網(wǎng)絡(luò)與信息安全工程師筆試試題一、填空題（每題2分，共20分）依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》（GB/T22240—2020），信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害，應(yīng)定為____級。在數(shù)字簽名技術(shù)中，發(fā)送方使用自己的____密鑰對消息摘要進(jìn)行加密生成數(shù)字簽名。零信任安全架構(gòu)的核心原則是____，默認(rèn)情況下，網(wǎng)絡(luò)內(nèi)外的任何用戶、設(shè)備、應(yīng)用均不可信。常見的SQL注入攻擊中，通過構(gòu)造'OR'1'='1語句繞過登錄驗(yàn)證，其利用的是SQL語句的____特性?！稊?shù)據(jù)安全法》規(guī)定，國家建立數(shù)據(jù)分類分級保護(hù)制度，按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、____數(shù)據(jù)。在IPv6安全機(jī)制中，____協(xié)議提供了數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證和抗重放保護(hù)。入侵檢測系統(tǒng)（IDS）按檢測技術(shù)可分為基于特征的檢測和基于____的檢測。對稱加密算法AES（高級加密標(biāo)準(zhǔn)）的密鑰長度可以是128位、____位或256位。安全審計(jì)系統(tǒng)主要功能包括數(shù)據(jù)采集、____、告警響應(yīng)和審計(jì)分析。云計(jì)算環(huán)境下，____技術(shù)用于實(shí)現(xiàn)不同租戶之間資源的隔離和訪問控制。二、單項(xiàng)選擇題（每題3分，共30分）以下關(guān)于《網(wǎng)絡(luò)安全法》的說法，錯誤的是（）A.明確了網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)和責(zé)任B.規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)制度C.確立了網(wǎng)絡(luò)安全等級保護(hù)制度D.個人信息泄露后，網(wǎng)絡(luò)運(yùn)營者無需向主管部門報(bào)告以下哪種攻擊方式不屬于DDoS（分布式拒絕服務(wù)）攻擊？（）A.SYNFloodB.SQL注入C.UDPFloodD.ICMPFlood在安全協(xié)議中，TLS（傳輸層安全）協(xié)議工作在（）A.應(yīng)用層B.傳輸層C.網(wǎng)絡(luò)層D.數(shù)據(jù)鏈路層以下關(guān)于防火墻的描述，正確的是（）A.防火墻可以完全防止內(nèi)部網(wǎng)絡(luò)的攻擊B.防火墻只能阻止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的攻擊C.包過濾防火墻可以基于IP地址、端口號進(jìn)行過濾D.應(yīng)用代理防火墻對性能沒有影響以下哪種密碼學(xué)算法屬于非對稱加密算法？（）A.DESB.3DESC.RSAD.AES對于Web應(yīng)用安全，以下哪項(xiàng)措施不能有效防止跨站腳本攻擊（XSS）？（）A.對用戶輸入進(jìn)行嚴(yán)格的過濾和轉(zhuǎn)義B.設(shè)置HttpOnly屬性C.使用安全的編碼規(guī)范D.加強(qiáng)防火墻規(guī)則在ISO/IEC27001信息安全管理體系中，風(fēng)險(xiǎn)評估的步驟不包括（）A.風(fēng)險(xiǎn)識別B.風(fēng)險(xiǎn)分析C.風(fēng)險(xiǎn)處置D.風(fēng)險(xiǎn)監(jiān)控以下哪種安全技術(shù)可以實(shí)現(xiàn)對數(shù)據(jù)的透明加密，不影響應(yīng)用系統(tǒng)的正常運(yùn)行？（）A.數(shù)據(jù)庫加密B.文件加密C.磁盤加密D.存儲加密網(wǎng)關(guān)物聯(lián)網(wǎng)設(shè)備面臨的安全威脅中，以下哪項(xiàng)不屬于物理層攻擊？（）A.設(shè)備篡改B.電磁干擾C.信號截獲D.惡意代碼注入安全域劃分的主要依據(jù)不包括（）A.業(yè)務(wù)功能B.安全需求C.用戶數(shù)量D.風(fēng)險(xiǎn)等級三、多項(xiàng)選擇題（每題4分，共20分，少選得2分，選錯不得分）以下屬于《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)措施的有（）A.建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制B.定期開展風(fēng)險(xiǎn)評估和安全檢測C.保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行D.發(fā)生網(wǎng)絡(luò)安全事件時，立即啟動應(yīng)急預(yù)案以下哪些是防范網(wǎng)絡(luò)釣魚攻擊的有效措施？（）A.提高用戶安全意識，不隨意點(diǎn)擊不明鏈接B.使用HTTPS協(xié)議進(jìn)行網(wǎng)頁訪問C.安裝反釣魚軟件D.定期更新操作系統(tǒng)和應(yīng)用程序補(bǔ)丁以下關(guān)于漏洞掃描的說法，正確的有（）A.