2025网络安全面试安全意识题目及答案

2025网络安全面试安全意识题目及答案一、单项选择题（每题2分，共20分）1.某员工收到一封主题为“工资调整通知”的邮件，发件人显示为公司HR部门，但邮件中附带的Excel文件要求启用宏。以下最合理的处置方式是：A.直接打开文件查看内容B.先与HR电话确认，确认无误后再打开C.转发给同事共同确认D.直接删除邮件并报告安全团队答案：D2.在公共咖啡厅使用免费WiFi登录公司VPN时，下列哪项做法最能降低中间人攻击风险：A.关闭笔记本电脑蓝牙B.使用公司提供的双因子VPN客户端并校验服务器证书C.先浏览HTTP网站测试网速D.把VPN端口改为TCP443答案：B3.关于口令策略，以下说法正确的是：A.口令长度比复杂度更重要B.定期强制修改口令一定能降低泄露风险C.口令中必须包含特殊字符才能抵御暴力破解D.口令管理器会增加被一锅端的风险，应禁用答案：A4.某网站提供“使用短信验证码重置密码”功能，下列哪项设计最能防范SIM卡交换攻击：A.缩短验证码有效期至30秒B.重置密码前要求输入原密码C.绑定硬件安全密钥作为第二因子D.限制单日短信发送总量答案：C5.以下哪项最能描述“零信任”模型的核心思想：A.内网流量默认可信，外网流量默认不可信B.永不信任，持续验证C.用防火墙隔离内外网即可D.所有流量都必须通过IPS检测答案：B6.发现办公电脑突然弹出“您的文件已被加密，请支付比特币”的对话框，最先应采取的应急动作是：A.立即支付小额赎金测试解密B.拔掉网线并关机，报告安全团队C.拍照发朋友圈求助D.运行杀毒软件全盘扫描答案：B7.关于社会工程学，以下哪项属于“权威胁迫”手法：A.攻击者冒充CEO紧急要求财务汇款B.攻击者赠送U盘诱导插入电脑C.攻击者伪造热点名称“Free_Airport_WiFi5G”D.攻击者发送虚假优惠券诱导填写问卷答案：A8.在Linux服务器上，以下哪条命令可以查看最近登录失败记录：A.lastbB.whoC.uptimeD.dmesg答案：A9.关于云存储桶安全，下列哪项配置错误最容易导致数据泄露：A.启用服务端加密B.将ACL设置为AllUsers:ReadC.启用MFA删除D.使用BucketPolicy限制IP白名单答案：B10.员工离职后，其企业微信账号应：A.保持登录状态30天方便交接B.立即禁用并审计其最近3个月操作日志C.修改头像标注“已离职”即可D.将账号密码交接给继任者答案：B二、多项选择题（每题3分，共30分，每题至少有两个正确答案，多选少选均不得分）11.以下哪些行为可能违反《个人信息保护法》：A.在未取得用户同意情况下收集MAC地址用于精准营销B.将用户订单数据出售给第三方数据中介C.数据泄露后72小时内向省级以上监管部门报告D.通过自动化决策向用户推送差异化价格，但未提供关闭选项答案：A、B、D12.关于HTTPS，下列说法正确的是：A.TLS1.3移除了RSA密钥交换B.证书透明度（CT）可防范伪造证书C.HSTS可防止SSL剥离攻击D.自签名证书若导入根存储也能实现加密传输答案：A、B、C、D13.以下哪些措施可有效降低钓鱼邮件成功率：A.部署DMARC、SPF、DKIMB.对员工进行模拟钓鱼演练C.禁止员工使用个人邮箱处理工作邮件D.在网关层自动剥离所有HTML邮件答案：A、B、C14.关于勒索软件，下列说法正确的是：A.部分变种利用WindowsSMB协议横向移动B.一旦文件被加密，支付赎金一定能解密C.离线备份是有效的恢复手段D.勒索软件只能通过邮件附件传播答案：A、C15.以下哪些属于OWASPTop102021新增风险：A.不安全的设计B.软件和数据完整性故障C.服务器端请求伪造D.跨站脚本答案：A、B、C16.关于移动应用安全，下列哪些做法正确：A.在发布前进行混淆和加壳B.把对称加密密钥硬编码在Java代码中C.启用iOSATS强制HTTPSD.使用证书绑定防止中间人攻击答案：A、C、D17.