中国网安2026届校园招聘笔试历年难易错考点试卷带答案解析_第1页
中国网安2026届校园招聘笔试历年难易错考点试卷带答案解析_第2页
中国网安2026届校园招聘笔试历年难易错考点试卷带答案解析_第3页
中国网安2026届校园招聘笔试历年难易错考点试卷带答案解析_第4页
中国网安2026届校园招聘笔试历年难易错考点试卷带答案解析_第5页
已阅读5页,还剩23页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

中国网安2026届校园招聘笔试历年难易错考点试卷带答案解析一、单项选择题下列各题只有一个正确答案,请选出最恰当的选项(共30题)1、在OSI七层模型中,负责建立、管理和终止应用程序之间会话的是哪一层?

A.传输层

B.会话层

C.表示层

D.应用层2、下列哪种加密算法属于非对称加密算法?

A.AES

B.DES

C.RSA

D.SM43、SQL注入攻击主要利用了Web应用程序对哪方面的验证不足?

A.用户身份认证

B.输入数据合法性

C.会话令牌有效期

D.服务器硬件性能4、在TCP三次握手中,第二次握手服务器发送的标志位组合通常是?

A.SYN=1,ACK=0

B.SYN=1,ACK=1

C.SYN=0,ACK=1

D.FIN=1,ACK=15、下列哪项措施最能有效防止跨站脚本攻击(XSS)?

A.启用HTTPS协议

B.对用户输入进行HTML实体编码

C.限制登录尝试次数

D.使用复杂的数据库密码6、关于哈希函数特性,下列说法错误的是?

A.抗碰撞性

B.单向性

C.可逆性

D.定长输出7、在Linux系统中,用于查看当前网络连接状态及监听端口的命令是?

A.ps-ef

B.netstat-antp

C.chmod755

D.df-h8、下列哪种攻击方式属于被动攻击?

A.拒绝服务攻击(DoS)

B.流量分析

C.重放攻击

D.中间人攻击9、防火墙工作在网络模型的哪几层,主要依据什么进行过滤?

A.仅物理层,依据电压信号

B.网络层和传输层,依据IP地址和端口号

C.仅应用层,依据用户内容

D.数据链路层,依据MAC地址10、在信息安全等级保护2.0标准中,第三级信息系统要求至少每多久进行一次等级测评?

A.半年

B.一年

C.两年

D.三年11、在网络安全等级保护2.0标准中,第三级信息系统的测评周期至少为多久?

A.半年一次

B.一年一次

C.两年一次

D.三年一次12、下列哪种加密算法属于非对称加密算法?

A.AES

B.DES

C.RSA

D.SM413、SQL注入攻击主要利用了Web应用程序对哪方面的处理不当?

A.用户身份认证

B.输入数据验证

C.会话管理

D.文件上传限制14、在TCP/IP协议栈中,负责提供可靠传输服务的是哪一层?

A.网络层

B.传输层

C.应用层

D.链路层15、下列关于跨站脚本攻击(XSS)的描述,错误的是?

A.反射型XSS需要诱导用户点击恶意链接

B.存储型XSS危害通常大于反射型

C.XSS攻击旨在窃取服务器端数据库权限

D.HttpOnly标志可防止Cookie被JS读取16、数字签名的主要作用不包括以下哪项?

A.保证数据的完整性

B.实现数据的机密性

C.提供不可否认性

D.验证发送者身份17、在Linux系统中,用于查看当前网络连接状态及监听端口的命令是?

A.ps-ef

B.netstat-antp

C.chmod755

D.iptables-L18、下列哪项不属于社会工程学攻击常见手段?

A.钓鱼邮件

B.pretexting(借口伪装)

C.缓冲区溢出

D.尾随进入(Tailgating)19、关于HTTPS协议,下列说法正确的是?

A.默认使用端口80

B.仅使用对称加密传输数据

C.握手阶段使用非对称加密协商密钥

D.不需要CA证书即可建立可信连接20、在入侵检测系统(IDS)中,基于误用检测(MisuseDetection)的方法主要依赖什么?

A.用户行为基线

B.已知攻击特征库

C.机器学习模型

D.网络流量统计21、在TCP/IP协议栈中,负责将IP地址解析为MAC地址的协议是?

A.ARPB.RARPC.ICMPD.DNS22、下列哪种加密算法属于非对称加密算法?

