2025年网络安全测评师考试试题及答案

2025年网络安全测评师考试试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.依据GB/T284482019，等级保护2.0中“安全区域边界”层面的测评对象不包括（）。A.边界防火墙B.核心交换机C.上网行为管理D.数据库审计系统答案：D2.在SSL/TLS握手阶段，用于协商对称密钥的报文是（）。A.ClientHelloB.ServerHelloDoneC.ClientKeyExchangeD.ChangeCipherSpec答案：C3.对Linux系统/etc/shadow文件实施强制访问控制（MAC）时，应使用的安全模块是（）。A.SELinuxB.PAMC.AppArmorD.grsecurity答案：A4.某Web应用采用JWT作为会话令牌，若签名算法字段“alg”被篡改为“none”，则攻击者实施的是（）。A.密钥混淆攻击B.算法替换攻击C.空加密攻击D.重放攻击答案：B5.在云计算环境中，IaaS层测评首要关注的安全控制点是（）。A.镜像完整性B.多租户隔离C.API速率限制D.快照加密答案：B6.对Oracle数据库进行漏洞扫描时，可直接获取DBA权限的默认监听端口是（）。A.1521B.1158C.2100D.3872答案：A7.根据《网络安全法》，关键信息基础设施运营者采购网络产品或服务时，应当自行或者委托第三方进行（）。A.渗透测试B.源代码审计C.安全审查D.等保测评答案：C8.在IPv6网络中，用于发现重复地址的报文类型是（）。A.RSB.RAC.NSD.NA答案：C9.对WindowsServer2019进行基线核查时，要求“账户锁定阈值”不大于（）次。A.3B.5C.10D.15答案：B10.使用Nmap扫描时，参数“sS”表示（）。A.TCPSYN扫描B.TCPConnect扫描C.UDP扫描D.ACK扫描答案：A11.在PKI体系中，负责签发CRL的实体是（）。A.RAB.CAC.OCSPD.LDAP答案：B12.某单位采用802.1X认证，若交换机端口状态始终为“unauthorized”，最可能的原因是（）。A.RADIUS共享密钥不一致B.客户端IP冲突C.端口VLAN未放行D.交换机未启用BPDUGuard答案：A13.对容器逃逸漏洞CVE20195736的利用，最终需要写入的文件是（）。A./proc/self/exeB./etc/passwdC./var/run/docker.sockD./usr/bin/runc答案：D14.在工业控制系统中，Modbus协议功能码“0x05”对应的操作是（）。A.读线圈B.写单个线圈C.读保持寄存器D.写多个寄存器答案：B15.依据ISO/IEC27001:2022，关于“威胁情报”应归入附录A控制域（）。A.5.7B.5.8C.5.36D.8.16答案：C16.对WiFi6网络进行安全测评时，必须启用的防护机制是（）。A.WEPB.WPAC.WPA2D.WPA3答案：D17.在零信任架构中，用于动态评估访问主体信任等级的组件是（）。A.SIEMB.PDPC.PEPD.SDP答案：B18.对源代码进行污点分析时，首要标记的用户可控输入函数是（）。A.strcpyB.getsC.main参数argvD.printf答案：C19.某单位采用国密SM2算法进行数字签名，其密钥长度是（）。A.128bitB.256bitC.384bitD.521bit答案：B20.在Linux内核提权漏洞DirtyCow中，利用的竞态条件对象是（）。A.pipeB.ptraceC.madviseD.copyonwrite答案：D21.对云原生微服务进行API安全测试时，首要检查的头部是（）。A.XRequestIDB.XRealIPC.AuthorizationD.ContentType答案：C22.依据《数据安全法》，处理“重要数据”应当定期开展风险评估，最低频次为（）。A.每月B.每季度C.每半年D.每年答案：D23.在Windows日志中，事件ID4624表示（）。A.账户登录成功B.账户登录失败C.权限提升D.对象访问答案：A24.对MongoDB数据库未授权访问漏洞的利用，默认暴露的端口是（）。A.27017B.6379C.9200D.11211答案：A25.在IPv4地址中，用于本地链路广播的地址是（）。A.B.C./16D.55答案：D26.对工控系统实施黑盒测试时，首要关注的协议是（）。A.SNMPB.S7commC.FTPD.SMTP答案：B27.在Android应用逆向中，用于绕过SSLPinning的核心类是（）。