2026年网络与数据安全知识竞赛题库及答案

2026年网络与数据安全知识竞赛题库及答案单选题（每题1分，共30分）1.依据GB/T22239-2019，三级等级保护对象中“安全区域边界”控制点要求边界设备应支持（）。A.仅包过滤B.状态检测与深度包检测C.仅MAC过滤D.仅端口镜像答案：B2.在TLS1.3握手过程中，用于实现前向安全性的密钥交换算法首选（）。A.RSAB.staticDHC.ECDHED.PSK答案：C3.某云租户使用AWSS3，通过下列哪种方式可确保对象上传时服务端加密且密钥由KMS管理（）。A.x-amz-server-side-encryption:aws:kmsB.x-amz-server-side-encryption-customer-keyC.x-amz-acl:privateD.x-amz-storage-class:GLACIER答案：A4.根据《数据安全法》，处理重要数据的大型平台运营者应当（）开展风险评估。A.每月B.每季度C.每半年D.每年答案：D5.在零信任架构中，用于持续评估终端安全状态的组件是（）。A.SIEMB.CAC.PDPD.TA（TrustAgent）答案：D6.下列哪条Linux命令可永久关闭IPv6协议栈（）。A.sysctl-wnet.ipv6.conf.all.disable_ipv6=1B.echo1>/proc/sys/net/ipv6/conf/all/disable_ipv6C.grub2-editenvsetipv6.disable=1D.iplinksetdeveth0ipv6off答案：C7.在BGP安全扩展中，用于验证AS路径真实性的机制是（）。A.RPKIROAB.BGPsecC.ASPAD.SoBGP答案：B8.某企业采用NISTSP800-63B，要求AAL3级身份验证，必须使用的因子是（）。A.单因子密码B.多因子加密硬件C.生物特征+密码D.短信验证码答案：B9.在Android13中，防止应用程序在后台访问加速度传感器的权限控制属于（）。A.普通权限B.签名权限C.运行时权限D.特殊访问权限答案：D10.使用AES-GCM加密时，IV重复使用会导致（）。A.仅机密性失效B.仅完整性失效C.机密性与完整性均失效D.无影响答案：C11.在OWASPTop102021中，A02类别指（）。A.注入B.加密失败C.失效的访问控制D.不安全设计答案：B12.某IDS规则alerttcpanyany->any443(msg:"TLS1.3Hello";content:"|160301|";depth:3;sid:1;)的depth字段含义是（）。A.匹配载荷偏移B.匹配字节深度C.匹配流方向D.匹配时间窗口答案：B13.在Windows1122H2中，默认启用可阻止内核驱动篡改的安全功能是（）。A.HVCIB.CredentialGuardC.VBSD.KernelCFG答案：A14.依据ISO/IEC27701:2019，PIMS扩展针对的是（）。A.云服务安全B.隐私信息管理C.供应链安全D.业务连续性答案：B15.在Kubernetes1.28中，用于限制容器使用宿主机PID命名空间的字段是（）。A.hostPIDB.shareProcessNamespaceC.privilegedD.allowPrivilegeEscalation答案：A16.差分隐私中，(ε,δ)-DP当δ>0时称为（）。A.纯差分隐私B.近似差分隐私C.零集中差分隐私D.本地差分隐私答案：B17.在SNMPv3中，提供认证与加密的组合安全级别是（）。A.noAuthNoPrivB.authNoPrivC.authPrivD.privOnly答案：C18.使用SHA-3-256输出的杂凑值长度为（）字节。A.16B.28C.32D.64答案：C19.在IPv6中，用于防止地址扫描的临时地址机制是（）。A.SLAACB.DHCPv6C.PrivacyExtensionsD.CryptographicallyGeneratedAddresses答案：C20.某企业采用COBIT2019，管理数据质量的目标由（）流程负责。A.APO14B.BAI02C.DSS01D.DSS06答案：A21.在SQL注入防御中，使用参数化查询主要解决（）。A.绕过WAFB.语义混淆C.解释器上下文混淆D.权限提升答案：C22.在5G核心网中，用于隐藏用户永久标识的临时标识是（）。A.IMSIB.SUCIC.GUTID.5G-TMSI答案：B23.依据《关键信息基础设施安全保护条例》，运营者采购网络产品或服务影响国家安全的，应当通过（）审查。A.工信部B.网信办C.公安部D.国家安全审查机制答案：D24.在Python3.11中，可安全生成加密安全随机数的模块是（）。A.randomB.numpy.randomC.secretsD.os.urandom答案：C25.在Wireshark中，过滤TLS1.3握手完成消息使用的显示过滤器是（）。A.tls.handshake.type==20B.tls.handshake.type==1C.tls.handshake.finishedD.tls.handshake.type==14答案：A26.在区块链中，防止重放攻击的以太坊EIP-155机制引入的字段是（）。A.chainIdB.nonceC.gasPriceD.v,r,s答案：A27.在零知识证明中，SNARK的全称是（）。