2025年计算机三级信息安全技术考试题库及答案

2025年计算机三级信息安全技术考试题库及答案一、单项选择题（每题2分，共40分）1.信息安全的核心目标不包括以下哪项？A.保密性（Confidentiality）B.完整性（Integrity）C.可用性（Availability）D.不可抵赖性（Non-repudiation）答案：D2.以下哪种加密算法属于对称加密？A.RSAB.ECC（椭圆曲线加密）C.AESD.MD5答案：C3.在TCP/IP协议栈中，用于检测网络攻击的入侵检测系统（IDS）通常部署在哪个层次？A.应用层B.传输层C.网络层D.数据链路层答案：C4.以下哪种攻击方式利用了操作系统的漏洞，通过发送特定格式的数据包导致系统崩溃？A.SQL注入B.缓冲区溢出C.跨站脚本（XSS）D.钓鱼攻击答案：B5.依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），第三级信息系统的安全保护对象是？A.一般信息系统B.涉及国家安全、社会秩序、公共利益的信息系统C.国家关键信息基础设施D.个人或企业内部非敏感信息系统答案：B6.以下哪项是哈希函数的主要特性？A.可逆性B.抗碰撞性C.密钥依赖性D.加密速度快答案：B7.防火墙的“状态检测”功能主要用于？A.记录所有网络连接日志B.检查数据包的源IP和目的IPC.跟踪同一连接的后续数据包D.过滤特定端口的流量答案：C8.以下哪种身份认证方式属于“你知道什么”的验证类型？A.指纹识别B.智能卡C.动态令牌D.密码答案：D9.在数据库安全中，“脏读”指的是？A.读取未提交的事务数据B.读取被篡改的数据C.读取已删除的数据D.读取加密后的数据答案：A10.以下哪项是零信任架构（ZeroTrust）的核心原则？A.网络边界防御B.最小化攻击面C.信任所有内部用户D.仅验证设备不验证用户答案：B11.针对Web应用的CSRF（跨站请求伪造）攻击，最有效的防护措施是？A.输入验证B.会话管理C.添加CSRF令牌D.启用HTTPS答案：C12.以下哪种病毒通过移动存储设备传播，无需用户主动执行？A.蠕虫（Worm）B.木马（Trojan）C.宏病毒（MacroVirus）D.勒索软件（Ransomware）答案：A13.依据《个人信息保护法》，处理敏感个人信息时，除取得同意外还需满足的条件是？A.明确告知处理目的B.提供匿名化处理结果C.具有特定的目的和充分的必要性D.经第三方机构审核答案：C14.在IPv6网络中，防范邻居发现协议（NDP）欺骗攻击的主要措施是？A.启用DHCPv6B.静态绑定邻居表C.关闭ICMPv6协议D.部署入侵防御系统（IPS）答案：B15.以下哪项是数字签名的主要作用？A.加密数据内容B.验证数据来源和完整性C.提高传输速度D.隐藏发送者身份答案：B16.操作系统的访问控制模型中，Biba模型主要用于保障？A.保密性B.完整性C.可用性D.不可抵赖性答案：B17.以下哪种漏洞扫描工具适用于检测Web应用的SQL注入漏洞？A.NessusB.OpenVASC.BurpSuiteD.Wireshark答案：C18.在量子计算威胁下，传统RSA加密算法的安全性基于的数学难题是？A.离散对数问题B.大整数分解问题C.椭圆曲线离散对数问题D.背包问题答案：B19.物联网（IoT）设备的典型安全风险不包括？A.弱密码默认配置B.固件更新不及时C.高计算资源消耗D.缺乏安全通信协议答案：C20.以下哪项是安全审计的主要目的？A.提高系统性能B.验证安全控制措施的有效性C.加密存储数据D.防止数据泄露答案：B二、填空题（每题2分，共20分）1.信息安全的三要素是保密性、完整性和__________。答案：可用性2.AES加密算法的分组长度是__________位，密钥长度支持128、192、256位。答案：1283.网络钓鱼攻击的常见手段包括仿冒__________、诱导用户点击恶意链接等。答案：合法网站4.操作系统的访问控制机制中，DAC（自主访问控制）的权限由__________自主分配。答案：资源拥有者5.数据库的事务特性（ACID）包括原子性、一致性、隔离性和__________。答案：持久性6.SSL/TLS协议的握手过程中，客户端和服务器通过交换__________来协商加密算法和密钥。答案：随机数7.依据《网络安全法》，网络运营者应当制定__________，及时处置系统漏洞、计算机病毒等安全风险。答案：网络安全事件应急预案8.无线局域网（WLAN）中，WPA3协议相比WPA2增强了对__________攻击的防护能力。