信息安全工程师试卷

软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、在信息安全领域，下列哪一项不属于信息保密性的保护措施？A. 加密技术B. 访问控制C. 数字签名D. 防火墙2、关于密码学中的对称加密与非对称加密算法，下列说法正确的是：A. 对称加密算法使用相同的密钥进行加密和解密。

B. 非对称加密算法比对称加密算法更适用于大数据量的信息传输。

C. RSA是一种典型的对称加密算法。

D. 在实际应用中，非对称加密通常单独用来加密整个消息。

3、在信息安全中，以下哪项技术不属于加密技术？A. RSAB. DESC. SHA-256D. TCP/IP4、在信息安全管理体系中，以下哪个不是ISO/IEC 27001标准要求的要素？A. 安全策略B. 组织治理C. 法律合规D. 安全事件处理5、以下哪种加密算法属于非对称加密算法？A. AESB. DESC. RSAD. 3DES6、下列关于防火墙的说法正确的是？A. 防火墙能够防止内部网络对外部网络的攻击B. 防火墙能够防止所有未经授权的访问C. 防火墙能够根据安全策略控制进出网络的流量D. 防火墙一旦设置就不能更改规则7、在信息安全中，以下哪种加密算法是公钥加密算法？A. AESB. DESC. RSAD. 3DES8、以下哪个选项不属于信息安全威胁的类型？A. 网络攻击B. 自然灾害C. 硬件故障D. 误操作9、以下关于加密算法的说法正确的是：A. DES是一种对称加密算法，其密钥长度为56位。

B. AES是一种非对称加密算法，广泛应用于安全数据传输。

C. RSA是一种流加密算法，适合于大量数据的加密。

D. ECC（椭圆曲线密码术）相较于RSA，通常需要更长的密钥才能达到相同的加密强度。

11、在信息安全领域，以下哪个是典型的加密算法？A. DESB. RSAC. MD5D. SHA-113、下列关于加密算法的说法中，哪一项是正确的？A、对称加密算法的安全性通常高于非对称加密算法。

软考信息安全工程师试题一、单项选择题以下关于计算机病毒的说法，正确的是（）：A. 计算机病毒是一种生物病毒，可以通过空气传播B. 计算机病毒是一种程序，具有自我复制能力，能够破坏计算机系统C. 计算机病毒只能通过移动存储设备传播D. 计算机病毒不会对计算机硬件造成损害答案：B以下关于网络安全的基本要素，不属于五要素之一的是（）：A. 机密性B. 完整性C. 可用性D. 真实性答案：D（网络安全五要素通常包括机密性、完整性、可用性、可控性和可审查性，真实性不属于这一范畴）在信息安全保障体系中，PDR模型指的是哪三个要素？（）：A. 预防、检测、响应B. 预警、防御、恢复C. 计划、部署、审查D. 保护、检测、反应答案：A下列哪一项不是用于确保数据完整性的措施？（）：A. 校验和B. 数字签名C. 哈希函数D. 对称加密答案：D（对称加密主要用于数据加密，而非直接确保数据完整性）在网络安全领域，以下哪种攻击方式属于被动攻击？（）：A. SQL注入B. 拒绝服务攻击C. 网络监听D. 跨站脚本攻击答案：C二、多项选择题（以下各题均包含多个正确答案）以下哪些属于信息安全的基本属性？（）：A. 保密性B. 完整性C. 可用性D. 可见性答案：A, B, C（可见性通常不是信息安全的基本属性）以下哪些措施属于网络安全防护的物理安全措施？（）：A. 建立安全门禁系统B. 安装防火墙（注意：防火墙更多是逻辑安全措施，但此处可能考察广义理解）C. 使用防病毒软件（防病毒软件更多是软件层面的安全措施）D. 定期备份重要数据（数据备份是数据恢复的重要措施，但通常不直接归类为物理安全措施）答案：在此情境下，若需选出与物理安全直接相关的选项，则主要依赖对题目意图的解读。

若从广义理解物理安全措施为包括所有非纯软件层面的安全措施，A项（建立安全门禁系统）显然符合。

B项防火墙虽更多是逻辑层面的，但有时也涉及物理设备的部署。

C项和D项则更偏向于软件和数据层面的安全措施。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题干：以下关于计算机病毒的说法，正确的是（）。

A、计算机病毒是一种生物病毒，可以通过空气传播B、计算机病毒是一种程序，具有自我复制能力，能够破坏计算机系统C、计算机病毒只能通过移动存储设备传播D、计算机病毒不会对计算机硬件造成损害2、题干：以下关于网络安全的基本要素，不属于五要素之一的是（）。

