计算机三级信息安全技术测试题含答案

计算机三级信息安全技术测试题含答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，错选、多选、未选均不得分）1.在《信息安全等级保护基本要求》中，第三级系统应至少每多久开展一次等级测评？A.半年  B.一年  C.两年  D.三年答案：B解析：根据GB/T2223920198.2.3条款，三级系统应“每年至少进行一次等级测评”。2.下列哪一项最能体现“最小权限”原则在操作系统中的具体实现？A.为所有用户分配Administrator角色B.将普通用户加入PowerUsers组C.使用RBAC模型仅授予完成任务所需的最小角色集合D.开启所有服务的默认共享答案：C解析：RBAC（RoleBasedAccessControl）通过角色与权限绑定，可精确到最小集合，是最小权限原则的典型落地。3.在SSL/TLS握手阶段，客户端首次发送的报文是：A.ClientHello  B.ServerHello  C.Certificate  D.Finished答案：A解析：TLS1.3草案RFC84464.1.2明确规定，客户端首先发送ClientHello。4.关于SM4分组密码，下列说法错误的是：A.分组长度128bit  B.密钥长度128bit  C.轮数为32轮  D.采用Feistel结构答案：D解析：SM4为SPN（SubstitutionPermutationNetwork）结构，非Feistel。5.在Windows日志取证中，事件ID4624表示：A.账户登录失败  B.账户成功登录  C.账户被锁定  D.特权提升答案：B解析：Windows安全日志4624为“成功登录”事件。6.以下哪条命令可直接查看Linux系统当前已加载的LKM模块？A.lsmod  B.lsusb  C.lspci  D.modprobel答案：A解析：lsmod读取/proc/modules，显示已加载内核模块。7.关于CVE202144228（Log4Shell）漏洞，攻击者利用的核心机制是：A.SQL注入  B.JNDI注入  C.XSS  D.SSRF答案：B解析：Log4j2在处理${jndi:ldap://}模板时触发JNDI查询，导致远程代码执行。8.在等级保护2.0安全扩展要求中，云计算扩展要求对“镜像加固”属于哪一类？A.安全物理环境  B.安全通信网络  C.安全计算环境  D.安全管理中心答案：C解析：镜像运行态属于计算环境，对应安全计算环境类。9.使用nmap进行SYN扫描时，参数组合正确的是：A.nmapsT  B.nmapsS  C.nmapsF  D.nmapsX答案：B解析：sS为半开SYN扫描，默认需root权限。10.在PKI体系中，负责发布证书撤销列表的实体是：A.RA  B.CA  C.OCSPResponder  D.LDAP目录服务器答案：B解析：CA签发并定期发布CRL，RA仅负责身份审核。11.关于GDPR，数据主体“被遗忘权”对应条款是：A.Article5  B.Article13  C.Article17  D.Article30答案：C解析：Article17Righttoerasure(‘righttobeforgotten’)。12.以下哪种算法被我国商用密码管理条例明确列为“核心密码”禁止出口？A.SM1  B.SM2  C.SM3  D.SM9答案：A解析：SM1算法未公开，属核心密码，受出口管制。13.在Linux审计子系统中，auditd默认规则文件路径为：A./etc/audit/audit.rules  B./etc/auditd.conf  C./var/log/audit/audit.log  D./etc/sysconfig/audit答案：A解析：/etc/audit/audit.rules为规则持久化文件。14.关于零信任架构，下列哪项不属于NISTSP800207提出的核心原则？A.永不信任，持续验证  B.以网络边界为信任基础  C.动态授权  D.最小权限答案：B解析：零信任摒弃传统边界信任模型。15.在数据库安全中，以下哪项技术可防止DBA通过操作系统文件直接读取敏感表数据？A.列级权限  B.TDE（透明加密）  C.视图  D.行级策略RLS答案：B解析：TDE在页级加密，即使DBA复制数据文件也无法解密。16.使用Wireshark过滤TLS1.3握手流量，正确的显示过滤器是：A.tls.handshake.type==1  B.ssl.handshake.type==1  C.tls.handshake.type==2  D.tcp.port==443答案：A解析：TLS1.3仍使用Handshake协议，ClientHello类型值为1。