2025年网络安全技术人员考核考试试题及答案

2025年网络安全技术人员考核考试试题及答案一、单项选择题（每题2分，共20题，40分）1.以下哪个选项属于PDRR安全模型中的“恢复（Recovery）”阶段关键操作？A.部署入侵检测系统（IDS）B.制定灾难恢复计划（DRP）C.定期更新安全策略D.对日志进行实时分析答案：B2.某企业Web应用遭受攻击，日志显示请求中包含“'OR1=1”字段，该攻击类型属于？A.XSS跨站脚本攻击B.CSRF跨站请求伪造C.SQL注入攻击D.命令注入攻击答案：C3.TLS1.3协议相比TLS1.2的核心改进是？A.支持AES256加密B.减少握手延迟（从2RTT到1RTT）C.引入ECDHE密钥交换D.强制使用PFS（前向保密）答案：B（注：TLS1.3默认启用PFS且握手仅需1RTT，是主要改进）4.某公司员工收到邮件，附件为“工资表.zip”，解压后提示需要输入密码，实际为恶意程序，该攻击方式属于？A.水坑攻击B.鱼叉式钓鱼攻击C.勒索软件攻击D.中间人攻击答案：B5.以下哪个漏洞类型属于OWASP2024十大漏洞中的“不安全的API”？A.未对API请求进行速率限制B.数据库弱口令C.未配置防火墙规则D.操作系统未打补丁答案：A6.关于零信任架构（ZeroTrustArchitecture）的描述，错误的是？A.默认不信任任何内部或外部流量B.持续验证访问请求的身份和设备状态C.依赖传统边界防火墙实现安全D.采用“最小权限原则”分配资源访问权限答案：C7.某Linux服务器开放端口22、80、443、3306，其中需要重点防护暴力破解的端口是？A.22（SSH）B.80（HTTP）C.443（HTTPS）D.3306（MySQL）答案：A（SSH默认端口22，易受暴力破解攻击）8.以下哪种加密算法属于非对称加密？A.AES256B.SHA256C.RSAD.ChaCha20答案：C9.某企业部署EDR（端点检测与响应）系统，其核心功能不包括？A.实时监控端点文件操作B.阻止已知恶意软件运行C.对网络流量进行深度包检测D.收集并分析端点行为日志答案：C（EDR侧重端点层面，网络流量检测属于NDR功能）10.某公司云服务器（EC2）出现异常CPU占用率（90%以上），最可能的攻击是？A.勒索软件加密文件B.挖矿木马利用算力C.SQL注入导致查询阻塞D.DDoS反射攻击答案：B11.关于CVSS3.1评分体系，以下哪项属于“利用范围（Scope）”字段的取值？A.HIGH（高）B.CHANGED（变更）C.MEDIUM（中）D.CONFIDENTIALITY（机密性）答案：B（CVSS3.1中Scope取值为UNCHANGED或CHANGED）12.某Web应用使用JWT（JSONWebToken）进行身份验证，若未设置“exp”（过期时间）字段，可能导致的安全风险是？A.Token被重放攻击利用B.Token被篡改C.Token被中间人窃取D.Token无法续签答案：A（未设置过期时间的Token可长期有效，易被重放）13.以下哪项是IPv6相比IPv4在安全层面的改进？A.内置IPSec协议B.支持更大地址空间C.简化头部结构D.支持多播地址答案：A（IPv6强制支持IPSec，提供端到端加密）14.某企业使用WAF（Web应用防火墙）防护，当检测到请求中包含“<script>alert(1)</script>”时，触发阻断，该防护策略基于？A.正则表达式匹配B.机器学习模型C.协议异常检测D.信誉库黑名单答案：A15.关于蜜罐（Honeypot）的描述，正确的是？A.用于替代防火墙实现边界防护B.主动发起攻击诱捕攻击者C.收集攻击者的攻击手法和工具D.仅部署在DMZ区域答案：C16.某公司数据库存储用户密码，正确的处理方式是？A.明文存储B.MD5哈希存储（无盐）C.SHA256哈希存储（加盐）D.AES加密存储（密钥硬编码）答案：C（加盐哈希是行业最佳实践）17.以下哪种攻击利用了操作系统的漏洞？A.DNS缓存投毒B.缓冲区溢出C.钓鱼邮件D.社会工程学答案：B18.某企业网络中部署了IDS（入侵检测系统），当检测到异常流量时，IDS的主要动作是？A.自动阻断流量B.生成警报日志C.修改路由表隔离主机D.