A、机密性B、完整性C、可用性D、真实性3、下列哪一项不属于常见的信息安全威胁？A. 拒绝服务攻击B. 物理盗窃C. 软件著作权保护D. 社会工程学攻击4、在信息安全保障体系中，PDR模型指的是哪三个要素？A. 预防、检测、响应B. 预警、防御、恢复C. 计划、部署、审查D. 保护、检测、反应5、下列哪一项不是用于确保数据完整性的措施？A. 校验和B. 数字签名C. 哈希函数D. 对称加密6、在网络安全领域，以下哪种攻击方式属于被动攻击？A. SQL注入B. 拒绝服务攻击C. 网络监听D. 跨站脚本攻击7、题目：在信息安全中，以下哪项不是常见的物理安全措施？A. 安全门禁系统B. 火灾自动报警系统C. 数据备份与恢复D. 网络防火墙8、题目：以下关于信息安全风险评估的说法，错误的是：A. 评估信息安全风险是信息安全管理体系（ISMS）的核心B. 评估信息安全风险可以识别出组织面临的主要安全威胁C. 评估信息安全风险有助于确定安全控制措施D. 评估信息安全风险需要考虑组织内部的业务需求9、在信息安全领域中，PKI（Public Key Infrastructure）主要功能是什么？A. 实现数据加密与解密B. 提供身份认证服务C. 支持安全电子邮件传输D. 上述所有选项 10、下列哪项不属于计算机病毒的传播途径？A. 通过互联网下载文件B. 使用未授权的软件C. 访问受感染的网站D. 定期更新操作系统补丁11、在信息安全领域，以下哪项技术不属于访问控制手段？A. 身份认证B. 访问控制列表（ACL）C. 数据加密D. 防火墙12、以下关于信息安全风险评估的说法中，正确的是：A. 风险评估只是针对已知威胁的评估B. 风险评估应当包括对组织内部和外部风险的识别和评估C. 风险评估的目的是为了完全消除风险D. 风险评估的结果不应当对外公开13、以下哪一项不是信息安全管理的基本原则？A. 保密性B. 完整性C. 可用性D. 不可否认性14、在信息系统安全中，用来保证数据不被未经授权的人所访问的安全措施是：A. 加密B. 防火墙C. 访问控制D. 审计追踪15、以下关于信息安全技术中防火墙的说法，错误的是：A. 防火墙可以阻止未经授权的访问B. 防火墙可以保护内部网络免受外部攻击C. 防火墙无法阻止内部网络之间的攻击D. 防火墙可以限制特定协议或端口的数据传输16、以下关于安全审计的说法，正确的是：A. 安全审计是定期检查网络安全设备B. 安全审计是检查网络中可能存在的安全漏洞C. 安全审计是检查操作系统和应用程序的安全配置D. 安全审计是以上所有说法17、以下关于密码学的描述，错误的是（）A. 密码学是研究如何保护信息安全的技术科学B. 密码学主要分为对称密码学和公钥密码学C. 对称密码学使用相同的密钥进行加密和解密D. 公钥密码学使用不同的密钥进行加密和解密18、以下关于安全协议的描述，正确的是（）A. 安全协议是指在网络通信过程中，用于保证数据传输安全的协议B. 安全协议的主要目的是防止数据在传输过程中被窃听、篡改和伪造C. 安全协议不涉及身份认证和访问控制D. 安全协议只适用于加密通信19、以下关于密码学中对称加密算法的描述，不正确的是：A. 对称加密算法使用相同的密钥进行加密和解密B. 对称加密算法的速度通常比非对称加密算法快C. 对称加密算法的安全性取决于密钥的长度和保密性D. 对称加密算法可以抵抗量子计算机的攻击 20、在信息安全中，以下哪种措施属于物理安全？A. 数据备份B. 网络防火墙C. 身份认证D. 安全审计21、以下关于ISO/IEC 27001标准说法正确的是：A. ISO/IEC 27001标准是信息安全管理体系（ISMS）的标准，适用于所有组织，无论其规模和类型。

信息安全工程师真题与答案完整版1、《中华人民共和国网络安全法》第五十八条明确规定，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经( )决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

[单选题] *a、国务院(正确答案)b、国家网信部门c、省级以上人民政府d、网络服务提供商2、2018年10月，含有我国sm3杂凑算法的is0/iec10118-3: 2018《信息安全技术杂凑函数第3部分：专用杂凑函数》由国际标准化组织(iso)发布，sm3算法正式成为国际标准。

sm3的杂凑值长度为( )。

[单选题] *a、8 字节b、16字节c、32字节(正确答案)d、64字节3、bs7799标准是英国标准协会制定的信息安全管理体系标准，它包括两个部分：《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。

依据该标准可以组织建立、实施与保持信息安全管理体系，但不能实现( )。

[单选题] *a、强化员工的信息安全意识,规范组织信息安全行为b、对组织内关键信息资产的安全态势进行动态监测(正确答案)c、促使管理层坚持贯彻信息安全保障体系d、通过体系认证就表明体系符合标准,证明组织有能力保障重要信息4、为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本原则，其中在信息系统中，应该对所有权限进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使它们之间相互制约、相互监督，共同保证信息系统安全的是( )。

[单选题] *a、最小化原则(正确答案)b、安全隔离原原则c、纵深防御原则d、分权制衡原则5、等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。

以下关于我国信息安全等级保护内容描述不正确的是( )。

[单选题] *a、对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护(正确答案)b、对信息系统中使用的信息安全产品实行按等级管理c、对信息系统中发生的信息安全事件按照等级进行响应和处置d、对信息安全从业人员实行按等级管理,对信息安全违法行为实行按等级惩处6、研究密码破译的科学称为密码分析学。

信息安全工程师试题一、选择题1. 在网络安全中，下列哪项是最基本的安全原则？A. 机密性B. 完整性C. 可用性D. 非否认性2. 下列哪项是最常见的网络攻击手段？A. 电子邮件钓鱼B. 拒绝服务攻击C. SQL注入D. 木马病毒3. 信息安全的CIA三要素指的是下列哪三项？A. 保密性、完整性、可用性B. 机密性、真实性、可用性C. 机密性、完整性、准确性D. 机密性、完整性、不可抵赖性4. VPN（Virtual Private Network）用于实现什么目的？A. 隔离内外网B. 加密网络传输C. 提高网络速度D. 防火墙过滤5. 在密码学中，下列哪种密码算法属于对称加密算法？A. RSAB. AESC. SHAD. DSA二、填空题1. 在无线网络中，WPA2代表的是_______。

