2025年网络安全培训考试真题及答案(网络防护专题)

2025年网络安全培训考试练习题及答案(网络防护专题)一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在OSI七层模型中，负责端到端加密与完整性校验的是（）A.数据链路层  B.网络层  C.传输层  D.会话层答案：C2.下列哪一项最能有效防御ARP欺骗攻击（）A.静态绑定IPMAC  B.关闭ICMP  C.启用802.1X  D.提高口令复杂度答案：A3.关于TLS1.3与TLS1.2的差异，以下说法错误的是（）A.1.3默认使用前向保密  B.1.3握手往返次数减少  C.1.3支持RSA密钥交换  D.1.3移除了压缩字段答案：C4.在Linux系统中，若需限制某用户仅能通过密钥认证登录SSH，应修改的配置指令是（）A.PasswordAuthenticationno  B.PermitRootLoginno  C.PubkeyAuthenticationyes  D.ChallengeResponseAuthenticationno答案：A5.以下哪类防火墙技术对应用层载荷内容检查最细粒度（）A.包过滤  B.状态检测  C.应用代理  D.网络地址转换答案：C6.关于DNSSEC，下列说法正确的是（）A.使用RRSIG记录验证应答完整性  B.依赖CA颁发服务器证书  C.加密DNS查询内容  D.防止DNS缓存投毒但无法防止域名劫持答案：A7.在WindowsServer2022中，开启“CredentialGuard”需同时启用的基于虚拟化的安全功能是（）A.DeviceGuard  B.VBS  C.HVCI  D.WDAG答案：B8.以下哪条iptables规则可丢弃所有来自/24的TCPSYN包（）A.iptablesAINPUTs/24ptcpsynjDROPB.iptablesAINPUTd/24ptcpsynjDROPC.iptablesAFORWARDs/24ptcpsynjACCEPTD.iptablesAOUTPUTs/24ptcpsynjDROP答案：A9.关于零信任架构，下列哪项不属于NISTSP800207提出的核心逻辑组件（）A.策略引擎  B.策略管理员  C.策略执行点  D.数据防泄漏网关答案：D10.在IPv6中，用于替代ARP的协议是（）A.NDP  B.DHCPv6  C.ICMPv6RA  D.MLD答案：A11.下列哪种算法被广泛用于WiFi6的SAE握手，抵抗离线字典攻击（）A.ECDSA  B.SRP  C.Dragonfly  D.PBKDF2答案：C12.关于HTTP严格传输安全（HSTS），以下说法错误的是（）A.通过响应头StrictTransportSecurity下发  B.可包含includeSubDomains指令  C.浏览器收到后自动将80端口请求rewrite到443  D.首次访问仍可能遭遇SSL剥离答案：C13.在容器安全中，以下哪项配置可防止容器获取宿主机所有系统信息（）A.readonly  B.securityopt=nonewprivileges  C.pid=host  D.capdrop=ALL答案：D14.关于SM4分组密码算法，其分组长度与密钥长度分别为（）A.64bit,128bit  B.128bit,128bit  C.128bit,256bit  D.256bit,256bit答案：B15.以下哪条命令可查看Windows本地安全策略中“用户权限分配”（）A.gpresult/h  B.secedit/export  C.rsop.msc  D.gpedit.msc答案：D16.在PKI体系中，负责发布证书吊销列表的实体是（）A.RA  B.CA  C.OCSPResponder  D.VA答案：B17.关于反向Shell与BindShell，下列说法正确的是（）A.反向Shell由攻击机监听端口  B.BindShell由目标机主动连接攻击机  C.反向Shell更容易穿透NAT  D.BindShell不依赖目标防火墙规则答案：C18.以下哪项不是软件定义边界（SDP）架构的“单包授权”机制特点（）A.默认丢弃所有未认证包  B.使用DTLS承载SPA包  C.先认证后建连  D.降低攻击面答案：B19.在日志审计中，符合《网络安全法》要求，网络日志留存时限不少于（）A.1个月  B.3个月  C.6个月  D.12个月答案：C20.关于勒索软件防御，下列措施最先期有效的是（）A.定期离线备份  B.支付赎金获取解密工具  C.部署EDR检测内存注入  D.关闭所有宏脚本答案：A二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些端口与邮件系统安全直接相关（）A.25  B.110  C.143  D.445答案：ABC22.关于WAF（Web应用防火墙）的部署模式，正确的有（）A.透明代理  B.反向代理  C.