2026广西公需科目信息安全与信息技术考试试题及答案

2026广西公需科目信息安全与信息技术考试试题及答案一、单项选择题（每题2分，共30分）1.2026年广西政务云采用的等保2.0扩展要求中，针对“物联网边缘节点”提出的安全控制点名称是A.感知层入侵防范B.边缘计算环境安全C.终端可信启动D.设备物理防撬答案：B解析：等保2.0扩展要求将边缘计算场景独立成控制域，明确“边缘计算环境安全”覆盖节点加固、镜像完整性、就近审计等要求，区别于传统感知层或终端概念。2.在IPv6普及场景下，广西电子政务外网禁用以下哪种地址作为服务器默认监听地址，以避免信息泄露A.::0B.::1C.fe80::/10D.2001:db8::/32答案：A解析：::0即“全零地址”在IPv6中代表“任意地址”，若服务绑定该地址，会对外暴露所有网卡接口，增加攻击面；::1为本地回环，fe80::/10为链路本地，2001:db8::/32为文档地址，均不用于生产监听。3.广西“智桂通”App在零信任架构中采用“持续信任评估”技术，其核心算法最依赖下列哪类数据A.用户静态属性B.设备基线指纹C.上下文行为序列D.一次性短信验证码答案：C解析：持续信任评估强调动态性，需实时采集用户操作轨迹、网络位置、访问时序等上下文行为序列，通过滑动窗口模型计算偏离度，静态属性与一次性凭证无法反映变化。4.2026年起，广西教育网要求域名解析启用DNSSEC，其资源记录中用于验证解析路径完整性的记录类型是A.AAAAB.RRSIGC.PTRD.MX答案：B解析：RRSIG（ResourceRecordSignature）记录存储对资源记录集的签名，解析器用该签名与DNSKEY公钥验证，确保路径未被篡改。5.广西政务数据共享交换平台采用“隐私计算+区块链”技术实现数据可用不可见，其中区块链主要解决A.密文计算效率B.结果可验证与审计C.同态加密密钥分发D.联邦学习梯度泄露答案：B解析：区块链提供不可篡改日志，将每次隐私计算任务参数、参与方、结果哈希上链，供事后审计，确保计算行为可验证；不直接提升计算效率或解决密钥分发。6.在广西工业互联网安全监测平台中，对OT网流量进行深度解析时，以下哪种端口组合最可能触发“伪PLC”告警A.TCP502+TCP44818B.TCP22+UDP161C.TCP445+UDP53D.TCP1433+TCP3389答案：A解析：502为ModbusTCP，44818为EtherNet/IP，两者均属工控协议；若流量来自非授权IP且携带写线圈/写寄存器指令，平台即判定为“伪PLC”攻击。7.广西“桂战”攻防演练规定，攻击队使用ShodanAPI进行目标测绘时，必须添加哪项过滤条件以规避法律风险A.country:"CN"B.org:"GXZF"C.category:"ics"D.hash:-200答案：B解析：限定org字段为“GXZF”可确保仅检索广西政务资产，避免触碰非授权目标；country范围过大，category与hash无法限定归属。8.2026年广西医保信息平台上线“区块链电子票据”功能，其共识算法选择BFT-SMART，该算法对以下哪类故障容忍度最高A.网络分区B.拜占庭节点C.节点宕机D.磁盘损坏答案：B解析：BFT类算法核心解决拜占庭故障，即节点任意作恶，可容忍不超过(n-1)/3恶意节点；对单纯宕机或磁盘损坏容忍度不如Raft。9.广西“云网盾”一体化防火墙在IPv6/IPv4双栈场景下，对SYNFlood的防御策略，以下哪项参数必须独立配置A.源认证阈值B.半开连接超时C.指纹学习窗口D.流量牵引VRF答案：B解析：IPv6与IPv4协议栈独立维护半开连接表，超时时间需分别设置，否则可能出现IPv6正常连接被误释放。10.广西“数字口岸”系统使用AI模型识别走私车辆，其模型训练数据需经“差分隐私”处理，若隐私预算ε=0.1，则A.噪声量级与ε成正比B.模型准确率与ε成反比C.隐私保护强度与ε成正比D.查询敏感度与ε无关答案：B解析：ε越小，加入噪声越大，准确率下降，隐私保护强度增强；敏感度决定噪声基数，与ε无关。11.广西政务云容器平台使用eBPF技术实现微隔离，其挂载点选择A.XDPB.tcegressC.kprobe/tcp_sendmsgD.tracepoint/syscalls答案：B解析：tc（trafficcontrol）egress钩子位于内核网络栈，可精细控制Pod间流量，实现L3-L7微隔离；XDP过早，kprobe/tracepoint无法直接过滤包。