2025湖南时空信息安全检测服务有限公司招聘6人笔试历年难易错考点试卷带答案解析

2025湖南时空信息安全检测服务有限公司招聘6人笔试历年难易错考点试卷带答案解析一、单项选择题下列各题只有一个正确答案，请选出最恰当的选项（共30题）1、以下哪种算法属于对称加密算法？A.RSAB.AESC.ECCD.Diffie-Hellman2、下列协议中，用于保障网络传输层安全的是？A.HTTPB.SMTPC.SSL/TLSD.FTP3、XSS攻击的主要危害是？A.窃取用户敏感信息B.破坏数据库C.发起DDoS攻击D.修改服务器配置4、以下哪项属于信息安全风险评估的定量分析方法？A.德尔菲法B.风险矩阵法C.概率影响矩阵D.蒙特卡洛模拟5、渗透测试中，信息收集阶段最可能采取的手段是？A.SQL注入B.社会工程学C.漏洞利用D.权限提升6、防火墙无法有效防御的攻击类型是？A.端口扫描B.ARP欺骗C.病毒传播D.异常流量检测7、以下哪种技术不属于恶意软件的常见传播方式？A.电子邮件附件B.漏洞利用C.文件签名伪造D.协议加密8、信息安全体系中，实现“不可否认性”的关键技术是？A.数字签名B.哈希校验C.访问控制D.数据备份9、以下哪种漏洞类型与内存越界访问直接相关？A.缓冲区溢出B.SQL注入C.逻辑竞态条件D.权限绕过10、下列身份认证方式中，安全性最高的是？A.静态密码B.动态短信验证码C.生物特征+密码D.智能卡11、信息安全保障体系中，P2DR模型的核心要素包括策略、防护、检测和（）。A.响应B.恢复C.加密D.审计12、以下加密算法中，属于非对称加密的是（）。A.DESB.RSAC.AESD.3DES13、常见的软件安全漏洞类型中，因输入数据长度未校验导致的攻击属于（）。A.XSSB.SQL注入C.缓冲区溢出D.CSRF14、HTTPS协议中，用于保障传输层安全的协议是（）。A.SSHB.SSL/TLSC.IPsecD.SET15、渗透测试中，信息收集阶段最可能使用的工具是（）。A.MetasploitB.NmapC.WiresharkD.SQLMap16、企业制定信息安全策略时，首要依据是（）。A.技术成本B.法律合规C.风险评估D.行业标准17、防火墙默认拒绝所有流量，再根据策略放行特定流量，此配置遵循的原则是（）。A.最小权限B.白名单机制C.安全域划分D.黑名单机制18、分析服务器日志时，发现大量404错误响应码，可能表明（）。A.网络中断B.SQL注入尝试C.文件访问越权D.爬虫扫描漏洞19、以下选项中，属于社会工程学攻击方式的是（）。A.暴力破解B.钓鱼邮件C.ARP欺骗D.SYN洪泛20、根据NIST标准，敏感数据加密时应优先采用（）。A.MD5B.SHA-256C.AES-256D.RC421、以下加密算法中，属于对称加密的是？A.RSAB.AESC.ECCD.Diffie-Hellman22、OSI模型中，负责数据加密与压缩的层级是？A.传输层B.会话层C.表示层D.应用层23、以下哪个协议的默认端口是443？A.SSHB.FTPC.HTTPSD.SMTP24、SQL注入攻击最有效的防御方式是？A.关闭数据库服务B.定期备份数据C.使用参数化查询D.限制用户输入长度25、SHA-256哈希算法输出的摘要长度是？A.128位B.256位C.512位D.1024位26、下列哪种攻击属于流量型DDoS攻击？A.SQL注入B.ARP欺骗C.ICMPFloodD.中间人攻击27、以下哪个属于信息安全的"三要素"？A.不可否认性B.可控性C.可审计性D.可用性28、XSS（跨站脚本）攻击主要通过什么方式传播？A.注入恶意脚本到网页B.伪造IP地址C.劫持会话令牌D.暴力破解密码29、防火墙默认策略中，哪种安全性最高？A.允许所有流量B.拒绝所有流量C.基于白名单允许D.基于黑名单拒绝30、渗透测试中，"信息收集"阶段的首要任务是？