2025计算机三级《信息安全技术》练习题及答案

2025计算机三级《信息安全技术》练习题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项的字母填在括号内）1.在信息安全等级保护2.0中，第三级系统的安全保护能力要求实现“对重要数据在存储过程中进行（）”。A.完整性校验B.机密性保护C.可用性保障D.不可否认性控制答案：B2.下列关于SM4分组密码算法叙述正确的是（）。A.分组长度128bit，密钥长度128bit，迭代轮数32轮B.分组长度64bit，密钥长度128bit，迭代轮数16轮C.分组长度128bit，密钥长度256bit，迭代轮数16轮D.分组长度256bit，密钥长度128bit，迭代轮数32轮答案：A3.在WindowsServer2019中，若需强制所有管理员账号使用智能卡登录，应配置的安全策略路径是（）。A.计算机配置→Windows设置→安全设置→本地策略→用户权限分配B.计算机配置→Windows设置→安全设置→本地策略→安全选项C.计算机配置→管理模板→Windows组件→智能卡D.计算机配置→Windows设置→安全设置→账户策略→密码策略答案：B4.某Web应用采用JWT作为会话令牌，若签名算法字段（alg）被攻击者篡改为“none”，则攻击者可直接实施（）。A.重放攻击B.越权访问C.算法替换攻击D.会话固定攻击答案：C5.在Linux系统中，若文件权限为“-rwsr-xr-x”，则该文件的s位属于（）。A.SUIDB.SGIDC.StickyD.无特殊位答案：A6.下列关于BGP安全扩展（BGPsec）的描述，错误的是（）。A.使用RPKI对AS号进行认证B.对BGPUPDATE消息进行数字签名C.依赖IPsec实现传输层加密D.通过AS路径签名防止路径伪造答案：C7.在数据库审计系统中，采用“SQL语句归一化”技术的主要目的是（）。A.减少存储开销B.提高查询速度C.隐藏敏感字段D.压缩网络带宽答案：A8.若某RSA密钥对的公钥为（e=3，n=55），私钥为d=27，则对密文c=8进行解密后的明文m为（）。A.2B.3C.8D.13答案：A解析：m≡c^dmodn=8^27mod55=29.在零信任架构中，用于实现“动态信任评估”的核心组件是（）。A.SIEMB.SDPC.PKID.NAC答案：B10.下列关于IPv6邻居发现协议（NDP）安全威胁的描述，正确的是（）。A.无法伪造路由器通告消息B.可通过RA-Guard防止伪造路由通告C.SEND协议采用IPsec保护NDPD.NDP本身内置签名机制答案：B11.在Android13中，针对应用访问设备标识符的新限制，以下说法正确的是（）。A.任何应用均可通过Settings.Secure.ANDROID_ID获取唯一标识B.非系统应用无法访问MAC地址C.广告ID（AAID）在恢复出厂设置后保持不变D.应用无需声明权限即可访问IMEI答案：B12.在密码学中，若某哈希函数满足“抗第二原像性”，则意味着（）。A.给定x，难以找到x′≠x使得H(x)=H(x′)B.难以找到任意两个不同输入使得哈希值相等C.给定哈希值h，难以找到任意x使得H(x)=hD.哈希输出长度固定答案：A13.在TLS1.3握手过程中，用于实现“前向保密”的密钥协商模式必须采用（）。A.RSA密钥传输B.静态DHC.(EC)DHED.PSK-only答案：C14.若某IDS规则“alerttcpanyany→any3389(msg:"RDPbruteforce";flow:to_server;content:"|0300|";threshold:typeboth,trackby_src,count5,seconds60;)”中，threshold参数的作用是（）。A.在60秒内同一源IP触发5次则告警B.在60秒内任意IP触发5次则告警C.在5秒内同一源IP触发60次则告警D.在5秒内任意IP触发60次则告警答案：A15.在云计算责任共担模型中，以下哪项属于IaaS云服务提供商的安全责任（）。A.客户VM内部操作系统补丁B.虚拟化层Hypervisor漏洞修复C.客户数据库加密D.客户应用代码审计答案：B16.在密码模块物理安全等级FIPS140-3中，要求“具备温度异常检测机制”的最低等级为（）。A.Level1B.Level2C.Level3D.Level4答案：C17.下列关于国密算法SM9的描述，正确的是（）。A.