2025年信息安全工程师中级考试试卷与答案

2025年信息安全工程师中级考试试卷与答案一、单项选择题（每题1分，共20分）1.以下哪种算法是我国自主研发的商用密码分组密码算法？A.AES-256B.SM4C.RSA-2048D.ECC-256答案：B2.零信任架构的核心假设是？A.网络内部绝对安全B.所有访问请求均不可信C.设备身份无需验证D.数据传输无需加密答案：B3.在Web应用安全中，针对SQL注入攻击的最有效防御措施是？A.过滤用户输入中的特殊字符B.使用预编译语句（PreparedStatement）C.限制数据库连接端口D.定期备份数据库答案：B4.以下哪项不属于ISO/IEC27001信息安全管理体系的关键要素？A.风险评估B.安全策略C.漏洞扫描频率D.内部审核答案：C5.某系统采用基于角色的访问控制（RBAC），若需限制财务部门员工仅能查询本月数据，应通过以下哪种方式实现？A.角色权限绑定时间属性B.增加角色数量C.修改用户所属角色D.启用多因素认证答案：A6.以下哪种加密方式属于非对称加密？A.DESB.3DESC.SM2D.AES答案：C7.物联网设备的典型安全风险不包括？A.固件漏洞B.通信协议弱加密C.用户隐私数据泄露D.数据库SQL注入答案：D8.依据《网络安全法》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险至少多久进行一次检测评估？A.每季度B.每半年C.每年D.每两年答案：C9.哈希函数的主要特性不包括？A.单向性B.抗碰撞性C.可逆性D.固定输出长度答案：C10.在渗透测试中，“信息收集”阶段的主要目的是？A.植入恶意代码B.识别目标系统的脆弱点C.获取系统权限D.掩盖攻击痕迹答案：B11.以下哪项是云安全中的“数据残留”风险？A.虚拟机迁移时内存数据未彻底擦除B.云服务商拒绝提供数据备份C.用户忘记密钥导致数据无法解密D.云存储带宽不足影响访问速度答案：A12.工业控制系统（ICS）的安全防护重点不包括？A.控制指令的完整性B.物理隔离的有效性C.操作人员的安全培训D.网站页面的防篡改答案：D13.某企业使用WPA3协议替代WPA2，主要是为了防御以下哪种攻击？A.KRACK攻击（密钥重装攻击）B.ARP欺骗C.DNS劫持D.DDoS攻击答案：A14.数字签名的主要目的是？A.保证数据机密性B.验证数据完整性和来源真实性C.实现数据压缩D.提高传输效率答案：B15.以下哪项属于操作系统层面的安全配置措施？A.关闭不必要的服务和端口B.购买网络防火墙设备C.部署入侵检测系统D.定期进行员工安全培训答案：A16.在漏洞生命周期中，“0day漏洞”指的是？A.已被公开但未修复的漏洞B.未被任何组织发现的漏洞C.已被厂商修复但未公开的漏洞D.被发现后24小时内被利用的漏洞答案：B17.依据《数据安全法》，数据处理者应当按照规定对其数据处理活动定期开展数据安全影响评估，并向有关主管部门报告。评估周期最长不超过？A.3个月B.6个月C.1年D.2年答案：C18.以下哪种协议用于安全的电子邮件传输？A.HTTPB.SMTPC.S/MIMED.FTP答案：C19.无线局域网（WLAN）中，WEP协议的主要缺陷是？A.密钥长度固定为64位B.使用静态密钥且容易被暴力破解C.仅支持单向认证D.不支持加密答案：B20.云环境下，租户隔离的核心技术是？A.虚拟专用网络（VPN）B.虚拟化技术（如Hypervisor）C.负载均衡D.内容分发网络（CDN）答案：B二、多项选择题（每题2分，共20分，错选、漏选均不得分）1.以下属于常见Web安全漏洞的有？A.XSS（跨站脚本攻击）B.CSRF（跨站请求伪造）C.缓冲区溢出D.路径遍历答案：ABD2.访问控制模型包括？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于属性的访问控制（ABAC）D.