2025年網(wǎng)絡(luò)與信息安全考試試題及答案1.單項(xiàng)選擇題（每題1分，共20分）1.1在GB/T222392019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中，第三級(jí)安全要求相比第二級(jí)新增的核心控制域是A.安全物理環(huán)境?B.安全通信網(wǎng)絡(luò)?C.安全區(qū)域邊界?D.安全計(jì)算環(huán)境答案：C1.2下列關(guān)于TLS1.3握手過程的說法，正確的是A.支持RSA密鑰交換?B.0RTT模式默認(rèn)啟用前向保密?C.完全刪除了DH密鑰交換?D.ServerHello之后立即發(fā)送EncryptedExtensions答案：D1.3某企業(yè)采用基于屬性的加密（ABE）實(shí)現(xiàn)細(xì)粒度訪問控制，其密文策略CPABE的核心優(yōu)勢(shì)是A.加密方無需知道用戶公鑰?B.解密方無需知道訪問結(jié)構(gòu)?C.支持動(dòng)態(tài)撤銷用戶而不更新密文?D.加密方可定義訪問結(jié)構(gòu)答案：D1.4在IPv6網(wǎng)絡(luò)中，用于替代ARP的協(xié)議是A.NDP?B.DHCPv6?C.ICMPv6?D.MLD答案：A1.5針對(duì)Log4j2遠(yuǎn)程代碼執(zhí)行漏洞（CVE202144228），最有效的臨時(shí)緩解措施是A.升級(jí)JDK至17?B.設(shè)置Dlog4j2.formatMsgNoLookups=true?C.關(guān)閉所有JNDI端口?D.禁用所有日志輸出答案：B1.6依據(jù)《數(shù)據(jù)安全法》，對(duì)重要數(shù)據(jù)處理者開展風(fēng)險(xiǎn)評(píng)估的最低周期為A.每月?B.每季度?C.每半年?D.每年答案：D1.7在WindowsServer2022中，實(shí)現(xiàn)基于虛擬化的安全（VBS）的核心組件是A.CredentialGuard?B.DeviceGuard?C.HVCI?D.全部選項(xiàng)答案：D1.8使用AESGCM模式加密時(shí)，IV重復(fù)會(huì)導(dǎo)致A.密鑰泄露?B.明文被篡改?C.認(rèn)證標(biāo)簽失效并可恢復(fù)明文?D.加密速度下降答案：C1.9在零信任架構(gòu)中，用于持續(xù)評(píng)估終端安全狀態(tài)的協(xié)議是A.RADIUS?B.TACACS+?C.PostureAgentviaSWG?D.NetFlow答案：C1.10下列哪項(xiàng)不屬于國(guó)密算法A.SM2?B.SM3?C.SM4?D.SHA3答案：D1.11在Kubernetes中，可限制容器CPU使用量的資源對(duì)象是A.LimitRange?B.ResourceQuota?C.PodSecurityPolicy?D.NetworkPolicy答案：A1.12針對(duì)BGP劫持攻擊，最有效的安全增強(qiáng)機(jī)制是A.RPKI+ROV?B.BGPMD5?C.BGPTTLSecurity?D.ASPathprepending答案：A1.13在OWASPTop102021中，排名上升最快的風(fēng)險(xiǎn)類別是A.失效的訪問控制?B.加密失敗?C.不安全設(shè)計(jì)?D.服務(wù)器端請(qǐng)求偽造答案：D1.14使用SHA256對(duì)長(zhǎng)度為2^64比特的消息進(jìn)行哈希，其填充字段的最低有效字節(jié)值為A.0x00?B.0x80?C.0x01?D.0x20答案：B1.15在Android13中，限制應(yīng)用訪問本地網(wǎng)絡(luò)的新增權(quán)限是A.INTERNET?B.LOCAL_NETWORK?C.CHANGE_NETWORK_STATE?D.ACCESS_WIFI_STATE答案：B1.16在工業(yè)控制系統(tǒng)中，ModbusTCP協(xié)議缺乏的安全特性是A.