2025年安全信息测试题及答案

2025年安全信息测试题及答案一、单项选择题（每题2分，共30分）1.某企业部署基于AI的入侵检测系统（AIDS），在训练模型时使用了未脱敏的用户行为日志。以下哪项风险最可能发生？A.模型过拟合导致误报率升高B.用户敏感信息通过模型参数泄露（记忆攻击）C.系统因算力不足导致检测延迟D.模型无法识别新型攻击模式答案：B2.根据2025年修订的《关键信息基础设施安全保护条例》，以下哪类单位无需强制开展网络安全审查？A.处理100万以上用户个人信息的智能家居云平台B.为30家金融机构提供数据存储服务的第三方云服务商C.运营省级电力调度系统的能源企业D.年交易量5000万元的跨境电商平台答案：D3.某医疗设备厂商推出支持5G联网的智能监护仪，其固件更新采用HTTP明文传输。最可能面临的攻击是？A.中间人篡改固件（OTA攻击）B.拒绝服务攻击（DoS）C.物理破坏设备D.社会工程学骗取管理员密码答案：A4.某银行开发的移动支付APP集成了“声纹+指纹”双因子认证，用户甲在嘈杂环境中使用时，系统误将背景噪音识别为有效声纹。这属于以下哪种安全缺陷？A.认证机制设计缺陷（误识率过高）B.加密算法强度不足C.数据存储未加密D.界面安全提示缺失答案：A5.2025年某国通过《量子计算准备法案》，要求关键信息系统需在2030年前完成抗量子密码替换。以下哪种算法最可能被保留？A.RSA（基于大整数分解）B.ECC（基于椭圆曲线离散对数）C.NTRU（基于格密码）D.SHA-256（哈希算法）答案：C6.某政务云平台采用“两地三中心”容灾架构，其中“三中心”指的是？A.生产中心、同城灾备中心、异地灾备中心B.计算中心、存储中心、网络中心C.开发中心、测试中心、生产中心D.主中心、热备中心、冷备中心答案：A7.某企业员工收到一封主题为“财务报表审批”的邮件，附件为“2025Q3报表.pdf.lnk”（快捷方式文件）。这最可能是哪种攻击手段？A.勒索软件（通过恶意链接执行）B.钓鱼攻击（诱导点击恶意文件）C.数据泄露（窃取报表内容）D.DDoS攻击（消耗网络带宽）答案：B8.根据《数据安全法》2025年修正案，以下数据处理活动无需进行数据安全影响评估的是？A.金融机构将客户信用数据共享给第三方风控公司B.电商平台对用户购物偏好数据进行匿名化处理后用于学术研究C.医疗机构将患者诊疗数据跨境传输至海外合作医院D.能源企业对电网实时监控数据进行本地化存储答案：D9.某物联网（IoT）网关采用默认密码“admin”，且未启用固件自动更新。最可能引发的安全事件是？A.设备被植入恶意固件，控制所有下联设备B.网关因过热导致物理损坏C.用户密码被暴力破解但无实际影响D.网络传输数据被嗅探但未加密答案：A10.某AI客服系统在训练时使用了标注错误的用户投诉数据，导致回复时频繁推荐错误的解决方案。这属于以下哪类安全问题？A.模型鲁棒性不足（对抗样本攻击）B.数据质量缺陷（训练数据污染）C.算法歧视（偏见输出）D.接口安全漏洞（API滥用）答案：B11.某企业采用零信任架构（ZTA），其核心原则不包括？A.持续验证访问请求（NeverTrust,AlwaysVerify）B.最小权限分配（LeastPrivilege）C.基于网络边界的静态防御（NetworkPerimeter）D.设备健康状态检查（DevicePosture）答案：C12.2025年新型“侧信道攻击”可通过分析设备运行时的电磁辐射获取加密密钥。以下防护措施最有效的是？A.增加加密算法密钥长度（如AES-256）B.对设备进行电磁屏蔽（EMC防护）C.定期更换加密密钥D.关闭设备不必要的功能模块答案：B13.某教育机构开发的在线考试系统允许考生使用手机拍摄试卷上传，系统通过OCR识别答案。若考生通过PS修改图片中的答案，系统未能检测到篡改。这属于？A.数据完整性破坏（篡改攻击）B.身份认证绕过（伪造身份）C.隐私泄露（图像包含敏感信息）D.可用性破坏（系统崩溃）答案：A14.根据《个人信息保护法》实施细则（2025版），以下个人信息处理行为符合“最小必要原则”的是？A.外卖APP要求用户授权读取短信验证码（用于登录）B.