2025人社部网络安全专项测试卷及答案

2025人社部网络安全专项测试卷及答案1.单项选择题（每题1分，共20分）1.1《网络安全法》规定，关键信息基础设施运营者采购网络产品和服务，可能影响国家安全的，应当通过（）。A.工信部备案 B.国家网信部门安全审查 C.市场监管总局认证 D.公安部准入许可答案：B1.2在SSL/TLS握手阶段，用于协商对称加密算法的报文是（）。A.ClientHello B.ServerHello C.Certificate D.ServerKeyExchange答案：B1.3根据GB/T222392019，等级保护2.0中“安全区域边界”控制点不包括（）。A.边界防护 B.访问控制 C.入侵防范 D.安全审计答案：D1.4下列关于WindowsSAM数据库的描述，正确的是（）。A.存储在%SystemRoot%\config\sam，仅SYSTEM权限可读 B.哈希算法仅使用MD5 C.本地用户口令以明文保存 D.远程破解需先获取NTDS.dit答案：A1.5在IPv6中，用于发现重复地址的ICMPv6类型是（）。A.133 B.134 C.135 D.136答案：D1.62017年6月1日起施行的《网络产品和服务安全审查办法》由（）牵头组织实施。A.国家网信办 B.公安部 C.工信部 D.国家密码管理局答案：A1.7使用nmap扫描时，参数sS表示（）。A.TCPSYN扫描 B.TCPConnect扫描 C.UDP扫描 D.ACK扫描答案：A1.8在公钥基础设施中，负责发布证书撤销列表的组件是（）。A.RA B.CA C.OCSP D.LDAP答案：B1.9根据《数据安全法》，国家建立数据分类分级保护制度，其中“核心数据”由（）确定。A.国务院 B.国家网信部门 C.行业主管部门 D.省级政府答案：A1.10在Linux系统中，文件/etc/shadow第二字段为“!”表示（）。A.账户被锁定 B.口令为空 C.使用SHA512 D.需二次验证答案：A1.11下列算法中，属于国密非对称算法的是（）。A.SM1 B.SM2 C.SM3 D.SM4答案：B1.12在OWASPTop102021中，排名首位的是（）。A.访问控制失效 B.加密失败 C.注入 D.不安全设计答案：A1.13根据《个人信息保护法》，处理敏感个人信息应取得个人的（）。A.明示同意 B.书面同意 C.单独同意 D.默示同意答案：C1.14在TCP三次握手中，SYN+ACK报文对应的标志位组合是（）。A.SYN=1,ACK=0 B.SYN=1,ACK=1 C.SYN=0,ACK=1 D.SYN=0,ACK=0答案：B1.15下列关于零信任架构的描述，错误的是（）。A.默认信任内部网络 B.以身份为中心 C.动态访问控制 D.持续信任评估答案：A1.16在ApacheLog4j2漏洞（CVE202144228）中，攻击者利用的查找机制是（）。A.JNDI B.LDAP C.RMI D.DNS答案：A1.17根据《关键信息基础设施安全保护条例》，运营者应当（）开展一次网络安全检测评估。A.每季度 B.每半年 C.每年 D.每两年答案：C1.18在BGP安全扩展中，用于验证路由起源的协议是（）。A.BGPsec B.RPKI C.ASPA D.ROV答案：B1.19下列关于区块链共识机制的描述，正确的是（）。A.PoW能耗低 B.PoS完全去中心化 C.PBFT适用于联盟链 D.Raft支持拜占庭容错答案：C1.20在Android12中，应用如欲访问设备标识符IMEI，需声明的权限是（）。A.READ_PHONE_STATE B.READ_PRIVILEGED_PHONE_STATE C.READ_DEVICE_ID D.READ_SMS答案：B2.多项选择题（每题2分，共20分，每题至少有两个正确答案，多选少选均不得分）2.1以下哪些属于《网络安全审查办法》明确审查重点（）。A.核心数据出境风险 B.供应链依赖程度 C.业务连续性 D.股东背景答案：ABC2.2关于DNSSEC，下列说法正确的是（）。A.使用RRSIG记录签名 B.根区已部署KSK C.可防止DNS缓存投毒 D.采用对称加密答案：ABC2.3在Linuxcapabilities机制中，可用来限制root权限的有（）。A.CAP_SYS_ADMIN B.CAP_NET_RAW C.CAP_DAC_OVERRIDE D.CAP_SETUID答案：ABCD2.4以下哪些属于对称加密算法（）。A.AES256GCM B.ChaCha20Poly1305 C.SM4 D.ECDSA答案：ABC2.5在零信任参考架构NISTSP800207中，核心逻辑组件包括（）。