信息安全考试试题附答案.docxVIP

信息安全考试试题附答案

一、单项选择题（每题2分，共40分）

1.以下哪种加密算法属于对称加密？

A.RSA

B.ECC

C.AES

D.椭圆曲线加密

答案：C

2.某网站用户登录时，服务器返回“用户名或密码错误”，但未明确提示是用户名错误还是密码错误，这遵循了信息安全的哪项原则？

A.最小权限原则

B.失败安全原则

C.纵深防御原则

D.最小泄露原则

答案：D

3.以下哪项是SQL注入攻击的典型特征？

A.向目标服务器发送大量ICMP请求

B.在URL参数中插入“OR1=1”等字符串

C.通过社会工程学获取用户登录凭证

D.利用缓冲区溢出执行恶意代码

答案：B

4.用于验证数字证书真实性的基础设施是？

A.PKI（公钥基础设施）

B.VPN（虚拟专用网络）

C.IDS（入侵检测系统）

D.DMZ（非军事区）

答案：A

5.以下哪项不属于访问控制模型？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于风险的访问控制（RAC）

答案：D（注：RAC非标准访问控制模型）

6.某企业将用户密码存储为SHA256哈希值，但未添加盐值（Salt），主要风险是？

A.哈希算法容易被暴力破解

B.相同密码的哈希值相同，易被彩虹表攻击

C.哈希过程不可逆，无法验证用户输入

D.盐值会增加存储开销

答案：B

7.以下哪种协议用于安全传输电子邮件？

A.SMTP

B.POP3

C.S/MIME

D.FTP

答案：C

8.物联网设备常见的安全漏洞不包括？

A.硬编码默认凭证

B.固件更新未验证完整性

C.支持多因素认证

D.缺乏安全补丁机制

答案：C

9.某系统日志显示14:30:0000[05/Oct/2023:14:30:00+0800]GET/admin/deleteUser?id=123HTTP/1.12001234”，可能存在的安全隐患是？

A.未记录用户身份信息

B.敏感操作未进行权限验证

C.日志未加密存储

D.日志时间格式不统一

答案：B（注：直接通过URL参数执行删除操作，未验证用户是否有权限）

10.以下哪项是零信任架构的核心假设？

A.网络内部是可信的

B.所有访问请求必须持续验证

C.设备身份无需动态评估

D.数据传输无需加密

答案：B

11.用于检测已知攻击模式的入侵检测系统（IDS）属于？

A.异常检测

B.误用检测

C.行为检测

D.流量分析

答案：B

12.数据脱敏技术中，将“身份证号44010619900101XXXX”处理为“440106XXXX”属于？

A.哈希脱敏

B.替换脱敏

C.掩码脱敏

D.随机化脱敏

答案：C

13.以下哪项是缓冲区溢出攻击的关键？

A.向程序内存写入超出分配空间的数据

B.修改系统时间导致证书失效

C.发送大量ARP请求造成网络拥堵

D.利用XSS漏洞窃取用户Cookies

答案：A

14.某企业采用WPA3协议替代WPA2，主要提升了哪方面的安全？

A.防暴力破解能力

B.支持更大的密钥长度

C.防止KRACK攻击

D.简化用户连接流程

答案：C（注：WPA3修复了WPA2的KRACK（密钥重装攻击）漏洞）

15.以下哪种算法属于国密算法？

A.RSA

B.SM4

C.AES

D.SHA256

答案：B

16.安全审计的主要目的是？

A.实时阻止攻击行为

B.记录和分析系统活动，追溯安全事件

C.加密传输中的敏感数据

D.定期更新系统补丁

答案：B

17.某员工收到邮件，内容为“您的账户存在异常登录，请点击链接重置密码”，这属于哪种攻击？

A.钓鱼攻击

B.DDoS攻击

C.勒索软件攻击

D.中间人攻击

答案：A

18.以下哪项是最小权限原则的具体应用？

A.管理员账户拥有所有系统权限

B.普通用户仅能访问必要的文件和功能

C.所有用户使用相同的登录密码

D.服务器开放所有端口以便访问

答案：B

19.用于验证软件完整性的技术是？

A.数字签名

B.访问控制列表（ACL）

C.防火墙规则

D.虚拟专用网络（VPN）

答案：A

2