2026年网络安全审核员网络安全知识面试题及答案

2026年网络安全审核员网络安全知识面试题及答案1.单项选择题（每题1分，共20分）1.1在GB/T22239-2019《信息安全技术网络安全等级保护基本要求》中，第三级安全区域边界应部署的边界防护设备不包括A.防火墙B.入侵检测系统C.网闸D.漏洞扫描器答案：D1.2对TLS1.3握手过程而言，最先由客户端发送的报文是A.ClientHelloB.ServerHelloC.EncryptedExtensionsD.Finished答案：A1.3下列关于SM4分组密码算法叙述正确的是A.分组长度128bit，密钥长度128bit，迭代轮数32轮B.分组长度128bit，密钥长度256bit，迭代轮数16轮C.分组长度64bit，密钥长度128bit，迭代轮数32轮D.分组长度256bit，密钥长度128bit，迭代轮数10轮答案：A1.4在Linux系统中，若文件权限为“-rwsr-xr--”，则其八进制表示为A.2754B.2544C.4754D.6754答案：C1.5针对OWASPTop102021，下列风险名称排序第一的是A.失效的访问控制B.加密失败C.注入D.不安全的设计答案：A1.6在零信任架构中，用于持续评估访问主体信任等级的核心组件是A.SIEMB.PKIC.PolicyEngineD.VPNConcentrator答案：C1.7使用nmap进行SYN扫描时，默认发送探测包的端口数量为A.100B.1000C.1024D.65535答案：B1.8若某Web应用采用JWT作为会话令牌，下列签名算法最易受到密钥混淆攻击的是A.RS256B.HS256C.ES256D.PS256答案：B1.9在《数据安全法》中，对“重要数据”出境进行安全评估的最高监管主体是A.国家互联网信息办公室B.工业和信息化部C.公安部D.国家市场监督管理总局答案：A1.10下列关于内存取证技术正确的是A.仅能在32位系统获取进程列表B.通过获取/dev/kmem可直接导出完整内存镜像C.在Windows平台常用WinPmem配合Volatility框架D.内存镜像必须加密后方可分析答案：C1.11在IPv6中，用于实现本地网段节点自动地址分配的机制是A.ARPB.SLAACC.DHCPv4D.IGMP答案：B1.12若RAID5阵列由4块2TB磁盘组成，则可用容量为A.8TBB.6TBC.4TBD.2TB答案：B1.13在Python3中，下列代码执行后输出为importhashlibh=hashlib.sha256(b'abc').hexdigest()[:8]print(h)A.4e9853daB.4fc82b26C.9f1c9c6eD.8d3d3f5e答案：B1.14在Kubernetes中，NetworkPolicy资源对象依赖的底层插件必须实现A.CNI规范B.CSI规范C.CRI规范D.CNCF规范答案：A1.15下列关于差分隐私描述正确的是A.ε越小，隐私保护越弱B.加入的噪声与查询敏感度无关C.Laplace机制适用于数值型查询D.差分隐私无法抵抗多次查询攻击答案：C1.16在SSL/TLS中，用于协商对称密钥的算法套件“TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384”中，密钥交换算法为A.RSAB.ECDHEC.AES-256-GCMD.SHA384答案：B1.17若某组织采用NISTCSF框架，其中“DE.AE”子类关注的能力是A.资产管理B.异常事件检测C.备份与恢复D.供应链风险答案：B1.18在Windows日志中，事件ID4624表示A.账户登录失败B.账户成功登录C.权限提升成功D.用户注销答案：B1.19下列关于BGP安全扩展（BGPsec）叙述错误的是A.使用RPKI进行路由起源授权B.对AS_PATH进行数字签名C.完全防止路由泄露D.依赖PKI体系答案：C1.20在ISO/IEC27001:2022中，关于“信息安全连续性”条款编号为A.A.5.1B.A.6.1C.A.16.1D.A.17.1答案：D2.多项选择题（每题2分，共20分，每题至少有两个正确答案，多选少选均不得分）2.1以下属于对称加密算法的是A.SM1B.SM2C.SM4D.AES答案：ACD2.2可导致DNS劫持的攻击方式包括A.路由器弱口令入侵B.BGP路由劫持C.本地Hosts文件篡改D.ARP欺骗答案：ABCD2.3关于WannaCry勒索软件传播机制，描述正确的是A.利用MS17-010漏洞B.通过445端口横向移动C.需要用户点击钓鱼邮件附件方可触发D.具备蠕虫化自传播功能答案：ABD2.4在Linux系统加固中，可用于限制root权限扩散的措施有A.启用sudo并配置/etc/sudoersB.禁用setuid位C.使用SELinux强制访问控制D.降低内核版本答案：ABC2.5以下日志中可发现SQL注入痕迹的有A.Web服务器access日志出现大量“unionselect”关键字B.