计算机三级信息安全技术测试题(含答案)

计算机三级信息安全技术测试题(含答案)一、单项选择题（每题2分，共30分）1.某单位采用基于角色的访问控制（RBAC）模型，下列关于RBAC与强制访问控制（MAC）区别的描述中，正确的是A.RBAC由系统安全员集中分配安全标记，MAC由对象属主自行授权B.RBAC支持动态角色继承，MAC支持静态安全级比较C.RBAC的授权粒度取决于角色设计，MAC的授权粒度取决于主/客体安全标记D.RBAC必须依赖可信计算基（TCB）完成访问仲裁，MAC无需TCB答案：C解析：MAC的访问判定完全由系统依据主/客体安全标记强制实施，粒度由标记集合决定；RBAC的粒度则取决于角色划分及角色—权限映射的细致程度，与标记无关。2.在Windows1020H2中，若需利用硬件虚拟化技术隔离敏感密钥，防止内核层攻击者通过DMA读取，应优先启用的机制是A.CredentialGuardB.DeviceGuardC.WindowsHelloD.UEFISecureBoot答案：A解析：CredentialGuard利用VBS与虚拟化安全模式（VSM）将LSA隔离于虚拟容器，密钥对操作系统内核不可见，可抵御DMA攻击。3.某Web应用采用JWT作为会话令牌，Header为{"alg":"HS256"}，Payload含{"role":"admin","exp":1710000000}。攻击者获取令牌后，在不破解密钥前提下最可能实施的攻击是A.重放攻击B.算法混淆攻击C.跨站请求伪造D.会话固定攻击答案：B解析：若服务端同时接受"none"算法或"HS256"公钥验证，攻击者可将Header改为{"alg":"none"}或{"alg":"RS256"}并伪造令牌，即算法混淆攻击。4.在等级保护2.0安全区域边界要求中，三级系统对"未知威胁检测"提出的最小持续检测时长为A.15天B.30天C.6个月D.1年答案：B解析：GB/T222392019三级安全区域边界章节明确要求具备对网络流量进行不少于30天的未知威胁检测与回溯能力。5.使用OpenSSL生成SM2签名时，下列曲线参数必须由国家密码管理局发布的文件是A.oid_sm2p256v1B.prime256v1C.secp384r1D.brainpoolP256r1答案：A解析：oid_sm2p256v1对应国密SM2推荐曲线，参数定义于GM/T0003.22012。6.在Linux内核5.15中，针对SpectreV2的默认缓解机制是A.retpolineB.IBRSC.eIBRS+RetbleedD.STIBP答案：C解析：5.15默认启用EnhancedIBRS并集成Retbleed补丁，综合缓解SpectreV2与Retbleed变体。7.对物联网终端进行固件安全审计时，下列哪项最能直接发现硬编码对称密钥A.fuzzing通信接口B.binwalk提取并grep搜索常量表C.侧信道功耗分析D.动态调试UART答案：B解析：硬编码密钥常以字节数组形式存在于.rodata段，binwalk解压后grep高熵常量可快速定位。8.在零信任架构中，用于实现"动态信任评估"的核心协议层是A.TLS1.3B.IKEv2C.SDPD.GSSAPI答案：C解析：SDP（SoftwareDefinedPerimeter）在零信任中承担设备认证、上下文收集与动态访问控制功能。9.若数据库审计系统采用"镜像+深度包解析"方案，对TLS1.3加密流量进行审计，需首先解决A.密钥交换前向保密B.0RTT重放C.证书透明度D.扩展主密钥答案：A解析：TLS1.3默认使用ECDHE，会话密钥仅在通信双方持有，审计系统必须获得密钥才能解密，需通过密钥托管或中间人代理解决前向保密。10.某单位计划建设同城双活数据中心，RPO=0，RTO<30min，最适合的存储复制方式是A.异步复制B.半同步复制C.同步复制+快照D.周期备份答案：C解析：同步复制保证RPO=0，快照可在故障后快速挂载，满足RTO<30min。11.在Android13中，防止应用通过/proc/self/maps获取其他内存布局的安全机制是A.SELinuxB.seccompC.hidepid=2D.memorydumprestriction答案：C解析：Android13默认对普通应用挂载procfs时启用hidepid=2，无法读取其他进程maps。12.下列关于国密SSL套件ECC_SM4_GCM_SM3的描述，错误的是A.密钥交换使用SM2B.对称加密使用SM4128GCMC.哈希使用SM3256D.签名算法使用RSAPSS答案：D解析：套件全程国密算法，签名亦使用SM2，不涉及RSA。13.在Kubernetes1.27中，若需限制某Pod只能运行在具备"sgx=enabled"标签的节点，应使用的机制是A.NodeSelectorB.NodeAffinityC.Taints&TolerationsD.PodSecurityPolicy答案：B解析：NodeAffinity支持复杂表达式匹配节点标签，实现精确调度。