2025年网络与信息安全考试试题及答案

2025年网络与信息安全考试试题及答案1.单项选择题（每题1分，共20分）1.1在GB/T222392019《信息安全技术网络安全等级保护基本要求》中，第三级安全要求相比第二级新增的核心控制域是A.安全物理环境 B.安全通信网络 C.安全区域边界 D.安全计算环境答案：C1.2下列关于TLS1.3握手过程的说法，正确的是A.支持RSA密钥交换 B.0RTT模式默认启用前向保密 C.完全删除了DH密钥交换 D.ServerHello之后立即发送EncryptedExtensions答案：D1.3某企业采用基于属性的加密（ABE）实现细粒度访问控制，其密文策略CPABE的核心优势是A.加密方无需知道用户公钥 B.解密方无需知道访问结构 C.支持动态撤销用户而不更新密文 D.加密方可定义访问结构答案：D1.4在IPv6网络中，用于替代ARP的协议是A.NDP B.DHCPv6 C.ICMPv6 D.MLD答案：A1.5针对Log4j2远程代码执行漏洞（CVE202144228），最有效的临时缓解措施是A.升级JDK至17 B.设置Dlog4j2.formatMsgNoLookups=true C.关闭所有JNDI端口 D.禁用所有日志输出答案：B1.6依据《数据安全法》，对重要数据处理者开展风险评估的最低周期为A.每月 B.每季度 C.每半年 D.每年答案：D1.7在WindowsServer2022中，实现基于虚拟化的安全（VBS）的核心组件是A.CredentialGuard B.DeviceGuard C.HVCI D.全部选项答案：D1.8使用AESGCM模式加密时，IV重复会导致A.密钥泄露 B.明文被篡改 C.认证标签失效并可恢复明文 D.加密速度下降答案：C1.9在零信任架构中，用于持续评估终端安全状态的协议是A.RADIUS B.TACACS+ C.PostureAgentviaSWG D.NetFlow答案：C1.10下列哪项不属于国密算法A.SM2 B.SM3 C.SM4 D.SHA3答案：D1.11在Kubernetes中，可限制容器CPU使用量的资源对象是A.LimitRange B.ResourceQuota C.PodSecurityPolicy D.NetworkPolicy答案：A1.12针对BGP劫持攻击，最有效的安全增强机制是A.RPKI+ROV B.BGPMD5 C.BGPTTLSecurity D.ASPathprepending答案：A1.13在OWASPTop102021中，排名上升最快的风险类别是A.失效的访问控制 B.加密失败 C.不安全设计 D.服务器端请求伪造答案：D1.14使用SHA256对长度为2^64比特的消息进行哈希，其填充字段的最低有效字节值为A.0x00 B.0x80 C.0x01 D.0x20答案：B1.15在Android13中，限制应用访问本地网络的新增权限是A.INTERNET B.LOCAL_NETWORK C.CHANGE_NETWORK_STATE D.ACCESS_WIFI_STATE答案：B1.16在工业控制系统中，ModbusTCP协议缺乏的安全特性是A.会话标识 B.功能码校验 C.时间戳 D.认证与加密答案：D1.17当使用Wireshark分析QUIC流量时，可解密加密报文的前提是A.获取服务器X.509证书私钥 B.捕获初始握手并具备客户端随机数 C.启用ESNI D.获取会话ticket答案：B1.18在Linux内核中，用于缓解Spectrev2漏洞的编译选项是A.retpoline B.PTI C.SMAP D.SMEP答案：A1.19依据《个人信息保护法》，处理敏感个人信息应取得A.明示同意 B.书面同意 C.单独同意 D.默示同意答案：C1.20在NISTSP800207零信任架构中，策略决策点(PDP)不包含的组件是A.PolicyEngine B.PolicyAdministrator C.PolicyEnforcementPoint D.DataPlane答案：D2.多项选择题（每题2分，共20分；每题至少有两个正确答案，多选、少选、错选均不得分）2.1以下哪些属于国密SSL套件A.ECCSM4SM3 B.ECDHESM4SM3 C.RSASM4SM3 D.SM2SM4SM3答案：ABD2.2可导致DNSSEC验证失败的记录类型包括A.RRSIG过期 B.NSEC3缺失 C.DS记录与DNSKEY算法不匹配 D.权威服务器返回SERVFAIL答案：ACD2.3在Windows环境中，可用于获取LSASS内存凭据的攻防技术有A.Mimikatzsekurlsa::logonpasswords B.ProcDump转储 C.CredentialGuard开启后任意读取 D.Rubeustgtdeleg答案：ABD2.4以下关于同态加密的描述正确的有A.Paillier支持加法同态 B.BGV支持整数同态运算 C.CKKS支持浮点数近似计算 D.RSA支持无限次乘法同态答案：ABC2.5在Linux容器逃逸场景中，可利用的内核漏洞包括A.CVE20220847DirtyPipe B.CVE20165195DirtyCow C.CVE20195736runc D.CVE20214034PwnKit答案：ABCD2.6以下属于硬件安全模块(HSM)的核心功能A.