2025年网络安全知识考试题库(含答案)

2025年网络安全知识考试题库(含答案)1.单项选择题（每题1分，共30分）1.1在ISO/IEC27001:2022中，对“信息安全”定义的核心要素不包括A.保密性 B.完整性 C.可用性 D.可抵赖性答案：D1.2以下哪一项最能有效降低钓鱼邮件成功率A.强制密码复杂度 B.DMARC+SPF+DKIM组合 C.关闭SMTP服务 D.增加防火墙规则答案：B1.3关于TLS1.3与TLS1.2的差异，错误的是A.1.3默认使用前向保密 B.1.3握手减少往返时延 C.1.3支持RSA密钥传输 D.1.3移除压缩字段答案：C1.4在Linux系统中，若文件权限为“rwsrxr”，则其SETUID位作用于A.文件所有者 B.文件所属组 C.其他用户 D.不生效答案：A1.5零信任架构的核心理念是A.内外网等同对待 B.默认放行内网流量 C.取消身份鉴别 D.以边界防火墙为核心答案：A1.6利用“心脏出血”漏洞（CVE20140160）可直接读取A.Web应用源码 B.OpenSSL内存敏感数据 C.数据库表结构 D.操作系统内核答案：B1.7我国《个人信息保护法》规定，处理敏感个人信息须取得A.口头同意 B.默示同意 C.单独书面同意 D.集团授权答案：C1.8以下哪条命令可查看Windows本地安全策略中“用户权限分配”A.gpedit.msc B.secedit.exe C.rsop.msc D.lusrmgr.msc答案：A1.9在渗透测试“权限提升”阶段，最先应检查A.系统补丁级别 B.社工库 C.DNS记录 D.物理接口答案：A1.10关于国密算法SM2的正确描述A.分组长度为128位 B.基于椭圆曲线离散对数难题 C.属于对称加密 D.密钥长度固定1024位答案：B1.11在Kubernetes中，可防止容器突破宿主机命名空间的机制是A.PodSecurityPolicy（或PodSecurityStandards） B.kubeproxy C.coredns D.flannel答案：A1.12以下哪项不是OWASPTop102021新增风险A.不安全设计 B.软件与数据完整性失败 C.不足的日志与监控 D.服务器端请求伪造答案：C1.13当使用nmap扫描时，参数“sS”表示A.TCPSYN扫描 B.UDP扫描 C.ACK扫描 D.版本检测答案：A1.14在公钥基础设施(PKI)中，负责发布证书撤销列表(CRL)的实体是A.RA B.CA C.OCSPResponder D.VA答案：B1.15若发现Web服务器返回“PublicKeyPins”响应头，说明其采用A.证书固定 B.对称密钥协商 C.双向TLS D.S/MIME答案：A1.16关于Ransomware防御，最佳实践是A.仅依赖杀毒软件 B.321备份策略+网络隔离 C.关闭所有端口 D.使用单一云盘同步答案：B1.17在Android逆向中，可动态HookJava层API的框架是A.Frida B.GDB C.strace D.Valgrind答案：A1.18我国《网络安全法》关键信息基础设施安全保护要求年度检测评估A.至少一次 B.至少两次 C.每两年 D.无需评估答案：A1.19以下哪项最能抑制SQL注入A.关闭数据库外网端口 B.参数化查询+最小权限 C.使用HTTPS D.隐藏错误信息答案：B1.20在Windows日志中，事件ID4624表示A.账户登录成功 B.账户登录失败 C.权限提升 D.对象访问答案：A1.21关于IPv6安全，错误的是A.地址空间大难以扫描 B.IPSec强制启用 C.邻居发现协议可被滥用 D.可携带扩展头答案：B1.22“金库模式”(Vault)在运维中的主要作用是A.长期存储密码 B.动态凭据+访问审计 C.离线加密磁盘 D.双因素认证答案：B1.23在Wireshark过滤器中，表达式“tcp.flags.syn==1andtcp.flags.ack==0”用于筛选A.SYN包 B.SYN/ACK包 C.ACK包 D.FIN包答案：A1.24关于云责任共担模型，IaaS层由云服务商负责A.