2026年网络安全与信息技术考试试题及答案

2026年网络安全与信息技术考试试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在TLS1.3握手过程中，用于实现前向保密的核心机制是（）A.RSA密钥传输B.静态DHC.ECDHED.PSK答案：C2.下列关于国密SM4分组密码的描述，正确的是（）A.分组长度128位，密钥长度可变B.分组长度256位，密钥长度128位C.分组长度128位，密钥长度128位D.分组长度64位，密钥长度128位答案：C3.在Linux内核中，用于限制进程系统调用范围的安全机制是（）A.SELinuxB.seccompC.AppArmorD.grsecurity答案：B4.针对BGP协议的路由劫持检测，最常被引用且已标准化的安全扩展是（）A.BGP-LSB.RPKIC.BMPD.BGPFlowspec答案：B5.在零信任架构中，用于动态评估访问主体信任度的核心组件是（）A.SIEMB.SDPC.PolicyEngineD.IDS答案：C6.下列哈希函数中，已不被推荐用于数字签名且存在碰撞的是（）A.SHA-256B.SHA-3C.MD5D.BLAKE3答案：C7.在Windows事件日志中，记录Kerberos身份验证失败的事件ID是（）A.4624B.4625C.4648D.4768答案：B8.针对容器逃逸，下列哪项内核漏洞在2022年被广泛利用（）A.DirtyCowB.CVE-2022-0492C.HeartbleedD.Shellshock答案：B9.在5G核心网中，用于实现用户面功能UPF与SMF之间接口的协议是（）A.GTP-CB.GTP-UC.PFCPD.Diameter答案：C10.在Python3.11中，可安全替代pickle进行不可信数据反序列化的模块是（）A.jsonB.yamlC.marshalD.shelve答案：A11.下列关于AES-GCM的描述，错误的是（）A.提供机密性与完整性B.需要nonce唯一C.支持任意长度IVD.加密与认证可并行答案：C12.在IPv6中，用于防止地址扫描的临时地址机制称为（）A.SLAACB.DHCPv6C.PrivacyExtensionsD.SEND答案：C13.在AWSIAM策略中，用于显式拒绝访问的效力字段值为（）A.AllowB.DenyC.NeverD.Refuse答案：B14.下列关于量子计算对密码学影响的描述，正确的是（）A.Grover算法可将RSA破解复杂度降至多项式B.Shor算法对对称密钥长度无影响C.NTRU属于基于哈希的PQCD.AES-256在Grover算法下等效强度为128位答案：D15.在Android13中，限制应用访问已安装应用列表的权限是（）A.QUERY_ALL_PACKAGESB.GET_PACKAGESC.LIST_APPSD.PACKAGE_INFO答案：A16.在OWASPTop102021中，排名首位的是（）A.注入B.失效的访问控制C.加密失败D.不安全设计答案：B17.在DNSSEC中，用于验证资源记录不存在的记录类型是（）A.NSECB.RRSIGC.DSD.DNSKEY答案：A18.在Git版本库中，用于验证提交者身份并防止篡改的机制是（）A.GPG签名B.SSH密钥C.HTTPSD.Token答案：A19.在微服务架构中，用于实现服务间双向TLS的组件是（）A.IstioB.EurekaC.ConsulD.Zipkin答案：A20.在2023年爆发的MOVEitSQL注入漏洞中，攻击者主要利用的函数是（）A.xp_cmdshellB.sys.fn_get_sqlC.sys.fn_varbintohexstrD.xp_dirtree答案：A二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于NISTSP800-53中定义的“控制族”（）A.ACB.AUC.SCD.PEE.PM答案：ABCD22.关于国密SM2公钥密码算法，下列说法正确的是（）A.基于椭圆曲线B.签名长度固定64字节C.密钥长度256位D.已被ISO/IEC采纳E.加密过程使用ECDH答案：ACD23.以下哪些技术可用于防御CSRF攻击（）A.SameSiteCookieB.CAPTCHAC.CSRFTokenD.Origin头校验E.X-Frame-Options答案：ACD24.在Linux系统中，以下哪些命令可用于查看进程Capabilities（）A.pscapB.getcapC.pscap-vD.getpcapsE.lcap答案：ABD25.以下哪些属于IPv6扩展报头（）A.Hop-by-HopB.RoutingC.FragmentD.DestinationE.ESP答案：ABCDE26.以下哪些属于常见的侧信道攻击（）A.时序攻击B.功耗分析C.电磁泄漏D.缓存攻击E.故障注入答案：ABCD27.在Kubernetes中，以下哪些资源可用于限制容器权限（）A.PodSecurityPolicyB.OPAGatekeeperC.SeccompProfileD.AppArmorProfileE.NetworkPolicy答案：ABCD28.