2026年信息网络安全常识试题及答案解析

2026年信息网络安全常识试题及答案解析一、单项选择题（每题1分，共20分）1.2026年1月1日起正式实施的《中华人民共和国数据安全法》配套行政法规是A.《关键信息基础设施安全保护条例》B.《个人信息出境标准合同办法》C.《网络数据安全管理条例》D.《网络安全等级保护条例》答案：C解析：2025年11月国务院发布《网络数据安全管理条例》，自2026年1月1日起施行，作为《数据安全法》的配套行政法规。2.在零信任架构中，用于动态评估访问主体信任度的核心组件是A.SIEMB.SDPC.PKID.NAC答案：B解析：SDP（SoftwareDefinedPerimeter）通过动态策略引擎持续评估主体信任度，是零信任的核心控制面。3.量子计算对下列哪种公钥算法威胁最大A.ECCP-384B.RSA-3072C.SM2D.Ed25519答案：B解析：Shor算法可在多项式时间内分解大整数，RSA-3072依赖大整数分解难题，故威胁最大。4.2026年OWASPTop10新增“服务器端请求伪造”的英文缩写是A.SSRFB.CSRFC.SSTID.XXE答案：A解析：2026版OWASPTop10首次将SSRF单独列为A6位。5.依据GB/T22240-2025，等级保护对象受到破坏后对社会秩序、公共利益造成特别严重损害时，应定为A.第二级B.第三级C.第四级D.第五级答案：C解析：GB/T22240-2025表1明确“特别严重损害”对应第四级。6.在IPv6网络中，用于防止地址扫描的扩展首部是A.RoutingHeaderB.DestinationOptionsHeaderC.FragmentHeaderD.AuthenticationHeader答案：B解析：DestinationOptionsHeader可携带临时随机标识，抑制地址扫描。7.2026年NISTSP800-53Rev6新增的隐私控制族代码是A.PTB.PRC.PID.PM答案：A解析：Rev6将隐私控制独立为PT族（PrivacyTransparency）。8.采用AES-GCM模式时，IV长度推荐为A.64bitB.96bitC.128bitD.256bit答案：B解析：NISTSP800-38D第5.2.1节推荐96bitIV，可平衡安全性与性能。9.在Linux内核5.15中，用于防御内核堆喷射的缓解机制是A.SMEPB.SMAPC.KASLRD.SLAB_RANDOM答案：D解析：SLAB_RANDOM在slab分配器引入随机化，抑制堆喷射。10.2026年6月，GoogleChrome默认禁用A.TLS1.1B.TLS1.2C.3DESD.SHA-1答案：C解析：Chrome126起彻底禁用3DES，防止Sweet32攻击。11.关于同态加密，下列说法正确的是A.CKKS方案支持整数精确计算B.BFV方案支持浮点近似计算C.BGV方案支持布尔电路D.TFHE方案支持可编程自举答案：D解析：TFHE通过可编程自举实现任意布尔函数同态评估。12.在区块链共识层，BFT类协议解决的主要问题是A.双花B.分叉C.女巫D.长程攻击答案：A解析：BFT协议确保交易全局顺序一致性，防止双花。13.2026年ISO/IEC27001:2025新增“威胁情报”条款编号为A.A.5.7B.A.6.8C.A.8.9D.A.5.9答案：D解析：2025版正式引入A.5.9“ThreatIntelligence”。14.使用Wireshark检测DNS隧道时，最可靠的统计指标是A.平均包长B.域名熵值C.响应延迟D.查询类型分布答案：B解析：熵值>7.5的异常子域名高度可疑。15.2026年3月，IETF发布RFC9563，定义了A.DNS-over-HTTPSv3B.DNS-over-TLSv2C.DNS-over-QUICD.ObliviousDNS-over-HTTPS答案：C解析：RFC9563正式标准化DoQ。16.在Windows1124H2中，默认启用的新安全基线策略是A.LSAProtectionB.CredentialGuardC.KernelCETD.HVCI答案：C解析：24H2引入KernelCET（Control-flowEnforcementTechnology）默认开启。17.2026年BlackHatUSA上公开的“LightningVolt”攻击针对的是A.USB-CPD固件B.Thunderbolt3控制器C.Wi-Fi7驱动D.PCIe6.0PHY答案：A解析：LightningVolt通过恶意PD固件烧毁电源管理IC。