2025年网络安全与信息保护考试题及答案

2025年网络安全与信息保护考试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.我国《个人信息保护法》正式施行的日期是（）A.2020年10月1日 B.2021年1月1日 C.2021年11月1日 D.2022年3月1日答案：C2.在SSL/TLS握手阶段，用于协商对称加密密钥的报文是（）A.ClientHello B.ServerHello C.Certificate D.ClientKeyExchange答案：D3.以下哪项不是OWASPTop102021新增的风险类别（）A.失效的访问控制 B.加密失败 C.服务端请求伪造 D.不足的日志与监控答案：D（该风险在2017版已存在）4.关于AESGCM模式，下列描述正确的是（）A.仅提供机密性 B.仅提供完整性 C.同时提供机密性与完整性 D.需要额外HMAC答案：C5.根据《网络安全法》，关键信息基础设施运营者采购网络产品或服务可能影响国家安全的，应当通过（）A.等保测评 B.风险评估 C.安全审查 D.渗透测试答案：C6.在Linux系统中，用于限制用户进程资源使用的文件是（）A./etc/fstab B./etc/security/limits.conf C./etc/passwd D./etc/shadow答案：B7.以下关于零信任架构的核心原则，错误的是（）A.永不信任，持续验证 B.默认授权内网流量 C.最小权限访问 D.微分段答案：B8.在密码学中，满足“相同明文产生不同密文”性质的模式称为（）A.ECB B.CBC C.CTR D.GCM答案：B（需配合IV实现语义安全）9.某网站使用JWT作为会话令牌，若仅将签名算法设为“none”，则攻击者可以（）A.爆破密钥 B.伪造令牌 C.重放令牌 D.降级加密答案：B10.根据GB/T222402020，等级保护对象受到破坏后对社会秩序和公共利益造成特别严重损害的，应定为（）A.第二级 B.第三级 C.第四级 D.第五级答案：C11.在Windows事件日志中，成功登录事件的ID为（）A.4624 B.4625 C.4648 D.4672答案：A12.以下哪种技术可有效防御DNS劫持（）A.DNSSEC B.EDNS C.Anycast D.CDN答案：A13.关于国密算法SM2，下列说法正确的是（）A.分组长度为128位 B.基于椭圆曲线离散对数难题 C.属于对称加密 D.密钥长度为112位答案：B14.在Kubernetes中，用于限制容器CPU使用量的资源字段是（）A.requests.cpu B.limits.cpu C.maxSurge D.maxUnavailable答案：B15.以下哪项不是社会工程学攻击的常见手段（）A.鱼叉钓鱼 B.预文本 C.水坑攻击 D.SQL注入答案：D16.在IPSec中，负责提供数据源身份认证的协议是（）A.AH B.ESP C.IKE D.ISAKMP答案：A17.根据《数据安全法》，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞时，应当立即（）A.删除数据 B.向公安机关报案 C.采取补救措施 D.停止运营答案：C18.在渗透测试中，用于快速识别子域名的工具是（）A.sqlmap B.sublist3r C.hydra D.mimikatz答案：B19.关于差分隐私，下列描述正确的是（）A.通过添加确定性噪声保护隐私 B.任意查询都不会泄露个体信息 C.隐私预算ε越大，隐私保护越强 D.可实现对个体记录的不可区分性答案：D20.在Git版本库中，彻底从历史记录中删除敏感文件应使用（）A.gitrm B.gitreset C.gitfilterrepo D.gitstash答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于对称加密算法（）A.SM4 B.ChaCha20 C.RSA D.3DES E.ECC答案：A、B、D22.关于HTTP严格传输安全（HSTS），下列说法正确的是（）A.通过响应头字段StrictTransportSecurity实现 B.可阻止协议降级攻击 C.首次访问即可生效，无需事先安全访问 D.可包含includeSubDomains参数 E.预加载列表可缓解首次访问问题答案：A、B、D、E23.以下哪些措施可有效降低勒索软件风险（）A.定期离线备份 B.启用宏脚本自动运行 C.部署EDR终端检测响应 D.网络分段 E.员工安全意识培训答案：A、C、D、E24.在Android应用逆向中，常用于加壳保护的技术有（）A.DEX加密 B.SO动态加载 C.JNI反调试 D.代码混淆 E.SQLCipher答案：A、B、C、D25.根据《关键信息基础设施安全保护条例》，下列单位可能被认定为关键信息基础设施运营者的有（）A.大型商业银行 B.省级政务云平台 C.三甲医院 D.大型电商平台 E.民用机场答案：A、B、D、E26.关于区块链的安全特性，下列说法正确的有（）A.不可篡改性依赖哈希链 B.51%攻击可逆转交易 C.智能合约漏洞可导致资产损失 D.公链交易默认完全匿名 E.侧链机制可能引入新风险答案：A、B、C、E27.以下哪些日志源可用于APT攻击溯源（）A.Proxy日志 B.DNS日志 C.