2025年网络安全工程师资格考试试题及答案

2025年网络安全工程师资格考试试题及答案一、单项选择题（共20题，每题1.5分，共30分。每题只有一个正确选项）1.以下哪种加密算法属于非对称加密？A.AES256B.ChaCha20C.RSAD.3DES答案：C2.某企业发现Web服务器日志中频繁出现"UNIONSELECT"关键字，最可能遭遇的攻击是？A.DDoS攻击B.SQL注入攻击C.XSS攻击D.CSRF攻击答案：B3.关于零信任架构（ZeroTrustArchitecture），以下描述错误的是？A.默认不信任任何内部/外部网络流量B.持续验证访问请求的身份、设备、环境安全状态C.核心原则是"永不信任，始终验证"D.仅对外部访问实施严格验证，内部流量无需检查答案：D4.以下哪个协议用于实现IP层的安全通信？A.TLS1.3B.IPsecC.SSHD.HTTPS答案：B5.某物联网设备使用弱口令（如"admin"），攻击者通过暴力破解获取权限后，最可能实施的后续攻击是？A.发起DNS劫持B.植入僵尸网络（Botnet）C.篡改数据库记录D.实施ARP欺骗答案：B6.依据《网络安全法》，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行几次检测评估？A.1次B.2次C.3次D.4次答案：A7.以下哪种哈希算法已被证明存在碰撞漏洞，不推荐用于数字签名？A.SHA256B.SHA1C.SHA3D.MD5答案：B8.渗透测试过程中，"信息收集"阶段的主要目标是？A.获得目标系统的最高权限B.识别目标网络的拓扑结构和开放服务C.清除攻击痕迹避免被检测D.验证漏洞利用的实际效果答案：B9.云环境下，租户隔离失效可能导致的最严重安全风险是？A.存储成本增加B.不同租户数据泄露C.云服务器宕机D.网络带宽拥塞答案：B10.某企业邮件系统频繁收到钓鱼邮件，以下最有效的防护措施是？A.启用SPF、DKIM、DMARC协议B.增加邮件服务器内存C.升级邮件系统至最新版本D.限制员工每日接收邮件数量答案：A11.关于APT（高级持续性威胁）攻击，以下特征描述错误的是？A.攻击周期短（通常数小时内完成）B.针对特定目标进行长期跟踪C.使用定制化恶意软件D.结合社会工程学手段答案：A12.以下哪个工具常用于网络流量分析？A.WiresharkB.MetasploitC.NmapD.JohntheRipper答案：A13.某工业控制系统（ICS）使用Modbus协议，攻击者通过伪造Modbus指令控制设备，这种攻击属于？A.应用层协议攻击B.物理层干扰C.数据链路层欺骗D.传输层洪泛答案：A14.依据《个人信息保护法》，处理敏感个人信息应当取得个人的单独同意，敏感个人信息不包括？A.生物识别信息B.健康信息C.家庭住址D.行踪轨迹答案：C15.以下哪种漏洞属于内存安全漏洞？A.XSS跨站脚本B.SQL注入C.缓冲区溢出D.CSRF跨站请求伪造答案：C16.为防止文件上传漏洞，最关键的防护措施是？A.限制上传文件大小B.检查文件扩展名并进行白名单校验C.对上传文件进行重命名D.记录上传操作日志答案：B17.某企业部署了入侵检测系统（IDS），当检测到异常流量时，正确的响应流程是？A.立即阻断该流量B.记录日志并触发告警，由安全人员人工确认后处理C.自动修复受影响系统D.重启被攻击的服务器答案：B18.量子计算对现有密码体系的最大威胁是？A.加速对称加密算法的运算速度B.破解基于椭圆曲线的非对称加密C.提高哈希算法的碰撞概率D.增强密钥管理的安全性答案：B19.以下哪种访问控制模型最适合动态变化的云环境？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：D20.某公司发现员工终端存在恶意软件，正确的应急响应步骤顺序是？①隔离受感染终端②分析恶意软件行为③清除恶意软件④修复系统漏洞⑤报告管理层A.①→②→③→④→⑤B.⑤→①→②→③→④C.②→①→③→④→⑤D.①→⑤→②→③→④答案：A二、填空题（共10题，每题2分，共20分）1.常见的Web应用防火墙（WAF）部署模式包括反向代理模式、______模式和透明桥接模式。答案：旁路监听2.依据《网络安全等级保护基本要求》，第三级信息系统的安全保护能力要求应达到______级防护水平。答案：增强3.漏洞扫描工具Nessus的核心功能是通过______匹配来识别系统漏洞。答案：插件（或漏洞特征库）4.加密算法AES的密钥长度可以是128位、______位或256位。答案：1925.物联网设备的典型安全威胁包括固件篡改、______和拒绝服务攻击。答案：身份伪造（或通信劫持）6.网络钓鱼攻击的常见类型包括邮件钓鱼、______和鱼叉式钓鱼。答案：网页钓鱼（或即时通讯钓鱼）7.云安全中的"左移"策略指的是将安全措施提前到______阶段。答案：开发（或系统设计）8.工业控制系统（ICS）的典型协议包括Modbus、______和Profibus。答案：DNP3（或S7通信协议）9.数据脱敏技术中的"替换"方法是指用______替代原始敏感数据。答案：虚构值（或无意义值）10.抗量子密码算法的典型代表包括基于格的密码、基于编码的密码和______密码。答案：基于哈希的三、简答题（共5题，每题6分，共30分）1.简述SSL/TLS协议的握手过程（以TLS1.3为例）。