2025年信息技术与网络安全防护考试试题及答案

2025年信息技术与网络安全防护考试试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2025年1月1日起正式实施的《数据跨境流动安全管理办法》中，对“关键信息基础设施运营者”提出的数据出境安全评估时限为（）。A.15个工作日  B.30个工作日  C.45个工作日  D.60个工作日答案：C2.在Windows1124H2版本中，默认启用且用于阻止内核级勒索软件驱动的底层防护机制是（）。A.HVCI  B.CFG  C.CET  D.VBS答案：A3.下列关于量子密钥分发（QKD）的描述，正确的是（）。A.依赖计算复杂度保证安全  B.可抵抗量子计算攻击  C.基于RSA算法  D.需预共享长期密钥答案：B4.2025年3月，GoogleChrome宣布全面废弃的第三方存储技术是（）。A.LocalStorage  B.SessionStorage  C.Cookie  D.SharedArrayBuffer答案：C5.在零信任架构中，用于持续评估终端设备健康度的协议是（）。A.RADIUS  B.TACACS+  C.PostureAssessment  D.SAML答案：C6.2025年5月，国家网信办对生成式AI服务实施的安全评估属于（）。A.形式审查  B.自评估备案  C.第三方现场检查  D.强制性认证答案：B7.下列哪条命令可直接查看Linux内核中已加载的eBPF程序ID列表（）。A.bpftoolproglist  B.lsmod|grepbpf  C.sysctlkernel.bpf  D.cat/proc/bpf答案：A8.在IPv6中，用于替代ARP的协议是（）。A.NDP  B.DHCPv6  C.ICMPv6  D.MLD答案：A9.2025年6月，微软Azure默认启用的机密计算VM系列基于的硬件扩展是（）。A.IntelTDX  B.AMDSEVSNP  C.IntelSGX2  D.ARMCCA答案：B10.针对SMBoverQUIC的默认UDP端口是（）。A.443  B.445  C.853  D.502答案：A11.在Kubernetes1.30中，用于限制容器内核能力的最小粒度对象是（）。A.PSP  B.OPA  C.seccompProfile  D.AppArmor答案：C12.2025年7月，IETF发布的RFC9500定义了哪种DNS记录类型用于加密客户端子网（）。A.ESNI  B.ECH  C.SVCB  D.HTTPS答案：B13.下列关于同态加密的描述，错误的是（）。A.支持密文域运算  B.2025年主流方案为CKKS  C.无需密钥即可解密  D.可用于隐私计算答案：C14.在Android15中，用于限制侧载应用获取高危权限的新增沙箱机制是（）。A.RestrictedSetting  B.FileBasedEncryption  C.ScopedStorage  D.Knox答案：A15.2025年8月，OpenSSL3.3默认禁用的非对称加密算法是（）。A.RSA1024  B.ECDSAP256  C.Ed25519  D.SM2答案：A16.在MITREATT&CKv15中，新增的“LivingOfftheLandBinary”子技术是（）。A.lolbas  B.lolbins  C.loldrivers  D.lolscripts答案：C17.2025年9月，我国《个人信息保护法》执法中，对违法处理人脸信息最高可处以上一年度营业额（）罚款。A.1%  B.3%  C.5%  D.7%答案：C18.在GPT4o部署中，用于防止训练数据泄露的差分隐私参数ε通常设置为（）。A.0.1  B.1.0  C.8.0  D.16.0答案：C19.2025年10月，AWS推出的后量子TLS握手默认算法组合是（）。A.Kyber768+Dilithium3  B.Kyber512+Falcon512  C.ClassicMcEliece+Rainbow  D.NTRU+SPHINCS+答案：A20.在macOS15中，用于限制进程访问敏感文件的机制是（）。A.TCC  B.SIP  C.XProtect  D.Gatekeeper答案：A21.2025年11月，我国《网络安全等级保护2.0》四级系统要求的关键设备冗余度为（）。A.N+1  B.2N  C.2(N+1)  D.3N答案：B22.在PowerShell7.4中，用于阻止脚本执行混淆命令的新增引擎选项是（）。A.AMSI  B.CLM  C.WDAC  D.DeepScriptBlockLogging答案：D23.2025年12月，欧盟《NIS2指令》对基础服务运营商的罚款上限为（）。A.1000万欧元  B.全球营业额1%  C.全球营业额2%  D.700万欧元答案：C24.在5GAdvanced网络中，用于实现端到端切片安全隔离的协议层是（）。A.NAS  B.PDCP  C.SDAP  D.RLC答案：B25.2025年主流勒索软件采用的“三重勒索”策略中，第三步通常是（）。A.加密数据  B.泄露数据  C.DDoS攻击  D.