2025年计算机网络安全基础考试真题及答案

2025年计算机网络安全基础考试练习题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在OSI七层模型中，负责端到端加密与完整性校验的层是（）A.网络层  B.传输层  C.会话层  D.表示层答案：B2.下列哪一项最能抵御重放攻击（ReplayAttack）？（）A.对称加密  B.数字信封  C.时间戳+Nonce  D.消息认证码答案：C3.关于AES128、AES192、AES256三种密钥长度，下列说法正确的是（）A.轮数相同  B.轮数随密钥长度增加而减少C.轮数分别为10、12、14  D.轮数分别为14、12、10答案：C4.在TLS1.3握手过程中，首次出现EncryptedExtensions消息的发送方是（）A.客户端  B.服务器  C.双方同时  D.由扩展协商决定答案：B5.以下哪种算法被NIST正式列为PostQuantumCryptography标准化首轮候选算法？（）A.RSA4096  B.ECCP384  C.CRYSTALSKYBER  D.SHA3答案：C6.关于Linux系统Capabilities机制，下列说法错误的是（）A.可将root权限细分为单元  B.CAP_SYS_ADMIN包含大部分挂载操作C.进程一旦丢弃某能力后可再次自行获取  D.能力可被子进程继承答案：C7.在Windows日志中，事件ID4624表示（）A.账户登录失败  B.账户成功登录  C.特权提升  D.对象访问审计答案：B8.针对BGP协议，下列哪项技术可防止路由劫持？（）A.BCP38  B.RPKI  C.DNSSEC  D.ARPInspection答案：B9.关于SQL注入联合查询（Unionbased）攻击，下列过滤方法最无效的是（）A.黑名单过滤“union”  B.参数化查询C.存储过程封装  D.最小权限连接数据库答案：A10.在IPv6中，用于替代ARP的协议是（）A.NDP  B.ICMPv6  C.DHCPv6  D.MLD答案：A11.以下哪项不是软件安全SDL中的“最后阶段”活动？（）A.安全响应计划  B.渗透测试  C.代码签名  D.事件回滚演练答案：C12.关于HSM（硬件安全模块）的描述，正确的是（）A.只能存储对称密钥  B.不支持密钥托管C.提供防篡改与侧信道抵抗  D.无法加速RSA运算答案：C13.在公钥基础设施PKI中，负责发布证书撤销列表的实体是（）A.RA  B.CA  C.OCSPResponder  D.VA答案：B14.下列哪项最能降低CSRF（跨站请求伪造）风险？（）A.设置HttpOnly标志  B.使用CSRFTokenC.启用CORS  D.部署HTTPS答案：B15.关于零信任（ZeroTrust）模型，错误的是（）A.默认信任内网  B.持续身份验证C.微分段  D.最小权限答案：A16.在Android13中，限制应用程序访问“已安装应用列表”的权限是（）A.QUERY_ALL_PACKAGES  B.GET_INSTALLED_APPSC.READ_APPS  D.LIST_PACKAGES答案：A17.以下哪种侧信道攻击对AES最有效？（）A.时间分析  B.功耗分析（DPA）  C.错误注入  D.流量分析答案：B18.关于Docker安全，下列说法正确的是（）A.默认启用UserNamespace  B.seccomp可限制系统调用C.容器与宿主机内核版本可不同  D.cgroups不能限制CPU答案：B19.在密码学中，满足“抗碰撞”且输出长度固定为256位的哈希函数是（）A.SHA1  B.MD5  C.SHA256  D.RIPEMD128答案：C20.当使用Wireshark抓取HTTPS流量时，要解密TLS1.3数据，必须获取（）A.服务器私钥  B.客户端私钥C.预主密钥（ClientRandom）  D.早期密钥（EarlySecret）答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于对称加密算法？（）A.ChaCha20  B.3DES  C.ECDSA  D.SM4答案：A、B、D22.关于防火墙的局限性，正确的有（）A.无法防御内部威胁  B.对加密流量内容不可见C.可完全阻止零日漏洞  D.可能引入单点故障答案：A、B、D23.以下哪些措施可增强DNS安全性？（）A.DNSSEC  B.DNSoverHTTPS  C.随机化源端口  D.启用EDNS0答案：A、B、C24.在Linux中，可用于强制访问控制（MAC）的框架有（）A.SELinux  B.AppArmor  C.Smack  D.iptables答案：A、B、C25.以下哪些字段属于X.509v3证书扩展？（）A.SubjectKeyIdentifier  B.AuthorityKeyIdentifierC.CRLDistributionPoints  D.PrecertTimestamp答案：A、B、C26.