2026年信息技术伦理与安全考试及答案

2026年信息技术伦理与安全考试及答案一、单项选择题（本大题共20小题，每小题1分，共20分。在每小题给出的四个选项中，只有一项是符合题目要求的）1.在信息安全的基本属性中，确保信息在存储或传输过程中保持不被未授权的用户篡改的特性称为（）。A.保密性B.完整性C.可用性D.不可否认性2.对称加密算法与非对称加密算法的主要区别在于（）。A.加密速度不同B.是否用于数字签名C.加密和解密是否使用相同的密钥D.算法的复杂程度3.在访问控制模型中，基于安全标签来决定主体是否有权访问客体的模型是（）。A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于规则的访问控制4.下列哪种攻击属于“中间人攻击”（MITM）的典型形式？（）A.SQL注入B.ARP欺骗C.暴力破解D.跨站脚本攻击（XSS）5.防火墙主要用于实现网络安全中的（）。A.访问控制B.数据加密C.身份认证D.审计追踪6.在PKI（公钥基础设施）系统中，负责发布和管理数字证书的权威机构是（）。A.CAB.RAC.KDCD.LDAP7.某公司为了防止内部员工泄露机密信息，部署了专门监控和阻断敏感数据外发的系统，该系统被称为（）。A.IDS（入侵检测系统）B.IPS（入侵防御系统）C.DLP（数据防泄漏系统）D.WAF（Web应用防火墙）8.在TCP/IP协议栈中，SSL/TLS协议通常工作在（）。A.网络层B.传输层C.应用层D.数据链路层9.下列关于计算机病毒特征的描述，错误的是（）。A.传染性B.潜伏性C.独立性D.破坏性10.按照我国《网络安全法》的规定，网络运营者应当制定（），定期进行演练。A.网络安全事件应急预案B.员工保密协议C.软件开发规范D.数据销毁流程11.在大数据环境下，隐私保护技术中，通过添加噪声使得攻击者无法区分个体数据的技术是（）。A.k-匿名B.l-多样性C.差分隐私D.同态加密12.下列哈希算法中，目前被认为是不安全的，不再推荐用于安全场景的是（）。A.SHA-256B.SHA-3C.MD5D.SM313.人工智能伦理中，算法决策过程的透明度和可解释性被称为（）。A.算法公平性B.算法可解释性C.算法鲁棒性D.算法问责性14.软件开发生命周期（SDLC）中，安全测试应该在哪个阶段开始介入？（）A.需求分析阶段B.设计阶段C.编码阶段D.部署阶段15.在数字签名技术中，发送方使用自己的什么密钥对摘要进行加密？（）A.对称密钥B.公钥C.私钥D.会话密钥16.恶意软件中，能够潜伏在系统中，通过网络远程控制受害主机的程序被称为（）。A.蠕虫B.特洛伊木马C.逻辑炸弹D.勒索软件17.在风险评估中，资产价值、威胁和脆弱性之间的关系通常表示为（）。A.风险=资产价值+威胁+脆弱性B.风险=资产价值×威胁×脆弱性C.风险=(资产价值+威胁)×脆弱性D.风险=资产价值×威胁/脆弱性18.生物识别技术中，属于行为特征的是（）。A.指纹B.虹膜C.人脸D.声纹19.信息系统安全等级保护（等保2.0）将信息系统安全保护等级分为（）。A.三级B.四级C.五级D.六级20.在伦理学中，认为行为的结果是判断善恶的标准，即“为最大多数人谋求最大利益”的观点属于（）。A.义务论B.功利主义C.美德伦理D.社会契约论二、多项选择题（本大题共10小题，每小题2分，共20分。在每小题给出的四个选项中，有两项或两项以上是符合题目要求的）21.下列属于网络攻击中被动攻击的是（）。A.流量分析B.内容监听C.拒绝服务攻击D.消息篡改22.实现身份认证的技术手段包括（）。A.口令认证B.智能卡C.生物特征识别D.动态令牌23.操作系统安全加固的措施包括（）。A.关闭不必要的服务和端口B.定期安装系统补丁C.设置复杂的账户策略D.开启系统审计日志24.下列关于区块链技术安全特性的描述，正确的有（）。A.去中心化难以篡改B.共识机制防止双花攻击C.智能合约可能存在漏洞D.完全匿名性，无法追踪25.社会工程学攻击利用人性的弱点，常见的手段有（）。A.钓鱼邮件B.假冒技术支持C.诱饵攻击D.暴力破解密码26.信息系统面临的主要安全风险来源包括（）。A.自然灾害B.人为失误C.恶意攻击D.硬件故障27.有效的密码策略应包含以下哪些要素？（）A.最小长度限制B.复杂度要求（大小写、数字、符号）C.定期更换D.历史密码检查28.关于云计算的安全责任，以下说法正确的是（）。A.IaaS模式下，基础设施安全由云服务商负责B.SaaS模式下，应用数据安全由客户全权负责C.无论哪种模式，客户都需要管理好自己的账号权限D.云服务商负责所有层面的安全29.人工智能安全面临的风险包括（）。A.对抗样本攻击B.模型窃取C.数据投毒D.隐私推断30.职业道德规范中，IT专业人员应当遵循的原则包括（）。