A.X509TrustManagerB.SSLSocketFactoryC.HostnameVerifierD.KeyManagerFactory答案：A28.对云数据库RDS进行测评时，检查“透明加密”功能应查看的视图是（）。A.information_schema.innodb_tablespacesB.mysql.userC.performance_schema.file_instancesD.sys.schema_auto_increment_columns答案：A29.在风险评估计算中，ALE的计算公式是（）。A.ARO×SLEB.SLE×AVC.ARO×AVD.EF×AV答案：A30.对APT攻击进行溯源时，首要提取的内存工件是（）。A.MFTB.$LogFileC.hiberfil.sysD.pagefile.sys答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下属于对称加密算法的是（）。A.SM1B.SM4C.AESD.ECC答案：ABC32.在Linux系统加固中，可有效防范提权的方法包括（）。A.限制SUID程序B.启用ASLRC.关闭ptraceD.降低nice值答案：ABC33.关于SQL注入漏洞，以下说法正确的是（）。A.预编译语句可完全杜绝注入B.存储过程一定安全C.宽字节注入与字符集相关D.二次注入利用已入库数据答案：CD34.以下属于云安全责任共担模型中“云服务方”责任的是（）。A.物理基础设施安全B.虚拟化层漏洞修复C.客户数据分类D.机房消防答案：ABD35.在Windows域环境中，可获取域用户哈希的工具有（）。A.MimikatzB.secretsdump.pyC.ProcDumpD.WCE答案：ABD36.以下关于IPv6安全扩展头的描述正确的是（）。A.路由头类型0已被废除B.逐跳选项头必须被所有节点处理C.目的选项头可被最终节点处理D.认证头提供机密性答案：ABC37.对容器镜像进行安全扫描时，应关注的层包括（）。A.基础系统层B.依赖库层C.应用代码层D.编排文件层答案：ABCD38.以下属于OWASPTop102021新增风险的是（）。A.失效的访问控制B.加密失败C.服务端请求伪造D.不安全的反序列化答案：C39.在工业防火墙规则中，可基于Modbus协议检查的字段包括（）。A.单元标识符B.功能码C.起始地址D.数据长度答案：ABCD40.依据《个人信息保护法》，处理敏感个人信息应取得的“单独同意”方式包括（）。A.弹窗提示B.勾选框默认勾选C.语音朗读D.纸质告知书签字答案：ACD三、填空题（每空1分，共20分）41.在Linux系统中，用于查看当前内核版本的命令是________。答案：unamer42.对HTTPS站点实施中间人攻击时，攻击者首先向客户端发送的伪造证书需由________根证书签发，才能被浏览器信任。答案：受信任43.在WindowsServer中，用于强制刷新组策略的命令是________。答案：gpupdate/force44.对MySQL数据库进行脱敏时，常用函数________可实现随机化邮箱。答案：concat(left(email,3),'','@',substring_index(email,'@',1))45.在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329中，采用零压缩后可简写为________。答案：2001:db8::ff00:42:832946.对AndroidAPK进行签名时，默认使用的签名方案版本是________。答案：v247.在NISTSP80053中，控制族“CM”表示________。答案：配置管理48.对云硬盘进行快照加密时，密钥管理应遵循的国标是________。答案：GB/T39786202149.在风险评估中，暴露因子EF的取值范围是________。答案：0～150.对APT组织Lazarus进行归因时，常用的TTPs哈希指标称为________。答案：MITREATT&CK51.对工业协议DNP3进行模糊测试时，常用框架________支持自定义功能码。答案：Boofuzz52.在Linux内核中，用于限制进程系统调用的安全机制是________。答案：seccomp53.对WiFi进行KRACK攻击时，主要利用的握手消息是________。答案：Msg354.对MongoDB启用访问控制后，系统生成的第一个用户角色必须是________。答案：userAdminAnyDatabase55.在Windows日志清除痕迹时，事件日志服务进程名是________。答案：svchost.exe56.对容器运行时进行安全测评时，CISBenchmark要求Docker守护进程监听________套接字应关闭。