2025年网络安全管理培训试卷及答案

2025年网络安全管理培训试卷及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2025年1月1日起正式施行的《网络数据安全管理条例（征求意见稿）》中，对“重要数据”首次明确实行分级分类保护，其分级依据的首要因素是（）。A.数据规模 B.数据敏感程度 C.数据商业价值 D.数据产生频率答案：B2.在零信任架构中，用于持续评估用户访问风险的核心组件是（）。A.SIEM B.SDP C.PKI D.CASB答案：B3.某单位采用国密SM9算法实现电子邮件加密，其密钥管理机制中，负责生成用户私钥的实体是（）。A.密钥生成中心（KGC） B.邮件服务器 C.用户客户端 D.CA中心答案：A4.2024年12月，某车企因API接口未限制速率导致大量车辆位置信息泄露，该漏洞最可能对应的CVE类型为（）。A.CVE2024XXXX:SSRF B.CVE2024XXXX:失效的访问控制 C.CVE2024XXXX:注入 D.CVE2024XXXX:加密失败答案：B5.根据ISO/IEC27040:2025（草案），存储安全控制域中，针对“勒索软件即时回滚”能力要求的核心技术是（）。A.WORM B.快照不可变 C.RAID6 D.LTO9磁带加密答案：B6.2025年3月，某省政务云启用“量子保密通信+IPSecVPN”混合通道，其中量子通道主要解决IPSec的（）缺陷。A.密钥分发 B.封装开销 C.NAT穿越 D.证书吊销延迟答案：A7.在Kubernetes集群中，可限制容器进程对宿主机系统调用范围的管控机制是（）。A.NetworkPolicy B.Seccomp C.RBAC D.PodSecurityPolicy答案：B8.2025年5月，某银行因Deepfake语音合成被骗2700万美元，事后检测发现攻击者使用了2024年开源的“ZeroShot”语音克隆模型。下列防御措施最有效的是（）。A.声纹+随机文本朗读挑战 B.声纹+静态口令 C.声纹+设备指纹 D.声纹+地理位置答案：A9.根据《个人信息出境标准合同办法（2025修订）》，境外接收方再转移个人信息时，应提前向个人告知并取得的同意形式为（）。A.默示同意 B.书面同意 C.单独同意 D.口头同意答案：C10.2025年6月，微软发布“AI红队”框架第二版，其中针对大模型提示注入的首要测试步骤是（）。A.模型微调 B.提示词变形 C.系统提示隔离 D.输出过滤答案：B11.在5GAdvanced网络中，用于实现用户面功能（UPF）下沉至园区，同时保证数据不出园的切片特性是（）。A.eMBB B.5GLAN C.LocalDataNetwork D.URLLC答案：C12.2025年7月，某电商使用同态加密（CKKS方案）对用户消费数据进行密文统计，其加密层数参数“L”设置过大将直接导致（）。A.明文精度下降 B.密文膨胀率上升 C.私钥泄露 D.计算密钥失效答案：B13.根据《关基保护要求》（GB/T392042025），关键信息基础设施运营者应在多长时间内完成一次网络安全应急演练（）。A.每季度 B.每半年 C.每年 D.每两年答案：B14.2025年8月，谷歌Chrome宣布彻底禁用第三方Cookie，广告行业转向“TopicsAPI”进行兴趣追踪，其隐私保护核心机制是（）。A.差分隐私 B.联邦学习 C.本地标签 D.安全多方计算答案：C15.在Windows1124H2中，默认启用的内核级防护特性“KASR”主要针对的攻击向量是（）。A.ROP/JOP B.缓冲区溢出 C.特权升级 D.驱动篡改答案：A16.2025年9月，OpenSSL4.0.0发布，新增“QUICTLS”扩展，其默认使用的AEAD算法为（）。A.AES256CBC B.ChaCha20Poly1305 C.AES128GCM D.SM4GCM答案：B17.在DevSecOps流水线中，用于检测容器镜像中恶意开源组件的SCA工具是（）。