软考中级信息安全工程师考试大纲试题及真题

软考中级信息安全工程师考试大纲试题及真题考试时长：120分钟满分：100分试卷名称：软考中级信息安全工程师考试大纲试题及真题考核对象：软考中级信息安全工程师考生题型分值分布：-判断题（总共10题，每题2分）总分20分-单选题（总共10题，每题2分）总分20分-多选题（总共10题，每题2分）总分20分-案例分析（总共3题，每题6分）总分18分-论述题（总共2题，每题11分）总分22分总分：100分---一、判断题（每题2分，共20分）1.信息安全等级保护制度适用于所有关键信息基础设施。2.加密算法分为对称加密和非对称加密两种基本类型。3.安全审计日志应至少保存3个月。4.防火墙可以完全阻止所有网络攻击。5.恶意软件（Malware）包括病毒、蠕虫和木马。6.双因素认证比单因素认证的安全性更高。7.数据备份的目的是为了防止数据丢失。8.物理隔离可以完全消除信息安全风险。9.信息安全风险评估不需要考虑法律合规性。10.无线网络比有线网络更容易受到攻击。二、单选题（每题2分，共20分）1.以下哪项不属于信息安全的基本属性？（）A.机密性B.完整性C.可用性D.可扩展性2.哪种加密算法属于对称加密？（）A.RSAB.AESC.ECCD.SHA-2563.以下哪项不是常见的网络攻击类型？（）A.DDoS攻击B.SQL注入C.中间人攻击D.文件压缩4.信息安全策略的核心要素不包括？（）A.访问控制B.安全审计C.数据备份D.软件开发5.哪种认证方式安全性最高？（）A.用户名+密码B.短信验证码C.生物识别+动态口令D.静态口令6.以下哪项不属于物理安全措施？（）A.门禁系统B.视频监控C.数据加密D.温湿度控制7.信息安全风险评估的方法不包括？（）A.定量评估B.定性评估C.风险矩阵D.社会工程学8.哪种协议主要用于传输加密数据？（）A.FTPB.HTTPSC.TelnetD.SMTP9.信息安全管理体系（ISMS）的核心标准是？（）A.ISO9001B.ISO27001C.ISO14001D.ISO2200010.哪种攻击属于社会工程学攻击？（）A.拒绝服务攻击B.网络钓鱼C.恶意软件植入D.漏洞扫描三、多选题（每题2分，共20分）1.信息安全的基本属性包括哪些？（）A.机密性B.完整性C.可用性D.可追溯性E.可扩展性2.常见的对称加密算法有哪些？（）A.DESB.3DESC.AESD.RSAE.Blowfish3.网络攻击的类型包括哪些？（）A.DDoS攻击B.SQL注入C.拒绝服务攻击D.中间人攻击E.跨站脚本攻击4.信息安全策略的要素包括哪些？（）A.访问控制B.安全审计C.数据备份D.软件开发E.应急响应5.常见的认证方式有哪些？（）A.用户名+密码B.短信验证码C.生物识别D.动态口令E.静态口令6.物理安全措施包括哪些？（）A.门禁系统B.视频监控C.数据加密D.温湿度控制E.安全培训7.信息安全风险评估的方法包括哪些？（）A.定量评估B.定性评估C.风险矩阵D.社会工程学E.漏洞扫描8.常见的加密协议包括哪些？（）A.FTPB.HTTPSC.TelnetD.SMTPE.SSH9.信息安全管理体系（ISMS）的要素包括哪些？（）A.风险评估B.安全策略C.安全控制D.安全审计E.应急响应10.常见的社会工程学攻击包括哪些？（）A.网络钓鱼B.恶意软件植入C.拒绝服务攻击D.诱骗攻击E.漏洞扫描四、案例分析（每题6分，共18分）案例1：某企业部署了一套信息系统，包含数据库服务器、应用服务器和用户终端。近期发现数据库存在多次未授权访问记录，且部分用户终端出现异常弹窗。企业决定进行安全评估，并提出改进措施。问题：1.分析该企业可能面临的安全风险。2.提出至少三种安全改进措施。案例2：某金融机构采用双因素认证机制保护其核心业务系统，但近期发现部分员工因忘记动态口令而无法访问系统。同时，系统日志显示存在多次暴力破解密码的尝试。问题：1.分析该金融机构可能存在的问题。2.提出至少两种改进建议。案例3：某政府机构的数据中心部署了防火墙和入侵检测系统，但近期发生了一次数据泄露事件。调查发现，攻击者通过未及时修补的系统漏洞入侵了网络。问题：1.分析该事件的可能原因。2.提出至少三种防范措施。五、论述题（每题11分，共22分）论述题1：论述信息安全风险评估的基本流程及其重要性。论述题2：结合实际案例，论述信息安全管理体系（ISMS）的构建过程及其关键要素。---标准答案及解析一、判断题1.√2.√3.×（应至少保存6个月）4.×（防火墙不能完全阻止所有攻击）5.√6.√7.√8.×（物理隔离不能完全消除风险）9.×（需考虑法律合规性）10.√解析：-第3题：根据《信息安全技术网络安全等级保护基本要求》，安全审计日志应至少保存6个月。-第4题：防火墙可以阻止部分攻击，但不能完全消除所有威胁。-第8题：物理隔离可以降低风险，但不能完全消除。二、单选题1.D2.B3.D4.D5.C6.C7.D8.B9.B10.B解析：-第1题：可扩展性不属于信息安全的基本属性。-第2题：AES属于对称加密算法。-第5题：生物识别+动态口令结合了多种认证方式，安全性最高。-第7题：社会工程学属于风险评估的方法之一，但不是技术评估方法。三、多选题1.A,B,C2.A,B,C,E3.A,B,C,D,E4.A,B,C,E5.A,B,C,D,E6.A,B,D,E7.A,B,C8.B,E9.A,B,C,D,E10.A,B,D解析：-第1题：信息安全的基本属性包括机密性、完整性和可用性。-第8题：HTTPS和SSH用于传输加密数据。-第10题：网络钓鱼和诱骗攻击属于社会工程学攻击。四、案例分析案例1：1.安全风险：-数据库未授权访问（可能导致数据泄露）。-用户终端异常弹窗（可能感染恶意软件）。-网络存在未修复漏洞（可能被进一步攻击）。2.改进措施：-部署入侵检测系统（IDS）监控异常流量。-加强用户权限管理，实施最小权限原则。-定期进行安全培训，提高员工安全意识。案例2：1.问题：-双因素认证导致部分员工无法访问系统（用户体验问题）。-系统存在暴力破解风险（密码安全不足）。2.改进建议：-提供备用认证方式（如动态口令短信备份）。-部署密码强度策略，限制登录尝试次数。案例3：1.可能原因：-系统漏洞未及时修补（系统维护不足）。-防火墙配置不当（未能有效阻止攻击）。2.防范措施：-定期进行漏洞扫描和修补。-优化防火墙规则，限制恶意IP访问。五、论述题论述题1：信息安全风险评估的基本流程包括：1.风险识别：识别信息系统中的潜在风险（如漏洞、威胁等）。2.风险分析：分析风险发生的可能性和影响程度。3.风险评价：根据风险分析结果，确定风险等级。4.风险处理：制定风险处理计划（如规避、转移、减轻等）。