2026年信息安全工程师考试全真模拟易错、难点(带答案)

2026年信息安全工程师》考试全真模拟易错、难点(带答案)一、单选题（共40题，每题1分，共40分）1.以下关于零信任架构（ZTA）核心原则的描述，错误的是（）A.永不信任，始终验证B.基于上下文的动态访问控制C.仅对内部网络资源实施严格验证D.最小权限原则答案：C。解析：零信任架构的核心是“永不信任，始终验证”，无论访问者来自内部还是外部网络，都需经过严格验证，而非仅针对内部资源。内部网络同样存在威胁，因此零信任要求对所有访问请求都基于上下文（如设备状态、用户身份、访问时间等）实施动态授权，且遵循最小权限原则，确保用户仅能访问完成工作所需的最少资源。2.在密码学中，以下属于对称加密算法的是（）A.RSAB.ECCC.AESD.DSA答案：C。解析：对称加密算法使用相同的密钥进行加密和解密，AES（高级加密标准）是典型的对称加密算法，广泛应用于数据加密场景。RSA、ECC（椭圆曲线密码算法）、DSA（数字签名算法）均属于非对称加密算法，使用公钥和私钥对进行加密和解密/签名验证。3.某企业员工在访问内部OA系统时，输入正确用户名和密码后仍无法登录，系统提示“账户存在异常登录行为，已临时锁定”，该措施属于（）A.数据完整性保护B.身份认证增强C.访问控制策略D.入侵检测响应答案：D。解析：当系统检测到异常登录行为（如多次密码错误、异地登录等）时，临时锁定账户是入侵检测后的响应措施，目的是阻止攻击者进一步尝试登录，属于入侵响应的范畴。身份认证增强通常指多因素认证等措施，访问控制策略是对资源访问权限的规定，数据完整性保护针对的是数据被篡改的问题。4.以下关于SQL注入攻击的描述，错误的是（）A.攻击者通过在用户输入中插入SQL语句片段，篡改数据库查询逻辑B.预编译SQL语句可以有效防范大多数SQL注入攻击C.仅对用户输入进行前端校验即可完全避免SQL注入D.联合查询、报错注入是常见的SQL注入类型答案：C。解析：前端校验可以被攻击者绕过（如通过修改HTTP请求参数），仅依赖前端校验无法防范SQL注入攻击，必须在后端对用户输入进行严格的过滤、转义，或使用预编译SQL语句（如PreparedStatement），从根本上分离SQL语句结构和用户输入数据。5.某企业的Web服务器被植入木马程序，攻击者可以通过该木马远程控制服务器，获取服务器上的敏感数据，该木马属于（）A.病毒B.蠕虫C.后门D.勒索软件答案：C。解析：后门程序是指绕过正常认证流程，为攻击者提供未授权访问权限的程序，木马程序通常属于后门的一种，允许攻击者远程控制目标主机。病毒需要依附于其他程序传播，蠕虫可自我复制传播，勒索软件则以加密数据、勒索赎金为目的。6.以下关于数据备份策略的描述，最适合企业核心业务系统的是（）A.完全备份+增量备份，每天进行一次增量备份，每周进行一次完全备份B.仅进行完全备份，每月进行一次C.差异备份+增量备份，每天进行一次差异备份D.仅进行增量备份，每周进行一次答案：A。解析：完全备份+增量备份的组合兼顾了备份效率和恢复速度：每周进行一次完全备份，保存当前所有数据的完整状态；每天进行增量备份，仅备份自上次备份以来变化的数据。该策略既减少了日常备份的时间和存储空间占用，又能在数据丢失时通过完全备份+后续增量备份快速恢复数据。仅完全备份会占用大量时间和空间，仅增量备份则存在恢复复杂、风险高的问题，差异备份虽然恢复时仅需完全备份+最后一次差异备份，但日常备份的数据量通常大于增量备份。7.在OSI参考模型中，负责提供端到端的可靠数据传输服务的是（）A.物理层B.数据链路层C.传输层D.应用层答案：C。解析：OSI参考模型中，传输层负责端到端的可靠数据传输，典型协议如TCP（传输控制协议），通过三次握手建立连接、序列号确认、重传机制等确保数据可靠、有序地传输。物理层负责物理介质上的信号传输，数据链路层负责相邻节点间的帧传输，应用层为应用程序提供网络服务。8.某企业部署了防火墙设备，将网络划分为内部网络、DMZ区和外部网络，以下通常部署在DMZ区的是（）A.内部OA服务器B.数据库服务器C.Web服务器D.文件服务器答案：C。