网络与信息安全管理员(信息安全管理员)试题库含答案.docxVIP

网络与信息安全管理员(信息安全管理员)试题库含答案

一、单项选择题（每题2分，共30分）

1.以下哪项属于《网络安全法》规定的网络运营者的基本义务？（）

A.定期更换员工办公电脑

B.制定内部安全管理制度和操作规程

C.为用户提供免费网络加速服务

D.公开所有用户个人信息

答案：B

2.以下哪种加密算法属于对称加密？（）

A.RSA

B.ECC（椭圆曲线加密）

C.AES

D.SHA-256

答案：C（解析：AES（高级加密标准）是典型的对称加密算法，RSA和ECC为非对称加密，SHA-256为哈希算法）

3.某企业数据库中存储的用户密码以“密文+盐值”形式保存，这种设计主要是为了防御以下哪种攻击？（）

A.SQL注入

B.彩虹表攻击

C.DDoS攻击

D.ARP欺骗

答案：B（解析：盐值（Salt）通过为每个密码添加随机字符串，增加彩虹表破解的难度）

4.在等保2.0标准中，“安全通信网络”要求不包括以下哪项？（）

A.网络边界部署访问控制设备

B.重要通信链路实现冗余备份

C.对网络流量进行审计和记录

D.员工电脑安装必威体育精装版版杀毒软件

答案：D（解析：“安全通信网络”属于网络层面要求，员工终端安全属于“安全计算环境”要求）

5.以下哪种漏洞利用方式属于“中间人攻击”？（）

A.通过发送恶意PDF文件诱导用户点击

B.在无线路由器与用户设备之间截获通信数据

C.利用未修复的Windows远程桌面漏洞（CVE-2019-0708）

D.向目标服务器发送大量畸形HTTP请求

答案：B（解析：中间人攻击（MITM）通过截获并篡改通信双方数据实现，常见于未加密的无线网络场景）

6.某公司采用“最小权限原则”配置员工账号权限，其核心目的是（）

A.提高系统运行效率

B.减少因权限滥用导致的安全风险

C.简化账号管理流程

D.降低硬件采购成本

答案：B（解析：最小权限原则要求用户仅拥有完成工作所需的最低权限，可有效限制越权操作和数据泄露风险）

7.以下哪项是Web应用防火墙（WAF）的主要功能？（）

A.检测并拦截SQL注入、XSS等攻击

B.防止服务器硬件故障

C.加速网站访问速度

D.管理员工考勤记录

答案：A（解析：WAF通过分析HTTP/HTTPS流量，识别并阻断针对Web应用的攻击）

8.关于漏洞扫描与渗透测试的区别，以下描述正确的是（）

A.漏洞扫描是自动化检测，渗透测试需人工模拟攻击

B.漏洞扫描仅针对网络设备，渗透测试仅针对应用系统

C.漏洞扫描需授权，渗透测试无需授权

D.漏洞扫描结果更全面，渗透测试结果更片面

答案：A（解析：漏洞扫描通常使用工具自动检测已知漏洞，渗透测试需人工利用漏洞验证风险）

9.某单位发现办公网络中存在异常流量，经分析为某员工电脑感染蠕虫病毒并向外扩散，应优先采取的措施是（）

A.关闭整个网络出口

B.隔离感染主机并断开网络连接

C.更新所有电脑的操作系统补丁

D.对全体员工进行安全培训

答案：B（解析：隔离感染主机可防止病毒进一步扩散，是应急响应的首要步骤）

10.以下哪种协议默认传输数据不加密？（）

A.HTTPS

B.SMTP（未启用STARTTLS）

C.SSH

D.IPsec

答案：B（解析：未启用加密的SMTP协议通过明文传输邮件内容和认证信息）

11.在访问控制模型中，“基于角色的访问控制（RBAC）”的核心是（）

A.根据用户身份直接分配权限

B.根据用户所属角色分配权限

C.根据用户操作时间动态调整权限

D.根据用户地理位置限制访问

答案：B（解析：RBAC通过定义角色（如“财务人员”“普通员工”），为角色分配权限，用户通过关联角色获得权限）

12.以下哪项属于“零信任架构”的核心原则？（）

A.内网用户默认可信

B.所有访问请求必须验证身份和设备安全状态

C.仅允许固定IP地址访问关键系统

D.网络边界部署单一防火墙即可

答案：B（解析：零信任架构要求“永不信任，始终验证”，所有访问需经过身份、设备、环境等多因素验证）

13.某企业使用哈希算法对文件完整性进行校验，若文件被篡改，哈希值会（）

A.保持不变

B.随机变化，无规律可循

C.基于篡改内容生成新的固定值

D.部分字节改变，其余不变

答案：C（解析：哈希算法具