2026年网络安全工程师（等保、攻防）试题及答案

2026年网络安全工程师（等保、攻防）试题及答案1.依据2024年修订发布的《网络安全等级保护测评要求》，第三级网络运营者应当至少每（）开展一次等级保护测评？A.6个月B.12个月C.18个月D.24个月答案：B解析：修订后的等保2.0测评要求明确，第三级网络每12个月内至少开展1次测评，第四级网络每6个月内至少开展1次测评，第二级网络每24个月内至少开展1次测评，选项B符合要求。2.2026年常见AIGC生成的定向钓鱼邮件与传统钓鱼邮件相比，最核心的差异特征是？A.携带恶意附件B.仿冒公检法发件人C.精准匹配收件人近3个月公开社交、工作内容细节D.包含钓鱼跳转链接答案：C解析：传统钓鱼邮件多为广撒网模式，仅能实现发件人身份、通用话术仿冒，AIGC驱动的定向钓鱼可通过爬取收件人全网公开的社交动态、工作披露内容、项目参与信息生成高度定制化的话术，迷惑性提升400%以上，选项C为核心差异。3.等保三级系统针对大模型API调用的强制安全要求不包含以下哪项？A.对输入prompt进行敏感词、注入特征检测B.对大模型输出内容进行涉敏、涉毒、涉诈内容校验C.必须使用国产化大模型服务D.记录所有API调用日志并留存不少于6个月答案：C解析：等保修订版中并未强制要求三级系统必须使用国产化大模型，仅要求核心业务系统使用的大模型服务需满足供应链安全要求，选项A、B、D均为三级系统大模型调用的强制要求。4.攻防演练中，攻击者利用HTTP/3QUIC协议分片传输恶意payload绕过传统WAF的场景下，以下哪种防护手段有效性最高？A.封禁QUIC协议端口B.部署支持HTTP/3全流量解码的下一代WAFC.增加IPS规则匹配payload特征D.限制单IP请求频率答案：B解析：HTTP/3基于QUIC协议传输，传输层采用加密分片模式，传统WAF无法解码QUIC流量，仅能通过端口封禁一刀切影响正常业务，支持HTTP/3全流量解码的下一代WAF可还原分片payload完成特征匹配，是最优解决方案。5.第三级系统存储的敏感个人数据出境前，以下哪项是法定前置流程？A.取得行业主管部门同意即可B.开展数据出境安全评估并取得省级以上网信部门出具的评估通过意见C.告知数据主体即可D.完成数据脱敏即可答案：B解析：依据《数据出境安全评估办法》，处理100万人以上个人信息的网络运营者、等保三级及以上网络运营者向境外提供敏感个人数据的，必须申报数据出境安全评估，取得网信部门通过意见后方可出境，选项B符合法定要求。6.以下哪种漏洞属于2025年披露的Linux内核netfilter子系统本地权限提升漏洞，常被攻击者用于服务器提权？A.CVE-2025-3217B.CVE-2021-41773C.CVE-2022-23222D.CVE-2023-4911答案：A解析：CVE-2025-3217是2025年3月披露的Linux内核netfilternf_tables模块存在的边界写入漏洞，普通用户可通过构造特殊的netlink请求获取root权限，影响Linux5.15-6.8全系列内核，是2026年攻防场景中最常见的提权漏洞，其余选项漏洞披露时间均早于2024年。7.等保三级系统中关于零信任访问控制的强制要求是？A.所有访问请求必须经过身份认证、权限校验、环境校验三重验证B.必须部署零信任网关替代传统VPNC.必须使用生物识别作为唯一身份认证方式D.内部网络互访无需做访问控制答案：A解析：等保修订版明确三级及以上系统需落实“永不信任、始终验证”的零信任核心原则，所有访问请求需完成身份、权限、环境三重校验，其余选项均为非强制要求，且表述过于绝对。1.车联网等保三级系统的特殊安全要求包含以下哪些？