2026年计算机网络安全知识考核试卷

2026年计算机网络安全知识考核试卷一、单项选择题（每题2分，共30分）1.在TLS1.3握手过程中，用于实现前向安全性的密钥交换机制是A.RSA密钥传输B.静态Diffie-HellmanC.EphemeralDiffie-HellmanD.ECDSA签名2.某企业采用零信任架构，下列哪项最能体现“永不信任、持续验证”原则A.内网主机互通无需二次认证B.所有访问请求均经过动态策略引擎评估C.边界防火墙默认放行办公网段D.VPN用户一次登录后8小时内不再校验3.关于DNSSEC的链式信任模型，下列说法正确的是A.根区私钥由ICANN离线保管并定期发布到权威服务器B.子域的DS记录由父域签名并存储在子域的权威服务器C.验证器若缓存了父域的DNSKEY，则无需再验证RRSIGD.信任锚仅可手动配置，不能通过ITAR文件自动更新4.在Linux内核中，用于限制进程系统调用的安全机制是A.SELinuxTypeEnforcementB.seccomp-bpfC.AppArmor路径名限制D.capabilities分组5.某Web应用使用ContentSecurityPolicy阻止内联脚本，以下哪种做法仍可被攻击者利用执行XSSA.`<scriptnonce="correct-value">alert(1)</script>`B.`<imgsrc=xonerror=alert(1)>`C.`<scriptsrc="https://cdn.example/app.js"></script>`D.`<linkrel="preload"href="data:text/javascript,alert(1)">`6.在SM4分组密码算法中，轮函数中的合成置换T由非线性变换τ和线性变换L复合而成，若记输入为X，则T(X)的数学表达为A.LB.τC.LD.τ7.某芯片支持IntelCET，其中shadowstack的作用是A.防止ROP攻击篡改返回地址B.加密栈上的局部变量C.随机化栈基址D.检测堆溢出8.在5G核心网中，用于隐藏用户永久标识SUPI的临时标识是A.GUTIB.5G-GUTIC.SUCID.TMSI9.以下关于JSONWebToken的安全隐患描述错误的是A.将算法字段设为“none”可导致任意伪造B.若采用HS256但密钥强度不足，存在暴力破解风险C.将敏感数据放入payload并仅使用Base64编码，会泄露隐私D.在JWT中加入exp字段后服务器无需再检查令牌是否过期10.某系统采用Argon2id作为密码哈希，参数设置如下：迭代次数t=3，内存块m=65536KB，并行度p=4。若攻击者使用GPU集群进行离线破解，最能有效提升防御能力的调整是A.将t提高到5B.将m提高到131072KBC.将p降低到1D.将盐长度从16B增加到32B11.在IPv6中，与ARP协议功能对应但基于ICMPv6的协议是A.NeighborUnreachabilityDetectionB.DuplicateAddressDetectionC.NeighborDiscoveryProtocolD.RouterAdvertisement12.某云函数平台采用Firecracker微虚拟机实现多租户隔离，其利用的底层内核技术是A.cgroupsB.KVMC.seccompD.SELinux13.关于WindowsCredentialGuard，以下说法正确的是A.使用基于虚拟化的安全隔离LSA进程B.需要TPM1.2即可启用C.可防止所有形式的哈希传递攻击D.关闭Hyper-V后仍可正常运行14.在区块链共识机制中，以下哪种算法属于BFT类且支持≤33%恶意节点A.PoWB.PoSC.PBFTD.Ghost15.某企业部署了基于eBPF的入侵检测系统，其探针程序类型为A.kprobe/kretprobeB.uprobe/uretprobeC.tracepointD.XDP二、多项选择题（每题3分，共15分，每题至少有两个正确答案，多选少选均不得分）16.以下哪些技术可同时缓解CSRF与点击劫持A.SameSiteCookieB.Origin请求头校验C.X-Frame-Options:DENYD.ContentSecurityPolicy:frame-ancestors'none'17.关于内存安全语言Rust的所有权模型，下列说法正确的是A.同一作用域内，不可变引用与可变引用可同时存在B.借用检查器在编译期消除数据竞争C.所有权转移后原变量不能再被使用D.Rc<T>引用计数指针可实现多所有权，但非线程安全18.在Kubernetes集群中，以下哪些配置能有效降低容器逃逸风险A.启用PodSecurityPolicy并禁止privileged容器B.将hostPID与hostNetwork设为falseC.为kubelet配置--anonymous-auth=falseD.将容器运行时改为runC最新版并启用user-namespaces19.以下哪些属于国密算法体系A.SM2公钥加密B.SM3哈希算法C.SM4分组密码D.ZUC流密码20.在SSL/TLS流量分析中，以下哪些特征可用于检测恶意加密通信A.JA3/JA3S指纹异常B.证书透明度日志缺失C.TLS扩展中server_name为随机高熵字符串D.握手后首个应用数据包大小为0x170字节且周期性出现三、判断题（每题1分，共10分，正确打“√”，错误打“×”）21.在AES-GCM模式中，如果nonce被重复重用，则不仅失去机密性，还可能导致身份验证密钥被完全破解。22.HTTP/3基于QUIC，其内置的TLS1.3握手包始终出现在STREAM帧中。23.使用ChaCha20-Poly1305进行加密时，密文长度比明文长度长16字节。24.在Android13中，对TargetSdkVersion≥33的应用，系统默认禁止访问`/sdcard/Android/data`目录下其他应用的文件。25.