网络安全教育试题及答案2025年

网络安全教育试题及答案2025年1.单项选择题（每题2分，共20分）1.12025年1月，国家互联网应急中心（CNCERT）监测发现，境内感染“银狐”木马的主机数量环比上升最快，其首要传播途径是A.水坑攻击挂马 B.钓鱼邮件附带CHM附件 C.伪装成“微信更新”的钓鱼网站 D.蓝牙零日漏洞 答案：C1.2某单位部署了基于国密SM9的标识密码系统，下列哪一项最能直接体现SM9相对传统PKI的技术优势A.无需数字证书 B.支持量子加密 C.采用非对称密钥池 D.支持IPSec隧道 答案：A1.32025年3月，IETF发布TLS1.4草案，其中默认启用的记录层加密算法套件为A.AES256GCMSHA384 B.CHACHA20POLY1305SHA256 C.AEGIS128LSHA3 D.SM4GCMSM3 答案：B1.4在零信任架构中，对“微分段”概念描述正确的是A.按物理楼层划分VLAN B.基于用户身份与设备信任度动态创建访问通道 C.将DMZ区完全隔离 D.采用单包授权敲门 答案：B1.52025年5月，某车企因TBox固件硬编码私钥导致大规模车辆被远程控车，其最可能违反的国内法规是A.《个人信息保护法》第38条 B.《数据安全法》第21条 C.《网络安全法》第23条 D.《汽车数据安全管理若干规定》第9条 答案：D1.6Windows1124H2默认开启的“内核直接内存访问保护”技术，其底层依赖的CPU安全扩展是A.VTd B.MPX C.SMAP D.CET 答案：A1.7下列哪一项不是NISTSP800207对零信任架构提出的核心逻辑组件A.PolicyAdministrator B.PolicyEngine C.DataSanitizationBroker D.PolicyEnforcementPoint 答案：C1.82025年6月，某APT组织利用“驱动人生”升级通道下发Rootkit，其持久化机制最可能注册的服务键值位于注册表路径A.HKLM\SYSTEM\CurrentControlSet\Services\WinSock2 B.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce C.HKLM\SYSTEM\CurrentControlSet\Services\drvupdate D.HKCU\Environment\UserInitMprLogonScript 答案：C1.9在IPv6网络中，用于防止“邻居发现欺骗”的安全机制是A.SEND协议中的CGA地址 B.DHCPv6PD C.RAGuard+MLDSnooping D.IPSecAH隧道 答案：A1.102025年7月，某省政务云采用“国密+量子随机数”双源熵池，其量子随机数发生器（QRNG）芯片输出的熵速率标准为A.≥1Mbps B.≥4Mbps C.≥16Mbps D.≥64Mbps 答案：B2.多项选择题（每题3分，共15分；每题至少有两个正确答案，多选少选均不得分）2.1下列哪些技术可有效防御“AI换脸”深度伪造欺诈电话A.声纹+唇纹双因子活体检测 B.基于SRTP的端到端加密 C.运营商侧STIR/SHAKEN呼叫认证 D.终端侧TEE环境运行反诈模型 答案：A、C、D2.2关于2025年8月正式实施的《生成式人工智能服务管理暂行办法》，下列说法正确的是A.要求训练数据若含个人信息须取得单独同意 B.对输出内容采用“水印+哈希”双备案 C.服务提供者应在30日内向网信部门备案算法 D.允许境外模型直接提供服务但需接受安全评估 答案：A、B、C2.3在Kubernetes集群中，以下哪些配置能缓解容器逃逸攻击A.启用SeccompProfileDefaultRuntime B.将/var/lib/kubelet挂载为只读 C.采用RootlessKit运行容器 D.关闭hostNetwork与hostPID 答案：A、C、D2.42025年9月，某银行App因“明文存储人脸识别视频”被通报，整改措施中符合《人脸识别支付技术规范（试行）》的有A.采用AES256CBC加密视频后存入沙箱 B.人脸识别比对后立即删除原始视频 C.将特征向量存入TEE安全存储区 D.使用PBKDF2迭代20万次派生密钥 答案：B、C、D2.5关于2025年10月发布的《数据跨境传输安全认证规范V2.0》，下列场景需要向省级以上网信部门申请安全认证的有A.境内处理100万人以上个人信息的电商平台向境外总部提供业务数据 B.境内车联网企业向境外云中心回传经脱敏的行驶日志 C.境内三甲医院向境外医学期刊上传经匿名化的临床数据 D.境内高校与境外高校联合训练AI模型，共享经去标识化的科研数据 答案：A、B、D3.填空题（每空2分，共20分）3.12025年4月，OpenSSL发布补丁修复了CVE20252107，该漏洞属于________（填写漏洞类型）侧信道泄露，影响________位密钥长度。答案：ECDSA；2563.2在WindowsDefenderCredentialGuard中，用于隔离LSASS进程的新安全虚拟化技术简称________。