2025年全國(guó)網(wǎng)絡(luò)信息安全技術(shù)知識(shí)競(jìng)賽題庫(kù)50題及答案一、單項(xiàng)選擇題（每題1分，共15分。每題只有一個(gè)正確答案，請(qǐng)將正確選項(xiàng)字母填入括號(hào)內(nèi)）1.我國(guó)《網(wǎng)絡(luò)安全法》正式施行的日期是（）A.2016年11月7日?B.2017年6月1日?C.2018年1月1日?D.2019年12月1日答案：B2.在SSL/TLS握手階段，用于協(xié)商對(duì)稱加密算法的是（）A.ClientHello?B.ServerHelloDone?C.ChangeCipherSpec?D.Finished答案：A3.下列哪一項(xiàng)不是對(duì)稱加密算法（）A.SM4?B.AES256?C.RSA2048?D.3DES答案：C4.關(guān)于零信任架構(gòu)的核心原則，錯(cuò)誤的是（）A.永不信任，持續(xù)驗(yàn)證?B.默認(rèn)信任內(nèi)網(wǎng)流量?C.最小權(quán)限訪問(wèn)?D.動(dòng)態(tài)訪問(wèn)控制答案：B5.在Windows系統(tǒng)中，用于強(qiáng)制完整性控制的標(biāo)簽級(jí)別中，等級(jí)最高的是（）A.Medium?B.High?C.System?D.TrustedInstaller答案：C6.以下哪條命令可以查看Linux系統(tǒng)當(dāng)前已加載的內(nèi)核模塊（）A.lsmod?B.lsblk?C.lspci?D.lsattr答案：A7.針對(duì)日志文件進(jìn)行完整性保護(hù)時(shí)，最常用的哈希算法組合是（）A.MD5+CRC32?B.SHA1?C.SHA256+HMAC?D.RIPEMD160答案：C8.在IPv6中，用于替代ARP的協(xié)議是（）A.NDP?B.IGMPv6?C.DHCPv6?D.MLD答案：A9.關(guān)于GDPR中對(duì)數(shù)據(jù)泄露通知時(shí)限的要求，控制者應(yīng)在知悉后最遲（）小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告。A.12?B.24?C.48?D.72答案：D10.在公鑰基礎(chǔ)設(shè)施PKI中，負(fù)責(zé)存儲(chǔ)并發(fā)布已吊銷證書的是（）A.RA?B.OCSP?C.CRL?D.CA答案：C11.以下哪類漏洞最可能被用于繞過(guò)Android應(yīng)用沙箱（）A.SQL注入?B.內(nèi)核提權(quán)?C.XSS?D.CSRF答案：B12.在等級(jí)保護(hù)2.0中，第三級(jí)系統(tǒng)應(yīng)至少每（）年完成一次測(cè)評(píng)。A.半年?B.一年?C.兩年?D.三年答案：B13.使用nmap進(jìn)行SYN掃描時(shí)，默認(rèn)發(fā)送探測(cè)的端口數(shù)量是（）A.100?B.1000?C.1024?D.65535答案：B14.在HTTP/2協(xié)議中，用于實(shí)現(xiàn)頭部壓縮的技術(shù)是（）A.gzip?B.deflate?C.HPACK?D.Brotli答案：C15.關(guān)于我國(guó)《密碼法》對(duì)核心密碼的管理要求，下列說(shuō)法正確的是（）A.可用于保護(hù)國(guó)家秘密信息?B.可境外部署?C.無(wú)需國(guó)家密碼管理局審批?D.允許個(gè)人私用答案：A二、多項(xiàng)選擇題（每題2分，共10分。每題有兩個(gè)或兩個(gè)以上正確答案，多選、少選、錯(cuò)選均不得分）16.以下哪些屬于常見(jiàn)的Web應(yīng)用防護(hù)系統(tǒng)(WAF)部署模式（）A.透明代理?B.反向代理?C.路由模式?D.橋接模式?E.旁路鏡像答案：ABD17.在Linux系統(tǒng)中，可用于實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制(MAC)的框架包括（）A.SELinux?B.AppArmor?C.Tomoyo?D.grsecurity?E.RBAC答案：ABC18.