2025中国信息安全研究院有限公司校园招聘笔试历年难易错考点试卷带答案解析试卷3套

2025中国信息安全研究院有限公司校园招聘笔试历年难易错考点试卷带答案解析（第1套）一、单项选择题下列各题只有一个正确答案，请选出最恰当的选项（共30题）1、在密码学中，以下哪种密码体制的特点是加密密钥和解密密钥不同，并且从一个密钥推导出另一个密钥在计算上是不可行的？A.对称密码体制B.序列密码体制C.分组密码体制D.非对称密码体制2、在TCP/IP协议栈的安全机制中，HTTPS协议通过在HTTP与TCP层之间加入哪一层来实现数据的加密传输？A.SSL/TLS层B.网络层C.数据链路层D.应用层3、当攻击者向目标主机发送大量伪造源IP地址的SYN请求，导致目标主机的连接队列被占满，无法响应正常用户的请求，这种攻击方式被称为？A.DNS劫持B.中间人攻击（MitM）C.SYNFlood攻击D.SQL注入攻击4、在公钥基础设施（PKI）中，负责签发、管理和撤销数字证书的权威机构是？A.注册机构（RA）B.证书申请者C.证书库D.认证机构（CA）5、根据《网络安全法》及相关规定，网络运营者收集、使用个人信息，应当遵循的原则不包括以下哪一项？A.合法、正当、必要原则B.公开收集、使用规则原则C.明示目的、方式和范围原则D.数据价值最大化原则6、在OSI七层参考模型中，负责建立、管理和终止会话的是哪一层？A.传输层B.网络层C.会话层D.表示层7、下列哪种加密算法属于非对称加密算法？A.DESB.AESC.3DESD.RSA8、TCP协议和UDP协议的主要区别之一在于？A.TCP工作在应用层，UDP工作在传输层B.TCP提供可靠传输，UDP提供不可靠但高效传输C.UDP支持流量控制，TCP不支持D.TCP无连接，UDP面向连接9、在信息安全CIA三元组中，“A”代表的是？A.可审计性（Auditability）B.可用性（Availability）C.匿名性（Anonymity）D.授权（Authorization）10、IP地址28/26的子网掩码是？A.B.28C.92D.2411、下列哪种加密算法属于非对称加密算法？A.DESB.AESC.RSAD.MD512、防火墙依据预设规则控制网络流量，其工作原理最符合以下哪种访问控制模型？A.基于角色的访问控制（RBAC）B.基于属性的访问控制（ABAC）C.基于规则的访问控制D.基于任务的访问控制（TBAC）13、在TCP/IP协议栈中，用于将域名解析为IP地址的协议是？A.HTTPB.FTPC.DNSD.SMTP14、以下哪个端口号是HTTP服务默认使用的？A.21B.22C.80D.44315、在操作系统安全中，用户态与内核态的区分主要目的是为了？A.提高CPU运算速度B.保护系统核心资源不被用户程序直接访问C.增加内存容量D.简化用户程序的编写16、在OSI七层模型中，负责在端系统之间提供可靠的数据传输服务，并处理流量控制和错误恢复的层次是？A.物理层B.数据链路层C.网络层D.传输层17、下列哪种加密算法属于对称加密算法？A.RSAB.ECCC.AESD.DSA18、以下哪种攻击方式是通过在用户提交的表单中嵌入恶意脚本，当其他用户浏览该页面时执行脚本，从而窃取用户Cookie信息？A.SQL注入B.CSRFC.XSSD.SSRF19、关于密码存储，以下说法正确的是？A.直接存储用户密码的明文是最安全的做法B.使用MD5或SHA-1等哈希算法直接加密密码是安全的C.对密码进行哈希处理并加盐（Salt）可以有效防御彩虹表攻击D.暴力破解无法破解经过哈希处理的密码20、在TCP/IP协议栈中，负责将IP地址解析为物理MAC地址的协议是？A.DNSB.HTTPC.ARPD.FTP21、在TLS1.3协议中，与服务器首次建立安全连接时，标准的握手过程通常需要几次网络往返（RTT）？A.0次B.1次C.2次D.3次22、高级加密标准（AES）算法支持多种密钥长度，以下哪个长度是AES标准明文规定、但并非所有实现都必须支持的？A.64位B.128位C.192位D.512位23、在经典的信息安全模型中，Bell-LaPadula（BLP）模型主要用于保障哪一项安全属性？A.可用性B.完整性C.保密性D.不可否认性24、公钥基础设施（PKI）中，证书撤销列表（CRL）的主要作用是什么？A.加速证书的签发过程B.公布已被吊销但尚未过期的证书序列号C.存储所有已颁发证书的公钥副本D.提供时间戳服务以证明证书的有效期25、在网络安全防护体系中，部署Web应用防火墙（WAF）主要针对OSI模型的哪一层进行深度检测与防护？A.网络层（第3层）B.传输层（第4层）C.会话层（第5层）D.应用层（第7层）26、在密码学中，Kerckhoffs原则的核心思想是什么？A.算法的保密性是安全的关键B.密钥必须通过物理方式传递C.系统的安全性不应依赖于算法的保密，而应依赖于密钥的保密D.加密算法必须使用非对称机制27、下列协议中，主要用于提供电子邮件传输过程中身份认证和数据完整性保护的是？A.SMTPB.POP3C.S/MIMED.IMAP28、在OSI参考模型中，哪一层主要负责提供数据的加密、解密及格式转换服务？A.网络层B.应用层C.会话层D.表示层29、关于哈希函数（HashFunction）的特性，以下说法错误的是？A.对于任意长度的输入，输出长度固定B.具有抗碰撞性，即难以找到两个不同输入产生相同输出C.是可逆的，可通过输出还原原始输入D.即使输入有微小变化，输出也会显著不同30、在信息安全等级保护制度中，第三级保护适用于哪种信息系统？A.一般企业内部办公系统B.涉及国家安全、社会秩序或重大公共利益的重要信息系统C.个人博客网站D.学校图书馆查询系统二、多项选择题下列各题有多个正确答案，请选出所有正确选项（共15题）31、在公钥基础设施（PKI）体系中，以下关于数字证书的说法，哪些是正确的？A.数字证书由证书颁发机构（CA）签发，用于绑定公钥与实体身份B.证书中包含公钥、持有者信息、有效期及CA的数字签名C.任何用户都可以自行生成并签发有效的数字证书D.证书吊销列表（CRL）用于公布已失效但未过期的证书32、关于SQL注入攻击，以下哪些措施可以有效防御？A.使用预编译语句（PreparedStatements）B.对用户输入进行严格的白名单验证C.在数据库中为所有字段设置默认值D.部署Web应用防火墙（WAF）33、在TCP/IP协议栈中，以下哪些协议属于传输层？A.TCPB.UDPC.IPD.ICMP34、以下哪些属于对称加密算法？A.AESB.RSAC.DESD.ECC35、关于跨站脚本攻击（XSS），以下说法正确的有？A.反射型XSS通常通过恶意链接传播B.存储型XSS的危害通常大于反射型C.设置Cookie的HttpOnly属性可防止XSS窃取CookieD.XSS攻击只能窃取用户Cookie，无法执行其他操作36、在Linux系统中，以下哪些命令可用于查看网络连接状态？A.netstatB.ssC.psD.top37、关于HTTPS协议，以下哪些描述是准确的？A.HTTPS在HTTP基础上增加了SSL/TLS加密层B.HTTPS默认使用443端口C.HTTPS可以完全防止中间人攻击D.证书验证失败时，浏览器通常会发出警告38、以下哪些属于常见的拒绝服务（DoS）攻击类型？A.SYNFloodB.UDPFloodC.SQL注入D.DNS放大攻击39、在密码学中，以下关于哈希函数的说法，哪些是正确的？A.哈希函数具有单向性，无法从摘要反推原文B.任意长度的输入可生成固定长度的输出C.哈希函数可用于验证数据完整性D.MD5和SHA-1目前仍被推荐用于高安全场景40、关于防火墙的功能，以下哪些说法是正确的？A.可基于IP地址和端口进行访问控制B.能够有效阻止内部网络发起的攻击C.状态检测防火墙可跟踪连接状态D.可以完全防止应用层攻击41、在密码学中，以下哪些属于对称加密算法？A.RSAB.AESC.ECCD.DES42、以下哪些属于信息安全的基本属性（CIA三元组）？A.保密性B.完整性C.可用性D.可否认性43、下列攻击方式中，属于主动攻击的是？A.窃听B.重放攻击C.拒绝服务攻击D.流量分析44、关于数字签名，以下说法正确的是？A.可实现消息的不可否认性B.通常使用发送方的私钥进行签名C.通常使用接收方的公钥进行签名D.可验证消息的完整性45、以下协议中，哪些可用于安全远程登录？A.TelnetB.SSHC.FTPD.HTTPS三、判断题判断下列说法是否正确（共10题）46、在对称加密算法中，加密和解密使用的是同一个密钥。A.正确B.错误47、防火墙的主要功能是作为可信内部网络与不可信外部网络（如互联网）之间的安全屏障。A.正确B.错误48、哈希函数（HashFunction）的输出结果通常被称为摘要，该过程是可逆的。A.正确B.错误49、入侵检测系统（IDS）的主要作用是主动阻止网络攻击。A.正确B.错误50、根据我国的网络安全等级保护制度，等级保护的级别从第一级到第五级，级别越高，安全保护要求越严格。A.正确B.错误51、PKI（公钥基础设施）体系中，数字证书的作用是证明公钥与实体（如个人或组织）身份的绑定关系。A.正确B.错误52、ISO/IEC27001是关于信息安全管理体系（ISMS）的国际标准。A.正确B.错误53、“保密性”、“完整性”和“可用性”（CIA三元组）是信息安全的三个基本目标。A.正确B.错误54、计算机病毒是一种能够自我复制的恶意代码，但蠕虫（Worm）不具备自我复制的能力。A.正确B.错误55、在密码学中，一个密码系统的安全性完全取决于其加密和解密算法的复杂程度。A.正确B.错误

