2025年网络安全知识考试试题及答案解析

2025年网络安全知识考试试题及答案解析1.单项选择题（每题1分，共20分）1.1在TLS1.3握手过程中，用于实现前向保密的核心机制是A.RSA密钥传输B.静态DH密钥交换C.ECDHE临时密钥交换D.PSKonly会话恢复答案：C解析：TLS1.3强制使用临时椭圆曲线DiffieHellman（ECDHE），每次握手生成一次性密钥，即使长期私钥泄露也无法回溯历史会话，实现前向保密。1.2以下哪条Linux内核参数可直接缓解SYNFlood攻击A.net.ipv4.tcp_tw_reuseB.net.ipv4.tcp_syncookiesC.net.ipv4.tcp_keepalive_timeD.dev_max_backlog答案：B解析：tcp_syncookies在SYN队列满时构造特殊序列号，无需维护半开连接即可验证ACK，直接缓解资源耗尽型SYNFlood。1.3根据GB/T222392019《网络安全等级保护基本要求》，第三级系统对恶意代码防护的“检测要求”是A.每周更新特征库B.支持脱机手动扫描C.支持实时检测与集中管理D.支持云端沙箱回传样本答案：C解析：第三级明确要求“实时检测、集中管理、统一策略下发”，其余选项为第二级或第四级要求。1.4在Windows日志取证中，事件ID4624的“LogonType”字段值为3，表示A.交互式本地登录B.网络登录（SMB等）C.远程桌面登录D.批处理服务登录答案：B解析：LogonType=3对应网络层认证，如文件共享、IPC$连接，是横向移动常见痕迹。1.5针对SHA1的“shattered”攻击能够实现A.第二原像B.碰撞C.预像D.长度扩展答案：B解析：2017年Google发布的shattered首次实现SHA1实用碰撞，可构造两个不同PDF文件具有相同哈希。1.6在IPv6中，用于替代ARP的协议是A.NDPB.DHCPv6C.ICMPv6EchoD.MLD答案：A解析：邻居发现协议（NDP）集成地址解析、重复地址检测、路由发现等功能，直接替代ARP。1.7以下关于OAuth2.0“授权码”模式的说法正确的是A.授权码可重复使用B.授权码通过前端通道传递C.授权码需与客户端密钥一起交换访问令牌D.授权码模式不需要HTTPS答案：C解析：授权码仅一次性有效，且必须结合客户端密钥在后端通道向授权服务器换token，确保机密客户端安全。1.8在Kubernetes中，可限制容器CPU使用绝对带宽的资源对象是A.LimitRangeB.ResourceQuotaC.cpu.cfs_quota_usD.HorizontalPodAutoscaler答案：C解析：kubelet通过修改cgroup的cpu.cfs_quota_us文件实现CPU上限限制，属于底层cgroup机制。1.9利用“DirtyPipe”漏洞（CVE20220847）可达成A.本地权限提升到rootB.远程代码执行C.容器逃逸到宿主机D.拒绝服务答案：A解析：DirtyPipe通过重写只读文件管道缓冲区，可修改SUIDroot程序实现本地提权。1.10在BGP安全扩展中，用于验证AS_PATH完整性的技术是A.RPKIROAB.BGPsecC.ASPathprependingD.BGPTTLSecurity答案：B解析：BGPsec使用PKI对AS_PATH逐跳签名，防止路径篡改，RPKI仅验证起源AS。1.11根据《个人信息保护法》，处理敏感个人信息应当取得A.口头同意B.明示同意C.单独同意D.默示同意答案：C解析：第29条明确“单独同意”指独立弹窗、独立勾选，不能与隐私政策捆绑。1.12在SQL注入中，使用“WITHROLLUP”语句可间接实现A.联合查询B.报错回显C.分组统计信息泄露D.时间盲注答案：C解析：WITHROLLUP会在结果集末尾增加汇总行，攻击者可通过对比汇总值推测字段总数或敏感统计。1.13以下哪项不是零信任架构核心组件A.动态访问控制引擎B.网络边界防火墙C.身份安全基础设施D.持续信任评估答案：B解析：零信任主张“无边界”，传统边界防火墙属于旧有模型，需细粒度动态策略替代。