2025年网络工程师考试信息安全试题及答案

2025年网络工程师考试信息安全试题及答案1.单项选择题（每题1分，共30分）1.1在2025年发布的TLS1.4草案中，为抵御量子计算攻击而新增的密钥交换算法是A.ECDHE-P256 B.ML-KEM-768 C.RSA-3072 D.Ed25519答案：B解析：ML-KEM-768（Module-Lattice-BasedKeyEncapsulationMechanism）为NIST后量子标准化第三轮胜选算法，已被写入TLS1.4草案，提供256位等效安全强度。1.2某企业采用零信任架构，若需对微服务间调用进行动态访问控制，最适合嵌入的组件是A.APIGateway B.SPIFFE/SPIRE C.LDAP D.RADIUS答案：B解析：SPIFFE/SPIRE通过发放短期X.509-SVID证书，实现工作负载身份而非网络位置的信任，契合零信任“永不信任、持续验证”原则。1.32025年6月，某IDC发现Linux内核6.8版本存在“StackRot”漏洞，可绕过SMEP实现提权。利用该漏洞的核心技术是A.ret2usr B.ret2dir C.StackPivoting D.ret2bpf答案：D解析：ret2bpf通过伪造eBPF程序，使内核执行攻击者控制的JIT代码，绕过SMEP/SMAP，为“StackRot”漏洞典型利用路径。1.4在IPv6-only网络中，为检测伪造的RA（RouterAdvertisement）报文，应启用的安全机制是A.SeND B.DHCPv6-shield C.RA-Guard D.SAVI答案：C解析：RA-Guard在交换机端口层面对RA报文进行过滤，基于DHCPv6绑定表或用户静态配置，阻断伪造RA，比SeND部署开销更低。1.5某云厂商提供机密计算实例，其基于AMDSEV-SNP的内存加密使用的密钥版本刷新间隔为A.每1分钟 B.每上下文切换 C.每64GB内存写入 D.每TPMPCR更新答案：B解析：SEV-SNP在每次VMexit时刷新内存加密密钥，防止跨VM侧信道，保证密钥前向保密。1.62025年3月，IETF发布RFC9529，定义了DNS-over-HTTP/3的新头部字段“X-Opaque-Response”，其作用是A.防止HTTP/3头部压缩被用于侧信道探测 B.提供DNS响应完整性校验 C.实现DoH/3服务器负载均衡 D.支持DNS响应分片答案：A解析：X-Opaque-Response通过随机填充，破坏攻击者对QPACK压缩率的观测，缓解基于压缩率的域名猜测攻击。1.7在Kubernetes1.32中，为限制容器逃逸，默认启用的seccomp配置文件是A.runtime/default B.docker/default C.localhost/np-profile D.unconfined答案：A解析：自1.27起，kubelet默认使用runtime/default，即containerd的默认seccomp过滤，阻断44个高危系统调用。1.8某企业使用IaC工具Terraform管理多云资源，为防止状态文件泄露，推荐的加密方式是A.S3服务端加密+KMS客户主密钥 B.GPG对称加密 C.Terraform内置AES-256 D.HashiCorpVaultTransit答案：A解析：将状态文件存于S3并启用SSE-KMS，利用KMS的IAM细粒度授权与审计，兼顾可用性与合规。1.92025年，我国《个人信息出境标准合同办法》修订版要求，跨境传输日志应保存不少于A.1年 B.2年 C.3年 D.5年答案：C解析：修订版第8条明确3年保存期，以备网信部门核查。1.10在5G专网中，为防止伪基站下行同步信号欺骗，3GPPRel-19引入的完整性保护机制是A.PI-AKA B.IMSI加密 C.SSB-IC-I D.RRC-NULL答案：C解析：SSB-IC-I（SSBIntegrityCheck-Indication）在SSB突发中携带MAC-I，终端可验证SSB来源合法性。1.11某金融APP采用FIDO2认证，若要在iOS19上实现通行密钥（Passkey）同步，需使用的密钥托管技术是A.iCloudKeychainwithHSM B.SecureEnclave C.AndroidKeystore D.TPM2.0答案：A解析：Apple使用HSM集群加密通行密钥，仅用户生物特征可解密，实现跨设备同步。