2025年《中級網(wǎng)絡(luò)與信息安全管理員》考試練習題及參考答案一、單項選擇題（每題2分，共30分）1.在OSI參考模型中，負責將數(shù)據(jù)封裝為幀并進行差錯檢測的是哪一層？A.物理層B.數(shù)據(jù)鏈路層C.網(wǎng)絡(luò)層D.傳輸層答案：B解析：數(shù)據(jù)鏈路層的主要功能是將網(wǎng)絡(luò)層的數(shù)據(jù)包封裝為幀，通過MAC地址實現(xiàn)相鄰節(jié)點間的通信，并通過CRC校驗等機制進行差錯檢測。物理層負責比特流的傳輸，網(wǎng)絡(luò)層處理IP尋址和路由，傳輸層管理端到端的可靠連接。2.以下哪種加密算法屬于非對稱加密？A.AES-256B.RSAC.DESD.ChaCha20答案：B解析：非對稱加密使用公私鑰對，RSA是典型代表；AES、DES、ChaCha20均為對稱加密算法，加密和解密使用相同密鑰。3.某企業(yè)部署了入侵檢測系統(tǒng)（IDS），當檢測到異常流量時僅記錄日志而不阻斷，這種工作模式屬于？A.主動防御模式B.旁路監(jiān)聽模式C.在線串聯(lián)模式D.混合模式答案：B解析：IDS的旁路監(jiān)聽模式通過鏡像端口獲取流量，僅分析和報警，不影響網(wǎng)絡(luò)正常通信；在線串聯(lián)模式則會直接阻斷攻擊流量，屬于IPS（入侵防御系統(tǒng)）的典型功能。4.在TCP三次握手過程中，客戶端發(fā)送的第一個數(shù)據(jù)包的標志位是？A.SYN=1，ACK=0B.SYN=1，ACK=1C.SYN=0，ACK=1D.FIN=1，ACK=0答案：A解析：三次握手的第一步是客戶端向服務(wù)器發(fā)送SYN（同步）標志位為1的數(shù)據(jù)包，ACK（確認）標志位為0，表示請求建立連接。5.以下哪種攻擊方式利用了操作系統(tǒng)或應(yīng)用程序的漏洞，通過發(fā)送特制數(shù)據(jù)包使目標崩潰？A.DDoS攻擊B.緩沖區(qū)溢出攻擊C.釣魚攻擊D.中間人攻擊答案：B解析：緩沖區(qū)溢出攻擊通過向程序緩沖區(qū)寫入超出其容量的數(shù)據(jù)，覆蓋相鄰內(nèi)存空間，導致程序崩潰或執(zhí)行惡意代碼；DDoS是流量耗盡攻擊，釣魚是社會工程，中間人是竊聽或篡改通信。6.某公司網(wǎng)絡(luò)中，員工訪問內(nèi)部OA系統(tǒng)需通過用戶名密碼驗證，同時必須使用公司配發(fā)的USBKEY生成動態(tài)驗證碼，這種認證方式屬于？A.單因素認證B.雙因素認證C.多因素認證D.無因素認證答案：B解析：雙因素認證結(jié)合兩種獨立認證方式（此處為“知識”因素：密碼，和“擁有”因素：USBKEY）；多因素認證需三種及以上，如密碼+USBKEY+指紋。7.以下哪項是IPv6地址的正確表示形式？A.B.2001:0db8:85a3:0000:0000:8a2e:0370:7334C./8D.答案：B解析：IPv6地址為128位，采用冒號分隔的十六進制表示，可省略連續(xù)的零（如::）；A、C、D均為IPv4地址或子網(wǎng)掩碼格式。8.用于檢測網(wǎng)絡(luò)中是否存在未授權(quán)設(shè)備接入的技術(shù)是？A.NAC（網(wǎng)絡(luò)準入控制）B.VPN（虛擬專用網(wǎng)絡(luò)）C.VLAN（虛擬局域網(wǎng)）D.NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）答案：A解析：NAC通過檢查設(shè)備的身份、安全狀態(tài)（如補丁、殺毒軟件）來控制其是否能接入網(wǎng)絡(luò)；VPN用于安全遠程連接，VLAN用于隔離廣播域，NAT用于地址轉(zhuǎn)換。