2025年软考-信息安全工程师考试题库

2025年软考-信息安全工程师考试题库一、单项选择题1.在现代密码学中，对称加密算法与非对称加密算法的主要区别在于（）。A.对称加密算法比非对称加密算法更安全B.对称加密算法的加密和解密使用相同或本质上易于从推导出的密钥，而非对称算法使用公钥和私钥对C.非对称加密算法的运算速度通常快于对称加密算法D.对称加密算法只能用于加密，不能用于数字签名【答案】B【解析】本题考查密码学基础。对称加密算法（如AES、DES）加密和解密使用同一个密钥或由一个密钥易于推导出另一个密钥；非对称加密算法（如RSA、ECC）使用公钥和私钥，公钥加密私钥解密，或私钥签名公钥验证。A选项错误，安全性取决于密钥长度和算法强度，不能一概而论；C选项错误，非对称算法由于涉及复杂的数学运算（如大数分解、离散对数），速度远慢于对称算法；D选项错误，非对称算法常用于数字签名，对称算法主要用于数据加密。2.某公司内部网络规划中，将/24网段划分为多个子网。若需要将网络划分为4个子网，每个子网最多容纳30台主机，则子网掩码应为（）。A.92B.24C.40D.48【答案】B【解析】本题考查子网划分。需要容纳30台主机，主机位需要−2≥30，即n=53.在PKI（公钥基础设施）系统中，CA（证书权威机构）的主要职责不包括（）。A.证书颁发B.证书更新C.证书吊销D.密钥对的生成【答案】D【解析】本题考查PKI体系结构。CA负责验证用户身份、颁发证书、更新证书和吊销证书。密钥对的生成通常由用户端（客户端）自己生成，然后只将公钥发送给CA申请证书，或者由RA（注册机构）辅助生成，但核心的私钥生成应由用户自己保管以确保安全，CA不直接生成并存储用户的私钥，否则存在极大的安全隐患。4.针对SQL注入攻击，以下哪种防御措施是最有效且必须实施的？（）A.在数据库服务器前部署防火墙B.对用户输入进行严格的过滤和参数化查询C.使用HTTPS协议加密传输D.定期备份数据库【答案】B【解析】本题考查Web应用安全。SQL注入的根本原因是应用程序将用户输入直接拼接到SQL语句中执行。防御的核心在于“输入验证”和“参数化查询”（预编译）。A选项防火墙无法防御应用层注入；C选项HTTPS只能防止传输层窃听，无法防止注入攻击；D选项备份是容灾措施，不能防止攻击发生。5.按照我国《网络安全法》的规定，网络运营者应当制定网络安全事件应急预案。在发生网络安全事件时，以下哪项操作不是必须立即执行的？（）A.立即向网信部门报告B.启动应急预案C.采取补救措施D.保存相关记录【答案】A【解析】本题考查网络安全法律法规。根据《网络安全法》第二十五条，网络运营者应当制定网络安全事件应急预案。在发生网络安全事件时，立即启动应急预案，采取补救措施，并按照规定向有关主管部门报告。注意，并不是“所有”事件都需要“立即”向网信部门报告，通常只有特定级别的安全事件才需要在规定时限内报告。而启动预案、补救措施、保存记录是事件发生时现场处置的通用要求。但在考试语境下，通常强调“立即启动应急预案”和“处置”。对于一般的轻微事件，可能不需要立即上报，但必须处置。不过严格来说，法律要求“按规定”报告。对比选项，B、C、D是技术处置动作，A是行政动作。在应急响应流程中，首要的是抑制和根除（B、C），同时留存证据（D）。上报通常在初步研判后进行。6.IPSec协议族中，负责加密和认证数据包安全性的两个主要协议是（）。A.AH和ESPB.IKE和ISAKMPC.TLS和SSLD.SSH和VPN【答案】A【解析】本题考查VPN技术。