2025年計(jì)算機(jī)網(wǎng)絡(luò)安全考試試卷及答案一、單項(xiàng)選擇題（每題2分，共20分）1.以下哪種加密算法屬于非對(duì)稱加密？A.AES-256B.RSAC.ChaCha20D.3DES2.在TCP/IP協(xié)議棧中，用于檢測(cè)網(wǎng)絡(luò)攻擊并記錄異常流量的設(shè)備通常部署在？A.物理層B.網(wǎng)絡(luò)層C.傳輸層D.應(yīng)用層3.某企業(yè)發(fā)現(xiàn)Web服務(wù)器日志中頻繁出現(xiàn)“SELECTFROMusersWHEREusername=''OR'1'='1'”請(qǐng)求，最可能遭遇的攻擊是？A.CSRFB.XSSC.SQL注入D.DDoS4.以下哪項(xiàng)是零信任架構(gòu)的核心原則？A.基于邊界的信任B.最小權(quán)限訪問C.靜態(tài)角色分配D.單次身份認(rèn)證5.用于驗(yàn)證數(shù)字簽名的關(guān)鍵是？A.發(fā)送方私鑰B.接收方私鑰C.發(fā)送方公鑰D.接收方公鑰6.某組織部署了入侵防御系統(tǒng)（IPS），其主要功能是？A.監(jiān)控流量并記錄日志B.檢測(cè)攻擊并主動(dòng)阻斷C.分析漏洞風(fēng)險(xiǎn)等級(jí)D.加密傳輸數(shù)據(jù)7.下列哪種協(xié)議用于在不可信網(wǎng)絡(luò)中建立安全隧道？A.HTTPB.FTPC.IPsecD.SMTP8.弱口令攻擊的主要防范措施是？A.部署防火墻B.啟用多因素認(rèn)證C.定期更新操作系統(tǒng)D.安裝殺毒軟件9.物聯(lián)網(wǎng)設(shè)備常見的安全風(fēng)險(xiǎn)不包括？A.固件漏洞B.默認(rèn)密碼未修改C.數(shù)據(jù)加密傳輸D.無安全補(bǔ)丁更新機(jī)制10.依據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)自行或委托第三方每年至少進(jìn)行幾次網(wǎng)絡(luò)安全檢測(cè)評(píng)估？A.1次B.2次C.3次D.4次二、填空題（每空2分，共20分）1.常見的哈希算法包括SHA-256、MD5和______（列舉一種）。2.網(wǎng)絡(luò)釣魚攻擊的主要手段是通過______誘導(dǎo)用戶泄露敏感信息。3.防火墻的三種基本類型是包過濾防火墻、狀態(tài)檢測(cè)防火墻和______。4.TLS1.3協(xié)議相比TLS1.2，最大的改進(jìn)是減少了______次數(shù)。5.緩沖區(qū)溢出攻擊的本質(zhì)是______越界訪問。6.數(shù)據(jù)脫敏技術(shù)中，將“身份證號(hào)”替換為“”屬于______處理。7.工業(yè)控制系統(tǒng)（ICS）的典型協(xié)議包括Modbus、DNP3和______（列舉一種）。8.云安全中的“數(shù)據(jù)主權(quán)”問題主要涉及______的法律合規(guī)性。9.移動(dòng)應(yīng)用安全測(cè)試的關(guān)鍵環(huán)節(jié)包括靜態(tài)分析、動(dòng)態(tài)分析和______。10.依據(jù)MITREATT&CK框架，“橫向移動(dòng)”屬于______階段的攻擊行為。三、簡(jiǎn)答題（每題8分，共40分）1.簡(jiǎn)述對(duì)稱加密與非對(duì)稱加密的區(qū)別，并各舉一例說明應(yīng)用場(chǎng)景。2.說明DDoS攻擊的原理及企業(yè)可采取的防御措施（至少4條）。3.