2025年信息安全工程师模拟试题及答案

2025年信息安全工程师模拟试题及答案一、单项选择题（每题1分，共40分）1.在信息安全的基本属性中，确保信息在存储或传输过程中保持不被未授权的篡改、破坏的特性称为（）。A.保密性B.完整性C.可用性D.不可抵赖性2.按照可信计算机系统评估准则（TCSEC），达到（）级别的系统才具有强制存取控制机制。A.C1B.C2C.B1D.D13.在PKI公钥基础设施中，负责验证用户身份并颁发数字证书的机构是（）。A.注册机构RAB.证书颁发机构CAC.证书库D.密钥备份与恢复系统4.下列关于防火墙技术的描述中，错误的是（）。A.包过滤防火墙工作在网络层和传输层B.应用层代理防火墙可以理解应用层协议C.状态检测防火墙不维护连接状态信息D.防火墙无法防止内部网络的恶意攻击5.在ISO/OSI安全体系结构中，位于物理层之上的安全机制是（）。A.加密机制B.访问控制机制C.数据完整性机制D.通信业务流填充机制6.某公司内部网络地址为/24，现欲将其划分为4个子网，每个子网包含尽可能多的主机，则子网掩码应为（）。A.92B.24C.40D.487.RSA算法的安全性基于（）。A.大整数分解难题B.离散对数难题C.背包问题D.椭圆曲线离散对数难题8.在入侵检测系统（IDS）中，通过分析网络流量特征来检测攻击的技术属于（）。A.异常检测B.误用检测C.协议分析D.行为分析9.《中华人民共和国网络安全法》规定，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改，是网络安全等级保护（）级的基本要求。A.第一级B.第二级C.第三级D.第四级10.在数字签名技术中，发送方使用自己的（）对消息摘要进行加密。A.公钥B.私钥C.对称密钥D.会话密钥11.下列协议中，用于安全远程登录的是（）。A.TelnetB.FTPC.SSHD.HTTP12.某文件系统的权限设置为rwxr-xr--，则该文件的所有者对该文件拥有的权限是（）。A.读取和写入B.读取和执行C.读取、写入和执行D.仅执行13.在数据库安全中，SQL注入攻击的主要原因是（）。A.数据库未加密B.未对用户输入进行严格的过滤和验证C.数据库管理员权限过高D.操作系统漏洞14.IPsec协议中，负责提供机密性和数据源验证的协议是（）。A.AHB.ESPC.IKED.ISAK15.在风险评估中，资产价值、威胁频率和脆弱性严重程度之间的关系通常表示为（）。A.风险=资产价值+威胁+脆弱性B.风险=资产价值×威胁×脆弱性C.风险=(资产价值+威胁)×脆弱性D.风险=资产价值×(威胁)/脆弱性16.下列关于恶意代码的描述，正确的是（）。A.病毒需要宿主程序才能执行B.蠕虫不需要宿主程序，但必须依附于文件系统C.特洛伊木马具有自我复制能力D.逻辑炸弹一旦感染就会立即发作17.在访问控制模型中，基于安全标签的访问控制模型是（）。A.DACB.MACC.RBACD.ABAC18.HTTPS协议默认使用的端口号是（）。A.80B.443C.8080D.844319.消息认证码（MAC）主要用于提供信息的（）。A.保密性B.完整性和认证C.不可抵赖性D.可用性20.在虚拟化安全中，Hypervisor（虚拟机监视器）的安全风险不包括（）。A.虚拟机逃逸B.资源拒绝服务C.虚拟机间流量嗅探D.物理硬件老化21.下列关于对称加密算法和非对称加密算法的描述，错误的是（）。A.对称加密算法加解密速度快，适合加密大量数据B.非对称加密算法密钥管理复杂，但安全性更高C.非对称加密算法通常用于数字签名和密钥交换D.DES算法属于非对称加密算法22.在安全审计中，审计跟踪的完整性保护非常重要，通常采用（）技术来防止审计记录被篡改。A.访问控制B.加密存储C.只读存储D.数字签名23.为了防止重放攻击，可以在认证协议中加入（）。A.时间戳B.用户名C.密码D.IP地址24.在Web应用防火墙（WAF）中，针对XSS跨站脚本攻击的防护措施主要是（）。