IPSec（InternetProtocolSecurity）包含两个主要协议：AH（AuthenticationHeader，认证头）提供数据完整性和源认证；ESP（EncapsulatingSecurityPayload，封装安全载荷）提供数据机密性、完整性、认证和反重放保护。IKE（InternetKeyExchange）是密钥交换协议。7.访问控制模型中，BLP（Bell-LaPadula）模型主要用于解决（）问题。A.防止未授权用户读取信息B.防止信息未授权扩散（保密性）C.确保数据的完整性D.确保数据的可用性【答案】B【解析】本题考查安全模型。BLP模型是基于多级安全策略的模型，核心原则是“不上读，不下写”，旨在防止信息从高安全级流向低安全级，从而保障信息的保密性。Biba模型则是关注完整性，遵循“不下读，不上写”。8.在风险评估中，计算资产风险值的公式通常表示为（）。A.风险=资产价值/威胁频率B.风险=资产价值×威胁×脆弱性C.风险=(资产价值+威胁)×脆弱性D.风险=威胁×脆弱性-资产价值【答案】B【解析】本题考查风险管理基础。风险由资产、威胁、脆弱性三个要素决定。通用的定性或定量风险计算公式为：风险=资产价值×威胁可能性×脆弱性严重程度（或利用难易度）。9.某企业使用RSA算法进行数字签名。发送方Alice对消息M进行签名，接收方Bob验证签名。正确的密钥使用方式是（）。A.Alice使用Alice的公钥签名，Bob使用Alice的公钥验证B.Alice使用Alice的私钥签名，Bob使用Alice的公钥验证C.Alice使用Bob的公钥签名，Bob使用Bob的私钥验证D.Alice使用Alice的私钥签名，Bob使用Bob的公钥验证【答案】B【解析】本题考查数字签名原理。数字签名用于提供认证和不可否认性。签名者使用自己的私钥对摘要进行加密（签名），验证者使用签名者的公钥进行解密（验证）。这样只有持有私钥的Alice才能生成签名，而任何人都可以用其公钥验证。10.以下关于防火墙技术的描述，错误的是（）。A.包过滤防火墙工作在网络层和传输层B.应用代理防火墙可以深入检查应用层载荷C.状态检测防火墙维护连接状态表，提高安全性D.防火墙可以完全杜绝内网用户的非法拨号上网行为【答案】D【解析】本题考查防火墙技术。防火墙是网络边界的访问控制设备。A、B、C描述均正确。D选项错误，防火墙主要控制进出网络边界的流量，无法控制内网用户通过Modem等设备直接拨号连接外部网络（绕过防火墙），这属于物理层或终端的行为管理范畴，超出了网络防火墙的能力。11.在入侵检测系统（IDS）中，基于异常的检测方法与基于误用的检测方法相比，主要优点是（）。A.检测准确率高，误报率低B.能够检测未知的攻击行为C.检测速度快，资源消耗少D.易于维护和更新规则库【答案】B【解析】本题考查IDS技术。基于误用（特征匹配）的检测依赖于已知的攻击特征库，准确率高但只能检测已知攻击。基于异常（行为分析）的检测通过建立正常行为轮廓，检测偏离正常的行为，其主要优点是能够检测未知的、新型的攻击，缺点是误报率较高。12.某Hash函数输出长度为256位，根据生日攻击原理，找到两个具有相同Hash值的输入所需的计算量大约是（）。A.B.C.D.【答案】C【解析】本题考查Hash函数安全性。根据生日悖论，对于n位的Hash输出，找到碰撞（两个不同输入具有相同输出）的复杂度约为。因此，对于256位Hash，碰撞复杂度为。而寻找原像攻击（给定Hash值找输入）的复杂度才是。13.在Windows操作系统中，用于查看当前活动网络连接（包括TCP、UDP端口状态）的命令是（）。A.pingB.ipconfigC.netstatD.tracert【答案】C【解析】本题考查系统安全命令。