2025年网络与信息安全管理员三级模拟试卷及答案(网络安全防护)

2025年网络与信息安全管理员三级模拟试卷及答案(网络安全防护)一、单项选择题（共15题，每题2分，共30分）1.以下哪类防火墙通过维护状态表记录连接信息，能够识别合法连接的后续数据包？A.包过滤防火墙B.状态检测防火墙C.应用层网关防火墙D.电路级网关防火墙2.某企业网络中部署了入侵检测系统（IDS），其核心功能是：A.实时阻断恶意流量B.监控网络流量并报警C.自动修复系统漏洞D.加密传输数据3.以下哪种攻击方式属于传输层DDOS攻击？A.DNS放大攻击B.SYN泛洪攻击C.ICMP请求泛洪（PingFlood）D.HTTPGET请求泛洪4.对于Web应用防火墙（WAF），其主要防护对象是：A.网络层的IP欺骗攻击B.传输层的端口扫描C.应用层的SQL注入、XSS攻击D.物理层的线路中断5.以下哪个工具常用于漏洞扫描？A.WiresharkB.NmapC.MetasploitD.Nessus6.在访问控制模型中，“用户权限由其所属角色决定”的模型是：A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）7.以下哪种加密算法属于对称加密？A.RSAB.AESC.ECCD.SHA2568.某日志中出现“0[01/Jan/2024:12:00:00+0800]"POST/login.phpHTTP/1.1"2001234"""Mozilla/5.0"SQLinjectionattemptdetected”，该日志最可能来自：A.防火墙B.入侵检测系统C.路由器D.交换机9.为防止未授权用户通过蓝牙连接访问企业设备，应优先配置：A.MAC地址过滤B.WPA3加密C.蓝牙可见性关闭D.端口转发规则10.以下哪项是漏洞生命周期的最后阶段？A.漏洞发现B.漏洞验证C.漏洞修复D.漏洞通告11.在IPSecVPN中，负责提供数据加密的协议是：A.AH（认证头）B.ESP（封装安全载荷）C.IKE（互联网密钥交换）D.L2TP（第二层隧道协议）12.以下哪种攻击利用了操作系统或应用程序的缓冲区溢出漏洞？A.跨站脚本（XSS）B.拒绝服务（DoS）C.远程代码执行（RCE）D.钓鱼攻击13.某企业需对员工访问内部文件服务器的权限进行精细化控制，应优先采用：A.网络地址转换（NAT）B.访问控制列表（ACL）C.虚拟专用网（VPN）D.动态主机配置协议（DHCP）14.以下哪个指标用于衡量防火墙的处理能力？A.最大并发连接数B.加密算法强度C.日志存储容量D.接口数量15.针对“僵尸网络（Botnet）”的防护，最有效的措施是：A.部署入侵防御系统（IPS）B.定期更新防病毒软件特征库C.限制员工访问社交网站D.启用网络流量异常检测二、多项选择题（共10题，每题3分，共30分。每题至少2个正确选项，错选、漏选均不得分）1.以下属于零信任架构核心原则的有：A.持续验证访问请求B.最小权限访问C.单一信任边界D.动态调整访问策略2.WAF（Web应用防火墙）的主要功能包括：A.过滤恶意HTTP请求B.检测SQL注入和XSS攻击C.加密数据库敏感数据D.记录Web访问日志3.以下哪些是常见的漏洞扫描类型？A.主机漏洞扫描B.网络漏洞扫描C.数据库漏洞扫描D.物理漏洞扫描4.传输层安全协议（TLS）的主要作用包括：A.数据加密B.身份认证C.防止IP地址欺骗D.保证数据完整性5.针对DDoS攻击的防护措施包括：A.流量清洗（TrafficScrubbing）B.部署抗DDoS设备C.关闭不必要的端口和服务D.增加服务器带宽6.以下哪些属于主机安全防护技术？A.主机入侵检测（HIDS）B.系统补丁管理C.防火墙规则配置D.磁盘加密（如BitLocker）7.访问控制的三要素是：A.主体（Subject）B.客体（Object）C.规则（Rule）D.加密（Encryption）8.以下哪些是无线网络（WiFi）的常见安全威胁？A.弱口令破解（如WPA2PSK）B.伪AP（钓鱼热点）C.ARP欺骗D.蓝牙嗅探9.漏洞修复的常用方法包括：A.安装官方补丁B.配置安全策略（如禁用漏洞功能）C.卸载存在漏洞的软件D.重启设备10.以下哪些工具可用于网络流量分析？A.WiresharkB.TcpdumpC.NtopngD.OpenVAS三、填空题（共10空，每空2分，共20分）1.状态检测防火墙通过维护________表来跟踪连接状态。2.入侵防御系统（IPS）与入侵检测系统（IDS）的主要区别在于IPS能够________恶意流量。3.SQL注入攻击的本质是利用________未对用户输入进行有效过滤。4.常见的哈希算法有SHA256和________（列举1个）。5.为防止MAC地址欺骗，交换机可配置________功能绑定MAC地址与端口。6.零信任架构的核心思想是“________”，即默认不信任任何内部或外部实体。7.漏洞扫描的三种模式是：________扫描、非认证扫描和混合扫描。8.传输层的主要协议有TCP和________。9.蓝牙的安全模式中，________模式要求设备在通信前必须完成配对认证。10.针对DNS劫持的防护措施包括使用________（如DNSoverHTTPS）加密DNS查询。