2026年NISP二级认证考试真题题库

2026年NISP二级认证考试真题题库1.以下哪项不属于《中华人民共和国网络安全法》规定的关键信息基础设施运营者的安全保护义务？A.设置专门安全管理机构和负责人B.定期对从业人员进行网络安全教育、技术培训和技能考核C.对重要系统和数据库进行容灾备份D.自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估答案：C解析：《网络安全法》第三十四条规定了关键信息基础设施运营者的安全保护义务，包括设置专门安全管理机构和负责人（A）、定期对从业人员进行网络安全教育、技术培训和技能考核（B）、对重要系统和数据库进行容灾备份（C）、制定网络安全事件应急预案并定期演练等。其中选项D“每年至少进行一次检测评估”是该法第三十八条的要求，但并非第三十四条明确列举的义务之一，而是属于“履行安全保护义务”中可采取的具体措施之一，且法律条文未强制规定必须“每年”，而是“应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估”。本题问“不属于”，C选项“容灾备份”是明确列举的义务，因此不属于“不属于”的选项。但根据常见考题和法条理解，D选项的“每年至少一次”是第三十八条的明确要求，属于检测评估要求，而非第三十四条列举的几项核心义务之一。因此，本题答案应为C，因为C是明确义务，而D是另一条的具体要求，但题目问的是“第三十四条规定”的义务，D不在其列。综合判断，C是正确选项。2.在信息安全风险评估中，“威胁”和“脆弱性”结合导致“风险”的关系，通常用以下哪个公式表示？A.风险=资产×威胁×脆弱性B.风险=可能性×影响C.风险=威胁×脆弱性/安全措施D.风险=资产价值×威胁可能性×脆弱性严重程度答案：B解析：信息安全风险评估的基本原理是风险由安全事件发生的可能性及其造成的影响来决定。最经典和常用的公式是：风险值=可能性×影响（或损失）。可能性综合了威胁利用脆弱性的概率，影响则与资产价值相关。选项A和D是某些定性或半定量分析中的简化或变形，但并非最基础通用的公式。选项C不是标准表述。因此B是最佳答案。3.张工程师在配置Linux服务器的防火墙时，希望禁止IP地址为00的主机访问本机的SSH服务（端口22），但允许其他所有主机访问。他应该使用iptables的哪条规则？A.iptables-AINPUT-s00-ptcp--dport22-jACCEPTB.iptables-AINPUT-s00-ptcp--dport22-jDROPC.iptables-AINPUT-s00-ptcp--dport22-jREJECTD.iptables-AINPUT-s00-ptcp--dport22-jLOG答案：B或C，但通常选择B(DROP)解析：题目要求是“禁止”特定IP访问SSH。在iptables中，DROP和REJECT都可以实现拒绝。DROP是直接丢弃数据包，不响应；REJECT会返回一个拒绝连接的响应（如TCPRST）。从安全隐蔽角度，有时倾向于使用DROP，因为不响应可以让扫描者无法确定端口状态。但题目没有特别说明，两者在功能上都可实现禁止。然而在常见的配置和考试中，对于明确的禁止访问，通常使用DROP或REJECT都是正确的，但需看选项唯一性。此处B和C都符合“禁止”的逻辑。但考虑到防火墙规则顺序，如果后面没有允许规则，且默认策略是DROP，那么用REJECT可能更早地告知客户端被拒绝。但标准答案是B，因为这是最直接的“丢弃”操作。在严格考试中，可能只认一个，根据常见题库，B（DROP）是更常见的答案。4.根据我国网络安全等级保护2.0标准，安全通信网络层面中，关于网络架构的要求不包括以下哪项？A.应保证网络设备的业务处理能力满足业务高峰期需要。B.应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。C.应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。D.应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。