2026年网络安全与防范知识考察试题及答案解析

2026年网络安全与防范知识考察试题及答案解析一、单项选择题（本大题共20小题，每小题1分，共20分。在每小题给出的四个选项中，只有一项是符合题目要求的）

1.在网络安全中，CIA三要素指的是保密性、完整性和（）。

A.可用性

B.可控性

C.可审查性

D.抗抵赖性

2.下列哪种攻击方式属于“中间人攻击”（MITM）的典型应用场景？

A.通过发送大量垃圾数据包耗尽服务器资源

B.攻击者在通信双方之间拦截并篡改数据

C.通过伪造电子邮件诱导用户泄露密码

D.在数据库查询语句中注入恶意代码

3.对称加密算法与非对称加密算法的主要区别在于（）。

A.对称加密算法只能用于加密，非对称加密算法只能用于解密

B.对称加密算法加密速度快，适合大量数据加密；非对称加密算法速度慢，用于密钥交换

C.对称加密算法比非对称加密算法更安全

D.非对称加密算法不需要密钥

4.在OSI参考模型中，防火墙主要工作在（）。

A.物理层

B.网络层和传输层

C.会话层

D.应用层

5.HTTPS协议通过（）来保证数据传输的安全性。

A.SSL/TLS协议

B.SSH协议

C.IPSec协议

D.VPN协议

6.某公司内部网络规划中，将对外提供服务的Web服务器放置在（）区域是最安全的做法。

A.内部网络

B.外部网络

C.DMZ（非军事化区）

D.办公区

7.下列端口号中，默认用于SSH服务的是（）。

A.21

B.22

C.23

D.80

8.入侵检测系统（IDS）的主要功能是（）。

A.防止外部网络攻击

B.实时监控网络流量，检测并报警异常行为

C.恢复被损坏的数据

D.加密网络通信数据

9.在身份认证中，基于“你知道什么”（如密码）、“你拥有什么”（如令牌）和“你是什么”（如指纹）的组合被称为（）。

A.双因素认证

B.多因素认证

C.单因素认证

D.强制认证

10.SQL注入攻击的主要原因是（）。

A.数据库权限配置过高

B.应用程序未对用户输入进行严格的过滤或验证

C.操作系统存在漏洞

D.网络带宽不足

11.常见的哈希算法中，目前被认为不再安全，不建议用于密码存储的是（）。

A.MD5

B.SHA-256

C.bcrypt

D.PBKDF2

12.计算机病毒、木马、蠕虫统称为（）。

A.恶意代码

B.垃圾邮件

C.风险软件

D.灰鸽软件

13.在公钥基础设施（PKI）中，负责签发和撤销数字证书的权威机构是（）。

A.CA

B.RA

C.KDC

D.LDAP

14.以下哪种技术可以用于防止跨站脚本攻击（XSS）？

A.对用户输入进行HTML实体编码

B.使用SQL预编译语句

C.关闭服务器端口

D.增加防火墙规则

15.社会工程学攻击的核心在于（）。

A.利用系统软件漏洞

B.利用硬件故障

C.利用人性的弱点（如好奇、恐惧、贪婪）

D.利用网络协议缺陷

16.在访问控制模型中，管理员通过访问控制列表（ACL）直接规定主体对客体的访问权限，这属于（）。

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于规则的访问控制

17.IPSec协议主要用于构建（）。

A.应用层安全

B.传输层安全

C.网络层虚拟专用网（VPN）

D.数据链路层安全

18.漏洞扫描与渗透测试的主要区别在于（）。

A.漏洞扫描是主动攻击，渗透测试是被动防御

B.漏洞扫描只发现潜在漏洞，渗透测试则尝试利用漏洞获取权限

C.漏洞扫描需要人工操作，渗透测试完全自动化

D.两者概念完全相同

19.为了保障数据的可用性，企业通常采取的最关键措施是（）。

