2025年网络安全意识培训测试试卷及答案

2025年网络安全意识培训测试试卷及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2024年11月，国家互联网应急中心（CNCERT）通报的“银狐”木马主要利用以下哪种社会工程学手段进行初始入侵？（）A.伪装成“2025年度个税退税”钓鱼邮件B.冒充“微信团队”诱导用户扫码C.伪造“星巴克中奖”短信附带短链接D.假冒“菜鸟驿站”要求用户下载APK答案：A2.根据《中华人民共和国数据安全法》第三十一条，对“重要数据”出境进行安全评估的责任主体是（）A.网络运营者B.数据处理者C.关键信息基础设施运营者D.省级以上网信部门答案：B3.Windows1124H2版本默认启用的内核级防护机制，能够有效阻断直接系统调用（syscall）劫持的技术是（）A.CETB.HVCIC.KASLRD.SMAP答案：B4.在零信任架构中，用于持续评估终端设备健康度的协议是（）A.TACACS+B.RADIUSC.TNC/IFMAPD.SAML答案：C5.2025年3月，OpenSSL发布的3.3.2版本紧急修复的“GhostRace”漏洞属于（）A.缓冲区溢出B.竞争条件C.整数下溢D.释放后重用答案：B6.下列关于我国《个人信息保护法》中“敏感个人信息”的表述，错误的是（）A.行踪轨迹信息属于敏感个人信息B.处理敏感个人信息需取得个人的单独同意C.不满十四周岁未成年人的个人信息均视为敏感个人信息D.处理目的变更后无需再次取得个人同意答案：D7.在Linux系统中，通过eBPF实现网络数据包过滤时，默认加载程序类型为（）A.BPF_PROG_TYPE_KPROBEB.BPF_PROG_TYPE_SCHED_CLSC.BPF_PROG_TYPE_XDPD.BPF_PROG_TYPE_SOCKET_FILTER答案：C8.2025年5月，微软官方公告的“ProxyNotShell”漏洞攻击链最终利用的接口是（）A./owa/auth/x.jsB./ews/exchange.asmxC./autodiscover/autodiscover.jsonD./powershell答案：B9.使用SM4算法进行无线局域网加密时，其密钥长度与分组长度分别为（）A.128bit，128bitB.256bit，128bitC.128bit，256bitD.256bit，256bit答案：A10.在Android15中，阻止应用通过ioctl系统调用访问GPU节点的新沙箱机制名称是（）A.GWPASanB.MTEC.GPUVisorD.ioctlfilter答案：D11.以下关于量子密钥分发（QKD）的表述，正确的是（）A.基于量子不可克隆定理实现密钥的保密传输B.可抵抗经典计算与量子计算的同时窃听C.目前商用QKD设备密钥生成速率普遍高于1GbpsD.无需对经典信道进行身份认证答案：A12.2025年1月1日起正式实施的《工业控制系统网络安全分级指南》中，对“三级”工控系统的渗透测试周期要求是（）A.每半年一次B.每年一次C.每两年一次D.无需强制测试答案：B13.在IPv6网络中，用于防止ND欺骗攻击的安全机制是（）A.SENDB.RAGuardC.DHCPv6GuardD.SAVI答案：A14.当使用Wireshark解析TLS1.3流量时，可显示应用层数据的条件是（）A.拥有服务器私钥B.客户端与服务器均启用ExtendedMasterSecretC.在ClientHello中设置PSKD.提前注入预主密钥日志文件答案：D15.2025年4月，IETF发布的RFC9500将哪种端口跳变技术正式标准化？（）A.SPAB.SDPC.RHPD.MTUtrigger答案：C16.在Kubernetes1.30中，默认启用的Pod安全策略控制器是（）A.PSPB.OPAGatekeeperC.PodSecurityD.Kyverno答案：C17.使用ChaCha20Poly1305进行加密时，其Nonce推荐长度为（）A.64bitB.96bitC.128bitD.256bit答案：B18.2025年新版《网络安全等级保护测评要求》中，对“云计算扩展要求”的测评对象不包括（）A.虚拟化平台B.云管平台C.云租户应用D.物理机房空调系统答案：D19.在Windows事件日志中，成功登录类型为“3”表示（）A.交互式登录B.网络登录C.批处理登录D.远程交互答案：B20.