参考答案及解析1.【参考答案】D【解析】密码体制主要分为对称（单钥）和非对称（双钥/公钥）两类。对称密码体制（如AES、DES）中，加密和解密使用相同的密钥。而非对称密码体制（如RSA、ECC）则使用一对密钥：公钥用于加密，私钥用于解密。其核心安全性正是基于“从公钥推导出私钥在计算上是困难的”这一数学难题[[9]]。2.【参考答案】A【解析】HTTPS（HyperTextTransferProtocolSecure）的本质是HTTPoverSSL/TLS。它并非一个独立的协议，而是在标准的HTTP协议之下、TCP协议之上，增加了一层SSL（SecureSocketsLayer）或其继任者TLS（TransportLayerSecurity）协议。正是这层协议负责完成密钥协商、身份认证和数据加密，从而保障了传输的安全性[[20]]。3.【参考答案】C【解析】SYNFlood是典型的拒绝服务（DoS）攻击。它利用了TCP协议“三次握手”的设计缺陷：攻击者发送大量只完成第一步（SYN）的连接请求，并伪造源IP使其无法收到服务器的SYN-ACK回应，导致服务器为这些“半开连接”预留资源直至超时。大量此类请求会迅速耗尽服务器资源，使其无法处理合法请求[[22]]。4.【参考答案】D【解析】PKI体系的核心是认证机构（CertificateAuthority,CA），它是整个系统信任的锚点。CA的职责包括验证证书申请者的身份、生成并签发数字证书、维护证书吊销列表（CRL）以管理已失效或被撤销的证书。注册机构（RA）只是CA的代理，负责受理和初步审核申请，最终的签发权仍在CA。5.【参考答案】D【解析】《网络安全法》第四十一条明确规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。其核心是保护个人隐私和数据安全，“数据价值最大化”并非法定原则，过度追求此目标反而可能违背“必要性”原则[[8]]。6.【参考答案】C【解析】OSI模型的会话层（SessionLayer）主要负责在两个通信节点之间建立、维护和终止会话连接，控制会话期间的数据交换方式（如单向或双向）。表示层负责数据格式转换与加密，传输层负责端到端的可靠传输，网络层负责路由寻址。因此正确答案为C[[7]][[16]]。7.【参考答案】D【解析】非对称加密算法使用一对密钥（公钥和私钥），RSA是典型的非对称加密算法，广泛用于数字签名和密钥交换。而DES、3DES和AES均为对称加密算法，加密和解密使用相同密钥。因此正确答案为D。8.【参考答案】B【解析】TCP是面向连接的、可靠的传输协议，提供流量控制、拥塞控制和错误重传机制；UDP是无连接的、不可靠但低延迟的协议，适用于实时性要求高的场景（如视频流）。两者都工作在传输层。因此正确答案为B[[8]][[12]]。9.【参考答案】B【解析】信息安全的核心目标是CIA三元组：Confidentiality（机密性）、Integrity（完整性）、Availability（可用性）。“A”即指系统和服务在需要时可被授权用户正常访问和使用。因此正确答案为B。10.【参考答案】C【解析】“/26”表示子网掩码前26位为1，即11111111.11111111.11111111.11000000，转换为十进制为92。因此正确答案为C。11.【参考答案】C【解析】RSA是一种非对称加密算法，使用一对密钥（公钥和私钥）进行加密和解密，公钥加密的数据只能用私钥解密，反之亦然[[21]]。DES和AES是对称加密算法，使用相同的密钥进行加解密[[21]]。MD5是哈希算法，用于生成消息摘要，不具备加密功能[[21]]。12.【参考答案】C【解析】防火墙通过配置访问控制列表（ACL）等规则，根据源/目的IP地址、端口号、协议类型等条件决定数据包是否允许通过，这属于基于规则的访问控制模型[[36]]。RBAC基于用户角色分配权限，ABAC基于用户、资源、环境等属性，均与防火墙的规则匹配机制不同。13.【参考答案】C【解析】DNS（DomainNameSystem，域名系统）是TCP/IP协议栈中用于将人类可读的域名（如）转换为计算机可识别的IP地址（如）的核心协议[[31]]。HTTP用于网页传输，FTP用于文件传输，SMTP用于发送电子邮件[[31]]。14.【参考答案】C【解析】HTTP（超文本传输协议）默认使用80端口进行通信[[29]]。21端口通常用于FTP（文件传输协议），22端口用于SSH（安全外壳协议），443端口用于HTTPS（HTTPoverSSL/TLS）[[29]]。15.【参考答案】B【解析】操作系统将处理器运行状态分为用户态和内核态，其核心目的是保护系统内核和关键资源（如硬件、内存管理）不被用户程序直接访问或修改，从而保证系统的稳定性和安全性[[40]]。用户程序在用户态运行，执行受限指令；当需要访问核心资源时，必须通过系统调用切换到内核态。16.【参考答案】D【解析】传输层（TransportLayer）位于OSI模型第四层，主要功能是在源主机和目的主机的应用程序之间提供端到端的可靠或不可靠的数据传输服务[[7]]。它负责流量控制、差错控制（错误恢复）、数据分段与重组，确保数据完整、有序地送达，TCP协议就是传输层的典型代表[[8]]。17.【参考答案】C【解析】对称加密算法使用相同的密钥进行加密和解密[[19]]。AES（高级加密标准）是目前广泛使用的对称加密算法，因其高效和安全性被广泛应用[[17]]。而RSA、ECC、DSA均属于非对称加密算法，使用公钥和私钥对进行加解密[[14]]。18.【参考答案】C【解析】XSS（跨站脚本攻击）是一种常见的Web安全漏洞，攻击者将恶意脚本注入到网页中，当其他用户访问该页面时，脚本会在其浏览器中执行，从而可能窃取用户的会话Cookie、登录凭证等敏感信息[[23]]。这与SQL注入（攻击数据库）和CSRF（诱使用户执行非自愿操作）有本质区别[[24]]。19.【参考答案】C【解析】直接存储明文或仅使用MD5/SHA-1等快速哈希算法存储密码均不安全，易受彩虹表和暴力破解攻击[[33]]。为增强安全性，应在哈希前加入随机盐值（Salt），使得相同密码生成不同的哈希值，从而有效防御预计算的彩虹表攻击[[34]]。暴力破解仍可能针对弱口令成功，只是成本更高[[35]]。20.【参考答案】C【解析】ARP（地址解析协议，AddressResolutionProtocol）工作在TCP/IP模型的网络接口层，其核心功能是将目标设备的IP地址映射为对应的物理（MAC）地址，以便在局域网内进行数据帧的直接传输[[8]]。DNS用于域名到IP地址的解析，HTTP和FTP是应用层协议，不负责地址解析[[9]]。21.【参考答案】B【解析】TLS1.3对握手过程进行了重大优化，将TLS1.2所需的2次往返（2-RTT）简化为仅需1次往返（1-RTT）即可完成密钥协商与加密参数确立，显著降低了连接延迟。0-RTT仅适用于会话复用场景，标准新连接仍为1-RTT[[20]][[25]]。22.【参考答案】C【解析】AES标准明确规定支持128位、192位和256位三种密钥长度[[33]]。其中128位和256位应用最广泛，192位虽在标准内，但因轮数（12轮）介于128位（10轮）和256位（14轮）之间，部分轻量级实现可能仅支持128/256位，故192位是“标准规定但非强制实现”的选项。23.【参考答案】C【解析】Bell-LaPadula模型的核心目标是保护信息的**保密性**，其通过“不下读”（noreadup）和“不上写”（nowritedown）两条强制规则，严格限制信息从高安全级别向低安全级别流动，防止机密信息泄露[[43]][[49]]。而Biba模型才是保障完整性的经典模型。24.【参考答案】B【解析】CRL是由证书颁发机构（CA）定期发布的签名列表，其中包含所有已被吊销（如因私钥泄露、用户离职等原因）但证书本身尚未到达自然过期时间的证书序列号。客户端在验证证书时，需检查该证书是否出现在最新的CRL中，以确认其当前有效性。25.【参考答案】D【解析】WAF的核心功能是防护针对Web应用的攻击，如SQL注入、跨站脚本（XSS）、文件包含等。