2026年软考网络工程师网络安全试题及答案

2026年软考网络工程师网络安全试题及答案一、单项选择题（每题1分，共30分。每题只有一个最符合题意的选项）1.在SSL/TLS握手过程中，用于协商加密套件的消息是A.ClientHello  B.ServerHello  C.Certificate  D.Finished答案：A2.下列哪一项不是IPSec的组成部分A.AH  B.ESP  C.IKE  D.L2TP答案：D3.关于SM4分组密码算法，下列说法正确的是A.分组长度128bit，密钥长度128bit，迭代轮数32轮B.分组长度256bit，密钥长度256bit，迭代轮数16轮C.分组长度64bit，密钥长度128bit，迭代轮数16轮D.分组长度128bit，密钥长度256bit，迭代轮数10轮答案：A4.在WindowsServer2022中，实现基于证书的802.1X认证，需部署的NPS策略类型为A.连接请求策略  B.网络策略  C.健康策略  D.更新服务器组策略答案：B5.下列关于DNSSEC资源记录的说法，错误的是A.RRSIG记录存储资源记录集的签名B.DNSKEY记录存储公钥C.DS记录由父区存储，用于验证子区DNSKEYD.NSEC3记录用于否定存在证明，其哈希算法固定使用SHA-1答案：D6.在Linux系统中，使用tcpdump抓取所有TCPSYN=1且ACK=0报文的命令是A.tcpdump'tcp[13]&2=2'  B.tcpdump'tcp[13]&2!=0'C.tcpdump'tcp[13]&0x02=2'  D.tcpdump'tcp[13]&0x12=2'答案：C7.关于防火墙的ALG（应用层网关）功能，下列说法正确的是A.ALG仅工作在第三层B.ALG可修改应用层载荷中的IP地址与端口信息C.ALG不能感知FTP控制通道D.ALG会降低防火墙吞吐量，因此默认全局开启答案：B8.在零信任架构中，用于动态评估访问主体信任等级的核心组件是A.SIEM  B.SDP  C.PKI  D.TrustEngine答案：D9.下列哪条命令可将OpenSSL生成的私钥转换为PKCS#8格式A.opensslrsa-inkey.pem-outpk8.pem  B.opensslpkcs8-topk8-inkey.pem-outpk8.pemC.opensslpkey-inkey.pem-outpk8.pem  D.opensslgenpkey-outpk8.pem答案：B10.在IPv6中，用于实现无状态地址自动配置安全性的协议是A.SEND  B.DHCPv6  C.RA-Guard  D.IPSec答案：A11.关于WPA3-Enterprise，下列加密套件强制要求的是A.GCMP-256  B.CCMP-128  C.TKIP  D.RC4答案：A12.在Snort规则中，用于检测TCP端口80上包含字符串"SELECTFROM"的流量，且区分大小写，正确的content选项是12.在Snort规则中，用于检测TCP端口80上包含字符串"SELECTFROM"的流量，且区分大小写，正确的content选项是A.content:"SELECTFROM";nocase;  B.content:"SELECTFROM";A.content:"SELECTFROM";nocase;  B.content:"SELECTFROM";C.content:"selectfrom";  D.content:"SELECTFROM";case;C.content:"selectfrom";  D.content:"SELECTFROM";case;答案：B13.下列哪一项不是对称密钥分发方式A.KerberosAS-REP  B.Diffie-Hellman临时密钥协商C.预共享密钥PSK  D.数字信封答案：B14.在Windows日志中，事件ID4624表示A.登录失败  B.登录成功  C.账户锁定  D.特权提升答案：B15.关于BGPsec协议，下列说法正确的是A.使用ROA对象进行路径验证  B.对AS-Path进行数字签名C.依赖BGP社区属性  D.仅适用于IPv4单播答案：B16.在SQL注入联合查询中，使用"UNIONSELECTnull,null,null--"的目的是A.判断字段数  B.判断数据库类型  C.获取当前用户  D.绕过WAF答案：A17.下列哪一项不是容器逃逸的高危系统调用A.ptrace  B.process_vm_readv  C.clone  D.chmod答案：D18.在RSA算法中，已知公钥(e,n)=(17,323)，私钥d的值为A.275  B.257  C.173  D.37答案：A19.