2025年计算机三级（信息安全技术）模拟题（附参考答案）

2025年计算机三级（信息安全技术）模拟题（附参考答案）一、单项选择题（每题1分，共20题，总分20分）1.以下哪种加密算法属于对称加密算法？A.RSAB.ECCC.AESD.ElGamal2.数字签名的核心目的是确保数据的：A.机密性B.完整性C.可用性D.不可否认性3.防火墙按照工作层次划分，不包括以下哪类？A.包过滤防火墙B.应用层网关防火墙C.状态检测防火墙D.分布式防火墙4.以下哪项是缓冲区溢出攻击的主要目标？A.修改程序执行流程B.窃取用户密码C.破坏硬盘数据D.消耗网络带宽5.在Kerberos认证协议中，用户首先需要向哪个服务请求票据？A.票据授予服务（TGS）B.认证服务（AS）C.密钥分配中心（KDC）D.应用服务（AP）6.以下哪个哈希算法已被证明存在碰撞漏洞？A.SHA-256B.SHA-3C.MD5D.RIPEMD-1607.数据库安全中，“脏读”现象主要与哪种事务特性相关？A.原子性（Atomicity）B.一致性（Consistency）C.隔离性（Isolation）D.持久性（Durability）8.以下哪项不属于操作系统安全的基本机制？A.访问控制列表（ACL）B.内存保护C.进程隔离D.路由选择9.网络钓鱼攻击的主要手段是：A.利用系统漏洞植入恶意代码B.通过伪造可信网站骗取用户信息C.对目标服务器发起DDoS攻击D.截获并篡改网络传输数据10.在PKI体系中，CA的主要职责是：A.生成用户密钥对B.颁发和管理数字证书C.提供在线证书状态查询D.执行证书撤销11.以下哪种访问控制模型基于角色进行权限分配？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）12.以下哪项是SQL注入攻击的本质？A.向数据库服务器发送大量请求导致拒绝服务B.通过拼接恶意SQL语句绕过应用层验证C.利用数据库备份文件窃取敏感数据D.篡改数据库事务日志13.无线局域网（WLAN）中，WPA2协议使用的加密算法是：A.WEP（RC4）B.TKIP（RC4）C.CCMP（AES）D.DES14.以下哪种病毒类型会将自身代码插入到宿主程序中？A.引导型病毒B.文件型病毒C.宏病毒D.蠕虫病毒15.在信息安全风险评估中，“威胁”与“脆弱性”的关系是：A.威胁利用脆弱性导致风险B.脆弱性利用威胁导致风险C.威胁与脆弱性独立存在D.威胁是脆弱性的表现形式16.以下哪项是操作系统安全加固的常用措施？A.开放所有不必要的服务端口B.定期更新系统补丁C.使用默认管理员账户（如Administrator）D.禁用防火墙17.数据脱敏技术中，“将身份证号的中间几位替换为”属于：A.随机化B.掩码处理C.泛化D.加密18.以下哪项属于物理安全防护措施？A.部署入侵检测系统（IDS）B.服务器机房安装门禁系统C.对数据库进行异地备份D.实施双因素认证19.在渗透测试中，“信息收集”阶段的主要目的是：A.验证目标系统漏洞B.获取系统最高权限C.了解目标网络结构和弱点D.清除攻击痕迹20.以下哪项符合“最小特权原则”的实践？A.普通用户拥有管理员权限B.数据库管理员仅具备数据查询权限C.服务器仅开放必要的服务端口D.所有员工访问相同的文件目录二、填空题（每空1分，共10题，总分10分）1.对称加密算法AES的分组长度是______位，支持的密钥长度包括128位、192位和256位。2.数字证书的标准格式是______（填写具体标准编号）。3.防火墙的“状态检测”技术通过维护______表来跟踪网络连接状态。4.缓冲区溢出攻击中，攻击者通常通过覆盖______来改变程序执行流程。5.操作系统的访问控制机制中，______（填写英文缩写）用于记录每个对象的访问权限。