2025年网络信息安全管理员考试笔试试题(含答案)

2025年网络信息安全管理员考试笔试试题(含答案)一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.依据《网络安全法》，关键信息基础设施运营者采购网络产品或服务可能影响国家安全的，应当通过（）。A.工信部备案  B.国家网信办审批  C.国家安全审查  D.行业协会评估答案：C2.在SSL/TLS握手过程中，用于协商对称加密算法的报文是（）。A.ClientHello  B.ServerHelloDone  C.ChangeCipherSpec  D.Finished答案：A3.以下哪项不是OWASPTop102021新增的风险类别（）。A.失效的访问控制  B.加密失败  C.服务端请求伪造  D.不足的日志与监控答案：D4.关于Windows本地安全策略“用户权限分配”，下列权限中直接决定用户能否本地登录的是（）。A.拒绝本地登录  B.允许本地登录  C.从网络访问此计算机  D.作为批处理作业登录答案：B5.在Linux系统中，若文件权限为“rwsrxrx”，则该文件的s位属于（）。A.SUID  B.SGID  C.Sticky  D.ACL答案：A6.根据《数据安全法》，对重要数据出境安全评估的最终决定由（）作出。A.国家网信部门  B.省级网信部门  C.国务院公安部门  D.国家数据安全工作协调机制答案：D7.在防火墙五元组匹配规则中，不包含（）。A.协议号  B.源端口  C.标志位  D.目的IP答案：C8.使用nmap扫描目标/24中开放3389端口的命令是（）。A.nmapsS/24p3389  B.nmapsT/24P3389C.nmapsU/24port3389  D.nmapsn/24p3389答案：A9.在公钥基础设施PKI中，负责签发CRL的实体是（）。A.RA  B.CA  C.OCSP  D.LDAP答案：B10.关于IPv6邻居发现协议，下列报文类型中用于地址解析的是（）。A.RouterSolicitation  B.NeighborAdvertisement  C.Redirect  D.NeighborSolicitation答案：D11.在SQL注入联合查询中，判断字段数常使用的关键字是（）。A.UNION  B.ORDERBY  C.GROUPBY  D.LIMIT答案：B12.根据《个人信息保护法》，处理敏感个人信息应当取得个人的（）。A.明示同意  B.书面同意  C.单独同意  D.默示同意答案：C13.在Apache日志中，记录客户端UserAgent的字段是（）。A.%h  B.%l  C.%u  D.%{UserAgent}i答案：D14.以下哪项不是对称加密算法（）。A.SM4  B.ChaCha20  C.ElGamal  D.3DES答案：C15.在BGP安全扩展BGPsec中，用于保护ASPath完整性的技术是（）。A.ROA  B.ASPA  C.BGPsec_Path  D.RPKI答案：C16.关于零信任架构，NISTSP800207提出的核心逻辑组件不包括（）。A.策略引擎  B.策略管理员  C.策略执行点  D.策略缓存答案：D17.在Windows事件日志中，登录类型“3”表示（）。A.交互式登录  B.网络登录  C.批处理登录  D.服务登录答案：B18.使用tcpdump抓取本机eth0接口目标端口为80的完整数据包，命令为（）。A.tcpdumpieth0dstport80s0whttp.pcap  B.tcpdumpieth0port80XC.tcpdumpianyport80nn  D.tcpdumpieth0tcpport80c100答案：A19.在Kubernetes中，用于限制Pod可使用的最大内存用量的资源对象字段是（）。A.requests.memory  B.limits.memory  C.max.memory  D.quota.memory答案：B20.关于勒索软件防御，下列措施最早期的阻断点是（）。A.邮件网关过滤EXE附件  B.EDR行为拦截  C.离线备份恢复  D.网络分段答案：A21.在Python3中，使用hashlib计算SM3杂凑值应调用的函数是（）。A.hashlib.sm3()  B.hashlib.new('sm3')  C.sm3.hash()  D.需安装gmssl库再调用答案：D22.根据《关键信息基础设施安全保护条例》，运营者应当至少每（）进行一次网络安全检测评估。A.半年  B.一年  C.两年  D.季度答案：B23.在ISO/IEC27001:2022中，关于供应商管理的控制域编号是（）。A.A.5.1  B.A.5.36  C.A.7.2  D.A.8.1答案：B24.关于内存安全漏洞，下列描述正确的是（）。A.整数溢出一定导致堆溢出  B.UAF漏洞属于逻辑缺陷  C.栈溢出可覆盖返回地址  D.格式化字符串漏洞只能读取数据答案：C25.在WiFi6中，用于减少侧信道监听攻击的同步机制是（）。