2025年网络信息安全工程师招聘笔试题与参考答案(某大型国企)

2025年网络信息安全工程师招聘笔试题与参考答案(某大型国企)一、单项选择题（每题2分，共40分）1.以下哪个协议属于OSI模型传输层的安全协议？A.HTTPSB.TLSC.IPsecD.SSL2.某企业数据库存储用户身份证号，根据《个人信息保护法》，该信息属于：A.一般个人信息B.敏感个人信息C.匿名化信息D.去标识化信息3.以下哪种攻击方式利用了操作系统或应用程序的缓冲区溢出漏洞？A.SQL注入B.DDoSC.缓冲区溢出攻击D.跨站脚本攻击（XSS）4.在等保2.0三级系统中，要求网络设备的管理员账户应满足“最小权限原则”，以下哪项不符合要求？A.管理员账户仅授予配置防火墙策略的权限B.管理员账户同时拥有日志审计和设备配置权限C.管理员账户与普通运维账户分离D.管理员账户通过堡垒机进行集中管理5.某企业使用AES-256对重要数据加密，若密钥长度为256位，其加密轮数为：A.10轮B.12轮C.14轮D.16轮6.以下哪项是工业控制系统（ICS）中典型的安全风险？A.蓝牙设备未关闭可发现模式B.PLC程序被未授权修改C.办公网与生产网未划分VLAND.员工使用弱密码登录OA系统7.某公司检测到异常流量，经分析为源IP为00的主机向外部:4444持续发送TCPSYN包，可能的攻击类型是：A.ARP欺骗B.SYNFloodC.DNS缓存投毒D.端口扫描8.根据《网络安全法》，关键信息基础设施运营者应当自行或委托第三方每年至少进行几次网络安全检测评估？A.1次B.2次C.3次D.4次9.以下哪种哈希算法已被证明存在碰撞漏洞，不建议用于数字签名？A.SHA-256B.SHA-1C.MD5D.SM310.某企业部署WAF（Web应用防火墙），以下哪种策略最可能导致正常业务中断？A.对POST请求中的“SELECTFROM”字符串进行拦截B.对HTTP请求头中的User-Agent字段进行白名单校验C.对IP地址段/24开放全流量访问D.对上传文件类型限制为仅允许.jpg、.png11.在渗透测试中，“内网横向移动”的主要目的是：A.绕过边界防火墙B.获取目标网络拓扑信息C.从已控制主机扩展至其他主机D.窃取核心业务数据12.以下哪项属于零信任架构的核心原则？A.网络边界内的所有设备默认可信B.持续验证访问请求的身份、设备状态和环境C.仅通过物理隔离保障安全D.所有流量通过单一网关进行审计13.某企业邮件服务器日志显示大量来自0的SMTP连接尝试，目标端口为25，且连接成功率极低。可能的原因是：A.邮件服务器未开启SMTP服务B.防火墙对0的SMTP连接速率做了限制C.邮件服务器的MX记录配置错误D.0主机感染了勒索软件14.以下哪种密码学攻击方式针对的是加密算法的数学基础（如大数分解困难性）？A.侧信道攻击B.暴力破解C.量子计算攻击D.重放攻击15.某工业企业的SCADA系统与办公网通过单向网闸隔离，以下哪项操作符合安全要求？A.SCADA系统服务器通过网闸向办公网推送生产数据B.办公网终端通过网闸远程登录SCADA系统服务器C.SCADA系统与办公网使用相同的AD域进行身份认证D.网闸策略配置为双向允许HTTP/80端口通信16.某企业采用HIDS（主机入侵检测系统）监控服务器，以下哪种日志最可能触发报警？A.凌晨3点，root用户通过SSH登录并执行“ls/etc”命令B.普通用户尝试访问“/root/.ssh/authorized_keys”文件C.数据库进程在内存中加载了非系统目录下的动态链接库D.Web服务器每天定时执行“logrotate”日志轮转任务17.以下哪项是防范SQL注入攻击的最有效措施？A.在Web页面添加验证码B.使用存储过程或预编译语句C.对用户输入的特殊字符进行HTML转义D.限制数据库连接的IP地址18.某企业计划部署云安全资源池，需满足等保2.0三级要求，以下哪项不符合“安全通信网络”要求？A.云租户之间通过VPC隔离，启用网络ACLB.云管理平台与租户业务系统使用同一物理交换机C.南北向流量通过云防火墙进行访问控制D.关键业务流量采用IPsecVPN加密传输19.以下哪种漏洞扫描工具适用于检测工业控制系统（ICS）的专有协议漏洞？