2025年网络安全与信息保护课程考试试卷及答案

2025年网络安全与信息保护课程考试试卷及答案一、单项选择题（每题2分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在《中华人民共和国个人信息保护法》中，处理敏感个人信息应当取得个人的（）。A.默示同意B.书面同意C.单独同意D.事后追认答案：C2.下列哪一项最能有效抵御重放攻击（ReplayAttack）？（）A.对称加密B.数字信封C.时间戳与一次性随机数D.链路加密答案：C3.在SSL/TLS握手过程中，用于协商对称会话密钥的密钥交换算法是（）。A.RSAB.DH/ECDHC.SHA256D.HMAC答案：B4.依据《网络安全法》，关键信息基础设施运营者采购网络产品或服务可能影响国家安全的，应当通过（）。A.等保测评B.漏洞扫描C.国家安全审查D.源代码托管答案：C5.下列关于零信任（ZeroTrust）架构的描述，错误的是（）。A.默认不信任任何主体B.先连接后认证C.动态访问控制D.最小权限原则答案：B6.在Windows系统中，能够强制对所有登录用户进行多因素认证的底层组件是（）。A.KerberosB.NTLMC.WindowsHelloforBusinessD.SAM答案：C7.使用AES256GCM模式加密时，初始化向量（IV）推荐长度为（）。A.64位B.96位C.128位D.256位答案：B8.下列哪条命令可直接查看Linux系统当前已加载的内级Rootkit模块？（）A.lsmodB.lsrootkitC.chkrootkit–lD.rmmod–list答案：A9.在OAuth2.0授权码模式下，客户端通过（）换取访问令牌。A.授权码B.刷新令牌C.用户密码D.客户端密钥答案：A10.依据《数据出境安全评估办法》，数据处理者累计向境外提供超过（）条个人信息，必须申报安全评估。A.10万B.50万C.100万D.1000万答案：C二、多项选择题（每题3分，共15分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）11.以下哪些属于常见的侧信道攻击方式？（）A.时序分析B.功耗分析C.故障注入D.字典攻击答案：A、B、C12.关于国密算法SM2、SM3、SM4，下列说法正确的有（）。A.SM2是基于椭圆曲线的公钥加密算法B.SM3输出256位杂凑值C.SM4分组长度为128位D.SM4密钥长度固定为192位答案：A、B、C13.在容器安全场景中，以下哪些措施能够有效降低容器逃逸风险？（）A.启用SeccompB.关闭UserNamespaceC.使用非特权容器D.启用AppArmor/SELinux答案：A、C、D14.关于日志审计的合规要求，下列哪些描述符合《网络安全法》及配套标准？（）A.日志留存不少于6个月B.日志应包含用户唯一标识C.日志可明文存储用户口令D.日志访问需双人授权答案：A、B、D15.以下哪些技术可用于防御CSRF（跨站请求伪造）攻击？（）A.SameSiteCookie属性B.验证码C.自定义RequestHeader令牌D.XSS过滤答案：A、B、C三、填空题（每空2分，共20分）16.在公钥基础设施（PKI）中，负责签发并管理数字证书的核心组件是________。答案：CA（或证书颁发机构）17.按照《信息安全技术网络安全等级保护基本要求》（GB/T222392019），第三级系统应对重要数据实现________备份，至少保留________份。答案：异地；318.IPsec协议簇包含两个主要安全协议：________提供数据源认证与完整性，________提供机密性。答案：AH；ESP19.在Linux系统中，文件权限位“rwsrxrx”中字母s表示________标志位已设置。答案：SUID20.若某Web应用采用ContentSecurityPolicy（CSP）防御XSS，指令defaultsrc'self'表示默认资源仅允许从________加载。答案：同源21.当使用HSTS时，浏览器在收到StrictTransportSecurity:maxage=31536000;includeSubDomains后，未来一年内将强制使用________协议访问该域名及其子域。答案：HTTPS22.在量子计算威胁模型下，________算法被认为可抵抗Shor算法攻击，属于后量子公钥算法代表之一。答案：格基（或Latticebased，答“LWE/CRYSTALS”等亦可）23.依据《个人信息保护法》，个人有权________、________其个人信息。答案：查阅；复制（顺序可换）24.在Windows事件日志中，登录类型值为10表示通过________登录。答案：远程交互（或RDP）25.使用nmap进行SYN扫描时，参数________可指定每秒最多发送的探测包数量。答案：minrate（或maxrate，答对任一即可）四、判断题（每题1分，共10分。正确打“√”，错误打“×”）26.对称加密算法既能提供机密性也能提供不可抵赖性。（）答案：×27.在TLS1.3中，所有握手消息均已加密，除ClientHello与ServerHello外。（）答案：√28.只要使用HTTPS协议，网站就一定能够防范中间人攻击。（）答案：×29.零日漏洞是指厂商已发布补丁但用户尚未安装的漏洞。（）答案：×30.依据《密码法》，我国将核心密码、普通密码、商用密码实行分类管理。（）答案：√31.在SQL注入防御中，使用参数化查询可以完全杜绝注入风险。（）答案：√32.数字签名过程中，签名者使用自己的私钥对消息摘要进行加密。（）答案：√33.内存安全语言（如Rust）完全不会出现内存泄漏问题。（）答案：×34.双因子认证要求两种不同种类的凭证，例如“密码+短信验证码”。（）答案：√35.在IPv6中，IPsec是强制实现的，因此所有IPv6流量默认加密。（）答案：×五、简答题（每题8分，共24分）36.简述Kerberos认证协议的基本流程，并指出其相对于NTLM的两项主要安全优势。答案要点：（1）流程：①用户向AS请求TGT，AS返回用用户密钥加密的TGT与会话密钥；②用户携带TGT请求TGS，TGS返回服务票据；③用户携带服务票据访问目标服务器，完成双向认证。