會(huì)話標(biāo)識(shí)?B.功能碼校驗(yàn)?C.時(shí)間戳?D.認(rèn)證與加密答案：D1.17當(dāng)使用Wireshark分析QUIC流量時(shí)，可解密加密報(bào)文的前提是A.獲取服務(wù)器X.509證書私鑰?B.捕獲初始握手并具備客戶端隨機(jī)數(shù)?C.啟用ESNI?D.獲取會(huì)話ticket答案：B1.18在Linux內(nèi)核中，用于緩解Spectrev2漏洞的編譯選項(xiàng)是A.retpoline?B.PTI?C.SMAP?D.SMEP答案：A1.19依據(jù)《個(gè)人信息保護(hù)法》，處理敏感個(gè)人信息應(yīng)取得A.明示同意?B.書面同意?C.單獨(dú)同意?D.默示同意答案：C1.20在NISTSP800207零信任架構(gòu)中，策略決策點(diǎn)(PDP)不包含的組件是A.PolicyEngine?B.PolicyAdministrator?C.PolicyEnforcementPoint?D.DataPlane答案：D2.多項(xiàng)選擇題（每題2分，共20分；每題至少有兩個(gè)正確答案，多選、少選、錯(cuò)選均不得分）2.1以下哪些屬于國(guó)密SSL套件A.ECCSM4SM3?B.ECDHESM4SM3?C.RSASM4SM3?D.SM2SM4SM3答案：ABD2.2可導(dǎo)致DNSSEC驗(yàn)證失敗的記錄類型包括A.RRSIG過期?B.NSEC3缺失?C.DS記錄與DNSKEY算法不匹配?D.權(quán)威服務(wù)器返回SERVFAIL答案：ACD2.3在Windows環(huán)境中，可用于獲取LSASS內(nèi)存憑據(jù)的攻防技術(shù)有A.Mimikatzsekurlsa::logonpasswords?B.ProcDump轉(zhuǎn)儲(chǔ)?C.CredentialGuard開啟后任意讀取?D.Rubeustgtdeleg答案：ABD2.4以下關(guān)于同態(tài)加密的描述正確的有A.Paillier支持加法同態(tài)?B.BGV支持整數(shù)同態(tài)運(yùn)算?C.CKKS支持浮點(diǎn)數(shù)近似計(jì)算?D.RSA支持無限次乘法同態(tài)答案：ABC2.5在Linux容器逃逸場(chǎng)景中，可利用的內(nèi)核漏洞包括A.CVE20220847DirtyPipe?B.CVE20165195DirtyCow?C.CVE20195736runc?D.CVE20214034PwnKit答案：ABCD2.6以下屬于硬件安全模塊(HSM)的核心功能A.密鑰生成與存儲(chǔ)?B.真隨機(jī)數(shù)生成?C.大整數(shù)模冪運(yùn)算加速?D.固件完整性校驗(yàn)答案：ABCD2.7在5G核心網(wǎng)中，可抑制用戶隱私泄露的安全機(jī)制有A.SUCI加密?B.5GAKA二次認(rèn)證?C.ServiceBasedInterface雙向TLS?D.IMSI明文廣播答案：ABC2.8針對(duì)機(jī)器學(xué)習(xí)模型投毒攻擊的防御手段包括A.數(shù)據(jù)清洗與異常檢測(cè)?B.魯棒聚合算法?C.差分隱私訓(xùn)練?D.模型蒸餾答案：ABC2.9以下關(guān)于OAuth2.1的更新點(diǎn)正確的有A.移除ImplicitFlow?B.強(qiáng)制PKCE?C.引入RefreshTokenRotation?D.支持JWTSecuredAuthorizationResponse答案：ABCD2.10在云原生安全中，符合CISKubernetesBenchmarkv1.24要求的配置有A.關(guān)閉匿名認(rèn)證?B.啟用AuditPolicy?C.