14.对工业控制系统进行安全评估时，依据IEC6244333，SL2等级对"拒绝服务攻击"提出的抗力要求是A.拒绝服务事件不影响安全功能B.拒绝服务事件可影响非安全功能，但需在24h内恢复C.拒绝服务事件可影响安全功能，但需立即报警D.拒绝服务事件可发生，但需记录日志答案：A解析：SL2要求拒绝服务不得破坏任何安全功能，可用性需得到保证。15.在密码工程侧信道防护中，"掩码+洗牌"技术主要针对A.时间分析B.功耗分析C.故障注入D.电磁泄漏答案：B解析：掩码打破功耗与密钥的线性关系，洗牌增加噪声，联合抵御DPA/CPA。二、多项选择题（每题3分，共15分，多选少选均不得分）16.以下哪些技术可有效缓解DNS劫持攻击A.DNSSECB.DoHC.DoTD.HTTP302重定向答案：ABC解析：DNSSEC提供源认证与完整性；DoH/DoT加密传输防止中间人篡改；302重定向无法解决DNS层劫持。17.关于Windows日志取证，可用来检测"哈希传递"攻击的事件ID包括A.4624登录类型3B.4624登录类型9C.4648D.4672答案：ACD解析：类型3网络登录伴随NTLM哈希传递；4648显式凭据使用；4672管理员特权分配，可关联横向移动。18.以下属于国密算法体系的对称加密算法A.SM1B.SM2C.SM3D.SM4答案：AD解析：SM1为对称分组算法，未公开；SM4为公开对称算法；SM2为非对称，SM3为哈希。19.在Linux下使用eBPF进行安全监控时，可挂钩的子系统包括A.kprobeB.tracepointC.uprobeD.socketfilter答案：ABCD解析：eBPF支持内核态与用户态探针，以及网络层过滤，均可用于行为监控。20.关于GDPR与《个人信息保护法》差异，正确的有A.GDPR对数据控制者罚款上限为2000万欧元或全球营业额4%，取高者B.《个人信息保护法》对违法行为最高可处5000万元或年营业额5%罚款C.两者均设立"敏感个人信息"类别D.两者均要求设立数据保护官（DPO）答案：ABC解析：D项《个人信息保护法》仅要求"处理个人信息达到国家网信部门规定数量"者设DPO，非全部。三、判断题（每题1分，共10分，正确打"√"，错误打"×"）21.在TLS1.3中，ServerHello之后的所有握手消息均已加密。答案：√解析：TLS1.3使用EncryptedExtensions开始加密，除HelloRetryRequest外均受保护。22.Android的VerifiedBoot2.0支持回滚保护，可防止攻击者刷入旧版本系统镜像。答案：√解析：VBMeta包含回滚索引，若镜像版本号低于熔断值则拒绝启动。23.在SQL注入联合查询中，若MySQL版本大于5.7，默认即开启secure_file_priv，无法通过UNIONSELECT导出WebShell。答案：×解析：secure_file_priv默认非空即限制导入导出路径，但管理员可设为空，不能一概而论。24.SM9标识密码算法的密钥生成中心（KGC）可离线运行，无需保密主密钥。答案：×解析：KGC必须保密系统主私钥，一旦泄露则整个体系失效。25.使用ChaCha20Poly1305比AESGCM在移动端更省电，因为ChaCha20纯软件实现无需AESNI。答案：√解析：ChaCha20基于ARX操作，在缺乏AESNI的低端CPU上效率更高，能耗更低。26.在Kubernetes中，NetworkPolicy的policyTypes字段若未显式声明，则默认仅包含Ingress。答案：√解析：官方文档规定缺省policyTypes为["Ingress"]，需显式添加Egress才限制出站。27.对于工业防火墙，深度包解析（DPI）必须支持ModbusTCP功能码白名单，否则无法识别非法写操作。答案：√解析：Modbus写操作通过功能码06/16实现，白名单机制可阻断未授权写指令。28.在密码学中，ElGamal加密具有INDCCA安全性。答案：×解析：原始ElGamal仅具备INDCPA，需通过OAEP等转换才可达INDCCA。29.Windows的WDAC（WindowsDefenderApplicationControl）策略一旦部署，即使管理员也无法临时关闭。答案：×解析：管理员可通过重启到WinRE或使用已签名的策略更新文件关闭WDAC。30.基于格（Lattice）的后量子算法CRYSTALSKyber的公钥尺寸大于传统RSA2048。答案：√解析：Kyber512公约800字节，RSA2048公钥仅294字节，格算法尺寸普遍更大。四、填空题（每空2分，共20分）31.在Linux内核中，针对"脏牛"（CVE20165195）漏洞的补丁主要对________机制加入了复制写检查。答案：madvise解析：漏洞利用madvise(MADV_DONTNEED)释放页缓存，补丁在madvise路径加入pte写权限校验。