信息安全工程习题及答案(版)汇编

信息安全工程师真题及答案引言信息安全工程师是一个备受关注的职业，随着信息技术的快速发展和互联网的普及，信息安全问题日益凸显。

为了应对这些问题，各大企业和组织纷纷设立信息安全团队，招聘和培养信息安全工程师。

而作为一名准备进入这个领域的人，了解一些真题和答案将有助于提升复习效果和应对能力。

本文将分享一些常见的信息安全工程师真题及答案，希望对您的准备和学习有所帮助。

真题1：密码学基础问：什么是对称加密和非对称加密？请分别描述它们的工作原理。

答：对称加密是指发送和接收方使用相同的密钥进行加密和解密的过程。

工作原理如下：发送方使用密钥对明文进行加密，生成密文，并将密文发送给接收方。

接收方使用相同的密钥对密文进行解密，从而得到原始的明文。

非对称加密则利用了公钥和私钥的组合。

公钥可以自由发布给任何人，而私钥则保密。

发送方使用接收方的公钥对明文进行加密，并将密文发送给接收方。

接收方使用自己的私钥对密文进行解密，获得原始的明文。

非对称加密的工作原理是依靠公钥和私钥之间的数学关系。

真题2：网络安全问：常见的网络攻击方式有哪些？请分别描述每种攻击方式以及防范措施。

答：常见的网络攻击方式包括以下几种：1.DDoS 攻击：分布式拒绝服务攻击，攻击者通过控制大量的僵尸主机向目标服务器发起海量请求，导致目标服务器无法正常响应正常用户的请求。

防范措施包括使用入侵检测和防御系统、设置流量限制和使用反向代理等。

2.SQL 注入攻击：攻击者通过在用户输入的数据中注入 SQL 代码，从而执行恶意的数据库查询和操作。

防范措施包括严格的输入验证、使用参数化查询和最小化数据库权限等。

3.社交工程：攻击者利用社交工具和技术对用户进行欺骗，以获取机密信息或执行恶意操作。

防范措施包括加强员工培训、建立有效的安全策略和保护用户敏感信息等。

4.恶意软件：包括病毒、木马、蠕虫等各种恶意软件，通过感染用户设备进行信息窃取、控制或破坏。

防范措施包括使用杀毒软件、及时更新操作系统和应用程序、不随意下载和点击可疑链接等。

2023年中级软考《信息安全工程师》考试全真模拟易错、难点汇编叁（带答案）（图片大小可自由调整）一.全考点综合测验(共35题)1.【单选题】关于计费管理的描述中，错误的是()A.统计网络资源利用率B.进行账单管理C.人工费用不计入网络成本D.进行效益核算正确答案：C本题解析：解析：计费管理是记录网络资源的使用，目的是控制和监测网络操作的费用和代价。

计费管理通常包含几个主要功能，即计算网络建设及运营成本、统计网络及其所包含的资源的利用率、联机收集计费数据、计算用户应支付的网络服务费用、账单管理等。

人工费用会计入网络成本，计费管理会进行效益核算。

根据解析选项 C 错误，根据题意故选择 C 选项2.【单选题】在DES加密算法中，密钥长度和被加密的分组长度分别是()B.56 位和56位C.64 位和64位D.64 位和56位正确答案：A3.【单选题】在IPv4 互联网中，如果需要指定一个IP 数据报经过路由器的完整路径，那么可以使用的数据报选项为()A.记录路由B.时间戳C.松散源路由D. 严格源路由正确答案：D本题解析：解析：记录路由：是指记录下IP 数据报从源主机到目的主机所经过的路径上的每个路由器的IP 地址。

时间戳：是指记录下IP 数据报经过每一个路由器时的当地时间。

源路由：是指IP 数据报穿越互联网所经过的路径是由源主机指定的。

源路由选项可以分为两类。

一类是严格源路由选项，另一类是松散源路由选项。

严格源路由选项规定IP 数据报要经过路径上的每一个路由器，相邻路由器之间不得有中间路由器，并且所经过路由器的顺序不能更改。

松散源路由选项只是给出IP 数据报必须经过的一些"要点"，并不给出一条完备的路径，无直接连接的路由器之间的路由4.【单选题】X.509 数字证书的内容不包括()。

A.版本号B.签名算法标识C.加密算法标识D.主体的公开密钥信息正确答案：C5.【单选题】数字水印是通过数字信号处理的方法，在数字化的多媒体数据中，嵌入隐蔽的水印标记。

