电子科技大学《信息安全概论》期末考核试题及答案.docxVIP

电子科技大学《信息安全概论》期末考核试题及答案

电子科技大学《信息安全概论》期末考核试题

一、单项选择题（每题2分，共20分）

1.以下哪种加密算法属于对称加密？（）

A.RSAB.ECCC.AESD.ElGamal

2.已知DES算法的密钥长度为56位，其实际有效密钥空间大小为（）。

A.2??B.2??C.2??-1D.2??-1

3.在TCP/IP协议栈中，IPSec协议主要提供（）层的安全服务。

A.应用层B.传输层C.网络层D.数据链路层

4.以下哪种攻击方式属于被动攻击？（）

A.DDoS攻击B.流量分析C.SQL注入D.ARP欺骗

5.访问控制模型中，“主体只能访问授权客体，且权限随角色变化”描述的是（）。

A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）

6.数字签名的核心目的是（）。

A.保证数据机密性B.验证数据完整性和来源真实性C.防止数据重放D.实现数据加密传输

7.以下哪项不是HTTPS的作用？（）

A.防止中间人攻击B.加密客户端与服务器通信C.验证网站身份D.防御DDoS攻击

8.缓冲区溢出攻击的本质是（）。

A.利用操作系统漏洞修改内存指针B.向内存写入超出缓冲区容量的数据C.通过SQL语句获取敏感数据D.伪造合法用户身份访问系统

9.物联网设备常见的安全风险不包括（）。

A.固件漏洞B.弱认证机制C.端到端加密过度D.资源受限导致的安全防护能力不足

10.安全哈希算法SHA-256的输出长度是（）。

A.128位B.256位C.512位D.1024位

二、填空题（每空2分，共20分）

1.密码学的两个核心分支是（）和（）。

2.公钥基础设施（PKI）的核心组件是（），其负责数字证书的颁发、撤销和管理。

3.网络攻击的三阶段模型包括（）、（）和（）。

4.防火墙的主要类型包括包过滤防火墙、（）和（）。

5.恶意软件的常见类型有病毒、（）、（）和勒索软件。

三、简答题（每题8分，共32分）

1.简述对称加密与非对称加密的主要区别，并各举一例说明其应用场景。

2.解释X.509数字证书的结构及其在HTTPS通信中的作用。

3.说明SQL注入攻击的原理，并列举至少3种防御措施。

4.对比入侵检测系统（IDS）与入侵防御系统（IPS）的功能差异，说明各自的适用场景。

四、分析题（每题10分，共20分）

1.某企业网站的用户登录接口代码如下（PHP语言）：

```php

$username=$_POST[username];

$password=$_POST[password];

$sql=SELECTFROMusersWHEREusername=$usernameANDpassword=$password;

$result=mysqli_query($conn,$sql);

if(mysqli_num_rows($result)0){

echo登录成功;

}else{

echo登录失败;

}

```

分析该代码存在的安全漏洞，说明可能的攻击方式，并给出修复方案。

2.假设某公司网络拓扑为：办公终端→交换机→边界防火墙→路由器→公网。近期办公终端频繁出现异常流量（如向境外IP发送大量数据），请分析可能的安全事件类型及排查步骤。

五、综合题（8分）

设计一个企业级网络安全防护体系，要求覆盖物理层、网络层、系统层、应用层和管理层面，需具体说明各层面的关键防护措施。

电子科技大学《信息安全概论》期末考核试题答案

一、单项选择题

1.C（AES是对称加密算法，其余为非对称）

2.A（DES密钥长度56位，有效密钥空间为2??）

3.C（IPSec工作于网络层）

4.B（流量分析属于被动攻击，其余为主动攻击）

5.C（RBAC基于角色分配权限）

6.B（数字签名验证完整性和来源）

7.D（HTTPS不直接防御DDoS）

8.B（缓冲区溢出的本质是数据越界写入）

9.C（端到端加密不足才是风险）

10.B（SHA-256输出256位哈希值）

二、填空题

1.密码编码学；密码分析学