中国网安2026届校园招聘笔试历年典型考点题库附带答案详解

中国网安2026届校园招聘笔试历年典型考点题库附带答案详解一、单项选择题下列各题只有一个正确答案，请选出最恰当的选项（共30题）1、在TCP/IP协议栈中，负责将域名解析为IP地址的协议是？

A.HTTPB.DNSC.FTPD.SMTP2、下列哪种加密算法属于非对称加密算法？

A.AESB.DESC.RSAD.RC43、SQL注入攻击主要针对的是哪一层的安全漏洞？

A.网络层B.传输层C.应用层D.物理层4、在Linux系统中，用于查看当前网络连接状态及端口的命令是？

A.psB.netstatC.chmodD.grep5、下列哪项措施最能有效防止跨站脚本攻击（XSS）？

A.使用HTTPS协议B.对用户输入进行严格的过滤和转义C.关闭服务器目录浏览D.限制登录尝试次数6、关于哈希函数特性，下列说法错误的是？

A.单向性，不可逆推原始数据B.抗碰撞性，难以找到两个不同输入产生相同哈希值C.定长输出，无论输入多长，输出长度固定D.可逆性，可通过哈希值还原原始数据7、在公钥基础设施（PKI）中，数字证书的主要作用是？

A.加密数据传输内容B.验证公钥持有者的身份真实性C.压缩数据以提高传输效率D.记录用户登录日志8、下列哪种攻击方式属于被动攻击？

A.拒绝服务攻击（DoS）B.流量分析C.重放攻击D.篡改消息9、防火墙主要工作在网络模型的哪几层？

A.仅物理层B.网络层和传输层C.仅应用层D.数据链路层和物理层10、社会工程学攻击主要利用的是？

A.软件代码漏洞B.硬件设计缺陷C.人的心理弱点和社会行为惯例D.网络协议缺陷11、在OSI七层模型中，负责建立、管理和终止应用程序之间会话的是哪一层？A.传输层B.会话层C.表示层D.应用层12、下列哪种加密算法属于非对称加密算法？A.AESB.DESC.RSAD.SM413、SQL注入攻击主要针对的是哪种安全漏洞？A.输入验证缺失B.缓冲区溢出C.跨站脚本D.文件包含14、在TCP三次握手中，第二次握手发送的标志位是什么？A.SYNB.ACKC.SYN+ACKD.FIN15、下列哪项不属于常见的Web应用防火墙（WAF）防护功能？A.SQL注入防护B.XSS防护C.CC攻击防护D.病毒查杀16、关于哈希函数特性，下列说法错误的是？A.抗碰撞性B.不可逆性C.定长输出D.可解密性17、在Linux系统中，用于查看当前网络连接状态的命令是？A.psB.netstatC.chmodD.df18、下列哪种认证方式安全性最高？A.静态密码B.短信验证码C.生物特征+动态令牌D.安全问题19、ARP欺骗攻击主要发生在OSI模型的哪一层？A.物理层B.数据链路层C.网络层D.传输层20、关于SSL/TLS协议，下列说法正确的是？A.仅用于加密HTTPB.工作在传输层之上C.不使用证书D.仅支持对称加密21、在网络安全等级保护2.0标准中，第三级信息系统的测评周期至少为多久？

