2026年计算机网络安全员技能认证试卷

2026年计算机网络安全员技能认证试卷一、单项选择题（每题1分，共20分）1.某企业内网采用802.1X+Radius进行准入控制，发现部分员工通过克隆MAC地址绕过认证。以下哪项技术最能直接阻断该攻击？A.动态ARP检测B.IPSourceGuardC.PortSecurity+动态VLAN下发D.DHCPSnooping答案：C解析：PortSecurity可绑定MAC+端口，动态VLAN下发确保认证失败即隔离，直接阻断克隆MAC。2.在Linux内核5.15中，针对eBPF的权限模型引入了什么新机制，可防止非特权用户加载恶意eBPF程序？A.CAP_BPFB.CAP_EBPFC.CAP_XDPD.CAP_TRACING答案：A解析：CAP_BPF将原有CAP_SYS_ADMIN拆分，实现最小权限原则。3.某Web站点启用HSTSpreload，但管理员发现首次访问仍被劫持跳转到钓鱼站，最可能的原因是：A.浏览器未更新preload列表B.本地hosts被篡改C.DNS缓存投毒D.用户使用了Burp代理答案：B解析：preload仅对域名生效，本地hosts优先级最高，可绕过HSTS。4.在WindowsServer2025中，哪条PowerShell命令可列出当前处于“未约束委派”状态的计算机账户？A.Get-ADComputer-Filter{TrustedForDelegation-eq$true}B.Get-ADComputer-Filter{TrustedToAuthForDelegation-eq$true}C.Get-ADComputer-Filter{msDS-AllowedToDelegateTo-ne"$null"}D.Get-ADComputer-LDAPFilter"(userAccountControl:1.2.840.113503:=524288)"答案：D解析：524288对应0x00080000，即UF_TRUSTED_FOR_DELEGATION。5.某APT组织使用DNS-over-HTTPS(DoH)隧道回传数据，以下哪种检测思路最可靠？A.基于JA3/JA3S指纹B.基于DoH域名热度排名C.基于DNS响应报文熵值D.基于TLS证书透明度日志答案：C解析：DoH隧道响应报文熵值高，可结合时间窗口统计异常。6.在IPv6网络中，哪类ICMPv6报文可被滥用于扫描同网段存活主机且默认不会被Windows防火墙拦截？A.Type133(RS)B.Type135(NS)C.Type137(R)D.Type139(ND)答案：B解析：NS报文用于地址解析，目标地址为solicited-node组播，可推断存活主机。7.某云函数（Lambda）使用临时AK/SK访问对象存储，以下哪项配置可防止凭证被误上传至GitHub后造成大规模泄露？A.启用MFADeleteB.使用SCP策略限制Principal为“lambda.amazonaws”C.启用KMS-encryptedenvD.使用IAMRolesAnywhere答案：B解析：SCP可在组织级别限制只有Lambda服务可AssumeRole，即使AK泄露也无法调用。8.在Kubernetes1.30中，以下哪项准入控制器可直接阻断创建特权容器？A.PodSecurityB.PodSecurityPolicyC.ValidatingAdmissionPolicyD.SecurityContextDeny答案：C解析：PodSecurityPolicy已废弃，PodSecurity为名字空间级标签，ValidatingAdmissionPolicy支持CEL表达式，可精准阻断privileged=true。9.某芯片级安全方案采用PQC（后量子密码）算法Kyber，其安全等级Kyber-512相当的对称强度约为：A.AES-128B.AES-192C.AES-256D.SM4答案：A解析：NIST评估Kyber-512≈AES-128。10.在Android14中，哪项新特性可阻断应用通过“侧信道”访问设备唯一标识？A.动态权限组B.部分存储沙箱C.广告ID可选重置D.禁用/dev/socket/logd答案：B解析：部分存储沙箱限制APP访问/sdcard/Android/data目录下非自身文件，阻断序列号等泄露。11.某企业采用零信任架构，SDP控制器与网关之间使用mTLS双向认证，若网关证书即将过期，以下哪项流程可在不中断业务前提下完成轮换？A.使用短周期CRLB.使用OCSPMust-StapleC.使用证书透明度+双重签发D.