2026年360安全笔试题目及答案

2026年360安全笔试题目及答案

一、单项选择题，(总共10题，每题2分)1.下列关于OWASPTop102025新增“供应链攻击”的描述，正确的是？A.仅指开源软件包引入的漏洞B.包括第三方API、硬件固件等多维度风险C.不属于Web应用安全范畴D.主要通过代码审计可完全避免2.以下哪种加密算法属于非对称加密且可用于数字签名？A.AES-256B.RSAC.DESD.SHA-2563.云安全中，针对容器逃逸的常见攻击向量不包括？A.特权容器配置B.共享内核漏洞C.镜像仓库弱口令D.CRI-O组件漏洞4.移动应用安全中，“沙箱逃逸”的核心是突破什么限制？A.应用数据隔离B.权限管理C.网络访问控制D.内存访问权限5.数据安全领域中，“差分隐私”的主要作用是？A.防止数据泄露B.隐藏单个数据点的存在C.实现数据加密传输D.提升数据处理效率6.应急响应流程中，“containment”阶段的核心目标是？A.分析攻击来源B.阻止攻击扩散C.恢复系统正常运行D.收集攻击证据7.以下哪种漏洞属于“逻辑漏洞”？A.缓冲区溢出B.SQL注入C.越权访问D.跨站脚本（XSS）8.安全协议中，TLS1.3相对于TLS1.2的主要优化不包括？A.减少握手轮次B.移除弱加密算法C.支持0-RTT握手D.增加证书链长度9.渗透测试中，“白盒测试”的特点是？A.测试人员拥有目标系统的全部源代码B.仅能进行黑盒攻击C.不需要了解系统架构D.主要测试网络层漏洞10.工业互联网安全中，OT网络与IT网络的核心差异是？A.OT网络对延迟更敏感B.IT网络使用专用协议C.OT网络不允许远程访问D.IT网络没有实时性要求二、填空题，(总共10题，每题2分)1.数字签名的核心作用是实现身份认证、______和不可否认性。2.跨站请求伪造（CSRF）攻击主要利用了浏览器的______特性。3.云S3存储桶常见配置错误是______导致数据泄露。4.Android应用权限模型从______版本开始引入运行时权限。5.GDPR要求企业对用户数据具有______义务。6.Nessus默认使用的TCP端口是______。7.SSH默认端口是______，SFTP默认端口是______。8.DDoS攻击的全称是______。9.Kubernetes的kubelet运行在______节点上。10.数据脱敏的常见方法包括______、加密和混淆。三、判断题，(总共10题，每题2分)1.AES-256是对称加密算法，可用于数据传输加密。（）2.跨站脚本（XSS）仅能通过反射型方式实现。（）3.零信任核心原则是“默认不信任，持续验证”。（）4.容器镜像签名可防止恶意镜像部署。（）5.DLP仅能检测静态数据，不能检测动态数据。（）6.应急响应“根除”阶段需彻底清除所有攻击痕迹。（）7.移动应用“侧载”是指从官方商店下载安装。（）8.TLS1.3支持0-RTT握手提升连接速度。（）9.OT设备固件更新通常不需要停机。（）10.红队测试更侧重模拟真实攻击场景而非漏洞挖掘。（）四、简答题，(总共4题，每题5分)1.简述Web应用SQL注入漏洞的原理及常见防御措施。2.简述云容器安全的主要风险点及防护策略。3.简述隐私计算的核心技术及应用场景。4.简述网络安全应急响应的基本流程。五、讨论题，(总共4题，每题5分)1.分析AI驱动攻击对企业安全的挑战及应对策略。2.讨论零信任架构在企业数字化转型中的落地难点及解决思路。3.分析工业互联网安全的特殊风险及针对性防护策略。4.讨论用户行为分析（UBA）在威胁检测中的优势及不足。答案及解析一、单项选择题答案及解析1.B解析：供应链攻击覆盖开源包、第三方API、硬件固件等，并非仅开源包；属于Web及应用安全范畴；无法完全避免。2.B解析：RSA是非对称加密，可用于数字签名；A、C是对称加密；D是哈希算法。3.C解析：镜像仓库弱口令属于镜像污染风险，不属于容器逃逸向量；A、B、D均为常见逃逸向量。4.A解析：移动沙箱核心是应用数据隔离，逃逸突破此隔离获取其他应用数据。5.B解析：差分隐私通过添加噪声隐藏单个数据点存在，防止统计推断识别个体。6.B解析：containment阶段核心是阻止攻击扩散；A是检测阶段，C是恢复阶段，D是取证阶段。