2025年网络安全管理师国家认证考试试题及答案

2025年网络安全管理师国家认证考试试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.根据《网络安全法》，关键信息基础设施运营者采购网络产品或服务可能影响国家安全的，应当通过（）进行安全审查。A.工信部  B.国家网信办  C.公安部  D.国家安全审查机制  答案：D2.在等级保护2.0中，第三级系统应每年至少完成的安全活动是（）。A.渗透测试  B.风险评估  C.等级测评  D.应急演练  答案：C3.下列关于TLS1.3与TLS1.2差异的描述，正确的是（）。A.支持CBC模式加密  B.握手明文减少  C.支持压缩算法  D.强制使用RSA密钥交换  答案：B4.某单位采用零信任架构，其“默认拒绝”原则最先落地的控制点是（）。A.物理门禁  B.身份认证  C.微隔离  D.日志审计  答案：B5.依据《数据安全法》，处理重要数据跨境传输应通过（）评估。A.国家网信部门  B.省级工信部门  C.行业协会  D.第三方测评机构  答案：A6.在Linux系统中，可强制终止处于“D”状态的进程命令是（）。A.kill9  B.kill15  C.kill18  D.无法强制终止  答案：D7.某Web应用使用JWT令牌，若签名算法字段可被篡改，可导致（）。A.CSRF  B.重放攻击  C.算法替换攻击  D.会话固定  答案：C8.依据《个人信息保护法》，个人信息处理者应当提前进行个人信息保护影响评估的情形不包括（）。A.向境外提供个人信息  B.公开披露个人信息  C.内部员工调阅客户信息  D.使用人脸识别技术  答案：C9.在IPv6网络中，用于发现重复地址的报文类型是（）。A.RS  B.RA  C.NS  D.NA  答案：C10.某云租户希望实现虚拟机之间的流量可视化，应优先启用（）。A.VPC流日志  B.云防火墙  C.安全组  D.弹性网卡  答案：A11.依据《密码法》，用于保护国家秘密信息的密码算法类别为（）。A.商用密码  B.核心密码  C.普通密码  D.公共密码  答案：B12.在Windows事件日志中，成功登录事件的ID为（）。A.4624  B.4625  C.4648  D.4672  答案：A13.某单位采用NISTCSF框架，其中“DE.AE”子类聚焦的能力是（）。A.资产管理  B.异常事件分析  C.访问控制  D.恢复计划  答案：B14.下列关于SM4算法的叙述，错误的是（）。A.分组长度128位  B.密钥长度128位  C.属于流密码  D.采用32轮非线性迭代  答案：C15.在Kubernetes中，可限制容器CPU使用上限的资源字段是（）。A.requests.cpu  B.limits.cpu  C.max.cpu  D.cap.cpu  答案：B16.依据《关键信息基础设施安全保护条例》，运营者应当设置专门安全管理机构的时限为（）。A.正式运营前  B.等级测评后30日  C.认定结果通知后30日  D.年度风险评估前  答案：C17.某企业采用SDP架构，客户端首次连接控制器时使用的协议通常是（）。A.TCP443  B.TCP22  C.UDP500  D.ICMP  答案：A18.在SQL注入防御中，使用参数化查询主要解决的是（）。A.绕过WAF  B.执行任意命令  C.数据类型混淆  D.语义边界问题  答案：D19.某单位部署EDR，其“回溯分析”功能依赖的核心数据是（）。A.内存转储  B.网络流量包  C.进程事件链  D.DNS日志  答案：C20.依据ISO/IEC27035，信息安全事件分级首要考虑的两个维度是（）。A.完整性、可用性  B.机密性、影响度  C.影响度、紧急度  D.可能性、严重性  答案：C21.在BGP安全扩展中，用于验证AS路径的协议是（）。A.BGPsec  B.RPKI  C.BGPSafe  D.ASPA  答案：A22.某单位使用国密SSLVPN，其握手阶段采用的密钥交换算法是（）。A.SM2  B.SM3  C.SM4  D.ZUC  答案：A23.