2025年网络与信息安全管理员四级真题及答案解析

2025年网络与信息安全管理员四级练习题及答案解析一、单项选择题（共20题，每题1分，共20分。每题只有1个正确答案，多选、错选、不选均不得分）1.《中华人民共和国网络安全法》规定，关键信息基础设施运营者应当至少（）开展一次全面的网络安全检测评估，及时整改安全隐患。A.每半年B.每年C.每两年D.每三年答案：B解析：《网络安全法》第三十八条明确规定，关键信息基础设施运营者应当每年至少进行一次全面的网络安全检测评估，排查安全风险并完成整改。2.HTTPS协议的默认服务端口是？A.80B.22C.443D.3389答案：C解析：80是HTTP协议默认端口，22是SSH远程管理协议默认端口，3389是Windows远程桌面协议默认端口，443为HTTPS加密传输协议默认端口。3.以下属于多因素身份认证的是？A.输入用户名+登录密码B.输入账号+短信验证码C.指纹解锁手机D.刷脸进入办公区答案：B解析：多因素认证要求使用两类及以上不同维度的认证因子，账号属于知识类因子、短信验证码属于持有类因子，符合多因素认证要求；A属于单一知识类因子，C、D属于单一生理特征类因子，均为单因素认证。4.CVSS通用漏洞评分系统中，以下哪个评分对应的漏洞属于严重等级？A.2.1B.5.8C.7.5D.9.8答案：D解析：CVSS漏洞等级划分标准为：0-3.9为低危、4-6.9为中危、7-8.9为高危、9-10为严重，9.8属于严重漏洞范畴。5.以下恶意程序中属于勒索软件的是？A.WannaCryB.冲击波蠕虫C.熊猫烧香D.灰鸽子答案：A解析：WannaCry是2017年爆发的勒索蠕虫病毒，通过加密用户文件索要比特币赎金；冲击波是破坏系统运行的蠕虫病毒，熊猫烧香是感染型病毒，灰鸽子是远程控制木马，均不属于勒索软件。6.以下防火墙规则中优先级最高的是？A.拒绝所有入站流量的默认规则B.允许/24访问80端口的规则C.拒绝0访问80端口的规则D.允许所有出站流量的规则答案：C解析：防火墙规则遵循“精细化程度越高、优先级越高”的原则，针对特定IP、特定端口的拒绝规则优先级高于宽泛的允许规则和默认规则。7.以下不属于个人敏感信息的是？A.身份证号B.医疗记录C.公开的企业办公电话D.行踪轨迹答案：C解析：根据《个人信息保护法》，敏感个人信息是一旦泄露容易导致自然人人格尊严受损、人身财产安全受危害的个人信息，公开的企业办公电话不属于个人信息范畴，更不属于敏感个人信息。8.以下属于拒绝服务攻击的是？A.SQL注入B.DDoSC.XSS跨站脚本D.弱口令爆破答案：B解析：DDoS即分布式拒绝服务攻击，通过大量傀儡节点向目标发送请求耗尽目标带宽、算力资源，导致服务不可用，属于拒绝服务攻击范畴；其余选项分别为注入攻击、Web前端攻击、口令破解攻击。9.以下哪种数据备份方式恢复时间最短？A.完全备份B.增量备份C.差异备份D.磁带冷备份答案：A解析：完全备份是对所有数据进行全量备份，恢复时仅需调用最近一次完全备份文件即可完成恢复，步骤最少、耗时最短；增量备份需要恢复全量备份+所有后续增量备份，差异备份需要恢复全量备份+最后一次差异备份，恢复耗时均长于完全备份。10.《网络安全法》要求网络运营者留存网络日志的时长不少于？A.30天B.90天C.6个月D.1年答案：C解析：《网络安全法》第二十一条明确规定，网络运营者应当按照规定留存相关的网络日志不少于六个月。11.以下哪种访问控制模型是根据用户所属角色分配访问权限？