2025年网络安全工程师认证考试试卷及答案详解

2025年网络安全工程师认证考试试卷及答案详解一、单项选择题（每题1分，共30分。每题只有一个正确答案，错选、多选均不得分）1.在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制是A.RSA静态密钥传输B.ECDHEC.DH静态密钥协商D.PSKonly答案：B详解：TLS1.3强制使用前向安全的密钥交换算法，ECDHE是目前主流实现。2.下列哪一项最能有效降低BGP劫持风险A.在边缘路由器启用uRPFB.部署RPKI+ROVC.启用OSPF认证D.关闭BGP多跳答案：B详解：RPKI（ResourcePublicKeyInfrastructure）配合ROV（RouteOriginValidation）可验证BGP路由宣告的合法性。3.某企业内网采用802.1X+EAPTLS，客户端证书私钥最佳存放位置是A.用户邮箱B.本地磁盘明文C.TPM芯片D.共享网络驱动器答案：C详解：TPM提供硬件级密钥保护，防止私钥导出。4.在Linux内核中，可针对特定进程实施强制访问控制的子系统是A.SELinuxB.iptablesC.tcpwrapperD.PAM答案：A详解：SELinux实现MAC，可细粒度限制进程权限。5.关于SHA3与SHA2的区别，以下说法正确的是A.SHA3基于Merkle–Damgård结构B.SHA3抗长度扩展攻击能力弱于SHA256C.SHA3采用Keccak海绵结构D.SHA3输出长度固定256位答案：C详解：SHA3使用海绵结构，天然抵抗长度扩展攻击。6.在Windows日志中，可记录LSA机密访问的事件ID是A.4624B.4648C.4692D.5140答案：C详解：事件4692记录“试图访问LSA机密”。7.针对JSONWebToken的最佳签名算法，在无需加密仅需完整性场景下推荐A.noneB.HS256C.RS256D.ES256答案：D详解：ES256基于ECC，密钥短、签名快、安全强度足。8.以下哪条命令可查看Linux系统当前已加载的LKM模块A.lsmodB.lsusbC.lscpuD.lspci答案：A9.在OWASPTop102021中，排名首位的是A.注入B.失效的访问控制C.加密失败D.不安全设计答案：B10.针对容器逃逸，最应限制的系统调用是A.readB.writeC.ptraceD.open答案：C详解：ptrace可附加到宿主机进程，常被利用提权。11.在IPv6中，用于实现无状态地址自动配置的ICMPv6类型是A.135B.136C.133D.134答案：B详解：136为NeighborAdvertisement，133为RouterSolicitation，134为RouterAdvertisement。12.关于零信任架构，错误的是A.默认信任内网流量B.基于身份与上下文授权C.持续信任评估D.微分段答案：A13.在PKI体系中，负责发布CRL的实体是A.RAB.VAC.CAD.OCSPResponder答案：C14.针对SMTPSTARTTLS降级攻击，最有效的缓解措施是A.强制TLS1.3B.启用MTASTSC.关闭25端口D.启用SPF答案：B详解：MTASTS强制TLS传输，防止明文降级。15.在AESGCM模式中，每次加密必须唯一的参数是A.KeyB.IVC.AADD.Tag答案：B详解：IV重复导致GCM完全失效。16.以下哪种算法被NIST选中用于后量子数字签名标准化第三轮A.NTRUB.CRYSTALSDilithiumC.SIDHD.RSA4096答案：B17.在Android13中，限制应用访问已安装应用列表的新权限是A.QUERY_ALL_PACKAGESB.INSTALL_PACKAGESC.GET_TASKSD.MANAGE_EXTERNAL_STORAGE答案：A18.关于DNSoverHTTPS(DoH)相比传统DNS的优势，错误的是A.防止中间人篡改B.防止本地ISP窥探C.降低查询延迟D.提供端到端加密答案：C详解：DoH增加TLS握手，延迟通常更高。19.在WindowsDefenderApplicationControl中，用于生成策略的默认模板是A.DefaultWindows_Enforced.xmlB.AllowMicrosoft.xmlC.AuditDefault.xmlD.SiPolicy.p7b答案：A20.以下哪项不是SDWAN原生安全功能A.动态路由B.端到端IPsecC.零信任网络访问D.应用感知防火墙答案：A21.在Linux中，可限制进程使用系统调用过滤的设施是A.seccompB.AppArmorC.cgroupsD.namespaces答案：A22.关于Kerberos委派，最安全的类型是A.非约束委派B.约束委派C.基于资源的约束委派D.关闭委派答案：D23.在AWSS3中，用于防止意外删除的附加防护机制是A.BucketPolicyB.ACLC.MFADeleteD.SSEKMS答案：C24.以下哪条命令可将OpenSSL生成的私钥转换为PKCS8格式A.opensslrsainkey.pempuboutB.opensslpkcs8topk8informPEMoutformPEMnocryptinkey.pemoutpk8.pemC.opensslreqnewx509D.openssldhparamoutdh.pem2048答案：B25.