2025年计算机系统与网络安全课程期末考试试题及答案

2025年计算机系统与网络安全课程期末考试试题及答案一、单项选择题（每题2分，共30分）1.以下哪种访问控制模型通过角色关联权限，适用于组织结构稳定的企业？A.自主访问控制（DAC）B.强制访问控制（MAC）C.基于角色的访问控制（RBAC）D.基于属性的访问控制（ABAC）2.某系统采用AES-256加密，其密钥扩展过程提供的轮密钥总数为？A.10轮B.12轮C.14轮D.16轮3.下列网络攻击中，不属于中间人攻击（MITM）的是？A.ARP欺骗B.DNS劫持C.SYNFloodD.Wi-Fi钓鱼热点4.Linux系统中，文件权限“rwxr-x”对应的八进制表示为？A.750B.740C.650D.7555.若一个RSA密钥对中，p=11，q=13，e=17，则私钥d的值为？（提示：φ(n)=(p-1)(q-1)）A.113B.127C.157D.1636.以下哪项是TLS1.3相比TLS1.2的主要安全改进？A.支持DES加密B.减少握手延迟（0-RTT）C.保留MD5哈希算法D.允许明文传输会话票据7.缓冲区溢出攻击中，攻击者通过覆盖栈中的哪个区域实现控制程序执行流？A.局部变量B.返回地址（ReturnAddress）C.栈基址（EBP）D.函数参数8.某企业网络中，核心交换机启用了802.1X认证，其主要目的是？A.防止MAC地址泛洪攻击B.实现端口级访问控制C.加速VLAN间路由D.优化QoS流量调度9.下列漏洞类型中，属于内存安全漏洞的是？A.SQL注入B.XSS跨站脚本C.整数溢出D.CSRF跨站请求伪造10.工业控制系统（ICS）中，Modbus协议默认使用的传输层协议是？A.TCPB.UDPC.ICMPD.SCTP11.依据《网络安全法》，关键信息基础设施运营者应当自行或委托第三方每年至少进行几次网络安全检测评估？A.1次B.2次C.3次D.4次12.以下哪种哈希算法已被证明存在碰撞漏洞，不建议用于数字签名？A.SHA-256B.SHA-3C.MD5D.BLAKE313.蜜罐技术中，“高交互蜜罐”的主要特点是？A.仅模拟少量服务，资源消耗低B.完全真实的操作系统环境，捕获数据详细C.专注于网络层攻击检测D.依赖入侵检测系统（IDS）联动响应14.云计算环境下，“数据残留”风险主要源于？A.多租户隔离失效B.存储介质擦除不彻底C.API接口认证缺陷D.虚拟机关机后内存未清空15.量子计算机对现有公钥密码体系的最大威胁是？A.加速对称加密算法破解B.破解基于离散对数和大整数分解的算法C.破坏哈希函数的抗碰撞性D.干扰数字签名的随机性二、填空题（每空1分，共20分）1.操作系统安全中，“最小权限原则”要求进程仅拥有完成任务所需的________权限。2.TCP协议中，用于标识会话的端口号范围是________（填写数值范围）。3.常见的Web应用防火墙（WAF）部署模式包括反向代理模式、________模式和云模式。4.蓝牙5.0引入了________加密协议，替代了易受攻击的E0算法。5.漏洞生命周期中，“0day漏洞”指的是未被________知晓的漏洞。6.磁盘加密技术中，________（缩写）通过硬件实现加密，不依赖操作系统。7.网络钓鱼攻击的关键步骤包括________、诱导点击和信息窃取。8.物联网（IoT）设备的典型安全威胁包括________（列举一种）、固件篡改和拒绝服务。9.依据《信息安全技术网络安全等级保护基本要求》，三级系统要求应通过________验证用户身份，如双因素认证。10.恶意软件分析中，________分析是指在隔离环境中执行样本，观察其行为。11.零信任架构的核心假设是________，需对每个访问请求进行持续验证。12.区块链系统中，比特币采用________共识算法，以太坊2.0升级为权益证明（PoS）。13.内存保护技术中，________（NX位）通过标记内存区域为不可执行，防止shellcode运行。14.工业互联网中，________协议（缩写）通过OPCUA实现工业设备与信息系统的安全通信。15.移动应用安全中，Android的________机制限制了应用间的组件访问权限。16.数据脱敏技术包括________（列举一种）、随机化和偏移法。17.无线局域网（WLAN）中，WPA3协议采用________握手替代WPA2的四次握手，增强前向保密。18.