2025年網(wǎng)絡(luò)與信息安全管理員(三級(jí))模擬試卷及答案網(wǎng)絡(luò)安全防護(hù)一、單項(xiàng)選擇題（共20題，每題1分，共20分）1.以下哪項(xiàng)是狀態(tài)檢測(cè)防火墻的典型特征？A.僅檢查數(shù)據(jù)包的源/目的IP和端口B.維護(hù)連接狀態(tài)表，跟蹤TCP會(huì)話過(guò)程C.基于應(yīng)用層協(xié)議內(nèi)容進(jìn)行深度檢測(cè)D.僅支持靜態(tài)路由配置答案：B解析：狀態(tài)檢測(cè)防火墻通過(guò)狀態(tài)表跟蹤TCP連接的三次握手、數(shù)據(jù)傳輸和斷開(kāi)過(guò)程，區(qū)別于僅檢查五元組的包過(guò)濾防火墻（A錯(cuò)誤）；深度檢測(cè)屬于應(yīng)用層防火墻功能（C錯(cuò)誤）；靜態(tài)路由配置與防火墻類型無(wú)關(guān)（D錯(cuò)誤）。2.某企業(yè)網(wǎng)絡(luò)中，入侵檢測(cè)系統(tǒng)（IDS）發(fā)現(xiàn)大量ICMPEchoRequest包發(fā)往同一目標(biāo)IP，且目標(biāo)IP的響應(yīng)包數(shù)量遠(yuǎn)低于請(qǐng)求包數(shù)量。最可能的攻擊類型是？A.SYNFloodB.Smurf攻擊C.PingofDeathD.DNS放大攻擊答案：B解析：Smurf攻擊通過(guò)向廣播地址發(fā)送ICMP請(qǐng)求（源IP偽造為目標(biāo)IP），導(dǎo)致大量主機(jī)響應(yīng)目標(biāo)IP，造成目標(biāo)流量過(guò)載；SYNFlood是TCP半連接攻擊（A錯(cuò)誤）；PingofDeath是超長(zhǎng)ICMP包導(dǎo)致內(nèi)存溢出（C錯(cuò)誤）；DNS放大攻擊利用DNS遞歸查詢（D錯(cuò)誤）。3.以下哪項(xiàng)屬于強(qiáng)制訪問(wèn)控制（MAC）的典型應(yīng)用場(chǎng)景？A.企業(yè)文件服務(wù)器根據(jù)用戶組權(quán)限分配讀寫(xiě)權(quán)限B.政府機(jī)密系統(tǒng)根據(jù)文件密級(jí)和用戶安全級(jí)別匹配訪問(wèn)規(guī)則C.云存儲(chǔ)服務(wù)根據(jù)用戶付費(fèi)等級(jí)開(kāi)放不同存儲(chǔ)空間D.操作系統(tǒng)根據(jù)用戶登錄身份設(shè)置桌面?zhèn)€性化配置答案：B解析：MAC基于主體（用戶）和客體（資源）的安全標(biāo)簽（如密級(jí)）進(jìn)行強(qiáng)制訪問(wèn)控制，不允許用戶自行修改權(quán)限；A屬于自主訪問(wèn)控制（DAC），C屬于基于角色的訪問(wèn)控制（RBAC），D是用戶個(gè)性化設(shè)置，均不符合MAC特征。4.在SSL/TLS握手過(guò)程中，客戶端發(fā)送“ClientHello”后，服務(wù)器響應(yīng)的關(guān)鍵消息是？A.ServerCertificateB.ChangeCipherSpecC.FinishedD.NewSessionTicket答案：A解析：SSL/TLS握手流程為：ClientHello→ServerHello（含支持的加密套件）→ServerCertificate（服務(wù)器證書(shū)，含公鑰）→ServerHelloDone→客戶端驗(yàn)證證書(shū)并生成預(yù)主密鑰→交換密鑰→ChangeCipherSpec（切換加密套件）→Finished（驗(yàn)證握手完整性）。因此服務(wù)器在ClientHello后首先發(fā)送證書(shū)。5.某主機(jī)感染勒索病毒后，系統(tǒng)文件被加密且擴(kuò)展名變?yōu)椤?encrypted”。最有效的應(yīng)急措施是？A.立即格式化硬盤(pán)重新安裝系統(tǒng)B.使用未聯(lián)網(wǎng)的備份數(shù)據(jù)恢復(fù)C.支付贖金獲取解密密鑰D.