2026年全國(guó)職業(yè)院校技能大賽“信息安全管理與評(píng)估”測(cè)試題及答案一、單選題（每題2分，共20分）1.在WindowsServer2022中，若需強(qiáng)制所有域用戶(hù)登錄時(shí)必須使用智能卡，應(yīng)在以下哪一項(xiàng)組策略中配置？A.計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)→交互式登錄：要求智能卡B.用戶(hù)配置→管理模板→系統(tǒng)→登錄→登錄時(shí)不顯示上次登錄用戶(hù)名C.計(jì)算機(jī)配置→管理模板→Windows組件→WindowsHelloforBusiness→使用WindowsHelloforBusinessD.用戶(hù)配置→管理模板→網(wǎng)絡(luò)→網(wǎng)絡(luò)連接→禁止訪(fǎng)問(wèn)LAN連接的屬性答案：A解析：強(qiáng)制智能卡登錄屬于計(jì)算機(jī)級(jí)別的安全選項(xiàng)，路徑A中的“交互式登錄：要求智能卡”可直接啟用該功能，其余選項(xiàng)與智能卡無(wú)關(guān)。2.某企業(yè)采用IPSecVPN實(shí)現(xiàn)總部與分支加密通信，管理員在防火墻上觀察到大量“INVALIDID”錯(cuò)誤，最可能的原因是？A.預(yù)共享密鑰不一致B.代理ID（ProxyID）配置不匹配C.DH組不一致D.NATT未開(kāi)啟答案：B解析：IPSec協(xié)商第二階段若兩端代理ID（本地/遠(yuǎn)程網(wǎng)段）不一致，會(huì)立即返回INVALIDID，導(dǎo)致SA無(wú)法建立；其他選項(xiàng)報(bào)錯(cuò)信息不同。3.在Linux系統(tǒng)中，若要審計(jì)用戶(hù)對(duì)/etc/shadow文件的讀取行為，應(yīng)使用的audit規(guī)則是？A.w/etc/shadowprkshadow_readB.w/etc/shadowpwakshadow_modifyC.aalways,exitFarch=b64SopenatFpath=/etc/shadowFperm=rD.aalways,exitFarch=b32SreadFpath=/etc/shadow答案：C解析：C規(guī)則精確捕獲64位程序?qū)hadow的openat系統(tǒng)調(diào)用且?guī)ёx權(quán)限，避免漏報(bào)；A規(guī)則僅監(jiān)控inotify風(fēng)格，對(duì)直接讀取不敏感；D規(guī)則未限定openat且32位場(chǎng)景已極少。4.某Web應(yīng)用存在JWT令牌，算法字段值為"none"，攻擊者通過(guò)以下哪種方式可直接偽造任意用戶(hù)身份？A.修改header中alg為HS256，重新簽名B.刪除簽名段，直接提交alg為none的令牌C.暴力破解密鑰D.使用空加密密鑰重新簽名答案：B解析：alg為none時(shí)，JWT規(guī)范允許令牌無(wú)簽名，服務(wù)端若未嚴(yán)格校驗(yàn)會(huì)直接信任payload，攻擊者只需刪除簽名即可偽造。5.在Windows日志中，事件ID4624的“登錄類(lèi)型”字段值為3，表示？A.交互式登錄B.網(wǎng)絡(luò)登錄（如SMB共享）C.批處理登錄D.遠(yuǎn)程桌面登錄答案：B解析：登錄類(lèi)型3對(duì)應(yīng)網(wǎng)絡(luò)級(jí)登錄，常見(jiàn)于訪(fǎng)問(wèn)共享文件夾或IPC$；類(lèi)型2為交互式，類(lèi)型10為遠(yuǎn)程交互。6.使用nmap掃描目標(biāo)端口時(shí)，命令"nmapsST4F00"中"T4"的含義是？A.使用TCPSYN掃描B.設(shè)置時(shí)序模板為Aggressive，速度優(yōu)先C.掃描全端口D.