軟考中級(jí)信息安全工程師考試大綱試題及真題考試時(shí)長：120分鐘滿分：100分試卷名稱：軟考中級(jí)信息安全工程師考試大綱試題及真題考核對(duì)象：軟考中級(jí)信息安全工程師考生題型分值分布：-判斷題（總共10題，每題2分）總分20分-單選題（總共10題，每題2分）總分20分-多選題（總共10題，每題2分）總分20分-案例分析（總共3題，每題6分）總分18分-論述題（總共2題，每題11分）總分22分總分：100分---一、判斷題（每題2分，共20分）1.信息安全等級(jí)保護(hù)制度適用于所有關(guān)鍵信息基礎(chǔ)設(shè)施。2.加密算法分為對(duì)稱加密和非對(duì)稱加密兩種基本類型。3.安全審計(jì)日志應(yīng)至少保存3個(gè)月。4.防火墻可以完全阻止所有網(wǎng)絡(luò)攻擊。5.惡意軟件（Malware）包括病毒、蠕蟲和木馬。6.雙因素認(rèn)證比單因素認(rèn)證的安全性更高。7.數(shù)據(jù)備份的目的是為了防止數(shù)據(jù)丟失。8.物理隔離可以完全消除信息安全風(fēng)險(xiǎn)。9.信息安全風(fēng)險(xiǎn)評(píng)估不需要考慮法律合規(guī)性。10.無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更容易受到攻擊。二、單選題（每題2分，共20分）1.以下哪項(xiàng)不屬于信息安全的基本屬性？（）A.機(jī)密性B.完整性C.可用性D.可擴(kuò)展性2.哪種加密算法屬于對(duì)稱加密？（）A.RSAB.AESC.ECCD.SHA-2563.以下哪項(xiàng)不是常見的網(wǎng)絡(luò)攻擊類型？（）A.DDoS攻擊B.SQL注入C.中間人攻擊D.文件壓縮4.信息安全策略的核心要素不包括？（）A.訪問控制B.安全審計(jì)C.數(shù)據(jù)備份D.軟件開發(fā)5.哪種認(rèn)證方式安全性最高？（）A.用戶名+密碼B.短信驗(yàn)證碼C.生物識(shí)別+動(dòng)態(tài)口令D.靜態(tài)口令6.以下哪項(xiàng)不屬于物理安全措施？（）A.門禁系統(tǒng)B.視頻監(jiān)控C.數(shù)據(jù)加密D.溫濕度控制7.信息安全風(fēng)險(xiǎn)評(píng)估的方法不包括？（）A.定量評(píng)估B.定性評(píng)估C.風(fēng)險(xiǎn)矩陣D.社會(huì)工程學(xué)8.哪種協(xié)議主要用于傳輸加密數(shù)據(jù)？（）A.FTPB.HTTPSC.TelnetD.SMTP9.信息安全管理體系（ISMS）的核心標(biāo)準(zhǔn)是？（）A.ISO9001B.ISO27001C.ISO14001D.ISO2200010.哪種攻擊屬于社會(huì)工程學(xué)攻擊？（）A.拒絕服務(wù)攻擊B.網(wǎng)絡(luò)釣魚C.惡意軟件植入D.漏洞掃描三、多選題（每題2分，共20分）1.信息安全的基本屬性包括哪些？（）A.機(jī)密性B.完整性C.可用性D.可追溯性E.可擴(kuò)展性2.常見的對(duì)稱加密算法有哪些？（）A.DESB.3DESC.AESD.RSAE.Blowfish3.網(wǎng)絡(luò)攻擊的類型包括哪些？（）A.DDoS攻擊B.SQL注入C.拒絕服務(wù)攻擊D.中間人攻擊E.跨站腳本攻擊4.信息安全策略的要素包括哪些？（）A.訪問控制B.安全審計(jì)C.數(shù)據(jù)備份D.軟件開發(fā)E.應(yīng)急響應(yīng)5.常見的認(rèn)證方式有哪些？（）A.用戶名+密碼B.短信驗(yàn)證碼C.生物識(shí)別D.動(dòng)態(tài)口令E.靜態(tài)口令6.物理安全措施包括哪些？（）A.門禁系統(tǒng)B.視頻監(jiān)控C.數(shù)據(jù)加密D.溫濕度控制E.安全培訓(xùn)7.信息安全風(fēng)險(xiǎn)評(píng)估的方法包括哪些？（）A.定量評(píng)估B.定性評(píng)估C.風(fēng)險(xiǎn)矩陣D.社會(huì)工程學(xué)E.漏洞掃描8.常見的加密協(xié)議包括哪些？（）A.FTPB.HTTPSC.TelnetD.SMTPE.SSH9.信息安全管理體系（ISMS）的要素包括哪些？（）A.風(fēng)險(xiǎn)評(píng)估B.安全策略C.安全控制D.安全審計(jì)E.應(yīng)急響應(yīng)10.常見的社會(huì)工程學(xué)攻擊包括哪些？（）A.網(wǎng)絡(luò)釣魚B.惡意軟件植入C.拒絕服務(wù)攻擊D.誘騙攻擊E.漏洞掃描四、案例分析（每題6分，共18分）案例1：某企業(yè)部署了一套信息系統(tǒng)，包含數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器和用戶終端。近期發(fā)現(xiàn)數(shù)據(jù)庫存在多次未授權(quán)訪問記錄，且部分用戶終端出現(xiàn)異常彈窗。