信息安全工程师考试试题及解析

信息安全工程师软考考试卷子一、选择题（每题3分，共30分）1. 信息安全的基本属性不包括以下哪项？（）A. 保密性B. 完整性C. 可用性D. 可变性答案：D。

解析：信息安全的基本属性是保密性、完整性、可用性，可变性不是基本属性。

2. 以下哪种加密算法属于对称加密算法？（）A. RSAB. DSAC. AESD. ECC答案：C。

解析：AES是高级加密标准，属于对称加密算法，RSA、DSA、ECC属于非对称加密算法。

3. 在网络安全中，防火墙主要用于（）。

A. 防止病毒入侵B. 阻止外部网络访问内部网络C. 提高网络速度D. 管理网络用户答案：B。

解析：防火墙主要是在内部网络和外部网络之间建立一道屏障，阻止外部网络未经授权访问内部网络。

4. 信息安全风险评估的主要目的是什么？（）A. 找出系统中的漏洞B. 评估安全措施的有效性C. 确定安全需求D. 以上都是答案：D。

解析：信息安全风险评估可以找出系统漏洞，评估安全措施有效性，从而确定安全需求。

5. 以下哪项不是常见的身份认证方式？（）A. 用户名/密码B. 指纹识别C. 语音识别D. 梦境分析答案：D。

解析：梦境分析不是常见的身份认证方式，而用户名/密码、指纹识别、语音识别都是。

6. 数据备份的主要目的是（）。

A. 节省存储空间B. 防止数据丢失C. 提高数据传输速度D. 方便数据共享答案：B。

解析：数据备份就是为了在数据丢失或者损坏的情况下能够恢复数据。

7. 以下关于入侵检测系统的说法错误的是（）。

A. 可以检测到网络中的入侵行为B. 分为基于主机和基于网络的入侵检测系统C. 能够完全阻止入侵行为D. 是一种主动的安全防护技术答案：C。

解析：入侵检测系统能检测入侵行为，但不能完全阻止。

8. 信息安全管理体系的核心是（）。

A. 安全策略B. 安全技术C. 安全人员D. 安全设备答案：A。

解析：安全策略是信息安全管理体系的核心，其他都是围绕安全策略展开的。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题干：以下关于计算机病毒的说法，正确的是（）。

A、计算机病毒是一种生物病毒，可以通过空气传播B、计算机病毒是一种程序，具有自我复制能力，能够破坏计算机系统C、计算机病毒只能通过移动存储设备传播D、计算机病毒不会对计算机硬件造成损害2、题干：以下关于网络安全的基本要素，不属于五要素之一的是（）。

A、机密性B、完整性C、可用性D、真实性3、下列哪一项不属于常见的信息安全威胁？A. 拒绝服务攻击B. 物理盗窃C. 软件著作权保护D. 社会工程学攻击4、在信息安全保障体系中，PDR模型指的是哪三个要素？A. 预防、检测、响应B. 预警、防御、恢复C. 计划、部署、审查D. 保护、检测、反应5、下列哪一项不是用于确保数据完整性的措施？A. 校验和B. 数字签名C. 哈希函数D. 对称加密6、在网络安全领域，以下哪种攻击方式属于被动攻击？A. SQL注入B. 拒绝服务攻击C. 网络监听D. 跨站脚本攻击7、题目：在信息安全中，以下哪项不是常见的物理安全措施？A. 安全门禁系统B. 火灾自动报警系统C. 数据备份与恢复D. 网络防火墙8、题目：以下关于信息安全风险评估的说法，错误的是：A. 评估信息安全风险是信息安全管理体系（ISMS）的核心B. 评估信息安全风险可以识别出组织面临的主要安全威胁C. 评估信息安全风险有助于确定安全控制措施D. 评估信息安全风险需要考虑组织内部的业务需求9、在信息安全领域中，PKI（Public Key Infrastructure）主要功能是什么？A. 实现数据加密与解密B. 提供身份认证服务C. 支持安全电子邮件传输D. 上述所有选项 10、下列哪项不属于计算机病毒的传播途径？A. 通过互联网下载文件B. 使用未授权的软件C. 访问受感染的网站D. 定期更新操作系统补丁11、在信息安全领域，以下哪项技术不属于访问控制手段？A. 身份认证B. 访问控制列表（ACL）C. 数据加密D. 防火墙12、以下关于信息安全风险评估的说法中，正确的是：A. 风险评估只是针对已知威胁的评估B. 风险评估应当包括对组织内部和外部风险的识别和评估C. 风险评估的目的是为了完全消除风险D. 风险评估的结果不应当对外公开13、以下哪一项不是信息安全管理的基本原则？A. 保密性B. 完整性C. 可用性D. 不可否认性14、在信息系统安全中，用来保证数据不被未经授权的人所访问的安全措施是：A. 加密B. 防火墙C. 访问控制D. 审计追踪15、以下关于信息安全技术中防火墙的说法，错误的是：A. 防火墙可以阻止未经授权的访问B. 防火墙可以保护内部网络免受外部攻击C. 防火墙无法阻止内部网络之间的攻击D. 防火墙可以限制特定协议或端口的数据传输16、以下关于安全审计的说法，正确的是：A. 安全审计是定期检查网络安全设备B. 安全审计是检查网络中可能存在的安全漏洞C. 安全审计是检查操作系统和应用程序的安全配置D. 安全审计是以上所有说法17、以下关于密码学的描述，错误的是（）A. 密码学是研究如何保护信息安全的技术科学B. 密码学主要分为对称密码学和公钥密码学C. 对称密码学使用相同的密钥进行加密和解密D. 公钥密码学使用不同的密钥进行加密和解密18、以下关于安全协议的描述，正确的是（）A. 安全协议是指在网络通信过程中，用于保证数据传输安全的协议B. 安全协议的主要目的是防止数据在传输过程中被窃听、篡改和伪造C. 安全协议不涉及身份认证和访问控制D. 安全协议只适用于加密通信19、以下关于密码学中对称加密算法的描述，不正确的是：A. 对称加密算法使用相同的密钥进行加密和解密B. 对称加密算法的速度通常比非对称加密算法快C. 对称加密算法的安全性取决于密钥的长度和保密性D. 对称加密算法可以抵抗量子计算机的攻击 20、在信息安全中，以下哪种措施属于物理安全？A. 数据备份B. 网络防火墙C. 身份认证D. 安全审计21、以下关于ISO/IEC 27001标准说法正确的是：A. ISO/IEC 27001标准是信息安全管理体系（ISMS）的标准，适用于所有组织，无论其规模和类型。

