2026年网络工程师网络安全模拟卷

2026年网络工程师网络安全模拟卷1.单选题（每题2分，共30分）1.1在TLS1.3握手过程中，用于实现前向保密的核心机制是A.RSA密钥传输B.静态DH参数C.EphemeralDiffie-HellmanD.预共享密钥PSK1.2某企业采用零信任架构，下列哪项最能体现“永不信任、持续验证”原则A.内网服务器间通信免认证B.用户每次访问资源均需动态评估信任分数C.VPN隧道建立后不再进行二次认证D.核心交换机启用静态ACL1.3针对IPv6邻居发现协议（NDP）的“伪造路由器通告”攻击，最有效的缓解技术是A.关闭ICMPv6B.RAGuardC.DHCPv6GuardD.SeND协议+CG1.4在容器环境中，若攻击者通过逃逸获得宿主机root权限，最可能利用的漏洞类别是A.内核提权B.SQL注入C.XSSD.CSRF1.5某Web应用使用JWT作为会话令牌，签名算法为HS256。若攻击者获取了密钥，可造成的危害是A.仅读取令牌内容B.篡改令牌并重新签名C.无法伪造令牌D.只能重放旧令牌1.6关于DNSSEC的“链式信任”模型，下列说法正确的是A.根区私钥由ICANN离线保管B.子zone的DS记录由父zone私钥签名C.解析器无需验证RRSIGD.NSEC3用于隐藏区域传输1.7在SD-WAN场景下，为检测加密隧道内是否存在恶意流量，最适合部署的组件是A.防火墙B.IDSC.具有TLS解密的NDRD.传统WAF1.8某APT组织利用DNS-over-HTTPS（DoH）外传数据，企业防御侧应优先采取A.封锁所有UDP53端口B.解密并审查所有HTTPS流量C.部署支持DoH的代理并强制转发D.禁用浏览器DoH功能1.9针对机器学习模型的“模型逆向攻击”主要威胁是A.训练数据泄露B.模型文件被删除C.推理阶段DDoSD.超参数被篡改1.10在5G核心网中，用于实现用户面功能（UPF）下沉至边缘的关键接口是A.N1B.N4C.N9D.N121.11某企业采用SASE架构，其“安全Web网关”组件主要解决A.东西向微隔离B.远程用户上网安全C.容器镜像签名D.区块链共识1.12关于量子计算对现有公钥密码的威胁，下列算法中目前被认为可抵抗Shor算法的是A.RSA-3072B.ECC-P256C.KyberD.DSA1.13在Linux内核中，针对“脏管道”漏洞（CVE-2022-0847）的利用，攻击者主要篡改的是A.页表项B.只读文件页缓存C.进程凭证结构D.系统调用表1.14某云租户发现其S3Bucket被异常下载，CloudTrail日志显示调用源为“assumed-role/CW”，进一步确认该角色仅授予了CloudWatch权限，最可能的攻击路径是A.角色信任策略过于宽松B.BucketACL公开C.KMS密钥泄露D.VPCEndpoint被劫持1.15在WindowsAD环境中，若攻击者利用“基于资源的约束委派（RBCD）”实现横向移动，需首先控制A.域管账户B.具有SPN的服务账户C.任意普通用户D.被委派主机的msDS-AllowedToActOnBehalfOfOtherIdentity属性2.多选题（每题3分，共30分）2.1以下哪些技术可同时提供数据机密性与完整性A.AES-GCMB.ChaCha20-Poly1305C.HMAC-SHA256D.RSA-OAEP2.2关于HTTP/3的安全特性，正确的是A.强制使用TLS1.3B.基于QUIC的0-RTT存在重放风险C.头部压缩使用QPACKD.默认端口为TCP4432.3在零信任网络中，持续信任评估引擎可采集的上下文数据包括A.用户地理位置B.终端补丁级别C.当前网络延迟D.数据分级标签2.4以下哪些属于常见的侧信道攻击A.SpectreB.MeltdownC.RowhammerD.Heartbleed2.5针对机器学习“投毒攻击”的防御手段有A.训练数据过滤B.模型剪枝C.差分隐私D.梯度聚合2.6在Kubernetes中，可防止容器逃逸的安全机制有A.SeccompB.AppArmorC.SELinuxD.NetworkPolicy2.7关于RPKI的正确描述A.使用X.509证书封装ROAB.可防止BGP路径劫持C.由RIR负责签发D.需路由器开启BGPsec2.8以下哪些算法属于NISTPQC第三轮finalists中的签名方案A.DilithiumB.FalconC.RainbowD.SPHINCS+2.9在DevSecOps流水线中，可用于检测开源组件漏洞的工具A.SnykB.OWASPDependency-CheckC.GrafeasD.kube-bench2.10关于同态加密，下列说法正确的是A.CKKS支持浮点数近似计算B.BFV支持整数运算C.全同态无需BootstrappingD.目前性能可满足高频交易实时性3.判断题（每题1分，共10分）3.1TLS1.3的0-RTT模式对重放攻击完全免疫。（）3.2在Windows中，启用CredentialGuard后，NTLMHash仍可从内存中提取。（）3.3DNS-over-TLS使用853端口，而DNS-over-HTTPS使用443端口。