当启用SGX远程认证时，Quote结构中的REPORT由QuotingEnclave使用EPID私钥签名。26.在Windows中，LSA保护模式要求所有加载的SSP插件必须具有WHQL签名。27.基于DNS的域名前置（DomainFronting）技术可利用CDN的SNI与HTTPHost不一致实现流量伪装。28.使用WireGuard时，服务端公钥与IP地址映射关系一旦泄露，将导致握手被中间人重放。29.在国密SSL套件中，套件编号`ECC_SM4_GCM_SM3`使用的签名算法为SM2。30.对于采用FIDO2无密码登录的网站，即使用户生物特征模板泄露，也无法直接重放登录，因为私钥永不离开安全硬件。四、填空题（每空2分，共20分）31.在Linux内核中，针对ret2usr攻击的缓解技术称为________。32.当利用Rowhammer攻击DDR5内存时，由于引入________机制，需要更多访问次数才能触发位翻转。33.在Python3.11中，用于防止依赖混淆攻击的pip新参数为________。34.在5GAKA流程中，归属网络向终端下发的鉴权令牌称为________。35.若某RSA密钥的模数N长度为2048bit，则其素因子p的典型长度为________bit。36.在以太坊EIP-1559中，用于销毁的基础费用记为________。37.当使用Frida对Android应用进行动态插桩时，若目标函数在libnative.so中，需先通过________命令获取模块基址。38.在Windows中，用于配置内核漏洞缓解策略的组策略项全称为________。39.在TLS1.3中，Finished消息校验的密钥派生函数为________。40.若某次SHA-256压缩函数输入块为1024bit，则其输出哈希值为________bit。五、简答题（每题10分，共30分）41.描述如何利用控制流完整性（CFI）技术阻止JOP攻击，并说明LLVMCFI在编译期与运行期的具体实现要点。42.某云原生平台使用Istio服务网格，开启STRICT模式mTLS。若某旧业务Pod因镜像未更新导致无法提供sidecar，请给出三种可行的流量平滑迁移方案，并对比其安全性与性能开销。43.结合国密算法，设计一套满足《信息安全等级保护2.0》三级要求的电子公文传输加密方案，需说明密钥生命周期管理、算法选型、前向安全性保障及合规性依据。六、综合应用题（共45分）44.（密码学计算，15分）某系统采用SM2公钥加密，椭圆曲线参数使用GM/T0003.2-2012推荐的sm2p256v1。已知椭圆曲线方程为=+pab基点G的阶n若用户A的私钥=0请计算对应的公钥=·G的坐标45.（渗透测试分析，15分）某内网Web服务提供GraphQL接口，schema中暴露`systemHealth`字段，参数为`debug=Boolean`。测试人员通过以下请求观察到堆栈信息泄露：```POST/graphql{"query":"{systemHealth(debug:true)}"}```返回中包含`java.lang.NullPointerException:Cannotinvoke...`以及20行调用链。请给出：(1)利用该信息可进一步发起的三种攻击路径；(2)针对每种路径给出具体payload示例；(3)从代码层与架构层分别给出修复建议。46.（安全编程，15分）请用Rust编写一个内存安全的简易TLS证书校验工具，要求：1.读取PEM格式证书链文件；2.验证叶子证书由中间CA签发，中间CA由根CA签发；3.检查叶子证书有效期、密钥用法、扩展密钥用法（ServerAuth）；4.使用系统根证书库作为信任锚；5.输出校验结果与证书指纹（SHA-256）。需给出完整Cargo.toml与main.rs源码，并说明如何防范TOCTOU与路径注入问题。七、答案与解析（共50分）1.C解析：TLS1.3强制使用(EC)DHE实现前向安全性，RSA仅用于签名，不再用于密钥传输。2.B解析：动态策略引擎对每次访问实时评估身份、上下文与风险，为零信任核心。3.A解析：根区私钥离线保管，子域DS记录由父域签名并存储于父域，信任锚可通过ITAR自动更新。4.B解析：seccomp-bpf可在内核层过滤系统调用，实现最小权限。5.D解析：CSP阻止内联脚本但允许dataURI预加载，可被利用执行JS。6.C解析：SM4轮函数T定义为L(7.A解析：shadowstack保存返回地址副本，防止ROP/JOP篡改。8.C解析：SUCI为加密后的SUPI，用于空口隐私保护。9.D解析：exp字段需服务器检查，JWT本身不强制过期。10.B解析：Argon2内存成本对GPU破解影响最大，加倍内存可显著提升防御。11.C解析：IPv6使用NDP替代ARP，基于ICMPv6。12.B解析：Firecracker基于KVM实现轻量虚机隔离。13.A解析：CredentialGuard使用VBS隔离LSA，需TPM2.0。14.C解析：PBFT为BFT类共识，容忍≤33%恶意节点。15.A解析：kprobe/kretprobe可在内核函数入口/返回处插桩，适合入侵检测。16.ACD解析：SameSite、X-Frame-Options、frame-ancestors均可同时缓解CSRF与点击劫持。17.BCD解析：不可变与可变引用不能共存；Rc<T>非线程安全。18.ABCD解析：全部选项均可降低容器逃逸风险。19.ABCD解析：均为国密算法。20.ABC解析：JA3、证书透明度、随机SNI均为恶意加密通信特征。21.√解析：AES-GCMnonce重用会导致密钥恢复。22.×解析：TLS1.3握手包出现在CRYPTO帧，而非STREAM。23.√解析：Poly1305生成16B标签，故密文长16B。24.√解析：Android13默认禁止跨应用访问Android/data。25.√解析：QuotingEnclave使用EPID签名REPORT。26.