2025年网络安全基础知识试卷及答案

2025年网络安全基础知识试卷及答案一、单项选择题（共20题，每题2分，共40分）1.网络安全的核心目标“CIA三元组”指的是（）。A.机密性、完整性、可用性B.可控性、完整性、抗抵赖性C.机密性、可审计性、可用性D.完整性、可追溯性、可控性2.以下哪种攻击方式通过向目标服务器发送大量伪造的ICMP请求包，导致目标资源耗尽？（）A.SQL注入攻击B.DDoS攻击中的Smurf攻击C.跨站脚本攻击（XSS）D.缓冲区溢出攻击3.以下加密算法中，属于非对称加密（公钥加密）的是（）。A.AES256B.RSAC.DESD.SHA2564.防火墙按照工作层次划分，不包括以下哪类？（）A.包过滤防火墙B.应用层网关防火墙C.状态检测防火墙D.硬件防火墙5.某企业员工收到一封邮件，内容为“您的账户存在异常登录，请点击链接验证身份”，这最可能是（）攻击。A.钓鱼攻击B.中间人攻击C.勒索软件攻击D.暴力破解攻击6.在TCP/IP模型中，负责将数据包从源主机路由到目标主机的层次是（）。A.网络接口层B.网际层（网络层）C.传输层D.应用层7.以下哪个协议用于安全传输网页数据，防止中间人窃听？（）A.HTTPB.FTPC.HTTPSD.SMTP8.漏洞扫描工具Nessus的主要功能是（）。A.拦截网络流量B.检测系统或网络中的安全漏洞C.加密传输数据D.防御DDoS攻击9.以下哪种身份认证方式属于“双因素认证（2FA）”？（）A.仅使用密码登录B.使用密码+手机短信验证码登录C.使用指纹识别登录D.使用智能卡登录10.数据脱敏技术中，将“身份证处理为“4401061234”的方法属于（）。A.掩码处理B.加密处理C.随机替换D.去标识化11.以下关于SSL/TLS协议的描述，错误的是（）。A.用于在客户端和服务器之间建立安全连接B.TLS是SSL的后续版本，安全性更高C.仅能加密应用层数据，无法保护传输层D.握手过程包括身份验证和密钥协商12.以下哪项不属于常见的Web应用安全漏洞？（）A.缓冲区溢出B.CSRF（跨站请求伪造）C.文件上传漏洞D.弱口令13.勒索软件攻击的典型特征是（）。A.窃取用户隐私数据并出售B.加密用户文件并索要赎金C.占用大量网络带宽导致服务中断D.篡改网页内容进行钓鱼14.在Linux系统中，用于查看当前开放端口的命令是（）。A.`ping`B.`ifconfig`C.`netstatan`D.`lsl`15.以下哪项是防范SQL注入攻击的最有效措施？（）A.安装防火墙B.对用户输入进行参数化查询（预编译语句）C.定期更新操作系统补丁D.启用入侵检测系统（IDS）16.物联网（IoT）设备的典型安全风险不包括（）。A.固件漏洞未及时更新B.默认密码未修改C.数据传输未加密D.支持5G网络连接17.以下关于哈希函数的描述，正确的是（）。A.哈希函数是可逆的，可从哈希值还原原始数据B.相同输入一定产生相同哈希值C.不同输入不可能产生相同哈希值（无碰撞）D.哈希函数主要用于数据加密而非验证完整性18.企业部署入侵防御系统（IPS）时，通常将其部署在（）。A.网络边界（如防火墙之后）B.员工终端设备C.数据中心存储层D.服务器内存中19.以下哪项属于《网络安全法》规定的关键信息基础设施运营者的义务？（）A.定期进行网络安全检测和风险评估B.无需向用户告知数据收集目的C.可以随意共享用户个人信息D.无需制定网络安全事件应急预案20.以下关于零信任架构（ZeroTrust）的核心原则，错误的是（）。A.默认不信任网络内外部的任何设备或用户B.仅允许经过验证和授权的访问C.信任基于网络位置（如内网IP）自动授予D.持续验证访问请求的安全性二、填空题（共10题，每题2分，共20分）1.网络安全中，“APT”的中文全称是__________。2.常见的无线局域网安全协议中，WPA3相比WPA2增强了对__________攻击的防护。3.用于检测网络中异常流量或攻击行为的系统称为__________（缩写）。4.数据加密方式分为对称加密和非对称加密，其中__________加密需要公开公钥、私钥成对使用。5.操作系统漏洞修复的常用方法是安装__________。6.在Web应用中，通过篡改用户输入参数（如修改URL中的ID值）访问未授权资源的攻击称为__________。7.物联网设备的安全防护需重点关注固件安全、__________安全和数据传输安全。8.网络钓鱼攻击的常见手段包括伪造__________、仿冒官方页面、诱导用户输入敏感信息等。9.哈希算法SHA256的输出结果长度为__________位。10.《数据安全法》规定，数据处理者应当按照__________原则，严格限制数据处理的范围。三、判断题（共10题，每题1分，共10分）1.