2026年通信安全管理考试重点试卷及答案

2026年通信安全管理考试重点试卷及答案一、单项选择题（每题2分，共30分）1.在5G网络切片安全管理中，下列哪项技术最能有效隔离不同切片的控制面信令？A.物理层加密B.切片间防火墙C.基于SUPI的二次认证D.切片标识符（S-NSSAI）+SEAF隔离答案：D2.某运营商采用零信任架构对核心网进行改造，其首要步骤是：A.部署边界防火墙B.建立动态信任评估引擎C.关闭所有公网端口D.启用静态白名单答案：B3.关于3GPPTS33.501中定义的5GAKA流程，下列说法正确的是：A.首次认证向量由AUSF生成B.SEAF可直接获取长期密钥KC.认证结束后AMF与UE共享密钥K~AUSF~D.5GAKA支持二次认证以防止伪基站答案：D4.在卫星互联网场景下，为防止用户链路被重放攻击，最适合采用的机制是：A.时间戳+MACB.链路层CRCC.静态IP白名单D.卫星跳频答案：A5.某省公司OTN传输网出现“光放大器异常增益”告警，经排查发现攻击者利用OSC通道注入伪造管理帧。该攻击最可能破坏了：A.机密性B.完整性C.可用性D.不可否认性答案：B6.根据《工业和信息化领域数据安全管理办法（试行）》，对“重要数据”进行跨境传输前，企业需完成：A.数据出境风险自评估+省级主管部门审批B.仅向集团总部备案C.通过国家网信办安全认证即可D.数据脱敏后可自由出境答案：A7.在NFV环境中，为防止VNF镜像被恶意篡改，最佳实践是：A.镜像仓库启用HTTPS即可B.镜像签名+硬件可信根验证C.定期人工比对MD5D.镜像加密存储答案：B8.关于DNS-over-HTTPS（DoH）对运营商安全管理的影响，下列说法错误的是：A.降低运营商对恶意域名的可视化能力B.可采用本地DoH代理+策略分流缓解C.直接封禁所有DoH流量即可解决D.需升级日志留存系统以支持ESNI解析答案：C9.某运营商将AI引入垃圾短信治理，训练集被投毒导致召回率下降。该风险属于：A.模型推理阶段对抗样本B.训练阶段数据投毒C.模型窃取D.梯度泄露答案：B10.在《关键信息基础设施安全保护条例》中，对CII运营者的“检测评估”最低频次要求为：A.每季度一次B.每半年一次C.每年至少一次D.每两年一次答案：C11.针对5G核心网SBA接口，下列哪项最能有效防止API滥用？A.仅使用IP白名单B.OAuth2.0+细粒度scopeC.关闭所有外部APID.采用GRE隧道答案：B12.在量子密钥分发（QKD）现网试点中，其安全假设依赖于：A.计算复杂性B.量子不可克隆定理C.对称密钥长度≥256bitD.光纤零损耗答案：B13.某地市公司采用“安全运营中心（SOC）+SOAR”方案，SOAR的核心价值是：A.替代人工研判B.剧本编排+自动化响应C.存储原始流量D.提供7×24小时驻场答案：B14.在工业互联网场景中，Modbus/TCP协议缺乏认证字段，最佳补偿措施是：A.直接升级为HTTPSB.部署工业防火墙+深度包检测C.关闭TCP502端口D.采用IPSec对整条链路加密答案：D15.关于6G愿景中的“可信内生安全”，其核心理念是：A.先业务后安全B.安全即服务C.安全功能与网络功能共生设计D.零信任+区块链答案：C二、多项选择题（每题3分，共30分，多选少选均不得分）16.下列哪些属于5G核心网服务化接口（SBI）面临的主要安全风险？A.未授权访问NRFB.反射攻击利用NFSC.中间人攻击HTTP/2D.信令风暴导致NRF过载E.伪基站劫持SUCI答案：A,B,C,D17.某运营商在公有云部署5GUPF，需满足“数据不出省”，可采用的技术包括：A.云内VPC+专线接入B.边缘云MEP+本地分流C.云厂商提供的“专属Region”D.跨域SRv6策略路由E.云主机启用iptables限制出口答案：A,B,C18.关于5G消息（RCS）安全，下列说法正确的是：A.需对SPAM进行内容语义分析B.