2025年《网络与信息安全管理员》模拟考试题含参考答案

2025年《网络与信息安全管理员》模拟考试题含参考答案一、单项选择题（每题2分，共20题，合计40分）1.以下哪项是零信任架构的核心原则？A.网络边界内所有设备默认可信B.持续验证访问请求的身份、设备及环境安全状态C.仅通过IP地址进行访问控制D.依赖传统防火墙构建安全边界答案：B解析：零信任架构的核心是“永不信任，始终验证”，要求对每个访问请求的身份、设备状态、网络环境等进行持续验证，而非依赖静态边界。2.针对APT（高级持续性威胁）攻击，以下哪种特征描述最准确？A.利用已知漏洞进行快速大规模攻击B.攻击目标明确，持续数月甚至数年渗透C.通过钓鱼邮件传播勒索软件D.主要针对个人用户的账号窃取答案：B解析：APT攻击具有目标针对性强、攻击周期长、技术手段复杂等特点，通常针对关键信息基础设施或高价值目标。3.某企业网站启用HTTPS后，仍被发现用户登录信息被截获，最可能的原因是？A.SSL/TLS协议版本过低（如SSL3.0）B.未启用HTTP严格传输安全（HSTS）C.服务器证书为自签名证书D.网站同时支持HTTP和HTTPS访问答案：A解析：SSL3.0及以下版本存在POODLE等漏洞，易被中间人攻击破解加密流量；自签名证书会引发浏览器警告，但不会直接导致信息截获；HSTS主要防止降级攻击，非直接原因。4.根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），三级信息系统的“安全通信网络”要求中，以下哪项是必须实现的？A.网络设备支持基于源地址、目的地址的访问控制B.部署入侵防御系统（IPS）并实现对攻击行为的阻断C.对网络链路的带宽使用情况进行检测和报警D.采用密码技术保证通信过程中重要数据的完整性答案：D解析：等保2.0三级要求中，“安全通信网络”需采用密码技术保证通信过程中重要数据的完整性和保密性；A为二级要求，B为可选措施，C为监测要求非强制。5.以下哪种数据脱敏方法适用于需要保留数据格式但隐藏真实信息的场景？A.数据替换（如将“1381234”替换真实手机号）B.数据打乱（如将姓名“张三”随机排列为“三张”）C.数据删除（直接清除敏感字段）D.数据加密（使用AES算法对字段加密）答案：A解析：数据替换（掩码）可保留数据格式（如手机号长度），同时隐藏部分敏感信息，适用于日志记录、界面展示等需要保持数据可用性的场景。6.根据《网络安全法》及相关法规，关键信息基础设施的运营者应将网络安全日志至少留存多长时间？A.3个月B.6个月C.1年D.2年答案：B解析：《网络安全法》第二十一条规定，网络运营者应留存网络日志不少于六个月；关键信息基础设施运营者需遵循更严格要求，通常为6个月。7.某企业采用“仅允许特定IP地址访问内部系统”的访问控制策略，这属于以下哪种模型？A.强制访问控制（MAC）B.自主访问控制（DAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：B解析：DAC由资源拥有者自主设置访问权限（如IP白名单），MAC由系统强制统一策略（如安全标签），RBAC基于角色分配权限，ABAC基于多属性动态决策。8.以下哪种技术可有效防御DNS劫持？A.部署DNS过滤网关B.启用DNSSEC（域名系统安全扩展）C.定期更新DNS服务器系统补丁D.限制DNS查询的UDP端口流量答案：B解析：DNSSEC通过数字签名验证DNS响应的真实性，防止伪造的DNS记录，是防御劫持的核心技术；A为辅助手段，C防范漏洞利用，D可能影响正常服务。9.以下加密算法中，属于非对称加密的是？A.AES-256B.SHA-256C.RSAD.国密SM4答案：C解析：RSA是典型的非对称加密算法（公钥加密、私钥解密）；AES、SM4为对称加密，SHA-256为哈希算法。10.网络安全应急响应流程的正确顺序是？A.准备→检测→遏制→根除→恢复→总结B.检测→准备→遏制→根除→恢复→总结C.准备→遏制→检测→根除→恢复→总结D.