2025年网络安全与信息保护试卷及答案

2025年网络安全与信息保护试卷及答案1.单项选择题（每题1分，共20分）1.1我国《个人信息保护法》正式施行的日期是A.2020年10月1日 B.2021年1月1日 C.2021年11月1日 D.2022年3月15日答案：C1.2在SSL/TLS握手阶段，用于协商对称加密算法的报文是A.ClientHello B.ServerHello C.Certificate D.Finished答案：A1.3下列哪一项最能有效抵御重放攻击A.MAC B.随机Nonce C.CRC校验 D.Base64编码答案：B1.4关于零信任架构的核心原则，错误的是A.永不信任，持续验证 B.默认放行内网流量 C.最小权限访问 D.动态访问控制答案：B1.5在Windows系统中，用于强制完整性控制的标签级别从高到低排序正确的是A.System>High>Medium>Low B.System>Medium>High>Low C.High>System>Medium>Low D.System>High>Low>Medium答案：A1.6利用公开密钥基础设施签发证书时，负责实际生成数字签名的是A.RA B.CA C.OCSP D.CRL答案：B1.7下列哈希算法中，已被证明存在碰撞风险、不适用于数字签名的是A.SHA256 B.SHA3 C.MD5 D.BLAKE3答案：C1.8在IPv6中，用于实现无状态地址自动配置、能够携带前缀信息的是A.RouterAdvertisement B.NeighborSolicitation C.Redirect D.EchoRequest答案：A1.9关于GDPR中对数据控制者与处理者的区分，下列说法正确的是A.处理者决定个人数据处理目的 B.控制者仅负责技术实施 C.控制者对处理者行为承担连带责任 D.处理者无需保存处理记录答案：C1.10在Linux内核中，用于强制访问控制的子系统是A.SELinux B.Netfilter C.AppArmor D.Auditd答案：A1.11针对容器逃逸，最常被滥用的系统调用是A.ptrace B.execve C.clone D.open答案：A1.12下列哪项不是对称加密算法A.AES128 B.SM4 C.ChaCha20 D.ECDH答案：D1.13在OWASPTop102021版中，排名首位的安全风险是A.失效的访问控制 B.加密失败 C.注入 D.不安全设计答案：A1.14当使用HSTS时，浏览器收到"StrictTransportSecurity:maxage=31536000;includeSubDomains"后，下列说法正确的是A.仅对当前路径生效 B.自动把HTTP升级为HTTPS并持续一年 C.允许用户忽略证书错误 D.只在本次会话生效答案：B1.15在公钥密码体系中，已知公钥(e,n)=(17,3233)，私钥d=2753，则n的分解为A.61×53 B.59×55 C.61×51 D.67×47答案：A1.16关于DNSSEC，下列说法错误的是A.使用RRSIG记录保存签名 B.使用DNSKEY记录发布公钥 C.使用NSEC记录实现否定存在证明 D.使用TLSA记录验证HTTPS证书答案：D1.17在Android13中，限制第三方应用后台使用加速度传感器的机制称为A.AppOps B.SELinux C.PermissionReview D.SensorPrivacy答案：D1.18下列哪项属于非关系型数据库安全加固措施A.关闭公网监听 B.启用行级安全策略 C.设置列级加密 D.启用触发器审计答案：A1.19在密码学中，满足"相同密钥相同明文产生不同密文"性质的模式是A.ECB B.CBC C.GCM D.CTR答案：C1.20关于我国《数据安全法》对重要数据的定义，下列说法正确的是A.由企业自行认定 B.由网信部门会同主管部门认定 C.一律视为核心数据 D.无需出境安全评估答案：B2.多项选择题（每题2分，共20分，每题至少有两个正确答案，多选少选均不得分）2.1以下哪些属于常见的WebShell通信特征A.UserAgent固定为"Mozilla/4.0" B.POST数据含eval关键字 C.返回体出现"assert@base64_decode" D.请求头AcceptLanguage为zhCN答案：ABC2.2关于国密算法，下列说法正确的是A.SM2基于椭圆曲线 B.SM3输出256位摘要 C.SM4分组长度为128位 D.SM9属于标识密码答案：ABCD2.3以下哪些技术可用于防止CSRFA.同源策略 B.CSRFToken C.SameSiteCookie D.JSONP答案：BC2.4在Linux系统中，可用于持续监控文件完整性的开源工具有A.AIDE B.Tripwire C.OSSEC D.Snort答案：ABC2.5以下哪些属于云原生安全左移实践A.镜像漏洞扫描 B.IaC代码审计 C.运行时微隔离 D.CI阶段密钥检测答案：ABD2.6关于差分隐私，下列说法正确的是A.加入噪声满足ε差分隐私 B.隐私预算ε越大隐私保护越强 C.拉普拉斯机制适用于数值型查询 D.