2025年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、以下哪项不属于信息安全的基本原则？A. 完整性原则B. 保密性原则C. 可用性原则D. 可追溯性原则2、在信息安全风险中，以下哪一项属于内部威胁？A. 黑客攻击B. 系统漏洞C. 内部人员滥用权限D. 自然灾害3、在信息安全中，以下哪个选项不属于常见的威胁类型？A、病毒B、拒绝服务攻击（DoS）C、物理安全D、SQL注入4、以下关于安全协议的描述，不正确的是：A、SSL（安全套接层）用于在客户端和服务器之间建立加密的连接B、TLS（传输层安全）是SSL的升级版，提供了更强的安全性和扩展性C、IPSec（互联网安全协议）主要用于保护IP层的数据包D、SSH（安全外壳协议）用于远程登录和文件传输5、以下关于信息安全事件的分类，哪项是正确的？A. 根据破坏程度分为物理破坏、逻辑破坏和混合破坏B. 根据攻击目标分为数据安全、系统安全和网络安全C. 根据攻击手段分为病毒攻击、恶意软件攻击和人为破坏D. 根据影响范围分为局部性、区域性和国际性6、以下关于密码学的描述，哪项是错误的？A. 密码学是研究保护信息安全的技术和方法的学科B. 加密技术是密码学的主要研究内容之一C. 数字签名技术不属于密码学的范畴D. 密码分析是密码学的一个重要研究方向7、以下哪种加密算法属于对称加密算法？（）A. RSAB. AESC. MD5D. SHA-2568、在信息安全中，以下哪个概念与“防火墙”的功能最相似？（）A. 入侵检测系统（IDS）B. 安全审计C. 数据备份D. 加密9、在信息安全中，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. MD5D. SHA-256 10、在网络安全中，以下哪个术语指的是在不被第三方察觉的情况下，窃取或篡改数据的行为？A. 钓鱼攻击B. 网络攻击C. 漏洞利用D. 侧信道攻击11、以下哪种加密算法属于非对称加密算法？A. AESB. DESC. RSAD. RC412、在信息安全保障体系中，哪一项措施主要用于防止未经授权的数据修改？A. 访问控制B. 数据加密C. 完整性校验D. 备份与恢复13、题干：在信息安全领域，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD514、题干：以下哪个选项不属于信息安全风险管理的五个阶段？A. 风险识别B. 风险分析C. 风险控制D. 风险评估15、下列哪一项不属于常见的网络安全威胁？A. 物理破坏B. 信息泄露C. 软件升级D. 恶意代码16、在信息安全保障体系中，PDR模型指的是哪三个要素？A. 防护-检测-响应B. 计划-实施-审查C. 加密-解密-验证D. 预防-检测-恢复17、以下哪项不属于信息安全的基本原则？A. 完整性B. 可用性C. 可访问性D. 可控性18、在信息安全风险评估中，以下哪个不是常用的风险评估方法？A. 故障树分析B. 风险矩阵C. 脚本攻击D. 概率分析19、以下哪一项不是保证数据完整性的常用方法？A、使用加密算法B、使用哈希函数C、使用数字签名D、定期备份数据 20、下列关于防火墙的功能描述错误的是？A、防火墙可以阻止未经授权的访问进入内部网络B、防火墙可以检测并阻止某些类型的网络攻击C、防火墙可以完全防止病毒和恶意软件的传播D、防火墙可以记录通过它的信息，用于安全事件分析21、在信息安全领域，以下哪项不属于安全攻击的类型？A. 主动攻击B. 被动攻击C. 非法访问攻击D. 数据备份攻击22、以下哪项措施不属于信息系统的安全策略？A. 访问控制B. 身份认证C. 网络隔离D. 数据加密23、在公钥基础设施(PKI)中，下列哪一项不是证书颁发机构(CA)的主要职责？A. 生成密钥对B. 签发数字证书C. 撤销数字证书D. 验证证书申请者的身份24、以下哪一种攻击方式是通过向目标系统发送大量请求，使其无法处理正常的服务请求，从而导致服务不可用？A. SQL注入攻击B. 跨站脚本(XSS)攻击C. 缓冲区溢出攻击D. 拒绝服务(DoS)攻击25、以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD526、在信息安全中，以下哪个术语表示未经授权的访问？A. 窃听B. 拒绝服务攻击C. 窃密D. 未授权访问27、以下关于防火墙的说法正确的是：A. 防火墙可以完全防止内部数据泄露；B. 防火墙可以阻止所有的外部攻击；C. 防火墙可以防止病毒在已感染的系统内传播；D. 防火墙可以根据安全策略控制进出网络的数据流。

1、以下哪种攻击方式是通过伪造或篡改DNS记录，将用户引导到恶意网站的？
A. SQL注入
B. DDoS攻击
C. DNS劫持
D. 中间人攻击
（答案：C）
2、在信息安全领域中，以下哪项技术主要用于确保信息的机密性，通过算法将明文转换为不易被普通手段读懂的密文？
A. 数字签名
B. 防火墙
C. 加密技术
D. 访问控制
（答案：C）
3、以下哪种类型的漏洞是由于程序未能正确处理或验证输入数据，导致攻击者可以执行任意代码或命令？
A. 缓冲区溢出
B. SQL注入
C. 跨站脚本攻击(XSS)
D. 弱密码策略
（答案：A）
4、在网络安全中，以下哪项措施可以有效防止未经授权的用户访问网络资源？
A. 数据备份
B. 入侵检测系统
C. 访问控制策略
D. 漏洞扫描
（答案：C）
5、以下哪种加密方式中，每个明文块被独立加密，且相同的明文块使用相同的密钥加密时会产生相同的密文块？
A. 流密码
B. 分组密码
C. 公钥密码
D. 对称密码
（答案：B）
6、关于防火墙的功能，下列描述错误的是？
A. 能够阻止所有类型的网络攻击
B. 可以控制进出网络的数据包
C. 能够根据安全策略过滤流量
D. 可以提高网络边界的安全性
（答案：A）
7、在信息安全管理体系中，ISO/IEC 27001标准主要关注的是什么？
A. 网络安全设备的配置
B. 信息安全风险管理
C. 加密技术的应用
D. 软件开发的最佳实践
（答案：B）。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题目：在信息安全领域，以下哪种加密算法属于对称加密算法？A、RSAB、AESC、MD5D、SHA-2562、题目：在计算机安全事件处理过程中，以下哪个阶段不属于事件响应阶段？A、事件识别B、事件报告C、事件分析D、事件恢复3、下列关于信息安全体系的说法，正确的是（）。

A. 信息安全体系是指保护计算机系统安全的一系列技术和管理措施B. 信息安全体系是指保护信息资产的安全的一系列技术和管理措施C. 信息安全体系是指保护计算机网络安全的一系列技术和管理措施D. 信息安全体系是指保护信息资源的安全的一系列技术和管理措施4、在信息安全中，以下哪项措施属于物理安全？（）A. 数据加密B. 访问控制C. 物理隔离D. 防火墙5、在信息安全中，以下哪种加密算法是非对称加密算法？A. DESB. RSAC. MD5D. SHA-2566、在信息安全评估中，以下哪个不属于常见的评估方法？A. 黑盒测试B. 白盒测试C. 漏洞扫描D. 安全审计7、题目：下列关于密码学中哈希函数特点描述错误的是：A、哈希函数具有单向性，即从输入数据到输出哈希值是容易的，而从哈希值反推输入数据是困难的。

