软考-信息安全工程师(汇总1000题)

信息安全工程师软考考试卷子一、选择题（每题3分，共30分）1. 信息安全的基本属性不包括以下哪项？（）A. 保密性B. 完整性C. 可用性D. 可变性答案：D。

解析：信息安全的基本属性是保密性、完整性、可用性，可变性不是基本属性。

2. 以下哪种加密算法属于对称加密算法？（）A. RSAB. DSAC. AESD. ECC答案：C。

解析：AES是高级加密标准，属于对称加密算法，RSA、DSA、ECC属于非对称加密算法。

3. 在网络安全中，防火墙主要用于（）。

A. 防止病毒入侵B. 阻止外部网络访问内部网络C. 提高网络速度D. 管理网络用户答案：B。

解析：防火墙主要是在内部网络和外部网络之间建立一道屏障，阻止外部网络未经授权访问内部网络。

4. 信息安全风险评估的主要目的是什么？（）A. 找出系统中的漏洞B. 评估安全措施的有效性C. 确定安全需求D. 以上都是答案：D。

解析：信息安全风险评估可以找出系统漏洞，评估安全措施有效性，从而确定安全需求。

5. 以下哪项不是常见的身份认证方式？（）A. 用户名/密码B. 指纹识别C. 语音识别D. 梦境分析答案：D。

解析：梦境分析不是常见的身份认证方式，而用户名/密码、指纹识别、语音识别都是。

6. 数据备份的主要目的是（）。

A. 节省存储空间B. 防止数据丢失C. 提高数据传输速度D. 方便数据共享答案：B。

解析：数据备份就是为了在数据丢失或者损坏的情况下能够恢复数据。

7. 以下关于入侵检测系统的说法错误的是（）。

A. 可以检测到网络中的入侵行为B. 分为基于主机和基于网络的入侵检测系统C. 能够完全阻止入侵行为D. 是一种主动的安全防护技术答案：C。

解析：入侵检测系统能检测入侵行为，但不能完全阻止。

8. 信息安全管理体系的核心是（）。

A. 安全策略B. 安全技术C. 安全人员D. 安全设备答案：A。

解析：安全策略是信息安全管理体系的核心，其他都是围绕安全策略展开的。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题干：以下关于计算机病毒的说法，正确的是（）。

A、计算机病毒是一种生物病毒，可以通过空气传播B、计算机病毒是一种程序，具有自我复制能力，能够破坏计算机系统C、计算机病毒只能通过移动存储设备传播D、计算机病毒不会对计算机硬件造成损害2、题干：以下关于网络安全的基本要素，不属于五要素之一的是（）。

A、机密性B、完整性C、可用性D、真实性3、下列哪一项不属于常见的信息安全威胁？A. 拒绝服务攻击B. 物理盗窃C. 软件著作权保护D. 社会工程学攻击4、在信息安全保障体系中，PDR模型指的是哪三个要素？A. 预防、检测、响应B. 预警、防御、恢复C. 计划、部署、审查D. 保护、检测、反应5、下列哪一项不是用于确保数据完整性的措施？A. 校验和B. 数字签名C. 哈希函数D. 对称加密6、在网络安全领域，以下哪种攻击方式属于被动攻击？A. SQL注入B. 拒绝服务攻击C. 网络监听D. 跨站脚本攻击7、题目：在信息安全中，以下哪项不是常见的物理安全措施？A. 安全门禁系统B. 火灾自动报警系统C. 数据备份与恢复D. 网络防火墙8、题目：以下关于信息安全风险评估的说法，错误的是：A. 评估信息安全风险是信息安全管理体系（ISMS）的核心B. 评估信息安全风险可以识别出组织面临的主要安全威胁C. 评估信息安全风险有助于确定安全控制措施D. 评估信息安全风险需要考虑组织内部的业务需求9、在信息安全领域中，PKI（Public Key Infrastructure）主要功能是什么？A. 实现数据加密与解密B. 提供身份认证服务C. 支持安全电子邮件传输D. 上述所有选项 10、下列哪项不属于计算机病毒的传播途径？A. 通过互联网下载文件B. 使用未授权的软件C. 访问受感染的网站D. 定期更新操作系统补丁11、在信息安全领域，以下哪项技术不属于访问控制手段？A. 身份认证B. 访问控制列表（ACL）C. 数据加密D. 防火墙12、以下关于信息安全风险评估的说法中，正确的是：A. 风险评估只是针对已知威胁的评估B. 风险评估应当包括对组织内部和外部风险的识别和评估C. 风险评估的目的是为了完全消除风险D. 风险评估的结果不应当对外公开13、以下哪一项不是信息安全管理的基本原则？A. 保密性B. 完整性C. 可用性D. 不可否认性14、在信息系统安全中，用来保证数据不被未经授权的人所访问的安全措施是：A. 加密B. 防火墙C. 访问控制D. 审计追踪15、以下关于信息安全技术中防火墙的说法，错误的是：A. 防火墙可以阻止未经授权的访问B. 防火墙可以保护内部网络免受外部攻击C. 防火墙无法阻止内部网络之间的攻击D. 防火墙可以限制特定协议或端口的数据传输16、以下关于安全审计的说法，正确的是：A. 安全审计是定期检查网络安全设备B. 安全审计是检查网络中可能存在的安全漏洞C. 安全审计是检查操作系统和应用程序的安全配置D. 安全审计是以上所有说法17、以下关于密码学的描述，错误的是（）A. 密码学是研究如何保护信息安全的技术科学B. 密码学主要分为对称密码学和公钥密码学C. 对称密码学使用相同的密钥进行加密和解密D. 公钥密码学使用不同的密钥进行加密和解密18、以下关于安全协议的描述，正确的是（）A. 安全协议是指在网络通信过程中，用于保证数据传输安全的协议B. 安全协议的主要目的是防止数据在传输过程中被窃听、篡改和伪造C. 安全协议不涉及身份认证和访问控制D. 安全协议只适用于加密通信19、以下关于密码学中对称加密算法的描述，不正确的是：A. 对称加密算法使用相同的密钥进行加密和解密B. 对称加密算法的速度通常比非对称加密算法快C. 对称加密算法的安全性取决于密钥的长度和保密性D. 对称加密算法可以抵抗量子计算机的攻击 20、在信息安全中，以下哪种措施属于物理安全？A. 数据备份B. 网络防火墙C. 身份认证D. 安全审计21、以下关于ISO/IEC 27001标准说法正确的是：A. ISO/IEC 27001标准是信息安全管理体系（ISMS）的标准，适用于所有组织，无论其规模和类型。

