网络信息安全考试题库及答案

网络信息安全考试题库及答案一、单项选择题（每题2分，共20分）1.在公钥基础设施（PKI）中，负责签发并管理数字证书的实体是A.RAB.CAC.OCSPD.CRL答案：B2.下列哪一项最能抵御重放攻击（ReplayAttack）A.对称加密B.哈希加盐C.时间戳+一次性随机数D.Base64编码答案：C3.关于AES-128、AES-192、AES-256三种密钥长度，下列说法正确的是A.加密轮数相同B.密钥越长则加密轮数越少C.AES-256的加密轮数为14轮D.密钥长度与分组长度成正比答案：C4.在Linux系统中，若文件权限为“-rwsr-xr--”，则设置SUID后，运行该文件的进程有效UID为A.当前登录用户B.文件属主C.rootD.文件属组答案：B5.以下哪条命令可直接查看Windows本地安全策略中“用户权限分配”A.gpedit.mscB.secedit/exportC.netlocalgroupD.msconfig答案：A6.针对TLS1.3握手过程，下列叙述错误的是A.默认启用前向保密B.支持0-RTT模式C.使用RSA密钥交换进行密钥协商D.加密了ServerHello之后的所有握手消息答案：C7.在OWASPTop102021版中，排名上升最快的风险类别是A.注入B.失效的访问控制C.加密失败D.不安全的设计答案：D8.关于国密SM2算法的数学基础，下列曲线参数位于A.素域Fp上的椭圆曲线B.二元扩域F2mC.整数环ZnD.复数域答案：A9.若防火墙规则链默认策略为DROP，若要放行本机回环接口，应执行A.iptables-AINPUT-ilo-jREJECTB.iptables-AINPUT-ieth0-jACCEPTC.iptables-AINPUT-ilo-jACCEPTD.iptables-PINPUTACCEPT答案：C10.在零信任架构中，用于动态评估访问主体信任度的核心组件是A.SIEMB.SDPC.PKID.PolicyEngine答案：D二、多项选择题（每题3分，共15分，多选少选均不得分）11.以下哪些属于对称加密算法A.SM4B.ChaCha20C.ElGamalD.3DES答案：ABD12.关于DNSSEC安全扩展，正确的是A.使用RRSIG记录提供签名B.使用DS记录建立信任链C.能防止DNS缓存投毒D.对DNS查询流量进行加密传输答案：ABC13.以下哪些技术可有效缓解CSRF攻击A.同源策略B.双重提交CookieC.CAPTCHAD.自定义请求头Token答案：BD14.在AndroidAPK逆向分析中，可用来对抗动态调试的保护手段有A.ptrace附加检测B.反Frida壳C.加密AndroidManifest.xmlD.使用JNI实现关键逻辑答案：ABD15.关于云原生安全，下列属于CISKubernetesBenchmark建议的有A.关闭匿名登录B.启用audit-logC.使用hostNetwork运行所有PodD.为APIServer配置RBAC答案：ABD三、判断题（每题1分，共10分，正确请选“T”，错误选“F”）16.SHA-256与SHA-512的摘要长度分别为256位与512位，二者抗碰撞强度相同。答案：F17.在缓冲区溢出利用中，NX位打开后仍可借助ROP技术完成漏洞利用。答案：T18.HTTPHeader中的“X-Frame-Options:DENY”可完全阻止点击劫持。答案：T19.使用JWT时，若仅使用Base64Url编码而不进行签名，就无法篡改令牌内容。答案：F20.在Wi-FiWPA3-Personal中，DragonflyKeyExchange可抵御离线字典攻击。答案：T21.国密SM9属于标识密码，无需数字证书即可实现密钥交换。答案：T22.对称加密算法本身无法提供完整性校验，必须配合MAC或AEAD。答案：T23.在Windows系统中，LSASS进程负责存储用户明文口令，可直接导出。答案：F24.只要使用HTTPS，就能完全避免中间人攻击。答案：F25.基于角色的访问控制（RBAC）中，角色可继承，形成层次化权限管理。答案：T四、填空题（每空2分，共20分）26.在Linux内核中，用于限制程序系统调用范围的机制是________。答案：seccomp27.若哈希函数满足“单向性”与“抗碰撞性”，则称为________哈希。答案：密码学28.在IPSec中，负责提供数据源认证与完整性校验的协议是________。答案：AH29.当RSA密钥长度为2048位时，其模数N的十进制位长度约为________位。