2. CSRF（Cross-Site Request Forgery）是一种_______攻击方式。

3. 黑客使用_______工具检测网络的漏洞和弱点。

4. 在密码学中，MD5是一种_______算法。

5. “社工”是指利用_______去获得他人的信息。

三、简答题1. 请简要阐述什么是“零信任”（Zero Trust）安全模型，并说明其优点。

2. 请解释什么是DDoS（分布式拒绝服务）攻击，并提供防护措施。

3. 请列举至少三种常见的网络窃密手段，并说明如何预防它们。

四、综合题1. 假设你是一家互联网公司的信息安全工程师，请简要描述你将如何设计和实施一套全面的信息安全策略，确保公司网络和数据的安全性。

总结：本文对信息安全工程师的试题进行了整理，分为选择题、填空题、简答题和综合题四个部分。

选择题主要考察基本概念和原则，填空题涉及常见术语的理解，简答题需要对某些概念进行解释，综合题则考察综合应用能力。

答题过程中，应充分展现对信息安全领域的理解和实践经验。

只有通过专业知识和能力的综合应用，才能成为一名合格的信息安全工程师。

可编辑修改精选全文完整版2023年中级软考《信息安全工程师》考试历年真题摘选附带答案第1卷一.全考点综合测验(共20题)1.【单选题】属于第二层的VPN 隧道协议是()。

A.IPSecB.PPTPC.GRED.IPv42.【单选题】下列算法中，( )属于摘要算法。

A.DESB.MD5C.Diffie-HellmanD.AES3.【单选题】ISO 制定的安全体系结构描述了5 种安全服务，以下不属于这5 种安全服务的是()A.鉴别服务B.数据报过滤C.访问控制D.数据完整性4.【单选题】以下对OSI(开放系统互联)参考模型中数据链路层的功能叙述中，描述最贴切是()A.保证数据正确的顺序、无差错和完整B.控制报文通过网络的路由选择C.提供用户与网络的接口D.处理信号通过介质的传输5.【单选题】面向身份信息的认证应用中，最常用的认证方法是()A.基于数据库的认证B.基于摘要算法认证C.基于PKI 认证D.基于账户名/ 口令认证6.【单选题】入侵检测系统放置在防火墙内部所带来的好处是()A.减少对防火墙的攻击B.降低入侵检测C.增加对低层次攻击的检测D.增加检测能力和检测范围7.【单选题】下列说法中，错误的是()A.服务攻击是针对某种特定攻击的网络应用的攻击B.主要的渗入威胁有特洛伊木马和陷阱C.非服务攻击是针对网络层协议而进行的D.对于在线业务系统的安全风险评估，应采用最小影响原则8.【单选题】包过滤技术防火墙在过滤数据包时，一般不关心()A.数据包的原地址B.数据包的目的地址C.数据包的协议类型D.数据包的内容9.【单选题】面向数据挖掘的隐私保护技术主要解决高层应用中的隐私保护问题，致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护。

从数据挖掘的角度看，不属于隐私保护技术的是()。

A.基于数据失真的隐私保护技术B.基于数据匿名化的隐私保护技术C.基于数据分析的隐私保护技术D.基于数据加密的隐私保护技术10.【单选题】从安全属性对各种网络攻击进行分类，阻断攻击是针对()的攻击A.机密性B.可用性C.完整性D.真实性11.【单选题】以下关于VPN的叙述中，正确的是()A.VPN指的是用户通过公用网络建立的临时的、安全的连接B.VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路C.VPN不能做到信息认证和身份认证D.VPN只能提供身份认证，不能提供数据加密的功能12.【单选题】身份识别在信息安全领域有着广泛的应用，通过识别用户的生理特征来认证用户的身份是安全性很高的身份认证方法。

信息安全工程师试题一、选择题1. 信息安全的核心目标不包括以下哪一项？A. 机密性B. 可用性C. 完整性D. 兼容性2. 下列关于防火墙的描述，哪一项是错误的？A. 防火墙可以阻止未授权的访问。

B. 防火墙可以是一种硬件设备或软件程序。

C. 防火墙可以完全防止网络攻击。

D. 防火墙有助于监控和记录网络流量。

3. 以下哪种攻击方法是通过利用程序中的缓冲区溢出漏洞来实现的？A. SQL注入B. 跨站脚本攻击（XSS）C. 拒绝服务攻击（DoS）D. 缓冲区溢出攻击4. 在网络安全中，VPN的主要作用是什么？A. 提高网络速度B. 增加网络存储空间C. 加密网络通信D. 阻止网络钓鱼攻击5. 以下哪一项不是密码学中常用的加密算法？A. AESB. RSAC. MD5D. ECC6. 社会工程学攻击通常利用人类的哪种特点？A. 好奇心B. 技术知识C. 逻辑思维D. 编程能力7. 以下哪项措施不能有效防止电子邮件病毒的传播？A. 不打开未知来源的电子邮件附件B. 定期更新操作系统和应用程序C. 使用强密码保护电子邮件账户D. 转发所有收到的电子邮件给其他人8. 信息安全政策的主要目的是什么？A. 提高员工的工作满意度B. 降低公司的运营成本C. 保护公司的信息系统和数据D. 增加公司的市场份额9. 在网络攻击中，哪种攻击通常会导致数据的丢失或损坏？A. 拒绝服务攻击（DoS）B. 窃听攻击C. 重放攻击D. 破坏性攻击10. 以下哪项是防止跨站请求伪造（CSRF）攻击的有效措施？A. 使用HTTPSB. 限制会话超时C. 验证请求的来源D. 强制用户每次登录二、填空题1. 信息安全管理框架中，______（ISMS）是一种系统的方法，用于管理公司的信息安全风险。