A.半年一次

B.一年一次

C.两年一次

D.三年一次22、下列哪种加密算法属于非对称加密算法？

A.AES

B.DES

C.RSA

D.SM423、在Web安全中，防止SQL注入最有效的方法是？

A.过滤特殊字符

B.使用预编译语句

C.限制输入长度

D.隐藏数据库报错信息24、下列关于DDoS攻击的描述，错误的是？

A.旨在耗尽目标资源

B.通常利用僵尸网络发起

C.仅针对网络层发动攻击

D.可能导致服务不可用25、在公钥基础设施（PKI）体系中，负责颁发和管理数字证书的机构是？

A.RA

B.CA

C.KMC

D.OCSP26、下列哪项不属于社会工程学攻击的常见手段？

A.钓鱼邮件

B.pretexting（借口伪装）

C.缓冲区溢出

D.尾随进入办公区27、关于零信任安全模型，以下说法正确的是？

A.内网用户默认可信

B.只需在网络边界部署防火墙

C.持续验证，永不信任

D.仅对远程访问用户进行认证28、在Linux系统中，用于查看当前开放端口及对应进程的命令是？

A.ps-ef

B.netstat-tulpn

C.ifconfig

D.top29、下列哪种备份策略恢复速度最快，但存储空间占用最大？

A.完全备份

B.增量备份

C.差异备份

D.合成备份30、依据《个人信息保护法》，处理敏感个人信息应当取得个人的？

A.口头同意

B.单独同意

C.默示同意

D.一般同意二、多项选择题下列各题有多个正确答案，请选出所有正确选项（共15题）31、在网络安全等级保护2.0标准中，关于安全通用要求的技术层面包括哪些？A.安全物理环境B.安全通信网络C.安全区域边界D.安全管理中心32、下列哪些行为属于《中华人民共和国网络安全法明确禁止的危害网络安全行为？A.非法侵入他人网络B.干扰他人网络正常功能C.窃取网络数据D.提供专门用于从事危害网络安全活动的程序33、在对称加密算法中，以下哪些是常见的算法标准？A.AESB.DESC.RSAD.SM434、关于SQL注入攻击的防御措施，下列哪些做法是有效的？A.使用预编译语句（PreparedStatements）B.对输入数据进行严格的类型检查和过滤C.使用存储过程D.在前端通过JavaScript限制输入长度35、在应急响应流程中，以下哪些步骤属于PDCERF模型的核心阶段？A.准备（Preparation）B.检测（Detection）C.抑制（Containment）D.恢复（Recovery）36、下列关于DDoS（分布式拒绝服务）攻击的描述，哪些是正确的？A.目的是使目标服务器无法提供正常服务B.通常利用僵尸网络发起攻击C.SYNFlood是一种常见的DDoS攻击方式D.可以通过增加带宽完全免疫此类攻击37、在Web安全中，跨站脚本攻击（XSS）主要分为哪几种类型？A.反射型XSSB.存储型XSSC.DOM型XSSD.SQL型XSS38、关于数字证书和PKI（公钥基础设施），下列说法正确的有？A.CA是证书颁发机构，负责签发证书B.数字证书包含持有者的公钥C.私钥必须由持有者严格保密D.数字证书可以用于身份认证和数据加密39、下列哪些措施有助于提升企业内部网络的终端安全性？A.安装并定期更新防病毒软件B.启用操作系统自动补丁更新C.禁止使用未经授权的USB设备D.强制使用复杂密码并定期更换40、关于云计算安全中的“责任共担模型”，以下理解正确的是？A.云服务商负责云平台本身的基础设施安全B.用户负责云上数据的安全和配置管理C.在IaaS模式下，用户需管理操作系统及以上层级D.云服务商负责所有层面的安全，用户无需操心41、在网络分层模型中，以下哪些协议属于应用层协议？