漏洞扫描工具Nessus的核心功能是________、配置核查和弱点分析。19.云安全中，________（缩写）负责管理云资源的身份认证与授权，如AWS的IAM。20.网络安全应急响应流程包括________、抑制、根除、恢复和总结。三、简答题（每题6分，共30分）1.简述缓冲区溢出攻击的基本原理，并说明现代操作系统（如Windows11、Linux5.x）采用的三种防护机制。2.对比对称加密与非对称加密的优缺点，举例说明二者在TLS握手过程中的协同应用。3.什么是“侧信道攻击”？列举三种常见的侧信道攻击类型，并说明其防范措施。4.分析HTTP/3相比HTTP/2在安全层面的主要改进（需结合QUIC协议特性）。5.简述企业实施网络安全等级保护（等保2.0）的主要步骤，并说明三级系统在“安全通信网络”层面的特殊要求。四、分析题（每题8分，共24分）1.某企业Web服务器日志显示大量异常请求：用户未登录时访问/admin路径，请求头包含“User-Agent:BOT/1.0”，且请求频率高达200次/秒。请分析可能的攻击类型、攻击目的及应采取的防御措施。2.某Linux服务器的/etc/passwd文件权限为“-rw-r--r--”（644），/etc/shadow文件权限为“-r--”（400）。结合Linux权限管理机制，分析当前配置的安全性，并提出优化建议。3.2024年某金融机构遭遇新型勒索软件攻击，攻击者通过钓鱼邮件投递恶意文档，利用Office漏洞（CVE-2024-1234）执行加载器，最终加密服务器文件并索要比特币。请画出该攻击链的关键环节，并针对每个环节设计防御策略。五、综合题（每题13分，共26分）1.设计一个企业云平台（混合云架构）的安全防护体系，需涵盖基础设施层、平台层（PaaS）和应用层，要求包括技术措施（如防火墙、加密）、管理措施（如权限审计）和合规要求（如《数据安全法》）。2.假设你是某高校网络安全实验室管理员，需为学生实验环境（包含Windows、Linux主机及物联网设备）制定安全策略。要求策略覆盖身份认证、访问控制、漏洞管理、日志审计和应急响应五个方面，需具体说明实施方法（如工具选择、配置参数）。答案及解析一、单项选择题1.C（RBAC通过角色分配权限，适合组织结构稳定的场景）2.C（AES-256密钥长度256位，轮数14轮）3.C（SYNFlood是拒绝服务攻击，非MITM）4.A（rwx=7，r-x=5，=0，故750）5.A（φ(n)=10×12=120，d=e⁻¹mod120=113）6.B（TLS1.3支持0-RTT握手，减少延迟）7.B（覆盖返回地址以控制程序流）8.B（802.1X实现端口级认证，控制设备接入）9.C（整数溢出属于内存安全漏洞）10.A（ModbusTCP默认使用502端口）11.A（《网络安全法》要求每年至少1次检测评估）12.C（MD5已被证明存在碰撞漏洞）13.B（高交互蜜罐模拟真实环境，数据捕获详细）14.B（数据残留源于存储介质擦除不彻底）15.B（量子计算机可破解RSA、ECC等基于离散对数的算法）二、填空题1.最小必要2.0-655353.透明代理（或桥接）4.AES-CCM5.软件厂商（或修复）6.TPM（可信平台模块）7.目标定位（或钓鱼页面制作）8.弱口令（或通信链路窃听）9.两种及以上方式10.动态11.网络不可信（或“永不信任，始终验证”）12.工作量证明（PoW）13.数据执行保护（DEP）14.OPC15.沙盒（或应用沙箱）16.脱敏替换（或掩码）17.SAE（安全关联加密）18.漏洞检测19.IAM（身份与访问管理）20.检测与分析三、简答题1.基本原理：向缓冲区写入超过其容量的数据，覆盖相邻内存区域（如栈中的返回地址），使程序执行恶意代码。防护机制：①ASLR（地址空间布局随机化）：随机化内存地址，增加攻击难度；②DEP/NX（数据执行保护）：标记内存为不可执行，阻止shellcode运行；③栈保护（StackCanary）：在栈帧中插入校验值，检测溢出。2.对称加密优点：速度快，适合大数据加密；缺点：密钥分发困难，易泄露。非对称加密优点：密钥分发安全，支持数字签名；缺点：计算复杂，适合小数据加密。TLS中，客户端用服务器公钥加密对称会话密钥（非对称加密），后续用会话密钥加密数据（对称加密），兼顾安全与效率。3.侧信道攻击：通过物理信息（如功耗、电磁辐射、执行时间）推导密钥或敏感数据，而非直接破解算法。