2025年《中級(jí)網(wǎng)絡(luò)與信息安全管理員》考試練習(xí)題及參考答案一、單項(xiàng)選擇題（每題2分，共20分）1.在TCP/IP協(xié)議棧中，負(fù)責(zé)將IP數(shù)據(jù)報(bào)封裝成物理網(wǎng)絡(luò)幀的層次是（）A.應(yīng)用層B.傳輸層C.網(wǎng)際層D.網(wǎng)絡(luò)接口層答案：D解析：網(wǎng)絡(luò)接口層（鏈路層）負(fù)責(zé)處理物理網(wǎng)絡(luò)的幀封裝與傳輸，網(wǎng)際層（網(wǎng)絡(luò)層）處理IP尋址和路由，傳輸層負(fù)責(zé)端到端連接（如TCP/UDP），應(yīng)用層提供具體應(yīng)用服務(wù)（如HTTP、SMTP）。2.以下哪種防火墻技術(shù)能夠跟蹤TCP連接的狀態(tài)，僅允許與已建立連接相關(guān)的流量通過(guò)？（）A.包過(guò)濾防火墻B.狀態(tài)檢測(cè)防火墻C.應(yīng)用層網(wǎng)關(guān)D.電路層網(wǎng)關(guān)答案：B解析：狀態(tài)檢測(cè)防火墻（第三代防火墻）通過(guò)維護(hù)狀態(tài)表跟蹤TCP連接的三次握手、數(shù)據(jù)傳輸和斷開(kāi)過(guò)程，僅允許合法連接的后續(xù)流量通過(guò)；包過(guò)濾僅檢查IP和端口；應(yīng)用層網(wǎng)關(guān)需解析應(yīng)用層協(xié)議（如HTTP）；電路層網(wǎng)關(guān)在會(huì)話層代理連接。3.下列加密算法中，屬于對(duì)稱(chēng)加密且密鑰長(zhǎng)度為256位的是（）A.RSA-2048B.AES-256C.DESD.ECC答案：B解析：AES（高級(jí)加密標(biāo)準(zhǔn)）是對(duì)稱(chēng)加密算法，支持128/192/256位密鑰；RSA和ECC是非對(duì)稱(chēng)加密；DES是對(duì)稱(chēng)加密但密鑰僅56位（有效）。4.Web應(yīng)用中，攻擊者通過(guò)構(gòu)造特殊SQL語(yǔ)句繞過(guò)身份驗(yàn)證的攻擊方式是（）A.XSSB.CSRFC.SQL注入D.DDoS答案：C解析：SQL注入利用應(yīng)用程序未對(duì)用戶輸入進(jìn)行有效過(guò)濾，將惡意SQL代碼注入數(shù)據(jù)庫(kù)執(zhí)行；XSS（跨站腳本）通過(guò)注入客戶端腳本竊取用戶信息；CSRF（跨站請(qǐng)求偽造）誘導(dǎo)用戶執(zhí)行非自愿操作；DDoS是分布式拒絕服務(wù)攻擊。5.以下哪項(xiàng)不屬于網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的核心要求？（）A.安全通信網(wǎng)絡(luò)B.安全區(qū)域邊界C.安全計(jì)算環(huán)境D.安全服務(wù)質(zhì)量答案：D解析：等保2.0的技術(shù)要求包括安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心；安全服務(wù)質(zhì)量屬于服務(wù)保障范疇，非核心要求。6.用于檢測(cè)已知攻擊模式的入侵檢測(cè)系統(tǒng)（IDS）采用的是（）A.異常檢測(cè)B.誤用檢測(cè)C.行為檢測(cè)D.協(xié)議分析答案：B解析：誤用檢測(cè)（特征檢測(cè)）基于已知攻擊的特征庫(kù)匹配，類(lèi)似殺毒軟件；異常檢測(cè)通過(guò)建立正常行為基線，識(shí)別偏離行為；行為檢測(cè)和協(xié)議分析是具體技術(shù)手段。7.以下哪種訪問(wèn)控制模型中，主體的訪問(wèn)權(quán)限由系統(tǒng)管理員統(tǒng)一管理，用戶無(wú)法自主修改客體權(quán)限？（）A.