網(wǎng)絡(luò)與信息安全考試試卷及答案2025年一、單項選擇題（每題2分，共20分）1.以下哪項是零信任架構(gòu)的核心原則？A.基于網(wǎng)絡(luò)邊界的信任B.持續(xù)驗證訪問請求的可信度C.僅允許已知設(shè)備接入D.依賴傳統(tǒng)防火墻進行隔離2.量子計算機對現(xiàn)有密碼體系的主要威脅是？A.破解對稱加密算法（如AES）B.加速哈希碰撞攻擊（如SHA-256）C.高效解決離散對數(shù)和大整數(shù)分解問題D.破壞數(shù)字簽名的不可否認性3.APT（高級持續(xù)性威脅）攻擊的關(guān)鍵特征是？A.利用0day漏洞快速滲透B.短期高強度攻擊后撤離C.長期潛伏并持續(xù)收集數(shù)據(jù)D.針對個人用戶的釣魚攻擊4.同態(tài)加密技術(shù)的主要應(yīng)用場景是？A.加密傳輸中的敏感數(shù)據(jù)B.在密文上直接進行計算C.增強哈希函數(shù)的抗碰撞性D.實現(xiàn)密鑰的安全交換5.SDP（軟件定義邊界）與傳統(tǒng)防火墻的最大區(qū)別是？A.基于用戶身份而非IP地址控制訪問B.支持更高的網(wǎng)絡(luò)吞吐量C.僅部署在云環(huán)境中D.不依賴訪問控制列表（ACL）6.DNS隧道攻擊的主要目的是？A.繞過網(wǎng)絡(luò)流量監(jiān)控B.提升DNS解析速度C.發(fā)動DDoS攻擊D.篡改域名解析結(jié)果7.以下哪種數(shù)據(jù)脫敏方法適用于保留數(shù)據(jù)統(tǒng)計特征（如均值、分布）？A.完全刪除（如手機號打碼）B.隨機替換（如姓名替換為“某先生”）C.差分隱私（添加可控噪聲）D.加密脫敏（如AES加密敏感字段）8.MFA（多因素認證）的“多因素”通常不包括？A.知識因素（如密碼）B.持有因素（如硬件令牌）C.生物因素（如指紋）D.位置因素（如IP地址）9.軟件供應(yīng)鏈安全中，“依賴混淆”攻擊的主要手段是？A.篡改開源代碼倉庫中的依賴庫B.誘導(dǎo)開發(fā)者使用名稱相似的惡意依賴包C.在編譯過程中注入后門D.攻擊CI/CD流水線的權(quán)限管理系統(tǒng)10.DLP（數(shù)據(jù)防泄漏）系統(tǒng)的核心功能是？A.檢測并阻止敏感數(shù)據(jù)的非授權(quán)傳輸B.加密存儲中的敏感數(shù)據(jù)C.監(jiān)控網(wǎng)絡(luò)流量的異常行為D.修復(fù)系統(tǒng)中的安全漏洞二、填空題（每題2分，共20分）1.哈希函數(shù)的三大核心特性是________、抗碰撞性和雪崩效應(yīng)。2.TLS1.3協(xié)議中，握手過程最少僅需________個RTT（往返時間）。3.OWASPTop102023新增的安全風(fēng)險類別是________（需寫全稱）。4.區(qū)塊鏈系統(tǒng)中，PoS（權(quán)益證明）共識機制的核心是根據(jù)節(jié)點________分配記賬權(quán)。5.隱私計算的主要技術(shù)路徑包括聯(lián)邦學(xué)習(xí)、安全多方計算和________。6.狀態(tài)檢測防火墻工作在OSI模型的________層及以上。7.AI生成內(nèi)容（AIGC）的主要安全風(fēng)險包括________、深度偽造和版權(quán)爭議。8.根據(jù)《數(shù)據(jù)出境安全評估辦法》，數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)時，需通過________或認證。9.物聯(lián)網(wǎng)設(shè)備的安全設(shè)計原則中，“最小化攻擊面”要求盡可能減少________和不必要的服務(wù)。10.云安全中“最小權(quán)限原則”要求用戶或服務(wù)僅被授予________所需的權(quán)限。三、簡答題（每題8分，共32分）1.請解釋“零信任”架構(gòu)的“持續(xù)驗證”原則，并說明其與傳統(tǒng)“邊界防御”的本質(zhì)區(qū)別。2.量子計算對RSA和ECC（橢圓曲線加密）的威脅是什么？目前學(xué)術(shù)界提出的應(yīng)對方案有哪些（至少列舉3種）？3.簡述APT攻擊的典型生命周期（階段），并說明防御APT的關(guān)鍵措施。4.數(shù)據(jù)脫敏需平衡“數(shù)據(jù)可用”與“隱私保護”，請列舉3種常用脫敏方法，并分別說明其適用場景。四、綜合分析題（每題14分，共28分）1.