2025年网络安全知识竞赛培训试题及答案

2025年网络安全知识竞赛培训试题及答案一、单选题（每题1分，共30分）1.2025年3月，国家互联网信息办公室发布的《生成式人工智能服务管理办法（征求意见稿）》中，对提供者在训练数据环节提出的核心安全要求是A.数据最小化原则B.数据可携带权保障C.数据“来源合法+内容合法”双审查D.数据匿名化即可上线答案：C解析：征求意见稿第7条首次把“来源合法”与“内容合法”并列，要求提供者对训练数据做双重合规审查，匿名化不能替代合法性审查。2.某单位使用零信任架构，身份认证层采用FIDO2+生物特征。下列攻击面中，最不可能被利用于横向移动的是A.伪造生物特征模板B.窃取FIDO2私钥C.利用Kerberos黄金票据D.通过SAML断言注入答案：C解析：零信任默认不信任任何内部实体，Kerberos黄金票据依赖传统AD信任链，在零信任环境中默认失效；其余三项均可能绕过身份层。3.2025年4月，Linux内核曝出的“LooneyTunables”本地提权漏洞（CVE20234911）在glibc的哪一段代码被触发？A.malloc_printerrB.__libc_freeresC.tunables_initD.__vfprintf答案：C解析：漏洞位于glibc2.34的elf/tunables.c，tunables_init函数对GLIBC_TUNABLES环境变量解析时发生缓冲区溢出。4.某企业采用NISTSP800207定义的微分段方案，若需阻止同一宿主机上两个容器间非法通信，最佳控制点应部署在A.宿主机iptablesB.容器Sidecar代理C.vSwitch流表D.物理交换机ACL答案：B解析：Sidecar代理（如Envoy）可感知Layer7身份，实现基于身份的微分段，比宿主机iptables更细粒度，且与云原生控制面无缝集成。5.2025年5月，欧盟《网络弹性法案》（CRA）正式生效，对开源作者影响最大的条款是A.强制SBOM披露B.漏洞24小时内上报义务C.商业支持即视为制造商D.禁止GPLv3许可证答案：C解析：CRA第3(5)条明确，若开源项目有商业支持（含捐赠、付费维护），作者即被认定为制造商，需承担与商业软件同等安全责任。6.在Windows1124H2中，默认启用的新安全机制“KernelCET”主要缓解哪类漏洞？A.UAFB.ROP/JOPC.竞争条件D.整数溢出答案：B解析：KernelCET（ControlflowEnforcementTechnology）通过影子栈与间接分支跟踪，阻断ROP/JOP代码复用攻击。7.某银行APP采用白盒密码技术保护本地密钥，攻击者使用Frida对libwbcrypto.so下断点，最可能触发的自毁机制是A.内存校验和失败B.调试端口占用C.时间戳跳变D.设备Root状态答案：A解析：白盒实现通常嵌入校验和或查找表摘要，一旦Frida篡改指令导致摘要变化，立即触发“白盒自毁”清零密钥。8.2025年6月，IETF发布RFC9486，为QUIC引入“MultipathQUIC”，其默认认证模式仍基于A.TLS1.30RTTB.TLS1.31RTTC.DTLS1.3D.IPsecAH答案：B解析：RFC9486保持与RFC9001一致，多路径扩展不改变1RTT握手安全模型，0RTT存在重放风险，需额外限制。9.某车企V2X通信采用SCMS（SecurityCredentialManagementSystem），假名证书更换触发条件是A.每行驶50kmB.每24小时或100条BSMC.电池电量低于20%D.GPS坐标跨省级行政区答案：B解析：SCMS设计隐私保护，假名证书生命周期以时间或消息数量为阈值，防止长期关联追踪。10.在Kubernetes1.30中，默认启用的“BoundServiceAccountToken”最大有效期为A.1hB.24hC.7dD.90d答案：B解析：1.30版本把ServiceAccountToken自动轮转周期设为24小时，降低长期令牌泄露风险。11.2025年7月，GitHub开始强制推送“pushprotection”功能，若开发者误提交AWSAKIA密钥，触发告警的最短检测时间为A.50msB.500msC.5sD.30s答案：A解析：GitHub在prereceive钩子中并行扫描，平均检测延迟低于50ms，阻断推送。12.