2025年信息安全人员资格认证模拟试题与解析.docxVIP

2025年信息安全人员资格认证模拟试题与解析

一、单项选择题（每题2分，共20分）

1.某企业部署零信任架构时，要求所有访问请求必须经过持续验证，且权限根据环境动态调整。以下哪项最能体现零信任“永不信任，始终验证”的核心原则？

A.仅允许内网IP访问核心系统

B.对用户身份、设备状态、网络环境进行多因素联合验证

C.为所有员工分配相同的系统访问权限

D.仅在工作日白天开放外部访问

答案：B

解析：零信任的核心是打破“内网安全”的假设，要求对每个访问请求的身份、设备、环境等多维度信息进行持续验证（B正确）。A依赖内网边界，不符合零信任“无边界”理念；C违反最小权限原则；D是静态访问控制，未体现动态验证。

2.某金融机构需对客户交易记录进行脱敏处理，要求脱敏后的数据无法通过关联其他信息恢复原始值。以下哪种技术最符合“不可逆脱敏”要求？

A.基于规则的掩码（如将身份证号前6位替换为）

B.差分隐私（添加可控噪声）

C.哈希算法（如SHA-256）

D.对称加密（如AES-256）

答案：B

解析：不可逆脱敏要求脱敏后的数据无法通过任何方式还原原始信息。差分隐私通过添加噪声使得个体数据无法被精确识别（B正确）。掩码技术（A）可能通过部分信息关联还原；哈希算法（C）在已知哈希值和碰撞场景下可能被破解；加密（D）可通过密钥解密，属于可逆处理。

3.2025年，某企业因未对物联网设备（如智能摄像头）进行安全加固，导致设备被植入恶意固件，进而攻击企业内网。此类风险主要源于以下哪项安全缺陷？

A.设备身份认证缺失

B.固件更新未验证完整性

C.数据传输未加密

D.访问控制策略过于宽松

答案：B

解析：恶意固件植入通常利用固件更新过程中未验证数字签名或完整性校验的漏洞（B正确）。身份认证缺失（A）可能导致设备被非法接入，但无法直接植入固件；数据传输未加密（C）影响的是传输过程中的数据安全；访问控制宽松（D）可能导致越权操作，但非固件被篡改的主因。

4.某AI模型在训练阶段使用了包含用户敏感信息的数据集，导致模型输出结果中泄露用户隐私。此类风险属于AI安全中的哪类问题？

A.模型对抗攻击

B.数据投毒攻击

C.隐私泄露（如成员推断攻击）

D.模型可解释性不足

答案：C

解析：成员推断攻击指通过模型输出推断训练数据中是否包含特定个体信息（C正确）。数据投毒（B）是向训练数据注入恶意样本影响模型输出；对抗攻击（A）是通过输入扰动导致模型误判；可解释性不足（D）指无法理解模型决策逻辑。

5.根据《数据安全法》及2025年最新修订要求，以下哪项数据处理活动无需进行数据安全影响评估？

A.某电商平台向境外母公司传输用户购物偏好数据

B.某医院将患者诊疗数据用于AI辅助诊断模型训练

C.某银行对客户交易数据进行匿名化处理后公开统计报告

D.某运营商将用户位置数据与第三方广告平台共享

答案：C

解析：数据安全影响评估的适用场景包括数据跨境传输（A）、利用敏感数据进行算法开发（B）、数据共享（D）等。匿名化数据（无法识别特定个体且不能复原）不属于个人信息，无需评估（C正确）。

6.量子密码通信中，“量子不可克隆定理”解决了传统密码学的哪一核心问题？

A.密钥分发的安全性

B.加密算法的计算复杂度

C.数字签名的不可抵赖性

D.哈希函数的抗碰撞性

答案：A

解析：量子密钥分发（如BB84协议）利用量子不可克隆定理确保密钥在传输过程中若被窃听会留下痕迹，解决了传统密钥分发中“中间人攻击”的安全隐患（A正确）。其他选项与量子特性无直接关联。

7.某企业采用隐私计算技术实现“数据可用不可见”，在联合建模场景下，以下哪项是隐私计算的典型应用模式？

A.一方将原始数据明文传输给另一方

B.各方数据通过联邦学习在本地训练，仅交换模型参数

C.第三方机构汇总所有原始数据后统一处理

D.利用区块链公开存储所有数据操作记录

答案：B

解析：联邦学习是隐私计算的典型技术，允许各参与方在本地训练模型，仅交换加密后的模型参数，避免原始数据泄露（B正确）。A、C会导致数据泄露；D区块链解决的是操作可追溯问题，非数据隐私保护。

8.某公司发现员工通过邮件外发包含客户个人信息的文档，需部署技术手段阻断此类行为。以下哪项工具最适用？

A.入侵检测系统（IDS）

B.数据丢失防护（DLP）

C.网页防篡改系统（WAF）

D.终端安全管理（ESM）

答案：B

解析：DLP（数据丢失防护）可识别敏感数据（