2025年《中级网络与信息安全管理员》考试练习题及参考答案

2025年《中级网络与信息安全管理员》考试练习题及参考答案一、单项选择题（每题2分，共20分）1.在TCP/IP协议栈中，负责将IP数据报封装成物理网络帧的层次是（）A.应用层B.传输层C.网际层D.网络接口层答案：D解析：网络接口层（链路层）负责处理物理网络的帧封装与传输，网际层（网络层）处理IP寻址和路由，传输层负责端到端连接（如TCP/UDP），应用层提供具体应用服务（如HTTP、SMTP）。2.以下哪种防火墙技术能够跟踪TCP连接的状态，仅允许与已建立连接相关的流量通过？（）A.包过滤防火墙B.状态检测防火墙C.应用层网关D.电路层网关答案：B解析：状态检测防火墙（第三代防火墙）通过维护状态表跟踪TCP连接的三次握手、数据传输和断开过程，仅允许合法连接的后续流量通过；包过滤仅检查IP和端口；应用层网关需解析应用层协议（如HTTP）；电路层网关在会话层代理连接。3.下列加密算法中，属于对称加密且密钥长度为256位的是（）A.RSA-2048B.AES-256C.DESD.ECC答案：B解析：AES（高级加密标准）是对称加密算法，支持128/192/256位密钥；RSA和ECC是非对称加密；DES是对称加密但密钥仅56位（有效）。4.Web应用中，攻击者通过构造特殊SQL语句绕过身份验证的攻击方式是（）A.XSSB.CSRFC.SQL注入D.DDoS答案：C解析：SQL注入利用应用程序未对用户输入进行有效过滤，将恶意SQL代码注入数据库执行；XSS（跨站脚本）通过注入客户端脚本窃取用户信息；CSRF（跨站请求伪造）诱导用户执行非自愿操作；DDoS是分布式拒绝服务攻击。5.以下哪项不属于网络安全等级保护2.0的核心要求？（）A.安全通信网络B.安全区域边界C.安全计算环境D.安全服务质量答案：D解析：等保2.0的技术要求包括安全通信网络、安全区域边界、安全计算环境、安全管理中心；安全服务质量属于服务保障范畴，非核心要求。6.用于检测已知攻击模式的入侵检测系统（IDS）采用的是（）A.异常检测B.误用检测C.行为检测D.协议分析答案：B解析：误用检测（特征检测）基于已知攻击的特征库匹配，类似杀毒软件；异常检测通过建立正常行为基线，识别偏离行为；行为检测和协议分析是具体技术手段。7.以下哪种访问控制模型中，主体的访问权限由系统管理员统一管理，用户无法自主修改客体权限？（）A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：B解析：MAC中，客体（如文件）和主体（如用户）被赋予安全标签（如密级），访问由系统根据标签匹配规则强制控制，用户无权限修改；DAC允许用户自主设置客体权限；RBAC基于角色分配权限；ABAC基于属性（如时间、位置）动态授权。8.数据脱敏技术中，将“身份证号44010619900101XXXX”处理为“440106XXXX”的方法属于（）A.替换B.掩码C.变形D.加密答案：B解析：掩码（遮盖）通过隐藏部分敏感信息（如身份证号中间8位）保护隐私；替换是用特定值替代（如将“张三”替换为“用户1”）；变形是改变数据格式（如将改为“1385678”）；加密需密钥解密恢复原数据。9.以下哪种漏洞扫描工具主要用于检测Web应用层漏洞？（）A.NmapB.NessusC.AWVSD.Wireshark答案：C解析：AWVS（AcunetixWebVulnerabilityScanner）专注于Web应用漏洞检测（如SQL注入、XSS）；Nmap是网络扫描工具（端口、服务发现）；Nessus是综合漏洞扫描器（覆盖系统、网络设备）；Wireshark是抓包分析工具。10.在IPv6网络中，以下哪个地址类型表示本地链路单播地址？（）A.2001:db8::1B.fe80::1C.ff02::1D.fc00::1答案：B解析：fe80::/10是本地链路单播地址（仅在本地链路内通信）；2001:db8::/3是全局单播地址；ff02::/16是多播地址；fc00::/7是本地站点单播地址（原称私有地址）。二、判断题（每题2分，共10分）1.