2025年网络信息安全管理员职业技能等级考试(三级)网络安全防护试题及答案

2025年网络信息安全管理员职业技能等级考试(三级)网络安全防护试题及答案网络安全防护试题一、单项选择题（共20题，每题1分，共20分。每题只有1个正确选项）1.以下哪种攻击方式属于应用层DDoS攻击？A.SYNFloodB.DNS放大攻击C.HTTP慢速连接攻击D.ICMP洪水攻击2.用于验证数据完整性的密码学技术是？A.对称加密（AES）B.非对称加密（RSA）C.哈希函数（SHA256）D.数字签名3.某企业Web服务器日志中出现“/etc/passwd”的访问记录，最可能的攻击类型是？A.SQL注入B.目录遍历C.XSS跨站脚本D.CSRF跨站请求伪造4.防火墙工作在OSI模型的哪一层时，能够基于应用层协议内容进行过滤？A.网络层B.传输层C.会话层D.应用层5.以下哪个端口是SSH服务的默认端口？A.21B.22C.80D.4436.用于检测已知攻击模式的入侵检测系统（IDS）属于？A.异常检测B.误用检测C.协议分析D.流量监控7.数据脱敏技术中，将“身份证号”替换为“”的方法属于？A.掩码处理B.加密存储C.匿名化D.去标识化8.以下哪项是Linux系统中用于查看当前进程监听端口的命令？A.`ping`B.`ifconfig`C.`netstatanp`D.`traceroute`9.某员工误将内部敏感文档通过邮件发送给外部用户，最可能缺失的安全控制措施是？A.邮件内容过滤B.终端文件加密C.网络访问控制（NAC）D.入侵防御系统（IPS）10.以下哪种加密算法属于对称加密？A.RSAB.ECCC.AESD.DSA11.在WindowsServer中，用于限制用户访问特定文件权限的机制是？A.组策略（GPO）B.访问控制列表（ACL）C.防火墙规则D.账户锁定策略12.以下哪项是APT（高级持续性威胁）的典型特征？A.攻击目标随机B.利用0day漏洞长期渗透C.通过大规模钓鱼邮件传播D.短时间内造成大范围破坏13.某企业网络中，员工终端频繁感染勒索病毒，最有效的防护措施是？A.升级防病毒软件病毒库B.启用终端文件实时监控C.定期备份重要数据并离线存储D.关闭所有USB接口14.以下哪个协议用于在不安全网络上建立安全的IP层通信？A.SSL/TLSB.IPsecC.SSHD.HTTPS15.Web应用防火墙（WAF）主要用于防护以下哪类攻击？A.物理破坏B.无线信号干扰C.SQL注入与XSSD.ARP欺骗16.在Linux系统中，修改用户密码的命令是？A.`passwd`B.`useradd`C.`chmod`D.`chown`17.以下哪种日志类型可用于追踪用户对文件的修改操作？A.系统日志（/var/log/syslog）B.安全日志（/var/log/secure）C.应用日志（如Apache的access.log）D.内核日志（/var/log/kern.log）18.某企业部署了基于角色的访问控制（RBAC），其核心是？A.根据用户职位分配权限B.根据用户终端IP分配权限C.根据用户登录时间分配权限D.根据用户设备类型分配权限19.以下哪项是物联网（IoT）设备特有的安全风险？A.弱密码或默认密码B.DDoS攻击C.数据泄露D.恶意软件感染20.用于验证数字证书合法性的机构是？A.认证中心（CA）B.注册中心（RA）C.证书库（CRL）D.密钥管理中心（KMC）二、多项选择题（共10题，每题2分，共20分。每题有2个或以上正确选项，错选、漏选均不得分）1.以下属于网络层安全协议的有？A.IPsecB.TLSC.SSLD.GRE2.常见的Web应用安全漏洞包括？A.跨站脚本（XSS）B.缓冲区溢出C.SQL注入D.路径遍历3.防火墙的基本功能包括？A.访问控制（允许/拒绝流量）B.