2026年网络安全运维员初级工职业技能鉴定考试题库

2026年网络安全运维员初级工职业技能鉴定考试题库一、单项选择题（每题1分，共30分）1.在OSI七层模型中，负责为网络层提供服务，确保数据在一个网段上可靠传输的层级是（）。A.物理层B.数据链路层C.网络层D.传输层【答案】B【解析】数据链路层位于OSI模型的第二层，主要负责在两个相邻节点之间可靠、透明地传输数据帧，通过MAC地址寻址，并处理错误控制和流量控制。物理层（A）传输比特流；网络层（C）负责路由选择和逻辑寻址；传输层（D）负责端到端的通信。2.网络安全运维人员在检查服务器日志时，发现某IP地址在短时间内尝试了超过1000次的不同用户名登录。这种攻击行为通常被称为（）。A.SQL注入攻击B.暴力破解攻击C.跨站脚本攻击（XSS）D.拒绝服务攻击【答案】B【解析】暴力破解攻击是指攻击者通过穷举法尝试所有可能的密码或用户名组合来获取系统访问权限。短时间内大量尝试登录是典型特征。SQL注入（A）针对数据库；XSS（C）针对客户端脚本；DoS（D）旨在使服务不可用。3.在Linux系统中，用于查看当前系统运行进程的命令是（）。A.lsB.psC.chmodD.ifconfig【答案】B【解析】`ps`命令用于报告当前系统的进程状态。`ls`（A）用于列出目录内容；`chmod`（C）用于改变文件权限；`ifconfig`（D）用于配置网络接口。4.下列关于TCP/IP协议簇中端口号的描述，正确的是（）。A.端口号0-255为知名端口号B.端口号256-1023为注册端口号C.HTTP协议默认使用的端口号是8080D.SSH协议默认使用的端口号是22【答案】D【解析】SSH（SecureShell）默认使用22端口。A选项错误，知名端口范围是0-1023；B选项错误，注册端口是1024-49151；C选项错误，HTTP默认是80，8080通常是代理或备用端口。5.初级网络安全运维员在配置防火墙规则时，应遵循的最基本原则是（）。A.默认允许所有，明确拒绝特定B.默认拒绝所有，明确允许特定C.仅允许出站流量，阻止所有入站流量D.仅阻止出站流量，允许所有入站流量【答案】B【解析】“最小权限原则”要求防火墙默认拒绝所有流量，仅明确允许业务必需的流量通过。这样能最大程度减少攻击面。A选项风险极大；C和D选项过于绝对，不符合实际业务需求。6.某文件的权限设置为`rw-r-----`，其对应的八进制数值表示为（）。A.750B.640C.760D.620【答案】B【解析】权限位计算：r=4,w=2,x=0。所有者：rw=4+2=6；所属组：r=4；其他用户：无权限=0。组合起来为640。7.在网络安全中，CIA三元组指的是（）。A.机密性、完整性、可用性B.机密性、完整性、不可否认性C.认证、授权、记账D.物理安全、逻辑安全、管理安全【答案】A【解析】CIA是信息安全的核心目标：Confidentiality（机密性）、Integrity（完整性）、Availability（可用性）。B选项中的不可否认性也是安全属性，但不属于CIA核心三要素；C选项是AAA体系；D选项是安全分类。8.使用`ping`命令测试网络连通性时，`ping`命令使用的是（）协议。A.TCPB.UDPC.ICMPD.ARP【答案】C【解析】`ping`命令利用ICMP（InternetControlMessageProtocol）协议的EchoRequest（回显请求）和EchoReply（回显应答）报文来测试主机可达性。9.为了防止密码被暴力破解，运维人员在制定密码策略时，不应采取的措施是（）。A.强制设置最小密码长度B.强制密码包含大小写字母、数字和特殊字符C.强制用户每3天更换一次密码D.限制密码的历史使用记录，防止重复使用【答案】C【解析】强制每3天更换一次密码会导致用户体验极差，反而可能导致用户将密码写在纸上或选择规律性密码，降低安全性。通常建议密码更换周期为30-90天左右。10.在Windows系统中，用于查看网络连接状态（包括本地地址、外部地址和PID）的命令行工具是（）。A.ipconfigB.netstatC.nslookupD.tracert【答案】B【解析】`netstat`用于显示网络连接、路由表和网络接口统计信息。