2025年网络与信息安全管理员中级安全规划试题及答案

2025年网络与信息安全管理员中级安全规划试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在《网络安全法》中，关键信息基础设施运营者采购网络产品或服务可能影响国家安全的，应当通过（）。A.国家网信办审批  B.工信部备案  C.国家网络安全审查  D.公安部测评答案：C2.等保2.0中，安全区域边界层面新增的核心控制点是（）。A.恶意代码防护  B.可信验证  C.访问控制  D.入侵防范答案：B3.某单位采用IPSecVPN实现总部与分支机构互联，若要求“数据机密性+数据源认证”，应选择的IPSec模式为（）。A.AH传输模式  B.ESP传输模式  C.AH隧道模式  D.ESP隧道模式答案：D4.在零信任架构中，用于动态评估访问主体信任等级的核心组件是（）。A.SIEM  B.SDP控制器  C.PKI  D.数据防泄漏网关答案：B5.某云租户需满足三级等保，其虚拟机宿主机位于异地IDC，依据《网络安全等级保护测评要求》，该宿主机应至少满足（）级测评要求。A.一级  B.二级  C.三级  D.四级答案：C6.关于《个人信息保护法》中“敏感个人信息”的界定，下列数据不属于敏感个人信息的是（）。A.14岁以下未成年人个人信息  B.精准定位轨迹  C.网购订单金额  D.医疗健康记录答案：C7.在ISO/IEC27001:2022中，删除“供应商关系”控制域，将其要求合并至（）。A.信息安全组织  B.资产管理  C.第三方连接  D.信息安全策略答案：C8.某企业采用NISTCSF框架进行安全规划，其中“DE.AE”子类属于（）功能域。A.识别  B.保护  C.检测  D.恢复答案：C9.在Linux系统加固中，若要禁止普通用户使用Ctrl+Alt+Del重启，应修改的文件是（）。A./etc/inittab  B./etc/systemd/system/ctrlaltdel.target  C./etc/securetty  D./etc/issue答案：B10.使用SHA256对一份大小为4GB的镜像文件进行完整性校验，其输出摘要长度为（）字节。A.16  B.32  C.64  D.128答案：B11.在IPv6地址中，用于标识“唯一本地地址”的前缀为（）。A.FE80::/10  B.FC00::/7  C.2000::/3  D.FF00::/8答案：B12.某Web应用采用OAuth2.0授权码模式，授权服务器向客户端颁发访问令牌前，必须验证的参数不包括（）。A.client_id  B.redirect_uri  C.scope  D.state答案：C13.在WindowsServer2022中，实现基于虚拟化的安全（VBS）依赖的CPU特性为（）。A.SLAT  B.TXT  C.VTx  D.SGX答案：B14.依据《数据安全法》，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞时，应当立即采取（）措施。A.数据出境评估  B.加密  C.补救  D.脱敏答案：C15.在BGP安全扩展中，用于防止路由劫持的认证机制是（）。A.RPKI  B.BGPLS  C.BFD  D.MPLS答案：A16.某数据库采用TDE（透明数据加密），其加密层次中用于加密数据文件的密钥称为（）。A.DEK  B.KEK  C.TSK  D.MEK答案：A17.在Python3.11中，使用secrets模块生成16字节安全随机数，应调用的函数为（）。A.random.bytes(16)  B.os.urandom(16)  C.secrets.token_bytes(16)  D.uuid.uuid4().bytes答案：C18.某单位计划2025年6月1日上线一套三级等保系统，依据《商用密码管理条例》，其密码应用方案应在（）前完成密评。A.20250301  B.20250401  C.20250501  D.20250601答案：A19.在容器安全中，用于限制进程只能访问指定系统调用的Linux安全机制是（）。A.Capabilities  B.Seccomp  C.AppArmor  D.SELinux答案：B20.某企业采用MITREATT&CK框架进行红队演练，TechniqueID“T1055”代表（）。A.进程注入  B.权限升级  C.凭证转储  D.远程桌面协议答案：A21.在5G核心网中，用于实现用户面功能下沉的网元为（）。A.AMF  B.UPF  C.SMF  D.AUSF答案：B22.某IDS规则“alerttcpanyany>/243389(msg:"RDPBrute";flow:to_server;content:"|0300|";threshold:typethreshold,trackby_src,count5,seconds60;)”中，threshold的作用是（）。A.匹配5次后丢弃  B.匹配5次后报警  C.匹配5次后阻断  D.匹配5次后记录答案：B23.在PKI体系中，OCSP响应报文默认使用的传输层协议及端口为（）。