2025年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、以下哪项不属于信息安全的基本原则？A. 完整性原则B. 保密性原则C. 可用性原则D. 可追溯性原则2、在信息安全风险中，以下哪一项属于内部威胁？A. 黑客攻击B. 系统漏洞C. 内部人员滥用权限D. 自然灾害3、在信息安全中，以下哪个选项不属于常见的威胁类型？A、病毒B、拒绝服务攻击（DoS）C、物理安全D、SQL注入4、以下关于安全协议的描述，不正确的是：A、SSL（安全套接层）用于在客户端和服务器之间建立加密的连接B、TLS（传输层安全）是SSL的升级版，提供了更强的安全性和扩展性C、IPSec（互联网安全协议）主要用于保护IP层的数据包D、SSH（安全外壳协议）用于远程登录和文件传输5、以下关于信息安全事件的分类，哪项是正确的？A. 根据破坏程度分为物理破坏、逻辑破坏和混合破坏B. 根据攻击目标分为数据安全、系统安全和网络安全C. 根据攻击手段分为病毒攻击、恶意软件攻击和人为破坏D. 根据影响范围分为局部性、区域性和国际性6、以下关于密码学的描述，哪项是错误的？A. 密码学是研究保护信息安全的技术和方法的学科B. 加密技术是密码学的主要研究内容之一C. 数字签名技术不属于密码学的范畴D. 密码分析是密码学的一个重要研究方向7、以下哪种加密算法属于对称加密算法？（）A. RSAB. AESC. MD5D. SHA-2568、在信息安全中，以下哪个概念与“防火墙”的功能最相似？（）A. 入侵检测系统（IDS）B. 安全审计C. 数据备份D. 加密9、在信息安全中，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. MD5D. SHA-256 10、在网络安全中，以下哪个术语指的是在不被第三方察觉的情况下，窃取或篡改数据的行为？A. 钓鱼攻击B. 网络攻击C. 漏洞利用D. 侧信道攻击11、以下哪种加密算法属于非对称加密算法？A. AESB. DESC. RSAD. RC412、在信息安全保障体系中，哪一项措施主要用于防止未经授权的数据修改？A. 访问控制B. 数据加密C. 完整性校验D. 备份与恢复13、题干：在信息安全领域，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD514、题干：以下哪个选项不属于信息安全风险管理的五个阶段？A. 风险识别B. 风险分析C. 风险控制D. 风险评估15、下列哪一项不属于常见的网络安全威胁？A. 物理破坏B. 信息泄露C. 软件升级D. 恶意代码16、在信息安全保障体系中，PDR模型指的是哪三个要素？A. 防护-检测-响应B. 计划-实施-审查C. 加密-解密-验证D. 预防-检测-恢复17、以下哪项不属于信息安全的基本原则？A. 完整性B. 可用性C. 可访问性D. 可控性18、在信息安全风险评估中，以下哪个不是常用的风险评估方法？A. 故障树分析B. 风险矩阵C. 脚本攻击D. 概率分析19、以下哪一项不是保证数据完整性的常用方法？A、使用加密算法B、使用哈希函数C、使用数字签名D、定期备份数据 20、下列关于防火墙的功能描述错误的是？A、防火墙可以阻止未经授权的访问进入内部网络B、防火墙可以检测并阻止某些类型的网络攻击C、防火墙可以完全防止病毒和恶意软件的传播D、防火墙可以记录通过它的信息，用于安全事件分析21、在信息安全领域，以下哪项不属于安全攻击的类型？A. 主动攻击B. 被动攻击C. 非法访问攻击D. 数据备份攻击22、以下哪项措施不属于信息系统的安全策略？A. 访问控制B. 身份认证C. 网络隔离D. 数据加密23、在公钥基础设施(PKI)中，下列哪一项不是证书颁发机构(CA)的主要职责？A. 生成密钥对B. 签发数字证书C. 撤销数字证书D. 验证证书申请者的身份24、以下哪一种攻击方式是通过向目标系统发送大量请求，使其无法处理正常的服务请求，从而导致服务不可用？A. SQL注入攻击B. 跨站脚本(XSS)攻击C. 缓冲区溢出攻击D. 拒绝服务(DoS)攻击25、以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD526、在信息安全中，以下哪个术语表示未经授权的访问？A. 窃听B. 拒绝服务攻击C. 窃密D. 未授权访问27、以下关于防火墙的说法正确的是：A. 防火墙可以完全防止内部数据泄露；B. 防火墙可以阻止所有的外部攻击；C. 防火墙可以防止病毒在已感染的系统内传播；D. 防火墙可以根据安全策略控制进出网络的数据流。

可编辑修改精选全文完整版2023年中级软考《信息安全工程师》考试历年真题摘选附带答案第1卷一.全考点综合测验(共20题)1.【单选题】属于第二层的VPN 隧道协议是()。

A.IPSecB.PPTPC.GRED.IPv42.【单选题】下列算法中，( )属于摘要算法。

A.DESB.MD5C.Diffie-HellmanD.AES3.【单选题】ISO 制定的安全体系结构描述了5 种安全服务，以下不属于这5 种安全服务的是()A.鉴别服务B.数据报过滤C.访问控制D.数据完整性4.【单选题】以下对OSI(开放系统互联)参考模型中数据链路层的功能叙述中，描述最贴切是()A.保证数据正确的顺序、无差错和完整B.控制报文通过网络的路由选择C.提供用户与网络的接口D.处理信号通过介质的传输5.【单选题】面向身份信息的认证应用中，最常用的认证方法是()A.基于数据库的认证B.基于摘要算法认证C.基于PKI 认证D.基于账户名/ 口令认证6.【单选题】入侵检测系统放置在防火墙内部所带来的好处是()A.减少对防火墙的攻击B.降低入侵检测C.增加对低层次攻击的检测D.增加检测能力和检测范围7.【单选题】下列说法中，错误的是()A.服务攻击是针对某种特定攻击的网络应用的攻击B.主要的渗入威胁有特洛伊木马和陷阱C.非服务攻击是针对网络层协议而进行的D.对于在线业务系统的安全风险评估，应采用最小影响原则8.【单选题】包过滤技术防火墙在过滤数据包时，一般不关心()A.数据包的原地址B.数据包的目的地址C.数据包的协议类型D.数据包的内容9.【单选题】面向数据挖掘的隐私保护技术主要解决高层应用中的隐私保护问题，致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护。

从数据挖掘的角度看，不属于隐私保护技术的是()。

A.基于数据失真的隐私保护技术B.基于数据匿名化的隐私保护技术C.基于数据分析的隐私保护技术D.基于数据加密的隐私保护技术10.【单选题】从安全属性对各种网络攻击进行分类，阻断攻击是针对()的攻击A.机密性B.可用性C.完整性D.真实性11.【单选题】以下关于VPN的叙述中，正确的是()A.VPN指的是用户通过公用网络建立的临时的、安全的连接B.VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路C.VPN不能做到信息认证和身份认证D.VPN只能提供身份认证，不能提供数据加密的功能12.【单选题】身份识别在信息安全领域有着广泛的应用，通过识别用户的生理特征来认证用户的身份是安全性很高的身份认证方法。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题目：在信息安全领域，以下哪种加密算法属于对称加密算法？A、RSAB、AESC、MD5D、SHA-2562、题目：在计算机安全事件处理过程中，以下哪个阶段不属于事件响应阶段？A、事件识别B、事件报告C、事件分析D、事件恢复3、下列关于信息安全体系的说法，正确的是（）。