某单位使用SM4GCM加密数据库字段，下列IV长度符合GM/T00022023要求的是A.64bitB.96bitC.128bitD.256bit答案：B解析：SM4GCM推荐IV96bit，与AESGCM保持一致，过长会降低性能，过短增加碰撞。13.2025年8月，苹果iOS18引入“PrivateCloudCompute”（PCC），其可信执行基础是A.SecureEnclaveB.AWSNitroEnclavesC.自定义SwiftSecuredVMD.IntelTDX答案：C解析：苹果自研云芯片搭载SwiftSecuredVM，内存加密+远程attestation，专为PCC优化，不依赖第三方TEE。14.某企业部署SASE，POP节点到IDC使用IPsec隧道，若需抗量子降级攻击，应优先启用A.IKEv2+AES256GCMB.IKEv2+ChaCha20Poly1305C.IKEv2+Kyber768+AES256GCM混合D.L2TPv3答案：C解析：NIST已标准化Kyber，混合模式既兼容现有芯片，又提供抗量子前向保密。15.在DevSecOps流水线中，SLSAL3要求构建环节必须满足A.构建脚本可重复B.构建环境临时性C.构建日志公开D.构建签名由HSM完成答案：B解析：SLSAL3核心是可验证的隔离构建环境，防止持久污染，临时性（ephemeral）为强制要求。16.2025年9月，微软Azure默认启用的“TrustedLaunch”对第几代虚拟机有效？A.仅第1代B.仅第2代C.第1代和第2代D.需第3代答案：B解析：TrustedLaunch依赖UEFI安全启动+vTPM，仅第2代VM支持。17.某单位采用6G太赫兹通信，面临“分子吸收”导致高衰减，下列安全影响最准确的是A.降低信噪比，易被中间人注入B.增加信号方向性，降低窃听概率C.引发量子隧穿，破坏完整性D.产生电磁脉冲，烧毁芯片答案：B解析：太赫兹波束极窄，非视距几乎无法窃听，安全收益大于风险。18.2025年10月，OpenSSF推出“Sigstore2.0”，其新增“Keyless”签名基于A.WebAuthn+FulcioB.X.509+HSMC.PGP+WKDD.SM2+CA答案：A解析：Keyless利用短期OIDCToken+WebAuthn，Fulcio颁发临时证书，私钥仅驻留安全硬件。19.某工业互联网场景使用OPCUA，若需满足IEC62443SL3，必须启用的安全配置文件是A.Basic256B.Basic256Sha256C.Aes128Sha256RsaOaepD.Aes256Sha256RsaPss答案：C解析：SL3要求128位对称+256位哈希+RSAOAEP，Aes128Sha256RsaOaep为最小组合。20.2025年11月，谷歌Chrome宣布废弃第三方Cookie，替代技术“PrivacySandbox”中，用于广告频次控制的是A.TopicsAPIB.ProtectedAudienceAPIC.SharedStorageD.FencedFrames答案：B解析：ProtectedAudienceAPI（原FLEDGE）支持再营销与频次控制，不跨站追踪。21.某单位使用国密SSLVPN，握手阶段采用的证书类型为A.RSA2048B.ECDSAP256C.SM2withSM3双证书D.Ed25519答案：C解析：国密SSL必须双证书：签名证书（SM2+SM3）+加密证书（SM2），实现分离。22.2025年12月，Linux内核加入“Fchmodat2”系统调用，主要解决哪类TOCTOU问题？A.符号链接竞争B.文件描述符复用C.权限位回写D.目录遍历答案：A解析：Fchmodat2新增AT_SYMLINK_NOFOLLOW标志，避免攻击者替换符号链接导致权限提升。23.某企业使用Okta作为IdP，采用“DeviceTrust”策略，若员工手机Root，则A.仅限制Web登录B.仅限制VPN登录C.拒绝所有访问D.触发逐步认证答案：C解析：OktaDeviceTrust与MDM联动，一旦检测到Root/越狱，立即吊销证书，拒绝访问。24.2025年，主流勒索软件开始采用“间歇加密”技术，其首要目的是A.降低CPU占用B.绕过EDR行为检测C.减少赎金谈判时间D.兼容M1芯片答案：B解析：间歇加密（partialencryption）保持文件部分可读，降低熵增，绕过基于熵检测的EDR。