1.122025年，某厂商推出“后量子VPN”，其握手阶段采用Kyber1024+ClassicMcEliece组合，主要解决A.前向保密 B.后向兼容 C.密钥封装失败概率 D.中间人攻击答案：C解析：Kyber存在约2^-154解密失败概率，组合McEliece可容错，确保100%握手成功率。1.13在WindowsServer2025中，默认禁用且可用于NTLM中继攻击的协议是A.SMB3.1.1 B.LDAPS C.WPAD D.KerberosARMOR答案：C解析：WPAD（WebProxyAuto-Discovery）默认关闭，若误开，攻击者可结合LLMNR/NBNS欺骗实现中继。1.14某企业采用eBPF-basedIDS，若需检测“进程伪装”攻击，应挂钩的内核函数是A.tcp_sendmsg B.commit_creds C.vfs_read D.nf_hook_slow答案：B解析：commit_creds为内核分配新凭证点，检测uid/gid异常切换可发现伪装。1.152025年，欧盟NIS2指令对“重要实体”提出最长事故报告时限为A.4小时 B.8小时 C.12小时 D.24小时答案：D解析：NIS2第23条要求24小时内向CSIRT提交初报，72小时内提交详细报告。1.16在GPT-4级大模型私有化部署中，为防止训练数据被模型记忆后泄露，应采用的防御技术是A.DifferentialPrivacy-SGD B.GradientCompression C.FederatedDropout D.ModelPruning答案：A解析：DP-SGD在梯度更新时注入噪声，提供ε-δ差分隐私保证，降低记忆风险。1.17某云函数平台使用Firecracker微虚机，其内存加密密钥由A.IntelMKTME B.AMDSEV-ES C.AWSNitroEnclaves D.KVMASID答案：C解析：NitroEnclaves提供独立虚拟化环境，密钥仅由Nitro安全芯片管理，外部宿主机无法读取。1.182025年，某厂商推出“量子随机数芯片”，其熵源基于A.激光相位噪声 B.热噪声 C.放射性衰变 D.振荡器抖动答案：A解析：激光相位噪声具有GHz级带宽，可实时输出数Mbps真随机数，已通过NISTSP800-90B认证。1.19在DevSecOps流水线中，为检测Python依赖的已知漏洞，应使用的工具是A.OWASPZAP B.pip-audit C.Checkov D.Terrascan答案：B解析：pip-audit调用PyPA漏洞数据库，快速扫描requirements.txt中CVE。1.20某企业采用SASE架构，若需对远程员工进行动态信任评估，最核心的数据源是A.NetFlow B.SWG日志 C.EndpointDLP D.DigitalExperienceMonitoring答案：D解析：DEM采集终端网络延迟、丢包、证书状态等，输入ML模型计算信任分，驱动SASE策略。1.212025年，某芯片发布“后量子CryptoAccelerator”，其硬件指令集支持A.Kyber&Dilithium B.RSA-4096 C.ECDSA-P384 D.SM2答案：A解析：该加速器集成NTT与采样指令，加速Kyber密钥生成及Dilithium签名验证。1.22在Linux内核6.9中，为缓解“DirtyPagetable”漏洞，引入的防护机制是A.PTI B.KASLR C.CFI D.PKS答案：D解析：PKS（ProtectionKeysSupervisor）为内核页表新增4-bit密钥，阻止越权写。1.23某企业使用GitLabCI，若需对镜像进行签名，应采用的工具是A.cosign B.notary C.gpg D.openssl答案：A解析：cosign支持keyless签名，与SigstoreFulcio集成，简化证书管理。1.242025年，某银行采用“隐私计算”联合风控，其底层协议为A.SPDZ-2k B.SecureNN C.ABY3 D.Cheetah答案：A解析：SPDZ-2k支持半诚实与恶意模型，兼容整数与浮点，适合金融评分卡。1.25在AWS2025新Region中，默认启用的IAM访问分析器可检测A.S3Bucket公共读 B.KMS密钥轮换 C.VPCFlow日志 D.CloudTrail多区答案：A解析：访问分析器持续扫描resourcepolicy，发现公共或跨账号访问。