A.AESB.DESC.RSAD.SM423、关于SQL注入攻击,以下防御措施最有效的是?

A.过滤特殊字符B.使用预编译语句C.隐藏数据库版本D.限制输入长度24、在OSI七层模型中,HTTP协议工作在哪一层?

A.传输层B.网络层C.会话层D.应用层25、下列哪项不属于常见的DDoS攻击类型?

A.SYNFloodB.UDPFloodC.XSSD.HTTPFlood26、数字签名的主要作用是保证数据的?

A.机密性B.完整性和不可否认性C.可用性D.可控性27、Linux系统中,用于查看当前开放端口及对应进程的命令是?

A.ps-efB.netstat-tulpnC.ifconfigD.top28、关于HTTPS协议,下列说法错误的是?

A.默认端口是443B.使用SSL/TLS加密传输C.比HTTP更安全,性能完全无损D.需要CA颁发证书29、下列哪种情况最可能导致缓冲区溢出漏洞?

A.使用动态内存分配B.未检查用户输入长度直接复制到固定大小缓冲区C.启用栈保护机制D.使用高级语言Java开发30、在访问控制模型中,基于角色的访问控制简称是?

A.DACB.MACC.RBACD.ABAC二、多项选择题下列各题有多个正确答案,请选出所有正确选项(共15题)31、关于网络空间安全法律法规,以下说法正确的有:

A.《网络安全法》是我国首部基础性法律

B.关键信息基础设施运营者需在境内存储数据

C.个人有权要求网络运营者删除其个人信息

D.网络产品提供者无需对用户身份进行核验32、下列属于对称加密算法的有:

A.AES

B.RSA

C.DES

D.ECC33、关于SQL注入攻击,以下描述正确的有:

A.通过构造恶意SQL语句获取数据库权限

B.仅发生在Web应用层

C.可使用预编译语句进行防御

D.对用户输入进行过滤是有效手段之一34、下列属于TCP/IP模型中传输层协议的有:

A.TCP

B.IP

C.UDP

D.HTTP35、关于防火墙技术,下列说法正确的有:

A.包过滤防火墙工作在网络层

B.应用网关防火墙安全性高于包过滤

C.状态检测防火墙能跟踪连接状态

D.防火墙可完全防止内部人员攻击36、下列属于社会工程学攻击手段的有:

A.钓鱼邮件

B.pretexting(借口策划)

C.DDoS攻击

D.尾随进入办公区37、关于数字签名,以下描述正确的有:

A.使用发送方私钥签名

B.使用接收方公钥验证

C.保证数据完整性

D.保证数据机密性38、下列属于恶意软件类型的有:

A.病毒

B.蠕虫

C.特洛伊木马

D.勒索软件39、关于HTTPS协议,下列说法正确的有:

A.基于SSL/TLS协议

B.默认端口为443

C.数据传输经过加密

D.比HTTP速度更快40、下列属于信息安全基本属性的有:

A.机密性

B.完整性

C.可用性

D.不可否认性41、在网络安全等级保护2.0标准中,以下属于安全计算环境技术要求的有?

A.身份鉴别

B.访问控制

C.入侵防范

D.数据完整性42、关于SQL注入攻击的防御措施,下列有效的有?

A.使用预编译语句(PreparedStatements)

B.对输入数据进行严格的类型检查和长度限制

C.部署Web应用防火墙(WAF)

D.仅在前端进行JavaScript验证43、在对称加密算法中,以下哪些算法被广泛使用?

A.AES

B.DES

C.RSA

D.SM444、下列关于DDoS攻击描述正确的有?

A.SYNFlood利用TCP三次握手缺陷

B.UDPFlood通过发送大量UDP包消耗带宽

C.CC攻击主要针对应用层HTTP请求

D.DDoS攻击无法通过流量清洗缓解45、在公钥基础设施(PKI)体系中,包含哪些核心组件?

