2025年信息安全工程师《信息安全技术》真题

2025年信息安全工程师《信息安全技术》真题考试时间：______分钟总分：______分姓名：______一、单项选择题（每题1分，共50分）1.信息安全的基本属性不包括以下哪一项？A.机密性B.完整性C.可用性D.可追溯性2.在信息安全威胁中，"恶意软件"属于哪一类威胁？A.自然灾害B.操作失误C.计算机病毒/蠕虫/木马D.外部攻击3.以下哪种加密算法属于对称加密算法？A.RSAB.ECCC.DESD.SHA-2564.数字签名主要依靠哪个技术来实现身份认证和防抵赖？A.对称加密B.非对称加密C.哈希函数D.证书5.以下哪个国际标准组织负责制定信息安全相关的ISO/IEC标准？A.IEEEB.ACMC.ISO/IECJTC1D.NIST6.根据中国《网络安全法》，网络运营者对其网络安全负责。关键信息基础设施的运营者除满足一般规定外，还应当履行什么特殊义务？A.仅需定期进行安全评估B.建立监测预警和信息通报制度C.对非关键信息基础设施进行保护D.只需在发生安全事件后上报7.等级保护制度中，等级划分的主要依据是什么？A.系统的复杂程度B.系统的负责人C.系统在国家安全、经济建设、社会生活中的重要程度以及一旦遭到破坏、丧失功能或者数据泄露可能造成的危害程度D.系统的技术水平8.用于将网络划分为不同安全域，控制域间访问行为的设备是？A.代理服务器B.防火墙C.入侵检测系统D.路由器9.在网络安全防护中，"纵深防御"策略的核心思想是？A.集中所有安全资源于单点防御B.在网络边界设置多重安全防护措施C.依赖单一的安全技术和设备D.仅保护最关键的数据10.哪种攻击方式利用系统或网络中存在的未授权访问权限，获取敏感信息或执行恶意操作？A.拒绝服务攻击（DoS）B.密码破解C.权限提升D.恶意软件植入11.对网络传输的数据进行加密，以防止窃听的是哪种安全机制？A.身份认证B.数据加密C.访问控制D.安全审计12.以下哪项不属于常见的安全审计日志类型？A.用户登录/退出日志B.系统配置变更日志C.应用程序使用日志D.网络设备性能监控日志13.信息安全风险评估的基本流程通常包括哪些主要步骤？（选择最重要的两个）A.风险识别、风险分析与评估、风险处理B.风险识别、风险评估、风险沟通C.资产识别、威胁识别、脆弱性识别、风险计算D.风险接受、风险规避、风险转移、风险降低14.哪种认证方法结合了“你知道什么”（如口令）和“你拥有什么”（如令牌）两种因素？A.基于知识认证B.基于拥有物认证C.多因素认证D.生物识别认证15.在主机安全防护中，定期对操作系统进行安全基线检查和加固属于哪方面的工作？A.物理安全B.逻辑安全C.网络安全D.应用安全16.用于检测网络流量中是否存在恶意攻击行为的安全设备是？A.防火墙B.入侵防御系统（IPS）C.VPN设备D.网络分析器17.数据备份的目的是什么？A.提高系统运行速度B.防止数据丢失C.加强网络连接D.减少系统资源占用18.在Web应用安全中，SQL注入攻击主要是利用了什么弱点？A.跨站脚本（XSS）B.会话管理缺陷C.不安全的直接对象引用（IDOR）D.数据库访问层的安全漏洞19.根据密码学原理，公钥用于加密数据，私钥用于解密数据。这种密钥使用方式属于？A.对称加密B.非对称加密C.哈希算法D.混合加密20.信息安全事件应急响应流程通常包括哪些阶段？（选择最核心的两个）A.准备、检测、分析、响应、恢复、总结B.预防、检测、隔离、清除、恢复、改进C.识别、评估、遏制、根除、恢复、学习D.启动、指挥、行动、监控、评估、结束21.以下哪项措施不属于物理安全范畴？A.门禁控制系统B.视频监控系统C.操作系统用户权限管理D.机房环境监控22.在信息安全管理体系（如ISO27001）中，"风险评估"的主要目的是什么？A.识别系统中的安全漏洞B.确定安全控制措施的有效性C.评估安全事件发生的可能性和影响，确定风险等级D.制定安全策略23.证书颁发机构（CA）在公钥基础设施（PKI）中扮演什么角色？A.生成密钥对B.