2025年網(wǎng)絡(luò)與信息安全管理員三級模擬試題及答案(網(wǎng)絡(luò)安全防護(hù))一、單項(xiàng)選擇題（共20題，每題1.5分，共30分。每題只有一個(gè)正確選項(xiàng)）1.某企業(yè)部署了基于狀態(tài)檢測的防火墻，其核心技術(shù)特征是？A.僅檢查數(shù)據(jù)包的源/目的IP和端口B.跟蹤連接狀態(tài)并動態(tài)允許后續(xù)數(shù)據(jù)包通過C.基于應(yīng)用層協(xié)議深度解析內(nèi)容D.通過沙箱技術(shù)檢測未知惡意代碼答案：B2.以下哪種入侵檢測系統(tǒng)（IDS）能夠通過分析正常流量的統(tǒng)計(jì)特征，識別異常行為？A.基于特征的IDSB.基于異常的IDSC.基于網(wǎng)絡(luò)的IDS（NIDS）D.基于主機(jī)的IDS（HIDS）答案：B3.在訪問控制模型中，“用戶權(quán)限由其所屬角色決定”的模型是？A.自主訪問控制（DAC）B.強(qiáng)制訪問控制（MAC）C.基于角色的訪問控制（RBAC）D.基于屬性的訪問控制（ABAC）答案：C4.某系統(tǒng)采用AES256加密算法對敏感數(shù)據(jù)進(jìn)行加密，其密鑰長度為？A.128位B.192位C.256位D.512位答案：C5.以下哪種漏洞屬于應(yīng)用層漏洞？A.ARP欺騙B.DNS緩存投毒C.SQL注入D.碎片攻擊答案：C6.企業(yè)網(wǎng)絡(luò)中部署IPS（入侵防御系統(tǒng)）時(shí)，通常采用的部署方式是？A.旁路監(jiān)聽模式B.串接在線模式C.僅日志記錄模式D.與防火墻并行模式答案：B7.為防止員工誤操作導(dǎo)致文件刪除，最有效的防護(hù)措施是？A.部署文件加密系統(tǒng)B.實(shí)施文件訪問審計(jì)C.設(shè)置文件版本控制與備份D.限制員工文件操作權(quán)限答案：C8.以下哪項(xiàng)是零信任架構(gòu)的核心原則？A.網(wǎng)絡(luò)邊界內(nèi)的所有設(shè)備默認(rèn)可信B.持續(xù)驗(yàn)證訪問請求的身份與環(huán)境安全C.僅通過物理隔離保障安全D.依賴單一身份認(rèn)證機(jī)制答案：B9.某企業(yè)發(fā)現(xiàn)辦公網(wǎng)中存在大量ICMP請求包（Ping），但無響應(yīng)包返回，可能的攻擊是？A.Smurf攻擊B.PingofDeathC.ICMP重定向攻擊D.流量探測掃描答案：D10.針對勒索軟件的防護(hù)，以下措施中優(yōu)先級最低的是？A.定期全量備份重要數(shù)據(jù)B.部署終端殺毒軟件C.禁用不必要的端口和服務(wù)D.為員工提供社交工程培訓(xùn)答案：B（注：殺毒軟件對新型勒索軟件可能滯后，備份和培訓(xùn)更關(guān)鍵）11.以下哪項(xiàng)是SSL/TLS協(xié)議的主要功能？A.保證數(shù)據(jù)傳輸?shù)耐暾耘c機(jī)密性B.實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理C.提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）D.檢測網(wǎng)絡(luò)中的異常流量答案：A12.在漏洞管理流程中，“對漏洞修復(fù)后的系統(tǒng)進(jìn)行驗(yàn)證”屬于哪個(gè)階段？A.漏洞掃描B.風(fēng)險(xiǎn)評估C.修復(fù)實(shí)施D.效果驗(yàn)證答案：D13.某單位要求員工訪問內(nèi)部系統(tǒng)時(shí)，需同時(shí)使用密碼和動態(tài)令牌，這屬于？A.單因素認(rèn)證B.雙因素認(rèn)證C.多因素認(rèn)證D.零信任認(rèn)證答案：B14.以下哪種攻擊方式利用了操作系統(tǒng)未打補(bǔ)丁的漏洞？A.釣魚郵件B.