这些攻击载荷均隐藏在HTTP/HTTPS协议的请求与响应内容中，属于OSI模型的**应用层（第7层）**。WAF通过深度包检测（DPI）分析应用层数据，而非仅检查IP或端口等低层信息。26.【参考答案】C【解析】Kerckhoffs原则指出，即使加密算法完全公开，只要密钥保密，系统就应是安全的。这一原则是现代密码学设计的基石，强调了密钥管理而非算法隐藏的重要性，避免了“安全通过隐蔽性”（securitythroughobscurity）的脆弱模式[[1]]。27.【参考答案】C【解析】S/MIME（Secure/MultipurposeInternetMailExtensions）基于公钥基础设施（PKI），支持对邮件进行数字签名和加密，从而实现身份认证、数据完整性与机密性。而SMTP、POP3和IMAP是基础邮件传输或接收协议，本身不具备安全机制[[13]]。28.【参考答案】D【解析】表示层（PresentationLayer）负责数据的语法转换、加密解密、压缩解压等，确保不同系统间数据格式兼容。例如SSL/TLS的部分功能就映射到该层。会话层管理会话建立与终止，而加密服务主要由表示层实现[[15]]。29.【参考答案】C【解析】哈希函数是单向函数，不可逆。其核心特性包括定长输出、抗碰撞性和雪崩效应。试图从哈希值反推原始数据在计算上不可行，这是其广泛用于密码存储和数字签名的基础[[1]]。30.【参考答案】B【解析】根据我国信息安全等级保护制度，第三级（监督保护级）适用于一旦遭到破坏，会对社会秩序、公共利益造成严重损害，或对国家安全造成损害的重要信息系统，如金融、能源、通信等关键基础设施[[9]]。31.【参考答案】ABD【解析】数字证书由可信的CA机构签发（A正确），包含公钥、身份信息、有效期和CA签名（B正确）。用户自签名证书不被PKI体系默认信任（C错误）。CRL确实用于发布被吊销的证书（D正确）。32.【参考答案】ABD【解析】预编译语句可有效分离代码与数据（A正确）；白名单验证限制输入格式（B正确）；WAF可识别并拦截恶意请求（D正确）。数据库默认值无法阻止注入（C错误）。33.【参考答案】AB【解析】TCP和UDP均工作在传输层，负责端到端通信（A、B正确）。IP和ICMP属于网络层（C、D错误）。34.【参考答案】AC【解析】AES和DES使用相同密钥加解密，属于对称加密（A、C正确）。RSA和ECC是非对称加密算法（B、D错误）。35.【参考答案】ABC【解析】反射型XSS依赖用户点击恶意链接（A正确）；存储型XSS可长期影响所有访问者（B正确）；HttpOnly可阻止JS访问Cookie（C正确）。XSS还可用于钓鱼、重定向等（D错误）[[8]]。36.【参考答案】AB【解析】netstat和ss均可显示网络连接、监听端口等信息（A、B正确）。ps和top用于查看进程和系统资源（C、D错误）。37.【参考答案】ABD【解析】HTTPS=HTTP+SSL/TLS（A正确），默认端口443（B正确）。浏览器会在证书无效时警告（D正确）。若用户忽略警告或攻击者拥有合法证书，中间人攻击仍可能发生（C错误）。38.【参考答案】ABD【解析】SYNFlood、UDPFlood和DNS放大攻击均通过耗尽资源实现DoS（A、B、D正确）。SQL注入属于数据层攻击，不直接导致服务拒绝（C错误）[[21]]。39.【参考答案】ABC【解析】哈希函数具备单向性（A正确）、定长输出（B正确）、可验证完整性（C正确）。MD5和SHA-1已被证明存在碰撞漏洞，不推荐用于高安全场景（D错误）。40.【参考答案】AC【解析】防火墙可基于IP/端口控制流量（A正确）；状态检测防火墙维护连接状态表（C正确）。传统防火墙难以监控应用层内容（D错误），且通常不防内部攻击（B错误）[[9]]。41.【参考答案】B,D【解析】对称加密算法指加密和解密使用相同密钥的算法。AES（高级加密标准）和DES（数据加密标准）是典型的对称加密算法。而RSA和ECC（椭圆曲线密码）属于非对称加密算法，使用公钥和私钥对[[4]]。42.【参考答案】A,B,C【解析】信息安全的三大核心属性是保密性（Confidentiality）、完整性（Integrity）和可用性（Availability），合称CIA三元组。可否认性并非基本安全属性，反而在某些场景（如数字签名）中需要避免[[8]]。43.【参考答案】B,C【解析】主动攻击指攻击者对数据流进行修改、伪造或中断，如重放攻击和拒绝服务攻击（DoS）。而窃听和流量分析属于被动攻击，仅监听而不干预通信过程[[2]]。44.【参考答案】A,B,D【解析】数字签名使用发送方私钥对消息摘要进行加密，接收方用发送方公钥验证，从而确保消息完整性、身份认证和不可否认性。签名过程不涉及接收方的公钥[[5]]。45.【参考答案】B【解析】SSH（SecureShell）是专为安全远程登录设计的协议，提供加密和身份认证。Telnet和FTP明文传输，不安全；HTTPS用于Web安全传输，不用于远程系统登录。46.【参考答案】A.正确【解析】对称加密算法的核心特征就是加密和解密过程使用相同的密钥，或者使用两个可以简单相互推算的密钥。常见的对称加密算法有AES、DES等。这种方式的优点是加解密速度快，适合大量数据的加密，但密钥分发和管理是其安全性的关键挑战[[1]]。47.【参考答案】A.正确【解析】防火墙是一种网络安全系统，其核心思想是根据预设的安全规则来监控和控制进出网络的流量，从而在不安全的网络环境中构造一个相对安全的内部子网。它是网络安全架构中最基础和重要的防线之一[[10]]。48.【参考答案】B.错误【解析】哈希函数是一种单向密码体制，它能将任意长度的输入（明文）变换成固定长度的输出（摘要）。这个过程是不可逆的，即无法从摘要反推出原始输入。这一特性使其广泛应用于数据完整性校验和密码存储等领域[[1]]。49.【参考答案】B.错误【解析】入侵检测系统（IDS）的核心功能是监控网络或系统中的活动，以识别可疑或恶意行为，并发出警报。它通常是被动的，负责“检测”而非“防御”。能够主动阻止攻击的是入侵防御系统（IPS），而非IDS[[11]]。50.【参考答案】A.正确【解析】我国的等级保护制度将信息系统的安全保护等级划分为五个级别，第一级为最低，第五级为最高。等级越高，意味着系统一旦遭到破坏，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的危害就越严重，因此其安全保护要求也相应更加严格[[26]]。51.【参考答案】A.正确【解析】PKI体系通过引入可信的第三方机构——证书颁发机构（CA），来签发数字证书。数字证书中包含了实体的公钥及其身份信息，并由CA的私钥进行签名。任何信任该CA的用户都可以通过验证证书签名来确认公钥确实属于该实体，从而解决了公钥分发和信任问题。52.【参考答案】A.正确【解析】ISO/IEC27001是全球公认的信息安全管理标准，它为组织建立、实施、维护和持续改进信息安全管理体系（ISMS）提供了系统化的要求和指导。该标准基于风险管理的理念，旨在确保组织信息资产的保密性、完整性和可用性[[20]]。53.【参考答案】A.正确【解析】CIA三元组是信息安全领域的基石。保密性确保信息不被未授权者访问；完整性保证信息在存储和传输过程中不被篡改；可用性则确保授权用户在需要时能够访问和使用信息。几乎所有安全措施的设计都围绕这三个核心目标展开[[5]]。54.【参考答案】B.错误【解析】计算机病毒和蠕虫都具有自我复制的能力。两者的主要区别在于传播方式：病毒通常需要依附于宿主程序（如可执行文件），并通过宿主程序的运行来传播；而蠕虫则是独立的程序，能够利用网络漏洞主动进行传播，不需要用户的干预。55.【参考答案】B.错误【解析】根据柯克霍夫原则（Kerckhoffs'sprinciple），一个密码系统的安全性不应依赖于算法的保密，而应仅依赖于密钥的保密。即使算法是公开的，只要密钥未被泄露，系统就应该是安全的。因此，现代密码系统的安全性核心在于密钥的管理，而非算法本身的复杂性[[5]]。

