2025人民日报媒体技术股份有限公司网络安全运维工程师招聘笔试历年备考题库附带答案详解

2025人民日报媒体技术股份有限公司网络安全运维工程师招聘笔试历年备考题库附带答案详解一、选择题从给出的选项中选择正确答案（共50题）1、在网络安全防护体系中，以下哪种技术主要用于检测并阻止网络中的异常流量或潜在攻击行为，同时具备动态更新策略的能力？A.防火墙B.入侵检测系统（IDS）C.入侵防御系统（IPS）D.虚拟专用网络（VPN）2、下列关于对称加密与非对称加密的描述，正确的是哪一项？A.对称加密密钥分发安全，适合大规模通信B.非对称加密加密速度快，常用于数据加密传输C.RSA属于非对称加密算法，使用公私钥机制D.AES通过公钥加密、私钥解密实现信息安全3、在网络安全防护体系中，防火墙主要工作在OSI七层模型的哪一层？A．物理层

B．数据链路层

C．网络层

D．表示层4、下列关于对称加密与非对称加密的描述，正确的是？A．对称加密密钥分发安全，适合大规模用户通信

B．非对称加密使用一对密钥，公钥用于加密，私钥用于解密

C．对称加密算法如RSA，非对称加密算法如AES

D．非对称加密运算速度快，适合加密大量数据5、在网络安全防护体系中，防火墙主要用于实现内外网之间的访问控制，其核心功能是依据预设规则对数据包进行过滤。以下哪一项不属于防火墙的基本功能？A．网络地址转换（NAT）

B．应用层内容扫描

C．阻止未经授权的外部访问进入内部网络

D．基于IP地址和端口的访问控制6、某单位为提升内部网络安全性，部署了入侵检测系统（IDS）。该系统最核心的作用是：A．主动拦截所有可疑网络流量

B．对进出网络的数据进行加密处理

C．实时监控网络行为并识别异常或攻击特征

D．替代防火墙进行访问控制7、在网络安全防护体系中，以下哪种技术主要用于检测并阻止网络中的异常流量或潜在攻击行为，且通常部署在网络边界处进行实时监控？A.数据加密技术B.防火墙技术C.入侵检测与防御系统（IDPS）D.身份认证系统8、下列关于网络安全中“最小权限原则”的描述，最准确的是哪一项？A.所有用户应拥有访问系统全部资源的权限，以便高效完成工作B.用户权限应根据职务晋升自动提升，确保操作便利性C.用户只能获得完成其职责所必需的最低限度的系统权限D.系统管理员应为所有账户统一配置高级权限以简化管理9、某单位拟在内网部署防火墙设备以强化网络安全防护，下列关于防火墙部署方式的描述中，错误的是：A.透明模式下防火墙对用户和服务器完全透明，无需修改IP地址配置B.路由模式下防火墙可实现不同网段之间的访问控制和安全隔离C.防火墙应部署在内部网络与外部网络交界处，无法用于内部子网之间D.双机热备模式可提升防火墙设备的可靠性，避免单点故障10、在网络安全防护体系中，下列关于入侵检测系统（IDS）与入侵防御系统（IPS）的描述，正确的是：A.IDS通常部署在流量路径中，能够主动阻断可疑连接B.IPS工作在被动监听模式，仅记录异常行为并发出告警C.IDS可实时分析网络流量，发现潜在攻击特征并报警D.IPS只能部署在网络边缘，无法用于内部网络防护11、在网络安全防护体系中，用于检测并报告网络中可疑活动或违反安全策略行为的系统，通常被称为？A.防火墙B.入侵检测系统C.虚拟专用网络D.安全加密网关12、下列关于对称加密与非对称加密的描述，正确的是？A.对称加密密钥管理更安全，适合大规模网络通信B.非对称加密使用一对密钥，公钥可公开，私钥需保密C.非对称加密运算速度通常快于对称加密D.对称加密中加密和解密使用不同密钥13、某单位拟对内部网络进行安全加固，需部署一种能够实时监测网络流量、识别并阻断异常行为的安全设备。下列设备中最符合该需求的是：A.防火墙B.入侵检测系统（IDS）C.入侵防御系统（IPS）D.安全信息与事件管理系统（SIEM）14、在网络安全运维中，为防止敏感信息泄露，需对重要数据传输过程进行保护。下列措施中，主要实现数据传输机密性的是：A.使用数字签名B.部署访问控制列表（ACL）C.启用SSL/TLS加密D.配置防火墙策略15、在网络安全防护体系中，用于检测并报告网络中可疑活动或违规行为的系统，主要功能不包括以下哪项？A．实时监控网络流量