1.14在Android13中，限制应用访问“已安装应用列表”的新权限是A.QUERY_ALL_PACKAGESB.GET_INSTALLED_APPSC.PACKAGE_USAGE_STATSD.MANAGE_EXTERNAL_STORAGE答案：A解析：Google收紧QUERY_ALL_PACKAGES，非核心用途应用需声明并审核，减少侧信道信息泄露。1.15使用AESGCM模式时，IV重复会导致A.密钥泄露B.明文可逆C.认证标签伪造D.密文膨胀答案：C解析：GCM基于CTR模式，IV重复会完全泄露明文异或差，同时认证密钥可被线性分析伪造标签。1.16在Wireshark中，过滤“tcp.analysis.retransmission”可定位A.SYN扫描B.中间人注入C.丢包重传D.窗口缩小答案：C解析：该过滤器基于TCPAnalysis标记，可快速发现链路丢包或拥塞导致的重传。1.17根据NISTSP80063B，记忆秘密（口令）最小字符数为A.6B.8C.10D.12答案：B解析：63B规定用户记忆秘密≥8字符，同时建议允许最长64字符并支持特殊符号。1.18在PowerShell攻击检测中，可触发AMSI签名的特征是A.使用GetProcessB.使用InvokeExpression且内容匹配已知恶意签名C.使用WriteHostD.使用SetExecutionPolicy答案：B解析：AMSI在脚本块执行前将其内容送杀毒引擎，InvokeExpression常用来加载混淆载荷，匹配签名即拦截。1.19以下关于SM4分组密码的说法正确的是A.分组长度128位，密钥长度128位B.分组长度256位，密钥长度256位C.采用Feistel结构D.已被国家标准废弃答案：A解析：SM4为国产分组密码，分组与密钥均为128位，采用非平衡Feistel广义结构，现行有效。1.20在风险评估计算中，若资产价值AV=4，威胁频率EF=3，脆弱性严重程度VS=2，则ALE（年度预期损失）为A.24B.12C.6D.无法确定答案：D解析：ALE=AV×EF×VS×ARO（年度发生率），题目未给出ARO，无法计算。2.多项选择题（每题2分，共20分；每题至少有两个正确答案，多选少选均不得分）2.1以下哪些属于侧信道攻击A.功耗分析B.电磁泄漏C.差分故障分析D.缓存时序攻击答案：ABD解析：差分故障分析属于主动注入故障类，非侧信道。2.2关于DNSSEC，下列说法正确的是A.使用RRSIG记录保存资源记录签名B.使用DS记录建立父域到子域信任链C.使用NSEC3防止区域遍历D.支持算法RSASHA256答案：ABCD解析：DNSSEC完整定义上述机制，RSASHA256为强制支持算法之一。2.3在Linux容器逃逸场景中，可通过以下哪些方式触发A.挂载宿主/etc到容器内可写目录B.利用dirtycow修改宿主机内核C.使用privileged启动容器D.利用core_pattern写入宿主机答案：ACD解析：dirtycow需宿主机内核版本≤2016，现代容器已打补丁，其余三项仍常见。2.4以下哪些属于《数据安全法》规定的数据处理者义务A.建立数据分类分级制度B.开展数据出境风险评估C.向境外提供重要数据需通过安全评估D.向个人告知数据处理规则答案：ABC解析：D项为《个人信息保护法》义务，非《数据安全法》。2.5在密码工程实现中，可防御时序攻击的技术有A.常量时间比较B.掩码随机化C.指令流水线填充D.随机延迟插入答案：ABCD解析：常量时间比较消除分支差异；掩码与流水线填充破坏相关性；随机延迟增加噪声。2.6以下哪些HTTP响应头可有效缓解XSSA.ContentSecurityPolicyB.XContentTypeOptionsC.XXSSProtectionD.ReferrerPolicy答案：AC解析：XXSSProtection为浏览器内置过滤器，CSP为站略白名单；B、D与XSS缓解无直接关系。2.7关于勒索软件横向移动常用技术包括A.利用PsExec远程执行B.利用WMI事件订阅C.利用MS17010永恒之蓝D.