A.数据加密

B.安装杀毒软件

C.定期进行数据备份

D.设置复杂密码

20.在Windows系统中，用于查看当前网络连接状态的命令是（）。

A.ping

B.ipconfig

C.netstat

D.tracert

二、多项选择题（本大题共10小题，每小题2分，共20分。在每小题给出的四个选项中，有两项或两项以上是符合题目要求的）

21.网络安全面临的主要威胁包括（）。

A.信息泄露

B.完整性破坏

C.服务拒绝

D.非法使用

22.以下属于Web应用常见安全漏洞的有（）。

A.SQL注入

B.跨站脚本（XSS）

C.跨站请求伪造（CSRF）

D.缓冲区溢出

23.防火墙的主要技术类型包括（）。

A.包过滤技术

B.应用代理技术

C.状态检测技术

D.地址翻译技术（NAT）

24.实现物理安全的主要措施有（）。

A.门禁系统

B.视频监控

C.机房环境控制（温度、湿度）

D.防火防雷

25.关于数字签名的说法，正确的有（）。

A.可以验证消息的来源

B.可以保证消息的完整性

C.可以保证消息的保密性

D.具有不可抵赖性

26.恶意代码的传播途径包括（）。

A.电子邮件附件

B.恶意网站下载

C.可移动存储介质（U盘）

D.系统漏洞利用

27.在制定网络安全策略时，应遵循的原则包括（）。

A.最小权限原则

B.纵深防御原则

C.默认拒绝原则

D.职责分离原则

28.下列属于数据库安全措施的有（）。

A.视图隔离

B.数据加密

C.审计追踪

D.强制访问控制

29.无线网络安全的风险主要来源于（）。

A.未加密的通信数据

B.未经授权的接入点

C.MAC地址欺骗

D.WEP协议的脆弱性

30.事件响应（IncidentResponse）的主要阶段包括（）。

A.准备

B.检测

C.遏制

D.根除与恢复

三、判断题（本大题共15小题，每小题1分，共15分。正确的打“√”，错误的打“×”）

31.只要将密码设置得足够复杂，就不需要担心被暴力破解，因此不需要限制登录次数。（）

32.VPN技术可以在公网上建立一条安全的加密隧道，实现远程安全访问。（）

33.所有的网络攻击都来自互联网外部，内部网络是绝对安全的。（）

34.特洛伊木马通常伪装成合法软件，诱骗用户运行，它不具备自我复制能力。（）

35.在进行渗透测试时，必须获得被测单位的书面授权，否则属于违法行为。（）

36.使用HTTPS协议可以完全防止网站被篡改。（）

37.基于生物特征（如指纹、虹膜）的认证方式比基于密码的认证方式更难被伪造，但一旦泄露，无法撤销。（）

38.为了方便记忆，可以将系统默认密码（如admin/admin）保留在测试环境中。（）

39.碎片整理可以提高磁盘性能，但对数据安全没有直接影响。（）

40.零日漏洞（0-day）是指已经被软件厂商发现并发布补丁的漏洞。（）

41.网络嗅探器可以捕获同一局域网内未加密的数据包。（）

42.在Linux系统中，Root用户拥有最高权限，因此日常操作应尽量使用Root用户以方便管理。（）

43.数据备份的“3-2-1”原则是指：3份数据副本，2种不同介质，1份异地存储。（）

44.安全套接层（SSL）和传输层安全（TLS）是同一协议的不同版本，TLS是SSL的继任者。（）

45.隐私保护不仅涉及技术手段，还涉及法律法规和企业管理制度。（）

四、填空题（本大题共10小题，每小题1分，共10分）

46.在网络攻击中，攻击者通过向目标服务器发送大量伪造源IP地址的SYN请求，导致服务器连接队列耗尽，这种攻击被称为______攻击。

47.ISO/IEC27001是关于______管理的国际标准。

