2026年中级网络与信息安全管理员(四级)《理论知识》考试真题

2026年中级网络与信息安全管理员(四级)《理论知识》考试真题一、单项选择题1.在OSI参考模型中，负责在两个相邻节点间的线路上无差错地传送以帧为单位的数据的是（）。A.物理层B.数据链路层C.网络层D.传输层答案：B解析：数据链路层的主要功能是在物理层提供的比特流服务基础上，在相邻节点之间建立数据链路，传送以帧为单位的数据，并采用差错控制与流量控制方法，使有差错的物理线路变成无差错的数据链路。2.下列IP地址中，属于C类私有地址的是（）。A.B.C.D.答案：C解析：私有IP地址范围包括：A类~55；B类~55；C类~55。属于D类组播地址。因此，属于C类私有地址。3.使用子网掩码24对一个C类网络进行子网划分，每个子网可用的主机地址数是（）。A.30B.32C.62D.64答案：A解析：子网掩码24的二进制形式为11111111.11111111.11111111.11100000。主机位为最后5位。每个子网可用主机地址数为−24.在TCP协议中，用于建立连接的三次握手过程中，客户端发送的第一个报文段标志位设置是（）。A.SYN=1,ACK=0B.SYN=1,ACK=1C.SYN=0,ACK=1D.FIN=1,ACK=0答案：A解析：TCP三次握手中，客户端发送连接请求报文段，其首部中的同步位SYN置为1，同时选择一个初始序列号seq=x。此时确认位ACK为0。服务器收到后回复SYN=1，ACK=1的报文段。5.下列协议中，工作在应用层的是（）。A.IPB.TCPC.ARPD.SNMP答案：D解析：SNMP（简单网络管理协议）是用于网络设备管理的应用层协议。IP是网络层协议，TCP是传输层协议，ARP（地址解析协议）一般被认为是网络层协议。6.关于防火墙的描述，错误的是（）。A.包过滤防火墙主要工作在OSI的网络层和传输层B.代理防火墙可以完全屏蔽内部网络结构C.状态检测防火墙比包过滤防火墙具有更高的安全性D.下一代防火墙（NGFW）无法集成入侵防御系统（IPS）功能答案：D解析：下一代防火墙（NGFW）是传统防火墙的演进，它集成了多种安全功能，包括但不限于深度包检测（DPI）、应用识别与控制、入侵防御系统（IPS）、甚至防病毒等功能。因此，“无法集成IPS功能”的说法是错误的。7.在Windows操作系统中，用于查看当前主机ARP缓存表的命令是（）。A.ipconfig/allB.arp-aC.netstat-anD.tracert答案：B解析：`arp-a`命令用于显示当前ARP缓存中的所有项目。`ipconfig/all`显示所有网络适配器的完整TCP/IP配置。`netstat-an`显示所有活动的TCP连接以及侦听的端口。`tracert`用于跟踪数据包到达目标所经过的路径。8.下列加密算法中，属于非对称加密算法的是（）。A.AESB.DESC.RSAD.RC4答案：C解析：RSA是一种广泛使用的非对称加密算法，基于大数分解的难题。AES、DES、RC4都属于对称加密算法。9.数字证书不包含以下哪项内容？（）A.证书持有者的公钥B.证书颁发机构（CA）的私钥C.证书的有效期D.证书持有者的身份信息答案：B解析：数字证书是一个由权威机构（CA）签发的文件，包含证书持有者的身份信息、公钥、CA的数字签名、证书序列号、有效期等信息。CA的私钥是CA自身保密的核心，绝不会包含在颁发的证书中，CA使用其私钥对证书进行签名。10.下列行为中，最可能构成网络钓鱼攻击的是（）。A.向目标主机发送大量ICMP请求包导致其瘫痪B.伪造银行网站，诱使用户输入账号密码C.利用系统缓冲区溢出漏洞获取管理员权限D.截获并篡改网络中传输的数据包答案：B解析：网络钓鱼（Phishing）是一种社会工程学攻击，攻击者通过伪造可信的网站或电子邮件，诱骗用户泄露敏感信息，如用户名、密码、信用卡号等。