A.不伤害原则B.诚实守信C.尊重知识产权D.除非授权，禁止访问系统三、填空题（本大题共15小题，每小题1分，共15分）31.信息安全的三要素（CIA）是指：保密性、完整性和________。32.在非对称加密中，RSA算法的安全性基于大整数________问题的困难性。33.________是一种通过伪造来自受信任源网站的电子邮件，诱导用户输入敏感信息的攻击技术。34.为了防止重放攻击，协议中通常引入________机制。35.HTTP协议默认使用端口80，而HTTPS协议默认使用端口________。36.在数据库安全中，________攻击是通过在输入字段中插入恶意的SQL代码来操纵数据库的。37.数字证书遵循________标准格式。38.________是指将明文转换成密文的过程，其逆过程是解密。39.零日漏洞是指已经被发现但尚未发布________的漏洞。40.在网络安全中，________是一种伪装成合法软件以欺骗用户运行的恶意程序。41.网络安全审计中，________日志记录了用户登录、登出及权限变更等关键操作。42.________是一种自动化的工具，用于扫描网络或系统以发现已知的安全漏洞。43.我国《个人信息保护法》规定，处理个人信息应当遵循________、正当、必要和诚信原则。44.在访问控制中，主体是指主动的实体，如用户或进程；客体是指被动的实体，如文件、________或网络资源。45.灾难恢复中，RPO（RecoveryPointObjective）是指________，即业务系统所能容忍的数据丢失量。四、判断题（本大题共10小题，每小题1分，共10分。正确的打“√”，错误的打“×”）46.只要将数据进行加密传输，就能保证数据的绝对安全。（）47.防火墙可以防止内部网络发起的攻击。（）48.数字签名不仅能保证数据的完整性，还能实现发送方的身份认证和不可否认性。（）49.所有的计算机病毒都会立即发作，破坏系统文件。（）50.公钥是可以公开的，因此不需要保护其机密性。（）51.在企业安全策略中，默认拒绝所有未明确允许的访问请求比默认允许更安全。（）52.同态加密允许在密文上直接进行计算，计算结果解密后与对明文进行计算的结果一致。（）53.物联网设备通常资源受限，因此无法运行复杂的安全防护软件，这导致了物联网安全风险较高。（）54.为了方便记忆，可以将办公系统的密码设置为“123456”并在多个平台重复使用。（）55.代码审计只能在软件开发完成后进行，属于测试阶段的工作。（）五、简答题（本大题共5小题，每小题6分，共30分）56.简述对称加密算法和非对称加密算法的优缺点，并说明混合加密体制的基本原理。57.请解释什么是SQL注入攻击？并列举至少三种防御SQL注入攻击的方法。58.简述计算机伦理中的“知情同意”原则及其在数据隐私保护中的重要性。59.什么是DDoS攻击？请描述其攻击原理，并列举两种常见的缓解措施。60.简述深度包检测（DPI）技术与传统包过滤防火墙的区别。六、综合应用与分析题（本大题共3小题，共55分）61.（本题15分）某电子商务公司计划开发一套新的在线支付系统。该系统需要处理用户的信用卡信息和交易记录。(1)请根据CIA三要素，分析该系统最需要保护的安全属性，并说明理由。（5分）(2)为了保护传输中的信用卡数据，系统应当采用哪些具体的安全技术？（请至少列举三种）（5分）(3)在设计数据库存储方案时，对于用户的信用卡号（PAN），应当如何存储？请结合PCI-DSS标准的要求给出建议。（5分）62.（本题20分）某企业网络遭遇了一次勒索软件攻击。攻击者通过钓鱼邮件诱导员工打开附件，导致勒索软件加密了文件服务器上的关键文档，并要求支付比特币以换取解密密钥。(1)请画出该攻击链的基本步骤（从初始入侵到最终影响）。（6分）(2)作为企业的安全应急响应团队（CSIRT），请依据PDCERF模型（准备、检测、抑制、根除、恢复、跟踪），描述在“检测”和“抑制”阶段应采取的具体措施。（8分）(3)从管理和技术两个角度，提出防止此类攻击再次发生的整改建议。（6分）63.（本题20分）算法决策在现代社会中应用日益广泛，但也引发了伦理争议。假设某大型科技公司开发了一套AI筛选简历的招聘系统。(1)该系统在训练过程中使用了公司过去10年的招聘数据。如果过去的数据存在对女性技术人员的系统性偏见，请问这会对AI模型产生什么影响？这违反了AI伦理的什么原则？（6分）(2)针对上述问题，技术人员可以在数据处理和模型训练阶段采取哪些技术手段来减轻偏见？（6分）(3)从职业伦理和法律合规的角度，该算法在部署上线前，应当经过哪些审查流程？