2026年网络安全与信息化考试试卷及答案

2026年网络安全与信息化考试试卷及答案1.单项选择题（每题1分，共20分）1.1在《中华人民共和国数据安全法》中，对“重要数据”实行分级分类保护，其分级依据首要考虑的因素是A.数据体量 B.数据敏感程度 C.数据产生频率 D.数据存储介质答案：B1.2下列关于SM4分组密码算法叙述正确的是A.分组长度128bit，密钥长度256bit B.采用Feistel结构，轮数32轮C.解密过程与加密过程完全一致 D.密钥扩展算法使用非线性S盒答案：C1.3某单位计划采用零信任架构，其身份安全控制平面（IdentityControlPlane）最核心的协议是A.RADIUS B.SAML C.OAuth2.0 D.Kerberos答案：C1.4在IPv6中，用于实现本地网段节点自动地址分配且无状态地址配置的协议是A.DHCPv6 B.SLAAC C.ND D.ARP答案：B1.52025年1月1日起施行的《工业和信息化领域数据安全管理办法（试行）》规定，对核心数据跨域流动的审批主体为A.工信部 B.国家网信办 C.公安部 D.国家密码管理局答案：A1.6某Web站点使用HSTS策略，其响应头字段max-age=31536000;includeSubDomains;preload，下列说法正确的是A.浏览器收到后自动将HTTP跳转为HTTPS，有效期10年B.该策略对子域名不生效C.浏览器下次访问仍允许用户手动接受无效证书D.站点可立即从浏览器预加载列表中移除自身答案：A1.7在Linux内核5.15及以上版本，用于实现容器间强制访问控制的安全模块是A.SELinux B.AppArmor C.Smack D.TOMOYO答案：A1.82024年发布的《关基保护要求》中，对“关键业务链”完成应急演练的最短周期为A.每月 B.每季度 C.每半年 D.每年答案：C1.9下列关于量子密钥分发（QKD）错误的是A.基于量子不可克隆定理 B.可实现信息论安全C.需要经典信道进行密钥协商 D.可抵抗中间人攻击而无需认证答案：D1.10在PKI体系中，用于声明“证书策略”的X.509标准扩展字段是A.SubjectAlternativeName B.AuthorityKeyIdentifierC.CertificatePolicies D.ExtendedKeyUsage答案：C1.11某企业采用NISTSP800-63-3数字身份指南，将身份验证保证等级划分为A.AL1-AL4 B.IAL1-IAL3 C.AAL1-AAL3 D.FAL1-FAL3答案：C1.12在OWASPTop102023版中，排名首位的风险类别是A.访问控制失效 B.加密失败 C.注入 D.不安全设计答案：A1.132025年启用的《商用密码产品认证规则》中，对“安全芯片”认证采用的检测依据是A.GM/T0008-2021 B.GM/T0039-2015 C.GM/T0054-2018 D.GM/T0028-2021答案：A1.14在WindowsServer2025中，默认启用且用于阻止凭据传递（Pass-the-Hash）的保护机制是A.CredentialGuard B.LAPS C.WindowsHello D.DeviceGuard答案：A1.15某云租户使用AWSKMS，对CMK执行“ScheduleKeyDeletion”后，默认最短可撤销时间为A.7天 B.15天 C.30天 D.立即答案：A1.16下列关于BGPsec协议叙述正确的是A.基于路径向量，增加AS-Level签名 B.使用IPsec封装C.依赖WebPKI证书 D.只能验证下一跳AS答案：A1.17在5G核心网中，用于实现用户面功能（UPF）下沉至边缘的接口是A.N1 B.N4 C.N6 D.N9答案：B1.18某单位采用ISO/IEC27701:2023建立隐私信息管理体系，其认证范围需与下列哪项保持一致A.ISO9001 B.ISO20000 C.ISO27001 D.ISO22301答案：C1.19在Android15中，用于限制侧载应用获取高危权限的新增安全特性是A.RestrictedSettings B.EnhancedMemoryTaggingC.PrivacyDashboard D.File-BasedEncryption答案：A1.202024年发布的《人工智能安全管理办法（征求意见稿）》要求，对“具有舆论属性”的生成式模型，上线前需完成A.算法备案 B.数据出境评估 C.网络安全审查 D.等保三级测评答案：A2.多项选择题（每题2分，共20分，每题至少有两个正确答案，多选少选均不得分）2.1以下属于《关基保护要求》中“主动防御”技术措施的有A.欺骗防御 B.威胁狩猎 C.攻击面收敛 D.漏洞扫描 E.流量清洗答案：ABC2.2在Linux系统加固中，可有效缓解提权漏洞的措施包括A.启用SELinux B.关闭ptrace系统调用 C.设置kernel.kptr_restrict=2D.降低umask值 E.