信息安全技术练习题库及答案一、单选题（共59题，每题1分，共59分）1.关于TCP/IP模型与OSI模型对应关系的描述中，正确的是（）A、TCP/IP模型的应用层对应于OSI模型的传输层B、TCP/IP模型的传输层对应于OSI模型的物理层C、TCP/IP模型的互联层对应于OSI模型的网络层D、CP/IP模型的主机-网络层对应于OSI模型的应用层正确答案：C2.数据备份按照备份时所备份数据的特点可以分为3种：完全备份、（）和系统备份。

A、增量备份B、环境备份C、设备备份D、媒体备份正确答案：A3.在移位密码中，密钥k=1，明文字母为Z，对应的密文字母为（）。

A、AB、BC、CD、D正确答案：A4.（）是指如果数据有变动或数据变动达到指定的阈值时才对数据进行备份。

A、环境备份B、增量备份C、完全备份D、系统备份正确答案：B5.端到端加密方式是（）层的加密方式A、物理层B、传输层C、网络层D、数据链路层正确答案：B6.假设k密钥，c密文，m明文，移位密码加密的公式为（）。

A、m=c+kB、c=m-kC、k=m+cD、c=m+k(mod26)正确答案：D7.从古代到19世纪末，这个时期生产力水平低，加密、解密方法主要以纸、笔或者简单的器械来实现，这个时期提出和使用的密码称为（）。

A、古典密码B、公钥密码C、非对称密码D、双钥密码正确答案：A8.使用两个不同密钥(K1,K2)，采用加密-解密-加密算法的3DES为（）模式。

A、DES-EDE2B、EEE3C、DDD4D、EDE正确答案：A9.OSI参考模型中,网络层的主要功能是A、路由选择.拥塞控制与网络互连B、在通信实体之间传送以帧为单位的数据C、提供可靠的端—端服务,透明地传送报文D、数据格式变换.数据加密与解密.数据压缩与恢复正确答案：A10.在网络攻击的多种类型中，攻击者窃取到系统的访问权并盗用资源的攻击形式属于哪一种？A、侵入攻击B、信息篡改C、govD、信息盗窃正确答案：A11.在移位密码中，密钥k=6，明文字母为U，对应的密文字母为（）。

信息安全技术试题库（含答案）一、单选题（共100题，每题1分，共100分）1.硬件防火墙的平台架构不包括A、IAAS架构B、X86架构C、ASIC架构D、NP架构正确答案：A2.在制定一套好的安全管理策略时,制定者首先必须( )。

A、与技术员进行有效沟通B、与监管者进行有效沟通C、与决策层进行有效沟通D、与用户进行有效沟通正确答案：C3.信息安全管理体系审核，包括两个方面的审核，即A、管理和流程B、控制和技术C、管理和技术D、控制和流程正确答案：C4.下列关于信息的四种定义中，我国学者钟义信先生提出的是A、信息是事物运动的状态和状态变化的方式B、信息是人们在适应外部世界且这种适应反作用于外部世界的过程中，同外部世界进行相互交换的内容的名称C、信息是反映事物的形式、关系和差异的东西D、信息是用于减少不确定性的东西正确答案：A5.属于哈希函数特点的是A、单向性B、扩充性C、可逆性D、低灵敏性正确答案：A答案解析：哈希函数是一种将任意长度的消息压缩到固定长度的消息摘要的函数。

它具有以下特点： A. 单向性：哈希函数是单向的，即从哈希值无法推出原始数据。

这是哈希函数最重要的特点之一。

B. 扩充性：哈希函数具有扩充性，即可以对任意长度的数据进行哈希计算，得到固定长度的哈希值。

C. 可逆性：哈希函数是不可逆的，即从哈希值无法推出原始数据。

与单向性相同。

D. 低灵敏性：哈希函数的输出值对输入值的微小变化非常敏感，即输入值的微小变化会导致输出值的大幅度变化。

综上所述，选项A正确，属于哈希函数的特点之一。

6.关于国家秘密,机关、单位应当根据工作需要,确定具体的A、保密期限、解密时间，或者解密条件B、保密条件、保密期限，或者解密期限C、保密条件、解密条件,或者解密期限D、保密条件、保密期限，或者解密条件正确答案：A7.IPSec协议属于( )。

A、介于二、三层之间的隧道协议B、第三层隧道协议C、传输层的VPN协议D、第二层隧道协议正确答案：B8.在ISMA架构的具体实施中，下列关于安全事件记录的描述错误的是A、安全事件的记录是信息资产B、安全事件的记录要进行密级标记C、电子媒体的记录应进行备份D、安全事件的记录保存不受任何约束正确答案：D9.下列关于加密算法应用范围的描述中，正确的是A、DSS用于数字签名，RSA用于加密和签名B、DSS用于密钥交换, IDEA用于加密和签名C、DSS用于数字签名，MD5用于加密和签名D、DSS用于加密和签名，MD5用于完整性校验正确答案：A10.下列关于栈的描述中，正确的是()。

