軟考中級信息安全工程師考試大綱與真題匯編

#學習資料 ·2026-03-12 14:14:44

目  錄

第一部分：考試概述

  1.1 考試定位與能力要求

  1.2 考試科目與題型分析

第二部分：考試大綱核心內容詳解

  2.1 信息安全法規與標準

  2.2 信息安全管理與風險評估

  2.3 安全體系建設與等級保護

  2.4 網絡與主機安全

  2.5 應用與軟件安全

  2.6 數據安全與隱私保護

  2.7 密碼學基礎與應用

  2.8 安全運維與應急響應

  2.9 安全評測與滲透測試

  2.10 安全態勢感知與運營

第三部分：2023-2025年真題匯編

  3.1 2025年真題及解析

  3.2 2024年真題及解析

  3.3 2023年真題及解析

第四部分：高頻考點專項突破

  4.1 密碼學考點

  4.2 網絡安全技術考點

  4.3 安全管理與法規考點

第五部分：備考策略與技巧

  5.1 分階段備考計劃

  5.2 各題型答題技巧

  5.3 考試注意事項

==============================================

第一部分：考試概述

1.1 考試定位與能力要求

信息安全工程師考試旨在評估考生在信息安全領域的綜合能力，涵蓋法規、治理、技術、實施和運維等多個維度。通過考試的考生應具備在組織中開展安全規劃、風險識別與控制、技術實現與評估、事件處置與持續改進的基本能力，并能在實際工作場景中應用所學知識，解決常見安全問題、支撐信息系統的安全可用性、完整性與保密性。

考試強調知識點的理解、案例分析的應用，以及在復雜場景中的綜合判斷與決策能力。考生應具備一定的技術背景，能夠結合業務需求進行安全設計與落地實施，同時理解并遵守相關法律法規與行業標準。

1.2 考試科目與題型分析

信息安全工程師考試分為兩個科目，需同時通過(每科≥45分)，單科成績不保留。兩科連續進行，總時長240分鐘。基礎知識部分最短90分鐘、最長120分鐘，提前交卷節省的時間可累計至應用技術科目使用。

1.2.1 基礎知識(綜合知識)

題型：75道單選題（每題1分，45分及格）

考試時長：150分鐘

內容分布：

1.2.2 應用技術(案例分析)

題型：3道主觀題（每題25分，45分及格）

考試時長：90分鐘

高頻題型：

1. 攻防分析題：根據日志分析（如SQL注入、XSS）并提出防御措施

2. 安全方案設計：設計企業級安全體系（含網絡隔離、訪問控制）

3. 密碼學應用題：配置IPSec VPN或數字證書頒發流程

第二部分：考試大綱核心內容詳解

2.1 信息安全法規與標準

掌握網絡安全相關法律框架、數據保護法規及行業規范，理解其對企業治理、技術實現和運營管理的約束與要求。

了解關鍵標準與框架，如信息安全管理體系、風險管理、數據保護、密鑰管理、身份與訪問管理等方面的通用要求，以及等保2.0/3.0的基本原則與分級要求。

能夠結合企業實際制定安全方針、制度與合規整改方案，完成合規評估與改進路徑設計。

2.2 信息安全管理與風險評估

認識信息安全治理的基本架構，了解角色分工、職責界定、安全文化建設與培訓機制。

掌握資產識別、威脅建模、脆弱性分析、風險評估方法與分級原則，能形成風險矩陣并提出可執行的控制措施。

能基于業務目標和技術現狀制定安全目標與改進路線，推動持續改進與安全投資的性價比分析。

2.3 安全體系建設與等級保護

理解安全體系的目標、控制階梯與持續改進循環，能設計覆蓋制度、技術、人員、流程的綜合控制框架。

熟悉等級保護的分級原則與安全要求，能夠在系統建設和運行中落實分級保護措施、制定檢測與評估機制。

能將治理、風險、合規與技術控制有機結合，形成可落地的安全架構藍圖和運行機制。

2.4 網絡與主機安全

熟悉分層網絡與邊界防護的原則，掌握訪問控制、身份認證、密鑰管理及傳輸安全的基本實現方式。

能進行主機加固、補丁管理、漏洞管理與配置管理，建立基線以降低暴露面。

具備日志收集、告警觸發、事件關聯分析的能力，能夠在網絡與主機層面實現快速檢測與響應。

2.5 應用與軟件安全

理解安全開發生命周期（SDLC）的核心環節，能夠在需求、設計、實現、測試、上線、運維各階段嵌入安全控制。

掌握常見的應用安全漏洞類型、漏洞管理與修復流程，具備代碼審計、依賴項管理與安全測試的基本能力。

能進行威脅建模、輸入輸出驗證、數據保護與接口安全設計，關注第三方組件與供應鏈安全。

2.6 數據安全與隱私保護

掌握數據分類分級、數據生命周期管理、數據脫敏、備份與恢復、密鑰及訪問控制的基本方法。

能設計數據保護策略，涵蓋靜態、傳輸與使用過程中的數據安全加固，兼顧業務可用性與隱私保護。

了解個人信息保護的原則與合規要點，能在產品與流程中落地數據最小化與隱私保護設計。

2.7 密碼學基礎與應用

熟悉對稱與非對稱加密、哈希函數、數字簽名、密鑰派生與管理的基本原理及應用場景。

能設計與評估傳輸層與應用層的加密方案，理解密鑰生命周期管理、證書體系與信任鏈的要點。

具備在系統架構中應用密碼學解決方案的能力，確保關鍵數據在存儲和傳輸過程中的機密性與完整性。

2.8 安全運維與應急響應

掌握變更與配置管理、日志審計、告警策略與事件分類的方法論。

能制定并演練應急響應與業務連續性計劃，具備取證、追蹤與復盤的基本能力。

能夠在日常運維中嵌入安全控制，保障持續可用性與安全事件的快速處置。

2.9 安全評測與滲透測試

理解安全評測的目標、范圍與方法，能夠設計測試計劃、執行漏洞挖掘、評估風險并驗證修復效果。

具備識別與復現實驗環境中的漏洞、評估影響與給出改進建議的能力。

注重合規性與安全性平衡，在測試中遵循倫理與法律邊界。

2.10 安全態勢感知與運營

能建立基于日志、告警、情報的態勢感知能力，進行異常行為分析與趨勢預測。

掌握核心指標與KPI的設定，定期評估防護能力與改進效果。

能在團隊協作中將安全運營融入日常工作，提升跨部門協同與事件處置效率。

第三部分：2023-2025年真題匯編

3.1 2025年真題及解析

單選題(共30題)

1. 關于密碼學中的哈希函數，以下哪個說法是正確的？( )  

   A. 哈希函數可以保證信息的機密性

   B. 哈希函數可以保證信息的完整性

   C. 哈希函數可以保證信息的可用性

   D. 哈希函數可以保證信息的真實性

   答案：B

   解析：哈希函數主要用于保證信息的完整性，通過將輸入數據轉換成固定長度的輸出，即使輸入數據微小變化，輸出的哈希值也會發生較大變化。

2. 以下哪種加密算法屬于對稱加密算法？( )

   A. RSA

   B. DES

   C. AES

   D. ECC  

   答案：B

   解析：