对使用国密SM2签名进行代码签名的PE文件，其证书扩展字段中必须包含的OID是（）A.0197.1.501B.1.2.840.11356.2.47C..4.1.30D.1答案：A21.2025年7月，谷歌Chrome宣布全面禁用第三方Cookie后，替代方案“PrivacySandbox”的核心接口是（）A.FLoCB.TopicsC.TURTLEDOVED.FLEDGE答案：B22.在AWS云环境中，以下哪项IAM策略元素可用于限制对特定VPC终端点的访问？（）A.ConditionB.PrincipalC.ResourceD.Action答案：A23.2025年5月，我国首个“数据海关”试点城市是（）A.上海B.深圳C.海南D.杭州答案：C24.使用Ghidra对MIPS架构固件进行反汇编时，默认的延迟槽指令数为（）A.0B.1C.2D.3答案：B25.在零信任访问控制模型中，用于描述“谁有权访问什么”的实体关系模型标准是（）A.XACMLB.ABACC.NGACD.RBAC答案：C26.2025年9月，微软AzureAD更名为（）A.EntraIDB.AzureIdentityC.MicrosoftIdentityD.AzurePassport答案：A27.在iOS18中，阻止USBC接口通过DFU模式越狱的新硬件熔断机制简称（）A.SHSHB.SecureROMLockC.BootROMFuseD.USBFuse答案：D28.2025年10月，国家密码管理局发布的《商用密码产品认证规则》中，把“安全芯片”划分为（）A.一级、二级B.一级、二级、三级C.基础级、增强级D.普密、商密答案：B29.在5GSA网络中，用于隐藏用户永久标识SUPI的临时标识是（）A.GUTIB.5GTMSIC.SUCID.PEI答案：C30.2025年11月，ApacheLog4j3被曝“Log4Shell2”漏洞，其CVE编号为（）A.CVE202544228B.CVE202544832C.CVE202545105D.CVE202545038答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于《关键信息基础设施安全保护条例》中认定的“关键信息基础设施”？（）A.省级政务云平台B.大型三甲医院核心HIS系统C.年交易规模500亿元的电商平台D.承载5G核心网的运营商机房答案：ABCD32.在Linux内核5.15中，用于缓解Spectrev4漏洞的补丁包括（）A.SSBDB.STIBPC.IBRSD.SSBDD答案：ABC33.以下哪些技术可用于DNS隐私保护？（）A.DoHB.DoTC.DNSSECD.ObliviousDNSoverHTTPS答案：ABD34.2025年，我国“东数西算”工程八大枢纽节点包括（）A.京津冀B.长三角C.成渝D.内蒙古答案：ABCD35.在Windows1124H2中，默认启用的基于虚拟化的安全功能有（）A.CredentialGuardB.HVCIC.KernelCETD.VBS答案：ABCD36.以下哪些算法已被NIST正式纳入后量子密码标准化第三轮候选？（）A.CRYSTALSKYBERB.CRYSTALSDILITHIUMC.FalconD.Rainbow答案：ABC37.在Kubernetes集群中，能够限制容器进程权限的安全机制有（）A.SeccompB.AppArmorC.SELinuxD.Capabilities答案：ABCD38.2025年，以下哪些城市已建成国家级工业互联网安全态势感知平台？（）A.苏州B.青岛C.长沙D.东莞答案：ABCD39.以下关于“数据安全治理”的描述，正确的有（）A.以数据为中心B.覆盖数据全生命周期C.仅关注技术措施D.需建立组织架构与策略体系答案：ABD40.在Android15中，针对侧载应用的限制措施包括（）A.禁止未知来源应用申请REQUEST_INSTALL_PACKAGESB.强制拆分APK必须使用AABC.侧载应用默认拒绝ACCESSIBILITY_SERVICED.侧载应用无法使用READ_MEDIA_IMAGES权限答案：AC三、填空题（每空1分，共20分）41.2025年2月，国家互联网应急中心发布的《2024年互联网网络安全态势报告》显示，全年捕获移动互联网恶意程序样本约________万个。答案：34042.在TLS1.3握手过程中，用于实现前向安全性的密钥衍生函数为________。答案：HKDF43.我国《网络安全法》规定，网络运营者应当采取技术措施和其他必要措施，确保个人信息安全，防止信息________、毁损、丢失。