2025年网络安全教育试题及答案

2025年网络安全教育试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项的字母填在括号内）1.2024年12月，国家互联网信息办公室发布的《个人信息出境标准合同办法》正式实施，其上位法依据是（）A.《网络安全法》B.《数据安全法》C.《个人信息保护法》D.《密码法》答案：C2.在SSL/TLS握手过程中，用于协商对称加密算法的报文是（）A.ClientHelloB.ServerHelloC.CertificateD.ServerKeyExchange答案：B3.某单位采用WindowsServer2022，若需强制所有本地账户使用14位以上复杂口令，应修改的组策略路径是（）A.计算机配置→Windows设置→安全设置→账户策略→密码策略B.用户配置→管理模板→系统→登录C.计算机配置→管理模板→网络→网络连接D.用户配置→Windows设置→文件夹重定向答案：A4.下列关于IPv6地址2001:0db8:0000:0000:0200:00ff:fe00:1234的压缩表示，正确的是（）A.2001:db8::200:ff:fe00:1234B.2001:db8:0:0:200:ff:fe00:1234C.2001:db8::0200:ff:fe00:1234D.2001:db8::200:0ff:fe00:1234答案：A5.2025年1月，某APT组织利用“三角行动”0day针对iOS17.2进行攻击，其初始入口最可能是（）A.恶意配置文件B.沙箱逃逸后的WebKit漏洞C.即时通话App的0click漏洞D.恶意TestFlight应用答案：C6.依据《关键信息基础设施安全保护条例》，下列哪项不属于“三同步”原则内容（）A.同步规划B.同步建设C.同步运行D.同步测评答案：D7.在Linux系统中，若需限制用户u1最多同时打开50个文件，应在/etc/security/limits.conf中添加（）A.u1hardnofile50B.u1softnofile50C.@u1hardnofile50D.u1nofile50答案：A8.关于SM4分组密码算法，下列说法正确的是（）A.分组长度128位，密钥长度128位，迭代轮数32轮B.分组长度128位，密钥长度256位，迭代轮数16轮C.分组长度64位，密钥长度128位，迭代轮数32轮D.分组长度256位，密钥长度256位，迭代轮数16轮答案：A9.某企业采用零信任架构，若需对内部微服务调用进行身份认证，优先推荐的协议是（）A.KerberosB.OAuth2.0+JWTC.SAML2.0D.RADIUS答案：B10.在Windows日志中，事件ID4624表示（）A.账户登录失败B.账户成功登录C.权限提升成功D.对象访问审计答案：B11.依据《信息安全等级保护2.0》，第四级系统应至少每多久完成一次等级测评（）A.半年B.一年C.两年D.三年答案：B12.使用nmap扫描目标/24的UDP161端口，正确的参数组合是（）A.nmapsUp161/24B.nmapsSp161/24C.nmapsFp161/24D.nmapsTp161/24答案：A13.若需防止DNS劫持，在DNSSEC验证过程中，用于建立信任链的记录类型是（）A.DSB.RRSIGC.NSECD.DNSKEY答案：A14.某Web应用使用JWT作为会话令牌，若签名算法字段可被用户修改，可导致（）A.CSRFB.垂直越权C.算法混淆攻击D.SQL注入答案：C15.在Android14中，限制应用后台启动前台服务的权限是（）A.START_ACTIVITIESB.START_FOREGROUND_SERVICESC.RUN_IN_BACKGROUNDD.SYSTEM_ALERT_WINDOW答案：B16.关于勒索软件防御，下列措施最先生效的是（）A.离线备份B.网络分段C.EDR检测D.邮件网关过滤答案：D17.在Python3.12中，可用于安全生成32字节随机密钥的函数是（）A.os.random(32)B.random.bytes(32)C.secrets.token_bytes(32)D.uuid.uuid4().bytes答案：C18.2025年3月，IETF发布的TLS1.3扩展草案中，允许后量子密钥交换的算法是（）A.Kyber768B.NTRUPrimeC.SIKED.RSA3072答案：A19.某云厂商提供KMS服务，下列哪项不是信封加密的必要步骤（）A.生成数据密钥明文B.使用客户主密钥加密数据密钥C.将加密后的数据密钥与密文一同存储D.将客户主密钥明文写入应用配置答案：D20.在防火墙规则中，若需允许Web服务器主动访问外部HTTPS，应放行的目标端口是（）A.TCP80B.TCP443C.UDP53D.TCP22答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项的字母填在括号内，漏选、错选均不得分）21.