2026年网络安全工程师职业资格中级试卷

2026年网络安全工程师职业资格（中级）试卷一、单项选择题（共15题，每题2分，共30分）1.在网络安全防护中，以下哪项措施不属于纵深防御策略的核心要素？（）A.边界防火墙部署B.主机入侵检测系统C.数据加密传输D.定期安全审计2.某企业采用零信任安全模型，其核心原则是？（）A.默认信任，验证例外B.默认不信任，验证后授权C.仅信任内部网络用户D.仅信任外部合作伙伴3.在PKI体系中，用于验证用户身份的数字证书由哪个机构颁发？（）A.企业内部IT部门B.政府机构C.证书颁发机构（CA）D.应用软件供应商4.以下哪种加密算法属于对称加密？（）A.RSAB.ECCC.AESD.SHA-2565.某银行系统遭受勒索软件攻击，导致核心数据被加密。为恢复数据，最有效的措施是？（）A.使用备份系统还原B.尝试破解加密算法C.支付赎金获取解密密钥D.联系黑客寻求帮助6.在漏洞扫描工具中，Nessus和OpenVAS的主要区别在于？（）A.扫描速度B.功能丰富度C.商业支持D.开源性质7.以下哪项不属于常见的社会工程学攻击手段？（）A.鱼叉式钓鱼邮件B.恶意软件传播C.网络钓鱼D.网络诈骗8.在网络设备配置中，以下哪项属于最佳实践？（）A.默认密码设置B.关闭不必要的服务端口C.使用复杂密码D.公开管理IP地址9.以下哪种协议属于传输层协议？（）A.FTPB.TCPC.ICMPD.DNS10.在数据备份策略中，3-2-1备份原则指的是？（）A.3个本地备份、2个远程备份、1个归档备份B.3份完整数据、2份增量数据、1份差异数据C.3台服务器、2个存储阵列、1个磁带库D.3天备份、2周备份、1个月备份11.在网络安全事件响应中，哪个阶段是首要任务？（）A.恢复阶段B.调查阶段C.预防阶段D.准备阶段12.以下哪种攻击方式利用系统服务拒绝服务？（）A.DDoS攻击B.SQL注入C.恶意软件感染D.跨站脚本（XSS）13.在网络安全法律法规中，《网络安全法》适用于？（）A.仅政府机构B.仅企业组织C.仅个人用户D.所有网络活动参与者14.以下哪种认证方式安全性最高？（）A.用户名+密码B.指纹识别C.OTP动态口令D.硬件令牌15.在云安全架构中，IaaS、PaaS、SaaS的安全责任划分属于？（）A.完全由服务商负责B.完全由用户负责C.分层共同负责D.由第三方审计负责二、多项选择题（共10题，每题3分，共30分）1.网络安全防护中，以下哪些措施属于主动防御技术？（）A.入侵检测系统（IDS）B.防火墙C.漏洞扫描D.安全审计2.在零信任架构中，以下哪些原则是核心要素？（）A.最小权限原则B.多因素认证C.持续验证D.网络隔离3.数字证书的常见类型包括？（）A.服务器证书B.客户端证书C.CA根证书D.数字签名证书4.对称加密算法的优点包括？（）A.加密速度较快B.密钥管理简单C.安全性较高D.适合小文件加密5.网络钓鱼攻击的常见手段包括？（）A.伪造银行官网B.发送虚假中奖邮件C.利用恶意链接D.模拟客服电话6.网络设备安全配置的最佳实践包括？（）A.关闭不必要的服务端口B.使用强密码策略C.定期更新固件D.公开管理访问日志7.网络安全事件响应流程通常包括？（）A.准备阶段B.检测与分析阶段C.防御与遏制阶段D.恢复与总结阶段8.常见的网络安全威胁包括？（）A.勒索软件B.APT攻击C.DDoS攻击D.恶意软件9.网络安全法律法规中，《数据安全法》的主要内容包括？（）A.数据分类分级B.数据跨境传输管理C.数据安全风险评估D.数据安全责任追究10.云计算安全的主要风险包括？（）A.数据泄露B.虚拟机逃逸C.API安全D.访问控制失效三、判断题（共10题，每题1分，共10分）1.防火墙可以完全阻止所有网络攻击。（×）2.零信任架构的核心思想是“从不信任，始终验证”。（√）3.数字证书的颁发机构（CA）可以是任何组织。（×）4.对称加密算法的密钥长度通常比非对称加密算法长。（×）5.勒索软件攻击通常通过电子邮件附件传播。（√）6.漏洞扫描工具可以实时监控网络流量。（×）7.社会工程学攻击不需要技术手段。（√）8.安全审计日志可以用于事后追溯安全事件。（√）9.《网络安全法》适用于所有网络活动参与者。（√）10.云计算中的IaaS模式意味着服务商完全负责基础设施安全。（×）四、简答题（共5题，每题6分，共30分）1.简述纵深防御策略的三个核心层次及其作用。2.解释什么是零信任架构，并列举其三个核心原则。3.数字证书的颁发流程包括哪些主要步骤？4.常见的网络安全事件响应流程有哪些阶段？5.云计算安全中，IaaS、PaaS、SaaS的安全责任划分是什么？五、综合应用题（共2题，每题10分，共20分）1.某企业遭受钓鱼邮件攻击，导致部分员工点击恶意链接，电脑被勒索软件感染。