2025年信息安全工程师试题及答案

2025年信息安全工程师试题及答案一、单项选择题（共40题，每题1分，共40分。每题的备选项中，只有1个最符合题意）1.以下关于零信任架构（ZTA）核心原则的描述，最准确的是（）A.基于网络位置信任内部用户，对外部用户严格验证B.永不信任，始终验证，基于上下文访问决策C.仅对敏感数据访问进行多因素认证，普通数据直接授权D.依赖边界防火墙实现核心安全防护，内部流量默认允许答案：B解析：零信任架构的核心是“永不信任，始终验证”，不依赖网络位置判断信任度，需基于用户身份、设备状态、访问上下文等多维度信息动态决策访问权限，A、C、D选项均违背零信任的核心原则。2.某企业部署了数据防泄漏（DLP）系统，以下场景中，DLP系统无法有效防护的是（）A.员工通过企业邮箱将包含客户隐私数据的文档发送给外部人员B.员工在办公电脑上安装未授权的网盘客户端，上传敏感财务报表C.攻击者通过SQL注入攻击窃取数据库中的核心业务数据D.员工将内部机密资料打印后，通过快递寄送给外部合作方答案：C解析：DLP系统主要针对终端、网络、存储中的数据流动进行监控和阻断，重点防护内部用户的主动数据泄露行为。SQL注入属于外部攻击导致的数据窃取，属于网络入侵防御和数据库防护的范畴，DLP系统无法直接拦截该攻击行为。3.在密码技术应用中，以下关于对称加密和非对称加密的对比，正确的是（）A.对称加密算法的加解密速度慢，适合大文件加密B.非对称加密算法的密钥管理难度低，密钥分发简单C.对称加密算法的密钥需要安全分发，适合在不可信网络中传输D.非对称加密常被用于对称密钥的协商与分发，如TLS协议中的密钥交换答案：D解析：对称加密算法加解密速度快，适合大文件加密，但密钥分发和管理难度大，在不可信网络中传输密钥存在泄露风险；非对称加密算法加解密速度慢，密钥管理相对简单（公钥可公开），常被用于对称密钥的安全分发，如TLS协议中通过非对称加密协商对称会话密钥。A、B、C选项描述均错误。4.某电商平台发生用户数据泄露事件，经排查发现，攻击者通过获取用户的弱口令登录了平台的后台管理系统。以下措施中，无法有效防范此类攻击的是（）A.强制用户设置包含大小写字母、数字、特殊字符的8位以上口令B.启用后台管理系统的多因素认证（MFA），要求登录时验证短信验证码C.限制后台管理系统的登录IP，仅允许企业办公网IP段访问D.定期对后台系统的登录日志进行审计，发现异常登录行为及时告警答案：A解析：即使设置复杂口令，仍存在被暴力破解、社工猜测的可能，且仅靠口令复杂度无法完全防范弱口令风险。而多因素认证、IP白名单、日志审计均能从不同维度提升登录安全性，A选项的单一措施无法有效防范此类攻击。5.以下关于人工智能（AI）在信息安全领域的应用，属于“防御性应用”的是（）A.攻击者使用AI生成的钓鱼邮件，模仿企业CEO的口吻诱导员工转账B.攻击者使用AI驱动的自动化渗透测试工具，快速扫描并利用系统漏洞C.安全厂商使用AI算法分析网络流量，实时识别未知的高级威胁攻击D.攻击者使用AI技术生成深度伪造视频，伪造企业高管发布虚假声明答案：C解析：A、B、D选项均为AI在网络攻击中的应用，属于攻击性场景；C选项是利用AI的大数据分析和模式识别能力，提升威胁检测的准确性和实时性，属于防御性应用。6.某企业的办公网络采用了软件定义网络（SDN）架构，以下关于SDN架构的安全风险，描述错误的是（）A.SDN控制器作为核心组件，一旦被攻击者控制，可能导致整个网络被接管B.SDN南向接口负责控制器与交换机的通信，若未加密易被窃听或篡改C.SDN的集中式管理模式减少了安全配置的复杂度，不会出现配置错误D.虚拟机迁移是SDN常见场景，若迁移过程中未对虚拟机流量加密，可能导致数据泄露答案：C解析：SDN的集中式管理模式虽然提升了配置效率，但一旦控制器的安全配置出现错误，将影响整个网络的安全策略，反而可能放大配置错误的影响范围，C选项描述错误。7.根据《网络安全等级保护条例》，第三级网络运营者应每年至少开展（）次网络安全等级保护测评。A.1B.2C.3D.4答案：A解析：《网络安全等级保护条例》明确规定，第三级网络运营者应当每年至少开展一次等级测评，第四级网络运营者应当每半年至少开展一次等级测评。