6.SQL注入攻击的防御措施包括使用______（如PreparedStatement）和输入验证。7.无线局域网WPA3协议使用______加密算法替代了WPA2的CCMP。8.恶意软件的传播途径包括电子邮件附件、______和移动存储设备。9.信息安全管理体系（ISMS）的国际标准是______（填写标准编号）。10.数据库的事务隔离级别中，______级别允许读取未提交的事务，可能导致脏读。三、简答题（每题6分，共5题，总分30分）1.简述DES算法的主要缺陷及AES算法的改进点。2.比较SSL协议与TLS协议的区别，并说明TLS的主要改进。3.什么是零信任网络架构（ZeroTrustArchitecture）？其核心原则有哪些？4.列举数据库安全的5项关键措施，并简要说明。5.解释“社会工程学攻击”的概念，并举出3种常见攻击手段。四、综合题（每题20分，共2题，总分40分）1.某企业计划构建内部办公网络，需满足以下安全需求：-防止外部非法用户访问内部核心业务系统；-保护内部员工终端免受恶意软件感染；-记录员工对重要文件的访问操作；-确保关键服务器发生故障时业务快速恢复。请设计一套综合安全防护方案，要求涵盖边界防护、终端安全、审计监控和容灾备份四个层面，给出具体技术措施。2.假设你是某公司的信息安全工程师，需为公司网站（采用B/S架构，后端使用MySQL数据库）设计安全加固方案。请分析可能面临的安全威胁（至少5种），并针对每种威胁提出具体的防护措施。参考答案一、单项选择题1.C2.D3.D4.A5.B6.C7.C8.D9.B10.B11.C12.B13.C14.B15.A16.B17.B18.B19.C20.C二、填空题1.1282.X.5093.状态4.返回地址（或EIP）5.ACL6.参数化查询7.SAE（或AES-CCMPv2）8.网页挂马（或漏洞利用）9.ISO/IEC2700110.读未提交（ReadUncommitted）三、简答题1.DES算法的主要缺陷：-密钥长度过短（56位），易受暴力破解；-弱密钥和半弱密钥问题；-分组长度较小（64位），不适合大数据加密。AES的改进点：-支持更长的密钥长度（128/192/256位），增强抗攻击性；-采用SPN（代替DES的Feistel结构），提高加密效率；-更灵活的分组处理，支持并行计算；-无弱密钥问题，安全性更高。2.SSL与TLS的区别及TLS改进：-SSL（安全套接层）是TLS（传输层安全）的前身，由Netscape开发，TLS是IETF标准化的SSL后续版本（如TLS1.0对应SSL3.1）。-TLS的主要改进：①增强密钥交换算法（如支持ECC）；②优化握手过程，减少延迟；③增加对AEAD（认证加密）算法的支持（如AES-GCM）；④禁用不安全的加密套件（如DES、MD5）；⑤加强对重放攻击和中间人攻击的防护。3.零信任网络架构：零信任是一种安全理念，假设网络内部和外部均存在威胁，默认不信任任何设备或用户，需通过持续验证身份、设备状态和访问上下文来授权访问。核心原则：-最小权限访问：仅授予完成任务所需的最小权限；-持续验证：每次访问请求均需验证身份、设备安全状态和环境；-可见性与监控：全程监控所有访问行为，实时分析风险；-动态策略调整：根据环境变化（如位置、时间）动态调整访问控制策略。4.数据库安全的关键措施：①访问控制：通过角色（Role）和权限（Privilege）管理，限制用户对表、视图等对象的操作（如SELECT/INSERT/DELETE）；②加密保护：对敏感字段（如密码、身份证号）进行静态加密（存储加密）和动态加密（传输加密）；③审计日志：记录用户对数据库的所有操作（如查询、修改），便于追溯和合规检查；④漏洞修复：定期更新数据库补丁（如MySQL的CVE漏洞修复），关闭不必要的存储过程；⑤备份与恢复：采用全量备份+增量备份策略，定期测试恢复流程，防止数据丢失。