關(guān)于國(guó)密算法SM2的正確描述有（）A.基于橢圓曲線離散對(duì)數(shù)難題?B.可用于數(shù)字簽名?C.密鑰長(zhǎng)度256位?D.屬于對(duì)稱加密?E.已被ISO/IEC采納答案：ABCE19.以下哪些技術(shù)可有效防御DNS劫持（）A.DNSSEC?B.DoH?C.DoT?D.ARP綁定?E.HTTP301跳轉(zhuǎn)答案：ABC20.在云計(jì)算環(huán)境中，客戶方需承擔(dān)的安全責(zé)任包括（）A.操作系統(tǒng)補(bǔ)丁?B.數(shù)據(jù)加密?C.物理機(jī)房安全?D.虛擬化層漏洞?E.身份認(rèn)證管理答案：ABE三、填空題（每空1分，共10分）21.在TCP/IP協(xié)議棧中，端口號(hào)16位，最大可表示端口號(hào)為________。答案：6553522.使用openssl生成長(zhǎng)度為4096位的RSA私鑰，命令行參數(shù)應(yīng)為opensslgenrsaoutprivate.pem________。答案：409623.在Windows事件查看器中，安全日志對(duì)應(yīng)的日志文件路徑為%SystemRoot%\System32\winevt\Logs\________.evtx。答案：Security24.按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，安全物理環(huán)境控制點(diǎn)中，機(jī)房應(yīng)設(shè)置________區(qū)與________區(qū)，實(shí)現(xiàn)分區(qū)隔離。答案：受控、非受控25.在Python3中，使用hashlib計(jì)算字符串"abc"的SHA256十六進(jìn)制摘要，代碼為hashlib.sha256(b'abc').________()。答案：hexdigest26.在Kubernetes中，用于保存敏感信息（如密碼、令牌）的對(duì)象資源類型為________。答案：Secret27.當(dāng)利用BurpSuite進(jìn)行中間人攻擊測(cè)試時(shí)，為確保瀏覽器信任代理證書，需將Burp的CA證書導(dǎo)入瀏覽器的________存儲(chǔ)區(qū)。答案：受信任的根證書頒發(fā)機(jī)構(gòu)28.在OWASPTop102021版中，________類別指"失效的訪問(wèn)控制"。答案：A0129.在IPv6地址2001:0db8:0000:0000:0000:ff00:0042:8329中，采用零壓縮后可寫成2001:db8::ff00:________:8329。答案：4230.根據(jù)《數(shù)據(jù)安全法》，開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)________教育，提高數(shù)據(jù)安全意識(shí)和水平。答案：風(fēng)險(xiǎn)四、判斷題（每題1分，共5分。正確打"√"，錯(cuò)誤打"×"）31.TLS1.3協(xié)議中，已經(jīng)廢棄了RSA密鑰交換算法，僅支持前向安全的密鑰協(xié)商機(jī)制。（）答案：√32.在Android系統(tǒng)中，所有應(yīng)用必須申請(qǐng)android.permission.INTERNET權(quán)限才能訪問(wèn)網(wǎng)絡(luò)。（）答案：√33.使用Wireshark抓取HTTPS流量時(shí)，只要開啟混雜模式即可直接查看應(yīng)用層明文內(nèi)容。（）答案：×34.我國(guó)《個(gè)人信息保護(hù)法》規(guī)定，處理敏感個(gè)人信息必須取得個(gè)人的單獨(dú)同意。（）答案：√35.在SQL注入聯(lián)合查詢中，若列數(shù)不匹配，MySQL會(huì)返回"Columncountdoesn'tmatchvaluecount"錯(cuò)誤，可用于判斷列數(shù)。（）答案：√五、簡(jiǎn)答題（每題5分，共20分）36.