2025年网络与信息安全管理员职业技能等级考试(三级)网络安全防护试题(含答案)

2025年网络与信息安全管理员职业技能等级考试(三级)网络安全防护试题(含答案)一、单项选择题（每题2分，共20分）1.以下哪种防火墙技术通过检查数据包的源地址、目的地址、端口号和协议类型实现过滤？A.包过滤防火墙B.状态检测防火墙C.应用层网关防火墙D.下一代防火墙答案：A2.若某系统采用AES256加密算法对64字节的明文数据进行加密（无填充），最终密文长度为？A.64字节B.128字节C.256字节D.32字节答案：A（AES分组加密，64字节为4个128位分组，无填充时密文长度与明文相同）3.以下不属于访问控制模型的是？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于内容的访问控制（CBAC）答案：D（CBAC是Cisco的一种动态包过滤技术，非访问控制模型）4.某主机开放的端口中，22号端口对应服务是？A.HTTPB.HTTPSC.SSHD.FTP答案：C5.以下哪项是Windows系统中用于查看当前网络连接的命令？A.pingB.tracertC.netstatD.ipconfig答案：C6.某企业网络中部署了入侵检测系统（IDS），其核心功能是？A.阻断恶意流量B.实时监控并报警C.修复系统漏洞D.加密传输数据答案：B（IDS侧重检测与报警，IPS才具备阻断功能）7.以下哪种漏洞属于缓冲区溢出漏洞？A.SQL注入B.XSS跨站脚本C.CVE202321529（Windows内核栈溢出）D.CSRF跨站请求伪造答案：C8.安全策略文档中“最小权限原则”的核心要求是？A.用户仅获得完成任务所需的最低权限B.所有用户权限统一管理C.管理员拥有最高权限D.定期修改用户密码答案：A9.以下哪种协议用于安全的远程登录？A.TelnetB.RDPC.SSHD.FTP答案：C10.某网站采用HTTPS协议，其默认端口号是？A.80B.443C.21D.25答案：B二、多项选择题（每题3分，共15分，少选、错选均不得分）1.以下属于网络安全等级保护2.0基本要求的是？A.安全物理环境B.安全通信网络C.安全区域边界D.安全计算环境答案：ABCD2.漏洞扫描工具的主要类型包括？A.主机扫描B.网络扫描C.数据库扫描D.应用扫描答案：ABCD3.以下哪些措施可用于防范DDoS攻击？A.部署流量清洗设备B.限制ICMP请求速率C.关闭不必要的端口D.定期更新系统补丁答案：ABC（DDoS攻击与系统漏洞无直接关联）4.以下属于对称加密算法的是？A.AESB.RSAC.DESD.3DES答案：ACD（RSA是非对称加密）5.安全域划分的原则包括？A.业务相关性B.安全等级一致性C.流量流向合理性D.设备品牌统一性答案：ABC三、填空题（每空1分，共10分）1.常见的Web应用漏洞包括SQL注入、XSS跨站脚本、______（示例：CSRF跨站请求伪造）等。答案：文件上传漏洞（或任意文件读取、逻辑漏洞等）2.防火墙的三种部署模式为透明模式、路由模式和______。答案：混杂模式（或旁路模式）3.网络安全事件分为四级，其中特别重大事件（I级）的标准是______（需具体描述）。答案：造成特别严重损害或影响（如大量关键系统瘫痪、大规模数据泄露等）4.哈希算法的典型特征是______（至少答两点）。答案：不可逆性、固定输出长度（或抗碰撞性）5.Windows系统中，用于查看用户组信息的命令是______。答案：netlocalgroup6.无线局域网（WLAN）的常见加密协议有WEP、WPA和______。答案：WPA2/WPA37.漏洞生命周期的阶段包括发现、验证、______、修复。答案：利用（或公开）8.入侵检测系统按部署方式分为网络型IDS（NIDS）和______（HIDS）。答案：主机型IDS9.访问控制的三要素是主体、客体和______。答案：控制策略10.某IP地址为00，子网掩码为28，其所在子网的网络地址是______。答案：（计算：100的二进制是01100100，子网掩码前25位，网络地址为前25位不变，即）四、简答题（共20分）1.（封闭型，5分）简述零信任架构的核心原则。答案：零信任架构的核心原则包括：①永不信任，持续验证（所有访问请求需动态验证身份、设备、环境等）；②最小权限访问（仅授予完成任务所需的最小权限）；③全流量可见（监控所有网络流量）；④动态策略调整（根据风险变化实时调整访问策略）。2.（开放型，5分）某企业财务系统近期频繁收到异常登录请求（IP来自境外，登录失败次数超50次/小时），请分析可能的攻击类型及应对措施。答案：可能的攻击类型：暴力破解攻击（通过尝试大量密码组合猜测账户）。应对措施：①启用登录失败锁定策略（如连续5次失败锁定30分钟）；②部署Web应用防火墙（WAF）拦截异常IP请求；③启用多因素认证（MFA）增加验证复杂度；④记录并分析登录日志，封禁高频攻击IP；⑤更新弱密码策略，强制使用12位以上复杂密码。