答案：泄露44.在Windows系统中，用于查看当前用户访问令牌权限的命令是________。答案：whoami/priv45.2025年，我国首个“数据要素×”试点省份是________。答案：广东46.在IPv6地址中，用于本地链路单播地址的前缀为________。答案：FE80::/1047.在SQL注入防御中，使用参数化查询的核心原理是将________与数据分离。答案：代码48.2025年，IETF发布的RFC9477将________协议正式定义为“量子安全密钥封装机制”的传输层封装。答案：KEMTLS49.在Linux系统中，通过________命令可以查看当前系统加载的eBPF程序。答案：bpftoolproglist50.2025年，国家密码管理局发布的《商用密码产品认证目录》将“随机数发生器”划分为________级。答案：两51.在5G网络中，用于实现网络切片安全隔离的核心技术是________。答案：SNSSAI52.在Kubernetes中，NetworkPolicy资源依赖于________组件实现策略下发。答案：CNI插件53.2025年，ApacheStruts3被曝“S22025001”漏洞，其漏洞类型为________。答案：OGNL表达式注入54.在iOS18中，新增的“LockdownMode”增强功能可阻断________接口的调试通道。答案：USBC55.在AWS中，用于对S3桶进行服务端加密的国密算法托管密钥服务简称为________。答案：KMSSM456.2025年，我国“数据海关”首批试点行业包括跨境________、医疗健康、地理信息。答案：电子商务57.在Windows11中，用于阻止驱动程序加载的“内核模式代码完整性”简称________。答案：KMCI58.在Linux内核中，用于缓解Retbleed漏洞的编译选项为________。答案：CONFIG_MITIGATION_RETPOLINE59.2025年，国家标准化管理委员会发布的《信息安全技术个人信息跨境传输认证要求》标准编号为GB/T________。答案：42574202560.在量子通信领域，我国“京沪干线”采用的QKD协议为________协议。答案：BB84四、简答题（共30分）61.（封闭型，6分）简述零信任架构中“持续信任评估”的三项核心指标。答案：1.身份可信度：基于多因素认证、设备证书、行为基线等动态评估；2.设备健康度：操作系统补丁、病毒库版本、越狱/root状态、安全启动等；3.环境风险：访问时间、地理位置、网络威胁情报、异常流量模式。62.（开放型，6分）结合2025年“数据海关”海南试点，说明跨境数据流动安全评估的主要流程。答案：1.企业自评：依据《数据出境安全评估办法》开展风险自评，形成报告；2.省级网信部门初审：对自评材料完整性、风险等级进行形式审查；3.国家级评估：国家网信办组织专家进行技术评审，重点审查数据类型、规模、接收方保护水平；4.反馈与整改：企业根据评估意见补充技术或管理措施；5.发放“数据海关”电子标签：评估通过后，平台生成可追溯的区块链标签，实现全生命周期监管；6.持续监督：CNCERT对出境通道进行流量监测，发现异常立即暂停标签效力。63.（封闭型，6分）列出Android15针对侧载应用的四项新增限制并给出技术原理。答案：1.禁止侧载应用申请REQUEST_INSTALL_PACKAGES权限，原理：PackageInstaller服务白名单校验安装来源；2.侧载应用默认无法使用AccessibilityService，原理：system_server在bindService时检查FLAG_ACCESSIBILITY，非商店应用直接拒绝；3.侧载应用无法读取Appspecific目录外媒体文件，原理：MediaProvider对callingPackage进行安装来源标记，非商店应用返回空Cursor；4.侧载应用无法使用高功耗后台传感器，原理：SensorService检查APP_STANDBY_BUCKET，侧载应用默认被划至RESTRICTED桶。64.（开放型，6分）说明SM2、SM3、SM4在一张国密SSL证书中的协同工作关系。答案：证书主体公钥采用SM2椭圆曲线加密；证书签名项使用SM3对TBSCertificate进行杂凑，再使用CA私钥进行SM2签名；SSL握手阶段，密钥交换采用SM2加密预主密钥；数据传输阶段，使用SM4GCM进行对称加密，SM3作为PRF杂凑算法扩展主密钥，形成“非对称—杂凑—对称”闭环，实现机密性、完整性、抗抵赖。