计算机网络安全知识竞赛试题及答案

计算机网络安全知识竞赛试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在OSI七层模型中，负责端到端加密、身份认证与密钥协商的安全服务主要位于（）。A.网络层  B.传输层  C.会话层  D.表示层答案：B2.以下哪一项不是对称加密算法的典型特征（）。A.加密与解密使用相同密钥  B.计算速度快  C.适用于大数据量加密  D.支持不可否认性答案：D3.关于数字证书的描述，错误的是（）。A.由CA签发  B.包含主体公钥  C.证书有效期由CA决定  D.私钥也包含在证书中答案：D4.防火墙默认拒绝所有未明确允许的流量，这种控制策略称为（）。A.白名单  B.黑名单  C.灰名单  D.红名单答案：A5.在TLS1.3握手过程中，首次消息即发送应用数据的能力被称为（）。A.0-RTT  B.1-RTT  C.2-RTT  D.PFS答案：A6.以下哪种攻击方式主要利用Web应用程序对SQL语句过滤不严（）。A.XSS  B.CSRF  C.SQL注入  D.缓冲区溢出答案：C7.关于ARP协议的威胁，以下描述正确的是（）。A.只能导致拒绝服务  B.无法实现中间人攻击  C.可被用于ARP欺骗  D.只在IPv6环境存在答案：C8.在Windows系统中，用于强制完整性控制的访问控制机制是（）。A.DACL  B.SACL  C.MIC  D.RBAC答案：C9.以下哪项不是入侵检测系统（IDS）的部署模式（）。A.网络型  B.主机型  C.混合型  D.隧道型答案：D10.关于哈希函数的说法，正确的是（）。A.可逆向解出原文  B.任意长度输入固定长度输出  C.相同输入可能产生不同输出  D.不需要抗碰撞性答案：B11.在公钥基础设施（PKI）中，负责发布证书撤销列表的组件是（）。A.RA  B.CA  C.OCSP  D.LDAP答案：B12.以下哪项技术可以有效防止重放攻击（）。A.时间戳+随机数  B.对称加密  C.包过滤  D.NAT答案：A13.关于IPv6安全特性，以下描述错误的是（）。A.强制支持IPsec  B.取消广播机制  C.地址空间增大导致扫描难度降低  D.邻居发现协议可被滥用答案：C14.在Linux系统中，用于强制访问控制（MAC）的安全框架是（）。A.iptables  B.SELinux  C.AppArmor  D.TCPWrapper答案：B15.以下哪项不是社会工程学攻击的典型手段（）。A.鱼叉式钓鱼  B.预文本  C.肩窥  D.SYNFlood答案：D16.关于无线网络安全，WPA3个人版采用的密钥协商协议是（）。A.WPA-PSK  B.SAE  C.EAP-TLS  D.TKIP答案：B17.在密码学中，椭圆曲线加密（ECC）相对于RSA的主要优势是（）。A.更高的安全性  B.更短的密钥长度达到同等安全  C.支持非数字签名  D.不需要大素数答案：B18.以下哪项不是云安全责任共担模型中云服务商的责任（）。A.物理基础设施安全  B.虚拟化层安全  C.客户数据加密密钥管理  D.可用区冗余答案：C19.关于区块链的安全特性，以下描述正确的是（）。A.51%攻击可导致双花  B.私钥丢失可找回  C.智能合约不可升级  D.公链默认隐私保护答案：A20.在等级保护2.0中，第三级系统要求每年至少进行几次等级测评（）。A.1  B.2  C.3  D.4答案：A二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项字母填入括号内，漏选、错选均不得分）21.以下哪些属于对称加密算法（）。A.AES  B.3DES  C.RC4  D.ECC答案：A、B、C22.关于HTTPS安全机制，以下说法正确的是（）。A.默认端口443  B.使用TLS/SSL  C.可防止中间人攻击  D.保证服务器身份真实性答案：A、B、C、D23.以下哪些属于常见的Web漏洞（）。A.文件上传漏洞  B.命令注入  C.逻辑绕过  D.心脏出血答案：A、B、C24.关于数字签名的作用，正确的是（）。A.完整性校验  B.身份认证  C.不可否认性  D.机密性保护答案：A、B、C25.以下哪些属于DDoS攻击的典型类型（）。A.SYNFlood  B.UDPFlood  C.DNS放大  D.SQL注入答案：A、B、C26.关于防火墙技术，以下说法正确的是（）。A.包过滤防火墙工作在网络层  B.状态检测防火墙跟踪连接状态  C.应用层代理可检查内容  D.NGFW可识别应用层协议答案：A、B、C、D27.以下哪些属于恶意软件（）。A.木马  B.蠕虫  C.