A选项属于拒绝服务攻击（DoS）的一种，C选项属于漏洞利用攻击，D选项属于中间人攻击。11.关于VPN技术，以下说法正确的是（）。A.PPTP协议工作在OSI的数据链路层B.L2TP协议本身不提供加密功能，通常与IPSec结合使用C.SSLVPN只能用于Web应用的远程访问D.IPSec的传输模式适用于所有网络场景答案：B解析：L2TP（第二层隧道协议）本身只提供隧道封装和身份验证，不提供加密。为了保障数据安全，通常与IPSec结合使用，由IPSec提供加密服务。PPTP工作在数据链路层和网络层之间；SSLVPN可以封装多种TCP/UDP应用，不限于Web；IPSec的传输模式不适用于经过NAT设备的场景。12.在Linux系统中，用于修改文件或目录权限的命令是（）。A.chownB.chmodC.chgrpD.umask答案：B解析：`chmod`命令用于改变文件或目录的访问权限。`chown`用于改变文件的所有者，`chgrp`用于改变文件的所属组，`umask`用于设置创建文件时的默认权限掩码。13.下列哪项不是常见的DoS攻击类型？（）A.SYNFloodB.ICMPFloodC.SQL注入D.UDPFlood答案：C解析：SYNFlood、ICMPFlood、UDPFlood都是利用协议特性发送大量请求耗尽目标资源的拒绝服务攻击（DoS/DDoS）类型。SQL注入是一种针对数据库的应用程序层攻击，目的是窃取或篡改数据，而非直接导致服务拒绝。14.关于入侵检测系统（IDS）和入侵防御系统（IPS），以下描述正确的是（）。A.IDS是串联部署在网络中，IPS是旁路部署B.IDS只能检测攻击，无法阻止攻击C.IPS会严重影响网络性能，而IDS不会D.IDS和IPS使用的检测技术完全不同答案：B解析：IDS（入侵检测系统）通常采用旁路部署方式，通过监听网络流量或分析系统日志来发现攻击行为并报警，但本身不具备阻断能力。IPS（入侵防御系统）采用串联部署，能够实时检测并主动阻断攻击。两者使用的检测技术（如特征库匹配、异常检测）有大量共通之处。IPS由于需要处理所有流量，对性能要求更高，但设计良好的IPS对网络性能的影响在可接受范围内。15.在信息安全中，“完整性”是指（）。A.确保信息不被未授权者获取B.确保信息在存储或传输过程中不被篡改或破坏C.确保授权用户能及时可靠地访问信息和资源D.确保信息交换双方身份的真实性答案：B解析：信息安全的CIA三要素包括：机密性（Confidentiality）确保信息不被未授权者获取；完整性（Integrity）确保信息不被未授权篡改或破坏；可用性（Availability）确保授权用户能按需访问信息和资源。D选项描述的是“认证”。二、多项选择题16.以下属于无线局域网安全协议或技术的有（）。A.WEPB.WPAC.WPA2D.TKIPE.CCMP答案：A,B,C,D,E解析：WEP（有线等效加密）是早期且不安全的无线加密协议。WPA（Wi-Fi保护访问）是对WEP的临时改进，采用了TKIP（临时密钥完整性协议）加密。WPA2是WPA的正式标准，强制使用AES加密和CCMP（计数器模式密码块链消息完整码协议），安全性更高。TKIP和CCMP是具体的加密协议。17.关于TCP和UDP协议，下列说法正确的有（）。A.TCP提供面向连接、可靠的数据流传输服务B.UDP提供无连接、不可靠的数据报传输服务C.TCP首部开销比UDP首部开销小D.TCP具有流量控制和拥塞控制机制，而UDP没有E.DNS域名解析只使用UDP协议答案：A,B,D解析：TCP提供面向连接的可靠传输，有流量控制和拥塞控制，首部最小20字节。UDP提供无连接不可靠传输，无流量和拥塞控制，首部仅8字节，因此C错误。DNS域名解析主要使用UDP端口53，但在进行区域传输或响应报文过大时，会使用TCP端口53，因此E错误。18.