8.以下关于物联网（IoT）设备的安全防护措施，最关键的是（）A.为所有IoT设备设置统一的管理员口令，便于批量管理B.禁用IoT设备的未使用接口和服务，如Telnet、FTP等C.不对IoT设备进行固件更新，避免更新过程中引入新漏洞D.将IoT设备直接接入企业核心业务网络，便于数据交互答案：B解析：多数IoT设备存在默认口令、未授权服务等安全隐患，禁用未使用的接口和服务可直接减少攻击面。A选项统一口令易导致批量泄露，C选项不更新固件无法修复已知漏洞，D选项直接接入核心网络会将IoT设备的安全风险传导至核心业务系统。9.在渗透测试过程中，测试人员通过ARP欺骗手段在局域网中获取了目标主机的通信流量，以下技术中，能有效防范此类攻击的是（）A.启用交换机的端口安全功能，限制每个端口允许接入的MAC地址数量B.在局域网中部署入侵检测系统（IDS），监控异常的ARP报文C.启用主机的ARP缓存静态绑定功能，手动配置网关和核心设备的IP-MAC映射D.部署虚拟专用网络（VPN），让局域网内的主机通过VPN通信答案：C解析：ARP欺骗的核心是篡改主机的ARP缓存，静态绑定IP与MAC地址可避免ARP缓存被恶意篡改，是最直接有效的防范手段。A选项端口安全主要防范非法设备接入，无法拦截ARP欺骗；B选项IDS只能检测告警，无法主动阻断攻击；D选项VPN主要用于跨网络的安全通信，对局域网内的ARP欺骗防护无效。10.以下关于区块链技术在信息安全领域的应用，正确的是（）A.区块链的去中心化特性可完全避免数据被篡改，适合存储所有类型的数据B.区块链中的智能合约可自动执行预设规则，无需第三方参与，能提升业务流程的安全性C.区块链的公开透明特性意味着所有数据对所有人可见，无法保护用户隐私D.区块链的共识机制（如PoW）能耗低，适合在能源受限的场景中应用答案：B解析：区块链的去中心化和不可篡改特性是基于共识机制实现的，但并非完全无法篡改（如51%攻击可篡改部分区块链数据），且不适合存储大体积数据；通过零知识证明等技术，区块链可实现数据的隐私保护；PoW共识机制能耗极高，B选项描述正确。二、多项选择题（共15题，每题2分，共30分。每题的备选项中，有2个或2个以上符合题意，至少有1个错项。错选、本题不得分；少选，所选的每个选项得0.5分）1.某企业计划构建零信任网络，以下措施中，符合零信任架构核心要求的有（）A.对所有访问企业资源的用户，无论身份是否为内部员工，均需进行多因素认证B.基于用户的访问时间、设备健康状态、访问目的等信息，动态调整访问权限C.取消企业网络的内部/外部边界划分，所有流量均需通过零信任网关进行检查D.定期对用户的访问权限进行审计和回收，避免权限冗余E.仅对外部用户的访问进行严格验证，内部用户默认拥有所有资源的访问权限答案：ABCD解析：零信任架构要求“永不信任，始终验证”，内部用户也需经过严格的身份验证和权限决策，E选项违背零信任原则，其余选项均符合零信任的核心要求。2.数据安全治理是企业信息安全建设的核心内容，以下属于数据安全治理范畴的有（）A.开展数据分类分级，明确核心数据、重要数据和一般数据的防护要求B.建立数据全生命周期安全管理流程，覆盖数据采集、存储、传输、使用、销毁等环节C.定期对数据备份系统进行恢复测试，确保数据可在灾难发生后及时恢复D.与合作方签订数据共享安全协议，明确数据共享的范围和安全责任E.部署入侵防御系统（IPS），拦截针对企业网络的外部攻击答案：ABCD解析：E选项属于网络安全防护范畴，主要针对外部攻击，不属于数据安全治理的直接内容。A、B、C、D选项均围绕数据的全生命周期安全管理展开，属于数据安全治理的核心范畴。3.以下关于云安全的防护措施，适用于IaaS（基础设施即服务）模式的有（）A.为云服务器配置安全组规则，限制入站和出站的网络流量B.定期对云存储中的数据进行加密，使用客户管理的密钥（CMK）进行密钥管理C.要求云服务提供商定期提供安全合规报告，如SOC2、ISO27001等认证报告D.对云平台中的虚拟机进行漏洞扫描和补丁管理，及时修复系统漏洞E.