企业安全管理员考核考试题(含答案)

企业安全管理员考核考试题(含答案)一、单项选择题（每题2分，共30分）1.某制造企业将工控网与办公网通过一台双网口服务器直接连通，未部署任何访问控制策略。依据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》，该做法最可能违反哪一条款？A.安全区域边界访问控制B.安全计算环境恶意代码防范C.安全管理中心集中管控D.安全物理环境防盗防破坏答案：A解析：工控网与办公网属于不同安全区域，直接连通且未设置访问控制策略，违反“安全区域边界”中“应在网络边界部署访问控制设备”之要求。2.公司计划对核心ERP数据库进行异地容灾，RPO≤15分钟，RTO≤30分钟。下列哪项技术组合最经济且满足指标？A.数据库双活+同步复制B.存储级异步复制+快照C.日志传送+每日全备D.磁带库冷备+人工运输答案：A解析：同步复制可保证RPO≈0，双活架构RTO≈分钟级，完全满足题干要求；B异步复制RPO通常≥5分钟，C、D均无法满足。3.关于零信任架构，下列描述错误的是：A.默认拒绝所有访问请求B.身份、设备、环境、行为均需持续评估C.网络边界防火墙可完全退役D.微分段是落地关键技术之一答案：C解析：零信任并非“取消”防火墙，而是“以身份为边界”+“微分段”+“持续评估”，防火墙仍作为执行点存在，只是策略更细。4.某员工收到一封“CEO紧急指示”的邮件，正文含语法错误，并附带名为“年度报表.exe”的附件。下列处置顺序最合理的是：①立即转发给同事求证②点击附件确认内容③报告安全运营中心④将邮件标记为垃圾邮件A.③④B.①③C.④②D.③①答案：A解析：钓鱼邮件首要动作是“不点击、不转发”，立即上报并标记垃圾邮件，避免二次扩散。5.在Linux系统中，以下哪条命令可一次性列出所有监听TCP端口及其对应的进程PID？A.netstat-tulnpB.ss-lntpC.lsof-iTCP-sTCP:LISTEND.以上皆可答案：D解析：三套命令均可实现，但ss性能最佳；lsof需加“-sTCP:LISTEN”过滤，netstat已逐步淘汰。6.公司采用云原生架构，POD内容器以非root运行，但安全扫描仍报“特权提升”高危。最可能的原因是：A.容器镜像携带setuid程序B.宿主机内核未打补丁C.ServiceAccount绑定cluster-adminD.容器未设置资源限制答案：A解析：setuid位程序可在容器内被利用做特权提升，即使运行用户为非root；C属于K8sRBAC权限过大，与容器内特权无关。7.关于数据分类分级，下列做法正确的是：A.将“客户姓名+手机号”定为内部资料B.将“员工工号+门禁卡号”定为秘密级C.将“未公开财报PDF”定为机密级D.将“企业Logo”定为绝密级答案：C解析：未公开财报一旦泄露直接影响市值，符合“机密”定义；A应至少为“敏感”；B为“内部”；D过度分级。8.公司使用SAML2.0实现SSO，身份提供商（IdP）是集团ADFS，服务提供商（SP）为阿里云。若ADFS证书即将到期，下列哪项操作会导致所有用户无法登录？A.在IdP端更新签名证书但未同步到SPB.在IdP端更新加密证书并同步到SPC.在SP端更新TLS证书D.在SP端变更EntityID答案：A解析：签名证书用于断言签名验证，若SP仍用旧公钥验签，会导致断言校验失败，用户无法登录。9.关于《个人信息保护法》“敏感个人信息”处理，下列哪项无需取得“单独同意”？A.通过摄像头采集员工面部特征用于门禁B.在APP注册时收集用户精准定位C.向员工发放工资时收集银行卡号D.体检机构向企业反馈员工血常规报告答案：C解析：银行卡号虽属个人信息，但非“敏感个人信息”，且发放工资为履行合同必需，无需单独同意；A、B、D均需单独同意。10.公司采用NISTCSF框架进行自评，当前“识别”维度得分2.0，“保护”3.0，“检测”1.0，“响应”2.5，“恢复”2.5。下一步最优先改进的是：A.增加IPS覆盖B.建立7×24SOCC.制定灾难恢复计划D.开展供应链风险评估答案：B解析：检测能力仅1.0，明显短板，需先补齐监测能力，才能谈响应与恢复。11.某业务系统使用JWT做API认证，header中alg=none，且payload含role=admin。该问题属于：A.密钥泄露B.算法混淆C.令牌重放D.跨站请求伪造答案：B解析：alg=none表示签名被关闭，攻击者可篡改payload，属于算法混淆攻击。12.关于工业防火墙与传统防火墙差异，下列描述正确的是：A.工业防火墙支持OPC动态端口识别B.