2025年网络安全与防护技术考试试题及答案

2025年网络安全与防护技术考试试题及答案1.单项选择题（每题2分，共30分）1.1在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制是A.RSA静态密钥交换B.ECDHE临时密钥交换C.DH静态密钥交换D.PSKonly密钥交换答案：B1.2下列哪一项最能有效缓解BGP劫持攻击？A.在边缘路由器启用uRPFB.部署RPKI并启用BGPsecC.在IGP中启用OSPF认证D.提高BGP路由的MED值答案：B1.3针对2023年曝光的“Terrapin”攻击，SSH协议最需加固的算法套件是A.chacha20poly1305@B.aes128ctrC.diffiehellmangroup14sha256D.hmacsha2256etm@答案：C1.4在零信任架构中，用于持续评估终端信任等级的核心协议是A.SAML2.0B.OAuth2.0C.OpenIDConnectD.ContinuousAccessEvaluationProtocol(CAEP)答案：D1.52024年NIST发布的后量子算法CRYSTALSKyber基于的数学难题是A.椭圆曲线离散对数B.整数分解C.模格上的最短向量问题(MLWE)D.多变量二次方程组答案：C1.6针对容器逃逸，最应限制的系统调用集合是A.openatB.execveC.ptraceD.seccomp过滤器默认允许列表答案：D1.7在5G核心网SBA架构中，用于服务间双向认证的协议是A.diameterB.HTTP/2overTLS1.3+OAuth2.0C.GTPCD.SIP答案：B1.8下列哪条Linux内核参数能缓解SYNFlood？A.net.ipv4.tcp_tw_reuseB.net.ipv4.tcp_syncookiesC.net.ipv4.ip_forwardD.net.core.rmem_max答案：B1.9关于DNSSEC，下列说法正确的是A.使用RSAMD5作为推荐签名算法B.通过CDNSKEY记录实现父域对子域的授权C.验证链信任锚可配置在根区或本地信任锚D.NSEC3用于隐藏NXDOMAIN存在性证明答案：C1.10在ARMv9机密计算架构(CCA)中，隔离敏感代码的实体称为A.TrustZoneSecureWorldB.RealmC.SGXEnclaveD.SEVSNPGuest答案：B1.112025年1月生效的《数据跨境流动安全评估办法》要求，出境数据超多少条个人敏感信息需申报安全评估？A.1万B.5万C.10万D.50万答案：C1.12针对AI模型窃取攻击，最有效的防御是A.输入梯度掩蔽B.差分隐私训练C.模型蒸馏D.输出logits截断+速率限制答案：D1.13在Windows1124H2中，默认启用阻止PasstheHash的新特性是A.CredentialGuard+VBSB.LSAProtectionC.WindowsHelloforBusinessD.SHA1deprecation答案：A1.14关于SM4分组密码，下列叙述正确的是A.分组长度128位，密钥长度128位，迭代32轮B.分组长度256位，密钥长度128位，迭代16轮C.分组长度128位，密钥长度256位，迭代10轮D.分组长度64位，密钥长度128位，迭代32轮答案：A1.15在KubernetesRBAC中，若某Role绑定到system:unauthenticated组，最可能造成的风险是A.垂直权限提升B.横向移动C.匿名用户未授权访问D.Pod逃逸答案：C2.多项选择题（每题3分，共30分；每题至少有两个正确答案，多选少选均不得分）2.1以下哪些属于2024OWASPTop10新增风险类别？A.SSRFB.CryptographicFailuresC.InsecureDesignD.SoftwareandDataIntegrityFailures答案：C、D2.2关于IntelTDT（ThreatDetectionTechnology）的可检测行为包括A.内存驻留型勒索软件加密流B.利用L1TF侧信道泄露C.加密货币挖矿的功耗异常D.ROP/JOP代码重用答案：A、C2.3在SDWAN场景下，可用来实现端到端加密的协议有A.IPsecwithAESGCMB.MACsecC.TLS1.3DTLS隧道D.WireGuard答案：A、C、D2.4以下哪些措施可有效降低AI训练数据投毒风险？A.数据血缘追踪+完整性签名B.联邦学习中的安全聚合C.输入样本对抗训练D.多机构交叉验证答案：A、B、D2.5关于量子密钥分发(QKD)的正确描述有A.基于量子不可克隆定理实现窃听检测B.需要专用光纤信道C.可完全替代数学密码算法D.存在光子数分离(PNS)攻击答案：A、B、D2.6以下哪些日志源可用于检测Kerberoasting攻击？A.WindowsEventID4768(TGT请求)B.EventID4769(TGS请求)C.EventID4771(Kerberos预认证失败)D.EventID4672(特殊权限分配)答案：B、C2.7在Linux内核中，可缓解DirtyCow竞态条件攻击的机制有A.启用CONFIG_SECCOMPB.启用CONFIG_MEMCGC.引入copyonwrite页标记互斥D.将dirty_writeback_centisecs调低答案：C2.8以下哪些属于FIPS1403Level4的物理防护要求？A.温度异常探测+自毁B.电压毛刺检测C.外壳防钻探金属网格D.真随机数发生器熵源健康测试答案：A、B、C、D2.9关于WebAuthn/FIDO2，下列说法正确的是A.支持RoamingAuthenticatorB.可替代密码实现无口令认证C.依赖方(RP)必须存储用户生物特征D.