安全技術(shù)培訓考試試題及答案(E卷)一、單項選擇題（每題2分，共30分）1.某企業(yè)采用零信任架構(gòu)，下列哪項最能體現(xiàn)其核心原則？A.內(nèi)網(wǎng)流量無需二次認證B.默認信任已接入VPN的員工設(shè)備C.每次訪問請求都需動態(tài)驗證身份與上下文D.防火墻規(guī)則一旦下發(fā)永久生效答案：C解析：零信任強調(diào)“永不信任、持續(xù)驗證”，任何訪問請求都必須結(jié)合身份、設(shè)備、環(huán)境等多維上下文動態(tài)評估，而非一次性授權(quán)或靜態(tài)規(guī)則。2.在Linux系統(tǒng)中，若需禁止普通用戶通過Ctrl+Alt+Del重啟服務(wù)器，應修改哪一文件？A./etc/inittabB./etc/systemd/system/ctrl-alt-del.targetC./etc/securettyD./etc/profile答案：B解析：systemd時代，Ctrl+Alt+Del事件由ctrl-alt-del.target觸發(fā)，將其鏈接至/dev/null或mask該單元即可屏蔽重啟功能；/etc/inittab已廢棄。3.針對容器逃逸，哪項內(nèi)核加固措施最直接？A.關(guān)閉SWAP分區(qū)B.啟用seccomp并限制系統(tǒng)調(diào)用C.將docker.sock權(quán)限設(shè)為600D.使用overlay2存儲驅(qū)動答案：B解析：seccomp（securecomputingmode）可過濾容器內(nèi)進程的系統(tǒng)調(diào)用，直接縮小攻擊面；其他選項與逃逸關(guān)聯(lián)度較低。4.某Web應用使用JWT做會話，下列哪項配置最易導致令牌被偽造？A.將alg設(shè)為HS256，密鑰長度256bitB.將alg設(shè)為none，且服務(wù)端未強制校驗C.設(shè)置exp為當前時間+15分鐘D.在payload中加入用戶IP綁定答案：B解析：alg=none時，簽名部分為空，攻擊者可直接篡改payload；若服務(wù)端未拒絕無簽名令牌，即可偽造任意身份。5.在Windows日志取證中，若要定位“哈希傳遞”攻擊，應優(yōu)先篩選哪組事件ID？A.4624/4625B.4672/4648C.4768/4769D.4771/4776答案：D解析：4771記錄Kerberos預認證失敗，4776記錄NTLM認證，可發(fā)現(xiàn)異常登錄與哈希傳遞痕跡；4768/4769為TGT與ST請求，關(guān)聯(lián)度次之。6.某云函數(shù)（Lambda）需訪問云數(shù)據(jù)庫，最佳憑證管理方式為：A.將AK/SK硬編碼在函數(shù)壓縮包B.使用函數(shù)環(huán)境變量明文寫入AK/SKC.為函數(shù)分配IAM角色，通過STS臨時憑證訪問D.在函數(shù)內(nèi)調(diào)用metadata接口獲取主賬號AK答案：C解析：IAM角色自動頒發(fā)短期臨時憑證，無需硬編碼，支持最小權(quán)限與審計；metadata接口僅適用于EC2，且獲取主賬號AK風險極高。7.關(guān)于SM4分組密碼，下列說法正確的是：A.分組長度128位，密鑰長度128位，迭代32輪B.分組長度64位，密鑰長度128位，迭代16輪C.分組長度128位，密鑰長度256位，迭代32輪D.分組長度256位，密鑰長度256位，迭代48輪答案：A解析：SM4為國家商用密碼標準，固定128位分組與密鑰，32輪非平衡Feistel結(jié)構(gòu)，S盒與線性變換均為8×8。8.在iOS逆向中，若要繞過越獄檢測，最通用的動態(tài)防護方案是：A.修改Info.plist添加UIFileSharingEnabledB.使用Fridahook“stat”函數(shù)，對“/bin/bash”返回ENOENTC.重簽名ipa并降低最低版本號D.給可執(zhí)行文件添加PT_DENY_ATTACH答案：B解析：越獄檢測常通過stat訪問特定路徑，F(xiàn)rida可在運行時篡改返回值，通用且無需重打包；PT_DENY_ATTACH用于反調(diào)試。