2025年《中級網(wǎng)絡(luò)與信息安全管理員》考試練習(xí)題及答案一、單項選擇題（每題2分，共30分）1.以下哪項是SSL/TLS協(xié)議的核心功能？A.實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）B.保障傳輸層數(shù)據(jù)的機密性與完整性C.優(yōu)化網(wǎng)絡(luò)路由路徑D.檢測網(wǎng)絡(luò)中的廣播風(fēng)暴答案：B2.某企業(yè)使用AES算法加密敏感數(shù)據(jù)，若選擇256位密鑰長度，其密鑰擴展后的輪數(shù)為？A.10輪B.12輪C.14輪D.16輪答案：C（AES-128對應(yīng)10輪，AES-192對應(yīng)12輪，AES-256對應(yīng)14輪）3.下列哪種攻擊方式屬于應(yīng)用層DDoS攻擊？A.SYNFloodB.ICMPFloodC.DNS反射攻擊D.HTTP慢速連接攻擊答案：D（HTTP慢速連接攻擊通過消耗Web服務(wù)器資源實現(xiàn)，屬于應(yīng)用層攻擊）4.某單位部署防火墻時，將內(nèi)網(wǎng)IP段設(shè)置為“信任區(qū)域”，公網(wǎng)IP段設(shè)置為“非信任區(qū)域”，這屬于防火墻的哪種安全策略？A.基于源地址的訪問控制B.基于目標(biāo)端口的訪問控制C.基于用戶身份的訪問控制D.基于時間的訪問控制答案：A5.惡意軟件“勒索病毒”的主要攻擊目的是？A.竊取用戶隱私數(shù)據(jù)B.破壞目標(biāo)主機硬件C.加密文件并索要贖金D.控制主機形成僵尸網(wǎng)絡(luò)答案：C6.以下哪項是IPSec協(xié)議中AH（認證頭）的功能？A.提供數(shù)據(jù)加密B.驗證數(shù)據(jù)來源和完整性C.協(xié)商密鑰交換D.實現(xiàn)隧道模式封裝答案：B（AH僅提供認證，不加密；ESP提供加密和認證）7.在WindowsServer2022中，用于管理用戶賬戶權(quán)限的核心工具是？A.任務(wù)管理器B.本地安全策略C.事件查看器D.設(shè)備管理器答案：B（本地安全策略可配置用戶權(quán)限分配、審核策略等）8.某系統(tǒng)日志中出現(xiàn)大量“401Unauthorized”狀態(tài)碼，最可能的原因是？A.目標(biāo)資源不存在（404錯誤）B.用戶未提供有效認證信息C.服務(wù)器內(nèi)部錯誤（500錯誤）D.請求被防火墻攔截（403錯誤）答案：B（401表示未授權(quán)，需身份驗證）9.以下哪種數(shù)據(jù)加密方式屬于“靜態(tài)加密”？A.HTTPS傳輸過程中的數(shù)據(jù)加密B.數(shù)據(jù)庫存儲時的字段加密C.VPN隧道中的報文加密D.即時通訊消息的端到端加密答案：B（靜態(tài)加密針對存儲狀態(tài)的數(shù)據(jù)）10.網(wǎng)絡(luò)安全等級保護2.0中，第三級信息系統(tǒng)的安全保護要求不包括？A.系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害B.應(yīng)實施結(jié)構(gòu)化保護C.應(yīng)開展安全監(jiān)測和通報預(yù)警D.應(yīng)進行安全風(fēng)險評估和整改答案：A（第三級對應(yīng)“社會秩序、公共利益造成嚴重損害”，A為第二級要求）11.以下哪種漏洞掃描工具屬于“黑盒測試”類型？A.針對已知代碼庫的漏洞檢測工具（如Checkmarx）B.基于網(wǎng)絡(luò)的端口掃描工具（如Nmap）C.集成到開發(fā)環(huán)境的靜態(tài)代碼分析工具（如SonarQube）D.針對數(shù)據(jù)庫的注入漏洞檢測工具（如SQLMap）答案：B（黑盒測試不依賴內(nèi)部信息，通過外部交互檢測）12.某企業(yè)部署WPA3協(xié)議的無線局域網(wǎng)，其核心改進之一是？A.支持WEP加密算法B.采用SAE（安全平等認證）替代PSKC.僅支持個人模式（WPA3-Personal）D.取消密鑰協(xié)商過程答案：B（WPA3通過SAE解決WPA2中PSK易被暴力破解的問題）13.以下哪項是零信任模型的核心原則？A.