以下哪些属于《数据安全法》规定的数据处理活动（）A.收集B.存储C.使用D.删除答案：ABCD22.关于WannaCry勒索软件，下列描述正确的是（）A.利用SMB协议漏洞MS17010B.使用RSA+AES混合加密C.具备蠕虫传播能力D.需要点击钓鱼邮件附件才能触发答案：ABC23.在Linux系统加固中，可有效缓解提权攻击的措施包括（）A.启用SELinux强制模式B.设置内核参数kernel.kptr_restrict=1C.禁用SUID位权限的程序D.将/bin/bash复制到/tmp并加SUID答案：ABC24.以下哪些HTTP响应头可缓解XSS攻击（）A.ContentSecurityPolicyB.XContentTypeOptionsC.XXSSProtectionD.StrictTransportSecurity答案：AC25.关于国密算法，下列算法与其标准编号对应正确的是（）A.SM2←GB/T32918B.SM3←GB/T32905C.SM4←GB/T32907D.SM9←GB/T32919答案：ABC26.在容器安全场景中，可检测容器逃逸的技术有（）A.eBPF监控内核系统调用B.AppArmor强制访问控制C.只读根文件系统D.特权容器禁用答案：ABCD27.以下哪些属于OAuth2.0授权许可类型（）A.AuthorizationCodeB.ImplicitC.ResourceOwnerPasswordCredentialsD.ClientCredentials答案：ABCD28.关于WindowsDefenderApplicationControl（WDAC），下列说法正确的是（）A.基于代码签名策略B.支持UMCI内核隔离C.可阻止PowerShell恶意脚本D.需硬件TPM2.0强制支持答案：ABC29.在5G核心网中，可导致用户面数据泄露的风险点包括（）A.N2接口未加密B.NRF服务发现缺少认证C.UPF伪造下行数据包D.SUPI未加密广播答案：BCD30.以下哪些属于《网络安全审查办法》规定的“影响国家安全的因素”（）A.核心数据出境B.关键供应链中断C.大规模个人信息泄露D.控制权被国外政府影响答案：ABCD三、填空题（每空2分，共20分。将答案填写在横线上）31.在Linux系统中，查看当前系统所有监听TCP端口的命令是________。答案：ssltnp32.2025年4月，国家网信办对某大型平台罚款80万元，依据的是《个人信息保护法》第________条“过度收集个人信息”。答案：六十六33.在SQL注入防御中，使用参数化查询的核心原理是将________与________分离。答案：代码；数据34.若需使用OpenSSL生成长度为2048位的RSA私钥，命令行参数为opensslgenrsaoutprivate.pem________。答案：204835.在Windows事件日志中，安全日志文件默认路径为________。答案：%SystemRoot%\System32\winevt\Logs\Security.evtx36.依据《密码法》，国家对密码实行分类管理，其中________类密码用于保护不属于国家秘密的信息。答案：商用37.在Kubernetes中，若需限制Pod只能运行在标签为env=prod的节点，应使用的字段是________。答案：nodeSelector38.当使用Wireshark过滤TLS握手报文时，显示所有ClientHello的过滤表达式为________。答案：tls.handshake.type==139.在BGP安全扩展BGPsec中，用于对AS路径进行签名的算法是________。答案：RPKI+BGPsecPKI40.若需通过PowerShell获取当前进程所有加载的DLL模块，可使用的cmdlet是________。答案：GetProcess|SelectObjectExpandPropertyModules四、简答题（每题10分，共30分。请给出要点，语言简洁）41.简述零信任架构“永不信任、持续验证”原则在远程办公场景下的三项具体落地措施。答案：（1）身份层面：所有用户、设备、服务均通过多因子认证（MFA）与设备信任评估，动态签发短期JWT令牌。（2）网络层面：取消传统VPN大通道，采用SDP或ZTNA方案，基于微分段与最小权限策略，对每次访问请求进行实时授权。（3）数据层面：对敏感文档实施分类分级与加密，结合DRM与DLP技术，确保即使终端被攻破，数据仍受控。42.说明国密SM2数字签名算法与ECDSA在密钥生成阶段的主要差异。答案：（1）曲线参数：SM2强制使用国家密码管理局推荐的256位椭圆曲线sm2p256v1，ECDSA可自选多条命名曲线。