信息安全题库及答案

信息安全题库及答案一、单项选择题（每题2分，共20题）1.信息安全的核心目标“CIA三元组”不包括以下哪项？A.保密性（Confidentiality）B.完整性（Integrity）C.可用性（Availability）D.不可抵赖性（Nonrepudiation）答案：D2.以下哪种加密算法属于对称加密？A.RSAB.AESC.ECCD.DSA答案：B3.SQL注入攻击的本质是？A.利用操作系统漏洞B.向数据库发送恶意SQL语句C.篡改应用程序代码D.破坏网络带宽答案：B4.下列哪项不属于DDoS攻击的常见类型？A.SYNFloodB.ICMPFloodC.DNS放大攻击D.XSS攻击答案：D5.数字签名的主要目的是？A.加密数据B.验证数据完整性和发送者身份C.提高传输速度D.防止数据丢失答案：B6.操作系统中，“最小权限原则”要求用户或进程仅拥有完成任务所需的？A.最高权限B.最低权限C.临时权限D.默认权限答案：B7.以下哪项是恶意软件“蠕虫”的典型特征？A.需要宿主程序才能运行B.自我复制并通过网络传播C.伪装成合法软件D.加密用户文件勒索赎金答案：B8.HTTPS协议的安全性主要依赖于？A.端口号变更（80→443）B.SSL/TLS协议加密C.防火墙过滤D.数字证书验证用户身份答案：B9.数据脱敏技术中，“将身份证号的中间几位替换为”属于？A.匿名化B.去标识化C.加密D.数据遮蔽答案：D10.《网络安全法》规定，关键信息基础设施的运营者应当自行或委托第三方每年至少进行几次网络安全检测评估？A.1次B.2次C.3次D.4次答案：A11.以下哪种访问控制模型中，系统强制为主体和客体分配安全标签（如“绝密”“机密”）？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：B12.哈希函数的主要特性不包括？A.单向性（难以从哈希值逆推原数据）B.抗碰撞性（不同数据生成相同哈希值的概率极低）C.长度固定（无论输入长度如何，输出长度固定）D.可加密性（支持解密获取原数据）答案：D13.入侵检测系统（IDS）的主要功能是？A.阻止攻击行为B.检测并记录潜在攻击C.修复系统漏洞D.加密网络流量答案：B14.下列哪项属于数据生命周期中的“销毁”阶段操作？A.对数据库进行定期备份B.使用数据擦除工具覆盖存储介质C.对传输中的数据进行加密D.对用户输入的数据进行格式校验答案：B15.社会工程学攻击中，攻击者通过冒充技术支持人员获取用户密码，属于？A.钓鱼攻击B.pretexting（伪称）C.水坑攻击D.勒索软件攻击答案：B16.以下哪项是物联网（IoT）设备特有的安全风险？A.弱密码或默认密码未修改B.SQL注入C.XSS跨站脚本D.缓冲区溢出答案：A17.量子计算对现有密码体系的主要威胁是？A.加速对称加密算法的运算速度B.破解基于大整数分解或离散对数的公钥算法（如RSA、ECC）C.破坏哈希函数的抗碰撞性D.增强数据加密的强度答案：B18.云环境中，“数据主权”问题主要指？A.云服务商的数据存储位置是否符合法律要求B.数据加密密钥的管理方式C.云服务器的物理安全D.云服务的可用性答案：A19.以下哪种备份方式恢复时间最短？A.完全备份B.增量备份C.差异备份D.快照备份答案：A20.《个人信息保护法》规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。这体现了？A.最小必要原则B.公开透明原则C.目的明确原则D.责任主体原则答案：A二、多项选择题（每题3分，共10题，多选、少选、错选均不得分）1.信息安全的基本威胁包括以下哪些类型？A.中断（Availability）B.