网络安全工程师备考手册核心知识点梳理与模拟题解答.docxVIP

第PAGE页共NUMPAGES页

网络安全工程师备考手册核心知识点梳理与模拟题解答

一、选择题（共5题，每题2分）

1.某公司采用SSL/TLS协议保护Web服务器与客户端之间的通信，以下哪种情况下会触发SSL握手阶段的重置连接（Rehandshake）？

A.客户端与服务器证书过期

B.服务器端密钥库被篡改

C.应用层协议从HTTP切换到HTTPS

D.双方协商的加密算法不一致

2.在Windows系统中，以下哪个权限级别最高？

A.完全控制（FullControl）

B.更改（Change）

C.读取（Read）

D.特定权限（CustomPermissions）

3.某组织部署了VPN网关，采用IPSec协议进行加密通信，以下哪种场景最适合使用主模式（MainMode）而非快速模式（QuickMode）？

A.频繁切换网络环境的移动办公场景

B.网络延迟较高但需要快速建立连接的场景

C.需要严格身份验证的多节点企业网环境

D.对延迟敏感的实时语音通信场景

4.根据NIST网络安全框架，以下哪个阶段主要关注安全事件的应急响应？

A.识别（Identify）

B.保护（Protect）

C.检测（Detect）

D.响应（Respond）

5.某公司部署了WAF（Web应用防火墙），发现存在SQL注入漏洞，以下哪种检测方法最可能被WAF误判为正常请求？

A.使用布尔型SQL注入攻击（如`id=1OR1=1`）

B.使用时间型SQL注入攻击（如`id=1ANDSLEEP(5)`）

C.使用盲型SQL注入攻击（如`?id=1AND1=1`）

D.使用DNS隧道注入（通过域名解析请求）

二、判断题（共5题，每题2分）

1.MD5算法可以用于验证文件的完整性，但无法防止中间人攻击。（正确/错误）

2.在Cisco设备上配置ACL（访问控制列表）时，默认情况下优先级数值越小优先级越高。（正确/错误）

3.OAuth2.0授权码模式适用于需要客户端存储凭据的场景。（正确/错误）

4.IPv6地址的128位长度可以保证全球每秒分配一个唯一地址。（正确/错误）

5.XSS攻击可以通过邮件附件直接执行恶意脚本。（正确/错误）

三、简答题（共3题，每题5分）

1.简述APT攻击的典型特征，并列举三种常见的防御措施。

2.解释什么是零日漏洞，并说明安全团队应如何准备应对。

3.某公司计划采用多因素认证（MFA）提升系统安全性，请列举三种常见的MFA技术并说明其原理。

四、综合题（共2题，每题10分）

1.某企业网络拓扑如下：

-内网（/24）通过防火墙连接互联网

-DMZ区（/24）部署Web服务器和邮件服务器

-服务器区（/24）存放核心数据

要求：

（1）设计防火墙规则，限制内网用户只能访问DMZ区邮件服务器的POP3端口（110），禁止直接访问Web服务器

（2）说明如何通过ACL实现该策略，并标注优先级

（3）解释为何该设计需要配置双向访问控制

2.某公司发生勒索病毒攻击，日志显示攻击来源IP为`4`，以下是部分系统日志：

2023-10-2609:15:32,critical,[4:443]-[:3389],TLSv1.2handshake

2023-10-2609:16:01,critical,[]-[00],SMBsessionestablished

2023-10-2609:16:05,critical,[00]-[C:\Users\Admin\Desktop],encryptionstarted

要求：

（1）分析攻击链的初始阶段可能的技术手段

（2）提出至少三种检测和阻断措施

（3）说明为何需要建立安全事件响应流程

答案与解析

选择题

1.C

解析：SSL/TLS协议中，当应用层协议从HTTP切换到HTTPS时，客户端会发起新的握手请求建立加密通道，触发重置连接。其他选项中证书过期、密钥库篡改、加密算法不一致均不会触发重置连接。

2.A

解析：在Windows权限模型中，完全控制（FullControl）是最高权限级别，可以执行所有操作；更改（Change）次之；读取（Read）最低；特定权限（CustomPermissions）是自定义权限集合，可能高于或低于完全控制。

3.C

解析：IPSec协议的主模式（MainMode）包含6个消息交换，用于严格的身份验证和密钥协商，适合多节点环境；快速模式（QuickMode）仅需3个消息交换，适合频繁切换的网络环境。选项C的多节点企业网环境需要更强的身份验证。

4.D

解析：NIST网络安全框架分为五个阶段：识别