2025年網(wǎng)絡(luò)與信息安全課程能力考核試題及答案一、單項選擇題（每題2分，共20分）1.以下哪種加密算法屬于非對稱加密？A.AES-256B.RSAC.DESD.3DES答案：B2.數(shù)字簽名的主要目的是確保數(shù)據(jù)的（）。A.機密性B.完整性C.可用性D.不可否認性答案：D3.在網(wǎng)絡(luò)攻擊中，通過發(fā)送大量ICMP請求包消耗目標主機資源的攻擊方式是（）。A.SYNFloodB.DNS放大攻擊C.PingFloodD.ARP欺騙答案：C4.以下哪項是Web應(yīng)用中常見的注入攻擊類型？A.CSRFB.XSSC.SQL注入D.DDoS答案：C5.物聯(lián)網(wǎng)設(shè)備（IoT）面臨的特有安全風險不包括（）。A.固件漏洞難以更新B.資源受限導致加密算法強度不足C.大規(guī)模設(shè)備的身份認證管理復雜D.操作系統(tǒng)版本過舊（如WindowsXP）答案：D6.零信任架構(gòu)的核心原則是（）。A.信任內(nèi)網(wǎng)所有設(shè)備B.持續(xù)驗證訪問請求的合法性C.僅通過防火墻隔離邊界D.依賴單一身份認證方式答案：B7.以下哪種技術(shù)可用于檢測異常網(wǎng)絡(luò)流量？A.靜態(tài)代碼分析B.入侵檢測系統(tǒng)（IDS）C.數(shù)據(jù)脫敏D.數(shù)字水印答案：B8.區(qū)塊鏈技術(shù)中，防止雙花攻擊的關(guān)鍵機制是（）。A.共識算法（如PoW）B.智能合約C.哈希函數(shù)D.非對稱加密答案：A9.云環(huán)境下，租戶隔離的主要實現(xiàn)方式是（）。A.物理機劃分B.虛擬機監(jiān)控器（Hypervisor）C.統(tǒng)一身份認證D.數(shù)據(jù)加密存儲答案：B10.針對APT（高級持續(xù)性威脅）攻擊，最有效的防御措施是（）。A.部署傳統(tǒng)防火墻B.定期更新操作系統(tǒng)補丁C.建立威脅情報共享與持續(xù)監(jiān)控機制D.啟用高強度訪問密碼答案：C二、填空題（每題2分，共20分）1.常見的密碼學攻擊方法包括（）、選擇明文攻擊、選擇密文攻擊等。答案：已知明文攻擊2.網(wǎng)絡(luò)釣魚攻擊的核心手段是（），誘使用戶泄露敏感信息。答案：仿冒可信站點或通信3.漏洞生命周期管理的關(guān)鍵步驟包括漏洞發(fā)現(xiàn)、（）、修復驗證和跟蹤反饋。答案：風險評估4.工業(yè)控制系統(tǒng)（ICS）的典型協(xié)議包括Modbus、（）和Profibus。答案：DNP35.數(shù)據(jù)脫敏的常用技術(shù)有（）、替換、亂序和截斷。答案：掩碼（或匿名化）6.移動應(yīng)用安全測試中，（）是指通過逆向工程分析APK文件，檢測代碼中是否存在硬編碼的密鑰或敏感接口。答案：靜態(tài)分析7.無線局域網(wǎng)（WLAN）中，WPA3協(xié)議相比WPA2增強了（），防止離線字典攻擊。答案：SAE（安全認證交換）8.量子計算對現(xiàn)有密碼體系的主要威脅是能高效破解（）和橢圓曲線加密算法。答案：RSA9.安全信息與事件管理系統(tǒng)（SIEM）的核心功能是（）、關(guān)聯(lián)分析和可視化呈現(xiàn)。答案：日志收集與歸一化10.隱私計算技術(shù)中，（）允許在不共享原始數(shù)據(jù)的情況下進行聯(lián)合建模，典型應(yīng)用如聯(lián)邦學習。答案：多方安全計算（MPC）三、簡答題（每題8分，共40分）1.簡述SSL/TLS協(xié)議的握手過程，并說明其如何保障通信安全。