2025年6月信息安全中级模拟习题与参考答案

2025年6月信息安全中级模拟习题与参考答案一、单项选择题（每题2分，共30分）1.以下哪种攻击方式利用了操作系统或应用程序在处理数据时的边界错误？A.跨站脚本攻击（XSS）B.缓冲区溢出攻击C.SQL注入攻击D.社会工程攻击2.TLS1.3协议相比TLS1.2，最大的改进是？A.支持AES-256加密B.减少握手延迟，仅需1-RTTC.强制使用ECDHE密钥交换D.新增会话票证复用机制3.在访问控制模型中，“角色”作为中间层，根据用户职责分配权限的是？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）4.某企业使用Wireshark捕获网络流量，发现大量ICMP请求包指向同一目标IP，但目标IP回应的ICMP包极少，可能遭遇了？A.SYNFlood攻击B.Smurf攻击C.DNS放大攻击D.ARP欺骗攻击5.以下哪项是AES-256算法的正确描述？A.分组长度128位，密钥长度256位B.分组长度256位，密钥长度128位C.采用非对称加密方式D.仅支持CBC模式6.信息安全管理体系（ISMS）的核心标准是？A.ISO27001B.ISO9001C.ISO20000D.ISO140017.某系统日志显示用户连续10次输入错误密码后仍能登录，可能存在的漏洞是？A.会话固定漏洞B.暴力破解防护缺失C.CSRF漏洞D.文件包含漏洞8.以下哪种加密算法属于非对称加密？A.DESB.RSAC.ChaCha20D.3DES9.零信任架构的核心原则是？A.信任所有内部网络用户B.持续验证访问请求的身份与环境C.仅通过物理隔离保障安全D.依赖传统防火墙划分安全区域10.漏洞扫描工具Nessus的主要功能是？A.捕获并分析网络流量B.检测系统和应用的已知漏洞C.防御DDoS攻击D.提供数字证书11.数据脱敏技术中，将“身份证号”替换为“”属于？A.掩码处理B.加密处理C.匿名化处理D.随机化处理12.以下哪项是SOC（安全运营中心）的核心职责？A.开发安全产品B.实时监控与响应安全事件C.制定公司财务制度D.管理员工考勤13.钓鱼邮件中，攻击者通过伪造银行官网链接诱导用户输入账号密码，该攻击利用了？A.系统漏洞B.社会工程学C.协议缺陷D.硬件故障14.某企业部署了入侵检测系统（IDS），但未部署入侵防御系统（IPS），可能导致？A.无法检测已知攻击B.无法在攻击发生时主动阻断C.无法分析攻击流量特征D.无法记录攻击日志15.以下哪项符合“最小权限原则”？A.普通员工拥有服务器管理员权限B.财务系统仅允许财务部门用户访问C.所有用户均可修改系统配置文件D.测试环境与生产环境使用相同账号二、多项选择题（每题3分，共30分，多选、错选、漏选均不得分）1.以下属于DDoS攻击类型的有？A.带宽耗尽型攻击（如UDPFlood）B.资源耗尽型攻击（如SYNFlood）C.应用层攻击（如HTTPFlood）D.中间人攻击2.对称加密算法的特点包括？A.加密和解密使用相同密钥B.计算速度快C.适合加密大文件D.密钥分发安全问题突出3.访问控制策略的制定需考虑？A.用户角色与职责B.数据敏感性等级C.操作频率D.系统性能影响4.日志分析的关键指标包括？A.事件发生时间戳B.源IP与目标IPC.用户登录地点D.事件类型（如登录、文件修改）5.云安全面临的主要挑战有？A.多租户环境下的数据隔离B.API接口的安全防护C.合规性与数据主权问题D.物理服务器的硬件故障6.以下哪些措施可防御SQL注入攻击？A.使用预处理语句（PreparedStatement）B.对用户输入进行严格校验C.关闭数据库错误信息显示D.定期更新操作系统补丁7.无线局域网（WLAN）的常见安全威胁包括？A.弱口令攻击（如WPA2破解）B.伪AP（钓鱼热点）C.蓝牙设备干扰D.中间人攻击（MITM）8.信息安全风险评估的步骤包括？A.资产识别与赋值B.威胁与脆弱性分析C.风险计算与评估D.风险处置策略制定9.以下属于物理安全控制措施的有？A.数据中心门禁系统B.服务器机房的视频监控C.员工安全意识培训D.消防系统与UPS电源10.区块链技术在信息安全中的应用包括？A.数据防篡改存证B.去中心化身份认证C.抵御DDoS攻击D.替代传统加密算法三、判断题（每题1分，共10分，正确填“√”，错误填“×”）1.零信任模型的核心是“永不信任，始终验证”。（）2.SSL3.0与TLS1.0已被完全弃用，现代浏览器不再支持。（）3.缓冲区溢出攻击仅影响C/C++等编译型语言开发的程序。（）4.数据加密后无需进行访问控制，因为加密数据无法被未授权用户解密。