2025年计算机网络安全考试试题及答案解析

2025年计算机网络安全考试试题及答案解析一、单项选择题（每题2分，共20分。每题只有一个正确答案，错选、多选均不得分）1.在TLS1.3握手过程中，用于实现前向安全性的核心机制是A.RSA密钥传输B.静态DH密钥交换C.(EC)DHE密钥交换D.PSKonly握手答案：C解析：TLS1.3废弃了RSA静态密钥传输与静态DH，仅保留临时DH或椭圆曲线临时DH（(EC)DHE），每次握手生成新密钥，实现前向安全性。2.下列哪一项最能有效降低存储型XSS漏洞的利用风险A.在浏览器端启用ContentSecurityPolicy:defaultsrc'self'B.使用HTTPS代替HTTPC.在服务器端对输入做URL编码D.将SessionCookie标记为Secure答案：A解析：CSP可阻止页面加载外部脚本，直接阻断存储型XSS载荷执行；其他选项虽有益，但无法直接阻止脚本注入后执行。3.关于国密SM2公钥加密算法的描述，正确的是A.基于椭圆曲线离散对数问题B.与RSA同样使用大整数分解难题C.仅支持签名，不支持加密D.密钥长度固定为256位答案：A解析：SM2基于ECC，其安全性依赖于椭圆曲线离散对数难题；支持加密与签名；密钥长度推荐256位，但标准允许其他长度。4.在Windows系统中，利用“令牌窃取”进行横向移动时，最常调用的API组合是A.LogonUser+CreateProcessAsUserB.OpenProcessToken+ImpersonateLoggedOnUserC.LsaLogonUser+LsaEnumerateLogonSessionsD.GetTokenInformation+SetTokenInformation答案：B解析：攻击者先OpenProcessToken获取高权限进程令牌，再ImpersonateLoggedOnUser模拟该令牌，完成横向移动。5.以下对零信任架构原则的描述，错误的是A.永不信任，持续验证B.先连接后认证C.最小权限访问D.微分段网络答案：B解析：零信任要求“先认证、后连接”，任何访问请求都必须先完成身份与上下文验证。6.在IPv6中，用于替代ARP的协议是A.NDPB.DHCPv6C.MLDD.ICMPv6Echo答案：A解析：邻居发现协议（NDP）集成在ICMPv6中，完成地址解析、重复地址检测等功能，取代IPv4的ARP。7.当IDS检测到疑似攻击流量并立即下发ACL阻断，该部署模式称为A.IDS在线模式B.IPS被动模式C.IPSinline模式D.IDS镜像模式答案：C解析：IPSinline串接流量，可实时丢弃恶意包；IDS仅检测告警，不直接干预流量。8.利用“BGP劫持”实现流量窃听时，攻击者通常发布A.更具体的路由前缀B.更低MED值C.更高LocalPreferenceD.更长ASPath答案：A解析：更具体前缀（/24vs/16）优先被全球路由表采纳，可引流至攻击者AS。9.在Android13中，限制应用后台访问设备标识符的新权限是A.READ_PRIVILEGED_PHONE_STATEB.READ_DEVICE_IDENTIFIERSC.READ_BASIC_PHONE_STATED.READ_MEDIA_IMAGES答案：B解析：Android13引入READ_DEVICE_IDENTIFIERS权限，普通应用无法后台获取IMEI、MEID等。10.若某网站证书包含“CertificateTransparency”扩展，其OID为A..4.1.11B.7C.1.2.840.11356.1.5D..2.1答案：A解析：OID.4.1.11为GoogleCT扩展，用于嵌入SCT（签名证书时间戳）。二、多项选择题（每题3分，共15分。每题有两个或以上正确答案，多选、少选、错选均不得分）11.以下哪些技术可同时提供机密性与完整性保护A.AESGCMB.ChaCha20Poly1305C.HMACSHA256D.RSAOAEP答案：A、B解析：AESGCM与ChaCha20Poly1305为AEAD算法，单密钥同时完成加密与认证；HMAC仅完整性；RSAOAEP仅机密性。12.关于DNSSEC安全特性，正确的有A.使用RRSIG记录提供资源记录签名B.使用DS记录建立父域对子域的信任链C.使用NSEC3记录防止区域遍历D.使用CDNSKEY记录实现密钥轮换答案：A、B、C解析：CDNSKEY并非标准记录类型，正确为CDS与CDNSKEY；NSEC3通过哈希防止遍历。13.在Linux内核中，可缓解提权漏洞的防御机制有A.SMEPB.SMAPC.KASLRD.UAC答案：A、B、C解析：SMEP/SMAP阻止内核执行/访问用户空间数据；KASLR随机化内核地址；UAC为Windows机制。14.以下属于同态加密可实现的运算类型A.Paillier支持无限次加法同态B.BGV支持有限次乘法与加法C.RSA支持乘法同态D.AES支持加法同态答案：A、B、C解析：Paillier加法同态；BGV为全同态方案；RSA原始方案支持乘法同态；AES无同态特性。15.在容器逃逸场景中，可能利用的漏洞有A.特权容器启动时挂载/docker.sockB.runC容器运行时CVE20195736C.Kubernetes默认允许Pod创建HostNetworkD.Linux内核CVE20220847（DirtyPipe）答案：A、B、C、D解析：四项均可导致宿主机沦陷：docker.sock可控制Docker守护进程；runC与DirtyPipe为内核/运行时漏洞；HostNetwork共享网络命名空间。