2026年网络安全管理员-初级工练习题库(附答案)

2026年网络安全管理员-初级工练习题库(附答案)1.根据2024年修订的《网络数据安全管理条例》，下列不属于核心数据范畴的是（）A.军工单位涉密场所人员出入台账B.国家关键信息基础设施运行故障核心参数C.地级市政务平台存储的全体市民医保报销明细D.重点电力调度系统的实时负荷数据答案：C解析：核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据，地级市医保明细属于重要数据范畴，未达核心数据等级。2.某企业员工收到发件人显示为“行政部”的邮件，附件为“2026年二季度调薪方案.exe”，点击后电脑出现蓝屏、文件被加密，该攻击属于以下哪种类型？（）A.SQL注入攻击B.勒索病毒攻击C.DDoS攻击D.跨站脚本攻击答案：B解析：伪装成正常文件的可执行程序触发后加密用户文件索要赎金，属于典型的勒索病毒攻击场景。3.下列关于零信任网络“默认不信任”原则的描述，错误的是（）A.仅对企业内网接入的设备自动授予全部资源访问权限B.所有访问主体的权限需基于身份、环境、行为多因素动态授权C.每次访问请求都需要进行身份校验和权限校验D.对内外网访问主体执行统一的安全校验标准答案：A解析：零信任原则不区分内外网，不存在默认信任的网络区域，内网接入的设备同样需要经过完整校验后授予最小必要权限。4.生成式AI工具在企业内部使用时，以下哪种操作符合网络安全管理要求？（）A.将未脱敏的客户订单数据上传至公网AI工具生成销售分析报告B.利用AI工具生成钓鱼邮件测试本企业员工安全意识C.直接使用AI生成的未经过安全检测的代码部署到生产环境D.下载无备案的第三方AI插件嵌入企业办公系统提升效率答案：B解析：经企业安全部门审批后，使用AI生成钓鱼测试邮件开展内部安全意识演练属于合法合规的安全运营操作，其余选项均存在数据泄露、恶意代码引入等风险。5.下列哪种密码设置方式符合等保2.0三级系统的用户密码要求？（）A.8位纯数字密码，每90天更换一次B.10位字母+数字组合密码，每180天更换一次C.12位大小写字母+数字+特殊字符组合密码，每90天更换一次D.12位连续字母+生日组合密码，每60天更换一次答案：C解析：等保2.0三级系统要求用户密码长度不低于8位，采用大小写字母、数字、特殊字符中三类及以上组合，更换周期不超过90天，且不可使用连续字符、个人相关信息等弱密码组合。6.某单位防火墙出现异常告警，显示某内部IP一分钟内向外部200个不同IP的3389端口发送连接请求，最可能出现的情况是（）A.该IP所属设备正在进行端口扫描，可能已被植入木马B.该IP所属设备正在进行系统补丁升级C.该IP所属设备正在访问企业云桌面资源D.该IP所属设备正在进行日常邮件收发答案：A解析：3389为Windows远程桌面默认端口，短时间内向大量IP的该端口发送连接请求是典型的端口扫描行为，多为失陷主机对内/外网横向探测的特征。7.以下不属于网络安全事件应急响应流程阶段的是（）A.准备阶段B.检测与分析阶段C.遏制、根除与恢复阶段D.系统上线评测阶段答案：D解析：系统上线评测属于系统生命周期的上线前环节，不属于应急响应流程，应急响应包含准备、检测分析、遏制、根除、恢复、总结六个阶段。8.按照《网络安全事件报告管理办法》，发生一般网络安全事件的，事件发生单位应当在（）小时内向属地网信部门、行业主管监管部门报告？A.2B.12C.24D.72答案：C解析：《网络安全事件报告管理办法》明确一般网络安全事件需在24小时内上报，较大及以上事件需在2小时内上报。9.下列关于Web应用防火墙（WAF）的功能描述，错误的是（）A.可拦截SQL注入、跨站脚本等常见Web应用层攻击B.可对HTTPS流量进行解密后做内容检测C.可替代防火墙实现网络层的DDoS攻击防护D.可对访问Web应用的IP地址设置黑白名单答案：C解析：WAF工作在应用层，主要防护Web应用层攻击，网络层DDoS攻击防护需由抗DDoS设备、防火墙等网络层安全设备实现，无法被WAF替代。10.员工离职后，企业第一时间应当执行的网络安全操作是（）A.删除该员工的所有工作文档B.停用该员工所有系统账号、门禁权限、VPN权限C.格式化该员工使用过的办公电脑D.将该员工从企业内部工作群移除答案：B解析：员工离职后第一时间需停用所有相关访问权限，避免出现越权访问、数据泄露等风险，其余操作可后续按流程执行，且删除文档、格式化电脑可能导致工作资料丢失。