7.C解析：逻辑漏洞是业务逻辑缺陷，越权访问属于；A是内存漏洞，B、D是注入类漏洞。8.D解析：TLS1.3优化包括减少握手轮次、移除弱算法、0-RTT，未增加证书链长度。9.A解析：白盒测试拥有源代码和架构；B、C是黑盒特点；D不准确。10.A解析：OT网络对实时性（延迟）要求极高；B错（OT用专用协议），C错（OT允许远程），D错（IT有实时场景）。二、填空题答案1.数据完整性2.会话保持（或Cookie自动携带）3.公开访问（或未授权访问）4.Android6.0（或API23）5.数据可携带（或RighttoDataPortability）6.88347.22；22（SFTP基于SSH，默认端口同SSH）8.分布式拒绝服务攻击9.工作节点（WorkerNode）10.假名化（或脱敏）三、判断题答案及解析1.√解析：AES-256是对称加密，常用于数据传输加密。2.×解析：XSS包括反射型、存储型、DOM型三种。3.√解析：零信任核心是默认不信任任何实体，持续验证权限。4.√解析：镜像签名验证来源和完整性，防止恶意镜像部署。5.×解析：DLP可检测静态、动态、使用中三类数据。6.√解析：根除阶段需清除恶意代码等痕迹，防止复发。7.×解析：侧载是从非官方商店安装应用。8.√解析：TLS1.3支持0-RTT握手，减少连接建立时间。9.×解析：OT设备固件更新通常需要停机，否则影响生产。10.√解析：红队模拟真实攻击场景（社会工程+技术攻击），蓝队侧重漏洞修复。四、简答题答案1.SQL注入原理及防御：原理是攻击者构造恶意SQL语句，利用Web应用未过滤的用户输入注入数据库执行，获取敏感数据或控制数据库。防御措施：①使用预编译语句；②输入白名单校验；③最小权限配置数据库用户；④避免动态拼接SQL；⑤部署WAF检测注入。2.容器安全风险及防护：风险点包括容器逃逸、镜像污染、配置错误、网络隔离不足。防护策略：①镜像签名与扫描（Trivy等）；②限制容器权限（避免特权容器）；③容器网络隔离（Calico等）；④宿主机安全加固；⑤K8s配置审计。3.隐私计算核心技术及应用：核心技术包括联邦学习（多参与方联合训练，不共享原始数据）、差分隐私（添加噪声保护个体）、安全多方计算（MPC，协同计算无数据泄露）。应用场景：金融联合风控、医疗多医院联合训练、广告精准营销、政务跨部门数据共享。4.应急响应流程：①准备（制定预案、组建团队）；②检测分析（发现异常、确认攻击、溯源）；③containment（阻止扩散）；④根除（清除恶意代码、修复漏洞</think_never_used_51bce0c785ca2f68081bfa7d91973934>；</think_never_used_51bce0c785ca2f68081bfa7d91973934></think_never_used_51bce0c785ca2f68081bfa7d91973934></think_never_used_51bce0c785ca2f68081bfa7d91973934>；⑤</think_never_used_51bce0c785ca2f68081bfa7d91973934>恢复（恢复系统数据、验证正常运行）；⑥事后总结（复盘优化预案）。五、讨论题答案1.AI驱动攻击挑战与应对：挑战包括自动化攻击（AI生成钓鱼邮件）、规避检测（优化攻击路径绕过WAF）、大规模DDoS、深度伪造社会工程。应对：①AI安全防御（UBA+AI检测异常）；②动态防御（定期变更配置）；③零信任架构（持续验证）；④员工培训（识别AI钓鱼）；⑤工具升级（WAF集成AI检测）。2.零信任落地难点及解决：难点包括legacy系统兼容、成本高、用户体验下降、团队能力不足。解决：①分阶段落地（核心业务优先）；②渐进式改造（先网络分段再零信任）；③优化验证（多因素+设备指纹）；④选择成熟方案（360零信任）；⑤团队培训（提升设计能力）。3.工业互联网安全特殊风险及防护：特殊风险包括OT实时性要求（攻击易导致生产事故）、老旧协议无加密（Modbus）、固件难更新、物理与网络耦合。防护：①OT网络分段（工业防火墙隔离IT/OT）；②OT协议加密（ModbusTLS）；③固件签名增量更新；④物理访问控制（门禁+锁定