A.HTTP

B.TCP

C.FTP

D.DNS42、关于对称加密与非对称加密，下列说法正确的有？

A.AES是对称加密算法

B.RSA是非对称加密算法

C.对称加密密钥管理比非对称更复杂

D.非对称加密速度通常快于对称加密43、下列哪些措施能有效防范SQL注入攻击？

A.使用预编译语句（PreparedStatements）

B.对用户输入进行严格的类型检查和过滤

C.关闭数据库的错误回显

D.使用ORM框架并避免拼接SQL字符串44、在TCP三次握手过程中，涉及的状态转换包括？

A.SYN_SENT

B.SYN_RCVD

C.ESTABLISHED

D.TIME_WAIT45、以下哪些属于常见的Web安全漏洞（OWASPTop10）？

A.跨站脚本攻击（XSS）

B.跨站请求伪造（CSRF）

C.不安全的直接对象引用（IDOR）

D.物理服务器被盗三、判断题判断下列说法是否正确（共10题）46、在网络安全风险评估中，资产价值越高，其面临的安全风险一定越大。请判断该说法是否正确？A.正确B.错误47、对称加密算法如AES，其加密和解密使用相同的密钥，因此密钥分发是其主要安全挑战之一。请判断该说法是否正确？A.正确B.错误48、SQL注入攻击主要针对的是数据库服务器本身的软件漏洞，与Web应用程序的代码编写无关。请判断该说法是否正确？A.正确B.错误49、在OSI七层模型中，IP协议工作在网络层，而TCP协议工作在传输层。请判断该说法是否正确？A.正确B.错误50、数字签名技术可以同时保证数据的机密性、完整性和不可否认性。请判断该说法是否正确？A.正确B.错误51、DDoS攻击的主要目的是窃取目标系统中的敏感数据。请判断该说法是否正确？A.正确B.错误52、防火墙能够完全阻止内部网络中的病毒传播和恶意软件感染。请判断该说法是否正确？A.正确B.错误53、在公钥基础设施（PKI）中，证书颁发机构（CA）的主要职责是验证用户身份并签发数字证书。请判断该说法是否正确？A.正确B.错误54、社会工程学攻击主要利用计算机系统的技术漏洞进行渗透，而非人为心理弱点。请判断该说法是否正确？A.正确B.错误55、零信任安全架构的核心原则是“永不信任，始终验证”，不再默认信任内网中的任何设备或用户。请判断该说法是否正确？A.正确B.错误

