2026年信息安全工程师面试常见问题集.docxVIP

第PAGE页共NUMPAGES页

2026年信息安全工程师面试常见问题集

一、基础知识题（共5题，每题8分，合计40分）

1.请简述对称加密算法与非对称加密算法的主要区别及其应用场景。

答案：

对称加密算法（如AES、DES）使用相同的密钥进行加密和解密，计算效率高，适合大量数据的加密。但密钥分发困难，安全性相对较低。应用场景包括数据库加密、文件加密等。非对称加密算法（如RSA、ECC）使用公钥和私钥，公钥可公开，私钥保密，安全性高，但计算效率较低。应用场景包括HTTPS、数字签名、安全传输密钥等。

解析：对称加密速度快，适合大量数据；非对称加密安全性高，适合小数据量或密钥分发场景。

2.解释什么是SQL注入攻击，并说明防范SQL注入的基本方法。

答案：

SQL注入攻击是通过在输入中插入恶意SQL代码，使数据库执行非法操作。防范方法包括：使用预编译语句（参数化查询）、输入验证（限制字符类型）、错误日志不泄露数据库信息、使用ORM框架等。

解析：核心是阻止恶意SQL代码执行，预编译语句是最有效的防范手段。

3.描述TCP三次握手和四次挥手的过程，并说明为何需要三次握手。

答案：

TCP三次握手：客户端发送SYN，服务端回复SYN-ACK，客户端发送ACK完成连接。四次挥手：双方均发送FIN，等待ACK确认，确保数据传输完毕。三次握手需要确认双方都有发送和接收能力，防止历史连接请求造成误连接。

解析：三次握手确保双方状态同步，防止资源浪费。

4.什么是跨站脚本攻击（XSS）？如何防范XSS攻击？

答案：

XSS攻击将恶意脚本注入网页，用户浏览时执行恶意代码。防范方法包括：输出编码（HTML实体编码）、内容安全策略（CSP）、输入过滤、使用XSS防护库（如OWASPESAPI）。

解析：核心是阻止恶意脚本执行，编码和CSP是关键手段。

5.解释什么是零日漏洞，并说明企业如何应对零日漏洞威胁。

答案：

零日漏洞是指尚未被厂商修复的安全漏洞。应对方法包括：及时更新补丁、部署入侵检测系统（IDS）、使用HIPS（主机入侵防御系统）、实施最小权限原则、监控异常流量。

解析：零日漏洞无修复方案，需通过监控和限制权限降低风险。

二、安全攻防题（共5题，每题10分，合计50分）

6.请描述如何使用Metasploit进行基本的网络扫描和漏洞利用。

答案：

使用Metasploit扫描：

bash

useauxiliary/scanner/portscan/tcp

setRHOSTS

run

利用漏洞：

bash

useexploit/multi/http/smbrelay

setRHOSTS

setRPORT445

run

需先选择模块，配置目标IP和端口，执行攻击。

解析：Metasploit模块化设计，需熟悉模块参数。

7.如何检测和防御DDoS攻击？

答案：

检测：流量分析（异常流量突增）、日志监控（请求频率）、使用DDoS防护服务（如Cloudflare、阿里云DDoS盾）。防御：流量清洗中心、CDN分流、限流策略、启用BGP抗劫持。

解析：DDoS攻击需结合技术和服务商解决方案。

8.描述APT攻击的典型特征，并说明如何防御APT攻击。

答案：

APT攻击特征：低频高烈、持久潜伏、目标精准、使用0day漏洞。防御方法：终端安全（EDR）、威胁情报共享、安全运营中心（SOC）、网络隔离、日志分析。

解析：APT攻击隐蔽性强，需综合防御。

9.如何防范内部威胁？

答案：

实施最小权限、定期审计权限、监控用户行为（如LMD）、数据防泄漏（DLP）、离职员工权限回收、物理环境安全。

解析：内部威胁需管理和技术结合。

10.描述社会工程学攻击的常见手法，并举例说明防范措施。

答案：

常见手法：钓鱼邮件、假冒客服、假冒二维码。防范措施：员工安全意识培训、多因素认证、邮件过滤、不随意点击链接、验证身份。

解析：社会工程学攻击利用心理弱点，培训是关键。

三、实践操作题（共3题，每题15分，合计45分）

11.请编写一段Python代码，实现简单的AES加密和解密功能（使用pycryptodome库）。

答案：

python

fromCrypto.CipherimportAES

fromCrypto.Util.Paddingimportpad,unpad

key=b1234567890abcdef

cipher=AES.new(key,AES.MODE_CBC)

data=bHello,world!

ct=cipher.encrypt(pad(data,AES.block_size))

print(fEncrypted:{ct.hex()})