网络与信息安全管理员考证试题题库及答案

网络与信息安全管理员考证试题题库及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在OSI七层模型中，负责端到端可靠数据传输的是（）A.网络层B.传输层C.会话层D.数据链路层答案：B2.下列哪一项最能有效抵御重放攻击（）A.时间戳+随机数B.对称加密C.数字信封D.链路加密答案：A3.关于SM4分组密码算法，下列说法正确的是（）A.密钥长度128bit，分组长度64bitB.密钥长度128bit，分组长度128bitC.密钥长度256bit，分组长度128bitD.密钥长度128bit，分组长度256bit答案：B4.在Linux系统中，若文件权限为“rwxrsrx”，则该文件（）A.所有者可写、组用户可执行且SGID位被设置B.所有者可执行、其他用户可写且SUID位被设置C.所有者可执行、组用户可执行且SUID位被设置D.所有者可写、组用户可执行且Sticky位被设置答案：C5.关于防火墙双机热备（HA）的心跳线，下列描述错误的是（）A.建议使用光纤直连以减少延迟B.心跳线可复用业务口节省成本C.心跳线故障会导致脑裂D.心跳报文应加密防止伪造答案：B6.在Windows日志中，事件ID4624表示（）A.账户登录失败B.账户成功登录C.权限提升D.对象访问答案：B7.下列哪条命令可用于查看本机ARP缓存（）A.arpdB.arpsC.arpaD.arpg答案：C8.关于TLS1.3的“0RTT”机制，主要风险是（）A.重放攻击B.中间人降级C.密钥泄漏D.算法不支持前向保密答案：A9.在等级保护2.0中，第三级系统安全运维管理要求每年至少开展几次漏洞扫描（）A.1B.2C.4D.6答案：B10.以下哪项不是入侵检测系统（IDS）的普遍缺陷（）A.误报率高B.无法检测加密流量内容C.可主动阻断连接D.依赖特征库更新答案：C11.关于数字证书X.509v3的“KeyUsage”扩展，若仅允许密钥用于数据加密，则不应包含（）A.keyEnciphermentB.digitalSignatureC.keyAgreementD.dataEncipherment答案：B12.在IPv6中，用于本地链路地址的前缀是（）A.fe80::/10B.2001::/32C.fc00::/7D.::1/128答案：A13.关于SQL注入联合查询（Unionbased）攻击，防御方最彻底的做法是（）A.过滤单引号B.限制返回行数C.使用参数化查询D.关闭数据库报错信息答案：C14.在公钥基础设施（PKI）中，负责发布证书撤销列表（CRL）的实体是（）A.RAB.CAC.VAD.OCSP答案：B15.下列哪种算法被我国商用密码管理条例明确禁止用于保护国家秘密信息（）A.SM2B.SM3C.DESD.SM4答案：C16.关于WiFiWPA3SAE握手，下列说法正确的是（）A.可防止离线字典攻击B.仍使用四次握手C.不支持前向保密D.必须启用802.1X答案：A17.在Linux审计子系统auditd中，用于定义文件监控规则的关键字是（）A.wB.kC.pD.S答案：A18.关于云安全责任共担模型，以下由云服务商负责的是（）A.对象存储内数据加密密钥管理B.虚拟化底层Hypervisor漏洞修复C.用户ECS操作系统补丁D.用户RDS数据库账户口令答案：B19.在渗透测试流程中，获得域名解析历史记录的目的是（）A.发现真实IP绕过CDNB.爆破子域C.获取DNSSEC密钥D.进行社会工程学答案：A20.关于勒索软件“双重勒索”趋势，下列描述正确的是（）A.先加密后窃取数据B.先窃取数据后加密并威胁公开C.仅加密数据库文件D.仅针对工控设备答案：B21.在Python中，使用hashlib计算SM3摘要应调用的函数是（）A.hashlib.sm3()B.hashlib.new('sm3')C.hashlib.sha3_256()D.标准库不支持需安装gmssl答案：D22.关于零信任架构（ZTA），下列哪项不属于核心组件（）A.策略引擎（PE）B.策略管理员（PA）C.策略执行点（PEP）D.边界防火墙（PF）答案：D23.在Apache日志中，出现“\\xcc\\x90”最可能是（）A.UTF8编码B.Unicode编码攻击C.Hex编码绕过WAFD.Base64编码答案：C24.关于内存保护机制DEP，其原理是（）A.栈不可执行B.堆不可读C.代码段不可写D.GOT表只读答案：A25.在Android逆向中，检查APK是否加壳常用的工具是（）A.JEBB.APKiDC.FridaD.GDB答案：B26.关于工业控制系统Modbus协议，下列说法正确的是（）A.基于TCP502端口B.内置加密机制C.支持会话管理D.采用JSON格式答案：A27.在《网络安全法》中，网络运营者应当采取监测、记录网络运行状态的技术措施，相关日志留存时间不少于（）A.1个月B.3个月C.6个月D.12个月答案：C28.关于比特币区块链，下列哪项可破坏其不可篡改性（）A.51%攻击B.双花攻击C.自私挖矿D.重放攻击答案：A29.