以下哪些日志源可用于溯源一次成功的SSH暴力破解：A./var/log/auth.logB./var/log/secureC./var/log/btmpD.Windows事件ID4625答案：A、B、C18.关于数据分级分类，下列哪些描述正确：A.核心数据泄露会对国家安全造成严重影响B.重要数据泄露会对公共利益造成严重影响C.一般数据泄露无需向监管部门报告D.个人信息都属于核心数据答案：A、B、C19.以下哪些属于安全开发生命周期（SDL）活动：A.威胁建模B.静态代码扫描C.渗透测试D.灰度发布答案：A、B、C20.关于远程办公安全，下列哪些措施正确：A.使用SplitTunnel减少VPN负载B.强制全隧道VPN并启用DLPC.允许员工使用个人电脑直接访问生产数据库D.为远程桌面开启多因子认证答案：B、D三、填空题（每空2分，共20分）21.2021年12月，ApacheLog4j2被曝出的高危漏洞编号为________，其最大风险是无需认证即可________。答案：CVE202144228；远程代码执行22.在Windows系统中，用于查看当前TCP监听端口的命令是________。答案：netstatano23.国家互联网应急中心英文缩写为________。答案：CNCERT24.我国《网络安全法》正式实施日期为________年________月________日。答案：2017；6；125.在Linux中，给文件赋予“只有所有者可读写，其他用户无权限”的数字权限表示为________。答案：60026.用于对电子邮件内容进行端到端加密的标准协议是________。答案：PGP/MIME或S/MIME（任一均给分）27.在密码学中，将任意长度输入映射为固定长度输出的函数称为________函数。答案：哈希（或散列）28.我国等级保护2.0标准中，安全区域边界要求部署________设备实现网络访问控制。答案：防火墙（或下一代防火墙）29.在零信任架构中，用于动态评估终端安全状态的组件通常称为________。答案：TA（TrustedAgent）或NAC（NetworkAccessControl）30.2022年颁布的《数据出境安全评估办法》规定，处理________万人以上个人信息的数据出境活动，应申报安全评估。答案：100四、判断题（每题1分，共10分，正确写“√”，错误写“×”）31.使用256位AES加密的数据在量子计算机面前完全安全。答案：×32.只要部署了WAF，Web应用就一定不会被SQL注入。答案：×33.在GitHub公开仓库放置含AWSAK/SK的代码属于供应链安全风险。答案：√34.物理隔离的内网无需再对U盘进行病毒扫描。答案：×35.我国《密码法》将核心密码、普通密码归为商用密码管理。答案：×36.启用WindowsDefenderCredentialGuard可防止Mimikatz直接读取LSASS内存。答案：√37.所有TLS证书都必须使用RSA算法，否则浏览器会报警。答案：×38.在iOS系统上，越狱后更容易遭受恶意软件攻击。答案：√39.使用CDN隐藏源站IP可以在一定程度上减少DDoS直接攻击。答案：√40.社会工程学攻击只针对人类，不涉及任何技术手段。答案：×五、简答题（封闭型，每题10分，共30分）41.简述“最小权限原则”在数据库访问控制中的具体实施步骤，并给出一条MySQL示例语句。答案：步骤：1)识别业务角色（读取、写入、运维）；2)创建对应角色并仅授予必需权限；3)建立用户与角色映射，禁止直接使用root；4)定期审计权限，及时回收；5)对敏感列使用列级加密或脱敏。示例：CREATEROLE'app_read';GRANTSELECTONappdb.ordersTO'app_read';CREATEUSER'appuser1'@'10.0.%.