2025年信息安全工程师考试试题及答案

2025年信息安全工程师考试试题及答案一、单项选择题（共20题，每题1分，共20分）1.以下哪种加密算法属于对称加密算法？A.RSAB.ECCC.AESD.SHA-256答案：C解析：AES（高级加密标准）是典型的对称加密算法，加密和解密使用相同密钥；RSA和ECC是非对称加密算法；SHA-256是哈希算法。2.零信任模型的核心思想是？A.默认信任内网所有设备B.持续验证访问请求的合法性C.仅通过防火墙实现边界防御D.依赖静态IP地址进行身份认证答案：B解析：零信任模型的核心是“永不信任，始终验证”，强调对每个访问请求进行动态持续的身份、设备、环境等多维度验证，而非依赖传统边界信任。3.某企业数据库日志显示，某日23:00至次日1:00期间，数据库连接数突然从日均500次激增到8000次，且存在大量“SELECTFROMuser_info”语句。最可能的安全事件是？A.数据库硬件故障B.分布式拒绝服务（DDoS）攻击C.数据批量查询攻击D.数据库误操作答案：C解析：连接数异常激增且伴随大量全表查询，符合数据批量查询攻击特征，可能为攻击者尝试窃取用户信息；DDoS攻击主要目标是服务不可用，而非数据查询。4.根据《网络安全法》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行几次检测评估？A.1次B.2次C.3次D.4次答案：A解析：《网络安全法》第三十八条明确要求关键信息基础设施运营者每年至少进行一次网络安全检测评估。5.以下哪项不属于数据脱敏技术？A.掩码处理（如将身份证号显示为“4403011234”）B.数据加密存储（如AES加密用户密码）C.随机替换（如将真实姓名替换为“用户123”）D.数据泛化（如将具体年龄“28岁”改为“20-30岁”）答案：B解析：数据脱敏是对敏感数据进行变形处理，使其失去识别特定个体的能力；数据加密存储仍是原始数据的安全保护手段，未改变数据内容本身。6.某系统登录界面要求输入用户名、密码、短信验证码，这种验证方式属于？A.单因素认证B.双因素认证C.三因素认证D.多因素认证答案：D解析：多因素认证指结合两种或以上独立认证因素（如知识因素：密码；拥有因素：短信验证码；固有因素：指纹）。本题中用户名+密码（知识因素）+短信验证码（拥有因素）属于多因素认证。7.以下哪种漏洞利用方式属于“内存破坏型”攻击？A.SQL注入B.XSS跨站脚本C.缓冲区溢出D.CSRF跨站请求伪造答案：C解析：缓冲区溢出攻击通过向程序内存缓冲区写入超出其容量的数据，覆盖相邻内存空间，导致程序崩溃或执行恶意代码，属于内存破坏型；其他选项均为逻辑或输入验证漏洞。8.依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），第三级信息系统的“安全通信网络”要求中，应采用哪种技术实现网络设备间通信的完整性验证？A.端口镜像B.访问控制列表（ACL）C.密码技术D.流量清洗答案：C解析：等保2.0第三级要求采用密码技术（如HMAC、数字签名）对网络设备间的通信过程进行完整性验证，防止数据被篡改。9.某企业邮件系统频繁收到伪装成“财务部”的钓鱼邮件，内容为“紧急通知：点击链接更新工资卡信息”。最有效的防范措施是？A.部署反垃圾邮件网关B.对员工进行钓鱼邮件识别培训C.关闭邮件系统的外部接收功能D.启用邮件加密传输（SMTPoverTLS）答案：B解析：钓鱼邮件的核心是利用用户轻信心理，员工安全意识培训能从根本上降低点击风险；反垃圾邮件网关可拦截部分，但无法覆盖所有伪装；关闭外部接收不现实；加密传输无法阻止钓鱼内容。10.以下哪项属于安全审计的主要目的？A.提高系统运行效率B.验证安全控制措施的有效性C.加速数据传输速度D.