(2025年)信息安全工程师考试习题及答案

(2025年)信息安全工程师考试习题及答案一、单项选择题（每题2分，共20分）1.以下关于零信任模型核心原则的描述中，错误的是（）A.持续验证访问请求的身份、设备、环境等要素B.默认不信任任何内部或外部的网络流量C.仅允许通过最小权限验证的访问请求D.信任边界由传统的网络边界扩展为逻辑边界答案：D（零信任模型的核心是“永不信任，始终验证”，其信任边界被彻底打破，不再依赖传统网络边界，因此D描述错误）2.某企业采用AES-256对用户敏感数据加密，以下关于该算法的描述中，正确的是（）A.属于非对称加密算法，密钥长度为256位B.加密与解密使用相同密钥，支持可变分组长度C.基于椭圆曲线数学难题，适合数字签名场景D.分组长度固定为128位，密钥长度支持128/192/256位答案：D（AES是对称加密算法，分组长度固定128位，密钥长度可选128/192/256位，因此D正确）3.以下哪种攻击方式利用了操作系统或应用程序的缓冲区溢出漏洞（）A.SQL注入B.跨站脚本（XSS）C.缓冲区溢出攻击D.域名系统欺骗（DNSSpoofing）答案：C（缓冲区溢出攻击直接利用内存操作漏洞，其他选项分别对应注入攻击、客户端脚本攻击和域名解析欺骗）4.在ISO/IEC27001信息安全管理体系中，“信息安全事件管理”属于以下哪个过程域（）A.风险评估与处理B.安全策略与组织C.运行安全D.合规性管理答案：C（ISO27001将事件管理归类于运行安全中的“事件管理”控制目标）5.某系统采用基于角色的访问控制（RBAC），管理员为财务部门分配“报销审核”角色，该角色包含查询报销记录、修改报销状态两个权限。这种设计遵循了（）A.最小权限原则B.职责分离原则C.纵深防御原则D.数据完整性原则答案：A（仅分配完成任务所需的最小权限，符合最小权限原则）6.以下关于SSL/TLS协议握手过程的描述中，错误的是（）A.客户端首先发送支持的加密套件列表B.服务器选择加密套件后发送数字证书C.客户端使用服务器公钥加密预主密钥并发送D.双方通过预主密钥提供会话密钥，后续通信使用非对称加密答案：D（SSL/TLS握手完成后，后续通信使用对称加密，非对称加密仅用于密钥交换）7.某企业部署了入侵检测系统（IDS），当检测到异常流量时触发警报。以下哪种场景最可能被误报（）A.攻击者通过SQL注入获取数据库权限B.合法用户在非工作时间访问内部系统C.DDoS攻击导致服务器带宽耗尽D.恶意软件尝试连接C2服务器答案：B（非工作时间访问可能是合法的加班行为，IDS可能因规则设置过严误报）8.以下哪项是数据脱敏技术的典型应用场景（）A.数据库备份时加密敏感字段B.测试环境使用真实用户手机号进行功能验证C.公开数据报告中隐藏身份证号后四位D.网络传输过程中对信用卡信息进行TLS加密答案：C（脱敏技术通过变形、替换等方式保护数据隐私，C选项符合“隐藏部分敏感信息”的特征）9.在渗透测试中，“信息收集”阶段的主要目标是（）A.利用系统漏洞获取权限B.绘制目标网络拓扑与资产清单C.植入后门维持长期访问D.清除攻击痕迹避免被检测答案：B（信息收集阶段通过公开渠道、扫描工具等获取目标资产信息，为后续攻击提供基础）10.某企业采用HSM（硬件安全模块）保护密钥，以下关于HSM的描述中，错误的是（）A.支持密钥提供、存储、加密运算等功能B.基于软件实现安全防护，易受病毒攻击C.符合FIPS140-2等国际安全标准D.物理防护机制可防止硬件篡改答案：B（HSM是硬件设备，通过物理防护和专用芯片实现安全，软件实现的是软加密模块）二、简答题（每题8分，共40分）1.简述纵深防御策略的核心思想及主要实施层次。答案：纵深防御（DefenseinDepth）是通过多层独立安全控制措施叠加，降低单一防护失效带来的风险。主要实施层次包括：（1）物理层：机房门禁、设备物理锁等防止物理入侵；（2）网络层：防火墙、入侵防御系统（IPS）控制流量进出；（3）系统层：操作系统补丁管理、账户权限最小化；（4）应用层：Web应用防火墙（WAF）、输入验证防止注入攻击；（5）数据层：加密存储、访问控制列表（ACL）保护敏感数据；（6）管理层面：安全策略制定、员工安全培训、事件响应计划。2.对比说明数字签名与消息认证码（MAC）的区别与联系。答案：区别：（1）数字签名使用非对称加密（私钥签名，公钥验证），可提供不可否认性；MAC使用对称加密（共享密钥提供和验证），无法证明签名者身份；（2）数字签名依赖公钥基础设施（PKI），MAC依赖安全的密钥分发；（3）数字签名长度通常较长（如RSA签名长度等于密钥长度），MAC长度固定（如HMAC-SHA256为32字节）。联系：（1）均用于验证数据完整性和来源真实性；（2）均可通过哈希算法增强安全性（如数字签名常先对数据哈希再签名，MAC常基于哈希函数构建）。3.列举三种常见的物联网（IoT）设备安全风险，并提出对应的防护措施。答案：风险1：默认弱口令（如设备出厂设置为“admin/admin”）。