2026年网络安全管理员考试题及答案

2026年网络安全管理员考试题及答案1.单选题（每题1分，共30分）1.12026年1月，某省政务云采用“零信任+微隔离”架构，下列哪项技术最能直接降低东西向流量被横向移动的风险？A.SDP控制器下发一次性令牌 B.基于eBPF的进程级沙箱 C.服务网格mTLS强制双向校验 D.超融合平台内置的vSwitchACL答案：C解析：东西向流量指同一安全域内虚拟机到虚拟机的通信，mTLS在4层完成双向身份与加密校验，阻断伪造证书或stolentoken的横向移动；SDP令牌仅解决南北向准入；eBPF沙箱侧重单节点进程隔离；vSwitchACL粒度粗且无法验证身份。1.2在IPv6-only数据中心里，管理员发现部分主机仍收到IPv4广播包，最可能的根因是：A.双栈主机未关闭IPv4协议 B.交换机未开启RAGuard C.存在ISATAP隧道 D.恶意用户伪造Ethernet帧答案：C解析：ISATAP可在IPv6网络中封装IPv4广播，表现就是“纯IPv6环境里出现IPv4广播”；RAGuard只防伪造路由通告；伪造Ethernet帧需同二层，广播出现概率低。1.3某企业采用NISTSP800-207的零信任模型，其“动态信任评分”算法中，下列哪项数据属于“行为面”维度？A.终端补丁级别 B.用户历史登录时间方差 C.数字证书CRL状态 D.微服务API的Swagger定义答案：B解析：行为面关注“怎样做”，登录时间方差可刻画异常作息；补丁与CRL属“身份面”或“配置面”；Swagger定义属“数据面”。1.42026年3月，OpenSSL3.2被曝出“空指针解引用”0day，官方第一时间发布热补丁。管理员在无法立即重启业务的情况下，最佳临时缓解措施是：A.将libssl.so权限降至400 B.使用systemtap拦截受影响函数 C.在前置WAF添加正则过滤 D.启用SELinux的deny规则答案：B解析：systemtap可在内核层动态打桩，将危险函数入口直接返回错误，无需重启进程；降权无法阻止已加载内存的so；WAF看不到TLS密文；SELinux对空指针解引用无直接约束。1.5某金融单位在红蓝对抗中发现，蓝队通过“Living-off-the-Land”手法在Win1124H2上执行了恶意PowerShell，却未触发AMSI。事后溯源，攻击者最可能利用了：A.反射加载C#程序集 B.调用powershell.exe-Version2.0 C.通过CLR接口直接运行JScript D.将恶意脚本拆分为≤3字符的片段答案：C解析：24H2已移除PSv2引擎；反射加载仍走AMSI；拆分字符长度与AMSI无关；CLR接口运行JScript可绕过AMSI的Powershell钩子。1.6在容器逃逸场景，攻击者利用CVE-2026-0815（runC文件描述符泄漏）获得宿主机root，下列哪项加固可在容器启动阶段即阻断？A.启用seccomp的default-deny规则 B.使用UserNS将容器root映射到宿主机普通UID C.开启容器SELinux的type-transition D.将runC编译为静态二进制并移除CAP_DAC_OVERRIDE答案：B解析：UserNS使容器root对应宿主机高UID，即便逃逸也拿不到宿主机root；seccomp与SELinux无法阻止fd泄漏；移除CAP_DAC_OVERRIDE不影响runC打开/proc/self/exe。1.72026年5月，某APT组织使用“DNS-over-HTTPS（DoH）+域前置”回连，下列哪项日志源最能有效还原C2域名？A.传统DNS日志 B.浏览器DoH缓存 C.TLSSNI明文 D.流量侧JA3/JA3S指纹答案：C解析：域前置仍需在TLSClientHello携带真实SNI，流量镜像可还原；DoH流量加密，传统DNS日志缺失；JA3只能看到客户端指纹。1.8某云函数（Lambda）使用临时AK/SK访问对象存储，运维误把AK写进GitHub公开库，30秒后云厂商自动回收该凭证。该安全能力称：A.动态凭据轮换 B.自动密钥打标 C.泄漏检测与自动失效 D.最小权限即时回收答案：C解析：厂商扫描公开仓库→发现→立即作废，属于“泄漏检测+自动失效”；并非轮换，也不是打标。1.9在硬件级可信执行环境（TEE）中，防止“内存重映射”攻击的核心机制是：A.SGX的EPC页表加密 B.ARMTrustZone的NS-bit隔离 C.AMDSEV-SNP的RMP表 D.IntelTME的AES-XTS答案：C解析：SEV-SNP的ReverseMapTable（RMP）确保Guest物理页只能被唯一VM映射，阻断重映射；SGXEPC不涉重映射；NS-bit仅区分安全/非安全世界；TME是全内存加密。