2026四川融信泰网络安全技术有限公司招聘6人笔试历年难易错考点试卷带答案解析

2026四川融信泰网络安全技术有限公司招聘6人笔试历年难易错考点试卷带答案解析一、单项选择题下列各题只有一个正确答案，请选出最恰当的选项（共30题）1、在网络安全应急响应流程中，首要步骤通常是？

A.根除

B.抑制

C.检测与确认

D.恢复2、下列哪种攻击方式主要通过伪造源IP地址来隐藏身份或发起DDoS攻击？

A.SQL注入

B.IP欺骗

C.跨站脚本

D.缓冲区溢出3、在对称加密算法中，以下哪项描述是正确的？

A.加密和解密使用不同的密钥

B.密钥分发困难，但计算效率高

C.适合用于数字签名

D.典型代表包括RSA和ECC4、防火墙的主要功能是？

A.查杀计算机病毒

B.隔离内部网络与外部不可信网络

C.加密传输的数据

D.备份系统数据5、OSI七层模型中，TCP协议工作在？

A.网络层

B.传输层

C.会话层

D.表示层6、下列关于哈希函数特性的说法，错误的是？

A.雪崩效应

B.抗碰撞性

C.可逆性

D.定长输出7、在Web安全中，CSRF攻击的全称是？

A.跨站脚本攻击

B.跨站请求伪造

C.分布式拒绝服务

D.缓存侧信道攻击8、下列哪个端口通常用于HTTPS安全通信？

A.80

B.443

C.21

D.229、NIST网络安全框架中，五个核心职能顺序正确的是？

A.识别、保护、检测、响应、恢复

B.保护、识别、检测、恢复、响应

C.检测、响应、识别、保护、恢复

D.识别、检测、保护、响应、恢复10、社会工程学攻击中，攻击者冒充IT支持人员索要密码，属于？

A.鱼叉式钓鱼

B.诱饵攻击

C.尾随进入

D.电话钓鱼（Vishing）或伪装11、在网络安全领域，CIA三要素是信息安全的核心基石。其中，“C”代表机密性（Confidentiality），“I”代表完整性（Integrity）。请问“I”主要防止的是哪种安全威胁？

A.数据被未授权访问

B.数据在传输或存储过程中被非法篡改

C.系统服务中断导致无法使用

D.用户否认曾经执行过某项操作12、某公司网络频繁遭受外部攻击，管理员发现大量来自不同IP地址的流量试图同时连接服务器的80端口，导致服务器资源耗尽无法正常响应合法请求。这种攻击方式最可能属于？

A.SQL注入攻击

B.缓冲区溢出攻击

C.DDoS分布式拒绝服务攻击

D.中间人攻击13、在密码学中，RSA算法属于哪一类加密技术？

A.对称加密

B.非对称加密

C.哈希算法

D.序列密码14、OSI七层模型中，负责端到端可靠数据传输、流量控制和错误恢复的层次是？

A.网络层

B.传输层

C.会话层

D.应用层15、防火墙工作在OSI模型的哪几层？

A.仅物理层

B.仅网络层

C.网络层及以上（含传输层、应用层等）

D.仅应用层16、在Linux系统中，为了增强安全性，最小权限原则建议普通用户不应拥有哪些权限？

A.读取自己的文件

B.执行自己编写的脚本

C.root超级用户权限

D.查看系统日志17、以下哪种协议用于安全地远程登录Linux服务器？

A.Telnet

B.FTP

C.SSH

D.HTTP18、在Web安全中，XSS（跨站脚本攻击）的主要危害是什么？

A.窃取用户Cookie或会话令牌

B.直接修改服务器数据库结构

C.阻断服务器网络连接

D.暴力破解管理员密码19、PKI（公钥基础设施）的核心组件不包括以下哪项？

A.CA（证书授权中心）

B.RA（注册机构）

C.CRL（证书吊销列表）

D.DNS（域名系统）20、某员工收到一封邮件，发件人显示为公司CEO，要求立即转账至指定账户，否则将开除该员工。经核实，发件邮箱后缀与公司域名不符。这属于哪种社会工程学攻击？