使用PodSecurityadmission?D.etcd啟用TLS客戶端證書答案：ABCD3.填空題（每空1分，共20分）3.1在SM2數(shù)字簽名算法中，簽名過程使用的雜湊算法是________，其輸出長(zhǎng)度為________比特。答案：SM3，2563.2當(dāng)利用SQLMap進(jìn)行二階注入測(cè)試時(shí)，需指定參數(shù)________以告知工具注入結(jié)果不在同一響應(yīng)返回。答案：secondorder3.3在Windows事件日志中，記錄RDP暴力破解失敗的事件ID是________。答案：46253.4在IPv6地址2001:db8::/32中，用于任播地址的最低有效位格式為________。答案：128位全03.5在KubernetesRBAC中，ClusterRole與Role的最大區(qū)別是________。答案：作用域（集群級(jí)vs命名空間級(jí)）3.6依據(jù)《密碼法》，核心密碼、普通密碼屬于________密碼，商用密碼屬于________密碼。答案：國(guó)家，民用3.7在TLS1.3中，用于實(shí)現(xiàn)0RTT的擴(kuò)展名稱是________。答案：EarlyData3.8在ARMv8.5A架構(gòu)中，用于緩解推測(cè)執(zhí)行漏洞的新指令是________。答案：CSDB3.9在Linux內(nèi)核中，用于限制進(jìn)程系統(tǒng)調(diào)用的安全機(jī)制是________，其工作模式由________文件配置。答案：seccomp，/etc/seccomp.json或prctl3.10在NISTSP80053Rev5中，控制族“SupplyChainRiskManagement”的編號(hào)為________。答案：SR3.11在Wireshark顯示過濾器中，篩選HTTP/2流量且狀態(tài)碼為404的表達(dá)式為________。答案：http2.response.code==4043.12在GitHubActions工作流中，防止秘密泄露到日志的語(yǔ)法掩碼函數(shù)為________。答案：::addmask::3.13在AndroidKeystore中，支持硬件級(jí)密鑰attestation的API級(jí)別從________開始。答案：API233.14在工業(yè)防火墻白名單策略中，Modbus功能碼________用于寫單個(gè)寄存器，其十進(jìn)制值為________。答案：06，63.15在零信任網(wǎng)絡(luò)中，用于描述“誰(shuí)、什么、何時(shí)、何地、為何”訪問資源的模型稱為________。答案：5W1H或DynamicTrustModel4.簡(jiǎn)答題（每題8分，共40分）4.1簡(jiǎn)述國(guó)密SM9標(biāo)識(shí)密碼體系與SM2公鑰密碼體系在密鑰生成方式上的差異，并說明SM9適合的應(yīng)用場(chǎng)景。答案：SM2采用傳統(tǒng)公鑰基礎(chǔ)設(shè)施(PKI)，密鑰對(duì)由用戶隨機(jī)生成，公鑰需通過證書綁定身份；SM9采用標(biāo)識(shí)密碼，私鑰由密鑰生成中心(KGC)根據(jù)用戶標(biāo)識(shí)(如郵箱)與系統(tǒng)主私鑰計(jì)算生成，公鑰即用戶標(biāo)識(shí)本身，無需證書。SM9適合海量用戶、證書管理成本高的場(chǎng)景，如加密電子郵件、物聯(lián)網(wǎng)設(shè)備認(rèn)證、輕量級(jí)移動(dòng)應(yīng)用。4.2說明Linux內(nèi)核“控制組”(cgroups)v2在容器資源隔離中的安全優(yōu)勢(shì)，并給出限制容器打開文件句柄數(shù)的配置示例。