9.某企業(yè)部署了EDR，發(fā)現(xiàn)進程hollow技術(shù)，以下哪項指標最能確認？A.進程PID頻繁變化B.內(nèi)存私有可執(zhí)行頁與磁盤映像哈希不一致C.父進程為services.exeD.命令行參數(shù)長度超過512字節(jié)答案：B解析：進程鏤空（ProcessHollowing）會替換內(nèi)存映像，導致內(nèi)存頁哈希與磁盤文件不匹配；PID不變，父進程與命令行均可偽造。10.在KubernetesRBAC中，若要讓用戶只能查看default命名空間下的Pod，應創(chuàng)建：A.ClusterRole+ClusterRoleBindingB.Role+RoleBindingC.ClusterRole+RoleBindingD.PodSecurityPolicy答案：B解析：Role與RoleBinding作用域為命名空間級別，符合“僅default”要求；ClusterRoleBinding為集群級，PodSecurityPolicy已廢棄。11.某單位收到一封“CEO緊急匯款”郵件，以下哪項技術(shù)措施無法直接降低BEC風險？A.部署DMARC并強制p=rejectB.在郵件網(wǎng)關(guān)添加“外部發(fā)件人”警示橫幅C.對財務(wù)郵箱啟用U2F硬件令牌D.使用自然語言處理模型檢測異常措辭答案：C解析：U2F解決的是登錄劫持，無法阻止攻擊者偽造發(fā)件人域名或社工；DMARC可防域名偽造，橫幅與NLP可直接提示異常。12.關(guān)于TLS1.3的0-RTT，下列哪項說法錯誤？A.可重放攻擊是主要風險B.通過PSK派生早期密鑰C.所有HTTP請求都默認開啟0-RTTD.服務(wù)端可通過anti-replay機制緩解答案：C解析：0-RTT需客戶端與服務(wù)端同時支持且顯式開啟，并非默認；重放風險由單次票證與時鐘窗口緩解。13.在AndroidAPK加固中，哪項技術(shù)對抗動態(tài)調(diào)試最直接？A.將DEX隱藏到assets目錄B.在JNI層調(diào)用ptrace(PTRACE_TRACEME)C.使用AES加密字符串常量D.添加gradle混淆規(guī)則答案：B解析：ptrace(PTRACE_TRACEME)可防止其他進程附加調(diào)試器；DEX隱藏與字符串加密增加靜態(tài)分析難度，不直接防動態(tài)調(diào)試。14.某數(shù)據(jù)庫表user(id,name,pass)，若pass字段存儲如下值，哪項最符合bcrypt特征？A.5f4dcc3b5aa765d61d8327deb882cf99B.2yC.0x0100A607BA7C54A4D7446D3A3C8F26E8D.3b5fe1485712435bb92b081a215b1c9a答案：B解析：bcrypt哈希以2y、2a、15.某工控場景使用ModbusTCP，若要檢測異常功能碼，應在哪一層部署探針？A.物理層B.數(shù)據(jù)鏈路層C.應用層D.傳輸層答案：C解析：Modbus功能碼屬于應用層協(xié)議字段，需深度包解析（DPI）才能識別；下層僅能看到以太網(wǎng)幀或TCP段。二、多項選擇題（每題3分，共30分）16.以下哪些做法可降低KubernetesAPIServer未授權(quán)訪問風險？A.關(guān)閉匿名認證（--anonymous-auth=false）B.啟用NodeRestriction準入控制器C.將APIServer監(jiān)聽端口改為非6443D.為kube-apiserver證書添加SAN字段E.使用RBAC綁定system:anonymous到cluster-admin答案：A、B、D解析：關(guān)閉匿名認證與NodeRestriction可直接縮小攻擊面；證書SAN保證TLS握手成功，端口修改僅為隱蔽，不解決授權(quán)；E為錯誤配置。17.關(guān)于內(nèi)存馬（MemoryShell）特征，正確的有：A.磁盤無落地文件B.可通過JavaAgent技術(shù)注入C.