B、哈希函数的输出值长度固定，不随输入数据的长度变化。

C、哈希函数的输入数据即使只有一个小小的变化，其输出哈希值也会发生很大变化，即具有雪崩效应。

D、哈希函数的输出值是随机的，没有任何规律可循。

8、题目：以下关于信息安全风险评估的说法，错误的是：A、信息安全风险评估是信息安全管理体系的核心组成部分。

B、信息安全风险评估的目的是为了识别、分析和评估信息安全风险，为制定信息安全策略提供依据。

C、信息安全风险评估应当考虑组织内外部所有可能的风险因素。

D、信息安全风险评估的结果应当是静态的，不需要随着时间和环境的变化进行调整。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、信息安全的基本要素包括哪些？A、保密性、完整性、可用性、可控性B、机密性、完整性、可用性、不可变性C、保密性、真实性、完整性、不可抵赖性D、机密性、真实性、完整性、可追溯性2、以下哪个选项不属于信息安全风险管理的常见步骤？A、风险评估B、风险管理策略制定C、信息安全事件应急响应D、信息安全产品采购3、以下哪项不属于信息安全的基本属性？A. 保密性B. 完整性C. 可用性D. 可移植性4、关于防火墙的功能，下列描述正确的是：A. 防火墙可以防止所有类型的网络攻击。

B. 防火墙仅能提供物理层的安全防护。

C. 防火墙主要用于控制进出网络的数据流，以达到保护内部网络的目的。

D. 防火墙的作用是完全取代其他安全措施，如防病毒软件等。

5、以下哪种加密算法属于对称加密算法？（）A. RSAB. AESC. DESD. SHA-2566、在信息安全领域，以下哪个不是常见的网络攻击类型？（）A. 拒绝服务攻击（DoS）B. 网络钓鱼（Phishing）C. SQL注入攻击D. 恶意软件（Malware）7、关于密码学的基本概念，下列描述正确的是？A. 对称加密算法的特点是加密密钥与解密密钥相同B. 非对称加密算法中，公钥用于加密，私钥用于解密C. 数字签名主要用于验证数据的完整性和发送者的身份D. 哈希函数可以用于生成固定长度的消息摘要，但不是一种加密方法8、在网络安全中，防火墙的主要作用是什么？A. 阻止内部网络的用户访问互联网B. 检测并阻止来自外部网络的攻击C. 记录通过防火墙的所有流量信息D. 实现内外网之间的数据交换控制9、以下哪个选项不属于信息安全的基本原则？A. 完整性B. 可用性C. 可访问性D. 可控性 10、以下关于安全审计的说法，正确的是：A. 安全审计只能检测到已知的攻击和入侵行为B. 安全审计可以预防系统被攻击C. 安全审计可以恢复被攻击后的数据D. 安全审计是实时监控系统安全状态的一种方法11、在信息安全领域，下列哪一项不是防火墙的主要功能？A. 防止未经授权的访问B. 检测并阻止恶意软件C. 控制网络流量D. 保护内部网络不受外部威胁12、以下哪种算法不属于对称加密算法？A. AESB. DESC. RSAD. Blowfish13、在信息安全领域，以下哪项技术不属于加密技术？A. 对称加密B. 非对称加密C. 混合加密D. 加密哈希14、在信息安全风险评估中，以下哪个因素不是直接影响风险的概率？A. 攻击者的技能水平B. 系统的脆弱性C. 风险的暴露时间D. 事件的经济损失15、以下哪种加密算法属于非对称加密算法？A. AESB. DESC. RSAD. RC416、关于数字签名的说法，下列哪一项正确？A. 数字签名可以保证数据的完整性，但不能验证发送者的身份。

2024年上半年信息安全工程师真题及答案2024年上半年信息安全工程师真题及答案一、单项选择题1、下列选项中，对网络安全领域中的入侵检测系统描述正确的是（）A. 是一种被动防护技术，不能主动阻止攻击B. 是防火墙的补充和扩展，能消除内外威胁C. 是一种主动防护技术，通过在网端复制网络流量进行监控，发现攻击D. 是对防病毒系统的扩充，可以检测出网络中已发生的攻击行为正确答案是：C. 是一种主动防护技术，通过在网端复制网络流量进行监控，发现攻击。

2、下列密码中，安全性最高的是（） A. 用户名：Admin，密码：123456 B. 用户名：Guest，密码：Guest C. 用户名：John，密码：john888 D. 用户名：Admin，密码：$&%@Admin 正确答案是：D. 用户名：Admin，密码：$&%@Admin。

3、某公司为了提高员工的工作效率，准备在办公楼内接入无线网络。

下列关于无线局域网叙述正确的是（） A. 室内距离在300m内不需要考虑无线衰减问题 B. 无线网卡与无线路由器不在同一信道内会有衰减，但可以连接桥接 C. 2.4G与5G不会产生干扰，因此只需要分别设置不同的功率保证信号覆盖即可 D. 2.4G与5G频段的设备不能进行桥接正确答案是：B. 无线网卡与无线路由器不在同一信道内会有衰减，但可以连接桥接。

二、多项选择题1、下列行为属于违反网络道德的有（） A. 某高校学生使用黑客软件，未经许可入侵他人计算机系统，盗取他人游戏账号和游戏装备 B. 某高校学生在宿舍大量使用“热得快”，引起电路过载，造成火灾 C. 某网站在新闻发布时进行虚拟社区身份、IP、ID等信息的显示，导致舆论监督失衡 D. 某网站针对某些热门话题设置“敏感字过滤”，以此达到控制言论的目的正确答案是：A. 某高校学生使用黑客软件，未经许可入侵他人计算机系统，盗取他人游戏账号和游戏装备。

