《2025年计算机等级考试(三级网络安全技术)试卷含答案》

《2025年计算机等级考试(三级网络安全技术)试卷含答案》一、单项选择题（共20题，每题1分，共20分）下列各题只有一个正确选项，请将答题卡对应位置涂黑。1.以下哪项是PDRR安全模型的核心阶段？（）A.防护（Protection）B.检测（Detection）C.响应（Response）D.恢复（Recovery）2.对称加密算法AES256的密钥长度是（）。A.64位B.128位C.192位D.256位3.ARP欺骗攻击的本质是（）。A.破坏网络拓扑结构B.伪造MAC地址与IP的映射关系C.耗尽目标主机内存资源D.拦截传输中的数据包4.以下哪项不是SSL/TLS协议的功能？（）A.数据加密B.身份认证C.流量统计D.数据完整性校验5.缓冲区溢出攻击的主要目标是（）。A.修改程序执行流程B.窃取用户密码C.破坏文件系统D.干扰网络连接6.以下属于被动攻击的是（）。A.DDoS攻击B.网络监听C.SQL注入D.ARP欺骗7.公钥基础设施（PKI）的核心组件是（）。A.证书颁发机构（CA）B.注册机构（RA）C.证书库（CRL）D.密钥管理系统（KMS）8.以下哪种协议用于安全的电子邮件传输？（）A.SMTPB.POP3C.S/MIMED.IMAP49.网络访问控制（NAC）的主要目的是（）。A.限制用户访问特定网站B.确保接入设备符合安全策略C.提高网络传输速率D.监控用户上网行为10.以下哪项是Web应用中最常见的漏洞类型？（）A.信息泄露B.CSRFC.XSSD.SQL注入11.入侵检测系统（IDS）的误报率是指（）。A.检测到真实攻击的概率B.误将正常流量判断为攻击的概率C.漏报攻击的概率D.攻击被阻断的概率12.最小特权原则要求用户或进程（）。A.仅获得完成任务所需的最小权限B.拥有系统管理员权限C.无权限访问关键资源D.定期更换密码13.以下哪种算法属于哈希算法？（）A.AESB.RSAC.SHA256D.DES14.物联网设备的安全威胁不包括（）。A.固件漏洞B.弱认证机制C.5G信号干扰D.拒绝服务攻击15.防火墙的“状态检测”功能主要基于（）。A.数据包的源/目的IP和端口B.传输层连接状态C.应用层协议内容D.用户身份信息16.以下哪项是零信任架构的核心思想？（）A.内网绝对可信B.持续验证访问请求C.仅允许已知设备接入D.关闭所有外部接口17.漏洞扫描工具Nessus的主要功能是（）。A.拦截网络攻击B.检测系统漏洞C.加密传输数据D.监控网络流量18.以下属于物理安全措施的是（）。A.安装防火墙B.服务器机房门禁系统C.定期更新系统补丁D.部署入侵检测系统19.蓝牙设备的安全模式中，“模式4”支持（）。A.无安全功能B.简单配对C.安全连接配对D.强制加密20.以下哪项是SOC（安全运营中心）的核心目标？（）A.开发安全产品B.集中监控与响应安全事件C.制定安全策略D.培训用户安全意识二、多项选择题（共10题，每题2分，共20分）下列各题有2个或2个以上正确选项，多选、少选、错选均不得分。21.以下属于主动攻击的是（）。A.数据篡改B.流量分析C.拒绝服务D.伪造身份22.防火墙的典型部署模式包括（）。A.路由模式B.透明模式C.混杂模式D.旁路模式23.Web应用的安全威胁包括（）。A.文件包含漏洞B.跨站请求伪造（CSRF）C.缓冲区溢出D.会话劫持24.以下属于对称加密算法的是（）。A.AESB.RSAC.DESD.3DES25.无线局域网（WLAN）的安全协议包括（）。A.WEPB.WPAC.WPA2D.WPA326.访问控制的实现方式包括（）。A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）27.以下属于社会工程学攻击的是（）。A.钓鱼邮件B.电话诈骗获取密码C.暴力破解登录口令D.诱导用户点击恶意链接28.以下哪些是DNS安全威胁？（）A.DNS劫持B.DNS缓存投毒C.DNS放大攻击D.DNS区域传输漏洞29.数据脱敏技术包括（）。A.替换B.掩码C.加密D.截断30.以下属于云计算安全挑战的是（）。A.多租户隔离B.数据迁移风险C.物理设备故障D.云服务商可信度三、填空题（共10题，每题1分，共10分）请将答案填写在答题卡对应位置。31.网络安全的三要素是机密性、完整性和__________。32.数字签名的理论基础是__________加密算法。33.常见的漏洞扫描工具除Nessus外，还有__________（列举一个）。34.