重置TCP连接答案：B（IDS是检测系统，IPS才会主动阻断）19.关于数据脱敏技术，以下哪项属于“静态脱敏”？A.对数据库查询结果实时替换敏感字段B.对归档数据导出前进行批量脱敏处理C.对API接口返回的身份证号隐藏部分数字D.对日志中的手机号进行模糊化处理答案：B（静态脱敏针对非实时数据，动态脱敏针对实时访问）20.某公司采用SDP（软件定义边界）方案，其核心目标是？A.简化网络拓扑结构B.实现零信任访问控制C.提升网络传输速率D.降低硬件采购成本答案：B二、填空题（每题2分，共10题，20分）1.常见的DDoS攻击防护手段包括________、流量清洗、黑洞路由等。（答案：速率限制/流量牵引）2.恶意软件（Malware）的常见传播途径有邮件附件、漏洞利用、________等。（答案：移动存储设备/网页挂马）3.操作系统的安全加固措施通常包括关闭不必要的服务、更新补丁、________等。（答案：设置强口令/启用防火墙）4.网络安全等级保护2.0标准中，第三级系统的安全保护要求包括________、区域边界安全、计算环境安全、管理中心安全。（答案：安全通信网络）5.渗透测试的三个阶段是________、漏洞利用、信息收集与分析。（答案：前期交互/目标确认；注：标准流程为前期交互、信息收集、漏洞分析、漏洞利用、后渗透、报告编写）6.区块链系统中，防止双花攻击的核心机制是________。（答案：共识算法/最长链原则）7.云安全中的“共享责任模型”指云服务商负责________，用户负责其上的应用和数据安全。（答案：基础设施安全/云平台底层安全）8.物联网（IoT）设备的典型安全风险包括弱口令、________、固件未更新等。（答案：默认开放高危端口/缺乏安全认证）9.移动应用（App）的安全测试方法包括黑盒测试、白盒测试、________等。（答案：灰盒测试）10.量子计算对现有加密算法的威胁主要体现在________的破解上（如RSA、ECC）。（答案：公钥加密算法）三、简答题（每题8分，共5题，40分）1.请简述SQL注入攻击的原理及防护措施。答案：原理：攻击者通过在Web请求中插入恶意SQL代码，欺骗后端数据库执行非预期的查询或操作，导致数据泄露、篡改或数据库被破坏。例如，用户输入未过滤时，输入“'OR1=1”可绕过登录验证。防护措施：（1）使用预编译语句（PreparedStatement）或ORM框架，参数化查询，避免拼接SQL；（2）对用户输入进行严格的类型检查和白名单过滤；（3）限制数据库用户权限（如仅授予查询权限，禁止DROP操作）；（4）启用Web应用防火墙（WAF）检测异常SQL模式；（5）定期进行代码审计和渗透测试，发现潜在注入点。2.请说明零信任架构的核心原则，并列举3个关键技术组件。答案：核心原则：（1）持续验证：所有访问请求需验证身份、设备状态、位置等多因素；（2）最小权限：仅授予完成任务所需的最小资源访问权限；（3）永不信任：默认不信任任何内部或外部流量，需动态评估风险；（4）深度防御：通过多维度控制（网络、身份、应用）构建防护层。关键技术组件：（1）身份认证与访问管理（IAM/IdP）：如OAuth2.0、SAML；（2）软件定义边界（SDP）：隐藏资源真实地址，仅允许授权连接；（3）端点安全检测（EDR）：监控设备健康状态（如是否安装补丁、是否运行恶意进程）；（4）微隔离（Microsegmentation）：在数据中心内划分安全区域，限制横向移动。3.某企业遭受勒索软件攻击，重要文件被加密，作为安全工程师，请列出应急响应的关键步骤。答案：（1）隔离受感染设备：立即断开网络连接（包括局域网和互联网），防止攻击扩散；（2）保留证据：关闭设备前导出日志（如系统日志、网络流量日志、进程日志），用于后续分析；（3）评估影响范围：确认哪些设备、数据被加密，是否有备份可用；（4）尝试解密：若有未加密备份，优先恢复数据；若无，可尝试使用勒索软件解密工具（如NoMoreRansom平台提供的工具）；（5）溯源分析：通过日志和恶意样本分析攻击入口（如钓鱼邮件、漏洞利用），定位攻击者手法；（6）修复漏洞：更新系统补丁，关闭不必要的端口/服务，加强邮件过滤和端点防护；（7）恢复业务：使用备份恢复数据，验证系统安全性后逐步恢复服务；（8）总结记录事件过程、处理措施及改进建议，更新应急预案。