2025年网络信息安全管理员三级考试模拟试卷及答案(网络安全防护)

2025年网络信息安全管理员三级考试模拟试卷及答案(网络安全防护)一、单项选择题（每题1分，共30分。每题只有一个正确答案，错选、多选、未选均不得分）1.2025年3月，某单位在边界防火墙开启“零信任动态端口”功能后，发现内网横向移动攻击下降87%。该功能最核心的技术原理是A.基于ACL的静态端口绑定B.基于SPA（SinglePacketAuthorization）的敲门机制C.基于MACsec的二层加密D.基于802.1X的端口认证答案：B解析：零信任动态端口通常采用SPA敲门，未授权报文直接丢弃，攻击面急剧缩小。2.在WindowsServer2025中，若要阻止利用“PetitPotam”强制触发ADCSNTLM中继，最有效的注册表键值是A.RestrictNTLM=2B.AllowNTLM=0C.NegotiateNTLM=1D.EnableNTLM=3答案：A解析：RestrictNTLM=2完全禁止NTLM，可阻断中继攻击，但需评估业务兼容性。3.某企业采用IPv6only网络，管理员在防火墙发现大量“IPv6逐跳选项头（HopbyHopOptionsHeader）”类型为0x00的报文，其最可能的攻击意图是A.利用超大报文实施DoSB.利用路由头类型0进行放大C.利用“Jumbogram”绕过流量清洗D.利用“FragmentHeader”实施分片重叠答案：C解析：0x00选项头可携带Jumbogram，单包超过65535字节，绕过传统基于包长的清洗策略。4.2025年5月，OpenSSL3.2.1被曝出“SSL_select_next_proto”缓冲区溢出，官方建议第一时间使用的缓解命令是A.opensslrehashB.openssls_clientalpnC.opensslciphersvD.opensslnonextprotoneg答案：D解析：nonextprotoneg编译开关可完全禁用NPN，消除溢出面。5.在Linux内核6.8中，针对“StackRot”漏洞，管理员应开启的sysctl参数是A.kernel.stack_canary=1B.kernel.unprivileged_bpf_disabled=1C.kernel.stack_depot=1D.kernel.sched_stack_end_bug=1答案：B解析：StackRot利用未授权BPF程序篡改栈，禁用后可阻断攻击路径。6.某云厂商提供“机密计算”实例，其基于AMDSEVSNP，若要验证GuestVM内存完整性，管理员应调用的API是A.ioctl(SEV_ISSUE_CMD,SNP_LAUNCH_FINISH)B.ioctl(SEV_ISSUE_CMD,SNP_GUEST_REQUEST)C.ioctl(SEV_ISSUE_CMD,SNP_ATTEST)D.ioctl(SEV_ISSUE_CMD,SNP_SHUTDOWN)答案：C解析：SNP_ATTEST生成可验证的内存完整性报告，供远程证明。7.2025年6月，某APT组织利用“MicrosoftTeams2.0”的“ExternalFederation”功能投递“LokiBot”，管理员在M365中应最先关闭的开关是A.TeamsMeetingExternalAccessB.TeamsChatExternalAccessC.TeamsAppExternalAccessD.TeamsLiveEventsExternalAccess答案：B解析：关闭外部聊天可直接阻断初始投递通道。8.在Kubernetes1.30中，为防止“SIGNode”逃逸漏洞，AdmissionController必须强制注入的SecurityContext字段是A.runAsUser:0B.allowPrivilegeEscalation:falseC.readOnlyRootFilesystem:trueD.capabilities:{drop:["ALL"]}答案：B解析：禁止特权升级可阻断容器逃逸到宿主机。9.某单位采用“国密SM4GCM”算法对东西向流量加密，其IV长度应为A.64bitB.96bitC.128bitD.256bit答案：B解析：GCM模式推荐96bitIV，国密SM4同样遵循。10.2025年4月，IETF发布RFC9500，正式废弃的安全协议是A.TLS1.2B.IPSecAHC.WEPD.SSL2.0答案：C解析：WEP终被正式废弃，RFC9500明文指出其无法修复。11.