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：C解析：RBAC核心是将权限绑定到角色，用户通过归属对应角色获取权限，适合企业内部批量权限管理；DAC由资源所有者自主分配权限，MAC由系统强制分配安全标签，ABAC基于多维度属性判断权限，均不符合题干描述。12.以下属于物理安全防护措施的是？A.部署入侵检测系统B.配置机房门禁系统C.定期漏洞扫描D.安装杀毒软件答案：B解析：物理安全是保护网络设备、物理环境免遭盗窃、破坏、环境危害的措施，机房门禁属于物理安全范畴，其余选项属于技术安全防护措施。13.TCP三次握手中，第二次握手的标志位组合是？A.SYNB.SYN+ACKC.ACKD.FIN答案：B解析：TCP三次握手流程为：第一次客户端发送SYN包请求连接，第二次服务端返回SYN+ACK包确认连接请求，第三次客户端返回ACK包完成连接建立。14.Windows系统下查看当前开放端口及对应进程ID的命令是？A.ipconfigB.netstat-anoC.tracertD.ping答案：B解析：netstat-ano可列出所有端口监听状态、对应的进程ID；ipconfig用于查看网卡配置，tracert用于路由追踪，ping用于测试网络连通性。15.网络安全等级保护2.0要求，三级等保系统的测评周期为？A.每半年一次B.每年一次C.每两年一次D.每三年一次答案：B解析：等保2.0明确要求，二级等保系统每两年开展一次等级测评，三级及以上等保系统每年至少开展一次等级测评。16.以下属于对称加密算法的是？A.RSAB.SM2C.AESD.ECC答案：C解析：对称加密算法加密、解密使用同一密钥，常见包括AES、DES、SM4等；RSA、SM2、ECC均属于非对称加密算法，加密解密使用公钥、私钥两个不同密钥。17.以下不属于网络安全应急预案核心内容的是？A.应急组织架构与职责B.应急响应处置流程C.员工绩效考核标准D.应急演练要求答案：C解析：网络安全应急预案核心内容包括应急组织及职责、响应分级、处置流程、应急保障、演练与修订等，员工绩效考核属于人力资源管理制度范畴，不属于应急预案内容。18.发现单位内部员工违规传播涉密文件时，首先应采取的措施是？A.直接开除涉事员工B.切断涉事终端网络连接，阻止文件扩散C.公开通报批评所有员工D.删除涉事终端上的涉密文件答案：B解析：违规传播涉密文件的处置首要目标是阻止涉密信息进一步扩散，因此第一步应切断涉事终端网络连接，后续再开展溯源、追责、整改等操作。19.以下属于服务器端执行漏洞的是？A.XSS跨站脚本B.CSRF跨站请求伪造C.命令注入D.点击劫持答案：C解析：命令注入是攻击者构造恶意请求，让服务器端执行未授权系统命令，属于服务器端执行漏洞；其余选项均属于客户端或浏览器端安全漏洞。20.以下关于防火墙DMZ区的描述正确的是？A.DMZ区应放置企业核心业务数据库B.DMZ区的公开服务可被外网用户直接访问C.DMZ区无需配置防火墙规则防护D.DMZ区属于内部可信区域答案：B解析：DMZ即非军事区，是介于内部可信网络和外部不可信网络之间的隔离区域，用于放置需要对外提供服务的服务器（如Web、邮件服务器），外网用户可访问DMZ区的公开服务，但无法直接访问内部核心网络；核心数据库应放置在内部可信区域，DMZ区需配置严格的防火墙规则进行防护。二、多项选择题（共10题，每题2分，共20分。每题有2个及以上正确答案，多选、少选、错选、不选均不得分）1.以下属于常见Web安全漏洞的有？A.SQL注入B.XSS跨站脚本C.