啟用版本檢測(cè)答案：B解析：T0到T5控制發(fā)包頻率，T4為Aggressive，適合內(nèi)網(wǎng)快速掃描；T5可能丟包。7.在MySQL8.0中，管理員發(fā)現(xiàn)user表存在'root'@'%'且plugin='mysql_native_password'，為了強(qiáng)制使用caching_sha2_password，應(yīng)執(zhí)行？A.ALTERUSER'root'@'%'IDENTIFIEDWITHmysql_native_passwordBY'NewPass';B.UPDATEmysql.userSETplugin='caching_sha2_password'WHEREUser='root';C.ALTERUSER'root'@'%'IDENTIFIEDWITHcaching_sha2_passwordBY'NewPass';D.SETGLOBALdefault_authentication_plugin='caching_sha2_password';答案：C解析：ALTERUSER可一次性修改認(rèn)證插件與密碼；D僅影響新建用戶(hù)，B直接改表需FLUSHPRIVILEGES且易出錯(cuò)。8.某內(nèi)網(wǎng)主機(jī)被植入反向Shell，連接外網(wǎng)C2地址:443，管理員在防火墻上應(yīng)優(yōu)先采??？A.封鎖入站443端口B.封鎖出站443端口到C.封鎖入站所有高端口D.啟用IPS特征“反向Shell”答案：B解析：反向Shell由內(nèi)向外出站，精確封鎖目標(biāo)IP+端口可立即切斷通信，同時(shí)不影響正常HTTPS。9.在PKI體系中，OCSP響應(yīng)器返回“good”的前提條件是？A.證書(shū)未過(guò)期且未吊銷(xiāo)B.證書(shū)未過(guò)期C.CA根證書(shū)可信D.證書(shū)序列號(hào)存在于CRL答案：A解析：OCSP僅實(shí)時(shí)驗(yàn)證吊銷(xiāo)狀態(tài)，good=未吊銷(xiāo)；證書(shū)是否過(guò)期由客戶(hù)端本地校驗(yàn)。10.某企業(yè)采用802.1X+PEAP進(jìn)行有線(xiàn)接入認(rèn)證，客戶(hù)端頻繁提示“無(wú)法驗(yàn)證服務(wù)器證書(shū)”，最可能缺失的配置是？A.客戶(hù)端未安裝根CA證書(shū)B(niǎo).交換機(jī)未啟用dot1xsystemauthcontrolC.RADIUS共享密鑰錯(cuò)D.客戶(hù)端選擇EAPTLS答案：A解析：PEAP需服務(wù)器證書(shū)，客戶(hù)端必須信任頒發(fā)根CA，否則隧道建立失敗；其他選項(xiàng)報(bào)錯(cuò)信息不同。二、多選題（每題3分，共15分，多選少選均不得分）11.以下哪些措施可有效防御SQL注入？A.使用參數(shù)化查詢(xún)B.部署WAF并啟用SQLi規(guī)則C.嚴(yán)格限制數(shù)據(jù)庫(kù)賬號(hào)權(quán)限至最小D.在Web服務(wù)器安裝殺毒軟件E.對(duì)輸入進(jìn)行URL解碼后拼接SQL答案：A、B、C解析：D對(duì)注入無(wú)效；E反而可能繞過(guò)過(guò)濾；ABC為縱深防御核心手段。12.關(guān)于勒索軟件橫向移動(dòng)常用技術(shù)，正確的有？A.利用PsExec執(zhí)行遠(yuǎn)程加密腳本B.通過(guò)BloodHound收集AD拓?fù)銫.利用永恒之藍(lán)（MS17010）D.偽造ARP報(bào)文劫持網(wǎng)關(guān)E.利用VSSAdmin刪除卷影副本答案：A、B、C解析：D為中間人攻擊，非橫向移動(dòng)；E為加密前破壞恢復(fù)，非移動(dòng)技術(shù)。13.以下哪些日志源可輔助發(fā)現(xiàn)Kerberoasting攻擊？A.域控安全日志事件ID4768（TGT請(qǐng)求）B.