重啟容器后仍然存活D.在/proc/<pid>/fd目錄下一定可見E.可被java.lang.instrument檢測答案：A、B、E解析：內(nèi)存馬依托JVM運行時，無文件落地；Agent機制可動態(tài)注入；重啟進程即消失；/proc/fd不一定暴露；instrumentAPI可枚舉Agent。18.以下哪些屬于可信計算技術(shù)范疇？A.TPM2.0芯片B.IntelSGXC.AMDSEVD.ARMTrustZoneE.AES-NI指令集答案：A、B、C、D解析：TPM、SGX、SEV、TrustZone均提供硬件級可信根與隔離執(zhí)行；AES-NI僅為加密加速指令，不涉可信度量。19.在SDL流程中，哪些活動應在編碼階段完成？A.靜態(tài)代碼掃描（SAST）B.威脅建模C.依賴庫漏洞掃描（SCA）D.滲透測試E.代碼審查答案：A、C、E解析：SAST與SCA直接面向源碼與依賴；代碼審查在編碼階段同步進行；威脅建模在需求與架構(gòu)階段；滲透測試在測試或發(fā)布階段。20.以下哪些HTTP響應頭可緩解XSS？A.Content-Security-PolicyB.X-Content-Type-OptionsC.X-XSS-ProtectionD.Strict-Transport-SecurityE.Referrer-Policy答案：A、C解析：CSP與X-XSS-Protection直接針對XSS；X-Content-Type-Options防MIME嗅探，HSTS防明文，Referrer-Policy控制引用信息。21.關(guān)于國密算法，下列哪些組合可用于數(shù)字簽名？A.SM2+SM3B.SM2+SHA256C.SM9+SM3D.RSA+SM3E.SM4+SM3答案：A、B、C解析：SM2、SM9為國家密碼局認可的公鑰算法，可配合SM3或SHA系列；SM4為對稱加密，不能用于簽名；RSA+SM3無標準定義。22.以下哪些日志源可用于檢測DGA域名？A.DNS查詢?nèi)罩綛.網(wǎng)絡(luò)流量NetFlowC.Web訪問日志D.TLSSNI字段E.WindowsSysmonEventID22答案：A、B、D、E解析：DNS日志、NetFlow、SNI、Sysmon22均含域名信息；Web日志僅記錄HTTPHost，無法覆蓋DNS階段。23.在反爬蟲場景中，哪些技術(shù)可區(qū)分人機？A.行為指紋（鼠標軌跡）B.TLSJA3指紋C.驗證碼D.IP頻率限制E.Honeypot隱藏字段答案：A、B、C、E解析：行為指紋、JA3、驗證碼、蜜罐字段均面向客戶端特征；IP頻率屬于網(wǎng)絡(luò)層，易被代理繞過。24.以下哪些屬于常見的側(cè)信道攻擊？A.時序攻擊B.功耗分析C.電磁泄漏D.RowhammerE.Spectre答案：A、B、C解析：時序、功耗、電磁為經(jīng)典側(cè)信道；Rowhammer為物理位翻轉(zhuǎn)，Spectre為投機執(zhí)行，屬微架構(gòu)攻擊但非傳統(tǒng)側(cè)信道。25.在數(shù)據(jù)脫敏場景，哪些算法可實現(xiàn)可逆脫敏？A.AES-256-GCMB.Format-PreservingEncryptionC.哈希加鹽D.令牌化（Tokenization）E.掩碼替換答案：A、B、D解析：對稱加密與FPE、令牌化均可逆；哈希不可逆，掩碼替換丟失原始數(shù)據(jù)。三、判斷題（每題1分，共10分）26.在Windows中，啟用LSAProtection后，mimikatz仍可讀取NTLMHash。答案：錯誤解析：LSAProtection（RunAsPPL）將lsass.exe置于受保護進程，mimikatz無法注入讀??；需額外驅(qū)動漏洞或物理訪問。27.HTTP/3基于QUIC，天然具備TLS1.3加密，因此不再需Cookie屬性Secure。答案：錯誤解析：Secure屬性確保Cookie僅在加密通道傳輸，HTTP/3雖強制TLS，但中間層降級或本地代理仍可能明文暴露，需保留。28.使用ChaCha20-Poly1305比AES-GCM在移動端更省電，因為前者純軟件實現(xiàn)無硬件加速。