2025年網(wǎng)絡(luò)與信息安全管理員三級(jí)考試模擬試卷及答案(網(wǎng)絡(luò)安全防護(hù))一、單項(xiàng)選擇題（每題1分，共30分。每題只有一個(gè)正確答案，錯(cuò)選、多選、不選均不得分）1.在零信任架構(gòu)中，對(duì)“默認(rèn)信任”原則的最佳替代描述是A.最小權(quán)限+持續(xù)驗(yàn)證B.邊界防御+一次性認(rèn)證C.物理隔離+靜態(tài)授權(quán)D.白名單+一次性授權(quán)答案：A解析：零信任的核心是“永不信任、持續(xù)驗(yàn)證”，最小權(quán)限與動(dòng)態(tài)評(píng)估是落地關(guān)鍵。2.某單位使用IPSecVPN，若希望同時(shí)提供機(jī)密性與數(shù)據(jù)源認(rèn)證，應(yīng)選擇的IPSec模式組合為A.傳輸模式+AHB.隧道模式+ESPC.傳輸模式+ESPD.隧道模式+AH答案：B解析：隧道模式保護(hù)整個(gè)原始IP報(bào)文，ESP同時(shí)提供加密與認(rèn)證；AH不提供加密。3.關(guān)于TLS1.3與TLS1.2握手過程差異，下列說法正確的是A.TLS1.3支持RSA密鑰交換B.TLS1.3將證書消息放在加密擴(kuò)展之后C.TLS1.3握手往返次數(shù)由2RTT降為1RTTD.TLS1.3仍支持壓縮算法答案：C解析：TLS1.3移除RSA密鑰交換、壓縮算法，證書在加密之前發(fā)送，1RTT完成握手。4.利用“TCPSYNCookie”技術(shù)主要緩解的攻擊類型是A.UDPFloodB.SYNFloodC.HTTP慢速攻擊D.DNS放大答案：B解析：SYNCookie通過無狀態(tài)方式驗(yàn)證SYN報(bào)文，防止連接表耗盡。5.在Linux系統(tǒng)中，若文件權(quán)限為“rwsrxr”，則普通用戶執(zhí)行該文件時(shí)獲得的權(quán)限為A.文件所有者權(quán)限B.文件所屬組權(quán)限C.其他用戶權(quán)限D(zhuǎn).僅執(zhí)行權(quán)限答案：A解析：suid位使進(jìn)程以文件所有者身份運(yùn)行。6.針對(duì)“日志偽造”攻擊，最佳防護(hù)手段是A.日志分級(jí)存儲(chǔ)B.日志簽名+時(shí)間戳C.日志脫敏D.日志壓縮答案：B解析：簽名與時(shí)間戳可檢測(cè)日志被篡改或偽造。7.在WindowsAD中，實(shí)現(xiàn)“服務(wù)賬號(hào)委派”時(shí)，應(yīng)謹(jǐn)慎啟用的Kerberos屬性是A.TrustedForDelegationB.PasswordNeverExpiresC.UseDesKeyOnlyD.ServicePrincipalName答案：A解析：TrustedForDelegation允許服務(wù)代表用戶訪問其他服務(wù)，易被濫用。8.關(guān)于國(guó)密SM2與RSA2048性能對(duì)比，下列說法正確的是A.SM2簽名速度約為RSA2048的8倍B.SM2驗(yàn)簽速度約為RSA2048的2倍C.SM2密鑰生成速度低于RSA2048D.SM2簽名長(zhǎng)度固定為256字節(jié)答案：A解析：SM2基于橢圓曲線，簽名運(yùn)算量小，實(shí)測(cè)可達(dá)8倍速優(yōu)勢(shì)。9.利用“HTTP/2RapidReset”漏洞可發(fā)起的攻擊類型為DDoSB.SQL注入C.XSSD.目錄遍歷答案：A解析：該漏洞通過快速建立與重置流，耗盡服務(wù)器資源。10.在容器環(huán)境中，防止“容器逃逸”到宿主機(jī)的最有效隔離技術(shù)是A.Capabilities白名單B.SeccompC.UserNamespace+SELinuxD.只讀根文件系統(tǒng)答案：C解析：UserNamespace重映射UID，SELinux限制逃逸后權(quán)限，雙重隔離最徹底。11.