关于内存安全漏洞，正确的有（）A.缓冲区溢出可导致代码执行  B.使用Rust可完全消除C.堆喷射常用于绕过ASLR  D.DEP可阻止数据段执行答案：A、C、D27.以下哪些算法属于PostQuantum签名方案？（）A.Dilithium  B.Falcon  C.RSAPSS  D.SPHINCS+答案：A、B、D28.在WiFi6中，用于替代WPA2PSK脆弱性的改进有（）A.SAE（Dragonfly）  B.192位加密套件C.前向保密  D.明文管理帧保护答案：A、B、C29.以下哪些工具可用于静态应用安全测试（SAST）？（）A.Coverity  B.Fortify  C.BurpSuite  D.CodeQL答案：A、B、D30.关于云原生安全，正确的有（）A.镜像扫描需包含OS与依赖库  B.PodSecurityPolicy已废弃C.服务网格可实施mTLS  D.KMS可用于集中密钥管理答案：A、B、C、D三、填空题（每空1分，共20分）31.在TLS1.3中，用于实现0RTT重用的密钥称为________密钥。答案：EarlySecret32.在Linux审计系统auditd中，用于定义文件监控规则的参数是________。答案：w33.当利用ReturnOrientedProgramming（ROP）绕过DEP时，攻击者需依赖栈上的________链。答案：gadget34.NISTSP80063B建议，若采用基于知识的问题进行身份验证，其熵值应至少为________位。答案：1435.在IPv6中，用于发现重复地址的ICMPv6类型是________。答案：135（NeighborSolicitation）36.用于衡量入侵检测系统性能的指标中，误报率英文缩写为________。答案：FPR（FalsePositiveRate）37.在Android应用签名方案v3中，新增支持________旋转功能。答案：签名密钥38.当启用HTTPStrictTransportSecurity（HSTS）时，浏览器在指定________时间内强制使用HTTPS。答案：maxage39.在密码学中，满足“一次一密”要求的流密码需保证密钥流的________性。答案：不可预测40.用于快速验证大文件完整性的哈希树结构称为________树。答案：Merkle41.在Windows中，用于查看当前登录用户访问令牌的命令是________。答案：whoami/all42.当利用Heartbleed漏洞读取服务器内存时，攻击者发送的TLS扩展类型为________。答案：heartbeat43.在公钥证书路径验证中，用于指示中间证书数量的字段是________。答案：pathLenConstraint44.用于隐藏进程、文件、网络连接的Linuxrootkit技术通常通过劫持________调用实现。答案：系统调用表（sys_call_table）45.在无线渗透中，用于强制解除客户端与AP关联的攻击帧类型为________。答案：Deauthentication46.当使用YubiKey进行FIDO2认证时，密钥对生成于________环境。答案：安全元件（SecureElement）47.在Dockerfile中，用于以非root身份运行容器的指令是________。答案：USER48.用于限制程序访问文件系统路径的Linux安全机制称为________。答案：chroot49.在威胁建模STRIDE中，代表“否认”的字母是________。答案：D50.当利用Rowhammer攻击翻转物理内存位时，频繁访问的内存行称为________行。答案：aggressor四、简答题（每题6分，共30分）51.简述数字证书链验证过程，并说明若某一中间证书缺失会导致什么后果。答案：1)客户端从服务器证书开始，提取颁发者名称；2)在本地信任库或中间证书池中查找匹配颁发者证书；3)使用上级公钥验证当前证书签名；4)重复直至出现自签名的根证书且存在于信任库；5)检查有效期、撤销状态（CRL/OCSP）、密钥用法扩展等。若某一中间证书缺失，验证链断裂，客户端无法定位上级公钥，导致TLS握手失败，浏览器提示“证书颁发机构不受信任”。52.说明缓冲区溢出攻击在开启NX（DEP）与ASLR后的利用难点，并给出两种缓解方案。答案：难点：1)DEP阻止栈/堆代码执行，需转向ROP/JOP；2)ASLR随机化代码段、堆、栈地址，gadget与shellcode地址不可预测；3)需先获取地址泄露再构造ROP链，步骤复杂。缓解方案：1)编译时启用ControlFlowGuard（CFG）/IntelCET，限制间接跳转目标；2)部署栈溢出检测（StackCanaries）与重编译为位置无关可执行文件（PIE），提高随机化熵。53.比较对称加密与公钥加密在密钥分发、计算速度、应用场景三方面的差异。答案：密钥分发：对称需预先共享或建立安全信道，公钥可公开分发但需信任机制；计算速度：对称算法（AES）硬件加速可达GB/s量级，公钥（RSA2048解密）仅几十MB/s；应用场景：对称用于大数据加密，公钥用于密钥交换、数字签名、小数据加密。