B．识别潜在的入侵行为

C．主动拦截并清除病毒文件

D．生成安全事件日志16、下列关于防火墙技术的描述中，错误的是哪一项？A．包过滤防火墙依据IP地址和端口号进行数据包过滤

B．应用层防火墙能够防范SQL注入等高层攻击

C．状态检测防火墙可跟踪连接状态并动态决策

D．防火墙能有效防御内部网络用户的误操作行为17、在网络安全防御体系中，防火墙主要用于实现网络间的访问控制，其核心功能是依据预设规则对数据包进行过滤。以下哪项不属于防火墙的基本过滤依据？A．源IP地址

B．目标IP地址

C．协议类型

D．数据包内容中的关键词18、某单位为提升内部网络安全性，部署了入侵检测系统（IDS）。该系统的主要作用是：A．主动拦截所有外部网络连接

B．加密传输中的用户数据

C．实时监控网络流量并识别异常行为

D．替代防火墙进行访问控制19、在网络安全防护体系中，用于检测并报告网络中异常行为或潜在攻击的技术手段，主要依赖于对日志数据的实时监控与分析。以下哪种技术最符合这一功能描述？A.防火墙技术B.入侵检测系统（IDS）C.虚拟专用网络（VPN）D.数据加密技术20、在信息系统安全等级保护制度中，若某系统遭到破坏后，可能对社会秩序和公共利益造成严重损害，或对国家安全构成一般性威胁，则该系统应至少划分为哪一级别？A.第一级B.第二级C.第三级D.第四级21、在网络安全防护体系中，用于检测并阻止未经授权访问内部网络的设备，通常部署在内部网络与外部网络交界处，该设备是：A.防火墙B.入侵检测系统C.路由器D.交换机22、下列关于对称加密与非对称加密的描述，正确的是：A.对称加密加密与解密使用不同密钥，安全性更高B.非对称加密密钥管理简单，适合大数据量加密C.对称加密运算速度快，适合加密大量数据D.非对称加密的公钥和私钥可以互相推导23、某单位计划对内部网络进行安全加固，需对关键服务器实施访问控制策略。以下哪种措施最能有效防止未授权访问？A.定期更换服务器管理员姓名B.启用防火墙并配置访问控制列表（ACL）C.将服务器放置在开放机柜中便于维护D.使用默认账户名和密码以提高效率24、在信息系统运维过程中，日志审计的主要作用是什么？A.提高服务器的运行速度B.记录系统操作行为，便于安全追溯与异常检测C.自动删除过期文件释放存储空间D.增强网络带宽传输效率25、在网络安全体系中，用于检测并阻止未经授权访问的网络设备，通常部署在内部网络与外部网络交界处，该设备称为？A.路由器B.交换机C.防火墙D.网关26、下列关于对称加密与非对称加密的描述，正确的是？A.对称加密加密与解密使用不同密钥B.非对称加密加密速度快，适合大数据传输C.非对称加密中公钥可公开，私钥需保密D.对称加密的典型算法是RSA27、在网络安全防护体系中，用于检测并报告网络中异常行为或潜在攻击的技术手段，主要依赖于对网络流量和系统日志的实时监控与分析，该技术被称为：A.防火墙技术B.入侵检测系统（IDS）C.虚拟专用网络（VPN）D.数据加密技术28、下列关于对称加密与非对称加密的比较，说法正确的是：A.对称加密算法加解密速度快，适合大数据量传输B.非对称加密的密钥管理比对称加密更简单C.RSA是一种常用的对称加密算法D.对称加密中公钥可公开，私钥需保密29、在网络安全防护体系中，防火墙主要工作在OSI参考模型的哪几层？A．物理层与数据链路层

