2026年网络安全策略权限试卷

2026年网络安全策略权限试卷一、单项选择题（每题2分，共30分）1.2026年主流零信任架构中，对“设备信任”评估影响最小的指标是A.操作系统补丁级别B.设备地理位置C.最近一次漏洞扫描得分D.设备证书有效期剩余天数答案：B解析：零信任强调“永不信任、持续验证”，地理位置仅作为上下文信号，权重远低于补丁、漏洞、证书等硬指标。2.在Kubernetes1.32环境中，若要阻止特权容器启动，最适合的准入控制器是A.NodeRestrictionB.PodSecurityC.ResourceQuotaD.AlwaysPullImages答案：B解析：PodSecurity（原PodSecurityPolicy继任者）可直接限制privileged、hostPID、hostNetwork等高危字段。3.某企业采用OAuth2.1+PKCE流程，授权码被拦截后，攻击者仍无法换取令牌的主要原因是A.缺少client_secretB.缺少code_verifierC.缺少redirect_uriD.缺少scope答案：B解析：PKCE在授权码之外额外校验code_verifier，拦截者无此随机值即无法通过令牌端点。4.2026年NISTSP800-53Rev6新增的控制项“SC-51”关注A.抗量子加密迁移B.生成式AI训练数据净化C.太空资产供应链D.6G核心网切片隔离答案：B解析：Rev6首次将AI训练数据安全纳入正式控制，编号SC-51。5.在WindowsServer2026的WDAC（AppLocker继任者）策略中，用于限制“仅允许由特定CI证书签名的.NETAOT二进制”运行的规则级别是A.PublisherB.FilePathC.FileHashD.PackageFamilyName答案：A解析：Publisher规则可匹配CI证书+版本号，适合AOT场景。6.某SDP控制器使用mTLS+JWT做双向认证，若JWT的“jti”字段重复，最可能触发A.重放检测B.时钟漂移C.证书吊销D.密钥轮换答案：A解析：jti为JWT唯一标识，SDP网关缓存后可直接拒绝重复值。7.2026年主流浏览器已默认启用“分区Cookie”（CHIPS），以下关于其说法错误的是A.同一顶级域下的不同子域仍共享分区B.分区键由(top-level-site,frame-site)二元组决定C.可阻止跨站点跟踪D.与SameSite=None兼容答案：A解析：分区键独立到三级域，子域不再共享。8.在Linux6.12内核中，能同时实现文件系统级加密与完整性且支持fs-verity的算法组合是A.AES-256-XTS+SHA-256B.ChaCha20-Poly1305C.AES-256-GCMD.BLAKE3答案：B解析：ChaCha20-Poly1305提供AEAD，内核6.12已支持fs-verityinlineintegrity。9.某企业采用eBPF-based微隔离，若要对进出容器的TCPSYN包做策略判决，应挂载的程序类型是A.BPF_PROG_TYPE_CGROUP_SOCK_ADDRB.BPF_PROG_TYPE_SK_MSGC.BPF_PROG_TYPE_FLOW_DISSECTORD.BPF_PROG_TYPE_KPROBE答案：A解析：CGROUP_SOCK_ADDR可在connect/accept时获取五元组并返回判决。10.2026年PCIDSSv5.0将“持卡人数据环境”重新定义为A.所有包含CHD的系统B.所有可路由到CHD的系统C.所有与CHD共享同一物理主机的系统D.所有与CHD共享同一虚拟化集群的系统答案：B解析：v5.0引入“可路由性”概念，缩小范围但提高精度。11.在AWS2026新发布的IAMIdentityCenter“会话隔离”功能中，默认的会话生存期硬上限为A.12小时B.24小时C.7天D.不可配置，强制1小时答案：A解析：2026版把硬上限从7天缩短到12小时，降低横向移动窗口。12.某安卓15设备启用“内存标签扩展”（MTE）后，可防止的攻击类型是A.缓冲区溢出B.竞态条件C.符号链接竞争D.权限提升答案：A解析：MTE通过标签检查阻止越界读写。13.在2026年主流SOAR平台中，用于“AI辅助剧本优化”的核心算法是A.