2026年省级行业企业职业技能竞赛（网络与信息安全管理员）测试题及答案

2026年省级行业企业职业技能竞赛（网络与信息安全管理员）测试题及答案一、单项选择题（每题2分，共20题，共40分）1.在OSI参考模型中，负责在两个通信实体之间建立、管理和终止会话的是哪一层？A.物理层B.数据链路层C.网络层D.会话层答案与解析：D。OSI（开放系统互连）参考模型从下至上依次为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。其中，会话层负责建立、管理和终止应用程序之间的会话，提供会话控制机制。2.关于非对称加密算法RSA，以下描述正确的是？A.加密和解密使用相同的密钥B.其安全性基于大整数质因数分解的困难性C.加密速度通常比AES等对称加密算法快D.密钥长度通常为128位或256位答案与解析：B。RSA是一种非对称加密算法，使用公钥和私钥两个不同的密钥。其安全性基于大整数（两个大质数的乘积）质因数分解的数学难题。A项描述的是对称加密；C项错误，非对称加密速度通常远慢于对称加密；D项，RSA密钥长度通常为1024、2048或4096位，128/256位是AES等对称算法的常见密钥长度。3.在Linux系统中，用于查看当前系统开放端口和对应进程的命令是？A.`ifconfig`B.`netstat-tunlp`C.`iptables-L`D.`psaux`答案与解析：B。`netstat-tunlp`命令用于显示网络连接、路由表、接口统计等信息。选项`-t`显示TCP端口，`-u`显示UDP端口，`-n`以数字形式显示地址和端口号，`-l`仅显示监听状态的套接字，`-p`显示进程标识符和程序名称。A项用于配置网络接口；C项用于查看iptables防火墙规则；D项用于查看系统进程状态。4.下列哪种攻击属于典型的“中间人攻击”（Man-in-the-MiddleAttack）？A.SQL注入B.ARP欺骗C.拒绝服务攻击（DoS）D.缓冲区溢出答案与解析：B。中间人攻击是指攻击者秘密插入到两个通信方之间，拦截、窃听甚至篡改通信数据。ARP欺骗通过伪造IP地址和MAC地址的对应关系，将发往目标主机的流量重定向到攻击者主机，是实现局域网内中间人攻击的常见手段。A、D项主要针对应用层漏洞，C项旨在耗尽资源使服务不可用，均不直接属于中间人攻击模式。5.根据我国《网络安全法》，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。其中，等级保护共分为几个级别？A.三级B.四级C.五级D.六级答案与解析：C。根据《中华人民共和国网络安全法》及《网络安全等级保护条例》，网络安全等级保护制度将网络分为五个安全保护等级，从第一级到第五级，防护要求逐级增高。6.在WindowsServer环境中，用于集中管理用户、计算机和策略的目录服务是？A.ActiveDirectoryB.DNSC.DHCPD.IIS答案与解析：A。ActiveDirectory（活动目录）是微软WindowsServer环境中提供的目录服务，用于集中管理网络中的用户、计算机、组、策略等资源，是实现单点登录和统一身份认证的核心组件。B项是域名系统，C项是动态主机配置协议，D项是互联网信息服务（Web服务器）。7.使用Nmap进行端口扫描时，命令`nmap-sS`使用的是哪种扫描技术？A.TCPSYN扫描B.TCP连接扫描C.UDP扫描D.主机发现扫描答案与解析：A。`-sS`参数指定了TCPSYN（同步）扫描。这是一种半开放扫描，发送SYN包，如果收到SYN/ACK回复，则表明端口开放，随后Nmap发送RST包终止连接，不完成完整的TCP三次握手，因此较为隐蔽。8.在密码学中，能够同时实现保密性、完整性和身份认证的机制是？A.数字签名B.消息认证码（MAC）C.数字信封D.数字证书答案与解析：C。数字信封结合了对称加密和非对称加密。发送方用对称密钥加密消息（保密性），再用接收方公钥加密该对称密钥（保密性+身份认证，因为只有对应私钥持有者能解密），通常配合哈希函数和签名来保证完整性。A项数字签名主要提供完整性、不可否认性和身份认证，但不直接提供保密性；B项MAC提供完整性和身份认证，无保密性；D项数字证书是公钥的载体，用于身份绑定。9.关于防火墙的工作模式，以下说法错误的是？A.透明模式（桥接模式）下，防火墙接口无IP地址，对用户不可见B.