2025下半年軟考信息安全工程師練習題及答案解析1.單項選擇題（每題1分，共30分。每題只有一個正確答案，錯選、不選均不得分）1.1在GB/T222392019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中，第三級安全要求首次明確提出的控制域是A.安全物理環(huán)境B.安全通信網(wǎng)絡(luò)C.安全區(qū)域邊界D.安全計算環(huán)境答案：C解析：第三級在第二級基礎(chǔ)上新增“安全區(qū)域邊界”控制域，強調(diào)對區(qū)域邊界的訪問控制、入侵防范等。1.2某單位采用SM2算法進行密鑰協(xié)商，雙方臨時公鑰長度均為A.128bitB.160bitC.256bitD.512bit答案：C解析：SM2橢圓曲線公鑰長度為256bit，對應(yīng)曲線參數(shù)為國家密碼管理局推薦的SM2曲線。1.3在Linux系統(tǒng)中，若文件權(quán)限為“rwsrxr”，則該文件的屬主執(zhí)行位實際表現(xiàn)為A.僅執(zhí)行B.執(zhí)行且SetUIDC.執(zhí)行且SetGIDD.執(zhí)行且粘滯位答案：B解析：小寫s出現(xiàn)在屬主執(zhí)行位，表示SetUID位被設(shè)置。1.4關(guān)于TLS1.3握手過程，下列說法正確的是A.支持RSA密鑰傳輸B.默認啟用會話復(fù)用C.ServerHello之后立即發(fā)送EncryptedExtensionsD.握手完成消息為Finished，采用HMACSHA256答案：C解析：TLS1.3廢棄RSA密鑰傳輸，ServerHello后立刻發(fā)送EncryptedExtensions；Finished算法取決于協(xié)商套件，不固定SHA256。1.5在Windows日志審核策略中，若需記錄用戶成功登錄事件，應(yīng)啟用A.審核登錄事件成功B.審核賬戶登錄事件成功C.審核特權(quán)使用成功D.審核進程跟蹤成功答案：B解析：“賬戶登錄事件”記錄域控制器或本地SAM的認證結(jié)果，“登錄事件”記錄工作站會話開始。1.6下列哪項不屬于軟件安全成熟度模型BSIMM13中的“治理”域?qū)嵺`A.創(chuàng)建安全高管職位B.發(fā)布安全編碼標準C.建立安全門戶D.執(zhí)行滲透測試答案：D解析：滲透測試歸屬“測試”域，非治理域。1.7在IPSec中，提供數(shù)據(jù)源身份認證的協(xié)議是A.AHB.ESPC.IKEv2D.ISAKMP答案：A解析：AH（AuthenticationHeader）提供數(shù)據(jù)源認證與完整性，不加密。1.8使用nmap掃描目標/24的UDP53端口，正確參數(shù)為A.sSp53/24B.sUp53/24C.sTp53/24D.sFp53/24答案：B解析：UDP掃描需使用sU。1.9在Python3中，可安全生成32字節(jié)隨機密鑰的函數(shù)是A.random.bytes(32)B.os.urandom(32)C.uuid.uuid4().bytesD.secrets.token_hex(32)答案：B解析：os.urandom返回適合密碼學(xué)的隨機字節(jié)；secrets.token_hex(32)返回64字符十六進制字符串，非32字節(jié)。1.10根據(jù)《密碼法》，國家對商用密碼實行A.強制認證制度B.自愿檢測認證制度C.備案制度D.審批制度答案：B解析：商用密碼產(chǎn)品自愿檢測認證，涉及國家安全的產(chǎn)品除外。1.11在SQL注入防御中，Orderby子句后使用參數(shù)化查詢失敗，最合理的替代方案是A.拼接字符串后加單引號過濾B.使用白名單校驗列名C.轉(zhuǎn)義雙引號D.關(guān)閉數(shù)據(jù)庫錯誤回顯答案：B解析：Orderby后無法參數(shù)化，需白名單校驗列名。