2025年网络安全与信息保护技术考试试题及答案

2025年网络安全与信息保护技术考试试题及答案一、单项选择题（每题2分，共20分）1.以下哪种加密算法属于非对称加密？A.AES256B.RSA2048C.ChaCha20D.3DES答案：B2.某企业采用零信任架构（ZeroTrustArchitecture），其核心原则是？A.默认信任内部网络所有设备B.持续验证访问请求的身份、设备和环境安全状态C.仅通过防火墙实现边界防护D.对所有用户分配相同权限答案：B3.在SSL/TLS协议中，握手阶段的主要目的是？A.加密传输数据B.协商加密算法和生成会话密钥C.验证服务器硬件性能D.压缩传输数据答案：B4.以下哪项是数据脱敏的典型方法？A.对用户身份证号进行哈希处理（Hash）B.直接删除用户手机号字段C.对数据库进行全量加密D.定期备份敏感数据答案：A5.针对物联网设备的典型攻击中，“固件篡改”主要利用了设备的哪类安全缺陷？A.弱密码认证B.固件更新机制缺乏完整性校验C.网络通信未加密D.存储介质易物理访问答案：B6.某系统日志显示大量异常ICMP请求（Ping），目标IP为随机公网地址，最可能的攻击类型是？A.DDoS反射攻击（如Smurf攻击）B.SQL注入C.跨站脚本（XSS）D.勒索软件答案：A7.依据《个人信息保护法》，处理敏感个人信息时，除“告知同意”外，还需满足的关键条件是？A.取得个人单独同意B.仅用于统计分析C.存储期限不超过1年D.由第三方机构审核答案：A8.以下哪种技术属于隐私计算范畴？A.联邦学习（FederatedLearning）B.区块链共识算法C.量子加密通信D.深度包检测（DPI）答案：A9.在渗透测试中，“横向移动”指的是？A.从外部网络突破到内部网络B.在已控制的主机上进一步渗透其他内部主机C.利用漏洞提升当前用户权限D.模拟正常用户行为绕过防御系统答案：B10.对抗样本攻击（AdversarialExampleAttack）主要针对哪种AI系统安全风险？A.模型训练数据隐私泄露B.模型推理结果被误导C.模型参数被窃取D.训练过程计算资源耗尽答案：B二、填空题（每空2分，共20分）1.常见的哈希算法中，已被明确建议淘汰的是______（如SHA1）。答案：SHA12.数据泄露事件发生后，根据《网络安全法》要求，运营者应在______小时内向省级以上网信部门报告。答案：723.零信任架构的“持续验证”通常包括身份验证、设备健康状态验证和______验证。答案：环境安全（或“上下文”）4.物联网设备的典型安全威胁包括固件漏洞、弱认证、______和拒绝服务攻击。答案：通信链路未加密（或“数据传输未加密”）5.访问控制模型中，______（RBAC）通过角色分配权限，而非直接给用户授权。答案：基于角色的访问控制6.量子密钥分发（QKD）的安全性基于______原理，而非计算复杂度。答案：量子不可克隆（或“量子力学基本”）7.防御钓鱼攻击的核心措施包括用户安全培训、______和邮件内容过滤。答案：链接真实性验证（或“域名/IP信誉检测”）8.数据库安全中，“行级加密”属于______（静态/传输/使用）数据保护技术。答案：静态9.工业控制系统（ICS）的典型安全协议是______（如ModbusTCP的安全扩展）。答案：ModbusSecurity（或“Modbus+TLS”）10.隐私计算中的“多方安全计算”（MPC）可在不泄露原始数据的前提下完成______。答案：联合计算（或“协同计算”）三、简答题（每题8分，共40分）1.简述“最小权限原则”（PrincipleofLeastPrivilege）的核心要求及其在实际系统中的应用场景。答案：核心要求：用户或进程仅被授予完成任务所需的最小权限，避免过度授权。应用场景示例：服务器管理员账户与普通用户账户权限分离；数据库用户仅能访问特定表而非整个数据库；云函数（Serverless）仅绑定必要的IAM角色权限。2.比较“渗透测试”与“漏洞扫描”的主要区别（从目标、方法、执行主体、结果输出四方面说明）。答案：目标：渗透测试旨在模拟真实攻击，验证系统整体防护能力；漏洞扫描仅发现已知漏洞。方法：渗透测试需人工利用漏洞尝试入侵；漏洞扫描依赖自动化工具检测。执行主体：渗透测试通常由专业安全团队或第三方机构执行；漏洞扫描可由运维人员使用工具完成。结果输出：渗透测试输出攻击路径与系统防护薄弱点分析；漏洞扫描输出漏洞列表及修复建议。3.列举《数据安全法》中关于数据分类分级保护的三个关键要求。答案：①明确数据分类分级的标准（如重要数据、一般数据）；②针对不同级别数据制定差异化保护措施（如访问控制、加密强度）；③对重要数据的处理活动需进行风险评估并备案。4.