2025年全国网络信息安全技术知识竞赛题库50题及答案

2025年全国网络信息安全技术知识竞赛题库50题及答案一、单项选择题（每题1分，共15分。每题只有一个正确答案，请将正确选项字母填入括号内）1.我国《网络安全法》正式施行的日期是（）A.2016年11月7日 B.2017年6月1日 C.2018年1月1日 D.2019年12月1日答案：B2.在SSL/TLS握手阶段，用于协商对称加密算法的是（）A.ClientHello B.ServerHelloDone C.ChangeCipherSpec D.Finished答案：A3.下列哪一项不是对称加密算法（）A.SM4 B.AES256 C.RSA2048 D.3DES答案：C4.关于零信任架构的核心原则，错误的是（）A.永不信任，持续验证 B.默认信任内网流量 C.最小权限访问 D.动态访问控制答案：B5.在Windows系统中，用于强制完整性控制的标签级别中，等级最高的是（）A.Medium B.High C.System D.TrustedInstaller答案：C6.以下哪条命令可以查看Linux系统当前已加载的内核模块（）A.lsmod B.lsblk C.lspci D.lsattr答案：A7.针对日志文件进行完整性保护时，最常用的哈希算法组合是（）A.MD5+CRC32 B.SHA1 C.SHA256+HMAC D.RIPEMD160答案：C8.在IPv6中，用于替代ARP的协议是（）A.NDP B.IGMPv6 C.DHCPv6 D.MLD答案：A9.关于GDPR中对数据泄露通知时限的要求，控制者应在知悉后最迟（）小时内向监管机构报告。A.12 B.24 C.48 D.72答案：D10.在公钥基础设施PKI中，负责存储并发布已吊销证书的是（）A.RA B.OCSP C.CRL D.CA答案：C11.以下哪类漏洞最可能被用于绕过Android应用沙箱（）A.SQL注入 B.内核提权 C.XSS D.CSRF答案：B12.在等级保护2.0中，第三级系统应至少每（）年完成一次测评。A.半年 B.一年 C.两年 D.三年答案：B13.使用nmap进行SYN扫描时，默认发送探测的端口数量是（）A.100 B.1000 C.1024 D.65535答案：B14.在HTTP/2协议中，用于实现头部压缩的技术是（）A.gzip B.deflate C.HPACK D.Brotli答案：C15.关于我国《密码法》对核心密码的管理要求，下列说法正确的是（）A.可用于保护国家秘密信息 B.可境外部署 C.无需国家密码管理局审批 D.允许个人私用答案：A二、多项选择题（每题2分，共10分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）16.以下哪些属于常见的Web应用防护系统(WAF)部署模式（）A.透明代理 B.反向代理 C.路由模式 D.桥接模式 E.旁路镜像答案：ABD17.在Linux系统中，可用于实现强制访问控制(MAC)的框架包括（）A.SELinux B.AppArmor C.Tomoyo D.grsecurity E.RBAC答案：ABC18.关于国密算法SM2的正确描述有（）A.基于椭圆曲线离散对数难题 B.可用于数字签名 C.密钥长度256位 D.属于对称加密 E.已被ISO/IEC采纳答案：ABCE19.以下哪些技术可有效防御DNS劫持（）A.DNSSEC B.DoH C.DoT D.ARP绑定 E.HTTP301跳转答案：ABC20.在云计算环境中，客户方需承担的安全责任包括（）A.操作系统补丁 B.数据加密 C.物理机房安全 D.虚拟化层漏洞 E.身份认证管理答案：ABE三、填空题（每空1分，共10分）21.在TCP/IP协议栈中，端口号16位，最大可表示端口号为________。答案：6553522.使用openssl生成长度为4096位的RSA私钥，命令行参数应为opensslgenrsaoutprivate.pem________。答案：409623.在Windows事件查看器中，安全日志对应的日志文件路径为%SystemRoot%\System32\winevt\Logs\________.evtx。答案：Security24.