2. 在网络中，______（IDS）是一种监测网络或系统活动并分析潜在安全威胁的设备或软件。

3. 为了防止网络钓鱼攻击，用户应该经常______他们的操作系统和网络浏览器。

一、选择题1.下列哪种加密技术属于非对称加密，常用于数字签名？A.AESB.RSAC.DESD.3DES2.在网络安全中，SQL注入攻击主要利用了哪个方面的安全漏洞？A.应用层协议缺陷B.网络层协议缺陷C.传输层协议缺陷D.操作系统漏洞3.以下哪项不是访问控制模型的一种？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于时间的访问控制（TBAC，注：此为非标准术语，通常用于特殊场景）4.SSL/TLS协议的主要目的是什么？A.提供数据压缩功能B.加密网络传输的数据C.实现网络设备的互操作性D.加速网络传输速度5.下列哪项是防止DDoS攻击的有效手段之一？A.禁用所有外部网络连接B.使用内容分发网络（CDN）C.频繁更换服务器IP地址D.依赖单一的高性能防火墙6.在信息安全风险评估中，哪个步骤涉及对资产进行赋值？A.资产识别B.威胁识别C.脆弱性识别D.风险计算7.加密算法的密钥管理不包括以下哪个方面？A.密钥生成B.密钥分发C.密钥存储D.密钥共享至公共平台（注：这通常不是安全的做法）8.以下哪项不是多因素认证（MFA）的常用方法？A.短信验证码B.生物识别（如指纹）C.用户名和密码D.硬件设备令牌9.渗透测试与漏洞扫描的主要区别在于？A.渗透测试侧重于自动化扫描，而漏洞扫描需要人工干预B.漏洞扫描仅发现系统弱点，而渗透测试尝试利用这些弱点C.两者都是自动化的，不需要人工参与D.渗透测试通常不会尝试破坏系统，而漏洞扫描会10.在云安全中，哪项措施主要用于确保数据在云端存储和传输过程中的机密性和完整性？A.访问控制策略B.数据加密C.虚拟化隔离D.安全审计和日志记录。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题干：以下关于信息安全的说法中，错误的是：A、信息安全包括机密性、完整性、可用性和抗抵赖性四个方面。

B、物理安全是指保护计算机系统、网络设备以及其他信息处理设施的安全。

C、信息安全管理的目标是确保信息资产的安全，防止信息资产受到未经授权的访问、使用、披露、破坏、修改或删除。

D、信息安全的核心是确保信息的真实性，防止伪造和篡改。

2、题干：在网络安全防护中，以下哪种加密算法不适合用于数据完整性校验？A、MD5B、SHA-1C、SHA-256D、RSA3、（单选题）在信息安全领域，以下哪个概念指的是信息在传输过程中可能被未授权的第三方所截获和窃取的现象？A、信息泄露B、信息篡改C、信息泄露与信息篡改D、信息泄露与信息篡改及信息破坏4、（多选题）以下哪些措施可以有效防止网络钓鱼攻击？A、使用复杂密码B、安装防病毒软件C、定期更新操作系统和软件D、不点击不明链接5、以下关于密码学中对称密钥加密算法的描述，正确的是：A. 对称密钥加密算法中，加密和解密使用相同的密钥。

B. 对称密钥加密算法的安全性依赖于密钥的长度。

C. 对称密钥加密算法中，密钥的生成和分发过程非常简单。

D. 对称密钥加密算法的典型算法包括RSA和AES。

6、以下关于信息安全风险评估的方法，不属于通用方法的是：A. 威胁分析B. 漏洞扫描C. 业务影响分析D. 风险控制评估7、以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD58、在网络安全中，以下哪个术语指的是保护数据在传输过程中的完整性？A. 防火墙B. 加密C. 认证D. 完整性校验9、在信息安全领域，以下哪项技术属于密码学中的加密算法？A. 公钥加密B. 私钥加密C. 数据库加密D. 防火墙11、在信息安全领域，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD513、在网络安全防护体系中，以下哪项技术主要用于检测和防御恶意软件的攻击？A. 入侵检测系统（IDS）B. 防火墙C. 数据加密D. 访问控制15、以下哪种安全机制主要用于防止数据在传输过程中被非法截获和篡改？A. 加密技术B. 认证技术C. 防火墙技术D. 防病毒技术17、以下哪种算法属于对称加密算法？A. RSAB. AESC. ECC (椭圆曲线密码术)D. SHA (安全散列算法)19、题目：在信息安全领域，以下哪项技术不属于加密算法？A. RSAB. DESC. SHA-256D. TCP/IP21、以下哪种算法属于非对称加密算法？A、DESB、AESC、RSAD、SHA-25623、在信息安全领域中，以下哪项不属于常见的网络攻击手段？A. 拒绝服务攻击（DoS）B. 网络钓鱼C. 逆向工程D. 数据库注入25、关于数据加密标准DES，以下说法正确的是：A. DES是一种非对称加密算法B. DES密钥长度为64位，实际使用56位C. DES已经足够安全，无需考虑替代算法D. DES在所有情况下都比AES更优27、在网络安全防护策略中，以下哪项技术不属于入侵检测系统（IDS）常用的检测方法？A. 规则匹配检测B. 模式匹配检测C. 基于行为的检测D. 基于主机的检测29、在信息安全领域，以下哪种算法主要用于数字签名和验证？A. AESB. RSAC. DESD. SHA-25631、在网络安全领域中，以下哪种加密算法属于对称加密算法？A. RSAB. AESC. SHA-256D. MD533、以下哪一项不属于常见的网络攻击类型？A. 拒绝服务攻击（DoS）B. 社会工程学攻击C. 跨站脚本攻击（XSS）D. 网络钓鱼攻击E. 数据加密35、在信息安全领域中，以下哪种加密算法属于对称加密算法？A. RSAB. AESC. SHA-256D. MD537、下列关于数字签名的说法，正确的是：A. 数字签名可以保证数据的完整性，但不能验证发送者的身份。

