中国信息安全研究院有限公司(电子六所)2026届校园招聘笔试历年常考点试题专练附带答案详解_第1页
中国信息安全研究院有限公司(电子六所)2026届校园招聘笔试历年常考点试题专练附带答案详解_第2页
中国信息安全研究院有限公司(电子六所)2026届校园招聘笔试历年常考点试题专练附带答案详解_第3页
中国信息安全研究院有限公司(电子六所)2026届校园招聘笔试历年常考点试题专练附带答案详解_第4页
中国信息安全研究院有限公司(电子六所)2026届校园招聘笔试历年常考点试题专练附带答案详解_第5页
已阅读5页,还剩23页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

中国信息安全研究院有限公司(电子六所)2026届校园招聘笔试历年常考点试题专练附带答案详解一、单项选择题下列各题只有一个正确答案,请选出最恰当的选项(共30题)1、根据《网络安全法》,网络运营者留存网络日志不少于几个月?

A.3个月B.6个月C.12个月D.24个月2、根据《网络安全法》,网络运营者留存网络日志不少于几个月?

A.3B.6C.12D.243、在对称加密算法中,以下哪项属于分组密码?

A.RSAB.AESC.ECCD.DSA4、SQL注入攻击主要利用了Web应用程序的什么缺陷?

A.输入验证不足B.会话管理错误C.跨站脚本D.文件上传漏洞5、下列哪种攻击方式属于被动攻击?

A.重放攻击B.流量分析C.篡改消息D.拒绝服务6、ISO/IEC27001标准主要关注的是?

A.信息技术安全性B.信息安全管理体系C.个人隐私保护D.云安全架构7、在PKI体系中,用于验证数字证书合法性的机构是?

A.RAB.CAC.KMCD.TSA8、下列哪项不属于访问控制模型?

A.DACB.MACC.RBACD.SSL9、DDoS攻击主要破坏了信息安全的哪个属性?

A.机密性B.完整性C.可用性D.不可否认性10、关于哈希函数特性,下列说法错误的是?

A.抗碰撞性B.单向性C.可逆性D.定长输出11、等级保护2.0中,第三级信息系统要求至少多久进行一次等级测评?

A.半年B.一年C.两年D.三年12、根据《网络安全法》,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。以下哪项不属于个人信息?

A.姓名

B.出生日期

C.身份证号

D.企业统一社会信用代码13、在OSI七层模型中,负责建立、管理和终止应用程序之间会话的是哪一层?

A.传输层

B.会话层

C.表示层

D.应用层14、下列哪种加密算法属于非对称加密算法?

A.AES

B.DES

C.RSA

D.SM415、关于SQL注入攻击,以下哪种防御措施最有效?

A.使用预编译语句(ParameterizedQueries)

B.过滤特殊字符

C.使用Web应用防火墙(WAF)

D.限制数据库权限16、在信息安全等级保护2.0标准中,第三级信息系统要求每年至少进行一次等级测评。以下哪项不属于等级保护的基本工作流程?

A.定级

B.备案

C.建设整改

D.风险评估17、下列哪项技术主要用于防止数据在传输过程中被篡改?

A.数据加密

B.数字签名

C.访问控制

D.数据备份18、关于DDoS(分布式拒绝服务)攻击,以下描述错误的是?

A.攻击者利用大量傀儡机发起请求

B.目的是耗尽目标资源使其无法服务

C.主要通过窃取用户数据获利

D.可采用流量清洗进行防御19、在Linux系统中,若要查看当前开放的网络端口及监听状态,应使用哪个命令?

A.ps-ef

B.netstat-anp

C.ls-l

D.chmod75520、下列哪项符合强密码策略的要求?

A.长度至少8位,包含大小写字母、数字和特殊字符

B.使用生日作为密码

C.所有系统使用同一密码

D.密码每五年更换一次21、关于零信任安全架构,以下核心理念描述正确的是?

A.内网是可信的,外网是不可信的

B.永不信任,始终验证

C.仅对管理员进行身份验证

D.依赖边界防火墙进行防护22、在OSI七层模型中,负责端到端可靠数据传输的是哪一层?

