2025年專業(yè)技術(shù)人員《網(wǎng)絡(luò)安全》試題及答案一、單項選擇題（每題1分，共30分。每題只有一個正確答案，請將正確選項字母填入括號內(nèi)）1.2025年6月1日正式施行的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》中，對“重要數(shù)據(jù)”實行分級分類保護(hù)，其分級依據(jù)不包括（）。A.數(shù)據(jù)泄露對國家安全的影響程度B.數(shù)據(jù)篡改對公共利益的影響程度C.數(shù)據(jù)規(guī)模大小D.數(shù)據(jù)跨境傳輸?shù)念l率答案：D2.在零信任架構(gòu)中，用于持續(xù)評估終端安全狀態(tài)的協(xié)議是（）。A.RADIUSB.TACACS+C.PostureAssessmentProtocolD.SNMPv3答案：C3.某單位采用SM4CBC模式加密業(yè)務(wù)數(shù)據(jù)，密鑰長度為128bit，初始向量IV長度為（）。A.64bitB.128bitC.192bitD.256bit答案：B4.2025年3月，某APT組織利用“驅(qū)動人生”升級通道下發(fā)Rootkit，其持久化機(jī)制最可能通過修改（）實現(xiàn)。A.UEFI變量B./etc/shadowC.Windows注冊表Run鍵D.Bashrc文件答案：A5.依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T392042022），對供應(yīng)鏈安全審計的最低頻率為（）。A.每季度一次B.每半年一次C.每年一次D.每兩年一次答案：C6.在IPv6網(wǎng)絡(luò)中，用于防止ND欺騙攻擊的安全機(jī)制是（）。A.SENDB.RAGuardC.DHCPv6GuardD.IPv6ACL答案：A7.某Web應(yīng)用使用JWT進(jìn)行會話管理，簽名算法為RS256。若攻擊者獲取了公鑰，可造成的最大風(fēng)險是（）。A.偽造任意令牌B.解密令牌payloadC.篡改令牌headerD.無法直接偽造令牌答案：D8.2025年5月，Chrome135版本默認(rèn)啟用的“內(nèi)存安全沙箱”基于（）技術(shù)實現(xiàn)。A.WebAssemblyB.Rust重寫C.MojoIPC隔離D.ControlflowIntegrity答案：C9.在Linux內(nèi)核5.15中，用于限制容器進(jìn)程系統(tǒng)調(diào)用的安全機(jī)制是（）。A.SELinuxB.seccompbpfC.AppArmorD.capabilities答案：B10.某企業(yè)采用SDP（SoftwareDefinedPerimeter）方案，客戶端首次連接控制器時使用的默認(rèn)端口為（）。A.TCP443B.UDP500C.TCP8443D.UDP4500答案：C11.2025年1月，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《勒索軟件態(tài)勢報告》指出，攻擊者最常使用的初始訪問方式是（）。A.釣魚郵件B.暴力破解RDPC.供應(yīng)鏈污染D.漏洞利用答案：A12.在Windows1124H2中，默認(rèn)啟用且無法關(guān)閉的基于虛擬化的安全功能是（）。A.CredentialGuardB.HVCIC.WindowsHelloD.DeviceGuard答案：B13.依據(jù)《個人信息出境標(biāo)準(zhǔn)合同辦法》，接收方再轉(zhuǎn)移個人信息的，應(yīng)提前取得（）同意。A.所在地監(jiān)管部門B.個人信息主體C.網(wǎng)絡(luò)運營者D.第三方評估機(jī)構(gòu)答案：B14.在5GSA組網(wǎng)中，用于實現(xiàn)用戶面功能下沉的網(wǎng)元是（）。A.AMFB.UPFC.SMFD.AUSF答案：B15.某云服務(wù)商提供“機(jī)密計算”實例，其基于硬件的TEE方案為IntelTDX，可信度量根位于（）。A.SEAM模塊B.SGXEnclaveC.TXTACMD.VTx答案：A16.在Python3.12中，可防御正則表達(dá)式ReDoS攻擊的內(nèi)置模塊是（）。A.reB.regexC.re2D.re.safe答案：B17.2025年7月，某金融App因違規(guī)收集人臉信息被通報，其最主要違反了《個人信息保護(hù)法》的（）原則。A.最小必要B.公開透明C.安全保障D.誠信信用答案：A18.在TLS1.3握手過程中，用于加密Certificate消息的密鑰是（）。