A.漏洞利用B.权限提升C.网络扫描D.社会工程二、多项选择题下列各题有多个正确答案，请选出所有正确选项（共15题）31、下列关于数据加密技术的说法中，正确的是哪些？A.RSA算法属于对称加密技术B.AES算法采用分组加密模式C.DES算法已被证明存在安全漏洞D.MD5算法常用于数据完整性校验E.Diffie-Hellman用于密钥交换32、以下哪些属于多因素身份认证方式？A.动态口令+短信验证码B.智能卡+生物识别C.密码+U盾D.用户名+密码E.指纹+虹膜识别33、针对网络攻击防范，以下哪些措施属于主动防御策略？A.部署防火墙过滤流量B.建立蜜罐诱捕攻击者C.定期更新系统补丁D.使用入侵检测系统（IDS）E.实施渗透测试34、根据《网络安全法》，以下哪些情形需进行数据本地化存储？A.关键信息基础设施运营者B.个人信息数量超过50万条C.跨境业务中的用户画像数据D.金融行业非敏感数据E.公共事业企业的运营日志35、关于信息安全管理体系（ISMS），以下说法正确的是哪些？A.依据ISO/IEC27001标准建立B.需定期进行风险评估C.仅适用于大型企业D.与业务连续性管理无关E.强调持续改进36、以下哪些协议能保障传输层通信安全？A.TLS1.3B.SSHC.FTPSD.SNMPv3E.HTTP37、针对APT攻击（高级持续性威胁），以下哪些是其典型特征？A.利用0day漏洞B.攻击周期短C.隐藏通信隧道D.针对特定目标E.依赖社会工程学38、下列关于数据备份策略的描述，正确的有？A.异地备份能抵御区域性灾难B.云备份存在数据泄露风险C.完全备份恢复速度最快D.增量备份占用存储最小E.快照备份等同于完整备份39、根据《个人信息保护法》，以下哪些情形可不取得个人同意？A.为履行法定职责所必需B.为应对突发公共卫生事件C.处理已公开的个人信息D.为订立合同所必需E.为公共利益实施新闻报道40、以下哪些技术可用于检测Web应用漏洞？A.SQL注入测试B.跨站脚本（XSS）扫描C.防火墙日志分析D.渗透测试E.静态代码审计41、信息安全的基本要素包括以下哪些选项？A.保密性B.完整性C.可用性D.不可否认性42、以下关于对称加密与非对称加密的描述，正确的是哪些？A.对称加密密钥分发需保密传输B.非对称加密公钥可公开C.AES属于非对称加密算法D.RSA算法计算效率高于DES43、以下哪些属于常见的Web应用高危漏洞？A.SQL注入B.XSS跨站脚本C.内存溢出D.配置错误44、根据我国《网络安全法》，网络运营者需履行哪些安全义务？A.定期开展安全应急演练B.用户数据本地化存储C.采取防范计算机病毒措施D.建立重要数据备份机制45、渗透测试过程中，以下哪些属于前期信息收集阶段的常用手段？A.DNS枚举B.端口扫描C.社会工程学D.权限提升三、判断题判断下列说法是否正确（共10题）46、信息安全检测中，"完整性"原则要求数据在传输过程中必须保持原始状态，不得被任何第三方修改。A.正确B.错误47、对称加密算法的加解密密钥相同，而非对称加密的加解密密钥不同。A.正确B.错误48、防火墙的主要功能是防止内部网络用户访问外部资源。A.正确B.错误49、信息安全等级保护制度中，三级系统需每年至少进行一次等级测评。A.正确B.错误50、SQL注入攻击通过向数据库查询中插入恶意代码来破坏或窃取数据。A.正确B.错误51、ISO/IEC27001是国际通用的信息安全管理体系认证标准。A.正确B.错误52、数字证书由CA（证书颁发机构）签发，可用于验证公钥的合法性。A.正确B.错误53、APT攻击通常具有持续时间短、目标明确、隐蔽性强的特点。A.正确B.错误54、漏洞扫描和渗透测试是风险评估中完全相同的两种检测手段。A.正确B.错误55、计算机病毒必须依赖宿主文件才能传播，而蠕虫可独立传播。A.正确B.错误