在零信任架构中，SDP控制器与SDP网关之间默认使用的控制通道端口是A.TCP/443B.UDP/500C.TCP/444D.UDP/4500答案：C解析：SDP规范默认TCP/444，避免与Web端口冲突。12.某企业部署“安全访问服务边缘（SASE）”后，发现Office365登录延迟增加，最应调整的SLA指标是A.MTTRB.MTTDC.RTTD.RPO答案：C解析：RTT直接体现链路延迟，需就近接入SASEPOP。13.2025年7月，GitLab17.0修复的“CVE20251234”属于哪一类漏洞A.SSRFB.RCEC.XSSD.LPE答案：B解析：该CVE为模板注入导致的远程代码执行。14.在Windows1124H2中，默认启用且可阻止“BringYourOwnVulnerableDriver（BYOVD）”攻击的功能是A.HVCIB.VBSC.CredentialGuardD.WindowsHello答案：A解析：HVCI（HypervisorProtectedCodeIntegrity）拒绝未签名驱动。15.某单位使用“国密双证书”体系，加密证书与签名证书的关键区别是A.密钥用法扩展B.基本约束扩展C.主题备用名D.CRL分发点答案：A解析：加密证书密钥用法为KeyEncipherment，签名证书为DigitalSignature。16.在Linux中，若需审计“eBPF程序加载”，应配置的audit规则是A.w/sys/kernel/debug/tracing/prB.aalways,exitFarch=b64Sbpfkebpf_loadC.w/usr/lib64/libbpf.sopxD.aalways,exitFarch=b64Sptracekebpf_load答案：B解析：系统调用号为bpf，可捕获所有eBPF加载事件。17.2025年，主流浏览器已默认禁用的跨域机制是A.CORSB.JSONPC.PostMessageD.Fetch答案：B解析：JSONP因无Origin校验被全面禁用。18.某云函数（Lambda）运行时采用“FirecrackerMicroVM”，其隔离边界属于A.进程级B.容器级C.轻量级虚拟化级D.硬件级答案：C解析：Firecracker基于KVM，属于微虚机隔离。19.在IPv6网络中，用于防止“ND欺骗”的安全机制是A.SENDB.SAVIC.RAGuardD.DHCPv6Guard答案：A解析：SEND（SecureNeighborDiscovery）通过CGA与RSA签名防止ND欺骗。20.2025年，工信部要求关键信息基础设施运营者采购远程运维服务时，必须采用的加密算法套件是A.TLS_AES_256_GCM_SHA384B.TLS_SM4_GCM_SM3C.TLS_CHACHA20_POLY1305_SHA256D.TLS_RSA_WITH_3DES_EDE_CBC_SHA答案：B解析：国密套件TLS_SM4_GCM_SM3为强制要求。21.在Kubernetes中，为防止“etcd”被恶意写入，应启用的加密配置是A.EncryptionConfigurationwithaescbcB.EncryptionConfigurationwithsecretboxC.EncryptionConfigurationwithkmsD.EncryptionConfigurationwithidentity答案：C解析：KMS插件支持外置HSM，密钥轮换更安全。22.某单位采用“国密SSLVPN”，其握手协议版本字段应为A.0x0301B.0x0303C.0x0101D.0x0201答案：D解析：国密TLS1.1版本号为0x0201。23.2025年，微软将“PasstheHash”缓解策略默认提升到A.NTLMv1B.NTLMv2C.KerberosArmoringD.RestrictedAdminMode答案：C解析：KerberosArmoring（FAST）默认开启，阻断PtH。24.在Linux中，若需阻止“StackClash”攻击，应开启的编译参数是A.fstackprotectorB.fstackprotectorstrongC.fstackclashprotectionD.fnostacklimit答案：C解析：fstackclashprotection在GCC8+提供，可探测栈冲突。25.某单位使用“DNSoverHTTPS（DoH）”集中解析，为防止“DNS泄漏”，应强制客户端使用的本地地址是A.:53B.:853C.:443D.:5353答案：C解析：DoH基于HTTPS，端口443。