2026年安全运维测试题及答案

2026年安全运维测试题及答案

一、单项选择题（每题2分，共20分）1.在零信任架构中，对每一次访问请求都必须先完成的动作是A.端口扫描 B.身份验证 C.流量镜像 D.基线核查2.针对Linux系统，若需禁止普通用户通过Ctrl+Alt+Del重启主机，应修改的文件是A./etc/inittab B./etc/securetty C./etc/systemd/system/ctrl-alt-del.target D./etc/rc.local3.当发现Web日志中出现大量“../”字符串时，最可能发生的攻击类型是A.SQL注入 B.目录遍历 C.命令执行 D.XXE4.在WindowsServer2025中，用于强制审计特权使用的组策略设置项位于A.计算机配置→策略→Windows设置→安全设置→本地策略→用户权限分配B.计算机配置→策略→Windows设置→安全设置→高级审核策略→对象访问C.计算机配置→策略→Windows设置→安全设置→高级审核策略→特权使用D.计算机配置→策略→管理模板→系统→审核5.对容器镜像进行安全扫描时，优先关注的CVE评分阈值通常设定为A.3.0 B.5.0 C.7.0 D.9.06.在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制是A.RSA B.DH C.ECDHE D.PSK7.若需对AWSS3Bucket实施“仅允许公司内网IP上传”策略，应配合的云服务是A.CloudHSM B.VPCEndpoint C.IAMRole D.KMS8.当防火墙规则出现“ShadowRule”时，其含义是A.规则被恶意隐藏 B.规则顺序导致部分规则永不匹配C.规则被加密 D.规则匹配流量为零9.在SOAR平台中，Playbook触发最常用的时间维度条件是A.每季度 B.每周 C.实时 D.每月10.对工业控制协议Modbus进行安全监测时，首要识别的异常是A.功能码0x01的频繁读取 B.功能码0x05的强制单线圈 C.功能码0x08的诊断滥用 D.功能码0x14的批量读取二、填空题（每题2分，共20分）11.在Kubernetes中，默认禁止容器获得新的系统权限的安全上下文字段是________。12.对MySQL8.0开启generallog后，默认日志存放路径为________。13.Windows事件ID________表示账户登录成功。14.国家标准GB/T22239-2019中，安全等级保护第三级要求每年至少开展________次等级测评。15.在Wireshark过滤器中，筛选所有TCP重置包使用的表达式是________。16.对SSH暴力破解进行限速，利用iptablesrecent模块时，默认时间窗口单位为________秒。17.若需对Nginx开启TLS会话复用，指令ssl_session_cache的参数格式通常以________开头。18.在Splunk中，将日志字段user_name重命名为user的搜索命令是________。19.对VMwarevSphere8.0进行加固时，必须关闭的默认不安全服务是________。20.根据ISO/IEC27035，信息安全事件响应的最后一个阶段是________。三、判断题（每题2分，共20分，正确打“√”，错误打“×”）21.在Linux中，给/etc/shadow文件赋予644权限不会导致密码哈希泄露。22.使用WAF规则“SecRuleARGS:“@rxunion””可以100%拦截所有SQL注入。23.对于TLS1.3，服务器证书在加密后的报文中传输，因此无法被中间人嗅探明文。24.在AzureAD中，条件访问策略可以基于设备合规性进行动态授权。25.容器运行时seccomp配置默认允许所有系统调用。26.通过SNMPv2c的public团体名可读取Cisco设备完整路由表。27.当HIDS检测到内核模块被卸载时，应立即触发高优先级告警。28.在等级保护2.0中，云计算扩展要求对镜像进行唯一性标识并防止篡改。29.使用Chrony同步时间可以完全消除日志时间戳被篡改的风险。30.对于工业防火墙，深度包检测需支持DNP3协议的会话跟踪。四、简答题（每题5分，共20分）31.简述零信任网络与传统边界防御模型在身份验证粒度上的三点差异。32.说明WindowsDefenderApplicationControl（WDAC）与AppLocker在实现机制上的主要区别。33.概述容器逃逸利用内核漏洞后，在宿主机层面应采取的四种应急遏制措施。34.描述SOAR平台中“CaseManagement”模块对安全运营流程效率提升的两项关键功能。五、讨论题（每题5分，共20分）35.结合《数据安全法》，讨论企业在云化环境中对重要数据跨境传输的合规技术路径。36.针对5G核心网SBA架构，探讨网络切片安全隔离失效可能引发的连锁风险及治理思路。37.分析生成式人工智能在钓鱼邮件检测场景中的误报与漏报权衡，并提出可落地的模型更新策略。38.面对勒索软件即服务（RaaS）生态，讨论威胁情报共享在防御端的价值边界与法律障碍。答案与解析一、单项选择题1.B 2.C 3.B 4.C 5.C 6.C 7.B 8.B 9.C 10.B二、填空题11.allowPrivilegeEscalation=false12./var/lib/mysql/hostname.log13.462414.一15.tcp.flags.reset==116.6017.shared:18.|renameuser_nameasuser19.CIMServer20.经验教训总结三、判断题21.× 22.× 23.√ 24.√ 25.× 26.√ 27.√ 28.√ 29.× 30.√四、简答题31.（1）零信任对每次请求都进行身份验证，传统模型仅在边界做一次；（2）零信任依据身份、设备、环境等多维属性动态授权，传统模型基于静态IP或VLAN；（3）零信任对内部横向移动同样强制重认证，传统模型内部默认信任。32.WDAC基于内核级Hypervisor保护的代码完整性策略，签名级别高且适用于驱动；AppLocker用户态运行，仅支持EXE、DLL、脚本等有限格式，易被管理员绕过。33.立即隔离容器网络、暂停逃逸容器、利用seccomp限制系统调用、通过eBPF监控宿主机异常进程并阻断。34.统一案件视图减少重复工单；自动关联告警与资产，实现上下文富化，缩短MTTR。五、讨论题35.企业应建立数据分类分级系统，对重要数据采用国密算法加密、数据脱敏、跨境专线传输，并在境内设置数据备份节点；通过数据出境安全评估与认证，签署标准合同，引入数据跨境流动网关实现合规留痕。36.切片隔离失效将导致共享资源被恶意切片滥用，引发信令风暴与用户面DoS；治理需引入动态切片认证、微分段防火墙、切片级行为基线检测，并建立跨运营商的切片信誉共享机制。