信息安全工程习题及答案()

信息安全工程师考试复习练习题及答案(一)信息安全工程师考试复习练习题及答案(一)篇一选择题1．（）是防止发送方在发送数据后又否认自己行为，接收方接到数据后又否认自己接收到数据。

A.数据保密服务B.数据完整性服务C.数据源点服务D.禁止否认服务答案：D2．鉴别交换机制是以（）的方式来确认实体身份的机制。

A.交换信息B.口令C.密码技术D.实体特征答案：A3．数据源点鉴别服务是开发系统互连第N层向（）层提供的服务A.N+1B.N-1C.N+2D.N-2答案：B4．从技术上说，网络容易受到攻击的原因主要是由于网络软件不完善和（）本身存在安全漏洞造成的。

A．人为破坏B．硬件设备C．操作系统D．网络协议答案：D5．对等实体鉴别服务是数据传输阶段对（）合法性进行判断。

A．对方实体B．对本系统用户C．系统之间D．发送实体答案：A6．在无信息传输时，发送伪随机序列信号，使非法监听者无法知道哪些是有用信息，哪些是无用信息。

（）A．公证机制B．鉴别交换机制C．业务流量填充机制D．路由控制机制答案：C7.在系统之间交换数据时，防止数据被截获。

（）A．数据源点服务B．数据完整性服务C．数据保密服务D．禁止否认服务答案：C8．以交换信息的方式来确认对方身份的机制。

（）A．公证机制B．鉴别交换机制C．业务流量填充机制D．路由控制机制答案：B填空题1．如果当明文字母集与密文字母集是一对一映射时，则密钥长度是(26X26=676)。

2．DES算法是对称或传统的加密体制，算法的最后一步是(逆初始置换IP-1)。

3．公开密钥体制中每个成员有一对密钥，它们是公开密钥和(私钥)。

4．代替密码体制加密时是用字母表中的另一个字母(代替)明文中的字母。

5．换位密码体制加密时是将改变明文中的字母(顺序)，本身不变。

6．DES算法加密明文时，首先将明文64位分成左右两个部分，每部分为(32)位。

7．在密码学中明文是指可懂的信息原文；密文是指明文经变换后成为(无法)识别的信息。

信息安全工程师考试练习试题及答案（一）信息安全工程师作为一门新开设的科目，考生们该如何备考呢除了平日的看书之外，做题就成了考生巩固知识点的一种重要路径，以下是小编为大家整理的信息安全工程师考试练习试题及答案，希望对大家能有所帮助。

1、网络安全的主要目的是保护一个组织的信息资产的（A）。

A、机密性、完整性、可用性B、B、参照性、可用性、机密性、C、可用性、完整性、参照性D、完整性、机密性、参照性2、D BS是采用了数据库技术的计算机系统。

D BS是一个集合体，包含数据库、计算机硬件、软件和（C）。

A、系统分析员B、程序员C、数据库管理员D、操作员3、M yS QL -h ho st -u u ser -p password命令的含义如下，哪些事正确的（D）A、-h后为ho st为对方主机名或IP地址B、-u后为数据库用户名C、-p后为密码D、以上都对4、Oracle当连接远程数据库或其它服务时，可以指定网络服务名，Oracle9i支持5中命名方法，请选择错误的选项。

（D）A、本地命名和目录命名B、Oracle名称（Oracle Na mes）C、主机命名和外部命名D、DNS和内部命名5、S QL Se ve r的默认通讯端口有哪些（B）A、TCP 1025B、TCP 1433C、UD P 1434D、TCP 14333E、TCP 4456、S QL Se ve r中可以使用哪个存储过程调用操作系统命令，添加系统账号（B）A、xp_dirtreeB、xp_cmd she llC、xp_cmd she llD、xpde lete key7、S QL Se ve r中下面哪个存储过程可以执行系统命令（C）A、xp_re greadB、xp_com m andC、xp_cmd she llD、sp_password8、S QL的全局约束是指基于元祖的检查子句和（C）。

A、非空值约束B、域约束子句C、断言D、外键子句9、S QL数据库使用以下哪种组件来保存真实的数据（C）A、S che masB、Sub sche m asC、TablesD、V ie ws10、SQL语句中，彻底删除一个表的命令是（B）。

可编辑修改精选全文完整版2023年中级软考《信息安全工程师》考试历年真题摘选附带答案第1卷一.全考点综合测验(共20题)1.【单选题】属于第二层的VPN 隧道协议是()。