A.网络层B.传输层C.会话层D.应用层23、下列哪种加密算法属于非对称加密算法?

A.AESB.DESC.RSAD.SM424、关于SQL注入攻击,以下防御措施最有效的是?

A.过滤特殊字符B.使用预编译语句C.隐藏数据库版本D.限制输入长度25、在访问控制模型中,强制访问控制(MAC)主要依据什么决定访问权限?

A.用户身份B.安全标签C.角色分配D.自主策略26、下列哪项不属于网络安全中的“三要素”(CIA三元组)?

A.机密性B.完整性C.可用性D.不可否认性27、DDoS攻击的主要目的是破坏系统的什么特性?

A.机密性B.完整性C.可用性D.真实性28、数字签名的主要功能不包括以下哪项?

A.身份认证B.数据完整性校验C.不可否认性D.数据机密性29、在防火墙技术中,能够检测应用层协议内容的防火墙类型是?

A.包过滤防火墙B.状态检测防火墙C.应用代理防火墙D.电路级网关30、下列关于HTTPS协议的描述,正确的是?

A.默认端口为80B.仅使用对称加密C.基于SSL/TLS协议D.不需要证书二、多项选择题下列各题有多个正确答案,请选出所有正确选项(共15题)31、根据《网络安全法》,网络运营者应当履行的安全保护义务包括:

A.制定内部安全管理制度

B.采取防范计算机病毒的技术措施

C.监测、记录网络运行状态

D.留存网络日志不少于六个月32、以下属于对称加密算法的是:

A.RSA

B.AES

C.DES

D.ECC33、关于SQL注入攻击,下列说法正确的是:

A.通过构造恶意SQL语句欺骗数据库执行

B.主要发生在应用层

C.可以使用预编译语句进行有效防御

D.仅针对MySQL数据库有效34、信息安全的基本属性包括:

A.保密性

B.完整性

C.可用性

D.可控性35、下列哪些措施有助于防范钓鱼邮件攻击?

A.仔细检查发件人地址

B.不随意点击不明链接

C.安装并更新杀毒软件

D.对敏感信息进行二次确认36、关于防火墙的功能,下列说法正确的是:

A.可以隔离内部网和外部网

B.能够查杀所有病毒

C.可以实施访问控制策略

D.能够记录网络访问日志37、在等级保护2.0标准中,安全计算环境层面的技术要求包括:

A.身份鉴别

B.访问控制

C.安全审计

D.物理访问控制38、下列属于社会工程学攻击手段的是:

A.电话诈骗获取密码

B.尾随员工进入办公区

C.利用软件漏洞提权

D.伪造官方邮件诱导点击39、关于数字签名,下列说法正确的是:

A.使用发送方的私钥进行签名

B.使用发送方的公钥进行验证

C.能保证数据的机密性

D.能防止发送方抵赖40、应急响应流程通常包括哪些阶段?

A.准备

B.检测与分析

C.遏制与根除

D.恢复与总结41、根据《网络安全法》,网络运营者应当履行的安全保护义务包括哪些?

A.制定内部安全管理制度和操作规程

B.采取防范计算机病毒和网络攻击的技术措施

C.监测、记录网络运行状态和网络安全事件

D.采取数据分类、重要数据备份和加密等措施42、在密码学中,以下关于对称加密与非对称加密的描述,正确的有哪些?

A.对称加密算法的密钥管理相对复杂

B.RSA算法属于非对称加密算法

C.AES算法的加密速度通常快于RSA算法

D.非对称加密适合用于大数据量的直接加密43、下列哪些行为属于常见的Web应用安全漏洞攻击手段?

A.SQL注入

B.跨站脚本攻击(XSS)

C.跨站请求伪造(CSRF)

D.分布式拒绝服务攻击(DDoS)44、关于信息安全等级保护制度,以下说法正确的有哪些?

A.等级保护工作包括定级、备案、建设整改、等级测评和监督检查五个规定动作

B.第三级信息系统应当每年至少进行一次等级测评

C.所有信息系统都必须定为三级以上

D.运营使用单位是等级保护工作的责任主体45、在应急响应过程中,PDCERF模型包含哪些阶段?