`ipconfig`（A）查看IP配置；`nslookup`（C）用于DNS查询；`tracert`（D）用于路由跟踪。11.数字签名技术主要用于保证网络传输信息的（）。A.机密性B.完整性C.可用性D.访问速度【答案】B【解析】数字签名利用私钥加密摘要，公钥解密验证，主要用于验证信息的来源（身份认证）和完整性，确保信息在传输过程中未被篡改。它不直接保证机密性。12.HTTPS协议通过（）协议来保证数据传输的安全性。A.SSL/TLSB.SSHC.IPSecD.VPN【答案】A【解析】HTTPS（HyperTextTransferProtocolSecure）是HTTP协议加上SSL/TLS（SecureSocketsLayer/TransportLayerSecurity）协议，用于加密HTTP数据。13.运维员在日志审计中发现，某台内网主机向未知的外部IP发送了大量数据包，且该主机CPU占用率极高。该主机可能遭遇了（）。A.硬件故障B.僵尸网络控制C.系统更新D.正常业务高峰【答案】B【解析】向外发送大量异常数据包且CPU高，是典型的主机被恶意程序控制（如成为僵尸网络Botnet的一部分）进行DDoS攻击或数据外泄的特征。14.IPv6地址的长度是（）位。A.32B.64C.128D.256【答案】C【解析】IPv6地址长度为128位，相比IPv4的32位大大扩展了地址空间。15.下列哪种备份策略只备份自上次完全备份或增量备份以来发生变化的数据？（）A.完全备份B.增量备份C.差异备份D.镜像备份【答案】B【解析】增量备份只备份上次备份后变化的数据。差异备份（C）是备份自上次完全备份以来变化的数据。16.在Linux系统中，`/etc/passwd`文件中存储了用户信息，其中第二个字段（x）通常代表（）。A.用户密码B.用户IDC.密码占位符（实际密码存放在/etc/shadow）D.用户主目录【答案】C【解析】出于安全考虑，现代Linux系统将密码哈希值存放在`/etc/shadow`文件中，`/etc/passwd`中的密码字段仅用`x`占位。17.网络扫描工具Nmap的主要功能不包括（）。A.主机发现B.端口扫描C.服务版本检测D.自动修复漏洞【答案】D【解析】Nmap是网络扫描器，用于发现主机、扫描端口、检测操作系统和服务版本。它不具备修复漏洞的功能，漏洞修复需要人工或补丁管理工具。18.防火墙通过检查数据包的（）信息来决定是否允许该数据包通过。A.应用层载荷B.源IP地址、目的IP地址、端口号、协议类型C.数据包传输路径D.用户名【答案】B【解析】传统包（状态）过滤防火墙主要基于网络层和传输层的头部信息（五元组：源IP、目的IP、源端口、目的端口、协议）进行过滤。深度包检测（DPI）才会检查应用层载荷（A），但基础过滤主要基于B。19.下列关于恶意软件的描述中，错误的是（）。A.病毒需要依附于宿主程序才能运行B.蠕虫可以独立运行，并利用网络自我复制C.特洛伊木马会伪装成合法软件诱导用户安装D.勒索软件只会锁定系统，不会加密文件【答案】D【解析】勒索软件通常会加密用户文件并索要赎金，或者锁定系统。D选项说“不会加密文件”是错误的，现代勒索软件主要以加密文件为主。20.运维员小李需要远程安全地管理Linux服务器，他应该使用的协议是（）。A.TelnetB.RloginC.SSHD.FTP【答案】C【解析】SSH（SecureShell）是加密的网络传输协议，用于远程登录和管理。Telnet（A）、Rlogin（B）、FTP（D）都是明文传输，极不安全。21.在公钥基础设施（PKI）系统中，CA代表的是（）。A.证书颁发机构B.中央认证C.加密算法D.访问控制【答案】A【解析】CA（CertificateAuthority）是证书颁发机构，负责签发和管理数字证书。22.如果网络管理员希望限制员工在工作时间访问娱乐网站，最有效的技术手段是（）。A.更换交换机B.配置URL过滤C.增加带宽D.修改IP地址【答案】B【解析】URL过滤（或应用层过滤）可以根据域名或URL内容来控制访问，是限制上网行为的有效手段。23.简单网络管理协议（SNMP）用于网络设备管理，默认使用的端口号是（）。