12.广西“政采云”在2026年全面启用“后量子密码”试点，以下哪类算法被优先用于TLS1.3密钥交换A.CRYSTALS-KYBERB.ClassicMcElieceC.FALCOND.Rainbow答案：A解析：KYBER已获NISTRound3标准化，密钥尺寸与性能较优，适合实时握手；McEliece公钥过大，FALCON为签名算法，Rainbow已被破解。13.广西“智慧社区”摄像头使用IEEE802.1X进行接入认证，其EAP类型若选择EAP-TLS，则必须部署A.RADIUSoverTCPB.客户端证书C.PSK密钥D.LDAP目录答案：B解析：EAP-TLS基于双向证书认证，客户端必须持有私钥及证书；RADIUS默认UDP，无需PSK，LDAP非必需。14.广西“银发族”反诈小程序使用语音识别检测“冒充公检法”话术，其模型训练阶段对广西壮语方言采用A.音素级数据增强B.波形级GAN合成C.句级迁移学习D.字级规则映射答案：A解析：壮语方言音素分布与普通话差异大，通过音素级SpeedPerturbation、SpecAugment增强，可低成本提升鲁棒性；GAN合成成本高，迁移学习需目标语料。15.广西“政务AI中台”上线“人脸核身”接口，其活体检测模块对“深度伪造”视频的识别核心依赖A.纹理频谱异常B.眼动角速度C.心率微振动D.背景景深突变答案：C解析：深度伪造难以重建真实血液流动，通过rPPG提取面部微振动信号，与模型预期心率不一致即可判定伪造；纹理、眼动、背景均可被高质量伪造。二、多项选择题（每题3分，共30分）16.广西“数字档案”系统采用分级保护，以下哪些措施同时满足“机密级”与“可用性”要求A.两地三中心冗余B.国密SM4-XTS加密C.量子随机数密钥D.区块链时间戳E.光闸单向导入答案：A、B、D解析：机密级需加密与完整性，可用性需冗余与时间戳防篡改；量子随机数虽增强密钥，但非强制；光闸单向导入解决跨网安全，却降低可用性。17.广西“智慧水利”物联网终端被植入恶意固件，以下哪些日志源可辅助溯源A.SyslogoverTLSB.NetFlowv9C.OPCUA审计日志D.LoRaWAN网关JSONE.IntelPT追踪答案：A、B、C、D解析：Syslog、NetFlow、OPCUA、LoRaWAN网关均记录网络与协议行为；IntelPT为芯片级追踪，需物理接触，水利终端多为ARMCortex，不支持。18.广西“政企通”邮件安全网关使用DMARC，以下哪些标签值可指示接收方处理策略A.p=quarantineB.sp=rejectC.adkim=sD.rf=afrfE.pct=50答案：A、B、E解析：p与sp定义策略，pct定义应用比例；adkim为对齐模式，rf为报告格式，不直接指示处理动作。19.广西“数字人社”系统使用“同态加密”计算养老金，以下哪些操作可在密文域直接完成A.加法B.乘法C.比较大小D.除法E.开方答案：A、B解析：BFV、CKKS方案支持密文加、乘；比较、除法、开方需构造复杂电路，效率低，通常不直接支持。20.广西“智慧交通”V2X车路协同中，以下哪些技术可抵御“假RSU”攻击A.证书吊销列表分发B.IEEE1609.2签名C.量子密钥分发D.GPS位置交叉验证E.侧信道指纹答案：A、B、D解析：CRL与1609.2证书可验证RSU身份；GPS交叉验证可发现位置异常；量子密钥分发尚未商用；侧信道指纹用于设备识别，非V2X标准。21.广西“健康码”系统采用“联邦学习”更新AI模型，以下哪些做法可防止“模型逆向”A.差分隐私梯度B.梯度压缩C.安全聚合D.本地差分更新E.模型水印答案：A、C、D解析：差分隐私、安全聚合、本地差分更新均降低梯度泄露风险；压缩与水印无法阻止逆向。22.广西“政务云”在2026年完成“全密态数据库”改造，以下哪些场景需启用“可搜索加密”A.密文关键词检索B.密文范围查询C.密文聚合统计D.密文等值连接E.密文全文排序答案：A、B、E解析：可搜索加密支持关键词、范围、排序；聚合与等值连接通常需同态加密或安全多方计算。23.广西“边境管控”人脸识别系统使用“3D结构光”相机，以下哪些因素会导致活体检测误拒A.强光直射B.玻璃镜面反射C.低温环境D.人脸纹身E.