减少硬件设备故障答案：B解析：安全审计通过记录和分析系统活动，验证安全策略是否被遵守、控制措施是否有效，是合规性检查和事件追溯的关键手段。11.量子密码学的核心技术是？A.基于大整数分解的加密B.基于量子纠缠的密钥分发C.基于哈希碰撞的签名D.基于椭圆曲线的数字证书答案：B解析：量子密码学主要利用量子力学原理（如量子不可克隆定理、量子纠缠）实现安全的密钥分发（如BB84协议），而非传统数学难题。12.某工业控制系统（ICS）中，PLC（可编程逻辑控制器）与SCADA（监控与数据采集系统）之间的通信协议为ModbusRTU。为防止非法指令注入，最合理的防护措施是？A.在PLC上安装杀毒软件B.对Modbus通信流量进行白名单过滤C.升级PLC固件版本D.断开PLC与互联网的物理连接答案：B解析：Modbus协议本身缺乏认证和加密机制，通过白名单过滤（仅允许合法源地址、指令类型）可防止非法指令注入；PLC通常无杀毒软件适配；固件升级需评估兼容性；物理断开可能影响正常运维。13.以下哪种攻击方式利用了操作系统的“特权提升”漏洞？A.僵尸网络控制B.勒索软件加密文件C.普通用户获取管理员权限D.拒绝服务导致系统崩溃答案：C解析：特权提升（PrivilegeEscalation）指攻击者利用漏洞将低权限账户提升为高权限（如普通用户→管理员），从而获得系统控制能力。14.根据《个人信息保护法》，处理敏感个人信息应当取得个人的单独同意，以下哪项属于敏感个人信息？A.姓名B.电话号码C.健康信息D.工作单位答案：C解析：《个人信息保护法》第二十八条规定，敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。15.某Web应用使用JWT（JSONWebToken）作为身份凭证，若JWT的签名算法被配置为“无签名”（none算法），最可能导致的风险是？A.令牌被篡改后无法检测B.令牌加密强度不足C.令牌过期时间无法控制D.令牌无法在跨域请求中使用答案：A解析：JWT的签名用于验证令牌完整性，若使用none算法（无签名），攻击者可任意修改令牌内容（如用户角色、过期时间）而不被系统发现。16.以下哪项属于“最小权限原则”的最佳实践？A.为所有员工分配管理员权限以方便操作B.仅为财务人员开放财务系统的读写权限，其他人员仅可读C.服务器默认开启所有端口以保证服务可用性D.数据库账户使用“root”账号进行日常操作答案：B解析：最小权限原则要求用户仅获得完成工作所需的最小权限；其他选项均违反该原则（如管理员权限泛滥、端口全开、高权限账号滥用）。17.某企业网络中，核心交换机配置了“端口安全”功能，限制每个端口最多连接3台设备。该措施主要防范哪种攻击？A.ARP欺骗B.MAC地址泛洪C.DNS劫持D.中间人攻击答案：B解析：MAC地址泛洪攻击通过向交换机发送大量伪造MAC地址，导致交换机MAC地址表溢出，被迫转为集线器模式，攻击者可嗅探流量；端口安全通过限制端口连接设备数量，防止MAC表溢出。18.以下哪种加密方式属于“端到端加密”？A.银行APP与服务器间通过HTTPS传输数据B.邮件服务器间通过TLS加密传输邮件C.即时通讯软件中，用户A发送给用户B的消息仅在A和B的设备上加密/解密D.企业内网中，文件服务器对存储的文件进行AES加密答案：C解析：端到端加密（E2EE）指数据仅在发送端和接收端加密/解密，中间节点（如服务器、网络设备）无法获取明文；HTTPS、TLS加密的中间节点（如服务器）可解密数据；存储加密属于静态数据保护，非传输过程的端到端。19.某企业部署了入侵检测系统（IDS），若其检测模式为“基于特征”，则主要依赖以下哪项进行判断？A.异常的流量行为（如突发大流量）B.已知攻击的特征库（如特定的恶意代码片段）C.系统资源的使用情况（如CPU占用率）D.