×解析：LSA保护不要求WHQL签名，但需签名。27.×解析：域名前置依赖CDNSNI与Host一致，已被多数CDN禁止。28.×解析：WireGuard握手使用临时私钥，泄露公钥不会导致重放。29.√解析：国密套件使用SM2签名。30.√解析：FIDO2私钥不出安全硬件，模板泄露无法重放。31.SMEP/SMAP32.TRR(TargetRowRefresh)33.`--require-hashes`34.AUTN35.102436.baseFeePerGas37.`Process.getModuleByName("libnative.so").base`38.WindowsDefenderExploitGuard39.HKDF-Expand-Label40.25641.答案要点：CFI通过限制间接跳转目标阻止JOP。LLVM编译期：1.为每个函数生成唯一ID(bitset)；2.在调用点插入`__cfi_check`校验；3.将有效目标地址写入只读段。运行期：1.间接跳转前检查目标ID是否属于合法集合；2.若失败触发SIGILL；3.结合PAC(ARM)或BTI增强。42.答案要点：方案一：PERMISSIVE模式降级，允许明文，逐步升级sidecar，安全性低，零开销；方案二：使用WorkloadEntry将无sidecar服务注册为外部服务，通过egressgateway强制mTLS，安全性中，增加一跳延迟；方案三：双栈部署，新旧Pod分别位于不同subset，通过VirtualService按权重灰度，安全性高，需双倍资源。43.答案要点：算法：SM2加密+SM3HMAC+SM4会话密钥封装；密钥生命周期：生成（国密硬件随机源）、分发（KMIPoverSM2）、更新（7天周期）、撤销（CRL/OCSPSM3哈希链）；前向安全：每次会话使用SM2临时公钥协商SM4密钥，事后清零；合规：满足GM/T0003、GB/T39786要求，采用三级密钥管理体系。44.答案：使用椭圆曲线标量乘法算法（double-and-add），计算得=其中xy（具体推导过程略，需展示模加、倍点公式与Jacobian坐标转换步骤。）45.答案：(1)路径：a.利用堆栈信息获取类名与方法名，尝试反序列化gadget；b.通过异常触发差异返回时间盲注SQL；c.利用debug参数读取系统环境变量。(2)Payload示例：a.`{"query":"{systemHealth(debug:true){__typename...onRuntimeExec{cmd:\"id\"}}}"}`b.`{"query":"{systemHealth(debug:true,fetch:\"sleep(5)\")}"}`c.`{"query":"{systemHealth(debug:true,env:\"AWS_SECRET_ACCESS_KEY\")}"}`(3)修复：代码层：删除debug参数，统一异常处理返回通用消息；架构层：部署GraphQL防火墙，限制introspection，使用RASP阻断危险类加载。46.答案：Cargo.toml```toml[package]name="cert_verify"version="0.1.0"edition="2021"[dependencies]rustls="0.21"webpki="0.22"x509-parser="0.15"sha2="0.10"hex="0.4"```main.rs```rustusestd::fs;userustls::{RootCertStore,ServerCertVerified,ServerCertVerifier};userustls::internal::msgs::base::PayloadU16;usesha2::{Sha256,Digest};usex509_parser::prelude::;usex509_parser::prelude::;structVerifier;implServerCertVerifierforVerifier{fnverify_server_cert(&self,end_entity:&rustls::Certificate,intermediates:&[rustls::Certificate],_server_name:&rustls::ServerName,_scts:&mutdynIterator<Item=&[u8]>,_ocsp_response:&[u8],_now:std::time::SystemTime,)->Result<ServerCertVerified,rustls::Error>{letmutroots=RootCertStore::empty();forcert_derinrustls_native_certs::load_native_certs().unwrap(){roots.add(&rustls::Certificate(cert_der.0)).unwrap();}letchain:Vec<_>=std::iter::once(end_entity.clone()).chain(intermediates.iter().cloned()).collect();let_=roots.build_chain(&chain,&rustls::Certificate(end_entity.0.clone())).map_err(|_|rustls::Error::InvalidCertificateData)?;letleaf=parse_x509_certificate(&end_entity.0).unwrap().1;letnow=asn1_rs::DateTime::from(SystemTime::now());ifleaf.validity.time_to_expiration(now).is_none(){returnErr(rustls::Error: