2026年360公司的笔试题及答案

2026年360公司的笔试题及答案

一、单项选择题（总共10题，每题2分）1.以下哪种攻击方式的主要目的是耗尽目标服务器资源？A.SQL注入B.DDoS攻击C.钓鱼攻击D.勒索软件2.RSA加密算法属于哪种类型？A.对称加密B.非对称加密C.哈希算法D.流加密3.HTTPS协议默认使用的端口号是？A.80B.443C.21D.254.存储型XSS漏洞的根本原因是？A.服务器未关闭DEBUG模式B.用户输入未经过有效过滤C.数据库索引缺失D.防火墙规则配置错误5.操作系统中“沙盒”机制的核心作用是？A.加速程序运行B.隔离程序运行环境C.提升硬件性能D.优化内存管理6.AES-256加密算法的密钥长度是？A.64位B.128位C.256位D.512位7.缓冲区溢出漏洞通常是由于？A.代码中未处理空指针B.内存操作越界C.数据库事务未提交D.网络超时设置过短8.钓鱼攻击主要利用了哪种弱点？A.系统漏洞B.网络协议缺陷C.社会工程学D.加密算法破解9.以下哪项是入侵防御系统（IPS）与入侵检测系统（IDS）的主要区别？A.IPS可以主动阻断攻击B.IDS需要人工干预C.IPS仅监测流量D.IDS支持深度包检测10.信息安全中的“最小权限原则”要求？A.用户仅拥有完成任务所需的最少权限B.所有用户权限完全一致C.管理员拥有最高权限即可D.权限随时间自动提升二、填空题（总共10题，每题2分）1.HTTPS协议基于______协议实现加密传输（填协议缩写）。2.防止SQL注入攻击的核心方法是对用户输入进行______。3.MD5算法属于______算法（填“加密”或“哈希”）。4.一种主张“永不信任，始终验证”的安全架构模型是______。5.Nmap工具的主要功能是______。6.数字签名技术通常基于______加密算法实现（填“对称”或“非对称”）。7.浏览器中用于隔离不同网站运行环境的安全机制是______。8.国际标准化组织发布的信息安全管理体系标准是______（填标准编号）。9.结合密码、短信验证码和指纹的认证方式称为______。10.由于程序未正确限制内存操作范围导致的漏洞是______。三、判断题（总共10题，每题2分）1.MD5算法可以用于加密敏感数据，确保数据机密性。（）2.防火墙可以完全防止SQL注入攻击。（）3.多因素认证（MFA）比单因素认证更安全。（）4.安装杀毒软件后，系统无需更新补丁。（）5.零信任模型要求对所有访问请求进行身份验证和权限检查。（）6.入侵检测系统（IDS）可以主动阻断攻击流量。（）7.数据脱敏技术可用于保护用户隐私信息。（）8.传输明文密码是安全的，只要网络环境可信。（）9.缓冲区溢出攻击可能导致程序崩溃或任意代码执行。（）10.漏洞扫描工具可以直接修复系统漏洞。（）四、简答题（总共4题，每题5分）1.简述零信任安全模型的核心原则。2.对称加密与非对称加密的主要区别是什么？各举一例。3.请列出处理网络安全事件的基本流程。4.安全开发生命周期（SDL）的关键步骤有哪些？五、讨论题（总共4题，每题5分）1.针对DDoS攻击，企业可采取哪些防御策略？2.若发生用户数据泄露事件，应如何进行应急响应？3.云环境下的网络安全面临哪些独特挑战？4.人工智能（AI）在网络安全中的应用与潜在风险有哪些？答案一、单项选择题1.B2.B3.B4.B5.B6.C7.B8.C9.A10.A二、填空题1.TLS2.转义/过滤3.哈希4.零信任模型5.网络扫描/端口扫描6.非对称7.同源策略8.ISO270019.多因素认证（MFA）10.缓冲区溢出三、判断题1.×2.×3.√4.×5.√6.×7.√8.×9.√10.×四、简答题1.零信任模型核心原则包括：（1）持续验证：所有访问请求需动态验证身份、设备状态及环境；（2）最小权限：仅授予完成任务所需的最小权限；（3）横向隔离：限制内部资源间的无差别访问；（4）全局可见：监控所有流量与操作，确保全链路透明。2.对称加密使用相同密钥加密和解密（如AES），速度快但密钥分发困难；非对称加密使用公钥加密、私钥解密（如RSA），解决了密钥分发问题但计算复杂度高。主要区别在于密钥使用方式和适用场景。3.基本流程：（1）检测与确认：通过监控工具发现异常并验证事件真实性；（2）隔离与控制：断开受影响设备或限制其网络连接；（3）分析与溯源：定位漏洞、攻击路径及数据损失情况；（4）修复与恢复：修补漏洞、恢复数据并重建系统；（5）总结报告：记录事件过程，优化防御措施。4.SDL关键步骤包括：需求阶段定义安全要求；设计阶段进行威胁建模；开发阶段执行代码审计与安全测试；发布阶段开展最终安全评估；运维阶段持续监控与漏洞修复。五、讨论题1.防御策略：（1）流量清洗：通过专业DDoS防护平台识别并过滤恶意流量；（2）扩容带宽：提升网络容量以应对流量洪峰；（3）智能路由：利用Anycast技术分散流量；（4）速率限制：对关键服务设置请求频率阈值；（5）实时监控：部署流量分析工具，快速发现异常。2.应急响应步骤：（1）立即止损：关闭泄露接口，冻结相关账号；（2）评估影响：统计泄露数据类型（如手机号、身份证号）及涉及用户数量；（3）通知用户：通过官方渠道告知风险，建议修改密码并警惕诈骗；（4）法律上报：按《个人信息保护法》向监管部门报备；（5）溯源追责：分析泄露原因（如数据库漏洞、内部人员操作），完善安全措施。3.独特挑战：（1）多租户隔离：云服务器共享物理资源，需防止租户间越界访问；（2）数据主权：数据存储在云端可能涉及跨地域合规问题；（3）API安全：云服务依赖大量API交互，易成为攻击入口；（4）动态资源管理：弹性伸缩的云资源增加了权限管理复杂度；（5）第三方依赖：云服务商自身的安全能力直接影响用户数据安全。4.应用：AI可用于威胁检测（如机器学习识别异常流量）、自