参考答案及解析1.【参考答案】B【解析】DNS（域名系统）主要用于将人类可读的域名转换为机器可识别的IP地址。HTTP用于超文本传输，FTP用于文件传输，SMTP用于邮件发送。网安笔试常考基础网络协议功能，需区分各层协议职责。DNS作为应用层协议，其安全性涉及DNS劫持、缓存投毒等考点，理解其基本解析机制是排查网络故障和分析攻击流量的基础。2.【参考答案】C【解析】RSA基于大数分解难题，使用公钥加密、私钥解密，属于非对称加密。AES、DES和RC4均使用同一密钥进行加解密，属于对称加密算法。在网络安全中，非对称加密常用于密钥交换和数字签名，解决密钥分发问题；对称加密则因效率高常用于大量数据加密。考生需熟练掌握常见算法分类及其应用场景，这是密码学基础考点。3.【参考答案】C【解析】SQL注入是通过在Web表单输入或URL参数中插入恶意SQL代码，欺骗服务器执行非授权数据库操作。它发生在应用程序与数据库交互过程中，属于典型的应用层攻击。网络层关注路由与IP，传输层关注端口与连接。防御SQL注入应采用预编译语句、输入验证及最小权限原则。此考点旨在考察对OWASPTop10漏洞原理及分层防御模型的理解。4.【参考答案】B【解析】netstat（或ss）用于显示网络连接、路由表和网络接口统计信息，常配合-auntp参数查看监听端口及对应进程。ps用于查看进程状态，chmod修改文件权限，grep用于文本搜索。在应急响应中，快速识别异常连接和可疑端口是排查后门或木马的关键步骤。掌握常用Linux运维与安全命令是网安岗位的基本技能要求。5.【参考答案】B【解析】XSS攻击核心在于恶意脚本在用户浏览器执行。最有效的防御是对所有用户输入数据进行严格过滤，并对输出到HTML页面的内容进行实体转义，确保浏览器将其视为文本而非代码执行。HTTPS保障传输加密，无法阻止脚本注入；关闭目录浏览和限制登录分别针对信息泄露和暴力破解。理解输入输出处理机制是Web安全开发的核心。6.【参考答案】D【解析】哈希函数具有单向性、抗碰撞性和定长输出特性，广泛应用于完整性校验和密码存储。由于其设计初衷即为不可逆，因此无法通过哈希值还原原始数据，D选项表述错误。若哈希算法存在弱点导致易碰撞或可逆，将严重威胁数据完整性与身份认证安全。常见算法如SHA-256、MD5（已不安全）等均具备前三项特征。7.【参考答案】B【解析】数字证书由可信的证书颁发机构（CA）签发，绑定公钥与持有者身份信息，用于验证公钥归属，防止中间人攻击。虽然证书关联的公钥可用于加密，但证书本身的核心功能是身份认证与信任建立。数据压缩和日志记录并非证书功能。理解PKI信任链及证书验证流程，对于配置SSL/TLS及服务端身份鉴别至关重要。8.【参考答案】B【解析】被动攻击指攻击者仅监听或监测数据传输而不修改数据，如流量分析、窃听，难以检测但可预防（如加密）。主动攻击涉及数据修改或伪造，如DoS、重放、篡改，可检测但难完全预防。网安防护需兼顾两者：通过加密对抗被动窃听，通过认证和完整性校验对抗主动篡改。区分攻击性质有助于制定针对性防御策略。9.【参考答案】B【解析】传统包过滤防火墙主要基于IP地址（网络层）和端口号（传输层）进行访问控制。虽然下一代防火墙具备应用层识别能力，但经典定义中防火墙核心功能位于网络层和传输层。物理层和数据链路层通常由交换机或集线器处理。理解防火墙工作层次有助于合理部署安全策略，如基于端口的隔离规则，是网络边界防护的基础知识。10.【参考答案】C【解析】社会工程学不依赖技术漏洞，而是通过操纵人性（如好奇、恐惧、贪婪、乐于助人）骗取敏感信息或权限。常见手段包括钓鱼邮件、假冒身份等。技术防御难以完全阻断此类攻击，需结合安全意识培训。在网安体系中，“人”往往是最薄弱环节。识别和防范社会工程学攻击，要求员工具备高度的警惕性和验证意识，是整体安全防御的重要一环。11.【参考答案】B【解析】OSI模型中，会话层（SessionLayer）位于第五层，主要职责是建立、管理和终止表示层实体之间的通信会话。它提供对话控制机制，如全双工或半双工通信，以及同步点管理，确保数据交换的有序性。传输层负责端到端连接，表示层处理数据格式转换，应用层直接为用户接口服务。因此，正确答案为B。12.【参考答案】C【解析】非对称加密使用公钥和私钥两把密钥。RSA是典型的非对称加密算法，广泛用于数字签名和密钥交换。AES、DES和SM4均为对称加密算法，加密和解密使用同一密钥。对称加密速度快但密钥分发困难，非对称加密安全性高但计算量大。网安笔试常考此类基础算法分类，需熟记常见算法类型及其应用场景。故选C。13.【参考答案】A【解析】SQL注入是由于应用程序未对用户输入进行严格过滤或转义，导致恶意SQL代码被数据库执行。其核心原因是输入验证缺失。缓冲区溢出涉及内存管理，跨站脚本（XSS）针对前端脚本执行，文件包含涉及服务器文件加载。