网安运维面试题目及答案

网安运维面试题目及答案

一、选择题（本题型共15题，每题2分，共30分）

1.在网络安全领域，以下哪项不属于常见的被动攻击类型？（）A.窃听B.篡改C.流量分析D.密码破解

2.Linux系统中，用于查看系统进程状态的命令是？（）A.netstat B.ps C.ifconfig D.top

3.以下哪种攻击方式属于社会工程学攻击？（）A.SQL注入B.钓鱼邮件C.DDoS攻击D.端口扫描

4.防火墙的主要作用是？（）A.仅过滤网络流量B.仅检测病毒C.仅记录访问日志D.实现A和C

5.以下哪个不是常见的密码破解工具？（）A.John theRipper B.Hydra C.Nmap D.Hashcat

6.网络安全中的“纵深防御”策略是指？（）A.只使用一种安全设备B.在网络多个层级部署安全措施C.仅在服务器端部署防护D.定期更换密码

7.Linux系统中，哪个配置文件用于管理用户账户信息？（）A./etc/group B./etc/passwd C./etc/shadow D./etc/hosts

8.以下哪项是预防SQL注入的有效措施？（）A.使用ORM框架B.直接拼接SQL语句C.输入验证和过滤D.A和C

9.网络安全事件响应第一步通常是？（）A.系统恢复B.事件分析C.遏制与隔离D.事后总结

10.以下哪个不是常见的网络协议安全隐患？（）第1页共8页A.HTTP明文传输B.FTP未加密C.SSH加密传输D.Telnet明文传输

11.什么是“零日漏洞”？（）A.已修复的漏洞B.未被公开但已被利用的漏洞C.公开的高危漏洞D.低风险漏洞

12.Linux系统中，用于限制用户资源使用的命令是？（）A.ulimit B.limit C.quota D.resource

13.以下哪种不是入侵检测系统（IDS）的主要检测方式？（）A基于特征码B.基于行为分析C.基于流量统计D.基于硬件加速

14.网络安全中的“沙箱”技术主要用于？（）A.存储文件B.隔离和测试可疑程序C.加密数据D.加速网络传输

15.以下哪个不是防火墙的基本功能？（）A.包过滤B.应用层代理C.病毒查杀D.VPN支持###

二、判断题（本题型共15题每题1分，共15分）

1.网络安全运维中，“漏洞扫描”的目的是发现系统中的安全漏洞并及时修复（）

2.Linux系统中，/tmp目录下的文件具有较高的安全性，即使在系统重启后也会保留（）

3.密码策略中，设置密码长度为8位以上可以完全防止暴力破解（）

4.DDoS攻击的主要目的是瘫痪目标系统的服务（）

5.网络隔离技术中，“子网隔离”是指将不同安全级别的网络部署不同子网中（）

6.防火墙只能部署在网络边界，无法部署在内部网络中（）

7.日志审计是网络安全运维中监控异常行为的重要手段（）第2页共8页

8.加密传输协议中，HTTPS比HTTP更安全，因为HTTPS使用了SSL/TLS加密（）

9.Linux系统中，chmod命令可以修改文件的所有者和权限（）

10.网络安全事件响应中，“取证”的目的是收集和分析证据以定位攻击源（）

11.病毒和蠕虫的主要区别是病毒需要宿主文件，而蠕虫可以独立复制传播（）

12.端口扫描工具Nmap只能扫描TCP端口，不能扫描UDP端口（）

13.安全基线配置的目的是确保系统符合安全标准，减少安全漏洞（）

14.网络中部署WAF（Web应用防火墙）可以有效防御SQL注入和XSS攻击（）

15.Linux系统中，ping命令的-t参数用于指定ping的超时时间（）###

三、简答题（本题型共10题，每题3分，共30分）

1.简述网络安全运维的核心职责包括哪些？

2.请说明Linux系统中常用的安全加固措施有哪些？

3.什么是防火墙？简述其基本工作原理及主要功能

