2025年网络安全工程师考试题库及参考答案解析.docxVIP

2025年网络安全工程师考试题库及参考答案解析

一、单项选择题（每题2分，共20题）

1.在OSI参考模型中，负责将上层数据封装为帧并进行差错检测的是（）。

A.物理层

B.数据链路层

C.网络层

D.传输层

答案：B

解析：数据链路层的主要功能是将网络层的数据包封装为帧（Frame），通过MAC地址实现相邻节点间的通信，并通过CRC校验等机制进行差错检测。物理层处理比特流，网络层处理IP寻址和路由，传输层负责端到端可靠传输。

2.以下哪种算法属于非对称加密技术？（）

A.AES-256

B.DES

C.RSA

D.SHA-256

答案：C

解析：非对称加密使用公钥和私钥成对加密，RSA是典型代表。AES和DES是对称加密（密钥相同），SHA-256是哈希算法（单向散列）。

3.某企业网络中，防火墙策略设置为“默认拒绝，允许HTTP、HTTPS、SSH”，这种策略遵循的安全原则是（）。

A.最小权限原则

B.纵深防御原则

C.失效安全原则

D.职责分离原则

答案：A

解析：最小权限原则要求仅授予必要的访问权限。默认拒绝所有流量，仅开放必需的服务（HTTP/HTTPS/SSH），符合最小权限设计。

4.以下哪项是CVSSv3.1中“攻击复杂度（AC）”的评估指标？（）

A.需要物理接触目标设备

B.攻击者是否需要特殊权限

C.攻击所需的技术技能水平

D.攻击成功是否依赖特定环境条件

答案：D

解析：CVSS的AC（攻击复杂度）评估攻击成功是否需要特定条件（如目标处于特定网络分段、服务配置为特定模式）。物理接触属于“攻击向量（AV）”，特殊权限属于“权限要求（PR）”。

5.针对SQL注入攻击，最有效的防御措施是（）。

A.关闭数据库服务端口

B.使用存储过程并进行参数化查询

C.对用户输入进行HTML编码

D.定期更新数据库版本

答案：B

解析：SQL注入的核心是用户输入被直接拼接到SQL语句中。参数化查询（PreparedStatement）将输入与SQL逻辑分离，从根本上防止注入。HTML编码用于XSS防护，关闭端口影响服务可用性。

6.在Windows系统中，用于查看当前活动网络连接的命令是（）。

A.ping

B.tracert

C.netstat

D.nslookup

答案：C

解析：netstat-ano可显示所有活动连接、进程ID及端口；ping测试连通性，tracert追踪路由，nslookup查询DNS记录。

7.以下哪种协议用于安全的远程登录？（）

A.Telnet

B.FTP

C.SSH

D.SMTP

答案：C

解析：SSH（安全外壳协议）通过加密传输数据，替代明文传输的Telnet。FTP用于文件传输，SMTP用于邮件发送。

8.某企业发现日志中存在大量源IP为00、目标端口53的UDP请求，最可能的攻击是（）。

A.DDoS攻击

B.DNS放大攻击

C.ARP欺骗

D.端口扫描

答案：B

解析：DNS放大攻击利用DNS服务器的递归查询特性，向开放递归的DNS服务器发送伪造源IP（受害者）的查询请求，服务器返回大尺寸响应包，导致受害者流量被放大。53是DNS默认端口，UDP是DNS常用传输协议。

9.以下哪项不属于零信任架构的核心原则？（）

A.持续验证访问请求

B.默认不信任网络内外的任何设备

C.基于角色的访问控制（RBAC）

D.允许所有内部流量自由流动

答案：D

解析：零信任的核心是“从不信任，始终验证”，要求对所有访问（包括内部）进行身份、设备状态、环境等多因素验证，禁止默认信任内部流量。

10.根据《网络安全法》，关键信息基础设施的运营者应当自行或委托第三方每年至少进行（）次网络安全检测评估。

A.1

B.2

C.3

D.4

答案：A

解析：《网络安全法》第三十八条规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

二、多项选择题（每题3分，共10题）

1.以下属于网络层协议的有（）。

A.IP

B.ICMP

C.TCP

D.UDP

答案：AB

解析：网络层负责逻辑寻址和路由，IP（网际协议）和ICMP（互联网控制消息协议）属于网络层；TCP和UDP是传输层协议。

2.常见的无线局域网（WLAN）安全