拒绝服务攻击（DoS）的核心目标是耗尽目标系统的__________。35.TLS1.3协议中，握手过程的密钥交换主要使用__________算法（如ECC或RSA）。36.物联网（IoT）设备的典型认证方式包括__________（如MAC地址认证或证书认证）。37.防火墙的访问控制列表（ACL）通常基于__________、端口和协议进行规则配置。38.恶意软件（Malware）的常见类型包括病毒、蠕虫、木马和__________。39.数据库安全中，最小权限原则要求用户仅能访问完成任务所需的__________数据。40.安全审计的主要目的是__________和追踪安全事件。四、简答题（共5题，每题5分，共25分）41.简述SSL/TLS协议的四层结构及其功能。（封闭型）42.列举并说明三种常见的Web应用漏洞及其防御措施。（封闭型）43.分析企业内网使用VPN（虚拟专用网）的必要性。（开放型）44.比较基于网络的入侵检测系统（NIDS）与基于主机的入侵检测系统（HIDS）的优缺点。（封闭型）45.说明零信任架构（ZeroTrustArchitecture）的核心原则，并举例说明其应用场景。（开放型）五、应用题（共3题，第46题6分，第47题8分，第48题11分，共25分）46.RSA密钥生成与加密计算（计算类）已知RSA算法中，选择素数p=7，q=11。（1）计算n和φ(n)；（2）若选择公钥e=13，计算私钥d；（3）使用公钥（n,e）加密明文m=5，求密文c。47.SQL注入攻击分析（分析类）某Web应用的登录验证代码如下：```php$username=$_POST['username'];$password=$_POST['password'];$sql="SELECTFROMusersWHEREusername='$username'ANDpassword='$password'";$result=mysqli_query($conn,$sql);if(mysqli_num_rows($result)>0){echo"登录成功";}else{echo"登录失败";}```（1）分析该代码存在的安全漏洞及攻击者可能的利用方式；（2）提出至少两种防御该漏洞的措施。48.校园网安全防护体系设计（综合类）某高校计划构建新的校园网，需设计一套覆盖边界防护、终端安全、访问控制、安全审计的防护体系。请结合实际需求，说明各部分的具体技术措施及实现方式。参考答案及解析一、单项选择题1.B解析：PDRR模型中，检测是触发响应和恢复的关键，是动态安全的核心。2.D解析：AES支持128/192/256位密钥，AES256对应256位密钥。3.B解析：ARP欺骗通过伪造ARP响应包，篡改目标主机的ARP缓存表。4.C解析：SSL/TLS提供加密、认证、完整性校验，但不负责流量统计。5.A解析：缓冲区溢出通过覆盖栈空间，修改程序返回地址以控制执行流程。6.B解析：被动攻击主要是窃听或分析数据，不修改信息；其他选项为主动攻击。7.A解析：CA是PKI的核心，负责颁发和管理数字证书。8.C解析：S/MIME（安全多用途互联网邮件扩展）用于安全电子邮件传输。9.B解析：NAC通过检查设备补丁、防病毒状态等，确保符合安全策略后允许接入。10.D解析：OWASP报告显示，SQL注入是Web应用最常见的高风险漏洞。11.B解析：误报率=（误报次数/总检测次数）×100%，反映将正常流量误判为攻击的概率。12.A解析：最小特权原则要求权限最小化，降低越权访问风险。13.C解析：SHA256是哈希算法，AES/DES是对称加密，RSA是非对称加密。14.C解析：5G信号干扰属于物理层问题，不属于物联网特有的安全威胁。15.B解析：状态检测防火墙跟踪TCP连接状态（如SYN、ESTABLISHED），增强安全性。16.B解析：零信任的核心是“永不信任，始终验证”，持续验证访问请求的合法性。17.B解析：Nessus是专业漏洞扫描工具，用于检测系统、服务的已知漏洞。18.B解析：物理安全措施包括机房门禁、监控、防雷等，其他选项为逻辑安全措施。19.C解析：蓝牙模式4支持安全连接配对（SecureConnectionsPairing），防止传统配对的漏洞。20.B解析：SOC的核心是集中监控、分析和响应安全事件，实现安全运营的协同。二、多项选择题21.ACD解析：主动攻击包括篡改、伪造、DoS等；流量分析是被动攻击。22.ABD解析：防火墙部署模式包括路由（网关）、透明（桥接）、旁路（监听）模式；混杂模式是网卡工作模式。