2025年计算机基础理论信息安全基本知识试题及参考答案

2025年计算机基础理论信息安全基本知识试题及参考答案一、单项选择题（每题2分，共20分）1.信息安全的核心目标“CIA三元组”不包括以下哪一项？A.机密性（Confidentiality）B.完整性（Integrity）C.可用性（Availability）D.可追溯性（Traceability）2.以下哪种加密算法属于非对称加密？A.AES-256B.DESC.RSAD.3DES3.某系统通过“用户名+动态验证码”验证用户身份，这种机制主要提升了哪种安全属性？A.抗抵赖性B.身份认证的强度C.数据完整性D.访问控制的细粒度4.2024年某物联网厂商因未对设备默认密码进行修改，导致大规模设备被植入僵尸网络。这一事件主要违反了信息安全的哪项原则？A.最小权限原则B.防御纵深原则C.默认安全原则D.责任分离原则5.以下哪种攻击方式利用了操作系统或应用程序的未修复漏洞？A.钓鱼攻击（Phishing）B.缓冲区溢出（BufferOverflow）C.DNS欺骗（DNSSpoofing）D.社会工程（SocialEngineering）6.数字签名的主要目的是确保？A.数据在传输过程中不被篡改B.数据在存储时不被非法访问C.网络带宽不被恶意占用D.设备硬件不被物理破坏7.某企业部署了侵入检测系统（IDS），其核心功能是？A.阻止已知恶意流量B.监控网络活动并识别异常C.加密内部数据传输D.管理用户访问权限8.以下哪项不属于常见的Web应用层攻击？A.SQL注入（SQLInjection）B.DDoS攻击（分布式拒绝服务）C.XSS跨站脚本（Cross-SiteScripting）D.CSRF跨站请求伪造（Cross-SiteRequestForgery）9.根据《中华人民共和国网络安全法》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险至少进行几次检测评估？A.每季度一次B.每半年一次C.每年一次D.每两年一次10.零信任架构（ZeroTrustArchitecture）的核心假设是？A.内部网络完全可信B.所有访问请求均不可信C.设备物理位置决定信任等级D.用户身份验证后无需持续验证二、填空题（每空2分，共20分）1.信息安全领域中，“APT攻击”的中文全称是________。2.对称加密算法的典型代表是________（写出一种即可），其特点是加密和解密使用________密钥。3.防火墙根据工作层次可分为包过滤防火墙、________防火墙和应用层网关防火墙。4.常见的漏洞扫描类型包括________扫描（针对已知漏洞特征）和________扫描（通过模拟攻击测试系统）。5.哈希函数的主要特性包括单向性、________和抗碰撞性。6.《个人信息保护法》规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取________的方式。7.物联网设备面临的典型安全风险包括________（写出一种）、固件篡改和通信协议脆弱性。三、简答题（每题8分，共40分）1.简述对称加密与非对称加密的主要区别，并各举一例说明其应用场景。2.解释“最小权限原则”（PrincipleofLeastPrivilege）在信息系统中的具体实施方式，并说明其对安全防护的意义。3.列举三种常见的密码安全策略，并分析其如何降低密码被破解的风险。4.什么是“中间人攻击”（Man-in-the-MiddleAttack）？结合HTTPS协议说明其防御机制。5.分析2024年某高校图书馆管理系统因未及时更新漏洞导致学生借阅记录泄露事件的主要安全隐患，并提出至少三项改进措施。四、综合分析题（20分）某智能医疗设备厂商开发了一款远程监控患者生命体征的物联网设备，设备通过4G网络与医院云平台通信。请从物理安全、通信安全、数据安全和隐私保护四个维度，分析该设备可能面临的安全风险，并设计对应的防护策略。