数据库错误日志提示“syntaxerrornear''1'='1''”C.操作系统syslog出现SSH登录失败D.WAF告警日志记录“Matchedfilter:SQLi-libinjection”答案：ABD2.6关于容器逃逸漏洞，正确的有A.runCCVE-2019-5736可导致逃逸B.容器共享宿主机内核C.使用UserNamespace可完全消除逃逸风险D.特权容器（--privileged）增加逃逸概率答案：ABD2.7在密码管理策略中，符合NISTSP800-63B最新建议的有A.不再强制定期更换口令B.最小长度8位即可C.检查是否出现在已知泄露口令库D.允许使用64位以上长度的口令答案：ACD2.8以下属于软件成分分析（SCA）工具的是A.OWASPDependency-CheckB.BlackDuckC.FortifySCAD.Snyk答案：ABD2.9关于我国《个人信息保护法》中“敏感个人信息”的有A.银行账户B.行踪轨迹C.14岁以下未成年人信息D.购物记录答案：ABC2.10在攻防演练中，红队常使用的C2框架包括A.CobaltStrikeB.MetasploitC.EmpireD.Ansible答案：ABC3.填空题（每空1分，共20分）3.1在公钥基础设施中，用于撤销证书的实时查询协议缩写为________。答案：OCSP3.2若SHA-1输出长度为________bit，则其输出空间大小为2^160。答案：1603.3在Windows系统中，用于查看当前登录用户安全令牌的命令行工具是________。答案：whoami/all3.4在IPv4报文头部，用于分片重组的字段除了Flags外，还有________字段。答案：FragmentOffset3.5当使用tcpdump抓取本机eth0接口、目标端口为80的数据包，命令为tcpdump-ieth0________port80。答案：dst3.6在公钥密码学中，若使用RSA-2048，其模数n的位长度为________bit。答案：20483.7在Linux系统中，保存用户密码哈希的文件路径为________。答案：/etc/shadow3.8在Kubernetes中，用于保存敏感配置的对象类型为________。答案：Secret3.9在《网络安全法》中，网络运营者应采取监测、记录网络运行状态的技术措施，并按照规定留存相关网络日志不少于________个月。答案：63.10在差分隐私中，Laplace机制加入的噪声服从________分布。答案：Laplace3.11在SQL注入中，若后端数据库为MySQL，利用________函数可获取当前数据库名称。答案：database()3.12在BGP报文中，用于维持邻居关系的报文类型缩写为________。答案：KEEPALIVE3.13在密码竞赛算法评估中，衡量抗量子计算安全性的主要数学难题基于________、________与格问题三类。答案：整数分解离散对数3.14在Windows审核策略中，事件ID4688对应的安全事件为________。答案：创建新进程3.15在渗透测试中，用于快速识别Web目录的工具________由Python编写，字典模式为“字典+爆破”。答案：dirb或dirbuster（任填其一）3.16在ISO27001管理评审输出中，必须包含________决策与________决策。答案：改进资源3.17在《关键信息基础设施安全保护条例》中，运营者采购网络产品或服务可能影响国家安全的，应通过________审查。答案：国家安全3.18在公钥证书X.509v3中，用于指明证书用途的扩展项关键字为________。答案：KeyUsage3.19在内存取证中，Volatility框架使用________插件可列出进程加载的动态链接库。答案：dlllist3.20在Linux内核中，用于强制访问控制的LSM模块缩写为________。答案：SELinux或AppArmor（任填其一）4.简答题（每题8分，共40分）4.1简述KerberosV5认证协议中TGT的作用及获取流程，并说明为何需要预认证。答案：1.TGT（TicketGrantingTicket）是用户首次登录后由KDC颁发的票据，用于后续申请访问其他服务票据，避免用户重复输入口令。2.获取流程：a.客户端向AS发送预认证请求（含用户哈希加密时间戳）。b.AS验证通过后返回TGT（用KRBTGT密钥加密）和会话密钥（用用户密钥加密）。3.预认证防止离线暴力破解：若取消预认证，攻击者可任意获取TGT离线暴力破解用户口令；预认证强制客户端用用户密钥加密时间戳，AS验证freshness并拒绝重放。4.2说明TLS1.3与TLS1.2在握手性能与安全性上的三点主要差异。答案：1.握手往返次数：TLS1.3默认1-RTT，TLS1.2完整握手需2-RTT；TLS1.3支持0-RTT恢复。2.密钥计算：TLS1.3将密钥派生提前到ChangeCipherSpec之前，使用独立派生函数HKDF；TLS1.2使用PRF且派生滞后。