网络信息安全管理考试题和答案完整版.docxVIP

网络信息安全管理考试题和答案完整版

一、单项选择题（每题2分，共30分）

1.某企业采用零信任架构后，下列哪项访问控制流程最符合其核心理念？

A.用户首次登录即永久信任该终端

B.每次访问资源前都重新验证身份与上下文

C.仅在内网区域进行动态授权

D.由防火墙一次性下发长周期令牌

答案：B

解析：零信任强调“永不信任、持续验证”，每次访问都需重新评估身份、设备、环境等多维上下文，而非一次性授权或仅依赖网络位置。

2.在Linux系统中，管理员发现/etc/shadow文件的权限被误设为644，以下哪条命令可在不重启的情况下最小化风险？

A.chmod000/etc/shadow

B.chmod640/etc/shadowsetfacl-mu:root:rwx/etc/shadow

C.chmod600/etc/shadowchattr+i/etc/shadow

D.cp/etc/shadow/tmp/shadow.bakchmod600/tmp/shadow.bak

答案：C

解析：600权限仅所有者可读写，配合+i属性防止误操作再次降权；B的setfacl在多用户场景易留隐患；A导致系统无法认证；D仅备份未修复源文件。

3.关于国密SM2与RSA2048在数字签名场景下的对比，下列说法正确的是：

A.SM2签名长度固定64字节，RSA2048签名长度固定256字节

B.SM2签名验证速度普遍慢于RSA2048

C.SM2需依赖RSA的PKCS#1v1.5填充模式

D.在同等安全强度下，SM2运算效率低于RSA2048

答案：A

解析：SM2签名采用椭圆曲线，输出定长64字节；RSA2048签名输出256字节；SM2验证速度优于RSA；两者填充模式独立；同等强度下SM2效率更高。

4.某Web接口使用JWT做会话令牌，header中alg字段为None，且payload含isAdmin:true。如何在不获取密钥情况下快速判断风险等级？

A.直接修改payload为isAdmin:false再重放

B.删除签名段后提交，观察服务端是否接受

C.暴力破解JWT的256位密钥

D.将alg改为HS256再重放

答案：B

解析：alg为None时签名应留空，服务端若仍接受无签名令牌，则存在绕过风险；A无法验证服务端校验逻辑；C不现实；D无密钥也无法生成有效签名。

5.在Windows域环境中，针对Kerberoasting攻击最有效的原生防御措施是：

A.为所有服务账户启用“敏感账户，不能被委派”

B.强制所有SPN使用AES256-CTS-HMAC-SHA1-96加密

C.将服务账户密码设为120位随机值并定期轮换

D.禁用整个域的RC4-HMAC加密

答案：C

解析：Kerberoasting本质是离线爆破服务账户哈希，120位随机密码极大提升爆破成本；A仅限制委派不影响TGS请求；B、D需客户端兼容，无法完全消除风险；强密码+轮换最直接。

6.某云租户在对象存储桶policy中写入Principal:，Action:s3:GetObject，Resource:arn:aws:s3:::example/，并附加Condition:IpAddress:{aws:SourceIp:/8}。以下场景仍能导致数据泄露的是：

A.攻击者从/8内网IP访问

B.攻击者通过云厂商CDN回源访问

C.攻击者使用匿名浏览器直接下载

D.攻击者利用预签名URL访问

答案：B

解析：CDN回源时源IP为云厂商内部地址，可能落在/8，导致外部用户通过CDN间接获取对象；A需先进入内网；C无签名会被拒；D需密钥生成，与policy无关。

7.关于差分隐私中的ε（epsilon）参数，下列描述错误的是：

A.ε越大，隐私保护程度越低

B.ε为0时查询结果不再含任何噪声

C.ε可理解为隐私预算，累计值超限需重置

D.同一数据集上ε=1的查询比ε=0.1的查询精度更高

答案：B

解析：ε=0时噪声无限大，结果完全失真；A、C、D均符合差分隐私理论。

8.在IPv6网络中，防止SLAAC攻击者伪造默认网关的最佳技术是：

A.启用RAGuard并绑定信任接口

B.关闭所有路由通告

C.使用DHCPv6exclusively

D.在交换机端口启用IPv6snooping

答案：A

解析：RAGuard可过滤非法路由通告，绑定信任接口后只允许合法路由器发送RA；B导致合法网关失效；C无法阻止伪造RA；D为地址跟踪技术，不直接过滤RA。

9.某安卓App使用SafetyNetattestation校验设备完整性，攻击者在已取得root权