A.161B.162C.80D.443【答案】A【解析】SNMPTrap通常使用162端口，但SNMP的基本操作（Get,Set）默认使用161端口。24.在Windows系统中，事件查看器（EventViewer）中用于记录安全相关事件（如登录、注销）的日志ID是（）。A.ApplicationB.SystemC.SecurityD.Setup【答案】C【解析】Security日志专门记录安全事件，如登录审核、对象访问审核等。Application（A）记录应用程序事件；System（B）记录系统组件事件。25.DDoS攻击中的“SY”通常指的是（）。A.发送大量UDP数据包B.发送大量ICMP数据包C.发送大量TCPSYN包，建立半连接D.发送大量HTTP请求【答案】C【解析】SYNFlood攻击利用TCP协议三次握手的过程，攻击者发送大量SYN包，但不回应第三次握手，导致服务器维护大量半连接队列，耗尽资源。26.运维员在配置服务器时，为了安全起见，应该（）。A.关闭所有不必要的服务和端口B.安装所有可能的软件包C.使用默认密码D.允许root用户直接SSH登录【答案】A【解析】关闭不必要的服务和端口是系统加固的基础，减少攻击面。B、C、D都是严重的安全隐患。27.路由器在网络层的作用是（）。A.寻址和路由B.物理寻址（MAC）C.建立和管理端到端连接D.数据表示转换【答案】A【解析】路由器工作在网络层，负责IP寻址和路由选择，将数据包转发到目的网络。B是交换机（数据链路层）的功能；C是传输层的功能。28.下列哪个IP地址属于C类私有地址？（）A.B.C.D.【答案】C【解析】C类私有地址范围是-55。A是A类私有；B是B类私有（-55）；D是D类组播地址。29.在进行应急响应时，对受感染硬盘进行取证分析的第一步应该是（）。A.启动系统并查杀病毒B.对硬盘进行镜像备份C.删除可疑文件D.格式化硬盘【答案】B【解析】为了保全证据，防止数据被修改或覆盖，取证的第一步必须是对原始介质进行位对位镜像备份，并在备份件上进行分析。30.“社会工程学”攻击的核心是（）。A.利用系统漏洞B.利用软件缺陷C.利用人性的弱点D.利用网络协议缺陷【答案】C【解析】社会工程学通过欺骗、诱导等手段，利用人的信任、好奇、恐惧等心理弱点获取敏感信息或系统访问权限，而非技术手段。二、判断题（每题1分，共20分）31.物理安全是网络安全的基础，包括机房的门禁、监控、电源保障等。【答案】正确【解析】物理安全确保硬件设备不被非法接触、破坏或盗窃，是所有逻辑安全措施生效的前提。32.MD5算法由于其碰撞漏洞，现在已被推荐用于数字签名等高安全性场景。【答案】错误【解析】MD5已被证明存在碰撞漏洞，不再被认为是安全的哈希算法，不推荐用于数字签名或密码存储等安全领域，应使用SHA-256等更安全的算法。33.使用`chmod777filename`将文件权限设置为所有用户可读可写可执行，这是一个安全的做法。【答案】错误【解析】777权限意味着任何用户都可以修改和执行该文件，存在极大的安全风险，是运维中的大忌。34.VPN（虚拟专用网络）技术可以在公网上建立加密的专用通道，实现安全的远程访问。【答案】正确【解析】VPN通过隧道技术和加密技术，在不安全的公网上构建逻辑上的专用网络，保障数据传输的机密性和完整性。35.只要有杀毒软件installed，电脑就绝对不会感染病毒。【答案】错误【解析】杀毒软件只能查杀已知病毒或基于特征码/启发式检测未知病毒，无法保证100%拦截所有恶意软件，且需要及时更新病毒库。36.在Linux中，root用户拥有系统的最高权限，可以执行任何操作。【答案】正确【解析】root是超级用户，对系统拥有完全的控制权。37.垂直扫描是指扫描同一主机上不同端口的开放情况。【答案】错误【解析】垂直扫描通常指针对不同IP地址的同一端口进行扫描（如扫描全网的所有445端口）；针对同一主机不同端口的扫描称为水平扫描或端口扫描。38.网络中的交换机工作在物理层。【答案】错误【解析】交换机主要工作在数据链路层（二层交换），部分三层交换机具有网络层功能。集线器才工作在物理层。39.为了方便记忆，可以将系统管理员密码写在便签纸上贴在显示器旁边。