管理证书申请和签发C.存储所有用户的私钥D.检测网络攻击24.用于实现不同网络之间安全连接的技术是？A.虚拟局域网（VLAN）B.VPNC.网络地址转换（NAT）D.网络端口扫描25.在进行安全策略制定时，应遵循的原则不包括？A.合法合规性B.等级性C.严格性优先D.灵活性26.以下哪种技术主要用于防止未经授权的实体访问敏感数据？A.加密技术B.数字签名技术C.身份认证技术D.访问控制技术27.安全意识培训的主要目的是什么？A.提升员工的技术操作能力B.提高员工对信息安全风险的认识和防范能力C.完善公司的安全管理体系D.购买更多的安全设备28.在进行漏洞扫描时，发现系统存在一个已知的安全漏洞，但该漏洞目前没有可利用的exploits。此时应如何处理？A.忽略该漏洞B.立即修复该漏洞C.将该漏洞加入重点关注列表，持续跟踪D.忽略该漏洞，但记录在案29.根据中国《数据安全法》，数据处理活动应当遵循合法、正当、必要和诚信原则，采取必要措施，确保什么？A.数据传输的效率B.数据的安全性C.数据存储的成本最低D.数据的访问速度最快30.以下哪项不属于常见的访问控制模型？A.Bell-LaPadula模型B.Biba模型C.OSI安全模型D.Biba模型和Bell-LaPadula模型都属于访问控制模型，此项不正确31.对称加密算法的优点是？A.密钥分发简单B.加密和解密速度相对较快C.适合远距离安全通信D.生成密钥容易32.在信息安全事件响应过程中，"遏制"阶段的主要目标是？A.分析事件原因B.控制事件影响范围，防止事件扩大C.恢复受影响的系统和服务D.向外部机构报告事件33.等级保护2.0中，对信息系统进行定级的主要依据是？A.系统的规模B.系统的投入成本C.系统的重要程度及其遭到破坏可能造成的危害程度D.系统的技术先进性34.哪种网络攻击旨在消耗目标服务器的资源，使其无法响应正常请求？A.SQL注入B.拒绝服务攻击（DoS）C.跨站脚本（XSS）D.恶意软件传播35.在使用非对称加密技术进行安全通信时，如果Alice想给Bob发送加密信息，她需要获取Bob的什么？A.公钥B.私钥C.身份证号D.用户名和密码36.信息安全管理体系（ISMS）的建立和实施需要遵循哪个国际标准？A.ISO/IEC27001B.ISO/IEC20000C.ISO/IEC27040D.ISO/IEC900137.身份认证技术的主要目的是什么？A.加密数据B.防止网络攻击C.验证用户或实体的身份是否真实D.管理用户权限38.以下哪种方法不适合用于保护存储在移动设备上的敏感数据？A.数据加密B.设备密码锁C.远程数据擦除D.增加设备硬件性能39.网络安全法规定，关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的，应当通过网络安全审查。这是哪种安全制度的体现？A.安全等级保护B.关键信息基础设施安全保护C.数据安全保护D.个人信息保护40.以下哪项活动不属于安全运维的范畴？A.安全配置管理B.漏洞扫描与修复C.用户权限审批D.应用程序开发二、多项选择题（每题2分，共30分）41.信息安全的基本属性通常包括哪些？（选择所有正确的选项）A.机密性B.完整性C.可用性D.可追溯性E.可审计性42.以下哪些属于常见的安全威胁类型？（选择所有正确的选项）A.计算机病毒B.黑客攻击C.自然灾害D.操作失误E.恶意软件43.对称加密算法常见的应用场景包括哪些？（选择所有正确的选项）A.加密传输中的数据B.实现数字签名C.加密存储的数据D.身份认证E.保障电子邮件安全44.安全策略通常应包含哪些基本要素？（选择所有正确的选项）A.目标和范围B.原则和规则C.职责和权限D.实施和审计E.人员配置45.防火墙的主要功能有哪些？（选择所有正确的选项）A.过滤网络流量B.防止内部攻击C.进行入侵检测D.加密数据传输E.隔离网络区域46.信息安全风险评估过程中，识别资产时需要考虑哪些因素？（选择所有正确的选项）A.资产的价值B.资产的敏感性C.资产的位置D.资产的数量E.