零信任模型的核心是“永不信任，始终验证”，默认不信任任何内部或外部的设备、用户，必须通过持续验证才能访问资源。（）答案：√解析：零信任模型打破传统“内网安全”假设，要求所有访问请求（无论来自内网/外网）必须经过身份验证、设备健康检查、上下文感知等验证后，按最小权限原则授权。2.缓冲区溢出攻击的本质是向程序分配的内存区域写入超出其容量的数据，覆盖相邻内存空间，导致程序执行恶意代码。（）答案：√解析：缓冲区溢出利用程序未正确检查输入数据长度的漏洞，覆盖栈/堆中的返回地址或函数指针，使CPU执行攻击者控制的代码，常见于C/C++等未安全内存管理的语言。3.数字签名的作用是保证数据的机密性，即只有接收方可以解密数据。（）答案：×解析：数字签名用于验证数据的完整性（未被篡改）和发送方身份（不可抵赖），通过私钥签名、公钥验证实现；数据机密性需通过加密（如AES）保证。4.网络安全事件分级中，特别重大事件（I级）是指造成1000万元以上直接经济损失或影响10万人以上用户的事件。（）答案：×解析：根据《网络安全事件分类分级指南》，特别重大事件（I级）需满足“对国家安全、社会秩序、经济建设和公共利益造成特别严重损害”，具体量化标准（如经济损失、用户影响）需结合行业特性，题干描述不严谨。5.无线局域网（WLAN）中，WPA3协议相比WPA2增强了身份验证安全性，支持SAE（安全平等认证）防止离线字典攻击。（）答案：√解析：WPA3用SAE（基于椭圆曲线的密钥交换）替代WPA2的PSK（预共享密钥），攻击者无法通过捕获握手包进行离线字典攻击，提升了弱密码场景下的安全性。三、简答题（每题8分，共40分）1.简述SSL/TLS握手过程的主要步骤。答案：（1）客户端hello：发送支持的TLS版本、加密套件列表、随机数（ClientRandom）。（2）服务器hello：选择TLS版本和加密套件，发送服务器证书（含公钥）、随机数（ServerRandom）。（3）客户端验证证书：检查证书颁发机构（CA）、有效期、域名匹配等，若验证失败终止连接。（4）客户端生成预主密钥（Pre-MasterSecret）：用服务器公钥加密后发送给服务器。（5）生成会话密钥：双方用ClientRandom、ServerRandom和Pre-MasterSecret通过伪随机函数（PRF）生成对称会话密钥（MasterSecret→SessionKeys）。（6）客户端finished：发送用会话密钥加密的握手消息哈希值，验证密钥正确性。（7）服务器finished：发送用会话密钥加密的握手消息哈希值，完成握手。2.说明Web应用防火墙（WAF）的工作原理及主要防护类型。答案：工作原理：WAF部署在Web服务器前端，通过解析HTTP/HTTPS流量，基于预定义规则或机器学习模型检测并阻断针对Web应用的攻击。主要防护类型：（1）注入攻击（SQL注入、命令注入）：检测输入中包含的恶意脚本或SQL关键字（如“OR1=1”）。（2）跨站脚本（XSS）：过滤HTML标签、JavaScript代码（如“<script>alert(1)</script>”）。（3）文件包含漏洞：阻止非法文件路径（如“../etc/passwd”）。（4）CSRF：验证请求来源（Referer头）或检查CSRF令牌（Token）。（5）暴力破解：限制同一IP短时间内的登录请求次数。3.比较漏洞扫描与渗透测试的区别（至少列出4点）。答案：（1）目标不同：漏洞扫描是自动化检测已知漏洞（如CVE编号漏洞）；渗透测试是模拟攻击者利用漏洞（包括未知漏洞），验证系统实际防护能力。（2）方法不同：漏洞扫描依赖漏洞库和规则匹配；渗透测试需人工分析、社会工程学、编写POC（概念验证）代码。（3）结果深度不同：漏洞扫描输出漏洞列表（风险等级、修复建议）；渗透测试输出攻击路径、系统薄弱点及业务影响分析。（4）授权范围不同：漏洞扫描通常是全面扫描；渗透测试需明确授权范围（如是否允许破坏数据、是否扫描生产环境）。（5）时效性不同：漏洞扫描可定期执行；渗透测试一般周期较长（数天至数周），适合关键系统的深度评估。4.简述访问控制的“最小权限原则”及其在企业中的实施方法。答案：最小权限原则：用户或进程仅被授予完成任务所需的最低权限，避免因权限过高导致的安全风险（如越权访问、数据泄露）。