A.ClientEarlyTrafficSecretB.ServerHandshakeTrafficSecretC.ClientHandshakeTrafficSecretD.MasterSecret答案：B19.某企業(yè)部署了SOAR平臺，其中playbook的觸發(fā)器類型不包括（）。A.郵件主題關(guān)鍵字B.日志閾值告警C.人工手動D.漏洞CVSS評分答案：D20.在Kubernetes1.30中，默認(rèn)啟用的Pod級安全標(biāo)準(zhǔn)為（）。A.PrivilegedB.BaselineC.RestrictedD.Custom答案：B21.2025年4月，OpenSSL發(fā)布的高危漏洞CVE202524225，受影響版本為（）。A.1.1.1xB.3.0.03.0.12C.3.1.03.1.5D.3.2.03.2.1答案：D22.在WiFi7網(wǎng)絡(luò)中，用于防止偽造Beacon幀的攻擊機(jī)制是（）。A.WPA3SAEB.OWEC.FILSD.ManagementFrameProtection答案：D23.某單位使用國密SSLVPN，其握手過程中使用的國密雙證書機(jī)制中，加密證書密鑰用途為（）。A.KeyAgreementB.DigitalSignatureC.KeyEnciphermentD.DataEncipherment答案：A24.在AzureAD中，用于實現(xiàn)“持續(xù)訪問評估”的協(xié)議是（）。A.SAMLB.OAuth2.0C.CAED.WSFed答案：C25.2025年8月，某車企TBox被曝出遠(yuǎn)程代碼執(zhí)行漏洞，其攻擊面最可能位于（）。A.eSIM遠(yuǎn)程文件更新接口B.CAN總線C.OBDII端口D.車載藍(lán)牙答案：A26.在Linux系統(tǒng)中，可查看BPF程序是否加載成功的命令是（）。A.bpftoolproglistB.lsmodC.modinfoD.dmesg答案：A27.某單位采用“同態(tài)加密”進(jìn)行隱私計算，其支持的運算類型不包括（）。A.加法B.乘法C.邏輯與D.任意次數(shù)乘法答案：C28.在Windows日志中，事件ID4624表示（）。A.賬戶登錄失敗B.賬戶成功登錄C.特權(quán)提升D.對象訪問答案：B29.2025年9月，國家網(wǎng)信辦對某大模型服務(wù)開展安全評估，重點審查的“數(shù)據(jù)投毒”風(fēng)險屬于（）階段。A.訓(xùn)練B.推理C.部署D.運維答案：A30.在IDS規(guī)則中，關(guān)鍵字“flow:established,to_server”表示（）。A.檢測客戶端到服務(wù)器的已建立連接B.檢測服務(wù)器到客戶端的已建立連接C.檢測三次握手過程D.檢測RST包答案：A二、多項選擇題（每題2分，共20分。每題有兩個或兩個以上正確答案，多選、少選、錯選均不得分）31.以下屬于《數(shù)據(jù)出境安全評估辦法》中“敏感個人信息”的有（）。A.精準(zhǔn)定位軌跡B.14歲以下兒童信息C.支付記錄D.宗教信仰答案：ABD32.在容器逃逸攻擊中，可能利用的Linux內(nèi)核漏洞有（）。A.CVE20220847B.CVE20214034C.CVE20220492D.CVE20213156答案：AC33.以下關(guān)于SM9標(biāo)識密碼算法的描述正確的有（）。A.無需數(shù)字證書B.支持密鑰escrowC.基于橢圓曲線雙線性對D.加密密文長度固定128字節(jié)答案：ABC34.在零信任網(wǎng)絡(luò)中，動態(tài)信任評估可依賴的數(shù)據(jù)源包括（）。A.EDR告警B.物理門禁刷卡記錄C.用戶行為基線D.威脅情報IOC答案：ABCD35.以下屬于WindowsCredentialGuard依賴的硬件特性有（）。A.VTxB.TPM2.0C.SecureBootD.IOMMU答案：ABC36.關(guān)于TLS1.3與TLS1.2的差異，正確的有（）。A.移除RSA密鑰交換B.握手默認(rèn)加密C.支持0RTTD.保留壓縮算法答案：ABC37.在5G核心網(wǎng)中，可能導(dǎo)致用戶位置隱私泄露的接口有（）。A.N1B.N2C.NudmD.Npcf答案：CD38.以下關(guān)于量子密鑰分發(fā)（QKD）的描述正確的有（）。A.基于量子不可克隆定理B.可檢測竊聽行為C.需經(jīng)典信道進(jìn)行密鑰協(xié)商D.可完全替代數(shù)學(xué)密碼答案：ABC39.在SOARplaybook設(shè)計中，應(yīng)遵循的原則有（）。A.單一職責(zé)B.可審計C.可回滾D.高耦合答案：ABC40.以下關(guān)于《網(wǎng)絡(luò)安全審查辦法》觸發(fā)條件的有（）。A.采購網(wǎng)絡(luò)產(chǎn)品影響國家安全B.