路由模式  D.桥模式答案：ABCD23.以下哪些技术可用于检测Linux内核级Rootkit（）A.chkrootkit  B.rkhunter  C.AIDE  D.Volatility答案：ABCD24.关于国密算法体系，以下哪些属于对称加密算法（）A.SM1  B.SM2  C.SM3  D.SM4答案：AD25.以下哪些配置可降低Redis未授权访问风险（）A.bind  B.requirepass  C.renamecommandFLUSHALL""  D.protectedmodeno答案：ABC26.在Windows环境中，可用于获取内存镜像进行取证的工具包括（）A.DumpIt  B.FTKImager  C.winpmem  D.MagnetRAMCapture答案：ABCD27.关于IPv6安全，以下说法正确的有（）A.RAGuard可阻断伪造路由通告  B.DHCPv6Guard可防范非法DHCPv6服务器  C.SeND协议依赖CGAs地址  D.IPv6地址扫描难度高于IPv4答案：ABCD28.以下哪些属于常见的云原生安全责任共担模型中“租户侧”责任（）A.数据分类分级  B.IAM策略配置  C.底层虚拟化补丁  D.镜像漏洞扫描答案：ABD29.关于蜜罐技术，以下说法正确的有（）A.高交互蜜罐可被攻陷后作为跳板  B.低交互蜜罐仿真程度低、风险小  C.蜜网是多个蜜罐与管控系统的集合  D.蜜罐日志可用于威胁狩猎答案：ABCD30.以下哪些命令可用于查看Linux系统当前已加载的内核模块（）A.lsmod  B.cat/proc/modules  C.kmodlist  D.modprobec答案：AB三、填空题（每空1分，共20分）31.在SSL/TLS握手协商中，用于指明服务器支持哪些加密套件的报文是________报文。答案：ServerHello32.国密SM3杂凑算法输出长度为________bit。答案：25633.在Windows中，通过________命令可查看当前登录用户的访问令牌（Token）信息。答案：whoami/all34.在Linux系统中，文件权限为“rwrr”对应的八进制数值是________。答案：64435.当使用nmap进行SYN扫描时，参数________表示不ping主机直接扫描端口。答案：Pn36.在PKI证书中，若密钥用法（KeyUsage）仅包含digitalSignature，则该证书不能用于________加密。答案：数据/密钥37.在iptables规则中，________表主要用于网络地址转换。答案：nat38.针对SMB协议，WindowsServer默认启用________签名可防止中继攻击。答案：SMB39.在容器运行时安全中，________文件系统只读挂载可防止二进制文件被篡改。答案：rootfs40.根据《数据安全法》，重要数据出境应通过________评估。答案：安全41.在IPv6地址中，以________前缀开头的地址用于本地链路通信。答案：fe8042.用于衡量入侵检测系统误报率的指标是________率。答案：假阳43.在密码学中，满足“相同明文每次加密结果不同”的性质称为________。答案：语义安全44.在Windows日志中，事件ID________表示成功登录。答案：462445.在OWASPTop102021中，________类别指“失效的访问控制”。答案：A0146.在Linux中，________命令可实时查看系统调用。答案：strace47.在WiFi6中，WPA3Enterprise采用________模式可提供192位加密套件。答案：SuiteB48.在云安全中，________代理可在无代理环境下实现内存取证。答案：虚拟化/旁路49.在威胁情报STIX2.1中，________对象用于描述攻击者所用恶意代码家族。答案：malware50.在零信任网络中，________模型强调“永不信任、持续验证”。答案：ZeroTrust四、判断题（每题1分，共10分。正确打“√”，错误打“×”）51.TLS1.3已完全移除对3DES加密算法的支持。（）答案：√52.在Linux中，文件被删除后，inode信息会立即被清空，无法恢复。（）答案：×53.WindowsDefenderCredentialGuard使用基于虚拟化的安全隔离LSASS进程。（）答案：√54.国密SM2算法既可以用于数字签名也可以用于密钥交换。（）答案：√55.在IPv6中，IPSec是强制使用的，所有节点必须实现。（）答案：×56.使用WPA3Personal时，即使攻击者获取握手包也无法进行离线字典攻击。（）答案：√57.在Dockerfile中，使用USER指令切换为非root用户可降低容器逃逸风险。（）答案：√58.在Windows中，关闭LLMNR协议可防止NetNTLMv2哈希泄露。（）答案：√59.对于HTTPS流量，WAF无需解密即可检测所有应用层攻击载荷。（）答案：×60.