2026年网络管理员《网络安全》考试试卷培训

2026年网络管理员《网络安全》考试试卷培训1.（单选）在TLS1.3握手流程中，用于实现前向保密的核心机制是A.RSA密钥传输B.静态DH参数复用C.EphemeralDiffie-HellmanD.长期证书签名2.（单选）某企业采用802.1X对接入交换机进行端口级认证，若攻击者通过伪造EAPOL-Start帧持续触发认证请求，最可能触发的安全问题是A.MAC表溢出B.802.1X认证DoSC.VLAN跳跃D.STP根桥欺骗3.（单选）下列哪条Linux内核参数可直接缓解SYNFlood攻击A.net.ipv4.tcp_tw_reuseB.net.ipv4.tcp_syncookiesC.net.ipv4.ip_forwardD.dev_max_backlog4.（单选）在WindowsServer2025中，实现基于虚拟化的安全（VBS）所依赖的CPU特性为A.IntelMPXB.IntelTSXC.IntelVT-x与VT-dD.IntelSGX5.（单选）关于DNSSEC的NSEC3记录，下列说法正确的是A.用于证明域名存在B.通过哈希链防止区域遍历C.包含完整子域名列表D.仅支持RSA/SHA-256算法6.（单选）某单位出口防火墙检测到大量IPv6逐跳头（Hop-by-HopOptionsheader）数据包，最合理的处置策略是A.直接放行，IPv6逐跳头为正常扩展头B.丢弃并记录，可能被用于隐蔽隧道C.重定向至IDS镜像端口D.限速1Mbps后放行7.（单选）在零信任架构中，用于持续评估终端安全状态的协议是A.TACACS+B.RADIUSC.PostureAgent通过SWG接口D.GREoverIPSec8.（单选）利用CVE-2025-2121漏洞，攻击者可在未授权情况下通过SNMPSET操作修改华为S5735交换机配置，该漏洞的CVSS3.1基础评分中，"可利用性指标"最高的是A.AttackVector(AV)B.AttackComplexity(AC)C.PrivilegesRequired(PR)D.UserInteraction(UI)9.（单选）在Kubernetes1.32环境中，为防止容器逃逸至宿主机，应优先启用的内核安全特性为A.cgroupv1B.seccomp与AppArmorC.HugePagesD.kexec10.（单选）某Web应用使用JWT作为会话令牌，Header为{"alg":"HS256","typ":"JWT"}，若服务端仅采用单一密钥验证，且未检查alg，则攻击者通过将alg改为none并清空签名可实施A.跨站请求伪造B.密钥混淆攻击C.算法替换攻击D.时间混淆攻击11.（单选）在IPsec隧道模式下，新增ESP头之后的IP总长度字段值变化为A.增加8字节B.增加24字节C.增加32字节以上，具体与加密算法有关D.不变12.（单选）关于国密算法SM2与RSA的比较，下列描述错误的是A.SM2基于椭圆曲线离散对数难题B.相同安全强度下SM2密钥长度更短C.SM2签名速度普遍低于RSA-2048D.SM2已列入ISO/IEC14888-313.（单选）在Windows1124H2中，启用MicrosoftPluton安全处理器后，BitLocker密钥保护器默认存储于A.TPM1.2B.TPM2.0与Pluton组合C.纯软件加密提供程序D.外部USB密钥14.（单选）利用LLMNR欺骗攻击获取NTLMv2哈希后，下一步最可能实施的攻击为A.Pass-the-HashB.KerberoastingC.RelaytoSMB签名禁用主机D.GoldenTicket15.（单选）在SD-WAN场景下，为检测加密流量中的隐蔽隧道，可部署的检测引擎是A.基于端口的DPIB.JA3/JA3S指纹关联+流量时序分析C.静态签名Snort规则D.NetFlowv516.（单选）关于量子计算对现有公钥体系的影响，下列说法正确的是A.Grover算法可在O(N^{1/3})时间内破解ECCB.Shor算法可在多项式时间内分解大整数C.量子退火机已可破解AES-256D.后量子算法McEliece基于哈希函数17.（单选）在Linux系统中，若文件权限为4755，且属主为root，则普通用户执行该文件时A.仅获得root的UIDB.获得root的UID与GIDC.获得root的UID与自身GIDD.无任何特权18.（单选）某云租户在VPC内启用安全组A允许TCP/80入站，同时绑定网络ACL拒绝TCP/80入站，最终流量A.