2026年网络安全管理员练习题(含答案)

2026年网络安全管理员练习题(含答案)一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项的字母填入括号内）1.在ISO/IEC27001:2022中，对“信息安全”最权威的定义是（）A.保护信息免受未授权访问B.保护信息的机密性、完整性和可用性C.保护信息资产免受所有威胁D.保护信息系统的CIA属性并确保业务连续性答案：B2.下列哪一项最能有效降低SQL注入风险（）A.使用HTTPSB.部署WAFC.参数化查询D.最小权限原则答案：C3.在Linux系统中，若文件权限为“-rwxr-sr-x”，则该文件的SGID位表现为（）A.目录下新建文件继承属组B.进程运行时可提升为rootC.进程运行时继承文件属组D.仅对可执行文件有效，无实际作用答案：C4.关于TLS1.3与TLS1.2的差异，以下说法错误的是（）A.TLS1.3默认使用前向保密B.TLS1.3握手往返次数减少为1-RTTC.TLS1.3支持RSA密钥交换D.TLS1.3废除了3DES答案：C5.在Windows日志中，事件ID4624表示（）A.账户登录失败B.账户成功登录C.特权提升D.账户锁定答案：B6.以下哪条命令可查看Kubernetes集群中所有Pod的SecurityContext（）A.kubectlgetpods-owideB.kubectldescribepod<pod-name>C.kubectlgetsecuritycontextD.kubectllogs<pod-name>答案：B7.在防火墙五元组匹配中，不包含（）A.协议号B.源MACC.目的端口D.源IP答案：B8.关于零信任模型，下列描述正确的是（）A.默认信任内网流量B.以边界防护为核心C.每次访问都需动态验证D.取消所有加密通道答案：C9.在密码学中，ECDSA的主要优势是（）A.抗量子计算B.相同安全强度下密钥更短C.支持对称加密D.无需哈希函数答案：B10.以下哪项不是GDPR中规定的“合法处理依据”（）A.数据主体同意B.合同履行C.数据控制者合法利益D.数据匿名化答案：D11.在OWASPTop102021中，排名上升最快的风险是（）A.失效的访问控制B.加密失败C.注入D.服务端请求伪造答案：D12.使用nmap扫描命令“nmap-sS-p1-65535/24”时，“-sS”表示（）A.TCPSYN扫描B.TCPConnect扫描C.UDP扫描D.ACK扫描答案：A13.在Apache日志中，返回码“499”代表（）A.客户端关闭连接B.内部服务器错误C.禁止访问D.重定向答案：A14.以下哪项技术可防止DNS欺骗（）A.DNSSECB.EDNS0C.DNSoverHTTPSD.ZoneTransfer答案：A15.在Python中，使用hashlib.pbkdf2_hmac生成的密钥最适合用于（）A.对称加密B.数字签名C.密码存储D.随机数生成答案：C16.关于内存保护机制，下列哪项可阻止栈溢出攻击（）A.ASLRB.DEP/NXC.SEHOPD.CFG答案：B17.在RSA密钥对生成时，若公钥指数e=3且模数n=35，则私钥指数d为（）A.3B.5C.11D.13答案：C18.以下哪项不是对称加密算法（）A.ChaCha20B.SM4C.ECCD.AES-256-GCM答案：C19.在CI/CD流水线中，最适合进行依赖漏洞扫描的阶段是（）A.构建前B.单元测试后C.镜像构建后D.生产部署后答案：C20.关于BGP安全，下面哪项协议用于验证路由起源（）A.RPKIB.DNSSECC.BFDD.LACP答案：A21.在MySQL8.0中，启用“caching_sha2_password”插件的主要目的是（）A.提升查询缓存B.增强身份验证安全性C.支持LDAPD.兼容旧版JDBC答案：B22.以下哪项不是容器逃逸的常见利用向量（）A.特权容器B.危险挂载（/var/run/docker.sock）C.Seccomp过滤D.内核提权漏洞答案：C23.在Wireshark过滤器中，表达式“tcp.flags.syn==1andtcp.flags.ack==0”表示（）A.TCP三次握手的第二次B.TCP三次握手的第一次C.TCP断开连接D.TCP重置答案：B24.关于量子密钥分发（QKD），下列说法正确的是（）A.基于数学难题B.可实现信息论安全C.依赖公钥基础设施D.可抵御主动攻击但无法检测窃听答案：B25.在Windows中，命令“netshadvfirewallsetallprofilesstateon”的作用是（）A.关闭防火墙B.开启所有配置文件的防火墙C.重置防火墙策略D.