密钥生成与存储 B.真随机数生成 C.大整数模幂运算加速 D.固件完整性校验答案：ABCD2.7在5G核心网中，可抑制用户隐私泄露的安全机制有A.SUCI加密 B.5GAKA二次认证 C.ServiceBasedInterface双向TLS D.IMSI明文广播答案：ABC2.8针对机器学习模型投毒攻击的防御手段包括A.数据清洗与异常检测 B.鲁棒聚合算法 C.差分隐私训练 D.模型蒸馏答案：ABC2.9以下关于OAuth2.1的更新点正确的有A.移除ImplicitFlow B.强制PKCE C.引入RefreshTokenRotation D.支持JWTSecuredAuthorizationResponse答案：ABCD2.10在云原生安全中，符合CISKubernetesBenchmarkv1.24要求的配置有A.关闭匿名认证 B.启用AuditPolicy C.使用PodSecurityadmission D.etcd启用TLS客户端证书答案：ABCD3.填空题（每空1分，共20分）3.1在SM2数字签名算法中，签名过程使用的杂凑算法是________，其输出长度为________比特。答案：SM3，2563.2当利用SQLMap进行二阶注入测试时，需指定参数________以告知工具注入结果不在同一响应返回。答案：secondorder3.3在Windows事件日志中，记录RDP暴力破解失败的事件ID是________。答案：46253.4在IPv6地址2001:db8::/32中，用于任播地址的最低有效位格式为________。答案：128位全03.5在KubernetesRBAC中，ClusterRole与Role的最大区别是________。答案：作用域（集群级vs命名空间级）3.6依据《密码法》，核心密码、普通密码属于________密码，商用密码属于________密码。答案：国家，民用3.7在TLS1.3中，用于实现0RTT的扩展名称是________。答案：EarlyData3.8在ARMv8.5A架构中，用于缓解推测执行漏洞的新指令是________。答案：CSDB3.9在Linux内核中，用于限制进程系统调用的安全机制是________，其工作模式由________文件配置。答案：seccomp，/etc/seccomp.json或prctl3.10在NISTSP80053Rev5中，控制族“SupplyChainRiskManagement”的编号为________。答案：SR3.11在Wireshark显示过滤器中，筛选HTTP/2流量且状态码为404的表达式为________。答案：http2.response.code==4043.12在GitHubActions工作流中，防止秘密泄露到日志的语法掩码函数为________。答案：::addmask::3.13在AndroidKeystore中，支持硬件级密钥attestation的API级别从________开始。答案：API233.14在工业防火墙白名单策略中，Modbus功能码________用于写单个寄存器，其十进制值为________。答案：06，63.15在零信任网络中，用于描述“谁、什么、何时、何地、为何”访问资源的模型称为________。答案：5W1H或DynamicTrustModel4.简答题（每题8分，共40分）4.1简述国密SM9标识密码体系与SM2公钥密码体系在密钥生成方式上的差异，并说明SM9适合的应用场景。答案：SM2采用传统公钥基础设施(PKI)，密钥对由用户随机生成，公钥需通过证书绑定身份；SM9采用标识密码，私钥由密钥生成中心(KGC)根据用户标识(如邮箱)与系统主私钥计算生成，公钥即用户标识本身，无需证书。SM9适合海量用户、证书管理成本高的场景，如加密电子邮件、物联网设备认证、轻量级移动应用。4.2说明Linux内核“控制组”(cgroups)v2在容器资源隔离中的安全优势，并给出限制容器打开文件句柄数的配置示例。答案：cgroupsv2统一层级、避免v1的多挂载混乱，支持“线程粒度”与“委派”模型，减少容器逃逸风险；提供memory、io、pid等控制器，实现精细资源限制。示例：echo1048576>/sys/fs/cgroup/foobar/pids.max&&echo2048>/sys/fs/cgroup/foobar/files.max，或在Dockerrun中加pidslimit1048576fileslimit2048（需自定义runtime）。4.3描述DNSoverHTTPS(DoH)与DNSoverTLS(DoT)在隐私保护、部署兼容性、性能开销三方面的对比。答案：隐私：两者均加密查询，DoH流量混入HTTPS难以被SNI过滤识别，隐私更强；部署：DoH需应用层改造，浏览器支持好，中间设备拦截难，DoT需853端口，易被防火墙封锁；性能：DoH多路复用HTTP/2，握手1RTT，缓存友好，DoT需独立TLS连接，握手2RTT，高并发时CPU略低。