4.请对比传统防火墙与下一代防火墙（NGFW）的主要区别。答案：（1）检测深度：传统防火墙基于IP、端口和协议（OSI34层）进行过滤；NGFW支持应用层检测（OSI7层），能识别具体应用（如微信、QQ）及其流量。（2）功能集成：传统防火墙仅提供包过滤、NAT等基础功能；NGFW集成入侵防御（IPS）、应用控制、恶意软件检测、VPN等功能。（3）威胁防护：传统防火墙无法识别应用层攻击（如SQL注入）；NGFW通过深度包检测（DPI）和威胁情报库，可阻断应用层漏洞攻击。（4）策略管理：传统防火墙策略基于IP和端口，规则数量有限；NGFW支持基于应用、用户、时间的细粒度策略，灵活性更高。（5）性能要求：NGFW因需要处理应用层数据，对硬件性能（如CPU、内存）要求更高。5.简述云环境下数据泄露的常见风险点及防护措施。答案：常见风险点：（1）权限配置错误：如S3存储桶未设置访问控制（ACL），导致公共可读；（2）API接口漏洞：未对API请求进行身份验证或速率限制，导致数据被批量爬取；（3）内部人员误操作：管理员误删除加密密钥，或误共享敏感数据链接；（4）云服务商漏洞：如云平台自身存在漏洞（如2023年某云厂商的元数据服务未授权访问漏洞）；（5）数据传输未加密：通过HTTP传输敏感数据，被中间人截获。防护措施：（1）实施最小权限原则（LeastPrivilege）：为云资源（如EC2、S3）设置细粒度IAM角色，仅授予必要权限；（2）加密数据：对静态数据使用AES256加密（如AWSKMS管理密钥），传输数据强制使用TLS1.3；（3）监控与审计：启用云审计服务（如AWSCloudTrail、阿里云ActionTrail），记录所有资源操作日志；（4）API安全加固：使用OAuth2.0或API密钥进行身份验证，设置请求速率限制（RateLimiting）和输入验证；（5）定期安全评估：通过云原生安全工具（如AWSInspector、AzureSecurityCenter）扫描配置风险，进行渗透测试。四、综合分析题（本题20分）某科技公司（以下简称A公司）主要提供在线教育平台服务，核心系统包括用户管理数据库（MySQL）、课程视频存储（对象存储）、Web应用服务器（Nginx+Java）。2025年3月，A公司监测到以下异常：凌晨2:00，用户管理数据库出现大量非业务时间的查询操作，涉及“user_info”表的全表扫描；Web服务器日志显示，同一IP（00）在10分钟内发起2000次登录请求，部分请求包含“admin'”字段；对象存储桶（bucketedu）的访问量激增，下载流量较日常高出500%。请结合以上场景，回答以下问题：（1）分析可能的攻击类型及对应的攻击入口；（8分）（2）提出紧急处置措施及后续加固方案。（12分）答案：（1）可能的攻击类型及入口分析：①暴力破解攻击：Web服务器日志显示同一IP短时间内发起2000次登录请求，且包含“admin'”（典型SQL注入试探），可能是攻击者尝试暴力破解管理员账号或进行SQL注入攻击。攻击入口可能是Web应用的登录接口未做身份验证限制或输入过滤。②数据库未授权访问：用户管理数据库在非业务时间出现全表扫描，可能是攻击者通过Web应用漏洞（如SQL注入）获取了数据库权限，或数据库账号密码泄露（如弱口令），导致攻击者直接连接数据库执行查询。③对象存储数据泄露：存储桶访问量激增，可能是存储桶未设置访问控制（如公共读权限），或攻击者通过获取的临时访问凭证（如STS令牌）批量下载视频文件。（2）紧急处置措施及后续加固方案：紧急处置措施：①阻断异常IP：通过Web服务器（Nginx）或WAF封禁00的访问，限制其登录请求频率；②隔离数据库：暂时关闭数据库公网访问（若有），仅保留内网连接，监控数据库连接会话，终止异常查询进程；③检查存储桶配置：立即将对象存储桶的访问权限从“公共读”改为“私有”，回收已泄露的访问凭证（如删除异常的IAM用户或吊销临时令牌）；④备份数据：对数据库和存储桶数据进行全量备份（离线存储），防止数据被篡改或删除；⑤收集证据：导出Web服务器日志、数据库慢查询日志、存储桶访问日志，保存攻击样本（如异常请求参数）用于后续分析。后续加固方案：①Web应用层：登录接口增加验证码（如Goo