大数据时代的互联网信息安全试题及答案

大数据时代的互联网信息安全试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2021年《数据安全法》正式施行，其立法层级属于（）。A.行政法规  B.法律  C.部门规章  D.地方性法规答案：B2.在SSL/TLS握手阶段，用于协商对称密钥的首要消息是（）。A.ClientHello  B.ServerHello  C.Certificate  D.Finished答案：A3.下列关于GDPR“被遗忘权”的描述，正确的是（）。A.数据主体可随时要求删除其全部个人数据且控制者必须立即执行B.控制者可在“行使言论自由”例外情形下拒绝删除请求C.删除请求只能针对欧盟境内服务器上的数据D.被遗忘权不适用于已公开的个人数据答案：B4.某电商平台采用HMACSHA256对订单报文做完整性校验，其共享密钥长度为（）。A.128bit  B.160bit  C.256bit  D.任意长度答案：D5.在零信任架构中，实现“动态授权”的核心组件是（）。A.SIEM  B.SDP  C.PKI  D.IDS答案：B6.2022年12月，工信部就《工业和信息化领域数据安全管理办法（试行）》公开征求意见，其中对“重要数据”实行（）管理。A.备案  B.分级分类  C.许可  D.豁免答案：B7.利用DNSoverHTTPS（DoH）的主要安全目标是（）。A.防止DNS缓存投毒  B.防止DNS查询被窃听与篡改C.降低DNS解析延迟  D.实现CDN负载均衡答案：B8.某企业内网部署了基于Kerberos的认证系统，用户首次访问文件服务器时获取的票据类型是（）。A.TGT  B.ST  C.PAC  D.TGS答案：B9.在Android13中，防止应用程序在后台使用麦克风的新增安全机制是（）。A.运行时权限  B.前台服务限制  C.隐私指示器  D.权限自动重置答案：C10.以下哪条命令可直接查看Linux系统当前已加载的SELinux策略模块？（）A.getenforce  B.semodulel  C.sestatus  D.audit2allow答案：B11.根据《网络安全审查办法》，掌握超过（）万用户个人信息的网络平台运营者赴国外上市必须申报安全审查。A.50  B.100  C.500  D.1000答案：B12.在AESGCM加密模式中，用于保证完整性的字段长度是（）。A.64bit  B.96bit  C.128bit  D.256bit答案：C13.利用HTTPHeader“PermissionsPolicy”可限制网页对（）的访问。A.Cookie  B.摄像头  C.本地存储  D.浏览器缓存答案：B14.2020年“SolarWinds”供应链攻击中，黑客植入后门的文件名为（）。A.SUNBURST  B.Stuxnet  C.Slammer  D.WannaCry答案：A15.在密码学中，满足“抗碰撞性”是指（）。A.无法从密文反推出明文B.无法找到两个不同输入产生相同输出C.无法通过选择明文攻击恢复密钥D.无法通过侧信道获取密钥答案：B16.我国《个人信息保护法》规定，处理敏感个人信息应取得个人的（）。A.明示同意  B.书面同意  C.单独同意  D.默示同意答案：C17.在Windows日志中，事件ID4624表示（）。A.账户登录失败  B.账户成功登录  C.权限提升  D.对象访问审计答案：B18.利用“HTTP/3”协议提升安全性的主要技术手段是（）。A.强制TLS1.3  B.基于UDP的QUIC加密  C.双向证书  D.SNI隐藏答案：B19.在容器安全中，防止容器逃逸的最佳实践是（）。A.关闭SELinux  B.使用特权容器  C.启用seccomp  D.共享PID命名空间答案：C20.根据《关键信息基础设施安全保护条例》，负责认定关键信息基础设施的主管部门是（）。A.公安部  B.工信部  C.行业主管或监管部门  D.国家网信办答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于常见的Web应用防护系统（WAF）部署模式？（）A.透明代理  B.反向代理  C.桥接模式  D.路由模式  E.旁路镜像答案：ABCE22.在Linux系统中，可用于强制访问控制（MAC）的框架包括（）A.AppArmor  B.SELinux  C.Smack  D.TOMOYO  E.Grsecurity答案：ABCD23.关于同态加密，下列说法正确的有（）A.可在加密数据上直接进行运算  B.目前全同态加密效率已接近明文计算C.Paillier算法支持加法同态  D.RSA算法支持乘法同态  E.同态加密可解决数据外包计算隐私问题答案：ACDE24.以下哪些行为可能触发《网络安全法》第六十三条“拒不履行信息网络安全管理义务罪”？（）A.