2019年信息安全工程师考前培训简章(希赛)

2019年信息安全工程师真题与答案完整版（上午题）1、《中华人民共和国网络安全法》第五十八条明确规定，因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经（）决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

A、国务院B、国家网信部门C、省级以上人民政府D、网络服务提供商参考答案：A2、2018年10月，含有我国SM3杂凑算法的IS0/IEC10118-3: 2018《信息安全技术杂凑函数第3部分：专用杂凑函数》由国际标准化组织（ISO）发布，SM3算法正式成为国际标准。

SM3的杂凑值长度为（）。

A、8 字节B、16字节C、32字节1D、64字节参考答案：C3、BS7799标准是英国标准协会制定的信息安全管理体系标准，它包括两个部分：《信息安全管理实施指南》和《信息安全管理体系规范和应用指南》。

依据该标准可以组织建立、实施与保持信息安全管理体系，但不能实现（）。

A、强化员工的信息安全意识,规范组织信息安全行为B、对组织内关键信息资产的安全态势进行动态监测C、促使管理层坚持贯彻信息安全保障体系D、通过体系认证就表明体系符合标准,证明组织有能力保障重要信息参考答案：B4、为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本原则，其中在信息系统中，应该对所有权限进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使它们之间相互制约、相互监督，共同保证信息系统安全的是（）。

2A、最小化原则B、安全隔离原原则C、纵深防御原则D、分权制衡原则参考答案：A5、等级保护制度已经被列入国务院《关于加强信息安全保障工作的意见》之中。

以下关于我国信息安全等级保护内容描述不正确的是（）。

A、对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处理这些信息的信息系统分等级实行安全保护B、对信息系统中使用的信息安全产品实行按等级管理C、对信息系统中发生的信息安全事件按照等级进行响应和处置D、对信息安全从业人员实行按等级管理,对信息安全违法行为实行按等级惩处参考答案：A36、研究密码破译的科学称为密码分析学。

信息安全招聘简章
公司简介：
[公司名称]作为一家专注于信息安全领域的企业，致力于为客户提供全面的信息安全解决方案。

我们拥有专业的团队和丰富的经验，为各类组织提供信息安全咨询、评估、实施和管理等服务。

职位名称：信息安全工程师
职位描述：
1. 参与公司信息安全项目的规划、设计和实施。

2. 负责公司信息系统的安全评估、风险分析和漏洞管理。

3. 制定和实施信息安全策略、标准和流程。

4. 监测和响应信息安全事件，进行调查和处理。

5. 对员工进行信息安全意识培训。

职位要求：
1. 本科及以上学历，信息安全、计算机科学或相关专业。

2. 熟悉信息安全领域的相关标准和最佳实践。

3. 具备扎实的网络安全知识，了解常见的攻击手段和防御措施。

4. 具有信息安全评估、渗透测试、事件响应等方面的经验。

5. 具备良好的沟通能力和团队合作精神。

福利待遇：
1. 有竞争力的薪酬和其他补贴。

2. 良好的职业发展空间和晋升机会。

3. 优秀的工作环境和团队氛围。

如果您对信息安全充满热情，并且具备相关经验和技能，欢迎加入我们的团队！。

信息安全工程师考试大纲
信息安全工程师考试大纲主要包括以下几个部分：
1. 信息安全基础知识：包括信息安全的基本概念、目标和功能，信息安全体系结构，信息安全管理和法律法规等方面的知识。

2. 密码学知识：包括密码学的基本原理、常用密码算法、哈希函数与数字签名、密码管理及数字证书等。

3. 系统安全知识：包括操作系统的基本概念、原理和安全配置，以及数据库系统的基本概念、原理和安全配置等方面的知识。

4. 网络安全知识：包括网络攻击的原理、常用方法和案例，网络安全体系与网络安全模型，以及各种网络安全设备和安全技术的应用等方面的知识。

5. 应用安全知识：包括软件开发生命周期的安全，以及各种应用软件的安全配置和安全使用等方面的知识。

6. 考试要求：要求考生熟练掌握信息安全的基础知识，了解各种密码算法和网络安全技术，能够根据应用单位的信息安全需求和信息基础设施结构，规划设计信息安全方案，并负责单位信息系统安全设施的运行维护和配置管理。

以上是信息安全工程师考试大纲的主要内容，考试要求考生具备扎实的理论基础和实践能力，能够应对各种信息安全问题，保障信息系统的安全稳定运行。

信息安全工程师培训内容以下是 6 条关于信息安全工程师培训内容：1. 嘿，你知道信息安全工程师培训里的网络安全知识有多重要吗？就好比给你家安上了坚固无比的防盗门！比如，在培训中我们会学到如何设置复杂的网络密码，这就像给你的宝贝文件上了一把锁，别人想偷都偷不着呀！这里会教你识别各种网络攻击手段，让你像个警惕的小卫士一样，轻松识破那些坏家伙的阴谋诡计。

2. 哇塞，信息安全工程师培训的系统防护内容可真是牛掰啊！你想想，这就像是给你的电脑系统穿上了一层厚厚的铠甲。

比如说，学习如何实时监测系统的状态，一有风吹草动就能立马察觉。

还会教你怎么给系统打补丁，把那些可能被攻击的漏洞都堵得死死的。

参加这个培训，不就等于给自己的数字世界找了个强大的保镖嘛！3. 嘿呀，信息安全工程师培训中的数据加密技术简直太神奇了！这就像是给你的重要数据藏进了一个神秘的保险箱。