工业防火墙无法做深度包检测C.工业防火墙仅部署在IT/OT边界D.工业防火墙不支持白名单策略答案：A解析：OPCClassic采用动态端口，工业防火墙需动态跟踪；B、D错误；C亦可在PLC前部署微防火墙。13.公司计划对全体员工进行钓鱼演练，下列哪项做法最符合伦理合规？A.使用真实裁员名单发“裁员通知”B.伪造CEO签名发“年终奖调整”C.模拟合作快递发“取件通知”D.冒充员工家属发“紧急住院”答案：C解析：A、B、D易引发过度焦虑甚至心理伤害；C贴近日常场景，影响可控。14.关于云安全责任共担模型，下列属于租户责任的是：A.对象存储底层磁盘故障更换B.云服务器宿主机补丁更新C.云数据库版本升级D.云服务器内杀毒软件更新答案：D解析：A、B、C均为云服务商责任；D属于租户操作系统层，需自行负责。15.公司使用堡垒机运维Linux资产，发现某运维人员通过ssh隧道绕过堡垒机直接登录。最有效的技术管控是：A.修改资产iptables拒绝22端口B.在资产sshd配置AllowUsersC.将资产sshd端口改为2222D.使用证书认证并吊销证书答案：B解析：AllowUsers可限定仅允许堡垒机IP，达到强制绕行不可达；A影响正常运维；C为隐蔽式，非管控；D需提前预埋证书。二、多项选择题（每题3分，共30分，每题至少有两个正确答案，多选少选均不得分）16.以下哪些措施可有效防止勒索软件横向移动？A.域控强制禁用NTLMv1B.工作站本地管理员口令随机化C.核心交换机部署微分段D.文件服务器关闭SMBv1E.员工本地保存比特币钱包答案：ABCD解析：E与防护无关；A、B、D可阻断凭证窃取与利用；C可限制东西向流量。17.关于数据出境安全评估，下列哪些场景需向省级以上网信部门申报？A.集团中国区ERP每日批量同步至德国总部B.中国区HR系统使用新加坡云SaaS，含员工姓名、身份证C.中国区官网使用AWSCloudFront，静态图片缓存至东京节点D.跨境电商平台将订单数据实时写入美国RDSE.中国区本地机房使用境外技术支持远程排障，屏幕含客户订单答案：ABD解析：C为纯缓存、无个人信息；E为远程运维，非数据出境；A、B、D均涉及个人信息或重要数据出境。18.下列哪些日志源可用于检测Kerberoasting攻击？A.域控安全日志事件ID4768B.域控安全日志事件ID4769C.工作站Sysmon事件ID1D.防火墙会话日志E.域控安全日志事件ID4771答案：AB解析：4768（TGT请求）、4769（TGS请求）可发现异常服务票据请求；4771为预认证失败；C、D无直接关联。19.关于容器镜像安全，下列做法正确的有：A.使用distroless基础镜像B.在CI阶段运行Trivy扫描C.将镜像tag固定为latestD.镜像构建层使用非root用户E.将Dockerfile中apt-getupgrade保留答案：ABD解析：latest标签不可追溯；apt-getupgrade引入不可控变更；distroless减少攻击面；非root可降低提权风险；Trivy可检测CVE。20.公司采用DevSecOps，以下哪些活动应集成到CI/CD流水线？A.SASTB.DASTC.依赖库SCAD.渗透测试E.许可证合规扫描答案：ABCE解析：渗透测试频率低、需人工，通常不集成流水线；其余均可自动化。21.关于工控系统补丁管理，下列说法正确的有：A.需在供应商支持下进行补丁兼容性测试B.可使用WSUS统一推送OT补丁C.需建立离线补丁测试环境D.补丁安装窗口应与装置停车窗口同步E.所有补丁必须第一时间上线答案：ACD解析：B错误，OT环境通常隔离；E错误，需测试；A、C、D为最佳实践。22.以下哪些技术可用于实现“数据可用不可见”？A.差分隐私B.同态加密C.数字水印D.安全多方计算E.令牌化答案：ABD解析：C用于溯源；E用于脱敏；A、B、D可在不泄露原始数据前提下计算。23.关于云原生运行时安全，下列哪些属于eBPF技术典型应用场景？A.监控系统调用B.实现网络策略C.采集容器退出码D.检测进程提权E.实现分布式追踪答案：ABD解析：eBPF可挂钩内核态事件；C为用户态；E需配合追踪系统。24.公司建立SOAR平台，以下哪些剧本适合首日上线？A.钓鱼邮件自动处置B.高危漏洞自动打补丁C.失陷主机自动隔离D.员工账号自动解锁E.数据泄露事件自动通报监管答案：AC解析：B需测试窗口；D易误操作；E需人工复核；A、C场景清晰、误报低。25.关于《关键信息基础设施安全保护条例》，下列哪些单位可能被认定为运营者？A.年交易额500亿元电商平台B.地级市政务云C.