2026年计算机网络安全管理考试试题及答案解析

2026年计算机网络安全管理考试试题及答案解析一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在TLS1.3握手过程中，用于实现前向保密的核心密钥交换机制是（）A.RSA密钥传输B.静态DHC.ECDHED.PSK答案：C解析：TLS1.3彻底废弃RSA密钥传输与静态DH，仅允许(EC)DHE与PSK，其中ECDHE提供前向保密。2.下列哪一项最能有效抵御DNS劫持且无需修改DNS协议？（）A.DNSSECB.DNS-over-HTTPSC.DNS轮询D.增大TTL答案：B解析：DoH把DNS流量封装在HTTPS中，可防止中间人篡改，无需改动DNS协议本身。3.在Linux系统中，若文件权限为“-rwsr-xr--”，则普通用户执行该文件时获得的有效UID是（）A.调用者UIDB.文件属主UIDC.文件属组GIDD.root的UID答案：B解析：s位为SUID，运行时有效UID=文件属主UID。4.针对AES-GCM加密，下列说法错误的是（）A.需要96-bitIVB.可并行计算GMACC.加密与认证可分离处理D.重放IV会导致密钥恢复攻击答案：C解析：GCM将加密与认证集成，不可分离。5.在零信任架构中，最关键的身份凭证是（）A.源IP地址B.用户生物特征C.设备证书+用户JWTD.VLAN标签答案：C解析：零信任以身份为中心，IP与VLAN均不可信。6.防火墙规则：iptables-AINPUT-ptcp--dport22-mrecent--nameSSH--update--seconds60--hitcount4-jDROP，其主要目的是（）A.限速SSH爆破B.放行SSHC.记录SSH日志D.转发SSH流量答案：A解析：recent模块统计60s内同一源IP连接次数，超限即丢弃。7.在Windows日志中，事件ID4625表示（）A.成功登录B.登录失败C.权限提升D.对象访问答案：B解析：4625为登录失败事件。8.下列哈希函数中，抗碰撞性最弱的是（）A.SHA-256B.SHA-3-256C.MD5D.BLAKE3答案：C解析：MD5已被实用碰撞攻击攻破。9.在PKI体系中，负责发布CRL的实体是（）A.RAB.CAC.OCSPD.VA答案：B解析：CA签发并发布CRL。10.针对CSP（内容安全策略）指令“script-src'self'”，下列可执行的是（）A.内联<script>alert(1)</script>B.<scriptsrc="/lib.js">C.eval("x=1")D.data:URL脚本答案：B解析：仅允许同源与指定HTTPS源。11.在IPv6中，用于本地链路且前缀为fe80::/10的地址类型是（）A.全球单播B.唯一本地C.链路本地D.组播答案：C解析：fe80::/10为链路本地。12.针对SQL注入防御，最推荐的服务端策略是（）A.黑名单过滤单引号B.存储过程C.参数化查询D.转义双引号答案：C解析：参数化查询将代码与数据分离，效果最佳。13.在OWASPTop102021中，排名首位的是（）A.注入B.失效的访问控制C.加密失败D.不安全设计答案：B解析：访问控制失效跃居第一。14.若Nmap扫描结果“80/tcpopenhttp-proxy”，则使用的扫描类型是（）A.-sSB.-sFC.-sXD.-sO答案：A解析：-sS为TCPSYN半开扫描，返回open。15.在BGP安全扩展中，用于验证AS路径的协议是（）A.BGPsecB.RPKIC.ROAD.ASPA答案：A解析：BGPsec对AS路径签名。16.下列哪项不是Docker容器逃逸的高危因素？（）A.挂载/var/run/docker.sockB.--privilegedC.seccomp未启用D.只读rootfs答案：D解析：只读rootfs可降低逃逸风险。17.在无线802.1X认证中，EAP-TLS必须使用的凭证是（）A.用户名/密码B.数字证书C.SIM卡D.令牌答案：B解析：EAP-TLS基于双向证书。18.针对勒索病毒，最有效的备份策略是（）A.本地RAID1B.离线冷备+多版本C.云盘同步D.增量快照在同一磁盘答案：B解析：离线冷备可抵御横向移动加密。19.在SIEM关联规则中，若设定“同一源IP5分钟内产生10次登录失败且1次成功”，则该规则主要检测（）A.密码喷洒B.黄金票据C.DGA域名D.慢速爆破答案：A解析：密码喷洒特征为大量失败+少量成功。20.根据《数据安全法》，重要数据出境安全评估由（）组织。A.网信部门B.公安机关C.国家密码局D.工信部答案：A解析：省级以上网信部门负责评估。