2025年广西公需科目信息技术与信息安全考试题库（附答案）

2025年广西公需科目信息技术与信息安全考试题库（附答案）一、单项选择题（每题2分，共30题）1.信息安全的基本属性不包括以下哪项？（）A.机密性B.完整性C.可追溯性D.可用性答案：C2.以下哪种攻击方式属于主动攻击？（）A.窃听网络流量B.截取传输中的数据C.篡改数据库记录D.扫描网络端口答案：C3.对称加密算法与非对称加密算法的主要区别在于（）。A.对称算法加密速度慢，非对称算法加密速度快B.对称算法使用相同密钥，非对称算法使用公私钥对C.对称算法用于数据加密，非对称算法仅用于身份认证D.对称算法安全性更高答案：B4.以下不属于常见网络安全威胁的是（）。A.病毒B.洪水C.木马D.勒索软件答案：B5.防火墙的主要功能是（）。A.防止所有网络攻击B.监控和控制进出网络的流量C.加密传输数据D.修复系统漏洞答案：B6.我国《网络安全法》规定，网络运营者应当按照网络安全等级保护制度的要求，履行的义务不包括（）。A.制定内部安全管理制度和操作规程B.采取数据分类、重要数据备份和加密等措施C.定期进行网络安全检测、评估和改进D.公开所有用户个人信息答案：D7.以下哪种数据脱敏技术适用于将真实姓名替换为“某先生/女士”？（）A.随机替换B.掩码处理C.泛化D.匿名化答案：C8.零信任模型的核心思想是（）。A.信任所有内部用户B.永不信任，始终验证C.仅信任已知设备D.依赖传统边界防护答案：B9.以下属于物联网（IoT）特有的安全风险是（）。A.弱密码认证B.固件漏洞难以更新C.数据篡改D.网络钓鱼答案：B10.SQL注入攻击的主要目标是（）。A.破坏操作系统B.非法访问或修改数据库C.窃取用户会话信息D.耗尽服务器内存答案：B11.数字签名的主要作用是（）。A.加密数据B.验证数据完整性和发送者身份C.压缩数据大小D.防止数据丢失答案：B12.以下哪项是《数据安全法》中规定的“重要数据”？（）A.企业内部员工通讯录B.电商平台用户购物记录C.涉及国家安全、经济发展的关键数据D.社交媒体用户发布的普通动态答案：C13.移动终端（如手机）的安全防护措施不包括（）。A.安装官方应用商店的APPB.开启“未知来源”安装权限C.设置复杂锁屏密码D.定期更新系统补丁答案：B14.以下哪种加密算法属于非对称加密？（）A.AESB.DESC.RSAD.SHA-256答案：C15.网络钓鱼攻击的常见手段是（）。A.发送伪造的邮件或链接诱导用户输入敏感信息B.对目标服务器发起DDoS攻击C.植入硬件木马破坏设备D.利用系统漏洞进行远程控制答案：A16.数据备份的“3-2-1原则”指的是（）。A.3份备份、2种介质、1份异地存储B.3种介质、2份备份、1份本地存储C.3次备份、2个设备、1份云存储D.3个版本、2个系统、1份离线存储答案：A17.以下哪项不属于信息安全管理体系（ISMS）的核心标准？（）A.ISO27001B.ISO9001C.ISO27002D.GB/T22080答案：B18.物联网设备面临的最大安全挑战是（）。A.计算能力有限，难以部署复杂安全机制B.网络带宽不足C.用户使用习惯不良D.数据量过大难以存储答案：A19.以下哪种漏洞属于应用层漏洞？（）A.操作系统内核漏洞B.路由器固件漏洞C.Web应用SQL注入漏洞D.交换机配置漏洞答案：C20.访问控制的主要目的是（）。A.限制用户对资源的访问权限B.加速网络传输速度C.防止硬件故障D.提高数据存储容量答案：A21.我国《个人信息保护法》规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取（）的方式。