2025年网络安全与技术应用考试试题及答案

2025年网络安全与技术应用考试试题及答案1.单项选择题（每题1分，共20分）1.1在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制是A.RSA静态密钥传输B.ECDHEC.DH匿名密钥协商D.PSKonly答案：B1.2下列哪一项最能有效缓解BGP劫持攻击A.DNSSECB.RPKIRouteOriginValidationC.ARPspoofing检测D.SYNCookie答案：B1.3针对5G核心网SBA架构，Nf（NetworkFunction）之间默认采用的安全协议是A.IPsecESP传输模式B.TLS1.3withmutualauthenticationC.GREoverIPv6D.L2TPv3答案：B1.4在Linux内核中，可针对eBPF程序实施强制签名验证的配置项是A.kernel.yama.ptrace_scopeB.kernel.ebpf_lockedC.kernel.unprivileged_bpf_disabledD.net.core.bpf_jit_enable答案：C1.5某云函数（Lambda）运行时出现“brokenaccesscontrol”漏洞，最可能的原因是A.未启用ENIB.函数角色权限策略过度宽松C.未开启KMS自动轮换D.冷启动超时答案：B1.6针对量子计算威胁，以下哪种公钥算法目前被NIST遴选为标准化候选A.RSA3072B.ECDSAP256C.CRYSTALSKYBERD.DiffieHellman2048答案：C1.7在Windows1124H2中，默认阻止PasstheHash的核心技术是A.CredentialGuardwithVBSB.UACMaxTokenC.LSACacheisolationD.WindowsHelloforBusiness答案：A1.8某企业采用零信任架构，其策略引擎在授权时最不依赖A.用户身份B.设备健康C.网络位置白名单D.资源敏感度答案：C1.9针对OAuth2.1授权码流程，PKCE扩展主要防御的攻击是A.CSRFB.AuthorizationCode截获重放C.XSSD.Clickjacking答案：B1.10在容器逃逸漏洞中，最常用内核提权接口是A./proc/sys/kernel/core_patternB./sys/kernel/debugC./proc/sys/vm/swappinessD./sys/fs/cgroup/memory.max答案：A1.11某IDS规则alerttcpanyany>any3389(msg:"RDPbruteforce";flow:to_server;content:"|0300|";threshold:typeboth,trackby_src,count5,seconds30;)中，threshold字段的作用是A.限定匹配包大小B.抑制误报，5次/30秒才告警C.限定方向D.限定payload偏移答案：B1.12在IPv6网络中，用于替代ARP的协议是A.ND（NeighborDiscovery）B.SLAACC.DHCPv6PDD.MLD答案：A1.13关于AESGCM模式，下列说法正确的是A.不提供完整性校验B.需要额外HMACC.内置认证标签D.不可并行计算答案：C1.14某芯片启用SecureBoot，其信任根通常存储在A.SPIFlashB.eFuseC.DDRD.NVMe答案：B1.15在KubernetesRBAC中，可跨namespace授予权限的对象是A.RoleB.ClusterRoleC.ServiceAccountD.PodSecurityPolicy答案：B1.16针对机器学习模型窃取攻击，最经济的防御手段是A.同态加密B.差分隐私C.模型水印D.降低查询速率+置信度截断答案：D1.17在Android14中，限制非系统应用读取已安装应用列表的新权限是A.QUERY_ALL_PACKAGESB.INSTALL_PACKAGESC.READ_PHONE_STATED.MANAGE_EXTERNAL_STORAGE答案：A1.18某网站启用HSTS，其预加载列表由谁维护A.W3CB.GoogleChromium项目C.IETFD.ICANN答案：B1.19在SMTP邮件传输中，用于防止域名伪造的协议是A.SPFB.STARTTLSC.S/MIMED.IMAP4答案：A1.20某企业采用SASE架构，其安全代理节点被称为A.PoPB.CDNC.SDWANControllerD.GREGateway答案：A2.