信息安全考試試題「附答案」一、單項(xiàng)選擇題（每題2分，共20分）1.以下哪種加密算法屬于非對(duì)稱加密？A.AES256B.RSAC.DESD.3DES2.某系統(tǒng)日志中出現(xiàn)大量“SQLSELECTFROMusersWHEREusername=''OR'1'='1'”記錄，最可能遭遇的攻擊是？A.XSS攻擊B.CSRF攻擊C.SQL注入攻擊D.DDoS攻擊3.根據(jù)ISO/IEC27001標(biāo)準(zhǔn)，信息安全管理體系（ISMS）的核心是？A.技術(shù)防護(hù)措施B.風(fēng)險(xiǎn)評(píng)估與處理C.人員安全培訓(xùn)D.物理安全控制4.以下哪項(xiàng)是TLS1.3相比TLS1.2的主要改進(jìn)？A.支持AES加密B.減少握手延遲C.增加MD5哈希算法D.保留SSL協(xié)議兼容5.某企業(yè)員工使用弱密碼（如“123456”）登錄內(nèi)部系統(tǒng)，違反了信息安全的哪項(xiàng)基本原則？A.最小權(quán)限原則B.縱深防御原則C.最小特權(quán)原則D.職責(zé)分離原則6.以下哪種惡意軟件通過自我復(fù)制并感染其他程序傳播？A.病毒（Virus）B.蠕蟲（Worm）C.木馬（Trojan）D.勒索軟件（Ransomware）7.我國(guó)《數(shù)據(jù)安全法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)應(yīng)當(dāng)？A.存儲(chǔ)在境外云服務(wù)器B.向社會(huì)公開C.在境內(nèi)存儲(chǔ)D.僅由第三方機(jī)構(gòu)管理8.以下哪項(xiàng)是物聯(lián)網(wǎng)（IoT）設(shè)備特有的安全風(fēng)險(xiǎn)？A.固件漏洞難以更新B.SQL注入C.社會(huì)工程學(xué)攻擊D.數(shù)據(jù)加密強(qiáng)度不足9.某網(wǎng)站采用HTTPS協(xié)議后，仍可能存在的安全風(fēng)險(xiǎn)是？A.中間人攻擊（MITM）B.會(huì)話劫持C.域名系統(tǒng)緩存污染（DNSCachePoisoning）D.拒絕服務(wù)攻擊（DoS）10.以下哪種訪問控制模型通過角色分配權(quán)限，適用于大型組織？A.自主訪問控制（DAC）B.強(qiáng)制訪問控制（MAC）C.基于角色的訪問控制（RBAC）D.基于屬性的訪問控制（ABAC）二、填空題（每空2分，共20分）1.常見的哈希算法中，SHA256的輸出長(zhǎng)度是______位。2.防火墻的主要功能是根據(jù)______規(guī)則對(duì)網(wǎng)絡(luò)流量進(jìn)行過濾。3.釣魚攻擊（Phishing）的核心手段是______用戶信任。4.操作系統(tǒng)的安全加固措施通常包括關(guān)閉不必要的______、更新補(bǔ)丁和配置訪問控制。5.數(shù)據(jù)脫敏技術(shù)中，將“身份證號(hào)44010619900101XXXX”處理為“440106XXXX”屬于______脫敏方法。6.網(wǎng)絡(luò)安全等級(jí)保護(hù)（等保2.0）要求第三級(jí)信息系統(tǒng)需每年至少開展______次等級(jí)測(cè)評(píng)。7.量子計(jì)算對(duì)現(xiàn)有加密算法的主要威脅是能快速破解______加密（如RSA）。8.工業(yè)控制系統(tǒng)（ICS）的典型協(xié)議Modbus默認(rèn)使用的端口是______。9.零信任架構(gòu)（ZeroTrust）的核心假設(shè)是______不可信。10.數(shù)字簽名的主要目的是確保數(shù)據(jù)的______和不可否認(rèn)性。三、簡(jiǎn)答題（每題8分，共40分）1.簡(jiǎn)述“最小權(quán)限原則”（PrincipleofLeastPrivilege）的定義及其在信息安全中的應(yīng)用場(chǎng)景。2.比較對(duì)稱加密與非對(duì)稱加密的優(yōu)缺點(diǎn)，并各舉一例說明其典型應(yīng)用。3.什么是“緩沖區(qū)溢出”（BufferOverflow）攻擊？簡(jiǎn)述其原理及防御措施。4.列舉三種常見的日志類型（如系統(tǒng)日志、應(yīng)用日志），并說明日志分析在信息安全中的作用。5.我國(guó)《網(wǎng)絡(luò)安全法》對(duì)個(gè)人信息保護(hù)提出了哪些核心要求？（至少列出4項(xiàng)）四、綜合分析題（20分）某電商平臺(tái)近期發(fā)生用戶數(shù)據(jù)泄露事件，泄露數(shù)據(jù)包括10萬(wàn)條用戶姓名、手機(jī)號(hào)、收貨地址及部分支付密碼（明文存儲(chǔ)）。