2025年网络安全与信息保障考试试卷及答案

2025年网络安全与信息保障考试试卷及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项的字母填在括号内）1.在《网络安全法》中，关键信息基础设施运营者采购网络产品或服务可能影响国家安全的，应当通过（）。A.国家网信办审批  B.国家市场监督管理总局备案  C.国家网络安全审查  D.工信部核准答案：C2.以下哪一项不是对称加密算法的典型代表（）。A.AES  B.SM4  C.ChaCha20  D.RSA答案：D3.在零信任架构中，用于动态评估访问请求的实时引擎通常称为（）。A.SIEM  B.SDP  C.PolicyEngine  D.IDS答案：C4.2023年12月NIST发布的《后量子密码标准草案》中，被选为通用加密算法的候选算法是（）。A.CRYSTALSKYBER  B.Falcon  C.Rainbow  D.NTRUPrime答案：A5.某单位采用802.1X+PEAP进行无线接入认证，服务器证书校验失败时，客户端最安全的做法是（）。A.跳过校验继续连接  B.手动安装自签证书  C.拒绝连接并上报IT  D.更换SSID重新尝试答案：C6.在Linux系统中，若需要限制进程对/etc/shadow文件的访问，可使用的强制访问控制机制是（）。A.iptables  B.SELinux  C.tcpwrapper  D.PAM答案：B7.关于GDPR与《个人信息保护法》的域外适用，下列说法正确的是（）。A.二者均以数据处理者所在地为唯一连接点  B.GDPR采用“目标指向”标准，个保法采用“分析或预测”标准  C.二者均未对境外处理者设定义务  D.个保法对境外处理者不设安全评估门槛答案：B8.利用BGP劫持实现流量窃听，攻击者主要破坏了安全属性中的（）。A.可用性  B.完整性  C.机密性  D.不可否认性答案：C9.在PKI体系中，负责发布证书撤销状态的在线查询服务是（）。A.OCSP  B.CRL  C.LDAP  D.RA答案：A10.某Web应用使用JWT作为会话令牌，若签名算法字段可被客户端篡改，则可能导致（）。A.CSRF  B.垂直越权  C.算法混淆攻击  D.SQL注入答案：C11.2024年3月曝出的“TunnelVision”漏洞针对的是（）。A.IPsec  B.OpenVPN  C.WireGuard  D.PPP答案：B12.在Windows日志中，事件ID4624表示（）。A.账户登录失败  B.账户成功登录  C.权限提升  D.对象访问答案：B13.采用Shamir秘密共享方案，将密钥分为5份，恢复阈值设为3，若丢失2份，则（）。A.可暴力破解  B.可部分恢复  C.不可恢复  D.需重新生成答案：C14.在IPv6中，用于替代ARP的协议是（）。A.NDP  B.DHCPv6  C.MLD  D.ICMPv6答案：A15.关于RansomwareasaService（RaaS），下列描述错误的是（）。A.降低攻击技术门槛  B.核心作者抽取佣金  C.订阅者无需任何技术  D.通常采用加密货币支付答案：C16.在Android13中，防止应用程序在后台访问剪贴板的控制机制属于（）。A.DAC  B.MAC  C.权限组  D.前台服务限制答案：D17.使用Wireshark检测TLS1.3加密流量，可显示明文的是（）。A.ClientHello扩展  B.ApplicationData  C.Finished报文  D.KeyUpdate答案：A18.在云安全责任共担模型中，IaaS层以下哪项由云服务商负责（）。A.虚拟机内补丁  B.对象存储数据  C.物理主机固件  D.客户密钥答案：C19.关于同态加密，下列说法正确的是（）。A.仅支持加法同态  B.可在不解密的情况下计算密文  C.已大规模商用  D.无需密钥管理答案：B20.在工业控制系统中，Modbus协议默认端口是（）。A.502  B.44818  C.102  D.1911答案：A二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于软件供应链攻击的典型入口（）。A.恶意开源组件  B.CI/CD投毒  C.固件后门  D.鱼叉邮件  E.水坑攻击答案：A、B、C22.关于DNSSEC，下列说法正确的是（）。A.使用RRSIG记录提供签名  B.使用DS记录建立信任链  C.可防止DNS缓存投毒  D.加密DNS查询内容  E.根区已全面签名答案：A、B、C、E23.