2025下半年软考信息安全工程师真题及答案解析

2025下半年软考信息安全工程师练习题及答案解析1.单项选择题（每题1分，共30分。每题只有一个正确答案，错选、不选均不得分）1.1在GB/T222392019《信息安全技术网络安全等级保护基本要求》中，第三级安全要求首次明确提出的控制域是A.安全物理环境B.安全通信网络C.安全区域边界D.安全计算环境答案：C解析：第三级在第二级基础上新增“安全区域边界”控制域，强调对区域边界的访问控制、入侵防范等。1.2某单位采用SM2算法进行密钥协商，双方临时公钥长度均为A.128bitB.160bitC.256bitD.512bit答案：C解析：SM2椭圆曲线公钥长度为256bit，对应曲线参数为国家密码管理局推荐的SM2曲线。1.3在Linux系统中，若文件权限为“rwsrxr”，则该文件的属主执行位实际表现为A.仅执行B.执行且SetUIDC.执行且SetGIDD.执行且粘滞位答案：B解析：小写s出现在属主执行位，表示SetUID位被设置。1.4关于TLS1.3握手过程，下列说法正确的是A.支持RSA密钥传输B.默认启用会话复用C.ServerHello之后立即发送EncryptedExtensionsD.握手完成消息为Finished，采用HMACSHA256答案：C解析：TLS1.3废弃RSA密钥传输，ServerHello后立刻发送EncryptedExtensions；Finished算法取决于协商套件，不固定SHA256。1.5在Windows日志审核策略中，若需记录用户成功登录事件，应启用A.审核登录事件成功B.审核账户登录事件成功C.审核特权使用成功D.审核进程跟踪成功答案：B解析：“账户登录事件”记录域控制器或本地SAM的认证结果，“登录事件”记录工作站会话开始。1.6下列哪项不属于软件安全成熟度模型BSIMM13中的“治理”域实践A.创建安全高管职位B.发布安全编码标准C.建立安全门户D.执行渗透测试答案：D解析：渗透测试归属“测试”域，非治理域。1.7在IPSec中，提供数据源身份认证的协议是A.AHB.ESPC.IKEv2D.ISAKMP答案：A解析：AH（AuthenticationHeader）提供数据源认证与完整性，不加密。1.8使用nmap扫描目标/24的UDP53端口，正确参数为A.sSp53/24B.sUp53/24C.sTp53/24D.sFp53/24答案：B解析：UDP扫描需使用sU。1.9在Python3中，可安全生成32字节随机密钥的函数是A.random.bytes(32)B.os.urandom(32)C.uuid.uuid4().bytesD.secrets.token_hex(32)答案：B解析：os.urandom返回适合密码学的随机字节；secrets.token_hex(32)返回64字符十六进制字符串，非32字节。1.10根据《密码法》，国家对商用密码实行A.强制认证制度B.自愿检测认证制度C.备案制度D.审批制度答案：B解析：商用密码产品自愿检测认证，涉及国家安全的产品除外。1.11在SQL注入防御中，Orderby子句后使用参数化查询失败，最合理的替代方案是A.拼接字符串后加单引号过滤B.使用白名单校验列名C.转义双引号D.关闭数据库错误回显答案：B解析：Orderby后无法参数化，需白名单校验列名。1.12在Kerberos协议中，TGT的有效期由哪项决定A.客户端时钟偏移B.KDCPolicy中TicketLifetimeC.服务端keytab版本D.预认证类型答案：B解析：TGT生命周期由KDC策略字段决定。1.13在等级保护2.0安全扩展要求中，云计算扩展要求提出A.镜像加固B.虚拟化隔离C.多租户隔离D.容器逃逸检测答案：C解析：云计算扩展要求核心为多租户隔离。1.14若防火墙采用状态检测机制，对UDP通信的处理依赖A.序列号B.会话表超时C.窗口大小D.ACK位答案：B解析：UDP无连接，状态检测靠会话表与超时机制。1.15在ISO/IEC27001:2022附录A中，控制措施“备份”属于A.组织控制B.人员控制C.物理控制D.技术控制答案：D解析：备份为技术控制。1.16在Android13中，应用获取精确位置需申请A.ACCESS_FINE_LOCATIONB.ACCESS_BACKGROUND_LOCATIONC.ACTIVITY_RECOGNITIOND.LOCATION_HARDWARE答案：A解析：精确位置权限为ACCESS_FINE_LOCATION。