2026年网络与信息安全管理员(网络安全管理员)三级理论试题及答案

2026年网络与信息安全管理员(网络安全管理员)三级理论试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在《信息安全等级保护基本要求》中，三级系统安全审计记录保存时间不少于（）。A.3个月  B.6个月  C.1年  D.2年答案：C2.下列关于TLS1.3握手过程的说法正确的是（）。A.支持RSA密钥交换  B.默认启用0-RTT  C.完全前向保密  D.使用CBC模式加密答案：C3.利用“UDP无连接”特性实施反射放大攻击，最常见的反射源协议是（）。A.DNS  B.HTTP  C.SMTP  D.FTP答案：A4.在Linux系统中，若要永久关闭ICMP重定向，应修改（）。A./etc/hosts  B./etc/sysctl.conf  C./etc/fstab  D./etc/securetty答案：B5.根据《密码法》，用于保护国家秘密信息的密码算法类别为（）。A.商用密码  B.普通密码  C.核心密码  D.公开密码答案：C6.以下哪项不是零信任架构的核心组件（）。A.身份安全  B.网络微分段  C.静态边界防火墙  D.持续信任评估答案：C7.在Windows日志中，事件ID4624表示（）。A.账户登录失败  B.账户成功登录  C.权限提升  D.对象访问答案：B8.使用nmap扫描命令nmap-sS-F/24，其中“-F”参数含义是（）。A.快速扫描100个常用端口  B.全端口扫描  C.使用FIN扫描  D.指定源端口答案：A9.在PKI体系中，负责签发CRL的机构是（）。A.RA  B.CA  C.OCSP  D.LDAP答案：B10.下列关于SHA-256与MD5对比，说法错误的是（）。A.SHA-256输出长度256bit  B.MD5已被证明存在碰撞  C.SHA-256计算速度一定慢于MD5  D.MD5输出长度128Byte答案：D11.在SQL注入防御中，最有效的编码规范是（）。A.使用单引号转义  B.参数化查询  C.关键字黑名单  D.关闭错误回显答案：B12.根据《数据安全法》，重要数据处理者应当开展风险评估，评估报告保存期限不少于（）。A.1年  B.2年  C.3年  D.5年答案：C13.以下哪项不是IPv6强制安全机制（）。A.IPsec  B.AH  C.ESP  D.WEP答案：D14.在OWASPTop102021中，排名首位的安全风险是（）。A.注入  B.失效的访问控制  C.加密失败  D.不安全设计答案：B15.使用tcpdump抓取本机eth0接口且目标端口为443的数据包，正确命令是（）。A.tcpdump-ieth0port443  B.tcpdump-ianydstport443  C.tcpdump-Aeth0443  D.tcpdump-nntcpport443答案：A16.在Android逆向中，常用于对抗动态调试的反调试API是（）。A.ptrace  B.fork  C.execve  D.mmap答案：A17.根据《关键信息基础设施安全保护条例》，下列哪项不属于“三同步”要求（）。A.同步规划  B.同步建设  C.同步运行  D.同步测评答案：D18.在防火墙规则中，iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT的作用是（）。A.允许所有入站流量  B.允许关联及已建立连接的返回包  C.开启NAT  D.防止SYNFlood答案：B19.以下关于勒索病毒WannaCry传播机制描述正确的是（）。A.仅利用钓鱼邮件  B.利用“永恒之蓝”SMB漏洞  C.利用SSH暴力破解  D.利用Redis未授权答案：B20.在风险评估计算中，风险值R=资产价值×威胁可能性×脆弱性严重程度，若采用0-5等级量表，则R最大值为（）。A.25  B.50  C.125  D.150答案：C21.在容器安全中，可限制进程对系统调用访问的安全机制是（）。A.seccomp  B.SELinux  C.AppArmor  D.capabilities答案：A22.以下哪项不是社会工程学攻击（）。A.鱼叉钓鱼  B.假冒客服  C.恶意USB掉落  D.堆栈溢出答案：D23.在密码策略中，采用“加盐”主要是为了抵抗（）。A.重放攻击  B.彩虹表攻击  C.中间人攻击  D.会话固定答案：B24.在IPv4地址分类中，/4属于（）。A.A类  B.B类  C.C类  D.D类答案：D25.使用OpenSSL生成2048位RSA私钥，正确命令是（）。A.opensslgenrsa-outrsa.pem2048  B.opensslrsa-new-outrsa.pem2048  C.opensslgendsa2048>rsa.pem  D.opensslreq-newkeyrsa:2048答案：A26.