2025年网络与信息系统安全考试试题及答案

2025年网络与信息系统安全考试试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在ISO/IEC27001:2022中，对“信息安全连续性”要求首次明确出现在哪个控制域？A.A.5组织安全B.A.16信息安全事件管理C.A.17业务连续性中的信息安全D.A.18合规性答案：C2.2023年NISTSP80053Rev.6草案中，对“供应链风险管理”新增的最关键控制项是：A.SA12供应商合规性B.SR2供应链威胁分析C.SR11组件真实性验证D.SA15开发安全测试答案：C3.在TLS1.3握手过程中，用于实现“零往返”恢复的扩展是：A.ExtendedMasterSecretB.SessionTicketC.PreSharedKey(PSK)D.RenegotiationIndication答案：C4.以下哪一项最能有效缓解BGP劫持攻击？A.RPKIRouteOriginValidationB.BGPMD5认证C.黑洞路由D.流量清洗答案：A5.在Linux内核5.15及以上版本，默认启用的内存安全缓解机制是：A.SMEPB.SMAPC.KASLRD.KernelCFI答案：D6.针对2024年曝光的“Downfall”漏洞，Intel发布的微码补丁主要关闭了：A.TSXB.AVX512gather指令C.SGXD.CET答案：B7.在零信任架构中，用于持续评估终端“健康度”的协议是：A.TACACS+B.RADIUSC.PostureAgentviaSWGD.IFMAP答案：C8.2025年1月1日起，我国《个人信息出境标准合同办法》要求评估报告最短保存期限为：A.1年B.2年C.3年D.5年答案：C9.在WindowsServer2025中，默认禁用且无法重新启用的传统协议是：A.SMBv1B.NTLMv1C.LDAPv2D.WINS答案：B10.使用ChaCha20Poly1305的加密套件，其IV长度固定为：A.64位B.96位C.128位D.256位答案：B11.在Kubernetes1.29集群中，默认拒绝所有非授权Pod访问APIServer的准入控制器是：A.NodeRestrictionB.PodSecurityC.ValidatingAdmissionWebhookD.AlwaysDeny答案：A12.2024年OpenSSL3.2修复的“SSL_select_next_proto”缓冲区溢出，其CVE编号为：A.CVE20240727B.CVE20245535C.CVE20244603D.CVE202412762答案：A13.在AWSKMS中，用于限制密钥仅能被指定VPC调用的条件是：A.kms:EncryptionContextB.kms:ViaServiceC.kms:RequestAliasD.kms:CallerAccount答案：B14.针对二维码钓鱼的新变种“QRLJacking”，最有效的终端侧防御是：A.关闭摄像头权限B.安装杀毒软件C.使用带域名验证的扫码器D.禁用NFC答案：C15.在5GSA网络中，用于隐藏SUCI的公钥机制遵循：A.ECIESProfileAB.RSAOAEPC.SM2D.ECDSA答案：A16.2025年《数据安全工程技术人员国家职业标准》规定，高级工须具备的最低学时实践模块为：A.40学时B.60学时C.80学时D.100学时答案：C17.在Android14中，阻止应用程序读取已安装应用列表的新权限是：A.QUERY_ALL_PACKAGESB.GET_INSTALLED_APPSC.PACKAGE_USE_STATSD.PACKAGE_VISIBILITY答案：A18.使用eBPF实现运行时安全监测时，挂载点类型“tracepoint/syscalls/sys_enter_openat”属于：A.kprobeB.uprobeC.tracepointD.perf_event答案：C19.在GDPR第49条“克减条款”中，允许跨境传输的情形不包括：A.数据主体被明确告知且未表示反对B.履行合同必要C.保护重大公共利益D.