虚拟化层及以下 B.操作系统补丁 C.应用代码 D.数据分类答案：A1.25以下哪项属于被动信息收集A.端口扫描 B.搜索引擎语法 C.漏洞利用 D.目录爆破答案：B1.26在Python沙箱逃逸中，通过__import__('os').system('whoami')执行命令，主要绕过A.关键字过滤 B.长度限制 C.栈溢出 D.整数溢出答案：A1.27关于WiFiWPA3SAE，错误的是A.抗离线字典攻击 B.前向保密 C.使用四次握手 D.可替换WPA2PSK答案：C1.28在区块链中，51%攻击可导致A.私钥泄露 B.双花 C.智能合约溢出 D.哈希碰撞答案：B1.29我国《数据安全法》正式施行日期A.2020/6/1 B.2021/9/1 C.2022/1/1 D.2021/6/10答案：B1.30在Linux审计子系统auditd中，用于定义监控规则的参数是A.w B.k C.p D.a答案：A2.多项选择题（每题2分，共20分；每题至少有两个正确答案，多选少选均不得分）2.1以下哪些属于社会工程学常见手法A.鱼叉钓鱼 B.假冒客服 C.USB丢弃攻击 D.拒绝服务答案：ABC2.2可导致DNS劫持的场景有A.路由器弱口令被篡改 B.本地Hosts文件写入 C.BGP路由泄露 D.启用DNSSEC答案：ABC2.3关于同源策略，正确的有A.协议相同 B.域名相同 C.端口相同 D.子域不同可突破答案：ABC2.4以下哪些算法属于非对称加密A.RSA B.ECC C.SM4 D.ElGamal答案：ABD2.5在Windows远程取证中，可获取易失性数据的工具有A.MagnetRAMCapture B.FTKImager C.Volatility D.WinDbg答案：AC2.6可导致缓冲区溢出的函数包括A.strcpy B.sprintf C.strncpy D.gets答案：ABD2.7关于云原生安全，最佳实践包括A.镜像签名 B.微服务零信任 C.日志集中 D.全部开放API答案：ABC2.8以下属于硬件安全模块(HSM)功能A.密钥生成 B.密钥备份 C.加密运算加速 D.明文导出私钥答案：ABC2.9在AndroidManifest.xml中，可提升组件安全的属性有A.exported B.protectionLevel C.allowBackup D.debuggable答案：ABC2.10关于工业控制系统(ICS)安全，正确的有A.可用性优先 B.常使用专有协议 C.补丁周期短 D.物理隔离并非绝对答案：ABD3.填空题（每空1分，共20分）3.1在公钥密码体系中，若Alice想向Bob发送加密数据，应使用Bob的________密钥加密，Bob使用自己的________密钥解密。答案：公；私3.2我国《密码法》将密码分为核心密码、________密码和商用密码三类。答案：普通3.3OWASPZAP默认监听本地端口________。答案：80803.4在Linux中，使用________命令可查看当前系统已加载的内核模块。答案：lsmod3.5基于角色的访问控制模型缩写为________。答案：RBAC3.6在Windows中，用于列出所有活跃SMB会话的命令是________。答案：netsession3.7在SQLMap中，参数“technique=E”指定利用________注入。答案：Errorbased3.8若证书有效期为20250401至20260401，其PEM文件内NotAfter字段格式示例为________。答案：Apr100:00:002026GMT3.9在IPv6中，本地链路前缀以________开头。答案：fe80::3.10在Kubernetes网络策略中，默认拒绝所有入口流量的策略类型字段应写________。答案：Ingress3.11在渗透测试报告中，CVSSv3.1基本评分满分________分。答案：103.12使用OpenSSL生成2048位RSA私钥的命令为opensslgenrsaoutkey.pem________。