2025計(jì)算機(jī)四級(jí)信息安全工程師考試題庫(kù)及答案一、單項(xiàng)選擇題（每題1分，共40分）1.在GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中，第三級(jí)安全要求的“安全通信網(wǎng)絡(luò)”控制域首次明確提出的技術(shù)是()A.雙因子認(rèn)證

B.國(guó)密算法優(yōu)先

C.可信驗(yàn)證

D.零信任架構(gòu)答案：C解析：第三級(jí)新增“可信驗(yàn)證”條款，要求關(guān)鍵設(shè)備啟動(dòng)過(guò)程可度量、可報(bào)告。2.下列哪一項(xiàng)最能體現(xiàn)“最小權(quán)限原則”在操作系統(tǒng)訪問(wèn)控制中的具體實(shí)現(xiàn)()A.強(qiáng)制訪問(wèn)控制（MAC）

B.自主訪問(wèn)控制（DAC）

C.基于角色的訪問(wèn)控制（RBAC）

D.基于屬性的訪問(wèn)控制（ABAC）答案：A解析：MAC由系統(tǒng)強(qiáng)制綁定主體與客體安全標(biāo)記，用戶(hù)無(wú)法自主提升權(quán)限，最貼合最小權(quán)限。3.在WindowsServer2022中，用于實(shí)現(xiàn)基于虛擬化的安全（VBS）的核心組件是()A.CredentialGuard

B.DeviceGuard

C.Hyper-V

D.NTFS答案：C解析：VBS依賴(lài)Hyper-V創(chuàng)建的隔離容器，實(shí)現(xiàn)內(nèi)核與用戶(hù)態(tài)隔離。4.關(guān)于SM4分組密碼算法，下列描述錯(cuò)誤的是()A.分組長(zhǎng)度128bit

B.密鑰長(zhǎng)度128bit

C.迭代輪數(shù)32輪

D.采用Feistel結(jié)構(gòu)答案：D解析：SM4采用非平衡廣義Feistel結(jié)構(gòu)，而非經(jīng)典Feistel。5.在Linux內(nèi)核漏洞緩解技術(shù)中，針對(duì)ret2usr攻擊最有效的是()A.SMEP

B.SMAP

C.KASLR

D.STACKPROTECTOR答案：A解析：SMEP禁止內(nèi)核執(zhí)行用戶(hù)態(tài)代碼，阻斷ret2usr。6.以下哪項(xiàng)不是信息安全風(fēng)險(xiǎn)評(píng)估中的“影響”屬性維度()A.機(jī)密性

B.完整性

C.可用性

D.不可否認(rèn)性答案：D解析：風(fēng)險(xiǎn)影響通常用CIA衡量，不可否認(rèn)性屬于安全服務(wù)維度。7.在TLS1.3握手過(guò)程中，用于實(shí)現(xiàn)“0-RTT”提前傳輸?shù)臄U(kuò)展是()A.EarlyData

B.KeyShare

C.SupportedGroups

D.PSKMode答案：A解析：EarlyData擴(kuò)展允許客戶(hù)端在首包攜帶應(yīng)用數(shù)據(jù)，實(shí)現(xiàn)0-RTT。8.關(guān)于量子計(jì)算對(duì)密碼學(xué)的影響，下列算法中目前被認(rèn)為可抵抗Shor算法的是()A.RSA-3072

B.ECC-P256

C.Kyber

D.ECDSA答案：C解析：Kyber為NIST遴選的后量子密鑰封裝算法，基于格問(wèn)題，抗Shor。9.在零信任參考架構(gòu)中，負(fù)責(zé)動(dòng)態(tài)策略評(píng)估的核心引擎簡(jiǎn)稱(chēng)()A.PEP

PAP

C.PDP

D.PMP答案：C解析：PDP（PolicyDecisionPoint）依據(jù)多源信任評(píng)估結(jié)果動(dòng)態(tài)授權(quán)。10.數(shù)據(jù)庫(kù)橫向越權(quán)通常由于未校驗(yàn)()A.會(huì)話令牌