48.在公钥密码体制中，用户A用私钥签名，用户B用______来验证签名。

49.为了防止密码在数据库中被明文存储，通常会使用加盐（Salt）和______函数进行处理。

50.ARP协议的功能是将IP地址解析为______地址。

51.在网络安全等级保护制度中，等级______通常是对涉及国家安全、社会秩序和公共利益的重要系统提出的要求。

52.______是一种通过伪装成可信实体（如银行、公司）向用户索要敏感信息的欺诈手段。

53.访问控制列表（ACL）通常应用在路由器或三层交换机上，用于控制网络流量的______。

54.______攻击利用了TCP连接建立过程中的三次握手特性，导致目标主机资源耗尽。

55.在日志审计中，______文件通常记录了系统用户的登录、注销等安全相关事件。

五、简答题（本大题共5小题，每小题6分，共30分）

56.请简述对称加密算法和非对称加密算法的优缺点，并说明为什么在实际应用中通常结合使用两者？

57.什么是DDoS攻击？请列举三种常见的DDoS攻击防御手段。

58.请解释什么是跨站请求伪造（CSRF）攻击，并给出一种有效的防御策略。

59.简述“纵深防御”在网络安全中的含义及其重要性。

60.请列举并解释网络安全风险评估中的四个基本要素（资产、威胁、脆弱性、风险）之间的关系。

六、综合应用题（本大题共3小题，共55分。其中第61题15分，第62题20分，第63题20分）

61.某企业网络部署了一台状态检测防火墙，其安全策略默认为“拒绝所有”。管理员为了允许内部员工访问互联网，并允许外部用户访问公司的DMZ区Web服务器，配置了以下规则（规则按顺序匹配，一旦匹配即停止）：

规则1：源地址：Any，目的地址：Web_Server_IP，服务：HTTP/HTTPS，动作：允许

规则2：源地址：Internal_Net，目的地址：Any，服务：Any，动作：允许

规则3：源地址：Any，目的地址：Any，服务：Any，动作：拒绝

现有一台位于Internal_Net的主机A试图访问一台位于DMZ区的数据库服务器（端口为3306），请问该访问是否能成功？请结合防火墙工作原理和规则集详细分析原因。如果管理员希望禁止内部网络访问DMZ区的数据库端口，但允许访问Web服务，应如何调整规则？

62.某电子商务网站后台数据库采用MySQL，用户登录页面的代码逻辑如下（伪代码）：

```sql

Stringusername=request.getParameter("username");

Stringpassword=request.getParameter("password");

Stringquery="SELECTFROMusersWHEREusername='"+username+"'ANDpassword='"+password+"'";

ResultSetrs=database.execute(query);

if(rs.next()){

loginSuccess();

}else{

loginFail();

}

```

(1)请分析上述代码存在的安全漏洞类型及其原理。（5分）

(2)如果攻击者在用户名字段输入：`admin'--`，密码字段任意输入，生成的SQL语句是什么？攻击者能绕过登录验证吗？请写出生成的SQL语句并说明原因。（5分）

(3)请给出两种修复该漏洞的具体技术方案。（10分）

63.某公司发现内部一台关键文件服务器遭受了勒索病毒攻击，所有重要文件被加密，攻击者留下勒索信要求支付比特币以换取解密密钥。作为公司的网络安全应急响应小组负责人，请按照PDCERF模型（准备、检测、遏制、根除、恢复、跟踪）制定详细的应急响应方案。

