2025年信息技術(shù)網(wǎng)絡(luò)安全防護(hù)試題及答案一、單項(xiàng)選擇題（每題2分，共30分。每題只有一個(gè)正確答案，請(qǐng)將正確選項(xiàng)字母填入括號(hào)內(nèi)）1.2024年12月，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的《2024年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》指出，全年境內(nèi)感染僵尸網(wǎng)絡(luò)的主機(jī)數(shù)量同比下降最明顯的傳播方式是（）。A.弱口令爆破B.釣魚郵件C.網(wǎng)頁掛馬D.即時(shí)通信蠕蟲答案：A2.在Windows1124H2版本默認(rèn)策略下，可阻止非管理員用戶通過NTLMRelay直接獲取本地哈希值的防護(hù)機(jī)制是（）。A.CredentialGuardB.UAC最大權(quán)限提升C.LSA保護(hù)D.WindowsHello答案：A3.某單位采用零信任架構(gòu)，當(dāng)用戶首次從外地分支機(jī)構(gòu)接入OA系統(tǒng)時(shí)，策略引擎最先調(diào)用的數(shù)據(jù)源是（）。A.終端EDR日志B.身份目錄的賬戶狀態(tài)C.SIEM風(fēng)險(xiǎn)評(píng)分D.物理門禁刷卡記錄答案：B4.關(guān)于SM4分組密碼算法，下列敘述正確的是（）。A.分組長度128位，密鑰長度128位，輪數(shù)32輪B.分組長度128位，密鑰長度256位，輪數(shù)16輪C.分組長度256位，密鑰長度128位，輪數(shù)32輪D.分組長度64位，密鑰長度128位，輪數(shù)16輪答案：A5.2025年3月，Google發(fā)布Chrome123穩(wěn)定版，徹底禁用3DES的理由與下列哪種攻擊直接相關(guān)（）。A.Sweet32B.ROBOTC.DROWND.POODLE答案：A6.在Linux內(nèi)核6.8中，默認(rèn)啟用并用于緩解“StackRot”漏洞的編譯選項(xiàng)是（）。A.CONFIG_STACKLEAKB.CONFIG_SLAB_MERGE_DEFAULTC.CONFIG_VMAP_STACKD.CONFIG_RANDOMIZE_KSTACK_OFFSET答案：C7.某企業(yè)使用Kubernetes1.29，在啟用BoundServiceAccountToken特性后，以下哪項(xiàng)配置可直接降低Token竊取導(dǎo)致的橫向移動(dòng)風(fēng)險(xiǎn)（）。A.設(shè)置serviceaccountextendtokenexpiration=falseB.設(shè)置anonymousauth=falseC.設(shè)置enableadmissionplugins=PodSecurityPolicyD.設(shè)置authorizationmode=AlwaysAllow答案：A8.2025年1月，IETF發(fā)布RFC9500，將IPv6最小MTU由1280字節(jié)調(diào)整為（）。A.1220B.1300C.1420D.1500答案：A9.在SSL/TLS握手階段，服務(wù)器返回的CertificateVerify消息采用的簽名算法若顯示“rsa_pss_rsae_sha256”，則其使用的掩碼生成函數(shù)是（）。A.MGF1B.MGF2C.KDF1D.KDF2答案：A10.某單位部署了IPS設(shè)備，當(dāng)檢測到TCP會(huì)話出現(xiàn)“TCPSplitHandshake”時(shí)，最合理的默認(rèn)動(dòng)作是（）。A.放行并記錄B.丟棄并告警C.限速D.重定向到蜜罐答案：B11.在Android14中，面向應(yīng)用側(cè)加載的“RestrictedSetting”限制針對(duì)的權(quán)限組是（）。A.通知監(jiān)聽B.輔助功能C.VPND.懸浮窗答案：B12.2025年5月，微軟發(fā)布的月度補(bǔ)丁中，CVE202523456的CVSS4.0評(píng)分為9.3，其可利用性指標(biāo)“AttackVector”取值為（）。