在NISTSP80063B中，推荐的最小密码长度为A.6字符B.8字符C.10字符D.12字符答案：B26.关于微服务通信安全，错误的是A.服务间mTLS提供双向认证B.JWT必须加密传输C.服务网格可透明注入TLSD.双向TLS需轮转证书答案：B详解：JWT仅需签名即可保证完整性，无需加密。27.在iOS16中，用于锁定模式（LockdownMode）限制WebKitJIT的接口是A.SandboxB.PointerAuthenticationC.JITLockdownD.PPL答案：C28.以下哪项属于硬件安全模块(HSM)的核心功能A.提供高可用DNSB.生成并保护密钥C.运行容器编排D.加速GPU渲染答案：B29.在Linux审计子系统auditd中，用于定义文件监控规则的关键字是A.wB.aC.SD.F答案：A30.关于ChaCha20Poly1305，以下说法正确的是A.需要硬件AES指令B.在移动设备上性能优于AES256GCMC.不提供完整性校验D.属于分组密码答案：B详解：ChaCha20为流密码，在缺乏AESNI的设备上更快。二、多项选择题（每题2分，共20分。每题有两个或以上正确答案，多选、少选、错选均不得分）31.以下哪些属于常见的固件攻击面A.SMMB.UEFIRuntimeServicesC.IntelMED.ACPItable答案：ABC详解：ACPI为电源管理接口，不直接执行代码。32.可导致DNS缓存投毒的条件包括A.随机化不足的事务IDB.开放递归查询C.缺少DNSSECD.响应源端口固定答案：ACD33.关于OAuth2.1的更新，正确的有A.移除ImplicitFlowB.强制PKCEC.新增DeviceCodeGrantD.禁止密码模式答案：ABD34.以下哪些措施可缓解HTTPHost头攻击A.使用白名单验证HostB.禁用绝对URL重写C.配置ApacheUseCanonicalNameOnD.启用HSTS答案：ABC35.在Kubernetes中，可限制容器CPU使用的资源对象字段包括A.requests.cpuB.limits.cpuC.spec.containers[].resources.limits.cpuD.spec.containers[].resources.requests.cpu答案：BCD36.关于Rowhammer攻击，正确的有A.利用DRAM电荷泄漏B.可绕过ECC完全防护C.需要频繁内存访问D.可通过缓存分区缓解答案：ACD详解：ECC只能降低成功率，不能完全防护。37.以下哪些属于后量子密钥封装算法A.KyberB.NTRUPrimeC.FrodoKEMD.RSAOAEP答案：ABC38.在Windows中，可获取LSASS内存凭据的工具有A.MimikatzB.ProcDumpB.comsvcs.dllMiniDumpD.PsExec答案：ABC39.关于CDN安全，正确的有A.可隐藏源站IPB.必须开启TLS1.3C.可配置WAF规则D.可缓存动态API答案：AC40.以下哪些属于常见的旁路攻击A.时序攻击B.功耗分析C.电磁泄漏D.SQL注入答案：ABC三、填空题（每空2分，共20分）41.在Linux中，用于查看当前TCP监听套接字的命令是__netstattlnp__或__sstlnp__。42.NISTSP800207标准正式定义了__零信任__架构。43.在AES加密中，若密钥长度为256位，则轮数为__14__。44.用于验证BGP路由路径的扩展属性类型代码为__BGPsec_Path__（类型值为__16__）。45.在Windows中，用于强制驱动程序签名的策略名称是__DriverSignatureEnforcement__。46.在PKCS1v1.5填充中，EB块类型值为__0x000x01__。47.在Dockerfile中，用于以非root用户运行容器的指令是__USER__。48.在IPv6中，用于实现地址重复检测的ICMPv6类型是__135__（NeighborSolicitation）。49.在TLS1.3中，用于派生应用数据密钥的握手阶段密钥是__HandshakeSecret__。50.在Android中，用于声明应用所需权限的文件是__AndroidManifest.xml__。四、简答题（每题10分，共30分）51.简述Kerberoasting攻击原理及三种有效缓解措施。答案：原理：攻击者获取任意有效域凭据后，请求高权限SPN的TGS票据，该票据用服务账号哈希加密，可离线暴力破解密码。缓解：1.为服务账号设置≥25位随机复杂密码，定期轮转；2.使用组托管服务账号(gMSA)，系统自动管理密码；3.启用KerberosArmoring(FAST)，防止TGS请求被窃听。52.说明TLS1.3与TLS1.2在握手延迟上的差异，并给出量化对比。答案：TLS1.2完整握手需2RTT：ClientHello→ServerHello/Certificate/ServerHelloDone→ClientKeyExchange/ChangeCipherSpec/Finished→ServerFinished。