检测→遏制→准备→恢复→根除→总结答案：A解析：标准应急响应流程为：预先准备（预案、工具、团队）→检测与确认事件→遏制扩散→根除威胁源→恢复业务→总结改进。二、判断题（每题1分，共10题，合计10分）1.防火墙可以检测并阻断所有类型的恶意流量。（）答案：×解析：防火墙主要基于规则过滤流量，无法检测加密流量中的恶意内容（如HTTPS加密的勒索软件）或未知威胁（需IDS/IPS配合）。2.哈希算法（如MD5、SHA-256）的输出结果具有可逆性，可通过哈希值还原原始数据。（）答案：×解析：哈希算法是单向函数，无法通过输出值逆向推导原始数据（碰撞攻击可找到不同输入生成相同哈希，但非还原）。3.双因素认证（2FA）必须包含硬件令牌（如U盾）。（）答案：×解析：双因素认证需满足“你知道的（密码）、你拥有的（短信验证码、APP动态码）、你是（生物特征）”中的两类，硬件令牌非必需。4.等保2.0要求所有网络运营者都需开展等级保护测评。（）答案：×解析：等保2.0仅要求“网络运营者”中符合“重要信息系统”标准的单位（如关键信息基础设施）必须开展测评，非所有主体。5.默认拒绝（DenybyDefault）策略符合最小权限原则。（）答案：√解析：默认拒绝策略指未明确允许的访问均拒绝，仅授予必要权限，是最小权限原则的具体实现。6.DNSSEC可以完全防止DNS劫持攻击。（）答案：×解析：DNSSEC仅验证DNS响应的真实性，无法防范物理链路劫持（如运营商路由篡改）或客户端缓存投毒。7.漏洞扫描工具（如Nessus）可以替代渗透测试。（）答案：×解析：漏洞扫描基于已知漏洞库检测，渗透测试需模拟真实攻击场景验证防御体系，二者互补不可替代。8.发生数据泄露事件后，运营者应在48小时内向属地网信部门报告。（）答案：×解析：《数据安全法》规定，发生数据泄露等安全事件，应立即采取措施，并在24小时内向有关主管部门报告（情况紧急时即时报告）。9.SSL是TLS的前身，二者可视为同一协议的不同版本。（）答案：√解析：TLS（传输层安全协议）是SSL（安全套接层）的后续版本，SSL3.0后升级为TLS1.0，目前主流为TLS1.2/1.3。10.数据防泄漏（DLP）系统仅需监控出站流量即可防止敏感数据泄露。（）答案：×解析：DLP需同时监控入站（如通过邮件附件上传敏感数据）、出站及内部流转（如本地拷贝到移动存储）的敏感数据。三、简答题（每题6分，共5题，合计30分）1.简述零信任架构的核心原则。答案：零信任架构的核心原则包括：（1）持续验证：所有访问请求（无论内外网）需验证身份、设备状态、网络环境等多维度信息；（2）最小权限：仅授予完成任务所需的最小访问权限；（3）动态策略：根据实时风险调整访问控制策略；（4）全流量检测：对所有流量（包括加密流量）进行检测和审计；（5）信任链传递：从终端到应用的全链路信任验证。2.列举APT攻击的主要防御措施。答案：（1）强化资产识别与监控：明确关键资产边界，部署端点检测与响应（EDR）工具；（2）威胁情报共享：接入外部威胁情报平台，及时获取APT组织的攻击特征；（3）深度流量分析：通过网络流量分析（NTA）工具检测异常通信（如C2服务器连接）；（4）补丁管理与漏洞修复：定期更新系统和应用补丁，关闭不必要的服务端口；（5）人员安全意识培训：防范钓鱼邮件、社会工程学攻击；（6）建立应急响应机制：制定APT攻击专项预案，定期演练。3.等保2.0三级系统的“安全计算环境”中，对主机安全有哪些要求？答案：（1）身份鉴别：采用两种或以上组合鉴别方式（如密码+动态令牌），设置鉴别失败锁定机制；（2）访问控制：启用强制访问控制（如SELinux），按最小权限分配文件、进程访问权限；（3）安全审计：审计范围覆盖用户登录、文件操作、进程启动等事件，审计记录包含时间、用户、操作类型等要素；（4）入侵防范：部署主机入侵防御系统（HIPS），检测并阻断恶意代码执行；（5）恶意代码防范：安装杀毒软件并定期更新病毒库，启用自动扫描策略；（6）资源控制：限制单个用户进程的CPU、内存使用量，防止资源耗尽攻击。4.数据脱敏的常见方法有哪些？各适用于什么场景？