在容器安全中，以下哪些措施能有效缓解容器逃逸（）。A.启用Seccomp  B.使用非root用户  C.关闭CAP_SYS_ADMIN  D.禁用AppArmor  E.只读根文件系统答案：A、B、C、E24.关于量子密钥分发（QKD），下列说法正确的是（）。A.基于量子不可克隆定理  B.可检测窃听行为  C.需经典信道认证  D.已实现星地实验  E.可替代RSA答案：A、B、C、D25.以下哪些日志源可用于APT攻击溯源（）。A.DNS日志  B.Proxy日志  C.NetFlow  D.注册表快照  E.内存转储答案：A、B、C、D、E26.在Web安全中，以下哪些响应头可缓解点击劫持（）。A.XFrameOptions  B.ContentSecurityPolicy  C.StrictTransportSecurity  D.ReferrerPolicy  E.XContentTypeOptions答案：A、B27.关于5G网络切片安全，下列说法正确的是（）。A.切片间需强制隔离  B.同一UE可接入多切片  C.切片标识为SNSSAI  D.核心网共享UPF  E.切片密钥可不同答案：A、B、C、E28.在数据跨境传输合规中，以下哪些属于中国《数据出境安全评估办法》规定的评估触发条件（）。A.处理100万人以上个人信息  B.累计出境10万人敏感数据  C.关键信息基础设施数据  D.个人信息出境再转移  E.非个人信息但涉及国家经济命脉答案：A、B、C、D29.关于可信执行环境（TEE），下列说法正确的是（）。A.IntelSGX属于TEE  B.可抵御物理攻击  C.代码在加密内存运行  D.侧信道风险为零  E.远程证明用于验证初始状态答案：A、B、C、E30.以下哪些属于常见的后渗透持久化技术（）。A.WMI事件订阅  B.注册表Run键  C.计划任务  D.DLL劫持  E.内核模块加载答案：A、B、C、D、E三、填空题（每空1分，共20分）31.在TLS1.3中，用于实现0RTT重用的扩展字段称为________。答案：EarlyData32.我国《密码法》将密码分为核心密码、________密码和商用密码三类。答案：普通33.SHA3算法基于的构造结构称为________结构。答案：Sponge34.在Windows系统中，用于存储用户哈希的SAM文件位于________目录下。答案：%SystemRoot%\System32\config35.2024年10月，IETF发布的RFC9500正式将________协议定义为IPv6过渡机制标准。答案：MAPT36.在Kubernetes中，默认用于服务发现的对象是________。答案：Service37.根据《信息安全等级保护2.0》，云计算扩展要求对________级系统提出虚拟化隔离要求。答案：第三38.在ARM架构中，提供硬件级指针验证的扩展指令集缩写为________。答案：PACIA39.用于衡量入侵检测系统误报率的指标是________率。答案：FalsePositive40.在区块链中，以太坊虚拟机采用的指令集架构为________。答案：基于栈的架构41.我国《网络产品安全漏洞管理规定》要求，漏洞发现者应在________小时内向工信部报送。答案：4842.在无线安全中，WPA3Personal采用________握手协议替代四次握手。答案：Dragonfly43.在Python中，使用________库可安全生成加密随机数。答案：secrets44.在威胁情报STIX2.1格式中，表示攻击者战术的SDO对象为________。答案：Tactic45.在Linux内核中，用于限制系统调用的安全机制缩写为________。答案：Seccomp46.2025年1月正式商用的中国后量子算法标准命名为________。答案：SM9PQC47.在数字取证中，计算硬盘SHA256值的目的是保证证据的________性。答案：完整48.在云原生安全中，用于扫描镜像漏洞的CNCF毕业项目名称为________。答案：Clair49.在渗透测试中，用于快速识别Web应用技术栈的工具为________。答案：Wappalyzer50.在IPv6地址中，用于本地链路单播的前缀为________。答案：FE80::/10四、判断题（每题1分，共10分。正确打“√”，错误打“×”）51.在RSA加密中，公钥指数e必须小于模数n且与φ(n)互质。（√）52.使用HTTPS即可完全防止中间人攻击，无需校验证书链。（×）53.