計算風險發(fā)生的可能性和影響程度D.選擇安全控制措施19.安全審計的主要目的是什么？A.預防安全事件發(fā)生B.發(fā)現(xiàn)和記錄安全事件或違規(guī)行為C.自動修復安全漏洞D.制定安全策略20.當組織發(fā)生信息安全事件時，按照預定流程進行響應和處置，這個過程稱為？A.安全評估B.安全審計C.安全事件響應D.安全配置管理21.《中華人民共和國網(wǎng)絡安全法》適用于中華人民共和國境內(nèi)的哪些活動？A.所有網(wǎng)絡活動B.所有涉及網(wǎng)絡信息安全的活動C.所有關鍵信息基礎設施相關的網(wǎng)絡活動D.所有政府機構(gòu)的網(wǎng)絡活動22.等級保護制度是我國實行的網(wǎng)絡安全基本制度，其中等級最高的系統(tǒng)是？A.第一級（用戶自主保護）B.第二級（專用網(wǎng)絡保護）C.第三級（重要網(wǎng)絡保護）D.第四級（國家關鍵信息基礎設施保護）23.在大數(shù)據(jù)安全領域，對個人身份信息進行匿名化處理的主要目的是什么？A.提高數(shù)據(jù)查詢效率B.降低存儲成本C.在保護個人隱私的前提下使用數(shù)據(jù)D.增強數(shù)據(jù)安全性24.人工智能系統(tǒng)可能面臨的安全威脅不包括？A.數(shù)據(jù)投毒攻擊B.對抗性樣本攻擊C.算法偏見導致的歧視D.防火墻配置錯誤25.區(qū)塊鏈技術(shù)的核心優(yōu)勢之一是？A.極高的傳輸速度B.完全的中心化控制C.數(shù)據(jù)的不可篡改性和透明性D.極低的能耗二、填空題（每空1分，共25分）1.信息安全的目標通常概括為__機密性__、__完整性__和__可用性__。2.使用對稱加密算法進行安全通信時，通信雙方需要共享同一個__密鑰__。3.__數(shù)字簽名__技術(shù)可以提供身份認證、數(shù)據(jù)完整性和不可否認性。4.在訪問控制模型中，自主訪問控制（DAC）的特點是資源所有者可以__自主__地決定其他用戶對資源的訪問權(quán)限。5.分布式拒絕服務攻擊（DDoS）是指攻擊者利用大量受感染的主機向目標服務器發(fā)送__海量__請求，使其無法正常提供服務。6.入侵防御系統(tǒng)（IPS）通常部署在防火墻之后，它不僅能檢測還能__主動阻止__網(wǎng)絡攻擊。7.在VPN隧道中，數(shù)據(jù)通常會被封裝在__IP__數(shù)據(jù)包內(nèi)進行傳輸。8.無線網(wǎng)絡中使用__WEP__、__WPA/WPA2/WPA3__等協(xié)議進行加密和認證。9.代碼審計是發(fā)現(xiàn)應用程序安全漏洞的一種重要方法，主要檢查源代碼是否存在__SQL注入__、__跨站腳本（XSS）__等漏洞。10.操作系統(tǒng)日志記錄了系統(tǒng)運行和用戶活動的詳細信息，是進行__安全審計__和事件調(diào)查的重要依據(jù)。11.云計算安全中，IaaS層的安全責任主要在于__云服務提供商__，PaaS和SaaS層的安全責任主要在于__云用戶__。12.終端安全管理平臺（EDR）可以收集終端設備的__安全事件__和__惡意軟件樣本__。13.物聯(lián)網(wǎng)安全面臨的一個關鍵問題是大量設備缺乏安全的固件更新機制。14.安全開發(fā)生命周期（SDL）將安全活動融入到軟件的__需求分析__、設計、編碼、測試等各個階段。15.根據(jù)《中華人民共和國網(wǎng)絡安全法》，關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務可能需要滿足__安全審查__的要求。16.信息風險評估過程通常涉及識別資產(chǎn)、威脅、脆弱性，并評估__威脅發(fā)生可能性__和資產(chǎn)價值。17.安全事件響應計劃應定義事件發(fā)生時的__報告__、分析、處置和恢復流程。18.等級保護制度要求等級保護測評機構(gòu)對符合相應保護等級的信息系統(tǒng)進行定級和測評。19.