2025計算機基礎(chǔ)理論信息安全基本知識試題及答案一、單項選擇題（每題2分，共30分）1.以下哪種加密算法屬于對稱加密？A.RSAB.AESC.ECCD.橢圓曲線加密答案：B解析：對稱加密使用相同的密鑰進行加密和解密，AES（高級加密標(biāo)準(zhǔn)）是典型的對稱加密算法，密鑰長度可選128、192、256位。RSA、ECC（橢圓曲線加密）屬于非對稱加密，使用公鑰和私鑰對。2.哈希函數(shù)的主要特性不包括？A.單向性B.抗碰撞性C.可逆性D.固定輸出長度答案：C解析：哈希函數(shù)是單向的，無法從哈希值逆向推導(dǎo)出原始數(shù)據(jù)；抗碰撞性指難以找到兩個不同輸入產(chǎn)生相同哈希值；固定輸出長度（如SHA-256輸出256位）是其基本特性。可逆性是加密算法的特性，而非哈希函數(shù)。3.以下哪種攻擊屬于應(yīng)用層攻擊？A.ARP欺騙B.SYN洪水C.SQL注入D.ICMP泛洪答案：C解析：SQL注入發(fā)生在應(yīng)用層（如Web應(yīng)用），通過輸入惡意SQL代碼攻擊數(shù)據(jù)庫。ARP欺騙（鏈路層）、SYN洪水（傳輸層）、ICMP泛洪（網(wǎng)絡(luò)層）分別對應(yīng)不同層級的攻擊。4.數(shù)字簽名的核心目的是？A.數(shù)據(jù)加密B.身份認(rèn)證和防抵賴C.提高傳輸速度D.壓縮數(shù)據(jù)答案：B解析：數(shù)字簽名使用私鑰簽名、公鑰驗證，可確認(rèn)發(fā)送方身份（認(rèn)證）并防止發(fā)送方否認(rèn)（防抵賴）。數(shù)據(jù)加密通常由對稱或非對稱加密實現(xiàn)，與簽名無關(guān)。5.以下哪項是TLS協(xié)議的作用？A.保證物理層線路安全B.實現(xiàn)網(wǎng)絡(luò)層地址轉(zhuǎn)換C.在傳輸層建立安全通信通道D.管理IP地址分配答案：C解析：TLS（傳輸層安全協(xié)議）工作在傳輸層與應(yīng)用層之間，為HTTP等應(yīng)用層協(xié)議提供加密、認(rèn)證和完整性保護，典型應(yīng)用是HTTPS。6.緩沖區(qū)溢出攻擊的原理是？A.向程序分配的內(nèi)存區(qū)域?qū)懭氤銎淙萘康臄?shù)據(jù)，覆蓋關(guān)鍵指令B.通過病毒感染操作系統(tǒng)內(nèi)核C.利用數(shù)據(jù)庫查詢語句漏洞D.偽造IP地址發(fā)送大量請求答案：A解析：緩沖區(qū)溢出攻擊通過向程序緩沖區(qū)寫入過量數(shù)據(jù)，覆蓋棧或堆中的返回地址、函數(shù)指針等，導(dǎo)致程序執(zhí)行惡意代碼。7.以下哪種訪問控制模型中，用戶權(quán)限由系統(tǒng)管理員統(tǒng)一分配？A.自主訪問控制（DAC）B.強制訪問控制（MAC）C.基于角色的訪問控制（RBAC）D.基于屬性的訪問控制（ABAC）答案：B解析：MAC中，系統(tǒng)根據(jù)安全標(biāo)簽（如密級）強制分配權(quán)限，管理員統(tǒng)一管理；DAC允許用戶自主分配權(quán)限（如文件所有者設(shè)置權(quán)限）；RBAC根據(jù)角色分配權(quán)限；ABAC根據(jù)用戶屬性（如部門、職位）動態(tài)授權(quán)。8.以下哪項是常見的漏洞掃描工具？A.WiresharkB.NessusC.SnortD.Nmap答案：B解析：Nessus是專業(yè)漏洞掃描工具，可檢測系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全漏洞。Wireshark是抓包分析工具，Snort是入侵檢測系統(tǒng)（IDS），Nmap是網(wǎng)絡(luò)掃描工具（主要用于端口掃描）。9.以下哪種加密算法已被證明存在安全缺陷，不建議使用？