2026年省级行业企业职业技能竞赛（网络与信息安全管理员）综合试题及答案

2026年省级行业企业职业技能竞赛（网络与信息安全管理员）综合试题及答案一、单项选择题（本大题共20小题，每小题2分，共40分。在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填在括号内。）1.在2026年最新的网络安全防御体系中，零信任架构的核心原则被重新定义为“永不信任，始终验证”。以下哪项技术或机制是实现零信任架构中设备身份可信度评估的关键组件？（）A.传统的防火墙规则B.硬件可信根与设备指纹识别C.简单的VPN连接D.基于IP地址的访问控制列表2.某企业网络部署了入侵检测系统（IDS），安全员在日志中发现大量包含“OR1=1”特征的字符串。这通常表明攻击者正在尝试哪种类型的Web攻击？（）A.跨站脚本攻击（XSS）B.SQL注入攻击C.跨站请求伪造（CSRF）D.远程文件包含（RFI）3.在Linux系统中，为了防止普通用户通过SUID程序获取root权限，安全审计员需要查找系统中所有设置了SUID位的文件。以下哪条命令是正确的？（）A.find/-perm-4000-typefB.ls-l/|grepSUIDC.chmod-R700/usr/binD.grep-r"suid"/etc/passwd4.随着量子计算的发展，传统的非对称加密算法如RSA面临被破解的风险。在2026年的行业标准中，以下哪种算法被公认为抵抗量子计算攻击的后量子密码学候选算法之一？（）A.AES-256B.RSA-4096C.Crystals-Kyber（基于格的密码学）D.SHA-35.某Web应用使用了JSONWebToken（JWT）进行身份验证。攻击者通过修改JWT的Header部分，将算法从“RS256”改为“None”，并伪造了签名从而绕过了服务端验证。这种攻击被称为？（）A.JWT签名密钥混淆攻击B.JWT算法注入攻击C.JWT重放攻击D.JWT会话固定攻击6.在网络安全事件响应中，PDCERF模型是常用的方法论。其中，“C”代表的是哪个阶段？（）A.准备B.检测C.遏制D.根除7.管理员在配置WindowsServer2025的高级安全防火墙时，想要创建一条规则允许所有出站连接，但拒绝特定的可疑IP地址访问内网。为了确保规则的正确执行，这条拒绝规则应该设置在什么位置？（）A.规则列表的最底部B.规则列表的中间位置C.规则列表的最顶部D.位置不重要，Windows会自动优化8.关于HTTPS协议的TLS握手过程，以下说法错误的是？（）A.客户端发送ClientHello消息，包含支持的加密套件B.服务器发送ServerHello消息，选定加密套件并发送证书C.会话密钥是由客户端直接生成并通过公钥加密发送给服务器的D.使用非对称加密技术协商出会话密钥，后续通信使用对称加密9.在容器安全领域，攻击者利用容器运行时配置不当，从容器内部逃逸到宿主机操作系统。以下哪项操作可以有效降低容器逃逸风险？（）A.总是以root用户运行容器内的应用B.将宿主机的根目录直接挂载到容器中C.使用只读文件系统挂载容器根文件系统，并配置AppArmor/Seccomp限制D.共享宿主机的NetworkNamespace10.某公司内部网络发生了ARP欺骗攻击，导致大量用户无法正常上网。以下哪项措施是针对该攻击最有效的长期防御手段？（）A.定期更换IP地址B.在交换机上启用DAI（DynamicARPInspection）C.关闭所有终端的ARP缓存功能D.安装杀毒软件11.安全员在对数据库进行审计时，发现数据库账户“db_user”拥有“FILE”权限。在MySQL环境中，这意味着该账户可能具备什么能力？（）A.可以修改数据库表结构B.可以读取和写入服务器上的任意文件（前提是MySQL进程有权限）C.可以删除数据库D.可以授予其他用户权限12.2026年，随着AI技术的普及，对抗样本攻击成为新的安全威胁。攻击者通过在图像上添加人类肉眼不可见的微小扰动，导致AI模型将其错误分类。这种攻击主要针对的是AI模型的？（）A.数据完整性B.模型可用性C.模型鲁棒性D.数据机密性13.