考研软件工程2025年网络安全专项训练试卷（含答案）.docxVIP

考研软件工程2025年网络安全专项训练试卷（含答案）

考试时间：______分钟总分：______分姓名：______

一、选择题（每题2分，共20分）

1.以下哪一项不属于信息安全的基本属性？

A.机密性

B.完整性

C.可用性

D.可控性

2.在网络安全领域，APT通常指的是？

A.应用程序接口

B.高级持续性威胁

C.自动化密码分析

D.网络接入点

3.以下哪种加密方式使用相同的密钥进行加密和解密？

A.非对称加密

B.对称加密

C.哈希函数

D.数字签名

4.防火墙的主要功能是？

A.查杀计算机病毒

B.防止网络内部用户访问外部网站

C.过滤不安全的网络流量，控制访问

D.加密敏感数据传输

5.以下哪项技术主要用于检测网络中的异常流量和潜在攻击？

A.防火墙

B.入侵检测系统（IDS）

C.虚拟专用网络（VPN）

D.压缩解压缩工具

6.在Web应用安全中，XSS攻击主要是利用什么来实施？

A.系统配置错误

B.服务器程序漏洞，注入恶意脚本

C.用户弱密码

D.网络协议缺陷

7.常见的“中间人攻击”主要威胁到哪种安全需求？

A.完整性

B.不可否认性

C.机密性

D.可用性

8.以下哪项是身份认证中常用的“一次性密码”（OTP）生成方法？

A.基于知识因子（如密码）

B.基于拥有物因子（如智能卡）

C.基于生物特征因子（如指纹）

D.基于时间同步算法（如动态口令）

9.Biba安全模型主要关注哪方面的安全？

A.防止信息从高安全等级流向低安全等级

B.防止非法用户访问信息

C.确保信息只能被授权用户读取

D.确保系统资源不被滥用

10.对称加密算法相比非对称加密算法，其主要优势通常在于？

A.密钥管理更简单，计算效率更高

B.传输速度更快

C.安全性更强

D.可以用于数字签名

二、简答题（每题5分，共25分）

1.简述对称加密和非对称加密的主要区别。

2.什么是SQL注入攻击？简述其基本原理。

3.简要说明网络分层模型中，OSI七层模型和TCP/IP四层模型的区别（至少两点）。

4.什么是“最小权限原则”？请简述其在系统安全中的意义。

5.简述Web应用防火墙（WAF）的主要功能。

三、综合应用题（共35分）

1.（15分）假设你正在设计一个在线购物平台的用户认证系统。请简述该系统应考虑的安全需求，并设计一个包含多因素认证的方案。说明你选择哪些因素，以及它们如何协同工作以提高安全性。

2.（20分）描述一个典型的Web应用可能面临的安全威胁链（例如：信息泄露-权限提升-数据篡改）。针对这个威胁链中的至少三个关键环节，提出具体的安全防护措施，并简要说明每项措施的作用原理。

试卷答案

一、选择题

1.D

2.B

3.B

4.C

5.B

6.B

7.C

8.D

9.A

10.A

二、简答题

1.解析：对称加密使用同一个密钥进行加密和解密，算法公开，重点在于密钥的安全分发与管理。非对称加密使用一对密钥，公钥和私钥，公钥加密数据，私钥解密数据（或反之），解决了对称加密密钥分发困难的问题，但计算效率通常较低。主要区别在于密钥使用方式（单钥vs双钥）和计算效率（对称通常更高）。

2.解析：SQL注入攻击是一种代码注入技术，攻击者通过在Web表单输入或URL参数中插入恶意SQL代码片段，使得服务器执行了非预期的SQL查询。其原理是利用Web应用未对用户输入进行充分过滤或验证，将用户的恶意输入当作SQL语句的一部分执行，从而可能访问、修改或删除数据库中的数据，甚至获得数据库服务器权限。例如，在登录接口输入`OR1=1`，可能绕过密码验证。

3.解析：区别主要有：1）模型层次不同：OSI是七层模型（物理、数据链路、网络、传输、会话、表示、应用），较为理论化；TCP/IP是四层模型（网络接口、网络、传输、应用），更偏向实际应用。2）功能划分不同：OSI每层功能划分更细致；TCP/IP在网络层和传输层功能相对合并。3）协议标准：TCP/IP是互联网的基础协议，而OSI是作为一个参考模型提出的。

4.解析：最小权限原则指用户或进程应仅被授予完成其任务所必需的最少权限，不得拥有超出其职责范围的权限。其意