2025年职业技能信息安全测试员理论知识-理论知识参考题库含答案解析.docxVIP

2025年职业技能信息安全测试员理论知识-理论知识参考题库含答案解析

一、单项选择题

下列各题只有一个正确答案，请选出最恰当的选项（共30题）

1、渗透测试的核心目标是什么？

A.优化系统性能

B.提升用户界面美观度

C.验证漏洞风险

D.修复已发现漏洞

2、漏洞管理流程中，哪环节需持续更新？

A.漏洞发现

B.漏洞分类

C.漏洞生命周期管理

D.漏洞修复验证

3、SSL/TLS协议中，哪种加密模式默认禁用？

A.AES-256-GCM

B.RSA密钥交换

C.ECB模式

D.ECDHE密钥交换

4、等保2.0中，三级系统需满足的日志留存时间是？

A.180天

B.6个月

C.1年

D.2年

5、OWASPTop10中，排名第二的常见攻击类型是？

A.SQL注入

B.XSS跨站脚本

C.SSRF服务器远程请求

D.CSRF跨站请求伪造

6、安全审计的关键工具不包括？

A.SIEM系统

B.虚拟化监控平台

C.漏洞扫描器

D.日志分析引擎

7、NIST框架中，Identify环节的核心目标是？

A.制定应急响应计划

B.识别资产与风险

C.实施访问控制

D.开展渗透测试

8、加密算法中，属于非对称加密的是？

A.AES

B.RSA

C.SHA-256

D.DES

9、网络流量监控中，哪种协议需深度包检测（DPI）？

A.HTTP

B.DNS

C.ARP

D.ICMP

10、安全意识培训的黄金时段是？

A.新员工入职

B.年度考核前

C.漏洞修复后

D.系统升级期间

11、以下哪项属于逻辑炸弹漏洞？

A.SQL注入

B.文件上传漏洞

C.系统自动删除用户数据

D.跨站脚本攻击

12、HTTPS协议中默认使用的加密套件不包括以下哪项？

A.AES-256

B.RSA-2048

C.ChaCha20-Poly1305

D.ECC-SM2

13、以下哪项是渗透测试中自动化扫描工具的核心功能？

A.需求分析

B.代码审计

C.自动化漏洞识别

D.用户权限枚举

14、GDPR中规定的数据主体权利不包括以下哪项？

A.数据可携带权

B.被遗忘权

C.实时监控权

D.数据访问权

15、使用哈希算法存储密码时，应选择哪种加密方式？

A.哈希直接存储

B.哈希加盐+存储

C.哈希+密钥加密

D.哈希+哈希存储

16、以下哪项是中间人攻击（MITM）的主要防范措施？

A.数字证书验证

B.HTTPS协议强制使用

C.物理隔离服务器

D.定期更换密钥

17、Web应用防火墙（WAF）的核心功能是？

A.代码审计

B.漏洞扫描

C.流量清洗与攻击拦截

D.数据库备份

18、对称加密算法中，密钥长度最长的是？

A.AES-128

B.DES

C.3DES

D.ChaCha20

19、以下哪项属于零信任架构的核心原则？

A.内部网络默认可信

B.最小权限访问控制

C.全网范围防火墙部署

D.静态访问控制列表

20、漏洞修复优先级评估中，CVSS评分低于4.0的漏洞通常归类为？

A.高危

B.中危

C.低危

D.无需处理

21、密码学中，对称加密算法的特点是？

A.加密和解密使用相同密钥，速度快但安全性较低

B.加密和解密使用不同密钥，适合长文本传输

C.通过密钥和算法共同确保数据机密性

D.仅依赖哈希函数生成唯一值

22、对称加密算法中，哪种算法因效率高被广泛采用？

A.RSA

B.AES

C.ECC

D.SHA-256

A.RSA

B.AES

C.ECC

D.SHA-256

23、对称加密算法中，分组长度固定为128位的算法是？

A.AES256

B.RSA2048

C.3DES

D.blowfish

24、漏洞管理中，不属于主动防御措施的是？

A.定期渗透测试

B.部署WAF

C.建立漏洞评分系统

D.更新补丁

25、HTTPS协议中，用于对称加密传输的是？

A.AES128

B.RSA2048

C.SHA-256

D.Diffie-Hellman

26、以下哪项属于逻辑炸弹？

A.后门程序

B.脆弱性利用工具

C.自动销毁代码

D.假冒身份程序

27、SHA-256算法属于哪种密码学类别