A.准备(Preparation)

B.检测(Detection)

C.抑制(Containment)

D.根除(Eradication)三、判断题判断下列说法是否正确(共10题)46、在网络安全法中,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。这一说法是否正确?A.正确B.错误47、对称加密算法比非对称加密算法在密钥管理上更简单方便。这一说法是否正确?A.正确B.错误48、SQL注入攻击主要是通过利用Web应用程序对用户输入数据校验不足漏洞,将恶意SQL命令插入到输入字段中执行。这一说法是否正确?A.正确B.错误49、防火墙能够完全阻止所有类型的网络攻击包括内部发起的攻击和应用层攻击。这一说法是否正确?A.正确B.错误50、数字签名技术可以同时保证数据的完整性、真实性和不可否认性。这一说法是否正确?A.正确B.错误51、在等级保护2.0标准中,第三级信息系统要求每年至少进行一次等级测评。这一说法是否正确?A.正确B.错误52、DDoS攻击的主要目的是窃取目标服务器上的敏感数据。这一说法是否正确?A.正确B.错误53、HTTPS协议是在HTTP协议基础上加入了SSL/TLS协议用于实现加密传输身份认证和数据完整性保护。这一说法是否正确?A.正确B.错误54、社会工程学攻击主要依赖技术手段破解系统密码而非利用人的心理弱点。这一说法是否正确?A.正确B.错误55、备份数据只需存储在本地同一物理位置以便快速恢复无需考虑异地容灾。这一说法是否正确?A.正确B.错误

