2025年信息安全期末考试题库及答案.docxVIP

2025年信息安全期末考试题库及答案

一、单项选择题（每题2分，共20分）

1.以下哪种加密算法属于非对称加密？

A.AES-256

B.SHA-3

C.RSA

D.ChaCha20

答案：C

解析：非对称加密使用公钥和私钥对，RSA是典型代表；AES和ChaCha20是对称加密，SHA-3是哈希算法。

2.某企业发现员工通过聊天软件传输敏感数据，最有效的防护措施是？

A.部署网络防火墙

B.实施数据脱敏

C.启用内容安全网关（CSG）

D.限制聊天软件安装

答案：C

解析：内容安全网关可对传输内容进行深度检测，识别敏感数据并阻断，比单纯限制软件更精准。

3.下列哪项是零信任架构（ZeroTrust）的核心原则？

A.网络边界防御

B.持续验证访问请求

C.信任内部网络

D.仅允许已知设备接入

答案：B

解析：零信任的核心是“永不信任，始终验证”，所有访问需动态验证身份、设备状态和环境风险。

4.2024年某云服务提供商因未及时修复KubernetesAPI漏洞导致数据泄露，该事件主要违反了ISO27001中的哪项控制措施？

A.访问控制

B.信息安全事件管理

C.漏洞管理

D.加密控制

答案：C

解析：漏洞未及时修复属于漏洞管理失效，ISO27001要求建立漏洞发现、评估和修复的流程。

5.以下哪种攻击利用了操作系统或应用程序的内存管理缺陷？

A.SQL注入

B.DDoS

C.缓冲区溢出

D.跨站脚本（XSS）

答案：C

解析：缓冲区溢出攻击通过向内存缓冲区写入超出容量的数据，覆盖相邻内存，导致程序执行恶意代码。

6.某医疗系统采用联邦学习（FederatedLearning）训练模型，其主要目的是？

A.提高模型训练速度

B.保护患者数据隐私

C.降低计算成本

D.增强模型泛化能力

答案：B

解析：联邦学习通过在本地训练模型、仅传输参数而非原始数据，避免敏感医疗数据泄露。

7.下列哪项是物联网（IoT）设备特有的安全风险？

A.弱口令默认配置

B.DDoS攻击

C.固件漏洞难以更新

D.钓鱼邮件

答案：C

解析：IoT设备通常资源有限，固件更新机制不完善，漏洞修复延迟高，是其特有风险。

8.某银行系统要求用户登录时需提供指纹+短信验证码+动态令牌，这属于？

A.单因素认证

B.双因素认证

C.多因素认证

D.无密码认证

答案：C

解析：指纹（生物特征）、短信验证码（占有因素）、动态令牌（知识因素）属于三种不同因素的多因素认证。

9.2025年新发布的《数据安全法实施条例》中，对“重要数据”的跨境传输要求必须通过？

A.安全评估

B.加密传输

C.本地存储

D.第三方审计

答案：A

解析：条例明确重要数据跨境需经国家网信部门安全评估，确保数据出境风险可控。

10.以下哪种哈希算法已被证明存在碰撞漏洞，不建议用于安全场景？

A.SHA-256

B.MD5

C.SHA-3

D.BLAKE3

答案：B

解析：MD5因碰撞攻击成本低，已被RFC6151明确建议停止使用；其他选项为安全哈希算法。

二、填空题（每题2分，共20分）

1.常见的Web应用防火墙（WAF）工作模式包括被动防御模式和主动防御模式。

2.依据《个人信息保护法》，处理个人信息的核心原则是最小必要原则和明确同意原则。

3.量子计算对现有公钥密码的威胁主要体现在可破解RSA和ECC（椭圆曲线加密）算法。

4.物联网设备的安全加固措施通常包括固件签名、最小化攻击面和定期漏洞扫描。

5.数据脱敏的常见技术有匿名化、泛化和掩码（如部分隐藏身份证号）。

6.网络安全等级保护2.0中，第三级信息系统的安全保护要求包括结构化保护，需建立安全审计和入侵防范系统。

7.蜜罐（Honeypot）的核心作用是诱捕攻击者并分析攻击手段，而非直接防御。

8.工业控制系统（ICS）的典型安全协议是OPCUA安全扩展（或S7通信安全协议）。

9.云安全的“共享责任模型”中，云服务商负责基础设施安全（如服务器、网络），用户负责数据和应用安全。

10.2025年新型攻击“AI生成钓鱼邮件”的防御关键是行为分析和语义识别（通过AI模型检测异常文本特征）。

三、简答题（每题8分，共40分）

1.简述SSL/TLS握手过程的主要步骤，并说明