多项选择题（每题2分，共20分；每题至少两个正确答案，多选少选均不得分）2.1以下哪些属于常见的侧信道攻击A.SpectreB.MeltdownC.RowhammerD.BlueKeep答案：A、B、C2.2关于DNSoverHTTPS（DoH）的正确描述A.基于UDP443端口B.可防止中间人篡改响应C.可能绕过企业内网DNS策略D.查询流量外观类似普通HTTPS答案：B、C、D2.3以下哪些措施可有效降低容器镜像供应链风险A.使用SigstoreCosign签名B.启用镜像SBOM生成C.基于Alpine最新稳定版D.运行dockerscan进行CVE检查答案：A、B、D2.4在Windows域环境中，可用来检测DCSync攻击的日志ID包括A.4662B.4672C.5136D.4624答案：A、B2.5以下哪些算法属于抗量子数字签名候选A.DilithiumB.FalconC.RSAPSSD.SPHINCS+答案：A、B、D2.6关于HTTP/3的正确说法A.基于QUIC传输B.强制使用TLS1.3C.默认端口443/UDPD.头部压缩采用HPACK答案：A、B、C2.7以下哪些技术可用于实现微隔离（Microsegmentation）A.VXLAN+GroupPolicyB.SRMPLSC.eBPFbasedfirewallD.SDP（SoftwareDefinedPerimeter）答案：A、C、D2.8针对AI训练数据投毒，可采用的检测手段A.数据谱系追踪B.损失函数突变监控C.梯度范数裁剪D.多视图一致性校验答案：A、B、D2.9以下哪些属于NISTCSF2.0核心功能A.IdentifyB.ProtectC.DetectD.Recover答案：A、B、C、D2.10在Android应用逆向中，可用来检测Root/越狱环境的API有A.SafetyNetAttestationB.PlayIntegrityAPIC.getpropro.debuggableD.ptracePTRACE_TRACEME答案：A、B、C、D3.填空题（每空1分，共20分）3.1在TLS1.3中，用于加密EarlyData的密钥称为________。答案：0RTT密钥3.2某SHA256哈希值长度为________位。答案：2563.3IPv6地址2001:db8::1/64中，前缀长度为________。答案：643.4在Kubernetes中，NetworkPolicy资源基于________标签选择Pod。答案：namespace+Pod3.5用于签名JWT的算法HS256中，256表示________的摘要长度。答案：SHA2563.6在Windows中，lsass.exe进程内存转储文件常被用于提取________哈希。答案：NTLM3.7某EDR产品使用MITREATT&CK框架，其中T1548.002代表________技术。答案：BypassUserAccountControl3.8在公钥基础设施中，OCSP的默认端口是________。答案：80（或443，标准答案80）3.9某企业采用SCIM2.0协议，其RESTful端点BaseURL通常为________。答案：/scim/v23.10在Linux中，启用SYNCookie的内核参数是________。答案：net.ipv4.tcp_syncookies3.11某芯片采用ARMv9，其机密计算架构被称为________。答案：CCA（ConfidentialComputeArchitecture）3.12在SMTP扩展中，用于强制TLS的命令是________。答案：STARTTLS3.13某云存储桶策略中，Principal字段设为""表示________。答案：任意用户（匿名）3.14在Wireshark中，过滤TLS1.3握手流量的显示过滤器为________。答案：tls.handshake.type==1||tls.handshake.type==23.15某零信任厂商提出“3A”原则，分别指Authentication、Authorization与________。答案：Accounting（或Audit，标准答案Accounting）3.16在Python3.11中，用于安全随机数生成的函数为________。答案：secrets.token_bytes3.17某企业采用DevSecOps，SAST指________测试。