导出防火墙规则答案：B26.以下哪项不是日志完整性保护技术（）A.日志签名B.日志链C.日志压缩D.可信时间戳答案：C27.在IPv6中，用于本地链路通信的地址前缀是（）A.fc00::/7B.fe80::/10C.2000::/3D.::1/128答案：B28.关于威胁狩猎（ThreatHunting），下列哪项描述最准确（）A.基于签名的检测B.被动等待告警C.主动假设驱动搜索D.依赖SOC自动化答案：C29.在PowerShell中，执行策略“RemoteSigned”表示（）A.禁止所有脚本B.本地脚本无需签名，远程脚本需可信签名C.所有脚本需可信签名D.仅允许交互式命令答案：B30.以下哪项标准专门定义了安全事件分级与响应流程（）A.ISO/IEC27035B.ISO/IEC27701C.NISTSP800-53D.ISO/IEC20000答案：A二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于对称加密的工作模式（）A.ECBB.CBCC.GCMD.CTR答案：ABCD32.关于Dockerfile安全最佳实践，正确的有（）A.使用官方基础镜像B.避免使用root用户启动进程C.在镜像中硬编码密钥D.使用多阶段构建减少攻击面答案：ABD33.以下哪些协议可被用于安全远程管理（）A.TelnetB.SSHv2C.RDPwithNLAD.HTTPSwithmTLS答案：BCD34.关于内存取证，正确的有（）A.可通过/proc/kcore获取Linux内存镜像B.Windows下可使用DumpIt生成raw格式镜像C.VolatilityFramework支持分析macOS内存D.内存镜像必须与被取证系统架构一致答案：ABCD35.以下哪些属于常见的社会工程学攻击手段（）A.鱼叉钓鱼B.预文本C.诱饵D.SQL注入答案：ABC36.在PKI体系中，CA的主要职能包括（）A.颁发证书B.吊销证书C.密钥托管D.验证证书链答案：ABD37.以下哪些技术可用于Web应用防重放攻击（）A.时间戳B.随机NonceC.HMACD.CAPTCHA答案：ABC38.关于EDR与NDR，下列说法正确的有（）A.EDR侧重终端行为分析B.NDR基于网络流量分析C.EDR可隔离主机D.NDR可解密TLS1.3流量答案：ABC39.以下哪些属于我国《网络安全法》规定的“关键信息基础设施”（）A.金融交易系统B.医疗电子病历平台C.大型电商平台D.高校选课系统答案：ABC40.以下哪些算法已被证明不具备抗量子性（）A.RSA-2048B.ECC-P256C.AES-256D.SHA-256答案：AB三、填空题（每空1分，共20分）41.在Linux系统中，文件权限“4755”中数字“4”表示________位。答案：SUID42.当使用OpenSSL生成私钥时，命令“opensslgenpkey-algorithmed25519”所采用的算法名称是________。答案：Ed2551943.在Windows日志中，事件ID4768表示________票据请求。答案：KerberosTGT44.在SQLMap中，参数“--tamper=space2comment”的作用是________。答案：将空格替换为注释符绕过WAF45.在IPv4中，协议号1对应的上层协议是________。答案：ICMP46.在Kubernetes中，NetworkPolicy依赖于________组件实现策略下发。答案：CNI插件47.在密码学中，HMAC-SHA256的输出长度为________字节。答案：3248.在BGP报文中，TypeCode3表示________消息。答案：Notification49.在Wireshark中，过滤表达式“arp.opcode==2”表示________报文。答案：ARPReply50.在SIEM中，关联规则“SELECTFROMeventsWHEREsrc_ip=dst_ip”可用于发现________攻击。50.在SIEM中，关联规则“SELECTFROMeventsWHEREsrc_ip=dst_ip”可用于发现________攻击。答案：横向移动或本地回环异常51.在PowerShell中，命令“Get-WinEvent-FilterHashtable@{LogName='Security';ID=4625}”用于查询________事件。答案：登录失败52.在RSA算法中，若p=11，q=17，则欧拉函数φ(n)=________。答案：16053.在Docker中，seccomp配置文件默认的默认动作是________。答案：SCMP_ACT_ERRNO54.