网络与信息安全管理员题库及答案

网络与信息安全管理员题库及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项的字母填入括号内）1.在TCP/IP协议栈中，负责端到端可靠传输的协议是（）A.IP  B.TCP  C.UDP  D.ARP答案：B2.以下哪一项最能描述“零信任”安全模型的核心思想（）A.内外网隔离  B.默认拒绝、持续验证  C.边界防火墙  D.单点登录答案：B3.在WindowsServer2019中，用于强制限制用户只能运行管理员明确授权的可执行文件的策略是（）A.AppLocker  B.BitLocker  C.EFS  D.UAC答案：A4.若某网站使用HSTS，则浏览器首次收到Strict-Transport-Security响应头后，后续访问该域名将（）A.自动降级为HTTP  B.强制使用HTTPS并拒绝证书错误绕过  C.弹出提示框让用户选择  D.忽略该头答案：B5.关于SM4分组密码算法，下列说法正确的是（）A.分组长度64bit  B.密钥长度128bit  C.仅支持ECB模式  D.属于非对称算法答案：B6.在Linux系统中，若文件权限为“-rwsr-xr-x”，则其中“s”位表示（）A.粘滞位  B.设置UID  C.设置GID  D.不可变位答案：B7.以下哪条命令可用于查看Windows本地安全策略中“用户权限分配”配置（）A.gpresult/h  B.secedit/export  C.netconfig  D.msconfig答案：B8.在PKI体系中，负责发布证书撤销列表（CRL）的实体是（）A.RA  B.CA  C.OCSPResponder  D.LDAP答案：B9.关于DNSSEC，下列说法错误的是（）A.使用RRSIG记录提供签名  B.使用DS记录建立信任链  C.加密DNS查询内容  D.使用NSEC/NSEC3防止区域行走答案：C10.在IPv6中，用于发现邻居链路层地址的ICMPv6类型是（）A.135  B.136  C.133  D.134答案：A11.某企业采用802.1X对有线接入进行认证，认证协议选用EAP-TLS，则客户端必须（）A.提供用户名/密码  B.提供证书  C.提供SIM卡  D.提供OTP答案：B12.在OWASPTop102021中，排名第一位的是（）A.注入  B.失效的访问控制  C.加密失败  D.不安全设计答案：B13.关于AES-GCM模式，下列说法正确的是（）A.不提供完整性校验  B.可并行计算  C.需要填充  D.属于流密码答案：B14.在SQLMap中，参数“--os-shell”成功执行的前提通常包括（）A.数据库用户为DBA且开启外连  B.网站使用HTTPS  C.数据库为SQLite  D.关闭防火墙答案：A15.以下哪项技术可有效防止Clickjacking（点击劫持）（）A.CSP:frame-ancestors  B.X-Frame-Options:nosniff  C.Securecookie  D.HSTS答案：A16.在Windows日志中，事件ID4624表示（）A.登录成功  B.登录失败  C.账户锁定  D.特权提升答案：A17.关于Diffie-Hellman密钥交换，下列说法正确的是（）A.用于数字签名  B.易受中间人攻击  C.基于椭圆曲线的变体称为RSA  D.属于对称加密答案：B18.在Linux中，用于限制用户进程占用内存大小的配置文件是（）A./etc/security/limits.conf  B./etc/fstab  C./etc/crontab  D./etc/sysctl.conf答案：A19.以下哪条命令可查看Windows当前运行服务的SID（）A.scqsid  B.scqc  C.scshowsid  D.scquery答案：C20.在BGP安全扩展中，用于验证AS路径的协议是（）A.BGPsec  B.RPKI  C.ROA  D.ASPA答案：A21.关于SHA-256，下列说法错误的是（）A.输出256bit  B.属于Merkle-Damgård结构  C.可抗碰撞  D.属于对称加密算法答案：D22.在Kubernetes中，用于限制Pod向APIServer发起请求速率的资源对象是（）A.ResourceQuota  B.LimitRange  C.FlowSchema  D.NetworkPolicy答案：C23.以下哪项不是NISTSP800-53控制族（）A.AccessControl  B.AuditandAccountability  C.RiskAssessment  D.BusinessImpact答案：D24.