允许B.拒绝C.由路由表决定D.由IGW决定19.（单选）在OAuth2.1授权码流程中，PKCE的code_verifier长度要求为A.32~64字节B.43~128字节C.256字节固定D.无限制20.（单选）当IDS检测到ICMP类型3代码4（需要分片但DF置位）异常增多，最可能发生的攻击是A.PingFloodB.TeardropC.PathMTU发现欺骗D.Smurf21.（多选）以下哪些技术可同时提供机密性与完整性保护A.AES-GCMB.ChaCha20-Poly1305C.HMAC-SHA256D.RSA-OAEP22.（多选）关于Linux的capabilities，下列选项中可用于限制普通用户执行mount操作的有A.CAP_SYS_ADMINB.CAP_DAC_OVERRIDEC.CAP_SETUIDD.CAP_SYS_PTRACE23.（多选）在Windows事件日志中，可用来发现Kerberos票据授予票据（TGT）请求异常的特征包括A.事件ID4768，TicketEncryptionType0x17B.事件ID4769，ServiceName为krbtgtC.事件ID4624，LogonType3D.事件ID4768，Pre-AuthType024.（多选）以下关于HTTP/3安全机制的描述正确的有A.强制使用TLS1.3B.基于UDP的QUIC协议内置重放保护C.0-RTT存在重放攻击风险D.采用静态加密密钥25.（多选）在容器镜像安全扫描中，可检测到的风险包括A.应用依赖存在CVEB.镜像包含可写/etc/shadowC.使用root用户启动业务进程D.基础镜像标签为latest26.（多选）关于Wi-Fi6E引入的6GHz频段，下列说法正确的有A.支持WPA3-Enterprise192位模式B.强制管理帧保护（MFP）C.禁用WPA2D.采用OFDMA提升多用户并发27.（多选）在Python代码审计中，可导致命令注入的函数有A.os.systemB.subprocess.call(shell=True)C.os.popenD.shutil.copy28.（多选）以下属于后量子密码算法的有A.CRYSTALS-KYBERB.FalconC.NTRUD.ECDH29.（多选）关于AWSS3桶的安全配置，正确的有A.通过bucketpolicy可限制源IPB.开启BlockPublicAccess会覆盖ACLC.SSE-S3使用AES-256服务端加密D.接入点（AccessPoint）支持VPC内专用访问30.（多选）在Android14中，可缓解应用过度申请权限的机制有A.权限自动回收B.照片选择器替代READ_MEDIA_IMAGESC.后台启动前台服务限制D.精确闹钟权限需声明31.（判断）在BGP安全扩展BGPsec中，每个AS对路由通告进行签名，路径上的任意AS均可单独验证整条路径的真实性。（）32.（判断）使用ChaCha20-Poly1305加密0字节长度的明文，其密文长度仍为0字节，不附加任何认证标签。（）33.（判断）在Linux中，若设置sysctl-wnet.ipv4.conf.all.rp_filter=2，则可同时启用严格和松散反向路径验证，防止IP源地址欺骗。（）34.（判断）WindowsDefenderApplicationGuard利用Hyper-V虚拟容器隔离Edge浏览器，即使恶意网页利用RCE漏洞，也无法访问宿主企业数据。（）35.（判断）国密SM4算法的工作模式ECB在相同密钥下对相同明文块产生的密文块一致，因此不适合加密大量重复数据。（）36.（判断）在5GSA网络中，SUCI采用归属网络公钥加密，可防止IMSI捕获，但无法防止伪基站降级至4G进行攻击。（）37.（判断）利用Git的符号链接攻击，可在Windows系统上将任意文件写入受保护目录，前提是需要拥有SeCreateSymbolicLinkPrivilege。（）38.（判断）AES-NI指令集可加速AES加密，但无法用于GCM模式下的GHASH计算。（）39.（判断）在VMwarevSphere8中，启用虚拟TPM2.0后，虚拟机迁移至未配置KMS的主机将导致BitLocker进入恢复模式。（）40.（判断）OAuth2.0的隐式授权流程在OAuth2.1中已被废弃，原因是访问令牌暴露在URL片段中易被泄漏。（）41.（填空）在IPv6中，用于实现地址解析替代ARP的协议是________，其消息类型为________请求和________应答。