在容器安全中，为防止容器逃逸，应禁止在Dockerdaemon启动参数中加入（）A.userns=hostB.icc=falseC.selinuxenabledD.nonewprivileges答案：A30.关于威胁情报STIX2.1标准，下列对象用于描述攻击者所用恶意代码家族的是（）A.malwareB.indicatorC.campaignD.intrusionset答案：A二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于对称加密算法（）A.AESB.SM4C.RSAD.3DESE.ECC答案：ABD32.关于防火墙安全域划分，以下说法正确的是（）A.内网安全等级高于外网B.DMZ区可主动访问内网C.外网不能直接访问内网D.同一安全域内部流量默认不经过防火墙E.安全域间策略默认拒绝答案：ACDE33.以下哪些措施可有效降低Web应用点击劫持（Clickjacking）风险（）A.设置XFrameOptions:DENYB.设置ContentSecurityPolicy:frameancestors'none'C.使用JavaScriptframebustingD.启用HTTPSE.过滤<>字符答案：ABC34.在Linux系统加固中，以下哪些文件应设置为600权限（）A./etc/shadowB./etc/passwdC./root/.bash_historyD./etc/ssh/sshd_configE./boot/grub2/grub.cfg答案：ACD35.关于日志集中管理，以下哪些协议或技术可用于安全传输日志（）A.SyslogoverTLSB.RELPC.SNMPv3D.GRE隧道E.BEATS+TLS答案：ABCE36.以下哪些属于OWASPTop102021新增风险（）A.不安全的设计B.软件和数据完整性故障C.服务端请求伪造D.不足的日志与监控E.失效的访问控制答案：ABC37.关于云原生安全，以下哪些属于容器镜像安全最佳实践（）A.使用最小基础镜像B.镜像签名与验证C.将SSH守护进程常驻镜像D.使用多阶段构建E.定期扫描CVE答案：ABDE38.以下哪些命令可用于Windows取证获取内存镜像（）A.DumpItB.winpmemC.ddD.MagnetRAMCaptureE.FTKImager答案：ABDE39.关于社会工程学防御，以下哪些属于技术层面措施（）A.邮件网关过滤钓鱼B.双因素认证C.安全意识培训D.沙箱执行附件E.桌面标准化限制U盘答案：ABDE40.以下哪些属于我国《密码法》规定的核心密码（）A.SM2B.SM3C.SM4D.ZUCE.AES256答案：ABCD三、填空题（每空1分，共20分）41.在TCP三次握手中，SYN+ACK报文将标志位SYN与________同时置1。答案：ACK42.使用nmap进行SYN扫描时，默认发送的探测报文目标端口为________端口。答案：8043.在PKI体系中，OCSP协议默认使用________端口。答案：8044.若SHA256输出长度为________位。答案：25645.在Windows中，用于查看当前登录用户安全标识符的命令是________。答案：whoami/user46.在Linux中，audit规则“aalways,exitFarch=b64Sexecvekcmd”中，k的作用是________。答案：设置规则关键字便于检索47.当HTTPS站点使用HSTS时，首次访问需通过________头字段下发策略。答案：StrictTransportSecurity48.在IPv4首部中，TTL字段占________字节。答案：149.使用GPG对称加密文件时，默认使用的对称算法为________。答案：CAST5（或AES128，系统默认配置不同，答其一即可）50.在AndroidManifest.xml中，用于声明应用允许备份的标志为________。答案：android:allowBackup51.在SQLMap中，参数“tamper=space2comment”的作用是________。答案：将空格替换为注释绕过WAF52.在Windows日志清除事件ID为________。答案：110253.使用OpenSSL生成RSA私钥时，如需指定密钥长度为2048位，参数为________。答案：outrsa.key204854.在Dockerfile中，用于指定非root用户运行的指令为________。答案：USER55.在ModbusTCP协议中，功能码0x03表示读取________寄存器。答案：保持56.在比特币交易中，用于解锁UTXO的字段称为________。答案：scriptSig57.在威胁狩猎中，MITREATT&CK矩阵将“T1055”描述为________。答案：ProcessInjection58.在等级保护2.0中，安全区域边界要求对________流量进行检测。答案：跨区域59.在Wireshark显示过滤器中，过滤HTTP状态码为200的表达式为________。答案：http.response.code==20060.我国《数据安全法》自________年9月1日起施行。答案：2021四、判断题（每题1分，共10分。正确打“√”，错误打“×”）61.TLS1.3已彻底废弃RSA密钥交换机制。