缓冲区溢出D.CSRF跨站请求伪造答案：ABD解析：Web安全漏洞是针对Web应用攻击面的漏洞，SQL注入、XSS、CSRF均属于常见Web漏洞；缓冲区溢出属于系统层或软件层通用漏洞，不属于Web专属漏洞范畴。2.以下属于网络与信息安全管理员日常运维工作内容的有？A.定期巡检网络设备运行状态B.处理用户上报的病毒感染事件C.修改核心业务系统的业务逻辑代码D.定期备份重要业务数据答案：ABD解析：网安管理员运维职责包括设备巡检、安全事件处置、数据备份、漏洞整改等；核心业务系统代码修改属于开发人员职责，不属于网安管理员工作范畴。3.以下属于弱口令的有？A.Admin@123B.123456C.Zhangsan19900101D.asdfgh答案：BCD解析：弱口令是指容易被暴力破解或社会工程学获取的密码，123456属于常见简单密码，Zhangsan19900101包含个人姓名和生日，asdfgh是键盘连续字符，均属于弱口令；Admin@123包含大小写字母、特殊字符、数字，长度符合安全要求，属于强密码范畴。4.网络攻击的通用流程包括？A.信息收集B.漏洞探测C.漏洞利用D.权限维持与痕迹清理答案：ABCD解析：完整网络攻击流程包括前期信息收集（获取目标IP、域名、架构等信息）、漏洞探测（扫描目标存在的安全漏洞）、漏洞利用（利用漏洞获取目标权限）、权限维持（留后门保证持续访问）、痕迹清理（删除攻击日志避免被溯源）五个核心阶段。5.以下属于等保2.0管理要求范畴的有？A.安全管理制度B.安全管理机构C.安全管理人员D.安全建设管理答案：ABCD解析：等保2.0管理要求分为五个层面：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，四个选项均属于管理要求范畴。6.发生数据泄露事件时，需要第一时间上报的主体有？A.本单位上级主管部门B.当地网信部门C.当地公安机关D.所有受影响的用户答案：ABC解析：发生数据泄露事件后，应第一时间向行业主管部门、属地网信部门、公安机关上报事件情况，待核实泄露范围、影响程度后，再按要求告知受影响用户，不得未经核实随意扩散事件信息引发恐慌。7.以下属于合法身份认证因子的有？A.用户设置的登录密码B.用户绑定的U盾C.用户的指纹信息D.用户登录时的地理位置答案：ABC解析：身份认证因子分为三类：知识类（密码、密保问题等）、持有类（U盾、手机验证码、动态令牌等）、生物特征类（指纹、人脸、声纹等）；地理位置不属于身份认证的法定因子，仅可作为风险判定的参考维度。8.以下属于恶意代码的有？A.勒索病毒B.远控木马C.恶意广告弹窗插件D.系统自带防火墙程序答案：ABC解析：恶意代码是指在未授权情况下，以破坏系统、窃取数据、牟利等为目的的程序，勒索病毒、远控木马、恶意广告插件均属于恶意代码范畴；系统自带防火墙属于安全防护程序，不属于恶意代码。9.以下关于补丁管理的要求，正确的有？A.补丁安装前应在测试环境进行兼容性测试B.所有补丁都应立即安装无需审核C.高危漏洞补丁应优先安装D.补丁安装后应验证系统功能是否正常答案：ACD解析：补丁管理流程包括补丁获取、审核、测试、部署、验证五个环节，补丁安装前必须进行兼容性测试，避免影响业务正常运行；高危漏洞补丁应优先部署，部署后需验证业务可用性，不得未经审核直接安装所有补丁。10.以下属于物理安全风险的有？A.机房断电导致设备停机B.洪水浸泡服务器导致数据损坏C.攻击者通过弱口令登录服务器窃取数据D.硬盘被盗导致数据泄露答案：ABD解析：物理安全风险是指物理环境、设备本身面临的风险，机房断电、自然灾害、硬件被盗均属于物理安全风险；攻击者通过弱口令登录服务器属于技术层面的身份认证风险，不属于物理安全范畴。