2025年大学《信息与计算科学》专业题库-信息与计算科学专业安全风险

2025年大学《信息与计算科学》专业题库——信息与计算科学专业安全风险考试时间：______分钟总分：______分姓名：______一、选择题（请将正确选项前的字母填在括号内）1.以下哪一项不属于操作风险在信息与计算科学领域的典型表现？A.软件开发过程中的安全编码失误B.数据库管理员密码泄露C.硬件设备因自然灾害而损坏D.内部人员利用权限进行未授权操作2.导致SQL注入漏洞的主要原因是？A.系统资源不足B.网络带宽过低C.用户输入验证不足，使得恶意SQL代码被执行D.操作系统存在内核漏洞3.在信息安全防护体系中，“纵深防御”策略的核心思想是？A.集中所有安全资源于单点防御B.在网络边界设置重重关卡，层层拦截威胁C.仅依赖防火墙进行安全防护D.限制用户访问权限以降低风险4.以下哪种加密方式属于对称加密？A.RSAB.ECCC.DESD.SHA-2565.社会工程学攻击主要利用的是？A.系统软件漏洞B.人为的疏忽和心理弱点C.硬件设备缺陷D.网络配置错误6.对于需要高保密性且需要频繁修改密钥的场景，通常推荐使用？A.对称加密算法B.非对称加密算法C.哈希函数D.混合加密模式7.以下哪项技术主要用于检测网络流量中的异常行为，以发现潜在的入侵？A.防火墙(Firewall)B.入侵检测系统(IDS)C.威胁情报平台(TIP)D.安全信息和事件管理(SIEM)8.云计算环境中，数据安全面临的主要风险之一是？A.物理服务器故障率增加B.数据在传输过程中易被窃听C.多租户环境下的数据隔离问题D.云服务提供商的API接口不安全9.在密码学中，利用数学难题（如大整数分解）来保证密码强度的是？A.哈希碰撞B.密钥协商C.基于问题的密码体制D.量子密码10.为确保只有授权用户才能访问特定资源，常用的访问控制模型是？A.网状模型(MIL-STD-2167)B.基于角色的访问控制(RBAC)C.自主访问控制(DAC)D.强制访问控制(MAC)二、填空题（请将答案填写在横线上）1.信息安全的基本属性通常包括保密性、______、可用性和完整性。2.导致系统或网络服务在预定时间内无法正常工作的一种攻击方式称为______攻击。3.在非对称加密中，用于加密信息的密钥称为______，用于解密信息的密钥称为______。4.为了防止用户忘记密码，系统通常采用______技术对密码进行存储。5.物联网(IoT)设备的安全风险主要体现在其资源受限、______以及固件更新困难等方面。6.安全事件响应流程通常包括准备、检测、分析、______、恢复和事后总结等阶段。7.常用的安全审计方法包括日志审计、______审计和人工审计等。8.人工智能在信息安全领域的应用包括恶意软件检测、______和自动化应急响应等。9.网络安全法规定，关键信息基础设施的运营者应当在网络与______之间采取隔离措施。10.计算机程序中的缓冲区溢出漏洞通常是由于没有正确处理用户输入，导致程序尝试向______中写入超出其容量的数据。三、简答题（请简要回答下列问题）1.简述拒绝服务(DoS)攻击的基本原理及其主要类型。2.解释什么是“零信任”安全模型，并简述其核心理念。3.阐述对称加密和非对称加密在实际应用中的主要区别和适用场景。4.简述数据泄露可能带来的主要风险和影响。5.结合信息与计算科学的专业特点，谈谈如何理解“计算科学在安全风险分析与防护中的作用”。四、论述题（请就下列问题展开论述）1.选择一个具体的软件应用场景（如Web银行系统、在线购物平台、社交媒体应用），分析其可能面临的主要安全风险（至少列举5种），并针对每种风险提出相应的、具有合理性的防护措施建议。在论述中，可以结合具体的计算科学原理或技术进行说明。2.结合当前云计算技术的广泛应用趋势，深入探讨云计算环境下数据安全面临的核心挑战，并分析现有技术和策略在应对这些挑战方面的有效性及局限性。同时，可以思考信息与计算科学专业人才在推动云计算安全发展方面可以发挥的作用。