在等级保护2.0（MLPS2.0）标准中，对于第三级信息系统，关于安全审计的要求，以下描述不正确的是？（）A.应启用安全审计功能，审计覆盖到每个用户B.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他相关信息C.审计记录产生后，无需对其进行保护，直接存储即可D.应对审计记录进行保护，并定期备份14.某网络拓扑中，防火墙位于内网和外网之间。为了防止内网主机感染僵尸网络后向外网发送恶意控制流量，防火墙应该重点配置哪种策略？（）A.只允许内网主动发起的连接回包进入B.严格限制出站流量，封锁非业务必需的端口和IPC.允许所有出站流量，只检查入站流量D.仅阻断ICMP流量15.在使用Wireshark抓包分析流量时，过滤表达式“http.request.method=="POST"&&ip.addr==00”的作用是？（）A.显示所有源IP为00的HTTP流量B.显示所有目的IP为00的POST请求C.显示所有涉及IP00的HTTPPOST请求D.显示所有非POST请求且IP不是00的流量16.在公钥基础设施（PKI）体系中，CRL（证书吊销列表）和OCSP（在线证书状态协议）都用于验证证书状态。相比CRL，OCSP的主要优势在于？（）A.能够提供更多的证书信息B.响应速度更快，且不泄露其他用户的状态信息C.不需要CA服务器在线D.更加安全，无法被伪造17.安全员发现某Linux服务器存在异常的CPU占用率，通过`top`命令发现名为`ksoftirqd/0`的进程占用过高。这通常预示着什么问题？（）A.系统正在进行大量的软件中断处理，可能受到DDoS攻击或硬件故障B.系统内核死锁C.有用户态进程在进行挖矿D.内存溢出18.在Web安全测试中，BurpSuite的Intruder模块常用于进行Fuzz测试。如果要对一个登录表单的“username”字段进行测试，以探测是否存在SQL注入，攻击类型通常选择？（）A.SniperB.BatteringramC.PitchforkD.Clusterbomb19.关于IPSecVPN协议，AH（AuthenticationHeader）协议和ESP（EncapsulatingSecurityPayload）协议的主要区别在于？（）A.AH只提供认证，不提供加密；ESP既提供认证也提供加密B.ESP只提供认证，不提供加密；AH既提供认证也提供加密C.AH支持NAT穿越，ESP不支持D.AH运行在传输层，ESP运行在网络层20.某企业为了符合数据安全法的要求，实施数据分类分级。以下哪种数据应该被划分为最高级别（如L4或绝密级）？（）A.企业公开发布的产品宣传手册B.员工的姓名和部门信息C.核心算法的源代码以及加密后的私钥备份D.网站访问日志二、多项选择题（本大题共10小题，每小题3分，共30分。在每小题列出的五个备选项中有两个至五个是符合题目要求的，请将其代码填在括号内。多选、少选、错选均不得分。）1.2026年网络安全态势感知平台通常需要收集多维度的数据来进行关联分析。以下哪些属于典型的数据采集来源？（）A.NIDS（网络入侵检测系统）日志B.Windows/Linux系统日志C.应用程序访问日志D.威胁情报feeds（TIFeeds）E.办公室门禁考勤记录2.针对Web服务器的Nginx配置，以下哪些安全加固措施是有效的？（）A.隐藏Nginx版本号B.限制HTTP请求方法的大小C.开启SSL/TLS并配置强加密套件D.将root用户权限赋予Nginx工作进程E.配置连接数限制以防止慢速攻击3.以下关于恶意代码分析技术的描述，正确的有？（）A.静态分析可以在不运行恶意代码的情况下分析其特征和结构B.动态分析需要在沙箱或受控环境中运行恶意代码以观察行为C.代码签名可以完全保证代码没有恶意行为D.脱壳技术是逆向工程中常用的对抗混淆手段E.行为树模型常用于动态分析中描述恶意代码的行为逻辑4.在应急响应中，当确认服务器已被植入Webshell后，正确的处置流程包括？（）A.立即断开网络连接，防止攻击者进一步操作或横向移动B.直接删除Webshell文件即可，无需其他操作C.