防止SQL注入的最佳实践是使用预编译语句（PreparedStatements）和参数化查询，彻底分离代码与数据。故选A。14.【参考答案】C【解析】TCP三次握手过程：第一次客户端发送SYN；第二次服务器回复SYN+ACK，表示同意连接并确认收到客户端请求；第三次客户端发送ACK。SYN用于同步序列号，ACK用于确认。FIN用于断开连接。掌握握手流程有助于理解DDoS攻击中的SYNFlood原理及网络协议分析。因此，第二次握手标志位为SYN+ACK，选C。15.【参考答案】D【解析】WAF主要防护应用层攻击，如SQL注入、XSS、CC攻击（HTTP洪水）、命令注入等。病毒查杀通常由终端杀毒软件或网关防病毒模块负责，侧重于文件特征码匹配，而非HTTP流量逻辑分析。WAF通过规则引擎分析HTTP/HTTPS请求，阻断恶意流量。虽然部分高级WAF集成威胁情报，但核心功能不包含传统病毒查杀。故选D。16.【参考答案】D【解析】哈希函数具有三大特性：单向性（不可逆）、抗碰撞性（难以找到两个不同输入产生相同输出）、定长输出（无论输入多长，输出长度固定）。哈希用于完整性校验和密码存储，因其不可逆，故不存在“解密”概念。若声称可解密，则违背了哈希的基本定义。MD5、SHA-256均为常见哈希算法。因此，D项说法错误，选D。17.【参考答案】B【解析】netstat（或ss）用于显示网络连接、路由表和网络接口信息，是排查网络问题的常用工具。ps用于查看进程状态，chmod用于修改文件权限，df用于查看磁盘空间使用情况。网安工作中，常利用netstat发现异常连接或监听端口，辅助入侵检测。随着系统演进，ss命令因性能更优逐渐替代netstat，但考点仍涵盖netstat。故选B。18.【参考答案】C【解析】多因素认证（MFA）结合“所知”（密码）、“所有”（令牌/手机）、“所是”（生物特征）中两种以上因素，安全性远高于单因素。静态密码易被撞库，短信验证码存在SIM卡劫持风险，安全问题易被社工破解。生物特征加动态令牌实现了双因素甚至三因素认证，极大提升了身份验证强度，符合零信任架构要求。故选C。19.【参考答案】B【解析】ARP（地址解析协议）用于将IP地址解析为MAC地址，工作在数据链路层与网络层之间，但ARP报文封装在以太网帧中，直接在局域网内广播，其欺骗机制利用的是数据链路层的MAC地址寻址缺陷。攻击者伪造ARP响应，篡改网关MAC映射，实现中间人攻击。虽涉及IP，但核心作用于链路层帧转发。故选B。20.【参考答案】B【解析】SSL/TLS工作在传输层（TCP）之上、应用层之下，为多种应用协议（如HTTP、FTP、SMTP）提供安全通道，不仅限于HTTP。它采用混合加密：握手阶段用非对称加密协商密钥，数据传输用对称加密。证书用于验证服务器身份，防止中间人攻击。因此，A、C、D均错误，B正确描述了其层级位置。故选B。21.【参考答案】B【解析】根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），不同等级的信息系统有不同的测评要求。第二级系统建议每两年进行一次测评，而第三级及以上系统必须每年至少进行一次等级测评。这是为了确保高等级系统在面对不断变化的网络威胁时，其安全防护能力持续符合国家标准。因此，第三级信息系统的测评周期至少为一年一次。选项A过于频繁，非强制要求；选项C和D周期过长，不符合三级系统的高安全需求。故正确答案为B。22.【参考答案】C【解析】加密算法主要分为对称加密和非对称加密。对称加密使用同一密钥进行加解密，如AES、DES和国密SM4，其特点是速度快，适合大量数据加密。非对称加密使用公钥和私钥配对，如RSA、ECC和国密SM2，其特点是安全性高，适合密钥交换和数字签名。RSA是基于大整数分解难题的经典非对称算法。题目要求选出非对称加密算法，AES、DES、SM4均为对称算法，只有RSA符合。故正确答案为C。23.【参考答案】B【解析】SQL注入是由于用户输入的数据被当作代码执行导致的。虽然过滤特殊字符、限制输入长度和隐藏报错信息能在一定程度上增加攻击难度，但都可能被绕过。使用预编译语句（ParameterizedQueries）将SQL结构与数据分离，数据库引擎会先编译SQL模板，再传入参数，从根本上杜绝了数据被解释为代码的可能，是目前公认最有效的防御手段。故正确答案为B。24.【参考答案】C【解析】分布式拒绝服务（DDoS）攻击通过控制大量僵尸主机向目标发送海量请求，旨在耗尽目标的带宽、计算或连接资源，导致合法用户无法访问服务。攻击层面多样，包括网络层（如SYNFlood）、传输层和应用层（如HTTPFlood）。因此，“仅针对网络层”的说法是错误的，应用层攻击同样常见且难以防御。其他选项均准确描述了DDoS的特征。故正确答案为C。25.【参考答案】B【解析】PKI体系核心组件包括认证中心（CA）、注册中心（RA）等。