`netstat`命令用于显示协议统计和当前TCP/IP网络连接。常用参数如`-an`显示所有连接的地址和端口，以数字形式显示。`ping`测试连通性，`ipconfig`查看IP配置，`tracert`跟踪路由。14.为了防止重放攻击，在身份认证协议中通常会引入（）。A.非对称加密B.时间戳或随机数C.强密码策略D.访问控制列表【答案】B【解析】本题考查认证安全。重放攻击是指攻击者截获有效的通信消息并在稍后重新发送。防御方法包括在消息中加入时间戳（限制消息有效期）或随机数/挑战（确保消息的唯一性和新鲜性）。15.信息系统安全等级保护制度是我国网络安全保障的基本制度。根据《网络安全法》及等保2.0标准，第三级信息系统被称为（）。A.用户自主保护级B.系统审计保护级C.安全标记保护级D.监督保护级【答案】D【解析】本题考查等保2.0。等保2.0将信息系统安全保护等级分为五级。第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。注意：这是旧的GB17859-1999的命名方式，但在实际考试中常结合考察。不过根据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》，通常只称呼为“第一级”至“第五级”。如果题目严格按照GB17859的名称对应，第三级是安全标记保护级。但在实际等保2.0语境下，第三级通常对应“监督保护级”这个行政监管力度上的俗称（虽然标准文档里主要叫第三级）。在软考中，常考对应关系：一级自主，二级指导/审计，三级监督，四级强制，五级专门。选项D“监督保护级”是第三级在监管层面的俗称。16.某公司核心数据库服务器遭遇勒索软件攻击，数据文件被加密。为了最快恢复业务，以下哪种灾备技术策略最有效？（）A.热备站点B.数据冷备份C.数据库事务日志D.磁盘阵列RAID5【答案】A【解析】本题考查容灾备份。A选项热备站点通常配备有实时镜像或接近实时的数据副本，且系统处于待机状态，恢复时间（RTO）最短。B选项冷备份需要从磁带或离线存储恢复，速度慢；C选项事务日志主要用于恢复到故障点，但如果主文件被加密，可能需要从全备开始恢复；D选项RAID5主要用于硬件故障冗余，防止磁盘损坏导致数据丢失，但无法防止逻辑损坏或勒索软件（因为勒索软件会写覆盖数据，RAID会同步加密后的数据）。因此，具备实时快照或复制的热备站点是应对勒索软件最快恢复的方式。17.在OSI参考模型中，传输层安全协议SSL/TLS工作在（）。A.网络层B.传输层C.会话层D.应用层【答案】C【解析】本题考查SSL/TLS协议位置。SSL（SecureSocketsLayer）及其继任者TLS（TransportLayerSecurity）通常被描述为工作在传输层和应用层之间，或者直接归类为会话层。它为应用层协议（如HTTP、SMTP）提供安全服务。从OSI模型严格分层来看，它属于会话层。虽然它常被说成是“传输层安全”，但在协议栈实现上，它是位于TCP之上的。18.代码审计发现某Web应用存在XSS跨站脚本攻击漏洞。攻击者利用该漏洞可以（）。A.直接获取服务器端文件系统的读写权限B.执行任意SQL语句C.窃取其他用户的Cookie或会话凭证D.导致服务器拒绝服务【答案】C【解析】本题考查Web安全漏洞。XSS（跨站脚本）攻击是指在网页中注入恶意脚本。当用户访问被注入的页面时，脚本在用户浏览器中执行。其主要危害包括窃取用户Cookie、会话ID、重定向到钓鱼网站等。它不能直接执行SQL（那是SQLi），也不能直接获取服务器文件系统权限（那是文件包含或RCE），虽然某些极端情况下可能导致DoS，但主要特征是C。