2026年网络信息安全工程师试题库(附答案)

2026年网络信息安全工程师试题库(附答案)一、单项选择题（每题2分，共40分）1.量子计算对现有公钥加密体系的威胁主要体现在可破解基于以下哪种数学难题的算法？A.对称加密的混淆扩散原则B.大整数质因数分解C.哈希函数的碰撞抵抗性D.椭圆曲线离散对数问题答案：B2.某企业部署零信任架构时，核心原则不包括以下哪项？A.所有访问请求默认不信任B.仅根据用户静态身份授予权限C.持续验证设备、用户及环境安全状态D.最小化攻击面的网络分段策略答案：B3.针对物联网设备的OTA（空中下载）升级，最需防范的安全风险是？A.升级包被篡改导致设备功能异常B.设备因断电中断升级C.用户拒绝升级导致漏洞留存D.升级日志未加密存储答案：A4.以下哪种攻击手段属于应用层DDoS？A.SYNFloodB.DNS反射攻击C.HTTPPOST洪水攻击D.ICMP泛洪答案：C5.数据脱敏技术中，“将身份证号的出生年月部分替换为”属于？5.数据脱敏技术中，“将身份证号的出生年月部分替换为”属于？A.匿名化B.去标识化C.伪匿名化D.混淆处理答案：B6.云原生环境中，保护Kubernetes集群APIServer的关键措施是？A.限制集群节点数量B.启用RBAC（基于角色的访问控制）C.关闭集群内部通信加密D.禁用Pod自动扩展功能答案：B7.某系统日志显示“/etc/passwd”被非特权用户读取，最可能的漏洞是？A.目录遍历漏洞B.SQL注入漏洞C.CSRF漏洞D.XSS漏洞答案：A8.以下哪种加密算法属于国密SM系列？A.AES-256B.RSA-2048C.SM4D.SHA-3答案：C9.移动应用安全测试中，检测APK是否被二次打包的关键方法是？A.检查应用权限申请列表B.验证数字签名是否与官方一致C.分析应用内存使用情况D.测试应用启动时间答案：B10.工业控制系统（ICS）中，Modbus协议默认未加密，防护措施不包括？A.部署工业防火墙进行协议过滤B.对Modbus流量进行TLS加密C.开放所有端口允许任意设备通信D.限制操作站的物理访问权限答案：C11.威胁情报共享平台STIX2.1中，用于描述攻击模式的对象是？A.IndicatorB.AttackPatternC.ObservableD.Malware答案：B12.针对AI模型的对抗样本攻击，主要目的是？A.提升模型训练速度B.诱导模型输出错误分类结果C.窃取模型训练数据D.破坏模型硬件设备答案：B13.数据安全法要求“数据处理者应按照数据分类分级保护制度，对数据实行分类分级管理”，其中“分级”的核心依据是？A.数据产生部门的层级B.数据泄露可能造成的危害程度C.数据存储的物理位置D.数据的更新频率答案：B14.无线局域网WPA3协议相比WPA2，新增的核心安全特性是？A.支持WEP加密B.SAE（安全平等认证）防暴力破解C.TKIP动态密钥更新D.开放网络无加密传输答案：B15.某企业使用SaaS服务存储客户数据，根据“数据主权”原则，以下哪项责任仍由企业承担？A.SaaS平台的服务器维护B.客户数据的加密存储C.平台漏洞的修复D.用户登录日志的保存答案：B16.网络安全等级保护2.0中，第三级信息系统的安全测评周期是？A.每年一次B.每两年一次C.每三年一次D.每半年一次答案：A17.以下哪种攻击利用了操作系统的漏洞？A.社会工程钓鱼B.缓冲区溢出C.钓鱼邮件附件D.DNS劫持答案：B18.区块链系统中，防止双花攻击的核心机制是？A.共识算法（如PoW）B.智能合约C.哈希链D.私钥加密答案：A19.电子认证服务中，CA机构的主要职责是？A.提供用户私钥B.验证数字证书的有效性C.存储用户敏感数据D.发起网络攻击检测答案：B20.针对勒索软件的防护，最有效的主动防御措施是？A.定期离线备份数据B.安装最新版杀毒软件C.关闭所有网络端口D.禁用员工USB设备答案：A二、填空题（每题2分，共20分）1.我国《网络安全法》规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行____次检测评估。答案：一2.零信任架构的核心逻辑是“____”，即默认不信任任何内外部访问请求。答案：永不信任，持续验证3.物联网设备的典型安全威胁包括固件漏洞、____和通信协议未加密。答案：弱认证（或弱密码）4.云安全中的“左移”策略指将安全措施提前至____阶段。答案：开发（或设计/编码）5.工业控制网络中，____协议常用于SCADA系统的远程监控，其默认端口为502。答案：Modbus6.数据脱敏的常用技术包括匿名化、去标识化、____和数据替换。答案：泛化（或掩码/加密）7.对抗机器学习攻击中，____攻击通过注入恶意数据影响模型训练过程。答案：投毒（或数据投毒）8.无线传感器网络（WSN）的安全挑战包括节点资源受限、____和拓扑动态变化。答案：无线信道易被监听9.