答案：20483.13在Android反调试中，检测TracerPid常读取文件________。答案：/proc/self/status3.14在WiFi探测帧中，SSID字段最大长度为________字节。答案：323.15在区块链比特币网络，当前区块奖励为________BTC（2025年4月）。答案：3.1253.16在Windows日志清除痕迹时，wevtutilcl________可清空安全日志。答案：Security3.17在Linux中，设置用户密码最大使用天数需修改文件/etc/shadow中对应字段第________列。答案：53.18我国《网络安全等级保护》最高级别为第________级。答案：五3.19在SNMPv3中，提供认证和加密的安全级别缩写为________。答案：authPriv3.20在Wireshark中，统计>流量图中，横轴默认单位是________。答案：秒4.判断题（每题1分，共10分；正确打“√”，错误打“×”）4.1TLS1.3已完全移除重新协商机制。答案：√4.2在Linux中，文件权限为000则root也无法读取。答案：×4.3我国《关键信息基础设施安全保护条例》要求运营者采购网络产品或服务可能影响国家安全的，应申报网络安全审查。答案：√4.4使用HTTPS就能完全避免中间人攻击。答案：×4.5在Windows中，关闭UAC可彻底关闭所有权限提升弹窗。答案：√4.6在IPv6中，地址隐私扩展默认启用。答案：√4.7区块链智能合约一旦部署不可升级。答案：×4.8在Android13及以上，应用访问设备标识需声明特殊权限。答案：√4.9在SQL注入中，使用盲注无法获取数据库版本信息。答案：×4.10使用HSTS预加载列表可防御协议降级攻击。答案：√5.简答题（封闭型，每题5分，共20分）5.1简述Kerberos认证过程中TGT的作用。答案：客户端首次登录向AS请求TGT（TicketGrantingTicket），TGT由AS用用户密钥加密，内含会话密钥与用户标识。客户端后续携带TGT向TGS请求服务票据，无需再次输入口令，实现单点登录与票据传递。5.2说明WAF基于正则规则防护SQL注入的两种绕过方式并给出示例。答案：(1)大小写变形：UnIoNSeLeCt1,2,3；(2)注释符分割：uni//onsel//ect1,2,3。正则若未忽略大小写或未处理注释，即可绕过。5.3列出Linux系统遭受Rootkit后常见的三种检测手段。答案：①使用chkrootkit、rkhunter等工具扫描已知Rootkit特征；②对比离线可信二进制文件的哈希值，发现被替换文件；③利用Volatility分析内存镜像，检测隐藏进程、模块。5.4解释“前向保密”在TLS中的实现机制。答案：TLS1.3强制使用ECDHE或DHE密钥交换，每次握手生成临时椭圆曲线或离散对数密钥对，会话结束后私钥销毁。即使长期证书私钥泄露，也无法解密过往流量，实现前向保密。6.简答题（开放型，每题10分，共20分）6.1某电商公司计划将核心交易系统迁移至混合云，请从数据生命周期角度提出全栈加密方案，并说明密钥管理挑战与应对策略。答案要点：(1)生命周期分采集、传输、存储、使用、共享、销毁六阶段；(2)采集阶段采用HTTPS+mTLS，客户端证书锁定；(3)传输阶段使用TLS1.3+ALPN，启用HSTS与证书透明；(4)存储阶段采用AES256GCM加密，对象存储启用服务端加密+客户端主密钥；(5)使用阶段利用云HSM生成数据密钥，信封加密，RAM+ABAC细粒度授权；(6)共享阶段通过安全计算平台(SGX/TEE)实现密文计算，数据脱敏+差分隐私；(7)销毁阶段采用云KMS密钥轮换+物理销毁SSD；挑战：跨云密钥一致性、性能损耗、合规跨境、供应商锁定；策略：标准化KMIP接口、多云HSM集群、BYOK+KYOK混合、定期灾备演练、引入量子随机数发生器。6.2结合2025年AI深度伪造趋势，设计一套面向金融远程开户的多模态活体检测与反欺诈框架，并评估其隐私影响。