复旦大学安全考试题库及答案解析

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页复旦大学安全考试题库及答案解析（含答案及解析）姓名：科室/部门/班级：得分：题型单选题多选题判断题填空题简答题案例分析题总分得分一、单选题（共20分）

1.在进行企业级网络安全风险评估时，优先级最高的风险通常是：

（）A.数据泄露

B.系统宕机

C.恶意软件感染

D.员工操作失误

2.以下哪种加密算法属于对称加密：

（）A.RSA

B.AES

C.ECC

D.SHA-256

3.根据中国《网络安全法》规定，关键信息基础设施运营者应当在哪些情况下立即采取补救措施？

（）A.系统故障导致部分服务中断

B.服务器负载过高

C.发现系统存在高危漏洞但未影响运行

D.用户密码泄露但未造成实际损失

4.网络安全事件响应流程中，哪个阶段是首要任务？

（）A.事后总结

B.证据收集

C.停机隔离

D.责任认定

5.以下哪种安全协议主要用于保护远程登录会话？

（）A.FTP

B.TLS

C.SNMP

D.SMTP

6.在进行渗透测试时，扫描目标系统端口的主要目的是：

（）A.列出所有开放端口

B.确定操作系统版本

C.发现潜在攻击入口

D.计算系统防火墙等级

7.根据等保2.0要求，三级等保系统的核心需求不包括：

（）A.定期进行安全测评

B.实施多因素认证

C.建立7×24小时安全监控

D.部署AI威胁检测系统

8.哪种安全防御机制属于“纵深防御”策略的核心组成部分？

（）A.单点登录系统

B.安全信息和事件管理（SIEM）

C.VPN网关

D.终端准入控制（TACACS）

9.在处理勒索病毒事件时，以下哪种做法最不恰当？

（）A.立即断开受感染主机

B.寻求专业机构解密

C.恢复备份系统

D.支付赎金并尝试解密

10.根据OWASPTop10，以下哪种攻击方式风险最高？

（）A.跨站脚本（XSS）

B.跨站请求伪造（CSRF）

C.SQL注入

D.密码泄露

11.企业内部防火墙通常采用哪种访问控制模型？

（）A.基于角色的访问控制（RBAC）

B.自主访问控制（DAC）

C.强制访问控制（MAC）

D.基于属性的访问控制（ABAC）

12.根据GDPR法规，数据主体享有的“被遗忘权”主要指：

（）A.删除其社交媒体账号

B.要求企业删除其个人数据

C.更改其公开头像

D.拒绝接受精准广告推送

13.以下哪种安全工具主要用于检测网络流量异常？

（）A.防火墙

B.入侵检测系统（IDS）

C.数据丢失防护（DLP）

D.威胁情报平台

14.在配置VPN时，使用IPSec协议的主要优势是：

（）A.免费开源

B.支持多协议传输

C.低延迟特性

D.高安全性保障

15.根据中国《数据安全法》，以下哪种情况属于“数据处理活动”？

（）A.数据采集

B.数据存储

C.数据共享

D.以上都是

16.在进行漏洞扫描时，发现CVE-2021-34527漏洞属于哪个严重等级？

（）A.严重（Critical）

B.中（Medium）

C.低（Low）

D.信息（Informational）

17.根据零信任架构原则，以下哪种说法最符合其核心理念？

（）A.默认信任内部用户

B.仅需验证一次即可长期授权

C.所有访问请求需持续验证

D.优先保护数据中心区域

18.在处理DDoS攻击时，以下哪种防御方式最有效？

（）A.关闭所有非必要端口

B.使用云清洗服务

C.提高服务器带宽

D.修改网站DNS记录

19.根据ISO27001标准，信息安全方针应由企业哪个层级批准？

（）A.部门主管

B.IT经理

C.总经理

D.董事会

20.在进行安全意识培训时，以下哪种场景最易引发员工误操作？

（）A.正常业务操作

B.紧急事件处理

C.收到陌生邮件

D.参与系统升级

二、多选题（共15分，多选、错选均不得分）

21.企业网络安全管理体系应至少包含哪些要素？

（）A.安全策略

B.风险评估

C.应急预案

D.员工培训

E.设备清单