邮件网关日志 D.主机EDR日志 E.门禁刷卡记录答案：A、B、C、D28.在云原生安全中，符合“安全左移”理念的做法有（）A.CI阶段集成SAST B.镜像仓库部署准入策略 C.生产环境运行时RASP D.基础设施代码化扫描 E.单元测试覆盖安全用例答案：A、B、D、E29.关于同态加密，下列说法正确的有（）A.可在加密数据上直接计算 B.RSA属于全同态加密 C.BFV方案支持整数运算 D.性能开销大 E.可用于隐私计算场景答案：A、C、D、E30.以下哪些属于《个人信息保护法》规定的敏感个人信息（）A.宗教信仰 B.精确地理位置轨迹 C.购物记录 D.医疗健康信息 E.银行账户答案：A、B、D、E三、填空题（每空1分，共20分）31.在Linux系统中，查看当前监听TCP端口的命令是________。答案：ss–lnt32.SHA256输出的摘要长度为________位。答案：25633.我国商用密码算法SM3的摘要长度为________字节。答案：3234.在IPv6中，用于本地链路通信的地址前缀为________。答案：fe80::/1035.OWASP推荐用于防止SQL注入的首要防御措施是________查询。答案：参数化（或预编译）36.在Windows中，用于查看当前登录用户安全令牌的命令是________。答案：whoami/all37.根据《网络安全审查办法》，运营者申报审查需在采购协议正式签署前________个工作日内提交。答案：1038.在PKI体系中，负责签发CRL的机构称为________。答案：CA（证书颁发机构）39.用于衡量入侵检测系统误报率的指标是________率。答案：假阳（FalsePositive）40.在Kubernetes中，默认禁止容器获取宿主机网络空间的策略对象名称是________。答案：PodSecurityPolicy（或新版OPAGatekeeper）41.当使用scapy发送SYN包并收到SYN+ACK，则端口状态为________。答案：open42.在密码学中，满足“给定密钥可公开，加密私钥保密”的算法称为________密码体制。答案：非对称（或公钥）43.根据ISO/IEC27001，信息安全管理体系建设的第一步是进行________分析。答案：风险评估44.在AndroidManifest.xml中声明应用所需权限的标签为________。答案：<usespermission>45.用于隐藏内部网络拓扑的防火墙技术称为________。答案：NAT（网络地址转换）46.在日志分析中，将不同源日志时间统一到UTC需进行时区________。答案：归一化（或标准化）47.我国《数据出境安全评估办法》规定，处理个人信息达到________万人以上的，应申报评估。答案：10048.在GitHub中，用于扫描仓库是否泄露密钥的自带功能是________。答案：secretscanning49.在TLS1.3中，已废弃的密钥交换算法是________。答案：RSA静态密钥交换50.用于快速验证文件完整性的命令行工具常用哈希算法参数为________。答案：sha256sum四、简答题（每题6分，共30分）51.简述缓冲区溢出攻击的原理，并给出两种防御措施。答案：原理：程序向固定长度缓冲区写入超出其容量的数据，覆盖相邻栈或堆内存，导致控制流劫持。防御：1.启用编译器栈保护（StackCanary）；2.部署地址空间布局随机化（ASLR）；3.使用安全函数如fgets替代gets；4.开启数据执行保护（DEP/NX）。（答出任意两点即可，每点3分）52.说明数字签名与消息认证码（MAC）在密钥使用上的区别，并指出各自适用的典型场景。答案：数字签名使用非对称密钥对，私钥签名、公钥验证，提供不可否认性，适用于电子合同、软件发布；MAC使用对称密钥，通信双方共享密钥，仅提供完整性与源认证，适用于内部API通信、TLS记录层。（区别3分，场景3分）53.概述勒索软件“双重勒索”模式的特点，并给出企业级应急响应关键步骤。答案：特点：加密数据前先窃取敏感信息，以公开数据为额外要挟。步骤：1.立即隔离感染主机与网络；2.保护现场，创建内存与磁盘镜像；3.通知监管与利益相关方；4.评估备份完整性与解密可行性；5.决定是否支付赎金并记录决策依据；6.复盘改进防御。（特点2分，步骤答出4点即得4分）54.解释Kubernetes中“ServiceAccountToken”自动挂载可能带来的风险，并给出安全加固方案。答案：风险：默认自动挂载JWT到Pod，若应用存在RCE可被攻击者窃取，进而调用APIServer横向移动。加固：1.在Podspec设置automountServiceAccountToken=false；2.使用TokenRequestAPI获取短期令牌；3.启用RBAC最小权限；4.开启AuditLog监控异常调用。（风险3分，方案3分）55.说明差分隐私中“隐私预算ε”的含义，并分析ε过大或过小的影响。答案：ε表示隐私损失上限，控制输出结果对单条记录变化的敏感程度。ε过大：噪声小，数据效用高，但隐私保护弱；ε过小：噪声大，隐私保护强，但查询结果失真，分析价值降低。（含义3分，影响3分）五、综合应用题（共60分）56.密码协议分析与设计（15分）某在线医疗系统采用手机号+短信验证码登录，验证码6位数字，有效期5分钟，接口未限速。