A.PolicyEngine B.PolicyAdministrator C.PolicyEnforcementPoint D.SIEM答案：ABC2.6下列哪些端口与远程桌面协议直接相关（）。A.TCP3389 B.UDP3389 C.TCP5985 D.TCP5986答案：ABCD2.7关于WannaCry勒索病毒，描述正确的是（）。A.利用MS17010 B.传播模块使用EternalBlue C.加密文件扩展名为.wncry D.需支付比特币答案：ABCD2.8在容器安全中，可减小攻击面的措施有（）。A.使用distroless镜像 B.以非root用户运行 C.启用seccomp D.关闭Capabilities答案：ABCD2.9下列哪些属于《信息安全技术网络安全等级保护测评要求》中“安全计算环境”测评对象（）。A.服务器操作系统 B.数据库 C.中间件 D.防火墙策略答案：ABC2.10关于5G切片安全，下列说法正确的是（）。A.不同切片共享同一物理基础设施 B.切片间需实现资源隔离 C.切片标识为SNSSAI D.切片密钥由UE生成答案：ABC3.填空题（每空1分，共20分）3.1在IPSec中，负责提供数据源身份认证的协议是________。答案：AH3.2根据《密码法》，国家对密码实行分类管理，其中________密码用于保护不属于国家秘密的信息。答案：商用3.3在Windows系统中，用于查看当前登录用户SID的命令是________。答案：whoami/user3.4在Linux中，文件权限“rwsrxrx”中s对应数字权限为________。答案：47553.5在SQL注入中，使用________函数可绕过单引号过滤，实现字符串拼接。答案：concat3.6在PKI体系中，OCSP的默认端口号是________。答案：803.7在BGP报文中，用于维持邻居关系的报文类型是________。答案：Keepalive3.8在IPv6地址2001:DB8::1/64中，前缀长度为________位。答案：643.9在Android逆向中，用于将dex文件转换为jar文件的工具是________。答案：dex2jar3.10在Wireshark过滤器中，筛选HTTP状态码为404的表达式为________。答案：http.response.code==4043.11在国家标准GB/T397862021中，________算法被推荐用于电子签名的摘要算法。答案：SM33.12在Kubernetes中，用于限制容器CPU使用量的资源字段为________。答案：resources.limits.cpu3.13在Metasploit中，用于快速查找exploit的命令是________。答案：search3.14在TLS1.3中，取消了________密钥交换算法。答案：RSA3.15在等保2.0“安全管理中心”控制点中，要求对运维操作实现________运维。答案：集中3.16在区块链中，比特币采用的工作量证明算法是________。答案：SHA2563.17在Windows日志中，事件ID________表示账户登录成功。答案：46243.18在Linux系统中，用于查看当前监听端口的命令是________。答案：sslntp3.19在HTTP头部中，用于防止点击劫持的字段是________。答案：XFrameOptions3.20在《数据出境安全评估办法》中，处理个人信息达到________万人即需申报评估。答案：1004.判断题（每题1分，共10分，正确打“√”，错误打“×”）4.1在TLS1.3中，0RTT模式存在重放攻击风险。答案：√4.2国密算法SM2与ECDSA均基于椭圆曲线离散对数难题。答案：√4.3Windows本地安全策略中“用户权限分配”可限制远程交互式登录。答案：√4.4在Linux中，文件被删除后，inode会立即释放。答案：×4.55G核心网SBA架构中，NRF负责网络切片选择。答案：×4.6在Android中，应用沙箱基于LinuxUID机制实现。答案：√4.7使用VPN一定可以避免DNS劫持。答案：×4.8在SQLMap中，参数osshell可直接获取交互式shell。答案：√4.9在等保2.0中，第三级系统每年至少开展一次测评。答案：√4.10在IPv6中，地址2001::/32属于全球单播地址。答案：√5.简答题（每题5分，共20分）5.1简述零信任架构与传统边界防御模型的三点本质区别。答案：1.默认信任域不同：零信任默认不信任任何主体，包括内网；传统模型默认内网可信。2.访问控制粒度：零信任以身份、设备、环境等多维动态授权；传统模型以网络位置为主。3.安全策略执行点：零信任在尽可能靠近资源的PEP执行；传统模型在边界网关集中执行。5.2说明国密SM2数字签名生成过程中使用的椭圆曲线参数来源及密钥长度。