截获（Confidentiality）C.篡改（Integrity）D.伪造（Authenticity）答案：ABCD2.以下属于非对称加密算法的应用场景有？A.安全电子邮件（PGP）B.数字签名C.密钥交换（如DiffieHellman）D.大量数据加密传输答案：ABC3.网络钓鱼攻击的常见手段包括？A.发送仿冒银行的虚假邮件B.搭建与真实网站高度相似的钓鱼网站C.在社交平台发布“中奖”信息诱导点击链接D.利用系统漏洞植入恶意软件答案：ABC4.操作系统安全加固的常见措施包括？A.关闭不必要的服务和端口B.定期更新系统补丁C.启用防火墙D.为所有用户分配管理员权限答案：ABC5.数据加密的关键技术包括？A.对称加密B.非对称加密C.哈希函数D.数字水印答案：ABC6.《数据安全法》规定的数据安全管理制度包括？A.数据分类分级保护制度B.数据安全风险评估、监测预警和应急处置制度C.数据安全审查制度D.数据交易管理制度答案：ABCD7.以下属于物联网设备安全防护措施的有？A.禁用默认密码，设置强密码B.定期更新设备固件C.限制设备网络访问权限（如仅允许必要端口通信）D.关闭设备的远程管理功能答案：ABCD8.云计算环境下的安全挑战包括？A.多租户隔离风险（不同用户数据混合存储）B.云服务商的内部人员滥用权限C.数据迁移时的泄露风险（如从私有云迁移至公有云）D.物理服务器的硬件故障答案：ABC9.恶意软件的检测技术包括？A.特征码匹配（基于已知恶意软件的特征）B.行为分析（监测程序异常行为）C.沙盒技术（在隔离环境中运行程序观察行为）D.静态分析（分析程序代码结构）答案：ABCD10.网络安全等级保护（等保2.0）的核心要求包括？A.安全通信网络B.安全区域边界C.安全计算环境D.安全管理中心答案：ABCD三、判断题（每题1分，共10题，正确填“√”，错误填“×”）1.信息安全的“木桶效应”指系统的安全性由最弱的安全环节决定。（）答案：√2.对称加密的密钥管理比非对称加密更简单。（）答案：×（非对称加密密钥管理更简单，因公钥可公开）3.防火墙可以完全阻止所有网络攻击。（）答案：×（防火墙无法防御绕过其策略的攻击或应用层漏洞）4.哈希函数可以用于验证数据完整性，因为不同数据的哈希值必然不同。（）答案：×（哈希函数存在碰撞可能，只是概率极低）5.勒索软件通常通过加密用户文件并索要赎金，防范措施包括定期备份和不点击可疑链接。（）答案：√6.强制访问控制（MAC）中，用户可以自主修改文件的访问权限。（）答案：×（MAC由系统强制控制，用户无法修改）7.《个人信息保护法》规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。（）答案：√8.物联网设备由于资源受限，无法部署复杂的安全防护措施，因此无需重视其安全问题。（）答案：×（物联网设备可能成为攻击跳板，需加强安全防护）9.云环境中，“数据泄露”风险仅来自外部攻击，与云服务商内部人员无关。（）答案：×（内部人员滥用权限是重要风险源）10.量子计算机完全普及后，现有的所有密码算法都会被破解。（）答案：×（量子密码（如量子密钥分发）可抵御量子攻击）四、简答题（每题5分，共6题）1.简述信息安全“CIA三元组”的具体含义及其关系。答案：CIA三元组是信息安全的核心目标：保密性（Confidentiality）：确保信息仅被授权方访问；完整性（Integrity）：保证信息未被篡改或破坏；可用性（Availability）：确保授权方在需要时可访问信息。三者相互关联，缺一不可。例如，即使信息保密且完整，若无法访问（不可用），其价值也无法实现。2.对比对称加密与非对称加密的优缺点及典型应用场景。