网络服务提供者未按监管要求处置违法信息  B.未落实实名制C.未采取数据分类措施  D.拒绝为公安机关提供技术解密协助E.未对重要数据做异地备份答案：ABD25.在云计算责任共担模型中，通常由云服务商负责的安全控制包括（）A.物理安全  B.Hypervisor加固  C.客户数据加密密钥管理D.机房基础设施  E.客户操作系统补丁答案：ABD26.关于5G网络切片安全，下列说法正确的有（）A.不同切片共享同一物理资源需隔离  B.切片间可通过API开放互通C.切片认证可基于SUCI  D.切片密钥需独立分发  E.切片攻击不会影响其他切片答案：ABCD27.以下哪些技术可用于防止电子邮件伪造？（）A.SPF  B.DKIM  C.DMARC  D.S/MIME  E.STARTTLS答案：ABC28.在物联网终端身份认证中，轻量级密码算法应具备的特征有（）A.低功耗  B.小面积  C.高吞吐量  D.抗侧信道  E.长密钥答案：ABD29.关于区块链51%攻击，下列说法正确的有（）A.可双花交易  B.可阻止交易确认  C.可篡改历史全部区块D.可逆转近期交易  E.需要掌握全网算力优势答案：ABDE30.以下哪些日志源可用于态势感知平台做横向移动检测？（）A.WindowsSysmon  B.VPN登录日志  C.DNS查询日志D.数据库审计日志  E.NetFlow流量答案：ABCDE三、填空题（每空1分，共20分）31.在IPv6中，用于替代ARP的协议是________，其基于________报文实现地址解析。答案：NDP（邻居发现协议），ICMPv632.根据《信息安全技术网络安全等级保护基本要求》（GB/T222392019），第三级系统应对网络边界进行________防护，并具备________入侵防范能力。答案：边界访问控制，未知恶意代码33.在公钥基础设施中，用于声明公钥归属的数据结构是________，其标准格式遵循________规范。答案：数字证书，X.50934.2023年3月，国家网信办发布《生成式人工智能服务管理办法（征求意见稿）》，要求训练数据含个人信息的，应取得________同意，并对数据做________处理。答案：单独，去标识化35.在Linux系统中，使用________命令可查看当前系统所有监听TCP端口对应的进程PID，该命令参数为________。答案：ss，tunlp36.在密码学中，椭圆曲线密钥交换协议ECDH的共享秘密计算基于________难题，其安全性高于传统________密钥交换。答案：椭圆曲线离散对数，RSA37.在容器镜像安全扫描中，常用________格式描述漏洞元数据，该格式最新版本为________。答案：CVEJSON，5.038.根据《数据出境安全评估办法》，数据处理者向境外提供重要数据，应通过________所在地省级________向国家网信部门申报。答案：数据处理者，网信部门39.在WindowsDefender中，用于阻止无文件攻击的技术称为________，其依赖________引擎实现行为分析。答案：AMSI（反恶意软件扫描接口），Antimalware40.在零信任网络中，持续信任评估引擎输出的风险分数通常以________协议推送至________网关实现动态降权。答案：RADIUS，SDP四、判断题（每题1分，共10分。正确打“√”，错误打“×”）41.TLS1.3已彻底禁用RSA密钥交换，仅支持前向保密算法。  答案：√42.我国《密码法》将核心密码、普通密码归为商用密码管理。  答案：×43.在Android系统中，应用程序的UID在安装时由PackageManager分配且终身不变。  答案：√44.利用HTTP/2的ServerPush功能可实施拒绝服务攻击。  答案：√45.同态加密算法BFV支持浮点数近似运算。  答案：×46.在Linux内核中，开启KASLR可有效防御缓冲区溢出攻击。  答案：×47.根据《网络安全审查办法》，港股上市不属于“国外上市”范畴。  答案：√48.在WiFi6中，OWE协议可提供无密码的加密连接。  答案：√49.区块链PoS共识机制完全杜绝了“长程攻击”。  答案：×50.在SQL注入防御中，使用参数化查询可以完全杜绝二阶注入。  答案：×五、简答题（共30分）51.（封闭型，6分）简述SSL/TLS中间人攻击的两种常见场景，并给出对应的防御措施。答案：场景一：证书伪造攻击。攻击者向客户端颁发伪造证书，客户端未校验证书链导致信任恶意证书。防御：启用证书固定（Pinning）、严格校验证书链、部署CRL/OCSP。场景二：SSL剥离攻击。攻击者将HTTPS流量降级为HTTP，用户未察觉继续使用明文。防御：启用HSTS、预加载HSTS列表、全站强制HTTPS。52.（开放型，6分）结合《个人信息保护法》，阐述“最小必要原则”在APP开发中的落地实践，至少举三个例子。