2026年网络安全认证专项训练试卷

2026年网络安全认证专项训练试卷一、单项选择题（每题2分，共30分）1.在TLS1.3握手过程中，用于实现前向保密的核心机制是A.RSA密钥传输B.静态DH密钥交换C.EphemeralDiffie-HellmanD.预共享密钥PSK2.某企业采用零信任架构，下列哪项最能体现“永不信任、持续验证”原则A.内网流量免审计B.基于用户行为分析的动态访问控制C.仅对互联网入口部署WAFD.使用单点登录后不再二次认证3.关于国密SM2算法的描述，正确的是A.基于椭圆曲线离散对数难题B.签名过程与ECDSA完全兼容C.密钥长度固定为256bitD.仅支持加密，不支持签名4.在Linux系统中，若需阻止普通用户通过`ptrace`调试系统进程，应调整哪一项内核参数A.`kernel.randomize_va_space`B.`kernel.yama.ptrace_scope`C.`net.ipv4.tcp_syncookies`D.`fs.suid_dumpable`5.某Web应用使用JWT作为会话令牌，下列哪项配置最易导致令牌被伪造A.使用HS256且密钥长度≥256bitB.使用RS256并将公钥公开给客户端C.使用ES256并启用`exp`声明D.使用HS256但密钥硬编码在客户端6.针对DNS劫持的防御措施中，最能从源头降低劫持成功率的是A.本地hosts文件静态绑定B.启用DNSSEC并验证链上所有RRSIGC.使用公共DoH服务器D.增加域名注册商锁定7.在容器逃逸漏洞中，最常被利用的是A.容器镜像体积过大B.未限制`CAP_SYS_ADMIN`能力C.使用AlpineLinuxD.只读根文件系统8.某APT组织利用DNS隧道外传数据，下列流量特征最可疑的是A.查询类型为AAAA且响应包大小恒定64byteB.查询子域名熵值≥4.8且时间间隔呈指数退避C.响应码NXDOMAIN占比>90%D.查询域名长度均小于15字符9.关于AES-GCM模式，下列说法错误的是A.提供机密性与完整性B.需要nonce唯一但无需随机C.支持并行计算认证标签D.加密与认证可分离处理10.在Windows日志审计中，可定位“哈希传递”攻击最直接的事件ID是A.4624B.4648C.4769D.477111.某企业部署了EDR，发现进程`powershell.exe`调用`NtProtectVirtualMemory`将内存页属性改为`RWX`，此行为最可能属于A.正常脚本执行B.代码注入C.数字签名验证D.堆喷射预处理12.在5G核心网中，用于隐藏用户永久标识符SUPI的临时标识是A.GUTIB.5G-TMSIC.SUCID.PEI13.关于区块链51%攻击，下列哪项描述正确A.攻击者必须破解SHA-256B.可逆转任意历史交易C.可双花自己已确认的交易D.无法影响未确认交易14.某云函数（Lambda）使用临时AK/SK访问对象存储，最佳实践是A.将AK/SK写入环境变量B.使用IAM角色并启用STSC.长期AK/SK绑定函数D.通过配置文件注入密钥15.在威胁情报共享标准中，STIX2.1对象里用于描述攻击者所用恶意软件家族的是A.indicatorB.malwareC.attack-patternD.intrusion-set二、多项选择题（每题3分，共30分；每题至少有两个正确答案，多选少选均不得分）16.以下哪些属于内存破坏漏洞的缓解技术A.ASLRB.DEP/NXC.CFGD.SMAPE.FORTIFY_SOURCE17.关于HTTP/3相比HTTP/2的安全改进，正确的有A.强制使用TLS1.3B.基于QUIC的0-RTT存在重放风险C.头部压缩使用HPACKD.连接迁移需重新握手E.队头阻塞问题完全解决18.在KubernetesRBAC中，可导致集群提权的高危配置包括A.将`cluster-admin`绑定到system:anonymousB.对defaultServiceAccount授予createpods权限C.启用PodSecurityPolicy并设置privileged=falseD.允许用户escalateverbsE.使用NetworkPolicy限制跨命名段流量19.以下哪些方法可有效检测内网横向移动中的“Kerberoasting”A.