通过日志分析Webshell的上传途径、访问时间及操作者IPD.检查同目录下是否存在被篡改的系统文件或配置文件E.恢复系统至被入侵前的干净备份，并修补漏洞5.供应链安全是当前关注的热点。以下哪些场景属于供应链安全风险？（）A.开发人员使用了含有恶意后门的开源第三方库B.官方软件分发渠道的私钥泄露，导致攻击者签发了带毒的更新包C.攻击者入侵了软件供应商的开发环境并植入恶意代码D.用户使用了弱密码E.运维人员误操作删除了数据库6.以下哪些协议或技术属于OSI模型中应用层的安全协议？（）A.SSHB.TLSC.FTPD.S/MIMEE.Kerberos7.在进行渗透测试时，如果目标主机开启了445端口，且存在MS17-010（永恒之蓝）漏洞，攻击者可能达成哪些效果？（）A.获取目标主机的SYSTEM权限B.读取目标主机内存中的敏感数据（如密码哈希）C.在目标主机上执行任意代码D.导致目标主机蓝屏崩溃E.破解目标主机的BIOS密码8.关于数字取证的证据链，以下哪些原则是必须遵守的？（）A.证据必须由授权人员获取B.获取证据后必须计算哈希值以确保完整性C.证据存储介质必须具备写保护功能D.可以随意修改证据文件名以便于管理E.整个取证过程必须有详细的文档记录9.在Linux系统中，`/etc/ssh/sshd_config`文件的以下哪些配置选项可以提高SSH服务的安全性？（）A.PermitRootLoginnoB.PasswordAuthenticationnoC.Port2222D.AllowUsersadmin@0E.Protocol110.针对勒索病毒的防护，以下哪些策略是有效的？（）A.部署终端检测与响应（EDR）系统B.实施最小权限原则，限制用户写入权限C.定期进行离线备份（冷备）D.及时更新操作系统和应用补丁E.在防火墙上封堵所有出站流量三、判断题（本大题共15小题，每小题1分，共15分。请判断正误，正确的打“√”，错误的打“×”。）1.在网络安全中，CIA三元组分别代表Confidentiality（机密性）、Integrity（完整性）和Availability（可用性）。（）2.MD5算法由于其碰撞漏洞，已经被证明不再适合用于数字签名或密码存储等高安全性场景。（）3.只有连接了互联网的计算机才可能感染病毒，物理隔离的内网计算机是绝对安全的。（）4.SYNFlood攻击利用了TCP协议三次握手过程中的缺陷，耗尽服务器的连接资源。（）5.在Windows系统中，REG文件是注册表文件，直接双击运行可以导入注册表，这是传播后门的一种常见方式。（）6.IPS（入侵防御系统）通常串联在网络中，可以实时阻断攻击流量；而IDS（入侵检测系统）通常旁路部署，只负责报警。（）7.对称加密算法（如AES）的运算速度通常比非对称加密算法（如RSA）慢，因此适合加密大量数据。（）8.跨站脚本攻击（XSS）的主要危害是窃取用户的Cookie、会话令牌或进行钓鱼欺骗。（）9.只要使用了HTTPS协议，Web应用就是安全的，不会被黑客攻击。（）10.VLAN（虚拟局域间）可以隔离二层广播域，因此是防御内网嗅探攻击的终极手段。（）11.在应急响应中，如果条件允许，应优先对内存进行取证，因为内存中的数据（如解密密钥、未落盘的恶意代码）在关机后会丢失。（）12.Docker容器与宿主机共享内核，因此容器内的进程可以直接看到宿主机的所有进程。（）13.基于角色的访问控制（RBAC）比基于规则的访问控制（RBAC）更加灵活，适合复杂的动态环境。（）14.社会工程学攻击主要利用人性的弱点（如好奇、恐惧、贪婪），而非技术漏洞。（）15.所有的网络扫描行为（如Nmap扫描）在法律上都被定义为非法入侵行为。（）四、填空题（本大题共10小题，每小题2分，共20分。请将答案写在横线上。）1.在TCP/IP协议栈中，用于将主机名解析为IP地址的协议是_______，其默认查询端口通常是53。2.在Linux权限系统中，rwxr-xr--对应的八进制数值表示为_______。3.常见的Web漏洞扫描工具中，_______是用Python编写的开源Web应用扫描器，因其插件丰富而流行。4.在密码学中，_______是一种单向函数，常用于将任意长度的输入数据转换为固定长度的输出，且不可逆。