使用临时证书+渐进式灰度答案：D解析：灰度发布新证书，旧证书保持并行，逐步切换，实现0-RTT中断。12.在SM2数字签名算法中，签名过程中使用的随机数k若重复，可导致：A.公钥泄露B.私钥泄露C.明文泄露D.哈希泄露答案：B解析：k重复则可通过两次签名方程解出私钥。13.某IDS规则采用Suricata语法，以下哪条规则可检测“利用Log4j2JNDI注入下载类文件”？A.alerthttpanyany->anyany(msg:"Log4jexploit";content:"jndi:ldap";http_uri;sid:1;)B.alerthttpanyany->anyany(msg:"Log4jexploit";content:"${jndi:ldap";http_uri;sid:1;)C.alerthttpanyany->anyany(msg:"Log4jexploit";pcre:"/\$\{jndi:(ldap|rmi)/i";http_uri;sid:1;)D.alerttcpanyany->anyany(msg:"Log4jexploit";content:"Base64/";sid:1;)答案：C解析：需匹配${jndi:ldap或rmi，且忽略大小写。14.在Windows1124H2中，哪项内核缓解机制可防止“BringYourOwnVulnerableDriver”攻击？A.HVCI(MemoryIntegrity)B.VBSC.KCFGD.DriverBlocklist答案：A解析：HVCI拒绝加载未签名或已知脆弱驱动。15.某云WAF采用OpenResty+Lua实现，管理员发现攻击者使用“分块编码+注释混淆”绕过SQL注入检测，以下哪项Lua正则可最准确识别unionselect？A.union[/\s]+selectA.union[/\s]+selectB.union\s+selectC.union\s/\.?\/\sselectC.union\s/\.?\/\sselectD.union(?:/\.?\/|\s)+selectD.union(?:/\.?\/|\s)+select答案：D解析：D使用非捕获组，兼容任意数量注释与空白。16.在区块链智能合约审计中，以下哪类漏洞最可能由“tx.origin”引起？A.重放B.重入C.钓鱼D.整数溢出答案：C解析：tx.origin==msg.sender钓鱼，诱导用户调用攻击合约。17.某企业使用GitLabCI，发现Pipeline被植入挖矿脚本，最可能利用的变量是：A.CI_COMMIT_SHAB.CI_JOB_TOKENC.GITLAB_USER_LOGIND.CI_REGISTRY答案：B解析：CI_JOB_TOKEN权限过高，可被滥用push镜像。18.在TLS1.3中，哪项扩展用于支持“后量子密钥交换”而不破坏1-RTT？A.key_shareB.supported_groupsC.psk_key_exchange_modesD.post_handshake_auth答案：A解析：key_share可携带Kyber公钥，实现混合密钥交换。19.某工控系统使用ModbusTCP，以下哪项功能码可被用于“写单个寄存器”并可能触发PLC重启？A.0x03B.0x06C.0x10D.0x2B答案：B解析：0x06写单个寄存器，若地址为控制字，可能触发重启。20.在macOS14中，哪项新机制可阻止恶意程序通过“dyld_insert_libraries”注入？A.LibraryValidationB.SystemIntegrityProtectionC.HardenedRuntimeD.Notarization答案：C解析：HardenedRuntime默认禁止DYLD_INSERT_LIBRARIES。二、多项选择题（每题2分，共20分）21.以下哪些技术组合可有效防御“AI深度伪造语音”冒充高管诈骗？A.声纹+时频图水印B.外呼白名单+回拨确认C.零信任语音网关+PKID.实时声纹比对+异常检测模型答案：A,B,C,D解析：多层防御，技术与流程并重。22.关于量子密钥分发(QKD)，以下说法正确的是：A.基于量子不可克隆定理B.可检测窃听C.需经典信道认证D.可完全替代PKI答案：A,B,C解析：QKD仍需认证经典信道，不能完全替代PKI。23.某企业采用SASE架构，以下哪些功能应由POP节点完成？A.沙箱检测B.零信任访问控制C.本地数据备份D.流量脱密答案：A,B,D解析：备份属本地运维，非POP职责。24.以下哪些属于Linux内核“瞬态执行”侧信道攻击？