2025年信息安全工程师考试试题及答案.docxVIP

2025年信息安全工程师考试试题及答案

一、单项选择题（共20题，每题1分，共20分）

1.以下关于对称加密算法的描述中，错误的是（）。

A.AES256的密钥长度为256位

B.DES的有效密钥长度为56位

C.3DES通过三次DES加密提升安全性，密钥长度为168位

D.对称加密的典型特点是加密和解密使用相同密钥

答案：C

解析：3DES的密钥长度通常为112位（使用两个不同的56位密钥）或168位（使用三个不同的56位密钥），但实际有效密钥长度因重复使用可能降低，因此“密钥长度为168位”的表述不严谨（若三次使用相同密钥则为56位），故C错误。

2.某企业部署了基于角色的访问控制（RBAC），以下场景符合RBAC原则的是（）。

A.系统管理员为财务主管直接分配“查看工资表”权限

B.新入职的实习生根据其岗位被自动分配“文档只读”角色

C.销售经理因临时需求，直接修改数据库管理员的权限

D.所有员工默认拥有“访问内部邮箱”权限，无需角色绑定

答案：B

解析：RBAC的核心是“角色”作为权限分配的中间层，岗位对应角色，角色绑定权限。B选项中实习生根据岗位分配角色，符合RBAC“角色权限”绑定的原则；A为直接分配权限（属DAC），C为越权修改权限，D为默认权限未通过角色绑定，均不符合。

3.下列网络安全协议中，用于保证电子邮件传输安全的是（）。

A.SSL/TLS

B.S/MIME

C.IPsec

D.HTTPS

答案：B

解析：S/MIME（安全多用途互联网邮件扩展）是专门为电子邮件设计的安全协议，支持加密和数字签名；SSL/TLS是通用传输层加密协议，HTTPS是HTTP+SSL/TLS，用于Web安全；IPsec用于网络层加密。

4.某系统日志显示“用户A尝试登录10次失败后被锁定”，这体现了哪种安全控制措施？（）

A.最小权限原则

B.纵深防御

C.访问控制中的认证强化

D.数据完整性保护

答案：C

解析：登录失败锁定机制属于认证阶段的强化控制，防止暴力破解，属于认证环节的安全措施；最小权限强调权限最小化，纵深防御强调多层防护，数据完整性保护关注数据未被篡改，均不符合。

5.以下关于零信任架构（ZeroTrust）的描述中，正确的是（）。

A.信任边界由网络位置决定，内部网络默认可信

B.所有访问请求必须经过持续验证，“永不信任，始终验证”

C.仅对外部用户实施严格认证，内部用户无需额外验证

D.零信任的核心是部署下一代防火墙（NGFW）

答案：B

解析：零信任的核心是“永不信任，始终验证”，不依赖网络位置划分信任边界，所有访问（无论内外）均需动态验证身份、设备状态、环境安全等；A、C错误；零信任是架构理念，NGFW是实现工具之一，D错误。

6.某企业数据库存储了用户身份证号、手机号等敏感信息，根据《个人信息保护法》，以下处理方式合规的是（）。

A.因业务需要，将用户信息共享给合作广告公司，未告知用户

B.对敏感信息进行去标识化处理后，用于统计分析

C.存储用户信息时仅加密手机号，身份证号明文存储

D.保留用户信息至业务终止后5年，超出法律要求的最短期限

答案：B

解析：《个人信息保护法》要求共享需告知并取得同意（A错误），敏感信息需加密或去标识化（C错误），存储期限应符合“最小必要”原则（D错误）；去标识化处理后无法识别特定个人，可合法用于统计（B正确）。

7.以下哪种攻击方式利用了操作系统或应用程序的缓冲区溢出漏洞？（）

A.SQL注入

B.DDoS攻击

C.缓冲区溢出攻击

D.跨站脚本攻击（XSS）

答案：C

解析：缓冲区溢出攻击直接利用程序在处理输入时未正确检查缓冲区边界的漏洞；SQL注入利用数据库查询漏洞，DDoS通过流量淹没攻击，XSS利用网页脚本执行漏洞。

8.数字签名的主要目的是（）。

A.保证数据机密性

B.验证数据完整性和发送者身份

C.防止数据被篡改但无法验证身份

D.实现数据的加密传输

答案：B

解析：数字签名通过私钥签名、公钥验证，可同时验证数据完整性（未被篡改）和发送者身份（只有持有私钥者可生成有效签名）；机密性需加密实现，故A、D错误；C未提及身份验证，错误。

9.某企业使用漏洞扫描工具检测到系统存在“高危漏洞：CVCVSS9.8）”，正确的处理流程是（）。

A.立即上线漏洞利用工具验证漏洞可利用性

B.等待供应商发布补丁后再处理