某企業(yè)因員工點擊釣魚郵件導(dǎo)致勒索軟件入侵，核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)被加密。假設(shè)你是該企業(yè)的安全工程師，請設(shè)計應(yīng)急響應(yīng)流程（需包含技術(shù)操作與管理措施），并說明后續(xù)的加固方案。2.某金融機構(gòu)計劃遷移核心業(yè)務(wù)系統(tǒng)至公有云，需解決多租戶環(huán)境下的數(shù)據(jù)隔離問題。請從網(wǎng)絡(luò)、存儲、應(yīng)用三個層面，提出具體的技術(shù)實現(xiàn)方案（需結(jié)合云原生技術(shù)）。參考答案一、單項選擇題1.B2.C3.C4.B5.A6.A7.C8.D9.B10.A二、填空題1.單向性（或“單向哈希”）2.13.不安全的AI集成（InsecureAIIntegration）4.持有的代幣數(shù)量（或“權(quán)益占比”）5.可信執(zhí)行環(huán)境（TEE）6.網(wǎng)絡(luò)7.虛假信息傳播（或“信息污染”）8.安全評估9.暴露的接口（或“開放端口”）10.完成特定任務(wù)三、簡答題1.零信任的“持續(xù)驗證”原則：指對任何訪問請求（無論來自內(nèi)部或外部），均需動態(tài)驗證身份、設(shè)備狀態(tài)、訪問上下文（如位置、時間）等信息，確保每次訪問均符合預(yù)設(shè)的安全策略；驗證過程貫穿訪問全周期，而非僅在初始連接時完成。與傳統(tǒng)邊界防御的區(qū)別：傳統(tǒng)模型假設(shè)“內(nèi)部可信、外部不可信”，依賴防火墻隔離邊界；零信任模型“默認不信任”，不依賴物理或邏輯邊界，通過持續(xù)驗證實現(xiàn)“最小化信任”。2.威脅：RSA依賴大整數(shù)分解難題，ECC依賴橢圓曲線離散對數(shù)難題，量子計算機可通過Shor算法在多項式時間內(nèi)破解這兩類問題，導(dǎo)致基于它們的數(shù)字簽名、密鑰交換失效。應(yīng)對方案：①后量子密碼（PQC）算法，如基于格的加密（NTRU）、基于編碼的加密（McEliece）；②混合加密（傳統(tǒng)密碼+后量子密碼）；③量子密鑰分發(fā)（QKD），利用量子物理特性實現(xiàn)無條件安全通信。3.APT生命周期：①信息收集（目標偵察）；②初始滲透（釣魚、0day攻擊）；③持久化（植入后門）；④橫向移動（內(nèi)網(wǎng)滲透）；⑤數(shù)據(jù)竊?。舾行畔⑼鈧鳎虎薏脸圹E（清理日志）。防御措施：①增強端點檢測與響應(yīng)（EDR）；②實施流量深度檢測（DLP+威脅情報分析）；③定期開展安全演練與員工培訓(xùn)；④建立威脅情報共享機制。4.脫敏方法及場景：①替換法：將敏感字段替換為固定標識（如“手機號：1381234”），適用于展示類場景（如用戶界面）；②泛化法：將精確數(shù)據(jù)模糊化（如“年齡28”改為“20-30歲”），適用于統(tǒng)計分析（需保留數(shù)據(jù)分布特征）；③差分隱私：在數(shù)據(jù)中添加可控噪聲（如統(tǒng)計查詢結(jié)果±5%誤差），適用于大數(shù)據(jù)分析（需保護個體隱私同時保證整體準確性）。四、綜合分析題1.應(yīng)急響應(yīng)流程：技術(shù)操作：①隔離感染主機（斷開網(wǎng)絡(luò)、關(guān)閉不必要服務(wù)）；②保留日志（系統(tǒng)日志、網(wǎng)絡(luò)流量、郵件記錄）；③嘗試解密（使用備份或漏洞修復(fù)工具，避免支付贖金）；④全面掃描（檢測是否存在其他潛伏惡意軟件）。管理措施：①啟動應(yīng)急預(yù)案（通知管理層、客戶）；②開展內(nèi)部調(diào)查（定位釣魚郵件來源，追溯員工操作）；③上報監(jiān)管（如涉及個人信息泄露，需按《個人信息保護法》47小時內(nèi)報告）。后續(xù)加固：①部署郵件網(wǎng)關(guān)（垃圾郵件過濾+URL沙箱）；②啟用MFA（多因素認證）；③定期備份（離線存儲+異機備份）；④員工安全培訓(xùn)（釣魚郵件識別）。2.多租戶數(shù)據(jù)隔離方案：網(wǎng)絡(luò)層面：使用VPC（虛擬私有云）+安全組策略，為每個租戶分配獨立子網(wǎng)；結(jié)合SD-WAN實現(xiàn)租戶流量隔離，通過IPSecVPN加密跨租戶通信。存儲層面：采用對象存儲（如S3）的桶級權(quán)限控制，為租戶分配獨立存儲桶；使用