信息安全考试试题「附答案」.docxVIP

信息安全考试试题「附答案」

一、单项选择题（每题2分，共20分）

1.以下哪种加密算法属于非对称加密？

A.AES256

B.RSA

C.DES

D.3DES

2.某系统日志中出现大量“SQLSELECTFROMusersWHEREusername=OR1=1”记录，最可能遭遇的攻击是？

A.XSS攻击

B.CSRF攻击

C.SQL注入攻击

D.DDoS攻击

3.根据ISO/IEC27001标准，信息安全管理体系（ISMS）的核心是？

A.技术防护措施

B.风险评估与处理

C.人员安全培训

D.物理安全控制

4.以下哪项是TLS1.3相比TLS1.2的主要改进？

A.支持AES加密

B.减少握手延迟

C.增加MD5哈希算法

D.保留SSL协议兼容

5.某企业员工使用弱密码（如“123456”）登录内部系统，违反了信息安全的哪项基本原则？

A.最小权限原则

B.纵深防御原则

C.最小特权原则

D.职责分离原则

6.以下哪种恶意软件通过自我复制并感染其他程序传播？

A.病毒（Virus）

B.蠕虫（Worm）

C.木马（Trojan）

D.勒索软件（Ransomware）

7.我国《数据安全法》规定，关键信息基础设施运营者在境内运营中收集和产生的重要数据应当？

A.存储在境外云服务器

B.向社会公开

C.在境内存储

D.仅由第三方机构管理

8.以下哪项是物联网（IoT）设备特有的安全风险？

A.固件漏洞难以更新

B.SQL注入

C.社会工程学攻击

D.数据加密强度不足

9.某网站采用HTTPS协议后，仍可能存在的安全风险是？

A.中间人攻击（MITM）

B.会话劫持

C.域名系统缓存污染（DNSCachePoisoning）

D.拒绝服务攻击（DoS）

10.以下哪种访问控制模型通过角色分配权限，适用于大型组织？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

二、填空题（每空2分，共20分）

1.常见的哈希算法中，SHA256的输出长度是______位。

2.防火墙的主要功能是根据______规则对网络流量进行过滤。

3.钓鱼攻击（Phishing）的核心手段是______用户信任。

4.操作系统的安全加固措施通常包括关闭不必要的______、更新补丁和配置访问控制。

5.数据脱敏技术中，将“身份证号44010619900101XXXX”处理为“440106XXXX”属于______脱敏方法。

6.网络安全等级保护（等保2.0）要求第三级信息系统需每年至少开展______次等级测评。

7.量子计算对现有加密算法的主要威胁是能快速破解______加密（如RSA）。

8.工业控制系统（ICS）的典型协议Modbus默认使用的端口是______。

9.零信任架构（ZeroTrust）的核心假设是______不可信。

10.数字签名的主要目的是确保数据的______和不可否认性。

三、简答题（每题8分，共40分）

1.简述“最小权限原则”（PrincipleofLeastPrivilege）的定义及其在信息安全中的应用场景。

2.比较对称加密与非对称加密的优缺点，并各举一例说明其典型应用。

3.什么是“缓冲区溢出”（BufferOverflow）攻击？简述其原理及防御措施。

4.列举三种常见的日志类型（如系统日志、应用日志），并说明日志分析在信息安全中的作用。

5.我国《网络安全法》对个人信息保护提出了哪些核心要求？（至少列出4项）

四、综合分析题（20分）

某电商平台近期发生用户数据泄露事件，泄露数据包括10万条用户姓名、手机号、收货地址及部分支付密码（明文存储）。经初步调查，平台数据库未开启访问审计功能，且开发人员在测试环境中使用了生产环境数据库的超级管理员账号。

请结合信息安全理论，分析该事件暴露的安全漏洞，并提出至少5项针对性的整改措施。

参考答案

一、单项选择题

1.B（RSA是非对称加密算法，其余为对称加密）

2.C（SQL注入攻击通过拼接恶意SQL语句绕过验证）

3.B（ISO/IEC27001以风险评估为核心，建立PDCA循环）

4.B（TLS1.3优化握手流