2025年网络安全考试练习题(附答案)

2025年网络安全考试练习题(附答案)1.单项选择题（每题1分，共20分）1.1在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制是A.RSA密钥传输B.静态DHC.ECDHED.PSKonly答案：C1.2以下哪一项最能准确描述“零信任”模型的核心原则A.内部网络默认可信B.永不信任，持续验证C.以防火墙边界为信任基准D.用户一次认证终身有效答案：B1.32023年12月公布的CVE202348788漏洞主要影响A.WindowsSMBv1B.FortinetFortiClientEMSC.OpenSSL3.0D.ApacheLog4j2答案：B1.4在Android14中，用于限制应用后台运行期间访问设备标识符的新增安全机制是A.SELinuxpolicyv3B.权限自动降级C.后台应用标识符屏蔽（RAIV）D.FBE（FileBasedEncryption）答案：C1.5依据《数据安全法》第21条，对“重要数据”进行出境安全评估的最终决定机构是A.网信办B.工信部C.公安部D.国家数据安全工作协调机制答案：A1.6在WindowsServer2025中，默认启用的基于虚拟化的安全功能缩写是A.CredentialGuardB.VBSC.HVCID.WDAG答案：B1.7以下哪种算法已被NIST.SP.800208明确列为可扩展输出函数（XOF）并推荐用于哈希即签名A.SHA256B.SHA3512C.SHAKE128D.BLAKE2b答案：C1.8在IPv6网络中，用于防止ND欺骗攻击的安全机制是A.SENDB.RAGuardC.DHCPv6GuardD.SeND+CGAs答案：D1.92024年3月，IETF发布的RFC9509将哪种端口跳变技术标准化用于抵抗DDoS反射A.TCPFastOpenB.UDPPortHoppingC.DNSCookiesD.SYNCookies答案：B1.10在Kubernetes1.29集群中，用于限制容器进程权限的强制访问控制插件是A.AppArmorB.SeccompC.SELinuxD.OPAGatekeeper答案：A1.11以下哪项最能体现“隐私计算”中的“可用不可见”A.同态加密B.对称加密C.数字水印D.差分隐私答案：A1.12在量子计算威胁评估中，被认为可抵御Shor算法的公钥机制是A.RSA3072B.ECDSAP384C.CRYSTALSKYBERD.DSA2048答案：C1.132025年1月1日起施行的《个人信息出境标准合同办法》规定，出境方应在合同生效后多少个工作日内向省级以上网信办备案A.5B.10C.15D.30答案：B1.14在Linux内核6.7中，新增的用于防御堆喷射攻击的缓解技术简称A.AUTOSLABB.KASLRC.CFID.RAP答案：A1.15以下哪项不是OWASPAPISecurityTop102023列出的风险A.BrokenObjectLevelAuthorizationB.UnsafeConsumptionofAPIsC.InjectionD.LackofResources&RateLimiting答案：C1.16在5G核心网SBA架构中，用于服务间双向TLS认证的协议是A.PFCPB.HTTP/2overTLS1.3C.GTPCD.SIP答案：B1.172024年BlackHat公布的“Downfall”漏洞主要利用的侧信道是A.缓存时序B.电压调制C.Gather指令泄露D.分支预测答案：C1.18在AWS2025新发布的IAM策略语法中，用于实现“基于属性匹配”的字段关键字是A.ConditionB.MatchC.AttributeD.ResourceTag答案：A1.19依据ISO/IEC27001:2022，对“威胁情报”要求首次出现在哪个控制域A.A.5信息安全策略B.A.8资产管理C.A.5.7威胁情报D.A.16信息安全事件管理答案：C1.20在Python3.12中，默认被启用的防止SSL中间人攻击的证书验证模式是A.CERT_NONEB.CERT_OPTIONALC.CERT_REQUIREDD.VERIFY_DEFAULT答案：C2.