答案：錯誤解析：ChaCha20在缺少AES-NI的設(shè)備上速度更快，但“省電”需綜合考量，且現(xiàn)代ARMv8已含AES指令，結(jié)論不絕對。29.在Linux中，將/etc/shadow權(quán)限改為000，可阻止本地提權(quán)漏洞讀取哈希。答案：錯誤解析：root用戶不受文件權(quán)限限制，本地提權(quán)后仍可讀取；反而導致合法服務(wù)無法認證。30.國密SM2公鑰加密算法與ECIES完全兼容，可直接互通。答案：錯誤解析：SM2基于自研曲線與加密流程，雖類似ECIES，但細節(jié)（密鑰派生、哈希、編碼）不同，無法直接互通。31.使用JSONWebEncryption時，若采用A128GCM算法，則IV長度必須為96位。答案：正確解析：JWE規(guī)范（RFC7516）規(guī)定GCM模式IV固定12字節(jié)（96位），其他長度將拒絕解密。32.在Kubernetes中，PodSecurityPolicy已被PodSecurityStandards替代。答案：正確解析：PSP在v1.21棄用，v1.25移除，官方推薦PodSecurityAdmission或OPA/Gatekeeper。33.將Nginx版本號隱藏server_tokensoff;可徹底防止版本掃描。答案：錯誤解析：server_tokens僅隱藏響應頭，錯誤頁仍可能泄露，且主動探測可通過TCP指紋或特征行為識別。34.使用WireGuard時，所有流量默認經(jīng)過內(nèi)核態(tài)加密，因此無需再開iptables規(guī)則。答案：錯誤解析：WireGuard僅提供隧道加密，訪問控制與NAT仍需iptables/nftables配合。35.在Android13及以上，非系統(tǒng)應用無法獲取設(shè)備唯一標識IMEI，即使聲明READ_PRIVILEGED_PHONE_STATE。答案：正確解析：Android10起限制非特權(quán)應用訪問IMEI，13進一步強化，僅系統(tǒng)簽名或運營商應用可獲取。四、簡答題（每題10分，共30分）36.描述一次完整的Pass-the-Hash攻擊鏈，并給出Windows與Linux環(huán)境各自的檢測方案。答案與解析：攻擊鏈：1）信息收集：攻擊者通過釣魚或漏洞獲取內(nèi)網(wǎng)主機權(quán)限，利用secretsdump、mimikatz導出內(nèi)存中的NTLMHash。2）橫向移動：使用impacket-psexec或crackmapexec，將Hash注入SMB會話，無需破解密碼即可登錄其他主機。3）權(quán)限提升：在目標主機上再次DumpHash，循環(huán)直至獲取域管。4）持久化：創(chuàng)建域管賬號或GPO后門。Windows檢測：?開啟WindowsDefenderCredentialGuard，隔離lsass。?配置SysmonEventID4624（登錄類型3）與4648（顯式憑證），篩選源IP與賬戶不匹配事件。?使用AdvancedHunting查詢LateralMovement：DeviceLogonEvents|whereProtocol=="SMB"andAccountName!=DeviceNameandLogonType==3?部署MicrosoftATA，檢測異常Kerberos或NTLM行為。Linux檢測：?若通過Samba模擬，監(jiān)控/var/log/samba/log.smbd，搜索“NT_STATUS_WRONG_PASSWORD”與“NT_STATUS_LOGON_FAILURE”高頻來源IP。?使用Auditd監(jiān)控psexec.py寫入的隨機服務(wù)名：w/usr/sbin/smbd-px-kchmod?網(wǎng)絡(luò)層：Zeek腳本檢測SMBTreeConnect請求中攜帶的異常ShareName（如ADMIN、C?終端：osquery檢測監(jiān)聽445端口的非系統(tǒng)進程，以及/tmp下突然出現(xiàn)的隨機名可執(zhí)行文件。37.