网络与信息安全管理员—网络安全管理员高级工考试题与参考答案.docxVIP

网络与信息安全管理员—网络安全管理员高级工考试题与参考答案

一、单项选择题（每题2分，共20分）

1.以下哪种访问控制模型通过“最小权限原则”动态分配权限，适用于高安全等级的网络环境？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

2.某企业核心数据库采用AES-256加密，攻击者通过分析密文与明文的统计特征试图破解密钥，这种攻击方式属于？

A.暴力破解

B.侧信道攻击

C.差分密码分析

D.重放攻击

3.以下关于零信任架构（ZeroTrust）的描述中，错误的是？

A.默认不信任网络内外部任何设备和用户

B.所有访问需经过持续验证

C.核心是“网络边界安全”

D.需结合身份认证、设备状态检查等多维度策略

4.某公司网络中部署了入侵检测系统（IDS），当检测到异常流量时，系统仅记录日志而不采取阻断操作，这种IDS属于？

A.基于特征的IDS

B.基于行为的IDS

C.主动式IDS

D.被动式IDS

5.在IPv6网络中，以下哪项技术可有效防止ICMPv6泛洪攻击？

A.路由过滤

B.源地址验证

C.速率限制（RateLimiting）

D.隧道封装

6.数据脱敏技术中，将“身份证号44010119900101XXXX”处理为“440101XXXX”的方法属于？

A.替换

B.截断

C.掩码

D.加密

7.某企业使用SIEM（安全信息与事件管理系统）进行日志分析，以下哪类日志最可能用于检测横向移动攻击？

A.防火墙访问日志

B.终端设备登录日志

C.数据库操作日志

D.邮件网关传输日志

8.以下哪种协议是工业控制系统（ICS）中常用的通信协议，且存在默认弱口令风险？

A.Modbus

B.HTTPS

C.SMTP

D.BGP

9.为防范DNS劫持攻击，最有效的技术措施是？

A.部署DNSSEC（域名系统安全扩展）

B.启用DNS递归查询

C.增大DNS缓存时间

D.限制DNS服务器IP范围

10.某组织需对员工终端进行安全基线检查，以下哪项不属于基线检查的核心内容？

A.操作系统补丁安装状态

B.防病毒软件实时监控是否启用

C.员工终端硬件配置（如内存大小）

D.账户密码复杂度策略是否生效

二、判断题（每题1分，共10分。正确填“√”，错误填“×”）

1.数字签名的核心作用是保证数据的完整性和不可否认性。（）

2.漏洞扫描工具（如Nessus）可以直接修复系统漏洞。（）

3.在WLAN安全中，WPA3相比WPA2增强了对暴力破解的防护，支持SAE（安全平等认证）。（）

4.云环境下，“数据主权”问题主要涉及数据存储位置和访问权限的控制。（）

5.网络钓鱼攻击的主要目标是窃取用户隐私信息，不会导致系统被植入恶意代码。（）

6.端口扫描属于主动攻击，会触发IDS的警报。（）

7.区块链技术的“不可篡改性”依赖于哈希算法和共识机制。（）

8.工业控制网络（如SCADA）通常采用冗余设计，因此无需部署防火墙。（）

9.数据备份时，“异地容灾”的核心目的是防范物理设备损坏导致的数据丢失。（）

10.零信任架构要求所有流量必须经过集中式网关进行验证，因此会显著增加网络延迟。（）

三、简答题（每题8分，共40分）

1.简述动态访问控制（DynamicAccessControl）的实现原理及其在企业网络中的应用场景。

2.请列举APT（高级持续性威胁）攻击的典型特征，并说明防御APT攻击的关键措施。

3.某企业计划将核心业务系统迁移至公有云，需重点考虑哪些云安全风险？应采取哪些针对性防护措施？

4.说明SSL/TLS协议的握手过程，并指出TLS1.3相比TLS1.2的主要改进。

5.网络安全应急响应的“PDCERF”模型包括哪几个阶段？每个阶段的核心任务是什么？

四、综合分析题（每题15分，共30分）

1.某制造企业生产网（与办公网物理隔离）近期频繁出现PLC（可编程逻辑控制器）异常停机现象，经初步排查发现：

-PLC日志显示“非法指令写入”；

-生产网内部分终端感染了未知恶意软件；

-工业交换机流量分析显示存在异常UDP广播包。

请分析可能的攻击路径，并设计详细的应急处置流程及长期