资产对业务的影响47.多因素认证通常结合了哪些认证因素？（选择所有正确的选项）A.用户知道的信息（如口令）B.用户拥有的物品（如令牌）C.用户自身的特征（如指纹）D.应用程序生成的动态令牌E.IP地址48.安全审计的主要目的有哪些？（选择所有正确的选项）A.监控和记录安全相关事件B.分析安全事件，识别潜在威胁C.评估安全策略和措施的有效性D.为安全事件调查提供证据E.自动修复安全漏洞49.等级保护制度对信息系统运营者提出了哪些管理要求？（选择所有正确的选项）A.建立安全管理机构B.制定安全管理制度C.实施安全技术措施D.定期进行安全测评E.建立应急响应机制50.数据备份的策略通常包括哪些类型？（选择所有正确的选项）A.完全备份B.差异备份C.增量备份D.灾难恢复备份E.恢复测试51.Web应用常见的安全漏洞有哪些？（选择所有正确的选项）A.跨站脚本（XSS）B.SQL注入C.不安全的直接对象引用（IDOR）D.跨站请求伪造（CSRF）E.会话固定52.在进行安全事件应急响应时，"恢复"阶段的主要工作包括哪些？（选择所有正确的选项）A.恢复受影响的系统和服务B.评估事件损失C.清除安全威胁D.对事件进行总结分析E.恢复数据备份53.物理安全措施通常包括哪些？（选择所有正确的选项）A.门禁控制系统B.视频监控系统C.防雷接地设施D.人员安全培训E.机房环境监控54.信息安全管理体系（如ISO27001）的建立过程通常涉及哪些活动？（选择所有正确的选项）A.范围定义B.风险评估C.安全策略制定D.安全控制选择与实施E.内部审核与管理评审55.公钥基础设施（PKI）的主要组成部分通常包括哪些？（选择所有正确的选项）A.证书颁发机构（CA）B.证书注册机构（RA）C.密钥管理中心（KMC）D.证书库E.支持软件三、综合应用题（共20分）56.某公司核心业务系统部署在云端，该系统处理大量敏感用户数据。请结合信息安全知识，列举至少5项该系统在设计和运维过程中应考虑的安全措施，并简要说明每项措施的作用。（每项措施说明不超过50字，共20分）57.某企业网络发生安全事件，部分用户账号被盗用，导致敏感数据可能被泄露。作为安全负责人，请简述应急响应的流程，并说明在“分析”阶段需要重点关注哪些内容。（流程步骤和内容说明合并计20分）---试卷答案一、单项选择题1.D2.C3.C4.B5.C6.B7.C8.B9.B10.C11.B12.D13.A14.C15.B16.B17.B18.D19.B20.A21.C22.C23.B24.B25.C26.D27.B28.C29.B30.D31.B32.B33.C34.B35.A36.A37.C38.D39.B40.D解析1.信息安全的基本属性通常指机密性、完整性、可用性，有时也包括可追溯性、可审计性等，但可追溯性不是最核心或普遍列出的基本属性。故选D。2.计算机病毒、蠕虫、木马属于恶意软件范畴。自然灾害、操作失误通常归类为意外事件或威胁源，外部攻击是威胁行为。故选C。3.DES（DataEncryptionStandard）是对称加密算法的代表。RSA、ECC属于非对称加密算法。SHA-256是哈希函数。故选C。4.数字签名利用非对称加密的原理，用发送方的私钥签名，接收方用发送方的公钥验证，从而实现身份认证和防抵赖。它结合了“你知道什么”（口令）和“你拥有什么”（私钥）的因素。多因素认证通常指口令+令牌等。故选B。5.ISO/IECJTC1(JointTechnicalCommittee1)是国际标准化组织负责制定信息技术标准的专门委员会。IEEE(InstituteofElectricalandElectronicsEngineers)、ACM(AssociationforComputingMachinery)也是与计算机领域相关的组织，但不主要负责ISO标准制定。故选C。6.《网络安全法》规定网络运营者负责网络安全，关键信息基础设施运营者除一般要求外，还需建立监测预警和信息通报制度，以应对安全威胁。仅定期评估、特殊义务仅上报、保护非关键系统、减少报告频率均不完全准确或不是其特殊义务的核心。