在HTTP响应头中，用于控制浏览器是否可嵌入iframe的字段是________。答案：X-Frame-Options55.在Linux内核漏洞利用中，常见的提权漏洞编号格式为________。答案：CVE-YYYY-NNNNN56.在量子计算中，Shor算法可高效分解________类问题。答案：大整数57.在NISTSP800-63B中，推荐的用户密码最小长度为________位。答案：858.在日志审计中，遵循的“5W1H”原则中，“How”指________。答案：行为方式或技术手段59.在威胁情报中，STIX格式中“indicator”对象的“pattern”属性采用________语言描述。答案：STIXPatterning60.在零信任架构中，SDP的核心组件包括________、________、________。答案：控制器、网关、客户端四、简答题（每题5分，共25分）61.简述Kerberos认证过程中TGT与ST的区别与联系。答案：TGT（TicketGrantingTicket）由AS颁发，用于向TGS证明用户身份；ST（ServiceTicket）由TGS颁发，用于向具体服务证明用户身份。二者均使用对称加密，TGT加密密钥为KRBTGT哈希，ST加密密钥为目标服务账户哈希。TGT生命周期较长，ST较短。TGT首次获取需用户密码，后续使用TGT获取ST无需再次输入密码，实现单点登录。62.说明ASLR与DEP在漏洞缓解中的作用及局限性。答案：ASLR（地址空间布局随机化）通过随机化堆栈、库加载地址增加攻击者预测难度；DEP（数据执行保护）将数据页标记为不可执行，阻止shellcode运行。局限性：ASLR可被信息泄露绕过，DEP需配合ROP/JOP利用，若存在内存泄露或可写可执行段则失效。63.列举三种容器逃逸利用场景并给出防御建议。答案：1.特权容器：容器拥有所有Capabilities，可访问宿主机设备；防御：禁止--privileged，使用最小Capabilities。2.危险挂载：挂载Docker.sock，容器内可控制宿主机Docker；防御：禁止挂载/var/run/docker.sock，使用RootlessDocker。3.内核提权：利用DirtyCow等漏洞；防御：及时更新内核，启用Seccomp、AppArmor，使用容器运行时如gVisor。64.简述DNSSEC的链式验证流程。答案：根区使用KSK/ZSK签名顶级区DS记录；顶级区提交DS记录到根区，并用自身KSK/ZSK签名二级区DS；递归服务器从根到权威区逐级验证RRSIG与DS匹配，形成信任链，最终验证应答记录真实性，防止spoofing与缓存污染。65.说明日志链（LogChaining）技术的实现原理及其在司法取证中的价值。答案：每条日志计算前一条日志的哈希值并写入当前记录，形成哈希链；同时附加可信时间戳与数字签名。任何篡改都会破坏链完整性，可通过重新计算哈希快速定位篡改点。司法取证中，日志链提供抗抵赖与完整性证明，符合《电子数据规定》要求，可作为呈堂证供。五、应用题（共25分）66.综合计算与配置题（10分）某公司拟部署IPSecVPN，采用IKEv2，预共享密钥认证，AES-256-GCM加密，DHGroup20（ECP384），生命周期86400秒。(1)给出StrongSwan服务器端/etc/ipsec.conf关键配置片段，要求完整写出conn字段。（5分）(2)计算DHGroup20的密钥交换数据量（字节），并说明为何选择ECP384而非MODP2048。（5分）答案：(1)configsetupcharondebug="ike2,knl2,cfg2"uniqueids=yesconnikev2-vpnkeyexchange=ikev2ike=aes256gcm-prfsha384-ecp384!esp=aes256gcm-prfsha384-ecp384!left=%anyleftauth=pskleftsubnet=/0right=%anyrightauth=pskrightsourceip=/24auto=addkeyingtries=%foreverlifetime=86400(2)DHGroup20（ECP384）基于椭圆曲线secp384r1，公钥长度为2×384bit=96字节，交换数据量为96字节。相比MODP2048（256字节），ECP384提供等价安全强度（约7680bitRSA），数据量小，计算快，降低带宽与CPU消耗，抗量子性稍优，故优选。67.安全分析题（15分）背景：某电商网站采用微服务架构，前端Vue，网关SpringCloudGateway，订单服务运行在内网Kubernetes集群。近日发现订单接口出现异常下单，日志显示大量请求携带异