2025年网络安全技术基础考试模拟题及答案

2025年网络安全技术基础考试模拟题及答案一、单项选择题（每题2分，共30分）1.以下哪种加密算法属于非对称加密？A.AES-256B.ChaCha20C.RSAD.3DES答案：C2.TLS1.3协议中默认不再支持的密钥交换方式是？A.ECDHEB.DHC.RSA密钥交换D.PSK答案：C（TLS1.3仅保留前向安全的密钥交换方式，RSA密钥交换因缺乏前向保密被弃用）3.针对物联网设备的典型攻击中，“Mirai”僵尸网络主要利用的漏洞是？A.弱口令B.缓冲区溢出C.跨站脚本（XSS）D.拒绝服务（DoS）答案：A（Mirai通过扫描物联网设备默认/弱口令进行控制）4.以下哪项不属于零信任架构的核心原则？A.持续验证B.最小权限访问C.网络边界强化D.身份为中心答案：C（零信任强调“永不信任，始终验证”，弱化传统网络边界）5.量子计算对现有加密体系威胁最大的是？A.对称加密（如AES）B.哈希函数（如SHA-256）C.椭圆曲线加密（ECC）D.消息认证码（HMAC）答案：C（量子计算机可通过Shor算法破解基于大整数分解和椭圆曲线离散对数的公钥加密）6.某企业网络中，管理员发现内网主机频繁向境外IP发送异常DNS查询，最可能的攻击是？A.DDoS攻击B.数据泄露C.DNS隧道攻击D.ARP欺骗答案：C（DNS隧道利用DNS协议隐蔽传输数据，常表现为异常DNS查询）7.以下哪项是Web应用防火墙（WAF）的主要功能？A.检测并阻断SQL注入、XSS攻击B.防止物理设备被盗C.加密传输中的邮件内容D.管理员工账号权限答案：A8.访问控制模型中，“基于角色的访问控制（RBAC）”的核心是？A.用户直接关联权限B.用户关联角色，角色关联权限C.权限根据用户动态分配D.权限与用户身份强绑定答案：B9.用于验证数据完整性的密码学工具是？A.数字签名B.哈希函数C.对称加密D.密钥交换协议答案：B（哈希函数通过提供唯一摘要验证数据是否被篡改）10.针对工业控制系统（ICS）的典型攻击中，“Stuxnet”病毒主要攻击的目标是？A.石油管道SCADA系统B.核电站centrifuges（离心机）C.智能电网调度系统D.交通信号控制系统答案：B（Stuxnet通过破坏伊朗核设施离心机实施物理破坏）11.以下哪种漏洞属于“内存安全漏洞”？A.SQL注入B.跨站请求伪造（CSRF）C.缓冲区溢出D.路径遍历答案：C（缓冲区溢出因内存操作失控导致）12.网络安全等级保护2.0中，第三级信息系统的保护要求强调？A.自主保护B.指导保护C.监督保护D.强制保护答案：C（三级系统需在主管部门监督下实施保护）13.以下哪项是“蓝队”在红蓝对抗中的主要职责？A.模拟真实攻击者发起攻击B.检测、响应并修复安全事件C.设计安全策略与架构D.审计安全合规性答案：B（蓝队为防御方，红队为攻击方）14.无线局域网（WLAN）中，WPA3协议相比WPA2的主要改进是？A.支持WEP加密B.引入SAE（安全平等认证）防暴力破解C.仅使用TKIP加密D.取消PSK模式答案：B（WPA3的SAE机制通过密码验证密钥交换防止离线字典攻击）15.某系统日志显示“SYNFlood攻击”，其原理是？A.向目标发送大量FIN包消耗连接资源B.伪造源IP发送大量SYN包，使目标处于半连接状态C.发送超大ICMP数据包导致内存溢出D.利用UDP协议无连接特性耗尽带宽答案：B二、填空题（每题2分，共20分）1.常见的抗量子加密算法中，基于格的加密方案典型代表是__________（如NTRU）。答案：格基加密（Lattice-basedCryptography）2.防火墙按技术分类，工作在OSI模型第三层（网络层）的是__________防火墙。答案：包过滤3.哈希函数SHA-3的输出长度可以是224、256、384或__________位。答案：5124.物联网（IoT）设备常用的轻量级加密算法是__________（如用于ZigBee的AES-CCM）。答案：AES（或具体模式如AES-CCM）5.工业控制系统（ICS）中，用于设备间实时通信的协议是__________（如Modbus、PROFINET）。答案：工业控制协议（或具体协议名称）6.SQL注入攻击的本质是__________与数据未严格分离，导致恶意代码被执行。答案：用户输入（或应用程序代码）7.