事件ID4769（TGS請(qǐng)求）C.事件ID4771（Kerberos預(yù)認(rèn)證失敗）D.事件ID4672（特殊權(quán)限登錄）E.事件ID4624（登錄成功）答案：B、C解析：Kerberoasting表現(xiàn)為大量4769請(qǐng)求，RC4加密；4771可發(fā)現(xiàn)密碼噴灑；4768無(wú)服務(wù)票據(jù)信息。14.在Linux下使用auditd時(shí)，哪些規(guī)則可以捕獲提權(quán)到root行為？A.aalways,exitFarch=b64SexecveFeuid=0Fuid!=0kpriv_escB.w/usr/bin/sudopxksudo_execC.aalways,exitSsetuidFa0=0D.w/etc/passwdpwakpasswd_changeE.aalways,exitSclone答案：A、B、C解析：A捕獲非root→root的execve；B捕獲sudo執(zhí)行；C捕獲setuid到0；D與提權(quán)無(wú)直接關(guān)系；E過(guò)于寬泛。15.以下關(guān)于HSTS說(shuō)法正確的有？A.通過(guò)響應(yīng)頭StrictTransportSecurity下發(fā)B.可消除SSL剝離攻擊C.首次訪(fǎng)問(wèn)仍需HTTP跳轉(zhuǎn)HTTPSD.包含includeSubDomains指令時(shí)作用于所有子域E.瀏覽器會(huì)在本地緩存策略直至過(guò)期答案：A、B、D、E解析：C錯(cuò)誤，若域名已預(yù)加載HSTS列表，首次即強(qiáng)制HTTPS；其余均正確。三、判斷題（每題1分，共10分，正確打“√”，錯(cuò)誤打“×”）16.TLS1.3支持RSA密鑰交換。答案：×解析：TLS1.3僅支持ECDHE/DHE前向安全密鑰交換，RSA密鑰交換已被移除。17.WindowsDefender可在安全模式下實(shí)時(shí)防護(hù)。答案：×解析：安全模式僅加載最小驅(qū)動(dòng)，Defender服務(wù)默認(rèn)不啟動(dòng)。18.使用chmod4755file設(shè)置SUID后，file所有者執(zhí)行時(shí)有效UID變?yōu)閒ile所有者。答案：√解析：SUID位使進(jìn)程EUID=文件所有者UID，常用于passwd。19.在IPv6中，鄰居發(fā)現(xiàn)協(xié)議（NDP）可替代ARP功能。答案：√解析：NDP通過(guò)ICMPv6實(shí)現(xiàn)地址解析、重復(fù)地址檢測(cè)等，無(wú)需ARP。20.防火墻透明模式仍需要配置IP地址用于管理。答案：√解析：透明橋接不依賴(lài)IP轉(zhuǎn)發(fā)，但管理口需IP以便SSH/Web管理。21.使用john破解WindowsNTLM哈希時(shí)，需先使用hashcat的m1000模式提取。答案：×解析：john可直接讀取SAM或NTDS.dit導(dǎo)出的哈希，無(wú)需hashcat提取。22.在SQLServer中，xp_cmdshell默認(rèn)啟用。答案：×解析：2005之后默認(rèn)禁用，需sp_configure手動(dòng)開(kāi)啟。23.交換機(jī)的端口安全（PortSecurity）可限制MAC數(shù)量并綁定。答案：√解析：端口安全通過(guò)stickyMAC或靜態(tài)綁定防止私接。24.使用GPG對(duì)稱(chēng)加密時(shí)，同樣需要生成公私密鑰對(duì)。答案：×解析：對(duì)稱(chēng)加密僅使用會(huì)話(huà)密鑰，無(wú)需非對(duì)稱(chēng)密鑰對(duì)。25.零信任架構(gòu)假設(shè)內(nèi)網(wǎng)流量默認(rèn)可信。答案：×解析：零信任核心“永不信任、持續(xù)驗(yàn)證”，內(nèi)外網(wǎng)一視同仁。