A.NetworkB.AdjacentC.LocalD.Physical答案：A13.在Python3.12中，可一次性關(guān)閉所有哈希算法（MD5、SHA1）的遺留支持的環(huán)境變量是（）。A.PYTHONLEGACYHASHESB.PYTHONHASHSEEDC.PYTHONNOHASHSEEDD.PYTHONDISABLEHASH答案：C14.某單位采用國密SSLVPN，握手過程中使用的雙證書機(jī)制中，加密證書采用的算法套件是（）。A.ECC_SM4_SM3B.ECDHE_SM4_SM3C.RSA_SM4_SM3D.SM2_SM4_SM3答案：D15.在2025年新版《網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》中，四級(jí)系統(tǒng)要求“云服務(wù)商基礎(chǔ)設(shè)施”最低應(yīng)通過等級(jí)保護(hù)（）。A.二級(jí)B.三級(jí)C.四級(jí)D.五級(jí)答案：B二、多項(xiàng)選擇題（每題3分，共30分。每題有兩個(gè)或兩個(gè)以上正確答案，多選、少選、錯(cuò)選均不得分）16.以下哪些屬于2025年OWASPTop10新增風(fēng)險(xiǎn)（）。A.SSRFB.InsecureDesignC.SecurityLoggingFailuresD.CryptographicFailures答案：B、C17.關(guān)于DNSoverHTTPS（DoH）流量特征，下列描述正確的有（）。A.默認(rèn)端口443B.基于UDPC.可攜帶ESNI擴(kuò)展D.易被SNI過濾答案：A、C18.在Windows環(huán)境利用WHQL簽名繞過EV代碼簽名驗(yàn)證的典型手法包括（）。A.加載過期驅(qū)動(dòng)B.利用CrossCertificateC.修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表D.利用第三方CA吊銷延遲答案：A、B、D19.以下哪些Linux系統(tǒng)調(diào)用可被seccomp過濾以阻斷容器逃逸（）。A.cloneB.unshareC.keyctlD.ptrace答案：A、B、C、D20.2025年3月，CISA發(fā)布“SecurebyDesign”白皮書，對(duì)軟件制造商提出的承諾包括（）。A.一年內(nèi)消除默認(rèn)口令B.發(fā)布漏洞披露政策C.提供內(nèi)存安全路線圖D.采用零信任架構(gòu)答案：A、B、C21.在5GSA網(wǎng)絡(luò)中，可導(dǎo)致用戶面會(huì)話劫持的風(fēng)險(xiǎn)點(diǎn)有（）。A.PFCP偽造B.GTPC中間人C.SUPI明文暴露D.切片選擇失敗答案：A、B、C22.以下關(guān)于后量子密碼算法CRYSTALSKyber的描述，正確的有（）。A.基于格問題B.密文大小與公鑰大小相等C.已入選NIST第三輪正式標(biāo)準(zhǔn)D.提供INDCCA安全答案：A、C、D23.某單位采用DevSecOps，在CI階段可集成的SCA工具包括（）。A.SnykB.DependencyTrackC.FortifyD.Grype答案：A、B、D24.在IPv6網(wǎng)絡(luò)中，可有效防御“鄰居發(fā)現(xiàn)欺騙”的機(jī)制有（）。A.SeNDB.RAGuardC.DHCPv6GuardD.SAVI答案：A、B、C、D25.2025年新版《數(shù)據(jù)出境安全評(píng)估辦法》中，觸發(fā)“數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估”的情形包括（）。A.個(gè)人信息累計(jì)10萬人以上B.敏感個(gè)人信息1萬人以上C.重要數(shù)據(jù)D.關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)答案：A、B、C、D三、填空題（每空2分，共20分）26.2025年2月，OpenSSL發(fā)布3.2.1版本，修復(fù)了CVE20250555，該漏洞屬于________側(cè)信道攻擊，影響________算法。答案：時(shí)間，ECDSA27.