2026年春季网络安全防护与安全防护培训试卷(含答案)

2026年春季网络安全防护与安全防护培训试卷(含答案)一、单项选择题（每题2分，共30分）1.在零信任架构中，以下哪项最能体现“永不信任，持续验证”的核心原则？A.基于IP白名单放行内部流量B.对所有访问请求执行动态身份、设备、环境多重验证C.在DMZ区部署双因子认证即可D.仅对远程用户启用SSLVPN答案：B2.某企业使用EDR（端点检测与响应）产品，发现某终端频繁向外部疑似C2地址发起DNS隧道通信，以下哪项处置顺序最合理？A.立即下线终端→全网杀毒→提交样本到VirusTotal→关闭DNS递归B.先隔离终端→提取内存与磁盘镜像→封锁DNS隧道域名→溯源分析C.直接格式化终端→重装系统→恢复用户数据→写事件报告D.通知用户自行断网→等待下一次告警答案：B3.关于国密算法SM2、SM3、SM4的用途描述，正确的是：A.SM2用于对称加密，SM3用于摘要，SM4用于签名B.SM2用于签名与密钥交换，SM3用于摘要，SM4用于对称加密C.SM2用于对称加密，SM3用于签名，SM4用于摘要D.SM2用于摘要，SM3用于对称加密，SM4用于签名答案：B4.某Web接口使用JWT（JSONWebToken）做身份认证，Header中alg字段被篡改为“none”，攻击者伪造了payload，服务器仍接受令牌，该漏洞的最佳修复方案是：A.在代码层强制校验alg字段必须为“HS256”或“RS256”B.把JWT换成Session+CookieC.缩短JWT有效期到5秒D.在JWT中加入用户IP绑定答案：A5.在Linux系统加固时，若要禁止普通用户通过ptrace调试系统进程，应调整以下哪个内核参数？A.net.ipv4.tcp_syncookiesB.kernel.kptr_restrictC.kernel.yama.ptrace_scopeD.vm.swappiness答案：C6.某单位计划建设安全运营中心（SOC），下列哪项最能直接提升MTTR（平均响应时间）指标？A.采购更高带宽的互联网出口B.引入SOAR平台实现告警分级与剧本化自动处置C.每年做一次红蓝对抗演练D.在办公区增加监控摄像头答案：B7.关于HTTP/3协议的安全性，以下说法错误的是：A.基于QUIC，默认加密传输B.消除了TCP层的三次握手，降低中间人攻击面C.因为使用UDP，所以无需考虑重放攻击D.支持0-RTT快速恢复，但可能带来重放风险答案：C8.在Windows日志取证中，事件ID4624表示：A.账户登录失败B.账户成功登录C.权限提升成功D.服务创建答案：B9.某单位使用Kubernetes集群，发现攻击者通过暴露的kubeletAPI（10250端口）执行容器命令，以下哪项加固措施最直接？A.关闭kubelet匿名访问，启用WebhookToken认证B.把容器镜像体积压缩到50MB以内C.给Pod加liveness探针D.使用Calico网络策略限制Pod间流量答案：A10.关于数据跨境传输的《个人信息出境标准合同办法》，以下哪项属于签约双方必须约定的条款？A.境外接收方承诺接受中国法院专属管辖B.境外接收方如发生破产须提前返还或删除个人信息C.境外接收方可将数据再传输至任何第三国D.境内企业无需评估自身数据出境规模答案：B11.在密码学中，以下哪种模式同时提供机密性与完整性，且被TLS1.3采用？A.ECBB.CBCC.GCMD.CTR答案：C12.某单位收到一封鱼叉钓鱼邮件，附件为带宏的XLSM文件，宏代码调用WMI创建进程，以下哪项检测技术最先触发告警？A.基于文件哈希的静态黑名单B.沙箱动态行为分析C.邮件网关SPF校验失败D.基于IP信誉的拦截答案：B13.关于Ransomware防御，以下哪项属于“预前隔离”策略？A.定期离线备份并做不可变存储B.部署HIDS检测加密行为C.购买比特币准备赎金D.关闭全部445端口答案：A14.在SSL/TLS中间人攻击中，攻击者必须首先完成哪一步？A.破解服务器私钥B.让客户端信任伪造的CA证书C.预测TLS会话随机数D.劫持TCP序列号答案：B15.某单位使用DevSecOps流水线，下列哪项最适合在“构建”阶段引入安全控制？A.SCA（软件成分分析）检测第三方组件漏洞B.运行时RASP防护C.渗透测试D.