信息安全名词解释题库及答案解析

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页信息安全名词解释题库及答案解析（含答案及解析）姓名：科室/部门/班级：得分：题型单选题多选题判断题填空题简答题案例分析题总分得分

一、单选题（共15分）

1.在信息安全领域，"CIA三元组"指的是哪三个核心安全目标？

A.机密性、完整性、可用性

B.可控性、完整性、保密性

C.可用性、完整性、认证性

D.认证性、授权性、机密性

2.以下哪种加密方式属于对称加密？

A.RSA

B.AES

C.ECC

D.SHA-256

3.恶意软件中，主要通过伪装成合法软件进行传播的是？

A.蠕虫

B.木马

C.病毒

D.逻辑炸弹

4.根据ISO/IEC27001标准，信息安全管理体系的核心要素不包括？

A.风险评估

B.安全策略

C.物理安全

D.营销计划

5.在网络攻击中，"中间人攻击"主要利用哪种技术？

A.重放攻击

B.DNS劫持

C.ARP欺骗

D.暴力破解

6.企业信息安全事件响应计划中，哪个阶段属于事后总结？

A.准备阶段

B.检测阶段

C.分析阶段

D.恢复与改进阶段

7.以下哪种协议使用端口号443进行通信？

A.FTP

B.SMTP

C.HTTPS

D.Telnet

8.数据备份策略中，"3-2-1原则"指的是什么？

A.3份本地备份、2份异地备份、1份离线存储

B.3种备份类型、2个备份窗口、1个备份介质

C.3台服务器、2个网络、1个数据中心

D.3级权限、2次验证、1次登录

9.信息安全风险评估中，"可能性"指的是什么？

A.事件发生的概率

B.事件造成的损失

C.风险发生的条件

D.风险的可控性

10.以下哪种认证方式安全性最高？

A.用户名+密码

B.OTP动态令牌

C.指纹识别

D.密钥文件

二、多选题（共20分，多选、错选均不得分）

11.信息安全法律法规中，以下哪些属于《网络安全法》的监管范围？

A.互联网信息服务提供商

B.电信运营商

C.金融机构

D.物联网设备制造商

12.企业信息系统安全等级保护制度中，三级系统的主要特征包括？

A.泄露非敏感信息会造成严重损失

B.系统一旦瘫痪会影响国计民生

C.存储大量公民个人信息

D.系统规模较小，可自行保护

13.常见的网络攻击手段中，以下哪些属于被动攻击？

A.DDoS攻击

B.数据窃取

C.拒绝服务攻击

D.网络钓鱼

14.信息安全审计中，以下哪些内容需要记录？

A.用户登录日志

B.数据访问记录

C.系统配置变更

D.员工培训记录

15.云计算安全中，以下哪些属于云服务商的责任范围？

A.数据加密

B.网络隔离

C.物理设施安全

D.客户访问控制

三、判断题（共10分，每题0.5分）

16.信息安全等级保护制度中，二级系统的保护对象是重要机关、金融机构等。（）

17.对称加密算法的密钥分发问题可以通过数字证书解决。（）

18.恶意软件通常不会通过电子邮件附件传播。（）

19.ISO27005是信息安全风险评估的国际标准。（）

20.安全意识培训属于信息安全技术防护措施。（）

21.VPN（虚拟专用网络）可以有效防止中间人攻击。（）

22.企业数据备份只需要进行一次完整备份即可。（）

23.信息安全事件响应中，"遏制"阶段的主要目标是防止损失扩大。（）

24.双因素认证是指密码+验证码的登录方式。（）

25.物理安全措施中，冷备份指将数据存储在纸质介质上。（）

四、填空题（共10空，每空1分，共10分）

26.信息安全的基本属性包括机密性、______、______和可控性。

27.在信息安全事件响应中，"______"阶段的主要任务是识别和确认安全事件。

28.数字签名技术基于______和散列函数实现身份认证和数据完整性校验。

29.根据网络安全等级保护制度，______级系统属于重要信息系统。