大數(shù)據(jù)安全技術(shù)需要平衡數(shù)據(jù)利用和__個人隱私保護__之間的關系。20.人工智能安全中的一個研究熱點是提高模型的魯棒性，使其不易受到對抗性攻擊。21.在區(qū)塊鏈中，新的交易記錄被添加到稱為__區(qū)塊__的結(jié)構(gòu)中。22.基于風險的訪問控制（RBAC）模型能夠根據(jù)用戶的風險等級動態(tài)調(diào)整其訪問權(quán)限。23.安全意識培訓是提高組織整體信息安全水平的基礎性工作，旨在提升員工的安全防范意識。24.對傳輸中的敏感數(shù)據(jù)進行保護，常用的技術(shù)包括__傳輸層安全（TLS）__協(xié)議和VPN。25.安全管理制度是規(guī)范組織信息安全活動、明確各方職責的重要規(guī)范性文件。三、判斷題（每題1分，共25分，請在括號內(nèi)填入“√”或“×”）1.MD5和SHA-256都是安全的哈希函數(shù)，它們可以互相替代使用。（）2.對稱加密算法比非對稱加密算法更快，因此總是優(yōu)先使用對稱加密。（）3.安全策略是組織信息安全管理的最高層次文件，為具體制度提供依據(jù)。（）4.防火墻可以有效地防止所有類型的網(wǎng)絡攻擊。（）5.入侵檢測系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）的主要區(qū)別在于前者可以主動阻止攻擊。（）6.WPA3提供了更強的加密算法和更安全的密碼交換機制，可以完全替代WPA2。（）7.數(shù)據(jù)庫的物理安全措施主要包括機房環(huán)境安全、設備防盜等。（）8.云計算模型（IaaS,PaaS,SaaS）中，SaaS層的安全責任完全由云服務提供商承擔。（）9.防病毒軟件可以完全清除所有類型的計算機病毒。（）10.物聯(lián)網(wǎng)設備由于資源有限，通常不適用于部署復雜的安全功能。（）11.安全開發(fā)生命周期（SDL）只適用于大型軟件項目，小型項目不需要。（）12.信息風險評估的目標是為安全控制措施的選擇提供依據(jù)。（）13.安全審計只能發(fā)現(xiàn)已經(jīng)發(fā)生的安全事件，無法預防事件。（）14.《中華人民共和國網(wǎng)絡安全法》是我國網(wǎng)絡安全領域的基礎性法律。（）15.等級保護制度只適用于中國的政府機構(gòu)和關鍵信息基礎設施運營者。（）16.數(shù)據(jù)匿名化可以完全消除個人隱私泄露的風險。（）17.人工智能系統(tǒng)不會受到惡意攻擊，因為它們是“智能”的。（）18.區(qū)塊鏈技術(shù)由于其去中心化特性，無法實現(xiàn)數(shù)據(jù)的安全存儲。（）19.RBAC模型比DAC模型更靈活，能夠?qū)崿F(xiàn)更細粒度的訪問控制。（）20.安全意識培訓是提高組織信息安全投入效益的重要途徑。（）21.加密技術(shù)是保障數(shù)據(jù)機密性的唯一手段。（）22.VPN可以隱藏用戶的真實IP地址，因此可以用于所有非法網(wǎng)絡活動。（）23.安全管理制度越復雜越好，這樣就能保證信息安全。（）24.安全事件響應只需要關注事件的處置和恢復，不需要進行事后總結(jié)。（）25.隨著技術(shù)發(fā)展，信息安全威脅會自動消失。（）四、簡答題（每題5分，共20分）1.簡述對稱加密和非對稱加密的主要區(qū)別及適用場景。2.解釋什么是網(wǎng)絡釣魚攻擊，并說明防范網(wǎng)絡釣魚的基本方法。3.請列舉至少三種常見的安全漏洞類型，并簡要說明其危害。4.簡述信息安全風險評估的主要步驟。五、綜合應用題（每題10分，共20分）1.假設你是一家電商公司的IT安全工程師，該公司的核心業(yè)務系統(tǒng)部署在云端（PaaS層）。近期發(fā)現(xiàn)系統(tǒng)存在SQL注入漏洞，導致攻擊者可以獲取數(shù)據(jù)庫敏感信息。請簡述你會采取的安全響應步驟。2.某公司計劃建設一個內(nèi)部無線網(wǎng)絡，連接辦公區(qū)域的員工筆記本和手機。