2025江西仁安实业有限公司招聘网络安全工程师1人笔试历年参考题库附带答案详解

2025江西仁安实业有限公司招聘网络安全工程师1人笔试历年参考题库附带答案详解一、选择题从给出的选项中选择正确答案（共50题）1、下列哪项不属于网络安全的CIA三要素？A.机密性B.完整性C.可用性D.不可否认性2、在TCP/IP协议栈中，负责端到端可靠数据传输的是哪一层？A.网络接口层B.网际层C.传输层D.应用层3、下列关于SQL注入攻击的描述，错误的是？A.攻击者通过构造恶意输入参数执行非预期SQL语句B.使用预编译语句可有效防御C.仅影响数据库保密性，不影响完整性D.本质是代码与数据未分离4、哪种加密算法属于对称加密算法？A.RSAB.ECCC.AESD.DSA5、防火墙的主要功能不包括以下哪项？A.过滤进出网络的数据包B.管理进出网络的访问行为C.封堵某些禁止的业务D.查杀计算机病毒6、OSI参考模型中，数据链路层的数据单位是？A.比特B.帧C.包D.段7、下列哪项措施最能防止重放攻击？A.数据加密B.数字签名C.时间戳或随机数D.访问控制列表8、关于HTTPS协议，下列说法正确的是？A.默认端口是80B.基于SSL/TLS协议实现加密C.不需要数字证书D.比HTTP传输速度更快9、下列哪种漏洞可能导致服务器被远程执行任意代码？A.XSS跨站脚本B.CSRF跨站请求伪造C.RCE远程代码执行D.SSRF服务端请求伪造10、在Linux系统中，查看当前监听端口的命令是？A.ifconfigB.netstat-tulnC.ps-efD.chmod11、下列哪项技术主要用于防止数据在传输过程中被窃听或篡改？A.防火墙B.入侵检测系统C.SSL/TLS加密协议D.漏洞扫描器12、在OSI七层模型中，负责端到端可靠数据传输的是哪一层？A.网络层B.传输层C.会话层D.应用层13、SQL注入攻击主要利用了Web应用程序中的什么缺陷？A.服务器配置错误B.用户输入未进行严格过滤C.数据库密码过于简单D.网络连接不稳定14、以下哪种身份认证方式安全性最高？A.静态密码B.短信验证码C.生物特征识别+动态令牌D.图形验证码15、DDoS攻击的主要目的是什么？A.窃取用户数据B.破坏系统可用性C.修改网页内容D.获取管理员权限16、关于公钥基础设施（PKI），下列说法正确的是？A.私钥可以公开分享B.公钥用于解密数据C.数字证书由CA机构颁发D.PKI仅用于电子邮件加密17、下列哪项不属于常见的社会工程学攻击手段？A.钓鱼邮件B.尾随进入办公区C.暴力破解密码D.假冒IT支持人员电话诈骗18、在Linux系统中，查看当前监听端口及对应进程的命令是？A.ps-efB.netstat-tlnpC.topD.df-h19、零信任安全架构的核心原则是什么？A.内网默认信任B.永不信任，始终验证C.边界防护为主D.定期更换密码即可20、SHA-256算法属于哪类密码学算法？A.对称加密B.非对称加密C.哈希摘要D.流密码21、在网络安全体系中，以下哪项技术主要用于防止数据在传输过程中被窃听或篡改？A.防火墙B.入侵检测系统C.SSL/TLS加密D.访问控制列表22、根据《中华人民共和国网络安全法》，关键信息基础设施的运营者应当至少多久进行一次网络安全检测和风险评估？A.每半年B.每年C.每两年D.每三年23、SQL注入攻击主要利用了Web应用程序中的哪种漏洞？A.缓冲区溢出B.输入验证不足C.会话固定D.跨站脚本24、在OSI七层模型中，IP地址寻址和路由选择功能主要位于哪一层？A.数据链路层B.网络层C.传输层D.应用层25、以下哪种攻击方式是通过向目标服务器发送大量伪造源IP的请求，耗尽其带宽或资源，从而导致服务不可用？A.钓鱼攻击B.DDoS攻击C.社会工程学D.暴力破解26、关于数字签名的作用，下列说法错误的是？A.保证数据的完整性B.确认发送者的身份C.保证数据的机密性D.