网络与信息安全管理员习题+答案(附解析).docxVIP

网络与信息安全管理员习题+答案(附解析)

一、单项选择题（每题2分，共20分）

1.以下哪种攻击方式主要利用操作系统或应用程序的漏洞，通过发送特殊构造的数据包使目标系统崩溃或执行恶意代码？

A.拒绝服务攻击（DoS）

B.缓冲区溢出攻击

C.钓鱼攻击

D.ARP欺骗

答案：B

解析：缓冲区溢出攻击的核心是向程序的缓冲区写入超出其容量的数据，覆盖相邻内存空间，从而篡改程序执行流程或注入恶意代码。DoS攻击主要通过耗尽资源使服务不可用；钓鱼攻击依赖社会工程学诱骗用户；ARP欺骗通过伪造ARP报文干扰网络通信。

2.以下哪项是WPA3协议相比WPA2的主要改进？

A.支持WEP加密

B.引入SAE（安全认证交换）协议

C.仅支持PSK（预共享密钥）模式

D.降低加密算法强度

答案：B

解析：WPA3通过SAE（安全认证交换）协议替代了WPA2的PSK认证方式，解决了离线字典攻击问题。SAE采用密码验证的密钥交换（PAKE）机制，即使攻击者捕获握手包也无法通过暴力破解获取密钥。WEP是已淘汰的旧协议；WPA3同时支持SAE和企业级EAP认证；其加密算法（如AES-CCMP）强度高于WPA2。

3.某企业数据库存储用户身份证号、手机号等敏感信息，最适合采用的加密方式是？

A.链路加密（传输层加密）

B.端到端加密（应用层加密）

C.数据库字段级加密

D.磁盘加密（存储层加密）

答案：C

解析：敏感信息（如身份证号）需在存储时进行细粒度保护，字段级加密可针对特定字段（如“身份证号”列）单独加密，避免因整体加密导致的性能问题或密钥管理复杂。链路加密保护传输过程；端到端加密保护应用间通信；磁盘加密保护整个存储介质，但无法实现字段级控制。

4.以下哪项属于访问控制中的“最小权限原则”实践？

A.为所有员工分配管理员权限

B.仅为财务人员开放财务系统访问权限

C.允许普通用户修改系统时间

D.为临时访客分配长期有效账号

答案：B

解析：最小权限原则要求用户仅获得完成任务所需的最低权限。财务人员因工作需要访问财务系统，符合该原则；其他选项均违反原则（如管理员权限过度、普通用户权限过高、临时账号权限未限制）。

5.某企业部署了入侵检测系统（IDS），发现某IP地址频繁向内部服务器80端口发送“SELECTFROMusers”等SQL语句，最可能的攻击类型是？

A.跨站脚本（XSS）

B.SQL注入

C.远程代码执行（RCE）

D.端口扫描

答案：B

解析：攻击者通过向Web应用输入恶意SQL语句（如“SELECTFROMusers”），试图绕过应用层验证直接操作数据库，属于典型的SQL注入攻击。XSS利用用户输入执行客户端脚本；RCE可远程执行系统命令；端口扫描是探测开放端口的行为。

6.以下哪种哈希算法已被证明存在碰撞漏洞，不建议用于安全场景？

A.SHA-256

B.MD5

C.SHA-3

D.AES

答案：B

解析：MD5算法因碰撞抗性不足（可构造两个不同输入生成相同哈希值），已被RFC6151等标准明确建议不再用于安全场景。SHA-256和SHA-3目前仍被认为安全；AES是加密算法，非哈希算法。

7.某公司网络中，员工访问内部OA系统需通过用户名密码+短信验证码双重认证，这属于以下哪类安全控制措施？

A.物理安全控制

B.技术安全控制

C.管理安全控制

D.操作安全控制

答案：B

解析：双重认证（多因素认证）是通过技术手段（如密码+动态验证码）增强身份验证的安全性，属于技术安全控制。物理安全控制涉及设备物理防护；管理安全控制包括制度、流程；操作安全控制关注日常运维规范。

8.以下哪项是漏洞扫描工具的核心功能？

A.监控网络流量中的异常行为

B.模拟攻击者对系统进行渗透测试

C.检测系统中存在的已知安全漏洞

D.加密传输中的敏感数据

答案：C

解析：漏洞扫描工具通过比对漏洞库（如CVE），检测目标系统（主机、应用、网络设备等）存在的已知漏洞（如未打补丁的系统漏洞、配置错误）。监控异常行为是IDS/IPS的功能；渗透测试需人工或自动化工具模拟攻击；加密数据是加密技术的功能。

9.在网络安全等级保护2.0中，“安全通信网络”要求不包括以下哪项？

A.网络设备支持访问控制列表（ACL）

B.重要通信链路实现冗余备份

C.对通信过程中的重要数据进行完整性校验

D.对用户终端进行防病毒软件安装检查

答案：