A.AES-256B.SHA-256C.DESD.RSA-2048答案：C解析：DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）密鑰長度僅56位，已被暴力破解；AES-256是當(dāng)前主流對稱加密算法；SHA-256是安全哈希算法；RSA-2048在當(dāng)前計算能力下仍安全。10.防止XSS攻擊的關(guān)鍵措施是？A.關(guān)閉防火墻B.對用戶輸入進行轉(zhuǎn)義或編碼C.增大服務(wù)器帶寬D.定期重啟Web服務(wù)器答案：B解析：XSS（跨站腳本攻擊）通過向網(wǎng)頁注入惡意腳本實現(xiàn)，對用戶輸入（如表單提交）進行HTML編碼、JavaScript轉(zhuǎn)義等可防止腳本執(zhí)行。11.以下哪項是PKI（公鑰基礎(chǔ)設(shè)施）的核心組件？A.防火墻B.證書頒發(fā)機構(gòu)（CA）C.入侵防御系統(tǒng)（IPS）D.虛擬專用網(wǎng)（VPN）答案：B解析：PKI的核心是CA，負(fù)責(zé)頒發(fā)、管理數(shù)字證書，確保公鑰的真實性。其他選項是網(wǎng)絡(luò)安全設(shè)備，與PKI無直接關(guān)聯(lián)。12.以下哪種攻擊利用了操作系統(tǒng)的權(quán)限管理漏洞？A.DDoS攻擊B.權(quán)限提升（PrivilegeEscalation）C.社會工程學(xué)攻擊D.域名劫持答案：B解析：權(quán)限提升攻擊通過漏洞將普通用戶權(quán)限提升至管理員權(quán)限，直接利用系統(tǒng)權(quán)限管理缺陷。13.數(shù)據(jù)脫敏技術(shù)的主要目的是？A.提高數(shù)據(jù)傳輸速度B.保護敏感信息（如身份證號、手機號）C.壓縮數(shù)據(jù)存儲空間D.增強數(shù)據(jù)加密強度答案：B解析：數(shù)據(jù)脫敏通過替換、變形等方式隱藏敏感信息（如將處理為“1385678”），防止未授權(quán)訪問時泄露隱私。14.以下哪項是網(wǎng)絡(luò)安全模型PDRR的組成部分？A.防護（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）B.加密（Encryption）、認(rèn)證（Authentication）、授權(quán)（Authorization）、審計（Audit）C.掃描（Scan）、評估（Evaluate）、修復(fù)（Fix）、驗證（Verify）D.監(jiān)控（Monitor）、阻斷（Block）、日志（Log）、報告（Report）答案：A解析：PDRR模型是經(jīng)典的網(wǎng)絡(luò)安全動態(tài)模型，包括防護（預(yù)防攻擊）、檢測（發(fā)現(xiàn)攻擊）、響應(yīng)（處理攻擊）、恢復(fù)（系統(tǒng)修復(fù)）四個階段。15.以下哪種協(xié)議用于安全地遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備？A.FTPB.TelnetC.SSHD.HTTP答案：C解析：SSH（安全外殼協(xié)議）通過加密傳輸數(shù)據(jù)，替代明文傳輸?shù)腡elnet，用于安全遠(yuǎn)程登錄和命令執(zhí)行。FTP、HTTP均為明文協(xié)議（FTP的擴展SFTP基于SSH）。二、填空題（每空2分，共20分）1.對稱加密算法AES的密鑰長度可以是128位、192位或______位。答案：2562.非對稱加密中，公鑰用于______，私鑰用于______（填寫“加密”或“解密”）。答案：加密；解密（或簽名；驗證，需根據(jù)上下文，但此處默認(rèn)公鑰加密、私鑰解密）3.常見的拒絕服務(wù)攻擊（DoS）包括SYN洪水、ICMP泛洪和______（舉一例）。答案：UDP洪水（或DNS放大攻擊、HTTP洪水等）4.訪問控制的三要素是主體、客體和______。答案：權(quán)限5.數(shù)字證書的內(nèi)容通常包括用戶公鑰、證書有效期、______（CA的簽名）等。