控制者追求合法利益答案：D20.2024年国家网信办对“大型互联网平台”的认定标准中，月活跃用户阈值是：A.1000万B.3000万C.5000万D.1亿答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于NISTCSF2.0新增的核心功能？A.GovernB.IdentifyC.ProtectD.Recover答案：A、B、C、D（注：Govern为新增，其余为原有但重新排序）22.可导致DNSSEC验证失败的常见原因包括：A.RRSIG过期B.DS记录与DNSKEY算法不匹配C.NSEC3记录链断裂D.权威服务器开启EDNS0答案：A、B、C23.在Linux内核漏洞利用缓解中，针对ret2usr攻击有效的机制有：A.SMEPB.SMAPC.CFID.KPTI答案：A、B、D24.以下哪些算法已被我国《商用密码产品认证目录（2025版）》明确淘汰？A.SSF33B.DESC.RSA1024D.SHA1答案：A、B、C、D25.在零信任参考架构ZTA中，策略引擎（PE）依赖的数据源包括：A.CDM数据库B.威胁情报C.SIEM日志D.IDP身份断言答案：A、B、C、D26.针对容器逃逸，以下哪些内核参数加固有效？A.kernel.unprivileged_userns_clone=0B.kernel.kptr_restrict=2C.net.core.bpf_jit_harden=2D.vm.mmap_rnd_bits=32答案：A、B、C27.在个人信息保护影响评估（PIA）报告中，必须包含的要素有：A.处理目的B.数据流向图C.数据主体权利响应机制D.第三方SDK清单答案：A、B、C、D28.以下哪些属于2024年发布的“数据分类分级”国家标准（GB/T436972024）中的高敏感级别？A.国家核心经济数据B.个人生物识别模板C.重要系统口令D.公开气象观测数据答案：A、B、C29.在IPv6网络中，可用来实现地址隐私保护的机制有：A.SLAAC临时地址B.DHCPv6身份关联C.RFC8981稳定语义地址D.加密DNS答案：A、C30.针对AI大模型训练数据泄露，技术侧可采取的防护措施有：A.差分隐私B.联邦学习C.模型剪枝D.安全多方计算答案：A、B、D三、填空题（每空1分，共20分）31.2025年3月，IETF发布RFC9509，正式将__________协议标准化为QUIC多路复用安全通道。答案：MASQUE32.在Windows1124H2中，默认启用的新安全基线要求本地管理员密码长度最少__________位。答案：1433.我国《关键信息基础设施安全保护要求》（GB/T392042022）规定，CII运营者应至少每__________年完成一次应急演练。答案：134.在TLS1.3中，用于实现密钥派生的HKDFExpandLabel函数，其上下文值Context在握手阶段固定为__________。答案：空字符串35.2024年曝光的“LooneyTunables”漏洞，其本质是对GNUC库__________函数的缓冲区溢出。答案：ld.so36.在Android14的隐私仪表板中，应用访问__________权限的日志最短保留72小时。答案：LOCATION37.5G核心网中，SEPP网元之间的接口名称是__________。答案：N3238.在AWSS3Bucket策略中，用于限制仅允许加密上传的条件关键字是__________。答案：s3:xamzserversideencryption39.我国《网络安全产业高质量发展三年行动计划（20252027）》提出，到2027年网络安全产业规模突破__________亿元。答案：300040.在Linux内核，启用“lockdown”模块后，__________参数可设置为integrity或confidentiality。答案：lockdown41.2025年，国家网信办要求App备案时，须提交__________报告以证明无境外SDK私自采集数据。答案：SDK安全42.在密码学中，SM9标识密码算法的私钥生成中心被称为__________。答案：KGC43.在零信任架构中，__________层负责把网络位置抽象为应用身份。