软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、在信息安全领域，以下哪项不属于信息安全的基本属性？A、保密性B、完整性C、可用性D、可访问性2、以下哪种加密算法属于对称加密算法？A、RSAB、DESC、ECCD、SHA-2563、在信息安全领域，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD54、在信息安全中，以下哪种措施不属于物理安全范畴？A. 安装门禁系统B. 数据备份C. 网络防火墙D. 限制访问权限5、题干：在信息安全领域中，以下哪项不属于常见的网络安全攻击手段？A. 中间人攻击B. 拒绝服务攻击（DoS）C. 数据库注入攻击D. 物理安全破坏6、题干：以下关于数字签名技术的描述，错误的是：A. 数字签名可以确保信息的完整性B. 数字签名可以验证信息的发送者身份C. 数字签名可以防止信息在传输过程中被篡改D. 数字签名可以保证信息在传输过程中的保密性7、在信息安全中，以下哪个术语描述了信息从其原始形式转换成另一种形式，以便于传输、存储或处理？A. 加密B. 编码C. 隐写术D. 敏感数据8、以下哪个安全模型定义了安全系统应该满足的四个基本安全属性：机密性、完整性、可用性和合法性？A. 访问控制模型B. 贝尔-拉登模型C. 普里维特模型D. 威森安全模型9、在信息安全领域中，以下哪个协议主要用于在网络层提供数据包的安全传输？A. SSL/TLSB. IPsecC. HTTPSD. S/MIME 10、在信息安全风险评估中，以下哪种方法不属于定量风险评估方法？A. 层次分析法（AHP）B. 故障树分析法（FTA）C. 风险矩阵法D. 模拟分析法11、下列哪一项不是防火墙的主要功能？A. 过滤进出网络的数据包B. 提供入侵检测服务C. 隐藏内部网络结构D. 记录通过防火墙的信息内容和活动12、在密码学中，如果加密密钥和解密密钥是相同的，则这种加密方式被称为：A. 对称密钥加密B. 公钥加密C. 非对称密钥加密D. 单向函数13、在信息安全中，以下哪项不属于常见的加密算法类型？A. 对称加密B. 非对称加密C. 公开密钥加密D. 哈希加密14、以下哪项不是信息安全中的安全协议？A. SSL/TLSB. IPsecC. HTTPD. FTP15、关于数字签名的说法中，错误的是：A. 数字签名可以保证信息的完整性B. 数字签名可以确保发送者的身份真实性C. 数字签名可以防止接收者篡改信息后否认接收到的信息D. 数字签名可以保证信息在传输过程中的保密性16、在公钥基础设施（PKI）中，负责发放和管理数字证书的机构称为：A. 用户B. 注册机构（RA）C. 证书颁发机构（CA）D. 证书库17、以下哪项不是信息安全的基本要素？（）A. 机密性B. 完整性C. 可用性D. 可追溯性18、在以下哪种情况下，会对信息安全造成威胁？（）A. 系统硬件故障B. 系统软件更新C. 访问控制不当D. 网络连接不稳定19、以下哪个选项不属于信息安全的基本原则？A. 完整性B. 可用性C. 可扩展性D. 可控性 20、在信息安全风险评估中，以下哪种方法不属于定性风险评估方法？A. 故障树分析（FTA）B. 故障影响及危害度分析（FMEA）C. 概率风险评估模型D. 威胁评估21、在信息安全领域，下列哪一项不属于访问控制的基本要素？A. 主体B. 客体C. 控制策略D. 加密算法22、以下哪个选项描述了“最小特权原则”？A. 系统中的每个用户都应该拥有执行其工作所需的最小权限集。

信息安全工程师2023年试题第一部分：选择题1. 在密码学中，对称加密算法和非对称加密算法的主要区别是：A. 对称加密算法需要公钥和私钥，而非对称加密算法只需要一个密钥B. 对称加密算法加密速度更快，而非对称加密算法更安全C. 对称加密算法加密和解密使用相同的密钥，而非对称加密算法使用不同的密钥D. 对称加密算法只能用于数据传输加密，而非对称加密算法可以用于数据传输加密和数字签名2. 下列哪项不是信息安全管理的基本原则？A. 风险评估和管理B. 安全策略制定与执行C. 安全事件响应与处置D. 用户随机密码分配3. 在网络安全攻击中，钓鱼攻击常见的手段是：A. 发送包含恶意代码的电子邮件B. 利用操作系统漏洞获取系统权限C. 使用拦截器获取网络传输的敏感信息D. 在互联网上追踪用户的行为并获取密码4. 以下哪项不属于常见的访问控制技术？A. 双因素认证B. 防火墙C. 密码策略D. 虚拟专用网络（VPN）5. 网络安全风险评估的主要目的是：A. 发现网络中存在的安全漏洞B. 阻止未授权用户访问网络资源C. 提升网络传输速度和质量D. 对网络设备进行巡检和维护第二部分：简答题1. 请简述传统的身份认证方式及其存在的问题。

2. 简要介绍数字证书的作用，并说明数字签名的原理。

3. 请简要解释网络防火墙的工作原理。

4. 什么是反射型DDoS攻击？如何防范此类攻击？5. 简要介绍主动态态分析和被动态态分析在恶意代码分析中的应用。

第三部分：论述题请结合实际案例或研究成果，从以下两个方面论述信息安全工程师在保护云计算环境中的重要性：1. 云计算环境的安全挑战及其对企业信息资产的威胁；2. 信息安全工程师在云计算环境中的角色和职责以及有效的安全保护措施。

第四部分：应用题请编写一段Shell脚本，实现对指定目录中的所有文件进行AES256加密，并将加密后的文件存储到指定的目录中。

完成时间：120分钟。

注意：以上问题仅供参考，实际考试内容可能有所调整。

软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、信息安全的基本要素包括哪些？2、以下哪项不是信息安全威胁的常见类型？3、在信息安全中，以下哪个选项不属于常见的网络安全攻击类型？A. SQL注入B. 钓鱼攻击C. 拒绝服务攻击（DoS）D. 物理破坏4、以下关于密码学的描述中，哪项是错误的？A. 密码学是研究如何保护信息安全的学科。