关于GDPR中数据泄露通知时限，下列说法正确的是A.72小时内向监管机构报告  B.24小时内向数据主体通报C.7日内向数据主体通报  D.无需通报，仅需内部记录答案：A20.在Wireshark中，过滤显示所有HTTP状态码为500的响应，表达式为A.http.response.code==500  B.http.status==500C.tcp.port==500  D.http.request.code==500答案：A21.下列哪一项不是恶意软件常用的进程注入技术A.DLL注入  B.反射式DLL注入  C.进程镂空  D.端口转发答案：D22.在Linux中，用于限制用户打开文件数量的配置文件是A./etc/security/limits.conf  B./etc/sysctl.confC./etc/fstab  D./etc/ld.so.conf答案：A23.关于AES-GCM模式，下列说法错误的是A.提供机密性与完整性  B.需要额外的MAC算法C.支持并行计算  D.使用CTR加密部分答案：B24.在OWASPTop102021中，排名第一位的是A.访问控制失效  B.加密失败  C.注入  D.不安全设计答案：A25.下列哪一项不是云原生安全责任共担模型中云服务商的责任A.物理基础设施安全  B.虚拟化层安全  C.客户数据分类  D.可用区冗余答案：C26.在PowerShell中，用于绕过执行策略临时执行脚本的参数是A.-ExecutionPolicyBypass  B.-NoExitC.-WindowStyleHidden  D.-Command答案：A27.关于HSTS头部，下列说法正确的是A.可声明域名包含子域  B.可设置过期时间为0秒实现永久生效C.仅对HTTP生效  D.必须与HPKP联合使用答案：A28.在AndroidAPK逆向中，用于查看Java层逻辑的工具是A.jadx  B.IDA  C.Ghidra  D.OllyDbg答案：A29.下列哪一项不是对称加密算法A.ChaCha20  B.SM1  C.ElGamal  D.3DES答案：C30.在NISTSP800-63B中，推荐的最小密码长度为A.6位  B.8位  C.10位  D.12位答案：B二、多项选择题（每题2分，共20分。每题至少有两个正确选项，多选、少选、错选均不得分）31.以下哪些属于常见的WebShell连接工具A.中国菜刀  B.Behinder  C.CobaltStrike  D.AntSword答案：ABD32.关于PKI证书链验证，需检查A.证书有效期  B.签名算法强度  C.密钥用法扩展  D.颁发者私钥答案：ABC33.以下哪些协议支持前向保密A.TLS1.3  B.IPSecIKEv2withECDHE  C.SSHwithDiffie-Hellman-group14D.WPA3-Personal答案：ABD34.在Linux系统中，可用来实现强制访问控制（MAC）的机制有A.SELinux  B.AppArmor  C.Tomoyo  D.iptables答案：ABC35.关于内存保护机制，下列哪些可以防御栈溢出A.DEP/NX  B.ASLR  C.StackCanary  D.CFG答案：ABC36.以下哪些属于云安全态势管理（CSPM）的核心功能A.持续合规扫描  B.错误配置检测  C.工作负载微隔离  D.数据防泄漏答案：AB37.在Windows域环境中，可用于横向移动的技术有A.PsExec  B.WMI  C.DCOM  D.LLMNR投毒答案：ABC38.关于国密算法，下列哪些属于对称算法A.SM1  B.SM2  C.SM3  D.SM4答案：AD39.以下哪些日志源可用于APT攻击溯源A.Proxy日志  B.DNS日志  C.NetFlow  D.内存转储答案：ABCD40.在容器安全中，可限制容器权限的Linux特性有A.Capabilities  B.Seccomp  C.SELinux  D.cgroups答案：ABC三、填空题（每空2分，共20分）41.在TLS1.3中，用于实现0-RTT加速的扩展称为________。答案：EarlyData42.已知SHA-256的摘要长度为________bit。答案：25643.在Linux系统中，用于查看当前ARP缓存表的命令是________。答案：ipneighshow或arp-n44.在Snort规则头部中，用于指定方向运算符"双向"的符号是________。答案：<>45.在Windows中，用于列出当前登录用户的Kerberos票据的命令是________。答案：klist46.