A. 信息安全体系是指保护计算机系统安全的一系列技术和管理措施B. 信息安全体系是指保护信息资产的安全的一系列技术和管理措施C. 信息安全体系是指保护计算机网络安全的一系列技术和管理措施D. 信息安全体系是指保护信息资源的安全的一系列技术和管理措施4、在信息安全中，以下哪项措施属于物理安全？（）A. 数据加密B. 访问控制C. 物理隔离D. 防火墙5、在信息安全中，以下哪种加密算法是非对称加密算法？A. DESB. RSAC. MD5D. SHA-2566、在信息安全评估中，以下哪个不属于常见的评估方法？A. 黑盒测试B. 白盒测试C. 漏洞扫描D. 安全审计7、题目：下列关于密码学中哈希函数特点描述错误的是：A、哈希函数具有单向性，即从输入数据到输出哈希值是容易的，而从哈希值反推输入数据是困难的。

B、哈希函数的输出值长度固定，不随输入数据的长度变化。

C、哈希函数的输入数据即使只有一个小小的变化，其输出哈希值也会发生很大变化，即具有雪崩效应。

D、哈希函数的输出值是随机的，没有任何规律可循。

8、题目：以下关于信息安全风险评估的说法，错误的是：A、信息安全风险评估是信息安全管理体系的核心组成部分。

B、信息安全风险评估的目的是为了识别、分析和评估信息安全风险，为制定信息安全策略提供依据。

C、信息安全风险评估应当考虑组织内外部所有可能的风险因素。

D、信息安全风险评估的结果应当是静态的，不需要随着时间和环境的变化进行调整。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、信息安全的基本要素包括哪些？A、保密性、完整性、可用性、可控性B、机密性、完整性、可用性、不可变性C、保密性、真实性、完整性、不可抵赖性D、机密性、真实性、完整性、可追溯性2、以下哪个选项不属于信息安全风险管理的常见步骤？A、风险评估B、风险管理策略制定C、信息安全事件应急响应D、信息安全产品采购3、以下哪项不属于信息安全的基本属性？A. 保密性B. 完整性C. 可用性D. 可移植性4、关于防火墙的功能，下列描述正确的是：A. 防火墙可以防止所有类型的网络攻击。