30.信息安全策略的核心要素包括安全目标、______、______和责任分配。

31.在公钥基础设施（PKI）中，______负责颁发和管理数字证书。

32.企业信息系统安全等级保护中，______级系统要求具备灾备恢复能力。

33.信息安全风险评估的三要素是______、影响和可管理性。

34.信息安全审计中，"日志分析"属于______审计的主要工作内容。

35.云计算安全中，"______"指的是云服务商和客户共同承担安全责任的模式。

五、简答题（共25分）

36.简述信息安全风险评估的四个主要步骤及其核心内容。（6分）

37.结合实际案例，说明企业如何建立有效的安全意识培训机制？（7分）

38.在信息系统建设过程中，如何落实网络安全等级保护制度的要求？（6分）

39.比较对称加密和非对称加密技术的优缺点。（6分）

六、案例分析题（共20分）

某金融机构发现其核心业务系统存在数据泄露风险，系统日志显示近期有多次异常登录尝试，且部分敏感数据存储未加密。安全团队需要制定应急响应方案，回答以下问题：

（1）分析该案例中的主要安全风险点有哪些？（5分）

（2）说明应急响应方案的五个主要阶段及每个阶段应采取的具体措施。（10分）

（3）针对该案例，提出预防类似事件再次发生的管理和技术建议。（5分）

参考答案及解析

一、单选题

1.A

解析：CIA三元组是信息安全领域的核心目标，包括机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。B选项中的“可控性”不属于核心目标；C选项中的“认证性”是重要但非核心要素；D选项中的“授权性”属于访问控制范畴。

2.B

解析：AES（高级加密标准）属于对称加密算法，使用相同密钥进行加密和解密。RSA、ECC属于非对称加密算法；SHA-256是哈希函数，用于数据完整性校验。

3.B

解析：木马病毒通过伪装成正常软件，诱骗用户下载安装后执行恶意操作。蠕虫利用网络漏洞自动传播；病毒依赖文件系统传播；逻辑炸弹在特定条件下触发破坏。

4.D

解析：ISO/IEC27001信息安全管理体系核心要素包括信息安全方针、组织安全、资产管理、人力资源安全、物理安全、通信与操作管理、访问控制、开发与维护、供应管理、信息安全事件管理、业务连续性管理、合规性等。D选项中的“营销计划”不属于安全管理体系范畴。

5.C

解析：中间人攻击通过伪造中间节点，截取或篡改通信双方数据。重放攻击是捕获并重放数据包；DNS劫持是篡改域名解析结果；暴力破解是尝试密码。ARP欺骗通过伪造ARP表项实现。

6.D

解析：信息安全事件响应计划包括准备、检测、分析、遏制、根除、恢复和改进阶段。恢复与改进阶段属于事后总结，涉及系统恢复、复盘优化等。

7.C

解析：HTTPS（安全超文本传输协议）默认使用TCP端口443传输加密数据。FTP使用21端口；SMTP使用25端口；Telnet使用23端口。

8.A

解析：3-2-1备份原则指：至少3份数据备份、其中2份存储在不同介质、1份异地存储。该策略可防止单点故障导致数据丢失。

9.A

解析：信息安全风险评估中的“可能性”指事件发生的概率，如“高、中、低”或具体百分比。B选项是“影响”；C选项是“条件”；D选项是“可控性”。

10.B

解析：OTP（一次性密码）通过动态生成验证码，每次使用后即失效，安全性高于静态密码、生物识别（易被伪造）或密钥文件（易丢失）。

二、多选题

11.ABC

解析：根据《网络安全法》第六章“网络运营者安全义务”，电信运营商（B）、互联网信息服务提供商（A）、金融机构（C）均需落实网络安全主体责任。D选项中的物联网设备制造商虽需合规，但监管范围未直接列举。

12.ABC

解析：三级系统要求具备较高安全保护能力，特征包括：泄露非敏感信息造成严重损失（A）、涉及大量公民个人信息（C）、系统中断可能影响重要业务（B）。D选项描述的是四级系统（核心骨干系统）的特征。

