2025年9月网络信息安全工程师测试题(附答案).docxVIP

2025年9月网络信息安全工程师测试题(附答案)

一、单项选择题（每题2分，共30分）

1.针对2025年新型AI生成恶意软件（AIGCMalware）的防御，以下哪项技术最关键？

A.基于特征库的传统杀毒引擎

B.基于行为分析的沙箱检测

C.对抗生成网络（GAN）训练的检测模型

D.端口流量阈值监控

答案：C

解析：AIGC恶意软件具备动态变种能力，传统特征库和行为沙箱难以覆盖其快速迭代的特性。通过对抗生成网络训练检测模型，可提升对未知变种的识别能力。

2.某金融机构部署量子密钥分发（QKD）系统，其核心目的是解决以下哪类安全问题？

A.抵御量子计算对RSA加密的破解

B.防止DDoS攻击导致的服务中断

C.阻断钓鱼邮件的钓鱼链接传播

D.修复操作系统内核漏洞

答案：A

解析：量子计算对传统公钥加密（如RSA、ECC）构成威胁，QKD通过量子物理特性实现无条件安全的密钥分发，可抵御量子计算的破解。

3.零信任架构（ZeroTrustArchitecture）的核心原则是？

A.网络边界内的设备默认可信

B.持续验证访问请求的身份、设备、环境安全状态

C.仅允许白名单内的IP地址访问关键系统

D.通过防火墙划分安全区域，区域间严格隔离

答案：B

解析：零信任的核心是“从不信任，始终验证”，要求对每个访问请求的身份、设备健康状态、网络环境等进行动态验证，而非依赖静态边界。

4.根据2025年修订的《数据安全法实施条例》，境内关键信息基础设施运营者（CIIO）向境外提供“重要数据”时，必须通过以下哪项程序？

A.自行开展数据安全影响评估（DSIA）并备案

B.经国家网信部门组织的安全评估

C.与境外接收方签订标准合同并报省级网信部门备案

D.通过行业协会的合规性审查

答案：B

解析：修订后的条例明确，CIIO向境外提供重要数据需经国家网信部门组织的安全评估；非CIIO可通过标准合同或自行评估备案。

5.某企业云环境中发现容器镜像被篡改，攻击者通过植入恶意代码获取容器权限。最可能的攻击路径是？

A.利用KubernetesAPIServer未授权访问漏洞

B.容器镜像仓库（如Harbor）未启用镜像签名验证

C.节点主机SSH弱口令被爆破

D.服务网格（ServiceMesh）的mTLS配置错误

答案：B

解析：容器镜像篡改通常发生在镜像构建或分发阶段，若镜像仓库未启用签名验证（如使用Cosign或Notary），攻击者可替换镜像并注入恶意代码，后续部署时触发攻击。

6.2025年爆发的“漏洞挖掘自动化”趋势中，以下哪项技术最可能被攻击者用于快速发现0day漏洞？

A.模糊测试（Fuzzing）结合大语言模型（LLM）优化用例生成

B.静态代码分析（SCA）扫描已知漏洞模式

C.网络流量抓包分析协议异常

D.社会工程学诱导内部人员泄露系统信息

答案：A

解析：LLM可通过学习代码逻辑生成高覆盖率的测试用例，结合模糊测试能显著提升0day挖掘效率；静态分析依赖已知漏洞模式，无法发现未知漏洞。

7.某工业控制系统（ICS）因使用老旧协议（如ModbusRTU），面临中间人攻击风险。最有效的防护措施是？

A.部署工业防火墙过滤非Modbus流量

B.对Modbus通信数据进行加密并启用消息认证码（MAC）

C.定期更新工业主机的操作系统补丁

D.限制操作站的USB接口使用

答案：B

解析：ModbusRTU本身不具备加密和认证机制，中间人攻击可篡改指令或伪造数据。通过加密（如AES）和MAC验证，可确保通信的机密性和完整性。

8.针对生成式AI（如GPT-5）被用于伪造高可信度钓鱼邮件的场景，防御方案的关键是？

A.部署基于规则的垃圾邮件过滤系统

B.训练AI模型识别文本中的“非人类写作特征”

C.强制所有外部邮件通过DMARC验证

D.限制员工使用个人邮箱接收工作邮件

答案：B

解析：生成式AI伪造的邮件在语法、逻辑上接近人类，传统规则或DMARC验证（防域名伪造）无法识别内容伪造。通过训练AI模型分析文本的深层特征（如语义连贯性、情感倾向异常），可提升检测准确率。

9.某企业实施软件供应链安全管理，以下哪项措施不符合SLSA（供应链级别安全保证）3级要求？

A.所有代码提交需通过双因素认证（2FA）

B.构建过程在受信任的专用环境中执行

C.仅允许GitHubMarketplace的第三方插件