2025年全国网络信息安全技术知识竞赛题库及答案

2025年全国网络信息安全技术知识竞赛题库及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，错选、多选、未选均不得分）1.2025年1月1日起正式施行的《数据安全法》配套行政法规《网络数据安全管理条例（草案）》中，对“重要数据”出境安全评估的最长审查时限为A.15个工作日 B.30个工作日 C.45个工作日 D.60个工作日答案：C2.在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制默认采用A.RSA密钥传输 B.静态DH C.ECDHE D.PSK答案：C3.某单位采用零信任架构，其身份与访问管理（IAM）系统最核心的控制点是A.网络边界防火墙 B.终端杀毒软件 C.动态访问控制引擎 D.日志审计系统答案：C4.2024年曝光的“HTTP/2RapidReset”DDoS攻击主要滥用的协议特性是A.流复用 B.服务器推送 C.流重置 D.头部压缩答案：C5.依据《个人信息保护法》，处理敏感个人信息应当取得个人的A.明示同意 B.书面同意 C.单独同意 D.默示同意答案：C6.SM4分组密码算法中，轮密钥生成时使用的线性变换L的循环左移位数为A.2 B.7 C.13 D.23答案：C7.在Windows1124H2版本中，默认启用并用于阻止内核驱动篡改的防护机制是A.CFG B.HVCI C.CET D.SEHOP答案：B8.2025年3月，Google发布的Chrome紧急补丁修复的零日漏洞CVE20252124属于A.类型混淆 B.堆缓冲区溢出 C.UAF D.整数溢出答案：C9.采用AESGCM模式加密时，认证标签长度默认推荐为A.64bit B.96bit C.128bit D.256bit答案：C10.在Linux内核6.8中，默认启用的用于防御堆喷射攻击的缓解措施是A.SLAB_MERGE_DEFAULT B.SLAB_FREELIST_HARDENED C.KASLR D.RETBLEED答案：B11.2025年5月，国家互联网应急中心（CNCERT）监测到最大规模的僵尸网络家族是A.Mirai B.Mozi C.EwDoor D.Gafgyt答案：B12.依据《关键信息基础设施安全保护条例》，运营者自行或者委托机构进行的安全风险评估频次为A.每季度一次 B.每半年一次 C.每年至少一次 D.每两年一次答案：C13.在IPv6网络中，用于替代ARP的协议是A.NDP B.DHCPv6 C.MLD D.RSVP答案：A14.2025年6月，IETF发布的RFC9563正式将哪种算法纳入QUIC默认拥塞控制A.Cubic B.BBR C.Reno D.DCTCP答案：B15.在Android15中，限制应用后台启动的隐私特性是A.Hardened_malloc B.PrivacyDashboard C.BackgroundActivityLaunch D.FilebasedEncryption答案：C16.采用Shamir秘密共享方案，将密钥分为5份，恢复门限为3，则任意2份A.可恢复部分密钥 B.可恢复完整密钥 C.无法获得任何密钥信息 D.可恢复32bit密钥答案：C17.2025年7月，微软Azure默认启用的密钥管理托管HSM满足的FIPS等级为A.1402Level1 B.1402Level2 C.1403Level3 D.1403Level4答案：C18.在Kubernetes1.30中，默认关闭的允许容器获取宿主机进程命名空间的参数是A.hostIPC B.hostPID C.hostNetwork D.privileged答案：B19.2025年8月，OpenSSL发布的3.2.2版本修复的旁路漏洞属于A.缓存时序 B.分支预测 C.功耗分析 D.电磁泄漏答案：A20.在5GSA网络中，用于隐藏SUCI的公钥加密方案基于A.RSA2048 B.ECC256 C.SM2 D.ECDH答案：B21.2025年9月，国家网信办对某超大型平台罚款5000万元，其违法类型为A.未履行数据出境申报 B.违规收集人脸信息 C.未做算法备案 D.未标识生成式AI内容答案：B22.在Python3.12中，默认开启的用于防御哈希Dos的随机化种子环境变量为A.PYTHONHASHSEED B.PYTHONUTF8 C.PYTHONMALLOC D.PYTHONASYNCIODEBUG答案：A23.2025年10月，AWSre:Inforce大会发布的后量子密钥交换算法优先采用A.Kyber512 B.Kyber768 C.Kyber1024 D.ClassicMcEliece答案：B24.在Windows日志中，事件ID4624对应的登录类型3表示A.