基于椭圆曲线离散对数问题B.属于对称加密算法C.密钥长度固定为192bitD.仅支持数字签名，不支持密钥交换答案：A18.在Kubernetes中，若需防止容器突破命名空间隔离，应启用的安全机制是（）。A.PodSecurityPolicies（或PodSecurityStandards）B.NetworkPolicyC.ResourceQuotaD.Ingress答案：A19.某企业采用Kerberos实现单点登录，若用户首次访问服务时收到KRB_AP_ERR_MODIFIED错误，最可能的原因是（）。A.用户密码错误B.服务主体名（SPN）与密钥表不匹配C.KDC时钟偏移超过阈值D.预认证失败答案：B20.在OWASPTop102021中，将“访问控制失效”归类为（）。A.A01B.A02C.A03D.A04答案：A21.若某防火墙采用状态检测机制，则其状态表中不会出现的字段是（）。A.源IPB.目的端口C.应用层URLD.TCP序列号答案：C22.在密码学安全证明中，IND-CCA2模型比IND-CPA模型多考虑的能力是（）。A.选择明文攻击B.选择密文攻击C.已知明文攻击D.唯密文攻击答案：B23.在Linux内核中，用于实现地址空间布局随机化（ASLR）的随机化源文件是（）。A.random.cB.kaslr.cC.entropy.cD.slab.c答案：B24.若某组织采用NISTSP800-207标准部署零信任，其核心逻辑组件“PolicyEngine”的直接输入不包括（）。A.威胁情报B.访问请求C.资源库存D.数据备份策略答案：D25.在无线安全中，WPA3-Enterprise采用（）实现身份认证与密钥建立。A.EAP-TLSB.SAEC.PEAPv0D.EAP-MD5答案：A26.在数据库中，若采用“动态数据掩码”技术，则掩码规则不会作用于（）。A.数据库管理员B.应用服务账号C.只读分析师D.备份操作员答案：A27.在代码审计中，以下哪种特征最可能指示存在“服务器端请求伪造（SSRF）”漏洞（）。A.拼接SQL语句未过滤单引号B.使用strcpy复制用户输入到栈缓冲区C.直接访问用户传入的URL未做白名单校验D.将用户输入直接输出到HTML页面答案：C28.在区块链共识机制中，PoW（工作量证明）算法抵抗女巫攻击的核心依赖是（）。A.哈希函数计算成本高B.数字签名不可伪造C.椭圆曲线离散对数难题D.对称加密强度答案：A29.若某组织采用ISO/IEC27001:2022标准，则“云服务供应链安全”应纳入（）控制域。A.A.5组织安全B.A.6人力资源C.A.14系统获取开发D.A.15供应商关系答案：D30.在密码学中，若某方案满足“可抵御量子计算攻击”，则其底层困难问题通常基于（）。A.大整数分解B.椭圆曲线离散对数C.格上最短向量问题D.哈希碰撞答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.以下哪些属于国密算法体系中的对称加密算法（）。A.SM1B.SM2C.SM3D.SM4E.SM7答案：A、D、E32.在Linux系统加固中，可有效缓解“本地权限提升”的措施包括（）。A.启用SELinux强制模式B.禁用内核模块加载C.设置GRUB密码D.降低SYNbacklogE.配置sysctlkernel.kptr_restrict=1答案：A、B、C、E33.以下关于TLS1.3与TLS1.2差异的描述，正确的有（）。A.移除RSA密钥传输B.握手默认加密C.支持0-RTT数据D.保留压缩算法E.强制使用前向保密答案：A、B、C、E34.在云计算环境中，客户方需自行负责的包括（）。A.对象存储桶访问策略B.虚拟化Hypervisor补丁C.云账号AK/SK泄露D.物理机房消防E.自研容器镜像漏洞答案：A、C、E35.以下哪些攻击可导致DNS缓存投毒（）。A.生日攻击B.Kaminsky攻击C.随机端口扫描D.响应报文TXID碰撞E.中间人劫持权威服务器答案：B、D、E36.在Android应用逆向分析中，可用来检测“代码混淆”有效性的指标包括（）。A.类名可读性B.方法控制流图复杂度C.字符串加密比例D.JNI调用次数E.调试符号是否剥离答案：A、B、C、E37.以下关于量子密钥分发（QKD）的描述，正确的有（）。A.基于量子不可克隆定理B.可检测窃听行为C.依赖传统公钥算法进行身份认证D.可实现信息论安全E.目前已实现星地一体化实验答案：A、B、D、E38.