流量监控与日志记录C.病毒查杀D.入侵检测4.数据加密的常见场景包括？A.存储加密（如硬盘加密）B.传输加密（如HTTPS）C.处理加密（内存中的数据）D.脱敏加密（如掩码处理）5.以下哪些措施可防范SSH暴力破解？A.禁用密码认证，启用密钥认证B.修改SSH默认端口（22）C.配置账户锁定策略（如连续3次错误锁定）D.关闭SSH服务6.网络安全防护的“最小权限原则”体现在哪些方面？A.用户仅获得完成工作所需的最小权限B.服务器仅开放必要的服务端口C.终端仅安装必要的应用程序D.网络仅允许必要的流量类型7.以下属于入侵检测系统（IDS）输出的告警类型有？A.误报（FalsePositive）B.漏报（FalseNegative）C.正确告警（TruePositive）D.正确不告警（TrueNegative）8.企业终端安全管理的关键措施包括？A.安装终端防病毒软件并定期更新B.启用操作系统自动更新C.限制USB存储设备使用（如通过组策略）D.部署桌面管理系统（如VDI）9.以下哪些工具可用于网络流量分析？A.WiresharkB.tcpdumpC.NagiosD.Snort10.数据泄露防护（DLP）系统的核心功能包括？A.识别敏感数据（如身份证号、银行卡号）B.阻止敏感数据未经授权传输（如邮件、U盘）C.记录敏感数据操作日志D.加密所有传输中的数据三、填空题（共10题，每题1分，共10分）1.常见的抗DDoS攻击技术包括流量清洗、__________和黑洞路由。2.数字证书的标准格式是__________（填写缩写）。3.Linux系统中，用于查看用户组信息的命令是__________。4.Web应用中，防止CSRF攻击的常用方法是使用__________。5.网络访问控制（NAC）的核心是根据终端__________（如补丁状态、防病毒软件版本）允许或拒绝接入网络。6.传输层安全协议TLS的前身是__________。7.数据库安全中，“最小化特权”原则要求用户仅能访问__________的数据。8.无线局域网（WLAN）中，WPA3协议比WPA2更安全的主要原因是支持__________（填写技术名称）。9.日志分析中，__________（填写指标）用于衡量日志的完整性和不可抵赖性。10.云计算环境中，租户间的资源隔离通常通过__________技术实现。四、简答题（共5题，每题6分，共30分）1.（封闭型）简述防火墙配置入站规则的基本步骤及关键要素。2.（开放型）请结合实际场景，说明如何通过分析Web服务器日志识别SQL注入攻击，并列举至少2条防护措施。3.（封闭型）什么是“零信任”安全模型？其核心原则包括哪些？4.（开放型）某企业财务部门终端频繁感染钓鱼邮件中的恶意附件，作为安全管理员，你会提出哪些针对性防护措施？5.（封闭型）简述Linux系统中SSH服务的安全加固措施（至少4条）。五、应用题（共2题，每题10分，共20分）1.（分析类）某企业网络流量监控系统捕获到如下日志（部分）：```时间：2024121014:30:00源IP：00目的IP：（企业Web服务器）请求URL：/login.php?username=admin'&password=123456响应状态码：500InternalServerError```（1）分析该日志可能反映的攻击类型及原理；（2）提出至少3条针对性防护措施。2.（综合类）某企业计划部署内部办公网络，要求设计包含终端安全、网络边界、数据传输三个层面的安全防护方案。请列出各层面的具体措施（每个层面至少3条）。参考答案一、单项选择题1.C2.C3.B4.D5.B6.B7.A8.C9.A10.C11.B12.B13.C14.B15.C16.A17.B18.A19.A20.A二、多项选择题1.AD2.ACD3.AB4.ABC5.ABC6.ABCD7.ABC8.ABC9.ABD10.ABC三、填空题1.