數(shù)據(jù)處理活動影響國家安全C.境外上市涉及個人信息超100萬D.核心數(shù)據(jù)出境答案：ABC三、填空題（每空1分，共20分）41.2025年11月1日施行的《個人信息保護(hù)法》最新司法解釋明確，處理人臉信息必須取得個人________同意。答案：單獨書面42.在Linux內(nèi)核中，用于限制進(jìn)程訪問文件系統(tǒng)路徑的系統(tǒng)調(diào)用是________。答案：chroot43.國密SM2公鑰加密算法中，消息加密流程首先使用接收方公鑰計算________密鑰。答案：臨時會話44.Windows11中，用于隔離Edge瀏覽器內(nèi)核的容器技術(shù)名稱是________。答案：ApplicationGuard45.在Kubernetes中，NetworkPolicy資源依賴于________組件實現(xiàn)策略下發(fā)。答案：CNI插件46.2025年6月，NIST發(fā)布的后量子密碼標(biāo)準(zhǔn)中，用于密鑰封裝的算法名稱是________。答案：MLKEM47.在TLS1.3中，用于實現(xiàn)前向保密的關(guān)鍵技術(shù)是使用________密鑰交換。答案：ECDHE48.5G基站側(cè)用于實現(xiàn)用戶面加速的可編程硬件通常采用________架構(gòu)。答案：FPGA49.在零信任架構(gòu)中，用于動態(tài)生成訪問令牌的實體稱為________。答案：策略決策點（PDP）50.2025年10月，國家網(wǎng)信辦要求App備案時，必須提交________報告以證明無“自啟動”行為。答案：自動化檢測51.在Azure中，用于存儲密鑰、證書、機(jī)密的服務(wù)名稱是________。答案：KeyVault52.在WiFi6E中，新開放的頻段為________GHz。答案：653.在Python中，用于安全生成隨機(jī)數(shù)的模塊是________。答案：secrets54.在IDS規(guī)則中，關(guān)鍵字“content”默認(rèn)區(qū)分大小寫，若要忽略大小寫需添加修飾符________。答案：nocase55.2025年9月，國家密碼局發(fā)布的《商用密碼產(chǎn)品認(rèn)證規(guī)則》中，把安全芯片分為________級。答案：三56.在Linux中，用于查看BPFmaps內(nèi)容的命令是bpftool________。答案：mapdump57.在容器鏡像安全掃描中，用于生成SBOM的標(biāo)準(zhǔn)格式是________。答案：SPDX58.在IPv6中，用于替代ARP的協(xié)議是________。答案：NDP59.在Windows日志中，事件ID4670表示________權(quán)限被更改。答案：對象訪問60.在SOAR平臺中，用于與外部威脅情報平臺對接的常用協(xié)議是________。答案：STIX/TAXII四、簡答題（每題10分，共30分）61.簡述2025年7月國家網(wǎng)信辦發(fā)布的《生成式人工智能服務(wù)管理暫行辦法》中對訓(xùn)練數(shù)據(jù)安全的五項核心要求。答案：（1）訓(xùn)練數(shù)據(jù)來源合法，不得含有非法有害信息；（2）對涉?zhèn)€人信息數(shù)據(jù)須取得授權(quán)或匿名化；（3）建立數(shù)據(jù)清洗過濾制度，確保違法不良樣本占比低于0.1%；（4）對第三方數(shù)據(jù)供應(yīng)商進(jìn)行安全審核并留存記錄不少于三年；（5）在模型發(fā)布前完成數(shù)據(jù)投毒風(fēng)險評估并提交自評報告。62.說明在Linux容器環(huán)境中利用CVE20220492實現(xiàn)逃逸的完整利用鏈，并給出三項防御措施。答案：利用鏈：①容器內(nèi)擁有CAP_SYS_ADMIN權(quán)限；②攻擊者利用cgroupv1release_agent特性，將惡意腳本路徑寫入release_agent文件；③觸發(fā)cgroup進(jìn)程退出事件，內(nèi)核以宿主機(jī)root權(quán)限執(zhí)行release_agent腳本，完成逃逸。防御措施：a.啟用cgroupv2并禁用release_agent；b.通過seccompbpf禁止容器進(jìn)程寫cgrouprelease_agent接口；c.采用最小權(quán)限原則，移除CAP_SYS_ADMIN。63.某金融單位采用國密SSLVPN，客戶端與網(wǎng)關(guān)完成SM2雙證書握手后，使用SM4GCM傳輸業(yè)務(wù)數(shù)據(jù)。請畫出握手簡化流程圖，并指出在TLS層之上如何封裝SM4GCM密鑰材料。