簡(jiǎn)述Kerberos認(rèn)證過(guò)程中TGT的作用，并說(shuō)明為何需要預(yù)認(rèn)證。答案：TGT（TicketGrantingTicket）是用戶首次登錄時(shí)由AS（AuthenticationServer）頒發(fā)的票據(jù)，用于后續(xù)向TGS請(qǐng)求訪問(wèn)特定服務(wù)票據(jù)，避免用戶重復(fù)輸入口令。預(yù)認(rèn)證（Preauthentication）確保用戶身份真實(shí)，防止離線口令猜測(cè)攻擊；在AS_REQ階段使用用戶密鑰加密時(shí)間戳，AS解密驗(yàn)證時(shí)間戳freshness，通過(guò)后才發(fā)放TGT，有效阻止重放和暴力破解。37.概述國(guó)密算法體系中SM3、SM4、SM9三類算法的主要應(yīng)用場(chǎng)景。答案：SM3為哈希算法，用于數(shù)據(jù)完整性校驗(yàn)、數(shù)字簽名消息摘要、區(qū)塊鏈哈希鏈；SM4為分組對(duì)稱加密，用于高速數(shù)據(jù)加密，如VPN、磁盤加密、移動(dòng)支付敏感數(shù)據(jù)保護(hù)；SM9為基于標(biāo)識(shí)的公鑰密碼，無(wú)需數(shù)字證書，適用于海量設(shè)備認(rèn)證、電子郵件加密、物聯(lián)網(wǎng)輕量級(jí)場(chǎng)景，降低密鑰管理復(fù)雜度。38.說(shuō)明Linux下利用iptables實(shí)現(xiàn)狀態(tài)檢測(cè)防火墻的原理，并給出一條僅允許已建立連接訪問(wèn)SSH端口的規(guī)則。答案：iptables通過(guò)netfilter框架跟蹤連接狀態(tài)，維護(hù)連接跟蹤表，狀態(tài)包括NEW、ESTABLISHED、RELATED、INVALID。當(dāng)數(shù)據(jù)包到達(dá)，首先查連接狀態(tài)，若匹配ESTABLISHED則直接放行，否則按規(guī)則匹配。規(guī)則示例：iptablesAINPUTptcpdport22mstatestateESTABLISHEDjACCEPT39.描述零信任網(wǎng)絡(luò)中"微分段"技術(shù)的實(shí)現(xiàn)要點(diǎn)及其對(duì)橫向移動(dòng)攻擊的抑制機(jī)制。答案：微分段將網(wǎng)絡(luò)按業(yè)務(wù)、身份、數(shù)據(jù)敏感度劃分為細(xì)粒度安全區(qū)域，通過(guò)軟件定義邊界(SDP)、身份驅(qū)動(dòng)策略、加密隧道、動(dòng)態(tài)ACL實(shí)現(xiàn)訪問(wèn)控制。用戶或設(shè)備每次訪問(wèn)需重新認(rèn)證授權(quán)，僅開放最小端口路徑，阻斷攻擊者在內(nèi)網(wǎng)橫向掃描、利用漏洞橫向移動(dòng)；結(jié)合持續(xù)信任評(píng)估與行為分析，發(fā)現(xiàn)異常立即隔離，降低爆炸半徑。40.解釋HTTP頭部"ContentSecurityPolicy:defaultsrc'self';objectsrc'none'"的含義，并說(shuō)明其對(duì)防御XSS的作用。答案：該CSP指令限制頁(yè)面默認(rèn)資源（腳本、圖片、樣式等）只能加載同源，禁止加載任何插件內(nèi)容（如Flash、JavaApplet）。通過(guò)白名單機(jī)制阻止注入的外部惡意腳本執(zhí)行，即使存在XSS漏洞，攻擊者也無(wú)法引入外部域腳本，顯著降低腳本注入風(fēng)險(xiǎn)。六、綜合應(yīng)用題（共40分）41.日志分析題（10分）某Web服務(wù)器訪問(wèn)日志片段如下（已脫敏）：5[12/Mar/2025:14:32:11+0800]"GET/login.php?user=admin'%20OR%201=1&pass=fooHTTP/1.1"20012345[12/Mar/2025:14:32:12+0800]"GET/admin/dashboard.phpHTTP/1.1"2005678（1）指出攻擊類型并說(shuō)明判斷依據(jù)；（3分）（2）給出兩條針對(duì)該攻擊的代碼層修復(fù)建議；（4分）（3）若使用ModSecurity開源WAF，寫一條可阻斷此類攻擊的正則規(guī)則。