参考答案一、单项选择题1.D2.C3.B4.C5.B6.A7.B8.B9.C10.B二、填空题1.高级持续性威胁攻击2.AES（或DES、3DES）；相同3.状态检测4.基于特征；基于漏洞利用（或主动）5.固定长度输出（或抗篡改）6.对个人权益影响最小7.设备身份伪造（或通信数据截获、默认弱密码）三、简答题1.主要区别：对称加密使用相同密钥加密和解密，计算效率高但密钥分发困难；非对称加密使用公钥加密、私钥解密（或反之），解决了密钥分发问题但计算复杂度高。应用场景示例：对称加密如AES用于大量数据的传输加密（如视频流）；非对称加密如RSA用于数字签名（验证软件开发者身份）或密钥交换（HTTPS握手阶段交换AES密钥）。2.实施方式：为用户或进程分配完成任务所需的最小权限集合，避免赋予额外权限。例如，数据库管理员仅拥有数据管理权限，无服务器操作系统的root权限；普通用户仅能读取文档，无修改或删除权限。意义：限制潜在攻击的影响范围，即使账号或进程被入侵，攻击者也无法获取超出必要范围的权限，降低数据泄露或系统破坏的风险。3.常见策略及分析：（1）长度限制（如至少8位）：增加暴力破解的复杂度，8位混合字符的密码组合数远高于6位纯数字。（2）字符复杂度要求（包含大小写字母、数字、符号）：避免使用字典词，提高抗字典攻击能力。（3）定期更换（如每90天）：减少长期使用同一密码被泄露后持续攻击的风险。（4）禁止重复使用历史密码：防止用户循环使用弱密码。4.中间人攻击：攻击者通过拦截通信双方的信息，伪装成对方与另一方通信，窃取或篡改数据。HTTPS防御机制：（1）使用TLS协议建立加密通道，数据传输前通过非对称加密交换会话密钥，确保攻击者无法直接解密。（2）服务器通过数字证书（由CA颁发）证明身份，客户端验证证书的合法性（如证书链、有效期、域名匹配），防止攻击者伪造服务器身份。（3）TLS握手过程中通过随机数和哈希验证确保数据未被篡改。5.主要安全隐患：（1）漏洞管理缺失：未及时安装系统或应用的安全补丁，导致已知漏洞被利用。（2）访问控制薄弱：未对学生借阅记录设置细粒度权限，攻击者获取权限后可批量下载数据。（3）日志与监控不足：未记录异常访问行为，导致泄露事件发现滞后。改进措施：（1）建立漏洞扫描与补丁管理流程，每周扫描系统，关键漏洞24小时内修复。（2）实施最小权限原则，仅授权管理员可查询完整借阅记录，学生仅能查看个人信息。（3）部署入侵检测系统（IDS），监控异常数据下载行为（如短时间内下载1000条以上记录）并触发警报。（4）加密存储学生敏感信息（如姓名、学号），采用哈希加盐存储密码。四、综合分析题安全风险与防护策略：1.物理安全风险：设备可能被非法拆卸、物理破坏或盗窃，导致敏感数据（如患者ID、历史体征）泄露。防护策略：（1）设备外壳设计防拆机制（如拆封即锁死存储芯片）。（2）关键部件（如SIM卡、存储模块）采用物理锁具固定。（3）部署设备定位功能（如GPS），异常移动时向管理平台报警。2.通信安全风险：4G网络可能被截获，攻击者伪造设备身份向云平台发送虚假数据，或篡改传输中的生命体征数据（如将心率90伪造为150）。防护策略：（1）设备与云平台建立TLS1.3加密通道，使用AES-256加密业务数据。（2）设备出厂时烧录唯一硬件密钥（如eSE安全芯片存储），每次通信前通过挑战-响应机制验证设备身份（云平台发送随机数，设备用私钥签名后返回）。（3）对传输数据添加时间戳和序列号，检测重放攻击（如同一序列号重复使用则拒绝接收）。3.数据安全风险：云平台存储的患者生命体征数据可能因数据库漏洞被窃取，或因权限配置错误被内部人员非法访问。防护策略：（1）采用数据库加密（如透明数据加密TDE），敏感字段（如血压值）额外使用应用层加密。（2）实施零信任访问控制，医护人员访问数据需通过多因素认证（MFA，如账号+动态令牌+生物特征），且仅能访问与其职责相关的患者数据。（3）定期备份数据至离线存储（如空气隔离的磁带库），防止勒索软件加密破坏。4.隐私保护风险：患者个人信