2025年信息安全员考试试题(附答案).docxVIP

2025年信息安全员考试试题(附答案)

一、单项选择题（共20题，每题1.5分，共30分）

1.根据《网络安全法》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行（）次检测评估。

A.1

B.2

C.3

D.4

2.以下哪种加密算法属于非对称加密？

A.AES256

B.RSA

C.DES

D.SHA256

3.某企业发现员工通过个人云盘传输公司客户信息，这违反了数据安全的（）原则。

A.最小必要

B.公开透明

C.主体参与

D.责任明确

4.网络安全等级保护2.0中，“安全通信网络”要求的核心是（）。

A.边界防护与访问控制

B.数据完整性与保密性

C.网络架构的冗余性

D.通信过程的身份认证与加密

5.以下哪项不属于常见的社会工程学攻击手段？

A.钓鱼邮件

B.水坑攻击

C.电话诈骗索要密码

D.SQL注入

6.《数据安全法》规定，国家建立数据分类分级保护制度，数据分类分级的依据是（）。

A.数据的产生部门

B.数据的敏感程度和影响程度

C.数据的存储介质

D.数据的传输频率

7.某系统日志显示大量异常IP尝试登录管理员账号，最可能的攻击类型是（）。

A.DDoS攻击

B.暴力破解

C.跨站脚本（XSS）

D.缓冲区溢出

8.关于漏洞修复的最佳实践，以下说法错误的是（）。

A.优先修复高危漏洞（CVSS评分≥7.0）

B.修复前需验证漏洞复现步骤

C.直接在生产环境中部署补丁

D.修复后需验证补丁有效性

9.物联网设备的安全风险中，最突出的是（）。

A.设备固件更新不及时

B.设备算力不足

C.设备外观易损坏

D.设备品牌多样性

10.某企业需将用户身份证信息传输至第三方合作平台，根据《个人信息保护法》，必须履行的程序是（）。

A.口头告知用户

B.获得用户单独同意

C.无需额外操作

D.仅内部备案

11.以下哪种访问控制模型最适合动态调整权限（如项目组成员临时访问）？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

12.日志审计的核心目的是（）。

A.记录用户操作行为

B.发现潜在安全事件并追溯

C.满足合规性要求

D.优化系统性能

13.以下哪项是Web应用防火墙（WAF）无法防御的攻击？

A.SQL注入

B.DDoS攻击

C.XSS跨站脚本

D.CSRF跨站请求伪造

14.某单位数据库存储的用户密码采用明文形式，违反了（）安全要求。

A.可用性

B.完整性

C.保密性

D.不可否认性

15.根据《网络安全审查办法》，关键信息基础设施运营者采购网络产品和服务，影响或者可能影响（）的，应当申报网络安全审查。

A.企业财务状况

B.网络数据安全

C.员工个人隐私

D.供应链稳定性

16.以下哪种技术用于实现数据的“不可否认性”？

A.数字签名

B.数据加密

C.访问控制

D.数据备份

17.移动终端安全管理中，最关键的防护措施是（）。

A.安装第三方应用商店

B.启用设备加密和屏保密码

C.关闭GPS定位功能

D.定期清理手机缓存

18.工业控制系统（ICS）的安全防护重点是（）。

A.防止操作日志被篡改

B.保障生产流程连续性

C.提高系统运算速度

D.增强员工网络安全意识

19.某公司发现员工使用弱口令（如“123456”）登录内部系统，应优先采取的措施是（）。

A.立即重置所有弱口令

B.部署多因素认证（MFA）

C.开展全员安全培训

D.限制弱口令账户登录

20.以下哪项属于数据安全技术中的“脱敏处理”？

A.对用户手机号进行部分隐藏（如1381234）

B.对数据库进行定期备份

C.对传输数据进行AES加密

D.对服务器部署防火墙

二、判断题（共10题，每题1分，共10分）

21.重要数据出境必须通过国家网信部门组织的安全评估。（）

22.网络安全等级保护1.0与2.0的核心区别在于增加了对云计算、移动互联等新技术的覆盖。（）

23.零信