2025中国信息安全研究院有限公司校园招聘笔试历年难易错考点试卷带答案解析（第2套）一、单项选择题下列各题只有一个正确答案，请选出最恰当的选项（共30题）1、下列哪种加密算法属于对称加密算法？A.RSAB.DSAC.AESD.ECC2、在TCP/IP模型中，HTTP协议工作在哪一层？A.网络接口层B.网络层C.传输层D.应用层3、以下哪种方法是防御SQL注入攻击最有效的方式？A.使用复杂的密码B.对用户输入进行转义C.使用预编译语句和参数化查询D.关闭网站调试模式4、关于进程和线程的区别，下列描述正确的是？A.进程是CPU调度的基本单位，线程是资源分配的基本单位B.同一进程内的线程拥有独立的地址空间C.创建和切换线程的开销通常比进程小D.不同进程间可以直接共享内存数据5、下列关于TCP和UDP协议的描述，哪一项是正确的？A.TCP是无连接的协议，UDP是面向连接的协议B.TCP提供可靠传输，UDP不保证数据到达C.TCP传输效率高于UDP，适用于实时音视频传输D.UDP支持流量控制和拥塞控制6、在信息安全领域，用于衡量密码体制安全强度的一个重要指标是密钥空间的大小。下列密码算法中，属于非对称加密算法的是？A.AESB.DESC.RSAD.RC47、根据《信息安全等级保护管理办法》，信息系统的安全保护等级分为五级。其中，第三级的定义是？A.用户自主保护级B.系统审计保护级C.安全标记保护级D.结构化保护级8、在网络安全体系中，ARP欺骗攻击主要发生在OSI模型的哪一层？A.物理层B.数据链路层C.网络层D.传输层9、在数字签名技术中，以下哪种操作能确保消息的完整性和发送者身份的真实性？A.使用发送方的公钥对消息进行加密B.使用发送方的私钥对消息摘要进行加密C.使用接收方的公钥对消息进行加密D.使用接收方的私钥对消息摘要进行加密10、根据等级保护2.0（等保2.0）的要求，以下哪项是新增的通用安全要求控制点？A.入侵防范B.恶意代码防范C.可信验证D.安全审计11、在网络安全中，对称加密与非对称加密是两种基础的加密方式。以下关于这两种加密方式的说法，哪一项是正确的？A.非对称加密的加解密速度通常快于对称加密B.对称加密使用公钥和私钥两个不同的密钥C.非对称加密解决了密钥分发的安全问题D.对称加密更适合用于数字签名场景12、SQL注入是一种常见的Web安全漏洞。以下哪项措施最能有效防止SQL注入攻击？A.使用HTTPS协议加密传输B.对用户输入进行长度限制C.使用参数化查询（预编译语句）D.在前端使用JavaScript校验输入13、TCP协议在建立连接时采用“三次握手”机制。以下关于三次握手的说法中，正确的是？A.第二次握手由客户端发送SYN+ACK包B.三次握手的主要目的是防止DDoS攻击C.三次握手可以同步双方的初始序列号D.服务端在第一次握手后即进入ESTABLISHED状态14、根据OWASPTop10（2024版），以下哪项被列为最严重的Web应用安全风险？A.跨站脚本（XSS）B.安全配置错误C.失效的访问控制（BrokenAccessControl）D.不安全的反序列化15、关于数字签名技术，以下描述正确的是？A.数字签名使用发送方的公钥进行签名B.数字签名主要用于保证数据的机密性C.接收方可使用发送方的公钥验证签名D.数字签名可防止接收方否认收到消息16、在TCP/IP协议栈中，以下哪项描述准确反映了TCP与UDP的主要区别？A.TCP提供无连接服务，UDP提供面向连接的服务B.TCP保证数据传输的可靠性，UDP不保证数据传输的可靠性C.TCP传输效率通常低于UDP，因为其不进行数据校验D.UDP适用于需要可靠传输的应用，如文件传输17、下列哪种加密算法属于对称加密算法？A.RSAB.ECCC.AESD.DSA18、关于进程与线程的区别，下列说法正确的是？A.进程是资源分配的基本单位，线程是CPU调度的基本单位B.同一进程内的线程拥有各自独立的内存空间C.创建和切换线程的开销通常大于进程D.线程间通信需要通过操作系统内核进行，效率较低19、以下哪种方法是有效防止SQL注入攻击的核心措施？A.对用户输入的数据进行严格的类型检查和过滤B.使用存储过程代替动态SQL语句C.对所有用户输入进行参数化查询（预编译语句）D.禁用数据库的远程访问功能20、在操作系统中，导致死锁的四个必要条件不包括以下哪一项？A.互斥条件B.请求与保持条件C.可剥夺条件D.循环等待条件21、在TCP连接建立过程中，为什么需要三次握手而不是两次？以下哪个选项最准确地解释了其主要原因？A.为了确保服务器端的接收能力正常B.为了同步客户端和服务器的初始序列号C.为了防止网络中滞留的旧连接请求报文段导致服务器错误地建立连接D.为了确认客户端的发送能力正常22、在数据加密场景中，哪种情况最适合使用非对称加密算法？A.对大量文件进行快速加密和解密B.在通信双方之间安全地交换一个用于后续对称加密的会话密钥C.加密数据库中存储的用户密码D.对本地硬盘上的整个分区进行全盘加密23、下列哪种行为最能有效防御SQL注入攻击？A.对所有用户输入的数据进行大小写转换B.使用参数化查询（预编译语句）处理用户输入C.在数据库中禁用所有外部连接D.限制数据库用户的登录时间24、关于哈希函数的特性，以下哪项描述是正确的？A.哈希函数的输出长度可以根据输入数据的大小动态调整B.从哈希值反向推导出原始输入数据在计算上是可行的C.理论上，两个不同的输入不可能产生相同的哈希值D.