2026年安全基础知识考试试题及答案解析

2026年安全基础知识考试试题及答案解析一、单项选择题（共20题，每题1.5分。每题的备选项中，只有1个最符合题意）1.在信息安全保障体系中，PDRR模型的核心概念是保护、检测、响应和恢复。关于该模型的描述，下列说法错误的是：A.保护（Protect）阶段采用预先防范的手段，降低系统被攻击的风险B.检测（Detect）阶段利用技术手段识别入侵行为，是动态响应的依据C.响应（Response）阶段主要指系统被攻击后的报警，不包含反击措施D.恢复（Restore）阶段旨在将系统恢复到正常状态，并吸取教训2.按照我国《网络安全法》的规定，网络运营者应当制定网络安全事件应急预案。在发生网络安全事件时，以下哪项不是必须立即采取的措施？A.启动应急预案B.对网络安全事件进行调查和评估C.向网信部门、公安机关报告D.立即切断所有网络连接以防止扩散3.在密码学中，对称加密算法与非对称加密算法的主要区别在于：A.对称加密算法速度较慢，非对称加密算法速度较快B.对称加密算法用于密钥交换，非对称加密算法用于数据加密C.对称加密算法加密和解密使用相同密钥，非对称加密算法使用公钥和私钥对D.对称加密算法比非对称加密算法更安全4.下列关于防火墙技术的描述，不正确的是：A.包过滤防火墙工作在网络层或传输层B.应用层代理防火墙可以理解应用层协议，能提供更细粒度的控制C.状态检测防火墙通过跟踪会话状态来决定是否允许数据包通过D.防火墙可以完全防止内部网络用户的非法行为5.在TCP/IP协议栈中，OSI参考模型的会话层和表示层功能通常被合并到哪一层？A.网络接口层B.网际层C.传输层D.应用层6.某公司内部网络规划使用私有IP地址，通过NAT技术访问互联网。当内部主机IP地址为0，端口号为1234的进程访问外部Web服务器（公网IP，端口80）时，NAT路由器将源地址转换为公网IP，源端口映射为5000。则外部Web服务器收到的数据包中，源IP和源端口分别为：A.0,1234B.,5000C.,80D.,12347.在访问控制模型中，BLP（Bell-LaPadula）模型主要用于解决：A.防止未授权用户读取敏感信息（保密性）B.防止未授权用户修改信息（完整性）C.确保数据的可用性D.管理用户权限的动态分配8.以下哪种攻击属于“中间人攻击”（MITM）？A.SQL注入B.跨站脚本攻击（XSS）C.ARP欺骗D.暴力破解9.在公钥基础设施（PKI）系统中，CA（证书颁发机构）的主要职责不包括：A.验证用户的身份B.颁发数字证书C.吊销数字证书并维护CRLD.直接存储用户的私钥10.操作系统安全加固中，为了减少攻击面，通常采取的措施不包括：A.关闭不必要的服务和端口B.定期安装系统补丁和更新C.使用弱口令以方便记忆D.设置严格的文件访问权限11.下列关于数据库安全的描述，正确的是：A.视图可以用于实现列级或行级的数据隔离，提高安全性B.存储过程只能由数据库管理员调用C.游标是防止SQL注入的主要手段D.数据库备份不需要加密，因为备份文件在安全存储中12.在风险评估中，风险值通常通过资产价值、威胁程度和脆弱性计算得出。若某资产价值为5，威胁可能性为4，脆弱性严重程度为3，采用乘法模型R=A.12B.20C.60D.1513.电子商务交易中，为了确保交易数据在传输过程中不被篡改，且能验证发送方身份，应使用的技术组合是：A.对称加密+数字签名B.哈希函数+数字信封C.数字签名+消息认证码（MAC）D.数字签名+对称加密14.下列关于恶意代码的描述，错误的是：A.特洛伊木马通常伪装成合法软件，运行后窃取信息或提供后门B.蠕虫可以自我复制，并利用网络自动传播C.逻辑炸弹是在特定条件触发后执行恶意代码的程序D.