26.2025年，Chrome已全面支持的“后量子密钥交换”算法是A.Kyber512B.Kyber768C.Kyber1024D.NTRU答案：B解析：Chrome125默认启用Kyber768。27.在Windows中，若需审计“LSA内存转储”，应配置的组策略是A.DebugPrivilegeB.AuditLSAOperationC.AuditSensitivePrivilegeUseD.AuditProcessTracking答案：C解析：SensitivePrivilegeUse可记录LSA内存访问。28.某单位采用“SDP+IAM”架构，用户首次访问时，SDP控制器返回的“SPA敲门响应”中不包含A.临时JWTB.网关路由表C.用户邮箱明文D.对称加密密钥答案：C解析：邮箱明文无需携带，避免泄漏。29.2025年，OpenSSH9.5默认禁用的算法是A.rsasha2512B.sshrsaC.ecdsasha2nistp256D.sshed25519答案：B解析：sshrsa（SHA1）被默认禁用。30.在Android15中，阻止“StrandHogg2.0”攻击的核心机制是A.IntentFirewallB.ActivityTaskAffinityC.AppIntegrityProtectionD.ScopedIntentLaunch答案：D解析：ScopedIntentLaunch限制任务栈劫持。二、多项选择题（每题2分，共20分。每题有两个或以上正确答案，多选、少选、错选均不得分）31.以下哪些技术可有效阻断“AI深度伪造（Deepfake）”语音钓鱼A.声纹活体检测B.频谱相位一致性校验C.信道突变检测D.固定口令二次验证答案：ABC解析：固定口令可被重放，无法阻断Deepfake。32.2025年，以下哪些HTTP响应头可缓解“XSLeaks”侧信道攻击A.CrossOriginOpenerPolicyB.CrossOriginEmbedderPolicyC.CrossOriginResourcePolicyD.TimingAllowOrigin答案：ABC解析：COOP/COEP/CORP可隔离跨域窗口与资源。33.在Kubernetes中，以下哪些配置可阻断“容器逃逸到节点”A.readOnlyRootFilesystem:trueB.allowPrivilegeEscalation:falseC.seccompProfile:RuntimeDefaultD.hostNetwork:true答案：ABC解析：hostNetwork=true反而增加逃逸面。34.以下哪些属于“后量子数字签名”算法A.DilithiumB.FalconC.RainbowD.Kyber答案：ABC解析：Kyber为密钥封装，非签名。35.2025年，以下哪些端口被工信部列入“高风险默认端口”A.TCP/135B.TCP/445C.TCP/1433D.TCP/8080答案：ABC解析：8080未列入强制清单。36.在Linux中，以下哪些命令可查看“eBPF程序已加载列表”A.bpftoolproglistB.ls/sys/fs/bpfC.cat/proc/kallsymsD.perftop答案：AB解析：kallsyms仅显示符号，perftop用于采样。37.以下哪些属于“国密SSLVPN”规定的认证方式A.双因子国密证书B.国密动态口令C.国密IBC标识密码D.国密FIDO2答案：ABC解析：FIDO2尚未纳入国密SSLVPN规范。38.以下哪些技术可检测“DNSoverHTTPS隧道”A.JA3/JA3S指纹B.流量包长时序分析C.SNI明文检测D.基于ESNI的阻断答案：AB解析：DoH加密SNI/ESNI，无法基于域名检测。39.在Windows11中，以下哪些策略可缓解“BringYourOwnVulnerableDriver”A.HVCIB.DriverBlockRulesC.WindowsDefenderApplicationControlD.LSAProtection答案：ABC解析：LSAProtection与驱动无关。40.以下哪些属于“IPv6安全邻居发现（SEND）”依赖的密码学机制A.CGAB.RSASignatureC.NonceD.HMACSHA256答案：ABC解析：SEND使用CGA+RSA+Nonce，无需HMAC。三、判断题（每题1分，共10分。正确打“√”，错误打“×”）41.2025年，TLS1.3已支持国密SM4GCM套件。答案：√解析：RFC8998bis已定义SM4GCMTLS1.3。42.Android15默认禁止所有后台启动Activity，可有效阻断StrandHogg。