經(jīng)初步調(diào)查，平臺(tái)數(shù)據(jù)庫(kù)未開啟訪問審計(jì)功能，且開發(fā)人員在測(cè)試環(huán)境中使用了生產(chǎn)環(huán)境數(shù)據(jù)庫(kù)的超級(jí)管理員賬號(hào)。請(qǐng)結(jié)合信息安全理論，分析該事件暴露的安全漏洞，并提出至少5項(xiàng)針對(duì)性的整改措施。參考答案一、單項(xiàng)選擇題1.B（RSA是非對(duì)稱加密算法，其余為對(duì)稱加密）2.C（SQL注入攻擊通過拼接惡意SQL語(yǔ)句繞過驗(yàn)證）3.B（ISO/IEC27001以風(fēng)險(xiǎn)評(píng)估為核心，建立PDCA循環(huán)）4.B（TLS1.3優(yōu)化握手流程，減少往返次數(shù)）5.C（弱密碼違反最小特權(quán)原則，未限制合理權(quán)限）6.B（蠕蟲無(wú)需宿主程序，可自主傳播）7.C（《數(shù)據(jù)安全法》要求關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)境內(nèi)存儲(chǔ)）8.A（IoT設(shè)備資源受限，固件更新困難）9.C（HTTPS加密傳輸，但DNS解析可能被污染指向釣魚網(wǎng)站）10.C（RBAC通過角色分配權(quán)限，適合大型組織）二、填空題1.2562.安全策略3.偽造4.服務(wù)/端口5.掩碼（或部分隱藏）6.17.公鑰（或非對(duì)稱）8.5029.網(wǎng)絡(luò)環(huán)境（或任何接入實(shí)體）10.完整性三、簡(jiǎn)答題1.定義：最小權(quán)限原則要求用戶或進(jìn)程僅獲得完成任務(wù)所需的最小權(quán)限，避免過度授權(quán)。應(yīng)用場(chǎng)景：如服務(wù)器管理員僅分配數(shù)據(jù)庫(kù)查詢權(quán)限而非刪除權(quán)限；普通員工賬戶禁用系統(tǒng)級(jí)配置修改功能；云服務(wù)用戶僅開放特定API調(diào)用權(quán)限。2.對(duì)稱加密：優(yōu)缺點(diǎn)——加密速度快，但密鑰分發(fā)困難（需安全通道傳輸）。典型應(yīng)用：AES用于文件加密（如WinRAR加密壓縮包）。非對(duì)稱加密：優(yōu)缺點(diǎn)——解決密鑰分發(fā)問題，但計(jì)算復(fù)雜度高。典型應(yīng)用：RSA用于HTTPS握手階段交換對(duì)稱密鑰。3.緩沖區(qū)溢出攻擊：向程序緩沖區(qū)寫入超出其容量的數(shù)據(jù)，覆蓋相鄰內(nèi)存空間，導(dǎo)致程序執(zhí)行惡意代碼。原理：利用程序未對(duì)輸入數(shù)據(jù)長(zhǎng)度進(jìn)行校驗(yàn)的漏洞。防御措施：?jiǎn)⒂脙?nèi)存保護(hù)機(jī)制（如DEP/NX）、使用安全編程語(yǔ)言（如Java）、對(duì)輸入數(shù)據(jù)進(jìn)行長(zhǎng)度校驗(yàn)和類型檢查。4.日志類型：系統(tǒng)日志（記錄操作系統(tǒng)事件，如登錄、進(jìn)程啟動(dòng)）、網(wǎng)絡(luò)日志（記錄防火墻、路由器的流量，如IP訪問記錄）、應(yīng)用日志（記錄軟件運(yùn)行狀態(tài)，如數(shù)據(jù)庫(kù)查詢失?。Ｈ罩痉治鲎饔茫鹤R(shí)別異常行為（如暴力破解嘗試）、追蹤攻擊路徑（定位入侵源）、合規(guī)審計(jì)（滿足等保2.0日志留存要求）。5.《網(wǎng)絡(luò)安全法》核心要求：①收集使用個(gè)人信息需明示目的并取得同意；②不得泄露、篡改、毀損收集的個(gè)人信息；③需采取技術(shù)措施保障個(gè)人信息安全（如加密、訪問控制）；④發(fā)生個(gè)人信息泄露時(shí)需立即告知用戶并報(bào)告監(jiān)管部門；⑤禁止非法出售個(gè)人信息。四、綜合分析題暴露的安全漏洞：（1）敏感數(shù)據(jù)明文存儲(chǔ)（支付密碼未加密）；（2）數(shù)據(jù)庫(kù)訪問控制缺失（超級(jí)管理員賬號(hào)跨環(huán)境使用）；（3）審計(jì)機(jī)制未啟用（無(wú)法追蹤數(shù)據(jù)操作日志）；（4）測(cè)試環(huán)境與生產(chǎn)環(huán)境未隔離（開發(fā)人員誤用生產(chǎn)數(shù)據(jù)庫(kù)）；（5）數(shù)據(jù)安全管理流程不完善（未定期檢查敏感數(shù)據(jù)存儲(chǔ)方式）。整改措施：（1）對(duì)支付密碼等敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)（如使用PBKDF2或BCrypt哈希算法）；（2）實(shí)施最小權(quán)限原則，為測(cè)試環(huán)境分配獨(dú)立賬號(hào)，僅授予查詢權(quán)限，禁止寫入/刪除操作；（3）啟用數(shù)據(jù)庫(kù)審計(jì)功能，記錄所有數(shù)據(jù)訪問、修改操作（包括時(shí)