B. 防火墙仅能提供物理层的安全防护。

C. 防火墙主要用于控制进出网络的数据流，以达到保护内部网络的目的。

D. 防火墙的作用是完全取代其他安全措施，如防病毒软件等。

5、以下哪种加密算法属于对称加密算法？（）A. RSAB. AESC. DESD. SHA-2566、在信息安全领域，以下哪个不是常见的网络攻击类型？（）A. 拒绝服务攻击（DoS）B. 网络钓鱼（Phishing）C. SQL注入攻击D. 恶意软件（Malware）7、关于密码学的基本概念，下列描述正确的是？A. 对称加密算法的特点是加密密钥与解密密钥相同B. 非对称加密算法中，公钥用于加密，私钥用于解密C. 数字签名主要用于验证数据的完整性和发送者的身份D. 哈希函数可以用于生成固定长度的消息摘要，但不是一种加密方法8、在网络安全中，防火墙的主要作用是什么？A. 阻止内部网络的用户访问互联网B. 检测并阻止来自外部网络的攻击C. 记录通过防火墙的所有流量信息D. 实现内外网之间的数据交换控制9、以下哪个选项不属于信息安全的基本原则？A. 完整性B. 可用性C. 可访问性D. 可控性 10、以下关于安全审计的说法，正确的是：A. 安全审计只能检测到已知的攻击和入侵行为B. 安全审计可以预防系统被攻击C. 安全审计可以恢复被攻击后的数据D. 安全审计是实时监控系统安全状态的一种方法11、在信息安全领域，下列哪一项不是防火墙的主要功能？A. 防止未经授权的访问B. 检测并阻止恶意软件C. 控制网络流量D. 保护内部网络不受外部威胁12、以下哪种算法不属于对称加密算法？A. AESB. DESC. RSAD. Blowfish13、在信息安全领域，以下哪项技术不属于加密技术？A. 对称加密B. 非对称加密C. 混合加密D. 加密哈希14、在信息安全风险评估中，以下哪个因素不是直接影响风险的概率？A. 攻击者的技能水平B. 系统的脆弱性C. 风险的暴露时间D. 事件的经济损失15、以下哪种加密算法属于非对称加密算法？A. AESB. DESC. RSAD. RC416、关于数字签名的说法，下列哪一项正确？A. 数字签名可以保证数据的完整性，但不能验证发送者的身份。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、以下哪种技术不属于防火墙的主要技术手段？（）A. 包过滤技术B. 应用层网关技术C. 数据加密技术D. 状态检测技术2、在信息安全领域，以下哪个概念描述了未经授权的访问或破坏信息系统资源的行为？（）A. 恶意软件B. 网络攻击C. 信息泄露D. 计算机病毒3、在信息安全中，以下哪个术语描述了未经授权访问计算机系统或网络的行为？A. 网络钓鱼B. 网络嗅探C. 黑客攻击D. 数据泄露4、以下哪种加密算法既适用于对称加密也适用于非对称加密？A. RSAB. AESC. DESD. SHA-2565、在信息安全领域中，以下哪项不是物理安全措施？A. 访问控制B. 防火墙C. 生物识别D. 数据加密6、以下哪种加密算法属于对称加密算法？A. RSAB. AESC. DESD. SHA-2567、在信息安全中，以下哪个术语表示对信息的保密性进行保护？A. 可用性B. 完整性C. 隐私性D. 机密性8、以下哪种安全机制用于在通信过程中保证数据的完整性？A. 防火墙B. 数字签名C. 数据加密D. 身份验证9、在信息安全领域，以下哪项不属于常见的物理安全措施？A. 建筑安全系统B. 访问控制C. 数据加密D. 防火墙 10、在信息安全事件处理中，以下哪个阶段不属于事前准备阶段？A. 制定安全策略B. 安全意识培训C. 安全事件应急响应计划D. 安全设备部署11、在信息安全领域，以下哪个不是常见的威胁类型？A. 拒绝服务攻击（DoS）B. 恶意软件（Malware）C. 物理攻击D. 逻辑漏洞12、以下关于数字签名技术的描述，错误的是：A. 数字签名可以用于验证信息的完整性B. 数字签名可以用于验证信息的真实性C. 数字签名可以用于保证信息传输的保密性D. 数字签名可以用于防止信息被篡改13、以下哪项技术不属于网络安全防护的常见手段？A. 防火墙B. 数据加密C. 身份认证D. 漏洞扫描14、在信息安全中，以下哪个术语描述的是一种用于保护数据不被未授权访问的技术？A. 网络隔离B. 数据备份C. 访问控制D. 数据压缩15、以下哪项不是信息安全工程中的安全模型？A. 贝尔-拉普模型B. 访问控制模型C. 安全审计模型D. 加密模型16、在以下安全事件中，哪一种事件最有可能导致信息泄露？A. 硬件故障B. 网络攻击C. 操作失误D. 恶意软件感染17、在网络安全中，以下哪种攻击方式属于拒绝服务攻击（DoS）？A. 中间人攻击（MITM）B. 拒绝服务攻击（DoS）C. 恶意软件攻击D. 网络钓鱼18、在信息安全体系中，以下哪种措施主要用于保护信息系统的物理安全？A. 数据加密B. 访问控制C. 物理隔离D. 安全审计19、以下哪个选项不属于信息安全的基本原则？A. 完整性B. 可用性C. 保密性D. 可追溯性 20、在网络安全中，以下哪种攻击方式属于被动攻击？A. 中间人攻击B. 拒绝服务攻击C. 伪装攻击D. 密码嗅探21、在信息安全中，以下哪种认证方式适用于保障数据在传输过程中的机密性？A. 数字签名B. 认证中心（CA）C. 数据加密D. 访问控制22、以下哪种攻击方式属于基于应用层的攻击？A. 拒绝服务攻击（DoS）B. 中间人攻击（MITM）C. SQL注入D. 恶意软件23、以下哪项技术属于网络安全防护中的加密技术？A. 防火墙B. 入侵检测系统C. 数字签名D. 数据库安全审计24、在信息安全领域，以下哪项不属于信息安全的基本要素？A. 机密性B. 完整性C. 可用性D. 可控性25、以下关于密码学中的对称加密和非对称加密的说法中，错误的是：A. 对称加密使用相同的密钥进行加密和解密B. 非对称加密使用公钥和私钥进行加密和解密C. 对称加密的速度比非对称加密快D. 非对称加密比对称加密更安全26、以下关于防火墙功能的说法中，不属于防火墙基本功能的是：A. 防止非法访问B. 防止病毒入侵C. 实现网络地址转换（NAT）D. 数据包过滤27、以下哪种安全机制属于访问控制机制？A. 加密B. 身份验证C. 审计D. 防火墙28、在信息安全领域，以下哪个术语表示信息在传输过程中的保密性？A. 完整性B. 可用性C. 机密性D. 可追溯性29、以下哪种加密算法适用于对称加密？A. RSAB. DESC. SHA-256D. MD5 30、在网络安全中，以下哪种攻击方式属于中间人攻击？A. 拒绝服务攻击（DoS）B. 社会工程学攻击C. 中间人攻击（MITM）D. SQL注入攻击31、下列选项中，哪一项是用于加密电子邮件的标准？A. S/MIMEB. SSLC. IPSecD. PGP32、在网络安全模型中，确保信息只能按照授权方式进行修改的属性是什么？A. 完整性B. 可用性C. 访问控制D. 加密33、在信息安全领域中，以下哪个概念描述了未经授权的访问、使用、披露、破坏、篡改或损害信息系统的行为？A. 信息安全B. 信息保密C. 信息安全攻击D. 信息安全防护34、在网络安全防护中，以下哪个技术主要用于防止恶意软件感染计算机系统？A. 防火墙B. 入侵检测系统C. 防病毒软件D. 网络加密35、以下哪一项不属于防火墙的主要功能？A. 对网络攻击进行检测和告警B. 阻止内部主动发起的对外部的访问C. 管理进出网络的访问行为D. 记录通过防火墙的信息内容和活动36、关于数字证书的说法，下列哪一项是正确的？A. 数字证书只能用于电子邮件加密B. 数字证书可以用来证明个人的身份信息C. 数字证书是由政府机构颁发的D. 数字证书中的私钥是由CA中心保管37、以下哪项不属于信息安全的基本威胁类型？A. 拒绝服务攻击B. 网络钓鱼C. 物理安全D. 恶意软件38、在信息安全中，以下哪种加密算法属于对称加密算法？A. RSAB. AESC. SHA-256D. MD539、以下哪种加密算法属于非对称加密算法？A. AESB. DESC. RSAD. RC4 40、下列措施中，哪一项不属于防火墙的功能？A. 数据包过滤B. 应用网关C. 记录通过防火墙的信息内容和活动D. 对网络攻击进行反制41、下列关于密码学的说法中，错误的是（）A. 密码学是研究如何确保信息在传输和存储过程中不被非法获取和篡改的学科。

2024年软考-中级软考-信息安全工程师考试历年真题常考点试题带答案（图片大小可任意调节）第1卷一.单选题(共20题)1.我国制定的关于无线局域网安全的强制标准是()A.IEEEB.WPAC.WAPID.WEP2.()指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确执行，并帮助分析安全事故产生的原因。

A.安全授权B.安全管理C.安全服务D.安全审计3.有一种原则是对信息进行均衡、全面的防护，提高整个系统的安全性能，该原则称为()A.动态化原则B.木桶原则C.等级性原则D.整体原则4.网络密罐技术是一种主动防御技术，是入侵检测技术的一个重要发展方向，以下有关密罐说法不正确的是()。

A.密罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或者多个易受攻击的主机和服务，给攻击者提供一个容易攻击的目标B.使用密罐技术，可以使目标系统得以保护，便于研究入侵者的攻击行为C.如果没人攻击，密罐系统就变得毫无意义D.密罐系统会直接提高计算机网络安全等级，是其他安全策略不可替代的5.关于计费管理的描述中，错误的是()A.统计网络资源利用率B.进行账单管理C.人工费用不计入网络成本D.进行效益核算6.移动用户有些属性信息需要受到保护，这些信息一旦泄露，会对公众用户的生命财产安全构成威胁。

以下各项中，不需要被保护的属性是()A.用户身份（ ID）B.用户位置信息C.终端设备信息D.公众运营商信息7.从风险分析的观点来看，计算机系统的最主要弱点是()A.内部计算机处理B.系统输入输出C.通讯和网络D.外部计算机处理8.以下关于认证技术的叙述中，错误的是()A.指纹识别技术的利用可以分为验证和识别B.数字签名是十六进制的字符串C.身份认证是用来对信息系统中实体的合法性进行验证的方法D.消息认证能够确定接收方收到的消息是否被篡改过9.下列报告中，不属于信息安全风险评估识别阶段的是()A.资产价值分析报告B.风险评估报告C.威胁分析报告D.已有安全威胁分析报告10.信息安全从社会层面来看，反映在()这三个方面。