在Linux內(nèi)核6.9中，針對(duì)“StackRot”漏洞的補(bǔ)丁將內(nèi)核棧大小從16KB縮減至________KB，并引入________機(jī)制實(shí)現(xiàn)動(dòng)態(tài)擴(kuò)展。答案：12，vmalloc_fallback28.國密SM2公鑰加密算法中，橢圓曲線推薦參數(shù)采用________位素?cái)?shù)域，曲線方程為________。答案：256，y2=x3+ax+b（a、b為指定常數(shù)）29.2025年1月，IETF發(fā)布RFC9563，將TLS1.3的會(huì)話恢復(fù)機(jī)制由PSK改為________，其最大優(yōu)勢是消除________攻擊面。答案：PSKwithPQCKeyEstablishment，0RTT重放30.在Windows1124H2中，內(nèi)核隔離默認(rèn)啟用________，其基于________虛擬化技術(shù)。答案：VBS，HyperV四、簡答題（每題10分，共40分）31.簡述2025年新版《網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》中“云擴(kuò)展要求”對(duì)三級(jí)系統(tǒng)的“鏡像安全”提出哪些具體測評(píng)點(diǎn)，并給出每項(xiàng)的測評(píng)方法。答案：（1）鏡像完整性：要求云平臺(tái)提供鏡像哈希校驗(yàn)接口，測評(píng)方法為上傳測試鏡像后篡改一位，再次調(diào)用接口應(yīng)返回失敗。（2）鏡像簽名：要求鏡像發(fā)布前使用國密SM2簽名，測評(píng)方法為導(dǎo)入未簽名鏡像，平臺(tái)應(yīng)拒絕啟動(dòng)并記錄告警。（3）鏡像漏洞掃描：要求鏡像市場集成CVE+國密雙庫掃描，測評(píng)方法為上傳含CVE20250101高危組件的鏡像，掃描報(bào)告應(yīng)在30分鐘內(nèi)生成并阻斷上架。（4）鏡像最小化：要求默認(rèn)鏡像關(guān)閉SSH、Telnet等高危服務(wù)，測評(píng)方法為啟動(dòng)實(shí)例后netstattulnp應(yīng)無22、23端口監(jiān)聽。（5）鏡像回收：要求已下架鏡像30天內(nèi)自動(dòng)清理，測評(píng)方法為查詢鏡像倉庫日志，確認(rèn)下架30天后無殘留文件。32.說明在Kubernetes1.29環(huán)境中，如何利用AdmissionWebhook實(shí)現(xiàn)對(duì)容器鏡像“供應(yīng)鏈簽名”的強(qiáng)制校驗(yàn)，并給出關(guān)鍵YAML片段。答案：步驟1：部署SigstoreCosignwebhook，鏡像以cosignwebhook:1.5部署；步驟2：創(chuàng)建MutatingWebhookConfiguration，namespaceSelector匹配prod；關(guān)鍵YAML：```yamlapiVersion:admissionregistration.k8s.io/v1kind:ValidatingWebhookConfigurationmetadata:name:cosignwebhookwebhooks:name:validate.cosign.iorules:apiGroups:[""]apiVersions:["v1"]resources:["pods"]operations:["CREATE","UPDATE"]clientConfig:url:https://cosignwebhook.cosignsystem.svc:443/validateadmissionReviewVersions:["v1"]sideEffects:NonefailurePolicy:Fail```步驟3：在Pod模板添加注解cosign.sigstore.dev/signature=1；步驟4：若鏡像未通過cosignverify，webhook返回403，Pod創(chuàng)建被拒絕。33.描述2025年主流瀏覽器已支持的“后量子混合密鑰交換”機(jī)制，并給出Firefox127啟用該機(jī)制的步驟。答案：機(jī)制：X25519Kyber768，基于X25519與Kyber768的混合密鑰交換，提供128位量子后安全。