TLS1.3将握手优化为1RTT：ClientHello含密钥共享→ServerHello+EncryptedExtensions+Certificate+Finished→ClientFinished。量化：假设RTT=50ms，1.2延迟≈200ms，1.3延迟≈100ms，减少50%。恢复阶段TLS1.30RTT可再降至0RTT，但存在重放风险。53.描述针对容器运行时攻击的Falco检测规则编写流程，并给出检测“容器内写入/etc/passwd”规则示例。答案：流程：1.定义触发条件：系统调用open/openat写入/etc/passwd；2.过滤容器环境：container.id!=host；3.输出告警：输出进程名、容器名、UID；4.配置优先级：WARNING；5.加载规则至falco.yaml并重启服务。示例规则：rule:Write/etc/passwdincontainerdesc:Detectwriteto/etc/passwdinsidecontainercondition:open_writeandcontainerand=/etc/passwdoutput:"File/etc/passwdopenedforwriting(user=%proc=%container=%)"priority:WARNING五、应用题（共50分）54.综合渗透测试题（20分）场景：目标内网存在一台WindowsServer2019（IP0），域控为dc.corp.local，已获取普通域用户alice的哈希：aad3b435b51404eeaad3b435b51404ee:ee265aa31c5bfe8f2b5bf04be2a5e9d5。任务：a)给出通过PTH远程登录RDP的命令行；（4分）b)说明如何利用BloodHound识别最短路径到域管；（6分）c)若发现svcps1账号具有约束委派到LDAP，写出利用脚本关键参数；（6分）d)给出清理痕迹需删除的Windows事件日志名称。（4分）答案：a)xfreerdp/v:0/u:alice/pth:ee265aa31c5bfe8f2b5bf04be2a5e9d5/certignoreb)在BloodHound搜索框输入“ShortestPathtoDomainAdminsfromalice”，标记svcps1为目标，查看“WriteDacl”或“AddMember”边缘，规划攻击路径。c)使用impacketgetSTspnldap/dc.corp.localimpersonateAdministratorhashes:ee265…corp.local/svcps1d)需清除Security.evtx、System.evtx、MicrosoftWindowsTerminalServicesRemoteConnectionManager%4Operational.evtx。55.网络流量分析题（15分）给出pcap片段：Frame1:00→:443，TLS1.3ClientHello，SNI=Frame2:→00，Certificate，证书subjectCN=.问题：a)指出攻击名称；（3分）b)给出检测该攻击的Suricata规则；（6分）c)说明客户端应如何校验防止；（6分）答案：a)证书伪造/中间人攻击b)alerttlsanyany>any443(msg:"SuspiciouscertCNmismatch";tls.cert_subject;content:".";fast_pattern;classtype:miscactivity;sid:1000001;)c)客户端需启用证书锁定(CertificatePinning)，校验公钥指纹；或启用HSTS+HPKP（已废弃）改用ExpectCT、CT日志监控。56.安全架构设计题（15分）某电商计划上线“零信任”远程办公方案，用户终端多样（Windows、iOS、Android），资源包括：1.本地ERP（仅内网DNS解析）；2.SaaSCRM（OAuth2）；3.自建GitLab（SSH+HTTPS）。要求：a)给出身份认证与设备信任架构图关键组件；（5分）b)说明如何对ERP实施微分段；（5分）c)给出GitLabSSH密钥管理最佳实践。（5分）答案：a)组件：IdP(OIDC)、设备证书CA、ZTNA网关、MDM、SIEM、RiskEngine。b)ERP置于私有子网，通过ZTNA网关代理，策略基于用户组+设备合规评分+地理位置，强制DLP检查，会话隔离。c)使用SSH证书颁发（sshca），私钥存放TPM，有效期≤12h，通过LDAP映射用户，GitLab启用AuthorizedPrincipalsFile，禁用密码认证，启用审计日志转发至SIEM。六、计算与证明题（共30分）57.椭圆曲线密钥计算（10分）给定曲线secp256r1，基点G=(xG,yG)，阶n=0xFFFFFFFF00000000FFFFFFFFFFFFFFFFBCE6FAADA7179E84F3B9CAC2FC632551，私钥d=0x2A5DD3D8B614B8C9C1A5D8E3F7A9B8C1D2E3F4A5B6C7D8E9FA0B1C2D3E4F5A6B。求公钥P=d·G，给出P的x坐标十六进制（低地址在前，压缩格式）。答案：使用OpenSSL计算：opensslecparam_fileprime256v1.pempuboutconv_formcompressed得