病毒必须依附于宿主文件才能运行，且不具备自我复制能力15.我国实行网络安全等级保护制度。根据《网络安全等级保护基本要求》，等级保护对象分为几个等级？A.3个B.4个C.5个D.6个16.在安全审计中，日志分析的主要目的不包括：A.发现系统异常行为和入侵痕迹B.为安全事故取证提供依据C.监控系统性能瓶颈D.追踪用户操作行为以满足合规性要求17.下列关于虚拟专用网（VPN）技术的描述，正确的是：A.SSLVPN主要用于网络层连接，无需客户端软件B.IPSecVPN通过封装和加密整个IP包来提供安全通信C.VPN无法防止数据包重放攻击D.PPTP协议比IPSec协议更安全18.为了防止缓冲区溢出攻击，程序员在编写C/C++代码时应避免使用不安全的函数。下列哪个函数是相对安全的？A.strcpy()B.strcat()C.gets()D.strncpy()19.在Web应用安全中，HTTPS协议通过结合HTTP和SSL/TLS来提供安全传输。关于HTTPS，下列说法错误的是：A.HTTPS默认使用TCP443端口B.HTTPS可以防止数据在传输过程中被窃听C.HTTPS可以完全防止网站被篡改（如挂马）D.HTTPS需要服务器配置数字证书20.灾难恢复（DR）规划中，RPO（RecoveryPointObjective）指的是：A.恢复时间目标，即系统和业务功能恢复到正常运行所需的时间B.恢复点目标，即业务所能容忍的数据丢失量C.灾难恢复演练的频率D.数据备份的保留周期二、多项选择题（共10题，每题2分。每题的备选项中，有2个或2个以上符合题意，至少有1个错项。错选，本题不得分；少选，所选的每个选项得0.5分）21.信息系统安全属性通常包括CIA三元组，除此之外，还包含哪些重要属性？A.可控性B.可审计性C.不可否认性D.可用性E.真实性22.下列关于哈希函数（如MD5、SHA-256）特性的描述，正确的有：A.输入可以是任意长度的消息，输出是固定长度的摘要B.对于任意给定的输入，计算其哈希值是容易的C.给定一个哈希值，很难（计算上不可行）找到对应的输入消息（抗原像攻击）D.很难找到两个不同的输入消息，使得它们的哈希值相同（抗碰撞性）E.哈希函数具有可逆性，可以通过摘要还原出原始消息23.常见的网络扫描技术包括：A.TCPConnect扫描B.TCPSYN扫描（半开扫描）C.UDP扫描D.ICMP扫描E.操作系统指纹识别24.社会工程学攻击者常用的手段包括：A.钓鱼邮件B.假冒技术支持人员C.丢弃含有恶意软件的U盘D.直接暴力破解密码E.shouldersurfing（肩窥）25.下列哪些属于OWASPTop10Web应用安全风险？A.失效的访问控制B.加密故障C.注入D.不安全的反序列化E.缓冲区溢出26.实施身份认证的常用因子有：A.你知道什么B.你拥有什么C.你是什么D.你在哪里E.你何时登录27.关于入侵检测系统（IDS）和入侵防御系统（IPS）的区别与联系，说法正确的有：A.IDS通常工作在旁路模式，IPS通常工作在串联模式B.IDS侧重于检测和报警，IPS侧重于检测和阻断C.IPS可以替代防火墙D.两者都基于特征库或异常检测模型E.IPS比IDS更容易产生误报导致业务中断28.数据备份策略主要包括：A.全量备份B.增量备份C.差异备份D.实时备份E.累积备份29.在Linux系统中，用于权限管理的命令和文件包括：A.chmodB.chownC./etc/passwdD./etc/shadowE.ipconfig30.我国《数据安全法》规定的数据安全制度包括：A.数据分类分级保护制度B.数据安全风险评估制度C.数据应急处置机制D.数据交易管理制度E.数据全生命周期安全管理制度三、判断题（共10题，每题1分。请判断各题描述的正确或错误）31.