3.（封闭型，5分）简述漏洞扫描与渗透测试的区别。答案：①目的不同：漏洞扫描是自动化检测已知漏洞；渗透测试是模拟真实攻击，验证系统防护能力。②方法不同：漏洞扫描依赖漏洞库匹配；渗透测试需人工分析、利用漏洞。③深度不同：漏洞扫描仅发现漏洞；渗透测试可验证漏洞是否可被利用。④结果形式不同：漏洞扫描输出漏洞列表；渗透测试输出攻击路径与风险评估。4.（开放型，5分）某公司办公网与生产网未做隔离，存在哪些安全风险？提出至少3项隔离措施。答案：安全风险：①办公网终端可能感染恶意软件，通过内网传播至生产网；②非授权人员可从办公网访问生产数据，导致数据泄露；③生产网敏感流量可能被办公网设备嗅探。隔离措施：①部署防火墙划分安全域，办公网与生产网间设置访问控制列表（ACL）；②采用VLAN技术隔离二层网络；③生产网部署物理隔离网闸，仅允许必要数据单向传输；④办公网终端安装终端安全管理软件，禁止访问生产网IP段。五、应用题（共35分）1.（分析类，10分）某企业网络拓扑如下：互联网出口部署防火墙（F1），公网IP为/30；内网分为办公区（/24）、服务器区（/24）；服务器区包含Web服务器（0）、数据库服务器（0）；近期Web服务器频繁遭受SQL注入攻击。问题：（1）请分析防火墙F1应配置哪些基础安全策略？（5分）（2）针对SQL注入攻击，除防火墙外还需哪些防护措施？（5分）答案：（1）防火墙F1基础策略：①拒绝所有默认流量（denyall）；②允许办公区（/24）访问服务器区HTTP（80）、HTTPS（443）端口；③限制公网仅允许访问Web服务器80/443端口，禁止直接访问数据库服务器；④启用SYN洪水攻击防护（SYNFloodProtection）；⑤记录所有入站/出站流量日志。（2）其他防护措施：①Web服务器部署WAF（Web应用防火墙），检测并阻断SQL注入Payload；②开发阶段使用参数化查询（PreparedStatement），避免拼接SQL语句；③对Web应用进行代码审计，修复输入验证漏洞；④数据库服务器启用最小权限账户（仅授予查询/写入必要权限）；⑤定期更新Web服务器和数据库的安全补丁。2.（计算类，10分）某企业需对客户信息数据库进行加密存储，选择AES128加密算法（CBC模式，PKCS7填充）。假设明文为“客户姓名：张三；身份证号（共30字节），密钥为16字节随机数，初始化向量（IV）为16字节随机数。问题：（1）计算加密后的密文长度（需写出计算过程）。（6分）（2）CBC模式中初始化向量（IV）的作用是什么？（4分）答案：（1）明文长度30字节，AES分组长度为16字节（128位）。PKCS7填充规则：若明文长度不是16的整数倍，填充n个字节，每个字节值为n。30÷16=1余14，需填充2字节（每个字节值为0x02），填充后明文长度为32字节（2个分组）。CBC模式下，每个分组加密后生成16字节密文，总密文长度为2×16=32字节（IV为16字节，但IV不计算在密文长度中，仅随密文传输）。（2）IV的作用：①增加加密随机性，避免相同明文分组生成相同密文；②防止攻击者通过分析密文模式推测明文结构；③在CBC模式中，第一个明文分组与IV异或后加密，确保每个加密过程的独立性。3.（综合类，15分）某企业日志服务器收到如下三条日志记录（时间戳已省略）：日志1：源IP：00|目的IP：0|端口：80|方法：POST|URI：/login.php|状态码：401|内容：username=admin&password=123456日志2：源IP：00|目的IP：0|端口：80|方法：POST|URI：/login.php|状态码：401|内容：username=admin&password=abcdef日志3：源IP：00|目的IP：0|端口：80|方法：POST|URI：/login.php|状态码：200|内容：username=admin&password=Admin@2025问题：（1）分析日志反映的安全事件类型及潜在风险。（5分）（2）提出至少5项针对性的防护措施。（5分）（3）说明如何通过日志分析确认是否存在其他关联攻击。（5分）答案：（1）事件类型：暴力破解攻击（源IP00尝试多次不同密码登录Web服务器）。潜在风险：若弱密码被破解（如日志3中成功登录），攻击者可获取管理员权限，篡改网站内容、窃取数据或植入后门。（2）防护措施：①在Web服务器启用登录失败锁定（如连续5次失败锁定账户30分钟）；②限制单IP登录请求速率（如每分钟最多5次登录尝试）；③强制管理员账户使用复杂密码（包含字母、数字、特殊符号，长度≥12位）；④启用多因素认证（如短信验证码或硬件令牌）；⑤在防火墙或WAF中封禁频繁尝试登录的IP（如00）；⑥记录详细登录日志（包括用户代理、源MAC地址等），便于追溯。（3