2026年上半年信息安全工程师考试基础知识真题

2026年上半年信息安全工程师考试基础知识真题一、单项选择题1.在信息安全风险评估过程中，资产价值、威胁和脆弱性三个基本要素之间的关系通常用以下哪个公式进行形式化描述？A.风险=资产×威胁×脆弱性B.风险=资产价值+威胁可能性+脆弱性严重程度C.风险=资产价值×威胁可能性×脆弱性严重程度D.风险=(资产价值+脆弱性严重程度)/威胁可能性答案：C解析：在经典的风险计算模型中，风险值通常被量化为资产价值、威胁发生的可能性以及脆弱性被利用后造成的严重程度三者的乘积。这体现了风险是潜在损失的概率和影响的乘积这一核心思想。选项A未明确“威胁”和“脆弱性”的具体度量维度；B的加法模型不符合风险计算的一般原理；D的公式无实际意义。2.根据我国《网络安全法》，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。以下哪项不属于该法明确要求的网络安全保护义务？A.制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。B.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。C.采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于一年。D.对重要系统和数据库进行容灾备份，确保在发生重大安全事件时业务可快速恢复。答案：D解析：《网络安全法》第二十一条明确规定了网络运营者的安全保护义务，包括A、B、C选项所述内容。其中C项规定的日志留存时间是不少于六个月，而非一年，但题目中“不少于一年”比法律要求更严格，从“是否属于法定义务”的角度，C的描述（尽管时间有误）指向了法定义务。D选项“容灾备份”是保障业务连续性的高级别要求，属于等保2.0或关键信息基础设施保护中的具体要求，并非《网络安全法》第二十一条对所有网络运营者普遍明确列举的基本义务，因此D为正确答案。3.在公钥基础设施（PKI）中，负责签发和撤销数字证书的权威实体是？A.注册机构（RA）B.证书颁发机构（CA）C.证书持有者D.目录服务（LDAP）答案：B解析：证书颁发机构（CA）是PKI的核心信任锚，负责创建、签发、管理和撤销数字证书。注册机构（RA）负责受理用户申请，审核用户身份，是CA的延伸；证书持有者是证书的订阅者；目录服务用于存储和发布证书及证书撤销列表（CRL），但不负责签发和撤销。4.使用SHA-256算法对一段消息进行哈希运算，生成的摘要长度是？A.128位B.160位C.256位D.512位答案：C解析：SHA-256是SHA-2家族中的一种算法，其输出的哈希值（消息摘要）固定长度为256位（即32字节）。128位对应MD5，160位对应SHA-1，512位对应SHA-512。5.在访问控制模型中，“主体依据其所属角色被授予权限，而不是直接赋予个人”描述的是哪种模型？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：C解析：基于角色的访问控制（RBAC）的核心思想是在用户（主体）和权限之间引入“角色”这一中间层。权限被分配给角色，用户通过被赋予相应的角色来获得权限，从而简化了权限管理。DAC由资源所有者决定访问权；MAC由系统根据安全标签强制控制；ABAC则根据主体、资源、环境等多种属性动态决策。6.下列哪种攻击属于物理层安全威胁？A.ARP欺骗B.窃听光纤传输的光信号C.DNS劫持D.SQL注入答案：B解析：物理层安全威胁涉及网络传输的物理介质。窃听光纤传输的光信号（如通过弯曲耦合等方式）直接针对物理层的传输介质。ARP欺骗属于数据链路层攻击，DNS劫持属于应用层攻击，SQL注入属于针对应用系统的攻击。7.在安全软件开发周期（SDLC）中，要求在项目需求分析阶段就考虑安全需求，并贯穿设计、编码、测试、部署和维护全过程的方法论是？A.渗透测试B.代码审计C.安全开发生命周期（SDL）D.漏洞扫描答案：C解析：安全开发生命周期（SDL）是一个帮助开发人员构建更安全软件、降低漏洞数量的安全保证过程。其核心原则就是安全左移，即从需求阶段开始融入安全考虑，并贯穿整个软件开发过程。渗透测试、代码审计、漏洞扫描都是在开发后期或运行阶段发现安全问题的技术手段，而非贯穿全流程的方法论。8.对于对称加密算法AES，以下描述正确的是？A.AES的分组长度固定为128位，密钥长度只能是128位。B.AES的分组长度固定为128位，密钥长度可以是128、192或256位。C.AES的分组长度可以是128、192或256位，密钥长度与之相同。D.AES是一种典型的非对称加密算法。答案：B解析：AES（高级加密标准）是一种分组密码算法，其分组长度固定为128位。