自主訪問(wèn)控制（DAC）B.強(qiáng)制訪問(wèn)控制（MAC）C.基于角色的訪問(wèn)控制（RBAC）D.基于屬性的訪問(wèn)控制（ABAC）答案：B解析：MAC中，客體（如文件）和主體（如用戶）被賦予安全標(biāo)簽（如密級(jí)），訪問(wèn)由系統(tǒng)根據(jù)標(biāo)簽匹配規(guī)則強(qiáng)制控制，用戶無(wú)權(quán)限修改；DAC允許用戶自主設(shè)置客體權(quán)限；RBAC基于角色分配權(quán)限；ABAC基于屬性（如時(shí)間、位置）動(dòng)態(tài)授權(quán)。8.數(shù)據(jù)脫敏技術(shù)中，將“身份證號(hào)44010619900101XXXX”處理為“440106XXXX”的方法屬于（）A.替換B.掩碼C.變形D.加密答案：B解析：掩碼（遮蓋）通過(guò)隱藏部分敏感信息（如身份證號(hào)中間8位）保護(hù)隱私；替換是用特定值替代（如將“張三”替換為“用戶1”）；變形是改變數(shù)據(jù)格式（如將改為“1385678”）；加密需密鑰解密恢復(fù)原數(shù)據(jù)。9.以下哪種漏洞掃描工具主要用于檢測(cè)Web應(yīng)用層漏洞？（）A.NmapB.NessusC.AWVSD.Wireshark答案：C解析：AWVS（AcunetixWebVulnerabilityScanner）專(zhuān)注于Web應(yīng)用漏洞檢測(cè)（如SQL注入、XSS）；Nmap是網(wǎng)絡(luò)掃描工具（端口、服務(wù)發(fā)現(xiàn)）；Nessus是綜合漏洞掃描器（覆蓋系統(tǒng)、網(wǎng)絡(luò)設(shè)備）；Wireshark是抓包分析工具。10.在IPv6網(wǎng)絡(luò)中，以下哪個(gè)地址類(lèi)型表示本地鏈路單播地址？（）A.2001:db8::1B.fe80::1C.ff02::1D.fc00::1答案：B解析：fe80::/10是本地鏈路單播地址（僅在本地鏈路內(nèi)通信）；2001:db8::/3是全局單播地址；ff02::/16是多播地址；fc00::/7是本地站點(diǎn)單播地址（原稱(chēng)私有地址）。二、判斷題（每題2分，共10分）1.零信任模型的核心是“永不信任，始終驗(yàn)證”，默認(rèn)不信任任何內(nèi)部或外部的設(shè)備、用戶，必須通過(guò)持續(xù)驗(yàn)證才能訪問(wèn)資源。（）答案：√解析：零信任模型打破傳統(tǒng)“內(nèi)網(wǎng)安全”假設(shè)，要求所有訪問(wèn)請(qǐng)求（無(wú)論來(lái)自內(nèi)網(wǎng)/外網(wǎng)）必須經(jīng)過(guò)身份驗(yàn)證、設(shè)備健康檢查、上下文感知等驗(yàn)證后，按最小權(quán)限原則授權(quán)。2.緩沖區(qū)溢出攻擊的本質(zhì)是向程序分配的內(nèi)存區(qū)域?qū)懭氤銎淙萘康臄?shù)據(jù)，覆蓋相鄰內(nèi)存空間，導(dǎo)致程序執(zhí)行惡意代碼。（）答案：√解析：緩沖區(qū)溢出利用程序未正確檢查輸入數(shù)據(jù)長(zhǎng)度的漏洞，覆蓋棧/堆中的返回地址或函數(shù)指針，使CPU執(zhí)行攻擊者控制的代碼，常見(jiàn)于C/C++等未安全內(nèi)存管理的語(yǔ)言。3.數(shù)字簽名的作用是保證數(shù)據(jù)的機(jī)密性，即只有接收方可以解密數(shù)據(jù)。（）答案：×解析：數(shù)字簽名用于驗(yàn)證數(shù)據(jù)的完整性（未被篡改）和發(fā)送方身份（不可抵賴），通過(guò)私鑰簽名、公鑰驗(yàn)證實(shí)現(xiàn)；數(shù)據(jù)機(jī)密性需通過(guò)加密（如AES）保證。4.