终端与MaaP平台需建立TLS1.3通道C.运营商需留存消息内容不少于30天D.可采用数字水印追踪泄露E.消息内容采用SUCI加密答案：A,B,D19.在卫星与地面融合网络中，为抵御“高延迟+高误码”环境下的重放攻击，可采用的机制有：A.带重放窗口的HMACB.挑战-响应+时间戳C.序列号+滑动窗口D.量子随机数作为nonceE.仅提升编码增益答案：A,B,C,D20.某省公司建设“5G+工业互联网”安全监测平台，其数据源应包括：A.基站侧信令面Xn接口B.工业交换机镜像口C.MEC平台容器日志D.企业侧PLC控制指令E.运营商计费话单答案：A,B,C,D21.关于《数据安全法》中“数据处理者”的义务，下列哪些描述正确？A.分类分级保护B.建立全流程数据管理制度C.风险监测与处置D.向境外提供重要数据需评估E.发现泄露后72小时内向省级以上主管部门报告答案：A,B,C,D22.在5G网络切片生命周期管理中，切片模板（NST）需包含的安全属性有：A.资源隔离等级B.密钥更新周期C.合法监听接口D.切片间带宽上限E.用户面DPI策略答案：A,B,C,E23.某运营商采用“同态加密”对用户位置数据进行外包计算，其优势包括：A.无需解密即可计算B.完全杜绝侧信道C.可验证计算结果D.计算开销可忽略E.支持任意复杂函数答案：A,C24.针对“伪基站”治理，下列技术组合可有效提升发现率：A.基站指纹+AI聚类B.频谱特征+TDOA定位C.SUCI匿名化D.邻区列表异常检测E.仅降低基站发射功率答案：A,B,D25.在6G太赫兹通信中，面临的安全挑战有：A.波束窄易被遮挡导致DoSB.分子吸收导致密钥信息泄露C.高频器件侧信道D.超大规模天线物理层密钥生成E.量子噪声干扰答案：A,C,D三、判断题（每题1分，共10分，正确打“√”，错误打“×”）26.5G核心网中，AUSF与UDM之间接口使用SUPI明文传输。答案：×27.在NFV环境中，若采用IntelSGX对VNF进行可信执行，即使宿主机被root也可保护密钥。答案：√28.根据《个人信息保护法》，运营商可将用户行程轨迹直接共享给广告联盟，只要用户勾选“已阅读”。答案：×29.量子随机数发生器（QRNG）输出的随机性可基于量子力学原理进行理论证明。答案：√30.在5G网络中，启用EPSfallback后，语音加密密钥仍由5G核心网统一派发。答案：×31.采用SRv6Policy可实现端到端路径可编程，从而降低中间人攻击面。答案：√32.工业场景下，OPCUA默认已内置签名与加密，因此无需额外VPN。答案：×33.运营商在云端部署AI模型时，采用联邦学习可避免原始数据出境。答案：√34.5G引入的“服务通信代理（SCP）”可以完全消除单点故障。答案：×35.6G愿景中的“智简网络”主张将安全功能下沉至终端，实现自验证。答案：√四、填空题（每空2分，共20分）36.5GAKA中，UE与________网元首次共享密钥K~SEAF~。答案：AMF37.在3GPPRelease17中，引入的________技术可实现终端与基站之间的物理层密钥协商，无需预共享密钥。答案：TG（Twin-KeyGeneration）38.根据《网络安全审查办法》，掌握超过________万用户个人信息的运营商赴国外上市，必须申报网络安全审查。答案：10039.在卫星互联网中，采用________算法可抵抗高误码下的签名伪造，其哈希长度可缩短至192bit。答案：XMSS40.某运营商采用“同态加密+________”机制，可在不解密条件下完成用户位置热力图统计，同时验证计算完整性。答案：zk-SNARK41.在5G核心网SBA架构中，________协议用于服务注册与发现，其安全依赖OAuth2.0与TLS1.3。答案：HTTP/242.工业防火墙对Modbus/TCP进行深度检测时，需重点校验功能码________（十进制）是否越权写单线圈。答案：0543.