2025年網絡與信息安全管理員職業(yè)技能等級考試(三級)網絡安全防護試題(含答案)一、單項選擇題（每題2分，共20分）1.以下哪種防火墻技術通過檢查數(shù)據包的源地址、目的地址、端口號和協(xié)議類型實現(xiàn)過濾？A.包過濾防火墻B.狀態(tài)檢測防火墻C.應用層網關防火墻D.下一代防火墻答案：A2.若某系統(tǒng)采用AES256加密算法對64字節(jié)的明文數(shù)據進行加密（無填充），最終密文長度為？A.64字節(jié)B.128字節(jié)C.256字節(jié)D.32字節(jié)答案：A（AES分組加密，64字節(jié)為4個128位分組，無填充時密文長度與明文相同）3.以下不屬于訪問控制模型的是？A.自主訪問控制（DAC）B.強制訪問控制（MAC）C.基于角色的訪問控制（RBAC）D.基于內容的訪問控制（CBAC）答案：D（CBAC是Cisco的一種動態(tài)包過濾技術，非訪問控制模型）4.某主機開放的端口中，22號端口對應服務是？A.HTTPB.HTTPSC.SSHD.FTP答案：C5.以下哪項是Windows系統(tǒng)中用于查看當前網絡連接的命令？A.pingB.tracertC.netstatD.ipconfig答案：C6.某企業(yè)網絡中部署了入侵檢測系統(tǒng)（IDS），其核心功能是？A.阻斷惡意流量B.實時監(jiān)控并報警C.修復系統(tǒng)漏洞D.加密傳輸數(shù)據答案：B（IDS側重檢測與報警，IPS才具備阻斷功能）7.以下哪種漏洞屬于緩沖區(qū)溢出漏洞？A.SQL注入B.XSS跨站腳本C.CVE202321529（Windows內核棧溢出）D.CSRF跨站請求偽造答案：C8.安全策略文檔中“最小權限原則”的核心要求是？A.用戶僅獲得完成任務所需的最低權限B.所有用戶權限統(tǒng)一管理C.管理員擁有最高權限D.定期修改用戶密碼答案：A9.以下哪種協(xié)議用于安全的遠程登錄？A.TelnetB.RDPC.SSHD.FTP答案：C10.某網站采用HTTPS協(xié)議，其默認端口號是？A.80B.443C.21D.25答案：B二、多項選擇題（每題3分，共15分，少選、錯選均不得分）1.以下屬于網絡安全等級保護2.0基本要求的是？A.安全物理環(huán)境B.安全通信網絡C.安全區(qū)域邊界D.安全計算環(huán)境答案：ABCD2.漏洞掃描工具的主要類型包括？A.主機掃描B.網絡掃描C.數(shù)據庫掃描D.應用掃描答案：ABCD3.以下哪些措施可用于防范DDoS攻擊？A.部署流量清洗設備B.限制ICMP請求速率C.關閉不必要的端口D.定期更新系統(tǒng)補丁答案：ABC（DDoS攻擊與系統(tǒng)漏洞無直接關聯(lián)）4.以下屬于對稱加密算法的是？A.AESB.RSAC.DESD.3DES答案：ACD（RSA是非對稱加密）5.安全域劃分的原則包括？A.業(yè)務相關性B.安全等級一致性C.流量流向合理性D.設備品牌統(tǒng)一性答案：ABC三、填空題（每空1分，共10分）1.常見的Web應用漏洞包括SQL注入、XSS跨站腳本、______（示例：CSRF跨站請求偽造）等。答案：文件上傳漏洞（或任意文件讀取、邏輯漏洞等）2.防火墻的三種部署模式為透明模式、路由模式和______。答案：混雜模式（或旁路模式）3.網絡安全事件分為四級，其中特別重大事件（I級）的標準是______（需具體描述）。答案：造成特別嚴重損害或影響（如大量關鍵系統(tǒng)癱瘓、大規(guī)模數(shù)據泄露等）4.