勒索软件  D.逻辑炸弹答案：A、B、C、D28.关于VPN技术，以下说法正确的是（）。A.IPSecVPN工作在网络层  B.SSLVPN工作在传输层之上  C.L2TP需与IPSec结合提供加密  D.MPLSVPN提供加密功能答案：A、B、C29.以下哪些属于操作系统安全加固措施（）。A.关闭不必要服务  B.最小权限原则  C.定期打补丁  D.启用SELinux答案：A、B、C、D30.关于零信任架构，以下说法正确的是（）。A.默认不信任任何主体  B.持续身份验证  C.微分段  D.依赖边界防御答案：A、B、C三、填空题（每空1分，共20分。请将正确答案填入空格内）31.在密码学中，SHA-256输出的哈希值长度为________位。答案：25632.网络入侵检测系统（NIDS）通常通过________模式接入网络，以实现流量监听。答案：旁路（或镜像）33.在Linux系统中，用于查看当前登录用户信息的命令是________。答案：who34.在TLS握手协议中，用于协商加密套件的消息是________。答案：ClientHello35.在Windows系统中，安全标识符的英文缩写是________。答案：SID36.在公钥密码体制中，若A要给B发送加密数据，A应使用________的公钥进行加密。答案：B37.在无线网络安全中，WEP采用的加密算法是________。答案：RC438.在等级保护2.0中，安全区域边界要求实现________、________、________三大基本功能。答案：访问控制、入侵防范、恶意代码防护39.在区块链中，用于衡量计算工作量的单位是________。答案：难度（或Difficulty）40.在密码学中，满足“已知明文攻击下无法推导出密钥”的性质称为________。答案：明文敏感性（或雪崩效应）41.在Linux文件权限中，设置SUID位对应的数字表示为________。答案：442.在网络安全事件响应中，根据NIST框架，第二阶段是________。答案：检测与分析43.在IPv6中，用于替代ARP的协议是________。答案：邻居发现协议（NDP）44.在渗透测试中，获得目标系统最高权限的阶段称为________。答案：权限提升（或提权）45.在防火墙规则中，匹配顺序通常遵循________原则。答案：自上而下（或先匹配优先）46.在密码学中，将任意长度输入映射为固定长度输出的函数称为________函数。答案：哈希（或散列）47.在SSL/TLS中，用于实现完美前向保密的密钥协商算法是________。答案：DHE（或ECDHE）48.在Windows日志中，事件ID4624表示________。答案：成功登录49.在云安全中，CASB的全称是________。答案：云访问安全代理（CloudAccessSecurityBroker）50.在恶意软件分析中，通过虚拟执行环境观察行为的方法称为________分析。答案：动态四、判断题（每题1分，共10分。正确打“√”，错误打“×”）51.对称加密算法无法用于数字签名。  答案：√52.使用NAT技术可以完全防止内网主机被外网直接访问，因此无需防火墙。  答案：×53.在Linux系统中，/etc/shadow文件对所有用户可读。  答案：×54.MD5算法目前已被证明不具备强抗碰撞性。  答案：√55.WPA3企业版支持192位加密套件。  答案：√56.在TLS1.3中，所有握手消息均加密。  答案：√57.物理隔离网络绝对无法被远程攻击。  答案：×58.在区块链中，智能合约一旦部署就不可更改。  答案：×59.零日漏洞是指尚未发布补丁的未知漏洞。  答案：√60.在等级保护2.0中，第四级系统要求关键设备冗余。  答案：√五、简答题（每题6分，共30分）61.简述对称加密与非对称加密的主要区别，并给出各自适用的典型场景。答案：（1）密钥数量：对称加密使用同一密钥加密解密；非对称加密使用公钥加密、私钥解密。（2）速度：对称加密计算量小、速度快，适合大数据量加密；非对称加密计算量大，适合小数据或密钥交换。（3）密钥分发：对称加密需安全通道分发密钥；非对称加密公钥可公开。（4）典型算法：对称如AES、3DES；非对称如RSA、ECC。（5）典型场景：对称加密用于磁盘加密、VPN隧道加密；非对称加密用于数字签名、HTTPS密钥交换、电子邮件加密。62.简述SQL注入攻击的原理，并给出三种防御措施。答案：原理：Web应用将用户输入直接拼接到SQL语句中，攻击者构造恶意输入改变原SQL语义，实现越权查询、篡改或删除数据。