三、判断题（共10题，每题1分，共10分。正确打√，错误打×）1.网络运营者可以根据自身需要随意收集用户的个人信息。（×）解析：根据《个人信息保护法》，网络运营者收集个人信息应当遵循合法、正当、必要、诚信原则，公开收集规则，明示收集的目的、方式、范围，经用户同意后方可收集，不得随意收集用户个人信息。2.入侵防御系统（IPS）可以阻断正在发生的攻击行为。（√）解析：IPS是在线部署的安全设备，能够实时检测网络流量中的攻击行为，并在发现攻击时主动阻断；而IDS是旁路部署的设备，仅能检测告警无法直接阻断。3.数据备份只要做好本地备份即可，不需要异地备份。（×）解析：本地备份面临火灾、洪水、盗窃等物理风险，一旦本地环境受损会导致备份数据同时损坏，因此重要数据必须采用本地+异地结合的备份策略，异地备份距离应满足容灾要求。4.为了方便运维，所有服务器的管理员账号密码可以设置为同一个。（×）解析：所有服务器使用相同的管理员密码会导致一旦某一台服务器的密码泄露，所有服务器都会面临被入侵的风险，应遵循权限最小、一人一号、一机一密的原则设置服务器账号密码。5.漏洞扫描可以发现所有的安全漏洞。（×）解析：漏洞扫描工具仅能发现已知的公开漏洞，无法发现0day漏洞、业务逻辑漏洞等，因此除了定期漏洞扫描外，还需要结合人工渗透测试、代码审计等方式排查安全隐患。6.HTTPS协议可以有效防止数据在传输过程中被窃听和篡改。（√）解析：HTTPS协议在HTTP的基础上加入了SSL/TLS加密层，对传输的数据进行加密和完整性校验，能够有效防止数据在传输过程中被窃听、篡改、劫持。7.单位的网络安全责任由网安管理员一人承担。（×）解析：根据《网络安全法》，单位的主要负责人是本单位网络安全的第一责任人，网安管理员承担具体的运维管理责任，安全责任由单位、负责人、管理员按职责划分共同承担，并非由网安管理员一人承担。8.暴力破解攻击只能针对弱口令生效，对强口令没有攻击效果。（×）解析：暴力破解攻击是通过枚举所有可能的密码组合尝试登录，只要时间足够长，理论上可以破解所有密码，只是强口令的破解时间会远长于弱口令，因此除了设置强口令外，还需要配置登录失败锁定、验证码等措施防范暴力破解攻击。9.日志是溯源网络攻击的重要依据，因此不得随意删除或篡改日志。（√）解析：日志记录了网络、系统、应用的所有操作行为，是排查安全事件、溯源攻击者的核心依据，相关法规明确要求不得删除、篡改、伪造日志，应按要求留存足够时长。10.关闭不必要的服务端口可以减少系统的攻击面。（√）解析：每个开放的端口都对应一个服务，存在被利用的安全风险，关闭不必要的服务和端口可以有效减少系统的攻击面，降低被入侵的概率。四、简答题（共3题，每题10分，共30分）1.请简述网络安全等级保护2.0核心防护思路“一个中心，三重防护”的具体内容。参考答案及评分标准：（1）一个中心：指安全管理中心，对网络中的安全设备、系统、数据进行统一的监测、分析、管控，实现安全策略的统一配置、安全事件的统一响应，占2分。（2）三重防护包括三个层面：①通信网络安全：保障通信传输过程的保密性、完整性、可用性，包括通信链路加密、流量管控、拒绝服务攻击防护等，占2分。②区域边界安全：对不同安全域之间的访问进行管控，隔离可信区域和不可信区域，包括防火墙、入侵防御、边界访问控制等措施，占2分。③计算环境安全：保障服务器、终端、应用等计算节点的安全，包括身份认证、权限管控、恶意代码防护、漏洞整改等措施，占2分。（3）关联逻辑：安全管理中心对三重防护的所有措施进行统一调度和管理，形成覆盖全链路的纵深防御体系，占2分。