安全技术模拟考试题含答案

安全技术模拟考试题含答案一、单项选择题（每题2分，共30分）1.以下哪种加密算法属于非对称加密？A.AES-256B.RSAC.DESD.ChaCha202.某企业网络中，员工访问内部OA系统时需通过AD域账号认证，同时要求输入手机动态验证码。这种认证方式属于？A.单因素认证B.双因素认证C.多因素认证D.无密码认证3.下列哪项是SQL注入攻击的核心目标？A.窃取用户CookieB.绕过身份验证C.非法操作数据库数据D.破坏服务器硬件4.某网站响应头中包含“X-Content-Type-Options:nosniff”，其主要目的是防御？A.XSS攻击B.CSRF攻击C.MIME类型嗅探攻击D.DDoS攻击5.在TCP/IP协议栈中，用于检测网络中是否存在存活主机的常用工具是？A.netstatB.tracerouteC.pingD.nmap6.以下哪项不属于零信任架构的核心原则？A.最小权限访问B.持续验证C.网络边界强化D.资源可见性7.某公司使用Wireshark捕获到一段网络流量，其中TCP报文中的“SYN=1，ACK=0”标志位组合通常表示？A.连接建立请求B.连接确认C.连接终止D.数据传输8.以下哪种漏洞利用方式需要用户主动点击恶意链接？A.远程代码执行（RCE）B.跨站脚本攻击（XSS）C.缓冲区溢出D.路由劫持9.某企业部署了入侵检测系统（IDS），其主要功能是？A.主动阻断恶意流量B.监控并记录异常行为C.加密传输数据D.管理用户访问权限10.在Windows系统中，用于查看当前进程与端口绑定关系的命令是？A.tasklistB.ipconfigC.netstat-anoD.routeprint11.以下哪种证书类型可用于验证网站身份并加密传输数据？A.代码签名证书B.SSL/TLS证书C.电子邮件证书D.客户端证书12.某攻击者通过伪造ARP响应包，将网关IP映射到自己的MAC地址，这种攻击属于？A.DNS劫持B.ARP欺骗C.中间人攻击（MITM）D.会话劫持13.以下哪项是哈希算法的主要特性？A.可逆性B.抗碰撞性C.密钥依赖性D.分组加密14.某企业采用“白名单”策略管理终端软件安装，其核心目的是？A.提高软件安装效率B.防止未授权软件运行C.降低硬件资源消耗D.简化IT运维流程15.在物联网（IoT）设备安全防护中，最关键的基础措施是？A.定期更新固件B.开启蓝牙功能C.增大存储容量D.提升计算性能二、填空题（每题2分，共20分）1.常见的传输层安全协议是________（写出缩写）。2.用于检测文件完整性的哈希算法通常有MD5、SHA-1和________（写出一种）。3.网络安全中的“CIA三元组”指机密性、完整性和________。4.防火墙的基本工作模式包括路由模式和________模式。5.勒索软件通常通过________（写出一种传播途径）感染目标主机。6.在Linux系统中，用于查看当前登录用户的命令是________。7.端口扫描工具Nmap的“-sS”参数表示执行________扫描。8.微信支付采用的双向认证机制中，用户端使用________证书，服务端使用服务器证书。9.操作系统的安全加固措施通常包括关闭不必要的服务、禁用默认账户和________（写出一种）。10.工业控制系统（ICS）中，常见的专用协议有Modbus、DNP3和________（写出一种）。三、简答题（每题6分，共30分）1.简述XSS攻击的类型及防御措施。2.说明SSL/TLS握手过程的主要步骤。3.比较网络层防火墙与应用层防火墙的区别。4.列举至少5种常见的弱口令特征，并说明其风险。5.解释“影子IT”对企业网络安全的潜在威胁。四、综合题（每题10分，共20分）1.某企业研发部门网络发生疑似APT攻击事件，监控日志显示：多台研发终端出现异常进程（名称为random.exe），CPU占用率持续高于80%，且存在大量向境外IP（00）的TCP连接。请分析可能的攻击路径，并设计应急响应方案。2.某公司计划迁移核心业务系统至公有云（如阿里云），要求制定云环境下的安全防护方案，需涵盖身份与访问管理（IAM）、数据安全、网络安全、监控审计四个维度。参考答案一、单项选择题1.B2.B3.C4.C5.C6.C7.A8.B9.B10.C11.B12.B13.B14.B15.A二、填空题1.TLS（或SSL/TLS）2.SHA-256（或SHA-512等）3.可用性4.透明（或桥接）5.钓鱼邮件（或漏洞利用、移动存储）6.who（或w）7.SYN8.