A.鱼叉式钓鱼

B.商业电子邮件欺诈（BEC）

C.尾随进入

D.垃圾桶挖掘21、在网络安全渗透测试中，以下哪种技术主要用于发现Web应用程序中的SQL注入漏洞？

A.端口扫描

B.模糊测试（Fuzzing）

C.浏览器指纹识别

D.DNS嗅探22、下列哪种加密算法属于非对称加密？

A.AES

B.DES

C.RSA

D.RC423、OSI参考模型中，负责端到端可靠传输的层是：

A.网络层

B.传输层

C.会话层

D.应用层24、防火墙的主要功能是：

A.防止病毒入侵

B.隔离内部网与外部网，控制访问

C.数据备份

D.用户身份认证25、以下哪项不是常见的社会工程学攻击手段？

A.钓鱼邮件

B.pretexting（pretexting）

C.暴力破解

D.尾随进入26、在Linux系统中，修改文件权限的命令是：

A.chown

B.chmod

C.chgrp

D.ls-l27、HTTPS协议使用的默认端口号是：

A.80

B.21

C.443

D.2228、以下哪个哈希算法输出长度固定为128位？

A.MD5

B.SHA-1

C.SHA-256

D.SHA-51229、WAF的全称及其主要作用是：

A.WebApplicationFirewall，防御Web应用攻击

B.WirelessAccessFramework，无线接入框架

C.WideAreaFirewall，广域网防火墙

D.WebAutomationFunction，网页自动化功能30、在风险评估中，风险值的计算公式通常为：

A.风险=可能性×影响程度

B.风险=威胁+脆弱性

C.风险=资产价值×暴露因子

D.风险=安全措施成本-损失避免二、多项选择题下列各题有多个正确答案，请选出所有正确选项（共15题）31、在网络安全技术体系中，以下属于主动防御技术的有？

A.入侵检测系统（IDS）

B.防火墙

C.漏洞扫描

D.蜜罐技术32、关于SQL注入攻击，下列说法正确的有？

A.攻击者通过在输入字段中插入恶意SQL代码来操纵后端数据库

B.仅使用HTTPS加密传输可以完全防止SQL注入

C.使用参数化查询是有效的防御手段之一

D.对输入数据进行严格的类型检查和长度限制有助于缓解风险33、以下哪些属于社会工程学攻击的常见形式？

A.鱼叉式钓鱼邮件

B.电话诈骗诱导提供密码

C.物理闯入办公室窃取信息

D.利用零日漏洞远程控制系统34、在数据加密算法中，非对称加密的特点包括？

A.使用公钥和私钥配对

B.加密和解密使用相同密钥

C.适合用于数字签名和密钥交换

D.计算速度通常比对称加密慢35、下列哪些措施可以有效提升Web应用的安全性？

A.实施最小权限原则

B.定期更新服务器操作系统及中间件补丁

C.隐藏服务器版本信息以减少指纹识别

D.在前端JavaScript中存储用户敏感密码36、关于网络安全等级保护制度，以下说法正确的有？

A.等保2.0标准适用于云计算、大数据等新领域

B.信息系统安全保护等级分为一至五级

C.定级备案是等保建设的第一阶段工作

D.只有国家机关才需要遵循等保要求37、以下属于常见的Web攻击方式的有？

A.Cross-SiteScripting(XSS)

B.DistributedDenialofService(DDoS)