A.认证中心(CA)

B.注册机构(RA)

C.证书库

D.密钥备份及恢复系统三、判断题判断下列说法是否正确(共10题)46、在网络安全法中,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。该说法是否正确?A.正确B.错误47、SQL注入攻击主要发生在应用层,通过构造特殊的输入参数,欺骗服务器执行恶意的SQL命令,从而获取数据库敏感信息。该说法是否正确?A.正确B.错误48、对称加密算法如AES比非对称加密算法如RSA加密速度更快,适合大量数据的加密传输,但密钥分发管理较为困难。该说法是否正确?A.正确B.错误49、DDoS攻击的主要目的是窃取服务器上的敏感数据,而非使目标服务不可用。该说法是否正确?A.正确B.错误50、在OSI七层模型中,IP协议工作在网络层,负责数据包的路由选择和逻辑寻址;TCP协议工作在传输层,提供面向连接的可靠数据传输服务。该说法是否正确?A.正确B.错误51、社会工程学攻击主要依赖技术手段破解系统密码,而非利用人的心理弱点和社会行为习惯。该说法是否正确?A.正确B.错误52、HTTPS协议通过在HTTP基础上加入SSL/TLS层,实现了数据加密传输和服务器身份认证,能有效防止中间人攻击和数据窃听。该说法是否正确?A.正确B.错误53、防火墙能够完全阻止所有类型的网络攻击,包括内部人员的恶意操作和应用层的SQL注入攻击。该说法是否正确?A.正确B.错误54、哈希函数具有单向性、抗碰撞性和定长输出等特点,常用于数据完整性校验和密码存储,但因其不可逆,故不能用于数据加密还原。该说法是否正确?A.正确B.错误55、零信任安全模型的核心理念是“永不信任,始终验证”,强调无论用户位于网络内部还是外部,每次访问请求都必须经过严格的身份认证和授权。该说法是否正确?A.正确B.错误