答案：√解析：BackgroundActivityLaunch限制生效。43.Kubernetes1.30中，etcd默认启用KMS加密，无需手动配置。答案：×解析：仍需手动提供EncryptionConfiguration。44.Windows1124H2中，CredentialGuard默认开启，可防止PasstheHash。答案：√解析：24H2默认启用VBS+CG。45.在IPv6中，SEND机制需要DHCPv6支持。答案：×解析：SEND与DHCPv6无关，基于CGA。46.国密SSLVPN握手时，服务端必须发送双证书链。答案：√解析：加密+签名双证书为强制要求。47.OpenSSH9.5默认启用后量子密钥交换Kyber1024。答案：×解析：默认Kyber768。48.Chrome125已移除对TLS_RSA_WITH_AES_128_CBC_SHA的支持。答案：√解析：CBC套件被全面移除。49.Linux内核6.8中，启用KernelLockdown可阻止加载未签名eBPF程序。答案：√解析：Lockdown模式强制签名验证。50.2025年，工信部要求CIIO远程运维必须采用国密TLS_SM4_GCM_SM3，禁用所有国际算法。答案：×解析：允许国密优先，非绝对禁用国际算法。四、填空题（每空1分，共10分）51.2025年，Windows1124H2默认启用________技术，可阻止BYOVD攻击。答案：HVCI52.在Kubernetes1.30中，为防止容器逃逸，必须设置SecurityContext字段________为false。答案：allowPrivilegeEscalation53.国密SM2签名算法使用的椭圆曲线名称为________。答案：SM2P256V154.2025年，IETF发布的“DNSoverHTTP/3”标准文档编号为________。答案：RFC958055.OpenSSL3.2.1中，用于启用国密算法的编译开关为________。答案：enablesm2sm3sm456.在Linux中，查看已加载eBPF程序的命令为________。答案：bpftoolproglist57.Android15中，防止任务栈劫持的机制名称为________。答案：ScopedIntentLaunch58.2025年，Chrome默认启用的后量子密钥交换算法为________。答案：Kyber76859.在IPv6中，SEND机制使用的地址生成模式为________。答案：CGA（CryptographicallyGeneratedAddress）60.工信部要求CIIO远程运维优先采用的国密TLS套件为________。答案：TLS_SM4_GCM_SM3五、简答题（每题10分，共30分）61.简述“零信任动态端口（SPA）”在2025年企业边界防护中的部署要点，并给出Linux服务端最小化配置（含关键命令）。答案：1.部署要点：a.控制器与网关分离，控制器仅暴露TCP/444；b.采用国密SM4GCM敲门报文，长度≤150byte；c.敲门成功后下发JWT，有效期≤30s；d.网关默认DROP所有端口，仅接受源IP+端口白名单；e.支持多因素结合，如SM2证书+OTP。2.最小化配置：安装fwknopserveryuminstallfwknopservery编辑/etc/fwknop/access.confSOURCE:ANY;KEY_BASE64:SM4_KEY;OPEN_PORTS:tcp/22;编辑/etc/fwknop/fwknopd.confENABLE_IPT_FORWARDING:Y;MAX_PACKET_AGE:30;启动服务systemctlenablefwknopdnow客户端敲门fwknopAtcp/22a<客户端IP>D<服务端IP>keybase64SM4_KEY解析：SM4敲门避免AESNI旁路，30s有效期降低重放风险，网关默认DROP实现“网络隐身”。62.2025年，某单位Kubernetes集群发生“容器逃逸到节点”事件，攻击者利用的是“内核cgroupsv1writeable”漏洞。请给出完整的应急与加固方案。答案：1.应急：a.立即隔离节点，cordon+drain；b.收集/var/log/audit/audit.log与/var/lib/kubelet/pods//containers//日志；c.使用kubectldebug节点，提取/proc/kmsg；d.利用eBPF取证工具（kubectltrace）追踪逃逸进程；e.下线镜像，重建节点。2.加固：a.升级内核至6.9，启用cgr