2026年网络安全培训考试题库(网络安全专题)网络安全意识与防范试题及答案

2026年网络安全培训考试题库(网络安全专题)网络安全意识与防范试题及答案单选题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号）1.2025年6月，某境外APT组织利用国内某OA系统0day发起钓鱼攻击，首轮投递的载荷文件扩展名最可能是（）A..docxB..xllC..isoD..pdf答案：B2.《数据安全法》规定，当发生重要数据泄露时，企业向省级以上主管部门报告的法定时限为（）A.1小时B.2小时C.8小时D.24小时答案：C3.在Windows1124H2版本中，默认启用可阻止LMHash存储的新注册表键值是（）A.LmCompatibilityLevelB.NoLMHashC.RestrictNTLMD.AllowNTLM答案：B4.采用“nevertrust,alwaysverify”原则的最佳实践框架是（）A.NISTCSFB.ZeroTrustArchitectureC.PDCAD.ITIL答案：B5.2026年1月起，欧盟NIS2指令要求关键服务供应商必须在发现重大事件后（）小时内报告。A.6B.12C.24D.72答案：C6.以下哪条Linux命令可一次性查找24小时内被修改过的可执行文件（）A.find/mtime1typefperm/u+xB.find/ctime1typefperm/a+xC.find/mtime0typefperm/u+xD.find/atime0typefperm/a+x答案：C7.关于SM4GCM算法的描述，错误的是（）A.属于分组加密B.支持附加认证数据C.密钥长度固定128bitD.输出标签长度固定256bit答案：D8.在KubernetesRBAC中，若要让ServiceAccount仅能查看default命名空间下的Pod，应绑定的内置角色是（）A.clusteradminB.adminC.viewD.edit答案：C9.2025年曝光的“TunnelSpecter”隧道木马最常用于回连的云端基础设施是（）A.AWSS3B.AzureBlobC.GoogleCloudStorageD.AlibabaOSS答案：B10.利用HTTP/2的RST_STREAM帧进行DDoS放大攻击时，攻击者主要滥用的特性是（）A.多路复用B.头部压缩C.服务器推送D.流量控制答案：A11.依据ISO/IEC27040:2025，存储系统安全控制措施中，针对“静默数据损坏”首选的检测技术是（）A.RAID6B.端到端CRCC.快照D.镜像答案：B12.在Android14中，限制第三方App读取已安装应用列表的新权限是（）A.QUERY_ALL_PACKAGESB.GET_INSTALLED_APPSC.VIEW_PACKAGE_LISTD.READ_APPS答案：A13.对OT网络进行被动资产发现时，最安全的扫描方式是（）A.ICMPpingB.TCPSYNC.UDPD.仅嗅探不主动发包答案：D14.若利用PowerShell执行远程下载cradle，以下哪条命令特征最容易被AMSI拦截（）A.IEX(NewObjectNet.WebClient).DownloadStringB.InvokeExpression([Text.Encoding]::UTF8.GetStringC.&([Ref].Assembly.GetType)D.StartBitsTransfer答案：C15.2026年3月，IETF发布RFC9500，规定DNS服务器默认必须丢弃的UDP负载最大字节数为（）A.512B.1232C.1500D.4096答案：B16.在Windows日志中，事件ID4624的“LogonType”值为3，表示（）A.交互式登录B.网络登录C.批处理登录D.服务登录答案：B17.使用YARA规则检测勒索软件时，为提高检出率又不误报，最佳策略是（）A.仅用文件大小作为条件B.使用多条字符串与数学比值结合C.仅用imphashD.仅用MD5黑名单答案：B18.关于PostQuantumTLS1.3草案，目前优先推荐的KEM算法是（）A.RSA4096B.MLKEMC.ECDHP384D.SIDH答案：B19.在Python3.12中，可安全替代eval执行数学表达式的标准库函数是（）A.execB.ast.literal_evalC.compileD.math.parse答案：B20.当企业采用SASE架构时，对分支办公室流量执行“本地互联网突围”策略主要降低的风险是（）A.延迟与链路单点B.数据主权C.路由环路D.MACFlooding答案：A21.利用GitHubActions进行CI投毒时，攻击者最常篡改的文件是（）A.README.mdB..github/workflows/.ymlC.DockerfileD.go.mod答案：B22.在macOS14中，可阻止未经用户确认的所有内核扩展加载的功能叫（）A.SIPB.GatekeeperC.KEXTNotarizationD.EndpointSecurity答案：C23.2025年OWASPTop10新增“API与微服务不安全”类别，其中排在首位的是（）A.BOLAB.MassAssignmentC.SSRFD.Authentication答案：A24.