在Windows日志取证中，可用来定位“横向移动”事件的日志源包括（）。A.事件ID4624（登录成功）B.事件ID4672（特殊权限登录）C.事件ID7045（服务创建）D.事件ID5140（网络共享访问）E.事件ID1102（审计日志清除）答案：A、B、C、D39.以下关于内存保护技术“ControlFlowIntegrity（CFI）”的描述，正确的有（）。A.可防止ROP攻击B.需编译器支持C.依赖硬件MPXD.在Clang/GCC中已有实现E.对性能影响通常小于5%答案：A、B、D、E40.在数据分类分级标准GB/T35273-2020中，个人信息敏感程度判定需考虑的因素包括（）。A.泄露后对个人权益的影响B.是否属于未成年人信息C.是否涉及生物识别D.数据量大小E.是否可与其他信息结合识别自然人答案：A、B、C、E三、填空题（每空1分，共20分）41.在SM2数字签名算法中，签名过程使用的杂凑算法为________，输出长度为________bit。答案：SM3，25642.若某SHA-256压缩函数输入消息块长度为________bit，chainingvalue长度为________bit。答案：512，25643.在Linux内核中，用于实现“栈金丝雀”防护的编译选项为________。答案：CONFIG_CC_STACKPROTECTOR44.在TLS1.3中，用于完成“密钥确认”的握手消息为________。答案：Finished45.若某RSA密钥模数n=pq，其中p=17，q=19，则欧拉函数φ(n)=________。答案：288解析：φ(n)=(p−1)(q−1)=16×18=28846.在Windows域环境中，若需强制Kerberos采用AES-256加密，需将域功能级别提升至________及以上。答案：WindowsServer2008R247.在Kubernetes中，Pod安全策略字段“runAsNonRoot”取值为true时，容器必须以________用户身份运行。答案：非0（非root）48.在数据库加密中，采用________模式可保证等长密文且支持随机访问。答案：AES-XTS49.在无线安全标准WPA3-Enterprise中，要求采用________密钥管理套件以替代TKIP。答案：GCMP-25650.在零信任参考架构中，________组件负责持续评估访问主体信任度并生成策略决策。答案：PolicyEngine51.若某组织采用NISTSP800-53控制族，则“CM”代表________。答案：ConfigurationManagement52.在代码审计工具Coverity中，用于描述“未释放堆内存”缺陷的检查器名为________。答案：RESOURCE_LEAK53.在区块链中，比特币采用的工作量证明哈希算法为________。答案：SHA-256（双重）54.在Android13中，应用如需访问精确位置，除声明ACCESS_FINE_LOCATION外，还需在运行时获得________权限。答案：android.permission.ACCESS_COARSE_LOCATION（或动态授权，答“用户授权”亦可）55.在IDS规则编写中，用于匹配“TCP标志位SYN=1且ACK=0”的Snort规则选项为________。答案：flags:S;56.在密码学中，若某方案满足“IND-CCA2”，则其加密过程必须采用________加密方式。答案：非对称（或公钥）57.在Linux系统中，若需禁止内核地址泄露，应将sysctl参数kernel.kptr_restrict设置为________。答案：258.在云计算中，________服务模型下客户对操作系统拥有完全管理权限。答案：IaaS59.在Web安全中，用于防止点击劫持的HTTP响应头字段为________。答案：X-Frame-Options（或Content-Security-Policy:frame-ancestors）60.在量子计算中，Shor算法可在多项式时间内求解________问题，从而威胁RSA与ECC。答案：大整数分解/离散对数（任答其一即可）四、简答题（每题10分，共30分）61.简述国密算法SM2与SM9在密钥生成方式、公钥规模及适用场景上的主要差异。答案：（1）密钥生成：SM2基于椭圆曲线ECDSA思想，用户随机选择私钥d∈[1,n−1]，计算公钥P=dG；SM9基于标识密码，密钥生成中心（KGC）使用主私钥与用户标识通过双线性对运算派生用户私钥，用户无需自行生成密钥对。