2025年网络信息安全管理员三级考试模拟试卷附答案(网络安全防护)

2025年网络信息安全管理员三级考试模拟试卷附答案(网络安全防护)一、单项选择题（共15题，每题2分，共30分）1.以下哪种防火墙技术能够基于通信会话的上下文信息进行动态规则匹配？A.包过滤防火墙B.状态检测防火墙C.应用层网关防火墙D.电路层网关防火墙2.某企业网络中部署了入侵检测系统（IDS），当检测到异常流量时仅生成警报但不阻断，该IDS属于：A.基于特征的IDSB.基于异常的IDSC.主动式IDSD.被动式IDS3.在访问控制模型中，“用户权限由其所属角色决定”的模型是：A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）4.以下哪个端口通常用于HTTPS服务？A.80B.443C.21D.225.针对SQL注入攻击，最根本的防护措施是：A.部署Web应用防火墙（WAF）B.对用户输入进行严格校验和转义C.定期更新数据库补丁D.限制数据库管理员权限6.以下哪种加密算法属于对称加密？A.RSAB.ECCC.AESD.SHA2567.在TCP三次握手过程中，客户端发送的第一个数据包标志位是：A.SYNB.ACKC.FIND.RST8.某主机的IP地址为0/24，其默认网关最可能的地址是：A.B.C.55D.9.以下哪项不属于漏洞扫描工具的核心功能？A.识别目标主机开放的端口B.检测已知漏洞的存在C.修复系统漏洞D.生成漏洞风险报告10.在DDoS攻击中，“利用大量伪造的SYN请求耗尽目标主机资源”的攻击类型是：A.UDPFloodB.ICMPFloodC.SYNFloodD.DNS放大攻击11.以下哪种协议用于安全的远程登录？A.TelnetB.FTPC.SSHD.SMTP12.某企业要求“非授权用户无法读取敏感数据”，这体现了信息安全的哪个基本属性？A.完整性B.可用性C.保密性D.可控性13.数字证书的颁发机构是：A.CA（证书认证中心）B.RA（注册机构）C.CRL（证书撤销列表）D.OCSP（在线证书状态协议）14.以下哪项是Windows系统中用于查看当前网络连接的命令？A.pingB.tracertC.netstatD.ipconfig15.针对无线局域网（WLAN）的WEP协议，其最主要的安全缺陷是：A.密钥长度过短（40位/104位）B.采用静态密钥C.IV（初始化向量）重复使用导致密钥可破解D.不支持双向认证二、多项选择题（共10题，每题3分，共30分。每题至少有2个正确选项，错选、漏选均不得分）1.以下属于网络安全防护体系组成部分的有：A.防火墙B.入侵防御系统（IPS）C.漏洞扫描系统D.终端安全管理系统2.常见的访问控制技术包括：A.基于身份的访问控制（IBAC）B.基于规则的访问控制（RBAC）C.强制访问控制（MAC）D.自主访问控制（DAC）3.以下哪些措施可用于防范ARP欺骗攻击？A.绑定静态ARP表B.部署ARP防火墙C.启用交换机的端口安全功能D.定期更新操作系统补丁4.以下属于传输层安全协议的有：A.SSL/TLSB.IPsecC.HTTPSD.SSH5.漏洞扫描的类型包括：A.主机扫描B.网络扫描C.数据库扫描D.Web应用扫描6.以下哪些是DDoS攻击的防护手段？A.流量清洗（TrafficScrubbing）B.部署抗DDoS设备C.限制主机并发连接数D.关闭不必要的网络服务7.以下关于防火墙规则配置的说法正确的有：A.应遵循“最小权限”原则，默认拒绝所有流量B.规则顺序影响匹配结果，需按优先级排列C.应允许ICMP协议以保证网络连通性D.对HTTP流量应开放80端口和443端口8.以下属于常见Web安全漏洞的有：A.XSS（跨站脚本攻击）B.CSRF（跨站请求伪造）C.缓冲区溢出D.文件包含漏洞9.以下哪些加密算法可用于数字签名？A.RSAB.AESC.ECC（椭圆曲线加密）D.SHA256（哈希算法）10.以下关于日志分析的说法正确的有：A.需关注异常的登录时间、IP地址和失败次数B.应定期备份日志并设置日志保留周期C.防火墙日志可记录流量的源/目的IP、端口和操作结果D.应用日志中需重点分析SQL查询语句的执行情况三、填空题（共10题，每题2分，共20分）1.