2025年网络安全工程师中级考试模拟题集及答案

2025年网络安全工程师中级考试模拟题集及答案一、单项选择题（每题2分，共10分）1.以下哪种加密算法属于对称加密且密钥长度为256位？A.RSA-2048B.AES-256C.ECC-256D.SHA-256答案：B2.某企业网络中部署了入侵检测系统（IDS），其核心功能是？A.主动阻断恶意流量B.实时监控并记录异常行为C.对网络流量进行深度包过滤D.自动修复系统漏洞答案：B3.在OWASP2024最新漏洞榜单中，排名第一的常见漏洞类型是？A.注入攻击（Injection）B.身份认证失效（BrokenAuthentication）C.软件和数据完整性失效（SoftwareandDataIntegrityFailures）D.安全配置错误（SecurityMisconfiguration）答案：C（注：2024年OWASP更新后，完整性失效因供应链攻击频发升至首位）4.以下哪种攻击方式利用了DNS协议的递归查询特性？A.DNS隧道攻击B.DNS缓存投毒C.DNS放大攻击D.DNS域传送漏洞答案：C（放大攻击通过伪造源IP向开放递归DNS发送小查询包，提供大响应包攻击目标）5.某系统日志显示“403Forbidden”状态码，最可能的原因是？A.服务器内部错误B.请求资源不存在C.客户端权限不足D.客户端IP被封禁答案：C（403表示服务器理解请求但拒绝执行，通常因权限问题）二、多项选择题（每题3分，共15分，多选、错选不得分）1.以下属于零信任架构核心原则的有？A.最小权限访问B.持续验证身份C.网络边界强化D.设备状态评估答案：ABD（零信任强调“永不信任，始终验证”，弱化传统边界）2.数据脱敏的常见技术包括？A.掩码处理（如隐藏部分身份证号）B.数据加密存储C.随机化替换（如用随机数代替真实手机号）D.差分隐私（添加噪声保护个体数据）答案：ACD（加密属于数据保护而非脱敏，脱敏是对数据本身进行变形）3.以下哪些操作符合《网络安全法》中“网络运营者”的责任要求？A.对用户个人信息进行匿名化处理后共享给合作方B.发生数据泄露后48小时内未向监管部门报告C.制定内部安全管理制度和操作规程D.采购网络产品时未进行安全审查导致安全隐患答案：AC（B违反“及时报告”要求，D违反“采购安全”义务）4.渗透测试过程中，“信息收集”阶段需要获取的关键信息包括？A.目标网络拓扑B.员工社交媒体信息（社工线索）C.系统开放的端口和服务D.数据库管理员默认密码答案：ABC（默认密码属于漏洞探测阶段内容）5.云环境下，“共享责任模型”中通常由云服务商负责的安全层面有？A.物理服务器安全B.客户数据加密C.虚拟机监控器（Hypervisor）安全D.应用程序漏洞修复答案：AC（B、D由客户负责，服务商负责基础设施层安全）三、判断题（每题2分，共10分，正确填“√”，错误填“×”）1.WAF（Web应用防火墙）可以完全防止SQL注入攻击。（）答案：×（WAF通过规则匹配检测，复杂绕过手法可能失效）2.日志完整性保护的核心是确保日志不被篡改或删除，通常通过哈希校验或写入只读存储实现。（）答案：√3.缓冲区溢出攻击主要利用了操作系统的访问控制缺陷。（）答案：×（核心是程序内存管理漏洞，未正确检查输入长度）4.依据《个人信息保护法》，处理敏感个人信息需取得个人的单独同意，并告知处理的必要性及对个人权益的影响。（）答案：√5.蜜罐（Honeypot）的主要目的是吸引攻击者，从而转移其对真实系统的攻击。（）答案：×（蜜罐用于收集攻击数据，分析攻击手段，并非转移攻击）四、简答题（每题10分，共30分）1.简述网络安全等级保护2.0中“一个中心，三重防护”的具体内容。答案：“一个中心”指安全管理中心，负责集中管理、监控和审计；“三重防护”包括：（1）计算环境安全：终端、服务器等设备的身份认证、访问控制、入侵防范；（2）区域边界安全：边界隔离、访问控制、入侵检测；（3）通信网络安全：通信链路加密、网络攻击防范、流量监控。