信息安全工程師筆試試題一、單項(xiàng)選擇題（每題2分，共20分）在ISO/IEC27001:2022信息安全管理體系標(biāo)準(zhǔn)中，風(fēng)險(xiǎn)評(píng)估流程的最后一個(gè)步驟是（）。A.風(fēng)險(xiǎn)分析B.風(fēng)險(xiǎn)評(píng)價(jià)C.風(fēng)險(xiǎn)處理D.風(fēng)險(xiǎn)監(jiān)控與評(píng)審依據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)至少（）進(jìn)行一次檢測(cè)評(píng)估，并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。A.每季度B.每半年C.每年D.每?jī)赡晗铝心姆N加密算法不屬于對(duì)稱加密算法（）。A.AESB.DESC.RSAD.3DES在OWASPTop102021中，敏感數(shù)據(jù)暴露屬于第（）大安全風(fēng)險(xiǎn)。A.2B.3C.4D.5數(shù)字證書的核心是（）。A.公鑰B.私鑰C.證書序列號(hào)D.證書頒發(fā)者依據(jù)《數(shù)據(jù)安全法》，國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，按照數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行（）保護(hù)。A.分級(jí)B.分類C.分類分級(jí)D.以上都不對(duì)以下關(guān)于**入侵檢測(cè)系統(tǒng)（IDS）**和入侵防御系統(tǒng)（IPS）的說法，正確的是（）。A.IDS能主動(dòng)防御攻擊B.IPS只能檢測(cè)攻擊C.IDS部署在網(wǎng)絡(luò)入口，IPS部署在內(nèi)部網(wǎng)絡(luò)D.IPS能實(shí)時(shí)阻斷攻擊安全審計(jì)的主要目的是（）。A.發(fā)現(xiàn)系統(tǒng)漏洞B.對(duì)用戶行為進(jìn)行監(jiān)控C.評(píng)估系統(tǒng)安全性D.以上都是在云計(jì)算安全中，以下哪項(xiàng)屬于基礎(chǔ)設(shè)施即服務(wù)（IaaS）的安全責(zé)任范疇（）。A.操作系統(tǒng)安全B.應(yīng)用程序安全C.數(shù)據(jù)安全D.物理服務(wù)器安全下列哪種攻擊方式不屬于**拒絕服務(wù)攻擊（DoS）**的變種（）。A.DDoSB.Smurf攻擊C.SQL注入攻擊D.UDPFlood攻擊二、多項(xiàng)選擇題（每題3分，共30分。少選得1分，錯(cuò)選、多選不得分）信息安全的“CIA”三要素是指（）。A.保密性B.完整性C.可用性D.可控性依據(jù)《個(gè)人信息保護(hù)法》，處理個(gè)人信息應(yīng)當(dāng)遵循的原則包括（）。A.合法、正當(dāng)、必要原則B.公開、透明原則C.目的明確、最小必要原則D.確保安全原則以下哪些屬于密碼學(xué)中的哈希函數(shù)特性（）。A.單向性B.抗碰撞性C.固定長(zhǎng)度輸出D.原像不可逆性網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中，信息系統(tǒng)的安全保護(hù)等級(jí)分為（）。A.第一級(jí)B.第二級(jí)C.第三級(jí)D.第四級(jí)E.第五級(jí)常見的數(shù)據(jù)備份策略有（）。A.全量備份B.增量備份C.差異備份D.按需備份以下哪些是防火墻的主要功能（）。A.訪問控制B.地址轉(zhuǎn)換C.入侵檢測(cè)D.內(nèi)容過濾在身份認(rèn)證中，常用的雙因素認(rèn)證方式有（）。A.密碼+驗(yàn)證碼B.指紋+密碼C.U盾+密碼D.人臉識(shí)別+密碼關(guān)于虛擬專用網(wǎng)絡(luò)（VPN），以下說法正確的是（）。A.可以實(shí)現(xiàn)遠(yuǎn)程安全訪問B.基于公用網(wǎng)絡(luò)構(gòu)建專用網(wǎng)絡(luò)C.采用加密技術(shù)保障數(shù)據(jù)安全D.能完全替代防火墻依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)履行的安全保護(hù)義務(wù)包括（）。A.設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人B.對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份C.制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案D.定期開展網(wǎng)絡(luò)安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估以下哪些屬于安全漏洞掃描工具（）。A.NessusB.OpenVASC.NmapD.BurpSuite三、判斷題（每題2分，共20分）數(shù)字簽名技術(shù)可以保證數(shù)據(jù)的保密性、完整性和不可否認(rèn)性。（）《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度。（）對(duì)稱加密算法的加密和解密密鑰相同，因此安全性不如非對(duì)稱加密算法。（）入侵檢測(cè)系統(tǒng)只能檢測(cè)已知的攻擊行為，無法檢測(cè)未知攻擊。（）在數(shù)據(jù)脫敏過程中，對(duì)于敏感數(shù)據(jù)的處理可以采用替換、屏蔽、加密等方式。（）安全漏洞一旦被發(fā)現(xiàn)，就必須立即修復(fù)，否則會(huì)造成嚴(yán)重后果。（）網(wǎng)絡(luò)安全等級(jí)保護(hù)的對(duì)象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)平臺(tái)等。（）哈希函數(shù)的輸出長(zhǎng)度是固定的，無論輸入數(shù)據(jù)的長(zhǎng)度是多少。（）云計(jì)算環(huán)境下，用戶不需要關(guān)注物理服務(wù)器的安全，全部由云服務(wù)提供商負(fù)責(zé)。