9.以下哪種協(xié)議用于安全地傳輸電子郵件？A.SMTPB.POP3C.IMAPD.SMTPS答案：D解析：SMTPS（SMTPoverSSL/TLS）是SMTP的安全版本，通過加密傳輸郵件數(shù)據(jù)；SMTP、POP3、IMAP均為明文傳輸協(xié)議（未啟用SSL/TLS時）。10.在Linux系統(tǒng)中，查看當前所有運行進程的命令是？A.ps-efB.topC.netstatD.ifconfig答案：A解析：ps-ef以全格式顯示所有進程；top是動態(tài)監(jiān)控進程的工具；netstat查看網(wǎng)絡(luò)連接；ifconfig查看網(wǎng)絡(luò)接口配置（現(xiàn)代Linux多使用ip命令）。11.以下哪種哈希算法已被證明存在碰撞漏洞，不建議用于安全場景？A.SHA-256B.MD5C.SHA-512D.SHA-3答案：B解析：MD5因碰撞攻擊復雜度低（可人為構(gòu)造兩個不同數(shù)據(jù)生成相同哈希值），已被RFC建議停止使用；SHA-2、SHA-3目前仍被視為安全。12.某網(wǎng)站數(shù)據(jù)庫泄露，用戶存儲的密碼顯示為“5f4dcc3b5aa765d61d8327deb882cf99”，這最可能是以下哪種處理方式的結(jié)果？A.明文存儲B.MD5哈希（無鹽）C.SHA-256哈希（加鹽）D.AES加密答案：B解析：該字符串為32位十六進制，符合MD5哈希特征；無鹽哈希易被彩虹表破解，加鹽哈希會在哈希值中包含隨機鹽值；AES加密結(jié)果通常為二進制或Base64編碼，長度更長。13.防火墻的“狀態(tài)檢測”功能主要基于以下哪項信息？A.源IP和目的IPB.源端口和目的端口C.傳輸層連接狀態(tài)（如SYN、ACK標志）D.應(yīng)用層協(xié)議類型答案：C解析：狀態(tài)檢測防火墻會跟蹤TCP連接的狀態(tài)（如建立、傳輸、關(guān)閉），僅允許與已建立連接相關(guān)的流量通過，比包過濾防火墻更安全。14.在SQL注入攻擊中，攻擊者通過輸入“'OR1=1--”試圖繞過登錄驗證，其利用的是？A.輸入驗證缺失B.會話管理漏洞C.加密算法弱D.權(quán)限管理不當答案：A解析：該攻擊利用了程序未對用戶輸入的SQL語句進行有效過濾（如轉(zhuǎn)義特殊字符），導致輸入的內(nèi)容被直接拼接到SQL查詢中，執(zhí)行惡意邏輯。15.以下哪項屬于物理安全措施？A.部署入侵檢測系統(tǒng)B.服務(wù)器機房安裝門禁系統(tǒng)C.對數(shù)據(jù)庫進行加密D.定期進行安全培訓答案：B解析：物理安全涉及對設(shè)備、場地的物理保護，如門禁、監(jiān)控、防火災(zāi)等；A、C屬于技術(shù)安全措施，D屬于管理安全措施。二、多項選擇題（每題3分，共15分，多選、少選、錯選均不得分）1.以下屬于常見Web應(yīng)用層攻擊的有？A.SQL注入B.DDoSC.XSS（跨站腳本）D.ARP欺騙答案：A、C解析：Web應(yīng)用層攻擊針對HTTP/HTTPS協(xié)議及應(yīng)用程序邏輯，SQL注入和XSS是典型代表；DDoS多為網(wǎng)絡(luò)層/傳輸層攻擊，ARP欺騙是數(shù)據(jù)鏈路層攻擊。