計(jì)算機(jī)三級(jí)(信息安全技術(shù))考試題庫(kù)與答案一、單項(xiàng)選擇題（共20題，每題1分，共20分）1.信息安全的核心屬性不包括（）。A.保密性B.完整性C.可用性D.可追溯性答案：D2.以下屬于對(duì)稱加密算法的是（）。A.RSAB.ECCC.AESD.EIGamal答案：C3.以下哪項(xiàng)是網(wǎng)絡(luò)層典型的安全協(xié)議？（）A.SSLB.IPsecC.TLSD.SET答案：B4.緩沖區(qū)溢出攻擊主要利用了（）的安全漏洞。A.操作系統(tǒng)內(nèi)存管理B.數(shù)據(jù)庫(kù)訪問(wèn)控制C.網(wǎng)絡(luò)路由協(xié)議D.應(yīng)用層協(xié)議解析答案：A5.數(shù)字證書的頒發(fā)機(jī)構(gòu)是（）。A.RAB.CAC.CRLD.PKI答案：B6.以下哪項(xiàng)不屬于惡意軟件（Malware）？（）A.勒索軟件（Ransomware）B.廣告軟件（Adware）C.瀏覽器（Browser）D.蠕蟲(chóng)（Worm）答案：C7.訪問(wèn)控制模型中，“主體對(duì)客體的訪問(wèn)權(quán)限由系統(tǒng)管理員統(tǒng)一分配”屬于（）。A.自主訪問(wèn)控制（DAC）B.強(qiáng)制訪問(wèn)控制（MAC）C.基于角色的訪問(wèn)控制（RBAC）D.基于屬性的訪問(wèn)控制（ABAC）答案：B8.SQL注入攻擊的本質(zhì)是（）。A.利用操作系統(tǒng)漏洞B.利用數(shù)據(jù)庫(kù)查詢語(yǔ)句拼接缺陷C.利用網(wǎng)絡(luò)協(xié)議棧缺陷D.利用應(yīng)用程序會(huì)話管理漏洞答案：B9.以下哪項(xiàng)是無(wú)線局域網(wǎng)（WLAN）的安全標(biāo)準(zhǔn)？（）A.WEPB.WPA3C.WPSD.WAP答案：B10.防火墻的工作模式不包括（）。A.路由模式B.透明模式C.混雜模式D.旁路模式答案：C11.以下關(guān)于哈希函數(shù)的描述，錯(cuò)誤的是（）。A.輸入任意長(zhǎng)度，輸出固定長(zhǎng)度B.碰撞抵抗性是核心要求C.可從哈希值逆推原始輸入D.常用于數(shù)據(jù)完整性校驗(yàn)答案：C12.物聯(lián)網(wǎng)（IoT）設(shè)備的典型安全威脅不包括（）。A.固件漏洞B.通信鏈路竊聽(tīng)C.海量設(shè)備管理D.多線程并發(fā)處理答案：D13.以下哪項(xiàng)是操作系統(tǒng)安全加固的必要措施？（）A.開(kāi)啟所有系統(tǒng)服務(wù)B.使用默認(rèn)管理員賬戶C.定期更新補(bǔ)丁D.禁用防火墻答案：C14.電子郵件安全協(xié)議PGP（PrettyGoodPrivacy）主要采用的加密方式是（）。A.僅對(duì)稱加密B.僅非對(duì)稱加密C.對(duì)稱加密與非對(duì)稱加密結(jié)合D.哈希算法答案：C15.以下哪項(xiàng)屬于物理安全措施？（）A.安裝入侵檢測(cè)系統(tǒng)B.機(jī)房門禁系統(tǒng)C.部署Web應(yīng)用防火墻D.定期進(jìn)行安全培訓(xùn)答案：B16.漏洞掃描工具Nessus的主要功能是（）。A.網(wǎng)絡(luò)流量分析B.系統(tǒng)漏洞檢測(cè)C.病毒查殺D.密碼破解答案：B17.以下關(guān)于零信任架構(gòu)（ZeroTrust）的描述，錯(cuò)誤的是（）。A.默認(rèn)不信任任何內(nèi)部或外部流量B.持續(xù)驗(yàn)證訪問(wèn)請(qǐng)求的合法性C.依賴傳統(tǒng)邊界防火墻D.最小化資源訪問(wèn)權(quán)限答案：C18.區(qū)塊鏈技術(shù)中，防止雙花攻擊的核心機(jī)制是（）。A.共識(shí)算法B.智能合約C.哈希鏈D.非對(duì)稱加密答案：A19.以下哪項(xiàng)是數(shù)據(jù)脫敏的常用技術(shù)？（）A.數(shù)據(jù)加密B.數(shù)據(jù)混淆C.數(shù)據(jù)備份D.數(shù)據(jù)壓縮答案：B20.依據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)（）。A.自行制定安全標(biāo)準(zhǔn)B.每年至少進(jìn)行一次安全檢測(cè)評(píng)估C.