在OWASPTop102021中，排名上升最快的风险类别是（）。A.失效的访问控制  B.加密失败  C.服务端请求伪造  D.不安全设计  答案：C24.某云原生应用使用Istio，实现mTLS双向认证时，证书由（）签发。A.外部CA  B.Istiod内置CA  C.kubeapiserver  D.etcd  答案：B25.依据《网络安全审查办法》，运营者申报审查应当提交的材料不包括（）。A.采购协议  B.网络拓扑  C.风险评估报告  D.董事会名单  答案：D26.在Windows中，用于查看当前登录用户Kerberos票据的命令是（）。A.klist  B.ktpass  C.kinit  D.kdestroy  答案：A27.某单位采用DevSecOps，在CI阶段进行依赖漏洞扫描，其典型工具是（）。A.SonarQube  B.DependencyCheck  C.Fortify  D.Wireshark  答案：B28.在IPv4地址中，用于本地环路测试的地址段是（）。A./8  B./8  C./16  D./24  答案：B29.某单位使用堡垒机进行运维审计，其协议代理功能主要解决（）。A.单点登录  B.命令行审计  C.图形回放  D.账号托管  答案：B30.依据《工业控制系统网络安全防护指南》，现场层网络与企业层网络之间应部署（）。A.IDS  B.防火墙  C.网闸  D.堡垒机  答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下属于《个人信息保护法》规定的敏感个人信息的有（）。A.银行账户  B.精确位置轨迹  C.14岁以下儿童信息  D.购物记录  答案：A、B、C32.关于DNSSEC，下列说法正确的有（）。A.使用RRSIG记录验证应答  B.使用DS记录建立信任链  C.可防止DNS缓存投毒  D.加密DNS查询内容  答案：A、B、C33.在Linux能力机制中，可允许普通用户抓包的能力包括（）。A.CAP_NET_RAW  B.CAP_NET_ADMIN  C.CAP_SYS_ADMIN  D.CAP_DAC_OVERRIDE  答案：A、B34.以下属于云原生安全最佳实践的有（）。A.镜像签名  B.运行时微隔离  C.基线即代码  D.关闭所有日志减少泄露  答案：A、B、C35.某单位部署SIEM，为提高日志源可信度，可采取的措施有（）。A.时间同步  B.日志签名  C.传输加密  D.日志过滤  答案：A、B、C36.关于量子计算对密码学的影响，下列说法正确的有（）。A.Shor算法可分解大整数  B.Grover算法可加速哈希碰撞  C.SM2抗量子攻击  D.后量子密码需更大密钥长度  答案：A、B、D37.以下属于工业防火墙特有功能的有（）。A.OPC协议深度解析  B.Modbus白名单过滤  C.抗DDoS  D.时钟同步攻击检测  答案：A、B、D38.某单位使用NAC系统，终端准入评估内容可包括（）。A.补丁级别  B.杀毒软件版本  C.磁盘剩余空间  D.用户行为画像  答案：A、B、C39.在Android系统中，可导致提权漏洞的组件有（）。A.system_server  B.mediaserver  C.TEE驱动  D.WebView  答案：A、B、C40.依据《网络安全事件应急预案》，重大事件应包括（）。A.全国级网络瘫痪  B.重要行业大规模数据泄露  C.核心域名系统故障  D.地市一般网站被篡改  答案：A、B、C三、填空题（每空1分，共20分）41.在等级保护2.0中，安全区域边界包括网络边界、______边界和______边界。答案：子网、主机42.根据《密码法》，国家对密码实行分类管理，分为核心密码、______密码和______密码。答案：普通、商用43.在TLS握手阶段，服务端发送的“ServerHelloDone”消息类型值为______。答案：1444.IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329压缩写法为______。