答案：静态应用安全3.18在5G中，SUCI用于隐藏________。答案：SUPI（用户永久标识）3.19某勒索软件采用Salsa20加密文件，其密钥长度通常为________位。答案：2563.20在区块链中，以太坊EIP1559引入的交易费用机制称为________。答案：BaseFee+Tip4.简答题（每题6分，共30分）4.1简述TLS1.3与TLS1.2在握手延迟上的差异，并说明其技术原因。答案：TLS1.2完整握手需2RTT：ClientHello→ServerHello→Certificate→ClientKeyExchange→Finished。TLS1.3将密钥协商与参数交换合并，并采用PSK或(EC)DHE，首次握手仅1RTT；若使用0RTT，可进一步将应用数据随ClientHello一起发送。技术原因：1.删除RSA密钥传输，强制前向安全；2.将证书与密钥协商并行；3.使用EncryptedExtensions压缩扩展；4.0RTT基于外部PSK或上一次会话的resumption_secret。4.2说明零信任架构中“持续信任评估”引擎的数据来源与决策流程。答案：数据来源：1.身份与凭证（IdP、MFA、证书）；2.设备健康（MDM、EDR、补丁、TPM状态）；3.网络上下文（地理位置、IP声誉、横向移动指标）；4.应用行为（UEBA、DLP、异常模型）；5.威胁情报（IOCs、ATT&CK映射）。决策流程：1.策略引擎（PE）收集实时遥测；2.风险评分模型加权计算；3.若评分高于阈值，触发动态控制：降级权限、强制重认证、隔离设备或会话；4.审计日志送至SIEM，用于回溯与模型再训练。4.3概述容器逃逸的三种典型利用路径，并给出对应缓解措施。答案：路径1：内核漏洞（如CVE20220847DirtyPipe），通过重写只读文件提权；缓解：及时更新内核，启用Seccomp、AppArmor。路径2：特权容器+危险挂载（如/var/run/docker.sock），可访问宿守护进程；缓解：禁止privileged，使用UserNS，启用PodSecurityPolicy/OPAGatekeeper。路径3：配置错误—capadd=SYS_ADMIN配合未启用CGROUPv1限制；缓解：最小Capabilities，启用Cgroupv2，使用rootless容器。4.4解释量子计算对RSA与ECDSA的威胁原理，并给出迁移时间表建议。答案：Shor算法可在多项式时间内分解大整数与计算离散对数，导致RSA与ECDSA私钥被恢复。NIST预计2030年前出现“密码相关”量子计算机（CRQC）。建议：2025年前完成库存评估；20262027年在测试环境部署混合算法（如TLS1.3+KYBER+Falcon）；20282029年生产环境全面迁移；2030年后禁用纯RSA/ECDSA。4.5说明SASE与SDWAN在网络安全功能上的主要差异。答案：SDWAN侧重分支互联与路径优化，安全功能为附加模块；SASE将安全栈（SWG、CASB、ZTNA、FWaaS）与网络栈融合为云服务。差异：1.交付模式：SDWAN多为CPE，SASE为PoP云原生；2.策略点：SDWAN在边缘，SASE在云端统一；3.零信任：SASE内置身份驱动，SDWAN需额外集成；4.弹性：SASE按需弹性，SDWAN需预留带宽。5.综合应用题（共60分）5.1密码协议分析（15分）某物联网设备采用自定义密钥协商：①设备→服务器：发送设备ID||RSA2048加密(AES密钥)②服务器→设备：返回SHA1(MD5(口令))作为会话密钥③后续通信使用AESECB加密。问题：（1）指出三处主要安全缺陷；（2）给出最小改动方案，使协议达到现代安全水平。答案：（1）缺陷：a.RSA2048静态加密，无前向安全；b.会话密钥仅依赖弱哈希SHA1(MD5)，可离线爆破；c.AESECB无随机性，易重放与明文泄露。（2）最小改动：①使用ECDHEP256+SHA256完成1RTT握手，生成共享密钥；②使用HKDFSHA256派生会话密钥；③采用AES256GCM，附带递增IV与附加数据认证；④添加设备端证书或SIGFalcon签名防伪造。5.2网络流量分析（15分）给定pcap片段，观察到连续TCP三次握手后，客户端立即发送50字节载荷，服务器回16字节，连接关闭。特征：客户端端口随机，目标端口4444；载荷前4字节为0xdeadbeef；16字节响应前4字节为0xbeafdead；时间间隔均匀1秒，共200次。