2025年網(wǎng)絡(luò)信息安全管理員三級考試模擬試卷及答案(網(wǎng)絡(luò)安全防護(hù))一、單項(xiàng)選擇題（每題1分，共30分。每題只有一個(gè)正確答案，錯(cuò)選、多選、未選均不得分）1.2025年3月，某單位在邊界防火墻開啟“零信任動態(tài)端口”功能后，發(fā)現(xiàn)內(nèi)網(wǎng)橫向移動攻擊下降87%。該功能最核心的技術(shù)原理是A.基于ACL的靜態(tài)端口綁定B.基于SPA（SinglePacketAuthorization）的敲門機(jī)制C.基于MACsec的二層加密D.基于802.1X的端口認(rèn)證答案：B解析：零信任動態(tài)端口通常采用SPA敲門，未授權(quán)報(bào)文直接丟棄，攻擊面急劇縮小。2.在WindowsServer2025中，若要阻止利用“PetitPotam”強(qiáng)制觸發(fā)ADCSNTLM中繼，最有效的注冊表鍵值是A.RestrictNTLM=2B.AllowNTLM=0C.NegotiateNTLM=1D.EnableNTLM=3答案：A解析：RestrictNTLM=2完全禁止NTLM，可阻斷中繼攻擊，但需評估業(yè)務(wù)兼容性。3.某企業(yè)采用IPv6only網(wǎng)絡(luò)，管理員在防火墻發(fā)現(xiàn)大量“IPv6逐跳選項(xiàng)頭（HopbyHopOptionsHeader）”類型為0x00的報(bào)文，其最可能的攻擊意圖是A.利用超大報(bào)文實(shí)施DoSB.利用路由頭類型0進(jìn)行放大C.利用“Jumbogram”繞過流量清洗D.利用“FragmentHeader”實(shí)施分片重疊答案：C解析：0x00選項(xiàng)頭可攜帶Jumbogram，單包超過65535字節(jié)，繞過傳統(tǒng)基于包長的清洗策略。4.2025年5月，OpenSSL3.2.1被曝出“SSL_select_next_proto”緩沖區(qū)溢出，官方建議第一時(shí)間使用的緩解命令是A.opensslrehashB.openssls_clientalpnC.opensslciphersvD.opensslnonextprotoneg答案：D解析：nonextprotoneg編譯開關(guān)可完全禁用NPN，消除溢出面。5.在Linux內(nèi)核6.8中，針對“StackRot”漏洞，管理員應(yīng)開啟的sysctl參數(shù)是A.kernel.stack_canary=1B.kernel.unprivileged_bpf_disabled=1C.kernel.stack_depot=1D.kernel.sched_stack_end_bug=1答案：B解析：StackRot利用未授權(quán)BPF程序篡改棧，禁用后可阻斷攻擊路徑。6.某云廠商提供“機(jī)密計(jì)算”實(shí)例，其基于AMDSEVSNP，若要驗(yàn)證GuestVM內(nèi)存完整性，管理員應(yīng)調(diào)用的API是A.ioctl(SEV_ISSUE_CMD,SNP_LAUNCH_FINISH)B.ioctl(SEV_ISSUE_CMD,SNP_GUEST_REQUEST)C.ioctl(SEV_ISSUE_CMD,SNP_ATTEST)D.ioctl(SEV_ISSUE_CMD,SNP_SHUTDOWN)答案：C解析：SNP_ATTEST生成可驗(yàn)證的內(nèi)存完整性報(bào)告，供遠(yuǎn)程證明。7.2025年6月，某APT組織利用“MicrosoftTeams2.0”的“ExternalFederation”功能投遞“LokiBot”，管理員在M365中應(yīng)最先關(guān)閉的開關(guān)是A.TeamsMeetingExternalAccessB.TeamsChatExternalAccessC.TeamsAppExternalAccessD.TeamsLiveEventsExternalAccess答案：B解析：關(guān)閉外部聊天可直接阻斷初始投遞通道。8.