2025年網(wǎng)絡安全與防護技術考試試題及答案1.單項選擇題（每題2分，共30分）1.1在TLS1.3握手過程中，用于實現(xiàn)前向安全性的密鑰交換機制是A.RSA靜態(tài)密鑰交換B.ECDHE臨時密鑰交換C.DH靜態(tài)密鑰交換D.PSKonly密鑰交換答案：B1.2下列哪一項最能有效緩解BGP劫持攻擊？A.在邊緣路由器啟用uRPFB.部署RPKI并啟用BGPsecC.在IGP中啟用OSPF認證D.提高BGP路由的MED值答案：B1.3針對2023年曝光的“Terrapin”攻擊，SSH協(xié)議最需加固的算法套件是A.chacha20poly1305@B.aes128ctrC.diffiehellmangroup14sha256D.hmacsha2256etm@答案：C1.4在零信任架構中，用于持續(xù)評估終端信任等級的核心協(xié)議是A.SAML2.0B.OAuth2.0C.OpenIDConnectD.ContinuousAccessEvaluationProtocol(CAEP)答案：D1.52024年NIST發(fā)布的后量子算法CRYSTALSKyber基于的數(shù)學難題是A.橢圓曲線離散對數(shù)B.整數(shù)分解C.模格上的最短向量問題(MLWE)D.多變量二次方程組答案：C1.6針對容器逃逸，最應限制的系統(tǒng)調(diào)用集合是A.openatB.execveC.ptraceD.seccomp過濾器默認允許列表答案：D1.7在5G核心網(wǎng)SBA架構中，用于服務間雙向認證的協(xié)議是A.diameterB.HTTP/2overTLS1.3+OAuth2.0C.GTPCD.SIP答案：B1.8下列哪條Linux內(nèi)核參數(shù)能緩解SYNFlood？A.net.ipv4.tcp_tw_reuseB.net.ipv4.tcp_syncookiesC.net.ipv4.ip_forwardD.net.core.rmem_max答案：B1.9關于DNSSEC，下列說法正確的是A.使用RSAMD5作為推薦簽名算法B.通過CDNSKEY記錄實現(xiàn)父域對子域的授權C.驗證鏈信任錨可配置在根區(qū)或本地信任錨D.NSEC3用于隱藏NXDOMAIN存在性證明答案：C1.10在ARMv9機密計算架構(CCA)中，隔離敏感代碼的實體稱為A.TrustZoneSecureWorldB.RealmC.SGXEnclaveD.SEVSNPGuest答案：B1.112025年1月生效的《數(shù)據(jù)跨境流動安全評估辦法》要求，出境數(shù)據(jù)超多少條個人敏感信息需申報安全評估？A.1萬B.5萬C.10萬D.50萬答案：C1.12針對AI模型竊取攻擊，最有效的防御是A.輸入梯度掩蔽B.差分隱私訓練C.模型蒸餾D.輸出logits截斷+速率限制答案：D1.13在Windows1124H2中，默認啟用阻止PasstheHash的新特性是A.CredentialGuard+VBSB.LSAProtectionC.WindowsHelloforBusinessD.SHA1deprecation答案：A1.14關于SM4分組密碼，下列敘述正確的是A.分組長度128位，密鑰長度128位，迭代32輪B.分組長度256位，密鑰長度128位，迭代16輪C.分組長度128位，密鑰長度256位，迭代10輪D.分組長度64位，密鑰長度128位，迭代32輪答案：A1.15在KubernetesRBAC中，若某Role綁定到system:unauthenticated組，最可能造成的風險是A.垂直權限提升B.橫向移動C.匿名用戶未授權訪問D.Pod逃逸答案：C2.多項選擇題（每題3分，共30分；每題至少有兩個正確答案，多選少選均不得分）2.1以下哪些屬于2024OWASPTop10新增風險類別？A.SSRFB.CryptographicFailuresC.InsecureDesignD.SoftwareandDataIntegrityFailures答案：C、D2.2關于IntelTDT（ThreatDetectionTechnology）的可檢測行為包括A.