解析：等保2.0改变了过去单点防护的模式，构建了从通信到边界到计算节点的全链路防护，加上统一的管理中心，实现防护、检测、响应一体化的安全体系，覆盖云计算、大数据、物联网、工业控制等所有新兴网络场景。2.某单位内部终端感染蠕虫病毒导致内网大面积瘫痪，请简述该事件的应急处置流程。参考答案及评分标准：（1）阻断攻击扩散：第一时间将感染病毒的终端断开网络，同时关闭内网核心交换机的不必要端口，阻断蠕虫病毒的传播路径，避免影响范围进一步扩大，占2分。（2）研判事件情况：排查感染终端的数量、病毒类型、攻击来源，梳理受影响的业务系统和数据，评估事件的严重等级，占2分。（3）查杀病毒恢复系统：对感染终端进行病毒查杀，无法查杀的终端进行系统重装，利用备份数据恢复受影响的业务系统和数据，验证业务恢复正常，占2分。（4）溯源整改：排查病毒入侵的来源（如邮件附件、U盘、恶意链接等），对所有终端安装杀毒软件并更新病毒库，对员工进行安全意识培训，避免同类事件再次发生，占2分。（5）上报与记录：按要求将事件情况上报上级主管部门和属地监管部门，留存事件处置的所有日志和记录，形成事件处置报告，占2分。解析：蠕虫病毒的特点是可以主动扫描内网漏洞进行传播，因此处置的首要原则是先阻断传播路径，再进行查杀恢复，避免边处置边扩散，事后必须针对性加固，补齐防护短板。3.请简述防范SQL注入漏洞的主要措施。参考答案及评分标准：（1）使用参数化查询：开发过程中对所有数据库查询语句使用预编译的参数化查询方式，禁止将用户输入直接拼接到SQL语句中，这是防范SQL注入的根本措施，占3分。（2）过滤用户输入：对用户提交的所有参数进行合法性校验，过滤单引号、分号、union、select等SQL注入常用的特殊字符和关键字，占2分。（3）最小权限分配数据库账号：Web应用连接数据库的账号仅分配必要的权限，禁止使用root、sa等管理员权限账号连接数据库，降低漏洞被利用后的危害，占2分。（4）部署Web应用防火墙（WAF）：在Web服务器前端部署WAF，配置SQL注入防护规则，阻断恶意的注入请求，作为临时防护措施，占2分。（5）定期漏洞扫描：定期对Web应用进行漏洞扫描和渗透测试，及时发现和修复存在的注入漏洞，占1分。解析：SQL注入是最常见的Web漏洞之一，危害极高，攻击者可以通过注入漏洞获取数据库的所有数据，甚至获取服务器权限，因此需要从开发、运维多个层面共同防护，从根源上避免漏洞产生。五、实操题（共2题，每题10分，共20分）1.某单位局域网网段为/24，核心服务器网段为/24，运维人员固定使用的主机IP为00，现需要在边界防火墙上配置访问控制规则，满足以下要求：①仅允许运维主机00通过SSH（22端口）和远程桌面（3389端口）访问核心服务器网段；②禁止所有其他内网IP访问核心服务器网段的22和3389端口；③允许所有内网IP访问核心服务器的Web服务（80、443端口）；④所有访问核心服务器网段的其他请求默认拒绝。请写出防火墙规则的配置顺序及每条规则的具体内容，并说明规则优先级的设置逻辑。参考答案及评分标准：（1）规则配置顺序（遵循“越精细、优先级越高，拒绝规则优先于宽泛允许规则”的原则，顺序错误则规则无法生效，占2分）：规则1（优先级最高）：允许源IP00，目的网段/24，目的端口22、3389，协议TCP，动作允许，占2分。规则2：拒绝源IP/0，目的网段/24，目的端口22、3389，协议TCP，动作拒绝，占2分。规则3：允许源IP/24，目的网段/24，目的端口80、443，协议TCP，动作允许，占