参考答案及解析1.【参考答案】B【解析】对称加密算法使用同一密钥加密和解密，AES（高级加密标准）是典型代表，而RSA、ECC、Diffie-Hellman均为非对称加密算法。2.【参考答案】C【解析】SSL/TLS协议通过加密和身份验证确保传输层数据安全，而HTTP、SMTP、FTP为应用层协议，本身不提供加密功能。3.【参考答案】A【解析】跨站脚本攻击（XSS）通过注入恶意脚本窃取用户Cookie、会话令牌等敏感信息，而数据库破坏和DDoS攻击属于其他类型攻击的典型危害。4.【参考答案】D【解析】蒙特卡洛模拟通过数学建模和随机采样进行量化风险分析，而德尔菲法、风险矩阵法和概率影响矩阵均属于定性或半定量方法。5.【参考答案】B【解析】信息收集阶段通过公开信息查询、网络扫描或社会工程学获取目标信息，而SQL注入、漏洞利用属于后续攻击阶段手段。6.【参考答案】B【解析】ARP欺骗发生在局域网内部，防火墙通常无法识别此类链路层攻击，而端口扫描、病毒传播和异常流量均可通过防火墙规则检测或拦截。7.【参考答案】D【解析】协议加密是安全通信手段，而电子邮件附件、漏洞利用和文件签名伪造均为恶意软件传播的典型途径。8.【参考答案】A【解析】数字签名通过非对称加密和证书机制确保信息来源真实性和完整性，从而实现抗抵赖（不可否认性），而哈希校验仅验证数据完整性。9.【参考答案】A【解析】缓冲区溢出是由于未正确检查输入长度导致内存越界，可能被利用执行恶意代码，而其他选项与内存访问无直接关联。10.【参考答案】C【解析】多因素认证（如生物特征+密码）结合两种以上验证方式，安全性高于单因素认证，而动态短信验证码可能被中间人攻击截取。11.【参考答案】A【解析】P2DR模型由策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）组成，强调动态安全闭环。OSI模型属于网络体系结构，AES为加密算法，均与模型框架无关。12.【参考答案】B【解析】RSA基于大数分解难题，公钥加密私钥解密，适用于密钥交换。DES/AES/3DES均为对称加密，加密解密密钥相同，存在密钥分发风险。13.【参考答案】C【解析】缓冲区溢出因程序未检查输入边界，导致覆盖内存数据。XSS为跨站脚本，SQL注入针对数据库查询，CSRF为伪造用户请求，均属不同漏洞机理。14.【参考答案】B【解析】SSL/TLS为HTTPS底层安全协议，实现加密传输。SSH用于远程登录安全，IPsec保护网络层，SET专为电子支付设计，与HTTPS场景不符。15.【参考答案】B【解析】Nmap通过端口扫描与指纹识别收集目标信息。Metasploit用于漏洞利用，Wireshark分析流量，SQLMap针对SQL注入，均属后续阶段工具。16.【参考答案】C【解析】风险评估确定威胁与脆弱性，是策略制定基础。法律合规和技术成本为次要因素，行业标准需结合实际情况适配。17.【参考答案】A【解析】最小权限原则要求仅授予必要权限，默认拒绝并严格允许符合该原则。白名单机制虽相似，但最小权限更强调权限粒度控制。18.【参考答案】D【解析】404响应码表示资源未找到，爬虫扫描常见漏洞路径时会触发大量此类日志。SQL注入多导致500错误，越权访问可能返回200或403。19.【参考答案】B【解析】钓鱼邮件通过伪装可信来源诱导用户泄露信息，属社会工程学范畴。ARP欺骗与SYN洪泛为技术攻击，暴力破解针对密码强度。20.【参考答案】C【解析】AES-256为分组加密算法，密钥长度256位，被NIST认证为安全加密标准。MD5/SHA-256为哈希算法，RC4因漏洞已不推荐使用。21.【参考答案】B【解析】对称加密算法使用同一密钥进行加解密，AES（高级加密标准）是典型代表。RSA、ECC属于非对称加密，Diffie-Hellman是密钥交换协议，无加密功能。22.【参考答案】C【解析】OSI模型的表示层（第6层）处理数据格式转换、加密/解密、压缩/解压，确保数据在不同系统间正确解析。传输层关注端到端通信，应用层直接面向用户。23.【参考答案】C【解析】HTTPS（超文本传输安全协议）通过SSL/TLS协议加密，使用TCP443端口。SSH默认22，FTP常用21，SMTP默认25或587。24.【参考答案】C【解析】参数化查询（预编译语句）能严格区分代码与数据，防止恶意SQL拼接。限制输入长度无法阻止复杂攻击，关闭服务或备份数据属于被动措施。