参考答案及解析1.【参考答案】B【解析】OSI七层模型从下到上依次为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。会话层(SessionLayer)的主要功能是在两个节点之间建立、维护和终止会话连接,协调通信双方的交互过程。传输层负责端到端的可靠传输;表示层处理数据格式转换和加密;应用层直接为用户的应用进程提供服务。因此,负责会话管理的是会话层。本题考察网络基础架构的核心概念,需准确区分各层职能。2.【参考答案】C【解析】加密算法分为对称加密和非对称加密。对称加密使用同一密钥进行加解密,如AES、DES和国密SM4,其特点是速度快,适合大量数据加密。非对称加密使用公钥和私钥配对,如RSA、ECC和国密SM2,其特点是安全性高,适合密钥交换和数字签名。RSA基于大数分解难题,是典型的非对称算法。在网安笔试中,区分常见算法类型是高频考点,需熟记主流算法及其应用场景。3.【参考答案】B【解析】SQL注入是由于Web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者在输入框中插入恶意SQL命令,欺骗服务器执行非预期操作。这属于输入验证漏洞。身份认证涉及登录凭证;会话令牌涉及状态管理;硬件性能与注入无关。防范SQL注入应采用预编译语句(参数化查询)和严格的输入过滤。此题考察Web安全核心漏洞原理,强调“所有用户输入均不可信”的安全原则。4.【参考答案】B【解析】TCP三次握手过程:第一次客户端发送SYN=1;第二次服务器收到后,回复SYN=1(表示同意建立连接)和ACK=1(确认收到客户端的SYN);第三次客户端发送ACK=1确认。因此第二次握手的标志位是SYN=1,ACK=1。FIN用于断开连接。理解TCP状态机对于分析网络攻击(如SYNFlood)至关重要,是网络协议部分的必考知识点,需熟练掌握各阶段标志位变化。5.【参考答案】B【解析】XSS攻击通过将恶意脚本注入网页,在其他用户浏览时执行。最有效的防御是对用户输入的数据在输出到HTML页面时进行严格的HTML实体编码(如将<转为<),使浏览器将其视为文本而非代码。HTTPS仅加密传输通道;限制登录次数防暴力破解;数据库密码保护后端数据。前端防御还需结合CSP策略。此题考察Web前端安全防御机制,核心在于“输出编码”原则。6.【参考答案】C【解析】哈希函数(如SHA-256、MD5)具有三大特性:1.单向性,即由哈希值无法反推原始数据;2.抗碰撞性,难以找到两个不同输入产生相同哈希值;3.定长输出,无论输入多长,输出长度固定。哈希函数是不可逆的,因此“可逆性”说法错误。哈希常用于完整性校验和密码存储(加盐)。本题考察密码学基础,需明确哈希与加密算法的本质区别:哈希不可逆,加密可逆。7.【参考答案】B【解析】netstat-antp用于显示所有TCP连接(-a)、数字格式地址(-n)、TCP协议(-t)及相关进程ID(-p),是排查网络问题和发现异常连接常用的命令。ps-ef查看进程;chmod修改权限;df-h查看磁盘空间。在应急响应和系统运维中,熟练使用netstat或ss命令识别可疑外连是基本技能。此题考察Linux常用运维命令,侧重网络安全场景下的应用。8.【参考答案】B【解析】被动攻击指攻击者只监听和分析网络流量,不修改数据或干扰系统运行,如流量分析和窃听,其特点是不易被察觉。主动攻击包括篡改、伪造、中断等,如DoS(破坏可用性)、重放(重复发送数据包)和中间人攻击(拦截并可能篡改通信)。区分主动与被动攻击是信息安全基础,被动攻击主要威胁机密性,主动攻击威胁完整性、可用性等。9.【参考答案】B【解析】传统包过滤防火墙主要工作在网络层和传输层,通过检查数据包的源/目的IP地址、协议类型和源/目的端口号来决定允许或拒绝通过。虽然现代下一代防火墙(NGFW)具备应用层识别能力,但经典定义中防火墙核心机制基于L3/L4信息。MAC地址过滤通常在交换机实现;物理层不涉及逻辑过滤。此题考察边界防护设备原理,需掌握防火墙的基本访问控制逻辑。10.【参考答案】B【解析】根据《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)及相关管理规定,第三级及以上信息系统应当每年至少进行一次等级测评。第二级系统建议每两年进行一次,或者根据具体行业要求执行。一级系统无需强制定期测评,五级极少见。等保2.0强化了动态合规要求,年度测评是确保系统持续符合安全基线的重要手段。此题考察合规与法律法规知识,是网安从业必备常识。11.【参考答案】B【解析】根据《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019),第三级及以上信息系统应当每年至少进行一次等级测评。这是为了确保系统在面对不断变化的安全威胁时,仍能保持符合规定的安全防护能力。