17.在AndroidAPK逆向中，可查看签名字段的文件是：A.classes.dex  B.AndroidManifest.xml  C.METAINF/.RSA  D.resources.arsc答案：C解析：METAINF目录保存签名块，.RSA为PKCS7签名数据。18.关于IPv6安全，以下哪项扩展头可被用于绕过传统ACL？A.路由头（RoutingHeader）  B.目的选项头  C.分段头  D.认证头答案：A解析：Type0RoutingHeader曾被用于流量放大与绕过，RFC5095已弃用。19.在容器安全中，以下哪项配置可阻止容器获取新的特权？A.capadd=SYS_ADMIN  B.securityopt=nonewprivileges  C.privileged  D.userns=host答案：B解析：nonewprivileges为Docker安全选项，禁止进程通过execve提升权限。20.关于国密SSL套件，下列哪个CipherSuite使用SM2密钥交换？A.ECC_SM4_CBC_SM3  B.ECDHE_SM4_CBC_SM3  C.SM2_SM4_CBC_SM3  D.RSA_SM4_CBC_SM3答案：C解析：国密SSL套件中SM2_SM4_CBC_SM3表示SM2做密钥交换，SM4加密，SM3哈希。21.在Windows利用缓解中，可阻止ROP攻击的技术是：A.DEP  B.ASLR  C.CFG  D.SafeSEH答案：C解析：CFG（ControlFlowGuard）在编译期插入校验，阻断非法转移。22.以下哪项不是软件安全成熟度模型BSIMM的活动？A.安全代码审查  B.渗透测试  C.威胁建模  D.安全运维红队答案：D解析：BSIMM聚焦开发安全，红队活动归属运维阶段。23.在Linux下，使用哪条命令可查看进程capability位图？A.pseopid,cmd  B.getcap  C.cat/proc/PID/status|grepCap  D.lsof答案：C解析：/proc/PID/status中CapEff、CapPrm等字段显示能力。24.关于DNSSEC，DS记录存储在：A.根区文件  B.父区  C.子区  D.缓存服务器答案：B解析：DS记录由父域签发，用于验证子域DNSKEY。25.以下哪项不是恶意软件常用反调试技术？A.IsDebuggerPresent  B.RDTSC时差检测  C.SEH链篡改  D.MOVS指令答案：D解析：MOVS为普通数据移动指令，与反调试无关。26.在OWASPTop102021中，哪一项为新上榜？A.注入  B.失效的访问控制  C.不安全的设计  D.敏感数据暴露答案：C解析：不安全的设计（InsecureDesign）为2021版新增。27.关于国密SM9标识密码，下列说法正确的是：A.基于椭圆曲线离散对数  B.需数字证书  C.密钥生成中心KGC无需保密主密钥  D.仅支持加密答案：A解析：SM9基于双线性对下的椭圆曲线难题，无需传统证书。28.在云平台责任共担模型中，租户负责：A.虚拟化层补丁  B.物理主机固件  C.对象存储数据加密  D.网络虚拟化设备答案：C解析：数据属租户，加密密钥由租户管控。29.使用BurpSuite进行主动扫描时，哪项配置可显著降低误报？A.关闭被动扫描  B.使用Throttled扫描线程  C.开启Livescanning  D.关闭Cookiejar答案：B解析：降低并发可减少时间竞争类误报。30.在Linux内核漏洞提权中，以下哪项利用方式与“脏牛”无关？A.写时复制竞态  B./proc/self/mem写入  C.零页映射  D.用户空间FUSE触发答案：C解析：零页映射为CVE20181000001，与脏牛CVE20165195不同。二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于等级保护2.0安全区域边界要求的“边界完整性检查”措施？A.禁止私接WiFi热点检测  B.非授权外联监控  C.802.1X准入  D.非法外设USB阻断答案：A、B解析：边界完整性聚焦网络边界，USB属计算环境。32.关于TLS1.3与1.2差异，正确的是：A.移除RSA密钥交换  B.握手默认加密  C.支持0RTT  D.保留压缩算法答案：A、B、C解析：TLS1.3彻底移除压缩，防止CRIME。33.以下哪些工具可用于固件提取？