就像学会用特殊的算法把数据变得谁也看不懂，除非有正确的钥匙才能解开。

培训还会教你怎么安全地传输这些加密数据，哇，这难道不让人超级感兴趣吗？4. 哎呀呀，信息安全工程师培训的应急响应部分那可是关键得很呐！这就像火灾时的灭火器一样重要啊。

比如突然遇到了网络攻击，培训能让你迅速做出反应，及时止损呀。

你想想，要是没这个本事，那还不得抓瞎啊？这部分内容不认真学能行吗？5. 哇哦，信息安全工程师培训里的安全审计内容太有意思啦！就像是给你的网络世界来一场大排查。

看看哪儿有问题，哪儿需要改进。

学会这个，你不就跟个神探一样能洞察一切啦？比如检查系统的日志，找出那些隐藏的小毛病，这感觉是不是超棒的呀？6. 嘿，信息安全工程师培训对于风险评估可不会马虎呢！这不就跟给房子做个全面检查一样嘛。

看看到底有哪些潜在的风险点，提前做好防范措施呀。

你说要是不懂这个，那不是等着吃亏嘛。

参加培训，学会了风险评估，你就像是掌握了未来的方向盘，能稳稳地开好信息安全这辆车啦！我的观点结论：信息安全工程师培训的内容丰富又实用，绝对能让你收获满满，成为守护信息安全的高手！。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题目：在信息安全领域，以下哪种加密算法属于对称加密算法？A、RSAB、AESC、MD5D、SHA-2562、题目：在计算机安全事件处理过程中，以下哪个阶段不属于事件响应阶段？A、事件识别B、事件报告C、事件分析D、事件恢复3、下列关于信息安全体系的说法，正确的是（）。

A. 信息安全体系是指保护计算机系统安全的一系列技术和管理措施B. 信息安全体系是指保护信息资产的安全的一系列技术和管理措施C. 信息安全体系是指保护计算机网络安全的一系列技术和管理措施D. 信息安全体系是指保护信息资源的安全的一系列技术和管理措施4、在信息安全中，以下哪项措施属于物理安全？（）A. 数据加密B. 访问控制C. 物理隔离D. 防火墙5、在信息安全中，以下哪种加密算法是非对称加密算法？A. DESB. RSAC. MD5D. SHA-2566、在信息安全评估中，以下哪个不属于常见的评估方法？A. 黑盒测试B. 白盒测试C. 漏洞扫描D. 安全审计7、题目：下列关于密码学中哈希函数特点描述错误的是：A、哈希函数具有单向性，即从输入数据到输出哈希值是容易的，而从哈希值反推输入数据是困难的。

B、哈希函数的输出值长度固定，不随输入数据的长度变化。

C、哈希函数的输入数据即使只有一个小小的变化，其输出哈希值也会发生很大变化，即具有雪崩效应。

D、哈希函数的输出值是随机的，没有任何规律可循。

8、题目：以下关于信息安全风险评估的说法，错误的是：A、信息安全风险评估是信息安全管理体系的核心组成部分。

B、信息安全风险评估的目的是为了识别、分析和评估信息安全风险，为制定信息安全策略提供依据。

C、信息安全风险评估应当考虑组织内外部所有可能的风险因素。

D、信息安全风险评估的结果应当是静态的，不需要随着时间和环境的变化进行调整。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、以下哪个选项不属于信息安全的基本要素？（）A、保密性B、完整性C、可用性D、可访问性2、在信息安全风险管理的流程中，以下哪个步骤不是风险管理的主要环节？（）A、风险评估B、风险分析C、风险规避D、风险监控3、以下关于网络层协议的描述中，错误的是（）A. IP协议负责数据包在网络中的传输路径选择B. TCP协议负责数据包在网络中的传输路径选择C. UDP协议提供可靠的数据传输服务D. ICMP协议负责处理网络中的错误和异常情况4、以下关于哈希函数特点的描述中，错误的是（）A. 哈希函数是单向函数，只能计算但不能逆推B. 哈希函数的输出结果是固定的长度C. 哈希函数具有较好的抗碰撞性D. 哈希函数可以保证数据传输的完整性和安全性5、在信息安全中，以下哪项不是一种常见的威胁类型？A. 网络钓鱼B. 物理攻击C. 操作系统漏洞D. 数据备份6、在加密算法中，以下哪种加密方式属于对称加密算法？A. RSAB. AESC. DESD. MD57、以下哪个选项不属于信息安全的基本要素？A. 机密性B. 完整性C. 可用性D. 可复制性8、在信息安全管理中，以下哪个不是风险评估的步骤？A. 确定风险承受度B. 识别风险C. 评估风险D. 制定应急响应计划9、以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD511、在信息安全领域中，以下哪项技术主要用于防止数据在传输过程中被非法截获和篡改？A. 加密技术B. 认证技术C. 防火墙技术D. 入侵检测系统13、在网络安全中，以下哪项不属于常见的安全攻击手段？A. 密码破解B. 拒绝服务攻击（DoS）C. 逆向工程D. 数据备份15、以下关于安全审计的说法中，正确的是（）A. 安全审计只能用于检测安全事件B. 安全审计是网络安全管理的一部分，主要目的是记录和监控安全事件C. 安全审计只涉及网络设备的安全D. 安全审计无法对内部网络进行审计17、题目：在信息安全领域，以下哪项不是常见的威胁类型？A. 网络攻击B. 硬件故障C. 病毒感染D. 系统漏洞19、以下关于密码学的基本概念，错误的是：A. 密码学是研究保护信息传输和存储安全性的学科。