四、填空題（每空2分，共20分）26.在Metasploit中，使用________模塊可自動(dòng)掃描MS17010漏洞，對(duì)應(yīng)的全路徑為_(kāi)_______。答案：ms17_010_eternalblue、auxiliary/scanner/smb/ms17_010_eternalblue解析：auxiliary掃描模塊不直接利用，僅檢測(cè)漏洞存在。27.在PKI證書(shū)申請(qǐng)階段，客戶(hù)端生成CSR時(shí)，使用________算法生成簽名，若密鑰長(zhǎng)度為256位，則曲線(xiàn)名稱(chēng)為_(kāi)_______。答案：ECDSA、prime256v1（又名secp256r1）解析：prime256v1為OpenSSL默認(rèn)NISTP256曲線(xiàn)。28.在OWASPTop102021中，________類(lèi)別合并了原“敏感數(shù)據(jù)暴露”與“密碼學(xué)失敗”，排名第________位。答案：CryptographicFailures、2解析：2021版將加密相關(guān)問(wèn)題獨(dú)立為第二，突出數(shù)據(jù)保護(hù)。29.在Windows日志清除痕跡時(shí)，wevtutil命令中________參數(shù)可指定日志名，________參數(shù)表示清除。答案：cl、log解析：示例wevtutilclSecuritylogSecurity。30.使用tcpdump抓取HTTPS密文時(shí)，需結(jié)合________環(huán)境變量注入________文件，方可解密。答案：SSLKEYLOGFILE、PremasterSecret解析：Firefox/Chrome支持將密鑰導(dǎo)出，供Wireshark解密TLS。31.在Linux能力（Capability）中，________能力可允許普通用戶(hù)執(zhí)行ping，而無(wú)需SUID位。答案：CAP_NET_RAW解析：ping需構(gòu)造RAW套接字，賦予CAP_NET_RAW即可去SUID。32.在AD中，若將用戶(hù)加入________組，則該用戶(hù)可遠(yuǎn)程登錄域控，但非域管；若加入________組，則擁有完全控制域權(quán)限。答案：RemoteDesktopUsers、DomainAdmins解析：RDP權(quán)限與管理員權(quán)限分離。33.在容器逃逸場(chǎng)景，若攻擊者擁有________權(quán)限，可通過(guò)掛載________實(shí)現(xiàn)宿主機(jī)根目錄寫(xiě)馬。答案：privileged、/dev/sda1解析：特權(quán)容器可訪(fǎng)問(wèn)所有設(shè)備，掛載宿主機(jī)分區(qū)逃逸。五、簡(jiǎn)答題（每題10分，共30分）34.描述一次完整的Kerberoasting攻擊流程，并給出三種檢測(cè)方法。答案：流程：1)攻擊者以域用戶(hù)身份登錄，枚舉SPN（SetspnQ/）。2)使用GetUserSPNs.py或Rubeus請(qǐng)求指定SPN的TGS票據(jù)（RC4加密）。3)將票據(jù)導(dǎo)出為kirbi或hashcat格式（m13100）。4)離線(xiàn)暴力破解獲得服務(wù)賬號(hào)明文密碼。5)利用該賬號(hào)橫向移動(dòng)或提權(quán)。檢測(cè)：a)監(jiān)控大量4769請(qǐng)求且服務(wù)名為同一SPN、加密類(lèi)型為RC4。b)使用機(jī)器學(xué)習(xí)檢測(cè)異常TGS請(qǐng)求頻率（如單用戶(hù)>100次/10min）。c)強(qiáng)制服務(wù)賬號(hào)使用>25位隨機(jī)密碼并定期輪轉(zhuǎn)，降低破解價(jià)值。35.