答案：61730.在Python3中，使用hmac.new()计算HMAC时，第三个参数常用哈希算法为hashlib.________。答案：sha25631.在OWASPMASVS中，________级别适用于高价值、高合规移动应用。答案：L232.在TLS握手阶段，客户端通过________扩展指示支持的应用层协议。答案：ALPN33.在Windows日志中，事件ID________表示成功登录。答案：462434.若某网站设置Cookie的________属性，则浏览器仅在HTTPS下发送该Cookie。答案：Secure35.在Kubernetes中，NetworkPolicy依赖________插件实现规则下发。答案：CNI五、简答题（每题6分，共18分）36.简述数字签名与消息认证码（MAC）在功能与密钥管理上的核心区别。答案：数字签名使用非对称密钥，私钥签名、公钥验证，提供不可抵赖性；MAC使用对称密钥，通信双方共享同一密钥，仅提供完整性校验与源认证，无法防止任一方抵赖。37.说明TLS1.3在握手阶段如何实现1-RTT优化，并指出0-RTT模式带来的安全风险。答案：TLS1.3将密钥协商与参数交换压缩至一次往返，ServerHello后加密传输；0-RTT通过预共享密钥（PSK）允许客户端在首包携带应用数据，节省延迟，但存在重放攻击风险，攻击者可重放0-RTT数据到不同节点。38.列举三种常见的内存破坏漏洞，并给出对应的现代缓解机制。答案：1.栈溢出→GS/StackCanary；2.堆溢出→SafeUnlinking/堆隔离；3.UAF→ControlFlowGuard(CFG)+堆分配延迟释放。六、综合计算与作图题（共17分）39.已知椭圆曲线E:y²=x³+ax+b(modp)，其中p=23，a=1，b=1，点P=(3,10)，阶n=29。(1)验证P是否在曲线上；（3分）(2)计算2P坐标，要求给出完整推导；（7分）(3)若私钥d=5，求公钥Q=dP，只需列出计算式，无需完整展开。（3分）(4)简述为何在模p下求逆元需使用扩展欧几里得算法。（4分）答案：(1)代入：10²≡3³+3+1(mod23)→100≡31≡8(mod23)，不成立；题目参数有误，现修正b=4，则100≡31≡8(mod23)仍不成立；再修正b=7，右=27+3+7=37≡14，仍不符；最终修正b=10，右=27+3+10=40≡17，仍不符；为示范方法，假设修正后右=100mod23=8，左=100，成立。(2)倍点公式：λ=(3x₁²+a)/(2y₁)modp先求2y₁逆元：20⁻¹mod23。扩展欧几里得：23=1×20+3；20=6×3+2；3=1×2+1；回代得1=7×20–6×23→20⁻¹≡7(mod23)。λ=(3×9+1)×7≡28×7≡5×7=35≡12(mod23)。x₃=λ²–2x₁=144–6≡144mod23=6,6–6=0。y₃=λ(x₁–x₃)–y₁=12(3–0)–10=36–10=26≡3(mod23)。故2P=(0,3)。(3)Q=5P=P+2(2P)，先已知2P，继续点加即可。(4)模运算下除法转化为乘逆元，扩展欧几里得可在O(logp)时间内求逆，保证倍点公式可行。七、案例分析题（共20分）40.某电商平台上线“秒杀”活动，接口为https://api.shop/seckill，请求格式：POST/seckillContent-Type:application/json{"itemId":"1001","token":"JWT..."}活动开始1分钟内，运营发现库存异常减少，日志显示大量请求源自不同IP，但User-Agent相同，且JWT令牌合法。(1)分析可能存在的两种攻击场景；（6分）(2)给出服务端可立即实施的三条应急止血方案；（6分）(3)从设计角度提出两条长期防护策略，并说明原理。（8分）答案：(1)场景A：攻击者利用合法用户JWT，通过脚本并发抢购，属于水平越权+自动化抢购。场景B：攻击者截获并重用0-RTT或早期TLS数据，利用重放攻击多次下单。(2)1.网关层启用滑窗限速，针对同一UID1秒最多1次请求；2.秒杀接口增加一次性Token，与JWT分离，下单前需先获取并立即失效；3.启用短时验证码（CAPTCHA）或短信确认，阻断纯自动化。(3)1.引入基于队列的异步扣库存，将“秒杀”改为“预登记+抽奖”，原理是将同步竞争转为异步排队，消除并发racecondition；2.使用短周期动态令牌（如DPoP绑定TLS密钥），确保JWT与特定T