4.简述DDoS攻击的常见类型及防御措施

5.什么是零日漏洞？在网安运维中应如何应对零日漏洞？

6.简述网络安全事件响应的基本流程

7.请解释什么是入侵检测系统（IDS）？与防火墙相比，IDS有哪些特点和优势？

8.简述密码学中的对称加密和非对称加密的区别及应用场景第3页共8页

9.网络安全运维中，进行漏洞扫描时需要注意哪些事项？

10.什么是日志审计？简述日志审计在网络安全运维中的重要性###四案例分析题（本题型共5题，每题5分，共25分）

1.案例某电商平台运维人员发现服务器CPU使用率突增到90%以上，网站访问速度变慢，部分用户反馈无法下单技术团队初步排查发现，服务器上有大量不明进程占用CPU资源，且网络连接数异常增加至平时的5倍问题

（1）可能的安全事件类型是什么？

（2）请列出至少3种可能的攻击源或攻击方式

（3）针对该情况，应采取哪些应急处置措施？

（4）如何预防此类事件发生？

2.案例某企业运维人员在审计系统日志时，发现多台内部服务器的/var/log/auth.log文件中出现大量“Failed passwordfor rootfrom

192.

168.

1.100port443ssh2”的记录,且尝试次数从1次/分钟增加到10次/分钟问题

（1）该日志记录反映了什么安全威胁？

（2）请分析可能的攻击目标和攻击方式

（3）应采取哪些措施阻止此类攻击并加强服务器安全？###

五、操作题（本题型共5题，每题5分，共25分）

1.简述在Linux系统中，如何通过命令查看系统当前运行的进程，并找出CPU使用率最高前5个进程的操作步骤

2.请写出Linux系统中,为了限制普通用户“testuser”最多只能打开100个文件句柄的命令（需考虑永久生效和临时生效两种情况）

3.简述在Linux系统中，如何通过命令查看系统日志文件（如/var/log/messages），并实时监控新日志内容的操作第4页共8页

4.请写出Linux系统中，为了禁止IP地址为

192.

168.

1.100的主机访问服务器的80端口（Web服务），在iptables防火墙中添加规则的命令（需考虑永久生效

4.简述在Linux系统中，如何通过命令检查系统已知漏洞（如通过漏洞扫描工具），并描述Nessus客户端的基本操作步骤（假设已安装Nessus）答案汇总

一、选择题

1.B

2.B

3.B

4.A

5.C

6.B

7.B

8.D

9.C

10.C

11.B

12.A

13.D

14.B

15.C####

二、判断题

1.对

2.错

3.错

4.对

5.对

6.错

7.对

8.对

9.错

10.对

11.对

12.错

13.对

14.对

15.错####三简答题

1.网络安全运维核心职责日常安全监控与日志审计、漏洞扫描与补丁管理、安全设备维护、应急响应与事件处置；安全策略制定与优化、文件备份与容灾恢复、安全意识培训

2.Linux安全加固措施账户与权限管理（删除默认账户、最小权限）、文件系统安全（限制/tmp权限、文件完整性校验）、系统配置加固（修改SSH端口、禁用密码登录）、日志与审计（启用系统日志、配置审计工具）、系统更新与补丁、网络安全（限制网络服务、网络隔离）

3.防火墙是网络安全设备，在不同安全级别网络间建立屏障；工作原理基于网络层和应用层数据包过滤规则检查控制流量；功能包过第5页共8页滤、应用层代理、VPN支持（部分）、入侵检测/防御（部分）、日志记录

4.DDoS常见类型流量型（SYN Flood、UDP Flood）、资源耗尽型（CC攻击）、协议型（ICMP Flood、DNS放大）；防御措施网络层（DDoS防护设备、CDN分流、黑洞/白名单）、应用层（负载均衡、WAF、限制请求频率）、流量清洗、监控预警

