上海市网络安全工程师认证考试及答案

上海市网络安全工程师认证考试及答案考试时长：120分钟满分：100分试卷名称：上海市网络安全工程师认证考试试卷考核对象：网络安全行业从业者及备考人员题型分值分布：-判断题（10题，每题2分）总分20分-单选题（10题，每题2分）总分20分-多选题（10题，每题2分）总分20分-案例分析题（3题，每题6分）总分18分-论述题（2题，每题11分）总分22分总分：100分---一、判断题（每题2分，共20分）1.网络安全策略的核心是“最小权限原则”。（正确）2.VPN（虚拟专用网络）可以完全消除网络数据传输的风险。（错误）3.防火墙可以阻止所有类型的恶意软件入侵。（错误）4.数据加密是保护数据机密性的唯一方法。（错误）5.漏洞扫描工具可以主动发现系统中的安全漏洞。（正确）6.社会工程学攻击主要依赖技术手段而非人为心理。（错误）7.双因素认证（2FA）可以有效提升账户安全性。（正确）8.无线网络比有线网络更容易受到安全威胁。（正确）9.安全事件响应计划应在安全事件发生后制定。（错误）10.符合ISO27001标准的企业一定具备完善的安全管理体系。（正确）二、单选题（每题2分，共20分）1.以下哪项不属于常见的安全威胁类型？A.DDoS攻击B.SQL注入C.虚假广告D.恶意软件参考答案：C2.网络安全策略中，“纵深防御”的核心思想是？A.集中所有安全措施于单一节点B.在不同层级部署安全防护C.仅依赖防火墙防护D.减少安全设备数量以降低成本参考答案：B3.以下哪种加密方式属于对称加密？A.RSAB.AESC.ECCD.SHA-256参考答案：B4.网络钓鱼攻击的主要目的是？A.删除系统文件B.获取用户敏感信息C.阻止网络访问D.安装勒索软件参考答案：B5.以下哪项不属于常见的安全日志审计工具？A.WiresharkB.SplunkC.NmapD.ELKStack参考答案：C6.网络安全等级保护制度中，三级保护适用于？A.关键信息基础设施B.一般政府部门C.小型企业D.个人用户参考答案：A7.以下哪种攻击方式利用系统服务漏洞？A.拒绝服务攻击B.横向移动攻击C.中间人攻击D.钓鱼攻击参考答案：B8.网络安全事件响应的四个阶段依次是？A.准备、检测、分析、响应B.检测、分析、遏制、恢复C.准备、检测、遏制、恢复D.分析、检测、遏制、恢复参考答案：B9.以下哪种认证方式安全性最高？A.用户名+密码B.短信验证码C.生物识别+动态口令D.静态密码参考答案：C10.网络安全法中，哪项属于企业必须履行的义务？A.定期进行安全培训B.自行研发所有安全产品C.忽略小型数据泄露事件D.仅依赖第三方安全服务参考答案：A三、多选题（每题2分，共20分）1.以下哪些属于常见的安全防护设备？A.防火墙B.IDS/IPSC.WAFD.VPN设备E.代理服务器参考答案：A,B,C,D,E2.网络安全策略应包含哪些要素？A.访问控制B.数据加密C.安全审计D.应急响应E.物理安全参考答案：A,B,C,D,E3.以下哪些属于常见的社会工程学攻击手段？A.邮件诈骗B.假冒客服C.恶意软件诱导D.网络钓鱼E.物理接触窃取信息参考答案：A,B,D,E4.网络安全等级保护中，二级保护适用于？A.大型企业B.重要政府部门C.教育机构D.医疗机构参考答案：A,B,C,D5.以下哪些属于常见的数据加密算法？A.DESB.3DESC.BlowfishD.AESE.RSA参考答案：A,B,C,D,E6.网络安全事件响应计划应包含哪些内容？A.职责分配B.沟通机制C.恢复流程D.后续改进参考答案：A,B,C,D7.以下哪些属于常见的安全威胁类型？A.DDoS攻击B.恶意软件C.SQL注入D.跨站脚本（XSS）E.零日漏洞参考答案：A,B,C,D,E8.网络安全法律法规中，以下哪些属于企业必须遵守的？A.《网络安全法》B.《数据安全法》C.《个人信息保护法》D.《电子商务法》参考答案：A,B,C9.以下哪些属于常见的安全审计工具？A.WiresharkB.NessusC.NmapD.SplunkE.ELKStack参考答案：B,D,E10.网络安全防护中，以下哪些属于纵深防御的体现？A.防火墙+入侵检测系统B.主机安全+应用安全C.数据加密+访问控制D.物理安全+网络安全参考答案：A,B,C,D四、案例分析题（每题6分，共18分）1.