多项选择题（每题2分，共20分；每题至少有两个正确答案，多选少选均不得分）2.1以下哪些属于NISTCSF2.0核心功能A.IdentifyB.ProtectC.DetectD.RecoverE.Govern答案：ABCDE2.2关于DNSoverHTTPS（DoH）的正确描述包括A.基于UDP443端口B.可防止中间人篡改C.可能绕过企业安全策略D.使用JSON传输E.支持TLS1.3答案：BCE2.3在Windows1123H2中，以下哪些功能需要TPM2.0A.BitLockerB.WindowsHelloPINC.VBSD.CredentialGuardE.HVCI答案：CDE2.4以下哪些算法属于NIST后量子密码标准化第三轮最终入选的签名算法A.CRYSTALSDILITHIUMB.FALCONC.RAINBOWD.SPHINCS+E.NTRU答案：ABD2.5在Linux系统中，可用于实现强制访问控制（MAC）的框架有A.SELinuxB.AppArmorC.SmackD.TOMOYOE.grsecurity答案：ABCD2.6以下哪些措施可有效缓解SQL注入A.预编译语句B.ORM框架C.最小权限原则D.WAF规则E.关闭错误回显答案：ABCDE2.7关于GDPR第6条“合法性基础”包括A.数据主体同意B.合同履行C.法定义务D.保护重大利益E.公权力行使答案：ABCDE2.8以下哪些属于常见的云原生安全工具A.FalcoB.OPAC.kubebenchD.ClairE.Nessus答案：ABCD2.9在无线渗透测试中，可用于WPA3Enterprise握手抓包的工具A.hcxdumptoolB.wifiteC.EAPHammerD.hostapdwpeE.cowpatty答案：ACD2.10以下哪些文件扩展名在微软Office默认设置下会被“受保护视图”隔离A..docB..xlsC..rtfD..pptE..docx答案：ABCD3.填空题（每空1分，共20分）3.1在TLS1.3中，用于完成双方身份验证并导出应用数据密钥的子协议称为________。答案：握手协议（HandshakeProtocol）3.22024年爆出的“LooneyTunables”漏洞主要利用了GNUC库中________函数的缓冲区溢出。答案：qsort3.3在Kubernetes中，默认用于服务账户令牌挂载的投影卷类型是________。答案：projected3.4我国《关键信息基础设施安全保护条例》规定，运营者应当________年至少开展一次网络安全应急演练。答案：每年3.5在量子密钥分发（QKD）中，BB84协议使用两组共轭基，分别为________基和________基。答案：Z；X（或直线；对角）3.6依据NIST.SP.80063B，若采用基于记忆的密钥（MemorizedSecret），最小长度建议为________位。答案：83.7在Windows事件日志中，登录类型3表示________登录。答案：网络3.8在IPv4报文中，若DF位置1且MF位置0，表示该报文________。答案：不允许分片且未分片3.9在OWASPMASVS2.0中，控制类别V2要求验证________存储的安全性。答案：敏感数据3.10在Linux中，用于查看当前SElinux策略布尔值的命令是________。答案：getseboola3.112025年启用的WPA4标准中，新增基于________的匿名化握手，用于防止用户跟踪。答案：可验证随机函数（VRF）3.12在Pythonrequests库中，关闭SSL证书验证的参数是verify=________。答案：False3.13在AWSS3桶策略中，用于限制仅允许HTTPS访问的条件关键字是________。答案：aws:SecureTransport3.14在渗透测试中，用于快速扫描SMB端口的常用端口范围是________/tcp。答案：4453.15在数字取证中，对手机进行物理镜像时，常用的MTK芯片级提取协议是________。答案：SLA（SerialLinkAuthentication）3.16在区块链中，以太坊EIP1559引入的交易费用机制称为________。