信息安全概论习题及答案

信息安全概论习题及答案一、单项选择题（每题2分，共20分）1.信息安全的核心目标“CIA三元组”不包括以下哪项？A.保密性（Confidentiality）B.完整性（Integrity）C.可控性（Controllability）D.可用性（Availability）2.以下哪种攻击方式属于被动攻击？A.DDoS攻击B.网络监听C.SQL注入D.缓冲区溢出3.对称加密算法AES的密钥长度不包括？A.128位B.192位C.256位D.512位4.以下哪项是基于角色的访问控制（RBAC）的典型特征？A.每个用户直接关联权限B.权限与角色绑定，用户通过角色获得权限C.系统强制分配安全标签D.权限由资源所有者自主分配5.数字签名的核心作用是？A.保证数据加密B.验证发送方身份和数据完整性C.实现密钥交换D.防止重放攻击6.以下哪种协议用于实现IP层的安全通信？A.HTTPSB.SSL/TLSC.IPSecD.SSH7.缓冲区溢出攻击的本质是？A.利用操作系统漏洞耗尽资源B.向内存缓冲区写入超出其容量的数据，覆盖关键指令C.通过网络洪水攻击阻塞带宽D.篡改数据库查询语句获取敏感数据8.WPA3相对于WPA2的主要改进是？A.支持WEP协议B.引入SAE（安全平等认证）防止离线字典攻击C.仅使用TKIP加密D.降低加密算法强度以提高速度9.以下哪种哈希函数已被证明存在碰撞漏洞，不建议使用？A.SHA256B.SHA3C.MD5D.SHA51210.操作系统安全中，“最小权限原则”指的是？A.用户仅获得完成任务所需的最低权限B.系统默认关闭所有权限C.管理员拥有最高权限D.权限按用户等级线性分配二、多项选择题（每题3分，共15分，少选、错选均不得分）1.信息安全的基本属性包括（）A.保密性B.完整性C.可用性D.不可否认性2.以下属于网络层安全技术的有（）A.防火墙B.IPSecC.VPND.入侵检测系统（IDS）3.非对称加密算法的典型应用场景包括（）A.数字签名B.密钥交换C.大规模数据加密D.哈希值计算4.常见的Web应用安全威胁包括（）A.XSS（跨站脚本攻击）B.CSRF（跨站请求伪造）C.DDoSD.弱口令爆破5.数据脱敏的常用技术包括（）A.替换（如将真实姓名替换为“用户A”）B.加密（如对身份证号进行AES加密）C.截断（如只保留手机号前3位和后4位）D.乱序（如打乱地址字段的顺序）三、判断题（每题1分，共10分，正确填“√”，错误填“×”）1.信息安全是一个动态过程，需要持续维护而非一次性部署。（）2.对称加密的密钥分发比非对称加密更安全。（）3.防火墙可以完全阻止内部网络的恶意攻击。（）4.哈希函数的输入长度可变，但输出长度固定。（）5.强制访问控制（MAC）中，用户无法修改资源的安全标签。（）6.漏洞扫描工具可以自动修复系统漏洞。（）7.钓鱼邮件攻击属于社会工程学攻击的一种。（）8.量子计算可能对RSA等公钥加密算法构成威胁。（）9.数据备份的“321原则”指3份备份、2种介质、1份异地存储。（）10.零信任架构的核心是“永不信任，始终验证”。（）四、简答题（每题6分，共30分）1.简述DES与AES算法的主要区别（至少列出3点）。2.说明SSL/TLS协议的工作流程（需包含握手阶段的关键步骤）。3.访问控制的三要素是什么？并分别解释其含义。4.缓冲区溢出攻击的原理是什么？列举至少3种防范措施。5.什么是数字签名？其实现需要依赖哪些密码学技术？五、综合分析题（每题15分，共25分）1.某企业计划构建内部办公网络，需满足以下需求：员工通过公司WiFi接入内网，需防止非授权设备接入；财务部门服务器存储敏感数据，需限制仅财务人员访问；防范外部网络的恶意扫描和攻击。请设计一套综合安全方案（需涵盖网络接入控制、访问控制、边界防护等层面）。2.分析SQL注入攻击的原理，并结合具体示例说明如何防范（要求包含代码层面的防御措施）。