4.4解释“同态加密在联邦学习中的应用”，并以CKKS方案为例说明如何防止梯度泄露原始数据。答案：联邦学习中各方用CKKS加密本地梯度后上传，服务器在加密域执行聚合与更新，全程不解密明文；CKKS支持浮点数近似同态运算，误差可控。由于密文与明文呈高维复数向量映射关系，攻击者无法从加密梯度反推个体样本，实现隐私保护。4.5说明WindowsDefenderApplicationControl(WDAC)与AppLocker在代码签名验证机制上的差异，并给出WDAC启用后内核驱动加载策略的CLI命令。答案：WDAC采用基于虚拟化的安全隔离，策略存储在UEFI变量，签名验证由内核隔离的CI.dll完成，支持EV证书、WHQL、FileRule多重条件；AppLocker依赖用户模式服务，易被管理员绕过。启用内核驱动策略命令：SetRuleOptionFilePath.\policy.xmlOption0EnableUMCISetRuleOptionFilePath.\policy.xmlOption3RequireWHQLConvertFromCIPolicyXmlFilePath.\policy.xmlBinaryFilePathSiPolicy.p7bCopyItemSiPolicy.p7b%SystemRoot%\System32\CodeIntegrity\重启生效。5.应用题（共50分）5.1综合设计题（20分）某省级政务云计划构建“零信任+国密”统一接入平台，要求：(1)用户通过国密浏览器访问，双向SSL使用SM2证书；(2)所有南北向流量经国密TLS1.3代理，支持0RTT；(3)东西向微服务调用使用SPIFFE+SM2X.509SVID；(4)数据层采用SM4GCM透明加密，密钥由云原生HSM管理；(5)满足等保2.0三级要求。请给出：a)整体架构图（文字描述即可）；b)关键组件选型与理由；c)0RTT防重放方案；d)等保三级合规映射表（至少5条）。答案：a)架构：用户层→国密浏览器→国密TLS1.3代理(Envoy+国密扩展)→API网关→微服务(SPIFFESidecar)→数据库(SM4加密)→HSM(KMS插件)。控制平面：零信任控制器(OPA+SPIRE)、身份中心(SM2LDAP)、日志审计(国密SYSLOG)。b)选型：Envoy1.27+国密补丁支持SM2/SM4/SM3；SPIRE1.6扩展国密插件签发SM2SVID；KMS使用江南天安云HSM，支持PKCS11国密算法；数据库采用TiDB6.5+国密加密插件；API网关使用Kong3.4+国密TLS。c)0RTT防重放：代理维护<PSK,timestamp,nonce>三元组，首次握手后下发一次性ticket，设置7天过期；服务器端使用Redis集群存储已用ticket，TTL5分钟；EarlyData扩展携带随机数，服务端校验nonce未使用；超过窗口返回HelloRetryRequest。d)合规映射：访问控制：采用SPIFFE+OPA实现动态授权，对应等保安全区域边界a)；通信完整性：国密TLS1.3+SM3SM4，对应安全通信网络b)；数据保密性：SM4GCM加密，对应安全计算环境c)；密钥管理：HSM+FIPS1402Level3，对应安全管理中心d)；审计追溯：国密SYSLOG+链式签名，对应安全管理中心e)。5.2计算与分析题（15分）某系统采用PBKDF2HMACSM3进行密钥派生，盐长度16字节，迭代次数100000，输出密钥长度256位。假设攻击者使用GPU集群，每秒可计算2^30次HMACSM3，电费0.6元/度，每瓦特性能为2^20次/秒，整机功率3000W。求：(1)暴力破解8位数字口令所需时间（年）；(2)对应电费成本（元）；(3)若将迭代次数提高到300000，时间增加倍数；(4)给出成本最优的防御建议。答案：(1)口令空间10^8，单次派生需1e5次HMAC，总计算量1e13次；GPU速度2^30≈1.07e9次/秒；时间=1e13/1.07e9≈9350秒≈0.297年。(2)功率3kW，9350秒耗电3×9350/3600≈7.79kWh，成本7.79×0.6≈4.67元。(3)迭代数增至3e5，时间线性×3，即0.89年。(4)建议：迭代数≥3e5；盐长度≥32字节；启用硬件延迟（HSM/TEE）限制并行；强制用户口令长度≥12位含大小写特殊字符；引入客户端PUF或生物特征做2FA，降低离线破解价值。5.3应急响应分析题（15分）2025年3月，某企业EDR告警发现内网主机执行powershellenc<base64>，解码后下载URI为hxxps:///avatar/avatar.png，经沙箱分析该PNG文件实为DLL，导出函数“Crash”使用ProcessHollowing注入notepad.exe，随后建立DoH隧道(dns.google)回连C2，回连域名随机6位+.github.io，JARM指纹为27d3...问题：(1)给出检测该DoH隧道的两条网络特征；