网络与信息安全管理员(高级技师)资格理论考试题及答案.docxVIP

网络与信息安全管理员(高级技师)资格理论考试题及答案

一、单项选择题（每题2分，共20分）

1.以下哪项是零信任架构的核心原则？

A.基于边界的信任机制

B.最小权限访问控制

C.静态网络分段

D.依赖单一身份认证

答案：B

解析：零信任架构的核心是“永不信任，持续验证”，强调最小权限原则，通过动态评估访问请求的风险来授予权限，而非依赖传统边界信任。

2.APT（高级持续性威胁）攻击的主要特征是？

A.利用已知漏洞快速发起攻击

B.目标明确且长期持续渗透

C.通过钓鱼邮件传播勒索软件

D.以破坏网络可用性为主要目的

答案：B

解析：APT攻击具有定向性、隐蔽性和长期持续性，攻击者通常针对特定目标（如政府、企业）进行长期渗透，而非短期破坏。

3.数据脱敏技术中，将“身份证号44010619900101XXXX”处理为“440106XXXX”的方法属于？

A.替换（Substitution）

B.掩码（Masking）

C.泛化（Generalization）

D.匿名化（Anonymization）

答案：B

解析：掩码技术通过隐藏部分敏感数据（如身份证号中的出生年月）保留格式特征，属于数据脱敏的常见方法；替换是用固定值替代（如将姓名替换为“某先生”），泛化是将具体值抽象为范围（如将“25岁”改为“20-30岁”）。

4.以下哪种加密算法属于非对称加密？

A.AES-256

B.RSA

C.DES

D.SHA-256

答案：B

解析：RSA是典型的非对称加密算法，使用公钥加密、私钥解密；AES和DES是对称加密算法，SHA-256是哈希算法。

5.在等保2.0标准中，云计算安全扩展要求的“基础设施安全”不包括以下哪项？

A.云服务器漏洞扫描

B.虚拟网络隔离

C.云服务提供商资质审查

D.虚拟机逃逸防护

答案：C

解析：等保2.0云计算安全扩展要求的基础设施安全主要涉及云平台自身的技术防护（如漏洞扫描、虚拟网络隔离、虚拟机安全），而云服务商资质审查属于“安全管理”中的供方管理要求。

6.以下哪项是EDR（端点检测与响应）区别于传统杀毒软件（AV）的核心能力？

A.病毒特征库匹配

B.实时文件监控

C.攻击行为溯源与主动响应

D.系统漏洞修复

答案：C

解析：EDR通过端点日志采集、行为分析（如异常进程、内存操作）实现攻击溯源，并能主动隔离或终止恶意进程；传统AV依赖特征库，侧重已知威胁的查杀，缺乏对未知威胁的分析和响应能力。

7.物联网（IoT）设备的典型安全风险不包括？

A.固件漏洞未及时更新

B.设备默认弱密码

C.5G网络延迟过高

D.设备数据未加密传输

答案：C

解析：5G网络延迟属于性能问题，而非安全风险；IoT设备的安全风险主要集中在固件安全（漏洞）、身份认证（弱密码）、数据传输（未加密）等方面。

8.以下哪种访问控制模型最适用于需要动态调整权限的复杂组织环境？

A.自主访问控制（DAC）

B.强制访问控制（MAC）

C.基于角色的访问控制（RBAC）

D.基于属性的访问控制（ABAC）

答案：D

解析：ABAC通过用户属性（如部门、职位）、资源属性（如敏感度）和环境属性（如访问时间、位置）动态计算权限，适用于需灵活调整的复杂场景；RBAC基于固定角色分配权限，灵活性较低。

9.网络安全态势感知系统的核心功能是？

A.防火墙策略配置

B.全网流量采集与威胁关联分析

C.终端设备补丁管理

D.数据备份与恢复

答案：B

解析：态势感知通过采集网络流量、日志、威胁情报等多源数据，进行关联分析和可视化呈现，实现对整体安全风险的实时监测与预测。

10.以下哪项是防范DNS劫持的有效措施？

A.部署DNSSEC（域名系统安全扩展）

B.增大DNS缓存时间

C.关闭DNS递归查询

D.限制DNS服务器IP访问

答案：A

解析：DNSSEC通过数字签名验证DNS响应的真实性，防止攻击者篡改解析结果；其他选项无法解决劫持问题（如关闭递归查询会影响正常解析）。

二、判断题（每题1分，共10分）

1.防火墙可以完全阻止DDoS攻击。（）

答案：×

解析：防火墙主要用于访问控制，对DDoS攻击（流量洪泛）的防护能力有限，需结合流量清洗设备（如抗DDoS网关）或云清洗服务。

2.量子加密通信（如量子密钥分发）的安全性基于数学计算复杂度。（