参考答案及解析1.【参考答案】B【解析】《中华人民共和国网络安全法》第二十一条明确规定,网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。这是合规审计与溯源取证的基础要求,也是各类信息安全考试的高频考点。2.【参考答案】B【解析】《中华人民共和国网络安全法》第二十一条明确规定,网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。这是合规审计与溯源取证的基础要求,也是各类信息安全考试的高频考点。3.【参考答案】B【解析】AES(高级加密标准)是典型的对称分组密码算法,数据被分成固定长度的块进行加密。RSA、ECC和DSA均属于非对称加密算法或数字签名算法,基于公钥基础设施,计算复杂度较高,通常用于密钥交换或身份认证,而非大量数据的高效加密。4.【参考答案】A【解析】SQL注入产生的根本原因是应用程序未对用户输入数据进行严格的过滤或转义,直接将用户输入拼接到SQL语句中执行。攻击者通过构造恶意输入改变原有SQL逻辑,从而获取数据库敏感信息。加强输入验证和使用预编译语句是主要防御手段。5.【参考答案】B【解析】被动攻击是指攻击者仅监听或监视数据传输而不修改数据内容,旨在获取信息。流量分析通过观察通信模式、频率等推断信息,属于典型被动攻击。重放、篡改和拒绝服务均涉及对数据的修改或系统可用性的破坏,属于主动攻击。6.【参考答案】B【解析】ISO/IEC27001是国际公认的信息安全管理体系(ISMS)标准,它提供了一套建立、实施、维护和持续改进信息安全管理的框架。它侧重于管理层面的风险控制与流程规范,而非单纯的技术指标,是企业构建安全合规体系的核心依据。7.【参考答案】B【解析】CA(证书授权中心)是PKI体系的核心,负责签发、管理和吊销数字证书,确保证书持有者身份的真实性。RA(注册机构)负责审核申请,KMC(密钥管理中心)管理密钥,TSA(时间戳权威)提供时间证明。只有CA具备签发和验证证书最终效力的权威。8.【参考答案】D【解析】DAC(自主访问控制)、MAC(强制访问控制)和RBAC(基于角色的访问控制)均为经典的访问控制模型,用于定义主体对客体的操作权限。SSL(安全套接层)是一种传输层安全协议,用于加密通信通道,保障数据传输机密性与完整性,不属于访问控制范畴。9.【参考答案】C【解析】分布式拒绝服务(DDoS)攻击通过海量请求耗尽目标系统资源(如带宽、CPU),导致合法用户无法访问服务。这直接破坏了系统的“可用性”。机密性涉及防泄露,完整性防篡改,不可否认性防抵赖,均非DDoS的主要攻击目标。10.【参考答案】C【解析】哈希函数具有单向性(不可逆)、抗碰撞性和定长输出等特性。由于它是多对一的映射且设计为不可逆,因此不具备“可逆性”,即无法从哈希值还原原始数据。这一特性使其广泛应用于密码存储和数据完整性校验,而非加密解密。11.【参考答案】B【解析】根据《信息安全技术网络安全等级保护基本要求》及相关管理规定,第三级及以上信息系统应当每年至少进行一次等级测评。二级系统建议每两年一次,四级系统每半年一次。定期测评旨在确保持续符合安全要求,及时发现并整改安全隐患。12.【参考答案】D【解析】个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息姓名、出生日期、身份证号均能直接识别特定自然人,属于个人信息。而企业统一社会信用代码是识别法人或非法人组织的代码,对应的是主体而非自然人,因此不属于个人信息范畴。本题考查对个人信息定义的法律界定,需区分自然人与法人主体的标识信息。13.【参考答案】B【解析】OSI七层模型从下到上依次为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。会话层的主要功能是建立、管理和终止应用程序之间的会话,协调通信双方的交互过程。传输层负责端到端的数据传输可靠性;表示层处理数据格式转换和加密;应用层直接为用户的应用进程提供服务。因此,负责会话管理的是会话层。本题考察对网络分层模型各层功能的准确记忆与区分。14.【参考答案】C【解析】加密算法分为对称加密和非对称加密。对称加密使用同一密钥进行加解密,如AES、DES和国产算法SM4,其特点是速度快但密钥分发困难。非对称加密使用公钥和私钥配对,公钥加密私钥解密或反之,如RSA、ECC和国产算法SM2。RSA基于大数分解难题,是典型的非对称加密算法,广泛用于数字签名和密钥交换。本题旨在考察对常见加密算法分类及其特性的掌握。15.【参考答案】A【解析】SQL注入是通过构造恶意输入改变SQL语句逻辑的攻击。预编译语句将SQL结构与数据分离,数据库先编译SQL模板,再绑定参数,从根本上杜绝了恶意代码被执行的可能,是最有效的防御手段。