25.【参考答案】B【解析】SHA-256是SHA-2家族成员，生成固定长度256位（32字节）哈希值，用于数据完整性校验。SHA-512输出512位。26.【参考答案】C【解析】ICMPFlood通过发送大量ICMP请求耗尽目标带宽，属于流量型攻击。SQL注入为应用层攻击，ARP欺骗和中间人攻击属网络层劫持。27.【参考答案】D【解析】CIA三要素指机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。不可否认性等属扩展属性，但非核心三要素。28.【参考答案】A【解析】XSS将恶意脚本注入网页，用户访问时触发执行，窃取数据或冒充用户。IP伪造用于网络层攻击，会话劫持属应用层但非XSS本质。29.【参考答案】B【解析】"默认拒绝"策略仅允许明确授权的流量，拒绝其他所有，符合最小权限原则。默认允许或黑白名单组合存在潜在风险敞口。30.【参考答案】C【解析】信息收集阶段通过网络扫描（如Nmap）、域名枚举等手段获取目标资产信息，为后续漏洞探测和攻击提供基础。社会工程属辅助手段，非首要任务。31.【参考答案】BCDE【解析】RSA是非对称加密（A错误）。AES是分组加密算法（B正确）。DES因暴力破解被淘汰（C正确）。MD5用于校验但不安全（D正确）。Diffie-Hellman实现密钥交换（E正确）。32.【参考答案】ABCE【解析】多因素需结合不同认证类型（知识、持有、生物）。D仅包含知识因素（错误）。E均为生物因素，属于多因素（正确）。33.【参考答案】BDE【解析】主动防御强调主动出击。蜜罐（B）、渗透测试（E）属于主动防御。IDS可主动告警（D）。防火墙和补丁为被动防御（AC错误）。34.【参考答案】ABC【解析】《网络安全法》第37条要求关键信息基础设施运营者（A）、个人信息超50万（B）、跨境画像数据（C）需本地化存储。金融非敏感数据（D）和公共日志（E）无强制要求。35.【参考答案】ABE【解析】ISMS适用于任何规模组织（C错误）。其核心是风险评估（B）和持续改进（E），并与业务连续性相关（D错误）。36.【参考答案】ABCD【解析】TLS（A）、SSH（B）、FTPS（C）、SNMPv3（D）均提供加密传输。HTTP（E）无加密（错误）。37.【参考答案】ACDE【解析】APT攻击具有长期性（B错误）、隐蔽性（C）、定向性（D），常用0day（A）和社会工程学（E）。38.【参考答案】ABCD【解析】异地备份防灾（A正确）。云备份需加密（B正确）。完全备份恢复最快（C正确）。增量备份最省空间（D正确）。快照依赖源数据（E错误）。39.【参考答案】ABDE【解析】《个保法》第13条：紧急情况（B）、法定职责（A）、合同必要（D）、公共利益（E）无需同意。已公开需注意用途（C错误）。40.【参考答案】ABDE【解析】SQL注入（A）、XSS（B）、渗透测试（D）、代码审计（E）均为Web检测手段。防火墙日志分析（C）属被动防御，非检测技术（错误）。41.【参考答案】ABCD【解析】信息安全的四大核心要素为保密性（防止未授权访问）、完整性（确保数据未被篡改）、可用性（授权用户按需访问）和不可否认性（通过数字签名等技术保证行为可追溯），四者共同构成信息安全管理的基础框架。42.【参考答案】AB【解析】对称加密（如AES、DES）使用同一密钥需安全传输，而非对称加密（如RSA）通过公钥加密、私钥解密，公钥可公开。RSA计算效率低于对称加密，通常用于密钥交换或数字签名。43.【参考答案】ABCD【解析】SQL注入（攻击数据库）、XSS（劫持用户会话）、内存溢出（导致系统崩溃或执行恶意代码）及配置错误（如开放调试模式）均属于OWASPTop10中的高危漏洞，需通过代码审计和规范配置防范。44.【参考答案】ACD【解析】《网络安全法》要求网络运营者采取技术措施防范病毒、建立数据备份与加密机制，并定期演练应急预案。用户数据本地化存储是《数据安全法》中对关键信息基础设施运营者的要求，并非普遍义务。45.【参考答案】ABC【解析】渗透测试前期（侦查阶段）主要包括DNS枚举（获取子域名）、端口扫描（识别开放服务）及社会工程学（收集人员信息）。权限提升属于入侵后的横向/纵向渗透阶段。46.【参考答案】A【解析】完整性是信息安全三大核心目标（CIA）之一，强调数据在存储、传输过程中未被篡改或破坏。此描述符合该原则的定义。