描述“供应链攻击”（SupplyChainAttack）的典型攻击路径，并举例说明。答案：攻击路径：攻击者通过渗透可信软件/硬件供应商的开发或分发环节，植入恶意代码，当用户下载或使用受污染的产品时，间接入侵目标系统。示例：2020年SolarWinds攻击中，攻击者篡改了Orion网络管理软件的更新包，通过合法分发渠道感染超18000家企业，进而渗透其内部网络。5.说明“同态加密”（HomomorphicEncryption）的技术特点及其在隐私保护中的应用价值。答案：技术特点：允许在加密数据上直接进行计算，结果解密后与明文计算结果一致（支持加法同态、乘法同态或全同态）。应用价值：在医疗数据共享中，医院可将加密病历上传至云端，第三方机构在不接触明文的情况下完成统计分析；金融机构间联合风控时，通过同态加密实现加密数据的协同计算，保护用户隐私。四、综合分析题（20分）某新能源汽车企业近期发生用户数据泄露事件，泄露数据包括20万条用户姓名、手机号、车辆VIN码及充电记录（含位置信息）。经初步调查：事件源头是企业官网后台管理系统的数据库接口未做身份验证，攻击者通过伪造请求直接下载数据库备份文件；数据库中用户手机号采用“明文存储”，充电位置信息仅做简单字符串替换（如“经纬度120.1,30.2”替换为“经纬度A,B”）；安全团队在事件发生36小时后才发现异常，且未启动应急预案。请结合网络安全相关法律法规及技术措施，分析该事件暴露的安全问题，并提出改进方案。答案：暴露的安全问题：（1）技术层面：①数据库接口未做身份验证（如缺少API密钥或JWT令牌校验），存在未授权访问漏洞；②敏感数据保护不足（手机号明文存储，位置信息脱敏不彻底，仅简单替换无法达到脱敏效果）；③日志监控缺失（未及时发现异常数据库下载请求）。（2）管理层面：①未制定或未有效执行数据泄露应急预案；②安全团队响应延迟（超过《网络安全法》要求的72小时报告时限虽未违规，但36小时才发现反映监控薄弱）；③数据分类分级不明确（未将用户位置信息界定为敏感数据并采取强保护措施）。改进方案：（1）技术措施：①对数据库接口实施严格身份验证（如OAuth2.0授权、API密钥白名单），并启用速率限制（如每分钟最多10次请求）；②敏感数据加密存储（手机号采用AES256加密，密钥由HSM管理），位置信息采用差分隐私（DifferentialPrivacy）技术脱敏（如添加随机噪声）；③部署数据库审计系统，监控异常数据查询/下载行为（如单IP单日下载超过1000条记录触发告警）。（2）管理措施：①制定《数据泄露应急预案》，明确发现确认阻断上报修复的流程（如要求2小时内确认事件，24小时内启动数据溯源）；②对用户数据进行分类分级（如手机号、位置信息为“高敏感”，VIN码为“一般敏感”），并匹配不同的访问控制策略（如高敏感数据仅允许2级以上管理员访问）；③定期开展安全培训（如开发人员的API安全设计培训、运维人员的日志分析培训）。五、实践操作题（20分）请使用Wireshark工具分析给定的网络流量捕获文件（traffic.pcap），完成以下任务：任务1：提取所有HTTPPOST请求的目标URL及提交的表单数据。任务2：识别其中是否存在敏感信息泄露（如密码、身份证号），并说明判断依据。任务3：给出防御此类泄露的技术措施。（注：假设traffic.pcap中包含以下关键流量：源IP00，目标IP（HTTP服务器），端口80；一条HTTPPOST请求的负载为“username=admin&password=P@ssw0rd123&address=上海市浦东新区”；另一条HTTPPOST请求的负载为“idcardemail=test@”。）答案及操作步骤：任务1操作步骤：1.打开Wireshark，导入traffic.pcap文件；2.在过滤栏输入“http.request.method==POST”，筛选所有HTTPPOST请求；3.选中任意一条POST请求，展开“HypertextTransferProtocol”层，查看“RequestURI”字段获取目标URL（如“/login.php”）；4.展开“FormEncoded”子层，查看“Formitem”获取表单数据（如“username=admin”“password=P@ssw0rd123”）。任务1结果示例：URL：/login.php，表单数据：username=admin&password=P@ssw0rd123&address=上海市浦东新区；URL：/register.php，表单数据：idcardemail=test@。任务2分析：存在敏感信息泄露：密码“P@ssw0rd123”通过明文HTTP传输（未使用HTTPS）；身份证号通过明文HTTP传输，符合18位