2025年网络信息安全常识问答试题及答案解析

2025年网络信息安全常识问答试题及答案解析1.单项选择题（每题1分，共20分。每题只有一个正确答案，错选、多选均不得分）1.12025年1月1日起正式施行的《中华人民共和国数据安全法》配套行政法规是A.《关键信息基础设施安全保护条例》B.《个人信息出境标准合同办法》C.《网络数据安全管理条例》D.《网络安全等级保护条例》答案：C解析：2024年11月国务院发布《网络数据安全管理条例》，自2025年1月1日起施行，与《数据安全法》配套。1.2在零信任架构中，首次访问请求必须通过的组件是A.SIEMB.SDP控制器C.堡垒机D.防火墙答案：B解析：SDP（SoftwareDefinedPerimeter）控制器负责动态身份验证与授权，是零信任“先验证、后连接”的核心。1.32025年主流浏览器已强制废弃的哈希签名算法是A.SHA256B.SHA3C.SHA1D.SM3答案：C解析：Chrome、Edge、Firefox在2025年Q1彻底移除SHA1TLS证书支持。1.4针对AI训练数据的“模型反演”攻击主要威胁A.模型可用性B.模型完整性C.训练数据隐私D.模型可解释性答案：C解析：攻击者通过模型输出逆向推断原始训练样本，造成隐私泄露。1.52025年国密算法在TLS1.3中的套件编号前缀为A.0x13,0x01B.0x00,0xC0C.0xE0,0x01D.0x13,0xFC答案：D解析：IETF预留0x13FC段给SM2/SM3/SM4国密套件。1.6在KubernetesRBAC中，能够跨命名空间授权的资源对象是A.RoleB.ClusterRoleC.RoleBindingD.ServiceAccount答案：B解析：ClusterRole集群级授权，可绑定到ClusterRoleBinding实现跨命名空间权限。1.72025年欧盟《NIS2指令》将数字服务提供商最低安全事件报告时限缩短至A.4小时B.12小时C.24小时D.72小时答案：C解析：NIS2将重大事件报告时限从72小时压缩到24小时。1.8侧信道攻击中，利用CPU缓存时序差异的典型方法是A.RowhammerB.SpectreC.Prime+ProbeD.Meltdown答案：C解析：Prime+Probe通过监控缓存组占用情况推断密钥。1.92025年工信部对App“超范围收集个人信息”的罚款上限为A.100万元B.500万元C.5000万元D.上一年度营业额5%答案：D解析：《工业和信息化行政处罚裁量基准（2025）》明确情节特别严重的，可处上一年度营业额5%罚款。1.10在DevSecOps流水线中，用于检测容器镜像漏洞的扫描工具是A.SonarQubeB.DependencyTrackC.TrivyD.Checkmarx答案：C解析：Trivy专为容器镜像和文件系统漏洞扫描设计。1.112025年国内首个通过EAL5+认证的商用操作系统是A.银河麒麟V10B.统信UOS1050C.中科方德V5D.深度Deepin23答案：B解析：统信UOS1050于2024年12月通过中国信息安全认证中心EAL5+。1.12量子密钥分发（QKD）中，用于检测窃听者的协议步骤是A.基比对B.纠错C.隐私放大D.认证答案：A解析：基比对后计算误码率，超过阈值即判定存在窃听。1.132025年主流勒索病毒“BlackCat”使用的加密策略是A.仅对称加密B.仅非对称加密C.混合加密（AES+RSA）D.国密SM4答案：C解析：BlackCat先由RSA公钥加密随机AES密钥，再用AES加密文件。1.14在Windows1124H2中，默认禁用且无法手动开启的遗留协议是A.SMB1B.LLMNRC.NetBIOSD.WINS答案：A解析：24H2彻底移除SMB1驱动，无法通过注册表恢复。1.152025年国内车联网安全漏洞平台“CAVD”归属单位是A.国家互联网应急中心B.工信部装备工业发展中心C.中国汽车工程研究院D.国家信息安全漏洞共享平台答案：B解析：CAVD由工信部装备工业发展中心运营。1.16针对大语言模型的“提示注入”攻击主要破坏A.机密性B.完整性C.