防止发送者抵赖27、在Linux系统中，查看当前正在监听的网络端口及对应进程的命令是？A.ps-efB.netstat-tlnpC.topD.df-h28、以下哪项不属于常见的弱口令特征？A.使用连续数字如123456B.包含用户名的一部分C.长度超过12位且混合大小写特殊字符D.使用常见单词如password29、HTTPS协议默认使用的端口号是？A.80B.443C.21D.2230、在信息安全等级保护制度中，第二级信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。该描述对应的是？A.第一级B.第二级C.第三级D.第四级31、在网络安全架构中，关于“最小权限原则”的理解，下列哪项最为准确？A.用户应拥有完成工作所需的所有系统权限B.用户仅被授予执行其任务所必需的最小权限集合C.管理员应定期赋予用户最高权限以方便维护D.所有员工默认拥有只读权限，申请后开放写入32、下列关于OSI七层模型中网络层主要功能的描述，正确的是：A.提供端到端的可靠数据传输服务B.负责物理介质的比特流传输C.实现逻辑寻址和路由选择D.处理数据格式转换和加密解密33、在密码学应用中，对称加密算法与非对称加密算法的主要区别在于：A.对称加密使用公钥加密，私钥解密B.非对称加密加解密速度快，适合大数据量C.对称加密加解密使用同一密钥，非对称使用不同密钥D.非对称加密无法实现数字签名功能34、针对SQL注入攻击，下列哪种防御措施最为有效且根本？A.在Web应用防火墙中屏蔽常见SQL关键字B.使用参数化查询（预编译语句）C.对输入数据进行长度限制D.隐藏数据库报错信息35、在TCP/IP协议簇中，ARP协议的主要作用是：A.将域名解析为IP地址B.将IP地址解析为MAC地址C.动态分配IP地址D.检测网络连通性36、下列关于DDoS攻击的描述，错误的是：A.利用大量僵尸主机向目标发送请求B.旨在耗尽目标的带宽或系统资源C.主要通过窃取目标服务器上的敏感数据获利D.常见类型包括SYNFlood和UDPFlood37、在Linux系统中，查看当前系统监听端口的命令是：A.ifconfigB.netstat-tulnC.ps-efD.df-h38、关于哈希函数（HashFunction）的特性，下列说法正确的是：A.哈希值可以逆向还原出原始数据B.不同的输入一定产生不同的哈希值C.即使输入发生微小变化，哈希值也会发生显著变化D.哈希函数的输出长度随输入长度变化而变化39、在PKI（公钥基础设施）体系中，CA（证书颁发机构）的主要职责是：A.生成用户的私钥并妥善保管B.验证用户身份并签发数字证书C.存储所有用户的明文密码D.提供高速的网络缓存服务40、下列哪项不属于社会工程学攻击的典型手段？A.钓鱼邮件（Phishing）B.尾随进入受限区域（Tailgating）C.暴力破解密码字典D.冒充IT支持人员电话诈骗41、在网络安全体系中，关于“最小权限原则”的理解，下列哪项是正确的？A.用户应拥有完成工作所需的全部系统权限B.仅授予用户执行任务所必需的最小权限C.管理员账户应默认开启所有服务端口D.普通用户可随意修改系统核心配置文件42、下列哪种网络攻击方式主要利用的是TCP协议三次握手中的缺陷？A.SQL注入B.SYNFlood攻击C.XSS跨站脚本攻击D.ARP欺骗43、在OSI七层参考模型中，防火墙通常工作在哪一层以实现基于IP和端口的访问控制？A.物理层B.数据链路层C.网络层和传输层D.应用层44、关于对称加密与非对称加密的区别，下列说法错误的是？A.对称加密使用相同的密钥进行加密和解密B.非对称加密使用公钥加密，私钥解密C.对称加密的计算速度通常慢于非对称加密D.非对称加密解决了密钥分发难题45、下列哪项措施最能有效地防止SQL注入攻击？A.部署Web应用防火墙（WAF）B.使用参数化查询（预编译语句）C.定期更新操作系统补丁D.