社交软件收集用户通讯录（用于推荐好友）C.导航APP获取用户精确位置（用于路线规划）D.视频平台收集用户设备MAC地址（用于广告推送）答案：C15.某工业控制系统（ICS）采用Modbus协议与传感器通信，未启用任何加密。攻击者通过网络嗅探获取通信数据后，最可能实施的攻击是？A.伪造传感器数据（注入攻击）B.窃取企业商业机密C.破坏传感器物理硬件D.攻击企业办公网络答案：A二、判断题（每题1分，共10分）1.量子计算机可在短时间内破解SHA-256哈希算法，因此2025年后所有系统需替换为抗量子哈希算法。（×）（注：量子计算机对哈希算法的破解主要影响碰撞抗性，SHA-256的原像抗性仍有一定安全性，需根据场景评估替换必要性。）2.企业将用户个人信息匿名化处理后，即可不受《个人信息保护法》约束。（×）（注：匿名化信息不属于个人信息，但需确保无法通过其他信息复原，否则仍可能被认定为去标识化，受部分条款约束。）3.物联网设备（如智能摄像头）的默认密码“123456”是行业通用配置，只要用户不主动修改就不会有安全风险。（×）（注：默认密码是已知弱点，攻击者可通过扫描工具批量破解，必须强制用户首次登录修改。）4.云服务提供商（CSP）的“数据驻留”承诺（DataResidency）可完全避免数据跨境传输的合规风险。（×）（注：若用户操作涉及数据跨境（如远程访问），仍需符合接收国法规，驻留承诺仅限制存储位置。）5.AI提供内容（AIGC）的发布者无需标注“AI提供”，只要内容不涉及虚假信息即可。（×）（注：2025年《提供式人工智能服务管理暂行办法》修订版要求，所有AIGC内容必须显著标识，防止误导公众。）6.企业部署防火墙后，只需定期更新规则即可保障网络安全，无需额外部署入侵检测系统（IDS）。（×）（注：防火墙侧重边界防护，IDS用于检测内部异常，两者需协同工作。）7.生物识别信息（如指纹、人脸）属于敏感个人信息，其处理需取得用户单独同意，并进行严格的安全评估。（√）8.为提升效率，企业可将开发环境（Dev）与生产环境（Prod）共用同一套数据库，只需限制开发人员权限即可。（×）（注：开发环境与生产环境必须物理隔离，避免测试数据污染或越权访问。）9.勒索软件攻击中，支付赎金是唯一恢复数据的方式，因此企业应预留赎金预算。（×）（注：支付赎金可能鼓励攻击，且无法保证数据恢复，应通过定期备份和离线存储降低风险。）10.5G网络的“切片技术”（NetworkSlicing）可实现不同业务的逻辑隔离，因此工业切片与普通用户切片无需额外安全防护。（×）（注：切片间仍存在共享基础设施，需通过加密、访问控制等措施强化隔离。）三、简答题（每题6分，共30分）1.简述2025年网络安全领域的三大技术趋势及其对防护策略的影响。答案：（1）AI安全双向渗透：AI被用于攻击（如自动化钓鱼邮件提供）和防御（如AI驱动的威胁检测），需加强AI模型的鲁棒性测试，建立“AI对抗AI”的动态防护体系。（2）量子计算预研加速：传统公钥密码（RSA、ECC）面临破解风险，需推动格密码、编码密码等抗量子算法的部署，开展系统兼容性改造。（3）物联网（IoT）全场景覆盖：智能家居、工业物联网设备数量激增，需强制设备厂商支持安全启动（SecureBoot）、固件签名，建立设备身份管理（DIAM）机制。2.某企业拟将客户订单数据（含姓名、电话、地址、金额）存储至云端，需采取哪些数据安全措施？答案：（1）分类分级：根据《数据安全法》，将订单数据标记为“一般敏感数据”（涉及个人信息），明确保护等级。（2）加密存储：对姓名、电话等个人信息字段采用AES-256加密，密钥由企业主密钥管理系统（KMS）集中管理。（3）访问控制：实施最小权限原则（LeastPrivilege），仅允许订单处理、客服等必要岗位访问，采用多因子认证（MFA）。（4）脱敏处理：对外提供统计数据时，对姓名（用“”替代）、电话（隐藏中间4位）进行脱敏，防止身份复原。（5）审计日志：记录所有数据访问、修改操作，保留至少6个月，用于事后追溯。3.简述“供应链安全”在软件开发生命周期（SDLC）中的关键控制点。答案：（1）供应商管理：选择通过ISO27001、CSAM（CybersecurityMaturityModel）认证的第三方组件供应商，签订安全责任协议。