2025年網(wǎng)絡(luò)與信息系統(tǒng)安全考試試題及答案一、單項選擇題（每題2分，共40分）1.在零信任架構(gòu)中，最關(guān)鍵的核心原則是()A.默認放行內(nèi)網(wǎng)流量B.永不信任、持續(xù)驗證C.優(yōu)先使用邊界防火墻D.降低加密粒度以提升性能答案：B解析：零信任強調(diào)“永不信任、持續(xù)驗證”，無論訪問來源如何，都必須經(jīng)過動態(tài)身份與上下文評估。2.以下哪一項最能有效防御DNS劫持攻擊()A.關(guān)閉53端口B.啟用DNSSECC.使用明文HTTPD.禁用本地緩存答案：B解析：DNSSEC通過數(shù)字簽名保證解析記錄完整性，可阻止篡改與劫持。3.關(guān)于量子計算對現(xiàn)有公鑰密碼的影響，下列說法正確的是()A.量子計算可完全破解對稱加密B.RSA與ECC在量子算法面前仍安全C.Shor算法可在多項式時間內(nèi)分解大整數(shù)D.量子計算對哈希函數(shù)無影響答案：C解析：Shor算法能在多項式時間分解大整數(shù)，直接威脅RSA/ECC；對稱加密與哈希函數(shù)需更大密鑰長度但仍可抵御。4.在Linux系統(tǒng)中，為最小化權(quán)限，Web服務(wù)進程最適合以哪種機制運行()A.rootB.普通用戶+CapabilitiesC.setuid0D.關(guān)閉SELinux答案：B解析：普通用戶配合細粒度Capabilities可限制特權(quán)，兼顧安全與功能。5.針對容器逃逸，最應(yīng)重點加固的內(nèi)核功能為()A.NetfilterB.seccompC.cgroupsD.KVM答案：B解析：seccomp可限制系統(tǒng)調(diào)用，顯著降低容器利用內(nèi)核漏洞逃逸風(fēng)險。6.在IPv6網(wǎng)絡(luò)中，用于替代ARP的協(xié)議是()A.NDPB.IGMPv6C.DHCPv6D.RSVP答案：A解析：鄰居發(fā)現(xiàn)協(xié)議NDP完成鏈路地址解析、重復(fù)地址檢測等功能。7.關(guān)于勒索軟件橫向移動常用技術(shù)，下列哪項出現(xiàn)頻率最高()A.利用SQL注入B.利用弱口令+RDPC.利用XSSD.利用CSRF答案：B解析：弱口令與暴露RDP是勒索軟件快速橫向滲透的主要入口。8.在PKI體系中，負責(zé)頒發(fā)CRL的實體是()A.RAB.VAC.CAD.OCSPResponder答案：C解析：CA簽發(fā)證書并發(fā)布證書撤銷列表CRL。9.以下哪項最能有效降低API接口的撞庫風(fēng)險()A.返回詳細錯誤碼B.啟用圖形驗證碼+速率限制C.使用HTTP200統(tǒng)一狀態(tài)D.關(guān)閉日志記錄答案：B解析：驗證碼與速率限制可顯著降低自動化撞庫效率。10.關(guān)于同態(tài)加密，下列描述正確的是()A.只能在解密后進行運算B.支持密文域運算且結(jié)果解密等價于明文運算C.僅適用于對稱密鑰場景D.無需密鑰管理答案：B解析：同態(tài)加密允許在不解密情況下對密文運算，結(jié)果解密后等同于明文直接運算結(jié)果。11.在Windows日志中，可查看Kerberos身份驗證失敗事件的最主要EventID為()A.4624B.4625C.4672D.4648答案：B解析：4625記錄登錄失敗，包括Kerberos失敗原因代碼。12.針對機器學(xué)習(xí)模型投毒攻擊，最有效的防御思路是()A.增加模型層數(shù)B.數(shù)據(jù)清洗+魯棒聚合C.降低學(xué)習(xí)率D.關(guān)閉正則化答案：B解析：在訓(xùn)練前檢測異常樣本，并采用魯棒聚合算法可緩解投毒。13.在5G核心網(wǎng)中，用于實現(xiàn)切片隔離的關(guān)鍵技術(shù)為()A.GTP-UB.NFVC.SBAD.NetworkSliceSubnetInstance答案：D解析：NSSII通過獨立資源實例保障切片間隔離。14.以下哪項屬于軟件供應(yīng)鏈攻擊的典型表現(xiàn)()A.利用SQL注入竊取數(shù)據(jù)B.在開源庫植入后門C.暴力破解SSHD.利用緩沖區(qū)溢出提權(quán)答案：B解析：篡改第三方組件并影響下游用戶屬于供應(yīng)鏈攻擊。15.當(dāng)使用AES-GCM時，最重要的安全參數(shù)是()A.填充模式B.IV唯一性與隨機性C.密鑰長度256位即可，無需關(guān)注IVD.使用ECB模式作為備用答案：B解析：AES-GCM要求IV不重復(fù)，否則將破壞機密性與完整性。16.在威脅情報鉆石模型中，描述攻擊者基礎(chǔ)設(shè)施的節(jié)點是()A.AdversaryB.CapabilityC.InfrastructureD.Victim答案：C解析：Infrastructure節(jié)點記錄C2、域名、IP等基礎(chǔ)設(shè)施信息。17.關(guān)于微服務(wù)架構(gòu)安全，下列哪項措施最能降低服務(wù)間橫向移動風(fēng)險()A.所有服務(wù)共享同一數(shù)據(jù)庫賬戶B.使用mTLS+細粒度授權(quán)C.禁用健康檢查D.使用同一JWT密鑰對答案：B解析：mTLS保證雙向認證，細粒度授權(quán)限制越權(quán)調(diào)用。18.在密碼存儲中，使用bcrypt的最主要優(yōu)勢是()A.可逆加密B.內(nèi)置加鹽與可調(diào)整計算成本C.支持硬件加速D.密鑰長度固定答案：B解析：bcrypt自動處理鹽值與成本因子，抵御暴力破解。19.關(guān)于HTTP/3，下列說法正確的是()A.仍基于TCPB.基于QUIC，具備內(nèi)置加密C.廢棄TLSD.不支持0-RTT答案：B解析：HTTP/3基于QUIC，QUIC默認集成TLS1.3。20.