2026年网络安全工程师中级专业笔试模拟题

2026年网络安全工程师中级专业笔试模拟题一、单选题（共10题，每题2分，合计20分）1.以下哪种加密算法属于对称加密算法？A.RSAB.AESC.ECCD.SHA-2562.某企业采用PKI技术进行身份认证，以下哪个组件是CA（证书颁发机构）的核心要素？A.网络接入设备B.数字证书库C.认证请求管理器D.硬件安全模块（HSM）3.以下哪种攻击方式属于社会工程学范畴？A.DDoS攻击B.钓鱼邮件C.恶意软件植入D.SQL注入4.某银行采用多因素认证（MFA）增强登录安全性，以下哪种认证方式不属于MFA的常见组合？A.密码+短信验证码B.生令牌+生物识别C.密码+键盘记录器D.硬件令牌+动态口令5.以下哪种防火墙技术主要通过深度包检测（DPI）实现应用层过滤？A.包过滤防火墙B.状态检测防火墙C.代理防火墙D.NGFW（下一代防火墙）6.某企业遭受勒索病毒攻击，数据被加密，以下哪种恢复策略最有效？A.从磁带备份恢复B.使用系统自带的还原功能C.依赖黑客提供的解密工具D.从云备份恢复7.以下哪种漏洞扫描工具属于被动式扫描？A.NessusB.NmapC.WiresharkD.BurpSuite8.某公司部署了零信任安全架构，以下哪个原则最符合零信任理念？A.默认信任，需验证B.默认拒绝，需授权C.内外无区别访问D.基于角色的访问控制（RBAC）9.以下哪种协议属于传输层安全协议？A.FTPSB.SSHC.TLSD.SMTPS10.某企业采用OAuth2.0协议实现第三方应用授权，以下哪种授权方式最安全？A.密码授权B.客户端凭证授权C.隐藏授权D.状态授权二、多选题（共5题，每题3分，合计15分）1.以下哪些措施可以有效防范APT攻击？A.定期更新安全补丁B.部署入侵防御系统（IPS）C.限制员工横向移动权限D.使用静态代码分析工具E.停止不必要的网络服务2.以下哪些属于数据泄露的常见途径？A.网络钓鱼B.硬盘丢失C.跨站脚本（XSS）D.员工内部窃取E.API配置不当3.以下哪些技术可用于漏洞修复验证？A.模糊测试B.代码审计C.模型验证D.仿真攻击E.自动化扫描4.以下哪些属于物联网（IoT）安全风险？A.设备固件存在漏洞B.无线通信未加密C.远程访问未认证D.数据传输明文传输E.物理接口未保护5.以下哪些属于云安全配置基线的常见要求？A.关闭不必要的云服务B.启用多因素认证C.定期审计访问日志D.使用资源分组管理E.强制密码复杂度三、判断题（共10题，每题1分，合计10分）1.VPN（虚拟专用网络）可以完全防止数据泄露。（）2.MD5算法可用于数字签名。（）3.内部威胁比外部威胁更难防范。（）4.入侵检测系统（IDS）可以主动阻止攻击。（）5.蜜罐技术属于主动防御手段。（）6.弱密码是导致系统被攻破的最常见原因之一。（）7.勒索病毒无法通过杀毒软件清除。（）8.安全信息和事件管理（SIEM）系统可以自动响应威胁。（）9.零信任架构不需要网络分段。（）10.区块链技术天然具备抗审查性。（）四、简答题（共5题，每题5分，合计25分）1.简述HTTPS协议的工作原理及其安全优势。2.解释什么是“最小权限原则”，并说明其在网络安全中的作用。3.简述勒索病毒的常见传播途径及防范措施。4.什么是DDoS攻击？简述常见的DDoS攻击类型及缓解措施。5.简述企业进行安全风险评估的步骤及关键要素。五、综合题（共2题，每题10分，合计20分）1.某企业部署了Windows服务器，发现存在远程桌面服务（RDP）未授权访问风险。请设计一个安全加固方案，包括但不限于访问控制、日志审计、异常检测等措施。2.某银行客户系统遭受SQL注入攻击，导致数据库数据泄露。请分析该漏洞的可能原因，并提出预防及应急处理措施。答案与解析一、单选题1.B解析：AES（高级加密标准）是对称加密算法，而RSA、ECC属于非对称加密，SHA-256是哈希算法。2.B解析：CA的核心是数字证书库，用于存储和管理颁发的数字证书。3.B解析：钓鱼邮件属于社会工程学攻击，通过欺骗手段获取用户信息。其他选项均属于技术攻击。4.C解析：键盘记录器属于恶意软件，不能作为MFA的认证方式。其他选项均属于常见MFA组合。