A.NessusB.OpenVASC.Tenable.scD.Wireshark20.某企业发生数据泄露事件，经调查发现员工通过个人邮箱发送包含客户信息的Excel文件。根据《数据安全法》，企业应优先采取的措施是：A.立即重置所有员工邮箱密码B.对涉事员工进行纪律处分C.评估泄露数据的影响范围并启动应急预案D.关闭企业邮箱的外部发送功能二、多项选择题（每题3分，共15分，少选、错选均不得分）1.以下哪些属于《网络安全等级保护基本要求》（GB/T22239-2019）中“安全区域边界”的控制措施？A.网络设备启用访问控制列表（ACL）B.重要服务器部署主机防火墙C.不同安全区域之间部署防火墙或网闸D.定期对网络设备进行漏洞扫描2.以下哪些攻击方式属于应用层DDoS攻击？A.HTTPFloodB.DNS反射攻击C.SYNFloodD.Slowloris攻击3.某企业使用LDAP进行统一身份认证，可能存在的安全风险包括：A.LDAP目录信息被未授权访问B.明文传输的LDAP绑定请求被窃听C.LDAP服务器未启用账户锁定策略D.LDAP客户端证书未及时更新4.以下哪些措施符合“最小权限原则”？A.数据库管理员仅拥有查询权限，无删除权限B.普通员工账户无法访问财务系统C.服务器维护人员同时管理开发环境和生产环境D.网络管理员账户通过双因素认证登录设备5.关于物联网（IoT）设备的安全防护，以下正确的做法是：A.关闭设备默认开启的Telnet服务，仅保留SSHB.定期更新设备固件以修复已知漏洞C.将IoT设备接入企业办公网同一VLAND.对IoT设备的通信流量进行加密三、填空题（每题2分，共10分）1.依据《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020），关键信息基础设施的网络安全等级原则上不低于____级。2.常见的抗DDoS技术中，“流量清洗”的核心是通过____识别并过滤攻击流量。3.恶意软件分析中，“沙箱”技术的主要目的是____。4.区块链系统中，防止双花攻击的核心机制是____。5.工业控制网络中，ModbusTCP协议的默认端口是____。四、技术实操题（共25分）题目1（10分）：某企业Web服务器（IP：00）的Nessus扫描报告显示以下漏洞，请根据风险等级排序并给出修复建议（需说明具体操作）：-漏洞A：ApacheHTTPServer2.4.57路径遍历漏洞（CVE-2024-1234），CVSSv3.1评分9.8-漏洞B：MySQL8.0.35认证绕过漏洞（CVE-2024-5678），CVSSv3.1评分7.5-漏洞C：Tomcat10.1.12会话固定漏洞（CVE-2024-9101），CVSSv3.1评分4.3题目2（15分）：某企业核心交换机（IP：）的流量监控显示，办公网（/24）与生产网（/24）之间存在大量异常UDP流量（端口5353），疑似为mDNS（多播DNS）滥用导致的广播风暴。请设计解决方案，要求包含以下步骤：（1）确认流量来源与类型；（2）临时阻断异常流量；（3）长期防护措施。五、案例分析题（共30分）案例背景：某国企（以下简称“A公司”）为制造业龙头企业，核心业务系统包括ERP、MES（制造执行系统）、SCADA（监控与数据采集系统）。2025年3月，A公司检测到以下安全事件：-事件1：3月10日，MES系统日志显示多个生产终端（IP：-100）在凌晨2点至4点期间频繁访问境外IP（0-20）的5432端口（PostgreSQL默认端口），且访问行为不符合正常生产时段。-事件2：3月12日，SCADA系统管理员发现某PLC（可编程逻辑控制器）的控制参数被修改，导致一条生产线停机2小时，修改记录显示操作用户为“admin”，但管理员确认未执行过此操作。-事件3：3月15日，ERP系统数据库（SQLServer）的用户信息表（包含姓名、身份证号、银行账号）出现500条记录缺失，数据库日志显示删除操作为“db_user”账户，该账户为开发测试账户，本应仅具备查询权限。问题：1.分析事件1可能的攻击类型及验证方法（8分）；2.分析事件2中PLC参数被修改的可能原因及防范措施（10分）；3.分析事件3中数据库记录缺失的直接原因及企业在权限管理上的漏洞（12分）。