1.17在OWASPTop102021中，排名首位的是A.访问控制失效B.加密失败C.注入D.不安全设计答案：A解析：访问控制失效（BrokenAccessControl）列第一。1.18若RSA密钥模长为3072bit，则对应安全强度约等于A.112bitB.128bitC.192bitD.256bit答案：B解析：NISTSP80057给出3072bitRSA约128bit对称强度。1.19在BGP安全扩展中，用于验证AS路径的协议是A.RPKIB.BGPsecC.ASSECD.ROA答案：B解析：BGPsec对AS路径签名。1.20在零信任架构中，首次提出“永不信任、持续验证”的模型是A.ForresterZTXB.NISTSP800207C.GoogleBeyondCorpD.GartnerCARTA答案：A解析：Forrester分析师JohnKindervag提出ZTX模型。1.21在Linux内核5.15中，默认启用缓解“Spectrev2”的机制是A.retbleedB.IBRSC.eIBRSD.LFENCE答案：C解析：eIBRS（EnhancedIBRS）为5.15默认。1.22若采用HMACSM3进行消息认证，密钥长度推荐为A.128bitB.256bitC.512bitD.1024bit答案：B解析：SM3输出256bit，密钥长度与输出等长即可。1.23在IPv6中，用于节点多播地址的标志位“T”置1表示A.永久分配B.临时分配C.内嵌RPD.基于网络前缀答案：B解析：T=1为临时多播地址。1.24在等级保护测评中，测评单元“测评对象”划分依据不包括A.网络拓扑B.业务应用C.威胁分析D.设备型号答案：C解析：威胁分析用于风险，非对象划分。1.25在WindowsDefenderApplicationControl中，策略文件格式为A..xmlB..binC..p7bD..cab答案：A解析：WDAC策略为XML。1.26在数据安全法中，对“重要数据”出境实行A.自由流动B.安全评估C.标准合同D.认证机制答案：B解析：重要数据出境需安全评估。1.27在PKI体系中，负责发布证书撤销列表的是A.RAB.CAC.VAD.OCSP响应器答案：B解析：CA签发CRL。1.28在Wireshark过滤器中，查看HTTP请求方法为PUT的表达式是A.http.request.method==PUTB.http.method=PUTC.tcp.payloadcontains“PUT”D.http.put答案：A解析：正确语法为http.request.method==”PUT”。1.29在容器安全中，防止容器获取额外权限的flag是A.privilegedB.capadd=ALLC.securityoptnonewprivilegesD.pid=host答案：C解析：nonewprivileges禁止进程提升权限。1.30在等保测评报告模板中，结论页不包括A.符合性判定B.风险等级C.整改建议D.测评人员签字答案：D解析：签字页独立，结论页不含签字。2.多项选择题（每题2分，共20分。每题至少有两个正确答案，多选、少选、错选均不得分）2.1以下哪些属于对称加密算法A.SM1B.SM4C.SM7D.SM9答案：A、B、C解析：SM9为标识非对称算法。2.2关于DNSSEC，下列说法正确的是A.使用RRSIG记录签名B.支持DS记录建立信任链C.采用EDNS0扩展D.提供数据机密性答案：A、B、C解析：DNSSEC不提供机密性。2.3在Linux能力（capability）机制中，可允许普通用户执行端口绑定（<1024）的能力包括A.CAP_NET_ADMINB.CAP_NET_BIND_SERVICEC.CAP_SYS_RAWIOD.CAP_DAC_OVERRIDE答案：B解析：仅CAP_NET_BIND_SERVICE。2.4以下哪些攻击可导致容器逃逸A.脏牛（DirtyCow）B.runC容器逃逸漏洞（CVE20195736）C.KubernetesAPIServer未授权D.Dockercp竞态条件（CVE202141089）答案：B、D解析：A需本地提权且内核老，C为横向非逃逸。