软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)新考纲试题集精析(2026年).docxVIP

2026年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)新考纲试题集精析

一、基础知识（共75题）

1、在《信息安全等级保护管理办法》中，第三级（监督保护级）信息系统应至少每几年开展一次等级测评？

答案：一年

解析：根据《信息安全等级保护管理办法》（公通字〔2007〕43号）第三十一条规定，第三级信息系统应当每年至少进行一次等级测评，第四级每半年一次，第五级依据特殊安全需求进行测评。

2、下列哪一项最能准确描述“最小权限原则”（PrincipleofLeastPrivilege）的核心思想？

A.所有用户默认拥有读取系统日志的权限

B.系统管理员应共享一个高权限账号以方便运维

C.主体仅被授予完成其任务所必需的最小权限集合

D.用户权限随其在组织中的资历增长而自动提升

答案：C

解析：最小权限原则要求任何主体（用户、进程、服务等）只被授予完成其职责所必需的最小权限集合，从而降低误操作或恶意行为带来的风险。选项C准确表达了这一核心思想。

3、关于数字证书，以下说法正确的是：

A.数字证书由CA颁发，用于验证公钥所有者的身份

B.数字证书包含私钥信息

C.数字证书的有效期通常为10年

D.数字证书的颁发不需要验证身份

答案：A

解析：数字证书由权威的证书颁发机构（CA）签发，包含公钥和持有者的身份信息，用于验证公钥所有者的身份。选项B错误，因为数字证书中不包含私钥，私钥由用户自行保管。选项C错误，数字证书的有效期通常为1-3年，具体由CA决定，10年过长。选项D错误，CA在颁发证书前必须严格验证申请者的身份信息。

4、在网络安全中，以下哪种攻击方式属于中间人攻击（MITM）？

A.SYNFlood

B.ARP欺骗

C.SQL注入

D.缓冲区溢出

答案：B

解析：中间人攻击是指攻击者在通信双方之间截获并篡改数据。ARP欺骗通过伪造ARP响应，使网络中的主机将数据发送到攻击者的MAC地址，从而实施中间人攻击。SYNFlood属于拒绝服务攻击；SQL注入针对数据库的注入攻击；缓冲区溢出是利用程序漏洞的攻击方式，三者均不属于中间人攻击。

5、在信息安全管理中，哪个标准主要用于为组织提供信息安全的最佳实践和指导？

A.ISO27001

B.ISO9001

C.ISO14001

D.PCIDSS

答案：A)ISO27001

解析：ISO/IEC27001是国际标准化组织颁布的信息安全管理体系（ISMS）标准，提供信息安全管理的最佳实践框架，包括风险评估、政策制定、措施实施和持续改进等。其他选项分别是质量管理（ISO9001）、环境管理（ISO14001）和支付卡行业数据安全标准（PCIDSS），均不直接针对信息安全管理体系。

6、以下哪项不是防火墙的核心功能？

A.访问控制

B.内容过滤

C.流量加速

D.日志记录

答案：C)流量加速

解析：防火墙的核心功能包括访问控制（A，如基于IP/端口过滤）、内容过滤（B，如应用层防火墙扫描协议数据）、日志记录（D，如安全事件记录）。流量加速（C）属于网络性能优化技术（如负载均衡器或缓存服务器功能），不是防火墙的主要功能。

7、关于数字签名技术，以下说法正确的是？

A.数字签名直接对原始消息进行加密，哈希函数是可选的

B.哈希函数将原始消息压缩为固定长度摘要，数字签名使用发送方私钥对该摘要进行加密

C.数字签名使用接收方的公钥生成，哈希函数使用发送方的私钥生成

D.哈希函数用于消息的机密性保护，数字签名用于消息的完整性验证

答案：B

解析：数字签名的正确流程是：首先使用哈希函数对原始消息进行计算生成固定长度的消息摘要（确保完整性），然后发送方使用自己的私钥对该摘要进行加密（即签名），接收方用发送方的公钥验证签名。选项A错误，因为直接对大消息加密效率低且非标准做法；选项C错误，混淆了公私钥的使用方和用途；选项D错误，哈希函数不提供机密性，仅提供完整性校验，而数字签名不仅提供完整性，还提供身份认证和不可否认性。

8、根据GB/T20984-2007《信息安全技术信息安全风险评估规范》，关于风险处理的四种基本方式，以下描述错误的是？

A.风险规避：通过避免某项活动或业务来消除风险来源

B.风险转移：通过购买保险、外包等方式将风险转嫁给第三方

C.风险降低：通过实施安全措施减少风险发生的可能性或降低影响程度

D.风险接受：对所有评估为不可接受的风险都应主动选择接受并监控

答案：D

解析：风险接受仅适用于两种情况：一是风险值在可接受阈值内（残余风险）；二是风险值虽高但权衡成本效益后主动决策保留，并需持续监控。选项D错误在于”所有评估为不可接受的风险”不应接受，而应采取规避、转移或降低等措施。对于