當(dāng)防火墻檢測(cè)到“分片重疊”時(shí)，最可能利用的漏洞是A.TearDropB.PingofDeathC.LandD.Smurf答案：A解析：TearDrop通過構(gòu)造重疊分片，導(dǎo)致重組崩潰。12.關(guān)于DNSSEC，下列記錄類型用于存放公鑰的是A.RRSIGB.DNSKEYC.DSD.NSEC答案：B解析：DNSKEY記錄存儲(chǔ)區(qū)域公鑰，用于驗(yàn)證RRSIG。13.在OWASPTop102021中，排名上升最快的風(fēng)險(xiǎn)是A.失效的訪問控制B.加密失敗C.注入D.服務(wù)端請(qǐng)求偽造答案：D解析：SSRF從2021版第6位躍升至第1位，云環(huán)境加劇風(fēng)險(xiǎn)。14.使用“安全多用途互聯(lián)網(wǎng)郵件擴(kuò)展”S/MIME時(shí)，若只要求不可否認(rèn)性，應(yīng)使用A.僅加密B.僅簽名C.加密+簽名D.壓縮+簽名答案：B解析：數(shù)字簽名提供源認(rèn)證與不可否認(rèn)，加密僅保證機(jī)密性。15.在IPv6中，用于替代ARP的協(xié)議是A.NDPB.DHCPv6C.MLDD.ICMPv6答案：A解析：鄰居發(fā)現(xiàn)協(xié)議(NDP)完成地址解析、重復(fù)地址檢測(cè)等功能。16.關(guān)于“云安全責(zé)任共擔(dān)模型”，IaaS場(chǎng)景下由云服務(wù)商負(fù)責(zé)的安全控制是A.客戶數(shù)據(jù)加密B.虛擬化層補(bǔ)丁C.操作系統(tǒng)加固D.應(yīng)用代碼審計(jì)答案：B解析：虛擬化層由云服務(wù)商維護(hù)，其余由客戶負(fù)責(zé)。17.利用“BGP劫持”難以直接實(shí)現(xiàn)的攻擊目標(biāo)是A.流量竊聽B.流量黑洞C.證書偽造D.中間人答案：C解析：BGP劫持可引流，但證書偽造需額外破壞PKI體系。18.在Python代碼中，若使用“eval(user_input)”可能導(dǎo)致的漏洞是A.命令注入B.代碼注入C.XPath注入D.LDAP注入答案：B解析：eval直接執(zhí)行任意Python表達(dá)式，屬于代碼注入。19.關(guān)于“硬件安全模塊(HSM)”描述錯(cuò)誤的是A.提供防篡改存儲(chǔ)B.支持密鑰生命周期管理C.可導(dǎo)出私鑰明文備份D.具備隨機(jī)數(shù)生成器答案：C解析：HSM設(shè)計(jì)原則禁止私鑰明文導(dǎo)出，只允許加密備份。20.在Kubernetes中，防止Pod提權(quán)至宿主網(wǎng)絡(luò)的最小化配置是A.hostNetwork:falseB.privileged:falseC.allowPrivilegeEscalation:falseD.readOnlyRootFilesystem:true答案：A解析：hostNetwork直接共享宿主網(wǎng)絡(luò)，關(guān)閉即可隔離。21.當(dāng)IDS檢測(cè)到“ICMPDestinationUnreachable,portunreachable”異常大量出現(xiàn)時(shí)，最可能的攻擊階段是A.信息收集B.初始訪問C.橫向移動(dòng)D.目標(biāo)達(dá)成答案：A解析：該報(bào)文常用于端口掃描反饋，屬于信息收集。22.關(guān)于“差分隱私”技術(shù)，下列參數(shù)直接控制隱私預(yù)算是A.ε(epsilon)B.δ(delta)C.λ(lambda)D.α(alpha)答案：A解析：ε決定噪聲量，越大隱私越弱，效用越高。23.在無線滲透測(cè)試中，使用“airbaseng”創(chuàng)建的偽AP工作模式為A.MasterB.ManagedC.MonitorD.Adhoc答案：A解析：airbaseng模擬接入點(diǎn)，工作在Master模式。24.