联系媒体答案：C26.在Python3.13中，用于防止pickle反序列化攻击的默认模式是（）。A.allowlist  B.blocklist  C.safe  D.restricted答案：A27.2025年，我国《商用密码管理条例》要求二级密码产品检测周期为（）。A.1年  B.2年  C.3年  D.5年答案：B28.在TLS1.3中，用于实现0RTT重放保护的扩展是（）。A.EarlyData  B.ReplayWindow  C.AntiReplay  D.MaxEarlyData答案：A29.2025年，Intel发布的TDX1.5支持的虚拟机最大物理内存为（）。A.256GB  B.512GB  C.1TB  D.2TB答案：D30.在Linux内核6.9中，用于限制用户命名空间创建设备节点的能力是（）。A.CAP_SYS_ADMIN  B.CAP_MKNOD  C.CAP_SETFCAP  D.CAP_DAC_OVERRIDE答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项字母填入括号内，漏选、错选均不得分）31.以下哪些属于2025年主流云原生供应链攻击面（）。A.恶意helmchart  B.篡改OCI镜像  C.污染PyPI包  D.伪造SBOM答案：ABCD32.在iOS18中，新增隐私特性包括（）。A.锁定模式2.0  B.敏感内容警告  C.私密中继  D.联系人密钥验证答案：ABD33.2025年，符合我国《个人信息出境标准合同》要求的评估事项有（）。A.境外接收方所在国法律环境  B.数据出境规模  C.数据敏感程度  D.数据主体同意形式答案：ABCD34.以下哪些算法已被NIST后量子密码标准化第三轮选中（）。A.CRYSTALSKyber  B.Falcon  C.ClassicMcEliece  D.SIKE答案：ABC35.在Kubernetes威胁矩阵中，属于“初始访问”阶段的技术有（）。A.暴露的dashboard  B.云元数据服务  C.恶意镜像  D.容器逃逸答案：ABC36.2025年，以下哪些端口被IETF建议默认关闭以降低攻击面（）。A.Telnet23  B.SMB445  C.SNMP161  D.HTTP80答案：AC37.在Windows1124H2中，基于虚拟化的安全特性包括（）。A.CredentialGuard  B.HVCI  C.WindowsSandbox  D.UEFISecureBoot答案：ABC38.以下哪些属于2025年主流DevSecOps流水线安全工具（）。A.Snyk  B.Semgrep  C.Checkov  D.Fortify答案：ABCD39.在Linux内核6.8中，新增的内存安全缓解措施有（）。A.AUTOSLAB  B.kmallocrandomization  C.struct_layout_randomization  D.CFI答案：ABC40.2025年，以下哪些行为被《欧盟AI法案》认定为“高风险AI系统”（）。A.远程生物识别  B.教育评估  C.招聘决策  D.垃圾邮件过滤答案：ABC三、填空题（每空2分，共20分。请在横线上填写准确答案）41.2025年，我国《数据安全法》要求重要数据出境安全评估结果有效期为________年。答案：242.在TLS1.3握手过程中，Server发送的“EncryptedExtensions”消息使用的加密密钥是________。答案：server_handshake_traffic_secret43.2025年，IntelCPU采用的硬件级内存加密技术简称________。答案：TME44.在Kubernetes中，NetworkPolicy的policyTypes字段取值为Ingress、Egress或________。答案：Ingress,Egress45.2025年，NIST推荐的量子随机数发生器标准文档编号为________。答案：SP80090C46.在Android15中，用于限制应用后台启动Activity的新权限是________。答案：START_ACTIVITIES_FROM_BACKGROUND47.2025年，我国《关键信息基础设施安全保护条例》要求运营者至少每________年进行一次网络安全应急演练。答案：148.在Windows11中，基于HyperV的隔离容器运行时名称是________。答案：HyperVIsolatedContainer49.2025年，OpenSSH9.6默认启用的后量子密钥交换算法是________。答案：sntrup761x2551950.在Linux内核6.9中，用于限制非特权用户创建用户命名空间的sysctl参数是________。答案：kernel.unprivileged_userns_clone四、简答题（共30分）51.（封闭型，6分）简述2025年主流勒索软件利用“驱动程序签名强制关闭”技术实现内核级加载的具体步骤。答案：1.攻击者首先获取合法但存在漏洞的第三方驱动（如显卡、打印机驱动）签名证书；2.利用该驱动漏洞执行内核代码，修改nt!g_CiOptions全局变量，将0x6改为0x0，关闭驱动程序强制签名（DSE）；3.