利用BloodHound收集会话答案：ABCD解析：均为实战常见技术，BloodHound用于域渗透路径规划。2.8以下哪些算法属于后量子密码候选A.CRYSTALSKYBERB.FalconC.RSA4096D.ClassicMcEliece答案：ABD解析：RSA4096为传统大整数分解问题，不在NIST后量子候选。2.9在iOS越狱检测中，应用可检查A.是否存在/Applications/Cydia.appB.是否可以调用fork()C.是否加载了未签名动态库D.是否可访问系统日志答案：ABC解析：iOS沙箱限制普通应用读取系统日志，越狱后权限提升才可访问。2.10以下哪些属于云原生安全最佳实践A.镜像签名与验证B.运行时eBPF行为监控C.将数据库端口暴露/0并设置强口令D.使用OPAGatekeeper实施准入策略答案：ABD解析：C项违背最小暴露原则，即使强口令也不应全网监听。3.填空题（每空1分，共20分）3.1在IPv4中，用于向本地子网发送广播的地址称为________，其主机位全为1。答案：直接广播地址3.2在PKI体系中，负责发布证书撤销列表的组件缩写为________。答案：CRL3.3在Windows系统中，安全标识符________表示本地系统账户。答案：S15183.4在密码学中，满足“给定哈希值无法反推输入”的性质称为________抗性。答案：预像3.5在OWASPTop102021中，排名首位的风险类别是________。答案：访问控制失效（BrokenAccessControl）3.6在Linux中，使用________命令可查看当前进程的capabilities位图。答案：getpcaps3.7在BGP报文中，用于维持邻居关系的报文类型缩写为________。答案：KEEPALIVE3.8在Android应用签名方案v3中，新增支持的功能是________签名。答案：密钥轮换（keyrotation）3.9在Nmap中，用于进行UDP端口扫描的参数为________。答案：sU3.10在SQLServer中，开启________审计规范可记录登录失败事件。答案：服务器级（serveraudit）3.11在密码协议中，________攻击指攻击者通过延迟或重放消息影响协议状态。答案：延迟（或时序）重放3.12在Wireshark显示过滤器中，过滤HTTP状态码为404的表达式为________。答案：http.response.code==4043.13在KubernetesRBAC中，________角色作用于整个集群范围。答案：ClusterRole3.14在SM2数字签名算法中，使用的椭圆曲线名称为________。答案：SM2P256V13.15在WindowsDefender中，事件ID________表示检测到勒索软件行为。答案：11163.16在IPv6地址中，前缀________用于本地链路地址。答案：FE80::/103.17在Linux文件权限中，设置SUID位对应的八进制数字为________。答案：40003.18在渗透测试中，用于快速查找S3公开Bucket的工具名称为________。答案：S3Scanner（或s3enum）3.19在密码哈希存储中，________算法专门设计用于抵抗GPU并行计算。答案：Argon23.20在风险评估矩阵中，风险等级=________×________。答案：可能性；影响（顺序可换）4.简答题（每题6分，共30分）4.1简述TLS1.3与TLS1.2在握手延迟上的差异，并说明为何能实现1RTT。答案：TLS1.2完整握手需2RTT：客户端发送ClientHello，服务器返回ServerHello、Certificate、ServerHelloDone；客户端验证证书后发送ClientKeyExchange、ChangeCipherSpec、Finished；服务器再回Finished。TLS1.3将证书与密钥交换合并到ServerHello后的加密扩展，且默认使用ECDHE，客户端在第一条消息中已携带临时公钥，服务器在第二条消息中返回加密证书与完成验证，实现1RTT。对于重复访问，PSK模式可0RTT。