软考中级 · 科目题库

信息安全工程师题库

按年份、批次和题号整理信息安全工程师题目。进入详情页可查看答案解析、考点标签和相关题目。

43 道题目 41 道高频练习 信息系统 2 个年份 密码学哈希函数完整性数字签名

信息安全工程师题目列表

按题干、考点或年份快速定位题目
证书固定为什么能降低伪造证书风险?

某移动 App 只信任预置的服务器证书或公钥指纹。即使攻击者通过某个异常 CA 证书链签发了看似有效的服务器证书,只要该证书或公钥不匹配 App 中固定的指纹,连接仍会被拒绝。该机制通常称为()。

中级 信息安全工程师 高频练习 中等 信息安全工程师证书固定Certificate Pinning
单选题
第 708 题
OCSP Stapling 为什么可以减少证书状态查询压力?

在 HTTPS 连接中,客户端需要确认服务器证书是否已被吊销。某方案由服务器提前向 CA 的 OCSP 响应服务获取带签名的证书状态响应,并在 TLS 握手时一并发送给客户端,减少客户端自己再去查询 OCSP 服务的开销。该机制通常称为()。

中级 信息安全工程师 高频练习 中等 信息安全工程师OCSP Stapling数字证书
单选题
第 703 题
密钥交换和数字签名解决的问题一样吗?

某安全协议既需要让通信双方协商出后续加密使用的会话密钥,又需要证明某条消息确实由持有私钥的一方发出且内容未被篡改。关于密钥交换和数字签名,下列说法较准确的是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师密钥交换数字签名
单选题
第 699 题
数字证书和数字签名怎么区分?

某电子合同平台使用发送方私钥对合同摘要进行签名,接收方用发送方公钥验证合同来源和完整性;同时,接收方还需要通过 CA 签发的证书确认这个公钥确实属于发送方。关于数字签名和数字证书,下列说法较准确的是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师数字证书数字签名
单选题
第 694 题
TLS 握手中证书、公钥和会话密钥分别起什么作用?

浏览器访问 HTTPS 网站时,会校验服务器证书,确认站点身份和证书链可信;握手过程中双方协商出后续通信使用的对称密钥,真正传输业务数据时主要用这个密钥进行加密。关于 TLS 握手中证书、公钥和会话密钥的理解,较准确的是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师TLS 握手数字证书
单选题
第 689 题
CRL 和 OCSP 为什么用于检查证书是否被吊销?

某网站服务器证书仍在有效期内,域名也匹配,但该证书对应的私钥曾疑似泄露。浏览器或客户端除了检查证书链、有效期和域名外,还需要确认该证书是否已经被 CA 撤销。常见的证书吊销检查机制包括()。

中级 信息安全工程师 高频练习 中等 信息安全工程师数字证书CRL
单选题
第 685 题
时间戳和随机数为什么能降低重放攻击风险?

某接口请求使用 HMAC 进行签名,但安全测试发现攻击者如果截获一次合法请求,短时间内重复发送同一请求,服务器仍可能接受。团队决定在签名内容中加入时间戳和随机数 nonce,并在服务端检查时间窗口和 nonce 是否重复。这样做主要是为了防范()。

中级 信息安全工程师 高频练习 中等 信息安全工程师重放攻击nonce
单选题
第 680 题
SameSite Cookie 为什么能降低 CSRF 风险?

某网站发现攻击者可以诱导已登录用户访问恶意页面,并借助浏览器自动携带目标站点 Cookie 的特性,向目标站点发起转账、修改邮箱等请求。网站将关键 Cookie 设置为 SameSite=Lax 或 SameSite=Strict,主要是为了()。

中级 信息安全工程师 高频练习 中等 信息安全工程师CSRFSameSite Cookie
单选题
第 647 题
数字签名主要解决什么安全问题?