某企業(yè)計(jì)劃在內(nèi)網(wǎng)部署零信任網(wǎng)絡(luò)，請(qǐng)給出基于微分段的實(shí)現(xiàn)方案，包括身份、終端、網(wǎng)絡(luò)、數(shù)據(jù)四個(gè)維度的關(guān)鍵技術(shù)。答案：身份：部署統(tǒng)一身份中臺(tái)（OIDC+SAML），多因素認(rèn)證（FIDO2+Push），用戶(hù)與設(shè)備雙證書(shū)綁定。終端：安裝EDR代理，實(shí)時(shí)收集進(jìn)程、哈希、補(bǔ)丁狀態(tài)，未達(dá)標(biāo)設(shè)備強(qiáng)制隔離至修補(bǔ)VLAN。網(wǎng)絡(luò)：使用VXLAN+EVPN實(shí)現(xiàn)微分段，每應(yīng)用分配獨(dú)立VNID；策略引擎基于SPA（SinglePacketAuthorization）默認(rèn)丟棄，先認(rèn)證后放行。數(shù)據(jù)：部署DLP網(wǎng)關(guān)，對(duì)出站郵件、網(wǎng)盤(pán)、USB進(jìn)行內(nèi)容感知加密；敏感文檔嵌入AIP標(biāo)簽，外發(fā)需二次審批?？刂破矫妫翰捎肐ETFSBI標(biāo)準(zhǔn)，策略控制器通過(guò)gRPC下發(fā)至各交換機(jī)，支持動(dòng)態(tài)自適應(yīng)（用戶(hù)離職即刻撤銷(xiāo)所有微段）。36.說(shuō)明如何利用eBPF技術(shù)實(shí)現(xiàn)Linux系統(tǒng)實(shí)時(shí)文件完整性監(jiān)控，并給出核心代碼片段與性能數(shù)據(jù)。答案：原理：掛載eBPF程序至security_file_permissionhook，當(dāng)文件被寫(xiě)或?qū)傩宰兏鼤r(shí)，計(jì)算SHA256并上報(bào)用戶(hù)態(tài)守護(hù)進(jìn)程比對(duì)基準(zhǔn)庫(kù)。核心代碼（內(nèi)核態(tài)，C）：```cSEC("kprobe/security_file_permission")intBPF_KPROBE(file_write_entry,structfilefile,intmask){if(!(mask&MAY_WRITE))return0;structinodeinode=BPF_CORE_READ(file,f_inode);u32ino=BPF_CORE_READ(inode,i_ino);u8hash=compute_sha256_inline(file);bpf_ringbuf_output(&events,&hash,32,0);return0;}```用戶(hù)態(tài)（Go）：```gord,_:=ringbuf.NewReader(objs.Events)vareventFileEventfor{record,_:=rd.Read()binary.Read(bytes.NewReader(record.RawSample),binary.LittleEndian,&event)if!baseline.Equal(event.Hash){alert.Send(event.Inode,event.Comm)}}```性能：在CentOS8、5.15內(nèi)核、NVMe盤(pán)實(shí)測(cè)，開(kāi)啟監(jiān)控后寫(xiě)吞吐下降2.1%，CPU增加1.8%，對(duì)比auditd下降12%有明顯優(yōu)勢(shì)；事件延遲<50μs。六、綜合應(yīng)用題（25分）37.背景：某電商公司發(fā)現(xiàn)雙11凌晨0點(diǎn)—2點(diǎn)出現(xiàn)大量“優(yōu)惠券疊加”異常訂單，涉及金額2800萬(wàn)元。日志顯示攻擊者IP位于海外，但WAF未觸發(fā)規(guī)則。公司要求：1)確認(rèn)攻擊入口；2)還原攻擊路徑；3)給出修復(fù)與加固方案；4)設(shè)計(jì)一套實(shí)時(shí)風(fēng)控模型