2025年網(wǎng)絡(luò)安全基礎(chǔ)知識測試試題及答案一、單項選擇題（每題1分，共30分。每題只有一個正確答案，請將正確選項的字母填入括號內(nèi)）1.在OSI七層模型中，負責(zé)端到端連接建立、維護與終止的層次是（）。A.網(wǎng)絡(luò)層??B.傳輸層??C.會話層??D.數(shù)據(jù)鏈路層答案：B2.下列哪一項最能描述“零信任”安全模型的核心思想（）。A.默認信任內(nèi)網(wǎng)流量??B.先驗證后連接??C.基于邊界防護??D.僅對訪客進行身份鑒別答案：B3.當(dāng)使用AES256GCM加密算法時，以下哪一項不是該模式自帶的屬性（）。A.機密性??B.完整性??C.前向保密??D.認證性答案：C4.在Linux系統(tǒng)中，若文件權(quán)限為“rwxrsrx”，則該文件的s位屬于（）。A.SUID??B.SGID??C.Sticky??D.無意義答案：B5.針對HTTPS流量進行中間人攻擊時，攻擊者必須首先（）。A.破解TLS記錄層加密??B.讓客戶端信任偽造的CA證書??C.實施DNS劫持??D.暴力破解服務(wù)器私鑰答案：B6.以下哪條命令可用于Windows本地安全策略的實時審計查詢（）。A.gpresult/z??B.secedit/export??C.auditpol/get/category:??D.wevtutilqesecurity答案：C7.在公鑰基礎(chǔ)設(shè)施PKI中，負責(zé)發(fā)布已作廢證書列表的組件是（）。A.RA??B.OCSP??C.CRL??D.CA答案：C8.當(dāng)防火墻工作在透明橋模式時，其最主要的優(yōu)勢是（）。A.無需改動現(xiàn)有IP地址規(guī)劃??B.提供NAT64轉(zhuǎn)換??C.支持應(yīng)用層代理??D.降低MTU答案：A9.利用“棧溢出”漏洞攻擊時，攻擊者最常采用的緩解繞過技術(shù)是（）。A.ROP??B.SQL注入??C.XSS??D.CSRF答案：A10.以下哪一項不是我國《數(shù)據(jù)安全法》中定義的“數(shù)據(jù)處理”活動（）。A.收集??B.存儲??C.傳輸??D.刪除答案：D11.在IPv6中，用于本地鏈路自動地址配置的ICMPv6消息類型是（）。A.RouterAdvertisement??B.Redirect??C.DestinationUnreachable??D.TimeExceeded答案：A12.若某網(wǎng)站使用HSTS策略且預(yù)加載到瀏覽器，則瀏覽器會（）。A.允許用戶點擊繼續(xù)訪問自簽名證書站點??B.強制所有子域使用HTTPS??C.忽略includeSubDomains指令??D.只校驗證書有效期答案：B13.以下哪種算法被我國《商用密碼管理條例》明確列為“核心密碼”且禁止出口（）。A.SM2??B.RSA2048??C.AES128??D.SHA256答案：A14.在Kubernetes中，用于限制容器CPU使用上限的對象字段是（）。A.requests.cpu??B.limits.cpu??C.spec.replicas??D.resourceVersion答案：B15.當(dāng)發(fā)生“臟?！甭┒蠢脮r，攻擊者實際上是在競爭條件下寫入了（）。A.只讀內(nèi)存頁??B.內(nèi)核態(tài)堆??C.內(nèi)核態(tài)棧??D.用戶態(tài)BSS段答案：A16.以下哪條Linux命令可以查看當(dāng)前系統(tǒng)所有監(jiān)聽中的TCP端口（）。A.sslnt??B.netstatr??C.lsofiudp??D.nmapsn答案：A17.在Windows日志中，事件ID4624表示（）。A.賬戶登錄成功??B.賬戶登錄失敗??C.特權(quán)提升??D.對象訪問審計答案：A18.采用“鹽值+哈?！贝鎯诹顣r，鹽值的最主要作用是（）。A.提高哈希運算速度??B.抵御彩虹表攻擊??C.降低碰撞概率??D.實現(xiàn)前向保密答案：B19.以下哪一項最能描述“WAF”設(shè)備的核心功能（）。A.基于IP黑白名單的訪問控制??B.針對HTTP/HTTPS應(yīng)用層攻擊的檢測與阻斷??C.提供SSL卸載??D.實現(xiàn)數(shù)據(jù)庫審計答案：B20.在BGP安全擴展中，用于驗證AS路徑合法性的技術(shù)是（）。A.RPKI??B.DNSSEC??C.SRv6??D.MPLS答案：A21.