A.输入验证和输出编码B.关闭JavaScript支持C.使用HTTPS协议D.限制访问频率25.操作系统的安全加固措施不包括（）。A.关闭不必要的服务和端口B.定期安装系统补丁C.安装杀毒软件D.将所有文件权限设置为77726.在公钥密码体制中，如果发送方想发送一个秘密消息给接收方，并确保只有接收方能解密，发送方应使用（）加密。A.接收方的公钥B.接收方的私钥C.发送方的公钥D.发送方的私钥27.下列关于IPv6安全性的描述，错误的是（）。A.IPv6要求强制支持IPsecB.IPv6地址空间巨大，使得网络扫描变得困难C.IPv6解决了所有IPv4的安全问题D.IPv6同样存在漏洞和攻击风险28.在应急响应中，PDCERF模型不包括（）阶段。A.准备B.检测C.恢复D.销毁29.密码学中，计算(mA.欧几里得B.扩展欧几里得C.模幂运算（平方-乘算法）D.中国剩余定理30.在网络协议分析中，ARP协议的主要功能是（）。A.将域名解析为IP地址B.将IP地址解析为MAC地址C.建立端到端的连接D.传输文件数据31.下列属于逻辑访问控制技术的是（）。A.门禁系统B.防火墙C.围栏D.监控摄像头32.在云计算安全中，责任共担模型意味着（）。A.云服务商和客户承担相同的安全责任B.云服务商负责物理安全，客户负责应用和数据安全C.客户无需承担任何安全责任D.云服务商负责所有安全责任33.差分分析与线性分析主要是针对（）密码的攻击方法。A.公钥B.流C.分组D.哈希34.在安全开发生命周期（SDLC）中，代码审计阶段主要关注（）。A.需求分析中的安全漏洞B.设计文档中的安全缺陷C.源代码中的编程错误和漏洞D.运行环境中的配置错误35.下列关于数字证书的描述，正确的是（）。A.数字证书由用户自己生成B.数字证书包含公钥和持有者的身份信息C.数字证书不需要CA签名D.数字证书永久有效36.在无线局域网安全中，WPA2使用的加密协议是（）。A.WEPB.TKIPC.CCMP/AESD.RC437.系统漏洞扫描的主要目的是（）。A.发现系统中的未授权访问行为B.发现系统中已知的安全漏洞C.监控网络流量D.备份系统数据38.在信息系统中，BIOS/UEFI固件病毒的主要特点是（）。A.容易被杀毒软件清除B.存在于操作系统层面C.在系统启动前加载，难以检测D.仅感染文档文件39.下列关于数据备份的描述，错误的是（）。A.完全备份备份所有数据B.增量备份只备份上次备份后变化的数据C.差异备份只备份上次完全备份后变化的数据D.增量备份恢复速度比差异备份快40.在网络安全等级保护2.0标准中，安全管理中心要求实现（）。A.仅审计功能B.仅监控功能C.系统管理、审计管理和安全管理人员三权分立D.防火墙配置二、多项选择题（每题2分，共30分。每题有两个或两个以上正确选项，多选、少选、错选不得分）41.下列属于信息安全CIA三元组的是（）。A.保密性B.完整性C.可用性D.真实性42.常见的网络攻击类型包括（）。A.端口扫描B.DDoS攻击C.中间人攻击D.社会工程学攻击43.防火墙可以部署在（）。A.网络边界B.内部网段之间C.主机上D.交换机内部44.对称加密算法包括（）。A.AESB.DESC.RSAD.IDEA45.操作系统安全机制主要包括（）。A.身份认证B.访问控制C.审计日志D.最小特权原则46.下列关于HTTPS协议的描述，正确的有（）。A.HTTPoverSSL/TLSB.可以防止数据被窃听C.可以防止数据被篡改D.默认端口为8047.数据库完整性约束包括（）。A.实体完整性B.参照完整性C.用户定义完整性D.域完整性48.下列属于恶意软件检测技术的是（）。A.特征码匹配B.启发式扫描C.行为监控D.数字签名验证49.在风险评估中，风险处理方式包括（）。A.规避B.降低C.转移D.接受50.常见的身份认证因子包括（）。A.你知道什么B.你拥有什么C.你是什么D.你在哪里51.IPSec协议套件包含（）。A.AHB.ESPC.IKED.SSL/TLS52.