基线核查答案：A二、多项选择题（每题3分，共30分，每题至少两个正确答案，多选少选均不得分）16.以下哪些技术可有效防御DNS劫持？A.DNSSECB.DoH（DNSoverHTTPS）C.基于TCP的DNSD.本地Hosts文件静态绑定答案：A、B、D17.关于GDPR与《个人信息保护法》的共同点，下列说法正确的是：A.均设立巨额罚款，最高可达全球营业额7%B.均赋予数据主体删除权C.均要求数据处理具备合法性基础D.均禁止儿童个人信息处理答案：B、C18.以下哪些日志源可用于APT攻击溯源？A.Proxy访问日志B.DNS解析日志C.内存转储D.门禁刷卡记录答案：A、B、C19.在无线安全测试中，可采取哪些方式发现隐藏的SSID？A.主动发送ProbeRequest帧B.监听Beacon帧的Tag信息C.发动Deauthentication攻击迫使客户端重连D.直接暴力破解AP管理员密码答案：A、B、C20.关于同态加密，下列说法正确的是：A.可在加密数据上直接进行特定运算，结果解密后等同于明文运算结果B.RSA属于全同态加密方案C.CKKS方案支持浮点数近似运算，适合机器学习场景D.目前主流方案计算开销仍较大答案：A、C、D21.以下哪些属于容器逃逸的高危内核利用？A.DirtyCow（CVE-2016-5195）B.CVE-2022-0847（DirtyPipe）C.CVE-2021-4034（PwnKit）D.Log4Shell（CVE-2021-44228）答案：A、B、C22.在Python代码审计中，哪些函数若参数外部可控可导致命令执行？A.os.systemB.subprocess.call(shell=True)C.evalD.pickle.loads答案：A、B、C、D23.以下哪些属于可信计算技术TPM的典型功能？A.安全启动度量B.密钥密封与解封C.远程证明（Attestation）D.动态防火墙策略答案：A、B、C24.关于云原生安全，以下哪些做法符合“安全左移”理念？A.在IDE插件中集成SASTB.在CI阶段强制IaC（Terraform）安全扫描C.生产环境部署WAFD.在代码仓库强制CodeReview+自动依赖漏洞检测答案：A、B、D25.以下哪些属于社会工程学攻击的“预前侦察”阶段？A.在LinkedIn收集员工职位信息B.对公司官网进行子域名爆破C.伪装快递员进入办公区拍照D.发送钓鱼邮件答案：A、B三、判断题（每题1分，共10分，正确打“√”，错误打“×”）26.TLS1.3已彻底禁用RSA密钥交换，仅支持前向保密算法。答案：√27.使用AES-256-CBC模式加密时，只要密钥足够长就无需IV随机性。答案：×28.在Windows系统中，关闭UAC可彻底防止权限提升攻击。答案：×29.国密SM9属于基于标识的密码体制，无需数字证书。答案：√30.零日漏洞是指官方发布补丁后第0天被发现的漏洞。答案：×31.基于eBPF技术可在Linux内核实现高性能、可编程的网络安全策略。答案：√32.HTTP响应头“X-Content-Type-Options:nosniff”可防止MIME类型混淆攻击。答案：√33.在Kubernetes中，PodSecurityPolicy（PSP）在v1.25版本已被正式移除。答案：√34.量子计算机一旦实用化，Shor算法可在多项式时间内破解ECC与RSA。答案：√35.使用ChaCha20-Poly1305比AES-GCM在移动端更慢，因为纯软件实现效率低。答案：×四、填空题（每空2分，共20分）36.在Linux系统中，使用______命令可查看当前监听端口对应的进程PID。答案：ss-ltnp或netstat-ltnp37.若JWT的签名算法为RS256，则签名私钥保存在______端，公钥保存在______端。答案：签发（服务器），验证（客户端或网关）38.在密码学中，______攻击指攻击者拥有明文与对应密文，试图推导出密钥。答案：已知明文39.我国《关键信息基础设施安全保护条例》要求运营者至少每______年进行一次网络安全风险评估。答案：140.在WindowsPowerShell中，执行策略默认为______，会阻止所有脚本运行。答案：Restricted41.在SQL注入中，使用______函数可将多条SQL语句连接在一起执行（以MySQL为例）。