配置云平台的访问控制策略，仅授权特定用户管理云资源答案：ABCDE解析：在IaaS模式下，客户需负责云服务器、安全组、数据加密、虚拟机安全、访问控制等安全配置，同时需通过合规报告监督云服务商的安全能力，以上选项均适用于IaaS模式的云安全防护。4.某企业遭遇了勒索软件攻击，核心业务系统被加密，攻击者要求支付比特币赎金。以下应急处置措施中，正确的有（）A.立即断开被感染系统与网络的连接，避免勒索软件横向扩散B.尝试自行解密被加密的数据，无需联系专业的安全应急响应团队C.保留攻击现场的所有证据，包括系统日志、进程信息、网络流量等D.立即支付赎金，避免业务中断时间过长E.启动数据恢复流程，使用最近的未受感染的备份数据恢复系统答案：ACE解析：支付赎金存在无法解密、再次被勒索的风险，且可能涉嫌资助违法犯罪，B、D选项错误。正确的处置措施包括隔离感染系统、保留攻击证据、使用合法备份恢复系统，必要时联系专业应急响应团队。5.以下关于个人信息保护的合规要求，符合《个人信息保护法》规定的有（）A.处理个人信息应当遵循合法、正当、必要原则，不得过度收集个人信息B.处理敏感个人信息（如生物识别、医疗健康数据）时，需取得个人的单独同意C.个人信息处理者无需向个人告知个人信息的处理目的、方式和范围D.个人有权要求个人信息处理者删除其个人信息，除非法律另有规定E.个人信息处理者可以随意向第三方提供个人信息，无需经过个人同意答案：ABD解析：《个人信息保护法》明确规定，处理个人信息应当告知个人处理目的、方式和范围；向第三方提供个人信息需取得个人同意或符合法律规定的例外情形，C、E选项违反法规要求，A、B、D选项符合合规要求。三、综合分析题（共3题，每题10分，共30分）（一）某零售企业信息安全建设案例分析某连锁零售企业拥有100多家线下门店，总部部署了核心业务系统（包括ERP、CRM、POS系统），门店通过VPN与总部网络连接。近期，企业发生了两起安全事件：一是某门店的POS机被植入恶意程序，导致该门店的客户银行卡信息被盗；二是总部员工误将包含10万条客户手机号的文档上传至公开的云盘，导致客户信息泄露。针对上述事件，企业计划全面升级信息安全防护体系，请回答以下问题：1.针对门店POS机的恶意程序攻击，请提出至少3项具体的防护措施，并说明理由。（4分）答案：（1）部署终端安全防护系统（EDR）：在所有POS机上安装EDR客户端，实时监控POS机的进程、文件和网络行为，及时发现并查杀恶意程序，阻止恶意程序的执行和数据窃取。理由：POS机属于专用终端，传统杀毒软件无法有效防护针对POS机的定制化恶意程序，EDR的行为监控和响应能力更适合此类场景。（2）启用POS机的应用白名单功能：仅允许POS系统、支付认证客户端等必要程序运行，禁止其他未授权程序的启动。理由：恶意程序需通过启动进程实现攻击目的，应用白名单可从根源上阻止恶意程序的执行，提升POS机的安全性。（3）对POS机的通信流量进行监控：在门店VPN出口部署入侵防御系统（IPS），监控POS机与总部支付系统、外部网络的通信，拦截异常流量（如向未知IP地址发送银行卡数据）。理由：恶意程序窃取银行卡信息后需通过网络传输给攻击者，监控并阻断异常通信可有效阻止数据泄露。（4）定期对POS机进行固件和系统更新：及时修复POS机操作系统和支付软件中的已知漏洞，避免攻击者利用漏洞植入恶意程序。理由：多数针对POS机的攻击是利用已知未修复的漏洞实现的，定期更新可减少攻击面。（答出3项即可，每项措施1分，理由1分）2.针对员工误泄露客户信息的事件，提出至少3项具体的防护措施，并说明理由。（3分）答案：（1）部署终端DLP系统：在员工办公电脑上安装DLP客户端，对文档的上传行为进行监控，识别包含客户手机号的敏感文档，阻止上传至未授权的云盘。理由：DLP系统可基于内容识别敏感数据，拦截员工的误操作或主动泄露行为。（2）实现文档加密：对包含客户信息的敏感文档进行加密，仅授权员工可打开加密文档，即使文档被上传至公开云盘，攻击者也无法查看内容。理由：加密可从数据本身提升安全性，避免数据泄露后造成实际危害。（3）开展员工安全意识培训：定期组织个人信息保护和数据安全培训，模拟数据泄露场景，提升员工对敏感数据的识别能力和安全操作意识。