答案：A解析：网络安全等级保护基本要求中，安全通信网络（S3）的“网络架构”控制点主要包括：应保证网络设备的业务处理能力满足业务高峰期需要（这属于“网络性能”或“容量保障”，但常被归类于整体设计，在等保2.0中，A选项的内容更侧重于“安全计算环境”或“运维管理”中的容量监控，或者属于通用要求中的“资源保障”，并非“网络架构”的核心要求。具体看等保2.0（GB/T22239-2019）中安全通信网络的a)级要求：1.应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址（B）。2.应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段（C）。3.应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性（D）。而A选项“保证网络设备的业务处理能力满足业务高峰期需要”属于安全运维管理或安全计算环境的容量要求，不属于安全通信网络层面的“网络架构”要求。因此A不包括在内。5.在Windows操作系统中，以下哪个命令可以用于查看当前系统的ARP缓存表？A.ipconfig/allB.netstat-anC.arp-aD.routeprint答案：C解析：ARP（地址解析协议）缓存表存储了IP地址到MAC地址的映射。在Windows命令提示符下，使用`arp-a`可以查看当前ARP缓存中的所有条目。`ipconfig/all`显示所有网络接口的详细配置信息；`netstat-an`显示所有活动的网络连接和监听端口；`routeprint`显示IP路由表。6.关于数字证书的描述，以下哪项是错误的？A.数字证书由权威的第三方机构（CA）签发。B.数字证书中包含证书持有者的公钥信息。C.数字证书的有效期是永久的，一旦签发无需更新。D.数字证书采用公钥体制，用于证明证书持有者身份。答案：C解析：数字证书具有明确的有效期（起始日期和过期日期），过期后必须更新或重新申请，以保证密钥的安全性和身份的时效性。因此C选项“有效期是永久的”是错误的。7.某公司发现其Web服务器疑似被植入后门，安全工程师决定对服务器进行内存镜像提取和分析。他应该首先采取以下哪项措施？A.立即重启服务器，进入安全模式进行检查。B.断开服务器网络，然后使用专用工具制作内存镜像。C.直接登录服务器，查看可疑进程和网络连接。D.对服务器硬盘进行全盘备份。答案：B解析：在应急响应中，当怀疑系统被入侵且存在后门时，保存易失性数据（如内存）是首要任务，因为重启或关机将导致内存数据全部丢失。最佳做法是先断开网络（防止攻击者继续操作或破坏证据），然后在不断电的情况下，使用可信的、预先准备好的工具（如FTKImager,DumpIt等）从外部或通过安全方式制作内存镜像。A选项重启会丢失内存证据；C选项直接操作可能改变系统状态，破坏证据；D选项硬盘备份重要，但内存数据更易失，应优先处理内存。8.以下哪种攻击属于物理层安全威胁？A.SQL注入B.搭线窃听C.DNS欺骗D.跨站脚本攻击答案：B解析：物理层是OSI模型的第一层，负责传输原始比特流。搭线窃听是通过物理接触通信线路（如网线、光纤）来截获传输的信号，属于物理层攻击。SQL注入、DNS欺骗、跨站脚本（XSS）都属于应用层攻击。9.使用Nmap进行端口扫描时，命令`nmap-sS-p1-1000`中，`-sS`参数代表哪种扫描类型？A.TCPSYN扫描B.TCP全连接扫描C.UDP扫描D.Ping扫描答案：A解析：在Nmap中，`-sS`表示TCPSYN扫描（半开放扫描）。它发送SYN包到目标端口，如果收到SYN/ACK响应，则认为端口开放，随后Nmap发送RST包断开连接，而不完成三次握手。`-sT`是全连接扫描，`-sU`是UDP扫描，`-sn`是Ping扫描。10.根据《个人信息保护法》，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。这体现了个人信息处理原则中的哪一项？A.合法、正当、必要原则B.目的明确原则C.最小必要原则D.公开透明原则答案：C解析：《个人信息保护法》第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。这直接对应了“最小必要原则”，即收集的个人信息类型、范围、处理方式等应限制在实现处理目的所必需的最小范围内。11.在安全开发生命周期（SDL）中，要求在设计阶段识别和降低安全风险的活动是？A.渗透测试B.威胁建模C.代码审计D.