1.以下属于常见的社会工程学攻击手段的有（）A.伪装成IT运维人员给员工打电话索要账号密码B.在公司楼下咖啡厅放置伪装成“季度奖金方案”的U盘引诱员工插入办公电脑C.发送钓鱼短信诱导员工点击链接填写银行卡号和验证码D.利用系统漏洞植入木马窃取企业核心数据答案：ABC解析：社会工程学攻击是利用人的心理弱点而非技术漏洞实施的攻击，D选项属于利用技术漏洞的攻击方式，不属于社会工程学范畴。2.企业开展数据安全管理工作时，需对个人信息进行脱敏处理，以下属于常用脱敏技术的有（）A.掩码：将手机号中间四位替换为A.掩码：将手机号中间四位替换为B.泛化：将具体出生日期替换为出生年份C.加密：对身份证号字段使用对称加密算法存储D.哈希：对用户密码进行加盐哈希运算后存储答案：ABCD解析：掩码、泛化、加密、哈希均为常见的数据脱敏技术，可根据不同应用场景选择使用，实现个人信息的不可识别性。3.下列属于关键信息基础设施保护范围的有（）A.铁路部门的票务调度系统B.某全国连锁商超的会员管理系统C.国有银行的核心交易系统D.城市燃气供应的智能调度系统答案：ACD解析：关键信息基础设施包含公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的重要系统，普通连锁商超的会员管理系统不属于关基范畴。4.某企业办公网出现疑似挖矿病毒爆发的情况，以下处置措施正确的有（）A.第一时间断开所有失陷主机的网络连接，避免攻击横向扩散B.查看失陷主机的进程、CPU占用率、网络连接日志，排查挖矿程序路径C.直接重启所有失陷主机即可清除挖矿病毒D.对所有办公主机进行全盘查杀，排查未发现的感染设备答案：ABD解析：挖矿病毒通常会设置自启动项，单纯重启无法清除，需通过终止进程、删除启动项、查杀残留文件等方式彻底根除，其余选项均为正确处置方式。5.以下关于VPN使用的安全要求，正确的有（）A.企业VPN需采用多因素认证方式，禁止仅使用账号密码登录B.员工使用VPN访问企业内部资源时，不可同时连接公网C.可将个人VPN账号借给其他同事临时使用D.离职员工的VPN账号需在离职当日完成停用答案：ABD解析：VPN账号属于个人专属访问权限，禁止转借他人，避免出现权限滥用、数据泄露等风险，其余选项均为VPN使用的正确安全要求。6.下列属于等保2.0中“一个中心，三重防护”体系架构内容的有（）A.安全管理中心B.通信网络安全C.区域边界安全D.计算环境安全答案：ABCD解析：等保2.0的“一个中心，三重防护”指的是安全管理中心，通信网络安全、区域边界安全、计算环境安全构成的纵深防御体系。7.以下属于网络安全管理员日常运维工作内容的有（）A.每日查看防火墙、WAF、IDS等安全设备的告警日志，处置异常告警B.定期开展内部员工网络安全意识培训C.对企业业务系统定期开展漏洞扫描，跟进漏洞修复情况D.直接修改生产系统的核心配置参数优化系统运行效率答案：ABC解析：生产系统核心配置参数修改需经过严格的审批和测试流程，不可由安全管理员直接修改，避免影响业务正常运行，其余选项均属于安全管理员日常工作范畴。8.下列攻击类型属于拒绝服务攻击的有（）A.SYN洪水攻击B.UDP洪水攻击C.CC攻击D.ARP欺骗攻击答案：ABC解析：拒绝服务攻击通过消耗目标的带宽、系统资源导致服务不可用，SYN洪水、UDP洪水属于网络层拒绝服务攻击，CC攻击属于应用层拒绝服务攻击，ARP欺骗属于中间人攻击范畴。9.企业内部使用的终端设备需部署的安全管控措施有（）A.安装统一的终端杀毒软件，定期更新病毒库B.开启终端防火墙，禁用不必要的端口和服务C.禁止终端私自接入未授权的外部存储设备D.对终端的文件访问、操作行为进行日志审计答案：ABCD解析：四个选项均为终端安全管控的必要措施，可有效防范终端失陷、数据泄露等风险。10.以下行为违反《中华人民共和国网络安全法》的有（）A.未经授权侵入他人网站后台删除用户数据B.销售专门用于窃取网络数据的恶意程序C.为防范网络攻击，对本企业的外部网络开展漏洞扫描D.窃取他人网络账号密码出售获利答案：ABD解析：经审批对自有系统开展漏洞扫描属于合法的安全运营行为，其余选项均属于违反网络安全法的行为，需承担相应法律责任。1.企业可以将收集到的用户个人信息未经用户同意出售给合作的广告公司用于精准营销。（）答案：×解析：《个人信息保护法》明确规定，处理个人信息需取得个人同意，禁止未经授权出售个人信息。2.