4.2说明利用“DLL搜索顺序劫持”实现持久化的步骤，并给出两条防御建议。答案：步骤：1）在应用启动目录或系统PATH靠前位置放置恶意DLL，同名导出合法函数并转发；2）应用启动时按搜索顺序优先加载恶意DLL，执行DllMain植入后门；3）恶意DLL加载后转发原始函数，保证业务正常，实现隐蔽持久化。防御：a.启用SafeDllSearchMode，将当前目录置于系统目录之后；b.使用绝对路径加载DLL，并通过WinVerifyTrust验证签名。4.3列举三种容器逃逸利用的Linux内核子系统，并给出对应CVE示例。答案：1）内存子系统：CVE20220847（DirtyPipe）通过管道写只读文件实现提权；2）文件系统：CVE202141089（overlayfsfuseupcall）通过FUSE触发宿主机执行；3）cgroups：CVE2022049（cgrouprelease_agent）通过notify_on_release写入宿主机路径执行命令。4.4说明“零知识证明”在隐私身份认证中的应用场景，并举一工程实例。答案：场景：用户向服务方证明其拥有某属性（如年龄>18）而不泄露具体出生日期。工程实例：Zcash使用zkSNARK证明交易合法却不暴露发送方、接收方及金额；身份场景如DID协议中，用户利用zkproof向RelyingParty证明“属于某国公民”而不暴露身份证号。4.5概述“左移安全”在DevSecOps中的具体实践，并说明其商业价值。答案：左移安全指将安全活动前移到需求、设计、编码阶段。实践：1）需求阶段用威胁建模工具（如MicrosoftThreatModeling）识别风险；2）编码阶段集成SAST/SCA插件，实时阻断高危组件；3）构建阶段强制镜像签名与漏洞扫描，失败即拒绝发布。价值：减少后期修复成本，NIST统计生产阶段修复成本是设计阶段的30倍；同时缩短交付周期，提升合规通过率，降低品牌风险。5.应用题（共30分）5.1综合计算题（10分）某企业部署Web服务，历史数据显示：–年均外部攻击次数ARO=120次；–单次攻击成功概率EF=5%；–成功后可窃取数据，单次平均损失AV=50万元；–现拟部署WAF，可将成功概率降至0.5%，年成本CO=8万元。求：1）部署前年度预期损失ALE1；2）部署后ALE2；3）计算ROI并给出投资建议。答案：1）ALE1=ARO×EF×AV=120×0.05×50=300万元2）ALE2=120×0.005×50=30万元3）ROI=(ALE1–ALE2–CO)/CO=(300–30–8)/8=262/8=32.75结论：ROI>0且高达32.75，建议投资。5.2协议分析题（10分）给出一段Base64编码的HTTPS流量ClientHello（已解密）：`1603030065010000610303603d0a849e13226d8b5c0d651f58204d6573736167652d5468656f727900000a00160014001700180019001a`问题：1）指出TLS版本；2）提取随机数字段并写出十六进制；3）判断握手类型；4）若服务器强制要求TLS1.3，应如何回应？答案：1）版本号0x0303表示TLS1.2；2）随机数共32字节，从第11字节起：`603d0a849e13226d8b5c0d651f58204d6573736167652d5468656f727900000a`；3）第6字节0x01表示ClientHello；4）服务器回复ProtocolVersion警报0x46（AlertLevel2,Description70:protocol_version）并断开。5.3应急响应分析题（10分）主机日志发现：–系统进程lsass.exe异常出站连接至IP5:443；–注册表Run键新增“RuntimeBroker”指向%AppData%\svchost.exe；–文件svchost.exe数字签名无效，编译时间为当前时间；–网络流量中检测到大量HTTPS请求，TLS握手JA3指纹为a0e9f5d64349fb13191bc6f92e5d972c。问题：1）给出攻击阶段划分；2）写出两条临时遏