軟考中級信息安全工程師實踐訓(xùn)練試題及真題考試時長：120分鐘滿分：100分試卷名稱：軟考中級信息安全工程師實踐訓(xùn)練試題及真題考核對象：軟考中級信息安全工程師考生題型分值分布：-判斷題（總共10題，每題2分）總分20分-單選題（總共10題，每題2分）總分20分-多選題（總共10題，每題2分）總分20分-案例分析（總共3題，每題6分）總分18分-論述題（總共2題，每題11分）總分22分總分：100分---一、判斷題（每題2分，共20分）1.信息安全等級保護制度適用于所有關(guān)鍵信息基礎(chǔ)設(shè)施。2.加密算法分為對稱加密和非對稱加密兩種基本類型。3.安全審計日志應(yīng)至少保留6個月。4.雙因素認證比單因素認證的安全性更高。5.防火墻可以完全阻止所有網(wǎng)絡(luò)攻擊。6.惡意軟件（Malware）包括病毒、蠕蟲和木馬等類型。7.數(shù)據(jù)備份的目的是為了防止數(shù)據(jù)丟失。8.安全漏洞掃描工具可以自動發(fā)現(xiàn)系統(tǒng)中的安全漏洞。9.無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更容易受到安全威脅。10.信息安全策略是信息安全管理的核心文件。二、單選題（每題2分，共20分）1.以下哪種加密算法屬于對稱加密？（）A.RSAB.AESC.ECCD.SHA-2562.信息安全等級保護制度中，最高安全等級是？（）A.等級1B.等級2C.等級3D.等級53.以下哪種攻擊屬于拒絕服務(wù)攻擊（DoS）？（）A.SQL注入B.DDoSC.XSSD.CSRF4.安全審計的主要目的是？（）A.提高系統(tǒng)性能B.發(fā)現(xiàn)安全漏洞C.防止數(shù)據(jù)泄露D.優(yōu)化網(wǎng)絡(luò)帶寬5.以下哪種認證方式安全性最高？（）A.用戶名+密碼B.雙因素認證C.生物識別D.單因素認證6.防火墻的主要功能是？（）A.加密數(shù)據(jù)B.防止網(wǎng)絡(luò)攻擊C.備份數(shù)據(jù)D.優(yōu)化網(wǎng)絡(luò)速度7.以下哪種屬于惡意軟件？（）A.計算機病毒B.數(shù)據(jù)備份工具C.系統(tǒng)殺毒軟件D.防火墻8.信息安全策略的核心要素不包括？（）A.訪問控制B.數(shù)據(jù)加密C.系統(tǒng)監(jiān)控D.網(wǎng)絡(luò)拓撲9.以下哪種方法不屬于數(shù)據(jù)備份策略？（）A.完全備份B.增量備份C.差異備份D.恢復(fù)備份10.信息安全等級保護制度中，等級3適用于？（）A.非關(guān)鍵信息基礎(chǔ)設(shè)施B.一般信息系統(tǒng)的保護C.關(guān)鍵信息基礎(chǔ)設(shè)施D.私有信息系統(tǒng)的保護三、多選題（每題2分，共20分）1.以下哪些屬于信息安全的基本屬性？（）A.機密性B.完整性C.可用性D.可追溯性E.可擴展性2.以下哪些屬于常見的安全威脅？（）A.惡意軟件B.網(wǎng)絡(luò)釣魚C.DDoS攻擊D.SQL注入E.零日漏洞3.安全審計的主要內(nèi)容包括？（）A.用戶行為監(jiān)控B.日志分析C.安全事件響應(yīng)D.系統(tǒng)漏洞掃描E.訪問控制策略4.防火墻的主要類型包括？（）A.包過濾防火墻B.代理防火墻C.狀態(tài)檢測防火墻D.下一代防火墻E.無線防火墻5.以下哪些屬于雙因素認證的常見方式？（）A.用戶名+密碼B.密碼+動態(tài)口令C.密碼+生物識別D.密碼+物理令牌E.密碼+郵件驗證6.信息安全策略的主要內(nèi)容包括？（）A.訪問控制策略B.數(shù)據(jù)保護策略C.安全事件響應(yīng)流程D.系統(tǒng)運維規(guī)范E.用戶行為規(guī)范7.數(shù)據(jù)備份的常見方法包括？（）A.完全備份B.增量備份C.差異備份D.云備份E.磁帶備份8.信息安全等級保護制度中，等級2適用于？（）A.一般信息系統(tǒng)的保護B.重要信息系統(tǒng)的保護C.非關(guān)鍵信息基礎(chǔ)設(shè)施D.關(guān)鍵信息基礎(chǔ)設(shè)施E.私有信息系統(tǒng)的保護9.以下哪些屬于常見的安全漏洞？（）A.SQL注入漏洞B.XSS漏洞C.CSRF漏洞D.權(quán)限繞過漏洞E.配置錯誤10.信息安全管理的常見方法包括？（）A.風(fēng)險評估B.安全審計C.漏洞掃描D.安全培訓(xùn)E.