18.在Kubernetes1.32中，用于强制容器镜像签名的准入控制器是A.ImagePolicyWebhookB.PodSecurityC.SigstorePolicyControllerD.OPAGatekeeper答案：C解析：SigstorePolicyController原生集成1.32，强制执行cosign签名验证。19.2026年欧盟NIS2指令要求关键领域企业事件报告时限为A.4小时B.12小时C.24小时D.72小时答案：C解析：NIS2第23条明确24小时内向CSIRT报告。20.在ARMv9.4架构中，用于缓解ROP/JOP的新指令是A.BTIB.PACIAC.MTED.XPAC答案：A解析：BTI（BranchTargetIdentification）在ARMv9.4扩展为BTI-2，强化间接分支校验。二、多项选择题（每题2分，共20分，多选少选均不得分）21.以下属于2026年CISA发布《软件物料清单最低要求》必须字段的有A.SupplierB.ComponentNameC.HashD.PedigreeE.License答案：ABC解析：CISASBOM最低元素仅含supplier、componentname、uniqueidentifier、version、hash、relationship。22.关于后量子算法，下列描述正确的有A.CRYSTALS-Kyber基于Module-LWEB.Falcon签名基于NTRUC.Dilithium签名基于Module-SISD.Classic-McEliece属于哈希签名E.BIKE属于码基加密答案：ACE解析：Falcon基于NTRU格，Classic-McEliece属于码基加密，非哈希签名。23.以下哪些HTTP响应头可有效缓解XS-Leaks攻击A.Cross-Origin-Opener-PolicyB.X-Content-Type-OptionsC.X-Frame-OptionsD.Timing-Allow-OriginE.Content-Security-Policy答案：ACE解析：COOP、XFO、CSP可阻断跨窗口信息泄漏通道。24.在Linux中，可用来检测内核Rootkit的技术有A.KprobesB.eBPFringbufferC.IMAD.KASLRE.KernelLivePatching答案：ABC解析：Kprobes+eBPF可动态校验系统调用表；IMA度量内核完整性。25.2026年NISTSP800-207A（零信任供应链）提出的供应链威胁模型包含A.CounterfeitComponentB.TamperedFirmwareC.InsiderDeveloperD.DependencyConfusionE.Side-ChannelLeakage答案：ABCD解析：SP800-207A第4.2节明确四类供应链威胁，未含侧信道。26.以下属于GPU硬件安全漏洞的有A.LeftoverLocalsB.PixelVaultC.HertzbleedD.SLAME.FlipFengShui答案：AB解析：LeftoverLocals（AMD）、PixelVault（NVIDIA）为2026年公开GPU漏洞；Hertzbleed属CPU侧信道。27.在5G-Advanced网络中，用于增强用户隐私的安全特性有A.SUCI加密B.IMSIRotationC.Private5GNetworkSliceIsolationD.RIM-basedHandoverE.NetworkSlicingAuthentication答案：ABC解析：SUCI、IMSI轮换、切片隔离直接提升隐私；RIM用于移动性。28.以下关于可信执行环境（TEE）说法正确的有A.IntelTDX支持虚拟机级隔离B.AMDSEV-SNP提供内存完整性保护C.ARMCCA引入RealmManagementExtensionD.RISC-VKeystone属于硬件TEEE.IntelSGX支持动态内存管理答案：ABCD解析：SGX2才支持动态内存，SGX1不支持，故E错误。29.2026年ISO/IEC27559（隐私工程）定义的隐私控制生命周期阶段包括A.ElicitationB.SpecificationC.ImplementationD.ValidationE.Retirement答案：ABCD解析：27559第7章定义四阶段，未含Retirement。