2026年网络工程师考试网络安全风险评估与应对试卷及答案

2026年网络工程师考试网络安全风险评估与应对试卷及答案1.（单选）某企业采用零信任架构，对每次访问请求均进行动态信任评估。下列哪项指标最不可能被纳入动态信任评分模型？A.终端补丁级别B.用户历史行为基线C.当日股票大盘指数D.资源敏感度等级答案：C解析：股票大盘指数与访问主体、客体、环境的安全属性无关，其余三项均为零信任常用维度。2.（单选）在Linux服务器上发现一条异常crontab任务：`/3wget-q-O/x|sh`。管理员首先应执行的操作是：2.（单选）在Linux服务器上发现一条异常crontab任务：`/3wget-q-O/x|sh`。管理员首先应执行的操作是：A.立即删除该任务并重启crond服务B.使用`lsof-i`查看的活跃连接C.将加入hostsdenyD.先复制该任务条目与系统快照，再做清理答案：D解析：数字取证原则要求先固定证据，再处置。3.（单选）某Web接口使用JWT进行身份认证，Header中`alg`字段值为`none`。攻击者利用该缺陷可实施：A.密钥混淆攻击B.空加密算法绕过C.混淆代理攻击D.时间戳复用攻击答案：B解析：alg=none表示签名被禁用，可直接篡改Payload。4.（单选）在SD-WAN场景下，为检测加密隧道中的隐蔽数据传输，最适合部署的探针位置是：A.总部互联网出口镜像口B.分支路由器LAN侧C.运营商MPLSPE节点D.云安全代理（CASB）网关答案：D解析：CASB可解密TLS并做DLP，其余位置无法解密隧道内容。5.（单选）某单位使用NISTSP800-30进行风险评估，对“勒索软件”场景进行估算：概率（Likelihood）=高，影响（Impact）=高，则风险等级为：A.低B.中C.高D.极高答案：C解析：NIST矩阵中“高×高”对应高等级，无“极高”档。6.（单选）Windows日志中事件ID4625大量出现，登录类型为10，源网络地址来自公网IP，最可能的攻击阶段是：A.初始访问B.持久化C.防御规避D.影响答案：A解析：4625为登录失败，类型10为远程桌面，对应暴力破解入口。7.（单选）某云函数（Lambda）运行时超时时间为3s，攻击者上传恶意代码触发“DenialofWallet”攻击，主要消耗的资源是：A.内存B.账单额度C.并发实例数D.临时存储答案：B解析：云函数按调用时长计费，大量调用直接消耗账户余额。8.（单选）在IPv6网络中，采用DHCPv6无状态+有状态混合模式，下列哪项最能抑制rogueDHCPv6Server？A.RAGuard+DHCPv6GuardB.SeNDC.地址随机化D./64前缀静态绑定答案：A解析：RAGuard与DHCPv6Guard可在交换机端口级阻断非法报文。9.（单选）某ICS系统使用ModbusTCP，需深度包检测识别功能码0x5A的异常，最合理的检测层级是：A.办公网防火墙B.工控网闸C.上位机HIDSD.企业SIEM答案：B解析：网闸可在OT与IT边界做协议白名单+深度解析。10.（单选）关于差分隐私，下列说法正确的是：A.ε越小，隐私保护越弱B.加入噪声量与查询敏感度无关C.同一ε值下，多次查询不会累积隐私损失D.Laplace机制适用于数值型查询答案：D解析：Laplace机制针对数值查询，ε越小保护越强，噪声量与敏感度成正比，隐私损失会累积。11.（多选）以下哪些技术可有效降低DNS劫持风险：A.DNSSECB.DoHC.DoTD.BGPRPKI答案：A,B,C解析：RPKI保护BGP前缀，不直接保护DNS记录。12.（多选）在容器逃逸检测中，属于内核层exploit特征的有：A.`call_usermodehelper`被非特权容器触发B.`core_pattern`被重写为容器内路径C.`proc/sys/kernel/modprobe`指向容器内文件D.`dockerrun--privileged`答案：A,B,C解析：D为配置问题，非exploit特征。13.（多选）关于5G核心网SBA架构的安全，下列哪些接口需强制实施TLS1.3：A.N1B.N8C.N10D.N12答案：B,C,D解析：N1为UE与AMF间，使用NAS安全，非HTTP/2；N8、N10、N12为服务化接口，基于HTTP/2。