安裝最新版殺毒軟件全盤(pán)掃描答案：B解析：勒索病毒加密文件后，格式化會(huì)導(dǎo)致數(shù)據(jù)徹底丟失（A錯(cuò)誤）；支付贖金無(wú)法律保障且可能助長(zhǎng)攻擊（C錯(cuò)誤）；已感染主機(jī)的殺毒軟件可能無(wú)法識(shí)別最新變種（D錯(cuò)誤）；使用離線備份恢復(fù)是最可靠方法。二、多項(xiàng)選擇題（共10題，每題2分，共20分，錯(cuò)選、漏選均不得分）1.以下屬于網(wǎng)絡(luò)層安全防護(hù)技術(shù)的有？A.IPsecVPNB.訪問(wèn)控制列表（ACL）C.端口鏡像D.ARP欺騙防護(hù)答案：AB解析：IPsec在網(wǎng)絡(luò)層提供加密和認(rèn)證（A正確）；ACL通過(guò)網(wǎng)絡(luò)層五元組過(guò)濾流量（B正確）；端口鏡像是監(jiān)控技術(shù)（C錯(cuò)誤）；ARP屬于鏈路層（D錯(cuò)誤）。2.關(guān)于漏洞掃描工具Nessus的功能，以下描述正確的有？A.支持基于CVE的漏洞庫(kù)更新B.可檢測(cè)操作系統(tǒng)弱口令C.僅能掃描網(wǎng)絡(luò)設(shè)備，無(wú)法掃描主機(jī)D.生成的報(bào)告包含風(fēng)險(xiǎn)等級(jí)和修復(fù)建議答案：ABD解析：Nessus是多平臺(tái)漏洞掃描工具，支持主機(jī)、網(wǎng)絡(luò)設(shè)備掃描（C錯(cuò)誤），集成CVE等漏洞庫(kù)（A正確），可檢測(cè)弱口令（B正確），報(bào)告包含修復(fù)建議（D正確）。3.以下哪些措施可有效防范DDoS攻擊？A.在邊界路由器配置流量清洗設(shè)備B.啟用SYNCookie防御機(jī)制C.關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)端口D.對(duì)內(nèi)部主機(jī)進(jìn)行MAC地址綁定答案：ABC解析：流量清洗設(shè)備（如ADS）可過(guò)濾異常流量（A正確）；SYNCookie防御SYNFlood（B正確）；關(guān)閉冗余端口減少攻擊面（C正確）；MAC綁定防范ARP欺騙（D錯(cuò)誤）。4.關(guān)于WPA3協(xié)議的改進(jìn)，以下說(shuō)法正確的有？A.棄用TKIP，強(qiáng)制使用AES加密B.支持SAE（安全認(rèn)證交換）防止離線字典攻擊C.僅適用于5GHz頻段WiFiD.個(gè)人模式（WPA3Personal）支持192位加密套件答案：ABD解析：WPA3支持2.4GHz和5GHz（C錯(cuò)誤）；棄用TKIP（A正確）；SAE通過(guò)密碼交換避免離線破解（B正確）；個(gè)人模式可選192位加密（D正確）。5.某企業(yè)核心交換機(jī)配置了基于802.1X的端口認(rèn)證，其關(guān)鍵組件包括？A.認(rèn)證客戶端（Supplicant）B.認(rèn)證服務(wù)器（RADIUS）C.接入設(shè)備（Authenticator）D.動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）答案：ABC解析：802.1X三要素為客戶端（如PC）、接入設(shè)備（交換機(jī)）、認(rèn)證服務(wù)器（RADIUS）（ABC正確）；DHCP與認(rèn)證無(wú)直接關(guān)聯(lián)（D錯(cuò)誤）。三、填空題（共10題，每題1分，共10分）1.防火墻的NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）分為靜態(tài)NAT、動(dòng)態(tài)NAT和__________。答案：網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NAPT）2.入侵防御系統(tǒng)（IPS）與入侵檢測(cè)系統(tǒng)（IDS）的核心區(qū)別是IPS具備__________能力。答案：實(shí)時(shí)阻斷3.常見(jiàn)的抗DDOS攻擊技術(shù)中，__________通過(guò)將流量分散到多個(gè)服務(wù)器，減少單節(jié)點(diǎn)壓力。