答案：SSL/TLS握手過程主要包括以下步驟：（1）客戶端發(fā)送“ClientHello”，包含支持的TLS版本、加密套件（如AES+RSA）、隨機數(shù)等；（2）服務(wù)器響應(yīng)“ServerHello”，選擇具體的加密套件和隨機數(shù)，并發(fā)送服務(wù)器證書（含公鑰）；（3）客戶端驗證證書有效性（通過CA鏈），生成預主密鑰（Pre-MasterSecret）并用服務(wù)器公鑰加密后發(fā)送；（4）雙方基于預主密鑰和各自隨機數(shù)生成主密鑰（MasterSecret），進而生成會話密鑰；（5）客戶端和服務(wù)器分別發(fā)送“ChangeCipherSpec”，通知對方后續(xù)使用新密鑰加密；（6）雙方發(fā)送“Finished”消息，驗證握手過程的完整性。保障安全的核心機制：通過證書驗證服務(wù)器身份（防中間人攻擊），非對稱加密傳輸預主密鑰（防竊聽），對稱加密保證后續(xù)通信效率（防篡改），隨機數(shù)和哈希算法確保會話密鑰的唯一性（防重放攻擊）。2.列舉三種常見的Web應(yīng)用漏洞，并說明其修復方法。答案：（1）SQL注入：攻擊者通過輸入惡意SQL語句篡改數(shù)據(jù)庫查詢邏輯。修復方法：使用參數(shù)化查詢（PreparedStatement），避免直接拼接用戶輸入；對輸入進行嚴格校驗（如類型、長度）。（2）XSS（跨站腳本）：攻擊者向網(wǎng)頁注入惡意腳本，竊取用戶Cookie等信息。修復方法：對用戶輸入進行轉(zhuǎn)義（如HTML編碼），輸出到前端時使用安全框架（如React的自動轉(zhuǎn)義）；設(shè)置Cookie的HttpOnly屬性。（3）CSRF（跨站請求偽造）：攻擊者誘導用戶執(zhí)行非自愿操作（如轉(zhuǎn)賬）。修復方法：為敏感操作添加CSRF令牌（Token），驗證請求來源的Referer頭；使用SameSiteCookie屬性限制跨站請求。3.說明物聯(lián)網(wǎng)（IoT）設(shè)備的安全設(shè)計原則，并舉例說明。答案：物聯(lián)網(wǎng)設(shè)備的安全設(shè)計需遵循以下原則：（1）最小化攻擊面：僅保留必要功能，禁用默認服務(wù)（如Telnet）；例如，智能攝像頭關(guān)閉未使用的USB調(diào)試接口。（2）強身份認證：采用雙向TLS認證或設(shè)備唯一證書，避免硬編碼弱密碼；例如，工業(yè)傳感器使用預共享密鑰（PSK）+動態(tài)挑戰(zhàn)響應(yīng)機制。（3）安全更新機制：支持OTA（空中下載）安全補丁，防止固件被篡改；例如，智能手表通過HTTPS下載固件，并驗證數(shù)字簽名。（4）數(shù)據(jù)最小化：僅收集必要數(shù)據(jù)，傳輸時加密（如AES-256）；例如，智能電表僅上傳用電量，不存儲用戶位置信息。4.對比傳統(tǒng)邊界安全與零信任安全模型的差異。答案：（1）信任假設(shè)：傳統(tǒng)模型假設(shè)內(nèi)網(wǎng)可信（“內(nèi)網(wǎng)即安全”），僅防御外部攻擊；零信任模型假設(shè)“永遠不信任，持續(xù)驗證”，內(nèi)外網(wǎng)設(shè)備均需驗證。（2）訪問控制：傳統(tǒng)模型依賴防火墻+VPN，基于IP和端口控制；零信任模型基于身份（用戶/設(shè)備）、上下文（位置、時間）、風險（行為分析）動態(tài)授權(quán)。（3）監(jiān)控范圍：傳統(tǒng)模型側(cè)重邊界流量檢測；零信任模型覆蓋全鏈路（終端-網(wǎng)絡(luò)-應(yīng)用），持續(xù)監(jiān)控用戶行為（如異常登錄、數(shù)據(jù)越權(quán)訪問）。（4）架構(gòu)適應(yīng)性：傳統(tǒng)模型難以應(yīng)對云化、移動辦公場景；零信任模型支持多云、遠程辦公，通過軟件定義邊界（SDP）實現(xiàn)細粒度控制。5.簡述APT攻擊的特點及防御策略。