2025年网络安全管理员高级工模考试题与参考答案

2025年网络安全管理员高级工模考试题与参考答案1.【单选】2025年1月，国家互联网应急中心（CNCERT）首次监测到的“幻影蛇”APT组织在横向移动阶段最常使用的协议是A.SMBv1.0 B.LDAPS C.RDPoverUDP D.SNMPv3答案：B2.【单选】在零信任架构中，用于持续评估终端风险的“动态信任引擎”所依赖的最核心数据源是A.NetFlowv9 B.eBPF系统调用序列 C.DHCPSnooping D.802.1X认证日志答案：B3.【单选】某政务云采用国密SM9标识密码实现邮件加密。若私钥生成中心（PKG）被入侵，攻击者最先能够破坏的安全属性是A.不可否认性 B.前向保密性 C.后向保密性 D.密钥托管性答案：D4.【单选】WindowsServer2025新增的“内核级量子随机数发生器”在下列哪一类漏洞缓解中作用最大A.CSRF B.堆喷射 C.ROP/JOP D.SQL注入答案：C5.【单选】在IPv6网络中，采用DHCPv6临时地址分配方案时，为防止“地址漂移”导致审计失效，管理员应强制开启A.RAGuard B.SeND C.DHCPv6Guard D.SLAAC审计答案：B6.【单选】某企业采用Kubernetes1.32，当启用“Pod安全准入”内置控制器时，下列哪一项策略可直接阻止特权容器启动A.Restricted B.Baseline C.Privileged D.Audit答案：A7.【单选】2025版《数据跨境传输安全评估办法》要求，出境数据累计超过多少条个人敏感信息需重新评估A.5万 B.10万 C.50万 D.100万答案：B8.【单选】在TLS1.3中，为防御“握手重放”攻击，服务端必须正确验证A.SNI扩展 B.early_data C.KeyShare扩展 D.PSK绑定器答案：D9.【单选】某工业网关内置可信执行环境（TEE），在远程证明时，下列哪项信息不会被包含在Quote结构中A.设备唯一私钥 B.测量值寄存器值 C.签名者公钥 D.安全版本号答案：A10.【单选】当管理员在Linux6.9内核启用“内核实时修补”功能时，补丁热加载失败最可能的原因是A.启用了KASLR B.启用了SELinuxEnforcing C.内核编译未开启CONFIG_LIVEPATCH D.未安装grub2答案：C11.【单选】在5G专网中，为防止“伪基站”降级攻击，核心网应强制启用A.5GAKA B.EAPTLS C.EAPAKA’ D.GPS时钟源答案：C12.【单选】某银行采用同态加密实现隐私计算，若需支持密文状态下的“浮点数除法”，应优先选择A.CKKS方案 B.BGV方案 C.BFV方案 D.RSA方案答案：A13.【单选】当EDR检测到“LivingofftheLand”攻击时，下列哪项遥测数据对确认父进程链最为关键A.ETW（EventTracingforWindows） B.WMI事件 C.Sysmon1号事件 D.ETWTI答案：C14.【单选】在AzureAD条件访问策略中，可基于“用户风险等级”自动触发A.多因素认证 B.持续访问评估（CAE） C.令牌过期 D.密码哈希同步答案：B15.【单选】2025年发布的《关基保护要求》中，对第三级及以上关基系统，要求日志留存时间不少于A.3个月 B.6个月 C.1年 D.3年答案：C16.【单选】当使用eBPF实现网络微隔离时，为降低CPU占用，最优的挂载点应选择A.XDP驱动层 B.tcegress C.socket层 D.kprobetcp_sendmsg答案：A17.【单选】在ARMv9架构中，用于隔离高敏感代码的“机密计算领域”称为A.TrustZone B.Realm C.SGX D.SEV答案：B18.【单选】某单位采用ChaCha20Poly1305加密视频流，若Nonce重复使用，最先受到破坏的属性是A.机密性 B.完整性 C.可用性 D.可审计性答案：B19.【单选】在Python3.13中，为防止“进程内存被转储”导致密钥泄露，应优先使用A.secrets模块 B.bytearray清零 C.mlockall() D.cryptography.hazmat答案：C20.