它支持三种密钥长度：128位、192位和256位，分别称为AES-128,AES-192,AES-256。AES是对称加密算法。9.在信息安全事件应急响应中，首先应该采取的步骤是？A.遏制扩散B.收集证据C.恢复系统D.准备预案答案：A解析：虽然应急响应的阶段模型可能略有不同，但通用的核心步骤顺序通常是：准备（预案）->检测与确认->遏制->根除->恢复->总结。在确认安全事件发生后，首要行动是“遏制”，防止事件影响范围扩大，造成更大损失。然后才是根除、恢复等。B（收集证据）应在遏制过程中或之后有意识地进行，但非绝对第一步。D（准备预案）是事前阶段。10.下列协议中，默认情况下安全性最差，容易遭受中间人攻击的是？A.SSHv2B.HTTPS(TLS1.2)C.TelnetD.SFTP答案：C解析：Telnet协议在传输过程中不对用户名、密码和数据进行任何加密，所有信息都以明文形式传输，极易被窃听和篡改，因此安全性最差。SSHv2、HTTPS(TLS1.2)、SFTP(基于SSH)都提供了加密和完整性保护，能有效防范中间人攻击。二、综合应用题场景：某公司计划部署一个面向互联网的Web应用系统，主要功能包括用户注册登录、在线交易和查询。系统架构包括Web服务器、应用服务器和数据库服务器。请根据此场景回答以下问题。问题1：从网络安全防护角度，请提出至少三种在网络边界部署的安全设备或技术措施，并简要说明其防护目的。答案与解析：1.下一代防火墙（NGFW）：部署在网络入口处。防护目的：实现基于状态的访问控制，过滤非法的网络连接；集成入侵防御系统（IPS）功能，检测并阻断针对Web服务器、应用服务器的已知攻击流量（如SQL注入、跨站脚本攻击等）；提供应用层协议识别与控制。2.Web应用防火墙（WAF）：部署在Web服务器前端。防护目的：专门针对HTTP/HTTPS流量进行深度检测和防护，有效防御OWASPTop10中列举的Web应用层漏洞攻击，如SQL注入、跨站脚本（XSS）、跨站请求伪造（CSRF）、文件包含等，弥补传统防火墙和IPS对应用层攻击检测能力的不足。3.抗分布式拒绝服务（Anti-DDoS）设备/服务：部署在网络边界或采用云清洗服务。防护目的：检测和缓解来自互联网的大流量DDoS攻击或应用层DDoS攻击（如CC攻击），保障Web应用服务的可用性，防止因带宽或资源耗尽导致的服务中断。问题2：该系统的用户登录模块，如果采用“用户名+密码”方式，为保障认证安全，在密码存储和认证过程中应遵循哪些安全原则？请至少列出四条。答案与解析：1.密码哈希加盐存储：在数据库中存储的必须是密码的哈希值，而非明文。计算哈希时必须使用每个用户独立的、足够长的随机“盐值”（Salt），并与哈希结果一并存储。这能有效防范彩虹表攻击，即使数据库泄露，攻击者也无法直接还原明文密码。推荐使用自适应哈希函数如bcrypt、Argon2或PBKDF2。2.传输过程加密：登录请求必须通过HTTPS（TLS）加密通道传输，防止密码在传输过程中被窃听。3.实施强密码策略：强制要求用户设置满足一定复杂度（长度、字符类型组合）的密码，并定期提醒更换。防止使用弱口令。4.多因素认证（MFA）增强：对于高价值操作（如交易）或管理员登录，应强制启用多因素认证，结合密码（所知）与手机令牌/验证码（所有）或生物特征（所是）等方式，极大提升账户安全性。5.防范暴力破解：在认证失败一定次数后，应采取账户锁定、增加时间延迟或引入验证码（CAPTCHA）等措施，增加自动化暴力破解的难度和成本。6.安全会话管理：登录成功后颁发的会话令牌（SessionToken）应具有足够的随机性，通过安全Cookie传输（HttpOnly,Secure标志），并设置合理的超时时间。问题3：假设该在线交易功能涉及用户支付，请设计一个防止跨站请求伪造（CSRF）攻击的技术方案。答案与解析：方案：采用CSRF令牌（Token）同步模式。1.令牌生成与绑定：当用户成功登录，服务器生成一个高强度随机数的CSRFToken（例如，使用加密安全的随机数生成器）。将此Token与当前用户的会话（Session）进行关联存储。2.令牌下发：在任何一个包含状态更改操作（如提交支付表单）的页面中，服务器将此CSRFToken作为一个隐藏字段（`<inputtype="hidden"name="csrf_token"value="...">`）嵌入到HTML表单中。或者，对于AJAX请求，可以将Token放在页面的`<meta>`标签里，供JavaScript读取。3.令牌验证：当用户提交表单或发起AJAX请求（如支付请求）时，必须将该CSRFToken作为请求参数（POST参数或自定义HTTP头，如`X-CSRF-Token`）一并提交到服务器。4.