发送方使用自己的私钥对消息摘要进行签名,接收方使用发送方的公钥验证签名。该机制最直接用于保障消息来源真实性、完整性,并支持()。

中级 信息安全工程师 高频练习 中等 信息安全工程师数字签名公钥密码
单选题
第 642 题
RBAC、DAC 和 MAC 访问控制模型怎么区分?

某企业按岗位角色分配系统权限,例如财务主管、普通会计、审计人员分别拥有不同菜单和数据操作权限。员工岗位变化时,管理员主要调整其角色归属,而不是逐条给每个人配置权限。该访问控制方式更接近()。

中级 信息安全工程师 高频练习 中等 信息安全工程师RBACDAC
单选题
第 614 题
OAuth2 授权码模式为什么更适合第三方登录授权?

某网站允许用户使用第三方账号登录。用户在授权服务器完成登录和授权后,网站先拿到一个授权码,再由后端服务用授权码换取访问令牌。这样设计的主要目的之一是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师OAuth2授权码模式
单选题
第 604 题
国密算法 SM2、SM3、SM4 分别适合什么场景?

在商用密码应用中,某系统需要一种公钥密码算法用于签名和密钥交换,需要一种杂凑算法生成消息摘要,还需要一种分组密码算法对业务数据进行对称加密。下列对应关系较合理的是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师国密算法SM2
单选题
第 479 题
缓冲区溢出为什么要做长度检查和边界控制?

某程序把用户输入直接复制到固定长度缓冲区中,没有检查输入长度。攻击者提交超长数据后,可能覆盖相邻内存甚至影响程序控制流。为了降低这类风险,更合适的做法是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师缓冲区溢出边界检查
单选题
第 476 题
静态脱敏和动态脱敏怎么区分?

某公司要把生产库中的用户手机号、身份证号提供给测试团队做联调。安全负责人要求先生成一份不可直接还原真实身份的测试数据副本;同时,生产系统后台仍按用户角色控制敏感字段展示,普通客服只能看到部分号码。关于这两类做法,下列说法更准确的是哪一项?

中级 信息安全工程师 高频练习 中等 信息安全工程师数据脱敏静态脱敏
单选题
第 469 题
HSTS 为什么能降低 HTTPS 降级攻击风险?

某网站已经支持 HTTPS,但安全人员担心用户首次输入 http:// 开头地址时,被中间人诱导继续使用明文 HTTP,导致登录 Cookie 或敏感请求暴露。网站希望浏览器以后强制使用 HTTPS 访问该域名。较合适的安全机制是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师HSTSHTTPS
单选题
第 337 题
WAF 为什么常用于防护 Web 应用攻击?

某网站经常遭遇 SQL 注入、XSS、恶意扫描和异常请求。安全团队在 Web 应用前部署安全设备或云防护服务,对 HTTP/HTTPS 请求进行规则检测、拦截和记录。这类防护通常称为()。

中级 信息安全工程师 高频练习 中等 信息安全工程师WAFWeb安全
单选题
第 335 题
HMAC 为什么能同时校验消息完整性和来源可信度?

某接口调用方和服务端共享一个密钥。调用方把请求参数与密钥一起计算 HMAC,并把结果随请求发送。服务端用同一密钥重新计算并比对结果,以判断请求是否被篡改以及是否来自掌握密钥的一方。该机制主要用于()。

中级 信息安全工程师 高频练习 中等 信息安全工程师HMAC消息认证码
单选题
第 325 题
密码存储为什么要加盐后再哈希?

某网站不直接保存用户明文密码,而是为每个用户生成随机盐值,将密码与盐值组合后再进行哈希存储。这样做主要是为了()。

中级 信息安全工程师 高频练习 中等 信息安全工程师密码哈希盐值
单选题
第 298 题
Refresh Token 泄露为什么比短期访问令牌更危险?

