2025年网络安全意识培训考试试卷及答案

2025年网络安全意识培训考试试卷及答案1.单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.12024年11月生效的《个人信息出境标准合同办法》规定，个人信息处理者向境外提供个人信息前，应自标准合同生效之日起（）个工作日内向所在地省级网信部门备案。A.3  B.5  C.10  D.151.2在Windows1124H2版本中，默认启用且用于阻止内存漏洞利用的硬件级防护技术是（）。A.CFG  B.CET  C.VBS  D.HVCI1.3某企业采用零信任架构，身份验证策略中“持续自适应信任”最依赖的实时数据源是（）。A.静态口令  B.终端补丁版本  C.用户行为基线  D.防火墙规则1.42025年3月曝光的“NimbusLeak”云存储数据泄露事件，其攻击入口是（）。A.SSRF滥用元数据接口  B.S3BucketACL误设  C.KMS密钥轮换失败  D.供应链npm包投毒1.5根据《数据安全法》第21条，国家核心数据实行（）保护制度。A.分类分级  B.严格  C.备案  D.风险评估1.6在TLS1.3握手过程中，用于实现前向保密的核心机制是（）。A.RSA密钥交换  B.静态ECC  C.ECDHE  D.PSK1.7某单位收到一封发件人显示为“ceo@”的紧急汇款邮件，邮件头中ReturnPath指向“ceo@”，该攻击手法属于（）。A.鱼叉式钓鱼  B.域名仿冒  C.显示名欺骗  D.同形异义字符攻击1.82025年主流浏览器已全面弃用的第三方跟踪技术是（）。A.本地存储  C.第三方Cookie  B.IndexedDB  D.会话存储1.9在Linux内核6.8中，默认启用、用于缓解容器逃逸的强制访问控制机制是（）。A.SELinux  B.AppArmor  C.Seccomp  D.Capabilities1.10依据《关键信息基础设施安全保护条例》，运营者采购网络产品或服务，影响国家安全的，应当通过（）审查。A.网络安全审查  B.等保测评  C.密码测评  D.漏洞扫描1.112025年1月1日起施行的《未成年人网络保护条例》要求，网络服务提供者应设置未成年人模式，默认关闭的功能是（）。A.私信  B.充值打赏  C.位置共享  D.搜索1.12在Kubernetes1.29集群中，用于防止容器在宿主机上以root身份运行的内置控制器是（）。A.PodSecurityPolicy  B.OPAGatekeeper  C.PodSecurityAdmission  D.RBAC1.13某APP被通报“违规收集个人信息”，其后台日志显示每次启动时收集AndroidID频次为（）次以上即被认定为超范围。A.1  B.2  C.3  D.61.142025年Q1，利用“HTTP/2快速重置”造成DDoS的攻击向量主要滥用的是（）帧。A.SETTINGS  B.PING  C.RST_STREAM  D.PRIORITY1.15在密码学中，AESGCM模式加密128bit数据，其认证标签长度默认取（）bit。A.32  B.64  C.96  D.1281.16某企业使用Microsoft365E5，管理员发现邮件被自动转发到外部域名，应优先启用的安全功能是（）。A.邮件加密  B.条件访问  C.外部转发告警策略  D.多因素认证1.172025年新版《网络安全等级保护测评要求》中，四级系统要求关键网络设备冗余度至少为（）。A.N  B.N+1  C.2N  D.2N+11.18在iOS17.4中，苹果新增用于替代UIWebView的组件是（）。A.WKWebView  B.SafariViewController  C.WebKit2  D.SwiftUIWebView1.19某单位采用国密SM2算法进行数字签名，签名长度固定为（）字节。A.32  B.48  C.64  D.721.202025年5月，某APT组织利用WPSOffice0day投放恶意LNK，其初始执行载体文件扩展名是（）。A..docx  B..xls  C..lnk  D..ppsx2.多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）2.1以下哪些属于《个人信息保护法》规定的敏感个人信息（）。A.宗教信仰  B.精确地理位置轨迹  C.网购订单金额  D.医疗健康2.2以下关于2025年主流勒索软件新趋势描述正确的有（）。A.双重勒索升级为“三重勒索”，加入DDoS威胁B.广泛使用Rust语言编写以绕过传统AVC.利用ESXi漏洞直接加密虚拟磁盘D.比特币仍为唯一支付币种2.3在零信任参考架构NISTSP800207中，核心功能平面包括（）。A.数据平面  B.控制平面  C.管理平面  D.身份平面2.4以下哪些命令可用于Linux系统审计SSH暴力破解行为（）。A.journalctlussh  B.lastb  C.grep"Failedpassword"/var/log/auth.log  D.netstattan2.52025年3月，Google发布的安全公告指出，以下哪些Chrome版本已修复已在野利用的0day（）。