2025年计算机信息安全工程师资格考试试题及答案

2025年计算机信息安全工程师资格考试试题及答案一、单项选择题（每题1分，共30分）1.在SM4分组密码算法中，轮密钥生成的核心部件是A.非线性S盒与线性L变换B.非线性T变换与循环左移C.线性反馈移位寄存器D.扩展欧几里得算法答案：A解析：SM4的密钥扩展使用与加密轮函数相同的S盒和L变换，仅输入不同，确保结构一致性。2.某单位采用WindowsServer2022的基于虚拟化的安全（VBS）功能，若要阻止内核模式代码注入，应启用的子功能是A.CredentialGuardB.HVCI（HypervisorProtectedCodeIntegrity）C.WindowsDefenderApplicationControlD.SecureBoot答案：B解析：HVCI利用虚拟化隔离内核内存页，阻止未签名驱动加载，直接对抗代码注入。3.在TLS1.3握手过程中，客户端发送的ClientHello消息中不包含的扩展是A.supported_groupsB.key_shareC.encrypt_then_macD.signature_algorithms答案：C解析：encrypt_then_mac为TLS1.2扩展，TLS1.3已内置AEAD，不再单独协商。4.某Web应用使用JWT作为会话令牌，header={"alg":"HS256"}，下列做法最危险的是A.将密钥硬编码在JavaScript文件B.令牌有效期设为30分钟C.使用HttpOnly标记D.每次登录刷新jti答案：A解析：硬编码密钥可被前端直接读取，攻击者即可伪造任意令牌。5.在零信任架构中，用于持续评估终端安全状态的协议是A.RADIUSB.TACACS+C.PostureAssessmentProtocolD.OCSP答案：C解析：PostureAssessmentProtocol（如Cisco的NEA）持续收集终端补丁、防病毒状态，为零信任提供动态决策。6.某Linux系统启用fapolicyd，若要阻止/tmp目录下任何ELF文件执行，应配置的策略规则类型为A.deny_auditperm=executetrust=0path=/tmp/B.denyperm=anypattern=elfC.allowperm=executepath=/usr/bin/D.deny_auditperm=writepath=/tmp/答案：A解析：fapolicyd使用路径通配与信任标记，deny_audit可记录违规尝试。7.在Android13中，针对应用读取设备标识符的新限制，以下说法正确的是A.任何应用均可通过Settings.Secure获取ANDROID_IDB.非系统应用无法获取IMEI与MAC地址C.广告ID需用户每次授权D.读取SSID不再需要LOCATION权限答案：B解析：Android10起非系统应用无法访问IMEI，Android13进一步强化MAC地址访问限制。8.某企业采用OAuth2.0授权码模式，授权服务器返回的响应参数中，用于防止CSRF攻击的是A.stateB.scopeC.redirect_uriD.code_challenge答案：A解析：state随机值绑定客户端会话，阻断CSRF重放。9.在IPv6网络中，用于替代ARP的协议是A.NDPB.DHCPv6C.MLDD.SEND答案：A解析：邻居发现协议（NDP）提供地址解析、重复地址检测等功能，直接替代ARP。10.某IDS规则alerttcpanyany>any443(msg:"TLSSNIanomaly";tls.sni;content:"";nocase;sid:1;)属于A.基于签名的检测B.基于异常的检测C.基于沙箱的检测D.基于信誉的检测答案：A解析：规则明确匹配SNI字段内容，属于典型签名检测。11.在密码工程侧信道防御中，采用掩码技术主要对抗A.功耗分析（DPA）B.故障注入C.时序攻击D.重放攻击答案：A解析：掩码将敏感数据随机拆分，使功耗与密钥无关，抑制DPA信噪比。12.某云租户使用KMS托管密钥，启用“自动轮换”后，旧密钥用途将变为A.仅解密，不再加密B.仅签名，不再验证C.完全删除D.转为离线备份答案：A解析：AWS/GCP/Azure均保持旧密钥解密能力，确保历史数据可读。13.在Python代码中，使用secrets模块而非random模块生成重置令牌，主要原因是A.secrets采用硬件随机数发生器B.secrets提供加密学安全随机性C.secrets速度更快D.secrets支持种子复现答案：B解析：secrets使用系统加密源，满足token_urlsafe等函数的安全需求。14.某单位部署了基于eBPF的主机入侵检测，其钩子点最适合放在A.kprobe/tcp_v4_connectB.uprobe/bash_readlineC.tracepoint/syscalls/sys_exit_openD.kretprobe/do_exit答案：C解析：tracepoint稳定且跨内核版本兼容，适合大规模部署。15.在量子密钥分发（QKD）中，BB84协议的安全假设不包括A.量子不可克隆定理B.经典信道认证C.设备完全可信D.量子比特错误率<11%答案：C解析：设备无关QKD已放宽设备可信假设，BB84原始模型需可信制备与测量。16.某企业采用ChaCha20Poly1305加密VPN流量，其Nonce长度应为A.64位B.96位C.128位D.256位答案：B解析：RFC8439规定ChaCha20Poly1305使用96位Nonce，避免随机碰撞。17.在Windows事件日志中，可检测LSASS内存转储的EventID是A.4624B.4688C.4625D.4797答案：B解析：4688记录进程创建，可发现procdump/lsass.exe异常父子关系。18.某Web站点实施ContentSecurityPolicy：defaultsrc'self';objectsrc'none';baseuri'none';未显式声明scriptsrc时，浏览器行为是A.允许内联脚本B.仅允许同域外部脚本C.禁止所有脚本D.降级为defaultsrc规则答案：D解析：CSP2起未声明scriptsrc则继承defaultsrc，禁止内联与eval。19.在KubernetesRBAC中，若要限制某ServiceAccount仅可列出default命名空间的Pod，应创建的Role动词为A.["get","list"]B.[""]C.["create","delete"]D.["impersonate"]答案：A解析：list需要get与list动词，且需绑定Role到对应命名空间。20.某数据库采用动态数据脱敏，对身份证号中间10位打码，其技术属于A.静态加密B.动态混淆C.格式保持加密D.令牌化答案：B解析：动态混淆在查询返回时实时替换，不改变存储。21.在威胁建模STRIDE中，Repudiation威胁的缓解手段是A.日志与数字签名B.TLS通道加密C.访问控制列表D.输入校验答案：A解析：不可抵赖需可信日志与签名，提供事后审计。22.某单位使用SM2签名算法，私钥存储于USBKey，签名命令内部使用了A.ECDSAwithSM3B.SM2withSM3C.RSAPSSwithSHA256D.Ed25519答案：B解析：国密体系SM2签名配套SM3哈希，自成标准。23.在Linux内核5.15中，启用LOCKDOWN模块后，可阻止A.加载未签名内核模块B.修改iptables规则C.普通用户登录D.网络命名空间创建答案：A解析：LOCKDOWN限制内核接口，防止未签名模块与kexec。24.某企业采用SDWAN，站点间使用IPsec隧道，若启用“前向保密”，应选择的密钥交换算法是A.DHGroup2B.ECDHP256C.RSA2048D.PSK答案：B解析：ECDH支持临时密钥，提供PFS。25.在Android应用逆向中，可检测Frida注入的Java层API是A.Debug.isDebuggerConnected()B.File("/proc/self/maps").readLines().any{it.contains("frida")}C.System.getProperty("os.arch")D.ProcessBuilder("su").start()答案：B解析：扫描maps文件查找fridaagent.so特征字符串。26.某云函数（Lambda）运行时，通过IMDSv2获取临时凭证，其获取Token的HTTP方法是A.GETB.POSTC.PUTD.HEAD答案：C解析：IMDSv2要求PUT/latest/api/token，获取TTL为21600秒的令牌。27.在WindowsDefender防病毒中，用于检测无文件攻击的引擎是A.ClouddeliveredprotectionB.AMSI（AntimalwareScanInterface）C.NetworkProtectionD.ExploitProtection答案：B解析：AMSI捕获PowerShell、JScript内存内容，检测无文件脚本。28.某单位采用NISTSP80063B，要求多因素认证，以下组合满足AAL3的是A.密码+SMS验证码B.密码+硬件加密狗（PKI）+生物识别C.