关闭不必要的数据库端口46、在信息安全等级保护制度中，第三级信息系统要求每年至少进行一次什么操作？A.自查B.等级测评C.风险评估D.应急演练47、下列关于数字证书的说法，正确的是？A.数字证书由用户自行签发B.数字证书包含持有者的公钥C.数字证书主要用于加密存储数据D.数字证书的有效期是永久的48、发现公司内网主机疑似感染勒索病毒，首要的应急处置措施是？A.立即格式化硬盘B.断开网络连接C.尝试支付赎金D.重启计算机49、以下哪种身份认证方式属于“双因素认证”？A.用户名+密码B.指纹+虹膜C.密码+手机短信验证码D.智能卡+PIN码50、关于日志审计的作用，下列描述不准确的是？A.追溯安全事件发生的原因B.满足合规性要求C.实时阻断网络攻击D.分析用户行为异常

参考答案及解析1.【参考答案】D【解析】网络安全的核心目标通常概括为CIA三元组，即机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。机密性确保信息不被未授权访问；完整性确保数据在传输或存储过程中未被篡改；可用性确保授权用户能及时获取资源。不可否认性虽然也是重要的安全属性，但它属于扩展的安全服务，不属于基础的CIA三要素。因此，正确答案为D。2.【参考答案】C【解析】TCP/IP模型分为四层：网络接口层、网际层、传输层和应用层。其中，传输层主要提供端到端的通信服务。TCP协议位于传输层，通过三次握手建立连接、序列号确认机制等保证数据的可靠传输；而UDP也位于此层但不可靠。网际层（如IP协议）主要负责路由选择和寻址，不保证可靠性。因此，负责端到端可靠数据传输的是传输层，选C。3.【参考答案】C【解析】SQL注入是指攻击者在Web表单输入域或页面请求查询字符串中插入恶意SQL命令，欺骗服务器执行恶意的SQL命令。这不仅会导致敏感数据泄露（破坏机密性），还可能修改、删除数据库中的数据（破坏完整性），甚至获取服务器权限。使用预编译语句（ParameterizedQuery）是防御SQL注入最有效的方法之一，因为它将代码与数据分离。故C项描述错误，选C。4.【参考答案】C【解析】加密算法分为对称加密和非对称加密。对称加密使用相同的密钥进行加密和解密，速度快，适合大量数据加密，常见算法包括DES、3DES、AES等。非对称加密使用公钥和私钥配对，安全性高但速度慢，常见算法包括RSA、ECC、DSA等。AES（高级加密标准）是目前广泛使用的对称加密算法。RSA、ECC和DSA均为非对称加密或签名算法。因此，正确答案为C。5.【参考答案】D【解析】防火墙是一种位于内部网络与外部网络之间的网络安全系统，依照特定的规则，允许或是限制传输的数据通过。其主要功能包括：过滤数据包、管理访问行为、封堵禁止业务、记录通过防火墙的信息内容和活动、对网络攻击进行检测和告警等。然而，传统防火墙并不具备深度内容检测能力，无法直接查杀隐藏在文件中的计算机病毒，这通常是防病毒软件或下一代防火墙（NGFW）结合IPS/AV模块的功能。故选D。6.【参考答案】B【解析】OSI七层模型中，各层的数据封装单位不同。物理层处理的是比特流（Bit）；数据链路层将比特组合成帧（Frame），并进行差错控制和流量控制；网络层处理的是数据包（Packet），负责路由选择；传输层处理的是段（Segment，TCP）或数据报（Datagram，UDP）。因此，数据链路层的数据单位是帧，正确答案为B。7.【参考答案】C【解析】重放攻击是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的。防止重放攻击的核心在于确保消息的新鲜性。常用的方法包括使用时间戳（Timestamp）或一次性随机数（Nonce）。接收方会检查时间戳是否在允许的时间窗口内，或检查随机数是否已被使用过。数据加密和数字签名主要保证机密性和完整性/身份认证，若不加时间戳或随机数，仍可能被重放。访问控制列表用于权限管理。故选C。8.