2025年信息安全工程师能力测评试题及答案.docxVIP

2025年信息安全工程师能力测评试题及答案

一、单项选择题（每题2分，共20分）

1.某企业部署零信任架构时，以下哪项不符合零信任“持续验证”的核心原则？

A.终端接入时检查操作系统补丁状态

B.用户访问敏感数据前验证当前IP地址是否变更

C.员工使用公司邮箱登录后，未再进行二次认证

D.访问过程中实时监测用户行为是否异常

答案：C

解析：零信任的“持续验证”要求在访问全周期内动态评估风险，包括身份、设备、环境等因素的变化。选项C中仅在登录时验证，未持续监测后续状态，违反核心原则。

2.针对APT（高级持续性威胁）攻击，以下防御措施中最关键的是？

A.部署企业级防火墙

B.定期更新终端杀毒软件

C.建立威胁情报共享与分析机制

D.加强员工钓鱼邮件防范培训

答案：C

解析：APT攻击具有长期性、针对性和隐蔽性，传统边界防御（如防火墙、杀毒软件）难以有效应对。通过威胁情报分析攻击者的TTP（战术、技术、流程），可提前识别异常行为，是防御APT的核心手段。

3.某金融机构需对客户身份证号进行脱敏处理，以下哪种方法最符合“可逆脱敏”要求？

A.将身份证号第7-14位（出生日期）替换为“”

B.使用AES-256算法对身份证号加密存储，密钥由可信第三方管理

C.将身份证号最后4位随机替换为其他数字

D.通过哈希函数（如SHA-256）生成固定长度摘要

答案：B

解析：可逆脱敏要求脱敏后的数据可通过特定密钥或算法还原原始信息。A为不可逆的部分遮蔽；C为随机篡改，无法还原；D为单向哈希，不可逆；B通过加密实现可逆，符合要求。

4.在云原生环境中，以下哪项不属于“左移安全”（ShiftLeftSecurity）的实践？

A.在代码开发阶段集成SAST（静态代码扫描）工具

B.容器镜像发布前进行漏洞扫描

C.生产环境部署后定期进行渗透测试

D.在CI/CD流水线中嵌入安全合规检查

答案：C

解析：“左移安全”强调在开发早期（需求、设计、编码阶段）融入安全措施，而非等到生产环境部署后。C属于后期测试，不符合左移理念。

5.根据《信息安全技术个人信息安全规范》（GB/T35273-2020），个人信息控制者向第三方共享个人信息时，以下哪项要求不强制？

A.获得个人信息主体的单独同意

B.明确告知共享的目的、类型、接收方

C.与接收方签订数据安全协议

D.对接收方的数据安全能力进行评估

答案：A

解析：规范要求共享个人信息时需“告知+同意”，但“单独同意”仅在共享敏感个人信息时强制（如生物识别信息），普通个人信息可通过隐私政策等方式获得同意。

6.以下哪种加密算法属于非对称加密，且主要用于数字签名而非数据加密？

A.RSA

B.ECC（椭圆曲线加密）

C.DSA（数字签名算法）

D.AES

答案：C

解析：DSA是专门设计的数字签名算法，不支持加密；RSA和ECC可同时用于加密和签名；AES是对称加密算法。

7.某企业使用OAuth2.0进行第三方应用授权，若授权类型为“授权码模式”（AuthorizationCodeGrant），关键安全控制措施不包括？

A.使用HTTPS传输授权码

B.为客户端分配唯一的ClientID和ClientSecret

C.限制授权码的有效期（如10分钟）

D.允许客户端直接使用资源所有者的用户名/密码登录

答案：D

解析：授权码模式的核心是通过授权码（短时效、一次性）获取访问令牌，禁止客户端直接获取用户凭证（如用户名/密码），否则退化为“资源所有者密码凭证模式”，安全性更低。

8.工业控制系统（ICS）与传统IT系统的安全需求差异中，最关键的是？

A.更强调可用性（防止系统停机）

B.更依赖边界防火墙防护

C.对数据必威体育官网网址性要求更高

D.需支持更复杂的访问控制策略

答案：A

解析：ICS通常控制物理设备（如生产线、电网），系统停机可能导致重大安全事故或经济损失，因此可用性（如防止误操作、恶意中断）是核心需求；传统IT系统更侧重必威体育官网网址性和完整性。

9.针对AI模型的“对抗样本攻击”（AdversarialExampleAttack），以下防御措施最有效的是？

A.增加训练数据的多样性

B.对输入数据进行归一化处理

C.部署入侵检测系统（IDS）监测异常流量

D.限制模型输出的置信度阈值

答案：A

解析：对抗样本通过微小扰动使模型误判，本质是模型泛化能力不足。增加训