2025年网络安全从业资格考试试题及答案.docxVIP

2025年网络安全从业资格考试试题及答案

一、单项选择题（每题2分，共40分）

1.以下哪种攻击方式利用了操作系统或应用程序在处理输入数据时未正确验证边界的漏洞？

A.DDoS攻击

B.SQL注入攻击

C.缓冲区溢出攻击

D.跨站脚本攻击（XSS）

答案：C

2.零信任架构的核心原则是？

A.网络边界内所有设备默认可信

B.持续验证访问请求的身份、设备状态及环境安全

C.仅允许已知白名单IP访问关键系统

D.通过单一认证中心完成所有权限分配

答案：B

3.某企业数据库存储用户身份证号时，采用“前6位++后4位”的方式显示，这种技术属于？

A.数据加密

B.数据脱敏

C.数据备份

D.数据去重

答案：B

4.以下哪个协议用于安全地传输电子邮件？

A.SMTP

B.POP3

C.IMAP

D.SMTPS

答案：D

5.依据《中华人民共和国数据安全法》，关键信息基础设施运营者在数据出境时，应当通过？

A.数据安全影响评估

B.第三方机构安全检测

C.行业主管部门备案

D.公安机关审批

答案：A

6.以下哪种加密算法属于非对称加密？

A.AES-256

B.DES

C.RSA

D.SHA-256

答案：C

7.某Web应用出现用户登录后会话被劫持的情况，最可能的漏洞是？

A.会话ID未使用HTTPS传输

B.密码哈希存储时未加盐

C.输入验证未过滤特殊字符

D.文件上传未限制类型

答案：A

8.工业控制系统（ICS）中，用于检测异常操作指令的安全设备是？

A.防火墙

B.入侵检测系统（IDS）

C.数据脱敏系统

D.漏洞扫描器

答案：B

9.以下哪项是物联网（IoT）设备特有的安全风险？

A.弱密码默认配置

B.固件更新不及时

C.资源受限导致无法部署复杂安全策略

D.以上都是

答案：D

10.渗透测试中，“信息收集”阶段的主要目标是？

A.获得系统最高权限

B.分析目标网络拓扑及潜在漏洞

C.植入后门维持访问

D.破坏目标系统可用性

答案：B

11.依据《个人信息保护法》，处理敏感个人信息时，除取得个人同意外，还应当？

A.向个人告知处理的必要性及对个人权益的影响

B.通过匿名化处理

C.经个人信息保护负责人书面批准

D.委托第三方机构进行安全评估

答案：A

12.以下哪种日志类型对追踪网络攻击路径最关键？

A.系统登录日志

B.应用程序错误日志

C.网络流量日志

D.数据库查询日志

答案：C

13.云环境下，“租户隔离”的主要目的是？

A.提高云服务器计算效率

B.防止不同租户的数据泄露或越界访问

C.简化云平台管理流程

D.降低云服务成本

答案：B

14.以下哪个工具常用于漏洞扫描？

A.Wireshark

B.Nmap

C.Metasploit

D.Nessus

答案：D

15.某企业发现员工通过私人U盘拷贝公司机密文件，应优先部署的安全措施是？

A.部署终端安全管理系统（EDR）限制移动存储设备使用

B.加强员工安全意识培训

C.加密公司内部文件

D.监控员工电脑屏幕

答案：A

16.以下哪种攻击属于高级持续性威胁（APT）？

A.随机发送的钓鱼邮件

B.针对某能源企业持续6个月的定向渗透

C.利用已知漏洞的蠕虫病毒扩散

D.对网站的DDoS攻击

答案：B

17.哈希函数的主要特性不包括？

A.输入任意长度，输出固定长度

B.正向计算容易，逆向推导困难

C.相同输入产生相同输出

D.输出结果可还原原始输入

答案：D

18.物联网设备的固件安全防护措施不包括？

A.固件签名验证

B.定期推送安全补丁

C.开放调试接口便于维护

D.限制固件修改权限

答案：C

19.以下哪项是Web应用防火墙（WAF）的主要功能？

A.防止内部员工数据泄露

B.过滤SQL注入、XSS等恶意请求

C.加密传输中的数据

D.监控服务器CPU使用率

答案：B

20.依据《网络安全等级保护条例》，第三级信息系统的安全保护应当每年至少进行？

A.1次安全测评

B.2次安全测评

C.3次安全测评

D