A.Snyk B.Fortify C.Checkmarx D.Brakeman答案：A18.2025年10月，欧盟《AI责任指令》正式生效，其中对高风险AI系统造成损害实行举证责任倒置，被告方需证明其已履行（）义务。A.数据最小化 B.可解释性 C.风险管理 D.算法备案答案：C19.在IPv6only网络中，为实现对IPv4资源的透明访问，IETF推荐的过渡技术是（）。A.NAT64 B.DSLite C.464XLAT D.6RD答案：A20.2025年11月，某国颁布《量子计算安全过渡路线图》，要求所有新建政务系统必须在哪一年前完成抗量子算法迁移（）。A.2027 B.2028 C.2030 D.2032答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下属于2025年OWASPTop10forLLMApplications新增风险的有（）。A.提示注入 B.训练数据投毒 C.模型拒绝服务 D.过度代理 E.服务端请求伪造答案：ABCD22.在零信任网络中，持续信任评估引擎可采集的实时信号包括（）。A.用户心跳 B.设备温度 C.网络延迟 D.应用崩溃日志 E.地理位置漂移答案：ACE23.采用国密SM2数字签名时，签名过程涉及的主要运算有（）。A.椭圆曲线点乘 B.模逆运算 C.哈希运算 D.对称加密 E.模幂运算答案：ABC24.2025年1月，某云厂商对象存储因“BucketACL”配置错误导致大量敏感文件泄露，可阻断此类错误的自动化治理手段有（）。A.CSPM扫描 B.OPA策略 C.存储桶策略强制模板 D.服务器端加密 E.云函数触发自动修复答案：ABCE25.在KubernetesRBAC模型中，可绑定到“Pod”这一资源粒度的控制对象有（）。A.Role B.ClusterRole C.RoleBinding D.ClusterRoleBinding E.ServiceAccount答案：ACE26.2025年，某金融App引入“隐私计算网关”实现跨机构联合风控，其技术栈可包含（）。A.联邦学习 B.安全多方计算 C.差分隐私 D.同态加密 E.可信执行环境答案：ABCDE27.以下关于Windows1124H2“VBSwithUEFILock”功能的描述，正确的有（）。A.可防止物理攻击者关闭VBS B.需要TPM2.0 C.与CredentialGuard互斥 D.开启后无法通过bcdedit关闭 E.支持ARM64平台答案：ABDE28.2025年，欧盟NIS2指令扩大监管范围，下列实体被纳入“重要实体”的有（）。A.大型数据中心 B.社交网络平台 C.公共电子通信网络 D.废水处理厂 E.数字服务提供商答案：ACD29.在5G专网中，为隔离不同租户的切片资源，可采用的机制有（）。A.NSSAI B.SNSSAI C.RB资源预留 D.VPN+VRF E.网络切片子网实例答案：ABCE30.2025年，某车企采用“硬件安全模块（HSM）+AUTOSAR”方案保护车载通信，HSM在SecOC中提供的功能有（）。A.消息认证码生成 B.新鲜度值管理 C.证书吊销列表分发 D.密钥槽存储 E.加密日志答案：ABD三、填空题（每空2分，共20分）31.2025年，我国《数据安全法》配套标准将数据分为__、__、__三级，对应的安全保护要求逐级递增。答案：一般数据、重要数据、核心数据32.在TLS1.3握手过程中，用于实现前向保密的关键密钥交换机制为__。答案：ECDHE33.2025年，IETF发布的RFC9500正式将__算法纳入HTTP/3默认加密套件，以替代ChaCha20Poly1305在低端设备上的性能瓶颈。答案：AES256GCMSIV34.在Linux内核5.14及以上版本，用于限制非特权用户创建用户命名空间的内核参数为__。答案：kernel.unprivileged_userns_clone35.2025年，某云厂商推出的“机密容器”基于IntelTDX技术，其信任根位于__固件。答案：TDXModule36.根据《个人信息保护法》，处理敏感个人信息应当取得个人的__同意，并告知处理__。