2025年计算机信息安全工程师资格考试试题及答案.docxVIP

2025年计算机信息安全工程师资格考试试题及答案

一、单项选择题（共20题，每题1分，共20分）

1.以下哪种加密算法属于对称加密算法？

A.RSA

B.ECC

C.AES

D.SHA256

答案：C

解析：对称加密算法的特点是加密和解密使用相同密钥，AES（高级加密标准）是典型对称算法；RSA和ECC为非对称加密算法，SHA256是哈希算法。

2.某企业网络中，管理员发现内网主机频繁向境外IP发送异常DNS请求，最可能的攻击类型是？

A.DDoS攻击

B.钓鱼攻击

C.数据泄露

D.DNS隧道攻击

答案：D

解析：DNS隧道攻击通过将数据封装在DNS请求报文中，绕过防火墙检测，实现内网与外部的隐蔽通信，符合题干中“异常DNS请求”的特征。

3.以下哪项不属于零信任架构的核心原则？

A.持续验证

B.最小权限访问

C.网络边界强化

D.设备可信度评估

答案：C

解析：零信任架构的核心是“从不信任，始终验证”，强调动态评估访问主体（用户、设备、应用）的可信度，而非依赖传统网络边界；网络边界强化是传统边界安全的特征。

4.某系统日志中出现大量“401Unauthorized”状态码，最可能的原因是？

A.服务器拒绝访问（403）

B.用户凭证错误

C.资源未找到（404）

D.服务器内部错误（500）

答案：B

解析：HTTP状态码401表示未授权，通常由用户提供的认证凭证（如用户名/密码）错误导致；403为禁止访问（权限不足但凭证正确），404为资源不存在，500为服务器内部错误。

5.以下哪种漏洞属于应用层漏洞？

A.ARP欺骗

B.SQL注入

C.MAC泛洪

D.碎片攻击

答案：B

解析：SQL注入是由于应用程序未对用户输入进行有效过滤，导致恶意SQL代码执行，属于应用层漏洞；ARP欺骗、MAC泛洪属于链路层攻击，碎片攻击属于网络层攻击。

6.关于数字签名的描述，正确的是？

A.仅使用公钥加密数据

B.仅使用私钥加密数据

C.公钥加密+私钥解密

D.私钥加密+公钥验证

答案：D

解析：数字签名的流程是发送方用私钥对数据哈希值加密（生成签名），接收方用发送方公钥解密验证签名，确保数据完整性和发送方身份真实性。

7.某企业部署WAF（Web应用防火墙）后，发现正常用户请求被误拦截，最可能的原因是？

A.WAF规则过于宽松

B.WAF模式设置为“监控”

C.WAF规则匹配精度不足

D.WAF未启用HTTPS解密

答案：C

解析：误拦截（误报）通常由WAF规则过于严格或匹配逻辑不准确导致；规则宽松会导致漏报，监控模式不会拦截请求，未启用HTTPS解密可能导致无法检测加密流量中的攻击，但不会直接导致正常请求被误拦。

8.以下哪种访问控制模型基于角色分配权限？

A.DAC（自主访问控制）

B.MAC（强制访问控制）

C.RBAC（基于角色的访问控制）

D.ABAC（基于属性的访问控制）

答案：C

解析：RBAC通过定义角色（如管理员、普通用户），并为角色分配权限，用户通过担任角色获得权限；DAC由资源所有者自主分配权限，MAC由系统强制分配安全标签，ABAC基于用户、环境等属性动态授权。

9.勒索软件攻击的关键防范措施是？

A.定期备份数据并离线存储

B.关闭所有端口

C.禁用USB接口

D.安装单一杀毒软件

答案：A

解析：勒索软件通过加密用户数据勒索赎金，定期离线备份（如物理隔离的存储设备）可在数据被加密后恢复，是最有效的防范措施；关闭端口、禁用USB会影响正常业务，单一杀毒软件无法覆盖所有威胁。

10.以下哪项是ISO27001标准的核心？

A.网络性能优化

B.信息安全管理体系（ISMS）

C.数据加密技术

D.漏洞扫描流程

答案：B

解析：ISO27001是信息安全管理体系国际标准，核心是通过建立、实施、维护和改进ISMS，确保组织信息资产的安全性。

11.某物联网设备固件存在未修复的CVE漏洞，最有效的临时防护措施是？

A.断开设备网络连接

B.安装入侵检测系统（IDS）

C.部署下一代防火墙（NGFW）

D.配置访问控制列表（ACL）限制设备通信范围

答案：D

解析：对于无法立即修复的物联网设备漏洞，通过ACL限制其仅与必要系统通信（最小化攻击面）是临时有效措施；断开连接影响业务，IDS/NGFW可检测但无