緩沖區(qū)溢出C.社會工程D.DNS劫持答案：B15.企業(yè)部署WAF（Web應(yīng)用防火墻）時(shí)，主要防護(hù)的對象是？A.數(shù)據(jù)庫服務(wù)器B.Web應(yīng)用層攻擊（如XSS、CSRF）C.網(wǎng)絡(luò)層DDOS攻擊D.物理層設(shè)備破壞答案：B16.為防止無線局域網(wǎng)（WLAN）被非法接入，最有效的措施是？A.關(guān)閉SSID廣播B.使用WPA3協(xié)議替代WEPC.限制連接設(shè)備的MAC地址D.降低無線信號強(qiáng)度答案：B17.以下哪項(xiàng)屬于主機(jī)安全加固的常規(guī)操作？A.開啟所有系統(tǒng)服務(wù)以保證功能完整性B.為管理員賬戶設(shè)置簡單易記的密碼C.禁用不必要的用戶賬戶和服務(wù)D.不安裝操作系統(tǒng)補(bǔ)丁以避免兼容性問題答案：C18.在網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)流程中，“隔離受影響設(shè)備”屬于哪個(gè)階段？A.準(zhǔn)備階段B.檢測與分析階段C.遏制階段D.恢復(fù)階段答案：C19.以下哪種加密算法屬于非對稱加密？A.AESB.DESC.RSAD.SHA256答案：C20.某企業(yè)網(wǎng)絡(luò)中，核心交換機(jī)配置了“端口安全”功能，其主要目的是？A.防止MAC地址泛洪攻擊B.加速數(shù)據(jù)轉(zhuǎn)發(fā)C.實(shí)現(xiàn)VLAN間路由D.優(yōu)化QoS流量控制答案：A二、判斷題（共10題，每題1分，共10分。正確填“√”，錯(cuò)誤填“×”）1.防火墻可以完全阻止所有網(wǎng)絡(luò)攻擊，因此無需其他安全措施。（×）2.基于主機(jī)的入侵檢測系統(tǒng)（HIDS）主要監(jiān)控網(wǎng)絡(luò)流量。（×）3.最小權(quán)限原則要求用戶僅擁有完成任務(wù)所需的最低權(quán)限。（√）4.加密技術(shù)只能保護(hù)數(shù)據(jù)的機(jī)密性，無法保證完整性。（×）5.漏洞掃描工具可以自動修復(fù)所有發(fā)現(xiàn)的漏洞。（×）6.零信任架構(gòu)的核心是“永不信任，始終驗(yàn)證”。（√）7.釣魚攻擊主要通過技術(shù)手段（如漏洞利用）獲取信息。（×）8.定期更新操作系統(tǒng)和應(yīng)用程序補(bǔ)丁是防范漏洞攻擊的重要措施。（√）9.WLAN中使用WEP協(xié)議的安全性高于WPA2。（×）10.網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)優(yōu)先恢復(fù)業(yè)務(wù)，再進(jìn)行日志留存。（×）三、簡答題（共5題，每題6分，共30分）1.簡述防火墻的工作原理及主要功能。答案：防火墻是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全設(shè)備，通過預(yù)設(shè)的安全策略對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢查和過濾。其核心原理是基于數(shù)據(jù)包的源/目的IP、端口、協(xié)議類型、應(yīng)用層內(nèi)容等屬性，結(jié)合訪問控制列表（ACL）或狀態(tài)檢測機(jī)制，決定是否允許數(shù)據(jù)包通過。主要功能包括：隔離內(nèi)外網(wǎng)、阻止非法訪問、過濾惡意流量、記錄訪問日志、實(shí)施應(yīng)用層防護(hù)（如URL過濾）等。2.列舉入侵檢測系統(tǒng)（IDS）的三種分類方式，并說明其特點(diǎn)。