中国科学院大学《信息安全导论》2025-2026学年第一学期期末试卷(A卷)

说明：本试卷将作为样卷直接制版胶印，请命题教师在试题之间留足答题空间。（第1页共6页）制卷人签名：制卷人签名：制卷日期：审核人签名：：审核日期：………………………………………………装……订……线…………………中国科学院大学《信息安全导论》2025-2026学年第一学期期末试卷(A卷)适用年级专业考试方式闭卷考试时间120分钟学院专业班级学号姓名题号一二三四五六七八总分阅卷教师得分………………得分一、单项选择题（每题1分，共20分）1.下列关于信息安全的基本概念，错误的是：A.信息安全是指保护信息资产免受未经授权的访问、使用、披露、破坏、修改或销毁。B.信息安全包括物理安全、技术安全和管理安全。C.信息安全的目标是确保信息的完整性、可用性和保密性。D.信息安全只关注技术层面，与人为因素无关。2.下列哪种加密算法属于对称加密算法？A.RSAB.AESC.DESD.SHA3.以下哪个不是信息安全风险评估的步骤？A.确定资产价值B.识别威胁C.评估脆弱性D.制定安全策略4.以下哪个不是常见的网络攻击类型？A.中间人攻击B.拒绝服务攻击C.网络钓鱼D.数据库攻击5.以下哪个不是信息安全管理体系（ISMS）的要素？A.策略B.组织结构C.沟通与培训D.内部审计6.以下哪个不是信息安全事件的类型？A.网络攻击B.系统故障C.数据泄露D.自然灾害7.以下哪个不是信息安全风险评估的方法？A.定量风险评估B.定性风险评估C.威胁评估D.脆弱性评估8.以下哪个不是信息安全管理体系（ISMS）的认证标准？A.ISO/IEC27001B.ISO/IEC27005C.ISO/IEC27006D.ISO/IEC270079.以下哪个不是信息安全事件响应的步骤？A.事件识别B.事件评估C.事件处理D.事件总结10.以下哪个不是信息安全意识培训的内容？A.信息安全政策B.信息安全法律法规C.信息安全事件案例分析D.信息安全产品介绍11.以下哪个不是信息安全风险评估的指标？A.资产价值B.威胁严重程度C.脆弱性D.风险等级12.以下哪个不是信息安全管理体系（ISMS）的认证机构？A.中国信息安全认证中心B.美国国家标准与技术研究院C.英国标准协会D.国际标准化组织13.以下哪个不是信息安全事件响应的原则？A.及时性B.有效性C.保密性D.完整性14.以下哪个不是信息安全意识培训的方法？A.讲座B.案例分析C.模拟演练D.考试考核15.以下哪个不是信息安全风险评估的流程？A.确定资产价值B.识别威胁C.评估脆弱性D.制定安全策略16.以下哪个不是信息安全管理体系（ISMS）的要素？A.策略B.组织结构C.沟通与培训D.内部审计17.以下哪个不是信息安全事件的类型？A.网络攻击B.系统故障C.数据泄露D.自然灾害18.以下哪个不是信息安全风险评估的方法？A.定量风险评估B.定性风险评估C.威胁评估D.脆弱性评估19.以下哪个不是信息安全管理体系（ISMS）的认证标准？A.ISO/IEC27001B.ISO/IEC27005C.ISO/IEC27006D.ISO/IEC2700720.以下哪个不是信息安全事件响应的步骤？A.事件识别B.事件评估C.事件处理D.事件总结二、多项选择题（每题2分，共20分）1.信息安全的目标包括：A.确保信息的完整性B.确保信息的可用性C.确保信息的保密性D.确保信息的真实性2.信息安全风险评估的步骤包括：A.确定资产价值B.识别威胁C.评估脆弱性D.制定安全策略3.信息安全管理体系（ISMS）的要素包括：A.策略B.组织结构C.沟通与培训D.内部审计4.信息安全事件响应的原则包括：A.及时性B.有效性C.保密性D.完整性5.信息安全意识培训的方法包括：A.讲座B.案例分析C.模拟演练D.考试考核6.信息安全风险评估的指标包括：A.资产价值B.威胁严重程度C.脆弱性D.风险等级7.信息安全管理体系（ISMS）的认证标准包括：A.ISO/IEC27001B.ISO/IEC27005C.ISO/IEC27006D.ISO/IEC270078.信息安全事件响应的步骤包括：A.事件识别B.事件评估C.事件处理D.事件总结9.信息安全意识培训的内容包括：A.信息安全政策B.信息安全法律法规C.信息安全事件案例分析D.信息安全产品介绍10.信息安全风险评估的方法包括：A.定量风险评估B.定性风险评估C.威胁评估D.脆弱性评估三、判断题（每题1分，共10分）1.信息安全是指保护信息资产免受未经授权的访问、使用、披露、破坏、修改或销毁。（）2.信息安全包括物理安全、技术安全和管理安全。（）3.信息安全的目标是确保信息的完整性、可用性和保密性。（）4.信息安全风险评估的步骤包括确定资产价值、识别威胁、评估脆弱性和制定安全策略。（）5.信息安全管理体系（ISMS）的要素包括策略、组织结构、沟通与培训和内部审计。（）6.信息安全事件响应的原则包括及时性、有效性、保密性和完整性。（）7.信息安全意识培训的方法包括讲座、案例分析、模拟演练和考试考核。（）8.信息安全风险评估的指标包括资产价值、威胁严重程度、脆弱性和风险等级。（）9.信息安全管理体系（ISMS）的认证标准包括ISO/IEC27001、ISO/IEC27005、ISO/IEC27006和ISO/IEC27007。（）10.信息安全事件响应的步骤包括事件识别、事件评估、事件处理和事件总结。（）四、名词解释（每题4分，共20分）1.信息安全2.信息安全风险评估3.信息安全管理体系（ISMS）4.信息安全事件响应5.信息安全意识培训五、简答题（每题6分，共18分）1.简述信息安全风险评估的步骤。2.简述信息安全管理体系（ISMS）的要素。3.简述信息安全事件响应的原则。六、案例分析题（1题，满分12分）某公司是一家大型企业，拥有大量的敏感信息。近期，公司发现其内部网络出现异常，疑似遭受黑客攻击。以下是公司内部调查人员收集到的相关信息：1.攻击者通过钓鱼邮件获取了公司员工的登录凭证。2.攻击者利用获取的凭证登录了公司内部网络，并访问了部分敏感数