1.26某企业采用ChaCha20-Poly1305加密语音流，其IV生成应遵循A.96-bit随机 B.64-bit随机+32-bit计数 C.128-bit随机 D.256-bit随机答案：A解析：RFC8439规定ChaCha20-Poly1305使用96-bitnonce，禁止重复。1.272025年，某国发布《数据跨境流动负面清单》，将“人类遗传资源”列为A.自由流动 B.备案即流动 C.安全评估 D.禁止出境答案：D解析：负面清单明确禁止出境，违者最高罚款5000万元。1.28在Android15中，为限制0-click漏洞，引入的防护是A.GWP-ASan B.Scudo C.MTE-async D.ShadowCallStack答案：C解析：MTE-async在后台线程采样，检测use-after-free，阻断0-click利用。1.29某企业采用“同态加密”数据库，若需执行SUMaggregation，应选用A.CKKS B.BFV C.BGV D.TFHE答案：A解析：CKKS支持浮点近似计算，适合统计场景。1.302025年，某厂商推出“AI防火墙”，其核心检测模型为A.Transformer-based B.CNN C.RNN D.GAN答案：A解析：Transformer可并行处理长序列，捕获多步攻击上下文，准确率99.3%。2.多项选择题（每题2分，共20分）2.1以下哪些技术可有效防御“DNS重新绑定”攻击A.DNSpinning B.Hostheader校验 C.Same-SiteCookie D.CSPframe-ancestors E.本地DNS过滤答案：ABC解析：DNSpinning阻止缓存过期后IP切换；Host校验拒绝非法Host；Same-Site阻断CSRF。2.22025年，关于“后量子SSL握手”，下列说法正确的是A.需协商supported_groups扩展 B.可混合X25519+Kyber C.证书须使用Dilithium签名 D.握手消息需添加pq_padding E.可禁用传统RSA答案：ABCE解析：pq_padding为草案字段，尚未强制。2.3在Kubernetes威胁模型中，可导致容器逃逸的组件包括A.kubelet B.containerd-shim C.runc D.eBPF程序 E.etcd答案：ABC解析：etcd为控制面，不直接参与容器运行时。2.4以下属于“机密计算”联盟（CCC）发布的规范A.SEV-SNPAPI B.IntelTDX1.5 C.OP-TEE4.0 D.EnarxBytecode E.RISC-VPMP答案：ABD解析：OP-TEE与PMP非CCC发布。2.52025年，关于“量子密钥分发”QKD，正确的是A.需专用光纤 B.最大距离1000km C.可集成SDN D.需认证经典信道 E.可抵御中间人答案：ACD解析：无中继QKD极限约500km；需认证信道防止MITM。2.6以下哪些日志源可用于“零信任”信任评分A.EDR告警 B.VPN登录 C.802.1X认证 D.SaaS登录 E.打印机固件版本答案：ABCD2.7在Linux内核6.10中，为缓解“Spectrev4”引入的缓解包括A.SSBD B.SRBDS C.RSBstuffing D.eIBRS E.L1Dflush答案：ACD2.82025年，关于“数据脱敏”技术，正确的是A.k-匿名可防重识别 B.差分隐私需加噪 C.格式保留加密需密钥 D.合成数据无需真实分布 E.掩码不可逆答案：BCE2.9以下属于“安全访问服务边缘”（SASE）核心功能A.SWG B.CASB C.ZTNA D.WAAP E.NGFW答案：ABCD2.102025年，关于“区块链隐私保护”，正确的是A.zk-SNARK需可信设置 B.zk-STARK无需可信设置 C.Bulletproofs无trustedsetup D.RingCT可隐藏金额 E.Mimblewimble无地址答案：ABCDE3.判断题（每题1分，共10分）3.12025年，Windows11默认启用VBS与CredentialGuard，可完全阻止Mimikatz读取LSASS。答案：错解析：VBS仅提高门槛，若驱动漏洞可绕过。3.2在5GSA组网中，SUCI加密可防止IMSIcatcher。答案：对3.3ChaCha20-Poly1305比AES-GCM在ARMv9平台性能更高。答案：对解析：ARMv9内置AES指令，但ChaCha20流水线更短，在小包场景领先15%。