網(wǎng)絡(luò)安全事件分級(jí)中，特別重大事件（I級(jí)）是指造成1000萬(wàn)元以上直接經(jīng)濟(jì)損失或影響10萬(wàn)人以上用戶的事件。（）答案：×解析：根據(jù)《網(wǎng)絡(luò)安全事件分類(lèi)分級(jí)指南》，特別重大事件（I級(jí)）需滿足“對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成特別嚴(yán)重?fù)p害”，具體量化標(biāo)準(zhǔn)（如經(jīng)濟(jì)損失、用戶影響）需結(jié)合行業(yè)特性，題干描述不嚴(yán)謹(jǐn)。5.無(wú)線局域網(wǎng)（WLAN）中，WPA3協(xié)議相比WPA2增強(qiáng)了身份驗(yàn)證安全性，支持SAE（安全平等認(rèn)證）防止離線字典攻擊。（）答案：√解析：WPA3用SAE（基于橢圓曲線的密鑰交換）替代WPA2的PSK（預(yù)共享密鑰），攻擊者無(wú)法通過(guò)捕獲握手包進(jìn)行離線字典攻擊，提升了弱密碼場(chǎng)景下的安全性。三、簡(jiǎn)答題（每題8分，共40分）1.簡(jiǎn)述SSL/TLS握手過(guò)程的主要步驟。答案：（1）客戶端hello：發(fā)送支持的TLS版本、加密套件列表、隨機(jī)數(shù)（ClientRandom）。（2）服務(wù)器hello：選擇TLS版本和加密套件，發(fā)送服務(wù)器證書(shū)（含公鑰）、隨機(jī)數(shù)（ServerRandom）。（3）客戶端驗(yàn)證證書(shū)：檢查證書(shū)頒發(fā)機(jī)構(gòu)（CA）、有效期、域名匹配等，若驗(yàn)證失敗終止連接。（4）客戶端生成預(yù)主密鑰（Pre-MasterSecret）：用服務(wù)器公鑰加密后發(fā)送給服務(wù)器。（5）生成會(huì)話密鑰：雙方用ClientRandom、ServerRandom和Pre-MasterSecret通過(guò)偽隨機(jī)函數(shù)（PRF）生成對(duì)稱(chēng)會(huì)話密鑰（MasterSecret→SessionKeys）。（6）客戶端finished：發(fā)送用會(huì)話密鑰加密的握手消息哈希值，驗(yàn)證密鑰正確性。（7）服務(wù)器finished：發(fā)送用會(huì)話密鑰加密的握手消息哈希值，完成握手。2.說(shuō)明Web應(yīng)用防火墻（WAF）的工作原理及主要防護(hù)類(lèi)型。答案：工作原理：WAF部署在Web服務(wù)器前端，通過(guò)解析HTTP/HTTPS流量，基于預(yù)定義規(guī)則或機(jī)器學(xué)習(xí)模型檢測(cè)并阻斷針對(duì)Web應(yīng)用的攻擊。主要防護(hù)類(lèi)型：（1）注入攻擊（SQL注入、命令注入）：檢測(cè)輸入中包含的惡意腳本或SQL關(guān)鍵字（如“OR1=1”）。（2）跨站腳本（XSS）：過(guò)濾HTML標(biāo)簽、JavaScript代碼（如“<script>alert(1)</script>”）。（3）文件包含漏洞：阻止非法文件路徑（如“../etc/passwd”）。（4）CSRF：驗(yàn)證請(qǐng)求來(lái)源（Referer頭）或檢查CSRF令牌（Token）。（5）暴力破解：限制同一IP短時(shí)間內(nèi)的登錄請(qǐng)求次數(shù)。3.比較漏洞掃描與滲透測(cè)試的區(qū)別（至少列出4點(diǎn)）。答案：（1）目標(biāo)不同：漏洞掃描是自動(dòng)化檢測(cè)已知漏洞（如CVE編號(hào)漏洞）；滲透測(cè)試是模擬攻擊者利用漏洞（包括未知漏洞），驗(yàn)證系統(tǒng)實(shí)際防護(hù)能力。（2）方法不同：漏洞掃描依賴漏洞庫(kù)和規(guī)則匹配；滲透測(cè)試需人工分析、社會(huì)工程學(xué)、編寫(xiě)POC（概念驗(yàn)證）代碼。