C.SQLInjection

D.Man-in-the-MiddleAttack(MITM)38、在应急响应流程中，以下环节正确的顺序包括？

A.准备->检测与分析->遏制->根除->恢复->总结

B.检测->遏制->准备->根除->恢复->总结

C.准备阶段需制定应急预案并培训人员

D.根除阶段需彻底移除攻击者留下的后门39、关于密码学中的哈希函数，以下特性正确的有？

A.单向性：难以从哈希值反推原始数据

B.抗碰撞性：很难找到两个不同的输入产生相同的哈希值

C.固定长度输出：无论输入多长，输出长度一致

D.可逆性：可以通过特定算法还原原始明文40、在内网安全建设中，以下策略有效的有？

A.网络区域隔离，划分DMZ、办公区、生产区

B.部署终端安全管理软件，管控USB接口

C.对所有内网主机开放最高权限账户以便维护

D.实施内部流量审计，记录异常行为41、在网络安全渗透测试中，以下哪些行为属于合法的授权测试范畴？

A.获得客户书面授权后进行的漏洞扫描

B.未经授权对目标系统进行端口探测

C.在约定时间窗口内进行的压力测试

D.绕过防火墙窃取用户数据42、以下关于HTTPS协议的说法，正确的有哪些？

A.HTTPS是HTTP的安全版本

B.HTTPS默认使用443端口

C.HTTPS仅加密传输数据，不验证服务器身份

D.HTTPS依赖SSL/TLS协议实现加密43、在SQL注入攻击中，以下哪些手段可能被攻击者利用？

A.使用注释符屏蔽后续查询语句

B.构造特殊的布尔逻辑条件

C.直接修改数据库文件权限

D.利用报错信息获取数据库结构44、以下哪些措施可以有效防范XSS（跨站脚本攻击）？

A.对用户输入进行HTML实体编码

B.设置Cookie为HttpOnly属性

C.使用内容安全策略（CSP）

D.禁用JavaScript功能45、关于对称加密与非对称加密，下列说法正确的有哪些？

A.对称加密速度通常快于非对称加密

B.非对称加密使用公钥和私钥配对

C.对称加密存在密钥分发难题

D.非对称加密不适合加密大量数据三、判断题判断下列说法是否正确（共10题）46、网络安全技术中，SQL注入攻击主要利用的是Web应用程序对用户输入数据验证不严的缺陷，而非数据库本身的漏洞。请判断该说法是否正确？A.正确B.错误47、对称加密算法（如AES）与非对称加密算法（如RSA）相比，其最大的优势在于密钥管理简单且加解密速度快，适合处理大量数据的加密需求。请判断该说法是否正确？A.正确B.错误48、在网络安全等级保护制度中，第三级信息系统每年至少需要进行一次全面的安全测评，以确保符合相应的安全要求。请判断该说法是否正确？A.正确B.错误49、哈希函数（HashFunction）具有不可逆性，这意味着如果已知一个文件的哈希值，攻击者无法通过该值反推出原始文件内容。请判断该说法是否正确？A.正确B.错误50、在Web安全中，跨站脚本攻击（XSS）的主要危害是导致用户浏览器执行恶意脚本，从而窃取Cookie、会话令牌或诱导用户执行非预期操作，而非直接破坏服务器数据库。请判断该说法是否正确？A.正确B.错误51、零信任架构（ZeroTrust）的核心理念是“从不信任，始终验证”，这意味着即使请求来自内部网络，也必须经过严格的身份认证和授权检查。请判断该说法是否正确？A.正确B.错误52、勒索病毒（Ransomware）感染后，唯一有效的恢复手段是支付赎金给攻击者以获取解密密钥，因为现代加密算法无法被破解。请判断该说法是否正确？A.正确B.错误53、SSL/TLS协议主要用于保障数据传输的安全性，其中TLS1.2是目前广泛推荐且默认启用的版本，相较于SSL3.0，它消除了已知的主要安全漏洞。请判断该说法是否正确？A.正确B.错误54、在网络安全技术中，对称加密算法（如AES）的密钥管理比非对称加密（如RSA）更复杂且难以分发。A.正确B.错误55、SQL注入攻击的本质是将恶意SQL命令插入到Web表单输入或页面请求的查询字符串中，从而欺骗服务器执行非授权的数据库操作。A.正确B.错误

