2025年计算机三级信息安全技术习题库及答案

2025年计算机三级信息安全技术习题库及答案一、单项选择题（每题2分，共30题）1.以下哪项不属于信息安全的基本属性？A.保密性B.完整性C.可追溯性D.可用性答案：C2.对称加密算法AES-256的密钥长度是？A.128位B.192位C.256位D.512位答案：C3.以下哪种攻击方式属于应用层DDoS攻击？A.SYNFloodB.ICMPFloodC.HTTPFloodD.UDPFlood答案：C4.强制访问控制（MAC）中，主体和客体的安全标签通常采用？A.角色分级B.自主分配C.敏感标记D.权限列表答案：C5.数字证书的核心作用是？A.实现数据加密B.验证实体身份C.存储用户信息D.生成随机密钥答案：B6.以下哪种哈希算法属于SHA-3系列？A.MD5B.SHA-1C.SHA-256D.Keccak-512答案：D7.SQL注入攻击的本质是？A.利用操作系统漏洞B.绕过应用层输入验证C.破坏数据库物理存储D.篡改网络传输数据答案：B8.零信任模型的核心假设是？A.内部网络绝对安全B.所有访问均需验证C.信任边界固定不变D.终端设备无需检查答案：B9.以下哪项是Web应用防火墙（WAF）的主要功能？A.过滤网络层攻击包B.检测系统漏洞C.防护SQL注入和XSSD.管理用户访问权限答案：C10.蓝牙协议栈中，负责设备发现和连接管理的是？A.L2CAP层B.RFCOMM层C.SDP层D.HCI层答案：C11.以下哪种恶意软件会通过加密用户文件勒索赎金？A.蠕虫B.木马C.勒索软件D.间谍软件答案：C12.物联网设备常见的安全威胁不包括？A.固件漏洞利用B.物理访问攻击C.5G信号干扰D.拒绝服务攻击答案：C13.以下哪项是可信计算（TCM/TPM）的核心组件？A.安全芯片B.杀毒软件C.防火墙D.入侵检测系统答案：A14.电子邮件安全协议S/MIME主要提供？A.邮件加密和数字签名B.垃圾邮件过滤C.邮件传输加速D.邮件地址验证答案：A15.以下哪种访问控制模型最适合大型企业的权限管理？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：C16.缓冲区溢出攻击的关键是？A.覆盖程序返回地址B.破坏内存分配机制C.耗尽系统资源D.篡改文件系统数据答案：A17.以下哪项属于物理安全防护措施？A.安装防火墙B.部署门禁系统C.启用账户多因素认证D.定期更新系统补丁答案：B18.无线局域网（WLAN）中，WPA3协议相比WPA2增强了？A.加密算法强度B.设备兼容性C.传输速率D.漫游支持答案：A19.以下哪种漏洞属于操作系统内核漏洞？A.SQL注入漏洞B.缓冲区溢出漏洞C.XSS跨站脚本漏洞D.CSRF跨站请求伪造漏洞答案：B20.网络钓鱼攻击的主要目的是？A.破坏网络基础设施B.获取用户敏感信息C.传播恶意软件D.实施分布式拒绝服务答案：B21.以下哪项是PKI（公钥基础设施）的核心组成部分？A.认证中心（CA）B.入侵检测系统（IDS）C.虚拟专用网（VPN）D.安全审计系统答案：A22.移动终端设备的安全防护不包括？A.设备加密B.应用沙盒C.基带芯片漏洞修复D.5G信号强度优化答案：D23.以下哪种密码算法属于非对称加密？A.AESB.DESC.RSAD.RC4答案：C24.数据库安全中，行级访问控制属于？A.物理安全B.逻辑安全C.介质安全D.灾难恢复答案：B25.工业控制系统（ICS）的典型安全需求不包括？A.实时性保障B.远程维护安全C.协议兼容性D.病毒库更新频率答案：D26.以下哪项是信息安全风险评估的关键步骤？A.安装杀毒软件B.识别资产、威胁和脆弱性C.升级网络设备D.制定员工安全培训计划答案：B27.量子密码学的核心原理是？A.量子纠缠的不可复制性B.大数分解的困难性C.离散对数问题D.哈希碰撞抵抗答案：A28.以下哪种日志类型对安全事件溯源最关键？A.系统运行日志B.应用访问日志C.网络流量日志D.审计日志答案：D29.云安全中，“数据所在位置不确定”带来的主要风险是？A.数据传输延迟B.合规性监管挑战C.计算资源不足D.服务可用性下降答案：B30.以下哪项是社会工程学攻击的典型手段？