2025年信息安全期末考試題庫及答案

2025年信息安全期末考試題庫及答案一、單項選擇題（每題2分，共20分）1.以下哪種加密算法屬于非對稱加密？A.AES-256B.SHA-3C.RSAD.ChaCha20答案：C解析：非對稱加密使用公鑰和私鑰對，RSA是典型代表；AES和ChaCha20是對稱加密，SHA-3是哈希算法。2.某企業(yè)發(fā)現(xiàn)員工通過聊天軟件傳輸敏感數(shù)據(jù)，最有效的防護措施是？A.部署網(wǎng)絡防火墻B.實施數(shù)據(jù)脫敏C.啟用內(nèi)容安全網(wǎng)關(guān)（CSG）D.限制聊天軟件安裝答案：C解析：內(nèi)容安全網(wǎng)關(guān)可對傳輸內(nèi)容進行深度檢測，識別敏感數(shù)據(jù)并阻斷，比單純限制軟件更精準。3.下列哪項是零信任架構(gòu)（ZeroTrust）的核心原則？A.網(wǎng)絡邊界防御B.持續(xù)驗證訪問請求C.信任內(nèi)部網(wǎng)絡D.僅允許已知設(shè)備接入答案：B解析：零信任的核心是“永不信任，始終驗證”，所有訪問需動態(tài)驗證身份、設(shè)備狀態(tài)和環(huán)境風險。4.2024年某云服務提供商因未及時修復KubernetesAPI漏洞導致數(shù)據(jù)泄露，該事件主要違反了ISO27001中的哪項控制措施？A.訪問控制B.信息安全事件管理C.漏洞管理D.加密控制答案：C解析：漏洞未及時修復屬于漏洞管理失效，ISO27001要求建立漏洞發(fā)現(xiàn)、評估和修復的流程。5.以下哪種攻擊利用了操作系統(tǒng)或應用程序的內(nèi)存管理缺陷？A.SQL注入B.DDoSC.緩沖區(qū)溢出D.跨站腳本（XSS）答案：C解析：緩沖區(qū)溢出攻擊通過向內(nèi)存緩沖區(qū)寫入超出容量的數(shù)據(jù)，覆蓋相鄰內(nèi)存，導致程序執(zhí)行惡意代碼。6.某醫(yī)療系統(tǒng)采用聯(lián)邦學習（FederatedLearning）訓練模型，其主要目的是？A.提高模型訓練速度B.保護患者數(shù)據(jù)隱私C.降低計算成本D.增強模型泛化能力答案：B解析：聯(lián)邦學習通過在本地訓練模型、僅傳輸參數(shù)而非原始數(shù)據(jù)，避免敏感醫(yī)療數(shù)據(jù)泄露。7.下列哪項是物聯(lián)網(wǎng)（IoT）設(shè)備特有的安全風險？A.弱口令默認配置B.DDoS攻擊C.固件漏洞難以更新D.釣魚郵件答案：C解析：IoT設(shè)備通常資源有限，固件更新機制不完善，漏洞修復延遲高，是其特有風險。8.某銀行系統(tǒng)要求用戶登錄時需提供指紋+短信驗證碼+動態(tài)令牌，這屬于？A.單因素認證B.雙因素認證C.多因素認證D.無密碼認證答案：C解析：指紋（生物特征）、短信驗證碼（占有因素）、動態(tài)令牌（知識因素）屬于三種不同因素的多因素認證。9.2025年新發(fā)布的《數(shù)據(jù)安全法實施條例》中，對“重要數(shù)據(jù)”的跨境傳輸要求必須通過？A.安全評估B.加密傳輸C.本地存儲D.第三方審計答案：A解析：條例明確重要數(shù)據(jù)跨境需經(jīng)國家網(wǎng)信部門安全評估，確保數(shù)據(jù)出境風險可控。10.以下哪種哈希算法已被證明存在碰撞漏洞，不建議用于安全場景？A.SHA-256B.MD5C.SHA-3D.BLAKE3答案：B解析：MD5因碰撞攻擊成本低，已被RFC6151明確建議停止使用；其他選項為安全哈希算法。二、填空題（每題2分，共20分）1.常見的Web應用防火墻（WAF）工作模式包括被動防御模式和主動防御模式。2.依據(jù)《個人信息保護法》，處理個人信息的核心原則是最小必要原則和明確同意原則。