2025网络安全知识竞赛题库(含答案)

2025网络安全知识竞赛题库(含答案)单选题（每题1分，共30分。每题只有一个正确答案，多选、错选均不得分）1.2024年11月，国家互联网信息办公室发布的《个人信息出境标准合同办法》要求，个人信息处理者向境外提供个人信息前，应开展的风险评估属于下列哪一类？A.等保测评 B.数据出境安全评估 C.商用密码应用安全性评估 D.关键信息基础设施认定答案：B2.在TLS1.3握手过程中，用于实现前向保密的核心机制是：A.RSA密钥传输 B.静态DH C.ECDHE D.PSK答案：C3.某企业使用WindowsServer2022，若需强制所有管理员账户使用Kerberos身份验证且禁止NTLM，应修改的组策略路径是：A.计算机配置→Windows设置→安全设置→本地策略→安全选项→网络安全：LANManager身份验证级别B.计算机配置→管理模板→网络→Lanman工作站→启用安全NTLMv2C.计算机配置→管理模板→系统→Kerberos→设置Kerberos加密类型D.计算机配置→Windows设置→安全设置→账户策略→Kerberos策略答案：A4.根据《信息安全技术网络安全等级保护基本要求》（GB/T222392019），第三级系统应对运维外包人员实施的最主要控制措施是：A.背景审查 B.保密协议 C.专人陪同 D.逻辑隔离答案：B5.在Linux系统中，若需查看进程打开的所有套接字及其对应的inode号，应使用的命令是：A.lsofi B.netstattupln C.ssap D.lsofPani+M答案：D6.2025年1月1日起施行的《数据安全行政处罚裁量基准（试行）》规定，对拒不履行数据安全保护义务且造成大量数据泄露的罚款上限为：A.100万元 B.500万元 C.1000万元 D.5000万元答案：C7.下列关于SM4分组密码算法描述正确的是：A.分组长度128位，密钥长度128位，轮数32轮B.分组长度128位，密钥长度256位，轮数16轮C.分组长度256位，密钥长度128位，轮数32轮D.分组长度64位，密钥长度128位，轮数48轮答案：A8.在零信任架构中，用于持续评估用户行为可信度的核心技术组件是：A.SIEM B.SOAR C.UEBA D.NAC答案：C9.某Web应用使用JWT作为会话令牌，若签名算法字段被修改为"none"且服务器未校验，可导致：A.CSRF B.垂直越权 C.水平越权 D.算法混淆攻击答案：D10.在IPv6网络中，用于替代ARP协议实现地址解析的协议是：A.NDP B.DHCPv6 C.ICMPv6 D.MLD答案：A11.根据《关键信息基础设施安全保护条例》，关键信息基础设施发生较大变化可能影响其认定结果的，运营者应当：A.30日内向保护工作部门报告 B.60日内重新认定 C.90日内完成评估 D.立即停机整改答案：A12.在Android14系统中，针对应用后台启动限制新增的前台服务类型是：A.location B.camera C.mediaPlayback D.health答案：D13.下列关于DNSSEC资源记录RRSIG的功能描述正确的是：A.存储公钥 B.存储签名 C.存储哈希 D.存储信任链答案：B14.在OWASPTop102021中，排名首次进入前三的新增风险类别是：A.失效的访问控制 B.加密失败 C.不安全设计 D.服务器端请求伪造答案：C15.某企业采用SDP（软件定义边界）架构，客户端与控制器建立双向TLS隧道时使用的默认端口是：A.443 B.8443 C.9443 D.10443答案：C16.在Windows1123H2中，默认启用且用于阻止驱动程序注入攻击的新安全功能是：A.HVCI B.VBS C.CET D.KernelCFG答案：A17.根据《网络安全事件分级指南》（GB/Z209862022），造成10万以上用户个人信息泄露的事件应划分为：A.特别重大 B.重大 C.较大 D.一般答案：B18.在Python3.12中，用于防止pickle反序列化漏洞的默认安全模块是：A.picklelib B.securepickle C.fickling D.无默认模块，需手动限制答案：D19.在Kubernetes1.29中，用于限制容器使用宿主机PID命名空间的安全策略对象是：A.PodSecurityPolicy B.PodSecurityStandard C.OPAGatekeeper D.ValidatingAdmissionPolicy答案：B20.2024年曝光的"TunnelVision"攻击针对的VPN协议是：A.IPSec B.OpenVPN C.WireGuard D.L2TP答案：B21.