答案要点：(1)多模态：可见光+红外+深度摄像头+声纹+唇动语义；(2)活体检测：3D结构光防面具，微表情时序分析，ChallengeResponse随机文本朗读，声纹与唇动同步性校验；(3)深度伪造对抗：频域噪声分析、GAN指纹检测、AI生成视频帧间一致性异常、基于区块链的取证日志；(4)隐私保护：本地TEE完成特征提取，仅上传不可逆模板，采用联邦学习更新模型，符合《个人信息保护法》最小必要原则；(5)影响评估：生物特征泄露风险降低90%，误识率≤0.01%，但需平衡算法偏见与无障碍服务，建立申诉人工通道，定期算法审计。7.应用题（综合类，共30分）7.1网络流量分析（10分）给出一段pcaphex片段（略），学生需：(1)识别出TLSClientHello中提供的SNI；(2)判断使用的密码套件；(3)指出是否存在TLS压缩（安全风险）；(4)给出过滤表达式提取相同SNI后续流。答案：(1)SNI=；(2)TLS_AES_256_GCM_SHA384；(3)无压缩，扩展中compression_methods长度为1且值为0；(4)tls.handshake.extensions_server_namecontains""7.2漏洞利用与修复（10分）代码片段：```php$id=$_GET['id'];$sql="SELECTFROMuserWHEREid=$id";```要求：①写出可读取password字段的联合查询payload；②给出基于PDO的修复代码；③说明修复后仍可能存在的二次注入场景并示例。答案：①1UNIONSELECT1,username,passwordFROMuser②```php$stmt=$pdo>prepare("SELECTFROMuserWHEREid=?");$stmt>execute([$_GET['id']]);```③若后续代码将读取的username未过滤再插入日志表，攻击者注册用户名值为“admin','20250401',0)”，导致日志表SQL注入。7.3安全架构设计（10分）某政务系统需满足等保3级，给出基于零信任的访问控制架构图（文字描述），并说明微隔离、身份鉴别、持续信任评估、动态授权四环节的技术实现与合规对照。答案：(1)架构：终端→SDP客户端→身份代理→微网关→资源；(2)微隔离：基于主机的防火墙+VXLAN标签，东西向流量默认拒绝，策略中心统一下发；(3)身份鉴别：国密SM2双证书+FIDO2+政务UKey，符合《GB/T15843》；(4)持续信任评估：采集终端进程、网络、位置、行为基线，AI模型输出信任分，低于阈值触发MFA或阻断；(5)动态授权：ABAC模型，属性含用户、设备、环境、资源敏感度，实时策略引擎结合区块链审计；(6)合规对照：满足等保3级“访问控制”“安全审计”“通信完整性”控制点，日志留存≥6个月，加密算法使用国密SM系列。8.计算题（共10分）8.1某企业计划部署RSA2048与SM2256混合证书，评估同等强度下握手性能差异。已知：RSA私钥运算CPU周期≈2.2Mcycles，SM2签名≈0.45Mcycles，服务器主频2.5GHz，单核可并发2000TLS握手/秒。求：(1)单核最大RSA握手数；(2)若改用SM2，单核最大握手数；(3)若日活峰值握手10万次/秒，需多少核？答案：(1)2.5×10^9/2.2×10^6≈1136次/秒；(2)2.5×10^9/0.45×10^6≈5555次/秒；(3)RSA：10^5/1136≈88核；SM2：10^5/5555≈18核。9.案例综合分析（共20分）背景：2025年3月，某大型医院遭受“双重勒索”攻击，攻击者先利用VPN设备0day进入内网，通过RDP横向移动，部署定制勒索软件加密影像服务器，并窃取50TB患者数据。问题：(1)给出攻击链每个阶段对应的MITREATT&CK战术与技术编号；(2)指出医院在检测与响应方面的三项主要缺失；(3)设计事后加固方案，含网络、终端、数据、管理四个维度；(4)依据《个人信息保护法》评估医院可能面临的罚款区间。答案：(1)InitialAccess:T1190ExploitPublicFacingApplicat