A.Binwalk  B.UBootmkimage  C.JTAGulator  D.UART转串口答案：A、C、D解析：mkimage为打包工具，不用于提取。34.在AndroidSELinux中，以下哪些客体类型可被普通应用写入？A.app_data_file  B.system_data_file  C.sysfs  D.sdcardfs答案：A、D解析：system_data_file仅system_app可写，sysfs受限。35.关于云原生安全，以下哪些属于“镜像供应链”安全措施？A.镜像签名（Notary）  B.镜像漏洞扫描（Clair） C.容器运行时沙箱（gVisor） D.SBOM生成答案：A、B、D解析：gVisor属运行时隔离，非供应链。36.以下哪些攻击可导致DNS缓存投毒？A.Kaminsky攻击  B.生日攻击  C.碎片攻击  D.本地递归劫持答案：A、B、D解析：碎片攻击用于绕过IDS，与投毒无直接关联。37.关于国密SM2数字签名，以下哪些参数需在签名前计算？A.椭圆曲线基点G  B.用户私钥d  C.消息杂凑值e  D.随机数k答案：B、C、D解析：G为系统参数，非每次计算。38.以下哪些日志源可用于Windows横向移动检测？A.事件ID4672（特殊登录）  B.事件ID4768（KerberosTGT请求）  C.事件ID4769（Kerberos服务票据）  D.事件ID4624（登录成功）答案：A、B、C解析：4624数量大，需结合4672、4768/4769筛选异常。39.关于硬件安全模块HSM，以下哪些功能正确？A.密钥托管  B.真随机数生成  C.大容量数据存储  D.加密算法加速答案：A、B、D解析：HSM不用于大容量存储。40.以下哪些属于软件安全测试中的“灰盒”方法？A.源代码静态分析  B.接口fuzzing基于API文档  C.逆向调试闭源程序  D.威胁建模答案：B、D解析：灰盒指部分知识，A为白盒，C为黑盒。三、判断题（每题1分，共10分。正确打“√”，错误打“×”）41.SM3杂凑算法输出长度为256bit。答案：√解析：GM/T00042012明确规定输出256bit。42.Windows1020H1开始，CFG默认对所有系统DLL启用。答案：√解析：微软官方文档确认系统组件默认开启CFG。43.在Linux中，若进程具有CAP_SYS_MODULE，则无需root即可卸载任意模块。答案：√解析：CAP_SYS_MODULE允许init_module、delete_module。44.TLS1.3的0RTT模式可完全防止重放攻击。答案：×解析：0RTT存在重放风险，需服务器端额外机制。45.AndroidVerifiedBoot2.0使用dmverity哈希树，哈希算法仅支持SHA1。答案：×解析：AVB支持SHA256/512。46.在PKCS1v1.5填充中，若明文长度等于模长，仍可安全加密。答案：×解析：需至少11字节填充，否则无法加密。47.国密SM9标识密码的密钥escrow特性可实现监管解密。答案：√解析：KGC掌握主私钥，可恢复用户私钥。48.使用iptablesAINPUTptcpdport22jDROP将立即阻断所有已建立的SSH连接。答案：×解析：DROP仅影响新建连接，已建立连接属ESTABLISHED。49.在云计算中，若CSP提供硬件级SGXenclave，租户代码漏洞仍可导致侧信道泄露。答案：√解析：SGX无法防御软件层侧信道如Prime+Probe。50.Wireshark支持对ESP加密流量直接解析出原始HTTP报文。答案：×解析：需事先配置SPI与密钥。四、填空题（每空2分，共20分）51.在Linux能力模型中，允许绕过文件读权限检查的能力位是________。答案：CAP_DAC_READ_SEARCH解析：该能力可绕过文件读权限及目录搜索限制。52.国密SM2签名算法中，随机数k必须满足1＜k＜________。答案：n（椭圆曲线阶）解析：GM/T0003.220126.2条款。53.Windows事件ID________表示Kerberos预认证失败，常用于爆破检测。答案：4771解析：4771记录预认证失败，源IP字段利于溯源。54.在TLS1.3中，用于导出会话密钥的函数称为________。答案：HKDF解析：RFC84467.1规定使用HKDFExpandLabel。55.在AndroidSELinux策略中，允许域transition的语句关键字是________。答案：allow解析：allowsource_typetarget_type:classpermission;56.