2025年大学《信息与计算科学》专业题库-信息与计算科学的信息安全技术

2025年大学《信息与计算科学》专业题库——信息与计算科学的信息安全技术考试时间：______分钟总分：______分姓名：______一、选择题（每题2分，共20分。请将正确选项的字母填在题干后的括号内）1.下列哪个不是信息安全的基本属性？（）A.保密性B.完整性C.可用性D.可管理性2.在密码学中，一次性密码本（One-TimePad,OTP）被认为是理论上无法破解的加密方法，其关键条件是（）。A.密钥是随机生成的且长度等于明文B.密钥是公开的C.密钥是不可预测的D.明文是压缩过的3.以下哪种攻击属于被动攻击？（）A.数据篡改B.拒绝服务攻击C.通信窃听D.植入恶意软件4.数字签名主要利用非对称密码算法实现，其核心功能不包括（）。A.保障信息来源的真实性B.确保信息内容的完整性C.实现数据的机密性D.防止发送者否认发送行为5.防火墙的主要工作原理是基于（）。A.人工智能分析B.安全协议C.网络地址和端口过滤D.心理防御机制6.以下关于SQL注入攻击的描述，错误的是（）。A.利用应用程序对用户输入验证不严的漏洞B.可以直接执行恶意SQL语句C.主要目的是获取数据库管理员权限D.可以通过修改浏览器缓存来绕过7.在操作系统中，实现用户身份识别和权限控制的核心机制是（）。A.加密算法B.访问控制列表（ACL）C.网络协议D.虚拟内存管理8.以下哪项技术主要用于检测网络流量中的异常行为和已知攻击特征？（）A.防火墙B.入侵检测系统（IDS）C.加密隧道D.安全审计9.WPA3协议相比WPA2的主要安全增强体现在（）。A.提供了更强的密码学算法B.改进了PSK（预共享密钥）的安全性C.增加了更复杂的网络拓扑支持D.提高了无线网络的传输速率10.云计算环境下的主要安全挑战之一是（）。A.硬件故障率增加B.数据隔离和访问控制复杂性C.电力消耗过大D.操作系统种类过多二、填空题（每空2分，共20分。请将正确答案填在横线上）1.信息安全的基本属性通常概括为_保密性_、_完整性_和_可用性_。2.对称加密算法中，发送方和接收方使用相同密钥进行加密和解密，常见的算法有_DES_和_3DES_。3.非对称加密算法使用一对密钥，即公钥和私钥，公钥可以公开，私钥必须保密，常见的算法有_RSA_和_ECC_。4.网络攻击可以分为被动攻击（如_窃听_）和主动攻击（如_篡改_、_伪造_）。5.防火墙可以工作在_网络层_、_传输层_、_应用层_等多个网络层。6.为了防止网络数据被窃听，可以采用_加密_技术。7.在Web应用安全中，_跨站脚本攻击（XSS）_和_跨站请求伪造（CSRF）_是常见的漏洞类型。8.操作系统的安全机制包括身份认证、_访问控制_、安全审计等。9.VPN（虚拟专用网络）通过使用公用网络构建专用网络，主要解决_远程访问_和_站点到站点连接_的安全问题。10.量子计算的发展对传统密码体系（如RSA、ECC）构成了_威胁_。三、简答题（每题5分，共20分）1.简述对称加密和非对称加密的主要区别。2.简述防火墙和入侵检测系统（IDS）的主要区别和作用。3.简述Web应用中SQL注入攻击的基本原理及其危害。4.简述操作系统实现访问控制的基本方法。四、论述题（每题10分，共20分）1.论述信息安全策略在组织信息安全保障体系中的重要性及其主要内容。2.结合实际，论述当前网络安全领域面临的主要挑战以及相应的应对思路。五、分析题（每题10分，共20分）1.假设一个公司内部网络与外部互联网通过一台防火墙进行隔离。公司员工需要从外部访问公司内部的Web服务器（IP地址为192.168.1.100）。请分析至少两种实现该访问需求的安全技术方案，并简述各自的工作原理和安全considerations。2.