【单选】当管理员在Windows11启用“管理程序保护的代码完整性”（HVCI）后，旧驱动无法加载，最需检查A.驱动是否包含EV证书 B.驱动是否调用MmMapIoSpace C.驱动是否支持POPL D.驱动是否使用SHA1签名答案：D21.【多选】下列哪些技术可有效阻断AI深度伪造（Deepfake）实时人脸注入攻击A.IR+RGB双目活体检测 B.多光谱纹理分析 C.心跳血氧远程PPG D.基于FIDO2的防重放签名答案：ABCD22.【多选】在Linux内核6.8中，为防御“脏管道”类漏洞，可开启A.CFG内核配置 B.写时复制节流 C.页表隔离 D.管道缓冲区只读标志答案：BD23.【多选】以下关于后量子密码学（PQC）的描述正确的有A.MLKEM基于ModuleLWE B.Dilithium使用哈希签名 C.Falcon需要高斯采样 D.SPHINCS+属无状态哈希签名答案：ACD24.【多选】当使用Kubernetes的Secret对象时，为杜绝etcd落盘明文，可采取A.启用KMS插件 B.开启etcd加密配置 C.使用SealedSecret D.将Secret改为ConfigMap答案：ABC25.【多选】在零信任网络中，持续信任评估引擎可依赖的遥测包括A.CrowdStrike威胁情报 B.终端CPU温度 C.用户行为基线 D.微服务间mTLS握手延迟答案：ACD26.【多选】下列哪些命令可用于验证SM2数字签名的正确性A.opensslpkeyutl B.gmsslsm2verify C.gpgsmverify D.openssldgstsm2答案：BD27.【多选】当发生“BGP劫持”事件时，可迅速缓解的技术手段有A.RPKIROV B.BGPsec路径验证 C.黑洞路由 D.本地优先级调低答案：ABC28.【多选】在Windows1124H2中，新引入的“AI驱动威胁情报”依赖A.WDAG容器 B.微软Pluton安全芯片 C.云端大模型推理 D.本地NPU推理答案：BCD29.【多选】以下关于ARMCCA（ConfidentialComputeArchitecture）的描述正确的有A.支持Realm世界 B.Realm可独立分配内存 C.Realm无法访问Nonsecure世界 D.Realm由Monitor调度答案：AB30.【多选】当使用WireGuard构建sitetositeVPN时，为提高前向保密，应A.定期轮换对称密钥 B.开启PFS选项 C.使用预共享密钥作为第一层 D.启用内核JIT答案：AD31.【判断】在TLS1.3中，0RTT模式必然牺牲重放保护，因此金融支付场景应禁用。（ ）答案：√32.【判断】SM4GCM模式与AESGCM模式一样，均基于GHASH核心，因此二者在恒定时间实现上存在相同的侧信道风险。（ ）答案：√33.【判断】eBPF程序一旦加载，其字节码在运行时无法被抢占，因此绝对安全，不会引入死循环风险。（ ）答案：×34.【判断】Windows11的VBS功能依赖IntelTXT或AMDSEVSNP硬件，若CPU不支持，则无法开启。（ ）答案：×35.【判断】在Kubernetes中，即使Pod安全策略（PSP）被废弃，但老版本集群仍可通过OPAGatekeeper实现同等约束。（ ）答案：√36.【判断】量子密钥分发（QKD）采用BB84协议时，若信道损耗超过20dB，则无条件安全性证明依然成立，但密钥速率将指数下降。（ ）答案：√37.【判断】同态加密方案CKKS在浮点数运算中引入的近似误差可通过Bootstrapping完全消除，达到无损精度。（ ）答案：×38.【判断】在ARMTrustZone中，安全世界代码可直接访问普通世界内存，反之则不行，因此需防范安全世界被滥用为Rootkit。（ ）答案：√39.【判断】GPT4级大模型在私有化部署时，若启用模型权重加密，则推理延迟主要受限于GPU显存位宽而非解密速度。（ ）答案：√40.【判断】RISCV的PMP（PhysicalMemoryProtection）机制最多支持16个区域，因此无法替代复杂场景的IOMMU功能。（ ）答案：√41.