2023年中级软考-信息安全工程师考试历年真题卷选编3（附带答案）

住在富人区的她2023年中级软考-信息安全工程师考试历年真题卷选编（附带答案）（图片大小可自由调整）题型1234567总分得分全文为Word可编辑，若为PDF皆为盗版，请谨慎购买！卷I一.单选题(共15题)1.下列报告中，不属于信息安全风险评估识别阶段的是()

A.资产价值分析报告

B.风险评估报告

C.威胁分析报告

D.已有安全威胁分析报告

正确答案：B2.安全漏洞扫描技术是一类重要的网络安全技术。当前，网络安全漏洞扫描技术的两大核心技术是()

A.PINC扫描技术和端口扫描技术

B.端口扫描技术和漏洞扫描技术

C.操作系统探测和漏洞扫描技术

D.PINC扫描技术和操作系统探测

正确答案：C3.请从下列各项中选出不是HASH函数算法的一项。()

A.MD5

B.SHA

C.HMAC

D.MMAC

正确答案：D4.不属于物理安全威胁的是()

A.自然灾害

B.物理攻击

C.硬件故障

D.系统安全管理人员培训不够

正确答案：D5.设数据码字为10010011，采用海明码进行校验，则必须加入()

A.2

B.3

C.4

D.5

正确答案：C6.在Windows操作系统下，由于()端口探测没有限制，能够让别人探测到一些数据库信息，因此IPSec过滤拒绝掉该端口的UDP通信，可以尽可能地隐藏你的SQLServer。

A.1434

B.1433

C.3305

D.3306

正确答案：A7.被动攻击通常包含()

A.拒绝服务攻击

B.欺骗攻击

C.窃听攻击

D.数据驱动攻击

正确答案：C8.信息系统安全测评方法中模糊测试时一种黑盒测试技术，它将大量的畸形数据输入到目标程序中，通过监测程序的异常来发现被测程序中可能存在的安全漏洞、关于模糊测试，以下说法错误的是()

A.与白盒测试相比，具有更好的适用性

B.模糊测试是一种自动化的动态漏洞挖掘技术，不存在误报，也不需要人工进行大量的逆向分析工作

C.模糊测试不需要程序的源代码就可以发现问题

D.模糊测试受限于被测系统的内部实现细节和复杂度

正确答案：D9.()指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确执行，并帮助分析安全事故产生的原因。

A.安全授权

B.安全管理

C.安全服务

D.安全审计

正确答案：D10.依据国家信息安全等级保护相关标准，军用不对外公开的信息系统至少应该属于()

A.二级及二级以上

B.三级及三级以上

C.四级及四级以上

D.无极

正确答案：B11.PH公司是一家共有45人的系统集成公司。为加强知识产权保护等安全管理，PH公司对公司内局域网采取了以下安全解决方案:安装防火墙限制对Internet的访问;安装过滤软件禁止邮件被发送到Internet;对堆叠在一起的两台24口千兆交换机的每个端口进行“端口+MAC地址+IP地址”绑定，限制无关计算机访问内部局域网;每台计算机只安装DVDROM并在BIOS中禁用USB口以防止公司重要文档被拷贝。但公司发现，这些措施没能阻止公司机密文档的泄露。该安全解决方案存在的一个明显且主要的漏洞是()。

A.防火墙不能阻止信息传送

B.员工可建立FTP服务器外传文档

C.没有设置进入网络的密码系统

D.没有在公司内部部署CA服务器

正确答案：A12.证书授权中心(CA)的主要职责不包含()。

A.证书管理

B.证书签发

C.证书加密

D.证书撤销

正确答案：C13.下面关于跨站攻击描述不正确的是()

A.跨站脚本攻击指的是恶意攻击者向Web页面里插入恶意的Html代码

B.跨站脚本攻击简称XSS

C.跨站脚本攻击也可称作CSS

D.跨站脚本攻击是主动攻击

正确答案：C14.电子政务对提高政府决策水平具有重要意义，以下哪项描述不正确?()

A.促进决策的科学化和民主化

B.减少决策的盲目性

C.提高决策的时效性

D.可完全替代人工决策

正确答案：D15.关于IEEE802.3ae的描述中，错误的是()