5.D解析：NGFW（下一代防火墙）通过DPI实现应用层过滤，而其他选项属于基础防火墙技术。6.D解析：云备份是最可靠的恢复方式，磁带备份效率低，系统还原可能无效，依赖黑客工具不可靠。7.C解析：Wireshark是网络抓包工具，属于被动式扫描；其他选项均为主动扫描工具。8.B解析：零信任的核心是“永不信任，始终验证”，默认拒绝访问，需授权后方可访问。9.C解析：TLS（传输层安全协议）用于加密传输层通信，而其他选项属于应用层协议。10.C解析：隐藏授权（ConfidentialClientCredentials）最安全，客户端凭据不暴露给授权服务器。二、多选题1.A、B、C、D、E解析：所有选项均能有效防范APT攻击，包括补丁管理、IPS、权限控制、代码分析、服务限制。2.A、B、C、D、E解析：数据泄露途径多样，包括钓鱼、物理丢失、XSS、内部窃取、API不当配置。3.B、D、E解析：代码审计、仿真攻击、自动化扫描可用于验证漏洞修复效果，模糊测试和模型验证不直接用于修复验证。4.A、B、C、D、E解析：IoT安全风险包括固件漏洞、无线未加密、远程未认证、数据明文传输、物理接口未保护。5.A、B、C、D、E解析：云安全基线要求包括关闭冗余服务、MFA、日志审计、资源分组、密码策略。三、判断题1.×解析：VPN可加密传输，但配置不当仍可能泄露数据。2.×解析：MD5不可逆，无法用于数字签名，SHA-256或ECDSA更常用。3.√解析：内部人员更了解系统，威胁更难检测。4.×解析：IDS仅检测和报警，IPS可主动阻断。5.√解析：蜜罐通过模拟漏洞吸引攻击者，属于主动防御。6.√解析：弱密码是常见漏洞原因，如2021年某央企因弱密码被攻破。7.√解析：杀毒软件通常无法解密勒索病毒，需备份数据恢复。8.×解析：SIEM可联动响应，但自动响应需配置规则。9.×解析：零信任强调网络分段，如微隔离。10.√解析：区块链去中心化，天然抗审查，如比特币。四、简答题1.HTTPS协议的工作原理及其安全优势HTTPS通过TLS/SSL协议对HTTP通信进行加密，工作流程包括：-客户端发起HTTPS请求，服务器响应TLS版本和证书。-客户端验证证书有效性（颁发机构、有效期、域名匹配）。-双方协商加密算法，建立安全会话。-数据通过加密通道传输。安全优势：-数据加密，防止窃听。-身份验证，防止中间人攻击。-完整性校验，防止篡改。2.最小权限原则及其作用最小权限原则指用户或进程仅被授予完成任务所需的最小权限，不可滥用。作用：-减少攻击面，限制恶意行为影响范围。-降低数据泄露风险。-符合合规要求（如ISO27001）。实现方式：-使用RBAC（基于角色的访问控制）。-定期审计权限分配。3.勒索病毒传播途径及防范措施传播途径：-邮件附件（钓鱼邮件）。-恶意软件下载（捆绑安装）。-漏洞利用（如WindowsRDP未授权）。防范措施：-启用邮件沙箱检测。-定期备份数据。-关闭不必要的端口（如3389）。-使用勒索软件防护工具。4.DDoS攻击类型及缓解措施常见类型：-VolumetricAttack（流量耗尽，如UDPflood）。-ApplicationLayerAttack（应用层攻击，如HTTPflood）。-StatefulAttack（连接耗尽，如SYNflood）。缓解措施：-使用CDN清洗服务。-部署DDoS防护设备。-启用流量整形。-协商ISP扩容。5.安全风险评估步骤及关键要素步骤：-资产识别（确定关键系统、数据）。-威胁分析（识别潜在攻击者、手段）。-风险计算（可能性×影响）。-补偿控制（实施安全措施）。关键要素：-业务影响评估。-法律合规要求。-安全基线检查。五、综合题1.Windows服务器RDP安全加固方案-访问控制：-启用MFA（如AzureAD）。-禁用空密码。-限制允许访问的服务器IP段。-日志审计：-启用RDP日志（EventViewer）。-集成SIEM系统（如Splunk）。-异常检测：-设置告警规则（如多次失败尝试）。-使用AzureSentinel等监控工具。-系统加固：-禁用不必要的服务。-定期更新Windows补丁。2.SQL注入攻击分析与应急措施-可能原因：