在Kubernetes1.30中，為防止“SIGNode”逃逸漏洞，AdmissionController必須強(qiáng)制注入的SecurityContext字段是A.runAsUser:0B.allowPrivilegeEscalation:falseC.readOnlyRootFilesystem:trueD.capabilities:{drop:["ALL"]}答案：B解析：禁止特權(quán)升級可阻斷容器逃逸到宿主機(jī)。9.某單位采用“國密SM4GCM”算法對東西向流量加密，其IV長度應(yīng)為A.64bitB.96bitC.128bitD.256bit答案：B解析：GCM模式推薦96bitIV，國密SM4同樣遵循。10.2025年4月，IETF發(fā)布RFC9500，正式廢棄的安全協(xié)議是A.TLS1.2B.IPSecAHC.WEPD.SSL2.0答案：C解析：WEP終被正式廢棄，RFC9500明文指出其無法修復(fù)。11.在零信任架構(gòu)中，SDP控制器與SDP網(wǎng)關(guān)之間默認(rèn)使用的控制通道端口是A.TCP/443B.UDP/500C.TCP/444D.UDP/4500答案：C解析：SDP規(guī)范默認(rèn)TCP/444，避免與Web端口沖突。12.某企業(yè)部署“安全訪問服務(wù)邊緣（SASE）”后，發(fā)現(xiàn)Office365登錄延遲增加，最應(yīng)調(diào)整的SLA指標(biāo)是A.MTTRB.MTTDC.RTTD.RPO答案：C解析：RTT直接體現(xiàn)鏈路延遲，需就近接入SASEPOP。13.2025年7月，GitLab17.0修復(fù)的“CVE20251234”屬于哪一類漏洞A.SSRFB.RCEC.XSSD.LPE答案：B解析：該CVE為模板注入導(dǎo)致的遠(yuǎn)程代碼執(zhí)行。14.在Windows1124H2中，默認(rèn)啟用且可阻止“BringYourOwnVulnerableDriver（BYOVD）”攻擊的功能是A.HVCIB.VBSC.CredentialGuardD.WindowsHello答案：A解析：HVCI（HypervisorProtectedCodeIntegrity）拒絕未簽名驅(qū)動。15.某單位使用“國密雙證書”體系，加密證書與簽名證書的關(guān)鍵區(qū)別是A.密鑰用法擴(kuò)展B.基本約束擴(kuò)展C.主題備用名D.CRL分發(fā)點(diǎn)答案：A解析：加密證書密鑰用法為KeyEncipherment，簽名證書為DigitalSignature。16.在Linux中，若需審計(jì)“eBPF程序加載”，應(yīng)配置的audit規(guī)則是A.w/sys/kernel/debug/tracing/prB.aalways,exitFarch=b64Sbpfkebpf_loadC.w/usr/lib64/libbpf.sopxD.aalways,exitFarch=b64Sptracekebpf_load答案：B解析：系統(tǒng)調(diào)用號為bpf，可捕獲所有eBPF加載事件。17.2025年，主流瀏覽器已默認(rèn)禁用的跨域機(jī)制是A.CORSB.JSONPC.PostMessageD.Fetch答案：B解析：JSONP因無Origin校驗(yàn)被全面禁用。18.某云函數(shù)（Lambda）運(yùn)行時(shí)采用“FirecrackerMicroVM”，其隔離邊界屬于A.進(jìn)程級B.容器級C.輕量級虛擬化級D.硬件級答案：C解析：Firecracker基于KVM，屬于微虛機(jī)隔離。19.在IPv6網(wǎng)絡(luò)中，用于防止“ND欺騙”的安全機(jī)制是A.SENDB.SAVIC.RAGuardD.DHCPv6Guard答案：A解析：SEND（SecureNeighborDiscovery）通過CGA與RSA簽名防止ND欺騙。