2025年网络安全考试练习题(附答案)

2025年网络安全考试练习题(附答案)一、单项选择题（每题1分，共30分。每题只有一个正确答案，错选、多选均不得分）1.2024年12月，国家网信办发布的《个人信息出境标准合同办法》中，对“敏感个人信息”跨境传输的最低数量门槛为：A.1万人B.5万人C.10万人D.50万人答案：C2.在TLS1.3握手过程中，用于实现前向保密的核心机制是：A.RSA密钥传输B.静态DHC.ECDHED.PSK答案：C3.以下关于零信任架构（NISTSP800207）的描述，错误的是：A.默认信任内部网络B.持续身份验证C.动态授权D.微分段答案：A4.2025年1月1日起正式施行的《数据安全法》配套行政法规《网络数据安全管理条例》中，对“重要数据”首次出境活动要求：A.自评估即可B.省级网信部门审批C.国家网信部门安全评估D.行业主管部门备案答案：C5.在Windows1124H2版本中，默认启用并用于阻止内核驱动篡改的基于虚拟化的安全特性简称：A.CredentialGuardB.HVCIC.VBSD.WDAG答案：B6.以下哪条命令可直接查看Linux内核是否启用KASLR：A.`cat/proc/cpuinfo`B.`dmesg|grepkaslr`C.`sysctlkernel.kaslr`D.`lsmod|grepkaslr`答案：B7.2024年爆发的“LibWebP”漏洞（CVE20234863）本质上属于：A.堆溢出B.整数下溢导致堆溢出C.UAFD.类型混淆答案：B8.在KubernetesRBAC中，以下ClusterRole可列出集群所有Secret的是：A.viewB.editC.adminD.clusteradmin答案：D9.依据《网络安全等级保护2.0》（GB/T222392019），四级系统云环境下，租户与平台方之间的日志留存期不少于：A.3个月B.6个月C.1年D.2年答案：C10.使用AESGCM模式加密时，IV重复会导致：A.密钥泄露B.明文完全暴露C.认证失效且可恢复明文D.仅认证失效答案：C11.2025年3月，IETF发布的RFC9500将IPv6临时地址推荐生存周期默认值调整为：A.1小时B.2小时C.4小时D.24小时答案：B12.在ARMv9架构中，用于防御ROP/JOP的指针认证指令助记符为：A.PACIAB.BTIC.MTED.CFI答案：A13.以下关于SM4分组密码算法描述正确的是：A.分组长度128位，密钥长度128位，迭代32轮B.分组长度256位，密钥长度256位，迭代16轮C.分组长度128位，密钥长度256位，迭代32轮D.分组长度64位，密钥长度128位，迭代48轮答案：A14.在OWASPTop102024版中，首次进入前十的“服务端请求伪造”简称：A.SSRFB.CSRFC.XXED.LFI答案：A15.2024年Google披露的“GhostRace”漏洞针对的是：A.IntelTSXB.AMDSEVC.ARMMemoryTaggingD.条件竞争+推测执行答案：D16.在Windows日志中，事件ID4624对应的登录类型3表示：A.交互式登录B.网络登录C.批处理登录D.服务登录答案：B17.以下哪项不是NISTSP80053r5中新增的隐私控制族：A.PTB.TRC.APD.DI答案：B18.使用Wireshark过滤TLS1.3握手完成报文，正确表达式为：A.tls.handshake.type==1B.tls.handshake.type==2C.tls.handshake.type==14D.tls.handshake.type==20答案：C19.在Linux内核5.15及以上，默认启用的“内核运行时安全检测”子系统简称：A.LKRGB.KRSIC.KEDRD.KCSAN答案：B20.2025年1月，微软Azure默认启用的“后量子混合密钥交换”算法组合为：A.Kyber768+P256B.Kyber1024+X25519C.Kyber768+X25519D.ClassicMcEliece+X448答案：C21.以下关于DNSoverHTTPS（DoH）描述错误的是：A.默认端口443B.使用HTTP/2或HTTP/3C.查询内容加密D.可防止DNS劫持且杜绝钓鱼答案：D22.在Android14中，限制应用后台启动前台服务的全新前台服务类型是：A.cameraB.dataSyncC.mediaProjectionD.shortService答案：D23.2024年发布的OpenSSL3.2中，已标记为废弃的算法是：A.Ed25519B.SM2C.WhirlpoolD.ChaCha20答案：C24.