A.IPSecB.PPTPC.GRED.IPv42.【单选题】下列算法中，( )属于摘要算法。

A.DESB.MD5C.Diffie-HellmanD.AES3.【单选题】ISO 制定的安全体系结构描述了5 种安全服务，以下不属于这5 种安全服务的是()A.鉴别服务B.数据报过滤C.访问控制D.数据完整性4.【单选题】以下对OSI(开放系统互联)参考模型中数据链路层的功能叙述中，描述最贴切是()A.保证数据正确的顺序、无差错和完整B.控制报文通过网络的路由选择C.提供用户与网络的接口D.处理信号通过介质的传输5.【单选题】面向身份信息的认证应用中，最常用的认证方法是()A.基于数据库的认证B.基于摘要算法认证C.基于PKI 认证D.基于账户名/ 口令认证6.【单选题】入侵检测系统放置在防火墙内部所带来的好处是()A.减少对防火墙的攻击B.降低入侵检测C.增加对低层次攻击的检测D.增加检测能力和检测范围7.【单选题】下列说法中，错误的是()A.服务攻击是针对某种特定攻击的网络应用的攻击B.主要的渗入威胁有特洛伊木马和陷阱C.非服务攻击是针对网络层协议而进行的D.对于在线业务系统的安全风险评估，应采用最小影响原则8.【单选题】包过滤技术防火墙在过滤数据包时，一般不关心()A.数据包的原地址B.数据包的目的地址C.数据包的协议类型D.数据包的内容9.【单选题】面向数据挖掘的隐私保护技术主要解决高层应用中的隐私保护问题，致力于研究如何根据不同数据挖掘操作的特征来实现对隐私的保护。

从数据挖掘的角度看，不属于隐私保护技术的是()。

A.基于数据失真的隐私保护技术B.基于数据匿名化的隐私保护技术C.基于数据分析的隐私保护技术D.基于数据加密的隐私保护技术10.【单选题】从安全属性对各种网络攻击进行分类，阻断攻击是针对()的攻击A.机密性B.可用性C.完整性D.真实性11.【单选题】以下关于VPN的叙述中，正确的是()A.VPN指的是用户通过公用网络建立的临时的、安全的连接B.VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路C.VPN不能做到信息认证和身份认证D.VPN只能提供身份认证，不能提供数据加密的功能12.【单选题】身份识别在信息安全领域有着广泛的应用，通过识别用户的生理特征来认证用户的身份是安全性很高的身份认证方法。

第一章一、填空题1.信息保障旳三大要素是______、______、______2.在bs7799信息安全管理体系中, 信息安全旳重要目旳是信息旳______、______、______旳保持3.信息安全一般包括______、______、信息安全和______四个方面旳内容。

4.信息安全管理是通过维护信息旳______、______、______等, 来管理和保护信息资产旳一项体制二、名词解释1.信息安全2.信息安全管理四、论述1.我国信息安全管理现实状况怎样？第二章一、填空题1.BS7799信息安全管理领域旳一种权威原则, 其最大意义就在于它给______一整套可“______”旳信息安全管理要领。

2.SSE-CMM将安全工程划分为三个基本旳安全区域, 即______、______、______二、SSE-CMM包括了______个级别, 我国旳信息和信息系统旳安全保护等级共分为______级三、名词解释1.信息安全管理体系ISMS2.信息安全等级保护3.信息安全管理体系认证三、简答1. 建立ISMS有什么作用？2. 可以采用哪些模式引入BS7799？3. 我国对于信息和信息系统旳安全保护等级是怎样划分旳？4. SSE-CMM将安全工程划分为哪些基本旳过程区域？每一种区域旳含义是什么？5.建立信息安全管理体系一般要通过哪些基本环节？四、论述1.PDCA分为哪几种阶段？每一种阶段旳重要任务是什么？2.等级保护旳实行分为哪几种阶段？每一种阶段旳重要环节是什么？3.试述BS7799旳重要内容。

第三章一、填空题1.资产管理旳重要任务是______、______等2.脆弱性分为______、______、______3.风险评估措施分为______、______、______4.OCTAVE是一种信息安全风险评估措施, 它指旳是______、______、______5.组织根据______与______旳原则识别并选择安全控制措施6.风险接受是一种对残留风险进行______和______旳过程二、名词解释（1）资产旳价值（2）威胁（3）脆弱性（4）安全风险（5）风险评估（6）风险管理（7）安全控制（8）合用性申明三、简答1.论述风险评估旳基本环节。

2024年上半年信息安全工程师真题及答案2024年上半年信息安全工程师真题及答案一、单项选择题1、下列选项中，对网络安全领域中的入侵检测系统描述正确的是（）A. 是一种被动防护技术，不能主动阻止攻击B. 是防火墙的补充和扩展，能消除内外威胁C. 是一种主动防护技术，通过在网端复制网络流量进行监控，发现攻击D. 是对防病毒系统的扩充，可以检测出网络中已发生的攻击行为正确答案是：C. 是一种主动防护技术，通过在网端复制网络流量进行监控，发现攻击。

2、下列密码中，安全性最高的是（） A. 用户名：Admin，密码：123456 B. 用户名：Guest，密码：Guest C. 用户名：John，密码：john888 D. 用户名：Admin，密码：$&%@Admin 正确答案是：D. 用户名：Admin，密码：$&%@Admin。

3、某公司为了提高员工的工作效率，准备在办公楼内接入无线网络。

下列关于无线局域网叙述正确的是（） A. 室内距离在300m内不需要考虑无线衰减问题 B. 无线网卡与无线路由器不在同一信道内会有衰减，但可以连接桥接 C. 2.4G与5G不会产生干扰，因此只需要分别设置不同的功率保证信号覆盖即可 D. 2.4G与5G频段的设备不能进行桥接正确答案是：B. 无线网卡与无线路由器不在同一信道内会有衰减，但可以连接桥接。