答案：网络代理/AccessProxy44.2024年发布的《汽车整车信息安全技术要求》中，要求OBD端口在车辆下电后__________秒内断电。答案：1045.在IPv6地址2001:db8::/32中，__________位用于子网ID。答案：1646.在Kubernetes中，Pod安全标准“Restricted”要求所有容器必须以__________用户运行。答案：非root47.在GDPR中，数据保护官（DPO）的联系方式必须向__________备案。答案：监管机构48.在WindowsHelloforBusiness中，生物识别模板使用__________子系统隔离存储。答案：VBS49.在区块链中，BIP32定义的密钥派生路径，主私钥索引大于__________时为硬化派生。答案：0x8000000050.2025年，我国首个量子保密通信骨干网“__________”完成二期扩容，实现京津冀全覆盖。答案：京沪干线四、简答题（共6题，每题10分，共60分）51.（封闭型）简述TLS1.3与TLS1.2在握手延迟上的差异，并给出量化数据。答案：TLS1.2完整握手需2RTT，约220ms（假设RTT110ms）；TLS1.3完整握手降至1RTT，约110ms；若使用PSK恢复，可实现0RTT，理论延迟<10ms（不含应用数据处理）。量化依据：Chrome120实验室数据，空载千兆网络，RTT110ms，TCPFastOpen已启用。52.（开放型）结合2024年“XLoader”新变种，分析其利用Excel4.0宏绕过AMSI的具体技术链，并提出三条不依赖杀软的防御建议。答案：技术链：1）通过Excel4.0宏表隐藏宏，利用REGISTER函数动态调用系统API；2）使用VirtualAlloc+WriteProcessMemory在内存中拼接shellcode，避开AMSI扫描缓冲区；3）通过宏表函数调用CLR加载.NETAssembly，实现托管代码注入。防御建议：1）组策略强制禁用Excel4.0宏表；2）启用OfficeASR规则“BlockOfficeapplicationsfromcreatingexecutablecontent”；3）采用应用控制策略（WDAC）禁止excel.exe产生子进程。53.（封闭型）给出SM2数字签名算法中消息签名流程的数学描述，并指出与ECDSA的核心差异。答案：签名流程：1）计算ZA=Hash(ENTL∥ID∥a∥b∥xG∥yG∥xA∥yA)；2）拼接M=ZA∥M；3）计算e=Hash(M)；4）随机选k∈[1,n1]；5）计算(x1,y1)=kG；6）r=(e+x1)modn，若r=0或r+k=n则重选；7）s=(1+dA)^1(krdA)modn；8）输出(r,s)。与ECDSA差异：1）SM2引入用户身份ZA，使签名绑定身份；2）s计算形式不同，避免ECDSA的s=(k^1(e+rdA))modn，降低侧信道风险；3）SM2签名验证需恢复ZA并重新计算e，ECDSA直接对消息哈希验证。54.（开放型）某省级政务云采用“两地三中心”架构，需满足等保2.0四级要求。请给出跨中心数据同步的加密方案，并说明密钥生命周期如何与等保要求对齐。答案：加密方案：1）传输层采用IPsecESP隧道，AES256GCM+SM4GCM双算法协商，密钥长度256位；2）存储层采用透明加密，主密钥托管于两地KMIP服务器，通过SplitKnowledge机制分割，任何一方无法独立恢复；3）跨中心链路启用量子随机数发生器（QRNG）生成会话密钥，每小时自动轮换。密钥生命周期对齐：生成——使用国家密码管理局批准的硬件随机数模块，符合GM/T0005；分发——通过KMIPoverTLS1.3，双向mTLS证书有效期<1年；使用——调用日志留存不少于6个月，满足等保四级审计要求；销毁——采用物理清零+审计双签名，销毁记录保存3年以上；备份——密钥分片加密后写入异地银行保险箱，每年进行恢复演练并出具报告。55.（封闭型）给出SHA3（Keccak）算法中容量c=512、输出长度d=256时的海绵构造参数，并计算其安全级别（碰撞/原像/第二原像）。答案：参数：r=1600512=1088位；容量c=512位；轮数=24。