网络安全防护的核心目标是保障信息的保密性、完整性和__________。2.防火墙的基本工作模式包括路由模式、透明模式和__________模式。3.入侵检测系统（IDS）的两种主要检测方法是基于特征检测和基于__________检测。4.常见的无线局域网安全协议中，WPA3相比WPA2增强了__________机制以防范暴力破解。5.在TCP/IP模型中，负责将IP地址转换为MAC地址的协议是__________。6.漏洞生命周期包括漏洞发现、漏洞验证、漏洞修复和__________四个阶段。7.数字签名的主要作用是确保数据的完整性、__________和不可抵赖性。8.网络访问控制（NAC）的核心功能是对终端的__________进行校验，符合要求后才允许接入网络。9.常见的端口扫描工具中，__________（工具名）支持多种扫描类型（如SYN扫描、ACK扫描）并具备强大的脚本扩展能力。10.针对钓鱼邮件的防护措施中，__________（协议）通过验证邮件发件人域名的真实性来防止伪造。四、简答题（共5题，第12题每题5分，第35题每题8分，共34分）1.（封闭型）简述包过滤防火墙与状态检测防火墙的核心区别。2.（封闭型）列举至少3种常见的主机安全加固措施。3.（开放型）某企业拟在办公网与互联网之间部署防火墙，需设计安全策略。请说明策略制定的基本原则和关键规则（如允许/拒绝的流量类型）。4.（开放型）某公司Web服务器近期频繁遭受CC攻击（挑战黑洞攻击），导致服务不可用。请分析CC攻击的原理，并提出至少4种防护措施。5.（综合型）某企业网络拓扑如下：核心交换机连接防火墙（互联网接口）、DMZ区（Web服务器）和内网（办公终端）。请绘制简化拓扑图（文字描述即可），并说明各区域的安全隔离策略（如防火墙规则、访问控制列表配置）。五、应用题（共2题，每题18分，共36分）1.（分析型）以下是某防火墙的部分日志记录（时间格式：YYYYMMDDHH:MM:SS）：|时间|源IP|目的IP|源端口|目的端口|协议|操作||||||||||2024110514:23:10|00||53421|80|TCP|允许||2024110514:23:12|00||53422|80|TCP|允许||2024110514:23:15|00||53423|80|TCP|允许||...（连续50条类似记录）|...|...|...|...|...|...||2024110514:25:00||00|80|53421|TCP|允许|（1）分析上述日志可能反映的异常行为及潜在攻击类型；（2）提出针对性的防护措施。2.（综合型）某企业计划构建包含终端、边界、应用层的三级防护体系。请结合实际场景：（1）说明终端层需部署的安全措施（如防病毒、补丁管理等）；（2）设计边界层的防护架构（需包含具体设备和技术）；（3）列举应用层需重点防护的Web安全漏洞及对应的防护方法。答案及解析一、单项选择题1.B（状态检测防火墙跟踪会话状态，动态调整规则）2.D（被动式IDS仅报警不阻断，主动式可阻断）3.C（RBAC通过角色分配权限）4.B（HTTPS默认端口443）5.B（输入校验是SQL注入的根本防护）6.C（AES是对称加密，RSA/ECC是公钥加密，SHA256是哈希）7.A（三次握手第一步：客户端发送SYN）8.B（默认网关通常为子网的第一个可用IP）9.C（漏洞扫描工具不负责修复，需人工或补丁管理系统）10.C（SYNFlood利用伪造SYN请求耗尽连接资源）11.C（SSH提供安全的远程登录，Telnet明文传输）12.C（保密性即防止非授权读取）13.A（CA是数字证书的颁发机构）14.C（netstat查看网络连接，ipconfig查看IP配置）15.C（WEP的IV重复使用导致密钥易被破解）二、多项选择题1.ABCD（均为防护体系组成部分）2.CD（IBAC非标准术语，RBAC是基于角色，正确选项为MAC、DAC）3.ABC（ARP欺骗与系统补丁无关）4.AB（SSL/TLS、IPsec属于传输层，HTTPS是应用层，SSH是应用层协议）5.ABCD（主机、网络、数据库、Web应用均为扫描类型）6.ABCD（均为DDoS防护手段）7.AB（ICMP可能被用于攻击，需谨慎开放；443是HTTPS端口，80是HTTP）8.ABD（缓冲区溢出属于系统层漏洞，非Web特有）9.AC（RSA、ECC可用于签名，AES是加密，SHA256是哈希）10.ABCD（均为日志分析的关键要点）三、填空题1.