A.OFDMA  B.BSSColoring  C.TWT  D.MUMIMO答案：B26.在Linux审计系统auditd中，记录所有用户删除文件事件的规则是（）。A.w/usr/bin/rmpx  B.aalways,exitFarch=b64SunlinkSunlinkatC.w/etcpwa  D.aentry,alwaysSrm答案：B27.在Android13中，限制应用访问本地网络的新增权限是（）。A.INTERNET  B.LOCAL_NETWORK  C.CHANGE_NETWORK_STATE  D.ACCESS_WIFI_STATE答案：B28.在MITREATT&CK框架中，T1548.002代表（）。A.进程注入  B.滥用高程控制机制：绕过用户访问控制  C.凭证转储  D.应用层协议答案：B29.在RSA密钥生成过程中，若e=3且p、q为随机大素数，则私钥指数d应满足（）。A.1<d<φ(n)且ed≡1modn  B.1<d<φ(n)且ed≡1modφ(n)C.1<d<n且gcd(d,n)=1  D.d为任意小于n的随机数答案：B30.在云安全责任共担模型中，以下哪项属于IaaS租户侧责任（）。A.物理机房安防  B.虚拟化层补丁  C.对象存储服务端加密  D.云主机操作系统补丁答案：D二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于《信息安全等级保护》2.0通用要求安全区域边界类控制点（）。A.边界防护  B.访问控制  C.入侵防范  D.可信验证  E.数据完整性答案：A、B、C32.关于DNSSEC，下列说法正确的有（）。A.使用RRSIG记录对资源记录集进行数字签名B.使用DS记录建立父域与子域的信任链C.使用NSEC3记录实现存在性证明D.使用DNSKEY记录存储私钥E.支持椭圆曲线数字签名算法ECDSA答案：A、B、C、E33.以下哪些HTTP响应头可有效缓解点击劫持攻击（）。A.XFrameOptions  B.ContentSecurityPolicy  C.StrictTransportSecurityD.XContentTypeOptions  E.ReferrerPolicy答案：A、B34.在Linux系统加固中，可防范Rootkit的手段包括（）。A.启用内核模块签名  B.部署AIDE  C.关闭kexec_load系统调用D.使用grub2密码  E.启用SELinux答案：A、B、C、E35.以下哪些属于对称密钥分发方式（）。A.KerberosTGT  B.DiffieHellman临时密钥  C.预共享密钥PSKD.公钥加密密钥传输  E.量子密钥分发QKD答案：A、C、D36.在容器安全中，以下哪些配置可降低容器逃逸风险（）。A.关闭privileged  B.启用seccomp  C.挂载宿主机/etc/passwd只读D.使用UserNamespace  E.启用AppArmor答案：A、B、D、E37.关于日志审计，符合《网络安全法》留存期限要求的有（）。A.网络日志留存6个月  B.系统日志留存3个月  C.应用访问日志留存12个月D.日志原始文件不得篡改  E.采用WORM存储答案：A、C、D、E38.以下哪些算法属于国密算法体系（）。A.SM2  B.SM3  C.SM4  D.ZUC  E.SHA256答案：A、B、C、D39.在云计算环境中，可导致多租户数据泄露的攻击向量有（）。A.侧信道缓存时序攻击  B.虚拟机镜像残留  C.容器镜像层泄露D.对象存储BucketACL错误  E.弹性块存储快照共享答案：A、B、D、E40.关于工业控制系统安全，下列协议中缺乏加密与认证机制的有（）。A.ModbusTCP  B.DNP3SAv5  C.S7commplus  D.EtherNet/IP  E.PROFINET答案：A、D、E三、填空题（每空1分，共20分）41.在Windows日志中，事件ID4624表示________登录成功。答案：账户42.使用OpenSSL生成长度为2048位、采用AES256加密的私钥文件，命令为opensslgenrsaaes256outkey.pem________。答案：204843.在Linux系统中，文件/etc/shadow中密码字段为“!”表示该账户________。答案：被锁定44.根据《密码法》，核心密码、普通密码属于________密码。答案：国家45.在HTTPS中，服务器返回的证书链中第一个证书必须是________证书。答案：叶子/终端实体46.在SNMPv3中，提供认证与加密两种安全级别的安全模型名称是________。答案：USM47.在Kubernetes中，NetworkPolicy资源依赖于________插件实现策略下发。答案：CNI48.在WiFiWPA3Enterprise中，取代传统PSK的密钥协商模式称为________。答案：SAE/Dragonfly49.