B.用戶(hù)身份

C.數(shù)據(jù)主鍵歸屬

D.SQL關(guān)鍵字答案：C解析：未驗(yàn)證數(shù)據(jù)主鍵是否屬于當(dāng)前用戶(hù)導(dǎo)致越權(quán)。11.在Android14中，限制應(yīng)用后臺(tái)啟動(dòng)的隱私機(jī)制稱(chēng)為()A.AppOps

B.BackgroundActivityStarts

C.RuntimePermissions

D.ScopedStorage答案：B解析：BackgroundActivityStarts限制后臺(tái)應(yīng)用任意啟動(dòng)Activity。12.以下哪項(xiàng)不是云安全責(zé)任共擔(dān)模型中云服務(wù)商的責(zé)任()A.物理基礎(chǔ)設(shè)施安全

B.虛擬化層補(bǔ)丁

C.客戶(hù)數(shù)據(jù)分類(lèi)

D.區(qū)域可用性答案：C解析：數(shù)據(jù)分類(lèi)由客戶(hù)負(fù)責(zé)，屬數(shù)據(jù)治理范疇。13.在IPv6網(wǎng)絡(luò)中，用于替代ARP的協(xié)議是()A.NDP

B.DHCPv6

C.ICMPv6

D.MLD答案：A解析：NDP（NeighborDiscoveryProtocol）完成鏈路地址解析。14.關(guān)于惡意軟件沙箱檢測(cè)技術(shù)，下列對(duì)抗技術(shù)最徹底的是()A.延遲執(zhí)行

B.APIHook繞過(guò)

C.虛擬機(jī)檢測(cè)

D.反調(diào)試答案：C解析：檢測(cè)到虛擬環(huán)境后直接拒絕運(yùn)行，最徹底。15.在IDS/IPS中，用于檢測(cè)未知攻擊的主流技術(shù)是()A.特征匹配

B.協(xié)議解碼

C.異常統(tǒng)計(jì)

D.蜜罐答案：C解析：異常統(tǒng)計(jì)基于行為基線，可發(fā)現(xiàn)0day。16.以下哪項(xiàng)最能降低BGP劫持影響()A.RPKI

B.OSPF認(rèn)證

C.MPLS

D.GRE答案：A解析：RPKI通過(guò)ROA驗(yàn)證起源AS，防止劫持。17.在等保2.0安全區(qū)域邊界中，第三級(jí)要求“應(yīng)能對(duì)遠(yuǎn)程訪問(wèn)采用()”A.單因子認(rèn)證

B.雙因子認(rèn)證

C.多因子認(rèn)證

D.硬件令牌答案：B解析：第三級(jí)明確雙因子。18.關(guān)于區(qū)塊鏈51%攻擊，下列描述正確的是()A.只能篡改未來(lái)區(qū)塊

B.可回滾任意歷史交易

C.無(wú)法雙花

D.需要掌握全網(wǎng)算力50%以上答案：D解析：掌握>50%算力可重構(gòu)最長(zhǎng)鏈，實(shí)現(xiàn)雙花。19.在Python安全編碼中，避免pickle反序列化漏洞的最佳方案是()A.使用json替代

B.加入HMAC校驗(yàn)

C.限制CPU時(shí)間

D.沙箱運(yùn)行答案：A解析：json僅支持基本類(lèi)型，無(wú)代碼執(zhí)行風(fēng)險(xiǎn)。20.以下哪項(xiàng)屬于對(duì)稱(chēng)密鑰分發(fā)協(xié)議()A.Diffie-Hellman

B.Kerberos

C.IKEv2

D.X.509答案：B解析：Kerberos基于對(duì)稱(chēng)密碼分發(fā)會(huì)話密鑰。21.在OWASPTop102021中，排名首位的是()A.注入

B.失效的訪問(wèn)控制

C.加密失敗

D.不安全設(shè)計(jì)答案：B解析：訪問(wèn)控制失效躍升至首位。22.關(guān)于側(cè)信道攻擊，下列方法中利用功耗差異的是()A.SPA

B.DFA

C.EM

D.Timing答案：A解析：SPA（SimplePowerAnalysis）直接分析功耗曲線。23.在Linux系統(tǒng)中，用于限制進(jìn)程系統(tǒng)調(diào)用的安全機(jī)制是()A.SELinux

