2026年企业信息安全网上模拟试卷及参考答案

2026年企业信息安全网上模拟试卷及参考答案1.单选题（每题2分，共20分）1.1在零信任架构中，以下哪项最能体现“永不信任，持续验证”的核心原则？A.基于IP白名单的边界防火墙B.多因子身份认证与动态权限评估C.单点登录（SSO）一次性票据D.内网流量默认放行，外网流量默认阻断1.2某企业采用AES-256-GCM对数据库字段加密，若需满足《个人信息保护法》第38条跨境传输要求，以下密钥管理方案最合规的是：A.将密钥明文嵌入在应用配置文件中B.密钥托管于境外公有云KMS且仅开启API访问日志C.境内HSM生成并保管密钥，境外节点通过Split-Knowledge方式协商子密钥D.使用固定硬编码密钥并每季度手动轮换一次1.3针对Log4j2远程代码执行漏洞（CVE-2021-44228），下列应急措施最先执行的是：A.升级至最新版Log4j2并重启业务B.在WAF上紧急添加“${jndi”字符串拦截规则C.发布官方公告安抚客户D.关闭所有外网端口1.4在Linux服务器上，以下哪条命令可最快速定位是否存在WebShell“b374k.php”？A.find/var/www-typef-name".php"|xargsgrep-l"eval"A.find/var/www-typef-name".php"|xargsgrep-l"eval"B.ls-al/tmp|grepb374kC.locateb374k.phpD.auditctl-w/var/www-prwxa-kwebshell1.5企业采用EDR解决方案，EDRAgent上报的MITREATT&CKTechniqueID“T1055”代表：A.进程注入B.凭证转储C.远程服务利用D.计划任务1.6某云租户在对象存储桶中开启“公有读”，但桶策略里明确Deny了“”的s3:GetObject，最终访问结果是：1.6某云租户在对象存储桶中开启“公有读”，但桶策略里明确Deny了“”的s3:GetObject，最终访问结果是：A.允许读取，因公有读优先级高B.拒绝读取，Deny优先于AllowC.随机允许或拒绝，取决于区域D.需要IAM用户额外附加权限1.7关于国密算法SM2与RSA-2048，下列说法正确的是：A.SM2加密强度低于RSA-2048B.SM2签名平均长度比RSA-2048签名长C.SM2基于椭圆曲线离散对数难题D.SM2无法用于数字信封1.8在Windows日志取证中，EventID4624与4625分别对应：A.账户登录成功、账户登录失败B.账户锁定、账户解锁C.特权提升、权限降级D.服务启动、服务停止1.9企业部署了微服务网格（ServiceMesh），东西向流量默认采用mTLS，若需满足可观测性需求，最佳做法是：A.关闭mTLS以降低延迟B.将mTLS证书私钥导出给监控平台C.启用mTLS并配置Envoy的ALS（AccessLogService）D.使用tcpdump全流量镜像1.10关于数据脱敏技术，下列描述错误的是：A.可逆加密脱敏可100%还原原始数据B.k-匿名模型要求每条记录至少有k个相同准标识符C.差分隐私通过加入噪声保证ε-隐私预算D.掩码规则“保留前3后4”属于格式脱敏2.多选题（每题3分，共30分；多选少选均不得分）2.1以下哪些手段可有效降低钓鱼邮件进入员工邮箱的概率？A.配置SPF、DKIM、DMARCB.启用CASB反向代理C.部署邮件网关沙箱D.对员工进行模拟钓鱼演练E.在DNS层面封锁所有境外SMTP2.2关于容器安全，下列做法正确的有：A.使用非root用户运行容器主进程B.将Dockerdaemon监听在:2375C.启用Seccomp默认策略并自定义syscall白名单D.镜像构建阶段使用多阶段构建减少攻击面E.把源代码与Dockerfile放在同一层方便调试2.3以下哪些属于《网络安全审查办法》中“关键信息基础设施运营者”采购网络产品或服务时需重点评估的风险？A.供应链中断B.数据被境外机构远程控制C.产品开源许可证兼容性D.业务连续性E.政治背景与外交关系2.4在攻防演练“红队”阶段，常用的权限维持技术包括：A.注册表Run键B.WMIEventSubscriptionC.利用GPO下发计划任务D.修改/etc/passwd添加uid=0用户E.