2025年信息系统安全专家API安全API安全与联邦学习防御专题试卷及解析.pdfVIP

2025年信息系统安全专家API安全API安全与联邦学习防御专题试卷及解析1

2025年信息系统安全专家API安全API安全与联邦学习

防御专题试卷及解析

2025年信息系统安全专家API安全API安全与联邦学习防御专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在API安全中，以下哪种攻击方式主要利用了服务器对用户输入的信任缺陷？

A、DDoS攻击

B、SQL注入

C、中间人攻击

D、暴力破解

【答案】B

【解析】正确答案是B。SQL注入攻击通过在API输入参数中插入恶意SQL代码，

利用服务器对用户输入的信任缺陷来执行非授权数据库操作。A选项DDoS攻击是流

量型攻击；C选项中间人攻击是通信拦截攻击；D选项暴力破解是密码猜测攻击。知识

点：输入验证漏洞。易错点：混淆不同攻击类型的原理。

2、联邦学习中，以下哪种防御机制主要用于防止模型反演攻击？

A、差分隐私

B、同态加密

C、安全多方计算

D、数字签名

【答案】A

【解析】正确答案是A。差分隐私通过在模型更新中添加噪声来防止攻击者从模型

参数反推原始数据。B选项同态加密保护计算过程；C选项安全多方计算保护协作计

算；D选项数字签名确保身份认证。知识点：隐私保护技术。易错点：混淆不同隐私保

护技术的适用场景。

3、API网关在安全架构中的核心作用是？

A、数据加密

B、身份认证与授权

C、日志记录

D、负载均衡

【答案】B

【解析】正确答案是B。API网关的核心安全功能是集中处理身份认证和授权，确

保只有合法用户能访问API。A、C、D是辅助功能。知识点：API安全架构。易错点：

忽视网关的核心安全职责。

4、联邦学习中，以下哪种攻击会利用客户端上传的恶意模型参数？

2025年信息系统安全专家API安全API安全与联邦学习防御专题试卷及解析2

A、数据投毒

B、成员推断

C、模型窃取

D、后门攻击

【答案】D

【解析】正确答案是D。后门攻击通过客户端上传包含触发器的恶意模型参数，使

全局模型在特定条件下表现异常。A选项数据投毒污染训练数据；B选项成员推断判断

数据是否在训练集中；C选项模型窃取复制模型功能。知识点：联邦学习攻击类型。易

错点：混淆攻击目标（数据vs模型）。

5、OAuth2.0协议中，以下哪种授权模式最适合移动应用？

A、授权码模式

B、隐式模式

C、客户端凭证模式

D、资源所有者密码凭证模式

【答案】A

【解析】正确答案是A。授权码模式通过重定向和授权码交换，适合移动应用的安

全认证流程。B选项隐式模式已不推荐；C选项用于机器间通信；D选项需用户直接提

供密码。知识点：OAuth2.0授权模式。易错点：忽视移动应用的安全需求。

6、联邦学习中，以下哪种技术可以防止客户端数据被中心服务器直接访问？

A、联邦平均算法

B、同态加密

C、梯度裁剪

D、学习率调整

【答案】B

【解析】正确答案是B。同态加密允许在加密数据上直接计算，确保原始数据不被

服务器访问。A选项是聚合算法；C选项防止梯度爆炸；D选项优化收敛速度。知识点：

联邦学习隐私保护。易错点：混淆算法优化与隐私保护。

7、API安全中，以下哪种措施最能有效防止未授权访问？

A、HTTPS加密

B、速率限制

C、JWT令牌验证

D、输入过滤

【答案】C

【解析】正确答案是C。JWT令牌验证通过加密签名确保请求合法性，是核心的授

权机制。A选项保护传输安全；B选项防止滥用；D选项防止注入攻击。知识点：API

2025年信息系统安全专家API安全API安全与联邦学习防御专题试卷及解析3

授权机制。易错点：混淆传输安全与访问控制。

8、联邦学习中，以下哪