2025年网络安全与隐私保护试卷及答案

2025年网络安全与隐私保护试卷及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2024年11月生效的《个人信息出境标准合同办法》要求，个人信息出境前需完成的安全评估最迟应在合同生效后多少日内向省级以上网信部门备案？A.15日 B.30日 C.45日 D.60日答案：B2.在TLS1.3握手过程中，用于实现前向保密的核心机制是：A.RSA密钥传输 B.静态DH C.ECDHE D.PSK答案：C3.依据GB/T222392019《信息安全技术网络安全等级保护基本要求》，第三级系统应对关键网络节点实施：A.入侵检测 B.恶意代码防护 C.流量清洗 D.以上全部答案：D4.安卓13引入的“隐私仪表板”功能主要依赖的权限模型是：A.DAC B.MAC C.运行时权限 D.能力能力表答案：C5.下列哪一项不属于NISTSP80053Rev.5中“供应链风险管理”控制家族？A.SR1 B.SA15 C.SR3 D.SR6答案：B6.在零信任架构中，用于持续评估访问主体信任等级的关键技术组件是：A.SIEM B.PolicyEngine C.SDP D.IDS答案：B7.根据《数据安全法》，对“重要数据”进行出境安全评估的负责主体是：A.公安部 B.国家网信办 C.行业主管部门 D.数据处理者自身答案：B8.SM4分组密码算法采用的轮函数结构属于：A.Feistel B.SP网络 C.LaiMassey D.ARX答案：B9.在iOS17的“NameDrop”功能中，交换联系人信息时默认使用的无线技术是：A.BluetoothLE+UWB B.NFC C.WiFiAware D.红外答案：A10.依据ISO/IEC27701:2019，对PII控制者进行隐私风险管理时，需额外补充的控制域是：A.信息安全策略 B.人力资源安全 C.隐私特定控制 D.通信安全答案：C11.2025年3月曝光的“TunnelVision”攻击针对的是：A.IPsec B.MPLSVPN C.DHCPOption121 D.GRE答案：C12.在Windows1123H2中，默认阻止通过SMBguest访问共享的安全策略注册表键值位于：A.HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters B.HKLM\SOFTWARE\Policies\Microsoft\Windows\System C.HKCU\Network D.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies答案：A13.根据《关键信息基础设施安全保护条例》，运营者采购网络产品或服务可能影响国家安全的，应当申报：A.等保测评 B.安全审查 C.密码应用评估 D.风险评估答案：B14.在DNSSEC验证链中，用于证明“.cn”区文件完整性的记录类型是：A.DNSKEY B.DS C.NSEC3 D.RRSIG答案：B15.下列关于同态加密的说法正确的是：A.CKKS方案支持精确整数运算 B.BFV方案支持浮点近似运算 C.BGV方案基于LWE D.CKKS方案基于RLWE且支持浮点答案：D16.在Kubernetes1.29中，用于限制容器对宿主机PID命名空间访问的安全上下文属性是：A.allowPrivilegeEscalation B.hostPID C.runAsNonRoot D.seccompProfile答案：B17.根据《个人信息保护法》，个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行：A.等保测评 B.合规审计 C.渗透测试 D.风险评估答案：B18.在ARMv9架构中，用于隔离敏感代码与操作系统的新增安全特性是：A.TrustZone B.CCA C.SGX D.MPK答案：B19.2024年BlackHat大会上展示的“LOTL”攻击主要利用：A.固件漏洞 B.无文件技术 C.硬件侧信道 D.供应链污染答案：B20.在GDPR第49条“克减条款”中，允许将个人数据传输至第三国的情形不包括：A.数据主体明示同意 B.履行合同必要 C.控制者重大经济利益 D.法律主张建立与行使答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于《汽车数据安全管理若干规定（试行）》定义的“重要数据”？A.人脸数据车外采集超过1万人次 B.车辆轨迹连续覆盖10km以上 C.涉及军事管理区地理信息 D.充电网运行数据答案：A、C、D22.关于AESGCM模式，下列说法正确的有：A.提供机密性与完整性 B.需要nonce唯一 C.支持任意长度IV D.可并行计算答案：A、B、D23.在Linux内核6.7中，用于缓解“StackRot”漏洞的编译选项包括：A.fstackclashprotection B.fnoomitframepointer C.CONFIG_STACKDEPOT D.CONFIG_VMAP_STACK答案：A、C、D24.