网络信息安全培训与考核知识点：网络信息安全培训与考核一、网络信息安全的重要性1. 网络信息时代背景2. 网络信息安全对个人、社会、国家的影响3. 青少年在网络信息安全中的责任与担当二、网络安全基础知识1. 网络概念与功能2. 网络协议与网络架构3. 网络设备与网络安全设备4. 信息安全的基本要素三、密码学基础1. 密码学概述2. 对称加密与非对称加密3. 哈希函数与数字签名4. 密钥管理5. 安全协议四、网络攻击与防御技术1. 网络攻击类型- 信息收集- 漏洞利用- 网络钓鱼- 木马与病毒- 拒绝服务攻击- 社会工程学2. 网络防御策略- 防火墙技术- 入侵检测与防御系统- 虚拟专用网（VPN）- 安全配置- 安全意识培养五、操作系统与数据库安全1. 操作系统安全概述- 安全机制- 安全策略- 常见操作系统漏洞与防护措施2. 数据库安全概述- 数据库安全机制- 数据库安全策略- 常见数据库漏洞与防护措施六、应用层安全1. 网络应用安全概述2. Web应用安全- SQL注入- 跨站脚本攻击（XSS）- 跨站请求伪造（CSRF）- 文件上传漏洞3. 网络服务安全- 电子邮件安全- 文件传输安全- 网络聊天工具安全七、移动设备与无线网络安全1. 移动设备安全概述- 安卓与iOS系统安全- 移动应用安全- 移动设备丢失与被盗处理2. 无线网络安全概述- 无线网络安全协议- 无线网络攻击与防护- 公共Wi-Fi安全八、个人信息保护与隐私1. 个人信息保护的重要性2. 常见个人信息泄露途径3. 个人信息保护措施- 设置复杂密码- 谨慎分享个人信息- 使用隐私保护工具- 定期检查隐私设置九、法律法规与伦理道德1. 我国网络安全法律法规- 网络安全法- 互联网信息服务管理办法- 青少年网络保护条例2. 网络伦理道德- 尊重他人隐私- 合理使用网络资源- 抵制不良信息十、网络信息安全实训与考核1. 网络信息安全实训项目- 网络设备配置与安全防护- 网络攻击与防御实验- 信息安全意识培养2. 网络信息安全考核内容- 理论知识考核- 实践操作考核- 安全意识与法律法规考核习题及方法：一、选择题1. 以下哪种攻击方式属于社会工程学？A. 网络钓鱼B. 拒绝服务攻击C. 跨站脚本攻击D. 木马攻击答案：A解题思路：理解社会工程学的概念，即通过欺骗、伪装等手段获取他人信任，进而获取信息。

2019年上半年5月下午信息安全工程师考试试题-案例分析-答案与解析【试题一】（14分）阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】访问控制是保障信息系统安全的主要策略之一，其主要任务是保证系统资源不被非法使用和非常规访问。

访问控制规定了主体对客体访向的限制，并在身份认证的碁础上，对用户提出的资源访问请求加以控制。

当前,主要的访问控制模型包括：自主访问控制（DAC）模型和强制访问控制(MAC)模型。

【问题1】(6分)针对信息系统的访问控制包含哪三个基本要素？【参考答案】1、主体2、客体3、授权访问【问题2】(4分)BLP模型是一种强制访问控制模型，请问：（1）BLP模型保证了信息的机密性还是完整性？（2）BLP模型采用的访问控制策略是上读下写还是下读上写？【参考答案】1、机密性2、上读下写【问题3】(4分)Linux系统中可以通过Is•命令查看文件的权限，例如：文件net.txt的权限属性如下所示：-rwx-------1 root root 5025 May 25 2019 /home/abc/net.txt请问：（1）文件net.txt属于系统的哪个用户？（2）文件net.txt权限的数字表示是什么？【参考答案】（1）root（2）700【试题二】（13分）阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。