解釋“零信任網(wǎng)絡(luò)”的核心思想，并列舉其關(guān)鍵技術(shù)（至少3項(xiàng)）。4.分析Web應(yīng)用中CSRF攻擊的原理，說明其與XSS攻擊的區(qū)別。5.簡(jiǎn)述漏洞管理的主要流程，并說明漏洞掃描與滲透測(cè)試的差異。四、分析題（每題15分，共30分）1.某企業(yè)網(wǎng)絡(luò)拓?fù)淙缦拢恨k公網(wǎng)通過防火墻連接互聯(lián)網(wǎng)，內(nèi)部部署Web服務(wù)器（開放80/443端口）、數(shù)據(jù)庫(kù)服務(wù)器（開放3306端口）和員工終端（Windows系統(tǒng)）。近期發(fā)現(xiàn)Web服務(wù)器日志中存在大量異常POST請(qǐng)求，數(shù)據(jù)庫(kù)出現(xiàn)未知用戶數(shù)據(jù)刪除記錄，部分員工終端CPU占用率異常升高。請(qǐng)分析可能的攻擊路徑及對(duì)應(yīng)的安全措施。2.某金融機(jī)構(gòu)計(jì)劃遷移核心業(yè)務(wù)系統(tǒng)至公有云，需滿足《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》要求。請(qǐng)從數(shù)據(jù)安全、訪問控制、合規(guī)審計(jì)三個(gè)方面設(shè)計(jì)遷移方案的關(guān)鍵措施。五、綜合應(yīng)用題（30分）某科技公司擬構(gòu)建企業(yè)級(jí)網(wǎng)絡(luò)安全防護(hù)體系，涵蓋研發(fā)部門、生產(chǎn)部門和客戶服務(wù)部門。研發(fā)部門涉及源代碼存儲(chǔ)與協(xié)作，生產(chǎn)部門使用工業(yè)控制設(shè)備（PLC），客戶服務(wù)部門處理用戶個(gè)人信息（如姓名、手機(jī)號(hào)、地址）。請(qǐng)?jiān)O(shè)計(jì)完整的安全防護(hù)方案，要求包括：邊界防護(hù)、終端安全、數(shù)據(jù)保護(hù)、監(jiān)控審計(jì)四個(gè)模塊的具體技術(shù)措施，并說明各部門的差異化防護(hù)需求。答案一、單項(xiàng)選擇題1.B2.B3.C4.B5.C6.B7.C8.B9.C10.A二、填空題1.SHA-512（或其他合理答案）2.偽造可信頁(yè)面（或釣魚郵件）3.應(yīng)用層網(wǎng)關(guān)防火墻4.握手5.內(nèi)存6.匿名化（或脫敏）7.PROFINET（或其他合理答案）8.數(shù)據(jù)存儲(chǔ)地（或數(shù)據(jù)跨境）9.滲透測(cè)試10.殺傷鏈三、簡(jiǎn)答題1.區(qū)別：對(duì)稱加密使用相同密鑰加密和解密，速度快但密鑰分發(fā)困難；非對(duì)稱加密使用公鑰加密、私鑰解密，解決了密鑰分發(fā)問題但計(jì)算復(fù)雜度高。應(yīng)用場(chǎng)景：對(duì)稱加密如AES用于大文件加密；非對(duì)稱加密如RSA用于HTTPS握手階段的密鑰交換。2.原理：通過控制大量傀儡機(jī)（僵尸網(wǎng)絡(luò)）向目標(biāo)發(fā)送海量請(qǐng)求，耗盡其帶寬或資源。防御措施：（1）購(gòu)買云清洗服務(wù)（流量牽引至清洗中心過濾）；（2）部署DDoS防護(hù)設(shè)備（識(shí)別異常流量特征）；（3）限制單IP并發(fā)連接數(shù)；（4）啟用速率限制（如每秒請(qǐng)求數(shù)限制）；（5）優(yōu)化服務(wù)器架構(gòu)（分布式部署、CDN加速）。3.