2026年省级行业企业职业技能竞赛（网络与信息安全管理员）仿真试题及答案

2026年省级行业企业职业技能竞赛（网络与信息安全管理员）仿真试题及答案一、单项选择题（每题1分，共20分）1.在网络安全领域，下列哪种攻击属于被动攻击？A.拒绝服务攻击B.中间人攻击C.流量分析D.缓冲区溢出攻击答案：C解析：被动攻击旨在获取信息但不影响系统资源，如窃听和流量分析。主动攻击则试图改变系统资源或影响其操作，如拒绝服务、中间人攻击和缓冲区溢出。2.根据《中华人民共和国网络安全法》，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。其中，等级保护共分为几个级别？A.三级B.四级C.五级D.六级答案：C解析：我国网络安全等级保护制度分为五个级别，从第一级到第五级，保护要求逐级增高。3.在公钥基础设施（PKI）中，负责签发和管理数字证书的权威机构是？A.注册机构（RA）B.证书颁发机构（CA）C.目录服务（LDAP）D.证书持有者答案：B解析：CA是PKI的核心，负责创建、分发、管理和吊销数字证书。RA负责审核用户身份并向CA提交证书申请。4.以下关于AES加密算法的描述，错误的是？A.是一种对称分组密码算法B.分组长度固定为128位C.密钥长度只能是128位D.采用多轮迭代的替换-置换网络结构答案：C解析：AES（高级加密标准）支持三种密钥长度：128位、192位和256位，分组长度固定为128位。5.使用Nmap进行端口扫描时，命令`nmap-sS`使用的是哪种扫描技术？A.TCPSYN扫描B.TCP连接扫描C.UDP扫描D.圣诞树扫描答案：A解析：`-sS`参数指定了TCPSYN（半开放）扫描。它发送一个SYN包，如果收到SYN/ACK回复则认为端口开放，随后发送RST断开连接，不完成完整的TCP三次握手。6.在Linux系统中，用于查看当前系统所有网络连接、监听端口及对应进程的命令是？A.`ifconfig`B.`netstat-tulnp`C.`ipaddr`D.`ss-tulnp`答案：B、D（本题为多选题形式，但题干为单选，此处按常见考法，B和D均正确。若为严格单选，则B为传统命令，D为较新替代命令，通常任一个都可作为答案，解析中需说明）解析：`netstat-tulnp`（t:TCP,u:UDP,l:监听,n:数字形式,p:显示进程）和`ss-tulnp`功能类似，`ss`是`netstat`的现代替代工具，速度更快。7.下列哪项不是Web应用防火墙（WAF）的主要防护目标？A.SQL注入B.跨站脚本（XSS）C.分布式拒绝服务（DDoS）D.文件包含漏洞答案：C解析：WAF主要针对应用层（OSI第七层）攻击，如SQL注入、XSS、CSRF、文件包含等。DDoS攻击虽然可能针对应用层，但其大规模流量型攻击通常由专门的抗DDoS设备或服务在更底层进行防护，WAF并非其主要防护手段。8.在Windows事件日志中，用于记录登录/注销、特权使用等与安全相关事件的是？A.应用程序日志B.安全日志C.系统日志D.设置日志答案：B解析：Windows安全日志专门记录审核事件，如成功或失败的登录尝试、特权使用、对象访问等。9.以下关于哈希函数特性的描述，不正确的是？A.输入任意长度，输出固定长度B.具有强抗碰撞性：难以找到两个不同的输入得到相同的哈希值C.具有可逆性：可以从哈希值恢复原始输入D.具有雪崩效应：输入的微小变化会导致输出哈希值的巨大差异答案：C解析：哈希函数是单向的，具有不可逆性，无法从哈希值推导出原始输入。这是其基本特性之一。10.在渗透测试的授权阶段，下列哪份文档是至关重要的法律依据？A.测试技术方案B.渗透测试报告C.保密协议（NDA）D.授权测试委托书（授权书）答案：D解析：正式、明确的授权测试委托书是渗透测试合法性的根本依据，定义了测试范围、时间、方式等，避免法律风险。NDA用于保密，技术方案指导测试，报告是结果输出。11.下列协议中，默认使用明文传输，安全性最差的是？