理由：此次事件为员工误操作导致，提升员工安全意识可从源头减少此类事件的发生。（答出3项即可，每项措施0.5分，理由0.5分）3.为避免类似安全事件再次发生，企业还需完善哪些安全管理措施？（3分）答案：（1）建立数据分类分级管理制度：对客户信息、银行卡数据等敏感数据进行分类定级，明确不同级别数据的防护要求和使用权限，确保敏感数据被重点防护。（2）完善权限管理体系：遵循最小权限原则，为员工和门店系统分配必要的最小访问权限，避免员工获取超出工作需求的敏感数据访问权限。（3）建立安全事件应急响应机制：制定数据泄露、终端感染等安全事件的应急预案，定期开展应急演练，确保事件发生后能快速处置，减少损失。（4）定期开展安全审计和测评：每季度对终端安全、数据防护、网络安全等措施进行审计和测评，及时发现安全隐患并整改。（答出3项即可，每项1分）（二）某金融企业网络安全事件应急响应案例分析某城市商业银行的网上银行系统在某周五晚突然出现访问异常，大量用户反馈无法登录或交易失败。企业的安全运营中心（SOC）监控到系统服务器的CPU和内存使用率飙升，同时有大量异常的网络请求从境外IP地址涌入。请回答以下问题：1.请判断该事件最可能的攻击类型，并说明判断依据。（3分）答案：该事件最可能是分布式拒绝服务（DDoS）攻击中的应用层DDoS攻击。判断依据：（1）服务器CPU和内存使用率飙升，说明攻击流量针对应用层服务（如登录接口、交易接口），导致服务器资源被耗尽；（2）大量境外IP地址的异常请求涌入，符合DDoS攻击的流量特征；（3）用户无法登录或交易失败，说明网上银行的核心业务服务因资源耗尽无法正常提供。2.针对该攻击事件，SOC应采取哪些应急处置措施？（4分）答案：（1）流量清洗与分流：立即将异常流量引流至第三方DDoS防护设备或流量清洗中心，通过特征识别、行为分析等技术过滤恶意流量，将正常流量回注至业务系统。（2）带宽扩容与流量限制：临时增加服务器的带宽资源，同时对境外IP地址、异常请求频率过高的IP地址进行封禁，限制单个IP的请求频率，避免服务器资源被持续耗尽。（3）业务降级与应急切换：启动业务降级机制，暂时关闭非核心功能（如个性化推荐、营销活动页面），优先保障登录和核心交易功能的可用；必要时切换至备用数据中心，确保业务连续性。（4）攻击溯源与证据留存：收集攻击流量样本、服务器日志、网络设备日志等证据，分析攻击源、攻击手段和攻击目标，为后续的溯源追责和防护优化提供依据。（5）客户沟通与告知：通过官方网站、APP弹窗等方式告知用户当前情况，安抚用户情绪，避免引发恐慌。（答出4项即可，每项1分）3.为防范此类攻击再次发生，企业应建立哪些长期防护措施？（3分）答案：（1）部署DDoS防护体系：在网络出口部署高防IP、流量清洗设备，同时配置应用层DDoS防护规则（如基于请求行为的频率限制、人机验证），分层防护不同类型的DDoS攻击。（2）优化业务系统架构：采用微服务架构拆分核心业务，实现流量负载均衡；部署云原生防护组件，利用云平台的弹性资源应对突发的攻击流量。（3）建立攻击预警机制：利用AI技术分析网络流量和业务指标，建立异常行为基线，当流量、请求频率等指标偏离基线时及时发出预警，提前处置潜在的攻击。（4）与运营商和安全厂商合作：建立应急联动机制，在发生大规模DDoS攻击时，借助运营商的流量调度能力和安全厂商的专家资源快速处置。（答出3项即可，每项1分）（三）某医疗企业数据安全合规建设案例分析某大型三甲医院计划开展数据安全合规建设，以满足《个人信息保护法》《医疗卫生机构网络安全管理办法》等法规要求。医院的核心数据包括患者的电子病历、医疗影像、生物识别数据（如指纹、人脸）等。请回答以下问题：1.请说明医院的患者数据属于哪类个人信息，根据相关法规，应采取哪些特殊防护措施？（4分）答案：患者的电子病历、医疗影像属于敏感个人信息中的健康医疗数据，生物识别数据属于核心敏感个人信息。特殊防护措施包括：（1）单独同意机制：收集、处理患者的生物识别数据和敏感健康数据时，需取得患者的单独同意，不得与其他服务的同意合并授权。（2）加密存储与传输：对患者的敏感数据进行加密存储（如采用AES-256算法加密电子病历），传输过程中采用TLS1.3等安全协