2026年数据库安全技术竞赛模拟试卷及答案

2026年数据库安全技术竞赛模拟试卷及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在Oracle19c中，若启用UnifiedAudit，默认的审计记录首先写入哪类存储区？A.SYS.AUD$表  B.只读表空间  C.AUDSYSschema下的只读表  D.操作系统文件答案：C2.使用MySQL8.0的keyring_file插件时，以下哪项操作会触发keyring文件重写？A.SELECT  B.ALTERINSTANCEROTATEINNODBMASTERKEY  C.FLUSHLOGS  D.CREATEUSER答案：B3.在SQLServer2022中，启用AlwaysEncryptedwithsecureenclaves后，哪类计算仍可在服务器端完成？A.模式匹配LIKE  B.范围比较>、<  C.字符串拼接  D.分组聚合SUM答案：B4.依据GB/T35273-2020，个人信息控制者开展数据去标识化时，重标识风险级别分为几级？A.2  B.3  C.4  D.5答案：C5.MongoDB6.0开启FieldLevelEncryption后，驱动加密数据使用的密钥类型是：A.数据加密密钥（DEK）  B.主密钥（CMK）  C.根密钥（RootKey）  D.会话密钥答案：A6.在PostgreSQL15中，若开启row-levelsecurity，以下哪类SQL语句不受RLS策略影响？A.COPYTO  B.UPDATE  C.DELETE  D.INSERT答案：A7.当Oracle数据库使用TDE进行表空间加密时，加密算法AES256的密钥长度为：A.128bit  B.192bit  C.256bit  D.512bit答案：C8.在Kerberos认证环境中，SQLServer服务主体名称（SPN）注册错误最可能导致：A.登录触发器失效  B.用户被映射到错误数据库  C.登录出现“CannotgenerateSSPIcontext”  D.强制协议加密失败答案：C9.依据《数据安全法》，对重要数据跨境传输安全评估的最长审查时限为：A.15个工作日  B.30个工作日  C.45个工作日  D.60个工作日答案：C10.在MySQL8.0中，若启用partial_revoke，以下哪条语句可撤销用户u1对db1.*的DELETE权限而不影响其他权限？A.REVOKEDELETEON.FROMu1  B.REVOKEDELETEONdb1.FROMu1  C.REVOKEALLONdb1.FROMu1  D.REVOKEGRANTOPTIONONdb1.*FROMu1答案：B11.在SQL注入防御中，以下哪项属于“参数化查询”无法完全规避的风险？A.二次注入  B.联合查询注入  C.布尔盲注  D.时间盲注答案：A12.在PostgreSQL中，使用pgcrypto的gen_random_uuid()函数生成的UUID版本为：A.v1  B.v3  C.v4  D.v5答案：C13.当Oracle19c启用DatabaseVault时，以下哪类用户默认属于DV_OWNER角色？A.SYS  B.SYSTEM  C.DVSYS  D.安装时手工指定答案：D14.在MongoDB分片集群中，若开启Client-SideFLE，mongos路由对加密字段执行的范围查询会：A.直接返回明文结果  B.返回密文并交由客户端过滤  C.拒绝执行并报错  D.自动降级为等值查询答案：C15.在SQLServer中，使用EKM（可扩展密钥管理）时，密钥备份必须：A.使用BACKUPCERTIFICATE  B.使用EKM供应商工具  C.使用BACKUPMASTERKEY  D.使用BACKUPSERVICEMASTERKEY答案：B16.依据ISO/IEC27040:2015，存储安全控制域不包括：A.介质销毁  B.访问控制  C.链路加密  D.机房温度答案：D17.在MySQL企业版中，使用MySQLEnterpriseFirewall可阻止：A.语法错误SQL  B.白名单外SQL模式  C.超长SQL  D.注释过多的SQL答案：B18.在Oracle中，使用DBMS_CRYPTO对RAW数据进行3DES加密，其块大小为：A.64bit  B.128bit  C.192bit  D.256bit答案：A19.在PostgreSQL逻辑复制中，若发布端表未设置REPLICAIDENTITYFULL，更新操作会：A.自动改为INSERT  B.在订阅端失败  C.使用主键定位  D.使用ctid定位答案：B20.在SQLServer2022的Ledger表中，若历史表被篡改，验证存储过程sys.sp_verify_ledger会返回：A.0  B.1  C.2  D.NULL答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）21.以下哪些属于OracleTDE的密钥层级？A.表空间密钥  B.表密钥  C.数据文件密钥  D.主密钥答案：A、B、D22.在MongoDB角色体系中，具备userAdminAnyDatabase权限的用户可以执行：A.创建角色  B.创建用户  C.查看system.users集合  D.关闭实例答案：A、B、C23.