A.TCP80  B.TCP443  C.UDP53  D.HTTP80答案：D24.某云原生平台采用ServiceMesh架构，Istio默认使用的双向TLS端口为（）。A.8080  B.9090  C.15001  D.443答案：C25.在无线安全测试中，使用aireplayng实施Deauth攻击时，默认发送的Deauth帧数量为（）。A.64  B.128  C.256  D.连续发送直到手动停止答案：B26.依据《关键信息基础设施安全保护条例》，运营者应当（）对关键岗位人员进行背景审查。A.每月  B.每季度  C.每半年  D.每年答案：D27.在DevSecOps流水线中，用于检测Java代码中硬编码密钥的工具是（）。A.SpotBugs  B.DependencyCheck  C.SonarQube  D.GitLeaks答案：D28.某企业采用双活数据中心，RPO=0，RTO<30min，其复制技术最可能为（）。A.异步复制  B.快照  C.同步复制  D.磁带备份答案：C29.在Windows1124H2中，默认启用用于防止内核驱动篡改的安全特性为（）。A.CredentialGuard  B.HVCI  C.WindowsHello  D.UEFISecureBoot答案：B30.某单位采用国密SM2算法进行数字签名，其私钥长度通常为（）位。A.128  B.160  C.256  D.512答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下属于《网络安全审查办法》明确规定的“核心数据”范畴的有（）。A.国家经济运行数据  B.人口普查原始明细  C.企业年度财报  D.重要地理信息成果答案：ABD32.在Linux系统中，可用于实现文件完整性检查的开源工具包括（）。A.AIDE  B.Tripwire  C.OSSEC  D.Chkrootkit答案：ABC33.关于TLS1.3协议的特性，描述正确的有（）。A.默认启用前向保密  B.支持0RTT恢复  C.压缩算法必须启用  D.移除RSA密钥传输答案：ABD34.以下关于云安全责任共担模型的描述，正确的有（）。A.IaaS层，云服务商负责虚拟化层安全  B.PaaS层，租户负责操作系统补丁  C.SaaS层，云服务商负责应用层数据加密  D.任何模式下，云服务商均不对客户数据负责答案：AC35.在工业控制系统中，Modbus协议存在的典型安全风险包括（）。A.缺乏认证  B.明文传输  C.功能码滥用  D.强制访问控制答案：ABC36.某企业部署EDR产品，其应具备的核心功能有（）。A.行为分析  B.威胁狩猎  C.漏洞扫描  D.自动隔离答案：ABD37.依据《个人信息出境标准合同办法》，境内接收方应承诺履行的义务包括（）。A.不得超范围处理  B.接受中国监管机构监督  C.向境外第三方提供需单独告知  D.出现数据泄露24小时内报告答案：ABC38.在Android14系统中，用于限制应用后台启动活动的安全机制有（）。A.AppStandby  B.BackgroundActivityStarts  C.RuntimePermissions  D.SELinux答案：AB39.以下关于量子计算对密码学影响的描述，正确的有（）。A.Shor算法可破解RSA  B.Grover算法可将AES128有效密钥长度降至64位  C.后量子算法已标准化  D.量子计算机已可实用破解SM2答案：AB40.在容器镜像安全扫描中，可检测的漏洞类型包括（）。A.CVE漏洞  B.配置违规  C.密钥泄露  D.恶意镜像层答案：ABCD三、填空题（每空1分，共20分）41.在等保2.0“安全计算环境”中，要求“应采用____技术保证系统资源可用性”。答案：冗余42.国密算法SM3输出的杂凑值长度为____位。答案：25643.在IPv4报文中，用于防止分片攻击的字段是____。答案：DF（Don’tFragment）44.Windows日志中，事件ID4624表示____成功。答案：登录45.在SQL注入联合查询中，使用“unionselect1,2,3”探测列数，若返回正常，则下一步需获取____名。答案：数据库46.依据《密码法》，商用密码产品检测认证目录由____会同国家密码管理局发布。答案：国家市场监督管理总局47.在Kubernetes中，用于限制Pod使用CPU最大500m的字段为limits____。答案：cpu48.在BGP报文中，用于标识自治系统的字段长度为____字节。答案：449.在无线802.1X认证中，EAPTLS协议要求客户端和服务器均持有____。答案：数字证书50.在Pythonrequests库中，关闭SSL证书验证的参数为verify=____。答案：False51.在NISTSP80053Rev5中，控制族“AC”代表____。答案：AccessControl52.在Linux中，设置文件不可修改属性使用的命令为chattr+____。答案：i53.在TLS握手阶段，Server发送的“Certificate”消息位于____消息之后。答案：ServerHello54.在OWASPTop102021中，A01类别为____失效。