在MITREATT&CKv14中，子技术T1557.003对应：A.ARP欺骗B.DHCP投毒C.IPv6重定向D.LLMNR/NBTNS投毒答案：D25.以下哪项不是我国《关键信息基础设施安全保护条例》规定的“关键业务”认定要素：A.业务中断造成重大经济损失B.业务中断影响国家安全C.业务中断导致环境破坏D.业务中断引发个人信息泄露答案：D26.在AWSKMS中，用于禁用密钥但保留密文的API是：A.DeleteKeyB.DisableKeyC.ScheduleKeyDeletionD.CancelKeyDeletion答案：B27.2025年5月，苹果iOS17.5修复的“BlastPass”攻击链利用的入口向量是：A.iMessageB.AirDropC.PassKitD.Wallet答案：C28.在GB/T397862021《信息安全技术信息系统密码应用基本要求》中，四级系统应采用几级以上密码模块：A.一级B.二级C.三级D.四级答案：C29.以下关于RISCV“加密扩展”指令集（v1.0）描述正确的是：A.仅支持AES128B.含SM3、SM4指令C.含SHA512、AES256指令D.仅支持ChaCha20答案：C30.2024年BlackHatUSA发布的“QEMUDancer”漏洞针对的是：A.QEMU网卡后端B.QEMU磁盘后端C.QEMUVNCServerD.QEMUSLiRP答案：A二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于NISTSP80063B中推荐的“多因素”组合：A.口令+短信OTPB.口令+硬件FIDO2C.生物特征+口令D.硬件FIDO2+生物特征答案：B、D32.在Linux内核中，可缓解“脏管道”漏洞（CVE20220847）的补丁机制包括：A.禁止非特权用户创建管道B.对pipe_buffer.flag添加PAGE_FLAG_WRITTENC.强制要求CAP_SYS_RAWIOD.限制splice系统调用答案：B、D33.以下哪些算法已被我国《商用密码产品认证目录（2025版）》列入“推荐淘汰”：A.DESB.3DESC.MD5D.SHA1答案：A、C、D34.在Kubernetes中，可导致容器逃逸的高危配置包括：A.启用hostPIDB.启用hostNetworkC.挂载/var/run/docker.sockD.设置readOnlyRootFilesystem=true答案：A、B、C35.以下关于Windows11“智能应用控制”（SAC）描述正确的是：A.基于云签名B.依赖AI模型C.可阻止无签名PED.需联网首次构建信誉答案：A、B、C、D36.2025年1月起，欧盟NIS2指令要求“关键实体”须在发现重大事件后：A.24小时内提交早期警告B.72小时内提交事件报告C.1个月内提交最终报告D.7天内公开披露答案：A、B、C37.以下哪些属于我国《汽车整车信息安全技术要求》（征求意见稿）对“车外通信接口”的安全要求：A.双向身份认证B.防重放C.加密传输D.固件完整性校验答案：A、B、C、D38.在iOS17越狱工具Dopamine2.x中，利用的PAC绕过技术包括：A.伪造指针B.侧信道泄露PACC.重用合法PACD.禁用PAC答案：B、C39.以下哪些端口被IANA正式分配给DNSoverTLS：A.853B.443C.8853D.53答案：A、C40.在ApacheLog4j2.17.1中，仍可利用“ThreadContextMap”造成：A.RCEB.DoSC.信息泄露D.权限提升答案：B、C三、填空题（每空1分，共20分）41.在GB/T284482019中，等级保护三级系统每年至少开展________次等级测评，测评机构须具备________级资质。答案：1；三42.TLS1.3中，用于实现0RTT的扩展名为________，其最大有效期默认________小时。答案：EarlyData；2443.2025年启用的《数据出境安全评估办法》规定，处理________万人以上敏感个人信息出境，须报________评估。答案：10；国家网信部门44.在Linux内核中，防御“StackRot”漏洞（CVE20233269）的核心补丁将stackexpansion的________锁改为________锁。答案：spin；mutex45.我国商用密码算法SM2签名结果的ASN.1结构中，包含两个整数分别为________和________。