（1）指出该机制存在的两种主要安全风险（4分）（2）给出利用脚本进行暴力破解的关键伪代码（4分）（3）设计改进方案，要求兼顾安全与用户体验（7分）答案：（1）1.验证码空间仅10^6，5分钟内可爆破；2.接口无速率限制，可并发请求。（2）伪代码：forcodeinrange(000000,999999): resp=post("/login",{"phone":,"code":f"{code:06d}"}) if"success"inresp.text:print(code);break（3）改进：1.验证码错误3次后冻结账号15分钟；2.图形验证码前置防自动化；3.验证码有效期缩短至2分钟；4.采用6位字母数字混合，空间提升至62^6；5.推送防钓鱼提示；6.增加设备指纹风控；7.对高频IP封禁。（每点1分，答出7点得7分）57.日志溯源与取证（15分）某日深夜，公司GitLab服务器出现异常仓库删除。现有以下日志片段：2025030902:15:332001:db8::5"DELETE/api/v4/projects/42"20246"""pythonrequests/2.31.0"2025030902:15:402001:db8::5"POST/api/v4/projects"20111234"""pythonrequests/2.31.0"2025030902:16:012001:db8::5"PUT/api/v4/projects/43/repository/files/ransom.md"200234"""pythonrequests/2.31.0"（1）指出攻击者可能的操作序列（4分）（2）说明如何定位该IPv6地址对应的内网主机（3分）（3）给出恢复被删仓库的完整步骤（4分）（4）提出防止同类事件的技术与管理措施（4分）答案：（1）先删除原仓库，再新建空仓库，最后上传勒索留言。（2）查询同一时段的DHCPv6日志或SLAAC表，结合交换机MAC表定位端口。（3）1.立即冻结GitLab写入；2.从离线备份恢复/var/opt/gitlab/gitdata/repositories/@hashed/…；3.对比删除前一天的Grafana监控快照确认一致性；4.通知用户强制拉取最新镜像。（4）技术：1.启用GitLab审计日志与Geo备份；2.对API启用IP白名单+个人访问令牌最小权限；3.部署Webhook实时镜像到只读Gitea。管理：1.双因子认证；2.仓库删除需双人审批；3.定期灾备演练。（每点1分）58.网络流量分析（15分）公司IDS告警：外网IP对内网Web服务器持续发送POST请求，URI为“/upload.php”，ContentType含“multipart/formdata”，数据部分出现“<?phpeval($_POST[cmd]);?>”。（1）判断攻击类型与危害（3分）（2）给出提取并重构恶意文件的流量分析命令（tshark）（4分）（3）若服务器已返回200且正文为“OK”，后续如何排查Webshell落地路径（4分）（4）给出清理与加固方案（4分）答案：（1）Web文件上传GetShell，可获取服务器控制权限。（2）tshark–rcapture.pcap–Y'http.requestandip.addr=='–Tfieldsetext|foremosti–（3）1.查找24小时内新增PHP文件：find/var/www–name".php"–mtime1–execgrep–leval{}\;2.使用inotify日志定位写入；3.对比Git基准目录，找差异。（4）1.立即下线服务器；2.通过备份镜像重装；3.上传接口增加MIME白名单与文件头魔数检查；4.部署WAF规则拦截eval；5.启用PHPopen_basedir限制目录；6.对upload目录禁止PHP执行。（每点1分，答出4点即可）59.数据出境合规评估（15分）某大型网约车平台每日向境外总部传输司机人脸与行程录音，数据量约2TB，涉及个人信息超过120万人。（1）指出适用的我国法规条款（3分）（2）列出必须通过的安全评估流程（4分）（3）设计数据跨境传输的技术方案，满足“最小必要”与“可追溯”要求（4分）（4）若总部要求原始音频用于AI训练，如何合法实现（4分）答案：（1）《个人信息保护法》第38条、《数据出境安全评估办法》第4条。（2）1.自评估形成报告；2.省级网信部门申报；3.国家网信部门组织评估；4.获得评估结果通知书；5.按证书有效期续评。（3）技术：1.边缘网关先进行声纹特征提取，仅上传128维向量；2.使用国密SM4加密，密钥托管在境内KMS；3.建立数据出境日志，记录设备ID、时间、哈希，留存3年；4.通过专线IPSecVPN，启用双向证书认证。（4）1.取得司机单独同意，告知AI训练目的；2.对音频进行差分隐私加噪；3.与总部签署标准合同，约定仅用于模型训练，不用于用户画像；4.在境外部署数据沙箱，模型训练后删除原始数据，由第三方审计机构出具报告。（每点1分）六、计算与案例设计题（共30分）60.密码学计算（10分）已知RSA公钥（e=65537,n=143），私钥p=11，q=13。（1）计算φ(n)（2分）（2）求私钥指数d（3分）（3）若明文m=7，求密文c（2分）（4）简述为何实际应用中n必须大于2048位（3分）答案：（1）φ(n)=(p1)(q1)=10×12=120（2）d≡e^(1)mo