使用MSBuild.exe执行内嵌C#代码2.5以下关于HTTPS与HTTP/2的描述，正确的有：A.HTTP/2必须基于TLSB.HTTP/2支持多路复用，可降低头部阻塞C.TLS1.3握手比TLS1.2少一次RTTD.服务器推送(ServerPush)可提高性能，但可能增加风险E.使用自签名证书时浏览器地址栏一定显示“连接不安全”2.6企业采用DevSecOps流水线，以下哪些活动适合左移（Shift-Left）？A.SASTB.DASTC.依赖库SCAD.渗透测试E.威胁建模2.7关于勒索软件防御，下列措施正确的有：A.定期离线备份并做恢复演练B.在网络存储上开启“不可变”快照C.禁用Office宏脚本D.对高敏文件启用WindowsEFS加密E.在网关层拦截所有.zip附件2.8以下哪些日志源可用于检测“横向移动”行为？A.WindowsEventID4672（特殊权限登录）B.SysmonEventID3（网络连接）C.防火墙会话日志D.DNS解析日志E.物理门禁刷卡记录2.9关于云原生密钥管理，下列做法合规的有：A.使用KMSEnvelopeEncryption，数据密钥明文仅存在于内存B.将KMSCMK的密钥材料手动导入并托管于境外C.启用KMS自动轮换周期为90天D.使用IAM条件键限制“kms:Decrypt”仅允许来自VPC端点E.把KMS密钥与对象存储桶绑定，实现桶级加密2.10以下哪些属于《数据安全法》中规定的企业数据处理活动应当建立的制度？A.数据分类分级B.风险评估C.数据出境安全评估D.重要数据出境年度审计E.数据交易中介备案3.判断题（每题1分，共10分；正确打“√”，错误打“×”）3.1TLS1.3已彻底禁用RSA密钥交换，仅支持ECDHE。3.2在Linux系统中，若文件权限为“-rwsr-xr-x”，则任何用户执行该文件都会以文件所有者身份运行。3.3零日漏洞是指官方发布补丁后第0天被发现的漏洞。3.4使用kubeadm部署的Kubernetes集群，默认关闭etcd加密。3.5国密SM4算法属于分组加密，分组长度为128位。3.6在SQL注入联合查询中，若后端数据库为MySQL，使用“/!50000select/”可绕过某些WAF。3.6在SQL注入联合查询中，若后端数据库为MySQL，使用“/!50000select/”可绕过某些WAF。3.7基于角色的访问控制（RBAC）中，角色可继承，形成角色层次树。3.8WindowsDefenderCredentialGuard使用VBS技术将LSA隔离在虚拟化容器中。3.9同态加密可在不解密数据的情况下完成任意复杂度的计算，且性能损耗低于10%。3.10采用CDN后，源站真实IP可通过子域名的历史解析记录被挖掘。4.填空题（每空2分，共20分）4.1在OpenSSL命令行中，使用_________参数可指定PKCS#1填充模式进行RSA加密。4.2若需查看Kubernetes集群中所有Pod的安全上下文，可使用kubectlgetpods-ojsonpath='{range.items[]}{.}{"\t"}{.spec._________}{"\n"}{end}'。4.2若需查看Kubernetes集群中所有Pod的安全上下文，可使用kubectlgetpods-ojsonpath='{range.items[]}{.}{"\t"}{.spec._________}{"\n"}{end}'。4.3在Wireshark过滤器中，用于仅显示TLS1.3握手流量（ClientHello）的表达式为_________。4.4国密SM3杂凑算法输出长度为_________字节。4.5Windows日志中，清除安全日志会产生事件ID_________。4.6在MySQL5.7中，利用_________表可读取系统任意文件，前提需有FILE权限。4.7若某ELF文件被植入UPX壳，可使用_________工具快速脱壳。4.8在AWSIAM策略中，使用_________条件键可限制请求必须来自特定VPC。4.9基于时间的一次性密码（TOTP）默认时间窗口为_________秒。4.10在Linux内核提漏利用中，常使用_________技术绕过SMEP保护。5.简答题（每题10分，共30分）5.1描述企业如何基于NISTCSF框架建立数据安全治理体系，并给出关键指标（KPI）示例。