答案：（1）掩码（替换）：用特定符号（如）替换敏感信息部分字符（如“1381234”），适用于日志展示、界面显示等需要保留数据格式的场景；（2）随机化：将敏感数据替换为同类型随机值（如将“张三”随机化为“李娜”），适用于测试环境数据脱敏；（3）泛化：将精确数据模糊化（如将“28岁”泛化为“20-30岁”），适用于统计分析场景；（4）加密：使用对称/非对称算法对数据加密（如AES加密身份证号），适用于需要保留数据可用性但限制非授权访问的场景；（5）删除：直接清除敏感字段（如删除用户手机号），适用于非必要数据存储场景。5.网络安全日志应包含哪些关键要素？其留存要求是什么？答案：关键要素：（1）时间戳（精确到秒）；（2）发起方信息（IP地址、MAC地址、用户账号）；（3）接收方信息（目标IP、端口、服务）；（4）操作类型（登录、文件上传/下载、权限变更）；（5）操作结果（成功/失败）；（6）附加信息（如错误码、请求内容哈希值）。留存要求：根据《网络安全法》及等保2.0要求，三级及以上系统日志留存时间不少于6个月；关键信息基础设施日志建议留存1年以上；涉及用户个人信息的日志需满足《个人信息保护法》“最小必要”原则，无特殊要求时留存6个月。四、综合分析题（每题10分，共2题，合计20分）1.某电商平台用户反馈“提交订单时提示数据库错误”，经技术排查确认遭遇SQL注入攻击，部分用户姓名、手机号被窃取。作为网络安全管理员，需制定应急响应方案。请列出具体步骤及关键操作。答案：应急响应步骤及关键操作：（1）检测与确认：通过WAF日志、数据库审计日志提取攻击IP、注入语句（如“'OR1=1--”），确认受影响数据库表（如用户信息表）及数据泄露范围（如2023年10月1日至今的注册用户）。（2）遏制扩散：①临时关闭订单提交接口，将前端页面切换至“系统维护”状态；②在防火墙封禁攻击源IP（若为固定IP）；③对数据库账户执行锁定（如限制查询权限），暂停高权限账号登录。（3）根除威胁：①修复SQL注入漏洞：使用预编译语句（PreparedStatement）替代拼接SQL，对用户输入进行严格校验（如正则匹配仅允许数字、字母）；②扫描数据库是否存在后门（如隐藏存储过程、非法账号），删除异常数据；③更新WAF规则，添加针对SQL注入的特征库（如检测“UNIONSELECT”“EXEC”等关键词）。（4）恢复业务：①对数据库进行备份验证（确认备份未被篡改），恢复未泄露的用户数据；②逐步开放订单接口，启用WAF实时防护和数据库审计；③通知用户修改密码（若密码未加密存储），发送短信提醒“近期勿点击陌生链接”。（5）总结改进：①编写事件报告，分析漏洞根源（如开发人员未使用安全编码规范）；②组织开发、测试团队进行SQL注入防护培训；③完善测试流程，增加安全测试环节（如使用OWASPZAP进行自动化漏洞扫描）；④升级数据库审计系统，实现对异常查询的实时告警。2.某企业办公网突发大规模勒索软件感染事件，多台员工电脑文件被加密，攻击者要求支付比特币解锁。请说明处置措施及预防建议。答案：处置措施：（1）隔离感染设备：立即断开感染电脑的网络连接（包括有线、无线），防止横向传播；对未感染设备启用网络分段（如将办公网划分为研发、财务、行政子网），限制跨网段访问。（2）阻断攻击源：通过流量分析定位勒索软件的C2服务器（如异常的443端口outbound流量），在防火墙/路由器封禁该IP；检查域控服务器是否存在恶意GPO（组策略对象），删除异常策略。（3）数据恢复：①检查是否存在未被加密的备份（如离线备份、云备份），优先使用最近一次完整备份恢复文件；②若未备份且文件非核心，建议不支付赎金（攻击者可能不提供解密密钥）；③联系专业安全厂商（如奇安信、深信服），尝试通过漏洞利用工具（如勒索软件解密工具库）破解加密文件。（4）清除威胁：①使用杀毒软件全盘扫描感染电脑，删除勒索软件进程（如“wannacry.exe”）及相关文件（如加密脚本）；②重置用户账号密码（防止攻击者利用弱口令再次入侵）；③修复系统漏洞（如Windows的SMB漏洞MS17-010），安装最新系统补丁。预防建议：（1）终端防护：部署EDR（端点检测与响应）工具，监控异常文件写入、进程启动行为；启用系统自动更新，关闭