在SQL注入防御中，使用参数化查询无法完全避免的风险是：A.盲注 B.二次注入 C.报错注入 D.联合查询注入答案：B22.根据《密码法》，商用密码产品认证证书有效期为：A.3年 B.4年 C.5年 D.长期有效答案：C23.在iOS17中，用于替代传统UIDevice唯一标识符的新隐私框架API是：A.DeviceCheck B.AppTrackingTransparency C.SKAdNetwork D.PrivacyManifest答案：A24.在BGP安全扩展中，用于验证AS路径真实性的机制是：A.RPKI B.BGPsec C.ASPA D.ROV答案：B25.某企业采用NISTSP800207零信任模型，其核心逻辑组件中不包含：A.策略引擎 B.策略管理员 C.策略执行点 D.策略审计点答案：D26.在Linux内核5.15中，默认启用的用于缓解Spectrev2攻击的新机制是：A.Retbleed B.IBPB C.eIBRS D.STIBP答案：C27.根据《工业互联网安全分类分级管理办法（试行）》，二级企业应每几年完成一次自查？A.半年 B.一年 C.两年 D.三年答案：B28.在OAuth2.1授权码流程中，用于防止授权码截获攻击的扩展参数是：A.state B.nonce C.code_challenge D.prompt答案：C29.在WindowsDefenderApplicationControl中，用于限制基于文件路径规则绕过的新功能是：A.ManagedInstaller B.IntelligentSecurityGraph C.Explicitdenyrules D.Pathbasedprotectionwithhashfallback答案：D30.2025年3月，IETF发布的RFC9488将QUIC协议默认的拥塞控制算法更新为：A.Cubic B.BBR C.Copa D.Reno答案：B多选题（每题2分，共20分。每题有两个或两个以上正确答案，多选、漏选、错选均不得分）31.下列哪些技术可有效防御DNS劫持？A.DNSSEC B.DoH C.DoT D.DNSoverQUIC E.本地hosts强制绑定答案：ABCD32.在Kubernetes集群中，以下哪些对象可直接限制容器运行时的系统调用？A.seccomp B.AppArmor C.SELinux D.OPAGatekeeper E.Falco答案：ABC33.根据《数据安全法》，开展数据处理活动应当履行的安全保护义务包括：A.建立健全全流程数据安全管理制度 B.组织开展数据安全教育培训 C.采取相应技术措施和必要措施D.加强风险监测 E.向公安机关备案所有数据答案：ABCD34.以下哪些属于常见的侧信道攻击？A.Spectre B.Meltdown C.Rowhammer D.Plundervolt E.Foreshadow答案：ABCDE35.在Windows环境中，可用于获取LSASS内存凭据的防御性监控工具包括：A.Sysmon B.MicrosoftDefenderforEndpoint C.AzureSentinel D.Mimikatz E.CrowdStrikeFalcon答案：ABCE36.以下关于同源策略描述正确的有：A.协议相同 B.域名相同 C.端口相同 D.子域名不同即跨域 E.可完全通过document.domain绕过答案：ABCD37.在Linux系统中，以下哪些命令可用于查看系统当前已加载的LKM模块？A.lsmod B.cat/proc/modules C.kmodlist D.modprobel E.dmesg|grepmodule答案：ABC38.以下哪些属于NISTSP80053Rev5中新增的隐私控制族？A.PT B.TR C.IP D.DI E.UL答案：AC39.在Web应用防火墙（WAF）规则优化中，以下哪些做法可降低误报？A.启用白名单 B.基于行为建模 C.使用正则匹配 D.引入机器学习 E.开启透明代理答案：ABD40.以下哪些协议或技术支持前向保密（ForwardSecrecy）？A.TLS1.30RTT B.IPSecIKEv2withECDH C.SSHwithdiffiehellmangroup14sha256D.S/MIMEwithRSAkeytransport E.SignalProtocol答案：BCE填空题（每空1分，共20分）41.