2025年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、以下关于信息安全的基本概念，描述正确的是（）A. 信息安全是指保护信息在存储、传输、处理等过程中不受非法访问、篡改、泄露等威胁B. 信息安全是指保护信息系统的物理安全，防止系统遭到破坏C. 信息安全是指保护计算机系统不受病毒侵害D. 信息安全是指保护网络不受黑客攻击2、以下关于密码学的基本概念，描述不正确的是（）A. 密码学是研究如何保护信息安全的科学B. 密码学主要分为对称密码体制和非对称密码体制C. 对称密码体制使用相同的密钥进行加密和解密D. 非对称密码体制使用不同的密钥进行加密和解密3、以下关于计算机安全层次模型中安全服务描述错误的是：A、访问控制服务用于防止未授权的用户访问计算机资源B、数据完整性服务用于确保数据的完整性和一致性C、身份认证服务用于验证用户的身份，确保只有合法用户可以访问系统D、数据保密性服务用于确保数据在传输过程中不被未授权者截获和窃取4、以下关于安全协议SSL/TLS的描述，不正确的是：A、SSL/TLS协议用于在客户端和服务器之间建立一个加密的安全通道B、SSL/TLS协议可以防止中间人攻击C、SSL/TLS协议使用的加密算法包括对称加密和公钥加密D、SSL/TLS协议的工作原理是基于证书颁发机构（CA）颁发的数字证书5、在信息安全中，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. AESD. MD56、在信息安全风险评估中，以下哪个指标通常用于评估资产的价值？A. 漏洞数量B. 网络流量C. 风险暴露度D. 恢复时间7、以下关于密码学中哈希函数的特性描述，正确的是：A. 哈希函数是可逆的，可以由输出值反推出输入值B. 哈希函数对任意长度的输入数据都能生成固定长度的输出值C. 哈希函数对相同输入值产生不同输出值的概率很高D. 哈希函数的输出值长度可以根据输入值长度随意调整8、以下关于公钥密码体制的描述，错误的是：A. 公钥密码体制使用一对密钥，分别是公钥和私钥B. 公钥密码体制可以实现加密和解密功能C. 公钥密码体制的加密速度比对称密码体制快D. 公钥密码体制的密钥分发相对简单9、在信息安全领域，以下哪种加密算法属于对称加密算法？A. RSAB. AESC. DESD. SHA-256 10、以下哪个选项描述的是防火墙的主要作用？A. 实现数据压缩B. 防止未授权访问C. 提高系统性能D. 确保数据传输的实时性11、以下关于密码学中对称加密算法的说法，错误的是：A. 对称加密算法使用相同的密钥进行加密和解密B. 对称加密算法的密钥长度通常比非对称加密算法短C. 对称加密算法的密钥管理较为简单D. 对称加密算法存在密钥分发和密钥管理的问题12、以下关于信息安全评估的说法，正确的是：A. 信息安全评估是一种静态的评估方法，只能评估系统在某个时间点的安全状态B. 信息安全评估的目的是为了确定系统的安全防护措施是否完善C. 信息安全评估需要评估系统的物理安全、网络安全、应用安全等多个方面D. 信息安全评估的结论可以完全依赖评估人员的经验和直觉13、下列关于密码学中公钥密码体制的描述，错误的是：A. 公钥密码体制中，加密和解密使用不同的密钥。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、1999年启用的我国信息安全等级保护系统将信息安全等级分为几个级别？（）A. 3级B. 4级C. 5级D. 6级2、在信息安全领域，CIA 三角模型中的“C”、“I”、“A”分别代表什么？A. 保密性、完整性、可用性B. 可用性、完整性、保密性C. 可用性、保密性、完整性D. 保密性、可用性、完整性3、以下哪项不属于信息安全的基本要素？A. 可靠性B. 完整性C. 机密性D. 可达性4、在网络安全中，常用的“蜜罐”技术主要用于什么目的？A. 监测网络攻击活动B. 删除恶意软件C. 防止网络病毒D. 提高防火墙性能5、题干：在密码学中，哪种算法属于对称加密算法？A. RSAB. DESC. ECCD. DSA6、题干：以下哪一项不是常见的网络攻击手段？A. 拒绝服务攻击B. SQL注入攻击C. 跨站脚本攻击D. 数据归档7、以下关于密码学的基本概念，错误的是：A. 加密是保护信息不被未授权者读取的技术B. 解密是加密过程的逆过程，用于恢复原始信息C. 对称加密算法使用相同的密钥进行加密和解密D. 公钥加密算法使用不同的密钥进行加密和解密，其中一个是公钥，另一个是私钥8、在信息安全中，以下哪种安全机制主要用于保护数据在传输过程中的完整性？A. 身份认证B. 访问控制C. 数据加密D. 完整性校验9、在信息安全领域，以下哪一项不属于常见的信息安全威胁类型？A、恶意软件B、钓鱼攻击C、数据泄露D、自然灾害 10、以下关于信息安全风险评估的说法错误的是：A、风险评估包括风险识别、风险分析和风险评价三个步骤。

B、风险识别指的是找出所有的信息资产，并确定每项资产面临的风险。

C、风险分析是在风险识别的基础上，对识别出的风险进行分析，评估其可能造成的损失和危害。

D、风险评价是对风险分析出的结果和各方的风险承受能力进行综合考虑，确定风险等级，并提出相应的控制措施。

软考信息安全工程师试题加答案解析全国计算机技术与软件专业技术资格（水平）考试，这门新开的分属该考试“信息系统”专业，位处中级资格。

希赛软考学院为大家整理了一些，供大家参考，希望能有所帮助。

一、单选题1)在网络体系结构中，传输层的主要功能是（）A)不同应用进程之间的端-端通信B)分组通过通信子网时的路径选择C)数据格式变换、数据加密与解密D)MAC地址与IP地址之间的映射解析：传输层的主要功能是为端到端连接提供可靠的传输服务；为端到端连接提供流量控制、差错控制、服务质量等管理服务。

路径选择发生在网络层，数据格式变换与加密等发生在表示层，MAC与IP地址映射发生在数据链路层。

根据分析，选项A符合题意，故选择A选项。

2)数据传输速率为3.5×1012 bps，它可以记为（）A)3.5KbpsB)3.5MbpsC)3.5GbpsD)3.5Tbps解析：1 kbps=1×103 bps，1Mbps约等于1×106 bps，1Gbps约等于1×109 bps，1Tbps约等于1×1012 bps。

因此3.5×1012bps约等于3.5Tbps。

故选择D选项。

3)关于数据报交换方式的描述中，正确的是（）A)数据报交换过程中需要建立连接B)每个分组必须通过相同路径传输C)分组传输过程中需进行存储转发D)分组不需要带源地址和目的地址解析：数据报是报文分组存储转发的一种形式，在数据报方式中，分组传输前不需要在源主机与目的主机之间预先建立"线路连接"。

源主机发送的每个分组都可以独立选择一条传输路径，且每个分组在传输过程中都必须带有目的地址与源地址。

根据分析，选项C符合题意，故选择C选项。

4)关于传统Ethernet的描述中，错误的是（）A)是一种典型的环型局域网B)传输的数据单元是Ethernet帧C)介质访问控制方法是CSMA/CDD)网络结点发送数据前需侦听总线解析：传统Ethernet是一种总线型局域网，传输的数据单元是Ethernet帧，介质访问控制方法是CSMA/CD，网络结点发送数据前需侦听总线。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题目：信息安全的基本要素包括哪些？A、保密性、完整性、可用性B、可靠性、稳定性、安全性C、易用性、效率性、可维护性D、准确性、一致性、可追溯性2、题目：以下哪项不是网络安全威胁的类型？A、病毒感染B、拒绝服务攻击（DoS）C、物理安全威胁D、信息泄露3、关于信息安全基本原则中的“安全审计”原则，以下描述正确的是（）。