对称加密算法DES由于密钥长度过短（56位），目前已不再被认为是安全的，不建议用于新的系统设计中。32.数字签名不仅能保证数据的完整性，还能保证数据的保密性。33.只要安装了杀毒软件，计算机就绝对不会再感染病毒。34.在公钥密码体制中，公钥用于加密，私钥用于解密；私钥用于签名，公钥用于验签。35.状态检测防火墙不仅检查数据包的头信息，还会检查数据包的上下文状态。36.端口扫描是攻击者获取目标主机开放端口信息的主要方式，属于信息收集阶段，本身不具备破坏性。37.SQL注入攻击的根本原因是应用程序未对用户输入进行严格的过滤或验证，直接拼接到SQL查询语句中执行。38.零信任安全架构的核心思想是“内网是安全的，外网是不安全的”，因此重点在于边界防护。39.容灾备份中，热备站点的恢复时间比冷备站点短，但建设和维护成本更高。40.MD5算法因其抗碰撞性已被攻破，不适合用于数字签名等高安全性场景。四、填空题（共10题，每题1.5分。请将答案填写在横线上）41.在OSI七层模型中，负责为网络层提供端到端可靠或不可靠传输服务的是第______层。42.在RSA算法中，若公钥为(e,n)，私钥为(d,n)，则加密公式为C=±odn，解密公式为M=±odn。这里n是两个大素数p和q的乘积，43.HTTP协议是无状态的，为了保持会话状态，通常使用______技术。44.在网络安全等级保护2.0标准中，第三级及以上系统要求每年至少进行______次安全测评。45.常见的DoS攻击中，SYNFlood攻击利用了TCP协议______过程的缺陷。46.在Windows系统中，用于查看当前网络连接状态的命令行工具是______。47.Kerberos认证协议中，依赖于______时钟同步来防止重放攻击。48.某文件的权限设置为rwxr-xr--，则其八进制表示法为______。49.按照访问控制的发展历程，DAC、MAC之后，基于角色的访问控制模型简称为______。50.在安全开发生命周期（SDLC）中，______阶段是发现和修复安全漏洞成本最低的阶段。五、简答题（共5题，每题6分。请简要回答下列问题）51.简述TCP三次握手的过程，并解释SYNFlood攻击是如何利用该过程进行攻击的。52.请列举至少三种防止SQL注入攻击的方法，并简要说明其原理。53.简述数字信封的加密原理及其在安全通信中的作用。54.什么是XSS（跨站脚本攻击）？请区分存储型XSS和反射型XSS的区别。55.简述纵深防御策略在信息安全中的含义，并举例说明其在企业网络中的应用。六、综合应用题（共3题，每题10分。结合所学知识，分析并回答下列问题）56.密码学应用分析某公司需要构建一个安全的文件传输系统。要求：既要保证文件传输的机密性，防止被窃听，又要保证数据的完整性，并能验证发送方的身份。(1)请设计一个结合对称加密和非对称加密的混合加密方案，描述其密钥分发和文件加密传输的基本流程。(2)若发送方Alice想发送消息M给接收方Bob，且需要确保消息不被篡改并具有不可否认性，请写出Alice应进行的操作步骤（涉及到的算法或操作可用文字描述，如“计算哈希”、“用私钥签名”）。57.网络安全配置与分析某企业网络拓扑如下：Internet连接防火墙，防火墙连接DMZ区，DMZ区部署了Web服务器和邮件服务器。防火墙连接内部办公网络，内部网络有PC和数据库服务器。(1)为了保证安全，防火墙应该配置哪些基本的安全策略？（请从区域访问方向的角度，如“允许内部访问Internet”等，列举至少4条策略）。(2)如果发现Web服务器被攻陷并植入木马，为了防止攻击者以Web服务器为跳板攻击内部数据库服务器，除了修补Web服务器漏洞外，在网络层面应采取什么额外措施？58.