2025年网络与信息安全专业技术人员考试《网络安全管理》试题及解析

2025年网络与信息安全专业技术人员考试《网络安全管理》试题及解析一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.依据《网络安全法》，关键信息基础设施运营者采购网络产品或服务可能影响国家安全的，应当通过（）进行安全审查。A.工信部B.国家网信办C.国家市场监管总局D.国家安全审查工作机制答案：D2.在ISO/IEC27001:2022中，对“风险处置”活动排序正确的是（）。A.风险识别→风险评价→风险分析→风险处置B.风险识别→风险分析→风险评价→风险处置C.风险分析→风险识别→风险评价→风险处置D.风险评价→风险识别→风险分析→风险处置答案：B3.下列关于Windows日志“EventID4624”的描述正确的是（）。A.账户登录失败B.账户成功登录C.账户被锁定D.特权提升答案：B4.在Linux系统中，若需对/etc/shadow文件实施强制访问控制，应选用的内核安全模块是（）。A.SELinuxB.AppArmorC.PAMD.TCPWrapper答案：A5.某单位采用802.1X+PEAP进行有线准入，Radius服务器证书即将过期，管理员首先应（）。A.关闭所有交换机端口B.更新服务器证书并同步至NTPC.延长证书有效期字段D.强制用户改用MD5答案：B6.依据《数据安全法》，对“重要数据”出境安全评估的牵头部门是（）。A.国家网信办B.行业主管部门C.公安部D.国家安全部答案：B7.在SSL/TLS握手过程中，用于协商对称密钥的报文是（）。A.ClientHelloB.ServerHelloDoneC.ClientKeyExchangeD.ChangeCipherSpec答案：C8.下列关于IPv6Sec扩展头顺序正确的是（）。A.路由头→认证头→封装安全载荷头B.认证头→路由头→封装安全载荷头C.封装安全载荷头→认证头→路由头D.路由头→封装安全载荷头→认证头答案：A9.若需对Docker容器进行资源隔离与限制，应直接操作Linux的（）子系统。A.aufsB.cgroupsC.selinuxD.namespace答案：B10.在PKI体系中，负责发布证书撤销列表的实体是（）。A.RAB.CAC.VAD.OCSPResponder答案：B11.依据《个人信息保护法》，处理敏感个人信息未取得个人单独同意的，最高可处（）罚款。A.100万元B.5000万元C.上一年度营业额5%D.1000万元答案：C12.下列关于逆向分析中“加壳”技术的描述，错误的是（）。A.加壳可压缩代码段B.加壳可阻碍静态分析C.加壳一定包含加密算法D.加壳可修改入口点答案：C13.在OWASPTop102021中，排名首位的是（）。A.访问控制失效B.加密失败C.注入D.不安全设计答案：A14.若利用nmap对目标进行TCPSYN扫描，应使用的参数为（）。A.sTB.sSC.sUD.sF答案：B15.在防火墙策略优化中，若规则A与规则B存在“影子规则”现象，则（）。A.A与B动作相反且A序号高于BB.A与B动作相同且A序号高于BC.A与B源地址互斥D.A与B端口范围无交集答案：A16.下列关于零信任架构“SIM”模型的描述，正确的是（）。A.SecureIdentityManagementB.SingleIdentityModelC.SecureIntelligentMeshD.SingleInformationModule答案：C17.在WindowsServer2022中，实现基于虚拟化的安全（VBS）依赖的CPU技术是（）。A.VTdB.TXTC.SGXD.TPM2.0答案：D18.当使用Wireshark过滤“http.requestandtcp.port==8080”时，显示的是（）。A.所有TCP8080端口数据B.所有HTTP响应C.目标端口为8080的HTTP请求D.源端口为8080的HTTP请求答案：C19.依据《关键信息基础设施安全保护条例》，运营者应至少（）进行一次应急演练。A.每月B.每季度C.每半年D.每年答案：D20.在Python3中，使用hmac.new进行HMACSHA256运算时，密钥参数类型应为（）。A.strB.bytesC.intD.list答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项字母填入括号内，漏选、错选均不得分）21.以下属于《网络安全等级保护2.0》中“安全区域边界”控制点的有（）。A.边界防护B.