故选B。7.等级保护制度的核心是根据系统在国家安全、经济、社会生活中的重要程度以及一旦遭到破坏可能造成的危害程度来划分等级。复杂程度、负责人、技术水平不是主要依据。故选C。8.防火墙是网络安全防护中的核心设备，其主要功能是根据安全策略，控制网络之间的访问行为，将网络划分为不同安全域。代理服务器主要做网络中转和过滤。入侵检测系统用于检测恶意行为。路由器主要功能是路径选择。故选B。9.纵深防御策略的核心思想是在网络的不同层面、不同区域部署多层安全防护措施，形成一个相互关联、层层递进的安全体系，而不是单点防御。故选B。10.权限提升是指攻击者利用系统或网络中存在的未授权访问权限，获得比预期更高的权限，从而进行更严重的操作，如获取敏感信息或执行恶意操作。DoS攻击是使服务不可用。密码破解是破解口令。恶意软件植入是植入恶意程序。故选C。11.数据加密是指对数据进行编码转换，使得未授权者无法理解其内容，从而防止窃听。故选B。12.安全审计日志通常包括用户活动（登录/退出）、系统配置变更、应用程序使用等与安全相关的记录。网络设备性能监控日志主要关注设备运行状态，通常不属于安全审计范畴。故选D。13.信息风险评估的基本流程通常包括风险识别、风险分析与评估、风险处理（或处置）三个核心步骤。选项A涵盖了核心步骤。选项C是风险评估的具体内容。选项B和D是流程的一部分但不如A完整和核心。故选A。14.多因素认证（MFA）要求用户提供至少两种不同类型的认证因素，例如“你知道什么”（口令）和“你拥有什么”（令牌）。基于知识、基于拥有物、基于生物识别是描述认证因素的方式，多因素认证是基于提供多种因素的认证方法。故选C。15.安全基线检查和加固是对操作系统进行的安全配置，属于逻辑安全范畴，旨在消除不安全配置，提高系统自身安全。物理安全关注设备环境。网络安全关注网络边界和传输。应用安全关注软件本身。故选B。16.入侵防御系统（IPS）是网络安全设备，能够实时检测网络流量中的恶意攻击行为，并主动采取措施阻止攻击。防火墙主要进行访问控制。VPN设备用于建立安全隧道。网络分析器用于监控和分析流量。故选B。17.数据备份的主要目的是在发生数据丢失（如硬件故障、人为误操作、恶意攻击等）时，能够将数据恢复到备份时的状态，防止数据永久性丢失。故选B。18.SQL注入攻击利用Web应用程序对用户输入的SQL语句处理不当，将恶意SQL代码注入到数据库中执行，从而访问或操作数据库数据。XSS是注入脚本。IDOR是访问未授权资源。CSRF是诱导用户执行操作。故选D。19.根据密码学原理，公钥用于加密数据，只有持有对应私钥的一方才能解密；私钥用于解密用对应公钥加密的数据，也可以用于生成数字签名。这种密钥使用方式是非对称加密的核心特征。故选B。20.信息安全事件应急响应流程通常包括准备、检测、分析、响应、恢复、总结等阶段。准备和恢复是重要阶段，但准备通常在事件前，检测和分析更核心地处于事件发生和初期阶段。遏制、隔离、清除、根除、评估、学习是响应、恢复和总结过程中的具体活动或后续工作。选项A是最核心的两个阶段。故选A。21.物理安全是指保护信息系统硬件、设施和环境免遭未经授权的物理接触、破坏或干扰。门禁控制、视频监控、环境监控都属于物理安全措施。操作系统用户权限管理属于逻辑安全范畴。故选C。22.风险评估的主要目的是通过识别信息系统资产、威胁和脆弱性，分析风险发生的可能性和潜在影响，从而确定风险等级，为后续的风险处理决策提供依据。识别漏洞、评估有效性、确定风险等级是其核心作用。故选C。23.等级保护2.0对信息系统的定级依据是其在社会生活中的重要程度以及一旦遭到破坏、丧失功能或者数据泄露等可能造成的危害程度。规模、投入成本、技术先进性不是定级的主要依据。故选C。24.拒绝服务攻击（DoS）的目标是使目标服务器或网络资源过载，消耗其资源（如带宽、CPU、内存），导致其无法响应正常用户的请求。SQL注入是攻击数据库。XSS是攻击用户浏览器。恶意软件传播是扩散病毒。故选B。25.