风险评估计算某电商平台的核心交易系统面临DDoS攻击的风险。经评估，该交易系统的资产价值为100万元（按评分量化为10分）。攻击者发起DDoS攻击导致服务中断的可能性较高，评估得分为8分（满分10分）。系统存在抗DDoS能力不足的脆弱性，严重程度评分为6分（满分10分）。(1)请使用风险值计算公式Ri(2)假设公司引入了专业的云清洗服务，使得系统的抗DDoS能力显著提升，脆弱性评分降低为2分。请计算新的风险值，并说明风险降低的百分比。参考答案与解析一、单项选择题1.答案：C解析：响应阶段不仅仅是报警，还包括分析事件、隔离系统、采取反击措施（如阻断IP）、恢复系统等。C选项说“不包含反击措施”过于绝对且描述片面，响应机制包含了一系列动作。PDRR模型强调动态防御，响应是遏制攻击的关键环节。2.答案：D解析：根据《网络安全法》第二十五条，网络运营者应当制定网络安全事件应急预案。在发生网络安全事件时，应立即启动应急预案，对网络安全事件进行调查和评估，并按规定向有关主管部门报告。D选项“立即切断所有网络连接”并非必须且极端的措施，可能会导致业务全面瘫痪，不是法律强制要求的“必须”步骤，应根据预案灵活处理。3.答案：C解析：对称加密（如AES、DES）加解密使用同一个密钥，速度快，适合加密大量数据；非对称加密（如RSA、ECC）使用公钥和私钥对，速度较慢，通常用于密钥交换和数字签名。4.答案：D解析：防火墙主要用于网络边界的访问控制，防止外部攻击进入内部网络。它无法防止内部网络用户的非法行为（内部威胁），这需要主机入侵检测系统（HIDS）或行为审计等内部安全机制。5.答案：D解析：TCP/IP模型通常分为4层（应用层、传输层、网际层、网络接口层）。OSI的会话层和表示层功能被压缩到了TCP/IP的应用层中。6.答案：B解析：NAT（网络地址转换）会将内部源IP地址和端口替换为公网IP地址和一个新的端口。因此，外部服务器收到的数据包源IP为NAT网关的公网IP（），源端口为映射后的端口（5000）。7.答案：A解析：BLP模型侧重于保密性，通过“不上读，不下写”规则来防止信息从高密级流向低密级。Biba模型侧重于完整性。8.答案：C解析：ARP欺骗通过伪造ARP应答报文，将受害者的网关IP指向攻击者的MAC地址，从而截获流量，属于典型的中间人攻击。SQL注入和XSS属于Web应用攻击，暴力破解属于破解攻击。9.答案：D解析：PKI体系中，CA负责身份验证、颁发证书、吊销证书。私钥必须由用户自己生成并妥善保管，绝对不能发送给CA或由CA存储，否则私钥泄露，安全体系崩溃。10.答案：C解析：操作系统安全加固措施包括关闭不必要的服务、打补丁、设置强密码、配置权限等。使用弱口令会严重降低系统安全性，属于错误操作。11.答案：A解析：视图可以限制用户对基表中特定列或行的访问，实现数据隔离。存储过程可由有权限的用户调用；游标用于遍历结果集，与防注入无关；备份数据通常应加密以防泄露。12.答案：C解析：风险值R=13.答案：A解析：电子商务需要保证机密性（防止窃听）和身份认证/不可否认性（防抵赖）。通常使用对称加密加密数据（保证机密性），使用数字签名（基于非对称加密）保证完整性和身份认证。数字信封也常用于密钥传输，但A选项描述了核心逻辑。14.答案：D解析：病毒必须依附于宿主文件，但具备自我复制能力（感染其他文件）。D选项说“不具备自我复制能力”是错误的，那是特洛伊木马的特征。15.答案：C解析：根据《网络安全等级保护条例》及GB/T22239，等级保护对象分为5个等级，从第一级（用户自主保护级）到第五级（专控保护级）。16.答案：C解析：日志分析主要用于安全审计、入侵检测、取证和合规。监控系统性能瓶颈通常使用性能监控工具（如Nagios），虽然日志可能包含性能数据，但这不是日志安全分析的主要目的。