在Linux系统中，用于强制删除具有immutable属性的文件前，需先执行的命令为`chattri文件名`。42.根据《网络安全审查办法》，掌握超过________万用户个人信息的网络平台运营者赴国外上市，必须申报网络安全审查。答案：10043.在Windows事件日志中，成功登录的类型为________，对应事件ID为4624。答案：244.在IPv6地址中，用于本地链路单播地址的前缀为________。答案：fe80::/1045.在SQLServer中，启用透明数据加密（TDE）后，系统会自动创建名为________的证书用于保护数据库加密密钥。答案：TDE_Certificate46.在PKI体系中，OCSP响应的默认有效期为________天。答案：747.在Android14中，限制应用使用________权限即可阻止其读取已安装应用列表。答案：QUERY_ALL_PACKAGES48.在TLS1.3中，用于实现0RTT重放的抗重放机制依赖于________扩展字段。答案：EarlyData49.根据《信息安全技术个人信息安全规范》（GB/T352732020），个人信息控制者收到数据主体删除请求后，应在________个工作日内完成删除或匿名化。答案：1550.在Kubernetes中，NetworkPolicy资源依赖于________组件实现规则下发。答案：CNI插件51.在iOS应用沙盒机制中，用于实现应用间安全共享数据的新容器路径为________。答案：Shared/AppGroup52.在BGP路由策略中，用于防止私有AS号泄露的常用正则表达式为`^(_[09]+)_(6451[29]|65[04][09][09]|655[04][09]|6556[07])(_[09]+)$`。53.在WindowsDefender中，用于启用受控文件夹访问功能的PowerShell命令为`SetMpPreferenceEnableControlledFolderAccessEnabled`。54.在Linux内核中，用于缓解Retbleed攻击的编译选项为`CONFIG_MITIGATION_RETPOLINE`。55.在OAuth2.0授权码流程中，若客户端为公共客户端，其令牌端点认证方法应设置为`none`。56.在QUIC协议中，用于实现连接迁移的帧类型为`PATH_CHALLENGE`。57.在NISTSP80063B中，推荐的最短密码长度为________位。答案：858.在Windows系统中，用于查看当前系统所有证书存储区的命令为`certutilstoresilentMy`。59.在Linux系统中，用于限制用户最大进程数的配置文件为`/etc/security/limits.conf`。60.在SM2数字签名算法中，签名结果包含的两个大整数分别为________和________。答案：r，s简答题（共30分）61.（封闭型，6分）简述TLS1.3与TLS1.2在握手阶段的主要差异，并指出哪一项改进最能抵御中间人降级攻击。答案：TLS1.3将握手消息由明文改为加密，仅保留ServerHello后的加密握手；移除RSA静态密钥交换，强制前向保密；将算法协商压缩为一条消息，减少往返；新增EncryptedExtensions消息。最能抵御降级攻击的改进是：服务器在ServerHello中通过supported_versions扩展显式确认TLS版本，若攻击者篡改降级，客户端将因版本不匹配终止握手。62.（开放型，6分）某电商平台在"618"大促期间遭遇大规模薅羊毛攻击，攻击者利用大量虚拟手机号注册新账户后领取优惠券。请从数据治理、技术防控、业务策略三个维度给出可落地的缓解方案。答案：数据治理：与运营商建立黑名单共享机制，接入工信部虚号库，注册环节实时比对；建立用户画像，标记异常设备指纹、IP段、IMEI聚集度。技术防控：注册接口引入行为验证码+设备指纹+滑动拼图，限制同一设备24小时内注册次数≤3；使用GraphQLAPI网关，对批量注册请求实施令牌桶限流；引入机器学习模型，实时打分异常注册概率，高于阈值强制人脸识别。业务策略：优惠券改为阶梯发放，首单消费满额后方可解锁；设置新人专区商品库存上限，降低套利空间；建立"灰度观察期"，新注册用户72小时内优惠券不可提现、不可转赠。63.（封闭型，6分）说明Kubernetes中Secret资源默认采用的编码方式及其安全隐患，并给出两种替代方案。