1.12在Kerberos協(xié)議中，TGT的有效期由哪項決定A.客戶端時鐘偏移B.KDCPolicy中TicketLifetimeC.服務(wù)端keytab版本D.預(yù)認證類型答案：B解析：TGT生命周期由KDC策略字段決定。1.13在等級保護2.0安全擴展要求中，云計算擴展要求提出A.鏡像加固B.虛擬化隔離C.多租戶隔離D.容器逃逸檢測答案：C解析：云計算擴展要求核心為多租戶隔離。1.14若防火墻采用狀態(tài)檢測機制，對UDP通信的處理依賴A.序列號B.會話表超時C.窗口大小D.ACK位答案：B解析：UDP無連接，狀態(tài)檢測靠會話表與超時機制。1.15在ISO/IEC27001:2022附錄A中，控制措施“備份”屬于A.組織控制B.人員控制C.物理控制D.技術(shù)控制答案：D解析：備份為技術(shù)控制。1.16在Android13中，應(yīng)用獲取精確位置需申請A.ACCESS_FINE_LOCATIONB.ACCESS_BACKGROUND_LOCATIONC.ACTIVITY_RECOGNITIOND.LOCATION_HARDWARE答案：A解析：精確位置權(quán)限為ACCESS_FINE_LOCATION。1.17在OWASPTop102021中，排名首位的是A.訪問控制失效B.加密失敗C.注入D.不安全設(shè)計答案：A解析：訪問控制失效（BrokenAccessControl）列第一。1.18若RSA密鑰模長為3072bit，則對應(yīng)安全強度約等于A.112bitB.128bitC.192bitD.256bit答案：B解析：NISTSP80057給出3072bitRSA約128bit對稱強度。1.19在BGP安全擴展中，用于驗證AS路徑的協(xié)議是A.RPKIB.BGPsecC.ASSECD.ROA答案：B解析：BGPsec對AS路徑簽名。1.20在零信任架構(gòu)中，首次提出“永不信任、持續(xù)驗證”的模型是A.ForresterZTXB.NISTSP800207C.GoogleBeyondCorpD.GartnerCARTA答案：A解析：Forrester分析師JohnKindervag提出ZTX模型。1.21在Linux內(nèi)核5.15中，默認啟用緩解“Spectrev2”的機制是A.retbleedB.IBRSC.eIBRSD.LFENCE答案：C解析：eIBRS（EnhancedIBRS）為5.15默認。1.22若采用HMACSM3進行消息認證，密鑰長度推薦為A.128bitB.256bitC.512bitD.1024bit答案：B解析：SM3輸出256bit，密鑰長度與輸出等長即可。1.23在IPv6中，用于節(jié)點多播地址的標志位“T”置1表示A.永久分配B.臨時分配C.內(nèi)嵌RPD.基于網(wǎng)絡(luò)前綴答案：B解析：T=1為臨時多播地址。1.24在等級保護測評中，測評單元“測評對象”劃分依據(jù)不包括A.網(wǎng)絡(luò)拓撲B.業(yè)務(wù)應(yīng)用C.威脅分析D.設(shè)備型號答案：C解析：威脅分析用于風險，非對象劃分。1.25在WindowsDefenderApplicationControl中，策略文件格式為A..xmlB..binC..p7bD..cab答案：A解析：WDAC策略為XML。1.26在數(shù)據(jù)安全法中，對“重要數(shù)據(jù)”出境實行A.自由流動B.安全評估C.標準合同D.認證機制答案：B解析：重要數(shù)據(jù)出境需安全評估。1.27在PKI體系中，負責發(fā)布證書撤銷列表的是A.RAB.CAC.VAD.OCSP響應(yīng)器答案：B解析：CA簽發(fā)CRL。1.28在Wireshark過濾器中，查看HTTP請求方法為PUT的表達式是A.http.request.method==PUTB.http.method=PUTC.tcp.payloadcontains“PUT”D.http.put答案：A解析：正確語法為http.request.method==”PUT”。