22.根据网络安全等级保护制度，二级系统的安全建设要求包括：

（）A.具备安全审计功能

B.实施网络区域隔离

C.部署入侵防御系统

D.建立数据备份机制

E.使用静态口令

23.以下哪些属于常见的网络攻击手段？

（）A.暴力破解

B.社会工程学

C.隧道攻击

D.物理入侵

E.代码注入

24.在配置VPN时，需要关注的协议包括：

（）A.IKEv2

B.OpenVPN

C.SSL/TLS

D.PPTP

E.SSH

25.根据中国《个人信息保护法》，以下哪些属于敏感个人信息？

（）A.生物识别信息

B.行踪轨迹信息

C.财务账户信息

D.个人身份标识

E.电子邮箱地址

26.在进行安全事件分析时，需要收集哪些关键信息？

（）A.攻击时间

B.受影响范围

C.损失金额

D.攻击工具链

E.防御措施有效性

27.根据零信任架构原则，以下哪些措施属于其核心实践？

（）A.微隔离

B.持续身份验证

C.最小权限原则

D.账户多因素认证

E.静态口令管理

28.在处理勒索病毒事件时，以下哪些属于关键应对措施？

（）A.立即隔离受感染主机

B.评估数据备份完整性

C.寻求执法部门协助

D.使用第三方解密工具

E.公开攻击者联系方式

29.根据等保2.0要求，三级等保系统需满足哪些物理安全要求？

（）A.安装视频监控系统

B.实施门禁管理

C.建立电磁屏蔽措施

D.防火墙部署

E.定期进行环境检测

30.在进行安全意识培训时，以下哪些场景最易引发员工误操作？

（）A.收到钓鱼邮件

B.使用公共Wi-Fi

C.处理敏感文件

D.执行系统命令

E.参与视频会议

三、判断题（共10分，每题0.5分）

31.网络安全法规定，关键信息基础设施运营者应当实行网络安全等级保护制度。（√）

32.防火墙可以完全阻止所有网络攻击。（×）

33.对称加密算法的密钥分发比非对称加密更安全。（√）

34.社会工程学攻击不属于技术入侵手段。（×）

35.VPN可以完全隐藏用户的真实IP地址。（×）

36.数据备份属于网络安全事件响应的补救措施。（√）

37.零信任架构的核心是“从不信任，始终验证”。（√）

38.勒索病毒可以完全通过杀毒软件清除。（×）

39.中国《个人信息保护法》规定，个人信息处理者必须获得个人同意。（√）

40.网络安全等级保护制度适用于所有中国境内的信息系统。（√）

四、填空题（共10空，每空1分，共10分）

41.网络安全事件响应流程通常包括：准备阶段、______阶段、______阶段和总结阶段。

42.根据中国《网络安全法》，网络运营者应当采取______、______等技术措施，保障网络安全。

43.OWASPTop10中，风险最高的攻击类型是______，其典型特征是利用用户对网站的信任进行攻击。

44.零信任架构的核心原则是______、______和______。

45.根据ISO27001标准，信息安全管理体系的核心要素是______、______和______。

46.企业进行网络安全风险评估时，常用的评估方法包括______和______。

47.在处理勒索病毒事件时，首先需要采取的措施是______，然后评估______。

48.根据中国《数据安全法》，数据处理活动包括数据的______、______、______等。

49.VPN协议中，______和______是常用的两种加密协议。

50.网络安全意识培训的主要目的是提高员工的______和______能力。

五、简答题（共25分，每题5分）

51.简述网络安全风险评估的主要步骤。

52.说明企业如何建立有效的安全意识培训体系。

53.解释什么是“纵深防御”策略，并举例说明其在企业网络中的体现。

54.简述零信任架构的核心原则及其对企业安全管理的意义。

55.针对企业云环境，列举至少三种常见的云安全风险及应对措施。

六、案例分析题（共25分）

某制造企业近期发现内部网络遭受勒索病毒攻击，导致部分生产系统瘫痪，存储在服务器上的客户数据被加密。安全团队立即启动应急响应流程，发现攻击者通过员工邮箱附件传播病毒，且部分服务器未及时更新补丁。请回答：

