2025年网络安全培训资料试卷(含答案)

2025年网络安全培训资料试卷(含答案)一、单项选择题（每题2分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2025年6月，国家网信办发布的《生成式人工智能服务管理暂行办法》中，对提供者在训练数据环节的首要义务是（）。A.数据最小化B.数据分类分级C.数据安全评估D.数据出境审批答案：C2.在零信任架构中，用于持续评估终端安全状态的协议是（）。A.SAMLB.RADIUSC.TACACS+D.PostureAssessmentProtocol答案：D3.某单位采用SM4GCM算法对日志文件进行加密，其初始向量IV长度应为（）字节。A.8B.12C.16D.32答案：B4.2025年3月，Linux内核曝出的“LooneyTunables”本地提权漏洞编号为（）。A.CVE20252666B.CVE20251380C.CVE20254244D.CVE20257314答案：C5.在Windows1124H2中，默认启用且用于阻止内核驱动篡改的安全功能是（）。A.HVCIB.VBSC.KernelCETD.KDP答案：A6.根据《个人信息保护法》，处理敏感个人信息时，除告知同意外，还需取得的额外前提是（）。A.数据保护影响评估B.加密存储C.去标识化D.数据出境安全认证答案：A7.2025年主流浏览器已强制执行的“HTTPSOnly”策略中，用于阻止明文混合内容的响应头字段是（）。A.ContentSecurityPolicyB.UpgradeInsecureRequestsC.StrictTransportSecurityD.BlockAllMixedContent答案：D8.在IPv6网络中，用于替代ARP的协议是（）。A.NDPB.DHCPv6C.SLAACD.ICMPv6RA答案：A9.某企业采用NISTSP80063B推荐，要求用户密码长度至少为（）字符方可达到AAL3等级。A.8B.10C.12D.15答案：C10.2025年5月，Google披露的针对Chrome渲染引擎的“GhostWrite”漏洞类型属于（）。A.UAFB.OOBWriteC.TypeConfusionD.IntegerOverflow答案：B二、多项选择题（每题3分，共15分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）11.以下哪些技术可有效缓解DNS劫持攻击（）。A.DNSSECB.DoHC.DoTD.DNSoverQUICE.EDNS0答案：ABCD12.在容器逃逸防护中，Linux内核提供的安全机制包括（）。A.SeccompB.AppArmorC.CapabilitiesD.cgroupsE.SELinux答案：ABCE13.依据《数据出境安全评估办法》，以下情形需申报安全评估的是（）。A.关键信息基础设施运营者向境外提供个人信息B.处理100万人以上个人信息的数据处理者向境外提供个人信息C.累计向境外提供10万人敏感个人信息D.数据出境目的为履行合同必需E.数据经匿名化处理答案：ABC14.关于后量子密码算法CRYSTALSKYBER，下列描述正确的是（）。A.基于格理论B.属于NIST第三轮胜出算法C.提供INDCCA2安全性D.公钥尺寸小于RSA2048E.2025年已纳入我国商用密码名录答案：ABCDE15.在威胁情报共享标准STIX2.1中，可表示攻击者基础设施的对象包括（）。A.ipv4addrB.domainnameC.urlD.mutexE.autonomoussystem答案：ABCE三、填空题（每空2分，共20分）16.2025年7月，微软将默认禁用SMB1协议的Windows版本为__________。答案：WindowsServer202517.在TLS1.3握手过程中，用于实现0RTT重放保护的扩展名为__________。答案：EarlyData18.我国《网络安全审查办法》规定，掌握超过__________万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。答案：10019.用于衡量入侵检测系统误报率的指标是__________。答案：FalsePositiveRate20.在Kubernetes中，用于限制Pod使用主机网络的字段为__________。答案：hostNetwork21.2025年主流CPU已硬件支持的内存加密技术，AMD平台称为__________。答案：SEVSNP22.在Python3.12中，用于防止pickle反序列化攻击的新模块为__________。答案：pickletools.safe_load23.依据《关键信息基础设施安全保护条例》，保护工作部门应至少每__________年组织一次应急演练。答案：124.在Windows事件日志中，记录RDP暴力破解失败事件的ID为__________。答案：462525.2025年6月，IETF发布的用于替代OAuth2.0的授权框架草案编号为__________。答案：RFC9110四、判断题（每题1分，共10分。正确打“√”，错误打“×”）26.QUIC协议基于UDP，因此无法提供与TCP等同的可靠性。（）答案：×27.在SM2数字签名算法中，签名过程需要使用接收方的公钥。（）答案：×28.零信任网络中，默认拒绝策略意味着所有访问请求都必须经过动态授权。（）答案：√29.2025年起，我国所有等级保护第三级以上系统必须采用国密算法进行数据存储加密。（）答案：√30.使用Wireshark捕获HTTPS流量时，只要开启SSLKEYLOGFILE即可解密任意网站的通信内容。（）答案：×31.在Linux中，设置内核参数kernel.kptr_restrict=1可以完全阻止内核地址泄露。（）答案：×32.2025年发布的OpenSSL3.5版本已移除对TLS1.0/1.1的支持。（）答案：√33.基于ChaCha20Poly1305的AEAD算法比AESGCM在移动端性能更优的主要原因是硬件加速。（）答案：×34.