1.29在容器安全中，防止容器獲取額外權(quán)限的flag是A.privilegedB.capadd=ALLC.securityoptnonewprivilegesD.pid=host答案：C解析：nonewprivileges禁止進程提升權(quán)限。1.30在等保測評報告模板中，結(jié)論頁不包括A.符合性判定B.風險等級C.整改建議D.測評人員簽字答案：D解析：簽字頁獨立，結(jié)論頁不含簽字。2.多項選擇題（每題2分，共20分。每題至少有兩個正確答案，多選、少選、錯選均不得分）2.1以下哪些屬于對稱加密算法A.SM1B.SM4C.SM7D.SM9答案：A、B、C解析：SM9為標識非對稱算法。2.2關(guān)于DNSSEC，下列說法正確的是A.使用RRSIG記錄簽名B.支持DS記錄建立信任鏈C.采用EDNS0擴展D.提供數(shù)據(jù)機密性答案：A、B、C解析：DNSSEC不提供機密性。2.3在Linux能力（capability）機制中，可允許普通用戶執(zhí)行端口綁定（<1024）的能力包括A.CAP_NET_ADMINB.CAP_NET_BIND_SERVICEC.CAP_SYS_RAWIOD.CAP_DAC_OVERRIDE答案：B解析：僅CAP_NET_BIND_SERVICE。2.4以下哪些攻擊可導(dǎo)致容器逃逸A.臟牛（DirtyCow）B.runC容器逃逸漏洞（CVE20195736）C.KubernetesAPIServer未授權(quán)D.Dockercp競態(tài)條件（CVE202141089）答案：B、D解析：A需本地提權(quán)且內(nèi)核老，C為橫向非逃逸。2.5在零信任參考架構(gòu)中，可作為策略執(zhí)行點（PEP）的組件有A.SDP網(wǎng)關(guān)B.API網(wǎng)關(guān)C.微隔離代理D.傳統(tǒng)VPN集中器答案：A、B、C解析：傳統(tǒng)VPN無動態(tài)授權(quán)。2.6以下屬于NISTSP80061事件響應(yīng)生命周期階段的有A.檢測分析B.遏制根除C.恢復(fù)D.經(jīng)驗教訓(xùn)答案：A、B、C、D解析：四階段完整。2.7在Android應(yīng)用逆向中，可檢測Root狀態(tài)的方法有A.檢查su二進制文件B.檢查ro.debuggable屬性C.檢查GoogleSafetyNetAPID.檢查簽名證書答案：A、B、C解析：簽名證書與Root無關(guān)。2.8關(guān)于日志審計合規(guī)要求，下列保存期限≥6個月的有A.《網(wǎng)絡(luò)安全法》B.《電子商務(wù)法》C.《個人信息保護法》D.GB/T222392019第三級答案：A、B、D解析：個保法未明確6個月。2.9在防火墻雙機熱備（HA）中，實現(xiàn)會話同步的協(xié)議/技術(shù)有A.VRRPB.HRP（HuaweiRedundancyProtocol）C.FGCP（FortiGateClusterProtocol）D.CARP答案：B、C、D解析：VRRP僅路由冗余，不同步會話。2.10以下哪些工具支持對SM2證書進行簽名驗證A.OpenSSL3.0+gmssl引擎B.gmssl命令行C.Keytool（JDK17）D.BouncyCastle(C版本)答案：A、B、D解析：Keytool默認不支持SM2。3.填空題（每空2分，共20分）3.1在SHA3算法中，海綿結(jié)構(gòu)包含吸收階段和________階段。答案：擠壓（Squeeze）3.2在Windows系統(tǒng)中，用于查看當前登錄用戶SID的命令是________。答案：whoami/user3.3在IPv4報頭中，用于分片重組的字段是標識、標志和________。