在Python中，使用hmac模块计算HAMCSM3时，需先安装________库。答案：gmssl50.在Linux系统中，命令journalctlk用于查看________日志。答案：内核/printk51.在TLS1.3中，取消了________密钥交换算法的支持。答案：RSA静态52.在Android应用逆向中，查看签名证书使用的工具是________。答案：apksigner/jarsigner53.在等级保护2.0中，云计算扩展要求将资源抽象与控制层划为________平面。答案：管理54.在MITREATT&CK中，战术“初始访问”的编号为________。答案：TA000155.在IPv6中，用于本地链路地址前64位固定前缀为________。答案：fe80::/6456.在防火墙高可用集群中，会话同步协议常采用________协议。答案：VRRP/HSRP/ClusterXL（任答其一）57.在SQLMap中，使用tamper=space2comment可绕过________过滤。答案：空格58.在RSA签名中，采用PSS填充模式可提高________安全性。答案：随机化/可证明59.在Windows中，命令netshadvfirewallsetallprofilesstateoff用于关闭________防火墙。答案：WindowsDefender/系统60.在等保测评中，测评结论分为优、良、中、差，其中“中”对应得分区间________。答案：7079四、简答题（共30分）61.（封闭型，6分）简述TLS1.3与TLS1.2在握手阶段的主要差异，并指出其中对性能提升最关键的一项优化。答案：TLS1.3将握手由两次往返降为一次往返（1RTT），并引入0RTT重连；移除RSA静态密钥交换，强制前向保密；加密早至ServerHello之后的所有握手消息；压缩算法协商字段。性能最关键优化为1RTT握手。62.（开放型，6分）某企业采用多云架构，需对IaaS与PaaS层日志进行统一审计。请给出三种可行的日志汇聚技术路线，并比较其优缺点。答案：路线1：在各云安装LogstashAgent，通过公网加密通道送至自建Elasticsearch，优点实时性强、查询灵活，缺点带宽成本高、需自运维；路线2：利用云厂商原生日志服务（如AWSCloudWatch、阿里云SLS）通过跨云API拉取到中央SIEM，优点免运维、集成度高，缺点存在厂商锁定、API费用高；路线3：在多云VPC内部部署Kafka集群，日志先汇聚至Kafka，再经Logstash转发到统一数据湖，优点解耦、可横向扩展，缺点架构复杂、需考虑跨云路由安全。63.（封闭型，6分）说明Kerberos协议中TGT的作用，并指出其防止重放攻击的机制。答案：TGT（TicketGrantingTicket）是用户首次认证后由KDC颁发的票据，用于后续申请业务票据，避免重复输入口令。防止重放机制：TGT内含时间戳与生命周期，KDC检查时间窗；同时会话密钥随机生成，一次性使用。64.（开放型，6分）某单位发现内网主机频繁对互联网发起DNS隧道通信，请给出四种检测与处置方法。答案：1.流量侧：部署NDR，利用熵值、长度、请求频率模型检测异常子域名；2.日志侧：分析DNS日志中NXDOMAIN比例高、域名长、TXT记录异常；3.终端侧：EDR监控进程调用dnsapi.dll并发大量UDP53；4.处置：立即隔离主机，使用防火墙阻断异常域名，取证内存与流量，重装系统并回溯初始入口。65.（封闭型，6分）列出等保2.0“安全计算环境”中关于恶意代码防护的四项基本要求。答案：1.安装防恶意代码软件并定期更新代码库；2.对网络入口与主机采用不同品牌防恶意代码系统形成异构；3.定期验证防恶意代码有效性；4.对移动存储设备接入先扫描后使用。五、应用题（共50分）66.（计算类，10分）某Web系统采用PBKDF2HMACSHA256进行口令哈希，迭代次数为10000，盐长16字节。假设攻击者拥有GPU集群，每秒可计算2×10^8次HMACSHA256，若用户口令空间为62^8（数字+大小写字母），求理论最长时间（年）可穷举全部空间，并评估其安全性。答案：总计算量=62^8×10000≈2.18×10^14×10^4=2.18×10^18次HMAC；GPU每秒2×10^8次，需时间t=2.18×10^18/2×10^8=1.09×10^10秒≈345年；结论：单GPU需345年，若攻击者拥有1000GPU仍需约0.35年，建议提高迭代次数至10万以上或增加盐长与口令复杂度。67.（分析类，15分）给出一段疑似Webshell的PHP代码（略），要求：（1）指出加密/混淆技术；（2）写出还原后的关键功能；（3）给出检测该类Webshell的两条YARA规则。答案：（1）采用base64+gzinflate+chr动态拼接；（2）还原为eval($_POST[‘cmd’])，可执行任意PHP代码；（3）YARA规则示例：ruleWebshell_EvalPost{strings:$a="eval"$b=$_POSTfull