軟考中級信息安全工程師知識框架試題及真題考試時長：120分鐘滿分：100分試卷名稱：軟考中級信息安全工程師知識框架試題及真題考核對象：軟考中級信息安全工程師考生題型分值分布：-判斷題（總共10題，每題2分）總分20分-單選題（總共10題，每題2分）總分20分-多選題（總共10題，每題2分）總分20分-案例分析（總共3題，每題6分）總分18分-論述題（總共2題，每題11分）總分22分總分：100分---一、判斷題（每題2分，共20分）1.信息安全等級保護制度適用于所有關(guān)鍵信息基礎(chǔ)設(shè)施。2.加密算法分為對稱加密和非對稱加密兩種基本類型。3.安全審計日志應(yīng)至少保留6個月。4.VPN（虛擬專用網(wǎng)絡(luò)）通過公網(wǎng)傳輸數(shù)據(jù)時，默認(rèn)采用明文傳輸。5.漏洞掃描工具可以實時檢測系統(tǒng)漏洞并自動修復(fù)。6.BCP（業(yè)務(wù)連續(xù)性計劃）和DRP（災(zāi)難恢復(fù)計劃）是同一概念。7.安全基線是系統(tǒng)安全配置的最低標(biāo)準(zhǔn)。8.數(shù)字簽名可以防止數(shù)據(jù)被篡改。9.防火墻可以阻止所有類型的網(wǎng)絡(luò)攻擊。10.信息安全風(fēng)險評估不需要考慮法律合規(guī)性。二、單選題（每題2分，共20分）1.以下哪項不屬于信息安全三要素？（A）A.保密性B.完整性C.可用性D.可追溯性2.DES加密算法的密鑰長度為？（B）A.64位B.56位C.128位D.256位3.以下哪項不是常見的網(wǎng)絡(luò)攻擊類型？（C）A.DDoS攻擊B.SQL注入C.零日攻擊D.惡意軟件4.PKI（公鑰基礎(chǔ)設(shè)施）的核心組件不包括？（D）A.CA（證書頒發(fā)機構(gòu)）B.RA（注冊審批機構(gòu)）C.KDC（密鑰分發(fā)中心）D.IDS（入侵檢測系統(tǒng)）5.以下哪項不屬于ISO/IEC27001標(biāo)準(zhǔn)的內(nèi)容？（A）A.網(wǎng)絡(luò)拓?fù)湓O(shè)計B.信息安全風(fēng)險評估C.安全策略管理D.物理安全控制6.以下哪項不是常見的身份認(rèn)證方法？（C）A.指紋識別B.智能卡C.調(diào)制解調(diào)器D.雙因素認(rèn)證7.以下哪項不是勒索軟件的特點？（B）A.隱藏性強B.自動修復(fù)功能C.擴散速度快D.破壞性大8.以下哪項不是常見的漏洞掃描工具？（D）A.NessusB.OpenVASC.NmapD.Wireshark9.以下哪項不是BCP（業(yè)務(wù)連續(xù)性計劃）的組成部分？（A）A.系統(tǒng)架構(gòu)設(shè)計B.應(yīng)急響應(yīng)流程C.數(shù)據(jù)備份策略D.恢復(fù)時間目標(biāo)（RTO）10.以下哪項不是常見的物理安全措施？（C）A.門禁系統(tǒng)B.監(jiān)控攝像頭C.虛擬化技術(shù)D.安全區(qū)域劃分三、多選題（每題2分，共20分）1.以下哪些屬于信息安全法律法規(guī)？（ABCD）A.《網(wǎng)絡(luò)安全法》B.《數(shù)據(jù)安全法》C.《個人信息保護法》D.《密碼法》2.以下哪些屬于對稱加密算法？（AB）A.DESB.AESC.RSAD.ECC3.以下哪些屬于常見的安全審計內(nèi)容？（ABC）A.用戶登錄日志B.系統(tǒng)配置變更C.數(shù)據(jù)訪問記錄D.應(yīng)用性能指標(biāo)4.以下哪些屬于常見的網(wǎng)絡(luò)攻擊手段？（ABD）A.拒絕服務(wù)攻擊B.網(wǎng)絡(luò)釣魚C.數(shù)據(jù)加密D.惡意軟件5.以下哪些屬于PKI（公鑰基礎(chǔ)設(shè)施）的功能？（ABCD）A.數(shù)字證書管理B.密鑰分發(fā)C.身份認(rèn)證D.數(shù)據(jù)加密6.以下哪些屬于ISO/IEC27001標(biāo)準(zhǔn)的實施步驟？（ABCD）A.風(fēng)險評估B.安全策略制定C.實施安全控制D.內(nèi)部審核7.以下哪些屬于常見的身份認(rèn)證方法？（ABCD）A.用戶名密碼B.生物識別C.智能卡D.雙因素認(rèn)證8.以下哪些屬于勒索軟件的傳播途徑？（ABD）A.郵件附件B.惡意軟件C.安全補丁D.漏洞利用9.以下哪些屬于BCP（業(yè)務(wù)連續(xù)性計劃）的要素？（ABCD）A.應(yīng)急響應(yīng)流程B.數(shù)據(jù)備份策略C.恢復(fù)時間目標(biāo)（RTO）D.恢復(fù)點目標(biāo)（RPO）10.以下哪些屬于常見的物理安全措施？（ABCD）A.