3.算法精简：TLS1.3废弃RSA密钥交换、RC4、3DES、MD5，强制前向保密；TLS1.2仍支持非前向保密套件。4.3描述利用“同源策略”绕过JSONP实现跨域读取用户隐私数据的具体攻击步骤，并给出防御方案。答案：攻击步骤：1.攻击者构造恶意页面，通过<scriptsrc="/api?callback=attacker">标签发起JSONP请求。2.已登录的用户访问恶意页面，浏览器自动携带Cookie。3.服务器返回attacker({"email":"user@"})，恶意页面全局函数attacker获取数据并发送至攻击者服务器。防御：1.废弃JSONP，改用CORS并严格校验Origin。2.对JSONP接口增加Token或Referer校验。3.设置CookieSameSite=Lax/Strict，防止跨站携带。4.4概述我国《数据出境安全评估办法》中数据处理者自评估报告应包含的六项主要内容。答案：1.数据出境业务场景、类型、规模、必要性；2.数据接收方所在国家或地区政治法律环境评估；3.接收方数据保护水平、安全措施及履约能力；4.数据出境风险分析，含泄露、篡改、滥用风险；5.数据出境后用户权益保障渠道与救济措施；6.与境外接收方签署的合同或法律文件中数据安全条款。4.5说明在Linux系统遭受Rootkit后，利用内核模块签名（modulesignature）与SecureBoot结合实现可信启动的检测机制。答案：1.UEFISecureBoot仅加载经OEM签名的bootloader与内核，防止恶意内核早期植入。2.内核编译时启用CONFIG_MODULE_SIG，强制所有ko模块使用SHA256+RSA-2048签名，未签名或签名不符拒绝加载。3.系统启动后，/sys/module/module_name/taint_flags显示0表示未污染；若发现tainted=G，则提示未签名模块被加载，可触发SIEM告警。4.结合IMA/EVM对关键文件做哈希扩展，进一步检测Rootkit篡改。5.应用题（共50分）5.1计算题（10分）某企业计划采用SM2椭圆曲线公钥加密算法保护对称密钥，已知SM2推荐曲线参数p为256bit素数，点G的阶n为n=0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFF7203DF6B21C6052B53BBF40939D54123若随机私钥k为k=0x2B5A1E7C9D4301F0A3E6C8B2D4F5A9C7E3D2B4F6A8C0E1D3F5A7C9B2E4D6F8A0求公钥P=k·G的压缩点格式（十六进制，前缀02或03，仅给出x坐标与前缀，y取偶）。答案：由于无法手算完整椭圆曲线点乘，依据SM2规范，压缩格式为02||x（y为偶）。x坐标计算结果（模拟）：x=0x967FC6528AED9F734CEFBAE0D2D043DB0F5F4B1E2C3D4E5F6A7B8C9D0E1F2A3压缩公钥：02967FC6528AED9F734CEFBAE0D2D043DB0F5F4B1E2C3D4E5F6A7B8C9D0E1F2A35.2分析题（15分）背景：某电商网站使用JWT（RS256）作为会话令牌，公钥通过JWK接口公开暴露。攻击者获取公钥后，将算法字段改为HS256，并用公钥作为HS256对称密钥重新签发JWT，成功登录任意账户。问题：1.指出漏洞根因（3分）；2.给出修复代码片段（Python/pyjwt示例，4分）；3.说明如何在网关层统一防御（4分）；4.列举两种密钥管理最佳实践（4分）。答案：1.根因：服务端未对alg字段做白名单校验，导致算法混淆，将RS256公钥当作HS256对称密钥验证。2.修复代码：```pythonimportjwtfromjwtimportPyJWKClienturl="/.well-known/jwks.json"jwks_client=PyJWKClient(url)signing_key=jwks_client.get_signing_key_from_jwt(token)data=jwt.decode(token,signing_key.key,algorithms=["RS256"],#严格白名单options={"require":["exp","iss","aud"]})```3.网关层：在APIGateway配置JWT插件，强制alg白名单仅允许RS256，拒绝HS256；启用JWK缓存与证书链校验，防止伪造JWK。4.密钥管理：a.使用HSM或KMS存储私钥，禁止落盘；b.定期轮换密钥，旧密钥保留失效缓冲期，并更新JWKs端点。5.3综合题（25分）某集团公司计划构建“零信任”远程办公体系，需同时满足《网络安全等级保护2.0》第三级与《个人信息保护法》合规要求。请基于NISTSP800-207零信任架构，设计一套端到端安全方案，要求涵盖身份、设