2025年《网络与信息安全管理员》考试模拟试题(含答案)

2025年《网络与信息安全管理员》考试模拟试题(含答案)一、单项选择题（每题2分，共40分）1.依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），第三级信息系统的安全保护对象受到破坏后，对社会秩序、公共利益的损害程度为（）。A.一般损害B.严重损害C.特别严重损害D.轻微损害答案：B2.以下哪种攻击方式属于应用层DDoS攻击？（）A.SYNFloodB.DNS放大攻击C.HTTP慢速连接攻击D.ICMPFlood答案：C3.某企业采用AES-256算法对用户敏感数据加密，其密钥长度为（）。A.128位B.192位C.256位D.512位答案：C4.以下哪项不属于《网络安全法》规定的网络运营者的义务？（）A.制定内部安全管理制度和操作规程B.采取数据分类、重要数据备份和加密等措施C.定期向用户公开网络日志D.对网络安全事件立即启动应急预案答案：C5.以下关于SSL/TLS协议的描述，错误的是（）。A.SSL3.0因POODLE漏洞被TLS1.2取代B.TLS握手过程中使用非对称加密交换对称密钥C.客户端通过证书链验证服务器身份D.TLS1.3仅支持ECDHE密钥交换算法答案：D（TLS1.3支持ECDHE和DHE，不支持RSA密钥交换）6.某系统日志显示“POST/login.php?username=admin'--&password=123”，最可能的攻击类型是（）。A.XSSB.CSRFC.SQL注入D.命令注入答案：C7.依据《个人信息保护法》，处理敏感个人信息时，下列哪项不是必要条件？（）A.取得个人的单独同意B.具有特定的目的和充分的必要性C.公开处理规则D.向个人信息保护委员会备案答案：D8.以下哪种访问控制模型最适用于权限动态变化的企业环境？（）A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：D（ABAC可根据用户属性、环境属性动态调整权限）9.某企业部署WAF后，发现正常业务请求被误拦截，最可能的原因是（）。A.WAF规则库未更新B.WAF模式设置为“检测”而非“阻断”C.WAF误将正常参数识别为攻击载荷D.WAF与业务系统端口不匹配答案：C10.以下关于漏洞扫描的描述，正确的是（）。A.主机扫描仅检测操作系统漏洞，不涉及应用漏洞B.分布式扫描可通过多节点并行提升效率C.漏洞扫描结果可直接作为修复依据，无需人工验证D.网络扫描无需目标设备的登录凭证答案：B11.依据《数据安全法》，重要数据的处理者应当按照规定对其数据处理活动定期开展（）。A.数据加密强度测试B.数据安全影响评估C.数据备份恢复演练D.数据泄露应急演练答案：B12.以下哪种算法属于非对称加密？（）A.SHA-256B.DESC.RSAD.AES答案：C13.某公司员工通过钓鱼邮件下载恶意文档，导致终端感染勒索病毒。最有效的事前防御措施是（）。A.部署终端杀毒软件B.定期备份重要数据C.开展员工安全意识培训D.启用邮件网关的附件沙箱检测答案：D（沙箱可在恶意文件执行前检测）14.以下哪项属于网络安全监测的关键指标？（）A.服务器CPU使用率B.网络流量异常波动C.员工考勤记录D.数据库查询响应时间答案：B15.依据等保2.0要求，第三级系统应实现（）的结构化审计。A.访问控制策略变更B.员工绩效考核C.物理设备温度D.会议室门禁记录答案：A16.以下关于零信任架构（ZTA）的描述，错误的是（）。A.默认不信任任何内部或外部流量B.仅通过IP地址验证访问权限C.持续评估访问请求的风险D.最小化资源访问权限答案：B（零信任需结合身份、设备状态、环境等多因素验证）17.某企业使用HIDS（主机入侵检测系统）监测终端异常，其核心技术不包括（）。A.文件完整性检查B.进程行为分析C.网络流量抓包D.日志审计答案：C（HIDS侧重主机层面，网络流量由NIDS监测）18.以下哪种证书类型可用于代码签名？（）A.SSL服务器证书B.电子邮件证书C.代码签名证书D.