23.ABD解析：缓冲区溢出是系统层漏洞，不属于Web应用特有威胁。24.ACD解析：RSA是非对称加密算法，其余为对称算法。25.ABCD解析：WEP（已淘汰）、WPA、WPA2、WPA3均为WLAN安全协议。26.ABCD解析：四种均为常见的访问控制实现方式。27.ABD解析：暴力破解属于技术攻击，社会工程学依赖心理诱导。28.ABCD解析：DNS劫持、缓存投毒、放大攻击、区域传输漏洞均为常见DNS威胁。29.ABD解析：数据脱敏是对敏感数据进行变形（替换、掩码、截断），加密属于数据保护而非脱敏。30.ABD解析：物理设备故障是传统IT的挑战，云计算特有的挑战包括多租户隔离、数据迁移、服务商可信度等。三、填空题31.可用性32.非对称（或公钥）33.OpenVAS（或Qualys、SAMSUNG等）34.资源（如带宽、内存、CPU）35.ECDHE（或椭圆曲线DiffieHellman）36.预共享密钥（PSK）/证书认证（任答其一）37.IP地址（或源/目的IP）38.勒索软件（或间谍软件、广告软件等）39.最小范围（或必要）40.记录（或审计）四、简答题41.答：SSL/TLS协议分为四层：（1）握手协议（HandshakeProtocol）：协商加密算法、交换密钥、完成身份认证；（2）记录协议（RecordProtocol）：对应用数据进行分片、压缩、加密、添加MAC，确保传输安全；（3）警报协议（AlertProtocol）：传输警告或错误信息（如证书无效），通知通信双方终止连接；（4）应用数据协议（ApplicationDataProtocol）：承载HTTP、SMTP等上层应用数据。42.答：（1）SQL注入：攻击者通过输入恶意SQL代码（如`'OR'1'='1`），绕过身份验证或窃取数据；防御措施：使用预编译语句、输入过滤、最小权限原则。（2）XSS（跨站脚本）：攻击者插入恶意JavaScript代码（如`<script>alert(document.cookie)</script>`），窃取用户会话；防御措施：转义用户输入、设置HttpOnlyCookie、内容安全策略（CSP）。（3）CSRF（跨站请求伪造）：攻击者诱导用户执行非自愿操作（如转账）；防御措施：使用CSRF令牌、验证Referer头、双重Cookie验证。43.答：企业内网使用VPN的必要性包括：（1）远程访问安全：员工通过公网访问内网时，VPN通过加密隧道（如IPSec、SSL）防止数据被窃听；（2）分支网络互联：不同办公地点的内网通过VPN互联，避免租用专线的高成本；（3）隔离未信任网络：访客或移动设备通过VPN接入时，仅能访问授权资源，降低内网暴露风险；（4）符合合规要求：金融、医疗等行业需满足数据传输加密的法规（如GDPR、HIPAA）。44.答：（1）NIDS（基于网络）：优点是部署在网络出口，可监控全网流量，无需主机代理；缺点是无法检测加密流量，误报率较高，依赖特征库更新。（2）HIDS（基于主机）：优点是能检测主机文件、进程异常（如恶意文件修改），支持加密流量分析；缺点是需在每台主机安装代理，资源消耗大，无法监控网络层攻击。45.答：核心原则：（1）持续验证：所有访问请求（无论内外网）需验证身份、设备状态、访问环境；（2）最小权限：仅授予完成任务所需的最小权限；（3）动态调整：根据风险变化实时调整访问权限。应用场景：企业员工通过移动设备访问内部系统时，零信任架构会验证设备是否安装最新补丁、是否属于企业管理设备、用户位置是否异常等，仅满足条件时允许访问财务系统，否则限制为只读权限。五、应用题46.解答：（1）n=p×q=7×11=77；φ(n)=(p1)(q1)=6×10=60。（2）d需满足e×d≡1modφ(n)，即13d≡1mod60。解得d=37（因13×37=481=60×8+1）。（3）加密公式c=m^emodn=5^13mod77。计算得5^13=1220703125，1220703125÷77=15853287×77+26，故c=26。47.解答：（1）漏洞：SQL注入。攻击者可输入`username=admin'&password=任意值`，使SQL语句变为`SELECTFROMusersWHEREusername='admin'ANDpassword='...'`（注释掉密码验证部分），直接登录成功。（2）防御措施：①使用预编译语句（PreparedStatement），将用户输入与SQL语句分离，如：```php$stmt=$conn>prepare("SELECT