某用户在使用网上银行时，收到了一个声称来自银行的邮件，要求点击链接更新账户信息，并提示需要输入用户名和密码。请分析该邮件可能存在的安全风险（如钓鱼攻击），并说明用户应该如何防范。---试卷答案一、选择题1.D2.A3.C4.C5.C6.D7.B8.B9.B10.B二、填空题1.保密性完整性可用性2.DES3DES3.RSAECC4.窃听篡改伪造5.网络层传输层应用层6.加密7.跨站脚本攻击（XSS）跨站请求伪造（CSRF）8.访问控制9.远程访问站点到站点连接10.威胁三、简答题1.解析思路：对称加密使用同一密钥加密和解密，密钥分发简单，效率高，但密钥共享和管理困难。非对称加密使用公钥加密、私钥解密或私钥加密、公钥解密，解决了密钥分发问题，安全性更高，但计算开销大，效率相对较低。核心区别在于密钥的使用方式（单钥vs双钥）及其带来的效率和安全性的不同。2.解析思路：防火墙主要基于预设规则（如IP地址、端口）过滤网络流量，阻止未经授权的访问，是网络层面的边界防护设备。IDS主要监控网络流量或系统日志，检测异常行为或已知攻击模式，并发出警报，通常是探测性的内部或外部监控。防火墙是“阻拦”，IDS是“发现”。3.解析思路：SQL注入攻击利用Web应用未对用户输入进行充分验证和过滤，将恶意SQL代码片段嵌入到用户输入中，使得应用程序执行了非法的SQL查询。危害可能包括数据库数据泄露、篡改、删除，甚至获得数据库或服务器权限，造成严重的安全事件。4.解析思路：操作系统实现访问控制主要通过身份认证（验证用户身份）和授权（根据用户身份确定其可访问的资源及操作权限）。常见的机制包括用户账户和密码、令牌、生物识别等用于认证；访问控制列表（ACL）、权限位（如Unix的rwx）、角色基访问控制（RBAC）等用于授权。四、论述题1.解析思路：重要性：信息安全策略是组织信息安全工作的指导纲领和行动准则，明确了安全目标、范围、责任、要求和措施，是保障信息系统安全有序运行的基础。内容应包括安全目标、安全组织、资产管理、访问控制、人力资源安全、物理与环境安全、通信与操作管理、开发与维护管理、应急响应、业务连续性、合规性等方面。论述需覆盖策略的定义、必要性，并系统性地列举其主要构成要素。2.解析思路：挑战：面临攻击手段不断演变（如APT攻击、勒索软件、物联网攻击）、攻击面持续扩大（云、移动、IoT）、数据价值提升导致数据泄露影响加剧、安全人才短缺、安全意识普遍不足、安全法规遵从要求提高等挑战。应对思路：需要采取综合防御策略，包括技术层面（部署先进的安全防护体系如EDR、SASE）、管理层面（完善安全策略流程、加强安全培训）、意识层面（提升全员安全意识）、情报层面（利用威胁情报）、合规层面（满足法规要求）、持续改进层面（定期评估和优化）等，构建主动、自适应的安全防护体系。五、分析题1.解析思路：方案一：VPN（虚拟专用网络）。原理：在外部用户和公司内部网络之间建立加密的隧道，通过公用网络（如互联网）安全传输数据。用户首先通过VPN客户端连接到公司VPN网关，建立加密通道后，再访问内部Web服务器。安全considerations：需确保VPN协议的安全性（如使用IPsec或OpenVPN），用户身份认证需严格（如用户名密码、证书），防止VPN隧道被窃听或中间人攻击。方案二：反向代理。原理：在外部用户和内部Web服务器之间部署反向代理服务器。用户向反向代理发送请求，反向代理验证用户身份和请求合法性后，再从内部Web服务器获取数据并返回给用户。安全considerations：反向代理可以隐藏内部服务器IP，提供一层额外防护，并能过滤恶意请求。需配置好访问控制规则，确保只有授权用户能访问内部资源，并关注反向代理本身的安全漏洞。2.解析思路：风险：该邮件极可能是钓鱼攻击（PhishingAttack）。原理：攻击者伪造银行官方邮件，模拟银行的专