答案：cgroupsv2統(tǒng)一層級(jí)、避免v1的多掛載混亂，支持“線程粒度”與“委派”模型，減少容器逃逸風(fēng)險(xiǎn)；提供memory、io、pid等控制器，實(shí)現(xiàn)精細(xì)資源限制。示例：echo1048576>/sys/fs/cgroup/foobar/pids.max&&echo2048>/sys/fs/cgroup/foobar/files.max，或在Dockerrun中加pidslimit1048576fileslimit2048（需自定義runtime）。4.3描述DNSoverHTTPS(DoH)與DNSoverTLS(DoT)在隱私保護(hù)、部署兼容性、性能開銷三方面的對(duì)比。答案：隱私：兩者均加密查詢，DoH流量混入HTTPS難以被SNI過濾識(shí)別，隱私更強(qiáng)；部署：DoH需應(yīng)用層改造，瀏覽器支持好，中間設(shè)備攔截難，DoT需853端口，易被防火墻封鎖；性能：DoH多路復(fù)用HTTP/2，握手1RTT，緩存友好，DoT需獨(dú)立TLS連接，握手2RTT，高并發(fā)時(shí)CPU略低。4.4解釋“同態(tài)加密在聯(lián)邦學(xué)習(xí)中的應(yīng)用”，并以CKKS方案為例說明如何防止梯度泄露原始數(shù)據(jù)。答案：聯(lián)邦學(xué)習(xí)中各方用CKKS加密本地梯度后上傳，服務(wù)器在加密域執(zhí)行聚合與更新，全程不解密明文；CKKS支持浮點(diǎn)數(shù)近似同態(tài)運(yùn)算，誤差可控。由于密文與明文呈高維復(fù)數(shù)向量映射關(guān)系，攻擊者無法從加密梯度反推個(gè)體樣本，實(shí)現(xiàn)隱私保護(hù)。4.5說明WindowsDefenderApplicationControl(WDAC)與AppLocker在代碼簽名驗(yàn)證機(jī)制上的差異，并給出WDAC啟用后內(nèi)核驅(qū)動(dòng)加載策略的CLI命令。答案：WDAC采用基于虛擬化的安全隔離，策略存儲(chǔ)在UEFI變量，簽名驗(yàn)證由內(nèi)核隔離的CI.dll完成，支持EV證書、WHQL、FileRule多重條件；AppLocker依賴用戶模式服務(wù)，易被管理員繞過。啟用內(nèi)核驅(qū)動(dòng)策略命令：SetRuleOptionFilePath.\policy.xmlOption0EnableUMCISetRuleOptionFilePath.\policy.xmlOption3RequireWHQLConvertFromCIPolicyXmlFilePath.\policy.xmlBinaryFilePathSiPolicy.p7bCopyItemSiPolicy.p7b%SystemRoot%\System32\CodeIntegrity\重啟生效。5.應(yīng)用題（共50分）5.1綜合設(shè)計(jì)題（20分）某省級(jí)政務(wù)云計(jì)劃構(gòu)建“零信任+國(guó)密”統(tǒng)一接入平臺(tái)，要求：(1)用戶通過國(guó)密瀏覽器訪問，雙向SSL使用SM2證書；(2)所有南北向流量經(jīng)國(guó)密TLS1.3代理，支持0RTT；(3)東西向微服務(wù)調(diào)用使用SPIFFE+SM2X.509SVID；(4)數(shù)據(jù)層采用SM4GCM透明加密，密鑰由云原生HSM管理；(5)滿足等保2.0三級(jí)要求。請(qǐng)給出：a)整體架構(gòu)圖（文字描述即可）；b)關(guān)鍵組件選型與理由；c)0RTT防重放方案；d)等保三級(jí)合規(guī)映射表（至少5條）。答案：a)架構(gòu)：用戶層→國(guó)密瀏覽器→國(guó)密TLS1.3代理(Envoy+國(guó)密擴(kuò)展)→API網(wǎng)關(guān)→微服務(wù)(SPIFFESidecar)→數(shù)據(jù)庫(kù)(SM4加密)→HSM(KMS插件)。