网络与信息安全管理员题库及答案

网络与信息安全管理员题库及答案单选题（每题1分，共30分）1.在OSI七层模型中，负责端到端加密与完整性校验的是A.数据链路层 B.网络层 C.传输层 D.会话层答案：C2.以下哪一项最能有效抵御重放攻击A.时间戳+随机数 B.对称加密 C.数字签名 D.哈希加盐答案：A3.关于TLS1.3握手过程，下列描述正确的是A.支持RSA密钥交换 B.0RTT存在前向安全性风险 C.强制使用ECDHE D.握手明文传输证书答案：C4.在Linux系统中，若文件权限为“rwsrxrx”，则s位表示A.强制位 B.冒险位 C.粘滞位 D.属主SETUID答案：D5.以下哪条iptables规则可阻断外网对本地TCP/22端口的扫描A.AINPUTptcpdport22jDROPB.AOUTPUTptcpsport22jDROPC.AFORWARDptcpdport22jACCEPTD.AINPUTptcpdport22mstatestateESTABLISHEDjACCEPT答案：A6.关于GDPR，数据控制者在发生个人数据泄露后向监管机构报告的时限为A.24小时 B.48小时 C.72小时 D.7天答案：C7.在Windows日志中，事件ID4624表示A.登录失败 B.登录成功 C.权限提升 D.账户锁定答案：B8.以下哪种算法被我国《商用密码管理条例》明确列为对称加密算法A.SM2 B.SM3 C.SM4 D.SM9答案：C9.关于零信任架构，错误的是A.默认信任内网 B.动态授权 C.持续身份校验 D.微分段答案：A10.在PKI体系中，负责签发CRL的实体是A.RA B.VA C.CA D.OCSP答案：C11.使用nmap参数“sS”进行的扫描类型为A.TCPConnect B.SYNStealth C.UDP D.ACK答案：B12.以下哪项不是OWASPTop102021新增风险A.不安全的设计 B.软件与数据完整性故障 C.服务器端请求伪造 D.未验证的重定向答案：D13.在SQL注入联合查询中，判断字段数常使用A.substr() B.orderby C.concat() D.limit答案：B14.关于AES256，正确的是A.轮数为10 B.分组长度256位 C.主密钥长度256位 D.仅支持ECB答案：C15.在Android逆向中，可查看应用签名的工具是A.apktool B.dex2jar C.keytool D.jadx答案：C16.以下哪条命令可查看Windows本地开放端口对应的进程PIDA.netstatano B.netstatr C.arpa D.tracert答案：A17.关于BGP安全，RPKI主要解决A.路由泄露 B.前缀劫持 C.路由震荡 D.路由环路答案：B18.在渗透测试中，用于快速生成钓鱼二维码的框架是A.SET B.CobaltStrike C.QRGen D.Metasploit答案：C19.以下哪项最能降低CSRF风险A.CSP B.SameSiteCookie C.HSTS D.XXSSProtection答案：B20.关于国密SM9，正确的是A.基于椭圆曲线离散对数 B.标识密码 C.对称加密 D.哈希长度256位答案：B21.在容器安全中，可限制进程系统调用的Linux特性是A.Capabilities B.seccomp C.AppArmor D.cgroups答案：B22.关于勒索软件防御，错误的是A.离线备份 B.白名单过滤 C.关闭宏脚本 D.关闭Windows卷影复制答案：D23.在IPv6中，用于发现重复地址的报文是A.RS B.RA C.NS D.NA答案：C24.以下哪项不是云责任共担模型中云服务商责任A.物理基础设施 B.虚拟化层 C.客户数据加密 D.可用区电力答案：C25.关于Wireshark过滤器，正确的是A.tcp.port==80andip.addr==B.tcp.porteq80&&ip.addreqC.port80andhostD.以上均可答案：D26.在等级保护2.0中，第三级系统测评周期为A.半年 B.一年 C.两年 D.三年答案：B27.以下哪项最能检测APT横向移动A.防火墙日志 B.DNS日志 C.