2025年信息安全工程师资格考试题及答案.docxVIP

2025年信息安全工程师资格考试题及答案

一、单项选择题（共20题，每题1分，共20分）

1.以下关于对称加密算法的描述中，正确的是（）。

A.AES256的密钥长度为256字节

B.DES的有效密钥长度为56位

C.3DES通过三次独立的DES加密实现，密钥长度为168位

D.RC4是一种分组加密算法

答案：B

解析：AES256密钥长度为256位（非字节）；3DES的密钥长度通常为168位，但实际有效密钥长度因密钥复用可能为112位；RC4是流加密算法；DES有效密钥长度为56位（总长度64位，其中8位校验位）。

2.某企业采用基于角色的访问控制（RBAC），系统中存在“财务主管”“会计”“出纳”三种角色。根据最小权限原则，以下权限分配最合理的是（）。

A.财务主管：查询、修改、删除财务数据；会计：查询、修改；出纳：查询、支付

B.财务主管：查询、审批；会计：录入、修改；出纳：支付、查询

C.财务主管：所有权限；会计：录入、查询；出纳：支付、打印

D.财务主管：查询、删除；会计：录入、支付；出纳：修改、查询

答案：B

解析：最小权限原则要求角色仅拥有完成任务所需的最小权限。财务主管应侧重审批而非直接修改；会计负责数据录入和修改；出纳负责支付操作，需查询但不应有修改权限。

3.以下哪种攻击方式主要利用了操作系统或应用程序的漏洞，通过发送特定构造的数据包触发异常执行？（）

A.DDoS攻击

B.SQL注入攻击

C.缓冲区溢出攻击

D.跨站脚本（XSS）攻击

答案：C

解析：缓冲区溢出攻击通过向程序缓冲区写入超出其容量的数据，覆盖相邻内存空间，从而改变程序执行流程或注入恶意代码，核心是利用软件漏洞。

4.某网站使用HTTPS协议，但用户访问时浏览器提示“证书不受信任”，可能的原因是（）。

A.网站使用了自签名证书且未被浏览器信任根证书库包含

B.网站证书的公钥与私钥不匹配

C.网站服务器启用了TLS1.0协议

D.用户浏览器未启用JavaScript

答案：A

解析：浏览器提示证书不受信任通常因证书未被信任的CA签发（如自签名证书）、证书过期或域名不匹配。公钥私钥不匹配会导致握手失败而非“不受信任”提示；TLS版本过低可能提示不安全但非“不受信任”；JavaScript与证书无关。

5.在ISO/IEC27001信息安全管理体系（ISMS）中，“风险评估”的主要输出是（）。

A.信息安全方针

B.风险处理计划

C.资产清单

D.内部审核报告

答案：B

解析：风险评估的核心是识别风险并确定处理方式，输出包括风险等级、处理优先级及对应的风险处理计划（如规避、转移、降低、接受）。

6.以下关于零信任架构（ZeroTrustArchitecture）的描述，错误的是（）。

A.默认不信任网络内部或外部的任何主体

B.访问控制基于持续验证的动态上下文（如设备状态、用户位置）

C.强调“网络边界”的重要性，通过防火墙隔离内外网

D.遵循“最小权限访问”原则

答案：C

解析：零信任架构的核心是“永不信任，始终验证”，打破传统网络边界概念，不依赖物理或逻辑边界隔离，而是通过动态验证实现细粒度访问控制。

7.某企业数据库存储了用户姓名、身份证号、手机号等敏感信息，根据《个人信息保护法》，以下处理行为符合要求的是（）。

A.未经用户同意，将数据提供给第三方用于精准营销

B.存储时对身份证号进行哈希处理（无盐值）

C.因业务需要，收集的个人信息数量超出实现功能的最小范围

D.定期对数据库进行备份，并加密存储备份数据

答案：D

解析：《个人信息保护法》要求最小必要原则（C错误）、明确同意（A错误）、安全存储（哈希需加盐，B错误）；加密备份符合“采取相应的加密、去标识化等安全技术措施”要求（D正确）。

8.以下哪种协议用于在IP网络中实现身份认证、授权和记账（AAA）？（）

A.SNMP

B.RADIUS

C.DHCP

D.ARP

答案：B

解析：RADIUS（远程认证拨号用户服务）是典型的AAA协议，用于网络访问控制；SNMP用于网络管理，DHCP分配IP地址，ARP解析MAC地址。

9.某系统日志显示大量ICMPEchoRequest（ping）数据包发往同一目标IP，且源IP为随机伪造，目标IP流量激增导致服务中断。这最可能是（）。

A.SYNFlood攻击

B.ICMPFlood攻击

C.D