B. 加密算法可以分为对称加密和非对称加密。

C. 数字签名可以用来验证信息的完整性和来源。

D. 加密算法的强度取决于密钥的长度。

5、以下关于密码学中哈希函数的说法，正确的是（）A. 哈希函数可以将任意长度的输入数据映射到固定长度的输出值B. 哈希函数具有可逆性，可以通过输出值反推出输入值C. 哈希函数的输出值是唯一的，不会有两个不同的输入值产生相同的输出D. 哈希函数在加密过程中用于保证数据完整性6、以下关于公钥密码体制的说法，不正确的是（）A. 公钥密码体制中，加密和解密使用不同的密钥B. 公钥密码体制的安全性依赖于密钥的保密性C. 公钥密码体制的密钥长度通常比对称密码体制长D. 公钥密码体制适用于所有类型的通信场景7、以下哪项不属于信息安全的基本原则？A. 完整性原则B. 可用性原则C. 不可抵赖性原则D. 安全性原则8、在网络安全防护中，以下哪种加密算法不属于对称加密算法？A. DESB. AESC. RSAD. 3DES9、以下哪个协议不属于OSI模型中的应用层协议？A. HTTPB. FTPC. SMTPD. ARP 10、在信息安全中，以下哪种措施不属于物理安全防护范畴？A. 安装门禁系统B. 设置防火墙C. 定期备份数据D. 使用加密技术11、下列关于密码学的描述中，错误的是：A. 密码学主要包括密码编码学和密码分析学两个分支B. 密码编码学关注如何有效地对信息进行加密C. 密码分析学研究的是如何对密文进行破译D. 现代密码学的目标仅限于保证通信内容的安全12、在SSL/TLS协议中，握手协议的主要作用是什么？A. 用于客户端和服务器相互认证，并协商加密算法B. 完成数据传输过程中的消息认证C. 提供一种机制让发送者否认已发送的消息D. 实现数据的可靠传输，确保数据包顺序到达13、在网络安全中，以下哪项不属于常见的攻击类型？A. 中间人攻击B. 拒绝服务攻击（DoS）C. SQL注入攻击D. 物理安全14、在信息安全体系中，以下哪个不是安全策略的基本要素？A. 安全目标B. 安全措施C. 安全评估D. 安全审计15、下列哪一项不属于常见的网络攻击类型？A. 拒绝服务攻击（DoS）B. SQL注入攻击C. 网络钓鱼攻击D. 数据加密保护16、在信息安全模型中，确保信息不被未授权访问的属性称为？A. 可用性B. 完整性C. 保密性D. 可控性17、在信息安全领域中，以下哪个选项不属于常用的加密算法？A. RSAB. AESC. DESD. HTTP18、在网络安全防护中，以下哪个措施不属于入侵检测系统的功能？A. 实时监控网络流量B. 检测和阻止恶意代码C. 记录安全事件D. 进行数据备份19、以下哪一项不是防止信息泄露的基本措施？A、数据加密传输B、敏感数据脱敏处理C、使用强密码D、公开关键业务数据20、在信息安全保障体系中，PDR模型强调的是？A、防护 - 检测 - 响应B、预防 - 设计 - 恢复C、政策 - 发展 - 记录D、保护 - 检测 - 反应21、题干：以下关于密码学中公钥加密算法的说法，错误的是（）。

信息安全工程师100题1.网页木马是一种通过攻击浏览器或浏览器外挂程序的漏洞，向目标用户机器植入木马、病毒、密码盗取等恶意程序的手段，为了要安全浏览网页，不应该( )。

A.定期清理浏览器缓存和上网历史记录B.禁止使用ActiveX控件和Java脚本C.在他人计算机上使用“自动登录”和“记住密码”功能D.定期清理浏览器Cookies2.包过滤技术防火墙在过滤数据包时，一般不关心( )。

A.数据包的源地址B.数据包的目的地址C.数据包的协议类型D.数据包的内容3.信息安全风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量，是对威胁、脆弱点以及由此带来的风险大小的评估。

在信息安全风险评估中，以下说法正确的是( )。

A.安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本B.风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。

在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性C.风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。

在对这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性D.信息系统的风险在实施了安全措施后可以降为零4.入侵检测技术包括异常入侵检测和误用入侵检测。

以下关于误用检测技术的描述中，正确的是( )。

A.误用检测根据对用户正常行为的了解和掌握来识别入侵行为B.误用检测根据掌握的关于入侵或攻击的知识来识别入侵行为C.误用检测不需要建立入侵或攻击的行为特征库D.误用检测需要建立用户的正常行为特征轮廓5.身份认证是证实客户的真实身份与其所声称的身份是否相符的验证过程。

目前，计算机及网络系统中常用的身份认证技术主要有：用户名/密码方式、智能卡认证、动态口令、生物特征认证等。

其中能用于身份认证的生物特征必须具有( )。

A.唯一性和稳定性B.唯一性和保密性C.保密性和完整性D.稳定性和完整性6.无论是哪一种Web服务器，都会受到HTTP协议本身安全问题的困扰，这样的信息系统安全漏洞属于( )。

信息安全工程师测试题(35个选择题，5个简答题）-企事业内部考试IT试卷与试题一、选择题1. 信息安全最关心的三个属性是什么？A. ConfidentialityB. IntegrityC. AuthenticationD. AuthorizationE. Availability答案：A、B、E2. 用哪些技术措施可以有效地防御通过伪造保留IP地址而实施的攻击。