漏洞掃描可以發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞B.漏洞掃描分為主動掃描和被動掃描C.漏洞掃描結(jié)果可以作為安全加固的依據(jù)D.漏洞掃描可以完全替代滲透測試數(shù)據(jù)備份策略包括（）A.全量備份B.增量備份C.差異備份D.按需備份以下哪些屬于云計(jì)算安全風(fēng)險(xiǎn)？（）A.數(shù)據(jù)泄露風(fēng)險(xiǎn)B.虛擬機(jī)逃逸風(fēng)險(xiǎn)C.服務(wù)中斷風(fēng)險(xiǎn)D.多租戶隔離風(fēng)險(xiǎn)四、判斷題（每題2分，共10分）只要安裝了殺毒軟件和防火墻，網(wǎng)絡(luò)系統(tǒng)就絕對安全。（）數(shù)字證書是由證書認(rèn)證機(jī)構(gòu)（CA）頒發(fā)的，用于證明公鑰與用戶身份的綁定關(guān)系。（）網(wǎng)絡(luò)安全等級保護(hù)制度要求對所有網(wǎng)絡(luò)系統(tǒng)進(jìn)行統(tǒng)一的安全防護(hù)。（）蜜罐技術(shù)可以誘捕攻擊者，收集攻擊信息，分析攻擊手段。（）數(shù)據(jù)脫敏是指在不影響數(shù)據(jù)使用價值的前提下，對敏感數(shù)據(jù)進(jìn)行變形處理的技術(shù)。（）五、簡答題（每題10分，共20分）請簡述等保2.0中“一個中心，三重防護(hù)”的安全技術(shù)體系架構(gòu)，并說明各部分的主要功能。請?jiān)敿?xì)闡述如何防范分布式拒絕服務(wù)（DDoS）攻擊，列舉至少5種具體防范措施。網(wǎng)絡(luò)與信息安全工程師筆試試題答案一、填空題五私永不信任，始終驗(yàn)證邏輯運(yùn)算核心IPsec異常192數(shù)據(jù)存儲虛擬化二、單項(xiàng)選擇題DBBCCDDDDC三、多項(xiàng)選擇題ABCDABCDABCABCABCD四、判斷題×√×√√五、簡答題“一個中心，三重防護(hù)”的安全技術(shù)體系架構(gòu)中，“一個中心”指安全管理中心，主要功能包括對整個系統(tǒng)的安全策略進(jìn)行集中管理、配置和下發(fā)；對系統(tǒng)中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器等進(jìn)行統(tǒng)一監(jiān)控和管理；對系統(tǒng)產(chǎn)生的安全事件進(jìn)行收集、分析和處理，實(shí)現(xiàn)安全審計(jì)和告警?！叭胤雷o(hù)”分別是安全計(jì)算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)。安全計(jì)算環(huán)境主要針對終端設(shè)備、服務(wù)器等計(jì)算節(jié)點(diǎn)進(jìn)行安全防護(hù)，包括身份鑒別、訪問控制、數(shù)據(jù)加密、安全審計(jì)等措施，確保計(jì)算節(jié)點(diǎn)自身的安全性；安全區(qū)域邊界主要對不同安全區(qū)域之間的邊界進(jìn)行防護(hù)，通過防火墻、入侵檢測系統(tǒng)、邊界隔離等設(shè)備和技術(shù)，實(shí)現(xiàn)區(qū)域間的訪問控制和安全防護(hù)，防止非法訪問和攻擊；安全通信網(wǎng)絡(luò)主要保障網(wǎng)絡(luò)通信過程中的數(shù)據(jù)傳輸安全，通過加密技術(shù)、VPN等手段，防止數(shù)據(jù)在傳輸過程中被竊取、篡改和偽造。防范分布式拒絕服務(wù)（DDoS）攻擊的具體措施如下：流量清洗：部署專業(yè)的DDoS流量清洗設(shè)備或服務(wù)，通過對網(wǎng)絡(luò)流量進(jìn)行實(shí)時監(jiān)測和分析，識別并過濾掉異常的攻擊流量，將正常流量轉(zhuǎn)發(fā)到目標(biāo)服務(wù)器，確保服務(wù)器的正常運(yùn)行。帶寬擴(kuò)容：增加網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)的承載能力，使網(wǎng)絡(luò)在遭受攻擊時，仍有足夠的帶寬來處理正常的業(yè)務(wù)流量，降低攻擊對業(yè)務(wù)的影響。部署高防IP：使用高防IP服務(wù)，將網(wǎng)站或應(yīng)用的流量牽引到高防IP節(jié)點(diǎn)，由高防IP節(jié)點(diǎn)對流量進(jìn)行清洗和防護(hù)，然后將正常流量回源到源服務(wù)器，隱藏源服務(wù)器的真實(shí)IP地址，防止直接攻擊源服務(wù)器。優(yōu)化網(wǎng)絡(luò)架構(gòu)：采用分布式的網(wǎng)絡(luò)架構(gòu)，將業(yè)務(wù)分散到多個服務(wù)器和數(shù)據(jù)中心，避免單點(diǎn)故障。同時，合理配置負(fù)載均衡設(shè)備，將流量均勻分配到各個服務(wù)器上，提高系統(tǒng)的可用性和抗攻擊能力。限制連接數(shù)：在服務(wù)器和網(wǎng)絡(luò)設(shè)備上設(shè)置合理的連接數(shù)限制，防止攻擊者通過建立大量的連接耗盡服務(wù)器資源。例如，限制單個IP地址對服務(wù)器的最大連接數(shù)，當(dāng)達(dá)到限制時，拒絕新的連接請求。加強(qiáng)認(rèn)證機(jī)制：采用強(qiáng)認(rèn)證方式，如多因素認(rèn)證，確保只有合法用戶才能