在工業(yè)控制系統(tǒng)中，Modbus協(xié)議缺乏的安全特性是()A.地址尋址B.功能碼分類C.加密與認證D.輪詢機制答案：C解析：Modbus為明文協(xié)議，無內(nèi)置加密與身份校驗。二、多項選擇題（每題3分，共30分；每題至少有兩個正確答案，多選少選均不得分）1.以下哪些技術(shù)可用于實現(xiàn)數(shù)據(jù)脫敏()A.令牌化B.格式保持加密C.隨機化掩碼D.對稱加密并公開密鑰答案：ABC解析：D項公開密鑰失去機密性，無法脫敏。2.關(guān)于DevSecOps流水線，下列做法正確的有()A.在CI階段運行SASTB.在鏡像構(gòu)建后掃描漏洞C.將密鑰硬編碼于倉庫D.使用IaC策略進行環(huán)境加固答案：ABD解析：硬編碼密鑰違反安全編碼規(guī)范。3.以下哪些屬于常見的側(cè)信道攻擊手段()A.時序分析B.功耗分析C.緩存攻擊D.SQL注入答案：ABC解析：SQL注入屬于應(yīng)用層邏輯攻擊，非側(cè)信道。4.在零信任網(wǎng)絡(luò)中，可用來進行動態(tài)信任評估的數(shù)據(jù)源有()A.用戶地理位置B.設(shè)備健康狀態(tài)C.訪問時間D.歷史行為基線答案：ABCD解析：多維度上下文共同決定信任評分。5.以下哪些措施可有效提升電子郵件安全性()A.啟用SPF、DKIM、DMARCB.強制TLS傳輸C.關(guān)閉反病毒網(wǎng)關(guān)D.使用MIME加密答案：ABD解析：關(guān)閉網(wǎng)關(guān)會降低檢測能力。6.針對云存儲桶數(shù)據(jù)泄露，可采取的防護手段包括()A.開啟BucketPolicy細粒度授權(quán)B.禁止公共讀寫C.啟用服務(wù)端加密D.使用匿名目錄列表答案：ABC解析：匿名列表會暴露對象信息。7.以下哪些算法屬于后量子密碼候選方案()A.CRYSTALS-KYBERB.DilithiumC.RSA-4096D.Falcon答案：ABD解析：RSA不屬于后量子算法。8.在物聯(lián)網(wǎng)設(shè)備固件安全審計中，應(yīng)重點檢查的內(nèi)容有()A.硬編碼證書B.調(diào)試接口暴露C.OTA簽名驗證D.默認口令答案：ABCD解析：均為常見高危問題。9.以下哪些行為可能觸發(fā)GDPR高額罰款()A.未進行DPIAB.數(shù)據(jù)泄露72小時內(nèi)未通報C.獲得明確同意處理敏感數(shù)據(jù)D.未任命DPO且大規(guī)模處理數(shù)據(jù)答案：ABD解析：C項屬于合規(guī)行為。10.關(guān)于欺騙防御技術(shù)，下列說法正確的有()A.蜜罐可延緩攻擊并收集情報B.蜜票屬于主動欺騙C.欺騙技術(shù)會提升誤報D.高交互蜜罐風(fēng)險低于低交互答案：AB解析：高交互蜜罐風(fēng)險更高；誤報通常降低。三、判斷題（每題1分，共10分；正確打“√”，錯誤打“×”）1.對稱加密算法適用于密鑰分發(fā)場景，無需考慮密鑰交換問題。()答案：×解析：對稱加密需安全交換密鑰，否則易被竊聽。2.使用JWT時，將算法設(shè)置為“none”可提高性能且無害。()答案：×解析：alg=none會丟棄簽名，導(dǎo)致偽造風(fēng)險。3.在Linux中，僅設(shè)置文件權(quán)限為600即可保證任何用戶無法讀取。()答案：×解析：root用戶仍可讀?。恍杞Y(jié)合MAC與加密。4.全磁盤加密能夠防止物理盜竊導(dǎo)致的數(shù)據(jù)泄露。()答案：√解析：無密鑰情況下磁盤數(shù)據(jù)不可讀。5.量子密鑰分發(fā)QKD可檢測中間人攻擊。()答案：√解析：量子態(tài)測量會引入誤碼，可被發(fā)現(xiàn)。6.使用VPN后，可完全忽略應(yīng)用層安全加固。()答案：×解析：VPN僅提供傳輸通道安全，應(yīng)用層仍需防護。7.在CI/CD環(huán)境中，將密鑰存儲于環(huán)境變量比硬編碼倉庫更安全。()答案：√解析：環(huán)境變量可避免提交到版本庫。8.所有哈希算法均適用于密碼存儲場景。()答案：×解析：快速哈希如SHA-256不適合，需慢哈希。9.網(wǎng)絡(luò)微分段技術(shù)可減少東西向流量攻擊面。()答案：√解析：細粒度隔離限制橫向移動。10.使用HTTPS即可防御所有中間人攻擊，無需證書校驗。()答案：×解析：證書校驗是HTTPS防MITM關(guān)鍵步驟。四、填空題（每空2分，共20分）1.在TLS1.3中，默認支持的密鑰交換算法包括_和_等。答案：X25519、secp256r12.用于實現(xiàn)內(nèi)存安全的Rust語言核心機制是_系統(tǒng)和_模型。答案：所有權(quán)、借用檢查3.在Windows域環(huán)境中，用于實現(xiàn)Kerberos票據(jù)生命周期的默認最大時長為___小時。答案：104.國家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護》最新版本簡稱___。答案：等保2.05.針對機器學(xué)習(xí)模型隱私推理攻擊，最常用的防御方法是___。答案：差分隱私6.在容器鏡像掃描中，常用開源工具___可對CVE進行靜態(tài)分析。答案：Clair7.用于衡量入侵檢測系統(tǒng)性能的指標(biāo)中，誤報率英文縮寫為___。答案：FPR8.在IPv6地址中，用于本地鏈路通信的前綴為___。答案：fe80::/109.針對藍牙BLE通信，最簡化的配對加密模式稱為___模式。答案：JustWorks10.在OWASPTop102021中，排名首位的是___。答案：訪問控制失效五、簡答題（每題10分，共30分）1.請簡述零信任架構(gòu)落地的五大關(guān)鍵技術(shù)要素，并給出實施優(yōu)先級排序理由。(1).身份與訪問管理（IAM）：統(tǒng)一身份源，支持MFA，為零信任基礎(chǔ)。