B．数据链路层与网络层

C．网络层与传输层

D．传输层与应用层30、下列关于对称加密与非对称加密的描述，正确的是？A．对称加密密钥管理复杂，但加密速度较快

B．非对称加密用于大量数据的直接加密更高效

C．对称加密中加密和解密使用相同密钥

D．RSA是常用的对称加密算法31、某单位在进行网络系统安全加固时，计划提升身份认证的安全性。以下哪种措施最能有效防范重放攻击？A.增加密码长度并定期更换B.使用静态令牌进行身份验证C.引入时间戳与一次性随机数（Nonce）机制D.启用防火墙对异常IP进行拦截32、在网络安全防护体系中，部署入侵检测系统（IDS）的主要作用是？A.主动阻止所有可疑网络流量B.对进出网络的数据进行加密处理C.实时监控并识别潜在的攻击行为D.替代防火墙实现网络访问控制33、在网络安全防护体系中，用于检测并报告网络中异常或可疑活动的技术手段，主要属于以下哪一类安全机制？A．防火墙技术

B．入侵检测系统（IDS）

C．数据加密技术

D．访问控制列表（ACL）34、下列关于网络协议安全性的描述中，哪一项是正确的？A．HTTP协议通过加密传输保障数据安全

B．FTP协议默认使用端口21，且传输过程为明文

C．SMTP协议用于接收电子邮件，具备内置加密功能

D．DNS协议采用SSL/TLS加密，防止域名劫持35、某单位网络系统在运行过程中，发现内部主机频繁向外部IP发起异常连接请求，经初步判断可能存在主机被恶意程序控制的情况。为快速定位问题主机，最有效的排查手段是：A.检查防火墙日志中的入站连接记录B.分析交换机的MAC地址表变化C.通过网络流量监控工具追踪内网主机的外联行为D.查看DNS服务器的缓存记录36、在网络安全防护体系中，以下哪种措施属于“纵深防御”策略的核心体现？A.定期对员工开展网络安全意识培训B.在内网部署多层防火墙与访问控制策略C.使用高强度密码并定期更换D.对重要数据进行加密存储37、在网络安全防护体系中，用于检测并阻止未经授权访问的设备，通常部署在内部网络与外部网络之间，起到“第一道防线”作用的是：A.入侵检测系统（IDS）B.防火墙C.防病毒网关D.安全审计系统38、下列关于对称加密与非对称加密的描述，正确的是：A.对称加密密钥易于分发，适合大规模网络通信B.非对称加密使用一对密钥，公钥加密的数据只能由私钥解密C.非对称加密运算速度快，常用于大量数据加密D.对称加密中，加密和解密使用不同密钥39、某单位计划对内部网络进行安全加固，需部署一种能够实时监控网络流量、识别异常行为并主动阻断攻击的设备。以下最符合该需求的设备是：A.防火墙B.入侵检测系统（IDS）C.入侵防御系统（IPS）D.安全信息和事件管理系统（SIEM）40、在网络安全防护中，为防止敏感信息泄露，对存储在数据库中的用户密码通常应采用何种方式处理？A.明文存储B.简单编码（如Base64）C.对称加密存储D.加盐哈希存储41、在网络安全防护体系中，防火墙主要用于实现网络边界的访问控制。下列关于防火墙功能的描述，最准确的是哪一项？A.能够查杀已感染主机的病毒B.可以完全阻止分布式拒绝服务攻击C.依据安全策略过滤进出网络的数据包D.专门用于加密传输中的敏感数据42、在信息系统安全等级保护中，根据信息的重要程度划分保护等级。下列哪项是等级保护中最基础的安全要求？A.数据异地容灾备份B.身份鉴别与访问控制C.使用人工智能进行威胁检测D.部署区块链技术确保日志不可篡改43、在网络安全防护体系中，用于检测并报告网络中异常或潜在恶意活动的技术手段是：A.防火墙B.入侵检测系统（IDS）C.虚拟专用网络（VPN）D.数据加密技术44、下列关于操作系统安全配置的说法中，最有助于防范未授权访问的是：A.定期备份系统日志B.启用屏幕自动锁定功能C.使用默认账户名和密码D.关闭所有系统更新服务45、在网络安全防护体系中，下列哪项技术主要用于识别和阻断非法入侵行为，能够实时监控网络流量并根据预设规则进行响应？A.防火墙B.入侵检测系统（IDS）C.入侵防御系统（IPS）D.虚拟专用网络（VPN）46、下列关于对称加密与非对称加密的描述，正确的是哪一项？A.对称加密密钥管理更安全，适合大规模网络通信B.非对称加密使用一对密钥，公钥加密的数据只能由私钥解密C.对称加密算法如RSA，非对称加密算法如AESD.非对称加密的加解密速度通常快于对称加密47、某单位网络系统需实现不同部门间的逻辑隔离，同时保障数据传输效率与安全管控能力，最适宜采用的技术是：A.部署单一广播域的局域网B.划分VLAN并配置访问控制列表C.使用静态IP地址绑定D.增设物理隔离的交换机48、在网络安全防护体系中，用于实时监测网络流量、识别异常行为并及时告警的系统是：A.防火墙（Firewall）B.入侵检测系统（IDS）C.虚拟专用网络（VPN）D.安全信息与事件管理平台（SIEM）49、某单位拟对内部网络进行安全加固，需对关键服务器实施访问控制策略。下列措施中最能有效防止未授权访问的是：A.定期更换服务器管理员密码B.部署防火墙并配置访问控制列表（ACL）C.安装杀毒软件并每日更新病毒库D.对服务器数据进行定期备份50、在网络安全运维中，日志审计的主要作用是：A.提高服务器运行速度B.记录系统操作行为，用于安全分析与事件追溯C.自动清除系统垃圾文件D.阻断外部网络攻击