1.10某企业部署了“安全访问服务边缘（SASE）”，员工从咖啡馆访问ERP，其流量路径：终端→5G→SASEPOP→ERP。若需对流量进行DLP内容检测，最佳拆解点：A.终端本地代理 B.5G核心UPF C.SASEPOP的SSE节点 D.ERP前置反向代理答案：C解析：SASE的SSE（SecurityServiceEdge）负责解密、DLP、CASB；终端本地代理可被绕过；UPF无内容检测；ERP反向代理无法看到加密流量。1.112026年6月，微软宣布Windows全面弃用NTLM，下列哪项替代方案支持“无密码”且能抵御中间人relay？A.KerberosArmoring B.MS-CHAPv2 C.SPNEGONegotiate D.AzureADCertificate-basedauth答案：A解析：KerberosArmoring（FAST）将认证数据封装在TLS隧道，阻断relay；证书方案仍需密码或PIN；SPNEGO可回退NTLM。1.12在Kubernetes1.32集群，管理员为Pod设置securityContext.runAsNonRoot=true，但镜像ENTRYPOINT仍使用root，结果是：A.Pod创建失败，kubelet拒绝启动 B.Pod运行但主进程被强制UID65534 C.正常启动，仅告警 D.被准入控制器拒绝答案：D解析：1.28+引入“Restricted”准入profile，runAsNonRoot与镜像冲突会被AdmissionController直接拒绝；kubelet不再介入。1.13某单位使用国密算法SM4-GCM保护数据库透明加密，其初始向量（IV）管理策略正确的是：A.每次加密随机生成96bitIV并明文存储于页尾 B.使用Key+Counter作为IV C.固定全零IV D.将IV与主密钥做异或后写入WAL答案：A解析：GCM推荐96bit随机IV，明文存储即可，密钥隔离即可；Counter模式若重复会泄漏明文；全零IV严重违规；异或WAL无意义。1.14在威胁狩猎中，发现某Linux进程“/usr/bin/[kworker/1:1]”持续外联，下列哪项特征最能判定为内核级Rootkit？A.进程名含中括号 B./proc/$pid/exe指向匿名inode C.占用CPU0 D.父进程为systemd答案：B解析：内核线程的exe应指向空，若指向匿名inode说明被挂钩隐藏；中括号可伪装；CPU与父进程无特异性。1.152026年7月，某APT使用“预编译Python字节码”（.pyc）投递后门，下列哪项技术可在不反编译前提下检测恶意URL？A.在CPython解释器插入PyBytecode钩子 B.使用YARA规则匹配.pyc的codeobject C.计算.pyc的import表哈希 D.监控python进程DNS解析答案：B解析：YARA可匹配co_names、co_consts中的字符串常量；钩子需改解释器；import表不含URL；DNS监控滞后。1.16某企业采用“安全即代码（SaC）”流水线，下列哪项扫描最适合在Terraformplan阶段执行？A.OPAConftest B.Trivy镜像扫描 C.Checkov D.tfsec答案：D解析：tfsec专门解析Terraform静态模板，可在plan前发现错误配置；Conftest需OPA策略；Trivy面向镜像；Checkov支持多IaC但tfsec更轻量。1.17在5G专网切片场景，MEC平台需对UPF进行“流量净化”，下列哪项技术可在不破解GTP-U的前提下丢弃异常报文？A.基于QoSFlow的SDAP过滤 B.在N3接口部署eBPFXDP程序 C.使用DPI引擎识别HTTP2 D.在N9接口镜像给IDS答案：B解析：XDP可在内核早期丢弃报文，无需解封装；SDAP在UE侧；DPI需解密；镜像仅检测不阻断。1.18某云原生应用使用WebAssembly（WASM）扩展Envoy，为防止扩展访问宿主机文件，应启用：A.Capability-based安全模型 B.Proxy-WASM的ABI版本2.1 C.使用wasmtime的–dir参数 D.启用seccomp答案：A解析：Capability模型给扩展最小句柄，阻断opensyscall；wasmtime–dir显式授权目录；seccomp粒度粗；ABI版本无关权限。1.192026年8月，GitHub强制要求双因子认证，下列哪项2FA方式在离线场景仍可用？