在日志分析中，发现大量“GET/?a=../../etc/passwd”请求，最可能的攻击是（）。A.SQL注入  B.目录遍历  C.XSS  D.CSRF答案：B27.在渗透测试流程中，签订“渗透测试授权书”发生在（）。A.信息收集  B.漏洞分析  C.前期交互  D.后渗透答案：C28.下列关于国密SM4算法说法正确的是（）。A.分组长度64bit  B.密钥长度128bit  C.属于非对称算法  D.已被淘汰答案：B29.在Windows系统中，用于查看当前登录用户安全令牌的命令是（）。A.whoami/all  B.netuser  C.netstat-ano  D.tasklist答案：A30.根据《个人信息保护法》，处理敏感个人信息应当取得个人的（）。A.明示同意  B.书面同意  C.单独同意  D.默示同意答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于对称加密算法（）。A.AES  B.DES  C.RSA  D.SM4  E.ECC答案：ABD32.在Linux提权中，可能利用的SUID程序有（）。A./bin/ping  B./usr/bin/find  C./usr/bin/vim  D./bin/ls  E./usr/bin/awk答案：ABCE33.以下哪些协议可提供电子邮件传输加密（）。A.SMTPoverTLS  B.POP3S  C.IMAPS  D.SMTPS  E.HTTP答案：ABCD34.关于DDoS攻击，下列说法正确的是（）。A.SYNFlood属于资源消耗型  B.DNSQueryFlood属于应用层攻击  C.反射攻击需利用第三方服务器  D.黑洞路由是一种缓解手段  E.放大倍数=响应字节/请求字节答案：ABCDE35.在AndroidManifest.xml中，可声明的组件包括（）。A.Activity  B.Service  C.ContentProvider  D.BroadcastReceiver  E.Intent答案：ABCD36.以下哪些属于《网络安全审查办法》规定的“影响或可能影响国家安全”情形（）。A.核心数据出境  B.采购国外网络产品服务  C.处理百万用户个人信息  D.关键信息基础设施运营者并购  E.上市国外证券市场答案：ABDE37.在防火墙高可用部署中，常用技术包括（）。A.VRRP  B.HSRP  C.CARP  D.双机热备  E.链路聚合答案：ABCD38.以下哪些工具可用于内存取证（）。A.Volatility  B.Rekall  C.Wireshark  D.Memoryze  E.FTKImager答案：ABD39.在密码管理方面，符合最佳实践的做法有（）。A.定期更换密码  B.使用密码管理器  C.不同系统使用不同密码  D.密码长度≥8且含大小写数字特殊字符  E.将密码写在便签贴于显示器答案：ABCD40.以下哪些属于软件供应链攻击典型案例（）。A.SolarWindsOrion  B.CodecovBash上传器  C.CCleaner污染  D.NotPetya伪装更新  E.心脏出血答案：ABCD三、填空题（每空1分，共20分）41.在TCP三次握手中，客户端发送的第二个报文段标志位为________与________。答案：SYN，ACK42.使用hashcat破解WindowsNTLM哈希，指定掩码暴力破解8位纯数字，掩码应写为________。答案：?d?d?d?d?d?d?d?d43.在MySQL中，利用________函数可读取文件内容，造成信息泄露。答案：load_file44.根据《信息安全技术网络安全等级保护测评要求》，三级系统测评周期为________年一次。答案：145.在IPv6中，用于本地链路通信的地址前缀为________。答案：fe80::/1046.在公钥基础设施中，OCSP协议默认端口为________。答案：80或443（均给分）47.在Linux系统中，文件权限“-rwsr-xr-x”中s表示________。答案：SUID48.在Windows中，安全标识符SID以________开头表示内置账户。答案：S-1-549.使用Wireshark过滤显示HTTP状态码为500的响应，过滤器表达式为________。答案：http.response.code==50050.在渗透测试报告中，CVSSv3.1得分7.5对应的严重级别为________。答案：High51.在公钥密码学中，ECC256位密钥的安全强度约等于RSA________位。答案：307252.在容器镜像扫描中，发现CVE-2021-44228漏洞，该漏洞被称为________。答案：Log4Shell53.在Android反调试中，/proc/self/________文件可检测TracerPid。答案：status54.