试卷答案一、选择题1.C2.C3.B4.C5.B6.D7.B8.C9.C10.B二、填空题1.完整性2.拒绝服务3.公钥，私钥4.哈希5.安全防护能力弱（或易受攻击）6.减轻（或遏制）7.人工8.安全态势感知（或威胁狩猎）9.重要数据10.缓冲区（或内存）三、简答题1.解析思路：首先定义DoS攻击的目的（使目标服务或网络不可用）。然后解释基本原理（大量合法或非法请求耗尽目标资源）。接着分类，列举主要类型如：消耗带宽型（如SYNFlood）、消耗资源型（如UDPFlood、ICMPFlood）、应用层攻击（如Slowloris、CC攻击）。2.解析思路：定义零信任模型（NeverTrust,AlwaysVerify）。阐述核心理念（不信任网络内部或外部的任何用户/设备，每次访问都需要进行身份验证和授权检查），强调“最小权限”原则和基于属性的访问控制。3.解析思路：对称加密：特点（密钥相同、算法公开、效率高），适用场景（大量数据加密、需要高效加密解密通信）。非对称加密：特点（密钥成对、公私钥分发、安全性高），适用场景（密钥分发、数字签名、小数据量加密）。关键区别在于密钥的使用方式和效率。4.解析思路：风险与影响：数据泄露可能导致敏感信息（个人隐私、商业秘密）被非法获取，引发身份盗窃、金融诈骗、声誉受损、法律诉讼、经济损失等。强调泄露的严重性和广泛性。5.解析思路：结合专业特点：计算科学提供理论基础和技术手段。如：算法用于设计高效安全的加密解密方案、安全协议；密码学是安全基石；数据结构与数据库技术用于安全存储与管理；操作系统原理用于访问控制与权限管理；网络协议分析技术用于入侵检测；形式化方法用于安全模型验证；计算复杂性理论用于评估安全问题的难度等。说明计算科学是解决安全风险的技术支撑。四、论述题1.解析思路：*选择场景：明确选择一个具体场景，如Web银行系统。*分析风险：*网络层风险：DDoS攻击（拒绝服务），使银行服务不可用。*应用层风险：SQL注入（攻击数据库）、跨站脚本XSS（窃取用户信息或进行钓鱼）、跨站请求伪造CSRF（未授权操作）。*身份认证风险：用户名密码泄露（撞库、字典攻击）、会话管理缺陷（会话固定、会话超时太短）。*数据传输/存储风险：数据在传输过程中被窃听（未使用HTTPS）、数据库存储未加密或加密强度不够。*内部风险：内部人员权限滥用、恶意代码植入。*提出措施：*针对DDoS：使用CDN、流量清洗服务、配置防火墙和ACL。*针对SQL注入/XSS/CSRF：输入验证与过滤、使用预编译语句（防SQL注入）、内容安全策略(CSP)（防XSS）、实施同源策略和CSRF令牌。*针对身份认证：强密码策略、多因素认证(MFA)、安全的会话管理（HTTPS、合理的会话超时、会话固定保护）。*针对数据：使用TLS/SSL加密传输、数据库敏感数据加密存储。*针对内部：最小权限原则、内部网络隔离、安全审计、员工安全意识培训。*结合计算科学：可以提及使用密码学算法（如AES）进行数据加密，使用安全的随机数生成器进行令牌生成，使用图论或复杂度理论分析攻击复杂度，使用形式化方法验证协议安全性，使用机器学习算法进行异常行为检测等。2.解析思路：*阐述云安全挑战：*数据所有权与控制权：数据存储在云上，用户对数据的物理控制减弱，依赖云服务商的安全能力。*多租户隔离：不同租户之间的数据和资源隔离可能存在漏洞，一个租户的故障可能影响其他租户。*配置管理复杂性：云资源配置错误（如开放过多权限）是常见的安全风险。*API安全：云服务通过API暴露，API接口的安全至关重要。*共享责任模型模糊：用户和云服务商的安全责任边界不清，可能导致安全责任缺失。*合规性要求：满足不同地区的法律法规（如GDPR、网络安全法）要求复杂。*分析现有技术与策略有效性及局限性：*技术：云访问安全代理(CASB)、云安全配置管理(CSCM)、身份与访问管理(IAM)、数据丢失防护(DLP)、安全信息和事件管理(SIEM)等技术有所帮助，但可能存在成本高、集成复杂、效果依赖于配置等问题。现有技术可能在应对新型云原生攻击（如容器安全、Serverless安全）方面仍有局限性。*