信息技術(shù)崗位專業(yè)技能考核題庫四、信息安全類技能考核模塊信息安全考核關(guān)注漏洞防護(hù)、數(shù)據(jù)加密、合規(guī)管理，覆蓋Web安全、系統(tǒng)安全、數(shù)據(jù)安全等場景。（一）選擇題示例1.以下哪種攻擊方式屬于“社會工程學(xué)”范疇？A.SQL注入B.釣魚郵件C.暴力破解D.緩沖區(qū)溢出*答案解析：社會工程學(xué)通過欺騙、誘導(dǎo)獲取信息，釣魚郵件（B）屬于此類；A、D是技術(shù)漏洞攻擊，C是暴力破解密碼，均非社會工程學(xué)。*2.某系統(tǒng)要求“用戶密碼需加密存儲，且即使數(shù)據(jù)庫泄露也無法還原明文”，應(yīng)采用哪種方案？A.對稱加密（如AES）B.非對稱加密（如RSA）C.哈希算法（如SHA-256）+鹽值（Salt）D.可逆加密（如Base64）*答案解析：哈希算法（C）對密碼加密后不可還原，鹽值增加破解難度；A、B、D均為可逆或需密鑰，存在泄露風(fēng)險。*（二）簡答題示例1.分析一個典型的“Web應(yīng)用SQL注入漏洞”的形成原因、攻擊流程及防護(hù)措施。*參考答案：形成原因：開發(fā)時未對用戶輸入（如URL參數(shù)、表單數(shù)據(jù)）進(jìn)行過濾或轉(zhuǎn)義，直接拼接進(jìn)SQL語句；攻擊流程：攻擊者構(gòu)造特殊輸入（如`'OR1=1--`），使SQL邏輯被篡改（如繞過登錄、獲取敏感數(shù)據(jù)）；防護(hù)措施：使用預(yù)處理語句（如PHP的PDO、Java的PreparedStatement）、輸入驗證（白名單過濾）、ORM框架（如MyBatis、Hibernate）、定期漏洞掃描。*2.簡述GDPR（通用數(shù)據(jù)保護(hù)條例）對企業(yè)處理歐盟用戶數(shù)據(jù)的核心要求，及企業(yè)的合規(guī)應(yīng)對措施。*參考答案：核心要求：數(shù)據(jù)最小化（僅收集必要數(shù)據(jù)）、用戶知情權(quán)（明確告知數(shù)據(jù)用途）、數(shù)據(jù)可攜權(quán)（用戶可導(dǎo)出個人數(shù)據(jù)）、被遺忘權(quán)（用戶要求刪除數(shù)據(jù)時需配合）、嚴(yán)格的安全保障（防止數(shù)據(jù)泄露）。合規(guī)措施：梳理數(shù)據(jù)資產(chǎn)（識別歐盟用戶數(shù)據(jù)）、完善隱私政策、獲得用戶明確授權(quán)、部署數(shù)據(jù)加密與訪問控制、建立數(shù)據(jù)泄露響應(yīng)機(jī)制、任命DPO（數(shù)據(jù)保護(hù)官）。*（三）實操題示例1.題目：使用Nmap掃描目標(biāo)主機(jī)（192.168.1.100）的開放端口與