解析：DMZ（非军事区）是介于内部网络和外部网络之间的网络区域，用于部署需要对外提供服务的服务器，如Web服务器、邮件服务器等，既可以让外部用户访问，又能通过防火墙策略限制其与内部网络的直接通信，降低内部网络暴露的风险。内部OA服务器、数据库服务器、文件服务器属于内部核心资源，应部署在内部网络中，通过防火墙严格限制外部访问。9.以下关于数字证书的描述，错误的是（）A.数字证书由权威的CA（证书颁发机构）颁发B.数字证书包含用户的公钥、身份信息和CA的数字签名C.数字证书可以用于验证用户身份和加密数据D.数字证书的有效期是无限的答案：D。解析：数字证书具有一定的有效期，过期后需要重新申请或更新。这是因为随着时间推移，用户的身份信息可能发生变化，或者CA的密钥可能存在泄露风险，设置有效期可以降低证书被滥用的风险。数字证书由CA颁发，包含公钥、身份信息和CA的签名，可用于身份验证和数据加密（使用公钥加密数据，只有对应私钥才能解密）。10.某企业发现其官方网站被篡改，首页显示恶意广告内容，该安全事件属于（）A.数据泄露事件B.拒绝服务事件C.网页篡改事件D.恶意代码事件答案：C。解析：网页篡改事件是指攻击者未经授权修改网站页面内容，如插入恶意广告、虚假信息等，属于针对Web应用的攻击事件。数据泄露事件是指敏感数据被未授权获取，拒绝服务事件是指攻击者通过手段使系统无法提供正常服务，恶意代码事件是指系统被植入病毒、木马等恶意程序。二、多选题（共15题，每题2分，共30分）1.以下属于信息安全基本属性的有（）A.保密性B.完整性C.可用性D.不可否认性E.可审计性答案：ABCD。解析：信息安全的基本属性包括保密性（确保信息仅被授权人员访问）、完整性（确保信息不被篡改、破坏）、可用性（确保授权人员在需要时能访问信息和系统）、不可否认性（确保用户无法否认其执行的操作）。可审计性是信息安全的重要需求，但不属于基本属性范畴，是实现其他属性的支撑措施。2.多因素认证（MFA）通常结合以下哪些因素（）A.你知道的信息（如密码、PIN码）B.你拥有的物品（如U盾、手机令牌）C.你本身的特征（如指纹、面部识别）D.你所在的位置（如IP地址定位）E.你使用的设备（如设备MAC地址）答案：ABC。解析：多因素认证基于“你知道的、你拥有的、你本身的”三类不同因素的组合，常见的组合如密码（你知道的）+手机验证码（你拥有的）、指纹（你本身的）+密码。位置信息和设备信息属于上下文信息，可作为身份认证的辅助判断条件，但不属于典型的多因素认证因素。3.以下属于网络攻击手段的有（）A.DDoS攻击B.钓鱼攻击C.跨站脚本攻击（XSS）D.数据备份E.漏洞扫描答案：ABC。解析：DDoS攻击通过大量请求耗尽系统资源，使系统无法提供服务；钓鱼攻击通过伪造虚假信息（如虚假网站、邮件）诱骗用户泄露敏感信息；XSS攻击通过在Web页面注入恶意脚本，窃取用户会话信息或执行恶意操作，均属于网络攻击手段。数据备份是信息安全防护措施，漏洞扫描是发现系统安全漏洞的检测手段，不属于攻击手段。4.企业在进行数据分类分级时，通常根据哪些因素划分（）A.数据的敏感程度B.数据的业务价值C.数据的存储位置D.数据的提供时间E.数据的访问范围答案：ABE。解析：数据分类分级主要依据数据的敏感程度（如公开数据、内部数据、敏感数据、机密数据）、业务价值（如核心业务数据、一般业务数据）以及访问范围（如全员可访问、部门内访问、特定人员访问）。数据的存储位置和提供时间通常不直接作为分类分级的依据，而是作为数据管理的辅助信息。5.以下属于入侵检测系统（IDS）分类的有（）A.基于特征的IDSB.基于行为的IDSC.网络型IDS（NIDS）D.主机型IDS（HIDS）E.应用型IDS（AIDS）答案：ABCDE。解析：入侵检测系统按检测方式可分为基于特征的IDS（通过匹配已知攻击特征检测入侵）和基于行为的IDS（通过分析异常行为模式检测入侵）；按部署位置可分为网络型IDS（部署在网络节点，监控网络流量）、主机型IDS（部署在主机上，监控主机日志、进程等）、应用型IDS（针对特定应用系统，如Web应用防火墙中的入侵检测功能）。6.以下关于公钥基础设施（PKI）的组成部分，正确的有（）A.证书颁发机构（CA）B.证书注册机构（RA）C.证书吊销列表（CRL）D.密钥管理中心（KMC）E.终端用户答案：ABCDE。