2025年信息安全工程师职业资格考试试题及答案解析.docxVIP

2025年信息安全工程师职业资格考试试题及答案解析

一、单项选择题（共20题，每题2分，共40分。每题只有一个正确选项）

1.信息安全的核心目标是保障信息的“CIA三元组”，其中“可用性”指的是？

A.信息不被非授权修改或破坏

B.信息仅被授权方访问

C.授权方需要时可及时获取信息

D.信息操作可被追踪记录

答案：C

解析：CIA三元组中，必威体育官网网址性（Confidentiality）对应B选项，完整性（Integrity）对应A选项，可用性（Availability）对应C选项。D选项属于可追溯性，是扩展安全属性。

2.以下哪种攻击方式利用了操作系统或应用程序的未公开漏洞？

A.SQL注入攻击

B.零日攻击（ZerodayAttack）

C.DDoS攻击

D.跨站脚本攻击（XSS）

答案：B

解析：零日攻击指利用尚未被修复的漏洞（0天漏洞）实施的攻击；SQL注入和XSS属于应用层漏洞攻击；DDoS是流量型攻击，不直接利用漏洞。

3.量子密码学的核心技术“量子密钥分发（QKD）”主要解决传统密码学的哪一痛点？

A.密钥交换的安全性

B.加密算法的运算速度

C.数字签名的不可抵赖性

D.哈希函数的抗碰撞性

答案：A

解析：QKD基于量子力学的测不准原理和不可克隆定理，可实现无条件安全的密钥分发，解决了传统公钥密码中密钥交换可能被中间人攻击的问题。

4.某企业采用“最小权限原则”配置服务器权限，其核心目的是？

A.提高系统运行效率

B.限制潜在攻击的影响范围

C.简化权限管理流程

D.满足合规性要求

答案：B

解析：最小权限原则要求用户或进程仅获得完成任务所需的最小权限，即使发生权限泄露，也能限制攻击范围，降低损失。

5.以下哪项是Web应用防火墙（WAF）的典型功能？

A.检测并阻断SQL注入和XSS攻击

B.对网络流量进行深度包过滤

C.实现不同安全域之间的访问控制

D.监控主机文件系统的异常修改

答案：A

解析：WAF专注于Web应用层防护，主要针对HTTP/HTTPS流量中的应用层攻击（如SQL注入、XSS）；B是入侵检测系统（IDS）或防火墙的功能；C是传统防火墙的功能；D是主机入侵防御系统（HIPS）的功能。

6.在ISO/IEC27001信息安全管理体系（ISMS）中，“风险评估”的主要输出是？

A.信息资产清单

B.风险处理计划

C.安全策略文档

D.应急响应流程

答案：B

解析：风险评估包括资产识别、威胁与脆弱性分析、风险计算，最终输出风险处理计划（如规避、转移、降低、接受风险的策略）。

7.以下哈希算法中，已被证明存在碰撞漏洞且不推荐用于安全场景的是？

A.SHA256

B.SHA3

C.MD5

D.SM3

答案：C

解析：MD5算法已被证实可快速构造碰撞（如“中国邮路问题”攻击），无法满足安全哈希的抗碰撞要求；SHA256、SHA3、SM3目前仍被视为安全。

8.某移动应用要求用户输入短信验证码完成登录，该机制主要实现的安全目标是？

A.身份认证的多因素验证（MFA）

B.数据传输的加密保护

C.抗抵赖性

D.访问控制

答案：A

解析：短信验证码属于“拥有物”因素（用户持有手机），与账号密码（“知识”因素）结合，构成双因素认证（2FA），属于MFA的一种。

9.云计算环境中，“数据隔离”的主要实现方式是？

A.物理服务器独占

B.虚拟资源的逻辑隔离（如VLAN、安全组）

C.加密所有存储数据

D.限制云服务商的访问权限

答案：B

解析：云计算通过虚拟化技术实现逻辑隔离（如虚拟机隔离、容器隔离、安全组策略），物理独占不符合云资源共享特性；加密是补充手段，非主要隔离方式。

10.根据《中华人民共和国数据安全法》，关键信息基础设施运营者在数据出境时，应当？

A.自行评估数据出境风险

B.通过国家网信部门组织的安全评估

C.与境外接收方签订数据安全协议

D.向省级网信部门备案

答案：B

解析：《数据安全法》第三十一条规定，关键信息基础设施运营者和处理重要数据的组织、个人向境外提供数据，应当按照国家网信部门的规定进行安全评估；其他数据出境可通过自评估或签订协议等方式。

11.以下哪种访问控制模型最适用于角色相对固定、职责明确的企业环境？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC