2025年职业技能鉴定考试(网络与信息安全管理员)模拟试题及答案

2025年职业技能鉴定考试(网络与信息安全管理员)模拟试题及答案一、单项选择题（每题1分，共20题）1.以下哪种加密算法属于非对称加密？A.AES-256B.RSAC.SHA-256D.3DES答案：B2.某企业网络中发现大量ICMP请求包，目标IP为广播地址，这种攻击最可能是？A.SYNFloodB.Smurf攻击C.DNS放大攻击D.ARP欺骗答案：B3.在TCP/IP模型中，负责将IP地址转换为物理地址的协议是？A.ARPB.RARPC.ICMPD.IGMP答案：A4.以下哪项不是零信任架构的核心原则？A.持续验证B.最小权限访问C.网络分段D.信任默认网络答案：D5.用于检测已知攻击模式的入侵检测系统（IDS）属于？A.异常检测B.误用检测C.行为检测D.流量分析答案：B6.某系统日志显示“Failedloginattemptfrom00:54321”，最可能的安全事件是？A.SQL注入B.暴力破解C.DDoS攻击D.跨站脚本答案：B7.以下哪种访问控制模型基于用户角色分配权限？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）答案：C8.处理数据泄露事件时，首要步骤是？A.通知监管机构B.隔离受影响系统C.修复漏洞D.安抚用户答案：B9.以下哪项是Web应用防火墙（WAF）的主要功能？A.过滤非法HTTP请求B.管理IP地址分配C.加速网页加载D.检测内网arp欺骗答案：A10.物联网（IoT）设备的典型安全风险不包括？A.硬编码默认凭证B.固件更新不及时C.支持5G高速连接D.缺乏安全配置选项答案：C11.某企业使用Nmap进行端口扫描，发现目标主机22端口开放，该服务通常对应？A.HTTPB.SSHC.FTPD.SMTP答案：B12.以下哪种哈希算法常用于数字签名？A.MD5B.SHA-1C.SHA-256D.RC4答案：C13.在渗透测试中，“指纹识别”阶段的主要目的是？A.获取系统权限B.识别目标系统的操作系统和服务版本C.植入后门程序D.清除攻击痕迹答案：B14.数据脱敏技术中，将“身份证号44010619900101XXXX”处理为“440106XXXX”属于？A.掩码B.加密C.匿名化D.随机替换答案：A15.以下哪项不符合《网络安全法》关于个人信息保护的要求？A.收集个人信息前取得用户同意B.存储个人信息时进行加密处理C.向第三方提供个人信息前告知用户D.因业务需要超范围收集用户位置信息答案：D16.云环境中，“共享责任模型”指的是？A.云服务商和用户共同承担安全责任B.多个用户共享同一物理服务器的安全责任C.云服务商承担全部安全责任D.用户承担全部安全责任答案：A17.检测内存马（MemoryShell）最有效的方法是？A.检查文件系统B.分析进程内存快照C.监控网络流量D.查看系统日志答案：B18.以下哪种协议用于安全的电子邮件传输？A.POP3B.SMTPC.IMAPD.S/MIME答案：D19.工业控制系统（ICS）的安全防护重点不包括？A.物理隔离B.实时性优先于安全性C.漏洞补丁管理D.操作日志审计答案：B20.某企业部署了EDR（端点检测与响应）系统，其核心功能是？A.网络流量监控B.端点设备的威胁检测与主动响应C.数据加密传输D.防火墙策略管理答案：B二、判断题（每题1分，共10题）1.钓鱼邮件的特征一定包含恶意附件或链接。（×）2.静态代码审计主要用于检测运行时的安全漏洞。（×）3.零信任架构要求“永不信任，始终验证”。（√）4.数据备份时，离线存储（如空气隔离的磁带）可有效防范勒索软件。（√）5.防火墙的“状态检测”功能可以跟踪TCP连接的状态，增强过滤准确性。（√）6.弱口令属于管理层面的安全风险。（√）7.物联网设备由于资源受限，无需启用访问控制功能。（×）8.日志完整性保护可通过哈希校验实现。（√）9.云计算中，用户无需关注虚拟主机的安全配置。（×）10.渗透测试需要在目标单位授权下进行。（√）三、简答题（每题5分，共25分）1.简述最小权限原则在网络安全中的应用。答：最小权限原则要求用户或进程仅被授予完成任务所需的最小权限集合。应用场景包括：用户账户仅分配必要的系统访问权限；服务进程以低权限运行（如Web服务器使用www用户而非root）；网络设备的管理账户限制远程登录权限；数据库用户仅开放查询或写入的特定表权限。通过限制权限范围，可降低误操作或恶意利用的影响。2.描述SSL/TLS握手过程的主要步骤。答：（1）客户端发送“ClientHello”，包含支持的TLS版本、加密套件列表和随机数；（2）服务器响应“ServerHello”，选择具体版本和套件，发送服务器证书和随机数；（3）客户端验证证书有效性，提供预主密钥并通过服务器公钥加密发送；（4）双方利用预主密钥和各自随机数提供会话密钥；（5）客户端发送“ChangeCipherSpec”通知切换加密方式，发送“Finished”消息验证握手；（6）服务器同样发送“ChangeCipherSpec”和“Finished”消息，握手完成，后续通信使用会话密钥加密。3.APT（高级持续性威胁）攻击的主要特点有哪些？