2.訪問控制的主要模型包括？A.自主訪問控制（DAC）B.強制訪問控制（MAC）C.基于角色的訪問控制（RBAC）D.基于屬性的訪問控制（ABAC）答案：A、B、C、D解析：四種均為常見訪問控制模型：DAC由資源所有者決定權(quán)限，MAC由系統(tǒng)強制分配（如分級制度），RBAC基于用戶角色，ABAC基于用戶屬性（如部門、時間）。3.以下哪些措施可用于防范無線網(wǎng)絡(luò)（WLAN）的安全風險？A.啟用WPA3加密B.關(guān)閉SSID廣播C.配置MAC地址過濾D.使用WEP加密答案：A、B、C解析：WPA3是最新無線安全協(xié)議，比WPA2更安全；關(guān)閉SSID廣播可減少網(wǎng)絡(luò)被發(fā)現(xiàn)的概率；MAC地址過濾可限制特定設(shè)備接入；WEP因密鑰長度短、易被破解，已被淘汰。4.數(shù)據(jù)脫敏的常用方法包括？A.替換（如將真實姓名替換為“用戶X”）B.混淆（如將身份證號中間幾位替換為“”）C.加密（如對敏感字段進行AES加密）D.截斷（如只保留手機號前三位和后四位）答案：A、B、D解析：數(shù)據(jù)脫敏是將敏感信息轉(zhuǎn)換為非敏感形式，用于測試或統(tǒng)計；加密屬于數(shù)據(jù)保護手段，但未改變數(shù)據(jù)本質(zhì)（需密鑰解密），不屬于脫敏。5.以下哪些是Linux系統(tǒng)中常見的日志文件？A./var/log/auth.log（認證日志）B./var/log/syslog（系統(tǒng)日志）C./var/log/access.log（Web訪問日志）D./var/log/messages（通用系統(tǒng)日志，部分發(fā)行版使用）答案：A、B、D解析：auth.log記錄用戶登錄、sudo等認證事件；syslog記錄系統(tǒng)進程消息；messages在CentOS等系統(tǒng)中替代syslog；access.log通常是Apache/Nginx的Web服務(wù)器日志，屬于應(yīng)用日志，非系統(tǒng)核心日志。三、判斷題（每題1分，共10分，正確填“√”，錯誤填“×”）1.（×）SYNFlood攻擊屬于應(yīng)用層攻擊，通過發(fā)送大量HTTP請求耗盡服務(wù)器資源。解析：SYNFlood是網(wǎng)絡(luò)層/傳輸層攻擊，利用TCP三次握手缺陷，發(fā)送大量SYN包但不完成握手，導致服務(wù)器半連接隊列耗盡。2.（√）SSL/TLS協(xié)議的主要作用是為通信雙方提供機密性、完整性和身份認證。解析：SSL/TLS通過握手過程協(xié)商加密算法，使用對稱加密保證機密性，哈希算法保證數(shù)據(jù)完整性，數(shù)字證書實現(xiàn)服務(wù)器（可選客戶端）身份認證。3.（×）在IPSecVPN中，傳輸模式僅加密IP數(shù)據(jù)報的負載，而隧道模式加密整個IP數(shù)據(jù)報（包括原IP頭）。解析：傳輸模式加密IP負載（TCP/UDP數(shù)據(jù)），保留原IP頭；隧道模式加密整個原IP數(shù)據(jù)報，并封裝新的IP頭，通常用于網(wǎng)關(guān)到網(wǎng)關(guān)連接。4.（√）蜜罐（Honeypot）是一種主動防御技術(shù)，通過模擬易受攻擊的系統(tǒng)吸引攻擊者，從而分析攻擊手段。解析：蜜罐不處理正常業(yè)務(wù)，其價值在于誘捕攻擊者，記錄攻擊過程，為防御提供數(shù)據(jù)支持。5.