在使用非对称加密技术进行安全通信时，发送方（如Alice）要加密信息发送给接收方（Bob），必须获取Bob的公钥，因为只有Bob的公钥才能解密由其私钥加密的信息。故选A。26.访问控制技术是用于限制和控制用户或系统对信息资源的访问权限，确保只有授权用户才能访问授权资源，从而防止未经授权的访问。加密技术用于保护数据机密性。数字签名用于身份认证和防抵赖。身份认证用于验证身份。故选D。27.身份认证技术的主要目的是确认用户或实体的身份是否与其声称的身份一致，防止身份冒充。提升技术能力、防止攻击、完善体系、购买设备是相关目标或结果，但不是身份认证本身的主要目的。故选C。28.在进行漏洞扫描时，发现一个已知但当前无exploit的漏洞，意味着该漏洞理论上存在风险，但尚未被实际利用。因此，不应忽略，应将其加入重点关注列表，持续跟踪该漏洞的安全动态，一旦出现新的exploit或厂商发布补丁，即可及时处理。立即修复可能为时过早或影响业务，忽略则风险存在。故选C。29.根据《数据安全法》，数据处理活动需遵循合法、正当、必要和诚信原则，并采取必要措施确保数据的安全。该法旨在保护数据安全，因此数据处理活动必须确保数据的安全性。故选B。30.访问控制模型是用于管理主体对客体访问权限的抽象模型，如Biba模型（侧重完整性）、Bell-LaPadula模型（侧重保密性）。OSI安全模型是网络参考模型，描述网络分层功能和协议，不是访问控制模型。根据定义，Biba和Bell-LaPadula是访问控制模型，Biba模型和Bell-LaPadula模型都属于访问控制模型，此项描述正确，但题目要求选择不属于的，故此项本身作为选项D是错误的，但分析其内容时需确认Biba和Bell-L是访问控制模型。然而，题目要求选“不属于”，故此题选项设置有问题。通常Biba和Bell-LaPadula被认为是访问控制模型。如果必须选一个最不相关的，OSI模型最不相关。但按标准答案思路，可能认为Biba和BL是，D项说BL不是，或D项说Biba和BL都不是（这明显错）。此题按标准答案模式，可能出题者本意是选D（认为BL不是AC模型）。我们按此逻辑，但需知此题选项设置有瑕疵。按标准答案思路，选D。*（注：此处对题目选项的合理性提出疑问，但按通常的单选题标准答案逻辑处理）*31.对称加密算法的优点是算法相对简单，加解密速度快，计算开销小，密钥分发相对容易。缺点是密钥共享和管理困难。故选B。32.在安全事件应急响应过程中，“遏制”阶段的主要目标是控制事态发展，限制安全威胁的影响范围，防止事件扩大或进一步损害。分析原因、评估损失、清除威胁、恢复系统和总结分析属于后续阶段。故选B。33.等级保护2.0对信息系统进行定级的主要依据是系统在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据泄露等可能造成的危害程度。规模、投入成本、技术先进性不是定级依据。故选C。34.拒绝服务攻击（DoS）的目的是通过大量无效请求或消耗目标服务器资源，使其无法正常提供服务，从而影响可用性。SQL注入攻击数据库。跨站脚本攻击用户浏览器。恶意软件传播是病毒扩散。故选B。35.在使用非对称加密技术进行安全通信时，发送方需要获取接收方的公钥来加密信息。接收方使用自己的私钥来解密信息。公钥是公开的，用于加密；私钥是保密的，用于解密。故选A。36.信息安全管理体系（ISMS）是组织建立、实施、运行、监视、维持和改进信息安全管理活动的管理体系。其建立过程通常涉及范围定义、风险评估、安全策略制定、控制措施选择与实施、内部审核与管理评审等活动。ISO/IEC27001是相关标准，不是建立过程本身的活动。故选A。37.身份认证技术的主要目的是验证用户或实体的身份是否真实，确认其是否为所声称的身份。这是身份认证的核心功能和目标。故选C。38.保护移动设备上敏感数据的方法包括数据加密、设备密码锁、远程数据擦除等。增加设备硬件性能主要提升设备运行速度或处理能力，与直接保护存储数据的安全性关系不大。故选D。39.