2025年网络安全防护技术实战演练培训试卷及答案.docxVIP

2025年网络安全防护技术实战演练培训试卷及答案

一、单项选择题（每题2分，共20分）

1.某企业网络中发现异常流量，经分析为针对SQLServer的TDS协议攻击，攻击者通过构造畸形TDS包尝试执行远程代码。以下哪种防护措施最有效？

A.启用防火墙端口过滤（仅开放80/443）

B.部署数据库审计系统并启用TDS协议深度检测

C.升级操作系统至最新补丁

D.限制数据库管理员账号权限

答案：B

解析：TDS（TabularDataStream）是SQLServer的专有协议，针对其畸形包的攻击需通过协议深度检测（如WAF或数据库审计系统的协议解析功能）进行防护，仅端口过滤无法识别协议层异常。

2.2025年新型APT攻击中，攻击者利用AI生成与目标员工高度相似的钓鱼邮件，邮件正文包含未公开的项目细节以提升可信度。以下防御措施中，最关键的是？

A.部署基于规则的垃圾邮件过滤系统

B.对员工开展“邮件中敏感信息核实流程”培训

C.启用DMARC/DKIM/SPF邮件验证

D.部署AI驱动的邮件内容行为分析系统

答案：D

解析：传统规则过滤和协议验证（C）无法识别AI生成的“高仿真”内容，员工培训（B）存在人为疏漏风险，AI驱动的行为分析（如检测“非历史行为模式的敏感信息提及”）是应对此类攻击的核心。

3.某工业控制系统（ICS）中，工程师站与PLC通过ModbusTCP协议通信。为防止攻击者伪造Modbus指令篡改设备参数，应优先实施的措施是？

A.在工程师站安装杀毒软件

B.为Modbus流量启用AES256加密

C.部署工业防火墙并配置Modbus指令白名单

D.限制工程师站仅允许固定IP访问

答案：C

解析：ModbusTCP默认不加密，直接加密（B）需设备支持且可能影响实时性；工业防火墙的指令白名单（如仅允许“读取寄存器”“写入特定范围参数”）可直接阻断非法指令，是ICS场景下更务实的防护手段。

4.某云服务提供商检测到用户A的OSS存储桶被未授权访问，日志显示攻击者使用了用户B的临时访问凭证（STSToken）。可能的漏洞是？

A.用户B的长期AccessKey泄露

B.云平台未启用多因素认证（MFA）

C.用户A的存储桶策略错误配置了“允许所有用户读取”

D.用户B的STSToken未设置“源IP限制”和“过期时间”

答案：D

解析：STSToken为临时凭证，若未限制源IP或设置合理过期时间（如默认1小时），攻击者获取后可直接使用；存储桶策略（C）若为“所有用户”则日志会显示匿名访问，与题干中“用户B凭证”不符。

5.以下关于零信任架构（ZTA）实施的描述，错误的是？

A.所有访问需经过身份验证，无论内外网

B.设备需满足健康状态检查（如安装最新补丁）

C.仅对外部用户实施细粒度权限控制，内部用户默认信任

D.基于用户角色、设备状态、访问时间动态调整权限

答案：C

解析：零信任的核心是“从不信任，始终验证”，内部用户与外部用户均需经过验证和授权，不存在“默认信任”。

6.某企业终端检测到异常进程“svchost.exe”CPU占用率90%，且连接至境外IP。经分析，该进程为恶意软件伪装。最有效的排查工具是？

A.任务管理器（TaskManager）

B.进程树分析工具（如ProcessExplorer）

C.杀毒软件快速扫描

D.系统日志查看器（EventViewer）

答案：B

解析：恶意软件常通过伪装成系统进程（如svchost.exe）隐藏，ProcessExplorer可查看进程父进程、加载的DLL文件及网络连接详情，比任务管理器更细致；杀毒软件可能因样本未更新而漏报（C）。

7.针对物联网（IoT）设备的“僵尸网络”攻击（如Mirai变种），关键防护点是？

A.为IoT设备设置复杂密码

B.断开IoT设备与互联网的直接连接

C.定期更新IoT设备固件

D.在网关部署DDoS流量清洗设备

答案：A

解析：Mirai等僵尸网络主要通过弱密码（如默认密码“admin/admin”）暴力破解控制IoT设备，设置复杂密码是阻断攻击的首要措施；固件更新（C）需设备支持，实际中很多IoT设备不提供更新。

8.某企业使用WPA3协议的WiFi网络，员工报告连接后无法访问内部系统。可能的故障原因是？

A.AP（无线接入点）未启用WPA3的SAE（安全自动配置）模式

B.员工设备仅支持WPA2协议

C.无线信道被2.