2026年网络安全技术专项训练冲刺试卷

2026年网络安全技术专项训练冲刺试卷1.单选题（每题2分，共30分）1.1在TLS1.3握手过程中，ClientHello消息首次出现的扩展是A.supported_groupsB.key_shareC.signature_algorithmsD.server_name1.2针对AES-GCM加密模式，下列哪项参数必须严格禁止重用A.初始化向量IVB.附加认证数据AADC.密钥长度D.标签长度Tag1.3某企业采用零信任架构，身份认证层使用OAuth2.0+OIDC。当访问令牌AT被泄露后，最佳止损手段是A.立即吊销AT并强制重新授权B.缩短AT有效期至5分钟C.启用JWT加密D.将AT存入Redis并设置TTL1.4在Linux内核5.15中，用于防御ROP攻击的硬件机制是A.SMEPB.SMAPC.CETD.KPTI1.5某APT组织利用DNS-over-HTTPS（DoH）隧道回传数据，下列流量特征最不可能出现在日志中的是A.大量HTTPS流指向cloudflare-dnsB.SNI字段为dns.googleC.报文长度呈现高熵分布D.TCP三次握手阶段出现异常窗口缩放1.6针对SM4分组密码，其轮函数中的合成置换T由A.非线性变换τ与线性变换L复合而成B.线性变换L与扩展变换E复合而成C.非线性变换τ与扩展变换E复合而成D.线性变换L与仿射变换A复合而成1.7在WindowsServer2025中，开启CredentialGuard后，LSA进程将A.运行在VBS隔离容器B.使用TPM2.0密封密钥C.禁用NTLMv1D.启用虚拟化安全模式1.8某容器逃逸漏洞利用CVE-2022-0492，其核心攻击向量是A.滥用cgroupv1的release_agentB.滥用cgroupv2的cpu.maxC.滥用seccomp-bpf过滤规则D.滥用AppArmorprofile1.9在5G核心网中，用于隐藏SUPI的临时标识是A.SUCIB.5G-GUTIC.PEID.GPSI1.10针对量子计算威胁，下列哪类公钥算法被NIST第三轮标准化选为finalistsA.RSA-4096B.KyberC.NTRUPrimeD.SIKE1.11某Web应用使用CSP策略：default-src'self';object-src'none';script-src'nonce-abc123'。下列payload可成功执行的是A.<script>alert(1)</script>B.<scriptnonce="abc123">alert(1)</script>C.<imgsrc=xonerror=alert(1)>D.<iframesrc="javascript:alert(1)">1.12在ARMv9架构中，用于防御内存标签混淆（MTE）的指令是A.IRGB.LDGC.STGD.STZG1.13某区块链智能合约存在重入漏洞，下列缓解方案无效的是A.检查-生效-交互模式B.使用ReentrancyGuardC.限制gas上限至2300D.采用pull而非push支付1.14在IPv6网络中，用于防止ND欺骗的安全机制是A.SENDB.RAGuardC.DHCPv6GuardD.SeND+1.15某EDR产品使用eBPF技术监控进程创建，其挂载点应选择A.tracepoint/syscalls/sys_enter_execveB.kprobe/do_execveC.fentry/do_execveD.uprobe/bash_main2.多选题（每题3分，共30分，多选少选均不得分）2.1以下哪些属于侧信道攻击A.Prime+ProbeB.Flush+ReloadC.MeltdownD.Spectrev2E.Rowhammer2.2关于国密算法SM2数字签名，下列描述正确的是A.签名过程使用用户私钥与消息哈希B.验签过程使用用户公钥与消息哈希C.签名结果包含(r,s)两个大整数D.哈希算法固定为SM3E.曲线参数采用prime256v12.3在Kubernetes集群中，可导致集群接管的配置错误包括A.kubelet启用匿名认证且未启用WebhookB.etcd未启用TLS且暴露2379端口C.dashboard使用ServiceAccounttoken默认挂载D.PSP策略设置为privilegedE.