（2）依赖项检测：使用软件成分分析（SCA）工具（如OWASPDependency-Check）扫描代码库，识别高风险开源组件（如存在CVE漏洞的版本）。（3）代码审查：对第三方代码进行静态分析（SAST）和动态测试（DAST），重点检查后门、未授权访问等风险。（4）构建过程安全：采用可信构建环境（TBE），确保编译、打包过程未被篡改，对提供的二进制文件进行数字签名。（5）持续监控：上线后通过漏洞扫描（如Nessus）和威胁情报（如VulnDB）跟踪组件漏洞，及时发布补丁。4.列举三种常见的“社会工程学攻击”手段，并说明企业应如何防范。答案：（1）钓鱼邮件：攻击者伪装成可信方（如IT部门）发送包含恶意链接或附件的邮件。防范措施：定期开展员工安全培训（如识别异常发件人、可疑附件），部署邮件过滤系统（如DMARC、SPF）。（2）pretexting（伪装欺诈）：冒充客户、供应商要求重置密码或转账。防范措施：建立“二次验证”流程（如电话确认联系人身份），制定严格的财务审批制度。（3）物理渗透：通过尾随进入机房、窃取未锁定的设备。防范措施：实施访问控制（如门禁卡+生物识别），要求设备使用后锁定屏幕，重要区域安装监控。5.2025年某城市交通信号控制系统（TSC）遭受网络攻击，导致部分路口信号灯失效。从技术和管理角度分析可能的漏洞及改进建议。答案：技术漏洞：（1）协议未加密：TSC可能使用未加密的NTCIP协议，攻击者可嗅探并篡改控制指令。（2）设备老化：部分控制器使用WindowsXP等旧系统，缺乏安全补丁。（3）接口暴露：管理接口直接连接公网，未部署防火墙或访问控制列表（ACL）。管理漏洞：（1）安全意识薄弱：运维人员可能使用弱密码或共享账号。（2）缺乏应急演练：未制定明确的攻击响应流程（如切换至手动控制）。（3）第三方责任不清晰：信号机厂商未提供持续的安全维护服务。改进建议：（1）技术层面：升级协议至加密版本（如NTCIPoverTLS），替换老旧设备为支持安全启动的专用控制器，将管理接口迁移至内网并部署零信任访问。（2）管理层面：强制运维人员使用多因子认证（MFA），每季度开展攻防演练，与厂商签订SLA（服务级别协议）明确漏洞修复时限。四、案例分析题（每题15分，共30分）案例1：2025年3月，某电商平台“乐购”发生数据泄露事件，约500万用户的姓名、手机号、收货地址及近1年购物记录被上传至暗网。经调查，攻击者通过爆破平台客服系统的弱密码（账号：service，密码：123456）登录，获取数据库访问权限后导出数据。问题：（1）分析该事件暴露的安全漏洞（至少4点）。（2）提出针对性的整改措施（至少4条）。答案：（1）暴露的漏洞：①身份认证缺陷：客服系统使用弱密码（账号/密码均为默认或简单组合），未启用多因子认证（MFA）。②权限管理失控：客服账号拥有数据库直接访问权限，违反“最小权限原则”。③日志审计缺失：异常登录（如多次密码错误尝试）未触发警报，数据导出操作未被记录。④数据安全防护不足：用户敏感信息（手机号、地址）未加密存储，攻击者可直接读取明文。（2）整改措施：①强化认证机制：客服系统强制使用8位以上复杂密码（含字母、数字、符号），并启用短信验证码或硬件令牌（如YubiKey）的MFA。②权限最小化：客服账号仅保留处理订单的必要权限（如查看物流状态），数据库访问需通过审批流程并由管理员临时授权。③部署入侵检测：在客服系统和数据库之间部署网络入侵检测系统（NIDS），监控异常登录（如异地登录、高频尝试）和大规模数据查询行为。④加密敏感数据：对手机号（如1381234）、地址（如“北京市区”）进行脱敏存储，核心字段（如手机号）采用AES-256加密，密钥由独立KMS管理。案例2：某智能汽车厂商“星驰”推出的L2级自动驾驶系统，因AI感知模块误将白色货车（逆光环境下）识别为“天空”，导致车辆未及时刹车，引发交通事故。经技术检测，该模块训练数据中“货车”样本占比仅3%，且缺乏逆光场景的测试用例。问题：（1）从数据、模型、合规角度分析事故原因。（2）提出提升自动驾驶系统安全的技术和管理建议。答案：（1）事故原因：①数据层面：训