（）5.安全审计的目的是记录所有操作，仅用于合规检查。（）6.社会工程攻击主要依赖技术漏洞，与用户行为无关。（）7.无线局域网中，WPA3协议比WPA2更安全，支持SAE（安全关联加密）。（）8.漏洞扫描工具可以检测出所有未知漏洞（0day漏洞）。（）9.数字签名的作用是确保数据完整性和发送方身份认证。（）10.云计算环境中，“数据所在位置”不影响合规性要求（如GDPR）。（）四、简答题（每题6分，共30分）1.简述最小权限原则的定义及其在信息安全中的具体应用。2.描述SQL注入攻击的原理，并列举至少3种防御措施。3.比较对称加密与非对称加密的优缺点，各举一例常见算法。4.网络钓鱼攻击的常见手段有哪些？用户可通过哪些方法防范？5.阐述ISO27001信息安全管理体系（ISMS）的主要实施步骤。五、综合分析题（每题10分，共20分）1.某企业内网发生横向渗透攻击，攻击者通过漏洞获取某员工主机权限后，逐步渗透至财务服务器，导致敏感数据泄露。请分析：（1）攻击可能利用的路径（至少3种）；（2）企业可采取哪些检测与防御措施？2.某电商平台用户数据库（包含姓名、手机号、地址）发生泄露，经调查发现数据库未启用访问控制，且未加密存储。请分析：（1）可能的漏洞类型及根本原因；（2）事件响应的主要流程；（3）后续改进措施（至少4项）。参考答案一、单项选择题1.B2.B3.C4.B5.A6.A7.B8.B9.B10.B11.A12.B13.B14.B15.B二、多项选择题1.ABC2.ABCD3.ABD4.ABD5.ABC6.ABC7.ABD8.ABCD9.ABD10.AB三、判断题1.√2.√3.×4.×5.×6.×7.√8.×9.√10.×四、简答题1.最小权限原则指用户或进程仅被授予完成任务所需的最小权限，避免过度授权。应用场景包括：（1）系统账号权限分级（如普通用户无root权限）；（2）数据库用户仅授予查询或修改特定表的权限；（3）云服务IAM（身份与访问管理）中按角色分配最小资源访问权。2.SQL注入原理：攻击者将恶意SQL代码插入用户输入，欺骗后端数据库执行，导致数据泄露或篡改。防御措施：（1）使用参数化查询（PreparedStatement）；（2）对用户输入进行白名单校验（仅允许特定字符）；（3）限制数据库账户权限（如禁止执行DROP操作）；（4）启用Web应用防火墙（WAF）过滤恶意请求。3.对称加密优点：速度快，适合大文件加密（如AES）；缺点：密钥分发困难，易泄露。非对称加密优点：密钥分发安全（如RSA），支持数字签名；缺点：计算复杂，适合小数据加密（如加密对称密钥）。4.常见手段：（1）伪造官方邮件/短信（如银行、电商）；（2）诱导点击钓鱼链接（通过高仿网站）；（3）恶意附件（伪装成文档或图片）；（4）冒充电商客服索要验证码。防范方法：（1）核实发件人邮箱/号码真实性；（2）不点击陌生链接，手动输入官网地址；（3）不向任何渠道透露短信验证码；（4）安装邮件过滤工具拦截可疑附件。5.ISO27001实施步骤：（1）建立ISMS范围与方针；（2）资产识别与风险评估（包括威胁、脆弱性、影响分析）；（3）选择控制措施（基于风险评估结果，参考ISO27001控制集）；（4）实施与运行控制措施（如访问控制、加密、培训）；（5）监控与评审（定期审计、漏洞扫描、管理评审）；（6）持续改进（根据内外部变化调整策略）。五、综合分析题1.（1）攻击路径：①员工主机弱口令被暴力破解；②主机存在未修复的远程执行漏洞（如CVE-202X-XXXX）；③内网未划分VLAN，攻击者通过ARP欺骗获取相邻主机信息；④财务服务器未关闭不必要的端口（如445/3389），被横向扫描利用。（2）检测与防御措施：①部署内网流量监控（如NTA网络流量分析），识别异常横向流量（如大量SMB/CIFS连接）；②实施最小权限原则，限制员工主机访问财务服务器的权限；③定期更新系统补丁，启用漏洞扫描工具（如Tenable.sc）；④划分安全区域（DMZ、办公区、财务区），通过防火墙策略限制跨区访问；⑤启用终端检测与响应（EDR），监控主机异常进程（如远控软件）。2.（1）漏洞类型：①数据库未启用访问控制（如未设置角色权限，所有用户可读写）；②敏感数据未加密（明文存储手机号、地址）；③缺乏审计日志（无法追踪数据操作）。根本原因：安全意识薄弱，未执行数据分类分级，未落实最小权限原则。（2）事件响应流程：①确认泄露范围（统计泄露数据量、涉及用户数）；②隔离受影响数据库（关闭公网访问，限制内网访问）；③通知用户（按GDPR/《个人信息保护法》要求48小时内告知）；④修复漏洞（启用访问控