过滤特殊字符易被绕过;WAF可作为辅助防御但非根本解决;限制权限仅能减轻后果。因此,开发层面采用预编译语句是最佳实践。本题考察对Web安全漏洞原理及核心防御技术的理解。16.【参考答案】D【解析】网络安全等级保护的基本工作流程包括五个规定动作:定级、备案、建设整改、等级测评和监督检查。风险评估虽然是信息安全管理工作的重要组成部分,常用于辅助定级或日常安全管理,但它不是等保2.0规定的五个核心法定流程之一。本题考察对等保2.0合规流程的准确识记,需明确法定步骤与通用安全管理活动的区别。17.【参考答案】B【解析】数据完整性是指数据在传输或存储过程中未被未经授权地修改。数字签名利用哈希函数和非对称加密技术,发送方对数据摘要进行签名,接收方验证签名以确保数据完整性和来源真实性。数据加密主要保障机密性;访问控制保障授权访问;数据备份用于灾难恢复。因此,数字签名是防止篡改、确保完整性的关键技术。本题考察信息安全三大属性(机密性、完整性、可用性)对应的技术手段。18.【参考答案】C【解析】DDoS攻击的核心目的是通过海量请求耗尽目标的带宽、计算或连接资源,导致合法用户无法访问,即破坏可用性,而非直接窃取数据。A项描述了其分布式特征;B项是其攻击目的;D项流量清洗是常见防御手段,将恶意流量引流清洗后再回注。窃取数据通常属于APT或入侵攻击的目标。本题考察对DDoS攻击本质特征及防御措施的辨析。19.【参考答案】B【解析】netstat-anp命令用于显示网络连接、路由表和网络接口信息,其中-a显示所有连接和监听端口,-n以数字形式显示地址和端口,-p显示关联的进程ID,是排查端口占用和网络状态的常用工具。ps-ef用于查看进程;ls-l用于列出文件详情;chmod用于修改文件权限。本题考察Linux系统运维及安全排查的基础命令掌握情况。20.【参考答案】A【解析】强密码应具备足够复杂度以抵抗暴力破解和字典攻击。A项要求长度及字符种类混合,显著增加熵值,符合最佳实践。B项易被社会工程学猜测;C项一旦一处泄露则全线失守;D项更换周期过长,增加被破解风险,通常建议90天或更短。本题考察对用户身份认证中口令安全策略的理解与应用。21.【参考答案】B【解析】零信任架构打破了传统“内网可信、外网不可信”的边界思维,其核心原则是“永不信任,始终验证”(NeverTrust,AlwaysVerify)。无论访问请求来自内部还是外部,都必须经过严格的身份认证、授权和持续监控。A、D项是传统边界安全模型的特征;C项忽略了全员验证的需求。本题考察对现代网络安全架构演进及零信任核心理念的认知。22.【参考答案】B【解析】OSI模型中,传输层(TransportLayer)主要提供端到端的通信服务,确保数据完整、有序地传输。TCP协议即工作于此层,通过三次握手、滑动窗口等机制实现可靠性。网络层负责路由选择和数据包转发;会话层管理会话建立与终止;应用层直接为用户接口提供服务。因此,保障可靠传输的核心层级为传输层。23.【参考答案】C【解析】非对称加密使用公钥和私钥配对。RSA是典型的非对称算法,基于大数分解难题,常用于密钥交换和数字签名。AES、DES和SM4均为对称加密算法,加密和解密使用同一密钥,适用于大量数据的高效加密。在信息安全实践中,常结合使用对称与非对称算法以兼顾效率与安全。24.【参考答案】B【解析】SQL注入源于用户输入被当作代码执行。使用预编译语句(ParameterizedQueries)将SQL结构与数据分离,从根本上杜绝了注入可能。过滤特殊字符易被绕过;隐藏版本和限制长度仅增加攻击难度,无法根除漏洞。预编译是业界公认的最佳实践,能确保输入仅作为数据处理,不改变SQL逻辑结构。25.【参考答案】B【解析】强制访问控制(MAC)由系统强制实施,主体和客体均拥有安全标签(如机密、秘密)。访问决策基于标签的比较规则,用户无法自主更改。DAC基于用户身份自主授权;RBAC基于角色分配权限;ABAC基于属性。MAC常用于高安全等级环境,如军事系统,确保信息流向符合安全策略,防止敏感信息泄露。26.【参考答案】D【解析】信息安全核心三要素为机密性(Confidentiality)、完整性(Integrity)和可用性(Availability),简称CIA。机密性防止未授权访问;完整性防止数据篡改;可用性确保授权用户随时访问。不可否认性(Non-repudiation)是重要安全属性,用于防止行为抵赖,但不属于基础CIA三元组范畴,通常通过数字签名等技术实现。27.【参考答案】C【解析】分布式拒绝服务(DDoS)攻击通过海量请求淹没目标服务器或网络带宽,导致合法用户无法获得服务。其核心目标是破坏系统的可用性(Availability)。