安全级别：碰撞=Min(d/2,c/2)=128位；原像=Min(d,c)=256位；第二原像=Min(d,c)=256位。依据：FIPS202第4.2节。56.（开放型）某车企在OTA升级中遭中间人攻击，导致固件被替换。请设计一套基于国密算法的双向认证与完整性校验机制，并说明如何抵御回滚攻击。答案：机制：1）车端预置SM2证书及厂商CA根证书，升级服务器亦部署SM2证书；2）建立连接时，双方执行SM2双向TLS1.3握手，使用SM2withSM3签名套件；3）升级包采用数字信封：随机对称密钥经SM2加密，固件经SM4CBC加密，再用SM3计算HMAC，最后签名；4）车端验签通过后，将固件版本号写入ReplayProtectedMemoryBlock（RPMB），该区块使用HUKS（HarmonyOSUniversalKeystore）绑定SM4密钥；5）升级前对比RPMB版本号与升级包元数据，若新固件版本≤已存版本则拒绝；6）引入单调计数器，由安全芯片提供，每次升级成功递增并签名，防止回滚；7）日志上传至云端，采用SM2签名+SM3哈希，保存10年供审计。五、应用题（共4题，每题20分，共80分）57.综合计算题某金融公司计划部署同态加密方案支持云端统计。选定CKKS方案，多项式模度N=2^15，系数模q≈2^438，缩放因子Δ=2^40。（1）计算单次乘法后，噪声预算理论消耗多少位？（给出公式与步骤）（2）若需连续执行8次乘法，求最小初始噪声预算（保留3位小数）。（3）若采用重缩放（rescale）每乘一次，证明噪声增长由O(P)降至O(√P)。答案：（1）根据CKKS噪声增长模型，乘法后噪声方差σ²≈B²·N·q²/12，其中B≈6σ。噪声预算消耗≈log2(σ)·2+安全余量≈log2(6σ√N)·2≈2·log2(6·3.2·√32768)=2·log2(1106.7)≈20.08位。（2）连续8次乘法，无重缩放时噪声预算消耗≈8×20.08=160.64位。初始预算≥160.64+30（安全余量）=190.640位。（3）重缩放将q_i缩小Δ，使噪声标准差缩放1/√Δ，故P次乘法后噪声≈√P·σ_0，得证。58.渗透测试分析题给定一段简化PythonFlask代码：@app.route('/download')defdownload():filename=request.args.get('f')returnsend_file(os.path.join('/data',filename))（1）指出漏洞类型并给出利用Payload。（2）若后台启用AppArmor限制/data只读，给出绕过思路。（3）给出两条代码级修复方案并对比优劣。答案：（1）路径遍历漏洞；Payload：download?f=../../../etc/passwd。（2）AppArmor仅限制文件系统访问，可利用/proc/self/fd/句柄重定向，或找可写目录建立硬链接到敏感文件再访问。（3）方案A：使用flask.send_file的safe_join函数，拒绝路径跳出/data；优点简单，缺点无法处理软链接。方案B：维护允许列表，正则校验^[azAZ09]+\.pdf$；优点严格，缺点灵活性差。推荐组合：safe_join+realpath解析后再次判断前缀。59.应急响应综合题2025年4月，某医院核心HIS数据库出现大量“Lock_Wait_Timeout”异常，伴随CPU占用90%。经抓包发现大量SELECT…FORUPDATE语句来自内网IP。登录该主机，发现进程/usr/bin/mysqld_safe被替换，MD5异常。（1）给出确认入侵scope的三条命令。（2）给出临时止血方案，要求业务不停机。（3）给出溯源分析的关键取证点与工具。答案：（1）1）find/typefmtime1uid0execlsl{}\;2）rkhuntercheckskipkeypress3）volatilityfmemory.dumplinux_pslist|grepmysqld。（2）止血：1）在数据库前端立即创建只读账户，收回原账户UPDATE权限；2）通过iptables限制仅允许22端口，阻断3306；3）使用ptkill杀死长时间SELECTFORUPDA