下列哪些措施可以有效增强操作系统账户的安全性？（）A.设置强密码策略（长度、复杂度、定期更换）B.禁用或删除不必要的默认账户和测试账户C.对管理员账户进行重命名D.限制账户登录时间和登录地点E.启用账户失败锁定策略答案：A,B,C,D,E解析：以上所有选项都是增强操作系统账户安全性的有效实践。强密码策略是基础；减少攻击面（禁用默认账户）；避免使用常见的管理员名（如Administrator、root）可以增加暴力破解难度；限制登录条件可以缩小攻击窗口；失败锁定策略可以抵御暴力破解攻击。19.以下属于社会工程学攻击手段的有（）。A.钓鱼邮件B.电话诈骗（如假冒IT支持）C.尾随进入限制区域D.搜索并利用公开信息（如社交媒体）E.利用系统零日漏洞答案：A,B,C,D解析：社会工程学攻击的核心是利用人的心理弱点（如信任、好奇、贪婪、恐惧）来获取信息或访问权限。A、B、C、D选项都符合这一特征。E选项“利用系统零日漏洞”属于技术性漏洞利用攻击，不属于社会工程学范畴。20.数据备份策略中，常见的备份类型包括（）。A.完全备份B.增量备份C.差异备份D.热备份E.冷备份答案：A,B,C解析：从备份内容差异的角度，主要分为完全备份、增量备份和差异备份。D选项“热备份”和E选项“冷备份”是从备份时系统状态（是否在线提供服务）的角度进行的分类，与A、B、C不是同一维度的分类标准。题目问“备份类型”，通常指内容差异类型，故答案为A、B、C。三、判断题21.IPv6地址长度为128位，采用冒号十六进制表示法，如2001:0db8:85a3::8a2e:0370:7334。答案：正确解析：IPv6地址长度为128比特，是IPv4地址长度的4倍。其标准表示形式是8组用冒号分隔的4位十六进制数，连续多组0可以用双冒号“::”表示一次，以简化书写。22.交换机工作在OSI参考模型的网络层，可以根据IP地址进行数据包的转发。答案：错误解析：传统二层交换机工作在数据链路层，根据MAC地址进行帧的转发。三层交换机虽然具有部分路由功能，但其核心交换功能仍是基于二层的。题干描述的是路由器的典型功能。23.MD5和SHA-1哈希算法目前被认为是安全的，可以用于数字签名的哈希运算。答案：错误解析：MD5和SHA-1算法已被证明存在碰撞漏洞（即可以人为制造出两个不同信息具有相同的哈希值），因此它们不再适用于需要高安全性的场景，如数字签名和证书。目前推荐使用SHA-256、SHA-3等更安全的哈希算法。24.在网络拓扑结构中，星型拓扑的优点是单个节点的故障不会影响全网，缺点是中心节点故障会导致全网瘫痪。答案：正确解析：星型拓扑所有节点都连接到一个中心节点（如交换机）。优点：结构简单，易于管理和维护；单个节点故障只影响该节点。缺点：中心节点是单点故障点，一旦故障，整个网络瘫痪；对中心节点性能和可靠性要求高。25.“最小权限原则”是信息安全领域的一个重要原则，它要求只授予用户和进程完成其任务所必需的最小权限。答案：正确解析：最小权限原则是系统安全设计的基本原则之一。通过限制用户、账户、进程的权限到刚好满足其工作需要的最小范围，可以有效地减少因权限过大而导致的误操作或恶意操作带来的风险，是纵深防御策略的关键一环。四、填空题26.在TCP/IP协议簇中，HTTP协议默认使用的端口号是______。答案：80解析：HTTP（超文本传输协议）用于Web浏览器和服务器之间的通信，默认使用TCP80端口。HTTPS则使用TCP443端口。27.将域名解析为IP地址的过程，称为______解析。答案：正向解析：域名解析分为正向解析和反向解析。正向解析是将域名转换为IP地址，这是最常见的DNS查询。反向解析是将IP地址转换为域名。28.在信息安全风险评估中，风险值通常由威胁发生的______和威胁发生所造成的影响共同决定。答案：可能性（或概率）解析：风险的基本计算公式是：风险值=可能性（Likelihood）×影响（Impact）。