內(nèi)存駐留型勒索軟件加密流B.利用L1TF側信道泄露C.加密貨幣挖礦的功耗異常D.ROP/JOP代碼重用答案：A、C2.3在SDWAN場景下，可用來實現(xiàn)端到端加密的協(xié)議有A.IPsecwithAESGCMB.MACsecC.TLS1.3DTLS隧道D.WireGuard答案：A、C、D2.4以下哪些措施可有效降低AI訓練數(shù)據(jù)投毒風險？A.數(shù)據(jù)血緣追蹤+完整性簽名B.聯(lián)邦學習中的安全聚合C.輸入樣本對抗訓練D.多機構交叉驗證答案：A、B、D2.5關于量子密鑰分發(fā)(QKD)的正確描述有A.基于量子不可克隆定理實現(xiàn)竊聽檢測B.需要專用光纖信道C.可完全替代數(shù)學密碼算法D.存在光子數(shù)分離(PNS)攻擊答案：A、B、D2.6以下哪些日志源可用于檢測Kerberoasting攻擊？A.WindowsEventID4768(TGT請求)B.EventID4769(TGS請求)C.EventID4771(Kerberos預認證失敗)D.EventID4672(特殊權限分配)答案：B、C2.7在Linux內(nèi)核中，可緩解DirtyCow競態(tài)條件攻擊的機制有A.啟用CONFIG_SECCOMPB.啟用CONFIG_MEMCGC.引入copyonwrite頁標記互斥D.將dirty_writeback_centisecs調(diào)低答案：C2.8以下哪些屬于FIPS1403Level4的物理防護要求？A.溫度異常探測+自毀B.電壓毛刺檢測C.外殼防鉆探金屬網(wǎng)格D.真隨機數(shù)發(fā)生器熵源健康測試答案：A、B、C、D2.9關于WebAuthn/FIDO2，下列說法正確的是A.支持RoamingAuthenticatorB.可替代密碼實現(xiàn)無口令認證C.依賴方(RP)必須存儲用戶生物特征D.使用ECDSA或EdDSA簽名答案：A、B、D2.10在零信任網(wǎng)絡訪問(ZTNA)架構中，控制面功能包括A.動態(tài)信任評估引擎B.細粒度策略決策點(PDP)C.數(shù)據(jù)面隧道封裝D.身份上下文持續(xù)收集答案：A、B、D3.填空題（每空2分，共40分）3.12024年IETF發(fā)布的RFC9500將IPv6最小MTU從1280字節(jié)調(diào)整為________字節(jié)。答案：1280（未變）3.2在AESGCM加密中，用于完整性校驗的字段長度默認是________位。答案：1283.3當利用ReturnOrientedProgramming繞過DEP時，攻擊者常借助________寄存器實現(xiàn)棧遷移。答案：RSP/ESP3.4Linux內(nèi)核中，用于限制進程系統(tǒng)調(diào)用范圍的沙箱機制是________。答案：seccomp3.5在Windows事件日志中，檢測Mimikatz使用Sekurlsa::LogonPasswords特征常關注EventID________。答案：4624/4648（答其一即可）3.62025年商用密碼管理條例規(guī)定，使用________位以下RSA密鑰屬于禁止使用范疇。答案：10243.7在TLS1.3中，用于加密握手消息的密鑰稱為________。答案：handshaketrafficsecret3.8針對機器學習模型成員推理攻擊，常用評估指標為________率。答案：攻擊成功/推斷準確（答其一即可）3.95GAKA認證向量中，由UDM生成的隨機挑戰(zhàn)稱為________。答案：RAND3.10在Kubernetes網(wǎng)絡策略中，默認拒絕所有入口流量的策略類型字段應設置為________。答案：Ingress3.112024年NIST發(fā)布的后量子簽名算法________基于哈希函數(shù)，適用于固件簽名。答案：SPHINCS+3.12用于衡量入侵檢測系統(tǒng)誤報比例的指標是________率。答案：FalsePositive3.13在ARMTrustZone中，安全世界與正常世界通信的指令為________。答案：SMC3.14針對BGPsec，路由器用來簽名路徑屬性的私鑰應存儲在________模塊中。答案：HSM3.15在WindowsCredentialGuard中，隔離LSA進程運行的虛擬化容器稱為________。答案：VSM(VirtualSecureMode)3.162025年ISO27001新版將________管理列為附錄A控制域，專門應對AI供應鏈風險。答案：AISupplyChain3.17在量子計算中，Shor算法可在多項式時間內(nèi)破解________與離散對數(shù)問題。答案：整數(shù)分解3.18針對側信道Cache時序攻擊，Intel提出的防御指令為________。答案：LFENCE3.19在零信任架構中，用于描述網(wǎng)絡實體身份的不可偽造標識稱為________。答案：身份密碼學憑據(jù)/身份令牌（答其一即可）3.202024年OpenSSH默認禁用________算法，以防范弱密鑰交換。答案：diffiehellmangroup1sha14.簡答題（每題10分，共40分）4.1簡述TLS1.3與TLS1.2在握手延遲上的差異，并說明其如何提升移動網(wǎng)絡用戶體驗。答案：TLS1.3將握手往返次數(shù)由2RTT降至1RTT，甚至通過PSK實現(xiàn)0RTT。移動網(wǎng)絡高RTT場景下，減少一次往返可縮短握手時延100200ms，降低頁面加載時間，提升用戶體驗；同時移除RSA靜態(tài)密鑰交換，強制前向安全，增強安全性。4.2概述RPKI中ROA對象的結構及其在防止BGP劫持中的作用。答案：ROA包含前綴、最大長度、AS號，由資源證書持有者用私鑰簽名。驗證路由器通過信任錨公鑰驗證ROA，若BGP宣告路徑與ROA不匹配則丟棄，防止偽造源AS宣告，實現(xiàn)源驗證。4.3說明Kubernetes中PodSecurityPolicy被廢棄后的替代機制，并給出限制容器提權的核心字段。答案：替代機制為PodSecurityStandards(PSS)與PodSecurityAdmission(PSA)。核心字段：allowPrivilegeEscalation=false、privileged=false、runAsNonRoot=true、seccompProfile.type=RuntimeDefault、capabilities.drop=[ALL]。4.4描述差分隱私中ε差分隱私的含義，并解釋為何需要合理選擇ε值。答案：ε差分隱私要求相鄰數(shù)據(jù)集查詢結果輸出概率比不超過e^ε。ε越小隱私保護越強，但加入噪聲越大，數(shù)據(jù)可用性下降；需根據(jù)場景風險與效用權衡，如ε=0.1提供高隱私，ε=1.0平衡商業(yè)分析。5.應用題（共60分）5.1計算分析題（15分）某企業(yè)采用AES256GCM加密備份數(shù)據(jù)，已知每塊大小4KiB，網(wǎng)絡帶寬1Gb/s，CPU支持AESNI，實測加密速度為3.2GB/s。若備份總量為10TB，忽略磁盤I/O瓶頸，求：(1)純加密耗時；(2)若啟用TLS1.3記錄層，額外增加5%長度膨脹，求總傳輸時間；(3)評估是否滿足每日備份窗口2小時。答案：(1)t1=10TB÷3.2GB/s≈3125s≈52min(2)數(shù)據(jù)量變?yōu)?0×1.05=10.5TB；傳輸速率1Gb/s=125MB/s；t2=10.5TB÷125MB/s=84000s≈1400min≈23.3h(3)23.3h>2h，不滿足，需提升帶寬至至少15Gb/s或采用多鏈路聚合。5.2綜合設計題（15分）設計一套零信任遠程辦公方案，要求：a)身份層支持FIDO2無口令；b)控制面基于微分段；c)數(shù)據(jù)面使用mTLS+SPIFFE身份；d)兼容遺留RDP。給出組件、協(xié)議、流程圖要點及威脅緩解表。答案：組件：身份提供者(IdP)+FIDO2服務器、策略引擎(OPA)、envoysidecar、mTLS網(wǎng)關、RDP網(wǎng)關。流程：1)用戶FIDO2認證→IdP簽發(fā)JWT+SPIFFESVID；2)sidecar驗證