54.描述入侵检测系统（IDS）与入侵防御系统（IPS）在部署位置、响应方式、误报影响三方面的区别。答案：部署位置：IDS旁路监听，IPS串接在网络路径；响应方式：IDS仅告警，IPS可主动丢弃/重置流量；误报影响：IDS误报导致运维工作量增加，IPS误报可能阻断正常业务，影响更大。55.说明云原生环境下“镜像签名”与“策略控制器”如何协同实现供应链安全。答案：1)镜像签名：开发者使用私钥对镜像摘要签名，摘要写入镜像仓库；2)策略控制器（如KubernetesAdmissionController）在创建Pod时校验签名，仅允许通过公钥验证的镜像；3)结合版本标签锁定与撤销列表，防止回滚与伪造；4)若签名无效或证书被撤销，控制器拒绝调度，阻断恶意镜像进入生产环境。五、计算与分析题（共30分）56.RSA密钥长度与安全性分析（10分）已知：NIST预测2030年后需使用3072位RSA等价于128位对称密钥强度；当前公钥指数e=65537；因子分解算法GNFS复杂度为exp(1.923×ln(n)^(1/3)×ln(ln(n))^(2/3))。问题：(1)估算2048位RSA与3072位RSA在该公式下的复杂度比值（取自然指数部分比值即可）；(2)若量子计算机运行Shor算法，给出RSA被破解所需量子比特数估算公式，并说明为何2048与3072无本质区别。答案：(1)令n1=2^2048，n2=2^3072，代入指数部分：k1=1.923×(2048×ln2)^(1/3)×(ln(2048×ln2))^(2/3)≈1.923×14.3×6.1≈168k2=1.923×(3072×ln2)^(1/3)×(ln(3072×ln2))^(2/3)≈1.923×16.5×6.6≈210复杂度比值≈exp(210168)=exp(42)≈1.7×10^18，即3072位难度提高约18个数量级。(2)Shor算法需2n+3量子比特运行量子傅里叶变换，n为密钥位数；2048位需≈4099量子比特，3072位需≈6147量子比特。二者均处于千级量子比特量级，在可扩展量子计算机面前无本质安全差异，故需转向抗量子算法。57.网络流量分析（10分）捕获文件trace.pcapng中观察到：源IP00向的UDP/53持续发送60字节报文，QTYPE=AAAA，查询域名为“”；响应报文大小为1500字节，返回20条AAAA记录，TTL=5；每毫秒发出一次查询，持续30秒，总流量约45MB。问题：(1)判断可能的攻击类型并给出两条依据；(2)给出两种防御措施并说明原理。答案：(1)属于DNS放大攻击（反射DDoS）的探测阶段：依据1：查询60字节，响应1500字节，放大比25倍；依据2：高频率、固定TTL=5，表明攻击者测试放大效率。(2)防御：1)在ISP边界部署uRPF（单播反向路径转发），丢弃源地址伪造的DNS请求；2)对权威DNS限速并启用ResponseRateLimiting（RRL），超过阈值截断或丢弃响应，降低放大效果。58.综合应用题：零信任架构设计（10分）某金融企业计划将传统内网业务迁移至混合云，需满足：1)员工任意地点访问；2)微服务间通信加密；3)数据分级至“公开/内部/机密”三级；4)合规要求6个月内可审计。请给出：(1)身份与访问管理（IAM）核心组件列表（至少4项）；(2)微服务通信加密的技术选型与密钥生命周期管理流程；(3)数据分级加密方案，包括算法、密钥存储位置、轮换周期；(4)审计日志采集、存储、检索的技术栈与保留时长。答案：(1)IAM组件：身份提供商（IdP）支持SAML/OIDC；多因素认证（MFA）平台；策略决策点（PDP）与策略执行点（PEP）；用户行为分析（UEBA）引擎。(2)通信加密：服务网格（Istio）启用mTLS，双向证书由SPIFFEID标识；密钥生命周期：EnvoySidecar通过SDS（SecretDiscoveryService）从KMS获取短周期证书，有效期24h，自动轮换。(3)数据分级加密：公开：AES256GCM，密钥托管于云KMS，90天轮换；内部：同上，但密钥需经HSM加密导出，30天轮换；机密：国密SM4GCM+分层密钥，主密钥存于云端HSM，数据密钥包封后存于数据库，7天轮换。(4)审计技术栈：采集：FluentBit+OpenTelemetry；传输：Kafka→Logstash；存储：Elasticsearch热温冷架构，热节点7天、温节点30天、冷节点（S3Glacier）6个月；检索：Kibana+RBAC，日志哈希写入区块链锚定，防篡改。六、综合设计题（20分）59.某电商平台“双十一”大促期间遭遇大规模Bot抢购，导致库存超卖、真实用户无法下单。已知：正常用户峰值QPS=5万；攻击Bot峰值QPS=30万，来源IP分散，UserAgent随机；业务接口：/order/create，字段为skuId、num、token；当前已部署CDN与WAF，但规则库更新滞后。要求：(1)设计一套多层检测与缓解方案，包括接入层、应用层、数据层；(2)