2025年网络安全与信息保护课程考试试卷及答案

2025年网络安全与信息保护课程考试试卷及答案1.单项选择题（每题1分，共20分）1.1我国《个人信息保护法》正式施行的日期是A.2020年10月1日 B.2021年11月1日 C.2022年1月1日 D.2021年6月10日答案：B1.2在TCP/IP协议栈中，负责端到端加密的最常见协议是A.ARP B.IPSec C.ICMP D.SNMP答案：B1.3下列哪一项不属于对称加密算法A.SM4 B.AES256 C.ECC D.3DES答案：C1.4关于零信任架构的核心原则，错误的是A.永不信任，持续验证 B.默认授权内网流量 C.最小权限访问 D.动态访问控制答案：B1.5在Windows系统中，用于强制完整性控制的标签级别从高到低排序正确的是A.System>High>Medium>Low B.System>Trusted>High>Medium C.System>High>Low>Untrusted D.Trusted>System>Medium>Low答案：A1.6针对Log4j2远程代码执行漏洞（CVE202144228），最直接的临时缓解措施是A.升级JDK至17 B.关闭端口1099 C.设置Dlog4j2.formatMsgNoLookups=true D.禁用JNDI端口3389答案：C1.7在等级保护2.0中，第三级系统要求每年至少完成的安全测评频次为A.一次 B.两次 C.三次 D.四次答案：A1.8下列关于HTTP状态码与Web安全对应关系正确的是A.401表示服务器内部错误 B.403表示资源未找到 C.404表示禁止访问 D.401表示未授权答案：D1.9在Linux内核中，实现强制访问控制的安全模块是A.SELinux B.iptables C.ufw D.AppArmor E.A与D答案：E1.10使用nmap扫描时，参数sS代表A.TCPSYN扫描 B.TCPConnect扫描 C.UDP扫描 D.版本探测答案：A1.11关于GDPR“被遗忘权”描述正确的是A.数据主体可随时无条件要求删除其全部数据 B.控制者无需通知第三方删除 C.公共利益存档可成为拒绝删除的例外 D.仅适用于欧盟公民答案：C1.12在公钥基础设施中，负责存储并分发已撤销证书列表的组件是A.RA B.CA C.OCSP D.CRL答案：D1.13下列哪项最能有效防御重放攻击A.加盐哈希 B.时间戳+随机数 C.对称加密 D.Base64编码答案：B1.14在Android13中，应用获取精确位置权限属于A.普通权限 B.签名权限 C.危险权限 D.安装时权限答案：C1.15关于DNSSEC，下列说法错误的是A.使用RRSIG记录提供签名 B.采用链式信任锚 C.可防止DNS缓存投毒 D.加密DNS查询内容答案：D1.16在OWASPTop102021中，排名第一位的是A.失效的访问控制 B.加密失败 C.注入 D.不安全设计答案：A1.17使用HSTS可防御A.XSS B.CSRF C.点击劫持 D.协议降级攻击答案：D1.18在密码学中，ECB模式的主要缺陷是A.不能并行计算 B.相同明文块产生相同密文块 C.需要填充 D.需要IV答案：B1.19关于我国《数据安全法》中“重要数据”的表述，正确的是A.由企业自行认定 B.由网信部门会同主管部门认定 C.仅指个人信息超过100万条 D.不包括行业核心数据答案：B1.20在云计算责任共担模型中，IaaS层补丁管理主体是A.云服务商 B.云租户 C.第三方安全公司 D.监管机构答案：B2.多项选择题（每题2分，共20分；每题至少有两个正确答案，多选少选均不得分）2.1以下哪些属于非对称加密算法A.RSA B.DSA C.SM2 D.ElGamal E.RC4答案：ABCD2.2可导致DNS劫持的环节包括A.本地Hosts文件篡改 B.路由器DNS被修改 C.本地缓存投毒 D.权威服务器被入侵 E.客户端启用DoH答案：ABCD2.3关于Kerberos协议，下列描述正确的是A.使用对称加密 B.依赖可信第三方 C.TGT由AS颁发 D.服务票据由TGS颁发 E.采用公开密钥加密会话答案：ABCD2.4以下哪些技术可用于Web应用防自动化攻击A.