在Wireshark中，过滤表达式“tcp.flags.syn==1andtcp.flags.ack==0”表示（）A.SYN-ACK包  B.纯SYN包  C.FIN包  D.RST包答案：B25.关于内存保护技术DEP，下列说法正确的是（）A.基于硬件NX位  B.防止SQL注入  C.需要重新编译程序  D.仅Linux支持答案：A26.在Windows中，用于查看当前系统所有证书存储的命令行工具是（）A.certutil-store-  B.certmgr.msc  C.mmc.exe  D.cipher答案：A27.以下哪项属于对称加密算法（）A.ECC  B.SM2  C.ChaCha20  D.RSA答案：C28.在Linux系统中，若需对/sbin目录下所有文件进行完整性校验，优先选用的工具是（）A.tripwire  B.lsof  C.strace  D.tcpdump答案：A29.关于HTTP/3，下列说法正确的是（）A.基于TCP  B.使用QUIC传输  C.强制使用TLS1.2  D.端口80答案：B30.在勒索病毒应急响应中，首要步骤是（）A.支付赎金  B.隔离受感染主机  C.恢复备份  D.通知媒体答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于社会工程学攻击手段（）A.鱼叉式钓鱼  B.假冒客服电话  C.USB诱饵  D.ARP欺骗答案：ABC32.关于TLS1.3握手过程，下列说法正确的是（）A.默认加密证书  B.支持0-RTT恢复  C.禁用RSA密钥传输  D.强制使用AEAD答案：ABCD33.以下哪些措施可有效降低OWASPA05:2021–SecurityMisconfiguration风险（）A.关闭不必要的服务  B.定期更新补丁  C.使用默认账户  D.基线配置核查答案：ABD34.在Linux中，以下哪些文件与PAM认证相关（）A./etc/pam.d/system-auth  B./etc/shadow  C./etc/pam.conf  D./etc/login.defs答案：AC35.关于防火墙规则，下列说法正确的是（）A.状态检测可提高性能  B.默认拒绝策略更安全  C.入站与出站需分别考虑  D.端口80必须永远开放答案：ABC36.以下哪些算法被我国商用密码管理体系认可为对称算法（）A.SM1  B.SM4  C.SM2  D.SM9答案：AB37.在Windows中，以下哪些日志类别属于“Windows日志”节点（）A.应用程序  B.系统  C.安全  D.Setup答案：ABCD38.关于容器安全，下列做法正确的是（）A.使用非root用户运行进程  B.镜像最小化  C.关闭seccomp  D.定期扫描镜像漏洞答案：ABD39.以下哪些属于常见的Web反序列化攻击链（）A.Commons-Collections  B.Fastjson  C.Jackson  D.Log4j答案：ABC40.关于Ransomware防御，下列策略有效的是（）A.3-2-1备份策略  B.网络分段  C.白名单应用控制  D.关闭WindowsDefender答案：ABC三、填空题（每空1分，共20分）41.在Linux系统中，用于查看当前监听TCP端口的命令是______。答案：ss-lnt42.NIST提出的风险管理框架（RMF）共包含______个步骤。答案：643.在AES算法中，若密钥长度为256bit，则轮数为______轮。答案：1444.事件响应生命周期中，包含准备、检测、遏制、根除、恢复和______六个阶段。答案：总结/经验教训45.在Windows中，用于强制删除正在使用文件的命令行工具是______。答案：handle+del（或movefile）46.我国《密码法》自______年1月1日起施行。答案：202047.在PKCS#1v1.5填充中，RSA加密块格式起始字节为______。答案：0x0048.在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329中，压缩写法为______。答案：2001:db8::ff00:42:832949.在Linux中，用于限制coredump大小的内核参数为______。答案：kernel.core_pattern（或ulimit-c）50.在Wireshark中，用于追踪TCP流的菜单项为______。答案：Follow→TCPStream51.