参考答案及解析1.【参考答案】C【解析】网络安全应急响应通常遵循PDCERF模型，即准备、检测、抑制、根除、恢复、跟踪。虽然“准备”是基础，但在实际发生安全事件后的处置流程中，第一步必须是“检测与确认”，即发现异常并确认为真实的安全事件，避免误报造成资源浪费。只有在确认事件后，才能进行后续的抑制（防止扩散）、根除（彻底清除威胁）和恢复。因此，检测与确认是应对阶段的首要步骤。选项A、B、D均发生在确认之后。此题考查对标准应急响应流程逻辑顺序的理解，混淆项常将“抑制”视为第一动作，实则需先确证。2.【参考答案】B【解析】IP欺骗（IPSpoofing）是指攻击者创建一个看似来自其他主机的IP数据包，以隐藏其真实来源或模仿合法用户。这常用于拒绝服务攻击（DoS/DDoS），使防御方难以追踪攻击源或实施基于IP的访问控制。SQL注入针对数据库应用逻辑；跨站脚本（XSS）针对Web前端用户会话；缓冲区溢出利用程序内存管理缺陷。本题核心在于识别“伪造源IP”这一特征，对应即为IP欺骗技术，是网络层常见的隐蔽与攻击手段。3.【参考答案】B【解析】对称加密的特点是加密和解密使用同一把密钥（选项A错误）。由于其算法相对简单，加解密速度极快，适合处理大量数据（选项B正确）。然而，多用户间安全共享密钥较为困难，即密钥分发问题。数字签名和非对称需求通常使用公钥密码体系（选项C错误）。RSA和ECC属于非对称加密算法的代表（选项D错误）。因此，对称加密的核心优势在于效率，劣势在于密钥管理。4.【参考答案】B【解析】防火墙是一种位于内部网络与外部网络之间的网络安全系统，主要依据预设规则监控和控制进出网络的数据流，起到隔离和保护作用。杀毒软件负责查杀病毒（选项A错误）；SSL/TLS等协议负责数据加密（选项C错误）；备份系统负责数据保护（选项D错误）。防火墙不直接处理文件内容的恶意代码检测，也不具备数据存储功能。其核心价值在于构建安全边界，实施访问控制策略。5.【参考答案】B【解析】OSI参考模型分为七层：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。TCP（传输控制协议）和UDP（用户数据报协议）均工作在传输层，负责端到端的数据传输服务。IP协议工作在网络层。会话层管理对话，表示层处理数据格式，应用层提供用户接口。本题考查基础网络模型知识，需明确各层主要协议归属，TCP作为可靠传输协议，典型归属于传输层。6.【参考答案】C【解析】哈希函数（如SHA-256）具有单向性，即从摘要无法反推原始数据，因此不具备可逆性（选项C错误）。其他特性包括：雪崩效应（输入微小变化导致输出巨大差异）、抗碰撞性（难以找到两个不同输入产生相同输出）以及定长输出（无论输入多长，输出长度固定）。哈希常用于完整性校验和密码存储。若认为哈希可逆，则混淆了加密算法与哈希函数的本质区别，加密旨在可解密，哈希旨在不可逆摘要。7.【参考答案】B【解析】CSRF（Cross-SiteRequestForgery）意为跨站请求伪造，指攻击者诱导已登录用户执行非本意操作。选项A是XSS（Cross-SiteScripting）；选项C是DDoS（DistributedDenialofService）；选项D并非标准缩写。CSRF利用的是用户对网站的信任，通过伪造请求提交。区分CSRF与XSS的关键在于：XSS是利用脚本窃取信息或篡改页面，而CSRF是借用用户权限发起请求。8.【参考答案】B【解析】HTTP默认使用80端口，HTTPS（HTTPSecure）在TLS/SSL之上运行，默认使用443端口。21端口用于FTP（文件传输协议），22端口用于SSH（安全外壳协议）。本题考查常见网络服务的默认端口号记忆。