访问控制C.入侵防范D.可信验证E.安全审计答案：ABCE22.关于DNSSEC技术，下列说法正确的有（）。A.使用RRSIG记录实现资源记录签名B.使用DS记录建立父子区信任链C.使用NSEC3记录防止区域遍历D.使用DNSKEY记录存储公钥E.使用CDN加速替代DNSSEC答案：ABCD23.在Linux系统中，可用于实现文件完整性检查的命令或工具有（）。A.aideB.rpmVaC.chattrD.tripwireE.md5sum答案：ABDE24.以下属于社会工程学攻击典型手段的有（）。A.鱼叉钓鱼B.假冒基站C.USB诱饵D.预文本E.SYN泛洪答案：ABCD25.在云计算服务模式中，由云服务商负责操作系统层面安全的有（）。A.IaaSB.PaaSC.SaaSD.FaaSE.Onpremises答案：BCD26.关于AES算法，下列描述正确的有（）。A.分组长度为128位B.支持128/192/256位密钥C.属于非对称加密D.加密轮数与密钥长度相关E.采用Feistel结构答案：ABD27.以下日志中，可用于Windows横向移动检测的有（）。A.EventID4672B.EventID4624C.EventID4768D.EventID4769E.EventID4648答案：BCDE28.在HTTPS流量解密场景中，可通过（）方式获取会话密钥。A.导出服务器SSLKEYLOGFILEB.使用中间人证书C.暴力破解RSA4096D.利用Heartbleed漏洞E.利用BEAST漏洞答案：ABD29.依据《个人信息保护法》，个人信息处理者应当事前进行个人信息保护影响评估的情形有（）。A.处理敏感个人信息B.向境外提供个人信息C.利用个人信息进行自动化决策D.公开披露个人信息E.收集个人手机号码答案：ABCD30.以下关于容器逃逸漏洞的描述，正确的有（）。A.利用dirtycow可实现容器逃逸B.利用docker.sock挂载可实现逃逸C.利用privileged标志可降低逃逸风险D.利用CVE20195736可覆盖宿主机runCE.利用usernamespace一定无法逃逸答案：ABD三、填空题（每空1分，共20分。请将正确答案直接填入空格内）31.在TCP/IP协议栈中，端口号16位共可表示________个端口，其中熟知端口范围为0到________。答案：65536，102332.依据《密码法》，国家对密码实行分类管理，其中________类密码用于保护国家秘密信息。答案：核心33.在Windows中，使用命令________可查看当前登录用户的访问令牌。答案：whoami/all34.在Linux中，文件权限“rwsrxrx”中s对应特殊位________。答案：setuid35.在SQL注入中，使用________函数可获取MySQL数据库版本信息。答案：version()36.在PKI中，OCSP协议默认使用的端口号为________。答案：8037.在IPv6中，用于本地链路单播地址的前缀为________。答案：fe80::/1038.在渗透测试中，用于快速识别Web应用后台数据库类型的工具是________。答案：sqlmap39.在等级保护2.0中，第三级系统应至少________年进行一次等级测评。答案：每年40.在Wireshark中，过滤表达式“tcp.flags.syn==1andtcp.flags.ack==0”表示________报文。答案：TCP同步请求41.在Windows日志中，EventID4720表示________账户被创建。答案：用户42.在Linux中，使用________命令可查看当前系统SELinux模式。答案：getenforce43.在AES128中，加密轮数为________轮。答案：1044.在HTTP响应头中，用于指示浏览器实施HTTPS传输的字段是________。答案：StrictTransportSecurity45.在Dockerfile中，用于指定非root用户运行的指令是________。答案：USER46.在BGP安全扩展中，用于验证路由起源的协议简称________。答案：ROV47.在移动终端安全中，Android应用沙箱基于Linux的________机制实现。答案：UID48.在零信任参考架构中，________引擎负责持续评估访问主体信任等级。答案：信任评估49.在密码学中，DiffieHellman算法用于解决________问题。答案：密钥交换50.在云安全联盟CSA发布的“十二大威胁”报告中，排名首位的威胁是________。