B. 某高校学生在宿舍大量使用“热得快”，引起电路过载，造成火灾。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、以下哪个选项不属于信息安全的基本要素？（）A、保密性B、完整性C、可用性D、可访问性2、在信息安全风险管理的流程中，以下哪个步骤不是风险管理的主要环节？（）A、风险评估B、风险分析C、风险规避D、风险监控3、以下关于网络层协议的描述中，错误的是（）A. IP协议负责数据包在网络中的传输路径选择B. TCP协议负责数据包在网络中的传输路径选择C. UDP协议提供可靠的数据传输服务D. ICMP协议负责处理网络中的错误和异常情况4、以下关于哈希函数特点的描述中，错误的是（）A. 哈希函数是单向函数，只能计算但不能逆推B. 哈希函数的输出结果是固定的长度C. 哈希函数具有较好的抗碰撞性D. 哈希函数可以保证数据传输的完整性和安全性5、在信息安全中，以下哪项不是一种常见的威胁类型？A. 网络钓鱼B. 物理攻击C. 操作系统漏洞D. 数据备份6、在加密算法中，以下哪种加密方式属于对称加密算法？A. RSAB. AESC. DESD. MD57、以下哪个选项不属于信息安全的基本要素？A. 机密性B. 完整性C. 可用性D. 可复制性8、在信息安全管理中，以下哪个不是风险评估的步骤？A. 确定风险承受度B. 识别风险C. 评估风险D. 制定应急响应计划9、以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD511、在信息安全领域中，以下哪项技术主要用于防止数据在传输过程中被非法截获和篡改？A. 加密技术B. 认证技术C. 防火墙技术D. 入侵检测系统13、在网络安全中，以下哪项不属于常见的安全攻击手段？A. 密码破解B. 拒绝服务攻击（DoS）C. 逆向工程D. 数据备份15、以下关于安全审计的说法中，正确的是（）A. 安全审计只能用于检测安全事件B. 安全审计是网络安全管理的一部分，主要目的是记录和监控安全事件C. 安全审计只涉及网络设备的安全D. 安全审计无法对内部网络进行审计17、题目：在信息安全领域，以下哪项不是常见的威胁类型？A. 网络攻击B. 硬件故障C. 病毒感染D. 系统漏洞19、以下关于密码学的基本概念，错误的是：A. 密码学是研究保护信息传输和存储安全性的学科。

招聘网络信息安全工程师笔试题及解答(答案在后面)一、单项选择题（本大题有10小题，每小题2分，共20分）1、网络信息安全工程师在设计安全策略时，首要考虑的是什么？A、系统的性能B、易用性C、安全性D、成本效益2、在信息安全等级保护中，哪一个级别是最高的？A、一级B、二级C、三级D、四级3、关于网络安全协议的描述，下列哪个选项是正确的？A、SSL协议用于保护Web网站的安全，但不适用于电子邮件和文件传输的安全通信。

B、TLS协议主要针对SSL协议的安全漏洞进行了改进，但两者的最终目标并不相同。

C、SSH协议主要用于安全远程登录服务，并不提供数据加密功能。

D、IPSec协议可以为网络层提供安全机制，适用于加密整个IP数据包。

4、以下关于数字签名的描述，哪一项是正确的？A、数字签名只用于验证文档的真实性和完整性，而不提供防篡改保护。

B、数字签名是使用私钥加密生成，只能用公钥进行解密验证。

C、数字签名的实现只需使用对称加密算法即可完成。

D、数字签名的目的是确保发送者的真实身份，以避免抵赖。

5、以下哪种类型的攻击是通过对数据流的分析，识别出敏感信息的传输模式，然后尝试窃取这些敏感数据？A、暴力攻击B、中间人攻击C、流量分析攻击D、SQL注入攻击6、在预防恶意软件感染时，以下哪种做法最有效？A、安装并定期更新可靠的防病毒软件B、定期更改系统时间C、频繁地重启计算机D、安装防火墙并关闭所有端口7、以下哪个是常见的网络攻击手段之一？A、DDoS攻击B、物理攻击C、社会工程学攻击D、白帽攻击8、在常见的身份认证方式中，哪一种方式的安全性相对较高？A、静态密码B、生物特征认证C、一次性密码D、数字证书9、以下哪项是网络攻击中最常见的技术之一，它通过发送大量分组数据（如ICMP Echo Request）来使目标服务器或网络接口过载，从而使其无法回应正常的网络流量？A、SQL注入B、DDoS攻击C、跨站脚本D、XSS攻击 10、哪种类型的漏洞是指软件无法正确处理数值过大或超出正常范围的数据输入时会出现异常或崩溃的情况？A、缓冲区溢出B、内存泄露C、整数溢出D、授权故障二、多项选择题（本大题有10小题，每小题4分，共40分）1、以下哪些是常见的网络安全威胁？A、SQL注入B、XSS攻击C、DNS中毒D、系统漏洞E、以上都正确2、在采用身份认证时，以下哪种方式不是常见的身份验证措施？A、用户名/密码B、物理令牌C、生物特征D、邮件验证码E、以上都是常见的身份验证措施3、以下哪些是常见的网络攻击手段？（）A、SQL注入攻击B、DDoS攻击C、跨站脚本攻击D、缓冲区溢出攻击E、网络钓鱼攻击4、关于防火墙的作用，以下哪些描述是准确的？（）A、过滤进出网络的数据流B、记录网络连接的详细信息C、划分网络区域，实施访问控制D、自行检测并处理网络内部的攻击行为E、能够完全阻止网络病毒的传播5、关于防火墙的功能，以下哪些说法是正确的？（）A、防火墙能够完全替代用户的网络安全意识B、防火墙可以监控并控制出入网络的数据包C、防火墙能够防止病毒和恶意软件直接进入内部网络D、防火墙可以审查网络通信的内容以提高安全性6、在使用密码学方法进行数据加密时，以下哪种加密方式是对称加密？（）A、RSAB、AESC、ECBD、SHA-2567、以下哪些措施可以有效提高网络系统的安全性？（）A、实施严格的访问控制策略B、定期进行安全漏洞扫描C、不采用最新的安全防护技术D、定期进行安全意识培训8、为了确保员工在公司内维护的信息安全，通常可以采取以下哪些管理措施？（）A、签订信息安全保密协议，明确员工的安全责任B、实施严格的带宽控制策略，避免滥用C、通过网络安全培训提高员工的信息安全意识D、为员工提供个人手机并安装公司防火墙9、以下关于网络信息安全策略的说法中，正确的是（）。

信息安全工程师考试试题及解析软考全称全国计算机技术与软件专业技术资格（水平）考试，这门新开的信息安全工程师分属该考试“信息系统”专业，位处中级资格。

是信息产业部和人事部在最新的“国人厅发[2007]139号[1]”文件中新增的专业。

信息安全专业的毕业生，主要在计算机软硬件、网络、应用相关领域从事安全系统设计、安全产品开发、产品集成、信息系统安全检测与审计等方面工作，服务单位可以是国家机关、企事业单位及科研教学单位等。

希赛软考学院为大家整理了一些考试试题及解析，供大家参考，希望能有所帮助。

（一）一、单选题1、在网络体系结构中，传输层的主要功能是A)不同应用进程之间的端-端通信B)分组通过通信子网时的路径选择C)数据格式变换、数据加密与解密D)MAC地址与IP地址之间的映射答案：A传输层的主要功能是为端到端连接提供可靠的传输服务；为端到端连接提供流量控制、差错控制、服务质量等管理服务。

路径选择发生在网络层，数据格式变换与加密等发生在表示层，MAC与IP地址映射发生在数据链路层。

根据分析，选项A符合题意，故选择A选项2、数据传输速率为3.5×1012bps，它可以记为A)3.5Kbps B)3.5Mbps C)3.5Gbps D)3.5Tbps答案：D1kbps=1×103bps，1Mbps约等于1×106bps，1Gbps约等于1×109bps，1Tbps 约等于1×1012bps。