信息安全试题及答案解析一、单项选择题（每题2分，共10题）1. 信息安全的核心目标是保护信息的（）。

A. 可用性B. 完整性C. 机密性D. 所有选项答案：D。

解析：信息安全的核心目标是保护信息的机密性、完整性和可用性，这三个属性合称为CIA三元组。

2. 以下哪项不是信息安全的基本属性？A. 机密性B. 完整性C. 可用性D. 可靠性答案：D。

解析：信息安全的基本属性包括机密性、完整性和可用性，而可靠性是系统性能的一个方面，不属于信息安全的基本属性。

3. 以下哪个协议不是用于传输层的安全协议？A. SSLB. TLSC. IPsecD. HTTP答案：D。

解析：SSL（Secure Sockets Layer）和TLS （Transport Layer Security）是用于传输层的安全协议，而IPsec （Internet Protocol Security）是网络层的安全协议。

HTTP （Hypertext Transfer Protocol）是超文本传输协议，不涉及传输层的安全。

4. 以下哪种攻击方式不属于网络攻击？A. 拒绝服务攻击（DoS）B. 社交工程攻击C. 病毒攻击D. 物理攻击答案：D。

解析：拒绝服务攻击、社交工程攻击和病毒攻击都属于网络攻击的范畴，而物理攻击是指对物理设备的攻击，如破坏服务器等，不属于网络攻击。

5. 以下哪种加密算法属于对称加密算法？A. RSAB. DESC. ECCD. AES答案：B。

解析：DES（Data Encryption Standard）是一种对称加密算法，而RSA、ECC（Elliptic Curve Cryptography）和AES （Advanced Encryption Standard）都是非对称加密算法。

6. 以下哪项不是防火墙的功能？A. 访问控制B. 入侵检测C. 数据包过滤D. 网络地址转换答案：B。

解析：防火墙的主要功能包括访问控制、数据包过滤和网络地址转换，而入侵检测是入侵检测系统（IDS）的功能，不是防火墙的功能。

2022年职业考证-软考-信息安全工程师考试全真模拟全知识点汇编押题第五期（含答案）一.综合题(共15题)1.单选题a=17，b=2，则满足a与b取模同余的是（）。

问题1选项A.4B.5C.6D.7【答案】B【解析】本题考查数学基础相关知识。

两个整数a、b，若它们除以整数m所得的余数相等，则称a与b对于模m同余或a同余于b模m，记作a≡b (mod m)，即求解17≡2（mod m），m=5。

故本题选B。

2.案例题阅读下列说明和表，回答问题1至问题4，将解答填入答题纸的对应栏内。

【说明】防火墙类似于我国古代的护城河，可以阻挡敌人的进攻。

在网络安全中，防火墙主要用于逻辑隔离外部网络与受保护的内部网络。

防火墙通过使用各种安全规则来实现网络的安全策略。

防火墙的安全规则由匹配条件和处理方式两个部分共同构成。

网络流量通过防火墙时，根据数据包中的某些特定字段进行计算以后如果满足匹配条件，就必须采用规则中的处理方式进行处理。

【问题1】（5分）假设某企业内部网（202.114.63.0/24）需要通过防火墙与外部网络互连，其防火墙的过滤规则实例如表4.1所示。

表中“*”表示通配符，任意服务端口都有两条规则。

请补充表4.1中的内容（1）和（2），并根据上述规则表给出该企业对应的安全需求。

【问题2】（4分）一般来说，安全规则无法覆盖所有的网络流量。

因此防火墙都有一条默认（缺省）规则，该规则能覆盖事先无法预料的网络流量。

请问缺省规则的两种选择是什么？【问题3】（6分）请给出防火墙规则中的三种数据包处理方式。

【问题4】（4分）防火墙的目的是实施访问控制和加强站点安全策略，其访问控制包含四个方面的内容：服务控制、方向控制、用户控制和行为控制。

请问表4.1中，规则A涉及访问控制的哪几个方面的内容？【答案】【问题1】（1）53 （2）丢弃或Drop其安全需求为：（1）允许内部用户访问外部网络的网页服务器；（2）允许外部用户访问内部网络的网页服务器（202.114.64.125）；（3）除 1和2 外，禁止其他任何网络流量通过该防火墙。

可编辑修改精选全文完整版2023年中级软考《信息安全工程师》考试历年真题摘选附带答案第1卷一.全考点综合测验(共20题)1.【单选题】属于第二层的VPN 隧道协议是()。