在实际应用中，识别端口有助于判断服务类型及潜在安全风险，如开放80/443端口通常意味着Web服务存在。9.【参考答案】A【解析】美国国家标准与技术研究院（NIST）发布的《网络安全框架》（CSF）定义了五个核心职能：Identify（识别）、Protect（保护）、Detect（检测）、Respond（响应）、Recover（恢复）。这一循环流程构成了持续改进的网络安全管理体系。选项A顺序完全符合NISTCSF标准定义。其他选项打乱了逻辑顺序，如未识别风险就无法有效保护，未检测便无法及时响应。掌握此框架有助于企业建立系统化的安全治理结构。10.【参考答案】D【解析】题目描述的情境中，攻击者通过直接沟通（可能是电话或面对面）冒充可信角色（IT支持）来获取敏感信息（密码）。这属于典型的社会工程学手段。虽然鱼叉式钓鱼也涉及伪装，但通常指针对性邮件；诱饵攻击利用物理或数字诱饵；尾随是物理入侵。此处最贴切的分类是基于沟通渠道的伪装攻击，常归类为Vishing（电话钓鱼）或直接的社会工程欺骗。关键在于利用人性弱点而非技术漏洞。11.【参考答案】B【解析】CIA三要素中，机密性确保信息不泄露给未授权者；完整性（Integrity）确保数据在存储或传输过程中未被未经授权地更改、破坏或丢失，保持数据的真实性和一致性；可用性（Availability）确保授权用户在需要时能访问信息。选项A对应机密性，选项C对应可用性，选项D对应不可否认性。因此，完整性主要防止的是数据被非法篡改。本题考察基础概念辨析，易混淆点在于将“篡改”与“窃取”或“中断”区分开来。12.【参考答案】C【解析】题干描述的特征是“大量不同IP”、“同时连接”、“资源耗尽”、“无法响应合法请求”，这是典型的分布式拒绝服务（DDoS）攻击特征。SQL注入是通过输入恶意SQL代码欺骗数据库；缓冲区溢出是利用程序缺陷覆盖内存；中间人攻击是拦截并篡改通信双方数据。DDoS旨在通过海量流量淹没目标，使其服务不可用。考生需根据“资源耗尽”和“多源IP”这两个关键点快速识别。13.【参考答案】B【解析】RSA是一种基于大数因子分解困难性的公钥加密算法，属于非对称加密。它使用一对密钥：公钥用于加密，私钥用于解密。对称加密（如AES）加解密使用同一密钥；哈希算法（如SHA-256）用于生成摘要，不可逆；序列密码是对称加密的一种特殊形式。RSA广泛应用于数字签名和密钥交换，是网络安全考试中的高频考点，务必区分对称与非对称的本质差异。14.【参考答案】B【解析】OSI模型中，传输层（TransportLayer）的主要功能是提供可靠的端到端数据传输服务，包括分段、流量控制、差错控制和连接管理。网络层负责路由选择和逻辑寻址；会话层建立和管理会话；应用层直接为用户应用程序提供服务。TCP协议位于传输层，提供可靠传输；UDP位于传输层但不可靠。考生应重点记忆各层核心职责，特别是传输层的“端到端”特性。15.【参考答案】C【解析】传统包过滤防火墙工作在网络层，基于IP地址和端口号进行过滤；状态检测防火墙结合传输层信息；应用层防火墙（代理防火墙）深入应用层协议内容进行分析。现代下一代防火墙（NGFW）通常具备多层检测能力，涵盖网络层、传输层甚至应用层。因此，防火墙并非局限于单一层级，而是根据类型不同工作在相应层级，广义上涵盖网络层及以上。此题考察对防火墙技术演进的理解，避免片面认为防火墙只在网络层工作。16.【参考答案】C【解析】最小权限原则（PrincipleofLeastPrivilege）要求用户仅拥有完成工作所必需的最小权限。root权限拥有系统最高控制权，一旦泄露危害极大。普通用户只需读写个人文件、执行授权脚本及查看公开日志即可满足日常需求。赋予普通用户root权限违背安全原则，容易导致误操作或被提权攻击。