17.答案：B解析：IPSecVPN工作在网络层，封装IP包，提供安全性。SSLVPN工作在应用层（或传输层），通常通过浏览器访问，无需安装专用客户端（但特定应用可能需要）。A选项说SSLVPN主要用于网络层连接错误；C选项错误，IPSec有防重放机制；D选项错误，PPTP安全性较弱。18.答案：D解析：strncpy比strcpy安全，因为它限制了复制的字符数，可以防止缓冲区溢出（前提是正确使用）。strcpy、strcat、gets都是不安全的函数。19.答案：C解析：HTTPS主要保护传输过程的安全（加密、防篡改、防窃听）。它无法防止网站服务器端被黑客入侵后篡改网页内容（挂马），那是服务器端安全的问题。20.答案：B解析：RPO（RecoveryPointObjective）指恢复点目标，即业务能容忍的数据丢失量，对应的是数据备份的频率。RTO（RecoveryTimeObjective）指恢复时间目标。二、多项选择题21.答案：A,C,D解析：信息安全基本属性是CIA（保密性、完整性、可用性）。扩展属性包括真实性、不可否认性、可控性、可审计性等。22.答案：A,B,C,D解析：哈希函数具有单向性（不可逆，E错误）、抗碰撞性（D）、抗原像攻击（C）、固定输出长度（A）、易计算（B）等特性。23.答案：A,B,C,D,E解析：这些都是常见的扫描技术。TCPConnect和SYN扫描针对TCP端口；UDP扫描针对UDP端口；ICMP扫描用于Ping主机；OS指纹识别用于探测操作系统类型。24.答案：A,B,C,E解析：社会工程学利用人性的弱点。钓鱼邮件、假冒身份、丢弃U盘、肩窥都是常见手段。暴力破解属于技术攻击，不依赖心理欺骗。25.答案：A,B,C,D解析：OWASPTop10包括：失效的访问控制、加密故障、注入、不安全设计、安全配置错误、易受攻击和过时的组件、身份识别和身份验证失败、软件和数据完整性故障、安全日志和监控故障、服务端请求伪造（SSRF）。缓冲区溢出（E）虽然严重，但在Web应用风险中通常不直接列为Top10项（更多属于软件层面）。26.答案：A,B,C解析：身份认证三要素：你知道什么（口令）、你拥有什么（U盾、手机）、你是什么（指纹、虹膜）。D和E通常属于上下文感知，不属于标准的三因子认证要素。27.答案：A,B,D,E解析：IDS是旁路（监听），IPS是串联（网桥）。IDS只报警，IPS可阻断。IPS基于特征库或异常检测。IPS误报可能导致合法流量被阻断，影响业务（E正确）。IPS不能完全替代防火墙，防火墙主要做访问控制，IPS主要做入侵防御。28.答案：A,B,C解析：常见备份策略为全量、增量、差异。实时备份更多是一种技术实现（如CDP），累积备份不是标准术语。29.答案：A,B,C,D解析：chmod改权限，chown改属主，/etc/passwd存用户信息，/etc/shadow存密码哈希。ipconfig是Windows命令，Linux是ifconfig/ip。30.答案：A,B,C,E解析：《数据安全法》规定了数据分类分级、风险评估、应急处置、全生命周期安全等制度。数据交易管理制度虽然相关，但核心安全制度侧重于A,B,C,E。三、判断题31.答案：正确解析：DES密钥56位，已被暴力破解，不安全。32.答案：错误解析：数字签名保证完整性和不可否认性，不保证保密性。签名数据通常是明文附在签名后，或者对哈希签名。33.答案：错误解析：杀毒软件只能查杀已知的病毒特征码，对于零日攻击或变种病毒可能无法防范，且依赖用户更新。34.答案：正确解析：公钥加密私钥解密（机密性），私钥签名公钥验签（认证和完整性）。35.答案：正确解析：状态检测防火墙维护会话表，检查数据包是否属于已知连接的上下文。