14.（多选）以下属于“供应链投毒”攻击面的有：A.恶意Python包上传PyPIB.固件升级包被篡改C.CI/CD构建缓存污染D.员工被钓鱼导致VPN凭据泄露答案：A,B,C解析：D为人为社工，非供应链环节。15.（多选）在零日漏洞响应中，属于VulnerabilityResearch阶段的关键输出物：A.RootCauseAnalysisB.PoCC.Exploit样本D.补丁程序答案：A,B解析：补丁在Remediation阶段，Exploit为攻击方产物。16.（多选）某企业采用ATT&CK框架进行红蓝对抗，蓝队发现红队使用“T1562.001禁用Windows事件日志”，可采用的检测数据源有：A.SysmonEventID1B.注册表Event4657C.WMIEvent19D.PowerShellScriptBlockLogging答案：B,D解析：禁用服务会修改注册表ServiceStart值，PowerShell命令可记录wevtutil。17.（多选）关于同态加密，下列说法正确的是：A.CKKS方案支持浮点数近似计算B.BFV方案支持布尔电路C.同态计算深度不受任何限制D.bootstrapping可降低噪声答案：A,B,D解析：深度受限于噪声预算。18.（多选）在KubernetesRBAC中，可造成集群提权的风险配置有：A.绑定system:anonymous到cluster-adminB.对serviceAccount授予createpods权限且未限制hostNetworkC.授予patchnodes权限D.授予listsecrets权限答案：A,B,C,D解析：D可通过list全部secret获取token。19.（多选）以下关于量子密钥分发（QKD）的描述，正确的有：A.BB84协议可检测窃听B.QKD需要经典信道进行基比对C.量子中继可延长传输距离D.QKD可替代数字签名答案：A,B,C解析：QKD用于密钥分发，不能提供签名功能。20.（多选）某单位部署了EDR，发现进程`svchost.exe`无签名且路径为`C:\Users\Public\svchost.exe`，可采用的自动响应动作有：A.隔离主机B.终止进程C.回滚恶意注册表项D.恢复被加密文件答案：A,B,C解析：EDR无法直接解密文件。21.（判断）在TLS1.3中，通过加密握手消息，可有效阻止中间人降级到TLS1.0。答案：正确解析：TLS1.3的ServerHello后所有握手均加密，降级信息无法被篡改。22.（判断）使用SHA-1作为HMAC的哈希算法，当前仍被认为在HMAC场景下是安全的。答案：正确解析：HMAC安全性不直接等同于碰撞攻击，目前无实用破解。23.（判断）在WindowsDefenderApplicationControl（WDAC）中，允许列表优先级高于拒绝列表。答案：正确解析：WDAC按“显式允许优先”原则。24.（判断）IPv6地址`2001:db8::/64`中，最后64位通常用于子网划分而非主机标识。答案：错误解析：后64位为接口标识符，子网划分在前64位。25.（判断）同一份数据在GDPR与CCPA框架下，其“敏感个人信息”定义完全一致。答案：错误解析：CCPA无种族、宗教等敏感类别。26.（填空）在OWASPTop102021中，A02类别为__________。答案：加密失败（CryptographicFailures）27.（填空）当使用`nmap-sS-p`扫描时，默认发送的TCP标志位为__________。答案：SYN28.（填空）在Python中，使用`secrets.token_hex(16)`生成的字符串长度为__________字节。答案：3229.（填空）NIST推荐的PBKDF2迭代次数下限为__________（2023版）。答案：1000030.（填空）在Wireshark过滤器中，显示所有TCP重传包的表达式为__________。答案：tcp.analysis.retransmission31.