客户端证书答案：C19.依据《关键信息基础设施安全保护条例》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对网络安全风险进行（）检测评估。A.每季度一次B.每半年一次C.每年一次D.每两年一次答案：C20.以下关于蜜罐技术的描述，正确的是（）。A.蜜罐的价值在于模拟真实业务系统吸引攻击B.蜜罐需部署在核心业务网段C.蜜罐数据无需隔离，可直接用于生产分析D.蜜罐仅能检测已知攻击答案：A二、多项选择题（每题3分，共30分，少选、错选均不得分）1.以下属于《网络安全法》规定的“网络”范畴的有（）。A.物联网B.工业控制系统C.局域网D.广域网答案：ABCD2.以下哪些是常见的密码安全策略要求？（）A.密码长度≥8位B.包含大小写字母、数字和特殊符号C.定期更换（如90天）D.允许重复使用历史密码答案：ABC3.以下属于APT（高级持续性威胁）攻击特征的有（）。A.攻击周期长（数月至数年）B.使用0day漏洞C.目标明确（如特定行业）D.仅通过暴力破解入侵答案：ABC4.依据等保2.0，安全通信网络层面的要求包括（）。A.网络架构分层设计B.重要通信链路冗余C.边界访问控制D.终端防病毒答案：ABC5.以下哪些技术可用于数据脱敏？（）A.替换（如将“1381234”替换手机号）B.掩码（如将身份证号前6位隐藏）C.加密（如对姓名进行AES加密）D.乱序（如打乱地址字段顺序）答案：ABD（加密属于数据保护，非脱敏）6.以下属于网络安全事件分级依据的有（）。A.影响范围B.恢复时间C.经济损失D.社会影响答案：ABCD7.以下关于防火墙的描述，正确的有（）。A.状态检测防火墙可跟踪TCP连接状态B.应用层防火墙（WAF）可识别HTTP协议内容C.硬件防火墙性能通常优于软件防火墙D.防火墙能完全阻止所有网络攻击答案：ABC8.以下哪些属于《个人信息保护法》规定的“个人信息”？（）A.姓名、身份证号B.通信记录、行踪轨迹C.匿名化处理后无法识别特定个人的信息D.企业营业执照号码答案：AB9.以下属于网络安全运维的日常工作内容的有（）。A.安全设备日志分析B.漏洞扫描与修复C.安全策略优化D.员工安全培训答案：ABCD10.以下关于数字签名的描述，正确的有（）。A.使用发送方私钥加密摘要B.使用接收方公钥加密原文C.可验证数据完整性和发送方身份D.数字签名等同于手写签名的法律效力答案：ACD（数字签名使用发送方私钥，公钥验证）三、填空题（每题2分，共20分）1.等保2.0的五个安全层面包括技术安全、管理安全、安全通信网络、安全区域边界和__________。答案：安全计算环境2.TLS1.3的默认端口号是__________。答案：4433.依据《数据安全法》，数据分类分级的核心依据是数据的__________和可能带来的安全风险。答案：重要程度4.常见的无线局域网安全协议中，WPA3采用的加密算法是__________。答案：AES（或CCMP）5.网络安全事件应急响应的关键步骤包括准备、检测与分析、__________、恢复、总结。答案：抑制（或遏制）6.RSA算法的安全性基于__________问题的困难性。答案：大整数分解7.依据《网络安全审查办法》，关键信息基础设施运营者采购网络产品和服务，影响或可能影响__________的，应当进行网络安全审查。答案：国家安全8.入侵检测系统（IDS）的两种主要类型是__________和主机型（HIDS）。答案：网络型（NIDS）9.数据脱敏的常见维度包括身份信息、__________、位置信息等。答案：财务信息（或通信信息）10.网络安全态势感知的核心是通过__________分析，实现对网络安全状态的全局掌握。答案：大数据（或海量数据）四、简答题（每题8分，共40分）1.简述零信任架构（ZTA）的核心原则。答案：零信任架构的核心原则包括：（1）默认不信任：所有访问请求（无论来自内部或外部）均需验证；（2）最小权限访问：仅授予完成任务所需的最小权限；（3）持续验证：在访问过程中动态评估身份、设备状态、环境等风险因素；（4）数据中心可见性：对所有流量（包括东西向流量）进行监控和控制；（5）基于策略的访问控制：根据预设安全策略动态调整访问权限。