请设计一个应急响应方案，包括检测、遏制、恢复和总结四个阶段的具体措施。2.假设你是一家金融企业的网络安全工程师，需要设计一个基于零信任架构的安全方案。请列举至少三个关键措施，并说明其作用。答案与解析一、单项选择题1.D解析：纵深防御策略包括边界防护、内部监控和纵深加密，但安全审计属于事后评估，不属于核心防御措施。2.B解析：零信任的核心是“从不信任，始终验证”，强调对任何用户和设备进行验证后才授权访问。3.C解析：数字证书由证书颁发机构（CA）颁发，用于验证用户或设备的身份。4.C解析：AES是对称加密算法，而RSA、ECC属于非对称加密，SHA-256是哈希算法。5.A解析：备份系统是恢复数据的最可靠方法，其他方法存在风险或不可行性。6.B解析：Nessus功能更丰富，支持多种扫描类型；OpenVAS完全开源，但功能相对基础。7.B解析：恶意软件传播属于技术攻击，而社会工程学攻击主要利用心理手段。8.B解析：关闭不必要的服务端口可以减少攻击面，属于最佳实践。9.B解析：TCP是传输层协议，FTP是应用层，ICMP是网络层，DNS是应用层。10.A解析：3-2-1备份原则指3份本地备份、2份远程备份、1份归档备份，用于灾难恢复。11.D解析：事件响应流程包括准备、检测、防御、恢复、总结，准备阶段是首要任务。12.A解析：DDoS攻击通过大量流量使服务瘫痪，属于服务拒绝攻击。13.D解析：《网络安全法》适用于所有网络活动参与者，包括政府、企业和个人。14.B解析：指纹识别属于生物认证，安全性高于其他选项。15.C解析：云安全责任划分中，服务商和用户共同承担不同层次的安全责任。二、多项选择题1.A、C、D解析：主动防御技术包括IDS、漏洞扫描和安全审计，防火墙属于被动防御。2.A、C、D解析：零信任核心原则包括最小权限、持续验证和网络隔离，多因素认证是手段而非原则。3.A、B、C、D解析：服务器证书、客户端证书、CA根证书、数字签名证书都是常见类型。4.A、B解析：对称加密速度较快、密钥管理简单，但安全性相对较低，不适合大文件。5.A、B、C解析：网络钓鱼手段包括伪造官网、虚假中奖邮件、恶意链接，客服电话属于诈骗。6.A、B、C解析：安全配置实践包括关闭不必要端口、强密码策略、定期更新固件，公开日志不安全。7.A、B、C、D解析：事件响应流程包括准备、检测、防御、恢复、总结五个阶段。8.A、B、C、D解析：常见威胁包括勒索软件、APT攻击、DDoS攻击、恶意软件。9.A、B、C、D解析：《数据安全法》涵盖数据分类分级、跨境传输、风险评估、责任追究。10.A、B、C、D解析：云安全风险包括数据泄露、虚拟机逃逸、API安全、访问控制失效。三、判断题1.×解析：防火墙无法阻止所有攻击，如内部威胁或零日漏洞攻击。2.√解析：零信任的核心是“从不信任，始终验证”。3.×解析：CA必须是权威机构，如根CA或受信任的中间CA。4.×解析：对称加密密钥通常较短（如AES128位），非对称加密密钥较长（如RSA2048位）。5.√解析：勒索软件常通过钓鱼邮件附件传播。6.×解析：漏洞扫描工具通常是离线扫描，IDS才实时监控流量。7.√解析：社会工程学主要利用心理手段，技术手段是辅助。8.√解析：安全审计日志用于事后追溯和调查。9.√解析：《网络安全法》适用于所有网络活动参与者。10.×解析：IaaS模式下，服务商负责基础设施，用户负责操作系统及应用安全。四、简答题1.纵深防御策略的三个核心层次及其作用-边界防护层：通过防火墙、入侵防御系统（IPS）等阻止外部威胁进入网络。-内部监控层：通过入侵检测系统（IDS）、安全信息和事件管理（SIEM）等实时监控异常行为。-纵深加密层：通过数据加密、访问控制等技术保护数据安全。2.零信任架构的核心原则-最小权限原则：用户和设备仅被授予完成任务所需的最小权限。-持续验证：对每次访问请求进行持续验证，而非一次授权永续。-网络隔离：通过微分段等技术隔离不同安全级别的网络区域。3.数字证书的颁发流程-申请：用户向CA提交证书申请（CSR）。-验证：CA验证申请者身份（企业或个人）。-签发：CA使用私钥签发数字证书。-安装：用户将证书安装到设备或应用中。4.网络安全事件响应流程-准备阶段：建立响应团队和预案。-检测与分析阶段：识别和确认安全事件。-防御与遏制阶段：阻止事件扩大并控制损失。-恢复与总结阶段：恢复系统和总结经验教训。5.云计算安全责任划分-IaaS：服务商负责基础设施（硬件、网络），用户负责操作系统及应用。-PaaS：服务商负责平台（中间件、数据库），用户负责应用开发。-SaaS：服务商负责应用系统，用户负责数据访问。五、综合应用题1.钓鱼邮件攻击应急响应方案-检测阶段：通过邮件过滤系统识别恶意邮件，隔离可疑附件。-遏制阶段：通知受影响员工断开网络连接，禁止使用受感染设备访问敏感系统。-恢复阶段：使用备份系统