答案：对称加密：优点：加密速度快，适合大量数据加密；缺点：密钥分发困难（需安全信道传输），密钥管理复杂（每对通信方需独立密钥）；应用：AES用于文件加密、SSL/TLS握手后的会话密钥加密。非对称加密：优点：密钥分发简单（公钥可公开），支持数字签名；缺点：加密速度慢，不适合大量数据加密；应用：RSA用于密钥交换、数字签名；ECC用于移动设备加密。3.列举三种常见的Web应用层攻击，并说明其防御措施。答案：SQL注入：攻击者通过输入恶意SQL语句操控数据库；防御措施包括使用参数化查询、输入校验、Web应用防火墙（WAF）。XSS（跨站脚本）：攻击者向网页注入恶意脚本，窃取用户Cookie；防御措施包括对用户输入进行转义、设置Cookie的HttpOnly属性。CSRF（跨站请求伪造）：攻击者诱导用户执行非自愿操作；防御措施包括使用CSRF令牌、验证Referer头。4.简述操作系统安全加固的主要步骤。答案：关闭不必要的服务和端口（减少攻击面）；定期安装系统补丁（修复已知漏洞）；配置用户权限（遵循最小权限原则，限制管理员账户使用）；启用防火墙和入侵检测系统（监控异常流量）；启用审计日志（记录关键操作，便于事后追溯）；禁用默认账户（如Linux的root直接远程登录）。5.说明数据脱敏的常见技术及其适用场景。答案：匿名化：彻底移除可识别个人身份的信息（如删除姓名、身份证号），适用于公共数据发布（如统计报告）；去标识化：通过加密或替换部分信息（如将手机号替换为“1385678”）保留数据可用性，适用于内部测试或第三方合作；数据遮蔽：动态替换敏感数据（如查询时显示“”），适用于开发或测试环境；随机化：用随机值替换原数据（如将年龄“30”随机改为“2832”），适用于数据分析场景。6.简述《网络安全法》中“关键信息基础设施”的定义及运营者的主要责任。答案：定义：关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施。主要责任：①履行网络安全等级保护义务；②自行或委托第三方每年至少进行1次安全检测评估；③制定应急预案并定期演练；④在境内存储重要数据，确需出境的需进行安全评估；⑤优先采购安全可信的网络产品和服务。五、综合应用题（每题10分，共2题）1.某企业财务系统近期发生数据泄露事件，经调查发现：员工使用弱密码（如“123456”）登录系统；数据库未开启访问日志，无法追踪操作记录；敏感数据（如银行账户信息）未加密存储；系统存在未修复的SQL注入漏洞。请分析该事件的直接原因和间接原因，并提出至少5项针对性的防护措施。答案：直接原因：①弱密码导致攻击者可暴力破解账户；②SQL注入漏洞被利用，攻击者获取数据库权限；③敏感数据未加密存储，泄露后可直接读取。间接原因：①企业安全管理制度缺失（如未强制要求强密码策略）；②漏洞管理流程不完善（未及时修复已知SQL注入漏洞）；③审计机制缺失（数据库未记录访问日志，无法及时发现异常）。防护措施：①实施强密码策略（要求至少8位，包含字母、数字、符号），启用多因素认证（MFA）；②定期进行漏洞扫描和修复（如使用OWASPZAP扫描Web漏洞，及时打补丁）；③对数据库敏感字段（如银行账户、身份证号）采用AES加密存储，密钥由专用密钥管理系统（KMS）保管；④启用数据库审计日志，记录所有查询、修改操作，并定期分析异常行为；⑤开展员工安全培训（如识别弱密码风险、避免点击可疑链接）；⑥部署Web应用防火墙（WAF），拦截SQL注入、XSS等攻击。2.设计一个企业内部网络的安全架构，要求覆盖边界防护、终端安全、数据保护和管理机制四个层面，需说明每个层面的具体技术或措施。答案：边界防护层面：①部署下一代防火墙（NGFW），基于应用层协议（如HT