三级信息安全技术-样题及参考答案

三级信息安全技术——样题及参考答案一、单项选择题（共20题，每题2分，共40分）1.以下哪种加密算法属于对称加密算法？A.RSAB.ECCC.AESD.SHA2562.在TCP/IP协议栈中，用于实现安全传输层协议的是？A.IPSecB.TLSC.SSLv2D.SSH3.以下哪项是缓冲区溢出攻击的主要目标？A.破坏数据库完整性B.劫持进程控制权C.窃取用户会话CookieD.干扰网络带宽4.某系统采用基于角色的访问控制（RBAC），用户A被分配“财务审核员”角色，用户B被分配“财务录入员”角色。根据最小权限原则，以下哪项操作是用户A允许执行的？A.修改财务系统登录密码策略B.查看并批准已录入的财务报表C.直接录入未审核的财务数据D.删除3年前的财务审计日志5.以下哪种哈希算法已被证明存在碰撞漏洞，不建议用于安全场景？A.SHA1B.SHA256C.SHA512D.SM36.网络钓鱼攻击的核心特征是？A.通过DDoS耗尽目标服务器资源B.伪造可信实体诱导用户泄露敏感信息C.利用系统漏洞执行任意代码D.植入恶意软件监控用户行为7.某企业部署了入侵检测系统（IDS），其主要功能是？A.实时阻断可疑网络流量B.记录并分析网络中的异常行为C.加密内部网络传输数据D.管理用户身份认证流程8.以下哪项是Windows系统中用于权限提升的典型漏洞？A.SQL注入漏洞B.跨站脚本（XSS）漏洞C.特权escalation漏洞D.拒绝服务（DoS）漏洞9.在PKI体系中，数字证书的颁发机构是？A.RA（注册机构）B.CA（证书认证机构）C.CRL（证书撤销列表）D.OCSP（在线证书状态协议）10.以下哪种攻击方式利用了操作系统或应用程序的输入验证缺陷？A.ARP欺骗B.口令暴力破解C.缓冲区溢出D.中间人攻击11.物联网（IoT）设备的典型安全风险不包括？A.硬编码默认口令B.固件更新机制缺失C.支持多因素认证D.缺乏安全补丁维护12.数据库加密通常采用“字段级加密”，其主要目的是？A.减少存储开销B.防止未授权用户读取敏感字段C.加速数据库查询效率D.增强数据库备份的完整性13.以下哪项是零信任架构（ZeroTrustArchitecture）的核心原则？A.网络边界内的所有设备默认可信B.持续验证访问请求的上下文（身份、设备状态、位置等）C.仅通过防火墙实现网络隔离D.用户一次认证后可访问所有内部资源14.某网站采用HTTPS协议，但浏览器提示“证书不受信任”，可能的原因是？A.网站使用了自签名证书且未被浏览器根证书库信任B.网站服务器开启了HTTP/2协议C.用户网络连接的MTU值过小D.网站数据库发生了SQL注入攻击15.以下哪种访问控制模型适用于军事或政府机构的机密信息保护？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于属性的访问控制（ABAC）D.基于角色的访问控制（RBAC）16.勒索软件的主要攻击流程是？A.扫描漏洞→植入恶意代码→加密文件→索要赎金B.发送钓鱼邮件→窃取用户密码→登录系统→删除数据C.伪造WiFi热点→拦截网络流量→窃取隐私信息D.利用DDoS攻击瘫痪网站→要求支付“保护费”17.以下哪项是安全操作系统（如SELinux）的关键功能？A.支持多用户同时登录B.对进程和文件实施细粒度的强制访问控制C.提供图形化用户界面（GUI）D.集成办公软件套件18.在无线网络安全中，WPA3相比WPA2的主要改进是？A.支持WEP加密B.引入SAE（安全平等认证）防止离线字典攻击C.仅支持PSK（预共享密钥）模式D.降低加密算法的计算复杂度19.数据脱敏技术主要用于解决以下哪类安全问题？A.数据存储时的完整性B.数据传输时的机密性C.数据共享时的隐私泄露D.数据备份时的冗余性20.以下哪项是渗透测试（PenetrationTesting）的核心目标？