默認信任內(nèi)網(wǎng)所有設(shè)備B.持續(xù)驗證訪問請求的安全性C.僅通過防火墻實現(xiàn)邊界防護D.依賴單一身份認證方式答案：B（零信任強調(diào)“永不信任，始終驗證”）14.某單位進行滲透測試時，發(fā)現(xiàn)目標(biāo)系統(tǒng)存在“會話固定（SessionFixation）”漏洞，攻擊者可利用該漏洞實施？A.跨站腳本攻擊（XSS）B.會話劫持C.拒絕服務(wù)攻擊（DoS）D.中間人攻擊（MITM）答案：B（會話固定漏洞允許攻擊者固定用戶會話ID，后續(xù)劫持合法會話）15.在Linux系統(tǒng)中，用于查看當(dāng)前開放端口及對應(yīng)進程的命令是？A.`ifconfig`B.`netstat-ano`C.`ps-ef`D.`top`答案：B（`netstat-ano`可顯示端口、狀態(tài)及關(guān)聯(lián)進程ID）二、判斷題（每題1分，共10分）1.MAC地址過濾可以完全防止未授權(quán)設(shè)備接入無線局域網(wǎng)。（）答案：×（MAC地址可被偽造，僅作為輔助手段）2.哈希函數(shù)（如SHA-256）的輸出長度固定，且不同輸入可能生成相同哈希值（碰撞）。（）答案：√（哈希函數(shù)存在碰撞可能性，但強抗碰撞性要求碰撞概率極低）3.漏洞掃描工具可以自動修復(fù)系統(tǒng)中發(fā)現(xiàn)的安全漏洞。（）答案：×（漏洞掃描僅檢測漏洞，修復(fù)需人工或補丁管理工具）4.雙因素認證（2FA）必須結(jié)合短信驗證碼和密碼。（）答案：×（2FA可采用多種組合，如密碼+硬件令牌、指紋+OTP等）5.防火墻的“狀態(tài)檢測”功能可以跟蹤TCP連接的狀態(tài)，區(qū)分合法與非法報文。（）答案：√（狀態(tài)檢測防火墻通過維護會話表實現(xiàn)）6.數(shù)據(jù)脫敏技術(shù)可以完全恢復(fù)原始數(shù)據(jù)。（）答案：×（脫敏后的數(shù)據(jù)不可逆，如替換、混淆等處理）7.僵尸網(wǎng)絡(luò)（Botnet）的核心是通過控制大量主機發(fā)起協(xié)同攻擊。（）答案：√8.在Linux系統(tǒng)中，`chmod755file.txt`表示文件所有者擁有讀、寫、執(zhí)行權(quán)限，其他用戶僅有讀和執(zhí)行權(quán)限。（）答案：√（7=讀+寫+執(zhí)行，5=讀+執(zhí)行）9.數(shù)字證書的有效性僅需驗證證書頒發(fā)機構(gòu)（CA）的簽名。（）答案：×（還需檢查證書是否過期、是否被吊銷（CRL）等）10.零信任架構(gòu)要求所有訪問請求（包括內(nèi)網(wǎng)）必須經(jīng)過身份驗證和授權(quán)。（）答案：√三、簡答題（每題8分，共40分）1.請簡述APT（高級持續(xù)性威脅）攻擊的特點及主要防御措施。答案：特點：（1）針對性強：目標(biāo)通常為特定組織（如政府、金融機構(gòu)）；（2）持續(xù)性久：攻擊周期可達數(shù)月至數(shù)年；（3）技術(shù)復(fù)雜：結(jié)合多種攻擊手段（如魚叉釣魚、0day漏洞利用）；（4）隱蔽性高：通過加密通信、擦除日志等方式規(guī)避檢測。防御措施：（1）加強終端防護：部署EDR（端點檢測與響應(yīng)）工具，監(jiān)控異常進程；（2）強化日志分析：集中收集網(wǎng)絡(luò)、系統(tǒng)日志，通過SIEM（安全信息與事件管理）平臺進行關(guān)聯(lián)分析；（3）提升人員安全意識：開展APT攻擊識別培訓(xùn)（如可疑郵件、附件）；（4）定期漏洞修復(fù)：建立漏洞管理流程，優(yōu)先修復(fù)高風(fēng)險0day漏洞；（5）實施網(wǎng)絡(luò)微隔離：限制橫向移動，避免攻擊從單個終端擴散至全網(wǎng)。2.請說明WPA3協(xié)議相較于WPA2的主要改進。答案：（1）SAE（安全平等認證）替代PSK：WPA2使用預(yù)共享密鑰（PSK），攻擊者可通過暴力破解獲取密鑰；WPA3采用SAE（基于離散對數(shù)的密鑰交換），即使攻擊者截獲握手過程，也無法通過暴力破解獲取密鑰。（2）增強加密算法：WPA3個人模式默認使用AES-CCMP（取代WPA2的TKIP），企業(yè)模式支持192位安全套件（如AES-256-GCM）。