基于角色的访问控制（RBAC）答案：ABCD3.密码学中的“混淆”与“扩散”原则由以下哪些算法体现？A.DESB.AESC.RC4D.凯撒密码答案：AB4.网络安全等级保护2.0中，安全通信网络层面的要求包括？A.网络架构安全设计B.通信传输加密C.边界访问控制D.主机恶意代码防范答案：ABC5.以下哪些措施可用于防御DDoS攻击？A.流量清洗（TrafficScrubbing）B.限制并发连接数C.部署抗DDoS设备D.关闭ICMP协议答案：ABC6.数据脱敏的常用技术包括？A.替换（如将真实姓名替换为“用户XX”）B.加密（如对身份证号进行哈希处理）C.掩码（如显示银行卡号前4位和后4位）D.随机化（如提供模拟数据替代真实数据）答案：ABCD7.以下属于移动应用安全测试内容的有？A.敏感数据存储检测（如本地缓存明文密码）B.通信协议安全性检测（如是否使用HTTP而非HTTPS）C.代码混淆与反编译难度检测D.应用安装包签名验证答案：ABCD8.依据《个人信息保护法》，个人信息处理者应当遵循的原则包括？A.最小必要原则B.公开透明原则C.目的明确原则D.完全匿名化原则答案：ABC9.工业互联网安全的关键技术包括？A.工业控制协议解析与审计B.设备身份认证与授权C.生产数据防篡改D.办公网络与生产网络的逻辑隔离答案：ABCD10.以下哪些是量子密码学的典型应用？A.量子密钥分发（QKD）B.抗量子计算的公钥密码算法（如格密码）C.量子数字签名D.量子加密的电子邮件答案：ABCD三、简答题（每题8分，共40分）1.简述最小权限原则在信息系统设计中的具体实施步骤。答案：（1）角色划分：根据业务需求，明确系统中各类用户（如管理员、普通员工、访客）的角色及职责。（2）权限最小化：为每个角色分配完成任务所需的最小权限集合，避免过度授权（如普通员工仅授予数据查询权，无删除权）。（3）动态调整：用户角色变更时（如员工转岗），及时回收原角色权限并分配新角色权限。（4）权限审计：定期检查用户权限，清理冗余权限（如离职员工未注销的账号）。（5）技术实现：通过访问控制列表（ACL）、基于角色的访问控制（RBAC）等机制，在系统层面强制实施权限限制。2.说明入侵检测系统（IDS）与入侵防御系统（IPS）的主要区别及应用场景。答案：区别：（1）功能定位：IDS侧重“检测”，发现攻击后仅报警；IPS侧重“防御”，可主动阻断攻击（如丢弃恶意数据包）。（2）部署方式：IDS通常旁路部署，不影响网络流量；IPS需串联部署在网络路径中，直接处理流量。（3）响应机制：IDS依赖人工干预；IPS可自动执行阻断、重置连接等操作。应用场景：IDS适用于需要监控网络行为、分析攻击趋势的场景（如安全运维中心的全局监控）；IPS适用于需要实时防护关键业务系统（如支付网关、核心数据库入口）的场景，需快速阻断已知攻击。3.列举三种常见的密码学攻击方法，并说明其针对的密码学特性。答案：（1）暴力破解：针对密码的熵值（复杂度），通过穷举所有可能的密钥或密码组合，尝试匹配正确值（如破解弱口令）。（2）中间人攻击（MITM）：针对密钥交换过程的安全性，攻击者截获并篡改通信双方的密钥交换信息，伪装成合法通信方（如攻击未加密的Wi-Fi连接）。（3）侧信道攻击：针对密码算法的物理实现（如功耗、电磁辐射），通过分析计算过程中的物理特征推导密钥（如攻击智能卡的加密芯片）。4.简述云环境下数据泄露的主要风险点及防护措施。答案：风险点：（1）共享虚拟资源的隔离失效（如虚拟机逃逸导致跨租户数据泄露）；（2）云服务商内部人员违规访问（如运维人员越权查看客户数据）；（3）API接口安全漏洞（如未授权的API调用导致数据下载）；（4）数据备份与归档时的残留（如存储介质未彻底擦除）。