答案：BaseFee3.17在ISO27005风险管理过程中，风险值=________×________。答案：资产价值；风险影响（或威胁×脆弱性）3.18在Linux内核中，用于缓解Ret2usr攻击的防御机制缩写为________。答案：SMEP3.19在PCIDSSv4.0中，要求对持卡人数据环境进行________次年度外部渗透测试。答案：13.20在零信任参考架构中，用于动态评估访问请求的引擎称为________。答案：策略决策点（PDP）4.判断题（每题1分，共10分；正确打“√”，错误打“×”）4.1在iOS17中，LockdownMode会默认关闭JIT编译器以减小攻击面。答案：√4.2SHA1目前仍可安全用于数字签名场景。答案：×4.3在5G网络中，SUCI使用归属网络公钥加密，可防止IMSI捕获。答案：√4.4依据《网络安全审查办法》，掌握超过100万用户个人信息的平台赴国外上市必须申报审查。答案：√4.5在Linux中，/etc/shadow文件对任何用户均可读。答案：×4.6使用HTTPS的网站一定可以避免中间人攻击。答案：×4.7在容器环境中，cgroup可用于限制CPU、内存资源。答案：√4.8量子计算机目前可在多项式时间内破解AES256。答案：×4.9在双因子认证中，短信验证码属于“拥有”因素。答案：×4.10依据《个人信息保护法》，处理敏感个人信息必须取得个人的单独同意。答案：√5.简答题（每题6分，共30分）5.1封闭型：简述TLS1.3相比TLS1.2在性能与安全性上的三项主要改进。答案：1.去除RSA静态密钥交换，强制前向安全；2.握手缩减为1RTT，并可实现0RTT恢复；3.移除弱算法（3DES、RC4、MD5等），仅保留AEAD加密套件。5.2开放型：结合实例说明“API过度暴露”导致数据泄露的攻击链，并提出两种缓解方案。答案：攻击链：攻击者通过/swagger发现未授权接口→使用参数fuzz获取越权ID→批量爬取用户隐私数据。缓解：1.实施基于OAuth2.0的细粒度授权；2.部署API网关统一速率限制与模式验证。5.3封闭型：列出我国《数据安全法》对“重要数据”出境安全评估的四大重点审查内容。答案：1.出境必要性；2.接收方安保能力；3.数据境外再转移风险；4.数据主体权益保障。5.4开放型：说明在Kubernetes集群中，如何利用OPAGatekeeper实现镜像签名验证，并写出关键ConstraintTemplate片段（伪代码即可）。答案：通过Gatekeeper准入控制器检查镜像是否带有cosign签名。ConstraintTemplate片段：regopackagek8s.imagesigneddeny[msg]{input.review.object.kind=="Pod"image:=input.review.object.spec.containers[_].imagenotcosign.verify(image,"key.aws.kms://alias/signer")msg:=sprintf("unsignedimage%v",[image])}5.5封闭型：简述量子密钥分发（QKD）与传统非对称加密在密钥交换环节的根本区别。答案：QKD利用量子态不可克隆与测量扰动原理，实现密钥的“无条件安全”传输，任何窃听都会引入误码率而被发现；传统非对称加密依赖计算复杂度假设，无法提供可证明的无条件安全。6.应用题（共50分）6.1计算类（10分）某企业采用AESGCM加密传输，每包最大1400字节，网络带宽1Gbps，平均包长1000字节，CPU单核可处理2GbpsAESGCM。若实际流量峰值600Mbps，问至少需要多少核才能保证加密不掉包？答案：单核可处理2000Mbps，需600/2000=0.3核，向上取整至少1核。6.2分析类（15分）阅读以下日志片段（已脱敏），回答问题：2025030114:32:155>0POST/loginHTTP/1.120056"""sqlmap/1.5"2025030114:32:165>0POST/loginHTTP/1.120056"""sqlmap/1.5"（1）指出攻击者使用的工具及可能攻击类型；（2）写出两条WAF规则拦截该行为；（3）说明如何在不改代码前提下加固登录接口。答案：（1）sqlmap，S