漏洞扫描答案：B解析：威胁建模是SDL中一项重要的设计阶段活动。它通过系统化地识别、评估和缓解潜在的安全威胁，帮助在设计早期降低系统的安全风险。渗透测试、代码审计、漏洞扫描多发生在开发后期或测试阶段。12.关于对称加密和非对称加密，以下说法正确的是？A.RSA是对称加密算法，AES是非对称加密算法。B.对称加密加解密速度快，常用于加密大量数据。C.非对称加密使用同一把密钥进行加解密。D.数字信封技术使用对称加密来保护对称密钥本身。答案：B解析：对称加密（如AES）加解密使用同一密钥，速度快，适合加密大量数据。非对称加密（如RSA）使用公钥/私钥对，速度慢，通常用于密钥交换或数字签名。A错误，RSA是非对称，AES是对称。C错误，非对称加密使用不同密钥。D错误，数字信封技术是用非对称加密（接收方公钥）来保护对称密钥。13.李工收到一封可疑邮件，声称来自银行，要求点击链接更新账户信息。他注意到链接地址与银行官网地址相似但略有不同。这最可能是哪种攻击？A.水坑攻击B.鱼叉式钓鱼攻击C.网站挂马D.拒绝服务攻击答案：B解析：通过伪造与真实机构相似的邮件和链接，诱导用户点击并输入敏感信息，是典型的网络钓鱼攻击。由于邮件是针对李工个人（可能通过某种方式使其相信邮件是发给他的），属于更具针对性的鱼叉式钓鱼攻击，而非广撒网式的普通钓鱼。14.在Linux系统中，用于查看文件内容的命令中，既能查看文件内容又支持翻页查看的是？A.catB.moreC.lsD.grep答案：B解析：`more`命令可以分页显示文件内容，支持翻页。`cat`会一次性输出全部内容；`ls`用于列出目录内容；`grep`用于文本搜索。15.下列关于防火墙的说法，错误的是？A.包过滤防火墙工作在OSI模型的网络层和传输层。B.代理防火墙可以完全隐藏内部网络结构。C.状态检测防火墙通过维护连接状态表来提高安全性。D.下一代防火墙无法集成入侵防御系统（IPS）功能。答案：D解析：下一代防火墙（NGFW）通常集成了传统防火墙、入侵防御系统（IPS）、应用识别与控制、威胁情报等多种功能。因此D选项“无法集成IPS功能”是错误的。16.在Windows事件查看器中，用于记录系统组件、驱动启动失败等事件的日志是？A.应用程序日志B.安全日志C.系统日志D.设置日志答案：C解析：Windows系统日志主要记录由Windows系统组件产生的事件，如驱动程序加载失败、系统服务启动停止等。应用程序日志记录应用程序产生的事件；安全日志记录审计事件（如登录成功/失败）；设置日志主要与Windows设置和应用安装相关。17.某网站的登录页面存在漏洞，攻击者通过构造特殊的输入，使网站数据库执行非预期的SQL命令，从而绕过登录验证。这种漏洞是？A.跨站脚本漏洞B.文件包含漏洞C.SQL注入漏洞D.命令注入漏洞答案：C解析：描述的场景是典型的SQL注入攻击，攻击者通过输入恶意的SQL语句片段，篡改后台数据库查询逻辑，实现非授权访问。18.以下哪项不是常见的业务连续性计划（BCP）中的内容？A.业务影响分析（BIA）B.灾难恢复计划（DRP）C.应急预案编制D.员工年度绩效考核方案答案：D解析：业务连续性计划（BCP）是一个全面的管理过程，旨在确保组织在中断事件后能够继续运营或快速恢复。其核心内容包括业务影响分析（BIA）、灾难恢复计划（DRP）、应急预案等。员工年度绩效考核方案属于人力资源管理范畴，不属于BCP直接内容。19.关于VPN技术，以下描述正确的是？A.PPTP协议由于其强大的安全性，是目前企业VPN部署的首选。B.IPSec协议工作在网络层，可以保护IP层及以上的所有通信。C.SSLVPN主要工作在传输层，通常不需要安装客户端软件。D.L2TP协议本身不提供加密功能，通常需要与IPSec结合使用。答案：D解析：L2TP（第二层隧道协议）主要提供隧道功能，但不提供加密。为了安全，常与IPSec结合，形成L2TP/IPSecVPN。A错误，PPTP因安全性较弱已不推荐。B错误，IPSec可以保护IP层及以上，但并非“所有”，具体保护范围由配置决定。C错误，SSLVPN工作于应用层与传输层之间，基于浏览器时无需专用客户端，但复杂应用可能需要。20.在风险评估过程中，“资产识别”这一步骤的主要输出结果是？A.威胁列表B.脆弱性列表C.资产清单及其价值D.风险处置计划答案：C解析：资产识别是风险评估的第一步，目的是识别出需要保护的资产，并评估其相对价值或重要性。