在Linux中，/etc/shadow文件对所有用户可读。（）答案：×五、简答题（每题6分，共30分）61.简述ARP欺骗攻击原理，并给出两种防御措施。答案：原理：攻击者发送伪造ARP应答，将目标IP映射到攻击者MAC，使流量经过攻击机。防御：1.静态绑定IPMAC表项；2.部署动态ARP检测（DAI）交换机特性；3.启用802.1X端口认证；4.划分VLAN隔离广播域。62.说明TLS1.3握手与TLS1.2在往返时延（RTT）上的差异，并解释其如何提升性能。答案：TLS1.2完整握手需2RTT，TLS1.3降至1RTT；resumed握手支持0RTT。通过将密钥交换与身份认证合并、移除冗余消息，减少往返次数，降低延迟，提升移动端与高延迟网络体验。63.列举三种常见的容器逃逸场景，并给出对应加固建议。答案：1.特权容器逃逸：禁用privileged，使用capdrop；2.危险挂载逃逸：禁止挂载/var/run/docker.sock、/proc、/sys；3.内核漏洞利用：及时更新宿主机内核，启用Seccomp、AppArmor。64.简述国密算法在金融数据保护中的典型应用流程（含密钥层次）。答案：采用SM2协商会话密钥→SM4加密交易数据→SM3计算MAC校验→密钥分层：根密钥（HSM）→密钥加密密钥（KEK）→工作密钥（WK）→定期轮换，全部过程符合GM/T00242014。65.说明Windows日志转发（WEF）架构组件及部署要点。答案：组件：事件收集器（Collector）、事件源（Source）、订阅管理器（SubscriptionManager）。部署：1.配置WinRM监听HTTPS；2.组策略启用“配置目标订阅管理器”；3.证书认证确保通道加密；4.订阅类型选择“源启动”降低域控负载；5.日志保存路径独立磁盘，保留期≥6个月。六、计算与分析题（共30分）66.某企业采购防火墙并发连接数规格为200万，现测得高峰时段每秒新建连接1.2万，平均连接持续时间180秒。请计算：（1）理论最大并发连接数需求；（2）评估该防火墙是否满足，并给出优化建议。（10分）答案：（1）并发=新建×持续时间=1.2×10⁴×180=2.16×10⁶=216万；（2）216万>200万，不满足。优化：1.启用连接复用（HTTPKeepAlive）；2.缩短TCP超时时间；3.负载均衡分流；4.升级防火墙型号。67.使用nmap对某主机进行扫描，结果如下：PORT STATE SERVICE22/tcp open ssh80/tcp open http443/tcpopen https8080/tcpopen httpproxy进一步探测发现：1.SSH版本字符串“OpenSSH_7.4”；2.80端口返回“Server:Apache/2.4.6”；3.443使用自签证书，CN=localhost；4.8080端口为Jetty9.2，管理界面无认证。请给出风险评估及整改清单。（10分）答案：风险：A.SSH旧版本存在CVE201815473用户枚举；B.Apache2.4.6存在CVE202141773路径穿越；C.自签证书无法校验身份，易遭中间人；D.8080无认证，可未授权管理。整改：1.升级OpenSSH≥8.8；2.升级Apache≥2.4.54；3.申请可信证书，启用HSTS；4.8080增加IP白名单+Basic认证+HTTPS；5.统一WAF防护，关闭不必要的8080对外。68.日志分析：某Linux服务器/var/log/audit/audit.log出现大量如下记录：type=SYSCALLmsg=audit(1710001234.123:123456):arch=c000003esyscall=59execve("/usr/bin/python3",...)success=yesuid=1001type=EXECVEmsg=audit(...)argc=3a0="python3"a1="c"a2="importsocket,subprocess,os;..."后续流量发现外连2:4444。请给出事件定性、分析步骤及处置建议。（10分）答案：定性：uid=1001用户主机被植入Python反向Shell，属入侵事件。步骤：1.时间线关联：查audit.log同一秒内uid=1001的登录记录，定位入口（SSH爆破/Jenkins漏洞）；2.检查cron、systemd定时任务；3.使用lsofi:4444定位进程PID；4.内存取证取python堆，提取C2指令；5.检查/etc/ld.so.preload是否隐藏。处置：1.立即隔离该主机；2.kill恶意进程，删除/tmp下驻留文件；3.修改同口令用户密码，排查横向移动；4.更新Jenkins≥2.401.1，启用2FA；5.部署EDR阻断execve(py)特征；6.提交威胁情报，封禁C2IP。七、综合应用题（共20分）69.某集团公司计划实施零信任远程办公方案，需求如下：1.员工任意网络接入，需访问数据中心OA、财务ERP、DevOpsGitLab；2.