指数机制适用于非数值型查询答案：ACD2.7以下哪些命令可用于Windows取证获取易失性内存镜像A.winpmem B.MagnetRAMCapture C.dd D.FTKImager答案：ABD2.8在5G核心网中，可能导致用户面嗅探的安全缺陷有A.N3接口未启用IPSec B.GTPC缺乏认证 C.SUPI明文传输 D.AMF未校验PEI答案：ABC2.9以下哪些属于可信计算组织(TCG)定义的度量根A.RTM B.RTR C.RTS D.TPM答案：ABC2.10关于量子计算对密码学的影响，下列说法正确的是A.Shor算法可分解大整数 B.Grover算法可将对称密钥强度减半 C.后量子算法需抵抗量子攻击 D.RSA2048在量子计算机面前仍然安全答案：ABC3.填空题（每空1分，共20分）3.1在TLS1.3中，用于实现0RTT加速的扩展称为________。答案：EarlyData3.2我国《网络产品安全漏洞管理规定》要求，漏洞收集平台在发布漏洞前须提前________个工作日向工信部报备。答案：23.3在Linux中，默认启用地址空间布局随机化的内核参数是kernel.randomize________。答案：va_space3.4使用OpenSSL生成2048位RSA私钥并去除口令保护的命令是opensslgenrsaoutkey.pem________。答案：20483.5在Android系统中，负责管理应用权限的框架服务是________。答案：PackageManagerService3.6在IPv6中，用于发现重复地址的报文类型简写为________。答案：DAD3.7在SQL注入中，使用________函数可获取MySQL当前数据库名称。答案：database()3.8在Windows日志中，安全事件日志对应的文件名为________.evtx。答案：Security3.9在密码学中，满足"给定密钥可快速计算其逆密钥"性质的公钥系统称为________。答案：Trapdoor3.10在Kubernetes中，用于限制Pod提升权限的字段是securityContext.________。答案：allowPrivilegeEscalation3.11在Wireshark中，过滤HTTP状态码为200的表达式为http.response.code==________。答案：2003.12在GDPR中，对数据主体权利响应的法定期限为收到请求后________个月。答案：13.13在NISTSP80063B中，推荐的最小密码长度为________位。答案：83.14在iOS系统中，用于实现文件级加密的芯片组件称为________。答案：SecureEnclave3.15在SMTP协议中，用于启用TLS的命令是________。答案：STARTTLS3.16在Linux中，用于查看当前SELinux模式的命令是get________。答案：enforce3.17在公钥基础设施中，用于在线查询证书状态的协议简写为________。答案：OCSP3.18在Python中，使用hashlib计算SM3摘要需调用________库。答案：gmssl3.19在WiFi6中，用于实现individualized数据加密的新增套件称为________。答案：GCMP2563.20在区块链中，比特币采用的共识算法为________。答案：PoW4.判断题（每题1分，共10分，正确打"√"，错误打"×"）4.1在HTTPS中，服务器证书必须包含SAN扩展，否则客户端一定拒绝连接。答案：×4.2我国《密码法》规定，任何组织不得利用密码从事危害国家安全活动。答案：√4.3使用JWT时，将算法设置为"none"可实现签名验证绕过。答案：√4.4在Linux中，/etc/shadow文件对所有用户可读。答案：×4.5在Android12及以上，应用访问设备MAC地址需要ACCESS_FINE_LOCATION权限。答案：√4.6在SQLServer中，关闭xp_cmdshell存储过程即可完全防止提权。答案：×4.7在IPv6中，IPSec是强制实现的，因此不再存在中间人攻击。答案：×4.8在密码学中，一次一密(OTP)要求密钥长度不小于明文长度。答案：√4.9在Windows中，关闭UAC后，管理员进程不再经过consent.exe提示。答案：√4.10在Kubernetes中，NetworkPolicy默认拒绝所有跨Pod流量。答案：×5.简答题（每题6分，共30分）5.1封闭型：简述国密SM2数字签名生成流程，并指出其与ECDSA在曲线参数上的主要差异。答案：SM2签名流程：1.计算ZA=SM3(ENTLA∥IDA∥a∥b∥xG∥yG∥xA∥yA)；2.产生随机数k∈[1,n1]；3.计算椭圆曲线点(x1,y1)=[k]G；4.取r=(e+x1)modn，若r=0或r+k=n则重选k；5.计算s=((1+dA)^1·(kr·dA))modn；6.输出(r,s)。与ECDSA差异：SM2使用256位素数域曲线，参数固定于GM/T0003.2；ECDSA可复用多条标准曲线；SM2签名引入用户身份杂凑ZA，ECDSA无此步骤；签名方程不同，SM2使用s=((1+dA)^1·(kr·dA))，ECDSA使用s=(k^1·(e+r·dA))modn。