类型：①功耗分析（SPA/DPA）：测量设备功耗曲线；②计时攻击：利用不同输入的执行时间差异；③电磁泄露：捕获设备电磁辐射信号。防范：①电路设计中添加噪声（掩盖功耗）；②优化算法实现（消除时间差异）；③屏蔽电磁辐射（如法拉第笼）。4.HTTP/3基于QUIC协议，安全改进：①QUIC基于UDP，内置TLS1.3加密，无需额外协商（HTTP/2依赖TLS1.2）；②QUIC连接基于5元组（源/目IP、端口、连接ID），避免TCP的队头阻塞；③QUIC支持0-RTT重连，减少延迟同时保持前向保密；④QUIC强制加密所有数据（包括头部），防止明文分析。5.等保2.0实施步骤：①定级（确定系统等级）；②备案（向公安机关备案）；③建设整改（落实安全要求）；④等级测评（第三方检测）；⑤监督检查（公安部门监管）。三级系统“安全通信网络”要求：①边界部署入侵检测/防御系统（IDS/IPS）；②重要通信链路采用加密传输（如IPSecVPN）；③建立通信审计机制，记录关键流量；④实现网络设备冗余，避免单点故障。四、分析题1.攻击类型：可能是暴力破解（尝试登录/admin）、扫描探测（收集敏感路径）或自动化爬虫（窃取数据）。攻击目的：探测后台入口、尝试弱口令登录或爬取敏感信息。防御措施：①WAF过滤异常User-Agent（如屏蔽“BOT/1.0”）；②设置速率限制（如限制IP每分钟最多10次访问/admin）；③启用登录验证码（针对/admin路径）；④分析日志定位攻击源IP，封禁恶意IP。2.安全性分析：/etc/passwd权限644（所有用户可读）是合理的（包含用户账号信息，无密码）；/etc/shadow权限400（仅root可读）符合安全要求（存储加密密码）。优化建议：①定期检查passwd文件是否有非法用户（如UID=0的非root账号）；②设置shadow文件的访问审计（通过auditd监控写操作）；③对passwd和shadow文件启用SELinux上下文限制，防止非授权进程访问。3.攻击链环节及防御：①钓鱼邮件投递：防御→部署邮件网关（如Mimecast），过滤恶意附件/链接；②Office漏洞利用（CVE-2024-1234）：防御→及时打补丁（启用WSUS/APT工具自动更新），禁用Office宏（或仅信任签名宏）；③加载器执行：防御→启用EDR（端点检测响应），监控异常进程创建；④文件加密：防御→定期离线备份（断开网络的冷备份），启用文件访问控制（如NTFS权限）；⑤勒索支付：防御→员工培训（拒绝支付，报告事件）。五、综合题1.混合云安全防护体系设计：基础设施层：①物理安全：云数据中心部署门禁、监控，本地机房启用环境监控（温湿度、漏水）；②网络安全：公有云VPC划分安全组（按业务隔离），本地数据中心与云间通过IPSecVPN加密互联，边界部署NGFW（如PaloAlto）过滤威胁；③计算安全：虚拟机启用TPM加密（如AzureDiskEncryption），容器环境使用Kubernetes网络策略（NetworkPolicy）限制容器间通信。平台层（PaaS）：①数据库安全：云数据库（如AWSRDS）启用透明数据加密（TDE），本地数据库使用SSL加密连接；②中间件安全：Web服务器（如Nginx）配置HSTS头（防止重定向劫持），消息队列（如RabbitMQ）启用SASL认证；③API安全：API网关（如Kong）实施速率限制、JWT令牌验证，记录API调用日志（符合《数据安全法》第30条）。应用层：①应用安全：代码扫描（如SonarQube）检测SQL注入、XSS漏洞，发布前进行渗透测试；②数据安全：敏感数据（如身份证号）脱敏存储（使用脱敏算法），跨境数据流动符合《个人信息保护法》第38条；③用户安全：用户登录启用MFA（如GoogleAuthenticator），管理员权限实施最小化（仅授予必要角色）。管理措施：①权限审计：每周检查IAM策略（如AWSIAM），删除冗余角色；②日志与监控：集中日志平台（ELKStack）保留6个月以上日志（符合等保2.0要求），启用云监控（如Prometheus）告警异常流量；③合规要求：通过ISO27001认证，定期开展数据安全影响评估（DSIA）。2.高校实验室安全策略：身份认证：①Windows/Linux主机：强制使用域控（AD）或LDAP统一认证，密码策略要求≥12位（大小写+数字+符号），每90天更换；②物联网设备：禁用默认口令（如“admin/admin”），使用唯一强密码，支持802.1