【参考答案】B【解析】HTTPS（HyperTextTransferProtocolSecure）是在HTTP基础上加入SSL/TLS层，用于安全的HTTP数据传输。其默认端口是443，而非80（HTTP默认端口）。HTTPS需要服务器配置数字证书以验证身份并协商密钥。由于增加了加密解密和握手过程，HTTPS的传输效率通常略低于HTTP，但在安全性上远超HTTP。因此，只有B项描述正确，HTTPS确实是基于SSL/TLS协议实现加密通信的。9.【参考答案】C【解析】RCE（RemoteCodeExecution）即远程代码执行漏洞，允许攻击者在目标服务器上执行任意命令或代码，危害极大，可直接导致服务器被控。XSS主要窃取用户Cookie或会话令牌；CSRF利用用户已登录的身份执行非预期操作；SSRF让服务器发起任意HTTP请求，可能探测内网。虽然其他漏洞也可能间接导致严重后果，但直接定义为“远程执行任意代码”的是RCE。故选C。10.【参考答案】B【解析】ifconfig用于查看和配置网络接口信息；ps-ef用于查看进程状态；chmod用于修改文件权限。netstat是一个网络连接、路由表和网络接口统计信息的工具。其中，`netstat-tuln`参数含义分别为：-t显示TCP连接，-u显示UDP连接，-l显示监听状态的套接字，-n以数字形式显示地址和端口。该命令常用于排查服务器开放了哪些端口及服务。因此，正确答案为B。11.【参考答案】C【解析】SSL/TLS协议通过加密通道保障数据传输的机密性和完整性，有效防止窃听和篡改。防火墙主要控制访问权限，入侵检测系统用于监控异常行为，漏洞扫描器用于发现安全弱点，均不直接提供传输层加密功能。12.【参考答案】B【解析】传输层（如TCP协议）提供端到端的可靠数据传输服务，包括流量控制、差错控制和连接管理。网络层负责路由选择，会话层管理通信会话，应用层为用户提供接口，故正确答案为传输层。13.【参考答案】B【解析】SQL注入是通过将恶意SQL代码插入到输入参数中，欺骗后端数据库执行非预期操作。其根本原因是程序未对用户输入进行严格的验证和过滤。其他选项虽涉及安全问题，但不是SQL注入的直接成因。14.【参考答案】C【解析】多因素认证（MFA）结合“所知”（密码）、“所有”（令牌）和“所是”（生物特征），显著提高了破解难度。静态密码易被撞库，短信验证码可能被拦截，图形验证码仅防机器自动化，安全性均低于多因素组合认证。15.【参考答案】B【解析】分布式拒绝服务（DDoS）攻击通过海量请求耗尽目标资源，导致合法用户无法访问服务，旨在破坏系统的可用性。窃取数据、篡改内容或提权通常属于其他类型的攻击目标，而非DDoS的核心目的。16.【参考答案】C【解析】PKI体系中，私钥必须严格保密，公钥用于加密或验签。数字证书由可信的证书授权中心（CA）颁发，用于绑定公钥与持有者身份。PKI广泛应用于HTTPS、电子签名等多个领域，不仅限于邮件加密。17.【参考答案】C【解析】社会工程学利用人性弱点（如信任、恐惧）获取信息或权限，钓鱼、尾随、假冒客服均属此类。暴力破解是纯粹的技术性攻击，依靠计算能力尝试所有密码组合，不涉及心理操纵，故不属于社会工程学。18.【参考答案】B【解析】netstat-tlnp可显示TCP监听端口、本地地址及关联进程PID/名称。ps-ef查看进程列表，top实时监控资源占用，df-h查看磁盘空间。只有netstat能同时展示端口与进程的映射关系，符合题意。19.【参考答案】B【解析】零信任摒弃了传统基于边界的信任模型，主张“永不信任，始终验证”。无论用户位于内网还是外网，每次访问请求都需经过严格的身份认证和授权检查。其他选项均为传统安全观念或片面措施。20.【参考答案】C【解析】SHA-256是一种安全哈希算法，用于生成固定长度的消息摘要，具有不可逆性和抗碰撞性，常用于数据完整性校验和数字签名。它不具备加密解密功能，因此不属于对称或非对称加密算法，也不是流密码。