答：（1）针对性强：目标通常为特定行业（如政府、能源）的关键信息系统；（2）隐蔽性高：使用0day漏洞、定制化恶意软件，长期潜伏（数月至数年）；（3）资源丰富：背后可能有国家级团队支持，具备持续攻击能力；（4）多阶段攻击：结合钓鱼邮件、水坑攻击、内网横向移动等多种手段；（5）目标明确：以窃取敏感数据或破坏关键系统为最终目的，而非简单破坏。4.简述Web应用防火墙（WAF）的工作原理及典型部署方式。答：工作原理：WAF通过分析HTTP/HTTPS流量，基于规则库（如OWASPCRS）或机器学习模型检测并拦截恶意请求（如SQL注入、XSS、CSRF）。部署方式包括：（1）反向代理模式：WAF作为中间节点，接收所有外部请求并转发至后端服务器；（2）透明桥接模式：通过二层交换接入网络，不改变原有IP配置；（3）云WAF模式：请求先经云端WAF过滤，再转发至源站，适用于分布式部署。5.说明日志分析在网络安全中的主要作用。答：（1）事件溯源：通过关联多源日志（如防火墙、服务器、IDS）定位攻击路径；（2）威胁检测：识别异常行为（如异常登录时间、高频数据库查询）；（3）合规审计：满足GDPR、等保2.0等法规对日志留存和审计的要求；（4）漏洞发现：分析日志中的错误信息（如404过多可能暗示目录遍历尝试）；（5）性能优化：结合安全日志与性能日志，识别因攻击导致的服务异常。四、综合分析题（每题15分，共30分）1.某制造企业核心生产网发生如下事件：周一上午9:00，IT部门接到车间反馈，生产管理系统（SCADA）无法访问；安全设备日志显示：9:00-9:05，生产网与办公网之间的网闸出现大量异常TCP连接（源IP为，目标端口4444）；检查（工程师办公机）发现：进程列表中有可疑程序“update.exe”，文件哈希与已知勒索软件家族匹配；进一步排查发现，该工程师上周五点击过一封主题为“设备升级通知”的邮件，附件为“update.zip”。请结合上述场景，回答以下问题：（1）判断事件类型并分析攻击路径；（2）列出应急响应的关键步骤；（3）提出后续加固措施。答：（1）事件类型：勒索软件攻击。攻击路径：钓鱼邮件（伪装设备升级通知）→用户点击附件释放恶意软件（update.exe）→办公机感染后，通过生产网与办公网之间的网闸（未严格限制端口）横向移动至SCADA系统→加密生产管理系统文件，导致无法访问。（2）应急响应步骤：①隔离：立即断开生产网与办公网的连接（关闭网闸），隔离感染主机，防止进一步扩散；②控制：终止“update.exe”进程，关闭4444端口监听，使用杀毒软件扫描清除恶意程序；③恢复：使用最近的未感染备份（需验证备份未被加密）恢复SCADA系统数据，优先保障生产业务；④溯源：分析钓鱼邮件来源（IP、发件人信息），检查工程师办公机的邮件记录和附件执行日志，确认是否存在其他潜在感染点；⑤向管理层和监管部门（如当地网安部门）报告事件详情，符合《网络安全法》要求。（3）加固措施：①网络隔离：严格划分安全域，生产网与办公网之间的网闸需配置白名单策略，仅允许必要的端口和协议（如禁止4444等高危端口）；②邮件安全：部署高级威胁防护（ATP）系统，对附件进行沙箱检测，拦截伪装成设备升级的钓鱼邮件；③终端防护：办公机和生产终端安装EDR（端点检测与响应）系统，监控异常进程启动和文件加密行为；④员工培训：定期开展安全意识培训，强调不随意点击可疑邮件附件，识别钓鱼邮件特征（如非企业域名发件、异常附件名）；⑤备份管理：生产系统实施“三地四中心”备份策略，重要数据离线存储（如磁带库），定期验证备份可用性；⑥补丁管理：对SCADA系统和办公机操作系统、软件进行漏洞扫描，及时安装厂商提供的安全补丁（尤其是工业控制系统专用补丁）。2.某电商企业计划迁移核心业务系统至公有云（如阿里云），作为网络与信息安全管理员，需完成云环境安全配置检查。请列出需重点检查的10项内容，并说明每项的检查目的。答：需重点检查的10项内容及目的：（1）云服务器（ECS）安全组规则：检查是否仅开放必要端口（如HTTP80、HTTPS443），禁止全/0的公网访问。目的：防止未经授权的外部连接，降低暴露面。（2）IAM（身份与访问管理）配置：检查用户权限是否遵循最小权限原则（如客服账号无数据库删除权限），是否启用多因素认证（MFA）。目的：防止权限滥用，增强账户安全。（3）云数据库（RDS）加密：检查是否启用存储加密（如AES-256）、传输加密（SSL/TLS），密钥是否由企业自主管理（KMS）。目的：保护敏感数据（如用户信息、订单数据）的静态和动态安全。（4）对象存储（OSS）Bucket权限：检查Bucket是否为私有读写，是否存在公共读/写的危险配置。目的：防止商品图片、用户上传文件等数据被未授权访问或篡改。（5）云防火墙（CFW）策略：检查是否配置基于IP、端口、应用层的访问控制策略，是否启用入侵防御（IPS）功能。目的：过滤恶意流量，防御DDoS、Web攻击等威胁。（6）日志服务（SLS）配置：检查是否开启ECS、RDS、OSS的操作日志和访问日志采集，设置合理的日志保留周期（如180天）。目的：满足等保2.0“日志留存6个月”要求，支持事件溯源和审计。（7）镜像安全：检查自定义镜像是否经过漏洞扫描（如CVE漏洞），是否移除默认的管理员账户和弱口令。目的：防止因镜像自带漏洞导致的批量主机感染。（8）弹性公网IP（EIP）管理：检查是否为非必要公网IP绑定了安全组，是否启用EIP的访