哈希算法的典型特征是______（至少答兩點）。答案：不可逆性、固定輸出長度（或抗碰撞性）5.Windows系統(tǒng)中，用于查看用戶組信息的命令是______。答案：netlocalgroup6.無線局域網（WLAN）的常見加密協(xié)議有WEP、WPA和______。答案：WPA2/WPA37.漏洞生命周期的階段包括發(fā)現(xiàn)、驗證、______、修復。答案：利用（或公開）8.入侵檢測系統(tǒng)按部署方式分為網絡型IDS（NIDS）和______（HIDS）。答案：主機型IDS9.訪問控制的三要素是主體、客體和______。答案：控制策略10.某IP地址為00，子網掩碼為28，其所在子網的網絡地址是______。答案：（計算：100的二進制是01100100，子網掩碼前25位，網絡地址為前25位不變，即）四、簡答題（共20分）1.（封閉型，5分）簡述零信任架構的核心原則。答案：零信任架構的核心原則包括：①永不信任，持續(xù)驗證（所有訪問請求需動態(tài)驗證身份、設備、環(huán)境等）；②最小權限訪問（僅授予完成任務所需的最小權限）；③全流量可見（監(jiān)控所有網絡流量）；④動態(tài)策略調整（根據風險變化實時調整訪問策略）。2.（開放型，5分）某企業(yè)財務系統(tǒng)近期頻繁收到異常登錄請求（IP來自境外，登錄失敗次數(shù)超50次/小時），請分析可能的攻擊類型及應對措施。答案：可能的攻擊類型：暴力破解攻擊（通過嘗試大量密碼組合猜測賬戶）。應對措施：①啟用登錄失敗鎖定策略（如連續(xù)5次失敗鎖定30分鐘）；②部署Web應用防火墻（WAF）攔截異常IP請求；③啟用多因素認證（MFA）增加驗證復雜度；④記錄并分析登錄日志，封禁高頻攻擊IP；⑤更新弱密碼策略，強制使用12位以上復雜密碼。3.（封閉型，5分）簡述漏洞掃描與滲透測試的區(qū)別。答案：①目的不同：漏洞掃描是自動化檢測已知漏洞；滲透測試是模擬真實攻擊，驗證系統(tǒng)防護能力。②方法不同：漏洞掃描依賴漏洞庫匹配；滲透測試需人工分析、利用漏洞。③深度不同：漏洞掃描僅發(fā)現(xiàn)漏洞；滲透測試可驗證漏洞是否可被利用。④結果形式不同：漏洞掃描輸出漏洞列表；滲透測試輸出攻擊路徑與風險評估。4.（開放型，5分）某公司辦公網與生產網未做隔離，存在哪些安全風險？提出至少3項隔離措施。答案：安全風險：①辦公網終端可能感染惡意軟件，通過內網傳播至生產網；②非授權人員可從辦公網訪問生產數(shù)據，導致數(shù)據泄露；③生產網敏感流量可能被辦公網設備嗅探。隔離措施：①部署防火墻劃分安全域，辦公網與生產網間設置訪問控制列表（ACL）；②采用VLAN技術隔離二層網絡；③生產網部署物理隔離網閘，僅允許必要數(shù)據單向傳輸；④辦公網終端安裝終端安全管理軟件，禁止訪問生產網IP段。五、應用題（共35分）1.（分析類，10分）某企業(yè)網絡拓撲如下：互聯(lián)網出口部署防火墻（F1），公網IP為/30；內網分為辦公區(qū)（/24）、服務器區(qū)（/24）；服務器區(qū)包含Web服務器（0）、數(shù)據庫服務器（0）；近期Web服務器頻繁遭受SQL注入攻擊。問題：（1）請分析防火墻F1應配置哪些基礎安全策略？（5分）（2）針對SQL注入攻擊，除防火墻外還需哪些防護措施？