网络信息安全工程师测试题(含参考答案)

网络信息安全工程师测试题(含参考答案)一、单项选择题（每题2分，共40分）1.以下哪种攻击方式通过向目标服务器发送大量伪造源IP的请求，导致目标资源耗尽？A.SQL注入攻击B.DDoS攻击C.XSS攻击D.ARP欺骗2.关于AES加密算法的描述，正确的是：A.属于非对称加密算法，密钥长度为128/192/256位B.属于对称加密算法，支持ECB、CBC、GCM等分组模式C.仅适用于数据完整性验证，不支持机密性保护D.密钥交换需依赖DiffieHellman协议3.某企业网络中，员工访问内部系统需通过“用户名+动态令牌+指纹识别”三重验证，这种机制属于：A.最小权限原则B.多因素认证（MFA）C.访问控制列表（ACL）D.零信任架构中的持续验证4.以下哪个协议用于在IP层提供数据加密和认证？A.TLSB.IPSecC.SSHD.HTTPS5.针对“永恒之蓝”漏洞（CVE20170144）的修复措施是：A.安装Windows系统补丁KB4012212B.禁用SMBv1协议C.关闭80端口D.部署Web应用防火墙（WAF）6.以下哪项是勒索软件的典型特征？A.窃取用户隐私数据并上传至远程服务器B.加密用户文件并索要比特币赎金C.占用大量内存导致系统崩溃D.伪装成正常程序窃取登录凭证7.在渗透测试中，“信息收集”阶段的主要目标是：A.利用系统漏洞获取权限B.分析目标网络拓扑及开放服务C.清除攻击痕迹避免被检测D.提升已获取账号的权限8.关于SSL/TLS协议的握手过程，正确的顺序是：A.客户端Hello→服务器Hello→证书交换→密钥交换→会话建立B.服务器Hello→客户端Hello→证书交换→密钥交换→会话建立C.客户端Hello→密钥交换→服务器Hello→证书交换→会话建立D.服务器Hello→密钥交换→客户端Hello→证书交换→会话建立9.以下哪种漏洞利用方式需要用户主动点击恶意链接？A.缓冲区溢出攻击B.钓鱼攻击C.端口扫描D.ARP欺骗10.某企业数据库日志中出现“SELECTFROMusersWHEREusername='admin'OR'1'='1'”，这可能是哪种攻击的征兆？A.跨站脚本攻击（XSS）B.结构化查询语言注入（SQLi）C.拒绝服务攻击（DoS）D.中间人攻击（MITM）11.以下哪个工具常用于网络流量分析？A.WiresharkB.MetasploitC.NmapD.JohntheRipper12.关于防火墙的描述，错误的是：A.状态检测防火墙可跟踪TCP连接状态B.应用层防火墙（代理防火墙）工作在OSI模型第七层C.硬件防火墙无法过滤基于内容的恶意流量D.下一代防火墙（NGFW）支持应用识别和深度包检测13.以下哪项属于物理安全控制措施？A.部署入侵检测系统（IDS）B.服务器机房安装门禁系统C.对数据库进行加密存储D.定期进行安全培训14.在Linux系统中，用于查看当前开放端口的命令是：A.`netstatan`B.`ifconfig`C.`psef`D.`lsl`15.以下哪种加密算法属于哈希算法？A.RSAB.AESC.SHA256D.DES16.某公司发现员工通过USB存储设备拷贝敏感数据，最有效的防护措施是：A.部署终端安全管理系统，禁用USB接口B.对敏感数据进行加密存储C.定期审计员工电脑文件D.加强员工安全意识培训17.关于DNS劫持的描述，正确的是：A.攻击者通过篡改DNS服务器解析记录，将用户引导至伪造网站B.仅发生在用户使用公共WiFi时C.可通过使用HTTP协议避免D.与ARP欺骗无关18.以下哪项是OWASPTOP10（2021）中新增的安全风险？A.注入攻击（Injection）B.软件和数据完整性失败（SoftwareandDataIntegrityFailures）C.跨站脚本（XSS）D.不安全的直接对象引用（IDOR）19.在IPv6网络中，以下哪个地址表示本地环回地址？A.::1B.fe80::1C.2001:db8::1D.ff02::120.针对物联网（IoT）设备的安全防护，最关键的措施是：A.定期更新设备固件B.开放所有端口以便远程管理C.使用默认用户名和密码D.不启用加密传输二、填空题（每题2分，共20分）1.常见的Web应用安全漏洞包括SQL注入、XSS、______（任填一种）。2.非对称加密算法中，RSA的安全性基于______数学难题。3.防火墙的三种基本工作模式是路由模式、透明模式和______。4.漏洞扫描工具Nessus的核心功能是______。5.网络安全等级保护（等保2.0）要求第三级信息系统应每年至少进行______次安全评测。6.电子邮件加密协议PGP使用______（对称/非对称）加密算法对邮件内容加密，使用______（对称/非对称）加密算法交换密钥。7.在Linux系统中，`/etc/shadow`文件存储的是用户的______信息。8.常见的DDoS攻击防护技术包括流量清洗、______和黑洞路由。9.