用户的操作习惯（如登录时间规律）答案：B解析：基于特征的IDS通过匹配已知攻击的特征码（如恶意IP、特定请求字符串）检测攻击；异常检测则基于正常行为模型的偏离。20.根据《数据安全法》，国家建立数据分类分级保护制度，数据分类分级的依据是？A.数据的产生时间B.数据的存储介质C.数据的重要程度D.数据的格式类型答案：C解析：《数据安全法》第二十一条规定，数据分类分级保护制度根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度进行分类分级。二、多项选择题（共10题，每题2分，共20分。每题至少有2个正确选项，错选、漏选均不得分）1.以下属于Web应用常见安全漏洞的有？A.跨站脚本（XSS）B.缓冲区溢出C.命令注入（CommandInjection）D.会话固定（SessionFixation）答案：ACD解析：Web应用漏洞主要涉及输入验证、会话管理、访问控制等，XSS、命令注入、会话固定均为典型Web漏洞；缓冲区溢出是二进制程序漏洞，常见于C/C++开发的软件。2.访问控制模型中，属于强制访问控制（MAC）特点的有？A.由系统管理员统一分配权限B.用户无法修改自身或他人的权限C.基于角色（Role）分配权限D.标签（Label）用于标识资源和主体的安全级别答案：ABD解析：MAC的核心是系统强制实施访问控制，通过安全标签（如绝密、机密、公开）定义主体（用户/进程）和客体（文件/设备）的安全级别，用户无法自行修改权限；基于角色的访问控制（RBAC）是自主访问控制（DAC）的扩展。3.数据泄露防护（DLP）系统的主要功能包括？A.监控邮件附件中的敏感数据（如身份证号）B.阻止移动存储设备（U盘）拷贝公司文件C.检测数据库中删除操作的日志D.对上传至云存储的文件进行敏感信息扫描答案：ABD解析：DLP通过内容识别（如正则匹配、关键字库）监控和阻止敏感数据（如个人信息、商业秘密）的违规传输（邮件、即时通讯、移动存储、云存储等）；检测数据库删除日志属于审计范畴，非DLP核心功能。4.以下哪些措施可提升无线网络（Wi-Fi）的安全性？A.使用WPA3替代WPA2B.隐藏SSID（关闭网络名称广播）C.启用WPS（Wi-Fi保护设置）D.定期更换无线密码答案：AD解析：WPA3比WPA2更安全（支持SAE协议，防止离线字典攻击）；定期更换密码可降低被破解风险；隐藏SSID仅增加攻击者发现难度，无法根本保护；WPS存在安全漏洞（如PIN码暴力破解），不建议启用。5.依据《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019），第三级信息系统的“安全管理制度”要求包括？A.制定安全策略文档，并经单位负责人审批B.每年对安全管理制度进行评审和修订C.安全策略文档仅需技术部门负责人签字确认D.对安全管理人员进行安全管理制度培训答案：ABD解析：等保测评要求安全管理制度需经过单位负责人审批（而非仅技术部门），每年评审修订，并对相关人员培训；C选项错误。6.以下属于物联网（IoT）设备特有的安全风险有？A.资源受限（计算、存储能力弱），难以部署复杂安全机制B.固件更新不及时，存在已知漏洞C.使用默认弱密码（如“admin/admin”）D.攻击者通过设备入侵企业内网答案：ABCD解析：IoT设备因资源限制（A）、厂商忽视安全（B、C），常成为内网入口（D），均为其特有风险。7.密码学中，数字签名的作用包括？A.保证数据机密性B.验证发送者身份C.确保数据完整性D.防止发送者抵赖答案：BCD解析：数字签名通过私钥签名、公钥验证，可确认发送者身份（B）、数据未被篡改（C）、防止抵赖（D）；机密性需通过加密实现，非签名功能。8.某企业计划部署网络防火墙，在选择部署位置时应考虑？A.互联网与企业内网边界B.