A.TOTP硬件令牌 B.WebAuthnroamingauthenticator C.SMS验证码 D.Push通知答案：A解析：TOTP基于共享密钥与时间，无需网络；WebAuthn需在线验证签名；SMS与Push均需网络。1.20某单位使用“同态加密”对数据库做密文计算，下列哪项操作可直接在密文域完成且结果解密后等于明文运算？A.ORDERBY B.LIKE模糊匹配 C.SUM累加 D.正则提取答案：C解析：加法同态（如Paillier）支持密文相加；排序、模糊、正则需全同态或交互协议，性能差。1.21在Windows1124H2，管理员发现“CredentialGuard”无法开启，最可能的原因是：A.BIOS未开启VT-d B.主板未安装TPM2.0 C.内存少于8GB D.未启用UEFISecureBoot答案：D解析：24H2强制SecureBoot才能启动VBS，进而开启CredentialGuard；TPM已非强制；VT-d与内存非硬性。1.22某企业采用“量子密钥分发（QKD）”做异地容灾，下列哪项攻击能直接破坏QKD密钥而不被察觉？A.光子数分离（PNS） B.时移攻击 C.强光致盲 D.分束器波长偏移答案：B解析：时移攻击通过延迟探测器时间窗口，绕过误码率检测；PNS、致盲、波长偏移均会升高误码率被检出。1.23在Linux内核6.8，下列哪项加固可阻断“脏管道”（DirtyPipe）类漏洞的利用？A.开启KernelPageTableIsolation B.启用SLAB_RANDOM C.将pipe->flags设置为只读 D.禁用非特权usernamespaces答案：D解析：DirtyPipe需userfaultfd+userns，禁用非特权userns可阻断；KPTI缓解侧信道；SLAB_RANDOM无关。1.24某单位在OT网络使用Modbus/TCP，需识别“非法写单个寄存器”命令，下列哪项技术最准确？A.基于端口502的DPI B.使用深度学习对报文长度聚类 C.在PLC前置串口网关 D.监控TCPpayload的FunctionCode0x06答案：D解析：FunctionCode0x06即写单个寄存器，直接匹配即可；DPI需深度解析；深度学习过杀；串口网关不涉TCP。1.252026年9月，某APT使用“PDF+JS+GoFile”三阶段投递，下列哪项技术可在浏览器端阻断GoFile下载？A.启用PDF的JavaScript黑名单 B.使用SmartScreenAPI C.在浏览器植入DLL钩子拦截CreateFile D.配置EnterprisePolicy禁用非信任协议handler答案：D解析：GoFile使用magnet自定义协议，策略可禁用；PDFJS黑名单无法阻断后续阶段；SmartScreen不涉下载协议；DLL钩子需高权限。1.26在Android15，下列哪项机制可防止“StrandHogg2.0”任务劫持？A.应用必须显式设置android:taskAffinity="" B.系统强制FLAG_ACTIVITY_NEW_TASK C.后台启动需用户可见窗口 D.禁用UID共享答案：C解析：15引入后台启动可见窗口要求，阻断恶意Activity注入；taskAffinity为攻击向量；FLAG_ACTIVITY_NEW_TASK可被滥用；UID共享已限制。1.27某企业采用“机密计算”SGXEnclave，下列哪项侧信道最难通过微码补丁完全消除？A.L1TerminalFault B.MicroarchitecturalDataSampling C.CacheTiming D.Spectrev2答案：C解析：CacheTiming属于算法级侧信道，需应用层常数时间编程；其余均可微码+软件缓解。1.28在DevSecOps流水线，下列哪项指标最能反映“安全债务”增长趋势？A.漏洞修复平均耗时（MTTR） B.新代码安全测试覆盖率 C.高危漏洞存量绝对值 D.安全缺陷密度/千行代码答案：D解析：缺陷密度反映新增债务；MTTR为修复效率；覆盖率仅过程；存量绝对值不涉增量。1.29某单位使用“安全多方计算（MPC）”进行联合风控，下列哪项攻击可破坏隐私但无法篡改结果？A.恶意模型推断 B.重放攻击 C.选择输入攻击 D.中止攻击答案：A解析：恶意方可通过多次查询推断他人数据；重放、选择输入、中止均影响结果正确性。1.30在2026年10月，某云厂商推出“后量子密钥交换”BoringSSL分支，默认算法为：A.Kyber-1024 B.ML-KEM-768 C.NTRU-HRSS D.ClassicMcEliece答案：B解析：NIST已标准化ML-KEM（Kyber）768位；1024非默认；NTRU未入选；McEliece体积大。