5.社会工程学攻击：通过心理操纵而非技术漏洞，诱使用户泄露敏感信息或执行危险操作的攻击方式。常见手段：①钓鱼邮件：伪造公司IT部门邮件，要求用户点击链接输入账号密码；②冒充客服：致电用户声称“账户异常”，诱导提供短信验证码；③水坑攻击：在目标常访问的网站植入恶意代码，感染访问用户；④物理渗透：假扮维修人员进入机房，直接获取服务器访问权限（任选3种即可）。四、综合题1.企业内部网络安全防护方案设计：（1）边界防护层面-部署硬件防火墙（如CheckPoint、PaloAlto），配置访问控制列表（ACL），仅允许HTTP/HTTPS、SMTP等必要端口通过；-启用入侵防御系统（IPS），检测并阻断SQL注入、XSS等攻击；-对内部核心业务系统（如OA、ERP）划分独立VLAN，通过三层交换机限制跨VLAN访问；-外部接入采用VPN（如IPSecVPN或SSLVPN），要求员工通过双因素认证（如动态令牌+密码）登录。（2）终端安全层面-安装企业级杀毒软件（如卡巴斯基、赛门铁克），开启实时监控和定期全盘扫描；-部署终端管理系统（如华为ManageOne），强制统一安装系统补丁，禁用不必要的服务（如远程桌面）；-启用文件访问控制（如WindowsEFS或LinuxACL），限制普通员工访问财务、研发等敏感目录；-对移动存储设备实施管控（如禁用USB存储或仅允许注册设备接入）。（3）审计监控层面-部署日志审计系统（如ELKStack），收集防火墙、路由器、服务器的日志，保留至少6个月；-对重要文件（如合同、设计文档）启用WindowsServer的“文件服务器资源管理器”，记录访问时间、用户和操作类型；-配置异常行为检测（如同一账号多地登录、非工作时间访问敏感文件），触发警报并阻断；-定期进行安全审计，生成合规报告（如满足等保2.0要求）。（4）容灾备份层面-关键服务器采用双机热备（如WindowsServer故障转移群集），确保主服务器宕机时自动切换到备机；-数据库采用主从复制（如MySQL主从同步），实时同步数据；-重要数据每日增量备份至本地磁盘，每周全量备份至异地数据中心（符合3-2-1备份原则）；-每季度进行灾难恢复演练，验证备份数据的可用性和恢复时间目标（RTO）。2.公司网站安全加固方案（1）面临的安全威胁及防护措施①SQL注入攻击：威胁：攻击者通过网页表单提交恶意SQL语句（如“'OR1=1--”），获取数据库敏感数据。防护：使用参数化查询（如Java的PreparedStatement），禁止拼接SQL字符串；对输入内容进行正则表达式校验（如限制特殊字符）；启用数据库防火墙（如DBProtect）拦截异常查询。②XSS（跨站脚本）攻击：威胁：攻击者在网页中注入恶意脚本（如<script>alert(document.cookie)</script>），窃取用户Cookie。防护：对用户输入内容进行HTML转义（如将“<”替换为“<”）；设置Cookie的HttpOnly属性，禁止JavaScript访问；启用浏览器安全头（如Content-Security-Policy），限制脚本来源。③DDoS攻击：威胁：攻击者通过大量伪造请求（如HTTPGET）耗尽服务器资源，导致网站无法访问。防护：使用CDN（如Cloudflare）分散流量，隐藏源IP；部署DDoS清洗设备（如F5BIG-IP），识别并过滤异常流量；限制单IP的请求频率（如Nginx的limit_req模块）。④弱密码与暴力破解：威胁：攻击者通过工具猜测管理员账号密码（如“admin/123456”），登录后台管理系统。防护：强制密码复杂度（至少8位，包含字母、数字、符号）；启用失败登录锁定（如连续5次错误锁定30分钟）；实施双因素认证（如短信验证码+密码）。