答案：VBS3.3国密SM2椭圆曲线推荐参数采用________位素域，其曲线方程为________。答案：256；y²=x³+ax+b3.42025年11月，IETF发布RFC9500，正式将________协议定义为IPv6段路由（SRv6）的本地安全头，用于提供轻量级完整性校验。答案：HMACSRH3.5在Linux内核5.14及以上版本，用于限制非特权用户创建用户命名空间的sysctl参数是________。答案：kernel.unprivileged_userns_clone3.62025年12月，国家网信办对“深度合成”服务实施备案，要求服务提供者保存内容溯源日志不少于________个月。答案：63.7零信任参考架构中，用于持续评估设备信任分数的引擎通常基于________（填写算法类型）模型进行动态风险量化。答案：贝叶斯网络3.82025年最新发布的《信息安全技术网络攻击杀伤链参考模型》将攻击链划分为________个阶段，其中“武器化”阶段对应第________阶段。答案：7；23.9在Android15中，新增的“内存安全浏览器”采用________语言重写WebView内核，以降低内存漏洞。答案：Rust3.102025年量子计算领域，IBM发布的Condor处理器拥有________个量子比特，首次实现突破________量子比特的量子纠错演示。答案：1121；10004.判断题（每题1分，共10分；正确打“√”，错误打“×”）4.12025年1月，Linux内核合并了“内核实时补丁”功能，无需重启即可修复所有内核级Rootkit。 答案：×4.25GSA网络中，SUCI（SubscriptionConcealedIdentifier）采用ECIES算法加密，可防止IMSI捕获。 答案：√4.32025年，中国人民银行规定，所有数字人民币钱包必须采用SM4算法加密交易报文，不再支持AES。 答案：×4.4在零信任架构中，PolicyEnforcementPoint（PEP）与PolicyEngine（PE）之间的通信协议必须使用gRPC且双向mTLS。 答案：×4.52025年，NIST将SHA1正式移出“已批准”列表，但允许在遗留系统中用于非数字签名场景。 答案：√4.6Windows1124H2默认启用“智能应用控制”（SAC），其底层依赖AI模型运行在本地CPU而非云端。 答案：√4.72025年，我国“东数西算”工程要求所有数据中心PUE≤1.15，同时WUE≤1.5L/kWh。 答案：√4.8在TLS1.3中，0RTT模式可有效防止重放攻击，无需服务器端额外实现重放窗口。 答案：×4.92025年，国家卫健委规定，健康医疗大数据不得出境，但经匿名化处理后可自由出境。 答案：×4.102025年，欧盟《AI法案》正式生效，其中“高风险AI系统”需通过CE认证并登记于欧盟数据库。 答案：√5.简答题（封闭型，每题5分，共15分）5.1简述2025年新版《网络安全等级保护条例》中“第三级”系统对“动态访问控制”的三项具体技术要求。答案：（1）基于用户、设备、行为、环境等多维属性，实时计算信任评分并动态调整访问权限；（2）采用自动化策略编排引擎，支持策略秒级下发与回滚；（3）所有访问控制日志集中留存不少于6个月，并支持溯源到自然人。5.2说明国密SM9标识密码体系中“密钥escrow”机制的实现原理及其合规风险。答案：SM9通过密钥生成中心（KGC）使用主私钥msk与用户标识ID计算用户私钥dID=msk·H1(ID)，实现无证书化。KGC掌握msk即可恢复任意用户私钥，形成天然escrow。合规风险：若KGC被攻破或滥用，可导致大规模数据泄露，需通过分权KGC、阈值密钥分割、可验证密钥拆分等方案降低单点风险，并符合《密码法》第24条对密钥托管的审批与审计要求。5.3概述2025年主流“后量子密码”算法CRYSTALSKYBER在TLS1.3中的集成方式及性能开销。答案：IETFTLS工作组在2025年发布RFC9420，定义了X25519Kyber768Draft00混合密钥交换算法，握手阶段先执行X25519ECDHE，再并行执行Kyber768KEM，得到96字节密文。性能：在ARMCortexA782.4GHz单核，握手延迟增加约3.2ms，CPU占用提升8%，密文增加仅1个RTT，满足移动场景需求。6.简答题（开放型，每题10分，共20分）6.1结合2025年某省级政务云“零信任”改造案例，论述如何在已建SDN网络中落地“微隔离”与“动态信任评估”，并给出三种可能的故障回退方案。答案：（1）微隔离：在SDN控制器北向接口部署零信任策略编排器，将业务流量按“应用角色环境”三元组细粒度分组，通过OpenFlow1.5+下发流表到vSwitch，实现虚拟机级、容器级、进程级隔离；（2）动态信任评估：采集EDR、NDR、IAM、CMDB四源数据，采用XGBoost模型实时输出0100分信任值，低于60分触发隔离API，SDN控制器在50ms内将对应vNIC划入隔离VXLAN；（3）故障回退：方案A：策略灰度，按5%流量逐级放量，异常即自动回滚上一版本流表；方案B：双控制器热备，主控制器失效后，备用控制器在200ms内接管，保留最后一次可信快照；方案C：人工应急通道，预置“红色按钮”脚本，一键清空所有微隔离策略，恢复传统网络可达性，同时触发审计告警。