2025年信息安全工程师资格考试题及答案.docxVIP

2025年信息安全工程师资格考试题及答案

一、单项选择题（共20题，每题1分，共20分）

1.根据《网络安全法》第二十一条，网络运营者应当按照网络安全等级保护制度的要求，履行的安全保护义务不包括以下哪项？

A.制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任

B.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施

C.定期对从业人员进行网络安全教育、技术培训和技能考核

D.对网络产品、服务提供者的安全审查

答案：D

解析：《网络安全法》第二十一条明确的安全保护义务包括制定制度、技术防护、安全教育、监测记录等，安全审查属于第三十五条关键信息基础设施采购的要求。

2.以下关于对称加密算法的描述中，错误的是？

A.加密和解密使用相同密钥

B.计算效率高，适合大文件加密

C.密钥分发存在安全风险

D.RSA算法是典型的对称加密算法

答案：D

解析：RSA是非对称加密算法，对称加密算法如AES、DES、3DES等。

3.在访问控制模型中，“主体对客体的访问权限由系统根据主体的角色预先分配”属于哪种模型？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

答案：C

解析：RBAC通过角色关联权限，主体通过角色获得权限，符合题干描述。

4.某企业部署了入侵检测系统（IDS），当检测到异常流量时触发报警，但经核查发现大量报警为误报。可能的原因不包括？

A.规则库未及时更新

B.流量特征提取不准确

C.采用了误用检测模式

D.基线阈值设置过于敏感

答案：C

解析：误用检测（特征检测）基于已知攻击特征，误报率低；误报多可能是规则过时、特征错误或阈值敏感（异常检测常见问题）。

5.以下哪种攻击方式利用了操作系统或应用程序的缓冲区溢出漏洞？

A.SQL注入

B.DDoS攻击

C.缓冲区溢出攻击

D.跨站脚本攻击（XSS）

答案：C

解析：缓冲区溢出攻击直接利用程序内存管理漏洞，其他选项分别针对数据库、网络带宽、Web应用逻辑。

6.根据《信息安全技术网络安全等级保护基本要求》（GB/T222392019），第三级信息系统的“安全通信网络”要求中，不属于“网络架构”控制点的是？

A.应划分不同的网络区域，并按照方便管理的原则进行边界防护

B.应避免将重要网络区域部署在边界处

C.应采用技术措施实现核心网络设备的冗余部署

D.应保证网络设备的业务处理能力满足业务高峰期需要

答案：A

解析：三级要求中，网络区域划分需“根据业务需求和信息资产重要程度”，而非“方便管理”；其他选项均为网络架构控制点内容。

7.以下关于数字签名的描述，正确的是？

A.数字签名仅能验证数据完整性

B.数字签名使用发送方的公钥加密摘要

C.数字签名需结合哈希算法和非对称加密

D.数字签名的验证过程需要接收方私钥

答案：C

解析：数字签名流程为：发送方用哈希算法生成摘要，再用私钥加密摘要（签名）；接收方用公钥解密摘要，与自己计算的摘要比对，因此需哈希和非对称加密结合。

8.某Web应用使用PHP开发，用户输入参数直接拼接SQL语句，可能导致的安全风险是？

A.文件包含漏洞

B.CSRF攻击

C.SQL注入

D.路径遍历

答案：C

解析：未对用户输入进行过滤直接拼接SQL语句，是SQL注入的典型诱因。

9.以下哪项不属于云安全中的“共享责任模型”内容？

A.云服务商负责物理服务器的安全

B.用户负责虚拟机操作系统的补丁管理

C.云服务商负责虚拟网络的DDoS防护

D.用户负责云数据库的访问控制策略

答案：无（注：本题为干扰项，实际考试中无此设计，正确应为所有选项均符合模型，此处仅示例）

正确答案调整：若选项D为“云服务商负责用户数据加密密钥管理”，则答案为D（用户应管理自己的密钥）。

10.在风险评估中，资产A的价值为100万元，威胁发生的概率为每年0.1次，脆弱性被利用后导致的损失比例为50%，则该资产的年度预期损失（ALE）为？

A.5万元

B.10万元

C.50万元

D.100万元

答案：A

解析：ALE=资产价值（AV）×脆弱性被利用的概率（EF）×威胁发生频率（ARO）=100万×50%×0.1=5万元。

11.以下哪种协议用于安全地传输电子邮件？

A.SMTP

B.