5.Windows系统中，用于远程命令行管理的默认服务是_______，常被攻击者利用进行横向移动。6.为了防止重放攻击，协议中通常会加入_______字段，该字段随时间或请求次数递增。7.防火墙的状态检测技术会维护一张_______表，用于跟踪网络连接的状态。8.在SQL注入攻击中，攻击者若想获取数据库表结构，通常会查询MySQL中的_______数据库。9.某文件的MD5哈希值为“5d41402abc4b2a76b9719d911017c592”，如果文件被修改了一个字节，其哈希值将_______（填“完全改变”或“保持不变”）。10.在我国，关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订_______。五、简答题（本大题共4小题，每小题5分，共20分。）1.请简述XSS（跨站脚本攻击）的三种主要类型及其区别。2.在网络与信息安全应急响应中，什么是“横向移动”？请列举两种常见的横向移动技术或手段。3.简述对称加密和非对称加密的主要区别，并各举一个典型算法。4.请解释什么是“提权”？在Linux系统中，攻击者利用SUID程序进行提权的基本原理是什么？六、综合分析与计算题（本大题共3小题，共75分。）1.案例分析：Web入侵日志分析（25分）某电商平台Web服务器日志中截获了如下一段HTTP请求日志（已简化）：```[2026-10-1014:23:45]POST/productDetailHTTP/1.1Host:www.exampleContent-Type:application/x-www-form-urlencodedUser-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36Cookie:sessionid=abc123xyz;user_role=guestContent-Length:68id=1UNIONSELECTNULL,username,passwordFROMusers--```随后，日志中出现大量状态码为200的响应，且响应长度异常。(1)请分析上述日志，攻击者正在尝试什么类型的攻击？攻击的目的是什么？（5分）(2)请解释攻击载荷中“UNIONSELECTNULL,username,passwordFROMusers--”的作用。（5分）(3)如果Web应用程序未对输入进行过滤，攻击者可能获取到哪些敏感信息？（5分）(4)作为安全管理员，应如何从代码层面和运维层面防御此类攻击？（10分）2.案例分析：勒索病毒应急响应（25分）某周五下午，公司财务部多台电脑突然出现文件后缀被更改，且桌面弹出勒索信，要求支付比特币以解密文件。安全团队接到报告后介入。(1)请列出应急响应的标准流程（PDCERF模型）的六个阶段名称。（6分）(2)在“遏制”阶段，针对勒索病毒，应该采取哪些具体的隔离措施？（至少列出3点）（6分）(3)在“根除”阶段，如何确定勒索病毒的入侵路径？（7分）(4)在“恢复”阶段，为什么建议优先从“离线备份”恢复数据，而不是支付赎金？（6分）3.计算题：Diffie-Hellman密钥交换（25分）假设Alice和Bob希望在不安全的网络上协商一个共享密钥，他们决定使用Diffie-Hellman算法。双方约定公开的素数p=23和原根Alice选择私钥a=6，Bob选择私钥(1)请写出计算Alice的公钥A的公式，并计算A的值。（5分）(2)请写出计算Bob的公钥B的公式，并计算B的值。（5分）(3)请写出Alice计算共享密钥S的公式，并利用Bob的公钥B计算出S的值。（7分）(4)请写出Bob计算共享密钥S的公式，并利用Alice的公钥A计算出S的值，验证与(3)的结果是否一致。（8分）参考答案与解析一、单项选择题1.B解析：零信任架构强调对设备身份的持续验证。传统的防火墙、VPN和IPACL都基于网络位置，不够安全。硬件可信根（如TPM）和设备指纹识别能够唯一且可信地标识设备，是零信任的基础。2.B解析：“OR1=1”是经典的SQL注入测试语句，旨在改变SQL查询的逻辑使其永远为真，从而绕过认证或获取数据。