5.2开放型：结合零信任架构，说明微隔离(MicroSegmentation)在数据中心东西向流量防护中的实施难点与解决思路。答案：难点：1.资产动态变化，容器IP秒级漂移导致静态策略失效；2.业务调用链复杂，过度隔离易引发业务中断；3.加密流量占比高，传统基于端口/IP的防火墙无法识别应用层；4.策略粒度细，人工运维成本高；5.遗留系统无代理，接入困难。解决思路：1.采用基于身份的标识（如mTLS证书中的SPIFFEID）代替IP；2.引入服务网格（Istio/Linkerd）实现L7级自动策略编排；3.通过eBPF+AI流量学习自动生成白基线；4.使用无代理方案（基于虚拟机监控器API）对遗留主机进行标签化；5.建立策略仿真环境，先审计后放行，结合CI/CD灰度发布降低误杀；6.采用持续合规扫描，动态调整策略，实现自适应微隔离。5.3封闭型：给出DiffieHellman密钥交换的中间人攻击过程，并说明如何通过数字签名机制进行防护。答案：攻击过程：1.攻击者分别与通信双方建立独立DH交换；2.拦截Alice的公钥g^amodp，向Bob发送自己的公钥g^xmodp；3.同理向Alice发送g^ymodp；4.双方分别与攻击者协商出共享密钥，攻击者可解密、篡改、重加密流量。防护：在DH消息中附加数字签名，签名私钥绑定身份证书；双方验证对方签名后再计算共享密钥；攻击者无合法私钥，无法伪造签名，中间人失败。5.4开放型：阐述在多云环境下统一密钥管理(KMS)面临的合规挑战及技术对策。答案：挑战：1.各国数据主权法规差异，密钥出境受限；2.云厂商锁定，密钥格式与API不统一；3.审计链断裂，难以证明密钥全生命周期合规；4.硬件安全模块(HSM)地域分布差异，延迟高；5.跨云身份凭证传递复杂，易泄露。对策：1.采用BYOK(BringYourOwnKey)与KYOK(KeepYourOwnKey)混合模式，核心密钥留在本地HSM；2.使用符合PKCS11、KMIP标准抽象层，屏蔽云厂商差异；3.部署跨云密钥联邦(ConfidentialConsortiumFramework)，利用区块链不可篡改记录密钥操作；4.采用Threshold密钥分散技术，将密钥分片分布到不同云，满足"数据在本地，密钥在境内"要求；5.引入SDP(软件定义边界)隧道，实现跨云身份与密钥分发通道的零信任；6.建立统一合规仪表板，实时映射GDPR、等保2.0、PCIDSS等条款到密钥策略，自动报警。5.5封闭型：说明在Windows域环境中，Kerberoasting攻击的原理、利用条件及防御措施。答案：原理：攻击者获取域内任意用户凭据后，向KDC请求高权限SPN(如MSSQLSvc)的TGS票据，该票据用服务账号哈希加密；攻击者离线暴力破解票据获得服务账号明文口令。利用条件：1.域内存在注册SPN的服务账号；2.服务账号口令强度弱；3.攻击者具有域用户凭据即可请求TGS，无需特殊权限。防御：1.为服务账号设置≥25位随机复杂口令；2.定期轮换服务账号口令；3.使用组托管服务账号(gMSA)自动管理口令；4.启用KerberosAES加密，降低破解速度；5.监控异常TGS请求行为，如短时间内大量请求不同SPN。6.应用题（共50分）6.1计算类（10分）某Web系统采用PBKDF2HMACSHA256进行口令派生，迭代次数c=10000，派生密钥长度dkLen=32字节。若攻击者使用GPU集群每秒可计算2^30次HMACSHA256，假设口令空间为94^8（8位可打印字符），估算平均破解时间（年）。答案：单次PBKDF2需10000次HMAC，GPU每秒可完成2^30/10000=2^16≈65536次派生；口令空间94^8≈6.1×10^15；平均需尝试一半，3.05×10^15次；时间=3.05×10^15/65536≈4.66×10^10秒≈1477年。6.2分析类（15分）阅读以下日志片段，回答：2025031814:22:11src=dst=5dpt=443spt=45678proto=tcpflag=S2025031814:22:12src=5dst=dpt=45678spt=443flag=SA2025031814:22:12src=dst=5dpt=443spt=45678len=0flag=R2025031814:22:13src=dst=5dpt=443spt=45679flag=S2025031814:22:14src=5dst=dpt=45679spt=443flag=SA2025031814:22:14src=dst=5dpt=443spt=45679len=0flag=R问题：1.描述攻击行为名称；2.给出两条检测规则（Snort/Suricata语法）；3.提出两条缓解措施。答案：1.TCPSYN端口扫描，攻击者不断变换源端口对443端口进行半开扫描，收到SYNACK后立即发送RST断开。2.检测规则：alerttcpanyany>any443(flags:S;threshold:typeboth,trackby_src,count10,seconds5;msg:"HighfrequencySYNto443";sid:10001;)alerttcpanyany>any443(flag