交互式登录 B.网络登录 C.批处理登录 D.服务登录答案：B25.2025年11月，国家密码管理局发布的公告将哪种算法纳入商用密码产品认证目录A.SM9 B.ZUC C.SM3 D.SHA3答案：A26.在SQL注入防御中，使用参数化查询无法完全免疫的上下文是A.ORDERBY子句 B.WHERE等于条件 C.LIMIT子句 D.OFFSET子句答案：A27.2025年12月，IETF发布的RFC9595将哪种协议用于安全时间同步A.NTS4NTP B.PTP C.RTSync D.SNTP答案：A28.在macOSSonoma中，默认启用并用于阻止未知内核扩展的机制是A.SIP B.Notarization C.Gatekeeper D.KEXTSigning答案：A29.2025年，全球首次出现利用WiFi7标准草案中MLD特性实施的攻击类型是A.密钥重装 B.碎片重叠 C.多链路降级 D.信标洪泛答案：C30.在区块链权益证明（PoS）共识中，2025年以太坊采用的惩罚机制名称是A.Slashing B.SlashingV2 C.SlashingV3 D.SlashingV4答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于2025年CNCERT发布的“挖矿”木马常见入侵途径A.爆破SSH弱口令 B.WebLogic反序列化 C.Redis未授权 D.Confluence0day E.钓鱼邮件答案：ABCDE32.关于SM2椭圆曲线公钥密码算法，下列描述正确的是A.基于素域256位曲线 B.签名过程包含随机数 C.公钥长度为512bit D.私钥长度为256bit E.签名长度为64字节答案：ABDE33.在零信任参考架构中，持续信任评估引擎依赖的数据源包括A.终端安全状态 B.用户行为基线 C.网络流量元数据 D.外部威胁情报 E.物理门禁记录答案：ABCD34.2025年，IETF标准化的后量子签名算法有A.Dilithium B.Falcon C.Rainbow D.SPHINCS+ E.Picnic答案：ABD35.以下哪些Windows日志事件ID可用于检测横向移动A.4624 B.4648 C.4672 D.4768 E.4769答案：BDE36.在Linux中，开启内核参数kernel.kptr_restrict=2的作用包括A.隐藏内核符号地址 B.阻止bpf读取 C.阻止perf读取 D.阻止jtag调试 E.阻止模块加载答案：ABC37.2025年，国家网信办对生成式AI服务提出合规要求，包括A.算法备案 B.训练数据来源合法 C.输出标识 D.用户实名 E.人工审核答案：ABCD38.以下哪些属于2025年OWASPTop10新增风险A.服务器端请求伪造 B.不安全设计 C.软件与数据完整性失败 D.安全日志与监控失败 E.加密失败答案：BC39.在Kubernetes中，可限制容器CPU资源的机制有A.cpu.shares B.cpu.cfs_quota_us C.cpu.rt_period_us D.cpu.max E.cpu.cfs_period_us答案：ABDE40.2025年，国家密码管理局发布的《商用密码产品认证规则》中，智能密码钥匙必须支持的算法有A.SM1 B.SM2 C.SM3 D.SM4 E.ZUC答案：BCD三、填空题（每空2分，共20分）41.2025年，国家互联网应急中心将勒索软件分为靶向型、________、________三大类。答案：泛传播型、供应链型42.在TLS1.3中，用于加密握手消息的密钥称为________密钥。答案：Handshake43.SM3杂凑算法输出长度为________bit。答案：25644.Windows事件日志中，清除安全日志的事件ID为________。答案：110245.在IPv6地址2001:db8::/32中，前缀长度是________。答案：3246.2025年，Linux内核引入的用于防御堆栈冲突攻击的新编译选项是________。答案：fstackclashprotection47.在Kubernetes中，NetworkPolicy资源依赖于________插件实现流量过滤。答案：CNI48.2025年，AWSKMS引入的后量子密钥交换算法名称是________。答案：Kyber49.在SQL注入中，使用________函数可读取MySQL数据库文件。答案：load_file50.2025年，国家网信办要求App在________小时内完成个人信息泄露事件报告。答案：72四、简答题（共30分）51.（封闭型，6分）简述TLS1.3与TLS1.2在握手阶段的主要差异，并指出哪一项改进最能抵御中间人降级攻击。