答案：（1）按部署位置分：網(wǎng)絡(luò)型IDS（NIDS）監(jiān)控網(wǎng)絡(luò)流量，主機(jī)型IDS（HIDS）監(jiān)控主機(jī)文件和進(jìn)程；（2）按檢測方法分：特征型IDS（基于已知攻擊特征庫匹配）、異常型IDS（基于正常行為模型檢測偏離）；（3）按功能分：被動式IDS（僅報(bào)警）、主動式IDS（可阻斷攻擊）。3.說明訪問控制實(shí)施的基本步驟。答案：（1）身份認(rèn)證：驗(yàn)證用戶身份真實(shí)性（如密碼、證書）；（2）權(quán)限分配：根據(jù)用戶角色或?qū)傩苑峙渥钚”匾獧?quán)限（如RBAC模型）；（3）訪問驗(yàn)證：在用戶請求資源時(shí)，檢查其權(quán)限是否符合策略；（4）審計(jì)記錄：記錄所有訪問行為，用于后續(xù)追溯和分析；（5）權(quán)限更新：根據(jù)用戶職責(zé)變化動態(tài)調(diào)整權(quán)限（如員工離職時(shí)回收權(quán)限）。4.簡述漏洞掃描的主要流程。答案：（1）掃描準(zhǔn)備：確定掃描目標(biāo)（如IP范圍、端口）、選擇掃描工具（如Nessus、OpenVAS）、配置掃描參數(shù)（如深度、速率）；（2）信息收集：獲取目標(biāo)開放端口、運(yùn)行服務(wù)、操作系統(tǒng)類型等；（3）漏洞檢測：通過插件或腳本匹配已知漏洞特征（如CVE編號對應(yīng)的漏洞）；（4）結(jié)果分析：評估漏洞風(fēng)險(xiǎn)等級（高/中/低），生成詳細(xì)報(bào)告（含漏洞描述、影響、修復(fù)建議）；（5）修復(fù)跟蹤：驗(yàn)證漏洞是否修復(fù)，更新掃描策略。5.描述SSL/TLS握手過程的關(guān)鍵步驟。答案：（1）客戶端發(fā)起連接，發(fā)送支持的TLS版本、加密算法列表等信息；（2）服務(wù)器響應(yīng)，選擇具體算法，發(fā)送服務(wù)器證書（含公鑰）；（3）客戶端驗(yàn)證證書有效性（如CA簽名、域名匹配），生成隨機(jī)數(shù)并用服務(wù)器公鑰加密后發(fā)送；（4）服務(wù)器用私鑰解密隨機(jī)數(shù)，雙方基于隨機(jī)數(shù)生成會話密鑰；（5）客戶端和服務(wù)器通過會話密鑰加密“完成”消息，確認(rèn)握手成功，后續(xù)數(shù)據(jù)通過該密鑰加密傳輸。四、案例分析題（共2題，每題15分，共30分）案例1：某制造企業(yè)網(wǎng)絡(luò)安全事件某制造企業(yè)部署了傳統(tǒng)邊界防火墻，辦公網(wǎng)與生產(chǎn)網(wǎng)通過VLAN隔離。近期發(fā)生以下異常：研發(fā)部門員工報(bào)告訪問內(nèi)部文檔服務(wù)器速度緩慢；安全運(yùn)維人員發(fā)現(xiàn)防火墻日志中存在大量源IP為00（研發(fā)終端）的TCP連接請求，目標(biāo)端口包括445（SMB）、3389（RDP）；終端殺毒軟件提示“檢測到未知文件異常寫入C:\Windows\System32目錄”；生產(chǎn)網(wǎng)一臺PLC控制器突然停止運(yùn)行，日志顯示“收到非法Modbus指令”。問題：（1）分析可能的攻擊類型及威脅源；（2）提出當(dāng)前應(yīng)采取的應(yīng)急措施；（3）給出長期防護(hù)改進(jìn)建議。答案：（1）可能的攻擊類型及威脅源：研發(fā)終端可能感染了勒索軟件或僵尸網(wǎng)絡(luò)（大量異常TCP連接、系統(tǒng)目錄異常寫入）；生產(chǎn)網(wǎng)PLC攻擊可能是由于辦公網(wǎng)與生產(chǎn)網(wǎng)邊界防護(hù)不足，惡意流量通過VLAN滲透至生產(chǎn)網(wǎng)（Modbus協(xié)議未加密或認(rèn)證缺失）；威脅源可能是員工誤點(diǎn)釣魚郵件下載惡意軟件，或終端存在未修復(fù)的SMB（如永恒之藍(lán)）、RDP漏洞。