2025年網(wǎng)絡信息安全工程師招聘筆試題與參考答案(某大型國企)一、單項選擇題（每題2分，共40分）1.以下哪個協(xié)議屬于OSI模型傳輸層的安全協(xié)議？A.HTTPSB.TLSC.IPsecD.SSL2.某企業(yè)數(shù)據(jù)庫存儲用戶身份證號，根據(jù)《個人信息保護法》，該信息屬于：A.一般個人信息B.敏感個人信息C.匿名化信息D.去標識化信息3.以下哪種攻擊方式利用了操作系統(tǒng)或應用程序的緩沖區(qū)溢出漏洞？A.SQL注入B.DDoSC.緩沖區(qū)溢出攻擊D.跨站腳本攻擊（XSS）4.在等保2.0三級系統(tǒng)中，要求網(wǎng)絡設備的管理員賬戶應滿足“最小權限原則”，以下哪項不符合要求？A.管理員賬戶僅授予配置防火墻策略的權限B.管理員賬戶同時擁有日志審計和設備配置權限C.管理員賬戶與普通運維賬戶分離D.管理員賬戶通過堡壘機進行集中管理5.某企業(yè)使用AES-256對重要數(shù)據(jù)加密，若密鑰長度為256位，其加密輪數(shù)為：A.10輪B.12輪C.14輪D.16輪6.以下哪項是工業(yè)控制系統(tǒng)（ICS）中典型的安全風險？A.藍牙設備未關閉可發(fā)現(xiàn)模式B.PLC程序被未授權修改C.辦公網(wǎng)與生產(chǎn)網(wǎng)未劃分VLAND.員工使用弱密碼登錄OA系統(tǒng)7.某公司檢測到異常流量，經(jīng)分析為源IP為00的主機向外部:4444持續(xù)發(fā)送TCPSYN包，可能的攻擊類型是：A.ARP欺騙B.SYNFloodC.DNS緩存投毒D.端口掃描8.根據(jù)《網(wǎng)絡安全法》，關鍵信息基礎設施運營者應當自行或委托第三方每年至少進行幾次網(wǎng)絡安全檢測評估？A.1次B.2次C.3次D.4次9.以下哪種哈希算法已被證明存在碰撞漏洞，不建議用于數(shù)字簽名？A.SHA-256B.SHA-1C.MD5D.SM310.某企業(yè)部署WAF（Web應用防火墻），以下哪種策略最可能導致正常業(yè)務中斷？A.對POST請求中的“SELECTFROM”字符串進行攔截B.對HTTP請求頭中的User-Agent字段進行白名單校驗C.對IP地址段/24開放全流量訪問D.對上傳文件類型限制為僅允許.jpg、.png11.在滲透測試中，“內網(wǎng)橫向移動”的主要目的是：A.繞過邊界防火墻B.獲取目標網(wǎng)絡拓撲信息C.從已控制主機擴展至其他主機D.竊取核心業(yè)務數(shù)據(jù)12.以下哪項屬于零信任架構的核心原則？A.網(wǎng)絡邊界內的所有設備默認可信B.持續(xù)驗證訪問請求的身份、設備狀態(tài)和環(huán)境C.僅通過物理隔離保障安全D.所有流量通過單一網(wǎng)關進行審計13.某企業(yè)郵件服務器日志顯示大量來自0的SMTP連接嘗試，目標端口為25，且連接成功率極低?？赡艿脑蚴牵篈.郵件服務器未開啟SMTP服務B.防火墻對0的SMTP連接速率做了限制C.郵件服務器的MX記錄配置錯誤D.0主機感染了勒索軟件14.以下哪種密碼學攻擊方式針對的是加密算法的數(shù)學基礎（如大數(shù)分解困難性）？A.側信道攻擊B.暴力破解C.量子計算攻擊D.重放攻擊15.某工業(yè)企業(yè)的SCADA系統(tǒng)與辦公網(wǎng)通過單向網(wǎng)閘隔離，以下哪項操作符合安全要求？A.SCADA系統(tǒng)服務器通過網(wǎng)閘向辦公網(wǎng)推送生產(chǎn)數(shù)據(jù)B.辦公網(wǎng)終端通過網(wǎng)閘遠程登錄SCADA系統(tǒng)服務器C.SCADA系統(tǒng)與辦公網(wǎng)使用相同的AD域進行身份認證D.網(wǎng)閘策略配置為雙向允許HTTP/80端口通信16.某企業(yè)采用HIDS（主機入侵檢測系統(tǒng)）監(jiān)控服務器，以下哪種日志最可能觸發(fā)報警？A.凌晨3點，root用戶通過SSH登錄并執(zhí)行“l(fā)s/etc”命令B.