2025年网络安全基础知识考试题及答案

2025年网络安全基础知识考试题及答案一、单项选择题（每题2分，共30分）1.以下哪项是网络安全CIA三元组中“可用性（Availability）”的核心目标？A.确保数据不被未授权修改B.确保授权用户在需要时能够访问数据C.确保数据来源可验证D.确保数据仅被授权方访问答案：B2.下列哪种攻击方式利用了操作系统或应用程序的未修复漏洞？A.暴力破解B.缓冲区溢出C.钓鱼攻击D.ARP欺骗答案：B3.关于SSL/TLS协议，以下描述错误的是？A.用于在客户端和服务器之间建立加密通信B.仅支持对称加密算法C.包含握手阶段和数据传输阶段D.可防止中间人攻击答案：B4.以下哪项属于非对称加密算法？A.AESB.DESC.RSAD.SHA-256答案：C5.物联网（IoT）设备的典型安全风险不包括？A.默认弱口令B.固件更新机制缺失C.支持5G高速连接D.缺乏安全补丁维护答案：C6.某企业网络中，员工访问内部系统时需提供用户名、密码及手机动态验证码，这种验证方式属于？A.单因素认证B.双因素认证C.多因素认证D.无密码认证答案：C7.以下哪类恶意软件会将自身复制到其他程序或文件中传播？A.蠕虫（Worm）B.病毒（Virus）C.木马（Trojan）D.勒索软件（Ransomware）答案：B8.在网络安全防护中，“最小权限原则”指的是？A.用户仅获得完成任务所需的最低权限B.网络设备仅开放必要的端口C.数据仅存储在最小的存储介质中D.日志仅记录关键操作答案：A9.下列哪项是SQL注入攻击的主要目标？A.窃取用户会话CookieB.篡改数据库数据或执行非法查询C.破坏服务器硬件D.干扰DNS解析答案：B10.关于防火墙的描述，正确的是？A.仅能部署在网络边界B.可以完全阻止所有网络攻击C.分为包过滤、状态检测、应用层网关等类型D.无需定期更新规则库答案：C11.2023年修订的《中华人民共和国网络安全法》中，明确要求关键信息基础设施运营者需履行的义务不包括？A.制定网络安全事件应急预案B.定期进行网络安全检测和风险评估C.向社会公开所有用户个人信息D.对重要系统和数据库进行容灾备份答案：C12.以下哪种漏洞扫描工具属于开源工具？A.NessusB.OpenVASC.QualysD.Rapid7答案：B13.在IPv6网络中，以下哪项是防止地址欺骗的关键机制？A.无状态地址自动配置（SLAAC）B.邻居发现协议（NDP）安全扩展（NDPSec）C.路由信息协议（RIP）D.动态主机配置协议（DHCPv6）答案：B14.某公司员工通过邮件收到一个压缩文件，解压后触发恶意代码执行，这种攻击方式属于？A.社会工程学攻击B.DDoS攻击C.中间人攻击D.拒绝服务攻击答案：A15.关于零信任架构（ZeroTrustArchitecture）的核心原则，错误的是？A.默认不信任网络内外部任何设备或用户B.仅通过一次认证即可访问所有资源C.持续验证访问请求的上下文（如位置、设备状态）D.最小化横向移动风险答案：B二、填空题（每空1分，共20分）1.网络安全的基础目标可概括为CIA三元组，即机密性、完整性和可用性。2.常见的身份认证方式包括密码认证、生物特征认证、硬件令牌认证等。3.恶意软件的主要类型包括病毒、蠕虫、木马、勒索软件、间谍软件等。4.TCP/IP协议栈的四层模型包括网络接口层、网际层、传输层和应用层。5.数据加密分为对称加密和非对称加密，其中AES属于对称加密算法，RSA属于非对称加密算法。6.防火墙的典型部署模式包括路由模式、透明模式和混合模式。7.《个人信息保护法》规定，处理个人信息应当遵循最小必要原则，即收集的个人信息应与处理目的直接相关，且数量为最小范围。8.常见的DDoS攻击防护手段包括流量清洗、黑洞路由、速率限制和云防护服务。9.渗透测试的主要阶段包括信息收集、漏洞探测、漏洞利用、后渗透和报告编写。三、判断题（每题1分，共10分。正确填“√”，错误填“×”）1.MAC地址可以在公网中被路由。（×）2.弱口令属于人为因素导致的安全风险。（√）3.IDS（入侵检测系统）可以主动阻止攻击，而IPS（入侵防御系统）仅能检测攻击。（×）4.区块链技术的“不可篡改性”依赖于哈希算法和共识机制。（√）5.电子邮件加密可使用PGP（PrettyGoodPrivacy）协议。（√）6.所有网络流量都可以通过防火墙完全过滤。（×）7.物联网设备的安全风险仅存在于通信阶段，与设备本身无关。（×）8.数据脱敏技术可用于保护敏感信息，例如将身份证号部分替换为“”。（√）9.云计算环境中，“责任共担模型”意味着云服务商承担全部安全责任。（×）10.钓鱼邮件的特征之一是发件人邮箱与官方邮箱高度相似（如拼写错误）。（√）四、简答题（每题6分，共30分）1.简述SQL注入攻击的原理及防范措施。答案：原理：攻击者通过在用户输入字段中插入恶意SQL代码，使应用程序未经过滤直接将输入拼接至数据库查询语句中，导致数据库执行非法操作（如数据泄露、删除或修改）。