2025年校招-信息安全工程师真题及答案.docxVIP

2025年校招信息安全工程师练习题及答案

一、单项选择题（每题2分，共20分）

1.以下关于AI生成内容（AIGC）的安全风险描述，错误的是：

A.深度伪造技术可能用于伪造身份或传播虚假信息

B.训练数据中的偏见可能导致生成内容存在歧视性

C.AIGC模型输出的内容无需额外验证即可直接用于关键系统决策

D.对抗样本攻击可能导致AIGC模型生成错误或恶意内容

答案：C

解析：AIGC生成内容需经过严格验证，尤其在金融、医疗等关键领域，直接使用可能引发决策错误，因此C错误。

2.某企业采用公有云服务，以下哪项安全责任通常由云服务商（CSP）承担？

A.虚拟机操作系统的补丁更新

B.云服务器的物理环境安全

C.应用层的访问控制策略配置

D.数据库中的用户数据加密

答案：B

解析：根据云安全共享责任模型，物理环境、基础设施（如服务器、网络设备）的安全由CSP负责；操作系统、应用、数据由用户负责，因此选B。

3.以下关于AES加密算法的描述，正确的是：

A.AES128的密钥长度为128字节

B.CTR模式属于分组密码的流模式，支持并行加密

C.CBC模式需要初始向量（IV），且IV必须完全随机

D.ECB模式因明文分组重复会导致密文重复，安全性最高

答案：C

解析：AES密钥长度为128/192/256位（非字节），A错误；CTR模式是流模式，但加密可并行，B错误；ECB模式安全性最低，D错误；CBC模式IV需随机且不可预测，C正确。

4.某企业网络流量中检测到大量DNS查询请求，查询的域名由随机字符串组成（如“”），最可能的攻击是：

A.DDoS攻击

B.DNS隧道攻击

C.ARP欺骗

D.中间人攻击

答案：B

解析：DNS隧道常通过随机域名隐藏数据传输，利用DNS协议绕过防火墙，因此选B。

5.以下哪种技术不属于缓冲区溢出的防护措施？

A.地址空间布局随机化（ASLR）

B.数据执行保护（DEP/NX）

C.栈金丝雀（StackCanary）

D.全连接防火墙（StatefulFirewall）

答案：D

解析：ASLR、DEP、栈金丝雀均为内存保护技术，用于防御缓冲区溢出；全连接防火墙是网络层防护，与内存安全无关，D错误。

6.关于零信任架构（ZeroTrust）的核心原则，以下描述错误的是：

A.默认不信任网络内外的任何设备或用户

B.仅在验证身份、设备状态、环境安全后授予最小权限

C.依赖传统边界（如防火墙）作为主要安全屏障

D.对所有流量（包括内网）进行持续检测和验证

答案：C

解析：零信任强调“永不信任，始终验证”，打破传统边界依赖，因此C错误。

7.某系统日志中出现“PHPNotice:Undefinedindex:user_id”，可能存在的安全隐患是：

A.SQL注入

B.XSS跨站脚本

C.未授权访问

D.信息泄露

答案：C

解析：未定义的用户ID索引可能导致程序默认放行未携带参数的请求，引发未授权访问，因此选C。

8.以下哪项属于软件成分分析（SCA）的主要目标？

A.检测代码中的语法错误

B.识别第三方库中的已知漏洞

C.评估代码的运行效率

D.验证加密算法的正确性

答案：B

解析：SCA通过分析软件依赖的开源/第三方组件，识别其中的CVE漏洞，因此选B。

9.某物联网设备使用MQTT协议与云端通信，以下哪种配置最不安全？

A.使用TLS1.3加密通信

B.设备凭证（用户名/密码）硬编码在固件中

C.限制MQTT客户端的QoS级别为1

D.定期轮换设备的访问令牌

答案：B

解析：硬编码凭证一旦泄露，攻击者可直接伪造设备，安全性最低，选B。

10.关于区块链的安全风险，以下描述错误的是：

A.51%攻击可能导致区块链分叉

B.智能合约漏洞可能导致资产被盗

C.共识算法（如PoW）不存在安全风险

D.私钥丢失会导致数字资产无法找回

答案：C

解析：PoW存在算力集中化（矿池垄断）风险，可能引发51%攻击，因此C错误。

二、填空题（每题2分，共10分）

1.HTTPS协议默认使用的端口号是______；SMB协议（Windows文件共享）的默认端口号是______。

答案：443；445

2.AES256加密算法的密钥长度为______位；RSA算法中，2048位密钥的安全强度约等于AES______位