（3）防暴力破解機制：WPA3在認證失敗時引入延遲，限制攻擊者嘗試次數(shù)；WPA2無此機制，易受字典攻擊。（4）Opportunisticwirelessencryption（OWE）：支持開放網(wǎng)絡(luò)的加密傳輸，防止中間人攻擊（WPA2開放網(wǎng)絡(luò)無加密）。3.請描述防火墻訪問控制策略的配置步驟及注意事項。答案：配置步驟：（1）明確安全需求：確定允許/拒絕的流量類型（如HTTP、SSH）、源/目標(biāo)地址、時間段等；（2）定義安全區(qū)域：劃分內(nèi)網(wǎng)、DMZ、公網(wǎng)等區(qū)域，設(shè)置區(qū)域間的默認策略（如“拒絕所有”）；（3）創(chuàng)建規(guī)則：按“最小權(quán)限”原則添加具體規(guī)則（如“允許內(nèi)網(wǎng)/24訪問DMZ的80端口”）；（4）規(guī)則排序：將嚴格規(guī)則（如拒絕特定IP）置于寬松規(guī)則（如允許HTTP）之前，避免規(guī)則覆蓋；（5）測試驗證：部署后通過流量測試工具（如tcpdump）驗證規(guī)則生效情況；（6）定期審計：檢查規(guī)則冗余（如重復(fù)允許）、失效規(guī)則（如已下線服務(wù)的端口）。注意事項：（1）避免“允許所有”規(guī)則，防止未授權(quán)流量通過；（2）記錄日志：對關(guān)鍵規(guī)則（如拒絕外部SSH）啟用日志記錄，便于后續(xù)分析；（3）版本控制：修改策略前備份當(dāng)前配置，防止誤操作導(dǎo)致網(wǎng)絡(luò)中斷；（4）適配業(yè)務(wù)變化：業(yè)務(wù)系統(tǒng)上線/下線時，及時更新對應(yīng)的訪問控制規(guī)則。4.請分析SQL注入攻擊的原理，并列舉至少3種防護措施。答案：原理：攻擊者通過在Web應(yīng)用輸入框中插入惡意SQL代碼（如`'OR1=1--`），使后端數(shù)據(jù)庫執(zhí)行非預(yù)期的查詢。例如，登錄頁面的輸入框未過濾用戶輸入時，攻擊者可構(gòu)造`username='admin'OR'1'='1'--&password=xxx`，導(dǎo)致SQL語句變?yōu)閌SELECTFROMusersWHEREusername='admin'OR'1'='1'--ANDpassword='xxx'`，繞過密碼驗證直接登錄。防護措施：（1）使用預(yù)編譯語句（PreparedStatement）：通過參數(shù)化查詢分離數(shù)據(jù)與代碼，防止輸入被解析為SQL指令；（2）輸入驗證：對用戶輸入進行白名單校驗（如僅允許數(shù)字、字母），拒絕包含特殊字符（如`'`、`;`）的輸入；（3）最小權(quán)限原則：數(shù)據(jù)庫用戶僅授予執(zhí)行必要操作的權(quán)限（如查詢權(quán)限，無刪除/修改權(quán)限）；（4）Web應(yīng)用防火墻（WAF）：部署WAF檢測并攔截包含SQL特征（如`UNIONSELECT`、`EXEC`）的請求；（5）輸出編碼：對數(shù)據(jù)庫返回的數(shù)據(jù)進行HTML轉(zhuǎn)義（如將`<`轉(zhuǎn)為`<`），防止二次注入。5.請闡述數(shù)據(jù)脫敏的常用技術(shù)及典型應(yīng)用場景。答案：常用技術(shù)：（1）替換（Replacement）：將敏感字段替換為固定值（如將手機號替換為`1385678`）；（2）隨機化（Randomization）：對數(shù)據(jù)進行隨機偏移（如將身份證號的出生年份`1990`隨機改為`1985-1995`之間的數(shù)值）；（3）混淆（Obfuscation）：通過加密或哈希處理敏感數(shù)據(jù)（如對姓名進行MD5哈希，僅保留哈希值）；（4）截斷（Truncation）：刪除部分數(shù)據(jù)（如將地址`北京市海淀區(qū)中關(guān)村大街1號`截斷為`北京市海淀區(qū)...`）；（5）掩碼（Masking）：僅顯示部分數(shù)據(jù)（如銀行卡號顯示為`1234`）。