3.量子計算對現(xiàn)有公鑰密碼的威脅主要體現(xiàn)在可破解RSA和ECC（橢圓曲線加密）算法。4.物聯(lián)網(wǎng)設(shè)備的安全加固措施通常包括固件簽名、最小化攻擊面和定期漏洞掃描。5.數(shù)據(jù)脫敏的常見技術(shù)有匿名化、泛化和掩碼（如部分隱藏身份證號）。6.網(wǎng)絡安全等級保護2.0中，第三級信息系統(tǒng)的安全保護要求包括結(jié)構(gòu)化保護，需建立安全審計和入侵防范系統(tǒng)。7.蜜罐（Honeypot）的核心作用是誘捕攻擊者并分析攻擊手段，而非直接防御。8.工業(yè)控制系統(tǒng)（ICS）的典型安全協(xié)議是OPCUA安全擴展（或S7通信安全協(xié)議）。9.云安全的“共享責任模型”中，云服務商負責基礎(chǔ)設(shè)施安全（如服務器、網(wǎng)絡），用戶負責數(shù)據(jù)和應用安全。10.2025年新型攻擊“AI生成釣魚郵件”的防御關(guān)鍵是行為分析和語義識別（通過AI模型檢測異常文本特征）。三、簡答題（每題8分，共40分）1.簡述SSL/TLS握手過程的主要步驟，并說明其如何保障通信安全。答案：SSL/TLS握手過程主要包括以下步驟：（1）客戶端發(fā)起連接，發(fā)送支持的協(xié)議版本、加密套件列表和隨機數(shù)（ClientHello）；（2）服務器響應，選擇加密套件，發(fā)送服務器證書和隨機數(shù)（ServerHello）；（3）客戶端驗證服務器證書（通過CA公鑰），生成預主密鑰（Pre-MasterSecret）并使用服務器公鑰加密后發(fā)送；（4）雙方基于預主密鑰和隨機數(shù)生成主密鑰（MasterSecret），用于后續(xù)對稱加密；（5）客戶端和服務器發(fā)送“完成”消息，確認握手成功。保障安全的關(guān)鍵：-證書驗證確保服務器身份真實性（防中間人攻擊）；-非對稱加密傳輸預主密鑰（防竊聽）；-對稱加密保證后續(xù)通信效率（AES等算法）；-隨機數(shù)和密鑰協(xié)商機制防止重放攻擊。2.比較“靜態(tài)代碼分析”與“動態(tài)代碼分析”在軟件安全檢測中的優(yōu)缺點。答案：靜態(tài)代碼分析：-優(yōu)點：無需運行程序，可全面掃描代碼邏輯；能檢測潛在漏洞（如緩沖區(qū)溢出、SQL注入）；支持早期發(fā)現(xiàn)問題（開發(fā)階段）。-缺點：可能產(chǎn)生誤報（需人工驗證）；無法檢測運行時依賴的漏洞（如參數(shù)動態(tài)變化導致的注入）。動態(tài)代碼分析：-優(yōu)點：模擬真實運行環(huán)境，檢測實際執(zhí)行中的漏洞（如內(nèi)存泄漏、運行時配置錯誤）；可驗證防御措施有效性（如WAF是否攔截攻擊）。-缺點：覆蓋范圍有限（依賴測試用例設(shè)計）；無法分析未執(zhí)行的代碼路徑；可能影響系統(tǒng)性能。3.列舉三種常見的物聯(lián)網(wǎng)（IoT）安全威脅，并提出對應的防護策略。答案：威脅1：默認弱口令。防護策略：強制要求設(shè)備出廠時關(guān)閉默認口令，用戶首次登錄需修改復雜密碼；通過管理平臺批量推送口令更新策略。威脅2：固件漏洞未修復。防護策略：建立固件更新機制（OTA安全升級），使用數(shù)字簽名確保固件完整性；對老舊設(shè)備實施網(wǎng)絡隔離（如劃分獨立VLAN）。威脅3：DDoS僵尸網(wǎng)絡（如Mirai變種）。防護策略：限制IoT設(shè)備對外連接的端口（僅開放必要服務）；部署流量清洗設(shè)備（如ADS-LB）檢測異常流量；啟用速率限制（RateLimiting）防止請求洪泛。4.