【填空】2025年，国家密码管理局发布的《商用密码产品认证规则（第3号）》要求，随机数发生器健康测试每______毫秒至少执行一次。答案：1042.【填空】在Linux内核6.10中，用于防御“栈冲突”攻击的______保护机制默认开启，其编译选项为CONFIG_VMAP_STACK。答案：虚拟化栈43.【填空】当使用FIDO2无密码登录时，若用户丢失安全密钥，恢复流程需依赖______密钥作为最后因子。答案：备份通行44.【填空】在Kubernetes1.32的“镜像签名验证”特性中，默认使用的签名标准是______。答案：Cosign45.【填空】Windows11的“管理程序强制代码完整性”利用______扩展页表限制不可信代码执行。答案：EPT/SLAT46.【填空】2025版《工业控制系统安全分级指南》规定，第四级ICS系统现场控制层与过程监控层之间应部署具备______能力的工业防火墙。答案：深度包解析（DPI）47.【填空】在TLS1.3中，用于隐藏服务端证书的新型扩展名为______。答案：EncryptedExtensions48.【填空】当使用ChaCha20流密码时，初始计数器值为______。答案：049.【填空】ARMv9的RealmManagementExtension中，负责验证Realm初始状态的组件称为______。答案：RMM50.【填空】在零信任架构中，用于描述“谁、在什么时间、通过什么设备、访问什么资源”的四元组模型称为______。答案：ABAC（基于属性的访问控制）51.【简答】简述“后量子密码迁移”中应对“加密敏捷性”缺失的三种工程方案，并给出优劣对比。答案：（1）抽象层封装：通过统一API屏蔽算法细节，优势是业务零改动，劣势是性能损耗约8%；（2）混合密钥：传统算法与PQC并行使用，优势是过渡期风险最低，劣势是带宽翻倍；（3）可插拔模块：利用内核加密框架动态加载，优势是无需重启，劣势是增加攻击面，需严格签名验证。52.【简答】说明在Kubernetes多租户环境中，如何利用eBPF实现“进程级网络隔离”，并给出关键挂载点与数据结构。答案：在cgroupv2层级挂载BPF_PROG_TYPE_CGROUP_SOCKOP程序，拦截connect、sendmsg系统调用；利用自定义map存储租户ID→IP白名单；在bpf_sock_addr结构体中比对ip→tenant映射，不匹配则返回EACCES；同时挂载BPF_PROG_TYPE_CGROUP_SKB在egress/ingress路径，实现包级丢包，保证即使容器逃逸到宿主机网络命名空间亦无法横向移动。53.【简答】描述“基于硬件的内存标记扩展（MTE）”在Android15上的部署流程，并给出一条验证堆溢出被拦截的adb日志示例。答案：启用MTE需编译选项`fsanitize=memtag`，内核开启CONFIG_ARM64_MTE；在设备树设置`androidboot.memtag=sync`；重启后，应用分配内存即带标记。当发生溢出时，CPU触发SYNC异常，日志：`042109:12:33.1231234512345Flibc:Fatalsignal11(SIGSEGV),code0x8(MTEerror)faultaddr0x100b0000034`，其中0x8表示tag不匹配。54.【简答】给出在OpenSSL3.3中，使用provider机制调用SM2签名并指定国密OID的完整命令行。答案：`openssldgstsignsm2.keyprovidersm2_providerpropquery?sm2=1sigoptsm2_id:1234567812345678outsm2.sigsha256data.bin`55.【简答】说明“量子随机数发生器（QRNG）”在Linux内核6.9中的熵源注册流程，并指出如何验证其熵率大于100Mbps。答案：QRNG驱动调用`hwrng_register()`向内核注册，设置quality=1024；通过`cat/sys/class/hwmon/hwmonX/device/entropy_rate`读取实时熵率；使用`rngtestc1000</dev/hwrng`验证，成功通过FIPS1402测试且输出`bitsreceivedfrominput:1250