加载未经签名的恶意驱动，实现内核级持久化与AV绕过；4.恢复原始值避免被EDR检测到异常；5.通过恶意驱动注入勒索软件内核模块，完成磁盘加密与卷影删除。52.（开放型，8分）结合2025年实际案例，分析生成式AI服务在训练阶段引发的数据泄露风险，并提出至少三条技术缓解措施。答案：案例：2025年4月，某医疗AI助手在微调阶段因未清洗日志，导致20万条患者病历被模型记忆，并在用户提示词诱导下完整输出。风险：1.训练语料含敏感明文；2.模型参数过度拟合；3.输出缺乏过滤。缓解：1.训练前采用差分隐私（ε≤3）对敏感字段加噪；2.引入RLHF阶段加入“拒绝输出隐私”奖励模型；3.部署输出侧语义级DLP，实时阻断含身份证、病历号等模式响应；4.使用联邦学习+安全聚合，避免原始数据出域；5.建立红队持续promptinjection测试，每周更新过滤策略。53.（封闭型，6分）列出Kubernetes1.30中SeccompProfile的三种内置策略，并说明其权限高低顺序。答案：RuntimeDefault<Localhost<Unconfined；权限由低到高。54.（开放型，10分）2025年12月，某金融单位采用IntelTDX机密计算方案构建隐私数据共享平台，请给出完整数据流图（文字描述），并指出其中信任根、度量点、密钥层次与潜在侧信道风险。答案：数据流：1.数据提供方在TDXVM内生成AES256数据密钥，使用TDX封装密钥密封后上传对象存储；2.数据使用方启动证明流程，通过TDXQuote验证远程证明，获取RATLS证书；3.双方VM通过RATLS建立双向认证通道，协商出共享密钥；4.数据密文传输至使用方VM，TDX硬件自动解密至内存，应用完成联合建模；5.结果经差分隐私处理后返回。信任根：IntelTDXRootKeySealing；度量点：TDXMRTD（MeasurementRegisterofTD）；密钥层次：TDXRootKey→SealKey→SessionKey→DataKey；侧信道风险：缓存时序攻击（CacheTiming）、页表访问模式泄露、SMT超线程争用端口，可通过关闭超线程、启用TDXMemoryIntegrity、使用恒定时间算法缓解。五、应用题（共50分）55.（计算类，10分）某企业2025年采用Kyber768后量子算法替换RSA3072TLS握手，已知Kyber768公钥大小为1184字节，RSA3072为394字节。若日均握手1亿次，每次节省带宽成本0.0001元/字节，计算全年因公钥增大导致的额外成本，并评估是否仍值得迁移。答案：额外字节/次=1184−394=790字节额外成本/次=790×0.0001=0.079元年额外成本=0.079×10^8×365=2.8835亿元迁移收益：抗量子攻击，避免未来潜在勒索损失>10亿元；合规要求；长期节省证书更新开销。结论：值得迁移。56.（分析类，15分）给出2025年某APT组织利用“GitHubActions供应链投毒”完整攻击链，包括初始入口、持久化、横向移动、数据窃取、痕迹擦除五个阶段，并对应给出检测规则（Sigma或YARA）。答案：攻击链：1.初始：攻击者向热门开源库提交PR，触发workflow，利用writemodeGITHUB_TOKEN篡改releaseasset；2.持久化：在workflow中植入下载器，将恶意npm包上传至registry；3.横向：npm包在安装阶段窃取~/.npmrc、.env中云凭证，调用sts:AssumeRole横向至AWS生产区；4.窃取：使用s3sync将源代码桶复制至攻击者账户；5.擦除：利用cloudtrail:StopLogging+删除CloudWatchloggroup。检测：Sigma:title:SuspiciousGitHubWorkflowTokenAbuselogsource:github.auditdetection:selection:action:workflow_runrepository_visibility:publictoken_permissions:writerunner_label:selfhostedcondition:selectionandnot(head_branchin('main','master'))falsepositives:legitimatePRfromforkslevel:highYARA:rulenpm_stealer{strings:$a="npmconfiggetregistry"$b="fs.readFileSync('.env')"$c="axios.post('/exfil'"condition:allofthem}57.（综合类，25分）设计一套2025年零信任远程办公方案，覆盖身份、设备、网络、应用、数据五维，给出架构图（文字描述）、协议选型、威胁模型、成本估算、合规映射（ISO27001:2025、等保2.0四级、NISTCSF2.0），并编写一份向CFO汇报的ROI计算表（文字表格）。答案：架构：1.身份：OktaUniversalDirectory+FIDO2Passkey+Continuous