65.（封闭型，6分）简述Kubernetes1.30中PodSecurityPolicy被PodSecurity替代后的三种内置级别及对应限制。答案：1.privileged：无限制，允许特权容器；2.baseline：禁止hostNetwork、hostPID、hostIPC、privileged、CAP_SYS_ADMIN等高危配置；3.restricted：在baseline基础上，要求容器必须以非root运行、只读根文件系统、禁止所有LinuxCapabilities、强制使用RuntimeDefaultSeccompProfile。五、应用题（共50分）66.（分析类，15分）阅读下列场景并回答问题：某央企在2025年6月部署了一套“零信任访问控制系统”，架构如下：1.身份层：基于国密SM2双证书实现用户+设备双向认证；2.控制层：使用NGAC模型，策略引擎部署在三个可用区，采用Raft共识；3.网络层：所有业务流量通过QUICTLS1.3+SM4GCM隧道传输；4.数据层：核心数据库采用同态加密（FHE）进行密文计算；5.监控层：使用eBPF+WASM实现内核级行为遥测。上线第三周，安全运营中心发现控制层延迟偶发飙升至800ms，同时监控层CPU占用率短时达到100%。抓包发现Raft心跳包出现乱序重放，且部分节点时钟跳变±5s。问题：（1）指出最可能的攻击路径；（2）给出两条验证思路；（3）提出三项整改措施并说明原理。答案：（1）攻击路径：攻击者利用控制层节点NTP服务未认证漏洞，发送恶意NTP响应造成时钟跳变，触发Raft重选举；同时通过侧信道获取Raft心跳包，进行重放与乱序注入，导致共识风暴、CPU飙升。（2）验证思路：1.在受控环境复现：搭建相同版本Raft集群，使用ntpdq进行恶意NTP偏移，观察是否触发重选举；2.抓包对比：提取生产环境心跳包TCPTimestamp与RaftTerm字段，确认是否存在Term回退与Timestamp跳变。（3）整改措施：1.启用NTPsec+NTS认证，防止恶意时间源，原理：通过TLS+AEAD对NTP报文进行加密与完整性校验；2.在Raft层增加ClockSkewLease机制，当节点时钟偏移>500ms时暂停投票，原理：租约机制拒绝异常时钟节点参与共识；3.对控制层网段启用MACsec硬件加密，防止中间人重放，原理：IEEE802.1AE在数据链路层提供点对点完整性校验。67.（综合类，20分）某省级政务云计划在2025年底完成“商用密码应用安全性评估（密评）”，系统架构包括：1.互联网区：WAF+CDN，HTTPS证书采用RSA2048；2.应用区：微服务运行在Kubernetes1.30，服务网格Istio，默认TLS1.3；3.数据区：MySQL8.0主从，开启TDE，加密算法AES256；4.管理区：堡垒机+VPN，SSLVPN采用IKEv2+国密SM2双证书；5.密码服务区：部署三未信安密码机，提供SM2/SM3/SM4/SM9服务。请依据GM/T00542023《信息系统密码应用基本要求》，指出该系统在“物理与环境安全”“网络与通信安全”“设备与计算安全”“应用与数据安全”四个层面各存在的一项不符合项，并给出整改技术方案（需具体到算法、协议、配置）。答案：1.物理与环境安全：不符合项——门禁系统仅使用MifareClassicS50卡，易被嗅探与复制。整改：更换为支持SM4门禁加密算法的国密CPU卡，读卡器通过SAM模块完成SM4外部认证，协议采用GM/T00362014。2.网络与通信安全：不符合项——互联网区WAF与源站之间使用RSA2048TLS1.2，不满足“重要网络通道应采用国密算法”要求。整改：在WAF与源站之间启用国密双证书TLS1.3，证书签名算法SM2withSM3，对称加密套件TLS_SM4_GCM_SM3，配置nginx1.25.0+GmSSL。3.设备与计算安全：不符合项——Kubernetesetcd存储未使用国密加密，etcdctlsnapshotsave明文落盘。整改：启用etcd实验性加密提供者，配置加密算法SM4GCM，密钥通过KubernetesKMS插件调用密码机生成，密钥加密密钥（KEK）采用SM2公钥加密后存储。4.应用与数据安全：不符合项——MySQLTDE仅使用AES256，未使用国密算法。整改：升级至GreatSQL8.0.34GM版本，开启SM4表空间加密，加密密钥由密码机通过KMIP协议下发，S