2025年网络安全培训考试题库附答案

2025年网络安全培训考试题库附答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2025年最新版《网络安全法》将“关键信息基础设施”扩展至以下哪类单位？A.大型连锁超市总部B.年营收超10亿元的电商平台C.提供公共云服务的超算中心D.所有取得ICP备案的网站答案：C2.在零信任架构中，用于持续评估终端安全状态的协议是：A.RADIUSB.TACACS+C.PostureAssessmentD.SNMPv3答案：C3.2025年6月1日起强制执行的《个人信息出境标准合同办法》规定，出境数据超过多少条需重新备案？A.10万B.50万C.100万D.500万答案：B4.针对TLS1.3的“0RTT重放攻击”最有效的缓解措施是：A.禁用ECDHEB.启用SingleUseTicketsC.强制双向证书校验D.降低对称密钥长度答案：B5.在Linux内核5.15及以上版本，用于限制容器进程权限的强制访问控制模块是：A.SELinuxB.AppArmorC.SmackD.TOMOYO答案：B6.2025年OWASPTop10新增“服务端请求伪造（SSRF）”的排名是：A.第2位B.第3位C.第5位D.第7位答案：A7.采用AESGCM模式时，IV重复会导致最严重的后果是：A.密钥泄漏B.明文完全暴露C.认证失效且可恢复明文D.仅完整性校验失败答案：C8.2025年国密算法套件中，用于密钥交换的算法是：A.SM1B.SM2C.SM3D.SM4答案：B9.在Windows1124H2中，默认启用、用于阻止内核驱动注入的防护机制是：A.HVCIB.CFGC.CETD.VBS答案：A10.2025年3月曝光的“NimbusPwn”云原生漏洞主要影响：A.KuberneteskubeapiserverB.containerdCRI插件C.AWSIMDSv2D.AzureFunctionsRuntime答案：C11.依据《数据安全法》第42条，对违法行为最高可处上一年度营业额：A.1%罚款B.3%罚款C.5%罚款D.10%罚款答案：C12.在IPv6网络中，用于防止ND欺骗攻击的官方推荐机制是：A.RAGuardB.DHCPv6GuardC.SENDD.IPSecAH答案：C13.2025年ISO/IEC27001:2025版新增的控制域是：A.云安全B.人工智能安全C.量子加密迁移D.绿色计算答案：B14.以下哪项不是DevSecOps“GoldenPipeline”中的强制环节？A.SASTB.DASTC.人工渗透测试D.依赖库签名验证答案：C15.2025年工信部《车联网网络安全管理办法》要求整车企业漏洞修补时限为：A.15天B.30天C.45天D.60天答案：B16.在量子计算威胁模型中，被认为可抵抗Shor算法的公钥算法是：A.RSA4096B.ECDSAP384C.Kyber1024D.DH2048答案：C17.2025年新版《商用密码产品认证规则》将“安全芯片”划分为：A.2个安全等级B.3个安全等级C.4个安全等级D.5个安全等级答案：C18.针对Office文档的“XLMMacroDeobfuscator”工具主要解析：A.VBA宏B.Excel4.0宏C.PowerQuery脚本D.OfficeJS脚本答案：B19.2025年7月启用的“国家网络身份认证公共服务”采用的核心协议是：A.OAuth2.1B.FIDO2C.SAML3.0D.OpenIDConnect答案：B20.在容器逃逸漏洞中，CVE20251234利用的是：A.runc文件描述符泄漏B.cgroupv2release_agentC.kerneleBPFverifierD.overlayfs权限错误答案：B21.2025年《关基保护条例》要求运营者每年至少开展几次应急演练？A.1次B.2次C.3次D.4次答案：B22.在Windows日志中，事件ID4624对应的登录类型3表示：A.交互式登录B.网络登录C.批处理登录D.服务登录答案：B23.2025年新版《网络安全等级保护测评指南》将“云计算扩展要求”纳入：A.第一级B.第二级C.第三级及以上D.仅第四级答案：C24.用于检测“LivingofftheLand”攻击的最佳数据源是：A.NetFlowB.DNS日志C.Sysmon事件D.SNMPTrap答案：C25.2025年5月发布的《生成式人工智能安全基本要求》规定模型训练数据去标识化比例不得低于：A.70%B.80%C.90%D.95%答案：C26.在5G核心网中，用于隐藏用户永久标识的临时标识是：A.GUTIB.SUCIC.5GTMSID.SUPI答案：B27.2025年国密SSL证书默认要求的密钥长度是：A.SM2256位B.RSA2048位C.ECDSAP256D.Ed25519答案：A28.