按照《信息安全技术网络安全等级保护基本要求》，安全物理环境控制点中，机房应设置________区与________区，实现分区隔离。答案：受控、非受控25.在Python3中，使用hashlib计算字符串"abc"的SHA256十六进制摘要，代码为hashlib.sha256(b'abc').________()。答案：hexdigest26.在Kubernetes中，用于保存敏感信息（如密码、令牌）的对象资源类型为________。答案：Secret27.当利用BurpSuite进行中间人攻击测试时，为确保浏览器信任代理证书，需将Burp的CA证书导入浏览器的________存储区。答案：受信任的根证书颁发机构28.在OWASPTop102021版中，________类别指"失效的访问控制"。答案：A0129.在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329中，采用零压缩后可写成2001:db8::ff00:________:8329。答案：4230.根据《数据安全法》，开展数据处理活动应当加强________教育，提高数据安全意识和水平。答案：风险四、判断题（每题1分，共5分。正确打"√"，错误打"×"）31.TLS1.3协议中，已经废弃了RSA密钥交换算法，仅支持前向安全的密钥协商机制。（）答案：√32.在Android系统中，所有应用必须申请android.permission.INTERNET权限才能访问网络。（）答案：√33.使用Wireshark抓取HTTPS流量时，只要开启混杂模式即可直接查看应用层明文内容。（）答案：×34.我国《个人信息保护法》规定，处理敏感个人信息必须取得个人的单独同意。（）答案：√35.在SQL注入联合查询中，若列数不匹配，MySQL会返回"Columncountdoesn'tmatchvaluecount"错误，可用于判断列数。（）答案：√五、简答题（每题5分，共20分）36.简述Kerberos认证过程中TGT的作用，并说明为何需要预认证。答案：TGT（TicketGrantingTicket）是用户首次登录时由AS（AuthenticationServer）颁发的票据，用于后续向TGS请求访问特定服务票据，避免用户重复输入口令。预认证（Preauthentication）确保用户身份真实，防止离线口令猜测攻击；在AS_REQ阶段使用用户密钥加密时间戳，AS解密验证时间戳freshness，通过后才发放TGT，有效阻止重放和暴力破解。37.概述国密算法体系中SM3、SM4、SM9三类算法的主要应用场景。答案：SM3为哈希算法，用于数据完整性校验、数字签名消息摘要、区块链哈希链；SM4为分组对称加密，用于高速数据加密，如VPN、磁盘加密、移动支付敏感数据保护；SM9为基于标识的公钥密码，无需数字证书，适用于海量设备认证、电子邮件加密、物联网轻量级场景，降低密钥管理复杂度。38.说明Linux下利用iptables实现状态检测防火墙的原理，并给出一条仅允许已建立连接访问SSH端口的规则。答案：iptables通过netfilter框架跟踪连接状态，维护连接跟踪表，状态包括NEW、ESTABLISHED、RELATED、INVALID。当数据包到达，首先查连接状态，若匹配ESTABLISHED则直接放行，否则按规则匹配。规则示例：iptablesAINPUTptcpdport22mstatestateESTABLISHEDjACCEPT39.描述零信任网络中"微分段"技术的实现要点及其对横向移动攻击的抑制机制。答案：微分段将网络按业务、身份、数据敏感度划分为细粒度安全区域，通过软件定义边界(SDP)、身份驱动策略、加密隧道、动态ACL实现访问控制。用户或设备每次访问需重新认证授权，仅开放最小端口路径，阻断攻击者在内网横向扫描、利用漏洞横向移动；结合持续信任评估与行为分析，发现异常立即隔离，降低爆炸半径。40.解释HTTP头部"ContentSecurityPolicy:defaultsrc'self';objectsrc'none'"的含义，并说明其对防御XSS的作用。答案：该CSP指令限制页面默认资源（脚本、图片、样式等）只能加载同源，禁止加载任何插件内容（如Flash、JavaApplet）。