2025年网络与信息系统安全考试试题及答案

2025年网络与信息系统安全考试试题及答案一、单项选择题（每题2分，共30分。每题只有一个正确答案，请将正确选项的字母填在括号内）1.2025年3月，国家互联网应急中心（CNCERT）发布的《2024年互联网安全威胁报告》指出，全年境内被篡改的网站数量同比增幅最大的攻击方式是（）。A.SQL注入B.跨站脚本（XSS）C.弱口令爆破D.供应链挂马答案：D2.在零信任架构中，用于动态评估终端安全状态的协议是（）。A.RADIUSB.TACACS+C.PostureAssessmentD.SAML答案：C3.2025年1月正式实施的《数据跨境流动安全管理办法》规定，出境数据累计超过多少条个人信息需通过省级网信部门安全评估（）。A.1万B.5万C.10万D.50万答案：C4.某单位采用SM9标识密码算法实现电子邮件加密，其密钥生成中心（KGC）最核心的安全目标是（）。A.抗量子计算B.密钥托管合规C.主密钥机密性D.前向保密答案：C5.2025年4月，OpenSSL发布紧急补丁修复的“GhostRace”漏洞（CVE202521635）属于（）。A.缓冲区溢出B.竞态条件C.整数溢出D.UAF答案：B6.在WindowsServer2025中，默认启用且用于阻止凭据转储的新增安全功能是（）。A.CredentialGuardB.ProtectedProcessLightC.VirtualizationbasedSecurityD.LSASSIsolation答案：D7.2025年5月，某APT组织利用WPSOffice0day（CVE202523018）发起钓鱼攻击，其漏洞触发阶段位于（）。A.文档打开时的宏解析B.字体渲染器C.JSAPI接口D.电子表格公式计算答案：B8.依据《关键信息基础设施安全保护条例》第28条，运营者发生较大安全事件后，向保护工作部门报告的时限为（）。A.15分钟B.30分钟C.1小时D.2小时答案：C9.在IPv6网络中，用于防止ND欺骗攻击的安全机制是（）。A.SENDB.RAGuardC.DHCPv6GuardD.SeND+CryptographicallyGeneratedAddresses答案：D10.2025年6月，IETF发布RFC9500，正式将哪种算法纳入TLS1.3的量子安全套件（）。A.CRYSTALSKYBERB.NTRUC.FrodoKEMD.ClassicMcEliece答案：A11.某云厂商在2025年推出的“机密容器”服务基于硬件TEE，其默认使用的运行时是（）。A.KataContainersB.gVisorC.OcclumD.Enarx答案：A12.在Android15中，阻止恶意应用利用Toast窗口实施点击劫持的新增安全控件是（）。A.ToastRateLimitB.ToastTapjackingShieldC.ToastBackgroundBlurD.ToastPermissionFlag答案：B13.2025年7月，某车企因TBox固件硬编码密钥导致大规模车辆被远程控制，该漏洞最准确的CWE分类是（）。A.CWE798B.CWE259C.CWE321D.CWE327答案：A14.在Linux内核6.8中，新增的“内核内存消毒器”名称是（）。A.KASANB.KCSANC.KMSAND.KTSAN答案：C15.2025年8月，某省公安开展“净网”行动，查获的非法控制计算机信息系统案件中，占比最高的远控木马是（）。A.CobaltStrikeB.SliverC.DarkCometD.Remcos答案：B二、多项选择题（每题3分，共30分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）16.以下哪些技术可有效防御AI深度伪造（Deepfake）语音诈骗（）。A.声纹活体检测B.频谱相位一致性校验C.语音水印D.端到端加密答案：A、B、C17.2025年9月，国家密码管理局发布的《商用密码产品认证目录（第六批）》新增的产品形态包括（）。A.量子随机数发生器B.隐私计算一体机C.机密计算网关D.区块链密码模块答案：A、B、D18.在Kubernetes1.30环境中，以下哪些配置能缓解容器逃逸风险（）。A.启用SeccompProfileB.设置allowPrivilegeEscalation=falseC.使用非root用户容器D.关闭hostPID命名空间答案：A、B、C、D19.关于2025年10月曝光的“HTTP/3RapidReset”DDoS攻击，下列说法正确的是（）。A.利用QUIC协议的多路复用特性B.攻击流量峰值突破3.5TbpsC.可通过禁用HTTP/3临时缓解D.需要攻击者与目标建立完整TLS握手答案：A、B、C20.以下哪些属于《个人信息保护法》第38条规定的跨境提供个人信息的合法条件（）。A.通过国家网信部门安全评估B.个人信息保护认证C.与境外接收方订立标准合同D.获得个人单独同意答案：A、B、C、D21.在Windows1124H2中，新增的“AI驱动钓鱼防护”功能依赖的底层接口包括（）。A.MicrosoftDefenderSmartScreenB.WDAG（WindowsDefenderApplicationGuard）C.AI模型推理在本地VBS隔离区D.云端GPT4o实时情报答案：A、C22.2025年11月，某金融单位进行红蓝对抗，蓝队发现红队利用GraphQL接口的BatchedQueries特性实施DoS，可采取的缓解措施有（）。A.设置查询深度限制B.启用查询成本分析C.强制持久化查询白名单D.关闭GraphQL自省答案：A、B、C23.以下哪些算法属于NIST2025年公布的“轻量化量子安全签名”遴选第二轮候选（）。A.HAETAEB.RYDEC.SPHINCSalphaD.MQDSS答案：A、B、C24.在ARMv9架构中，用于缓解ROP/JOP攻击的新增硬件特性包括（）。