二、多项选择题1、下列行为属于违反网络道德的有（） A. 某高校学生使用黑客软件，未经许可入侵他人计算机系统，盗取他人游戏账号和游戏装备 B. 某高校学生在宿舍大量使用“热得快”，引起电路过载，造成火灾 C. 某网站在新闻发布时进行虚拟社区身份、IP、ID等信息的显示，导致舆论监督失衡 D. 某网站针对某些热门话题设置“敏感字过滤”，以此达到控制言论的目的正确答案是：A. 某高校学生使用黑客软件，未经许可入侵他人计算机系统，盗取他人游戏账号和游戏装备。

B. 某高校学生在宿舍大量使用“热得快”，引起电路过载，造成火灾。

选择题
以下哪一项不是信息安全的基本属性？
A. 完整性
B. 可用性
C. 匿名性（正确答案）
D. 保密性
在信息安全领域，以下哪项技术常用于确保数据传输的安全性？
A. 防火墙
B. VPN（正确答案）
C. 入侵检测系统
D. 数据备份
SQL注入攻击主要针对的是以下哪个层面的安全漏洞？
A. 应用层（正确答案）
B. 网络层
C. 数据链路层
D. 物理层
下列哪项措施可以有效防止中间人攻击（MITM）？
A. 使用强密码
B. 实施数据加密（正确答案）
C. 定期更换密码
D. 使用生物识别登录
在信息安全策略中，下列哪项原则强调“只给予用户完成其工作所需的最小权限”？
A. 最小特权原则（正确答案）
B. 职责分离原则
C. 默认拒绝原则
D. 深度防御原则
以下哪项技术可以检测并阻止对系统或网络的恶意行为？
A. 防火墙
B. 入侵防御系统（正确答案）
C. 安全审计
D. 漏洞扫描
在加密技术中，以下哪项属于对称加密算法？
A. RSA
B. AES（正确答案）
C. ECC
D. SHA-256
以下哪一项是实现网络安全的基本措施之一，涉及对网络流量的监控和分析？
A. 入侵检测（正确答案）
B. 数据备份
C. 访问控制
D. 加密技术
在信息安全管理中，以下哪项活动是对系统、网络或应用进行全面检查，以识别潜在的安全漏洞？
A. 渗透测试
B. 漏洞评估（正确答案）
C. 安全审计
D. 风险分析。

选择题
在进行网络安全风险评估时，以下哪项不是必须考虑的因素？
A. 资产价值
B. 威胁来源
C. 安全控制措施的有效性
D. 员工的个人兴趣（正确答案）
下列哪种攻击方式利用了系统对输入数据的不当处理，可能导致任意代码执行？
A. SQL注入（正确答案）
B. 中间人攻击
C. 会话劫持
D. DDoS攻击
关于数字签名，以下说法正确的是：
A. 数字签名能够确保数据的机密性
B. 数字签名使用对称加密算法
C. 数字签名可以验证数据的完整性和发送方的身份（正确答案）
D. 数字签名不需要私钥参与
在实施网络安全策略时，以下哪项措施可以有效防止未经授权的访问？
A. 定期更换网络设备
B. 使用强密码策略并定期更新（正确答案）
C. 禁用所有外部网络连接
D. 仅依赖防火墙保护
下列哪项技术不属于网络防御技术？
A. 入侵检测系统
B. 防火墙
C. 数据加密
D. 网络钓鱼（正确答案）
在进行安全审计时，发现系统日志中存在大量异常登录尝试，这最可能是哪种攻击的前兆？
A. 暴力破解攻击（正确答案）
B. SQL注入攻击
C. 零日漏洞利用
D. DDoS攻击准备
在网络安全事件响应计划中，以下哪项是首要步骤？
A. 分析事件原因
B. 立即恢复系统服务
C. 识别和确认事件（正确答案）
D. 通知所有相关人员。

信息安全工程师历年考题一、以下哪项是信息安全工程师在设计系统安全策略时应优先考虑的因素？A. 系统的性能优化B. 数据的备份与恢复C. 系统的易用性D. 系统的安全威胁与风险（答案）D二、在网络安全中，以下哪项技术可以有效防止中间人攻击？A. 防火墙B. 入侵检测系统C. SSL/TLS加密D. 防病毒软件（答案）C三、信息安全工程师在应对DDoS攻击时，以下哪项措施最为有效？A. 增加服务器数量B. 升级网络设备C. 配置流量清洗设备D. 限制用户访问权限（答案）C四、以下哪项是信息安全工程师在进行安全审计时应重点关注的内容？A. 系统的硬件配置B. 系统的软件版本C. 系统的安全漏洞与合规性D. 系统的用户数量（答案）C五、在信息安全领域，以下哪项是保护敏感数据不被未授权访问的关键技术？A. 数据备份B. 数据加密C. 数据压缩D. 数据归档（答案）B六、信息安全工程师在发现系统存在安全漏洞时，应首先采取的措施是？A. 立即公开漏洞信息B. 向相关厂商报告漏洞C. 利用漏洞进行攻击测试D. 自行修复漏洞并隐瞒不报（答案）B七、以下哪项是信息安全工程师在评估系统安全性时，不应忽视的环节？A. 系统的物理安全B. 系统的网络架构C. 系统的开发成本D. 系统的安全策略与制度（答案）C八、在信息安全领域，以下哪项是防止恶意软件传播的有效手段？A. 定期更换系统密码B. 禁用不必要的网络服务C. 安装并定期更新防病毒软件D. 限制用户访问互联网（答案）C。

