2025年信息技术网络安全防护试题及答案

2025年信息技术网络安全防护试题及答案一、单项选择题（每题2分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2024年12月，国家互联网应急中心（CNCERT）发布的《2024年我国互联网网络安全态势综述》指出，全年境内感染僵尸网络的主机数量同比下降最明显的传播方式是（）。A.弱口令爆破B.钓鱼邮件C.网页挂马D.即时通信蠕虫答案：A2.在Windows1124H2版本默认策略下，可阻止非管理员用户通过NTLMRelay直接获取本地哈希值的防护机制是（）。A.CredentialGuardB.UAC最大权限提升C.LSA保护D.WindowsHello答案：A3.某单位采用零信任架构，当用户首次从外地分支机构接入OA系统时，策略引擎最先调用的数据源是（）。A.终端EDR日志B.身份目录的账户状态C.SIEM风险评分D.物理门禁刷卡记录答案：B4.关于SM4分组密码算法，下列叙述正确的是（）。A.分组长度128位，密钥长度128位，轮数32轮B.分组长度128位，密钥长度256位，轮数16轮C.分组长度256位，密钥长度128位，轮数32轮D.分组长度64位，密钥长度128位，轮数16轮答案：A5.2025年3月，Google发布Chrome123稳定版，彻底禁用3DES的理由与下列哪种攻击直接相关（）。A.Sweet32B.ROBOTC.DROWND.POODLE答案：A6.在Linux内核6.8中，默认启用并用于缓解“StackRot”漏洞的编译选项是（）。A.CONFIG_STACKLEAKB.CONFIG_SLAB_MERGE_DEFAULTC.CONFIG_VMAP_STACKD.CONFIG_RANDOMIZE_KSTACK_OFFSET答案：C7.某企业使用Kubernetes1.29，在启用BoundServiceAccountToken特性后，以下哪项配置可直接降低Token窃取导致的横向移动风险（）。A.设置serviceaccountextendtokenexpiration=falseB.设置anonymousauth=falseC.设置enableadmissionplugins=PodSecurityPolicyD.设置authorizationmode=AlwaysAllow答案：A8.2025年1月，IETF发布RFC9500，将IPv6最小MTU由1280字节调整为（）。A.1220B.1300C.1420D.1500答案：A9.在SSL/TLS握手阶段，服务器返回的CertificateVerify消息采用的签名算法若显示“rsa_pss_rsae_sha256”，则其使用的掩码生成函数是（）。A.MGF1B.MGF2C.KDF1D.KDF2答案：A10.某单位部署了IPS设备，当检测到TCP会话出现“TCPSplitHandshake”时，最合理的默认动作是（）。A.放行并记录B.丢弃并告警C.限速D.重定向到蜜罐答案：B11.在Android14中，面向应用侧加载的“RestrictedSetting”限制针对的权限组是（）。A.通知监听B.辅助功能C.VPND.悬浮窗答案：B12.2025年5月，微软发布的月度补丁中，CVE202523456的CVSS4.0评分为9.3，其可利用性指标“AttackVector”取值为（）。A.NetworkB.AdjacentC.LocalD.Physical答案：A13.在Python3.12中，可一次性关闭所有哈希算法（MD5、SHA1）的遗留支持的环境变量是（）。A.PYTHONLEGACYHASHESB.PYTHONHASHSEEDC.PYTHONNOHASHSEEDD.PYTHONDISABLEHASH答案：C14.某单位采用国密SSLVPN，握手过程中使用的双证书机制中，加密证书采用的算法套件是（）。A.ECC_SM4_SM3B.ECDHE_SM4_SM3C.RSA_SM4_SM3D.SM2_SM4_SM3答案：D15.在2025年新版《网络安全等级保护测评要求》中，四级系统要求“云服务商基础设施”最低应通过等级保护（）。A.二级B.三级C.四级D.五级答案：B二、多项选择题（每题3分，共30分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）16.以下哪些属于2025年OWASPTop10新增风险（）。A.SSRFB.InsecureDesignC.SecurityLoggingFailuresD.CryptographicFailures答案：B、C17.