2025计算机四级信息安全工程师考试题库及答案.docxVIP

2025计算机四级信息安全工程师考试题库及答案

一、单项选择题（每题1分，共20题）

1.以下哪项不属于信息安全的基本属性？

A.完整性

B.可用性

C.不可抵赖性

D.可追溯性

答案：D

解析：信息安全的基本属性包括必威体育官网网址性、完整性、可用性、可控性和不可抵赖性，可追溯性属于扩展属性。

2.以下哪种密码算法属于对称加密算法？

A.RSA

B.ECC

C.AES

D.DSA

答案：C

解析：AES（高级加密标准）是典型的对称加密算法；RSA、ECC、DSA均为非对称加密算法。

3.在TCP/IP协议栈中，SYNFlood攻击主要针对哪一层？

A.应用层

B.传输层

C.网络层

D.数据链路层

答案：B

解析：SYNFlood攻击利用TCP三次握手的缺陷，通过伪造大量SYN请求耗尽服务器资源，属于传输层攻击（TCP协议位于传输层）。

4.以下哪种访问控制模型允许用户根据角色获得权限？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

答案：C

解析：RBAC（RoleBasedAccessControl）通过角色分配权限，用户通过角色间接获得权限，适用于组织内权限管理。

5.以下哪项是缓冲区溢出攻击的关键？

A.篡改用户输入长度

B.利用操作系统漏洞

C.覆盖栈中的返回地址

D.破坏文件系统权限

答案：C

解析：缓冲区溢出攻击的核心是向缓冲区写入超出其容量的数据，覆盖栈中的返回地址，从而控制程序执行流程。

6.数字证书的颁发机构是？

A.CA（证书颁发机构）

B.RA（注册机构）

C.CRL（证书撤销列表）

D.OCSP（在线证书状态协议）

答案：A

解析：CA（CertificateAuthority）是负责颁发和管理数字证书的权威机构，确保证书的真实性和有效性。

7.以下哪种恶意软件通过自我复制传播，无需宿主程序？

A.病毒（Virus）

B.蠕虫（Worm）

C.木马（Trojan）

D.勒索软件（Ransomware）

答案：B

解析：蠕虫可独立运行，通过网络自我复制传播；病毒需宿主程序，木马伪装成正常程序，勒索软件加密数据勒索赎金。

8.以下哪项是Web应用中SQL注入攻击的防范措施？

A.对用户输入进行类型检查和转义

B.关闭服务器端口

C.禁用JavaScript

D.增加防火墙规则

答案：A

解析：SQL注入攻击利用未过滤的用户输入执行恶意SQL语句，防范关键是对输入进行严格校验和转义（如使用预编译语句）。

9.在ISO/IEC27001标准中，信息安全管理体系（ISMS）的核心是？

A.风险评估与处理

B.物理安全控制

C.人员安全培训

D.技术漏洞修复

答案：A

解析：ISO/IEC27001强调基于风险的方法，通过风险评估识别威胁与脆弱性，制定处理措施，是ISMS的核心流程。

10.以下哪种加密算法用于HTTPS协议的密钥交换？

A.DES

B.RSA

C.SHA256

D.HMAC

答案：B

解析：HTTPS通常使用RSA进行服务器证书验证和密钥交换，对称加密（如AES）用于后续数据传输。

11.以下哪项属于主动式渗透测试技术？

A.端口扫描

B.日志分析

C.流量嗅探

D.社会工程学

答案：A

解析：主动式测试主动向目标发送请求（如端口扫描、漏洞利用）；日志分析、流量嗅探属于被动式，社会工程学是利用人为因素。

12.以下哪种防火墙工作在OSI模型的应用层？

A.包过滤防火墙

B.状态检测防火墙

C.应用层网关（代理防火墙）

D.电路级网关

答案：C

解析：应用层网关在应用层对数据进行深度检查（如HTTP、SMTP），能识别具体应用类型并实施策略。

13.以下哪项是物联网（IoT）设备的主要安全风险？

A.计算资源有限导致加密强度不足

B.数据存储量过大

C.网络带宽不足

D.用户操作复杂度高

答案：A

解析：IoT设备通常资源受限（如低算力、小内存），难以支持高强度加密算法，易成为攻击入口。

14.在Linux系统中，以下哪个文件用于存储用户密码的哈希值？

A./etc/passwd

B./etc/shadow

C./etc/group

D./etc/gshadow

答案：B

解析：/etc/shadow