启用seccomp-bpf答案：ABCE2.3下列算法属于国密公钥密码体制的是A.SM2 B.SM3 C.SM4 D.SM9 E.ZUC答案：AD2.4关于TLS1.3握手过程，正确的叙述有A.默认启用0-RTT B.删除了RSA密钥传输 C.支持PSK恢复D.握手消息全部加密 E.强制使用前向保密答案：BCE2.5在零信任参考架构中，动态信任评估引擎（DynamicTrustEngine）输入的要素包括A.用户身份 B.设备健康 C.网络位置 D.行为异常评分 E.数据分级标签答案：ABDE2.6下列关于DNSSEC安全扩展说法正确的有A.使用RRSIG记录提供签名 B.支持算法号8（RSA/SHA-256）C.依赖信任锚（TrustAnchor） D.可防止DNS缓存投毒 E.加密DNS查询内容答案：ABCD2.7某云原生平台采用OPAGatekeeper实现策略即代码，其约束框架（ConstraintFramework）包含A.Template B.Constraint C.CRD D.Webhook E.RBAC答案：ABCD2.8在工业控制系统（ICS）中，属于现场总线协议且缺乏内置加密的有A.ModbusTCP B.PROFINET C.DNP3 D.EtherCAT E.OPCUA答案：AC2.9下列关于差分隐私（DifferentialPrivacy）参数ε说法正确的有A.ε越小隐私保护越强 B.ε=0表示无噪声添加C.可组合性满足线性累加 D.可用于深度学习的梯度裁剪E.同一数据集只能使用一次答案：ACD2.10在《个人信息出境标准合同办法》中，境外接收方义务包括A.提供数据泄露通知 B.接受中国监管机构监督C.不得擅自转委托处理 D.向个人提供投诉渠道E.存储期限最短化答案：ABCD3.填空题（每空1分，共20分）3.1在GB/T22240-2020中，网络安全等级保护对象受到破坏后对社会秩序和公共利益造成特别严重损害时，其等级定为________级。答案：五3.2在SHA-256压缩函数中，单次消息调度需要________个32位字。答案：643.3若某RSA密钥模数n=2048bit，则其素因子p、q的典型长度各为________bit。答案：10243.4在5G网络切片中，用于标识切片的S-NSSAI由________位组成。答案：323.6在Linux系统中，用于限制进程系统调用范围的机制称为________。答案：seccomp3.7根据《密码法》，国家对商用密码产品实行________制度。答案：认证合格3.8在TLS1.3中，用于实现前向保密的密钥协商算法最常见的椭圆曲线是________。答案：X255193.9在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329中，压缩写法为________。答案：2001:db8::ff00:42:83293.10在Windows日志中，事件ID________表示成功登录。答案：46243.11在NISTSP800-53Rev5中，控制族“AccessControl”的字母代号是________。答案：AC3.12在Kubernetes中，默认用于服务发现的对象资源是________。答案：Service3.13在SQL注入联合查询中，用于判断字段个数的关键字是________。答案：ORDERBY3.14在BGP报文中，用于维持邻居关系的类型是________。答案：KEEPALIVE3.15在量子计算中，Shor算法可在多项式时间内破解________密码体制。答案：RSA3.16在GDPR中，对违法行为最高罚款可达全球年度营业额________%。答案：43.17在Wireshark过滤器中，筛选HTTP状态码500的表达式为________。答案：http.response.code==5003.18在Python3.12中，用于生成加密安全随机数的模块是________。答案：secrets3.19在ISO27001:2022版中，新增控制项“威胁情报”编号为________。答案：5.73.20在AI模型安全中，通过添加不可察觉扰动使模型误判的技术称为________攻击。答案：对抗样本4.简答题（每题6分，共30分）4.1简述国密SM2数字签名算法与ECDSA在验证方程上的主要差异。答案：SM2验证方程为t=(x_1+y_1)modn，若t=0则拒绝；否则计算sG+eP=(x_2,y_2)，检查r≡(x_2+e)modn。ECDSA验证方程为计算u_1=s^{-1}emodn，u_2=s^{-1}rmodn，验证X(u_1G+u_2P)modn等于r。差异：SM2引入公钥P与消息e的线性组合，且使用(x_1+y_1)作为中间变量；ECDSA采用经典u_1、u_2系数组合。4.2说明零信任架构中“微分段”（Micro-Segmentation）的实现要点。答案：基于身份与上下文而非网络位置；使用软件定义边界（SDP）或主机代理建立加密隧道；策略粒度细化到进程/服务级；依赖自动化标签与编排；持续监测与动态策略更新；与身份、设备、数据分级平台联动。