A、侧重于提供系统报警和安全日志，以及定期审查这些记录来发现安全事件。

B、侧重于保护信息系统的保密性、完整性和可用性。

C、侧重于网络和系统防御外部攻击的各种技术措施。

D、侧重于确保用户的身份认证和访问控制。

4、下列关于信息安全技术的描述中，不正确的是（）。

A、防火墙能够有效保护网络边界，但不能防御来自内部网络的威胁。

B、CA认证中心负责发放和管理数字证书，用于确认用户的身份信息。

C、入侵检测系统的基础原理是比对正常行为模式和异常行为模式，识别入侵行为。

D、数据加密技术可以通过增加数据的复杂性，使数据在未经授权的情况下难以理解其内容。

5、在信息安全领域，以下哪种不是常见的攻击类型？A. SQL注入B. 社会工程学C. 文件共享D. 密码破解6、在信息安全评估中，以下哪个阶段不会直接生成风险管理报告？A. 风险识别B. 风险分析C. 风险评估D. 风险应对7、在信息安全领域，以下哪项技术不属于密码学的基本技术？A. 对称加密B. 非对称加密C. 加密哈希D. 数据库加密技术8、以下哪个选项描述了信息安全风险评估的典型步骤？A. 风险识别、风险分析、风险评价、风险应对B. 风险识别、风险应对、风险分析、风险评价C. 风险分析、风险识别、风险评价、风险应对D. 风险评价、风险识别、风险分析、风险应对9、以下哪项不是信息安全的基本原则？•A、最小权限原则•B、纵深防御原则•C、数据完整性原则•D、全面覆盖原则 10、关于密码学中的对称加密和非对称加密，以下说法错误的是？•A、对称加密使用相同的密钥进行加密和解密•B、非对称加密使用一对密钥（公钥和私钥），公钥用于加密，私钥用于解密•C、对称加密算法常见的有AES、DES等，非对称加密算法常见的有RSA、ECC等•D、对称加密的密钥管理比非对称加密困难，因为需要一个安全地分发密钥的渠道11、题目：在信息安全领域，以下哪项技术不是密码学的基础技术？A. 对称加密B. 非对称加密C. 消息摘要D. 数字水印12、题目：以下关于信息安全风险管理的描述，不正确的是：A. 信息安全风险是指信息安全事件对组织损害的可能性B. 风险评估是信息安全风险管理过程中的一个重要步骤C. 信息安全风险管理旨在降低和防范信息安全风险D. 风险应对措施包括风险规避、风险转移、风险接受和风险减轻13、题干：在信息安全领域中，以下哪项不属于常见的威胁类型？A. 恶意软件B. 网络攻击C. 物理安全D. 数据泄露14、题干：以下哪个协议是用来实现网络数据传输加密的？A. SSL/TLSB. FTPC. SMTPD. HTTP15、信息安全风险管理框架通常包括哪四个阶段？（多项选择）A、识别B、分析C、反应D、控制16、在ISO/IEC 27001标准中，信息安全管理体系（Information Security Management System, ISMS）的核心要素有哪些？A、信息安全目标B、信息安全政策C、信息安全风险管理D、信息安全组织17、下述哪项不属于信息安全中的物理安全措施？A、屏蔽电缆以防止电磁干扰B、定期清洁计算机以防止灰尘积累C、加密通信数据以保证传输安全D、使用报警系统防止非法入侵18、以下哪种病毒会被称为“蠕虫”？A、特洛伊木马B、宏病毒C、垃圾邮件病毒D、网络蠕虫病毒19、以下哪种加密算法在信息安全领域中主要用于身份验证？A. DESB. RSAC. SHA-256D. MD5 20、在网络安全中，以下哪项措施属于被动攻击？A. 数据篡改B. 中间人攻击C. 拒绝服务攻击D. 监听通信内容21、SSL 协议是 Secure Socket Layer (安全套接层) 的简称，是保证互联网上信息传输安全的一种通信协议，主要提供了识别服务器身份和数据的保密性等功能。

2025年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、在信息安全领域，以下哪个标准是关于密码技术的？A. ISO 27001B. NIST SP 800-53C. ITILD. COBIT2、以下哪个加密算法属于对称加密算法？A. RSAB. AESC. DESD. SHA-2563、数据加密技术基础题目：数字加密算法中最著名的是哪一种，并简述其工作原理。

4、访问控制模型题目：在计算机安全领域，哪种访问控制模型是基于“用户无权访问数据”的原则？5、信息安全的基本概念•题目：信息安全的主要目标是什么？6、常见的信息安全威胁•题目：以下哪些属于常见的信息安全威胁？（多选）• A. 黑客攻击• B. 病毒感染• C. 分布式拒绝服务攻击（DDoS）• D. 数据备份不足7、计算机网络体系结构题目：在OSI模型中，哪一层负责在相互通信的系统中建立、管理和终止会话？A. 表示层B. 会话层C. 传输层D. 网络层8、数据加密技术题目：在下列哪种加密算法中，加密密钥和解密密钥是相同的？A. 对称加密算法B. 非对称加密算法C. 散列函数D. 哈希算法9、关于信息安全管理的原则，以下哪项描述是错误的？选项：A. 确保信息系统的完整性和可靠性B. 对所有的信息和系统进行全面监控C. 对信息的访问实施严格的访问控制D. 无需考虑物理安全因素 10、关于数据库安全的说法，以下哪项是正确的？选项：A. 数据库安全只涉及到数据的保密性和完整性B. 数据库管理员不需要对用户进行权限管理C. 数据库系统本身可以自动防止SQL注入攻击D. 数据库安全是信息安全领域的一个重要组成部分11、下列关于网络安全的描述中，正确的是：A. 网络攻击者可以通过嗅探技术获取数据包内容B. 网络管理员可以随意更改网络设备的配置信息C. 加密技术可以提高数据的安全性，防止未授权访问D. 防火墙是一种被动防御机制，只能阻止外部攻击12、下列关于网络安全的措施中，错误的是：A. 使用强密码并定期更新B. 不使用公共Wi-Fi进行敏感操作C. 在多个设备上安装相同的软件D. 对电子邮件附件进行病毒扫描13、计算机网络中，加密的主要目的是什么？它通常涉及哪些技术？14、在操作系统中，哪些安全策略或措施可以用来提高系统的安全性？请列举至少三个并简要说明其作用。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1.问题：以下哪个不是计算机网络的基本组成要素？A. 数据传输介质B. 网络设备（如路由器、交换机）C. 通信协议和标准D. 程序软件（如操作系统）3.数据加密技术基础题目：在信息加密过程中，以下哪个步骤是确保加密数据安全性的关键？A. 数据压缩B. 密钥交换C. 数据转换D. 数据传输4.操作系统安全机制题目：以下哪个安全机制主要用于防止未经授权的用户访问计算机系统中的敏感数据？A. 用户认证B. 权限管理C. 数据备份D. 病毒防护5.以下哪个协议不是TLS/SSL协议族的一部分？A. SSLB. TLSC. HTTPD. FTP6.以下哪个加密算法是对称加密算法？A. RSAB. AESC. DESD. SHA-2567、按照ISO/IEC 27001标准，组织信息安全管理体系的最低要求不包括的是：A)信息的物理和环境安全。