6.22025年，某跨国企业计划将中国区ERP数据库迁移至境外云，需同时满足《数据跨境传输安全认证规范V2.0》与欧盟GDPR。请设计一套包含技术、治理、合规三域的综合方案，并评估残余风险。答案：技术域：（1）数据分类分级：采用NLP+正则引擎对2000张表打标签，识别出“核心数据”3%、“重要数据”17%、“一般数据”80%；（2）匿名化：对“核心数据”使用k匿名（k≥5）+差分隐私（ε≤0.1），对“重要数据”采用格式保留加密（FPE）保留统计特征；（3）传输加密：双证书模式，国密SM4CBC+TLS1.3AES256GCM混合隧道，密钥分片通过中国密钥管理系统（KMS）与境外HSM协同，满足“境内密钥不离境”要求；治理域：（1）建立跨境数据委员会（CDC），由CIO、DPO、法务总监三方决策，季度复审；（2）签署SCC2025模块，明确境外云为“数据受托处理者”，禁止再转移；（3）设置数据主体权利接口，自动化响应GDPR第1522条请求，SLA24小时；合规域：（1）向省级网信办申请“安全认证”，提交PIA报告、匿名化算法说明、渗透测试报告；（2）聘请第三方律所出具GDPR合规格式合同（SCC）评估意见；残余风险：（1）匿名化重识别风险：经测试最大重识别率0.3%，低于规范0.5%阈值，可接受；（2）跨境执法冲突风险：通过“数据镜像+可撤销”技术，境内保留完整镜像，境外仅持不可逆令牌，若出现禁运可秒级切断；（3）汇率波动导致云服务成本上升风险：采用金融对冲，锁定三年汇率，财务风险中低。7.应用题（综合类，共40分）7.1攻击链还原与溯源（20分）背景：2025年10月，某制造业集团内网遭勒索软件“LockBitBlack”攻击，500台主机加密，赎金要求200万美元。安全团队获取了以下线索：（1）EDR日志显示初始访问源IP8，为集团旧OA服务器，已停更；（2）Proxy日志发现该IP在9月28日03:06向上传了大小为4.3KB文件；（3）流量镜像发现9月30日09:45，域控服务器收到SMB爆破，来源IP20，用户名为svcscan；（4）10月1日00:10，20通过wmic.exe在0（文件服务器）上创建进程rundll32.exe，加载C:\Windows\Temp\lb.dll，导出函数ReflectiveLoader；（5）10月2日02:00，文件服务器向外发出DNS解析tohs[.]net，随后回连端口443，证书颁发者为“Let’sEncrypt”，有效期3个月；（6）10月3日18:00，500台主机同时弹出勒索界面，桌面壁纸被替换为“LockBitBlack”，并在C:\ProgramData\留下restore.txt，要求48小时内支付。问题：（1）绘制该攻击链的KillChain7阶段图，并标注每阶段对应证据编号；（8分）（2）分析攻击者使用的初始入侵向量、权限维持、横向移动、数据加密三项关键技术；（6分）（3）给出针对该攻击链的三条可落地改进建议，并说明预期降低的风险等级（高/中/低）。（6分）答案：（1）Reconnaissance：无直接证据，推测前期扫描；Weaponization：pastebin上传（线索2），推测为恶意脚本或C2配置；Delivery：旧OA服务器暴露（线索1），推测利用OA漏洞投递WebShell；Exploitation：成功获取OA服务器权限；Installation：WebShell写入OA服务器，建立立足点；CommandandControl：20通过SMB爆破获取域控（线索3），wmic远程加载lb.dll（线索4），建立C2；ActionsonObjectives：10月3日投放勒索软件，批量加密（线索6）。（2）初始入侵向量：利用旧OA服务器未打补丁的远程代码执行漏洞（如Log4j2.x或Struts2），上传WebShell；权限维持：通过域控SVC账号svcscan，设置计划任务每30分钟执行PowerShell下载器；横向移动：利用wmic调用rundll32反射加载DLL，绕过EDR内存扫描；数据加密：LockBitBlack采用ChaCha20+ECDSA，先枚举共享盘，再使用多线程加密，删除卷影拷贝。（3）建议A：旧OA服务器立即下线或迁移至虚拟补丁+WAF，部署虚拟补丁后重新扫描，风险降低等级：高；建议B：域控启用LAPS管理本地管理员口令，禁用SVC账号远程交互登录，风险降低等级：高；建议C：文件服务器部署允许列表（白名单）DLL加载策略（AppLocker+WDAC），阻断rundll32加载临时目录DLL，风险降低等级：中。7.2数据泄露成本计算（20分）背景：2025年7月，某电商平台因API未授权，导致3.2亿条订单数据泄露，含姓名、手机、地址、商品名称、消费金额。该平台年收入120亿元，活跃用户8000万。根据2025年IB