2.列举SQL注入攻击的三种防御措施，并说明原理。答案：（1）使用参数化查询（预编译语句）：将用户输入与SQL语句分离，避免输入内容被解释为SQL代码；（2）输入验证：对用户输入进行格式、长度、类型校验（如仅允许数字输入时拒绝字符串），过滤特殊字符（如单引号、分号）；（3）存储过程：将SQL逻辑封装为存储过程，限制用户直接拼接SQL语句；（4）Web应用防火墙（WAF）：通过规则库检测并拦截包含SQL特征的请求（如“OR1=1”“UNIONSELECT”）。3.依据《个人信息保护法》，处理个人信息应满足哪些合法性基础？答案：（1）取得个人的同意（包括单独同意、书面/电子同意等）；（2）为订立或履行合同所必需；（3）为履行法定职责或义务所必需；（4）为应对突发公共卫生事件或紧急情况下保护自然人生命健康和财产安全所必需；（5）为公共利益实施新闻报道、舆论监督等行为，在合理范围内处理个人信息；（6）法律、行政法规规定的其他情形。4.简述网络安全监测与预警的主要技术手段。答案：（1）日志分析：收集网络设备、主机、应用的日志，通过正则匹配、关联分析发现异常（如频繁登录失败）；（2）流量监测：使用NTA（网络流量分析）工具识别异常流量（如DDoS攻击的流量突增、异常协议类型）；（3）威胁情报关联：结合外部威胁情报（如CVE漏洞信息、恶意IP库）标记可疑行为；（4）入侵检测系统（IDS）：基于特征库（Snort规则）或行为分析（如异常端口访问）检测攻击；（5）端点检测与响应（EDR）：在终端部署代理，监控进程、文件操作等行为，识别恶意软件活动。5.说明数据备份与数据容灾的区别，并列举三种常见的备份方式。答案：区别：数据备份是将数据复制到其他存储介质（如磁盘、磁带），用于数据丢失后的恢复；数据容灾是通过异地冗余部署（如双活数据中心），确保在重大灾难（如地震、火灾）发生时业务持续可用。常见备份方式：（1）完全备份：复制所有数据，恢复最快但存储占用大；（2）增量备份：仅备份自上次备份后变化的数据，存储效率高但恢复需依赖历史备份；（3）差异备份：备份自上次完全备份后变化的数据，恢复时仅需完全备份+最后一次差异备份；（4）快照备份：通过存储系统的快照功能快速创建数据副本（如VMware快照）。五、案例分析题（每题20分，共40分）案例背景：某城市商业银行（以下简称“某银行”）核心业务系统于2024年11月15日14:30出现以下异常：-网上银行登录页面响应缓慢，部分用户提示“数据库连接失败”；-数据库服务器（部署于内网，IP：0）CPU使用率持续90%以上；-日志审计系统显示：14:25起，数据库服务器收到大量来自0的查询请求，内容为“SELECTFROMuser_infoWHEREaccount=ANDpassword=’123456’--”；-网络流量监控显示：0与数据库服务器之间的流量在14:20-14:30期间增长5倍。问题1：分析该事件可能的攻击类型及技术细节。答案：（1）攻击类型：SQL注入攻击结合分布式查询洪水攻击（属于应用层DDoS）。（2）技术细节：①攻击者通过发送包含SQL注入payload的登录请求（如“password=’123456’--”），尝试绕过身份验证或提取数据库数据；②“--”为SQL注释符，用于屏蔽后续语句（如原语句“ANDpassword=’123456’”被注释后，变为“SELECTFROMuser_infoWHEREaccount=”，即无需密码即可查询用户信息）；③攻击者可能控制了僵尸主机（IP：0可能为傀儡机），向数据库服务器发送大量此类恶意请求，导致数据库连接池耗尽、CPU资源被占用，最终引发业务中断。问题2：作为网络与信息安全管理员，应采取哪些应急响应措施？并提出长期改进建议。答案：应急响应措施：（1）抑制阶段：①立即封禁攻击源IP（0），通过防火墙或IPS阻断其与数据库服务器的连接；②启用数据库连接限流（如设置最大连接数、超时时间），优先保障正常业务；③切换至备