2.多选题（每题2分，共20分）2.1关于“云原生应用保护平台（CNAPP）”，下列哪些能力属于“左移”阶段？A.IaC模板扫描 B.容器镜像漏洞扫描 C.运行时微隔离 D.供应链SBOM生成 E.云事件威胁狩猎答案：A、B、D解析：左移指开发构建阶段；运行时与狩猎属运行期。2.2在Linux内核6.9，下列哪些配置可缓解“StackRot”漏洞？A.启用CONFIG_STACKDEPOT B.启用CONFIG_VMAP_STACK C.启用CONFIG_SLAB_MERGE_DEFAULT D.启用CONFIG_RANDOMIZE_KSTACK_OFFSET E.启用CONFIG_THREAD_INFO_IN_TASK答案：B、D解析：VMAP_STACK将内核栈放入vmalloc区，加入guardpage；RANDOMIZE_KSTACK_OFFSET增加偏移；其余无关。2.3某企业采用“零信任网络访问（ZTNA）”，下列哪些协议可用于“设备信任评估”？A.TPM2.0EK证书 B.FIDO2Attestation C.MAC层802.1X D.RFC8894MUD文件 E.SWID标签答案：A、B、D解析：TPM、FIDO2提供硬件身份；MUD文件描述设备功能；802.1X为网络准入；SWID为软件清单，不涉信任评估。2.4在2026年11月，下列哪些技术属于“抗量子数字签名”？A.Dilithium-3 B.Falcon-512 C.Rainbow D.SPHINCS+-128 E.ECDSA-P384答案：A、B、D解析：Dilithium、Falcon、SPHINCS+为NIST标准；Rainbow被攻破；ECDSA为传统。2.5关于“安全访问服务边缘（SASE）”的“云防火墙”，下列哪些功能必须依赖TLS解密？A.基于SNI的域名过滤 B.检测恶意JA3指纹 C.检测内嵌信用卡号 D.检测HTTP方法 E.检测恶意C2心跳答案：C、E解析：信用卡号与C2心跳在加密payload，需解密；SNI、JA3、Method在明文或握手层。2.6在Kubernetes1.33，下列哪些资源对象可被“策略即代码”Gatekeeper直接拒绝创建？A.未设置securityContext的Pod B.使用latest标签的镜像 C.未加NetworkPolicy的Namespace D.未声明资源限制的Deployment E.未设置fsGroup的PVC答案：A、B、D解析：Gatekeeper在Admission阶段可检查Pod/Deployment字段；NetworkPolicy、PVC字段不在同一准入路径。2.7下列哪些日志源可用于检测“AzureADPasswordSpray”？A.Sign-inlogs B.RiskyUsersAPI C.AzureADProvisioninglogs D.ConditionalAccesslogs E.ADFSAdminlogs答案：A、B、E解析：Sign-in含失败原因；RiskyUsers聚合风险；ADFS日志记录本地失败；Provisioning与CA不直接记录密码错误。2.8在OT网络，下列哪些协议原生缺乏“身份认证”？A.ModbusTCP B.DNP3Serial C.BACnet/IP D.OPCUA E.IEC-61850MMS答案：A、B解析：Modbus、DNP3Serial无认证；BACnet有SC选项；OPCUA内置X.509；MMS基于ACSI认证。2.9下列哪些技术可用于“内存安全”编程语言替代C/C++？A.Rust B.Go C.Zig D.Carbon E.Ada/SPARK答案：A、E解析：Rust、Ada/SPARK提供编译期内存安全；Go有GC但可空指针；Zig、Carbon为改进C，非完全内存安全。2.10在2026年12月，下列哪些算法被NIST选中为“轻量级密码标准”？A.Ascon-128 B.TinyJambu C.ISAP-K D.Grain-128 E.PHOTON-Beetle答案：A、E解析：Ascon、PHOTON-Beetle入选；TinyJambu、ISAP-K、Grain-128落选。3.判断题（每题1分，共10分）3.1在Windows1124H2，启用“内核数据保护（KDP）”后，即便攻击者获得内核任意写，也无法修改受保护页内容。答案：对解析：KDP利用SecondLevelAddressTranslation将只读页标记为“固件保护”，内核写触发BSOD。