A.最全面B.最必要C.最复杂D.最先进答案：B22.以下属于APT（高级持续性威胁）攻击特点的是（）。A.攻击时间短、目标广泛B.利用已知漏洞快速渗透C.长期潜伏、针对性强D.仅通过邮件传播答案：C23.区块链技术的核心特性不包括（）。A.去中心化B.不可篡改C.完全匿名D.共识机制答案：C24.以下哪种措施不能有效防范勒索软件？（）A.定期备份重要数据B.关闭系统自动更新C.安装杀毒软件并及时升级D.不打开可疑邮件附件答案：B25.网络安全等级保护制度中，第三级信息系统的保护要求是（）。A.自主保护B.指导保护C.监督保护D.专控保护答案：C26.以下属于物理安全防护措施的是（）。A.安装防火墙B.服务器机房门禁系统C.数据加密传输D.账户权限管理答案：B27.量子通信的安全性基于（）。A.数学加密算法B.量子不可克隆定理C.哈希函数碰撞难度D.对称密钥长度答案：B28.以下哪项不属于云计算的安全风险？（）A.多租户隔离问题B.数据跨境流动C.服务器硬件老化D.云服务提供商信任风险答案：C29.数据泄露事件发生后，企业应首先采取的措施是（）。A.通知媒体曝光B.关闭所有网络服务C.确认泄露范围并控制源头D.追究员工责任答案：C30.以下关于IPv6的描述，错误的是（）。A.地址空间更大B.支持自动配置C.完全解决了网络安全问题D.简化了报头结构答案：C二、判断题（每题1分，共20题）1.信息安全等同于网络安全。（）答案：×2.所有用户数据都需要加密存储，无需考虑性能成本。（）答案：×3.弱密码是导致账户被盗的主要原因之一。（）答案：√4.防火墙可以完全防止内部人员的恶意操作。（）答案：×5.数字证书的作用是验证网站身份的真实性。（）答案：√6.数据脱敏后可以直接用于数据分析，不会泄露隐私。（）答案：√7.操作系统漏洞只能通过安装补丁修复，无法通过其他方式防护。（）答案：×8.物联网设备无需更新固件，因为其功能固定。（）答案：×9.区块链的“去中心化”意味着没有任何管理节点。（）答案：×10.网络安全等级保护制度仅适用于关键信息基础设施。（）答案：×11.个人信息处理者可以无限期保存用户个人信息。（）答案：×12.钓鱼邮件的发件人地址一定是伪造的。（）答案：√13.云服务中，用户的数据安全完全由云服务商负责。（）答案：×14.量子计算机可以破解所有传统加密算法。（）答案：×15.访问控制中的“最小权限原则”是指给用户分配完成任务所需的最低权限。（）答案：√16.数据备份的“冷备份”是指实时备份，“热备份”是指离线备份。（）答案：×17.手机开启“位置共享”功能不会导致隐私泄露，因为位置信息是匿名的。（）答案：×18.网络安全事件发生后，只需向公司内部报告，无需向监管部门报备。（）答案：×19.零信任模型要求对所有访问请求进行身份验证和权限检查，无论其来自内部还是外部。（）答案：√20.密码学中的“混淆”是指通过复杂的算法隐藏密钥关系，“扩散”是指让明文的影响尽可能扩散到密文中。（）答案：√三、简答题（每题5分，共10题）1.简述信息安全“CIA三元组”的具体含义。答案：CIA三元组是信息安全的三大核心属性：机密性（Confidentiality），确保数据仅被授权方访问；完整性（Integrity），保证数据未被篡改或破坏；可用性（Availability），确保授权方在需要时可访问数据。2.列举三种常见的网络攻击类型，并简要说明其特点。