.密码学中，根据加密和解密过程所采用密钥的特点可以将密码算法分为两类：对称密码算法和非对称密码算法。

此外，密码技术还用于信息鉴别、数据完整性检验、数字签名等。

【问题1】(6分)信息安全的基本目标包括真实性、保密性、完整性、不可否认性、可控性、可用性、可审查性等。

密码学的三大安全百标C.I.A分别表示什么？【参考答案】C：保密性I：完整性A：可用性【问题2】(5分)仿射密码是一种典型的对称密码算法。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)复习试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、1999年启用的我国信息安全等级保护系统将信息安全等级分为几个级别？（）A. 3级B. 4级C. 5级D. 6级2、在信息安全领域，CIA 三角模型中的“C”、“I”、“A”分别代表什么？A. 保密性、完整性、可用性B. 可用性、完整性、保密性C. 可用性、保密性、完整性D. 保密性、可用性、完整性3、以下哪项不属于信息安全的基本要素？A. 可靠性B. 完整性C. 机密性D. 可达性4、在网络安全中，常用的“蜜罐”技术主要用于什么目的？A. 监测网络攻击活动B. 删除恶意软件C. 防止网络病毒D. 提高防火墙性能5、题干：在密码学中，哪种算法属于对称加密算法？A. RSAB. DESC. ECCD. DSA6、题干：以下哪一项不是常见的网络攻击手段？A. 拒绝服务攻击B. SQL注入攻击C. 跨站脚本攻击D. 数据归档7、以下关于密码学的基本概念，错误的是：A. 加密是保护信息不被未授权者读取的技术B. 解密是加密过程的逆过程，用于恢复原始信息C. 对称加密算法使用相同的密钥进行加密和解密D. 公钥加密算法使用不同的密钥进行加密和解密，其中一个是公钥，另一个是私钥8、在信息安全中，以下哪种安全机制主要用于保护数据在传输过程中的完整性？A. 身份认证B. 访问控制C. 数据加密D. 完整性校验9、在信息安全领域，以下哪一项不属于常见的信息安全威胁类型？A、恶意软件B、钓鱼攻击C、数据泄露D、自然灾害 10、以下关于信息安全风险评估的说法错误的是：A、风险评估包括风险识别、风险分析和风险评价三个步骤。

B、风险识别指的是找出所有的信息资产，并确定每项资产面临的风险。

C、风险分析是在风险识别的基础上，对识别出的风险进行分析，评估其可能造成的损失和危害。

D、风险评价是对风险分析出的结果和各方的风险承受能力进行综合考虑，确定风险等级，并提出相应的控制措施。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题干：以下关于信息安全的说法中，错误的是：A、信息安全包括机密性、完整性、可用性和抗抵赖性四个方面。

B、物理安全是指保护计算机系统、网络设备以及其他信息处理设施的安全。

C、信息安全管理的目标是确保信息资产的安全，防止信息资产受到未经授权的访问、使用、披露、破坏、修改或删除。

D、信息安全的核心是确保信息的真实性，防止伪造和篡改。

2、题干：在网络安全防护中，以下哪种加密算法不适合用于数据完整性校验？A、MD5B、SHA-1C、SHA-256D、RSA3、（单选题）在信息安全领域，以下哪个概念指的是信息在传输过程中可能被未授权的第三方所截获和窃取的现象？A、信息泄露B、信息篡改C、信息泄露与信息篡改D、信息泄露与信息篡改及信息破坏4、（多选题）以下哪些措施可以有效防止网络钓鱼攻击？A、使用复杂密码B、安装防病毒软件C、定期更新操作系统和软件D、不点击不明链接5、以下关于密码学中对称密钥加密算法的描述，正确的是：A. 对称密钥加密算法中，加密和解密使用相同的密钥。

B. 对称密钥加密算法的安全性依赖于密钥的长度。

C. 对称密钥加密算法中，密钥的生成和分发过程非常简单。

D. 对称密钥加密算法的典型算法包括RSA和AES。

6、以下关于信息安全风险评估的方法，不属于通用方法的是：A. 威胁分析B. 漏洞扫描C. 业务影响分析D. 风险控制评估7、以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD58、在网络安全中，以下哪个术语指的是保护数据在传输过程中的完整性？A. 防火墙B. 加密C. 认证D. 完整性校验9、在信息安全领域，以下哪项技术属于密码学中的加密算法？A. 公钥加密B. 私钥加密C. 数据库加密D. 防火墙11、在信息安全领域，以下哪种加密算法属于对称加密算法？A. RSAB. DESC. SHA-256D. MD513、在网络安全防护体系中，以下哪项技术主要用于检测和防御恶意软件的攻击？A. 入侵检测系统（IDS）B. 防火墙C. 数据加密D. 访问控制15、以下哪种安全机制主要用于防止数据在传输过程中被非法截获和篡改？A. 加密技术B. 认证技术C. 防火墙技术D. 防病毒技术17、以下哪种算法属于对称加密算法？A. RSAB. AESC. ECC (椭圆曲线密码术)D. SHA (安全散列算法)19、题目：在信息安全领域，以下哪项技术不属于加密算法？A. RSAB. DESC. SHA-256D. TCP/IP21、以下哪种算法属于非对称加密算法？A、DESB、AESC、RSAD、SHA-25623、在信息安全领域中，以下哪项不属于常见的网络攻击手段？A. 拒绝服务攻击（DoS）B. 网络钓鱼C. 逆向工程D. 数据库注入25、关于数据加密标准DES，以下说法正确的是：A. DES是一种非对称加密算法B. DES密钥长度为64位，实际使用56位C. DES已经足够安全，无需考虑替代算法D. DES在所有情况下都比AES更优27、在网络安全防护策略中，以下哪项技术不属于入侵检测系统（IDS）常用的检测方法？A. 规则匹配检测B. 模式匹配检测C. 基于行为的检测D. 基于主机的检测29、在信息安全领域，以下哪种算法主要用于数字签名和验证？A. AESB. RSAC. DESD. SHA-25631、在网络安全领域中，以下哪种加密算法属于对称加密算法？A. RSAB. AESC. SHA-256D. MD533、以下哪一项不属于常见的网络攻击类型？A. 拒绝服务攻击（DoS）B. 社会工程学攻击C. 跨站脚本攻击（XSS）D. 网络钓鱼攻击E. 数据加密35、在信息安全领域中，以下哪种加密算法属于对称加密算法？A. RSAB. AESC. SHA-256D. MD537、下列关于数字签名的说法，正确的是：A. 数字签名可以保证数据的完整性，但不能验证发送者的身份。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)自测试题(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、题目：信息安全的基本要素包括哪些？A、保密性、完整性、可用性B、可靠性、稳定性、安全性C、易用性、效率性、可维护性D、准确性、一致性、可追溯性2、题目：以下哪项不是网络安全威胁的类型？A、病毒感染B、拒绝服务攻击（DoS）C、物理安全威胁D、信息泄露3、关于信息安全基本原则中的“安全审计”原则，以下描述正确的是（）。