路由模式下，防火墙接口需要配置IP地址，并承担路由功能C.混合模式下，防火墙部分接口工作在透明模式，部分接口工作在路由模式D.无论何种模式，防火墙都无法防御应用层攻击答案与解析：D。现代下一代防火墙（NGFW）集成了深度包检测（DPI）、入侵防御系统（IPS）、应用识别与控制等功能，能够有效识别和防御一部分应用层攻击（如Web攻击、特定恶意软件流量）。A、B、C项对防火墙工作模式的描述是正确的。10.在渗透测试的哪个阶段，测试人员会尝试利用已发现的漏洞来获取系统权限或敏感数据？A.信息收集B.漏洞分析C.漏洞利用D.报告撰写答案与解析：C。渗透测试通常分为规划、信息收集、威胁建模、漏洞分析、漏洞利用、后渗透、报告等阶段。漏洞利用阶段的核心就是利用已确认的漏洞，尝试获取访问权限、提升权限或窃取数据。11.下列协议中，默认使用明文传输，安全性最差的是？A.HTTPSB.SSHC.TelnetD.SFTP答案与解析：C。Telnet协议用于远程登录，但其所有通信数据（包括用户名和密码）均以明文形式传输，极易被窃听。A项HTTPS是HTTPoverSSL/TLS，B项SSH是安全的远程登录协议，D项SFTP是SSHFileTransferProtocol，它们都使用加密通道传输数据。12.在Web安全中，为了防止跨站脚本攻击（XSS），以下哪项措施最有效？A.使用参数化查询B.对用户输入进行严格的过滤和转义C.使用强会话标识符D.限制登录失败次数答案与解析：B。XSS攻击的本质是攻击者将恶意脚本注入到网页中，被其他用户的浏览器执行。最根本的防御措施是对所有不可信的数据（主要是用户输入和URL参数）在输出到HTML页面之前进行适当的过滤（移除危险标签/属性）和转义（将字符转换为HTML实体）。A项主要用于防御SQL注入；C项有助于防止会话劫持；D项用于防御暴力破解。13.关于虚拟专用网（VPN），以下哪种协议工作在OSI模型的第二层（数据链路层）？A.IPsecB.PPTPC.L2TPD.SSL/TLS答案与解析：C。L2TP（第二层隧道协议）工作在数据链路层，它本身不提供加密，通常与IPsec结合使用（L2TP/IPsec）以提供安全性。A项IPsec工作在网络层；B项PPTP工作在数据链路层和网络层之间；D项SSL/TLS工作在传输层和应用层之间。14.在风险评估中，风险值（R）通常是如何计算的？A.风险（R）=资产价值（A）×脆弱性（V）B.风险（R）=威胁（T）×脆弱性（V）×资产价值（A）C.风险（R）=可能性（L）×影响（I）D.风险（R）=威胁（T）/安全措施（S）答案与解析：C。在信息安全风险评估中，最常用的风险计算公式是：风险值=安全事件发生的可能性（Likelihood）×安全事件一旦发生造成的负面影响或损失（Impact）。A、B、D项不是标准的风险计算表达。15.下列哪项不是常见的业务连续性计划（BCP）或灾难恢复计划（DRP）中的内容？A.数据备份与恢复策略B.备用站点（热站、温站、冷站）C.入侵检测系统（IDS）部署D.应急响应流程和人员职责答案与解析：C。业务连续性计划（BCP）和灾难恢复计划（DRP）关注在灾难或重大中断事件后恢复业务运营和IT服务。其核心内容包括数据备份恢复、备用站点、应急流程、人员职责、沟通计划等。入侵检测系统（IDS）属于日常安全防护技术措施，不属于恢复计划的核心内容。16.在Windows系统中，用于存储用户密码哈希值的文件是？A.`SAM`文件B.`SYSTEM`文件C.`NTUSER.DAT`D.`pagefile.sys`答案与解析：A。SAM（SecurityAccountsManager）文件位于`%SystemRoot%\system32\config`目录，存储本地用户账户的安全信息，包括经过加密的密码哈希值（如NTLMHash）。`SYSTEM`文件包含系统启动密钥等信息，可用于解密SAM文件；`NTUSER.DAT`是用户注册表配置单元；`pagefile.sys`是页面交换文件。17.使用Wireshark进行网络抓包分析时，想要过滤出所有源IP为00且目的端口为80的TCP流量，正确的显示过滤器是？A.`ip.src==00andtcp.dstport==80`B.`ip.srceq00&&tcp.dstporteq80`C.`srchost00anddstport80`D.`ip.addr==00andtcp.port==80`答案与解析：A。