(2).設(shè)備安全與合規(guī)：持續(xù)評估設(shè)備健康，防止不安全終端接入。

(3).網(wǎng)絡(luò)微分段與軟件定義邊界（SDP）：替代傳統(tǒng)邊界，細化訪問控制。

(4).動態(tài)信任評估與策略引擎：基于上下文實時計算風(fēng)險評分并決策。

(5).數(shù)據(jù)分級與加密：對核心數(shù)據(jù)實施分類、加密、DLP，保障最終資產(chǎn)。

優(yōu)先級理由：先解決“誰”在訪問，再確認“設(shè)備”是否可信，隨后控制“通道”，再動態(tài)評估“行為”，最后保護“數(shù)據(jù)”本身。2.結(jié)合NISTSP800-207，說明微服務(wù)環(huán)境中如何使用服務(wù)網(wǎng)格（ServiceMesh）實現(xiàn)零信任通信，并列舉兩項安全策略配置示例。(1).通過Sidecar代理實現(xiàn)mTLS，所有服務(wù)間流量默認加密并雙向認證。

(2).利用網(wǎng)格控制面下發(fā)細粒度授權(quán)策略，如基于服務(wù)身份、請求方法、路徑的允許/拒絕規(guī)則。

(3).配置示例1：拒絕生產(chǎn)環(huán)境服務(wù)對測試命名空間的任何調(diào)用，防止數(shù)據(jù)越界。

(4).配置示例2：對支付服務(wù)啟用嚴(yán)格JWT校驗，并強制二次認證頭，確保高敏接口安全。3.請闡述量子計算對