A.IPSecB.PPTPC.GRED.IPv42.【单选题】下列算法中，( )属于摘要算法。

A.DESB.MD5C.Diffie-HellmanD.AES3.【单选题】ISO 制定的安全体系结构描述了5 种安全服务，以下不属于这5 种安全服务的是()A.鉴别服务B.数据报过滤C.访问控制D.数据完整性4.【单选题】以下对OSI(开放系统互联)参考模型中数据链路层的功能叙述中，描述最贴切是()A.保证数据正确的顺序、无差错和完整B.控制报文通过网络的路由选择C.提供用户与网络的接口D.处理信号通过介质的传输5.【单选题】面向身份信息的认证应用中，最常用的认证方法是()A.基于数据库的认证B.基于摘要算法认证C.基于PKI 认证D.基于账户名/ 口令认证6.【单选题】入侵检测系统放置在防火墙内部所带来的好处是()A.减少对防火墙的攻击B.降低入侵检测C.增加对低层次攻击的检测D.增加检测能力和检测范围7.【单选题】下列说法中，错误的是()A.服务攻击是针对某种特定攻击的网络应用的攻击B.主要的渗入威胁有特洛伊木马和陷阱C.非服务攻击是针对网络层协议而进行的D.对于在线业务系统的安全风险评估，应采用最小影响原则8.【单选题】包过滤技术防火墙在过滤数据包时，一般不关心()A.数据包的原地址B.数据包的目的地址C.数据包的协议类型D.数据包的内容9.【单选题】面向数据挖掘的隐私保护技术主要解决高层应用中的隐私保护问题，致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护。

从数据挖掘的角度看，不属于隐私保护技术的是()。

A.基于数据失真的隐私保护技术B.基于数据匿名化的隐私保护技术C.基于数据分析的隐私保护技术D.基于数据加密的隐私保护技术10.【单选题】从安全属性对各种网络攻击进行分类，阻断攻击是针对()的攻击A.机密性B.可用性C.完整性D.真实性11.【单选题】以下关于VPN的叙述中，正确的是()A.VPN指的是用户通过公用网络建立的临时的、安全的连接B.VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路C.VPN不能做到信息认证和身份认证D.VPN只能提供身份认证，不能提供数据加密的功能12.【单选题】身份识别在信息安全领域有着广泛的应用，通过识别用户的生理特征来认证用户的身份是安全性很高的身份认证方法。

2022年职业考证-软考-信息安全工程师考试全真模拟全知识点汇编押题第五期（含答案）一.综合题(共15题)1.案例题阅读下列说明和表，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。

密码学中，根据加密和解密过程所采用密钥的特点可以将密码算法分为两类：对称密码算法和非对称密码算法。

此外，密码技术还用于信息鉴别、数据完整性检验、数字签名等。

【问题1】（6分）信息安全的基本目标包括真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。

密码学的三大安全目标C.I.A分别表示什么？【问题2】（5分）仿射密码是一种典型的对称密码算法。

仿射密码体制的定义如下：【答案】【问题1】保密性、完整性和可用性。

【问题2】（1）19（2）TVZ【问题3】K1=21；K2=22【解析】【问题1】密码学的三大安全目标CIA分别表示：（1）保密性：保密性是确保信息仅被合法用户访问，而不被泄漏给非授权的用户、实体或过程，或供其利用的特性。

即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。

（2）完整性：完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。

信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

（3）可用性：可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。

信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。

【问题2】（1）由K*K-1 ≡ 1mod（26），将11代入式中，计算11 *K^-1 -1 mod（26）=0；K^-1 为19。

（2）将SEC所对应的数字代入加密表达式可得：（11*18+3）mod（26）=19=T；（11*4+3）mod（26）=21=V；（11*2+3）mod（26）=25=Z。

2023年中级软考《信息安全工程师》考试全真模拟易错、难点汇编叁（带答案）（图片大小可自由调整）一.全考点综合测验(共35题)1.【单选题】在Windows 2000 中，以下哪个进程不是基本的系统进程:()A.smss.exeB.csrss.ExeC.winlogon.exeD.-conime.exe正确答案：D2.【单选题】应用代理防火墙的主要优点是()A.加密强度高B.安全控制更细化、更灵活C.安全服务的透明性更好D.服务对象更广泛正确答案：B3.【单选题】IP 地址欺骗的发生过程，下列顺序正确的是()。

①确定要攻击的主机A;②发现和它有信任关系的主机B;③猜测序列号;④成功连接，留下后门;⑤将B 利用某种方法攻击瘫痪。

A.①②⑤③④B.①②③④⑤C.①②④③⑤D.②①⑤③④正确答案：A4.【单选题】在PKI 中，不属于CA的任务是()A.证书的办法B.证书的审改C.证书的备份D.证书的加密正确答案：D5.【单选题】签名过程中需要第三参与的数字签名技术称为()。

