2025年信息安全工程师能力测评试题及答案.docxVIP

2025年信息安全工程师能力测评试题及答案

一、单项选择题（共15题，每题2分，共30分。每题只有一个正确选项）

1.某企业使用AES算法对核心数据进行加密，若采用AES256模式，其密钥长度和分组长度分别为：

A.128位，128位

B.256位，128位

C.256位，256位

D.128位，256位

2.以下哪种攻击方式利用了TCP协议三次握手的缺陷？

A.DNS缓存投毒

B.SYNFlood

C.ARP欺骗

D.ICMP重定向攻击

3.根据ISO/IEC27001标准，信息安全管理体系（ISMS）的核心流程不包括：

A.风险评估

B.安全策略制定

C.漏洞扫描工具采购

D.控制措施实施与监控

4.某系统日志显示“SQLSTATE[42000]:Syntaxerrororaccessviolation:1064YouhaveanerrorinyourSQLsyntax”，最可能的安全漏洞是：

A.XSS跨站脚本

B.CSRF跨站请求伪造

C.SQL注入

D.文件包含漏洞

5.以下关于RBAC（基于角色的访问控制）的描述中，错误的是：

A.角色是权限的集合

B.用户通过角色间接获得权限

C.适用于动态变化的组织架构

D.每个用户必须对应唯一角色

6.某企业部署了入侵检测系统（IDS），若其采用异常检测模型，核心判断依据是：

A.已知攻击特征库

B.系统正常行为基线

C.流量中的协议异常

D.日志中的关键字匹配

7.下列密码算法中，属于对称加密且支持认证加密（AEAD）模式的是：

A.RSA

B.ECC

C.ChaCha20Poly1305

D.SHA256

8.某物联网设备使用MQTT协议与云端通信，为防止中间人攻击，最有效的防护措施是：

A.限制设备IP白名单

B.启用TLS/SSL加密通道

C.定期重启设备

D.增加设备硬件防火墙

9.依据《个人信息保护法》，处理敏感个人信息时，除“取得个人单独同意”外，还需满足的条件是：

A.公开处理规则

B.最小必要原则

C.提供信息删除功能

D.进行影响评估

10.以下哪种漏洞属于应用层协议漏洞？

A.缓冲区溢出

B.心跳漏洞（Heartbleed）

C.碎片化IP包攻击

D.会话固定（SessionFixation）

11.某企业采用零信任架构（ZeroTrust），其核心假设是：

A.网络内部是安全的

B.所有访问请求均不可信

C.设备身份认证优先于权限验证

D.数据传输无需加密

12.对于Windows系统的本地管理员账户，最严格的安全控制措施是：

A.禁用Guest账户

B.设置强密码并定期轮换

C.启用账户锁定策略

D.将管理员权限委派给普通用户

13.某云平台用户发现存储桶（Bucket）中的数据被未授权访问，可能的原因不包括：

A.存储桶策略配置为“公共读”

B.访问密钥（AK/SK）泄露

C.对象版本控制未启用

D.桶ACL（访问控制列表）设置错误

14.以下关于渗透测试的描述中，正确的是：

A.需在目标系统未授权情况下进行

B.重点是发现所有潜在漏洞

C.测试报告应包含详细漏洞利用代码

D.需模拟真实攻击者的手法

15.某企业使用哈希算法存储用户密码，若要求即使哈希值泄露也无法还原明文，应选择的最佳算法是：

A.MD5

B.SHA1

C.bcrypt

D.CRC32

二、多项选择题（共10题，每题3分，共30分。每题有2个或以上正确选项，错选、漏选均不得分）

16.以下属于零信任架构核心原则的有：

A.持续验证访问请求

B.最小化网络暴露面

C.信任网络边界

D.基于上下文动态授权

17.数据脱敏的常用技术包括：

A.替换（Replacement）

B.加密（Encryption）

C.掩码（Masking）

D.匿名化（Anonymization）

18.以下哪些措施可有效防御DDoS攻击？

A.部署流量清洗设备

B.启用速率限制（RateLimiting）

C.关闭不必要的服务端口

D.增加服务器内存容量

19.依据《网络安全法》，网络运营者需履行的义务包括：

A.制定内