2025年网络与信息安全管理员三级考试模拟试卷及答案(网络安全防护)

2025年网络与信息安全管理员三级考试模拟试卷及答案(网络安全防护)一、单项选择题（每题1分，共30分。每题只有一个正确答案，错选、多选、不选均不得分）1.在零信任架构中，对“默认信任”原则的最佳替代描述是A.最小权限+持续验证B.边界防御+一次性认证C.物理隔离+静态授权D.白名单+一次性授权答案：A解析：零信任的核心是“永不信任、持续验证”，最小权限与动态评估是落地关键。2.某单位使用IPSecVPN，若希望同时提供机密性与数据源认证，应选择的IPSec模式组合为A.传输模式+AHB.隧道模式+ESPC.传输模式+ESPD.隧道模式+AH答案：B解析：隧道模式保护整个原始IP报文，ESP同时提供加密与认证；AH不提供加密。3.关于TLS1.3与TLS1.2握手过程差异，下列说法正确的是A.TLS1.3支持RSA密钥交换B.TLS1.3将证书消息放在加密扩展之后C.TLS1.3握手往返次数由2RTT降为1RTTD.TLS1.3仍支持压缩算法答案：C解析：TLS1.3移除RSA密钥交换、压缩算法，证书在加密之前发送，1RTT完成握手。4.利用“TCPSYNCookie”技术主要缓解的攻击类型是A.UDPFloodB.SYNFloodC.HTTP慢速攻击D.DNS放大答案：B解析：SYNCookie通过无状态方式验证SYN报文，防止连接表耗尽。5.在Linux系统中，若文件权限为“rwsrxr”，则普通用户执行该文件时获得的权限为A.文件所有者权限B.文件所属组权限C.其他用户权限D.仅执行权限答案：A解析：suid位使进程以文件所有者身份运行。6.针对“日志伪造”攻击，最佳防护手段是A.日志分级存储B.日志签名+时间戳C.日志脱敏D.日志压缩答案：B解析：签名与时间戳可检测日志被篡改或伪造。7.在WindowsAD中，实现“服务账号委派”时，应谨慎启用的Kerberos属性是A.TrustedForDelegationB.PasswordNeverExpiresC.UseDesKeyOnlyD.ServicePrincipalName答案：A解析：TrustedForDelegation允许服务代表用户访问其他服务，易被滥用。8.关于国密SM2与RSA2048性能对比，下列说法正确的是A.SM2签名速度约为RSA2048的8倍B.SM2验签速度约为RSA2048的2倍C.SM2密钥生成速度低于RSA2048D.SM2签名长度固定为256字节答案：A解析：SM2基于椭圆曲线，签名运算量小，实测可达8倍速优势。9.利用“HTTP/2RapidReset”漏洞可发起的攻击类型为DDoSB.SQL注入C.XSSD.目录遍历答案：A解析：该漏洞通过快速建立与重置流，耗尽服务器资源。10.在容器环境中，防止“容器逃逸”到宿主机的最有效隔离技术是A.Capabilities白名单B.SeccompC.UserNamespace+SELinuxD.只读根文件系统答案：C解析：UserNamespace重映射UID，SELinux限制逃逸后权限，双重隔离最彻底。11.当防火墙检测到“分片重叠”时，最可能利用的漏洞是A.TearDropB.PingofDeathC.LandD.Smurf答案：A解析：TearDrop通过构造重叠分片，导致重组崩溃。12.关于DNSSEC，下列记录类型用于存放公钥的是A.RRSIGB.DNSKEYC.DSD.NSEC答案：B解析：DNSKEY记录存储区域公钥，用于验证RRSIG。13.在OWASPTop102021中，排名上升最快的风险是A.失效的访问控制B.加密失败C.注入D.服务端请求伪造答案：D解析：SSRF从2021版第6位跃升至第1位，云环境加剧风险。14.使用“安全多用途互联网邮件扩展”S/MIME时，若只要求不可否认性，应使用A.仅加密B.仅签名C.加密+签名D.压缩+签名答案：B解析：数字签名提供源认证与不可否认，加密仅保证机密性。15.在IPv6中，用于替代ARP的协议是A.NDPB.DHCPv6C.MLDD.ICMPv6答案：A解析：邻居发现协议(NDP)完成地址解析、重复地址检测等功能。16.关于“云安全责任共担模型”，IaaS场景下由云服务商负责的安全控制是A.客户数据加密B.虚拟化层补丁C.操作系统加固D.应用代码审计答案：B解析：虚拟化层由云服务商维护，其余由客户负责。17.利用“BGP劫持”难以直接实现的攻击目标是A.流量窃听B.流量黑洞C.证书伪造D.中间人答案：C解析：BGP劫持可引流，但证书伪造需额外破坏PKI体系。18.在Python代码中，若使用“eval(user_input)”可能导致的漏洞是A.命令注入B.代码注入C.XPath注入D.LDAP注入答案：B解析：eval直接执行任意Python表达式，属于代码注入。19.关于“硬件安全模块(HSM)”描述错误的是A.提供防篡改存储B.支持密钥生命周期管理C.可导出私钥明文备份D.具备随机数生成器答案：C解析：HSM设计原则禁止私钥明文导出，只允许加密备份。20.