六、综合应用题（共30分）某大型国企计划构建覆盖总部（北京）、分公司（上海、广州）、生产基地（武汉）的三级网络安全体系，要求满足等保2.0三级、关基保护及工业互联网安全要求。请设计网络安全架构方案，需包含以下内容：（1）网络区域划分及边界防护措施；（2）身份认证与访问控制（IAC）体系设计；（3）监测与响应（SIEM+SOC）能力建设；（4）工业控制系统（ICS）的专项防护措施。参考答案一、单项选择题1-5：BBCBC6-10：BBACA11-15：CBBCA16-20：CBBAC二、多项选择题1.AC2.AD3.ABCD4.ABD5.ABD三、填空题1.三2.特征匹配（或“攻击特征库”）3.在隔离环境中分析恶意软件行为（或“避免恶意软件影响真实系统”）4.共识机制（或“工作量证明/权益证明”）5.502四、技术实操题题目1参考答案：风险等级排序：漏洞A（高危）>漏洞B（中危）>漏洞C（低危）。修复建议：-漏洞A：立即升级Apache至官方修复版本（如2.4.58及以上），升级前通过修改httpd.conf配置文件禁用“AllowEncodedSlashes”或“UnescapePathInfo”等易受攻击的指令，限制目录访问权限（如仅允许读取必要目录）。-漏洞B：升级MySQL至8.0.36及以上版本，临时通过修改f配置文件禁用“skip-grant-tables”参数，启用“validate_password”插件加强密码复杂度，限制远程访问的IP白名单。-漏洞C：在Tomcat的web.xml中配置“session-fixation-protection”为“newSession”，强制生成新会话ID；启用HTTPS并设置“Secure”和“HttpOnly”属性保护会话Cookie；定期轮换会话ID。题目2参考答案：（1）确认流量来源与类型：-使用Wireshark在核心交换机镜像端口抓包，过滤UDP端口5353，分析数据包的源IP、目标MAC（多播地址01:00:5E:00:00:00/24）及负载内容，确认是否为mDNS查询（如“_services._dns-sd._udp.local”）或恶意流量（如异常服务发现请求）。-登录核心交换机，通过“displaytrafficstatisticsinterfaceGigabitEthernet0/0/1”命令查看端口流量占比，定位高流量接入层交换机；结合终端管理系统（如EDR）检查/24内是否有终端感染mDNS反射攻击木马。（2）临时阻断异常流量：-在核心交换机配置访问控制列表（ACL），拒绝源或目标为多播地址01:00:5E:00:00:00/24且UDP端口5353的流量（如“acl3000rule5denyudpdestination-mac0100-5e00-00000000-00ff-ffffdestination-port5353”），并应用于办公网与生产网互联的接口。-对疑似感染木马的终端，通过网络准入控制系统（NAC）断开其网络连接，或在接入层交换机端口配置“shutdown”临时隔离。（3）长期防护措施：-禁用非必要的mDNS服务：在办公网终端组策略中关闭“AppleBonjour”服务（Windows通过服务管理器禁用“BonjourService”，Linux通过systemctldisableavahi-daemon）；生产网IoT设备仅允许必要设备启用mDNS，并限制其通信范围（如VLAN隔离）。-部署流量清洗设备：在核心网络出口部署DDoS防护设备，针对UDP端口5353设置速率限制（如每秒不超过1000个数据包），识别并丢弃异常多播流量。-加强终端安全管理：定期更新终端防病毒软件，启用EDR（端点检测与响应）功能监控异常网络行为；对新接入终端进行mDNS服务合规性检查（通过NAC强制安装安全插件）。五、案例分析题问题1参考答案：可能的攻击类型：生产终端可能被植入僵尸网络（Botnet），成为DDoS攻击节点，或被用于窃取生产数据（通过境外PostgreSQL服务器接收数据）。验证方法：-流量深度分析：提取-100与0-20的通信流量，使用Wireshark分析负载内容（如是否包含SQL查询语句、二进制文件传输），确认是否为数据外传或攻击指令。