验证码 B.行为生物特征 C.JS挑战 D.TLS指纹 E.HMAC令牌答案：ABCDE2.5关于同态加密，下列说法正确的是A.支持密文运算 B.结果解密等于明文运算结果 C.全同态效率高于部分同态 D.可用于隐私计算 E.目前无实用方案答案：ABD2.6以下属于软件供应链安全威胁的是A.源代码植入后门 B.依赖库投毒 C.编译器污染 D.固件篡改 E.物理USB偷渡答案：ABCD2.7关于防火墙与WAF差异，正确的是A.防火墙工作在网络层 B.WAF可解析HTTP语义 C.防火墙可防御SQL注入 D.WAF可基于签名防护 E.下一代防火墙集成WAF模块答案：ABDE2.8以下哪些属于隐私增强技术（PETs）A.差分隐私 B.安全多方计算 C.联邦学习 D.可信执行环境 E.数据脱敏答案：ABCDE2.9在Linux系统中，可用于完整性审计的命令包括A.ausearch B.auditctl C.lsattr D.sha256sum E.tripwire答案：ABDE2.10以下关于量子计算对密码学影响正确的是A.Shor算法可分解大整数 B.Grover算法可将对称密钥强度减半 C.后量子算法已标准化全部方案 D.QKD可实现信息论安全 E.SM2在量子时代仍安全答案：ABD3.填空题（每空1分，共20分）3.1在SHA256输出长度是________位。答案：2563.2我国《关键信息基础设施安全保护条例》要求运营者采购网络产品和服务可能影响国家安全的，应当通过________审查。答案：国家安全3.3在TLS1.3握手过程中，服务器发送的携带临时公钥的扩展称为________。答案：KeyShare3.4当利用BurpSuite进行主动扫描时，默认监听本地端口________。答案：80803.5在Android反调试技术中，检测TracerPid值位于文件________。答案：/proc/self/status3.6根据GB/T222392019，第三级系统安全区域边界应部署________类设备实现恶意代码防护。答案：恶意代码防护/防病毒网关3.7在Python3中，使用________库可安全生成加密随机数。答案：secrets3.8在OAuth2.0授权码模式中，客户端换取访问令牌需携带________、授权码、重定向URI。答案：client_secret3.9在IPv6中，用于发现重复地址的协议报文简称________。答案：DAD3.10在Windows日志中，事件ID4624表示________成功。答案：登录3.11在公钥证书中，主体备用名称字段简称________。答案：SAN3.12在Kubernetes中，用于保存敏感配置的对象类型为________。答案：Secret3.13在无线安全标准中，WPA3个人模式采用________密钥交换协议。答案：SAE（SimultaneousAuthenticationofEquals）3.14在数据库中，MySQL开启安全传输需配置参数________为REQUIRED。答案：require_secure_transport3.15在等保测评中，测评结论分为优、良、中、________四档。答案：差3.16在逆向工程中，ARM64汇编中X30寄存器用于保存________地址。答案：返回3.17在威胁建模STRIDE中，D代表________威胁。答案：否认性（Denial）3.18在密码学中，SM9标识密码算法属于________加密。答案：基于标识/非对称3.19在Linux能力（capability）中，允许修改系统时间的位为________。答案：CAP_SYS_TIME3.20在HTTP响应头中，用于指示浏览器是否可嵌入iframe的头字段为________。答案：XFrameOptions4.判断题（每题1分，共10分；正确打“√”，错误打“×”）4.1使用JWT默认算法none表示令牌未签名，可引发伪造攻击。答案：√4.2在Windows中，关闭SMB端口445即可完全阻止永恒之蓝漏洞利用。答案：×（需打补丁）4.3我国《密码法》将核心密码、普通密码、商用密码纳入分类管理。答案：√4.4在TLS中，使用AESGCM模式可提供完整性和机密性。