答案：片偏移（FragmentOffset）3.4在PKCS1v1.5填充中，BT為02時表示________加密。答案：公鑰3.5在Linux審計系統(tǒng)auditd中，定義文件系統(tǒng)監(jiān)控規(guī)則的命令是________。答案：auditctlw3.6在等保2.0中，安全運維管理要求建立________制度，確保變更操作可追溯。答案：變更管理3.7在Kubernetes中，NetworkPolicy資源依賴于________組件實現(xiàn)策略下發(fā)。答案：CNI插件（或網(wǎng)絡(luò)插件）3.8在BGP報文中，用于維持鄰居關(guān)系的報文類型是________。答案：Keepalive3.9在密碼學(xué)中，將消息分組長度等于密鑰長度的分組密碼工作模式稱為________模式。答案：CTR（或計數(shù)器，答OFB亦可，但CTR更常見）3.10在Pythonrequests庫中，關(guān)閉SSL證書驗證的參數(shù)是verify=________。答案：False4.簡答題（共30分）4.1簡述差分隱私中的“ε差分隱私”定義，并說明其數(shù)值大小與隱私保護強度關(guān)系。（6分）答案：ε差分隱私要求對于任意相鄰數(shù)據(jù)集D、D’，以及任意輸出S，算法M滿足Pr[M(D)∈S]≤e^εPr[M(D’)∈S]。ε越小，加入噪聲越多，保護強度越高；ε越大，數(shù)據(jù)效用提升但保護減弱。4.2說明在容器環(huán)境中使用Seccomp的工作原理，并給出一條限制容器內(nèi)進程調(diào)用ptrace的Seccomp規(guī)則示例。（6分）答案：Seccomp（securecomputingmode）通過BPF程序過濾系統(tǒng)調(diào)用號及參數(shù)，默認返回EPERM。限制ptrace示例：{“defaultAction”:“SCMP_ACT_ALLOW”,“syscalls”:[{“names”:[“ptrace”],“action”:“SCMP_ACT_ERRNO”}]}4.3簡述Kerberos跨域認證流程，并指出其中容易遭受中間人攻擊的環(huán)節(jié)及緩解措施。（8分）答案：流程：1.客戶端向本地KDC申請本地TGT；2.本地KDC返回TGT；3.客戶端請求跨域TGT，攜帶目標域信息；4.本地KDC用跨域密鑰簽發(fā)跨域TGT；5.客戶端向目標域KDC申請服務(wù)票據(jù)；6.目標域KDC返回服務(wù)票據(jù)；7.客戶端訪問服務(wù)。攻擊環(huán)節(jié)：第4步跨域TGT可能被偽造。緩解：嚴格配置跨域密鑰強度與輪換周期，啟用PAC校驗與KDC證書綁定。4.4說明在等級保護第三級測評中，對“惡意代碼防范”控制點的測評實施過程。（10分）答案：1.核查主機與網(wǎng)絡(luò)層是否部署惡意代碼檢測產(chǎn)品，更新周期≤7天；2.抽樣檢查病毒庫版本，確認與官方發(fā)布時間差≤7天；3.核查是否開啟實時掃描與定期全盤掃描策略；4.驗證隔離區(qū)配置，確認清除/隔離動作日志上傳至集中審計系統(tǒng)；5.對Linux系統(tǒng)，核查是否部署EDR或白名單機制，驗證對ELF木馬樣本檢出率；6.核查管理制度是否明確病毒事件處置流程；7.訪談管理員，確認近一年是否發(fā)生病毒事件及處置記錄；8.對測評結(jié)果進行符合性判定，若任一項缺失則判為不符合。5.應(yīng)用題（共50分）5.1計算分析題（15分）某單位計劃部署IPSecVPN，采用ESP+AES256GCM+SM4CBC混合策略：控制平面采用AES256GCM，數(shù)據(jù)平面采用SM4CBC。已知：1.AES256GCM每包額外開銷16ByteICV；2.SM4CBC每包需填充至16Byte整數(shù)倍，并附加1Byte填充長度；3.原始IP包長1400Byte；4.隧道模式新增IP頭20Byte；5.ESP頭12Byte，ESP尾最多15Byte填充。