（）答案：√62.在Linux中，文件被删除后，inode会立即被系统回收，无法通过取证恢复。（）答案：×63.使用VPN一定可以防止DNS劫持。（）答案：×64.在Windows中，关闭默认共享（如C$）需要修改注册表并重启系统才能生效。（）答案：√65.我国《个人信息保护法》规定，处理敏感个人信息必须取得个人的单独同意。（）答案：√66.在公钥加密中，公钥用于解密私钥加密的数据，因此公钥必须保密。（）答案：×67.使用容器时，如果内核启用UserNamespace，可有效缓解容器逃逸风险。（）答案：√68.在WiFi中，WPS的PIN码长度为6位，因此暴力破解复杂度为10^6。（）答案：×（最后一位为校验位，实际10^4）69.在区块链智能合约中，重入漏洞属于逻辑漏洞而非算法漏洞。（）答案：√70.使用“chmod1777/tmp”命令后，任何用户均可删除/tmp下他人文件。（）答案：×（Sticky位仅允许所有者删除）五、简答题（每题6分，共30分）71.简述SSL/TLS中间人攻击的常见前提条件，并给出两项防御措施。答案：前提：1.客户端不验证服务器证书或信任伪造CA；2.攻击者能控制网络路径实施降级或证书替换；3.使用已被破解的SSL版本（如SSLv2）。防御：1.客户端严格校验证书链与主机名，启用证书固定（Pinning）；2.服务器强制启用TLS1.3并关闭旧版本，启用HSTS与OCSPStapling防止降级。72.说明Linux下“rwxrxrx”与“rwx”对可执行文件的安全差异，并给出最小权限原则建议。答案：前者任何用户均可读取、执行，恶意用户可通过读取获取硬编码密钥或逆向逻辑；后者仅所有者可读写执行，防止未授权访问。建议：可执行文件对非所有者应去掉读、写、执行权限，设置550或500；配置文件含敏感信息应设为600；使用setuid/setgid需谨慎。73.概述勒索软件横向移动常用技术，并给出网络分段缓解思路。答案：技术：1.利用弱口令/RDP爆破；2.利用永恒之蓝等漏洞；3.使用PsExec/WMI/PowerShell远程执行；4.窃取Token提权。缓解：按业务划分VLAN，核心服务器独立网段；部署东西向微隔离防火墙；关闭不必要的139/445/135端口；域环境启用LAPS管理本地口令；关键路径部署EDR与网络流量分析。74.解释“前向保密”在密钥交换中的作用，并说明RSA密钥交换为何不满足该特性。答案：前向保密指长期私钥泄漏不影响以往会话密钥安全。RSA密钥交换用服务器长期私钥加密预主密钥，若私钥被窃取，可解密所有历史流量。ECDHE每次临时生成公私钥对，会话后销毁，即使长期认证私钥泄漏也无法恢复历史会话密钥，因此满足前向保密。75.简述云原生环境下容器镜像供应链攻击面，并给出三项安全控制。答案：攻击面：1.基础镜像含CVE或被植入后门；2.镜像仓库被篡改；3.Dockerfile中硬编码密钥；4.构建过程依赖第三方未验证包。控制：1.镜像签名与Notary验证，拒绝未签名镜像；2.CI阶段集成CVE扫描与策略准入；3.使用最小基础镜像（distroless）及多阶段构建，清理构建依赖；4.镜像仓库启用RBAC与双因子认证。六、应用题（共40分）76.计算分析题（10分）某企业内网网段/24，发现异常流量。抓包显示某主机持续向55的1434/UDP发送4字节随机数据，包长固定42字节，间隔1秒。(1)指出该行为可能的攻击类型与目标服务；（3分）(2)计算该扫描在1小时内产生的流量（字节）；（3分）(3)给出两条检测与两条阻断方案。（4分）答案：(1)SQLSlammer蠕虫残留或模拟扫描，目标服务为MicrosoftSQLServerResolution服务（1434/UDP）。(2)每秒42字节，1小时=3600×42=151200字节≈147.66KiB。(3)检测：a.IDS规则alertudpanyany>551434(msg:"SQLSlammerscan";content:"|00000000|";depth:4;sid:10001;)b.NetFlow分析发现单源对255地址固定包长1秒周期。阻断：a.边界防火墙丢弃目的端口1434/UDP入站；b.内网ACL限制主机对外1434/UDP出站并触发告警。77.综合应用题（15分）某Web站点采用HTTPS，发现登录接口存在短信验证码爆破风险。已知：验证码为6位纯数字，有效期60秒，接口无频率限制。(1)计算理论最大爆破成功率所需请求量；（3分）(2)给出两项服务端加固措施；（4分）(3)若引入图形验证码，给出防止图形验证码被机器学习绕过的两项设计；（4分）(4)从日志分析角度，给出检测脚本核心思路（伪代码）。（4分）答案：(1)6位数字空间10^6，60秒内需平均500000次请求可达50%成功率。(2)a.同一手机号60秒内最多5次错误即锁定5分钟；b.引入IP维度限速，每IP每接口每秒不超过10次。(3)a.加入随机干扰线与字体扭曲，并动态生成训练成本高的背景；b.采用行为式验证码（滑动拼图）+设备指纹，限制人机识别模型训练数据获取。(4)伪代码：```foreachlog_lineinlogs:iflog_line.url=="/sms/login":key=log_