此题强调安全运维的基本理念，即权限隔离与最小化分配。17.【参考答案】C【解析】SSH（SecureShell）是专为远程登录会话和其他网络服务提供的安全协议，采用加密传输，防止窃听和中间人攻击。Telnet是明文传输，极易被截获密码；FTP用于文件传输，也有明文版本；HTTP用于网页浏览。在网络安全考试中，区分明文协议（Telnet/FTP/HTTP）与安全协议（SSH/SFTP/HTTPS）是基本考点，务必牢记SSH是替代Telnet的标准安全方案。18.【参考答案】A【解析】XSS攻击通过将恶意脚本注入到网页中，当其他用户浏览该页面时，脚本会在其浏览器中执行。其主要目的是窃取用户的敏感信息，如Cookie、SessionID等，进而冒充用户身份。修改数据库结构通常是SQL注入的后果；阻断网络是DDoS的效果；暴力破解是密码猜测手段。考生需明确XSS针对的是“客户端”脚本执行，核心风险在于身份盗用和信息泄露。19.【参考答案】D【解析】PKI体系主要包括CA（签发和管理数字证书）、RA（验证用户身份并协助CA工作）、CRL（列出已吊销的证书）以及证书库等。DNS是用于将域名解析为IP地址的基础设施，虽然SSL/TLS证书常绑定域名，但DNS本身不属于PKI的构成部分。此题考察PKI架构组成，需清晰界定证书管理体系与网络解析体系的界限，避免概念混淆。20.【参考答案】B【解析】商业电子邮件欺诈（BusinessEmailCompromise,BEC）是指攻击者伪装成公司领导或合作伙伴，通过电子邮件诱导员工进行资金转账或泄露敏感信息。虽然鱼叉式钓鱼也针对特定个人，但BEC特指涉及商业利益、模仿高层权威的场景。尾随进入是物理入侵，垃圾桶挖掘是信息搜集。本题关键在于识别“冒充高管”+“要求转账”的典型BEC特征，提醒员工核实身份的重要性。21.【参考答案】B【解析】模糊测试通过向目标输入大量随机或半随机的数据，观察系统反应以发现潜在漏洞，是检测SQL注入的有效手段。端口扫描用于发现开放端口和服务；浏览器指纹识别用于追踪用户；DNS嗅探用于监听域名解析请求。因此选B。22.【参考答案】C【解析】RSA是一种广泛使用的非对称加密算法，使用公钥和私钥进行加解密。AES、DES和RC4均属于对称加密算法，加密和解密使用相同的密钥。因此选C。23.【参考答案】B【解析】传输层（第四层）提供端到端的通信服务，确保数据的完整性和顺序，如TCP协议。网络层负责路由选择，会话层管理会话，应用层处理特定应用程序细节。因此选B。24.【参考答案】B【解析】防火墙是一种网络安全系统，监控和控制进出网络的数据流，基于预设规则允许或阻止流量。虽然部分下一代防火墙具备防病毒功能，但其核心作用是访问控制。数据备份和用户认证由其他专门工具完成。因此选B。25.【参考答案】C【解析】暴力破解是通过尝试大量密码组合来破解凭证的技术手段，属于技术攻击而非社会工程学。社会工程学利用人性弱点，如钓鱼（伪装求助）、pretexting（编造借口）和尾随（物理进入）。因此选C。26.【参考答案】B【解析】chmod（changemode）用于更改文件或目录的访问权限。chown改变所有者，chgrp改变组，ls-l列出详细信息但不修改权限。因此选B。27.【参考答案】C【解析】HTTP默认使用80端口，FTP使用21端口，SSH使用22端口，而HTTPS（HTTPSecure）默认使用443端口进行加密通信。因此选C。28.【参考答案】A【解析】MD5生成128位（16字节）的哈希值。SHA-1生成160位，SHA-256生成256位，SHA-512生成512位。尽管MD5已不安全，但其输出长度特征符合题意。因此选A。29.