（×）Windows系統(tǒng)中，管理員賬戶（Administrator）無法被禁用或刪除。解析：可通過組策略或命令（如netuseradministrator/active:no）禁用Administrator賬戶，但無法徹底刪除（系統(tǒng)保留）。6.（√）最小權(quán)限原則要求用戶或進程僅獲得完成任務(wù)所需的最小權(quán)限，以降低誤操作或被攻擊的影響。解析：最小權(quán)限是安全設(shè)計的核心原則之一，例如數(shù)據(jù)庫用戶僅授予查詢權(quán)限而無刪除權(quán)限。7.（×）哈希算法是可逆的，通過哈希值可以還原原始數(shù)據(jù)。解析：哈希算法是單向函數(shù)，理論上無法從哈希值逆推原始數(shù)據(jù)（碰撞是指不同數(shù)據(jù)生成相同哈希，而非可逆）。8.（√）WAF（Web應(yīng)用防火墻）可以檢測并阻斷SQL注入、XSS、CSRF等攻擊。解析：WAF部署在Web服務(wù)器前端，通過規(guī)則匹配、正則表達式、機器學習等方法識別惡意請求，是Web應(yīng)用的重要防護手段。9.（×）藍牙設(shè)備連接時默認使用強加密，因此無需額外安全配置。解析：早期藍牙版本（如2.1）使用的E0加密算法存在漏洞，現(xiàn)代藍牙（4.0+）支持AES加密，但仍需用戶啟用配對驗證、關(guān)閉可見模式等措施。10.（√）定期進行漏洞掃描并安裝系統(tǒng)補丁是防范勒索軟件的重要措施。解析：勒索軟件常利用未修補的系統(tǒng)漏洞（如永恒之藍攻擊SMB漏洞）傳播，及時打補丁可有效降低感染風險。四、簡答題（每題8分，共40分）1.請簡述零信任架構(gòu)（ZeroTrustArchitecture）的核心原則。答案：零信任架構(gòu)的核心原則包括：（1）持續(xù)驗證：所有訪問請求（無論內(nèi)部還是外部）必須經(jīng)過身份、設(shè)備狀態(tài)、環(huán)境等多因素驗證，而非僅依賴網(wǎng)絡(luò)位置；（2）最小權(quán)限訪問：根據(jù)用戶角色、任務(wù)需求動態(tài)分配最小必要權(quán)限，避免“一次認證，全程信任”；（3）動態(tài)風險評估：結(jié)合實時流量、設(shè)備健康狀態(tài)（如是否安裝最新補?。?、用戶行為（如異常登錄時間）等因素評估風險，調(diào)整訪問控制策略；（4）全流量加密：所有數(shù)據(jù)在傳輸和存儲過程中必須加密，防止中間人攻擊；（5）可見性與審計：對所有訪問行為進行詳細記錄，確保操作可追溯，便于事后分析和響應(yīng)。2.請說明WAF（Web應(yīng)用防火墻）與傳統(tǒng)網(wǎng)絡(luò)防火墻的主要區(qū)別。答案：主要區(qū)別體現(xiàn)在以下方面：（1）防護層次：傳統(tǒng)防火墻工作在網(wǎng)絡(luò)層/傳輸層（如IP、TCP/UDP），基于IP、端口進行過濾；WAF工作在應(yīng)用層（HTTP/HTTPS），可識別并處理Web應(yīng)用特有的攻擊（如SQL注入、XSS）。（2）檢測深度：傳統(tǒng)防火墻僅檢查數(shù)據(jù)包頭部信息；WAF需解析應(yīng)用層數(shù)據(jù)（如HTTP請求體、Cookies），分析語義內(nèi)容（如SQL查詢語句、JavaScript代碼）。（3）防護對象：傳統(tǒng)防火墻保護整個網(wǎng)絡(luò)邊界；WAF專門保護Web服務(wù)器、API接口等應(yīng)用層資源。