答案：TCP237557.在SM2数字签名生成过程中，使用的杂凑算法是________。答案：SM358.对云函数进行并发拒绝服务测试时，首要限制的指标是________。答案：并发实例数59.在IPv4报文中，用于记录路由路径的选项字段是________。答案：RecordRoute60.对源代码进行SAST扫描时，误报率最高的漏洞类型是________。答案：路径遍历四、简答题（每题10分，共30分）61.简述等级保护2.0“安全计算环境”层面针对恶意代码防护的测评要点。答案：1）检查终端/服务器是否部署企业级防病毒软件，病毒库更新周期≤7天；2）核查是否开启实时监控、定时扫描、U盘接入自动扫描；3）查看是否对压缩包、宏文件、脚本文件进行静态启发式查杀；4）验证是否具备病毒日志集中收集与告警功能，日志留存≥180天；5）对Linux环境核查是否部署EDR或ClamAV，检查更新源是否可信；6）抽样检查隔离区样本，确认误杀率低于1%；7）核查是否建立病毒应急预案，近一年开展≥2次演练。62.说明针对容器镜像供应链攻击的检测与缓解措施。答案：检测：1）镜像签名验证，使用Notary/Cosign校验digest；2）镜像层哈希比对，发现层文件被篡改；3）CI/CD流水线SBOM生成，对比依赖库CVE；4）运行时Falco规则监控异常进程；5）镜像仓库启用审计日志，检测异常推送。缓解：1）强制启用镜像签名策略，拒绝未签名镜像；2）最小化基础镜像，使用distroless；3）私有仓库部署Harbor并开启漏洞扫描；4）网络隔离，构建镜像与生产集群分离；5）定期rebase镜像，重建并重新扫描；6）对关键镜像实施多因子推送审批。63.描述对工业控制系统实施远程安全评估时的网络隔离与流量清洗方案。答案：1）在管理区与生产区之间部署工业网闸，采用双机双系统结构，实现协议剥离；2）使用工业防火墙基于白名单仅开放Modbus、S7comm、DNP3等必需功能码；3）对远程评估流量先引入DMZ区的堡垒机，通过KVMoverIP实现单点登录；4）堡垒机部署协议代理，对上传/下载文件进行病毒查杀与格式检查；5）所有流量经IPS进行深度包检测，阻断利用工控漏洞的利用特征；6）对回连流量实施源地址验证，禁止跳板机主动外联；7）评估结束后立即吊销堡垒机临时账户，清除ARP缓存，关闭防火墙临时策略。五、综合应用题（共50分）64.计算分析题（15分）某电商平台计划上线云原生架构，业务团队给出如下数据：资产价值AV=800万元；暴露因子EF=60%；年度发生率ARO=0.3；现有控制措施可将EF降低至20%，将ARO降低至0.1，控制成本为50万元/年。请计算：（1）实施控制前的年度损失期望ALE1；（2）实施控制后的年度损失期望ALE2；（3）投资回报率ROI，并判断是否值得投入。答案：（1）SLE=AV×EF=800×0.6=480万元，ALE1=SLE×ARO=480×0.3=144万元；（2）SLE’=800×0.2=160万元，ALE2=160×0.1=16万元；（3）ROI=(ALE1−ALE2−控制成本)/控制成本=(144−16−50)/50=1.56，即156%，大于0，值得投入。65.渗透测试报告撰写题（15分）背景：某金融APPAndroid端，登录接口为/login，POST参数{"mobile":,"smsCode":"123456"}。测试发现：1）验证码为4位纯数字，有效期10分钟，无防爆破；2）HTTPS证书固定校验被注释；3）服务端未校验设备指纹与短信下发通道一致性。请给出漏洞定级（依据CVSSv3.1）、利用场景、修复建议。答案：漏洞定级：CVSSv3.1AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N→得分7.5（高危）利用场景：攻击者通过代理工具绕过证书校验，使用4位数字爆破验证码，10分钟内最多尝试1万次，成功率100%，即可登录任意用户账号，获取token后调用转账接口。修复建议：1）验证码升级至6位数字+字母，有效期≤2分钟，单IP≤5次错误即图形验证码锁定；2）启用证书固定校验，使用OkhttpCertificatePinner；3）服务端校验短信下发通道与当前设备SIM卡号码一致性，不一致则拒绝；4）增加设备指纹与账号绑定，换设备需二次短信确认；5）登录接口接入风控，异常IP段直接封禁。66.应急响应综合题（20分）某日9:00，某国企域控服务器被检测到大量4625登录失败事件，来源IP为/24网段，随后出现4624登录成功，用户为域管账户。安全团队获取内存镜像后，发现lsass.exe进程注入痕迹，回连C2域