20.2025年，工信部要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購遠(yuǎn)程運(yùn)維服務(wù)時(shí)，必須采用的加密算法套件是A.TLS_AES_256_GCM_SHA384B.TLS_SM4_GCM_SM3C.TLS_CHACHA20_POLY1305_SHA256D.TLS_RSA_WITH_3DES_EDE_CBC_SHA答案：B解析：國密套件TLS_SM4_GCM_SM3為強(qiáng)制要求。21.在Kubernetes中，為防止“etcd”被惡意寫入，應(yīng)啟用的加密配置是A.EncryptionConfigurationwithaescbcB.EncryptionConfigurationwithsecretboxC.EncryptionConfigurationwithkmsD.EncryptionConfigurationwithidentity答案：C解析：KMS插件支持外置HSM，密鑰輪換更安全。22.某單位采用“國密SSLVPN”，其握手協(xié)議版本字段應(yīng)為A.0x0301B.0x0303C.0x0101D.0x0201答案：D解析：國密TLS1.1版本號為0x0201。23.2025年，微軟將“PasstheHash”緩解策略默認(rèn)提升到A.NTLMv1B.NTLMv2C.KerberosArmoringD.RestrictedAdminMode答案：C解析：KerberosArmoring（FAST）默認(rèn)開啟，阻斷PtH。24.在Linux中，若需阻止“StackClash”攻擊，應(yīng)開啟的編譯參數(shù)是A.fstackprotectorB.fstackprotectorstrongC.fstackclashprotectionD.fnostacklimit答案：C解析：fstackclashprotection在GCC8+提供，可探測棧沖突。25.某單位使用“DNSoverHTTPS（DoH）”集中解析，為防止“DNS泄漏”，應(yīng)強(qiáng)制客戶端使用的本地地址是A.:53B.:853C.:443D.:5353答案：C解析：DoH基于HTTPS，端口443。26.2025年，Chrome已全面支持的“后量子密鑰交換”算法是A.Kyber512B.Kyber768C.Kyber1024D.NTRU答案：B解析：Chrome125默認(rèn)啟用Kyber768。27.在Windows中，若需審計(jì)“LSA內(nèi)存轉(zhuǎn)儲”，應(yīng)配置的組策略是A.DebugPrivilegeB.AuditLSAOperationC.AuditSensitivePrivilegeUseD.AuditProcessTracking答案：C解析：SensitivePrivilegeUse可記錄LSA內(nèi)存訪問。28.某單位采用“SDP+IAM”架構(gòu)，用戶首次訪問時(shí)，SDP控制器返回的“SPA敲門響應(yīng)”中不包含A.臨時(shí)JWTB.網(wǎng)關(guān)路由表C.用戶郵箱明文D.對稱加密密鑰答案：C解析：郵箱明文無需攜帶，避免泄漏。29.2025年，OpenSSH9.5默認(rèn)禁用的算法是A.rsasha2512B.sshrsaC.ecdsasha2nistp256D.sshed25519答案：B解析：sshrsa（SHA1）被默認(rèn)禁用。30.在Android15中，阻止“StrandHogg2.0”攻擊的核心機(jī)制是A.IntentFirewallB.ActivityTaskAffinityC.AppIntegrityProtectionD.ScopedIntentLaunch答案：D解析：ScopedIntentLaunch限制任務(wù)棧劫持。二、多項(xiàng)選擇題（每題2分，共20分。每題有兩個(gè)或以上正確答案，多選、少選、錯(cuò)選均不得分）31.以下哪些技術(shù)可有效阻斷“AI深度偽造（Deepfake）”語音釣魚A.聲紋活體檢測B.頻譜相位一致性校驗(yàn)C.信道突變檢測D.固定口令二次驗(yàn)證答案：ABC解析：固定口令可被重放，無法阻斷Deepfake。