通过白名单机制阻止注入的外部恶意脚本执行，即使存在XSS漏洞，攻击者也无法引入外部域脚本，显著降低脚本注入风险。六、综合应用题（共40分）41.日志分析题（10分）某Web服务器访问日志片段如下（已脱敏）：5[12/Mar/2025:14:32:11+0800]"GET/login.php?user=admin'%20OR%201=1&pass=fooHTTP/1.1"20012345[12/Mar/2025:14:32:12+0800]"GET/admin/dashboard.phpHTTP/1.1"2005678（1）指出攻击类型并说明判断依据；（3分）（2）给出两条针对该攻击的代码层修复建议；（4分）（3）若使用ModSecurity开源WAF，写一条可阻断此类攻击的正则规则。（3分）答案：（1）SQL注入联合身份验证绕过。GET参数user出现"'OR1=1"经典注入载荷，使SQL语句恒真，绕过密码校验后直接登录。（2）a.使用参数化查询/预处理语句，如PHPPDO：$stmt=$pdo>prepare("SELECTFROMusersWHEREuser=?ANDpass=?");$stmt>execute([$user,$pass]);b.严格输入校验，采用白名单限制用户名仅允许字母数字下划线，长度不超过20。（3）SecRuleARGS:user"@rx(?i)(or|and)\s+1=1""id:1001,phase:2,block,msg:'SQLInjectiondetected',logdata:%{MATCHED_VAR}"42.密码学计算题（10分）在DiffieHellman密钥交换中，公共参数p=23，g=5，A选择的私钥a=6，B选择的私钥b=15。（1）计算A的公钥A_pub；（2分）（2）计算B的公钥B_pub；（2分）（3）求双方共享密钥K；（3分）（4）说明中间人攻击对该协议的影响并提出一条抵御措施。（3分）答案：（1）A_pub=g^amodp=5^6mod23=15625mod23=8（2）B_pub=g^bmodp=5^15mod23=30517578125mod23=19（3）K=B_pub^amodp=19^6mod23=47045881mod23=2 或K=A_pub^bmodp=8^15mod23=2（4）中间人攻击者可在交换公钥时分别与A、B建立不同密钥，解密再加密流量。抵御措施：使用数字签名对公钥进行认证，如ECDSA签名，确保公钥来源真实。43.网络取证题（10分）某公司内网主机A（IP）被怀疑向外部C2服务器回连。提供pcap文件，已过滤出相关流。（1）使用Wireshark过滤出该主机所有TCP流，写出显示过滤器；（2分）（2）发现TLSClientHello中SNI字段为""，但证书颁发者CN为"FakeCA"，说明存在的威胁；（3分）（3）给出两条定位真实C2地址的方法；（3分）（4）若需固化证据，说明应保存哪些对象并给出哈希计算命令。（2分）答案：（1）ip.addr==andtcp（2）存在HTTPS劫持或伪造域名，攻击者使用自签证书冒充微软更新域，绕过简单域名白名单，实现加密通道回连。（3）a.检查DNS响应，比对Answers字段A记录与SNI是否一致；b.追踪TLS流，查看证书SubjectAlternativeName扩展，寻找异常域名；c.使用Suricata规则alerttls$HOME_NETany>$EXTERNAL_NET443(msg:"FakeC2";tls.cert_subject;content:"FakeCA";sid:1;)（4）保存pcap原始文件、提取的证书、截图。命令：sha256sumevidence.pcapfake.crt44.安全开发题（10分）某JavaSpringBoot应用提供文件上传功能，需求：仅允许上传jpg/png，大小≤2MB，保存目录/webapp/uploads。（1）指出未做防护可能导致的两种高危漏洞；（2分）（2）给出后端代码层校验文件类型的可靠实现（关键代码片段）；（4分）（3）说明如何对上传目录进行安全配置，防止脚本执行；（2分）（4）若使用CDN，提出一条防止敏感文件泄露的URL策略。（2分）答案：（