任务：（1）判断可能的恶意行为类型；（2）写出Suricata规则检测该流量；（3）说明如何降低误报。答案：（1）疑似后门心跳或C2通道，固定魔数+短报文+周期性。（2）Suricata规则：alerttcpanyany>any4444(msg:"PossibleBackdoorBeacon";flow:established,to_server;content:"|deadbeef|";offset:0;depth:4;threshold:typeboth,trackby_src,count10,seconds10;sid:1000001;)（3）降低误报：1.加入payload长度限定；2.检查双向魔数；3.结合JA3/JA3S异常；4.与白名单游戏或工控协议对比。5.3云原生应急响应（15分）某K8s集群发现异常Pod名为“xmr64cd8”，镜像为“ubuntu:nc”，命令“nce/bin/bash53”，CPU占用800%。任务：（1）写出封锁步骤（不删除Pod以便取证）；（2）给出提取内存与网络证据的命令；（3）说明如何阻断同类横向移动。答案：（1）封锁：①kubectllabelpodxmr64cd8quarantine=true；②NetworkPolicy隔离Egress，仅允许至metadataserver；③暂停容器：crictlpause<containerID>；④保存事件：kubectlgeteventssortby='.lastTimestamp'>events.log。（2）提取：内存：kubectlexecxmr64cd8ddif=/dev/mem|gzip1>/tmp/mem.gz，或使用kubectldebug添加临时容器挂载/proc/$pid/mem；网络：nsentert<pid>ntcpdumpianyw/tmp/nc.pcap；进程：kubectlexecxmr64cd8lsal/proc//fd>/tmp/fds.log。（3）阻断：1.启用AdmissionWebhook，禁止镜像含“nce”命令；2.PodSecurityStandard强制baseline，禁止hostNetwork；3.使用eBPF监测反向shell特征（如connect+execve）；4.网络分段：默认denyall，显式允许DNSonlyegress。5.4量子安全迁移预算计算（15分）某金融公司拥有5000台TLS终端（含Web、API、移动端）。迁移策略：双算法证书：ECDSAP256+CRYSTALSDilithium证书有效期1年，自动化ACME签发；每台终端平均CPU增加15%开销，现CPU利用率30%，峰值70%；量子证书链长度增加2KB，平均日流量1GB/终端。任务：（1）计算全年额外带宽（GB）；（2）评估是否需要扩容CPU，给出计算过程；（3）若采用硬件加速卡（每卡支持1000TPS，价格$2000，功耗50W），计算ROI平衡点（电费$0.1/kWh，3年折旧）。答案：（1）额外带宽：2KB×5000×365=3.65GB×1000=3650GB/年。（2）CPU：现峰值70%，增加15%后70%×1.15=80.5%<100%，无需扩容；但考虑突发+2σ，建议预留20%，故需扩容10%服务器，或采用硬件加速。（3）硬件卡：需支持峰值TPS：假设每台终端峰值200TPS，5000×200=1e6TPS，需1000张卡；成本：1000×$2000=$2e6；年电费：1000×50W×24×365=438MWh，$43.8k；3年总成本：$2e6+$131.4k=$2.1314e6；若不用卡需云CPU实例升级费用$3e6，则ROI=(32.13)/2.13≈41%，平衡点约2.1年。6.设计与论述题（共30分）6.1设计一套面向2026年大型政务云的“数据主权”技术框架（20分）。要求：覆盖跨域数据流动、加密、审计、销毁；兼容抗量子算法；支持国密与FIPS双栈；给出分层架构图与关键接口定义；论证合规性（含《数据出境安全评估办法》、GDPR参考）。答案：框架名称：SovereignMesh2.0分层：1.物理层：国家骨干网+主权POP，启用RPKI与DNSSEC根；2.可信硬件层：国产TPM2.0+ARMCCA，远程attestation采用国密SM2签名+Dilithium混合；3.密码服务层：算法仓库：SM2/3/4、AESGCM、Kyber、Dilithium；统一KMS：支持HSM池、密钥分片、阈值签名；密