若網(wǎng)站使用“ContentSecurityPolicy:defaultsrc'self'”卻仍需加載外部CDN，應(yīng)添加的指令是A.scriptsrcB.imgsrcC.connectsrcD.fontsrc答案：A解析：CDN通常托管JS，需顯式放寬scriptsrc。25.關(guān)于“區(qū)塊鏈51%攻擊”描述正確的是A.可篡改歷史交易B.可偽造他人簽名C.可無限增發(fā)代幣D.可破解哈希算法答案：A解析：算力優(yōu)勢(shì)允許攻擊者重建更長(zhǎng)鏈，實(shí)現(xiàn)雙花。26.在Windows日志中，事件ID4624表示A.賬戶登錄成功B.賬戶登錄失敗C.權(quán)限提升D.對(duì)象訪問答案：A解析：4624為登錄成功，4625為失敗。27.使用“Wireshark”過濾TLS握手失敗報(bào)文，應(yīng)使用的顯示過濾器是A.tls.alertB.tcp.flags.resetC.http.response.code==400D.icmp.type==3答案：A解析：TLSAlert協(xié)議承載握手錯(cuò)誤，如certificate_unknown。28.關(guān)于“內(nèi)存安全語(yǔ)言”優(yōu)勢(shì)，下列說法錯(cuò)誤的是A.完全杜絕數(shù)據(jù)競(jìng)爭(zhēng)B.編譯期檢查生命周期C.消除空指針解引用D.降低緩沖區(qū)溢出風(fēng)險(xiǎn)答案：A解析：Rust等語(yǔ)言仍需同步原語(yǔ)解決并發(fā)競(jìng)爭(zhēng)。29.在等級(jí)保護(hù)2.0中，三級(jí)系統(tǒng)要求“剩余信息保護(hù)”主要針對(duì)A.內(nèi)存與磁盤殘留數(shù)據(jù)B.網(wǎng)絡(luò)冗余鏈路C.日志留存時(shí)長(zhǎng)D.備份冗余度答案：A解析：剩余信息指敏感數(shù)據(jù)釋放后殘留，需清零。30.若防火墻規(guī)則順序?yàn)?.allowipanyany、2.denytcpanyanyeq22，則實(shí)際效果為A.所有流量通過B.僅阻斷SSHC.僅允許SSHD.所有流量阻斷答案：A解析：第一條已匹配所有IP流量，后續(xù)規(guī)則不再匹配。二、多項(xiàng)選擇題（每題2分，共20分。每題有兩個(gè)或兩個(gè)以上正確答案，多選、少選、錯(cuò)選均不得分）31.以下哪些技術(shù)可有效防御“DNS劫持”A.DNSSECB.DoHC.DoTD.ARP綁定答案：A、B、C解析：DNSSEC提供完整性，DoH/DoT加密傳輸，ARP綁定與DNS無直接關(guān)聯(lián)。32.關(guān)于“WAF繞過”技術(shù)，常見手段包括A.編碼變形B.分塊傳輸C.協(xié)議覆蓋D.參數(shù)污染答案：A、B、C、D解析：四種均可破壞WAF特征匹配。33.在Linux系統(tǒng)加固中，屬于最小化服務(wù)的措施有A.systemctlmaskB.chkconfigdelC.aptpurgeD.chmod000答案：A、B、C解析：chmod000僅限制執(zhí)行，不卸載服務(wù)。34.以下屬于“對(duì)稱加密”算法且為流加密的是A.ChaCha20B.AESCTRC.RC4D.3DESCBC答案：A、C解析：CTR模式實(shí)為流式，但底層塊算法；ChaCha20、RC4為真流加密。35.關(guān)于“社會(huì)工程學(xué)”防御，正確的管理措施有A.定期釣魚演練B.多因素認(rèn)證C.信息分級(jí)標(biāo)識(shí)D.工牌二維碼加密答案：A、B、C解析：二維碼加密與社工防御無直接關(guān)聯(lián)。36.在容器鏡像安全掃描中，可檢測(cè)的風(fēng)險(xiǎn)包括A.CVE漏洞B.密鑰硬編碼C.惡意軟件D.許可證合規(guī)答案：A、B、C、D解析：現(xiàn)代掃描器覆蓋OS、應(yīng)用、密鑰、License。37.以下哪些日志源可用于“威脅狩獵”A.DNS查詢?nèi)罩綛.