网络信息安全管理员试题库及答案(附解析).docxVIP

网络信息安全管理员试题库及答案(附解析)

一、单项选择题（每题2分，共20题）

1.以下关于零信任模型的描述中，错误的是（）

A.默认不信任网络内外的任何用户、设备和系统

B.持续验证访问请求的身份、设备状态及环境安全

C.仅对外部网络流量实施严格的访问控制

D.基于最小权限原则分配资源访问权限

答案：C

解析：零信任模型的核心是“永不信任，始终验证”，要求对所有访问请求（包括内部和外部）进行动态验证，而非仅针对外部流量。选项C错误，因其限定了“仅外部”，不符合零信任的全场景覆盖原则。

2.高级持续性威胁（APT）的主要特征不包括（）

A.攻击目标具有明确针对性

B.利用0day漏洞实施攻击

C.短期集中式攻击

D.长期潜伏并持续渗透

答案：C

解析：APT攻击通常具有长期持续性（数月甚至数年）、高度针对性和使用高级技术（如0day漏洞）的特点。短期集中式攻击属于传统攻击模式，而非APT特征，故C错误。

3.以下加密算法中，属于非对称加密的是（）

A.AES-256

B.SHA-256

C.RSA

D.DES

答案：C

解析：非对称加密使用公钥和私钥成对加密，RSA是典型代表。AES、DES为对称加密算法，SHA-256是哈希算法，因此选C。

4.某企业要求“不同部门员工仅能访问本部门业务系统”，这体现了哪种访问控制策略？（）

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

答案：C

解析：RBAC通过为用户分配角色（如部门角色）来控制资源访问，符合“部门员工访问本部门系统”的场景。DAC由资源所有者授权，MAC由系统强制分级，ABAC基于多属性（如时间、位置），故C正确。

5.根据《网络安全法》及相关规范，重要信息系统的日志至少应保留（）

A.30天

B.6个月

C.1年

D.3年

答案：B

解析：《网络安全法》第二十一条规定，网络运营者应留存相关日志不少于六个月。重要信息系统通常需满足更高要求，但基础要求为6个月，因此选B。

6.以下漏洞扫描类型中，用于检测未授权访问风险的是（）

A.主机扫描

B.端口扫描

C.弱口令扫描

D.补丁扫描

答案：C

解析：弱口令扫描通过尝试常见密码组合，检测账户是否存在弱口令（如“123456”），直接关联未授权访问风险。主机扫描侧重系统配置，端口扫描检测开放服务，补丁扫描检查漏洞修复情况，故C正确。

7.防火墙规则的默认处理顺序是（）

A.先拒绝后允许

B.先允许后拒绝

C.按规则从上到下依次匹配

D.随机匹配

答案：C

解析：防火墙规则通常按配置顺序从上到下逐条匹配，一旦匹配到某条规则则执行相应动作（允许/拒绝），不再继续检查后续规则。因此正确答案为C。

8.以下恶意软件中，通过移动存储设备自动传播的是（）

A.勒索软件

B.蠕虫

C.木马

D.间谍软件

答案：B

解析：蠕虫（Worm）具备自主传播能力，可通过U盘自动运行（如利用Autorun.inf）、网络共享等方式扩散。勒索软件依赖用户点击，木马需诱骗安装，间谍软件多通过钓鱼邮件传播，故B正确。

9.数字签名的主要作用是（）

A.加密数据内容

B.验证数据完整性和发送方身份

C.防止数据被截获

D.提高传输速度

答案：B

解析：数字签名通过私钥加密摘要，接收方用公钥解密验证，可确认数据未被篡改（完整性）且发送方身份真实（不可抵赖）。加密由对称算法完成，防截获需传输层加密，故B正确。

10.防御DNS劫持的有效措施是（）

A.启用DNSSEC

B.关闭ICMP协议

C.限制TCP端口

D.定期更换管理员密码

答案：A

解析：DNSSEC（域名系统安全扩展）通过数字签名验证DNS响应的真实性，防止伪造的DNS记录（劫持）。关闭ICMP影响网络诊断，限制TCP端口与DNS无关，更换密码防账号攻击，故A正确。

二、判断题（每题1分，共10题）

1.防火墙可以完全阻止所有网络攻击。（）

答案：×

解析：防火墙基于已知规则过滤流量，无法检测未知攻击（如0day漏洞利用）或应用层深度攻击（如SQL注入），需结合入侵检测系统（IDS）、Web应用防火墙（WAF）等技术。

2.WPA3协议支持WEP加密方式。（）

答案：×

解析：WPA3是WPA2的替代协议，强制使用更安全的SAE（安全自动