答案：負(fù)載均衡（或流量牽引）4.AES加密算法的分組長(zhǎng)度固定為_(kāi)_________位。答案：1285.零信任架構(gòu)的核心原則是“__________，持續(xù)驗(yàn)證”。答案：從不信任，始終驗(yàn)證6.無(wú)線局域網(wǎng)中，__________攻擊通過(guò)偽造AP（接入點(diǎn)）誘導(dǎo)用戶連接，竊取數(shù)據(jù)。答案：釣魚(yú)WiFi（或偽AP）7.漏洞生命周期管理的關(guān)鍵步驟包括漏洞發(fā)現(xiàn)、評(píng)估、修復(fù)、__________和關(guān)閉。答案：驗(yàn)證8.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中，第三級(jí)信息系統(tǒng)的安全保護(hù)要求需滿足__________監(jiān)管要求。答案：國(guó)家（注：等保2.0中三級(jí)系統(tǒng)需接受公安部門(mén)的監(jiān)督、檢查和指導(dǎo)）9.默認(rèn)情況下，SSH服務(wù)使用的端口號(hào)是__________。答案：2210.工業(yè)控制系統(tǒng)（ICS）中，__________協(xié)議因明文傳輸、缺乏認(rèn)證機(jī)制，易被中間人攻擊。答案：Modbus（或DNP3、S7等常見(jiàn)工業(yè)協(xié)議）四、簡(jiǎn)答題（共5題，第13題每題5分，第45題每題8分，共31分）1.簡(jiǎn)述狀態(tài)檢測(cè)防火墻與應(yīng)用層防火墻的主要區(qū)別。（5分）答案：狀態(tài)檢測(cè)防火墻工作在網(wǎng)絡(luò)層和傳輸層（1分），通過(guò)狀態(tài)表跟蹤TCP/UDP會(huì)話狀態(tài)（1分），僅檢查五元組和連接狀態(tài)（1分）；應(yīng)用層防火墻（代理防火墻）工作在應(yīng)用層（1分），深度解析應(yīng)用層協(xié)議（如HTTP、SMTP）內(nèi)容（1分），可實(shí)現(xiàn)更細(xì)粒度的訪問(wèn)控制（如禁止上傳.exe文件）。2.列舉至少4種常見(jiàn)的Web應(yīng)用層攻擊，并說(shuō)明其防范措施。（5分）答案：常見(jiàn)攻擊：SQL注入、XSS（跨站腳本）、CSRF（跨站請(qǐng)求偽造）、文件上傳漏洞（2分，每列舉1種得0.5分）。防范措施：SQL注入：使用預(yù)編譯語(yǔ)句（PreparedStatement），避免拼接SQL（1分）；XSS：對(duì)用戶輸入進(jìn)行轉(zhuǎn)義（HTML/JS轉(zhuǎn)義），輸出時(shí)使用安全框架（1分）；CSRF：驗(yàn)證請(qǐng)求來(lái)源（Referer頭），使用CSRFToken（1分）；文件上傳漏洞：限制文件類型（白名單）、重命名上傳文件、禁止執(zhí)行權(quán)限（1分）。（任意4點(diǎn)得3分）3.說(shuō)明IPsec隧道模式與傳輸模式的區(qū)別及典型應(yīng)用場(chǎng)景。（5分）答案：區(qū)別：傳輸模式：僅加密IP負(fù)載（上層協(xié)議數(shù)據(jù)），保留原IP頭（1分），適用于主機(jī)到主機(jī)通信（如PC間VPN）（1分）；隧道模式：加密整個(gè)IP包（原IP頭+負(fù)載），添加新IP頭（1分），適用于網(wǎng)絡(luò)到網(wǎng)絡(luò)通信（如企業(yè)分支到總部VPN）（1分）。典型場(chǎng)景：傳輸模式用于主機(jī)間安全通信；隧道模式用于網(wǎng)關(guān)間建立VPN（1分）。4.某企業(yè)網(wǎng)絡(luò)拓?fù)淙缦拢汉诵慕粨Q機(jī)連接防火墻（互聯(lián)網(wǎng)接口IP：/24）、辦公網(wǎng)（/24）、財(cái)務(wù)部（/24）。要求：禁止財(cái)務(wù)部訪問(wèn)互聯(lián)網(wǎng)；允許辦公網(wǎng)訪問(wèn)互聯(lián)網(wǎng)的80/443端口；其他流量默認(rèn)允許。請(qǐng)?jiān)O(shè)計(jì)防火墻的ACL策略（需寫(xiě)出具體規(guī)則順序、源/目的IP、端口和動(dòng)作）。