答案：2001:db8::ff00:42:832945.在Windows中，用于重置用户密码并强制下次登录更改的命令是______。答案：netuser用户名新密码/logonpasswordchg:yes46.某数据库使用TDE透明加密，其加密密钥存储在______中。答案：HSM或密钥管理服务器47.在Kubernetes中，NetworkPolicy资源依赖于______组件实现规则下发。答案：CNI插件48.依据《数据出境安全评估办法》，处理100万人以上个人信息应报______评估。答案：国家网信部门49.在OWASPSAMM模型中，治理维度下第一个实践域是______。答案：策略与指标50.工业控制系统常用现场总线协议______采用主从轮询机制。答案：Modbus51.在Linux审计子系统auditd中，记录文件权限修改的事件类型为______。答案：chmod52.某单位使用国密SM9标识密码，其密钥生成中心简称为______。答案：KGC53.在BGP报文中，用于维持邻居关系的报文类型是______。答案：Keepalive54.依据ISO22301，业务连续性管理体系第一阶段为______。答案：业务影响分析55.在AndroidSELinux中，进程域与文件类型匹配规则由______文件定义。答案：.te56.某Web应用采用ContentSecurityPolicy头，默认禁用内联脚本的指令是______。答案：'unsafeinline'57.在量子密钥分发协议BB84中，量子信道传输的是______态光子。答案：偏振58.某单位使用RPKI，其ROA对象作用是声明地址段与______的绑定关系。答案：AS号59.在WindowsDefenderApplicationControl中，策略文件后缀为______。答案：.bin60.依据《工业互联网安全分类分级指南》，平台企业分为______级、______级、______级。答案：一、二、三四、简答题（每题6分，共30分）61.简述零信任架构中“持续信任评估”的实现要点。答案：1.多源数据采集：身份、设备、环境、行为、威胁情报；2.动态策略引擎：基于风险模型实时计算信任分数；3.细粒度授权：每访问请求重新评估；4.反馈闭环：将访问结果回流模型自我优化；5.异常响应：触发二次认证或隔离；6.可审计：全程日志留存满足合规。62.说明工业控制系统“白环境”技术的原理与局限。答案：原理：通过基线学习建立已知正常通信模型，形成白名单策略，阻断偏离流量；采用深度协议解析、时序检测、状态跟踪。局限：1.学习期易被污染；2.变更管理复杂，合法升级需重学习；3.对加密流量无效；4.无法检测合法协议内的恶意指令；5.高可用场景下误报代价大。63.概述《个人信息保护法》中“最小必要”原则在App开发中的落地措施。答案：1.功能映射：梳理业务功能与信息类型一一对应；2.频率最小化：后台最小拉取周期；3.精度降级：位置由精准改为模糊；4.本地处理：边缘计算减少上传；5.弹窗告知：逐项取得同意；6.自动删除：超期数据定时清理；7.第三方SDK审计：剥离非必要SDK；8.代码层检查：静态扫描权限滥用。64.说明SM2数字签名算法中“随机数k”重用带来的安全风险及防范。答案：若k重用，攻击者可通过两次签名(r,s1)(r,s2)反解私钥：d=(s1s2)^(1)(h1h2)rmodn。防范：1.使用密码学安全随机数生成器；2.硬件随机源；3.每次签名强制更新k；4.侧信道屏蔽；5.密钥隔离存储；6.算法库审计。65.列举云原生环境“容器逃逸”三种常见路径并给出缓解方案。答案：1.特权容器+危险挂载：禁止privileged，使用最小权限seccomp/AppArmor；2.内核漏洞提权：及时更新宿主机内核，启用KSPP加固；3.恶意镜像利用cgroupsv1写通知器：升级到cgroupsv2，禁止非授权镜像仓库；4.容器运行时漏洞：使用gVisor/Kata安全沙箱；5.监控：eBPF实时检测异常系统调用。五、综合应用题（共50分）66.