区块链系统中，______算法用于保证交易数据的不可篡改。10.移动应用安全测试中，检测APK文件是否被篡改的技术是______。三、简答题（每题6分，共30分）1.简述零信任架构（ZeroTrustArchitecture）的核心原则，并举例说明其在企业网络中的应用场景。2.比较入侵检测系统（IDS）和入侵防御系统（IPS）的区别，分别说明其适用场景。3.请解释“中间人攻击（MITM）”的原理，并列举至少两种防御措施。4.某企业数据库发生数据泄露，疑似内部员工所为。作为安全工程师，你会如何开展调查？（要求列出关键步骤）5.请说明HTTPS协议的工作流程，并分析其相比HTTP的安全性提升点。四、综合分析题（每题10分，共20分）1.某电商平台用户反馈：访问支付页面时被重定向至钓鱼网站，且部分用户账户余额被盗。经初步排查，发现用户端网络流量存在异常跳转。（1）请分析可能的攻击路径（至少3种）；（2）提出针对性的防护措施（至少4条）。2.某企业部署了基于Linux的Web服务器（Apache+MySQL），近期频繁遭受暴力破解攻击（目标为SSH和MySQL账号）。（1）请列举服务器日志中可能出现的异常特征；（2）设计一套综合防护方案（要求包含技术措施和管理措施）。参考答案一、单项选择题15：BBBBB（注：第5题正确答案为B，“永恒之蓝”利用SMBv1漏洞，禁用该协议可修复；第2题AES是对称加密，支持多种分组模式）610：BBABB（第6题勒索软件典型特征是加密文件索赎金；第10题SQL注入特征为OR'1'='1'）1115：ACBAC（第13题物理安全措施为机房门禁；第15题SHA256是哈希算法）1620：AABAA（第18题OWASP2021新增“软件和数据完整性失败”；第20题IoT设备需定期更新固件）二、填空题1.CSRF（跨站请求伪造）/文件上传漏洞/路径遍历等2.大整数分解3.混杂模式（或旁路模式）4.检测系统漏洞及配置错误5.16.对称；非对称7.加密密码（或影子密码）8.速率限制（或流量牵引）9.哈希（或SHA256）10.数字签名验证（或哈希校验）三、简答题1.核心原则：永不信任、持续验证；最小权限访问；全流量检测。应用场景：员工访问内部系统时，需验证设备状态（是否安装杀毒软件）、位置（是否在企业VPN内）、用户行为（登录时间是否异常），通过多因素认证后仅授予所需资源的访问权限。2.IDS（入侵检测系统）：监控流量并报警，不主动阻断攻击；适用于需要记录攻击行为的场景（如合规审计）。IPS（入侵防御系统）：实时检测并阻断攻击（如丢弃恶意数据包）；适用于需要主动防护的关键网络节点（如服务器入口）。3.原理：攻击者插入到通信双方之间，截获并篡改数据（如伪造WiFi热点，拦截用户与网站的通信）。防御措施：使用HTTPS（TLS加密）、验证网站数字证书、部署ARP防火墙（防止ARP欺骗）。4.关键步骤：（1）保护现场：关闭涉事终端，保存日志（数据库操作日志、服务器访问日志）；（2）分析日志：追踪异常操作时间、账号、IP地址；（3）验证权限：检查涉事账号是否具备数据导出权限；（4）技术取证：提取终端存储介质，使用取证工具（如EnCase）分析是否存在文件拷贝痕迹；（5）形成确认泄露途径（如SQL查询导出、文件上传）及责任人。5.HTTPS流程：（1）客户端与服务器建立TCP连接；（2）客户端发起TLS握手，协商加密算法；（3）服务器发送数字证书（含公钥）；（4）客户端验证证书有效性，生成随机密钥（用服务器公钥加密后发送）；（5）双方使用随机密钥进行对称加密通信。安全性提升：数据加密（防窃听）、身份验证（防MITM）、完整性校验（防篡改）。四、综合分析题1.（1）可能攻击路径：DNS劫持：攻击者篡改用户本地DNS解析，将支付页面域名指向钓鱼网站；中间代理攻击：用户连接恶意WiFi，攻击者通过代理工具拦截并重定向流量；浏览器插件漏洞：用户安装恶意插件，篡改页面跳转逻辑；服务端代码漏洞：支付页面存在重定向漏洞（如未校验重定向目标），被攻击者利用。（2）防护措施：启用DNSSEC（域名系统安全扩展），防止DNS劫持；强制使用HTTPS（HSTS头），禁止HTTP跳转；对支付页面重定向功能添加白名单校验（仅允许跳转到官方域名）；部署Web应用防火墙（WAF），检测并拦截异常重定向请求；用户端提示：在支付页面添加二次确认弹窗（如“是否确认跳转至XX官方页面？”）。2.（1）异常日志特征：SSH日志（/var/log/auth.log）中出现同一IP短时间内多次失败登录（如1分钟内尝试10次）；MySQL日志（慢查询日志或错误日志）中记录大量“Accessdeniedforuser”错误，源IP重复；服务器CPU/内存使用率异常升高（暴力破解消耗资源）；防火墙（iptables）日志中记录大量SYN请求发往22（SSH）和3306（MySQL）端口。（2）综合防护方案：技术措施：部署.fail2ban工具，设置策略（如5分钟内3次失败登录则封禁IP1小时）；修改SSH默认端口（如从22改为2222）