2025年计算机网络安全考试试题及答案细解.docxVIP

2025年计算机网络安全考试试题及答案细解

一、单项选择题（每题2分，共20分）

1.量子计算技术的发展对现有公钥密码体系构成重大威胁。以下哪种算法最可能因量子计算的成熟而被替代？

A.AES-256

B.RSA-2048

C.SHA-3

D.ChaCha20

答案：B

细解：RSA算法的安全性基于大整数因数分解的困难性，而量子计算机可通过Shor算法高效解决这一问题。AES（对称加密）、SHA-3（哈希算法）、ChaCha20（流加密）的安全性不依赖因数分解，量子计算对其威胁较小。

2.某企业部署零信任架构（ZeroTrustArchitecture），其核心设计原则不包括以下哪项？

A.持续验证访问请求的合法性

B.默认拒绝所有未经验证的连接

C.基于静态IP地址分配访问权限

D.最小化资源访问权限

答案：C

细解：零信任的核心是“永不信任，始终验证”，强调动态评估访问主体（用户、设备、应用）的风险状态，而非依赖静态IP。静态IP分配权限是传统边界安全的特征，与零信任的“无边界”理念冲突。

3.攻击者通过将恶意数据封装在DNS查询报文中，绕过防火墙的流量检测，这种攻击方式属于？

A.ARP欺骗

B.DNS隧道（DNSTunneling）

C.DDoS反射攻击

D.域传输漏洞（AXFR）利用

答案：B

细解：DNS隧道利用DNS协议（通常为UDP53端口）的高信任度（多数网络允许DNS流量通过），将恶意数据伪装成DNS查询/响应包传输，实现隐蔽通信。ARP欺骗篡改MAC地址映射，DDoS反射攻击利用第三方服务器放大流量，AXFR漏洞涉及非法获取域名解析记录，均与题干描述不符。

4.某Web应用使用JWT（JSONWebToken）作为身份验证令牌，以下哪种场景最可能导致令牌被篡改？

A.令牌未使用签名（未设置alg为none）

B.令牌过期时间设置为1小时

C.令牌存储在浏览器的localStorage中

D.使用HTTPS传输令牌

答案：A

细解：JWT的安全性依赖签名验证（如HS256、RS256）。若未签名（alg=none），攻击者可直接修改令牌内容（如用户角色、过期时间）后重新发送，无需破解密钥。存储位置（localStorage存在XSS风险，但非篡改）、过期时间（合理设置可降低风险）、HTTPS（防止传输劫持）均不直接导致篡改。

5.物联网（IoT）设备的安全风险中，最突出的共性问题是？

A.计算资源有限导致无法部署复杂加密

B.操作系统版本老旧且缺乏更新机制

C.传感器数据精度不足

D.通信协议不支持双向认证

答案：B

细解：多数IoT设备因成本或设计限制，采用封闭的嵌入式系统，厂商常停止提供安全补丁（如2016年Mirai病毒利用大量未更新的摄像头、路由器）。计算资源限制（可通过轻量级加密解决）、协议缺陷（部分协议已支持双向认证）、传感器精度（与安全无关）均非最突出问题。

6.以下哪项是缓冲区溢出攻击（BufferOverflow）的典型特征？

A.向内存中写入超过缓冲区长度的数据，覆盖相邻内存

B.利用操作系统漏洞绕过访问控制列表（ACL）

C.通过社会工程学诱导用户点击恶意链接

D.伪造合法用户身份访问敏感资源

答案：A

细解：缓冲区溢出的核心是数据写入超出缓冲区边界，覆盖栈/堆中的返回地址或函数指针，实现代码执行。绕过ACL属于权限提升，社会工程学是钓鱼攻击，伪造身份是身份仿冒，均与缓冲区溢出无关。

7.某企业邮件服务器启用SPF（SenderPolicyFramework）、DKIM（DomainKeysIdentifiedMail）、DMARC（Domain-basedMessageAuthentication,ReportingConformance）三重验证，其主要目的是？

A.防止邮件内容被篡改

B.检测并拒绝伪造发件人的垃圾邮件

C.加密邮件传输过程

D.提高邮件传输效率

答案：B

细解：SPF验证发件IP是否属于域名授权范围，DKIM通过签名验证邮件是否被篡改，DMARC基于前两者结果决定是否拒绝/隔离伪造邮件。三者共同目标是防御仿冒域名的钓鱼邮件（如伪造“@”的邮件）。防止篡改是DKIM的部分功能，加密由TLS实现，与传输效率无关。

8.以下哪种漏洞属于应用层协议漏洞？

A.交换机的MAC地址泛洪（MACFlooding）

B.路由器的路由协议（OSPF）认证缺陷

C