答案：单独、必要性37.在Windows1124H2中，用于阻止驱动程序加载时遭受“自带漏洞驱动（BYOVD）”攻击的新增安全特性简称为__。答案：HVCI（MemoryIntegrity）38.2025年，欧盟《数据治理法案》要求公共部门数据开放前需进行__评估，防止商业机密泄露。答案：敏感性与商业价值双重39.在Kubernetes1.30中，用于实现Pod级网络隔离的原生API对象从NetworkPolicy升级为__。答案：NetworkPolicyV2（或答“AdminNetworkPolicy”亦给分）40.2025年，国密SM4算法在GCM模式下的初始向量（IV）推荐长度为__字节。答案：12四、判断题（每题1分，共10分。正确打“√”，错误打“×”）41.2025年，我国《网络安全审查办法》修订后将“滴滴出行”事件涉及的“国外上市”行为正式纳入审查触发条件。（）答案：√42.在零信任架构中，身份代理（IDP）与策略引擎（PEP）必须部署在同一VPC内，否则无法交换信任评分。（）答案：×43.使用同态加密进行机器学习推理时，加法同态足以支持逻辑回归训练全过程，无需乘法同态。（）答案：×44.2025年，Chrome浏览器支持“后量子密钥交换”X25519Kyber768，默认启用，无需企业策略。（）答案：√45.在IPv6中，地址前缀128:9::/48被IANA正式分配给“车联网”专用，不得用于互联网路由。（）答案：×46.2025年，我国《关基保护要求》明确将“人工智能训练平台”纳入关键业务系统范畴。（）答案：√47.Windows1124H2的“智能应用控制（SAC）”依赖云端AI模型，断网状态下无法工作。（）答案：√48.在Kubernetes中，Secret默认使用etcd加密存储，因此无需再使用SealedSecret第三方工具。（）答案：×49.2025年，欧盟《AI法案》禁止在公共场所使用实时远程生物识别系统，但允许事后追溯使用。（）答案：√50.2025年，国密SM2签名算法已正式被纳入ISO/IEC148883:2025国际标准。（）答案：√五、简答题（每题10分，共30分）51.简述2025年OWASPTop10forLLMApplications中“过度代理（ExcessiveAgency）”风险的产生原因、典型场景与缓解措施。答案：产生原因：开发者给予大模型过多工具调用权限或缺乏细粒度授权，导致模型在单一提示下可执行高危操作。典型场景：客服机器人拥有删除订单、发起退款、修改用户密码的API权限，攻击者通过提示注入诱导其越权操作。缓解措施：1.最小权限原则，仅暴露必要API；2.引入人工审批或二次确认；3.在模型与工具间增加策略引擎，基于上下文动态授权；4.对工具调用结果进行回滚测试与审计日志；5.使用“双模型”架构，隔离决策与执行。52.说明2025年《个人信息出境标准合同办法》修订后，对“再转移”环节的监管要求，并给出企业落地流程图（文字描述即可）。答案：监管要求：1.境外接收方再转移前需向个人告知接收方名称、联系方式、处理目的、方式、种类；2.取得个人单独同意；3.与再转移接收方签订不低于原合同保护水平的协议；4.向省级以上网信部门备案再转移评估报告；5.建立再转移日志，保存至少3年。落地流程（文字）：数据出境需求提出→进行个人信息保护影响评估→签署标准合同→向网信备案→境外接收方提出再转移→评估再转移风险→修订补充协议→告知个人并取得单独同意→再转移备案→持续监测与审计。53.概述2025年IntelTDX（TrustDomainExtensions）在公有云机密计算中的部署模型，并说明其与AMDSEVES的核心差异。答案：部署模型：1.云厂商在CPU微码及BIOS开启TDX；2.虚拟化层（KVM/QEMU）加载TDX模块，创建TD（TrustDomain）；3.租户镜像通过TDX工具链打包为“机密镜像”，启动时生成TDQuote；4.租户远程验证Quote，建立TLS通道后注入密钥；5.运行时TD内存加密，宿主机无法访问；6.支持实时迁移，迁移流量经TDXKeyID加密。