控制平面：零信任控制器(OPA+SPIRE)、身份中心(SM2LDAP)、日志審計(jì)(國(guó)密SYSLOG)。b)選型：Envoy1.27+國(guó)密補(bǔ)丁支持SM2/SM4/SM3；SPIRE1.6擴(kuò)展國(guó)密插件簽發(fā)SM2SVID；KMS使用江南天安云HSM，支持PKCS11國(guó)密算法；數(shù)據(jù)庫(kù)采用TiDB6.5+國(guó)密加密插件；API網(wǎng)關(guān)使用Kong3.4+國(guó)密TLS。c)0RTT防重放：代理維護(hù)<PSK,timestamp,nonce>三元組，首次握手后下發(fā)一次性ticket，設(shè)置7天過期；服務(wù)器端使用Redis集群存儲(chǔ)已用ticket，TTL5分鐘；EarlyData擴(kuò)展攜帶隨機(jī)數(shù)，服務(wù)端校驗(yàn)nonce未使用；超過窗口返回HelloRetryRequest。d)合規(guī)映射：訪問控制：采用SPIFFE+OPA實(shí)現(xiàn)動(dòng)態(tài)授權(quán)，對(duì)應(yīng)等保安全區(qū)域邊界a)；通信完整性：國(guó)密TLS1.3+SM3SM4，對(duì)應(yīng)安全通信網(wǎng)絡(luò)b)；數(shù)據(jù)保密性：SM4GCM加密，對(duì)應(yīng)安全計(jì)算環(huán)境c)；密鑰管理：HSM+FIPS1402Level3，對(duì)應(yīng)安全管理中心d)；審計(jì)追溯：國(guó)密SYSLOG+鏈?zhǔn)胶灻?，?duì)應(yīng)安全管理中心e)。5.2計(jì)算與分析題（15分）某系統(tǒng)采用PBKDF2HMACSM3進(jìn)行密鑰派生，鹽長(zhǎng)度16字節(jié)，迭代次數(shù)100000，輸出密鑰長(zhǎng)度256位。假設(shè)攻擊者使用GPU集群，每秒可計(jì)算2^30次HMACSM3，電費(fèi)0.6元/度，每瓦特性能為2^20次/秒，整機(jī)功率3000W。求：(1)暴力破解8位數(shù)字口令所需時(shí)間（年）；(2)對(duì)應(yīng)電費(fèi)成本（元）；(3)若將迭代次數(shù)提高到300000，時(shí)間增加倍數(shù)；(4)給出成本最優(yōu)的防御建議。答案：(1)口令空間10^8，單次派生需1e5次HMAC，總計(jì)算量1e13次；GPU速度2^30≈1.07e9次/秒；時(shí)間=1e13/1.07e9≈9350秒≈0.297年。(2)功率3kW，9350秒耗電3×9350/3600≈7.79kWh，成本7.79×0.6≈4.67元。(3)迭代數(shù)增至3e5，時(shí)間線性×3，即0.89年。(4)建議：迭代數(shù)≥3e5；鹽長(zhǎng)度≥32字節(jié)；啟用硬件延遲（HSM/TEE）限制并行；強(qiáng)制用戶口令長(zhǎng)度≥12位含大小寫特殊字符；引入客戶端PUF或生物特征做2FA，降低離線破解價(jià)值。5.3應(yīng)急響應(yīng)分析題（15分）2025年3月，某企業(yè)EDR告警發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)執(zhí)行powershellenc<base64>，解碼后下載URI為hxxps:///avatar/avatar.png，經(jīng)沙箱分析該P(yáng)NG文件實(shí)為DLL，導(dǎo)出函數(shù)“Crash”使用ProcessHollowing注入notepad.exe，隨后建立DoH隧道(dns.google)回連C2，回連域名隨機(jī)6位+.github.io，JARM指紋為27d3...問題：(1)給出檢測(cè)該DoH隧道的兩條網(wǎng)絡(luò)特征；