一级和二级系统建议每两年或按需测评,而四级系统则需每半年至少测评一次。因此,对于常见的三级系统,法定最低频率为一年一次。12.【参考答案】C【解析】RSA是典型的非对称加密算法,使用公钥加密、私钥解密,常用于密钥交换和数字签名。AES、DES和SM4均属于对称加密算法,加密和解密使用同一把密钥。对称加密速度快,适合大量数据加密;非对称加密安全性高但速度慢,适合小数据量或密钥协商场景。在网安笔试中,区分对称与非对称算法及其应用场景是高频考点。13.【参考答案】B【解析】SQL注入产生的根本原因是Web应用程序未对用户输入数据进行严格的过滤和验证,导致恶意构造的SQL语句被数据库执行。攻击者通过在输入框中插入特殊字符或SQL命令,绕过应用逻辑直接操作数据库。防御措施包括使用预编译语句(PreparedStatements)、参数化查询以及严格的输入白名单验证。身份认证和会话管理虽重要,但不是SQL注入的直接成因。14.【参考答案】B【解析】传输层中的TCP协议提供面向连接的、可靠的字节流服务,通过序列号、确认应答、重传机制等确保数据无差错、不丢失、不重复且按序到达。UDP也位于传输层,但提供不可靠服务。网络层(如IP)负责路由选择和数据包转发,不保证可靠性。应用层处理具体业务逻辑,链路层负责物理介质上的帧传输。因此,可靠传输由传输层实现。15.【参考答案】C【解析】XSS攻击的主要目标是客户端用户,而非服务器端数据库。攻击者通过注入恶意脚本,在用户浏览器中执行,从而窃取Cookie、会话令牌或进行钓鱼。C选项描述的是SQL注入或服务器端漏洞的目标。A、B正确描述了XSS类型及危害差异;D正确,HttpOnly属性确实能阻止JavaScript访问Cookie,是防御XSS窃取会话的有效手段之一。16.【参考答案】B【解析】数字签名基于非对称加密技术,主要用于验证消息来源(身份认证)、确保消息未被篡改(完整性)以及防止发送者抵赖(不可否认性)。它并不提供数据的机密性,因为签名本身通常是明文或与消息一起发送的。若需保密,应结合加密技术(如使用接收方公钥加密数据)。因此,机密性不是数字签名的直接功能。17.【参考答案】B【解析】netstat-antp命令用于显示所有TCP连接(-t)、监听状态(-l隐含在a中)、数字格式地址(-n)及关联进程ID(-p),是排查网络问题和发现异常连接常用的工具。ps-ef用于查看进程;chmod用于修改文件权限;iptables-L用于查看防火墙规则。在应急响应和系统运维中,熟练使用netstat或其替代品ss至关重要。18.【参考答案】C【解析】社会工程学利用人性弱点(如信任、好奇、恐惧)进行欺骗,而非技术漏洞。钓鱼邮件、借口伪装和尾随进入均属于此类。缓冲区溢出是一种技术性攻击,利用程序内存处理缺陷执行恶意代码,属于软件漏洞利用范畴,与社会工程学原理不同。网安人员需同时防范技术攻击和人为欺诈。19.【参考答案】C【解析】HTTPS默认端口为443。它在握手阶段利用非对称加密(如RSA或ECDHE)安全地协商出一个会话密钥,随后使用该对称密钥加密实际传输的数据,兼顾了安全性和效率。CA证书用于验证服务器身份,若无受信任CA签名,浏览器会警告用户连接不可信。因此,C选项准确描述了HTTPS的工作机制。20.【参考答案】B【解析】基于误用检测(又称特征检测)的IDS通过匹配已知攻击的模式或签名来识别入侵,类似于病毒扫描。它依赖于不断更新的知识库,对已知攻击检测率高,但无法发现未知攻击(零日漏洞)。A、D属于异常检测(AnomalyDetection),关注偏离正常行为的活动;C可用于两种模式,但传统误用检测核心是特征匹配。21.【参考答案】A【解析】ARP(地址解析协议)用于根据IP地址获取物理地址(MAC地址),实现网络层到数据链路层的映射。RARP是反向地址解析协议,用于无盘工作站启动时获取IP。ICMP主要用于网络连通性测试如Ping。DNS负责域名与IP地址的相互转换。在局域网通信中,数据包封装需要目的MAC地址,因此主机发送数据前需通过ARP广播查询目标IP对应的MAC地址,这是网络安全基础考点,常混淆点在于ARP与RARP的方向性及DNS的功能区别。22.【参考答案】C【解析】RSA是典型的非对称加密算法,使用公钥加密、私钥解密,解决密钥分发问题,常用于数字签名和密钥交换。AES、DES和SM4均属于对称加密算法,加密和解密使用同一密钥,运算速度快,适合大量数据加密。区分关键在于密钥数量及用途:对称加密效率高但密钥管理难,非对称加密安全性高但计算开销大。实际应用中常结合两者,如TLS握手阶段用RSA交换会话密钥,后续通信用AES传输数据。23.【参考答案】B【解析】使用预编译语句(ParameterizedQueries)是防御SQL注入最根本有效的方法。预编译将SQL逻辑与数据分离,数据库引擎先编译SQL模板,再传入参数,确保用户输入仅作为数据处理,不被解析为SQL指令。