2025年公司信息安全考察试题及答案.docxVIP

2025年公司信息安全考察试题及答案

一、单项选择题（每题2分，共30分）

1.某公司员工收到一封邮件，主题为“2024年薪资调整通知”，附件为“薪资明细.pdf”，点击后提示“文件已加密，需输入公司OA账号密码解密”。该场景最可能涉及的攻击类型是：

A.钓鱼攻击

B.勒索软件攻击

C.DDoS攻击

D.中间人攻击

答案：A

解析：攻击者通过伪造可信内容（薪资通知）诱导用户输入敏感信息（OA账号密码），符合钓鱼攻击特征。勒索软件通常通过加密用户文件索要赎金，DDoS是流量攻击，中间人攻击需拦截通信，均不符合场景。

2.以下哪项不属于ISO/IEC27001信息安全管理体系的核心要素？

A.风险评估与处理

B.信息安全策略制定

C.物理服务器硬件型号

D.内部审核与管理评审

答案：C

解析：ISO27001关注管理体系的建立与运行，包括策略、风险评估、审核等，不涉及具体硬件型号等技术细节。

3.某系统存储了客户姓名、身份证号、银行账号，根据公司数据分类标准，此类数据应标记为：

A.公开数据

B.内部数据

C.敏感数据

D.受限数据

答案：C

解析：身份证号、银行账号属于可直接关联个人隐私或财产安全的信息，通常归类为敏感数据，需严格控制访问权限。

4.员工小张需访问财务系统，但仅需查看自己的报销记录，系统为其分配“查看个人报销”权限，未开放其他模块。这体现了信息安全的哪项原则？

A.最小权限原则

B.纵深防御原则

C.责任分离原则

D.失效安全原则

答案：A

解析：最小权限原则要求用户仅获得完成任务所需的最低权限，避免过度授权导致的安全风险。

5.以下哪种加密算法适用于对大量数据进行快速加密？

A.RSA（非对称加密）

B.AES（对称加密）

C.ECC（椭圆曲线加密）

D.MD5（哈希算法）

答案：B

解析：对称加密（如AES）运算速度快，适合处理大数据量；非对称加密（RSA、ECC）速度慢，通常用于密钥交换；MD5是哈希算法，用于数据完整性校验，不用于加密数据。

6.某公司发现办公网内多台电脑感染“WannaCry”变种病毒，最优先的应急措施是：

A.断开感染设备与网络的连接

B.对所有电脑进行全盘杀毒

C.通知员工立即修改登录密码

D.备份重要文件至云端

答案：A

解析：隔离感染设备可防止病毒扩散（如通过内网传播），是控制事件范围的首要步骤。

7.员工使用公司笔记本电脑连接公共Wi-Fi时，为防止数据被窃取，最有效的措施是：

A.关闭蓝牙功能

B.启用VPN（虚拟专用网络）

C.禁用文件共享

D.安装最新版杀毒软件

答案：B

解析：VPN通过加密通道传输数据，可防范公共网络中的中间人攻击；其他选项虽有一定作用，但无法直接解决数据传输加密问题。

8.以下哪项不符合密码设置的最佳实践？

A.长度12位，包含字母、数字、符号

B.定期（如90天）更换密码

C.不同系统使用相同密码

D.不使用“123456”“password”等弱密码

答案：C

解析：重复使用密码会导致“一密多用”风险，若某系统密码泄露，其他系统可能连带受损。

9.某公司部署了入侵检测系统（IDS），其主要功能是：

A.阻止未经授权的网络访问

B.监控网络流量并识别异常行为

C.加密传输中的敏感数据

D.备份服务器关键数据

答案：B

解析：IDS是监测工具，负责发现潜在攻击；阻止访问是防火墙（如IPS）的功能，加密由VPN或加密算法实现，备份由存储系统完成。

10.员工小李将含有客户信息的文档通过个人邮箱发送至私人电脑，此行为违反了公司哪项信息安全政策？

A.数据分类与标记政策

B.移动存储设备使用政策

C.外部传输与共享政策

D.终端设备安全配置政策

答案：C

解析：未经批准将内部数据通过私人渠道（个人邮箱）传输至外部设备，违反数据外部传输与共享的管控要求。

11.以下哪种场景符合“零信任”架构的设计理念？

A.员工接入内网后，可自由访问所有内部系统

B.无论用户位置如何，每次访问资源都需验证身份和设备安全状态

C.仅允许固定IP地址的设备访问核心系统

D.服务器群部署在同一安全区域，无需额外隔离

答案：B

解析：零信任的核心是“永不信任，始终验证”，要求每次访问（无论内外网）都进行动态验证，而非基于位置或一次性认证。

12.某数据库泄露事件