（）依據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)處理者應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度，采取相應(yīng)的技術(shù)措施和管理措施，保障數(shù)據(jù)安全。（）四、填空題（每題2分，共10分）在信息安全管理體系中，風(fēng)險(xiǎn)處理的方式包括風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)轉(zhuǎn)移和______?！秱€(gè)人信息保護(hù)法》規(guī)定，個(gè)人信息處理者處理不滿______周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。數(shù)字證書的有效期一般由______設(shè)定，過期后需要重新申請(qǐng)或更新。在防火墻策略配置中，默認(rèn)規(guī)則通常是______所有流量，除非有明確的允許規(guī)則。安全審計(jì)日志應(yīng)至少保存______年，以滿足合規(guī)和追溯要求。五、簡(jiǎn)答題（每題10分，共20分）請(qǐng)簡(jiǎn)述網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的核心內(nèi)容和實(shí)施流程。結(jié)合《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，闡述數(shù)據(jù)安全與個(gè)人信息保護(hù)的主要措施。信息安全工程師筆試試題答案一、單項(xiàng)選擇題D2.C3.C4.C5.A6.C7.D8.D9.D10.C二、多項(xiàng)選擇題ABC2.ABCD3.ABCD4.ABCDE5.ABC6.ABD7.ABCD8.ABC9.ABCD10.AB三、判斷題×2.√3.×4.×5.√6.×7.√8.√9.×10.√四、填空題風(fēng)險(xiǎn)接受2.十四3.證書頒發(fā)機(jī)構(gòu)4.拒絕5.六五、簡(jiǎn)答題網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的核心內(nèi)容：網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0是一套網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)體系，將網(wǎng)絡(luò)和信息系統(tǒng)按照重要性和受破壞后的危害性分成五個(gè)安全保護(hù)等級(jí)（一級(jí)到五級(jí)）。其核心強(qiáng)調(diào)主動(dòng)防御，從被動(dòng)防護(hù)轉(zhuǎn)變?yōu)槭虑?、事中、事后的全過程動(dòng)態(tài)防護(hù)。涵蓋技術(shù)和管理兩大層面的安全要求，包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全等技術(shù)層面，以及安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等管理層面。實(shí)施流程：①定級(jí)：運(yùn)營(yíng)使用單位依據(jù)相關(guān)標(biāo)準(zhǔn)確定信息系統(tǒng)的安全保護(hù)等級(jí)，組織專家評(píng)審、主管部門審核，并向公安機(jī)關(guān)備案。②備案：將定級(jí)結(jié)果提交至公安機(jī)關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門進(jìn)行備案，提交相關(guān)材料。③安全建設(shè)整改：按照對(duì)應(yīng)等級(jí)的安全要求，開展安全技術(shù)措施和安全管理措施的建設(shè)和整改，如部署防火墻、入侵檢測(cè)系統(tǒng)，完善安全管理制度等。④等級(jí)測(cè)評(píng)：聘請(qǐng)具備資質(zhì)的測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)，檢查系統(tǒng)是否滿足對(duì)應(yīng)等級(jí)的安全要求，出具測(cè)評(píng)報(bào)告。⑤監(jiān)督檢查：公安機(jī)關(guān)等監(jiān)管部門對(duì)備案和測(cè)評(píng)后的信息系統(tǒng)進(jìn)行監(jiān)督檢查，確保系統(tǒng)持續(xù)符合等級(jí)保護(hù)要求。數(shù)據(jù)安全主要措施：①分類分級(jí)保護(hù)：按照《數(shù)據(jù)安全法》，對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，根據(jù)數(shù)據(jù)重要程度和危害程度采取不同保護(hù)措施。②建立數(shù)據(jù)安全管理制度：數(shù)據(jù)處理者需建立健全數(shù)據(jù)安全管理制度，明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。③數(shù)據(jù)加密：對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸，防止數(shù)據(jù)泄露和被非法獲取。④數(shù)據(jù)備份與恢復(fù)：定期進(jìn)行數(shù)據(jù)備份，制定恢復(fù)策略和方案，確保數(shù)據(jù)丟失或損壞時(shí)能及時(shí)恢復(fù)。⑤風(fēng)險(xiǎn)監(jiān)測(cè)與評(píng)估：開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)和評(píng)估，及時(shí)發(fā)現(xiàn)和處理安全隱患，定期報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。個(gè)人信息保護(hù)主要措施：①合法、正當(dāng)、必要原則：處理個(gè)人信息應(yīng)遵循合法、正當(dāng)、必要原則，不得過度處理，目的明確且最小必要。②告知同意：處理個(gè)人信息前應(yīng)向個(gè)人告知相關(guān)事項(xiàng)，如處理目的、方式、范圍等，并取得個(gè)人同意，特定情形下可無需同意。③匿名化處理：在