关于DNSoverHTTPS（DoH）流量特征，下列描述正确的有（）。A.默认端口443B.基于UDPC.可携带ESNI扩展D.易被SNI过滤答案：A、C18.在Windows环境利用WHQL签名绕过EV代码签名验证的典型手法包括（）。A.加载过期驱动B.利用CrossCertificateC.修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表D.利用第三方CA吊销延迟答案：A、B、D19.以下哪些Linux系统调用可被seccomp过滤以阻断容器逃逸（）。A.cloneB.unshareC.keyctlD.ptrace答案：A、B、C、D20.2025年3月，CISA发布“SecurebyDesign”白皮书，对软件制造商提出的承诺包括（）。A.一年内消除默认口令B.发布漏洞披露政策C.提供内存安全路线图D.采用零信任架构答案：A、B、C21.在5GSA网络中，可导致用户面会话劫持的风险点有（）。A.PFCP伪造B.GTPC中间人C.SUPI明文暴露D.切片选择失败答案：A、B、C22.以下关于后量子密码算法CRYSTALSKyber的描述，正确的有（）。A.基于格问题B.密文大小与公钥大小相等C.已入选NIST第三轮正式标准D.提供INDCCA安全答案：A、C、D23.某单位采用DevSecOps，在CI阶段可集成的SCA工具包括（）。A.SnykB.DependencyTrackC.FortifyD.Grype答案：A、B、D24.在IPv6网络中，可有效防御“邻居发现欺骗”的机制有（）。A.SeNDB.RAGuardC.DHCPv6GuardD.SAVI答案：A、B、C、D25.2025年新版《数据出境安全评估办法》中，触发“数据出境风险自评估”的情形包括（）。A.个人信息累计10万人以上B.敏感个人信息1万人以上C.重要数据D.关键信息基础设施数据答案：A、B、C、D三、填空题（每空2分，共20分）26.2025年2月，OpenSSL发布3.2.1版本，修复了CVE20250555，该漏洞属于________侧信道攻击，影响________算法。答案：时间，ECDSA27.在Linux内核6.9中，针对“StackRot”漏洞的补丁将内核栈大小从16KB缩减至________KB，并引入________机制实现动态扩展。答案：12，vmalloc_fallback28.国密SM2公钥加密算法中，椭圆曲线推荐参数采用________位素数域，曲线方程为________。答案：256，y²=x³+ax+b（a、b为指定常数）29.2025年1月，IETF发布RFC9563，将TLS1.3的会话恢复机制由PSK改为________，其最大优势是消除________攻击面。答案：PSKwithPQCKeyEstablishment，0RTT重放30.在Windows1124H2中，内核隔离默认启用________，其基于________虚拟化技术。答案：VBS，HyperV四、简答题（每题10分，共40分）31.简述2025年新版《网络安全等级保护测评要求》中“云扩展要求”对三级系统的“镜像安全”提出哪些具体测评点，并给出每项的测评方法。答案：（1）镜像完整性：要求云平台提供镜像哈希校验接口，测评方法为上传测试镜像后篡改一位，再次调用接口应返回失败。（2）镜像签名：要求镜像发布前使用国密SM2签名，测评方法为导入未签名镜像，平台应拒绝启动并记录告警。（3）镜像漏洞扫描：要求镜像市场集成CVE+国密双库扫描，测评方法为上传含CVE20250101高危组件的镜像，扫描报告应在30分钟内生成并阻断上架。（4）镜像最小化：要求默认镜像关闭SSH、Telnet等高危服务，测评方法为启动实例后netstattulnp应无22、23端口监听。（5）镜像回收：要求已下架镜像30天内自动清理，测评方法为查询镜像仓库日志，确认下架30天后无残留文件。32.说明在Kubernetes1.29环境中，如何利用AdmissionWebhook实现对容器镜像“供应链签名”的强制校验，并给出关键YAML片段。