B.seccomp

C.AppArmor

D.capabilities答案：B解析：seccomp過(guò)濾系統(tǒng)調(diào)用號(hào)。24.以下哪項(xiàng)不是軟件安全成熟度模型BSIMM的活動(dòng)域()A.策略與指標(biāo)

B.安全特性與設(shè)計(jì)

C.代碼評(píng)審

D.滲透測(cè)試答案：D解析：滲透測(cè)試屬“測(cè)試”域，非獨(dú)立活動(dòng)域。25.在容器安全中，防止容器逃逸的核心技術(shù)是()A.鏡像簽名

B.用戶(hù)命名空間映射

C.資源限制

D.只讀文件系統(tǒng)答案：B解析：root映射到非特權(quán)UID，降低逃逸風(fēng)險(xiǎn)。26.關(guān)于Wi-Fi6WPA3-SAE，下列說(shuō)法正確的是()A.基于PSK的明文握手

B.可抵抗離線字典攻擊

C.不支持前向保密

D.仍使用四次握手答案：B解析：SAE引入ECC或FFDH，防離線爆破。27.在數(shù)字取證中，確保證據(jù)鏈完整的關(guān)鍵技術(shù)是()A.只讀鎖

B.哈希校驗(yàn)

C.鏡像復(fù)制

D.時(shí)間同步答案：B解析：哈希值唯一標(biāo)識(shí)原始數(shù)據(jù)。28.以下哪項(xiàng)屬于被動(dòng)信息收集手段()A.NmapSYN掃描

B.DNS區(qū)域傳輸

C.GoogleHacking

D.Nessus掃描答案：C解析：GoogleHacking利用公開(kāi)搜索，無(wú)直接交互。29.在ISO27001:2022中，新增的控制域是()A.威脅情報(bào)

B.云安全

C.業(yè)務(wù)連續(xù)性

D.供應(yīng)鏈安全答案：A解析：2022版新增5.7威脅情報(bào)。30.關(guān)于勒索軟件防御，下列措施最有效的是()A.安裝殺毒軟件

B.定期離線備份

C.啟用防火墻

D.禁用U盤(pán)答案：B解析：離線備份可在被加密后快速恢復(fù)。31.在ARMv9架構(gòu)中，用于實(shí)現(xiàn)機(jī)密計(jì)算的新擴(kuò)展是()A.TrustZone

B.CCA

C.SVE

D.MTE答案：B解析：CCA（ConfidentialComputeArchitecture）提供Realm隔離。32.以下哪項(xiàng)不是軟件供應(yīng)鏈攻擊的典型入口()A.惡意依賴(lài)庫(kù)

B.編譯器后門(mén)

C.更新通道劫持

D.SQL注入答案：D解析：SQL注入屬應(yīng)用層漏洞，非供應(yīng)鏈。33.在KubernetesRBAC中，用于聚合多個(gè)角色的對(duì)象是()A.ClusterRole

B.RoleBinding

C.ClusterRoleBinding

D.AggregatedClusterRole答案：D解析：AggregatedClusterRole通過(guò)labelSelector聚合。34.關(guān)于對(duì)稱(chēng)加密模式，CBC模式的主要缺陷是()A.需要填充

B.無(wú)法并行

C.無(wú)完整性保護(hù)

D.IV重用答案：C解析：CBC本身不提供完整性，需額外MAC。35.在數(shù)據(jù)安全治理中，發(fā)現(xiàn)敏感數(shù)據(jù)的第一步是()A.數(shù)據(jù)分類(lèi)分級(jí)

B.數(shù)據(jù)脫敏

C.數(shù)據(jù)加密

D.數(shù)據(jù)備份答案：A解析：分類(lèi)分級(jí)是治理起點(diǎn)。36.以下哪項(xiàng)屬于非對(duì)稱(chēng)密鑰交換協(xié)議()A.ECDHE

B.AES-GCM

C.3DES

D.ChaCha20答案：A解析：ECDHE基于橢圓曲線Diffie-Hellman。37.在Python中，防止SQL注入的最佳實(shí)踐是()A.字符串拼接

B.使用ORM

C.正則過(guò)濾

D.base64編碼答案：B解析：ORM參數(shù)化查詢(xún)隔離數(shù)據(jù)與指令。38.關(guān)于日志管理，根據(jù)等保第三級(jí)要求，日志應(yīng)保存()A.1個(gè)月