A.代理签名B.直接签名C.仲裁签名D.群签名正确答案：C6.【单选题】以下关于数字证书的叙述中，错误的是()A.证书通常有CA安全认证中心发放B.证书携带持有者的公开密钥C.证书的有效性可以通过验证持有者的签名D.证书通常携带CA的公开密钥正确答案：D7.【单选题】安全漏洞扫描技术是一类重要的网络安全技术。

当前，网络安全漏洞扫描技术的两大核心技术是()A.PINC 扫描技术和端口扫描技术B.端口扫描技术和漏洞扫描技术C.操作系统探测和漏洞扫描技术D.PINC 扫描技术和操作系统探测正确答案：C8.【单选题】在数据库向因特网开放前，哪个步棸是可以忽略的?()A.安全安装和配置操作系统和数据库系统B.应用系统应该在网试运行3 个月C.对应用软件如Web 也没、ASP脚本等进行安全性检查D.网络安全策略已经生效正确答案：B9.【单选题】电子邮件是传播恶意代码的重要途径，为了防止电子邮件中的恶意代码的攻击，用()方式阅读电子邮件A.网页B.纯文本C.程序D.会话正确答案：B10.【单选题】1949 年，()发表了题为《保密系统的通信理论》的文章，为密码技术的研究奠定了理论基础，由此密码学成了一门科学。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、1999年启用的我国信息安全等级保护系统将信息安全等级分为几个级别？（）A. 3级B. 4级C. 5级D. 6级2、在信息安全领域，CIA 三角模型中的“C”、“I”、“A”分别代表什么？A. 保密性、完整性、可用性B. 可用性、完整性、保密性C. 可用性、保密性、完整性D. 保密性、可用性、完整性3、以下哪项不属于信息安全的基本要素？A. 可靠性B. 完整性C. 机密性D. 可达性4、在网络安全中，常用的“蜜罐”技术主要用于什么目的？A. 监测网络攻击活动B. 删除恶意软件C. 防止网络病毒D. 提高防火墙性能5、题干：在密码学中，哪种算法属于对称加密算法？A. RSAB. DESC. ECCD. DSA6、题干：以下哪一项不是常见的网络攻击手段？A. 拒绝服务攻击B. SQL注入攻击C. 跨站脚本攻击D. 数据归档7、以下关于密码学的基本概念，错误的是：A. 加密是保护信息不被未授权者读取的技术B. 解密是加密过程的逆过程，用于恢复原始信息C. 对称加密算法使用相同的密钥进行加密和解密D. 公钥加密算法使用不同的密钥进行加密和解密，其中一个是公钥，另一个是私钥8、在信息安全中，以下哪种安全机制主要用于保护数据在传输过程中的完整性？A. 身份认证B. 访问控制C. 数据加密D. 完整性校验9、在信息安全领域，以下哪一项不属于常见的信息安全威胁类型？A、恶意软件B、钓鱼攻击C、数据泄露D、自然灾害 10、以下关于信息安全风险评估的说法错误的是：A、风险评估包括风险识别、风险分析和风险评价三个步骤。

B、风险识别指的是找出所有的信息资产，并确定每项资产面临的风险。

C、风险分析是在风险识别的基础上，对识别出的风险进行分析，评估其可能造成的损失和危害。

D、风险评价是对风险分析出的结果和各方的风险承受能力进行综合考虑，确定风险等级，并提出相应的控制措施。

信息安全工程师真题与答案完整版1、《中华人民共和国网络安全法》第五十八条明确规定，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经( )决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

[单选题] *a、国务院(正确答案)b、国家网信部门c、省级以上人民政府d、网络服务提供商2、2018年10月，含有我国sm3杂凑算法的is0/iec10118-3: 2018《信息安全技术杂凑函数第3部分：专用杂凑函数》由国际标准化组织(iso)发布，sm3算法正式成为国际标准。

sm3的杂凑值长度为( )。

[单选题] *a、8 字节b、16字节c、32字节(正确答案)d、64字节3、bs7799标准是英国标准协会制定的信息安全管理体系标准，它包括两个部分：《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。

依据该标准可以组织建立、实施与保持信息安全管理体系，但不能实现( )。

[单选题] *a、强化员工的信息安全意识,规范组织信息安全行为b、对组织内关键信息资产的安全态势进行动态监测(正确答案)c、促使管理层坚持贯彻信息安全保障体系d、通过体系认证就表明体系符合标准,证明组织有能力保障重要信息4、为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本原则，其中在信息系统中，应该对所有权限进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使它们之间相互制约、相互监督，共同保证信息系统安全的是( )。

[单选题] *a、最小化原则(正确答案)b、安全隔离原原则c、纵深防御原则d、分权制衡原则5、等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。