过滤特殊字符易被编码绕过,隐藏版本和限制长度仅为辅助手段,无法根除注入风险。此外,最小权限原则和Web应用防火墙也是重要补充措施,但代码层面的预编译是从源头阻断注入的关键技术。24.【参考答案】D【解析】HTTP(超文本传输协议)工作在OSI模型的应用层,直接为用户应用程序提供网络服务。传输层主要协议是TCP和UDP,负责端到端连接;网络层主要是IP协议,负责路由选择;会话层负责建立和管理会话。虽然现代TCP/IP模型将应用层、表示层、会话层合并为应用层,但在考察OSI标准模型时,HTTP明确属于应用层协议。常见错误是混淆HTTP与底层传输协议TCP的关系,HTTP依赖TCP提供可靠传输,但其自身定义的是数据格式和交互规则。25.【参考答案】C【解析】XSS(跨站脚本攻击)属于应用层漏洞利用,旨在窃取用户Cookie或执行恶意脚本,而非拒绝服务攻击。SYNFlood利用TCP三次握手缺陷消耗服务器连接资源;UDPFlood发送大量UDP包堵塞带宽;HTTPFlood模拟大量合法请求耗尽服务器处理能力,三者均为典型DDoS攻击手段。DDoS核心目标是使目标服务不可用,而XSS目标是侵害用户安全。区分关键在于攻击目的:DDoS侧重可用性破坏,XSS侧重机密性和完整性侵犯。26.【参考答案】B【解析】数字签名基于非对称加密和哈希算法,发送方用私钥对消息摘要签名,接收方用公钥验证。这确保了数据在传输中未被篡改(完整性),且发送方无法抵赖曾发送该消息(不可否认性)。机密性需通过加密实现,数字签名本身不加密明文。可用性指服务持续可用,与签名无关。数字签名是身份认证和数据防篡改的核心技术,广泛应用于电子合同、软件发布等场景,注意区分签名与加密的目的差异。27.【参考答案】B【解析】netstat-tulpn可显示所有监听端口(-l)、TCP/UDP协议(-tu)、进程ID及名称(-p)、数字格式显示(-n),是排查网络服务和潜在后门的关键命令。ps-ef查看进程列表,ifconfig查看网络接口配置,top监控系统资源占用,均不直接显示端口映射。在现代Linux发行版中,ss命令也可替代netstat,性能更优。网络安全运维中,定期检查异常开放端口是发现入侵迹象的重要手段,需结合进程信息判断合法性。28.【参考答案】C【解析】HTTPS通过SSL/TLS协议对HTTP数据进行加密,默认端口443,需由可信CA颁发证书以验证服务器身份。虽然安全性大幅提升,但因加解密运算和握手过程,会消耗额外CPU资源并增加延迟,性能并非“完全无损”,尽管硬件加速和TLS1.3已优化此问题。A、B、D均为正确描述。理解HTTPS需权衡安全与性能,对于高并发场景需合理配置会话复用和加密套件,避免误解为无任何代价的安全升级。29.【参考答案】B【解析】缓冲区溢出源于程序向固定长度缓冲区写入超过其容量的数据,覆盖相邻内存,可能执行恶意代码。C语言等低级语言中,若使用strcpy等函数未校验输入长度,极易触发此漏洞。动态内存分配若管理不当也可能出错,但非直接原因。栈保护机制(如Canary)是防御手段。Java等高级语言自动进行边界检查,基本杜绝此类漏洞。因此,严格校验输入长度和使用安全函数(如strncpy)是预防关键。30.【参考答案】C【解析】RBAC(Role-BasedAccessControl)基于角色分配权限,用户通过扮演角色获得相应访问权,简化管理,适用于企业环境。DAC(自主访问控制)由资源所有者决定权限,灵活但难统一管理。MAC(强制访问控制)由系统强制规定安全级别,用于军事等高安全场景。ABAC(属性基访问控制)基于用户、资源、环境等多属性动态决策,更细粒度但复杂。RBAC因平衡安全性与管理效率,成为主流商业系统首选模型,需掌握各模型适用场景及优缺点。31.【参考答案】ABC【解析】《网络安全法》确立了我国网络安全基本制度。关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。个人发现网络运营者违反规定收集使用其信息的,有权要求删除。D错误,网络运营者为用户办理入网等手续时,应当要求用户提供真实身份信息。32.【参考答案】AC【解析】对称加密指加密和解密使用相同密钥。AES(高级加密标准)和DES(数据加密标准)均属于对称加密算法,特点是速度快,适合大量数据加密。RSA和ECC(椭圆曲线密码)属于非对称加密算法,使用公钥加密、私钥解密,主要用于密钥交换和数字签名,计算复杂度较高。33.【参考答案】ACD【解析】SQL注入是利用Web应用程序对用户输入数据校验不严,将恶意SQL代码插入后端数据库执行。它不仅限于Web层,任何接收用户输入并拼接SQL的系统均可能受影响。防御措施包括使用预编译语句(参数化查询)、严格过滤和转义用户输入、最小权限原则等。B选项表述过于绝对,故排除。34.【参考答案】AC【解析】TCP/IP模型分为四层:应用层、传输层、网际层、网络接口层。