求：單包最大可能總長度，并指出在千兆線速（雙向1000Mbps）下，僅考慮單包長度開銷，理論最大有效數(shù)據(jù)吞吐（Mbps）。答案：步驟1：計算ESP封裝后長度原始數(shù)據(jù)1400Byte→SM4CBC要求16Byte對齊，1400mod16=8，需填充8Byte數(shù)據(jù)+1Byte長度=9Byte，總1440Byte。ESP頭12Byte，ESP尾9Byte，ICV16Byte（GCM模式），隧道新IP頭20Byte?？傞L度=20(IP)+12(ESP頭)+1440(數(shù)據(jù)+填充+長度)+16(ICV)=1488Byte。步驟2：千兆線速下包速率1000Mbps/(1488Byte×8bit/Byte)≈83984pps。步驟3：有效數(shù)據(jù)吞吐每包有效1400Byte，吞吐=83984×1400×8≈940Mbps。結(jié)論：最大總長度1488Byte，理論有效數(shù)據(jù)吞吐約940Mbps。5.2綜合設(shè)計題（20分）某金融公司需建設(shè)零信任遠程辦公平臺，用戶場景包括：1.互聯(lián)網(wǎng)終端通過瀏覽器訪問內(nèi)部Wiki（HTTP）；2.外包員工使用自建筆記本通過SSH維護Linux服務(wù)器；3.高管使用iPad審批OA流程（HTTPS）。安全需求：a.所有流量加密；b.動態(tài)最小授權(quán)；c.用戶行為可審計；d.設(shè)備需合規(guī)（補丁、EDR）。請給出整體架構(gòu)圖文字描述、關(guān)鍵組件列表、訪問流程及威脅緩解表。答案：架構(gòu)描述：1.終端層：部署輕量SDP代理/瀏覽器插件，收集設(shè)備姿態(tài)（補丁、EDR、磁盤加密）。2.控制層：零信任控制器（ZTAC）集成身份源（AD/LDAP）、PKI、EMM、EDR、SIEM；策略引擎基于用戶、設(shè)備、位置、風險評分動態(tài)授權(quán)。3.數(shù)據(jù)層：內(nèi)部Wiki、OA、Linux服務(wù)器劃入微段，由SDP網(wǎng)關(guān)代理，隱藏源IP。4.審計層：所有日志發(fā)送至SIEM，保存≥180天，行為分析使用UEBA檢測異常。關(guān)鍵組件：SDP網(wǎng)關(guān)集群、ZTAC、身份提供者IdP、EMM、EDR、SIEM、UEBA、HSM（密鑰管理）。訪問流程（以SSH為例）：1.外包員工發(fā)起SSH連接→SDP代理攔截→建立mTLS至SDP網(wǎng)關(guān)；2.SDP代理上報設(shè)備姿態(tài)→ZTAC評分→若合規(guī)→下發(fā)短期證書（有效期2h）；3.SDP網(wǎng)關(guān)驗證證書→建立到目標Linux的SSH代理通道→會話錄制；4.若UEBA發(fā)現(xiàn)異常（如深夜下載/etc/shadow）→ZTAC下發(fā)阻斷→會話終止。威脅緩解表：中間人攻擊：mTLS+證書綁定；設(shè)備丟失：EMM遠程擦除+短周期證書；賬戶盜用：多因素+風險評分；橫向移動：微隔離+默認拒絕；日志篡改：SIEM日志簽名+WORM存儲。5.3安全編程題（15分）以下C代碼片段用于驗證用戶上傳文件簽名，指出其中3處高危漏洞，并給出修復(fù)代碼。```cboolverify_sig(constcharfile,constcharsig_b64){unsignedcharsig[256]={0};intsig_len=base64_decode(sig_b64,sig);RSAr=PEM_read_RSA_PUBKEY("pub.pem",NULL,NULL,NULL);unsignedcharhash[32];SHA256(file,strlen(file),hash);//問題1intret=RSA_verify(NID_sha256,hash,32,sig,sig_len,r);//問題2