（3）結(jié)果深度不同：漏洞掃描輸出漏洞列表（風(fēng)險(xiǎn)等級(jí)、修復(fù)建議）；滲透測(cè)試輸出攻擊路徑、系統(tǒng)薄弱點(diǎn)及業(yè)務(wù)影響分析。（4）授權(quán)范圍不同：漏洞掃描通常是全面掃描；滲透測(cè)試需明確授權(quán)范圍（如是否允許破壞數(shù)據(jù)、是否掃描生產(chǎn)環(huán)境）。（5）時(shí)效性不同：漏洞掃描可定期執(zhí)行；滲透測(cè)試一般周期較長(zhǎng)（數(shù)天至數(shù)周），適合關(guān)鍵系統(tǒng)的深度評(píng)估。4.簡(jiǎn)述訪問(wèn)控制的“最小權(quán)限原則”及其在企業(yè)中的實(shí)施方法。答案：最小權(quán)限原則：用戶或進(jìn)程僅被授予完成任務(wù)所需的最低權(quán)限，避免因權(quán)限過(guò)高導(dǎo)致的安全風(fēng)險(xiǎn)（如越權(quán)訪問(wèn)、數(shù)據(jù)泄露）。實(shí)施方法：（1）角色劃分：根據(jù)業(yè)務(wù)需求定義角色（如普通員工、財(cái)務(wù)人員、系統(tǒng)管理員），每個(gè)角色關(guān)聯(lián)最小必要權(quán)限（如財(cái)務(wù)人員可訪問(wèn)報(bào)銷(xiāo)系統(tǒng)但不可修改用戶權(quán)限）。（2）權(quán)限審計(jì)：定期檢查用戶權(quán)限，刪除冗余權(quán)限（如離職員工權(quán)限未回收、轉(zhuǎn)崗員工未調(diào)整權(quán)限）。（3）特權(quán)賬戶管理：限制管理員賬戶的使用（如僅在維護(hù)時(shí)登錄），啟用多因素認(rèn)證（MFA）增強(qiáng)安全性。（4）最小化服務(wù)運(yùn)行權(quán)限：應(yīng)用程序以普通用戶身份運(yùn)行（非root），數(shù)據(jù)庫(kù)連接使用專(zhuān)用低權(quán)限賬號(hào)（僅允許查詢，禁止刪除）。5.列舉數(shù)據(jù)備份的三種常見(jiàn)策略，并說(shuō)明其優(yōu)缺點(diǎn)。答案：（1）完全備份（FullBackup）：備份所有選中的數(shù)據(jù)。優(yōu)點(diǎn)：恢復(fù)最快（只需最后一次全備）；操作簡(jiǎn)單。缺點(diǎn)：耗時(shí)耗空間（每次備份數(shù)據(jù)量相同）；存儲(chǔ)成本高。（2）增量備份（IncrementalBackup）：僅備份上次備份（全備或增量）后修改的數(shù)據(jù)。優(yōu)點(diǎn)：備份速度快（數(shù)據(jù)量?。?；節(jié)省存儲(chǔ)空間。缺點(diǎn)：恢復(fù)復(fù)雜（需全備+所有增量備份）；恢復(fù)時(shí)間長(zhǎng)（需按順序還原）。（3）差異備份（DifferentialBackup）：備份上次全備后所有修改的數(shù)據(jù)。優(yōu)點(diǎn)：恢復(fù)只需全備+最后一次差異備份；備份速度優(yōu)于全備，弱于增量。缺點(diǎn)：隨著時(shí)間推移，差異備份數(shù)據(jù)量增大（接近全備），存儲(chǔ)效率下降。四、綜合題（每題15分，共30分）1.某企業(yè)計(jì)劃構(gòu)建內(nèi)網(wǎng)安全防護(hù)體系，需覆蓋邊界防護(hù)、終端安全、訪問(wèn)控制、日志審計(jì)四個(gè)層面。請(qǐng)?jiān)O(shè)計(jì)具體實(shí)施方案（要求每個(gè)層面至少包含2項(xiàng)技術(shù)或措施）。