2025年公安网安技术员《网络技术知识》真题及答案

2025年公安网安技术员《网络技术知识》练习题及答案一、单项选择题（共20题，每题1分，共20分。每题只有1个正确答案，多选、错选、不选均不得分）1.TCP协议三次握手中，第二次握手发送的标志位组合是（）A.SYN+ACKB.SYN+FINC.ACK+FIND.RST+ACK2.依据《网络安全等级保护条例》，第三级信息系统的等级测评周期至少为（）A.半年B.1年C.2年D.3年3.下列属于网络层攻击类型的是（）A.SYN洪水攻击B.Smurf攻击C.ARP欺骗攻击D.XSS跨站脚本攻击4.我国商用密码算法中，属于非对称加密算法的是（）A.SM1B.SM2C.SM3D.SM45.公安网安部门开展IP地址物理定位时，核心参考的基础数据是（）A.域名解析记录B.IP地址分配备案数据C.网络路由表D.运营商上网日志6.电子数据取证的三项基本属性中，属于合法性要求的是（）A.取证数据哈希校验一致B.取证过程全程录像C.取证人员具备法定执法资质D.取证设备未植入恶意程序7.依据《网络安全法》，网络服务提供者留存网络日志的期限不得少于（）A.6个月B.1年C.3年D.5年8.下列安全设备中，能够主动阻断攻击行为的是（）A.入侵检测系统（IDS）B.入侵防御系统（IPS）C.日志审计系统D.网络流量探针9.等保2.0架构中，“三重防护”不包括（）A.安全通信网络B.安全区域边界C.安全计算环境D.安全运维体系10.下列恶意代码类型中，能够自我复制且不需要宿主文件的是（）A.蠕虫B.病毒C.木马D.勒索软件11.零信任架构的核心思想是（）A.默认信任内部网络所有主体B.永不信任、始终验证C.仅对外部访问主体做身份校验D.一次性认证即可访问所有资源12.IPv6地址的总长度为（）A.32位B.64位C.128位D.256位13.下列属于应用层协议的是（）A.ICMPB.ARPC.TCPD.HTTP14.暗网访问常用的匿名网络是（）A.VPNB.TorC.局域网D.广域网15.WPA3相比WPA2的核心安全提升是（）A.支持更高的传输速率B.能够抵御暴力破解密码攻击C.支持更多设备连接D.覆盖范围更广16.下列攻击类型中，属于域名系统攻击的是（）A.SQL注入B.DNS劫持C.CSRF攻击D.SYN洪水17.蜜罐技术的核心作用是（）A.拦截所有攻击流量B.诱捕攻击行为、分析攻击特征C.修复系统漏洞D.备份业务数据18.国密算法SM3属于（）A.对称加密算法B.非对称加密算法C.哈希摘要算法D.标识加密算法19.下列场景中，符合公安网安数据调取规范的是（）A.民警持工作证即可调取公民个人上网数据B.经办案部门负责人审批后可调取涉案相关数据C.因工作需要可随意调取非涉案单位的网络数据D.调取的数据可用于非执法用途20.下列数据分类分级中，安全等级最高的是（）A.一般数据B.重要数据C.核心数据D.敏感数据二、多项选择题（共10题，每题2分，共20分。每题有2个及以上正确答案，多选、少选、错选、不选均不得分）1.下列属于TCP/IP协议栈应用层协议的有（）A.SSHB.DNSC.ICMPD.FTP2.等保2.0的核心防御特性包括（）A.动态防御B.主动防御C.纵深防御D.静态防御3.下列属于常见Web应用攻击的有（）A.SQL注入攻击B.XSS跨站脚本攻击C.CSRF跨站请求伪造攻击D.ARP欺骗攻击4.公安网安电子取证过程中，属于原始电子数据的有（）A.涉案服务器硬盘镜像B.涉案终端内存镜像C.涉案网络流量抓包文件D.办案人员整理的证据清单5.DDoS攻击的常见类型包括（）A.流量型攻击B.协议型攻击C.应用层攻击D.物理破坏型攻击6.网络攻击溯源的常用技术手段包括（）A.IP地址定位B.域名WHOIS查询C.流量特征匹配D.上网日志关联7.零信任架构的核心实现逻辑包括（）A.最小权限授权B.持续身份验证C.动态访问控制D.默认信任内部网络8.依据《密码法》，下列场景中应当使用国密算法的有（）A.政务信息系统加密B.关键信息基础设施加密C.公民个人文件加密D.公共服务领域敏感数据加密9.公安网安部门常用的网络安全监管设备包括（）A.网络流量探针B.日志审计系统C.入侵检测系统D.防火墙10.下列属于数据安全法规定的数据分类分级类别的有（）A.核心数据B.重要数据C.一般数据D.