CA（CertificateAuthority）是受信任的第三方机构，负责签发、管理和吊销数字证书，确保证书持有者身份的真实性。RA负责审核用户身份并向CA提交申请，但不直接发证。KMC是密钥管理中心，OCSP是在线证书状态协议，用于查询证书状态。因此，直接负责颁发证书的是CA。故正确答案为B。26.【参考答案】C【解析】社会工程学利用人性弱点（如信任、好奇、恐惧）而非技术漏洞来获取敏感信息。钓鱼邮件、借口伪装（编造理由骗取信息）、尾随进入（物理入侵）均属于此类。缓冲区溢出则是利用软件程序设计缺陷，通过向缓冲区写入超出其长度的数据来破坏程序运行，属于典型的技术型漏洞利用，与社会工程学无关。故正确答案为C。27.【参考答案】C【解析】零信任架构的核心理念是“永不信任，始终验证”。它打破了传统基于网络边界的信任模型，认为内外网均不安全。无论用户位于内网还是外网，每次访问资源前都必须进行严格的身份认证和权限校验，且需持续监控会话状态。选项A、B是传统边界安全模型的误区，选项D片面理解了零信任的范围。故正确答案为C。28.【参考答案】B【解析】ps-ef用于查看进程快照，ifconfig用于配置和显示网络接口参数，top用于实时监控系统性能。netstat-tulpn命令中，-t显示TCP连接，-u显示UDP连接，-l显示监听状态，-p显示关联的进程ID和名称，-n以数字形式显示地址和端口。该组合能清晰展示开放端口及其占用进程，是排查网络服务的常用命令。故正确答案为B。29.【参考答案】A【解析】完全备份每次都将所有选中数据完整复制，恢复时只需读取最新的一次备份集，步骤最少，速度最快。但由于每次全量复制，数据冗余度高，存储空间占用最大，备份时间也最长。增量备份只备份上次备份后变化的数据，节省空间但恢复需依次还原所有增量包，速度慢。差异备份介于两者之间。故正确答案为A。30.【参考答案】B【解析】《中华人民共和国个人信息保护法》第二十九条规定，处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。敏感个人信息一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或人身、财产安全受到危害。因此，法律要求更高的授权标准，即“单独同意”，而非捆绑式的一般同意或默示同意。故正确答案为B。31.【参考答案】ABCD【解析】根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），安全通用要求的技术部分主要涵盖四个层面：安全物理环境、安全通信网络、安全区域边界以及安全计算环境。此外，还包括一个管理层面的“安全管理中心”，用于集中管控。虽然安全管理中心常被视为独立模块，但在整体技术架构体系中，它与前三者共同构成技术防护体系的核心支柱。因此，这四个选项均属于等级保护2.0中技术及相关管控的关键组成部分，旨在构建纵深防御体系。32.【参考答案】ABCD【解析】《中华人民共和国网络安全法》第二十七条明确规定，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能及其防护措施等活动；不得提供专门用于从事侵入网络、干扰网络正常功能及其防护措施的程序或者工具；不得明知他人从事危害网络安全的活动，为其提供技术支持、广告推广、支付结算等帮助。同时，窃取网络数据也是严重违法行为。因此，所有选项均属于法律明令禁止的危害网络安全行为，违反者将承担相应的法律责任。33.【参考答案】ABD【解析】对称加密算法是指加密和解密使用相同密钥的算法。AES（高级加密标准）和DES（数据加密标准）是国际通用的经典对称加密算法。SM4是中国国家密码管理局发布的无线局域网标准的分组数据算法，也属于对称加密算法。而RSA是一种非对称加密算法，基于大数分解的数学难题，使用公钥和私钥配对进行加密和解密，不属于对称加密范畴。因此，正确答案为AES、DES和SM4。34.【参考答案】ABC【解析】SQL注入主要通过构造恶意输入操纵数据库查询。A项使用预编译语句可以将SQL代码与数据分离，从根本上防止注入；B项对输入进行严格过滤和类型检查能拦截非法字符；C项合理使用存储过程也能在一定程度上隔离SQL逻辑。然而，D项仅在前端限制输入是不可靠的，因为攻击者可以绕过前端直接向后端发送请求，后端必须进行同样的验证。因此，有效的防御措施包括A、B、C。35.【参考答案】ABCD【解析】PDCERF是网络安全应急响应常用的六阶段模型，分别代表：准备（Preparation）、检测（Detection）、抑制（Containment）、根除（Eradication）、恢复（Recovery）和跟踪（Follow-up）。选项中A、B、C、D均准确对应了该模型的前四个及第五个关键阶段。准备阶段涉及资源和预案建立；检测阶段发现安全事件；抑制阶段限制事件扩散；恢复阶段将系统恢复正常运行。这四个选项均为应急响应的核心环节。