B.3個(gè)月

C.6個(gè)月

D.12個(gè)月答案：C解析：第三級(jí)要求至少6個(gè)月。39.在無(wú)線傳感器網(wǎng)絡(luò)中，應(yīng)對(duì)Hello洪泛攻擊的有效機(jī)制是()A.身份認(rèn)證

B.地理位置驗(yàn)證

C.跳數(shù)限制

D.時(shí)間戳答案：B解析：驗(yàn)證信號(hào)強(qiáng)度與距離，防止遠(yuǎn)程洪泛。40.關(guān)于漏洞掃描，下列說(shuō)法正確的是()A.可替代滲透測(cè)試

B.無(wú)風(fēng)險(xiǎn)

C.可能引發(fā)服務(wù)異常

D.無(wú)需授權(quán)答案：C解析：掃描可能觸發(fā)崩潰，需授權(quán)與應(yīng)急。二、多項(xiàng)選擇題（每題2分，共20分）1.以下哪些屬于社會(huì)工程學(xué)攻擊手段()A.魚(yú)叉釣魚(yú)

B.假冒客服

C.USB誘餌

D.惡意爬蟲(chóng)答案：ABC解析：惡意爬蟲(chóng)屬技術(shù)攻擊。2.在Linux系統(tǒng)加固中，可有效防止提權(quán)的有()A.禁用SUID位

B.啟用SELinux

C.升級(jí)內(nèi)核

D.關(guān)閉SSH答案：ABC解析：關(guān)閉SSH影響遠(yuǎn)程運(yùn)維，非提權(quán)直接緩解。3.關(guān)于TLS1.3與TLS1.2的差異，正確的有()A.移除RSA密鑰交換

B.支持0-RTT

C.強(qiáng)制使用前向保密

D.保留壓縮算法答案：ABC解析：TLS1.3移除壓縮，防止CRIME。4.以下哪些屬于后量子密碼算法()A.CRYSTALS-Kyber

B.Dilithium

C.Falcon

D.IDEA答案：ABC解析：IDEA為傳統(tǒng)對(duì)稱(chēng)算法。5.在容器鏡像安全掃描中，應(yīng)重點(diǎn)檢查()A.基礎(chǔ)鏡像CVE

B.密鑰硬編碼

C.軟件包簽名

D.鏡像層大小答案：ABC解析：層大小與漏洞無(wú)直接關(guān)系。6.關(guān)于數(shù)據(jù)脫敏技術(shù)，屬于可逆算法的包括()A.格式保留加密

B.令牌化

C.掩碼

D.哈希加鹽答案：AB解析：掩碼與哈希不可逆。7.以下哪些屬于云原生安全最佳實(shí)踐()A.鏡像簽名

B.Pod安全策略

C.網(wǎng)絡(luò)策略

D.共享root賬戶(hù)答案：ABC解析：共享root違反最小權(quán)限。8.在數(shù)字簽名方案中，滿足“強(qiáng)不可偽造性”的有()A.RSA-PSS

B.ECDSA

C.EdDSA

D.RSA-PKCS#1v1.5答案：AC解析：PKCS#1v1.5存在填充攻擊。9.以下哪些屬于APT攻擊生命周期階段()A.初始滲透

B.橫向移動(dòng)

C.數(shù)據(jù)回傳

D.拒絕服務(wù)答案：ABC解析：拒絕服務(wù)非APT典型階段。10.在工控系統(tǒng)安全中，Modbus協(xié)議存在的安全問(wèn)題包括()A.無(wú)認(rèn)證

B.明文傳輸

C.無(wú)完整性校驗(yàn)