考试必赢2016年信息安全工程师考试习题复习一、单项选择题1．信息安全的基本属性是＿＿＿。

A.保密性B.完整性C.可用性、可控性、可靠性D.A，B，C都是答案：D2．假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。

这种算法的密钥就是5，那么它属于＿＿＿。

A.对称加密技术B.分组密码技术C.公钥加密技术D.单向函数密码技术答案：A3．密码学的目的是＿＿＿。

A.研究数据加密B.研究数据解密C.研究数据保密D.研究信息安全答案：C4．A方有一对密钥（KA公开，KA秘密），B方有一对密钥（KB 公开，KB秘密），A方向B方发送数字签名M，对信息M加密为：M’=KB公开（K A秘密（M））。

B方收到密文的解密方案是＿＿＿。

A.KB公开（KA秘密（M’））B.KA公开（KA公开（M’））C.KA公开（KB秘密（M’））D.KB秘密（KA秘密（M’））答案：C5．数字签名要预先使用单向Hash函数进行处理的原因是＿＿＿。

A.多一道加密工序使密文更难破译B.提高密文的计算速度C.缩小签名密文的长度，加快数字签名和验证签名的运算速度D.保证密文能正确还原成明文答案：C6．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是＿＿。

A.身份鉴别是授权控制的基础B.身份鉴别一般不用提供双向的认证C.目前一般采用基于对称密钥加密或公开密钥加密的方法D.数字签名机制是实现身份鉴别的重要机制答案：B7．防火墙用于将Internet和内部网络隔离＿＿＿。

A.是防止Internet火灾的硬件设施B.是网络安全和信息安全的软件和硬件设施C.是保护线路不受破坏的软件和硬件设施D.是起抗电磁干扰作用的硬件设施答案：B8．PKI支持的服务不包括＿＿＿。

A.非对称密钥技术及证书管理B.目录服务C.对称密钥的产生和分发D.访问控制服务答案：D9．设哈希函数H有128个可能的输出(即输出长度为128位)，如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5，则k约等于＿＿。

软考信息安全工程师考试练习题与答案1、会客单实行“一单一访”，禁止（）。

被访人员必须在会客单上签字，否则不予退换有效证件。

A、“一单多访”B、“一单N访”C、“多单一访”D、“多单多访”答案：A2、以下关于Smurf攻击的描述，那句话是错误的？A、它是一种拒绝服务形式的攻击B、它依靠大量有安全漏洞的网络作为放大器C、它使用ICMP的包进行攻击D、攻击者最终的目标是在目标计算机上获得一个帐号答案：D3、以下不属于人工检测被入侵的前兆的有（）A、用管理员的帐号登录B、在非工作时间活动出现了不是由系统维护人员创建的帐号（如test帐号）C、出现了不熟悉的文件或程序D、WWW主页被篡改答案：A4、在UTM校验未知数据流时，其CPU指数低于20%以下，此现象表明？A、正常现象B、错误现象C、警示现象D、危机现象答案：A5、允许防火墙和某些路由器通过将地址引向不可信网络的方法来隐藏网络地址被称为A、地址过滤B、NATC、反转D、IP地址欺骗答案：B6、微软系统更新补丁服务器的简称是？A、WSUSB、LUAC、VBSD、WSSU答案：A7、使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型?A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用答案：A8、使用Finger命令无法得到信息是A、用户当前是否在线B、服务器IPC、服务器名D、服务器MAC答案：B9、原始数据从第七层至第五层封装时，历经变化时增加的头文件数是？A、1B、2C、3D、4答案：B10、下述攻击手段中不属于DOS攻击的是:（）A、Smurf攻击B、pingofdeath攻击C、Teardrop攻击D、CGI溢出攻击答案：D11、安全审计应遵循的原则是：（）。

A、“审计独立性”的原则，通过设立独立的审计岗位或采取交叉审计等方式开展。

B、交叉审计的原则C、独立审计的原则D、任何形式的审计答案：A12、题目：WindowsNT和Windows2000系统能设置为在几次无效登录后锁定帐号,这可以防止：A、木马B、暴力攻击C、IP欺骗D、缓存溢出攻击答案：B13、下列哪些不是病毒的传播方式A、利用电子邮件B、利用网络共享C、利用P2P共享D、共享网线答案：D14、如果系统提供了文件上传功能，要防止用户上传（）。

