信息安全试题及答案2025年.docxVIP

信息安全试题及答案2025年

一、单项选择题（每题2分，共20分）

1.某金融机构部署了基于零信任架构的访问控制系统，其核心设计中最不符合零信任原则的是（）

A.所有访问请求默认拒绝，需验证身份、设备状态、上下文环境后动态授权

B.内部网络划分为多个微隔离区域，不同区域间流量需二次认证

C.员工通过VPN接入内部系统时，仅验证账号密码即可访问所有业务模块

D.系统持续监控用户行为，发现异常操作后自动终止会话

答案：C（零信任原则强调“永不信任，始终验证”，默认拒绝并动态评估，C选项仅验证账号密码即开放全权限，违反最小权限和持续验证原则）

2.根据2024年修订的《数据安全法实施细则》，以下关于数据分类分级的表述中，错误的是（）

A.关键信息基础设施运营者需在6个月内完成数据分类分级并向省级网信部门备案

B.涉及个人生物识别信息的数据应划分为“核心数据”，需采用加密存储+访问控制双重保护

C.数据分类应基于业务场景、敏感程度、泄露影响等维度，分级标准由行业主管部门制定

D.数据处理者可委托第三方专业机构开展分类分级，但最终责任仍由数据处理者承担

答案：B（生物识别信息属于“重要数据”而非“核心数据”，核心数据通常指直接影响国家安全、经济命脉、公共利益的数据集）

3.针对提供式AI模型的“幻觉攻击”（HallucinationAttack），以下防护措施最有效的是（）

A.限制模型训练数据的来源，仅使用结构化数据库

B.在模型输出阶段增加事实核查模块，对接权威知识库验证

C.降低模型参数规模，减少复杂推理导致的错误提供

D.对用户输入进行关键词过滤，屏蔽敏感话题

答案：B（幻觉攻击指模型提供虚假信息，核心防护需验证输出的真实性，事实核查模块直接针对此问题；A限制数据来源会降低模型能力，C参数规模与幻觉无直接关联，D无法解决已提供的虚假内容）

4.某企业采用SM9标识密码算法实现设备身份认证，其核心优势是（）

A.无需证书管理，直接基于设备标识提供公私钥对

B.支持量子计算抗性，可抵御Shor算法攻击

C.加密强度高于AES256，适用于高敏感数据传输

D.支持同态加密，便于隐私计算场景应用

答案：A（SM9是标识密码算法，公私钥与用户标识（如IP、设备ID）绑定，无需传统PKI的证书颁发和管理；B错误，SM9基于椭圆曲线，量子计算仍可破解；C错误，加密强度与算法设计有关，SM9主要用于身份认证；D同态加密是另一类算法）

5.物联网设备“影子账户”攻击的典型特征是（）

A.攻击者通过物理接触篡改设备固件，植入后门

B.利用设备默认弱口令或未禁用的测试账户远程登录

C.伪造设备身份与云平台建立连接，窃取上行数据

D.诱导用户安装恶意APP，获取设备控制权限

答案：B（影子账户指设备出厂时预留的未删除的测试账户、维护账户，通常使用默认口令，攻击者利用此类账户绕过正常认证体系；A是固件攻击，C是身份伪造，D是应用层攻击）

6.某政务云平台发生SQL注入攻击，导致用户信息泄露。经排查，漏洞根源是（）

A.数据库未开启审计日志功能

B.应用程序对用户输入未做参数化处理

C.云服务器未安装最新安全补丁

D.数据库账户权限设置为“所有权限”

答案：B（SQL注入的核心原因是未对用户输入进行有效过滤或参数化处理，导致恶意输入被当作SQL命令执行；A是事后追溯问题，C是系统漏洞，D是权限管理问题）

7.关于数据跨境流动的“白名单机制”，以下表述正确的是（）

A.由数据接收国列出允许接收数据的境外企业名单

B.数据处理者需通过国家网信部门组织的安全评估方可进入白名单

C.白名单内企业可自由向境外传输数据，无需额外合规操作

D.白名单适用于所有类型数据，包括核心数据和重要数据

答案：B（根据《数据出境安全评估办法》，白名单机制指通过安全评估的企业可获得数据出境便利化资格；A错误，白名单由数据输出国制定；C错误，仍需遵守目的国法规；D错误，核心数据禁止出境）

8.量子密钥分发（QKD）技术的核心安全基础是（）

A.计算复杂度理论，如大整数分解难题

B.量子不可克隆定理和测不准原理

C.哈希算法的抗碰撞性

D.椭圆曲线离散对数问题

答案：B（QKD利用量子态的不可克隆性和测量干扰特性，任何窃听都会改变量子态，从而被通信双方检测到；A是传统公钥加密的基础，C是哈希函数的安全基础，D是ECC的基础）

9.某工业控制系统（ICS）出现“僵尸网络”攻击，最可能的攻击路径是（