可用性D.不可否认性答案：B解析：攻击者通过恶意提示篡改模型输出，破坏结果完整性。1.172025年新版《网络安全等级保护测评指南》将“云等保”测评对象扩展至A.虚拟化层B.容器编排层C.Serverless函数D.以上全部答案：D解析：2025版明确将虚拟化、容器、Serverless纳入测评范围。1.18在5GSA网络中，用于隐藏用户永久标识的临时标识是A.TMSIB.GUTIC.SUCID.5GTMSI答案：C解析：SUCI（SubscriptionConcealedIdentifier）对SUPI加密，防止空口泄露。1.192025年OpenSSF推出的“SLSAv1.0”中，最高等级要求A.可重复构建B.隔离构建环境C.硬件密钥签名D.以上全部答案：D解析：SLSAL4要求可重复、隔离、硬件密钥、双因子审批。1.202025年国内首次以“非法控制计算机信息系统罪”判处AI模型劫持的案件中，被告人通过何种方式控制云端推理节点A.供应链投毒B.模型权重投毒C.容器逃逸D.API密钥泄露答案：C解析：被告人利用nvidiacontainertoolkit漏洞实现容器逃逸，控制GPU节点。2.多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）2.1以下哪些属于2025年工信部定义的“重要数据”A.100万以上个人信息B.10万条敏感个人信息C.国家经济运行统计数据D.企业公开年报答案：A、B、C解析：公开年报不属于重要数据。2.2对抗样本防御技术包括A.随机化输入变换B.梯度掩蔽C.对抗训练D.模型蒸馏答案：A、C、D解析：梯度掩蔽属于被动隐藏，非真正防御。2.32025年新版《个人信息保护法》执法细则增加的敏感个人信息场景有A.网约车行程轨迹B.网络购物记录C.生物识别数据D.14岁以下未成年人信息答案：A、C、D解析：购物记录不属于新增敏感场景。2.4以下哪些协议支持前向保密（PFS）A.TLS1.2ECDHEB.TLS1.3C.IPSecIKEv1主模式D.SSH2答案：A、B、D解析：IKEv1主模式不支持PFS。2.52025年主流云厂商提供的“机密计算”硬件扩展包括A.IntelTDXB.AMDSEVSNPC.AWSNitroEnclavesD.ARMCCA答案：A、B、C、D解析：均为2025年已规模商用的TEE技术。2.6以下哪些属于《关基保护要求》2025版提出的“主动防御”措施A.威胁狩猎B.蜜罐诱捕C.攻击面收敛D.红蓝对抗答案：A、B、D解析：攻击面收敛属于收缩措施，非主动防御。2.72025年国内已商用的抗量子密码算法标准包括A.NTRUB.SM9（标识密码）C.LAC（公钥加密）D.Kyber答案：B、C解析：SM9与LAC已纳入国密体系，Kyber尚未国内商用。2.8以下哪些操作会触发Windows1124H2的“内核直接访问保护”蓝屏A.未签名驱动加载B.修改CR4寄存器SMEP位C.用户态映射内核内存D.调用NtQuerySystemInformation答案：A、B、C解析：NtQuerySystemInformation为合法API。2.92025年车联网安全检测要求中，必须满足的“安全启动链”环节包括A.BootROMB.SPLC.UEFID.LinuxKernel答案：A、B、C、D解析：全链路签名验证。2.10以下哪些属于2025年OWASPTop10forLLM新增风险A.训练数据poisoningB.模型拒绝服务C.供应链漏洞D.过度代理答案：A、B、D解析：供应链漏洞为传统风险，非新增。3.填空题（每空1分，共20分）3.12025年国内《数据出境安全评估办法》规定，处理________万以上个人信息的数据处理者向境外提供数据，必须申报安全评估。答案：1003.2在TLS1.3中，用于完成密钥协商的扩展消息类型为________。答案：KeyShare3.32025年IntelCPU采用的硬件随机数生成器英文名缩写为________。答案：DRNG（DigitalRandomNumberGenerator）3.42025年国密SM2签名算法使用的椭圆曲线名称为________。