答案：（1）邊界防護(hù)層面：①部署下一代防火墻（NGFW）：?jiǎn)⒂脩?yīng)用層過(guò)濾（識(shí)別QQ、微信等應(yīng)用）、入侵防御（IPS）模塊（阻斷SQL注入、DDoS攻擊），配置基于源IP、目的端口的訪問(wèn)控制列表（ACL）。②部署UTM（統(tǒng)一威脅管理）設(shè)備：集成防病毒、反垃圾郵件、Web內(nèi)容過(guò)濾功能，阻斷惡意軟件通過(guò)郵件附件或網(wǎng)頁(yè)下載傳播。（2）終端安全層面：①安裝企業(yè)級(jí)端點(diǎn)檢測(cè)與響應(yīng)（EDR）系統(tǒng)：實(shí)時(shí)監(jiān)控終端進(jìn)程、文件操作，檢測(cè)異常行為（如勒索軟件加密文件），支持遠(yuǎn)程隔離受感染終端。②實(shí)施補(bǔ)丁管理：通過(guò)WSUS（WindowsServerUpdateServices）或第三方工具（如ManageEnginePatchManager）定期推送系統(tǒng)（Windows/Linux）和軟件（Office、Adobe）補(bǔ)丁，修復(fù)漏洞（如CVE-2023-21705）。（3）訪問(wèn)控制層面：①部署RBAC（基于角色的訪問(wèn)控制）系統(tǒng)：根據(jù)崗位定義角色（如研發(fā)人員、測(cè)試人員），為角色分配權(quán)限（研發(fā)人員可訪問(wèn)代碼庫(kù)但不可刪除生產(chǎn)數(shù)據(jù)），用戶權(quán)限隨角色變更自動(dòng)調(diào)整。②啟用多因素認(rèn)證（MFA）：對(duì)關(guān)鍵系統(tǒng)（如財(cái)務(wù)系統(tǒng)、OA系統(tǒng)）要求用戶名+密碼+動(dòng)態(tài)令牌（如GoogleAuthenticator）或短信驗(yàn)證碼，防止密碼泄露導(dǎo)致的越權(quán)訪問(wèn)。（4）日志審計(jì)層面：①部署SIEM（安全信息與事件管理）平臺(tái)：收集網(wǎng)絡(luò)設(shè)備（防火墻、交換機(jī)）、服務(wù)器（Web、數(shù)據(jù)庫(kù)）、終端的日志，通過(guò)規(guī)則引擎關(guān)聯(lián)分析（如同一IP多次登錄失敗+嘗試訪問(wèn)敏感目錄），生成安全事件告警。②實(shí)施日志本地化存儲(chǔ)與云端備份：本地日志保留至少6個(gè)月（滿足等保要求），關(guān)鍵日志（如管理員操作）通過(guò)加密通道同步至云端（如阿里云日志服務(wù)），防止本地日志被篡改或刪除。2.某企業(yè)Web服務(wù)器被攻擊者植入后門(mén)程序，導(dǎo)致敏感數(shù)據(jù)泄露。作為安全管理員，需執(zhí)行應(yīng)急響應(yīng)流程。請(qǐng)?jiān)敿?xì)描述處理步驟及每一步的關(guān)鍵操作。答案：（1）檢測(cè)與確認(rèn)（發(fā)現(xiàn)階段）：關(guān)鍵操作：通過(guò)SIEM平臺(tái)分析日志（如Web服務(wù)器的異常HTTP請(qǐng)求：/upload/backdoor.php被頻繁訪問(wèn)）、使用EDR檢查終端進(jìn)程（發(fā)現(xiàn)非官方進(jìn)程“sysupdate.exe”占用CPU資源）、驗(yàn)證數(shù)據(jù)完整性（對(duì)比數(shù)據(jù)庫(kù)備份，確認(rèn)用戶信息表數(shù)據(jù)缺失）。（2）隔離與控制（遏制階段）：關(guān)鍵操作：將受感染服務(wù)器從生產(chǎn)網(wǎng)隔離（斷開(kāi)物理網(wǎng)絡(luò)或通過(guò)防火墻封禁其IP）；禁用后門(mén)程序關(guān)聯(lián)的系統(tǒng)賬戶（如“hackuser”）；臨時(shí)關(guān)閉未使用的服務(wù)和端口（如關(guān)閉8080端口，僅保留SSH用于維護(hù)）。（3）消除與修復(fù)（根除階段）：關(guān)鍵操作：終