在BGP安全中，用于验证路由起源的协议缩写为________。答案：ROV（或RPKI，均给分）55.在密码学中，Diffie-Hellman算法用于________密钥交换。答案：对称会话56.在Linux审计系统auditd中，用于查看审计日志的命令为________。答案：ausearch57.在Windows日志清除事件ID为________。答案：110258.在SMTP协议中，用于开始邮件正文的命令为________。答案：DATA59.在风险评估中，暴露因子EF=损失价值/________。答案：资产价值60.在零信任参考架构中，________引擎负责动态授权。答案：策略决策（或PDP，均给分）四、简答题（每题10分，共30分）61.简述SSL/TLS中间人攻击原理及防御措施。答案：原理：攻击者通过伪造证书或劫持通信，分别与客户端、服务器建立独立加密通道，转发并解密流量。常见方式包括ARP欺骗+自签证书、伪造CA、降级到脆弱版本等。防御：1.客户端严格校验证书链及吊销列表；2.启用HSTS禁止http降级；3.使用证书固定（Pinning）；4.部署DNSSEC+DPKI；5.监控异常证书颁发；6.禁用弱算法与版本；7.采用双向TLS；8.教育用户不忽略证书警告。62.说明Linux系统下利用SUID提权的一般步骤，并给出加固建议。答案：步骤：1.信息收集，find/-perm-4000-typef2>/dev/null查找SUID程序；2.查询GTFOBins，筛选可读写文件、shell、命令执行等利用方式；3.执行提权，如/usr/bin/find.-exec/bin/sh\-quit；4.获取rootshell后建立后门、清理日志。加固：1.最小化SUID程序，使用chmodu-s取消非必要位；2.使用dpkg-statoverride或rpm–setperms恢复默认；3.挂载分区时加nosuid；4.启用AppArmor/SELinux限制高权程序；5.审计系统调用，发现异常exec；6.定期基线扫描，结合CMDB自动比对。63.描述一次完整的日志取证流程，并指出关键注意事项。答案：流程：1.准备阶段，制定方案、获得授权、准备只读存储与写阻断；2.采集阶段，按易失性顺序获取内存、磁盘、网络设备、云API日志，计算哈希；3.处理阶段，建立时间同步基准，过滤无关数据，归一化格式；4.分析阶段，使用SIEM、审计工具、威胁情报进行关联，发现IOC；5.报告阶段，形成时间线、攻击链、影响评估、证据清单；6.出庭支持，确保证据链完整。注意事项：1.全程双人操作，录像记录；2.使用只读硬件或软件写保护；3.时间同步到UTC，避免时区陷阱；4.原始镜像多重备份，分级加密存储；5.日志不可被篡改，采用WORM或区块链存证；6.遵守法律法规，跨境数据需审批；7.保密，防止二次泄露。五、综合应用题（共50分）64.计算与分析题（20分）某企业核心数据库服务器资产价值AV=800万元，威胁发生概率T=0.3，脆弱性严重程度V=4（0-5量表），控制措施有效度CE=60%。采用年度预期损失ALE模型：(1)计算单损失期望SLE、年度发生率ARO、年度预期损失ALE；(2)若部署新防护措施，CE提升至90%，重新计算ALE并计算投资回报率ROI，已知防护投资成本=80万元/年。答案：(1)SLE=AV×EF，取EF=V/5=0.8，SLE=800×0.8=640万元；ARO=T=0.3；ALE=SLE×ARO=640×0.3=192万元/年。(2)新CE=90%，则剩余风险比例=1-0.9=0.1，新SLE’=800×0.8×0.1=64万元，新ALE’=64×0.3=19.2万元/年；风险降低收益=192-19.2=172.8万元；ROI=(收益-成本)/成本=(172.8-80)/80=1.16，即116%。65.渗透测试实战题（30分）背景：授权对IP5进行黑盒测试，已知其开放80/443/22端口。任务：a)写出信息收集阶段五条命令及其预期结果；（5分）b)发现80端口存在登录页面，参数user、pass，疑似SQL注入，写出利用sqlmap获取当前数据库用户的完整命令；（5分）c)获取低权shell后，内核版本3.10.0-514.el7，写出利用searchsploit查找本地提权漏洞的命令及示例CVE编号；（5分）d)提权成功后，需维持后门，请给出一条使用systemd创建root级后门服务的单元文件片段，要求开机自启、每60秒反向连接4444；（10分）e)清理痕迹需删除/var/log/下哪些关键日志文件，并给出擦除命令。（5分）答案：a)1.nmap-sV-sC-p5 //全端口服务识别2.nikto-h5 //Web漏洞扫描3.dirb5/usr/share/wordlists/dirb/common.txt //目录爆破4.whatweb5 //Web技术指纹5.nslookup-type=txt5 //DNSTXT记