软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)强化训练题库精析.docxVIP

软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)强化训练题库精析

一、基础知识（共75题）

1、下列哪项不属于信息安全的基本属性？

A.保密性

B.完整性

C.可用性

D.可否认性

答案：D

解析：信息安全的三大基本属性是保密性（Confidentiality）、完整性（Integrity）和可用性（Availability），通常称为CIA三元组。可否认性（Non-repudiation）是信息安全的附加属性之一，用于确保行为的不可抵赖，但它不属于“基本属性”。在本题中，“不属于基本属性”的选项应选D。注意：可否认性常被误认为基本属性，但标准教材（如《信息安全工程师教程》）明确将CIA列为三大基本属性。

2、在密码学中，对称加密算法的特点是：

A.加密和解密使用不同的密钥

B.加密速度慢，适合加密大量数据

C.密钥分发过程安全可靠

D.加密和解密使用相同的密钥

答案：D

解析：对称加密算法（如AES、DES、3DES）的核心特征是加密和解密使用相同的密钥，因此选项D正确。选项A描述的是非对称加密（如RSA）；选项B错误，对称加密速度快，适合加密大量数据；选项C错误，对称加密的最大弱点正是密钥分发问题，若密钥在传输中被截获，则安全性被破坏。因此，正确答案是D。

3、以下哪种攻击属于被动攻击？

A.拒绝服务攻击

B.数据篡改

C.窃听

D.欺骗攻击

答案：C

解析：被动攻击指攻击者仅通过监听获取信息，而不对数据进行修改或干扰，例如网络窃听。主动攻击包括拒绝服务（A）、数据篡改（B）、欺骗攻击（D）等，会主动修改、伪造或破坏通信内容。

4、关于数字签名的描述，正确的是：

A.数字签名可以确保信息的保密性

B.数字签名使用发送方的公钥验证

C.数字签名通常使用哈希函数和私钥

D.数字签名的验证过程不需要公钥

答案：C

解析：数字签名的生成过程包括对消息进行哈希计算，再使用发送方的私钥对哈希值加密形成签名。

5、某企业采用RSA算法实现数字签名，已知公钥(e,n)为(7,33)，私钥d为3。若对消息M=5进行签名，则签名结果是什么？并简述验证签名的过程。

答案：签名结果为26。

解析：

签名过程使用私钥d对消息M进行加密运算：签名S=M^dmodn=5^3mod33=125mod33。计算125除以33：33*3=99，125-99=26，因此S=26。

验证过程使用公钥(e,n)对签名S进行解密运算：验证值V=S^emodn=26^7mod33。首先计算26^2=676mod33（3320=660，676-660=16）；264=(262)2=162=256mod33（337=231，256-231=25）；267=264*26^2*26^1=25*16*26=(2516=400mod33≈4,426=104mod33=5)最终得到V=5，与原始消息M=5一致，验证成功。

6、在PKI体系中，以下关于数字证书的描述哪项是正确的？

A.数字证书包含用户的私钥信息

B.数字证书由用户自己生成并签名

C.数字证书用于绑定公钥与身份信息

D.数字证书的有效期永久有效

答案：C

解析：

数字证书是PKI的核心元素，由可信的证书颁发机构（CA）签发，用于绑定用户的公钥与其身份信息（如名称、组织等）。选项A错误：证书仅包含公钥，私钥必须由用户秘密保管；选项B错误：证书由CA签发而非用户自签名；选项D错误：证书具有明确的有效期（通常1-2年），过期后需更新。

7、下列哪些是常见的信息系统的安全威胁？

A.恶意代码

B.网络攻击

C.系统漏洞

D.以上都是

答案：D

解析：

信息系统的安全威胁主要包括恶意代码（如病毒、木马）、网络攻击（如DDoS、钓鱼攻击）、系统漏洞（如未修补的软件缺陷）等。因此，正确答案是D，以上都是。

8、访问控制策略中，基于角色的访问控制（RBAC）与自主访问控制（DAC）和强制访问控制（MAC）的主要区别是什么？

A.RBAC基于用户角色定义权限，而DAC和MAC基于用户或数据的敏感性

B.RBAC基于用户权限等级，而DAC和MAC基于数据分类

C.RBAC基于数据分类，而DAC和MAC基于用户角色

D.RBAC基于用户敏感性，而DAC和MAC基于角色

答案：A

解析：

基于角色的访问控制（RBAC）的核心是根据用户的角色来分配权限，而自主访问控制（DAC）主要基于用户对数据的自主权限设置，强制访问控制（MAC）则基于数据的敏感性和用户的访问级别。因此，正确答案是A。

9、在信息安全等级保护2.0中，对“安全区域边界”提出“可信验证”要求，以下哪项最能体现“可信验