無(wú)需向公安機(jī)關(guān)備案D.泄露用戶個(gè)人信息答案：B二、多項(xiàng)選擇題（共10題，每題2分，共20分，多選、錯(cuò)選、漏選均不得分）1.信息安全的三元組（CIA）包括（）。A.保密性（Confidentiality）B.完整性（Integrity）C.可用性（Availability）D.可認(rèn)證性（Authenticity）答案：ABC2.以下屬于非對(duì)稱加密算法的有（）。A.RSAB.DESC.ECCD.AES答案：AC3.網(wǎng)絡(luò)攻擊的常見(jiàn)類型包括（）。A.DDoS攻擊B.社會(huì)工程學(xué)攻擊C.緩沖區(qū)溢出D.量子計(jì)算攻擊答案：ABC4.訪問(wèn)控制的實(shí)現(xiàn)方式包括（）。A.基于角色（RBAC）B.基于屬性（ABAC）C.強(qiáng)制訪問(wèn)（MAC）D.自主訪問(wèn)（DAC）答案：ABCD5.以下屬于Web應(yīng)用安全威脅的有（）。A.XSS跨站腳本攻擊B.CSRF跨站請(qǐng)求偽造C.會(huì)話劫持D.ARP欺騙答案：ABC6.無(wú)線局域網(wǎng)（WLAN）的安全協(xié)議演進(jìn)包括（）。A.WEPB.WPAC.WPA2D.WPA3答案：ABCD7.操作系統(tǒng)安全機(jī)制包括（）。A.進(jìn)程隔離B.訪問(wèn)控制列表（ACL）C.內(nèi)核保護(hù)D.虛擬內(nèi)存管理答案：ABCD8.數(shù)據(jù)安全的保護(hù)措施包括（）。A.加密存儲(chǔ)B.訪問(wèn)控制C.數(shù)據(jù)脫敏D.備份與恢復(fù)答案：ABCD9.以下屬于安全審計(jì)內(nèi)容的有（）。A.用戶登錄日志B.文件訪問(wèn)記錄C.系統(tǒng)配置變更D.網(wǎng)絡(luò)流量統(tǒng)計(jì)答案：ABC10.依據(jù)《個(gè)人信息保護(hù)法》，處理個(gè)人信息應(yīng)當(dāng)遵循的原則包括（）。A.最小必要B.公開(kāi)透明C.質(zhì)量保障D.絕對(duì)匿名答案：ABC三、填空題（共10題，每題2分，共20分）1.密碼學(xué)中，將明文轉(zhuǎn)換為密文的過(guò)程稱為_(kāi)_____。答案：加密2.數(shù)字簽名的核心作用是確保數(shù)據(jù)的______和不可抵賴性。答案：完整性3.TCP/IP協(xié)議棧中，IPsec工作在______層。答案：網(wǎng)絡(luò)4.常見(jiàn)的Web應(yīng)用防火墻（WAF）部署模式包括透明模式和______模式。答案：路由5.惡意軟件的傳播途徑包括電子郵件、移動(dòng)存儲(chǔ)介質(zhì)和______。答案：漏洞利用（或“網(wǎng)頁(yè)掛馬”“P2P文件共享”等合理答案）6.操作系統(tǒng)中，文件權(quán)限“rwxrx”表示文件所有者具有______權(quán)限。答案：讀、寫、執(zhí)行（或“讀寫執(zhí)行”）7.物聯(lián)網(wǎng)（IoT）設(shè)備的典型安全需求包括身份認(rèn)證、______和數(shù)據(jù)隱私保護(hù)。答案：安全通信（或“設(shè)備管理”“固件安全”等合理答案）8.區(qū)塊鏈的共識(shí)算法中，比特幣采用的是______。答案：工作量證明（PoW）9.依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》，信息系統(tǒng)安全保護(hù)等級(jí)分為_(kāi)_____級(jí)。答案：五10.漏洞生命周期包括發(fā)現(xiàn)、驗(yàn)證、______和修復(fù)四個(gè)階段。答案：利用（或“公開(kāi)”）四、簡(jiǎn)答題（共5題，第13題每題5分，第45題每題7分，共29分）1.簡(jiǎn)述DES加密算法的基本原理（要求說(shuō)明密鑰長(zhǎng)度、分組長(zhǎng)度及核心操作）。答案：DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）是對(duì)稱加密算法，密鑰長(zhǎng)度56位（實(shí)際使用64位，含8位校驗(yàn)位），分組長(zhǎng)度64位。核心操作包括初始置換、16輪迭代（每輪使用48位子密鑰進(jìn)行Feistel網(wǎng)絡(luò)操作，包含擴(kuò)展置換、S盒代替、P盒置換等步驟）和逆初始置換。