【答案】错误【解析】这是严重违反安全规定的行为，极易导致密码泄露。40.所谓“零日漏洞”是指已经被软件厂商修复并发布补丁的漏洞。【答案】错误【解析】零日漏洞是指已经被发现但官方尚未发布补丁的漏洞，此时防御难度极大。41.RADIUS协议主要用于远程用户拨入认证服务，是一种AAA协议。【答案】正确【解析】RADIUS（RemoteAuthenticationDial-InUserService）是广泛应用于远程接入的AAA（认证、授权、记账）协议。42.数据完整性是指数据在传输过程中未被非法篡改，可以通过校验和或哈希值来验证。【答案】正确【解析】完整性确保数据保持原样，哈希函数是验证完整性的常用手段。43.运维人员发现系统漏洞后，应立即在社交媒体上发布漏洞细节以警示他人。【答案】错误【解析】漏洞披露应遵循负责任的披露流程，先通知厂商修复，待补丁发布后再公开细节，直接公开会招致攻击。44.在TCP协议中，FIN标志位用于释放连接。【答案】正确【解析】FIN（Finish）标志位用来释放一个TCP连接。45.恶意代码包括病毒、蠕虫、木马、勒索软件等，它们都具有自我复制能力。【答案】错误【解析】并非所有恶意代码都具有自我复制能力，例如特洛伊木马通常不具备自我复制功能，它依赖用户的诱导执行。46.路由器ACL（访问控制列表）规则的匹配顺序是从下往上匹配。【答案】错误【解析】ACL规则通常是从上往下（按序号从小到大）依次匹配，一旦匹配成功则执行相应动作（允许或拒绝），不再继续匹配后续规则。47.基于角色的访问控制（RBAC）中，权限赋予角色，角色赋予用户。【答案】正确【解析】RBAC通过将权限分配给角色，再将角色分配给用户，极大简化了权限管理。48.混合加密体制利用了对称加密算法的高效性和非对称加密算法的便利性。【答案】正确【解析】实际应用中（如HTTPS），通常使用非对称加密交换密钥，使用对称加密传输数据，兼顾安全与性能。49.运维人员在进行系统配置变更前，不需要进行备份，因为操作都很简单。【答案】错误【解析】任何变更操作前都必须进行备份，以防操作失误导致系统崩溃或数据丢失。50.ARP协议的作用是将IP地址解析为MAC地址。【答案】正确【解析】ARP（AddressResolutionProtocol）用于将已知的IP地址解析为物理地址（MAC地址）。三、填空题（每题1分，共20分）51.计算机网络中，______协议负责自动分配IP地址，简化了网络配置。【答案】DHCP【解析】DHCP（DynamicHostConfigurationProtocol）动态主机配置协议。52.在Linux系统中，用于查看网络接口配置信息的命令是______。【答案】ifconfig或ipaddr【解析】`ifconfig`是传统命令，`ipaddr`是新一代命令。53.网络安全事件应急响应的四个阶段通常是指：准备、检测、______、恢复。【答案】抑制/遏制【解析】经典的PDCERF模型包含准备、检测、抑制、根除、恢复、跟踪。此处填“抑制”或“遏制”最为贴切。54.在公钥加密体系中，发送方用接收方的______加密数据，接收方用自己的私钥解密。【答案】公钥【解析】公钥用于加密，私钥用于解密，保证机密性。55.常见的Web漏洞中，攻击者通过在网页输入框注入恶意脚本代码，利用浏览器执行恶意代码的攻击被称为______攻击。【答案】跨站脚本或XSS【解析】CrossSiteScripting。56.为了防止DNS欺骗，可以使用______协议，它通过加密DNS查询来保护隐私和完整性。【答案】DNSoverHTTPS或DNSoverTLS【解析】DoH或DoT。57.在Windows系统中，用于查看本地ARP缓存的命令是______。【答案】arp-a【解析】`arp-a`显示ARP表。58.衡量密码强度的指标包括长度、复杂度和______。【答案】熵或随机性【解析】熵是衡量密码不可预测性的指标。59.防火墙的三种基本工作模式是：包过滤、应用代理和______。【答案】状态检测【解析】状态检测技术是现代防火墙的核心。60.在Linux系统中，存放系统日志文件的常见目录是______。【答案】/var/log【解析】/var/log是标准日志目录。