（1）分析该案例中的核心安全漏洞及攻击路径。（10分）

（2）提出至少三种针对性的改进措施，并说明其依据。（10分）

（3）总结该事件对企业安全管理的启示。（5分）

一、单选题

1.A

解析：数据泄露属于网络安全事件中最常见的严重后果，可能导致企业面临巨额赔偿、声誉受损甚至业务中断，因此优先级最高。B选项的系统宕机虽然严重，但通常可恢复；C选项的恶意软件感染需结合具体危害程度判断；D选项的员工操作失误属于人为风险，但可通过规范降低概率。

2.B

解析：AES（高级加密标准）是最常用的对称加密算法，具有高效、安全的特性。RSA、ECC属于非对称加密，SHA-256是哈希算法。

3.C

解析：根据《网络安全法》第34条，关键信息基础设施运营者在发现重大安全风险时必须立即采取补救措施，高危漏洞未影响运行仍属于风险状态。

4.C

解析：网络安全事件响应流程的第一阶段是“准备阶段”，但首要的立即行动是停机隔离，防止损害扩大。后续才是证据收集、分析等步骤。

5.B

解析：TLS（传输层安全协议）用于加密HTTP通信，常用于HTTPS网站，可有效保护远程登录会话。FTP是明文传输协议；SNMP主要用于网络设备管理；SMTP是邮件传输协议。