（简答）描述如何利用eBPF技术在Linux主机上实时检测“进程注入”行为，并给出关键BPF程序类型与辅助函数。答案：1）选用BPF程序类型`BPF_PROG_TYPE_KPROBE`，挂钩`__x64_sys_ptrace`入口，过滤`PTRACE_POKETEXT`请求；2）使用`bpf_get_current_pid_tgid()`获取注入方PID，`bpf_probe_read_user()`读取被写入的shellcode前16字节；3）通过`bpf_perf_event_output()`将事件发送到用户态，用户态对shellcode做Yara匹配；4）若匹配恶意特征，使用`bpf_send_signal()`向注入方发送`SIGKILL`。解析：eBPF可在内核态无延迟阻断，无需第三方内核模块。32.（简答）说明在多云环境中，如何利用SCITT（SupplyChainIntegrity,TransparencyandTrust）框架验证容器镜像的出处与完整性。答案：1）构建阶段：CI将镜像哈希与元数据签名后，提交到SCITT透明日志，返回收据（Receipt）；2）部署阶段：多云Kubernetes准入控制器向SCITT验证收据，确认签名者身份与策略；3）运行时：kubelet通过SCITT客户端定期核对镜像哈希，若被重打包则拒绝启动；4）审计阶段：任何利益相关方可监控SCITT日志，发现伪造条目立即告警。解析：SCITT提供不可篡改的声明注册表，解决跨云信任根碎片化。33.（综合）某金融公司计划上线开放API，允许第三方通过OAuth2.0访问用户账户交易记录。请设计一套基于“风险自适应”的动态授权方案，要求：a)给出风险评估维度与权重（总分100）；b)描述如何在不刷新AccessToken的前提下实时降级权限；c)给出当风险评分>80时的自动化处置流程。答案：a)维度：IP信誉30、设备指纹20、行为异常20、调用频率15、数据敏感度15；b)在网关层维护一份“风险上下文”缓存（Redis），以JWTID为主键，实时写入降级标志；资源服务器每次接收请求时，先查缓存再解析JWT，若标志存在则屏蔽敏感字段返回；c)评分>80触发：1）API网关立即返回403并记录审计；2）通知用户短信+邮件；3）OAuth授权服务器将RefreshToken加入黑名单；4）SIEM创建Case，蓝队30min内电话回访。解析：通过“状态外化”实现无刷新降级，兼顾体验与安全。34.（计算）某IDC机房UPS设计容量为500kVA，实际负载450kW，功率因数0.9。若需后备2小时，锂电池单体规格为3.2V/100Ah，允许放电深度90%，逆变效率95%，电池组串联数为240串，求所需电池并联列数n，并给出LaTex公式。答案：所需总能量：单串能量：并联列数：n解析：向上取整保证冗余，14并即可满足。35.（综合）某大型国企完成并购后，需将两套ActiveDirectory林合并为一，要求：1)最小化业务中断；2)保留源域SID历史，确保ACL继续有效；3)防范在迁移窗口出现的AD横向移动。请给出详细迁移步骤与安全控制点。答案：步骤1：在源林启用SID筛选（SIDFiltering）禁用，避免立即中断信任；步骤2：使用ADMT3.2建立林信任，选择“迁移SID历史”，关闭“迁移密码”选项，强制用户下次登录改密；步骤3：在目标林部署全新RODC用于迁移窗口，只开放必要端口（TCP135、445、3268），通过防火墙限制源林管理员只能登录RODC；步骤4：迁移前48h，蓝队对所有域控启用Sysmon+AdvancedHunting规则，重点检测`T1003.002`（SAMDump）；步骤5：采用分批次迁移，每批次不超过50个账户，迁移后立即禁用源账户并移入“DisabledforMigration”OU；步骤6：迁移窗口结束后，拆除林信任，启用SID筛选，强制所有计算机刷新KerberosTGT（`klistpurge`GPO）；步骤7：使用BloodHound检查目标林权限拓扑，发现遗留“ShadowAdmin”立即回收。解析：通过RODC与分批迁移，既保证ACL兼容性，又限制高权限扩散面。36.