哈希函数具有单向性，即从输入可以很容易计算出输出，但从输出几乎不可能反推出输入25、在信息安全领域，对称加密算法与非对称加密算法相比，其主要优势在于？A.密钥管理更为简单B.能够实现数字签名和身份认证C.加密和解密的速度更快，效率更高D.不需要密钥即可进行加密26、在信息安全中，用于确保信息仅被授权用户访问的特性被称为？A.完整性B.可用性C.机密性D.不可否认性27、下列哪种加密方式使用一对密钥，其中一个用于加密，另一个用于解密？A.对称加密B.哈希加密C.非对称加密D.流加密28、数字签名技术主要利用了哪种加密方式来实现身份认证和防抵赖？A.对称加密B.非对称加密C.散列函数D.混合加密29、防火墙在网络中主要起到什么作用？A.加密网络传输数据B.检测并清除计算机病毒C.充当网络边界过滤器，控制进出网络的数据流D.管理用户身份认证30、关于对称加密与非对称加密，以下哪项描述是正确的？A.对称加密速度慢，适合加密大量数据B.非对称加密使用单一密钥C.对称加密在密钥分发上存在安全挑战D.非对称加密速度更快二、多项选择题下列各题有多个正确答案，请选出所有正确选项（共15题）31、下列哪些属于常见的网络攻击类型？A.拒绝服务（DoS）攻击B.中间人（MITM）攻击C.SQL注入D.跨站脚本（XSS）攻击32、下列关于哈希函数（Hash函数）特性的描述，哪些是正确的？A.哈希函数能将任意长度的输入映射为固定长度的输出。B.哈希函数的运算过程是可逆的，可以从输出值反推出原始输入。C.哈希函数应具备单向性，即从输入计算输出容易，但从输出反推输入在计算上不可行。D.哈希函数需要满足强抗碰撞性，即很难找到两个不同的输入产生相同的输出。33、在网络安全中，防火墙主要作用于哪些网络域之间？A.内部网络与外部网络B.不同安全级别的子网之间C.同一局域网内的不同主机之间D.服务器与客户端之间34、以下哪些属于信息安全的三大核心目标（CIA三元组）？A.保密性（Confidentiality）B.完整性（Integrity）C.可用性（Availability）D.不可否认性（Non-repudiation）35、关于对称加密算法，下列说法正确的有哪些？A.加密和解密使用相同的密钥。B.加密速度快，适合大量数据加密。C.密钥分发和管理是其主要挑战。D.常见的对称加密算法有RSA和ECC。36、下列哪些措施可以有效提升系统账户的安全性？A.设置复杂且长度足够的密码。B.定期强制用户更改密码。C.启用账户锁定策略，如连续多次失败登录后锁定账户。D.将密码明文存储在数据库中。37、下列关于数字签名的描述，哪些是正确的？A.数字签名可以验证信息的发送者身份。B.数字签名可以保证信息在传输过程中未被篡改。C.数字签名通常使用发送方的私钥进行生成。D.数字签名使用接收方的公钥进行验证。38、在网络安全中，拒绝服务攻击（DoS）的主要目的是什么？A.窃取用户敏感数据。B.破坏系统的机密性。C.使系统资源耗尽，导致服务不可用。D.获取系统的管理员权限。39、以下哪些技术可以用于实现数据完整性校验？A.MD5B.SHA-256C.AES加密D.HMAC40、关于SSL/TLS协议，下列说法正确的有哪些？A.它主要用于在互联网上提供安全的通信通道。B.它结合了对称加密和非对称加密技术。C.它可以防止中间人攻击（MITM）。D.它仅用于保护网页浏览（HTTPS）。41、在操作系统安全中，最小权限原则（PrincipleofLeastPrivilege）指的是什么？A.用户应拥有完成其工作所需的最高权限。B.用户和程序应仅被授予执行其任务所必需的最小权限。C.系统管理员应拥有所有权限以便于管理。D.程序运行时应使用系统最高权限以确保功能完整。42、在TCP/IP协议栈中，以下哪些协议工作在传输层？A.IPB.TCPC.UDPD.HTTPE.ICMP43、以下哪些是常见的对称加密算法？A.RSAB.AESC.DESD.ECCE.SHA-25644、关于防火墙，以下说法正确的有哪些？A.防火墙可以完全阻止所有网络攻击B.状态检测防火墙能够跟踪连接状态C.代理防火墙工作在应用层D.包过滤防火墙主要基于IP地址和端口进行过滤E.防火墙只能部署在网络边界45、以下哪些措施可以有效防范SQL注入攻击？A.对用户输入进行严格的验证和过滤B.使用参数化查询或预编译语句C.为数据库账户分配最小必要权限D.在前端使用JavaScript进行输入验证E.定期更新和修补数据库系统三、判断题判断下列说法是否正确（共10题）46、主动攻击是指攻击者试图获取、篡改或重放通信内容，而被动攻击则仅是窃听和监视通信，不会修改数据。A.正确B.错误47、根据Kerckhoff原则，一个密码系统的安全性应依赖于密钥的保密性，而非算法本身的保密性。A.正确B.错误48、数字签名可以同时提供数据的完整性、身份认证和不可否认性。A.正确B.错误49、在对称加密算法中，加密和解密使用的是同一把密钥。A.正确B.错误50、防火墙可以完全阻止来自内部网络的攻击。A.正确B.错误51、哈希函数（如SHA-256）可以用于验证数据的完整性，但不能用于加密数据。A.正确B.错误52、PKI（公钥基础设施）体系中，数字证书的作用是绑定公钥与实体身份。A.正确B.错误53、“中间人攻击”属于被动攻击的一种。A.正确B.错误54、访问控制的三大基本要素是主体、客体和访问权限。A.正确B.错误55、SSL/TLS协议主要用于保障Web通信的机密性和完整性。A.正确B.错误