参考答案一、单项选择题1.C（CIA三元组为保密性、完整性、可用性）2.B（被动攻击主要是监听、截获数据，不修改数据；主动攻击包括篡改、伪造等）3.D（AES支持128/192/256位密钥）4.B（RBAC通过角色关联权限，降低权限管理复杂度）5.B（数字签名用于验证发送方身份和数据未被篡改）6.C（IPSec工作在IP层，提供加密和认证）7.B（缓冲区溢出通过覆盖栈空间改写返回地址，执行恶意代码）8.B（WPA3的SAE机制防止离线字典攻击，取代WPA2的PSK）9.C（MD5已被证明易碰撞，SHA2/SHA3为当前推荐）10.A（最小权限原则要求用户仅获得完成任务所需的最低权限）二、多项选择题1.ABCD（信息安全属性还包括真实性、不可否认性等）2.BC（IPSec和VPN工作在网络层；防火墙多为网络层/应用层，IDS为检测工具）3.AB（非对称加密计算慢，适合小数据加密或密钥交换；数字签名是核心应用）4.ABD（DDoS是网络层攻击，非Web应用特有威胁）5.ABC（乱序可能无法保证数据可用性，非典型脱敏技术）三、判断题1.√（信息安全需持续更新策略和补丁）2.×（对称加密需安全分发密钥，非对称可通过公钥解决分发问题）3.×（防火墙无法防御内部人员的恶意操作或已渗透的攻击）4.√（哈希函数输出固定长度，如SHA256输出256位）5.√（MAC由系统强制分配标签，用户无修改权限）6.×（漏洞扫描仅检测漏洞，修复需人工或补丁管理系统）7.√（钓鱼邮件通过欺骗用户获取信息，属于社会工程学）8.√（量子计算可破解基于大整数分解的RSA算法）9.√（321原则是备份的经典策略）10.√（零信任要求所有访问均需验证身份和设备安全状态）四、简答题1.DES与AES的区别：密钥长度：DES为56位（实际有效56位），AES支持128/192/256位；分组长度：DES分组64位，AES分组128位；安全性：DES因密钥过短易被暴力破解（如“深网”攻击），AES是当前公认安全的对称加密标准；算法结构：DES基于Feistel网络，AES基于SP网络（替代置换网络）。2.SSL/TLS工作流程：客户端发起连接，发送支持的协议版本、加密算法列表；服务器选择算法，返回证书（含公钥）；客户端验证证书有效性，生成随机数（预主密钥），用服务器公钥加密后发送；双方基于预主密钥生成会话密钥（主密钥→会话密钥）；客户端和服务器通过会话密钥加密通信，完成握手。3.访问控制三要素：主体（Subject）：提出访问请求的实体（如用户、进程）；客体（Object）：被访问的资源（如文件、数据库）；控制策略（Policy）：决定主体能否访问客体的规则（如“财务人员可访问薪资表”）。4.缓冲区溢出原理及防范：原理：程序未检查输入数据长度，向缓冲区写入超出容量的数据，覆盖栈中的返回地址或函数指针，导致执行恶意代码。防范措施：使用安全编程语言（如Java自动管理内存）、开启栈保护（如GCC的Canary技术）、启用地址空间随机化（ASLR）、输入长度校验。5.数字签名及依赖技术：数字签名是附加在数据上的一串代码，用于验证数据来源和完整性。依赖技术：非对称加密（用私钥签名，公钥验证）、哈希函数（对数据计算哈希值，仅签名哈希值以提高效率）。五、综合分析题1.企业网络安全方案设计：网络接入控制：部署WPA3企业级认证（如802.1X），要求员工使用域账号+动态验证码接入WiFi；启用MAC地址白名单，仅允许注册设备连接。访问控制：对财务服务器采用基于角色的访问控制（RBAC），为财务人员分配“财务访问”角色，关联服务器读写权限；设置最小权限原则，限制非财务人员仅能读取公共文档。边界防护：部署下一代防火墙（NGFW），开启入侵防御系统（IPS）检测恶意扫描（如SQL注入特征、端口扫描）；在DMZ区部署Web应用防火墙（WAF）保护内部Web服务；定期更新防火墙规则，阻断已知攻击IP。附加措施：启用网络审计，记录所有接入和访问行为；对财务数据进行加密存储（如AES256），重要数据定期备份至离线存储设备。2.SQL注入攻击原理与防范：原理：攻击者将恶意SQL代码插入用户输入字段，欺骗服务器执行非预期的SQL命令。例如，用户登录接口接收“用户名=admin'&密码=任意值”，其中“'”注释掉后续代码，使SQL变为“SELECTFROMusersWHEREusername='admin'”，无需密码即可登录。防范措施：代码层面：