2.5在零信任参考架构中，可作为策略执行点（PEP）的组件有A.SDP网关B.API网关C.微隔离代理D.传统VPN集中器答案：A、B、C解析：传统VPN无动态授权。2.6以下属于NISTSP80061事件响应生命周期阶段的有A.检测分析B.遏制根除C.恢复D.经验教训答案：A、B、C、D解析：四阶段完整。2.7在Android应用逆向中，可检测Root状态的方法有A.检查su二进制文件B.检查ro.debuggable属性C.检查GoogleSafetyNetAPID.检查签名证书答案：A、B、C解析：签名证书与Root无关。2.8关于日志审计合规要求，下列保存期限≥6个月的有A.《网络安全法》B.《电子商务法》C.《个人信息保护法》D.GB/T222392019第三级答案：A、B、D解析：个保法未明确6个月。2.9在防火墙双机热备（HA）中，实现会话同步的协议/技术有A.VRRPB.HRP（HuaweiRedundancyProtocol）C.FGCP（FortiGateClusterProtocol）D.CARP答案：B、C、D解析：VRRP仅路由冗余，不同步会话。2.10以下哪些工具支持对SM2证书进行签名验证A.OpenSSL3.0+gmssl引擎B.gmssl命令行C.Keytool（JDK17）D.BouncyCastle(C版本)答案：A、B、D解析：Keytool默认不支持SM2。3.填空题（每空2分，共20分）3.1在SHA3算法中，海绵结构包含吸收阶段和________阶段。答案：挤压（Squeeze）3.2在Windows系统中，用于查看当前登录用户SID的命令是________。答案：whoami/user3.3在IPv4报头中，用于分片重组的字段是标识、标志和________。答案：片偏移（FragmentOffset）3.4在PKCS1v1.5填充中，BT为02时表示________加密。答案：公钥3.5在Linux审计系统auditd中，定义文件系统监控规则的命令是________。答案：auditctlw3.6在等保2.0中，安全运维管理要求建立________制度，确保变更操作可追溯。答案：变更管理3.7在Kubernetes中，NetworkPolicy资源依赖于________组件实现策略下发。答案：CNI插件（或网络插件）3.8在BGP报文中，用于维持邻居关系的报文类型是________。答案：Keepalive3.9在密码学中，将消息分组长度等于密钥长度的分组密码工作模式称为________模式。答案：CTR（或计数器，答OFB亦可，但CTR更常见）3.10在Pythonrequests库中，关闭SSL证书验证的参数是verify=________。答案：False4.简答题（共30分）4.1简述差分隐私中的“ε差分隐私”定义，并说明其数值大小与隐私保护强度关系。（6分）答案：ε差分隐私要求对于任意相邻数据集D、D’，以及任意输出S，算法M满足Pr[M(D)∈S]≤e^εPr[M(D’)∈S]。ε越小，加入噪声越多，保护强度越高；ε越大，数据效用提升但保护减弱。4.2说明在容器环境中使用Seccomp的工作原理，并给出一条限制容器内进程调用ptrace的Seccomp规则示例。（6分）答案：Seccomp（securecomputingmode）通过BPF程序过滤系统调用号及参数，默认返回EPERM。限制ptrace示例：{“defaultAction”:“SCMP_ACT_ALLOW”,“syscalls”:[{“names”:[“ptrace”],“action”:“SCMP_ACT_ERRNO”}]}4.3简述Kerberos跨域认证流程，并指出其中容易遭受中间人攻击的环节及缓解措施。（8分）答案：流程：1.客户端向本地KDC申请本地TGT；2.本地KDC返回TGT；3.客户端请求跨域TGT，携带目标域信息；4.本地KDC用跨域密钥签发跨域TGT；5.客户端向目标域KDC申请服务票据；6.目标域KDC返回服务票据；7.客户端访问服务。攻击环节：第4步跨域TGT可能被伪造。缓解：严格配置跨域密钥强度与轮换周期，启用PAC校验与KDC证书绑定。4.4说明在等级保护第三级测评中，对“恶意代码防范”控制点的测评实施过程。（10分）答案：1.核查主机与网络层是否部署恶意代码检测产品，更新周期≤7天；2.