下列关于VPN技术的描述，正确的有（）。A.可以在公网上建立专用网络B.需要加密技术支持C.SSLVPN不需要安装客户端软件D.L2TPVPN通常结合IPsec使用53.容灾备份技术的指标包括（）。A.RPO(RecoveryPointObjective)B.RTO(RecoveryTimeObjective)C.MTBF(MeanTimeBetweenFailures)D.MTTR(MeanTimeToRepair)54.Web应用常见的安全漏洞包括（）。A.SQL注入B.跨站脚本攻击(XSS)C.跨站请求伪造(CSRF)D.文件包含漏洞55.在网络安全等级保护2.0中，第三级系统要求的安全物理环境包括（）。A.防盗窃防破坏B.防火防防水C.防电磁干扰D.温湿度控制三、填空题（每题1分，共15分）56.在OSI参考模型中，HTTP协议工作在第________层。57.在RSA算法中，若公钥为，则私钥d满足e×58.访问控制决策通常基于主体、客体和________。59.ICMP协议常用于________，例如Ping命令。60.在Linux系统中，用于显示当前网络连接状态的命令是________。61.DES算法的有效密钥长度是________位。62.在数字证书中，________字段指明了颁发该证书的CA机构。63.SNMP协议中，用于管理站向代理发送请求信息的默认端口是________。64.________是一种通过伪造源IP地址进行网络攻击的技术。65.在公钥基础设施中，CRL的全称是________。66.网络安全审计中，________是指对系统活动进行记录、分析和审查的过程。67.常见的哈希算法MD5输出长度为________位。68.________攻击通过向目标服务器发送大量恶意请求耗尽其资源。69.在Windows系统中，用于查看本地安全策略的命令是________。70.Kerberos协议基于________信任。四、简答题（每题5分，共20分）71.简述对称加密算法和非对称加密算法的主要区别及各自的优缺点。72.请解释什么是SQL注入攻击，并给出两种主要的防御措施。73.简述TCP/IP协议栈中各层的主要安全威胁及对应的安全协议。74.请描述“零信任”安全架构的核心原则。五、综合应用题（共45分）75.案例分析：网络架构与防火墙配置（15分）某企业的网络拓扑结构如下：边界防火墙连接Internet，DMZ区部署了Web服务器和Email服务器，内部网部署了财务数据库服务器和员工PC机。Web服务器需要对外提供服务，内部员工需要访问Internet，同时也需要访问DMZ区的Web服务器进行维护，但Internet用户不能直接访问内部网。(1)请列出防火墙应该遵循的默认策略原则。（3分）(2)请设计防火墙规则，满足以下需求（请用表格形式表示，包含源地址、目的地址、服务/端口、动作）：（8分）a.允许所有用户访问DMZ区的Web服务器（TCP80）。b.允许所有用户访问DMZ区的Email服务器（TCP25,110）。c.允许内部网访问Internet（所有服务）。d.允许内部网管理员PC（IP:00）访问DMZ区Web服务器进行SSH管理（TCP22）。e.禁止Internet用户访问内部网。f.禁止DMZ区访问内部网。(3)如果攻击者攻破了Web服务器，为了防止其进一步攻击内部数据库，除了防火墙规则外，还可以采取什么安全措施？（4分）76.密码学应用计算（15分）假设Alice和Bob想要使用RSA算法进行保密通信。Bob选择了两个素数p=17，(1)请计算模数n和欧拉函数值ϕ((2)如果Bob选择的公钥指数e=7，请计算私钥指数(3)Alice想要发送明文消息M=5给Bob，请计算密文(4)Bob收到密文C后，使用私钥d解密，请验证解密结果是否为M。