监测大量TGS_REQ且服务账户为普通用户B.监测RC4加密类型占比突增C.监测TGT有效期大于10小时D.监测AS_REQ中预认证失败>50次/小时E.监测服务账户口令长度<15字符20.关于同态加密，正确的有A.RSA属于部分同态B.CKKS支持浮点数近似计算C.BFV基于整数多项式环D.全同态无需引导（bootstrapping）E.目前可在1秒内完成AES-128电路同态运算21.以下哪些属于软件供应链攻击的典型入口A.篡改公共Maven仓库中的库文件B.在GitHub提交中隐藏恶意GitHubActionC.对DockerHub官方镜像植入后门D.利用Struts20day攻击内网OAE.在VSCode扩展市场发布伪装插件22.关于RISC-V架构安全扩展，正确的有A.PMP可限制M模式访问任意物理地址B.S模式无法绕过PMP检查C.支持硬件影子栈（ShadowStack）标准扩展D.物理内存加密为强制扩展E.支持IOPMP对外设DMA进行隔离23.以下哪些日志可用于溯源WebShell上传事件A.Web服务器accesslog中POST请求体大小>2MB且返回200B.操作系统审计日志出现`wevtutilclsecurity`C.防火墙日志中外网IP对80端口长连接D.数据库binlog出现`select@@version`E.EDR日志中`w3wp.exe`创建文件`c:\inetpub\wwwroot\shell.aspx`24.关于量子密钥分发（QKD），正确的有A.BB84协议可检测窃听引起的误码率上升B.需要经典信道进行基比对C.可实现信息论安全D.目前商用光纤距离可达1000km无中继E.易受中间人攻击需认证经典信道25.以下哪些属于隐私计算技术A.联邦学习B.安全多方计算C.差分隐私D.可信执行环境E.零知识证明三、判断题（每题1分，共10分；正确打“√”，错误打“×”）26.在iOS17中，即使越狱也无法提取SecureEnclave中生成的私钥。27.使用Content-Security-Policy:default-src'self'可完全杜绝XSS。28.DNSoverHTTPS（DoH）默认使用UDP/443端口。29.在BGP安全中，RPKI可有效防止路由泄露但不能防止AS_PATH伪造。30.对于AES-CBC模式，使用固定IV加随机密钥即可满足IND-CPA安全。31.在WindowsDefender中启用“受控文件夹访问”可阻断勒索软件加密用户文档。32.HTTP状态码451代表“法律原因不可用”。33.在Git中，执行`gitreset--hardHEAD~1`会彻底抹除提交记录，无法通过任何方式恢复。34.使用ChaCha20-Poly1305比AES-256-GCM在ARMNEON指令集上性能更高。35.在Linux中，开启`noexec`挂载选项可阻止二进制文件执行，但无法阻止脚本解释器执行脚本。四、填空题（每空2分，共20分）36.在TLS1.3中，用于加密握手完成后的应用数据的对称密钥称为________密钥。37.国密SM3杂凑算法输出长度为________bit。38.某Web应用使用CSRFToken，若Token未绑定________，则仍可能被绕过。39.在Windows系统中，LSASS进程内存中存储的哈希类型若为NTLM，其长度为________字节。40.在Kubernetes中，________字段可限制容器使用特权模式。41.在5GAKA流程中，________参数用于防止重放攻击。42.在ARMv8.5-A中，用于防御ROP/JOP的硬件扩展名为________。43.在Python中，使用`secrets.token_urlsafe(32)`生成的字符串长度为________字符（不含填充）。44.在QUIC协议中，用于实现连接迁移的标识符称为________。45.在区块链中，以太坊EIP-1559引入的交易费用机制称为________。五、简答题（每题10分，共30分）46.简述“零信任网络”架构下，用户访问私有SaaS的完整认证与授权流程，并指出与传统VPN方案的三点本质区别。47.某电商平台发现大量接口返回“429TooManyRequests”，经分析为恶意爬虫。