在Kubernetes中，防止Pod提权至宿主网络的最小化配置是A.hostNetwork:falseB.privileged:falseC.allowPrivilegeEscalation:falseD.readOnlyRootFilesystem:true答案：A解析：hostNetwork直接共享宿主网络，关闭即可隔离。21.当IDS检测到“ICMPDestinationUnreachable,portunreachable”异常大量出现时，最可能的攻击阶段是A.信息收集B.初始访问C.横向移动D.目标达成答案：A解析：该报文常用于端口扫描反馈，属于信息收集。22.关于“差分隐私”技术，下列参数直接控制隐私预算是A.ε(epsilon)B.δ(delta)C.λ(lambda)D.α(alpha)答案：A解析：ε决定噪声量，越大隐私越弱，效用越高。23.在无线渗透测试中，使用“airbaseng”创建的伪AP工作模式为A.MasterB.ManagedC.MonitorD.Adhoc答案：A解析：airbaseng模拟接入点，工作在Master模式。24.若网站使用“ContentSecurityPolicy:defaultsrc'self'”却仍需加载外部CDN，应添加的指令是A.scriptsrcB.imgsrcC.connectsrcD.fontsrc答案：A解析：CDN通常托管JS，需显式放宽scriptsrc。25.关于“区块链51%攻击”描述正确的是A.可篡改历史交易B.可伪造他人签名C.可无限增发代币D.可破解哈希算法答案：A解析：算力优势允许攻击者重建更长链，实现双花。26.在Windows日志中，事件ID4624表示A.账户登录成功B.账户登录失败C.权限提升D.对象访问答案：A解析：4624为登录成功，4625为失败。27.使用“Wireshark”过滤TLS握手失败报文，应使用的显示过滤器是A.tls.alertB.tcp.flags.resetC.http.response.code==400D.icmp.type==3答案：A解析：TLSAlert协议承载握手错误，如certificate_unknown。28.关于“内存安全语言”优势，下列说法错误的是A.完全杜绝数据竞争B.编译期检查生命周期C.消除空指针解引用D.降低缓冲区溢出风险答案：A解析：Rust等语言仍需同步原语解决并发竞争。29.在等级保护2.0中，三级系统要求“剩余信息保护”主要针对A.内存与磁盘残留数据B.网络冗余链路C.日志留存时长D.备份冗余度答案：A解析：剩余信息指敏感数据释放后残留，需清零。30.若防火墙规则顺序为1.allowipanyany、2.denytcpanyanyeq22，则实际效果为A.所有流量通过B.仅阻断SSHC.仅允许SSHD.所有流量阻断答案：A解析：第一条已匹配所有IP流量，后续规则不再匹配。二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些技术可有效防御“DNS劫持”A.DNSSECB.DoHC.DoTD.ARP绑定答案：A、B、C解析：DNSSEC提供完整性，DoH/DoT加密传输，ARP绑定与DNS无直接关联。32.关于“WAF绕过”技术，常见手段包括A.编码变形B.分块传输C.协议覆盖D.参数污染答案：A、B、C、D解析：四种均可破坏WAF特征匹配。33.在Linux系统加固中，属于最小化服务的措施有A.systemctlmaskB.chkconfigdelC.aptpurgeD.chmod000答案：A、B、C解析：chmod000仅限制执行，不卸载服务。34.以下属于“对称加密”算法且为流加密的是A.ChaCha20B.AESCTRC.RC4D.3DESCBC答案：A、C解析：CTR模式实为流式，但底层块算法；ChaCha20、RC4为真流加密。35.关于“社会工程学”防御，正确的管理措施有A.定期钓鱼演练B.多因素认证C.信息分级标识D.工牌二维码加密答案：A、B、C解析：二维码加密与社工防御无直接关联。36.在容器镜像安全扫描中，可检测的风险包括A.CVE漏洞B.密钥硬编码C.恶意软件D.许可证合规答案：A、B、C、D解析：现代扫描器覆盖OS、应用、密钥、License。37.以下哪些日志源可用于“威胁狩猎”A.DNS查询日志B.进程创建事件C.网络流日志D.打印机任务日志答案：A、B、C解析：打印机日志极少用于狩猎。38.关于“量子计算”对密码学影响，目前受威胁的算法有A.RSAB.ECCC.AES256D.DH答案：A、B、D解析：Shor算法可破解大数分解与离散对数，对称密钥仅折半强度。39.在“云原生”场景下，实现微服务间mTLS的组件有A.IstioB.LinkerdC.EnvoyD.kubeproxy答案：A、B、C解析：kubeproxy仅做四层转发，不处理TLS。40.关于“数据脱敏”技术，属于可逆算法的是A.格式保留加密B.令牌化C.掩码D.哈希答案：A、B解析：掩码、哈希不可逆。三、判断题（每题1分，共10分。正确打“√”，错误打“×”）41.HTTPS站点一定安全，不会遭受中间人攻击。答案：×解析：若证书链被伪造或客户端不校验，仍可被MITM。