A.SSHB.HTTPSC.FTPSD.Telnet答案：D解析：Telnet协议在传输过程中不对用户名、密码和数据进行加密，全部以明文形式传送。SSH、HTTPS、FTPS均使用加密通道。12.在风险评估模型中，风险值通常由哪两个要素决定？A.威胁和脆弱性B.资产价值和影响C.可能性和影响D.威胁和资产价值答案：C解析：经典的风险计算公式为：风险=可能性（Likelihood）×影响（Impact）。可能性指威胁利用脆弱性导致安全事件发生的概率，影响指安全事件一旦发生对资产造成的损害程度。13.利用MS17-010（永恒之蓝）漏洞进行传播的著名恶意软件是？A.ConfickerB.WannaCryC.MiraiD.Stuxnet答案：B解析：2017年爆发的WannaCry勒索病毒利用NSA泄露的永恒之蓝（EternalBlue）漏洞（对应微软MS17-010补丁）在全球范围内快速传播。14.以下哪种备份策略只备份自上次完全备份或增量备份以来发生变化的数据？A.完全备份B.差分备份C.增量备份D.镜像备份答案：C解析：增量备份备份的是自上一次备份（无论是完全备份还是增量备份）以来发生变化的文件。差分备份备份的是自上一次完全备份以来发生变化的所有文件。15.在数字取证中，为了确保证据的完整性，最常用的技术是？A.数据压缩B.计算哈希值（如MD5，SHA-1）C.数据加密D.数据备份答案：B解析：对原始证据介质（如硬盘）制作镜像后，计算镜像文件和原始介质的哈希值（如MD5、SHA-1/256）。在后续调查中，通过比对哈希值可以验证证据是否被篡改，保证其完整性和可采信度。16.IPv6地址`2001:0db8:85a3:0000:0000:8a2e:0370:7334`的简化表示中，错误的是？A.`2001:db8:85a3::8a2e:370:7334`B.`2001:0db8:85a3::8a2e:0370:7334`C.`2001:db8:85a3:0:0:8a2e:370:7334`D.`2001:db8:85a3::8a2e:0370:7334`答案：B解析：IPv6地址简化规则：①省略每段前导零；②用双冒号“::”替代连续的一段或多段全零，但只能使用一次。B选项中，`8a2e`段前的`0`可以省略为`8a2e`，`0370`段前导零省略后应为`370`，因此B未对`0370`进行正确简化。17.在Linux中，将文件`file1`的所有者改为`admin`，所属组改为`secgroup`的命令是？A.`chownadmin:secgroupfile1`B.`chmodadmin:secgroupfile1`C.`chgrpadmin:secgroupfile1`D.`chownsecgroup:adminfile1`答案：A解析：`chown`命令用于改变文件所有者和所属组，格式为`chown[新所有者]:[新所属组]文件名`。18.下列哪项技术主要用于防止跨站请求伪造（CSRF）攻击？A.对输出进行HTML编码B.使用验证码C.在请求中添加不可预测的令牌（Token）D.实施输入长度限制答案：C解析：CSRF攻击的核心是欺骗用户在已认证的Web应用中执行非本意的操作。最有效的防御方法是在关键请求（如表单提交、状态变更）中嵌入一个服务器生成且与用户会话绑定的随机Token，攻击者无法预测或获取该Token，从而无法构造有效请求。19.根据《信息安全技术个人信息安全规范》（GB/T35273），个人敏感信息一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人受到歧视。以下属于个人敏感信息的是？A.个人上网记录B.个人姓名C.个人公开的社交媒体账号D.个人所在城市答案：A解析：根据国家标准，个人敏感信息包括身份证号码、生物识别信息、银行账户、通信记录和内容、财产信息、行踪轨迹、健康生理信息、交易信息、14岁以下儿童信息等。个人上网记录属于通信记录，是敏感信息。姓名、公开账号、所在城市通常被视为一般个人信息（除非结合其他信息能识别特定个人）。