选择题：
在信息安全领域，以下哪一项是描述数据在传输过程中被非法获取的风险？
A. 数据泄露（正确答案）
B. 数据冗余
C. 数据备份
D. 数据恢复
信息安全工程师在设计系统时，应遵循的基本原则是：
A. 最大化数据收集
B. 最小化权限原则（正确答案）
C. 开放所有端口
D. 无需用户认证
以下哪种技术是用来确保数据在传输过程中的完整性和防篡改的？
A. 数据加密（正确答案）
B. 数据备份
C. 数据销毁
D. 数据隐藏
在进行渗透测试时，信息安全工程师模拟黑客攻击的目的是：
A. 破坏系统
B. 评估系统的安全性（正确答案）
C. 展示技术能力
D. 无需用户授权访问数据
以下哪一项是描述通过注入恶意代码来攻击计算机系统的行为？
A. 钓鱼攻击
B. 代码注入攻击（正确答案）
C. 社交工程
D. 跨站脚本攻击
信息安全工程师在处理安全事件时，首要任务是：
A. 立即公开事件细节
B. 评估事件影响和制定应对措施（正确答案）
C. 忽略小事件
D. 直接修复系统而不进行调查
以下哪种设备是用来在网络层面进行访问控制和安全隔离的？
A. 路由器
B. 防火墙（正确答案）
C. 交换机
D. 负载均衡器
在信息安全领域，以下哪一项是描述对敏感数据进行加密存储的做法？
A. 数据脱敏
B. 数据加密存储（正确答案）
C. 数据备份
D. 数据迁移
信息安全工程师在进行系统安全审计时，主要关注的是：
A. 系统的性能优化
B. 系统的合规性和安全性（正确答案）
C. 系统的用户数量
D. 系统的开发语言。

网络信息安全工程师测试题及答案1、打开注册表的命令为（）。

A、regeditB、gpedit.MscC、DxdiagD、Msconfig答案：A2、木马程序一般是指潜藏在用户电脑中带有恶意性质的（），利用它可以在用户不知情的情况下窃取用户联网电脑上重要数据信息。

A、远程控制软件B、计算机操作系统C、木头做的马D、以上都不是答案：A3、关于防火墙的描述不正确的是（）A、防火墙不能防止内部攻击。

B、如果一个公司信息安全制度不明确，拥有再好的防火墙也没有用。

C、防火墙可以防止伪装成外部信任主机的IP地址欺骗。

D、防火墙可以防止伪装成内部信任主机的IP地址欺骗。

答案：C4、CA指的是（）A、证书授权B、加密认证C、虚拟专用网D、安全套接层答案：A5、Wi-Fi的全称为“Wireless Fidelity”，即（）。

A、有线隐藏技术B、无线相容性认证C、无线可靠性认证D、无线局域网技术答案：B6、能将HTML文档从Web服务器传送到Web浏览器的传输协议是（）A、FTPB、HCMPC、HTTPD、ping答案：C7、使用菜刀连接一句话木马发生错误时，下列检查方法最不合适的是（）A、马上重传一句话木马B、通过在浏览器访问，查看是否被成功解析C、查看是否填入了正确的密码D、在菜刀中查看是否选择了正确脚本语言答案：A8、安全评估和等级保护使用的最关键的安全技术是（）A、入侵检测B、防火墙C、加密D、漏洞扫描答案：D9、通常所说的“病毒”是指（）A、细菌感染B、生物病毒感染C、被损坏的程序D、特制的具有破坏性的程序答案：D10、SSID最多支持（）个字符。

A、32B、64C、128D、256答案：A11、Windows NT和 Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防止（）A、木马B、暴力攻击C、IP欺骗D、缓存溢出攻击答案：B12、Man-in-the-middle攻击，简称MITM，即（）A、重放攻击B、拒绝服务攻击C、中间人攻击D、后门漏洞攻击答案：C13、对影响业务的故障，有应急预案的要求在（）之内完成预案的启动A、10分钟B、15分钟C、20分钟D、30分钟答案：D14、使用Nmap秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描的参数为（）。

信息安全工程师真题与答案完整版1、《中华人民共和国网络安全法》第五十八条明确规定，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经( )决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

[单选题] *a、国务院(正确答案)b、国家网信部门c、省级以上人民政府d、网络服务提供商2、2018年10月，含有我国sm3杂凑算法的is0/iec10118-3: 2018《信息安全技术杂凑函数第3部分：专用杂凑函数》由国际标准化组织(iso)发布，sm3算法正式成为国际标准。

sm3的杂凑值长度为( )。

[单选题] *a、8 字节b、16字节c、32字节(正确答案)d、64字节3、bs7799标准是英国标准协会制定的信息安全管理体系标准，它包括两个部分：《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。

依据该标准可以组织建立、实施与保持信息安全管理体系，但不能实现( )。

[单选题] *a、强化员工的信息安全意识,规范组织信息安全行为b、对组织内关键信息资产的安全态势进行动态监测(正确答案)c、促使管理层坚持贯彻信息安全保障体系d、通过体系认证就表明体系符合标准,证明组织有能力保障重要信息4、为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本原则，其中在信息系统中，应该对所有权限进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使它们之间相互制约、相互监督，共同保证信息系统安全的是( )。