以下哪些技术可用于防止GPS欺骗攻击？A.双频接收机 B.加密信号（如GPSM码） C.惯性导航融合 D.基站辅助定位答案：A、B、C、D25.依据《密码法》，商用密码产品检测认证目录由哪些部门联合发布？A.国家密码管理局 B.市场监管总局 C.工信部 D.公安部答案：A、B26.在iMessage联系人密钥验证（CKV）中，用户比对的是：A.设备ECDSA公钥哈希 B.用户身份密钥哈希 C.苹果根证书指纹 D.联系人头像哈希答案：A、B27.以下哪些属于NISTSP800207零信任原则？A.动态授权 B.最小权限 C.假定已泄露 D.以网络边界为信任基础答案：A、B、C28.在WindowsHelloforBusiness中，用于保护生物特征模板的安全机制包括：A.TPM2.0隔离 B.VBS安全岛 C.AES加密 D.生物特征散列化答案：A、B、C、D29.关于联邦学习隐私攻击，下列说法正确的有：A.成员推理可推断样本是否参与训练 B.属性推理可推断敏感属性 C.模型逆向可恢复原始输入 D.梯度泄露可重建训练数据答案：A、B、C、D30.在Android14中，针对“后台启动前台服务”的限制包括：A.需声明FOREGROUND_SERVICE_SPECIAL_USE B.限制每分钟启动次数 C.需用户可见通知 D.需运行时权限答案：A、C三、填空题（每空1分，共20分）31.在TLS1.3中，用于加密握手消息的密钥称为________。答案：handshaketrafficsecret32.SM2椭圆曲线公钥密码算法采用的曲线名称为________。答案：SM2P256V133.根据《个人信息保护法》，个人信息处理者应当保存个人敏感信息的最短时间为________。答案：无最短法定时间，但应限于实现处理目的的最短时间34.在Kubernetes中，NetworkPolicy资源依赖的底层插件必须支持________层隔离。答案：L3/L435.2025年1月1日起施行的《未成年人网络保护条例》要求，网络服务提供者处理不满________周岁未成年人个人信息应取得监护人同意。答案：1436.在Windows11中，用于存储凭据的基于虚拟化的安全隔离容器称为________。答案：CredentialGuard37.在DNSoverHTTPS（DoH）中，默认推荐的媒体类型为________。答案：application/dnsmessage38.根据ISO/IEC27001:2022，附录A控制措施总数为________项。答案：9339.在ARMTrustZone中，安全世界与正常世界的切换通过指令________完成。答案：SMC40.在GDPR中，数据保护官（DPO）必须直接向________汇报。答案：最高管理层41.在Linux中，用于限制进程系统调用的安全机制是________。答案：seccomp42.2024年发布的《生成式人工智能服务管理暂行办法》要求，提供者应在________小时内对违法内容完成处置。答案：343.在零信任架构中，用于描述网络实体身份与属性的数据结构称为________。答案：身份凭证（identitycredential）44.在iOS17中，NameDrop功能默认使用________框架实现近距离发现。答案：NearbyInteraction45.在密码学中，将高熵密钥拆分为n份，其中任意t份可重构密钥的方案称为________方案。答案：Shamir秘密共享46.在HTTP/3中，传输层协议由TCP改为________。答案：QUIC47.在Android14中，针对后台应用访问剪贴板的限制间隔为________毫秒。答案：3600000（1小时）48.在NISTSP80063B中，推荐的最长密码有效期为________。答案：无强制期限，仅建议根据威胁评估动态调整49.在WindowsDefenderApplicationControl（WDAC）中，策略文件采用________格式编码。答案：XML50.在Linux内核中，用于实现地址空间布局随机化的机制缩写为________。答案：ASLR四、简答题（每题6分，共30分）51.简述TLS1.3与TLS1.2在握手延迟方面的差异，并说明其如何提升移动网络用户体验。答案：TLS1.2完整握手需2RTT，而TLS1.3通过将密钥交换与参数协商压缩为1RTT，并在会话复用场景下支持0RTT。移动网络高丢包、高延迟场景下，减少一次RTT可降低握手时延约30100ms，显著提升首屏渲染速度；0RTT复用可消除握手延迟，实现瞬时页面加载，减少用户等待感知。52.概述《个人信息保护法》中“敏感个人信息”的定义及处理该类信息的特殊要求。答案：敏感个人信息指一旦泄露或非法使用，易导致人格尊严或人身财产安全受到严重危害的信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹及不满14周岁未成年人信息。