参考答案及解析1.【参考答案】C【解析】入侵防御系统（IPS）不仅能实时监测网络流量中的攻击特征，还能主动阻断可疑连接，具备策略动态更新和自动响应能力。防火墙主要基于规则控制访问，功能较基础；IDS仅检测不阻断；VPN用于加密通信，不直接参与攻击防御。因此，C项最符合题意。2.【参考答案】C【解析】RSA是典型的非对称加密算法，使用公钥加密、私钥解密，保障密钥交换安全。对称加密如AES加密效率高，但密钥分发存在风险；非对称加密速度慢，一般用于密钥交换而非大量数据加密。D项混淆了加密方向，A、B表述错误，故正确答案为C。3.【参考答案】C【解析】防火墙主要用于控制网络间的数据流，通过判断源地址、目的地址、端口等信息实现访问控制，其核心功能基于IP包进行过滤和策略匹配，因此主要工作在网络层（第三层）。部分高级防火墙可涉及传输层甚至应用层，但基础防护功能以网络层为主。4.【参考答案】B【解析】非对称加密使用公钥和私钥配对，公钥加密的数据只能由私钥解密，适用于安全密钥交换和数字签名。对称加密（如AES）速度快，但密钥分发存在安全隐患；非对称加密（如RSA）速度慢，不适合加密大数据。B项描述符合基本原理。5.【参考答案】B【解析】防火墙主要在网络层和传输层工作，通过IP地址、端口号和协议类型进行访问控制，具备NAT、包过滤等功能。应用层内容扫描属于入侵检测系统（IDS）或防病毒网关等深层检测设备的功能，需解析应用层数据，超出了传统防火墙的基本能力范围，故B项不属于防火墙的基本功能。6.【参考答案】C【解析】入侵检测系统（IDS）的核心功能是监控网络或系统中的活动，通过比对已知攻击特征或识别异常行为来发现潜在威胁。它属于被动监控设备，不具备主动拦截或加密功能，也不替代防火墙。因此，C项准确描述了IDS的核心作用，其他选项混淆了其与防火墙、加密设备的功能边界。7.【参考答案】C【解析】入侵检测与防御系统（IDPS）能够实时监控网络流量，识别异常行为或已知攻击特征，并主动阻断攻击。防火墙主要依据预设规则控制访问，而IDPS更侧重于深度分析和主动防御，是网络安全纵深防御体系的重要组成部分。8.【参考答案】C【解析】最小权限原则是网络安全的基本准则之一，旨在降低因权限滥用或账户被劫持导致的安全风险。通过限制用户仅拥有必要权限，可有效遏制横向移动和恶意操作，提升整体系统安全性和可控性。9.【参考答案】C【解析】防火墙不仅可部署在网络边界，也可用于内部不同安全等级子网之间（如财务系统与办公网隔离），实现纵深防御。A项正确，透明模式工作在数据链路层，不改变原有网络结构；B项正确，路由模式通过接口划分安全区域；D项正确，双机热备是常见的高可用性技术。C项表述错误，故选C。10.【参考答案】C【解析】IDS为被动监测系统，通过镜像流量进行分析，发现攻击行为后发出告警，但不能主动阻断，故C正确、A错误；IPS则部署在流量路径中，可主动拦截攻击，B项将两者功能混淆；D项错误，IPS也可部署于内部关键区域。综上，C为正确答案。11.【参考答案】B【解析】入侵检测系统（IDS）主要用于监控网络流量或主机活动，识别潜在的攻击行为或违反安全策略的事件，并及时发出警报。防火墙主要用于访问控制，基于规则允许或阻止数据流；虚拟专用网络（VPN）用于安全通信；安全加密网关侧重数据加密传输。因此，具备“检测并报告”功能的是入侵检测系统。12.【参考答案】B【解析】非对称加密使用公钥和私钥配对，公钥可公开用于加密，私钥由接收方保密用于解密，安全性更高，适用于密钥分发。对称加密加解密使用相同密钥，速度快但密钥管理困难。