若某郵件服務(wù)器發(fā)布一條TXT記錄“v=spf1ip4:/24all”，則收件方應(yīng)（）。A.接受所有郵件??B.拒絕非/24來源的郵件??C.標(biāo)記為垃圾郵件??D.進行DKIM驗證答案：B22.在Android系統(tǒng)中，應(yīng)用沙箱隔離主要依賴于（）。A.SELinux??B.UID隔離??C.iptables??D.FUSE答案：B23.以下哪一項不是OWASPTop102021版新增的風(fēng)險類別（）。A.服務(wù)端請求偽造??B.失效的訪問控制??C.加密失敗??D.日志與監(jiān)控不足答案：B24.在SQL注入聯(lián)合查詢中，使用“NULL”填充列的主要原因是（）。A.繞過WAF??B.匹配目標(biāo)列數(shù)與數(shù)據(jù)類型??C.提高查詢速度??D.觸發(fā)錯誤回顯答案：B25.當(dāng)使用Wireshark抓包時，過濾表達式“tcp.flags.syn==1andtcp.flags.ack==0”可捕獲（）。A.TCP三次握手的第一次??B.第二次??C.第三次??D.四次揮手答案：A26.在密碼學(xué)中，滿足“給定哈希值無法反推原文”的性質(zhì)稱為（）。A.抗碰撞性??B.單向性??C.雪崩效應(yīng)??D.線性度答案：B27.以下哪一項不是我國《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》中規(guī)定的“關(guān)鍵業(yè)務(wù)”之一（）。A.金融支付清算??B.大型電商平臺訂單處理??C.個人博客發(fā)布??D.電力調(diào)度控制答案：C28.在Windows域環(huán)境中，若攻擊者獲得“GenericAll”權(quán)限，則可對目標(biāo)對象（）。A.僅讀取屬性??B.完全控制??C.僅修改所有者??D.僅刪除答案：B29.當(dāng)使用Git進行代碼管理時，以下哪條命令可徹底從歷史記錄中刪除敏感文件（）。A.gitrm??B.gitfilterrepo??C.gitstash??D.gitrevert答案：B30.在容器逃逸漏洞中，攻擊者最常用的攻擊面是（）。A.內(nèi)核系統(tǒng)調(diào)用??B.DockerHubAPI??C.Dockerfile語法??D.OverlayFS驅(qū)動答案：A二、多項選擇題（每題2分，共20分。每題有兩個或兩個以上正確答案，多選、少選、錯選均不得分）31.以下哪些屬于社會工程學(xué)攻擊的典型手法（）。A.魚叉式釣魚??B.假冒客服電話??C.USB掉落攻擊??D.利用零日漏洞答案：A、B、C32.關(guān)于TLS1.3協(xié)議，以下說法正確的有（）。A.默認啟用前向保密??B.支持0RTT恢復(fù)??C.廢棄了RSA密鑰交換??D.支持重協(xié)商答案：A、B、C33.以下哪些技術(shù)可用于DNS安全加固（）。A.DNSSEC??B.DNSoverHTTPS??C.ResponseRateLimiting??D.Anycast答案：A、B、C、D34.在Linux系統(tǒng)加固中，以下哪些措施可有效降低提權(quán)風(fēng)險（）。A.關(guān)閉不必要的服務(wù)??B.啟用SELinux強制模式??C.設(shè)置grub密碼??D.使用sudo別名答案：A、B、C、D35.以下哪些日志屬于Windows系統(tǒng)“必開”安全審計項（）。A.賬戶登錄事件??B.對象訪問??C.進程跟蹤??D.策略更改答案：A、B、D36.以下哪些算法屬于對稱加密（）。A.SM4??B.ChaCha20??C.ECC??D.AES答案：A、B、D37.以下哪些行為可能觸發(fā)GDPR高額罰款（）。A.未進行DPIA即處理敏感數(shù)據(jù)??B.數(shù)據(jù)泄露72小時內(nèi)未通報??C.未任命DPO??D.未使用加密答案：A、B、C38.以下哪些屬于云原生安全最佳實踐（）。A.鏡像簽名??B.PodSecurityPolicy（或PodSecurityAdmission）??C.網(wǎng)絡(luò)策略隔離??D.使用latest標(biāo)簽答案：A、B、C39.以下哪些工具可用于內(nèi)存取證（）。A.Volatility??B.Rekall??C.Wireshark??D.MagnetRAMCapture答案：A、B、D40.