3.A解析：`find/-perm-4000-typef`是Linux标准命令，用于查找根目录下所有设置了SUID位（权限数值4000）的文件。4.C解析：AES和SHA-3是对称加密和哈希算法，受量子计算影响相对较小（主要是Grover算法影响，但可通过增加密钥长度解决）。RSA基于大整数分解，会被Shor算法破解。Crystals-Kyber是NIST选定的后量子密码学标准算法之一。5.B解析：攻击者将算法修改为“None”，欺骗服务端认为不需要签名验证，从而伪造任意Token。这是典型的算法注入攻击。6.C解析：PDCERF模型代表：Preparation（准备）、Detection（检测）、Containment（遏制）、Eradication（根除）、Recovery（恢复）、Follow-up（跟踪/总结）。C是Containment。7.C解析：防火墙规则通常按顺序匹配（自上而下）。拒绝规则必须在允许规则之前匹配才能生效，因此应放在顶部。8.C解析：在TLS握手（特别是RSA密钥交换）中，客户端生成预主密钥，用服务器公钥加密发送给服务器，然后双方各自计算会话密钥。并不是直接发送会话密钥（虽然有些简化的描述容易混淆，但在TLS标准中，协商过程是混合的，但C选项描述过于绝对且不准确，现代TLS(ECDHE)双方通过DH交换直接算出密钥，不传输）。更准确地说，会话密钥绝不是由客户端生成直接通过公钥简单发送的，那样不具备前向安全性。9.C解析：以root运行容器、挂载宿主机根目录、共享NetworkNamespace都会增加逃逸风险。只读文件系统和Seccomp/AppArmor限制能显著限制容器内进程的权限，是最佳实践。10.B解析：DAI（动态ARP检测）通过交换机检查ARP报文是否合法（如IP与MAC绑定是否在DHCPSnooping表中），是防御ARP欺骗最有效的网络层手段。11.B解析：MySQL的FILE权限允许读写文件。如果配合`INTOOUTFILE`或`LOADDATAINFILE`，且MySQL账户有文件系统写权限，可导致GetShell或读取敏感文件。12.C解析：对抗样本攻击通过微小扰动导致模型误判，破坏了模型的鲁棒性。13.C解析：等保2.0第三级要求审计记录应受到保护，定期备份，并避免受到未授权的删除、修改或覆盖。直接存储显然不符合要求。14.B解析：内网被植入僵尸后，通常会尝试连接C2服务器。限制出站流量（白名单策略）能有效阻断C2通信。15.C解析：该过滤器表示筛选HTTP方法为POST，且源或目的IP为00的数据包。16.B解析：OCSP在线查询，实时性好，且通常只查询特定证书状态，不像CRL那样下载整个列表（可能泄露其他用户状态）。CRL下载可能延迟。17.A解析：`ksoftirqd`是内核线程，用于处理软中断。CPU过高说明网络包处理量极大或硬件中断冲突，常见于DDoS或网络驱动问题。18.A解析：Sniper模式针对单一Payload位置进行遍历测试，适合测试单个参数（如username）的漏洞。19.A解析：AH只提供数据完整性和源认证，不加密数据。ESP提供加密、认证和完整性。ESP支持NAT穿越，AH不支持。20.C解析：核心算法源代码和私钥是企业的核心资产，一旦泄露将造成毁灭性打击，属于最高级别数据。二、多项选择题1.ABCD解析：态势感知需要网络流量、系统日志、应用日志和外部威胁情报。门禁记录属于物理安全，一般不直接集成，除非是特定场景。2.ABCE解析：隐藏版本、限制请求大小、开启SSL、限制连接数都是有效加固。赋予root权限是极其危险的。3.ABDE解析：静态分析不运行代码，动态分析运行代码。脱壳用于对抗混淆。代码签名只能证明身份，不能保证无恶意行为（开发者可能恶意或签名私钥泄露）。4.ACDE解析：断网是第一步，防止扩大。分析日志是溯源关键。检查同目录文件以防其他后门。恢复备份和修补漏洞是根治。仅删除Webshell是不够的，因为可能还有其他未发现的后门或漏洞未修。5.ABC解析：供应链安全涉及第三方库、软件更新链、开发环境。弱密码和误操作属于内部运维风险，非供应链风险。