密码+邮箱验证码D.密码+软件TOTP答案：B解析：AAL3需基于加密硬件的多因素，SMS与邮箱不满足。29.在Linux系统中，启用BSM审计后，记录execve的审计事件类型是A.AUE_EXECVEB.AUE_OPENC.AUE_MMAPD.AUE_SOCKCONNECT答案：A解析：BSM事件代码AUE_EXECVE对应进程执行。30.某企业采用DevSecOps，在CI阶段进行依赖漏洞扫描，其最佳集成点是A.合并请求门禁B.生产部署后C.每日定时任务D.人工审计答案：A解析：MR门禁可在代码合并前阻断高危组件，左移安全。二、多项选择题（每题2分，共20分）31.以下哪些技术可有效防御DNS劫持（多选）A.DNSSECB.DoHC.DoTD.ARP静态绑定答案：ABC解析：DNSSEC提供签名验证，DoH/DoT加密传输，ARP静态绑定与DNS无关。32.关于同态加密，下列说法正确的是A.CKKS支持浮点数近似计算B.BFV支持整数运算C.RSA属于部分同态D.Paillier支持无限次乘法答案：ABC解析：Paillier仅支持无限次加法，乘法次数有限。33.以下哪些日志源可用于检测Kerberoasting攻击A.WindowsEventID4768（TGT请求）B.EventID4769（TGS请求）C.EventID4771（Kerberos预认证失败）D.EventID4624（登录成功）答案：BC解析：Kerberoasting表现为异常SPN的TGS请求，4769可发现加密类型为RC4，4771记录爆破。34.在容器逃逸场景中，以下哪些利用条件需同时具备A.容器以privileged启动B.宿主内核存在CVE20220847（DirtyPipe）C.挂载了宿主/sys目录D.seccomp未过滤ptrace答案：AB解析：DirtyPipe可直接覆写宿主只读文件，privileged提供必要权限，无需ptrace。35.关于后量子密码，下列算法入选NIST第三轮标准化的是A.CRYSTALSKYBERB.CRYSTALSDILITHIUMC.FalconD.RSA4096答案：ABC解析：RSA4096为传统算法，未入选。36.以下哪些属于软件供应链攻击典型案例A.SolarWindsOrionB.CodecovBash上传器C.Log4ShellD.WannaCry答案：ABC解析：WannaCry为蠕虫，非供应链。37.在iOS应用安全中，以下哪些措施可增大逆向难度A.启用ptrace防护（PT_DENY_ATTACH）B.使用Swift混淆器C.移除符号表D.关闭Bitcode答案：ABC解析：Bitcode关闭不影响逆向，开启反而增加中间层。38.以下哪些协议支持完美前向保密（PFS）A.TLS1.2ECDHERSAAES128GCMSHA256B.TLS1.3TLS_AES_256_GCM_SHA384C.IPSecIKEv2withDHGroup14D.SSHwithdiffiehellmangroup1sha1答案：ABC解析：group1sha1已不安全，但理论支持PFS。39.关于数据分类分级，下列标准属于国家标准的是A.GB/T352732020B.GB/T386672020C.ISO27001D.NISTSP80060答案：AB解析：35273为个人信息安全规范，38667为数据分级指南。40.以下哪些技术可用于实现“零信任网络分段”A.SDP（SoftwareDefinedPerimeter）B.microsegmentationwithVXLANC.802.1X+VLAND.GRE隧道答案：ABC解析：GRE仅提供隧道，无分段策略。三、判断题（每题1分，共10分）41.SM3杂凑算法的输出长度为256位。答案：正确解析：国密SM3固定256位，与SHA256长度一致。42.在Linux中，启用SELinux后，iptables规则将自动失效。答案：错误解析：SELinux与iptables作用域不同，互补而非替代。43.WindowsHelloforBusiness使用TPM存储密钥时，满足FIDO2L2认证。答案：正确解析：TPM提供硬件隔离，符合L2要求。44.使用AESGCM模式加密时，Nonce可以重复，只要密钥不同。答案：错误解析：AESGCM同一密钥下Nonce重复将导致密钥恢复。45.在Kubernetes中，PodSecurityPolicy已被废弃，替代方案是PodSecurityStandards。答案：正确解析：PSP在v1.21弃用，v1.25移除，社区转向内置PSS。46.量子计算机使用Shor算法可在多项式时间内破解SM2。