防护措施：（1）强化租户隔离：通过虚拟化层安全（如Hypervisor加固）、网络微分段实现资源隔离；（2）最小化特权访问：限制云服务商管理员权限，启用多因素认证（MFA）；（3）API安全加固：使用OAuth2.0等协议进行身份认证，设置速率限制和请求签名；（4）数据全生命周期加密：对静态数据（AES-256加密）、传输数据（TLS1.3）、使用中数据（内存加密）实施加密；（5）定期审计：通过云原生安全工具（如AWSCloudTrail、阿里云日志服务）监控数据访问行为。5.依据《网络安全法》和《数据安全法》，企业在数据跨境流动时需满足哪些合规要求？答案：（1）数据分类分级：明确需跨境的数据属于一般数据、重要数据还是核心数据（重要数据需优先在境内存储）。（2）安全评估：重要数据和个人信息跨境前，需通过国家网信部门组织的安全评估（或经专业机构认证）。（3）合同约束：与境外接收方签订数据处理协议，明确数据用途、安全责任及违约责任。（4）个人信息主体同意：处理个人信息跨境流动时，需取得个人单独同意（法律、行政法规另有规定的除外）。（5）境内留存：关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据，应当在境内存储；因业务需要确需向境外提供的，需进行安全评估。四、案例分析题（每题10分，共20分）案例1：某新能源企业部署了一套光伏电站监控系统，通过工业物联网（IIoT）设备采集发电数据并上传至企业云平台。近期，运维人员发现部分设备的传感器数据异常（如温度值远高于正常范围），经初步排查，怀疑存在网络攻击。问题：（1）可能的攻击路径有哪些？（2）应采取哪些应急响应措施？（3）后续如何改进系统安全性？答案：（1）可能的攻击路径：①工业物联网设备固件漏洞：攻击者通过未修复的固件漏洞（如缓冲区溢出）植入恶意代码，篡改传感器数据；②通信协议攻击：设备与云平台间使用未加密的MQTT协议，攻击者截获并伪造数据；③设备身份仿冒：攻击者伪造合法设备的MAC地址或证书，冒充真实设备上传虚假数据；④云平台API接口攻击：通过破解API密钥，直接向云平台写入伪造数据。（2）应急响应措施：①隔离受影响设备：断开异常设备与网络的连接，防止攻击扩散；②日志采集与分析：提取设备本地日志、云平台访问日志及网络流量日志，定位攻击源和时间；③数据验证：通过物理现场检测（如人工测量温度）确认真实数据，修正云平台异常记录；④临时防护：启用工业防火墙过滤异常设备通信，对MQTT通信升级为TLS加密；⑤上报与通报：向企业安全主管部门及行业监管机构报告事件，通知可能受影响的业务部门。（3）后续改进措施：①设备安全加固：定期更新设备固件，启用固件签名验证防止篡改；②通信安全增强：采用DTLS（DatagramTLS）加密工业物联网设备与云平台的通信，使用双向认证（设备证书+云平台API密钥）；③身份管理强化：为每台设备分配唯一的数字证书，结合动态密钥（如基于时间的一次性密码TOTP）实现强身份认证；④监测与预警：部署工业协议分析系统（如Modbus/TCP、OPCUA），实时检测异常数据模式（如温度突变）；⑤安全培训：对运维人员开展工业物联网安全培训，提升对异常数据的敏感度。案例2：某金融机构的网上银行系统近期发生多起用户账户资金被盗事件，受害者均表示未泄露密码，且交易记录显示资金通过手机银行APP转出。技术团队检查发现，部分用户手机曾安装过一款第三方理财APP，该APP存在访问其他应用数据的权限。问题：（1）可能的攻击手段是什么？（2）从APP开发和用户侧分析漏洞原因；（3）提出针对性的防护建议。答案：（1）可能的攻击手段：第三方理财APP为恶意软件（或被植入木马），通过获取手机的“访问其他应用数据”权限（如Android的“辅助功能”），监听网上银行APP的输入过程（如键盘记录），窃取用户账号、密码及动态验证码，进而冒充用户发起转账。（2）漏洞原因分析：APP开发侧：①权限滥用：第三方APP在未明确告知用户的情况下，申请了与功能无关的高