A.车端T-BOX通信传输需采用国密SM2/SM4加密B.车端固件升级需做签名校验，防止恶意刷入C.车辆行驶数据需留存不少于180天D.车机系统禁用所有第三方APP安装权限答案：ABC解析：依据《车联网网络安全等级保护扩展要求》，三级车联网系统需落实车端通信国密加密、固件升级签名校验、行驶数据留存不少于180天的要求，仅禁止未备案的第三方APP安装，并非完全禁用所有第三方APP，选项D错误。2.攻防演练中蓝队溯源攻击者身份的常用技术手段包含？A.反向追踪攻击IP的真实归属地、IDC信息B.分析攻击者留下的webshell样本中的特征码、作者水印C.蜜罐捕获攻击者的社交账号、设备指纹信息D.破解攻击者使用的加密VPN隧道获取访问日志答案：ABC解析：加密VPN隧道采用高强度加密算法，无密钥前提下无法破解获取内部日志，选项D不符合技术可行性，其余选项均为蓝队溯源的常规技术手段。3.针对大模型prompt注入攻击，常见的防护措施包含？A.对输入prompt进行前缀、后缀恶意指令特征匹配B.部署prompt防火墙对用户输入进行语义分析，识别绕过式注入指令C.限制大模型仅能访问预设的知识库内容，禁止输出未授权范围的数据D.完全禁止用户输入自定义内容答案：ABC解析：完全禁止用户输入自定义内容会丧失大模型的交互价值，不属于合理防护措施，其余选项均为当前主流的prompt注入防护手段。4.等保三级系统的日志留存要求包含以下哪些？A.网络设备、安全设备日志留存不少于6个月B.业务操作日志、数据库审计日志留存不少于6个月C.云平台操作日志、API调用日志留存不少于6个月D.终端用户上网日志留存不少于12个月答案：ABC解析：等保2.0修订版要求所有日志留存时间不少于6个月，终端上网日志留存12个月是《网络安全法》针对ISP的要求，并非通用等保三级系统的强制要求，选项D错误。5.以下哪些属于攻防演练中红队常见的横向移动技术？A.利用Pass-the-Hash传递NTLM哈希访问域内主机B.利用SMB永恒之蓝漏洞扫描内网主机批量获取权限C.利用已控制的域控服务器下发组策略脚本在全域主机执行恶意代码D.利用社会工程学诱骗企业员工点击钓鱼链接获取初始权限答案：ABC解析：社会工程学获取初始权限属于打点阶段的技术，不属于横向移动阶段，横向移动是指攻击者获取初始权限后在内网扩散访问的行为，选项A、B、C均符合横向移动的定义。某省政务服务平台为等保三级系统，2026年攻防演练中被红队成功入侵，事件复盘信息如下：1.红队通过爬取政务平台公开的项目招标信息、运维人员公开社交动态，用AIGC生成了高度定制化的钓鱼邮件，运维人员点击附件后被控，获取了运维跳板机的普通权限；2.红队利用CVE-2025-3217漏洞提权获取跳板机root权限，查找到存储在跳板机明文保存的云平台AK/SK；3.红队通过AK/SK访问云平台管理接口，关闭了数据库的WAF防护规则，直接导出了120万条公民敏感个人信息；4.整个攻击过程中，平台的入侵检测系统未产生任何告警，日志仅留存了3个月。请回答以下问题：1.该政务平台违反了等保2.0修订版的哪些具体要求？答案：①安全管理层面：违反了运维人员安全意识培训要求，未定期开展钓鱼演练；违反了身份鉴别要求，明文存储云平台AK/SK等敏感凭证；违反了安全运维要求，未对运维跳板机的权限做最小化配置。②安全技术层面：违反了边界防护要求，未部署支持AIGC钓鱼检测的邮件安全网关；违反了入侵防范要求，未针对已知高风险漏洞CVE-2025-3217完成补丁修复，未部署支持异常行为识别的入侵检测系统；违反了数据安全要求，未对公民敏感个人数据做加密存储；违反了日志留存要求，日志留存时间不足6个月。2.