19.在公钥密码体制中，计算离散对数的困难性是以下哪种算法的安全基础？（）A.RSAB.ECCC.ElGamalD.AES【答案】C【解析】本题考查密码学算法基础。RSA基于大整数分解困难性；ECC（椭圆曲线加密）基于椭圆曲线离散对数问题；ElGamal算法基于有限域上的离散对数困难性；AES是对称加密算法。虽然ECC也是离散对数问题的一种，但题目中直接提到“离散对数”通常指代经典的有限域离散对数，对应ElGamal或DSA。若选项中有ECC和ElGamal，且问的是“离散对数”，通常指ElGamal。如果问的是ECDLP则选ECC。在此题语境下，C最符合经典定义。20.关于虚拟化安全，以下说法错误的是（）。A.Hypervisor（虚拟机监视器）是虚拟化环境的核心，其安全性至关重要B.虚拟机之间的流量（东西向流量）在物理服务器内部传输，传统防火墙可能无法检测C.虚拟机逃逸是指攻击者利用漏洞从虚拟机攻击宿主机或其他虚拟机D.虚拟机的快照功能不会带来任何安全风险【答案】D【解析】本题考查虚拟化安全。A、B、C均正确。D选项错误，虚拟机快照包含了虚拟机在某个时间点的内存和磁盘状态，其中可能包含敏感信息（如内存中的明文密码）。如果快照文件保管不当，会导致严重的信息泄露风险。二、多项选择题21.信息系统安全工程（ISSE）的主要阶段包括（）。A.探索阶段B.定义阶段C.工程阶段D.验证阶段【答案】A,B,C,D【解析】本题考查信息安全工程生命周期。ISSE将系统工程的原理应用于安全系统解决方案的构建。主要过程通常包括：探索（发现需求）、定义（确定功能）、工程（设计实现）、验证（测试认证）等阶段。22.以下哪些属于常见的恶意代码类型？（）A.特洛伊木马B.蠕虫C.逻辑炸弹D.僵尸网络【答案】A,B,C,D【解析】本题考查恶意代码。特洛伊木马伪装成合法软件；蠕虫可以自我复制和传播；逻辑炸弹隐藏在程序中，在特定条件触发时破坏；僵尸网络（Botnet）是由被C&C服务器控制的受感染主机（僵尸/Bot）组成的网络，虽然Bot是恶意软件，但僵尸网络作为攻击平台也被视为恶意代码/攻击形态的一种。在软考中，这四者通常都被归类在恶意代码及计算机病毒章节。23.防火墙可以部署在多种位置，以下关于防火墙部署模式的描述，正确的有（）。A.屏蔽路由器模式：通常具备包过滤功能，位于网络边界B.双穴主机模式：一台主机连接两个网络，充当网关C.屏蔽子网模式：在内部网和外部网之间建立一个被隔离的子网（DMZ）D.应用层代理模式：必须工作在路由器上【答案】A,B,C【解析】本题考查防火墙体系结构。A、B、C是三种经典的防火墙体系结构：屏蔽路由器、双穴主机（网关）、屏蔽子网（DMZ）。D选项错误，应用层代理防火墙通常工作在双穴主机或专用堡垒主机上，不一定非要在路由器上，且路由器通常处理网络层/传输层，难以处理复杂的应用层代理。24.在数据库安全中，为了防止非授权访问，可以采取的措施包括（）。A.视图机制B.自主访问控制（DAC）C.强制访问控制（MAC）D.数据库审计【答案】A,B,C,D【解析】本题考查数据库安全。视图可以隐藏表中的某些列或行，实现列级或行级安全；DAC基于用户/角色授权；MAC基于安全标记；审计用于追踪用户行为。这些都是数据库安全的有效措施。25.以下关于IPSec协议中传输模式与隧道模式的区别，描述正确的有（）。A.传输模式用于保护两个主机之间的通信B.隧道模式用于保护两个网关之间的通信C.传输模式不封装原IP头，而是保护IP载荷D.隧道模式将原IP数据包封装在新的IP数据包中【答案】A,B,C,D【解析】本题考查IPSec工作模式。