可能性指威胁事件发生的概率，影响指事件发生后对资产造成的损害程度。29.用于检测网络连通性和路由路径的常用命令，在Windows中是tracert，在Linux/Unix中是______。答案：traceroute解析：`tracert`（Windows）和`traceroute`（Linux/Unix）都是利用ICMP/TTL机制来探测数据包从源到目标所经过的每一跳路由，是网络故障排查的常用工具。30.根据《中华人民共和国网络安全法》，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据______、泄露或者被窃取、篡改。答案：泄露解析：此处考查对《网络安全法》核心条款的熟悉程度。第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当采取技术措施和其他必要措施，保障网络安全、稳定运行，防止网络数据泄露或者被窃取、篡改。五、简答题31.简述什么是“中间人攻击”（Man-in-the-MiddleAttack），并列举两种常见的防范措施。答案：中间人攻击是一种网络攻击方式，攻击者秘密地插入到两个通信实体（如客户端与服务器）之间的通信路径中，对双方的通信进行拦截、窃听甚至篡改，而通信双方通常对此毫无察觉，认为他们是在直接通信。常见防范措施包括：（1）使用强身份认证和加密通信：例如，使用基于数字证书的HTTPS、SSH、IPSecVPN等协议。这些协议能对通信双方进行身份验证，并对传输数据进行加密，即使数据被截获也难以解密和篡改。（2）使用公钥基础设施（PKI）和数字证书：确保用户访问的服务器公钥是经过可信第三方（CA）认证的，防止攻击者伪造证书进行欺骗。用户应养成检查网站证书有效性和颁发者的习惯。（3）在可信的网络环境中进行敏感操作：避免使用不安全的公共Wi-Fi进行网银、重要账号登录等操作，因为公共网络是中间人攻击的高发场景。32.请说明防火墙的“白名单”和“黑名单”策略的区别，并指出在安全性要求极高的场景下通常采用哪种策略。答案：白名单策略：默认拒绝所有流量，只明确允许符合预设规则的流量通过。这是一种“最小权限”原则的体现，安全性高，但配置和管理相对复杂，需要管理员清晰地知道所有合法的访问需求。黑名单策略：默认允许所有流量，只明确拒绝符合预设规则（如已知威胁源、恶意站点）的流量通过。配置简单，对用户透明，但安全性较低，无法防御未知的或未列入名单的威胁。在安全性要求极高的场景下（如军事网络、核心工业控制系统、金融机构核心业务区），通常采用白名单策略。因为白名单策略从根源上最大程度地限制了网络访问权限，将攻击面降至最低，只有经过严格审核的、必要的通信才被允许，从而提供了更强的安全保障。六、综合应用题33.某公司内部网络规划如下：拥有一个C类网络地址，需要划分为至少6个子网，每个子网至少需要容纳25台主机。请回答以下问题：（1）计算满足上述要求所需的最小子网掩码（用点分十进制表示）。（2）写出划分后第一个可用子网的网络地址、子网掩码、该子网的可用主机地址范围及广播地址。（3）计算该划分方案下，总共损失了多少个IP地址（包括网络地址、广播地址以及因划分子网本身造成的地址浪费）？答案：（1）计算过程：①满足至少6个子网：需要从主机位借位n位，使得>=6，求得n=3（可创建②满足每个子网至少25台主机：剩余主机位m位，使得−2>=③原C类网络默认掩码为，即/24。现需借用3位主机位作为子网位，故新子网掩码长度为/27（24+3）。④对应的子网掩码为：24。（2）第一个可用子网信息：①网络地址：子网位增量=256−②子网掩码：24。③可用主机地址范围：网络地址+1至广播地址-1，即~0。④广播地址：下一个网络地址减1，即1。（3）计算损失IP地址总数：①整个C类网络总IP地址数：256个。②划分后总可用子网数：8个。