答案：√4.5在Linux中，文件权限设置为600表示所有者可读写，组用户可执行。答案：×4.6差分隐私中，隐私预算ε越大，隐私保护强度越高。答案：×4.7在云计算中，租户对IaaS层的hypervisor漏洞无修复责任。答案：√4.8使用Tor浏览器可完全匿名，无需任何额外配置。答案：×4.9在Android中，应用签名证书有效期过期后，应用仍可在已安装设备运行。答案：√4.10在RSA加密中，公钥指数通常选用65537以提高效率。答案：√5.简答题（封闭型，每题5分，共20分）5.1简述SSL剥离攻击原理及两种防御措施。答案：攻击者中间人降级HTTPS到HTTP，通过拦截并替换301/302重定向或修改HSTS头；防御：1.服务器强制HSTS预加载；2.浏览器内置预加载列表；3.HTTPSEverywhere插件；4.采用307内部重定向。5.2说明内存保护机制DEP与ASLR的区别与联系。答案：DEP（数据执行保护）阻止非执行页运行代码，ASLR（地址空间布局随机化）随机化模块基址；二者互补，DEP阻止注入代码执行，ASLR增加预测难度，联合降低缓冲区溢出利用成功率。5.3列举并解释OAuth2.0四种授权流程适用场景。答案：授权码：Web后端可保密client_secret；隐式：纯前端SPA无法保密；密码：高度信任客户端如第一方移动App；客户端凭证：服务器间无用户上下文调用API。5.4概述勒索软件常见的横向移动技术。答案：利用弱口令RDP爆破、SMB永恒之蓝、Kerberoasting、PTH哈希传递、WMI、PsExec、BloodHound收集路径、GPO修改登录脚本，实现域控提权与批量投放勒索载荷。6.简答题（开放型，每题10分，共20分）6.1结合《个人信息保护法》，论述大型互联网平台在“自动化决策”场景下的合规义务，并提出技术实现建议。答案：平台需保证透明度、公平性与可解释性，事前PIA评估，提供拒绝权与人工复核通道；技术：1.采用可解释模型如决策树替代黑盒；2.引入LIME/SHAP输出特征重要性；3.日志留存模型版本与输入输出；4.设置用户一键退出个性化开关；5.差分隐私训练降低个人可识别性；6.建立红队定期审计偏见。6.2某政务云计划采用“同城双活+异地冷备”架构，请从数据安全角度给出全生命周期方案，包括分类分级、加密、脱敏、备份、销毁环节。答案：分类分级：按GB/T35273识别核心、重要、一般数据；加密：传输采用TLS1.3+SM2/SM4，存储采用SM4XTS，密钥托管于KMIP硬件加密机；脱敏：开发测试用动态脱敏网关，基于角色返回掩码数据；备份：双活数据库异步复制使用SM4加密链路，冷备快照采用WORM存储，保留期7年；销毁：退役磁盘执行NIST80088清空purge级，SSD采用加密擦除，出具销毁报告并第三方审计。7.应用题（计算/分析/综合，共60分）7.1计算题（10分）某Web系统采用PBKDF2HMACSHA256，迭代次数120000，盐长度16字节，求破解一个长度为8位小写字母+数字随机密码所需理论时间。已知：GPURTX4090算力1.1×10^11次/秒（SHA256），假设哈希一次耗时等于PBKDF2一次迭代。答案：密钥空间36^8=2.8×10^12，总哈希次数=2.8×10^12×1.2×10^5=3.36×10^17，时间=3.36×10^17/1.1×10^11≈3.05×10^6秒≈35.4天。评分：公式6分，结果2分，单位换算2分。7.2分析题（15分）给出一段存在漏洞的Python代码：@app.route('/download')defdownload(): filename=request.args.get('file') returnsend_file(os.path.join('/data/',filename))问题：1.漏洞名称；2.利用方式；3.修复代码。答案：1.路径遍历/任意文件下载；2.构造/download?file=../../../etc/passwd；3.修复：引入werkzeug.security.safe_join或白名单校验，仅允许字母数字下划线，并限制后缀.pdf。7.3综合题（35分）背景：某电商平台“618”大促期间遭遇大规模薅羊毛，攻击者利