2025年市场网络安全专家资格考试试卷及答案.docxVIP

2025年市场网络安全专家资格考试试卷及答案

一、单项选择题（每题2分，共30分）

1.以下哪项是零信任架构（ZeroTrustArchitecture）的核心原则？

A.基于网络边界的静态信任

B.持续验证访问请求的身份、设备和环境安全状态

C.仅对内部用户开放高权限资源

D.依赖传统防火墙实现全方位防护

答案：B

2.量子计算对现有公钥加密体系的主要威胁是？

A.加速对称加密算法的破解

B.利用Shor算法分解大整数，破坏RSA和ECC

C.增强哈希函数的碰撞抗性

D.对AES-256密钥的穷举攻击

答案：B

3.在软件成分分析（SCA）中，最关键的风险识别对象是？

A.自研代码中的逻辑漏洞

B.第三方库或依赖项的已知CVE漏洞

C.用户输入验证不充分问题

D.数据库连接字符串的硬编码

答案：B

4.工业物联网（IIoT）设备的安全部署中，以下哪项措施最能降低固件被篡改的风险？

A.定期更新设备管理系统的管理员密码

B.启用固件签名验证（FirmwareSignatureVerification）

C.限制设备仅通过HTTP协议通信

D.将设备接入企业办公网络同一VLAN

答案：B

5.某企业采用微服务架构，需为服务间通信设计安全方案。以下哪项最符合最小权限原则？

A.所有微服务使用同一长期有效API密钥访问数据库

B.为每个微服务分配独立的JWT令牌，设置短生命周期并限制资源访问范围

C.微服务间通过未加密的HTTP协议传输业务数据

D.由中心认证服务统一管理所有服务的登录会话，不区分服务类型

答案：B

6.针对提供式AI（AIGC）模型的安全风险，以下哪类攻击旨在通过输入特定数据诱导模型输出有害内容？

A.模型窃取攻击（ModelStealing）

B.对抗样本攻击（AdversarialExample）

C.数据投毒攻击（DataPoisoning）

D.提示注入攻击（PromptInjection）

答案：D

7.根据《个人信息保护法》及GB/T35273-2020，个人信息跨境传输时，关键步骤不包括？

A.进行个人信息保护影响评估（PIA）

B.获得信息主体的单独同意

C.与接收方签订标准合同

D.向境外司法机构共享原始数据副本

答案：D

8.某企业发现Web应用存在SQL注入漏洞，修复方案中最根本的措施是？

A.对用户输入进行简单字符串过滤（如替换“;”为“”）

B.启用Web应用防火墙（WAF）进行流量拦截

C.使用预编译语句（PreparedStatement）或ORM框架参数化查询

D.限制数据库用户的查询权限为只读

答案：C

9.5G边缘计算场景下，以下哪项安全挑战主要由“低延迟需求”引发？

A.边缘节点与核心网间的认证延迟增加

B.边缘设备资源受限导致加密算法选择受限

C.用户位置信息泄露风险升高

D.多租户共享边缘服务器的隔离难度加大

答案：B

10.以下哪项是内存安全漏洞（如缓冲区溢出）的现代防御技术？

A.地址空间布局随机化（ASLR）

B.输入长度限制（InputLengthValidation）

C.日志审计与异常检测

D.数据库加密存储

答案：A

11.威胁情报生命周期中，“将原始情报转化为可操作建议”属于哪个阶段？

A.收集（Collection）

B.分析（Analysis）

C.传播（Dissemination）

D.评估（Evaluation）

答案：B

12.云原生安全中，保护容器镜像的关键措施是？

A.在容器内安装杀毒软件

B.对镜像进行漏洞扫描并签名

C.限制容器CPU和内存资源

D.禁用容器间的网络通信

答案：B

13.物联网（IoT）设备大规模部署时，最易被忽视的安全风险是？

A.设备默认密码未修改

B.设备固件更新机制缺失

C.设备与云平台间通信未加密

D.设备存储的用户隐私数据未脱敏

答案：B

14.以下哪项属于物理安全控制措施？

A.网络访问控制（NAC）

B.服务器机房的生物识别门禁

C.多因素认证（MFA）

D.数据脱敏与加密

答案：B

15.针对勒索软件攻击的防御策略中，最有效的主动防御手段是？

A.定期全量备份数据并离线存储

B.部署终端检测与响应（