财务子网与研发子网之间C.服务器集群与终端用户之间D.员工办公电脑本地答案：ABC解析：防火墙通常部署在网络边界（互联网-内网）、子网间（财务-研发）、服务器与终端间，用于控制流量；本地防护属于主机防火墙（如Windows防火墙），非网络防火墙部署位置。9.以下属于社会工程学攻击手段的有？A.冒充客服拨打用户电话，谎称“账户异常，需提供验证码”B.在公司门口张贴“系统维护通知”，要求扫描二维码提交账号密码C.向目标邮箱发送带恶意附件的邮件，主题为“2025年部门预算表”D.利用漏洞植入木马，远程控制用户电脑答案：ABC解析：社会工程学通过心理操纵获取信任，诱使用户主动泄露信息或执行操作（A、B、C）；D属于技术攻击，非社会工程。10.根据《关键信息基础设施安全保护条例》，关键信息基础设施运营者应当履行的安全保护义务包括？A.设置专门安全管理机构，配备专职安全管理人员B.对重要系统和数据进行容灾备份C.定期开展网络安全检测评估D.公开所有网络拓扑结构和设备型号答案：ABC解析：条例要求运营者设置安全管理机构（A）、容灾备份（B）、检测评估（C）；公开网络拓扑可能暴露攻击面，不属于义务。三、案例分析题（共2题，每题20分，共40分）案例1：某电商平台用户信息泄露事件2024年12月，某电商平台（注册用户超5000万）发生大规模用户信息泄露事件，泄露数据包括用户姓名、身份证号、手机号、收货地址及近1年交易记录（约3000万条）。经调查：-平台数据库（MySQL）未启用访问控制，开发人员使用超级管理员账号（root）直接连接数据库；-应用服务器日志仅保留7天，且未记录数据库操作的具体SQL语句；-前端登录界面存在SQL注入漏洞，攻击者通过构造恶意请求获取了数据库连接凭证；-用户密码存储方式为明文（如“123456”直接存储）；-事件发生后，平台未在规定时间内向监管部门报告。问题1：分析导致此次泄露事件的直接原因和间接原因。（8分）答案：直接原因：①前端存在SQL注入漏洞，攻击者通过恶意请求获取数据库凭证；②数据库未启用访问控制，超级管理员账号被滥用，导致攻击者可直接访问用户数据；③用户密码明文存储，无加密保护。间接原因：①日志留存策略不合理（仅7天），且未记录详细SQL操作，无法及时发现异常；②开发人员安全意识薄弱，使用高权限账号直接连接生产数据库；③平台未建立有效的安全事件报告机制，未及时上报监管部门。问题2：针对数据库安全，提出至少4项整改措施。（6分）答案：①启用数据库访问控制，为不同角色（开发、运维、业务）分配最小权限账号（如限制查询、插入、删除权限）；②禁用root等超级管理员账号的直接连接，使用堡垒机或数据库审计系统进行操作审批和记录；③对用户密码采用哈希加盐（如BCrypt+随机盐值）存储，禁止明文存储；④部署数据库防火墙（DBFW），拦截非法SQL语句（如“SELECTFROMuser_info”的无限制查询）；⑤延长日志留存时间（至少6个月），记录完整的数据库操作日志（包括操作账号、IP、SQL语句、执行时间）。问题3：根据《网络安全法》和《数据安全法》，平台需承担哪些法律责任？（6分）答案：①《网络安全法》第五十九条：未履行网络安全保护义务（如未采取数据加密、未记录日志），由公安机关责令改正，给予警告；拒不改正或造成危害的，处10-100万元罚款，直接责任人员处1-10万元罚款。②《数据安全法》第四十五条：发生数据泄露未及时报告，由有关主管部门责令改正，给予警告，处5-50万元罚款；情节严重的，处50-200万元罚款，并可以责令暂停相关业务、停业整顿。③若泄露行为造成用户重大损失（如身份被盗用、财产损失），平台可能需承担民事赔偿责任；若涉及故意或重大过失，相关责任人可能被追究刑事责任（如《刑法》第二百八十五条、第二百八十六条）。