关于PostgreSQL的SCRAM-SHA-256认证，下列说法正确的是：A.防止重放攻击  B.需要明文密码在服务器端存储  C.支持通道绑定  D.使用PBKDF2迭代答案：A、C、D24.以下哪些技术可有效降低SQL注入风险？A.ORM框架  B.WAF规则  C.最小权限原则  D.存储过程答案：A、B、C、D25.在MySQL8.0中，以下哪些语句会触发写入binlog？A.SETPASSWORD  B.CREATEFUNCTION  C.GRANT…WITHGRANTOPTION  D.ALTERUSER答案：B、C、D26.依据《个人信息保护法》，处理敏感个人信息应取得：A.明示同意  B.书面同意  C.单独同意  D.法定事由答案：C、D27.在SQLServer透明数据加密中，以下哪些数据库必须加密？A.master  B.tempdb  C.msdb  D.model答案：B28.OracleDatabaseVault可限制以下哪些操作？A.创建用户  B.修改初始化参数  C.删除表空间  D.查询V$SESSION答案：A、B、C29.在MySQL8.0中，使用caching_sha2_password认证插件时，客户端连接需要：A.SSL/TLS或RSA密钥交换  B.服务器端保存哈希  C.客户端支持SHA256  D.支持LDAP答案：A、B、C30.以下哪些属于PostgreSQL提供的行级安全策略应用时机？A.查询规划前  B.执行前重写  C.触发器之后  D.视图展开前答案：A、B三、填空题（每空1分，共20分）31.在Oracle中，查询当前数据库是否启用TDE的视图是________。答案：V$ENCRYPTION_WALLET32.MySQL8.0中，用于查看当前活跃密钥的表是________。答案：performance_schema.keyring_keys33.SQLServer中，用于备份服务主密钥的语句是BACKUPSERVICEMASTERKEYTOFILE=‘path’________。答案：ENCRYPTIONBYPASSWORD=‘StrongPwd’34.MongoDB使用________算法对DEK进行信封加密。答案：AES-256-GCM35.PostgreSQL中，开启行级安全的命令是ALTERTABLE…ENABLE________。答案：ROWLEVELSECURITY36.在Kerberos中，TGT的全称是________。答案：TicketGrantingTicket37.依据GB/T37918-2019，去标识化技术中，________技术通过将直接标识符替换为假名实现。答案：假名化38.SQL注入中，使用________函数可获取数据库版本信息，常用于MySQL。答案：version()39.OracleDatabaseVault的命令规则使用________包创建。答案：DBMS_MACADM40.在MySQL中，撤销所有权限并删除用户的语句是DROPUSER________。答案：IFEXISTS41.在PostgreSQL中，查看当前会话是否使用SSL的函数是________。答案：pg_ssl_status()42.SQLServer2022的Ledger功能基于________结构实现防篡改。答案：Merkle树43.在MongoDB中，列出所有自定义角色的命令是________Roles。答案：db.getRoles()44.依据ISO27001，风险处置计划应得到________批准。答案：管理层45.在Oracle中，钱包目录由初始化参数________指定。答案：WALLET_ROOT46.MySQL8.0的caching_sha2_password默认缓存过期时间为________小时。答案：2447.在SQLServer中，用于查看透明数据加密状态的DMV是sys.dm_database________。答案：encryption_keys48.PostgreSQL中，使用________扩展可实现列级加密。答案：pgcrypto49.在Kerberos认证中，SPN格式为service/________@REALM。答案：FQDN50.依据《数据安全法》，国家建立________数据分类分级保护制度。答案：核心四、简答题（每题6分，共30分）51.简述OracleTDE中“表空间加密”与“列加密”在密钥管理上的差异。答案：表空间加密使用统一的表空间密钥加密整个表空间，所有表共享同一密钥，密钥缓存在SGA，由钱包统一管理；列加密则每列可独立指定算法与密钥，列密钥由主密钥加密后存储数据字典，支持salt和MAC，粒度更细但性能开销更高，且不支持索引范围扫描。52.说明MySQL8.0中caching_sha2_password插件相对mysql_native_password的安全改进。答案：caching_sha2_password使用SHA256替换旧版SHA1，增加盐值与5000轮PBKDF2迭代，提升抗暴力破解；引入内存缓存避免重复计算；强制要求SSL或RSA密钥交换，防止中间人窃取密码哈希；支持快速认证路径，减少网络往返。53.列举MongoDBClient-SideFLE的密钥层级及各自作用。答案：1.主密钥（CMK）存储于KMS，用于加密DEK；2.数据加密密钥（DEK）由CMK加密后存储于keyvault集合，用于加密字段值；3.