答案：访问控制55.在MySQL8.0中，开启全日志记录的参数为general____。答案：log56.在VMwarevSphere8.0中，用于实现虚拟机加密的核心组件为____。答案：KMIP57.在SNMPv3中，用于提供身份验证和加密的安全级别为____。答案：authPriv58.在PowerShell中，执行策略默认为____，禁止脚本运行。答案：Restricted59.在Android应用签名方案中，从Android9开始默认要求采用____签名方案。答案：v260.在ISO22301业务连续性管理中，RTO中文全称为____。答案：恢复时间目标四、简答题（每题10分，共30分）61.简述零信任架构中“持续信任评估”机制的实现要点，并给出两种常用技术。答案：（1）实现要点：1.以身份为中心，对所有访问请求动态计算信任分数；2.采集多维度上下文（用户、设备、位置、行为、威胁情报）；3.实时更新策略引擎，信任分数低于阈值立即降级或阻断；4.与IAM、SIEM、EDR、NDR联动，形成闭环。（2）常用技术：1.UEBA（用户与实体行为分析），通过机器学习建立行为基线，发现异常；2.SDP（软件定义边界），控制器持续评估终端安全状态，动态下发访问权限。62.某金融公司拟在2025年新建两地三中心架构，需满足《金融行业信息系统灾难恢复标准》（JR/T00442020）中“5级灾难恢复能力”。请列出5级能力在数据备份、备用场地、网络系统、备用处理能力、演练频次五个维度的量化指标。答案：1.数据备份：RPO≤15min，至少每日增量+实时复制；2.备用场地：异地灾备中心与主中心直线距离≥300km，地质、电力、网络异构；3.网络系统：备用网络带宽≥主用50%，切换时间≤30min；4.备用处理能力：灾备中心CPU、内存资源≥主用50%，磁盘≥100%；5.演练频次：至少每季度完成一次真实切换演练，一年内至少一次业务级演练。63.说明国密SM2数字签名与RSA2048在算法原理、密钥长度、签名长度、运算性能、合规场景五个方面的差异。答案：1.算法原理：SM2基于椭圆曲线离散对数难题，RSA基于大整数分解难题；2.密钥长度：SM2私钥256位，公钥512位；RSA2048私钥2048位，公钥2048位；3.签名长度：SM2签名64字节，RSA2048签名256字节；4.运算性能：SM2签名/验签速度约为RSA2048的4–6倍，移动端优势更明显；5.合规场景：SM2适用于中国境内金融、政务、电力等关键行业，RSA2048可用于国际互认场景，但涉及出境需评估。五、综合应用题（共50分）64.计算与分析题（20分）某电商平台计划在2025年“618”大促期间承受峰值并发5000万HTTP请求/分钟，已知：1.单台Web服务器（16核64GB）在CPU利用率≤70%时可支撑4万请求/分钟；2.负载均衡器集群最大吞吐80Gbps，单台SSL握手性能2000TPS，TLS1.3握手报文平均大小6KB；3.业务要求可用性≥99.99%，允许最大5%冗余。问题：（1）计算至少需要多少台Web服务器？（2）若75%请求为HTTPS，计算负载均衡器是否成为瓶颈，并给出优化方案。答案：（1）单台4万/分钟⇒5000万/4万=1250台；考虑5%冗余：1250×1.05=1313台，向上取整1313台。（2）HTTPS请求：5000万×75%=3750万/分钟=62.5万/秒；TLS握手报文：62.5万×6KB=3750Gbps=3.75Tbps，远大于80Gbps，成为瓶颈。优化：1.采用TLS会话复用+0RTT，减少握手比例至10%，实际握手流量降至375Gbps；2.负载均衡器水平扩展至5组，每组160Gbps，总800Gbps；3.启用边缘CDN卸载90%静态流量，源站仅承载10%，握手流量再降至37.5Gbps，低于800Gbps，满足要求。65.安全规划方案设计题（30分）背景：某直辖市“智慧交通”系统拟于2025年上线，覆盖全市2万路高清视频、1200个信号灯、50个地铁闸机群，数据统一接入城市交通大脑平台。平台部署于市政务云（IaaS），采用微服务+容器架构，涉及敏感个人信息（车牌、人脸）。任务：请依据等保2.0三级、数据安全法、个人信息保护法、关基条例，设计一套“云管端”一体化安全规划方案，要求：1.画出逻辑拓扑图（文字描述即可）；2.列出十大安全控制措施（含技术、管理各5项），并给出量化指标；3.给出个人信息保护专项措施（不少于5条）；4.给出密码应用方案（算法、产品、场景对应表）；5.给出三年演练路线图（年度目标、演练类型、覆盖系统比例）。答案：1.逻辑拓扑：终端层：高清摄像头、信号灯控制器、闸机→运营商5G切片→边缘节点（KubeEdge）→政务云VPC→交通大脑微服务集群（K8s）→大数据湖（Hive+OSS）→交警、应急、政府共享交换平台。2.十大安全控制措施：技术：1.微隔离：东西向流量零信任，基于Label策略，拒绝率≥99%；2.容器镜像签名：Harbor+Notary，签名率100%，漏洞高危修复周期≤7天；3.视频流加密：国密SM4GCM，端到端加密覆盖率100%，密钥轮换周期≤24h；4.API网关：OAuth2.