42.（填空）Linux系统调用________可限制进程对文件描述符的操作，常用于沙箱中禁止意外打开新文件。43.（填空）当利用JohntheRipper破解Linuxshadow文件时，若哈希格式为6rounds=5000salthash，其使用的算法为________。44.（填空）在SQL注入中，若数据库为PostgreSQL，通过函数________可读取文件内容，前提需拥有超级用户权限。45.（填空）Windows日志中，事件ID________表示账户成功启用Kerberos委派的无约束委派。46.（填空）国密SM2椭圆曲线推荐参数使用的素数域为________位。47.（填空）在Python3.12中，用于安全随机数生成的模块函数为________。48.（填空）利用________工具可对AndroidAPK进行静态分析，直接查看AndroidManifest.xml的明文内容。49.（填空）在TLS1.3中，用于实现0-RTT数据的早期密钥衍生自________扩展中的预共享密钥。50.（填空）在BGP中，用于防止路由环路的属性字段为________。51.（简答）描述Linux下利用eBPF实现基于系统调用的入侵检测的原理，并给出关键数据结构名称。52.（简答）说明WPA3-SAE握手如何抵御离线字典攻击，并指出其引入的防侧信道技术名称。53.（简答）列举三种可检测LDAP注入的代码审计策略，并给出每种策略对应的正则表达式示例。54.（简答）阐述量子随机数发生器（QRNG）与基于算法的密码学安全随机数发生器的本质区别，并指出QRNG在密钥生成中的优势。55.（简答）说明在Kubernetes中，如何通过AdmissionWebhook限制容器镜像仓库域名，并给出ValidatingWebhookConfiguration的rules字段示例。56.（综合）某企业内网存在一台WindowsServer2025域控，域功能级别为WindowsServer2025，所有域用户均属于ProtectedUsers组。攻击者已获取一台加入域的Windows11工作站的本地管理员权限，但无法获取域管账户。请回答：（1）说明ProtectedUsers组对Kerberos票据生命周期的限制；（2）分析攻击者可能利用的横向移动路径，并给出两种检测方案；（3）若企业计划部署基于CredentialGuard的虚拟化隔离，请给出组策略配置路径及关键设置项。57.（综合）某电商Web站点采用微服务架构，网关使用Envoy1.29，后端服务通过mTLS通信。发现订单服务存在JWT密钥硬编码漏洞，攻击者可通过GitHub历史提交获取密钥。请回答：（1）给出利用该密钥伪造任意用户订单查询请求的完整HTTP报文示例；（2）说明Envoy如何配置JWT验证过滤器以支持JWKS动态轮换，并给出yaml片段；（3）若采用Istio1.22，请给出PeerAuthentication策略，强制全网格mTLS严格模式，并禁用明文回退。58.（综合）某云原生CI/CD平台使用GitLab17.1、Kubernetes1.32、Harbor3.0。发现构建节点存在容器逃逸漏洞，攻击者可获取宿主机root权限。请回答：（1）说明如何通过PodSecurityPolicy（或PodSecurityStandards）限制构建容器必须以非root身份运行，并给出yaml示例；（2）给出Harbor内容信任（Cosign）签名验证的CRD配置，使得只有签名镜像可部署到production命名空间；（3）若GitLabRunner采用Kubernetesexecutor，请给出config.toml片段，限制挂载宿主机/var/run/docker.sock。59.（计算）某公司拟部署IPsecVPN，使用AES-256-GCM加密，隧道模式，DH组20（384-bitECC），每小时需传输1.2TB数据。假设报文平均长度为1400字节，计算：（1）ESP头长度；（2）每包加密后增加的字节数；（3）在不考虑重传与协商开销的情况下，每小时因加密额外增加的流量（GB），结果保留两位小数。60.（计算）在SM2数字签名算法中，已知椭圆曲线参数为E:其中p=22562224+设私钥d=0x7D8F3A8C，随机数k=0x49A8F7E1，消息哈希e=SM3(m)=0x6BA8F6D3。请计算签名(r,s)中的r值，给出完整推导过程，要求使用LaTeX标准公式。【答案与解析】1.C。