%'IDENTIFIEDBY'StrongP@ss';GRANT'app_read'TO'appuser1'@'10.0.%.%';42.说明TLS握手阶段“证书校验”流程，并指出任一环节失败可能导致的攻击。答案：流程：1)客户端收到服务器证书链；2)校验证书签名是否由可信CA签发；3)检查证书有效期、吊销状态（CRL/OCSP）；4)校验证书域名与访问域名一致；5)若启用CT，检查SCT列表；6)若启用证书绑定，校验公钥指纹。失败攻击：若第4步失败，攻击者可用合法证书钓鱼相似域名（如与）。43.列举三种常见的Linux持久化后门技术，并给出检测命令。答案：1)修改~/.bashrc添加反弹shell：检测：grepn"exec"~/.bashrc；2)创建systemd服务：检测：systemctllistunitfilestype=service|grepv"vendor"；3)修改/etc/crontab：检测：lsla/etc/crontab&&cat/etc/crontab。六、开放型简答题（每题15分，共30分）44.某电商公司计划上线“618”大促，安全团队需在两周内完成一次红蓝对抗演练。请给出演练目标、蓝队防御重点、红队攻击路径及演练成功指标。答案：目标：验证在高并发、频繁变更场景下，订单、支付、优惠券接口能否抵御外部攻击并保证数据不泄露。蓝队重点：1)WAF规则针对优惠券越权、支付重放；2)主机层EDR对WebLogic、Redis、MySQL进程监控；3)日志集中到SIEM，设置“同一IP5分钟内领取超100张券”告警；4)备份系统每日离线快照，演练日随机抽检恢复。红队路径：1)信息收集：子域名爆破发现测试域；2)漏洞利用：测试域使用Log4j2.14.1，触发JNDI注入拿shell；3)横向移动：利用Redis未授权访问写入SSHkey到root；4)持久化：创建KubernetesCronJob定时挖矿；5)目标达成：修改优惠券数据库，生成1万张“满1000减500”券。成功指标：1)蓝队在30分钟内检测到JNDI外联告警；2)10分钟内隔离受控容器并封禁外联IP；3)券数据异常在15分钟内回滚，无真实资金损失；4)演练报告在48小时内提交，修复Log4j至2.17.1并关闭测试域公网访问。45.结合《个人信息保护法》，阐述企业在开发“人脸识别登录”功能时应履行的主要义务，并给出技术与管理各两条落地措施。答案：义务：1)告知并取得“单独同意”；2)进行个人信息保护影响评估（PIA）；3)提供非人脸替代方案；4)仅限实现目的所需最短时间保存；5)敏感个人信息境内存储，出境需评估。技术措施：1)采用国密SM4算法对人脸特征向量加密后分散存储，密钥托管在HSM；2)设置数据留存90天自动删除，使用可搜索加密实现快速删除。管理措施：1)建立“人脸识别数据访问”双人审批制度，运维人员仅能在堡垒机录像环境下操作；2)每季度委托第三方进行合规审计，审计报告保存三年并向省级以上网信办报备。七、应用题（综合类，每题20分，共40分）46.计算题：某企业VPN网关采用AES256GCM，密钥通过ECDHP256协商，每小时更新一次。已知量子计算机运行Shor算法分解n位整数开销为O(n³)，估算破解P256所需资源，并给出迁移至后量子算法的过渡方案。答案：1)P256私钥长度256bit，Shor算法时间复杂度≈(256)³=16,777,216基本量子门操作；2)按2023年公开实验数据，超导量子门错误率10⁻³，需约10⁴物理量子比特构成1逻辑比特，总物理比特≈1.7×10⁸；3)现有技术无法在10年内达到该规模，但企业需5年内完成过渡；过渡方案：a)双算法并行：在TLS握手同时支持X25519与CRYSTALSKYBER（MLKEM）密钥交换；b)分阶段迁移：先对高管组启用KYBER，收集性能数据；c)硬件升级：采购支持NISTPQC算法的VPN网关（如基于OpenSSL3.2+Provider架构）；d)合规备案