A.验证系统在高并发下的性能B.发现并评估系统的安全漏洞C.监控网络流量的实时状态D.优化数据库查询语句的执行效率二、填空题（共10题，每题2分，共20分）1.对称加密算法AES的密钥长度可以是128位、______位或256位。2.网络安全中，“CIA三元组”指的是机密性、完整性和______。3.常见的端口号中，SSH服务默认使用的端口是______。4.数字签名的实现通常结合了哈希算法和______加密技术。5.恶意软件（Malware）的常见类型包括病毒、蠕虫、木马和______。6.防火墙的基本工作模式包括包过滤、状态检测和______。7.操作系统的安全机制中，______技术通过将内存划分为不可执行区域，防止缓冲区溢出攻击执行恶意代码。8.数据库安全中，______攻击通过向数据库输入恶意SQL代码，实现未授权数据访问或修改。9.无线局域网（WLAN）中，______协议是WPA2的前身，因存在严重安全漏洞已被淘汰。10.云安全中，______（缩写）是一种通过分布式节点验证和存储数据的技术，可用于增强数据完整性验证。三、简答题（共5题，每题6分，共30分）1.简述“最小权限原则”的核心含义，并举例说明其在操作系统用户权限分配中的应用。2.比较入侵检测系统（IDS）与入侵防御系统（IPS）的区别，包括功能定位、部署方式和典型应用场景。3.说明TLS握手过程的主要步骤，并解释其如何实现通信双方的身份认证和会话密钥协商。4.列举三种常见的Web应用安全漏洞，并分别说明其危害及基本防护措施。5.阐述数据加密与数据脱敏的区别，结合具体场景说明两者的应用场景（如医疗数据共享、支付交易传输）。四、综合题（共2题，每题15分，共30分）1.某企业计划部署一套基于零信任架构的内部网络安全方案，要求覆盖员工远程访问、移动设备接入和内部服务器访问场景。请设计该方案的核心组件，并说明每个组件的功能及相互协作方式。2.假设某电商平台遭遇SQL注入攻击，导致用户姓名、手机号、收货地址等敏感信息泄露。请设计一套完整的应急响应流程，包括事件检测、分析、处置和后续改进措施，并说明每一步的具体操作内容。参考答案一、单项选择题1.C（AES是对称加密算法，RSA、ECC是非对称加密，SHA256是哈希算法）2.B（TLS是传输层安全协议，IPSec用于网络层，SSLv2已被淘汰，SSH是应用层协议）3.B（缓冲区溢出攻击通过覆盖栈空间劫持进程控制权）4.B（财务审核员的最小权限应限于审核，不能直接录入或删除日志）5.A（SHA1已被证明存在碰撞漏洞）6.B（网络钓鱼通过伪造可信实体诱导用户泄露信息）7.B（IDS主要功能是检测和记录异常，不直接阻断；IPS负责阻断）8.C（特权提升漏洞用于获取更高系统权限）9.B（CA是数字证书的颁发机构）10.C（缓冲区溢出利用输入验证缺陷）11.C（支持多因素认证是安全措施，不是风险）12.B（字段级加密防止未授权读取敏感字段）13.B（零信任的核心是持续验证上下文）14.A（证书未被根证书库信任会导致浏览器提示不受信任）15.B（MAC适用于机密信息强制访问控制）16.A（勒索软件流程：扫描→植入→加密→赎金）17.B（SELinux的核心是强制访问控制）18.B（WPA3引入SAE防止离线字典攻击）19.C（数据脱敏解决共享时的隐私泄露）20.B（渗透测试的目标是发现安全漏洞）二、填空题1.1922.可用性3.224.非对称（或公钥）5.勒索软件（或间谍软件）6.应用层网关（或代理）7.地址空间布局随机化（ASLR）或数据执行保护（DEP）8.SQL注入9.WEP10.区块链（或BC）三、简答题1.最小权限原则：指用户或进程仅被授予完成任务所需的最小权限，避免过度授权导致的安全风险。