以下关于我国信息安全等级保护内容描述不正确的是( )。

[单选题] *a、对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护(正确答案)b、对信息系统中使用的信息安全产品实行按等级管理c、对信息系统中发生的信息安全事件按照等级进行响应和处置d、对信息安全从业人员实行按等级管理,对信息安全违法行为实行按等级惩处6、研究密码破译的科学称为密码分析学。

高等教育自学考试《信息安全工程》真题题库及参考答案一、单选题：1.（2分）网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全哪种属性。

A．保密性B．完整性C．不可否认性D．可用性答案:B2．（2分）下面哪种密码不属于常见的危险密码。

A．跟用户名相同的密码B．使用生日作为密码C．只有4位数的密码D．10位的字符数字综合型密码答案:D3．（2分）什么是恶意软件最本质的特性。

A．寄生性B．潜伏性C．破坏性D．攻击性答案:C4．（2分）公钥密码基础设施PKI解决了信息系统中的哪种问题。

A．身份信任B．权限管理C．安全审计D．加密答案:A5．（2分） SSL协议工作在哪一层。

A．套接字层B．网络层C．应用层D．传输层答案:A6．（2分）张三将QQ头像、昵称分别改为李四的头像和昵称，然后向李四的好友借钱。

该攻击行为属于以下哪类攻击。

A．口令破解B．木马攻击C．拒绝服务攻击D．社会工程学攻击答案:D7．（2分）所谓加密是指将一个信息经过以下哪种方式及加密函数转换，变成无意义的密文而接受方则将此密文经过解密函数、以及哪种方式还原成明文。

A．加密密钥、解密密钥B．解密密钥、解密密钥C．加密密钥、加密密钥D．解密密钥、加密密钥答案:A8．（2分）以下哪方面是信息安全领域内最关键和最薄弱的环节。

A．技术B．策略C．管理制度D．人答案:D9．（2分）线性密码分析方法本质上是一种什么攻击方法。

A．唯密文攻击B．已知明文攻击C．选择明文攻击D．选择密文攻击答案:B10．（2分）定期对系统和数据进行备份，在发生灾难时进行恢复。

该机制是为了满足信息安全的哪种属性。

A．真实性B．完整性C．不可否认性D．可用性答案:D11．（2分）以下哪种攻击方式可以被数据完整性机制防止。

A. 假冒源地址或用户的地址欺骗攻击B. 抵赖做过信息的递交行为C. 数据中途被攻击者窃听获取D. 数据在途中被攻击者篡改或破坏答案:D12．（2分）向特定的存储器输入超过其容量的字符串属于哪一种攻击手段？A．缓冲区溢出攻击B．中间人攻击C．拒绝服务攻击D．线性攻击答案:A13．（2分）现有凯撒密码表，其密钥为k=3，将明文“zhongxue”加密后，密文为以下哪种。

信息安全工程师练习题库及答案在信息时代的今天，信息安全越来越受到重视。

作为信息安全领域的专业人士，信息安全工程师起着至关重要的作用。

为了帮助信息安全工程师更好地备战实战，本文将提供一份练习题库及答案，供信息安全工程师进行练习和复习。

一、网络安全网络安全是信息安全的重要组成部分，它关注着网络系统和网络传输过程中的安全问题。

下面是一些网络安全方面的练习题及答案。

1. 什么是DDoS攻击？请描述攻击原理并提出相应的防御措施。

答：DDoS攻击是指分布式拒绝服务攻击，攻击者通过控制多个机器，同时向目标服务器发送大量的请求，以消耗服务器资源，从而使目标服务器无法正常对外提供服务。

防御措施包括流量清洗、入侵防御系统的部署等。

2. SSL/TLS协议是用来解决什么问题的？请简要介绍该协议的工作原理。

答：SSL/TLS协议用于解决网络通信过程中的数据传输安全问题。

该协议通过建立安全连接、身份认证和数据加密等机制，确保通信双方的数据传输过程不被窃取或篡改。

其工作原理主要包括握手协议、密钥交换、数据加密和身份认证等步骤。

二、系统安全系统安全是指保护计算机系统免受恶意攻击和非法访问的一系列措施和技术。

下面是一些系统安全方面的练习题及答案。

1. 什么是恶意软件？请列举几种常见的恶意软件类型，并提出相应的防御方法。

答：恶意软件是指被恶意开发者制作出来，用于攻击计算机系统或窃取用户信息的软件。

常见的恶意软件类型包括病毒、木马、蠕虫、间谍软件等。

防御方法包括定期更新杀毒软件、不随便下载不明来源的软件等。

2. 什么是弱口令？请简要介绍一些设计强密码的方法。

答：弱口令是指易于猜测或容易破解的密码。

为设计强密码，可以采用以下方法：- 长度要足够长，建议使用至少8位字符；- 使用包括大写字母、小写字母、数字和特殊字符的组合；- 避免使用与个人信息相关的词语或常见的字符串；- 定期更换密码，避免重复使用密码。

