2025年信息安全导论试题及答案

2025年信息安全导论试题及答案一、单项选择题（每题2分，共20分）1.以下哪种加密算法属于对称加密？A.RSAB.ECCC.AESD.DSA答案：C2.数字签名技术主要依赖于哪种密码学原理？A.哈希函数的单向性B.对称加密的密钥共享C.非对称加密的私钥签名、公钥验证D.混淆与扩散原则答案：C3.状态检测防火墙的核心功能是？A.基于IP地址和端口的静态过滤B.监控传输层连接状态并动态允许后续报文C.深度解析应用层协议内容D.仅允许已知安全的应用通过答案：B4.理想的哈希函数应具备的关键特性不包括？A.输入任意长度，输出固定长度B.抗碰撞性（CollisionResistance）C.可逆性（可从哈希值还原原数据）D.雪崩效应（输入微小变化导致输出显著变化）答案：C5.钓鱼攻击（Phishing）的本质是？A.利用系统漏洞植入恶意代码B.通过社会工程学诱导用户泄露敏感信息C.对目标网络进行流量洪泛攻击D.篡改网络传输中的数据内容答案：B6.零日攻击（Zero-dayAttack）的特点是？A.攻击发生后24小时内被修复B.利用尚未被公开或修复的系统漏洞C.仅针对新发布的软件版本D.攻击效果在一天内达到峰值答案：B7.信息安全领域的“最小权限原则”（PrincipleofLeastPrivilege）要求？A.用户仅被授予完成任务所需的最小权限B.系统默认拒绝所有访问请求C.权限分配需经过多级审批D.管理员权限应分散给多个用户答案：A8.在TCP/IP协议栈中，TLS（传输层安全协议）主要工作在哪个层次？A.网络层B.传输层C.应用层D.数据链路层答案：B9.基于身份的加密（IBE，Identity-BasedEncryption）的核心优势是？A.无需证书管理机构（CA）分发公钥B.加密强度高于传统非对称加密C.支持更高效的对称加密密钥交换D.完全消除了私钥泄露风险答案：A10.数据脱敏（DataMasking）技术的主要目的是？A.提高数据存储效率B.保护敏感信息在非生产环境中的可用性C.增强数据加密强度D.防止数据被物理破坏答案：B二、填空题（每题2分，共20分）1.ISO/IEC27001是国际通用的__________体系认证标准。答案：信息安全管理2.DES（数据加密标准）的有效密钥长度为__________位。答案：563.TCPSYN泛洪攻击（SYNFlood）属于__________攻击的一种。答案：拒绝服务（DoS）4.MD5哈希算法的输出长度为__________位。答案：1285.Kerberos认证系统中，用户通过__________证明身份并获取服务访问权限。答案：票据（Ticket）6.APT（高级持续性威胁）的典型特征是__________、针对性强且持续时间长。答案：技术复杂度高7.沙箱（Sandbox）技术通过__________隔离机制限制恶意程序的破坏范围。答案：环境8.数字水印（DigitalWatermarking）主要用于解决__________问题。答案：数据版权归属9.RBAC（基于角色的访问控制）的核心是根据用户__________分配权限。答案：角色10.SSL/TLS协议的握手阶段主要完成__________的交换与协商。答案：会话密钥三、简答题（每题8分，共40分）1.简述信息安全的CIA三元组及其内涵。答案：CIA三元组是信息安全的三大核心目标：机密性（Confidentiality）：确保信息仅被授权方访问，防止非授权泄露；完整性（Integrity）：保证信息在存储或传输过程中未被篡改、破坏或丢失；可用性（Availability）：确保授权用户在需要时能够可靠访问信息或服务。2.比较对称加密与非对称加密的优缺点。答案：对称加密：优点：加密/解密速度快，适合处理大文件；密钥长度较短时计算效率高。缺点：密钥分发困难（需安全信道传输）；密钥管理复杂（每对通信方需独立密钥）。非对称加密：优点：密钥分发方便（公钥可公开）；支持数字签名，解决身份认证问题。缺点：加密/解密速度慢，适合小数据量或密钥交换场景；相同安全强度下密钥长度远大于对称加密。3.描述XSS（跨站脚本攻击）的原理及主要防范措施。答案：原理：攻击者向目标网站注入恶意脚本（如JavaScript），当其他用户访问该网站时，浏览器执行恶意脚本，导致用户Cookie泄露、会话劫持或页面篡改。