请梳理完整的攻击链流程？答案：攻击链分为5个阶段：①信息收集阶段：红队爬取政务平台公开的项目信息、运维人员社交动态，收集目标人员身份、岗位、联系方式等信息。②初始打点阶段：基于收集到的信息生成AIGC定制化钓鱼邮件，诱骗运维人员点击附件获取跳板机普通用户权限。③权限提升阶段：利用CVE-2025-3217内核漏洞完成本地提权，获取跳板机root权限。④内网扩散阶段：读取跳板机明文存储的云平台AK/SK，访问云平台管理接口关闭安全防护规则。⑤数据窃取阶段：直接访问数据库导出120万条公民敏感个人数据，完成攻击。3.请列出针对性的整改措施？答案：①技术整改：1.部署支持AIGC钓鱼特征检测的邮件安全网关，对所有传入邮件做恶意附件、钓鱼话术识别；2.一周内完成所有服务器的CVE-2025-3217漏洞补丁升级，暂时无法升级的部署主机IPS规则拦截漏洞利用请求；3.对所有敏感凭证做加密存储，云平台AK/SK启用动态轮换机制，有效期不超过7天；4.升级入侵检测系统，新增异常运维行为、AK/SK异常调用的告警规则；5.对数据库存储的敏感个人数据采用国密SM4算法加密，部署数据库审计系统对所有数据库访问请求做实时监控；6.扩容日志存储容量，确保所有日志留存时间不少于6个月。②管理整改：1.每季度开展一次运维人员安全意识培训和钓鱼演练，考核合格后方可上岗；2.制定漏洞生命周期管理流程，高危漏洞需在72小时内完成修复；3.落实最小权限原则，运维跳板机仅开放必要的权限，禁止root用户直接登录。场景：某企业内部ERP系统为等保三级系统，部署在Ubuntu22.04LTS服务器集群上，内核版本为5.15.0-78-generic，存在未授权访问漏洞，红队已通过该漏洞获取到服务器的普通用户权限（用户名为erpuser）。请完成以下任务：1.写出红队从普通用户权限提权到root权限的具体操作步骤？答案：①首先验证内核版本是否存在CVE-2025-3217漏洞，执行命令uname-r确认内核版本为5.15.0-78-generic，属于受影响范围；②将提前编译好的漏洞利用exp文件通过未授权访问的文件上传接口上传到服务器/tmp目录，赋予执行权限：chmod+x/tmp/CVE-2025-3217.elf；③执行漏洞利用程序：./tmp/CVE-2025-3217.elf，程序触发netfilter子系统的边界写入漏洞，修改进程的uid和gid为0；④执行whoami命令验证，返回root即提权成功。2.该ERP系统当前处于等保测评准备阶段，请列出测评前需要完成的核心整改点？答案：①技术层面整改：1.修复未授权访问漏洞，对所有接口添加身份认证校验；2.升级内核版本到5.15.0-120-generic及以上，修复CVE-2025-3217等已知高风险漏洞；3.部署边界防火墙、WAF、IPS、数据库审计、日志审计等安全设备，覆盖等保三级要求的所有技术控制点；4.启用访问控制策略，ERP系统端口仅对办公网IP段开放，数据库端口仅对ERP应用服务器开放；5.所有运维操作启用双因子认证，禁止明文存储密码、AK/SK等敏感凭证；6.所有日志配置留存不少于6个月，敏感操作日志配置实时告警。②管理层面整改：1.完成等保定级备案，取得公安机关出具的备案证明；2.建立完善的安全管理制度，包含人员安全、系统运维、漏洞管理、应急响应等制度文件；3.每季度开展一次漏洞扫描和渗透测试，每年开展至少一次应急演练；4.所有运维人员、安全管理人员经过等保相关培训，考核合格后方可上岗。3.针对CVE-2025-3217漏洞，列出临时防护方案和永久修复方案？答案：临时防护方案：①部署主机IPS规则，拦截普通用户发送的netlinknf_tab