网络与信息安全管理员练习题及答案.docxVIP

网络与信息安全管理员练习题及答案

一、单项选择题（每题2分，共20分）

1.以下哪项属于强制访问控制（MAC）的典型特征？

A.用户可以自主设置文件访问权限

B.系统根据主体和客体的安全标签决定访问权限

C.基于用户角色分配权限

D.通过访问控制列表（ACL）管理权限

答案：B

解析：强制访问控制由系统强制实施，通过安全标签（如密级）决定主体对客体的访问，用户无法自主修改权限；A为自主访问控制（DAC）特征，C为基于角色的访问控制（RBAC）特征，D为ACL的实现方式。

2.以下哪种加密算法属于非对称加密？

A.AES-256

B.RSA

C.DES

D.3DES

答案：B

解析：RSA使用公钥和私钥进行加密和解密，属于非对称加密；AES、DES、3DES均为对称加密算法，加密和解密使用同一密钥。

3.某网站用户登录页面存在安全隐患，攻击者通过构造特殊输入使系统执行非预期SQL语句，这种攻击属于？

A.XSS（跨站脚本攻击）

B.CSRF（跨站请求伪造）

C.SQL注入攻击

D.DDoS攻击

答案：C

解析：SQL注入攻击通过向数据库提交恶意SQL代码实现数据窃取或破坏；XSS利用用户浏览器执行恶意脚本，CSRF诱导用户执行非自愿操作，DDoS通过流量洪泛攻击服务可用性。

4.以下哪项是防火墙的核心功能？

A.查杀病毒

B.过滤网络流量

C.加密传输数据

D.监控员工上网行为

答案：B

解析：防火墙的核心是根据安全策略过滤入站/出站流量；查杀病毒是杀毒软件功能，加密传输需VPN或TLS，监控上网行为属于上网行为管理设备功能。

5.以下哪种漏洞属于操作系统层面的高危漏洞？

A.网页表单未做输入长度限制

B.数据库默认账户未修改密码

C.服务器SSH服务存在CVE-2023-25136远程代码执行漏洞

D.应用程序未对用户输入进行HTML转义

答案：C

解析：SSH服务的远程代码执行漏洞直接威胁服务器操作系统安全；A、D属于应用层漏洞，B属于配置缺陷。

6.数据脱敏技术的主要目的是？

A.防止数据被未授权访问

B.保护数据隐私，使敏感信息不可识别

C.提高数据存储效率

D.增强数据传输加密强度

答案：B

解析：数据脱敏通过替换、变形等方式将敏感信息（如身份证号、手机号）转换为无意义数据，防止隐私泄露；A是访问控制的目的，C是数据压缩的目的，D是加密技术的目的。

7.以下哪项符合“最小权限原则”的实践要求？

A.为普通员工分配服务器管理员权限

B.数据库账号仅具备查询权限，无删除权限

C.所有用户使用同一共享账号登录系统

D.网络设备默认开启所有服务端口

答案：B

解析：最小权限原则要求用户仅获得完成任务所需的最小权限；A违反权限最小化，C增加账号泄露风险，D未关闭不必要端口易受攻击。

8.某企业发现办公电脑感染勒索病毒，优先采取的应急措施是？

A.立即断网隔离infected主机

B.尝试用杀毒软件全盘扫描

C.支付赎金获取解密密钥

D.备份重要文件后格式化系统

答案：A

解析：勒索病毒可通过网络传播，断网隔离是防止扩散的首要措施；B可能因病毒正在运行导致扫描失败，C不建议且无法律保障，D需在隔离后执行。

9.以下哪种协议用于安全的远程终端登录？

A.FTP

B.Telnet

C.SSH

D.HTTP

答案：C

解析：SSH（安全外壳协议）通过加密传输数据，防止信息泄露；FTP、Telnet、HTTP均为明文传输协议。

10.以下哪项属于APT（高级持续性威胁）攻击的典型特征？

A.随机选择目标进行短时间攻击

B.使用0day漏洞长期潜伏渗透

C.通过大规模DDoS攻击瘫痪系统

D.利用社交工程发送普通钓鱼邮件

答案：B

解析：APT攻击具有针对性强、潜伏期长、使用高级漏洞（如0day）等特点；A是普通攻击特征，C是DDoS特征，D是常规钓鱼攻击特征。

二、判断题（每题1分，共10分。正确打√，错误打×）

1.网络安全等级保护要求中，第三级信息系统需每年至少开展一次等级测评。（）

答案：√

解析：根据《网络安全等级保护条例》，三级系统需每年测评一次，四级系统每半年一次，二级系统每两年一次。

2.默认情况下，WindowsServer的Administrator账户可以直接删除。（）

答案：×

解析：Administrator账户是系统内置账户，无法直接删除，但可以禁用或重命名。

3.日志审计的核心目的是记录用户操作，用于事