防范措施：输入过滤：对用户输入进行转义（如HTML转义、URL编码），阻止脚本注入；输出编码：在页面输出用户输入内容时，使用安全编码（如HTMLEncode）；启用CSP（内容安全策略），限制页面可执行脚本的来源；使用HttpOnly属性保护Cookie，防止脚本读取敏感信息。4.说明访问控制的两种主要模型（自主访问控制与强制访问控制）的区别。答案：自主访问控制（DAC，DiscretionaryAccessControl）：资源所有者（如文件属主）可自主决定其他用户的访问权限（如读、写、执行），灵活性高但安全性依赖用户操作。强制访问控制（MAC，MandatoryAccessControl）：系统根据预定义的安全策略（如安全标签、密级）统一分配权限，用户无法修改策略。例如，军事系统中根据“绝密”“机密”“秘密”等级控制访问，安全性更高但灵活性较低。5.阐述量子计算对现有公钥密码体系的潜在影响。答案：量子计算的发展可能对基于数学难题的公钥密码体系构成威胁：RSA算法依赖大整数分解难题，量子计算机可通过Shor算法在多项式时间内分解大整数，导致RSA失效；ECC（椭圆曲线加密）依赖椭圆曲线离散对数难题，Shor算法同样可高效求解该问题，使ECC不再安全；对称加密（如AES）虽受量子攻击（如Grover算法）影响较小，但需将密钥长度从128位提升至256位以保持等效安全强度；因此，后量子密码（如基于格的密码、基于编码的密码）成为当前研究重点，以替代传统公钥体系。四、分析题（每题10分，共20分）1.某公司财务部门员工收到一封标题为“2025年税务申报通知”的邮件，附件为“申报模板.docx”。员工点击附件后，电脑出现卡顿，次日发现财务系统登录凭证泄露，部分客户银行信息被加密勒索。请分析该攻击的可能路径，并提出至少5项防范措施。答案：攻击路径分析：钓鱼邮件投递：攻击者伪造税务部门邮件，利用社会工程学诱导员工点击附件；恶意代码执行：附件可能为伪装成Word文档的宏病毒或漏洞利用程序（如CVE-2024-XXXX），触发后下载并执行恶意载荷；权限提升：恶意程序扫描系统漏洞，提升至管理员权限，获取财务系统访问凭证（如窃取Windows凭证管理器中的密码）；横向移动：利用内网渗透技术（如SMB协议）扩散至其他财务终端，获取更多权限；数据加密与勒索：加密敏感文件（如客户银行信息），并留下勒索信要求支付比特币解密。防范措施：员工安全培训：定期开展钓鱼攻击识别培训，强调不随意点击陌生邮件附件；邮件网关过滤：部署高级威胁防护（ATP）系统，检测附件中的恶意宏、可疑文件类型（如伪装成文档的PE文件）；端点防护：启用EDR（端点检测与响应）工具，实时监控进程行为，阻止异常文件执行；最小权限管理：财务系统用户仅授予必要的读写权限，禁止默认管理员权限；数据加密与备份：重要数据采用AES-256加密存储，定期离线备份（如空气隔离的存储设备），避免被勒索软件加密后无法恢复；漏洞补丁管理：及时安装操作系统、Office软件的安全补丁，关闭不必要的宏功能（如禁用Office的信任中心宏设置）。2.某智能家居厂商推出的智能摄像头因销量激增，近期被曝大量设备被植入僵尸网络（Botnet），用于DDoS攻击。请分析该设备可能存在的安全漏洞，并提出至少5项改进建议。答案：可能的安全漏洞：弱口令默认配置：设备出厂时使用简单默认密码（如“admin/admin”），用户未修改即联网；未修复的固件漏洞：厂商未及时推送安全补丁，攻击者利用已知漏洞（如缓冲区溢出、命令注入）远程控制设备；开放不必要的端口：设备默认开放SSH、Telnet等管理端口，且未限制访问源IP，易被扫描工具发现；缺乏身份认证机制：设备与云服务器通信时未采用双向TLS认证，攻击者可伪造服务器指令；日志与监控缺失：设备无异常行为日志记录，厂商无法及时发现大规模被控制情况。改进建议：强制密码策略：设备首次联网时要求用户设置强密码（长度≥12位，包含字母、数字、符号），禁止使用默认密码；自动固件更新：通过OTA（空中下载）技术定期推送安全补丁，用户可选择自动更新或手动确认；端口安全配置：默认关闭非必要管理端口（如SSH），仅允许通过HTTPS或定制安全协议（如MQTTwithTLS）通信；双向认证机制：设备与云平台通信时采用X.5