流量镜像+机器学习 D.漏洞扫描答案：C28.关于比特币，交易不可篡改主要依赖A.哈希指针+工作量证明 B.环签名 C.零知识证明 D.共识算法PBFT答案：A29.在Python代码审计中，可导致命令执行的函数是A.eval() B.subprocess.call() C.pickle.loads() D.以上全部答案：D30.关于802.1X，EAPTLS与PEAP的主要区别是A.是否使用数字证书双向认证 B.是否支持VLAN下发 C.是否使用RADIUS D.是否支持漫游答案：A多选题（每题2分，共20分，少选得1分，错选0分）31.以下哪些属于对称加密算法A.3DES B.AES C.SM1 D.RSA答案：ABC32.可导致DNS劫持的场景有A.本地hosts篡改 B.路由器DNS被改 C.本地缓存投毒 D.使用DNSSEC答案：ABC33.关于Linux提权，以下哪些文件可能包含敏感信息A./etc/passwd B./etc/shadow C.~/.bash_history D./proc/version答案：ABC34.以下哪些措施可降低内存泄露风险A.代码静态扫描 B.ASLR C.安全编码规范 D.垃圾回收机制答案：ACD35.关于WAF绕过，以下哪些技术常被使用A.大小写变形 B.URL编码 C.内联注释 D.参数污染答案：ABCD36.以下哪些属于云原生安全工具A.Falco B.kubebench C.Clair D.OpenSCAP答案：ABC37.关于区块链51%攻击，后果包括A.双花 B.阻止交易确认 C.修改历史交易 D.硬分叉答案：ABD38.以下哪些协议支持加密传输A.SNMPv3 B.LDAPS C.SMTPS D.Syslog答案：ABC39.关于Android应用加固，常见技术有A.DEX加壳 B.SO文件混淆 C.反调试 D.资源加密答案：ABCD40.以下哪些属于《网络安全法》明确的关键信息基础设施A.金融支付 B.大型电商 C.医疗信息系统 D.高校选课系统答案：ABC填空题（每空1分，共20分）41.在Windows中，查看本地安全策略的命令是________。答案：secpol.msc42.哈希算法SHA256输出长度为________位。答案：25643.在Linux中，强制访问控制框架SELinux默认策略模式为________。答案：enforcing44.等级保护2.0中，安全区域边界要求部署________设备实现边界隔离。答案：防火墙或网闸45.在PKI中，OCSP协议默认端口为________。答案：80或8080（答其一即可）46.使用openssl生成2048位RSA私钥的命令参数为genrsaoutkey.pem________。答案：204847.在IPv4报头中，TTL字段占________字节。答案：148.我国《密码法》将核心密码、普通密码归入________密码管理。答案：国家49.在SQLMap中，使用________参数可指定数据库类型为MySQL。答案：dbms=mysql50.比特币地址以1开头表示采用________哈希算法。答案：RIPEMD16051.在Wireshark中，过滤HTTP请求方法为POST的表达式为________。答案：http.request.method==POST52.在Kubernetes中，用于保存敏感配置的对象是________。答案：Secret53.在Windows日志中，事件ID4768表示________票据请求。答案：KerberosTGT54.在渗透测试中，用于快速扫描Web目录的工具________。答案：dirb/gobuster/dirbuster（任答其一）55.在等级保护测评中，测评结论分为优、良、中、________四档。答案：差56.在Linux中，查看系统当前登录用户的命令是________。答案：who57.在AndroidManifest.xml中，申请网络权限的标签为________。答案：<usespermissionandroid:name="android.permission.INTERNET"/>58.在SMTP协议中，用于验证身份的命令是________。答案：AUTH59.