（8分）七、参考答案与解析一、单项选择题1.B2.C3.B4.B5.A6.A7.C8.C9.C10.A11.C12.C13.B14.A15.C16.B17.B18.D19.C20.B二、多项选择题21.AB22.ABCD23.ABCD24.ABC25.ABC26.ABCD27.ABCD28.AC29.ABCD30.ABCD三、填空题31.可用性32.分解（或因子）33.网络钓鱼（或钓鱼攻击）34.时间戳（或Nonce/随机数）35.44336.SQL注入37.X.50938.加密39.补丁40.特洛伊木马41.审计42.漏洞扫描器43.合法44.数据库45.恢复点目标四、判断题46.×（加密不能解决所有安全问题，如内部威胁、数据删除等）47.×（传统防火墙主要防外，难以防内）48.√49.×（病毒通常有潜伏期）50.√（公钥设计目的就是公开，但需保护其完整性以防止中间人攻击）51.√52.√53.√54.×（这是极不安全的密码习惯）55.×（代码审计应贯穿SDLC全生命周期，包括设计阶段）五、简答题56.对称加密优缺点：优点是加解密速度快，适合处理大量数据；缺点是密钥分发和管理困难，缺乏非否认性。非对称加密优缺点：优点是密钥管理简单，安全性高，支持数字签名；缺点是加解密速度慢，计算复杂。混合加密原理：利用非对称加密来协商或传输对称密钥（会话密钥），然后利用该对称密钥对实际的大量数据进行加密传输。结合了两者的高效性和安全性。57.SQL注入攻击是指攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码，欺骗后端数据库服务器执行非授权的SQL命令。防御方法：(1)使用预编译语句和参数化查询。(2)对用户输入进行严格的类型检查、长度限制和格式验证。(3)使用存储过程。(4)实施最小权限原则，限制数据库账户的权限。(5)使用Web应用防火墙（WAF）。58.“知情同意”原则是指在收集、处理或使用个人数据之前，必须明确告知数据主体数据收集的目的、范围、用途等信息，并获得其明确、自愿的同意。重要性：它是数据隐私保护的基石，体现了对个人自主权和尊严的尊重。没有知情同意，数据处理即构成对个人隐私权的侵犯，也违反了相关法律法规（如GDPR、个人信息保护法）。59.DDoS（分布式拒绝服务）攻击是指利用多台受控主机（僵尸网络）同时向目标服务器发送大量请求，耗尽目标的网络带宽或系统资源，导致正常用户无法访问服务。原理：攻击者通过傀儡机向受害者发送海量看似合法的数据包，造成拥塞或服务崩溃。缓解措施：(1)流量清洗：通过专业的清洗中心过滤恶意流量。(2)负载均衡：将流量分散到多台服务器，避免单点过载。(3)CDN加速：利用分布式节点隐藏源站IP并分担流量。60.传统包过滤防火墙主要检查IP头、TCP/UDP头信息（如源地址、目的地址、端口号），不检查数据包的内容，无法识别应用层攻击。深度包检测（DPI）技术除了检查包头信息外，还会深入检查数据包的载荷内容，重组应用层流量，从而能够识别具体的应用协议（如区分HTTP流量中的BitTorrent）以及检测应用层攻击特征（如具体的病毒特征码或攻击字符串）。六、综合应用与分析题61.(1)该系统最需要保护的属性：保密性：涉及信用卡号、个人身份信息等敏感数据，严禁泄露给未授权方。完整性：交易金额、收款方等数据在传输和存储中必须准确，防止被篡改。可用性：支付服务需要保证7x24小时稳定运行，拒绝服务将导致直接经济损失。（理由：电商支付系统直接关联资金安全，CIA三要素缺一不可，但保密性和完整性直接涉及资金风险，优先级极高。）(2)保护传输数据的安全技术：SSL/TLS协议：建立加密通道，保护HTTP传输数据。强加密算法：如使用AES-256进行数据加密。HSTS（HTTPStrictTransportSecurity）：强制客户端仅通过HTTPS连接，防止SSL剥离攻击。双向认证：不仅验证服务器证书，也可验证客户端证书（高安全场景）。(3)数据库存储建议（基于PCI-DSS）：禁止存储完整的磁条数据、PIN码或PIN验证码。对于信用卡号（PAN），如果必须存储，必须进行强加密（如使用AES-256）或进行哈希处理（截断哈希）。存储加密密钥必须与数据分开管理（使用密钥管理系统HSM或独立的密钥管理服务器）。对存储的敏感数据进行访问审计和访问控制限制。62.(1)攻击链步骤：1.侦察（Reconnaissance）：攻击者收集目标员工邮箱信息。2.投递（Delivery）：通过钓鱼邮件发送包含恶意附件（勒索软件）的邮件。3.利用（Exploitation）：员工打开附件，恶意代码在终端执行。4.安装（Installation）：勒索软件下载并安装在终端和横向移动到服务器。5.命令与控制（C2）：受感染主机连接C2服务器获取加密密钥或指令。6.行动（ActionsonObjectives）：执行加密操作，锁定文件，显示勒索信息。(2)应急响应措施：检