TCP(传输控制协议)和UDP(用户数据报协议)均位于传输层,负责端到端的数据传输。IP(网际协议)位于网际层,负责数据包的路由和寻址。HTTP(超文本传输协议)位于应用层,用于Web浏览器和服务器之间的通信。35.【参考答案】ABC【解析】包过滤防火墙基于IP和端口规则,工作在网络层。应用网关(代理防火墙)在应用层检查数据,安全性更高但性能较低。状态检测防火墙维护连接状态表,能识别合法会话。D错误,防火墙主要防御外部入侵,对内部人员违规操作或已渗透进内网的攻击防护能力有限,需结合其他安全措施。36.【参考答案】ABD【解析】社会工程学利用人性弱点(如信任、恐惧、好奇)获取敏感信息。钓鱼邮件诱导用户点击恶意链接;pretexting通过编造场景骗取信任;尾随是物理层面的社会工程。DDoS(分布式拒绝服务)属于技术性网络攻击,通过耗尽资源使服务不可用,不涉及心理操纵,故不属于社会工程学。37.【参考答案】ABC【解析】数字签名基于非对称加密。发送方使用私钥对消息摘要进行签名,接收方使用发送方公钥验证签名,确认为发送方所发(认证性)且未被篡改(完整性)。数字签名本身不提供机密性,若需保密,需额外使用接收方公钥对数据进行加密。因此D错误,A、B、C正确。38.【参考答案】ABCD【解析】病毒需依附宿主文件传播;蠕虫可独立复制并通过网络传播;特洛伊木马伪装成合法软件诱骗用户安装;勒索软件加密用户文件并索要赎金。这四者均属于恶意软件(Malware)的典型分类,旨在破坏系统、窃取数据或谋取非法利益,均为网络安全重点防范对象。39.【参考答案】ABC【解析】HTTPS是HTTP的安全版,通过SSL/TLS协议对通信进行加密,确保数据机密性和完整性,默认端口为443。由于增加了握手过程和加解密计算,HTTPS的性能开销略高于HTTP,速度通常稍慢,但随着硬件加速和TLS1.3优化,差距已缩小。D选项表述不准确,故排除。40.【参考答案】ABCD【解析】信息安全五大基本属性包括:机密性(Confidentiality,防止泄露)、完整性(Integrity,防止篡改)、可用性(Availability,授权用户可访问)、真实性(Authenticity,身份可信)和不可否认性(Non-repudiation,行为可追溯)。这四个选项均属于信息安全的核心目标,是构建安全体系的基础。41.【参考答案】ABCD【解析】根据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》,安全计算环境层面涵盖了身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性、数据保密性及数据备份恢复等要求。选项A、B、C、D均属于该层面的核心技术指标,旨在确保主机、数据库及应用系统自身的安全防护能力,防止未授权访问和数据篡改。42.【参考答案】ABC【解析】SQL注入是常见Web漏洞。A项预编译语句能分离代码与数据,从根本上阻止注入;B项后端严格校验可过滤非法字符;C项WAF可拦截常见攻击特征。D项前端验证极易被绕过,不能作为唯一防御手段,必须结合后端验证。因此,综合防御需采用多重机制,ABC为正确且有效的措施。43.【参考答案】ABD【解析】对称加密使用同一密钥进行加解密。A项AES是目前国际主流标准;B项DES虽已逐渐淘汰但仍属对称算法范畴;D项SM4是我国商用密码标准中的对称分组密码算法。C项RSA是非对称加密算法,基于大数分解难题,公钥私钥不同。因此,属于对称加密的是AES、DES和SM4。44.【参考答案】ABC【解析】DDoS攻击旨在耗尽目标资源。A项SYNFlood利用半连接队列溢出;B项UDPFlood利用无连接特性淹没目标;C项CC攻击模拟正常用户频繁请求,消耗服务器CPU/内存。D项错误,流量清洗是缓解DDoS的主流手段,通过识别并过滤恶意流量保护源站。故ABC正确。45.【参考答案】ABCD【解析】PKI体系旨在提供安全的密钥管理和服务。A项CA负责签发和管理数字证书;B项RA负责用户身份审核;C项证书库用于发布和查询证书;D项密钥备份系统确保密钥丢失时可恢复。这四者共同构成了完整的PKI信任链和服务架构,缺一不可。46.【参考答案】A【解析】根据《中华人民共和国网络安全法》第四十一条规定,网络运营者收集、使用个人信息,确实应当遵循合法、正当、必要的原则,并需公开规则、明示目的及范围,且必须经被收集者同意这是保护用户隐私和数据安全的基本法律要求也是校招笔试中关于合规性的高频考点。47.【参考答案】A【解析】SQL注入是Web安全中最常见的漏洞之一,属于应用层攻击。攻击者利用程序对用户输入数据过滤不严的缺陷,将恶意SQL语句插入到输入字段中。当后端数据库执行这些拼接后的SQL语句时,可能导致数据泄露、篡改甚至

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论