2026年IT资格网络安全防护试卷

2026年IT资格网络安全防护试卷1.【单选】在零信任架构中，首次访问请求被拦截并需动态评估时，最关键的身份信号是A.用户历史密码长度B.终端当前补丁级别C.实时生物特征与设备证书双重验证D.用户所在组织规模答案：C2.【单选】某企业采用TLS1.3强制加密所有南北向流量，若仍想检测加密内容，最合理的部署点是A.在客户端浏览器植入国密算法B.使用带内解密功能的透明代理并配合证书私钥托管C.在核心交换机做端口镜像后离线暴力破解D.要求云服务商关闭TLS会话恢复答案：B3.【单选】针对Log4Shell类漏洞，下列哪项缓解措施可在不重启业务的情况下立即阻断大多数攻击路径A.将log4j-core升级到2.17.1B.在WAF添加JNDI协议出站阻断规则C.设置-Dlog4j2.formatMsgNoLookups=true启动参数D.关闭本地DNS递归解析答案：C4.【单选】在Linux内核中，可针对特定进程实施最小权限的最有效机制是A.chrootB.seccomp-bpfC.iptablesD.setfacl答案：B5.【单选】某云函数使用临时AK/SK访问对象存储，最佳防护方式是A.将AK/SK写入函数环境变量B.通过OIDC与STS获取限时令牌C.在函数代码里硬编码加密后的AK/SKD.关闭云函数公网出口答案：B6.【单选】关于DNS-over-HTTPS(DoH)带来的企业风险，下列描述最准确的是A.导致传统DNS负载均衡失效B.使内部DNS日志失去可见性C.会放大UDP反射攻击D.降低域名劫持概率因此无风险答案：B7.【单选】在Windows11中，可阻止无驱动签名恶意软件加载的第一道防线是A.HVCI(MemoryIntegrity)B.UAC滑块最高级C.SmartScreen应用信誉D.ELAM答案：A8.【单选】使用AES-GCM加密1GB数据时，IV重复的概率必须低于，则最大安全加密量约为A.64GBB.128GBC.256GBD.无限制答案：B9.【单选】针对BGP劫持，最可扩展的源验证技术是A.RPKIROVB.IRR邮件确认C.人工前缀过滤D.BGPsec(已全面部署)答案：A10.【单选】在Kubernetes中，可限制容器使用宿主机PID命名空间的字段是A.hostPID:falseB.shareProcessNamespace:falseC.privileged:falseD.allowPrivilegeEscalation:false答案：A11.【单选】某芯片使用物理不可克隆函数(PUF)生成密钥，其最大优点是A.可远程更新密钥B.抗侧信道分析C.无需非易失存储而防侵入式读取D.支持密钥escrow答案：C12.【单选】在5G核心网中，可实现用户面功能(UPF)下沉到边缘并防止流量迂回的接口是A.N1B.N4C.N6D.N9答案：B13.【单选】利用eBPF实现实时入侵检测时，最关键的挂钩点是A.tcp_inputB.kprobe/security_bprm_checkC.udp_sendmsgD.netfilterPRE_ROUTING答案：B14.【单选】关于同态加密在云计算中的应用瓶颈，下列说法正确的是A.密文长度与明文等长B.计算开销比明文运算高10–1000倍C.无法支持浮点运算D.需要硬件随机数池答案：B15.【单选】在ARMv9架构中，可防止ROP/JOP攻击的新指令集扩展是A.BTIB.PACIAC.MTED.SVE答案：A16.【单选】某企业使用SAML2.0单点登录，发现攻击者利用断言注入绕过MFA，最可能缺失的校验是A.断言有效期B.Audience限制C.签名证书链D.AuthnContextClassRef答案：B17.【单选】在DevSecOps流水线中，对第三方库做SCA扫描时，优先修复的漏洞等级依据应为A.CNNVD等级B.CVSSv4基础分结合可达性分析C.厂商公告日期D.微博热度答案：B18.【单选】针对AI训练数据投毒，最可行的检测指标是A.模型参数大小B.损失函数异常抖动与验证集精度突降C.GPU利用率D.样本文件MD5答案：B19.【单选】在量子密钥分发(QKD)中，可检测窃听者的物理原理是A.量子纠缠态坍缩B.海森堡测不准原理导致误码率上升C.光速不变D.超导隧道效应答案：B20.【单选】当使用ChaCha20-Poly1305为TLS记录层加密时，AEAD需要的nonce长度为A.64bitB.96bitC.128bitD.256bit答案：B21.【多选】以下哪些技术组合可有效防止重放攻击A.TLS1.30-RTT与PSK外带限制B.HTTP头部时间戳与HMACC.IPsecESP序列号D.JSONWebToken中嵌入jti与exp答案：B,C,D22.【多选】关于英特尔TME(TotalMemoryEncryption)描述正确的是A.使用片上128-bitAES-XTS引擎B.密钥在每次休眠重新生成C.可防止冷启动攻击D.需操作系统修改页表格式答案：A,B,C23.【多选】在零信任网络分段中，微隔离策略可基于A.进程哈希B.用户行为基线C.数据标签D.