核心差异：1.TDX基于AES128XTS内存加密，SEVES为AES128CTR；2.TDX支持虚拟机级别隔离，SEVES需结合SEVSNP；3.TDXQuote格式兼容DCAP，SEVES使用自有API；4.TDX允许Hypervisor调度，但无法访问明文，SEVES需额外限制中断注入；5.TDX支持动态内存区域扩展，SEVES需预分配。六、应用题（共4题，共50分）54.计算分析题（12分）某企业2025年采用AES256GCM加密本地备份数据，备份窗口为每日02:0004:00，数据量10TB，存储系统持续写入带宽为2GB/s，CPU单核心可提供的AESNI性能为4GB/s。（1）计算完成加密所需的最少CPU核心数（忽略I/O延迟）。（2）若启用IntelQAT8950加速卡（单卡加密吞吐13GB/s），需要多少张卡？（3）在仅使用CPU方案时，若备份窗口缩短至1小时，是否仍能满足？给出计算过程。答案：（1）10TB=10×1024GB=10240GB，窗口2h=7200s，所需吞吐=10240/7200≈1.422GB/s。单核4GB/s，需核心数=1.422/4≈0.36→至少1核心。（2）单卡13GB/s>1.422GB/s→需1张。（3）1h=3600s，所需吞吐=10240/3600≈2.844GB/s。单核4GB/s，需核心数=2.844/4≈0.71→至少1核心，仍满足。55.案例分析题（14分）2025年4月，某市智慧交通平台遭勒索软件攻击，攻击者通过VPN账号“test01”暴力破解进入内网，利用“PrintSpooler”零日提权，横向移动到OT网络，最终加密SCADA服务器。平台采用零信任架构，但未对VPN接入设备进行持续信任评估。问题：（1）指出该零信任架构缺失的关键控制点；（2）给出针对OT网络的微分段方案（含技术与管理措施）；（3）设计一套“持续信任评估”指标体系，不少于5项指标并说明采集方式。答案：（1）缺失：设备健康状态检查、持续身份验证、动态授权、OT网络隔离、日志统一审计。（2）微分段：技术：1.OT区域部署工业防火墙，基于IEC61850协议白名单；2.使用MACsec对交换机级链路加密；3.启用PROFINET深度包检测（DPI）；4.采用“数据二极管”实现SCADA→办公网单向传输；5.在RTU侧部署基于白名单的USB锁。管理：1.OT资产台账与分级；2.供应商远程维护审批与旁路监控；3.定期OT攻防演练；4.建立OT安全运营中心（OTSOC）。（3）指标体系：1.用户行为异常：登录时间、地点、频次，采集VPN日志+UEBA；2.设备健康度：补丁级别、EDR状态，采集MDM+EDR；3.网络流量异常：横向移动检测，采集NDR；4.特权命令执行：SCADA写操作，采集OT防火墙日志；5.威胁情报匹配：IP、Hash、域名，采集TIP；6.模型推理：基于以上指标输出0100风险分，低于60触发阻断。56.综合设计题（12分）某跨国企业2025年需在中国、欧盟、美国三地数据中心同步训练AI模型，数据涉及用户画像，需满足三地数据合规。要求：（1）给出“数据不出境”与“模型出境”混合方案；（2）说明采用的隐私计算技术组合；（3）设计跨境模型更新流程，确保符合《个人信息出境标准合同》及欧盟GDPR。答案：（1）方案：中国：原始数据留存本地，训练子模型；欧盟、美国同理；三国仅交互梯度或低维嵌入，经差分隐私加噪；聚合服务器部署在欧盟，因GDPR最严；最终模型可反向分发至三地。（2）技术：联邦学习（横向）+差分隐私（ε=1）+安全多方计算（SPDZ协议）+同态加密（CKKS用于聚合）。（3）流程：本地预处理→本地训练→本地差分隐私加噪→MPC加密梯度→跨境传输→欧盟聚合服务器解密并聚合→下发更新→本地更新模型→评估效果→生成日志→向三地监管机构提交影响评估报告→个人权利响应通道（查询、删除）。57.渗透测试报告撰写题（12分）背景：2025年10月，授权对某金融App（Android）进行黑盒测试，发现“任意账号登录”漏洞。测试环境：Magisk28.0+Frida16.