B)资产识别和信息 security controls 的实施。

C)人力资源 security 的确立。

D)通信和传输 security 的确立。

8、在信息security领域，“最小权限原则”指的是：A)用户应该被授予完成其任务所必需的最低权限。

B)信息系统管理员不应该具有任何更多权限。

C)员工的所有访问权限都应该被完全审查和审计。

D)用户不应该被授予执行日常任务之外的操作权限。

9、对于LDAP目录服务，下列哪个选项不正确？A. LDAP是基于应用层的轻量级协议。

B. LDAP服务通常运行在TCP/UDP协议上。

C. LDAP主要用于存储和管理用户帐户和群组信息。

D. LDAP采用XML格式的数据结构。

10、下列关于公钥密码学的描述中，哪个错误？A. 公钥密码学利用一对密钥对：私钥和公钥。

B. 使用者的私钥加密的信息，只有持有该私钥的用户才能解密。

软考信息安全工程师考试练习题与答案1、会客单实行“一单一访”，禁止（）。

被访人员必须在会客单上签字，否则不予退换有效证件。

A、“一单多访”B、“一单N访”C、“多单一访”D、“多单多访”答案：A2、以下关于Smurf攻击的描述，那句话是错误的？A、它是一种拒绝服务形式的攻击B、它依靠大量有安全漏洞的网络作为放大器C、它使用ICMP的包进行攻击D、攻击者最终的目标是在目标计算机上获得一个帐号答案：D3、以下不属于人工检测被入侵的前兆的有（）A、用管理员的帐号登录B、在非工作时间活动出现了不是由系统维护人员创建的帐号（如test帐号）C、出现了不熟悉的文件或程序D、WWW主页被篡改答案：A4、在UTM校验未知数据流时，其CPU指数低于20%以下，此现象表明？A、正常现象B、错误现象C、警示现象D、危机现象答案：A5、允许防火墙和某些路由器通过将地址引向不可信网络的方法来隐藏网络地址被称为A、地址过滤B、NATC、反转D、IP地址欺骗答案：B6、微软系统更新补丁服务器的简称是？A、WSUSB、LUAC、VBSD、WSSU答案：A7、使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型?A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用答案：A8、使用Finger命令无法得到信息是A、用户当前是否在线B、服务器IPC、服务器名D、服务器MAC答案：B9、原始数据从第七层至第五层封装时，历经变化时增加的头文件数是？A、1B、2C、3D、4答案：B10、下述攻击手段中不属于DOS攻击的是:（）A、Smurf攻击B、pingofdeath攻击C、Teardrop攻击D、CGI溢出攻击答案：D11、安全审计应遵循的原则是：（）。

A、“审计独立性”的原则，通过设立独立的审计岗位或采取交叉审计等方式开展。

B、交叉审计的原则C、独立审计的原则D、任何形式的审计答案：A12、题目：WindowsNT和Windows2000系统能设置为在几次无效登录后锁定帐号,这可以防止：A、木马B、暴力攻击C、IP欺骗D、缓存溢出攻击答案：B13、下列哪些不是病毒的传播方式A、利用电子邮件B、利用网络共享C、利用P2P共享D、共享网线答案：D14、如果系统提供了文件上传功能，要防止用户上传（）。

1、在信息安全领域中，以下哪项技术主要用于确保数据的机密性？A. 数字签名B. 数据加密C. 防火墙D. 入侵检测系统（答案：B）2、关于SQL注入攻击，以下说法错误的是？A. 它是一种通过操纵SQL查询来访问或篡改数据库的攻击B. 可以通过参数化查询来有效预防C. 仅限于影响基于MySQL的数据库系统D. 可能导致数据泄露或数据损坏（答案：C）3、在网络安全中，DDoS（分布式拒绝服务）攻击与DoS（拒绝服务）攻击的主要区别在于？A. DDoS攻击使用单个攻击源B. DoS攻击更难防御，因为它涉及多个攻击点C. DDoS攻击利用多个分布式的攻击源D. DoS攻击不造成服务中断，只是减慢速度（答案：C）4、以下哪项不是常见的安全漏洞扫描工具？A. NessusB. OpenVASC. Wireshark（注：应为Wireshark的误用，实际应为Wireshark的网络分析功能，非漏洞扫描）D. QualysGuard（答案：C，注：正确答案为Wireshark的误用情境，实际工具名可能有出入，但意图是识别非漏洞扫描工具）5、在实施网络安全策略时，以下哪项原则最为关键？A. 便利性优先B. 最小权限原则C. 最大化访问权限D. 无限制的网络访问（答案：B）6、在信息安全事件响应过程中，以下哪个阶段紧接着事件检测？A. 事件分析B. 事件报告C. 事件恢复D. 事件预防（答案：A）7、关于密码学中的对称加密，以下说法不正确的是？A. 加密和解密使用相同的密钥B. 加密速度快，适用于大量数据C. 密钥管理相对简单D. 即使密钥泄露，加密的数据也无法被解密（答案：D）。