在NISTSP80063B中，推荐的最小密码长度为________位。答案：860.在Docker中，限制容器内存上限的参数为________。答案：m或memory判断题（每题1分，共10分，正确写“√”，错误写“×”）61.对称加密一定比非对称加密速度快。答案：√62.使用HTTPS就能完全防止中间人攻击。答案：×63.在Linux中，文件权限为777表示任何用户可读写执行。答案：√64.WAF可以完全阻止SQL注入攻击。答案：×65.比特币交易记录是匿名的，无法追踪。答案：×66.在等级保护2.0中，云计算扩展要求适用于所有云平台。答案：√67.使用VPN后，用户真实IP地址对任何网站都不可见。答案：×68.在Android中，Debug版本默认允许USB调试。答案：√69.所有哈希算法都是可逆的。答案：×70.在TLS中，SNI字段用于指示请求的服务器名称。答案：√简答题（共30分）71.简述Kerberos认证基本流程，并指出其防止重放攻击的机制。（6分）答案：1)客户端向AS请求TGT，携带用户名与预认证数据（时间戳+哈希）；2)AS验证后返回TGT与SessionKey；3)客户端携带TGT向TGS请求服务票据；4)TGS验证后返回服务票据与ServiceSessionKey；5)客户端携带服务票据访问应用服务器；6)应用服务器验证票据并建立会话。防重放：票据内含生命周期与随机数，时间戳超期或随机数重复即拒绝。72.描述缓冲区溢出攻击原理，并给出两种缓解技术。（6分）答案：原理：向固定长度缓冲区写入超长数据，覆盖返回地址或函数指针，劫持控制流。缓解：1)栈金丝雀（StackCanary），函数返回前校验随机值；2)DEP/NX，数据段不可执行；3)ASLR，随机化堆栈地址；4)安全编译选项FORTIFY_SOURCE。73.说明国密SM2数字签名生成与验证流程。（6分）答案：生成：1)计算消息哈希e=SM3(m)；2)随机数k∈[1,n1]；3)计算点(x1,y1)=k·G；4)r=(e+x1)modn，若r=0或r+k=n则重选k；5)s=(1+dA)^1·(kr·dA)modn；6)输出(r,s)。验证：1)检查r,s∈[1,n1]；2)计算e=SM3(m)；3)计算t=(r+s)modn；4)计算点(x1’,y1’)=s·G+t·PA；5)验证r≡(e+x1’)modn，成立则签名有效。74.给出企业邮件网关防止钓鱼邮件的三项技术措施。（6分）答案：1)SPF+DKIM+DMARC联合校验发件人身份；2)沙箱动态分析附件与URL，检测零日利用；3)机器学习模型检测异常主题、正文诱导性及品牌仿冒；4)实施外部发件人标记与二次认证提示。75.解释云原生微服务场景下“零信任”网络分段实现方案。（6分）答案：以身份为中心，每服务具唯一SPIFFEID；mTLS强制双向认证，短周期证书自动轮转；Sidecar代理（如Envoy）执行细粒度授权策略（RBAC+ABAC）；网络层取消固定IP信任，基于标签与属性动态下发策略；持续遥测+行为分析，异常即自动隔离Pod；统一策略控制平面（如Istio）与分布式数据平面协同，实现微边界隔离。应用题（共40分）76.计算题（10分）某Web系统采用PBKDF2HMACSHA256，迭代次数120000，盐长度16字节，求：(1)派生32字节密钥所需内存最小理论值；(2)若GPU算力为10GH/s（SHA256），平均破解8位数字口令所需时间；(3)给出提升对抗GPU破解的两条建议。答案：(1)内存下限=盐16B+中间缓存32B+输出32B≈80B；(2)口令空间10^8，单次PBKDF2需120000次SHA256，等效哈希量1.2×10^13，GPU10×10^9h/s，平均时间=0.5×1.2×10^13/10×10^9=600秒=10分钟；(3)1)增加迭代次数至1e6；2)口令策略加入大小写+特殊字符，空间>10^14；3)采用Argon2id增加内存硬度。77.分析题（15分）给出一段疑似恶意JavaScript：eval(function(p,a,c,k,e,d){...}('0("1")',2,2,'alert|virus'.split('|')))(1)指出混淆技术名称；