以下哪些屬于常見的Web漏洞利用載荷特征（）。A.<script>alert(1)</script>??B.../../etc/passwd??C.'OR1=1??D./bin/cat/etc/shadow答案：A、B、C三、填空題（每空2分，共20分）41.在Windows系統(tǒng)中，用于查看當(dāng)前登錄用戶安全標(biāo)識符的命令是________。答案：whoami/user42.我國《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施確保個人信息安全，防止信息________、________、篡改。答案：泄露、毀損43.在公鑰算法SM2中，私鑰長度為________位。答案：25644.當(dāng)使用nmap進行SYN掃描時，默認發(fā)送的探測包TCP標(biāo)志位為________。答案：SYN45.在Linux中，若文件權(quán)限為“600”，則文件所有者可進行的操作是________。答案：讀寫46.在BGP協(xié)議中，用于標(biāo)識路由策略的公認必遵屬性是________。答案：AS_PATH47.在OWASPMSTG中，移動應(yīng)用安全測試分為________、________、________三大類。答案：存儲、通信、加密（順序不限）48.在密碼學(xué)中，生日攻擊的目標(biāo)是在________復(fù)雜度內(nèi)找到哈希碰撞。答案：2^(n/2)49.在Kubernetes中，默認用于服務(wù)發(fā)現(xiàn)的ClusterIP類型服務(wù)端口范圍是________。答案：300003276750.當(dāng)使用BurpSuite進行主動掃描時，若目標(biāo)使用________響應(yīng)頭，可阻止瀏覽器將數(shù)據(jù)發(fā)送到HTTP鏈接。答案：ContentSecurityPolicy（或CSP）四、判斷題（每題1分，共10分。正確打“√”，錯誤打“×”）51.TLS1.3允許在握手完成后再協(xié)商壓縮算法。（）答案：×52.在Linux中，若目錄具有寫權(quán)限，則一定可以在該目錄下刪除任意文件。（）答案：×53.WindowsDefender的實時保護功能可在注冊表中完全關(guān)閉。（）答案：√54.使用JWT時，將算法設(shè)為“none”可導(dǎo)致任意令牌偽造。（）答案：√55.在IPv6中，地址FF02::1表示所有節(jié)點組播地址。（）答案：√56.我國《密碼法》規(guī)定，任何組織不得利用密碼從事危害國家安全活動。（）答案：√57.在SQLMap中，參數(shù)“osshell”可直接獲取數(shù)據(jù)庫服務(wù)器系統(tǒng)權(quán)限。（）答案：√58.在Android10及以上版本，應(yīng)用無法獲取非沙箱目錄下的絕對路徑。（）答案：×59.使用“gitclonedepth1”可以拉取完整歷史記錄。（）答案：×60.在Wireshark中，使用“followtcpstream”功能可重組TCP會話明文內(nèi)容。（）答案：√五、簡答題（每題10分，共30分）61.簡述“零信任網(wǎng)絡(luò)”架構(gòu)的三大技術(shù)支柱，并分別給出落地示例。答案：（1）身份與訪問管理（IAM）：以身份為邊界，所有訪問請求必須基于身份、設(shè)備、環(huán)境進行動態(tài)鑒權(quán)。落地示例：使用Okta或AzureAD實現(xiàn)多因素認證+條件訪問策略，員工無論從內(nèi)網(wǎng)還是外網(wǎng)訪問CRM，均需通過MFA并滿足設(shè)備合規(guī)。（2）微分段與軟件定義邊界（SDP）：將網(wǎng)絡(luò)劃分為細粒度安全區(qū)域，通過軟件網(wǎng)關(guān)統(tǒng)一授權(quán)。落地示例：采用ZscalerPrivateAccess，用戶訪問財務(wù)ERP先經(jīng)過云端SDP網(wǎng)關(guān)，根據(jù)用戶組、應(yīng)用標(biāo)簽、會話風(fēng)險評分動態(tài)開放端口，而非傳統(tǒng)VPN全通。（3）持續(xù)監(jiān)測與analytics：對所有流量、終端、用戶行為進行持續(xù)度量和風(fēng)險評分，實時決策。落地示例：使用CrowdStrike或SentinelOne采集終端EDR日志，結(jié)合SIEM（如Splunk）建立UEBA模型，發(fā)現(xiàn)異常PowerShell調(diào)用后立即強制重新鑒權(quán)并隔離終端。62.描述一次典型的“容器逃逸”攻擊鏈，并給出對應(yīng)的防御方案。答案：攻擊鏈：①攻擊者通過Web應(yīng)用上傳惡意鏡像，鏡像內(nèi)包含修改過的runc二進制；②容器啟動時，利用CVE20195736（runc漏洞），覆蓋宿主機/usr/bin/dockerrunc；③當(dāng)管理員再次執(zhí)行dockerexec時，觸發(fā)惡意代碼，攻擊者獲得宿主機rootshell；④寫入cron后門，完成持久化。防御方案：1.鏡像簽名與準(zhǔn)入：部署Harbor+Notary，禁止未簽名鏡像啟動；2.最小化內(nèi)核能力：在容器啟動參數(shù)中丟棄capadd，使用securityopt=nonewprivileges；3.啟用SELinux/AppArmor強制訪問控制，限制容器進程對宿主機文件的寫操作；4.及時更新容器運行時，使用containerd1.2+或官方補丁版runc；5.宿主機部署Falco，實時監(jiān)測“重寫runc”或“容器內(nèi)打開宿主機根目錄”行為，立即告警并隔離節(jié)點。63.說明DNSSEC的工作原理，并分析其無法解決的安全問題。答案：工作原理：（1）權(quán)威服務(wù)器使用私鑰對資源記錄集（RRset）進行簽名，生成RRSIG記錄；（2）父域提供DS記錄指向子域的公鑰哈希，形成信任鏈；（3）遞歸解析器使用子域DNSKEY公鑰驗證RRSIG，再逐級用父域DS直至根；（4）若驗證失敗，返回SERVFAIL，防止偽造應(yīng)答。無法解決的問題：1.隱私泄露：DNSSEC僅提供完整性，未加密查詢內(nèi)容，第三方仍可嗅探域名；2.可用性風(fēng)險：密鑰泄露或輪換失誤導(dǎo)致大面積解析失??；3.無法防止權(quán)威服務(wù)器本身被黑后發(fā)布合法簽名的惡意記錄；4.本地劫持：若攻擊者控制用戶主機或路由器，可強制指向惡意遞歸服務(wù)器，DNSSEC驗證被繞過；5.性能與碎片：大密鑰導(dǎo)致UDP包超過MTU，易被中間網(wǎng)絡(luò)丟棄或利用IP碎片攻擊。六、綜合應(yīng)用題（共40分）64.計算與分析題（15分）某企業(yè)計劃部署IPSecVPN，采用IKEv2主模式，預(yù)共享密鑰認證，加密套件為AES256GCM+SHA256+PFS（DHGroup14）。已知：（1）DHGroup14使用2048bitMODP，其生成元g=2，素數(shù)p為RFC3526定義；（2）企業(yè)出口帶寬1Gbps，平均包長1400Byte；（3）CPU為IntelXeonE2288G，AESNI硬件加速，單核可處理1.8GbpsAES256GCM加解密。問題：a.計算在不考慮重傳與協(xié)議開銷條件下，單核CPU可支持的最大隧道吞吐量，并判斷是否滿足帶寬需求。（5分）b.若啟用PFS，每次重新協(xié)商密鑰后，舊密鑰材料是否仍可用于解密先前流量？請說明理由。（5分）c.給出一種基于RPKI的IPSec擴展方案，防止偽造VPN網(wǎng)關(guān)公鑰，簡述流程。（5分）答案：a.單核1.8Gbps>1Gbps，滿足需求，冗余系數(shù)1.8，CPU占用率約55%。b.不能。PFS保證每次DH協(xié)商產(chǎn)生臨時密鑰，私鑰不重復(fù)使用，舊會話密鑰被銷毀，即使長期私鑰泄露也無法回溯解密歷史流量。c.流程：1.VPN網(wǎng)關(guān)生成IPSec證書，包含IP地址塊；2.將證書哈希發(fā)布到RPKIROA，聲明該AS有權(quán)宣告對應(yīng)前綴；3.對端網(wǎng)關(guān)建立隧道前，通過RPKI驗證器查詢ROA，確認對端AS與地址綁定合法；4.若RPKI無效或BGP劫持，立即終止IKE協(xié)商并告警。65.案例分析題（25分）背景：2024年12月，某電商平臺遭遇“短信轟炸”+“賬戶接管”復(fù)合攻擊。攻擊者通過“撞庫”獲取約2萬用戶口令，利用平臺“忘記密碼”接口發(fā)送大量短信，隨后通過短信驗證碼接口未限速缺陷，暴力猜解6位數(shù)字驗證碼，成功接管3000賬戶，并下單搶購限量球鞋，造成庫存差異與品牌損失。已知：1.平臺使用阿里云SMS，單IP默認限速200次/小時，但攻擊者控制5萬手機“秒撥”代理池