32.2025年，以下哪些HTTP響應(yīng)頭可緩解“XSLeaks”側(cè)信道攻擊A.CrossOriginOpenerPolicyB.CrossOriginEmbedderPolicyC.CrossOriginResourcePolicyD.TimingAllowOrigin答案：ABC解析：COOP/COEP/CORP可隔離跨域窗口與資源。33.在Kubernetes中，以下哪些配置可阻斷“容器逃逸到節(jié)點(diǎn)”A.readOnlyRootFilesystem:trueB.allowPrivilegeEscalation:falseC.seccompProfile:RuntimeDefaultD.hostNetwork:true答案：ABC解析：hostNetwork=true反而增加逃逸面。34.以下哪些屬于“后量子數(shù)字簽名”算法A.DilithiumB.FalconC.RainbowD.Kyber答案：ABC解析：Kyber為密鑰封裝，非簽名。35.2025年，以下哪些端口被工信部列入“高風(fēng)險(xiǎn)默認(rèn)端口”A.TCP/135B.TCP/445C.TCP/1433D.TCP/8080答案：ABC解析：8080未列入強(qiáng)制清單。36.在Linux中，以下哪些命令可查看“eBPF程序已加載列表”A.bpftoolproglistB.ls/sys/fs/bpfC.cat/proc/kallsymsD.perftop答案：AB解析：kallsyms僅顯示符號，perftop用于采樣。37.以下哪些屬于“國密SSLVPN”規(guī)定的認(rèn)證方式A.雙因子國密證書B.國密動態(tài)口令C.國密IBC標(biāo)識密碼D.國密FIDO2答案：ABC解析：FIDO2尚未納入國密SSLVPN規(guī)范。38.以下哪些技術(shù)可檢測“DNSoverHTTPS隧道”A.JA3/JA3S指紋B.流量包長時(shí)序分析C.SNI明文檢測D.基于ESNI的阻斷答案：AB解析：DoH加密SNI/ESNI，無法基于域名檢測。39.在Windows11中，以下哪些策略可緩解“BringYourOwnVulnerableDriver”A.HVCIB.DriverBlockRulesC.WindowsDefenderApplicationControlD.LSAProtection答案：ABC解析：LSAProtection與驅(qū)動無關(guān)。40.以下哪些屬于“IPv6安全鄰居發(fā)現(xiàn)（SEND）”依賴的密碼學(xué)機(jī)制A.CGAB.RSASignatureC.NonceD.HMACSHA256答案：ABC解析：SEND使用CGA+RSA+Nonce，無需HMAC。三、判斷題（每題1分，共10分。正確打“√”，錯(cuò)誤打“×”）41.2025年，TLS1.3已支持國密SM4GCM套件。答案：√解析：RFC8998bis已定義SM4GCMTLS1.3。42.Android15默認(rèn)禁止所有后臺啟動Activity，可有效阻斷StrandHogg。答案：√解析：BackgroundActivityLaunch限制生效。43.Kubernetes1.30中，etcd默認(rèn)啟用KMS加密，無需手動配置。答案：×解析：仍需手動提供EncryptionConfiguration。44.Windows1124H2中，CredentialGuard默認(rèn)開啟，可防止PasstheHash。答案：√解析：24H2默認(rèn)啟用VBS+CG。45.在IPv6中，SEND機(jī)制需要DHCPv6支持。答案：×解析：SEND與DHCPv6無關(guān)，基于CGA。46.國密SSLVPN握手時(shí)，服務(wù)端必須發(fā)送雙證書鏈。答案：√解析：加密+簽名雙證書為強(qiáng)制要求。47.OpenSSH9.5默認(rèn)啟用后量子密鑰交換Kyber1024。答案：×解析：默認(rèn)Kyber768。48.Chrome125已移除對TLS_RSA_WITH_AES_128_CBC_SHA的支持。答案：√解析：CBC套件被全面移除。49.Linux內(nèi)核6.8中，啟用KernelLockdown可阻止加載未簽名eBPF程序。