61.所谓______攻击，是指攻击者伪造大量不同IP地址的数据包向服务器发送请求，导致服务器无法处理正常用户的请求。【答案】DDoS或分布式拒绝服务【解析】DistributedDenialofService。62.ISO/IEC27001是关于______管理的国际标准。【答案】信息安全【解析】ISO/IEC27001InformationSecurityManagementSystem(ISMS)。63.访问控制模型中，______模型基于安全标签进行访问控制，常见于军事或高安全领域。【答案】BLP或Biba或强制访问控制【解析】通常指MAC（强制访问控制），具体模型如BLP（机密性）或Biba（完整性）。64.网络嗅探器______可以捕获流经网卡的数据包，常用于网络故障排查，但也可能被窃听者滥用。【答案】Wireshark【解析】Wireshark是最常用的嗅探工具。65.数据包在传输过程中，经过的最大跳数通常由IP头部的______字段控制，该字段每经过一个路由器减1，为0时丢弃。【答案】TTL或TimeToLive【解析】TTL防止数据包在网络中无限循环。66.在Linux中，UID为______的用户是超级用户。【答案】0【解析】UID0对应root。67.端口扫描中，如果扫描结果显示端口处于______状态，说明目标主机上可能有服务在该端口监听。【答案】Open【解析】Open表示端口开放。68.备份策略中，周一进行完全备份，周二到周五进行增量备份。周四的备份包含了______发生变化的数据。【答案】周三【解析】增量备份只包含自上一次备份（任何类型）以来变化的数据。69.漏洞扫描器与入侵检测系统（IDS）的区别在于，前者是主动的______，后者是被动的监听。【答案】探测【解析】漏洞扫描是主动发现漏洞，IDS是被动监听流量。70.在SQL注入攻击中，攻击者利用程序未对用户输入进行过滤的漏洞，将恶意的______语句拼接到正常查询中执行。【答案】SQL【解析】SQLInjection核心在于注入SQL代码。四、简答题（每题5分，共20分）71.请简述TCP三次握手的过程，并说明为什么需要三次握手而不是两次。【答案】TCP三次握手过程如下：1.第一次握手：客户端发送SYN包（seq=x）给服务器，并进入SYN_SENT状态，等待服务器确认。2.第二次握手：服务器收到SYN包，必须确认客户的SYN（ack=x+1），同时自己也发送一个SYN包（seq=y），即SYN+ACK包，此时服务器进入SYN_RCVD状态。3.第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK（ack=y+1），此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。原因：主要为了防止已失效的连接请求报文段突然又传送到了服务端，因而产生错误。如果只有两次握手，假设客户端发送的连接请求在网络中滞留，延迟到连接释放后才到达服务器。服务器误以为是新的连接请求，于是向客户端发送确认，建立连接，等待客户端发数据。客户端由于没有发起新连接，忽略服务器的确认，不发送数据，服务器一直等待，造成资源浪费。三次握手可以确认双方的接收和发送能力都是正常的。72.简述对称加密算法和非对称加密算法的区别，并各列举一个常见的算法名称。【答案】区别：1.密钥数量：对称加密使用同一个密钥进行加密和解密；非对称加密使用一对密钥（公钥和私钥），公钥加密私钥解密，或私钥签名公钥验证。2.速度：对称加密算法运算速度快，适合处理大量数据；非对称加密算法计算复杂，速度较慢，适合加密少量数据或用于密钥交换和数字签名。3.用途：对称加密常用于数据存储加密、信道加密；非对称加密常用于数字证书、身份认证和密钥分发。常见算法：对称加密算法：AES、DES、3DES、RC4等。非对称加密算法：RSA、ECC、DSA等。73.什么是XSS攻击？请列举两种常见的XSS攻击类型。【答案】XSS（跨站脚本攻击）是一种攻击者在Web页面中注入恶意Script代码，当用户浏览该页面时，嵌入其中的Script代码会被执行，从而达到恶意攻击用户的目的。