解析：PKI是一套基于公钥密码技术的安全基础设施，主要组成部分包括：CA负责颁发和管理数字证书，RA负责证书申请的审核和注册，CRL用于公布已吊销的证书列表，KMC负责密钥的提供、存储和管理，终端用户是证书的使用者，用于身份认证、数据加密等场景。7.某企业为防范内部员工泄露敏感数据，可采取的措施有（）A.实施数据脱敏处理B.部署数据泄漏防护（DLP）系统C.严格的访问控制权限D.员工安全意识培训E.定期数据备份答案：ABCD。解析：数据脱敏处理可使敏感数据在非授权场景下无法被识别；DLP系统可监控和阻止敏感数据的未授权传输；严格的访问控制确保员工仅能访问其工作所需的敏感数据；员工安全意识培训可减少因疏忽导致的数据泄露。定期数据备份是用于数据恢复的措施，无法直接防范数据泄露。三、综合题（共3题，每题10分，共30分）1.某电商企业近期频繁遭遇用户账户被盗事件，经排查发现，部分用户在点击邮件中的“账户安全验证”链接后，输入了用户名和密码，随后账户被盗。请回答以下问题：（1）该攻击手段属于什么类型？请简述其原理。（4分）（2）企业和用户分别可以采取哪些措施防范此类攻击？（6分）答案：（1）该攻击手段属于钓鱼攻击（Phishing）。原理是攻击者伪造与合法企业（如该电商）高度相似的邮件和网站，通过诱骗用户点击恶意链接，引导用户在伪造的登录页面输入用户名、密码等敏感信息，攻击者获取这些信息后即可登录用户真实账户，实施盗窃行为。（2）企业可采取的措施：①启用邮件域名SPF、DKIM、DMARC协议，防止攻击者伪造企业域名发送邮件；②在官方网站和APP中增加安全提示，告知用户不会通过邮件要求点击链接输入密码；③部署反钓鱼邮件网关，过滤钓鱼邮件；④对用户账户启用多因素认证，即使攻击者获取密码，也无法仅凭密码登录账户。用户可采取的措施：①不要轻易点击邮件、短信中的陌生链接，通过官方渠道直接访问网站或APP；②核对链接的URL是否为官方域名，注意域名中的细微差异（如仿冒域名将“mall”改为“ma11”）；③启用多因素认证，提高账户安全性；④定期修改密码，避免使用相同密码登录多个网站。2.某企业内部网络部署了防火墙、入侵检测系统（IDS）、VPN等安全设备，近期发现内部文件服务器中的敏感财务数据被未授权复制，经排查，该数据是通过内部员工的笔记本电脑外传的，该员工的笔记本电脑曾连接过外部公共WiFi。请回答以下问题：（1）分析该事件可能的原因。（4分）（2）针对此类内部数据泄露风险，企业应采取哪些技术和管理措施？（6分）答案：（1）可能的原因：①员工笔记本电脑连接外部公共WiFi时，被攻击者植入木马或其他恶意程序，攻击者通过恶意程序控制笔记本电脑；②员工笔记本电脑未安装杀毒软件或病毒库未及时更新，无法检测和清除恶意程序；③企业未对内部终端设备实施严格的访问控制，员工笔记本电脑可直接访问文件服务器，且未对敏感数据的下载、复制进行限制；④企业未部署数据泄漏防护（DLP）系统，无法监控和阻止敏感数据的未授权外传。（2）技术措施：①部署终端安全管理系统（EDR），对内部终端设备进行统一管理，包括病毒查杀、漏洞修复、设备状态监控；②部署DLP系统，对敏感数据进行标记，监控终端设备对敏感数据的操作（如复制、外发），阻止未授权的外传行为；③实施网络准入控制（NAC），仅允许符合安全策略的终端设备接入内部网络，如要求终端安装杀毒软件、系统补丁更新至最新；④对文件服务器实施细粒度访问控制，限制员工对敏感财务数据的访问权限，如仅允许特定岗位员工访问，且禁止下载、复制。管理措施：①制定终端设备安全管理制度，明确员工使用终端设备的规范，如禁止连接未授权的公共WiFi；②定期开展员工安全意识培训，提高员工对公共WiFi风险、恶意程序的认识；③建立敏感数据管理制度，明确敏感数据的定义、访问权限、传输规范；④定期进行内部安全审计，检查终端设备安全状态和敏感数据的访问记录，及时发现异常行为。3.某企业计划建设零信任架构，以提升内部网络的安全性。请回答以下问题：（1）简述零信任架构的核心思想。（3分）（2）企业建设零信任架构时，应重点实施哪些核心组件和措施？（7分）答案：（1）零信任架构的核心思想是“永不信任，始终验证”，即不默认信任任何内部或外部的访问者，无论访问者来自内部网络还是外部网络，在