21.【参考答案】C【解析】SSL/TLS协议通过加密通道保障数据传输的机密性和完整性，有效防止中间人攻击导致的数据窃听或篡改。防火墙主要过滤网络流量；入侵检测系统用于监控异常行为；访问控制列表用于限制资源访问权限，均不直接提供传输层加密功能。22.【参考答案】B【解析】《网络安全法》第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。23.【参考答案】B【解析】SQL注入是由于应用程序对用户输入数据缺乏严格的验证和过滤，导致攻击者可以将恶意的SQL代码插入到查询语句中执行。这属于典型的输入验证不足漏洞。缓冲区溢出涉及内存管理；会话固定涉及身份认证；跨站脚本涉及客户端脚本执行。24.【参考答案】B【解析】网络层（NetworkLayer）主要负责逻辑地址（如IP地址）的寻址、路由选择以及数据包的分片与重组。数据链路层处理物理地址（MAC）；传输层负责端到端的连接和可靠性；应用层为用户提供网络服务接口。25.【参考答案】B【解析】分布式拒绝服务攻击（DDoS）利用多台受控主机向目标发送海量请求，耗尽目标带宽或计算资源，使其无法响应正常用户请求。钓鱼攻击旨在窃取凭证；社会工程学利用人性弱点；暴力破解试图猜测密码，均非以耗尽资源为主要目的。26.【参考答案】C【解析】数字签名利用非对称加密技术，主要实现身份认证、数据完整性校验和不可否认性（防抵赖）。它并不对数据本身进行加密，因此不能保证数据的机密性。若需保密，需结合对称或非对称加密算法对数据进行加密处理。27.【参考答案】B【解析】netstat命令用于显示网络连接、路由表和网络接口信息。参数-t表示TCP，-l表示监听状态，-n表示数字形式显示，-p显示进程ID和名称。ps查看进程状态；top监控系统资源；df查看磁盘空间使用情况。28.【参考答案】C【解析】弱口令通常指容易被猜测或暴力破解的密码，如简单序列、个人信息、常见词汇等。长度超过12位且混合大小写字母、数字及特殊字符的密码具有较高的复杂度，符合强口令标准，能有效抵御暴力破解，不属于弱口令特征。29.【参考答案】B【解析】HTTP协议默认端口为80，而HTTPS（HyperTextTransferProtocolSecure）是在HTTP基础上加入SSL/TLS层，默认使用443端口进行加密通信。21端口常用于FTP文件传输，22端口常用于SSH远程登录。30.【参考答案】B【解析】根据《信息安全技术网络安全等级保护基本要求》，第二级定义为：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第一级损害较小；第三级损害严重并涉及国家安全；第四级损害特别严重。31.【参考答案】B【解析】最小权限原则（PrincipleofLeastPrivilege）是信息安全的核心准则之一。它要求任何主体（用户、程序或进程）在执行操作时，仅被赋予完成该任务所必需的最小权限。A项违背了限制原则；C项过度授权增加风险；D项虽有限制但非标准定义。B项准确描述了该原则，旨在减少攻击面，防止权限滥用导致的横向移动或数据泄露，符合安全最佳实践。32.【参考答案】C【解析】OSI模型中，网络层（第三层）主要负责逻辑寻址（如IP地址）和路由选择，确保数据包能从源节点跨越多个网络到达目的节点。A项是传输层的功能；B项是物理层的功能；D项是表示层的功能。因此，C项正确。理解各层功能是分析网络协议栈和安全漏洞的基础，例如防火墙通常工作在网络层和传输层。33.【参考答案】C【解析】对称加密（如AES）加解密使用相同的密钥，优点是速度快，缺点是密钥分发困难；非对称加密（如RSA）使用公钥加密、私钥解密（或反之），解决了密钥分发问题，但计算量大、速度慢。A项混淆了概念；B项错误，非对称速度慢；D项错误，非对称加密是实现数字签名的基础。故C项正确，这是构建混合加密体系（如SSL/TLS）的理论基础。