答案：CONCAT或；42.在IPv6中，回环地址为______。答案：::143.在OWASPTop102021中，______类别取代了原有的“XML外部实体（XXE）”。答案：安全日志与监控失败（A09）44.在公钥基础设施中，负责颁发CRL（证书撤销列表）的实体是______。答案：CA（证书颁发机构）45.在渗透测试中，______阶段的主要任务是确定攻击面并绘制网络拓扑。答案：信息收集/侦察五、简答题（每题10分，共30分）46.简述零信任架构下“微分段”（Micro-Segmentation）的实现要点，并给出两种常见技术方案。答案：要点：1)以身份、环境、行为为边界，而非传统网段；2)策略粒度细化到进程、服务、API级；3)动态策略引擎实时评估风险并调整；4)统一可视化管理与审计。技术方案：a.基于主机的微分段：使用EDR/主机防火墙标签（如CrowdStrikeZTA、Illumio）；b.基于网络的微分段：采用VXLAN+SDN控制器，结合身份标签（如CiscoACI、VMwareNSX）。47.某企业收到监管通报，发现其APP超范围收集IMEI信息，请给出合规整改的完整流程。答案：1)立即下架旧版本，冻结数据出境通道；2)成立专项组，对代码与第三方SDK进行静态扫描，定位IMEI获取点；3)依据最小必要原则，移除非核心功能对IMEI的依赖，改用AndroidID或UUID；4)更新隐私政策，明确收集目的、范围、存储期限、用户权利；5)重新进行个人信息保护影响评估（PIA），形成报告存档；6)向省级以上网信办提交整改报告，申请复测；7)上线后持续监测，通过移动应用备案平台更新版本号与哈希。48.描述一次完整的内存取证流程，并给出提取Windows注册表“SAM”hive的命令。答案：流程：1)物理隔离目标主机，防止内存被覆盖；2)使用免安装内存获取工具（如WinPmem、DumpIt）制作内存镜像；3)计算镜像哈希，确保证据链完整；4)使用Volatility/Rekall分析镜像，建立内存profile；5)提取进程、网络、注册表、恶意代码段；6)生成报告，出庭或内部复盘。命令（Volatility3示例）：```bashpython3vol.py-fmem.rawwindows.registry.printkey--key"SAM\Domains\Account\Users"```或提取整个SAMhive：```bashpython3vol.py-fmem.rawwindows.registry.hivelist|grep-isampython3vol.py-fmem.rawwindows.registry.dump--hive-offset<offset>--dump-dir./```六、综合计算与案例分析题（共30分）49.（本题15分）某单位计划部署IPSecVPN，采用IKEv2+ESP隧道模式，已知：外网链路带宽100Mbps，往返时延RTT=50ms，丢包率p=0.1%；数据包平均长度L=1400Byte，加密引入开销20Byte；要求传输层有效吞吐≥90Mbps。请计算：a)考虑丢包与开销，实际需达到的物理层速率V_min；b)若使用TCPCUBIC，理论最大窗口W（包数）至少多大？（给出LaTex公式与步骤，结果保留两位小数）答案：a)物理层速率需覆盖开销与丢包重传。有效负载占比：η=考虑丢包重传，采用简化公式：R令goodput≥90Mbps，则Vb)TCP最大窗口：带宽时延积BDP=每包长度1420Byte，则W=50.（本题15分）阅读场景并回答问题：场景：攻击者通过某供应链软件更新服务器，下发携带合法数字签名的升级包，但升级包内暗藏后门。该软件采用RSA-PKCS#1v1.5签名，验证代码如下（伪代码）：```pythondefverify(sig,cert):pk=cert.get_pubkey()returnpk.rsa_verify(sig,hash=SHA1,data=update_file)```问题：a)指出签名算法与摘要算法的安全缺陷；b)给出攻击者可能利用的现有攻击技术名称；c)写出安全修复后的验证伪代码，要求具备前向安全与抗量子过渡能力。答案：a)缺陷：1)RSA-PKCS#1v1.5存在填充校验信息泄露，可诱发Bleich