A.是万兆以太网标准

B.支持光纤作为传输介质

C.支持局域网与广域网组网

D.定义了千兆介质专用接口

正确答案：D本题解析：

解析：IEEE802.3ae是万兆以太网标准，支持光纤作为传输介质，支持局域网与广域网组网。选项D是由IEEE802.3z定义的，故选项D错误。

卷II一.单选题(共15题)1.以下关于公钥基础设施(PKI)的说法中，正确的是()

A.PKI可以解决公钥可信性问题

B.PKI不能解决公钥可信性问题

C.PKI只能有政府来建立

D.PKI不提供数字证书查询服务

正确答案：A2.SM4是一种分组密码算法，其分组长度和密钥长度分别为()。

A.64位和128位

B.128位和128位

C.128位和256位

D.256位和256

正确答案：B3.容灾的目的和实质是()

A.实现对系统数据的备份

B.实现对系统数据的备份

C.保保持对信息系统的业务持续性持对信息系统的业务持续性

D.信息系统的必要补充

正确答案：C4.哪一个不是与终端服务器建立远程连接的客户端?()

A.telnet

B.通过MS安装程序软件安装包的独立的16位或32位可执行文件

C.MMC管理单元

D.终端服务器高级客户端

正确答案：A5.《网络安全法》明确了国家落实网络安全工作的职能部门和职责，其中明确规定由()负责统筹协调网络安全工作和相关监督管理工作。

A.中央网络安全与信息化小组

B.国务院

C.国家网信部门

D.国家公安部门

正确答案：C6.信息分析的特点是()。

A.针对性、交流性、科学性、推象性、近似性、局限性

B.针对性、交流性、科学性、近似性、局限性

C.针对性、交流性、具体性、近似性、局限性

D.针对性、交流性、透明性、近似性、局限性

正确答案：A7.关于网络安全管理的描述中，错误的是()

A.提供检测非法入侵的手段

B.管理授权机制

C.管理终端用户的全部密钥

D.提供恢复被破坏系统的手段

正确答案：C本题解析：

解析：网络安全管理采用信息安全措施保护网络中的系统、数据以及业务。其作用主要有：采用多层防卫手段;提供迅速检测非法使用和非法入侵初始点的手段;提供恢复被破坏的数据和系统的手段;提供查获入侵者的手段。根据解析，选项C符合题意，故选择C选项。

8.S/key口令是一种一次性口令生成方案，它可以对抗()。

A.恶意代码攻击

B.暴力分析攻击

C.重放攻击

D.协议分析攻击

正确答案：C9.某公司财务管理数据只能提供给授权用户，通过采取安全管理措施确保不能被未授权的个人、实体或过程利用或知悉，以确保数据的()

A.保密性

B.完整性

C.可用性

D.稳定性

正确答案：A10.对日志数据进行审计检查，属于()类控制措施。

A.预防

B.检查

C.威慑

D.修正

正确答案：B11.在数据库向因特网开放前，哪个步棸是可以忽略的?()

A.安全安装和配置操作系统和数据库系统

B.应用系统应该在网试运行3个月

C.对应用软件如Web也没、ASP脚本等进行安全性检查

D.网络安全策略已经生效

正确答案：B12.有一种原则是对信息进行均衡、全面的防护，提高整个系统的安全性能，该原则称为()

A.动态化原则

B.木桶原则

C.等级性原则

D.整体原则

正确答案：D13.ISO制定的安全体系结构描述了5种安全服务，以下不属于这5种安全服务的是()

A.鉴别服务

B.数据报过滤

C.访问控制

D.数据完整性

正确答案：B14.以下关于IPSec协议的叙述中，正确的是()

A.IPSec协议是解决IP协议安全问题的一

B.IPSec协议不能提供完整性

C.IPSec协议不能提供机密性保护

D.IPSec协议不能提供认证功能

正确答案：A15.应用代理防火墙的主要优点是()

A.加密强度高

B.安全控制更细化、更灵活

C.安全服务的透明性更好

D.服务对象更广泛

正确答案：B卷III一.单选题(共15题)1.下图为一个简单互联网的示意图。为了与互联网中的其他计算机进行通信，计算机A的IP地址应该设置为()

