2025年(信息安全分析师)信息安全分析试题及答案.docxVIP

2025年(信息安全分析师)信息安全分析试题及答案

一、单项选择题（每题2分，共20分）

1.某医疗云平台采用联邦学习技术共享患者影像数据，需防范的核心安全风险是？

A.模型参数泄露导致患者隐私推断

B.云服务器硬件漏洞引发数据篡改

C.跨机构网络延迟影响模型训练效率

D.数据标注人员操作失误导致标签错误

答案：A

解析：联邦学习通过本地训练+参数交换实现数据“可用不可见”，但攻击者可通过分析模型参数梯度反推原始数据特征（如患者年龄、病灶位置），属于隐私泄露的核心风险。B为传统云安全问题，非联邦学习特有；C是性能问题，D是数据质量问题，均非核心安全风险。

2.根据《数据安全法》及配套法规，某跨境电商将用户购物行为数据（含IP地址、浏览记录）传输至海外母公司，需履行的必要合规步骤是？

A.向省级网信部门备案数据出境安全评估

B.完成数据出境风险自评估并通过国家网信部门安全评估

C.与境外接收方签订标准合同并报市级数据管理部门备案

D.仅需在平台隐私政策中告知用户数据出境事项

答案：B

解析：2023年《数据出境安全评估办法》规定，处理100万人以上个人信息的数据出境、关键信息基础设施运营者数据出境等需通过国家网信部门安全评估。用户购物行为数据涉及大量个人信息（IP地址属个人信息，浏览记录可能关联身份），跨境电商通常用户量超100万，因此需完成自评估并通过国家评估。A错误，备案非必要；C适用于小规模数据出境；D未满足法定评估要求。

3.某企业部署零信任架构（ZTA），以下哪项不符合零信任“持续验证”原则？

A.员工访问内部系统时，每30分钟重新验证设备健康状态

B.供应商通过VPN接入时，仅验证一次账户密码

C.财务系统访问请求触发时，动态检查用户当前位置与历史行为模式

D.开发人员访问生产数据库时，需额外验证生物特征（如指纹）

答案：B

解析：零信任要求“持续验证”，即每次访问请求或会话周期内动态评估风险。供应商仅验证一次密码，未在会话期间持续检查（如设备是否感染恶意软件、IP是否异常变更），违反持续验证原则。A、C、D均体现动态、多因素的持续验证。

4.针对内存安全漏洞（如Use-After-Free），以下防御措施中效果最差的是？

A.启用编译器的地址空间布局随机化（ASLR）

B.采用内存安全编程语言（如Rust）重构核心模块

C.部署用户模式堆（UserModeHeap）防护

D.实施基于硬件的内存隔离（如IntelSGX）

答案：A

解析：ASLR通过随机化内存地址降低漏洞利用成功率，但无法阻止Use-After-Free漏洞的触发（漏洞本身是内存管理错误）。B从语言层面避免此类漏洞（Rust强制内存所有权检查）；C通过堆内存保护机制检测非法访问；D通过硬件隔离限制漏洞影响范围。因此ASLR防御效果最差。

5.量子计算机对现有公钥密码体系的威胁主要体现在？

A.加速对称加密算法（如AES）的暴力破解

B.破解椭圆曲线加密（ECC）的离散对数问题

C.破坏哈希函数（如SHA-3）的碰撞抗性

D.干扰数字签名的随机数生成器

答案：B

解析：Shor算法可在量子计算机上高效解决大数分解和离散对数问题，直接威胁RSA（基于大数分解）和ECC（基于椭圆曲线离散对数）。A中AES属于对称加密，量子计算机仅能加速暴力破解（如将2^128复杂度降至2^64），但非致命威胁；C中SHA-3的抗碰撞性依赖于不同数学问题，量子攻击未被证明有效；D属于随机数生成器自身缺陷，与量子计算无关。

二、简答题（每题8分，共40分）

1.简述数据安全风险评估中“数据资产梳理”的关键步骤及技术方法。

答案：

关键步骤：

（1）数据分类分级：基于业务属性（如用户数据、交易数据）和敏感程度（如个人生物信息为高敏感，公开产品介绍为低敏感）划分等级，参考《个人信息保护法》《数据安全法》中的重要数据定义。

（2）数据流向追踪：识别数据产生（如用户注册）、存储（数据库/文件系统）、传输（内部网络/第三方接口）、处理（分析/清洗）、销毁（物理删除/逻辑归档）的全生命周期路径。

（3）关联系统映射：将数据与承载系统（如CRM、ERP）、访问主体（员工/第三方）、传输通道（API/消息队列）建立关联关系，形成数据资产图谱。

技术方法：

-自动化扫描：使用数据发现工具（如IBMInfoSphere）扫描数据库元数据、文件系统关键字（如身份证号正则表达式）识别敏感数据。

-流量分析：通过网络流量镜像（如TAP设备）解析通信内容，提取数据传输的源IP、目的IP、数据