[单选题] *a、最小化原则(正确答案)b、安全隔离原原则c、纵深防御原则d、分权制衡原则5、等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。

以下关于我国信息安全等级保护内容描述不正确的是( )。

[单选题] *a、对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护(正确答案)b、对信息系统中使用的信息安全产品实行按等级管理c、对信息系统中发生的信息安全事件按照等级进行响应和处置d、对信息安全从业人员实行按等级管理,对信息安全违法行为实行按等级惩处6、研究密码破译的科学称为密码分析学。

高等教育自学考试《信息安全工程》真题题库及参考答案一、单选题：1.（2分）网上银行系统的一次转账操作过程中发生了转账金额被非法篡改的行为，这破坏了信息安全哪种属性。

A．保密性B．完整性C．不可否认性D．可用性答案:B2．（2分）下面哪种密码不属于常见的危险密码。

A．跟用户名相同的密码B．使用生日作为密码C．只有4位数的密码D．10位的字符数字综合型密码答案:D3．（2分）什么是恶意软件最本质的特性。

A．寄生性B．潜伏性C．破坏性D．攻击性答案:C4．（2分）公钥密码基础设施PKI解决了信息系统中的哪种问题。

A．身份信任B．权限管理C．安全审计D．加密答案:A5．（2分） SSL协议工作在哪一层。

A．套接字层B．网络层C．应用层D．传输层答案:A6．（2分）张三将QQ头像、昵称分别改为李四的头像和昵称，然后向李四的好友借钱。

该攻击行为属于以下哪类攻击。

A．口令破解B．木马攻击C．拒绝服务攻击D．社会工程学攻击答案:D7．（2分）所谓加密是指将一个信息经过以下哪种方式及加密函数转换，变成无意义的密文而接受方则将此密文经过解密函数、以及哪种方式还原成明文。

A．加密密钥、解密密钥B．解密密钥、解密密钥C．加密密钥、加密密钥D．解密密钥、加密密钥答案:A8．（2分）以下哪方面是信息安全领域内最关键和最薄弱的环节。

A．技术B．策略C．管理制度D．人答案:D9．（2分）线性密码分析方法本质上是一种什么攻击方法。

A．唯密文攻击B．已知明文攻击C．选择明文攻击D．选择密文攻击答案:B10．（2分）定期对系统和数据进行备份，在发生灾难时进行恢复。

该机制是为了满足信息安全的哪种属性。

A．真实性B．完整性C．不可否认性D．可用性答案:D11．（2分）以下哪种攻击方式可以被数据完整性机制防止。

A. 假冒源地址或用户的地址欺骗攻击B. 抵赖做过信息的递交行为C. 数据中途被攻击者窃听获取D. 数据在途中被攻击者篡改或破坏答案:D12．（2分）向特定的存储器输入超过其容量的字符串属于哪一种攻击手段？A．缓冲区溢出攻击B．中间人攻击C．拒绝服务攻击D．线性攻击答案:A13．（2分）现有凯撒密码表，其密钥为k=3，将明文“zhongxue”加密后，密文为以下哪种。

1、在信息安全领域中，以下哪项技术主要用于确保数据的机密性？A. 数字签名B. 数据加密C. 防火墙D. 入侵检测系统（答案：B）2、关于SQL注入攻击，以下说法错误的是？A. 它是一种通过操纵SQL查询来访问或篡改数据库的攻击B. 可以通过参数化查询来有效预防C. 仅限于影响基于MySQL的数据库系统D. 可能导致数据泄露或数据损坏（答案：C）3、在网络安全中，DDoS（分布式拒绝服务）攻击与DoS（拒绝服务）攻击的主要区别在于？A. DDoS攻击使用单个攻击源B. DoS攻击更难防御，因为它涉及多个攻击点C. DDoS攻击利用多个分布式的攻击源D. DoS攻击不造成服务中断，只是减慢速度（答案：C）4、以下哪项不是常见的安全漏洞扫描工具？A. NessusB. OpenVASC. Wireshark（注：应为Wireshark的误用，实际应为Wireshark的网络分析功能，非漏洞扫描）D. QualysGuard（答案：C，注：正确答案为Wireshark的误用情境，实际工具名可能有出入，但意图是识别非漏洞扫描工具）5、在实施网络安全策略时，以下哪项原则最为关键？A. 便利性优先B. 最小权限原则C. 最大化访问权限D. 无限制的网络访问（答案：B）6、在信息安全事件响应过程中，以下哪个阶段紧接着事件检测？A. 事件分析B. 事件报告C. 事件恢复D. 事件预防（答案：A）7、关于密码学中的对称加密，以下说法不正确的是？A. 加密和解密使用相同的密钥B. 加密速度快，适用于大量数据C. 密钥管理相对简单D. 即使密钥泄露，加密的数据也无法被解密（答案：D）。

