2025计算机四级信息安全工程师考试题库及答案.docxVIP

2025计算机四级信息安全工程师考试题库及答案

一、信息安全基础

1.（选择题）以下哪项是ISO/IEC27001标准的核心目标？

A.规定网络传输速率

B.建立信息安全管理体系（ISMS）

C.定义操作系统内核结构

D.规范数据库查询语言语法

答案：B

解析：ISO/IEC27001是信息安全管理体系的国际标准，核心是通过建立、实施、监控和改进ISMS，确保组织信息资产的安全性。其他选项均与标准无关。

2.（填空题）信息安全的三要素是机密性、完整性和__________。

答案：可用性

解析：CIA三元组是信息安全的核心，机密性（Confidentiality）防止未授权访问，完整性（Integrity）确保数据未被篡改，可用性（Availability）保证授权用户能及时访问数据。

3.（简答题）简述“最小特权原则”在系统安全中的应用。

答案：最小特权原则要求用户或进程仅获得完成任务所需的最小权限。例如，服务器管理员账户不应同时具备数据库删除权限；普通用户登录系统时，仅开放文件读取权限而非修改权限。该原则可限制恶意程序或误操作的影响范围，降低系统被攻击后的损失。实际应用中，需通过角色权限分配（RBAC）、权限审计和定期权限回收实现。

二、密码学基础

4.（选择题）以下哪种算法属于非对称加密？

A.AES-256

B.DES

C.RSA

D.3DES

答案：C

解析：非对称加密使用公钥和私钥对，RSA基于大整数分解难题，属于非对称算法。AES、DES、3DES均为对称加密，使用相同密钥加密和解密。

5.（填空题）SHA-256属于__________算法，其输出哈希值长度为__________位。

答案：哈希（或散列）；256

解析：SHA-256是SHA-2系列的哈希算法，通过对任意长度输入数据计算固定长度（256位）的哈希值，常用于数字签名、数据完整性校验等场景。

6.（综合分析题）某系统采用AES-CBC模式加密用户敏感数据，密钥长度为128位。近期发现相同明文多次加密后密文不同，但攻击者仍能通过分析密文差异获取部分明文信息。请分析可能原因及改进措施。

答案：可能原因：CBC模式需要初始化向量（IV），若IV固定或可预测，攻击者可通过密文异或操作推导明文。例如，若IV重复，相同明文块加密后的密文块相同，暴露数据模式。改进措施：（1）使用随机且不可预测的IV（如通过密码学安全的随机数生成器生成），每次加密时IV不同；（2）采用更安全的模式，如GCM（认证加密模式），同时提供机密性和完整性校验；（3）定期轮换AES密钥，避免长期使用同一密钥导致的暴力破解风险。

三、网络安全技术

7.（选择题）以下哪种攻击属于应用层DDoS？

A.SYNFlood

B.ICMPFlood

C.DNS放大攻击

D.HTTP慢速连接攻击

答案：D

解析：应用层DDoS针对应用层协议（如HTTP），通过模拟正常请求耗尽服务器资源。HTTP慢速连接攻击（Slowloris）通过保持大量不完整的HTTP连接，占用服务器线程，属于应用层攻击。SYNFlood（传输层）、ICMPFlood（网络层）、DNS放大攻击（利用DNS协议反射）均为网络层或传输层攻击。

8.（填空题）防火墙的三种基本工作模式是路由模式、透明模式和__________。

答案：NAT模式（或网络地址转换模式）

解析：路由模式下防火墙作为网络节点参与路由转发；透明模式类似网桥，不改变网络拓扑；NAT模式通过地址转换隐藏内部网络结构，常用于小型企业或家庭网络。

9.（简答题）比较入侵检测系统（IDS）与入侵防御系统（IPS）的核心区别。

答案：IDS（入侵检测系统）主要功能是监测网络或系统活动，识别可疑行为并生成警报，属于被动防御；IPS（入侵防御系统）则在检测到攻击时主动阻断，如丢弃恶意数据包、关闭异常连接，属于主动防御。技术实现上，IDS通常旁路部署，不影响流量转发；IPS需串联在网络路径中，直接处理流量。此外，IPS需要更严格的误报控制，避免误阻断正常流量。

四、操作系统安全

10.（选择题）Linux系统中，以下哪个文件用于配置用户密码策略？

A./etc/passwd

B./etc/shadow

C./etc/security/pwquality.conf

D./etc/group

答案：C

解析：/etc/security/pwquality.conf是Linux密码质量配置文件，可设置密码最小长度、复杂度（是否包含数字/符号）、