参考答案及解析1.【参考答案】C【解析】对称加密算法使用相同的密钥进行加密和解密，AES（高级加密标准）是目前最广泛使用的对称加密算法之一，具有高效性和安全性[[20]]。而RSA、DSA和ECC都属于非对称加密算法，它们使用一对公钥和私钥[[17]]。2.【参考答案】D【解析】HTTP（超文本传输协议）是用于传输超文本的应用层协议，它依赖于下层的TCP协议提供可靠的传输服务[[9]]。网络接口层处理物理连接，网络层负责IP寻址与路由，传输层则由TCP或UDP负责端到端的数据传输[[13]]。3.【参考答案】C【解析】使用预编译语句（PreparedStatements）和参数化查询是防御SQL注入的根本方法，它能确保用户输入的数据被当作数据而非可执行的SQL代码处理，从而彻底避免拼接SQL语句带来的风险[[32]]。虽然输入转义和验证也有帮助，但不如参数化查询可靠[[26]]。4.【参考答案】C【解析】线程是操作系统进行任务调度和执行的基本单位，而进程是资源分配的基本单位[[35]]。同一进程内的所有线程共享该进程的地址空间和资源，因此创建和切换线程的开销远小于创建和切换独立的进程[[38]]。不同进程间有独立的地址空间，不能直接共享内存。5.【参考答案】B【解析】TCP是面向连接的协议，通过三次握手建立连接，提供可靠、有序、带流量和拥塞控制的数据传输[[8]]。UDP是无连接的协议，不保证数据包的顺序和到达，传输效率高，适用于对实时性要求高的场景，如音视频流[[10]]。因此，B项描述正确。6.【参考答案】C【解析】AES、DES和RC4均为对称加密算法，其加密和解密使用相同的密钥。RSA是一种公钥密码算法，即非对称加密算法，其使用一对密钥：公钥用于加密，私钥用于解密，安全性基于大整数分解难题[[10]]。7.【参考答案】C【解析】我国等级保护制度中，第一级为用户自主保护级，第二级为系统审计保护级，第三级为安全标记保护级，适用于一旦受到破坏会对社会秩序和公共利益造成严重损害的信息系统[[17]]。8.【参考答案】B【解析】ARP（地址解析协议）用于将IP地址解析为MAC地址，其工作在OSI模型的数据链路层。ARP欺骗通过伪造ARP响应报文，使目标主机将攻击者的MAC地址误认为是网关或其他主机的MAC地址，从而实现中间人攻击[[10]]。9.【参考答案】B【解析】数字签名的核心是：发送方使用自己的私钥对消息的哈希值（摘要）进行加密，生成签名。接收方使用发送方的公钥解密签名，得到摘要，并与自己计算的摘要比对。若一致，则证明消息未被篡改且确由发送方发出[[10]]。10.【参考答案】C【解析】等保2.0相比1.0，在多个安全层面新增了“可信验证”控制点，要求采用可信计算技术对系统引导程序、系统程序等进行完整性验证，确保系统运行环境的可信性，这是等保2.0的重要变化之一[[14]]。11.【参考答案】C【解析】对称加密使用同一个密钥进行加解密，效率高但密钥分发困难；非对称加密使用公钥加密、私钥解密，虽然速度慢，但有效解决了密钥在不安全信道中传递的问题，因此常用于密钥交换和数字签名等场景[[6]][[10]]。12.【参考答案】C【解析】SQL注入的根本原因是将用户输入直接拼接到SQL语句中。参数化查询通过预编译机制，使用户输入被视为数据而非SQL代码，从根本上阻断注入路径。前端校验和长度限制可被绕过，HTTPS仅加密传输过程，无法防止服务器端执行恶意SQL[[18]][[23]]。13.【参考答案】C【解析】三次握手过程中，客户端和服务端通过交换SYN和ACK包，协商并同步各自的初始序列号（ISN），为后续可靠传输奠定基础。第二次握手由服务端发送SYN+ACK；服务端在第三次握手收到ACK后才进入ESTABLISHED状态；三次握手并非专为防DDoS设计[[26]][[31]]。14.【参考答案】C【解析】在OWASPTop102024中，“失效的访问控制”位列第一，指应用未正确限制用户对资源的访问权限，导致越权操作。尽管XSS曾长期位居前列，但在最新版本中其严重性已被访问控制问题超越[[36]][[44]]。15.【参考答案】C【解析】数字签名使用发送方的私钥对消息摘要进行加密生成签名，接收方使用发送方的公钥解密并验证，从而确保消息的完整性和不可否认性。其主要用于认证和完整性，而非机密性；防止的是发送方抵赖，而非接收方否认[[6]][[14]]。16.【参考答案】B【解析】TCP（传输控制协议）是面向连接的协议，通过三次握手建立连接，提供可靠的数据传输服务，包括确认、重传、流量控制和拥塞控制机制，确保数据按序、无差错到达[[8]]。UDP（用户数据报协议）是无连接的，不建立连接，也不提供重传或确认机制，因此不保证数据的可靠性和顺序，但传输效率更高，适用于实时性要求高的应用，如视频流或DNS查询[[9]]。17.【参考答案】C【解析】对称加密算法使用相同的密钥进行加密和解密，具有加密解密速度快的特点。AES（高级加密标准）是目前广泛使用的对称加密算法[[13]]。而RSA、ECC（椭圆曲线加密）和DSA都是非对称加密算法，它们使用一对公钥和私钥，公钥用于加密或验证签名，私钥用于解密或生成签名[[18]]。18.【参考答案】A【解析】进程是操作系统进行资源分配（如内存、文件句柄）的基本单位，而线程是CPU调度和执行的基本单位，一个进程可以包含多个线程[[25]]。同一进程内的线程共享该进程的内存空间和资源，这使得线程间的通信比进程间通信更高效[[26]]。创建和切换线程的开销远小于进程，因为无需分配独立的内存空间[[26]]。19.【参考答案】C【解析】SQL注入的根本原因是用户输入被直接拼接到SQL语句中，攻击者通过构造恶意输入改变SQL语句的逻辑[[32]]。参数化查询（或称预编译语句）是防御SQL注入最有效的方法，它将用户输入作为参数传递，数据库引擎会将其视为纯粹的数据而非可执行代码，从而彻底阻断了注入的可能性[[38]]。虽然输入过滤和使用存储过程也有帮助，但不如参数化查询彻底和可靠。20.【参考答案】C【解析】死锁的四个必要条件是：互斥条件（资源一次只能被一个进程占用）、请求与保持条件（进程已占有资源又申请新资源）、不剥夺条件（已分配给进程的资源不能被系统强行收回）和循环等待条件（存在一个进程-资源的环形等待链[[29]]）。"可剥夺条件"与死锁的必要条件相反，如果资源可以被剥夺，系统就能打破死锁，因此它不是导致死锁的条件，而是预防或解除死锁的一种手段[[27]]。21.【参考答案】C【解析】三次握手的核心目的之一是防止历史连接请求的干扰。如果只用两次握手，当网络中存在延迟的旧SYN报文段最终到达服务器时，服务器会误认为是新的连接请求而建立连接，造成资源浪费。第三次握手（客户端确认收到服务器的SYN-ACK）能有效避免这种情况，确保连接是当前有效的请求所发起的[[16]]。22.【参考答案】B【解析】非对称加密计算开销大、速度慢，不适合加密大量数据[[27]]。它主要用于解决密钥分发问题，例如在SSL/TLS协议中，客户端使用服务器的公钥加密一个随机生成的对称密钥，然后发送给服务器，之后双方使用该对称密钥进行高效的数据加密[[25]]。这结合了两种加密方式的优势。23.【参考答案】B【解析】SQL注入的根本原因是应用程序将用户输入直接拼接到SQL语句中执行。参数化查询通过将用户输入作为参数传递，确保其被数据库引擎视为数据而非可执行的SQL代码，从根本上切断了攻击者注入恶意SQL命令的途径，是防御SQL注入最有效、最推荐的方法[[34]]。24.【参考答案】D【解析】哈希函数的关键特性是单向性（或称不可逆性）和抗碰撞性。单向性指从输入计算输出非常容易，但根据输出反推输入在计算上是不可行的[[39]]。抗碰撞性指找到两个不同输入产生相同哈希值极其困难，但理论上并非绝对不可能[[42]]。哈希函数的输出长度是固定的，与输入长度无关。25.【参考答案】C【解析】对称加密算法（如AES）的加密和解密过程使用相同的密钥，算法相对简单，计算量小，因此处理大量数据时速度远快于非对称加密算法（如RSA）[[22]]。其主要缺点是密钥分发和管理的安全性问题，而非对称加密则擅长解决密钥交换和身份认证[[23]]。26.【参考答案】C【解析】机密性（Confidentiality）是信息安全的核心属性之一，指信息不被泄露给非授权的用户、实体或过程[[36]]。它通过加密、访问控制等技术实现，确保敏感数据仅对拥有权限的人员可见，区别于完整性（防止篡改）和可用性（确保可访问）[[42]]。27.【参考答案】C【解析】非对称加密，也称公钥加密，使用一对数学上相关的密钥：公钥用于加密，私钥用于解密[[16]]。发送方用接收方的公钥加密，只有接收方的私钥能解密，解决了对称加密的密钥分发难题[[18]]。28.【参考答案】B【解析】数字签名通过发送方使用其私钥对消息摘要进行加密来实现[[28]]。接收方使用发送方公开的公钥解密签名，验证其真实性并确认信息未被篡改，此过程依赖于非对称加密体系[[29]]。29.【参考答案】C【解析】防火墙是一种网络安全系统，其基本工作原理是作为过滤器（Filter），根据预设的安全规则监控并控制进出网络的数据包，阻止可疑或未经授权的流量通过，保护内部网络[[19]]。30.【参考答案】C【解析】对称加密使用同一密钥进行加解密，算法简单、速度快，适合加密大量数据[[20]]，但其主要缺点是密钥需在通信双方安全共享，密钥分发和管理过程易成为安全漏洞[[19]]。非对称加密速度较慢[[20]]。31.【参考答案】A,B,C,D【解析】拒绝服务攻击旨在耗尽目标资源使其不可用[[15]]，中间人攻击窃听或篡改通信[[16]]，SQL注入利用输入漏洞执行恶意数据库命令[[22]]，跨站脚本攻击则在用户浏览器中注入恶意脚本[[17]]，这些都是信息安全领域高频考点。