普通用戶嘗試訪問“/root/.ssh/authorized_keys”文件C.數(shù)據(jù)庫進程在內存中加載了非系統(tǒng)目錄下的動態(tài)鏈接庫D.Web服務器每天定時執(zhí)行“l(fā)ogrotate”日志輪轉任務17.以下哪項是防范SQL注入攻擊的最有效措施？A.在Web頁面添加驗證碼B.使用存儲過程或預編譯語句C.對用戶輸入的特殊字符進行HTML轉義D.限制數(shù)據(jù)庫連接的IP地址18.某企業(yè)計劃部署云安全資源池，需滿足等保2.0三級要求，以下哪項不符合“安全通信網(wǎng)絡”要求？A.云租戶之間通過VPC隔離，啟用網(wǎng)絡ACLB.云管理平臺與租戶業(yè)務系統(tǒng)使用同一物理交換機C.南北向流量通過云防火墻進行訪問控制D.關鍵業(yè)務流量采用IPsecVPN加密傳輸19.以下哪種漏洞掃描工具適用于檢測工業(yè)控制系統(tǒng)（ICS）的專有協(xié)議漏洞？A.NessusB.OpenVASC.Tenable.scD.Wireshark20.某企業(yè)發(fā)生數(shù)據(jù)泄露事件，經(jīng)調查發(fā)現(xiàn)員工通過個人郵箱發(fā)送包含客戶信息的Excel文件。根據(jù)《數(shù)據(jù)安全法》，企業(yè)應優(yōu)先采取的措施是：A.立即重置所有員工郵箱密碼B.對涉事員工進行紀律處分C.評估泄露數(shù)據(jù)的影響范圍并啟動應急預案D.關閉企業(yè)郵箱的外部發(fā)送功能二、多項選擇題（每題3分，共15分，少選、錯選均不得分）1.以下哪些屬于《網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）中“安全區(qū)域邊界”的控制措施？A.網(wǎng)絡設備啟用訪問控制列表（ACL）B.重要服務器部署主機防火墻C.不同安全區(qū)域之間部署防火墻或網(wǎng)閘D.定期對網(wǎng)絡設備進行漏洞掃描2.以下哪些攻擊方式屬于應用層DDoS攻擊？A.HTTPFloodB.DNS反射攻擊C.SYNFloodD.Slowloris攻擊3.某企業(yè)使用LDAP進行統(tǒng)一身份認證，可能存在的安全風險包括：A.LDAP目錄信息被未授權訪問B.明文傳輸?shù)腖DAP綁定請求被竊聽C.LDAP服務器未啟用賬戶鎖定策略D.LDAP客戶端證書未及時更新4.以下哪些措施符合“最小權限原則”？A.數(shù)據(jù)庫管理員僅擁有查詢權限，無刪除權限B.普通員工賬戶無法訪問財務系統(tǒng)C.服務器維護人員同時管理開發(fā)環(huán)境和生產(chǎn)環(huán)境D.網(wǎng)絡管理員賬戶通過雙因素認證登錄設備5.關于物聯(lián)網(wǎng)（IoT）設備的安全防護，以下正確的做法是：A.關閉設備默認開啟的Telnet服務，僅保留SSHB.定期更新設備固件以修復已知漏洞C.將IoT設備接入企業(yè)辦公網(wǎng)同一VLAND.對IoT設備的通信流量進行加密三、填空題（每題2分，共10分）1.依據(jù)《信息安全技術網(wǎng)絡安全等級保護定級指南》（GB/T22240-2020），關鍵信息基礎設施的網(wǎng)絡安全等級原則上不低于____級。2.常見的抗DDoS技術中，“流量清洗”的核心是通過____識別并過濾攻擊流量。3.惡意軟件分析中，“沙箱”技術的主要目的是____。4.區(qū)塊鏈系統(tǒng)中，防止雙花攻擊的核心機制是____。5.工業(yè)控制網(wǎng)絡中，ModbusTCP協(xié)議的默認端口是____。