企業(yè)決定進(jìn)行安全評(píng)估，并提出改進(jìn)措施。問題：1.分析該企業(yè)可能面臨的安全風(fēng)險(xiǎn)。2.提出至少三種安全改進(jìn)措施。案例2：某金融機(jī)構(gòu)采用雙因素認(rèn)證機(jī)制保護(hù)其核心業(yè)務(wù)系統(tǒng)，但近期發(fā)現(xiàn)部分員工因忘記動(dòng)態(tài)口令而無法訪問系統(tǒng)。同時(shí)，系統(tǒng)日志顯示存在多次暴力破解密碼的嘗試。問題：1.分析該金融機(jī)構(gòu)可能存在的問題。2.提出至少兩種改進(jìn)建議。案例3：某政府機(jī)構(gòu)的數(shù)據(jù)中心部署了防火墻和入侵檢測(cè)系統(tǒng)，但近期發(fā)生了一次數(shù)據(jù)泄露事件。調(diào)查發(fā)現(xiàn)，攻擊者通過未及時(shí)修補(bǔ)的系統(tǒng)漏洞入侵了網(wǎng)絡(luò)。問題：1.分析該事件的可能原因。2.提出至少三種防范措施。五、論述題（每題11分，共22分）論述題1：論述信息安全風(fēng)險(xiǎn)評(píng)估的基本流程及其重要性。論述題2：結(jié)合實(shí)際案例，論述信息安全管理體系（ISMS）的構(gòu)建過程及其關(guān)鍵要素。---標(biāo)準(zhǔn)答案及解析一、判斷題1.√2.√3.×（應(yīng)至少保存6個(gè)月）4.×（防火墻不能完全阻止所有攻擊）5.√6.√7.√8.×（物理隔離不能完全消除風(fēng)險(xiǎn)）9.×（需考慮法律合規(guī)性）10.√解析：-第3題：根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，安全審計(jì)日志應(yīng)至少保存6個(gè)月。-第4題：防火墻可以阻止部分攻擊，但不能完全消除所有威脅。-第8題：物理隔離可以降低風(fēng)險(xiǎn)，但不能完全消除。二、單選題1.D2.B3.D4.D5.C6.C7.D8.B9.B10.B解析：-第1題：可擴(kuò)展性不屬于信息安全的基本屬性。-第2題：AES屬于對(duì)稱加密算法。-第5題：生物識(shí)別+動(dòng)態(tài)口令結(jié)合了多種認(rèn)證方式，安全性最高。-第7題：社會(huì)工程學(xué)屬于風(fēng)險(xiǎn)評(píng)估的方法之一，但不是技術(shù)評(píng)估方法。三、多選題1.A,B,C2.A,B,C,E3.A,B,C,D,E4.A,B,C,E5.A,B,C,D,E6.A,B,D,E7.A,B,C8.B,E9.A,B,C,D,E10.A,B,D解析：-第1題：信息安全的基本屬性包括機(jī)密性、完整性和可用性。-第8題：HTTPS和SSH用于傳輸加密數(shù)據(jù)。-第10題：網(wǎng)絡(luò)釣魚和誘騙攻擊屬于社會(huì)工程學(xué)攻擊。四、案例分析案例1：1.安全風(fēng)險(xiǎn)：-數(shù)據(jù)庫未授權(quán)訪問（可能導(dǎo)致數(shù)據(jù)泄露）。-用戶終端異常彈窗（可能感染惡意軟件）。-網(wǎng)絡(luò)存在未修復(fù)漏洞（可能被進(jìn)一步攻擊）。2.改進(jìn)措施：-部署入侵檢測(cè)系統(tǒng)（IDS）監(jiān)控異常流量。-加強(qiáng)用戶權(quán)限管理，實(shí)施最小權(quán)限原則。-定期進(jìn)行安全培訓(xùn)，提高員工安全意識(shí)。案例2：1.問題：-雙因素認(rèn)證導(dǎo)致部分員工無法訪問系統(tǒng)（用戶體驗(yàn)問題）。-系統(tǒng)存在暴力破解風(fēng)險(xiǎn)（密碼安全不足）。2.改進(jìn)建議：-提供備用認(rèn)證方式（如動(dòng)態(tài)口令短信備份）。-部署密碼強(qiáng)度策略，限制登錄嘗試次數(shù)。案例3：1.可能原因：-系統(tǒng)漏洞未及時(shí)修補(bǔ)（系統(tǒng)維護(hù)不足）。-防火墻配置不當(dāng)（未能有效阻止攻擊）。2.防范措施：-定期進(jìn)行漏洞掃描和修補(bǔ)。-優(yōu)化防火墻規(guī)則，限制惡意IP訪問。五、論述題論述題1：信息安全風(fēng)險(xiǎn)評(píng)估的基本流程包括：1.風(fēng)險(xiǎn)識(shí)別：識(shí)別信息系統(tǒng)中的潛在風(fēng)險(xiǎn)（如漏洞、威脅等）。2.風(fēng)險(xiǎn)分析：分析風(fēng)險(xiǎn)發(fā)生的可能性和影響程度。3.風(fēng)險(xiǎn)評(píng)價(jià)：根據(jù)風(fēng)險(xiǎn)分析結(jié)果，確定風(fēng)險(xiǎn)等級(jí)。4.風(fēng)險(xiǎn)處理：制定風(fēng)險(xiǎn)處理計(jì)劃（如規(guī)避、轉(zhuǎn)移、減輕等）。