25.某单位使用ApacheKafka3.7，若需对topic级加密，应启用的特性是A.SSLbetweenbrokersB.ZKACLC.TieredStorage+KMSD.KRaftencryption答案：C解析：3.7引入TieredStorage支持KMS密钥，实现topic级透明加密，旧版本仅传输层加密。26.2025年，NISTSP80053r6新增控制项“CP13”指A.供应链风评B.抗量子加密迁移C.云原生可观测性D.生成式AI治理答案：D解析：r6首次针对AI系统，CP13要求建立AI模型生命周期安全治理。27.某单位使用Terraform管理云资源，若需检测“tfstate”泄露，最佳开源工具是A.CheckovB.tfsecC.TruffleHogD.Terrascan答案：C解析：TruffleHog内置7000+正则，可扫描tfstate中AK/SK，支持Git历史追溯。28.2025年，我国《数据出境安全评估办法》修订版将“敏感个人信息”阈值下调至A.5千条B.1万条C.5万条D.10万条答案：B解析：修订版从10万条降至1万条，强化出境前评估。29.某单位使用CrowdStrikeFalcon，其“RealTimeResponse”功能默认端口为A.443B.4443C.8080D.22答案：B解析：FalconRTR使用双向TLS，端口4443，避免与Web冲突。30.2025年，我国信安标委发布的《汽车采集数据安全要求》规定，车外视频/图像人脸模糊化应在A.采集端B.传输层C.云端D.用户手机答案：A解析：标准5.2.1要求“车端即采即模糊”，禁止原始数据出境。二、多选题（每题2分，共20分）31.关于2025年3月曝光的“XZBackdoor”（CVE20243094），下列说法正确的是A.后门植入在liblzma的IFunc段B.触发条件需sshd进程调用RSA_decryptC.恶意代码使用Ed448签名验证D.受影响的稳定版Linux发行版包括RHEL9答案：A、B、C解析：后门利用IFunc重定向RSA_decrypt，Ed448公钥硬编码，RHEL9beta曾包含，但稳定版未发布。32.以下哪些技术可有效防御“AI深度伪造”语音诈骗？A.声纹活体检测+挑战短语B.双向TLS信道绑定C.声源物理距离测量（PDM）D.后量子数字水印答案：A、C、D解析：信道绑定无法验证内容真伪；活体、PDM、水印可从内容层防伪。33.在Kubernetes中，可限制容器使用宿主机IPC命名空间的控制包括A.PodSecurityPolicyB.OPAGatekeeperC.SeccompProfileD.AppArmor答案：A、B解析：PSP与Gatekeeper可直接限制hostIPC=true；Seccomp、AppArmor无法阻断命名空间共享。34.2025年，我国《关基保护要求》中，对“三级”关基云环境的备份要求包括A.同城双活B.异地实时复制C.备份数据加密D.备份系统与生产系统物理隔离答案：B、C、D解析：三级不要求同城双活，但需异地实时复制、加密、物理隔离。35.以下关于“Passkey”与“传统FIDO2”区别，正确的是A.Passkey支持多设备同步B.Passkey私钥可导出C.Passkey必须苹果生态D.Passkey使用同步式密钥管理答案：A、D解析：Passkey基于同步密钥链，私钥不可导出，跨平台。36.某单位使用SM9标识密码，下列参数由KGC公开的是A.主公钥PpubB.用户私钥dIDC.系统主密钥sD.哈希函数H1答案：A、D解析：Ppub与H1公开，s与dID保密。37.2025年，主流浏览器已实现的“PrivacySandbox”技术包括A.TopicsAPIB.FLEDGEC.ARAD.WebRTCIP掩码答案：A、B、C解析：WebRTCIP掩码属旧功能，非PS组件。38.以下属于6G“可编程网络”安全威胁的是A.控制面API滥用B.RICAPP篡改C.太赫兹DOSD.智能超表面注入答案：A、B、D解析：太赫兹DOS属物理层，非可编程面。39.某单位使用ApachePulsar，其“EndtoEndEncryption”特性支持A.消息级密钥轮换B.消费者批量解密C.密钥存储在KMSD.压缩+加密顺序可调答案：A、C、D解析：PulsarE2EE支持单消息轮换、KMS、先压后加或先加后压。