四、技術實操題（共25分）題目1（10分）：某企業(yè)Web服務器（IP：00）的Nessus掃描報告顯示以下漏洞，請根據(jù)風險等級排序并給出修復建議（需說明具體操作）：-漏洞A：ApacheHTTPServer2.4.57路徑遍歷漏洞（CVE-2024-1234），CVSSv3.1評分9.8-漏洞B：MySQL8.0.35認證繞過漏洞（CVE-2024-5678），CVSSv3.1評分7.5-漏洞C：Tomcat10.1.12會話固定漏洞（CVE-2024-9101），CVSSv3.1評分4.3題目2（15分）：某企業(yè)核心交換機（IP：）的流量監(jiān)控顯示，辦公網(wǎng)（/24）與生產(chǎn)網(wǎng)（/24）之間存在大量異常UDP流量（端口5353），疑似為mDNS（多播DNS）濫用導致的廣播風暴。請設計解決方案，要求包含以下步驟：（1）確認流量來源與類型；（2）臨時阻斷異常流量；（3）長期防護措施。五、案例分析題（共30分）案例背景：某國企（以下簡稱“A公司”）為制造業(yè)龍頭企業(yè)，核心業(yè)務系統(tǒng)包括ERP、MES（制造執(zhí)行系統(tǒng)）、SCADA（監(jiān)控與數(shù)據(jù)采集系統(tǒng)）。2025年3月，A公司檢測到以下安全事件：-事件1：3月10日，MES系統(tǒng)日志顯示多個生產(chǎn)終端（IP：-100）在凌晨2點至4點期間頻繁訪問境外IP（0-20）的5432端口（PostgreSQL默認端口），且訪問行為不符合正常生產(chǎn)時段。-事件2：3月12日，SCADA系統(tǒng)管理員發(fā)現(xiàn)某PLC（可編程邏輯控制器）的控制參數(shù)被修改，導致一條生產(chǎn)線停機2小時，修改記錄顯示操作用戶為“admin”，但管理員確認未執(zhí)行過此操作。-事件3：3月15日，ERP系統(tǒng)數(shù)據(jù)庫（SQLServer）的用戶信息表（包含姓名、身份證號、銀行賬號）出現(xiàn)500條記錄缺失，數(shù)據(jù)庫日志顯示刪除操作為“db_user”賬戶，該賬戶為開發(fā)測試賬戶，本應僅具備查詢權限。問題：1.分析事件1可能的攻擊類型及驗證方法（8分）；2.分析事件2中PLC參數(shù)被修改的可能原因及防范措施（10分）；3.分析事件3中數(shù)據(jù)庫記錄缺失的直接原因及企業(yè)在權限管理上的漏洞（12分）。六、綜合應用題（共30分）某大型國企計劃構建覆蓋總部（北京）、分公司（上海、廣州）、生產(chǎn)基地（武漢）的三級網(wǎng)絡安全體系，要求滿足等保2.0三級、關基保護及工業(yè)互聯(lián)網(wǎng)安全要求。請設計網(wǎng)絡安全架構方案，需包含以下內容：（1）網(wǎng)絡區(qū)域劃分及邊界防護措施；（2）身份認證與訪問控制（IAC）體系設計；（3）監(jiān)測與響應（SIEM+SOC）能力建設；（4）工業(yè)控制系統(tǒng)（ICS）的專項防護措施。參考答案一、單項選擇題1-5：BBCBC6-10：BBACA11-15：CBBCA16-20：CBBAC二、多項選擇題1.AC2.AD3.ABCD4.ABD5.ABD三、填空題1.三2.特征匹配（或“攻擊特征庫”）3.在隔離環(huán)境中分析惡意軟件行為（或“避免惡意軟件影響真實系統(tǒng)”）4.共識機制（或“工作量證明/權益證明”）5.502四、技術實操題題目1參考答案：風險等級排序：漏洞A（高危）>漏洞B（中危）>漏洞C（低危）。修復建議：-漏洞A：立即升級Apache至官方修復版本（如2.4.58及以上），升級前通過修改httpd.conf配置文件禁用“AllowEncodedSlashes”或“UnescapePathInfo”等易受攻擊的指令，限制目錄訪問權限（如僅允許讀取必要目錄）。-漏洞B：升級MySQL至8.0.36及以上版本，臨時通過修改f配置文件禁用“skip-grant-tables”參數(shù)，啟用“validate_password”插件加強密碼復雜度，限制遠程訪問的IP白名單。-漏洞C：在Tomcat的web.xml中配置“session-fixation-protection”為“newSession”，強制生成新會話ID；啟用HTTPS并設置“Secure”和“HttpOnly”屬性保護會話Cookie；定期輪換會話ID。