涉密数据三、判断题（共10题，每题1分，共10分。正确打“√”，错误打“×”）1.TCP协议是面向连接的可靠传输协议，UDP协议是无连接的不可靠传输协议。（）2.SQL注入攻击仅能针对Windows操作系统的服务器发起。（）3.所有等级的信息系统都需要向公安机关提交等级保护备案申请。（）4.电子取证过程中，为防止数据丢失，可直接对涉案原始存储介质进行读写操作。（）5.国密算法SM3的输出哈希值长度为256位。（）6.CC攻击属于传输层DDoS攻击。（）7.公安网安部门调取涉案数据无需履行审批程序，可直接调取。（）8.零信任架构下，访问主体的权限固定，无需动态调整。（）9.域名劫持攻击仅会导致用户无法访问目标网站，不会造成数据泄露。（）10.网络运营者未履行等级保护义务，造成严重后果的，可被追究刑事责任。（）四、简答题（共4题，每题5分，共20分）1.请简述OSI七层模型从下到上的层级划分及各层级核心功能。2.请简述等级保护2.0“一个中心、三重防护”的体系架构内容。3.请简述公安网安部门开展网络攻击溯源的基本流程。4.请简述电子数据取证的基本原则。五、案例分析题（共2题，每题15分，共30分）1.案例背景：某市公安局网安支队接辖区某头部电商平台报案，称其业务服务器于2025年4月12日9:15-11:15遭遇大规模DDoS攻击，平台全站瘫痪，直接经济损失超120万元。经技术人员初检，攻击峰值流量达1.3Tbps，涉及UDP洪水、SYN洪水、CC攻击三类攻击手段。问题：（1）分别说明本次攻击涉及的三类攻击所属的OSI层级及攻击原理。（9分）（2）列举至少3种针对本次攻击的应急处置措施。（6分）2.案例背景：某县公安局网安大队接群众举报，称有人在境内某生活论坛发布虚假涉疫谣言，累计转发量超8万次，造成恶劣社会影响。办案人员调取论坛后台日志发现，谣言发布账号的登录IP为辖区某连锁网吧的公网IP，登录时间段为2025年4月18日16:12-16:18。问题：（1）列出办案人员为锁定谣言发布行为人需要调取的各类数据及对应的法规依据。（7分）（2）说明本案中电子数据固定的操作规范。（8分）参考答案及解析一、单项选择题参考答案及解析1.答案：A。解析：TCP三次握手流程为：第一次客户端向服务端发送SYN标志位请求建立连接；第二次服务端收到请求后，回复SYN+ACK标志位确认收到连接请求；第三次客户端回复ACK标志位，连接建立完成。2.答案：B。解析：《网络安全等级保护条例》明确规定，第二级信息系统每两年至少开展一次等级测评，第三级信息系统每年至少开展一次等级测评，第四级信息系统每半年至少开展一次等级测评。3.答案：B。解析：A选项SYN洪水属于传输层攻击，C选项ARP欺骗属于数据链路层攻击，D选项XSS属于应用层攻击；B选项Smurf攻击通过伪造源IP发送ICMP广播请求，属于网络层攻击。4.答案：B。解析：SM1、SM4属于对称加密算法，SM3属于哈希摘要算法，SM2属于椭圆曲线非对称加密算法，SM9属于标识加密算法。5.答案：B。解析：IP地址分配备案数据由工信部统一管理，明确了各运营商、各地区的IP地址段分配范围，是公安网安开展IP物理定位的核心基础数据，其余选项均为辅助参考数据。6.答案：C。解析：电子数据取证三性为合法性、客观性、关联性。A、D选项属于客观性要求，B选项属于完整性辅助措施，C选项属于主体合法性要求，是合法性范畴的核心内容。7.答案：A。解析：《网络安全法》第二十一条明确规定，网络服务提供者应当按照规定留存相关的网络日志不少于六个月。8.答案：B。解析：IDS为入侵检测系统，仅能检测攻击并告警，无法主动阻断；IPS为入侵防御系统，可实时检测并主动阻断攻击行为；日志审计系统、流量探针仅具备数据采集和分析功能，无阻断能力。9.答案：D。解析：等保2.0核心架构为“一个中心、三重防护”，一个中心指安全管理中心，三重防护为安全通信网络、安全区域边界、安全计算环境，不包含安全运维体系。10.答案：A。解析：病毒需要依附宿主文件才能传播，木马用于远程控制无自我复制能力，勒索软件用于加密文件索要赎金；蠕虫无需宿主文件，可通过网络自我复制传播。11.答案：B。解析：零信任架构核心思想为“永不信任、始终验证”，默认不信任任何内外部访问主体，所有访问请求均需经过持续身份校验和权限审核后才可放行。12.答案：C。