A.122.0.6261.94  B.123.0.6312.58  C.124.0.6322.112  D.125.0.6342.112.6依据《商用密码管理条例》，以下哪些产品应通过国家密码管理局检测（）。A.智能门锁主控芯片  B.服务器密码机  C.区块链共识算法库  D.电子发票签章系统2.7以下关于OAuth2.1授权码+PKCE流程描述正确的有（）。A.不再允许隐式授权  B.授权码只能使用一次  C.必须校验code_verifier  D.刷新令牌有效期固定为30天2.82025年新版《信息安全技术个人信息安全规范》要求，个人信息处理者在进行“用户画像”时，应（）。A.明示画像用途  B.提供关闭选项  C.保证画像结果公平性  D.保存画像模型源代码2.9以下哪些属于2025年CISA发布的“必须打补丁”清单（KEV）中的漏洞（）。A.CVE202521224  B.CVE202320198  C.CVE20241709  D.CVE202529892.10在Windows环境中，可用来检测LSASS内存转储攻击的工具有（）。A.Sysmon  B.Mimikatz  C.AzureSentinel  D.CredentialGuard3.填空题（每空1分，共20分）3.12025年1月，我国首个数据跨境流动安全管理试点在________省正式启动。3.2TLS1.3协议中，用于实现0RTT重用的密钥称为________密钥。3.3在Linux系统中，设置内核参数kernel.yama.ptrace_scope=2可防止________攻击。3.42025年主流移动操作系统中，Android15引入的隐私沙盒称为________。3.5国密SM3杂凑算法输出长度为________bit。3.62025年3月，IETF发布的邮件安全新标准为________，用于替代STARTTLS。3.7在Kubernetes中，NetworkPolicy资源基于________标签实现Pod级网络隔离。3.82025年新版《网络安全等级保护定级指南》将云计算扩展场景分为________类。3.9Windows1124H2默认启用用于阻止内核驱动篡改的功能叫________。3.102025年曝光的“HTTP/3RapidReset”DDoS攻击主要滥用________协议特性。3.11依据《个人信息保护法》，个人信息出境安全评估最长________个工作日内完成。3.12在零信任架构中，________模型用于描述“谁、在什么时间、访问什么资源”的访问三元组。3.132025年Q1，VMware官方建议禁用________端口以防止ESXi勒索传播。3.142025年，苹果iMessage新增支持的抗量子密钥交换算法为________。3.15在密码学中，ChaCha20Poly1305算法使用的Nonce长度为________bit。3.162025年新版《数据出境安全评估办法》将“批量”标准下调为________万条个人信息。3.172025年，GoogleChrome计划全面阻止访问________协议版本的网站。3.18在Linux审计框架auditd中，用于定义文件监控规则的参数是________。3.192025年，国家漏洞库CNNVD将漏洞分级为________级。3.202025年，微软将“安全核心PC”强制要求搭载的TPM版本最低为________。4.判断题（每题1分，共10分。正确打“√”，错误打“×”）4.12025年主流CPU已内置内存标记扩展（MTE），可完全消除缓冲区溢出漏洞。（）4.2《网络安全法》规定，网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。（）4.3OAuth2.1中，刷新令牌可以被撤销且立即失效。（）4.4在iOS17.4中，用户可将默认浏览器更改为非WebKit内核浏览器。（）4.52025年，所有等级保护三级系统必须采用国密算法进行数据存储加密。（）4.6WindowsHelloforBusiness使用TPM存储生物特征原始数据。（）4.72025年，Chrome浏览器已彻底移除对FTP协议的支持。（）4.8在Kubernetes中，PodSecurityPolicy在1.25版本被正式移除。（）4.92025年，我国“双碳”战略要求数据中心PUE不得高于1.3，否则暂停等保测评。（）4.102025年，5G专网采用SA架构时，用户面功能UPF下沉至园区可实现数据不出厂。（）5.简答题（每题5分，共20分）5.1（封闭型）简述2025年新版《个人信息出境标准合同办法》中规定的“个人信息出境标准合同”应包含的六项必备条款。5.2（开放型）某电商平台在“618”大促期间遭遇“羊毛党”利用自动化脚本批量注册领券，导致营销资金损失。请从技术与合规两个角度提出至少四条可落地的防范建议。5.3（封闭型）说明Windows1124H2中“智能应用控制”（SmartAppControl）与传统AppLocker的三点核心区别。