防御：（1）使用参数化查询（预编译语句），将用户输入作为参数而非SQL片段；（2）严格输入验证，采用白名单过滤特殊字符；（3）最小权限原则，数据库账户仅授予必要权限，降低攻击影响；（4）部署Web应用防火墙（WAF）进行特征过滤；（5）定期代码审计与漏洞扫描。63.简述数字证书的生命周期管理关键阶段。答案：（1）密钥生成：用户生成密钥对，私钥安全保存；（2）证书申请：向RA提交CSR及身份材料；（3）身份核验：RA审核用户身份；（4）证书签发：CA用私钥签名生成证书；（5）证书发布：通过目录服务或OCSP发布；（6）证书使用：依赖方验证证书链及有效性；（7）证书更新：到期前申请新证书；（8）证书撤销：私钥泄露或身份变更时，CA发布CRL或OCSP撤销；（9）证书归档：到期证书长期保存用于审计。64.简述入侵检测系统（IDS）与入侵防御系统（IPS）的区别。答案：（1）工作模式：IDS旁路监听，仅检测报警；IPS在线串接，可主动丢弃流量；（2）响应方式：IDS发出告警需管理员处理；IPS实时阻断攻击；（3）部署影响：IDS不影响网络性能；IPS若误判会导致业务中断；（4）检测技术：二者均基于特征、异常、行为分析；（5）适用场景：IDS适合审计与事后分析；IPS适合实时防护。65.简述零信任架构的核心原则。答案：（1）永不信任，持续验证：对所有用户、设备、流量默认不信任，动态认证；（2）最小权限：按需授予最小访问权限，即时回收；（3）微分段：将网络划分为细粒度安全区域，横向移动受限；（4）动态策略：基于身份、环境、行为实时调整访问策略；（5）端到端加密：所有通信加密，防止中间人；（6）可见性与分析：集中日志、持续监控、AI分析异常。六、应用题（共60分）66.计算题（10分）已知RSA算法中，选择两个素数p=17，q=19，公钥指数e=5。（1）计算n与φ(n)；（2）求私钥指数d；（3）若明文M=3，求密文C；（4）验证解密结果。答案：（1）n=p×q=323；φ(n)=(p-1)(q-1)=16×18=288；（2）d≡e⁻¹modφ(n)，即5d≡1mod288；使用扩展欧几里得算法得d=173；（3）C=Mᵉmodn=3⁵mod323=243；（4）解密M′=Cᵈmodn=243¹⁷³mod323=3，与明文一致，验证正确。67.分析题（15分）某企业内网发现大量主机向外部IP0的80端口发送异常长URL请求，流量特征为：User-Agent固定为"Mozilla/5.0(compatible;Bot/1.0)"；请求URL包含"/search?q="后接2000字节随机字符串；源端口随机，目的端口固定80；每主机每秒约10次请求。请分析：（1）可能的攻击类型；（2）攻击者目的；（3）给出三步应急处理方案；（4）给出两种长期防御措施。答案：（1）疑似HTTPFlood型DDoS攻击，或C&C心跳通道试探；（2）目的：耗尽目标Web服务器带宽或连接资源，造成拒绝服务；或试探目标WAF规则；（3）应急：a.在边界防火墙封禁目的IP0的出向80端口；b.通过EDR批量隔离异常进程，定位恶意文件；c.采集NetFlow与日志，确认感染范围并通报ISP；（4）长期：a.出口部署NGFW，启用基于行为分析的DDoS防护模块；b.内网实施微分段与零信任，限制主机出向80端口白名单。68.综合题（20分）某电商平台计划上线一套新的支付网关，需满足《网络安全法》及等保2.0第三级要求。请设计一套安全方案，要求涵盖：（1）网络架构与区域划分；（2）加密与密钥管理；（3）身份认证与授权；（4）日志与监控；（5）数据备份与灾难恢复。答案：（1）网络架构：采用三层架构，互联网边界部署抗DDoS清洗中心；核心交换划分DMZ、应用区、数据库区、运维管理区；各区之间通过下一代防火墙与IPS实现微分段；支付网关机房与主业务异地双活，专线互联。（2）加密：传输层强制TLS1.3，启用ECDHE+AES-256-GCM；存储层采用AES-256加密，密钥托管于FIPS140-2三级HSM；密钥生命周期遵循KMIP协议，实行分级密钥（主密钥、工作密钥、数据密钥），定期轮换（主密钥每年，工作密钥每季度）。（3）身份认证：用户侧采用多因素认证（短信+FIDO2）；内部运维采用基于短证书+硬件USBKey；授权模型采用RBAC+ABAC混合，支付接口细粒度到“订单号”级；引入OAuth2.0与JWT，令牌有效期15分钟，支持撤销。（4）日志与监控：全流量镜像至SIEM，保留6个月；支付交易日志采用WORM存储，保留7年；关键事件（登录、授权、撤销、密钥操作）实时告警，接入SOC；引入UEBA检测异常行为；每年至少一次渗透测试与红蓝对抗。（5）备份与灾难恢复：数据库采用主从+半同步复制，RPO≤5分钟；每日凌晨全量备份，每小时增量备份；备份数据加密后存放于异地机房，距离≥300公里；每季度进行一次灾备演练，确保R