A.0

B.0

C.0

D.0

正确答案：A本题解析：

解析：由图知主机A所在网络的网关地址是,。转换成二进制得：IP地址()对应的二进制：00001010.00000000.00000000.00000001子网掩码()对应的二进制：111111111.00000000.00000000.00000000通过按位与运算后得网络号：00001010.00000000.00000000.00000000，即。选项中只有选项A的IP地址属于该网段内，故选择A选项。

2.安全备份的策略不包括()

A.所有网络基础设施设备的配置和软件

B.所有提供网络服务的服务器配置

C.网络服务

D.定期验证备份文件的正确性和完整性

正确答案：C3.下列关于公钥体制中说法不正确的是()

A.在一个公钥体制中，一般存在公钥和私钥两种密钥

B.公钥体制中仅根据加密密钥来去确定解密密钥在计算上是可行的

C.公钥体制中的关于可以以明文方式发送

D.公钥密码中的私钥可以用来进行数字签名

正确答案：B4.下列各种协议中，不属于身份认证协议的是()

A.S/Key口令协议

B.Kerberos协议

C.X.509协议

D.IPSec协议

正确答案：D5.安全电子交易协议SET是有VISA和MasterCard两大信用卡组织联合开发的电子商务安全协议。以下关于SET的叙述中，正确的是()

A.SET是一种基于流密码的协议

B.SET不需要可信的第三方认证中心的参与

C.SET要实现的主要目标包括保障付款安全，确定应用的互通性和达到全球市场的可接受性

D.SET通过向电子商务各参与方发放验证码来确认各方的身份，保证网上支付的安全性

正确答案：C6.()属于对称加密算法

A.EIGantal

B.DES

C.MDS

D.RSA

正确答案：B7.以下关于加密技术的叙述中，错误的是()

A.对称密码体制的加密密钥和解密密钥是相同的

B.密码分析的目的就是千方百计地寻找密钥或明文

C.对称密码体制中加密算法和解密算法是保密

D.所有的密钥都有生存周期

正确答案：C8.在DES算法中，需要进行16轮加密，每一轮的子密钥长度为()

A.16

B.32

C.48

D.64

正确答案：C9.从网络安全的角度看，以下原则中不属于网络安全防护体系在设计和实现时需要遵循的基本原则的是()。

A.最小权限原则

B.纵深防御原则

C.安全性与代价平衡原则

D.Kerckhoffs原则

正确答案：D10.S/Key口令是一种一次性口令生产方案，它可以对抗()

A.恶意代码木马攻击

B.拒绝服务攻击

C.协议分析攻击

D.重放攻击

正确答案：11.关于DES算法的描述中，正确的是()

A.由ISO制定

B.密钥长度为56位

C.分组长度为128位

D.每轮的置换函数不同

正确答案：B本题解析：

解析：DES算法是由美国国家标准和技术研究所制定，采用64位的分组长度和56位的密钥长度。每轮的置换函数都一样，但是由于密钥位的重复迭代使得子密钥互不相同。根据解析，选项B正确，故选择B选项。

12.强制访问控制(MAC)是一种不允许主体干涉的访问控制类型。根据MAC的安全基本，用户与访问的信息的读写关系有四种类型，其中能保证数据完整性的读写组合方式是()。

A.上读-下写

B.上读-上写

C.下读-下写

D.下读-上写

正确答案：A13.关于配置管理的描述中，错误的是()

A.仅在新建网络时需要

B.可关闭被管对象

C.可根据要求收集系统状态信息

D.可获取系统重要变化信息

正确答案：A本题解析：

解析：配置管理是最基本的网络管理功能，负责网络的建立、业务的展开以及配置数据的维护。它共分为两个阶段，即网络初次运行的初始配置管理阶段和网络正常运行时的工作配置管理阶段。配置管理包括：设置系统中有关路由操作的参数、被管对象和被管对象组名字的管理、初始化或关闭被管对象、根据要求收集系统当前状态的有关信息、获取系统重要变化的信息、更改系统的配置。根据题意，选项A错误，故选择A选项

14.在大多数情况下，病毒侵入计算机系统以后，()。

A.病毒程序将立即破坏整个计算机软件系统

B.计算机系统将立即不能执行我们的各项任务