答案：r；s46.在Kubernetes1.29中，PodSecurityAdmission的“restricted”策略要求容器必须以________用户运行，且禁止________权限。答案：非root；ALLCAPABILITIES47.Windows1124H2默认启用的“内核直接内存访问保护”简称________，其通过________表限制外设可访问物理内存范围。答案：KernelDMAProtection；IOMMU48.2024年发布的《工业互联网安全分类分级指南（试行）》将企业分为________类，其中________级为最高风险。答案：三；三49.在ARM64中，用于开启MTE的寄存器名为________，其将指针的________位作为tag。答案：TCR_EL1；高450.我国《区块链信息服务管理规定》要求，备案主体须在项目上线前________个工作日履行备案，备案编号格式以________开头。答案：10；京网信备四、简答题（每题10分，共30分）51.简述“后量子密码迁移”中“混合密钥交换”方案的优势与潜在风险，并给出企业级实施建议（不少于200字）。答案：优势：1.兼顾现有PKI生态，降低量子威胁窗口期风险；2.通过双密钥（传统+后量子）并行，确保即便新算法被攻破仍有传统算法兜底；3.可逐步灰度，无需一次性替换硬件。风险：1.性能开销翻倍，TLS握手延迟增加2040%；2.代码复杂度提升，引入新攻击面；3.证书体积膨胀，UDP场景易分片。实施建议：1.优先在南北向流量试点，选择Kyber768+X25519组合；2.采用云原生网关集中卸载，减少终端改造；3.建立算法敏捷性框架，支持后续一键切换；4.对IoT终端采用预共享密钥+短证书链，减少分片；5.每年开展量子威胁评估，动态调整算法比例。52.说明“云原生”环境下，如何利用eBPF技术实现零信任网络微分段，并给出具体实现步骤（不少于200字）。答案：eBPF可在内核态实时采集socket级元数据，实现L3L7统一策略。步骤：1.在K8sDaemonSet中部署eBPF程序，挂钩tcp_connect、udp_sendmsg等kprobe；2.利用eBPFMap存储标签化身份（Pod标签、ServiceAccount、进程exeSHA256）；3.建立用户态策略引擎，同步CRD定义的零信任策略到eBPFMap；4.对每次连接执行双向身份+标签匹配，未命中策略直接丢弃并生成AUDIT日志；5.通过eBPFXDP层实现入口/出口双向限速，防止横向移动；6.利用eBPFbasedTracing对异常连接进行堆栈溯源，联动Falco告警；7.全链路指标通过OpenTelemetry导出，实现策略效果可观测。53.结合《数据安全法》，阐述“数据分类分级”与“重要数据识别”在跨境传输评估中的关联关系，并给出落地流程（不少于200字）。答案：分类分级是识别重要数据的前置条件：1.企业先按《网络安全标准数据分类分级指南》将数据分为核心、重要、一般三级；2.对“重要数据”目录进行行业对标（如工信、卫健、人行细则），形成重要数据清单；3.跨境前开展自评估，重点审查重要数据出境场景、规模、接收方所在国法律环境；4.若涉及10万人以上敏感个人信息或总量超过1TB，须走国家网信部门评估通道；5.评估通过后签订标准合同，并在省级网信部门备案；6.建立动态复审机制，每年复核数据分级准确性，一旦业务变化触发重新评估；7.对未通过评估的数据，采用境内存储+境外访问接口最小化方案，确保合规。五、综合应用题（共50分）54.实战分析题（20分）背景：某电商公司2025年6月遭遇“订单返现”页面被篡改，攻击者插入恶意JavaScript，窃取用户Cookie并回传至hxxps://evil.example/ga.js。已知：1.页面静态资源托管于AWSCloudFront；2.源站为K8sIngressNginx；3.日志显示6月15日10:0010:05期间出现5次异常PUT/static/app.js请求，源IP为AWSWAF放行地址；4.比对发现app.js被追加16行混淆代码；5.CSP策略缺失；6.公司未启用SRI。问题：（1）给出攻击路径复盘（4分）（2）指出至少3个技术控制缺陷（3分）（3）设计一套检测+防御+应急响应闭环方案，要求覆盖事前、事中、事后，并给出具体配置或命令（13分）答案：（1）路径：攻击者获取AWSAK/SK→调用CloudFrontUpdateDistributionAPI→修改源站为攻击者服务器→回源拉取被篡改app.js→用户访问加载恶意脚本。