門禁系統(tǒng)B.監(jiān)控攝像頭C.安全區(qū)域劃分D.消防系統(tǒng)四、案例分析（每題6分，共18分）案例一：某企業(yè)部署了一套ERP系統(tǒng)，系統(tǒng)涉及大量敏感數(shù)據(jù)，企業(yè)要求制定安全策略以保障數(shù)據(jù)安全。請分析以下場景并提出解決方案：1.企業(yè)希望防止內(nèi)部員工非法訪問敏感數(shù)據(jù)，應(yīng)采取哪些措施？（3分）2.企業(yè)希望防止外部攻擊者通過SQL注入攻擊獲取數(shù)據(jù)，應(yīng)采取哪些措施？（3分）案例二：某金融機構(gòu)發(fā)現(xiàn)其網(wǎng)絡(luò)遭受DDoS攻擊，導(dǎo)致系統(tǒng)癱瘓，業(yè)務(wù)無法正常開展。請分析以下場景并提出解決方案：1.應(yīng)急響應(yīng)團隊?wèi)?yīng)采取哪些措施以快速恢復(fù)業(yè)務(wù)？（3分）2.如何預(yù)防類似攻擊再次發(fā)生？（3分）案例三：某企業(yè)計劃實施PKI（公鑰基礎(chǔ)設(shè)施）以加強信息安全，請分析以下場景并提出解決方案：1.企業(yè)應(yīng)如何選擇合適的CA（證書頒發(fā)機構(gòu)）？（3分）2.PKI實施過程中需要注意哪些關(guān)鍵問題？（3分）五、論述題（每題11分，共22分）1.請論述信息安全風(fēng)險評估的基本流程及其重要性。（11分）2.請論述如何構(gòu)建一個有效的安全審計體系。（11分）---標(biāo)準(zhǔn)答案及解析一、判斷題1.×（僅適用于關(guān)鍵信息基礎(chǔ)設(shè)施，非所有系統(tǒng)）2.√3.×（根據(jù)《網(wǎng)絡(luò)安全法》，重要數(shù)據(jù)的日志應(yīng)至少保存6個月，非所有日志）4.×（VPN默認(rèn)使用加密傳輸）5.×（漏洞掃描工具僅檢測，不修復(fù)）6.×（BCP側(cè)重業(yè)務(wù)恢復(fù)，DRP側(cè)重技術(shù)恢復(fù)）7.√8.√9.×（防火墻無法阻止所有攻擊，如零日攻擊）10.×（需考慮法律合規(guī)性，如《網(wǎng)絡(luò)安全法》）二、單選題1.A2.B3.C4.D5.A6.C7.B8.D9.A10.C三、多選題1.ABCD2.AB3.ABC4.ABD5.ABCD6.ABCD7.ABCD8.ABD9.ABCD10.ABCD四、案例分析案例一：1.采取措施：-實施訪問控制策略，基于角色分配權(quán)限；-定期審計用戶訪問日志；-采用數(shù)據(jù)加密技術(shù)保護敏感數(shù)據(jù)。2.采取措施：-部署Web應(yīng)用防火墻（WAF）；-定期更新系統(tǒng)補??；-對開發(fā)人員進行安全培訓(xùn)。案例二：1.應(yīng)急措施：-啟動應(yīng)急預(yù)案，啟用備用帶寬；-啟用流量清洗服務(wù)；-關(guān)閉非核心業(yè)務(wù)以減輕壓力。2.預(yù)防措施：-部署DDoS防護設(shè)備；-定期進行壓力測試；-優(yōu)化系統(tǒng)架構(gòu)以增強抗攻擊能力。案例三：1.選擇CA標(biāo)準(zhǔn)：-選擇權(quán)威CA，如中國長城認(rèn)證中心；-確認(rèn)CA支持的證書類型；-評估CA的服務(wù)質(zhì)量和技術(shù)支持。2.關(guān)鍵問題：-確保證書管理流程規(guī)范；-加強員工安全意識培訓(xùn)；-定期更新證書以防止過期。五、論述題1.信息安全風(fēng)險評估的基本流程及其重要性信息安全風(fēng)險評估的基本流程包括：1.資產(chǎn)識別：確定系統(tǒng)中的關(guān)鍵資產(chǎn)，如數(shù)據(jù)、硬件、軟件等；2.威脅識別：分析可能存在的威脅，如黑客攻擊、病毒感染等；3.脆弱性分析：評估系統(tǒng)存在的漏洞；4.風(fēng)險分析：結(jié)合威脅和脆弱性，計算風(fēng)險等級；5.風(fēng)險處理：制定風(fēng)險應(yīng)對措施，如加強防護、轉(zhuǎn)移風(fēng)險等。重要性：-幫助企業(yè)識別安全風(fēng)險，制定針對性防護措施；-優(yōu)化資源配置，優(yōu)先處理高風(fēng)險問題；-滿足合規(guī)要求，如《網(wǎng)絡(luò)安全法》規(guī)定企業(yè)需定期進行風(fēng)險評估。2.如何構(gòu)建一個有效的安全審計體系構(gòu)建安全審計體系的關(guān)鍵步驟包括：1.明確審計目標(biāo)：確定審計范圍，如系統(tǒng)訪問、數(shù)據(jù)操作等；2.選擇審計工具