2025年网络安全知识考试试题及答案解析

2025年网络安全知识考试试题及答案解析1.单项选择题（每题1分，共20分）1.1在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制是A.RSA2048静态密钥传输B.ECDHE临时密钥交换C.DH1024静态密钥交换D.PSKonly模式答案：B解析：TLS1.3强制使用(EC)DHE实现前向安全性，禁止静态RSA密钥传输。1.2以下哪项最能准确描述“零信任”模型的核心假设A.内网流量默认可信B.身份验证只需在边界执行一次C.永不信任，持续验证D.加密即信任答案：C1.32023年NISTSP800634草案将身份保证等级IAL的最高级定义为A.IAL1B.IAL2C.IAL3D.IAL4答案：C1.4利用JSONWebToken(JWT)进行身份验证时，为防止算法混淆攻击，应优先采用A.alg:noneB.HS256对称密钥C.RS256+严格密钥白名单D.明文payload答案：C解析：RS256使用非对称签名，配合白名单避免算法被篡改为none或HS256。1.5在Linux内核中，可针对任意打开文件描述符实施强制访问控制的子系统是A.SELinuxB.AppArmorC.SmackD.以上全部答案：D1.6针对5G核心网SBA架构，以下哪种协议主要用于服务化接口的认证与授权A.DiameterB.OAuth2.0C.GTPCD.SS7答案：B1.72024年爆出的“TunnelVision”漏洞(CVE20243661)主要影响了A.IPsec隧道完整性B.DHCP选项121路由注入C.TLS1.30RTT重放D.QUIC拥塞控制答案：B解析：攻击者通过DHCP选项121向受害者推送恶意路由，绕过VPN隧道。1.8使用AESGCM模式时，如果Nonce被重复，最可能导致的后果是A.明文被立即泄露B.密钥被完全破解C.认证失效且可恢复XOR密钥流D.仅完整性校验失败答案：C1.9在Windows日志中，可记录LSA内存转储事件并对应勒索软件横向移动的EventID是A.4624B.4648C.4672D.4691答案：B1.10依据《数据安全法》第二十一条，国家建立数据分类分级保护制度，其中“核心数据”实行A.备案管理B.重点识别C.严格保护D.自由流动答案：C1.11以下哪项不是OWASPAPISecurityTop10(2023版)新增风险A.对象级别授权失效B.不受限制的资源访问C.服务器端请求伪造D.日志与监控不足答案：A解析：A为2019版原有风险，2023版新增“不受限制资源访问”等。1.12在Kubernetes中，可限制容器进程使用系统调用的安全机制是A.NetworkPolicyB.seccompC.RBACD.PSP(PodSecurityPolicy已废弃)答案：B1.13量子计算中，Shor算法对下列哪种密码体制威胁最大A.AES256B.SHA384C.RSA3072D.HMACSHA256答案：C1.142024年欧盟NIS2指令要求关键实体在发生重大事件后向主管部门报告的时限为A.72小时B.24小时C.12小时D.6小时答案：B1.15使用Wireshark检测DNS隧道时，以下特征最不具区分度A.域名长度过长C.响应包TXT记录异常大D.查询类型为AAAA答案：D1.16在零知识证明协议Schnorr身份方案中，验证者最终需要验证的等式是A.r=g^e·y^cmodpB.r=g^s·y^cmodpC.r=g^e·y^smodpD.r=g^s·y^emodp答案：B1.17以下关于RansomwareasaService(RaaS)的描述错误的是A.降低攻击门槛B.开发者与加盟者分赃C.开发者直接执行加密D.常采用比特币赎金答案：C1.18在ARMv9架构中，用于增强内存标签扩展(MTE)的指令是A.MRSB.MSRC.IRGD.BRK答案：C1.192023年OpenSSL高危漏洞(CVE20230286)涉及的核心函数是A.SSL_read()B.X.400地址解析C.X.509证书验证D.EVP_PKEY2PKCS8答案：C1.20依据ISO/IEC27701:2019，建立隐私信息管理体系统(PIMS)时，对数据主体权利的响应时间建议不超过A.15天B.30天C.45天D.60天答案：B2.多项选择题（每题2分，共20分，每题至少两个正确答案，多选少选均不得分）2.1以下哪些技术可有效防御BGP劫持A.RPKIROVB.BGPsecC.IRR数据库+严格前缀过滤D.ASPath预pending答案：A,B,C解析：D只能影响选路，不能防止劫持。2.2关于同态加密，下列说法正确的是A.CKKS方案支持浮点数近似计算B.BFV方案支持整数精确计算C.全同态无需自举即可无限次乘法D.自举可降低噪声答案：A,B,D2.3在Android13中，以下哪些权限属于“受限权限”需特殊白名单A.READ_MEDIA_IMAGESB.ACCESS_BACKGROUND_LOCATIONC.WRITE_EXTERNAL_STORAGED.MANAGE_EXTERNAL_STORAGE答案：B,D2.4针对容器逃逸，以下哪些攻击向量已被公开利用A.