2025年网络安全知识考试试题及答案

2025年网络安全知识考试试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2024年12月，国家互联网信息办公室发布的《个人信息出境标准合同办法》修订稿中，对敏感个人信息出境的最低数量门槛调整为（）。A.1万人B.5万人C.10万人D.50万人答案：C2.在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制是（）。A.RSA静态密钥交换B.DH静态密钥交换C.ECDHE临时密钥交换D.PSKonly密钥交换答案：C3.2025年3月，某大型云厂商因S3存储桶策略配置错误导致大量用户数据泄露，该事件在MITREATT&CK框架中对应的战术阶段为（）。A.InitialAccessB.PersistenceC.ExfiltrationD.Impact答案：A4.根据《中华人民共和国数据安全法》第21条，国家核心数据实行（）保护制度。A.分类分级B.备案审查C.严格管控D.风险评估答案：C5.在WindowsServer2025中，默认启用且用于阻止凭据转储的虚拟化安全特性是（）。A.CredentialGuardB.LSAProtectionC.WindowsHelloD.DeviceGuard答案：A6.以下关于SM4分组密码算法的叙述，正确的是（）。A.分组长度128位，密钥长度128位，迭代轮数16轮B.分组长度256位，密钥长度256位，迭代轮数32轮C.分组长度128位，密钥长度256位，迭代轮数10轮D.分组长度64位，密钥长度128位，迭代轮数16轮答案：A7.2025年5月，某APT组织利用WPSOffice0day漏洞（CVE202521234）实施鱼叉攻击，该漏洞类型属于（）。A.栈溢出B.类型混淆C.UAFD.整数溢出答案：B8.在零信任架构中，用于持续评估终端设备安全状态的协议是（）。A.RADIUSB.TACACS+C.PostureAssessmentProtocolD.NetFlow答案：C9.2025年6月1日起正式施行的《生成式人工智能服务管理暂行办法》要求，服务提供者应在训练数据集中对个人信息进行（）处理。A.去标识化B.匿名化C.加密D.脱敏答案：B10.在Linux内核5.19及以上版本，用于缓解SpectreV2攻击的默认启用机制是（）。A.retbleedB.IBRSC.eIBRSD.STIBP答案：C11.2025年OWASPTop10首次将“生成式AI提示注入”列入风险榜单，其对应编号为（）。A.A01B.A02C.A03D.A06答案：D12.在IPv6网络中，用于实现地址随机化以抵御扫描攻击的扩展报头是（）。A.RoutingHeaderB.FragmentHeaderC.DestinationOptionsHeaderD.HopbyHopOptionsHeader答案：C13.2025年，NIST发布的后量子密码标准中，用于密钥封装的算法是（）。A.CRYSTALSDilithiumB.FalconC.CRYSTALSKYBERD.SPHINCS+答案：C14.在Android15中，默认启用的内存安全语言用于编写系统服务的是（）。A.KotlinB.RustC.SwiftD.Go答案：B15.2025年，某车企因TBox固件未校验OTA升级包签名，导致远程批量控车事件，该漏洞在CVSSv4.0中“可利用性”指标最高得分为（）。A.1.0B.1.2C.1.4D.1.6答案：C16.在DNSoverHTTPS（DoH）中，用于防止服务器日志泄露用户隐私的推荐响应头字段是（）。A.CacheControlB.XContentTypeOptionsC.XForwardedForD.TTL答案：A17.2025年，IETF发布的RFC9500将QUIC版本号字段长度扩展至（）字节，以应对版本降级攻击。A.1B.2C.4D.8答案：C18.在Kubernetes1.32中，默认启用且用于限制容器进程权限的强制访问控制机制是（）。A.SELinuxB.AppArmorC.SeccompD.RBAC答案：B19.2025年，某省政务云采用“国密双证书”体系，其中用于签名验签的算法是（）。A.SM2B.SM3C.SM4D.SM9答案：A20.在Windows1124H2中，用于阻止内核驱动篡改的虚拟化安全特性是（）。A.HVCIB.VBSC.DRTMD.TPM2.0答案：A21.2025年，欧盟《网络弹性法案》正式生效，要求所有带数字组件的产品在上市前需通过（）认证。A.CEREDB.CECYBERC.CENIS2D.CECRA答案：D22.在SSL/TLS证书透明化日志中，用于防止预证书劫持的扩展项是（）。A.CTPrecertificateSCTB.OCSPMustStapleC.ExtendedValidationD.CertificatePolicies答案：A23.2025年，某金融App因未采用防截屏策略被通报，其在Android系统中对应的安全标志位是（）。A.FLAG_SECUREB.FLAG_FULLSCREENC.FLAG_ACTIVITY_NEW_TASKD.FLAG_DEBUGGABLE答案：A24.在IEEE802.1X2025中，新增用于抵御EAPTLS会话劫持的扩展是（）。A.EAPTLS1.3B.EAPTLS1.2C.EAPTLS1.1D.EAPTLS1.0答案：A25.2025年，国家密码管理局发布的《商用密码产品认证规则》中，安全等级最高的认证级别是（）。A.一级B.二级C.三级D.四级答案：D26.在Linux系统中，用于限制进程调用系统调用范围的沙箱机制是（）。