2025年网络与信息安全管理员职业技能等级考试(三级)模拟试卷附答案

2025年网络与信息安全管理员职业技能等级考试(三级)模拟试卷附答案第一部分单项选择题（共20题，每题1分，共20分）1.在OSI参考模型中，负责将上层数据封装成帧并进行差错检测的是（）。A.物理层B.数据链路层C.网络层D.传输层2.以下哪个协议用于安全的远程登录？（）A.FTPB.TelnetC.SSHD.SMTP3.对称加密算法AES256的密钥长度是（）。A.128位B.192位C.256位D.512位4.以下不属于DDoS攻击类型的是（）。A.SYNFloodB.DNS反射放大C.SQL注入D.ICMPFlood5.网络访问控制（NAC）的核心目标是（）。A.限制用户访问速度B.确保终端符合安全策略后再接入网络C.阻断所有外部访问D.监控用户上网行为6.WindowsServer2022中，用于管理用户权限的工具是（）。A.任务管理器B.本地安全策略C.事件查看器D.设备管理器7.以下哪个漏洞属于应用层漏洞？（）A.ARP欺骗B.缓冲区溢出C.跨站脚本（XSS）D.路由环路8.数字证书的颁发机构是（）。A.CAB.RAC.CRLD.OCSP9.防火墙的“状态检测”功能主要用于（）。A.记录所有连接日志B.识别并跟踪TCP/UDP会话状态C.过滤IP地址D.限制端口访问10.在Linux系统中，查看当前开放端口的命令是（）。A.ifconfigB.netstatanC.topD.psef11.以下哪个哈希算法属于弱哈希（易被碰撞）？（）A.SHA256B.MD5C.SHA512D.SM312.数据库的“脏读”问题是指（）。A.读取到未提交的临时数据B.数据被恶意篡改C.数据备份失败D.索引失效导致查询缓慢13.网络安全等级保护2.0中，第三级系统的安全保护要求属于（）。A.用户自主保护级B.系统审计保护级C.安全标记保护级D.结构化保护级14.以下哪项是物联网设备特有的安全风险？（）A.弱口令B.固件漏洞C.数据泄露D.物理破坏15.用于检测未知攻击的入侵检测技术是（）。A.特征匹配B.异常检测C.协议分析D.日志审计16.无线局域网（WLAN）中，WPA3相比WPA2增强的安全特性是（）。A.TKIP加密B.PSK握手防暴力破解C.WEP认证D.开放网络无保护17.以下哪个工具常用于漏洞扫描？（）A.WiresharkB.NmapC.MetasploitD.JohntheRipper18.电子邮件安全中，SPF协议的作用是（）。A.验证发件人IP是否合法B.加密邮件内容C.防止邮件附件病毒D.过滤垃圾邮件19.云环境中，“多租户隔离”的主要目的是（）。A.提高资源利用率B.防止不同租户数据泄露C.简化管理操作D.降低网络延迟20.信息安全事件响应流程的第一步是（）。A.遏制事件B.分析根因C.准备D.检测与确认第二部分多项选择题（共10题，每题2分，共20分，错选、漏选不得分）1.以下属于网络层安全协议的有（）。A.IPsecB.SSL/TLSC.GRED.AH（认证头）2.常见的Web应用安全防护措施包括（）。A.输入验证B.会话管理C.数据库加密D.防火墙端口过滤3.操作系统安全加固的措施包括（）。A.关闭不必要的服务B.定期更新补丁C.启用审计日志D.禁用管理员账户4.以下属于社会工程学攻击手段的是（）。A.钓鱼邮件B.电话诈骗获取密码C.缓冲区溢出D.水坑攻击5.数据脱敏的常用方法有（）。A.替换B.随机化C.加密D.截断6.网络安全法规定的关键信息基础设施运营者义务包括（）。A.制定应急预案B.定期进行安全检测C.采购网络产品需安全审查D.公开用户个人信息7.以下哪些工具可用于网络流量分析？（）A.WiresharkB.TcpdumpC.NtopngD.BurpSuite8.数据库安全控制措施包括（）。A.权限最小化B.备份与恢复C.存储加密D.索引优化9.无线局域网的安全威胁包括（）。A.弱信号干扰B.中间人攻击C.非法AP接入D.蓝牙设备冲突10.信息安全风险评估的主要步骤包括（）。A.资产识别B.威胁分析C.漏洞评估D.风险计算第三部分填空题（共10题，每题1分，共10分）1.网络安全中，“CIA三要素”指的是机密性、完整性和________。2.常见的抗DDoS技术中，通过清洗中心过滤异常流量的方法称为________。3.Linux系统中，用于设置文件权限的命令是________。4.电子邮件的加密协议是________（写出一种）。5.防火墙按照工作层次分类，可分为包过滤防火墙、状态检测防火墙和________。6.漏洞生命周期中，未被公开的漏洞称为________漏洞（0day）。7.数据库事务的ACID特性中，“A”代表________。8.无线局域网标准802.11i定义了________协议（WPA2的核心）。9.访问控制模型中，基于角色的访问控制缩写是________。10.信息安全事件分级的主要依据是影响范围和________。第四部分简答题（共5题，第13题每题5分，第45题每题8分，共31分）1.简述TCP三次握手过程，并说明其在防范SYNFlood攻击中的作用。2.列举至少4种常见的Web应用漏洞，并分别说明其危害。3.简述WindowsServer系统中“组策略”的主要功能及典型应用场景。4.某企业内网发现多台主机感染勒索病毒，作为安全管理员，应如何执行事件响应流程？请分步骤说明。5.结合等级保护2.0要求，说明第三级信息系统在“安全通信网络”层面需满足的至少5项安全要求。