答案：正确解析：SM2基于椭圆曲线离散对数，Shor算法适用。47.在Android12中，应用申请ACCESS_FINE_LOCATION权限即可获取精确位置，无需用户前台授权。答案：错误解析：Android12引入大致/精确位置区分，需额外运行时弹窗。48.使用ChaCha20Poly1305时，可以省略附加数据（AAD）字段。答案：正确解析：AAD为可选，可设为空。49.在Windows中，启用LSAProtection后，mimikatz无法导出内存密码。答案：错误解析：mimikatz可通过驱动绕过，但难度增加。50.零信任架构要求网络边界必须部署物理防火墙。答案：错误解析：零信任弱化边界，强调身份与策略，防火墙可软件定义。四、填空题（每空2分，共20分）51.在TLS1.3中，用于加密握手消息的密钥称为________。答案：handshaketrafficsecret解析：该密钥由ECDHE导出，加密EncryptedExtensions等。52.国密SM2公钥加密标准中，采用的椭圆曲线参数名称为________。答案：sm2p256v1解析：曲线素数p=2^2562^2242^96+2^641。53.WindowsEventID________记录LSASS进程被打开句柄。答案：4624解析：4624为登录事件，但4656记录对象句柄，具体为4656。54.在Linux内核中，用于限制进程系统调用的安全机制缩写为________。答案：seccomp解析：securecomputingmode，可过滤syscall。55.量子密钥分发BB84协议中，误码率阈值一般设为________%。答案：11解析：超过11%即认为存在窃听，触发密钥丢弃。56.在Android应用签名校验中，v2方案使用的签名分块ID为________。答案：0x7109871a解析：APKSignatureSchemev2固定MagicID。57.用于衡量生物识别系统性能的指标中，FAR表示________。答案：FalseAcceptRate解析：误识率，即冒认通过比例。58.在NIST后量子标准中，Kyber的安全级别3对应的公钥大小约为________字节。答案：1568解析：Kyber768公钥1568字节，级别3。59.在IPv6中，用于节点多播地址的标志位中，临时多播的flag值为________。答案：1解析：flag=1表示临时，0为永久。60.在Windows中，用于强制驱动签名的策略组策略项为________。答案：Codesigningfordevicedrivers解析：位于计算机配置→管理模板→系统→驱动安装。五、简答题（每题10分，共30分）61.描述一次完整的Kerberoasting攻击流程，并给出三种有效检测方法。答案：流程：1.攻击者获取域内任意用户凭据；2.使用GetUserSPNs或setspnQ/枚举所有SPN；3.向KDC请求所选SPN的TGS票据，加密类型为RC4；4.将票据离线保存，使用tgsrepcrack或hashcat暴力破解服务账号密码；5.获得密码后，以该账号权限横向移动。检测方法：a.监控EventID4769，过滤加密类型0x17（RC4）且服务账号非计算机账号；b.建立基线，对首次请求新SPN的账户告警；c.强制服务账号使用AES256，通过组策略禁用RC4，破解难度大幅提升。62.说明零信任架构中“持续信任评估”组件的技术实现要点，并给出一种基于微服务的落地方案。答案：要点：1.身份化：为每次请求携带SPIFFE可验证身份（SVID）；2.环境感知：采集终端健康（补丁、EDR评分）、网络位置、行为基线；3.动态策略：OPA/Rego策略引擎实时计算信任分，低于阈值触发降级（降权、限速、二次认证）；4.遥测聚合：使用OpenTelemetry统一收集，Kafka流式计算；5.反馈闭环：评估结果写入信任库，供下次决策。落地方案：服务网格（Istio）+OPAsidecar，出口流量先通过EnvoyFilter调用OPA，OPA输入包括JWT声明、SPIFFEID、实时健康指标，输出allow/deny及头部注入信任分，下游服务可依据头部做细粒度授权。63.对比AESGCM与ChaCha20Poly1305在移动端的性能差异，并给出选型建议。答案：差异：1.指令集：ARMv8提供AES硬件指令（AESNIequivalent），AESGCM吞吐显著优于纯软件ChaCha20；2.功耗：硬件AES单位字节能耗低，延长续航；3.抗侧信道：ChaCha20基于ARX操作，天然抵抗时序与缓存攻击，AES需掩码；4.并行度：GCM可并行计算CTR与GHASH，Ch