可用性2.路由（或“NAT”，但通常模式为路由、透明、混合，此处填“混合”更准确）3.异常4.SAE（安全自动配置，防止离线暴力破解）5.ARP（地址解析协议）6.漏洞发布（或“漏洞响应”）7.真实性（或“身份认证”）8.安全状态（如补丁安装、防病毒开启）9.Nmap10.SPF（发件人策略框架）/DKIM（域名密钥识别邮件）/DMARC（基于域的邮件认证、报告和一致性）（任填其一）四、简答题1.核心区别：包过滤防火墙仅检查IP、端口等数据包头部信息，不跟踪会话状态；状态检测防火墙会建立会话表，记录通信上下文（如连接发起方、会话状态），并基于会话状态动态允许后续数据包通过，安全性更高。2.主机安全加固措施：（1）关闭不必要的服务和端口；（2）设置复杂口令并定期更换；（3）安装最新系统补丁和安全更新；（4）启用防火墙和防病毒软件；（5）限制用户权限（如禁用管理员账户直接登录）。3.策略制定原则：（1）最小权限原则：仅允许必要流量，默认拒绝；（2）明确性原则：规则描述清晰，避免模糊；（3）优先级原则：规则按重要性从上到下排列；（4）可审计性：记录关键流量日志。关键规则示例：（1）允许内网（办公终端）访问互联网的HTTP（80）、HTTPS（443）、DNS（53）流量；（2）拒绝互联网主动连接内网（仅允许内网发起的会话）；（3）允许DMZ区Web服务器接收互联网的HTTP/HTTPS请求；（4）拒绝所有ICMP流量（或仅允许特定ICMP类型如ping）；（5）限制FTP（21）、Telnet（23）等明文协议的使用。4.CC攻击原理：通过控制大量代理（如僵尸网络）模拟真实用户发起高频HTTP请求（如访问动态页面、提交表单），耗尽Web服务器的连接数或CPU/内存资源，导致服务不可用。防护措施：（1）部署Web应用防火墙（WAF），限制单IP的并发请求数；（2）启用HTTP连接超时设置，关闭空闲连接；（3）使用CDN加速，分散流量并通过边缘节点过滤异常请求；（4）对动态页面实施验证码（CAPTCHA），区分人机请求；（5）升级服务器硬件配置或采用负载均衡集群分担压力；（6）启用流量监控，实时检测异常请求并封禁源IP。5.拓扑描述：互联网→防火墙（互联网接口）→核心交换机→[DMZ区（Web服务器）、内网（办公终端）]安全隔离策略：（1）防火墙规则：互联网到DMZ：允许HTTP（80）、HTTPS（443）入站，拒绝其他端口；互联网到内网：默认拒绝所有入站流量，仅允许内网发起的出站会话；内网到DMZ：根据需求允许管理流量（如SSH、RDP），限制其他流量；（2）核心交换机配置访问控制列表（ACL）：限制DMZ区与内网的互访，仅开放必要端口；对办公终端划分VLAN，隔离不同部门流量；（3）DMZ区服务器加固：关闭不必要服务，安装WAF，定期备份数据；（4）内网终端管理：部署终端安全管理系统，强制安装补丁和防病毒软件。五、应用题1.（1）异常行为及攻击类型分析：日志显示内网主机00在短时间内向（外部IP）的80端口发起大量TCP连接（源端口连续递增），且后续有少量反向连接。这可能是主机被植入僵尸程序，作为DDoS攻击的傀儡机，向目标服务器（）发起TCP连接洪水攻击，消耗目标的并发连接资源。（2）防护措施：立即隔离该主机，断开网络连接，防止继续攻击；扫描主机是否存在恶意软件（如僵尸网络木马），清除病毒并修复系统漏洞；在防火墙上配置流量限制规则，限制单IP到80端口的并发连接数（如每分钟不超过100个）；启用入侵防御系统（IPS），检测并阻断异常连接请求；对该主机的用户进行安全培训，避免访问恶意网站或下载可疑文件；监控网络流量，排查其他可能被感染的主机。2.（1）终端层安全措施：安装企业级防病毒软件，开启实时监控和定期全盘扫描；部署补丁管理系统（如WSUS、SCCM），自动推送系统/软件补丁；启用终端防火墙，限制非必要端口和服务；实施端点准