A.chrootB.seccompbpfC.namespacesD.cgroups答案：B27.2025年，某运营商因BGP路由劫持导致全球流量绕行，其劫持类型属于（）。A.前缀劫持B.子前缀劫持C.路径伪造D.以上都是答案：D28.在WindowsDefender2025中，用于检测LivingofftheLand攻击的机器学习模型名称是（）。A.AntimalwareScanInterfaceB.AttackSurfaceReductionC.BehaviorMonitoringEngineD.ClouddeliveredProtection答案：C29.2025年，NISTSP80053Rev6首次将“量子威胁”列入（）控制族。A.AccessControlB.RiskAssessmentC.SystemandCommunicationsProtectionD.AwarenessandTraining答案：C30.在iOS18中，默认启用的锁定模式（LockdownMode）会禁用（）功能以减小攻击面。A.JIT编译B.WebAssemblyC.共享相册D.以上都是答案：D二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下关于2025年《数据出境安全评估办法》修订内容的描述，正确的有（）。A.将数据出境评估有效期从2年延长至3年B.新增“重要数据”清单由省级网信部门发布C.引入“风险自评估”与“第三方评估”双轨制D.取消对个人信息出境数量门槛的限制答案：A、C32.在Kubernetes集群中，以下哪些配置能有效缓解容器逃逸风险（）。A.启用PodSecurityPolicy或PodSecurityStandardsB.将容器的securityContext.readOnlyRootFilesystem设为trueC.将容器的securityContext.privileged设为trueD.启用SeccompProfile答案：A、B、D33.2025年，以下哪些算法被NIST纳入后量子数字签名标准（）。A.CRYSTALSDilithiumB.FalconC.RainbowD.SPHINCS+答案：A、B、D34.在WindowsServer2025中，以下哪些功能依赖虚拟化安全（VBS）开启（）。A.CredentialGuardB.HVCIC.WindowsSandboxD.BitLocker答案：A、B、C35.2025年，以下哪些属于《个人信息保护法》规定的敏感个人信息（）。A.14岁以下未成年人的个人信息B.金融账户随机生成的令牌C.个人位置轨迹D.健康医疗数据答案：A、C、D36.在Linux内核中，以下哪些机制可用于缓解ROP攻击（）。A.CONFIG_STACKPROTECTORB.CONFIG_RANDOMIZE_BASEC.CONFIG_RETPOLINED.CONFIG_SLAB_MERGE_DEFAULT答案：A、B、C37.2025年，以下哪些属于国家级APT组织常用的C2通信隐匿技术（）。A.DNSoverHTTPS隧道B.利用CDN域前置C.基于HTTPS的ESNID.基于ICMP的隐蔽信道答案：A、B、D38.在iOS18中，以下哪些API需要声明敏感权限并在隐私清单中说明访问目的（）。A.NSFileProviderDomainB.NSBluetoothAlwaysUsageDescriptionC.NSLocalNetworkUsageDescriptionD.NSSiriUsageDescription答案：B、C、D39.2025年，以下哪些属于《关键信息基础设施安全保护条例》规定的安全背景审查对象（）。A.关键岗位运维人员B.外包软件开发人员C.高层管理人员D.物理安保人员答案：A、B、C40.在AWS2025年WellArchitected安全支柱中，以下哪些属于“数据保护”最佳实践（）。A.启用S3ObjectLockB.使用KMSCMK加密C.启用Macie自动发现敏感数据D.将EC2实例元数据服务强制为IMDSv2答案：A、B、C、D三、填空题（每空1分，共20分）41.2025年，国家互联网应急中心（CNCERT）将勒索软件攻击链划分为六个阶段，其中第三阶段为________。答案：权限提升42.在TLS1.3中，用于实现0RTT数据加密传输的密钥派生函数为________。答案：HKDFExpandLabel43.2025年，NIST发布的后量子算法中，KYBER密钥封装算法的公钥大小为________字节（Category1参数集）。答案：80044.在Linux内核中，用于限制进程可访问文件系统的强制访问控制框架是________。答案：AppArmor/SELinux（任填其一）45.2025年，某省政务云采用“国密双证书”体系，其中用于密钥交换的椭圆曲线为________。答案：SM246.在Kubernetes中，用于限制Pod使用主机网络的字段为________。答案：hostNetwork47.2025年，Windows1124H2默认启用用于阻止内核注入的驱动强制签名策略简称________。答案：HVCI48.在iOS18锁定模式下，WebKit会禁用________技术以减小攻击面。答案：JIT49.2025年，欧盟《网络弹性法案》要求数字产品漏洞披露窗口不超过________小时。答案：2450.在ApacheLog4j3.0.1中，用于默认禁用JNDI查找的系统属性为________。答案：log4j2.enableJndi=false51.2025年，国家密码管理局将商用密码产品安全等级划分为________级。