（3分）77.Web安全与事件响应（15分）某电商平台Web服务器日志中发现了以下异常记录：`[2025-05-2010:00:01]GET/product.php?id=1UNIONSELECT1,username,passwordFROMusers--HTTP/1.1200``[2025-05-2010:00:05]GET/index.php<script>alert(document.cookie)</script>HTTP/1.1200`(1)请分析这两条日志记录分别代表了什么类型的攻击？并简述其攻击原理。（6分）(2)针对第一条日志记录中的攻击，开发人员应如何修改代码以进行防御？（4分）(3)假设该攻击成功导致用户数据库泄露，请按照PDCERF模型，描述后续的应急响应步骤。（5分）答案与解析一、单项选择题1.B解析：完整性是指信息在未经授权的情况下不能被篡改。2.C解析：B1级（标签安全保护）引入了强制存取控制（MAC）。3.B解析：CA是证书颁发机构，负责签发证书；RA是注册机构，负责受理申请。4.C解析：状态检测防火墙维护连接状态表，这是其核心特征。5.A.B(修正：题目问的是机制，通常加密机制可以作用于多层，但通信业务流填充机制在物理层或链路层更常见，但A也是正确的。此处选最符合常规题库的答案)A解析：加密机制是最底层的安全服务，但题目问的是“位于物理层之上的安全机制”，实际上除了物理层安全外都是。通常题目考察“加密机制”是通用的。但若按特定层级，路由控制在网络层。此题在TCSEC中，加密机制通常作为最通用的机制。注：原题若考察特定层级，可能存在歧义，但在常规考题中，加密机制是核心。若严格按OSI层，加密存在于表示层（5），物理层（1）。所以位于物理层之上的机制包括加密。正确答案选A。6.A解析：划分4个子网，需要借用2位主机位（=47.A解析：RSA基于大整数分解难题。8.B解析：基于特征库匹配的是误用检测（也称特征检测）。异常检测是基于行为基线。9.C解析：等保2.0中，第三级要求防止网络数据泄露或被窃取、篡改。10.B解析：数字签名使用发送方的私钥加密摘要，保证不可抵赖性。11.C解析：SSH（SecureShell）用于安全登录。Telnet是明文传输。12.C解析：rwx对应7，所有者权限是读取、写入、执行。13.B解析：SQL注入的根本原因是将用户输入直接拼接到SQL语句中执行。14.B解析：ESP（封装安全载荷）提供加密（保密性）和认证。AH只提供认证。15.B解析：风险=资产×威胁×脆弱性。16.A解析：病毒寄生在宿主程序中。蠕虫是独立存在的。木马无自我复制能力。逻辑炸弹有触发条件。17.B解析：MAC（强制访问控制）基于安全标签。DAC基于身份。RBAC基于角色。18.B解析：HTTPS默认端口443。HTTP是80。19.B解析：MAC用于验证消息完整性和信源认证。20.D解析：物理硬件老化是自然损耗，不属于Hypervisor特有的安全风险。21.D解析：DES是对称加密算法。22.D解析：数字签名可以保证审计记录不被篡改，并提供不可否认性。23.A解析：时间戳或Nonce（随机数）用于防止重放攻击。24.A解析：输入验证和输出编码是防御XSS的核心手段。25.D解析：777权限意味着所有人可读写执行，这是极大的安全隐患，不是加固措施。26.A解析：发送方用接收方的公钥加密，只有接收方的私钥能解密。27.C解析：IPv6只是协议升级，配置不当依然会有安全问题，并未解决所有安全问题。28.D解析：PDCERF包括准备、检测、遏制、根除、恢复、跟踪。没有销毁。29.C解析：模幂运算使用快速幂算法（平方-乘）。30.B解析：ARP是地址解析协议，IP转MAC。31.B解析：防火墙是逻辑访问控制。门禁、围栏是物理访问控制。32.B解析：云模型中，底层的物理安全由云厂商负责，上层应用和数据由客户负责。33.C解析：差分和线性分析主要针对分组密码（如DES,AES）。34.C解析：代码审计针对源代码。35.B解析：证书绑定公钥和身份，由CA签名。36.C解析：WPA2使用CCMP（基于AES）。WEP和TKIP都不安全。