答案：頒發(fā)機構(gòu)（CA）的數(shù)字簽名6.網(wǎng)絡(luò)層的安全協(xié)議IPSec支持兩種模式：傳輸模式和______模式。答案：隧道7.漏洞生命周期包括漏洞發(fā)現(xiàn)、漏洞驗證、______、漏洞修復(fù)和漏洞公告。答案：漏洞利用（或漏洞上報）8.數(shù)據(jù)完整性校驗常用的技術(shù)是______（如SHA-256）。答案：哈希函數(shù)9.社會工程學(xué)攻擊的常見手段包括釣魚郵件、______（舉一例）和假冒技術(shù)支持。答案：電話詐騙（或水坑攻擊、偽裝身份請求密碼等）10.操作系統(tǒng)安全的核心機制包括權(quán)限管理、______（如SELinux）和日志審計。答案：強制訪問控制（或安全增強模塊）三、簡答題（每題8分，共40分）1.簡述對稱加密與非對稱加密的區(qū)別，并各舉一例說明其應(yīng)用場景。答案：對稱加密使用相同密鑰進行加密和解密（如AES），優(yōu)點是計算速度快，適合大數(shù)據(jù)加密；缺點是密鑰分發(fā)困難（需安全通道傳輸），典型應(yīng)用為數(shù)據(jù)庫加密存儲。非對稱加密使用公鑰（公開）和私鑰（保密）對（如RSA），公鑰加密、私鑰解密（或私鑰簽名、公鑰驗證），解決了密鑰分發(fā)問題；缺點是計算復(fù)雜度高，適合小數(shù)據(jù)加密（如加密對稱密鑰）或數(shù)字簽名（如HTTPS證書驗證）。2.描述TCP/IP協(xié)議棧中各層面臨的主要安全威脅（至少四層）。答案：-物理層：線路竊聽、物理破壞（如剪斷光纖）；-鏈路層：ARP欺騙（偽造MAC地址）、MAC泛洪（耗盡交換機緩存）；-網(wǎng)絡(luò)層：IP欺騙（偽造源IP）、ICMP重定向攻擊、路由劫持；-傳輸層：SYN洪水（TCP連接耗盡）、端口掃描、會話劫持；-應(yīng)用層：SQL注入（Web應(yīng)用）、XSS（跨站腳本）、惡意軟件（如勒索軟件）。3.分析XSS攻擊的原理，并列出三種防御措施。答案：原理：攻擊者向Web頁面注入惡意腳本（如JavaScript），當(dāng)其他用戶訪問該頁面時，腳本在其瀏覽器中執(zhí)行，竊取Cookie、會話信息或重定向頁面。防御措施：①輸入過濾：對用戶輸入的特殊字符（如<、>、script標(biāo)簽）進行轉(zhuǎn)義（如轉(zhuǎn)換為HTML實體）；②輸出編碼：在頁面輸出用戶輸入時，使用安全編碼（如HTML編碼、URL編碼）；③啟用CSP（內(nèi)容安全策略）：限制腳本來源，僅允許信任的域加載腳本；④使用HttpOnly屬性：設(shè)置Cookie為HttpOnly，防止JavaScript讀取。4.說明PKI（公鑰基礎(chǔ)設(shè)施）的組成及核心作用。答案：組成：①CA（證書頒發(fā)機構(gòu)）：負(fù)責(zé)頒發(fā)、撤銷數(shù)字證書；②RA（注冊機構(gòu)）：驗證用戶身份，協(xié)助CA審核；③證書庫：存儲已頒發(fā)的數(shù)字證書，供公眾查詢；④CRL（證書撤銷列表）：記錄已失效的證書，用于驗證證書有效性。核心作用：通過數(shù)字證書綁定用戶身份與公鑰，解決公鑰的信任問題，支持安全的身份認(rèn)證（如HTTPS服務(wù)器身份驗證）、數(shù)據(jù)加密（公鑰加密）和數(shù)字簽名（私鑰簽名）。5.比較防火墻的三種主要類型（包過濾、狀態(tài)檢測、應(yīng)用層網(wǎng)關(guān)）的特點及適用場景。答案：①包過濾防火墻：基于IP、端口、協(xié)議（如TCP/UDP）過濾數(shù)據(jù)包，處理速度快（接近線速），但無法識別應(yīng)用層內(nèi)容，適用于對性能要求高、安全需求較低的網(wǎng)絡(luò)邊界（如企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)出口）。