6.ADE解析：SSH、S/MIME、Kerberos都是应用层协议。TLS工作在传输层（或表示层）之上，但本身常被视为传输层安全协议。FTP是应用层协议但非安全协议。7.ABCD解析：MS17-010是远程代码执行漏洞，可获取SYSTEM权限、执行代码、读取内存（如通过DoublePulsar植入）、导致崩溃。无法破解BIOS密码。8.ABCE解析：取证必须授权、计算哈希、写保护、详细记录。随意修改文件名破坏了证据的原始性。9.ABD解析：禁止Root登录、禁止密码认证（强制密钥）、限制特定用户白名单都是安全措施。修改端口是“隐匿式安全”，效果有限。Protocol1是老旧不安全的SSH协议，应禁用。10.ABCD解析：EDR、最小权限、离线备份、补丁管理都是有效防护。封堵所有出站流量会导致业务瘫痪，不合理。三、判断题1.√2.√3.×解析：物理隔离的内网也可能通过USB介质、物理接触或供应链植入被感染。4.√5.√6.√7.×解析：对称加密（如AES）速度很快，非对称（如RSA）速度慢，因此对称加密用于加密大量数据。8.√9.×解析：HTTPS只能保护传输层安全，无法防御应用层逻辑漏洞（如SQL注入、XSS、逻辑漏洞）。10.×解析：VLAN隔离了广播域，但如果同一VLAN内存在ARP欺骗，或者交换机被攻击（如VLANHopping），仍可被嗅探。11.√12.√解析：容器共享宿主机内核，默认情况下`psaux`可以看到宿主机的进程（除非做了PIDNamespace隔离，但通常能看到）。13.×解析：RBAC（基于角色）适合静态、层级分明的环境。ABAC（基于属性）才适合复杂的动态环境。14.√15.×解析：在获得授权的前提下，对自有资产进行扫描是合法的。未经授权的扫描是非法的。四、填空题1.DNS2.754解析：r(4)+w(2)+x(1)=7;r(4)+x(1)=5;r(4)=4.->754。3.OWASPZAP4.哈希函数或散列函数5.WinRM或RPC(WinRM更特指远程命令行管理)6.时间戳或Nonce(随机数)7.会话或状态8.information_schema9.完全改变10.网络安全审查合同(注：根据《网络安全法》及CII条例，签订的是“网络安全审查合同”或“安全保密协议”，此处填“安全保密协议”或“网络安全审查合同”均可，通常指“安全保密协议”)五、简答题1.答：(1)存储型XSS：恶意脚本被永久存储在目标服务器数据库中，当其他用户访问包含该数据的页面时触发。(2)反射型XSS：恶意脚本作为URL参数的一部分，服务器未过滤直接反射给浏览器，用户点击链接后触发。(3)DOM型XSS：恶意脚本修改了页面的DOM结构，攻击payload实际上并没有经过服务器端处理，而是由客户端JS脚本解析执行。2.答：横向移动是指攻击者在突破一台主机后，利用该主机作为跳板，在内网中尝试访问和控制其他主机的过程。常见手段：(1)利用SMB/WMI服务（如psexec,wmiexec）通过哈希传递或凭证传递执行命令。(2)利用SSH密钥或密码暴力破解内网Linux主机。(3)利用内部系统的漏洞（如MS17-010,CVE-2020-0787）。(4)通过ARP欺骗进行中间人攻击或嗅探获取凭证。3.答：区别：(1)密钥数量：对称加密使用同一个密钥进行加密和解密；非对称加密使用公钥和私钥对，公钥加密私钥解密，或私钥签名公钥验签。(2)速度与效率：对称加密速度快，适合处理大数据；非对称加密计算复杂，速度慢，适合加密小数据（如密钥）或用于签名。(3)用途：对称加密用于数据传输保密；非对称加密用于密钥交换、数字签名和身份认证。典型算法：对称加密：AES,DES,3DES,RC4。非对称加密：RSA,ECC,ElGamal。4.答：提权：是指攻击者通过利用操作系统或应用程序的漏洞，将当前进程的权限从低权限（如普通用户）提升至高权限（如管理员/root）的过程。SUID提权原理：当设置了SUID位的可执行文件运行时，它继承文件所有者的权限（通常是root）而非执行者的权限。如果该二进制文件存在漏洞（如代码注入、调用不安全的系统命令如`system()`），攻击者可以构造恶意输入，使得该文件以root权限执行攻击者