三、填空题（每空2分，共20分）16.在TLS1.3中，ServerHello之后的第一个加密消息是________，其内容类型实际被伪装为________。答案：EncryptedExtensions，Handshake17.国密SM3杂凑算法输出长度为________位，其结构基于________结构。答案：256，MerkleDamgård18.Windows日志中，事件ID________表示成功登录，事件ID________表示账户锁定。答案：4624，474019.在IPv6地址2001:db8::/32中，________位用于全球路由前缀，________位用于子网ID（假设/48站点前缀）。答案：32，1620.利用________攻击可使IEEE802.11i的4次握手密钥重装，导致重用Nonce，该漏洞编号为________。答案：KeyReinstallation，CVE201713082四、简答题（每题10分，共30分）21.简述零信任架构中“微分段”与“传统网络分段”的差异，并给出在SDN环境下实现微分段的两种技术方案。答案要点：1)传统分段基于VLAN、子网、防火墙物理边界，粒度粗、静态配置；微分段以身份、应用、会话为边界，粒度细、动态策略。2)SDN方案：a)使用OpenFlow流表基于IP+端口+用户身份下发细粒度ACL；b)利用VXLAN+EVPN结合MPBGP路由策略，将安全组标签（SGTAG）映射到VXLANVNI，实现端到端微分段。评分：差异4分，每方案3分，共10分。22.说明DNSoverHTTPS（DoH）与DNSoverTLS（DoT）在隐私保护、部署兼容性、性能开销三方面的对比。答案要点：隐私：两者均加密传输，DoH流量与Web流量混合，难以被中间设备识别，隐私更强；DoT使用853端口，易被识别封锁。兼容性：DoH基于HTTP/2，可利用现有CDN、浏览器栈；DoT需系统StubResolver支持，移动端支持较晚。性能：DoH多一层HTTP封装，首次连接多一次TLS握手，延迟略高；DoT可直接复用TCP，TLS层更轻量。评分：每方面3分，语言流畅1分，共10分。23.描述Linux内核“栈溢出保护”技术StackGuard与StackSmashingProtector（SSP）的异同，并给出GCC开启SSP的编译参数。答案要点：相同：均在函数栈帧插入Canary，返回前检查完整性。差异：StackGuard为早期实现，仅保护返回地址；SSP扩展保护局部数组、结构体，Canary随机化更强，支持重新排序局部变量。编译参数：fstackprotector（保护含char数组的函数）、fstackprotectorall（全部函数）、fstackprotectorstrong（默认，平衡性能与覆盖率）。评分：异同6分，参数4分，共10分。五、应用题（共35分）24.计算与分析题（15分）某企业采用AES256GCM加密VPN流量，已知：1)硬件加密卡吞吐率20Gbps；2)每包平均长度1400Byte；3)GCM每包需额外16ByteIV与16ByteTag；4)背景流量占30%，峰值系数1.5。求：(1)理论最大包转发率pps；（5分）(2)考虑背景与峰值，实际需保证的加密吞吐率；（3分）(3)若改用ChaCha20Poly1305，单核性能为AES256GCM的70%，在同样20Gbps线速下，需多少核并行？（7分）答案：(1)单包总长度=1400+16+16=1432Byte=11456bitpps=20×10⁹/11456≈1.746×10⁶pps(2)实际吞吐=20×(1+0.3)×1.5=39Gbps(3)单核ChaCha20Poly1305吞吐=20×0.7=14Gbps核数=39/14≈2.79，向上取整3核评分：每步计算正确给对应分，单位错误扣1分。25.综合设计题（20分）背景：某政务云需建设跨地域容灾系统，RPO≤15min，RTO≤30min，数据级+应用级双活，安全合规满足等保2.0三级。要求：a)给出数据同步复制技术选型并说明理由；（6分）b)设计双活中心之间的加密传输方案，含密钥生命周期管理；（8分）c)针对勒索软件场景，给出备份系统防篡改机制；（6分）答案：a)采用基于存储阵列的同步复制（如FC/IPSAN双活）+异步复制兜底。同步复制满足RPO≈0，双活读写；异步复制在链路中断时兜底，15min间隔。理由：存储级复制对应用透明，兼容老旧系统，支持一致性组。b)传输加密：使用MACsec（Layer2）或IPsec（Layer3）隧道，算法套件AES256GCM；密钥生命周期：采用KMIP集中管理，主密钥托管于FIPS1403三级HSM，会话密钥每小时轮换，通过RSA4096或SM2数字信封分发；双中心各部署KMS集群，互备交叉认证，支持密钥撤销与审计。c)防篡改：备份存储采用WORM（一次写入多次读取）光盘库+对象存储锁定策略（S3ObjectLock，Compliance模式，保留期7年）；备份系统与生产网络物理隔离，备份主机采用ImmutableLinux系统，只读根分区，内核完整性由IMA/EVM度量；备份数据采用SM3SM2双签名，每次备份生成Merkle树，根哈希写入区块链锚定，发现篡改即刻告警。评分：技术选型理由充分6分；加密方案完整8分；防篡改机