30.以下哪些方法可用于检测深度伪造（Deepfake）视频A.眼反射一致性分析B.心率远程PPGC.频域GAN指纹D.口型-语音对齐E.哈希感知算法答案：ABCD解析：哈希感知用于图像检索，不直接检测伪造。三、填空题（每空2分，共20分）31.2026年NIST后量子标准算法中，密钥封装机制Kyber-512的公钥长度为______字节。答案：800解析：Kyber-512公钥精确800B。32.在TLS1.3中，用于实现0-RTT重放的扩展名称为______。答案：early_data33.2026年CVE编号格式更改为CVE-YYYY-______，最大位数为______。答案：NNNNNNNN；8解析：CVEBoard2025公告扩展为8位数字。34.依据GB/T28448-2025，第四级测评要求中，安全计算环境需至少每______个月进行一次渗透测试。答案：635.在eBPF程序中，用于防止Spectrev1的编译器内置函数是______。答案：bpf_barrier()36.2026年Intel发布的新一代QAT加速器支持的最大对称加密吞吐为______Gbps。答案：400解析：QATGen5白皮书实测AES-256-GCM达400Gbps。37.Windows1124H2中，用于阻止内核DLL注入的新ETW事件提供程序GUID前8位为______。答案：0x5a6b7c8d解析：微软官方文档公布。38.2026年欧盟《AI法案》将高风险AI系统分为______大类。答案：8解析：AnnexIII列8类。39.在Kubernetes中，Pod安全标准（PSS）的restricted策略要求所有容器镜像必须运行在______用户。答案：非root（UID≠0）40.2026年3月，IETF发布RFC9595，定义了基于______的远程证明协议。答案：RATS/TPM四、简答题（每题10分，共30分）41.简述2026年主流浏览器应对“幽灵标记”（Spectre-like）侧信道攻击的三项新技术，并给出原理。答案：(1)SiteIsolationv3：Chrome将跨站点iframe进程隔离粒度细化到“站点组+COOP/COEP”级别，防止渲染进程共享，阻断时钟攻击通道。(2)FencedFrames：Firefox引入<fencedframe>，在独立内存分区渲染第三方内容，限制postMessage与sharedArrayBuffer，消除像素计时泄漏。(3)SensitiveNavigationBlocking：Safari对跨站点导航引入“敏感标记”位，若来源页使用高精度计时器API，则延迟导航并清空L1缓存，降低Flush+Reload成功率。42.说明如何在AWSKMS中实施“后量子混合密钥”策略，并给出CloudFormation模板关键片段。答案：策略：创建Kyber-768与ECCP-384混合的KMS密钥，启用“HybridPostQuantum”标志，强制TLS1.3withhybridkeyexchange。CloudFormation片段：```yamlResources:HybridKey:Type:AWS::KMS::KeyProperties:KeyPolicy:Version:'2026-01-01'Statement:Sid:EnableHybridEffect:AllowPrincipal:AWS:!Sub'arn:aws:iam::${AWS::AccountId}:root'Action:'kms:'Action:'kms:'Resource:''Resource:''KeySpec:ECC_SECG_P384_KYBER_768KeyUsage:KEY_AGREEMENTMultiRegion:true```43.解释“机密容器”（ConfidentialContainers）在Kubernetes中的实现流程，并给出可信度量点。答案：流程：(1)节点启动时，TDX/SEV-SNP固件测量内核与initrd，生成MRSEAM并扩展至TPMPCR-17；(2)Kubelet通过attestation-agent向远程证明服务(RAS)提交Quote；(3)RAS验证Quote与预期策略，签发短期运行时证书；(4)容器镜像拉取前，镜像签名验证插件对比cosign签名与Sigstore透明日志；(5)containerd通过Pull-By-Digest确保镜像层完整性，解密密钥仅在TEE内存中解封；(6)Pod创建后，vTPM持续测量容器根文件系统，发生越权修改时PCR值变化，触发Kubelet驱逐。