在SQLServer中，关闭xp_cmdshell的存储过程命令为______。答案：sp_configure'xp_cmdshell',0;RECONFIGURE;52.在Kubernetes中，用于保存敏感信息的资源对象名称为______。答案：Secret53.在BGP中，公认discretionary属性为______（写出一个即可）。答案：LocalPreference54.在Windows中，事件日志文件默认存储路径为______。答案：C:\Windows\System32\winevt\Logs55.在OpenSSL中，生成SM2私钥并输出到文件sm2.key的命令为______。答案：opensslecparam-genkey-nameSM2-outsm2.key56.在Linux中，用于查看SELinux状态的命令为______。答案：getenforce57.在渗透测试中，用于快速扫描Web目录的工具______默认字典位于/usr/share/wordlists。答案：gobuster58.在TLS中，SNI扩展位于______握手消息中。答案：ClientHello59.在Windows中，用于查看当前登录用户SID的命令为______。答案：whoami/user60.我国商用密码算法SM3输出杂凑值长度为______bit。答案：256四、简答题（每题10分，共30分）61.简述TLS1.3与TLS1.2在握手延迟、密钥协商、算法套件方面的主要差异，并说明1.3如何抵御降级攻击。答案：（1）握手延迟：1.3默认1-RTT，支持0-RTT；1.2最少2-RTT。（2）密钥协商：1.3彻底移除RSA静态密钥传输，仅支持(EC)DHE；1.2仍允许RSA密钥传输。（3）算法套件：1.3精简为5个AEAD套件，禁止CBC、RC4、MD5、SHA-1；1.2保留大量历史套件。（4）降级防护：1.3在ServerHello后的随机字段嵌入“downgradeprotection”字节（0x444F574E47524144forTLS1.2），若客户端收到与预期版本不符的随机字节，则立即终止；同时Finished消息绑定握手上下文，任何版本/算法篡改将导致Finished验证失败。62.说明Linux下利用eBPF实现系统调用审计的原理，并给出最小可运行代码框架（C语言），要求使用libbpf，列出编译命令。答案：原理：eBPF程序挂载至raw_tracepoint/sys_enter，内核每次系统调用触发时运行eBPF，过滤后通过perfeventringbuffer向用户态回传PID、syscallID、时间戳。最小框架：```c//syscall_audit.bpf.cinclude"vmlinux.h"include<bpf/bpf_helpers.h>include<bpf/bpf_tracing.h>struct{__uint(type,BPF_MAP_TYPE_RINGBUF);__uint(max_entries,2561024);__uint(max_entries,2561024);}rbSEC(".maps");SEC("raw_tracepoint/sys_enter")inttrace_sys_enter(structbpf_raw_tracepoint_argsctx)inttrace_sys_enter(structbpf_raw_tracepoint_argsctx){u64pid_tgid=bpf_get_current_pid_tgid();u32pid=pid_tgid>>32;u32syscall=ctx->args[1];structevente;structevente;e=bpf_ringbuf_reserve(&rb,sizeof(e),0);e=bpf_ringbuf_reserve(&rb,sizeof(e),0);if(!e)return0;e->pid=pid;e->syscall=syscall;bpf_ringbuf_submit(e,0);return0;}charLICENSE[]SEC("license")="GPL";```用户态loader（略）。编译：```bashclang-O2-g-targetbpf-D__TARGET_ARCH_x86-I/usr/include/x86_64-linux-gnu-csyscall_audit.bpf.c-osyscall_audit.bpf.obpftoolgenskeletonsyscall_audit.bpf.o>syscall_audit.skel.hgcc-oloaderloader.csyscall_audit.skel.h-lbpf-lelf-lz```63.