未启用NetworkPolicy2.4针对深度学习模型投毒攻击，防御手段有A.差分隐私训练B.梯度裁剪C.拜占庭容错聚合D.知识蒸馏E.模型剪枝2.5下列哪些协议支持前向保密（PFS）A.TLS1.2ECDHE-RSA-AES128-GCM-SHA256B.IPSecIKEv2withDHGroup20C.SSH2withdiffie-hellman-group14-sha256D.QUICv1E.WPA3-Enterprise192-bitmode2.6关于IntelCET机制，正确的是A.IBT用于防御JOPB.SHSTK用于防御ROPC.需要编译器插入endbr32/endbr64D.兼容legacy代码通过legacybitmapE.仅支持64位模式2.7在零信任网络中，持续信任评估可依赖的信号有A.用户行为异常评分B.终端进程哈希变化C.网络微分段流量偏离D.威胁情报IOC命中E.物理门禁刷卡记录2.8针对JSONWebToken（JWT）的安全加固包括A.使用RS256而非HS256B.设置exp与nbf声明C.启用jti唯一标识D.对payload进行加密（JWE）E.缩短密钥长度提升性能2.9以下哪些属于同态加密方案A.CKKSB.BFVC.PaillierD.RSA-OAEPE.ElGamal2.10在自动驾驶场景下，可导致传感器欺骗的攻击有A.激光雷达重放B.摄像头对抗样本C.GPS信号伪造D.毫米波雷达干扰E.超声波传感器阻塞3.判断题（每题1分，共10分，正确打“√”，错误打“×”）3.1SM3杂凑算法的输出长度为256比特。3.2WindowsHelloforBusiness使用FIDO2协议时，私钥存储在TPM中且可导出。3.3在BGPsec协议中，AS_PATH属性通过RPKI签名防止路径篡改。3.4量子密钥分发（QKD）基于BB84协议可实现信息论安全。3.5eBPF程序经bpf()系统调用加载前必须通过内核验证器检查。3.6同态加密可直接对密文执行任意循环语句而无需引导。3.7在ARMTrustZone中，SecureWorld与NormalWorld通过SMC指令切换。3.8HTTP/3基于QUIC，天然具备TLS1.3加密，因此无需再部署HSTS。3.9使用ChaCha20-Poly1305时，nonce长度为96位，重复nonce会导致密钥恢复。3.10零知识证明zk-SNARK需要可信设置，zk-STARK无需可信设置。4.填空题（每空2分，共20分）4.1在Linux内核中，针对Spectrev1的缓解补丁名称是________。4.2国密算法SM9标识密码中，用户私钥由________生成并通过________分发。4.3某HTTPS站点采用HSTS预加载，其响应头包含的max-age最小推荐值为________秒。4.4在5GAKA认证中，归属网络向终端下发的鉴权令牌称为________。4.5某区块链采用PBFT共识，其容错节点数f与总节点数N的关系为________。4.6IntelPT（ProcessorTrace）数据包格式中，用于标识目标IP的packet类型是________。4.7针对容器镜像安全，OCI规范推荐的签名标准是________。4.8在Post-QuantumTLS中，Kyber768与X25519混合密钥交换的IETF草案编号为________。4.9某EDR使用MITREATT&CK框架，TTP编号T1055.003代表________。4.10自动驾驶中，用于检测GPS欺骗的RAIM算法全称是________。5.简答题（每题10分，共30分）5.1描述TLS1.3中0-RTT重放攻击的原理，并给出服务端可部署的三种缓解措施。5.2某大型云原生平台采用服务网格（Istio）实现零信任，请阐述其mTLS流量加密流程，并说明如何基于SPIFFEID实现细粒度授权。5.3结合国密算法，设计一套量子安全邮件加密方案，要求兼容现有SMTP/IMAP协议，说明密钥生命周期管理、证书格式及与传统S/MIME的差异。6.综合应用题（30分）6.某金融企业计划上线“量子安全移动银行”，需同时支持国密算法与NIST后量子算法。