答案：（1）DDoS攻击：通过大量伪造请求耗尽目标服务器资源，导致服务不可用；（2）SQL注入：利用Web应用程序对用户输入过滤不严，向数据库发送恶意SQL指令；（3）勒索软件：加密用户文件后索要赎金，通常通过钓鱼邮件或漏洞传播。3.数据脱敏的常用方法有哪些？请举例说明。答案：（1）替换：将真实姓名替换为“用户A”；（2）掩码：将身份证号部分数字用“”遮盖（如4501011234）；（3）泛化：将具体年龄“28岁”泛化为“20-30岁”；（4）随机化：将手机号后四位替换为随机数字。4.简述《网络安全法》中“关键信息基础设施”的定义及保护要求。答案：关键信息基础设施是指一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统。保护要求包括：明确运营者责任、进行安全检测评估、制定应急预案、优先采购安全产品等。5.什么是“零信任网络架构”？其核心原则有哪些？答案：零信任架构（ZeroTrustArchitecture,ZTA）假设网络中没有绝对的信任区域，所有访问请求（无论来自内部还是外部）都需经过验证。核心原则包括：持续验证身份与设备安全状态、最小权限访问、动态访问控制、全流量监控。6.简述对称加密与非对称加密的优缺点及典型应用场景。答案：对称加密（如AES）优点：加密速度快，适合大数据量加密；缺点：密钥分发困难，易泄露。应用场景：文件加密、数据库加密。非对称加密（如RSA）优点：密钥管理方便，可用于数字签名；缺点：加密速度慢，适合小数据量。应用场景：密钥交换、数字证书、身份认证。7.列举三种常见的物联网安全防护措施。答案：（1）加强设备身份认证（如使用唯一设备证书）；（2）定期更新固件以修复漏洞；（3）限制物联网设备的网络访问权限（如仅开放必要端口）；（4）对传输数据进行加密（如使用TLS协议）。8.网络安全等级保护的五个级别分别对应什么保护要求？答案：第一级（用户自主保护）：基本安全措施；第二级（系统审计保护）：建立安全审计机制；第三级（安全标记保护）：强制访问控制和安全标记；第四级（结构化保护）：结构化设计，抗渗透能力；第五级（访问验证保护）：最高级别的验证和防护。9.个人信息处理者在收集用户信息时应遵循哪些原则？答案：（1）合法、正当、必要原则；（2）最小必要原则（仅收集实现功能所需的最少信息）；（3）明确告知原则（告知收集目的、方式、范围）；（4）用户同意原则（需获得用户明确授权）。10.简述勒索软件的防范措施。答案：（1）定期备份重要数据并离线存储；（2）关闭不必要的端口和服务；（3）安装杀毒软件并开启实时监控；（4）不打开可疑邮件附件或点击陌生链接；（5）及时安装系统和软件补丁；（6）对员工进行安全培训，提高防范意识。四、案例分析题（每题10分，共2题）案例1：某企业财务部门员工收到一封标题为“2023年财务报表更新”的邮件，附件为“报表.xlsx”。员工点击附件后，电脑突然黑屏，提示“所有文件已加密，支付5比特币解锁”。问题：（1）该事件属于哪种网络攻击？（2）分析攻击成功的可能原因；（3）企业应如何应对此类事件？答案：（1）勒索软件攻击。（2）可能原因：员工安全意识不足，打开可疑邮件附件；企业未部署邮件过滤系统拦截恶意附件；系统未及时更新补丁，存在勒索软件利用的漏洞；未对重要文件进行定期备份。（3）应对措施：立即断网防止攻击扩散；使用备份数据恢复文件（若有离线备份）；向公安机关报案；修复系统漏洞并更新补丁；对员工进行安全培训，强调不随意打开陌生附件；部署邮件网关过滤恶意内容；启用终端安全软件实时监控。案例2：某电商平台因数据库漏洞导致10万条用户信息（包括姓名、手机号、收货地址）泄露，引发用户投诉。问题：（1）根据《个人信