红外干扰答案：A、B、E解析：强光、镜面、红外干扰影响深度图质量；低温降低VCSEL功率，但系统可自动补偿；纹身不影响3D几何。24.广西“数字乡村”平台使用“窄带物联网NB-IoT”采集土壤墒情，以下哪些攻击可造成“数据伪造”A.伪基站重定向B.IMEI篡改C.RRC信令嗅探D.UDP校验和绕过E.CoAP选项溢出答案：A、B、E解析：伪基站可诱导附着，IMEI篡改伪造终端身份，CoAP溢出可注入伪造数据包；嗅探仅窃取，UDP校验和绕过影响完整性而非来源。25.广西“电子证照”系统使用“区块链+IPFS”存证，以下哪些做法可防止“文件漂移”A.哈希锚定B.智能合约激励C.多副本PIND.时间锁加密E.网关CDN缓存答案：A、B、C解析：哈希锚定确保内容一致，激励与多副本防止节点删除；时间锁与CDN无法阻止IPFS网络漂移。三、判断题（每题1分，共10分）26.广西“政务云”在2026年全面关闭TLS1.1以下协议，主要原因为Sweet32攻击。答案：√解析：Sweet32针对64位块密码（如3DES），TLS1.1默认支持，需强制关闭。27.在广西“智慧法院”区块链存证中，若采用PBFT共识，节点规模超过100仍可保持线性吞吐量。答案：×解析：PBFT通信复杂度O(n²)，节点超100时吞吐量急剧下降，需采用分层或聚合签名优化。28.广西“数字财政”系统使用“国密SM2”签名，其签名过程包含随机数k，若k重用将导致私钥泄露。答案：√解析：SM2签名算法与ECDSA类似，k重用可通过两次签名方程解出私钥。29.广西“智慧文旅”平台使用WebAssembly运行第三方插件，浏览器侧可完全阻断其访问本地文件系统。答案：√解析：WASM运行在沙盒，无POSIX接口，需通过JSbridge才能访问文件，浏览器可禁用。30.广西“工业互联网”安全靶场使用“数字孪生”技术，其虚拟PLC时钟可与真实OT时钟不同步，以加速攻击复现。答案：×解析：时钟不同步会导致协议时序异常，无法复现真实攻击，必须保持同步。四、填空题（每空2分，共20分）31.广西“电子公文”系统采用“______+______”双算法数字信封，实现后量子过渡期的前向保密。答案：KYBER、SM2解析：KYBER提供后量子密钥交换，SM2保障现行合规，混合使用确保过渡期安全。32.在广西“智慧监狱”视频网中，使用______协议实现摄像头与NVR的双向身份认证，防止“假摄像头”接入。答案：IEEE802.1AR解析：802.1AR定义设备唯一身份证书（DevID），实现摄像头与NVR双向认证。33.广西“数字口岸”跨境物流区块链，选择______共识，可在部分境外节点不可信场景下仍保证终局性。答案：BFT-SMART解析：BFT类共识容忍拜占庭节点，适合跨境多方半开放环境。34.广西“政务云”容器平台使用eBPF实现______，可在Pod间流量未出节点时即完成L7策略判定。答案：Socket-level微隔离解析：eBPF挂载于socket层，可在connect/send阶段做策略，无需完整包解析。35.广西“智慧林业”无人机巡检数据通过______频段LoRa实现空对地50km覆盖，同时采用______跳频技术抗干扰。答案：470MHz、自适应解析：470MHz为中国民用免授权频段，自适应跳频依据信道质量动态选择。五、简答题（每题10分，共30分）36.简述广西“数字财政”系统如何在“全密态”场景下实现“预算指标”密文范围的实时查询，并给出关键算法步骤。答案：系统采用可搜索加密中的“RSE（RangeSearchableEncryption）”方案，结合SM4-XTS与倒排索引。步骤：（1）数据owner使用SM4-XTS加密预算指标值，生成密文C；（2）构建范围索引：将数值域划分为2^d个区间，使用SM3-HMAC生成区间标签T，对C进行标签绑定；（3）查询方生成范围令牌：输入[a,b]，使用私钥派生区间令牌集合{Ta…Tb}；（4）云服务器在密文索引中执行标签匹配，返回对应密文集合；（5）查询方解密获得结果。该方案确保云服务器无法获知明文范围，且搜索复杂度O(logn)。37.广西“智慧水利”工控网络发现异常Modbus写单寄存器指令，请给出基于“白名单+语义”的检测流程，并说明如何降低误报。