脏牛(DirtyCOW)B.runCCVE20195736C.containerdshimCVE202015257D.SIGTERM信号劫持答案：A,B,C2.5依据《个人信息保护法》，处理敏感个人信息应取得A.个人单独同意B.书面同意C.明示同意D.法定监护人同意(针对未成年人)答案：A,D2.6以下哪些算法已被NIST选为后量子密码标准化第三轮finalistsA.CRYSTALSKYBERB.NTRUPrimeC.ClassicMcElieceD.RSA4096答案：A,B,C2.7在AWSS3存储桶暴露事件中，可采取的自动化检测手段包括A.CloudTrail日志分析B.Macie敏感数据识别C.Config规则评估D.GuardDuty异常检测答案：A,B,C,D2.8关于内存安全语言，下列属于Rust所有权系统核心概念的是A.借用检查B.生命周期C.垃圾回收D.零成本抽象答案：A,B,D2.9以下哪些日志源可用于检测Kerberoasting攻击A.4768(TGT请求)B.4769(服务票据请求)C.4771(Kerberos预认证失败)D.4672(特殊权限登录)答案：B,C2.10在工业控制系统(ICS)中，Modbus协议安全加固措施包括A.启用TLS封装B.深度包检测白名单功能码C.禁用写单个寄存器(0x06)D.采用串口IP转换器默认配置答案：A,B,C3.填空题（每空1分，共20分）3.1在SHA256压缩函数中，单次消息调度共扩展为______轮，每轮使用______个消息字。答案：64,643.22024年IETF发布的RFC9484将______协议正式确立为DNSoverHTTPS的替代，称为DNSover______。答案：ObliviousDNSoverHTTPS(ODoH),ObliviousHTTPS3.3在WindowsDefenderCredentialGuard中，LSA隔离进程运行在新的虚拟化安全模式______中。答案：VSM3.4当利用ReturnorientedProgramming(ROP)绕过DEP时，攻击者需保证栈指针______对齐，否则在x64Windows会触发______异常。答案：16字节,STACK_MISALIGN3.5根据《关键信息基础设施安全保护条例》，运营者应当______年开展一次网络安全检测评估。答案：每年3.6在KubernetesRBAC中，ClusterRoleBinding作用域为______，而RoleBinding作用域为______。答案：整个集群,单个命名空间3.7量子密钥分发(QKD)中，BB84协议通过______原理检测窃听行为。答案：量子不可克隆+误码率3.82023年NIST发布的《网络安全框架2.0》新增的核心功能是______。答案：Govern3.9在ARMTrustZone技术中，安全世界运行级别被称为______，普通世界为______。答案：SecureWorld,NormalWorld3.10利用______指令可在x86平台读取硬件性能计数器，用于检测Spectre类攻击的缓存侧信道。答案：RDPMC4.判断改错题（每题2分，共10分，先判断对错，若错则给出正确表述）4.1AES256在量子Grover算法下安全级别降至128位，因此需要加倍密钥长度至512位才能恢复256位经典安全。答案：错。正确：Grover算法对n位密钥提供n/2安全级别，AES256降至128位量子安全，已足够，无需512位。4.2TLS1.3允许在握手完成前发送0RTT数据，其防重放机制完全依赖服务器端单次票证。答案：错。正确：0RTT重放防护需服务器端全局存储票证使用记录或采用Freshness校验，非单次票证即可。4.3在IPv6中，IPsec为强制实现，因此所有IPv6流量默认加密。答案：错。正确：IPv6协议栈强制实现IPsec能力，但默认不启用，仍需配置。4.4使用ChaCha20Poly1305比AESGCM在移动设备上性能更优，因为ChaCha20完全基于ARX操作，对硬件AES指令无依赖。答案：对。4.5依据GDPR第83条，最高罚款为2000万欧元或全球营业额2%，以较高者为准。答案：错。正确：最高罚款为2000万欧元或全球营业额4%，以较高者为准。5.简答题（封闭型，每题5分，共20分）5.1简述BGPsec协议相对传统BGP在路径验证方面的核心改进。答案：BGPsec通过为每个AS的宣告添加数字签名，形成签名链，确保ASPath不可篡改；接收方可逐级验证签名，防止前缀劫持与路径伪造。5.2概述Rust所有权系统如何防止“使用后释放”(UAF)漏洞。答案：Rust在编译期通过所有权、借用和生命周期规则，确保任何内存地址在超出作用域后立即释放，且编译器禁止出现悬垂引用，从而彻底消除UAF。5.3说明Kerberos协议中“预认证”(preauthentication)的作用及常见攻击绕过方式。答案：预认证防止离线暴力破解ASREP，客户端需用长期密钥加密时间戳；攻击者可请求禁用预认证的用户，抓取ASREP后离线破解。5.4列出NIST后量子密码标准化中KYBER与DILITHIUM分别对应的安全目标与底层困难问题。