A、侧重于提供系统报警和安全日志，以及定期审查这些记录来发现安全事件。

B、侧重于保护信息系统的保密性、完整性和可用性。

C、侧重于网络和系统防御外部攻击的各种技术措施。

D、侧重于确保用户的身份认证和访问控制。

4、下列关于信息安全技术的描述中，不正确的是（）。

A、防火墙能够有效保护网络边界，但不能防御来自内部网络的威胁。

B、CA认证中心负责发放和管理数字证书，用于确认用户的身份信息。

C、入侵检测系统的基础原理是比对正常行为模式和异常行为模式，识别入侵行为。

D、数据加密技术可以通过增加数据的复杂性，使数据在未经授权的情况下难以理解其内容。

5、在信息安全领域，以下哪种不是常见的攻击类型？A. SQL注入B. 社会工程学C. 文件共享D. 密码破解6、在信息安全评估中，以下哪个阶段不会直接生成风险管理报告？A. 风险识别B. 风险分析C. 风险评估D. 风险应对7、在信息安全领域，以下哪项技术不属于密码学的基本技术？A. 对称加密B. 非对称加密C. 加密哈希D. 数据库加密技术8、以下哪个选项描述了信息安全风险评估的典型步骤？A. 风险识别、风险分析、风险评价、风险应对B. 风险识别、风险应对、风险分析、风险评价C. 风险分析、风险识别、风险评价、风险应对D. 风险评价、风险识别、风险分析、风险应对9、以下哪项不是信息安全的基本原则？•A、最小权限原则•B、纵深防御原则•C、数据完整性原则•D、全面覆盖原则 10、关于密码学中的对称加密和非对称加密，以下说法错误的是？•A、对称加密使用相同的密钥进行加密和解密•B、非对称加密使用一对密钥（公钥和私钥），公钥用于加密，私钥用于解密•C、对称加密算法常见的有AES、DES等，非对称加密算法常见的有RSA、ECC等•D、对称加密的密钥管理比非对称加密困难，因为需要一个安全地分发密钥的渠道11、题目：在信息安全领域，以下哪项技术不是密码学的基础技术？A. 对称加密B. 非对称加密C. 消息摘要D. 数字水印12、题目：以下关于信息安全风险管理的描述，不正确的是：A. 信息安全风险是指信息安全事件对组织损害的可能性B. 风险评估是信息安全风险管理过程中的一个重要步骤C. 信息安全风险管理旨在降低和防范信息安全风险D. 风险应对措施包括风险规避、风险转移、风险接受和风险减轻13、题干：在信息安全领域中，以下哪项不属于常见的威胁类型？A. 恶意软件B. 网络攻击C. 物理安全D. 数据泄露14、题干：以下哪个协议是用来实现网络数据传输加密的？A. SSL/TLSB. FTPC. SMTPD. HTTP15、信息安全风险管理框架通常包括哪四个阶段？（多项选择）A、识别B、分析C、反应D、控制16、在ISO/IEC 27001标准中，信息安全管理体系（Information Security Management System, ISMS）的核心要素有哪些？A、信息安全目标B、信息安全政策C、信息安全风险管理D、信息安全组织17、下述哪项不属于信息安全中的物理安全措施？A、屏蔽电缆以防止电磁干扰B、定期清洁计算机以防止灰尘积累C、加密通信数据以保证传输安全D、使用报警系统防止非法入侵18、以下哪种病毒会被称为“蠕虫”？A、特洛伊木马B、宏病毒C、垃圾邮件病毒D、网络蠕虫病毒19、以下哪种加密算法在信息安全领域中主要用于身份验证？A. DESB. RSAC. SHA-256D. MD5 20、在网络安全中，以下哪项措施属于被动攻击？A. 数据篡改B. 中间人攻击C. 拒绝服务攻击D. 监听通信内容21、SSL 协议是 Secure Socket Layer (安全套接层) 的简称，是保证互联网上信息传输安全的一种通信协议，主要提供了识别服务器身份和数据的保密性等功能。