物理楼层答案：A,B,C24.【多选】以下哪些属于针对机器学习模型的逃逸攻击手段A.FGSMB.PGDC.模型逆向D.后门触发器答案：A,B25.【多选】在使用OAuth2.1授权码流程时，必须满足的PKCE要求包括A.code_verifier长度43–128字符B.code_challenge使用S256变换C.client_secret不再强制D.redirect_uri必须与注册完全一致答案：A,B,D26.【多选】关于RISC-V架构安全扩展，以下已ratified的有A.SvnapotB.SvpbmtC.ZkrD.Smtx答案：A,B,C27.【多选】以下哪些日志源可用于检测Kerberoasting攻击A.4768(TGT请求)B.4769(TGS请求)C.4771(预认证失败)D.4672(特殊权限登录)答案：B,C28.【多选】在Android13中，可限制后台应用启动前台服务的权限有A.START_FOREGROUND_SERVICEB.FOREGROUND_SERVICE_CAMERAC.FOREGROUND_SERVICE_MICROPHONED.FOREGROUND_SERVICE_SPECIAL_USE答案：A,B,C,D29.【多选】以下哪些属于FIDO2认证器认证级别(L1–L3+)的评估维度A.密钥隔离B.侧信道抵抗C.供应链可追溯D.UI欺骗防护答案：A,B,C,D30.【多选】关于后量子密码学，NIST第三轮标准化入选的密钥封装机制有A.CRYSTALS-KYBERB.NTRUC.FrodoKEMD.ClassicMcEliece答案：A,C,D31.【判断】在WPA3-Enterprise192-bitmode中，仅允许使用GCMP-256作为加密套件。答案：正确32.【判断】eBPF程序加载到内核前必须经过verifier静态验证，因此不可能造成内核崩溃。答案：错误33.【判断】使用SGX密封密钥时，若CPU微码更新，则旧密封数据无法解密。答案：错误34.【判断】在Linux中，启用lockdown=confidentiality模式后，kexec加载未签名内核镜像会被拒绝。答案：正确35.【判断】HTTP/3基于QUIC，天然具备TLS1.3加密，因此不再需要Cookie的Secure属性。答案：错误36.【判断】RISC-V的PMP(PhysicalMemoryProtection)条目最多支持16条。答案：正确37.【判断】WindowsHello生物特征模板存储在TPM2.0的NV索引中，且启用反重放单调计数器。答案：正确38.【判断】使用SM4-CCM时，nonce长度为12字节时，最大消息长度为字节。答案：正确39.【判断】在5GAKA中，归属网络通过RES与XRES比对实现双向认证。39.【判断】在5GAKA中，归属网络通过RES与XRES比对实现双向认证。答案：正确40.【判断】同态加密BFV方案支持bootstrapping，因此可以无限次数进行乘法深度运算。答案：错误41.【填空】在Linux内核中，用于限制进程调用系统调用的过滤器机制称为________。答案：seccomp42.【填空】TLS1.3握手阶段，服务器发送的EncryptedExtensions消息使用________密钥加密。答案：server_handshake_traffic_secret43.【填空】当利用IntelCET机制时，IA32_U_CET寄存器的________位启用shadowstack。答案：SHSTK44.【填空】在KubernetesNetworkPolicy中，若要禁止所有入站流量，需设置policyTypes字段为________。答案：[Ingress]45.【填空】NIST推荐的量子安全数字签名算法CRYSTALS-DILITHIUM基于________困难问题。答案：ModuleLattice-based46.【填空】AndroidKeystore使用________算法对密钥进行硬件绑定加密。答案：AES-GCM47.【填空】在ARMTrustZone中，安全世界与普通世界通信的专用指令为________。答案：SMC48.【填空】用于衡量密码破解成本的单位“dollar-days”最早由________论文提出。答案：Percival200949.【填空】在OAuth2.1中，授权码长度不得少于________字节。答案：12850.【填空】Windows11要求TPM2.0支持的SHA算法最小为________。答案：SHA-25651.【简答】描述如何利用eBPF实现容器逃逸实时检测，并给出关键伪代码。答案：1)挂载kprobe到`do_sys_open`与`__x64_sys_ptrace`，捕获容器内进程打开`/proc//ns/pid`或调用ptrace。1)挂载kprobe到`do_sys_open`与`__x64_sys_ptrace`，捕获容器内进程打开`/proc//ns/pid`或调用ptrace。2)利用eBPFmap记录容器init进程cgroup路径。3)若当前进程cgroup与init不同且尝试跨namespace访问，则触发事件。