答案：暴力破解9.云计算环境中，“数据驻留地”问题主要涉及__________和数据主权合规要求。答案：隐私保护10.工业控制系统（ICS）的典型安全防护措施包括物理隔离、协议白名单和__________。答案：深度防御三、简答题（每题6分，共36分）1.简述最小权限原则（PrincipleofLeastPrivilege）的核心内容及其在信息安全中的作用。答案：最小权限原则要求用户或进程仅获得完成任务所需的最小权限集合。作用包括：限制潜在攻击的影响范围，减少权限滥用风险，降低系统因权限过高导致的漏洞利用可能性，提升整体安全性。2.比较对称加密算法与非对称加密算法的优缺点。答案：对称加密优点：加密/解密速度快，适合大数据量加密；缺点：密钥管理复杂（需安全传输共享密钥）。非对称加密优点：密钥分发方便（公钥可公开），支持数字签名；缺点：计算复杂度高，适合小数据量加密或密钥交换。3.列举三种常见的DDoS攻击类型，并说明防御DDoS的主要措施。答案：常见类型：ICMP洪水攻击（利用大量ICMP请求）、SYN洪水攻击（伪造TCP连接请求）、UDP洪水攻击（发送大量UDP数据包）。防御措施：流量清洗（通过专用设备过滤异常流量）、限速与配额（限制单IP流量）、黑洞路由（将攻击流量引向无效地址）、使用CDN分担流量。4.说明操作系统安全加固的主要步骤。答案：步骤包括：关闭不必要的服务和端口（减少攻击面）；安装最新安全补丁（修复已知漏洞）；配置访问控制（如设置强密码策略、用户权限最小化）；启用审计日志（记录关键操作）；安装杀毒软件和防火墙（实时监控威胁）；禁用默认账户（如guest账户）。5.解释Web应用中XSS（跨站脚本）攻击的原理，并给出两种防护措施。答案：原理：攻击者向Web页面注入恶意脚本（如JavaScript），当其他用户访问该页面时，脚本在用户浏览器中执行，窃取会话cookie或其他敏感信息。防护措施：对用户输入进行转义（如将<、>转换为HTML实体）；设置HttpOnly属性限制JavaScript访问cookie；使用内容安全策略（CSP）限制脚本来源。6.简述数据脱敏（DataMasking）的常见技术及其应用场景。答案：常见技术：替换（用特定字符替换敏感数据，如将身份证号后四位替换为）、混淆（随机修改部分数据，如将手机号中间四位随机打乱）、加密（对敏感字段进行加密存储）、截断（保留部分数据，如仅显示银行卡前四位和后四位）。应用场景：测试环境数据保护（避免使用真实用户数据）、对外共享数据（如提供统计报表时隐藏个人信息）、合规要求（符合GDPR、《个人信息保护法》等法规）。四、综合题（每题12分，共24分）1.某企业计划部署一套基于零信任架构的内部网络系统，需满足“持续验证、最小权限、动态访问控制”的要求。请设计该系统的核心组件及部署方案。答案：核心组件包括：（1）身份认证中心（IAM）：集成多因素认证（MFA），支持用户名/密码+短信验证码/硬件令牌；（2）设备可信度评估模块：检测终端是否安装最新补丁、杀毒软件是否启用、是否为企业注册设备；（3）策略引擎：根据用户身份、设备状态、访问时间、访问位置动态提供访问策略（如财务人员仅在办公时间通过公司内网访问财务系统）；（4）微隔离控制器：将网络划分为多个安全域，限制跨域流量（如开发服务器与生产服务器隔离）；（5）持续监控与分析平台：实时收集日志，检测异常行为（如非工作时间的高权限操作）。部署方案：①首先对现有资产进行梳理，明确关键系统（如ERP、CRM）的访问需求；②部署集中式IAM系统，替换原有的静态账号体系；③在边界路由器和核心交换机上启用微隔离策略，限制默认全连接；④对终端设备进行基线配置（如强制安装端点检测响应工具EDR）；⑤建立策略迭代机制，每季度根据威胁情报更新访问规则（如发现新型勒索软件后，限制外部IP访问文件服务器）。2.某电商平台近期频繁发生用户信息泄露事件，经调查发现存在以下问题：用户注册时密码存储为明文、数据库未启用访问控制、Web应用存在SQL注入漏洞。请提出针对性的整改方案，并说明依据的相关法规或标准。答案：整改方案：（1）密码存储：将明文密码改为加盐哈希存储（如使用PBKDF2或bcrypt算法），盐值随机提供并与哈希值分开存储，依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）中“身份鉴别”要求。（2）数据库访问控制：启用基于角色的访问控制（RBAC），为开发、运维、业务人员分配不同权限（如开发人员仅能查询测试库，运维人员仅能修改结构，业务人员仅能读取用户基本信息），依据《数据库管理系统安全技术要求》（GB/T