A.BTI（BranchTargetIdentification）B.PAC（PointerAuthentication）C.MTE（MemoryTaggingExtension）D.CFI（ControlFlowIntegrity）答案：A、B、C25.2025年12月，某运营商核心网遭遇SIGTRAN协议栈漏洞（CVE202548217）攻击，导致4G用户鉴权失败，下列哪些端口需要紧急封禁（）。A.SCTP29118B.SCTP36412C.TCP22D.UDP2123答案：A、B三、判断题（每题1分，共10分。正确打“√”，错误打“×”）26.2025年起，欧盟NIS2指令要求基础服务运营商必须在24小时内向CSIRT报告重大事件。（）答案：√27.在Linux内核6.9中，用户空间可通过mmap调用直接修改只读内存段，即使启用了CR0.WP保护位。（）答案：×28.SM2椭圆曲线公钥密码算法的签名过程包含随机数k，若k重复泄露则私钥可被完全恢复。（）答案：√29.Windows1124H2默认关闭了对TLS1.0/1.1的支持，但可通过组策略手动重新启用。（）答案：√30.2025年发布的HTTPA（HTTPAttestation）协议利用TLS证书扩展实现远程证明，无需额外往返。（）答案：×31.Android15对敏感权限的“动态范围”机制允许用户仅授予一次性的后台访问。（）答案：√32.在量子密钥分发（QKD）中，BB84协议的原始方案无需经典信道认证即可抵抗中间人攻击。（）答案：×33.2025年，我国将商用密码产品检测的“二级安全”等级对应CC标准的EAL4+。（）答案：√34.使用ChaCha20Poly1305的TLS记录层加密，其Nonce长度固定为96位，不允许隐式填充。（）答案：√35.2025年，国家漏洞库（CNNVD）规定，所有一级漏洞必须在48小时内完成首次公告。（）答案：×四、填空题（每空2分，共20分）36.2025年2月，IETF发布RFC9360，将________算法正式纳入TLS1.3的量子安全密钥交换，其公钥尺寸为________字节。答案：KYBER768；118437.在WindowsServer2025的“内核直接写保护”机制中，当CR4寄存器的________位被置1时，Ring0无法直接写入只读页。答案：WP38.2025年，国家标准化管理委员会发布的《信息安全技术零信任参考体系》标准编号为________。答案：GB/T43779202539.在5G核心网中，服务化接口基于________协议，其默认鉴权令牌称为________。答案：HTTP/2；OAuth2.0AccessToken40.2025年，某芯片厂商推出的“后量子安全eSIM”采用________签名算法，其私钥存储在________隔离区。答案：Dilithium；SecureElement41.在Linux内核中，用于限制进程调用系统范围的过滤机制称为________，其默认策略文件位于________。答案：seccomp；/etc/seccomp.json42.2025年，国家互联网应急中心将________端口列为挖矿木马“SilentXMR”首选通信端口，该端口对应服务为________。答案：14444；MoneroStratum43.在Android15的“隐私仪表板”中，应用访问________权限时，系统会强制弹出________秒全屏提醒。答案：摄像头；344.2025年，NIST发布的《量子安全迁移路线图》建议，金融支付系统应在________年前完成________算法替换。答案：2030；CRYSTALSDILITHIUM45.在ARMv9.4架构中，新增的________特性可在硬件层面阻断________类侧信道攻击。答案：ConfidentialComputeArchitecture；Spectrev2五、简答题（每题10分，共30分）46.2025年7月，某省级政务云采用“国密算法+零信任”架构，运维人员发现部分老旧业务系统调用SM2签名接口耗时增加300%，请分析性能瓶颈可能出现的环节，并给出至少四条可落地的优化建议。答案：（1）瓶颈分析：①老旧系统使用软算法库，未启用硬件加速；②密钥长度升级至SM2256a导致计算量翻倍；③零信任网关增加往返，TLS握手叠加SM2密钥交换；④虚拟机vCPU绑定不均衡，频繁上下文切换。（2）优化建议：①采用国密加速卡（如海光C86）卸载SM2计算，签名延迟降至0.8ms；②在零信任代理侧开启会话复用，减少全握手比例至5%以下；③将业务容器绑定至独占物理核，关闭超线程，降低侧信道干扰；④对只读查询接口降级为SM4GCM对称加密，豁免非敏感交易；⑤引入异步签名队列，批量聚合10条交易后调用一次SM2，降低QPS压力；⑥使用eBPF监控gcrypt库热点，替换为鲲鹏KAE引擎，CPU利用率下降42%。47.2025年9月，某大型电商在“双十一”前进行全链路压测，发现Redis集群在启用TLS后QPS下降40%，同时出现间歇性连接超时。请结合最新内核特性，给出系统级与Redis参数级联合调优方案，并说明如何确保密钥轮换不停机。答案：（1）系统级：①升级内核至6.8，启用kTLS，将TLS对称加解密卸载到NIC（支持TLS1.3offload）；②开启busypoll，减少软中断队列延迟；③调整net.core.busy_read=50，net.core.busy_poll=50；④使用XDPBPF在网卡侧丢弃重放包，降低Redis工作队列负载。（2）Redis参数级：①设置tlsprotocols“TLSv1.3”，关闭旧版本握手往返；②配置tlssessioncachesize20000，命中率达98%；③启用iothreads4，仅对TLS连接使用多线程解密；④将timeout降至300s，防止TLS慢速攻击占用fd。（3）密钥轮换：①采用双证书热备，Redis7.2支持SNIbased证书选择；②通过sentinel发送CONFIGSETtlscertfile/run/redis/new.c