32.国密SSL套件ECDHE_SM2_WITH_SM4_GCM_SM3中，用于密钥交换的椭圆曲线名称为________。答案：SM2解析：套件名已明示使用SM2算法完成ECDHE。33.在Windows事件日志中，检测远程桌面暴力破解常关注事件ID________与4625。答案：4624解析：4624成功登录、4625失败登录，通过高频失败+偶发成功可判断爆破成功。34.使用tcpdump抓取HTTPS流量并解密，需提前获取________文件与主密钥日志。答案：服务器私钥解析：非前向保密套件下，拥有服务器私钥可推导会话密钥。35.在Android逆向中，通过________工具可将DEX转为JAR以便静态分析。答案：dex2jar解析：dex2jar将dex字节码转为传统jar，供JDGUI等工具查看。36.依据GB/T397862021，________级以上的电子签章必须使用硬件密码模块生成签名。答案：三解析：标准规定三级及以上安全电子签章需硬件保护私钥。37.在Kubernetes中，Pod安全上下文字段________可强制容器以非root身份运行。答案：runAsNonRoot解析：该布尔字段为true时，kubelet拒绝以UID0启动容器。38.针对NTP放大攻击，防护设备需在________端口过滤monlist命令。答案：123解析：NTP服务默认UDP/123，monlist命令可放大流量。39.在密码学中，SM3输出杂凑值长度为________位。答案：256解析：SM3产生256位（32字节）摘要。40.使用Ghidra进行固件分析时，若处理器架构为MIPS大端，需设置________参数为"mips:be:32"。答案：language解析：language指定处理器与端序，影响反汇编准确性。五、简答题（每题10分，共30分）41.描述利用IntelSGX实现"远程证明"的流程，并说明如何防止重放攻击。答案与解析：1)应用启动时在Enclave内生成ECDSA密钥对，私钥永不出Enclave；2)Enclave向QuotingEnclave（QE）申请本地报告，包含MRENCLAVE、属性、用户数据等；3)QE验证报告后使用EPID或ECDSA签名生成Quote；4)应用将Quote与签名链发送至远程挑战方；5)挑战方通过IntelAttestationService（IAS）或DCAP验证签名有效性、TCB级别；6)验证通过即建立可信通道，使用Enclave内公钥进行密钥交换。防重放：Quote内必须包含挑战方提供的nonce，且远程验证端记录已用nonce，拒绝重复提交；同时可限制Quote有效期，如10分钟内有效。42.某企业采用微服务架构，API网关需对JWT进行集中验证。请给出防止令牌泄露后横向移动的三种加固措施，并比较其优劣。答案与解析：措施1：将JWT存储于浏览器Secure+HttpOnly+SameSite=StrictCookie，前端仅通过SameSiteCookie携带，避免XSS窃取；优点：防XSS；缺点：需解决跨域前端路由。措施2：JWT绑定客户端证书指纹或TLS会话ID，网关验证绑定关系；优点：泄露后无法重放；缺点：需维护TLS层映射表，性能开销大。措施3：JWT有效期极短（2min），搭配在线刷新机制（RefreshToken存于服务端Redis，绑定设备指纹）；优点：泄露窗口小；缺点：增加刷新流量与Redis依赖。综合：推荐1+3组合，兼顾易用性与安全性。43.说明在Linux系统下利用eBPF实现"无文件型挖矿木马"实时检测的思路，并给出关键BPF程序挂钩点。答案与解析：思路：无文件木马常通过memfd_create创建匿名文件，写入ELF后执行，无磁盘落地。检测逻辑：1)挂钩sys_memfd_create，记录进程PID与fd；2)挂钩sys_write与sys_pwrite64，若写入fd为memfd且内容匹配ELF头（7f454c46），则标记异常；3)挂钩sys_execveat，若执行路径为"/proc/self/fd/<memfd>"，且父进程为web服务或数据库，则触发告警；4)统计CPU使用率，若同一进程CPU>80%且网络连接矿池地址，提高威胁等级；5)用户态通过perfevent输出PID、进程名、命令行、目标IP，联动iptables阻断出站流量。关键挂钩点：kprobe/sys_memfd_create、kprobe/sys_write、kprobe/sys_execveat、tracepoint/syscalls/sys_enter_sendto、maps/CPU使用计数。六、综合应用题（15分）44.背景：某金融公司计划上线"人脸支付"系统，需通过等保三级测评。系统由移动端App、API网关、人脸比对微服务、消息队列、核心支付网关、MySQL主从组成。请依据等级保护2.0与《个人信息保护法》要求，给出一份"数据安全与隐私保护"设计方