三、安全管理与应急响应安全管理与应急响应是信息安全工程师必备的能力之一，它涉及到安全策略制定、风险评估、安全培训等方面。

中级信息安全工程师测试题库与答案1、下面关于配置管理员主要职责描述错误的是（）。

A、记录和维护配置管理数据库CMDB中所有配置项B、确保相关配置项被正确登记C、确保配置项状态正确D、通过手工或自动化操作删除及更改配置项答案：A2、下面哪个不属于weblogic的概念（）A、概要文件profileB、domainC、clusterD、node答案：A3、资产台账是指资产实物归口管理部门与价值管理部门共同维护的，具体登记反映资产实物与价值信息的表册，主要包括（）以及各类管理用明细账。

A、电子表格B、资产实物C、固定资产卡片D、实物发票答案：C4、对于一块已用硬盘，根据当前的分区情况（有主分区、扩展分区和逻辑分区），删除分区的顺序为（）。

A、主分区、扩展分区和逻辑分区B、逻辑分区、主分区和扩展分区C、逻辑分区、扩展分区和主分区D、主分区、逻辑分区和扩展分区答案：C5、信息安全应急预案实行（）原则，各级单位信息管理部门负责将本单位专项应急预案、现场处置方案以文件形式报上级信息管理部门备案。

A、逐步应急B、逐级备案C、逐步备案D、逐级应急答案：B6、（）不是windows磁盘文件系统。

A、FATB、DOSC、FAT32D、NTFS答案：B7、设按《广西信息系统机房管理规定》要求，机房温度应保持在18℃—25℃，湿度保持在（）。

接地电阻保持在0.5欧以下。

A、20%--30%B、30%--70%C、40%--60%D、50%--70%答案：C8、Spark提供了两种算子操作，分别是actions和（）。

A、countB、collectC、groupByKeyD、transfirmations答案：D9、在计算机机房出入口处或值班室，应设置（）和应急断电装置。

A、电视B、电扇C、报警器D、应急电话答案：D10、一个拥有80个职员的公司，不久的将来将扩展到100多人，每个员工拥有一台计算机，现要求将这些计算机连网，实现资源共享，最能满足此公司要求的网络类型是（）。

信息安全技术试题与答案11.通常为保证信息处理对象的认证性采用的手段是___C_______A.信息加密和解密B.信息隐匿C.数字签名和身份认证技术D.数字水印2.关于Diffie-Hellman算法描述正确的是____B______A.它是一个安全的接入控制协议B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息D.它是由第三方来保证安全的3.以下哪一项不在．．证书数据的组成中? _____D_____A.版本信息B.有效使用期限C.签名算法D.版权信息4．关于双联签名描述正确的是____D______A．一个用户对同一消息做两次签名B．两个用户分别对同一消息签名C．对两个有联系的消息分别签名D．对两个有联系的消息同时签名5．Kerberos中最重要的问题是它严重依赖于____C______A．服务器B．口令C．时钟D．密钥6．网络安全的最后一道防线是____A______A．数据加密B．访问控制C．接入控制D．身份识别7．关于加密桥技术实现的描述正确的是____A______A．与密码设备无关，与密码算法无关B．与密码设备有关，与密码算法无关C．与密码设备无关，与密码算法有关D．与密码设备有关，与密码算法有关8．身份认证中的证书由____A______A．政府机构发行B．银行发行C．企业团体或行业协会发行D．认证授权机构发行9．称为访问控制保护级别的是____C______A．C1 B．B1C．C2 D．B210．DES的解密和加密使用相同的算法，只是将什么的使用次序反过来? ____C______A．密码B．密文C．子密钥D．密钥11．PKI的性能中，信息通信安全通信的关键是_____C_____A．透明性B．易用性C．互操作性D．跨平台性12．下列属于良性病毒的是____D_____A．黑色星期五病毒B．火炬病毒C．米开朗基罗病毒D．扬基病毒13．目前发展很快的基于PKI的安全电子邮件协议是____A______A．S／MIME B．POPC．SMTP D．IMAP14．建立计算机及其网络设备的物理环境，必须要满足《建筑与建筑群综合布线系统工程设计规范》的要求，计算机机房的室温应保持在___A_______A．10℃至25℃之间B．15℃至30℃之间C．8℃至20℃之间D．10℃至28℃之间15．SSL握手协议的主要步骤有____B______A．三个B．四个C．五个D．六个16．SET安全协议要达到的目标主要有____C______A．三个B．四个C．五个D．六个17．下面不属于SET交易成员的是_____B_____A．持卡人B．电子钱包C．支付网关D．发卡银行18．使用加密软件加密数据时，往往使用数据库系统自带的加密方法加密数据，实施_____A_____A．DAC B．DCAC．MAC D．CAM19．CTCA指的是____B______A．中国金融认证中心B．中国电信认证中心C．中国技术认证中心D．中国移动认证中心20．下列选项中不属于SHECA证书管理器的操作范围的是_____C_____A．对根证书的操作B．对个人证书的操作C．对服务器证书的操作D．对他人证书的操作1. Windows系统安全模型由登录流程、本地安全授权、安全账号管理器和安全引用监视器组合而成。