②狀態(tài)檢測防火墻：在包過濾基礎(chǔ)上跟蹤會話狀態(tài)（如TCP連接的三次握手），僅允許與已建立會話相關(guān)的數(shù)據(jù)包通過，安全性高于包過濾，適用于需要保護內(nèi)部網(wǎng)絡(luò)免受外部非授權(quán)連接的場景（如企業(yè)核心網(wǎng)絡(luò)）。③應(yīng)用層網(wǎng)關(guān)（代理防火墻）：在應(yīng)用層對流量進行深度檢查（如解析HTTP請求頭、內(nèi)容），支持更精細(xì)的控制（如禁止訪問特定網(wǎng)站），但性能較低（需代理轉(zhuǎn)發(fā)），適用于對安全性要求高、流量較小的場景（如金融機構(gòu)內(nèi)部敏感系統(tǒng)防護）。四、綜合題（每題15分，共30分）1.設(shè)計一個基于SSL/TLS的HTTPS通信流程，要求詳細(xì)描述各步驟及涉及的安全機制。答案：HTTPS通信基于TLS協(xié)議，流程如下：①客戶端發(fā)起連接：客戶端向服務(wù)器發(fā)送“ClientHello”消息，包含支持的TLS版本、加密套件列表（如AES-GCM+RSA）、隨機數(shù)（ClientRandom）。②服務(wù)器響應(yīng)：服務(wù)器返回“ServerHello”消息，選擇客戶端支持的TLS版本和加密套件，發(fā)送服務(wù)器證書（含服務(wù)器公鑰），并生成隨機數(shù)（ServerRandom）。③客戶端驗證證書：客戶端通過CA的根證書驗證服務(wù)器證書的有效性（檢查證書是否過期、簽名是否合法、域名是否匹配）。若驗證失敗，提示安全警告。④生成預(yù)主密鑰：客戶端生成預(yù)主密鑰（PreMasterSecret），使用服務(wù)器公鑰加密后發(fā)送給服務(wù)器（若使用RSA密鑰交換）。⑤生成會話密鑰：客戶端和服務(wù)器利用ClientRandom、ServerRandom和PreMasterSecret，通過偽隨機函數(shù)（PRF）生成會話密鑰（MasterSecret→SessionKey），用于后續(xù)對稱加密通信。⑥客戶端完成握手：客戶端發(fā)送“ChangeCipherSpec”消息，通知服務(wù)器后續(xù)使用會話密鑰加密；發(fā)送“Finished”消息（對握手過程的哈希值加密），驗證握手?jǐn)?shù)據(jù)的完整性。⑦服務(wù)器完成握手：服務(wù)器同樣發(fā)送“ChangeCipherSpec”和“Finished”消息，雙方確認(rèn)會話密鑰正確。⑧安全通信：后續(xù)所有HTTP請求/響應(yīng)均使用會話密鑰（對稱加密）傳輸，保證機密性、完整性和身份認(rèn)證。關(guān)鍵安全機制：-證書驗證：確保服務(wù)器身份真實（防中間人攻擊）；-密鑰交換：通過非對稱加密（RSA或ECC）安全傳輸預(yù)主密鑰；-會話密鑰：使用隨機數(shù)和PRF生成，避免重復(fù)密鑰被破解；-完整性校驗：“Finished”消息通過哈希和加密驗證握手過程未被篡改。2.某企業(yè)部署了辦公網(wǎng)絡(luò)（含員工終端、文件服務(wù)器、數(shù)據(jù)庫），分析其面臨的主要安全威脅，并提出對應(yīng)的防護措施（至少列舉5種威脅及防護方案）。答案：主要安全威脅及防護措施：①外部網(wǎng)絡(luò)攻擊（如DDoS、SQL注入）：威脅：攻擊者通過DDoS耗盡服務(wù)器帶寬，或通過Web應(yīng)用漏洞（如SQL注入）竊取數(shù)據(jù)庫數(shù)據(jù)。防護：部署Web應(yīng)用防火墻（WAF）過濾惡意請求；使用DDoS防護服務(wù)（如云清洗）分流流量；定期對Web應(yīng)用進行漏洞掃描和修復(fù)。②內(nèi)部員工誤操作或惡意泄露：威脅：員工可能誤刪文件服務(wù)器數(shù)據(jù)，或通過移動存儲設(shè)備拷貝敏感數(shù)據(jù)。防護：實施最小權(quán)限原則（RBAC），限制員工對