（2）應(yīng)急措施：立即隔離研發(fā)終端00（斷開網(wǎng)絡(luò)連接），避免橫向傳播；暫停生產(chǎn)網(wǎng)PLC控制器與辦公網(wǎng)的連接（如關(guān)閉跨VLAN路由），使用物理隔離或工業(yè)防火墻阻斷非必要流量；導(dǎo)出防火墻、終端及PLC的日志（包括時(shí)間戳、流量特征、文件哈希），用于后續(xù)分析；啟用備份恢復(fù)文檔服務(wù)器數(shù)據(jù)（若未被加密），關(guān)閉445、3389等高危端口；對感染終端進(jìn)行病毒掃描，清除惡意進(jìn)程，格式化受感染分區(qū)（必要時(shí)）。（3）長期改進(jìn)建議：實(shí)施零信任架構(gòu)：對研發(fā)終端和生產(chǎn)網(wǎng)設(shè)備進(jìn)行持續(xù)身份驗(yàn)證（如端點(diǎn)健康檢查、多因素認(rèn)證），僅允許授權(quán)設(shè)備訪問特定資源；加強(qiáng)工業(yè)控制網(wǎng)絡(luò)防護(hù)：在辦公網(wǎng)與生產(chǎn)網(wǎng)間部署工業(yè)防火墻，過濾非法Modbus指令，啟用Modbus/TCP認(rèn)證；漏洞管理：定期掃描終端及PLC的漏洞（如SMB、RDP），及時(shí)安裝補(bǔ)?。ㄉa(chǎn)網(wǎng)需測試后再部署）；員工培訓(xùn)：開展釣魚郵件識別、安全操作規(guī)范培訓(xùn)，禁止隨意下載未知文件；日志與監(jiān)控：部署SIEM（安全信息與事件管理系統(tǒng)），集中分析防火墻、IDS、終端日志，實(shí)現(xiàn)異常行為實(shí)時(shí)告警；數(shù)據(jù)保護(hù)：對文檔服務(wù)器和PLC配置自動增量備份（離線存儲），啟用文件加密（如AES256）。案例2：某電商平臺Web應(yīng)用攻擊事件某電商平臺近期用戶投訴：部分用戶登錄后顯示他人訂單信息；后臺管理系統(tǒng)出現(xiàn)“數(shù)據(jù)庫查詢超時(shí)”；WAF日志顯示大量請求包含“<script>alert(1)</script>”“UNIONSELECTFROMusers”等字符串。問題：（1）判斷可能遭遇的攻擊類型，并說明依據(jù)；（2）分析平臺當(dāng)前防護(hù)措施的不足；（3）提出針對性的修復(fù)方案。答案：（1）攻擊類型及依據(jù)：XSS（跨站腳本攻擊）：WAF日志中存在<script>標(biāo)簽，可能導(dǎo)致用戶瀏覽器執(zhí)行惡意腳本，竊取Cookie或展示偽造信息（如他人訂單）；SQL注入攻擊：日志中包含“UNIONSELECT”等SQL語句，攻擊者可能通過拼接惡意SQL代碼，非法查詢或修改數(shù)據(jù)庫（導(dǎo)致查詢超時(shí)）。（2）防護(hù)不足分析：Web應(yīng)用輸入驗(yàn)證缺失：未對用戶輸入的用戶名、搜索關(guān)鍵詞等進(jìn)行嚴(yán)格過濾（如禁止<script>、SQL特殊字符）；WAF規(guī)則配置不當(dāng)：未啟用XSS和SQL注入的專項(xiàng)防護(hù)規(guī)則，或規(guī)則未及時(shí)更新（如忽略了編碼后的攻擊載荷）；數(shù)據(jù)庫權(quán)限過高：后臺數(shù)據(jù)庫用戶可能擁有“SELECT”等高權(quán)限，導(dǎo)致SQL注入后數(shù)據(jù)泄露范圍擴(kuò)大；會話管理薄弱：用戶會話ID未加密或過期時(shí)間過長，XSS攻擊可竊取會話ID實(shí)現(xiàn)越權(quán)訪問。（3）修復(fù)方案：輸入驗(yàn)證與輸出編碼：在Web應(yīng)用后端對所有用戶輸入進(jìn)行白名單校驗(yàn)（僅允許字母、數(shù)字），對輸出到前端的數(shù)據(jù)進(jìn)行HTML轉(zhuǎn)義（如將“<”轉(zhuǎn)為“<”）；WAF規(guī)則優(yōu)化：啟用XSS和SQL注入的內(nèi)置防護(hù)規(guī)則，添加自定義規(guī)則攔截“UNION”“EXEC