2024年下软考信息安全工程师及答案.docxVIP

2024年下软考信息安全工程师及答案

一、单项选择题（共25题，每题1分，共25分。每题只有一个正确选项）

1.以下关于信息安全属性的描述中，错误的是（）。

A.完整性强调数据未被未授权篡改或破坏

B.可用性指授权用户在需要时可访问数据

C.不可否认性通过数字签名实现

D.保密性仅通过加密技术保障

答案：D

解析：保密性的实现不仅依赖加密技术，还包括访问控制、权限管理等手段。加密是技术手段之一，但并非唯一方式。

2.对称加密算法中，AES256的密钥长度是（）。

A.128位

B.192位

C.256位

D.512位

答案：C

解析：AES支持128、192、256位三种密钥长度，AES256明确对应256位密钥。

3.以下不属于网络层安全协议的是（）。

A.IPsec

B.SSL/TLS

C.AH

D.ESP

答案：B

解析：SSL/TLS工作在传输层与应用层之间，属于传输层安全协议；IPsec的AH（认证头）和ESP（封装安全载荷）属于网络层协议。

4.某企业发现员工终端频繁感染勒索病毒，最可能的安全漏洞是（）。

A.未定期更新操作系统补丁

B.未部署入侵检测系统（IDS）

C.未启用防火墙策略

D.未实施访问控制列表（ACL）

答案：A

解析：勒索病毒常利用操作系统未修复的漏洞（如永恒之蓝MS17010）传播，定期打补丁是关键防护措施。

5.以下关于数字证书的描述，正确的是（）。

A.证书由用户自己生成并签名

B.证书包含公钥和用户身份信息

C.证书有效期通常为10年以上

D.证书吊销后仍可用于加密通信

答案：B

解析：数字证书由CA颁发，包含用户身份信息、公钥、有效期等，吊销后不可再用于信任验证。

6.在SQL注入攻击中，攻击者通过（）方式破坏数据库安全。

A.向输入字段插入恶意SQL代码

B.利用缓冲区溢出执行任意代码

C.通过跨站脚本注入JavaScript

D.伪造DHCP服务器分配错误IP

答案：A

解析：SQL注入的核心是将恶意SQL代码插入用户输入，使后端数据库执行非预期操作。

7.零信任架构的核心原则是（）。

A.默认信任内部网络所有设备

B.持续验证访问请求的安全性

C.仅通过防火墙实现边界防护

D.依赖单一身份认证机制

答案：B

解析：零信任强调“永不信任，始终验证”，对每个访问请求持续验证身份、设备状态、环境安全等。

8.以下属于物理安全防护措施的是（）。

A.部署入侵检测系统

B.对服务器机房加设门禁系统

C.对数据库进行加密存储

D.实施最小权限原则

答案：B

解析：物理安全涉及场地、设备的实体防护，门禁系统属于物理访问控制。

9.某系统日志显示大量ICMPEcho请求（Ping）发往同一目标IP，最可能的攻击是（）。

A.DDoS攻击中的ICMP洪水

B.ARP欺骗

C.端口扫描

D.缓冲区溢出

答案：A

解析：ICMP洪水攻击通过发送大量ICMP请求耗尽目标带宽或资源，属于DDoS的一种。

10.以下关于访问控制模型的描述，错误的是（）。

A.自主访问控制（DAC）由客体拥有者决定权限

B.强制访问控制（MAC）基于安全标签实现

C.基于角色的访问控制（RBAC）将权限与角色绑定

D.基于属性的访问控制（ABAC）仅考虑用户属性

答案：D

解析：ABAC（基于属性的访问控制）考虑用户、资源、环境等多维度属性，而非仅用户属性。

11.以下哈希算法中，已被证明存在碰撞漏洞的是（）。

A.SHA256

B.SHA3

C.MD5

D.SM3

答案：C

解析：MD5已被证实可人为构造碰撞，安全性不足，已不推荐使用。

12.移动应用安全中，防止逆向工程的关键措施是（）。

A.对敏感代码进行混淆和加固

B.启用应用自动更新

C.限制应用安装来源

D.要求用户设置复杂密码

答案：A

解析：逆向工程通过反编译获取代码逻辑，代码混淆和加固可增加逆向难度。

13.以下属于《数据安全法》规定的重要数据的是（）。

A.企业内部员工通讯录

B.涉及国家安全的经济数据

C.电商平台用户购物记录

D.社交媒体用户点赞信息

答案：B

解析：《数据安全法》明确重要数据包括关系国家安全、国民经济命脉等的数据，B选项符合定义。

14.某公司使用WPA3协议部署无线局域