为了方便记忆，员工可以将办公系统的账号密码写在便签上贴在电脑屏幕上。（）答案：×解析：该行为容易导致密码泄露，属于弱安全行为，违反企业信息安全管理要求。3.漏洞扫描工具检测出业务系统存在高危漏洞后，应当立即直接在生产环境安装补丁修复漏洞。（）答案：×解析：漏洞补丁安装前需经过测试环境验证，确认不影响业务正常运行后，经过审批流程方可在生产环境部署，避免出现业务中断问题。4.网络安全事件应急响应结束后，应当开展复盘总结，完善安全防护措施，避免同类事件再次发生。（）答案：√解析：应急响应的总结阶段需要对事件发生原因、处置过程进行复盘，优化防护策略和应急预案，提升安全防护能力。5.公钥基础设施（PKI）中，私钥可以公开给所有通信方用于加密信息。（）答案：×解析：PKI体系中，公钥可以公开，私钥由持有者妥善保管不可泄露，公钥用于加密，私钥用于解密和签名。6.企业的安全日志至少需要留存6个月以上，满足等保合规和事件溯源的要求。（）答案：√解析：等保2.0要求安全日志留存时间不少于6个月，满足事件溯源、合规审计的需求。7.收到来自熟人发送的包含链接的短信，可以直接点击链接访问。（）答案：×解析：熟人的手机号可能被冒用，链接可能为钓鱼链接，需核实确认后再判断是否访问。8.防火墙可以阻止所有内部网络的攻击行为。（）答案：×解析：防火墙主要防护边界的攻击行为，无法阻止内部网络的横向攻击、合法权限的滥用等内部攻击行为。9.多因素认证是指需要两种及以上不同类型的校验因子验证身份，比如密码+短信验证码、密码+人脸识别等。（）答案：√解析：多因素认证要求结合“你知道的、你拥有的、你是谁”三类因子中的至少两类，有效提升账号安全性。10.企业可以随意收集员工的聊天记录、浏览记录等个人信息，用于内部安全监控。（）答案：×解析：企业监控需符合《个人信息保护法》要求，提前告知员工监控范围和用途，且仅可收集与工作相关的必要信息，不可随意收集员工个人隐私信息。1.某企业Windows服务器出现异常CPU占用率过高的情况，怀疑被植入挖矿病毒，请列出具体的排查和处置步骤。答案：（1）断开服务器网络连接，避免攻击横向扩散和挖矿程序与矿池通信；（2）打开任务管理器/资源监视器，查看CPU占用率最高的进程，记录进程名称、路径、启动参数、网络连接目标IP；（3）查看系统服务、启动项、计划任务，排查是否存在未知的自启动程序；（4）结束异常进程，删除异常程序文件、对应的启动项、服务、计划任务；（5）使用最新病毒库的杀毒软件对服务器进行全盘查杀，排查残留恶意程序；（6）排查服务器存在的安全漏洞（如弱密码、未打补丁的高危漏洞），完成漏洞修复；（7）恢复服务器网络连接，持续监控24小时CPU占用率和运行状态，确认异常消除；（8）记录处置过程，更新安全防护策略，对同网段其他服务器进行排查，避免同类感染。2.某企业收到网信部门预警，近期存在大量伪装成“电费缴费通知”的钓鱼邮件攻击，请给出针对该攻击的防范措施。答案：（1）第一时间向全体员工发布安全预警，告知本次钓鱼邮件的特征、识别方式和处置要求，提醒员工不要点击陌生邮件的附件和链接；（2）在邮件网关设置拦截规则，匹配邮件主题、附件名称、发件人特征等关键词，拦截同类钓鱼邮件；（3）对近期收到的同类邮件进行回溯排查，统计是否有员工点击过钓鱼链接或下载附件，对点击过的员工终端进行专项查杀；（4）开展专项钓鱼演练，提升员工对钓鱼邮件的识别能力；（5）完善邮件安全防护策略，开启SPF、DKIM、DMARC邮件校验机制，降低伪造发件人的钓鱼邮件通过率。3.请描述如何对企业Web应用系统进行一次常规漏洞扫描，列出操作流程和注意事项。答案：操作流程：（1）提前提交漏洞扫描申请，获得业务部门审批，明确扫描时间、扫描范围，避开业务高峰时段；（2）配置漏洞扫描工具，输入目标Web应用的域名/IP，设置扫描策略（如扫描端口范围、漏洞等级、是否开启敏感目录探测等）；（3）启动扫描任务，全程监控扫描状态，若出现业务异常需立即终止扫描；（4）扫描结束后，对扫描报告中的漏洞进行验证，排除误报；（5）将验证后的漏洞清单同步给业务系统负责人，明确修复期限和修复建议；（6）漏洞修复完成后，进行二次扫描验证，确认漏洞已修复。注意事项：（1）禁止未经审批对未授权的系统进行漏洞扫描；（2）扫描策略需避免配置可能导致业务中断的高危扫描项（如拒绝服务攻击测试）；（3）扫描过程中发现业务异常需第一时间终止任务并通知业务部门排查；（4）漏洞扫描报告需妥善保管，禁止泄露系统漏洞信息。4.某员工办公电脑不小心点击了钓鱼