抽样检查病毒库版本，确认与官方发布时间差≤7天；3.核查是否开启实时扫描与定期全盘扫描策略；4.验证隔离区配置，确认清除/隔离动作日志上传至集中审计系统；5.对Linux系统，核查是否部署EDR或白名单机制，验证对ELF木马样本检出率；6.核查管理制度是否明确病毒事件处置流程；7.访谈管理员，确认近一年是否发生病毒事件及处置记录；8.对测评结果进行符合性判定，若任一项缺失则判为不符合。5.应用题（共50分）5.1计算分析题（15分）某单位计划部署IPSecVPN，采用ESP+AES256GCM+SM4CBC混合策略：控制平面采用AES256GCM，数据平面采用SM4CBC。已知：1.AES256GCM每包额外开销16ByteICV；2.SM4CBC每包需填充至16Byte整数倍，并附加1Byte填充长度；3.原始IP包长1400Byte；4.隧道模式新增IP头20Byte；5.ESP头12Byte，ESP尾最多15Byte填充。求：单包最大可能总长度，并指出在千兆线速（双向1000Mbps）下，仅考虑单包长度开销，理论最大有效数据吞吐（Mbps）。答案：步骤1：计算ESP封装后长度原始数据1400Byte→SM4CBC要求16Byte对齐，1400mod16=8，需填充8Byte数据+1Byte长度=9Byte，总1440Byte。ESP头12Byte，ESP尾9Byte，ICV16Byte（GCM模式），隧道新IP头20Byte。总长度=20(IP)+12(ESP头)+1440(数据+填充+长度)+16(ICV)=1488Byte。步骤2：千兆线速下包速率1000Mbps/(1488Byte×8bit/Byte)≈83984pps。步骤3：有效数据吞吐每包有效1400Byte，吞吐=83984×1400×8≈940Mbps。结论：最大总长度1488Byte，理论有效数据吞吐约940Mbps。5.2综合设计题（20分）某金融公司需建设零信任远程办公平台，用户场景包括：1.互联网终端通过浏览器访问内部Wiki（HTTP）；2.外包员工使用自建笔记本通过SSH维护Linux服务器；3.高管使用iPad审批OA流程（HTTPS）。安全需求：a.所有流量加密；b.动态最小授权；c.用户行为可审计；d.设备需合规（补丁、EDR）。请给出整体架构图文字描述、关键组件列表、访问流程及威胁缓解表。答案：架构描述：1.终端层：部署轻量SDP代理/浏览器插件，收集设备姿态（补丁、EDR、磁盘加密）。2.控制层：零信任控制器（ZTAC）集成身份源（AD/LDAP）、PKI、EMM、EDR、SIEM；策略引擎基于用户、设备、位置、风险评分动态授权。3.数据层：内部Wiki、OA、Linux服务器划入微段，由SDP网关代理，隐藏源IP。4.审计层：所有日志发送至SIEM，保存≥180天，行为分析使用UEBA检测异常。关键组件：SDP网关集群、ZTAC、身份提供者IdP、EMM、EDR、SIEM、UEBA、HSM（密钥管理）。访问流程（以SSH为例）：1.外包员工发起SSH连接→SDP代理拦截→建立mTLS至SDP网关；2.SDP代理上报设备姿态→ZTAC评分→若合规→下发短期证书（有效期2h）；3.SDP网关验证证书→建立到目标Linux的SSH代理通道→会话录制；4.若UEBA发现异常（如深夜下载/etc/shadow）→ZTAC下发阻断→会话终止。威胁缓解表：中间人攻击：mTLS+证书绑定；设备丢失：EMM远程擦除+短周期证书；账户盗用：多因素+风险评分；横向移动：微隔离+默认拒绝；日志篡改：SIEM日志签名+WORM存储。5.3安全编程题（15分）以下C代码片段用于验证用户上传文件签名，指出其中3处高危漏洞，并给出修复代码。```cboolverify_sig(constcharfile,constcharsig_b64){unsignedcharsig[256]={0};intsig_len=base64_decode(sig_b64,sig);RSAr=PEM_read_RSA_PUBKEY("pub.pem",NULL,NULL,NULL);unsignedcharhash[32];SHA256(file,strlen(file),hash);//问题1intret=RSA_verify(NID_sha256,hash,32,sig,sig_len,r);//问题2