D.強(qiáng)制加密答案：ABC解析：Modbus無(wú)加密機(jī)制。三、填空題（每空1分，共20分）1.在等級(jí)保護(hù)2.0中，安全區(qū)域邊界要求“應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行_”，并“能夠?qū)?nèi)部用戶(hù)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行_”。答案：檢查、限制2.SHA-3算法采用的結(jié)構(gòu)稱(chēng)為_(kāi)__結(jié)構(gòu)。答案：海綿3.在Windows系統(tǒng)中，用于存儲(chǔ)用戶(hù)哈希的SAM文件位于路徑___。答案：%SystemRoot%$\System32$$\config$$\SAM$4.在Kubernetes中，默認(rèn)的ServiceAccount令牌掛載路徑為_(kāi)__。答案：/var/run/secrets/kubernetes.io/serviceaccount5.在密碼學(xué)中，滿足“一次一密”要求的流密碼必須保證密鑰流的___性。答案：不可預(yù)測(cè)6.在Linux中，使用___命令可查看當(dāng)前進(jìn)程的capabilities。答案：getcap7.在TLS握手階段，Server發(fā)送的證書(shū)消息封裝在___握手消息中。答案：Certificate8.在OWASPMASVS中，最高安全級(jí)別稱(chēng)為_(kāi)__。答案：M3（或“抗客戶(hù)端破解”）9.在IPv6中，用于多播地址的范圍字段占___位。答案：410.在數(shù)據(jù)庫(kù)中，MySQL的___存儲(chǔ)引擎支持全庫(kù)加密。答案：InnoDB11.在ARMTrustZone中，安全世界運(yùn)行固件簡(jiǎn)稱(chēng)為_(kāi)__。答案：BL3112.在Python中，用于生成安全隨機(jī)數(shù)的模塊是___。答案：secrets13.在X.509證書(shū)中，標(biāo)識(shí)密鑰用途的擴(kuò)展稱(chēng)為_(kāi)__。答案：KeyUsage14.在IDS規(guī)則中，Snort的___規(guī)則選項(xiàng)用于檢測(cè)內(nèi)容偏移。答案：offset15.在Wi-Fi6中，OFDMA技術(shù)將信道劃分為多個(gè)___。答案：子載波（或RU）16.在區(qū)塊鏈中，以太坊的共識(shí)算法升級(jí)后稱(chēng)為_(kāi)__。答案：PoS（或Casper）17.在軟件安全中，ASLR技術(shù)隨機(jī)化的是___地址。答案：內(nèi)存（或基址）18.在日志審計(jì)中，Syslog的默認(rèn)傳輸協(xié)議端口號(hào)為_(kāi)__。答案：51419.在密碼模塊標(biāo)準(zhǔn)FIPS140-3中，最高安全等級(jí)為_(kāi)__級(jí)。答案：420.在容器運(yùn)行時(shí)，Docker默認(rèn)使用的隔離機(jī)制是___。答案：cgroups+namespace四、判斷題（每題1分，共20分）1.在TLS1.3中，RSA密鑰交換仍被支持。()答案：×解析：TLS1.3僅支持ECDHE與DHE。2.使用AES-256加密即可滿足后量子安全需求。()答案：×解析：對(duì)稱(chēng)密鑰需加倍長(zhǎng)度，AES-256僅臨時(shí)緩解。3.在Linux中，root用戶(hù)無(wú)法被seccomp限制。()答案：×解析：seccomp對(duì)任何UID均生效。4.零信任架構(gòu)默認(rèn)信任內(nèi)網(wǎng)用戶(hù)。()答案：×解析：零信任“永不信任”。5.SHA-1目前仍可抗碰撞用于數(shù)字簽名。()答案：×解析：SHA-1已被攻破。6.在Kubernetes中，PodSecurityPolicy已被廢棄。()答案：√解析：1.21起廢棄，1.25移除。7.在Android中，應(yīng)用沙箱基于LinuxUID隔離。()答案：√解析：每個(gè)應(yīng)用分配唯一UID。8.使用VPN即可完全防御ARP欺騙。()答案：×解析：VPN僅加密上層，ARP在鏈路層。9.在密碼學(xué)中，一次性密碼本（OTP）要求密鑰長(zhǎng)度等于明文長(zhǎng)度。()答案：√解析：OTP定義如此。10.在等保2.0中，第四級(jí)要求“應(yīng)能對(duì)重要程序進(jìn)行可信驗(yàn)證”。()答案：√解析：第四級(jí)新增可信驗(yàn)證。11.在容器鏡像中，使用多階段構(gòu)建可減少攻擊面。()答案：√解析：最終鏡像不含編譯工具。12.在Wi-Fi5中，已支持WPA3加密。()答案：×解析：WPA3需Wi-Fi6認(rèn)證。13.