以下哪些属于FIPS140-3安全级别4的要求（）A.物理防篡改B.环境失效保护C.真随机数发生器D.非入侵式攻击检测E.密钥清零答案：ABD29.以下哪些协议支持完美前向保密（）A.TLS1.2DHE-RSAB.TLS1.3C.IPSecIKEv2D.SSH-RSAE.WireGuard答案：ABCE30.以下哪些属于软件供应链安全最佳实践（）A.SBOMB.SLSAC.SigstoreD.DependabotE.ReproducibleBuild答案：ABCDE三、填空题（每空1分，共20分）31.在TLS1.3中，ServerHello之后的第一条加密消息称为________。答案：EncryptedExtensions32.国密SM3哈希输出的长度为________位。答案：25633.在Linux内核中，用于限制容器使用系统调用号的过滤器机制称为________。答案：seccomp34.在Windows中，用于强制驱动程序签名的策略名称缩写为________。答案：DSE（DriverSignatureEnforcement）35.在5G网络中，用于隐藏用户永久标识的临时标识符称为________。答案：SUCI（SubscriptionConcealedIdentifier）36.在AES算法中，若密钥长度为256位，则轮数为________。答案：1437.在Python中，使用________库可安全生成加密安全的随机数。答案：secrets38.在DNSSEC中，子区域公钥指纹记录在父区域的________记录中。答案：DS39.在GitHubActions中，用于防止工作流注入的上下文过滤函数为________。答案：contains40.在量子密钥分发协议BB84中，若误码率超过________%，则中止通信。答案：1141.在Kubernetes中，默认禁止容器获取宿主机网络命名空间的字段为________。答案：hostNetwork42.在OWASPMASVS中，控制要求“抵抗逆向”属于________级别。答案：L243.在IEEE802.1X中，负责认证客户端的实体称为________。答案：Authenticator44.在AMD64架构中，用于实现控制流完整性硬件扩展的指令为________。答案：ENDBR6445.在COVID-19接触追踪协议中，苹果与谷歌联合发布的框架简称为________。答案：GAEN（ExposureNotification）46.在NISTSP800-207中，零信任架构的核心逻辑组件称为________。答案：PolicyDecisionPoint（PDP）47.在Linux中，用于查看文件扩展属性的命令为________。答案：getfattr48.在Android中，用于验证应用安装包完整性的块存储方案称为________。答案：APKSignatureSchemev349.在HTTP/3中，传输层协议由TCP改为________。答案：QUIC50.在FIDO2标准中，用于替代密码的无口令认证组件称为________。答案：WebAuthn四、简答题（每题8分，共40分）51.简述TLS1.3与TLS1.2在握手延迟上的差异，并给出减少往返次数的具体机制。答案：TLS1.2完整握手需2-RTT，而TLS1.3默认1-RTT，结合PSK与EarlyData可降至0-RTT。减少机制包括：①将密钥交换与身份认证合并到ServerHello后；②去除非必要消息如ChangeCipherSpec；③使用ECDH公钥直接携带在ClientHello/ServerHello，省去单独CertificateRequest往返；④0-RTT时客户端缓存PSK并直接发送应用数据，但牺牲前向保密与抗重放。52.说明国密SM2数字签名生成流程，并指出与ECDSA在验证方程上的差异。答案：SM2签名流程：①选椭圆曲线参数Fp-256；②计算ZA=SM3(ENTL∥ID∥a∥b∥xG∥yG∥xA∥yA)；③取e=SM3(ZA∥M)modn；④随机k∈[1,n-1]；⑤计算(x1,y1)=k·G，r=(e+x1)modn，若r=0或r+k=n则重选k；⑥s=(1+dA)^{-1}(k-r·dA)modn，若s=0则重选k；⑦输出(r,s)。验证方程差异：ECDSA验证：r≡x1modn，其中(x1,y1)=s^{-1}·R+s^{-1}·r·Q；SM2验证：r≡e+x1modn，其中(x1,y1)=s·G+s·R+r·Q，需额外计算ZA并代入e。53.描述KubernetesPodSecurityPolicy被废弃后的替代方案，并比较其优缺点。答案：替代方案：①PodSecurityStandards（内置准入插件）；②OPAGatekeeper；③Kyverno。PSS优点：原生支持、配置简单、无需额外CRD；缺点：策略粒度固定、无法自定义。Gatekeeper优点：Rego语言灵活、支持审计模式；缺点：学习曲线陡、性能开销大。Kyverno优点：YAML声明式、无需Rego、支持变量与生成规则；缺点：策略数量大时内存占用高。54.