（3分）答案：（1）SQL注入聯(lián)合身份驗(yàn)證繞過(guò)。GET參數(shù)user出現(xiàn)"'OR1=1"經(jīng)典注入載荷，使SQL語(yǔ)句恒真，繞過(guò)密碼校驗(yàn)后直接登錄。（2）a.使用參數(shù)化查詢/預(yù)處理語(yǔ)句，如PHPPDO：$stmt=$pdo>prepare("SELECTFROMusersWHEREuser=?ANDpass=?");$stmt>execute([$user,$pass]);b.嚴(yán)格輸入校驗(yàn)，采用白名單限制用戶名僅允許字母數(shù)字下劃線，長(zhǎng)度不超過(guò)20。（3）SecRuleARGS:user"@rx(?i)(or|and)\s+1=1""id:1001,phase:2,block,msg:'SQLInjectiondetected',logdata:%{MATCHED_VAR}"42.密碼學(xué)計(jì)算題（10分）在DiffieHellman密鑰交換中，公共參數(shù)p=23，g=5，A選擇的私鑰a=6，B選擇的私鑰b=15。（1）計(jì)算A的公鑰A_pub；（2分）（2）計(jì)算B的公鑰B_pub；（2分）（3）求雙方共享密鑰K；（3分）（4）說(shuō)明中間人攻擊對(duì)該協(xié)議的影響并提出一條抵御措施。（3分）答案：（1）A_pub=g^amodp=5^6mod23=15625mod23=8（2）B_pub=g^bmodp=5^15mod23=30517578125mod23=19（3）K=B_pub^amodp=19^6mod23=47045881mod23=2?或K=A_pub^bmodp=8^15mod23=2（4）中間人攻擊者可在交換公鑰時(shí)分別與A、B建立不同密鑰，解密再加密流量。抵御措施：使用數(shù)字簽名對(duì)公鑰進(jìn)行認(rèn)證，如ECDSA簽名，確保公鑰來(lái)源真實(shí)。43.網(wǎng)絡(luò)取證題（10分）某公司內(nèi)網(wǎng)主機(jī)A（IP）被懷疑向外部C2服務(wù)器回連。提供pcap文件，已過(guò)濾出相關(guān)流。（1）使用Wireshark過(guò)濾出該主機(jī)所有TCP流，寫出顯示過(guò)濾器；（2分）（2）發(fā)現(xiàn)TLSClientHello中SNI字段為""，但證書頒發(fā)者CN為"FakeCA"，說(shuō)明存在的威脅；（3分）（3）給出兩條定位真實(shí)C2地址的方法；（3分）（4）若需固化證據(jù)，說(shuō)明應(yīng)保存哪些對(duì)象并給出哈希計(jì)算命令。（2分）答案：（1）ip.addr==andtcp（2）存在HTTPS劫持或偽造域名，攻擊者使用自簽證書冒充微軟更新域，繞過(guò)簡(jiǎn)單域名白名單，實(shí)現(xiàn)加密通道回連。（3）a.檢查DNS響應(yīng)，比對(duì)Answers字段A記錄與SNI是否一致；b.追蹤TLS流，查看證書SubjectAlternativeName擴(kuò)展，尋找異常域名；c.使用Suricata規(guī)則alerttls$HOME_NETany>$EXTERNAL_NET443(msg:"FakeC2";tls.cert_subject;content:"FakeCA";sid:1;)（4）保存pcap原始文件、提取的證書、截圖。命令：sha256sumevidence.pcapfake.crt44.安全開發(fā)題（10分）某JavaSpringBoot應(yīng)用提供文件上傳功能，需求：僅允許上傳jpg/png，大小≤2MB，保存目錄/webapp/uploads。（1）指出未做防護(hù)可能導(dǎo)致的兩種高危漏洞；（2分）（2）給出后端代碼層校驗(yàn)文件類型的可靠實(shí)現(xiàn)（關(guān)鍵代碼片段）；（4分）（3）說(shuō)明如何對(duì)上傳目錄進(jìn)行安全配置，防止腳本執(zhí)行；（2分）（4）若使用CDN，提出一條防止敏感文件泄露的URL策略。（2分）答案：（