非对称加密计算复杂，速度慢于对称加密。D项错误，对称加密使用相同密钥。故正确选项为B。13.【参考答案】C【解析】入侵防御系统（IPS）不仅能监测网络流量，还能主动识别并阻断潜在攻击行为，具备实时防护能力。防火墙主要基于规则控制访问，缺乏深度行为分析；IDS仅能检测和告警，无法阻断；SIEM侧重日志聚合与分析，不具备实时拦截功能。因此，IPS最符合“监测+阻断”的安全加固需求。14.【参考答案】C【解析】SSL/TLS协议通过对传输数据进行加密，保障信息在传输过程中的机密性，防止被窃听。数字签名用于验证数据完整性与身份认证；ACL和防火墙策略主要用于访问控制，不直接提供加密功能。因此，启用SSL/TLS是实现传输机密性的核心手段。15.【参考答案】C【解析】该题考查网络安全监测系统的核心功能。选项A、B、D均为入侵检测系统（IDS）的典型功能，即监控流量、识别异常、记录日志。而“主动拦截并清除病毒文件”属于入侵防御系统（IPS）或防病毒软件的职责，超出IDS的能力范围，故C不包含在内。16.【参考答案】D【解析】防火墙主要用于控制外部与内部网络之间的访问，基于预设规则过滤流量。A、B、C分别描述了包过滤、应用层防火墙和状态检测技术的正确特性。但防火墙无法有效防范内部用户误操作或内部发起的攻击，此类问题需依赖权限管理、审计系统等内部安全机制，故D错误。17.【参考答案】D【解析】防火墙主要通过检查数据包的网络层和传输层信息进行过滤，常见依据包括源IP地址、目标IP地址、端口号和协议类型（如TCP、UDP、ICMP等）。而数据包内容中的关键词属于应用层深度检测范畴，通常由入侵检测系统（IDS）或内容过滤系统处理，传统防火墙不具备此功能，因此D项不属于其基本过滤依据。18.【参考答案】C【解析】入侵检测系统（IDS）的核心功能是监视网络或系统活动，通过比对已知攻击特征或识别行为异常，及时发现潜在的安全威胁，并发出告警。它不具备主动拦截功能（非阻断式），也不提供数据加密或访问控制服务，因此不能替代防火墙。C项准确描述了其监控与识别能力，符合其设计定位。19.【参考答案】B【解析】入侵检测系统（IDS）专门用于监控网络流量或主机日志，识别异常行为或已知攻击特征，并及时发出警报。防火墙主要用于访问控制，依据预设规则允许或阻止数据包通过；VPN侧重于建立安全通信隧道，保障传输安全；数据加密则用于保护信息的机密性。只有IDS具备主动监测和报告异常行为的核心功能，因此正确答案为B。20.【参考答案】C【解析】根据信息安全等级保护相关标准，第三级适用于一旦受损可能严重危害社会秩序、公共利益或对国家安全造成一般威胁的系统。第一级和第二级对应影响较小的情形，第四级则针对可能严重危害国家安全的情况。题干描述符合第三级定义，故正确答案为C。21.【参考答案】A【解析】防火墙是网络安全的核心设备，主要用于监控和控制进出网络的数据流，依据预设的安全策略阻止非法访问，保护内部网络不受外部威胁。它通常部署在内网与外网之间，如企业网络与互联网的交界处。入侵检测系统（IDS）虽能识别异常行为，但主要功能是告警而非主动阻断；路由器和交换机侧重网络连通与数据转发，不具备深度访问控制能力。因此正确答案为A。22.【参考答案】C【解析】对称加密使用同一密钥进行加密和解密，运算效率高，适合处理大量数据，如AES算法；但密钥分发存在安全隐患。非对称加密（如RSA）使用公钥和私钥配对，安全性高，密钥管理方便，但计算开销大，通常用于加密密钥或数字签名，不适用于大数据加密。公钥无法推导出私钥，保障了安全性。A、B、D表述错误，故正确答案为C。