物理隔離四、案例分析（每題6分，共18分）案例1：某企業(yè)部署了一套信息系統(tǒng)，系統(tǒng)包含用戶管理、訂單處理和支付模塊。企業(yè)要求對系統(tǒng)進行安全評估，并制定安全策略。請回答以下問題：（1）該企業(yè)應(yīng)如何進行安全評估？（2）該企業(yè)應(yīng)制定哪些安全策略？案例2：某公司遭受了一次DDoS攻擊，導(dǎo)致公司網(wǎng)站無法訪問。請回答以下問題：（1）DDoS攻擊的常見類型有哪些？（2）該公司應(yīng)如何防范DDoS攻擊？案例3：某企業(yè)要求對核心數(shù)據(jù)進行備份，并確保數(shù)據(jù)在發(fā)生故障時能夠快速恢復(fù)。請回答以下問題：（1）該企業(yè)應(yīng)采用哪些備份策略？（2）該企業(yè)應(yīng)如何確保備份數(shù)據(jù)的安全性？五、論述題（每題11分，共22分）1.請論述信息安全等級保護制度的主要內(nèi)容及其重要性。2.請論述如何構(gòu)建一個有效的企業(yè)信息安全管理體系。---標(biāo)準答案及解析一、判斷題1.√2.√3.×（應(yīng)至少保留12個月）4.√5.×（無法完全阻止）6.√7.√8.√9.√10.√解析：-第3題：根據(jù)《信息安全等級保護管理辦法》，安全審計日志應(yīng)至少保留12個月。-第5題：防火墻可以顯著提高安全性，但無法完全阻止所有攻擊。二、單選題1.B2.D3.B4.B5.B6.B7.A8.D9.D10.B解析：-第1題：AES屬于對稱加密算法，RSA、ECC屬于非對稱加密算法，SHA-256屬于哈希算法。-第2題：信息安全等級保護制度中，最高安全等級為5級。-第9題：恢復(fù)備份不屬于備份策略，而是備份后的操作。三、多選題1.A,B,C2.A,B,C,D,E3.A,B,C4.A,B,C,D5.B,C,D6.A,B,C,D,E7.A,B,C,D,E8.A,B9.A,B,C,D,E10.A,B,C,D,E解析：-第1題：信息安全的基本屬性包括機密性、完整性、可用性。-第8題：等級2適用于一般信息系統(tǒng)的保護。四、案例分析案例1：（1）安全評估方法：-風(fēng)險評估：識別系統(tǒng)中的潛在風(fēng)險。-漏洞掃描：發(fā)現(xiàn)系統(tǒng)中的安全漏洞。-安全審計：監(jiān)控用戶行為和系統(tǒng)日志。-滲透測試：模擬攻擊以測試系統(tǒng)安全性。（2）安全策略：-訪問控制策略：限制用戶訪問權(quán)限。-數(shù)據(jù)加密策略：對敏感數(shù)據(jù)進行加密。-安全事件響應(yīng)流程：制定安全事件處理流程。-系統(tǒng)運維規(guī)范：規(guī)范系統(tǒng)運維操作。案例2：（1）DDoS攻擊類型：-分布式拒絕服務(wù)攻擊（DDoS）-狀態(tài)連接攻擊（SYNFlood）-UDPFlood攻擊-HTTPFlood攻擊（2）防范DDoS攻擊方法：-部署DDoS防護設(shè)備。-使用CDN加速服務(wù)。-限制惡意IP訪問。-啟用流量清洗服務(wù)。案例3：（1）備份策略：-完全備份：定期進行完整數(shù)據(jù)備份。-增量備份：備份自上次備份以來的變化數(shù)據(jù)。-差異備份：備份自上次完全備份以來的所有變化數(shù)據(jù)。-云備份：將數(shù)據(jù)備份到云端。（2）確保備份數(shù)據(jù)安全性方法：-對備份數(shù)據(jù)進行加密。-定期驗證備份數(shù)據(jù)的完整性。-將備份數(shù)據(jù)存儲在安全的環(huán)境中。五、論述題1.信息安全等級保護制度的主要內(nèi)容及其重要性信息安全等級保護制度是中國信息安全領(lǐng)域的基本制度，其主要內(nèi)容包括：-等級劃分：將信息系統(tǒng)劃分為5個安全等級，等級越高安全性要求越高。-安全保護要求：針對不同等級制定相應(yīng)的安全保護要求。-安全評估：對信息系統(tǒng)進行安全評估，確保其符合安全要求。-安全整改：對不符合安全要求的信息系統(tǒng)進行整改。重要性：-提高信息系統(tǒng)安全性：通過等級保護制度，可以有效提高信息系統(tǒng)的安全性。-規(guī)范信息安全建設(shè)：等級保護制度為信息安全建設(shè)提供了規(guī)范。-保障關(guān)鍵信息基礎(chǔ)設(shè)施安全：關(guān)鍵信息基礎(chǔ)設(shè)施的安全至關(guān)重要。2.如何構(gòu)建一個有效的企業(yè)信息安全管理體系構(gòu)建有效的企業(yè)信息安全管理體系需要以