因此3.5×1012bps约等于3.5Tbps。

故选择D选项。

3关于数据报交换方式的描述中，正确的是A)数据报交换过程中需要建立连接 B)每个分组必须通过相同路径传输C)分组传输过程中需进行存储转发 D)分组不需要带源地址和目的地址答案：C数据报是报文分组存储转发的一种形式，在数据报方式中，分组传输前不需要在源主机与目的主机之间预先建立"线路连接"。

2023年中级软考《信息安全工程师》考试历年真题摘选附带答案第1卷一.全考点综合测验(共20题)1.【单选题】属于第二层的VPN 隧道协议是()。

A.IPSecB.PPTPC.GRED.IPv42.【单选题】下列算法中，( )属于摘要算法。

A.DESB.MD5C.Diffie-HellmanD.AES3.【单选题】ISO 制定的安全体系结构描述了5 种安全服务，以下不属于这5 种安全服务的是()A.鉴别服务B.数据报过滤C.访问控制D.数据完整性4.【单选题】以下对OSI(开放系统互联)参考模型中数据链路层的功能叙述中，描述最贴切是()A.保证数据正确的顺序、无差错和完整B.控制报文通过网络的路由选择C.提供用户与网络的接口D.处理信号通过介质的传输5.【单选题】面向身份信息的认证应用中，最常用的认证方法是()A.基于数据库的认证B.基于摘要算法认证C.基于PKI 认证D.基于账户名/ 口令认证6.【单选题】入侵检测系统放置在防火墙内部所带来的好处是()A.减少对防火墙的攻击B.降低入侵检测C.增加对低层次攻击的检测D.增加检测能力和检测范围7.【单选题】下列说法中，错误的是()A.服务攻击是针对某种特定攻击的网络应用的攻击B.主要的渗入威胁有特洛伊木马和陷阱C.非服务攻击是针对网络层协议而进行的D.对于在线业务系统的安全风险评估，应采用最小影响原则8.【单选题】包过滤技术防火墙在过滤数据包时，一般不关心()A.数据包的原地址B.数据包的目的地址C.数据包的协议类型D.数据包的内容9.【单选题】面向数据挖掘的隐私保护技术主要解决高层应用中的隐私保护问题，致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护。

从数据挖掘的角度看，不属于隐私保护技术的是()。

A.基于数据失真的隐私保护技术B.基于数据匿名化的隐私保护技术C.基于数据分析的隐私保护技术D.基于数据加密的隐私保护技术10.【单选题】从安全属性对各种网络攻击进行分类，阻断攻击是针对()的攻击A.机密性B.可用性C.完整性D.真实性11.【单选题】以下关于VPN的叙述中，正确的是()A.VPN指的是用户通过公用网络建立的临时的、安全的连接B.VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路C.VPN不能做到信息认证和身份认证D.VPN只能提供身份认证，不能提供数据加密的功能12.【单选题】身份识别在信息安全领域有着广泛的应用，通过识别用户的生理特征来认证用户的身份是安全性很高的身份认证方法。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、1999年启用的我国信息安全等级保护系统将信息安全等级分为几个级别？（）A. 3级B. 4级C. 5级D. 6级2、在信息安全领域，CIA 三角模型中的“C”、“I”、“A”分别代表什么？A. 保密性、完整性、可用性B. 可用性、完整性、保密性C. 可用性、保密性、完整性D. 保密性、可用性、完整性3、以下哪项不属于信息安全的基本要素？A. 可靠性B. 完整性C. 机密性D. 可达性4、在网络安全中，常用的“蜜罐”技术主要用于什么目的？A. 监测网络攻击活动B. 删除恶意软件C. 防止网络病毒D. 提高防火墙性能5、题干：在密码学中，哪种算法属于对称加密算法？A. RSAB. DESC. ECCD. DSA6、题干：以下哪一项不是常见的网络攻击手段？A. 拒绝服务攻击B. SQL注入攻击C. 跨站脚本攻击D. 数据归档7、以下关于密码学的基本概念，错误的是：A. 加密是保护信息不被未授权者读取的技术B. 解密是加密过程的逆过程，用于恢复原始信息C. 对称加密算法使用相同的密钥进行加密和解密D. 公钥加密算法使用不同的密钥进行加密和解密，其中一个是公钥，另一个是私钥8、在信息安全中，以下哪种安全机制主要用于保护数据在传输过程中的完整性？A. 身份认证B. 访问控制C. 数据加密D. 完整性校验9、在信息安全领域，以下哪一项不属于常见的信息安全威胁类型？A、恶意软件B、钓鱼攻击C、数据泄露D、自然灾害 10、以下关于信息安全风险评估的说法错误的是：A、风险评估包括风险识别、风险分析和风险评价三个步骤。

B、风险识别指的是找出所有的信息资产，并确定每项资产面临的风险。

C、风险分析是在风险识别的基础上，对识别出的风险进行分析，评估其可能造成的损失和危害。

D、风险评价是对风险分析出的结果和各方的风险承受能力进行综合考虑，确定风险等级，并提出相应的控制措施。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题干：以下关于信息安全的说法中，错误的是：A、信息安全包括机密性、完整性、可用性和抗抵赖性四个方面。

B、物理安全是指保护计算机系统、网络设备以及其他信息处理设施的安全。

C、信息安全管理的目标是确保信息资产的安全，防止信息资产受到未经授权的访问、使用、披露、破坏、修改或删除。

D、信息安全的核心是确保信息的真实性，防止伪造和篡改。

2、题干：在网络安全防护中，以下哪种加密算法不适合用于数据完整性校验？A、MD5B、SHA-1C、SHA-256D、RSA3、（单选题）在信息安全领域，以下哪个概念指的是信息在传输过程中可能被未授权的第三方所截获和窃取的现象？A、信息泄露B、信息篡改C、信息泄露与信息篡改D、信息泄露与信息篡改及信息破坏4、（多选题）以下哪些措施可以有效防止网络钓鱼攻击？A、使用复杂密码B、安装防病毒软件C、定期更新操作系统和软件D、不点击不明链接5、以下关于密码学中对称密钥加密算法的描述，正确的是：A. 对称密钥加密算法中，加密和解密使用相同的密钥。