某企业采用WindowsAD域，所有服务器加入域并启用LAPS（本地管理员密码解决方案）。请说明LAPS的GPO配置要点、密码存放属性、如何防止普通用户读取，并给出PowerShell查询某主机本地管理员密码的命令。答案：（1）GPO配置要点：•启用“Enablelocaladminpasswordmanagement”•设置“PasswordSettings”：长度≥14，复杂度≥4，有效期≤30天•配置“Donotallowpasswordexpirationtimelongerthanrequired”为Enabled（2）密码存放属性：存储在AD计算机对象ms-Mcs-AdmPwd属性；过期时间存储在ms-Mcs-AdmPwdExpirationTime。（3）权限控制：通过ADACL，将ms-Mcs-AdmPwd的读取权限仅授予特定组（如ServerAdmins），并移除AuthenticatedUsers、Everyone读取权限；使用Set-AdmPwdReadPasswordPermissioncmdlet细化OU级权限。（4）查询命令：```powershellGet-AdmPwdPassword-ComputerName"PC-01"-Verbose|Select-ObjectPassword,ExpirationTimestamp```五、应用题（共20分）64.综合计算与方案设计（20分）背景：某电商Web系统日均PV8000万，峰值QPS5万。系统采用微服务架构，前端部署在阿里云CDN，源站ECS位于VPCA（可用区B/C），数据库采用PolarDBMySQL（主可用区B，只读可用区C）。昨日10:30发现部分用户订单表出现异常转账，金额被篡改。日志显示10:29-10:31期间源站收到大量来自“内部IP5”的请求，User-Agent为“sqlmap/1.5”。经排查，5为运维跳板机，但该机未记录人工登录，且其~/.bash_history被清空。PolarDB审计日志发现如下SQL：```sqlUPDATEordersSETamount=amount0.1WHEREstatus='PAID';UPDATEordersSETamount=amount0.1WHEREstatus='PAID';```（1）请给出事件定级依据（引用GB/T20986-2022）并说明理由。（3分）（2）给出遏制阶段的具体操作步骤，要求包含网络、主机、数据库、账号四个维度，并给出阿里云产品或开源工具命令。（6分）（3）假设攻击者通过跳板机托管的Docker容器发起攻击，容器已映射宿主/var/run/docker.sock，请写出提取容器内恶意Python脚本（/tmp/exp.py）的完整命令链，要求不重启容器。（3分）（4）给出根除阶段的安全加固方案，要求包含跳板机、数据库、Web应用、日志审计四个层面，并量化关键配置值。（5分）（5）若企业需满足《网络安全等级保护2.0》第三级，请说明此次事件后应补充的“安全管理制度”文档名称及核心章节标题。（3分）答案：（1）定级：符合GB/T20986-2022“特别重大（Ⅰ级）”中“核心系统数据被篡改，造成重大经济损失”，单笔金额>1000万元或>1%年营收，故定Ⅰ级。（2）遏制：网络：安全组立即拒绝/12入站80/443，阿里云安全中心→访问控制→一键隔离5。主机：通过阿里云云助手执行```bashiptables-AINPUT-s5-jDROP;systemctlstopdocker;chattr+i/var/lib/docker/containers//rootfs/tmp/exp.py;chattr+i/var/lib/docker/containers//rootfs/tmp/exp.py;```数据库：PolarDB控制台→数据保护→SQL防火墙，紧急规则：```sqlDENYUPDATEONordersWHEREREGEXP_MATCHES(sql_text,'amount\s\\s0\.[0-9]+','i');DENYUPDATEONordersWHEREREGEXP_MATCHES(sql_text,'amount\s\\s0\.[0-9]+','i');```账号：RAM控制台→禁用AK_ProdOps，强制MFA，撤销5的堡垒机授权。（3）提取：```bashdockerrun--rm-v/var/run/docker.sock:/var/run/docker.sock\alpi