二、多项选择题（每题2分，共20分。每题有两个或以上正确答案，多选、少选、错选均不得分）21.以下哪些属于对称加密算法？（）A.ChaCha20B.SM4C.RSAD.3DES答案：A、B、D解析：RSA为非对称。22.关于HTTPS证书校验，客户端必须验证的字段包括（）A.数字签名B.有效期C.主机名D.密钥用法答案：A、B、C解析：密钥用法为可选扩展，非强制。23.可导致XSS漏洞的上下文有（）A.HTML标签之间B.JavaScript字符串字面量C.CSS属性值D.SQL查询语句答案：A、B、C解析：SQL上下文与XSS无关。24.以下哪些工具支持对HTTPS流量进行中间人解密分析？（）A.Wireshark+浏览器导入CAB.BurpSuiteC.tcpdumpD.Fiddler答案：A、B、D解析：tcpdump无法解密TLS。25.在Linux内核漏洞提权中，与eBPF相关的攻击向量包括（）A.未验证的BPF程序长度B.任意写bpfmapC.双重fetchD.栈溢出在verifier答案：A、B、C、D解析：均为历史CVE常见向量。26.关于密码存储，以下做法正确的是（）A.使用bcrypt(12轮)B.使用SHA-256一次哈希C.加盐且盐随机生成D.使用Argon2id答案：A、C、D解析：SHA-256单次易被暴力破解。27.以下哪些协议原生支持UDP传输？（）A.DNSB.NFSv4C.QUICD.Syslog答案：A、C、D解析：NFSv4默认TCP。28.在容器网络模型中，属于CNI插件的是（）A.FlannelB.CalicoC.WeaveD.kube-proxy答案：A、B、C解析：kube-proxy为Kubernetes组件，非CNI。29.以下哪些属于软件供应链攻击案例？（）A.SolarWindsOrionB.CodecovBash上传器C.Log4ShellD.CCleaner答案：A、B、D解析：Log4Shell为0day，非供应链植入。30.关于国密算法，以下说法正确的是（）A.SM2基于椭圆曲线B.SM3输出256bitC.SM4分组长度128bitD.SM9为标识密码答案：A、B、C、D解析：均符合GM/T标准。三、填空题（每空2分，共20分）31.在Diffie-Hellman密钥交换中，若模数p=23，生成元g=5，A选私钥a=6，则公钥A=g^amodp=______。答案：8解析：5^6mod23=15625mod23=8。32.若IPv4子网掩码为48，则该子网可用主机地址数为______。答案：6解析：32-29=3位主机，2^3-2=6。33.在Windows中，用于查看当前登录用户SID的命令是______。答案：whoami/user34.在渗透测试中，用于快速探测内网存活主机的Python模块是______。答案：scapy35.若SHA-256输入消息长度恰好为512bit，则填充后的总长度（bit）为______。答案：1024解析：需附加1bit“1”+k个“0”+64bit长度，k=511-64=447，512+1+447+64=1024。36.在TLS1.3中，Finished消息使用的校验算法是______。答案：HMAC37.若某网站使用HSTS且预加载，则响应头中max-age至少为______秒才能被Chrome预加载列表收录。答案：10886400（约18周）38.在Linux中，设置文件不可修改属性使用的命令是______。答案：chattr+i39.在SNMPv3中，提供认证和加密的安全级别名称是______。答案：authPriv40.根据《个人信息保护法》，处理敏感个人信息必须取得个人的______同意。答案：单独四、简答题（每题10分，共30分）41.简述Kerberos认证流程，并说明黄金票据攻击原理及防御措施。答案：（1）流程：1)用户向AS发送明文用户名；2)AS返回TGT（用用户密钥加密）+会话密钥；3)用户解密获得会话密钥，携带TGT向TGS请求服务票据；4)TGS验证TGT有效后返回服务票据；5)用户携带服务票据访问目标服务，服务用自身密钥解密验证。（2）黄金票据：攻击者获取KRBTGT账户NTLMHash后，可离线伪造任意TGT，设定任意权限与有效期，实现域内任意服务访问。（3）防御：定期更换KRBTGT密码（两次）；启用RID500账户以外的服务账户；使用AES256-CTS-HMAC-SHA1-96加密，禁用RC4；部署AdvancedThreatAnalytics检测异常TGT。42.描述缓冲区溢出攻击中ASLR与DEP的作用，并给出绕过技术各一例。