B. 对称密钥加密算法的安全性依赖于密钥的长度。

C. 对称密钥加密算法中，密钥的生成和分发过程非常简单。

D. 对称密钥加密算法的典型算法包括RSA和AES。

6、以下关于信息安全风险评估的方法，不属于通用方法的是：A. 威胁分析B. 漏洞扫描C. 业务影响分析D. 风险控制评估7、以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD58、在网络安全中，以下哪个术语指的是保护数据在传输过程中的完整性？A. 防火墙B. 加密C. 认证D. 完整性校验9、在信息安全领域，以下哪项技术属于密码学中的加密算法？A. 公钥加密B. 私钥加密C. 数据库加密D. 防火墙11、在信息安全领域，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD513、在网络安全防护体系中，以下哪项技术主要用于检测和防御恶意软件的攻击？A. 入侵检测系统（IDS）B. 防火墙C. 数据加密D. 访问控制15、以下哪种安全机制主要用于防止数据在传输过程中被非法截获和篡改？A. 加密技术B. 认证技术C. 防火墙技术D. 防病毒技术17、以下哪种算法属于对称加密算法？A. RSAB. AESC. ECC (椭圆曲线密码术)D. SHA (安全散列算法)19、题目：在信息安全领域，以下哪项技术不属于加密算法？A. RSAB. DESC. SHA-256D. TCP/IP21、以下哪种算法属于非对称加密算法？A、DESB、AESC、RSAD、SHA-25623、在信息安全领域中，以下哪项不属于常见的网络攻击手段？A. 拒绝服务攻击（DoS）B. 网络钓鱼C. 逆向工程D. 数据库注入25、关于数据加密标准DES，以下说法正确的是：A. DES是一种非对称加密算法B. DES密钥长度为64位，实际使用56位C. DES已经足够安全，无需考虑替代算法D. DES在所有情况下都比AES更优27、在网络安全防护策略中，以下哪项技术不属于入侵检测系统（IDS）常用的检测方法？A. 规则匹配检测B. 模式匹配检测C. 基于行为的检测D. 基于主机的检测29、在信息安全领域，以下哪种算法主要用于数字签名和验证？A. AESB. RSAC. DESD. SHA-25631、在网络安全领域中，以下哪种加密算法属于对称加密算法？A. RSAB. AESC. SHA-256D. MD533、以下哪一项不属于常见的网络攻击类型？A. 拒绝服务攻击（DoS）B. 社会工程学攻击C. 跨站脚本攻击（XSS）D. 网络钓鱼攻击E. 数据加密35、在信息安全领域中，以下哪种加密算法属于对称加密算法？A. RSAB. AESC. SHA-256D. MD537、下列关于数字签名的说法，正确的是：A. 数字签名可以保证数据的完整性，但不能验证发送者的身份。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题目：信息安全的基本要素包括哪些？A、保密性、完整性、可用性B、可靠性、稳定性、安全性C、易用性、效率性、可维护性D、准确性、一致性、可追溯性2、题目：以下哪项不是网络安全威胁的类型？A、病毒感染B、拒绝服务攻击（DoS）C、物理安全威胁D、信息泄露3、关于信息安全基本原则中的“安全审计”原则，以下描述正确的是（）。

A、侧重于提供系统报警和安全日志，以及定期审查这些记录来发现安全事件。

B、侧重于保护信息系统的保密性、完整性和可用性。

C、侧重于网络和系统防御外部攻击的各种技术措施。

D、侧重于确保用户的身份认证和访问控制。

4、下列关于信息安全技术的描述中，不正确的是（）。

A、防火墙能够有效保护网络边界，但不能防御来自内部网络的威胁。

B、CA认证中心负责发放和管理数字证书，用于确认用户的身份信息。

C、入侵检测系统的基础原理是比对正常行为模式和异常行为模式，识别入侵行为。

D、数据加密技术可以通过增加数据的复杂性，使数据在未经授权的情况下难以理解其内容。

5、在信息安全领域，以下哪种不是常见的攻击类型？A. SQL注入B. 社会工程学C. 文件共享D. 密码破解6、在信息安全评估中，以下哪个阶段不会直接生成风险管理报告？A. 风险识别B. 风险分析C. 风险评估D. 风险应对7、在信息安全领域，以下哪项技术不属于密码学的基本技术？A. 对称加密B. 非对称加密C. 加密哈希D. 数据库加密技术8、以下哪个选项描述了信息安全风险评估的典型步骤？A. 风险识别、风险分析、风险评价、风险应对B. 风险识别、风险应对、风险分析、风险评价C. 风险分析、风险识别、风险评价、风险应对D. 风险评价、风险识别、风险分析、风险应对9、以下哪项不是信息安全的基本原则？•A、最小权限原则•B、纵深防御原则•C、数据完整性原则•D、全面覆盖原则 10、关于密码学中的对称加密和非对称加密，以下说法错误的是？•A、对称加密使用相同的密钥进行加密和解密•B、非对称加密使用一对密钥（公钥和私钥），公钥用于加密，私钥用于解密•C、对称加密算法常见的有AES、DES等，非对称加密算法常见的有RSA、ECC等•D、对称加密的密钥管理比非对称加密困难，因为需要一个安全地分发密钥的渠道11、题目：在信息安全领域，以下哪项技术不是密码学的基础技术？A. 对称加密B. 非对称加密C. 消息摘要D. 数字水印12、题目：以下关于信息安全风险管理的描述，不正确的是：A. 信息安全风险是指信息安全事件对组织损害的可能性B. 风险评估是信息安全风险管理过程中的一个重要步骤C. 信息安全风险管理旨在降低和防范信息安全风险D. 风险应对措施包括风险规避、风险转移、风险接受和风险减轻13、题干：在信息安全领域中，以下哪项不属于常见的威胁类型？A. 恶意软件B. 网络攻击C. 物理安全D. 数据泄露14、题干：以下哪个协议是用来实现网络数据传输加密的？A. SSL/TLSB. FTPC. SMTPD. HTTP15、信息安全风险管理框架通常包括哪四个阶段？（多项选择）A、识别B、分析C、反应D、控制16、在ISO/IEC 27001标准中，信息安全管理体系（Information Security Management System, ISMS）的核心要素有哪些？A、信息安全目标B、信息安全政策C、信息安全风险管理D、信息安全组织17、下述哪项不属于信息安全中的物理安全措施？A、屏蔽电缆以防止电磁干扰B、定期清洁计算机以防止灰尘积累C、加密通信数据以保证传输安全D、使用报警系统防止非法入侵18、以下哪种病毒会被称为“蠕虫”？A、特洛伊木马B、宏病毒C、垃圾邮件病毒D、网络蠕虫病毒19、以下哪种加密算法在信息安全领域中主要用于身份验证？A. DESB. RSAC. SHA-256D. MD5 20、在网络安全中，以下哪项措施属于被动攻击？A. 数据篡改B. 中间人攻击C. 拒绝服务攻击D. 监听通信内容21、SSL 协议是 Secure Socket Layer (安全套接层) 的简称，是保证互联网上信息传输安全的一种通信协议，主要提供了识别服务器身份和数据的保密性等功能。

2025年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、信息安全的基本要素包括哪些？2、什么是安全协议？请列举两种常见的安全协议。