36.答案：正确解析：端口扫描用于信息收集，属于侦察阶段，本身不直接破坏数据，但为后续攻击提供情报。37.答案：正确解析：SQL注入根源是将用户输入当作代码执行，未做过滤或参数化查询。38.答案：错误解析：零信任核心理念是“永不信任，始终验证”，无论内外网，所有访问请求都需经过严格认证和授权。39.答案：正确解析：热备站点通常有实时数据同步和运行环境，切换快（RTO小），但成本高；冷备站点需要较长时间恢复数据和环境。40.答案：正确解析：MD5已被证明存在强碰撞漏洞，不应再用于数字签名或SSL证书等安全领域。四、填空题41.答案：4或传输解析：OSI第4层是传输层。42.答案：7解析：e=3,ϕ(n)=2043.答案：Cookie或Session解析：HTTP无状态，通常使用Cookie或Session技术来维持会话状态。44.答案：1解析：等保三级及以上要求每年至少进行一次测评。45.答案：三次握手或连接建立解析：SYNFlood攻击利用TCP三次握手，发送大量SYN包但不完成第三次握手，耗尽服务器资源。46.答案：netstat解析：netstat-ano可以查看网络连接、端口和进程ID。47.答案：KDC或服务器与客户端解析：Kerberos依赖时间戳来防止重放攻击，要求参与方时间同步。48.答案：754解析：rwx=7,r-x=5,r--=4。即754。49.答案：RBAC解析：Role-BasedAccessControl。50.答案：需求或设计解析：在SDLC早期（需求或设计阶段）引入安全，发现和修复漏洞的成本最低。五、简答题51.答案：(1)TCP三次握手过程：第一次握手：客户端发送SYN包（seq=x）给服务器，进入SYN_SENT状态。第二次握手：服务器收到SYN包，确认ACK（ack=x+1），同时发送自己的SYN包（seq=y），进入SYN_RCVD状态。第三次握手：客户端收到SYN+ACK包，发送ACK（ack=y+1）给服务器，双方进入ESTABLISHED状态。(2)SYNFlood攻击原理：攻击者向服务器发送大量伪造源IP的TCPSYN包。服务器收到后发送SYN+ACK并等待客户端的回应（第三次握手），但由于源IP是伪造的，服务器永远收不到ACK，导致在服务器上建立大量半连接（SYN_RCVD状态），耗尽服务器的连接资源表，导致无法处理正常用户的连接请求。52.答案：(1)使用预编译语句：将SQL语句的结构与参数分离，数据库引擎会将参数视为数据而非可执行代码，从根本上阻断注入。(2)输入验证与过滤：对用户输入的数据进行严格的格式检查（如长度、类型、字符集），过滤掉特殊字符（如单引号、分号、注释符）。(3)使用存储过程：通过调用存储过程来执行数据库操作，避免直接拼接SQL，且存储过程可以限制权限。(4)最小权限原则：限制数据库连接用户的权限，禁止使用dbo或sa权限，防止droptable等高危操作。53.答案：(1)原理：数字信封利用对称加密算法的高效性和非对称加密算法的安全性。发送方生成一个随机的会话密钥（对称密钥），用该密钥加密明文数据；然后用接收方的公钥加密该会话密钥。将加密后的数据和加密后的会话密钥一起发送给接收方。(2)作用：接收方收到后，先用自己的私钥解密出会话密钥，再用会话密钥解密数据。它解决了安全传输大量数据的效率问题，同时确保了只有持有私钥的接收方才能获取密钥，保证了数据的机密性。54.答案：(1)XSS定义：跨站脚本攻击是指攻击者在Web页面中注入恶意的Script代码，当用户浏览该页面时，嵌入其中的Script代码会被执行，从而达到恶意攻击用户的目的。(2)区别：反射型XSS：恶意脚本作为请求参数的一部分，被服务器“反射”回浏览器执行。攻击链接通常需要诱导用