A.SuccinctNon-interactiveArgumentofKnowledgeB.SecureNon-interactiveArgumentofKnowledgeC.SimpleNon-interactiveArgumentofKnowledgeD.ShortNon-interactiveArgumentofKnowledge答案：A28.在Linux内核5.15中，默认启用的防止内核栈溢出攻击的编译选项是（）。A.CONFIG_STACKPROTECTORB.CONFIG_SLAB_MERGE_DEFAULTC.CONFIG_KASLRD.CONFIG_RETPOLINE答案：A29.在HTTP/3中，传输层协议替换为（）。A.TCPB.UDP+QUICC.SCTPD.DCCP答案：B30.在NIST后量子密码标准化第三轮中，被选为签名算法的是（）。A.CRYSTALS-KYBERB.CRYSTALS-DILITHIUMC.FalconD.NTRU答案：B多选题（每题2分，共20分）31.以下哪些属于GDPR第9条规定的特殊类别个人数据（）。A.种族B.政治观点C.位置轨迹D.生物识别数据E.工会成员身份答案：ABDE32.在Kubernetes中，以下哪些资源可直接限制容器权限（）。A.PodSecurityPolicyB.OPAGatekeeperC.NetworkPolicyD.SeccompProfileE.AppArmorProfile答案：ABDE33.关于AES-GCM，下列说法正确的是（）。A.提供机密性B.提供完整性C.需要填充D.支持并行计算E.认证标签长度固定128位答案：ABD34.以下哪些协议支持前向保密（）。A.TLS1.2ECDHEB.TLS1.3C.IPSecIKEv1MainModeD.SSHwithdiffie-hellman-group14E.SignalX3DH答案：ABE35.在Windows日志中，可记录Pass-the-Hash攻击痕迹的事件ID包括（）。A.4624B.4625C.4648D.4768E.4769答案：BCDE36.以下哪些属于NISTCSF2.0核心功能（）。A.IdentifyB.ProtectC.DetectD.RespondE.RecoverF.Govern答案：ABCDEF37.在Linux中，可用于实现强制访问控制（MAC）的机制有（）。A.SELinuxB.AppArmorC.TomoyoD.SmackE.grsecurity答案：ABCD38.以下哪些攻击可破坏HTTPS通信的机密性（）。A.CRIMEB.BREACHC.BEASTD.DROWNE.POODLE答案：ABCDE39.在数据脱敏技术中，可保持数据格式不变的算法有（）。A.TokenizationB.Format-PreservingEncryptionC.K-anonymityD.数据伪造E.数据置换答案：AB40.以下哪些属于ISO/IEC27035定义的应急响应阶段（）。A.PlanB.DetectionC.AlertD.TriageE.Follow-up答案：BCDE填空题（每空1分，共20分）41.在SHA-256压缩函数中，初始哈希值H0共（8）个32位字。42.根据《密码法》，国家对密码实行分类管理，将密码分为核心密码、（普通）密码和商用密码。43.在IPv4报头中，用于防止分片攻击的字段是（DF）标志位。44.在SQLTDE中，用于加密数据库加密密钥（DEK）的证书应存储于（master）数据库。45.在Wireshark显示过滤器中，过滤HTTP状态码为404的表达式为（http.response.code==404）。46.在Kubernetes中，Pod的安全策略通过（SecurityContext）字段设置运行用户。47.在NISTSP800-53Rev5中，控制族AC代表（AccessControl）。48.在Windows中，用于列出所有本地安全策略的命令行工具是（secedit）。49.在5GAKA中，归属网络向终端下发的认证令牌称为（AUTN）。50.在差分隐私中，隐私预算ε越小，隐私保护强度越（高）。51.在Git版本管理中，用于验证提交者身份的GPG签名命令参数为（-S）。52.在以太坊中，交易Gas单价单位是（wei）的十亿倍，即Gwei。53.在Linux内核中，防止内核模块被恶意加载的安全机制是（modulesignature）。54.在TLS1.3中，用于导出应用数据密钥的握手上下文标签为（"tls13keyexpansion"）。55.在Nmap中，启用NSE脚本http-enum的命令参数为（--scripthttp-enum）。56.在COBIT2019中，治理系统的核心组件包括流程、组织结构、（政策与规则）及信息流。57.在Python中，使用hmac模块进行HMAC-SHA256运算，构造函数参数hashmod应传入（hashlib.sha256）。58.在AWSIAM策略中，通配符“”表示（所有资源/操作）。58.在AWSIAM策略中，通配符“”表示（所有资源/操作）。59.在ISO/IEC27701:2019中，PIMS特定流程扩展自（ISO/IEC27001）附录A。60.在BGPsec中，用于签名BGPUPDATE的算法推荐使用（ECDSAonP-256）。简答题（每题6分，共30分）61.