（2）优势：①不再在网络上传输用户哈希或密码等价物，避免PasstheHash；②引入时间戳与短期票据，有效抑制重放攻击；③支持双向认证与委派，扩展性更好。（答对任意两点即可满分）37.说明差分隐私（DifferentialPrivacy）的核心思想，并给出在发布统计数据时实现ε差分隐私的两种常用机制。答案要点：核心思想：通过在查询结果或数据发布中加入受控随机噪声，使得攻击者即使掌握除一条记录外的所有数据，也无法高置信度推断该记录是否存在于数据集中，从而提供可量化的隐私保证。常用机制：①Laplace机制：对数值型查询结果添加服从Lap(Δf/ε)的噪声；②Exponential机制：对离散输出空间按与效用值成指数比例的分布随机选择，适用于非数值型查询。（答Gaussian机制、随机响应等亦可酌情给分）38.概述“左移安全”（ShiftLeftSecurity）在DevSecOps中的实践要点，并指出三项关键工具或技术。答案要点：左移安全指在软件开发生命周期早期（需求、设计、编码阶段）即引入安全活动，降低修复成本。实践要点：①安全需求与用户故事同步编写；②静态代码分析（SAST）集成CI流水线；③依赖库漏洞扫描（SCA）强制门禁；④安全单元测试与模糊测试并行；⑤代码审查加入安全checklist。关键工具技术示例：SAST（SonarQube、Coverity）、SCA（Snyk、DependencyTrack）、基础设施即代码扫描（Checkov、Tfsec）。（答对任意三项即可满分）六、应用题（共41分）39.计算与分析题（11分）某公司拟部署基于国密SM4的分组加密系统，需实现消息机密性与完整性。给定：①明文长度1024字节；②SM4分组长度16字节；③采用SM4CBC模式，PKCS7填充；④附加HMACSM3认证，输出长度256位；⑤网络传输头部长度固定20字节。求：（1）填充后的密文总字节数；（3分）（2）传输层需发送的总字节数（含密文与MAC）；（2分）（3）若链路MTU为1500字节，单次TCP报文能否承载？给出判断过程；（3分）（4）指出CBC模式对IV的管理要求，并给出一种安全生成与分发IV的方案。（3分）答案：（1）1024字节明文需填充至16字节整数倍，1024mod16=0，故需再填充16字节，得到1040字节；CBC加密后密文长度等于填充后长度，即1040字节。（2）HMACSM3输出32字节，总传输负载=1040+32=1072字节；加上头部20字节，共1092字节。（3）MTU1500>1092，故单次TCP报文可承载。（4）IV必须不可预测且每次加密不同。方案：在加密端使用密码学安全随机数生成器生成128位IV，将其附于密文前明文传输，双方预先共享SM4密钥但无需加密IV。40.渗透测试报告撰写（15分）背景：授权对IP5的Web系统进行黑盒测试，发现目标运行Apache/2.4.41，前端使用jQuery1.9.1，登录接口/login存在POST参数username与password。测试步骤与结果如下：①使用sqlmap–u“5/login”–data“username=admin&password=pass”–dbs成功列出数据库名；②在管理后台路径/admin/upload.php上传test.php.gif，内容为<?php@eval($_POST['c']);?>，成功获取WebShell；③通过WebShell执行whoami返回wwwdata；④在/var/www/html/config.php发现明文root/123456，连接MySQL后执行SELECTFROMmysql.user查看哈希；⑤上传linpeas.sh脚本，发现内核版本5.4.042generic存在CVE20213490，eBPF漏洞，可用exp提权。任务：（1）给出该测试所揭示的5类高危漏洞及其对应CVSSv3.1基础评分向量（仅写向量，不计算分值）；（5分）（2）针对后台文件上传漏洞，给出两种代码层修复方案；（4分）（3）给出针对CVE20213490的临时缓解措施与长期修复建议；（3分）（4）列出测试报告中“风险评级矩阵”应包含的三项关键字段。（3分）答案：（1）1.SQL注入：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H2.任意文件上传：CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H3.明文存储数据库口令：CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N4.内核本地权限提升：CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H5.使用已过期前端库（jQuery1.9.1）：CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N（2）①后端检查ContentType与文件头魔数，白名单限制扩展名jpg、png等；②重新生成文件名与路径，移除上传目录执行权限，配置Apachephp_flagengineoff。（3）临时：echo0>/proc/sys/kernel/unprivileged_bpf_disabled；长期：升级内核至5.4.043或更高版本，并重启系统。（4）漏洞编号、利用难度、影响范围（或概率、损失、风险等级）。41.综合设计题（15分）某金融科技公司计划2025年上线云原生微服务平台，技术栈为Kubernetes+Istio+SpringCloud，需满足等保三级与PCIDSSv4.0。请给出：（1）平台级安全架构图（文字描述即可），需包含边界防护、东西向流量安全、secrets管理、可观测性四大模块；（5分）（2）针对等保三级，列出必须建设的三种安全运维制度；（3分）（3）为实现PCIDSS的“加密传输”与“加密存储”要求，分别给出技术实现方案；（4分）（4）设计一套基于OPA（OpenPolicyAgent）的准入控制策略示例（用Rego伪代码），禁止在default命名空间创建特权容器。（3分）答案：（1）边界