2025年信息安全导论试题及答案.docxVIP

2025年信息安全导论试题及答案

一、单项选择题（每题2分，共20分）

1.以下哪种加密算法属于对称加密？

A.RSA

B.ECC（椭圆曲线加密）

C.AES

D.SHA-256

答案：C

2.钓鱼攻击的核心目的是？

A.破坏目标系统可用性

B.窃取用户敏感信息（如账号密码）

C.植入勒索软件

D.发起DDoS攻击

答案：B

3.以下哪项是TLS协议的主要功能？

A.保证数据传输的完整性和机密性

B.实现网络地址转换（NAT）

C.检测网络中的恶意流量

D.优化数据传输速率

答案：A

4.某系统日志显示大量异常登录尝试，IP地址来自不同国家且时间集中，最可能的攻击类型是？

A.SQL注入

B.暴力破解

C.跨站脚本（XSS）

D.缓冲区溢出

答案：B

5.数据脱敏技术中，将“身份证号44010619900101XXXX”处理为“440106XXXX”属于？

A.掩码处理

B.替换

C.匿名化

D.随机化

答案：A

6.以下哪种漏洞扫描工具主要用于检测Web应用层漏洞？

A.Nmap

B.Wireshark

C.BurpSuite

D.Snort

答案：C

7.零信任架构的核心假设是？

A.网络内部绝对安全

B.所有访问请求需持续验证

C.信任边界固定在企业内网

D.仅允许已知设备接入

答案：B

8.数字签名的实现通常需要结合？

A.对称加密和哈希算法

B.非对称加密和哈希算法

C.对称加密和数字证书

D.非对称加密和数字证书

答案：B

9.以下哪项不属于物联网（IoT）设备的典型安全风险？

A.默认弱密码

B.固件更新不及时

C.海量设备带来的管理复杂度

D.量子计算对加密的威胁

答案：D

10.某企业数据库泄露事件中，攻击者通过修改应用程序参数绕过身份验证直接访问数据，最可能利用的漏洞是？

A.会话固定（SessionFixation）

B.不安全的直接对象引用（IDOR）

C.跨站请求伪造（CSRF）

D.拒绝服务（DoS）

答案：B

二、填空题（每空2分，共20分）

1.AES-256的密钥长度为______位。

答案：256

2.哈希函数的典型特征包括抗碰撞性、单向性和______。

答案：固定输出长度

3.网络安全中，“CIA三元组”指机密性、完整性和______。

答案：可用性

4.常见的Web应用防火墙（WAF）部署模式包括反向代理模式和______。

答案：透明模式

5.勒索软件的主要攻击手段是加密用户数据并索要______。

答案：赎金

6.漏洞生命周期中，“0day漏洞”指______的漏洞。

答案：未被厂商修复且未公开

7.数据备份的“3-2-1原则”指3份拷贝、2种介质、______。

答案：1份离线存储

8.物联网设备安全加固的关键措施包括禁用默认账号、及时更新______和限制不必要的服务。

答案：固件

9.安全审计的核心目的是______和追溯安全事件。

答案：发现安全违规行为

10.量子计算对传统加密的主要威胁是可能快速破解基于______的加密算法（如RSA）。

答案：大整数分解难题

三、简答题（每题8分，共40分）

1.简述对称加密与非对称加密的主要区别，并各举一例说明应用场景。

答案：

对称加密使用相同密钥进行加密和解密（如AES），优点是计算效率高，适合大数据加密（如文件加密）；缺点是密钥分发困难，易泄露。非对称加密使用公钥加密、私钥解密（如RSA），优点是解决了密钥分发问题（如HTTPS中的会话密钥交换）；缺点是计算复杂度高，适合小数据加密（如数字签名）。

2.列举OWASPTOP10（2023版）中前三项常见Web安全风险，并说明其防范措施。

答案：

前三项为：注入（Injection）、失效的身份认证（BrokenAuthentication）、不安全的直接对象引用（IDOR）。

防范措施：

-注入：使用参数化查询（PreparedStatement），避免拼接SQL；

-失效的身份认证：实施多因素认证（MFA），使用安全的会话管理（如随机会话ID、超时机制）；

-IDOR：对每个请求进行权限验证（如检查用户是否拥有目标资源的访问权限）。

3.解释“最小权限原则”在系统