36.【参考答案】ABC【解析】DDoS攻击的核心目的是通过海量流量耗尽目标资源，使其无法响应合法用户请求（A正确）。攻击者通常控制大量傀儡机（僵尸网络）协同发动攻击（B正确）。SYNFlood利用TCP三次握手缺陷，发送大量半连接请求，是典型的DDoS手段（C正确）。然而，单纯增加带宽不能完全免疫DDoS，因为应用层攻击或协议漏洞攻击不单纯依赖流量大小，且超大流量可能超出任何单一链路的承载极限，需结合清洗设备等综合防护（D错误）。37.【参考答案】ABC【解析】跨站脚本攻击（XSS）根据恶意脚本存储和触发方式的不同，主要分为三类：反射型XSS（非持久化，通过URL参数触发）、存储型XSS（持久化，脚本存储在服务器数据库中）和DOM型XSS（基于文档对象模型的修改，不经过服务器端处理）。D项“SQL型XSS”概念错误，SQL相关的是SQL注入攻击，与XSS是两种不同的漏洞类型。因此，正确答案为A、B、C。38.【参考答案】ABCD【解析】PKI体系中，CA（CertificateAuthority）是受信任的第三方，负责验证实体身份并签发数字证书（A正确）。数字证书的核心内容包含持有者的身份信息及其公钥（B正确）。在非对称加密体系中，私钥必须由持有者严格保密，一旦泄露将导致身份被冒充或数据被解密（C正确）。数字证书既可用于验证通信双方身份（身份认证），也可配合公钥算法实现数据加密传输（D正确）。因此，所有选项均正确。39.【参考答案】ABCD【解析】提升终端安全需要多层级防护。A项防病毒软件可查杀恶意代码；B项及时打补丁能修复已知漏洞，防止被利用；C项管控USB设备可防止恶意程序通过移动介质传入或数据泄露；D项强密码策略能有效抵御暴力破解和口令猜测攻击。这四项措施分别从恶意代码防护、漏洞管理、外设控制和访问控制四个维度增强了终端的安全性，均为最佳实践。40.【参考答案】ABC【解析】云计算安全遵循责任共担原则。云服务商（CSP）负责“云的安全”，即底层基础设施（物理设施、网络、虚拟化层等）的安全（A正确）。用户负责“云中的安全”，包括数据分类、身份管理、操作系统配置及应用安全（B正确）。在IaaS（基础设施即服务）模式中，云商提供基础资源，用户需自行管理操作系统、中间件、应用及数据（C正确）。D项错误，用户绝非无需操心，反而需承担重要的配置和数据安全责任。41.【参考答案】ACD【解析】应用层直接为用户的应用进程提供服务。HTTP（超文本传输协议）用于Web浏览，FTP（文件传输协议）用于文件交换，DNS（域名系统）用于域名解析，三者均位于应用层。TCP（传输控制协议）位于传输层，负责提供可靠的端到端通信服务，不属于应用层。因此，正确选项为A、C、D。42.【参考答案】AB【解析】AES（高级加密标准）是典型的对称加密算法，加密解密使用同一密钥，速度快但密钥分发管理困难。RSA是典型的非对称加密算法，使用公钥和私钥，解决了密钥分发问题，但计算量大，速度远慢于对称加密。因此，对称加密密钥管理相对简单（仅需保管好共享密钥），而非对称加密速度慢。故A、B正确，C、D错误。43.【参考答案】ABD【解析】SQL注入源于用户输入被当作代码执行。使用预编译语句（A）和ORM框架（D）能从根本上分离代码与数据，是最有效的防御手段。严格过滤输入（B）也能减少风险。关闭错误回显（C）虽能增加攻击者难度，属于纵深防御的一环，但不能根本阻止注入发生，不过在实际安全加固中常被视为必要措施，但在核心防御机制中，ABD更为关键且直接有效。若视C为辅助手段，通常多选题中ABD为核心考点，部分标准也将C纳入综合防护体系。此处依据核心防御原理选ABD，若强调综合防护可选ABCD。鉴于“有效防范”，ABD为技术核心。44.【参考答案】ABC【解析】TCP三次握手建立连接：客户端发送SYN，进入SYN_SENT状态；服务端收到SYN发送SYN+ACK，进入SYN_RCVD状态；客户端收到SYN+ACK发送ACK，双方进入ESTABLISHED状态。TIME_WAIT是主动关闭连接方在四次挥手后进入的状态，不属于握手过程。因此，正确选项为A、B、C。45.【参考答案】ABC【解析】OWASPTop10聚焦于Web应用层面的软件安全风险。XSS（A）、CSRF（B）和IDOR（C，现常归类为访问控制失效）均为典型的Web应用逻辑或代码缺陷。物理服务器被盗（D）属于物理安全风险，不在Web应用安全漏洞范畴内。因此，正确选项为A、B、C。46.【参考答案】B【解析】错误。安全风险由资产价值、威胁发生的可能性和脆弱性严重程度共同决定。即使资产价值高，若防护措施完善（脆弱性低）或威胁源极少（可能性低），整体风险也可能较低。反之，低价值资产若存在严重漏洞且暴露于高频攻击下，风险也可能很高。因此，不能仅凭资产价值单一维度判定风险大小，需综合评估三要素。47.【参考答案】A【解析】正确。对称加密算法确实使用同一密钥进行加解密，运算速度快