处理时需取得单独同意，告知处理必要性及影响，采取严格保护措施，进行事前个人信息保护影响评估，并记录处理情况至少三年。53.说明Kubernetes中PodSecurityPolicy（PSP）被废弃后的替代方案及其优势。答案：替代方案为PodSecurityStandards（PSS）与OPAGatekeeper/Kyverno。PSS提供内置的Privileged、Baseline、Restricted三级策略，无需编写复杂RBAC，降低运维成本；Gatekeeper支持自定义CRD策略，可审计、告警、阻断，扩展性强；Kyverno提供YAML声明式策略，无需学习Rego语言，社区模板丰富，适配GitOps工作流。54.简述GPS欺骗攻击对电网同步相量测量装置（PMU）的潜在危害及两种防御技术。答案：攻击者可伪造GPS时间信号，导致PMU时间戳错误，破坏全网同步，引发保护误动、潮流计算错误甚至大面积停电。防御技术：1.多源时间同步，采用北斗+GLONASS+地面光纤授时，通过一致性校验剔除异常源；2.信号质量监测，利用双频接收机检测载波相位跳变与信噪比异常，触发告警并切换备用时钟。55.说明同态加密在医疗AI云推理场景中的应用流程，并指出其性能瓶颈。流程：1.医院在本地用公钥加密影像数据，上传密文至云；2.云服务器在密文域运行预训练模型（如CKKS方案支持浮点近似），生成加密预测结果；3.医院下载密文结果，用私钥解密获得诊断。性能瓶颈：密文膨胀约1001000倍，计算耗时比明文高34个数量级，需大内存与GPU加速；密钥管理复杂，需防止私钥泄露。五、应用题（共60分）56.计算与分析题（12分）某企业计划部署基于属性的加密（ABE）方案保护外包数据。已知：密文策略采用AND门，属性全集{“Dept:RD”,“Role:Manager”,“Clearance:High”}；用户私钥仅含属性{“Dept:RD”,“Clearance:High”}；密文策略为“Dept:RDANDRole:Manager”。问：1.该用户能否解密？2.若不能，需如何调整策略或属性？3.给出策略布尔表达式与属性集合的最小匹配判定算法伪代码。答案：1.不能，因用户缺少“Role:Manager”。2.调整策略为“Dept:RDORClearance:High”，或给用户增加属性“Role:Manager”。3.伪代码：```match(policy,attrs):ifpolicy.type==AND:forattrinpolicy.attrs:ifattrnotinattrs:returnFalsereturnTrueifpolicy.type==OR:forattrinpolicy.attrs:ifattrinattrs:returnTruereturnFalse```57.风险评估题（12分）某车联网平台收集车辆VIN、位置、速度、驾驶员人脸，每日增量5TB，保存3年。请：1.按GB/T352732020识别数据类别与级别；2.列出三项最高风险；3.给出风险处置措施。答案：1.数据类别：个人敏感信息（人脸、精确位置）、重要数据（车辆运行批量数据）。级别：人脸与连续轨迹为敏感级，VIN与速度为一般个人，批量轨迹构成重要数据。2.最高风险：a.未加密传输导致位置批量泄露；b.内部人员超期留存人脸用于非授权分析；c.跨境传输未评估被境外情报利用。3.处置：a.采用TLS1.3+SM4SM3套件端到端加密；b.部署数据脱敏与零信任网关，最小权限访问；c.启动数据出境安全评估，签署标准合同并备案。58.渗透测试题（12分）测试员获得一内网Web应用上传点，后端使用ImageMagick7.1.00，已知存在CVE202244268（PNG注释泄露）。请：1.写出构造恶意PNG的exploit步骤；2.给出读取/etc/passwd的ImageMagick命令；3.提出两条加固建议。答案：1.步骤：a.制作含tEXtchunk的PNG，key为“profile”，value为“/etc/passwd”的base64；b.上传后服务器自动转换，tEXt被写入临时文件；c.访问转换结果下载泄露文件。2.命令：convertinput.pngprofile"/etc/passwd"output.png3.加固：a.升级至7.1.051以上版本；b.使用policy.xml禁用profile、label等危险选项，启用沙箱。59.合规审计题（12分）某SDK被通报违规收集IMEI。审计发现：初始化时通过TelephonyManager.getDeviceId()读取；仅在Android9以下系统执行；隐私政策未明示。请：1.指出违反的法规条款；2.给出代码整改片段（Kotlin）；3.列出向监管部门提交的整改报告目录。答案：1.违反《个人信息保护法》第13、17条（告知同意），第6条（最小必要）。2.代码：```if(Build.VERSION.SDK_INT>=Build