2025年《网络与信息安全管理员》考试模拟练习题(附参考答案)

2025年《网络与信息安全管理员》考试模拟练习题(附参考答案)一、单项选择题（共15题，每题2分，共30分）1.以下哪种攻击方式属于应用层DDoS攻击？A.SYNFloodB.DNS反射攻击C.HTTP慢速连接攻击D.ICMPFlood2.某企业部署了Web应用防火墙（WAF），其核心功能是？A.检测网络层IP欺骗B.过滤HTTP/HTTPS流量中的恶意请求C.阻断MAC地址泛洪攻击D.实现不同VLAN间的路由转发3.关于AES-256加密算法，以下描述正确的是？A.属于非对称加密算法B.密钥长度为256字节C.可用于数字签名D.分组加密长度为128位4.某系统登录时要求同时输入密码和动态验证码（OTP），这属于哪种安全控制措施？A.最小权限原则B.多因素认证（MFA）C.访问控制列表（ACL）D.数据脱敏5.以下哪种日志类型对检测内网横向移动攻击最有价值？A.防火墙访问日志B.终端设备的进程创建日志C.交换机端口流量日志D.邮件服务器收发日志6.某单位需对用户隐私数据（如身份证号）进行脱敏处理，最合理的方法是？A.直接删除部分字段（如保留前6位）B.使用哈希算法（如SHA-256）单向转换C.替换为固定占位符（如“”）D.基于规则的随机偏移（如将“1234”改为“1X3Y”）7.以下哪个协议用于实现IPSecVPN的身份认证？A.ESP（封装安全载荷）B.AH（认证头部）C.IKE（互联网密钥交换）D.L2TP（第二层隧道协议）8.某企业发现员工终端感染勒索软件，首要的应急措施是？A.立即断网隔离终端B.尝试使用杀毒软件扫描清除C.备份未加密的文件D.联系勒索软件作者支付赎金9.以下哪种漏洞属于操作系统层面的高危漏洞？A.SQL注入漏洞B.缓冲区溢出漏洞C.XSS跨站脚本漏洞D.CSRF跨站请求伪造漏洞10.关于零信任架构（ZeroTrust），核心原则是？A.默认信任内网所有设备B.基于角色分配静态权限C.持续验证访问请求的合法性D.仅通过边界防火墙保障安全11.某公司部署了入侵检测系统（IDS），其“误报率”指的是？A.漏报的真实攻击事件数量与总攻击事件数量的比值B.正确检测到的攻击事件数量与总攻击事件数量的比值C.错误检测为攻击事件的正常流量数量与总检测事件数量的比值D.未被检测到的正常流量数量与总正常流量数量的比值12.以下哪种加密算法可用于数字签名？A.AESB.RSAC.DESD.3DES13.某企业需对数据库访问进行审计，重点应记录的信息不包括？A.访问时间B.访问用户IPC.执行的SQL语句内容D.数据库服务器硬件配置14.以下哪种攻击利用了操作系统或应用程序的“信任关系”？A.钓鱼攻击B.中间人攻击（MITM）C.特权escalation（权限提升）D.会话劫持（SessionHijacking）15.某单位网络中，核心交换机启用了端口安全功能（PortSecurity），其主要目的是？A.防止MAC地址泛洪攻击B.限制端口最大传输速率C.实现VLAN间的安全隔离D.监控端口流量异常二、填空题（共10题，每题2分，共20分）1.常见的哈希算法中，__________（填算法名称）是比特币系统中用于区块验证的核心算法。2.网络安全等级保护2.0中，第三级信息系统的安全保护要求包括技术要求和__________要求。3.终端安全管理中，__________（填技术名称）通过强制限制程序的执行权限，防止恶意软件运行。4.漏洞扫描工具中，__________（填工具名称）是一款开源的网络安全扫描器，支持自定义插件扩展。5.数据加密传输时，TLS1.3协议默认禁用了__________（填加密方式），以提升安全性和性能。6.访问控制模型中，__________（填模型名称）通过“主体-角色-权限”的三元组关系实现权限分配。7.网络攻击的杀伤链（CyberKillChain）中，“武器化”阶段的下一个阶段是__________。8.无线局域网（WLAN）中，__________（填协议名称）通过WPA3认证机制解决了WPA2的KRACK漏洞。9.操作系统日志中，__________（填日志类型）用于记录用户登录、注销等安全相关事件。10.云计算环境中，__________（填服务模式）要求用户自行管理操作系统和应用程序，云服务商提供基础设施。三、简答题（共5题，每题6分，共30分）1.简述SQL注入攻击的原理及防御措施。2.说明防火墙“状态检测”（StatefulInspection）与“包过滤”（PacketFiltering）的主要区别。3.列举至少4种常见的社会工程学攻击手段，并说明其防范方法。4.简述渗透测试（PenetrationTesting）的主要阶段及各阶段的核心任务。5.某企业数据库存储了用户姓名、手机号、地址等敏感信息，需设计数据脱敏方案。请说明脱敏的基本原则，并给出至少3种具体脱敏技术。四、综合分析题（共2题，每题10分，共20分）案例1：某企业内网近日频繁出现员工终端异常访问外部高风险IP的情况，部分终端CPU利用率持续高于90%，网络流量监测显示存在大量UDP小包外发。安全管理员通过终端日志发现部分进程名为“svchost.exe”的程序占用资源异常，但常规杀毒软件未检测到病毒。问题：（1）推测可能的攻击类型及依据；（2）提出应急响应步骤；（3）说明长期防护措施。