(1)在“检测”阶段，可以通过哪些技术手段确认勒索病毒的类型和感染范围？（6分）

(2)在“遏制”阶段，应采取哪些紧急措施以防止病毒扩散到其他服务器或终端？（7分）

(3)在“恢复”阶段，如果不支付赎金，应如何利用备份策略恢复业务？请简述恢复前的必要验证步骤。（7分）

---

七、参考答案及详细解析

一、单项选择题

1.A【解析】CIA三要素是信息安全的基石，即Confidentiality（保密性）、Integrity（完整性）、Availability（可用性）。

2.B【解析】中间人攻击是指攻击者秘密拦截并可能篡改两个通信方之间传递的消息，而双方都以为他们在直接与对方通信。

3.B【解析】对称加密使用单一密钥，加解密速度快，适合大数据；非对称加密使用公钥和私钥，计算复杂，速度慢，通常用于密钥交换和数字签名。

4.B【解析】传统防火墙主要工作在网络层（IP层）和传输层（TCP/UDP层），检查IP地址和端口号。应用层防火墙（WAF）才工作在应用层。

5.A【解析】HTTPS（HTTPSecure）在HTTP下加入了SSL/TLS协议，用于加密HTTP数据。

6.C【解析】DMZ（非军事化区）是为了解决安装防火墙后外部网络无法访问内部服务器的问题而设立的一个安全缓冲区，通常放置对外提供服务的服务器。

7.B【解析】SSH（SecureShell）默认端口为22；21是FTP，23是Telnet，80是HTTP。

8.B【解析】IDS（入侵检测系统）用于监听网络流量，分析特征，发现异常时发出警报，本身不直接阻断（IPS才阻断）。

9.B【解析】使用两种或两种以上认证方式的组合称为多因素认证。如果是两种，特指双因素认证。

10.B【解析】SQL注入的根本原因在于应用程序将用户输入直接拼接到SQL命令中交给数据库执行，未做过滤或参数化查询。

11.A【解析】MD5和SHA-1存在碰撞漏洞，且计算速度快，容易被暴力破解或彩虹表攻击，不推荐用于密码存储。bcrypt、PBKDF2等专门设计用于密码哈希，带盐且计算慢。

12.A【解析】病毒、木马、蠕虫、勒索软件等都属于恶意代码。

13.A【解析】CA（CertificateAuthority）是证书颁发机构，负责签发证书。

14.A【解析】防御XSS的核心是对输出进行编码，防止浏览器将数据当做代码执行。HTML实体编码是常见手段。

15.C【解析】社会工程学是关于“黑客”人性的科学，利用人的心理弱点（如轻信、恐惧、贪婪）进行欺骗。

16.A【解析】DAC（自主访问控制）允许资源的拥有者自主决定谁可以访问资源，通常通过ACL实现。

17.C【解析】IPSec工作在OSI模型的网络层（第3层），用于保护IP数据包，常用于构建站点到站点的VPN。

18.B【解析】漏洞扫描是自动化的，发现潜在弱点；渗透测试通常是人工结合半自动化，模拟攻击者行为，目的是验证漏洞的可利用性。

19.C【解析】可用性保障的关键在于冗余和备份。加密保障保密性，杀毒保障完整性，密码保障认证。

20.C【解析】netstat用于显示网络连接、路由表和网络接口统计信息。ping测试连通性，ipconfig查看IP配置，tracert跟踪路由。

二、多项选择题

21.ABCD【解析】网络安全威胁包括信息泄露、完整性破坏、拒绝服务、非法使用（未授权访问）等。

22.ABC【解析】Web常见漏洞包括SQL注入、XSS、CSRF、文件上传漏洞等。缓冲区溢出虽然也存在于Web组件中，但更多属于软件层面的通用漏洞，但在Web服务器软件（如IIS,Apache）历史漏洞中也常见。广义上选，但通常ABC是Web应用逻辑层面的典型代表。本题选ABC最为准确，D属于系统级。