答案：例1：地图导航类APP仅在前台定位时申请“精确位置”权限，后台导航场景需单独弹窗说明并征得同意。例2：社交类APP拒绝读取通讯录作为注册前置条件，提供手动输入手机号选项。例3：天气类APP使用粗略位置即可满足功能，不申请精确位置权限，并在隐私政策中说明coarselevel定位精度足够。53.（封闭型，6分）说明Kerberos协议中“双重票据”机制如何防止重放攻击。答案：Kerberos使用时间戳与票据有效期（通常为5分钟）结合，TGS返回的ST包含caddr与authtime字段；服务端缓存已接收的authenticator，若重放报文时间戳超出允许误差或已存在缓存，则拒绝，从而防止重放。54.（开放型，6分）某政务云采用容器+微服务架构，请给出镜像供应链安全的三点治理建议，并说明理由。答案：1.镜像签名与验签：部署Notaryv2，所有镜像在CI阶段用Cosign签名，生产集群强制验签，防止伪造镜像。2.基础镜像最小化：采用distroless或scratch镜像，减少攻击面，降低CVE数量。3.供应链SBOM：使用SPDX格式生成软件物料清单，与漏洞库对接，实现CVE自动告警与追溯。55.（封闭型，6分）简述SM2数字签名算法中签名方与用户A的验证流程，并指出其与ECDSA的两点差异。答案：签名流程：A计算e=Hash(M)，随机数k，计算(x1,y1)=kG，r=(e+x1)modn，s=(1+dA)^1(krdA)modn，输出(r,s)。验证流程：校验r,s∈[1,n1]，计算t=(r+s)modn，计算(x1’,y1’)=sG+tPA，验证r≡(e’+x1’)modn。差异：1.SM2签名方程含公钥PA，ECDSA不含；2.SM2使用国密SM3哈希，ECDSA常用SHA256。六、综合应用题（共50分）56.（计算+分析，20分）某电商平台日均订单1000万条，每条订单含手机号、收货地址、商品ID、价格四个字段。平台计划对订单数据做可搜索加密后上传至公有云，要求：（1）支持按手机号精确查询；（2）支持按价格区间查询；（3）云服务器无法获知明文。请回答：a)给出加密方案总体架构图（文字描述即可），并指出各组件作用；（6分）b)计算采用SSE1方案时，若关键词字典大小为1亿，每条订单平均关键词数为2，建立倒排索引所需存储空间（假设关键词哈希128bit、订单ID64bit、指针64bit，无压缩）；（6分）c)若改用OPE（保序加密）实现价格区间查询，请说明其泄露函数，并给出一种降低泄露的改进思路；（4分）d)结合《个人信息保护法》，说明数据上传前需履行的法律义务。（4分）答案：a)架构：客户端加密层（手机号取对称密钥K1用确定性加密、价格用OPE、其余字段用随机对称加密），云侧存储密文与SSE倒排索引，客户端查询时生成陷门上传，云侧返回密文，客户端解密。b)倒排条目总数=1000万×2=2×10^7；每条条目大小=128+64+64=256bit=32B；总空间=2×10^7×32B=640MB。c)泄露函数：泄露顺序关系（>、<）与值分布直方图。改进：采用ROPE（随机化保序加密）或POPE，引入客户端缓存与混淆，使云侧仅看到部分顺序。d)法律义务：1.开展个人信息保护影响评估，记录风险与措施；2.取得用户单独同意并告知接收方、目的；3.与云服务商签署数据处理协议，明确双方责任；4.向省级网信部门备案数据出境评估结果。57.（分析+设计，15分）某金融公司计划部署零信任网络，现有场景：（1）员工通过VPN接入内网；（2）内部有交易网、办公网、开发测试网三个安全域；（3）开发测试网需访问GitHub公网；（4）交易网仅允许白名单IP访问核心数据库。请设计一套基于SDP（软件定义边界）的零信任方案，要求：a)给出控制平面与数据平面的组件及交互流程；（7分）b)说明如何实现动态授权，并给出信任评分算法（可用伪代码）；（5分）c)指出与传统VPN方案相比的三点安全提升。（3分）答案：a)控制平面：SDP控制器（含身份库、策略引擎、信任评估引擎）、IAM、CA。数据平面：SDP网关（分交易、办公、测试三类）、客户端Agent。流程：1.客户端mTLS认证控制器；2.控制器验证身份、设备、上下文，返回JWT令牌与网关列表；3.客户端与对应网关建立mTLS隧道；4.网关实时向控制器查询策略。b)动态授权：信任评分=0.4×身份置信度+0.3×设备健康度+0.2×行为异常分+0.1×网络位置风险。伪代码：```score=w1idTrust+w2devHealth+w3anomaly+w4netRiskifscore>=0.8:permitelifscore>=0.5:permitwithMFAelse:deny```c)提升：1.默认隐身，网关不对外暴露端口，减少扫描面；2.细粒度微分段，用户仅访问授权应用而非全网；3.持续信任评估，实时降权或断开。58.（综合+计算，15分）某能源集团拟建设工业互联网安全监测平台，