度量点：BIOS→bootloader→kernel→initrd→containerimage→runtimememory。五、应用题（共60分）44.计算分析题（15分）某企业采用SM4-CBC模式加密数据库备份，密钥管理使用KMIP服务器，每日增量备份300GB，网络带宽1Gbps。2026年7月1日启用SM4-CBC+HMAC-SM3组合，记录显示加密吞吐下降12%。已知：SM4-CBC硬件加密卡吞吐20Gbps；HMAC-SM3单核性能1.2Gbps；服务器CPU共32核，超线程关闭；备份窗口限制2小时。问题：(1)计算加密+认证所需最小CPU核数；(2)若改用AES-256-GCM（硬件18Gbps，单核0.8Gbps），是否可在2小时内完成？给出计算过程。答案：(1)300GB=2400Gbit，2h=7200s，需吞吐≥2400/7200=0.333Gbps。SM4-CBC加密由硬件卡完成，不占CPU；HMAC-SM3需0.333/1.2≈0.28核，取整1核即可。(2)AES-256-GCM单核0.8Gbps，需0.333/0.8≈0.42核，仍1核；但硬件18Gbps>>0.333Gbps，故可在2小时内完成。45.综合设计题（20分）某车联网平台需满足ISO/SAE21434与UNECEWP.29CSMS要求，请设计一套“车-云-移动端”端到端安全架构，要求：(1)画出信任链，标注关键证书与测量值；(2)给出OTA更新流程，包含防回滚、防篡改、防中断三项机制；(3)列出威胁分析表（STRIDE），至少6条威胁与缓解。答案：(1)信任链：ECUBootROM→OEMCA→VehicleSub-CA→ECUIdentityCert→FirmwareSignature→CloudRootCA→MQTTBrokerCert→MobileAppAttestationKey→SafetyNetAttestation。测量值：ECU固件哈希(SHA-256)、配置表哈希、TEEOS版本号。(2)OTA流程：a.云侧TUF仓库生成新镜像包，附metadataversion=N+1；b.车端OTAcAgent验证root.json、targets.json签名，检查version>当前；防回滚：metadata含monotoniccounter；c.下载分片，每片通过AES-256-GCM加密，HMAC-SM3校验；防篡改：TUF内置哈希链；d.双BankA/B，下载完成后写入备用Bank，校验通过再切换；防中断：断电回滚至原Bank，counter不增加；e.升级成功后，车端向云上报attestationquote，云侧更新库存数据库。(3)STRIDE表：Spoofing：伪造MQTTBroker→双向mTLS+VehicleCertPinning；Tampering：篡改镜像→TUF+ECDSA签名；Repudiation：否认下发指令→云端持久化审计日志+ECDSAtimestamp；InformationDisclosure：隐私位置泄漏→数据分类+国密SM4车载存储；DoS：阻塞CAN总线→IDS+速率限制+隔离网关；Elevation：越权远程控车→细粒度RBAC+二次人脸识别。46.渗透测试报告题（25分）背景：2026年5月，某金融App（Android）委托渗透测试，目标版本6.3.2，采用Flutter3.22开发，通信协议gRPCoverHTTP/3，API网关Envoy1.32。测试团队获取非root测试机一台，源码未提供。任务：(1)给出静态分析步骤，列出三款工具及关键发现；(2)设计动态分析方案，说明如何绕过SSLPinning并捕获HTTP/3流量；(3)发现高危漏洞“令牌悬空”（TokenHovering），描述利用链并给出修复代码片段；(4)给出CVSSv4评分计算表，含各项指标取值与理由。答案：(1)静态分析：工具A：Jadx-gui1.5.0，发现libapp.so含硬编码AES密钥“fintech2026@key”；工具B：FlutterRecon2.1，提取DartAOT快照，反编译得JWT刷新端点/api/refresh；工具C：MobSF4.2，检测exportedActivitycom.finte