传输模式通常用于端到端（Host-to-Host），不加密原IP头，只加密上层载荷；隧道模式通常用于网关到网关（Gateway-to-Gateway）或Host-to-Gateway（VPN客户端），将整个原IP包作为载荷封装在新的IP包中，原IP头被保护。A、B、C、D描述均正确。26.信息系统安全审计的主要内容包括（）。A.网络流量审计B.系统登录与操作审计C.应用业务流程审计D.物理环境访问审计【答案】A,B,C,D【解析】本题考查安全审计。安全审计覆盖信息系统的各个层面：网络层（流量、连接）、系统层（登录、命令）、应用层（业务操作、数据访问）以及物理层（门禁、监控）。27.在网络安全等级保护测评中，控制点涉及“安全计算环境”的主要对象包括（）。A.主机操作系统B.数据库系统C.中间件D.网络设备【答案】A,B,C【解析】本题考查等保2.0安全控制点。等保2.0技术要求分为：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。其中“安全计算环境”主要指终端和服务器上的节点，包括操作系统、数据库、中间件、应用系统等。网络设备通常属于“安全通信网络”或“安全区域边界”的范畴，尽管有交叉，但主要计算节点指主机和应用支撑平台。28.以下哪些协议属于电子邮件安全协议？（）A.PGPB.S/MIMEC.SSHD.TLS【答案】A,B【解析】本题考查应用安全协议。PGP（PrettyGoodPrivacy）和S/MIME（Secure/MultipurposeInternetMailExtensions）是专门用于电子邮件安全（加密和签名）的协议。SSH是远程登录协议，TLS是通用传输层安全协议（虽然SMTPS/POP3S/IMAPS使用TLS，但TLS本身不是邮件专用协议，PGP和S/MIME是应用层邮件安全标准）。29.风险评估中，资产识别是重要的一环。资产价值通常依据以下哪些维度进行评估？（）A.机密性B.完整性C.可用性D.真实性【答案】A,B,C【解析】本题考查资产评估。资产价值是基于安全属性（CIA）对组织业务影响的综合评估。机密性、完整性、可用性是三个核心维度。真实性虽然也是安全属性，但在资产价值评估的标准模型中，通常以CIA为基础赋值。30.以下关于数字证书的X.509标准，包含的主要字段有（）。A.版本号B.序列号C.签名算法标识D.主体公钥信息【答案】A,B,C,D【解析】本题考查数字证书结构。X.509证书包含版本号、序列号、签名算法、颁发者、有效期、主体、主体公钥信息、颁发者扩展项、签名等字段。A、B、C、D均正确。三、案例分析题案例一：网络安全架构设计与防火墙配置【背景说明】某大型企业“未来科技”计划重构其网络架构。该企业主要部门包括：研发部、市场部、财务部和IT运维部。企业对外提供Web服务（网站）和邮件服务。网络拓扑设计如下：1.边界部署两台高性能防火墙（主备模式）。2.边界防火墙与核心交换机之间设置一个DMZ区（非军事化区）。3.内部网络划分为多个VLAN：VLAN10（研发部）、VLAN20（市场部）、VLAN30（财务部）、VLAN40（运维部）。4.核心交换机连接各VLAN和DMZ区。5.DMZ区放置Web服务器、邮件服务器和DNS服务器。6.财务部数据库服务器放置在内部VLAN30，仅允许特定访问。【问题1】为了保障安全性，防火墙的默认策略应设置为（）。请填写“允许”或“拒绝”。【答案】拒绝【解析】防火墙的安全基线原则是“默认拒绝”，即明确拒绝所有未明确允许的流量。这样可以防止因配置疏忽而导致未授权的访问。【问题2】在防火墙配置规则中，需要允许外部用户访问企业的Web服务（TCP80端口）和邮件服务（SMTPTCP25,POP3TCP110）。