說明“最小權(quán)限原則”（PrincipleofLeastPrivilege）在信息安全中的應用場景，并舉例說明其違反可能導致的風險。答案：應用場景：-系統(tǒng)權(quán)限分配：用戶僅擁有完成任務所需的最小權(quán)限（如財務人員無服務器管理權(quán)限）；-應用權(quán)限管理：移動App僅請求必要的權(quán)限（如天氣應用無需訪問通訊錄）；-網(wǎng)絡訪問控制：內(nèi)部服務器僅允許特定IP或用戶組訪問（如數(shù)據(jù)庫僅允許運維人員通過堡壘機登錄）。違反風險示例：某企業(yè)管理員為方便，賦予普通員工服務器超級用戶（root）權(quán)限。若該員工賬號被盜，攻擊者可直接控制服務器，刪除數(shù)據(jù)或植入惡意軟件，導致大規(guī)模數(shù)據(jù)泄露或系統(tǒng)癱瘓。5.結(jié)合《數(shù)據(jù)安全法》和《個人信息保護法》，說明企業(yè)處理用戶個人信息時需滿足的合規(guī)要求。答案：（1）合法性基礎(chǔ)：需獲得用戶明確同意（書面或電子形式），且同意可撤回；（2）最小必要原則：僅收集與業(yè)務直接相關(guān)的信息（如購物App無需收集健康數(shù)據(jù)）；（3）透明性要求：需公開隱私政策，明確數(shù)據(jù)用途、存儲期限和共享對象；（4）安全保障義務：采取加密、訪問控制等技術(shù)措施，防止數(shù)據(jù)泄露；（5）用戶權(quán)利響應：需在法定期限內(nèi)（如15個工作日）響應用戶的查詢、更正、刪除請求；（6）跨境傳輸限制：重要數(shù)據(jù)或大量個人信息跨境需通過安全評估，或簽訂標準合同。四、綜合分析題（20分）某互聯(lián)網(wǎng)金融公司（簡稱“X公司”）近期發(fā)生用戶銀行卡信息泄露事件，泄露數(shù)據(jù)包括姓名、銀行卡號、CVV碼（信用卡安全碼），涉及5萬用戶。經(jīng)初步調(diào)查：-數(shù)據(jù)庫服務器未啟用審計日志，無法追蹤數(shù)據(jù)訪問記錄；-開發(fā)人員在測試環(huán)境使用生產(chǎn)環(huán)境數(shù)據(jù)庫的只讀賬號；-前端頁面未對用戶輸入的CVV碼進行長度校驗（正常為3-4位）；-安全團隊近6個月未開展?jié)B透測試。請分析該事件的直接原因和根本原因，并提出至少5項針對性的整改措施。答案：直接原因：（1）敏感數(shù)據(jù)（CVV碼）未加密存儲，攻擊者通過數(shù)據(jù)庫訪問獲取明文；（2）測試環(huán)境與生產(chǎn)環(huán)境賬號混用，攻擊者可能通過測試環(huán)境漏洞獲取生產(chǎn)數(shù)據(jù)庫權(quán)限；（3）前端輸入校驗缺失，可能被利用進行SQL注入或數(shù)據(jù)篡改；（4）數(shù)據(jù)庫審計日志未啟用，無法及時發(fā)現(xiàn)異常數(shù)據(jù)訪問。根本原因：（1）安全管理流程缺失：未建立測試環(huán)境與生產(chǎn)環(huán)境的隔離機制，賬號權(quán)限未遵循最小權(quán)限原則；（2）風險評估不足：長期未開展?jié)B透測試，未發(fā)現(xiàn)數(shù)據(jù)庫安全配置缺陷；（3）數(shù)據(jù)安全意識薄弱：開發(fā)人員對敏感數(shù)據(jù)保護措施（如加密存儲）執(zhí)行不到位。整改措施：（1）數(shù)據(jù)加密：對CVV碼、銀行卡號等敏感數(shù)據(jù)采用AES-256加密存儲，密鑰由硬件安全模塊（HSM）管理；（2）環(huán)境隔離：測試環(huán)境使用獨立數(shù)據(jù)庫，生產(chǎn)環(huán)境賬號僅分配給必要人員，且權(quán)限最小化（如僅允許查詢特定表）；（3）輸入校驗：前端增加CVV碼長度（3-4位