進(jìn)程創(chuàng)建事件C.網(wǎng)絡(luò)流日志D.打印機(jī)任務(wù)日志答案：A、B、C解析：打印機(jī)日志極少用于狩獵。38.關(guān)于“量子計(jì)算”對(duì)密碼學(xué)影響，目前受威脅的算法有A.RSAB.ECCC.AES256D.DH答案：A、B、D解析：Shor算法可破解大數(shù)分解與離散對(duì)數(shù)，對(duì)稱密鑰僅折半強(qiáng)度。39.在“云原生”場(chǎng)景下，實(shí)現(xiàn)微服務(wù)間mTLS的組件有A.IstioB.LinkerdC.EnvoyD.kubeproxy答案：A、B、C解析：kubeproxy僅做四層轉(zhuǎn)發(fā)，不處理TLS。40.關(guān)于“數(shù)據(jù)脫敏”技術(shù)，屬于可逆算法的是A.格式保留加密B.令牌化C.掩碼D.哈希答案：A、B解析：掩碼、哈希不可逆。三、判斷題（每題1分，共10分。正確打“√”，錯(cuò)誤打“×”）41.HTTPS站點(diǎn)一定安全，不會(huì)遭受中間人攻擊。答案：×解析：若證書鏈被偽造或客戶端不校驗(yàn)，仍可被MITM。42.“長(zhǎng)密碼短語(yǔ)”比“短復(fù)雜密碼”更能抵抗暴力破解。答案：√解析：長(zhǎng)度對(duì)熵貢獻(xiàn)最大，passphrase優(yōu)勢(shì)明顯。43.在Windows中，關(guān)閉UAC可徹底消除彈窗，不影響系統(tǒng)安全。答案：×解析：UAC是重要安全邊界，關(guān)閉后提權(quán)難度驟降。44.“同源策略”可阻止CSRF攻擊。答案：×解析：CSRF利用跨站自動(dòng)攜帶憑據(jù)，同源策略不限制請(qǐng)求發(fā)出。45.使用“Fail2Ban”可自動(dòng)封鎖暴力破解源IP。答案：√解析：通過分析日志并調(diào)用iptables實(shí)現(xiàn)動(dòng)態(tài)封鎖。46.“硬件錢包”私鑰一旦丟失，資產(chǎn)無法找回。答案：√解析：硬件錢包不保存用戶備份，助記詞丟失即喪失控制權(quán)。47.在SQL注入中，使用“聯(lián)合查詢”可繞過WAF的“orderby”過濾。答案：√解析：聯(lián)合查詢無需orderby，可間接獲取列數(shù)。48.“端口敲門”技術(shù)通過提前開放端口降低暴露面。答案：×解析：端口敲門先保持關(guān)閉，收到特定序列才動(dòng)態(tài)開放。49.“區(qū)塊鏈智能合約”一旦部署不可升級(jí)。答案：×解析：可通過代理合約、可升級(jí)模式實(shí)現(xiàn)邏輯遷移。50.“紅隊(duì)”行動(dòng)無需獲得管理層授權(quán)。答案：×解析：無授權(quán)滲透屬違法。四、填空題（每空1分，共20分）51.在Linux系統(tǒng)中，強(qiáng)制訪問控制框架SELinux的默認(rèn)策略模式為________。答案：Enforcing52.國(guó)密SM3算法輸出雜湊值長(zhǎng)度為________比特。答案：25653.OWASP推薦的最小化會(huì)話標(biāo)識(shí)符長(zhǎng)度為________字節(jié)。答案：1654.在Windows日志中，事件ID________表示賬戶鎖定。答案：474055.使用Nmap進(jìn)行“隱形掃描”應(yīng)添加參數(shù)________。答案：sS56.HTTPS證書中，用于指示是否包含私鑰的擴(kuò)展項(xiàng)為________。答案：keyUsage57.在Kubernetes中，NetworkPolicy依賴________組件實(shí)現(xiàn)策略下發(fā)。答案：CNI插件58.用于衡量入侵檢測(cè)系統(tǒng)誤報(bào)率的指標(biāo)是________。答案：FPR(FalsePositiveRate)59.在BGP安全擴(kuò)展中，用于驗(yàn)證路由源的是________協(xié)議。