答案：APT攻擊的特點：（1）目標明確：針對特定組織（如政府、能源企業(yè)），長期潛伏（數(shù)月至數(shù)年）；（2）技術(shù)復雜：結(jié)合0day漏洞、社會工程學、定制化惡意軟件（如Stuxnet針對工業(yè)控制系統(tǒng)）；（3）資源充足：攻擊方通常有國家或高級組織支持，具備持續(xù)升級攻擊工具的能力；（4）隱蔽性強：通過加密通信（如C2服務(wù)器使用HTTPS）、擦除日志等方式規(guī)避傳統(tǒng)檢測。防御策略：（1）威脅情報共享：加入行業(yè)威脅情報平臺（如MISP），獲取APT組織的攻擊特征（如惡意IP、哈希值）；（2）深度檢測：部署EDR（端點檢測與響應(yīng)）工具，監(jiān)控進程異常行為（如內(nèi)存注入、非授權(quán)文件寫入）；（3）最小權(quán)限原則：限制用戶和服務(wù)賬戶的權(quán)限（如禁用管理員默認權(quán)限），減少橫向移動風險；（4）數(shù)據(jù)保護：對核心數(shù)據(jù)實施加密存儲+訪問審計，關(guān)鍵操作需雙人確認（如數(shù)據(jù)庫刪除操作）；（5）應(yīng)急響應(yīng)：制定APT事件響應(yīng)流程（如隔離受感染主機、溯源攻擊路徑），定期演練。四、分析題（每題10分，共20分）1.某企業(yè)內(nèi)網(wǎng)發(fā)生員工電腦被植入勒索病毒事件，部分文檔被加密。假設(shè)你是安全工程師，請分析可能的攻擊路徑，并設(shè)計應(yīng)急響應(yīng)步驟。答案：可能的攻擊路徑：（1）釣魚郵件：員工點擊偽裝成財務(wù)通知的郵件附件（如Word文檔），觸發(fā)宏病毒下載勒索軟件；（2）漏洞利用：電腦未安裝最新系統(tǒng)補?。ㄈ鏦indows的MS17-010），攻擊者通過SMB協(xié)議遠程植入惡意程序；（3）移動存儲傳播：員工使用感染病毒的U盤，病毒通過自動運行腳本擴散至內(nèi)網(wǎng)；（4）弱密碼攻擊：攻擊者破解員工賬號密碼，通過遠程桌面（RDP）登錄并部署勒索軟件。應(yīng)急響應(yīng)步驟：（1）隔離網(wǎng)絡(luò)：立即斷開受感染主機的網(wǎng)絡(luò)連接（拔掉網(wǎng)線或禁用網(wǎng)卡），防止病毒通過內(nèi)網(wǎng)共享（如SMB、CIFS）擴散；（2）保留證據(jù)：關(guān)閉受感染主機前，記錄系統(tǒng)日志（如Windows事件查看器的安全日志、應(yīng)用日志）、網(wǎng)絡(luò)流量（通過旁路部署的流量鏡像設(shè)備）、進程列表（使用tasklist命令）；（3）解密嘗試：檢查勒索病毒類型（如WannaCry使用RSA加密），通過病毒庫或第三方解密工具（如某些勒索病毒的漏洞利用工具包提供解密密鑰）嘗試恢復文件；若無法解密，啟用數(shù)據(jù)備份（如最近7天的增量備份）恢復文檔；（4）溯源分析：通過日志追蹤攻擊入口（如釣魚郵件的發(fā)件IP、漏洞利用的端口號），分析病毒樣本（使用沙箱工具如Cuckoo）獲取C2服務(wù)器地址，上報至公安網(wǎng)安部門；（5）修復加固：為所有主機安裝漏洞補丁，禁用不必要的服務(wù)（如SMB1.0），啟用郵件網(wǎng)關(guān)的附件沙箱檢測，強制員工啟用多因素認證（MFA），定期備份數(shù)據(jù)至離線存儲（如空氣隔離的NAS）。2.某醫(yī)療云平臺存儲了患者電子病歷（包含姓名、身份證號、診斷結(jié)果），近期發(fā)生數(shù)據(jù)泄露事件。請分析可能的安全漏洞，并提出改進方案。