在IPv6中，用于实现地址解析的ICMPv6类型值为________。答案：13547.在RSA密钥生成过程中，两个大素数p与q的乘积称为________。答案：模数n48.在OWASPMASVS中，控制类别"resilienceagainstreverseengineering"的编号为________。答案：V849.在BGP中，用于声明路由策略的自治系统路径属性简写为________。答案：AS-Path50.在GDPR中，处理个人数据的六大法律依据之一"数据主体同意"对应的英文为________。答案：Consent四、简答题（每题10分，共30分）51.简述Kerberos认证过程中TGT的作用，并说明如何防御黄金票据攻击。答案：1)TGT（TicketGrantingTicket）由AS颁发，包含用户身份会话密钥及有效期，客户端后续无需再次输入口令即可向TGS申请服务票据。2)黄金票据攻击即攻击者伪造KRBTGT账户的哈希签发任意TGT。3)防御措施：a.定期更改KRBTGT账户密码两次，使旧哈希失效；b.启用PAC验证（KDC签名），强制KDC校验PAC；c.部署高级威胁检测，监控异常TGT（如超长寿命、高权限请求）；d.限制域管登录，减少哈希泄露风险；e.使用受防护的域控制器（ShieldedDC）与CredentialGuard。52.说明TLS1.3与TLS1.2在握手流程上的主要差异，并给出性能提升的量化数据（引用IETF标准文档）。答案：1)握手往返次数：TLS1.2完整握手需2-RTT，TLS1.3降为1-RTT；若启用0-RTT，可降至0-RTT。2)密钥协商：TLS1.3移除RSA静态密钥交换，强制前向保密（ECDHE）。3)加密更早：TLS1.3在ServerHello之后立即加密，减少明文暴露；TLS1.2在Finished之前均为明文。4)会话恢复：TLS1.3使用PSKwithticket，长度缩减约30%，握手消息大小从约4.5kB降至约1kB（RFC8446AppendixD.4）。5)性能提升：Google实测延迟降低约20%，移动网络首字节时间减少100ms（IETF104会议Slide，2019）。53.给出一种基于eBPF的容器逃逸实时检测方案，并说明其原理与优势。答案：1)方案：在宿主机内核加载eBPF程序，挂钩sys_ptrace、sys_process_vm_readv、sys_mount、sys_openat等系统调用；若检测到容器内进程调用敏感调用且参数指向宿主机命名空间（如/proc/1/ns/pid与宿主机一致），则立即通过perfevent输出告警并杀死进程。2)原理：eBPF于内核态运行，无上下文切换，可获取精确参数与调用链；利用cgroupid区分容器，过滤误报。3)优势：a.性能损耗<1%，较内核模块安全；b.无需修改容器镜像；c.支持热更新，兼容主流发行版内核≥4.14；d.与Falco、Grafana集成，实现可视化。五、综合应用题（共50分）54.计算与分析（20分）某企业计划部署IPSecVPN，采用IKEv2+ESP，加密套件为AES-GCM-256，PRF为HMAC-SHA-384，DH-group为ECP-256。已知：1)路由器CPU为单核1GHz，AES-GCM-256吞吐基准为0.8bit/cycle；2)包长1400Byte，额外开销为ESP头56Byte，IP头40Byte；3)预计峰值流量为500Mb/s。问题：a)计算该CPU能否满足加密吞吐需求，给出公式与步骤；（10分）b)若改用AES-GCM-128，吞吐提升比例多少？（5分）c)给出在不影响前向保密前提下降低CPU占用的两种工程方案。（5分）答案：a)单核理论吞吐=0.8bit/cycle×1×10^9cycle/s=800Mb/s峰值需求500Mb/s<800Mb/s，故满足。公式：T_cpu=r×f，其中r为每周期比特数，f为频率。b)AES-GCM-128基准约1.1bit/cycle，提升比例=(1.1-0.8)/0.8=37.5%。c)方案：1)启用AES-NI硬件加速，CPUoffload降低>70%；2)迁移至DH-group为X25519，减少密钥协商计算约30%，并保持ECDHE前向保密。55.案例分析（30分）背景：2025年12月，某电商平台遭遇供应链攻击，攻击者将恶意代码植入第三方JavaScript库"swiper-helper-1.2.3.min.js"。该库被1200家商户引用，导致结账页面植入Skimmer脚本，持续窃取用户信用卡号与CVV。已知：1)恶意代码经高度混淆，使用WebAssembly隐藏解密逻辑；2)仅在每日20:00—24:00激活，回传C2域名为cdn-anal