应用示例：在Windows系统中，普通用户账户默认无安装软件的权限（需管理员权限），仅能访问个人文档；管理员账户虽拥有最高权限，但日常操作应使用普通账户，仅在必要时切换，降低恶意软件利用管理员权限破坏系统的风险。2.区别：功能定位：IDS（入侵检测系统）负责监控和检测异常行为，生成警报但不主动干预；IPS（入侵防御系统）在检测到攻击时主动阻断流量。部署方式：IDS通常旁路部署（镜像流量分析），不影响网络性能；IPS需串联在网络路径中，直接处理流量。应用场景：IDS适用于需要审计和日志分析的场景（如合规性检查）；IPS适用于需要实时防护的关键网络节点（如服务器入口）。3.TLS握手步骤：①客户端发送“ClientHello”（支持的TLS版本、加密套件列表等）；②服务器响应“ServerHello”（选定的加密套件），并发送服务器证书；③客户端验证证书（确认服务器身份），生成随机数并使用服务器公钥加密（预主密钥）发送给服务器；④双方基于预主密钥生成会话密钥；⑤客户端和服务器发送“Finished”消息，使用会话密钥加密，验证握手过程的完整性；身份认证：通过服务器证书（CA签名）验证服务器身份；可选客户端证书验证客户端身份。会话密钥协商：通过非对称加密传输预主密钥，双方计算生成仅本次会话有效的对称密钥，确保密钥安全性。4.常见Web安全漏洞及防护：SQL注入：危害是未授权访问/修改数据库；防护措施包括使用预编译语句（PreparedStatement）、输入参数校验。XSS（跨站脚本）：危害是窃取用户Cookie或劫持会话；防护措施包括对用户输入进行HTML转义、启用CSP（内容安全策略）。CSRF（跨站请求伪造）：危害是诱导用户执行非自愿操作（如转账）；防护措施包括验证Referer头、使用CSRF令牌（Token）。5.数据加密与脱敏的区别：加密：通过算法将明文转换为密文，需密钥解密恢复原文；用于保护传输或存储中的机密性（如支付交易传输时用TLS加密）。脱敏：对敏感数据进行变形（如替换、截断），无法恢复原文；用于数据共享场景（如医疗数据共享给研究机构时，将真实姓名替换为“患者A”）。示例：支付交易传输时，使用TLS加密保障传输过程机密性（加密）；医院将患者数据提供给统计机构时，将手机号脱敏为“1381234”（脱敏）。四、综合题1.零信任架构方案设计：核心组件及功能：身份认证中心（IAM）：集中管理用户、设备、应用的身份信息，支持多因素认证（MFA，如密码+短信验证码+硬件令牌），验证访问请求的身份合法性。设备状态检测系统：扫描接入设备的安全状态（如是否安装最新补丁、是否运行杀毒软件、是否为企业注册设备），仅允许符合安全策略的设备访问资源。动态访问控制引擎：基于上下文（身份、设备状态、位置、时间、请求资源类型）实时计算访问权限，例如：员工A在办公时间使用公司笔记本访问财务系统时允许访问，非办公时间或使用未注册手机时拒绝。微隔离网关：在内部网络中划分逻辑区域（如财务区、研发区），仅允许授权流量跨区域传输，防止横向渗透；例如，研发服务器仅允许研发人员的设备访问，财务服务器仅允许财务角色的用户访问。日志与审计系统：记录所有访问请求的上下文、授权结果及操作行为，用于事后审计和攻击溯源；例如，记录用户B在14:30使用设备D访问人力资源系统的具体操作（查询/修改）。协作方式：用户发起访问请求→IAM验证身份→设备检测系统评估设备安全状态→访问控制引擎结合上下文生成权限策略→微隔离网关根据策略放行或阻断流量→日志系统记录全流程。2.电商平台SQL注入攻击应急响应流程：①事件检测：监控系统（如WAF、数据库审计工具）触发警报（如异常SQL查询、大量数据读取）；安全团队人工确认（检查数据库日志，发现包含“UNIONSELECT”“EXEC”等可疑关键字的请求）。②事件分析：定位漏洞点：检查Web应用代码，发现用户登录接口未对用户名参数进行输入过滤（如直接拼接SQL语句：“SELECTFROMusersWHEREusern