它通常不涉及数据窃取(机密性)或篡改(完整性),而是旨在使服务中断或性能严重下降,造成业务停摆,是常见的网络威胁之一。28.【参考答案】D【解析】数字签名利用私钥签名、公钥验证,主要实现身份认证(确认发送者)、数据完整性(检测篡改)和不可否认性(发送者无法抵赖)。它本身不提供数据机密性,因为签名过程通常对明文或哈希值操作,内容仍可见。若需保密,需结合加密技术(如先签名后加密)。因此,机密性不是数字签名的直接功能。29.【参考答案】C【解析】应用代理防火墙工作在OSI应用层,深入检查特定应用协议(如HTTP、FTP)的数据内容,能识别并阻止应用层攻击。包过滤和状态检测主要工作在网络层和传输层,关注IP、端口和连接状态,无法理解应用数据语义。电路级网关工作在会话层。因此,只有应用代理防火墙具备深度内容检测能力。30.【参考答案】C【解析】HTTPS是HTTPoverSSL/TLS,默认端口为443。它结合对称加密(传输数据)和非对称加密(交换密钥),并依赖数字证书验证服务器身份,防止中间人攻击。选项A错误,HTTP默认端口为80;选项B错误,混合使用加密方式;选项D错误,证书是信任基础。因此,基于SSL/TLS是其核心特征。31.【参考答案】ABCD【解析】《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。因此,ABCD均为正确选项。32.【参考答案】BC【解析】加密算法主要分为对称加密和非对称加密。对称加密是指加密和解密使用相同密钥的算法,常见的有DES、3DES、AES、RC4等。非对称加密是指加密和解密使用不同密钥(公钥和私钥)的算法,常见的有RSA、ECC(椭圆曲线密码)、DSA等。选项A的RSA和选项D的ECC均属于非对称加密算法。选项B的AES(高级加密标准)和选项C的DES(数据加密标准)均属于对称加密算法。因此,正确答案为BC。33.【参考答案】ABC【解析】SQL注入是一种常见的Web安全漏洞,攻击者通过在Web表单输入或URL参数中插入恶意SQL代码,欺骗后端数据库执行非授权操作,故A正确。它主要发生在应用层,利用应用程序对输入数据过滤不严的缺陷,故B正确。防御SQL注入最有效的方法之一是使用预编译语句(ParameterizedQueries),将代码与数据分离,故C正确。SQL注入并非仅针对MySQL,任何使用SQL语言的关系型数据库(如Oracle、SQLServer、PostgreSQL等)若存在输入验证漏洞,均可能受到攻击,故D错误。34.【参考答案】ABCD【解析】信息安全的基本属性通常被称为CIA三元组及其扩展。保密性(Confidentiality)确保信息不泄露给未授权用户;完整性(Integrity)确保信息在传输或存储过程中不被篡改;可用性(Availability)确保授权用户在需要时能访问信息。此外,在我国信息安全标准中,还常包括可控性(Controllability,对信息的传播及内容具有控制能力)和不可否认性(Non-repudiation,发送方不能否认已发送的信息)。因此,ABCD均属于信息安全的基本属性。35.【参考答案】ABCD【解析】钓鱼邮件旨在诱导用户泄露敏感信息或植入恶意软件。防范策略包括:1.仔细检查发件人地址,识别伪造域名或相似字符,A正确;2.不随意点击邮件中的不明链接或附件,避免跳转至恶意网站或下载木马,B正确;3.安装并及时更新杀毒软件和反垃圾邮件网关,拦截已知威胁,C正确;4.对于涉及转账、密码修改等敏感操作的邮件,应通过电话等其他渠道进行二次确认,D正确。综上,ABCD均为有效的防范措施。36.【参考答案】ACD【解析】防火墙是位于内部网和外部网之间的屏障,主要功能是依据预设的安全策略,对进出网络的数据流进行监控和过滤。A正确,防火墙能有效隔离内外网;C正确,它能实施基于IP、端口、协议等的访问控制;D正确,现代防火墙具备日志记录功能,用于审计和分析。B错误,传统防火墙主要工作在网络层和传输层,无法深入应用层内容查杀所有病毒,病毒查杀主要依靠防病毒软件或下一代防火墙中的应用层检测模块,但不能保证“所有”。37.【参考答案】ABC【解析】GB/T22239-2019《信息安全技术网络安全等级保护基本要求》将技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。安全计算环境主要针对服务器、终端等设备,包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性、保密性等。选项D“物理访问控制”属于“安全物理环境”层面的要求,而非计算环境。因此,正确答案为ABC。38.【参考答案】ABD【解析】社会工程学是利用人性弱点(如信任、贪婪、恐惧等)而非技术漏洞来获取敏感信息的攻击手段。