解析：IPv4地址长度为32位，IPv6地址长度为128位，地址空间大幅扩展，解决了IPv4地址不足的问题。13.答案：D。解析：ICMP属于网络层协议，ARP属于数据链路层协议，TCP属于传输层协议，HTTP属于应用层协议。14.答案：B。解析：Tor是当前暗网访问最常用的匿名网络，通过多层节点加密转发实现访问身份隐匿；VPN为虚拟专用网络，不具备匿名访问暗网的核心特性。15.答案：B。解析：WPA3针对WPA2的漏洞进行了优化，采用了更安全的加密方式，能够有效抵御针对WiFi密码的暴力破解攻击，其余选项均为WiFi6的技术特性。16.答案：B。解析：SQL注入、CSRF属于Web应用层攻击，SYN洪水属于传输层攻击，DNS劫持是针对域名解析系统的攻击，可篡改域名解析结果。17.答案：B。解析：蜜罐是故意布置的诱捕系统，用于吸引攻击者攻击，从而采集攻击行为数据、分析攻击特征，为攻击防御和溯源提供支撑，不具备拦截攻击、修复漏洞、备份数据的功能。18.答案：C。解析：SM3是我国自主研发的哈希摘要算法，输出长度为256位，可用于数据完整性校验、数字签名等场景。19.答案：B。解析：公安网安部门调取涉案数据必须履行法定审批程序，由办案人员持相关法律文书调取，不得随意调取非涉案数据，调取的数据仅可用于执法办案用途。20.答案：C。解析：根据《数据安全法》，数据分为核心数据、重要数据、一般数据三个等级，核心数据是关系国家安全、国民经济命脉的重要数据，安全等级最高。二、多项选择题参考答案及解析1.答案：ABD。解析：ICMP属于网络层协议，SSH、DNS、FTP均属于TCP/IP协议栈的应用层协议。2.答案：ABC。解析：等保2.0摒弃了传统静态防御的思路，核心特性为动态防御、主动防御、纵深防御，实现对网络攻击的全流程防护。3.答案：ABC。解析：ARP欺骗属于数据链路层攻击，SQL注入、XSS、CSRF均为针对Web应用的常见应用层攻击。4.答案：ABC。解析：原始电子数据指直接从涉案载体中提取的未经过加工的电子数据，证据清单为办案人员整理的文书材料，不属于原始电子数据。5.答案：ABC。解析：DDoS即分布式拒绝服务攻击，分为流量型、协议型、应用层三类，物理破坏型攻击不属于网络攻击范畴。6.答案：ABCD。解析：IP地址定位、域名WHOIS查询、流量特征匹配、上网日志关联均为网络攻击溯源的常用技术手段，可实现对攻击源的逐层定位。7.答案：ABC。解析：零信任架构的核心实现逻辑为最小权限授权、持续身份验证、动态访问控制，默认不信任任何内外部主体，D选项表述错误。8.答案：ABD。解析：《密码法》规定，政务信息系统、关键信息基础设施、公共服务领域涉及国家安全、社会公共利益的敏感数据应当使用国密算法，公民个人文件加密不做强制要求。9.答案：ABCD。解析：流量探针、日志审计系统、入侵检测系统、防火墙均为公安网安部门开展网络安全监管、攻击检测、事件处置的常用设备。10.答案：ABC。解析：《数据安全法》明确将数据分为核心数据、重要数据、一般数据三个分级类别，涉密数据属于保密法调整范畴，不属于数据安全法的分级类别。三、判断题参考答案及解析1.答案：√。解析：TCP协议通过三次握手建立连接、四次挥手断开连接，具备超时重传、数据校验等机制，是面向连接的可靠传输协议；UDP协议无需建立连接，不保证数据传输可靠性，传输效率更高。2.答案：×。解析：SQL注入攻击是针对Web应用的SQL语句拼接漏洞发起的攻击，和服务器操作系统无关，只要存在漏洞，Windows、Linux等操作系统的服务器均可被攻击。3.答案：×。解析：信息系统定级为第二级及以上的，才需要向公安机关提交等级保护备案申请，第一级信息系统无需备案，由运营者自行保护。4.答案：×。解析：电子取证过程中必须对原始存储介质进行写保护，仅可对原始介质的镜像文件进行操作，防止篡改原始数据，影响证据效力。5.答案：√。解析：国密SM3算法的输出哈希值长度为256位，安全性与SHA-256相当，是我国商用密码体系的核心算法之一。6.答案：×。解析：CC攻击是攻击者控制肉鸡模拟正常用户对Web应用的动态资源发起高频请求，属于应用层DDoS攻击，不属于传输层攻击。7.答案：×。解析：公安网安部门调取涉案数据必须严格履行法定审批程序，持有调取证据通知书等法律文书，方可向相关单位和个人调取数据。8.答案：×。