网络安全师2026年《安全防护技术》培训试卷

网络安全师2026年《安全防护技术》培训试卷一、单项选择题（每题2分，共30分）1.在零信任架构中，以下哪项最能体现“永不信任、持续验证”的核心原则？A.基于边界防火墙的访问控制B.基于用户身份与设备状态的动态授权C.基于静态VLAN的隔离策略D.基于一次性口令的双因素认证2.某企业采用EDR（端点检测与响应）方案，发现某终端进程频繁调用`NtSetSystemInformation`且句柄值异常增大，最可能的攻击阶段是：A.初始访问B.持久化C.提权D.横向移动3.关于国密算法SM4的叙述，正确的是：A.属于非对称加密算法B.分组长度为128位，密钥长度为192位C.加密与解密使用同一套轮密钥，仅顺序相反D.其S盒设计基于有限域GF(2^8)上的指数映射与仿射变换4.某Web应用部署了基于OAuth2.0的授权码模式，以下哪项配置最易导致授权码劫持？A.启用PKCE扩展B.授权端点强制使用HTTPSC.重定向URI使用localhost且未校验端口D.访问令牌有效期设置为15分钟5.在Linux内核加固场景下，若需防止`ld.so`被恶意替换，应启用的内核安全机制是：A.SELinux的`allow_execmod`策略B.IMA（IntegrityMeasurementArchitecture）C.seccomp-bpfD.capabilities的`CAP_SYS_MODULE`6.某云原生环境使用Istio服务网格，以下哪项配置可最大限度降低东西向流量中的TLS中间人风险？A.全局开启mTLS并设置`STRICT`模式B.使用JWT进行服务间认证C.将Sidecar代理升级至最新版本D.启用OPA（OpenPolicyAgent）做细粒度授权7.关于量子计算对现有公钥密码的威胁，以下哪项评估最准确？A.Grover算法可在多项式时间内破解RSA-2048B.Shor算法对ECC的威胁程度低于对RSA的威胁C.256位对称密钥在量子时代需升级至512位才能维持等效安全D.后量子算法Kyber的公钥尺寸小于传统RSA-2048证书8.某工业控制系统采用Modbus/TCP协议，以下哪项措施可有效防止“伪主站”指令注入？A.在PLC中启用白名单源IPB.采用TLS1.3对Modbus报文加密C.部署基于深度包检测的IPS并设置功能码白名单D.在SCADA前置机部署国密SSLVPN9.在Windows事件日志取证中，发现事件ID4673（敏感权限调用）与4674（权限使用）高频出现，且调用进程为`rundll32.exe`，最可能的攻击技术是：A.进程镂空（ProcessHollowing）B.令牌窃取（TokenImpersonation）C.DLL搜索顺序劫持D.WMI事件订阅持久化10.某企业采用SDP（软件定义边界）替代传统VPN，以下哪项不是SDP单包授权（SPA）的核心特征？A.默认丢弃所有未认证数据包B.使用单向哈希验证客户端身份C.要求客户端首先发送“敲门包”D.敲门包可携带临时令牌与设备指纹11.关于DNS-over-HTTPS（DoH）的安全争议，以下哪项描述最准确？A.DoH彻底杜绝了DNS劫持，但增加了企业内网审计盲区B.DoH默认使用TCP443端口，因此与HTTPS流量无法区分C.DoH将查询加密后封装于HTTP/2，故无法被传统DLP检测D.禁用浏览器DoH即可完全阻断用户绕过安全策略12.某容器镜像扫描报告显示`CVE-2021-44228`（Log4j）风险等级为Critical，但运维称该镜像未引入Java，最合理的解释是：A.扫描器误报，基于版本字符串匹配B.镜像层中存在被删除的Log4jjar残留C.基础镜像的软件包管理器缓存未清理D.扫描器检测到了Log4j的Shell变体13.在5G核心网SBA（Service-BasedArchitecture）中，以下哪项协议负责网络功能间的双向认证？A.PFCPB.HTTP/2overTLS1.3C.GTP-UD.NAS14.某企业采用NISTSP800-207定义的微隔离方案，以下哪项最能体现“基于身份的细粒度分段”？A.