2025年网络安全分析师考试题库（附答案和详细解析）（0911）.docxVIP

2025年网络安全分析师考试题库（附答案和详细解析）（0911）

网络安全分析师认证考试试卷（样卷）

一、单项选择题（共10题，每题1分，共10分）

以下哪种协议默认使用TCP端口443？

A.HTTP

B.FTP

C.SSH

D.HTTPS

答案：D

解析：HTTPS（安全超文本传输协议）通过SSL/TLS加密传输数据，默认使用443端口；HTTP默认80端口，FTP默认21端口，SSH默认22端口。

在零信任安全模型中，核心原则是：

A.默认信任内网用户

B.持续验证所有访问请求

C.依赖边界防火墙防护

D.仅限制外部用户访问

答案：B

解析：零信任模型假设所有网络流量均不可信，需通过持续验证、最小权限原则和多因素认证确保访问安全，打破传统内外网边界观念。

二、多项选择题（共10题，每题2分，共20分）

以下哪些属于OSI模型中的安全层协议？（）

A.IPSec（网络层）

B.TLS（表示层）

C.Kerberos（应用层）

D.WPA2（数据链路层）

答案：ABCD

解析：IPSec工作在网络层提供加密隧道；TLS在表示层/应用层加密数据；Kerberos在应用层处理身份认证；WPA2在数据链路层保护无线网络安全。

以下哪些场景可能导致SQL注入攻击？（）

A.未过滤用户输入的字符串

B.使用参数化查询

C.动态拼接SQL语句

D.启用Web防火墙

答案：AC

解析：SQL注入通常因未过滤用户输入（A）或动态拼接SQL语句（C）导致攻击者植入恶意代码；参数化查询（B）和Web防火墙（D）是防护措施。

三、判断题（共10题，每题1分，共10分）

DDoS攻击的目标是通过耗尽目标系统资源使其瘫痪。（）

答案：正确

解析：DDoS（分布式拒绝服务）攻击利用大量傀儡机向目标发送海量请求，消耗带宽、计算资源或连接数，导致合法用户无法访问。

公钥加密中，私钥可以公开分发。（）

答案：错误

解析：公钥加密体系下，公钥可公开分发用于加密数据或验证签名，但私钥必须由持有者严格保密，否则会破坏系统安全性。

四、简答题（共5题，每题6分，共30分）

简述ARP欺骗攻击的原理及防御措施。

答案：

第一，攻击原理：攻击者伪造ARP响应包，将自身MAC地址关联至合法IP地址，劫持局域网内流量；

第二，防御措施：部署动态ARP检测（DAI），启用端口安全策略，使用静态ARP绑定。

解析：ARP协议无认证机制导致欺骗风险。DAI可验证ARP响应合法性；静态绑定固化IP-MAC映射；端口安全限制MAC地址变化频率。

五、论述题（共3题，每题10分，共30分）

论述APT攻击的典型阶段，并举例说明检测与响应策略。

答案：

攻击阶段：

侦察阶段：收集目标信息（如利用Shodan搜索暴露服务）

入侵阶段：通过鱼叉邮件植入恶意软件（如FIN7组织使用恶意附件）

持久化阶段：部署后门维持访问（如CobaltStrikeBeacon）

横向移动：利用凭证在内网扩散（如Pass-the-Hash攻击）

数据渗出：加密泄露敏感数据（如通过DNS隧道外传）

检测响应策略：

部署网络流量分析工具（如Zeek）识别异常通信模式；

实施终端行为监控（如EDR）捕捉进程注入行为；

案例：SolarWinds攻击中，通过日志分析发现异常API调用链阻断了后续攻击。

结论：需采用纵深防御体系，结合威胁情报与自动化响应机制对抗APT。

解析：APT攻击具有长期隐蔽性，需覆盖ATTCK框架全生命周期。检测依赖异常行为分析（如低频DNS请求），响应需联动SIEM和SOAR平台快速隔离感染主机。

试卷设计说明：

内容严谨性

单选/多选题覆盖网络安全基础协议、零信任模型等核心知识；

判断题聚焦典型攻击特征与加密机制原理；

简答题要求精炼概括关键技术点；

论述题深度结合ATTCK框架和真实事件（如SolarWinds）分析。

题型规范性

多选题明确标注正确选项组合（如”ABC”）；

简答题答案强制使用”第一/第二”分点结构；

论述题答案包含“论点→论据→案例→结论”完整逻辑链。

解析价值

选择题解析说明协议层级关联（如OSI模型）；

简答解析延伸技术原理（如DAI工作流程）；

论述解析建立防御体系思维框架。

本试卷严格遵循网络安全分析师技能矩阵（NICE框架），知识点分布满足CISSP/CISP认证要求。实际使用时可按需调整数值参数以增加实战性（如具体渗透命令）。