答案：数据泄露四、简答题（共5题，每题8分，共40分）51.（封闭型）简述Windows系统利用“最小特权”原则配置管理员账户的具体三项措施，并给出对应配置命令或路径。答案：1.禁用内置Administrator：lusrmgr.msc→用户→Administrator→账户已禁用。2.启用LAPS（本地管理员密码解决方案）：通过GPO配置“EnableLocalAdminPasswordManagement”。3.将日常用户加入Users组而非Administrators：netlocalgroupadministrators<用户名>/delete。52.（开放型）某单位发现内网主机频繁对外发起TCP445连接，怀疑感染蠕虫。请给出完整的应急处置流程，并说明每一步所需工具或命令。答案：1.隔离：在交换机配置ACL阻断445端口流量，或使用EDR下发隔离策略。2.取证：使用Wireshark抓取流量，Volatility提取内存，查看smbexec痕迹。3.查杀：使用WindowsDefender或火绒全盘扫描，命令MpCmdRunScanScanType3。4.补丁：通过WSUS下发MS17010补丁。5.复查：利用Nmapp445scriptsmbvulnms17010验证修复。53.（封闭型）列出Linux系统下实现强制访问控制的三种主流框架，并分别给出一条启用命令。答案：1.SELinux：setenforce12.AppArmor：systemctlstartapparmor3.TOMOYO：/usr/sbin/tomoyoinit54.（开放型）说明HTTPS站点启用HSTS预加载列表的必要条件及配置方法，并给出潜在风险。答案：条件：1.提供有效证书；2.全站重定向80→443；3.响应头含StrictTransportSecurity:maxage≥31536000;includeSubDomains;preload；4.提交至。配置：Nginx配置add_headerStrictTransportSecurity"..."always;风险：域名一旦加入预加载列表，无法降级HTTP，子域必须全站HTTPS，否则无法访问。55.（封闭型）简述利用“killchain”模型检测勒索软件攻击的五个关键步骤，并给出可检测的日志或告警源。答案：1.投递：邮件网关日志检测到.exe附件。2.利用：Windows日志EventID4688显示异常子进程。3.安装：EDR告警创建自启动项。4.横向：EventID4672大量特权登录。5.破坏：文件系统日志出现批量重命名.encrypted。五、应用题（共4题，共50分）56.（综合分析·12分）某电商网站采用云WAF+源站Nginx双层架构。近日用户反馈登录接口延迟高，且偶发502错误。已知：云WAF回源超时设置为5s；源站Nginxupstream响应平均3s；晚间22:0024:00时段CPU利用率>90%；数据库慢查询日志出现大量selectfromuserwhereusernamelike'%xxx%'；无DDoS告警。问题：（1）给出最可能的性能瓶颈点；（2）给出三层优化方案并说明理由；（3）给出监控指标与阈值。答案：（1）数据库模糊查询导致全表扫描，CPU飙升，Nginx超时。（2）a.数据库层：增加联合索引(createindexidx_useronuser(username))，避免%前置模糊；b.应用层：引入Redis缓存，登录先查缓存；c.接入层：WAF回源超时调至10s，Nginx开启proxy_cache。（3）监控：QPS>5000、数据库CPU>70%、Nginx502占比>1%即告警。57.（计算·12分）某公司拟部署IPSecVPN，采用ESP+AES256GCM+IKEv2，预估峰值带宽1Gbps，包长平均1400Byte。已知AES256GCM在IntelCPU单核性能为1.8Gbps，问：（1）不考虑重传，理论上至少需要几核CPU？（2）若启用AESNI加速卡性能提升至12Gbps/卡，需几张？（3）给出冗余设计建议。答案：（1）1Gbps÷1.8Gbps≈0.56，向上取整1核，考虑50%冗余→2核。（2）1Gbps÷12Gbps≈0.083，取1张，冗余1+1→2张。（3）双机热备+VRRP，卡与CPU均N+1。58.（综合·13分）某工控网络需满足等级保护2.0三级，结构：管理层监控层控制层。已知控制层含PLC、OPCServer，监控层运行SCADA，管理层部署MES。请给出：（1）分域边界防护设备选型与部署位置；（2）控制层白