网络与信息安全管理员习题(含参考答案)解析.docxVIP

网络与信息安全管理员习题(含参考答案)解析

一、单项选择题

1.以下哪项属于OSI安全体系结构中的安全服务？

A.流量填充服务

B.数据压缩服务

C.路由选择服务

D.协议转换服务

答案：A

解析：OSI安全体系结构定义了5类安全服务：认证服务、访问控制服务、数据完整性服务、数据必威体育官网网址性服务、抗抵赖服务。流量填充服务属于数据必威体育官网网址性服务的子类，通过填充虚假流量防止攻击者分析真实流量模式。数据压缩（B）和协议转换（D）属于网络服务功能，路由选择（C）是网络层的基本功能，均不属于安全服务范畴。

2.某企业发现内网中存在大量ICMP请求包（Ping），目标IP地址随机且源IP为内网地址，最可能的攻击是？

A.ARP欺骗

B.Smurf攻击

C.SYNFlood

D.DNS缓存投毒

答案：B

解析：Smurf攻击利用ICMP协议缺陷，向网络广播地址发送大量源IP伪装为目标主机的ICMP请求包，导致网络中所有主机向目标主机回应ICMP应答包，形成流量放大攻击。ARP欺骗（A）通过伪造ARP报文破坏二层地址解析；SYNFlood（C）是TCP层攻击，利用半连接耗尽资源；DNS缓存投毒（D）针对DNS服务器缓存篡改。题干中“ICMP请求包”“源IP为内网地址”符合Smurf攻击特征。

3.以下关于防火墙的描述，错误的是？

A.状态检测防火墙可跟踪TCP连接状态

B.应用层网关防火墙工作在OSI第七层

C.包过滤防火墙基于IP和端口号进行过滤

D.所有防火墙均无法防御内部网络攻击

答案：D

解析：防火墙的主要功能是控制内外网间的流量，但部分下一代防火墙（NGFW）或内网防火墙可通过微分段技术对内部网络不同区域进行隔离，限制内部横向攻击。状态检测防火墙（A）通过维护会话表跟踪连接状态；应用层网关（B）如代理服务器，需解析应用层协议；包过滤（C）基于五元组（源/目IP、源/目端口、协议类型）过滤，均正确。

二、判断题（正确√，错误×）

1.对称加密算法的密钥管理比非对称加密更复杂。（）

答案：×

解析：对称加密（如AES）的密钥需在通信双方安全传输，若有N个用户通信，需N(N-1)/2对密钥，密钥管理复杂度高；非对称加密（如RSA）使用公钥和私钥，公钥可公开，私钥仅需用户自己保管，密钥管理更简单。

2.SQL注入攻击的本质是用户输入未经过滤直接拼接至SQL语句。（）

答案：√

解析：SQL注入攻击通过向应用程序输入恶意SQL代码，利用程序未对输入进行转义或参数化处理的漏洞，使后端数据库执行非预期命令。例如，输入“OR1=1”可导致WHERE条件恒真，绕过身份验证。

3.入侵检测系统（IDS）可以主动阻断攻击流量。（）

答案：×

解析：IDS是监测设备，通过分析流量或日志发现异常并报警，不具备主动阻断能力；入侵防御系统（IPS）可在检测到攻击时直接丢弃恶意流量，属于主动防御设备。

三、简答题

1.简述DDoS攻击的常见类型及防御措施。

参考答案：

DDoS（分布式拒绝服务）攻击通过控制大量傀儡主机（僵尸网络）向目标发送海量流量或请求，导致目标资源耗尽或网络拥塞。常见类型包括：

-流量型攻击：如UDPFlood（伪造UDP报文）、ICMPFlood（大量ICMP请求），通过消耗带宽资源使目标无法正常通信；

-连接型攻击：如SYNFlood（发送大量TCPSYN包但不完成三次握手）、ACKFlood（伪造ACK包消耗连接表），耗尽目标服务器的TCP连接资源；

-应用层攻击：如HTTPFlood（模拟正常用户发送大量HTTP请求）、Slowloris（缓慢发送HTTP请求保持长连接），消耗应用层处理资源。

防御措施包括：

-流量清洗：通过专用设备（如DDoS清洗中心）识别并过滤异常流量；

-资源扩容：增加带宽、服务器集群负载能力，分散攻击流量；

-协议优化：关闭不必要的端口和服务，限制单IP连接数和请求频率；

-黑洞路由：当攻击流量超过本地处理能力时，将目标IP路由至“黑洞”，牺牲部分服务可用性保护网络核心；

-提前预警：部署IDS/IPS监测异常流量，结合威胁情报判断攻击来源和类型。

2.说明访问控制模型中DAC、MAC、RBAC的区别及适用场景。

参考答案：

-自主访问控制（DAC）：由资源所有者自主设置访问权限（如文件的读/写/执行权限），灵活性高但安全性较低。适用于小型企业或个人用户，如Windows的NTFS权限管理；

-强制访问控制（MAC）：由系统