某電商網(wǎng)站采用微服務(wù)架構(gòu)，訂單服務(wù)需調(diào)用支付服務(wù)，請設(shè)計一套零信任mTLS方案，涵蓋證書生命周期、輪換、撤銷與監(jiān)控，并說明如何防止證書私鑰泄露導致橫向移動。答案與解析：1）證書架構(gòu)：?自建CA：使用HashicorpVaultPKI引擎，根CA離線托管，中間CA在線簽發(fā)，支持OCSP與CRL。?服務(wù)身份：采用SPIFFEID格式：spiffe://shop/order，嵌入證書SAN擴展，避免IP綁定。?短周期：證書有效期24h，自動續(xù)期，私鑰內(nèi)存不落盤。2）簽發(fā)與輪換：?訂單服務(wù)啟動時通過VaultAgentFetch，獲取SVID（證書+私鑰），通過tmpfs掛載至/run/certs。?采用EnvoySidecar自動熱加載，支持SDSAPI，無需重啟業(yè)務(wù)容器。?輪換策略：證書剩余30%生命周期時觸發(fā)續(xù)期，舊證書保留1h緩沖，防止時鐘漂移。3）撤銷：?Vault支持OCSPstapling，Envoy每5分鐘查詢一次，若狀態(tài)revoked則立即斷開連接。?緊急撤銷：管理員調(diào)用Vaultrevoke-leaf，并推送CRL至所有Sidecar，CRL更新延遲<1min。4）監(jiān)控：?Prometheus采集Envoy指標：envoy_cluster_ssl_fail_verify_cert_hash、envoy_vault_v2_secret_lease_expiration_time。?日志：Sidecar輸出TLS握手失敗原因，F(xiàn)luent-bit解析后送入ELK，告警規(guī)則：x509_cert_verify_failed>10次/5min。5）防私鑰泄露：?私鑰僅駐留內(nèi)存，使用mlock系統(tǒng)調(diào)用防止swap；進程崩潰時內(nèi)核清零。?采用IntelSGXEnclave保存私鑰，握手在Enclave內(nèi)完成，即使容器逃逸也無法讀取。?若檢測到異常（如CoreDump），Vault立即吊銷該SPIFFEID，并觸發(fā)Pod重建，Istio自動隔離舊證書。?網(wǎng)絡(luò)層：Calico策略限制訂單服務(wù)僅可訪問支付服務(wù)9443端口，即使證書泄露也無法橫向掃描。38.說明如何在AWS多云賬號環(huán)境中，利用IAMRolesAnywhere實現(xiàn)本地IDC服務(wù)器無AK/SK訪問云資源，并給出臨時憑證鏈的每一層簽名過程與審計方案。答案與解析：1）架構(gòu)：?本地服務(wù)器安裝AWSIAMRolesAnywhere客戶端，持有X.509證書（由企業(yè)CA簽發(fā)，私鑰HSM保護）。?創(chuàng)建TrustAnchor（AWS端導入CA證書），Profile綁定RoleARN與可選SessionPolicy。2）簽名過程：①客戶端構(gòu)造CreateSession請求：URL:/Method:POSTHeaders:X-Amz-Date:20240618T120000ZX-Amz-Certificate-Arn:arn:aws:rolesanywhere:us-east-1:111111111111:trust-anchor/TA-123Body:{“durationSeconds”:3600,“roleArn”:“arn:aws:iam::111111111111:role/IDCReadOnly”}②使用客戶端私鑰對HTTP請求做SIGv4簽名，算法為RSA-PSS-SHA256，簽名作用域為“rolesanywhere”服務(wù)。③RolesAnywhere服務(wù)端使用TrustAnchor公鑰驗簽，驗證證書鏈與CRL，通過后調(diào)用STSAssumeRole，返回臨時憑證：AccessKeyId:ASIA...SecretAccessKey:wJalr...SessionToken:IQoJb3JpZ2luX2VjEHYa...④客戶端使用臨時憑證調(diào)用S3:GetObject，簽名過程遵循標準SIGv4。