某移动应用的 Access Token 有效期较短,而 Refresh Token 可用于换取新的 Access Token。如果 Refresh Token 被攻击者窃取,攻击者可能在较长时间内持续获取访问令牌。该风险主要说明 Refresh Token 应当()。

中级 信息安全工程师 高频练习 中等 信息安全工程师Refresh Token令牌安全
单选题
第 270 题
JWT 为什么常用于无状态认证?

某前后端分离系统在用户登录后签发一个包含用户标识、过期时间和签名的令牌。后续请求携带该令牌,服务端校验签名和有效期后识别用户身份,而不必每次都查询集中式会话。该令牌机制常见的是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师JWT令牌认证
单选题
第 232 题
HTTPS 证书链为什么要由 CA 来证明身份?

浏览器访问 HTTPS 网站时,会检查服务器证书是否由受信任 CA 签发,证书域名是否匹配、是否过期,并沿证书链验证到可信根证书。这个过程主要是为了确认()。

中级 信息安全工程师 高频练习 中等 信息安全工程师数字证书CA
单选题
第 231 题
安全事件排查为什么不能只看单一日志?

某系统疑似被攻击。安全人员同时查看防火墙、Web 服务器、数据库、主机登录和应用审计日志,按时间线把异常 IP、请求路径、登录行为和数据访问记录串起来判断攻击过程。这种分析方法更接近于()。

中级 信息安全工程师 高频练习 中等 信息安全工程师安全日志关联分析
单选题
第 230 题
服务器安全基线加固通常先做什么?

某单位上线一批 Linux 服务器前,需要按统一要求关闭不必要服务、限制默认账户、设置口令策略、调整 SSH 登录配置并开启必要日志。上述工作更接近于()。

中级 信息安全工程师 高频练习 中等 信息安全工程师安全基线系统加固
单选题
第 230 题
堡垒机为什么常用于运维账号管控和审计?

某单位要求运维人员访问服务器时先登录统一平台,再由平台代为连接目标主机,并记录登录人、操作时间、命令和会话过程,便于事后追溯。较适合承担这种集中管控和审计功能的是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师堡垒机运维审计
单选题
第 203 题
SameSite Cookie 主要用来降低哪类安全风险?

某网站希望浏览器在跨站请求场景下不要随意携带敏感 Cookie,减少攻击者借用户登录态发起危险操作的机会。设置 Cookie 的 SameSite 属性,主要有助于降低()。

中级 信息安全工程师 高频练习 中等 信息安全工程师SameSite CookieCSRF
单选题
第 202 题
纵深防御为什么强调多层安全措施?

某单位在 Web 系统安全建设中,同时部署边界防火墙、Web 应用防护、身份认证、最小权限、日志审计和备份恢复,而不是只依赖单一防护设备。这种安全建设思路主要体现了()。

中级 信息安全工程师 高频练习 中等 信息安全工程师纵深防御分层防护
单选题
第 202 题
登录成功后为什么要重新生成 Session ID?

某网站在用户登录前后使用同一个 Session ID。攻击者如果提前诱导用户使用一个已知 Session ID,用户登录成功后攻击者可能利用该会话标识访问用户账号。为降低这类风险,较合理的做法是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师会话固定Session ID
单选题
第 172 题
防止 XSS 为什么要做上下文相关的输出编码?

某论坛把用户昵称直接拼接到 HTML 页面中展示。攻击者把昵称改成带有脚本片段的内容,其他用户打开页面时浏览器可能执行该脚本。为了降低这类 XSS 风险,更合适的处理方式是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师XSS输出编码
单选题
第 160 题
CSRF 攻击为什么常用 Token 来防护?

用户已经登录某网站,攻击者诱导用户访问恶意页面,试图借用户浏览器携带的登录态向原网站提交转账请求。为了降低这类 CSRF 风险,网站较常用的措施是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师CSRFWeb安全
单选题
第 120 题
IDS 和 IPS 的主要区别是什么?

某单位计划在网络出口部署安全设备,希望不仅能发现异常入侵行为,还能在策略允许时主动阻断攻击流量。与 IDS 相比,IPS 更突出的特点是()。

中级 信息安全工程师 高频练习 基础 信息安全工程师IDSIPS
单选题
第 113 题
发现疑似安全事件后,第一步应该先做什么?

运维人员发现某服务器在凌晨突然向外发送大量异常流量,怀疑可能被入侵。作为安全事件应急响应,较合适的第一步是()。

中级 信息安全工程师 高频练习 中等 信息安全工程师安全事件应急响应
单选题
第 112 题
最小权限原则主要强调什么?

某系统为普通业务人员开通账号时,只授予其完成岗位工作所必需的功能权限,不额外开放管理员权限。这个做法体现了()。

中级 信息安全工程师 高频练习 基础 信息安全工程师最小权限原则访问控制
单选题
第 112 题
n 个用户两两通信需要多少个对称密钥?

若 10 个用户之间任意两人都需要使用不同的对称密钥进行安全通信,则共需要多少个对称密钥?

中级 信息安全工程师 高频练习 基础 信息安全工程师对称加密密钥管理
单选题
第 321 题
哈希摘要主要用于验证数据的什么特性?

发送方对文件计算摘要值,接收方收到文件后重新计算摘要并进行比较,以判断文件是否被篡改。该做法主要用于验证()。

中级 信息安全工程师 高频练习 基础 信息安全工程师哈希摘要哈希摘要完整性
单选题
第 7 题
数字签名为什么能支持不可否认性?

某系统要求接收方能够验证消息确实由发送方发出,并且发送方事后不能否认已经发送过该消息。通常应采用()。

中级 信息安全工程师 高频练习 中等 信息安全工程师数字签名数字签名不可否认性
单选题
第 8 题
对称加密和非对称加密有什么区别?

在密码技术中,加密和解密使用同一把密钥的加密方式通常称为什么?

中级 信息安全工程师 高频练习 基础 信息安全工程师对称加密与非对称加密信息安全工程师对称加密
单选题
第 3 题
RBAC 访问控制模型的核心是什么?

某系统不是直接给每个用户逐项分配权限,而是先给角色分配权限,再把用户分配到相应角色。该访问控制思想属于哪一种模型?

中级 信息安全工程师 高频练习 中等 信息安全工程师RBAC 访问控制信息安全工程师RBAC
单选题
第 4 题
防止 SQL 注入最常见的方法是什么?

Web 应用中,为防止用户输入被拼接成恶意 SQL 语句,开发时最应优先采用哪一种措施?

中级 信息安全工程师 高频练习 基础 信息安全工程师SQL 注入防护SQL注入防护
单选题
第 5 题
数字证书主要用来证明什么?

在公钥基础设施 PKI 中,数字证书通常用于把公钥和某个主体身份绑定起来,以证明该公钥属于相应主体。数字证书的主要作用是?

中级 信息安全工程师 高频练习 基础 信息安全工程师数字证书信息安全工程师数字证书
单选题
第 6 题
哈希函数有什么作用?

在信息安全中,用于把任意长度消息映射为固定长度摘要,且常用于完整性校验的算法称为什么?

中级 信息安全工程师 高频练习 基础 密码学哈希函数完整性
单选题
第 1 题
数字签名能保证什么?

为了验证消息来源真实性并防止发送方否认,通常可以使用哪种密码技术?

中级 信息安全工程师 高频练习 中等 密码学数字签名不可否认性
单选题
第 2 题
对称加密

下列算法中,属于对称加密算法的是?

中级 信息安全工程师 2024 上半年 基础 密码学对称加密AES
单选题
第 5 题
访问控制模型

在基于角色的访问控制 RBAC 中,权限通常直接授予给谁?

中级 信息安全工程师 2023 下半年 中等 访问控制RBAC安全模型
单选题
第 16 题