答案：TLS1.3将握手消息由两次往返降为一次往返，取消RSA静态密钥交换，强制前向安全；加密所有握手消息；移除弱算法与压缩；新增降级保护机制：ServerHello中必须包含downgradeprotection字段，若攻击者篡改版本号，完成握手后客户端发现字段异常即中断连接，从而阻止降级。52.（开放型，6分）某单位采用零信任架构，请设计一套持续信任评估指标体系（至少包含5个维度），并说明如何量化。答案：1.身份可信度：基于多因子通过率、历史异常率，量化0100分；2.终端安全度：补丁延迟天数、EDR告警等级、越狱/root状态，加权得分；3.行为偏离度：使用机器学习建立基线，计算实时行为与基线马氏距离；4.网络环境风险：源IP信誉、GeoIP异常、代理检测，引用威胁情报评分；5.资源敏感度：被访问资源的分类等级、数据分级标签，乘以权重系数；6.时间异常：非工作时间请求占比。综合得分=∑(维度得分×权重)，低于阈值触发动态降权或二次认证。53.（封闭型，6分）说明SM9标识密码算法中密钥生成中心（KGC）的工作流程，并指出其相较于传统PKI的最大优势。答案：KGC生成系统主私钥s与主公钥Ppub=sP；用户提交ID；KGC计算用户私钥dID=s·H1(ID)；用户接收dID；加密方用ID与Ppub计算对方公钥；无需数字证书，省去CRL与OCSP，降低管理开销，实现基于标识的隐式证书。54.（开放型，6分）2025年10月，某电商App被曝出后台明文存储用户人脸照片，请从合规、技术、应急三方面给出整改方案。答案：合规：立即向省级以上网信办报告，72小时内补充事件说明，启动个人信息保护影响评估，依据《个人信息保护法》第66条准备高额罚款陈述申辩材料；技术：1.下线相关接口，启用SM4GCM加密，密钥托管于FIPS1403三级HSM，采用分片存储+KMS轮换；2.删除冗余照片，仅保留特征向量；3.引入差分隐私与联邦学习，避免原始数据出域；4.上线人脸识别专用最小权限微服务，接口增加TLS1.3+mTLS双向认证；应急：1.通过App弹窗+短信通知受影响用户，提供免费人脸特征重录与注销通道；2.成立专班7×24小时值守，输出日报；3.委托第三方机构做渗透测试与合规审计，30日内公开整改报告。55.（封闭型，6分）给出利用eBPF技术在Linux内核层检测容器逃逸的两种方法，并写出核心挂载点。答案：1.监控cgroup逃逸：挂载tracepoint/syscalls/sys_exit_write_cgroup_file，过滤非法写入“/sys/fs/cgroup/release_agent”；2.监控特权容器滥用：挂载kprobe/cap_capable，过滤capability=CAP_SYS_ADMIN且容器namespace!=host；若命中则通过bpf_perf_event_output发送告警到用户态守护进程。五、应用题（共50分）56.（计算类，10分）某公司拟在IDC部署一台Web服务器，已知：日均PV=500万，峰值QPS=8000，每次HTTPS握手椭圆曲线算法ECDHEP256，计算单次握手CPU消耗约2.2ms（单核），服务器CPU为64核2.5GHz。假设握手占用CPU时间不超过总时间30%，请计算至少需要多少台服务器？答案：峰值8000QPS即每秒8000次握手；单次2.2ms，共需8000×2.2=17600ms=17.6sCPU时间；单核每秒可提供1000ms，64核可提供64000ms；单台服务器每秒可承受64000×0.3=19200ms>17600ms，故理论上1台即可。但考虑冗余与突发，按N+1原则，至少2台。57.（分析类，15分）给出2025年“HTTP/2RapidReset”攻击完整复现步骤（含环境、命令、流量特征），并给出三种缓解措施。答案：环境：Ubuntu22.04，h2load1.9.0，nginx1.25.3开启http2。步骤：1.修改/etc/nginx/nginx.conf，启用http2；2.攻击机执行h2loadn1000000m100c1000rstrate=10000https://target；3.观察服务端CPU飙高，连接数突增，wireshark显示大量RST_STREAM帧，StreamID递增，窗口更新帧间隔<1ms。流量特征：RST_STREAM帧占比>60%，平均包长<100字节，无DATA帧。缓解：1.升级nginx至1.25.4，配置http2_max_rst_rate=100/s；2.前端CDN启用速率限制，针对RST帧>200/s的源IP封禁；3.调整内核参数net.ipv4.tcp_tw_reuse=0，防止源端口耗尽。58.（综合类，25分）某省级政务云计划上线“一网通办”系统，需满足等保3.0三级、国密算法、后量子过渡、零信任、个人信息保护合规五项要求。请给出整体安全