3.2“安全多方计算（MPC）”中，只要参与方≥3，就无需担心合谋攻击。答案：错解析：若t≥门限，仍可合谋；需诚实多数或恶意安全协议。3.3在Linux内核6.10，开启“KernelControlFlowIntegrity（kCFI）”后，ret2user攻击可被完全阻断。答案：对解析：kCFI检查间接跳转目标在白名单，用户空间代码不在白名单，阻断ret2user。3.4使用“DNS-over-TLS”比“DNS-over-HTTPS”更能隐藏查询域名不被本地网络管理员发现。答案：错解析：DoT端口853明文可见，DoH混在443流量更难识别。3.5在Android15，即便应用targetSdk=35，仍可使用“StrandHogg1.0”劫持任务。答案：错解析：15已彻底移除taskAffinity劫持，无论targetSdk。3.6“后量子密钥封装机制（KEM）”的密文长度普遍大于传统RSA-2048。答案：对解析：Kyber-768密文约1088字节，RSA-2048密文256字节。3.7在Kubernetes1.32，PodSecurityPolicy（PSP）仍可作为“策略即代码”使用。答案：错解析：1.25已移除PSP，由PodSecurityStandards替代。3.8使用“同态加密”对数据库做SUM聚合，查询延迟通常比明文增加1个数量级以内。答案：错解析：全同态计算延迟增加2–4个数量级，半同态SUM约1–2个数量级，但复杂查询远超。3.9在2026年，基于“eBPF”的容器逃逸检测必须依赖内核编译时开启CONFIG_BPF_JIT。答案：对解析：eBPF程序需JIT才能在64位内核执行，解释器已移除。3.10“零信任”架构中，网络位置始终被视为“不可信”，因此不再需要物理隔离。答案：错解析：零信任不排斥物理隔离，关键资产仍需多层防御。4.简答题（每题10分，共30分）4.1场景：2026年4月，某大型电商在“618”大促前进行红蓝对抗，蓝队通过Server-SideTemplateInjection（SSTI）在订单详情页获得Web容器root，最终窃取RDS内2000万用户地址。事后复盘发现，WAF规则完整、RASP已部署、容器以non-root运行、RDS白名单正确。请从“安全设计”角度给出三条根因及对应整改方案，要求不增加单点故障、性能损耗<5%。答案：根因1：模板引擎（Thymeleaf）开启SpringEL表达式执行，且EL白名单未限制类加载。整改：在application.yml设置spring.thymeleaf.mode=HTML，禁用EL；引入EL沙箱，仅允许白名单类（java.lang.Math），通过单元测试+CodeQL自动化扫描，性能损耗<1%。根因2：RASP策略仅监控“命令执行”类攻击，未覆盖“模板执行”语义。整改：升级RASP至2026Q2版本，内置SSTI检测插件，采用动态污点追踪，标记用户输入进入模板解析即阻断，CPU增加<3%，通过k8sHPA自动扩容抵消。根因3：容器虽以non-root运行，但挂载了/var/run/docker.sock，蓝队通过DockerAPI逃逸获得宿主机root。整改：移除sock挂载，改用Kubernetes原生API；对需Dockerbuild的CIPod，使用Kaniko在UserNS内无特权构建；宿主机启用RootlessDocker，双重保险，无额外延迟。4.2论述：2026年7月，NIST发布“后量子密码迁移路线图”第三阶段，要求企业在2030年前完成“数字签名”算法替换。某金融支付公司现存大量RSA-2048签名POS终端，硬件无法升级。请给出“双证书”过渡方案，确保2030年后仍可验证旧签名，同时满足PCI-DSS6.2与国标GM/T0028-2026，要求不更换硬件、交易延迟增加<100ms、私钥不出HSM。答案：1）证书结构：终端保留RSA-2048证书A，用于2029-12-31前交易；新增ML-DSA-65（Dilithium-3）证书B，用于2030-01-01后交易。两证书公钥均写入收单系统白名单，形成“双证书”信任链。2）签名流程：终端发起交易时，在报文头增加1byte版本位，V=0表示RSA，V=1表示Dilithium。收单系统根据当前日期路由：2029年前容忍V=0，2030年起拒绝V=0。3）密钥管理：RSA私钥继续存放于终端安全芯片（SCP03通道），Dilithium私钥由收单系统HSM生成，通过远程密钥分发（RKL）注入终端，使用KeyBlock（TR-31）封装，确保私钥不出HSM。4）性能优化：Dilith