答案：SM2采用国家密码管理局发布的推荐曲线参数sm2p256v1，曲线方程为y²=x³+ax+b，模数p=2²⁵⁶2²²⁴2⁹⁶+2⁶⁴1，阶n为256位素数，私钥长度为256位，公钥长度为512位（x‖y各256位）。5.3概述Windows日志取证中检测“哈希传递”攻击的三条关键事件。答案：1.事件ID4624，登录类型3，认证包NTLM，过程名为空，源网络地址非本机。2.事件ID4672，分配给新登录的特殊权限，SubjectUserName与之前被盗账户一致。3.事件ID4768，KerberosTGT请求，用户名为不存在的伪造用户，但加密类型为RC4HMAC。5.4说明容器逃逸漏洞CVE20195736的触发条件与缓解措施。答案：触发条件：容器内进程对/proc/self/exe具有写权限且宿主机运行runc版本<1.0rc6。缓解措施：升级runc至1.0rc6+；启用SELinux/AppArmor限制容器对宿主机文件系统写权限；使用只读根文件系统；启用seccomp过滤ptrace。6.计算与分析题（每题10分，共30分）6.1某公司第三级等保系统，业务峰值带宽2Gbps，已知平均包长800Byte，若采用全流量镜像到IDS集群，要求检测覆盖率≥95%，丢包率<0.1%。（1）计算每秒包数pps。（2）若单台IDS处理性能为4Mpps，求最少需要几台IDS？（3）若采用ERSpan隧道封装，额外增加38Byte头部，求镜像链路实际占用带宽。答案：（1）pps=2×10⁹bit/s÷(800×8)bit=312500pps=0.3125Mpps（2）需冗余10%，总pps=0.3125×1.1=0.34375Mpps<4Mpps，故最少1台（3）镜像包长=800+38=838Byte实际带宽=312500×838×8=2.095Gbps6.2某Web应用采用JWT作为会话令牌，头部{"alg":"HS256"}，密钥长度6位小写字母。攻击者截获令牌后欲实施暴力破解。（1）密钥空间大小。（2）若使用GPU算力为每秒1×10⁹次HMACSHA256计算，求平均破解时间。（3）若将密钥升级为32位随机字母数字，重新计算平均破解时间并评估可行性。答案：（1）26⁶=308915776（2）平均尝试一半，时间=0.5×308915776÷10⁹≈0.154s（3）62³²≈2.27×10⁵⁷，时间=0.5×2.27×10⁵⁷÷10⁹≈1.13×10⁴⁸s»宇宙年龄，不可行。6.3某企业计划建设跨城IPSecVPN，链路RTT=30ms，带宽100Mbps，包长1400Byte，加密算法AES256GCM，开启PFS，DHgroup14（模数2048bit）。（1）计算每秒最大包数。（2）已知IPSec开销为额外73Byte（ESP头+IV+ICV），求实际占用带宽。（3）若启用IPComp，压缩比50%，重新计算占用带宽并说明对MTU的影响。答案：（1）pps=100×10⁶÷(1400×8)=8928pps（2）新包长=1400+73=1473Byte实际带宽=8928×1473×8=105.2Mbps>100Mbps，需降包长或升带宽（3）压缩后净荷=1400×0.5=700Byte，新包长=700+73=773Byte占用带宽=8928×773×8=55.2Mbps<100Mbps，MTU可保持1500不变，无分片。7.综合应用题（每题15分，共30分）7.1背景：某省政务云承载200个业务系统，定级为三级，计划2025年完成密码改造。要求：①绘制密码应用改造拓扑（文字描述即可），含国密SSLVPN、服务器密码机、密钥管理系统、电子签章系统。②列出密码改造需遵循的三项国家标准编号及名称。③给出数据库透明加密方案，说明密钥生命周期各阶段责任部门。④评估改造后合规风险点2条并提出缓解措施。答案：①拓扑描述：互联网→国密SSLVPN网关（双机热备）→核心交换→DMZ区Web服务器→内网区应用服务器→数据库服务器；服务器密码机（HSM）通过专用光纤接入内网，提供SM2/SM3/SM4运算；密钥管理系统（KMS）集群部署于管理区，通过SSL双向认证与HSM通信；电子签章系统部署于应用区，调用KMS获取签名密钥。②标准：GB/T397862021《信息安全技术信息系统密码应用基本要求》、GB/T370922018《信息安全技术密码模块安全要求》、GB/T352752017《信息安全技术SM2椭圆曲线公钥密码算法》。③数据库透明加密：采用SM4CBC，密钥分层：主密钥（MK）存储于HSM，数据加密密钥（DEK）由KMS生成并定期轮换，DEK明文仅存在于内存。生命周期：生成（密码办）、分发（运维部）、使用（DBA）、备份（审计部）、销毁（密码办）。④风险点：a)密钥备份未采用门限方案，存在单点泄露风险；b)