针对KubernetesRBAC，以下动词中具备“escalate”权限的是：A.getB.listC.bindD.watch答案：C29.2025年《网络暴力信息治理规定》要求平台对违法信息删除的响应时限为：A.30分钟B.1小时C.2小时D.4小时答案：B30.在WindowsHelloforBusiness中，用于替代密码的凭证是：A.NTLMHashB.KerberosTGTC.TPM保护的密钥对D.MSCHAPv2答案：C二、多项选择题（每题2分，共20分。每题有两个或以上正确答案，多选、少选、错选均不得分）31.以下哪些属于2025年《关基保护条例》中“关基”认定的重要行业？A.大型三甲医院B.省级政务云C.年交易额百亿以上的电商平台D.城市轨道交通集团答案：ABD32.在Linux系统中，可用来实现强制访问控制（MAC）的框架包括：A.SELinuxB.AppArmorC.grsecurityD.Yama答案：ABC33.以下哪些算法已被NIST纳入后量子密码标准化第三轮最终名单？A.CRYSTALSKYBERB.CRYSTALSDILITHIUMC.FalconD.NTRUPrime答案：ABC34.2025年新版《个人信息保护法》明确敏感个人信息包括：A.精准定位轨迹B.14岁以下未成年人信息C.网购浏览记录D.医疗健康数据答案：ABD35.以下哪些技术可有效防御DNS劫持攻击？A.DNSSECB.DoHC.DoTD.DNSCookies答案：ABCD36.在容器安全中，以下哪些配置可降低特权提升风险？A.启用seccompB.使用nonrootuserC.挂载宿主机/etc/passwd只读D.关闭CAP_SYS_ADMIN答案：ABD37.2025年《数据出境安全评估办法》中，评估重点包括：A.数据规模与敏感程度B.境外接收方所在国法律环境C.数据出境后再转移风险D.数据主体同意比例答案：ABC38.以下哪些日志源可用于检测横向移动攻击？A.Windows4624/4625B.Kerberos4768/4769C.SMB5140/5145D.PowerShell4104答案：ABCD39.在零信任网络中，持续信任评估可依赖的数据包括：A.终端补丁级别B.用户行为基线C.网络延迟抖动D.应用访问频率答案：ABD40.2025年《工业互联网安全分类分级指南》将企业划分为：A.一级（一般）B.二级（中等）C.三级（重要）D.四级（核心）答案：ABC三、填空题（每空1分，共20分）41.2025年NISTSP80053Rev.6新增的控制族“”专门应对AI供应链风险。答案：AISC42.在IPv6中，用于替代ARP的协议是。答案：邻居发现协议（NDP）43.2025年《关基保护条例》要求运营者建立“”制度，对高风险产品和服务实施审查。答案：安全审查44.Windows1124H2默认用于阻止无签名驱动加载的技术缩写为。答案：HVCI45.2025年国密标准中，SM3输出杂凑值长度为位。答案：25646.在Kubernetes中，NetworkPolicy基于插件实现细粒度东西向流量控制。答案：CNI47.2025年新版《网络安全等级保护测评过程指南》将测评活动划分为个阶段。答案：四48.量子计算中，被认为可高效分解大整数的算法是。答案：Shor49.2025年OWASPAPITop10中，排在首位的是。答案：对象级授权失效50.在5G网络切片安全中，用于隔离不同切片的标识是。答案：SNSSAI51.2025年《个人信息保护法》规定，处理敏感个人信息须取得个人的同意。答案：单独52.在Linux内核中，用于限制进程系统调用的安全机制是。答案：seccomp53.2025年ISO/IEC27040侧重安全。答案：存储54.用于衡量密码算法抵抗量子攻击能力的参数称为。答案：量子比特强度55.2025年《网络暴力信息治理规定》明确，平台应建立机制，对首发账号实施溯源。答案：溯源56.在AzureAD中，用于实现条件访问的引擎名称是。答案：IdentityProtection57.2025年《数据安全法》要求，处理重要数据的大型平台应设立岗位。答案：数据安全管理58.在TLS1.3握手过程中，用于加密早期数据的密钥称为。答案：0RTT密钥59.2025年国密SSL套件中，对称加密默认使用算法。答案：SM460.2025年《工业互联网安全分类分级指南》中，核心企业须每年完成一次全面风险评估。答案：一四、简答题（每题5分，共25分）61.简述2025年新版《网络安全等级保护测评指南》中“云计算扩展要求”对多租户隔离的三项关键技术措施。