23.ABC【解析】防火墙核心技术包括包过滤（静态）、应用代理（应用层）、状态检测（动态）。NAT是地址转换，通常伴随防火墙功能，但不是核心检测技术分类。

24.ABCD【解析】物理安全涵盖环境、设备、人员控制等，ABCD均为措施。

25.ABD【解析】数字签名提供身份认证（来源）、完整性（防篡改）和不可抵赖性。它不提供保密性，因为签名通常是附加在明文后的，明文本身可见。要保密需配合加密。

26.ABCD【解析】恶意代码传播途径多样，包括邮件、网页、U盘、漏洞利用、供应链攻击等。

27.ABCD【解析】最小权限、纵深防御、默认拒绝、职责分离均为安全设计基本原则。

28.ABCD【解析】数据库安全措施包括视图（隐藏列）、加密、审计、访问控制（DAC/MAC）等。

29.ABCD【解析】无线网络风险包括数据未加密（如WEP）、RogueAP（非法接入点）、MAC欺骗、以及协议本身的弱点。

30.ABCD【解析】PDCERF模型包含准备、检测、遏制、根除、恢复、跟踪总结阶段。

三、判断题

31.×【解析】复杂密码能增加暴力破解难度，但不能免疫。限制登录失败次数（账户锁定）是防御暴力破解的重要手段。

32.√【解析】VPN通过加密隧道技术在公网上传输私有数据。

33.×【解析】据统计，大部分安全事件源自内部网络（内部威胁、误操作等）。

34.√【解析】木马特征是伪装，不具备自我复制能力（区别于病毒和蠕虫）。

35.√【解析】未经授权的渗透测试属于非法入侵，触犯法律。

36.×【解析】HTTPS加密传输数据，防止传输被窃听篡改，但无法防止服务器端被黑客入侵后网页文件被篡改（如挂马）。

37.√【解析】生物特征不可撤销，一旦泄露（如指纹数据库被盗），用户无法像换密码那样换指纹。

38.×【解析】默认密码是高危风险，任何环境（包括测试）都应修改或禁用默认账户。

39.√【解析】碎片整理是文件系统维护，主要优化读写速度，与安全无直接逻辑关系。

40.×【解析】零日漏洞是指官方尚未知晓或尚未发布补丁的漏洞，攻击者先于厂商掌握。

41.√【解析】集线器（HUB）或交换机的镜像端口可以实现嗅探，捕获明文数据。

42.×【解析】Root权限过大，误操作可能导致系统崩溃或安全漏洞。应遵循最小权限原则，日常使用普通用户。

43.√【解析】这是备份的黄金法则：3个副本，2种介质，1个离线。

44.√【解析】TLS是SSL的升级版，解决SSL的安全问题。

45.√【解析】隐私保护是技术、管理和法律的结合体。

四、填空题

46.SYNFlood【解析】利用TCP协议缺陷，发送大量SYN包，不完成握手，耗尽队列。

47.信息安全【解析】ISO/IEC27001是信息安全管理体系（ISMS）标准。

48.A的公钥【解析】数字签名用私钥签名，验证方用发送者的公钥验证。

49.哈希（或散列/摘要）【解析】通常使用SHA-256等哈希函数进行单向加密存储。

50.MAC（物理）【解析】ARP将IP解析为MAC地址。

51.四级【解析】根据《网络安全法》，等级保护四级通常对应重要系统。

52.网络钓鱼【解析】Phishing即钓鱼攻击。

53.进出（或通断）【解析】ACL控制数据包是允许通过还是拒绝。

54.SYNFlood（或TCPSYNFlood）【解析】同46题，考察三次握手攻击。

55.wtmp/utmp/btmp【解析】Linux下wtmp记录所有登录，btmp记录失败登录，utmp记录当前登录。

五、简答题

56.答：

对称加密：优点是算法简单、加解密速度快、效率高，适合处理大量数据；缺点是密钥分发和管理困难，缺乏有效的身份认证机制。

非对称加密：优点是密钥管理方便（公钥公开）、安全性高、支持数字签名和身份认证；缺点是算法复杂、计算量大、速度慢，不适合处理长数据。

结合使用原因：利用非对称加密算法安全地交换对称加密的密钥（会话密钥），然后利用对称加密算法的高效性对实际数据进行加密传输。这样既解决了密钥分发问题，又保证了数据传输效率。