答案：流程：①ClientHello擴(kuò)展指示支持ECC_SM2_SM4_SM3套件；②服務(wù)端返回ServerHello、雙證書（簽名證書+加密證書）、使用SM2簽名算法完成服務(wù)端密鑰交換；③客戶端驗證證書后，生成46字節(jié)隨機(jī)數(shù)作為SM4會話密鑰，使用服務(wù)端加密證書公鑰SM2加密傳輸；④雙方計算主密鑰并導(dǎo)出SM4GCM寫密鑰及IV；⑤ChangeCipherSpec后啟用SM4GCM加密。封裝方式：在TLS記錄層之上，應(yīng)用數(shù)據(jù)直接使用SM4GCM加密，記錄類型值為0x17，版本號0x0304，長度字段后緊跟密文與16字節(jié)Tag，無需額外封裝。五、綜合應(yīng)用題（共50分）64.數(shù)據(jù)出境風(fēng)險定量評估（20分）背景：某網(wǎng)約車平臺日均活躍用戶3000萬，其中10%為境外用戶。平臺擬將“行程起訖點”數(shù)據(jù)在加密后傳輸至新加坡云節(jié)點進(jìn)行機(jī)器學(xué)習(xí)模型訓(xùn)練。已知：1.數(shù)據(jù)規(guī)模：每日新增200GB，保存周期90天；2.加密方式：AES256GCM，密鑰由國內(nèi)HSM管理，每日輪換；3.數(shù)據(jù)敏感級：根據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定》被認(rèn)定為“重要數(shù)據(jù)”；4.境外接收方通過ISO27001認(rèn)證，但未通過網(wǎng)絡(luò)安全審查。問題：（1）依據(jù)《數(shù)據(jù)出境安全評估辦法》，該平臺是否必須向省級網(wǎng)信部門申報安全評估？請說明理由。（5分）（2）若采用“個人信息出境標(biāo)準(zhǔn)合同”路徑，請列出至少四項必須約定的接收方義務(wù)。（5分）（3）采用FAIR模型對“數(shù)據(jù)被境外監(jiān)管機(jī)構(gòu)強制調(diào)取”場景進(jìn)行風(fēng)險量化：已知威脅事件頻率（LEF）估算為0.2次/年，損失幅度（LM）估算為資產(chǎn)價值5000萬元的60%，計算年度預(yù)期損失（ALE）。（5分）（4）在不改變業(yè)務(wù)目標(biāo)前提下，給出兩項技術(shù)替代方案，使數(shù)據(jù)物理不出境即可滿足模型訓(xùn)練需求。（5分）答案：（1）必須申報。理由：重要數(shù)據(jù)出境，且處理規(guī)模超過1000萬人，觸發(fā)《評估辦法》第三條第一款。（2）接收方義務(wù)：①僅按約定目的處理；②采取不低于國內(nèi)水平的保護(hù)措施；③接受境內(nèi)第三方審計；④配合境內(nèi)監(jiān)管調(diào)查；⑤刪除或返還數(shù)據(jù)后出具書面證明。（3）ALE=LEF×LM=0.2×5000×0.6=600萬元/年。（4）方案：①部署聯(lián)邦學(xué)習(xí)平臺，模型參數(shù)出境而原始數(shù)據(jù)不出境；②使用同態(tài)加密+GPU機(jī)密計算，在國內(nèi)完成加密訓(xùn)練，僅輸出加密模型。65.容器云攻防實戰(zhàn)（15分）場景：某電商在Kubernetes1.30集群運行訂單微服務(wù)，Pod使用鏡像order:v1.2，Service類型為ClusterIP，通過IngressNginx對外暴露。安全監(jiān)測發(fā)現(xiàn)異常：①某Pod頻繁請求ernal；②集群節(jié)點出現(xiàn)未知DaemonSet名為“miner”；③IngressNginx配置被增加location~/shell{proxy_passhttp://minerservice:8080;}。問題：（1）寫出提取該Pod運行時日志并保存到宿主機(jī)的命令。（3分）（2）說明攻擊者如何利用metadata服務(wù)完成權(quán)限提升，并給出利用鏈。（4分）（3）給出刪除惡意DaemonSet并恢復(fù)Ingress配置的kubectl命令序列。（4分）（4）從“縱深防御”角度，給出三項長期加固建議。（4分）答案：（1）kubectllogsorderpodnamecorder>/tmp/order.log（2）利用鏈：Pod→ernal獲取節(jié)點IAM臨時憑證→調(diào)用云API創(chuàng)建DaemonSet→部署挖礦鏡像。（3）kubectldeletedaemonsetminernkubesystemkubectlgetingressorderingressoyaml>ingress.yamlvimingress.yaml刪除惡意locationkubectlapplyfingress.yaml（4）