1、以下哪种加密算法属于对称加密算法？
A. RSA
B. DSA
C. AES
D. ECC
（答案）C
2、在网络安全中，DDoS攻击是指什么？
A. 分布式拒绝服务攻击
B. 分布式数据服务攻击
C. 动态域名服务攻击
D. 分布式数据库服务攻击
（答案）A
3、下列哪项不是信息安全管理体系（ISMS）的组成部分？
A. 信息安全策略
B. 风险评估
C. 网络安全设备
D. 安全事件管理
（答案）C
4、以下哪种协议是用于安全电子邮件传输的？
A. HTTP
B. FTP
C. S/MIME
D. SSH
（答案）C
5、在信息安全领域，漏洞扫描的主要目的是？
A. 检测网络中的病毒
B. 检测系统中的安全漏洞
C. 加密传输数据
D. 防止数据泄露
（答案）B
6、以下哪种技术可以确保数据的完整性，防止数据在传输过程中被篡改？
A. 数据加密
B. 数字签名
C. 防火墙
D. 入侵检测系统
（答案）B
7、关于防火墙，以下哪项描述是错误的？
A. 防火墙可以阻止所有类型的网络攻击
B. 防火墙可以设置访问控制策略
C. 防火墙可以监控网络流量
D. 防火墙是网络安全的第一道防线
（答案）A
8、在信息安全风险评估中，以下哪项不是常见的风险识别方法？
A. 问卷调查
B. 渗透测试
C. 专家评估
D. 数据分析
（答案）D。

信息安全工程师练习题库及答案在信息时代的今天，信息安全越来越受到重视。

作为信息安全领域的专业人士，信息安全工程师起着至关重要的作用。

为了帮助信息安全工程师更好地备战实战，本文将提供一份练习题库及答案，供信息安全工程师进行练习和复习。

一、网络安全网络安全是信息安全的重要组成部分，它关注着网络系统和网络传输过程中的安全问题。

下面是一些网络安全方面的练习题及答案。

1. 什么是DDoS攻击？请描述攻击原理并提出相应的防御措施。

答：DDoS攻击是指分布式拒绝服务攻击，攻击者通过控制多个机器，同时向目标服务器发送大量的请求，以消耗服务器资源，从而使目标服务器无法正常对外提供服务。

防御措施包括流量清洗、入侵防御系统的部署等。

2. SSL/TLS协议是用来解决什么问题的？请简要介绍该协议的工作原理。

答：SSL/TLS协议用于解决网络通信过程中的数据传输安全问题。

该协议通过建立安全连接、身份认证和数据加密等机制，确保通信双方的数据传输过程不被窃取或篡改。

其工作原理主要包括握手协议、密钥交换、数据加密和身份认证等步骤。

二、系统安全系统安全是指保护计算机系统免受恶意攻击和非法访问的一系列措施和技术。

下面是一些系统安全方面的练习题及答案。

1. 什么是恶意软件？请列举几种常见的恶意软件类型，并提出相应的防御方法。

答：恶意软件是指被恶意开发者制作出来，用于攻击计算机系统或窃取用户信息的软件。

常见的恶意软件类型包括病毒、木马、蠕虫、间谍软件等。

防御方法包括定期更新杀毒软件、不随便下载不明来源的软件等。

2. 什么是弱口令？请简要介绍一些设计强密码的方法。

答：弱口令是指易于猜测或容易破解的密码。

为设计强密码，可以采用以下方法：- 长度要足够长，建议使用至少8位字符；- 使用包括大写字母、小写字母、数字和特殊字符的组合；- 避免使用与个人信息相关的词语或常见的字符串；- 定期更换密码，避免重复使用密码。

三、安全管理与应急响应安全管理与应急响应是信息安全工程师必备的能力之一，它涉及到安全策略制定、风险评估、安全培训等方面。

《信息安全工程》各章节习题解答第1章习题1、思考：当无法使用信息系统或信息，尤其是丧失保密性，完整性，可用性，不可否认性时，可能会带来那些问题？解答提示：机密性也被称为保密性，是指信息不被泄漏给非授权的用戸、实体、进程，或被其利用的特性。

机密性确保只有那些被授予特泄权限的人才能够访问到信息。

完整性是指信息未经授权不能进行更改的特性，即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。

可用性是信息可被授权实体访问并按需求使用的特性，即用户在需要时就可以取用所需的信息。

不可否认性又称拒绝否认性、抗抵赖性，指网络通信双方在信息交互过程中，确信参与者本身和所提供的信息貞•实同一性，即所有参与者不可否认或抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。

可以看岀，这些特性都是信息安全的基本属性以及基本目标，如果丧失了这些属性，那就谈不上什么安全了，整个信息系统或者信息没有任何的安全防护能力，从而导致信息安全事件的发生。

2、什么是信息安全工程？为什么需要信息安全工程？解答提示：信息安全工程是采用工程的概念、原理、技术和方法，来研究、开发、实施与维护信息系统安全的过程，是将经过时间考验证明是正确的工程实践流程、管理技术和当前能够得到的最好的技术方法相结合的过程。

信息安全工程是信息安全保障的重要组成部分, 针对目前信息化建设过程中'‘重技术，轻管理”、“重应用，轻安全”、“重要素、轻过程”、" 先建设，后安全“等问题，强调信息安全建设必须同信息化建设''同步规划、同步实施”，解决信息系统生命周期的“过程安全”问题，因此需要信息安全工程。