在Wireshark中，显示过滤器的语法使用特定字段名和逻辑运算符。`ip.src`表示IP源地址，`tcp.dstport`表示TCP目的端口，`==`表示等于，`and`表示逻辑与。B项语法混杂且`eq`和`&&`不是标准显示过滤器语法；C项是捕获过滤器语法；D项会过滤IP地址为00（无论源或目的）且TCP端口为80（无论源或目的）的流量，不符合题意。18.关于分布式拒绝服务攻击（DDoS），以下描述不正确的是？A.攻击流量通常来自大量被控制的“僵尸”主机B.攻击目标主要是耗尽目标系统的资源（带宽、连接数、处理能力）C.基于签名的入侵防御系统（IPS）可以完全防御所有DDoS攻击D.缓解DDoS攻击可能需要结合流量清洗、黑洞路由等多种技术答案与解析：C。DDoS攻击种类繁多（如流量型、协议型、应用层），基于签名的IPS对于某些有固定模式的攻击（如某些应用层DDoS）可能有效，但对于海量的、变种的或直接以消耗带宽/资源为目的的流量型、协议型DDoS，IPS往往难以完全防御，甚至可能成为瓶颈。A、B、D项描述均正确。19.在Python中，使用`socket`库创建一个TCP客户端连接服务器时，正确的步骤顺序是？①创建socket对象②连接服务器③发送数据④接收数据⑤关闭连接A.①②③④⑤B.①③②④⑤C.②①③④⑤D.①④③②⑤答案与解析：A。标准TCP客户端流程：`socket()`创建套接字->`connect()`连接服务器->`send()`发送数据->`recv()`接收数据->`close()`关闭连接。20.根据《信息安全技术个人信息安全规范》（GB/T35273），个人信息控制者向他人提供个人信息时，以下哪项不属于必须事先征得个人信息主体同意的情形？A.向关联公司提供其个人信息B.为完成所涉交易而向物流服务商提供必要的收货人信息C.向未明确标识的第三方数据公司提供其个人行为数据用于分析D.因合并、分立等原因需要转移其个人信息答案与解析：B。根据规范，在直接支持个人信息主体完成其选择或决定的相关功能或服务所必需的场景下，例如向物流服务商提供收货人信息以完成商品交付，通常被视为履行合同所必需，可能无需再次单独征得同意（但需在隐私政策中告知）。A、C、D项均涉及个人信息用途的变更或向新控制者转移，通常需要重新征得个人信息主体的明示同意。二、多项选择题（每题3分，共10题，共30分。全部选对得3分，漏选得1分，错选不得分）1.以下哪些属于社会工程学攻击的常见手法？（）A.钓鱼邮件B.尾随进入限制区域C.利用默认密码登录系统D.在电话中冒充技术支持人员索要密码E.对网站进行SQL注入答案与解析：A,B,D。社会工程学攻击利用人的心理弱点（如信任、好奇、恐惧）而非技术漏洞来获取信息或访问权限。A、B、D项均是利用人际交互进行欺骗的手段。C项属于利用技术配置弱点，E项属于利用Web应用漏洞，均不属于社会工程学范畴。2.关于安全套接字层（SSL）/传输层安全（TLS）协议，以下说法正确的有？（）A.SSL/TLS握手协议负责协商加密参数和密钥交换B.SSL3.0版本目前被认为是安全的，可广泛使用C.TLS1.2和TLS1.3是目前推荐使用的版本D.证书在SSL/TLS中用于验证服务器（或客户端）的身份E.SSL/TLS可以完全保护通信内容不被中间人攻击答案与解析：A,C,D。A正确，握手协议是SSL/TLS的核心子协议。B错误，SSL3.0存在POODLE等严重漏洞，已被弃用。C正确，TLS1.2和更安全高效的TLS1.3是当前标准。D正确，数字证书是PKI的核心，用于身份认证。E错误，如果客户端忽略证书警告或证书被非法签发，仍可能遭受中间人攻击。3.下列文件格式中，可能被用作恶意代码载体或利用漏洞触发执行的有？（）A.`.exe`可执行文件B.`.pdf`文档C.`.jpg`图片文件D.`.docx`Word文档E.`.zip`压缩文件答案与解析：A,B,D,E。A项是直接的可执行文件。B、D项（PDF,DOCX）可以包含恶意宏、JavaScript或利用阅读器/Office软件的漏洞执行代码。E项（ZIP）可能包含恶意文件，或利用解压软件的漏洞。C项（JPG）本身是纯图像数据，通常无法直接执行代码，但历史上极少数图像处理库的解析漏洞可能被利用，不过相对罕见，且题目问“可能”，故严格来说C也存在理论可能，但主流安全威胁不将其视为主要载体。根据常见考点，多选倾向于选择A、B、D、E。4.