A项通过电话欺骗获取密码,B项利用人的疏忽尾随进入受限区域,D项伪造邮件诱导用户操作,均属于典型的社会工程学攻击。C项“利用软件漏洞提权”属于纯粹的技术攻击手段,依赖于系统或软件的代码缺陷,不涉及对人的心理操纵,因此不属于社会工程学。故正确答案为ABD。39.【参考答案】ABD【解析】数字签名技术基于非对称加密体系。发送方使用自己的私钥对消息摘要进行加密生成签名,接收方使用发送方的公钥解密签名并比对摘要,以验证签名的真实性和数据的完整性。因此,A和B正确。数字签名主要提供完整性、身份认证和不可否认性(防抵赖),故D正确。但数字签名本身并不对原始数据进行加密,因此不能直接保证数据的机密性,若需机密性需结合加密技术。故C错误。40.【参考答案】ABCD【解析】网络安全应急响应通常遵循PDCERF模型或类似的生命周期,主要包括六个阶段:1.准备(Preparation),建立团队、工具和预案;2.检测(Detection),发现安全事件;3.抑制(Containment),限制事件影响范围;4.根除(Eradication),消除威胁根源;5.恢复(Recovery),恢复系统和业务正常运行;6.跟踪/总结(Follow-up),总结经验教训。选项中A对应准备,B对应检测与分析,C对应遏制与根除,D对应恢复与总结,涵盖了应急响应的主要环节。因此,ABCD均正确。41.【参考答案】ABCD【解析】《网络安全法》第二十一条明确规定,国家实行网络安全等级保护制度。网络运营者应当按照规定履行安全保护义务,包括制定内部安全管理制度、采取防范病毒和攻击的技术措施、监测记录网络运行状态、以及采取数据分类、备份和加密等措施。这四项均属于法定的基本安全义务,旨在保障网络免受干扰、破坏或未经授权的访问,防止数据泄露或被窃取、篡改。42.【参考答案】ABC【解析】对称加密使用同一密钥进行加解密,通信双方需安全交换密钥,因此密钥管理复杂(A正确)。RSA是典型的非对称加密算法(B正确)。由于非对称加密涉及复杂的数学运算,其计算量大、速度慢,而对称加密(如AES)效率高、速度快,适合大数据量加密(C正确,D错误)。实际应用中,常结合两者优势,用非对称加密传输对称密钥,再用对称加密传输数据。43.【参考答案】ABC【解析】SQL注入、XSS和CSRF均针对Web应用程序逻辑或代码缺陷进行攻击,属于OWASPTop10中常见的Web应用层漏洞。SQL注入通过操纵数据库查询获取敏感信息;XSS通过在页面注入恶意脚本窃取用户信息;CSRF诱导用户执行非意愿操作。虽然DDoS也是常见攻击,但它主要针对网络带宽或服务器资源,属于网络层或传输层的可用性攻击,而非典型的Web应用逻辑漏洞。44.【参考答案】ABD【解析】我国网络安全等级保护工作流程确实包含定级、备案、建设整改、等级测评和监督检查五个环节(A正确)。根据规定,第三级及以上信息系统应当每年至少进行一次等级测评(B正确)。信息系统的安全保护等级分为五级,并非所有系统都需定为三级以上,应根据业务重要性和受损后果合理定级(C错误)。网络运营者(运营使用单位)依法承担网络安全保护主体责任(D正确)。45.【参考答案】ABCD【解析】PDCERF是信息安全应急响应常用的六阶段模型,分别为:准备(Preparation)、检测(Detection)、抑制(Containment)、根除(Eradication)、恢复(Recovery)和跟踪(Follow-up)。选项A、B、C、D均属于该模型的前四个关键阶段。准备阶段旨在建立响应能力;检测阶段发现安全事件;抑制阶段限制事件扩散;根除阶段消除威胁源。这四个阶段构成了应急响应的核心处理流程。46.【参考答案】A【解析】根据《中华人民共和国网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。同时,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。这是网络运营者的基本法律义务旨在保护公民个人隐私和数据安全。47.【参考答案】B【解析】对称加密使用同一把密钥进行加密和解密,通信双方必须安全地共享该密钥。随着用户数量增加,密钥数量呈指数级增长(n(n-1)/2),导致密钥分发和管理极其困难且存在安全风险。而非对称加密使用公钥和私钥配对,公钥可公开,私由用户秘密保存,无需通过不安全信道传输秘密密钥,因此在大规模网络环境中,非对称加密的密钥管理相对更简便和安全。48.【参考答案】A【解析】SQL注入是一种常见的Web安全漏洞。当应用程序未对用户输入进行充分过滤或参数化查询时,攻击者可以在输入框中构造特殊的SQL语句

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论