應(yīng)用場景：（1）開發(fā)測試環(huán)境：使用脫敏后的生產(chǎn)數(shù)據(jù)進行測試，避免泄露用戶真實信息；（2）數(shù)據(jù)共享：向第三方提供統(tǒng)計數(shù)據(jù)時，對個人隱私（如手機號、身份證號）脫敏；（3）日志記錄：系統(tǒng)日志中記錄用戶操作時，對密碼、支付金額等敏感字段脫敏；（4）數(shù)據(jù)發(fā)布：公開數(shù)據(jù)報表（如用戶年齡分布）時，對單個用戶的具體信息脫敏，防止身份推斷。四、案例分析題（每題10分，共20分）案例1：某企業(yè)財務(wù)部門服務(wù)器于2024年12月5日14:30出現(xiàn)異常：員工無法訪問財務(wù)系統(tǒng)，登錄提示“文件無法打開”；服務(wù)器進程中發(fā)現(xiàn)名為`cryptor.exe`的未知進程，CPU占用率達90%；查看文件目錄，發(fā)現(xiàn)大量.docx、.pdf文件后綴被改為`.encrypted`，文件屬性顯示“已加密”。經(jīng)初步判斷為勒索軟件攻擊。問題：如果你是該企業(yè)的網(wǎng)絡(luò)與信息安全管理員，請列出應(yīng)急響應(yīng)的具體步驟，并說明每一步的關(guān)鍵操作。答案：應(yīng)急響應(yīng)步驟及關(guān)鍵操作：1.檢測與確認：-使用殺毒軟件（如卡巴斯基、火絨）掃描服務(wù)器，確認是否為勒索軟件（如LockBit、Conti家族）；-檢查進程`cryptor.exe`的父進程、啟動路徑，確認是否為惡意進程；-查看防火墻日志，確定攻擊入口（如是否通過漏洞攻擊、釣魚郵件附件傳播）。2.隔離受感染設(shè)備：-立即斷開服務(wù)器與內(nèi)網(wǎng)的物理連接（如拔掉網(wǎng)線），防止勒索軟件通過SMB、RDP等協(xié)議橫向傳播至其他主機；-對財務(wù)部門終端進行網(wǎng)絡(luò)隔離（如配置防火墻規(guī)則拒絕受感染IP的所有流量）。3.數(shù)據(jù)與日志備份：-在斷網(wǎng)狀態(tài)下，使用只讀方式（如掛載為只讀分區(qū)）備份未加密的關(guān)鍵文件（如最近一次全量備份后的增量數(shù)據(jù)）；-收集服務(wù)器的系統(tǒng)日志（Windows事件日志、進程日志）、網(wǎng)絡(luò)日志（防火墻、IDS記錄），保存至離線存儲設(shè)備，用于后續(xù)分析。4.清除惡意程序：-通過任務(wù)管理器終止`cryptor.exe`進程，并刪除其文件（通常位于`%AppData%`或臨時目錄）；-使用專殺工具（如勒索軟件解密工具包）掃描并修復(fù)系統(tǒng)，關(guān)閉不必要的服務(wù)（如RDP、445端口）。5.數(shù)據(jù)恢復(fù)：-檢查最近一次有效備份（如12月4日23:00的全量備份），通過備份恢復(fù)加密文件；-若未定期備份，嘗試使用勒索軟件解密工具（如某些家族提供的免費解密器），避免直接支付贖金。6.根源分析與加固：-分析攻擊路徑（如是否因未修復(fù)CVE-2023-21705SMB漏洞、員工點擊釣魚郵件附件）；-修復(fù)系統(tǒng)漏洞，啟用自動更新；-部署EDR工具，監(jiān)控異常文件寫入、進程啟動行為；-對財務(wù)部門員工開展安全培訓(xùn)，強調(diào)不隨意打開陌生郵件附件。案例2：某高校校園網(wǎng)于2024年11月20日20:00出現(xiàn)網(wǎng)絡(luò)卡頓，部分學(xué)生反饋無法訪問校外網(wǎng)站。網(wǎng)絡(luò)管理員檢查核心交換機，發(fā)現(xiàn)出口帶寬利用率達95%（正常為30%-40%），但流量統(tǒng)計顯示“未知協(xié)議”流量占比60%。問題：作為網(wǎng)絡(luò)與信息安全管理員，請列出排查異常流量的具體思路，并說明可能的原因及對應(yīng)的解決措施。答案：排查思路及可能原因、解決措施：1.流量源定位：-使用核心交換機的流量鏡像功能（SPAN），將流量鏡像至流量分析工具（如Wireshark、NetFlow分析儀）；-分析“未知協(xié)議”流量的源IP、目標(biāo)IP、端口號，確定是否為內(nèi)網(wǎng)主機發(fā)起的異常流量。2.可能原因1：僵尸網(wǎng)絡(luò)（Botnet）攻擊-特征：內(nèi)網(wǎng)多臺主機向外部C2服務(wù)器（控制服務(wù)器）發(fā)送加密流量（如使用TLS封裝的HTT