在Linux系统中，以下哪些命令或操作可以用于权限提升或维持访问？（）A.给一个脚本添加SUID位：`chmodu+sscript.sh`B.添加一个UID为0的用户账户C.使用`crontab`创建定时任务反弹shellD.利用本地内核漏洞提权E.修改`/etc/passwd`文件中root用户的shell答案与解析：A,B,C,D,E。A项，如果脚本本身有漏洞或设计不当，SUID位可能被利用。B项，UID为0的用户等同于root。C项，通过计划任务执行恶意命令是常见的持久化手段。D项，直接利用漏洞获取root权限。E项，修改root的shell可以为自己控制的程序，从而获得root权限的shell。5.关于入侵检测系统（IDS）和入侵防御系统（IPS），以下描述正确的有？（）A.IDS主要以旁路方式部署，进行检测和告警B.IPS主要以串联方式部署，可以实时阻断攻击C.基于异常的检测技术需要先建立正常行为模型D.基于误用的检测技术依赖已知攻击的特征库E.IPS可能因为误报而阻断正常业务流量答案与解析：A,B,C,D,E。A、B项描述了两者典型的部署模式差异。C、D项描述了两种主要检测技术的原理。E项是IPS的一个主要缺点，即可能产生误报并导致合法流量被阻断。6.下列哪些是常见的Web应用防火墙（WAF）的防护功能？（）A.阻止SQL注入攻击B.缓解CC攻击C.过滤恶意爬虫D.防御跨站请求伪造（CSRF）E.加密传输数据答案与解析：A,B,C。WAF主要工作在应用层（HTTP/HTTPS），通过规则集检测和过滤恶意Web流量。A、B、C项是其典型防护能力。D项，CSRF防御通常需要在应用代码层面实现（如使用Token），WAF可以通过检查请求中是否存在预期的Token来提供一定防护，但非其核心或通用功能，且依赖于具体规则配置，并非所有WAF都能有效防御CSRF。E项，加密传输数据（如启用HTTPS）是服务器或负载均衡器的功能，不属于WAF的核心防护功能。根据常见考点和产品功能，通常选择A、B、C。7.在安全开发生命周期（SDL）中，通常包含以下哪些阶段或实践？（）A.安全培训B.需求分析阶段的安全需求定义C.设计阶段的安全架构评审D.开发阶段的代码安全审核E.测试阶段的渗透测试答案与解析：A,B,C,D,E。SDL是一个将安全考虑集成到软件开发生命周期每个阶段的过程。A项是基础；B项在早期确定安全需求；C项确保设计安全；D项保证代码实现安全；E项在发布前进行最终验证。8.关于云计算安全，以下属于云服务提供商（CSP）和云客户（租户）共同承担的安全责任有？（）A.物理基础设施安全B.虚拟化层安全C.操作系统和应用程序的安全配置D.客户数据的加密与访问控制E.网络边界防火墙策略答案与解析：D。在典型的IaaS（基础设施即服务）责任共担模型中，物理设施、虚拟化层由CSP负责；操作系统、应用程序、数据、访问控制、主机防火墙等由客户负责。D项“客户数据的加密与访问控制”的实现通常需要双方协作：CSP提供加密服务（如KMS）和IAM工具，客户负责正确配置和使用。严格来说，D项是交集。B项虚拟化层安全主要由CSP负责。C、E项主要由客户负责。A项完全由CSP负责。根据常见模型解读，D项是典型的共同责任点。9.以下哪些技术或协议有助于实现网络流量的加密和隐私保护？（）A.DNSoverHTTPS(DoH)B.VirtualPrivateNetwork(VPN)C.HTTPStrictTransportSecurity(HSTS)D.InternetProtocolSecurity(IPsec)E.MediaAccessControl(MAC)地址答案与解析：A,B,C,D。A项DoH通过HTTPS加密DNS查询，防止窃听和篡改。B项VPN建立加密隧道。C项HSTS强制浏览器使用HTTPS连接，防止降级攻击。D项IPsec是网络层加密协议。E项MAC地址是数据链路层硬件地址，与流量加密无关。10.在数字取证调查中，为了保证电子证据的合法性、真实性和完整性，需要遵循的基本原则包括？（）A.取证过程必须合法合规B.必须确保证据的连续性（监管链）C.对原始证据的操作必须使用经过验证的取证工具进行位对位拷贝D.取证过程必须全程详细记录E.取证分析可以在原始存储介质上直接进行答案与解析：A,B,C,D。A项是法律基础。B项监管链记录证据从获取到呈堂的每一个经手环节。C项使用写保护设备和哈希校验确保拷贝准确无误，避免污染原始证据。