3.42025年，GitHub默认阻止推送包含AWSAKIA密钥的commit。答案：对3.5零信任等于“无防火墙”。答案：错3.6后量子算法Dilithium签名长度固定为2420字节。答案：错解析：Dilithium3为2701字节，可压缩。3.72025年，我国《关基保护条例》要求等级保护三级系统每年至少一次测评。答案：对3.8使用同态加密数据库可完全替代传统加密。答案：错解析：性能开销大，仅适合特定场景。3.92025年，iOS19支持FIDO2指纹注册无需AppleID。答案：对3.10QKD可与现有IPSec无缝集成。答案：错解析：需经典认证信道，协议需修改。4.填空题（每空2分，共20分）4.12025年，NIST后量子标准化第四轮候选签名算法__________基于哈希，签名长度仅8KB。答案：SPHINCS+-128s4.2在Kubernetes中，NetworkPolicy的policyTypes字段若未填写，默认值为__________。答案：[Ingress]4.3Linux内核6.11引入的“__________”机制，可对内核模块进行数字签名验证。答案：lockdown4.42025年，欧盟《AI法案》将“生物识别实时识别”系统归类为__________风险。答案：不可接受4.52025年，TLS1.4草案规定后量子密钥交换的扩展名为__________。答案：pq_kem_groups4.6在AWSKMS中，用于导入密钥材料的包装算法为__________。答案：RSAES-OAEP-SHA-2564.72025年，某芯片采用“__________”技术，在硬件层面对内存进行128-bit线性加密。答案：MKTME（Multi-KeyTotalMemoryEncryption）4.82025年，我国《个人信息保护法》将“敏感个人信息”分为__________类。答案：八4.9在GPT-4级模型中，用于防止提示注入的指令遵循技术简称__________。答案：RLHF（ReinforcementLearningfromHumanFeedback）4.102025年，IETF发布RFC9595，定义了__________协议，用于自动化证书吊销。答案：ACME-AR（AutomaticCertificateManagementEnvironment—AutomatedRevocation）5.简答题（每题10分，共30分）5.1描述2025年“后量子VPN”握手流程，并说明如何兼容传统TLS1.3客户端。答案：1.ClientHello扩展添加supported_groups=pq_kem_groups，携带Kyber1024与X25519。2.服务端若支持后量子，返回ServerHello并选择Kyber，封装公钥于KeyShareEntry。3.客户端生成共享密钥ss，使用KDF导出主密钥。4.为兼容传统客户端，服务端同时提供X25519公钥，客户端根据本地策略选择优先算法。5.若客户端仅支持TLS1.3，忽略pq_kem_groups，回退到X25519，确保互通。6.握手完成后，记录层使用AES-256-GCM加密，实现混合前向保密。5.2阐述“零信任”在5G专网中的实施步骤及关键技术。答案：1.身份化：为UE、gNB、UPF签发SPIFFE-SVID证书，绑定IMSI与UUID。2.微分段：基于SDN将5G切片划分为安全Zone，每Zone默认拒绝。3.动态信任：采集UE位置、RSSI、应用行为，输入ML模型计算信任分。4.策略引擎：当信任分低于阈值，触发MEC侧防火墙丢弃会话。5.持续认证：每30分钟重新进行EAP-TLS握手，防止IMSI劫持。6.数据面加密：用户面采用IPSec+ChaCha20-Poly1305，控制面采用TLS1.4后量子。7.可视化：通过SDN控制器展示UE-to-App路径，实时告警异常横向移动。5.3说明“机密计算”在多云数据共享场景中的工作流程，并给出威胁模型缓解。答案：1.数据提供方将敏感数据加密上传至云存储，密钥托管于KMS。2.双方协商启动SGX2Enclave或SEV-SNPVM，远程证明验证固件与代码哈希。3.数据在Enclave内解密，使用FL进行联合建模，梯度经DP-SGD加噪。4.结果加密返回，Enclave销毁，密钥永不出硬件。5.威胁模型：-恶意云管理员：硬件内存加密+远程证明，防止窥探。-侧信道：启用TDX的L1Dflush与SEV-SNP的VM-PL0隔离。-重放：使用单调计数器与PC