访问控制保密工程师面试题及答案.docxVIP

第PAGE页共NUMPAGES页

2026年访问控制保密工程师面试题及答案

一、单选题（每题2分，共10题）

1.访问控制的核心原则是？

A.最小权限原则

B.隔离原则

C.集中管理原则

D.完整性原则

答案：A

解析：最小权限原则是访问控制的核心，指用户或系统仅被授予完成其任务所必需的最低权限，避免权限滥用。隔离原则侧重物理或逻辑隔离，完整性原则关注数据未被篡改，集中管理是实施手段而非核心原则。

2.以下哪种技术最适合实现多因素认证？

A.硬件令牌

B.生物识别

C.智能卡

D.密码复杂度规则

答案：A

解析：多因素认证要求至少两种认证因子（如“你知道的密码”“你拥有的设备”“你自身的特征”）。硬件令牌属于“你拥有的设备”，与密码或生物识别结合可形成多因素认证。其他选项单一，无法满足多因素需求。

3.以下哪项不属于强制访问控制（MAC）的特点？

A.基于安全标签

B.由系统管理员统一配置

C.用户无法修改权限

D.适用于高安全等级环境

答案：B

解析：MAC的权限由系统根据安全标签动态分配，用户无权修改（如SELinux、AppArmor）。选项B属于自主访问控制（DAC）的特征，DAC允许用户自行管理权限。

4.访问日志分析的主要目的是？

A.提升系统性能

B.发现潜在安全威胁

C.优化网络带宽

D.减少服务器负载

答案：B

解析：访问日志记录用户或系统的行为，通过分析可识别异常操作（如多次失败登录、权限提升），是安全监控的关键手段。其他选项与日志分析无关。

5.以下哪种协议常用于无线网络中的双向认证？

A.WEP

B.WPA2-PSK

C.EAP-TLS

D.WPA3

答案：C

解析：EAP-TLS（ExtensibleAuthenticationProtocolwithTransportLayerSecurity）使用证书进行双向认证，安全性最高。WEP已淘汰，WPA2-PSK仅单向预共享密钥，WPA3虽改进但未明确支持证书认证。

6.企业级门禁系统通常采用哪种数据库存储用户权限？

A.NoSQL

B.关系型数据库（如MySQL）

C.内存数据库

D.文件系统

答案：B

解析：门禁系统需要事务性支持（如记录权限变更、回滚操作），关系型数据库（如MySQL、Oracle）提供ACID特性。NoSQL适合大数据，内存数据库临时存储，文件系统不可靠。

7.以下哪项不属于物理访问控制的范畴？

A.门禁卡

B.视频监控

C.指纹识别

D.虚拟专用网络（VPN）

答案：D

解析：VPN属于网络安全技术，控制网络访问而非物理空间。其他选项均属于物理访问控制手段。

8.安全标签的粒度从高到低排序正确的是？

A.系统级→用户级→文件级

B.文件级→用户级→系统级

C.用户级→文件级→系统级

D.系统级→文件级→用户级

答案：A

解析：MAC的标签层级依次为系统（如主机）、用户（如角色）、文件（如文档），粒度逐级细化。

9.访问控制策略中，“需要托付访问权限给第三方”属于？

A.授权策略

B.委托策略

C.限制策略

D.回退策略

答案：B

解析：委托策略允许将权限临时授予第三方（如项目协作），需明确时限和范围。其他选项：授权是静态分配，限制是缩小权限范围，回退是故障切换。

10.以下哪种技术可防止内部人员通过USB拷贝敏感数据？

A.数据加密

B.透明数据加密（TDE）

C.USB端口监控

D.文件粉碎

答案：C

解析：USB端口监控可检测未授权的设备接入，阻止数据外传。数据加密需配合终端控制，TDE仅数据库层加密，文件粉碎是事后删除，无法预防拷贝。

二、多选题（每题3分，共5题）

1.自主访问控制（DAC）的特点包括？

A.用户可自行分配权限

B.适用于小型企业

C.权限继承性差

D.安全性高于强制访问控制

答案：A、B、C

解析：DAC允许用户管理权限（如文件夹共享），适合小型企业简化管理，但权限扩散易失控（C）。DAC不比MAC更安全，后者通过系统强制执行。

2.访问控制审计应记录哪些信息？

A.用户登录时间

B.操作对象

C.审计人员姓名

D.结果（成功/失败）

答案：A、B、D

解析：审计记录应包括时间、对象、结果，匿名记录审计人员姓名可能违反隐私法规（C错）。

3.多因素认证的常见组合有？

A.密码+短信验证码

B.生物识别+硬件令牌

C.智能卡+动态口令

D.USBKey+邮箱验证

答案：A、B、C

解析：D中邮箱验证属于单因素（知识因子），USBKey+动态口令是双因素。

4.物理访问控制的设计原则包括？

A.最小化通行区域

B.双重门禁设计

C.无死角的监