2025年网络安全运维工程师考试试卷及答案.docxVIP

2025年网络安全运维工程师考试试卷及答案

一、单项选择题（每题2分，共20分）

1.某企业部署了零信任架构（ZeroTrustArchitecture），以下哪项不符合其核心原则？

A.持续验证访问请求的上下文（设备状态、用户位置、时间等）

B.所有流量必须经过身份验证和授权，默认拒绝未经验证的连接

C.网络边界内的终端设备无需额外验证，可直接访问内部资源

D.最小权限原则，仅授予完成任务所需的最低权限

2.某运维团队使用SAST（静态应用安全测试）和DAST（动态应用安全测试）进行漏洞检测，以下描述正确的是？

A.SAST在代码运行时分析，适合检测内存泄漏

B.DAST需访问实际运行的应用，适合检测SQL注入

C.SAST无法发现未编译代码中的漏洞

D.DAST依赖源代码，需开发人员配合

3.某公司Web服务器遭受CC攻击，运维工程师需通过WAF（Web应用防火墙）拦截。以下哪类WAF规则最有效？

A.基于IP的速率限制（RateLimiting）

B.基于User-Agent的黑名单

C.基于Referer的白名单

D.基于请求体长度的过滤

4.以下关于漏洞生命周期管理的描述，错误的是？

A.漏洞发现阶段需结合自动化扫描（如Nessus）和人工渗透测试

B.漏洞验证阶段需确认漏洞是否可利用、影响范围及修复优先级

C.漏洞修复阶段应直接上线补丁，无需测试环境验证

D.漏洞闭环阶段需记录修复结果并更新资产台账

5.某企业云环境中，ECS实例频繁出现异常网络流量（outboundto恶意IP），最可能的排查方向是？

A.检查安全组是否开放了不必要的出站端口

B.确认NAT网关是否配置了正确的SNAT规则

C.验证云监控（如阿里云CloudMonitor）的告警阈值

D.分析实例是否感染恶意软件（如远控木马）

6.以下哪项是Linux系统中排查SSH暴力破解攻击的关键日志文件？

A./var/log/syslog

B./var/log/auth.log

C./var/log/secure

D./var/log/messages

7.某企业数据库（MySQL）发生数据泄露，运维工程师需快速定位泄露路径。以下哪项措施最有效？

A.检查数据库连接日志（general_log）

B.分析慢查询日志（slow_query_log）

C.启用审计日志（audit_log）并回溯操作记录

D.查看防火墙（iptables）的流量记录

8.关于容器安全运维，以下说法错误的是？

A.容器镜像需定期扫描漏洞（如使用Trivy）

B.容器网络应通过CNI（容器网络接口）隔离，避免跨容器横向渗透

C.容器运行时（如Docker）的root权限可保留，不影响安全性

D.需监控容器资源使用（CPU、内存），防止资源耗尽攻击

9.某企业部署了EDR（端点检测与响应）系统，其核心功能不包括？

A.端点文件完整性监控（FIM）

B.恶意进程行为分析与阻断

C.网络流量的深度包检测（DPI）

D.历史攻击事件的溯源与取证

10.以下哪项是应对勒索软件攻击的最佳实践？

A.定期全量备份数据至离线存储（如空气隔离的磁带库）

B.遭受攻击后立即支付赎金以恢复数据

C.关闭所有端口和服务，避免攻击扩散

D.仅备份数据库文件，忽略配置文件和日志

二、填空题（每空2分，共20分）

1.网络安全运维中，常见的漏洞扫描工具除Nessus外，还有________（至少列举1个）。

2.应急响应流程的标准步骤包括：准备、检测与分析、________、恢复、________。

3.Linux系统中，用于限制SSH登录失败次数的工具是________，其配置文件通常位于________。

4.云环境下，IAM（身份与访问管理）的核心原则是________，即仅授予完成任务所需的最小权限。

5.Web应用中，防止CSRF（跨站请求伪造）攻击的常用方法是________（如在请求中携带用户会话相关的随机令牌）。

6.数据库加密技术分为________（对存储中的数据加密）和传输加密（如TLS协议）。

7.物联网（IoT）设备的安全运维需重点关注________（如固件漏洞、默认弱口令）和网络隔离。

三、简答题（每题8分，共32分）

1.简述漏洞生命周期管理的完整流程，并说明每个阶段的关键动作。

2.某企业Web服务器被