区块链的共识算法中，____（PoS）通过节点持有的代币数量和时长决定记账权。答案：权益证明10.网络安全应急响应流程通常包括准备、检测、____、恢复和总结。答案：抑制（或遏制）三、简答题（每题8分，共40分）1.简述隐私计算技术在跨机构数据共享中的应用场景及关键技术。答案：应用场景包括医疗数据联合建模、金融风控数据共享、政务数据协同分析等，需在不泄露原始数据的前提下实现价值挖掘。关键技术包括安全多方计算（MPC）、联邦学习（FL）、可信执行环境（TEE）和同态加密（HE）。安全多方计算通过协议保证多方协同计算时数据不泄露；联邦学习在本地训练模型并仅交换参数；TEE提供硬件隔离的可信执行环境；同态加密支持对加密数据直接计算。2.列举并说明DDoS攻击的三层防护策略。答案：（1）流量清洗层：通过专业DDoS防护设备（如清洗中心）识别并过滤恶意流量，保留合法请求；（2）网络层防护：在运营商或云服务提供商的骨干网络部署流量牵引和黑洞路由，限制攻击流量扩散；（3）应用层防护：通过WAF（Web应用防火墙）或速率限制模块抵御HTTP洪水、CC攻击等针对应用层的请求淹没，验证请求合法性（如验证码、会话令牌）。3.说明云原生环境中容器安全的主要风险及防护措施。答案：主要风险包括容器镜像漏洞（如恶意软件植入）、容器逃逸（利用内核漏洞突破隔离）、服务间通信未加密（如Kubernetes集群内部流量明文传输）、错误的RBAC配置（导致权限过大）。防护措施：（1）镜像安全：使用静态扫描工具（如Trivy）检测镜像漏洞，启用内容信任（如DockerContentTrust）防止镜像篡改；（2）运行时安全：部署容器运行时防护工具（如Falco）监控异常进程；（3）网络安全：通过Calico或Cilium实现容器网络策略，加密服务间通信（如mTLS）；（4）权限管理：最小化容器运行权限（如非root用户），定期审计RBAC策略。4.对比分析SQL注入攻击与NoSQL注入攻击的区别。答案：（1）数据模型：SQL注入针对关系型数据库（如MySQL），利用SQL查询语句的拼接漏洞；NoSQL注入针对非关系型数据库（如MongoDB），利用JSON格式查询的解析漏洞。（2）攻击方式：SQL注入通过拼接恶意SQL代码（如“'OR1=1--”）绕过查询条件；NoSQL注入利用数据库对操作符（如wher5.简述AI驱动的网络安全技术应用场景及潜在风险。答案：应用场景：（1）威胁检测：通过机器学习（如随机森林、LSTM）分析日志和流量，识别异常行为；（2）自动化响应：利用决策树或强化学习自动阻断攻击；（3）漏洞挖掘：基于提供对抗网络（GAN）提供模拟漏洞数据，辅助发现未知漏洞。潜在风险：（1）对抗攻击：恶意攻击者可构造对抗样本欺骗AI模型，导致误报或漏报；（2）数据偏见：训练数据偏差可能导致模型对特定攻击类型检测失效；（3）可解释性差：深度学习模型的决策过程难以追溯，影响应急响应的准确性。四、案例分析题（每题10分，共20分）案例1：某制造企业部署了工业物联网（IIoT）系统，包含500台智能机床、边缘计算网关和云端管理平台。近期发现部分机床的加工参数被篡改，导致产品质量下降。经初步排查，边缘网关日志显示存在异常TCP连接，云端数据库记录了未授权的参数修改操作。问题：（1）分析可能的攻击路径；（2）提出针对性防护措施。答案：（1）攻击路径可能为：攻击者通过扫描发现边缘网关开放的未防护SSH端口，利用弱密码或暴力破解登录网关；通过网关获取与机床的通信协议（如OPCUA），伪造合法指令修改机床参数；同时，攻击者可能通过网关渗透至云端管理平台，利用未启用MFA的管理员账号直接修改数据库中的参数配置。（2）防护措施：①边缘网关安全：关闭非必要端口，启用SSH密钥认证替代密码认证，定期更新固件补丁；②通信安全：对机床与网关、网关与云端的通信采用TLS1.3加密，使用OPCUA的安全模式（如签名+加密）；③访问控制：为云端平台管理员启用MFA，实施最小权限原则（仅授予修改参数的必要权限）；④监测与响应：在边缘侧部署轻量级入侵检测系统（如Snort），监控异常协议流量；在云端部署SIEM（安全信息与事件管理）系统，关联分析网关登录日志与参数修改操作，触发实时警报。案例2：某金融机构的移动支付APP用户报告，在未操作的情况下账户发生小额转账，交易记录显示收款方为陌生账户，且短信验证码被拦截。经技术分析，用户手机未Root，但安装了一款第三方应用市场下载的“天气助手”APP。问题：（1）分析可能的攻击手段；（2）提出APP安全开发的改进建议。答案：（1）攻击手段：①“天气助手”为恶意软件，通过伪装正规应用诱导用户安装，利用Android的“辅助功能”或“无障碍服务”权限获取短信验证码；②恶意APP通过访问手机通讯录、通话记录等敏感数据，结合社会工程学猜测用户支付密码；③可能利用移动支付APP的漏洞（如未验证请求来源的CSRF漏洞），使用拦截的验证码伪造转账请求。（2）改进建议：