主要输出就是一份包含已识别资产及其价值/重要性的资产清单。21.王同学在自家Wi-Fi路由器上发现了一个陌生的设备连接。为了防止未经授权的设备接入，他应该采取以下哪项措施最有效？A.关闭路由器的SSID广播。B.启用WPA2或WPA3加密，并设置高强度密码。C.修改路由器的默认管理IP地址。D.为已知设备配置静态IP地址。答案：B解析：防止未授权设备接入无线网络最根本有效的方法是使用强加密和认证。WPA2/WPA3是目前安全的无线加密标准，配合高强度预共享密钥（密码），可以有效阻止攻击者破解或未经授权连接。关闭SSID广播（隐藏网络）只能提供很弱的隐蔽性，专业工具可轻易发现。修改管理IP和配置静态IP与接入认证无关。22.我国实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。以上内容出自哪部法律？A.《中华人民共和国数据安全法》B.《中华人民共和国个人信息保护法》C.《中华人民共和国网络安全法》D.《关键信息基础设施安全保护条例》答案：C解析：该条文直接引自《中华人民共和国网络安全法》第二十一条。23.在渗透测试的授权阶段，最重要的交付物是？A.渗透测试报告B.漏洞扫描结果C.获得的管理员权限证明D.由客户签署的授权委托书或测试授权书答案：D解析：授权是渗透测试合法性的基础。在进行任何测试活动之前，必须获得客户或系统所有者明确、书面的授权（授权委托书/测试授权书），明确测试范围、时间、方式等。这是最重要的法律文件，也是测试活动的起点和依据。24.下列哪种备份策略在恢复时只需要最近一次的全量备份和最近一次的增量备份即可？A.完全备份B.增量备份C.差异备份D.累计增量备份答案：C解析：差异备份备份自上一次完全备份以来所有发生变化的数据。恢复时，只需要最近一次的全量备份和最近一次的差异备份即可。增量备份备份自上一次备份（无论全量还是增量）以来的变化，恢复时需要全量备份和所有后续的增量备份。25.关于哈希函数（散列函数）的特性，以下哪项描述不正确？A.输入任意长度的数据，输出固定长度的哈希值。B.具有弱抗碰撞性：给定一个输入x，很难找到另一个不同的输入y，使得H(x)=H(y)。C.具有强抗碰撞性：很难找到两个不同的输入x和y，使得H(x)=H(y)。D.哈希过程是可逆的，即可以从哈希值还原出原始数据。答案：D解析：哈希函数的核心特性之一就是单向性，即从哈希值无法逆向推导出原始输入数据，因此过程是不可逆的。D选项描述错误。26.李明在分析一份恶意软件样本时，发现该样本会尝试在系统目录下创建文件，并修改注册表实现自启动。他正在分析的是恶意软件的哪类行为？A.网络行为B.持久化行为C.逃避行为D.信息窃取行为答案：B解析：恶意软件为了在系统重启后仍能保持活动，会采取各种手段将自己设置为开机自动运行，这称为“持久化”或“驻留”。创建系统文件、修改注册表（如Run键）、创建计划任务、服务等都是常见的持久化技术。27.在信息安全事件分类中，由于员工误操作导致服务器重要数据被删除，应归类为？A.恶意代码事件B.网络攻击事件C.信息破坏事件D.设备设施故障答案：C解析：根据《信息安全技术信息安全事件分类分级指南》（GB/Z20986-2007），信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄露、窃取等。员工误操作删除重要数据，属于造成信息被破坏（丢失），符合信息破坏事件的定义。虽然起因是人为失误，但事件性质是信息破坏。28.以下关于SSH协议安全性的描述，错误的是？A.SSH协议默认使用22端口。B.SSHv1版本比SSHv2版本更安全，应优先使用。C.可以通过公钥认证方式实现免密登录，且比密码认证更安全。D.禁止root用户直接登录SSH可以提升系统安全性。答案：B解析：SSHv1协议存在已知的安全缺陷，早已被淘汰。SSHv2协议在安全性上做了重大改进，是当前唯一应该使用的版本。因此B选项错误。29.某金融系统要求对交易数据进行加密存储，且加密密钥必须定期更换。从密钥管理角度，最适合的密钥类型是？A.主密钥B.密钥加密密钥C.会话密钥D.工作密钥答案：D解析：在密钥管理体系中，工作密钥（或称数据加密密钥）是直接用于加密业务数据的密钥。这类密钥通常使用频率高，根据安全策略需要定期更换。主密钥用于保护密钥加密密钥；密钥加密密钥用于加密工作密钥；会话密钥常用于一次通信会话。