A. 边界路由器上设置ACLsB. 入侵检测系统C. 防火墙策略设置D. 数据加密E. 无答案：A、B、C3. 下列哪些设备应放置在DMZ区.A. 认证服务器B. 邮件服务器C. 数据库服务器D. Web服务器答案：B4. 以下哪几项关于安全审计和安全的描述是正确的A. 对入侵和攻击行为只能起到威慑作用B. 安全审计不能有助于提高系统的抗抵赖性C. 安全审计是对系统记录和活动的独立审查和检验D. 安全审计系统可提供侦破辅助和取证功能答案：C、D5. 下面哪一个情景属于身份验证（Authentication）过程?A. 用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改B. 用户依照系统提示输入用户名和口令C. 某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程纪录在系统日志中D. 用户使用加密软件对自己编写的Office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容答案：A6. 以下那些属于系统的物理故障A. 软件故障B. 计算机病毒C. 人为的失误D. 网络故障和设备环境故障答案：D7. 数据在存储或传输时不被修改、破坏，或数据包的丢失、乱序等指的是A. 数据完整性B. 数据一致性C. 数据同步性D. 数据源发性答案：A8. 数字签名是用于保障A. 机密性B. 完整性C. 认证性D. 不可否认性答案：D9. 网络攻击者在局域网内进行嗅探，利用的是网卡的特性是A. 广播方式B. 组播方式C. 直接方式D. 混杂模式答案：D10. 你是一台Windows系统的管理员，出于安全性的考虑，你希望如果用户连续三次输入错误的密码，就将该用户账号锁定，应该采取（）措施A. 设置计算机账户策略中的帐户锁定策略，设置帐户锁定阈值为３B. 设置计算机本地策略中的帐户锁定策略，设置帐户锁定阈值为３C. 设置计算机本地策略中的安全选项，设置帐户锁定阈值为３D. 设置计算机帐户策略中的密码策略，设置帐户锁定阈值为３答案：A11. 公司所有的服务器都是Windoows操作系统，并且搭建了域环境。

1、在信息安全领域，以下哪项技术主要用于保护数据的机密性，防止未经授权的访问？A. 防火墙B. 数据加密C. 入侵检测系统D. 漏洞扫描器（答案）B2、关于数字签名，以下哪个说法是正确的？A. 数字签名可以确保数据的完整性，但不能保证数据的来源B. 数字签名使用私钥进行加密，公钥进行解密C. 数字签名是一种单向哈希函数，无法被逆向解析D. 数字签名使用公钥进行加密，私钥进行解密以验证身份（答案）D3、在网络安全管理中，以下哪项措施是预防社交工程攻击的有效方法？A. 定期更新操作系统和应用程序B. 对员工进行安全意识培训C. 使用强密码策略D. 部署入侵防御系统（答案）B4、关于SSL/TLS协议，以下哪个描述是准确的？A. SSL/TLS协议仅用于保护HTTP通信的安全B. SSL/TLS协议提供数据加密和身份验证功能C. SSL/TLS协议已被弃用，不再使用D. SSL/TLS协议仅适用于客户端到服务器的单向认证（答案）B5、在信息安全风险评估中，以下哪个步骤是识别潜在威胁和漏洞的过程？A. 资产识别B. 威胁评估C. 脆弱性评估D. 风险确定（答案）C6、关于密码学中的对称加密，以下哪个说法是正确的？A. 对称加密使用一对公私钥进行加密和解密B. 对称加密的加密和解密过程使用相同的密钥C. 对称加密比非对称加密更安全，因为算法更复杂D. 对称加密无法用于加密大量数据（答案）B7、在信息安全事件响应中，以下哪个阶段的主要目标是快速恢复系统和服务，减少业务中断时间？A. 事件检测与报告B. 事件分析与定位C. 事件抑制与根除D. 事件恢复与后续跟进（答案）D8、关于DDoS（分布式拒绝服务）攻击，以下哪个描述是准确的？A. DDoS攻击是通过单个攻击源发起的，目标是使目标系统无法提供服务B. DDoS攻击利用多个受控主机同时向目标发起攻击，消耗目标资源C. DDoS攻击只能针对网络层进行攻击，不能影响应用层服务D. DDoS攻击可以通过简单的防火墙配置完全防御（答案）B。

选择题
在进行网络安全风险评估时，以下哪项不是必须考虑的因素？
A. 资产价值
B. 威胁来源
C. 安全控制措施的有效性
D. 员工的个人兴趣（正确答案）
下列哪种攻击方式利用了系统对输入数据的不当处理，可能导致任意代码执行？
A. SQL注入（正确答案）
B. 中间人攻击
C. 会话劫持
D. DDoS攻击
关于数字签名，以下说法正确的是：
A. 数字签名能够确保数据的机密性
B. 数字签名使用对称加密算法
C. 数字签名可以验证数据的完整性和发送方的身份（正确答案）
D. 数字签名不需要私钥参与
在实施网络安全策略时，以下哪项措施可以有效防止未经授权的访问？
A. 定期更换网络设备
B. 使用强密码策略并定期更新（正确答案）
C. 禁用所有外部网络连接
D. 仅依赖防火墙保护
下列哪项技术不属于网络防御技术？
A. 入侵检测系统
B. 防火墙
C. 数据加密
D. 网络钓鱼（正确答案）
在进行安全审计时，发现系统日志中存在大量异常登录尝试，这最可能是哪种攻击的前兆？
A. 暴力破解攻击（正确答案）
B. SQL注入攻击
C. 零日漏洞利用
D. DDoS攻击准备
在网络安全事件响应计划中，以下哪项是首要步骤？
A. 分析事件原因
B. 立即恢复系统服务
C. 识别和确认事件（正确答案）
D. 通知所有相关人员。

1、在信息安全领域中，以下哪项技术主要用于确保数据的机密性？A. 数字签名B. 数据加密C. 防火墙D. 入侵检测系统（答案：B）2、关于SQL注入攻击，以下说法错误的是？A. 它是一种通过操纵SQL查询来访问或篡改数据库的攻击B. 可以通过参数化查询来有效预防C. 仅限于影响基于MySQL的数据库系统D. 可能导致数据泄露或数据损坏（答案：C）3、在网络安全中，DDoS（分布式拒绝服务）攻击与DoS（拒绝服务）攻击的主要区别在于？A. DDoS攻击使用单个攻击源B. DoS攻击更难防御，因为它涉及多个攻击点C. DDoS攻击利用多个分布式的攻击源D. DoS攻击不造成服务中断，只是减慢速度（答案：C）4、以下哪项不是常见的安全漏洞扫描工具？A. NessusB. OpenVASC. Wireshark（注：应为Wireshark的误用，实际应为Wireshark的网络分析功能，非漏洞扫描）D. QualysGuard（答案：C，注：正确答案为Wireshark的误用情境，实际工具名可能有出入，但意图是识别非漏洞扫描工具）5、在实施网络安全策略时，以下哪项原则最为关键？A. 便利性优先B. 最小权限原则C. 最大化访问权限D. 无限制的网络访问（答案：B）6、在信息安全事件响应过程中，以下哪个阶段紧接着事件检测？A. 事件分析B. 事件报告C. 事件恢复D. 事件预防（答案：A）7、关于密码学中的对称加密，以下说法不正确的是？A. 加密和解密使用相同的密钥B. 加密速度快，适用于大量数据C. 密钥管理相对简单D. 即使密钥泄露，加密的数据也无法被解密（答案：D）。