计算分析题（12分）某单位互联网出口带宽1Gbps，日均峰值利用率60%，现计划部署DDoS高防，清洗中心采用Anycast引流。已知：1.单次攻击平均持续时间300秒，平均流量5Gbps；2.攻击服从泊松分布，日均攻击次数6次；3.清洗中心最大可处理8Gbps，超出则黑洞路由；4.黑洞触发概率要求<5%。问：当前清洗能力是否满足需求？若不足，应扩容至多少？给出计算过程。答案：攻击流量期望E=5Gbps，方差λ=6次/日。单秒攻击概率p=6×300/86400≈0.0208。设同时攻击次数n，则P(n≥2)=1P(0)P(1)=1e^(λt)(λt)e^(λt)，取t=300s，λt=1.25。P(n≥2)=1e^(1.25)1.25e^(1.25)≈0.286。同时两起攻击总流量10Gbps>8Gbps，触发黑洞概率28.6%>>5%，不满足。需满足P(n≥k)≤5%，反解k：P(n≥3)=1∑i=0^2(λt)^i/i!e^(λt)=0.131；P(n≥4)=0.026；P(n≥5)=0.004<5%。故需保证4起同时攻击不超限，即清洗能力≥4×5=20Gbps。应扩容至20Gbps。67.安全设计题（12分）某省级政务云计划建设“数据共享交换平台”，需横向打通公安、税务、卫健等厅局数据，涉及个人信息、重要数据、核心数据。请设计一套跨域数据安全交换架构，要求：1.满足等级保护三级；2.支持国密算法；3.实现最小授权；4.可审计、可溯源；5.支持异常阻断。用图文结合方式描述关键组件、协议流程、密钥管理、审计要点。（文字描述即可）答案：架构：1.域间安全交换区（DMZ）：部署双向网闸、API网关、数据脱敏网关、国密VPN集群；2.厅局前置节点：各部署安全代理，完成数据源封装、国密SSL、身份认证（SM2双证）、属性加密（SM9）；3.核心交换区：区块链审计链，记录每次数据调用哈希（SM3）、时间戳、用户属性、数据指纹；4.密钥管理中心：KMS+HSM，分层密钥，数据加密密钥（DEK）由属性加密策略派生，支持密钥轮换、密钥分割；5.安全运营中心：SIEM+UEBA，实时分析调用频率、数据量偏离，触发策略引擎自动阻断；6.审计：三权分立，审计员独立密钥查看链上记录，支持国密签名防篡改；7.流程：厅局发起→API网关认证→属性策略引擎判断→网闸白名单放行→脱敏网关按需脱敏→区块链存证→返回结果；8.最小授权：基于ABAC，属性包括部门、角色、目的、时间、数据敏感度；9.异常阻断：调用频率>基线3倍或数据量>授权阈值，立即切断会话，推送工单。68.事件响应题（12分）2025年3月10日，某电力公司营销系统出现异常：09:10防火墙阻断外网对的1433端口大量连接；09:15数据库CPU100%，出现大量“xp_cmdshell”进程；09:20安全人员发现web服务器目录出现“kkk.jsp”木马；09:25IDS告警“Mimikatz”内存读取。请按PDCERF模型给出完整应急响应步骤，并给出证据提取命令（Windows+Linux）及恢复建议。答案：1.准备：已建立CSIRT，通报国网总部、省网信办、能源局；2.检测：确认web服务器被上传JSPWebShell，数据库遭SQL注入提权，攻击者横向移动至域控；3.遏制：a.隔离web服务器网段，关闭445、1433外联；b.修改域管密码，强制下线所有域用户；c.防火墙封禁攻击IP；4.根除：a.删除kkk.jsp，清除计划任务、WMI后门；b.打补丁KB5最新，禁用xp_cmdshell；c.使用EDR全盘查杀；5.恢复：a.从3月9日备份恢复数据库，校验哈希；b.重新下发数字证书；c.业务逐步开放，持续监控；6.跟踪：a.撰写报告，72h内上报；b.开展红队复盘，优化WAF规则；证据提取：Windows：```volatilityfmem.dumpprofile=Win2019mftparser>mft.txtwevtutileplSystemsys.evtx```Linux：```ddif=/dev/memof=/evidence/mem.ddbs=1Mlsal/var/www/html/kkk.jsp>webshell.txtnetstattulnp>netstat.lo