2.【题干】以下哪些加密算法属于对称加密？

【选项】A.RSAB.AESC.DESD.ECC

【参考答案】B,C

【解析】对称加密使用同一密钥进行加解密。AES（高级加密标准）和DES（数据加密标准）是典型对称算法[[8]]。RSA和ECC属于非对称加密，使用公钥和私钥对，两者机制不同。

3.【题干】关于防火墙的功能，下列说法正确的是？

【选项】A.可以完全阻止所有病毒传播B.能根据IP地址和端口进行访问控制C.是网络层和应用层的安全防护设备D.能防御所有类型的DDoS攻击

【参考答案】B,C

【解析】防火墙主要基于规则（如IP、端口）过滤流量，实现网络层和部分应用层防护[[18]]。它无法完全阻止病毒（需杀毒软件）或所有DDoS攻击（需专门的抗DDoS系统），故A、D错误。

4.【题干】下列哪些行为可能构成社会工程学攻击？

【选项】A.发送伪装成银行的钓鱼邮件B.通过电话套取员工密码C.在公共场所放置带恶意软件的U盘D.利用软件漏洞进行远程代码执行

【参考答案】A,B,C

【解析】社会工程学攻击利用人性弱点而非技术漏洞。钓鱼邮件、电话诈骗、丢弃U盘都是典型手段[[19]]。利用软件漏洞属于技术攻击，不属于社会工程学范畴。

5.【题干】下列关于SSL/TLS协议的说法，正确的是？

【选项】A.主要用于保障网络层数据传输安全B.通过数字证书验证服务器身份C.使用非对称加密协商会话密钥D.会话密钥用于后续数据加密

【参考答案】B,C,D

【解析】SSL/TLS工作在传输层，保障应用层数据安全，故A错误。其核心是使用数字证书验证身份（B），通过非对称加密安全协商出对称会话密钥（C），并用该密钥加密后续通信（D）。

6.【题干】以下哪些是常见的Web应用安全漏洞？

【选项】A.文件路径遍历B.服务器端请求伪造（SSRF）C.缓冲区溢出D.不安全的直接对象引用（IDOR）

【参考答案】A,B,D

【解析】文件路径遍历（A）、SSRF（B）和IDOR（D）都是Web应用层面的典型漏洞[[17]]。缓冲区溢出更多出现在C/C++编写的底层程序或系统服务中，属于系统安全漏洞。

7.【题干】关于VPN（虚拟专用网络），下列说法正确的是？

【选项】A.能加密用户与服务器之间的所有通信B.可以防止用户设备感染病毒C.通常用于远程安全访问企业内网D.能完全隐藏用户的真实IP地址

【参考答案】A,C,D

【解析】VPN通过隧道加密通信，保护数据并隐藏IP（A,D）。其主要用途是安全远程接入（C）。但VPN本身不提供病毒防护，用户仍需安装杀毒软件，故B错误[[20]]。

8.【题干】下列哪些措施有助于防范网络钓鱼攻击？

【选项】A.对邮件发件人地址进行仔细核验B.不点击来源不明的链接C.启用双因素认证（2FA）D.定期更新操作系统补丁

【参考答案】A,B,C

【解析】网络钓鱼依赖欺骗用户。核验发件人（A）、不点链接（B）是直接防御手段，双因素认证（C）即使密码泄露也能保护账户。更新补丁（D）主要防御已知漏洞，对钓鱼攻击作用间接。

9.【题干】DNS（域名系统）安全相关的威胁包括？

【选项】A.DNS缓存投毒B.DNS劫持C.DNS隧道D.DNS放大攻击

【参考答案】A,B,C,D

【解析】DNS缓存投毒（A）和DNS劫持（B）篡改域名解析结果；DNS隧道（C）利用DNS查询传输恶意数据；DNS放大攻击（D）是DDoS的一种，利用DNS服务器响应放大流量[[22]]。

10.【题干】下列哪些属于信息安全管理体系（ISMS）的核心原则？

【选项】A.保密性B.完整性C.可用性D.不可否认性

【参考答案】A,B,C,D

【解析】信息安全的CIA三要素是保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。不可否认性（Non-repudiation）是确保行为可追溯的重要补充原则，共同构成ISMS基础。32.【参考答案】A,C,D【解析】哈希函数的核心特性包括：输入任意长度，输出固定长度[[15]]；单向性，即无法从哈希值逆向推导出原数据[[20]]；以及抗碰撞性，包括弱抗碰撞（给定一个输入，很难找到另一个输入产生相同哈希）和强抗碰撞（很难找到任意两个不同输入产生相同哈希）[[19]]。哈希函数的设计目标是单向不可逆，因此选项B错误。33.【参考答案】A,B【解析】防火墙是一种部署在网络边界的安全设备，用于监控和控制不同安全域之间的通信流[[9]]。其主要功能是隔离内部可信网络与外部不可信网络（如互联网）[[9]]，以及在企业内部不同安全级别（如DMZ区、内网）的子网间实施访问控制策略。虽然防火墙规则可应用于服务器与客户端通信，但其核心定位是域间边界防护，而非主机间直接控制。34.【参考答案】A,B,C【解析】信息安全的CIA三元组是基础模型，指保密性（确保信息不被未授权访问）、完整性（确保信息在传输和存储中未被篡改）和可用性（确保授权用户能及时可靠地访问信息）[[7]]。不可否认性虽然也是重要的安全目标，用于防止用户否认其行为，但它不属于CIA三元组的核心组成部分。35.【参考答案】A,B,C【解析】对称加密算法的特点是加密和解密使用同一个密钥[[9]]，因此其运算速度快，效率高，适用于加密大量数据。然而，通信双方必须安全地共享密钥，密钥的分发和管理是其面临的主要安全挑战。RSA和ECC属于非对称加密算法，因此选项D错误。36.【参考答案】A,B,C【解析】提升账户安全性的有效措施包括：设置强密码（复杂、长）[[8]]，定期更换密码以降低长期泄露风险，以及启用账户锁定机制（如连续三次错误登录后锁定）[[8]]。将密码明文存储是严重的安全漏洞，正确的做法是使用安全的哈希算法（如SHA-256）加盐（salt）存储密码摘要，因此选项D错误。37.【参考答案】A,B,C【解析】数字签名利用非对称加密技术，发送方使用自己的私钥对信息的哈希值进行加密生成签名，接收方则使用发送方的公钥来验证签名[[22]]。这一过程确保了信息的来源真实（身份认证）和内容完整（未被篡改）。验证时使用的是发送方的公钥，而非接收方的公钥，因此选项D错误。38.【参考答案】C【解析】拒绝服务攻击（DoS）的核心目标是通过向目标系统发送大量请求（如消耗带宽、占用CPU或内存），使其资源耗尽，从而无法响应合法用户的正常请求，导致服务中断[[10]]。它不以窃取数据或获取权限为主要目的，而是破坏服务的可用性。39.【参考答案】A,B,D【解析】MD5和SHA-256是常用的哈希函数，通过计算数据的哈希值来校验其完整性，若数据被篡改，哈希值会改变[[15]]。HMAC（基于哈希的消息认证码）结合了密钥和哈希函数，不仅能校验完整性，还能验证消息来源。AES是一种对称加密算法，主要用于保证数据的保密性，而非完整性校验。40.【参考答案】A,B,C【解析】SSL/TLS协议是保障网络通信安全的基础协议，广泛用于HTTPS等场景[[22]]。它通过非对称加密协商会话密钥，再用对称加密进行高效的数据传输[[9]]。通过数字证书验证服务器身份，能有效防范中间人攻击。虽然HTTPS是其最常见应用，但SSL/TLS也可用于保护邮件、VPN等多种服务，因此选项D表述过于局限，错误。41.【参考答案】B【解析】最小权限原则是安全设计的基本准则，它要求用户和进程只被授予完成其特定任务所必需的最小权限集[[9]]。这能有效限制潜在攻击或错误操作的影响范围。选项A、C、D均违背了该原则，会显著增加系统风险。42.【参考答案】B,C【解析】TCP/IP协议栈的传输层主要负责端到端的通信。其中，TCP（传输控制协议）提供可靠的、面向连接的服务；UDP（用户数据报协议）提供不可靠的、无连接的服务。IP和ICMP属于网络层，HTTP属于应用层。因此，正确答案是B和C[[18]]。43.【参考答案】B,C【解析】对称加密算法使用同一个密钥进行加密和解密。AES（高级加密标准）和DES（数据加密标准）是典型的对称加密算法。RSA和ECC是非对称加密算法，而SHA-256是哈希算法，用于生成数据摘要，不属于加密算法。44.【参考答案】B,C,D【解析】防火墙是重要的网络安全设备，但无法完全阻止所有攻击（A错误）。状态检测防火墙通过维护连接状态表来增强安全性（B正确）。代理防火墙作为应用层网关，可以深度检查应用层数据（C正确）。包过滤防火墙工作在网络层，依据IP地址、端口等信息过滤（D正确）。防火墙也可部署在内网不同区域之间（E错误）[[21]]。45.【参考答案】A,B,C,E【解析】防范SQL注入的核心在于后端对输入的处理。对用户输入进行验证和过滤（A）、使用参数化查询（B）、遵循最小权限原则（C）以及及时修补系统漏洞（E）都是有效手段。前端JavaScript验证（D）容易被绕过，不能作为主要防御措施。46.【参考答案】A【解析】主动攻击包括篡改、伪造、重放等行为，会对通信内容造成影响；被动攻击如窃听，仅观察信息流但不修改数据，难以被检测。这是信息安全中对攻击类型的基本划分[[21]]。47.【参考答案】A【解析】Kerckhoff原则是现代密码学基石之一，主张即使加密算法完全公开，只要密钥保密，系统就是安全的。这有利于算法接受广泛审查，提升整体安全性[[24]]。48.【参考答案】A【解析】数字签名通过私钥对消息摘要进行加密，接收方用公钥验证，确保消息未被篡改（完整性）、发送者身份真实（认证），且发送者事后无法否认签名行为（不可否认性）[[1]]。49.【参考答案】A【解析】对称加密（如AES、DES）的核心特征是加解密使用相同密钥，其优势是速度快，但密钥分发和管理是其主要挑战[[2]]。50.【参考答案】B【解析】传统防火墙主要防御外部对内部网络的攻击，对内部用户发起的攻击（如内部员工恶意行为）通常无能为力，需配合内部审计、终端安全等措施[[18]]。51.【参考答案】A【解析】哈希函数是单向函数，将任意长度输入映射为固定长度摘要，不可逆，因此不能用于加密（加密需可逆）。但其抗碰撞性可用于检测数据是否被篡改[[22]]。52.【参考答案】A【解析】数字证书由可信的CA签发，包含公钥、持有者身份信息及CA签名，用于证明公钥归属，是PKI实现身份认证的核心机制[[1]]。53.【参考答案】B【解析】中间人攻击（MitM）中，攻击者不仅监听通信，还会拦截、篡改甚至伪造通信内容，属于典型的主动攻击，而非仅窃听的被动攻击[[21]]。54.【参考答案】A【解析】访问控制模型（如DAC、MAC）均围绕主体（如用户）、客体（如文件）及主体对客体的操作权限（如读、写）三个核心要素构建，是安全策略实施的基础[[5]]。55.【参考答案】A【解析】SSL/TLS通过加密（如AES）保障数据机密性，通过消息认证码（MAC）或AEAD模式保障完整性，广泛应用于HTTPS等安全通信场景，是网络安全基础协议[[6]]。