A.发送钓鱼邮件诱导点击链接B.利用系统漏洞植入木马C.对目标网络进行端口扫描D.实施ARP欺骗攻击答案：A二、多项选择题（每题3分，共10题）1.信息安全的基本属性包括？A.保密性B.完整性C.可用性D.不可否认性答案：ABCD2.常见的对称加密算法有？A.AESB.RSAC.DESD.3DES答案：ACD3.网络层安全协议包括？A.IPsecB.SSL/TLSC.SSHD.ICMP答案：AC4.恶意软件的主要类型包括？A.病毒B.蠕虫C.木马D.勒索软件答案：ABCD5.访问控制的主要实现方式有？A.强制访问控制（MAC）B.自主访问控制（DAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：ABCD6.Web应用常见的安全漏洞包括？A.SQL注入B.XSS跨站脚本C.CSRF跨站请求伪造D.缓冲区溢出答案：ABC7.密码学的主要应用领域包括？A.数据加密B.数字签名C.身份认证D.访问控制答案：ABCD8.物联网安全的关键挑战包括？A.资源受限设备的安全防护B.多协议兼容性问题C.大规模设备管理D.5G网络覆盖不足答案：ABC9.数据安全保护措施包括？A.数据加密存储B.访问控制C.数据脱敏D.定期备份答案：ABCD10.信息安全管理体系（ISMS）的核心标准包括？A.ISO/IEC27001B.NISTSP800-53C.GB/T22080D.PCIDSS答案：ABC三、判断题（每题1分，共20题）1.信息安全的目标是绝对安全，消除所有风险。（×）2.哈希函数的输出长度固定，输入长度可变。（√）3.防火墙可以完全防止内部人员的恶意操作。（×）4.数字签名可以保证数据的完整性和不可否认性。（√）5.弱口令是导致系统被入侵的常见原因之一。（√）6.漏洞扫描工具可以直接修复系统漏洞。（×）7.零信任模型要求对所有访问请求进行持续验证。（√）8.蓝牙通信默认是加密的，无需额外安全配置。（×）9.物联网设备通常采用资源受限的嵌入式系统，安全防护能力较弱。（√）10.社会工程学攻击主要依赖技术漏洞而非人为因素。（×）11.对称加密算法的加密和解密使用相同的密钥。（√）12.非对称加密算法的加密效率高于对称加密。（×）13.网络钓鱼攻击通常通过仿冒合法网站获取用户信息。（√）14.数据库的事务日志可以用于数据恢复，但无法防止逻辑错误。（√）15.物理安全防护仅针对机房环境，与终端设备无关。（×）16.移动终端的设备管理（MDM）可以实现应用安装控制和数据擦除。（√）17.工业控制系统（ICS）的安全需求与传统IT系统完全相同。（×）18.量子计算机可以破解所有现有的公钥加密算法。（×）19.安全审计的主要目的是记录事件，不涉及事件分析。（×）20.云服务提供商（CSP）应对用户数据的安全负全部责任。（×）四、简答题（每题10分，共10题）1.简述零信任模型的核心原则。答案：零信任模型的核心原则包括：（1）从不信任，始终验证：所有访问请求（无论来自内部还是外部）都需经过严格身份验证；（2）最小权限访问：仅授予用户完成任务所需的最小权限；（3）持续验证状态：动态评估终端设备的安全状态（如补丁安装、antivirus运行情况）；（4）可视化与审计：对所有访问行为进行实时监控和完整审计；（5）数据中心化为保护对象：以数据为中心构建防护，而非依赖传统网络边界。2.描述SSL/TLS握手过程的主要步骤。答案：SSL/TLS握手过程主要包括：（1）客户端问候（ClientHello）：发送支持的TLS版本、加密套件列表、随机数等；（2）服务端问候（ServerHello）：选择具体的TLS版本和加密套件，发送服务端证书和随机数；（3）客户端验证证书：验证服务端证书的合法性（通过CA链），提取公钥；（4）客户端生成预主密钥（Pre-MasterSecret）：使用服务端公钥加密后发送；（5）生成主密钥（MasterSecret）：双方通过预主密钥和之前的随机数生成对称会话密钥；（6）客户端完成（ClientFinished）：发送用会话密钥加密的握手消息摘要；（7）服务端完成（ServerFinished）：验证消息摘要并发送确认；（8）安全通信建立：后续数据通过会话密钥加密传输。