2025年信息安全工程师招聘笔试真题及答案.docxVIP

2025年信息安全工程师招聘笔试练习题及答案

一、单项选择题（每题2分，共30分）

1.以下哪种加密算法属于对称加密？

A.RSA

B.ECC

C.AES

D.椭圆曲线加密

答案：C

解析：对称加密算法的特点是加密和解密使用相同密钥，常见的有AES、DES、3DES等。RSA（A）和ECC（B、D）属于非对称加密算法，使用公钥和私钥对。

2.以下哪项是SQL注入攻击的本质？

A.利用操作系统漏洞执行任意代码

B.向数据库发送恶意SQL语句

C.绕过Web应用身份验证机制

D.篡改用户输入的表单数据

答案：B

解析：SQL注入攻击通过将恶意SQL代码插入用户输入字段，使应用程序未做有效过滤时，直接将输入拼接到SQL语句中执行，本质是向数据库发送恶意SQL语句（B）。其他选项描述的是不同类型攻击的特征。

3.下列哪项不是TLS协议的作用？

A.保证数据传输的机密性

B.验证通信双方的身份

C.防止DDoS攻击

D.确保数据完整性

答案：C

解析：TLS（传输层安全协议）主要用于加密传输数据（机密性）、验证服务器（或客户端）身份（身份验证）、通过哈希算法确保数据未被篡改（完整性）。防止DDoS攻击（C）属于流量清洗或防火墙的功能，与TLS无关。

4.某企业发现员工终端频繁出现“文件被加密且扩展名变为.xyz”的现象，最可能的攻击类型是？

A.勒索软件攻击

B.蠕虫病毒传播

C.钓鱼邮件攻击

D.零日漏洞利用

答案：A

解析：勒索软件通常通过加密用户文件并索要赎金，文件扩展名被修改是典型特征（如常见的.encrypted、.xyz等）。蠕虫（B）主要通过复制自身传播；钓鱼邮件（C）目标是窃取信息；零日漏洞（D）利用未公开漏洞，无特定文件加密特征。

5.以下关于缓冲区溢出攻击的描述，错误的是？

A.攻击目标是程序内存管理漏洞

B.可导致程序崩溃或执行任意代码

C.仅发生在C/C++等编译型语言编写的程序中

D.现代操作系统的ASLR技术可降低其成功率

答案：C

解析：缓冲区溢出攻击利用程序未正确检查输入数据长度，导致数据覆盖内存其他区域。虽然C/C++因手动内存管理更易受攻击（如strcpy函数），但解释型语言（如Python）若调用底层C库仍可能触发（C错误）。ASLR（地址空间布局随机化）通过随机化内存地址，使攻击者难以定位执行地址（D正确）。

6.以下哪项是SCADA系统的典型安全风险？

A.社交媒体账号被盗

B.工业控制指令被篡改

C.员工邮件密码泄露

D.数据库SQL注入

答案：B

解析：SCADA（监控与数据采集系统）主要用于工业控制，其核心风险是控制指令被篡改（B），可能导致设备异常运行。其他选项（A、C、D）属于通用IT系统风险，非工业控制系统特有。

7.某系统日志显示“Failedloginattemptfrom00:5555touseradmin”，最可能的攻击是？

A.暴力破解

B.跨站脚本（XSS）

C.远程代码执行（RCE）

D.ARP欺骗

答案：A

解析：日志记录了来自特定IP和端口的多次登录失败尝试，符合暴力破解攻击特征（通过穷举密码尝试登录）。XSS（B）涉及用户输入注入脚本；RCE（C）目标是执行系统命令；ARP欺骗（D）篡改MAC地址映射，与登录失败无关。

8.以下哪项是哈希函数的主要特性？

A.可逆性

B.抗碰撞性

C.密钥依赖性

D.非对称性

答案：B

解析：哈希函数的核心特性包括固定输出长度、单向性（不可逆，A错误）、抗碰撞性（难以找到两个不同输入产生相同哈希值，B正确）。密钥依赖性（C）是HMAC（带密钥的哈希）的特征；非对称性（D）是公钥密码的特性。

9.以下哪种访问控制模型最适用于军事领域的机密信息管理？

A.基于角色的访问控制（RBAC）

B.基于属性的访问控制（ABAC）

C.强制访问控制（MAC）

D.自主访问控制（DAC）

答案：C

解析：MAC（强制访问控制）由系统强制分配安全标签（如密级），用户和资源的标签决定访问权限，适用于对安全性要求极高的场景（如军事）。DAC（D）由资源所有者自主设置权限，灵活性高但安全性较低；RBAC（A）基于角色分配权限，常见于企业；ABAC（B）基于属性动态决策，适用于复杂场景。

10.以下哪项不是物联网（IoT）设备的典型安全问题？

A.固件更新机制缺失

B.默认密码未修改