2.【题干】对称加密算法AES比DES更安全，因为其密钥长度固定为256位。

【选项】A.正确B.错误

【参考答案】B

【解析】AES支持128/192/256位密钥长度，而DES仅56位。虽然256位AES安全性更高，但AES本身并非固定密钥长度，故表述错误。

3.【题干】漏洞扫描工具Nessus可以直接修复系统漏洞。

【选项】A.正确B.错误

【参考答案】B

【解析】漏洞扫描工具仅用于发现漏洞，不具备修复功能。修复需人工介入或配合其他工具完成。

4.【题干】OSI模型中，网络层主要负责端到端的可靠数据传输。

【选项】A.正确B.错误

【参考答案】B

【解析】网络层（第三层）负责路由选择和逻辑寻址，传输层（第四层）才提供端到端可靠性。常见易混淆点。

5.【题干】SQL注入攻击可通过严格的输入过滤和参数化查询完全防御。

【选项】A.正确B.错误

【参考答案】A

【解析】参数化查询能有效阻断恶意SQL拼接，输入过滤作为辅助手段，二者结合可实现完全防御。

6.【题干】ISO/IEC27001标准要求企业必须每年进行一次信息安全风险评估。

【选项】A.正确B.错误

【参考答案】B

【解析】该标准规定风险评估需定期或事件驱动进行，但未强制规定具体周期，企业应根据实际情况调整。

7.【题干】渗透测试的最后阶段是撰写测试报告，需包含漏洞细节和修复建议。

【选项】A.正确B.错误

【参考答案】A

【解析】渗透测试流程包括信