《网络安全法》规定关键信息基础设施运营者在采购网络产品和服务时，如果可能影响国家安全，必须通过网络安全审查。这是关键信息基础设施安全保护制度的重要体现和要求。安全等级保护侧重系统定级和合规。数据安全保护侧重数据本身。个人信息保护侧重个人隐私。故选B。40.安全运维是指保障信息系统安全运行的持续管理活动。安全配置管理、漏洞扫描与修复、用户权限审批都属于安全运维范畴。应用程序开发是软件开发活动，通常不属于安全运维。故选D。二、多项选择题41.A,B,C,D,E42.A,B,C,D,E43.A,C44.A,B,C,D45.A,B,E46.A,B,E47.A,B,C48.A,B,C,D49.A,B,C,D,E50.A,B,C,D,E51.A,B,C,D,E52.A,B,C,D,E53.A,B,C,D,E54.A,B,C,D,E55.A,B,C,D,E解析41.信息安全的基本属性通常包括机密性（防止信息泄露）、完整性（防止信息被篡改）、可用性（确保授权者能访问信息），此外，可追溯性（能够追溯行为源头）和可审计性（对安全活动进行记录审查）也是重要的属性。故全选。42.常见的安全威胁包括来自外部的黑客攻击、内部的恶意软件（病毒、蠕虫、木马）、操作失误（如误删除数据）、意外事件（如自然灾害导致设备损坏）、以及系统本身的脆弱性等。故全选。43.对称加密算法因其效率高，常用于加密大量数据，如文件存储加密、数据库数据加密等。不对称加密算法效率低，不适合加密大量数据。它常用于密钥交换、数字签名等场景。故选A,C。44.安全策略通常应明确目标（保护什么）、范围（适用于哪些系统或人员）、原则和规则（具体行为规范）、职责和权限（谁负责做什么）、实施和审计（如何执行和检查）等内容。人员配置是资源，但不是策略核心内容。故选A,B,C,D。45.防火墙的主要功能是作为网络边界的安全屏障，根据安全规则过滤进出网络的数据包，控制网络流量，隔离不同的网络区域，并记录相关日志。防止内部攻击是理想状态，但防火墙主要作用在边界。检测和加密不是其核心功能。故选A,B,E。46.在识别资产时，需要考虑资产的价值（经济价值）、敏感性（包含信息的重要性）、对业务的影响（丢失或损坏对业务造成的后果）、位置（物理位置、网络位置）等因素，以便确定保护优先级。资产的数量不是核心考虑因素。故选A,B,E。47.多因素认证（MFA）要求用户提供至少两种不同类型的认证因素，常见类型包括：用户知道的信息（如口令、PIN码）、用户拥有的物品（如令牌、手机）、用户自身的特征（如指纹、虹膜）。动态令牌可以是拥有的物品。IP地址通常不作为独立的认证因素。故选A,B,C。48.安全审计的主要目的包括：监控和记录安全相关事件（提供证据链），分析安全事件以识别潜在威胁或违规行为，评估安全策略和措施是否有效，为安全事件调查提供证据支持。自动修复漏洞超出了审计的主要目的。故选A,B,C,D。49.等级保护制度对信息系统运营者的管理要求通常包括：建立安全管理机构和制度（如安全策略、管理制度），落实安全技术措施（如边界防护、访问控制、数据保护），定期进行安全测评（检查合规性），建立应急响应机制（处理安全事件）。故全选。50.数据备份的策略通常包括：完全备份（备份所有数据）、增量备份（备份自上次备份以来发生变化的数据）、差异备份（备份自上次全备份以来发生变化的数据），灾难恢复备份（针对灾难场景的备份计划），恢复测试（验证备份数据可用性和恢复流程有效性）。故全选。51.Web应用常见的安全漏洞包括：跨站脚本（XSS，攻击用户浏览器的脚本注入）、SQL注入（攻击数据库）、不安全的直接对象引用（IDOR，直接访问后端对象）、跨站请求伪造（CSRF，诱导用户执行非预期操作）、会话管理缺陷（如会话固定、会话超时不当）等。故全选。52.在进行安全事件应急响应时，“恢复”阶段的主要工作是：尽快恢复受影响的系统和服务到正常状态，确保业务连续性；评估事件造成的损失；彻底清除安全威胁；总结事件处理过程，记录经验教训。恢复数据备份是恢复过程的一部分。故全选。53.物理安全措施包括：门禁控制系统（限制物理访问）、