2025年软考-信息安全工程师真题专项冲刺卷.docxVIP

2025年软考-信息安全工程师真题专项冲刺卷

考试时间：______分钟总分：______分姓名：______

一、单项选择题（共25题，每题1分，共25分。每题只有一个选项是正确的，请将正确选项的字母填在括号内。）

1.以下关于密码学基本概念的说法中，错误的是（）。

A.对称加密算法的加解密使用相同密钥，非对称加密算法使用不同密钥。

B.哈希函数具有单向性、抗碰撞性和雪崩效应等特性。

C.数字签名技术主要解决信息传输过程中的完整性认证和防抵赖问题。

D.量子密码利用量子比特的叠加和纠缠特性实现信息加密，目前可抵抗所有已知计算攻击。

2.根据信息安全事件严重程度和影响范围，通常将信息安全事件划分为不同级别。以下事件中，最可能被划分为I级（特别重大）信息安全事件的是（）。

A.某政府网站被挂马，部分用户个人信息泄露。

B.某大型企业内部网络遭受黑客攻击，导致核心数据库部分数据损坏。

C.某金融支付系统出现服务中断，影响约百万用户正常交易。

D.某单位办公计算机感染病毒，造成部分文件损坏，但可恢复。

3.以下关于防火墙技术的描述中，错误的是（）。

A.包过滤防火墙基于源/目的IP地址、端口、协议等包头信息进行包过滤决策。

B.代理防火墙作为客户端和服务器之间的中介，对进出数据进行深度包检测。

C.状态检测防火墙维护一个动态连接表，根据连接状态决定数据包通过与否。

D.NGFW（下一代防火墙）通常集成了入侵防御、应用识别、VPN等功能，但通常不进行深度内容检测。

4.以下关于入侵检测系统（IDS）的描述中，正确的是（）。

A.基于主机的IDS（HIDS）主要用于监控网络层面的异常流量和攻击行为。

B.基于网络的IDS（NIDS）通常部署在关键网络出口或内部网段，通过嗅探网络数据包发现攻击迹象。

C.异常检测模型主要依据已知的攻击模式库进行匹配，以发现未知威胁。

D.误报率和漏报率是衡量IDS性能的关键指标，两者往往相互矛盾，需要权衡。

5.在信息安全管理体系（ISMS）框架中，组织进行风险评估的主要目的是（）。

A.识别信息资产面临的威胁和脆弱性，评估安全事件发生的可能性和影响程度。

B.制定详细的安全技术方案和安全管理措施。

C.证明组织已经实施了有效的安全控制措施。

D.对安全事件进行应急响应和处置。

6.以下关于安全审计的描述中，错误的是（）。

A.安全审计可以通过收集和分析系统日志、应用日志、网络流量日志等来实现。

B.审计的目标是检测安全事件的迹象，提供事件调查的证据，评估安全策略的有效性。

C.审计过程应确保日志的完整性、保密性和可用性。

D.安全审计只能发现已经发生的securityincidents，无法预防安全事件。

7.以下关于VPN（虚拟专用网络）技术的描述中，正确的是（）。

A.IPsecVPN主要工作在应用层，SSL/TLSVPN主要工作在网络层。

B.使用VPN技术可以隐藏用户的真实IP地址，实现匿名上网。

C.VPN可以有效地解决远程办公人员安全接入内部网络的问题。

D.VPN协议本身不提供数据加密功能，只提供数据封装和传输通道。

8.某公司希望对其存储在云端的敏感数据进行加密保护。以下方案中，最能体现数据“加密即拥有”（EncryptionasaService,EaaS）理念的是（）。

A.由公司内部IT部门负责购买加密软件、部署加密设备，并管理加密密钥。

B.选择云服务商提供的托管式加密服务，由服务商管理加密密钥，用户通过API进行数据加密和解密操作。

C.在上传数据到云端前，使用本地加密软件对数据进行加密，再上传。

D.依赖云服务商提供的数据传输加密（如SSL/TLS）和存储加密（如静态加密），用户不进行额外操作。

9.以下关于Web应用安全防护措施的描述中，错误的是（）。

A.使用HTTPS协议可以有效防止数据在传输过程中被窃听和篡改。

B.对用户输入进行严格验证和过滤，是防范SQL注入、跨站脚本（XSS）等常见Web攻击的关键措施。

C.定期对Web应用进行渗透测试和漏洞扫描，有助于发现潜在的安全风险。

D.使用Web应用防火墙（WAF）可以完全杜绝所有类型的Web攻击。

10.在进行风险评估时，可能性（Likelihood）的评估通常需要考虑哪些因素？