运营商将AI引入垃圾短信治理，采用________指标综合评估模型效果，其公式为=答案：F1-score44.在6G太赫兹频段，采用________极化方式可降低分子吸收峰对密钥协商的影响。答案：圆45.某省公司采用“量子密钥分发+________”混合机制，实现城域网OTN链路端到端加密，兼顾性能与抗量子计算。答案：AES-256-GCM五、简答题（每题10分，共30分）46.简述5G网络切片在“跨域漫游”场景下的端到端安全隔离机制，并指出两项关键挑战。答案：（1）机制：a.归属地NSSF与漫游地NSSF通过N27接口交互切片认证令牌，令牌包含切片策略哈希与归属地数字签名；b.漫游地AMF基于令牌验证切片合法性，并通过S-NSSAI+PDU会话隔离，确保漫游用户仅接入授权切片；c.用户面通过UPF路径隔离+VXLAN-GPE扩展字段携带切片ID，实现本地分流不出境；d.控制面采用SUCI+二次认证，防止伪基站诱导接入非法切片。（2）挑战：a.令牌跨运营商互信模型复杂，需建立双向CA链；b.边缘云资源异构，切片模板在不同省公司版本差异导致策略冲突。47.说明卫星互联网场景下，如何利用“物理层密钥生成”（PLKG）实现低轨卫星与终端的轻量级认证，并给出数学模型。答案：（1）原理：低轨卫星与终端在同一信道测量太赫兹波段信道冲激响应h(t)，利用信道互易性与短时相干，提取共享特征序列。（2）模型：设卫星与终端在t时刻接收信号分别为双方通过量化函数Q得到比特序列K_{\mathrm{sat}}、K_{\mathrm{ue}}，利用Cascade纠错与隐私放大，最终生成一致密钥K_{\mathrm{PLKG}}，长度128bit。（3）安全：攻击者距接收点>λ/2（λ=0.3mm）时，信道去相关，窃听误码率>35%，满足I实现信息论安全。48.某运营商在省级MEC部署“AI视频分析”服务，需对用户原始视频进行隐私保护，请设计一套基于“联邦学习+差分隐私”的方案，并说明如何平衡精度与隐私预算ε。答案：（1）架构：a.终端提取特征：采用轻量化YOLOv4-tiny，输出2048维特征向量；b.本地差分隐私：对特征添加拉普拉斯噪声

其中Δf=1.0，ε_local=0.5；c.联邦聚合：MEC作为参数服务器，采用FedAvg，每轮选择比例C=0.1，学习率η=0.01；d.全局差分隐私：服务器对聚合梯度再次添加噪声

总隐私预算ε=ε_local·T·C+ε_global，设T=100，则ε=5+1=6；e.平衡策略：采用MomentsAccountant，将ε降至2，同时通过增大本地epochE=5补偿，精度下降<2%。六、综合应用题（共40分）49.背景：某运营商计划建设“5G+工业互联网”安全监测平台，覆盖全省200家工厂，涉及数据分类分级、内生安全、零信任接入、数据出境评估四个子系统。任务：（1）给出数据分类分级实施流程图（文字描述即可，10分）；（2）设计零信任接入架构，说明关键组件与协议（10分）；（3）列出数据出境评估需提交的材料清单（10分）；（4）给出内生安全量化指标体系，至少包含5项可测量指标（10分）。答案：（1）流程：a.数据资产普查→建立数据字典；b.业务影响分析→识别核心数据；c.采用《工业数据分类分级指南》模板，划分核心、重要、一般三级；d.自动化打标：结合NLP对工单、日志进行敏感字段识别，准确率≥92%；e.专家评审→形成分类分级报告→纳入数据安全管理系统（DSM）。（2）架构：a.控制面：部署SDP控制器，基于OAuth2.0+OIDC完成动态认证；b.数据面：工厂侧部署轻量级SDP客户端，与POP点建立DTLS1.3隧道；c.信任评估引擎：集成UEBA，实时计算信任分，低于阈值触发MFA；d.微隔离：采用ServiceMesh（Istio），mTLS双向认证，支持L7策略；e.协议栈：HTTP/2overQUIC，0-RTT恢复，减少30%时延。（3）材料清单：a.数据出境风险自评估