拥有1000台矿机的区块链企业D.跨省输电公司E.日活200万的手游公司答案：ABD解析：C、D需看是否影响民生、公共利益；A、B、D符合认定标准。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）26.使用AES-256-GCM比AES-256-CBC更安全，因为GCM模式可提供认证加密。答案：√解析：GCM内置MAC，可防篡改；CBC需额外HMAC。27.只要部署了EDR，就无需再安装传统杀毒软件。答案：×解析：EDR侧重行为检测，传统签名引擎对已知病毒仍高效，二者互补。28.在TLS1.3中，所有握手消息均已加密，可防止中间人降级攻击。答案：√解析：TLS1.3除ClientHello外均加密，降级信息无法篡改。29.零信任网络意味着不再需要VPN。答案：×解析：零信任可基于VPN或SDP，VPN只是接入通道，非对立概念。30.使用SHA-1进行文件完整性校验已不再安全。答案：√解析：SHA-1已出现碰撞攻击，应使用SHA-256以上。31.物理隔离网络中的USB口封死后，可通过音频口实现数据摆渡。答案：√解析：已见公开案例利用超声波/音频调制实现慢速泄露。32.云租户开启RDS透明数据加密后，云服务商运维人员也无法查看明文数据。答案：×解析：密钥托管在KMS，云服务商部分角色可重置密钥，需结合BYOK/CMK。33.采用IPSec隧道模式后，原始IP包头被加密，可隐藏通信双方地址。答案：√解析：隧道模式生成新IP头，原包头加密，实现地址隐藏。34.在Linux系统中，chmod4755file可使file运行时具有文件所有者权限。答案：√解析：4为setuid位，运行阶段提权至所有者。35.企业自建PKI体系，CRL更新频率越高，吊销信息传播越及时，但带宽消耗越大。答案：√解析：CRL为完整列表，频繁发布增加下载量；OCSP可缓解。四、简答题（每题10分，共30分）36.某大型集团计划2025年全部业务迁移至公有云，安全管理员需设计“云安全治理框架”。请从组织、技术、运营、合规四个维度阐述关键要素，并给出落地顺序。答案：组织：1.成立云安全治理委员会，CIO任主任，安全、法务、业务、财务参与；2.设立云安全架构师、云安全运营、云合规三组岗位；3.制定云资源生命周期管理流程，明确“谁创建、谁负责、谁审核”。技术：1.统一身份云桥接，采用SAML+SCIM打通集团AD与云身份；2.建立云原生安全工具链，CI集成SCA、SAST、DAST、镜像扫描；3.部署云安全中心，覆盖配置核查、流量威胁、主机EDR、容器KRS；4.采用LandingZone方案，多账号+组织+SCP策略，隔离生产、测试、沙箱。运营：1.建立云配置持续合规扫描，每日自动对比CISBenchmark；2.建立云资源标签体系，费用与安全责任绑定；3.建立云事件响应playbook，含AccessKey泄露、控制台异常登录、VM挖矿等场景；4.建立云安全评分卡，纳入BU考核，低于90分强制整改。合规：1.梳理数据出境场景，形成白名单；2.对涉及个人信息系统开展PIA评估；3.与云服务商签署《数据处理协议》，明确责任分界；4.建立合规证据仓库，留存日志、配置、工单≥3年。落地顺序：①组织先行→②LandingZone打底→③身份与基线→④工具链接入→⑤运营流程→⑥持续合规。37.公司工控网络发现异常流量：每30分钟出现一次短暂SMB会话，源IP为工程师站，目标为PLC网段，传输大小固定42KB。请给出检测、分析、处置、改进的闭环方案。答案：检测：1.在OT防火墙开启深度包检测，识别SMB协议；2.部署工控IDS，加载“非工控时间SMB传输”规则；3.利用流量镜像+Zeek，提取SMB文件哈希；4.SIEM关联工程师站登录日志，发现异常时段无工单。分析：1.抓取42KB文件，发现为加密的.zebra扩展，疑似勒索病毒payload；2.逆向工程师站进程，发现计划任务调用powershell下载；3.检查U盘插拔记录，确认感染路径；4.比对PLC固件，发现版本被篡改，写入恶意ladder逻辑。处置：1.立即隔离工程师站，使用KasperskyPure离线杀毒；2.通过串口线下刷写PLC官方固件；3.在OT防火墙针对PLC网段添加白名单，仅允许专用工程端口；4.对全厂PLC进行哈希校验，发现3台被感染，全部重刷；5.通知生产调度，将装置切至手动模式，避免停车。改进：1.工程师站安装应用白名单，禁止powershell、cmd运行；2.部署USB物理锁，需审批开锁；3.建立PLC固件签名验证机制，重刷前需校验RSA签名；4.