在等级保护2.0中，三级系统应对重要数据实现________级备份。答案：异地解析：GB/T222392019要求异地备份。57.使用OpenSSL验证证书链时，需指定________文件以构建信任锚。答案：CAfile或CApath解析：CAfile或CApath参数。58.在IPv6中，用于发现重复地址的报文类型是________。答案：NeighborSolicitation解析：RFC48614.3定义DAD机制。59.在容器seccomp中，默认过滤策略为________（strict/errno/trace）。答案：errno解析：Docker默认seccomp采用errno动作。60.在密码学中，将短密钥扩展为长密钥的函数称为________函数。答案：KDF（KeyDerivationFunction）解析：如PBKDF2、scrypt、HKDF。五、简答题（每题10分，共30分）61.描述Windows环境下利用“令牌窃取”实现本地提权的完整步骤，并给出防御建议。答案：步骤：1）通过漏洞（如内核漏洞或配置错误）获取SYSTEM进程句柄；2）调用OpenProcessToken打开SYSTEM进程令牌，获得TOKEN_ALL_ACCESS；3）利用ImpersonateLoggedOnUser或SetThreadToken将当前线程令牌替换为SYSTEM；4）创建新进程（CreateProcessAsUser）继承SYSTEM权限，完成提权。防御：1）及时安装补丁，阻断内核漏洞；2）启用CredentialGuard隔离LSASS；3）配置UAC为“始终通知”，限制管理员自动提权；4）使用MIC（MandatoryIntegrityControl）降低非必要进程完整性级别；5）启用WDAC或AppLocker限制不可信程序执行。62.说明SM2与ECDSA在签名验证流程上的三点主要差异，并指出哪一方计算量更大。答案：差异：1）SM2签名引入用户标识杂凑值ZA，ECDSA无此步骤；2）SM2验证时需重新计算ZA与消息拼接杂凑，ECDSA仅对消息哈希；3）SM2签名方程为s=(k+r·d)/(1+d)modn，ECDSA为s=(k^1)(hash+r·d)modn，结构不同；4）SM2签名过程需两次点乘，验证需一次点乘，ECDSA验证需两次点乘。计算量：验证方SM2比ECDSA少一次点乘，故SM2验证方计算量更小。63.给出一种基于eBPF的容器逃逸检测方案，要求包括探针部署、事件采集、告警规则。答案：探针：编写eBPF程序挂载sys_ptrace、sys_write、sys_mount、cap_capable等内核跟踪点；采集：通过perfeventringbuffer将进程pid、comm、容器ID、系统调用参数、capability位图发送到用户态代理；规则：1）容器内进程调用ptrace附加到宿主机init进程，告警“容器进程跨命名空间ptrace”；2）容器内调用mount挂载宿主机/目录，告警“敏感挂载逃逸”；3）容器内进程获得CAP_SYS_ADMIN且调用setns进入宿主机net命名空间，告警“命名空间逃逸”；4）联动：代理将告警通过gRPC推送至Falco或SIEM，自动触发容器隔离网络策略。六、综合应用题（共40分）64.背景：某三级等保单位计划上线一套基于微服务的云原生业务系统，技术栈包括Kubernetes1.25、Istio1.16、PostgreSQL14、Redis7、MinIO对象存储。请依据等级保护2.0及关基保护要求，完成下列任务：（1）绘制安全域划分图，标明控制平面、业务平面、管理平面、存储平面的边界与隔离措施；（10分）（2）给出容器镜像供应链安全加固清单，不少于8项；（10分）（3）设计一套运行时入侵检测与响应闭环流程，要求覆盖威胁发现、告警分级、自动响应、溯源取证四个环节；（10分）（4）若数据库需使用国密算法，给出PostgreSQL透明加密（TDE）与国密SM4的集成方案，说明密钥管理流程；（10分）答案：（1）图略（文字描述）：控制平面：Kubernetesmaster、etcd、Istio控制面单独VPC，网络策略仅允许6443、2379、15012端口；业务平面：工作节点位于不同子网，通过CalicoNetworkPolicy实现东西向零信任，默认拒绝所有，按需开放Label级别；管理平面：堡垒机、日志审计、监控Prometheus位于独立DMZ，通过VPN+JIT凭据登录；存储平面：MinIO、RDS、Redis位于内网存储区，通过PrivateLink暴露S3与PostgreSQL只读端点，启用TLS双向认证。（2）供应链清单：