实施方法：（1）角色划分：根据业务需求定义角色（如普通员工、财务人员、系统管理员），每个角色关联最小必要权限（如财务人员可访问报销系统但不可修改用户权限）。（2）权限审计：定期检查用户权限，删除冗余权限（如离职员工权限未回收、转岗员工未调整权限）。（3）特权账户管理：限制管理员账户的使用（如仅在维护时登录），启用多因素认证（MFA）增强安全性。（4）最小化服务运行权限：应用程序以普通用户身份运行（非root），数据库连接使用专用低权限账号（仅允许查询，禁止删除）。5.列举数据备份的三种常见策略，并说明其优缺点。答案：（1）完全备份（FullBackup）：备份所有选中的数据。优点：恢复最快（只需最后一次全备）；操作简单。缺点：耗时耗空间（每次备份数据量相同）；存储成本高。（2）增量备份（IncrementalBackup）：仅备份上次备份（全备或增量）后修改的数据。优点：备份速度快（数据量小）；节省存储空间。缺点：恢复复杂（需全备+所有增量备份）；恢复时间长（需按顺序还原）。（3）差异备份（DifferentialBackup）：备份上次全备后所有修改的数据。优点：恢复只需全备+最后一次差异备份；备份速度优于全备，弱于增量。缺点：随着时间推移，差异备份数据量增大（接近全备），存储效率下降。四、综合题（每题15分，共30分）1.某企业计划构建内网安全防护体系，需覆盖边界防护、终端安全、访问控制、日志审计四个层面。请设计具体实施方案（要求每个层面至少包含2项技术或措施）。答案：（1）边界防护层面：①部署下一代防火墙（NGFW）：启用应用层过滤（识别QQ、微信等应用）、入侵防御（IPS）模块（阻断SQL注入、DDoS攻击），配置基于源IP、目的端口的访问控制列表（ACL）。②部署UTM（统一威胁管理）设备：集成防病毒、反垃圾邮件、Web内容过滤功能，阻断恶意软件通过邮件附件或网页下载传播。（2）终端安全层面：①安装企业级端点检测与响应（EDR）系统：实时监控终端进程、文件操作，检测异常行为（如勒索软件加密文件），支持远程隔离受感染终端。②实施补丁管理：通过WSUS（WindowsServerUpdateServices）或第三方工具（如ManageEnginePatchManager）定期推送系统（Windows/Linux）和软件（Office、Adobe）补丁，修复漏洞（如CVE-2023-21705）。（3）访问控制层面：①部署RBAC（基于角色的访问控制）系统：根据岗位定义角色（如研发人员、测试人员），为角色分配权限（研发人员可访问代码库但不可删除生产数据），用户权限随角色变更自动调整。②启用多因素认证（MFA）：对关键系统（如财务系统、OA系统）要求用户名+密码+动态令牌（如GoogleAuthenticator）或短信验证码，防止密码泄露导致的越权访问。（4）日志审计层面：①部署SIEM（安全信息与事件管理）平台：收集网络设备（防火墙、交换机）、服务器（Web、数据库）、终端的日志，通过规则引擎关联分析（如同一IP多次登录失败+尝试访问敏感目录），生成安全事件告警。②实施日志本地化存储与云端备份：本地日志保留至少6个月（满足等保要求），关键日志（如管理员操作）通过加密通道同步至云端（如阿里云日志服务），防止本地日志被篡改或删除。2.某企业Web服务器被攻击者植入后门程序，导致敏感数据泄露。作为安全管理员，需执行应急响应流程。请详细描述处理步骤及每一步的关键操作。答案：（1）检测与确认（发现阶段）：关键操作：通过SIEM平台分析日志（如Web服务器的异常HTTP请求：/upload/backdoor.php被频繁访问）、使用EDR检查终端进程（发现非官方进程“sysupdate.exe”占用CPU资源）、验证数据完整性（对比数据库备份，确认用户信息表数据缺失）。（2）隔离与控制（遏制阶段）：关键操作：将受感染服务器从生产网隔离（断开物理网络或通过防火墙封禁其IP）；禁用后门程序关联的系统账户（如“hackuser”）；临时关闭未使用的服务和端口（如关闭8080端口，仅保留SSH用于维护）。（3）消除与修复（根除阶段）：关键操作：终