核心思想：默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外部任何實(shí)體（用戶、設(shè)備、應(yīng)用），需持續(xù)驗(yàn)證身份、設(shè)備狀態(tài)和訪問上下文后再授權(quán)訪問。關(guān)鍵技術(shù)：軟件定義邊界（SDP）、微分段（Micro-Segmentation）、多因素認(rèn)證（MFA）、設(shè)備健康狀態(tài)檢測(cè)（如補(bǔ)丁安裝情況）。4.CSRF原理：攻擊者誘導(dǎo)用戶訪問惡意鏈接，利用用戶已登錄的會(huì)話身份向目標(biāo)網(wǎng)站發(fā)送偽造請(qǐng)求（如修改密碼）。與XSS區(qū)別：XSS是通過注入惡意腳本獲取用戶會(huì)話（主動(dòng)竊取），CSRF是利用用戶已有會(huì)話（被動(dòng)利用）；XSS攻擊對(duì)象是用戶瀏覽器，CSRF攻擊對(duì)象是目標(biāo)網(wǎng)站服務(wù)器。5.漏洞管理流程：漏洞發(fā)現(xiàn)（掃描/滲透測(cè)試）→風(fēng)險(xiǎn)評(píng)估（CVSS評(píng)分）→修復(fù)優(yōu)先級(jí)排序→補(bǔ)丁部署/臨時(shí)防護(hù)（如WAF規(guī)則）→驗(yàn)證修復(fù)效果→歸檔記錄。差異：漏洞掃描是自動(dòng)化檢測(cè)已知漏洞（基于特征庫(kù)），滲透測(cè)試是模擬真實(shí)攻擊挖掘未知漏洞（需人工參與）。四、分析題1.可能攻擊路徑：（1）員工終端感染惡意軟件（如勒索軟件），通過辦公網(wǎng)橫向移動(dòng)至Web服務(wù)器（利用未修補(bǔ)的系統(tǒng)漏洞）；（2）Web服務(wù)器存在SQL注入漏洞，攻擊者通過異常POST請(qǐng)求獲取數(shù)據(jù)庫(kù)權(quán)限，刪除數(shù)據(jù)；（3）惡意軟件在終端啟動(dòng)挖礦程序，導(dǎo)致CPU占用率異常。安全措施：（1）Web服務(wù)器：?jiǎn)⒂肳AF過濾惡意請(qǐng)求，修復(fù)SQL注入漏洞（使用參數(shù)化查詢），限制數(shù)據(jù)庫(kù)賬號(hào)權(quán)限（僅允許查詢）；（2）終端：部署EDR（端點(diǎn)檢測(cè)與響應(yīng)）工具，開啟自動(dòng)補(bǔ)丁更新，禁止安裝未知軟件；（3）網(wǎng)絡(luò)：在防火墻配置訪問控制列表（ACL），限制辦公網(wǎng)到數(shù)據(jù)庫(kù)服務(wù)器的僅必要端口訪問，部署IDS/IPS監(jiān)控異常流量；（4）日志：?jiǎn)⒂眉腥罩竟芾恚ㄈ鏓LK棧），設(shè)置異常行為告警（如數(shù)據(jù)庫(kù)刪除操作）。2.數(shù)據(jù)安全措施：（1）敏感數(shù)據(jù)分類分級(jí)（如用戶身份證號(hào)為最高級(jí)別），使用AES-256加密存儲(chǔ)，密鑰由企業(yè)主密鑰管理系統(tǒng)（KMS）管控；（2）數(shù)據(jù)跨境傳輸時(shí)通過隱私計(jì)算（如聯(lián)邦學(xué)習(xí)）避免原始數(shù)據(jù)流出；（3）簽訂云服務(wù)協(xié)議明確數(shù)據(jù)所有權(quán)，要求云服務(wù)商通過ISO27001認(rèn)證。訪問控制措施：（1）實(shí)施零信任訪問模型，員工訪問需MFA（密碼+動(dòng)態(tài)令牌），設(shè)備需通過健康檢查（無未修補(bǔ)漏洞、安裝殺毒軟件）；（2）采用最小權(quán)限原則，研發(fā)人員僅訪問測(cè)試環(huán)境，運(yùn)維人員僅獲得只讀權(quán)限；（3）使用IAM（身份與訪問管理）系統(tǒng)，定期審計(jì)賬號(hào)權(quán)限（如每季度）。