D项记录确保过程可追溯、可审查。E项错误，严禁在原始介质上直接操作，以免改变证据状态。三、判断题（每题1分，共10题，共10分）1.哈希函数（如SHA-256）具有单向性，即无法从哈希值反推出原始输入数据。答案与解析：正确。哈希函数的单向性是密码学哈希函数的基本特性之一。2.使用WPA2-PSK（个人版）的Wi-Fi网络，只要密码足够复杂，就可以完全防止被破解。答案与解析：错误。WPA2-PSK可能受到离线字典攻击或彩虹表攻击。攻击者捕获握手包后，可以离线尝试大量密码。复杂密码能极大增加破解难度和时间，但不能保证“完全”防止，特别是如果密码本身不够强或在其他渠道泄露。3.“零信任”安全模型的核心思想是“从不信任，始终验证”，不再依赖传统的网络边界。答案与解析：正确。零信任模型认为网络内外都不安全，对所有访问请求都进行严格的身份验证、授权和加密，不默认信任任何实体。4.SYNFlood攻击是一种利用TCP协议三次握手过程的漏洞发起的DDoS攻击。答案与解析：正确。攻击者发送大量伪造源IP的TCPSYN包，耗尽服务器连接资源，使其无法处理合法连接。5.在Windows系统中，PowerShell比传统的CMD命令行提供更强大的系统管理和安全审计功能。答案与解析：正确。PowerShell集成了.NETFramework，提供丰富的对象操作、脚本能力和安全特性（如执行策略、日志记录），是现代Windows安全管理和攻击中常用的工具。6.数据脱敏是指将敏感数据从数据库中永久删除，以降低数据泄露风险。答案与解析：错误。数据脱敏是通过变形、替换、屏蔽等技术将敏感数据转换为非敏感或虚构的格式，用于开发、测试、分析等非生产环境，原始数据依然存在。删除数据是数据销毁。7.`ping`命令使用ICMP协议，因此所有对ICMP协议的过滤都会导致`ping`命令失效。答案与解析：正确。`ping`命令利用ICMPEchoRequest和EchoReply报文工作。如果防火墙或网络设备过滤了所有ICMP报文，`ping`将无法收到回复，表现为“失效”。8.区块链技术因其去中心化和不可篡改的特性，可以完全杜绝所有类型的安全攻击。答案与解析：错误。区块链本身在防篡改、抗抵赖方面有优势，但依然面临51%攻击、智能合约漏洞、交易所攻击、私钥丢失、网络分叉等多种安全威胁和风险，不能“完全杜绝”所有攻击。9.安全运营中心（SOC）的主要职能是实时监控、分析安全事件并协调响应。答案与解析：正确。SOC是一个集中化的团队和设施，负责持续监控和改善组织的安全态势，包括事件检测、分析、响应、恢复和报告。10.《中华人民共和国数据安全法》规定，国家建立数据分类分级保护制度。答案与解析：正确。该法第二十一条明确规定，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用造成的危害程度，对数据实行分类分级保护。四、综合应用题（共2题，第1题10分，第2题10分，共20分）1.场景分析题某公司内部Web服务器（IP：00）近期出现异常缓慢。安全运维人员使用`netstat-an`命令查看，发现大量到该服务器80端口的TCP连接处于`SYN_RECV`状态，且源IP地址分布广泛且看起来是随机的。同时，网络流量监控显示进入该服务器的上行带宽接近饱和。（1）根据现象判断，该服务器很可能遭受了哪种类型的攻击？（2分）（2）请阐述这种攻击的基本原理。（4分）（3）请提出至少三种在网络层或系统层可以采取的缓解或防御措施。（4分）答案与解析：（1）SYNFlood攻击（或TCP洪水攻击）。（2分）（2）攻击原理：攻击者向目标服务器发送大量伪造源IP地址的TCPSYN连接请求包。服务器收到SYN包后，会为每个请求分配资源（如连接控制块），并回复SYN-ACK包，然后等待客户端的ACK包以完成三次握手。由于源IP是伪造的或不存在的，服务器要么收不到ACK回复，要么收到来自真实IP的RST包（该IP并未发起连接）。服务器会维持这些半开连接直到超时（通常数十秒到数分钟）。大量半开连接迅速耗尽服务器的内存、CPU或连接队列资源，导致其无法响应合法用户的连接请求，造成拒绝服务。（4分）（3）缓解/防御措施：启用SYNCookie机制：在服务器端启用SYNCookie，当检测到可能遭受SYNFlood时，不再立即分配存储资源，而是通过计算生成一个特殊的序列号（Cookie）放在SYN-ACK中。只有收到带有正确Cookie的