答案：步骤1：部署SigstoreCosignwebhook，镜像以cosignwebhook:1.5部署；步骤2：创建MutatingWebhookConfiguration，namespaceSelector匹配prod；关键YAML：```yamlapiVersion:admissionregistration.k8s.io/v1kind:ValidatingWebhookConfigurationmetadata:name:cosignwebhookwebhooks:name:validate.cosign.iorules:apiGroups:[""]apiVersions:["v1"]resources:["pods"]operations:["CREATE","UPDATE"]clientConfig:url:https://cosignwebhook.cosignsystem.svc:443/validateadmissionReviewVersions:["v1"]sideEffects:NonefailurePolicy:Fail```步骤3：在Pod模板添加注解cosign.sigstore.dev/signature=1；步骤4：若镜像未通过cosignverify，webhook返回403，Pod创建被拒绝。33.描述2025年主流浏览器已支持的“后量子混合密钥交换”机制，并给出Firefox127启用该机制的步骤。答案：机制：X25519Kyber768，基于X25519与Kyber768的混合密钥交换，提供128位量子后安全。启用步骤：（1）地址栏输入about:config；（2）搜索security.tls.ecdhe_kyber_enabled，设为true；（3）搜索security.tls.postquantum.policy，设为2（强制优先）；（4）重启浏览器，访问，若显示“Kyber768”即成功。34.说明在IPv6only网络中，如何通过“DNS64+NAT64”实现对外部IPv4资源的访问，并给出CiscoIOSXR7.9配置示例。答案：原理：DNS64合成AAAA记录，NAT64将IPv6数据包翻译为IPv4。配置：```plaintextdns64enabledns64prefix64:ff9b::/96!interfacenat64ipv6enablenat64enablenat64prefix64:ff9b::/96static!routerstaticipv6route64:ff9b::/96nat64```验证：在客户端ping，抓包可见目的地址为64:ff9b::d1ad:35a7，NAT64转换后源地址为，目的地址为67。五、综合应用题（共30分）35.背景：某金融单位在2025年6月上线“数字人民币App”，采用微服务+容器架构，部署在本地双活数据中心（DC1、DC2），数据库使用TiDB8.0，接口通过API网关统一暴露。上线前渗透测试发现以下风险：（1）App采用RSA2048证书，TLS1.2，支持弱算法3DES；（2）容器镜像仓库Harbor2.11未开启签名验证；（3）API网关对“数字人民币红包兑换”接口缺少速率限制，可被短信轰炸；（4）TiDB默认root空口令；（5）DC1与DC2之间东西向流量仅通过二层VXLAN隔离，未加密。问题：（1）给出整改后的加密套件列表，要求支持后量子混合算法并禁用3DES；（5分）（2）设计一套镜像签名与强制校验流程，包含密钥管理、CI集成、运行时校验；（8分）（3）计算：若红包兑换接口峰值QPS5000，业务容忍最大时延200ms，采用令牌桶限速，桶容量应设为多少可抵御10万并发慢速攻击？（给出推导过程，7分）（4）说明如何在TiDB8.0中启用国密SM4透明加密，并给出f关键段；（5分）（5）给出DC1DC2东西向流量加密方案，要求支持IPv6、性能损耗<5%、兼容现有VXLAN；（5分）答案：（1）加密套件：TLS_AES_256_GCM_SHA384TLS_CHACHA20_POLY1305_SHA256TLS_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256后量子：TLS_ECDHE_KYBER_RSA_WITH_AES_256_GCM_SHA384（实验性）禁用：3DES、RC4、MD5、SHA1、RSAkeytransport（2）流程：①密钥管理：部署HashicorpVault1.17，启用Transit引擎，国密SM2签名密钥对由HSM生成，私钥不出HSM；②CI集成：GitLabCI17.0在build阶段调用cosignsignkeyvault://sm2key，镜像推送到Harbor后自动附加签名；③Harbor配置：在“配置管理项目”勾选“启用策略”，选择“Cosign”，拒绝未签名镜像；④运行时：Kubernetes1.29启用ImagePolicyWebhook，调用Gatekeeper3.16，约束模板要求镜像注解cosign.sigstore.dev/signature=sm2:passed；⑤回滚：若签名验证失败，Pod创建事件被阻断，CI自动触发回滚到上一签名版本。（3）推导：设令