案例2：某高校计划建设新校园网，需满足以下需求：-学生宿舍区、教学区、办公区网络逻辑隔离；-教学区服务器（如教务系统、图书馆系统）需防御Web攻击；-所有用户上网行为可审计（记录URL、访问时间、用户账号）；-出口带宽需限制P2P下载流量，保障正常教学应用。问题：设计该校园网的安全防护方案，需包含关键设备部署、安全技术措施及实现方式。参考答案一、单项选择题1.C2.B3.D4.B5.B6.A7.B8.A9.B10.C11.C12.B13.D14.D15.A二、填空题1.SHA-2562.管理3.应用白名单（或AppLocker）4.Nessus5.静态密钥加密（或预共享密钥）6.基于角色的访问控制（RBAC）7.投递（Delivery）8.WPA39.安全日志（或SecurityLog）10.IaaS（基础设施即服务）三、简答题1.SQL注入攻击原理：攻击者通过在Web应用输入框中插入恶意SQL代码，利用应用程序未对输入数据进行严格校验的漏洞，使后端数据库执行非预期的SQL命令，导致数据泄露、删除或数据库被篡改。防御措施：使用预编译语句（PreparedStatement）或ORM框架参数化查询；对用户输入进行严格的类型校验和转义；限制数据库账户权限（如仅授予查询权限）；定期进行漏洞扫描和代码审计。2.主要区别：-包过滤：仅根据IP地址、端口、协议类型等静态信息过滤数据包，不跟踪连接状态；-状态检测：跟踪TCP连接的状态（如SYN、ESTABLISHED），记录连接上下文（如源/目的IP、端口、序列号），仅允许与已建立连接相关的数据包通过，安全性更高。3.常见社会工程学攻击手段及防范：-钓鱼邮件：伪造可信来源发送含恶意链接的邮件；防范方法：员工安全培训，部署邮件过滤系统（如SPF、DKIM验证）。-电话诈骗：冒充IT部门索要账号密码；防范方法：制定“不轻易透露敏感信息”的安全策略，验证来电身份（如回拨官方号码）。-水坑攻击：针对特定群体访问的网站植入恶意代码；防范方法：定期检查内部常用网站安全性，部署Web应用防火墙（WAF）。-物理渗透：通过混入办公区窃取设备；防范方法：门禁系统+身份验证（如工卡+人脸识别），重要区域监控。4.渗透测试阶段及任务：-信息收集：通过公开渠道（如WHOIS、搜索引擎）或主动扫描（如端口扫描）获取目标系统信息；-漏洞探测：使用扫描工具（如Nessus）或手动测试（如SQL注入测试）发现系统漏洞；-漏洞利用：通过漏洞获取系统权限（如远程代码执行），尝试横向移动（如内网渗透）；-结果验证：确认漏洞的实际影响（如数据泄露范围），避免误判；-报告编写：详细记录漏洞位置、危害等级及修复建议。5.脱敏基本原则：保留数据格式（如手机号保留“1381234”）、不可逆（无法通过脱敏数据还原原始信息）、符合业务需求（如统计分析需保留部分特征）。具体技术：-掩码处理：对敏感字段部分隐藏（如身份证号“4401061234”）；-随机替换：将真实数据替换为同类型随机值（如将“张三”替换为“李XX”）；-加密脱敏：使用对称加密（如AES）对敏感字段加密，仅授权用户可解密；-数据混淆：对数值型数据添加随机偏移（如将“1000元”改为“985-1015元”区间值）。四、综合分析题案例1参考答案：（1）可能的攻击类型：僵尸网络（Botnet）控制或挖矿木马攻击。依据：终端异常外发UDP小包（Botnet通信常见方式）、进程名伪装（“svchost.exe”为系统正常进程，恶意程序常模仿）、CPU高负载（挖矿木马需大量计算资源）。（2）应急响应步骤：①立即隔离受影响终端（断开网络连接），防止攻击扩散；②收集证据：导出终端进程快照、网络连接日志、系统日志（如WindowsEventViewer的安全日志）；③清除恶意程序：使用专杀工具（如火绒剑、ProcessExplorer）终止异常进程，删除关联文件（注意备份）；④修复系统：更新操作系统和软件补丁（如修复漏洞CVE-202X-XXXX），重置受影响账户密码；⑤恢复业务：确认终端无残留恶意代码后，重新接入网络并监控状态。（3）长期防护措施：①部署终端检测与响应（EDR）系统，实时监控进程行为和异常网络连接；②启用应用白名单策略，仅允许信任程序运行；③定期进行安全培训，禁止员工访问非法网站或下载未知文件；④网络层部署入侵防御系统（IPS），检测并阻断异常UDP流量；⑤建立日志集中分析平台（如ELKStack），通过威胁情报关联分析异常行为。案例2参考答案：安全防护方案设计：1.网络隔离：-部署核心交换机，划分VLAN（学生宿舍区VLAN10、教学区VLAN20、办公区VLAN30），通过ACL（访问控制列表）限制跨VLAN访问（如仅允许教学区访问办公区特定端口）；-教学区服务器单独划分DMZ区（VLAN40），与其他区域通过防火墙隔离。2.Web攻击防御：-教学区服务器前端部署WAF（如F5BIG-IP、华为WAF），开启SQL注入、XSS、文件上传等攻击防护规则；-服务器启用HTTPS（TLS1.3）加密，禁用不安全的SSL版本；-定期对教务系统、图书馆系统进行漏洞扫描（如使用AWVS）和代码审计。3.上网行为审计：-在出口部署行为管理设备（如深信服AC、网康NS-ASG），配置用户认证（如802.1X、Portal认证），绑定用户账号与IP/MAC地址；-审计策略：记录所有HTTP/HTTPS访问的URL、时间、用户账号，存储日志至少6个月（符合等保要求）；-关键日志（如访问敏感网站）实