防护措施：强制用户首次登录修改密码，禁用默认账户，支持多因素认证（MFA）。风险2：固件漏洞未及时修复（如旧版固件存在远程代码执行漏洞）。防护措施：建立固件升级机制，定期推送安全补丁，支持安全启动（SecureBoot）防止固件被篡改。风险3：数据传输未加密（如通过HTTP明文传输设备状态信息）。防护措施：强制使用TLS1.3或DTLS加密通信，限制数据传输范围（如仅允许与授权服务器通信）。4.说明基于主机的入侵检测系统（HIDS）与基于网络的入侵检测系统（NIDS）的主要差异。答案：（1）监测对象：HIDS监测主机文件、日志、进程等（如检查关键文件是否被篡改）；NIDS监测网络流量（如分析数据包内容和流量模式）。（2）部署位置：HIDS安装在目标主机上，NIDS部署在网络关键节点（如防火墙后、核心交换机旁）。（3）优势：HIDS可检测主机内部异常（如特权escalation），NIDS可发现跨主机攻击（如DDoS、扫描攻击）。（4）局限性：HIDS可能影响主机性能，NIDS可能因加密流量（如TLS）无法解析有效载荷。5.简述数据分类分级的主要步骤及在信息安全管理中的作用。答案：步骤：（1）识别数据资产：梳理业务流程中的数据类型（如客户信息、财务数据、研发文档）；（2）定义分类标准：按数据敏感性（公开/内部/敏感/机密）或业务影响（低/中/高）划分；（3）实施分级标记：为每类数据分配安全等级（如“机密级”“内部受限级”）；（4）制定保护策略：根据等级确定访问控制、加密、备份等措施（如“机密级”数据需加密存储且仅允许管理层访问）。作用：避免“一刀切”防护导致的资源浪费，确保高价值数据获得与其风险匹配的保护措施，同时为合规性审计（如GDPR、《数据安全法》）提供依据。三、综合题（每题20分，共40分）1.某企业计划构建覆盖办公网、生产网、研发网的三网隔离架构，要求：（1）办公网用户仅能访问生产网的Web应用前端，禁止直接访问生产数据库；（2）研发网可访问生产网的测试环境，但需记录所有操作日志；（3）三网间边界需部署多层安全设备，防止横向渗透。请设计网络拓扑并说明关键安全措施。答案：网络拓扑设计：核心层：部署核心交换机，连接防火墙集群（办公网-生产网、研发网-生产网）；生产网：划分为DMZ区（部署Web应用前端）、数据区（部署生产数据库）、测试区（部署测试环境）；办公网：用户终端通过访问控制列表（ACL）仅允许访问DMZ区的80/443端口；研发网：通过堡垒机（跳板机）访问生产测试区，所有操作经堡垒机中转并记录日志。关键安全措施：（1）边界防护：办公网与生产网间部署Web应用防火墙（WAF），过滤SQL注入、XSS等攻击；研发网与生产网间部署入侵防御系统（IPS），检测恶意代码传输；（2）访问控制：生产数据区仅允许生产服务器（如应用服务器）访问，办公网、研发网通过DMZ区代理间接访问；（3）日志审计：研发网访问生产测试区时，堡垒机记录终端IP、操作时间、执行命令（如SQL语句、文件上传下载），日志存储于独立审计服务器，保留6个月以上；（4）横向隔离：生产网内DMZ区、数据区、测试区间部署微分段防火墙，仅开放必要端口（如应用服务器→数据库开放3306端口）；（5）安全监控：部署集中日志管理系统（如ELK）和安全事件与事件管理系统（SIEM），实时分析三网流量与日志，触发异常（如办公网尝试连接数据库端口）时告警。2.某电商平台日志中发现以下异常记录，请分析可能的攻击类型、影响及应急响应措施：时间源IP目标IP目标端口请求内容2024-11-0514:30080POST/user/registerHTTP/1.1Content-Length:50002024-11-0514:31080POST/user/registerHTTP/1.1Content-Length:5000...（重复200次）............2024-11-0514:4503306SELECTFROMuser_infoWHEREid=1;--答案：（1）攻击类型分析：前200次POST请求为慢速POST拒绝服务攻击（SlowPOSTDoS），通过发送大长度但缓慢传输的请求占用Web服务器连接资源，导致正常用户无法访问；后续数据库查询请求可能为SQL注入攻击（“;--”为注释符，可能用于绕过查询条件）。（2）潜在影响：DoS攻击导致注册功能瘫痪，影响用户体验和平台收入；SQL注入若成功，攻击者可获取用户信息（如姓名、手机号、密码哈希），引发数据泄露和用户信任危机。（3）应急响应措施：①阻断攻击源：通过防火墙封禁源IP0的HTTP请求，同时检查是否为僵尸网络（如存在多个源IP，需启用流量清洗服务）；②缓解DoS影响：调整Web服务器配置（如缩短连接超时时间、限制单IP并发连接数），启用CDN分担流量；③检测SQL注入风险：使用WAF拦截包含“;--”“UNIONSELECT”等特征的请求，对/user/register接口进行代码审计，验证输入是否经过参数化查询（