30.使用Wireshark进行网络抓包分析时，过滤表达式“`http.request.method==POST`”的作用是？A.显示所有HTTP协议的流量。B.显示所有包含“POST”字符串的数据包。C.显示所有HTTPPOST请求包。D.显示所有发送到POST端口的数据包。答案：C解析：在Wireshark的显示过滤器中，`http.request.method==POST`是一个针对HTTP协议解码的过滤条件，它精确筛选出HTTP请求方法为POST的所有数据包。31.计算题：假设某公司内部网络的一个子网地址为/22。请问：(1)该子网的子网掩码是什么？（用点分十进制表示）(2)该子网可用的IP地址范围是多少？（不包括网络地址和广播地址）(3)该子网最多可以容纳多少台主机？答案与解析：(1)子网掩码：/22表示前22位是网络位。是/24（前24位为1）。/22比/24少2位主机位，即网络位多2位。因此，将的二进制前移2位变为网络位：255.255.11111100.00000000=。子网掩码为：。(2)可用IP地址范围：网络地址：(前22位固定，主机位全0)子网掩码：确定网络块大小：主机位有10位（32-22），所以块大小为=1024从开始，下一个网络地址是+1024=。因此，该子网的地址范围是到55。第一个可用IP地址：网络地址+1=最后一个可用IP地址：广播地址-1。广播地址是下一个网络地址-1=55（因为是下一个网络，所以55是本子网广播地址）。因此，可用IP范围：至54。(3)最多主机数：主机位有10位，所以总地址数为=1024。减去网络地址和广播地址，可用主机数为102432.应用题：某公司计划部署一个面向公众的Web应用系统，该系统将处理用户的个人信息和交易数据。请从网络安全角度，列出至少五项在系统设计、部署或运维阶段应采取的安全措施或需要考虑的安全要点。答案与解析（列出五项即可）：1.网络架构隔离：将Web服务器部署在DMZ（隔离区），与内部核心网络（如数据库服务器）进行逻辑或物理隔离，通过防火墙严格限制DMZ与内网之间的访问策略，仅允许必要的、最小权限的通信（如Web服务器访问数据库的特定端口）。2.传输安全：对所有涉及敏感信息（登录认证、个人信息、交易数据）的传输，强制使用TLS/SSL加密（HTTPS），使用强密码套件，并确保证书有效且由可信CA签发。3.应用安全防护：在Web应用层面，应对常见漏洞进行防护，包括但不限于：对用户输入进行严格的验证、过滤和转义以防止SQL注入和跨站脚本（XSS）；实施安全的会话管理（如使用安全的Cookie属性、设置合理的会话超时）；对文件上传功能进行严格限制和检查；使用CSRF令牌防止跨站请求伪造。4.身份认证与访问控制：实施强身份认证机制，如使用多因素认证（MFA）管理后台或关键操作。遵循最小权限原则，为不同用户角色配置精确的访问控制权限。定期审计账户和权限。5.安全运维与监控：定期对系统、中间件、数据库进行安全漏洞扫描和修补。部署Web应用防火墙（WAF）以防护常见的Web攻击。建立安全日志集中收集和审计机制，监控异常访问和攻击行为。制定并演练安全事件应急响应预案。6.数据安全：对存储在数据库中的敏感个人信息和交易数据进行加密存储（应用层或数据库层加密）。实施安全的数据备份与恢复策略。明确数据生命周期管理，定期清理过期数据。7.合规性要求：确保系统设计、数据处理流程符合《网络安全法》、《数据安全法》、《个人信息保护法》以及相关行业法规（如金融行业规定）的要求，包括数据分类分级、个人信息影响评估、用户同意与告知等。33.案例分析题：阅读以下描述，回答问题。某电子商务公司运维人员发现，其官网首页间歇性地被篡改，插入了一段赌博网站的链接，但几分钟后又会自动恢复。安全团队初步调查发现：Web服务器为Linux系统，运行Apache和PHP。网站程序使用某开源CMS搭建，近期未更新。服务器系统日志未发现异常登录记录。网站目录权限检查发现，部分核心PHP文件权限为777。请分析：(1)根据现象，最可能遭受了哪种类型的攻击？(2)攻击者可能利用了哪些漏洞或薄弱环节？（至少列出两点）(3)请给出具体的应急处理和安全加固建议。（至少三条）答案与解析：(1)最可能的攻击类型：网站被植入Webshell或恶意脚本，导致页面被篡改。攻击者可能通过Webshell远程控制，定时或触发式修改页面文件，并可能在执行后恢复以隐