23.【参考答案】B【解析】访问控制是网络安全的核心措施之一。启用防火墙并配置访问控制列表（ACL）可基于源IP、目的IP、端口等规则限制访问权限，有效阻止非法用户或设备连接关键服务器。A项更换管理员姓名无实际安全意义；C项开放机柜增加物理安全风险；D项使用默认账号密码极易被攻击者利用。因此，B项是科学、有效的安全实践。24.【参考答案】B【解析】日志审计用于记录用户登录、操作指令、系统事件等信息，是安全运维的重要手段。通过分析日志可发现异常行为（如多次登录失败、越权操作），及时响应安全事件，并为事后追责提供依据。A、C、D项分别涉及性能、存储和网络优化，与日志核心功能无关。因此，B项准确反映了日志审计的安全价值。25.【参考答案】C【解析】防火墙是网络安全的核心设备，主要用于监控和控制进出网络的数据流，依据预设的安全策略允许或阻止数据包通过。它通常部署在内部可信网络与外部不可信网络（如互联网）之间，有效防止非法访问和网络攻击。路由器用于网络间数据转发，交换机用于局域网内部通信，网关用于协议转换，均不具备防火墙的访问控制功能。26.【参考答案】C【解析】非对称加密使用一对密钥：公钥用于加密，可公开；私钥用于解密，必须保密。对称加密使用相同密钥进行加密和解密，速度快但密钥分发存在安全风险。典型对称加密算法如AES、DES；非对称加密典型算法为RSA、ECC。选项A、B、D描述错误，只有C符合非对称加密的基本原理。27.【参考答案】B【解析】入侵检测系统（IDS）的核心功能是监控网络流量或主机活动，识别可疑行为或已知攻击特征，并及时发出警报。防火墙主要用于访问控制，依据预设规则允许或阻止数据包通过；VPN侧重于建立安全通信隧道；数据加密则保障信息的机密性。只有IDS专注于“检测”而非“阻断”，符合题干中“检测并报告”的描述，故答案为B。28.【参考答案】A【解析】对称加密使用同一密钥进行加解密，运算效率高，适合大量数据加密，如AES、DES。非对称加密（如RSA）使用公私钥对，安全性高但速度慢，常用于密钥交换或数字签名。选项B错误，非对称加密密钥管理更复杂；C错误，RSA是非对称算法；D错误，公私钥体系属于非对称加密。只有A表述科学准确。29.【参考答案】C【解析】防火墙主要用于控制网络间的数据通信，识别并过滤非法访问。传统防火墙基于IP地址、端口和协议进行策略控制，因此主要工作在网络层（第三层）和传输层（第四层）。网络层负责IP包的转发与路由，传输层负责端到端通信（如TCP/UDP）。虽然下一代防火墙已扩展至应用层，但基本功能仍以网络层和传输层为核心，故正确答案为C。30.【参考答案】C【解析】对称加密使用同一密钥进行加密和解密，如AES、DES，其优点是加密速度快，适合大数据量传输，但密钥分发和管理困难。非对称加密（如RSA、ECC）使用公私钥对，安全性高、密钥管理方便，但计算复杂、速度慢，通常用于密钥交换或数字签名，而非直接加密数据。RSA属于非对称算法，故D错误。因此，正确选项为C。31.【参考答案】C【解析】重放攻击指攻击者截获合法通信数据后重新发送，以冒充合法用户。仅增加密码长度（A）或使用静态令牌（B）无法防止已泄露凭证被重复使用；防火墙拦截（D）主要应对网络层攻击。而引入时间戳与一次性随机数（Nonce）可确保每次通信的唯一性，服务器通过验证时间窗口和Nonce是否已使用，有效识别并拒绝重复请求，从而从根本上防范重放攻击，故选C。32.【参考答案】C【解析】入侵检测系统（IDS）的核心功能是监控网络或系统活动，通过特征匹配或异常行为分析识别潜在攻击，并生成告警。