防火墙可以完全防止所有网络攻击，因此企业无需部署其他安全措施。（）2.弱口令是指长度较短的密码，与复杂度无关。（）3.加密后的敏感数据在传输过程中一定是安全的，无需考虑其他防护措施。（）4.漏洞扫描工具可以自动修复系统中的安全漏洞。（）5.钓鱼邮件的发件人邮箱地址一定是伪造的，因此通过查看邮箱后缀即可完全识别。（）6.非对称加密的私钥需要严格保密，公钥可以公开。（）7.跨站脚本攻击（XSS）的主要危害是窃取用户会话信息（如Cookie）。（）8.物联网设备因资源受限，无法部署安全防护措施，只能依赖网络层防护。（）9.企业定期进行安全培训可以有效降低员工因误操作导致的安全风险。（）10.数据泄露事件发生后，企业只需删除泄露数据即可，无需向监管部门报告。（）四、简答题（共4题，每题5分，共20分）1.简述DDoS攻击的原理及常见防护措施。2.列举三种常见的身份认证方式，并说明其优缺点。3.解释“最小权限原则”在网络安全中的应用，并举例说明。4.简述SQL注入攻击的实施过程及防范方法。五、综合题（共1题，10分）某企业部署了一套内部办公系统，包含员工终端、Web服务器、数据库服务器和防火墙。近期发现员工终端频繁感染勒索软件，且部分用户账号被盗用。请结合网络安全知识，分析可能的原因，并设计一套针对性的防护方案（需包含技术措施和管理措施）。参考答案一、单项选择题15：ABBDA610：BCBBA1115：CABCB1620：DBAAC二、填空题1.高级持续性威胁2.暴力破解（或字典攻击）3.IDS（入侵检测系统）4.非对称5.补丁（或系统补丁）6.越权访问（或横向越权/纵向越权）7.身份认证（或访问控制）8.发件人信息（或邮件主题/链接）9.25610.最小必要三、判断题15：×××××610：√√×√×四、简答题1.DDoS攻击原理：通过控制大量僵尸主机（肉鸡）向目标服务器发送海量请求（如ICMP、TCPSYN包等），超出目标的处理能力，导致服务中断或网络拥塞。防护措施：流量清洗：通过专业DDoS防护设备（如ADSL）识别并过滤异常流量；扩容带宽：提升目标服务器的网络带宽容量；关闭不必要的端口：减少攻击面；部署流量监控系统：实时检测异常流量并触发防护策略；采用云防护服务（如CDN、云清洗）分担攻击流量。2.常见身份认证方式及优缺点：密码认证：优点是实现简单、成本低；缺点是易被暴力破解或钓鱼窃取。生物识别（指纹/人脸）：优点是唯一性高、用户体验好；缺点是生物特征一旦泄露无法重置，且受设备限制（如指纹磨损）。动态令牌（如TOTP）：优点是每次生成唯一验证码，防重放攻击；缺点是需要额外设备（如手机APP），可能因时间同步问题导致认证失败。3.最小权限原则应用：指用户或进程仅被授予完成任务所需的最小权限，避免因权限过高导致的安全风险。举例：企业财务系统中，普通会计仅能查看和录入自己负责的账目，无法修改其他会计的数据或删除历史记录；服务器管理员账户仅用于系统维护，日常办公使用普通用户账户。4.SQL注入攻击过程：攻击者通过在Web表单或URL参数中插入恶意SQL代码（如`'OR'1'='1`），欺骗后端数据库执行非预期的查询或修改操作（如删除数据、获取敏感信息）。防范方法：使用参数化查询（预编译语句），将用户输入与SQL语句分离；对用户输入进行严格校验（如类型、长度、特殊字符过滤）；限制数据库账户权限（如仅授予查询权限，禁止删除操作）；开启数据库审计日志，监控异常SQL操作；定期更新Web应用框架和数据库补丁。五、综合题可能原因分析：员工终端未安装杀毒软件或未及时更新病毒库，无法拦截新型勒索软件；员工安全意识薄弱，点击钓鱼邮件链接或下载恶意附件；终端系统存在未修复的漏洞（如Windows系统漏洞），被勒索软件利用传播；用户账号使用弱口令（如“123456”），被暴力破解；办公系统未启用多因素认证，账号被盗后可直接登录；防火墙策略配置不当，未限制终端与恶意IP的通信。防护方案设计：技术措施：1.终端防护：为所有终端安装企业级杀毒软件（如卡巴斯基、赛门铁克），开启实时监控和自动更新；部署终端安全管理系统（EDR），检测异常进程（如文件加密行为）并阻断。2.漏洞管理：定期使用漏洞扫描工具（如Nessus）扫描终端和服务器，及时安装系统补丁（如WindowsUpdate、Office补丁）。3.身份认证强化：办公系统启用双因素认证（密码+短信验证码/硬件令牌），禁止弱口令（强制密码长度≥8位，包含字母、数字、符号）。4.网络流量监控：在防火墙后部署入侵检测系统（IDS）和入侵防御系统（IPS），检测并阻断勒索软件通信（如向C2服务器回传数据）；防火墙策略中封禁已知恶意IP和域名。5.数据备份与恢复：对重要文件（如文档、数据库）进行定期离线备份（如外接硬盘、磁带），备份数据启用加密