假设防火墙接口定义为：`external`（外网口）、`dmz`（DMZ口）、`internal`（内网口）。请补全以下允许外部访问Web服务器的规则描述：源地址：Any目的地址：Web_Server_IP服务：HTTP动作：Accept方向：从（）接口到（）接口。【答案】external,dmz【解析】外部用户发起的请求流向是从外部网络进入防火墙，并流向DMZ区域的Web服务器。【问题3】为了防止内部网络遭受来自外部网络的攻击，同时防止内部主机感染后向外发起恶意连接，除了包过滤外，防火墙还应开启哪些安全功能？（请列举至少两项）【答案】状态检测（或状态检测）、入侵防御（IPS）/防病毒网关/应用层过滤。【解析】现代防火墙（下一代防火墙）应具备状态检测以防止会话劫持，以及深度包检测（DPI）功能，如IPS和防病毒，以检测应用层攻击和恶意软件传输。【问题4】财务部数据库服务器存储敏感数据，要求只有财务部员工（VLAN30）和IT运维部（VLAN40）可以访问。请描述在核心交换机或内部防火墙上应如何配置ACL（访问控制列表）来实现此需求？（简述逻辑）【答案】配置扩展ACL，允许源VLAN30和VLAN40访问数据库服务器IP的数据库端口（如TCP1433），拒绝其他所有VLAN访问该数据库服务器IP。【解析】这是基于VLAN和目的IP/端口的访问控制。逻辑是“白名单”模式：明确允许合法源，显式拒绝其他源。案例二：公钥基础设施与数字签名应用【背景说明】某电子政务系统需要实现安全的公文传输功能。系统采用CA（证书颁发机构）体系构建PKI。系统中有用户A（发送方）和用户B（接收方），以及一个CA中心。A需要向B发送一份机密文件“SecretDoc.pdf”，并确保B能验证文件的来源和完整性。【问题1】在PKI系统中，用户A和用户B首先需要向CA申请数字证书。证书中包含了用户的公钥、身份信息以及CA的（）。CA使用自己的（）对证书进行签名。【答案】公钥、私钥【解析】证书结构中包含CA的签名。CA生成证书时，使用CA的私钥对证书的摘要进行加密签名，这样用户可以使用CA的公钥（预置在系统中）验证证书的真实性。【问题2】用户A希望对文件进行数字签名。签名的过程是：A首先对文件“SecretDoc.pdf”进行（）运算得到摘要，然后使用A的（）对摘要进行加密，生成数字签名。【答案】哈希（或Hash/摘要）、私钥【解析】数字签名标准流程：原文->Hash函数->摘要->用发送方私钥加密摘要->数字签名。【问题3】如果用户A不仅想签名，还想对文件进行加密，使得只有用户B能解密查看。A应该使用（）的公钥对文件进行加密。【答案】B（或用户B/接收方）【解析】加密的目的是保密，接收方B使用自己的私钥解密，因此发送方A必须使用接收方B的公钥进行加密。【问题4】用户B收到文件和签名后，验证签名的步骤包括：1.使用（）的公钥解密数字签名，还原出摘要H1。2.对收到的原文文件进行相同的（）运算，得到摘要H2。3.比较（）。【答案】A（或发送方）、哈希（或Hash/摘要）、H1和H2（或两个摘要值是否一致）【解析】验证签名过程：用发送方公钥解密签名得到摘要1；用相同Hash算法计算原文得到摘要2；对比摘要1和摘要2。如果一致，说明文件完整且来源真实。案例三：安全审计与应急响应【背景说明】某电商平台在“双十一”促销期间遭遇了网络攻击。运维人员通过安全审计系统发现，Web服务器日志中存在大量异常的HTTPGET请求，请求URL中包含`script>alert(1)</script>`等字符串，且数据库日志显示有尝试通过`'OR'1'='1`进行登录的记录。随后，