5.零日漏洞是未公开且未修复、已被黑客利用的漏洞；应对措施漏洞情报收集、内部风险评估、临时防护（关闭服务、限制访问、临时补丁）、事件响应准备、安全意识提升、推动正式补丁更新

6.网络安全事件响应流程准备（预案、团队、工具、演练）、遏制与隔离/限制攻击范围、检测与分析（确定类型/严重程度、收集证据、分析攻击源）、消除与恢复（清除恶意代码、修复漏洞、恢复数据）、事后总结（复盘、评估损失、优化策略）

7.IDS是监控网络/系统异常活动识别潜在入侵的设备/软件；特点行为分析/特征码匹配/异常检测识别未知攻击，不阻断流量，深度检测应用层攻击，提供审计日志；优势弥补防火墙仅网络层过滤不足，实时监控新攻击类型

8.对称加密密钥相同（AES、DES），速度快，适合大量数据加密；非对称加密公钥+私钥（RSA、ECC），速度慢适合小数据量，安全性高；应用场景对称加密用于HTTPS对称加密部分、文件加密；非对称加密用于密钥交换（SSL/TLS）、数字签名、身份认证

9.漏洞扫描注意事项:明确扫描范围与目标（避免生产环境未授权扫描、选择合适时机（低峰期、选对工具（系统/Web漏洞工具、配置扫描策略（合理深度/方式/规则、结果分析优先级（高危优先、扫描后处理（修复+复查、合规性（符合安全政策/法规第6页共8页

10.日志审计是收集/存储/分析/审计系统/网络/应用日志的过程；重要性事件追溯（取证）、异常检测（识别入侵）、合规检查（满足等保/PCI DSS）、安全策略优化（发现漏洞）、风险评估（预测威胁）、责任认定（操作记录）####四案例分析题

1.

（1）DDoS攻击（CC攻击）或恶意进程植入导致资源耗尽；

（2）攻击源/方式外部黑客伪造请求发起CC攻击、服务器被植入挖矿程序/恶意脚本、内部员工误下恶意文件；

（3）应急措施隔离服务器断网、终止恶意进程删除文件、流量清洗/限制单IP连接、备份恢复数据、审计日志定位攻击源；

（4）预防部署WAF、定期漏洞扫描、服务器加固（禁用不必要端口/服务、密钥认证）、资源监控告警、员工安全培训

2.

（1）SSH暴力破解攻击；

（2）目标内部服务器root账户；方式不断尝试不同密码破解账户；

（3）措施防火墙ACL临时拒绝

192.

168.

1.100SSH连接、修改root SSH登录为密钥认证/禁用密码登录、配置PAM fail2ban限制失败次数、启用SSH日志审计与异常监控、定期检查账户权限与安全基线####

五、操作题

1.查看进程ps aux（显示所有进程详细信息）、ps-ef（全格式）；CPU最高前5进程ps aux--sort=-%cpuhead-n5（按CPU降序排序取前5行）

2.临时生效ulimit-n100；永久生效root编辑/etc/security/limits.conf，添加“testuser hardnofile100”“testuser softnofile100”，确保/etc/pam.d/login含pam_limits.so，重启或重新登录第7页共8页

3.查看日志cat/more/less/var/log/messages；实时监控tail-f/var/log/messages（持续显示新增内容，Ctrl+C停止）

4.临时iptables-A INPUT-s

192.

168.

1.100-p tcp--dport80-j DROP；永久iptables-save/etc/sysconfig/iptables，systemctl enableiptables，systemctl restartiptables（或firewalld firewall-cmd--permanent--add-rich-rule=rulefamily=ipv4source address=

192.

168.

1.100portprotocol=tcp port=80drop，firewall-cmd--reload）

5.系统漏洞检查OpenVAS/rkhunter/AIDE；Nessus操作登录客户端→创建扫描任务→选模板→设置目标IP→配置范围→开始扫描→查看报告（高危漏洞详情+修复建议）第8页共8页。