答案：（1）虚拟化层安全加固：要求Hypervisor通过CVE漏洞扫描、内核加固、最小化驱动，确保租户VM无法逃逸；（2）软件定义网络（SDN）微隔离：利用VXLAN/GENEVE隧道与分布式防火墙，实现不同租户东西向流量L4L7级访问控制；（3）密钥与证书隔离：云管平台为每个租户独立生成并托管国密SSL证书和KMS密钥，密钥存储在经国密认证的HSM中，禁止跨租户共享。62.说明量子计算对现有PKI体系的主要威胁，并给出2025年业界推荐的迁移路线图。答案：威胁：Shor算法可在多项式时间内破解RSA、ECC、DH，导致数字签名、密钥交换、证书链失效；Grover算法将对称密钥有效强度减半。迁移路线：阶段一（20252027）：库存盘点，对现有证书、密钥交换、固件签名进行量子脆弱性评估；阶段二（20272029）：部署混合证书，即传统算法+CRYSTALSDILITHIUM双签名，客户端同时验证两种签名；阶段三（20292032）：全面切换到纯后量子算法，CA根证书采用DILITHIUMLevel5，TLS套件使用KYBER1024；阶段四（2032后）：关闭所有RSA/ECC算法支持，启用量子随机数发生器（QRNG）与量子密钥分发（QKD）作为根信任锚。63.概述2025年《数据出境安全评估办法》中“再转移”场景下的评估要点。答案：（1）再转移方背景：需披露境外接收方及其下游机构股权结构、所在国国家安全审查法律；（2）数据映射：明确再转移后数据存储、处理、删除的完整链路，提供数据流图；（3）合同约束：再转移须通过标准合同条款（SCC）或具有同等效力的法律文书，约定数据用途限制、删除期限、争议仲裁地；（4）技术保障：再转移数据须端到端加密，密钥由中国境内KMS托管，禁止境外解密；（5）持续监督：运营者每半年向省级网信部门提交再转移方合规审计报告，出现重大违约时须15日内启动数据回传或销毁。64.说明零信任架构中“持续信任评估引擎”需要采集的六类数据，并给出每类数据的典型来源。答案：（1）身份数据：来源为企业IdP（如AzureAD）的登录日志、MFA结果；（2）终端数据：来源为MDM/EDR的补丁级别、磁盘加密状态、越狱检测结果；（3）网络数据：来源为SDN控制器提供的微分段流量、异常横向连接；（4）应用数据：来源为API网关的访问频率、错误率、敏感接口调用；（5）行为数据：来源为UEBA引擎构建的用户基线、异常偏离度；（6）威胁情报：来源为商用TI平台的IOC、黑客论坛舆情、漏洞公告。65.概述2025年国密算法在TLS1.3握手过程中的应用流程。答案：（1）ClientHello：客户端声明支持国密套件TLS_SM4_GCM_SM3、密钥交换算法SM2；（2）ServerHello：服务器返回SM2证书，证书签名使用SM3withSM2；（3）密钥交换：双方使用SM2公钥加密生成预主密钥，采用SM2ECDH；（4）认证：服务器使用SM3withSM2对握手消息签名；（5）密钥派生：使用SM3basedHKDF生成主密钥，导出SM4GCM密钥和IV；（6）记录层：后续应用数据使用SM4GCM加密，MAC使用SM3，完成国密套件下的机密性与完整性保护。五、综合应用题（共25分）66.计算与分析（10分）某电商平台2025年“618”大促期间，日均处理订单1.2亿笔，每笔订单产生0.8KB日志。日志需留存180天，原始数据压缩比约3:1。（1）计算原始日志总量（GB）；（2）计算压缩后存储容量（TB）；（3）若采用ErasureCoding（10+4）策略，存储冗余度为多少？（4）若每TB云存储单价0.12元/天，求180天存储费用；（5）从数据安全角度，给出两项成本优化且合规的措施。答案：（1）原始总量=1.2×10^8×0.8KB×180=17.28×10^10KB≈16.1TB；（2）压缩后=16.1/3≈5.37TB；（3）冗余度=14/10=1.4；（4）费用=5.37×1.4×0.12×180≈162.3元；（5）措施：a.按《个人信息保护法》第19条，对含手机号、地址的日志字段实施AES256加密后离线归档，降低敏感数据冗余；b.采用分级存储，将30天后日志转入低频冷存，同时通过SM4压缩再落盘，减少在线副本，满足等保2.0对访问日志保存期要求。67.案例分析（15分）背景：2025年4月，某大型医院遭遇勒索软件攻击，攻击者通过VPN账号进入内网，利用“livingofftheland”技术关闭WindowsDefender，横向移动至PACS影像服务器，最终部署LockBitNX变种，加密约80TB医学影像。医院已部署EDR、SIEM、下一代防火墙，但均未产生告警。问题：（1）指出攻击者可能利用的两种VPN入口漏洞；（2）分析EDR未告警的三项可能原因；（3）给出事后取证需优先收集的三类易失性证据；（4）设