2.解釋“零日漏洞（ZerodayVulnerability）”的定義及其對(duì)信息安全的威脅。答案：零日漏洞指未被軟件廠商發(fā)現(xiàn)或修復(fù)的安全漏洞，攻擊者可在廠商發(fā)布補(bǔ)丁前利用該漏洞實(shí)施攻擊。威脅包括：攻擊具有隱蔽性，傳統(tǒng)防御手段（如補(bǔ)丁、簽名式殺毒軟件）無(wú)法防護(hù)；可能導(dǎo)致大規(guī)模數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果。3.比較防火墻（Firewall）與入侵檢測(cè)系統(tǒng)（IDS）的功能差異。答案：防火墻是邊界防御設(shè)備，通過(guò)訪問(wèn)控制策略（如IP、端口、協(xié)議過(guò)濾）阻止未授權(quán)流量進(jìn)入網(wǎng)絡(luò)；IDS是監(jiān)控設(shè)備，通過(guò)分析網(wǎng)絡(luò)/系統(tǒng)活動(dòng)（特征匹配、異常檢測(cè)）發(fā)現(xiàn)已發(fā)生的攻擊行為，通常不直接阻斷流量（入侵防御系統(tǒng)IPS可阻斷）。4.設(shè)計(jì)一個(gè)基于雙因素認(rèn)證（2FA）的用戶登錄方案，要求說(shuō)明具體實(shí)現(xiàn)步驟及各因素類型。答案：方案示例：用戶登錄時(shí)需提供兩種獨(dú)立因素：（1）知識(shí)因素：用戶名+密碼（用戶記憶的信息）；（2）持有因素：手機(jī)動(dòng)態(tài)驗(yàn)證碼（用戶擁有的設(shè)備，如通過(guò)短信/SMS、TOTP應(yīng)用或硬件令牌生成）。實(shí)現(xiàn)步驟：①用戶輸入用戶名和密碼；②系統(tǒng)驗(yàn)證通過(guò)后，向用戶綁定的手機(jī)發(fā)送一次性驗(yàn)證碼；③用戶輸入驗(yàn)證碼，系統(tǒng)驗(yàn)證通過(guò)后完成登錄。5.分析Linux系統(tǒng)中/etc/passwd和/etc/shadow文件的安全作用及防護(hù)措施。答案：作用：/etc/passwd存儲(chǔ)用戶基本信息（用戶名、UID、GID、家目錄、Shell等），早期包含加密密碼（不安全）；/etc/shadow存儲(chǔ)加密后的用戶密碼（僅root可讀），提高密碼安全性（含鹽值、迭代次數(shù)等增強(qiáng)信息）。防護(hù)措施：①設(shè)置文件權(quán)限：/etc/passwd權(quán)限為644（所有用戶可讀），/etc/shadow權(quán)限為600（僅root可讀）；②定期檢查文件完整性（如使用sha256sum生成哈希值比對(duì)）；③禁止非特權(quán)用戶修改這兩個(gè)文件；④使用強(qiáng)密碼策略（如復(fù)雜度要求、定期更換）。五、應(yīng)用題（共1題，11分）某企業(yè)部署了一個(gè)基于B/S架構(gòu)的財(cái)務(wù)系統(tǒng)，近期頻繁發(fā)生用戶賬戶被盜用、敏感數(shù)據(jù)泄露事件。假設(shè)你是該企業(yè)的信息安全工程師，請(qǐng)完成以下任務(wù)：（1）列舉可能導(dǎo)致賬戶被盜用的3種攻擊方式及對(duì)應(yīng)的技術(shù)特征；（6分）（2）提出至少4項(xiàng)針對(duì)性的安全加固措施。（5分）答案：（1）可能的攻擊方式及特征：①XSS跨站腳本攻擊：攻擊者在網(wǎng)頁(yè)中注入惡意腳本（如JavaScript），竊取用戶Cookie（含會(huì)話ID）；特征是用戶訪問(wèn)被篡改的網(wǎng)頁(yè)后，會(huì)話信息被截獲。②CSRF跨站請(qǐng)求偽造：攻擊者誘導(dǎo)用戶點(diǎn)擊惡意鏈接，利用用戶已登錄的會(huì)話發(fā)起非法操作（如轉(zhuǎn)賬）；特征是請(qǐng)求源自第三方網(wǎng)站，利用瀏覽器自動(dòng)攜帶Cookie的機(jī)制。③弱密碼爆破：攻擊者使用字典或暴力破解工具嘗試登錄，針對(duì)密碼復(fù)雜度低的賬戶；特征是登錄失敗次數(shù)異常（如同一IP短時(shí)間內(nèi)大量失敗請(qǐng)求）。（2）安全加固措施：①啟用雙因素認(rèn)證（2FA）：在密碼基礎(chǔ)上增加短信驗(yàn)證碼、硬件令牌或生物特征驗(yàn)證；②部署Web應(yīng)用防火墻（WAF）：過(guò)濾XSS、CSR