2025计算机四级信息安全工程师考试题库及答案.docxVIP

2025计算机四级信息安全工程师考试题库及答案

一、单项选择题（共20题，每题1分，共20分）

1.以下哪项不属于信息安全的基本属性？

A.完整性

B.可用性

C.可追溯性

D.保密性

答案：C

解析：信息安全基本属性包括保密性（Confidentiality）、完整性（Integrity）、可用性（Availability），简称CIA三元组。可追溯性属于扩展属性。

2.以下哪种加密算法属于对称加密？

A.RSA

B.ECC

C.AES

D.ElGamal

答案：C

解析：AES（高级加密标准）是典型的对称加密算法，密钥长度支持128/192/256位。RSA、ECC、ElGamal均为非对称加密算法。

3.在TCP/IP协议栈中，用于检测网络连通性的ICMP协议工作在哪个层？

A.应用层

B.传输层

C.网络层

D.数据链路层

答案：C

解析：ICMP（互联网控制消息协议）是网络层协议，用于传递错误报告和操作信息（如Ping命令）。

4.以下哪种攻击方式利用了操作系统或应用程序的漏洞，通过发送特定构造的数据包使目标崩溃？

A.缓冲区溢出攻击

B.SQL注入攻击

C.跨站脚本攻击（XSS）

D.钓鱼攻击

答案：A

解析：缓冲区溢出攻击通过向程序缓冲区写入超出其容量的数据，覆盖内存中的关键数据（如返回地址），导致程序崩溃或执行恶意代码。

5.数字签名的核心作用是？

A.保证数据机密性

B.验证数据完整性和来源真实性

C.防止重放攻击

D.实现密钥交换

答案：B

解析：数字签名通过私钥加密数据摘要，公钥解密验证，确保数据未被篡改（完整性）且来源真实（不可抵赖）。

6.以下哪项是Web应用防火墙（WAF）的主要功能？

A.过滤垃圾邮件

B.检测和阻断针对Web应用的攻击（如SQL注入、XSS）

C.管理网络地址转换（NAT）

D.实现虚拟专用网（VPN）

答案：B

解析：WAF部署在Web服务器前端，通过规则匹配或机器学习检测并拦截针对HTTP/HTTPS的恶意请求。

7.以下哪种访问控制模型基于“最小权限原则”，用户仅被授予完成任务所需的最小权限？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

答案：C

解析：RBAC通过角色分配权限，角色根据业务需求定义，确保用户仅获得完成职责所需的最小权限。

8.以下哪项是勒索软件的典型特征？

A.窃取用户隐私数据并上传

B.加密用户文件并索要赎金

C.占用大量内存导致系统崩溃

D.伪装成正常程序窃取密码

答案：B

解析：勒索软件（Ransomware）通过加密用户文件（如文档、图片），并显示支付页面要求受害者以比特币等加密货币支付赎金以获取解密密钥。

9.在ISO/IEC27001信息安全管理体系（ISMS）中，“风险评估”属于哪个阶段的活动？

A.建立与实施

B.监控与评审

C.策划

D.改进

答案：C

解析：ISO27001采用PDCA（计划执行检查改进）模型，风险评估是“策划（Plan）”阶段的核心步骤，用于识别、分析和评价信息安全风险。

10.以下哪种漏洞扫描工具主要用于检测Web应用的安全漏洞？

A.Nessus

B.OpenVAS

C.OWASPZAP

D.Nmap

答案：C

解析：OWASPZAP（ZedAttackProxy）是专门针对Web应用的开源漏洞扫描工具，支持检测SQL注入、XSS、CSRF等漏洞。Nessus和OpenVAS是通用型漏洞扫描器，Nmap是网络扫描工具。

11.以下哪项是SSL/TLS协议的主要功能？

A.实现网络地址转换

B.提供端到端的安全通信（加密、身份验证、完整性校验）

C.管理域名解析

D.优化网络带宽

答案：B

解析：SSL（安全套接层）/TLS（传输层安全）是加密协议，用于在客户端（如浏览器）和服务器之间建立安全连接，确保数据传输的机密性、完整性和身份验证。

12.以下哪种攻击方式利用了用户的信任心理，通过伪造可信来源的信息诱导用户泄露敏感信息？

A.社会工程学攻击

B.拒绝服务攻击（DoS）

C.中间人攻击（MITM）

D.暴力破解攻击

答案：A

解析：社会工程学攻击（如钓鱼邮件、电话诈骗）通过心理操纵而非技术漏洞，诱导用户主动提供密码、