（综合）某电商在“618”大促前进行红蓝对抗，红队通过GraphQL接口批量查询“订单详情”字段，利用N+1查询造成数据库CPU100%。请给出：a)检测该攻击的WAF规则（伪代码）；b)在代码层缓解方案；c)事后复盘指标。答案：a)```if(graphql.query.depth>5&&graphql.response.time>2s&&source.ip.requests_per_minute>300)action=block,log,tag="DoS.GraphQL"```b)采用DataLoader批量预取，限制查询深度为3，对“订单”字段启用@cost指令，单请求最大cost1000；c)指标：峰值QPS下降率、数据库CPU下降率、误拦截率<0.1%、用户投诉量、修复耗时。解析：结合WAF与代码层双保险，避免过度拦截正常用户。37.（综合）某车企在V2X试点中，需确保车载单元（OBU）与路侧单元（RSU）间证书交换的匿名性，同时支持事后追溯。设计一套基于群签名（GroupSignature）的匿名认证协议，要求：1)给出密钥体系；2)描述签名与验证流程；3)说明如何实现可追溯。答案：1)密钥体系：GM（GroupManager）生成群公钥GPK，为每辆OBU颁发群私钥GSK；追踪密钥GTK由交通管理部门与司法机构共管（Shamir2-of-3秘密共享）；2)流程：OBU对基本安全消息（BSM）使用GSK生成群签名σ；RSU用GPK验证σ，若通过则接受消息，无需知道具体车辆；3)追溯：当出现交通事故，RSU将σ提交给GM，GM用GTK打开签名获得车辆真实ID；打开操作需2-of-3机构同时恢复GTK，防止滥权。解析：群签名提供匿名性与可追踪性平衡，适合V2X隐私场景。38.（综合）某云原生平台使用Istio服务网格，发现Sidecar内存占用过高，经排查为Envoy默认accesslog开启导致。要求：a)给出在不重启业务Pod的前提下关闭accesslog的Istio配置片段；b)说明如何对特定Namespace继续保留日志用于合规；c)给出验证配置生效的kubectl命令。答案：a)应用`EnvoyFilter`：```yamlapiVersion:networking.istio.io/v1alpha3kind:EnvoyFiltermetadata:name:disable-access-lognamespace:istio-systemspec:configPatches:applyTo:NETWORK_FILTERmatch:listener:filterChain:filter:name:work.http_connection_managerpatch:operation:MERGEvalue:typed_config:"@type":type.googleapis/work.http_connection_manager.v3.HttpConnectionManageraccess_log:[]```b)在合规Namespace（如`finance`）创建第二条`EnvoyFilter`，`=finance-`，`access_log`保留默认；b)在合规Namespace（如`finance`）创建第二条`EnvoyFilter`，`=finance-`，`access_log`保留默认；c)验证：```kubectlexec-nfinancedeploy/sleep-cistio-proxy-\curl-shttp://localhost:15000/logging|grepaccess```若无`access`字段输出，则关闭成功。解析：利用`MERGE`操作热更新Envoy，无需滚动Pod。39.（综合）某医疗App使用国密SM4/GCM模式加密本地病历数据库，密钥通过TEE（TrustedExecutionEnvironment）生成。现发现部分低端机型不支持TEE，需降级到软件加密。给出安全降级方案，要求：1)密钥派生流程；2)数据迁移脚本核心步骤；3)降级后如何防止密钥被Frida提取。答案：1)使用用户锁屏密码+设备唯一ID通过`PBKDF2-HMAC-SM3`迭代20000次派生KEK，再用KEK加密随机DEK，DEK