信息安全工程师测试题(35个选择题，5个简答题）-企事业内部考试IT试卷与试题一、选择题1. 信息安全最关心的三个属性是什么？A. ConfidentialityB. IntegrityC. AuthenticationD. AuthorizationE. Availability答案：A、B、E2. 用哪些技术措施可以有效地防御通过伪造保留IP地址而实施的攻击。

A. 边界路由器上设置ACLsB. 入侵检测系统C. 防火墙策略设置D. 数据加密E. 无答案：A、B、C3. 下列哪些设备应放置在DMZ区.A. 认证服务器B. 邮件服务器C. 数据库服务器D. Web服务器答案：B4. 以下哪几项关于安全审计和安全的描述是正确的A. 对入侵和攻击行为只能起到威慑作用B. 安全审计不能有助于提高系统的抗抵赖性C. 安全审计是对系统记录和活动的独立审查和检验D. 安全审计系统可提供侦破辅助和取证功能答案：C、D5. 下面哪一个情景属于身份验证（Authentication）过程?A. 用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改B. 用户依照系统提示输入用户名和口令C. 某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程纪录在系统日志中D. 用户使用加密软件对自己编写的Office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容答案：A6. 以下那些属于系统的物理故障A. 软件故障B. 计算机病毒C. 人为的失误D. 网络故障和设备环境故障答案：D7. 数据在存储或传输时不被修改、破坏，或数据包的丢失、乱序等指的是A. 数据完整性B. 数据一致性C. 数据同步性D. 数据源发性答案：A8. 数字签名是用于保障A. 机密性B. 完整性C. 认证性D. 不可否认性答案：D9. 网络攻击者在局域网内进行嗅探，利用的是网卡的特性是A. 广播方式B. 组播方式C. 直接方式D. 混杂模式答案：D10. 你是一台Windows系统的管理员，出于安全性的考虑，你希望如果用户连续三次输入错误的密码，就将该用户账号锁定，应该采取（）措施A. 设置计算机账户策略中的帐户锁定策略，设置帐户锁定阈值为３B. 设置计算机本地策略中的帐户锁定策略，设置帐户锁定阈值为３C. 设置计算机本地策略中的安全选项，设置帐户锁定阈值为３D. 设置计算机帐户策略中的密码策略，设置帐户锁定阈值为３答案：A11. 公司所有的服务器都是Windoows操作系统，并且搭建了域环境。

CISP信息安全工程章节练习一一、单选题。

(共33题,共100分,每题3.0303030303分)1. 如果你作为甲方负责监督一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：a、变更的流程是否符合预先的规定b、变更是否会对项目进度造成拖延c、变更的原因和造成的影响d、变更后是否进行了准确的记录最佳答案是:c2. 以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？a、应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑b、应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品c、应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实d、应详细规定系统验收测试中有关系统安全性测试的内容最佳答案是:a3. 在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的：a、测试系统应使用不低于生产系统的访问控制措施b、为测试系统中的数据部署完善的备份与恢复措施c、在测试完成后立即清除测试系统中的所有敏感数据d、部署审计措施，记录生产数据的拷贝和使用最佳答案是:b4. 以下关于信息安全工程说法正确的是：a、信息化建设中系统功能的实现是最重要的b、信息化建设可以先实施系统，然后对系统进行安全加固c、信息化建设在规划阶段合理规划信息安全，在建设阶段要同步实施信息安全建设d、信息化建设没有必要涉及信息安全建设最佳答案是:c5. 信息安全工程监理模型不包括下面哪一项?a、监理咨询服务b、咨询监理支撑要素c、监理咨询阶段过程d、控制管理措施最佳答案是:a6. 信息安全工程监理工程师不需要做的工作是:_________。

a、编写验收测试方案b、审核验收测试方案c、监督验收测试过程d、审核验收测试报告最佳答案是:a7. 信息安全工程监理的作用不包括下面哪一项?a、弥补建设单位在技术与管理上的经验不足b、帮助承建单位攻克技术难点，顺利实施项目c、改善建设单位与承建单位之间的交流沟通d、通过监理控制积极促进项目保质按期完成最佳答案是:b8. 一家公司在实施一套新的C/S结构的企业资源管理（CRP）系统。