在Dockerfile中，使用COPY指令比ADD指令更安全，因为COPY不支持远程URL。（√）54.量子计算机可在多项式时间内破解椭圆曲线离散对数问题。（√）55.我国《数据安全法》规定，国家建立数据分类分级保护制度，将数据分为一般、重要、核心三级。（√）56.在WindowsDefender中，ASR规则可阻止Office宏调用Win32API。（√）57.使用ChaCha20Poly1305进行加密时，Nonce重复会导致密钥泄露。（√）58.5G核心网中，AUSF网元负责生成鉴权向量五元组中的RAND。（×）59.在威胁建模STRIDE中，Repudiation表示否认威胁。（√）60.使用iptablesF命令会清空所有链规则，但不会断开已建立的TCP连接。（√）五、简答题（封闭型，每题5分，共20分）61.简述TLS1.3相比TLS1.2在握手性能上的两项主要优化。答案：1.将握手消息由两次往返（2RTT）压缩为一次往返（1RTT），首次握手即可传输应用数据；2.支持0RTT模式，客户端利用上次会话的PSK在第一个报文中携带加密数据，实现零往返恢复。62.简述我国《个人信息保护法》中“敏感个人信息”的判定标准并给出两类示例。答案：判定标准：一旦泄露或非法使用，容易导致自然人的人格尊严或人身、财产安全受到严重危害。示例：1.生物识别信息（面部特征）；2.金融账户与交易记录。63.简述Kerberos协议中TGT的作用及生命周期管理要点。答案：TGT（TicketGrantingTicket）是用户首次认证后由KDC颁发的票据，用于后续请求服务票据，避免重复输入口令。生命周期管理：默认10小时，可续期至7天；需设置合理最大生命周期与续期窗口，防止重放；存储于内存，退出即销毁。64.简述容器运行时安全检测工具Falco的工作原理。答案：Falco通过内核模块或eBPF探针采集系统调用事件，与预定义规则引擎比对，发现异常行为（如敏感目录写入、特权容器启动）后输出告警；支持将告警发送至SIEM、Kafka等，实现实时响应。六、简答题（开放型，每题10分，共20分）65.结合实例论述“数据可用性”在金融交易场景中的重要性，并提出三项技术保障措施。答案：重要性：2023年某券商核心数据库遭勒索加密，导致沪深交易所报盘中断37分钟，直接损失超3亿元，并触发监管罚单。技术措施：1.异地实时容灾：采用双活数据中心+同步复制，RPO=0；2.不可变备份：使用WORM存储，防止勒索加密备份；3.混沌工程演练：定期注入节点故障，验证自动切换与健康检查机制。66.试论“量子计算威胁下公钥基础设施的迁移策略”，需涵盖算法选择、证书链改造、兼容性过渡与合规考量。答案：算法选择：采用NIST标准化算法CRYSTALSKYBER与Dilithium，兼顾密钥尺寸与性能；证书链改造：在X.509v3扩展中增加pqcalgid与pqcpubkey字段，采用混合证书（传统+后量子）实现双签名；兼容性过渡：分阶段部署，先网关后终端，使用TLS1.3后量子扩展草案，支持算法协商降级；合规考量：遵循《商密条例》与等保2.0，选用国密SM9PQC算法时需通过国密局审批，并完成跨境数据评估。七、应用题（计算类，共15分）67.某企业计划部署IPsecVPN，采用AES256GCM加密与PFS（DHGroup20），已知：峰值流量1Gbps，平均包长500Byte；AES256GCM吞吐极限为800Mbps/核；DHGroup20一次协商计算耗时20ms，单核可并发100线程；预计同时在线终端5000个，每小时重新协商一次。求：（1）加密所需最小CPU核心数；（2）DH协商所需最小CPU核心数；（3）若采用硬件卡将AES吞吐提升4倍，重新计算（1）。答案：（1）1Gbps÷800Mbps/核=1.25→向上取整2核；（2）每小时协商5000次，每次20ms，总CPU时间=5000×0.02=100s；单核每小时提供100×3600=360000线程×0.02=7200次；需5000÷7200≈0.69→向上取整1核；（3）800×4=3200Mbps/核，1Gbps÷3200=0.3125→向上取整1核。八、应用题（分析类，共15分）68.阅读以下日志片段，回答问题：```2025060314:23:110→5:443TCPSYN2025060314:23:115→0:443TCPSYNACK2025060314:23:120→5:443TLSClientHello(SNI=)2025060314:23:125→0:443Certificate(CN=.,OCSPStapling)2025060314:23:1