基于子网ACL的南北向流量控制B.基于安全组标签的虚拟机级访问控制C.基于防火墙策略的五元组白名单D.基于路由策略的VRF隔离15.关于AI模型投毒攻击的防御，以下哪项技术属于“鲁棒聚合”范畴？A.差分隐私B.联邦学习中的Krum算法C.模型剪枝D.对抗样本检测二、多项选择题（每题3分，共30分，每题至少有两个正确答案，多选少选均不得分）16.以下哪些技术可有效缓解BGP前缀劫持？A.RPKIROVB.BGPsecC.AS_PATH预过滤D.IRR数据库与前缀白名单E.基于机器学习的路由异常检测17.在Linux内核漏洞缓解中，关于CFI（ControlFlowIntegrity）的描述正确的有：A.ClangCFI通过检查虚函数表类型信息阻止跳转到错误目标B.IntelCET使用ShadowStack与ENDBR指令C.CFI可完全阻止ROP/JOP攻击D.开启CFI需重新编译内核与用户态程序E.CFI与KASLR同时启用会降低缓解效果18.以下哪些属于针对机器学习模型的隐私推断攻击？A.模型逆向B.属性推断C.成员推断D.模型提取E.对抗样本19.关于同态加密的应用局限，以下哪些说法正确？A.全同态加密计算开销仍比明文高10^4~10^6倍B.半同态加密如Paillier支持无限次加法与一次乘法C.CKKS方案支持浮点数近似计算，适合机器学习场景D.同态加密可彻底解决数据在云端处理时的机密性问题E.密钥尺寸随电路深度线性增长20.某企业采用DevSecOps流水线，以下哪些措施符合“左移”安全理念？A.在IDE插件中集成SASTB.在代码提交阶段触发依赖库SCA扫描C.在镜像构建后运行DASTD.在生产环境部署RASPE.在合并请求阶段执行IaC模板安全检测21.以下哪些日志源可用于检测Kerberoasting攻击？A.Windows事件ID4768（TGT请求）B.Windows事件ID4769（TGS请求）C.Windows事件ID4771（Kerberos预认证失败）D.网络流量中TGS-REP的加密类型为RC4-HMACE.安全日志中服务账户的SPN异常增长22.关于内存安全语言（如Rust）的安全优势，以下哪些正确？A.编译期所有权检查可消除use-after-freeB.无需任何运行时开销即可防止数据竞争C.通过`unsafe`块可关闭所有安全检查D.Rust的`Send`与`Sync`trait保障线程安全E.与CFFI交互时需手动管理内存23.以下哪些属于针对容器逃逸的攻击向量？A.利用dirtycow（CVE-2016-5195）B.滥用`--privileged`标志C.挂载宿主`/var/run/docker.sock`D.利用runC漏洞（CVE-2019-5736）E.通过KernelModule加载恶意驱动24.关于量子密钥分发（QKD）的局限，以下哪些正确？A.需要专用光纤，距离受限B.无法抵御中间人攻击C.密钥生成速率低于传统DHD.与现有PKI体系可无缝融合E.对信道损耗敏感，需中继节点可信25.以下哪些属于NIST后量子算法标准化第三轮最终入选的签名算法？A.CRYSTALS-DILITHIUMB.FALCONC.RainbowD.SPHINCS+E.NTRU三、判断题（每题1分，共10分，正确打“√”，错误打“×”）26.在Windows11中，启用VBS（Virtualization-BasedSecurity）后，即使内核模式攻击者获取了SYSTEM权限，也无法读取CredentialGuard隔离的LSA机密。27.HTTP/3基于QUIC，其内置加密意味着企业无需再部署TLS终止代理即可实现流量审计。28.对于AES-GCM，重用nonce会导致密钥恢复，因此必须确保96位IV的全局唯一性。29.在零信任网络中，网络位置不再作为信任依据，因此不再需要物理隔离与DMZ。30.使用eBPF技术可在Linux内核中实现动态、安全的沙箱策略，且无需加载内核模块。31.区块链智能合约的“不可篡改”特性意味着一旦部署就无法升级，因此所有合约必然存在后门风险。32.对于同态加密方案，若需支持任意深度电路，则必须引入“自举”（bootstrapping）技术。