解释Rowhammer攻击原理，并给出当前硬件与软件缓解措施各两项。答案：原理：反复快速激活DRAM同一行导致相邻行电荷泄漏，引发位翻转。硬件缓解：①TRR（TargetRowRefresh）在内部计数器触发刷新；②ECC-on-die在颗粒内集成纠错码。软件缓解：③CATT物理隔离敏感页到不同bank；④ANVIL周期性扫描页表并隔离高频访问行。55.说明差分隐私中ε-差分隐私的定义，并给出拉普拉斯机制添加噪声的公式。答案：定义：随机算法M满足ε-差分隐私，当且仅当对任意相邻数据集D,D'及任意输出S⊆Range(M)，有Pr拉普拉斯机制：对查询函数f:D→ℝ^k，全局敏感度Δ输出M五、综合应用题（共50分）56.（本题20分）某企业计划上线零信任远程办公系统，架构含：①身份源基于AzureAD；②网关使用开源OPA作为策略引擎；③应用微服务部署于Kubernetes，需支持mTLS；④数据层含PostgreSQL与MinIO对象存储；⑤终端设备包括Windows、iOS与Linux。任务：（1）设计统一身份认证协议序列，说明如何向OPA传递用户属性（5分）；（2）给出KubernetesmTLS证书自动轮转方案，包含CR与Controller设计（5分）；（3）针对MinIO，设计基于KMS的SSE-KMS服务端加密流程，说明密钥层次（5分）；（4）列出终端设备健康度评估指标至少四项，并给出数据采集方式（5分）。答案：（1）协议序列：终端→AzureADOIDC授权码流程→获取IDToken与AccessToken（含groups、roles、deviceid）→Token发送至OPAsidecar→OPA通过JWT验证与AzureJWKS→提取claims作为input.user→OPARego策略评估允许/拒绝。传递方式：EnvoyExternalAuthorizationgRPC服务携带结构化属性。（2）证书轮转：部署cert-manager，创建ClusterIssuer（VaultPKI引擎）；微服务Pod引用CertificateCR，spec.dnsNames匹配服务FQDN；Controller每日检查NotAfter，若<30天则触发重新签发；新证书写入Secret，触发Pod滚动更新；使用sigstore/cosign对镜像签名，保证滚动完整性。（3）SSE-KMS流程：MinIO配置KMS_ENDPOINT指向HashiCorpVaultTransit；上传对象→MinIO生成DEK（256-bit）→调用Vaultencrypt/plaintext接口用Kek-Id加密DEK→返回密文DEK与Kek-Id→MinIO将密文DEK存入对象元数据x-amz-meta-dek→数据使用AES-256-GCM加密后落盘；密钥层次：VaultKek→DEK→对象数据。（4）健康度指标：①系统补丁等级（WindowsUpdateAPI、sw_vers、apt-check）；②磁盘加密状态（BitLocker、FileVault、LUKS）；③运行进程黑名单（OSQuery）；④证书信任链完整性（opensslverify）；⑤越狱/Root状态（iOSjailbreak文件、Linuxpresenceofmagisk）。采集：通过MDM推送osquery-agent，定时上报至Kinesis→Lambda→OPAinput。57.（本题15分）某电商平台发现订单接口异常，日志显示大量HTTP200但数据篡改。经抓包发现参数sign被复放。已知签名算法为signtimestamp精度秒级，有效期60s。任务：（1）指出攻击向量名称并说明成功原因（3分）；（2）给出服务端验证逻辑缺陷（3分）；（3）设计改进方案，要求防复放、防篡改、支持分布式集群（9分）。答案：（1）重放攻击；服务端未校验nonce与唯一性，timestamp窗口内同一sign可复用。（2）缺陷：仅校验timestamp未超时，未记录已用sign；HMAC密钥k长期不变；无绑定会话或IP。（3）改进：①引入nonce：客户端生成16-byte随机串，放入header，服务端Redis记录<sign,ttl=60s>，利用SETNX原子去重；②增加业务订单号orderId作为签名输入，使签名一次有效；③采用短周期密钥轮换：每5分钟通过KMS推送新k_i，旧密钥宽限期120s；④集群层使用RedisStream广播已用sign，实现横向去重；⑤对amount字段添加范围校验与业务幂等token（UUID），确保支付链路幂等；⑥返回响应带X-Response-MAC，防止响应篡改。58.（本题15分）某高校需构建隐私保护的学生成绩统计系统，要求：①支持SQL查询：SELECTAVG(score)FROMgradesWHEREdept='CS'；②差分隐私预算ε=1，全局查询次数上限100；③成绩字段score∈[0,100]，整数。任务：（1）计算该查询的全局敏感度Δf（3分）；（2）给出拉普拉斯机制实现伪代码，含噪声尺度（4分）；（3）设计预算耗尽后的拒绝机制（4分）；（4）说明如何在PostgreSQL中通过PGXN扩展实现上述机制（4分）。答案：（1