2025年安全运维笔试题库及答案

2025年安全运维笔试题库及答案一、基础理论与概念1.选择题（每题2分，共20分）（1）以下哪项不属于零信任架构的核心原则？A.持续验证B.最小权限访问C.网络分段D.信任默认网络边界答案：D（零信任强调“从不信任，始终验证”，默认不信任任何网络边界）（2）勒索软件攻击中，攻击者通常优先加密的文件类型是？A.系统引导文件（如boot.ini）B.数据库文件（如.mdf、.ldf）C.用户文档（如.docx、.pdf）D.临时缓存文件（如.tmp）答案：B（数据库文件价值高且企业恢复难度大，是勒索软件的主要目标）（3）根据等保2.0要求，第三级信息系统的安全测评周期为？A.每年一次B.每两年一次C.每三年一次D.每半年一次答案：A（等保2.0规定三级系统需每年至少测评一次）（4）以下哪种日志类型最适合用于检测横向移动攻击？A.防火墙日志B.终端安全软件日志C.域控制器日志（如AD日志）D.Web服务器访问日志答案：C（横向移动常涉及域内凭证滥用，AD日志可记录用户登录、权限变更等关键操作）（5）最小权限原则（PoLP）在权限管理中的具体实践不包括？A.定期审查账户权限B.为普通用户分配管理员权限C.使用服务账户替代通用管理员账户D.基于角色的访问控制（RBAC）答案：B（最小权限要求仅分配必要权限，普通用户不应拥有管理员权限）（6）以下哪项是CVE（通用漏洞披露）的主要作用？A.评估漏洞修复优先级B.提供漏洞的唯一标识和描述C.自动修复已知漏洞D.检测网络中的漏洞存在性答案：B（CVE为每个公开漏洞分配唯一ID并描述技术细节，不涉及修复或检测）（7）APT（高级持续性威胁）的核心特征是？A.利用0day漏洞快速攻击B.长期潜伏并针对性渗透C.通过钓鱼邮件广泛传播D.以破坏系统为主要目标答案：B（APT强调长期、定向的渗透，目标多为获取敏感数据）（8）SSH协议默认使用的端口是？A.21B.22C.23D.80答案：B（SSH默认端口为22，21是FTP，23是Telnet，80是HTTP）（9）以下哪种加密算法属于对称加密？A.RSAB.AESC.ECCD.椭圆曲线加密答案：B（AES是典型对称加密算法，RSA、ECC为非对称加密）（10）在Linux系统中，查看当前所有进程的命令是？A.psefB.topC.netstatanoD.lsof答案：A（psef可列出所有进程，top是动态监控，netstat查看网络连接，lsof查看文件占用）二、工具操作与配置（每题8分，共40分）1.请描述使用Wireshark分析HTTP流量时，如何过滤出目标域名为“”的GET请求，并提取其中的Cookie信息。答案：（1）过滤表达式：在Wireshark的过滤栏输入`http.host==""&&http.request.method=="GET"`；（2）选中目标数据包，展开“HypertextTransferProtocol”层，查找“Cookie”字段，其值即为客户端发送的Cookie内容；（3）若需导出所有Cookie，可使用“文件导出分组解析结果”功能，选择CSV格式并筛选Cookie列。2.某企业需通过iptables配置防火墙规则，要求仅允许IP为00的主机访问本地8080端口（TCP），拒绝其他所有主机对该端口的访问，且不影响现有SSH（22端口）的访问。请写出具体的iptables命令（假设当前规则链为空）。答案：（1）允许SSH访问：`iptablesAINPUTptcpdport22jACCEPT`；（2）允许00访问8080端口：`iptablesAINPUTs00ptcpdport8080jACCEPT`；（3）拒绝其他主机访问8080端口：`iptablesAINPUTptcpdport8080jDROP`；（4）默认拒绝其他未明确允许的输入流量（可选增强）：`iptablesPINPUTDROP`。3.使用Nessus进行漏洞扫描时，发现某Web服务器存在“SQL注入漏洞（CVE20231234）”，请描述验证该漏洞的具体步骤（需包含手动验证方法）。答案：（1）查看Nessus报告中的漏洞详情，记录受影响的URL参数（如`/user?id=123`）；（2）手动构造测试payload，如在参数后添加`'OR1=1`，观察返回结果是否出现数据库错误或异常数据（如用户列表全部显示）；（3）使用布尔盲注验证：构造`id=1'AND1=1`（返回正常）和`id=1'AND1=2`（返回异常），若结果差异明显则漏洞存在；（4）使用sqlmap自动化验证：执行`sqlmapu"/user?id=123"risk=3level=5dbs`，检测是否能枚举数据库信息。4.某Windows服务器的安全日志显示，凌晨2:00有用户“admin”从IP尝试登录失败5次，随后成功登录1次。请使用EventViewer定位相关日志，并说明如何判断是否为暴力破解攻击。答案：（1）定位日志路径：打开EventViewer，导航至“Windows日志安全”；（2）筛选事件ID：失败登录对应事件ID4625，成功登录对应4624；（3）查看事件详情：在4625事件中，“失败的登录尝试”字段会显示“错误代码”（如0xC0000064表示用户名不存在，0xC000006A表示密码错误）；（4）判断暴力破解：若5次失败登录均为同一用户名（admin）、同一源IP（），且时间间隔短（如5分钟内），随后成功登录，可判定为暴力破解成功。5.某Kubernetes集群需加强安全配置，要求：（1）禁止Pod使用root用户运行；（2）限制容器内存使用不超过2GB。请写出对应的PodYAML配置片段。