20.在安全开发生命周期（SDL）中，下列哪个阶段的主要目的是识别和定义软件的安全需求？A.需求分析B.设计C.实现D.验证答案：A解析：SDL的安全活动贯穿整个生命周期。在需求分析阶段，需要明确安全需求、进行隐私评估、确定安全标准和合规性要求，为后续设计、开发和测试提供安全基准。二、多项选择题（每题2分，共10分，多选、少选、错选均不得分）1.下列哪些属于社会工程学攻击的常见手法？（）A.钓鱼邮件B.尾随进入限制区域C.pretexting（借口欺骗）D.利用SQL注入漏洞获取数据答案：A、B、C解析：社会工程学是利用人的心理弱点（如信任、好奇、恐惧）进行欺骗、引诱，从而获取信息或访问权限的攻击手段。A、B、C均属此类。D属于技术攻击。2.以下关于VPN技术的描述，正确的有？（）A.IPsecVPN工作在网络层，可以加密和保护整个IP数据包。B.SSL/TLSVPN通常工作在应用层，通过浏览器即可使用，无需安装特定客户端。C.PPTP是一种较老的VPN协议，因其安全性问题现已不推荐使用。D.OpenVPN是一个基于SSL/TLS的开源VPN解决方案，配置灵活，安全性高。答案：A、B、C、D解析：A正确，IPsec是网络层协议。B正确，SSLVPN（如WebVPN）便于远程访问。C正确，PPTP加密较弱。D正确，OpenVPN应用广泛。3.在Linux系统上，以下哪些命令或操作可以用于权限提升或持久化后门？（）A.将用户加入`sudoers`文件。B.设置SUID位，如`chmodu+s/bin/bash`（理论上可行，但现代系统对此有防护）。C.创建计划任务（cronjob）定期连接控制服务器。D.修改`.bashrc`或`.profile`文件，添加恶意命令。答案：A、B、C、D解析：A是直接提升权限。B是经典的SUID权限维持方法（虽然`/bin/bash`会主动放弃SUID权限，但原理如此，可用于其他程序）。C是持久化机制。D是用户登录时自动执行，属于持久化后门。4.下列哪些是有效的无线网络安全增强措施？（）A.使用WPA3替代WPA2。B.禁用SSID广播。C.启用MAC地址过滤。D.使用强密码（预共享密钥），并定期更换。答案：A、B、C、D解析：A是最新的安全协议。B和C可以增加攻击难度（但均可被绕过，属于辅助措施）。D是基础且关键的措施。所有选项在实际中常被组合使用。5.在应急响应流程中，遏制阶段可能采取的行动包括（）。A.隔离受感染主机（网络隔离）。B.重置受影响用户的密码。C.对攻击活动进行深入取证分析。D.关闭被利用的漏洞服务。答案：A、B、D解析：遏制阶段的目标是限制事件的影响范围和损害程度。A、B、D都是直接的遏制手段。C属于根除或事后复盘分析阶段的活动。三、判断题（每题1分，共10分）1.防火墙可以完全阻止内部网络发起的攻击。（）答案：错解析：传统防火墙主要监控和控制内外网之间的流量，对于内部网络内部主机之间发起的攻击，或者已经绕过防火墙（如通过VPN、移动介质）进入内网的攻击，其防护能力有限。2.数字签名可以验证信息的完整性和不可否认性。（）答案：对解析：数字签名利用非对称加密和哈希函数。发送方用私钥对信息的哈希值进行加密生成签名，接收方用公钥解密签名得到哈希值，并与计算的信息哈希值比对。完整性：哈希值匹配则信息未被篡改。不可否认性：只有发送方拥有私钥，能生成该签名。3.在Windows系统中，`Administrator`账户可以被禁用，但不能被删除。（）答案：对解析：`Administrator`是内置管理员账户，是系统安装时创建的初始账户，可以被禁用或重命名以增强安全，但无法被彻底删除。4.`ping`命令使用ICMP协议，因此所有对ICMP协议的过滤都会导致`ping`命令失效。（）答案：对解析：`ping`命令利用ICMP协议的“回显请求”（EchoRequest）和“回显应答”（EchoReply）报文。如果防火墙或网络设备过滤了所有ICMP报文，`ping`将无法收到回复，表现为超时或失败。5.