（2）公钥规模：SM2公钥为曲线点，压缩后33字节（P-256）；SM9用户公钥可由任意字符串标识（如邮箱）直接推导，无需传输，公钥规模理论为0，实际存储仅需系统参数。（3）适用场景：SM2适合传统PKI体系，需证书管理，适用于SSL、电子签章；SM9适合无需证书、密钥需在线分发的场景，如IoT设备、加密邮件、轻量级移动应用。62.说明Windows环境下利用“哈希传递（Pass-the-Hash）”攻击的原理，并给出三种有效防御措施。答案：原理：攻击者获取目标用户NTLM哈希后，无需破解明文密码，直接利用该哈希在SMB、WMI等接口完成身份认证，实现横向移动。防御：（1）启用WindowsDefenderCredentialGuard，将LSASS隔离于VSM，防止哈希泄露；（2）部署“ProtectedUsers”组，强制账户采用Kerberos且拒绝NTLM；（3）实施最小权限与分层管理，禁用域管账户日常登录工作站，降低哈希暴露面。63.描述Kubernetes集群中“容器逃逸”至宿主机的一种典型利用链，并给出对应加固建议。答案：利用链：（1）攻击者通过Web应用上传恶意镜像，镜像内包含利用dirtycow（CVE-2016-5195）的提权ELF；（2）容器以privileged=true启动，获得宿主机所有设备访问权；（3）攻击者在容器内写入/etc/crontab宿主机文件，实现宿主机root反弹Shell。加固：（1）禁止privileged容器，采用PodSecurityStandard“restricted”模式；（2）启用Seccomp与AppArmor限制系统调用；（3）挂载宿主机文件系统时采用只读（readOnlyRootFilesystem:true）；（4）持续扫描镜像CVE，阻断含内核提权漏洞的镜像部署。五、应用题（共50分）64.综合计算与分析（20分）某公司拟部署IPSecVPN，采用国密算法SM4-CBC加密+SM3-HMAC，隧道模式，MTU为1500字节。（1）给出封装后最大传输单元（MTU）计算过程，并指出是否需启用IP分片。（8分）（2）若SM4-CBC采用PKCS#7填充，求传输1400字节应用数据时的额外开销字节数。（6分）（3）分析在5G空口环境下，上述封装对QoS流的影响，并提出优化方案。（6分）答案：（1）原IP报文1500字节，隧道模式新增IP头20字节，ESP头8字节，IV16字节，SM3-HMAC输出32字节，填充长度字段1字节，最小填充7字节，总封装=20+8+16+1400+32+8=1484≤1500，无需分片。（2）1400字节应用数据，SM4块长16字节，1400mod16=8，需填充8字节（含长度字段），额外开销=8字节。（3）5G空口QoS流对时延敏感，ESP封装增加32字节HMAC导致码率上升2.1%，在GBR流中可能超限；优化：启用SM4-GCM替代CBC+HMAC，将完整性开销降至16字节，并采用ROHC压缩IP/ESP头，降低空口负载15%。65.安全协议设计（15分）设计一套基于SM2数字签名+SM4对称加密的“安全固件升级”协议，要求满足：①完整性②机密性③抗重放④前向保密。（1）给出协议交互流程图（文字描述即可）。（8分）（2）指出实现前向保密的关键参数更新机制。（4分）（3）说明如何防止“降级攻击”。（3分）答案：（1）流程：①设备启动→发送当前版本号r‖随机数N1→服务器；②服务器返回升级包M=SM4_K(firmware‖version‖N2)‖SM2_sig(K_s,H(M))‖证书cert_s，其中K=KDF(N1⊕N2,r)；③设备验证cert_s与签名→解密获得firmware→计算HMAC_SM3(K,firmware)与内置公钥SM2验证→通过则刷写；④设备回执SM4_K′(result‖N3)确认，K′=KDF(K,N3)。（2）前向保密：每次升级会话临时生成SM4密钥K=KDF(N1⊕N2,r)，升级完成后K、K′均丢弃，下次升级重新协商。（3）防降级：固件头包含单调递增版本号与签名时间戳，设备拒绝回滚至低于当前版本号或早于上次成功升级时间戳的固件。66.渗透测试报告撰写（15分）给定场景：测试团队通过外网对某电商站点实施黑盒测试，发现如下漏洞：A.商品详情接口/id?pid=存在SQL注入，可unionselect获取管理员表admin(username