在Windows11中，启用CredentialGuard后，NTLMHash将被存储在隔离的VBS容器中。（）答案：√35.2025年NIST发布的《后量子密码迁移路线图》建议优先将数字签名算法迁移至CRYSTALSDILITHIUM。（）答案：√五、简答题（封闭型，每题5分，共15分）36.简述TLS1.3与TLS1.2在握手阶段的主要差异，并指出哪一次握手可降至1RTT。答案：TLS1.3将握手消息由两次往返压缩为一次，通过将ServerHello之后的所有加密信息提前到第一次飞行完成；同时废弃RSA密钥交换，仅支持ECDHE。首次握手即可实现1RTT，0RTT基于预共享密钥实现。37.说明我国《个人信息保护法》中“告知—同意”原则的例外情形，并列举两条。答案：例外包括：①履行法定职责或义务必需；②应对突发公共卫生事件或紧急保护自然人生命健康；③在合理范围内处理已公开信息；④学术研究或新闻报道符合公共利益；⑤法律行政法规规定的其他情形。38.概述容器运行时安全沙箱gVisor的工作原理，并指出其与KataContainers的本质区别。答案：gVisor通过用户态Sentry拦截并过滤所有系统调用，将威胁面限制在用户态，无需硬件虚拟化；KataContainers则基于轻量级虚拟机（QEMU/firecracker）实现强隔离，依赖硬件虚拟化扩展，两者本质区别在于隔离层级：进程级vs虚拟机级。六、简答题（开放型，每题10分，共20分）39.某省级政务云计划2025年底完成零信任架构改造。请结合NISTSP800207，给出一份“身份化”子域的落地路线图，要求包括技术选型、数据源、风险点及缓解措施，字数不少于200字。答案：阶段1：身份源整合。选型：基于OIDC的IDP集群，支持国密SM2证书，数据源包括省级LDAP、国家人口库、事业单位编制库。风险：身份冒用；缓解：引入FIDO2+面部活体检测，AAL3级。阶段2：动态信任评估。选型：开源OPA+自研风险引擎，输入终端MDM、EDR、DLP、VPN日志；风险：误报阻断业务；缓解：灰度发布，策略白名单，人工复核通道。阶段3：细粒度授权。选型：ABAC模型，属性涵盖组织、项目、密级、时间、地理位置；风险：属性库不一致；缓解：建立统一属性管道，采用GraphQL联邦实时同步。阶段4：持续监控。选型：SIEM+UEBA，引入SM9标识密码做日志签名；风险：隐私泄露；缓解：日志脱敏+国密加密存储，按最小权限访问。阶段5：审计与合规。输出《零信任身份运营月报》，对接等保2.0、关保、密评，形成闭环。40.2025年8月，某互联网公司发现其APP在境外被植入恶意SDK，导致用户位置信息被窃。请从法律、技术、公关三个维度给出应急处置方案，要求具有可执行性，字数不少于200字。答案：法律：立即启动数据泄露应急响应，72小时内向省级以上网信办、工信部报告，同步通过驻外律师在欧盟启动GDPR备案；封存与境外广告商合同，准备索赔证据。技术：①热更新移除SDK，版本号强制升级，启用证书绑定+国密SM2校验；②在边缘节点WAF部署Geofencing，拦截非业务区API请求；③引入RuntimeApplicationSelfProtection（RASP）监控getLastLocation()调用链，发现异常立即返回空值并告警；④对历史6个月日志做差分隐私扫描，确认泄露范围。公关：①CEO录制多语种道歉视频，承诺终身免费信用监控；②设置24小时双语客服专线；③与主流媒体签署联合审计备忘录，邀请白帽子直播复测；④在应用商店置顶公告，提供一键注销通道，72小时内退款所有虚拟商品。七、应用题（综合类，共20分）41.阅读下列背景后回答问题：背景：2025年10月，某金融机构核心系统采用微服务架构，服务间通信通过mTLS双向认证。10月15日，安全团队发现异常：攻击者利用已泄露的运维笔记本，获取了合法客户端证书及私钥（SM2），在境外IP对“转账服务”发起高额转账API调用。日志显示，WAF返回403，但服务网格Istio侧未产生审计日志。已知：•证书有效期20250601至20270601，未被吊销；•Istio版本1.23，启用STRICT模式mTLS；•转账API路径/transfer，仅允许role=tradeclient的证书调用；•攻击者证书subject字段role=tradeclient；•运维笔记本硬盘已全盘加密，但内存转储显示私钥明文。问题：（1）给出攻击成功的根本原因（3分）；（2）指出Istio未产生审计日志的两点可能配置缺陷（4分）；（3）设计一套“证书+身份+行为”三重校验方案，要求兼容国密，并给出流程图关键步骤（7分）；（4）若需在5分钟内完成全链路证书吊销，请给出可执行的命令序列（假设使用自建CA，国密算法，OpenSSL3.5）（6分）。答案：（1）根本原因：私钥泄露导致证书绑定身份失效，且缺少实时行为校验与证书吊销机制。（2）配置缺陷：①istiotelemetryv2未启用envoy.access_log，或filter排除成功请求；②AuthorizationPolicy未设置telemetry相关labels，导致日志采样率为0。（3）三重校验方案：①证书层：使用SM2双证书体系，加密证书与签名证书分离，私钥托管于国密HSM，启用短期自动轮换（24h）；②身份层：引入OAuth2.0PoP（ProofofPossession）令牌，绑定证书指纹与JWT声明，服务端验证扩展字段sm2_hash；③行为层：构建UEBA基线，模型输入包括金额、频率、地理位置、设备指纹，异常评分>0.8时触发增强认证（FIDO2+短信）。流程图关键步骤：ClientHello→IstioSidecar→提取证书指纹→调用OAuthPoPIntrospection→返回role+scope→转发至BehaviorEngine→评分→决策（Allow/Deny/Stepup）。（4）命令序列：1.生成CRL，有效期5分钟opensslcaconfigfgencrlcrldays0crlhours0crlmin5outcrl/short.crl2.重启OCSPResponder，推送新CRLsystemctlreload