它不具备主动阻断能力（A错误），不涉及数据加密（B错误），也不能替代防火墙的访问控制功能（D错误）。IDS作为“哨兵”角色，为安全管理提供决策依据，因此正确答案为C。33.【参考答案】B【解析】入侵检测系统（IDS）的核心功能是监控网络流量或主机行为，识别潜在的攻击行为或异常活动，并及时发出警报。防火墙主要用于访问控制，基于预设规则允许或阻止流量；数据加密保障信息的机密性；访问控制列表则用于限定用户或设备的资源访问权限。只有IDS专注于“检测”异常行为，符合题干描述，故选B。34.【参考答案】B【解析】FTP协议默认使用端口21进行控制连接，数据传输为明文，存在信息泄露风险，未加密。HTTP不加密，加密版本为HTTPS；SMTP用于发送邮件，早期无内置加密，依赖STARTTLS等扩展；DNS本身不强制加密，DNSSEC用于防篡改，但非加密传输。因此，仅B项描述准确，故选B。35.【参考答案】C【解析】异常外联行为通常是受控主机与攻击者C2服务器通信的表现。通过流量监控工具（如NetFlow、SIEM系统）可实时观察内网各主机的外联目标、频率与数据量，精准识别异常主机。防火墙日志虽有用，但入站记录无法反映主动外联行为；MAC地址表用于二层转发，不涉及通信目的IP；DNS缓存主要用于域名解析分析，对直接IP通信排查帮助有限。故C项最有效。36.【参考答案】B【解析】纵深防御强调构建多层安全防护机制，即使某一层被突破，仍有其他层级提供保护。在内网部署多层防火墙和访问控制，实现网络分区、边界隔离与内部监控，正是该策略的典型应用。A、C、D虽为良好安全实践，但属于单一层面的防护措施，未体现“多层次、多手段”的纵深设计思想。故B项最符合。37.【参考答案】B【解析】防火墙是网络安全中最基础且关键的设备，主要功能是依据预设策略控制进出网络的数据流，部署在内网与外网交界处，有效隔离潜在威胁。入侵检测系统（IDS）仅具备监测和报警功能，无法主动阻止攻击；防病毒网关侧重于病毒查杀；安全审计系统用于事后追溯。因此，具备访问控制和主动防御能力的防火墙是第一道防线。38.【参考答案】B【解析】非对称加密使用公钥和私钥配对，公钥可公开，用于加密，私钥保密，用于解密，安全性高但运算较慢，常用于密钥交换或数字签名。对称加密加密解密使用相同密钥，速度快，适合大数据加密，但密钥分发存在安全风险。选项A、C混淆了两种加密特点，D描述错误。B符合非对称加密基本原理，正确。39.【参考答案】C【解析】入侵防御系统（IPS）不仅能检测网络中的可疑流量，还能主动采取措施阻断攻击行为，实现动态防护。防火墙主要基于预设规则控制访问，防御能力有限；IDS仅能监测和告警，无法主动拦截；SIEM侧重于日志收集与分析，不直接参与实时阻断。因此，IPS最符合“监控、识别并主动阻断”的要求。40.【参考答案】D【解析】加盐哈希存储通过为每个密码添加唯一随机值（盐值）后再进行单向哈希运算，能有效防止彩虹表攻击，即使数据库泄露也难以还原原始密码。明文存储极不安全；Base64是编码，可逆；对称加密虽安全但密钥管理复杂，且存在解密风险。哈希不可逆，加盐增强随机性，是当前密码存储的最佳实践。41.【参考答案】C【解析】防火墙的核心功能是依据预设的安全策略对进出网络的数据包进行过滤，实现网络边界的访问控制。它工作在网络层或应用层，可阻止未经授权的访问，但无法查杀病毒（属于杀毒软件功能），也不能完全防御DDoS攻击（需配合其他技术），更不负责数据加密（由SSL/TLS等协议实现）。故C项正确。42.【参考答案】B【解析】等级保护的基本要求包括物