答案：RPKI60.量子密鑰分發(fā)基于________原理實(shí)現(xiàn)竊聽檢測(cè)。答案：海森堡測(cè)不準(zhǔn)/量子不可克隆61.在Python中，防止pickle反序列化漏洞的模塊是________。答案：json62.用于隱藏內(nèi)存中惡意代碼的“反射式DLL注入”由________工具首次公開。答案：Metasploit63.在WiFiWPA3中，取代四次握手的密鑰協(xié)商協(xié)議為________。答案：SAE64.在等級(jí)保護(hù)2.0中，三級(jí)系統(tǒng)要求日志留存時(shí)間不少于________個(gè)月。答案：665.用于測(cè)量密碼強(qiáng)度的熵單位是________。答案：比特(bit)66.在Dockerfile中，指定非root用戶運(yùn)行的指令為________。答案：USER67.在威脅情報(bào)中，STIX格式使用________語(yǔ)言描述指標(biāo)。答案：JSON68.用于實(shí)現(xiàn)“零信任”身份代理的開源項(xiàng)目________由Google開源。答案：BeyondCorp/BeyondCorpEnterprise組件69.在IPv6中，鏈路本地地址前綴為________。答案：FE80::/1070.在密碼學(xué)中，________模式可同時(shí)將加密與認(rèn)證結(jié)合，避免先加密后MAC。答案：GCM五、簡(jiǎn)答題（每題10分，共30分）71.描述“SSL/TLS中間人攻擊”完整利用鏈，并給出三種防御措施。答案：利用鏈：1)攻擊者通過ARP欺騙或DNS劫持將流量導(dǎo)向自己；2)向客戶端偽造證書，若客戶端未校驗(yàn)或信任惡意根證書，則建立虛假TLS隧道；3)攻擊者與真實(shí)服務(wù)器建立另一隧道，雙向解密并轉(zhuǎn)發(fā)數(shù)據(jù)。防御：a)證書鎖定(CertificatePinning)；b)嚴(yán)格校驗(yàn)證書鏈與吊銷列表；c)啟用HSTS與預(yù)加載列表，阻止降級(jí)到HTTP。72.某企業(yè)采用微服務(wù)架構(gòu)，內(nèi)部使用gRPC通信，請(qǐng)?jiān)O(shè)計(jì)一套“零信任”身份認(rèn)證方案，要求包含身份頒發(fā)、服務(wù)間認(rèn)證、密鑰輪換三部分。答案：1)身份頒發(fā)：所有服務(wù)以SPIFFEID標(biāo)識(shí)，由SPIRE服務(wù)器通過節(jié)點(diǎn)證明與工作負(fù)載證明簽發(fā)X.509SVID短周期證書；2)服務(wù)間認(rèn)證：gRPC通道采用mTLS，客戶端與服務(wù)器雙向驗(yàn)證SVID，Envoy代理自動(dòng)輪換并熱加載證書；3)密鑰輪換：SPIRE默認(rèn)24h重新簽發(fā)，支持事件觸發(fā)輪換；配合HSM簽名私鑰，OCSPstapling實(shí)時(shí)校驗(yàn)，舊證書保留6h緩沖期，實(shí)現(xiàn)無縫切換。73.說明“內(nèi)存馬”WebShell原理，并給出在JavaSpring容器中的檢測(cè)與清除步驟。答案：原理：利用JavaAgent或Filter動(dòng)態(tài)注冊(cè)技術(shù)，將惡意代碼注入JVM內(nèi)存，不落盤，重啟即失效；通過攔截器持續(xù)劫持請(qǐng)求。檢測(cè)：1)使用javaXX:+PrintFlagsFinal查看可疑Agent；2)掃描javax.servlet.Filter鏈，對(duì)比web.xml與內(nèi)存注冊(cè)實(shí)例；3)利用Arthastrace命令監(jiān)控Filter.doFilter異常耗時(shí)；4)提取JVM堆轉(zhuǎn)儲(chǔ)，搜索包含“cmd”“exec”等關(guān)鍵字的對(duì)象。清除：1)通過SpringA