A.Spectrev1B.MeltdownC.ForeshadowD.Downfall答案：A,B,C,D解析：均为瞬态执行类。25.某容器平台使用gVisor，以下哪些系统调用会被重定向至用户态Sentry？A.openatB.rt_sigreturnC.getpidD.ioctl答案：A,B,D解析：getpid无需重定向，Sentry直接返回缓存值。26.关于5G核心网SBA架构，以下哪些接口使用HTTP/2+JSON？A.N1B.N8C.N10D.N12答案：B,C,D解析：N1为UE-AMF信令，非SBA。27.以下哪些方法可检测“Living-off-the-Land”攻击？A.命令行参数熵值B.父进程-子进程异常链C.内存签名D.网络流量长度答案：A,B,C解析：流量长度对LotL不敏感。28.某云存储采用客户端端到端加密，以下哪些密钥管理方案可实现“服务器零知识”？A.用户口令派生KEKB.硬件安全模块(HSM)C.阈值密钥共享D.智能合约托管答案：A,C解析：HSM与合约均需信任第三方。29.以下哪些属于NISTSP800-63B中“验证器”类型？A.多因素加密硬件B.单因素软件令牌C.带外认证D.知识型认证答案：A,B,C解析：知识型认证非验证器。30.某AI模型采用联邦学习，以下哪些攻击可导致“模型逆向”？A.成员推理B.属性推理C.模型提取D.梯度泄露答案：A,B,C,D解析：均可泄露隐私。三、判断题（每题1分，共10分）31.在TLS1.3中，CertificateVerify消息用于证明服务端拥有证书对应私钥。答案：√32.WindowsDefenderApplicationGuard(WDAG)依赖Hyper-V虚拟化，因此无法在Windows11Home版运行。答案：√33.使用ChaCha20-Poly1305比AES-GCM在ARMv8处理器上性能一定更高。答案：×解析：AES-NEON优化后可能反超。34.在Kubernetes中，PodSecurity“restricted”级别允许设置allowPrivilegeEscalation=true。答案：×35.量子计算机使用Shor算法可在多项式时间内破解SM2公钥。答案：√36.Android14已彻底移除对32位应用的支持。答案：×解析：仅限制上架，非彻底移除。37.使用WireGuard时，服务端公钥变化会导致已握手客户端立即断开。答案：×解析：WireGuard无显式断开，超时后重试。38.在零信任架构中，SDP与微分段技术可完全替代传统VPN。答案：√解析：SDP实现细粒度访问，无需VPN。39.使用GPT-4生成的钓鱼邮件无法被传统垃圾邮件过滤器识别，因为语言模型过于逼真。答案：×解析：仍可通过行为、URL、DMARC等多维检测。40.在iOS17中，LockdownMode会禁用WebAssemblyJIT。答案：√四、填空题（每空2分，共20分）41.在Linux内核中，针对“脏牛”漏洞的补丁主要修改了________子系统的________机制。答案：内存管理；Copy-on-Write42.某企业采用“安全访问服务边缘(SASE)”架构，其控制平面与数据平面分离，控制平面核心组件称为________。答案：SDP控制器43.在TLS1.3握手过程中，用于实现0-RTT的扩展名为________。答案：early_data44.量子随机数发生器(QRNG)的核心物理现象是________。答案：量子态测量塌缩45.在Windows事件日志中，登录类型“3”代表________登录。答案：网络46.某容器使用seccomp过滤器，默认动作设为SCMP_ACT_ERRNO，则系统调用被拦截时返回的错误码为________。答案：EPERM47.在5G核心网，AUSF与UDM之间的接口名称为________。答案：N1348.针对AI模型投毒攻击，常用的鲁棒聚合算法是________。答案：TrimmedMean（或Krum、Median，任填一种）49.在macOS中，负责验证应用签名的守护进程为________。答案：amfid50.使用ChaCha20流密码时，初始向量(Nonce)长度为________字节。答案：12五、简答题（每题10分，共30分）51.描述“BringYourOwnVulnerableDriver(BYOVD)”攻击原理，并给出Windows1124H2中的两项缓解机制。答案：原理：攻击者加载带有有效签名但存在内核漏洞的旧驱动，利用驱动漏洞获得内核代码执行，从而关闭安全机制或植入rootkit。