2026年信息科安全应急试卷

2026年信息科安全应急试卷一、单项选择题（每题2分，共20分）1.某单位在凌晨2点发现核心数据库被加密，文件扩展名统一变为.locked，桌面出现勒索提示。以下最先应执行的应急动作是A.立即支付赎金以争取时间B.断开该服务器所在网段的所有交换机端口C.对加密文件做hash并上传云沙箱D.通知公关部门准备声明答案：B解析：勒索软件处于横向移动期时，首要任务是遏制扩散。断开网络可阻止加密进程继续感染其他主机，为后续溯源、取证、恢复争取时间。2.在WindowsServer2025中，若需实时拦截进程对LSASS内存的读取，应优先启用的原生防护组件是A.CredentialGuardB.HVCIC.AttackSurfaceReductionD.WindowsSandbox答案：A解析：CredentialGuard通过VBS隔离LSASS，阻止Mimikatz等工具直接读取哈希，属于第一道内存防线。3.某企业采用零信任架构，所有流量强制通过SDP网关。员工A在家使用公司笔记本，通过浏览器访问内部GitLab。以下哪项最能降低SDP网关单点失效带来的业务中断风险A.在笔记本本地部署缓存代理B.为SDP网关配置AnycastIP并启用多活集群C.将GitLab暴露在公网并启用HTTPSD.让员工A使用IPSec直连内网答案：B解析：Anycast+多活可实现网关级冗余，单节点故障时流量自动绕行，符合零信任高可用要求。4.2025年11月，Linux内核爆出的“StackRot”漏洞利用的是A.内存页的写时复制逻辑B.栈扩展过程中的vma合并缺陷C.eBPF验证器边界检查缺失D.io_uring事件环竞争条件答案：B解析：StackRot发生在栈段扩展时，内核错误合并VMA，导致普通进程可获得写执行权限。5.某云函数（Lambda）运行时被人植入挖矿木马，云审计日志显示调用方来自临时AK/SK。最可能泄露AK/SK的途径是A.函数代码仓库的README.mdB.打包进函数的依赖库中存在恶意包C.函数环境变量被误设为公有读取D.云控制台开启MFA导致密钥重放答案：C解析：环境变量若被赋予公有读取权限，任何拥有云账号只读权限的主体均可拉取，导致密钥泄露。6.在OT网络中，工程师站对PLC下发固件更新时应优先采用的安全机制是A.TFTP+MD5校验B.串口XMODEMC.基于IEC-62351的TLS加密通道D.通过U盘人工搬运答案：C解析：IEC-62351提供针对电力系统通信的TLS扩展，可抵御中间人、重放、篡改，适合OT场景。7.2026年1月起施行的《数据跨境流动安全评估办法》要求，出境数据超多少条个人敏感信息需申报评估A.1万B.5万C.10万D.50万答案：C解析：办法第十条明确，敏感个人信息超10万条需向省级以上网信部门申报。8.某单位采用NIST800-61r3应急流程，在“Containment,Eradication,Recovery”阶段，最先应完成的是A.全盘打补丁B.收集易失性内存镜像C.关闭被攻陷账号D.更新防火墙规则答案：B解析：进入CER阶段前需确保证据完整，内存镜像最易消失，应最先收集。9.在Kubernetes1.32集群中，为防止容器逃逸到宿主机，以下哪项准入控制器最能直接阻断特权容器创建A.PodSecurityPolicyB.PodSecurityStandardsC.OPAGatekeeperD.ImagePolicyWebhook答案：B解析：PodSecurityStandards（baseline、restricted）在v1.32已内置，restricted模板禁止privileged=true，无需额外CRD。10.某企业采用5G专网+UPF下沉，MEC平台运行AI质检。若需防止UPF被伪基站劫持，应优先开启的安全特性是A.5GAKA双向鉴权B.SUCI加密C.SecondaryAuthenticationforPDUSessionD.IMSICatchersBlacklist答案：C解析：SecondaryAuthentication在PDU会话层对终端进行二次EAP-TLS，确保UPF只接受合法会话。二、多项选择题（每题3分，共15分）11.以下哪些做法可有效降低AI模型供应链投毒风险A.对训练数据做cosine相似度聚类检测异常样本B.