2019信息网络安全专业技术人员继续教育(信息安全技术)习题及答案.pdfVIP

2019信息网络安全专业技术人员继续教育(信

息安全技术)习题及答案

篇一：2019信息网络安全专业技术人员继续教育(信息安全技术)习

题及答案篇一

题目部分

一、信息安全基础与风险管理（易到中等难度）

1)单选题：信息安全的CIA三要素中，以下哪一项最直接体现系统

在“可用性”方面的需求？

A机密性保护措施

B误删数据的备份与冗余设计

C数字签名的使用

D加密算法的强度

2)简答题：请简述信息安全风险分析的一般步骤，并给出在实践中

常用的一个风险评估框架名称（不超过50字）。

二、密码学基础与密钥管理（中等难度）

3)简答题：对称加密和非对称加密的核心区别是什么？请分别给出

一个典型的应用场景。

三、网络安全防护与日志分析（中等偏难到难）

4)情景题：某企业WEB应用存在未对输入做充分校验即拼接SQL

的漏洞。请给出至少三条缓解策略，并简述其优缺点。

四、合规、法律与伦理（中等难度）

5)简答题：在个人信息保护方面，简要说明企业在数据最小化原则

下需要考虑的两个关键点，以及一个可操作的落地方法。

答案部分

一、信息安全基础与风险管理

1)正确答案：B

解析：题干问的是“可用性”方面的需求，需确保在服务可用时不受

干扰。选项B强调备份与冗余设计，有效提升可用性；A强调机密性，

C与D虽重要但非直接回答可用性问题。因此正确为B。

2)答案要点：常用步骤包括：识别资产、识别威胁与脆弱性、估算

风险水平、制定控制措施、评估残余风险、监控与审查。常用框架名

称：ISO/IEC27005风险管理或NISTRMF（根据实际课程设定可选其

一）。

二、密码学基础与密钥管理

3)答案要点：对称加密使用同一密钥进行加密解密，优点是速度快、

实现简单，缺点是密钥分发困难；非对称加密使用公钥/私钥成对，优

点是解决密钥分发问题、便于数字签名，缺点是计算量大、速度相对

慢。应用场景示例：对称加密适用于大量数据的高效加密（如磁盘加

密、会话加密），非对称加密适用于密钥交换和数字签名（如TLS握

手、邮件签名）。

三、网络安全防护与日志分析

4)答案要点：

校验输入并使用参数化查询/预编译语句，避免将输入直接拼接到

SQL中，防止SQL注入。

采用最小权限原则，数据库账户只具备执行需要的最小权限。

引入输入输出过滤与输出编码，结合WAF等层级防护。

进一步的补充策略：日志记录与告警、代码审计、开发阶段的安全

编码规范。

评析：前三条从输入校验、权限控制、编码与监控层面覆盖常见缓

解路径，缺点是仍需持续的代码审查与安全测试来覆盖更隐蔽的漏洞。

四、合规、法律与伦理

5)答案要点：

数据最小化：仅收集、存储、处理实现业务必要的最少个人信息，

且仅在必要时间内保留。

最小化目的与透明性：明确告知数据用途、数据保存期限、对外共

享范围，并提供查询/删除等权利渠道。

落地方法：建立数据分类分级、数据处理记录、数据保留策略，结

合数据脱敏、访问控制、日志留存与定期自查。

解析部分

针对题目1：需要把CIA三要素与实际系统的可用性联系起来。容

易的陷阱是只记住“保密、完整性、可用性”三个要素，却不结合具体

场景去判断题意。最终要点是，若要提升可用性，首要是实现冗余与

备份，确保在故障时能快速恢复服务。

针对题目2、3：在风险分析中，常见误区是只关注资产价值、忽

视威胁性与脆弱性之间的联合影响。风险评估框架的选择应与机构现

有流程相匹配，ISO/IEC27005和NISTRMF是两条主线。对于密码学

题，容易混淆加密“速度”和“安全性”之间的权衡，应分清应用场景。

针对题目4：缓解SQL注入的要点在于多层防护：输入校验、参

数化查询、最小权限、代码审计。常见误区包括依赖WAF覆盖所有漏

洞或仅依赖后端日志分析。实际落地需要结合开发与测试流程的安全

嵌入。

针对题目5：数据最小化需要将业务流程中的信息需求与数据生命

周期绑定，避免冗余收集。易错点在于没设定保留期限和数据删除路

径，或对个人信息“”范围