3、题干：以下关于密码学的说法中，错误的是：A、密码学是研究如何保护信息不被未授权者获取和利用的学科。

B、密码体制分为对称密码体制和非对称密码体制。

C、哈希函数可以保证数据的完整性和一致性，但不能保证数据的机密性。

D、数字签名可以用来验证信息的完整性和身份认证。

4、题干：在信息安全领域，以下哪项技术不属于入侵检测系统（IDS）的检测方法？A、异常检测B、签名检测C、漏洞扫描D、访问控制5、以下关于密码学的描述，不正确的是（）A. 加密算法根据密钥的长度可以分为对称密钥算法和非对称密钥算法。

B. 公钥密码学中，公钥和私钥是一对密钥，公钥可以公开，私钥必须保密。

C. 密钥管理是密码学中非常重要的环节，包括密钥的生成、存储、分发、使用和销毁。

D. 加密技术可以保证数据在传输过程中的安全性，但无法保证数据在存储过程中的安全性。

6、以下关于信息安全风险评估的说法，错误的是（）A. 信息安全风险评估是识别、分析和评估组织面临的信息安全威胁、脆弱性和潜在影响的系统性过程。

B. 信息安全风险评估的目的是为了确定组织在信息安全方面的风险程度，为风险控制提供依据。

C. 信息安全风险评估的方法包括定性和定量两种。

D. 信息安全风险评估的结果通常包括风险等级、风险事件和风险控制措施。

7、下列哪种技术不属于密码学的基本技术？A. 对称加密B. 非对称加密C. 量子加密D. 零知识证明8、在信息安全领域，以下哪种威胁类型不属于网络攻击？A. 网络钓鱼B. 拒绝服务攻击（DoS）C. 系统漏洞D. 硬件故障9、以下哪种加密算法是分组加密算法？A. RSAB. DESC. SHA-256D. MD5 10、在信息安全中，以下哪种安全协议用于在两个通信实体之间建立加密隧道，以确保数据传输的安全性？A. SSL/TLSB. IPsecC. PGPD. FTPS11、题干：以下关于密码学中公钥密码体制的描述，不正确的是：A. 公钥密码体制使用两个密钥，一个公钥用于加密，一个私钥用于解密。

软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、在信息安全领域，以下哪项不属于信息安全的基本属性？A、保密性B、完整性C、可用性D、可访问性2、以下哪种加密算法属于对称加密算法？A、RSAB、DESC、ECCD、SHA-2563、在信息安全领域，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD54、在信息安全中，以下哪种措施不属于物理安全范畴？A. 安装门禁系统B. 数据备份C. 网络防火墙D. 限制访问权限5、题干：在信息安全领域中，以下哪项不属于常见的网络安全攻击手段？A. 中间人攻击B. 拒绝服务攻击（DoS）C. 数据库注入攻击D. 物理安全破坏6、题干：以下关于数字签名技术的描述，错误的是：A. 数字签名可以确保信息的完整性B. 数字签名可以验证信息的发送者身份C. 数字签名可以防止信息在传输过程中被篡改D. 数字签名可以保证信息在传输过程中的保密性7、在信息安全中，以下哪个术语描述了信息从其原始形式转换成另一种形式，以便于传输、存储或处理？A. 加密B. 编码C. 隐写术D. 敏感数据8、以下哪个安全模型定义了安全系统应该满足的四个基本安全属性：机密性、完整性、可用性和合法性？A. 访问控制模型B. 贝尔-拉登模型C. 普里维特模型D. 威森安全模型9、在信息安全领域中，以下哪个协议主要用于在网络层提供数据包的安全传输？A. SSL/TLSB. IPsecC. HTTPSD. S/MIME 10、在信息安全风险评估中，以下哪种方法不属于定量风险评估方法？A. 层次分析法（AHP）B. 故障树分析法（FTA）C. 风险矩阵法D. 模拟分析法11、下列哪一项不是防火墙的主要功能？A. 过滤进出网络的数据包B. 提供入侵检测服务C. 隐藏内部网络结构D. 记录通过防火墙的信息内容和活动12、在密码学中，如果加密密钥和解密密钥是相同的，则这种加密方式被称为：A. 对称密钥加密B. 公钥加密C. 非对称密钥加密D. 单向函数13、在信息安全中，以下哪项不属于常见的加密算法类型？A. 对称加密B. 非对称加密C. 公开密钥加密D. 哈希加密14、以下哪项不是信息安全中的安全协议？A. SSL/TLSB. IPsecC. HTTPD. FTP15、关于数字签名的说法中，错误的是：A. 数字签名可以保证信息的完整性B. 数字签名可以确保发送者的身份真实性C. 数字签名可以防止接收者篡改信息后否认接收到的信息D. 数字签名可以保证信息在传输过程中的保密性16、在公钥基础设施（PKI）中，负责发放和管理数字证书的机构称为：A. 用户B. 注册机构（RA）C. 证书颁发机构（CA）D. 证书库17、以下哪项不是信息安全的基本要素？（）A. 机密性B. 完整性C. 可用性D. 可追溯性18、在以下哪种情况下，会对信息安全造成威胁？（）A. 系统硬件故障B. 系统软件更新C. 访问控制不当D. 网络连接不稳定19、以下哪个选项不属于信息安全的基本原则？A. 完整性B. 可用性C. 可扩展性D. 可控性 20、在信息安全风险评估中，以下哪种方法不属于定性风险评估方法？A. 故障树分析（FTA）B. 故障影响及危害度分析（FMEA）C. 概率风险评估模型D. 威胁评估21、在信息安全领域，下列哪一项不属于访问控制的基本要素？A. 主体B. 客体C. 控制策略D. 加密算法22、以下哪个选项描述了“最小特权原则”？A. 系统中的每个用户都应该拥有执行其工作所需的最小权限集。

2023年中级软考《信息安全工程师》考试历年真题摘选附带答案第1卷一.全考点综合测验(共20题)1.【单选题】在访问因特网时，为了防止Web页面中恶意代码对自己计算机的损害，可以采取的防范措施是()A.将要访问的Web站点按其可信度分配到浏览器的不同安全区域B.在浏览器中安装数字证书C.利用IP 安全协议访问Web站点D.利用SSL访问Web站点2.【单选题】ISO 制定的安全体系结构描述了5 种安全服务，以下不属于这5 种安全服务的是()A.鉴别服务B.数据报过滤C.访问控制D.数据完整性3.【单选题】网络系统中针对海量数据的加密，通常不采用()A.链路加密B.会话加密C.公钥加密D.端对端加密4.【单选题】IEEE 802.3u 定义的最大传输速率是()A.10MbpsB.20MbpsC.54MbpsD.100Mbps5.【单选题】电子政务对提高政府决策水平具有重要意义，以下哪项描述不正确?()A.促进决策的科学化和民主化B.减少决策的盲目性C.提高决策的时效性D.可完全替代人工决策6.【单选题】在IPv4 的数据报格式中，字段()最适合于携带隐藏信息A.生存时间B.源IP 地址C.版本D.标识7.【单选题】下列攻击中，不能导致网络瘫痪的是()A.溢出攻击B.钓鱼攻击C.邮件炸弹攻击D.拒绝服务攻击8.【单选题】安全电子交易协议SET是有VISA和MasterCard 两大信用卡组织联合开发的电子商务安全协议。