請簡述在設計該無線網(wǎng)絡安全方案時需要考慮的關鍵因素。試卷答案一、單項選擇題1.D2.C3.C4.B5.B6.B7.B8.C9.C10.C11.C12.C13.A14.C15.C16.C17.C18.B19.B20.C21.B22.D23.C24.B25.C二、填空題1.機密性2.密鑰3.數(shù)字簽名4.自主5.海量6.主動阻止7.IP8.WEP,WPA/WPA2/WPA39.SQL注入,跨站腳本（XSS）10.安全審計11.云服務提供商,云用戶12.安全事件,惡意軟件樣本13.固件14.需求分析15.安全審查16.威脅發(fā)生可能性,資產(chǎn)價值17.報告18.定級19.個人隱私保護20.魯棒性21.區(qū)塊22.基于風險的訪問控制（RBAC）23.防范意識24.傳輸層安全（TLS）,VPN25.規(guī)范性文件三、判斷題1.×2.×3.√4.×5.√6.×7.√8.×9.×10.×11.×12.√13.×14.√15.×16.×17.×18.×19.√20.√21.×22.×23.×24.×25.×四、簡答題1.解析思路：對稱加密使用同一個密鑰進行加密和解密，速度快，適合大量數(shù)據(jù)加密；非對稱加密使用公鑰加密、私鑰解密（或反之），安全性高，適合少量數(shù)據(jù)加密、身份認證等場景。區(qū)別在于密鑰使用方式和安全性、速度。適用場景基于這些區(qū)別確定。答案要點：對稱加密使用同一密鑰加密解密，速度快，但密鑰分發(fā)困難；非對稱加密使用公私鑰對，安全性高，但速度較慢。對稱加密適用于大量數(shù)據(jù)加密，非對稱加密適用于小數(shù)據(jù)加密、數(shù)字簽名、密鑰交換等。2.解析思路：網(wǎng)絡釣魚攻擊通過偽造網(wǎng)站、郵件等，誘騙用戶輸入賬號密碼等敏感信息。防范方法需要結(jié)合技術(shù)（如郵件過濾）和行為（如不點擊可疑鏈接、核實網(wǎng)址）。答案要點：網(wǎng)絡釣魚是偽裝成合法機構(gòu)（如銀行、電商）的人員，通過郵件、短信、電話等方式，誘騙受害者點擊惡意鏈接或下載附件，以獲取敏感信息（如賬號密碼）。防范方法：不輕易點擊不明鏈接；仔細核對發(fā)件人地址和網(wǎng)站域名；不輕易透露個人信息；安裝安全軟件；對要求提供敏感信息的請求保持警惕。3.解析思路：列舉常見的漏洞類型（如SQL注入、XSS、CSRF、權(quán)限提升等），并簡述其可能導致的安全后果（如數(shù)據(jù)泄露、網(wǎng)站癱瘓、未授權(quán)訪問等）。答案要點：常見漏洞類型及危害：SQL注入：攻擊者可執(zhí)行惡意SQL語句，竊取或篡改數(shù)據(jù)庫數(shù)據(jù)；跨站腳本（XSS）：在網(wǎng)頁中注入惡意腳本，竊取用戶Cookie或進行釣魚攻擊；跨站請求偽造（CSRF）：誘導已認證用戶執(zhí)行非預期的操作；權(quán)限提升：獲取高于自身權(quán)限的訪問權(quán)限，進行未授權(quán)操作。這些漏洞可能導致數(shù)據(jù)泄露、系統(tǒng)癱瘓、業(yè)務中斷、隱私侵犯等。4.解析思路：信息風險評估通常包括識別資產(chǎn)、威脅和脆弱性，分析威脅利用脆弱性造成影響的可能性，最終評估風險等級。這是標準的風險評估流程。答案要點：主要步驟：1.資產(chǎn)識別：識別需要保護的信息資產(chǎn)及其價值；2.威脅識別：識別可能對資產(chǎn)造成威脅的來源和類型；3.脆弱性識別：識別資產(chǎn)存在的安全漏洞；4.風險分析：評估威脅利用脆弱性造成影響的可能性（可能性）和資產(chǎn)價值（影響程度）；5.風險評估：根據(jù)分析結(jié)果，確定風險等級（高、中、低），為后續(xù)控制措施選擇提供依據(jù)。五、綜合應用題1.解析思路：針對云上PaaS系統(tǒng)的SQL注入響應，應遵循標準的安全事件響應流程：containment（遏制）、eradication（根除）、recovery（恢復）、lessonslearned（經(jīng)驗教訓）。