报考指南01考试简介计算机技术与软件专业技术资格（水平）考试（以下简称"软考"）是原中国计算机软件专业技术资格和水平考试（简称"软件考试"）的完善与发展。

这是由国家人事和劳动保障部、工业和信息化部领导下的国家级考试，其目的是以科学、公正地对全国计算机与软件专业技术人员进行职业资格、专业技术资格认定和专业技术水平测试。

经过20余年的发展，为我国选拔输送了各级、各类几十万合格的专业技术人才，特别是2004年实行国人部发39号文件规定的新政策后，在保持原有程序员、高级程序员、系统分析员等资格的特色和规模基础之上，又开设一些适应当前国家信息化建设紧缺岗位的资格，例如，信息统统项目管理师、网络工程师、软件评测师、信息系统监理师、系统集成项目管理工程师、网络管理员、信息处理技术员等级资格考试，深受社会各界欢迎，报考规模迅速增长，带动了相关行业的发展。

软考国际互认●中韩IT考试标准互相认证在中国信息产业部和韩国信息与通信部有关部门的支持下，中国信息产业部电子教育中心与韩国人力资源开发服务中心，于2006年1月19日就中国计算机技术与软件专业技术资格(水平)考试(简称计算机软件考试)与韩国信息处理技术人员考试的考试标准，签署了相互认证的协议。

●中日IT考试标准相互认证信息产业部电子教育中心与日本信息处理技术人员考试中心分别受信息产业部和日本经济产业省委托，于2005年3月3日就中国计算机技术与软件专业技术资格(水平)考试与日本信息处理技术人员考试的考试标准，再次签署了互认的协议。

中国的程序员、软件设计师和系统分析师考试，早在2002年1月31日实现了中日互认，这次互认增加了网络工程师、数据库系统工程师两个级别。

02考试内容软考分为计算机软件、计算机网络、计算机应用技术、信息系统和信息服务共5个专业类别，并在各专业类别中分别设置了初、中、高级专业资格考试：初级资格：信息处理技术员、网络管理员、程序员、网页制作员、信息系统运行管理员、电子商务技术员、多媒体应用制作技术员。

2024年软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1.问题：以下哪个不是计算机网络的基本组成要素？A. 数据传输介质B. 网络设备（如路由器、交换机）C. 通信协议和标准D. 程序软件（如操作系统）3.数据加密技术基础题目：在信息加密过程中，以下哪个步骤是确保加密数据安全性的关键？A. 数据压缩B. 密钥交换C. 数据转换D. 数据传输4.操作系统安全机制题目：以下哪个安全机制主要用于防止未经授权的用户访问计算机系统中的敏感数据？A. 用户认证B. 权限管理C. 数据备份D. 病毒防护5.以下哪个协议不是TLS/SSL协议族的一部分？A. SSLB. TLSC. HTTPD. FTP6.以下哪个加密算法是对称加密算法？A. RSAB. AESC. DESD. SHA-2567、按照ISO/IEC 27001标准，组织信息安全管理体系的最低要求不包括的是：A)信息的物理和环境安全。

B)资产识别和信息 security controls 的实施。

C)人力资源 security 的确立。

D)通信和传输 security 的确立。

8、在信息security领域，“最小权限原则”指的是：A)用户应该被授予完成其任务所必需的最低权限。

B)信息系统管理员不应该具有任何更多权限。

C)员工的所有访问权限都应该被完全审查和审计。

D)用户不应该被授予执行日常任务之外的操作权限。

9、对于LDAP目录服务，下列哪个选项不正确？A. LDAP是基于应用层的轻量级协议。

B. LDAP服务通常运行在TCP/UDP协议上。

C. LDAP主要用于存储和管理用户帐户和群组信息。

D. LDAP采用XML格式的数据结构。

10、下列关于公钥密码学的描述中，哪个错误？A. 公钥密码学利用一对密钥对：私钥和公钥。

B. 使用者的私钥加密的信息，只有持有该私钥的用户才能解密。

软件资格考试信息安全工程师(基础知识、应用技术)合卷(中级)模拟试卷(答案在后面)一、基础知识（客观选择题，75题，每题1分，共75分）1、信息安全的基本要素包括哪些？2、以下哪个不属于信息安全的常见威胁？3、在信息安全中，以下哪项技术不属于访问控制技术？A. 身份认证B. 访问控制列表（ACL）C. 数据加密D. 防火墙4、以下关于安全审计的说法，错误的是：A. 安全审计是指对信息系统进行安全性和合规性检查的过程B. 安全审计可以通过日志分析来发现安全事件C. 安全审计可以防止安全事件的发生D. 安全审计的目的是确保信息系统符合安全策略5、在信息安全领域，以下哪个选项不属于常见的加密算法类型？A. 对称加密B. 非对称加密C. 蜜罐技术D. 分组密码6、在信息安全风险评估中，以下哪个选项不是常用的风险评估方法？A. 定性风险评估B. 定量风险评估C. 威胁与漏洞评估D. 法律法规风险评估7、以下哪项技术不属于信息安全领域的加密技术？A. 对称加密B. 非对称加密C. 数据库加密D. 量子加密8、在信息安全风险评估中，以下哪个因素不属于威胁因素？A. 技术漏洞B. 自然灾害C. 内部人员疏忽D. 法律法规9、在信息安全领域，以下哪项技术不属于密码学的基本技术？A. 加密B. 解密C. 数字签名D. 防火墙 10、以下关于安全协议的描述，错误的是：A. 安全协议用于在网络通信中保护数据的机密性、完整性和可用性。