答案：ASLR：随机化堆栈、库、堆地址，使攻击者难以定位shellcode。DEP：将数据段标记为不可执行，阻止执行堆栈上的shellcode。绕过：ASLR：利用信息泄露（如格式化字符串）获取栈地址，再构造ROP链。DEP：使用ROP/JOP，复用已有可执行片段，实现“借代码执行”。43.说明零信任网络中“微分段”与“软件定义边界（SDP）”的区别与联系。答案：微分段：在数据中心内部按业务标签细粒度划分安全区域，通过分布式防火墙实现东西向流量控制。SDP：以身份为中心，先认证后连接，动态创建加密隧道，隐藏网络资源。联系：均摒弃默认信任；可结合使用，SDP负责南北向准入，微分段负责东西向隔离；统一策略引擎（如OPA）下发规则。五、综合应用题（共60分）44.漏洞分析题（15分）某Web应用登录接口参数为JSON：{"username":"admin","password":"123456","remember":true}。服务端使用Node.js代码：```javascriptif(user.password===md5(password)){…}```（1）指出存在的安全缺陷（3分）；（2）给出利用Payload获取任意用户登录的步骤（6分）；（3）提出修复方案并给出关键代码（6分）。答案：（1）使用弱哈希MD5且无盐，可离线暴力破解；未防时间侧信道。（2）步骤：1)社工或泄漏获得user表MD5；2)直接发送{"username":"victim","password":"已知MD5","remember":true}；3)服务端比较时字符串===MD5(输入)，若输入即MD5值则恒等，绕过验证。（3）修复：使用bcrypt+随机盐：```javascriptconstbcrypt=require('bcrypt');constmatch=awaitpare(password,user.passwordHash);```45.网络取证题（15分）给定pcap片段，已过滤出TCP流，发现异常流量：每60s外联一次beacon，URL为/get?k=base64串；User-Agent恒为“Mozilla/5.0(compatible;MSIE9.0;)”；响应包HTTP200，正文为PNG，但文件头后附加额外数据。任务：（1）写出提取附加数据的tshark命令（5分）；（2）说明如何判定附加数据为加密C2指令（5分）；（3）给出抑制此类Beacon的YARA规则片段（5分）。答案：（1）```bashtshark-rsuspect.pcap-Y'http.request.uricontains"/get?k="'-Tfields-ehttp.file_data|base64-d>extrac.bin```（2）计算熵值>7.8，字节分布均匀；文件大小远小于正常PNG；与已知C2密钥异或后出现可读字符串。（3）```yararuleCobaltBeaconPNG{strings:$ua="Mozilla/5.0(compatible;MSIE9.0;)"$png={89504E470D0A1A0A}$pattern={0000000000000000[4-16]00000000}condition:uint32(0)==0x474E5089and$uaand#pattern>3}```46.安全计算题（15分）某企业计划部署IPSecVPN，采用IKEv2+ESP，要求：加密算法AES-GCM-256，PFS使用ECP256；每24h更换一次密钥；峰值流量1Gbps，包长平均1400Byte。计算：（1）每24h需生成多少次新的SA密钥（5分）；（2）若SAlifetime按字节计，建议上限多少GB可兼顾安全与性能（5分）；（3）给出PFS密钥推导公式并指出所用椭圆曲线参数（5分）。答案：（1）IKEv2默认ChildSArekey时间≈8h，24h/8h=3次；另加可配置流量限制触发，保守估计共4次。（2）AES-GCM-256在≤2^32包内安全，1400B×2^32≈6.0TB，取50%余量≈3TB。（3）S使用CurveP-256，素数阶n=0xFFFFFFFF00000000FFFFFFFFFFFFFFFFBCE6FAADA7179E84F3B9CAC2FC632551。47.应急响应题（15分）某日08:30，IDS告警内网主机A对B的445端口大量发送SMBExploit流量；08:35，B主机CPU100%，出现未知账户“svcnote”。日志显示：A在08:00通过RDP爆破登录；08:10，A下载文件“be.exe”到C:\Users\Public；08:12，A创建计划任务“\Microsoft\Win