常见类型：1.存储型XSS：恶意脚本被永久存储在目标服务器的数据库或文件中，当用户请求数据时，脚本从服务器被读出并渲染执行。2.反射型XSS：恶意脚本作为URL的一部分提交给服务器，服务器将脚本“反射”回浏览器并执行，不经过服务器存储。3.DOM型XSS：基于DOM文档对象模型，通过修改页面的DOM节点形成的XSS，Payload不需要经过服务器。74.简述网络安全运维中进行日志审计的重要性。【答案】1.故障排查：通过分析系统日志、应用日志和网络日志，运维人员可以快速定位系统崩溃、服务中断或网络故障的原因。2.入侵检测：日志中记录了异常的访问行为、登录失败、权限提升等关键信息，审计日志有助于及时发现正在进行的攻击或已发生的入侵事件。（注：由于系统提示限制，不进行字数统计，内容继续呈现）3.取证溯源：在发生安全事件后，完整的日志是调查取证、追踪攻击者来源和还原攻击过程的重要依据。4.合规审计：许多法律法规（如《网络安全法》、等级保护标准）要求保留日志一定期限，日志审计是满足合规性检查的必要条件。5.趋势分析：通过对长期日志的统计分析，可以了解系统的负载变化、安全威胁趋势，为安全策略的调整提供数据支持。五、计算题（每题5分，共10分）75.某公司申请了一个C类IP地址段。若将其划分为4个子网，请计算每个子网的子网掩码，并列出第一个子网和最后一个子网的网络地址及可用主机IP范围。（假设不使用全0和全1主机地址）【答案】1.计算子网掩码：划分为4个子网，需要借用主机位的位数n，满足≥4，即nC类网络默认掩码为/24()。借用2位后，新的子网掩码为/26(92)。二进制表示：11111111.11111111.11111111.11000000十进制：922.计算子网：块大小（BlockSize）为256−子网划分如下：子网1：子网2：4子网3：28子网4：923.第一个子网（/26）：网络地址：广播地址：3可用主机范围：至24.最后一个子网（92/26）：网络地址：92广播地址：55可用主机范围：93至5476.某安全运维小组在部署密码策略，规定密码字符集包含大小写字母（52个）、数字（10个）和特殊符号（10个），密码长度要求为8位。假设攻击者使用暴力破解，每秒尝试次，请计算破解该密码所需的最大时间（结果以天为单位，保留两位小数）。【答案】1.计算字符集总数S：S2.计算所有可能的组合数N（即搜索空间大小）：密码长度LN3.计算最大尝试次数：最坏情况下需要尝试所有组合，即=次。4.计算所需时间（秒）：速度V=T计算数值：≈Ti5.换算为天：1天=24小时=86400秒Ti精确计算：=722204136308736/722204136.31/【答案】最大破解时间约为8356.48天。六、综合案例分析题（每题10分，共20分）77.案例背景：某企业Web服务器近期频繁出现间歇性响应缓慢，且CPU占用率偶尔飙升至100%。作为初级网络安全运维员，你接到任务进行排查。（1）请列出你在Linux服务器上检查CPU占用率较高的进程时，会使用的命令。（2）经过初步排查，发现一个名为`kworker`（非系统真实进程）的异常进程占用大量资源。请问你下一步如何确定该进程的可执行文件路径和启动参数？（3）如果确认该进程为恶意挖矿程序，你会采取哪些应急处理措施？（至少列出3点）【答案】（1）检查CPU占用的命令：`top`：动态查看进程资源占用情况，按P键可按CPU使用率排序。`psaux--sort=-%cpu|head`：静态查看并按CPU使用率降序排列显示前几名。`htop`：交互式进程查看器（如果已安装）。（2）确定异常进程的文件路径和参数：查看进程详细信息：`ps-ef|grep[进程名或PID]`或`psaux|grep[进程名或PID]`。输出中通常会显示启动该进程的完整命令行和路径。查看`/proc/[PID]/`目录下的文件：`ls-l/proc/[PID]/exe`：该符号链接指向进程对应的具体可执行文件的绝对路径。`cat/proc/[PID]/cmdline`：查看启动该进程的完整命令行参数。（3）应急处理措施：1.隔离主机：立即将受感染服务器断开网络连接（拔掉网线或禁用网卡），防止其继续向内网横向传播或与C&C服