2025年信息安全工程师考试试卷及答案.docxVIP

2025年信息安全工程师考试试卷及答案

一、单项选择题（共20题，每题1分，共20分）

1.以下哪种加密算法属于非对称加密？

A.AES256

B.RSA

C.DES

D.ChaCha20

答案：B

解析：非对称加密使用公钥和私钥对，RSA是典型代表；AES、DES、ChaCha20均为对称加密算法。

2.某企业发现员工通过社交平台泄露内部文档，最可能违反的安全原则是？

A.最小权限原则

B.纵深防御原则

C.责任分离原则

D.数据保密性原则

答案：D

解析：数据保密性原则要求保护数据不被未授权披露，社交平台泄露文档直接违反此原则。

3.以下哪项是TLS1.3协议相比TLS1.2的主要改进？

A.支持DES加密

B.减少握手延迟

C.保留MD5哈希算法

D.取消预共享密钥模式

答案：B

解析：TLS1.3优化了握手流程，将往返次数从2次减少到1次，显著降低延迟；其他选项均为TLS1.2或更早版本的特性。

4.某网站用户登录界面提示“用户名或密码错误”，但未区分是用户名不存在还是密码错误，这符合以下哪项安全设计原则？

A.失败安全默认

B.输入验证

C.错误处理最小化

D.最小泄露原则

答案：D

解析：最小泄露原则要求不向攻击者泄露额外信息，避免通过错误提示推测用户名是否存在。

5.以下哪种攻击方式利用了操作系统的权限提升漏洞？

A.DNS劫持

B.缓冲区溢出

C.DDoS攻击

D.钓鱼邮件

答案：B

解析：缓冲区溢出攻击通过向程序输入超出缓冲区长度的数据，覆盖内存中的返回地址，从而执行恶意代码，常导致权限提升。

6.某企业部署了基于角色的访问控制（RBAC），其核心是？

A.按用户身份直接分配权限

B.按职位或职责定义角色并分配权限

C.按时间动态调整权限

D.按设备IP地址限制访问

答案：B

解析：RBAC的核心是“角色”作为中间层，权限与角色绑定，用户通过角色获得权限，而非直接绑定用户。

7.以下哪项是哈希函数的典型应用场景？

A.加密传输中的敏感数据

B.验证文件完整性

C.实现数字签名的私钥加密

D.生成对称加密的会话密钥

答案：B

解析：哈希函数通过生成固定长度的摘要值，可用于验证文件在传输或存储过程中是否被篡改，确保完整性。

8.某公司网络中，所有终端必须通过802.1X认证后才能访问内网，这属于哪种安全技术？

A.网络访问控制（NAC）

B.入侵检测系统（IDS）

C.虚拟专用网络（VPN）

D.防火墙策略控制

答案：A

解析：802.1X是网络访问控制（NAC）的一种实现方式，通过认证控制终端对网络的访问权限。

9.以下哪项是SQL注入攻击的关键漏洞？

A.未对用户输入进行有效过滤

B.数据库未启用审计日志

C.应用服务器未安装最新补丁

D.数据库备份策略不完善

答案：A

解析：SQL注入攻击利用应用程序未对用户输入的SQL语句进行转义或验证，导致攻击者可执行任意SQL命令。

10.某系统采用“盐值（Salt）+密码”进行哈希存储，其主要目的是？

A.加快哈希计算速度

B.防止彩虹表攻击

C.支持多用户密码复用

D.降低存储成本

答案：B

解析：盐值是随机生成的附加字符串，与密码拼接后哈希，可避免相同密码生成相同哈希值，防止通过彩虹表批量破解。

11.以下哪种安全协议用于保护IP层通信？

A.SSL

B.IPSec

C.SSH

D.HTTPS

答案：B

解析：IPSec（IP安全协议）工作在网络层，提供数据加密、身份认证和完整性校验，保护IP数据包。

12.某企业发现日志中存在大量异常的SSH连接尝试，源IP来自多个国家，最可能的攻击类型是？

A.暴力破解

B.中间人攻击

C.跨站脚本（XSS）

D.拒绝服务（DoS）

答案：A

解析：异常SSH连接尝试（如频繁尝试不同密码）通常是暴力破解攻击的特征，攻击者试图猜测合法用户的密码。

13.以下哪项属于数据脱敏技术？

A.对数据库字段进行AES加密

B.将真实姓名替换为“用户XXX”

C.定期对数据进行异机备份

D.部署数据库审计系统

答案：B

解析：数据脱敏通过替换、变形等方式将敏感数据转换为非敏感形式（如“用户XXX”），用于测试或共享场景。

14.零信任架