2025网络与信息安全管理员三级模拟试卷(含答案)

2025网络与信息安全管理员三级模拟试卷(含答案)一、单项选择题（每题2分，共20分）1.以下哪个层次负责将数据转换为物理信号在传输介质上传输？A.网络层B.数据链路层C.物理层D.传输层答案：C2.SQL注入攻击主要利用的是？A.操作系统漏洞B.应用程序输入验证缺陷C.网络协议设计缺陷D.数据库加密不足答案：B3.以下哪种加密算法属于对称加密？A.RSAB.ECCC.AESD.SHA256答案：C4.网络安全等级保护2.0中，第三级系统的安全保护要求属于？A.自主保护级B.指导保护级C.监督保护级D.强制保护级答案：C5.常见的ARP欺骗攻击主要影响哪一层的通信？A.网络层B.数据链路层C.传输层D.应用层答案：B6.以下哪个协议用于安全地传输电子邮件？A.SMTPB.POP3C.IMAPD.S/MIME答案：D7.漏洞扫描工具Nessus的核心功能是？A.捕获网络流量B.检测系统及应用漏洞C.阻断恶意连接D.加密传输数据答案：B8.防火墙的“状态检测”功能主要基于？A.数据包源/目的IPB.传输层端口C.会话上下文信息D.应用层协议内容答案：C9.以下哪个是零信任架构的核心原则？A.网络边界内所有设备默认可信B.持续验证访问请求的合法性C.仅通过IP地址进行访问控制D.仅保护关键服务器，终端无需防护答案：B10.物联网设备常见的安全风险不包括？A.弱密码或默认密码B.固件更新不及时C.支持多种无线协议（如WiFi、蓝牙）D.资源受限导致无法部署复杂安全机制答案：C二、多项选择题（每题3分，共15分。每题至少2个正确选项，错选、漏选均不得分）1.以下属于DDoS攻击类型的有？A.SYNFloodB.DNS放大攻击C.SQL注入D.ICMPEcho请求洪水答案：ABD2.访问控制的常见实现方式包括？A.强制访问控制（MAC）B.自主访问控制（DAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：ABCD3.以下哪些是WPA3协议相比WPA2的改进？A.支持SAE（安全平等认证）防暴力破解B.强制使用AESCCMP加密C.取消TKIP加密方式D.允许开放网络使用Opportunisticwirelessencryption（OWE）答案：ABCD4.网络安全事件分级的主要依据包括？A.影响范围（如用户数、系统数量）B.经济损失程度C.社会影响（如公共秩序、国家安全）D.事件发生频率答案：ABC5.以下属于勒索软件防御措施的有？A.定期离线备份重要数据B.部署终端安全软件（如EDR）C.禁用不必要的系统服务和端口D.对员工进行安全意识培训（如识别钓鱼邮件）答案：ABCD三、填空题（每空2分，共20分）1.HTTPS默认使用的端口号是______。答案：4432.常见的哈希算法中，SHA256的输出长度是______位。答案：2563.网络安全领域的“CIA三要素”指的是机密性、完整性和______。答案：可用性4.无线局域网（WLAN）中，802.11i标准定义了______加密协议。答案：WPA（或WPA2）5.漏洞生命周期中，未被厂商修复且未公开的漏洞称为______漏洞。答案：0day（零日）6.防火墙的典型部署模式包括路由模式、透明模式和______模式。答案：NAT（网络地址转换）7.常见的Web应用防火墙（WAF）检测方式有基于特征、基于异常和______检测。答案：基于行为8.入侵检测系统（IDS）按部署方式可分为网络型IDS（NIDS）和______IDS（HIDS）。答案：主机型9.依据《网络安全法》，关键信息基础设施的运营者应当自行或委托第三方每年至少进行______次网络安全检测评估。答案：1（一）10.物联网（IoT）设备的安全加固措施中，“最小化攻击面”通常指关闭______的服务和端口。答案：不必要四、简答题（共30分）1.（封闭型，8分）简述入侵检测系统（IDS）与入侵防御系统（IPS）的核心区别。答案：IDS（入侵检测系统）是被动监控设备，通过分析网络流量或主机日志检测攻击行为，发现后仅生成警报或日志，不主动干预网络流量；IPS（入侵防御系统）是主动防御设备，在检测到攻击行为后，可立即阻断恶意流量（如丢弃数据包、关闭连接），直接阻止攻击发生。2.（封闭型，8分）简述SSL/TLS握手过程的主要步骤。答案：（1）客户端发送“ClientHello”，包含支持的TLS版本、加密算法列表、随机数等；（2）服务端响应“ServerHello”，选择具体的TLS版本和加密算法，发送证书及随机数；（3）客户端验证服务端证书有效性（如CA签名、域名匹配），生成预主密钥（PreMasterSecret）并通过服务端公钥加密后发送；（4）双方利用预主密钥和各自随机数生成主密钥（MasterSecret），协商对称加密密钥；（5）客户端发送“ChangeCipherSpec”通知切换加密模式，发送“Finished”消息验证握手过程完整性；（6）服务端同样发送“ChangeCipherSpec”和“Finished”消息，握手完成，后续数据通过对称密钥加密传输。