34.【参考答案】B【解析】SQL注入的根本原因是代码将用户输入直接拼接到SQL语句中执行。参数化查询（PreparedStatements）通过将SQL结构与数据分离，确保用户输入仅被视为数据而非可执行代码，从而从根本上杜绝注入。A项易被绕过；C项不能防止短小精悍的注入载荷；D项仅能减少信息泄露，不能阻止攻击。因此，B项是业界公认的最佳实践。35.【参考答案】B【解析】ARP（AddressResolutionProtocol，地址解析协议）工作在链路层与网络层之间，用于根据已知的IP地址获取对应的物理MAC地址，以便在局域网内进行帧传输。A项是DNS的功能；C项是DHCP的功能；D项通常由ICMP（Ping命令）实现。ARP欺骗是常见的内网攻击手段，理解其原理对于部署静态ARP绑定等安全措施至关重要。36.【参考答案】C【解析】DDoS（分布式拒绝服务）攻击的主要目的是使目标服务不可用，即破坏可用性（Availability），而非机密性（Confidentiality）。它通过消耗带宽、CPU或内存资源导致服务中断。A、B、D项均正确描述了DDoS的特征和类型。C项错误，窃取数据通常是APT攻击或数据泄露事件的目标，而非DDoS的直接目的。区分攻击意图有助于制定正确的应急响应策略。37.【参考答案】B【解析】`netstat-tuln`是常用的网络状态查看命令，其中`-t`显示TCP连接，`-u`显示UDP连接，`-l`显示监听状态的套接字，`-n`以数字形式显示地址和端口。A项`ifconfig`用于配置网络接口；C项`ps-ef`用于查看进程信息；D项`df-h`用于查看磁盘空间使用情况。掌握常用运维命令是网络安全工程师进行主机加固和异常排查的基本技能。38.【参考答案】C【解析】哈希函数具有单向性（不可逆）、抗碰撞性（极难找到两个不同输入产生相同输出）和雪崩效应（输入微小变化导致输出巨大差异）。A项错误，哈希不可逆；B项错误，理论上存在碰撞，尽管概率极低；D项错误，固定算法的输出长度是固定的（如MD5为128位）。C项描述了雪崩效应，是哈希函数用于完整性校验的关键特性。39.【参考答案】B【解析】PKI的核心信任锚点是CA。CA的主要职责是审核申请者的身份信息，确认无误后，使用自己的私钥对申请者的公钥及相关信息进行签名，生成数字证书。A项错误，私钥应由用户本地生成并保密，CA不应知晓；C项严重违反安全原则；D项与CA功能无关。数字证书绑定了公钥与身份，解决了公钥分发的信任问题。40.【参考答案】C【解析】社会工程学攻击侧重于利用人性的弱点（如好奇、恐惧、信任）来获取敏感信息或访问权限，而非单纯的技术突破。A、B、D项均涉及心理操纵或物理欺骗。C项“暴力破解”属于纯技术层面的自动化攻击手段，依赖于计算能力和字典库，不涉及人际交互或心理诱导，因此不属于社会工程学范畴。识别此类区别有助于开展针对性的安全意识培训。41.【参考答案】B【解析】最小权限原则是指只赋予主体完成其任务所必需的最小权限，以减少潜在的安全风险。A项违背了限制原则；C项增加了攻击面；D项违反了权限隔离。只有B项准确体现了该原则的核心思想，即通过限制权限来降低误操作或恶意行为带来的危害，是信息安全的基础准则之一。42.【参考答案】B【解析】SYNFlood攻击利用了TCP三次握手过程中，服务器在收到SYN包后分配资源等待ACK包的特性。攻击者发送大量伪造源IP的SYN包，导致服务器资源耗尽无法响应正常请求。SQL注入针对数据库，XSS针对Web前端，ARP欺骗针对链路层地址解析，均非利用TCP握手缺陷。故正确答案为B。43.【参考答案】C【解析】传统包过滤防火墙主要工作在OSI模型的网络层（第三层）和传输层（第四层）。它通过检查数据包的源/目的IP地址、源/目的端口号以及协议类型来决定是否允许数据包通过。物理层处理比特流，数据链路层处理MAC地址，应用层防火墙则深入检查应