2025年信息系统安全专家云环境社会工程学防护专题试卷及解析.pdfVIP

2025年信息系统安全专家云环境社会工程学防护专题试卷及解析1

2025年信息系统安全专家云环境社会工程学防护专题试卷

及解析

2025年信息系统安全专家云环境社会工程学防护专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在云环境中，攻击者通过伪造云服务提供商的官方邮件，诱导用户点击恶意链

接以窃取凭证，这种攻击手段属于？

A、钓鱼攻击

B、水坑攻击

C、中间人攻击

D、暴力破解攻击

【答案】A

【解析】正确答案是A。钓鱼攻击通过伪造可信实体（如云服务提供商）的通信，诱

骗用户泄露敏感信息。B选项水坑攻击是攻击者先感染用户常访问的网站；C选项中间

人攻击是拦截通信；D选项暴力破解是尝试所有可能的凭证组合。知识点：社会工程学

攻击类型。易错点：将钓鱼与水坑攻击混淆，需注意前者主动伪造通信，后者被动感染

网站。

2、某云管理员收到自称”内部审计”的紧急电话，要求提供临时访问权限，这种利

用权威性的社会工程学技巧称为？

A、恐吓策略

B、制造紧迫感

C、冒充权威

D、社交工程

【答案】C

【解析】正确答案是C。冒充权威是攻击者伪装成具有合法权限的人员（如审计员）

获取信任。A选项恐吓是威胁后果；B选项紧迫感是强调时间压力；D选项是总称。知

识点：社会工程学心理触发器。易错点：误选B，需区分”冒充身份”与”制造时间压力”

的不同侧重点。

3、在云环境多租户架构中，以下哪项措施最能有效防止通过社会工程学获取的凭

证被滥用？

A、强制复杂密码策略

B、实施多因素认证（MFA）

C、定期更换密码

D、限制登录尝试次数

【答案】B

2025年信息系统安全专家云环境社会工程学防护专题试卷及解析2

【解析】正确答案是B。MFA即使凭证泄露也需额外验证，是云环境最有效的凭证

保护措施。A和C能增加破解难度但无法防止已泄露凭证；D仅针对暴力破解。知识

点：云身份认证安全。易错点：过度依赖密码强度而忽视MFA的关键作用。

4、攻击者通过分析目标员工社交媒体上的云服务使用习惯，定制针对性钓鱼邮件，

这种技术属于？

A、鱼叉式钓鱼

B、广撒网钓鱼

C、语音钓鱼

D、短信钓鱼

【答案】A

【解析】正确答案是A。鱼叉式钓鱼针对特定个体进行信息收集和定制攻击。B选

项无针对性；C选项通过电话；D选项通过短信。知识点：钓鱼攻击细分类型。易错点：

混淆鱼叉式与广撒网钓鱼，前者需前期侦察。

5、云环境中，以下哪项不是社会工程学防护的技术控制措施？

A、邮件过滤系统

B、用户行为分析

C、物理隔离服务器

D、反钓鱼培训模拟

【答案】C

【解析】正确答案是C。物理隔离属于物理安全，与社会工程学防护无关。A、B、D

均为技术或管理控制措施。知识点：社会工程学防护体系。易错点：误将所有安全措施

归为社会工程学防护，需关注针对人为因素的防护。

6、在SaaS云服务中，攻击者诱导用户授权恶意第三方应用访问其数据，这种攻击

称为？

A、OAuth劫持

B、跨站脚本（XSS）

C、点击劫持

D、会话劫持

【答案】A

【解析】正确答案是A。OAuth劫持通过欺骗用户授权恶意应用获取合法访问权限。

B选项注入脚本；C选项诱导点击隐藏元素；D选项窃取会话ID。知识点：云服务授

权安全。易错点：混淆OAuth劫持与XSS，前者利用授权机制缺陷。

7、某云服务商收到客户投诉称”官方支持”要求远程控制其系统，这最可能是哪种

社会工程学手段？

A、技术支持诈骗

2025年信息系统安全专家云环境社会工程学防护专题试卷及解析3

B、预付款欺诈

C、勒索软件

D、内部威胁

【答案】A

【解析】正确答案是A。技术支持诈骗伪装