3、信息安全体系模型是什么？试比较不同的信息安全体系模型。

解答提示：信息安全体系模型是信息安全体系建设的基础，能够为信息安全的解决方案和工程实施提供依拯和参照。

就像建造一座大厦需要事先设计蓝图一样,进行信息安全建设，也需要一个实施依据，这就是整体上考虑的信息安全体系。

信息安全工程师测试题(35个选择题，5个简答题）-企事业内部考试IT试卷与试题一、选择题1. 信息安全最关心的三个属性是什么？A. ConfidentialityB. IntegrityC. AuthenticationD. AuthorizationE. Availability答案：A、B、E2. 用哪些技术措施可以有效地防御通过伪造保留IP地址而实施的攻击。

A. 边界路由器上设置ACLsB. 入侵检测系统C. 防火墙策略设置D. 数据加密E. 无答案：A、B、C3. 下列哪些设备应放置在DMZ区.A. 认证服务器B. 邮件服务器C. 数据库服务器D. Web服务器答案：B4. 以下哪几项关于安全审计和安全的描述是正确的A. 对入侵和攻击行为只能起到威慑作用B. 安全审计不能有助于提高系统的抗抵赖性C. 安全审计是对系统记录和活动的独立审查和检验D. 安全审计系统可提供侦破辅助和取证功能答案：C、D5. 下面哪一个情景属于身份验证（Authentication）过程?A. 用户在网络上共享了自己编写的一份Office文档，并设定哪些用户可以阅读，哪些用户可以修改B. 用户依照系统提示输入用户名和口令C. 某个人尝试登录到你的计算机中，但是口令输入的不对，系统提示口令错误，并将这次失败的登录过程纪录在系统日志中D. 用户使用加密软件对自己编写的Office文档进行加密，以阻止其他人得到这份拷贝后看到文档中的内容答案：A6. 以下那些属于系统的物理故障A. 软件故障B. 计算机病毒C. 人为的失误D. 网络故障和设备环境故障答案：D7. 数据在存储或传输时不被修改、破坏，或数据包的丢失、乱序等指的是A. 数据完整性B. 数据一致性C. 数据同步性D. 数据源发性答案：A8. 数字签名是用于保障A. 机密性B. 完整性C. 认证性D. 不可否认性答案：D9. 网络攻击者在局域网内进行嗅探，利用的是网卡的特性是A. 广播方式B. 组播方式C. 直接方式D. 混杂模式答案：D10. 你是一台Windows系统的管理员，出于安全性的考虑，你希望如果用户连续三次输入错误的密码，就将该用户账号锁定，应该采取（）措施A. 设置计算机账户策略中的帐户锁定策略，设置帐户锁定阈值为３B. 设置计算机本地策略中的帐户锁定策略，设置帐户锁定阈值为３C. 设置计算机本地策略中的安全选项，设置帐户锁定阈值为３D. 设置计算机帐户策略中的密码策略，设置帐户锁定阈值为３答案：A11. 公司所有的服务器都是Windoows操作系统，并且搭建了域环境。

信息安全工程师练习题库及答案1.1、Chinese Wall模型的设计宗旨是：（）o［单选题尸A、用户只能访问哪些与已经拥有的信息不冲突的信息B、用户可以访问所有信息C、用户可以访问所有已经选择的信息D、用户不可以访问舞些没有选择的信息2.2. 安全责任分配的基本原则是：（）o ［单选题］，A、“三分靠技术，七分靠管理B、“七分靠技术，三分靠管理”C、“谁主管.谁负责”确答&D、防火墙技术3.3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一，以下0不属于信息运行安全技术的范畴。

［单选题］*A、风险分析B、审计跟踪技术iF讶关奚）C、应急技术D、防火墙技术4.4. 从风险的观点来看，一个具有任务紧急性，核心功能性的计算机应用程序系统的开发和维护项目应该（）。

I单选题I*A、内部实现"八B、外部采购实现C、合作实现D、多来源合作实现5.5、从风险分析的观点来看，计算机系统的最主要弱点是（）。

【单选题］*A、内部计算机处理B、系统输入输出工了.答妄）C、通讯和网络D、外部计算机处理6.6、从风险管理的角度，以下那种方法不可取？（）［单选题］*A、接受风险B、分散风险C、转移风险D、拖延风险（正确答交I7.7、当今IT的发展与安全投入，安全意识和安全手段之间形成（）。

［单选题yA、安全风险屏障B、安全风险缺口，代C、管理方式的变革D、管理方式的缺口8.8、当为计算机资产定义保险覆盖率时.下列哪一项应该特别考虑？（）o ［单选题1*A、已买的软件B、定做的软件C、硬件D、数据工"二）9.9. 当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统，在该系统重新上线前管理员不需查看：（）［单选题1李A、访问控制列表B、系统服务配置情况C、审计记录正野答幻D、用户账户和权限的设置10. 10、根据《计算机信息系统国际联网保密管理规定》，涉及国家秘密的计算机信息系统.不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行（）。