2023下六个月信息安全工程师考试真题一、单项选择1、如下有关信息安全管理员职责旳论述，不对旳旳是（）A、信息安全管理员应当对网络旳总体安全布局进行规划B、信息安全管理员应当对信息系统安全事件进行处理C、信息安全管理员应当负责为顾客编写安全应用程序D、信息安全管理员应当对安全设备进行优化配置2、国家密码管理局于2023年公布了“无线局域网产品须使用旳系列密码算法”，其中规定密钥协商算法应使用旳是（）A、DHB、ECDSAC、ECDHD、CPK3、如下网络袭击中，（）属于被动袭击A、拒绝服务袭击B、重放C、假冒D、流量分析4、（）不属于对称加密算法A、IDEAB、DESC、RCSD、RSA5、面向身份信息旳认证应用中，最常用旳认证措施是（）A、基于数据库旳认证B、基于摘要算法认证C、基于PKI认证D、基于账户名/口令认证6、假如发送方使用旳加密密钥和接受方使用旳解密密钥不相似，从其中一种密钥难以推出另一种密钥，这样旳系统称为（）A、公钥加密系统B、单密钥加密系统C、对称加密系统D、常规加密系统7、S/Key口令是一种一次性口令生产方案，它可以对抗（）A、恶意代码木马袭击B、拒绝服务袭击C、协议分析袭击D、重放袭击8、防火墙作为一种被广泛使用旳网络安全防御技术，其自身有某些限制，它不能制止（）A、内部威胁和病毒威胁B、外部袭击C、外部袭击、外部威胁和病毒威胁D、外部袭击和外部威胁9、如下行为中，不属于威胁计算机网络安全旳原因是（）A、操作员安全配置不妥而导致旳安全漏洞B、在不影响网络正常工作旳状况下，进行截获、窃取、破译以获得重要机密信息C、安装非正版软件D、安装蜜罐系统10、电子商务系统除了面临一般旳信息系统所波及旳安全威胁之外，更轻易成为黑客分子旳袭击目旳，其安全性需求普遍高于一般旳信息系统，电子商务系统中旳信息安全需求不包括（）A、交易旳真实性B、交易旳保密性和完整性C、交易旳可撤销性D、交易旳不可抵赖性11、如下有关认证技术旳论述中，错误旳是（）A、指纹识别技术旳运用可以分为验证和识别B、数字签名是十六进制旳字符串C、身份认证是用来对信息系统中实体旳合法性进行验证旳措施D、消息认证可以确定接受方收到旳消息与否被篡改正12、有一种原则是对信息进行均衡、全面旳防护，提高整个系统旳安全性能，该原则称为（）A、动态化原则B、木桶原则C、等级性原则D、整体原则13、在如下网络威胁中，（）不属于信息泄露A、数据窃听B、流量分析C、盗窃顾客账户D、暴力破解14、未授权旳实体得到了数据旳访问权，这属于对安全旳（）A、机密性B、完整性C、合法性D、可用性15、按照密码系统对明文旳处理措施，密码系统可以分为（）A、置换密码系统和易位密码B、密码学系统和密码分析学系统C、对称密码系统和非对称密码系统D、分级密码系统和序列密码系统16、数字签名最常见旳实现措施是建立在（）旳组合基础之上A、公钥密码体制和对称密码体制B、对称密码体制和MD5摘要算法C、公钥密码体制和单向安全散列函数算法D、公证系统和MD4摘要算法17、如下选项中，不属于生物识别措施旳是（）A、指纹识别B、声音识别C、虹膜识别D、个人标识号识别18、计算机取证是将计算机调查和分析技术应用于对潜在旳、有法律效应确实定和提取。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试卷及解答参考一、基础知识（客观选择题，75题，每题1分，共75分）1、在信息安全领域，以下哪个标准是信息安全等级保护的基本要求？A. ISO 27001B. NIST SP 800系列C. ITILD. COBIT答案：B解析：NIST SP 800系列是信息安全等级保护的基本要求。

2、信息安全的核心目标是什么？A. 保护信息不被未经授权的用户访问B. 提高计算机运行速度C. 增加网络带宽D. 减少系统维护成本答案：A解析：信息安全的核心目标是保护信息不被未经授权的用户访问。

3、在信息安全领域，以下哪个标准是针对计算机网络体系结构的？A. ISO 27001B. NIST SP 800-53C. IETF RFC 7231D. PCI DSS答案：C解析： IETF RFC 7231 是互联网工程任务组（IETF）发布的一个关于网络应用协议的RFC，其中定义了HTTP/HTTPS等协议的标准。

因此，它是针对计算机网络体系结构的。

4、在信息安全中，以下哪个概念是指未经授权的人获取、使用、泄露、破坏信息的行为？A. 数据泄露B. 破坏信息资源C. 信息泄露D. 数据篡改答案：C解析：信息泄露是指未经授权的人获取、使用、泄露、破坏信息的行为。

数据泄露通常指敏感数据的丢失，而破坏信息资源则更偏向于对信息的故意破坏或修改。

5、在信息安全领域，以下哪个标准是针对密码应用的推荐性标准？A. ISO 27001B. NIST SP 800-53C. ISO 9001D. IETF RFC 7233答案：B解析：NIST SP 800-53是美国国家标准与技术研究院（NIST）发布的一系列密码学标准，包括密码算法、密码分析和密码应用等。

6、在信息安全风险评估过程中，以下哪个过程是确定资产价值的关键步骤？A. 识别资产B. 评估资产价值C. 评估威胁D. 评估脆弱性答案：B解析：在信息安全风险评估过程中，确定资产价值是一个关键步骤，它涉及到对资产的价值进行评估，以便了解资产的重要性并采取相应的安全措施。

软考-信息安全⼯程师（汇总1000题）⼀、1单项选择题（1-605）1、Chinese Wall 模型的设计宗旨是：（A）。

A、⽤户只能访问哪些与已经拥有的信息不冲突的信息B、⽤户可以访问所有信息C、⽤户可以访问所有已经选择的信息D、⽤户不可以访问哪些没有选择的信息2、安全责任分配的基本原则是：（C）。

A、“三分靠技术，七分靠管理”B、“七分靠技术，三分靠管理”C、“谁主管，谁负责”D、防⽕墙技术3、保证计算机信息运⾏的安全是计算机安全领域中最重要的环节之⼀，以下（B）不属于信息运⾏安全技术的范畴。

A、风险分析B、审计跟踪技术C、应急技术D、防⽕墙技术4、从风险的观点来看，⼀个具有任务紧急性，核⼼功能性的计算机应⽤程序系统的开发和维护项⽬应该（A）。

A、内部实现B、外部采购实现C、合作实现D、多来源合作实现5、从风险分析的观点来看，计算机系统的最主要弱点是（B）。

A、内部计算机处理B、系统输⼊输出C、通讯和⽹络D、外部计算机处理6、从风险管理的⾓度，以下哪种⽅法不可取？（D）A、接受风险B、分散风险C、转移风险D、拖延风险7、当今IT的发展与安全投⼊，安全意识和安全⼿段之间形成（B）。

A、安全风险屏障B、安全风险缺⼝C、管理⽅式的变⾰D、管理⽅式的缺⼝8、当为计算机资产定义保险覆盖率时，下列哪⼀项应该特别考虑？（D）。

A、已买的软件B、定做的软件C、硬件D、数据9、当⼀个应⽤系统被攻击并受到了破坏后，系统管理员从新安装和配置了此应⽤系统，在该系统重新上线前管理员不需查看：（C）A、访问控制列表B、系统服务配置情况C、审计记录D、⽤户账户和权限的设置10、根据《计算机信息系统国际联⽹保密管理规定》，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联⽹或其它公共信息⽹络相联接，必须实⾏（B）。

A、逻辑隔离B、物理隔离C、安装防⽕墙D、VLAN 划分11、根据《信息系统安全等级保护定级指南》，信息系统的安全保护等级由哪两个定级要素决定？（D）A、威胁、脆弱性B、系统价值、风险C、信息安全、系统服务安全D、受侵害的客体、对客体造成侵害的程度业务12、公司应明确员⼯的雇佣条件和考察评价的⽅法与程序，减少因雇佣不当⽽产⽣的安全风险。