（4）規(guī)則類型：傳統(tǒng)防火墻規(guī)則基于IP、端口、協(xié)議；WAF規(guī)則包含正則表達式、漏洞特征庫（如OWASPTop10攻擊模式）、自定義業(yè)務(wù)邏輯（如限制特定參數(shù)格式）。3.某企業(yè)網(wǎng)絡(luò)中發(fā)現(xiàn)大量ICMPEcho請求（Ping）數(shù)據(jù)包，源IP為隨機偽造的公網(wǎng)地址，目的IP為內(nèi)部服務(wù)器，可能是什么攻擊？請寫出排查和防御步驟。答案：可能是ICMPFlood（洪水攻擊）或DDoS攻擊中的一種，通過發(fā)送大量ICMP請求耗盡目標服務(wù)器或網(wǎng)絡(luò)帶寬資源。排查步驟：（1）使用流量監(jiān)控工具（如Wireshark、tshark）抓取數(shù)據(jù)包，分析源IP是否為隨機偽造（無真實連接）、目的IP是否集中、包大小是否異常（如大量小數(shù)據(jù)包）；（2）檢查服務(wù)器性能指標（如CPU、內(nèi)存、帶寬使用率），確認是否因ICMP流量導致資源耗盡；（3）查看防火墻/IDS日志，是否有異常ICMP流量記錄，是否觸發(fā)攻擊檢測規(guī)則。防御措施：（1）在邊界防火墻配置ACL（訪問控制列表），限制ICMP請求的速率（如每分鐘僅允許100個ICMPEcho請求）；（2）啟用流量清洗服務(wù)（如云WAF、DDoS防護平臺），識別并過濾偽造源IP的ICMP流量；（3）關(guān)閉非必要的ICMP服務(wù)（如在服務(wù)器系統(tǒng)中禁用ICMPEcho響應(yīng)，通過sysctl命令或防火墻規(guī)則實現(xiàn)）；（4）部署IDS/IPS，設(shè)置針對ICMPFlood的攻擊特征庫，自動阻斷異常流量。4.請解釋“數(shù)據(jù)泄露防護（DLP）”的主要功能，并列舉三種常見的DLP部署方式。答案：數(shù)據(jù)泄露防護（DLP）的主要功能是識別、監(jiān)控和保護敏感數(shù)據(jù)（如個人信息、商業(yè)秘密、知識產(chǎn)權(quán)），防止其未經(jīng)授權(quán)的泄露。具體包括：（1）數(shù)據(jù)發(fā)現(xiàn)：掃描存儲介質(zhì)（如文件服務(wù)器、數(shù)據(jù)庫），識別包含敏感信息（如身份證號、信用卡號）的文件；（2）傳輸監(jiān)控：檢查網(wǎng)絡(luò)流量（如郵件、即時通訊、FTP），阻止敏感數(shù)據(jù)通過網(wǎng)絡(luò)外傳；（3）端點控制：限制移動存儲設(shè)備（U盤、移動硬盤）的使用，防止敏感數(shù)據(jù)通過物理介質(zhì)泄露；（4）策略執(zhí)行：根據(jù)預設(shè)規(guī)則（如“財務(wù)文件禁止通過郵件發(fā)送”），對違規(guī)操作進行阻斷、告警或日志記錄。常見部署方式：（1）網(wǎng)絡(luò)DLP：部署在網(wǎng)絡(luò)出口，監(jiān)控HTTP、SMTP、FTP等協(xié)議流量；（2）端點DLP：安裝在終端設(shè)備（如PC、筆記本），監(jiān)控本地文件操作和外設(shè)使用；（3）存儲DLP：集成到存儲系統(tǒng)（如NAS、數(shù)據(jù)庫），對靜態(tài)數(shù)據(jù)進行掃描和保護；（4）云DLP：針對云環(huán)境（如AWSS3、AzureStorage），監(jiān)控云存儲和云應(yīng)用中的敏感數(shù)據(jù)流動。