答案：√解析：Lockdown模式強(qiáng)制簽名驗(yàn)證。50.2025年，工信部要求CIIO遠(yuǎn)程運(yùn)維必須采用國密TLS_SM4_GCM_SM3，禁用所有國際算法。答案：×解析：允許國密優(yōu)先，非絕對禁用國際算法。四、填空題（每空1分，共10分）51.2025年，Windows1124H2默認(rèn)啟用________技術(shù)，可阻止BYOVD攻擊。答案：HVCI52.在Kubernetes1.30中，為防止容器逃逸，必須設(shè)置SecurityContext字段________為false。答案：allowPrivilegeEscalation53.國密SM2簽名算法使用的橢圓曲線名稱為________。答案：SM2P256V154.2025年，IETF發(fā)布的“DNSoverHTTP/3”標(biāo)準(zhǔn)文檔編號為________。答案：RFC958055.OpenSSL3.2.1中，用于啟用國密算法的編譯開關(guān)為________。答案：enablesm2sm3sm456.在Linux中，查看已加載eBPF程序的命令為________。答案：bpftoolproglist57.Android15中，防止任務(wù)棧劫持的機(jī)制名稱為________。答案：ScopedIntentLaunch58.2025年，Chrome默認(rèn)啟用的后量子密鑰交換算法為________。答案：Kyber76859.在IPv6中，SEND機(jī)制使用的地址生成模式為________。答案：CGA（CryptographicallyGeneratedAddress）60.工信部要求CIIO遠(yuǎn)程運(yùn)維優(yōu)先采用的國密TLS套件為________。答案：TLS_SM4_GCM_SM3五、簡答題（每題10分，共30分）61.簡述“零信任動態(tài)端口（SPA）”在2025年企業(yè)邊界防護(hù)中的部署要點(diǎn)，并給出Linux服務(wù)端最小化配置（含關(guān)鍵命令）。答案：1.部署要點(diǎn)：a.控制器與網(wǎng)關(guān)分離，控制器僅暴露TCP/444；b.采用國密SM4GCM敲門報(bào)文，長度≤150byte；c.敲門成功后下發(fā)JWT，有效期≤30s；d.網(wǎng)關(guān)默認(rèn)DROP所有端口，僅接受源IP+端口白名單；e.支持多因素結(jié)合，如SM2證書+OTP。2.最小化配置：安裝fwknopserveryuminstallfwknopservery編輯/etc/fwknop/access.confSOURCE:ANY;KEY_BASE64:SM4_KEY;OPEN_PORTS:tcp/22;編輯/etc/fwknop/fwknopd.confENABLE_IPT_FORWARDING:Y;MAX_PACKET_AGE:30;啟動服務(wù)systemctlenablefwknopdnow客戶端敲門fwknopAtcp/22a<客戶端IP>D<服務(wù)端IP>keybase64SM4_KEY解析：SM4敲門避免AESNI旁路，30s有效期降低重放風(fēng)險(xiǎn)，網(wǎng)關(guān)默認(rèn)DROP實(shí)現(xiàn)“網(wǎng)絡(luò)隱身”。62.2025年，某單位Kubernetes集群發(fā)生“容器逃逸到節(jié)點(diǎn)”事件，攻擊者利用的是“內(nèi)核cgroupsv1writeable”漏洞。請給出完整的應(yīng)急與加固方案。答案：1.應(yīng)急：a.立即隔離節(jié)點(diǎn)，cordon+drain；b.收集/var/log/audit/audit.log與/var/lib/kubelet/pods//containers//日志；c.使用kubectldebug節(jié)點(diǎn)，提取/proc/kmsg；d.利用eBPF取證工具（kubectltrace）追蹤逃逸進(jìn)程；e.下線鏡像，重建節(jié)點(diǎn)。2.加固：a.升級內(nèi)核至6.9，啟用cgr