信息安全工程师(基础知识、应用技术)合卷软件资格考试(中级)试卷与参考答案(2024年).docxVIP

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试卷(答案在后面)

一、基础知识（客观选择题，75题，每题1分，共75分）

1、下列关于信息安全基本概念的描述，不正确的是？

信息安全是指保护信息系统、信息及其处理过程免受未经授权的访问、使用、披露、篡改、破坏等威胁

信息安全是一种持续的、动态的过程，需要不断的更新和完善

信息安全仅仅关注硬件安全的防护

信息安全涉及各个层面，包括技术、组织和管理

2、什么是安全风险？

信息系统遭受恶意攻击的概率

信息系统遭受危害的可能性及其潜在的影响

信息系统设计中存在的安全缺陷

信息系统中未经授权的数据访问

3、计算和存储介质等主要计算机设备需要保持干燥、清洁，其相对湿度和温度应保持在都是多少？（3分）A．20%-95%、-10到30度B．10%-85%、0到50度C．10%-90%、5到35度D．20%-80%、2到28度【参考答案】C【试题解析】计算和存储介质等主要计算机设备需要保持工作环境清洁，避免灰尘、烟雾和有害气体对主要计算机设备的危害，更不应水汽、尘垢侵入设备内部；相对湿度和温度必须保持在设备正常工作的要求内。根据相关国际和行业标准推荐，最适的相对湿度和温度为20%-90%、5到35度。当环境相对湿度超过90%或温度超过40度时，设备漏水或被浸的风险增加，设备可能会出现电路短路、集成电路出现故障、连接器插件接触不良、磁介质存储设备介质损坏等严重问题。

4、Kerberos是Microsoft认证服务的密码体系，用于在各种计算机上的多个应用建立安全认证的框架。如果在Windows2000的私有域内，访问Microsoft的活动目录（ActiveDirectory）可能会有什么样的问题？（3分）A．无法向ActiveDirectory注册，因为无法获取它所需的登录令牌B．因为在私有域内使用了黑胡椒，不能实现跨网段用户认证C．因为ActiveDirectory没有通过本地认证，所以无法访问D．Windows2000作为ActiveDirectory用户，可以直接访问ActiveDirectory服务

5、以下关于信息安全风险管理的基本原则描述，哪一项是*错误的?

风险管理应全面覆盖所有系统和应用

风险管理应遵循“预防为主，防患未然”的原则

风险管理应以消除风险为唯一目标

风险管理应定期进行重复性评估和更新

6、下列关于密码学的说法，哪一项是*错误的？

对称密码和非对称密码是两种不同的加密算法

哈希函数是一种用于加密数据的算法

数字签名用于鉴别数据来源和保证数据完整性

密码学主要用于保证数据的机密性、完整性和可用性

7.下列哪个协议不是加密协议？

A.SSL/TLS

B.SSH

C.HTTP

D.SMTP

8.以下哪个是OSI模型的第七层？

A.应用层

B.表示层

C.会话层

D.物理层

9、“数字、”方式表述一个操作系统安全特性是指什么？

A、权限模型

B、强制访问控制

C、审计记录

D、系统备份10、解释“逻辑访问控制”和“物理访问控制”的区别。

A、逻辑访问控制是指对计算机数据和程序的控制，物理访问控制是指对计算机硬件和网络设施的控制。

B、逻辑访问控制是指对计算机硬件和网络设施的控制，物理访问控制是指对计算机数据和程序的控制。

C、逻辑访问控制和物理访问控制是一样的，都是为了保护计算机系统安全的控制措施。

D、逻辑访问控制和物理访问控制是互补的，但它们在管理和资源控制方面有着显著区别。

11、攻击者利用SSL/TLS重写网站域名解析记录，引导用户访问恶意网站的攻击方式称为：

A.嗅探攻击

中间人攻击

拒绝服务攻击

SQL注入攻击

12、以下哪一项不是身份认证的一种方式？

A.强制双重认证

B.证书认证

C.审计日志分析

D.密码认证

13.在密码学中，对称密钥加密和非对称密钥加密是两种基本加密方式。下列描述中，哪一项是关于对称密钥加密的？

A.使用私钥加密，公钥解密

B.算法公开，密钥保密

C.算法和密钥公开

D.使用密码本身作为加密的密钥，并且在加密和解密过程中使用相同的密钥

14.下列选项中，哪一项不是抵御SQL注入攻击的方法？

A.使用预编译语句或存储过程

B.对用户输入数据长度进行限制

C.使用绑定参数来执行SQL

D.在代码中直接写成SQL语句进行数据库操作

15、以下哪个选项不属于信息安全的层次？

A.物理安全

B.技术安全

C.法律安全

D.人为安全

16、在网络安全中，用于认证和授权的技术称为：

A.加密技术

B.防火墙技术

C.访问控制技术

D.