（5分）答案：（1）防火墻F1基礎策略：①拒絕所有默認流量（denyall）；②允許辦公區(qū)（/24）訪問服務器區(qū)HTTP（80）、HTTPS（443）端口；③限制公網僅允許訪問Web服務器80/443端口，禁止直接訪問數(shù)據庫服務器；④啟用SYN洪水攻擊防護（SYNFloodProtection）；⑤記錄所有入站/出站流量日志。（2）其他防護措施：①Web服務器部署WAF（Web應用防火墻），檢測并阻斷SQL注入Payload；②開發(fā)階段使用參數(shù)化查詢（PreparedStatement），避免拼接SQL語句；③對Web應用進行代碼審計，修復輸入驗證漏洞；④數(shù)據庫服務器啟用最小權限賬戶（僅授予查詢/寫入必要權限）；⑤定期更新Web服務器和數(shù)據庫的安全補丁。2.（計算類，10分）某企業(yè)需對客戶信息數(shù)據庫進行加密存儲，選擇AES128加密算法（CBC模式，PKCS7填充）。假設明文為“客戶姓名：張三；身份證號（共30字節(jié)），密鑰為16字節(jié)隨機數(shù)，初始化向量（IV）為16字節(jié)隨機數(shù)。問題：（1）計算加密后的密文長度（需寫出計算過程）。（6分）（2）CBC模式中初始化向量（IV）的作用是什么？（4分）答案：（1）明文長度30字節(jié)，AES分組長度為16字節(jié)（128位）。PKCS7填充規(guī)則：若明文長度不是16的整數(shù)倍，填充n個字節(jié)，每個字節(jié)值為n。30÷16=1余14，需填充2字節(jié)（每個字節(jié)值為0x02），填充后明文長度為32字節(jié)（2個分組）。CBC模式下，每個分組加密后生成16字節(jié)密文，總密文長度為2×16=32字節(jié)（IV為16字節(jié)，但IV不計算在密文長度中，僅隨密文傳輸）。（2）IV的作用：①增加加密隨機性，避免相同明文分組生成相同密文；②防止攻擊者通過分析密文模式推測明文結構；③在CBC模式中，第一個明文分組與IV異或后加密，確保每個加密過程的獨立性。3.（綜合類，15分）某企業(yè)日志服務器收到如下三條日志記錄（時間戳已省略）：日志1：源IP：00|目的IP：0|端口：80|方法：POST|URI：/login.php|狀態(tài)碼：401|內容：username=admin&password=123456日志2：源IP：00|目的IP：0|端口：80|方法：POST|URI：/login.php|狀態(tài)碼：401|內容：username=admin&password=abcdef日志3：源IP：00|目的IP：0|端口：80|方法：POST|URI：/login.php|狀態(tài)碼：200|內容：username=admin&password=Admin@2025問題：（1）分析日志反映的安全事件類型及潛在風險。（5分）（2）提出至少5項針對性的防護措施。（5分）（3）說明如何通過日志分析確認是否存在其他關聯(lián)攻擊。（5分）答案：（1）事件類型：暴力破解攻擊（源IP00嘗試多次不同密碼登錄Web服務器）。潛在風險：若弱密碼被破解（如日志3中成功登錄），攻擊者可獲取管理員權限，篡改網站內容、竊取數(shù)據或植入后門。（2）防護措施：①在Web服務器啟用登錄失敗鎖定（如連續(xù)5次失敗鎖定賬戶30分鐘）；②限制單IP登錄請求速率（如每分鐘最多5次登錄嘗試）；③強制管理員賬戶使用復雜密碼（包含字母、數(shù)字、特殊符號，長度≥12位）；④啟用多因素認證（如短信驗證碼或硬件令牌）；⑤在防火墻或WAF中封禁頻繁嘗試登錄的IP（如00）；⑥記錄詳細登錄日志（包括用戶代理、源MAC地址等），便于追溯。（3