答案：四52.在QUIC版本2中，用于防止版本降级攻击的字段长度为________字节。答案：453.2025年，某金融App因未采用防重放机制被通报，其在OAuth2.1中推荐使用的防重放参数为________。答案：nonce54.在WindowsDefender中，用于检测LSASS内存转储攻击的保护机制简称为________。答案：ASR（AttackSurfaceReduction）55.2025年，IETF发布的RFC9500将QUIC默认拥塞控制算法改为________。答案：BBRv256.在Linux内核中，用于缓解SpectreV4攻击的补丁名称为________。答案：SSBD57.2025年，某运营商因BGP路由泄露导致全球流量绕行，其泄露类型属于________劫持。答案：子前缀58.在Android15中，用于限制后台应用访问加速度传感器的权限为________。答案：HIGH_SAMPLING_RATE_SENSORS59.2025年，NISTSP80053Rev6新增“量子威胁”控制编号为________。答案：SC5160.在iOS18中，用于锁定模式下禁用共享相册的框架为________。答案：PhotoKit四、简答题（每题10分，共30分）61.封闭型简答：简述2025年NIST发布的后量子密码标准中，CRYSTALSKYBER算法相较于传统RSA在密钥尺寸、计算性能、安全假设三个方面的主要优势。（答案需给出具体数据）答案：（1）密钥尺寸：KYBER512公钥800B、私钥1632B，RSA2048公钥294B、私钥1200B，但KYBER提供等效128bit量子安全，RSA2048仅80bit量子安全；（2）计算性能：在ARMCortexA551.8GHz上，KYBER512密钥生成耗时0.7ms，RSA2048为43ms；封装耗时0.6ms，RSA加密耗时1.2ms；（3）安全假设：KYBER基于ModuleLWE问题，抗已知量子算法；RSA基于大整数分解，可被Shor算法破解。62.开放型简答：2025年7月，某大型电商平台遭遇“AI换脸”深度伪造攻击，导致大量用户人脸数据被绕过活体检测注册新账户。请从技术与治理两个维度，提出至少四条可落地的防范措施。答案：技术维度：（1）引入多光谱活体检测+3D结构光，提升假体检出率至99.9%；（2）采用FIDO2线上快速身份认证，结合安全硬件存储私钥，降低对人脸单一因子依赖；（3）部署对抗样本检测模型，利用频域噪声特征识别深度伪造视频；（4）使用联邦学习持续更新反欺骗模型，避免数据出境。治理维度：（1）建立“人脸数据最小可用”原则，采集前单独告知并取得明示同意；（2）引入第三方合规审计，每季度对活体检测算法进行公平性与安全性评估；（3）与公安机关建立黑产手机号、身份证、人脸特征库共享机制，实时拦截异常注册；（4）设置7×24小时应急响应通道，发现伪造攻击2小时内冻结账户并上报监管部门。63.封闭型简答：根据《关键信息基础设施安全保护条例》第23条，说明运营者采购网络产品或服务时，应当履行的“安全审查”程序具体步骤及时间要求。答案：步骤1：识别是否属于《网络安全审查办法》第二条范围——核心网络设备、高性能计算机、服务器、存储设备、数据库、操作系统、大型软件、云计算服务、大数据平台等；步骤2：在采购协议签署前10个工作日，通过网络安全审查办公室在线系统提交申报；步骤3：提供风险预判报告，包括供应链风险、数据出境风险、业务连续性风险；步骤4：审查办公室在收到齐全材料后30个工作日内完成审查，特殊情况可延长15个工作日；步骤5：审查通过后，运营者方可签署合同；若未通过，需更换产品或服务并重新申报。五、应用题（共50分）64.计算类（15分）：某企业2025年采用SM2算法对每日100万笔交易进行数字签名，SM2一次签名平均耗时1.2ms，CPU占用40%。若服务器CPU为64核2.5GHz，请计算：（1）每日签名所需总CPU时间；（2）现有资源是否满足需求，若不足需扩容多少核？答案：（1）总签名时间=1.2ms×1000000=1200000ms=1200s；（2）单核每日可用时间=24×3600=86400s；单核可完成签名=86400s÷0.0012s/笔=72000000笔，远大于100万笔；但CPU占用40%，即每核有效时间86400×0.4=34560s；每核可完成34560÷0.0012=28800000笔；所需核数=1000000÷28800000≈0.0347核；现有64核远大于0.0347核，故满足需求，无需扩容。65.分析类（15分）：阅读以下日志片段（已脱敏），回答后续问题：2025060314:22:175→0POST/api/v1/uploadHTTP/1.1200512UserAgent:Mozilla/5.0(compatible;Baiduspider/2.0)ContentType:multipart/formdata;boundary=WebKitFormBoundaryXForwardedFor:77XRealIP:77Body:WebKitFormBoundary…<?php@eval($_POST['cmd']);?>…（1）指出攻击类型并给出CVE编号范围；（2）说明攻击者如何利用HTTP头进行伪装；（3）给出两条WAF规则可阻断此类攻击。答案：（1）WebShell上传攻击，对应CVE202512345（PHP文件上传绕过）；（2）攻击者将UserAgent伪装成百度爬虫，利用XForwardedFor与XRealIP伪造源IP为77，试图绕过基于IP的爬虫白名单；（3）规则1：SecRuleREQUEST_HEADE