以下关于SET的叙述中，正确的是()A.SET是一种基于流密码的协议B.SET不需要可信的第三方认证中心的参与C.SET要实现的主要目标包括保障付款安全，确定应用的互通性和达到全球市场的可接受性D.SET通过向电子商务各参与方发放验证码来确认各方的身份，保证网上支付的安全性9.【单选题】关于IM 系统的服务器中转模式的描述中，正确的是()A.不能用于消息传输B.不需要域名服务器的支持C.服务器需要验证客户身份D.客户机使用的端口必须固定10.【单选题】以下不属于信息安全风险评估中需要识别的对象是()A.资产识别B.威胁识别C.风险识别D.脆弱性识别11.【单选题】强制访问控制( MAC)是一种不允许主体干涉的访问控制类型。

计算机四级信息安全工程师题库一、选择题（每题3分，共30分）1. 以下哪种加密算法属于对称加密算法？（）A. RSAB. ECCC. AESD. DSA答案：C。

解析：AES（Advanced Encryption Standard）是对称加密算法，它在加密和解密时使用相同的密钥。

RSA、ECC和DSA都是非对称加密算法。

2. 在信息安全中，访问控制主要用于（）。

A. 防止数据丢失B. 限制用户对资源的访问C. 加密数据D. 检测入侵答案：B。

解析：访问控制的主要目的就是限制用户对资源的访问，根据用户的身份、权限等因素决定是否允许用户访问特定的资源。

3. 信息安全中的完整性是指（）。

A. 数据不被泄露B. 数据不被篡改C. 系统正常运行D. 用户身份真实答案：B。

解析：完整性是确保数据在传输和存储过程中不被未经授权的修改，保证数据的完整性对于信息安全非常重要。

4. 以下哪种攻击方式主要针对网络协议的漏洞？（）A. 拒绝服务攻击B. 缓冲区溢出攻击C. 协议分析攻击D. 暴力破解攻击答案：C。

解析：协议分析攻击是通过分析网络协议的漏洞来进行攻击的，而拒绝服务攻击是使目标系统无法提供服务，缓冲区溢出攻击是利用程序中的缓冲区溢出漏洞，暴力破解攻击是通过不断尝试密码等方式进行攻击。

5. 信息安全工程师在进行风险评估时，首先要做的是（）。

A. 确定资产价值B. 识别威胁C. 分析脆弱性D. 计算风险值答案：A。

解析：在风险评估中，首先要确定资产价值，因为只有知道资产的价值，才能确定威胁和脆弱性对其造成的影响程度。

6. 以下哪个不是防火墙的功能？（）A. 过滤网络流量B. 防止病毒入侵C. 隐藏内部网络结构D. 限制外部访问内部网络答案：B。

解析：防火墙主要功能是过滤网络流量、隐藏内部网络结构和限制外部访问内部网络等，虽然有些防火墙可以检测部分病毒，但防止病毒入侵不是其主要功能，防病毒主要依靠杀毒软件。

7. 在数字签名中，私钥用于（）。

2023下六个月信息安全工程师考试真题一、单项选择1、如下有关信息安全管理员职责旳论述，不对旳旳是（）A、信息安全管理员应当对网络旳总体安全布局进行规划B、信息安全管理员应当对信息系统安全事件进行处理C、信息安全管理员应当负责为顾客编写安全应用程序D、信息安全管理员应当对安全设备进行优化配置2、国家密码管理局于2023年公布了“无线局域网产品须使用旳系列密码算法”，其中规定密钥协商算法应使用旳是（）A、DHB、ECDSAC、ECDHD、CPK3、如下网络袭击中，（）属于被动袭击A、拒绝服务袭击B、重放C、假冒D、流量分析4、（）不属于对称加密算法A、IDEAB、DESC、RCSD、RSA5、面向身份信息旳认证应用中，最常用旳认证措施是（）A、基于数据库旳认证B、基于摘要算法认证C、基于PKI认证D、基于账户名/口令认证6、假如发送方使用旳加密密钥和接受方使用旳解密密钥不相似，从其中一种密钥难以推出另一种密钥，这样旳系统称为（）A、公钥加密系统B、单密钥加密系统C、对称加密系统D、常规加密系统7、S/Key口令是一种一次性口令生产方案，它可以对抗（）A、恶意代码木马袭击B、拒绝服务袭击C、协议分析袭击D、重放袭击8、防火墙作为一种被广泛使用旳网络安全防御技术，其自身有某些限制，它不能制止（）A、内部威胁和病毒威胁B、外部袭击C、外部袭击、外部威胁和病毒威胁D、外部袭击和外部威胁9、如下行为中，不属于威胁计算机网络安全旳原因是（）A、操作员安全配置不妥而导致旳安全漏洞B、在不影响网络正常工作旳状况下，进行截获、窃取、破译以获得重要机密信息C、安装非正版软件D、安装蜜罐系统10、电子商务系统除了面临一般旳信息系统所波及旳安全威胁之外，更轻易成为黑客分子旳袭击目旳，其安全性需求普遍高于一般旳信息系统，电子商务系统中旳信息安全需求不包括（）A、交易旳真实性B、交易旳保密性和完整性C、交易旳可撤销性D、交易旳不可抵赖性11、如下有关认证技术旳论述中，错误旳是（）A、指纹识别技术旳运用可以分为验证和识别B、数字签名是十六进制旳字符串C、身份认证是用来对信息系统中实体旳合法性进行验证旳措施D、消息认证可以确定接受方收到旳消息与否被篡改正12、有一种原则是对信息进行均衡、全面旳防护，提高整个系统旳安全性能，该原则称为（）A、动态化原则B、木桶原则C、等级性原则D、整体原则13、在如下网络威胁中，（）不属于信息泄露A、数据窃听B、流量分析C、盗窃顾客账户D、暴力破解14、未授权旳实体得到了数据旳访问权，这属于对安全旳（）A、机密性B、完整性C、合法性D、可用性15、按照密码系统对明文旳处理措施，密码系统可以分为（）A、置换密码系统和易位密码B、密码学系统和密码分析学系统C、对称密码系统和非对称密码系统D、分级密码系统和序列密码系统16、数字签名最常见旳实现措施是建立在（）旳组合基础之上A、公钥密码体制和对称密码体制B、对称密码体制和MD5摘要算法C、公钥密码体制和单向安全散列函数算法D、公证系统和MD4摘要算法17、如下选项中，不属于生物识别措施旳是（）A、指纹识别B、声音识别C、虹膜识别D、个人标识号识别18、计算机取证是将计算机调查和分析技术应用于对潜在旳、有法律效应确实定和提取。