使用ECDSA或EdDSA签名答案：A、B、D2.10在零信任网络访问(ZTNA)架构中，控制面功能包括A.动态信任评估引擎B.细粒度策略决策点(PDP)C.数据面隧道封装D.身份上下文持续收集答案：A、B、D3.填空题（每空2分，共40分）3.12024年IETF发布的RFC9500将IPv6最小MTU从1280字节调整为________字节。答案：1280（未变）3.2在AESGCM加密中，用于完整性校验的字段长度默认是________位。答案：1283.3当利用ReturnOrientedProgramming绕过DEP时，攻击者常借助________寄存器实现栈迁移。答案：RSP/ESP3.4Linux内核中，用于限制进程系统调用范围的沙箱机制是________。答案：seccomp3.5在Windows事件日志中，检测Mimikatz使用Sekurlsa::LogonPasswords特征常关注EventID________。答案：4624/4648（答其一即可）3.62025年商用密码管理条例规定，使用________位以下RSA密钥属于禁止使用范畴。答案：10243.7在TLS1.3中，用于加密握手消息的密钥称为________。答案：handshaketrafficsecret3.8针对机器学习模型成员推理攻击，常用评估指标为________率。答案：攻击成功/推断准确（答其一即可）3.95GAKA认证向量中，由UDM生成的随机挑战称为________。答案：RAND3.10在Kubernetes网络策略中，默认拒绝所有入口流量的策略类型字段应设置为________。答案：Ingress3.112024年NIST发布的后量子签名算法________基于哈希函数，适用于固件签名。答案：SPHINCS+3.12用于衡量入侵检测系统误报比例的指标是________率。答案：FalsePositive3.13在ARMTrustZone中，安全世界与正常世界通信的指令为________。答案：SMC3.14针对BGPsec，路由器用来签名路径属性的私钥应存储在________模块中。答案：HSM3.15在WindowsCredentialGuard中，隔离LSA进程运行的虚拟化容器称为________。答案：VSM(VirtualSecureMode)3.162025年ISO27001新版将________管理列为附录A控制域，专门应对AI供应链风险。答案：AISupplyChain3.17在量子计算中，Shor算法可在多项式时间内破解________与离散对数问题。答案：整数分解3.18针对侧信道Cache时序攻击，Intel提出的防御指令为________。答案：LFENCE3.19在零信任架构中，用于描述网络实体身份的不可伪造标识称为________。答案：身份密码学凭据/身份令牌（答其一即可）3.202024年OpenSSH默认禁用________算法，以防范弱密钥交换。答案：diffiehellmangroup1sha14.简答题（每题10分，共40分）4.1简述TLS1.3与TLS1.2在握手延迟上的差异，并说明其如何提升移动网络用户体验。答案：TLS1.3将握手往返次数由2RTT降至1RTT，甚至通过PSK实现0RTT。移动网络高RTT场景下，减少一次往返可缩短握手时延100200ms，降低页面加载时间，提升用户体验；同时移除RSA静态密钥交换，强制前向安全，增强安全性。4.2概述RPKI中ROA对象的结构及其在防止BGP劫持中的作用。答案：ROA包含前缀、最大长度、AS号，由资源证书持有者用私钥签名。验证路由器通过信任锚公钥验证ROA，若BGP宣告路径与ROA不匹配则丢弃，防止伪造源AS宣告，实现源验证。4.3说明Kubernetes中PodSecurityPolicy被废弃后的替代机制，并给出限制容器提权的核心字段。答案：替代机制为PodSecurityStandards(PSS)与PodSecurityAdmission(PSA)。核心字段：allowPrivilegeEscalation=false、privileged=false、runAsNonRoot=true、seccompProfile.type=RuntimeDefault、capabilities.drop=[ALL]。4.4描述差分隐私中ε差分隐私的含义，并解释为何需要合理选择ε值。答案：ε差分隐私要求相邻数据集查询结果输出概率比不超过e^ε。ε越小隐私保护越强，但加入噪声越大，数据可用性下降；需根据场景风险与效用权衡，如ε=0.1提供高隐私，ε=1.0平衡商业分析。5.应用题（共60分）5.1计算分析题（15分）某企业采用AES256GCM加密备份数据，已知每块大小4KiB，网络带宽1Gb/s，CPU支持AESNI，实测加密速度为3.2GB/s。若备份总量为10TB，忽略磁盘I/O瓶颈，求：(1)纯加密耗时；(2)若启用TLS1.3记录层，额外增加5%长度膨胀，求总传输时间；(3)评估是否满足每日备份窗口2小时。答案：(1)t1=10TB÷3.2GB/s≈3125s≈52min(2)数据量变为10×1.05=10.5TB；传输速率1Gb/s=125MB/s；t2=10.5TB÷125MB/s=84000s≈1400min≈23.3h(3)23.3h>2h，不满足，需提升带宽至至少15Gb/s或采用多链路聚合。5.2综合设计题（15分）设计一套零信任远程办公方案，要求：a)身份层支持FIDO2无口令；b)控制面基于微分段；c)数据面使用mTLS+SPIFFE身份；d)兼容遗留RDP。给出组件、协议、流程图要点及威胁缓解表。答案：组件：身份提供者(IdP)+FIDO2服务器、策略引擎(OPA)、envoysidecar、mTLS网关、RDP网关。流程：1)用户FIDO2认证→IdP签发JWT+SPIFFESVID；2)sidecar验证