（）3.4eBPF程序一旦加载到内核，任何普通用户均可卸载。（）3.5使用AES-256-CBC+HMAC-SHA256比AES-256-GCM更安全，因为采用分离MAC。（）3.6量子密钥分发（QKD）可抵抗中间人攻击，但无法防止DoS。（）3.7在5G网络切片中，不同切片共享同一UPF实例不会引入跨切片攻击面。（）3.8区块链的“51%攻击”可导致双花，但无法篡改历史区块内容。（）3.9同一份数据使用SHA-256与RIPEMD-160双哈希，可抵抗长度扩展攻击。（）3.10使用ChaCha20-Poly1305时，Nonce重复会导致密钥恢复。（）4.填空题（每空2分，共20分）4.1在Linux内核中，针对“任意地址写任意数据”类漏洞，常用的利用技术是______，其核心通过改写______结构实现提权。4.2NIST推荐的量子安全密钥封装算法Kyber的安全基础是______问题。4.3在TLS1.3中，用于加密握手消息的密钥派生函数为______，其基于______哈希。4.4针对容器镜像的“供应链攻击”，可采用______（填一种签名规范）对镜像进行签名，并在______（填组件）中验证。4.5在Windows中，若攻击者获得SeImpersonatePrivilege，常通过______组件创建SYSTEM令牌，该组件默认监听端口______。5.简答题（每题10分，共30分）5.1描述BGPsec与RPKI在防止BGP劫持中的差异与协同点，并给出部署顺序建议。5.2某云原生应用使用Istio服务网格，mTLS已默认开启。现需对特定API做“基于用户身份”的细粒度授权，请给出完整技术路径（含CRD、策略示例）。5.3解释“机器学习模型窃取”攻击的原理，并提出三种不同层面的防御方案。6.综合应用题（30分）6.某金融企业计划2026年上线“量子增强”密钥管理系统，需满足以下需求：1)支持后量子算法Kyber1024与Dilithium5；2)现有RSA/ECC设备需平滑过渡，不能一次性替换；3)需符合GM/T0054-2023《信息系统密码应用基本要求》第三级；4)需支持FIPS140-3Level3硬件模块。任务：a)设计混合密钥协商流程，给出数学描述（用LaTeX），并说明如何抵抗“降级攻击”。（10分）b)给出PKI迁移路径，包括证书链结构、生命周期管理、CRL/OCSP改造方案。（10分）c)针对“量子之后”的密钥归档，提出长期机密性保护方案，并估算最小安全参数。（10分）7.计算题（30分）7.1某IDS传感器采用BloomFilter存储恶意URL哈希，已知：预期元素数n=5×10^6目标误报率p=0.1%求：a)理论最优哈希函数个数k与位数组大小m（用LaTeX公式计算）。（10分）b)若每个哈希函数输出64位，计算实际内存占用（单位MB）。（5分）7.2在Diffie-Hellman密钥交换中，使用椭圆曲线Curve25519，已知基点G的阶n为2^252+27742317777372353535851937790883648493。若私钥d随机选取，求：a)公钥P=[d]G的坐标压缩表示长度（单位字节）。（5分）b)若采用HKDF-SHA256派生128位会话密钥，给出LaTeX公式并计算最小熵损失。（10分）8.答案与解析1.单选题1.1C1.2B1.3B1.4A1.5B1.6A1.7C1.8C1.9A1.10C1.11B1.12C1.13B1.14A1.15D2.多选题2.1AB2.2ABC2.3ABCD2.4ABC2.5ACD2.6ABC2.7ABC2.8ABD2.9ABC2.10AB3.判断题3.1×3.2×3.3√3.4×3.5×3.6√3.7×3.8√3.9√3.10√4.填空题4.1提权利用、cred4.2Module-LWE4.3HKDF、SHA-2564.4cosign、AdmissionController4.5RogueWinRM、59855.简答题（要点）5.1BGPsec提供路径签名，RPKI提供前缀起源验证；先部署RPKI再上线BGPsec，避免路由震荡。5.2创建AuthorizationPolicy，匹配request.headers[user-id]，结合RequestAuthentication验证JWT，示例：```yamlapiVersion:security.istio.io/v1beta1kind:AuthorizationPolicymetadata:name:api-user-aclspec:selector:matchLabels:app:paymentrules:when:key:request.headers[user-id]values:["alice"]```5.3攻击者通过查询-响应迭代逼近模型参数；防御：1)差分隐私加噪；2)输出截断/Top-K屏蔽；3)法律合约+水印追踪。6.综合应用题a)混合协商：&ClientHello.extensions→supported降级保护：Server需返回“supported_groups”确认，若缺失kyber1024则终止并报警。b)PKI迁移：采用双证书链，根CA下签发“混合子CA”，新证书包含pqc-ext（OID.4.1.44445）