2025年信息安全工程师：案例分析专项测试卷.docxVIP

2025年信息安全工程师：案例分析专项测试卷

考试时间：______分钟总分：______分姓名：______

一、

某大型电子商务公司近期发现其部分用户的商品浏览历史记录存在泄露风险。经过初步调查，安全团队怀疑可能是由于数据库访问权限配置不当，导致非必要的服务器可以访问到用户的浏览历史表。该数据库采用MySQL，运行在云服务器上，网络环境为默认安全组配置，允许来自公网的特定端口访问。用户浏览历史数据包含用户ID、商品ID、浏览时间等信息。请分析此案例中潜在的安全风险，并阐述可能存在的安全漏洞或配置问题。

二、

某政府机构的核心业务系统（涉及机密信息）部署在内部专用网络中，与互联网物理隔离。该系统近期频繁出现性能下降，并伴随有服务不可用的情况。安全运维人员通过内部监控系统初步判断，攻击者可能利用了系统中的一个服务漏洞，通过持续发送大量畸形报文的方式，导致系统资源耗尽。已知该系统使用了防火墙进行边界防护，并部署了入侵防御系统（IPS）。请分析此次攻击可能采用的技术手段，并提出针对此类拒绝服务（DoS）攻击的缓解措施。

三、

某金融机构计划将其核心银行系统迁移至云平台（采用IaaS模式）。在迁移前进行风险评估时，发现系统依赖一套自研的、存在已知安全漏洞的中间件。该中间件负责处理敏感的金融交易数据，且没有可用的官方安全补丁。金融机构需要在保障业务连续性和数据安全的前提下，