答案：SM2P256V13.5Kubernetes中，用于限制容器CPU最大使用量的字段为________。答案：limits.cpu3.62025年欧盟《AI法案》将“生物识别实时监控系统”划入________风险等级。答案：高3.72025年主流勒索病毒“LockBit4.0”采用________语言编写核心加密模块以提高跨平台性。答案：Rust3.8在量子计算中，破解RSA2044所需物理量子比特数估计约为________万个（误差±10%）。答案：23.92025年国内首个通过CCEAL6+认证的SE（安全芯片）型号为________。答案：THD893.10Windows1124H2默认启用的新内核隔离特性英文缩写为________。答案：VBS（VirtualizationBasedSecurity）3.112025年国内《关基保护要求》规定，关键基础设施运营者每年至少开展________次实战攻防演练。答案：13.122025年OpenSSFScorecard满分________分。答案：103.132025年国内《个人信息保护法》规定，处理敏感个人信息须取得________同意。答案：单独3.142025年国密SM4算法分组长度为________位。答案：1283.152025年主流云厂商提供的“机密容器”运行时名称为________。答案：Occlum3.162025年国内《网络安全等级保护测评指南》将“云计算扩展要求”测评对象分为________层。答案：三（IaaS、PaaS、SaaS）3.172025年国内《数据安全法》规定，国家建立________数据分类分级保护制度。答案：核心3.182025年主流浏览器已默认阻止的第三方跟踪技术英文缩写为________。答案：3PC（ThirdPartyCookies）3.192025年国内《个人信息保护法》规定，个人信息处理者须________指定个人信息保护负责人。答案：公开3.202025年国内《关基保护要求》规定，关键基础设施运营者须________小时完成重大安全事件报告。答案：14.判断题（每题1分，共10分。正确打“√”，错误打“×”）4.12025年国密SM2签名算法已支持PostQuantum扩展。答案：×解析：SM2仍为经典椭圆曲线，未抗量子。4.2Windows1124H2默认关闭SMB1协议服务。答案：√4.32025年国内《数据出境安全评估办法》允许重要数据自由出境，仅需事后备案。答案：×解析：必须事前评估。4.4Kubernetes1.30版本起，Secret默认使用etcd加密存储。答案：√4.52025年欧盟《AI法案》禁止所有公共场景使用人脸识别。答案：×解析：仅禁止实时生物识别监控，事后使用可例外。4.62025年主流CPU已内置内存加密技术，可完全防止Rowhammer攻击。答案：×解析：内存加密仅缓解，无法完全防止。4.72025年国内《个人信息保护法》规定，14岁以下未成年人信息属于敏感个人信息。答案：√4.82025年TLS1.3支持RSA密钥交换。答案：×解析：TLS1.3彻底移除RSA密钥交换，仅支持ECDHE。4.92025年国内《关基保护要求》规定，关键基础设施运营者必须建立“红队”编制。答案：√4.102025年量子计算机已可破解AES256。答案：×解析：需约6×10^21量子比特，目前远未达到。5.简答题（每题5分，共25分）5.1简述2025年国内《网络数据安全管理条例》对“重要数据”出境的评估流程。答案：（1）自评：数据处理者依据国标《数据出境安全评估指南》开展风险自评；（2）第三方评估：委托省级以上网信部门认可机构出具评估报告；（3）材料提交：向省级网信部门提交自评报告、第三方报告、合同、数据出境场景说明；（4）省级初审：7个工作日内完成材料完整性审查；（5）国家网信办复核：对跨省或跨境影响大的数据，省级部门转报国家网信办，20个工作日内完成复核；（6）结果通知：通过后发放编号“出境评估通过书”，有效期2年；（7）持续监督：运营者每年提交数据出境安全报告，发生重大变化须重新评估。5.2简述零信任架构中“微分段”与“传统VLAN隔离”的三点差异。