6.C

解析：渗透测试中扫描端口的主要目的是发现系统开放的服务及潜在攻击入口，为后续漏洞利用做准备。A选项只是第一步；B选项是信息收集；D选项与漏洞发现无直接关系。

7.D

解析：三级等保的核心要求包括安全策略、技术防护、应急响应等，但AI威胁检测系统属于可选的高级功能，并非必须。

8.B

解析：SIEM（安全信息和事件管理）通过集中收集和分析安全日志，实现威胁的实时检测和响应，是纵深防御的核心组成部分。其他选项均为单一安全设备或策略。

9.D

解析：支付赎金存在法律风险（可能助长犯罪）且无法保证解密成功，是最不恰当的做法。其他选项均为标准应急措施。

10.C

解析：SQL注入允许攻击者执行恶意SQL命令，可能导致数据篡改、泄露甚至系统崩溃，风险最高。其他选项虽然严重，但影响范围和后果通常较SQL注入更低。

11.B

解析：企业内部防火墙主要采用自主访问控制模型，即资源所有者决定谁可以访问该资源。其他模型更适合特定场景，如RBAC用于多用户环境。

12.B

解析：GDPR第17条规定的“被遗忘权”指个人有权要求删除其个人数据。A选项属于个人权利范畴但非核心；C、D选项属于隐私保护措施。

13.B

解析：IDS（入侵检测系统）通过分析网络流量检测异常行为或攻击特征，与防火墙的阻断功能不同。其他选项分别针对数据保护、情报收集。

14.B

解析：IPSec（互联网协议安全）支持多协议传输（TCP/UDP等），是目前主流的VPN加密协议之一。A选项是开源特性；C选项是性能优势；D选项是安全性。

15.D

解析：根据《数据安全法》第4条，数据处理活动包括采集、存储、处理、传输、删除等全部环节。

16.A

解析：CVE-2021-34527（PrintNightmare）属于严重漏洞，可导致远程代码执行，已被广泛利用。

17.C

解析：零信任核心是“永不信任，始终验证”，持续验证所有访问请求是关键原则。A选项是传统安全模式；B选项是认证机制；D选项是权限控制。

18.B

解析：云清洗服务（DDoSMitigationService）通过专业设备过滤恶意流量，是目前最有效的DDoS防御方式。其他选项效果有限或不可行。

19.D

解析：信息安全方针属于企业最高层级的管理文件，应由董事会或最高决策层批准。

20.C

解析：陌生邮件容易引发员工误操作（如点击钓鱼链接），是安全意识培训的重点场景。其他场景相对可控。

二、多选题

21.ABCD

解析：根据ISO27001和网络安全法要求，安全管理体系应包含策略、评估、预案、培训等要素。E选项仅是资产清单，不构成体系。

22.ABCD

解析：二级等保要求具备安全审计、网络隔离、入侵防护、备份机制等。E选项的静态口令不符合等保要求。

23.ABCE

解析：社会工程学、暴力破解、隧道攻击、代码注入均属于常见攻击手段。D选项的物理入侵属于特定场景攻击。

24.ABC

解析：IKEv2、OpenVPN、SSL/TLS是主流VPN协议。PPTP安全性较低已不推荐使用；SSH主要用于远程命令行。

25.ABCD

解析：根据《个人信息保护法》第4条，生物识别、行踪轨迹、财务账户、身份标识均属于敏感个人信息。E选项属于一般个人信息。

26.ABD

解析：安全事件分析需关注攻击时间、受影响范围、攻击工具链等关键信息。C选项的损失金额属于后续评估；E选项属于响应阶段。

27.ABCD

解析：微隔离、持续身份验证、最小权限原则、多因素认证均是零信任的核心实践。E选项的静态口令管理与其背道而驰。

28.ABCD

解析：隔离主机、评估备份、寻求执法、使用解密工具均是标准措施。E选项可能泄露攻击者信息导致追责困难。

29.AB

解析：二级等保物理安全要求包括视频监控、门禁管理。C选项的电磁屏蔽属于三级要求；D选项防火墙是技术要求；E选项环境检测属于运维。

30.ABC

解析：钓鱼邮件、公共Wi-Fi、处理敏感文件是典型易错场景。D选项的系统命令操作需严格授权；E选项的视频会议若存在漏洞也可能导致风险。

三、判断题

31.√

解析：根据《网络安全法》第28条，关键信息基础设施运营者必须实施等级保护制度。

32.×

解析：防火墙只能根据规则过滤流量，无法阻止所有攻击（如内部威胁、零日漏洞攻击）。

33.√

解析：对称加密算法密钥分发简单，但若管理不善（如密钥存储不安全）反而更易泄露。非对称加密密钥对分发复杂但更安全。

34.×

解析：社会工程学利用人类心理弱点进行攻击，属于广义的网络攻击手段。

35.×

解析：VPN可以隐藏用户访问来源IP，但若运营商或ISP有日志记录，仍可能暴露真实IP。

36.√

解析：数据备份是网络安全事件响应中的关键补救措施，用于恢复受损数据。

37.√

解析：零信任核心原则是“从不信任，始终验证”，强调持续验证所有访问。

38.×

解析：杀毒软件只能清除已知病毒，无法完全清除勒索病毒。需结合系统恢复和文件解密。

39.√

解析：根据《个人信息保护法》第6条，处理个人信息必须取得个人同意（除特殊情况外）。

40.√

解析：网络安全等级保护制度适用于所有在中国境内运营、使用信息系统的组织和个人。

四、填空题

41.分析、响应

解析：标准应急流程包括准备、分析、响应、总结四个阶段。

42.技术措施、管理措施

解析：根据《网络安全法》第21条，网络运营者需采取技术和管理措施保障安全。

43.SQL注入

解析：OWASPTop10中，SQL注入（通常排名第一位）是最常见的数据库攻击类型。

44.永不信任、始终验证、最小权限

解析：零信任核心原则包括不默认信任、持续验证访问权限、实施最小权限控制。

45.风险评估、安全策略、安全控制

解析：ISO27001核心要素包括风险评估框架、信息安全方针及具体控制措施。

46.渗透测试、风险评估

解析：企业常用的安全评估方法包括主动的渗透测试和被动的风险评估。

47.停机隔离、数据备份完整性

解析：应对勒索病毒首选措施是隔离受感染主机，然后立即评估备份可用性。

48.收集、处理、传输

解析：根据《数据安全法》第3条，数据处理活动包括收集、存储、使用、加工、传输等。

49.IPsec、OpenVPN

解析：IPsec和OpenVPN是最常用的VPN加密协议。

50.安全意识、安全技能

解析：安全意识培训旨在提高员工识别和防范安全风险的能力。

五、简答题

51.网络安全风险评估主要步骤：

①资产识别：梳理关键信息资产清单；

②威胁识别：分析可能存在的威胁源和类型；

③脆弱性分析：检查系统存在的安全漏洞；

④风险计算：结合威胁、脆弱性及资产价值计算风险等级；

⑤应对建议：提出消除或降低风险的措施。

52.建立安全意识培训体系：

①制定年度培训计