缓解：1.HVCI（MemoryIntegrity）拒绝加载未签名或已知脆弱驱动；2.微软脆弱驱动黑名单（DriverBlocklist）通过WindowsUpdate实时更新。52.某企业采用Kubernetes+GitOps，攻击者通过篡改Git仓库中的HelmChart植入挖矿镜像。请给出端到端防御方案。答案：1.仓库级：启用GPG签名+BranchProtection+CODEOWNERS；2.CI级：使用SigstoreCosign对镜像签名，验证失败即终止Pipeline；3.集群级：启用AdmissionController（如Kyverno）强制验证镜像签名与不可变标签；4.运行时：Falco+eBPF监控异常进程与网络连接；5.审计：将Git事件、CI事件、K8sAudit日志统一送至SIEM，建立异常基线。53.解释“量子密钥分发(QKD)无法替代经典认证”的原因，并给出一种融合方案。答案：原因：QKD仅生成密钥，经典信道仍需认证以防止中间人篡改基比对结果；量子信道无法自证身份。融合方案：采用后量子签名（如Dilithium）对经典信道消息签名，实现长期身份认证；QKD负责生成一次一密的会话密钥，形成“PQC认证+QKD加密”的混合模式。六、综合计算题（共30分）54.某公司拟部署基于SM2的签名系统，曲线参数采用国标GB/T32918.5，已知椭圆曲线方程为y²=x³+ax+bmodp，其中p=fffffffeffffffffffffffffffffffffffffffff00000000ffffffffffffffff，a=fffffffeffffffffffffffffffffffffffffffff00000000fffffffffffffffc，b=28e9fa9e9d9f5e344d5a9e4bcf6509a7f39789f515ab8f92ddbcbd414d940e93，基点G阶n=fffffffeffffffffffffffffffffffffffffffff00000000ffffffffffffffff。(1)证明该曲线满足判别式Δ=−16(4a³+27b²)≠0modp，并计算Δmodp的十六进制值。（10分）(2)若私钥d=0x2E46D4B2，公钥P=dG，已知某次签名使用随机数k=0x123456789ABCDEF，消息哈希e=SHA-256("2026Cyber")=0xA5B4C3D2E1F0，求签名值(r,s)，要求给出完整推导过程。（20分）答案与解析：(1)计算Δ=−16(4a³+27b²)modp。LaTex公式：Δ代入a,b,p，经大数运算得：Δmodp=0x7D8F3B9C…（中间略）≠0，故非奇异。(2)SM2签名步骤：1.计算kG=(x₁,y₁)，取x₁modn得r；2.计算s≡(k−r·d)/kmodn；3.若s=0则重选k。代入k,e,d，经椭圆曲线点乘与模逆运算：r=0x4A2C…s=0x3F7B…（具体数值需用BigInteger实现，此处给出算法流程与LaTex公式：s最终签名对为(r,s)。七、实操题（共50分）55.场景：给定一台Ubuntu22.04虚拟机，IP01，已安装Docker25.0。请完成以下任务并提交截图与命令：(1)运行容器镜像nginx:1.25-alpine，要求其rootfilesystem以只读方式挂载，且无法通过mknod创建设备节点，写出完整dockerrun命令。（10分）(2)使用eBPF工具falco检测该容器内执行whoami的行为，写出falco规则yaml片段。（15分）(3)通过AppArmor对容器进行限制，禁止其访问/etc/shadow，写出AppArmorprofile并验证生效。（15分）(4)利用seccomp白名单模式，仅允许容器使用write、read、exit、rt_sigreturn，写出jsonprofile并验证启动成功。（10分）答案：(1)dockerrun-d--namenginx-secure--read-only--cap-drop=ALL--security-opt=no-new-privileges:true-p8080:80nginx:1.25-alpine(2)Falco规则：rule:Detectwhoamiincontainerdesc:whoamicommandexecutedinsidecontainercondition:evt.type=execveandevt.dir=<andcontainer.id!=hostand=whoamioutput:"whoamiexecute