漏洞扫描器（如Nessus）可以100%准确地发现所有系统漏洞。（）答案：错解析：漏洞扫描器基于已知漏洞的特征库进行检测，存在误报（将正常情况报为漏洞）和漏报（未发现实际存在的漏洞）的可能。其准确性受扫描策略、网络环境、权限、特征库更新程度等多种因素影响。6.同一条SQL注入攻击语句，在所有使用数据库的Web应用中都有效。（）答案：错解析：SQL注入的具体利用方式高度依赖于后端数据库类型（MySQL、Oracle、SQLServer等）、Web应用程序的代码逻辑、过滤机制和错误处理方式。一条针对MySQL的注入语句在Oracle上很可能无效甚至引发错误。7.全磁盘加密（如BitLocker，LUKS）可以有效防止操作系统运行时内存中的数据被窃取。（）答案：错解析：全磁盘加密保护的是静态数据（即存储在磁盘上的数据）。当系统启动、磁盘解锁后，数据在内存中以明文形式存在，此时恶意软件或拥有物理访问权限的攻击者可能从内存中窃取敏感信息。8.``在服务器监听地址中表示监听本机所有可用的IPv4网络接口。（）答案：对解析：在绑定监听地址时，``是一个特殊地址，表示“所有IPv4地址”。服务器监听`:80`意味着接受来自任何网络接口（如以太网、Wi-Fi、本地环回）的80端口连接。9.安全信息和事件管理（SIEM）系统的核心功能包括日志收集、归一化、关联分析和告警。（）答案：对解析：SIEM系统从网络设备、安全设备、服务器、应用等收集日志，进行标准化（归一化），通过关联规则分析不同来源日志间的联系，发现潜在威胁并产生告警。10.云计算中的“责任共担模型”意味着云服务提供商（CSP）和云客户共同承担所有层面的安全责任。（）答案：错解析：责任共担模型明确了安全责任的分割。通常，CSP负责“云本身的安全”（如基础设施、物理安全、虚拟化层），客户负责“云内部的安全”（如操作系统、应用、数据、身份访问管理）。责任并非在所有层面完全重叠。四、简答题（每题5分，共20分）1.简述什么是SYNFlood攻击及其基本原理。答案：SYNFlood是一种典型的分布式拒绝服务（DDoS）攻击。攻击原理是：攻击者向目标服务器发送大量伪造源IP地址的TCP连接请求（SYN包）。服务器收到SYN包后，会回复SYN-ACK包，并在内存中维护一个半开连接队列等待客户端的ACK回复。由于源IP是伪造的，服务器永远收不到ACK，导致半开连接队列被占满，无法为正常用户建立新的TCP连接，从而达到拒绝服务的目的。2.列出至少三种常见的密码破解方法。答案：①暴力破解：尝试所有可能的密码组合。②字典攻击：使用包含常见密码、单词、短语的字典文件进行尝试。③彩虹表攻击：使用预先计算好的哈希值与明文密码的对应表（彩虹表）来反向查找哈希值对应的密码，适用于破解未加盐的哈希值。④社会工程学：通过欺骗、诱导等方式直接获取密码。⑤键盘记录：通过恶意软件记录用户的击键信息。（答出任意三种即可）3.简述在收到一封可疑钓鱼邮件时，作为安全管理员应检查哪些关键点？答案：①发件人地址：检查邮箱域名是否仿冒官方，是否与声称的身份相符。②邮件标题和内容：是否有紧迫性、威胁性语言诱导点击；内容是否存在拼写、语法错误；声称的机构、活动是否真实。③链接：将鼠标悬停在链接上（不点击），查看状态栏显示的实际URL是否与显示文本一致，域名是否可疑。④附件：检查附件文件名、扩展名是否可疑（如.exe,.scr,.js等可执行文件伪装成文档）；是否来自不期望的发送者。⑤邮件头信息：查看完整的邮件头，分析邮件路径、SPF、DKIM等验证结果。4.什么是零信任安全模型？其核心原则是什么？答案：零信任安全模型是一种网络安全架构理念，其核心思想是“从不信任，始终验证”。它不默认信任网络内部或外部的任何用户、设备或系统，所有访问请求都必须经过严格的身份验证、授权和加密，无论其来源位于何处。核心原则包括：①显式验证：对所有访问请求进行严格的身份验证和授权。②最小权限访问：仅授予用户、设备或应用完成其任务所需的最小权限。③假定breach（假设失陷）：假设网络环境已经被渗透，因此需要持续监控、分析用户和设备行为，进行动态风险评估，并实施分段访问控制以限制横向移动。