33.在5G网络切片安全中，不同切片共享同一物理基础设施，因此一旦控制面被攻破，所有切片均受影响。34.采用ChaCha20-Poly1305比AES-256-GCM在ARMv8平台上性能更高，且安全性等价。35.使用SecureEnclave（如IntelSGX）运行的代码，即使操作系统被完全控制，也能保证代码与数据的机密性与完整性。四、填空题（每空2分，共20分）36.在Linux内核漏洞利用中，常用`commit_creds(prepare_kernel_cred(0))`实现________，该函数位于________内核源码文件。37.国密算法SM2基于________曲线，其推荐曲线参数名为________。38.在TLS1.3握手过程中，Server发送的________扩展用于封装证书，而________消息标志着握手正式完成。39.针对AI模型成员推断攻击的防御技术中，________噪声注入可在一定程度上降低攻击成功率，但会牺牲________。40.在KubernetesRBAC中，若需限制某ServiceAccount仅可对特定namespace下的pods执行get与list，应创建的Role的apiGroup为________，verbs列表为________。五、简答题（每题10分，共30分）41.简述针对容器镜像供应链的“无密钥签名”方案（keylesssigning）工作原理，并指出其与传统PGP签名的两点本质区别。42.某企业计划将本地Hadoop集群迁移至公有云，需满足等保2.0三级要求，请列出数据在传输、存储、处理三阶段应实施的五项关键技术措施，并说明对应等保条款。43.量子计算威胁下，现有PKI体系面临“加密敏捷性”挑战，请设计一种可平滑过渡至后量子算法的证书生命周期管理流程（含证书签发、更新、吊销、客户端验证），并指出需改动的协议层与最小兼容性要求。六、综合计算题（共30分）44.某公司拟部署基于格的后量子密钥封装机制Kyber-768，需评估其公钥尺寸与通信开销。已知：Kyber-768公钥尺寸为1184字节，密文尺寸为1088字节；现有TLS1.3握手采用X25519，ServerKeyExchange消息为32字节公钥；网络MTU为1500字节，TCP选项占20字节，TLS记录头为5字节。（1）计算在首次握手不出现IP分片的前提下，Kyber-768替换X25519后，ServerKeyExchange消息所需额外字节数，并给出LaTeX公式化推导。（10分）（2）若该公司每日新建TLS连接峰值为10000次，每次连接平均传输1MB应用数据，假设TCP三次握手、TLS1.3全握手与应用数据均走IPv4，计算因后量子算法导致的每日额外上行流量（单位：MB），并评估其对10Gbps带宽的占比。（15分）（3）指出两种可在TLS层减少该额外开销的协议优化技术，并给出量化估算。（5分）七、答案与解析一、单项选择题1.B2.C3.D4.C5.B6.A7.C8.C9.B10.B11.A12.B13.B14.B15.B解析（示例）：第3题：SM4为对称分组加密，分组与密钥长度均为128位，加解密轮密钥顺序相反，S盒基于GF(2^8)仿射构造，故D正确。第7题：Grover算法仅提供平方加速，Shor对ECC与RSA均构成实质威胁；256位对称密钥需升级至512位；Kyber公钥尺寸远小于RSA-2048，故C正确。二、多项选择题16.ABCDE17.ABD18.ABCD19.AC20.ABE21.ABDE22.ACD23.ABCD24.ACE25.ABD解析（示例）：第19题：B项半同态Paillier仅支持无限加法与一次乘法；D项“彻底解决”过于绝对；E项密钥尺寸随电路深度增长而非线性，故AC正确。三、判断题26.√27.×28.√29.×30.√31.×32.√33.√34.√35.×解析：27.HTTP/3虽加密，但企业仍需终止代理做审计，故×。29.零信任仍需物理隔离与DMZ作为防御纵深，故×。四、填空题36.提权；`kernel/cred.c`37.椭圆曲线；`sm2p256v1`3