37.B解析：漏洞扫描发现已知漏洞。38.C解析：固件病毒在BIOS/UEFI中，早于操作系统加载，常规杀毒难以清除。39.D解析：增量备份恢复时需要依次恢复全备+所有增量，速度较慢。差异备份只需全备+最近一个差异，速度较快。40.C解析：等保2.0三级要求安全管理中心实现三权分立（系统管理、审计管理、安全管理）。二、多项选择题41.ABC解析：CIA是Confidentiality,Integrity,Availability。42.ABCD解析：全都是常见攻击。43.ABC解析：防火墙可以是网络设备（边界、内部），也可以是主机软件（个人防火墙）。44.ABD解析：RSA是非对称。45.ABC解析：最小特权是原则，不是具体的机制实体（虽然机制体现该原则）。通常选ABC。46.ABC解析：HTTPS是HTTP+SSL/TLS，提供机密性和完整性，默认端口443。47.ABCD解析：完整性约束包括实体、参照、域（列约束）和用户定义完整性。48.ABC解析：特征码、启发式、行为监控都是检测技术。数字签名用于验证身份。49.ABCD解析：风险处理的四种方式。50.ABC解析：三要素：知识、拥有、特征。51.ABC解析：IPsec包含AH,ESP和密钥交换IKE。52.ABD解析：SSLVPN可以无客户端（通过浏览器），也可以有客户端。L2TP本身不加密，常配合IPsec。A、B、D正确。53.AB解析：RPO和RTO是容灾核心指标。54.ABCD解析：Web四大漏洞。55.ABCD解析：等保2.0物理环境要求。三、填空题56.应用(或7)57.ϕ58.访问控制策略59.网络诊断(或网络连通性测试)60.netstat(或ss)61.5662.Issuer(或颁发者)63.16164.IP欺骗(或IPSpoofing)65.证书撤销列表66.安全审计67.12868.DDoS(或拒绝服务)69.secpol.msc70.第三方(或KDC)四、简答题71.答：区别：对称加密使用同一个密钥进行加密和解密；非对称加密使用一对密钥（公钥和私钥），公钥加密私钥解密，或私钥加密公钥解密。对称加密优缺点：优点是算法简单、加解密速度快、适合处理大量数据；缺点是密钥分发和管理困难，缺乏不可抵赖性。非对称加密优缺点：优点是密钥管理方便（公钥公开）、安全性高、支持数字签名和密钥交换；缺点是算法复杂、加解密速度慢、不适合处理长数据。72.答：定义：SQL注入是指攻击者通过在Web表单输入、页面请求或查询字符串中插入恶意的SQL代码，欺骗后端服务器执行非授权的SQL命令，从而窃取数据、破坏数据或绕过认证。防御措施：1.使用预编译语句：将SQL语句结构与参数分离，防止输入被解释为代码。2.输入验证：对用户输入进行严格的类型、长度、格式检查。3.最小权限原则：限制数据库账户的权限，避免使用root或sa等高权限账户连接。4.使用ORM框架：框架通常内置了防注入机制。73.答：物理层：窃听、电磁干扰；安全措施：物理隔离、屏蔽。数据链路层：ARP欺骗、MAC泛洪；安全措施：端口安全、802.1x认证。网络层：IP欺骗、嗅探、DDoS；安全措施：IPsec、防火墙包过滤。传输层：端口扫描、TCP劫持；安全措施：SSL/TLS。应用层：各种应用漏洞（注入、XSS）；安全措施：应用层防火墙、代码审计。74.答：零信任架构的核心原则是“永不信任，始终验证”。具体包括：1.身份验证：对所有访问主体（用户、设备、应用）进行严格的身份认证和授权。2.最小权限访问：基于上下文（身份、设备健康度、时间、地点）动态授予访问权限，且仅授予所需的最小权限。3.假设被攻陷：不信任内网或外网的任何位置，假设网络总是充满威胁的。4.微隔离：将网络划分为小的逻辑区域，限制横向移动。5.实时监控：持续监控和评估安全状态。五、综合应用题75.答：(1)默认策略：拒绝所有（DenyAll）。即除非被规则明确允许，否则拒绝所有流量。(2)防火墙规则表：规则序号源地址目的地址服务/端口动作1AnyDMZ_Web_IPTC