流量牵引（或“路由黑洞”）2.X.5093.`groups`（或`getentgroup`）4.CSRF令牌（或“随机令牌”）5.安全状态6.SSL（安全套接层）7.必要8.SAE（安全认证加密，或“同时认证等效”）9.完整性校验（或“哈希值验证”）10.虚拟化（或“虚拟机隔离”）四、简答题1.基本步骤：（1）明确防护目标（如保护Web服务器、数据库等）；（2）定义流量规则（源/目的IP、端口、协议类型）；（3）设置动作（允许/拒绝）；（4）按优先级排序规则（如“拒绝所有”置底）；（5）测试并启用规则。关键要素：最小化开放端口、明确源地址范围、记录日志以便审计、定期reviewing规则有效性。2.识别方法：（1）日志中出现异常SQL语法字符（如`'`、``、`UNION`、`SELECT`等）；（2）请求参数长度异常（如超长字符串）；（3）响应状态码频繁出现500（数据库错误）；（4）同一IP短时间内发送大量含特殊字符的请求。防护措施：（1）使用参数化查询（预编译语句），避免动态拼接SQL；（2）部署Web应用防火墙（WAF）过滤恶意参数；（3）对用户输入进行严格校验（如白名单验证）；（4）数据库账户权限最小化（禁止Web账户拥有`DROP`等高危权限）。3.零信任模型：默认不信任网络内外任何设备或用户，需持续验证身份与安全状态后再授权访问。核心原则：（1）持续验证（所有访问需动态认证）；（2）最小权限访问（仅授予必要资源）；（3）全流量检测（监控所有网络流量）；（4）资产可见性（清晰掌握所有设备与用户状态）。4.防护措施：（1）邮件网关层：部署反钓鱼网关，识别钓鱼链接/恶意附件（如通过沙箱分析）；（2）终端层：启用邮件客户端的“防恶意附件”功能（如禁用宏、阻止可执行文件）；（3）用户培训：定期开展钓鱼邮件识别培训（如仿冒域名、异常附件类型）；（4）技术控制：对财务终端启用“仅允许信任来源邮件”的白名单策略；（5）日志审计：记录财务终端邮件操作日志，定期分析异常行为。5.加固措施：（1）禁用密码认证，强制使用SSH密钥对认证；（2）修改默认端口（如从22改为2222）；（3）限制允许登录的用户或IP（通过`sshd_config`的`AllowUsers`/`AllowGroups`）；（4）启用登录失败锁定（如通过`pam_tally2`模块，连续5次失败锁定账户）；（5）禁用root直接登录（设置`PermitRootLoginno`）；（6）定期更新SSH服务版本（修复已知漏洞）。五、应用题1.（1）攻击类型：SQL注入攻击。原理：攻击者在`username`参数中注入`'`，试图闭合SQL语句（`'`）并注释后续代码（``），使数据库执行`SELECTFROMusersWHEREusername='admin'ANDpassword='123456'`，绕过密码验证直接登录。（2）防护措施：①应用层：使用参数化查询（如PHP的PDO预处理语句），避免用户输入直接拼接至SQL；②设备层：部署WAF，检测并拦截含`'`、``等SQL特殊字符的请求；③数据库层：限制Web应用连接账户的权限（如仅授予`SELECT`权限，禁止`DROP`等操作）；④输入验证：对`username`参数进行白名单校验（仅允许字母、数字）。2.防护方案设计：（1）终端安全：①安装企业级防病毒软件，启用实时监控与自动更新；②通过组策略（Windows）或配置文件（Linux）禁用USB存储设备（除授权设备）；③强制终端安装最新系统补丁（通过WSUS或SCCM管理）；④启用磁盘加密（如BitLocker、LUKS）保护本地数据。（2）网络边界：①部署下一代防火墙（NGFW），基于应用层协议（如HTTP、SMTP）进行访问控制；②配置入侵防御系统（IPS）