2025年信息安全工程师试题及参考答案.docxVIP

2025年信息安全工程师试题及参考答案

（考试时间：150分钟满分：75分）

试题一（20分）

阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】

某金融机构新上线面向C端用户的手机银行APP，用户规模预计突破1000万，需满足《网络安全等级保护2.0》三级要求、《金融数据安全数据生命周期安全规范》（JR/T0197-2020）监管要求。安全团队需对系统全流程开展安全设计与验证，系统架构包含客户端层、API网关层、业务服务层、数据存储层四个层级，当前暴露的风险点包括：客户端篡改风险、接口未授权访问风险、数据传输泄露风险、核心交易篡改风险、数据库拖库风险。

问题1（6分）

针对客户端层安全防护，需实现反调试、反篡改、反逆向能力。请分别列出3种Android平台对应的具体实现技术。

问题2（5分）

API网关层需对所有接口做身份认证与访问控制，该系统采用JWT作为用户身份凭证。请简述JWT的三个组成部分及每个部分的核心作用，并说明防止JWT被窃取后重放攻击的2种具体措施。

问题3（5分）

数据存储层包含用户敏感数据（身份证号、银行卡号、交易密码、账户余额），请分别说明四类数据的存储安全要求，需符合金融行业监管规范。

问题4（4分）

核心转账交易需防范中间人篡改风险，现有交易参数包含：付款人ID、收款人ID、转账金额、交易时间戳。请设计该交易的完整性校验方案