深度Q网络（DQN）B.贝叶斯优化C.遗传算法D.蒙特卡洛树搜索答案：B解析：贝叶斯优化在超小样本下可快速收敛，适合剧本参数调优。14.某企业使用SM4-GCM算法保护东西向流量，其IV长度应为A.64位B.96位C.128位D.256位答案：B解析：GCM模式标准IV为96位，SM4无例外。15.2026年ISO/IEC27001:2026新增“AI治理”条款，其中对“模型卡”要求保存的最短时间为A.模型生命周期+3年B.系统退役后5年C.与日志同等保存期D.无强制要求答案：A解析：模型卡被视为关键文档，需随模型保存并延长3年。二、多项选择题（每题3分，共30分，多选少选均不得分）16.以下哪些技术可有效缓解“AI模型窃取”攻击A.梯度混淆B.水印注入C.差分隐私D.输入预处理降噪答案：A、B、C解析：梯度混淆增加查询成本；水印可事后溯源；差分隐私降低过拟合泄露。17.在2026年NIST后量子算法遴选第三轮中，以下哪些密钥封装机制进入标准化最终集A.ML-KEM（Kyber）B.ML-KEM-1024C.BIKED.HQC答案：A、B解析：ML-KEM已正式标准化，1024为安全等级5；BIKE、HQC落选。18.某企业部署SASE3.0，其“零信任数据平面”包含A.用户层身份代理B.设备层安全代理C.网络层可编程交换机D.应用层微代理答案：A、B、D解析：可编程交换机属于控制面，数据平面由代理完成。19.以下关于2026年主流机密计算（TEE）说法正确的是A.IntelTDX支持虚拟机级TEEB.AMDSEV-SNP支持内存完整性C.ARMCCA支持Realm动态内存扩展D.RISC-V暂无标准TEE扩展答案：A、B、C解析：RISC-V已发布TEE工作组草案，D错误。20.在2026年主流容器镜像签名规范中，支持的签名格式有A.JWS（JSONWebSignature）B.DSSE（DeadSimpleSigningEnvelope）C.COSE（CBORObjectSigningandEncryption）D.PKCS#7答案：A、B、C解析：PKCS#7已淘汰，Sigstore仅支持JWS、DSSE、COSE。21.某企业采用“同态加密+可信执行环境”混合方案，以下场景适合全同态加密而非TEE的是A.对加密数据库做LIKE查询B.对加密图像做人脸识别C.对加密模型做在线推理D.对加密日志做正则匹配答案：A、D解析：LIKE、正则属于布尔电路，深度浅，适合FHE；人脸识别深度大，TEE更实际。22.2026年主流XDR平台中，用于“行为链重构”的数据源包括A.eBPF事件B.ETW（EventTracingforWindows）C.OT日志D.物理侧信道答案：A、B、C解析：侧信道不在XDR采集范围。23.以下关于2026年主流“量子密钥分发”（QKD）说法正确的是A.采用BB84协议需对光源做诱骗态调制B.测量设备无关QKD可免疫所有探测器攻击C.商用QKD最大无中继距离已达800kmD.QKD与IPSec可结合形成QKD-IKE答案：A、B、D解析：800km需中继，C错误。24.某企业采用“安全访问服务边缘”（SASE）+“微分段”混合架构，以下哪些流量需强制走SASEPOPA.Office365访问B.生产网到测试网SSHC.访客Wi-Fi到互联网D.数据中心内VM到VM数据库答案：A、C解析：生产到测试、VM到VM走微分段，不强制POP。25.在2026年主流“零信任成熟度模型”中，达到“自适应”级别必须实现A.持续信任评分B.动态策略编排C.全链路可观测D.静态ACL基线答案：A、B、C解析：静态ACL属于“初始”级别。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）26.2026年主流浏览器已移除对TLS1.1的支持。答案：√27.在WindowsServer2026中，WDAC策略优先级低于AppLocker。答案：×解析：WDAC为内核级，优先级高于AppLocker。28.2026年发布的Linux内核已内置对SM2/SM3/SM4的国密算法支持。答案：√29.2026年主流公有云已默认启用“后量子密钥交换”算法。答案：×解析：仅试点，未默认。30.在2026年NISTSP800-207A中，零信任被定义为“一种架构，而非单一产品”。