解析：零信任架构下会持续监控访问主体的行为，根据风险情况动态调整访问权限，避免权限滥用。9.答案：×。解析：域名劫持攻击可将用户访问的域名解析到攻击者控制的钓鱼网站，窃取用户的账号密码、个人信息等敏感数据，会造成严重的数据泄露风险。10.答案：√。解析：《刑法》第二百八十六条之一规定了拒不履行信息网络安全管理义务罪，网络运营者未履行等级保护义务，造成严重后果的，可被追究刑事责任。四、简答题参考答案及解析1.答案：OSI七层模型从下到上依次为：①物理层：核心功能是传输比特流，定义物理介质的电气、机械特性，实现数据的物理传输；②数据链路层：核心功能是将比特流封装为数据帧，通过MAC地址实现同一局域网内的节点寻址；③网络层：核心功能是将数据帧封装为数据包，通过IP地址实现跨网络的寻址和路由转发；④传输层：核心功能是实现端到端的通信连接，提供可靠或不可靠的传输服务；⑤会话层：核心功能是建立、管理、终止不同主机之间的通信会话；⑥表示层：核心功能是实现数据的加密、解密、压缩、格式转换，确保不同系统之间的数据可识别；⑦应用层：核心功能是为上层应用提供网络服务接口，直接对接用户的各类网络应用。（每答对1个层级及对应功能得0.7分，满分5分）2.答案：等级保护2.0“一个中心、三重防护”体系架构具体为：①一个中心：指安全管理中心，实现对整个信息系统的安全策略管理、安全事件分析、安全风险管控、安全运维审计的统一管理；②安全通信网络：针对通信传输环节的安全防护，实现通信链路加密、访问控制、流量管控等能力，保障通信过程的安全性；③安全区域边界：针对不同安全等级区域的边界防护，实现入侵检测、访问控制、恶意代码拦截等能力，阻断跨区域的非法访问；④安全计算环境：针对终端、服务器、数据库等计算节点的安全防护，实现身份认证、权限管控、数据加密等能力，保障计算节点的安全性。（答对1个核心组成部分得1分，展开说明逻辑清晰加1分，满分5分）3.答案：公安网安开展网络攻击溯源的基本流程为：①事件判定：对攻击事件进行初步核查，确认攻击类型、受损范围、危害程度，判断是否符合立案标准；②证据固定：对攻击相关的流量日志、服务器日志、终端数据、恶意样本等进行固定，确保证据的完整性和合法性；③线索提取：对固定的证据进行分析，提取攻击源IP、攻击特征、恶意样本指纹、攻击时间线等关键线索；④线索关联：结合IP备案数据、域名数据、上网日志、第三方平台数据等对线索进行关联分析，缩小溯源范围；⑤身份定位：通过技术手段和侦查措施，定位攻击源的物理位置和实际行为人，固定相关证据；⑥报告出具：整理溯源过程和结果，出具正式的溯源报告，为后续案件侦办提供支撑。（每答对1个流程节点得1分，答对5个及以上得满分5分）4.答案：电子数据取证的基本原则为：①合法性原则：取证主体、取证程序、取证手段均符合法律规定，取得的证据具备法定效力；②客观性原则：取证过程不得篡改原始电子数据，全程留痕，保证证据的真实性；③关联性原则：提取的电子数据必须和案件事实存在关联，能够证明案件相关情况；④完整性原则：保证电子数据的内容完整，未被篡改、删除，通过哈希校验等方式证明数据完整性；⑤时效性原则：电子数据存在易灭失的特性，需及时进行固定，避免因数据删除、覆盖导致证据丢失。（每答对1个原则得1分，满分5分）五、案例分析题参考答案及解析1.（1）答案：三类攻击的层级及原理如下：①UDP洪水：属于传输层攻击（1分），原理为攻击者控制大量肉鸡向目标服务器发送海量伪造源IP的UDP数据包，消耗服务器的带宽资源和处理性能，导致正常用户的请求无法被及时响应，最终造成服务瘫痪（2分）；②SYN洪水：属于传输层攻击（1分），原理为攻击者向目标服务器发送大量伪造源IP的SYN连接请求，服务器回复SYN+ACK后无法收到客户端的第三次握手ACK响应，导致服务器的半连接队列被耗尽，无法响应正常用户的连接请求（2分）；③CC攻击：属于应用层攻击（1分），原理为攻击者控制大量肉鸡模拟正常用户的访问行为，对平台的商品查询、订单提交等动态接口发起高频请求，消耗服务器的CPU、数据库等计算资源，导致正常用户的访问请求被拒绝（2分）。（2）答案：应急处置措施包括但不限于：①流量清洗：将平台的域名解析切换至高防IP，通过高防清洗中心过滤恶意攻击流量，仅将正常流量转发至源站服务器（2分）；②策略优化：调整防火墙、IPS的防护策略，封禁异常IP段，限制单IP的请求频率，拦截UDP、SYN等异常报文