2025年网络信息安全工程师考试题+参考答案解析.docxVIP

2025年网络信息安全工程师考试题+参考答案解析

一、单项选择题（每题2分，共30分）

1.以下哪项是零信任架构（ZeroTrustArchitecture）的核心原则？

A.基于网络边界的静态信任

B.最小权限访问与持续验证

C.依赖防火墙实现终端安全

D.仅验证用户身份不验证设备状态

答案：B

解析：零信任的核心是“永不信任，始终验证”，强调对访问主体（用户、设备、应用）的持续动态验证，结合最小权限原则（LeastPrivilege）分配资源访问权限，而非依赖传统的网络边界信任。

2.某企业发现员工终端频繁出现异常进程调用敏感文件，经分析为新型勒索软件变种。该攻击最可能利用的漏洞类型是？

A.SQL注入漏洞

B.缓冲区溢出漏洞

C.CSRF跨站请求伪造

D.远程代码执行漏洞（RCE）

答案：D

解析：勒索软件通常通过远程代码执行漏洞（如CVE-2023-21529等Windows系统漏洞）获取终端控制权，进而加密文件。缓冲区溢出是RCE的常见触发方式，但题目中“异常进程调用敏感文件”更直接指向RCE的利用结果。

3.关于量子计算对加密算法的影响，以下描述正确的是？

A.量子计算机可破解AES-256对称加密

B.量子计算会使ECC椭圆曲线加密完全失效

C.基于格的加密算法（Lattice-based）是后量子密码候选方案

D.RSA加密的安全性仅依赖于大整数分解问题，量子计算无法加速该问题求解

答案：C

解析：量子计算机可通过Shor算法加速大整数分解和离散对数问题，威胁RSA和ECC的安全性，但对对称加密（如AES）的影响主要是缩短密钥长度需求（如AES-256需升级为AES-512）。基于格的加密算法因抗量子计算攻击能力，被NIST列为后量子密码标准候选。

4.某云服务提供商（CSP）的客户需满足GDPR合规要求，以下哪项措施最关键？

A.部署云防火墙（CWAF）

B.实现数据跨境流动的“充分性认定”或“标准合同条款”

C.启用云服务器的多因素认证（MFA）

D.对云数据库进行加密存储

答案：B

解析：GDPR对数据跨境流动有严格规定，要求数据出口国与进口国之间需通过“充分性认定”（如欧盟与新西兰）或“标准合同条款”（SCCs）等机制确保数据保护水平等效，否则禁止跨境传输。其他选项是常规安全措施，但非GDPR合规的核心强制要求。

5.以下哪项属于威胁情报（ThreatIntelligence）的“战术层”应用？

A.分析APT组织的攻击生命周期（KillChain）

B.基于IOC（IndicatorsofCompromise）更新入侵检测规则

C.评估企业整体安全风险等级

D.制定年度安全预算分配策略

答案：B

解析：威胁情报分为战略层（如APT组织背景）、战术层（如IOC、攻击特征）、操作层（如具体防御措施）。基于IOC更新检测规则属于战术层应用，直接指导实时防御。

6.某物联网（IoT）设备使用MQTT协议与云端通信，为防止中间人攻击，最有效的措施是？

A.启用MQTT的用户名/密码认证

B.采用TLS1.3加密通信通道

C.限制设备仅允许白名单IP访问

D.定期更新设备固件

答案：B

解析：MQTT默认使用TCP传输，未加密时易受中间人攻击。TLS1.3通过前向保密（PerfectForwardSecrecy）和简化握手流程，能有效加密通信内容，是防止中间人攻击的核心措施。用户名/密码认证仅验证身份，无法保护传输数据。

7.以下哪种漏洞利用方式属于“内存安全漏洞”？

A.命令注入（CommandInjection）

B.跨站脚本（XSS）

C.整数溢出（IntegerOverflow）

D.XML外部实体注入（XXE）

答案：C

解析：内存安全漏洞指因内存管理错误导致的漏洞，如缓冲区溢出、整数溢出、Use-After-Free等。命令注入、XSS、XXE均属于输入验证类漏洞，与内存管理无关。

8.某企业部署EDR（端点检测与响应）系统后，需重点监控的日志不包括？

A.终端进程启动与终止事件

B.注册表关键路径修改记录

C.用户登录失败次数统计

D.网络流量中的DNS查询日志

答案：C

解析：EDR核心监控终端的进程行为、文件操作、内存活动及网络连接（如DNS查询），用户登录失败属于身份认证范畴，通常由IAM（身份与访问管理）系统或日志审计系统监控，非EDR重点。

9.关于区块链安全