答案：流程：（1）资产发现：通过被动流量识别PLC型号、寄存器地址空间；（2）白名单构建：采集30天正常流量，提取“源IP→功能码→寄存器区间”三元组，生成自动机；（3）语义解析：对写单寄存器（功能码06）指令，检查值域是否符合物理量上下限，如水位0-30m；（4）时序建模：使用LSTM对寄存器写入间隔建模，偏离95%置信区间即告警；（5）误报抑制：引入“维护窗口”标签，运维人员提前录入检修计划，模型自动放行；（6）在线更新：采用增量学习，将确认误报样本权重降低50%，持续优化。实验表明，该流程将误报从每日120条降至4条。38.广西“数字乡村”电商平台使用联邦学习训练商品推荐模型，请描述“梯度压缩+差分隐私”联合优化方法，并给出隐私预算分配公式。答案：方法：（1）梯度压缩：采用Top-k稀疏化，每轮仅上传绝对值最大的5%梯度，减少通信量95%；（2）差分隐私：对上传梯度加入高斯噪声，噪声标准差σ=Δf·√(2ln(1.25/δ))/ε，其中Δf为梯度L2敏感度，取Top-k后Δf=k·g_max；（3）隐私预算分配：总预算ε_total=1.0，采用矩Accountant跟踪累积，每轮预算ε_i=ε_total·(i^(-0.5))/∑(i^(-0.5))，随轮次递减；（4）安全聚合：使用SecAgg协议，服务器仅获得噪声聚合梯度，无法窥视单用户；（5）模型验证：在Hold-out数据集上测试，准确率下降<1.2%，满足业务需求。六、综合应用题（共30分）39.背景：2026年“广西智慧文旅”小程序上线“一键游”功能，需整合酒店、交通、景区、支付四维数据，用户规模峰值500万QPS，平均每日新增订单1.2亿条。系统采用“零信任+全密态+区块链”三位一体架构。请回答：（1）给出“零信任”访问控制的技术实现细节，包括身份、设备、网络、应用四维连续评估机制；（8分）（2）说明“全密态数据库”如何支撑1.2亿条订单的密文范围查询，并给出性能优化方案；（8分）（3）设计“区块链+IPFS”电子凭证流转方案，确保游客退票时凭证可撤销、可审计，给出智能合约关键函数伪代码；（8分）（4）结合等保2.0扩展要求，列出“智慧文旅”平台需新增的“物联网”安全控制点，并给出对应测评方法。（6分）答案：（1）零信任实现：身份维度：采用FIDO2+国密SM2双因子，用户私钥存于TEE，登录时完成挑战响应；设备维度：终端安装“桂信”安全SDK，采集70+维度指纹（root、越狱、调试、hook、IMEI、IMSI、蓝牙MAC），生成设备可信分，低于80分触发增强认证；网络维度：边缘POP节点通过eBPF实时提取TLS指纹、SNI、流量时序，输入孤立森林模型，发现代理或Tor即降权；应用维度：微服务间调用使用SPIFFEID+JWT-SVID，每5分钟自动轮换，服务网格（Istio）执行L7策略，如“订单服务”仅能访问“库存服务”的GET接口；连续评估：信任评分每秒更新一次，采用加权移动平均，权重0.8历史+0.2实时，评分低于60分立即切断会话，并触发短信+人脸识别重认证。（2）全密态优化：存储：订单表采用SM4-XTS加密，按“时间+景区”分128区，每区独立密钥；索引：构建OPE（OrderPreservingEncryption）+AdditivelySymmetricRangeIndex（ASPE）混合索引，OPE用于等值，ASPE用于范围；缓存：Redis集群缓存热点区间密文索引，LRU淘汰，命中率维持92%；并行：使用GPU加速ASPE向量内积，单卡每秒可过滤5000万条记录；压缩：对密文索引页启用ZSTD，压缩率35%，减少磁盘I/O40%；结果：密文范围查询P99延迟从1.8s降至280ms，满足业务。（3）智能合约设计：语言：Solidity0.8.x；数据结构：structTicket{bytes32ipfsHash;addressissuer;addressholder;uint256expiry;boolrevoked;}mapping(bytes32=>Ticket)tickets;关键函数：functionissueTicket(bytes32id,bytes32_ipfsHash,address_holder,uint256_expiry)external{require(msg.sender==issuer,"UNAUTHORIZED");tickets[id]=Ticket(_ipfsHash,msg.sender,_holder,_expiry,false);emi