答案：默认采用base64编码，非加密，任何具有API访问权限的用户均可解码获取明文。替代方案：1.启用etcd加密配置，使用aescbc或kmsprovider对etcd中Secret加密存储；2.使用外部密钥管理解决方案，如Vault+CSIdriver，将Secret以临时卷形式挂载，Pod生命周期结束后自动回收。64.（开放型，6分）某金融公司计划将核心账务系统迁移至公有云，需满足等保四级要求。请列举迁移过程中必须实施的四项安全控制，并说明如何验证其有效性。答案：控制1：两地三中心部署，生产、同城容灾、异地容灾RPO≤15分钟。验证：通过混沌工程注入区域级故障，检查数据零丢失。控制2：全链路国密算法，TLS层使用SM2双证书+SM4GCM。验证：抓包显示握手使用ECCSM2SM4GCMSM3套件，证书链含国密根。控制3：运维堡垒机+4A，所有运维操作录屏+指令审计。验证：随机抽样30天录像，回放无绕过；使用脚本模拟高危rmrf，触发实时阻断。控制4：核心数据库TDE+列级加密，密钥托管于云KMS且启用HSM。验证：从磁盘裸镜像恢复数据文件，打开后关键字段显示密文；KMS审计日志显示所有密钥调用均带JWT身份且来源为堡垒机。65.（封闭型，6分）简述Rowhammer攻击的基本原理，并指出现代DDR5内存引入的哪一项硬件缓解技术可大幅降低该风险。答案：Rowhammer利用高密度DRAM反复激活同一行存储单元，导致相邻行电荷泄漏、位翻转，从而绕过内存隔离机制。DDR5引入的"OndieECC"技术可在芯片内部检测并纠正单比特错误，显著降低位翻转概率。应用题（共50分）66.（综合分析，20分）阅读下列场景并回答问题。场景：某智慧城市物联网平台采用MQTT协议接入20万路摄像头，消息代理为EMQX集群部署在Kubernetes中。平台近期发现异常：每日凌晨2点至4点，大量设备ClientID以"cam"前缀批量上线，订阅主题"$SYS/"，并在5分钟内全部离线。抓包发现，这些设备使用用户名"admin"、密码"123456"，且源IP来自境外Tor出口节点。问题：（1）给出攻击者可能利用的MQTT安全缺陷（3分）；（2）设计一套无需改动设备固件的云端防御方案，要求包含身份认证、授权、流量清洗、审计四个子系统，给出技术选型与配置要点（12分）；（3）若需对历史日志进行溯源，说明如何关联Tor出口节点与真实攻击者（5分）。答案：（1）缺陷：1.弱口令；2.ACL未禁用系统主题；3.未启用TLS，明文传输；4.缺乏连接速率限制；5.未校验ClientID与设备证书绑定。（2）云端防御：身份认证：在EMQX启用JWTAuth，结合设备出厂序列号+云侧私钥签发短期JWT（有效期2小时），禁用用户名密码；使用NGINXIngressgRPC插件，强制TLS1.3+双向证书，设备证书通过OCSP校验。授权：启用EMQXACLFile，拒绝所有"$SYS/"订阅；使用Redis缓存设备Topic白名单，格式"device/{SN}/command"、"device/{SN}/event"，Broker启动时加载。流量清洗：部署EnvoyFilter，基于eBPF的Cilium插件，实时统计单IP新建MQTTCONNECT速率>30次/分钟即丢包；对境外IP启用GeoIP2数据库，非本国IP需通过VPN网关+证书二次认证。审计：使用VectorAgent采集EMQX日志，写入Loki，Grafana配置告警规则：异常时间段内ClientID前缀"cam"出现频率>1000/5min即触发Webhook，调用Slack+SOARplaybook自动封禁IP段24小时。（3）溯源：从日志提取异常IP列表，与TorProject当日出口节点列表比对，确认100%命中；利用比特币链上分析，发现攻击者在某暗网市场留下的BTC地址与日志中同一时间段的C2域名解析记录关联；通过国际执法协作，向该暗网市场发出传票，获取注册邮箱与KYC信息，最终定位真实身份。67.（计算题，15分）某公司拟部署一套IPSecVPN，采用IKEv2+ESP隧道模式，计划支持5000名员工同时在线。已知：每用户平均带宽2Mbps，峰值并发率60%；报文封装新增开销：ESP头38字节、UDP头8字节、IP头20字节，总计66字节；平均包长1400字节（含封装后）；需预留20%冗余带宽应对突发。计算：（1）峰值总流量（单位：Gbps）（5分）；（2）若使用AES256GCM加密，CPU