42.“长密码短语”比“短复杂密码”更能抵抗暴力破解。答案：√解析：长度对熵贡献最大，passphrase优势明显。43.在Windows中，关闭UAC可彻底消除弹窗，不影响系统安全。答案：×解析：UAC是重要安全边界，关闭后提权难度骤降。44.“同源策略”可阻止CSRF攻击。答案：×解析：CSRF利用跨站自动携带凭据，同源策略不限制请求发出。45.使用“Fail2Ban”可自动封锁暴力破解源IP。答案：√解析：通过分析日志并调用iptables实现动态封锁。46.“硬件钱包”私钥一旦丢失，资产无法找回。答案：√解析：硬件钱包不保存用户备份，助记词丢失即丧失控制权。47.在SQL注入中，使用“联合查询”可绕过WAF的“orderby”过滤。答案：√解析：联合查询无需orderby，可间接获取列数。48.“端口敲门”技术通过提前开放端口降低暴露面。答案：×解析：端口敲门先保持关闭，收到特定序列才动态开放。49.“区块链智能合约”一旦部署不可升级。答案：×解析：可通过代理合约、可升级模式实现逻辑迁移。50.“红队”行动无需获得管理层授权。答案：×解析：无授权渗透属违法。四、填空题（每空1分，共20分）51.在Linux系统中，强制访问控制框架SELinux的默认策略模式为________。答案：Enforcing52.国密SM3算法输出杂凑值长度为________比特。答案：25653.OWASP推荐的最小化会话标识符长度为________字节。答案：1654.在Windows日志中，事件ID________表示账户锁定。答案：474055.使用Nmap进行“隐形扫描”应添加参数________。答案：sS56.HTTPS证书中，用于指示是否包含私钥的扩展项为________。答案：keyUsage57.在Kubernetes中，NetworkPolicy依赖________组件实现策略下发。答案：CNI插件58.用于衡量入侵检测系统误报率的指标是________。答案：FPR(FalsePositiveRate)59.在BGP安全扩展中，用于验证路由源的是________协议。答案：RPKI60.量子密钥分发基于________原理实现窃听检测。答案：海森堡测不准/量子不可克隆61.在Python中，防止pickle反序列化漏洞的模块是________。答案：json62.用于隐藏内存中恶意代码的“反射式DLL注入”由________工具首次公开。答案：Metasploit63.在WiFiWPA3中，取代四次握手的密钥协商协议为________。答案：SAE64.在等级保护2.0中，三级系统要求日志留存时间不少于________个月。答案：665.用于测量密码强度的熵单位是________。答案：比特(bit)66.在Dockerfile中，指定非root用户运行的指令为________。答案：USER67.在威胁情报中，STIX格式使用________语言描述指标。答案：JSON68.用于实现“零信任”身份代理的开源项目________由Google开源。答案：BeyondCorp/BeyondCorpEnterprise组件69.在IPv6中，链路本地地址前缀为________。答案：FE80::/1070.在密码学中，________模式可同时将加密与认证结合，避免先加密后MAC。答案：GCM五、简答题（每题10分，共30分）71.描述“SSL/TLS中间人攻击”完整利用链，并给出三种防御措施。答案：利用链：1)攻击者通过ARP欺骗或DNS劫持将流量导向自己；2)向客户端伪造证书，若客户端未校验或信任恶意根证书，则建立虚假TLS隧道；3)攻击者与真实服务器建立另一隧道，双向解密并转发数据。防御：a)证书锁定(CertificatePinning)；b)严格校验证书链与吊销列表；c)启用HSTS与预加载列表，阻止降级到HTTP。72.某企业采用微服务架构，内部使用gRPC通信，请设计一套“零信任”身份认证方案，要求包含身份颁发、服务间认证、密钥轮换三部分。答案：1)身份颁发：所有服务以SPIFFEID标识，由SPIRE服务器通过节点证明与工作负载证明签发X.509SVID短周期证书；2)服务间认证：gRPC通道采用mTLS，客户端与服务器双向验证SVID，Envoy代理自动轮换并热加载证书；3)密钥轮换：SPIRE默认24h重新签发，支持事件触发轮换；配合HSM签名私钥，OCSPstapling实时校验，旧证书保留6h缓冲期，实现无缝切换。73.说明“内存马”WebShell原理，并给出在JavaSpring容器中的检测与清除步骤。答案：原理：利用JavaAgent或Filter动态注册技术，将恶意代码注入JVM内存，不落盘，重启即失效；通过拦截器持续劫持请求。检测：1)使用javaXX:+PrintFlagsFinal查看可疑Agent；2)扫描javax.servlet.Filter链，对比web.xml与内存注册实例；3)利用Arthastrace命令监控Filter.doFilter异常耗时；4)提取JVM堆转储，搜索包含“cmd”“exec”等关键字的对象。清除：1)通过SpringA