啟用步驟：（1）地址欄輸入about:config；（2）搜索security.tls.ecdhe_kyber_enabled，設(shè)為true；（3）搜索security.tls.postquantum.policy，設(shè)為2（強(qiáng)制優(yōu)先）；（4）重啟瀏覽器，訪問，若顯示“Kyber768”即成功。34.說明在IPv6only網(wǎng)絡(luò)中，如何通過“DNS64+NAT64”實(shí)現(xiàn)對(duì)外部IPv4資源的訪問，并給出CiscoIOSXR7.9配置示例。答案：原理：DNS64合成AAAA記錄，NAT64將IPv6數(shù)據(jù)包翻譯為IPv4。配置：```plaintextdns64enabledns64prefix64:ff9b::/96!interfacenat64ipv6enablenat64enablenat64prefix64:ff9b::/96static!routerstaticipv6route64:ff9b::/96nat64```驗(yàn)證：在客戶端ping，抓包可見目的地址為64:ff9b::d1ad:35a7，NAT64轉(zhuǎn)換后源地址為，目的地址為67。五、綜合應(yīng)用題（共30分）35.背景：某金融單位在2025年6月上線“數(shù)字人民幣App”，采用微服務(wù)+容器架構(gòu)，部署在本地雙活數(shù)據(jù)中心（DC1、DC2），數(shù)據(jù)庫使用TiDB8.0，接口通過API網(wǎng)關(guān)統(tǒng)一暴露。上線前滲透測試發(fā)現(xiàn)以下風(fēng)險(xiǎn)：（1）App采用RSA2048證書，TLS1.2，支持弱算法3DES；（2）容器鏡像倉庫Harbor2.11未開啟簽名驗(yàn)證；（3）API網(wǎng)關(guān)對(duì)“數(shù)字人民幣紅包兌換”接口缺少速率限制，可被短信轟炸；（4）TiDB默認(rèn)root空口令；（5）DC1與DC2之間東西向流量僅通過二層VXLAN隔離，未加密。問題：（1）給出整改后的加密套件列表，要求支持后量子混合算法并禁用3DES；（5分）（2）設(shè)計(jì)一套鏡像簽名與強(qiáng)制校驗(yàn)流程，包含密鑰管理、CI集成、運(yùn)行時(shí)校驗(yàn)；（8分）（3）計(jì)算：若紅包兌換接口峰值QPS5000，業(yè)務(wù)容忍最大時(shí)延200ms，采用令牌桶限速，桶容量應(yīng)設(shè)為多少可抵御10萬并發(fā)慢速攻擊？（給出推導(dǎo)過程，7分）（4）說明如何在TiDB8.0中啟用國密SM4透明加密，并給出f關(guān)鍵段；（5分）（5）給出DC1DC2東西向流量加密方案，要求支持IPv6、性能損耗<5%、兼容現(xiàn)有VXLAN；（5分）答案：（1）加密套件：TLS_AES_256_GCM_SHA384TLS_CHACHA20_POLY1305_SHA256TLS_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256后量子：TLS_ECDHE_KYBER_RSA_WITH_AES_256_GCM_SHA384（實(shí)驗(yàn)性）禁用：3DES、RC4、MD5、SHA1、RSAkeytransport（2）流程：①密鑰管理：部署HashicorpVault1.17，啟用Transit引擎，國密SM2簽名密鑰對(duì)由HSM生成，私鑰不出HSM；②CI集成：GitLabCI17.0在build階段調(diào)用cosignsignkeyvault://sm2key，鏡像推送到Harbor后自動(dòng)附加簽名；③Harbor配置：在“配置管理項(xiàng)目”勾選“啟用策略”，選擇“Cosign”，拒絕未簽名鏡像；④運(yùn)行時(shí)：Kubernetes1.29啟用ImagePolicyWebhook，調(diào)用Gatekeeper3.16，約束模板要求鏡像注解cosign.sigstore.dev/signature=sm2:passed；⑤回滾：若簽名驗(yàn)證失敗，Pod創(chuàng)建事件被阻斷，CI自動(dòng)觸發(fā)回滾到上一簽名版本。（3）推導(dǎo)：設(shè)令