第五部分应用分析题（共1题，19分）某企业Web服务器（IP：00）的Apache访问日志中出现以下异常记录：```00[05/Mar/2025:14:30:15+0800]"GET/login.php?user=admin'&pass=123HTTP/1.1"200123400[05/Mar/2025:14:30:16+0800]"GET/login.php?user=admin%20OR%201=1&pass=123HTTP/1.1"50023400[05/Mar/2025:14:30:17+0800]"GET/phpmyadmin/index.php?target=db_sql.php?db=test;DROP%20TABLE%20usersHTTP/1.1"403150```问题：（1）分析上述日志记录中的异常行为，指出可能的攻击类型及依据。（8分）（2）针对该攻击类型，提出至少4项具体的防护措施。（6分）（3）若该服务器同时暴露在公网，需额外部署哪些安全设备或策略？（5分）答案及解析第一部分单项选择题1.B（数据链路层负责帧封装与差错检测）2.C（SSH是安全远程登录协议，Telnet明文传输）3.C（AES256密钥长度256位）4.C（SQL注入是应用层攻击，非DDoS）5.B（NAC核心是终端合规性检查）6.B（本地安全策略用于权限管理）7.C（XSS是应用层漏洞，ARP欺骗是链路层，缓冲区溢出是系统层）8.A（CA是证书颁发机构）9.B（状态检测跟踪会话状态，增强连接安全性）10.B（netstatan查看开放端口）11.B（MD5易被碰撞，已被弃用）12.A（脏读指读取未提交的临时数据）13.C（等保2.0三级为安全标记保护级）14.B（物联网设备固件更新困难，易存在漏洞）15.B（异常检测基于正常行为模型，检测未知攻击）16.B（WPA3增强PSK握手防暴力破解）17.B（Nmap用于端口扫描和漏洞探测）18.A（SPF验证发件人IP合法性）19.B（多租户隔离防止数据泄露）20.D（事件响应第一步是检测与确认）第二部分多项选择题1.AD（IPsec包括AH和ESP，属于网络层；SSL/TLS是传输层）2.ABC（端口过滤是网络层防护，非Web应用特有）3.ABC（禁用管理员账户不现实，应限制其使用）4.ABD（缓冲区溢出是技术攻击，非社会工程）5.ABD（加密是保护手段，非脱敏）6.ABC（公开用户信息违反隐私保护）7.ABC（BurpSuite用于Web应用测试）8.ABC（索引优化是性能优化，非安全控制）9.BC（弱信号干扰是物理层问题，蓝牙冲突非WLAN威胁）10.ABCD（风险评估四步骤）第三部分填空题1.可用性2.流量清洗3.chmod4.S/MIME（或PGP）5.应用层网关（或代理防火墙）6.零日（或0day）7.原子性8.CCMP（或AESCCM）9.RBAC10.损害程度第四部分简答题1.TCP三次握手过程：（1）客户端发送SYN包（seq=x）请求连接；（2）服务器回复SYN+ACK包（seq=y,ack=x+1）确认；（3）客户端发送ACK包（ack=y+1）完成连接。防范SYNFlood作用：攻击者伪造大量SYN包（源IP虚假），导致服务器半连接队列耗尽。三次握手通过限制半连接存活时间、启用SYNCookie（动态生成确认号）等机制，减少资源消耗。2.常见Web应用漏洞及危害：（1）SQL注入：攻击者通过输入恶意SQL语句，窃取或篡改数据库数据（如用户信息泄露）；（2）XSS（跨站脚本）：插入恶意脚本，劫持用户会话（如Cookie窃取）；（3）CSRF（跨站请求伪造）：诱导用户执行非自愿操作（如转账、修改密码）；（4）文件上传漏洞：上传恶意文件（如Webshell），获取服务器控制权。3.组策略功能及场景：功能：集中管理Windows用户和计算机的配置，包括安全设置、软件安装、脚本执行等。典型场景：（1）强制用户密码复杂度；（2）禁用USB存储设备；（3）设置屏幕保护自动锁定时间；（4）统一部署系统补丁。4.勒索病毒事件响应流程：（1）检测与确认：通过EDR工具或日志发现主机文件加密、弹出勒索提示；（2）遏制扩散：隔离感染主机（断网），关闭受影响服务，阻止横向传播；（3）分析根因：检查日志确认攻击入口（如钓鱼邮件、漏洞利用），确定病毒类型（如LockBit）；（4）清除与恢复：使用杀毒软件扫描清除病毒，通过最近备份恢复文件（避免支付赎金）；（5）总结改进：修复漏洞（如打补丁）、加强员工安全培训、优化备份策略。5.等保2.0第三级“安全通信网络”要求：（1）网络设备支持访问控制列表（ACL），限制非授权访问；（2）部署入侵检测/防御系统（IDS/IPS），实时监测攻击；（3）重要通信链路采用加密传输（如IPsecVPN）；（4）网络设备启用日志审计，保留6个月以上记录；（5）划分安全区域（如DMZ区、内网区），区域间通过防火墙隔离；（6）关键网络设备（如核心交换机）支持冗余配置（双机热备）。第五部分应用分析题（1）异常行为及攻击类型：第一条日志：`user=admin'`，单引号闭合SQL语句，``注释后续内容，疑似SQL注入尝试；第二条日志：`user=adminOR1=1`，逻辑或语句使条件恒真，尝试绕过认证，属于SQL注入；第三条日志：`target=db_sql.php?db=test;DROPTABLEusers`，尝试执行DROPTABLE删除表，是SQL注入后的数据破坏攻击。（2）防护措施：应用层：使用参数化查询（预编译语句），避免拼接SQL；输入验证：对用户输入进行转义（如转义单引号、分号），限制特殊字符；Web应用防火墙（WAF）：部署WAF过滤包含SQL特征的请求；