3）審計：?CloudTrail記錄RolesAnywhereCreateSession事件，包含證書指紋、TrustAnchorID、源IP、請求ID。?在OrganizationTrail中開啟跨賬號聚合，通過Athena查詢：SELECT*FROMcloudtrailWHEREeventName='CreateSession'ANDrequestParameters.roleArnLIKE'%IDCReadOnly%'ANDsourceIPAddressNOTIN(SELECTipFROMapproved_ip_list)?配置EventBridge規(guī)則，若同一證書5min內(nèi)請求>10次，則觸發(fā)Lambda吊銷該證書（調(diào)用PCARevokeCertificate），并通知SNS。五、綜合應用題（共30分）39.背景：某金融公司計劃上線開放API，暴露/user/balance接口，需支持APP、H5、第三方合作方調(diào)用。安全團隊提出以下要求：1）防參數(shù)篡改；2）防重放；3）防中間人；4）第三方合作方最小權(quán)限；5）國密合規(guī)。請給出端到端技術(shù)方案，包括加密、簽名、密鑰管理、網(wǎng)絡(luò)、監(jiān)控，并給出Java示例代碼片段（僅關(guān)鍵邏輯），以及錯誤處理與降級策略。答案與解析：1）加密與簽名：?傳輸層：強制TLS1.3，雙向認證，服務(wù)端證書采用國密SM2雙證書（簽名+加密），客戶端證書對第三方簽發(fā)RSA或SM2。?應用層：敏感字段使用SM4-CBC加密，簽名算法SM3withSM2，遵循《GM/T0009-2012》。?報文格式：JSON→Base64(SM4(明文))→封裝為JWE-like結(jié)構(gòu)，簽名覆蓋URI、時間戳、nonce、body。2）防重放：?時間窗120s，nonce一次性表使用RedisSETEX，key=nonce，value=1，TTL120s。?合作方需同步NTP，誤差>30s拒絕。3）密鑰管理：?服務(wù)端SM4密鑰每日輪換，通過KMS（國密版）加密存儲，API網(wǎng)關(guān)啟動時拉取并緩存于內(nèi)存，不落盤。?第三方RSA公鑰通過JWKSendpoint暴露，支持X.509或JWK格式；私鑰自行保管，建議使用HSM。4）網(wǎng)絡(luò)：?外部流量經(jīng)WAF（支持國密套件）→API網(wǎng)關(guān)→內(nèi)網(wǎng)負載均衡；內(nèi)網(wǎng)服務(wù)間采用Istio+mTLS（SM2雙證書）。?合作方白名單：IP+ClientCertificate雙重校驗；APP端使用證書固定（CertificatePinning）。5）授權(quán)：?OAuth2.1+細粒度Scope，如balance:read，綁定合作方ID與AppID；JWT使用SM2簽名，exp=30s。?對合作方采用“令牌化”模式，返回的balance字段為Token（隨機UUID），真實值需二次兌換，降低泄露風險。6）Java關(guān)鍵代碼（服務(wù)端Filter）：```javapublicclassGmGatewayFilterextendsOncePerRequestFilter{privatestaticfinalCipherPoolSM4_POOL=newCipherPool("SM4/CBC/PKCS7Padding");privatefinalRedisTemplate<String,String>redis;privatefinalBCECPublicKeyclientPubKey;//第三方SM2公鑰protectedvoiddoFilterInternal(HttpServletRequestreq,HttpServletResponseresp,FilterChainchain)throwsServletException,IOException{Stringuri=req.getRequestURI();Stringtimestamp=req.getHeader("X-Time