原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
网络安全分析师考试试卷
一、单项选择题(共10题,每题1分,共10分)
SQL注入攻击的核心原理是?
A.利用会话管理漏洞劫持用户会话
B.通过跨站脚本执行恶意代码
C.向数据库发送恶意SQL语句
D.利用缓冲区溢出执行任意代码
答案:C
解析:SQL注入攻击通过将恶意SQL代码插入用户输入字段,使后端数据库执行非预期指令(如数据窃取、删除)。A为会话劫持原理,B为XSS攻击原理,D为缓冲区溢出原理,均不符合。
以下哪种加密算法属于非对称加密?
A.AES-256
B.RSA
C.SHA-256
D.DES
答案:B
解析:非对称加密使用公钥和私钥对(如RSA),对称加密(AES、DES)使用相同密钥,SHA-256是哈希算法(单向加密)。因此选B。
零信任架构的核心思想是?
A.信任内部网络所有设备
B.持续验证访问请求的合法性
C.仅通过防火墙隔离内外网
D.依赖传统边界防御
答案:B
解析:零信任强调“从不信任,始终验证”,需对每次访问请求的身份、设备、环境等进行持续验证。A、C、D均为传统边界安全的特征,不符合零信任核心。
以下哪项是Web应用防火墙(WAF)的主要功能?
A.检测网络层DDoS攻击
B.过滤HTTP请求中的恶意代码
C.管理企业内部用户权限
D.加密传输层数据
答案:B
解析:WAF工作在应用层,通过规则或AI识别并阻断针对Web应用的攻击(如XSS、SQL注入)。A是流量清洗设备功能,C是IAM系统功能,D是TLS协议功能。
以下哪种恶意软件需要宿主程序才能运行?
A.蠕虫
B.勒索软件
C.病毒
D.木马
答案:C
解析:病毒需附着在宿主程序(如文档、可执行文件)中传播,蠕虫可独立运行(如WannaCry),木马通过伪装诱骗用户执行,勒索软件多通过木马或蠕虫传播。
常见的漏洞扫描工具Nessus主要用于?
A.网络流量分析
B.系统漏洞检测
C.渗透测试中的权限提升
D.加密通信解密
答案:B
解析:Nessus是专业漏洞扫描器,通过插件库检测目标系统的已知漏洞(如CVE编号漏洞)。A是Wireshark功能,C是Metasploit功能,D需特定破解工具。
以下哪个协议用于安全的远程终端连接?
A.FTP
B.Telnet
C.SSH
D.HTTP
答案:C
解析:SSH(安全外壳协议)通过加密传输数据,防止中间人攻击;Telnet和HTTP为明文传输,FTP默认明文(SFTP是加密版)。
数据泄露防护(DLP)的核心目标是?
A.防止内部人员误操作或恶意泄露敏感数据
B.检测网络中的DDoS攻击流量
C.加密存储在数据库中的用户密码
D.监控员工的上网行为
答案:A
解析:DLP通过内容识别、策略控制等技术,防止敏感数据(如身份证号、商业秘密)被未授权传输或存储。B是IDS/IPS功能,C是加密技术应用,D是上网行为管理功能。
以下哪种攻击属于应用层DDoS?
A.SYNFlood
B.DNS放大攻击
C.HTTPFlood
D.ICMPFlood
答案:C
解析:HTTPFlood通过大量伪造HTTP请求耗尽Web服务器资源(应用层);SYNFlood(传输层)、DNS放大(网络层)、ICMPFlood(网络层)均为低层攻击。
安全基线(SecurityBaseline)的主要作用是?
A.定义系统的最小安全配置要求
B.记录网络中的异常流量
C.存储用户的访问日志
D.生成渗透测试报告
答案:A
解析:安全基线是经过验证的、满足基本安全要求的系统配置模板(如禁用不必要服务、启用防火墙),用于统一安全标准。B是IDS功能,C是日志系统功能,D是渗透测试工具功能。
二、多项选择题(共10题,每题2分,共20分)
常见的Web应用安全漏洞包括?(至少2个正确选项)
A.SQL注入
B.ARP欺骗
C.XSS跨站脚本
D.CSRF跨站请求伪造
答案:ACD
解析:Web应用漏洞主要针对HTTP/HTTPS协议和应用逻辑,包括SQL注入(数据层)、XSS(客户端)、CSRF(会话劫持)。ARP欺骗是网络层攻击(针对二层MAC地址),不属于Web应用漏洞。
以下属于访问控制模型的有?
A.自主访问控制(DAC)
B.强制访问控制(MAC)
C.基于角色的访问控制(RBAC)
D.基于属性的访问控制(ABAC)
答案:ABCD
解析:四种均为常见访问控制模型:DAC由资源所有者授权,MAC由系统强制分级(如军事系统),RBAC基于用户角色,ABAC基于用户属性(如部门、位置)。
加密技术的主要应用场景包括?
A.传输数据的机密性保护(如HTTPS)
B.存储数据的静态加密(如磁盘加密)
C.
您可能关注的文档
- 2025年临床医学检验技术资格考试题库(附答案和详细解析)(1201).docx
- 2025年企业数字化战略师考试题库(附答案和详细解析)(1209).docx
- 2025年国际财资管理师(CTP)考试题库(附答案和详细解析)(1130).docx
- 2025年强化学习工程师考试题库(附答案和详细解析)(1203).docx
- 2025年数据资产管理员考试题库(附答案和详细解析)(1127).docx
- 2025年注册会计师(CPA)考试题库(附答案和详细解析)(1125).docx
- 2025年注册信息安全经理(CISM)考试题库(附答案和详细解析)(1210).docx
- 2025年注册平面设计师考试题库(附答案和详细解析)(1104).docx
- 2025年注册核工程师考试题库(附答案和详细解析)(1210).docx
- 2025年注册统计师考试题库(附答案和详细解析)(1202).docx
- 2025四川南充市公路管理局南充市水务局遴选3人笔试备考题库附答案解析.docx
- 2025年清水河县事业单位联考招聘考试历年真题完美版.docx
- 2025年正安县事业单位联考招聘考试历年真题完美版.docx
- 2025年金沙县事业单位联考招聘考试真题汇编新版.docx
- 2025年乐业县辅警招聘考试真题汇编及答案1套.docx
- 2025年新龙县事业单位联考招聘考试历年真题附答案.docx
- 2025年淮阳县事业单位联考招聘考试历年真题含答案.docx
- 2025年紫金县事业单位联考招聘考试真题汇编含答案.docx
- 2025年永福县事业单位联考招聘考试历年真题推荐.docx
- 2025年睢县事业单位联考招聘考试历年真题含答案.docx
文档评论(0)