网络安全试题总结与答案.docxVIP

第PAGE页共NUMPAGES页

一、选择题（每题3分，共30分，每题只有一个正确选项）

1.下列选项中，不属于网络安全CIA三元组的是（）。

A.机密性（Confidentiality）

B.完整性（Integrity）

C.可用性（Availability）

D.不可抵赖性（Nonrepudiation）

2.攻击者通过发送大量伪造源IP地址的UDP报文，导致目标服务器资源耗尽而无法提供正常服务，这种攻击属于（）。

A.SQL注入攻击

B.DDoS攻击

C.中间人攻击

D.钓鱼攻击

3.下列加密算法中，属于对称加密算法的是（）。

A.RSA

B.ECC

C.AES

D.DSA

4.HTTPS协议默认使用的端口号是（）。

A.21

B.22

C.80

D.443

5.防火墙工作在网络OSI模型的（）。

A.物理层

B.数据链路层

C.网络层

D.传输层及以上

6.以下关于零日漏洞（ZerodayVulnerability）的描述，正确的是（）。

A.指已发布补丁但未被广泛修复的漏洞

B.指已被攻击者利用但尚未被厂商发现的漏洞

C.指从发现到发布补丁间隔时间小于1天的漏洞

D.指在软件发布时已存在但未被检测到的漏洞

7.下列身份认证方式中，安全性最高的是（）。

A.用户名+密码

B.短信验证码

C.USBKey+PIN码

D.人脸识别

8.根据《中华人民共和国网络安全法》，网络运营者收集个人信息时，应遵循的原则不包括（）。

A.合法、正当、必要

B.事先告知同意

C.最小化收集

D.免费提供所有服务

9.以下工具中，主要用于网络协议分析的是（）。

A.Nmap

B.Wireshark

C.Metasploit

D.BurpSuite

10.数据备份策略中的“321原则”是指（）。

A.3份备份、2种介质、1份异地存储

B.2份备份、3种介质、1份异地存储

C.1份备份、2种介质、3份异地存储

D.3份备份、1种介质、2份异地存储

二、填空题（每空2分，共20分）

1.网络安全的核心目标包括保障信息的机密性、完整性和______。

2.SQL注入攻击中，攻击者通常通过在输入参数中插入恶意的______语句，从而操纵后台数据库。

3.数字证书由______机构颁发，用于验证公钥持有者的身份。

4.VPN（虚拟专用网络）技术主要通过______协议，在公共网络上建立加密的安全通道。

5.入侵检测系统（IDS）根据检测方式可分为基于特征的IDS和基于______的IDS。

6.散列算法（如MD5、SHA256）的作用是将任意长度的输入映射为固定长度的输出，其主要特性包括单向性和______。

7.Windows系统中，用于查看当前网络连接状态和端口占用情况的命令是______。

8.CSRF（跨站请求伪造）攻击的防御措施之一是在表单中添加______字段。

9.常用的Web应用防火墙（WAF）部署模式有透明代理模式、反向代理模式和______模式。

10.根据《网络安全法》，关键信息基础设施运营者每年至少要进行______次网络安全检测评估。

三、简答题（每题10分，共30分）

1.简述防火墙的主要功能及工作原理。

2.对比说明对称加密与非对称加密的优缺点，并举例说明两者的典型应用场景。

3.什么是DDoS攻击？列举至少3种常见的DDoS攻击类型，并简述其防御思路。

四、案例分析题（每题10分，共20分）

案例一

某电商企业官网突然无法访问，用户反馈页面加载缓慢甚至超时。经检查，服务器CPU占用率高达100%，网络带宽被占满，防火墙日志显示大量来自不同IP地址的UDP53（DNS查询）请求。

问题：

（1）该企业可能遭受了哪种网络攻击？请说明理由。

（2）简述该攻击的原理及对企业造成的影响。

（3）提出至少3种应急处置措施。

案例二

某员工收到一封伪装成“人力资源部”的邮件，邮件标题为“工资条更新通知”，附件为“salary_update.exe”。点击附件后，员工电脑出现异常，后续发现公司内部文件服务器中的大量客户数据被加密，且桌面出现勒索信，要求支付比特币解密。

问题：

（1）该事件属于哪种类型的网络安全事件？攻击