网络安全工程师高级认证考试重点难点解析.docxVIP

第PAGE页共NUMPAGES页

网络安全工程师高级认证考试重点难点解析

一、单选题（共5题，每题2分）

1.题目：在SSL/TLS协议中，用于验证服务器身份并确保通信双方信息加密的密钥交换机制是？

A.RSA非对称加密

B.Diffie-Hellman密钥交换

C.AES对称加密

D.SHA-256哈希算法

2.题目：针对WindowsServer2019系统，以下哪项安全配置可以有效降低勒索病毒攻击风险？

A.禁用系统自动更新

B.限制管理员账户登录时间

C.移除所有物理硬盘的写保护功能

D.禁用本地管理员密码策略

3.题目：在网络安全审计中，哪种日志分析技术能够通过关联不同系统日志来发现潜在攻击行为？

A.机器学习分析

B.基于规则的检测

C.人工抽样审计

D.基于行为的分析

4.题目：针对金融行业的PCIDSS合规要求，以下哪项操作不符合数据加密传输的规范？

A.使用TLS1.2以上协议传输支付数据

B.在数据库中明文存储信用卡CVV码

C.对传输中的敏感数据进行256位AES加密

D.通过VPN隧道传输交易数据

5.题目：在渗透测试中，用于模拟攻击者通过弱口令破解Web应用管理员账户的技术是？

A.SQL注入

B.暴力破解

C.网络钓鱼

D.社会工程学

二、多选题（共4题，每题3分）

1.题目：以下哪些技术可用于防御DDoS攻击？

A.BGP路由优化

B.流量清洗服务

C.SYN洪泛攻击

D.云防火墙策略

2.题目：在等保2.0框架下，网络安全等级保护测评中需重点关注的测评项包括？

A.访问控制策略

B.数据备份恢复机制

C.物理环境安全

D.员工安全意识培训记录

3.题目：针对云环境安全，以下哪些措施属于零信任架构的核心实践？

A.基于角色的访问控制（RBAC）

B.常规密码管理

C.持续身份验证

D.虚拟专用网络（VPN）接入

4.题目：在物联网安全防护中，以下哪些威胁属于常见攻击类型？

A.中间人攻击

B.设备固件漏洞

C.远程命令注入

D.基于物理接触的篡改

三、判断题（共5题，每题2分）

1.题目：在网络安全事件应急响应中，遏制阶段的首要任务是立即隔离受感染系统，防止攻击扩散。——正确/错误

2.题目：PKI证书中的CA证书用于证明中间CA机构的身份，而根CA证书则用于验证服务器的可信度。——正确/错误

3.题目：在防火墙策略配置中，状态检测模式比无状态检测模式能够提供更强的安全防护。——正确/错误

4.题目：针对Linux系统，使用`sudosu-`命令可以直接获得root权限，因此不需要额外配置sudo策略。——正确/错误

5.题目：在网络安全法中，关键信息基础设施运营者必须自行承担全部网络安全责任，不得委托第三方机构提供服务。——正确/错误

四、简答题（共3题，每题5分）

1.题目：简述网络分段（NetworkSegmentation）在网络安全防护中的主要作用。

2.题目：列举三种常见的Web应用漏洞类型，并说明如何防范其中之一。

3.题目：在等保2.0中，等级保护测评的流程通常包括哪些阶段？

五、综合题（共2题，每题10分）

1.题目：某金融机构的系统遭受SQL注入攻击，导致数据库敏感数据泄露。请设计一个应急响应方案，包括攻击溯源、系统修复和预防措施。

2.题目：某企业计划将核心业务迁移至阿里云，但需满足等保三级合规要求。请列出云环境下的安全配置要点，并说明如何实现多租户隔离。

答案与解析

一、单选题答案与解析

1.答案：A

解析：RSA非对称加密在SSL/TLS中用于服务器身份验证和密钥交换，确保通信安全。Diffie-Hellman主要用于密钥协商，AES是对称加密，SHA-256是哈希算法。

2.答案：B

解析：限制管理员登录时间可减少未授权操作风险；禁用自动更新（A）易导致漏洞暴露；移除写保护（C）增加感染概率；禁用密码策略（D）弱化安全控制。

3.答案：B

解析：基于规则的检测通过预设规则关联日志（如登录失败+异常数据访问），人工审计（C）效率低，机器学习（A）和基于行为分析（D）更偏向主动防御。

4.答案：B

解析：PCIDSS要求敏感数据（如CVV）必须加密存储，明文存储违反合规；其他选项均符合加密传输要求。

5.答案：B

解析：暴力破解通过尝试密码组合破解口令；SQL注入针对数据库，社会工程学通过心理诱导（C），网络钓鱼（D）通过欺骗性链接。

二、多选题答案与解析

1.答案：A、B、D

解析：BGP优化（A）可绕过攻击源，流量清洗（B）过滤恶意流量，VPN（D）隔离内部网络；SYN洪泛（C）是攻击手段。

2.答案：A、B