【参考答案】A【解析】WAF即Web应用防火墙，专门用于过滤、监控和阻断HTTP流量，保护Web应用免受SQL注入、XSS等攻击。其他选项均为干扰项。因此选A。30.【参考答案】A【解析】通用的风险评估模型通常将风险定义为威胁利用脆弱性的可能性与该事件造成影响的乘积。虽然不同标准表述略有差异，但“可能性×影响”是最核心的量化逻辑。因此选A。31.【参考答案】ACD【解析】主动防御强调在攻击发生前或进行中主动发现并阻断威胁。漏洞扫描通过模拟攻击发现系统弱点；蜜罐技术通过部署诱饵吸引攻击者以分析其行为；入侵检测系统实时监控流量并识别异常模式。防火墙主要作为边界访问控制设备，侧重于被动过滤，通常归类为基础防护而非典型的主动探测性防御技术，但在广义安全架构中常与主动防御配合使用。本题核心在于区分“监测/探测”与“过滤”。ACD更符合主动发现特征。32.【参考答案】ACD【解析】SQL注入是利用应用程序未对用户输入进行充分验证，将恶意代码作为命令发送给数据库执行。HTTPS仅保护传输层安全，无法阻止应用层逻辑漏洞。参数化查询通过分离代码和数据，从根本上杜绝了SQL注入。严格的输入验证（如类型、长度、白名单）能过滤非法字符，显著降低注入风险。因此，ACD为正确描述，B错误。33.【参考答案】ABC【解析】社会工程学攻击旨在利用人性弱点（如好奇、恐惧、信任）而非技术漏洞来获取信息或权限。鱼叉式钓鱼针对特定目标发送伪装邮件；电话诈骗直接与人交互诱导泄露信息；物理闯入利用人员疏忽获取实体访问权。零日漏洞利用属于纯技术手段，不涉及心理操纵，故D不属于社会工程学。34.【参考答案】ACD【解析】非对称加密使用一对密钥：公钥公开，私钥保密。公钥加密的数据只能用私钥解密，反之亦然。由于其复杂的数学运算（如大数分解），其加解密速度远慢于对称加密，因此不适合大量数据直接加密，但非常适合身份认证、数字签名和小量数据（如会话密钥）的安全交换。B描述的是对称加密特征。35.【参考答案】ABC【解析】最小权限原则限制用户和服务组件的访问范围，降低受损影响。及时打补丁修复已知漏洞是关键。隐藏版本信息增加攻击者难度。前端存储密码极其危险，因为前端代码对客户可见，极易被窃取，密码应仅在服务端哈希存储。因此，ABC为正确安全措施，D为严重错误做法。36.【参考答案】ABC【解析】等保2.0扩展了适用范围，涵盖云计算、移动互联、物联网等。等级确实分为一级到五级，级别越高要求越严。工作流程通常包括定级、备案、建设整改、等级测评和监督检查。所有涉及网络运营的组织和个人均需遵守，并非仅限国家机关。因此，ABC正确，D错误。37.【参考答案】ABCD【解析】XSS通过在网页注入脚本窃取用户Cookie；DDoS通过海量请求耗尽服务器资源；SQL注入操控数据库；MITM在通信过程中拦截或篡改数据。这四种均为网络安全领域中典型且高频的攻击向量，分别对应应用层、基础设施层和网络传输层的安全威胁。38.【参考答案】ACD【解析】标准的应急响应生命周期（如NIST或PDCERF模型）通常顺序为：准备（Preparation）、检测与分析（Detection&Analysis）、遏制（Containment）、根除（Eradication）、恢复（Recovery）、总结（LessonsLearned）。B项顺序错误。准备阶段确实包含预案制定和演练；根除阶段必须清除恶意软件、关闭漏洞端口等，防止复发。故ACD正确。39.【参考答案】ABC【解析】哈希函数是将任意长度消息压缩为固定长度摘要的算法。其核心特性包括单向性（不可逆）、抗弱碰撞性（给定H(x)难找y使H(y)=H(x)）和抗强碰撞性（难找x,y使H(x)=H(y)）。输出长度固定是其基本特征。D项描述错误，哈希函数设计初衷即为不可逆，若可逆则失去哈希意义。40.