TLS1.3仅保留EphemeralDH，实现前向保密。2.B。大量伪造EAPOL-Start可耗尽认证会话表，形成DoS。3.B。tcp_syncookies无状态半开连接，缓解SYNFlood。4.C。VBS需VT-x/VT-d提供虚拟化安全。5.B。NSEC3采用哈希链防止区域遍历。6.B。IPv6扩展头可被用于隐蔽隧道，应丢弃并记录。7.C。PostureAgent持续评估终端状态。8.A。SNMP远程利用，AttackVector为Network，分值最高。9.B。seccomp与AppArmor限制系统调用与文件权限，防止逃逸。10.C。将alg改为none并清空签名即算法替换攻击。11.C。ESP头含SPI、序列号、IV，总长度取决于算法，通常32字节以上。12.C。SM2签名速度高于RSA-2048。13.B。Pluton作为安全处理器与TPM2.0协同存储密钥。14.C。NTLMv2Relay至SMB签名禁用主机。15.B。JA3/JA3S结合时序可发现加密隧道。16.B。Shor算法多项式时间分解大整数。17.A。Set-UID位仅提升UID。18.B。安全组与网络ACL同时评估，显式拒绝优先。19.B。PKCEcode_verifier43~128字节。20.C。PathMTU发现欺骗可触发DoS。21.AB。AES-GCM与ChaCha20-Poly1305提供AEAD。22.AB。CAP_SYS_ADMIN与CAP_DAC_OVERRIDE控制挂载与权限。23.AD。4768与Pre-AuthType0可发现无预认证请求。24.ABC。HTTP/3强制TLS1.3，0-RTT有重放风险。25.ABCD。镜像扫描覆盖CVE、权限、标签等。26.ABD。WPA3-Enterprise192位、MFP、OFDMA均正确。27.ABC。os.system、subprocess.call(shell=True)、os.popen均可注入。28.ABC。CRYSTALS-KYBER、Falcon、NTRU为后量子算法。29.ABCD。S3桶策略、BlockPublicAccess、SSE-S3、AccessPoint均正确。30.ABCD。Android14引入自动回收、照片选择器、后台服务限制、精确闹钟权限。31.√。BGPsec每跳AS签名，路径可验证。32.×。ChaCha20-Poly1305空明文仍输出16字节标签。33.√。rp_filter=2启用松散反向路径验证。34.√。ApplicationGuard使用Hyper-V隔离。35.√。ECB模式相同明文输出相同密文。36.√。SUCI加密无法防止4G降级。37.√。SeCreateSymbolicLinkPrivilege需本地管理员。38.×。AES-NI包含PCLMULQDQ加速GHASH。39.√。虚拟TPM需KMS解密密钥。40.√。隐式授权因令牌暴露被废弃。41.邻居发现协议（NDP）、邻居、邻居。42.seccomp。43.SHA-512crypt。44.pg_read_file。45.2008。46.256。47.secrets.token_bytes。48.apktool。49.pre_shared_key。50.AS_PATH。51.原理：eBPF程序挂载至raw_tracepoint/sys_enter等钩子，截获系统调用号与参数，通过bpf_map更新统计与策略，关键结构：structbpf_prog、bpf_map、struct__sk_buff。52.WPA3-SAE采用椭圆曲线离散对数，引入抗侧信道技术：Dragonfly掩码点运算，防离线字典。53.（1）输入过滤：正则^[\w\s\-\.]+；（254.QRNG基于量子力学随机性，不可预测；算法RNG基于确定性算法；QRNG优势：真随机、不可重现、熵源高。55.rules:[{"apiGroups":["apps"],"apiVersions":["v1"],"operations":["CREATE","UPDATE"],"resources":["deployments"],"scope":"Namespaced"}]，配合webhook校验镜像域名。56.（1）ProtectedUsers组限制Kerberos票据最长生命期为240分钟，禁止NTLM与DES/RC4。（2）路径：本地管理员→提取内存凭据→RDP横向；检测：Sysmon事件ID10（ProcessAccess）+事件ID3（NetworkConnect），