B. SSL/TLS协议是一种广泛使用的安全传输层协议。

C. IPsec协议主要用于保护网络层的数据包。

D. HTTPS协议是一种基于HTTP的安全协议，它使用SSL/TLS加密通信。

11、以下哪种加密算法适用于对称加密？A. RSAB. AESC. DESD. SHA-25612、以下关于网络安全事件的描述，哪个是错误的？A. 网络攻击可能导致系统崩溃和数据丢失。

B. 网络安全事件可以由内部或外部因素引起。

注册信息安全专业人员培训教材第一章信息安全概述1.1 信息安全的定义和重要性信息安全是指保护信息系统中的信息不被未经授权的访问、使用、披露、中断、破坏、修改或篡改。

在数字化时代，信息安全的重要性日益凸显，因为信息泄露和黑客攻击可能导致个人隐私的泄露、财产损失和社会不稳定。

1.2 信息安全的基本原理信息安全的实现基于以下几个基本原理：- 机密性：确保只有授权人员能够访问敏感信息。

- 完整性：防止未经授权的修改或篡改信息。

- 可用性：确保信息资源可供授权人员使用。

- 可信度：确保信息来源可信。

- 不可抵赖性：防止信息被发送方否认。

第二章注册信息安全2.1 注册信息安全的背景和意义随着互联网的发展，用户在各种在线注册过程中需要提供个人信息，包括但不限于姓名、生日、联系方式等。

注册信息安全是保护用户信息免受非法获取和滥用的关键步骤。

合理的注册信息安全措施可以有效降低隐私泄露和身份盗用的风险。

2.2 注册信息安全的常见威胁在注册信息安全领域，存在以下常见威胁：- 数据泄露：未经授权的个人信息泄露给第三方。

- 身份盗用：使用他人的注册信息进行恶意活动。

- 钓鱼攻击：通过虚假网站或电子邮件骗取用户注册信息。

- 注册信息售卖：将用户注册信息非法出售给第三方。

2.3 注册信息安全的保护措施为了保护注册信息安全，我们可以采取以下措施：- 强密码策略：用户在注册过程中要求使用复杂的密码，并定期更换密码。

- 多因素认证：引入手机短信验证码、指纹识别等多种认证方式提高安全性。

- 数据加密：对注册信息进行加密存储，确保用户信息不易泄露。

- 防止钓鱼攻击：加强用户教育，提高用户对钓鱼网站的警惕性。

- 监测和应对数据泄露：建立及时发现和应对数据泄露的机制。

第三章信息安全专业人员培训3.1 信息安全专业人员的需求和职责随着信息安全领域的发展，对信息安全专业人员的需求也越来越大。

他们的主要职责包括：- 进行安全风险评估和漏洞扫描。

信息安全培训考试题及答案一、单选题（每题2分，共20分）1. 信息安全的核心目标是什么？A. 提高系统性能B. 确保信息的保密性、完整性和可用性C. 降低成本D. 提升用户体验2. 以下哪项不是信息安全的基本属性？A. 机密性B. 可用性C. 可追溯性D. 完整性3. 什么是密码学？A. 一种用于保护信息的技术B. 一种用于加密文件的软件C. 一种编程语言D. 一种操作系统4. 以下哪个是常见的网络攻击方式？A. 社交工程B. 网络优化C. 数据备份D. 系统升级5. 什么是防火墙？A. 一种防止火灾的设备B. 一种网络访问控制设备C. 一种数据存储设备D. 一种网络连接设备6. 什么是数据加密？A. 将数据转换为不可读的形式B. 将数据复制到另一个位置C. 将数据删除D. 将数据格式化7. 什么是VPN？A. 虚拟私人网络B. 虚拟公共网络C. 虚拟专业网络D. 虚拟公共服务器8. 什么是入侵检测系统（IDS）？A. 一种用于检测入侵的软件B. 一种用于检测病毒的软件C. 一种用于检测系统的硬件D. 一种用于检测网络流量的设备9. 什么是双因素认证？A. 需要两个不同的密码来登录B. 需要两个不同的设备来登录C. 需要两种不同的认证方式来登录D. 需要两个不同的用户来登录10. 什么是钓鱼攻击？A. 一种通过电子邮件骗取个人信息的攻击B. 一种通过电话骗取个人信息的攻击C. 一种通过短信骗取个人信息的攻击D. 一种通过社交媒体骗取个人信息的攻击二、多选题（每题3分，共15分）11. 以下哪些措施可以提高信息安全？A. 定期更新系统和软件B. 使用复杂密码C. 打开所有未知邮件附件D. 定期进行安全培训12. 什么是网络安全的“五要素”？A. 访问控制B. 网络监控C. 物理安全D. 法律合规13. 以下哪些是常见的信息安全威胁？A. 恶意软件B. 拒绝服务攻击C. 社交工程D. 硬件故障14. 什么是信息安全的“三原则”？A. 保密性B. 完整性C. 可用性D. 可追溯性15. 以下哪些是信息安全策略的一部分？A. 风险评估B. 安全审计C. 应急响应计划D. 用户访问控制三、判断题（每题1分，共10分）16. 所有员工都应该有权访问公司的所有信息资源。