系统架构如下：移动端：Android15，支持TEE+TrustZone，已预置国密SM2/SM3/SM4算法库与Kyber768实现；信道：HTTPS，需支持混合密钥交换（X25519+Kyber768）及国密套件；服务端：云原生K8s集群，Ingress使用EnvoyGateway，需同时提供国密双证书（SM2+RSA）与PQ双证书（Kyber768+P-256）；监管要求：算法合规、密码模块三级、具备双向认证、抗量子、可快速降级。任务：（1）给出TLS握手阶段完整的密码套件优先级列表（写出国密、PQ、传统套件各2组，按优先级排序，共6组）。（2）设计移动端TEE密钥隔离方案，确保SM2私钥与Kyber768私钥永不导出TEE，并支持生物识别签名。（3）给出服务端证书链结构，说明如何同时包含SM2、RSA、Kyber768、P-256四把公钥，并满足X.509v3格式。（4）若量子计算机于2029年突然实用化，系统需在24小时内完成全量证书与密钥切换，请给出应急降级流程（含灰度、回滚、监控）。（5）计算：假设移动端日活1000万，平均每日交易签名次数5次，每次SM2签名耗时TEE内3ms、Kyber768签名耗时12ms，求TEE每日累计CPU时间（秒），并评估单核1GHzARMCortex-A55能否满足并发需求，给出计算过程。卷后答案与解析1.单选题答案1.1B1.2A1.3A1.4C1.5D1.6A1.7A1.8A1.9B1.10B1.11B1.12A1.13C1.14A1.15A2.多选题答案2.1ABCD2.2ABCD2.3ABCD2.4ABC2.5ABDE2.6ABCD2.7ABCD2.8ABCD2.9ABC2.10ABCDE3.判断题答案3.1√3.2×3.3√3.4√3.5√3.6×3.7√3.8×3.9√3.10√4.填空题答案4.1__userpointersanitization__4.2__密钥生成中心KGC__、__安全信道__4.3__31536000__（365天）4.4__RAND__4.5__N≥3f+1__4.6__TIP__（TargetIPPacket）4.7__cosign__4.8__draft-ietf-tls-hybrid-design-07__4.9__ProcessInjection:ThreadExecutionHijacking__4.10__ReceiverAutonomousIntegrityMonitoring__5.简答题答案要点5.1原理：攻击者捕获0-RTTEarlyData并重放至不同节点，由于0-RTT不抗重放，可导致重复扣款等。缓解：1.服务端拒收敏感EarlyData；2.为0-RTT票据设置单次有效DB索引；3.基于时间窗+分布式缓存去重。5.2流程：EnvoySidecar拦截流量→SPIFFEID提取→mTLS握手→RBAC授权→L7策略。授权：SPIFFEID格式spiffe://<trust-domain>/ns/<namespace>/sa/<service-account>，结合IstioAuthorizationPolicy实现细粒度匹配。5.3方案：采用SM2+Kyber768混合加密，邮件头扩展X-Header携带Kyber768公钥，正文使用SM4-GCM加密，密钥封装采用Kyber768KEM，签名使用SM2-with-SM3。证书：双证书链，根CA同时签发SM2与Kyber证书，采用CMS封装替代S/MIME，支持增量部署。6.综合应用题答案（1）优先级：1.TLS_SM4_GCM_SM32.TLS_KYBER768_X25519_AES256_GCM_SHA3843.TLS_ECDHE_SM4_GCM_SM34.TLS_P256_KYBER768_AES256_GCM_SHA3845.TLS_ECDHE_RSA_AES256_GCM_SHA3846.TLS_RSA_AES256_GCM_SHA384（2）TEE方案：密钥生成：在TrustZone安全世界调用SM2_keygen与Kyber_keygen，私钥仅驻留安全世界DRAM，标记为TEE_GRANT_READ_NEVER；签名API：通过TA（TrustedApplication）暴露AIDL接口，客户端调用需通过生物识别Gatekeeper验证，验证通过后TA使用私钥签名，签名结果返回普通世界；密钥备份：私钥分段加密后存入Android