4.3列举并解释云原生环境下“容器逃逸”三种常见途径。答案：(1)特权容器+危险挂载：启动时加--privileged，挂载宿主机/proc或/dev，修改cgroup实现逃逸；(2)内核漏洞利用：通过容器触发宿主机内核提权漏洞（如DirtyCow、CVE-2022-0847）获得root；(3)恶意镜像+Dockersocket挂载：将/var/run/docker.sock挂载进容器，调用DockerAPI创建特权容器完成逃逸。4.4概述差分隐私在联邦学习中的应用流程。答案：各参与方在本地训练得到梯度；对梯度添加满足(ε,δ)-差分隐私的噪声（如高斯机制）；使用安全聚合协议（如SecureAggregation）上传加噪梯度；服务器聚合更新全局模型；记录隐私预算消耗并实施组合性累加；当累积ε超过阈值即停止训练或降低噪声规模。4.5说明工业防火墙与传统IT防火墙在协议解析层面的两项关键差异。答案：工业防火墙需深度解析工控协议（如Modbus、S7comm），识别功能码与数据地址；支持基于工控指令语义的白名单策略（如只允许读保持寄存器，禁止写线圈）；传统IT防火墙主要面向TCP/IP四层，缺乏对工控语义检查；工业防火墙需支持低延迟、确定性的硬件时间戳，满足OT实时性要求。5.应用题（共60分）5.1计算与分析（15分）某Web系统采用JWT作为会话令牌，签名算法为RS256（RSA-PKCS#12048bit）。已知公钥e=65537，n的十六进制为00c2f0d18e4c5b…（省略1024位），攻击者获取到一份使用同一密钥签名的JWT示例，header={“alg”:”RS256”}，payload={“user”:”guest”}，signature=σ。(1)简述攻击者如何利用“算法混淆”漏洞将alg改为HS256并伪造令牌；(2)若服务器使用相同RSA公钥作为HS256的对称密钥，写出攻击者构造伪造令牌的步骤；(3)给出开发者修复该漏洞的代码片段（Python/Flask）。答案：(1)攻击者将header中alg改为HS256，服务器若未校验算法，会用RSA公钥当作HMAC密钥验证，导致攻击者可用对称密钥伪造签名。(2)步骤：a.将header改为{“alg”:”HS256”}并base64url编码；b.构造新payload如{“user”:”admin”}并base64url编码；c.以RSA公钥（n的原始字节）作为HMAC密钥计算signature；d.拼接成新JWT。(3)修复：```pythonimportjwtPUBLIC_KEY=open("public.pem").read()try:payload=jwt.decode(token,PUBLIC_KEY,algorithms=["RS256"])exceptjwt.InvalidTokenError:raiseUnauthorized```强制指定algorithms参数仅允许RS256。5.2综合设计（15分）某金融单位计划建设“数据安全运营平台”，需实现跨云、跨地域的敏感数据发现、分类分级、动态脱敏与审计。(1)画出平台逻辑架构图（文字描述即可）；(2)列出三类数据发现技术并给出优劣对比；(3)设计一条从数据发现到动态脱敏的自动化编排流程（使用YAML/伪代码）。答案：(1)架构：数据采集层→AI发现引擎→分类分级中心→策略引擎→动态脱敏网关→审计与SIEM→统一控制台。(2)技术：a.正则+关键字，速度快但误报高；b.机器学习（CRF/BERT），准确率高需标注；c.数据指纹（哈希/相似度），适合结构化，更新慢。(3)伪流程：```yamltrigger:event:NewTableFoundsteps:discover:{tool:ML_classifier,output:tags}classify:{level:tags.confidence>0.8?"L3":"L2"}policy:{if:level=="L3",action:mask}apply:{gateway:"DynamicProxy",rule:"mask_cc"}audit:{log:"who,when,query,masked"}```5.3风险评估（15分）某工业互联网平台采用“云-边-端”架构，边缘侧运行KubeEdge，端侧为RTOS传感器。(1)使用STRIDE方法列出边缘节点面临的5类威胁并给出示例；(2)选取其中一类威胁，使用CVSSv4计算基础分（向量自拟，给出公式与数值）；(3)提出对应缓解措施并估算残余风险等级（高/中/低）。答案：(1)Spoofing：伪造云端证书下发恶意镜像；Tampering：篡改边缘容器镜像；Repudiation：边缘日志被清除；InformationDisclosure：MQTT明文泄露数据；DenialofService：向边缘MQTTbroker泛洪；ElevationofPrivilege：利用KubeEdgeEdged组件漏洞获取宿主机root。(2)向量：AV:N/AC:L/AT: