2025年網(wǎng)絡(luò)安全與信息保護(hù)課程考試試卷及答案一、單項(xiàng)選擇題（每題2分，共20分。每題只有一個(gè)正確答案，請(qǐng)將正確選項(xiàng)字母填入括號(hào)內(nèi)）1.在《中華人民共和國(guó)個(gè)人信息保護(hù)法》中，處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的（）。A.默示同意B.書面同意C.單獨(dú)同意D.事后追認(rèn)答案：C2.下列哪一項(xiàng)最能有效抵御重放攻擊（ReplayAttack）？（）A.對(duì)稱加密B.數(shù)字信封C.時(shí)間戳與一次性隨機(jī)數(shù)D.鏈路加密答案：C3.在SSL/TLS握手過(guò)程中，用于協(xié)商對(duì)稱會(huì)話密鑰的密鑰交換算法是（）。A.RSAB.DH/ECDHC.SHA256D.HMAC答案：B4.依據(jù)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品或服務(wù)可能影響國(guó)家安全的，應(yīng)當(dāng)通過(guò)（）。A.等保測(cè)評(píng)B.漏洞掃描C.國(guó)家安全審查D.源代碼托管答案：C5.下列關(guān)于零信任（ZeroTrust）架構(gòu)的描述，錯(cuò)誤的是（）。A.默認(rèn)不信任任何主體B.先連接后認(rèn)證C.動(dòng)態(tài)訪問(wèn)控制D.最小權(quán)限原則答案：B6.在Windows系統(tǒng)中，能夠強(qiáng)制對(duì)所有登錄用戶進(jìn)行多因素認(rèn)證的底層組件是（）。A.KerberosB.NTLMC.WindowsHelloforBusinessD.SAM答案：C7.使用AES256GCM模式加密時(shí)，初始化向量（IV）推薦長(zhǎng)度為（）。A.64位B.96位C.128位D.256位答案：B8.下列哪條命令可直接查看Linux系統(tǒng)當(dāng)前已加載的內(nèi)級(jí)Rootkit模塊？（）A.lsmodB.lsrootkitC.chkrootkit–lD.rmmod–list答案：A9.在OAuth2.0授權(quán)碼模式下，客戶端通過(guò)（）換取訪問(wèn)令牌。A.授權(quán)碼B.刷新令牌C.用戶密碼D.客戶端密鑰答案：A10.依據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》，數(shù)據(jù)處理者累計(jì)向境外提供超過(guò)（）條個(gè)人信息，必須申報(bào)安全評(píng)估。A.10萬(wàn)B.50萬(wàn)C.100萬(wàn)D.1000萬(wàn)答案：C二、多項(xiàng)選擇題（每題3分，共15分。每題有兩個(gè)或兩個(gè)以上正確答案，多選、少選、錯(cuò)選均不得分）11.以下哪些屬于常見(jiàn)的側(cè)信道攻擊方式？（）A.時(shí)序分析B.功耗分析C.故障注入D.字典攻擊答案：A、B、C12.關(guān)于國(guó)密算法SM2、SM3、SM4，下列說(shuō)法正確的有（）。A.SM2是基于橢圓曲線的公鑰加密算法B.SM3輸出256位雜湊值C.SM4分組長(zhǎng)度為128位D.SM4密鑰長(zhǎng)度固定為192位答案：A、B、C13.在容器安全場(chǎng)景中，以下哪些措施能夠有效降低容器逃逸風(fēng)險(xiǎn)？（）A.啟用SeccompB.關(guān)閉UserNamespaceC.使用非特權(quán)容器D.啟用AppArmor/SELinux答案：A、C、D14.關(guān)于日志審計(jì)的合規(guī)要求，下列哪些描述符合《網(wǎng)絡(luò)安全法》及配套標(biāo)準(zhǔn)？（）A.日志留存不少于6個(gè)月B.日志應(yīng)包含用戶唯一標(biāo)識(shí)C.日志可明文存儲(chǔ)用戶口令D.日志訪問(wèn)需雙人授權(quán)答案：A、B、D15.以下哪些技術(shù)可用于防御CSRF（跨站請(qǐng)求偽造）攻擊？（）A.SameSiteCookie屬性B.驗(yàn)證碼C.自定義RequestHeader令牌D.XSS過(guò)濾答案：A、B、C三、填空題（每空2分，共20分）16.在公鑰基礎(chǔ)設(shè)施（PKI）中，負(fù)責(zé)簽發(fā)并管理數(shù)字證書的核心組件是________。答案：CA（或證書頒發(fā)機(jī)構(gòu)）17.按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T222392019），第三級(jí)系統(tǒng)應(yīng)對(duì)重要數(shù)據(jù)實(shí)現(xiàn)________備份，至少保留________份。答案：異地；318.IPsec協(xié)議簇包含兩個(gè)主要安全協(xié)議：________提供數(shù)據(jù)源認(rèn)證與完整性，________提供機(jī)密性。答案：AH；ESP19.在Linux系統(tǒng)中，文件權(quán)限位“rwsrxrx”中字母s表示________標(biāo)志位已設(shè)置。答案：SUID20.若某Web應(yīng)用采用ContentSecurityPolicy（CSP）防御XSS，指令defaultsrc'self'表示默認(rèn)資源僅允許從________加載。答案：同源21.當(dāng)使用HSTS時(shí)，瀏覽器在收到StrictTransportSecurity:maxage=31536000;includeSubDomains后，未來(lái)一年內(nèi)將強(qiáng)制使用________協(xié)議訪問(wèn)該域名及其子域。答案：HTTPS22.在量子計(jì)算威脅模型下，________算法被認(rèn)為可抵抗Shor算法攻擊，屬于后量子公鑰算法代表之一。答案：格基（或Latticebased，答“LWE/CRYSTALS”等亦可）23.依據(jù)《個(gè)人信息保護(hù)法》，個(gè)人有權(quán)________、________其個(gè)人信息。答案：查閱；復(fù)制（順序可換）24.在Windows事件日志中，登錄類型值為10表示通過(guò)________登錄。答案：遠(yuǎn)程交互（或RDP）25.使用nmap進(jìn)行SYN掃描時(shí)，參數(shù)________可指定每秒最多發(fā)送的探測(cè)包數(shù)量。答案：minrate（或maxrate，答對(duì)任一即可）四、判斷題（每題1分，共10分。正確打“√”，錯(cuò)誤打“×”）26.對(duì)稱加密算法既能提供機(jī)密性也能提供不可抵賴性。（）答案：×27.在TLS1.3中，所有握手消息均已加密，除ClientHello與ServerHello外。（）答案：√28.只要使用HTTPS協(xié)議，網(wǎng)站就一定能夠防范中間人攻擊。（）答案：×29.零日漏洞是指廠商已發(fā)布補(bǔ)丁但用戶尚未安裝的漏洞。（）答案：×30.依據(jù)《密碼法》，我國(guó)將核心密碼、普通密碼、商用密碼實(shí)行分類管理。（）答案：√31.在SQL注入防御中，使用參數(shù)化查詢可以完全杜絕注入風(fēng)險(xiǎn)。（）答案：√32.數(shù)字簽名過(guò)程中，簽名者使用自己的私鑰對(duì)消息摘要進(jìn)行加密。（）答案：√33.內(nèi)存安全語(yǔ)言（如Rust）完全不會(huì)出現(xiàn)內(nèi)存泄漏問(wèn)題。（）答案：×34.雙因子認(rèn)證要求兩種不同種類的憑證，例如“密碼+短信驗(yàn)證碼”。（）答案：√35.在IPv6中，IPsec是強(qiáng)制實(shí)現(xiàn)的，因此所有IPv6流量默認(rèn)加密。（）答案：×五、簡(jiǎn)答題（每題8分，共24分）36.簡(jiǎn)述Kerberos認(rèn)證協(xié)議的基本流程，并指出其相對(duì)于NTLM的兩項(xiàng)主要安全優(yōu)勢(shì)。答案要點(diǎn)：（1）流程：①用戶向AS請(qǐng)求TGT，AS返回用用戶密鑰加密的TGT與會(huì)話密鑰；②用戶攜帶TGT請(qǐng)求TGS，TGS返回服務(wù)票據(jù)；③用戶攜帶服務(wù)票據(jù)訪問(wèn)目標(biāo)服務(wù)器，完成雙向認(rèn)證。（2）優(yōu)勢(shì)：①不再在網(wǎng)絡(luò)上傳輸用戶哈希或密碼等價(jià)物，避免PasstheHash；②引入時(shí)間戳與短期票據(jù)，有效抑制重放攻擊；③支持雙向認(rèn)證與委派，擴(kuò)展性更好。（答對(duì)任意兩點(diǎn)即可滿分）37.說(shuō)明差分隱私（DifferentialPrivacy）的核心思想，并給出在發(fā)布統(tǒng)計(jì)數(shù)據(jù)時(shí)實(shí)現(xiàn)ε差分隱私的兩種常用機(jī)制。答案要點(diǎn)：核心思想：通過(guò)在查詢結(jié)果或數(shù)據(jù)發(fā)布中加入受控隨機(jī)噪聲，使得攻擊者即使掌握除一條記錄外的所有數(shù)據(jù)，也無(wú)法高置信度推斷該記錄是否存在于數(shù)據(jù)集中，從而提供可量化的隱私保證。常用機(jī)制：①Laplace機(jī)制：對(duì)數(shù)值型查詢結(jié)果添加服從Lap(Δf/ε)的噪聲；②Exponential機(jī)制：對(duì)離散輸出空間按與效用值成指數(shù)比例的分布隨機(jī)選擇，適用于非數(shù)值型查詢。（答Gaussian機(jī)制、隨機(jī)響應(yīng)等亦可酌情給分）38.概述“左移安全”（ShiftLeftSecurity）在DevSecOps中的實(shí)踐要點(diǎn)，并指出三項(xiàng)關(guān)鍵工具或技術(shù)。答案要點(diǎn)：左移安全指在軟件開(kāi)發(fā)生命周期早期（需求、設(shè)計(jì)、編碼階段）即引入安全活動(dòng)，降低修復(fù)成本。實(shí)踐要點(diǎn)：①安全需求與用戶故事同步編寫；②靜態(tài)代碼分析（SAST）集成CI流水線；③依賴庫(kù)漏洞掃描（SCA）強(qiáng)制門禁；④安全單元測(cè)試與模糊測(cè)試并行；⑤代碼審查加入安全checklist。關(guān)鍵工具技術(shù)示例：SAST（SonarQube、Coverity）、SCA（Snyk、DependencyTrack）、基礎(chǔ)設(shè)施即代碼掃描（Checkov、Tfsec）。（答對(duì)任意三項(xiàng)即可滿分）六、應(yīng)用題（共41分）39.計(jì)算與分析題（11分）某公司擬部署基于國(guó)密SM4的分組加密系統(tǒng)，需實(shí)現(xiàn)消息機(jī)密性與完整性。給定：①明文長(zhǎng)度1024字節(jié)；②SM4分組長(zhǎng)度16字節(jié)；③采用SM4CBC模式，PKCS7填充；④附加HMACSM3認(rèn)證，輸出長(zhǎng)度256位；⑤網(wǎng)絡(luò)傳輸頭部長(zhǎng)度固定20字節(jié)。求：（1）填充后的密文總字節(jié)數(shù)；（3分）（2）傳輸層需發(fā)送的總字節(jié)數(shù)（含密文與MAC）；（2分）（3）若鏈路MTU為1500字節(jié)，單次TCP報(bào)文能否承載？給出判斷過(guò)程；（3分）（4）指出CBC模式對(duì)IV的管理要求，并給出一種安全生成與分發(fā)IV的方案。（3分）答案：（1）1024字節(jié)明文需填充至16字節(jié)整數(shù)倍，1024mod16=0，故需再填充16字節(jié)，得到1040字節(jié)；CBC加密后密文長(zhǎng)度等于填充后長(zhǎng)度，即1040字節(jié)。（2）HMACSM3輸出32字節(jié)，總傳輸負(fù)載=1040+32=1072字節(jié)；加上頭部20字節(jié)，共1092字節(jié)。（3）MTU1500>1092，故單次TCP報(bào)文可承載。（4）IV必須不可預(yù)測(cè)且每次加密不同。方案：在加密端使用密碼學(xué)安全隨機(jī)數(shù)生成器生成128位IV，將其附于密文前明文傳輸，雙方預(yù)先共享SM4密鑰但無(wú)需加密IV。40.滲透測(cè)試報(bào)告撰寫（15分）背景：授權(quán)對(duì)IP5的Web系統(tǒng)進(jìn)行黑盒測(cè)試，發(fā)現(xiàn)目標(biāo)運(yùn)行Apache/2.4.41，前端使用jQuery1.9.1，登錄接口/login存在POST參數(shù)username與password。測(cè)試步驟與結(jié)果如下：①使用sqlmap–u“5/login”–data“username=admin&password=pass”–dbs成功列出數(shù)據(jù)庫(kù)名；②在管理后臺(tái)路徑/admin/upload.php上傳test.php.gif，內(nèi)容為<?php@eval($_POST['c']);?>，成功獲取WebShell；③通過(guò)WebShell執(zhí)行whoami返回wwwdata；④在/var/www/html/config.php發(fā)現(xiàn)明文root/123456，連接MySQL后執(zhí)行SELECTFROMmysql.user查看哈希；⑤上傳linpeas.sh腳本，發(fā)現(xiàn)內(nèi)核版本5.4.042generic存在CVE20213490，eBPF漏洞，可用exp提權(quán)。任務(wù)：（1）給出該測(cè)試所揭示的5類高危漏洞及其對(duì)應(yīng)CVSSv3.1基礎(chǔ)評(píng)分向量（僅寫向量，不計(jì)算分值）；（5分）（2）針對(duì)后臺(tái)文件上傳漏洞，給出兩種代碼層修復(fù)方案；（4分）（3）給出針對(duì)CVE20213490的臨時(shí)緩解措施與長(zhǎng)期修復(fù)建議；（3分）（4）列出測(cè)試報(bào)告中“風(fēng)險(xiǎn)評(píng)級(jí)矩陣”應(yīng)包含的三項(xiàng)關(guān)鍵字段。（3分）答案：（1）1.SQL注入：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H2.任意文件上傳：CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H3.明文存儲(chǔ)數(shù)據(jù)庫(kù)口令：CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N4.內(nèi)核本地權(quán)限提升：CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H5.使用已過(guò)期前端庫(kù)（jQuery1.9.1）：CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N（2）①后端檢查ContentType與文件頭魔數(shù)，白名單限制擴(kuò)展名jpg、png等；②重新生成文件名與路徑，移除上傳目錄執(zhí)行權(quán)限，配置Apachephp_flagengineoff。（3）臨時(shí)：echo0>/proc/sys/kernel/unprivileged_bpf_disabled；長(zhǎng)期：升級(jí)內(nèi)核至5.4.043或更高版本，并重啟系統(tǒng)。（4）漏洞編號(hào)、利用難度、影響范圍（或概率、損失、風(fēng)險(xiǎn)等級(jí)）。41.綜合設(shè)計(jì)題（15分）某金融科技公司計(jì)劃2025年上線云原生微服務(wù)平臺(tái)，技術(shù)棧為Kubernetes+Istio+SpringCloud，需滿足等保三級(jí)與PCIDSSv4.0。請(qǐng)給出：（1）平臺(tái)級(jí)安全架構(gòu)圖（文字描述即可），需包含邊界防護(hù)、東西向流量安全、secrets管理、可觀測(cè)性四大模塊；（5分）（2）針對(duì)等保三級(jí)，列出必須建設(shè)的三種安全運(yùn)維制度；（3分）（3）為實(shí)現(xiàn)PCIDSS的“加密傳輸”與“加密存儲(chǔ)”要求，分別給出技術(shù)實(shí)現(xiàn)方案；（4分）（4）設(shè)計(jì)一套基于OPA（OpenPolicyAgent）的準(zhǔn)入控制策略示例（用Rego偽代碼），禁止在default命名空間創(chuàng)建特權(quán)容器。（3分）答案：（1）邊界