57.答：

DDoS（分布式拒绝服务）攻击是指利用分布于各地的僵尸网络（肉鸡），同时向目标服务器发起大量请求，耗尽目标资源（带宽、CPU、连接数），导致正常用户无法访问。

防御手段：

(1)流量清洗：通过专业的ISP或云清洗中心，将恶意流量过滤，将干净流量回源。

(2)负载均衡：将流量分散到多台服务器，避免单点过载。

(3)限制连接速率：在防火墙或网关处设置策略，限制单个IP的连接频率和并发连接数。

58.答：

CSRF（跨站请求伪造）是一种攻击，它利用用户在已登录网站A的信任身份，诱导用户访问恶意网站B，网站B向网站A发起请求（如转账），网站A误以为是用户本人操作而执行该请求。

防御策略：

使用CSRFToken。服务器生成一个随机令牌，在表单提交时加入该令牌，服务器验证令牌是否正确且匹配。由于攻击者无法预测用户的Token，无法构造有效的恶意请求。

59.答：

纵深防御是指在信息系统中采用多层、重叠的安全控制措施，以防御不同层面的威胁。

含义：如果某一层防御措施失效，其他层仍能提供保护。它包括物理安全、网络边界安全、主机安全、应用安全、数据安全等多个层面。

重要性：网络安全没有银弹，单一防御手段（如防火墙）无法应对所有攻击。纵深防御能够降低整体风险，增加攻击者的难度和成本，提高系统的健壮性。

60.答：

资产：需要保护的有价值资源（如数据、硬件、服务）。

威胁：可能导致资产损坏或损失的潜在原因（如黑客、地震）。

脆弱性：资产中存在的可被威胁利用的弱点（如未打补丁、弱口令）。

关系：风险是威胁利用脆弱性导致资产损失的可能性及影响。即：风险=资产价值×威胁×脆弱性。没有资产就没有风险；没有威胁或脆弱性，风险也不存在。

六、综合应用题

61.答：

访问是否能成功：能成功。

分析：

(1)主机A源地址属于Internal_Net。

(2)规则1匹配的是目的地址为Web_Server_IP且服务为HTTP/HTTPS。主机A访问数据库（端口3306），目的地址虽匹配，但服务不匹配（3306vs80/443），故规则1不匹配。

(3)检查规则2：源地址Internal_Net匹配，目的地址Any匹配，服务Any匹配。因此，主机A访问数据库的流量匹配规则2，动作是“允许”。

(4)流量被允许通过，不再检查规则3。

调整建议：

管理员希望禁止内部访问DMZ数据库，但允许访问Web。目前的规则2过于宽泛（Internal_Net->Any->Any）。

应修改规则2为更具体的Web访问允许，并增加拒绝数据库的规则。

调整后的规则集示例：

规则1：源：Any，目的：Web_Server_IP，服务：HTTP/HTTPS，动作：允许

规则2：源：Internal_Net，目的：Web_Server_IP，服务：HTTP/HTTPS，动作：允许（显式允许内部访问Web，虽然规则1可能已覆盖，但为了明确）

规则3：源：Internal_Net，目的：DMZ_Net，服务：MySQL_Port，动作：拒绝（新增，明确阻断）

规则4：源：Internal_Net，目的：Any，服务：Any，动作：允许（允许访问其他互联网）

规则5：源：Any，目的：Any，服务：Any，动作：拒绝

注：实际操作中，通常会将拒绝规则放在允许规则之前，或者缩小允许规则的范围。最简单的修改是将规则2的目的地址排除DMZ，或者直接插入一条拒绝Internal_Net访问DMZ3306的规则放在规则2之前。

62.答：

(1)漏洞类型：SQL注入。

原理：代码直接将用户输入拼接到SQL查询字符串中，未进行任何过滤或转义。攻击者可以通过输入精心构造的字符串改变SQL语句的逻辑结构，从而绕过认证或获取敏感数据。

(2)生成的SQL语句：

`SELECTFROMusersWHEREusername='admin'--'ANDpassword='...'`

分析：输入的`admin'--`使得原SQL语句在`username`处闭合，且`--`在SQL中是注释符号（MySQL/SQLS