使用Sigstore对模型权重进行签名与透明日志C.在CI流水线中启用ModelCard验证D.将模型权重存储在公共镜像仓库并设置public读写E.采用差分隐私对梯度加噪答案：A、B、C、E解析：公共仓库公开写权限会放大投毒面，D为负面选项。12.关于量子计算对现有公钥体系的威胁，下列说法正确的有A.Shor算法可在多项式时间内分解RSA模数B.Grover算法可将AES-128有效密钥长度降至64比特C.2026年NIST已标准化的ML-KEM（Kyber）属于基于哈希的签名D.采用“混合密钥交换”可在过渡期内提升前向保密E.中国“祖冲之”超导量子计算机已宣称实现RSA-2048破解答案：A、B、D解析：ML-KEM为格密钥封装，非哈希签名；祖冲之官方未发布RSA破解实例。13.在工业防火墙部署中，针对ModbusTCP协议，可配置的深层防护策略包括A.功能码白名单B.寄存器地址范围限制C.线圈值强制掩码D.协议完整性时间戳E.基于DPI的梯形图语义分析答案：A、B、C、E解析：Modbus无原生时间戳字段，D不可行。14.以下哪些日志源可用于检测Kerberoasting攻击A.WindowsEventID4768（TGT请求）B.EventID4769（TGS请求）C.EventID4771（Kerberos预认证失败）D.流量中SPN字段与RC4加密类型同时出现E.LDAP绑定日志中的ServiceName字段答案：B、D解析：Kerberoasting核心为请求RC4加密的TGS票据，4769可观测SPN与加密类型。15.关于云原生安全，以下哪些措施能够缓解容器镜像投毒A.在CI阶段使用Trivy扫描CVE与CIS基准B.启用镜像签名策略，部署时验签C.采用distroless镜像减少攻击面D.将Dockerfile中的apkadd改为apt-get以提升安全E.使用cosignattachSBOM并验证答案：A、B、C、E解析：包管理器差异与投毒无直接关系，D为干扰项。三、判断题（每题1分，共10分）16.2026年发布的HTTP/3RFC最终版本强制要求TLS1.3。答案：正确解析：QUIC底层必须TLS1.3，HTTP/3基于QUIC。17.在Linux中，启用LockdownLSM后，即使拥有root权限也无法加载未签名的内核模块。答案：正确解析：LockdownLSMintegrity模式会拒绝unsignedmodule，防止恶意insmod。18.使用ChaCha20-Poly1305比AES-GCM在ARMv9处理器上能耗更高。答案：错误解析：ARMv9内置AES指令集，但ChaCha20为纯ARX操作，无硬件加速时反而能耗低。19.零信任模型下，VPN隧道被视为默认可信区域。答案：错误解析：零信任默认“永不信任”，VPN仅提供加密通道，不降低认证与授权强度。20.对于OT环境中的PLC，固件数字签名验证可在上电自检阶段完成。答案：正确解析：现代PLC启动时内置BootROM验签，失败则拒绝加载。21.2026年起，欧盟《AI法案》将“情感识别系统”划为高风险AI，需CE标记。答案：正确解析：法案附件III明确公共场所情感识别为高风险。22.在Kubernetes中，Secret默认使用etcd加密存储，因此无需额外密封。答案：错误解析：默认仅base64编码，需开启EncryptionConfiguration提供AES-CGM密封。23.采用SM4-GCM比AES-256-GCM在相同密钥长度下具有更高理论安全裕度。答案：错误解析：SM4为128位分组，密钥128位，安全裕度与AES-256相比略低。24.内存安全语言（如Rust）完全杜绝了供应链攻击。答案：错误解析：供应链攻击面包括依赖、构建、发布环节，内存安全仅减少内存破坏漏洞。25.量子随机数发生器（QRNG）输出的随机性可通过NISTSP800-22测试套件验证。答案：正确解析：QRNG仍需通过统计测试，确保熵源质量。四、填空题（每空2分，共20分）26.2026年NIST后量子签名算法Dilithium基于________困难问题，其安全级别3的公钥大小为________字节。答案：格（Module-LWE+Module-SIS），1952解析：NISTPKC.Round4参数集。27.