答案：可能的安全漏洞：（1）訪問控制缺陷：醫(yī)護人員賬號權(quán)限未最小化（如普通護士擁有主任醫(yī)師的病歷查詢權(quán)限），導致越權(quán)訪問；（2）接口安全漏洞：移動端APP的API接口未驗證訪問來源，攻擊者通過抓包工具偽造請求獲取病歷數(shù)據(jù)；（3）數(shù)據(jù)加密不足：病歷數(shù)據(jù)在數(shù)據(jù)庫中未加密存儲（如僅通過用戶名哈希保護），數(shù)據(jù)庫被拖庫后敏感信息泄露；（4）日志審計缺失：未記錄用戶的查詢行為（如查詢次數(shù)、下載記錄），無法追蹤內(nèi)部人員的惡意導出操作；（5）第三方漏洞：云平臺使用的數(shù)據(jù)庫中間件（如Redis）存在未修復的遠程代碼執(zhí)行漏洞，攻擊者通過漏洞獲取數(shù)據(jù)庫權(quán)限。改進方案：（1）細粒度訪問控制：基于RBAC（角色基權(quán)限控制）分配權(quán)限，例如實習醫(yī)生僅能查看自己管床患者的病歷，主任醫(yī)師可查看本科室病歷；（2）API安全防護：對移動端API接口啟用JWT（JSONWebToken）認證，限制單用戶每分鐘請求次數(shù)（如100次/分鐘），使用HTTPS+TLS1.3加密傳輸；（3）數(shù)據(jù)加密存儲：對身份證號、診斷結(jié)果等敏感字段采用字段級加密（如AES-256），密鑰由HSM（硬件安全模塊）管理，禁止明文存儲；（4）增強審計日志：記錄用戶的每次查詢（時間、IP、查詢條件）、下載操作（文件大小、類型），定期分析異常行為（如非工作時間批量下載病歷）；（5）第三方安全管理：對云平臺使用的中間件進行漏洞掃描（如每月一次），加入CVE漏洞預警訂閱，發(fā)現(xiàn)高危漏洞（如CVSS評分≥7.0）后48小時內(nèi)修復；（6）隱私計算應(yīng)用：在數(shù)據(jù)共享（如科研統(tǒng)計）時，使用聯(lián)邦學習技術(shù)，僅共享加密后的統(tǒng)計特征（如患病率），不傳輸原始病歷。五、綜合應(yīng)用題（20分）某智能汽車制造企業(yè)計劃部署車聯(lián)網(wǎng)系統(tǒng)，包含車載終端（T-Box）、云端平臺和用戶手機APP。請設(shè)計該系統(tǒng)的安全防護體系，需涵蓋終端、網(wǎng)絡(luò)、數(shù)據(jù)和管理四個層面，并說明關(guān)鍵技術(shù)措施。答案：一、終端安全（車載T-Box）（1）硬件安全：采用安全芯片（如eSE、TEE）存儲設(shè)備唯一標識（VIN碼）和加密密鑰，防止物理攻擊（如探針讀?。?；（2）固件安全：固件升級通過OTA通道傳輸，使用數(shù)字簽名驗證（如ECDSA），防止篡改；禁用默認的調(diào)試接口（如JTAG），僅授權(quán)工程師通過物理密鑰訪問；（3）運行時防護：在T-Box中部署輕量級EDR（端點檢測響應(yīng)），監(jiān)控異常進程（如非官方的GPS定位劫持程序），檢測到惡意行為時自動斷網(wǎng)并上報云端。二、網(wǎng)絡(luò)安全（通信鏈路）（1）雙向認證：車載T-Box與云端平臺建立連接時，采用證書雙向TLS1.3加密（客戶端證書+服務(wù)器證書），防止中間人攻擊；（2）流量隔離：車聯(lián)網(wǎng)流量通過專用APN（接入點名稱）傳輸，與企業(yè)辦公網(wǎng)、互聯(lián)網(wǎng)物理隔離；使用IPSecVPN加密跨地域的云端數(shù)據(jù)同步（如主數(shù)據(jù)中心與災(zāi)備中心）；（3）入侵檢測：在云端部署NIDS（網(wǎng)絡(luò)入侵檢測系統(tǒng)），基于AI模型分析異常流量（如短時間內(nèi)大量UDP包發(fā)往車載T-Box的53端口，可能為DNS隧道）。三、數(shù)據(jù)安全（全生命周期）（1）采集階段：僅收集必要數(shù)據(jù)（如車速、位置需經(jīng)用戶授權(quán)，且精度限制在50米內(nèi)），敏感數(shù)據(jù)（如用戶手機號）通過設(shè)備匿名ID代替存儲；（2）傳輸階段：車載T-Box到云端使用AES-256加密，手機APP到云端使用ChaCha20-Poly