2.请列举至少5种常见的Web应用漏洞，并分别说明其危害。答案：（1）SQL注入：攻击者通过输入恶意SQL语句获取、修改或删除数据库数据；（2）XSS（跨站脚本）：注入恶意脚本窃取用户Cookie或劫持会话；（3）CSRF（跨站请求伪造）：诱使用户执行非自愿操作（如转账）；（4）文件上传漏洞：上传恶意文件（如Webshell）获取服务器控制权；（5）路径遍历：访问未授权文件（如/etc/passwd），导致敏感信息泄露。3.某企业计划部署EDR（端点检测与响应）系统，需重点考虑哪些选型要点？答案：（1）兼容性：与现有操作系统（Windows/Linux/macOS）、虚拟化平台（VMware/KVM）的适配性；（2）检测能力：是否支持行为分析（如异常进程、内存操作）、威胁情报集成（如CVE漏洞库）；（3）响应功能：能否自动隔离感染端点、修复恶意文件；（4）性能影响：对终端CPU/内存的占用率，是否影响业务运行；（5）管理便捷性：是否支持集中控制台、日志汇总与分析；（6）合规性：是否符合《网络安全法》《数据安全法》对端点数据采集的要求。五、综合分析题（每题15分，共30分）1.某制造企业近期遭受勒索攻击，攻击者通过钓鱼邮件诱导员工点击附件，下载并执行恶意软件，随后横向移动至企业文件服务器，加密核心设计图纸并索要比特币赎金。请分析：（1）攻击路径中的关键薄弱点；（2）应采取的应急响应措施；（3）后续安全加固建议。答案：（1）薄弱点：①邮件过滤系统未有效拦截钓鱼邮件（如附件扩展名伪装、发件人仿冒）；②终端设备未启用文件执行白名单，恶意软件绕过杀毒软件；③服务器未划分安全区域，文件服务器与办公终端处于同一网络段，缺乏访问控制；④重要数据未定期离线备份，或备份未加密；⑤员工安全意识不足，未识别钓鱼邮件风险。（2）应急响应措施：①立即隔离感染终端和文件服务器，断开与其他网络的连接；②启动应急响应预案，调用EDR工具定位恶意进程，终止其运行并清除恶意文件；③联系专业安全团队分析恶意软件样本（如勒索软件类型、加密算法），尝试寻找解密工具；④向公安机关网络安全部门报案，留存攻击证据（如邮件头、日志、赎金请求记录）；⑤通知受影响部门，暂停涉及核心数据的业务，避免二次损失。（3）加固建议：①升级邮件网关，启用AI驱动的钓鱼邮件检测（如分析文本语义、发件人信誉），对附件进行沙箱检测；②部署零信任访问架构，文件服务器仅允许授权终端通过多因素认证（MFA）访问，限制横向移动；③实施数据分类分级，核心设计图纸标记为“高敏感”，启用自动加密（如透明加密）和异地离线备份（每周全量+每日增量）；④定期开展员工安全培训（钓鱼邮件识别、异常文件处理），模拟钓鱼演练并考核；⑤部署入侵检测系统（IDS）和日志集中分析平台（如ELK），监控异常流量（如大量文件加密操作、与未知IP通信）。2.某电商平台API接口近期频繁出现“接口限流绕过”攻击，攻击者通过批量请求绕过每秒100次的限流策略，导致服务器负载过高、响应延迟。请设计解决方案，要求涵盖检测、防护、验证三个阶段。答案：（1）检测阶段：①在API网关记录请求源IP、用户ID、请求时间戳，统计单位时间内请求次数；②分析异常模式：如同一IP在短时间内发起超过阈值的请求，或不同IP使用相同设备指纹（如User-Agent、Cookie）；③结合威胁情报，识别已知攻击IP或工具特征（如批量请求工具的特殊头信息）。（2）防护阶段：①动态调整限流策略：基于请求来源（IP/用户）、接口类型（如支付接口限流更严格）设置多级阈值（如普通用户100次/秒，VIP用户200次/秒）；②启用令牌桶算法：每个请求消耗一个令牌，令牌按固定速率补充，超出则返回429状态码；③实施请求签名验证：要求客户端使用API密钥提供签名，防止伪造请求（签名包含时间戳，过期无效）；④对高频请求IP进行临时封禁（如5分钟），并记录到黑名单，后续请求需通过验证码验证。（3）验证阶段：①