答案：TLS1.3握手过程主要包括：①客户端发送"ClientHello"，包含支持的加密套件、随机数等；②服务器响应"ServerHello"，选择加密套件并发送服务器随机数；③服务器发送证书链及签名；④客户端验证证书后，生成预主密钥（使用服务器公钥加密）并发送；⑤双方通过预主密钥和随机数生成会话密钥；⑥客户端发送"ChangeCipherSpec"，切换至加密通信；⑦双方发送"Finished"消息验证握手过程完整性；⑧后续通信使用会话密钥加密。2.列举5种常见的Web应用安全漏洞，并说明其基本原理。答案：①SQL注入：攻击者通过输入恶意SQL语句，破坏原有查询逻辑，获取或篡改数据库数据；②XSS跨站脚本：向网页中注入恶意脚本，当其他用户访问时执行，窃取Cookie等信息；③CSRF跨站请求伪造：利用用户已登录状态，伪造请求执行敏感操作；④文件包含漏洞：通过传入恶意文件路径，执行任意文件（如木马）；⑤命令注入：攻击者输入操作系统命令，通过应用程序执行，获取系统权限。3.说明零信任架构中"持续验证"的具体实现方式。答案：持续验证需在每次访问请求时动态评估以下因素：①身份验证：使用多因素认证（MFA）确认用户身份；②设备安全状态：检查终端是否安装最新补丁、防病毒软件是否启用；③网络环境：验证访问来源IP是否可信、是否通过VPN接入；④行为分析：基于用户历史行为（如登录时间、操作习惯）判断是否异常；⑤上下文信息：结合位置、时间、访问资源类型等动态调整访问策略。4.对比传统防火墙与下一代防火墙（NGFW）的主要区别。答案：①检测深度：传统防火墙基于IP、端口和协议进行过滤；NGFW支持应用层检测（如识别微信、QQ等具体应用）；②功能集成：NGFW集成入侵防御（IPS）、防病毒、URL过滤等多种安全功能；③威胁感知：NGFW具备更强大的威胁情报整合能力，可识别未知攻击；④策略控制：传统防火墙基于五元组（源IP、目的IP、源端口、目的端口、协议）；NGFW支持基于应用、用户、内容的细粒度控制；⑤可视化：NGFW提供更详细的流量分析和日志可视化界面。5.简述企业实施数据脱敏的必要性及常用技术手段。答案：必要性：保护个人信息（如姓名、身份证号）和商业秘密（如客户名单、财务数据），满足《个人信息保护法》《数据安全法》等法规要求，防止数据泄露导致的法律风险和声誉损失。常用技术：①替换：用虚构值替代（如将替换为"1385678"）；②脱敏：对部分字符进行遮蔽（如身份证号显示前6位和后4位）；③随机化：对数值型数据添加随机偏移（如将"月收入10000元"随机化为"980010200元"）；④加密：使用对称/非对称加密算法对敏感数据加密存储；⑤截断：删除部分数据（如只保留电话号码前3位）。四、综合分析题（共2题，每题10分，共20分）1.某企业电商平台近期频繁出现用户账户被盗事件，表现为用户登录后发现订单被修改、余额被转移。经初步排查，服务器日志显示异常登录IP来自多个国家，且部分用户反馈曾点击过可疑链接。请分析可能的攻击路径，并提出至少5项针对性防护措施。答案：可能的攻击路径：①钓鱼攻击：攻击者发送伪装成电商平台的钓鱼链接，诱导用户输入账号密码，直接窃取凭证；②键盘记录木马：用户终端感染恶意软件，记录键盘输入并上传至攻击者；③会话劫持：通过XSS漏洞窃取用户SessionID，利用有效会话进行操作；④弱口令攻击：部分用户使用简单密码（如"123456"），攻击者通过暴力破解获取登录权限；⑤API接口漏洞：未对API请求进行严格身份验证，攻击者伪造合法请求修改订单或转移余额。防护措施：①强制启用多因素认证（MFA），如短信验证码、动态令牌或生物识别；②部署Web应用防火墙（WAF），检测并拦截XSS、SQL注入等攻击；③对用户输入的链接进行安全检测（如使用GoogleSafeBrowsingAPI），阻止访问钓鱼网站；④实施账号安全策略：要求密码长度≥12位，包含字母、数字和特殊符号，定期强制修改；⑤监控异常登录行为：如异地登录、短时间内多次失败尝试，触发二次验证或临时锁定账号；⑥对API接口进行身份验证（如OAuth2.0）和频率限制，防止接口被恶意调用；⑦定期更新终端安全软件（如杀毒软件、终端检测响应系统EDR），查杀键盘记录木马。2.某制造企业部署了工业控制系统（ICS），包含PLC（可编程逻辑控制器）、SCADA（数据采集与监控系统）和MES（制造执行系统）。近期发现SCADA系统与PLC的通信延迟异常，部分设备参数被篡改。请分析可能的安全风险点，并设计一套完整的防护方案。答案：可能的安全风险点：①通信协议漏洞：Modbus/TCP等工业协议缺乏加密和认证机制，易被中间人攻击篡改数据；②设备固件漏洞：PLC固件未及时更新，存在已知漏洞被攻击者利用；③网络隔离缺失：ICS网络与企业办公网未做物理隔离，办公网的恶意软件可渗透至工业网络；④访问控制薄弱：SCADA系统账号使用默认密码，攻击者通过弱口令登录后修改参数；⑤无线通信风险：部分设备使用WiFi或4G通信，信号易被截获或干扰。防护方案设计：①网络隔离：采用工业防火墙将ICS网络划分为安全区（如PLC区、SCADA区），不同区域间基于白名单控制流量；②协议安全增强：对Modbus/TCP等协议实施加密（如TLS）或认证（如添加HMAC签名），防止数据篡改；③设备安全管理：建立PLC固件更新机制，定期扫描固件漏洞并安装补丁；禁用默认账号，强制使用复杂密码；④流量监控：部署工业协议分析工