若需对VMwarevSphere8.0进行安全基线核查，应优先采用下列哪项CISBenchmark版本（）A.1.0.0B.1.2.0C.2.0.0D.3.0.0答案：C25.在容器逃逸中，利用cgroupsv1的release_agent特性获取宿主机root权限，需要挂载的目录是（）A./sys/fs/cgroupB./procC./devD./var/lib/docker答案：A26.当SSL证书采用OCSPMustStaple扩展时，若Web服务器未在TLS握手时返回OCSPResponse，浏览器会（）A.静默继续B.弹出警告但允许跳过C.硬失败并断开连接D.降级到HTTP答案：C27.依据《个人信息出境标准合同办法》，企业自评估报告保存期限不少于（）A.1年B.2年C.3年D.5年答案：C28.在Linux内核5.15中，默认启用的内存漏洞缓解“AutoFDO”属于（）A.地址随机化B.控制流完整性C.缓存侧信道缓解D.热路径优化答案：D29.针对WiFi7的“多链路设备”特性，目前最可靠的暴力破解防护机制是（）A.WPA3Enterprise192bitB.WPA2PSKC.WEPD.Open答案：A30.当使用ChaCha20Poly1305进行加密时，其Nonce推荐长度为（）A.64bitB.96bitC.128bitD.256bit答案：B多选题（每题2分，共20分。每题有两个或以上正确答案，多选少选均不得分）31.以下哪些属于2025年CISA发布的“SecurebyDesign”承诺中要求软件厂商在180天内完成的事项（）A.发布漏洞披露政策B.提供SBOM格式清单C.启用内存安全语言占比统计D.默认启用MFA答案：ABCD32.在Windows环境中，可用来实现DLL劫持的搜索顺序阶段包括（）A.应用程序所在目录B.系统目录C.当前工作目录D.用户Home目录答案：ABC33.关于OAuth2.1的更新，下列说法正确的是（）A.强制PKCEB.隐式流程被废弃C.刷新令牌必须JWT化D.授权码流程支持S256答案：ABD34.以下哪些协议或技术可被用于DNSoverHTTPS流量检测（）A.eBPFB.JA3/JA3SC.TLSFingerprintingD.SNI加密答案：ABC35.在Linux服务器上，可用来实现文件完整性监控的开源工具包括（）A.AIDEB.WazuhC.TripwireD.OSSEC答案：ABCD36.针对机器学习模型的投毒攻击，防御者可以采取的措施有（）A.数据清洗与过滤B.鲁棒聚合算法C.模型水印D.差分隐私训练答案：ABD37.以下哪些端口常被恶意软件用于DNS隧道通信（）A.53/UDPB.53/TCPC.443/TCPD.5353/UDP答案：ABCD38.在iOS17中，可阻止USB配件在锁定屏幕下建立数据连接的功能包括（）A.USBRestrictedModeB.配件ID白名单C.需要解锁密码D.允许Siri答案：ABC39.关于量子密钥分发（QKD），下列说法正确的是（）A.基于BB84协议B.可实现信息论安全C.依赖计算复杂性假设D.需要专用光纤答案：ABD40.在DevSecOps流水线中，可集成到CI阶段进行依赖漏洞扫描的SaaS平台有（）A.SnykB.GitHubDependabotC.SonatypeLiftD.WhiteSource答案：ABCD填空题（每空1分，共20分）41.2025年11月，国家网信办发布的《人工智能生成合成内容安全要求》中，要求深度合成服务必须在生成内容中添加可验证的________水印。答案：隐式42.在TLS1.3握手过程中，用于加密Certificate消息的密钥派生自________。答案：ServerHandshakeTrafficSecret43.若利用BloodHound分析AD域权限，默认使用的图数据库引擎名称是________。答案：Neo4j44.在Linux中，通过________系统调用可限制进程使用系统资源，如最大文件描述符数。答案：setrlimit45.2026年启用的WPA3Enterprise192bit套件规定，协商管理帧保护必须采用________协议。答案：OWE（或SAE，答SAE亦可）46.当使用Wireshark解密HTTPS流量时，需要导入浏览器的________文件格式预主密钥。答案：SSLKEYLOGFILE47.在Kubernetes中，NetworkPolicy资源基于________插件实现细粒度东西向流量控制。答案：CNI48.依据《关键信息基础设施安全保护条例》，CII运营者采购网络产品或服务可能影响国家安全的，应通过________审查。答案：网络安全49.针对内存马攻击，JavaAgent技术常用的动态类转换API是________。答案：Instrumentation50.在WindowsDefender中，用于阻止Office宏调用Win32API的功能称为________。答案：AttackSurfaceReduction（ASR）规则51.2025年发布的FIDO2L3认证要求安全密钥必须支持________机制，以防止物理拆解。答案：安全元件（SecureElement）52.在IPv6中，用于替代ARP的协议是________。答案：NeighborDiscoveryProtocol（NDP）53.