网络与信息安全管理员(信息安全管理员)题库(含参考答案解析).docxVIP

网络与信息安全管理员(信息安全管理员)题库(含参考答案解析)

一、单项选择题（每题2分，共20分）

1.以下哪项是《网络安全法》中规定的网络运营者应履行的基本义务？

A.定期进行网络安全漏洞检测并留存记录

B.对用户信息进行加密存储但无需备份

C.仅在发生重大安全事件时向公安机关报告

D.可以向第三方提供用户个人信息无需用户同意

答案：A

解析：《网络安全法》第二十一条明确要求网络运营者应履行“制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；采取数据分类、重要数据备份和加密等措施”等义务。选项A符合“漏洞检测并留存记录”的要求；B错误，因需备份；C错误，需按规定及时报告；D错误，需用户同意。

2.以下哪种攻击方式属于应用层DDoS攻击？

A.SYNFlood

B.ICMPFlood

C.HTTPFlood

D.UDPFlood

答案：C

解析：DDoS攻击按协议层可分为网络层（如SYNFlood、ICMPFlood、UDPFlood）和应用层（如HTTPFlood、DNSQueryFlood）。应用层攻击通过模拟正常用户请求消耗服务器资源（如HTTP请求占用CPU、内存），而网络层攻击主要消耗带宽或网络设备资源。因此选C。

3.以下哪项是对称加密算法的典型代表？

A.RSA

B.ECC

C.AES

D.SHA-256

答案：C

解析：对称加密算法使用相同密钥加密和解密，常见的有DES、3DES、AES；非对称加密算法使用公钥和私钥（如RSA、ECC）；哈希算法（如SHA-256）用于生成数据摘要。因此选C。

4.某企业要求“员工仅能访问完成工作所需的最小权限资源”，这体现了信息安全的哪项原则？

A.最小权限原则

B.纵深防御原则

C.职责分离原则

D.最小特权原则

答案：A

解析：最小权限原则（PrincipleofLeastPrivilege）指主体仅获得完成任务所需的最小权限，降低误操作或恶意行为的影响范围；纵深防御强调多层防护；职责分离指关键操作由不同人员执行；最小特权与最小权限为同一概念的不同表述，但本题选项A更直接对应描述。

5.以下哪项不属于常见的身份认证方式？

A.动态令牌（OTP）

B.生物识别（指纹）

C.访问控制列表（ACL）

D.数字证书（PKI）

答案：C

解析：身份认证是验证用户身份的过程（如OTP、指纹、数字证书）；访问控制列表（ACL）是根据身份或属性控制资源访问权限的机制，属于授权而非认证。因此选C。

6.某系统日志显示“2023-10-0114:30:000POST/login.phpusername=adminpassword=123456”，该日志可能泄露了什么信息？

A.服务器IP地址

B.用户密码明文

C.访问时间

D.客户端操作系统

答案：B

解析：日志中直接记录了用户提交的密码“123456”，属于明文泄露，违反了“敏感信息不应明文记录”的安全要求。其他选项（服务器IP、时间）为正常日志内容，客户端OS未显示。

7.以下哪种漏洞扫描工具主要用于检测Web应用程序的安全漏洞？

A.Nessus

B.OpenVAS

C.AWVS（AcunetixWebVulnerabilityScanner）

D.Nmap

答案：C

解析：Nessus和OpenVAS是通用漏洞扫描工具（覆盖网络设备、主机）；Nmap是网络扫描工具（探测主机、端口）；AWVS专注于Web应用漏洞检测（如SQL注入、XSS、CSRF）。因此选C。

8.根据《个人信息保护法》，处理个人信息的最小必要原则是指？

A.仅收集实现处理目的所必需的最少个人信息

B.收集的个人信息越多越好，以覆盖所有可能场景

C.个人信息处理无需明确目的

D.可以超范围处理个人信息

答案：A

解析：《个人信息保护法》第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围，不得过度收集。因此选A。

9.以下哪项是零信任架构（ZeroTrust）的核心思想？

A.信任内部网络，仅防御外部攻击

B.所有访问请求默认