伪代码：```cSEC("kprobe/do_sys_open")inttrace_open(structpt_regsctx){inttrace_open(structpt_regsctx){charfilename=(char)PT_REGS_PARM2(ctx);charfilename=(char)PT_REGS_PARM2(ctx);u32pid=bpf_get_current_pid_tgid()>>32;structtask_structt=(structtask_struct)bpf_get_current_task();structtask_structt=(structtask_struct)bpf_get_current_task();if(is_init_ns(t)&&strstr(filename,"/proc")&&strstr(filename,"ns/pid")){bpf_printk("possibleescape%d",pid);bpf_perf_event_output(ctx,&events,BPF_F_CURRENT_CPU,&pid,sizeof(pid));}return0;}```4)用户态agent接收事件后联动KubernetesAPI删除Pod并告警。52.【简答】说明TLS1.30-RTT重放攻击原理及两种防护方案。答案：原理：攻击者截获0-RTT早期数据，在另一会话重放，服务器因无状态可能重复处理相同请求。方案一：服务器为0-RTT启用单次票据(Single-UseTicket)，存储已用票据ID到共享缓存，重复即拒。方案二：应用层在0-RTT数据内嵌一次性nonce，业务系统校验nonce是否已存在数据库，存在则拒。53.【简答】列举三种针对SGX的侧信道攻击并给出缓解思路。答案：1)Foreshadow：利用L1终端故障，缓解：升级微码并禁用SGX超线程。2)Controlled-channel：观察页表A/D位，缓解：使用细粒度内存划分与TSX内存事务隐藏访问模式。3)Cache-timing：监控enclave访问cache集，缓解：在enclave内部加入恒定时间加密与掩码访问。54.【简答】解释Kerberoasting攻击中SPN的作用，并给出检测SQL。答案：SPN将服务实例映射到域账户，攻击者请求任意SPN的TGS票据后离线暴力破解。检测SQL(Splunk)：```sqlindex=winEventCode=4769ServiceName!=""T|evalis_crack=if(TicketEncryptionType==0x17ORTicketEncryptionType==0x18,1,0)|statsdc(ServiceName)asspn_countbyAccountName|wherespn_count>5```55.【简答】说明SM2数字签名与ECDSA在签名方程上的差异。答案：SM2签名方程：s=(kr·ECDSA方程：s=差异：SM2将哈希与公钥x坐标混合进r，且使用代替，提高抗侧信道能力。56.【综合】某金融公司计划上线开放API，需支持第三方移动应用安全访问用户账单，要求：1)抗中间人；2)抗重放；3)最小权限；4)符合OAuth2.1与FAPI1.0高级。请设计完整安全架构，包括：a)授权流程与令牌生命周期；b)传输与存储加密方案；c)关键威胁与缓解表；d)安全测试用例3条。答案：a)授权流程：①移动应用使用OAuth2.1授权码+PKCE流程，授权端点仅响应code_challenge_method=S256。②授权服务器返回授权码(单次30秒)，客户端用code_verifier换token。③颁发MTLS-bound访问令牌(cnf声明含x5t#S256指纹)，有效期15分钟，刷新令牌90天绑定device_id。④资源服务器每次验证MTLS证书指纹与令牌cnf匹配，并检查scope仅为readonly:statement。b)加密：①传输：TLS1.3强制AES-256-GCM、SHA-384、P-521，启用OCSPMust-Staple。②存储：刷新令牌AES-256-GCM加密后存入iOSKeychain/AndroidKeystore，密钥硬件绑定。c)威胁与缓解：①授权码泄露：PKCE+短有效期+单次使用。②刷新令牌盗用：MTLS+device_id绑定+远程吊销。③重放：令牌15分钟+jti白名单。④中间人：MTLS双向校验+证书固定。d)测试用例：①用Burp重放授权码二次换token，应返回invalid_grant。②导出移动应用沙箱，刷新令牌应无法解密（硬件密钥保护）。③在网关替换客户端证书，资源服务器应返回401cnfmismatch。57.【综合】某云原生平台需实现“镜像-签名-验证”全链路安全，给出：1)镜像签名流程(Cosign+Kyverno)；2)公钥托管与轮换策略；3)失败事件响应自动化脚本(Python)。答案：1)流程：CI阶段：构建后cosignsign--keykms://aliyun-kms/xxx$I