（2）缺陷：1.CSP未启用；2.SRI未配置；3.CloudFrontAK/SK泄露；4.源站未校验完整性；5.日志未实时告警。（3）方案：事前：a.启用Terraform管理CloudFront，禁止控制台手动修改，加MandatoryMFA；b.在CI/CD阶段计算app.js的SRI哈希，写入HTML：`<scriptsrc="https://cdn.example/app.js"integrity="sha384xxx"crossorigin="anonymous"></script>`c.部署CSP：`ContentSecurityPolicy:defaultsrc'self';scriptsrc'self''sha256xxx';reporturi/cspreport`事中：a.使用Falco规则检测PUT/static：`rule:CloudFrontStaticTampercondition:evt.type=writeandcontains/staticand=awsoutput:"Unauthorizedstaticfilewrite"priority:CRITICAL`b.在IngressNginx启用ModSecurity，规则ID933120阻止混淆JS；c.通过eBPF监控进程写静态目录，非nginxworker直接kill9并告警。事后：a.立即回滚Terraform状态到上一个版本：`terraformstatepull>backup.tfstate``terraformapplyautoapproverefreshonly`b.使用AWSCloudTrailLake查询事件：`SELECTFROMeventWHEREeventName='UpdateDistribution'ANDeventTime>'20250615T09:55:00Z'`c.强制轮换所有CloudFrontKeyPair，吊销泄露AK/SK；d.向用户推送强制登出，刷新所有Session，启用2周免费监测；e.1周内完成红队复盘，输出RCA报告，纳入年度SDL改进。55.计算与方案设计题（15分）某公司计划上线“后量子VPN”，要求：1.网关吞吐量≥5Gbps；2.握手延迟≤30ms；3.支持国密SM4GCM后续可插拔。现有硬件：IntelXeonGold6348（28核）+QATC627芯片。任务：（1）计算单核Kyber768性能：已知OpenSSL3.2bench显示Kyber768keygen/encaps/decaps分别为32000/38000/29000op/s，估算单线程握手次数/s（2分）（2）评估是否满足5Gbps，给出瓶颈分析（3分）（3）设计双栈（IKEv2+OpenVPN）混合方案，要求国密fallback，给出配置片段与切换逻辑（10分）答案：（1）握手一次需keygen+encaps+decaps，总耗时≈1/32000+1/38000+1/29000≈9.4e5s，单线程≈10.6k握手/s。（2）5Gbps÷100Mbps/用户=50用户并发，握手需求50/30ms≈1667次/s，远低于10.6k，CPU非瓶颈；但QAT不支持Kyber，需CPU软算，AESGCM由QAT卸载，总体可满足。（3）方案：a.使用strongSwan6.0，启用openssl插件，配置：```connikev2pqkeyexchange=ikev2ike=aes256gcm16prfsha512@kyber768esp=aes256gcm16@kyber768leftcert=server.pemright=%anyauto=add```b.OpenVPN2.7，启用datachanneloffload，tlscipherTLSECDHEECDSAWITHCHACHA20POLY1305SHA256:KYBER768c.国密fallback：若客户端不支持Kyber，则通过IANA代码点协商切换为：`ike=sm4gcm@sm2|aes256gcm16@ecdsa256`d.切换逻辑：网关维护算法bitmap，客户端Hello携带supported_algos扩展，服务器按优先级匹配，若无交集则返回NO_PROPOSAL_CHOSEN并提示升级。56.应急响应与取证题（15分）场景：2025年7月1日，运维发现一台CentOS8Stream主机CPU占用100%，进程/usr/bin/kswapd0p0x80持续外联9:443。经查，该文件大小、MD5与官方kswapd0不符，且具备加壳特征。问题：（1）给出现场保全步骤（3分）（2）提取该恶意