2025中国信息安全研究院有限公司校园招聘笔试历年难易错考点试卷带答案解析（第3套）一、单项选择题下列各题只有一个正确答案，请选出最恰当的选项（共30题）1、在TCP/IP协议中，建立可靠连接时需要进行三次握手。以下哪一项最准确地描述了三次握手的主要目的？A.确保客户端和服务器双方的发送和接收能力正常，并同步双方的初始序列号。B.用于协商传输层协议（如TCP或UDP）的版本。C.用于验证客户端的身份，防止未经授权的连接。D.用于在建立连接前交换加密密钥，保证后续通信的机密性。2、在信息安全领域，对称加密算法与非对称加密算法的主要区别是什么？A.对称加密使用公钥和私钥，而非对称加密使用单一密钥。B.对称加密的加密和解密使用相同的密钥，而非对称加密使用一对公钥和私钥。C.对称加密算法比非对称加密算法更安全，但速度更慢。D.非对称加密算法主要用于加密大量数据，而对称加密算法主要用于密钥交换。3、下列哪种攻击方式是通过在Web表单或URL参数中插入恶意SQL代码，以试图操纵后端数据库？A.XSS（跨站脚本攻击）B.CSRF（跨站请求伪造）C.SQL注入D.DDoS（分布式拒绝服务攻击）4、关于哈希算法（如MD5、SHA-1、SHA-256），以下哪一项是其核心特性之一？A.可以根据哈希值轻易地反推出原始输入数据。B.输入数据的微小变化会导致输出的哈希值产生巨大且不可预测的变化。C.哈希算法的输出长度会根据输入数据的大小而变化。D.哈希算法主要用于数据的加密和解密。5、在网络安全中，为了防御跨站脚本攻击（XSS），以下哪种方法是最直接有效的？A.在服务器端部署防火墙，阻止所有外部访问。B.对所有用户输入的内容进行严格的过滤和转义，并在输出到页面时进行编码。C.强制使用HTTPS协议进行所有通信。D.定期对服务器进行物理安全检查。6、在网络安全中，以下哪种攻击方式是通过利用网站对用户浏览器的信任，诱使已登录用户在不知情的情况下执行非预期的操作？A.SQL注入B.跨站脚本攻击（XSS）C.跨站请求伪造（CSRF）D.分布式拒绝服务攻击（DDoS）7、在加密技术中，AES算法属于哪一类加密方法？A.非对称加密B.公钥加密C.对称加密D.数字签名8、下列网络协议中，哪个默认使用TCP端口25进行通信？A.HTTPB.HTTPSC.SMTPD.FTP9、在OSI七层模型中，负责在源主机和目的主机之间提供端到端的数据传输服务，确保数据包的可靠交付的是哪一层？A.网络层B.数据链路层C.传输层D.应用层10、Web应用中，攻击者通过在网页中注入恶意脚本代码，当其他用户浏览该页面时，脚本会在其浏览器中执行，这种攻击方式被称为？A.SQL注入B.命令注入C.跨站脚本攻击（XSS）D.文件包含漏洞11、在加密技术中，对称加密与非对称加密的主要区别在于密钥的使用方式。下列关于二者区别的描述，哪一项是正确的？A.对称加密使用一对密钥（公钥和私钥），而非对称加密仅使用一个共享密钥。B.对称加密的加密和解密过程使用相同的密钥，而非对称加密使用一对不同的密钥。C.非对称加密的运算速度通常比对称加密更快，因此更适合加密大量数据。D.对称加密的密钥可以安全地通过公共网络传输，而无需担心被截获。12、在网络通信中，TCP协议通过“三次握手”建立连接。下列哪一项不属于TCP三次握手的目的？A.确认双方的发送和接收能力正常。B.同步双方的序列号（SequenceNumber），为可靠传输做准备。C.交换双方用于加密通信的会话密钥。D.确保连接建立的可靠性，防止因网络延迟导致的旧连接请求干扰。13、在Web应用安全中，SQL注入攻击的根本原因是什么？A.Web服务器配置了不安全的SSL/TLS协议。B.用户输入的数据未经充分验证和过滤，直接拼接到SQL查询语句中。C.客户端浏览器未启用JavaScript安全功能。D.网络防火墙规则配置不当，允许了非授权端口访问。14、关于哈希函数（如MD5、SHA-1）的特性，以下哪一项描述是错误的？A.哈希函数能将任意长度的输入数据转换为固定长度的输出。B.哈希函数具有单向性，即从输出的哈希值几乎不可能推算出原始输入。C.哈希函数的输出值（哈希值）是唯一的，任何两个不同的输入数据产生的哈希值必然不同。D.理想的哈希函数应具有抗碰撞性，即很难找到两个不同的输入产生相同的哈希值。15、以下哪种攻击方式属于跨站脚本攻击（XSS）？A.攻击者通过发送大量请