40.2025年，NIST推荐的后量子签名算法中，已提供生产级开源实现的有A.DilithiumB.FalconC.SPHINCS+D.Rainbow答案：A、B、C解析：Rainbow已被破解，开源库已移除。三、判断题（每题1分，共10分）41.2025年，WindowsServer2025默认启用VBS+HVCI，即使管理员手动关闭，重启后仍会强制开启。答案：错解析：可通过组策略“TurnoffVBS”彻底禁用，重启后不再强制。42.我国《个人信息保护法》规定，人脸数据属于“敏感个人信息”，处理前须取得“单独同意”。答案：对解析：第28条明确生物识别数据需单独同意。43.在Linux内核6.8中，已移除对iptables的完全支持，仅留nftables。答案：错解析：6.8仍保留iptables兼容层，计划2026年移除。44.2025年，Chrome已支持“TLS1.30RTT”抗重放机制，默认对所有网站开启。答案：错解析：0RTT抗重放需服务器启用“AntiReplay”扩展，默认关闭。45.采用“同态加密”技术后，云端可直接对密文执行SQLLIKE模糊查询且无需解密。答案：错解析：全同态支持有限，LIKE需特定可搜索加密方案，非通用同态。46.2025年，OpenSSH9.6默认禁用RSA签名，仅留ECDSA/Ed25519。答案：错解析：默认仍支持rsasha2512，仅禁用sshrsa。47.我国《商用密码管理条例》规定，SM系列算法出口需取得两用物项许可证。答案：对解析：SM2/3/4属管制密码，出口需商务部审批。48.在Kubernetes1.30中，SeccompProfile可限制容器创建新命名空间。答案：错解析：Seccomp为系统调用过滤，命名空间创建由Capabilities或PSP控制。49.2025年，AWSKMS已支持Kyber密钥，可用于数据加密而非签名。答案：对解析：AWS于2025年预览版推出Kyber768数据加密，签名仍用Dilithium。50.使用“内存安全语言”Rust重写C代码，可100%消除内存破坏漏洞。答案：错解析：Rust消除安全类内存漏洞，但逻辑漏洞、算法缺陷仍可能存在。四、填空题（每空2分，共20分）51.2025年，我国《网络数据安全管理条例》将“重要数据”识别权限赋予_________。答案：行业主管部门解析：条例第9条，行业主管制定细则，企业申报。52.在TLS1.3中，用于实现“密钥更新”功能的握手消息类型值为_________。答案：18（KeyUpdate）解析：RFC8446，KeyUpdate消息类型值为18。53.2025年，Linux内核新增的“KernelControlFlowIntegrity”简称_________。答案：KCFI解析：KCFI为ClangCFI在Linux内核的实现，阻断非法函数指针。54.我国《汽车整车信息安全技术要求》中，对“车外通信接口”进行安全测试时，需模拟_________攻击。答案：中间人+重放解析：标准5.3.2要求双重攻击模拟。55.在KubernetesNetworkPolicy中，若要禁止所有入站流量，应设置policyTypes为_________。答案：[Ingress]解析：仅声明Ingress并置空规则即可默认拒绝入站。56.2025年，IETF发布的“DNSoverQUIC”正式标准编号为_________。答案：RFC9250解析：RFC9250定义DoQ，基于QUIC流。57.我国《个人信息出境标准合同办法》规定，合同应备案至_________。答案：省级网信部门解析：办法第7条，向所在地省级网信备案。58.在SM2数字签名算法中，签名结果包含两个分量，分别为_________。答案：r、s解析：GM/T0003.2，签名输出为(r,s)512bit。59.2025年，谷歌推出的“ChromeDeviceBoundSessionCredentials”简称_________。答案：DBSC解析：DBSC绑定会话Cookie至设备密钥，防Cookie盗窃。60.在Windows1124H2中，用于隔离打印驱动的容器技术名为_________。答案：PrintDemonIsolated解析：微软内部代号PrintDemonIsolated，基于VBS容器。五、简答题（每题10分，共30分）61.简述2025年“AI供应链投毒”典型攻击