③每个子网可用主机地址数：30个。④所有子网总可用主机地址数：8*30=240个。⑤损失IP地址数=总地址数-总可用主机地址数=256-240=16个。这16个地址包括：8个子网的网络地址（8个）、8个子网的广播地址（8个），共16个。此外，由于每个子网需要30个主机地址，而实际需求是至少25个，因此每个子网有30-25=5个地址的“浪费”，8个子网共浪费40个地址。但题目问的是“因划分子网本身造成的地址浪费”，通常指网络地址和广播地址的固定开销（16个），以及由于子网大小固定（/27块）无法完美匹配需求而产生的剩余不可用地址（即块大小32与需求25之间的差值部分，这部分在全局看也是无法分配的）。更精确的“损失”或“浪费”可以理解为：总地址256个，实际最大可满足的主机需求是8个子网*25台/子网=200台，那么理论最优情况只需200+8（网络地址）+8（广播地址）=216个地址，而实际我们占用了256个地址块，所以有256-216=40个地址是“浪费”的（即每个子网多出的5个地址*8）。但结合常见考题语境，第一问计算通常指网络和广播地址的固定损失（16个）。若题目要求计算“总共损失”，则应包括固定损失和因块大小造成的浪费：16（固定）+40（浪费）=56个。但根据原题“因划分子网本身造成的地址浪费”的表述，可能更侧重于固定开销16。为严谨，这里给出两种理解下的答案：仅计算网络地址和广播地址的固定损失：16个。计算所有无法用于指定主机数量的地址（总损失）：256-(6个子网*25台/子网)-(6个子网的网络地址和广播地址)？不对，因为划分了8个子网，我们只用了6个，剩下2个子网完全未用，其地址也损失了。最准确的计算是：总地址256个，实际需求最多使用6*25=150个主机地址+6个网络地址+6个广播地址=162个地址。因此，总损失地址数为256-162=94个。但此计算依赖于“只使用6个子网”的假设。题目说“需要划分为至少6个子网”，通常意味着我们会使用整个地址空间和所有子网。因此，在满足“至少6个子网，每子网至少25台主机”条件下，我们采用了/27方案，产生了8个/27子网。此时：总地址数：256实际可用的主机地址总数：8个子网*30可用地址/子网=240固定开销（网络+广播）：8*2=16若理想情况按需分配（每子网刚好25可用主机），需要地址数：8个子网*(25+2)=216因块大小（/27）造成的额外浪费：240-(8*25)=240-200=40总损失=固定开销(16)+额外浪费(40)=56或总损失=总地址(256)-实际满足的主机需求地址数(200)=56（因为200个主机地址需要200+16=216个总地址，而我们用了256，多用了40，这40就是浪费，加上16固定开销就是56？逻辑有点乱）。更清晰：损失=256-200（需求主机数）=56。这56个地址包括了：16个网络和广播地址，以及40个由于子网划分粒度（块大小32）而无法分配给这200台主机的地址。因此，综合常见考题答案和本题语境，回答56个更为全面。（鉴于题目可能存在的歧义，在标准答案中通常采用第一种简单计算，即固定损失16个。但结合“至少6个子网”和“每个子网至少25台主机”的要求，我们实际上不得不使用/27掩码，这造成了地址块的浪费。在综合应用题中，更倾向于计算总的利用率损失。这里提供两个答案供参考：答案一（常规）：16个。答案二（深入）：56个。建议根据教学或考试大纲侧重点选择。本题解析中按答案一（16个）给出最终答案，但说明存在不同理解。）最终答案（按常规理解）：（1）24（2）网络地址：；子网掩码：24；可用主机范围：~0；广播地址：1。（3）16个。34.小张是某公司的网络管理员，他发现公司内部一台重要服务器近期响应缓慢，通过监控工具发现该服务器的网络连接数异常高，且大量连接来自同一个外部IP地址段，连接状态多为“SYN_RECEIVED”。请分析：（1）服务器可