当利用SQLMap进行二阶注入测试时，需要添加的参数是________。答案：secondorder54.在Linux内核中，用于限制容器内进程查看其他容器进程的命名空间是________。答案：PIDnamespace55.针对固件攻击，TPM2.0提供的安全启动度量日志保存在________表中。答案：ACPI（或TPM2ACPI，答TPM2亦可）56.在AzureAD中，用于实现跨租户访问权限最小化的功能称为________。答案：EntitlementManagement57.当使用ChaCha20流加密时，其内部使用的块函数基于________运算。答案：ARX（AdditionRotationXOR）58.依据《网络安全产业高质量发展三年行动计划（20252027年）》，到2027年，我国网络安全产业规模力争突破________亿元。答案：400059.在Python中，可安全生成加密随机数的模块是________。答案：secrets60.针对勒索软件“双重勒索”模式，企业备份策略应遵循________原则，即备份离线、不可变、可验证。答案：321判断题（每题1分，共10分。正确打“√”，错误打“×”）61.HTTPS的HSTS头部一旦加入preload列表，可通过设置maxage=0立即撤销。（）答案：×62.在Linux中，使用chmod4755file可给文件添加SetUID权限。（）答案：√63.量子计算机可在多项式时间内破解SHA256哈希。（）答案：×64.依据GDPR，数据控制者必须在72小时内向监管机构报告个人数据泄露事件。（）答案：√65.Windows系统关闭LLMNR可有效减少本地中间人攻击面。（）答案：√66.在Kubernetes中，PodSecurityPolicy已被废弃并由PodSecurityAdmission替代。（）答案：√67.使用JWT时，将算法设为“none”可实现安全的无签名传输。（）答案：×68.DNSSEC的引入可以完全防止DNS缓存污染攻击。（）答案：×69.在iOS中，越狱后安装的OpenSSH默认监听端口为22。（）答案：√70.采用同态加密技术可直接对密文进行算术运算而无需解密。（）答案：√简答题（封闭型，每题5分，共20分）71.简述TLS1.3相比TLS1.2在握手性能上的两项主要优化。答案：1.将握手往返次数从2RTT减少到1RTT，甚至支持0RTT重连；2.去除RSA密钥交换，仅支持(EC)DHE，减少算法协商开销。72.说明Windows日志中事件ID4672的含义，并给出两条常见触发场景。答案：4672表示“特殊权限登录”。场景：1.用户拥有SeDebugPrivilege等敏感权限登录；2.管理员使用Runas管理员权限启动程序。73.概述零信任架构中“微分段”在数据中心东西向流量控制中的作用。答案：通过基于身份、上下文与最小权限策略，将同一网络内不同工作负载隔离，降低横向移动风险，实现细粒度访问控制与实时审计。74.列举两种针对机器学习模型推理阶段的对抗样本防御方法。答案：1.输入变换防御（如随机化、去噪）；2.对抗训练，在训练阶段加入对抗样本提升鲁棒性。应用题（综合类，共50分）75.日志分析（15分）某企业WAF日志片段如下（已脱敏）：2026041710:22:31POST/api/login200446"""Mozilla/5.0(compatible;AttackBot/1.0)"参数：username=admin'OR1=1&password=123问题：（1）指出攻击类型（2分）（2）给出两条WAF规则可立即阻断该类攻击（4分）（3）说明后续代码层修复建议（4分）（4）若攻击成功，给出取证需重点关注的两张数据库表（2分）（5）列举向管理层汇报时应包含的三项指标（3分）答案：（1）SQL注入（2）规则1：SecRuleARGS:username"@rx(\sor\s+1=1)""id:1001,deny,status:403"规则2：SecRuleARGS:username"@rx(||/\)""id:1002,deny,status:403"（3）使用参数化查询/存储过程，禁用动态拼接；对输入进行白名单校验；最小权限连接数据库。（4）sys.sql_log、user_login_log（或具体业务用户表、审计表）。（5）攻击次数、成功登录异常账号数量、数据泄露记录条数。76.应急响应（15分）一台LinuxWeb服务器出现可疑进程/usr/bin/.httpd，持续外联IP7:443。netstat显示大量ESTABLISHED连接。任务：（1）给出两条命令确认进程启动路径与PPID（2分）（2）给出一条命令列出该进程打开的所有文件（2分）（3）说明如何在不终止进程前提下获取其内存镜像（3分）（4）给出两条抑制横向扩散的网络隔离措施（4分）（5）概述向监管部门初报的时间与内容要求（4分）答案：（1）psef|grep.httpd；lsl/proc/PID/exe；cat/proc/PID/status|grepPPid（2）lsofpPID（3）使用gcore或/proc/PID/mem配合dd，结合LiME获取完整内存dump。（4）1.在边界防火墙封禁7/32全部端口；2.将受害服务器VLAN隔离至蜜网段，关闭除22跳板外全部出站。（5）依据《国家网络安全事件应急预案》，初报应在1小时内口头报