服务器校验：服务器接收到请求后，从用户会话中取出之前存储的CSRFToken，与请求中携带的Token进行比对。只有两者完全一致且未过期，才认为该请求是合法的、来源于用户本意的请求，进而执行支付等敏感操作。5.关键补充：确保Token的机密性和随机性，每个会话应使用独立的Token，并可定期更新。对于重要的操作，可要求重新验证用户密码（二次认证），作为纵深防御的一环。三、计算与分析题题目：假设在一个采用RSA公钥密码体系的通信系统中，用户A选择了两大素数p=61，1.计算用户A的RSA模数n和欧拉函数ϕ(2.若用户A选择公钥指数e=17，请验证e与ϕ(n)3.用户B想要使用A的公钥(n,e)加密一条消息，该消息对应的数字编码（需小于n）为4.用户A收到密文c后，使用自己的私钥d进行解密，验证解密结果是否为原始消息m。（提示：扩展欧几里得算法可用于计算模逆元。计算过程可使用模幂运算简化。）答案与解析：1.计算n和ϕ(模数n=p×欧拉函数ϕ(n)2.验证e并计算私钥d：验证互素：需要检查gcd(e,ϕ(n))=gcd(计算私钥指数d：d是e模ϕ(n)的乘法逆元，即满足e×d≡1(mod这等价于求解方程17×d+3120=183×17+17=1×9+9=1×8+回代：1=1=得到1=因此，d≡−367验证：17×2753=46801。46801÷所以，私钥指数d=3.计算密文c：加密公式：c≡(m为简化计算，使用模幂运算或分步计算：=4225，4225mod3233=992=(≡=984064，984064mod3233：3233×304=3233300==(≡=1517824，1517824mod3233：3233×469=3233400==(≡=2393209，2393209mod3233：3233×740=3233700=现在=×65≡51285mod3233：3233×15=48495，余数5128548495因此，密文c=4.验证解密：解密公式：≡(mo直接计算此大指数模幂非常复杂，但根据RSA原理，如果计算正确，应得到原始消息m。我们可以利用已知信息进行小规模验证。实际上，由于n=3233很小，可以通过编程或高级计算器验证结论：解密过程≡(mo四、案例分析题案例背景：“速达物流”公司近期发生一起数据泄露事件。调查发现，攻击者疑似利用公司官网新闻发布系统的一个漏洞，上传了包含Webshell的图片文件，进而获取了服务器控制权。进一步渗透后，攻击者访问了同一网段内未妥善防护的数据库服务器，窃取了部分客户运单信息（含姓名、电话、地址）。公司内部调查还发现，开发此新闻系统的程序员张某，在项目上线前曾使用个人GitHub账号存放过部分项目源代码，其中包含数据库连接配置文件（含明文密码），该仓库虽为私有，但张某的GitHub账号因使用弱口令曾被撞库攻击。问题：1.请分析此案例中暴露出的至少四处安全漏洞或管理问题。2.针对“文件上传漏洞导致Webshell植入”这一问题，从技术层面提出具体的防护改进措施。3.从企业源代码管理和员工安全意识角度，提出整改建议。答案与解析：1.暴露的安全漏洞或管理问题：安全漏洞1：文件上传漏洞。新闻发布系统的文件上传功能存在严重缺陷，未对上传文件的类型、内容进行严格校验和过滤，允许上传可执行脚本（Webshell伪装成图片），导致攻击者能够上传恶意文件并执行。安全漏洞2：网络分区与访问控制缺失。Web服务器与数据库服务器处于同一网段，且数据库服务器未设置严格的访问控制策略（如仅允许特定应用服务器IP访问数据库的特定端口）。在Web服务器失陷后，攻击者可以轻易进行横向移动，直接访问数据库。安全管理问题3：敏感信息硬编码与配置管理不当。程序员将包含数据库明文密码的配置文件直接写入源代码，这是极不安全的做法。密码等敏感信息应使用安全的配置管理方式（如环境变量、密钥管理服务）。安全管理问题4：源代码泄露与员工安全意识薄弱。程序员违规将公司源代码（含敏感配置）上传至个人GitHub仓库，尽管是私有仓库，但此举违反了公司信息安全政策。此外，其个人账号使用弱口令，导致仓库可能被间接泄露，扩大了攻击面。公司也缺乏对代码托管、账号安全的有效管理和培训。2.防护文件上传漏洞的技术措施：白名单校验：在后端服务器端，基于文件扩展名和MIME类型，采用严格的白名单策略，只允许上传如.jpg,.png,.gif等必要的图片格式。禁止.asp,.aspx,.php,.jsp,.js等可执行或脚本文件扩展名。文件内容检测：对上传文件进行二进制内容检测（如文件头魔数），防止攻击者通过修改文件头伪装文件类型。对图片文件，可以使用图像处理库进行二次渲染/压缩，破坏可能嵌入的恶意代码。重命名与目录隔离：对上传文件使用随机生成的文件名（如UUID），避免用户控制文件名路径。将上传文件存储在Web根目录以外的独立目录，并通过脚本或中间件（如Nginx的`loca