5.4（开放型）2025年3月，某医疗云影像系统被勒索软件加密，攻击者通过VPN账号+OTP伪造登录。请分析该事件暴露的零信任架构缺失环节，并提出改进方案。6.应用题（共30分）6.1计算分析题（10分）某企业计划将5TB业务日志上传至AWSS3，日志包含用户手机号（明文）。已知：1.手机号采用AES256GCM加密，单条日志平均1KB；2.企业已申请AWSKMSCMK，每调用一次GenerateDataKey收费0.03美元，每1万次加密请求收费0.01美元；3.出口带宽费用0.08美元/GB，存储0.023美元/GB/月；4.按《个人信息保护法》需对手机号去标识化，采用加盐哈希（SHA256），盐值16字节，哈希计算本地完成无额外费用。问题：（1）若采用“先加密后上传”方案，计算首月总费用（美元，保留两位小数）。（2）若改用“本地哈希+明文删除”方案，计算首月总费用。（3）从合规与成本角度，说明企业应如何选择。6.2综合分析题（20分）背景：2025年4月，某市“智慧交通”系统（等保三级）上线，系统架构如下：终端：1.2万辆出租车车载终端，4G/5G双模回传GPS与音视频流；边缘：24个路口边缘节点，运行Kubernetes1.29，部署AI视频分析Pod；中心：交通大数据湖，采用Hadoop3.3.6+Hive3.1.3，存储180天原始视频；接口：对外提供实时路况API，日均调用量8000万次，使用OAuth2.1+PKCE。事件：2025年5月2日，中心防火墙检测到边缘节点IP3对大数据湖NameNode的8020端口发起每秒5000次连接，持续90秒，导致NameNodeCPU占用98%，HDFS进入安全模式，路况API中断37分钟。取证发现：1.边缘节点容器镜像被植入恶意shell脚本，启动后下载mirai变种bot；2.攻击者利用车载终端Telenet弱口令“123456”进入边缘节点，通过kubectlexec进入容器；3.攻击脚本调用hadoopdfsadminrefreshNodes，触发NameNode重载配置，消耗资源。任务：（1）绘制攻击链（要求包含初始入口、权限提升、横向移动、目标打击四个环节，每环节至少两个技术细节）。（2）从等保三级要求出发，列出系统应补充的五项安全整改措施，并指出对应条款。（3）若采用零信任架构重构，请给出“车载终端→边缘节点→大数据湖”全链路的身份、设备、网络、应用、数据五维控制点设计方案，并说明使用的具体协议或产品。（4）估算整改后系统RTO≤30分钟、RPO≤5分钟所需的备份与容灾技术方案，包括备份窗口、复制链路、演练频率。7.答案与评分标准1.单项选择1.1C 1.2D 1.3C 1.4A 1.5B 1.6C 1.7D 1.8B 1.9A 1.10A 1.11B 1.12C 1.13C 1.14C 1.15D 1.16C 1.17C 1.18A 1.19C 1.20C2.多项选择2.1ABD 2.2ABC 2.3ABC 2.4ABC 2.5CD 2.6ABD 2.7ABC 2.8ABC 2.9AD 2.10ACD3.填空3.1上海 3.2earlysecret 3.3恶意调试/进程注入 3.4PrivacySandboxforAndroid 3.5256 3.6MTASTS 3.7Label 3.86 3.9VBSwithmemoryintegrity 3.10QUICstreammultiplexing 3.1145 3.125W1H 3.13427 3.14PQ3 3.1596 3.1610 3.17HTTP/1.0 3.18w 3.19四 3.202.04.判断4.1× 4.2√ 4.3√ 4.4√ 4.5× 4.6× 4.7√ 4.8√ 4.9× 4.10√5.简答（要点示例，答对关键词即给分）5.1必备条款：①出境目的、范围、类型；②境外接收方义务；③个人信息主体权利；④再传输条件；⑤救济与赔偿；⑥合同终止后数据处理方式。5.2技术：①设备指纹+行为生物识别；②验证码升级至无感验证；③基于IP、手机号、设备多维频控；④引入国密SM4加密券码。合规：①用户协议明示自动化限制；②建立“营销资金异常”举报通道；③保存日志不少于6个月。5.3①SAC基于云端AI实时信誉，AppLocker仅静态规则；②SAC自动拦截未知可执行文件，AppLocker需手动维护；③SAC无需GPO部署，适用于消费级设备。5.4缺失：①身份验证仅单因素+OTP，无设备信任；②无持续风险评估；③无最小权限访问；④无微分段；⑤无加密流量检测。改进：①引入FIDO2+设备证书；②VPN改用ZTNA代理；③部署UEBA与CASB；④微隔离至数据库字段级；⑤全流量TLS解密+AI分析。6.1计算（1）5TB=5120GB；加密请求5120×1024=5,242,880次；GenerateDataKey5120×1024/1000≈5369次；费用=5369×0.03+5242880/10000×0.01+5120×0.08+5120×0.023=161.07+5.24+409.6+