案例2：某制造企业工业控制系统（ICS）安全事件某制造企业的生产线依赖SCADA系统监控设备运行，SCADA系统通过ModbusTCP协议与PLC通信。2024年11月，生产线突然停机，经查：-攻击者向PLC发送了恶意Modbus指令（功能码0x05，强制单线圈），导致关键阀门误关闭；-SCADA系统与PLC之间的通信未加密，且未验证指令来源；-企业ICS网络与办公网络通过交换机直连，未部署隔离设备；-PLC固件为3年前版本，存在已知的指令注入漏洞（CVE-2022-1234）。问题1：判断攻击者使用的攻击类型，并说明依据。（6分）答案：攻击类型：工业控制系统指令注入攻击（或Modbus协议攻击）。依据：攻击者利用Modbus协议缺乏认证和加密的缺陷，向PLC发送恶意功能码（0x05强制单线圈），通过指令注入控制设备行为，导致阀门误关闭，符合协议层面的指令篡改攻击特征。问题2：分析企业ICS网络架构存在的安全隐患。（7分）答案：①网络隔离缺失：ICS网络与办公网络直连，未部署工业防火墙或网闸，办公网络的攻击可直接渗透至生产网络；②协议安全缺陷：ModbusTCP未启用加密（如TLS）或身份验证（如预共享密钥），攻击者可伪造合法指令；③固件更新滞后：PLC使用3年前的旧版本固件，未修复已知的指令注入漏洞（CVE-2022-1234），暴露攻击面；④缺乏指令白名单控制：未对Modbus功能码（如仅允许0x03读取保持寄存器，禁止0x05强制线圈）进行限制，导致恶意指令被执行。问题3：提出针对工业控制系统的安全加固方案。（7分）答案：①网络隔离：在ICS网络与办公网络之间部署工业防火墙，配置严格的访问控制策略（仅允许特定IP、端口、协议通信）；②协议安全增强：对ModbusTCP通信启用TLS加密，或使用Modbus安全扩展（如Modbus+）添加身份认证机制；③指令白名单：在PLC或SCADA系统中配置功能码白名单，仅允许生产所需的功能码（如0x03读取、0x10写多个寄存器），禁止高危功能码（如0x05强制单线圈）；④固件漏洞修复：升级PLC固件至最新版本，关闭不必要的服务和端口；⑤监测与审计：部署工业协议分析工具（如工业IDS），监控Modbus流量中的异常指令（如高频发送0x05功能码），并记录完整操作日志；⑥最小化攻击面：将PLC的管理接口（如Web配置页面）仅开放给运维终端，禁止办公网络直接访问；⑦人员培训：对运维人员进行工业控制系统安全培训，避免使用默认密码、随意连接移动存储设备。四、综合题（共1题，20分）某大型企业计划构建覆盖总部、3个区域分公司（A、B、C）的网络安全架构，要求满足等保2.0第三级要求，重点保护核心业务系统（如财务系统、客户关系管理系统）和用户个人信息。请设计具体的安全架构方案，包括技术措施和管理措施。答案：一、技术措施（12分）1.网络分层与边界防护-网络分域：划分为核心业务域（财务、CRM系统）、办公域（员工终端）、互联网接入域（对外服务）、工业控制域（如有生产系统），域间通过工业防火墙/网闸隔离。-边界防护：总部与分公司通过VPN（IPSec或SSLVPN）加密互联，互联网出口部署下一代防火墙（NGFW），实现入侵检测、应用层过滤（如阻断未授权的FTP、P2P流量）、恶意URL拦截。2.计算环境安全-终端安全：员工终端部署EDR（端点检测与响应）系统，启用文件访问控制（如仅允许读取/写入指定目录）、外设管控（禁用USB存储自动运行）；核心业务服务器采用虚拟化技术（如VMware），实现虚拟机隔离（不同业务虚拟机分属不同安全组）。-应用安全：核心业务系统进行SDL（安全开发生命周期）管理，代码审计（如使用SonarQube）发现SQL注入、XSS等漏洞；接口采用OAuth2.0+JWT认证，敏感操作（如修改用户信息）需二次验证（短信验证码+动态令牌）。3.数据安全-数据分类分级：将