答案：√31.2026年安卓15已移除对32位应用的支持。答案：×解析：仅限制上架，仍可侧载。32.2026年主流SOAR平台已支持“自然语言生成剧本”功能。答案：√33.2026年主流EDR已内置“内存取证”模块，无需额外采集工具。答案：√34.2026年PCIDSSv5.0将“密码长度”最低要求提高到12位。答案：×解析：仍为8位，但强制复杂度。35.2026年主流容器运行时已默认启用“用户命名空间”隔离。答案：√四、填空题（每空2分，共20分）36.2026年主流零信任参考架构中，将“身份、设备、网络、应用、数据”五维统一抽象为________空间。答案：多维信任向量37.在2026年发布的TLS1.3扩展草案中，用于支持“后量子密钥交换”的扩展名为________。答案：pq_kex38.2026年主流机密计算框架中，用于验证TEE完整性的远程证明协议通常基于________技术。答案：DSA签名+TPMQuote39.2026年主流XDR平台中，用于描述“攻击者从初始访问到数据泄露平均耗时”的指标缩写为________。答案：MTTD40.在2026年主流容器安全扫描工具中，用于检测“恶意包混淆”的核心算法是________。答案：AST抽象语法树+熵值分析41.2026年主流SASE3.0架构中，用于实现“动态微隔离”的控制平面协议通常采用________。答案：OpenPolicyAgent+OPA-ISTIO42.2026年主流安卓15中，用于防止“界面劫持”的系统级API为________。答案：setHideOverlayWindows43.2026年主流RASP解决方案中，用于检测“反序列化”攻击的钩子点为________。答案：ObjectInputStream.resolveClass44.2026年主流IAM平台中，用于实现“持续自适应信任”的引擎通常基于________算法。答案：风险评分贝叶斯网络45.2026年主流量子随机数发生器中，用于消除“经典噪声”的后处理算法为________。答案：Toeplitz哈希提取器五、简答题（每题10分，共30分）46.简述2026年主流“零信任数据平面”三层架构，并给出每层的关键技术组件。答案：（1）用户层：终端安全代理（ESA），基于eBPF+SDP实现设备信任评估与隧道自愈；（2）应用层：微代理（Sidecar），通过mTLS+JWT+OPA完成细粒度授权；（3）网络层：可编程数据面包裹（PDP），利用P4可编程芯片实现线速加密与标签转发。47.说明2026年主流“后量子迁移”五步法，并给出每步的验收标准。答案：（1）资产清点：100%识别使用公钥算法的系统；（2）风险评估：按NISTPQRA模板输出CVSS≥7的清单；（3）候选算法选型：优先ML-KEM、ML-DSA、SLH-DSA；（4）混合部署：TLS1.3+PQKEX并行运行，流量降级≤0.5%；（5）完全切换：监控24周无异常后关闭经典算法。48.给出2026年主流“AI模型水印”嵌入与提取流程，并说明抗攻击能力。答案：嵌入：在模型最后一层全连接权重加入伪随机±Δ，Δ服从N(0,σ²)，σ=0.001·||W||₂；提取：对可疑模型进行相同随机种子重训练，计算相关性ρ，ρ≥0.7判定侵权；抗攻击：对剪枝、微调、量化保持ρ≥0.5；对重训练≥50%神经元替换失效。六、综合计算题（共30分）49.某企业2026年采用“量子密钥分发+一次一密”保护核心数据库，QKD链路参数如下：光纤衰减系数α=0.2dB/km探测器效率η=0.3误码率QBER=2%纠错算法效率f=1.2隐私放大压缩因子τ=−log₂[(1−QBER)−f·h₂(QBER)]其中h₂(p)=−plog₂p−(1−p)log₂(1−p)。（1）给出τ的表达式并计算τ值；（8分）（2）若链路长度L=120km，发射端重复频率f_rep=1GHz，脉冲平均光子数μ=0.1，计算siftedkey速率R_s；（10分）（3）若最终密钥需保留1Mbps用于一次一密加密，判断该QKD系统是否满足，并给出冗余或缺口。（12分）答案与解析：（1）τ=−log₂[(1−0.02)−1.2·h₂(0.02)]h₂(0.02)=−0.02log₂0.02−0.98log₂0.98≈0.1415τ=−log