答案：（1）粒度：微分段基于身份、应用、数据标签，粒度可达进程级；VLAN仅基于IP或端口，粒度粗；（2）策略动态性：微分段策略随身份、环境、风险评分实时调整；VLAN变更需人工调整交换机配置；（3）位置无关：微分段支持任意网络位置、任意设备接入，策略随行；VLAN依赖子网边界，跨子网需重新规划。5.3简述2025年主流勒索病毒“BlackCat”采用的双重勒索策略。答案：（1）数据加密：使用AES256随机密钥加密受害者文件，再用RSA4096公钥加密AES密钥，要求支付加密货币解密；（2）数据泄露：在加密前先将敏感数据打包上传至攻击者控制的暗网存储，若受害者拒付赎金，则在公开网站公布数据下载链接，施加声誉压力；（3）限时递增：设定72小时首笔赎金折扣，逾期翻倍，并逐批公开数据，形成时间压力。5.4简述Kubernetes中“Secret零值重建”攻击原理及2025年官方缓解方案。答案：原理：攻击者通过etcd快照恢复旧版本Secret，若RBAC配置不当，可获得已轮换的过期密钥，造成横向移动。缓解：（1）etcd启用加密存储+KMS外置密钥；（2）启用SecretRotationController，设置rotationPolicy:Auto，30天强制轮换；（3）启用auditlog，对etcd读请求记录objectRevision；（4）使用BoundServiceAccountToken，令牌与Pod生命周期绑定，默认1小时过期。5.5简述2025年国内《AI安全管理办法》对生成式AI服务提供者的四项合规义务。答案：（1）训练数据合规：建立数据来源白名单，过滤违法不良信息，保存数据处理日志不少于3年；（2）模型备案：在上线前向国家网信部门备案模型架构、参数规模、训练数据来源及安全自评报告；（3）输出审核：部署实时内容过滤系统，对违法内容拦截率≥99%，并记录用户提示与输出，保存60日；（4）投诉举报：设立7×24小时举报通道，对举报内容24小时内响应，5日内处理完毕并反馈。6.应用题（共35分）6.1计算题（10分）某企业2025年使用AES256GCM加密云端数据，密钥托管在KMS，采用BYOK模式。已知：（1）KMS使用HSM保护，主密钥MK为256位，采用AES256WRAP加密用户数据密钥DK；（2）DK每日轮换，企业每日新增数据量2TB，平均对象大小8MB；（3）KMS每万次API调用费用0.04美元，HSM每月租费800美元；（4）企业计划将数据保留30天，使用S3GlacierDeepArchive存储，单价0.00099美元/GB/月。求：该企业30天总成本（美元，保留两位小数）。答案：（1）存储成本：2TB×30天×1024GB/TB×0.00099=60.83美元；（2）KMSAPI成本：每日对象数=2TB/8MB=2×1024×1024/8=262144次；30天调用次数=262144×30=7,864,320次；费用=7,864,320/10,000×0.04=31.46美元；（3）HSM租费：800美元；总成本=60.83+31.46+800=892.29美元。6.2分析题（10分）2025年6月，某政务云发现异常：攻击者通过VPN合法账号登录，横向移动至Kubernetes集群，最终窃取到含100万条公民敏感信息的ConfigMap。日志显示：（1）VPN账号为外包员工，已于3个月前离职，但AD账号未禁用；（2）Kubernetes集群使用默认clusteradmin绑定system:anonymous；（3）ConfigMap以明文存储身份证号、手机号。请给出根因与改进方案。答案：根因：（1）身份生命周期管理缺失，离职账号未及时禁用；（2）K8s集群过度授权，匿名用户拥有clusteradmin；（3）敏感数据未加密，明文存储。改进：（1）启用AD自动账号生命周期，与HR系统联动，离职即刻禁用；（2）删除system:anonymous绑定，启用OIDC+RBAC最小权限；（3）使用SealedSecret或KMS加密ConfigMap，敏感数据密文存储；（4）启用Kubernetesauditlog，对接SIEM，异常权