防范措施：①使用预编译语句（PreparedStatement）或ORM框架，避免直接拼接用户输入；②对用户输入进行严格的类型检查和转义处理；③限制数据库账户的权限（如仅授予查询权限）；④定期进行代码审计和漏洞扫描；⑤启用数据库的输入验证和防火墙。2.解释“零信任架构”的核心思想，并列举其关键实施策略。答案：核心思想：默认不信任网络中的任何设备、用户或流量，无论其位于内网还是外网；所有访问请求必须经过持续验证，仅在确认身份、设备状态、访问环境等上下文安全的情况下，才允许最小化权限的访问。关键策略：①身份与访问管理（IAM）：强身份认证（如多因素认证）和细粒度权限控制；②设备安全状态检查：验证终端是否安装最新补丁、防病毒软件是否启用；③网络微隔离：将网络划分为更小的区域，限制横向移动；④持续监控与分析：实时检测异常行为并动态调整访问策略；⑤最小权限原则：仅授予完成任务所需的最低权限。3.比较传统防火墙与下一代防火墙（NGFW）的主要区别。答案：①检测深度：传统防火墙基于IP、端口和协议进行包过滤；NGFW增加了应用层检测（如识别具体应用类型，如微信、QQ）、入侵防御（IPS）、恶意软件检测等功能。②威胁防护能力：传统防火墙无法识别应用层攻击（如SQL注入）；NGFW可通过深度包检测（DPI）和威胁情报库阻断复杂攻击。③可视化与管理：NGFW支持应用流量可视化、用户身份识别和更灵活的策略配置；传统防火墙策略基于网络层，管理较为单一。④集成功能：NGFW通常集成VPN、Web应用防火墙（WAF）、数据丢失防护（DLP）等模块；传统防火墙功能相对独立。4.列举物联网（IoT）设备面临的三大安全挑战，并提出对应防护建议。答案：挑战及建议：①默认弱口令：许多IoT设备出厂时使用固定密码（如“admin/admin”），攻击者可直接登录。建议：强制用户首次使用时修改密码，禁止默认口令；支持多因素认证。②固件更新缺失：设备缺乏自动更新机制，旧版本固件存在已知漏洞。建议：开发安全的OTA（空中下载）更新通道，定期推送补丁；启用固件签名验证，防止恶意篡改。③网络通信不安全：设备与云端通信使用未加密的HTTP或弱加密协议（如TLS1.0）。建议：强制使用TLS1.2及以上版本加密；采用双向认证（设备证书+服务器证书）；限制设备仅开放必要的通信端口。5.简述《数据安全法》中“数据分类分级保护”的核心要求及企业实施步骤。答案：核心要求：根据数据的重要程度、一旦泄露或破坏可能造成的危害程度，对数据进行分类分级，采取不同强度的保护措施。企业实施步骤：①数据分类：明确数据类型（如个人信息、业务数据、敏感商业秘密）；②风险评估：评估各类数据的泄露风险（如影响范围、经济损失、法律责任）；③分级标准：制定内部数据等级（如一级（极高敏感）、二级（高敏感）、三级（一般））；④保护措施：针对不同等级数据，实施访问控制（如一级数据仅允许管理层访问）、加密存储（一级数据强制加密）、监控审计（一级数据操作需完整日志）；⑤定期评审：根据业务变化和风险演变，动态调整数据分类分级策略。五、综合分析题（共10分）某中小企业网络结构如下：办公网通过路由器连接互联网，内部有财务系统（存储客户信息和交易数据）、员工办公电脑（安装普通办公软件）、无线AP（员工使用SSID“Office-WiFi”接入）。近期，企业发现财务系统数据库出现异常数据删除操作，日志显示删除操作来自内部IP（05），但该IP对应的员工声称未执行相关操作。请分析可能的攻击路径，并提出针对性的防护措施。答案：可能的攻击路径分析：（1）员工终端感染恶意软件：员工电脑可能因访问钓鱼网站、下载恶意文件或插入带毒U盘，导致木马程序（如远控木马）植入。木马获取系统权限后，可冒用员工身份访问财务系统，或直接连接数据库执行删除操作。（2）无线AP安全漏洞：若无线AP使用弱加密（如WEP）或未关闭WPS功能，攻击者可通过破解WiFi密码接入内部网络，伪装成合法终端（05）发起攻击。（3）财务系统权限管理漏洞：财务系统可能存在弱口令（如数据库管理员密码为“123456”），或未启用多因素认证，攻击者通过暴力破解或撞库获取账号后，直接登录系统删除数据。（4）内部人员误操作或权限滥用：虽员工声称未操作，但可能因账号共享（如财务人员将密码告知他人）或权限分配不当（普通员工拥有数据库删除权限）导致数据被误删或恶意删除。针对性防护措施：（1）终端安全防护：①安装企业级防病毒软件，启用实时监控和定期扫描；②限制员工终端安装非必要软件，启用应用白名单；③对终端进行补丁管理，定期更新操作系统和办公软件。（2）无线网络安全：①将无线AP加密方式升级为WPA3，关闭WPS功能；②为员工分配独立的认证凭证（如802.1X+证书认证），禁止使用共享密码；③对无线接入进行MAC地址过滤（仅允许注册设备连接）。（3）财务系统安全加固：①启用多因素认证（如密码+动态令牌），禁止弱口令；②最小化数据库账户权限（如普通查询账号仅授予SELECT权限，删除操作