（8分）答案：ACL需按“最嚴(yán)格規(guī)則優(yōu)先”順序配置（1分）：規(guī)則1：源IP/24，目的IP/0（互聯(lián)網(wǎng)），任意端口，動(dòng)作：拒絕（2分）；規(guī)則2：源IP/24，目的IP/0，目的端口80/443（TCP），動(dòng)作：允許（2分）；規(guī)則3：默認(rèn)允許其他流量（或隱含允許，需明確說(shuō)明）（1分）；注：需指定協(xié)議（TCP）、方向（出方向），示例：accesslist100denytcp55anyaccesslist100permittcp55eq80accesslist100permittcp55eq443accesslist100permitipanyany（剩余流量允許）（2分，規(guī)則格式正確得2分）5.分析企業(yè)內(nèi)網(wǎng)中ARP欺騙攻擊的原理，并提出至少4種防范措施。（8分）答案：攻擊原理：攻擊者偽造網(wǎng)關(guān)的ARP響應(yīng)包（源MAC為攻擊者M(jìn)AC，源IP為網(wǎng)關(guān)IP），發(fā)送給內(nèi)網(wǎng)主機(jī)（1分），導(dǎo)致主機(jī)ARP表中將網(wǎng)關(guān)IP映射到攻擊者M(jìn)AC（1分），形成中間人攻擊（截獲主機(jī)與網(wǎng)關(guān)的流量）（1分）。防范措施：靜態(tài)綁定ARP表：在主機(jī)和網(wǎng)關(guān)手動(dòng)綁定IPMAC對(duì)應(yīng)關(guān)系（2分）；啟用交換機(jī)的DAI（動(dòng)態(tài)ARP檢測(cè)）功能，驗(yàn)證ARP請(qǐng)求的合法性（1分）；使用802.1X端口認(rèn)證，限制未認(rèn)證設(shè)備接入（1分）；部署ARP監(jiān)控工具（如ARPScan），實(shí)時(shí)檢測(cè)異常ARP流量（1分）；劃分VLAN隔離廣播域，減少攻擊范圍（1分）。（任意4點(diǎn)得4分）五、應(yīng)用題（共1題，19分）背景：某企業(yè)部署了基于Snort的入侵檢測(cè)系統(tǒng)（IDS），以下是某天的部分日志記錄（已簡(jiǎn)化）：```09/2014:30:45.12325600:49876>:80TCPTTL:64TOS:0x0ID:54321IpLen:20DgmLen:40Flags:0x12(SYN,ACK)Seq:0x12345678Ack:0x87654321Win:65535=>SnortAlert:[1:1003:1]WEBMISCNVDCVE20231234ApacheHTTPServer路徑遍歷漏洞``````09/2014:35:22.456789:53>00:53535UDPTTL:64TOS:0x0ID:12345IpLen:20DgmLen:76Len:56Data:0x010x000x000x010x000x000x000x000x000x000x070x650x780x700x6C0x6F0x690x740x030x630x6F0x6D0x000x000x010x000x01=>SnortAlert:[3:3001:2]DNSQUERYpossibleDNStunneling(longdomainname)```問(wèn)題：1.分析第一條日志中的攻擊事件：指出攻擊類型、目標(biāo)設(shè)備、可能的危害及對(duì)應(yīng)的防范措施。（8分）2.分析第二條日志中的攻擊事件：解釋“DNStunneling”的原理，說(shuō)明Snort觸發(fā)該警報(bào)的依據(jù)，并提出檢測(cè)此類攻擊的其他方法。（11分）答案：1.第一條日志分析（8分）：攻擊類型：利用CVE20231234的Apache路徑遍歷漏洞（1分）；目標(biāo)設(shè)備：IP為的Web服務(wù)器（通常為網(wǎng)關(guān)或防火墻的HTTP管理接口）（1分）；可能危害：攻擊者通過(guò)構(gòu)造特殊URL訪問(wèn)服務(wù)器文件系統(tǒng)（如/etc/passwd、敏感配置文件），導(dǎo)致數(shù)據(jù)泄露或權(quán)限提升（2