答案：```yamlapiVersion:v1kind:Podmetadata:name:securepodspec:securityContext:runAsUser:1000非root用户IDrunAsNonRoot:true强制非rootcontainers:name:appcontainerimage:nginx:alpineresources:limits:memory:"2Gi"内存限制2GBsecurityContext:allowPrivilegeEscalation:false禁止权限提升```三、应急响应与事件处理（每题10分，共20分）1.某企业邮件服务器检测到大量异常发信请求，经排查确认服务器感染了邮件僵尸程序（Bot）。请列出完整的应急响应流程（包含技术操作步骤）。答案：（1）隔离主机：通过防火墙封禁该服务器的对外IP或端口（如SMTP25/465端口），避免继续传播；（2）终止恶意进程：使用`tasklist`（Windows）或`psef|grep异常进程名`（Linux）定位Bot进程，执行`taskkill/PID进程ID/F`（Windows）或`kill9进程ID`（Linux）；（3）清除恶意文件：检查启动项（如Windows的“任务计划程序”、Linux的`/etc/rc.local`）、临时目录（如`/tmp`、`C:\Windows\Temp`），删除异常脚本（如`.bat`、`.sh`）或可执行文件；（4）修复系统漏洞：通过漏洞扫描工具（如SCCM、Qualys）确认Bot利用的漏洞（如SMTP服务未打补丁），安装官方补丁；（5）重置凭证：修改服务器管理员密码、邮件服务账号密码，检查是否存在被盗用的API密钥或SMTP认证信息；（6）日志分析：提取安全日志、邮件日志（如`/var/log/mail.log`），追溯Bot感染时间、传播路径（如是否通过钓鱼邮件附件安装）；（7）监控恢复：启用入侵检测系统（IDS）对服务器流量进行实时监控，观察48小时内是否有重复异常行为；（8）报告总结：记录事件原因（如未及时更新补丁）、损失（如发送垃圾邮件数量）、改进措施（如加强补丁管理流程）。2.某电商平台数据库（MySQL）日志显示，凌晨1:30有未知IP（）连接并执行了`DELETEFROMordersWHEREorder_date<'20230101'`命令，导致部分历史订单丢失。请说明如何判断该操作是否为越权操作，并提出数据恢复方案。答案：（1）判断越权操作：①检查数据库用户权限：通过`SHOWGRANTSFOR'用户'@''`查看该IP对应的用户是否拥有`DELETE`权限；②分析连接日志：查看MySQL的`general_log`（需提前启用），确认连接用户是否为正常管理员（如`dba_user`）或非法用户；③验证操作合理性：业务规则中是否允许删除2023年前的订单（如合同规定需保留5年），若不允许则为越权。（2）数据恢复方案：①基于备份恢复：若有最近的全量备份（如前一天23:00的备份），使用`mysqlurootp<full_backup.sql`恢复数据库；②利用二进制日志（binlog）补数据：通过`mysqlbinlogstartdatetime="2025052000:00:00"stopdatetime="2025052002:00:00"binlog.000001>rebinlog.sql`提取备份时间点至删除操作前的binlog，过滤掉`DELETE`语句后执行`mysqlurootp<rebinlog.sql`；③若未启用binlog或备份过时，使用数据恢复工具（如MyRecover、RStudio）扫描数据库文件（`.ibd`、`.frm`），尝试恢复被删除的记录。四、合规与安全管理（每题10分，共20分）1.某金融机构需符合《个人信息保护法》要求，现需制定用户个人信息（如姓名、身份证号、银行卡号）的安全管理策略。请列出策略中应包含的核心内容。答案：（1）数据分类分级：明确个人信息为“敏感数据”，定义其存储、传输、使用的安全级别（如最高级S级）；（2）访问控制：采用RBAC模型，仅允许必要岗位（如客服、风控）访问，且需审批流程（如部门负责人签字）；（3）加密要求：存储时使用AES256加密（密钥由HSM管理），传输时通过TLS1.3协议；（4）最小化原则：仅收集与业务直接相关的个人信息（如开户时仅收集姓名、身份证号，不额外收集家庭住址）；（5）日志审计：对个人信息的查询、修改、导出操作进行完整日志记录（包括用户、时间、IP、操作内容），保留至少5年；（6）数据泄露响应：明确泄露事件的报告时限（如发现后24小时内向监管部门报告）、内部处理流程（如隔离数据源、通知受影响用户）；（7）第三方管理：与合作方（如短信服务商）签订数据安全协议，要求其采取同等保护措施，禁止留存个人信息；（8）定期评估：每年开展个人信息保护影响评估（PIPA），验证策略有效性并更新。2.某企业计划上线云原生系统（基于AWSEKS），需满足等保2.0三级要求。请列出云环境下需重点关注的安全措施（至少5项）。答案：（1）云主机安全：为EC2实例启用AWSShield（DDoS防护），配置安全组仅允许必要端口（如SSH22、应用8080），定期扫描镜像漏洞（使用AmazonInspector）；（2）容器安全：对EKS集群启用Pod安全策略（PSP），限制容器特权模式，使用Trivy扫描容器镜像的CVE漏洞；（3）数据安全：使用AWSKMS管理加密密钥，对EBS卷、S3存储桶启用服务器端加密（SSE），设置桶策略禁止公共读/写；（4）身份与访问管理（IAM）：遵