信息安全培训材料1. 信息安全的重要性保护信息安全对于个人、组织和社会来说都至关重要。

随着信息技术的快速发展和广泛应用，信息安全面临着日益复杂和严峻的挑战。

任何泄露、破坏或滥用信息的事件都可能导致严重的经济和法律后果，危及到人们的财产、隐私和声誉。

2. 信息安全的威胁和风险（1）网络攻击：包括计算机病毒、恶意软件、网络钓鱼和黑客攻击等，这些攻击会导致信息泄露、系统瘫痪以及财产损失。

（2）物理风险：如设备被盗窃、火灾或水灾等自然灾害，会对信息安全造成直接破坏。

（3）社交工程：攻击者通过伪装身份或欺骗方式获取用户敏感信息，如用户名、密码、银行账号等。

（4）内部威胁：员工泄露敏感信息、滥用权限或故意破坏系统等行为，都会对信息安全构成威胁。

（5）法律合规风险：未遵守相关法律法规和合规要求，可能面临政府罚款、法律诉讼以及声誉损失等。

3. 信息安全培训的目的和意义信息安全培训是提高个人和组织信息安全素质的重要手段，它的目的是培养人们的保护意识、提升技能，减少信息安全事件的发生。

通过信息安全培训，可以增强个人和组织对信息安全的认识，建立健康的信息安全意识和行为习惯，提高信息安全防护能力，降低信息安全风险。

4. 信息安全培训的内容和方法（1）信息安全意识培训：包括信息安全的重要性、信息资产保护的基本概念、相关法律法规等。

可以通过举例、案例分析等方式进行教学。

（2）密码安全培训：涵盖密码的选择、保护和使用规范等。

可以通过密码强度测试和密码保护技巧的讲解来提高密码安全意识。

（3）网络安全培训：涉及网络攻击的类型、防范措施、网络安全技术等。

可以进行模拟网络攻击的演练，让学员了解真实的网络攻击手段。

（4）应急响应培训：包括信息安全事件的处理流程、应急响应策略和方法等。

可以通过案例分析和模拟演练来培养学员的应急处理能力。

（5）合规培训：针对特定行业和组织的合规要求进行培训，帮助人员了解并遵守相关法律法规。

5. 信息安全培训的效果评估（1）培训前的测试和调研：通过问卷调查或面谈了解学员的信息安全知识水平、态度和行为习惯。

关于举办信息系统运行管理员考前培训班的通知各企事业单位：信息系统运行管理员（助理工程师）考试是由国家人力资源和社会保障部、工业和信息化部共同组织的国家级考试，这种考试既是职业资格考试，又是职称资格考试。

考试合格者将颁发由中华人民共和国人力资源和社会保障部、工业和信息化部用印的计算机技术与软件专业技术资格（水平）证书。

考试合格者将获得各省、自治区、直辖市人事部门颁发的由人事部统一印制，人事部、工业和信息化部共同用印的《中华人民共和国计算机专业技术资格（水平）证书》，该证书在全国范围有效。

通过考试获得证书的人员，表明其已具备从事相应专业岗位工作的水平和能力，用人单位可根据工作需要从获得证书的人员中择优聘任相应专业技术职务（工程师）。

计算机专业技术资格（水平）实施全国统一考试后，不再进行计算机技术与软件相应专业和级别的专业技术职务任职资格评审工作。

希赛网软考学院简介希赛网（）是专业的在线教育平台，其前身是软件工程专家网，创立于2001年6月8日。

经过近20年的发展，希赛网在培训模式上有较大突破，为用户提供智能题库、视频教程、在线辅导等知识服务和智适应学习方案，致力于提高学习效率。

十八年来，希赛网为全国60,000余家企业、政府部门和事业单位提供了培训服务，其中包括国家电网、中石油、中国工商银行、中国建设银行、平安科技、中国人寿、华为、南方电网、中海油、神华、中兴通讯、中车、腾讯、航天科技、新华人寿、中国移动、中国电信、中国联通、联想等世界500强企业和太平洋保险、海航科技、潍坊动力、南方航空、海康威视、浦发银行、中国电子、中国铁路、中国银行、光大银行等中国500强企业，以及国家新闻出版广电总局、广东省国税局、青岛市公安局、清华大学计算机中心、山西省质量技术监督局信息中心、贵州省邮电规划设计院等政府部门和事业单位，培训学员超过420,000人次。

希赛网软考学院是全国计算机技术与软件专业技术资格（水平）考试（简称为“软考”）的专业培训机构，拥有近20名资深软考辅导讲师，负责了高级资格（信息系统项目管理师、系统分析师、系统架构设计师）的考试大纲制订工作，以及软考辅导与培训教材的编写工作，共组织编写和出版了80多本软考教材，内容涵盖了初级、中级和高级的各个专业，包括教程系列、辅导系列、考点分析系列、冲刺系列、串讲系列、试题精解系列、疑难解答系列、全程指导系列、案例分析系列、一本通系列、指定参考用书系列等11个系列的书籍。