13.B

解析：被动攻击指窃取信息而不破坏系统运行，如数据窃取（B）。主动攻击包括拒绝服务攻击（C）、DDoS攻击（A）、网络钓鱼（D）。

14.ABC

解析：信息安全审计需记录关键操作日志，包括用户登录（A）、数据访问（B）、系统配置变更（C）。D选项中的培训记录属于行政管理范畴，非核心审计内容。

15.CD

解析：云安全责任模型中，物理设施安全（C）和客户访问控制（D）属于云服务商和客户共同责任。数据加密（A）和网络隔离（B）通常由客户负责实施。

三、判断题

16.√

解析：根据《网络安全等级保护条例》（征求意见稿），二级系统包括重要机关、金融机构等关键信息基础设施。

17.√

解析：数字证书基于非对称加密技术，可解决密钥分发问题，实现身份认证和加密传输。

18.×

解析：木马病毒常通过邮件附件、恶意网站、可移动介质传播。

19.√

解析：ISO27005是信息安全风险评估的国际标准，基于风险处理框架。

20.×

解析：安全意识培训属于管理措施，技术防护措施包括防火墙、入侵检测等。

21.√

解析：VPN通过加密隧道传输数据，可有效防止中间人攻击。

22.×

解析：数据备份需结合增量备份、差异备份和定期完整备份，单一完整备份无法满足持续保护需求。

23.√

解析：遏制阶段通过隔离受感染系统、阻止攻击扩散等方式防止损失扩大。

24.×

解析：双因素认证通常指“密码+动态令牌/生物识别”组合，验证码仅属单因素认证。

25.×

解析：冷备份指将数据备份到离线介质（如磁带），冷备份（ColdBackup）与纸质介质无关。

四、填空题

26.完整性、可用性

解析：信息安全基本属性为CIA（机密性、完整性、可用性）+可控性。

27.检测与确认

解析：事件响应第一阶段是检测并确认安全事件的存在，如通过日志分析、监控告警发现异常。

28.非对称密钥

解析：数字签名基于非对称密钥对（公钥/私钥）和散列函数实现，私钥签名，公钥验证。

29.三

解析：根据《网络安全等级保护条例》（征求意见稿），三级系统属于重要信息系统。

30.安全角色、访问权限

解析：信息安全策略需明确目标、角色职责、权限控制、违规处理等要素。

31.CA（证书颁发机构）

解析：CA负责颁发、管理、吊销数字证书，是PKI的核心组件。

32.四

解析：四级系统（核心骨干系统）要求具备灾备恢复能力，需满足RTO/RPO等指标。

33.风险

解析：风险评估三要素为风险=可能性×影响，需综合评估两者。

34.技术或操作

解析：日志分析属于技术审计范畴，通过分析系统日志发现异常行为。

35.共享责任模型

解析：云安全共享责任模型（SharedResponsibilityModel）明确云服务商和客户各自的安全职责。

五、简答题

36.信息安全风险评估步骤

①资产识别：确定系统中的关键资产（如硬件、软件、数据），评估其价值。

②威胁识别：分析可能影响资产的威胁（如黑客攻击、病毒）。

③脆弱性分析：检查系统存在的安全漏洞（如配置错误）。

④风险计算：结合可能性、影响评估风险等级（如“高、中、低”）。

解析：该过程需基于《信息安全风险评估指南》（GB/T20984）进行，最终输出风险处理建议。

37.安全意识培训机制

①分层培训：针对不同岗位（如管理员、普通员工）定制培训内容（如管理员需培训权限管理，普通员工需培训密码安全）。

②案例教学：结合企业内部或行业真实安全事件（如钓鱼邮件攻击），讲解防范方法。

③定期考核：通过模拟测试（如选择“不点击可疑链接”）检验培训效果，不合格者补训。

④制度约束：将安全意识纳入绩效考核，如违规操作需受处罚。

解析：培训需符合《信息安全意识教育规范》（ISO27035）要求，强调“预防为主”。

38.落实等级保护制度

①定级备案：根据系统重要性确定安全保护等级（如金融系统属三级），向网信部门备案。

②建设整改：按等级保护要求进行安全建设，如部署防火墙、入侵检测、数据加密。

③等级测评：定期委托第三方机构开展安全测评（每年一次），出具报告。

④持续改进：根据测评结果优化安全措施，如漏洞修复、策略更新。

解析：需遵循《网络安全等级保护条例》及对应标准（如三级系统需满足物理安全、通信安全等要求）。

39.对称与非对称加密对比

对称加密：优点（加密解密速度快，适用于大数据量）；缺点（密钥分发困难，一方泄露则全部不安全）。典型算法：AES、DES。

非对称加密：优点（密钥分发简单，可用于数字签名）；缺点（效率低，适用于小数据量）。典型算法：RSA、ECC。

解析：实际应用中常结合两者（如SSL/TLS先协商对称密钥，再用非对称密钥加密对称密钥）。

六、案例分析题

（1）主要风险点

①未加密存储：敏感数据未加密，一旦数据库被攻破，数据易泄露。

②异常登录：日志显示多次尝试，可能存在暴力破解或凭证泄露。

③安全策略缺失：未明确访问控制规则，导致越权操作可能。

解析：需结合《网络安全等级保护条例》要求，企业需对敏感数据进行加密存储。

（2）应急响应方案五阶段

①准备阶段：组建响应团队，制定预案，备份数据，测试工