答案：KYBER为密钥封装机制，基于ModuleLWE问题，提供保密性；DILITHIUM为数字签名，基于ModuleLWE与ModuleSIS，提供认证与完整性。6.简答题（开放型，每题10分，共20分）6.1某大型云服务商计划在其虚拟化平台部署机密计算(ConfidentialComputing)，请从硬件可信执行环境(TEE)、远程证明、内存加密、侧信道缓解四个维度提出设计要点，并指出潜在限制。答案：硬件TEE可选IntelTDX或AMDSEVSNP，提供VM级隔离；远程证明通过SPDM/TPM2.0Quote+TDXQuote实现，验证初始度量与运行时；内存加密采用AES128XTS每VM密钥，防止冷启动；侧信道缓解需禁用超线程、限制缓存分区、启用CAT，并采用常数时间编程。限制：性能损耗530%，调试困难，TEE自身漏洞(如SEVSNP之前版本)可导致逃逸，远程证明依赖证书基础设施，若CA被攻破则信任链崩溃。6.2结合2024年“LLM供应链投毒”案例，说明如何在MLOps流水线中嵌入安全控制，覆盖数据、模型、基础设施三层。答案：数据层：采用数据签名+版本化，训练前进行对抗样本检测，使用差分隐私防止成员推理；模型层：实施可重现构建，模型哈希写入SBOM，通过模型卡(ModelCard)记录训练参数，上线前经对抗鲁棒性测试与红队评估；基础设施层：训练环境运行在锁定的Kubernetes集群，镜像采用最小化SBOM，CI/CD强制Sigstore签名，部署前通过AdmissionController校验签名与策略，运行时采用eBPF监控异常syscall，模型推理服务启用TLS1.3+双向认证，输出内容经二次过滤模型检测投毒痕迹。7.应用题（综合类，共40分）7.1网络流量分析（15分）给定pcap片段，攻击者IP5向受害者的445端口发送SMB2协议数据，TreeID=0x8F,ProcessID=0xFEFF,MultiplexID=0x0，后续创建文件“\.\C:\Windows\Temp\A.exe”。问题：(1)该流量符合哪类攻击特征？(2)给出两条Suricata/Snort检测规则。(3)若发现文件哈希匹配已知勒索软件，请列出应急响应五步。答案：(1)利用SMB2匿名写入进行勒索软件投放。(2)alertsmbanyany>any445(msg:"SMB2AnonymousWriteRansomwareDrop";flow:established,to_server;content:"|FE|SMB";content:"|0500|";offset:16;depth:2;content:"A.exe";nocase;classtype:trojanactivity;sid:1000001;)alertsmbanyany>any445(msg:"SMB2TreeConnectC$Write";flow:established,to_server;content:"|0900|";offset:16;depth:2;content:"C$";nocase;classtype:trojanactivity;sid:1000002;)(3)1.隔离主机：通过EDR立即隔离；2.快照保全：对VM做内存与磁盘快照；3.关闭共享：临时关闭全网SMB445入站；4.溯源：结合登录日志4678、流量回溯找到初始入口；5.恢复：从离线备份还原未被加密的文件，并部署补丁KB5027222。7.2密码学计算（10分）某系统采用Curve25519进行ECDH密钥交换，已知本地私钥d=0x6A2CB5E9A3…(32字节随机)，对方公钥Q=(x,y)坐标已验证在曲线。问题：(1)写出共享密钥K的数学表达式。(2)若后续使用ChaCha20Poly1305加密，Nonce长度为96位，求最大可加密单条消息的上限字节数，并说明原因。(3)若Nonce重复，给出攻击者恢复密钥流的精确步骤（已知两段密文C1,C2与对应明文P1首64字节）。答案：(1)K=d·Q的x坐标，按RFC7748进行clamping与X25519函数输出。(2)ChaCha20内部counter为32位，每64字节块递增，故最大消息长度为2^32×64=256GB。(3)攻击者计算C1⊕P1得到密钥流前64字节，再用该密钥流直接解密C2前64字节，无需密钥。7.3安全编程审计（15分）阅读以下简化Java代码：publicclassFileUpload{privatestaticfinalPatternEXT=Ppile("\\.(jpg|png)$",Pattern.CASE_INSENSITIVE);publicvoiddoPost(HttpServletRequestreq,HttpServletResponseresp){Partpart=req.getPart("file");Stringname=Paths.get(part.getSubmittedFileName()).getFileName().toString();if(!EXT.matcher(name).find()){resp.sendError(403);return;}Filetarget=newFile("/