五、综合应用题（每题20分，共40分）1.场景：某公司内部Web服务器（IP：00）疑似被入侵，作为安全管理员，你需要进行初步调查。任务：（1）请写出在Linux服务器上，你需要检查哪些关键日志文件及其路径。（至少4个）（2）请写出查看当前系统中所有用户最近成功登录记录的命令。（3）请写出查看当前系统中所有用户最近失败登录尝试记录的命令。（4）如果怀疑存在恶意进程，请写出查看系统进程、网络连接及关联的命令组合（一行命令）。（5）在`/var/www/html`目录下发现一个可疑文件`shell.php`，请写出计算其MD5哈希值的命令，并说明此操作在取证中的目的。答案：（1）关键日志文件：`/var/log/auth.log`或`/var/log/secure`：认证相关日志（登录、sudo使用等）。`/var/log/syslog`或`/var/log/messages`：系统通用日志。`/var/log/apache2/access.log`或`/var/log/httpd/access_log`：Web服务器访问日志。`/var/log/apache2/error.log`或`/var/log/httpd/error_log`：Web服务器错误日志。`/var/log/audit/audit.log`：如果启用了auditd审计服务。（答出任意4个即可）（2）查看最近成功登录记录：`last`或`lastlog`（3）查看最近失败登录尝试：`lastb`（4）查看进程、网络连接及关联：`psauxf;netstat-tulnp`或`lsof-i`。更佳的组合是使用`psauxf`和`netstat-tulnp`结合分析。（5）计算MD5哈希值命令：`md5sum/var/www/html/shell.php`或`md5/var/www/html/shell.php`（依系统而定）。目的：在取证中，计算可疑文件的哈希值主要用于：①唯一标识：哈希值（如MD5）可作为该文件的唯一数字指纹。②完整性验证：在后续分析、传输或作为证据提交时，通过比对哈希值可以确认文件是否被修改。③恶意软件比对：可将该哈希值与威胁情报平台（如VirusTotal）的恶意软件哈希库进行比对，快速判断其是否为已知恶意文件。2.场景：公司计划对内部一个重要的Web应用系统（业务系统）进行渗透测试授权。你作为项目负责人，需要制定测试方案的核心部分。任务：（1）请列出渗透测试前期准备阶段必须明确的四项关键内容。（2）在测试过程中，发现一个存在SQL注入漏洞的登录接口`http://internal-app/login.php`，参数为`username`和`password`。请写出利用该漏洞进行“基于布尔的盲注”来探测当前数据库用户名的第一个字符是否为字母‘a’的测试Payload（假设参数为GET方式传递）。（3）测试结束后，报告需要包含“漏洞详情”部分。请为上述SQL注入漏洞设计漏洞详情描述模板，需包含漏洞名称、风险等级、漏洞位置、漏洞描述、验证步骤、修复建议等要素。（4）在报告中，除了漏洞详情，通常还需要哪些核心章节？（至少列出4个）答案：（1）前期准备阶段必须明确的关键内容：①测试目标与范围：明确授权测试的IP地址、域名、URL、系统模块。明确禁止测试的范围（如生产数据库、第三方系统等）。②测试时间窗口：明确测试开始和结束的日期、具体时间（通常为非业务高峰期）。③测试方式与限制：明确是黑盒、白盒还是灰盒测试；是否允许进行可能影响服务可用性的测试（如压力测试、暴力破解）；是否允许使用社工等。④联系方式与应急机制：明确双方项目负责人、技术对接人的联系方式；制定测试过程中发生意外（如系统崩溃、数据损坏）时的应急处理流程。（2）Payload示例：`http://internal-app/login.php?username=admin'ANDSUBSTRING(USER(),1,1)='a'AND'1'='1&password=