-终端日志审计：检查生产终端的进程列表（如通过“tasklist”或“ps-ef”），查找异常进程（如非系统自带的PostgreSQL客户端程序）；查看启动项（Windows的“启动”目录、Linux的/etc/rc.local）是否有可疑脚本。-反向查询境外IP：通过WHOIS查询0-20的注册信息，关联是否与已知攻击组织相关；使用威胁情报平台（如MISP）查询该IP是否被标记为恶意C2服务器。问题2参考答案：可能原因：-PLC未启用访问控制：PLC的Web管理界面或Modbus/TCP接口未配置认证，攻击者通过弱密码或默认密码（如“admin/admin”）登录后修改参数；-会话劫持：管理员登录PLC时使用HTTP明文传输，攻击者通过ARP欺骗截获会话Cookie，冒充管理员执行操作；-恶意软件感染：生产终端与PLC直连，终端感染恶意软件后通过OPCUA协议远程修改PLC参数。防范措施：-强认证与授权：PLC启用HTTPS登录，要求双因素认证（如密码+动态令牌）；配置基于角色的访问控制（RBAC），仅允许“高级管理员”角色修改控制参数。-通信加密：PLC与上位机之间的Modbus/TCP、OPCUA流量通过TLS1.2/1.3加密，禁止明文传输；-网络隔离：将PLC所在网络（如/24）与生产终端网络（/24）通过工业防火墙隔离，仅允许白名单IP（如SCADA服务器）访问PLC的502端口；-日志与监控：PLC启用审计日志记录（如操作时间、用户、参数修改前后值），并将日志实时同步至安全管理中心（SOC），触发异常操作告警（如非工作时间修改参数）。问题3参考答案：直接原因：开发测试账户“db_user”的权限未按最小权限原则配置，被攻击者利用（如通过SQL注入获取该账户凭证，或因账户密码泄露）后执行删除操作。权限管理漏洞：-角色权限混淆：开发测试账户本应仅具备查询权限，但实际拥有删除权限，违反“最小权限原则”；-账户生命周期管理缺失：“db_user”账户未设置过期时间，长期使用弱密码（如“123456”）且未定期轮换；-权限审计缺失：未定期核查数据库账户权限（如通过“sp_helprolemember”命令检查SQLServer角色成员），导致越权问题长期存在；-操作日志不完整：数据库删除操作的日志未记录完整上下文（如源IP、客户端应用），无法快速定位攻击路径。六、综合应用题方案设计要点：（1）网络区域划分及边界防护：-区域划分：-总部核心区（北京）：包含数据中心（ERP、主数据库）、SOC（安全运营中心）、管理终端（办公网）；-分公司办公区（上海、广州）：包含本地办公终端、视频会议系统、分支数据中心（容灾备份）；-生产基地区（武汉）：包含工业控制网（SCADA、PLC、MES）、生产终端（如CNC机床）、质检系统；-互联网接入区：部署DMZ（Web服务器、邮件服务器），与内部网络通过双机热备防火墙隔离。-边界防护措施：-跨区域互联：总部与分公司通过IPsecVPN加密互联，生产基地与总部通过工业专用MPLSVPN（隔离于公共互联网）；-工业控制网边界：生产基地部署工业防火墙（如研华UNO系列），仅允许白名单协议（Modbus/TCP、OPCUA）和端口（502、4840）通过，禁止ICMP、SSH等非必要协议；-办公网与生产网隔离：通过物理隔离网闸（单向传输）实现生产数据仅可从工业控制网流向办公网，禁止反向访问；-DMZ边界：部署WAF（Web应用防火墙）和抗DDoS设备，对HTTP/HTTPS流量进行SQL注入、XSS等攻击检测，限制单IP连接速率（如每秒50次）。（2）身份认证与访问控制（IAC）体系：-统一身份管理（UIM）：部署集中式LDAP/AD域控，整合总部、分公司、生产基地的账户，实现“一套账号、多系统登录”；-多因素认证（MFA）：关键系统（如数据库、SCADA管理端）强制启用MFA（密码+短信验证码/硬件令牌）；-最小权限分配：-办公网用户：根据岗位分配权限（如财务人员仅访问ERP财务模块，研发人员仅访问MES研发子系统）；-工业控制网用户：PLC管理员仅具备“读取参数”权限，修改参数需经“高级管理员”审批并通过双因素认证；-第三方运维：通过堡垒机（如JumpServer）进行临时账号分配，限定访问时间（如4小时）和操作范围（仅允许查看日志），操作过程全程录像审计。（3）监测与响应（SIEM+SOC）能力建设