字段级加密使用DEK对文档字段进行AEAD加密，实现端到端保密。54.简述SQLServerAlwaysEncryptedwithsecureenclaves如何平衡保密与计算。答案：通过将敏感列加密为确定型或随机型密文，客户端驱动把查询谓词也加密为相同格式；服务器端安全飞地内使用enclave密钥解密数据后进行范围比较或聚合，计算结果再加密返回，实现密文状态下的服务器端计算，避免明文泄露。55.说明PostgreSQL行级安全策略（RLS）与视图在权限控制上的优劣。答案：RLS由内核强制执行，无法绕过，支持更新删除，策略可动态依赖当前上下文；视图需显式引用，易被绕过，更新能力受限，但可复用复杂JOIN与聚合，性能调优更灵活。五、应用题（共60分）56.计算分析题（10分）某金融系统使用Oracle19c，表空间加密算法为AES256，存储容量为5TB，每日增量50GB，备份策略为每日全备+增量合并。已知AES256加密对CPU额外开销为8%，存储压缩比为1.8:1，网络带宽为1Gb/s。计算：(1)每日备份传输密文所需时间（小时）；(2)若CPU主频为2.5GHz，单核性能为2.5GFLOPS，估算加密所需CPU核心数（假设加密吞吐1GB/s需0.4GFLOPS）。答案：(1)每日增量50GB，压缩后50/1.8≈27.78GB，密文大小≈27.78GB，网络有效带宽1Gb/s=0.125GB/s，时间=27.78/0.125≈222s≈0.062h。(2)加密吞吐需求50GB/86400s≈0.578MB/s，所需算力0.578×0.4≈0.231GFLOPS，核心数=0.231/2.5≈0.092核，实际考虑峰值取1核即可。57.综合设计题（15分）某电商平台拟采用MySQL8.0主从架构，需满足：a.用户手机号、身份证号加密存储；b.运维人员无法查看明文；c.支持模糊查询手机号后四位；d.满足等保三级。请给出完整技术方案，包括加密方式、密钥管理、查询改造、合规措施。答案：1.加密方式：使用MySQLEnterpriseTransparentDataEncryption对InnoDB表空间全盘加密，防止磁盘泄露；对手机号、身份证号列使用应用层AES-256-GCM加密，采用确定型加密保留等值查询，对手机号后四位单独增加一个哈希列（HMAC-SHA256）用于模糊查询。2.密钥管理：主密钥托管于公司HSM，通过MySQLkeyring_okv插件获取；列加密DEK由主密钥加密后存储于独立密钥表，仅应用服务账号可访问。3.查询改造：手机号精确查询使用AES加密后的密文作为条件；模糊查询使用后四位哈希列，应用输入后四位计算哈希再查询；身份证号只支持精确匹配。4.合规：启用MySQL审计插件记录所有数据访问；运维账号仅授予SELECTonmetadata，禁止访问业务库；定期做密文与密钥分离备份；通过等保测评机构进行扫描与渗透测试，出具三级报告。58.案例攻击溯源题（10分）某日发现PostgreSQL日志出现大量：`ERROR:permissiondeniedforrelationcreditcard`同时伴随：`LOG:statement:SELECT*FROMcreditcardWHEREsubstr(cardno,1,6)='123456'`经调查，数据库用户app1仅拥有SELECTonschemapublic，但creditcard表属主为finance。(1)攻击者利用了何种缺陷？(2)给出修复命令与加固建议。答案：(1)表属主为finance，但public模式默认权限允许任何用户创建对象，攻击者事先创建同名表或利用search_path劫持，诱导应用访问伪造表，实际错误信息说明权限不足，表明攻击者已获取app1账号，尝试越权。(2)修复：撤销public模式创建权限`REVOKECREATEONSCHEMApublicFROMPUBLIC;`；将creditcard表移至finance模式并授权`GRANTSELECTONfinance.creditcardTOapp1;`；启用RLS限制app1仅查看自身商户数据；开启pg_audit记录DML；强制SSL连接；修改应用连接字符串指定search_path='finance,public'。59.安全策略编程题（15分）使用OraclePL/SQL编写一个DatabaseVault命令规则，禁止SYSDBA在非维护窗口（每日00:00-04:00）执行DROPTABLESPACE。要求：a.规则绑定至DROPTABLESPACE命令；b.若违反则记录至dv$command_rule日志并抛出应用错误；c.提供测试脚本。答案：```sqlBEGINDBMS_MACADM.CREATE_COMMAND_RULE(command=>'DROPTABLESPACE',rule_set=>'MAINT_WINDOW_RS',object_name=>'%',object_owner=>'%',enabled=>'Y');END;/BEGINDBMS_MACADM.CREATE_RULE_SET(rule_set_name=>'MAINT_WINDOW_RS',description=>'Allowonlyin00:00-04:00',enabled=>'Y',eval_options=>DBMS_MACADM.ALL_RULES,audit