数据脱敏技术中，将处理为“1385678”的方法称为__________。答案：掩码（或部分隐藏）8.网络钓鱼攻击中，攻击者伪造的常见目标包括__________（如银行、电商网站）。答案：可信网站（或具体类型如金融机构）9.漏洞生命周期中，“0day漏洞”指__________未被修复且未被厂商知晓的漏洞。答案：已被发现但10.云计算环境中，“租户隔离”的主要实现技术是__________（如虚拟机监控器、容器隔离）。答案：虚拟化技术（或具体技术如Hypervisor）三、简答题（每题8分，共40分）1.简述对称加密与非对称加密的区别，并各举一例说明应用场景。答案：对称加密使用相同密钥加密和解密（如AES），优点是速度快，适用于大数据加密（如文件加密）；非对称加密使用公钥加密、私钥解密（如RSA），解决了密钥分发问题，适用于安全通信（如TLS握手）或数字签名（如代码签名）。2.说明DDoS攻击的防护思路，至少列出三种关键措施。答案：防护思路包括：①流量清洗（通过专业设备识别并过滤异常流量）；②扩容带宽（提升网络容量应对洪水攻击）；③关闭不必要的开放端口（减少攻击面）；④使用Anycast技术分散流量；⑤部署DDoS防御服务（如云厂商提供的防护服务）。3.什么是“零日攻击（Zero-dayAttack）”？其防范难点是什么？答案：零日攻击指利用未被厂商修复的漏洞（0day漏洞）发起的攻击。防范难点：①漏洞未知，传统特征库无法检测；②攻击具有突然性，防御方难以及时响应；③漏洞可能被APT组织长期利用，隐蔽性强。4.列举三种Web应用常见漏洞，并说明其防护措施。答案：①SQL注入：防护措施为使用预编译语句（PreparedStatement）、输入验证；②XSS（跨站脚本）：对用户输入进行转义（如HTML编码）、设置CSP（内容安全策略）；③CSRF（跨站请求伪造）：使用CSRF令牌（Token）、验证Referer头或Origin头。5.简述量子计算对现有密码学的影响及应对策略。答案：影响：量子计算机可通过Shor算法破解RSA、ECC等公钥加密，通过Grover算法加速对称加密的暴力破解。应对策略：①研发抗量子密码算法（如格基、编码基加密）；②推动后量子密码标准（如NIST后量子密码计划）；③混合使用传统与抗量子算法（过渡阶段）；④加速现有系统向抗量子密码迁移。四、综合题（每题15分，共30分）1.某小型企业计划搭建办公网络，需满足以下需求：员工通过内网访问文件服务器，部分员工需远程安全访问；防止外部恶意攻击；记录关键操作日志。请设计网络安全架构，并说明各组件的作用。答案：架构设计：①边界防火墙：部署在企业网络与互联网之间，通过访问控制列表（ACL）限制外部对内部的非必要访问，阻断DDoS、端口扫描等攻击。②入侵检测系统（IDS）/入侵防御系统（IPS）：监控网络流量，检测已知攻击模式（如SQL注入特征），IPS可主动阻断攻击流量。③VPN网关：为远程员工提供IPSec或SSLVPN接入，通过加密通道（如AES-256）保护远程访问数据，结合双因素认证（2FA）增强身份验证。④文件服务器：部署在内网安全区域（DMZ或专用子网），设置基于角色的访问控制（RBAC），仅授权员工可访问；启用文件加密（如NTFS加密）保护静态数据。⑤日志服务器：收集防火墙、IDS、VPN等设备的日志，使用SIEM（安全信息与事件管理）系统集中分析，实现操作审计（如文件下载记录）和异常检测（如异常登录尝试）。2.分析以下攻击场景，并提出防御方案：用户收到一封主题为“工资条查询”的邮件，附件为“2025年3月工资条.doc”，点击后电脑变慢，后续发现银行账户资金被盗。答案：攻击场景分析：①社会工程学钓鱼：攻击者伪造工资条邮件诱导用户点击附件；②恶意文件执行：附件可能是伪装成文档的恶意软件（如宏病毒、勒索软件），利用Office漏洞（如CVE-2024-XXXX）或诱导用户启用宏；③信息窃取：恶意软件窃取浏览器缓存中的银行Cookie，或直接记录键盘输入（键盘记录器），导致资金被盗。防御方案：①邮件安全：部署邮件网关，通过内容过滤（如附件类型白名单）、URL信誉检查（如分析短链接指向的恶意站点）拦截钓鱼邮件；对可疑邮件标记“风险”并隔离。②用户培训：定期开展安全意识教育，强调不轻易点击陌生邮件附件，不启用未知文档的宏功能；提示通过企业内部系统（如OA）查询工资条。③端点防护：安装EDR（端点检测与