3.（开放型，14分）某企业计划将内部网络划分为办公区、研发区、生产区和DMZ区（非军事化区），请设计各区域间的基本安全策略（包括访问控制、边界防护要求）。答案：（1）办公区：员工日常办公区域，仅允许访问内部办公系统（如OA、邮件）和经审批的外部资源；访问研发区：需通过VPN或双因素认证（2FA），禁止直接访问生产区；访问DMZ区：仅允许HTTP/HTTPS流量，禁止其他协议（如RDP、SSH）；（2）研发区：开发测试环境，存储代码和测试数据；访问办公区：限制仅研发部门员工通过授权账号访问；访问生产区：禁止直接访问，需通过审批流程由运维人员中转；访问DMZ区：仅允许特定端口（如8080）的测试流量，需日志审计；（3）生产区：核心业务系统（如ERP、数据库）运行区域；入向访问：仅允许运维管理终端（通过堡垒机）、研发区经审批的测试流量；出向访问：限制仅连接必要的外部服务（如CA、时间服务器）；（4）DMZ区：部署对外服务（如Web服务器、邮件服务器）；入向访问：仅开放80/443（HTTP/HTTPS）、25（SMTP）等必要端口，通过WAF过滤恶意请求；出向访问：禁止访问办公区、研发区和生产区，仅允许连接外部CDN或云服务；（5）边界防护：各区域间部署防火墙，基于五元组（源IP、目的IP、源端口、目的端口、协议）设置访问控制列表（ACL），启用日志审计和入侵检测功能；生产区与其他区域间需部署单向隔离设备（如网闸），确保数据仅能单向流出。五、应用题（共25分）1.（分析类，10分）某企业网络日志中出现以下记录：时间：2024110514:30:00源IP：00（员工终端）目的IP：（内部DNS服务器）源端口：53目的端口：53协议：UDP请求内容：、、…（共50个随机子域名查询）响应内容：00>:300字节，包含大量随机子域名查询分析该日志可能存在的安全事件及应对措施。答案：（1）可能的安全事件：DNS隧道攻击。攻击者通过在DNS请求中嵌入恶意数据（如将指令或窃取的敏感信息编码为子域名），利用DNS协议（通常允许UDP53端口outbound流量）绕过防火墙限制，建立隐蔽通信通道。（2）判断依据：员工终端向内部DNS服务器发送大量随机子域名查询（正常用户不会短时间内查询50个随机子域名），流量特征符合DNS隧道的“高频、随机子域名”特点。（3）应对措施：立即隔离该终端，断开网络连接，防止数据进一步外泄；检查终端进程，关闭异常DNS相关进程（如非系统自带的dnscmd工具）；使用流量分析工具（如Wireshark）深度解析DNS请求内容，提取隐藏数据；升级防火墙策略，限制UDP53端口的outbound流量仅允许访问企业信任的DNS服务器；部署DNS日志分析系统（如Splunk），监控异常子域名查询行为（如每分钟查询次数超过阈值、子域名长度异常等）；对员工终端进行全面病毒扫描（如使用EDR工具检测是否存在DNS隧道恶意软件）。2.（综合类，15分）某小型企业计划部署无线局域网（WLAN），要求覆盖办公区域（约200人），需满足以下安全需求：员工、访客网络隔离；防止SSID广播导致的非法接入；员工接入需身份认证（支持多因素）；禁止私接无线路由器（AP）；监控无线接入点（AP）状态。请设计具体的实施方案（包括设备选型、配置要点、管理措施）。答案：（1）设备选型：核心设备：企业级无线控制器（AC），支持集中管理多个AP（如华为AirEngine576010）；接入设备：高密无线AP（如H3CWA7320），支持802.11ax（WiFi6），覆盖200人需部署45台（每台覆盖50人）；认证服务器：部署Radius服务器（如FreeRADIUS），集成LDAP/AD域，支持多因素认证（如短信验证码、硬件令牌）；监控工具：无线入侵检测系统（WIDS），如ArubaAirWave。（2）配置要点：SSID设置：创建两个独立SSID（“CorpWiFi”和“GuestWiFi”），关闭SSID广播（隐藏SSID）；员工网络（CorpWiFi）：加密：WPA3SAE（安全平等认证），防暴力破解；认证：802.1X+Radius，员工使用域账号+短信验证码（2FA）登录；VLAN隔离：分配独立VLAN（如VLAN100），限制与访客网络（VLAN200）的互访；访客网络（GuestWiFi）：加密：WPA2PSK（预共享密钥），密钥定期更换（如每月1次）；访问控制：限制仅能访问互联网（禁止访问内部服务器），通过防火墙设置ACL；AP管理：启用AP白名单（仅允许企业注册的AP接入AC），防止私接AP；配置AP的“防克隆”功能（检查AP的MAC地址和序列号）；关闭AP的DHCP服务，