四、简答题（共5题，第13题每题6分，第45题每题8分，共34分）1.（封闭型）简述防火墙的基本功能（至少列出4项）。2.（封闭型）说明漏洞扫描与渗透测试的区别。3.（封闭型）列举5种常见的Web应用安全威胁。4.（开放型）某企业办公网需部署访问控制策略，需考虑哪些关键因素？请结合实际场景说明。5.（开放型）设计一个针对企业邮件服务器的安全防护方案，需包括技术措施和管理措施。五、应用题（共3题，第1题10分，第2题12分，第3题14分，共36分）1.（分析类）某企业Web服务器日志中出现以下异常记录：```[02/Feb/2024:08:30:00+0800]"GET/user.php?id=1';DROPTABLEusers;HTTP/1.1"500234[02/Feb/2024:08:30:01+0800]"GET/user.php?id=<script>alert('xss')</script>HTTP/1.1"2001567```问题：（1）分析这两条日志可能对应的攻击类型；（2）提出至少3项针对性防护措施。2.（综合类）某企业网络拓扑如下：边界：公网IP→防火墙→核心交换机内网：核心交换机→办公子网（/24）、服务器子网（/24）服务器子网包含Web服务器（80/443端口）、邮件服务器（25/110/465端口）、文件服务器（445端口）问题：（1）指出该拓扑中可能存在的安全风险；（2）设计防火墙的访问控制规则（至少5条），要求符合最小权限原则。3.（案例类）某企业因员工点击钓鱼邮件，导致办公电脑感染勒索病毒，部分文档被加密。应急响应团队需执行以下步骤：（1）隔离受感染设备；（2）分析病毒样本；（3）恢复数据；（4）修复系统漏洞；（5）制定防护策略。问题：（1）说明每一步的具体操作内容；（2）列举3种防止勒索病毒再次感染的技术措施。参考答案一、单项选择题1.B2.B3.B4.C5.D6.C7.B8.B9.C10.C11.B12.C13.B14.A15.D二、多项选择题1.ABD2.ABD3.ABC4.ABD5.ABCD6.ABD7.ABC8.AB9.ABC10.ABC三、填空题1.状态2.主动阻断3.Web应用程序4.MD5（或SHA1等）5.端口安全6.永不信任，持续验证7.认证8.UDP9.模式410.加密DNS协议四、简答题1.防火墙的基本功能包括：（1）数据包过滤（基于源/目IP、端口、协议）；（2）网络地址转换（NAT）；（3）流量监控与日志记录；（4）应用层协议识别与控制（如限制P2P流量）；（5）抵御部分DDoS攻击（如SYN泛洪防护）。2.漏洞扫描是自动化工具检测已知漏洞（如未打补丁、弱配置），侧重发现安全隐患；渗透测试是模拟真实攻击，通过人工/工具验证漏洞可利用性，侧重评估实际风险。漏洞扫描是渗透测试的基础步骤。3.常见Web应用安全威胁：SQL注入、XSS（跨站脚本）、CSRF（跨站请求伪造）、文件上传漏洞、SSRF（服务器端请求伪造）、路径遍历、弱口令、未授权访问。4.关键因素包括：（1）用户角色分类（如普通员工、管理员、访客）；（2）资源敏感等级（如公共文档、财务数据、研发资料）；（3）访问时间限制（如非工作时间禁止访问核心系统）；（4）最小权限原则（仅授予完成任务所需的最低权限）；（5）多因素认证（如员工访问财务系统需密码+动态令牌）；（6）审计与日志（记录所有访问行为，便于追溯）。5.技术措施：（1）部署邮件网关（过滤垃圾邮件、钓鱼邮件）；（2）启用SPF、DKIM、DMARC协议防止伪造；（3）对邮件内容进行病毒扫描和URL信誉分析；（4）加密传输（SMTPoverTLS、IMAPS）；（5）限制附件类型（如禁止.exe、.vbs）。管理措施：（1）定期开展员工安全培训（识别钓鱼邮件）；（2）制定邮件使用规范（禁止发送敏感信息至外部邮箱）；（3）设置管理员定期审计邮件日志；（4）备份邮件服务器数据（防止数据丢失）。五、应用题1.（1）第一条日志为SQL注入攻击（尝试执行DROPTABLE命令）；第二条为XSS攻击（插入恶意脚本）。（2）防护措施：①在Web服务器前端部署WAF，过滤恶意请求；②对用户输入进行转义或使用预编译语句（如PDO预处理）；③启用Web应用的输入验证（限制特殊字符）；④定期更新Web框架和数据库补丁；⑤开启详细日志记录，及时监控异常访问。2.（1）安全风险：①办公子网与服务器子网未隔离，办公终端感染病毒可能传播至服务器；②服务器开放端口过多（如445端口易受勒索病毒攻击）；③未明确边界防火墙的访问控制策略，可能存在非法外连；④服务器未部署主机防火墙，缺乏细粒度防护。（2）防火墙规则示例（方向：公网→内网）：①允许公网80/443端口访问Web服务器（0）；②允许公网465/993端口访问邮件服务器（0）；③禁止公网直接访问文件服务器（0）；④办公子网（/24）仅允许访问服务器子网的80/443/25/110/465端口；⑤禁止所有ICMP请求（防止Ping扫描）；⑥限制单IP并发连接数（防DDoS）。3.（1）步骤操作：①隔离设备：断开网络连接（有线+无线），避免病毒扩散；②分析样本：使用沙箱工具（如Cuckoo）分析病毒行为（如加密算法、通信C2服务器）；③恢复数据：使用最近备份（需验证备份未被感染），或尝试解密工具