选择题
以下哪一项不是信息安全的基本属性？
A. 完整性
B. 可用性
C. 匿名性（正确答案）
D. 保密性
在信息安全领域，以下哪项技术常用于确保数据传输的安全性？
A. 防火墙
B. VPN（正确答案）
C. 入侵检测系统
D. 数据备份
SQL注入攻击主要针对的是以下哪个层面的安全漏洞？
A. 应用层（正确答案）
B. 网络层
C. 数据链路层
D. 物理层
下列哪项措施可以有效防止中间人攻击（MITM）？
A. 使用强密码
B. 实施数据加密（正确答案）
C. 定期更换密码
D. 使用生物识别登录
在信息安全策略中，下列哪项原则强调“只给予用户完成其工作所需的最小权限”？
A. 最小特权原则（正确答案）
B. 职责分离原则
C. 默认拒绝原则
D. 深度防御原则
以下哪项技术可以检测并阻止对系统或网络的恶意行为？
A. 防火墙
B. 入侵防御系统（正确答案）
C. 安全审计
D. 漏洞扫描
在加密技术中，以下哪项属于对称加密算法？
A. RSA
B. AES（正确答案）
C. ECC
D. SHA-256
以下哪一项是实现网络安全的基本措施之一，涉及对网络流量的监控和分析？
A. 入侵检测（正确答案）
B. 数据备份
C. 访问控制
D. 加密技术
在信息安全管理中，以下哪项活动是对系统、网络或应用进行全面检查，以识别潜在的安全漏洞？
A. 渗透测试
B. 漏洞评估（正确答案）
C. 安全审计
D. 风险分析。

选择题：
在信息安全领域，以下哪一项是描述数据在传输过程中被非法获取的风险？
A. 数据泄露（正确答案）
B. 数据冗余
C. 数据备份
D. 数据恢复
信息安全工程师在设计系统时，应遵循的基本原则是：
A. 最大化数据收集
B. 最小化权限原则（正确答案）
C. 开放所有端口
D. 无需用户认证
以下哪种技术是用来确保数据在传输过程中的完整性和防篡改的？
A. 数据加密（正确答案）
B. 数据备份
C. 数据销毁
D. 数据隐藏
在进行渗透测试时，信息安全工程师模拟黑客攻击的目的是：
A. 破坏系统
B. 评估系统的安全性（正确答案）
C. 展示技术能力
D. 无需用户授权访问数据
以下哪一项是描述通过注入恶意代码来攻击计算机系统的行为？
A. 钓鱼攻击
B. 代码注入攻击（正确答案）
C. 社交工程
D. 跨站脚本攻击
信息安全工程师在处理安全事件时，首要任务是：
A. 立即公开事件细节
B. 评估事件影响和制定应对措施（正确答案）
C. 忽略小事件
D. 直接修复系统而不进行调查
以下哪种设备是用来在网络层面进行访问控制和安全隔离的？
A. 路由器
B. 防火墙（正确答案）
C. 交换机
D. 负载均衡器
在信息安全领域，以下哪一项是描述对敏感数据进行加密存储的做法？
A. 数据脱敏
B. 数据加密存储（正确答案）
C. 数据备份
D. 数据迁移
信息安全工程师在进行系统安全审计时，主要关注的是：
A. 系统的性能优化
B. 系统的合规性和安全性（正确答案）
C. 系统的用户数量
D. 系统的开发语言。

软考中级信息安全工程师题目一、在信息安全领域中，以下哪项技术主要用于保护数据的机密性？A. 数字签名B. 数据加密C. 防火墙D. 入侵检测（答案：B）二、关于SQL注入攻击，下列说法错误的是？A. 是一种针对数据库的安全漏洞进行攻击的方式B. 可以通过输入恶意SQL语句来篡改或窃取数据C. 防御措施包括使用参数化查询和过滤输入D. 仅限于影响MySQL数据库，对其他数据库无效（答案：D）三、在网络安全协议中，HTTPS相较于HTTP主要增加了什么功能？A. 数据压缩B. 数据传输速度C. 加密和身份验证D. 自动重定向（答案：C）四、以下哪种攻击类型是通过发送大量无效请求来耗尽服务器资源，导致服务不可用？A. 跨站脚本攻击（XSS）B. 拒绝服务攻击（DoS）C. 会话劫持D. 中间人攻击（答案：B）五、关于密码学中的对称加密，以下说法正确的是？A. 加密和解密使用不同的密钥B. 加密和解密使用相同的密钥C. 安全性高于非对称加密D. 不需要密钥管理（答案：B）六、在信息安全风险管理中，以下哪项活动是对潜在威胁和脆弱性进行评估的过程？A. 风险识别B. 风险分析C. 风险应对D. 风险监控（答案：B）七、关于防火墙的作用，下列描述不正确的是？A. 能够阻止所有类型的网络攻击B. 可以控制进出网络的流量C. 能够隐藏内部网络的结构D. 有助于提高网络安全策略的执行（答案：A）八、在信息安全事件响应中，第一步应该是？A. 分析事件原因B. 恢复系统正常运行C. 收集证据并保存D. 立即通知所有相关人员（答案：D，但实际操作中，初步通知关键人员与隔离受影响系统也常被视为紧急响应的首要步骤，此题侧重于流程顺序的考查，故选D作为首先应采取的行动）。