（2）私钥生成：SM2要求私钥d∈[1,n2]且需通过随机数自检及素性检测，ECDSA仅要求随机性。（3）公钥计算：SM2公钥P=[d]G，但需额外进行公钥有效性验证，包括点是否在曲线上、是否无穷远点；ECDSA可选验证。（4）随机数源：SM2必须使用通过国家密码管理部门检测的随机数发生器，ECDSA无强制检测要求。43.描述容器运行时攻击面“逃逸至宿主机”的两种典型路径及对应防御。答案：路径1：利用特权容器+内核漏洞（如CVE20220847DirtyPipe）修改宿主机/sbin/ld.so，实现任意代码执行。防御：禁止特权容器，启用Seccomp、AppArmor、SELinux强制访问控制，及时升级内核。路径2：通过挂载DockerSocket将宿主/var/run/docker.sock映射至容器，在容器内调用dockerAPI创建特权容器再逃逸。防御：禁止挂载DockerSocket，采用RootlessDocker或用户命名空间，启用PodSecurityPolicy或OPAGatekeeper策略。五、综合应用题（共60分）44.日志分析（15分）某Web服务器访问日志片段如下（时间已统一为UTC）：2025060314:12:015"GET/login.php?user=admin%27%20OR%201%3D1%23&pass=xyzHTTP/1.1"20018202025060314:12:025"GET/admin/dashboard.phpHTTP/1.1"20054202025060314:12:035"POST/fileupload.phpHTTP/1.1"2003122025060314:12:045"GET/shell.phpHTTP/1.1"200107问题：（1）指出攻击者利用的漏洞类型及原理。（5分）（2）给出服务器端应返回的正确HTTP状态码及响应头，以阻断攻击链。（5分）（3）列出后续排查所需的三条日志或命令。（5分）答案：（1）SQL注入绕过登录，随后上传WebShell。原理：OR1=1恒真，注释符屏蔽后续密码校验；上传文件未做类型检查。（2）登录接口应返回403Forbidden，并在响应头加入XContentTypeOptions:nosniff，SetCookie:PHPSESSID=deleted;Path=/;MaxAge=0；文件上传接口应返回415UnsupportedMediaType。（3）①/var/log/nginx/access.log中匹配5的后续请求；②lsal/var/www/html/.php查看新增shell；③auditctlw/var/www/htmlpwakupload监控文件写事件。45.加密计算（15分）某系统采用SM4CBC模式加密，密钥K=0123456789abcdeffedcba9876543210，IV=00000000000000000000000000000000，明文P为64字节全0x31。问题：（1）写出第一组密文C1的十六进制值（仅给出结果，无需过程）。（8分）（2）若IV错误地设置为全0x00，且攻击者已知P前16字节为0x31，说明如何构造IV'使解密后第一组明文变为全0x41。（7分）答案：（1）C1=0x66e4bd7f9c7c5c8d4fe5e8d3b9e4f1a8（2）设原IV=IV⊕Δ，令Δ=P⊕P'，则IV'=IV⊕(0x31…31⊕0x41…41)，解密时第一组输出为P'=0x41…41。46.网络攻防（15分）内网靶机0开放3389端口，防火墙仅允许/24访问。攻击者已控制同网段主机0，但无管理员权限。问题：（1）给出一种基于端口转发的横向移动命令，使攻击者笔记本（）可直接RDP到靶机，要求使用SSH，且命令在0执行。（8分）（2）说明该隧道流量在防火墙日志中的特征，并给出检测规则。（7分）答案：（1）sshNR:33890:0:3389user@（2）防火墙日志出现0:22←→:xxxxx大量加密流量，包长随机，无RDP特征。检测：统计每5分钟同一源IP出向22端口流量>50MB且持续>10分钟，触发告警；或利用DPI识别SSH协议但无正常Shell交互，标记为隧道。47.应急响应（15分）2025060409:10，某云主机CPU飙升至98%，top显示进程kdevtmpfsi持续占用资源，netstat显示外连矿池地址:4444。问题：（1）写出定位恶意进程启动路径的两条命令。（5分）（2）给出制作磁盘快照保全证据的完整命令（假设云盘为/dev/vdb）。（5分）（3）清除木马后，为预防同一入口再次感染，需检查的系统配置项名称及推荐值。（5分）答案：（1）①lsl/proc/$(pgrepkdevtmpfsi)/exe；②systemctlstatus$(systemdcgls|grepkdevtmpfsi|awk'{print$2}')（2）qemuimgconvertfraw