在Linux内核中，针对eBPF验证器的“指针泄露”漏洞，社区引入________机制，对bpf_prog的fd实施________，防止用户态获取内核地址。答案：kptr_restrict，随机化标签（kptr_obfuscation）28.当使用Wireshark解析TLS1.3流量时，若需解密，必须提供________文件，且要求握手采用________密钥交换模式。答案：SSLKEYLOGFILE，(EC)DHE29.某企业采用SBOM格式________（填SPDX/CycloneDX/SWID）描述供应链组件，其版本字段遵循________语义化规范。答案：CycloneDX，SemVer30.5G核心网中，服务化接口基于________协议，其认证框架引入________令牌，用于NF之间的双向鉴权。答案：HTTP/2+JSON，OAuth2.0AccessToken五、简答题（每题10分，共30分）31.描述一次完整的容器逃逸事件应急响应流程，要求覆盖检测、遏制、溯源、恢复四个阶段，并给出关键命令或工具。答案：检测：1.使用Falco规则“Spawnedprocessincontainerwithprivilege”触发告警；2.kubectllogs-nkube-systemfalco-pod|grep-i“Sensitivemount”确认挂载了/var/run/docker.sock。遏制：1.立即隔离节点：kubectlcordon<node>；2.停止容器运行时：systemctlstopcontainerd；3.使用CiliumNetworkPolicy阻断该Pod出网。溯源：1.采集运行时工件：criudump-t<pid>-odump.imgvolatility3-fmemory.imglinux.pslist2.检查镜像历史：dockerhistory--no-truncevil:latest|less3.比对SBOM，发现libssl1.1被替换为带后门的libssl1.1-malware.so。恢复：1.清理后门：rpm-Vlibssl1.1，重新安装官方包；2.重建节点并加入集群，启用PodSecurityrestricted；3.通过cosign验证新镜像签名，重新部署业务。32.说明如何利用eBPF实现零信任网络微分段，并给出核心数据结构设计与性能评估公式。答案：核心思路：将身份（mTLSSPIFFEID）与网络五元组绑定，eBPF程序在tc层强制执行。数据结构：1.MapType:BPF_MAP_TYPE_HASHKey:structidentity_key{__u32ip;__u16port;__u8proto;__u8pad;charspiffe_id[64];}Value:structpolicy{__u8allow;__u64last_seen;}2.性能评估：吞吐量公式：Throughput=其中N为报文数，L为平均报文长度，T为时间。延迟公式：Latency=实验结果：在IntelXeon4.2GHz单核下，policy条目10万条，转发延迟增加仅2.1µs，吞吐下降<1%。33.某电力公司采用IEC-61850GOOSE协议传输保护信号，需抵御重放攻击。请设计一种基于TOTP的轻量级改进方案，要求不修改ASN.1结构，并给出安全证明。答案：方案：1.在GOOSEPDU保留4字节Reserved字段，填入TOTP(token,t=30s,digits=4)；2.接收方维护与发送方同步的共享密钥K，使用HMAC-SHA-256计算：T=⌊3.接收窗口设为±1步，防止时钟漂移。安全证明：假设攻击者获得旧GOOSE帧，由于无法计算下一时刻T，重放将被拒绝。若攻击者暴力猜测4位token，成功概率：P=在30s窗口内，保护信号频率50Hz，误动概率可忽略。不修改ASN.1，兼容现有IED。六、综合计算题（共25分）34.某金融公司计划将现有RSA-2048证书迁移至后量子混合算法X25519+Kyber-768，并评估TLS握手延迟增加量。已知：网络RTT=20ms，带宽=100Mbps；RSA-2048证书大小=1.2kB，Kyber-768公钥大小=1.2kB，密文大小=1.0kB；X25519公钥=32B，密文=32B；服务器CPU为ARMCortex-A78，Kyber-768Encap/Decap耗时分别为0.18ms/0