5.2某电商在“618”大促前进行红蓝对抗演练，蓝队发现Redis未授权访问，但无法确定是否已被红队利用。请给出完整的取证与溯源步骤，并说明如何固定证据。5.3说明差分隐私在日志分析场景中的应用原理，并给出拉普拉斯机制噪声添加公式，计算：当隐私预算ε=0.1，查询敏感度Δf=5时，所需噪声尺度b的值。6.综合计算与案例分析题（共40分）6.1加密计算（10分）企业使用SM4-CBC模式加密用户手机号，密钥长度128位，IV固定为16个0x00。已知明文手机号的UTF-8编码为13字节，填充采用PKCS#7。请给出：(1)填充后的十六进制字节序列；(2)若使用SM4加密后，密文长度是多少字节；(3)若传输时启用Base64编码，最终传输长度是多少字符（向上取整）。6.2风险评估（15分）某金融公司核心系统资产如下：数据库服务器A：价值8百万元，威胁发生概率0.2，现有控制可将损失降低60%；应用服务器B：价值5百万元，威胁发生概率0.3，现有控制可将损失降低40%；办公终端C：价值1百万元，威胁发生概率0.5，现有控制可将损失降低80%。采用年度预期损失（ALE）方法，计算：(1)当前风险ALE；(2)若再投资100万元购买新型防火墙，可将A、B威胁概率分别降至0.1、0.15，且对C无影响，求投资后的ALE；(3)计算ROI，并判断该投资是否值得。6.3应急响应（15分）2026年3月15日09:10，SOC发现多台服务器CPU占用异常，进程“kdevtmpfsi”持续外联矿池地址。已知：系统：Ubuntu20.04，内核5.4.0；入侵路径：DockerremoteAPI2375未授权；已失陷容器：redis、nginx、mysql；矿池地址：pool.xmrig:443。请给出：(1)抑制阶段的三条可执行命令；(2)根除阶段如何彻底清除恶意镜像与定时任务；(3)恢复阶段如何验证业务完整性，并给出两条校验命令。———答案与解析———1.单选题1.1B解析：零信任强调身份与动态授权，IP白名单与默认放行违背原则。1.2C解析：跨境场景需境内保管密钥，Split-Knowledge符合《个人信息保护法》第38条。1.3B解析：WAF紧急拦截可在升级前快速降低攻击面。1.4C解析：locate基于数据库，速度最快；find需遍历磁盘。1.5A解析：T1055为ProcessInjection。1.6B解析：AWS策略评估中Deny优先。1.7C解析：SM2基于椭圆曲线。1.8A解析：4624登录成功，4625登录失败。1.9C解析：ALS可在不解密mTLS情况下提供日志。1.10A解析：可逆加密脱敏后仍属个人敏感数据，不能100%“脱敏”。2.多选题2.1ACD2.2ACD2.3ABD2.4ABCD2.5BCD2.6ACE2.7ABC2.8ABCD2.9ACD2.10ABCE3.判断题3.1√3.2√3.3×（官方未发布补丁前发现）3.4√3.5√3.6√3.7√3.8√3.9×（同态加密性能损耗极高）3.10√4.填空题4.1-rsa_padding_modepkcs14.2securityContext4.3tls.handshake.type==14.4324.511024.6information_schema4.7upx-d4.8aws:SourceVpc4.9304.10ROP5.简答题（要点示例）5.1基于NISTCSF五阶段：识别（建立数据资产清单）、保护（分类分级加密）、检测（DLP、审计）、响应（事件预案）、恢复（备份演练）。KPI：数据资产覆盖率100%、加密率≥95%、MTTD≤30分钟、MTTR≤4小时。5.2步骤：1.网络隔离Redis；2.使用redis-cliLASTSAVE获取RDB时间戳；3.对比系统lastlog/wtmp；4.用volatility分析内存dump找“redis”进程注入痕迹；5.固定RDB、AOF、系统日志、内存镜像，计算SHA-256并封存。5.3拉普拉斯机制：b=Δf/ε=5/0.1=50。6.综合题6.1(1TF-8→0x3133383132333435363738，PKCS#7补3字节0x03，得13+3=16字节：3133383132333435363738030303。(2)SM4输出16字节。(3)Base