【参考答案】ABD【解析】网络隔离可限制横向移动风险。终端管控防止数据泄露和病毒引入。内部流量审计有助于事后追溯和事前预警。C项开放最高权限极大增加内网被控风险，违背最小权限原则，是严重错误做法。因此，ABD为有效且推荐的安全加固策略。41.【参考答案】AC【解析】合法授权测试的核心在于“授权”与“范围”。A项获得书面授权且进行漏洞扫描符合规范；C项在约定时间内进行压力测试属于计划内的测试活动。B项未经授权即属非法入侵，违反《网络安全法》；D项窃取数据严重侵犯隐私与财产安全，无论是否有其他授权，该行为本身违法。只有基于明确授权、在既定范围内进行的测试才是合规的。42.【参考答案】ABD【解析】HTTPS（HyperTextTransferProtocolSecure）确实是HTTP的安全升级版，A正确；其默认通信端口为443，B正确；它通过SSL/TLS协议层实现加密和完整性校验，D正确。C项错误，因为HTTPS不仅加密数据，还通过数字证书机制验证服务器身份，防止中间人攻击，确保通信双方的可信性。43.【参考答案】ABD【解析】SQL注入是利用输入字段未过滤导致恶意SQL代码执行的技术。A项通过注释符（如--或#）消除原有查询逻辑，是常见手法；B项通过返回真假结果差异判断注入点，即盲注技术；D项利用数据库报错反馈推断表名、字段名，也是常用技巧。C项修改文件权限属于系统提权或文件系统操作，不属于SQL注入本身的直接技术手段，而是注入成功后的后续行为。44.【参考答案】ABC【解析】防范XSS需从输入输出两端及浏览器环境入手。A项对输入输出进行编码可防止脚本注入执行；B项设置HttpOnly可防止JS读取Cookie，降低会话劫持风险；C项CSP限制页面加载外部资源，有效遏制恶意脚本执行。D项完全禁用JavaScript虽能防XSS但会破坏正常Web功能，不具备实用性，故不选。45.【参考答案】ABCD【解析】对称加密（如AES）加解密速度快，效率高，适合大数据量，但双方需共享同一密钥，存在密钥分发和管理难题，A、C正确。非对称加密（如RSA）使用公钥加密、私钥解密，解决了密钥分发问题，B正确。但其计算复杂度高，速度慢，通常只用于加密小数据（如会话密钥）或数字签名，不适合直接加密大文件，D正确。46.【参考答案】A【解析】正确。SQL注入并非数据库系统固有的软件缺陷，而是应用层的安全问题。攻击者通过在输入字段中插入恶意的SQL命令片段，欺骗后端数据库执行非预期的操作。其根源在于开发人员未对输入数据进行严格的过滤、类型检查或使用参数化查询（PreparedStatements）。因此，修复措施主要集中在代码层面的输入验证和安全编码规范上，而非修补数据库软件本身。这强调了“安全左移”在开发生命周期中的重要性。47.【参考答案】A【解析】正确。对称加密使用相同的密钥进行加密和解密，计算开销小，加解密速度远快于非对称加密，因此适用于大数据量的文件加密或通信传输。然而，其主要难点在于密钥的分发与管理，因为通信双方必须安全地共享同一把密钥。非对称加密虽然解决了密钥分发问题（使用公钥加密、私钥解密），但计算复杂度高、速度慢，通常用于密钥交换或数字签名。实际系统中常结合两者优势，即混合加密体制。48.【参考答案】A【解析】正确。根据《信息安全技术网络安全等级保护基本要求》（GB/T22239），等级保护第三级及以上的系统属于重要系统。相关规定明确要求，第三级信息系统应当每年至少进行一次等级测评。这是为了及时发现系统在运行过程中出现的新漏洞、配置错误或管理疏漏，确保持续满足安全防护要求。相比之下，第二级系统通常建议每两年进行一次测评，而第一级则主要依靠自查。定期测评是合规运营的关键环节。49.【参考答案】A【解析】正确。哈希函数将任意长度的输入映射为固定长度