5.請簡述Linux系統(tǒng)中sudo命令的作用及安全配置要點。答案：sudo命令允許普通用戶以超級用戶（root）權(quán)限執(zhí)行特定命令，避免直接使用root賬戶操作帶來的安全風險。安全配置要點：（1）最小權(quán)限原則：在/etc/sudoers文件中僅授予用戶執(zhí)行必要命令的權(quán)限（如“user1ALL=(root)/usr/bin/apt,/usr/sbin/nginx”），避免使用“ALL”通配符；（2）密碼驗證：配置“sudoers”時設(shè)置“requiretty”（僅允許終端執(zhí)行sudo）和“timestamp_timeout”（密碼有效期，默認15分鐘），防止長時間無密碼認證；（3）日志記錄：啟用sudo日志（通過“Defaultslogfile=/var/log/sudo.log”），記錄所有sudo操作的用戶、時間、命令，便于審計；（4）禁止root直接登錄：通過修改/etc/ssh/sshd_config設(shè)置“PermitRootLoginno”，強制使用普通用戶登錄后通過sudo提權(quán)；（5）定期審查sudoers文件：使用visudo命令檢查語法錯誤，避免因配置錯誤導致權(quán)限失控。五、綜合分析題（共25分）某企業(yè)部署了一套基于B/S架構(gòu)的客戶關(guān)系管理系統(tǒng)（CRM），近期頻繁出現(xiàn)以下異?，F(xiàn)象：（1）部分用戶賬戶在未操作的情況下被修改密碼；（2）數(shù)據(jù)庫中客戶姓名、手機號等敏感字段出現(xiàn)亂碼；（3）服務(wù)器CPU使用率持續(xù)高于80%，網(wǎng)絡(luò)出口流量激增。請結(jié)合網(wǎng)絡(luò)與信息安全知識，分析可能的原因，并提出排查和解決方案。答案：可能原因分析1.賬戶密碼被修改：可能是SQL注入攻擊導致攻擊者獲取數(shù)據(jù)庫權(quán)限，直接修改用戶密碼；或XSS攻擊竊取用戶會話Cookie，通過偽造會話執(zhí)行密碼修改操作；也可能是弱口令導致賬戶被暴力破解。2.敏感字段亂碼：可能是數(shù)據(jù)庫被注入惡意腳本（如加密勒索軟件），對數(shù)據(jù)進行非法加密；或攻擊通過漏洞寫入非UTF-8編碼的數(shù)據(jù)，導致顯示亂碼；也可能是數(shù)據(jù)庫事務(wù)異常（如未提交的修改）。3.CPU和流量異常：可能是DDoS攻擊（如CC攻擊）針對CRM系統(tǒng)的登錄頁面發(fā)送大量請求，導致服務(wù)器資源耗盡；或數(shù)據(jù)庫被惡意查詢（如全表掃描）消耗CPU；也可能是木馬程序通過服務(wù)器向外發(fā)送數(shù)據(jù)（如竊取的客戶信息），導致流量激增。排查步驟1.日志分析：-查看Web服務(wù)器日志（如Nginx的access.log），檢查是否有異常請求（如大量重復的POST請求到密碼修改接口、請求參數(shù)包含特殊字符如“'”“--”）；-檢查數(shù)據(jù)庫日志（如MySQL的slow.log、error.log），查看是否有異常SQL語句（如UPDATEuserSETpassword=...的非業(yè)務(wù)時間操作）、慢查詢或連接數(shù)暴增；-審計系統(tǒng)日志（如Linux的/var/log/auth.log），確認是否有異常登錄嘗試（如多次失敗的SSH登錄、sudo操作）。2.流量監(jiān)控：-使用t