題目2參考答案：（1）確認流量來源與類型：-使用Wireshark在核心交換機鏡像端口抓包，過濾UDP端口5353，分析數(shù)據(jù)包的源IP、目標MAC（多播地址01:00:5E:00:00:00/24）及負載內容，確認是否為mDNS查詢（如“_services._dns-sd._udp.local”）或惡意流量（如異常服務發(fā)現(xiàn)請求）。-登錄核心交換機，通過“displaytrafficstatisticsinterfaceGigabitEthernet0/0/1”命令查看端口流量占比，定位高流量接入層交換機；結合終端管理系統(tǒng)（如EDR）檢查/24內是否有終端感染mDNS反射攻擊木馬。（2）臨時阻斷異常流量：-在核心交換機配置訪問控制列表（ACL），拒絕源或目標為多播地址01:00:5E:00:00:00/24且UDP端口5353的流量（如“acl3000rule5denyudpdestination-mac0100-5e00-00000000-00ff-ffffdestination-port5353”），并應用于辦公網(wǎng)與生產(chǎn)網(wǎng)互聯(lián)的接口。-對疑似感染木馬的終端，通過網(wǎng)絡準入控制系統(tǒng)（NAC）斷開其網(wǎng)絡連接，或在接入層交換機端口配置“shutdown”臨時隔離。（3）長期防護措施：-禁用非必要的mDNS服務：在辦公網(wǎng)終端組策略中關閉“AppleBonjour”服務（Windows通過服務管理器禁用“BonjourService”，Linux通過systemctldisableavahi-daemon）；生產(chǎn)網(wǎng)IoT設備僅允許必要設備啟用mDNS，并限制其通信范圍（如VLAN隔離）。-部署流量清洗設備：在核心網(wǎng)絡出口部署DDoS防護設備，針對UDP端口5353設置速率限制（如每秒不超過1000個數(shù)據(jù)包），識別并丟棄異常多播流量。-加強終端安全管理：定期更新終端防病毒軟件，啟用EDR（端點檢測與響應）功能監(jiān)控異常網(wǎng)絡行為；對新接入終端進行mDNS服務合規(guī)性檢查（通過NAC強制安裝安全插件）。五、案例分析題問題1參考答案：可能的攻擊類型：生產(chǎn)終端可能被植入僵尸網(wǎng)絡（Botnet），成為DDoS攻擊節(jié)點，或被用于竊取生產(chǎn)數(shù)據(jù)（通過境外PostgreSQL服務器接收數(shù)據(jù)）。驗證方法：-流量深度分析：提取-100與0-20的通信流量，使用Wireshark分析負載內容（如是否包含SQL查詢語句、二進制文件傳輸），確認是否為數(shù)據(jù)外傳或攻擊指令。-終端日志審計：檢查生產(chǎn)終端的進程列表（如通過“tasklist”或“ps-ef”），查找異常進程（如非系統(tǒng)自帶的PostgreSQL客戶端程序）；查看啟動項（Windows的“啟動”目錄、Linux的/etc/rc.local）是否有可疑腳本。-反向查詢境外IP：通過WHOIS查詢0-20的注冊信息，關聯(lián)是否與已知攻擊組織相關；使用威脅情報平臺（如MISP）查詢該IP是否被標記為惡意C2服務器。問題2參考答案：可能原因：-PLC未啟用訪問控制：PLC的Web管理界面或Modbus/TCP接口未配置認證，攻擊者通過弱密碼或默認密碼（如“admin/admin”）登錄后修改參數(shù)；-會話劫持：管理員登錄PLC時使用HTTP明文傳輸，攻擊者通過ARP欺騙截獲會話Cookie，冒充管理員執(zhí)行操作；-惡意軟件感染：生產(chǎn)終端與PLC直連，終端感染惡意軟件后通過OPCUA協(xié)議遠程修改PLC參數(shù)。防范措施：-強認證與授權：PLC啟用HTTPS登錄，要求雙因素認證（如密碼+動態(tài)令牌）；配置基于角色的訪問控制（RBAC），僅允許“高級管理員”角色修改控制參數(shù)。