客户端9.设置复杂密码（或开启防火墙、打补丁）10.OPCUA（或PROFINET等）三、简答题1.XSS攻击类型：存储型（恶意脚本存储于服务端，所有访问用户触发）、反射型（脚本随请求参数返回，需用户主动触发）、DOM型（通过前端JS修改DOM结构触发）。防御措施：对用户输入进行转义（如HTML编码）、设置HttpOnlyCookie、使用CSP（内容安全策略）限制脚本来源、验证输入输出数据格式。2.SSL/TLS握手主要步骤：①客户端发送支持的协议版本、加密算法列表及随机数（ClientHello）；②服务端选择算法并返回证书、服务端随机数（ServerHello）；③客户端验证证书有效性，生成预主密钥（用服务端公钥加密）并发送；④双方通过预主密钥和随机数生成会话密钥；⑤客户端与服务端发送握手完成消息，后续数据通过会话密钥加密传输。3.区别：网络层防火墙（包过滤防火墙）基于IP、端口、协议等网络层信息过滤，处理速度快但无法识别应用层内容；应用层防火墙（代理防火墙）工作于应用层，可解析HTTP、SMTP等协议内容，实现深度包检测（DPI），能防御应用层攻击（如SQL注入），但性能开销较大。4.弱口令特征：①短长度（≤6位）；②纯数字（如123456）；③常见单词（如password）；④与账号关联（如admin123）；⑤重复字符（如aaaaaa）。风险：易被暴力破解工具（如Hydra）猜测，导致账号被盗用，进而引发数据泄露、系统篡改、勒索攻击等。5.影子IT威胁：员工私下使用未被IT部门管理的云服务（如个人版Dropbox）或软件，可能绕过企业安全策略（如未开启数据加密、缺乏访问控制）；设备未安装企业杀毒软件，易感染恶意软件；数据存储在外部服务器，企业无法监控或备份，增加数据泄露风险；可能与企业现有系统产生兼容性问题，破坏整体安全架构。四、综合题1.攻击路径分析：-初始感染：可能通过钓鱼邮件附件、漏洞利用（如Windows未打补丁）或移动存储传播，诱导用户执行random.exe；-驻留阶段：random.exe可能写入注册表或任务计划实现开机自启动，占用CPU资源以掩盖其他恶意操作；-通信阶段：与境外IP（00，可能为C2服务器）建立TCP连接，上传研发数据或接收指令（如窃取代码、破坏文件）。应急响应方案：-隔离网络：立即断开受感染终端与研发网的连接（拔网线或禁用网卡），防止横向传播；-进程终止：通过任务管理器或命令（taskkill/f/imrandom.exe）结束异常进程，删除启动项（如注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的相关键值）；-日志分析：提取终端日志（如Windows事件日志、进程创建日志）和网络流量日志（通过Wireshark或IDS），确定攻击入口（如具体邮件附件哈希值、漏洞编号）；-清除恶意文件：使用杀毒软件（如卡巴斯基）全盘扫描，删除random.exe及其关联文件（如C:\Users\用户\AppData下的隐藏文件）；-修复加固：为终端打补丁（如MS17-010），启用WindowsDefender实时防护，限制非管理员用户安装软件；-追溯与向管理层汇报事件影响（如数据是否泄露），向公安网安部门提交攻击样本（random.exe）和C2服务器信息。2.云环境安全防护方案：-身份与访问管理（IAM）：启用云厂商（如阿里云）的RAM（资源访问管理）服务，为不同角色（如开发、运维、财务）创建独立账号，分配最小权限策略（如研发人员仅能访问ECS实例，财务人员仅能访问RDS数据库）；开启多因素认证（MFA），要求管理员登录时输入短信验证码或硬件令牌；定期审计账号权限（如每季度检查是否存在冗余权限）。-数据安全：敏感数据（如用户身份证号）在传输时使用TLS1.3加密，存储时采用云盘加密（如阿里云盘的KMS密钥管理服务），密钥由企业自己管理（BringYourOwnKey，BYOK）；对数据库（RDS）启用透明数据加密（TDE），并定期备份至对象存储（OSS）且开启版本控制；制定数据脱敏策略（如对手机号显示为1381234），限制开发环境访问生产数据。-网络安全：使用VPC（虚拟私有云）划分隔离网络，研发、生产、测试环境分属不同子网，通过安全组设置仅允许特定IP和端口访问（如生产数据库仅允许应用服务器的80/443端口连接）；部署Web应用防火墙（WAF）防御XSS、SQL注入等攻击，开启DDoS高防服务（如阿里云DDoS防护）应对大流量攻击；