每季度开展OT应急演练，模拟PLC固件篡改；5.与供应商签署应急支持SLA，4小时到场。38.某互联网企业采用微服务架构，日均API调用量100亿次，需构建“API安全网关”。请给出核心功能、部署模式、性能指标、运维保障四项设计要点，并说明如何与业务解耦。答案：核心功能：1.统一认证：支持OAuth2、JWT、AK/SK、MutualTLS，接入集团SSO；2.流量控制：基于令牌桶算法，按API+App+User三维限流，支持突发阈值；3.访问控制：RBAC+ABAC，支持IP黑白名单、地理围栏、设备指纹；4.数据脱敏：对手机号、身份证、邮箱字段自动掩码；5.威胁防护：内置WAF规则，覆盖OWASPAPITop10，支持自定义正则；6.审计日志：全链路TraceID，日志落盘≥180天，支持ClickHouse秒级查询；7.版本灰度：支持按header、weight、标签分流，实现金丝雀发布。部署模式：1.采用K8sIngressGateway，Sidecar模式，业务Pod零侵入；2.双可用区双活，网关层与业务层分层，使用Envoy+Istio，控制面独立集群；3.外层再挂CDN+DDOS高防，清洗后流量回源至网关；4.敏感接口走专线通道，物理隔离。性能指标：1.单实例8核32G，HTTPS短连接QPS≥5万，P99延迟≤30ms；2.集群可水平扩展至100实例，支持1000万并发；3.证书卸载采用硬件加速卡，TLScps≥10万；4.热升级期间连接丢失率≤0.01%。运维保障：1.配置GitOps，网关规则以CRD方式存入Git，Merge后自动同步；2.建立SLO：可用性≥99.99%，错误率≤0.1%，延迟≥100ms占比≤0.5%；3.建立On-Call，接入PagerDuty，P1故障5分钟响应；4.每周混沌工程，随机注入节点故障、网络延迟、证书失效，验证自愈。业务解耦：1.网关只负责横切关注点，业务代码无需引入SDK；2.通过声明式配置，业务发布时仅需在YAML中声明路由、限流、超时参数；3.网关升级采用滚动发布，业务无感知；4.提供MockServer，供前端并行开发，减少联调依赖。五、综合案例分析（共30分）背景：A集团为全球消费电子龙头，在17个国家设有工厂、研发及销售机构，员工8万人，年营收2000亿元。2024年3月，A集团首次发布《数字信任白皮书》，提出“零事故、零泄露、零中断”目标。2024年5月，安全运营中心监测到欧洲研发总部ADFS异常登录，短时间内产生4000次失败认证，随后出现成功登录并访问代码仓库GitLab。经初步排查，攻击者利用“密码喷洒+撞库”获取一名外包员工账号，随后利用ADFS令牌伪造技术访问集团内多个云应用，包括Confluence、Jira、AWS控制台。攻击者在AWS控制台创建AccessKey，启动20台c5.24xlarge实例，运行挖矿程序，导致单日电费损失5万美元。同时，代码仓库被推送恶意commit，植入后门；该后门在次月固件release中被编译进300万台消费设备，造成后续品牌危机。问题：39.请绘制攻击时间线，标注关键节点与攻击技术（6分）。40.从身份、边界、工作负载、数据、监测五个维度，指出A集团现有控制缺陷，并给出补强措施（12分）。41.假设你是A集团新任CSO，需在30天内完成“危机恢复+长效治理”双重目标，请给出可量化的行动计划表，含里程碑、KPI、责任人（12分）。答案：39.攻击时间线（UTC）：2024-05-0614:00攻击者收集A集团外包员工邮箱（社工库）2024-05-0615:00开始对ADFS公开接口进行密码喷洒，持续2小时2024-05-0617:02成功登录外包员工账号，获得合法令牌2024-05-0617:10利用令牌访问GitLab，创建个人访问令牌PAT2024-05-0617:20使用PAT向主分支推送commitid=ac19d3，植入挖矿后门2024-05-0617:30登录AWS控制台，创建新的IAM用户“svc-backup”2024-05-0617:35为“svc-backup”创建AK/SK，权限为PowerUser2024-05-0617:40通过AK/SK调用RunInstances，启动20台c5.24xlarge，标签Key=Project，Value=Research2024-05-0618:00安全运营中心收到AWS费用告警，开始排查2024-05-0619:30禁用“svc-backup”账号，终止实例，累计损失5万美元2024-05-0708:00研发部发布固件，含恶意commit，开始推送OTA2024-06-01