简述TLS1.3与TLS1.2在握手延迟上的差异并给出原因。答案：TLS1.3握手仅需1-RTT，TLS1.2需2-RTT；原因：TLS1.3将证书与密钥交换合并，去除ServerKeyExchange消息，并采用ECDH一次性传递公钥，客户端可立即计算主密钥，减少一次往返。62.说明Kubernetes中PodSecurityPolicy被废弃后的替代方案及其优势。答案：替代方案为PodSecurityStandards（PSS）与OPAGatekeeper。PSS内建三种策略级别（Privileged、Baseline、Restricted），无需额外CRD，降低运维复杂度；Gatekeeper提供灵活Rego策略，可扩展至镜像签名、资源配额等，满足复杂合规需求。63.列举三种常见同态加密方案并指出其支持的运算类型。答案：1.Paillier：支持加法同态；2.RSA（无填充）：支持乘法同态；3.CKKS：支持浮点数近似加法与乘法同态，适用于机器学习。64.说明差分隐私中“敏感度”概念及其在拉普拉斯机制中的作用。答案：敏感度指单条记录改变导致查询结果变化的最大L1范数；拉普拉斯机制向查询结果添加服从Lap(Δf/ε)的噪声，其中Δf为敏感度，ε为隐私预算，确保(ε,0)-DP。65.描述WindowsCredentialGuard如何利用VBS与TPM保护域哈希。答案：VBS创建隔离LSA进程（IsolatedLSA），利用TPM测量启动完整性，将NTLM哈希及Kerberos票据加密存储于虚拟安全模式内存，即便内核级攻击者也无法读取明文哈希，实现Pass-the-Hash防护。应用题（共50分）66.计算题（10分）某企业使用AES-128-CBC加密，密钥K=0x2b7e151628aed2a6abf7158809cf4f3c，IV=0x000102030405060708090a0b0c0d0e0f，明文P=0x3243f6a8885a308d313198a2e037073（共16字节）。（1）写出第一块密文C1的十六进制值（要求列出中间状态S0、S1）。（2）若攻击者篡改IV的最低字节由0f改为1f，解密后P'的最低字节为何值？答案：（1）经AES加密：S0=P⊕IV=0x3243f6a8885a308d313198a2e037073⊕0x000102…=0x3242f5ab885a308d313198a2e03707c；AES(K,S0)=0x3925841d02dc09fbdc118597196a0b32，故C1=0x3925841d02dc09fbdc118597196a0b32。（2）篡改IV'=0x000…1f；解密得S0'=AES⁻¹(C1)⊕IV'=S0⊕IV⊕IV'=P⊕IV⊕IV⊕IV'=P⊕ΔIV；ΔIV=0x10，故P'最低字节=0x73⊕0x10=0x63。67.分析题（15分）某Web应用采用JWT（alg=HS256）认证，密钥为弱口令“123456”。攻击者通过GitHub泄露获得源码，发现登录接口/login无速率限制。（1）给出攻击者伪造任意用户JWT的完整步骤。（2）提出三种加固方案并说明原理。答案：（1）步骤：1.枚举常见弱口令或使用hashcat爆破HS256密钥；2.构造header={"alg":"HS256","typ":"JWT"}，payload={"sub":"admin","exp":1700000000}；3.使用破解出的密钥计算signature=HMAC_SHA256(base64Url(header)+'.'+base64Url(payload),"123456")；4.拼接token发送给服务端通过验证。（2）加固：1.更换强随机密钥≥256位，存入HSM；2.改用RS256（非对称），公钥验签，私钥仅服务端持有；3.登录接口加速率限制与图形验证码，防止在线爆破；4.启用JWT黑名单或短有效期+刷新令牌，降低泄露影响。68.综合题（25分）某金融公司计划上线开放API，需满足《金融数据安全数据安全分级指南》3级要求，技术栈：SpringCloudGateway+MySQL8.0+Redis7.0+Kubernetes1.28。任务：设计端到端数据安全方案，覆盖传输、存储、接口、审计、脱敏五个维度，要求：a.给出加密算法与密钥管理策略（含轮换周期）；b.说明如何利用ServiceMesh实现mTLS与细粒度授权；c.给出数据库与Redis加密配置片段（YAML或SQL）；d.说明如何利用FPE实现查询脱敏，并给出Java示例代码；e.给出审计日志采集与防篡改架构图（文字描述）。答案：a.传输：外部TLS1.3+ECDHE+P-256+AES-256-GCM，内部IstiomTLS，密钥通过IstioCitadel签发，有效期24h自动轮换；存储：MySQL开启TDE（AES-256），KEK存于KMS（AWSKMS或HashiCorpVault），轮换周期90天；Redis启用ACL+TLS+on-diskAES-256加密，密钥由KMSEnvelopeEncryption，轮换30天。b.IstioSidecar自动注入，PeerAuthentication模式STRICT，AuthorizationPolicy基于JWTclaim（sub、role）+URL路径，支持行级字段级ACL；利用EnvoyRBAC过滤器实现细粒度授权，支持OPA外部授权服务。c.MySQL：ALTERTABLEt1ENCR