信息安全考试题目及答案.docxVIP

信息安全考试题目及答案

一、单项选择题（每题2分，共20分）

1.以下哪种加密算法属于对称加密？

A.RSA

B.ECC

C.AES

D.SHA256

答案：C

2.某网站用户登录时，服务器返回“401Unauthorized”状态码，最可能的原因是？

A.服务器拒绝请求

B.用户未提供有效认证信息

C.请求资源不存在

D.服务器内部错误

答案：B

3.以下哪项是SQL注入攻击的关键特征？

A.向网页输入框提交恶意脚本

B.通过漏洞执行任意系统命令

C.利用数据库查询语句拼接漏洞

D.伪造用户身份绕过认证

答案：C

4.若某系统采用“最小特权原则”进行权限分配，其核心目标是？

A.简化权限管理流程

B.限制潜在攻击面

C.提高系统运行效率

D.满足合规性要求

答案：B

5.以下哪种协议用于在不安全网络中建立加密通信通道？

A.FTP

B.SMTP

C.TLS

D.DNS

答案：C

6.哈希函数的主要功能不包括？

A.验证数据完整性

B.生成数字签名

C.实现数据加密

D.存储密码摘要

答案：C

7.某企业发现内网中多台主机异常连接境外IP，最可能的攻击类型是？

A.DDoS攻击

B.僵尸网络控制

C.端口扫描

D.暴力破解

答案：B

8.数据脱敏技术中，将“身份证号”中的出生年月替换为“”属于？

A.掩码处理

B.匿名化

C.泛化

D.加密

答案：A

9.以下哪项是零信任架构的核心假设？

A.内网环境绝对安全

B.所有访问均需验证

C.信任边界固定

D.设备身份无需持续验证

答案：B

10.防火墙的“状态检测”功能主要用于？

A.过滤特定IP地址

B.阻断病毒文件传输

C.跟踪会话上下文

D.限制端口访问

答案：C

二、填空题（每题2分，共20分）

1.AES算法的分组长度是______位，常见密钥长度包括128位、192位和256位。

答案：128

2.数字签名的实现通常结合哈希函数和______加密算法（填“对称”或“非对称”）。

答案：非对称

3.常见的DDoS攻击防护手段包括流量清洗、______和黑洞路由。

答案：速率限制（或“流量过滤”）

4.操作系统的访问控制模型中，______（缩写）通过角色分配权限，适用于大型组织。

答案：RBAC（基于角色的访问控制）

5.缓冲区溢出攻击的本质是利用程序对______的处理漏洞，覆盖关键内存区域。

答案：输入数据长度

6.SSL/TLS协议的握手阶段主要完成身份验证、______和加密算法协商。

答案：会话密钥交换

7.数据泄露事件中，“拖库”指攻击者获取数据库中的______，“撞库”指利用泄露数据尝试登录其他平台。

答案：用户信息（或“用户数据”）

8.网络安全等级保护2.0标准中，第三级系统的安全保护要求比第二级更强调______和应急响应能力。

答案：动态防护（或“主动防御”）

9.恶意软件的“免杀”技术通过修改______特征，逃避杀毒软件检测。

答案：文件（或“程序”）

10.区块链的共识机制中，______（缩写）通过计算哈希值竞争记账权，常用于比特币网络。

答案：PoW（工作量证明）

三、简答题（每题8分，共40分）

1.简述对称加密与非对称加密的核心区别，并各举一例说明应用场景。

答案：

核心区别：对称加密使用相同密钥进行加密和解密，加密效率高但密钥分发困难；非对称加密使用公钥（加密）和私钥（解密）成对密钥，解决了密钥分发问题但计算复杂度高。

应用场景示例：对称加密（如AES）常用于大数据量加密（如文件加密）；非对称加密（如RSA）常用于密钥交换（如TLS握手阶段交换AES密钥）或数字签名（如验证软件包完整性）。

2.解释XSS（跨站脚本攻击）的原理，并列举至少3种防护措施。

答案：

原理：攻击者向目标网站注入恶意脚本（如JavaScript），当其他用户访问被污染的页面时，脚本在用户浏览器中执行，窃取Cookie、会话信息或劫持页面。

防护措施：

①输入验证：对用户输入进行转义（如HTML编码），过滤特殊字符；

②输出编码：在页面渲染用户输入时，使用安全编码（如HTML、URL编码）；

③设置Cookie的HttpOnly属性，防止脚本读取Cookie；