-通信加密：PLC與上位機之間的Modbus/TCP、OPCUA流量通過TLS1.2/1.3加密，禁止明文傳輸；-網(wǎng)絡隔離：將PLC所在網(wǎng)絡（如/24）與生產(chǎn)終端網(wǎng)絡（/24）通過工業(yè)防火墻隔離，僅允許白名單IP（如SCADA服務器）訪問PLC的502端口；-日志與監(jiān)控：PLC啟用審計日志記錄（如操作時間、用戶、參數(shù)修改前后值），并將日志實時同步至安全管理中心（SOC），觸發(fā)異常操作告警（如非工作時間修改參數(shù)）。問題3參考答案：直接原因：開發(fā)測試賬戶“db_user”的權限未按最小權限原則配置，被攻擊者利用（如通過SQL注入獲取該賬戶憑證，或因賬戶密碼泄露）后執(zhí)行刪除操作。權限管理漏洞：-角色權限混淆：開發(fā)測試賬戶本應僅具備查詢權限，但實際擁有刪除權限，違反“最小權限原則”；-賬戶生命周期管理缺失：“db_user”賬戶未設置過期時間，長期使用弱密碼（如“123456”）且未定期輪換；-權限審計缺失：未定期核查數(shù)據(jù)庫賬戶權限（如通過“sp_helprolemember”命令檢查SQLServer角色成員），導致越權問題長期存在；-操作日志不完整：數(shù)據(jù)庫刪除操作的日志未記錄完整上下文（如源IP、客戶端應用），無法快速定位攻擊路徑。六、綜合應用題方案設計要點：（1）網(wǎng)絡區(qū)域劃分及邊界防護：-區(qū)域劃分：-總部核心區(qū)（北京）：包含數(shù)據(jù)中心（ERP、主數(shù)據(jù)庫）、SOC（安全運營中心）、管理終端（辦公網(wǎng)）；-分公司辦公區(qū)（上海、廣州）：包含本地辦公終端、視頻會議系統(tǒng)、分支數(shù)據(jù)中心（容災備份）；-生產(chǎn)基地區(qū)（武漢）：包含工業(yè)控制網(wǎng)（SCADA、PLC、MES）、生產(chǎn)終端（如CNC機床）、質檢系統(tǒng)；-互聯(lián)網(wǎng)接入?yún)^(qū)：部署DMZ（Web服務器、郵件服務器），與內部網(wǎng)絡通過雙機熱備防火墻隔離。-邊界防護措施：-跨區(qū)域互聯(lián)：總部與分公司通過IPsecVPN加密互聯(lián)，生產(chǎn)基地與總部通過工業(yè)專用MPLSVPN（隔離于公共互聯(lián)網(wǎng)）；-工業(yè)控制網(wǎng)邊界：生產(chǎn)基地部署工業(yè)防火墻（如研華UNO系列），僅允許白名單協(xié)議（Modbus/TCP、OPCUA）和端口（502、4840）通過，禁止ICMP、SSH等非必要協(xié)議；-辦公網(wǎng)與生產(chǎn)網(wǎng)隔離：通過物理隔離網(wǎng)閘（單向傳輸）實現(xiàn)生產(chǎn)數(shù)據(jù)僅可從工業(yè)控制網(wǎng)流向辦公網(wǎng)，禁止反向訪問；-DMZ邊界：部署WAF（Web應用防火墻）和抗DDoS設備，對HTTP/HTTPS流量進行SQL注入、XSS等攻擊檢測，限制單IP連接速率（如每秒50次）。（2）身份認證與訪問控制（IAC）體系：-統(tǒng)一身份管理（UIM）：部署集中式LDAP/AD域控，整合總部、分公司、生產(chǎn)基地的賬戶，實現(xiàn)“一套賬號、多系統(tǒng)登錄”；-多因素認證（MFA）：關鍵系統(tǒng)（如數(shù)據(jù)庫、SCADA管理端）強制啟用MFA（密碼+短信驗證碼/硬件令牌）；-最小權限分配：-辦公網(wǎng)用戶：根據(jù)崗位分配權限（如財務人員僅訪問ERP財務模塊，研發(fā)人員僅訪問MES研發(fā)子系統(tǒng)）；-工業(yè)控制網(wǎng)用戶：PLC管理員僅具備“讀取參數(shù)”權限，修改參數(shù)需經(jīng)“高級管理員”審批并通過雙因素認證；-第三方運維：通過堡壘機（如JumpServer）進行臨時賬號分配，限定訪問時間（如4小時）和操作范圍（僅允許查看日志），操作過程全程錄像審計。（3）監(jiān)測與響應（SIEM+SOC）能力建設