请给出基于行为画像的检测与缓解方案，要求覆盖采集、建模、响应三阶段，并说明如何降低误杀。48.描述一次完整的内存马（无文件WebShell）攻击链：从入口、内存加载、持久化到隐蔽通信，并给出在Linux+Java场景下的检测与清除步骤。六、综合应用题（共30分）49.某金融公司计划上线开放银行API，需满足PSD2、GDPR与等保2.0三级要求。技术栈：SpringCloudGateway+OAuth2.1+JWE+mTLS+FAPI1.0。（1）给出授权流程时序图，标注关键参数与加密点。（8分）（2）设计一套密钥管理方案，满足前向保密、密钥轮换、HSM隔离，并说明轮换窗口与回滚策略。（8分）（3）若发现某第三方TPP（支付发起服务商）私钥泄露，给出应急响应流程，包括吊销、公告、日志追溯与用户补偿。（8分）（4）使用LaTeX公式计算：若每日交易量为500万笔，每笔JWEtoken大小为2KB，HSMAES-256-GCM加解密性能为20000ops/s，求所需HSM最小并发实例数，假设峰值系数为3。（6分）附：答案与解析一、单项选择题1.C2.B3.A4.B5.D6.B7.B8.B9.D10.C11.B12.C13.C14.B15.B二、多项选择题16.ABCD17.AB18.ABD19.AB20.ABC21.ABCE22.ABE23.ABE24.ABCE25.ABCDE三、判断题26.√27.×28.×29.×30.×31.√32.√33.×34.√35.√四、填空题36.traffic37.25638.用户会话或用户身份39.1640.securityContext.privileged=false41.AV42.BTI（BranchTargetIdentification）或BTI+PAC43.4344.ConnectionID45.basefee+tip五、简答题（要点示例）46.流程：1.用户发起访问→边缘代理→设备信任评估（端点安全状态、地理位置、行为基线）2.强制MFA→策略引擎动态决策→颁发短期STSToken（15min）3.微网关每次RPC均验证Token+设备指纹+风险评分区别：a.无固定边界，基于身份与上下文而非网络位置b.默认加密所有流量，内网流量亦需mTLSc.访问控制粒度到API级，会话持续重评估47.采集：WAF+AccessLog+埋点JS，提取UA、鼠标轨迹、请求顺序、下载比例建模：时序模型：LSTM检测请求间隔异常图模型：构建用户-商品-IP三部图，发现社区聚集强化学习：实时调整限速阈值响应：渐进挑战：验证码→延迟→封禁白名单：付费用户、搜索引擎冷启动：新IP默认宽松，30s内模型收敛误杀控制：人工复核通道反馈样本回流训练A/B灰度发布48.攻击链：入口→SpringEL0day→获取Runtime→反射加载byte[]→注册Filter型内存马→持久化：动态注册Servlet→隐蔽通信：将指令藏于HTTPHeader的`X-Request-ID`检测：1.扫描JVM已加载类，比对`java.lang.ClassLoader#defineClass`调用栈2.使用`jmap-dump`+`jhat`查找无文件class3.审计`FilterRegistration.Dynamic`新增记录清除：1.`Arthas`卸载Filter2.重启JVM或回滚Pod3.检查crontab、systemd无额外持久化六、综合应用题49.（1）时序图（文字描述）：用户→TPP→授权服务器：PAR（PushedAuthorizationRequest）+JWS+JWE授权服务器→用户：重定向至授权端点+request_uri用户→授权服务器：授权码+PKCETPP→授权服务器：令牌请求（client_assertion_type=private_key_jwt+client_id）授权服务器→TPP：访问令牌（JWE，alg=RSA-OAEP，enc=A256GCM）TPP→资源服务器：API请求+Authorization:Bearer+证书绑定资源服务器→网关：mTLS双向验证+Token自省（introspection）+OAS3scope校验（2）密钥管理：根密钥存于FIPS140-3Level4HSM，采用Shami