3.分析SQL注入攻击的原理及防护措施。答案：原理：攻击者通过在Web应用输入框中注入恶意SQL代码，利用应用程序对用户输入未做严格过滤的漏洞，使后端数据库执行非预期的SQL命令，导致数据泄露、篡改或删除。防护措施：（1）使用预编译语句（PreparedStatement）或ORM框架，参数化查询；（2）严格输入验证：限制输入类型、长度，过滤特殊字符（如单引号、分号）；（3）最小权限原则：数据库用户仅授予必要的查询/修改权限；（4）输出编码：对数据库返回的数据进行HTML转义，防止二次注入；（5）定期进行漏洞扫描和代码审计。4.说明访问控制的三种主要模型（DAC、MAC、RBAC）及其区别。答案：（1）自主访问控制（DAC）：由资源拥有者自主决定访问权限，灵活性高但存在权限扩散风险；（2）强制访问控制（MAC）：系统根据安全标签（如密级）强制控制访问，适用于高安全等级环境（如军事系统）；（3）基于角色的访问控制（RBAC）：通过角色关联权限，用户通过角色获得权限，适合大型组织的权限管理。区别：DAC强调“自主”，MAC强调“强制”，RBAC强调“角色”；DAC和MAC是传统模型，RBAC更适应动态组织架构；MAC的安全级别由系统统一管理，DAC由资源所有者管理。5.阐述网络钓鱼的常见手段及防范方法。答案：常见手段：（1）仿冒邮件：伪装成银行、电商等可信机构，诱导点击恶意链接；（2）伪造网站：制作与真实网站高度相似的钓鱼页面，窃取账号密码；（3）即时通讯诈骗：通过QQ、微信等发送虚假中奖信息或转账请求；（4）短信钓鱼（Smishing）：发送含链接的短信，声称“账户异常需验证”。防范方法：（1）用户教育：识别可疑链接（检查URL域名、防钓鱼标识）；（2）多因素认证（MFA）：即使账号密码泄露，仍需验证第二因素；（3）邮件过滤：使用反垃圾邮件系统拦截可疑邮件；（4）浏览器防护：安装安全插件（如Chrome的安全浏览功能）；（5）定期更新系统：修复浏览器和邮件客户端的漏洞。6.比较对称加密与非对称加密的优缺点。答案：对称加密优点：加密/解密速度快，适合大数据量加密；缺点：密钥管理困难（需安全传输和存储），无法实现数字签名。非对称加密优点：密钥分发安全（公钥可公开），支持数字签名；缺点：加密速度慢，适合小数据量加密（如加密对称密钥）。典型应用：混合加密（用非对称加密传输对称密钥，用对称加密传输数据）。7.简述入侵检测系统（IDS）的分类及各自特点。答案：（1）基于主机的IDS（HIDS）：监控单个主机的日志、进程和文件系统，能检测本地异常（如文件篡改），但依赖主机资源；（2）基于网络的IDS（NIDS）：监听网络流量，分析数据包内容，能检测网络攻击（如DDoS、SQL注入），但可能受加密流量影响；（3）基于应用的IDS（AIDS）：针对特定应用（如Web应用）的协议和数据进行深度检测，能识别应用层漏洞利用；（4）混合IDS：结合多种检测方式，提高检测覆盖率。检测方法包括误用检测（基于已知攻击特征）和异常检测（基于正常行为模型）。8.说明数字证书的作用及签发流程。答案：作用：数字证书是CA颁发的电子文件，用于验证公钥的合法性，确保公钥与实体（如网站、用户）的绑定关系，防止中间人攻击。签发流程：（1）申请者生成公私钥对，提交证书申请（含公钥、身份信息）；（2）CA验证申请者身份（如企业需提供营业执照，个人需验证邮箱/手机号）；（3）CA使用自身私钥对申请者公钥、身份信息、有效期等数据进行哈希和签名，生成数字证书；（4）证书发布到证书库（如LDAP目录），供依赖方查询验证。9.分析缓冲区溢出攻击的原理及防护措施。答案：原理：程序在向缓冲区写入数据时未检查长度，导致数据超出缓冲区边界，覆盖相邻内存区域（如函数返回地址），攻击者通过构造恶意数据，使程序执行攻击者控制的代码（如获取系统权限）。防护措施：（1）编程安全：使用安全函数（如strncpy代替strcpy），避免不安全的库函数；（2）地址空间随机化（ASLR）：随机分配内存地址，使攻击代码地址不可预测；（3）栈保护（StackGuard）：在栈帧中插入校验值（Canary），检测栈溢出；（4）数据执行保护（DEP）：标记数据区为不可执行，防止恶意代码运行；（5）