合規(guī)審計(jì)措施：（1）部署日志審計(jì)系統(tǒng)，記錄用戶登錄、數(shù)據(jù)操作（增刪改）等行為，保留至少6個(gè)月；（2）委托第三方機(jī)構(gòu)每年進(jìn)行等保2.0測(cè)評(píng)，重點(diǎn)檢查個(gè)人信息收集“最小必要”原則落實(shí)情況；（3）建立數(shù)據(jù)泄露響應(yīng)機(jī)制（如72小時(shí)內(nèi)上報(bào)監(jiān)管部門），定期開展應(yīng)急演練。五、綜合應(yīng)用題邊界防護(hù)模塊：-研發(fā)部門：部署應(yīng)用層防火墻（WAF）防護(hù)代碼協(xié)作平臺(tái)（如GitLab），阻斷SQL注入、XSS等攻擊；設(shè)置專用VPN通道，僅允許研發(fā)人員通過MFA訪問內(nèi)部代碼庫(kù)。-生產(chǎn)部門：工業(yè)控制網(wǎng)絡(luò)與辦公網(wǎng)物理隔離（或邏輯隔離，使用工業(yè)防火墻），僅開放Modbus/TCP等必要協(xié)議，禁止互聯(lián)網(wǎng)直接訪問PLC；PLC固件啟用數(shù)字簽名驗(yàn)證，防止非法篡改。-客戶服務(wù)部門：對(duì)外服務(wù)接口（如客服系統(tǒng)）通過API網(wǎng)關(guān)管理，限制單IP請(qǐng)求頻率（防暴力破解），啟用HTTPS1.3加密傳輸，證書定期更新。終端安全模塊：-研發(fā)終端：安裝代碼安全檢測(cè)工具（如SonarQube），禁止USB存儲(chǔ)設(shè)備接入（或啟用白名單）；強(qiáng)制使用企業(yè)統(tǒng)一殺毒軟件（如卡巴斯基），每日全盤掃描。-生產(chǎn)終端（操作PLC的工控機(jī)）：禁用無線功能，系統(tǒng)為專用版本（無不必要服務(wù)），定期備份配置（如每周）；操作人員需通過生物識(shí)別（指紋）+密碼登錄。-客服終端：安裝終端數(shù)據(jù)防泄漏（DLP）系統(tǒng)，禁止復(fù)制用戶個(gè)人信息到剪貼板或外接設(shè)備；屏幕自動(dòng)鎖定（5分鐘無操作），登錄日志關(guān)聯(lián)員工工號(hào)。數(shù)據(jù)保護(hù)模塊：-研發(fā)數(shù)據(jù)：源代碼使用Git加密存儲(chǔ)（如Git-Crypt），合并代碼需2人審核；測(cè)試環(huán)境數(shù)據(jù)與生產(chǎn)環(huán)境數(shù)據(jù)隔離，測(cè)試數(shù)據(jù)使用脫敏后副本（如將手機(jī)號(hào)替換為“1381234”）。-生產(chǎn)數(shù)據(jù)：PLC采集的設(shè)備運(yùn)行數(shù)據(jù)（如溫度、壓力）加密存儲(chǔ)（AES-128），僅允許生產(chǎn)主管和運(yùn)維人員訪問；關(guān)鍵參數(shù)（如安全閥值）修改需審批流程（紙質(zhì)+電子雙確認(rèn)）。-客戶數(shù)據(jù)：個(gè)人信息存儲(chǔ)時(shí)去標(biāo)識(shí)化（如姓名→“張”），查詢需工單審批（記錄查詢?nèi)?、時(shí)間、原因）；數(shù)據(jù)導(dǎo)出需加密壓縮（ZIP+密碼），密碼通過單獨(dú)渠道傳遞。監(jiān)控審計(jì)模塊：-研發(fā)網(wǎng)絡(luò)：監(jiān)控代碼庫(kù)的提交記錄（如Git日志），異常操作（如深夜提交、大文件上傳）觸發(fā)告警；定期審查代碼權(quán)限（如刪除離職員工賬號(hào)）。