案例背景：某电商公司发现其数据库存在SQL注入漏洞，导致部分用户密码泄露。公司立即启动应急响应，但部分敏感数据已被窃取。问题：（1）请简述应急响应的四个阶段及其主要任务。（2）该公司应采取哪些措施防止类似事件再次发生？参考答案：（1）应急响应阶段及任务：-准备阶段：建立应急响应团队，制定响应计划，定期演练。-检测阶段：监控系统日志，使用工具检测异常行为。-分析阶段：确认攻击范围，收集证据，评估损失。-响应阶段：隔离受感染系统，修复漏洞，恢复数据。-恢复阶段：全面检查系统，防止二次攻击，总结经验。（2）预防措施：-修复SQL注入漏洞（如使用预编译语句）。-加强输入验证，限制数据库权限。-定期进行安全培训，提升员工意识。-部署WAF或IDS/IPS进行实时防护。2.案例背景：某金融机构部署了双因素认证（短信验证码+动态口令），但发现仍有员工账户被攻破。安全团队调查后发现，攻击者通过社会工程学手段获取了员工的动态口令。问题：（1）双因素认证的原理是什么？为什么仍可能被攻破？（2）金融机构应如何改进安全措施？参考答案：（1）双因素认证原理：结合“你知道的”（密码）和“你拥有的”（动态口令），提升安全性。攻破原因：动态口令通过短信传输，可能被SIM卡交换攻击窃取；员工可能因钓鱼邮件泄露口令。（2）改进措施：-使用硬件令牌或生物识别替代短信验证码。-加强员工安全意识培训，识别钓鱼邮件。-部署多因素认证（MFA），增加攻击难度。3.案例背景：某企业部署了防火墙和入侵检测系统（IDS），但仍有内部员工通过USB设备传输敏感数据至个人设备。安全团队发现防火墙未配置USB设备控制策略。问题：（1）防火墙和IDS的主要功能是什么？为什么USB设备传输可能被忽视？（2）企业应如何加强终端安全管理？参考答案：（1）防火墙功能：控制网络流量，阻止未授权访问；IDS功能：检测异常行为，发出警报。USB设备传输被忽视原因：传统防火墙主要防护网络流量，对终端行为监控不足。（2）加强终端安全管理措施：-部署终端检测与响应（EDR）系统。-禁用USB设备自动播放功能。-实施数据防泄漏（DLP）策略。-定期审计终端设备使用情况。五、论述题（每题11分，共22分）1.题目：请结合实际案例，论述网络安全纵深防御体系的重要性及其具体实施方法。参考答案：纵深防御体系通过多层防护，降低单一环节被攻破的风险。重要性体现在：-案例：2021年某银行因防火墙配置不当被攻击，但入侵者未获取核心数据，因部署了IDS和EDR系统被及时发现。-实施方法：1.网络层：防火墙+VPN，隔离关键区域。2.主机层：主机防火墙+杀毒软件，定期补丁更新。3.应用层：WAF+应用安全扫描，防止SQL注入。4.数据层：数据加密+访问控制，限制敏感数据访问。5.终端层：EDR+USB控制，监控终端行为。2.题目：请结合《网络安全法》和《数据安全法》，论述企业在数据安全方面的主要义务及合规建议。参考答案：主要义务：-数据分类分级：敏感数据加密存储，限制访问权限。-安全评估：定期进行风险评估，整改漏洞。-跨境传输：遵守数据出境安全评估制度。-应急响应：建立数据泄露应急预案。合规建议：-建立数据安全管理制度，明确责任。-部署数据防泄漏（DLP）技术。-加强员工培训，提升安全意识。-定期审计，确保持续合规。---标准答案及解析一、判断题1.正确，最小权限原则是核心。2.错误，VPN不能完全消除风险（如配置不当）。3.错误，防火墙无法阻止所有恶意软件。4.错误，还有哈希、数字签名等。5.正确，主动扫描漏洞。6.错误，依赖心理操纵。7.正确，增加认证难度。8.正确，无线信号易被窃听。9.错误，应提前制定。10.正确，符合标准意味着体系完善。二、单选题1.C，虚假广告非安全威胁。2.B，多层防护。3.B，AES对称加密。4.B，获取信息。5.C，Nmap是扫描工具。6.A，关键信息基础设施。7.B，利用系统服务。8.B，检测→分析→遏制→恢复。9.C，生物识别+动态口令最安全。10.A，法律要求培训。三、多选题1.A,B,C,D,E，均为防护设备。2.A,B,C,D,E，均为策略要素。3.A,B,D,E，均为社会工程学手段。4.A,B,C,D，均为二级保护对象。5.A,B,C,D,E，均为加密算法。6.A,B,C,D，均为响应计划内容。7.A,B,C,D,E，均为安全威胁类型。8.A,B,C，为必须遵守的法律。9.B,D,E，为安全审计工具。